一種端口安全的實(shí)現(xiàn)方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種端口安全的實(shí)現(xiàn)方法及裝置�����,涉及網(wǎng)絡(luò)【技術(shù)領(lǐng)域】���,使得一個(gè)網(wǎng)絡(luò)用戶能夠與交換機(jī)的一個(gè)或多個(gè)或全部端口進(jìn)行綁定�����,以保證用戶能夠靈活�、安全地訪問網(wǎng)絡(luò)�。本發(fā)明的具體實(shí)施例包括:在不能確定網(wǎng)絡(luò)用戶從哪個(gè)端口接入時(shí),以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)網(wǎng)絡(luò)用戶的MAC地址���,當(dāng)交換機(jī)的端口接收到網(wǎng)絡(luò)用戶的報(bào)文時(shí)��,更新存儲(chǔ)的動(dòng)態(tài)表項(xiàng)���,并根據(jù)獲取的該網(wǎng)絡(luò)用戶的端口和VLAN信息�,和網(wǎng)絡(luò)管理者的配置進(jìn)行對(duì)比�,確定該網(wǎng)絡(luò)用戶是合法用戶并且是從合法端口接入網(wǎng)絡(luò)的,將該網(wǎng)絡(luò)用戶的MAC表項(xiàng)修改為靜態(tài)表項(xiàng)�����。本發(fā)明技術(shù)方案主要應(yīng)用于網(wǎng)絡(luò)用戶網(wǎng)絡(luò)接入流程中�。
【專利說明】一種端口安全的實(shí)現(xiàn)方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)【技術(shù)領(lǐng)域】,尤其涉及一種端口安全的實(shí)現(xiàn)方法及裝置��。
【背景技術(shù)】
[0002]以太網(wǎng)交換機(jī)相比其它網(wǎng)絡(luò)設(shè)備�,易用性很突出,插上以太網(wǎng)線就可接入網(wǎng)絡(luò)�����,這種便利性雖然有利于網(wǎng)絡(luò)部署����,但也存在安全隱患����,容易出現(xiàn)非法接入網(wǎng)絡(luò)的情況�。針對(duì)安全接入問題,在以太網(wǎng)中引入了多種技術(shù)����,其中端口安全技術(shù)是最常用的一種,端口安全技術(shù)將網(wǎng)絡(luò)用戶的MAC地址�����、VLAN (Virtual Local Area Network,虛擬局域網(wǎng))ID與交換機(jī)的端口綁定起來����,限定網(wǎng)絡(luò)用戶只能從綁定的端口接入網(wǎng)絡(luò)���,非綁定用戶不能訪問網(wǎng)絡(luò)��,從而保證網(wǎng)絡(luò)數(shù)據(jù)的安全性�����。但是在實(shí)現(xiàn)上述的端口安全技術(shù)過程中���,同一個(gè)網(wǎng)絡(luò)用戶的MAC地址����、VLAN ID只能與交換機(jī)的一個(gè)端口綁定�,不能綁定到多個(gè)端口,更不能與交換機(jī)的所有端口綁定�。
[0003]具體的,交換機(jī)端口安全功能分為兩個(gè)部分�����。一部分是軟件控制模塊�,另一部分是對(duì)交換機(jī)芯片MAC地址表資源的管理。進(jìn)一步的���,在交換機(jī)中的某一個(gè)端口啟用端口安全功能后���,首先關(guān)掉該端口的MAC地址硬件學(xué)習(xí)功能,同時(shí)打開源MAC地址查找失敗則丟棄報(bào)文的控制開關(guān)�,但是ARP (Address Resolution Protocol,地址解析協(xié)議)報(bào)文不受這個(gè)開關(guān)的限制,交換機(jī)可以將該ARP報(bào)文直接交給該交換機(jī)內(nèi)部的CPU處理����,CPU收到這一 ARP報(bào)文后��,解析出報(bào)文的MAC地址����、VLAN ID信息���,并將這些信息與網(wǎng)絡(luò)管理者的配置進(jìn)行對(duì)t匕�。如果這些信息代表的網(wǎng)絡(luò)用戶是網(wǎng)絡(luò)管理者的配置允許的合法用戶��,交換機(jī)的CPU則將該網(wǎng)絡(luò)用戶的MAC地址寫到交換機(jī)芯片的MAC地址表中��,這樣當(dāng)該網(wǎng)絡(luò)用戶的下一個(gè)報(bào)文到達(dá)時(shí)�,會(huì)在交換機(jī)芯片的MAC地址表中查找成功�����,進(jìn)而進(jìn)行正常轉(zhuǎn)發(fā)�,也就是該網(wǎng)絡(luò)用戶后續(xù)能正常訪問網(wǎng)絡(luò)。如果在網(wǎng)絡(luò)管理者的配置中找不到相應(yīng)的信息�,CPU不會(huì)將MAC地址寫入交換機(jī)芯片,該用戶后續(xù)報(bào)文因在交換機(jī)芯片中查不到MAC信息會(huì)被丟棄��,也就是說該網(wǎng)絡(luò)用戶不能訪問網(wǎng)絡(luò)����。
[0004]現(xiàn)有的端口安全技術(shù)����,只允許網(wǎng)絡(luò)用戶與交換機(jī)的一個(gè)端口綁定����。一方面,網(wǎng)絡(luò)管理者不一定能準(zhǔn)確地確定網(wǎng)絡(luò)用戶要從哪個(gè)端口接入網(wǎng)絡(luò)�����;另一方面��,在實(shí)際的應(yīng)用環(huán)境中���,網(wǎng)絡(luò)用戶的工作位置會(huì)經(jīng)常變動(dòng)���,從而就必須更換接入端口。這兩個(gè)因素導(dǎo)致���,網(wǎng)絡(luò)管理者為網(wǎng)絡(luò)用戶配置的交換機(jī)端口��,與該網(wǎng)絡(luò)用戶實(shí)際接入的端口很大程度上是不同的���,進(jìn)而會(huì)導(dǎo)致該網(wǎng)絡(luò)用戶不能訪問網(wǎng)絡(luò)�。所以迫切需要一種網(wǎng)絡(luò)用戶與交換機(jī)的多個(gè)或全部端口進(jìn)行綁定的方法����,以保證網(wǎng)絡(luò)用戶能夠靈活、安全地訪問網(wǎng)絡(luò)��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的實(shí)施例提供一種端口安全的實(shí)現(xiàn)方法及裝置���,使得一個(gè)網(wǎng)絡(luò)用戶與交換機(jī)的一個(gè)或多個(gè)或全部端口進(jìn)行綁定�����,以保證用戶能夠靈活����、安全地訪問網(wǎng)絡(luò)����。
