本申请提供了堆叠中的MAC地址学习控制方法和设备。本发明专利技术中,通过生成ACL表项,能够控制CB依据ACL表项决定是否依据数据报文进行MAC地址学习,如此,当集中式PEX上的端口配置禁止MAC地址学习相关功能时,通过ACL表项能够使该配置生效,这能进一步提高堆叠在网络大量MAC攻击情况下的安全性能和转发性能,也可进一步完善了堆叠在端口安全方面的功能。
【技术实现步骤摘要】
堆叠中的MAC地址学习控制方法和设备
本申请涉及网络通信技术,特别涉及堆叠(IRF:IntelligentResilientFramework3)中的MAC地址学习控制方法和设备。
技术介绍
IRF,简称堆叠,其核心思想是将多台设备连接在一起,进行必要的配置后,虚拟化成一台联合设备,该虚拟化成的联合设备就称为一个堆叠,而联合设备中的设备则称为成员设备。IRF包含IRF2和IRF3。其中IRF2用于在网络中同层级的设备之间进行整合,减少网络单个层级中的节点数量,增强单个节点的性能和可靠性。IRF3在IRF2的基础上,增加了对不同层级间设备整合的支持,能够简化网络层级结构,提供更为集中的管理方式和更高的扩展性能。概括而言,IRF3主要包括控制设备(CB:ControllingBridge)和端口扩展设备(PEX:PortExtenderDevice),图1示出了IRF3的结构。在IRF3中,PEX为集中式PEX。集中式PEX的MAC地址学习是代理学习,从集中式PEX进入的报文转发方式为代理转发。具体为:集中式PEX对收到的所有数据报文,包括单播、广播、组播等,带上16byte长度的内部报文头(Higig头),重定向至CB。CB接收到集中式PEX重定向的数据报文后,忽略掉数据报文携带的Higig头,在本地正常查表转发该数据报文,并检查本地MAC表项中是否存在数据报文的源MAC地址匹配的MAC表项,如果是,更新匹配的MAC表项,如果否,依据数据报文的源MAC地址学习匹配的MAC表项。在实际应用中,为了保证IRF3的设备安全,防止非法用户对IRF3攻击,或者避免IRF3的MAC表项数量庞大,当MAC表项达到一定数量时,有时会需要关闭IRF3的MAC地址学习功能,具体是:针对IRF3中集中式PEX上的一个或者多个用户侧端口配置禁止MAC地址学习相关功能,如此,当集中式PEX通过配置了禁止MAC地址学习相关功能的用户侧接口收到数据报文时,集中式PEX在该数据报文上添加Higig头,该Higig头带上了MAC地址不学习的标识(DO_NOT_LEARN),并将添加了Higig头的数据报文重定向至CB。但是,如上所述,当CB接收到集中式PEX重定向的数据报文后,会忽略掉数据报文携带的Higig头,在本地正常查表转发该数据报文,并检查本地MAC表项中不存在数据报文的源MAC地址匹配的MAC表项时,依据数据报文的源MAC地址学习匹配的MAC表项,这使得集中式PEX上的端口禁止MAC地址学习相关功能的配置不生效,做不到防止非法用户对IRF3的攻击,或者避免IRF3的MAC表项数量庞大的目的。在IRF2中,也存在类似IRF3中MAC地址代理的情况。这样,当业务板上的端口设置禁止MAC地址学习时,如果该业务板的MAC地址学习功能已经被其它业务板代理(简称代理业务板),就会出现类似IRF3中的问题:业务板上的端口设置的禁止MAC地址学习无效。
技术实现思路
本申请提供了堆叠中的MAC地址学习控制方法和设备,以实现端口的禁止MAC地址学习相关功能的配置生效。本申请提供的技术方案包括:一种堆叠中的MAC地址学习控制方法,其特征在于,该方法应用于堆叠中的控制设备CB,包括:在本地生成用于禁止MAC地址学习的访问控制列表ACL表项,所述ACL表项的匹配条件为:与集中式端口扩展设备PEX上配置了MAC地址学习限制的用户侧端口相关联的匹配标识信息,所述ACL表项的动作为:禁止MAC地址学习;接收集中式端口扩展设备PEX重定向至本CB的数据报文;检测所述数据报文是否携带了所述匹配标识信息,如果是,禁止依据所述数据报文进行MAC地址学习,如果未查找到,依据所述数据报文进行MAC地址学习。一种堆叠中的MAC地址学习控制设备,该设备应用于IRF3中的控制设备CB,包括:ACL表项单元,用于在本地生成用于禁止MAC地址学习的访问控制列表ACL表项,所述ACL表项的匹配条件为:与集中式端口扩展设备PEX上配置了MAC地址学习限制的用户侧端口相关联的匹配标识信息,所述ACL表项的动作为:禁止MAC地址学习;接收单元,用于接收所述集中式PEX重定向至本CB的数据报文;控制单元,用于检测所述数据报文是否携带了所述匹配标识信息,如果是,禁止依据所述数据报文进行MAC地址学习,如果未查找到,依据所述数据报文进行MAC地址学习。由以上技术方案可以看出,本专利技术中,通过生成ACL表项,能够控制CB依据ACL表项决定是否依据数据报文进行MAC地址学习,如此,当PEX上的端口配置禁止MAC地址学习相关功能时,通过ACL表项能够使该配置生效,这能进一步提高堆叠在网络大量MAC攻击情况下的安全性能和转发性能,也可进一步完善了堆叠在端口安全方面的功能。