專利名稱::基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域:
,尤其涉及一種基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法。
背景技術(shù):
:隨著網(wǎng)絡(luò)通信技術(shù)的發(fā)展,越來越多的用戶計(jì)算機(jī)通過網(wǎng)絡(luò)接入設(shè)備(如交換機(jī))接入網(wǎng)絡(luò),進(jìn)行用戶所需要的網(wǎng)絡(luò)訪問。每臺(tái)接入網(wǎng)絡(luò)的用戶計(jì)算機(jī)均擁有一個(gè)唯一的MAC(媒體接入控制)地址,作為鏈路層設(shè)備相互訪問的唯一標(biāo)識(shí),通常用戶計(jì)算機(jī)的MAC地址不允許修改,但由于計(jì)算機(jī)訪問網(wǎng)絡(luò)所應(yīng)用的網(wǎng)卡或用戶計(jì)算機(jī)應(yīng)用的操作系統(tǒng)提供了修改其MAC地址的功能,必然會(huì)發(fā)生MAC地址被修改的情況,因此,網(wǎng)絡(luò)中但可能出現(xiàn)MAC地址重復(fù)的現(xiàn)象。基于目前的網(wǎng)絡(luò)安全技術(shù)狀況,對(duì)于重復(fù)出現(xiàn)的MAC地址,在交換機(jī)端口中可以自由地被學(xué)習(xí)到,而不會(huì)受到任何限制。但是,當(dāng)具有相同MAC地址的兩臺(tái)計(jì)算機(jī)接入到同一個(gè)二層交換機(jī)上或者在一個(gè)局域網(wǎng)中時(shí),彼此之間必然會(huì)發(fā)生沖突,可能導(dǎo)致合法用戶無法對(duì)網(wǎng)絡(luò)進(jìn)行正常的訪問,使合法用戶的利益受到損害;另一方面也使得網(wǎng)絡(luò)運(yùn)營(yíng)商無法對(duì)網(wǎng)絡(luò)接入設(shè)備各端口接入用戶進(jìn)行正常地管理,且無法保證網(wǎng)絡(luò)的安全,如交換機(jī)端口下可以隨意接入用戶,而無法有效控制接入用戶的數(shù)量,將導(dǎo)致局域網(wǎng)無法有效地防止外來人員的訪問內(nèi)部資源,當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí)無法定位責(zé)任人,以及過多的合法和/或非法接入用戶將影響網(wǎng)絡(luò)的安全和傳輸性能,等等問題的出現(xiàn)。
發(fā)明內(nèi)容為此,本發(fā)明的目的是提供一種基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,一方面保證合法用戶的利益不受損害,另一方面方便網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)接入用戶進(jìn)行管理,保證網(wǎng)絡(luò)的安全運(yùn)營(yíng)。本發(fā)明的目的是通過下述方案實(shí)現(xiàn)的所述的一種基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,包括a、設(shè)置網(wǎng)絡(luò)接入設(shè)備端口允許動(dòng)態(tài)學(xué)習(xí)MAC(媒體接入控制)地址的數(shù)量;b、根據(jù)設(shè)置的網(wǎng)絡(luò)接入設(shè)備端口允許動(dòng)態(tài)學(xué)習(xí)MAC地址的數(shù)量,控制通過該端口接入網(wǎng)絡(luò)的非綁定用戶數(shù)量。所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法還包括在網(wǎng)絡(luò)接入設(shè)備端口上配置靜態(tài)MAC地址,將MAC地址與網(wǎng)絡(luò)接入設(shè)備端口的靜態(tài)綁定,以確定通過該端口接入網(wǎng)絡(luò)的綁定用戶。所述的將MAC地址與網(wǎng)絡(luò)接入設(shè)備端口靜態(tài)綁定為將網(wǎng)絡(luò)接入設(shè)備端口與MAC地址靜態(tài)添加到MAC地址表中,且將其老化時(shí)間設(shè)置為不老化。