[0006]為達(dá)到上述目的�����,本發(fā)明的實(shí)施例采用如下技術(shù)方案:
[0007]一種端口安全的實(shí)現(xiàn)方法,包括:[0008]在接收到網(wǎng)絡(luò)用戶的報(bào)文之前��,根據(jù)網(wǎng)絡(luò)管理者的配置獲取所述網(wǎng)絡(luò)用戶的MAC地址�����,以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)所述網(wǎng)絡(luò)用戶的MAC地址�,形成交換芯片的MAC表項(xiàng),所述MAC表項(xiàng)的端口置為CPU端口 ���;
[0009]當(dāng)接收到所述網(wǎng)絡(luò)用戶的報(bào)文時(shí)�,更新所述MAC表項(xiàng)�,并獲取所述網(wǎng)絡(luò)用戶的端口和虛擬局域網(wǎng)VLAN信息;所述更新后的MAC表項(xiàng)的端口為實(shí)際接收所述報(bào)文的端口 �����;
[0010]根據(jù)所述網(wǎng)絡(luò)用戶的端口和VLAN信息���,與網(wǎng)絡(luò)管理者的配置進(jìn)行對(duì)比���,判斷所述網(wǎng)絡(luò)用戶是否是合法用戶;
[0011 ] 當(dāng)確定所述網(wǎng)絡(luò)用戶是合法用戶,修改所述MAC表項(xiàng)為靜態(tài)表項(xiàng)�����。
[0012]一種端口安全的實(shí)現(xiàn)裝置�,包括:
[0013]獲取單元,用于在接收到網(wǎng)絡(luò)用戶的報(bào)文之前�,根據(jù)網(wǎng)絡(luò)管理者的配置獲取所述網(wǎng)絡(luò)用戶的MAC地址,并以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)所述網(wǎng)絡(luò)用戶的MAC地址�����,形成交換芯片的MAC表項(xiàng)�,所述MAC表項(xiàng)的端口置為CPU的端口 ;
[0014]更新單元�����,用于當(dāng)接收到所述網(wǎng)絡(luò)用戶的報(bào)文時(shí)��,更新通過所述獲取單元形成的所述MAC表項(xiàng)���;所述更新后的MAC表項(xiàng)的端口為實(shí)際接收所述報(bào)文的端口 ;
[0015]所述獲取單元��,還用于在所述更新單元更新所述MAC表項(xiàng)后,獲取所述網(wǎng)絡(luò)用戶的端口和虛擬局域網(wǎng)VLAN信息����;
[0016]判斷單元,用于根據(jù)所述獲取單元獲取的所述網(wǎng)絡(luò)用戶的端口和VLAN信息����,與網(wǎng)絡(luò)管理者的配置進(jìn)行對(duì)比,判斷所述網(wǎng)絡(luò)用戶是否是合法用戶�����;
[0017]修改單元�,用于通過所述判斷單元的判斷,確定所述網(wǎng)絡(luò)用戶是合法用戶�����,修改所述MAC表項(xiàng)為靜態(tài)表項(xiàng)��。
[0018]本發(fā)明實(shí)施例提供的一種端口安全的實(shí)現(xiàn)方法,在不能確定網(wǎng)絡(luò)用戶從哪個(gè)端口接入時(shí),以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)網(wǎng)絡(luò)用戶的MAC地址����,當(dāng)接入端口接收到網(wǎng)絡(luò)用戶的報(bào)文時(shí),更新存儲(chǔ)的動(dòng)態(tài)表項(xiàng)�,并根據(jù)獲取的該網(wǎng)絡(luò)用戶的端口和VLAN信息,確定該網(wǎng)絡(luò)用戶是合法用戶�,修改該網(wǎng)絡(luò)用戶的MAC表項(xiàng)修改為靜態(tài)表項(xiàng)。現(xiàn)有技術(shù)中����,網(wǎng)絡(luò)用戶只能與交換機(jī)的一個(gè)端口綁定,當(dāng)接收?qǐng)?bào)文的端口不是指定接入端口時(shí)��,導(dǎo)致該網(wǎng)絡(luò)用戶的報(bào)文被丟棄��,從而造成網(wǎng)絡(luò)訪問失敗的問題��,而本發(fā)明實(shí)施例提供的技術(shù)方案����,使得一個(gè)網(wǎng)絡(luò)用戶與能夠與交換機(jī)的一個(gè)或多個(gè)或者全部端口進(jìn)行綁定,以保證網(wǎng)絡(luò)用戶能夠靈活���、安全地訪問網(wǎng)絡(luò)����。
【專利附圖】
【附圖說明】
[0019]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。
[0020]圖1為本發(fā)明一實(shí)施例提供的一種端口安全實(shí)現(xiàn)方法的流程圖;
[0021]圖2為本發(fā)明另一實(shí)施例提供的一種端口安全實(shí)現(xiàn)方法的流程圖�����;
[0022]圖3為本發(fā)明一實(shí)施例提供的另一種端口安全實(shí)現(xiàn)方法的流程圖����;
