The invention provides a port migration control method and device under the port security mechanism. The method includes: when the terminal is detected from the first port to the second port, the message sent from the terminal received from the second port is discarded; when the end end is on the first port down line, the terminal is cancelled. The hardware discarding of the message sent by the terminal from the second port. The application of the embodiment of the invention can realize port migration under the port security mechanism.
【技术实现步骤摘要】
端口安全机制下的端口迁移控制方法及装置
本专利技术涉及网络通信
,尤其涉及端口安全机制下的端口迁移控制方法及装置。
技术介绍
端口安全是一种基于MAC(MediaAccessControl,媒体访问控制)地址对网络接入进行控制的安全机制,其通过检测端口收到的数据帧中的源MAC地址来控制非授权设备或主机对网络的访问。端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。然而实践发现,在现有端口安全机制下,当某安全用户发生端口迁移,如用户终端1从交换设备的端口1迁移至端口2时,交换设备在端口1学习到的用户终端1的MAC表项会由于从端口2接收到的用户终端1的报文而一直处于刷新状态,导致用户终端1无法在端口1下线,进而,用户终端1无法在端口2上线。
技术实现思路
本专利技术提供一种端口安全机制下的端口迁移控制方法及装置,以解决现有端口安全机制下无法实现端口迁移的问题。根据本专利技术实施例的第一方面,提供一种端口安全机制下的端口迁移控制方法,包括:当检测到终端从第一端口迁移至第二端口时,对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃;当所述终端在所述第一端口下线时,取消对从所述第二端口接收到的所述终端发送的报文的硬件丢弃。根据本专利技术实施例的第二方面,提供一种端口安全机制下的端口迁移控制装置,包括:检测单元,用于检测终端的端口迁移;接收单元,用于接收终端发送的报文;控制单元,用 ...
【技术保护点】
1.一种端口安全机制下的端口迁移控制方法,其特征在于,包括:当检测到终端从第一端口迁移至第二端口时,对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃;当所述终端在所述第一端口下线时,取消对从所述第二端口接收到的所述终端发送的报文的硬件丢弃。
【技术特征摘要】
1.一种端口安全机制下的端口迁移控制方法,其特征在于,包括:当检测到终端从第一端口迁移至第二端口时,对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃;当所述终端在所述第一端口下线时,取消对从所述第二端口接收到的所述终端发送的报文的硬件丢弃。2.根据权利要求1所述的方法,其特征在于,所述检测到终端从第一端口迁移至第二端口,包括:当从第二端口接收到所述终端发送的报文时,根据该报文的源MAC地址和虚拟局域网VLAN标识进行MAC表项查询;若存在匹配的第一目标MAC表项,且所述第一目标MAC表项中的端口标识为所述第一端口的端口标识,则确定所述终端从所述第一端口迁移至所述第二端口。3.根据权利要求1所述的方法,其特征在于,所述对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃,包括:生成目标访问控制列表ACL表项,所述目标ACL表项的匹配项为所述终端的MAC地址、VLAN标识以及所述第二端口的端口标识,动作项为对与所述匹配项匹配的报文进行硬件丢弃;对与所述目标ACL匹配的报文进行硬件丢弃;所述取消对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃,包括:删除所述目标ACL表项。4.根据权利要求1所述的方法,其特征在于,所述取消对从所述第二端口接收到的所述终端发送的报文的硬件丢弃之后,还包括:当从所述第二端口接收到所述终端发送的报文,且未查询到匹配的MAC表项时,进行MAC地址学习,以生成第二目标MAC表项;其中,所述第二目标MAC表项的MAC地址和VLAN标识为所述终端的MAC地址和VLAN标识,端口标识为所述第二端口的端口标识。5.根据权利要求4所述的方法,其特征在于,所述第二目标MAC表项还包括刷新标识,当所述刷新标识的值为第一标识值时,表明所述第二目标MAC表项为未刷新状态,当所述刷新标识的值为第二标识值时,表明所述第二目标MAC表项为刷新状态;所述进行MAC地址学习之后,还包括:启动对应所述第二目标MAC表项的老化定时器;当所述老化定时器超时时,若所述第二目标MAC表项的刷新标识为第一标识值,则删除所述第二目标MAC表项;若所述第二目标MAC表项的刷新标识为第二标...
【专利技术属性】
技术研发人员:闫丰,梁学伟,肖冰,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。