本發(fā)明中,當(dāng)MAC地址與網(wǎng)絡(luò)接入設(shè)備端口靜態(tài)綁定時(shí),所述網(wǎng)絡(luò)接入設(shè)備端口允許學(xué)習(xí)MAC地址的數(shù)量設(shè)置為零或者非零數(shù)值,設(shè)置為零時(shí),表示該端口禁止動(dòng)態(tài)學(xué)習(xí)MAC地址;設(shè)置為非零數(shù)值時(shí),表示允許動(dòng)態(tài)學(xué)習(xí)設(shè)置數(shù)值的MAC地址。所述的步驟b包括b1、網(wǎng)絡(luò)接入設(shè)備收到MAC地址解析請(qǐng)求報(bào)文時(shí),獲取該報(bào)文的源端口信息;b2、根據(jù)獲取的源端口信息判斷該源端口已經(jīng)學(xué)習(xí)的MAC地址數(shù)量是否等于或大于設(shè)置的允許學(xué)習(xí)MAC地址的數(shù)量,如果是,則丟棄收到的MAC地址解析請(qǐng)求報(bào)文,否則,將收到的MAC地址解析請(qǐng)求報(bào)文的源MAC地址添加到MAC地址表中,并將該源端口已經(jīng)學(xué)習(xí)的MAC地址數(shù)量加1。所述的丟棄收到的MAC地址解析請(qǐng)求報(bào)文,進(jìn)一步包括通過控制網(wǎng)絡(luò)接入設(shè)備的交換芯片,禁止通過硬件方式將該MAC地址解析請(qǐng)求報(bào)文在VLAN(虛擬局域網(wǎng))內(nèi)廣播,全部送設(shè)備的CPU(中央處理器)進(jìn)行處理,由CPU對(duì)報(bào)文作丟棄處理。所述的控制網(wǎng)絡(luò)接入設(shè)備的交換芯片為向網(wǎng)絡(luò)接入設(shè)備的交換芯片的寄存器寫入一個(gè)數(shù)值,即將寄存器中用于確定是否允許未解析報(bào)文在VLAN內(nèi)廣播的標(biāo)志位置位。所述的步驟b還包括判斷報(bào)文的目的MAC地址是否解析,如果未解析,則向網(wǎng)絡(luò)中未綁定靜態(tài)MAC地址的非綁定端口廣播目的MAC地址解析請(qǐng)求報(bào)文,否則,不做處理。所述的判斷報(bào)文的目的MAC地址是否解析,是根據(jù)目的MAC地址是否已經(jīng)存在于MAC地址表中確定的,如果目的MAC地址存在于MAC地址表中,則確定目的MAC地址已解析,否則,確定目的MAC地址未解析。所述的目的MAC地址解析后,向源MAC地址端發(fā)送攜帶著該目的MAC地址的報(bào)文。由上述技術(shù)方案可以看出,本發(fā)明的實(shí)現(xiàn)有效地控制了網(wǎng)絡(luò)接入設(shè)備端口允許學(xué)習(xí)MAC地址的數(shù)量并提供了端口和MAC地址的綁定方法,從而限制了該端口接入用戶的數(shù)量和接入位置,使得用戶不得隨意更改接入網(wǎng)絡(luò)的位置。本發(fā)明中MAC地址與網(wǎng)絡(luò)接入設(shè)備端口綁定的處理方式,方便了網(wǎng)管人員對(duì)網(wǎng)絡(luò)接入設(shè)備各端口接入用戶的管理,綁定MAC地址的端口和不綁定MAC地址的端口(非綁定端口)可以根據(jù)需要由網(wǎng)管人員來指定,為網(wǎng)絡(luò)的運(yùn)營(yíng)管理提供了高度的靈活性,例如,在小區(qū)寬帶和校園網(wǎng)建設(shè)中應(yīng)用本發(fā)明將給網(wǎng)絡(luò)的管理帶來極大的方便。圖1為本發(fā)明的具體實(shí)施方式流程圖;圖2為本發(fā)明的應(yīng)用環(huán)境示意圖。具體實(shí)施例方式本發(fā)明所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法的核心思想為針對(duì)MAC地址與網(wǎng)絡(luò)接入設(shè)備端口間的關(guān)系采用了兩種配置模式,一種為限制網(wǎng)絡(luò)接入設(shè)備端口接入用戶的數(shù)量,另一種是將用戶的MAC地址與其接入的網(wǎng)絡(luò)接入設(shè)備端口綁定,確定端口下接入的用戶,這兩種模式在網(wǎng)絡(luò)中的應(yīng)用方便了對(duì)接入用戶的管理。