[0023]圖4為本發(fā)明一實(shí)施例提供的一種端口安全的實(shí)現(xiàn)裝置的組成示意圖;
[0024]圖5為本發(fā)明一實(shí)施例提供的另一種端口安全的實(shí)現(xiàn)裝置的組成示意圖�����。【具體實(shí)施方式】
[0025]下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例?��;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。
[0026]本發(fā)明一實(shí)施例提供了一種端口安全的實(shí)現(xiàn)方法,如圖1所示���,該方法包括:
[0027]101�����、在接收到網(wǎng)絡(luò)用戶的報(bào)文之前�,根據(jù)網(wǎng)絡(luò)管理者的配置�,以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)網(wǎng)絡(luò)用戶的MAC地址���,形成MAC表項(xiàng)。
[0028]其中�����,MAC表項(xiàng)的端口置為CPU的端口�。
[0029]由于此時(shí)交換機(jī)不能確定網(wǎng)絡(luò)用戶從哪一個(gè)端口接入�����,因此�,此時(shí)的網(wǎng)絡(luò)用戶的狀態(tài)為未確認(rèn)狀態(tài)��。
[0030]102、當(dāng)接收到網(wǎng)絡(luò)用戶的報(bào)文時(shí),更新MAC表項(xiàng)���,并獲取網(wǎng)絡(luò)用戶的端口和VLAN信息�����。
[0031]其中�����,更新后的MAC表項(xiàng)的端口為實(shí)際接收該網(wǎng)絡(luò)用戶報(bào)文的端口�����。獲取網(wǎng)絡(luò)用戶的端口信息用于確定該網(wǎng)絡(luò)用戶的接入端口。
[0032]103��、將獲取的網(wǎng)絡(luò)用戶的端口和VLAN信息����,與網(wǎng)絡(luò)管理者的配置進(jìn)行對(duì)比,判斷網(wǎng)絡(luò)用戶是否是合法用戶并且從合法端口接入網(wǎng)絡(luò)��。
[0033]其中�����,當(dāng)該網(wǎng)絡(luò)用戶為合法用戶時(shí)��,表示交換機(jī)允許該網(wǎng)絡(luò)用戶通過接收?qǐng)?bào)文的端口��,來訪問網(wǎng)絡(luò)。
[0034]104����、當(dāng)確定網(wǎng)絡(luò)用戶是合法用戶���,修改MAC表項(xiàng)為靜態(tài)表項(xiàng)。
[0035]其中�����,靜態(tài)表項(xiàng)是不能遷移的,此時(shí)將MAC表項(xiàng)修改為靜態(tài)表項(xiàng)�����,指的是該網(wǎng)絡(luò)用戶與接收其報(bào)文的端口綁定�����,進(jìn)而通過該端口訪問網(wǎng)絡(luò)�。
[0036]本發(fā)明實(shí)施例提供的一種端口安全的實(shí)現(xiàn)方法����,在不能確定網(wǎng)絡(luò)用戶從哪個(gè)端口接入時(shí)�,以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)網(wǎng)絡(luò)用戶的MAC地址�����,當(dāng)交換機(jī)的端口接收到網(wǎng)絡(luò)用戶的報(bào)文時(shí)����,更新存儲(chǔ)的動(dòng)態(tài)表項(xiàng)��,并根據(jù)獲取的該網(wǎng)絡(luò)用戶的端口和VLAN信息��,確定該網(wǎng)絡(luò)用戶是合法用戶并且是從合法端口接入網(wǎng)絡(luò)的�����,修改該網(wǎng)絡(luò)用戶的MAC表項(xiàng)修改為靜態(tài)表項(xiàng)?����,F(xiàn)有技術(shù)中,網(wǎng)絡(luò)用戶只能與交換機(jī)的一個(gè)端口綁定���,當(dāng)接收?qǐng)?bào)文的端口不是指定接入端口時(shí),導(dǎo)致該網(wǎng)絡(luò)用戶的報(bào)文被丟棄���,從而造成網(wǎng)絡(luò)訪問失敗的問題,而本發(fā)明實(shí)施例提供的技術(shù)方案�����,使得一個(gè)網(wǎng)絡(luò)用戶與能夠與交換機(jī)的一個(gè)或多個(gè)或者全部端口進(jìn)行綁定��,以保證網(wǎng)絡(luò)用戶能夠靈活��、安全地訪問網(wǎng)絡(luò)��。
[0037]結(jié)合上一實(shí)施例的描述���,為了更為完善地實(shí)現(xiàn)上述實(shí)施例描述的技術(shù)方案�,還需要執(zhí)行下述步驟:
[0038]首先,在根據(jù)網(wǎng)絡(luò)用戶的端口和VLAN信息��,判斷網(wǎng)絡(luò)用戶是否為合法用戶并且從合法端口接入網(wǎng)絡(luò)之前�,需要獲取到網(wǎng)絡(luò)管理者的配置。
[0039]其中的����,網(wǎng)絡(luò)管理者的配置至少包括網(wǎng)絡(luò)用戶與交換機(jī)端口的對(duì)應(yīng)關(guān)系,也就是說規(guī)定網(wǎng)絡(luò)用戶可以接入的交換機(jī)的端口���。相對(duì)于現(xiàn)有的端口安全中只允許網(wǎng)絡(luò)用戶綁定一個(gè)端口來說�,本實(shí)施例在配置時(shí)�,就使得網(wǎng)絡(luò)用戶可以從一個(gè)或多個(gè)或全部端口接入,這樣就顯著提高了網(wǎng)絡(luò)用戶接入的靈活性而又不失安全性��,提高了整個(gè)網(wǎng)絡(luò)的可用性����,降低網(wǎng)絡(luò)部署難度和維護(hù)成本。
[0040]具體的�,根據(jù)網(wǎng)絡(luò)用戶的端口和VLAN信息,判斷網(wǎng)絡(luò)用戶是否為合法用戶并且從合法端口接入網(wǎng)絡(luò)�,包括:
[0041]當(dāng)網(wǎng)絡(luò)用戶的端口和VLAN信息,與網(wǎng)絡(luò)管理者配置中與網(wǎng)絡(luò)用戶對(duì)應(yīng)的配置一致時(shí)����,確定該網(wǎng)絡(luò)用戶是合法用戶����。判斷所述網(wǎng)絡(luò)用戶是否是合法用戶的方法為�,判斷所述網(wǎng)絡(luò)用戶的MAC地址是否合法以及是否從合法端口接入網(wǎng)絡(luò)。
[0042]本發(fā)明實(shí)施例還存在另一種實(shí)現(xiàn)方式�,在這一實(shí)現(xiàn)方式中��,使得網(wǎng)絡(luò)用戶能夠靈活的接入網(wǎng)絡(luò)��,比如����,當(dāng)網(wǎng)絡(luò)用戶因?yàn)槲恢米兓枰D(zhuǎn)換接入端口的情況下,在這一情況下��,現(xiàn)有技術(shù)就不再允許網(wǎng)絡(luò)用戶接入網(wǎng)絡(luò)��,本實(shí)現(xiàn)方式使得網(wǎng)絡(luò)用戶能夠靈活的接入網(wǎng)絡(luò)���。
[0043]具體的�,在網(wǎng)絡(luò)用戶的MAC表項(xiàng)被修改為靜態(tài)表項(xiàng)后����,
[0044]交換機(jī)會(huì)按照預(yù)設(shè)周期清除靜態(tài)表項(xiàng)中的源命中標(biāo)志����,在設(shè)定時(shí)間內(nèi)��,源命中標(biāo)志沒有交換被芯片再次設(shè)置上�,將網(wǎng)絡(luò)用戶的靜態(tài)表項(xiàng)修改為動(dòng)態(tài)表項(xiàng)。
[0045]值得說明的是��,在該實(shí)現(xiàn)方式中����,由于網(wǎng)絡(luò)用戶存在下線或者關(guān)機(jī)的情況,也就是說��,該網(wǎng)絡(luò)用戶在相當(dāng)長(zhǎng)的時(shí)間內(nèi)��,不會(huì)再次通過靜態(tài)表項(xiàng)原初始化設(shè)置的CPU的端口接入網(wǎng)絡(luò)�,或者該網(wǎng)絡(luò)用戶更換到其它端口接入網(wǎng)絡(luò),為了保證網(wǎng)絡(luò)用戶能夠再次從該端口或者更換到其它端口接入網(wǎng)絡(luò)����,在本實(shí)現(xiàn)方式中,會(huì)對(duì)靜態(tài)表項(xiàng)中的源命中標(biāo)志進(jìn)行刪除�,使得網(wǎng)絡(luò)用戶重新處于未確認(rèn)狀態(tài)�����。
[0046]其中�����,源命中標(biāo)志表示網(wǎng)絡(luò)用戶通過指定端口訪問網(wǎng)絡(luò)���。
[0047]值得說明的是,本發(fā)明實(shí)施例中提及的交換機(jī)���,除包括一般的以太網(wǎng)交換機(jī)之外,還包括支持端口安全功能的路由器交換板卡�����。
[0048]本發(fā)明另一實(shí)施例提供了一種端口安全的實(shí)現(xiàn)方法���,如圖2所示����,該方法包括:
[0049]201���、交換機(jī)使能了端口安全功能的所有端口��,關(guān)掉MAC地址硬件學(xué)習(xí)功能��。
[0050]202��、交換機(jī)接收網(wǎng)絡(luò)管理者的配置��。
[0051]其中�����,該網(wǎng)絡(luò)管理者的配置可由網(wǎng)絡(luò)管理者自行配置��,在該設(shè)置中同一個(gè)網(wǎng)絡(luò)用戶可以與交換機(jī)的一個(gè)或多個(gè)或者所有端口綁定��,且該網(wǎng)絡(luò)管理者的配置中包括端口安全規(guī)則����,該端口安全規(guī)則表示網(wǎng)絡(luò)用戶的MAC地址與交換機(jī)的端口的對(duì)應(yīng)關(guān)系。
[0052]比如����,在實(shí)施例的該端口安全規(guī)則中包括MAC地址為MACl的網(wǎng)絡(luò)用戶可以通過交換機(jī)上的A、B端口來訪問網(wǎng)絡(luò)���。
[0053]值得說明的是��,本發(fā)明實(shí)施例不限定上述201����、202的執(zhí)行順序,即202也可以在201之前執(zhí)行���。
[0054]進(jìn)一步值得說明的是���,在本發(fā)明實(shí)施例中,下述步驟的描述以網(wǎng)絡(luò)用戶的MAC地址為MACl的網(wǎng)絡(luò)用戶為例進(jìn)行描述�����,下述描述中該網(wǎng)絡(luò)用戶簡(jiǎn)稱為用戶MAC1��。
[0055]203�、交換機(jī)的CPU設(shè)置用戶MACl的狀態(tài)為未確認(rèn)狀態(tài)��。
[0056]值得說明的是�����,由于在網(wǎng)絡(luò)用戶未請(qǐng)求訪問網(wǎng)絡(luò)時(shí),并不能確定該網(wǎng)絡(luò)用戶在哪個(gè)端口接入�,則此時(shí)將網(wǎng)絡(luò)用戶的狀態(tài)設(shè)置為未確認(rèn)狀態(tài)。
[0057]204����、CPU定期將用戶MACl的MAC地址以動(dòng)態(tài)表項(xiàng)的形式預(yù)寫入交換芯片。
[0058]205�、設(shè)置該動(dòng)態(tài)表項(xiàng)的端口為CPU的端口,并設(shè)置該MACl的MAC表項(xiàng)源匹配丟棄�����。[0059]值得說明的是��,此處的MAC表項(xiàng)源匹配丟棄與上述203中的未確認(rèn)狀態(tài)是對(duì)應(yīng)的���,當(dāng)用戶MACl為未確認(rèn)狀態(tài)時(shí)����,CPU設(shè)置MACl的MAC表項(xiàng)源匹配丟棄�����,且設(shè)置該MAC表項(xiàng)源匹配丟棄的用戶MACl不與交換機(jī)的任何端口匹配�,也就是此時(shí)設(shè)置的是用戶MACl不能通過交換機(jī)的任何端口訪問網(wǎng)絡(luò)����。