附图说明图1为现有IRF3结构图;图2为本专利技术提供的方法流程图;图3为本专利技术提供的第一实施例流程图;图4为本专利技术提供的内部报文头格式图;图5为本专利技术提供的另一内部报文头格式图;图6为本专利技术提供的第二实施例流程图;图7为本专利技术提供的设备结构图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本专利技术进行详细描述。参见图2,图2为本专利技术提供的方法流程图。该方法应用于堆叠比如IRF3中的CB,包括以下步骤:步骤201,在本地生成用于禁止MAC地址学习的访问控制列表ACL表项,所述ACL表项的匹配条件为:与集中式端口扩展设备PEX上配置了MAC地址学习限制的用户侧端口相关联的匹配标识信息,所述ACL表项的动作为:禁止MAC地址学习。步骤202,接收集中式PEX重定向至本CB的数据报文;步骤203,检测所述数据报文是否携带了所述匹配标识信息,如果是,禁止依据所述数据报文进行MAC地址学习,如果未查找到,依据所述数据报文进行MAC地址学习。至此,完成图2所示流程。下面以IRF3为例通过两个实施例对图2所示流程进行分析:第一实施例:参见图3,图3为本专利技术第一实施例提供的方法流程图。该流程应用于IRF3中的CB,包括:步骤301,通过与集中式PEX联动,在本地生成与所述集中式PEX上配置了MAC地址学习限制的用户侧端口对应的ACL表项,所述ACL表项的匹配条件为所述用户侧端口的端口标识,所述ACL表项的动作为禁止MAC地址学习。本步骤301生成的ACL表项是上述步骤201中ACL表项的一个优选实施例。在本专利技术中,当集中式PEX上的一个或者多个用户侧端口配置了MAC地址学习限制时,与该集中式PEX连接的CB通过与该集中式PEX联动,能够探测到该集中式PEX上配置了MAC地址学习限制的用户侧端口,如此,就基于探测到的配置了MAC地址学习限制的用户侧端口在本地生成对应的ACL表项。其中,生成的ACL表项的匹配条件为所述用户侧端口的端口标识,动作为禁止MAC地址学习。这里,ACL表项可以是一条或多条规则的集合。以图1所示的PEX1为例,假如PEX1的两个用户侧端口(记为端口11和端口12)配置了MAC地址学习限制,则作为本专利技术的一个实施例,执行到本步骤201时,生成的ACL表项中的匹配条件就为端口11或者端口12,动作为禁止MAC地址学习。即表示该生成的ACL表项为两条规则的集合。当然,作为本专利技术的另一个实施例,执行本文档来自技高网...
【技术保护点】
一种堆叠中的MAC地址学习控制方法,其特征在于,该方法应用于堆叠中的控制设备CB,包括:在本地生成用于禁止MAC地址学习的访问控制列表ACL表项,所述ACL表项的匹配条件为:与集中式端口扩展设备PEX上配置了MAC地址学习限制的用户侧端口相关联的匹配标识信息,所述ACL表项的动作为:禁止MAC地址学习;接收集中式PEX重定向至本CB的数据报文;检测所述数据报文是否携带了所述匹配标识信息,如果是,禁止依据所述数据报文进行MAC地址学习,如果未查找到,依据所述数据报文进行MAC地址学习。
【技术特征摘要】
1.一种堆叠中的MAC地址学习控制方法,其特征在于,该方法应用于堆叠中的控制设备CB,包括:在本地生成用于禁止MAC地址学习的访问控制列表ACL表项,所述ACL表项的匹配条件为:与集中式端口扩展设备PEX上配置了MAC地址学习限制的用户侧端口相关联的匹配标识信息,所述ACL表项的动作为:禁止MAC地址学习;接收集中式PEX重定向至本CB的数据报文;检测所述数据报文是否携带了所述匹配标识信息,如果是,禁止依据所述数据报文进行MAC地址学习,如果未查找到,依据所述数据报文进行MAC地址学习。2.根据权利要求1所述的方法,其特征在于,所述与集中式PEX上配置了MAC地址学习限制的用户侧端口相关联的的匹配标识信息为:所述集中式PEX上配置了MAC地址学习限制的用户侧端口的端口标识;所述检测数据报文是否携带了匹配标识信息包括:从所述数据报文的内部报文头中解析出所述内部报文头携带的源端口标识,在本地ACL表项中查找匹配条件为所述源端口标识的ACL表项,如果查找到,则确定所述数据报文携带了所述匹配标识信息,如果未查找到,则确定所述数据报文未携带所述匹配标识信息。3.根据权利要求2所述的方法,其特征在于,所述内部报文头为:数据处理标示符PPD格式为PPD0格式的内部报文头,或者,PPD1的内部报文头,或者,PPD2的内部报文头。4.根据权利要求1所述的方法,其特征在于,所述与集中式PEX上配置了MAC地址学习限制的用户侧端口相关联的匹配标识信息为:数据报文的内部报文头中MAC地址不学习标识字段置为第一设定值;所述检测数据报文是否携带了匹配标识信息包括:识别所述数据报文的内部报文头中的MAC地址不学习标识字段是否为所述第一设定值,如果是,则确定所述数据报文携带了所述匹配标识信息,如果否,则确定所述数据报文未携带所述匹配标识信息。5.根据权利要求4所述的方法,其特征在于,所述数据报文的内部报文头为:数据处理标示符PPD格式为PPD2格式的内部报文头。6.一种堆叠中的MAC地址学习控制...
【专利技术属性】
技术研发人员:詹恬峰,薛聪,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。