在二層網(wǎng)絡(luò)通訊中,交換機(jī)是通過動(dòng)態(tài)學(xué)習(xí)MAC地址的方式來維護(hù)其中的MAC地址表,即動(dòng)態(tài)的增加或者刪除MAC地址表中與各端口對(duì)應(yīng)的MAC地址,因此,為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)接入用戶的控制管理,可以基于MAC地址實(shí)現(xiàn)。為實(shí)施本發(fā)明首先需要在網(wǎng)絡(luò)接設(shè)備中定義以下全局變量變量1為USHORTg_usMaxAddrNumLearnedOnPort[MAX_PORT_NUM],用于存放各個(gè)網(wǎng)絡(luò)接入設(shè)備端口允許學(xué)習(xí)MAC地址的最大數(shù)量;通過對(duì)該變量的靈活設(shè)置,可以控制網(wǎng)絡(luò)接入設(shè)備端口學(xué)習(xí)MAC地址的狀態(tài),例如端口允許學(xué)習(xí)最大地址個(gè)數(shù)設(shè)置為-1,表示該端口未使能地址學(xué)習(xí)最大個(gè)數(shù)限制,否則該端口使能了地址學(xué)習(xí)最大個(gè)數(shù)限制;該變量由網(wǎng)絡(luò)管理人員根據(jù)需要在網(wǎng)絡(luò)接入設(shè)備中針對(duì)各個(gè)端口進(jìn)行設(shè)置,當(dāng)該變量為0時(shí),表示該端口禁止學(xué)習(xí)MAC地址;變量2為USHORTg_usAddrNumLearnedOnPort[26MAX_PORT_NUM],用于存放各個(gè)網(wǎng)絡(luò)接入設(shè)備端口已經(jīng)學(xué)習(xí)到的MAC地址的數(shù)量;端口已學(xué)習(xí)地址個(gè)數(shù)初始化為0,表示該端口還沒有學(xué)習(xí)MAC地址,當(dāng)該端口下每學(xué)習(xí)一個(gè)MAC地址時(shí),則在該端口下的已經(jīng)學(xué)習(xí)到的地址數(shù)量統(tǒng)計(jì)數(shù)值加1,該變量與變量1配合應(yīng)用實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)接入設(shè)備接入用戶數(shù)量的控制;變量3為ULONGg_ulAddrLearningState,用于存放地址學(xué)習(xí)狀態(tài),其中允許學(xué)習(xí)MAC地址可將該變量設(shè)置為“ENABLE”,否則可以設(shè)置為“DISABLE”;地址學(xué)習(xí)狀態(tài)標(biāo)志的默認(rèn)狀態(tài)可以設(shè)置為“ENABLE”允許進(jìn)行MAC地址的學(xué)習(xí),當(dāng)通過命令行設(shè)置禁止MAC地址學(xué)習(xí)后,則該標(biāo)志更新為“DISABLE”;該變量也可以以變量1代替,當(dāng)禁止某一端口下學(xué)習(xí)MAC地址時(shí),則將變量1設(shè)置為-1或0,當(dāng)允許某一端口下學(xué)習(xí)MAC地址時(shí),則將變量1設(shè)置為具體的數(shù)值或無窮大。定義了上述各個(gè)變量后,還需要在網(wǎng)絡(luò)接入設(shè)備中定義學(xué)習(xí)MAC地址時(shí)的判斷條件,具體可以設(shè)置為if(((UINT2)(-1))?。絞_usMaxAddrNumLearnedOnPort[rxPnum]&&(g_usAddrNumLearnedOnPort[rxPnum]>=g_usMaxAddrNumLearnedOnPort[rxPnum])),具體含義為若該端口使能端口最大地址數(shù)目限制同時(shí)端口學(xué)習(xí)的MAC地址數(shù)目已經(jīng)超過最大允許學(xué)習(xí)MAC地址的數(shù)目后,則執(zhí)行以下操作給交換芯片的寄存器寫入一個(gè)數(shù)值,相當(dāng)于一個(gè)確定是否允許未解析報(bào)文在VLAN內(nèi)廣播的標(biāo)志位,用于禁止該地址未解析報(bào)文在VLAN(虛擬局域網(wǎng))內(nèi)廣播,全部送設(shè)備的CPU(中央處理器)進(jìn)行處理;由CPU對(duì)報(bào)文丟棄處理。