[0060]206�����、交換機(jī)接收到網(wǎng)絡(luò)用戶MACl發(fā)出的報(bào)文�。
[0061]值得說明的是,本發(fā)明實(shí)施例以用戶MACl的報(bào)文從A端口達(dá)到交換機(jī)為例進(jìn)行說明����。
[0062]207、交換芯片更新用戶MACl的MAC地址所在的動(dòng)態(tài)表項(xiàng)中的端口為實(shí)際的收到報(bào)文的端口���。
[0063]結(jié)合上述的206中的描述�����,由于該用戶MACl是從端口 A接入的��,則用戶MACl的MAC地址所在動(dòng)態(tài)表項(xiàng)中的端口被更新為端口 A。
[0064]值得說明的是��,由于此時(shí)的用戶MACl的動(dòng)態(tài)表項(xiàng)設(shè)有MAC表項(xiàng)源匹配丟棄��,則此時(shí)的用戶MACl不能通過交換機(jī)上的任何端口訪問網(wǎng)絡(luò)。
[0065]208�����、CPU檢測(cè)到交換芯片中網(wǎng)絡(luò)用戶MACl的MAC地址所在的動(dòng)態(tài)表項(xiàng)端口發(fā)生變化���,提取端口和VLAN信息�。
[0066]其中的��,用戶MACl的MAC地址的動(dòng)態(tài)表項(xiàng)端口發(fā)生變化���,指的是用戶MACl的端口由設(shè)置的CPU的端口變化為實(shí)際接入的端口 A����。
[0067]209���、CPU將提取的端口和VLAN信息與網(wǎng)絡(luò)管理者的配置進(jìn)行比較�。
[0068]進(jìn)一步的��,結(jié)合上述202中的描述�����,該用戶MACl被允許通過端口 A接入網(wǎng)絡(luò),則更近一步的�����,更新交換芯片中的該用戶MACl的動(dòng)態(tài)表項(xiàng)為靜態(tài)表項(xiàng)��。
[0069]值得說明的是���,靜態(tài)表項(xiàng)是不能夠遷移的�����,也就是說����,當(dāng)網(wǎng)絡(luò)用戶的MAC表項(xiàng)為靜態(tài)表項(xiàng)時(shí)����,該用戶與該靜態(tài)表項(xiàng)指示的端口綁定,不能遷移�。
[0070]在本發(fā)明實(shí)施例的另一種實(shí)現(xiàn)方式中,由于在實(shí)際應(yīng)用過程中����,網(wǎng)絡(luò)用戶存在關(guān)機(jī)、下線或者位置遷移等情況�����,在這些情況下��,這一網(wǎng)絡(luò)用戶可能長(zhǎng)期不通過之前綁定的端口訪問網(wǎng)絡(luò)����,或者更換為通過其它端口來訪問網(wǎng)絡(luò)。如果繼續(xù)采用現(xiàn)有技術(shù)���,由于現(xiàn)有端口安全只允許網(wǎng)絡(luò)用戶與一個(gè)端口綁定��,會(huì)導(dǎo)致用戶無法正常訪問網(wǎng)絡(luò)�����。
[0071]為了解決這一問題��,本發(fā)明實(shí)施例提供了下述實(shí)現(xiàn)方式���,且在這一實(shí)現(xiàn)方式中�,以網(wǎng)絡(luò)用戶轉(zhuǎn)換接入端口為例進(jìn)行描述���,如圖3所示�,在本實(shí)施例中以用戶MACl從交換機(jī)的A端口轉(zhuǎn)到B端口為例進(jìn)行說明�。
[0072]301、交換機(jī)的B端口接收到用戶MACl的報(bào)文�����。
[0073]值得說明的是��,結(jié)合上述實(shí)施例的描述此時(shí)的用戶MACl仍然是綁定的A端口�����。
[0074]302���、CPU按照預(yù)設(shè)周期清除MACl的源命中標(biāo)志����,在設(shè)定時(shí)間內(nèi)���,源命中標(biāo)志沒有被交換芯片再次設(shè)置上���,也就是說網(wǎng)絡(luò)用戶長(zhǎng)時(shí)間沒再從該端口訪問網(wǎng)絡(luò)�,修改交換芯片中的該用戶MACl的靜態(tài)表項(xiàng)為動(dòng)態(tài)表項(xiàng)�。
[0075]具體的�����,CPU定期清除MACl的源命中標(biāo)志����,也就是說,對(duì)于已經(jīng)存在靜態(tài)表項(xiàng)的網(wǎng)絡(luò)用戶�,如果該網(wǎng)絡(luò)用戶在長(zhǎng)時(shí)間內(nèi)都不會(huì)命中,則修改交換芯片中的靜態(tài)表項(xiàng)為動(dòng)態(tài)表項(xiàng)��。
[0076]值得說明的是�,在CPU清除MACl的源命中標(biāo)志,并修改交換芯片中的MAC表項(xiàng)為動(dòng)態(tài)表項(xiàng)時(shí)����,用戶MACl的端口又被置為CPU的端口,且CPU為該動(dòng)態(tài)表項(xiàng)設(shè)置源匹配丟棄�����,修改該用戶MACl的狀態(tài)為未確認(rèn)狀態(tài)。
[0077]303�����、用戶MACl的報(bào)文從B端口到達(dá)交換機(jī)�,交換芯片更新用戶MACl的MAC地址所在動(dòng)態(tài)表項(xiàng)中端口為B端口。
[0078]304��、CPU檢測(cè)到芯片中的網(wǎng)絡(luò)用戶MACl的MAC地址所在的動(dòng)態(tài)表項(xiàng)的端口發(fā)生變化�����,提取該用戶MACl的實(shí)際接入的端口和VLAN信息��。
[0079]305����、CPU將提取實(shí)際接入的端口和VLAN信息與網(wǎng)絡(luò)管理者的配置進(jìn)行比較。