經(jīng)過了如上所述的設(shè)置后,現(xiàn)將本發(fā)明的具體實(shí)現(xiàn)過程結(jié)合附圖作進(jìn)一步說明,如圖1所示步驟1網(wǎng)絡(luò)接入設(shè)備收到MAC地址解析請(qǐng)求報(bào)文,即收到接入用戶發(fā)來的MAC地址未解析報(bào)文;步驟2判斷該報(bào)文是否為源MAC地址解析請(qǐng)求報(bào)文,如果是,則執(zhí)行步驟3,否則,執(zhí)行步驟10;步驟3獲取上述報(bào)文的源端口信息;步驟4根據(jù)所獲取的源端口信息判斷該端口的地址學(xué)習(xí)狀態(tài),即判斷該端口下是否限制MAC地址學(xué)習(xí)數(shù)目,如果限制,則執(zhí)行步驟5,否則執(zhí)行步驟8;步驟5判斷該端口下已經(jīng)學(xué)習(xí)的MAC地址數(shù)量是否大于或等于已設(shè)置允許學(xué)習(xí)MAC地址的數(shù)量,如果是,則該端口下已經(jīng)不允許再學(xué)習(xí)MAC地址,執(zhí)行步驟9,否則,執(zhí)行步驟6;步驟6將報(bào)文的源MAC地址添加到網(wǎng)絡(luò)接入設(shè)備的MAC地址表中,并執(zhí)行步驟7,加入MAC地址表中的MAC地址對(duì)應(yīng)的用戶端可以進(jìn)行正常的報(bào)文發(fā)送和接收工作;步驟7將網(wǎng)絡(luò)接入設(shè)備該端口下已經(jīng)學(xué)習(xí)的MAC地址數(shù)量作加1處理,并執(zhí)行步驟11,以統(tǒng)計(jì)并限制相應(yīng)端口下學(xué)習(xí)MAC地址的數(shù)量;步驟8將報(bào)文的MAC地址添加到MAC地址表中;步驟9丟棄該MAC地址解析請(qǐng)求報(bào)文;步驟10向網(wǎng)絡(luò)接入設(shè)備各端口廣播該MAC地址解析請(qǐng)求報(bào)文;步驟11本次MAC地址的學(xué)習(xí)過程結(jié)束。本發(fā)明所述的方法還包括進(jìn)行各個(gè)端口與對(duì)應(yīng)MAC地址的綁定的設(shè)置,如果網(wǎng)絡(luò)接入設(shè)備各端口中存在綁定MAC地址的端口,且綁定MAC地址的端口不再允許學(xué)習(xí)MAC地址,則步驟10中所述的MAC地址解析請(qǐng)求報(bào)文僅需要向非綁定端口廣播?,F(xiàn)結(jié)合圖2將MAC地址與端口綁定實(shí)際應(yīng)用作進(jìn)一步說明,當(dāng)將PC1(主機(jī)1)的MAC1與port1(端口1)綁定在一起時(shí),可以在交換機(jī)的命令行中使用如下方式實(shí)現(xiàn)Quidway(config)#inte0/1/選定以太網(wǎng)端口1;Quidway(config-if-Ethernet0/1)#MAC-address-tablemax-MAC-count0/端口1下在MAC地址表中最大允許學(xué)習(xí)的MAC地址數(shù)為0;Quidway(config-if-Ethernet0/1)#exit/退到全局配置模式Quidway(config)#MACstatic0050.ba19.6ac0inte0/1vlan1/靜態(tài)配置VLAN1中以太網(wǎng)端口1的MAC地址為0050.ba19.6ac0;Quidway(config)#showMAC/查看mac地址表項(xiàng)MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)0005.5dfd.b2341LearnedEthernet0/22060010.dc19.6db31LearnedEthernet0/21430020.eda7.37781LearnedEthernet0/21520050.ba19.6ac01ConfigstaticEthernet0/1NOAGED00e0.fc08.25d11LearnedEthernet0/222300e0.fc09.bcf91LearnedEthernet0/2290Quidway(config)#其中MACADDR字段記錄MAC地址;VLANID字段記錄VLAN標(biāo)識(shí);STATE字段記錄該條配置的狀態(tài);PORTINDEX字段記錄網(wǎng)絡(luò)接入設(shè)備的端口號(hào);AGINGTIME(s)字段記錄該條配置的老化時(shí)間;NOAGED表示該條配置為不老化。