[0080]結(jié)合上述實(shí)施例的描述�,此時(shí)網(wǎng)絡(luò)管理者的配置為允許該用戶MACl可以通過B端口訪問網(wǎng)絡(luò),此時(shí)比較提取網(wǎng)絡(luò)用戶MACl實(shí)際接入的端口 B和VLAN信息���,與所述網(wǎng)絡(luò)管理者配置中該網(wǎng)絡(luò)用戶MACl對(duì)應(yīng)的端口信息和VLAN信息與提取的網(wǎng)絡(luò)用戶MACl對(duì)應(yīng)的實(shí)際接入的端口和VLAN信息配置一致時(shí)��,確定所述網(wǎng)絡(luò)用戶是合法用戶����,即判斷所述網(wǎng)絡(luò)用戶MACl的MAC地址合法以及是從合法端口 B接入網(wǎng)絡(luò)。
[0081]則更近一步的�����,更新交換芯片中的該用戶MACl的MAC地址所在的動(dòng)態(tài)表項(xiàng)為靜態(tài)表項(xiàng)�,則在修改用戶MACl的的MAC地址所在的表項(xiàng)為靜態(tài)表項(xiàng)的同時(shí),清除源匹配標(biāo)志���,將用戶MACl的狀態(tài)由未確認(rèn)狀態(tài)修改為正常運(yùn)行狀態(tài),則后續(xù)的該用戶MACl可以通過B端口正常訪問網(wǎng)絡(luò),自此用戶MACl從A端口向B端口遷移成功�。
[0082]此外值得說明的是,當(dāng)上述的用戶MACl從B端口轉(zhuǎn)到C端口時(shí)���,執(zhí)行步驟與上述的該用戶MACl從A端口遷移到B端口的執(zhí)行操作相同���,但是結(jié)合上述實(shí)施例的描述該用戶MACl只能通過A端口和B端口接入網(wǎng)絡(luò),也就是說用戶MACl不能通過C端口訪問網(wǎng)絡(luò)��,則進(jìn)一步的�,用戶MACl的報(bào)文持續(xù)丟棄,用戶MACl不能遷移到C端口��。
[0083]值得說明的是,本發(fā)明實(shí)施例針對(duì)的是現(xiàn)有技術(shù)中端口安全不能進(jìn)行全局綁定而提出的技術(shù)方案��。但是現(xiàn)有技術(shù)中存在能夠?qū)崿F(xiàn)與端口安全全局綁定同等效果的技術(shù)方案�,即采用ACL (Access Control List,訪問控制列表)。
[0084]具體的��,ACL可以全局匹配網(wǎng)絡(luò)用戶的MAC地址�����、VLAN ID信息���,允許網(wǎng)絡(luò)用戶訪問網(wǎng)絡(luò)時(shí)不局限于某一個(gè)端口���,同時(shí)可以限制非法用戶對(duì)網(wǎng)絡(luò)的訪問。但是采用ACL技術(shù)必須使用交換芯片的硬件資源����。而對(duì)交換芯片而言ACL是一種緊缺資源,許多其它功能也需要使用ACL資源�,低端交換機(jī)通常有幾百條到一兩千條ACL表項(xiàng)資源,甚至一些低端交換機(jī)甚至沒有ACL資源�����。所以ACL的使用存在較大限制,不適宜普遍應(yīng)用�。相對(duì)于ACL技術(shù),本發(fā)明實(shí)施例提供的技術(shù)方案���,節(jié)約了硬件資源����,適用面廣��,本發(fā)明技術(shù)方案不再結(jié)合ACL技術(shù)進(jìn)行展開描述����。
[0085]本發(fā)明另一實(shí)施例提供了一種端口安全全局綁定的裝置���,如圖4所示�,該裝置包括:獲取單元41���、更新單元42����、判斷單元43�、修改單元44����。
[0086]獲取單元41���,用于在接收到網(wǎng)絡(luò)用戶的報(bào)文之前��,根據(jù)網(wǎng)絡(luò)管理者的配置獲取所述網(wǎng)絡(luò)用戶的MAC地址�,并以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)所述網(wǎng)絡(luò)用戶的MAC地址�,形成交換芯片的MAC表項(xiàng)。
[0087]其中���,MAC表項(xiàng)的端口置為CPU的端口���。
[0088]更新單元42,用于當(dāng)接收到網(wǎng)絡(luò)用戶的報(bào)文時(shí)����,更新通過獲取單元41形成的MAC表項(xiàng)。
[0089]值得說明的是��,更新后的MAC表項(xiàng)的端口為實(shí)際接收?qǐng)?bào)文的端口�����。
[0090]所述獲取單元41,還用于在更新單元42更新MAC表項(xiàng)后���,獲取網(wǎng)絡(luò)用戶的端口和虛擬局域網(wǎng)VLAN信息���。
[0091]判斷單元43,用于根據(jù)獲取單元41獲取的網(wǎng)絡(luò)用戶的端口和VLAN信息���,與網(wǎng)絡(luò)管理者的配置進(jìn)行對(duì)比��,判斷網(wǎng)絡(luò)用戶是否是合法用戶�����。
[0092]修改單元44�����,用于通過判斷單元43的判斷,確定網(wǎng)絡(luò)用戶是合法用戶�����,修改MAC表項(xiàng)為靜態(tài)表項(xiàng)。
[0093]可選的�,如圖5所示,該裝置還包括:接收單元45����、清除單元46。
[0094]接收單元45�,用于接收網(wǎng)絡(luò)管理者的配置。
[0095]其中��,網(wǎng)絡(luò)管理者的配置至少包括網(wǎng)絡(luò)用戶與交換機(jī)端口的對(duì)應(yīng)關(guān)系�����,且網(wǎng)絡(luò)用戶與交換機(jī)的至少一個(gè)端口存在對(duì)應(yīng)關(guān)系����。
[0096]進(jìn)一步可選的,判斷單元43����,具體用于當(dāng)網(wǎng)絡(luò)用戶的端口和VLAN信息,與接收單元45接收的網(wǎng)絡(luò)管理者配置中與該網(wǎng)絡(luò)用戶對(duì)應(yīng)的配置一致時(shí)���,確定網(wǎng)絡(luò)用戶是合法用戶����。
[0097]具體的,判斷單元43�����,用于判斷網(wǎng)絡(luò)用戶的MAC地址是否合法以及是否從合法端口接入網(wǎng)絡(luò)來確定該網(wǎng)絡(luò)用戶是否是合法用戶�����。
[0098]更進(jìn)一步的�����,只有當(dāng)該網(wǎng)絡(luò)用戶的MAC地址合法且該網(wǎng)絡(luò)用戶是從合法端口接入網(wǎng)絡(luò)時(shí)���,才確定該網(wǎng)絡(luò)用戶是合法用戶�。
[0099]清除單元46����,用于按照預(yù)設(shè)周期清除修改單元44修改的靜態(tài)表項(xiàng)的源命中標(biāo)志;
[0100]所述修改單元44����,還用于當(dāng)清除單元46清除源命中標(biāo)志后,在設(shè)定時(shí)間內(nèi)����,源命中標(biāo)志沒有被交換芯片再次設(shè)置上,修改網(wǎng)絡(luò)用戶的靜態(tài)表項(xiàng)為動(dòng)態(tài)表項(xiàng)���。
[0101]其中�,源命中標(biāo)志表示網(wǎng)絡(luò)用戶通過指定端口訪問網(wǎng)絡(luò)����。
[0102]本發(fā)明實(shí)施例提供的一種端口安全的實(shí)現(xiàn)裝置,獲取單元在不能確定網(wǎng)絡(luò)用戶從哪個(gè)端口接入時(shí)���,以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)網(wǎng)絡(luò)用戶的MAC地址���,當(dāng)交換機(jī)的端口接收到網(wǎng)絡(luò)用戶的報(bào)文時(shí),通過更新單元更新存儲(chǔ)的動(dòng)態(tài)表項(xiàng)�����,并由判斷單元根據(jù)獲取的該網(wǎng)絡(luò)用戶的端口和VLAN信息�����,確定該網(wǎng)絡(luò)用戶是合法用戶并且是從合法端口接入網(wǎng)絡(luò)的,通過修改單元修改該網(wǎng)絡(luò)用戶的MAC表項(xiàng)修改為靜態(tài)表項(xiàng)?��,F(xiàn)有技術(shù)中�,網(wǎng)絡(luò)用戶只能與交換機(jī)的一個(gè)端口綁定��,當(dāng)接收?qǐng)?bào)文的端口不是指定接入端口時(shí)���,導(dǎo)致該網(wǎng)絡(luò)用戶的報(bào)文被丟棄�����,從而造成網(wǎng)絡(luò)訪問失敗的問題�,而本發(fā)明實(shí)施例提供的技術(shù)方案�����,使得一個(gè)網(wǎng)絡(luò)用戶與能夠與交換機(jī)的一個(gè)或多個(gè)或全部端口進(jìn)行綁定����,以保證網(wǎng)絡(luò)用戶能夠靈活、安全地訪問網(wǎng)絡(luò)�。
[0103]以上所述的本發(fā)明的方法不僅僅可以適用于以太網(wǎng)交換機(jī),也適用于具有交換功能的路由器���,所以本發(fā)明實(shí)施例中所提的交換機(jī)不能作為對(duì)發(fā)明的限制��。
[0104]通過以上的實(shí)施方式的描述�����,所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件的方式來實(shí)現(xiàn)�,當(dāng)然也可以通過硬件����,但很多情況下前者是更佳的實(shí)施方式?����;谶@樣的理解���,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì)中,如計(jì)算機(jī)的軟盤���,硬盤或光盤等�����,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)���,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。
[0105]以上所述���,僅為本發(fā)明的【具體實(shí)施方式】�,但本發(fā)明的保護(hù)范圍并不局限于此����,任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此�����,本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)����。
【權(quán)利要求】
1.一種端口安全的實(shí)現(xiàn)方法,其特征在于�,包括: 在接收到網(wǎng)絡(luò)用戶的報(bào)文之前�����,根據(jù)網(wǎng)絡(luò)管理者的配置獲取所述網(wǎng)絡(luò)用戶的MAC地址�����,以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)所述網(wǎng)絡(luò)用戶的MAC地址���,形成交換芯片的MAC表項(xiàng)���,所述MAC表項(xiàng)的端口置為CPU端口 ; 當(dāng)接收到所述網(wǎng)絡(luò)用戶的報(bào)文時(shí)����,更新所述MAC表項(xiàng),并獲取所述網(wǎng)絡(luò)用戶的端口和虛擬局域網(wǎng)VLAN信息;所述更新后的MAC表項(xiàng)的端口為實(shí)際接收所述報(bào)文的端口 ���; 根據(jù)所述網(wǎng)絡(luò)用戶的端口和VLAN信息���,與網(wǎng)絡(luò)管理者的配置進(jìn)行對(duì)比,判斷所述網(wǎng)絡(luò)用戶是否是合法用戶�; 當(dāng)確定所述網(wǎng)絡(luò)用戶是合法用戶,修改所述MAC表項(xiàng)為靜態(tài)表項(xiàng)��。