通過上述針對(duì)具體命令行的描述,可以知道如何將MAC地址與相應(yīng)的端口綁定,可以將要綁定的端口下所允許學(xué)習(xí)的最大地址數(shù)目設(shè)置為0,然后通過配置靜態(tài)MAC地址來實(shí)現(xiàn)與端口的綁定;還可以設(shè)置為靜態(tài)MAC地址綁定和允許動(dòng)態(tài)MAC地址學(xué)習(xí)兩種情況并存,此時(shí),只需將端口允許學(xué)習(xí)的MAC地址數(shù)量設(shè)置為允許動(dòng)態(tài)學(xué)習(xí)MAC的最大數(shù)目即可?,F(xiàn)僅討論MAC地址與相應(yīng)的端口綁定,且端口允許學(xué)習(xí)的MAC地址數(shù)量設(shè)置為零的情況當(dāng)網(wǎng)絡(luò)接入設(shè)備(即交換機(jī))端口下綁定了相應(yīng)的MAC地址后,則不再允許所綁定的MAC地址以外的MAC地址由該端口接入網(wǎng)絡(luò),假設(shè)圖2中將MAC1綁定在port1下,該端口下只能允許PC1接入并訪問網(wǎng)絡(luò),其他主機(jī)(如PC2、PC3等)接在port1下則無法進(jìn)行正常的網(wǎng)絡(luò)訪問,現(xiàn)可以假設(shè)PC2接在port1下面并且試圖與PC3建立連接,則經(jīng)過上述靜態(tài)配置的網(wǎng)絡(luò)接入設(shè)備將作如下處理1、PC2首先向發(fā)送ARP(地址解析協(xié)議)請(qǐng)求報(bào)文,來請(qǐng)求IP(互聯(lián)網(wǎng)協(xié)議)地址是IP3的PC3的MAC地址,該報(bào)文在VLAN內(nèi)被廣播,同時(shí)也會(huì)產(chǎn)生源MAC地址未解析事件(即源MAC地址請(qǐng)求報(bào)文),所述的源MAC地址未解析事件為因報(bào)文的源MAC地址未被學(xué)習(xí)到MAC地址表中而產(chǎn)生的事件,報(bào)文同時(shí)復(fù)制并發(fā)送到CPU(中央處理器),CPU確定port1下允許學(xué)習(xí)的動(dòng)態(tài)MAC地址個(gè)數(shù)為0,因此將對(duì)該報(bào)文丟棄;2、PC3收到ARP請(qǐng)求后發(fā)出ARP響應(yīng)報(bào)文,該響應(yīng)報(bào)文為單播報(bào)文,僅發(fā)送給PC2,但由于此時(shí)MAC2和MAC3還沒有被添加到MAC地址表中,因此報(bào)文會(huì)被網(wǎng)絡(luò)接入設(shè)備(即交換機(jī))作為源MAC地址未解析事件和目的MAC地址未解析事件(即目的MAC地址請(qǐng)求報(bào)文)送給CPU處理,所述的目的MAC地址未解析事件為因報(bào)文的目的MAC地址未被學(xué)習(xí)到MAC地址表中而產(chǎn)生的事件;3、由于PC3所連接的端口port3沒有綁定MAC地址,為非綁定端口,因此可以在此端口下學(xué)習(xí)到PC3的MAC地址;同時(shí)由于PC2的MAC地址MAC2未解析,因此還需要向非綁定端口廣播該未解析事件,由此可以看出該報(bào)文不會(huì)達(dá)到port1,即PC2無法獲取PC3的MAC地址信息;4、當(dāng)PC3的MAC地址被添加到MAC地址表中以后,PC2繼續(xù)請(qǐng)求與PC3建立連接,由于PC2沒有得到PC3的MAC地址,因此會(huì)繼續(xù)發(fā)送ARP請(qǐng)求,此時(shí)ARP報(bào)文對(duì)于交換機(jī)只產(chǎn)生源MAC地址未解析事件,根據(jù)處理流程,該報(bào)文最終被上交CPU,經(jīng)過判斷,丟棄該報(bào)文;因此,在交換機(jī)的MAC地址表中無法學(xué)習(xí)到PC2的MAC地址,PC2無法與PC3進(jìn)行有效數(shù)據(jù)通信。若此時(shí)PC2的用戶在自己的PC機(jī)上配置PC3的靜態(tài)ARP地址,此時(shí)PC2查找PC3時(shí),從PC2發(fā)出的將是ICMP(網(wǎng)間控制報(bào)文協(xié)議)報(bào)文,對(duì)于交換機(jī)而言,PC3的MAC地址已經(jīng)解析,PC2的MAC地址沒有學(xué)習(xí)到,仍產(chǎn)生源MAC未解析事件,報(bào)文將上CPU,經(jīng)過判斷丟棄此報(bào)文。而當(dāng)PC1接在綁定的端口port1時(shí),請(qǐng)求與PC3建立連接的過程為因?yàn)镻C1的MAC地址MAC1已經(jīng)被綁定在port1下,所以MAC地址MAC1已經(jīng)解析,當(dāng)PC1發(fā)出的針對(duì)MAC3的ARP請(qǐng)求報(bào)文被廣播到port3端口時(shí),PC3發(fā)出ARP響應(yīng)報(bào)文,該報(bào)文被作為源MAC未解析報(bào)文上交給CPU,在非綁定端口port3下可以學(xué)習(xí)MAC地址,則MAC3被學(xué)習(xí)在port3下面,這樣當(dāng)PC1繼續(xù)PC3時(shí),由于MAC1和MAC3都被添加到MAC地址表中,交換芯片可以根據(jù)表中的MAC地址直接進(jìn)行報(bào)文交換;在MAC3被添加至MAC地址表中的同時(shí),PC3回應(yīng)給PC2的報(bào)文還需要通過協(xié)議棧發(fā)送給PC1,避免port1下的PC1在MAC3添加至MAC地址表之前發(fā)送出的報(bào)文的回應(yīng)報(bào)文被丟棄,防止正常用戶通訊時(shí)首包丟棄。通過上述處理過程的描述可以看出,當(dāng)交換機(jī)端口下綁定了相應(yīng)的MAC地址,僅該端口允許學(xué)習(xí)的MAC地址數(shù)量為0時(shí),所綁定的MAC地址以外的MAC地址再也無法由該端口接入網(wǎng)絡(luò),實(shí)現(xiàn)了本發(fā)明的目的。在本發(fā)明中,如果將某端口設(shè)置為靜態(tài)MAC地址綁定和允許動(dòng)態(tài)MAC地址學(xué)習(xí)兩種情況并存,則對(duì)通過該端口接入網(wǎng)絡(luò)的用戶僅需要采用限制該端口允許學(xué)習(xí)的MAC地址數(shù)量的處理過程,即圖1所示的步驟1至步驟11即可,此時(shí),端口設(shè)置的靜態(tài)綁定的MAC地址的作用僅是網(wǎng)絡(luò)管理人員可以準(zhǔn)確地定位接入網(wǎng)絡(luò)的用戶,而不再具有限制擁有其他MAC地址的用戶由該端口接入網(wǎng)絡(luò)的功能。權(quán)利要求1.一種基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于包括a、設(shè)置網(wǎng)絡(luò)接入設(shè)備端口允許動(dòng)態(tài)學(xué)習(xí)MAC(媒體接入控制)地址的數(shù)量;b、根據(jù)設(shè)置的網(wǎng)絡(luò)接入設(shè)備端口允許動(dòng)態(tài)學(xué)習(xí)MAC地址的數(shù)量,控制通過該端口接入網(wǎng)絡(luò)的非綁定用戶數(shù)量。2.根據(jù)權(quán)利要求1所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于該方法還包括在網(wǎng)絡(luò)接入設(shè)備端口上配置靜態(tài)MAC地址,將MAC地址與網(wǎng)絡(luò)接入設(shè)備端口的靜態(tài)綁定,以確定通過該端口接入網(wǎng)絡(luò)的綁定用戶。3.根據(jù)權(quán)利要求2所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于所述的將MAC地址與網(wǎng)絡(luò)接入設(shè)備端口靜態(tài)綁定為將網(wǎng)絡(luò)接入設(shè)備端口與MAC地址靜態(tài)添加到MAC地址表中,且將其老化時(shí)間設(shè)置為不老化。4.根據(jù)權(quán)利要求2所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于當(dāng)MAC地址與網(wǎng)絡(luò)接入設(shè)備端口靜態(tài)綁定時(shí),所述網(wǎng)絡(luò)接入設(shè)備端口允許學(xué)習(xí)MAC地址的數(shù)量設(shè)置為零或者非零數(shù)值,設(shè)置為零時(shí),表示該端口禁止動(dòng)態(tài)學(xué)習(xí)MAC地址;設(shè)置為非零數(shù)值時(shí),表示允許動(dòng)態(tài)學(xué)習(xí)設(shè)置數(shù)值的MAC地址。