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述方法還包括: 接收網(wǎng)絡(luò)管理者的配置���,所述網(wǎng)絡(luò)管理者的配置至少包括所述網(wǎng)絡(luò)用戶與所述交換機(jī)端口的對(duì)應(yīng)關(guān)系�;所述網(wǎng)絡(luò)用戶與所述交換機(jī)的至少一個(gè)端口存在對(duì)應(yīng)關(guān)系���。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于,根據(jù)所述網(wǎng)絡(luò)用戶的端口和VLAN信息�,判斷所述網(wǎng)絡(luò)用戶是否是合法用戶��,包括����; 當(dāng)所述網(wǎng)絡(luò)用戶的端口和VLAN信息���,與所述網(wǎng)絡(luò)管理者配置中與所述網(wǎng)絡(luò)用戶對(duì)應(yīng)的配置一致時(shí)���,確定所述網(wǎng)絡(luò)用戶是合法用戶。
4.根據(jù)權(quán)利要求3所述的方法����,其特征在于���,在修改所述MAC表項(xiàng)為靜態(tài)表項(xiàng)之后�,所述方法還包括: 按照預(yù)設(shè)周期清除所述靜態(tài)表項(xiàng)的源命中標(biāo)志�����; 當(dāng)所述源命中標(biāo)志被清除后��,在設(shè)定時(shí)間內(nèi)�,源命中標(biāo)志沒有被交換芯片再次設(shè)置上,修改所述網(wǎng)絡(luò)用戶的靜態(tài)表項(xiàng)為動(dòng)態(tài)表項(xiàng); 所述源命中標(biāo)志表示所述網(wǎng)絡(luò)用戶通過指定端口訪問網(wǎng)絡(luò)���。
5.根據(jù)權(quán)利要求1-4任一項(xiàng)所述的方法����,其特征在于���,判斷所述網(wǎng)絡(luò)用戶是否是合法用戶的方法為�����,判斷所述網(wǎng)絡(luò)用戶的MAC地址是否合法以及是否從合法端口接入網(wǎng)絡(luò)��。
6.一種端口安全的實(shí)現(xiàn)裝置�����,其特征在于��,包括: 獲取單元�,用于在接收到網(wǎng)絡(luò)用戶的報(bào)文之前�,根據(jù)網(wǎng)絡(luò)管理者的配置獲取所述網(wǎng)絡(luò)用戶的MAC地址,并以動(dòng)態(tài)表項(xiàng)的形式存儲(chǔ)所述網(wǎng)絡(luò)用戶的MAC地址����,形成交換芯片的MAC表項(xiàng)�,所述MAC表項(xiàng)的端口置為CPU的端口 ���; 更新單元�����,用于當(dāng)接收到所述網(wǎng)絡(luò)用戶的報(bào)文時(shí)����,更新通過所述獲取單元形成的所述MAC表項(xiàng)�;所述更新后的MAC表項(xiàng)的端口為實(shí)際接收所述報(bào)文的端口 ; 所述獲取單元����,還用于在所述更新單元更新所述MAC表項(xiàng)后�����,獲取所述網(wǎng)絡(luò)用戶的端口和虛擬局域網(wǎng)VLAN信息��; 判斷單元�����,用于根據(jù)所述獲取單元獲取的所述網(wǎng)絡(luò)用戶的端口和VLAN信息,與網(wǎng)絡(luò)管理者的配置進(jìn)行對(duì)比���,判斷所述網(wǎng)絡(luò)用戶是否是合法用戶����; 修改單元����,用于通過所述判斷單元的判斷,確定所述網(wǎng)絡(luò)用戶是合法用戶����,修改所述MAC表項(xiàng)為靜態(tài)表項(xiàng)。
7.根據(jù)權(quán)利要求6所述的裝置����,其特征在于,所述裝置還包括: 接收單元��,用于接收網(wǎng)絡(luò)管理者的配置����,所述網(wǎng)絡(luò)管理者的配置至少包括所述網(wǎng)絡(luò)用戶與所述交換機(jī)端口的對(duì)應(yīng)關(guān)系����;所述網(wǎng)絡(luò)用戶與所述交換機(jī)的至少一個(gè)端口存在對(duì)應(yīng)關(guān)系O
8.根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述判斷單元����,具體用于當(dāng)所述網(wǎng)絡(luò)用戶的端口和VLAN信息,與所述網(wǎng)絡(luò)管理者配置中與所述網(wǎng)絡(luò)用戶對(duì)應(yīng)的配置一致時(shí)���,確定所述網(wǎng)絡(luò)用戶是合法用戶���。
9.根據(jù)權(quán)利要求7所述的裝置,其特征在于�����,所述判斷單元��,具體用于判斷所述網(wǎng)絡(luò)用戶的MAC地址是否合法以及是否從合法端口接入網(wǎng)絡(luò)來確定所述網(wǎng)絡(luò)用戶是否是合法用戶�����。
10.根據(jù) 權(quán)利要求6-8任一種所述的裝置���,其特征在于�����,所述裝置還包括: 清除單元�,用于按照預(yù)設(shè)周期清除所述修改單元修改的所述靜態(tài)表項(xiàng)的源命中標(biāo)志���;所述修改單元�����,還用于當(dāng)所述清除單元清除所述源命中標(biāo)志后�,在設(shè)定時(shí)間內(nèi)��,源命中標(biāo)志沒有被交換芯片再次設(shè)置上�,修改所述網(wǎng)絡(luò)用戶的靜態(tài)表項(xiàng)為動(dòng)態(tài)表項(xiàng); 所述源命中標(biāo)志表示所述網(wǎng)絡(luò)用戶通過指定端口訪問網(wǎng)絡(luò)���。
【文檔編號(hào)】H04L12/46GK103825846SQ201410073440
【公開日】2014年5月28日 申請(qǐng)日期:2014年2月28日 優(yōu)先權(quán)日:2014年2月28日
【發(fā)明者】王煥章, 李勇, 陳烈 申請(qǐng)人:邁普通信技術(shù)股份有限公司