5.根據(jù)權(quán)利要求1所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于所述的步驟b包括b1、網(wǎng)絡(luò)接入設(shè)備收到MAC地址解析請(qǐng)求報(bào)文時(shí),獲取該報(bào)文的源端口信息;b2、根據(jù)獲取的源端口信息判斷該源端口已經(jīng)學(xué)習(xí)的MAC地址數(shù)量是否等于或大于設(shè)置的允許學(xué)習(xí)MAC地址的數(shù)量,如果是,則丟棄收到的MAC地址解析請(qǐng)求報(bào)文,否則,將收到的MAC地址解析請(qǐng)求報(bào)文的源MAC地址添加到MAC地址表中,并將該源端口已經(jīng)學(xué)習(xí)的MAC地址數(shù)量加1。6.根據(jù)權(quán)利要求5所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于所述的丟棄收到的MAC地址解析請(qǐng)求報(bào)文,進(jìn)一步包括通過控制網(wǎng)絡(luò)接入設(shè)備的交換芯片,禁止通過硬件方式將該MAC地址解析請(qǐng)求報(bào)文在VLAN(虛擬局域網(wǎng))內(nèi)廣播,全部送設(shè)備的CPU(中央處理器)進(jìn)行處理,由CPU對(duì)報(bào)文作丟棄處理。7.根據(jù)權(quán)利要求6所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于所述的控制網(wǎng)絡(luò)接入設(shè)備的交換芯片為向網(wǎng)絡(luò)接入設(shè)備的交換芯片的寄存器寫入一個(gè)數(shù)值,即將寄存器中用于確定是否允許未解析報(bào)文在VLAN內(nèi)廣播的標(biāo)志位置位。8.根據(jù)權(quán)利要求5所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于所述的步驟b還包括判斷報(bào)文的目的MAC地址是否解析,如果未解析,則向網(wǎng)絡(luò)中未綁定靜態(tài)MAC地址的非綁定端口廣播目的MAC地址解析請(qǐng)求報(bào)文,否則,不做處理。9.根據(jù)權(quán)利要求8所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于所述的判斷報(bào)文的目的MAC地址是否解析,是根據(jù)目的MAC地址是否已經(jīng)存在于MAC地址表中確定的,如果目的MAC地址存在于MAC地址表中,則確定目的MAC地址已解析,否則,確定目的MAC地址未解析。10.根據(jù)權(quán)利要求8所述的基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法,其特征在于所述的目的MAC地址解析后,向源MAC地址端發(fā)送攜帶著該目的MAC地址的報(bào)文。全文摘要本發(fā)明涉及一種基于媒體接入控制地址的網(wǎng)絡(luò)接入控制方法。該方法為首先設(shè)置網(wǎng)絡(luò)接入設(shè)備端口允許學(xué)習(xí)的MAC地址數(shù)量,并進(jìn)一步將網(wǎng)絡(luò)接入設(shè)備端口與靜態(tài)MAC地址綁定,然后根據(jù)上述設(shè)置控制網(wǎng)絡(luò)接入設(shè)備端口接入網(wǎng)絡(luò)的用戶。本發(fā)明的實(shí)現(xiàn)有效地控制了網(wǎng)絡(luò)接入設(shè)備端口允許學(xué)習(xí)MAC地址的數(shù)量,從而限制了該端口接入用戶的數(shù)量,同時(shí)還實(shí)現(xiàn)了MAC地址與端口綁定的解決方案,方便了網(wǎng)管人員對(duì)網(wǎng)絡(luò)接入設(shè)備各端口接入用戶的管理,為網(wǎng)絡(luò)的運(yùn)營(yíng)管理提供了高度的靈活性。文檔編號(hào)H04L12/24GK1571349SQ0314400公開日2005年1月26日申請(qǐng)日期2003年7月25日優(yōu)先權(quán)日2003年7月25日發(fā)明者張劍鋒,胡元章,晉兆瓊,王燕平,孫松兒,劉新民,李玉濤申請(qǐng)人:華為技術(shù)有限公司