端口安全机制下的端口迁移控制方法及装置制造方法及图纸

本发明专利技术提供一种端口安全机制下的端口迁移控制方法及装置，该方法包括：当检测到终端从第一端口迁移至第二端口时，对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃；当所述终端在所述第一端口下线时，取消对从所述第二端口接收到的所述终端发送的报文的硬件丢弃。应用本发明专利技术实施例可以实现端口安全机制下的端口迁移。

Port migration control method and device under port security mechanism

The invention provides a port migration control method and device under the port security mechanism. The method includes: when the terminal is detected from the first port to the second port, the message sent from the terminal received from the second port is discarded; when the end end is on the first port down line, the terminal is cancelled. The hardware discarding of the message sent by the terminal from the second port. The application of the embodiment of the invention can realize port migration under the port security mechanism.

【技术实现步骤摘要】
端口安全机制下的端口迁移控制方法及装置
本专利技术涉及网络通信
，尤其涉及端口安全机制下的端口迁移控制方法及装置。
技术介绍
端口安全是一种基于MAC(MediaAccessControl，媒体访问控制)地址对网络接入进行控制的安全机制，其通过检测端口收到的数据帧中的源MAC地址来控制非授权设备或主机对网络的访问。端口安全的主要功能是通过定义各种端口安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。启动了端口安全功能之后，当发现非法报文时，系统将触发相应特性，并按照预先指定的方式进行处理，既方便用户的管理又提高了系统的安全性。然而实践发现，在现有端口安全机制下，当某安全用户发生端口迁移，如用户终端1从交换设备的端口1迁移至端口2时，交换设备在端口1学习到的用户终端1的MAC表项会由于从端口2接收到的用户终端1的报文而一直处于刷新状态，导致用户终端1无法在端口1下线，进而，用户终端1无法在端口2上线。
技术实现思路
本专利技术提供一种端口安全机制下的端口迁移控制方法及装置，以解决现有端口安全机制下无法实现端口迁移的问题。根据本专利技术实施例的第一方面，提供一种端口安全机制下的端口迁移控制方法，包括：当检测到终端从第一端口迁移至第二端口时，对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃；当所述终端在所述第一端口下线时，取消对从所述第二端口接收到的所述终端发送的报文的硬件丢弃。根据本专利技术实施例的第二方面，提供一种端口安全机制下的端口迁移控制装置，包括：检测单元，用于检测终端的端口迁移；接收单元，用于接收终端发送的报文；控制单元，用于当所述检测单元检测到终端从第一端口迁移至第二端口时，对所述接收单元从所述第二端口接收到的所述终端发送的报文进行硬件丢弃；所述控制单元，还用于当所述终端在所述第一端口下线时，取消对所述接收单元从所述第二端口接收到的所述终端发送的报文的硬件丢弃。应用本专利技术实施例，当检测到终端从第一端口迁移至第二端口时，对从第二端口接收到的终端发送的报文进行硬件丢弃；当终端在第一端口下线时，取消对从第二端口接收到的终端发送的报文的硬件丢弃，实现了端口安全机制下的端口迁移。附图说明图1是本专利技术实施例提供的一种端口安全机制下的端口迁移控制方法的流程示意图；图2是本专利技术实施例提供的一种具体应用场景的架构示意图；图3是图2所示的应用场景下的一种端口安全机制下的端口迁移控制方法的流程示意图；图4是本专利技术实施例提供的一种端口安全机制下的端口迁移控制的结构示意图；图5是本专利技术实施例提供的另一种端口安全机制下的端口迁移控制的结构示意图；图6是本专利技术实施例提供的另一种端口安全机制下的端口迁移控制的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术实施例中技术方案作进一步详细的说明。请参见图1，为本专利技术实施例提供的一种端口安全机制下的端口迁移控制方法的流程示意图，其中，该端口安全机制下的端口迁移控制方法可以应用于交换设备，如图1所示，该端口安全机制下的端口迁移控制方法可以包括以下步骤：步骤101、当检测到终端从第一端口迁移至第二端口时，对从第二端口接收到的该终端发送的报文进行硬件丢弃。本专利技术实施例中，第一端口和第二端口并不特指某两个固定的端口，而是可以指代交换设备上任意两个用户侧端口，本专利技术实施例后续不再复述。本专利技术实施例中，当交换设备检测到终端从第一端口迁移至第二端口时，为了避免交换设备在第一端口学习到的该终端的MAC表项由于从第二端口接收到的该终端发送的报文而一直处于刷新状态，进而导致终端无法在第一端口下线，在终端在第一端口下线之前，交换设备需要拒绝根据从第二端口接收到的该终端发送的报文而刷新在第一端口学习到的终端的MAC表项。相应地，在本专利技术实施例中，当交换设备检测到终端从第一端口迁移至第二端口时，交换设备可以对从第二端口接收到的该终端发送的报文进行硬件丢弃。在本专利技术其中一个实施例中，上述检测到终端从第一端口迁移至第二端口，包括：当从第二端口接收到终端发送的报文时，根据该报文的源MAC地址和VLAN标识进行MAC表项查询；若存在匹配的第一目标MAC表项，且第一目标MAC表项中的端口标识为第一端口的端口标识，则确定该终端从第一端口迁移至第二端口。在该实施例中，当交换设备从第二端口接收到终端发送的报文时，根据该报文的源MAC地址和VLAN(VirtualLocalAreaNetwork，虚拟局域网)标识查询本地的MAC表项，以确定是否存在匹配的MAC表项。其中，该匹配的MAC表项包括的MAC地址为该终端的MAC地址，VLAN标识为该终端的VLAN标识。若交换设备查询到匹配的MAC表项，则交换设备可以进一步获取该MAC表项中的端口标识；若该MAC表项(本文中可以称为第一目标MAC表项)中端口标识为第一端口的端口标识，则交换设备可以确定该终端从第一端口迁移至第二端口。需要说明的是，当交换设备查询到的匹配的MAC表项中端口标识为第二端口的端口标识，或交换设备未查询到匹配的MAC表项时，其可以按照现有端口安全机制中的相关实现进行处理，其具体实现在此不做赘述。步骤120、当该终端在第一端口下线时，取消对从第二端口接收到的该终端发送的报文的硬件丢弃。本专利技术实施例中，由于交换设备对从第二端口接收到的该终端发送的报文进行硬件丢弃，因此，交换设备在第一端口上学习到的该终端的MAC表项(即上述第一目标MAC表项)将会一直处于未刷新状态，当到达预设老化时间时，交换设备可以删除该第一目标MAC表项，进而该终端可以在第一端口成功下线。本专利技术实施例中，为了保证终端在第一端口下线之后，能够在第二端口上线，交换设备需要在终端在第一端口下线之后，允许根据从第二端口接收到的该终端发送的报文进行MAC地址学习。相应地，当终端在第一端口下线时，交换设备需要取消从第二端口接收到的该终端发送的报文的硬件丢弃，从而，交换设备从第二端口接收到该终端发送的报文时，可以在未查询到匹配的MAC表项时，进行MAC地址学习，以生成第二目标MAC表项；其中，该第二目标MAC表项的MAC地址和VLAN标识为终端的MAC地址和VLAN标识，端口标识为第二端口的端口标识。可见，在图1所示的方法流程中，通过在检测到终端从第一端口迁移到第二端口时，对从第二端口接收到的该终端发送的报文进行硬件丢弃，避免交换设备根据从第二端口接收到的该终端发送的报文对在第一端口学习到的该终端的MAC表项进行刷新，从而保证了发生端口迁移时，终端能够在原端口正常下线；此外，当终端在第一端口下线时，取消从第二端口接收到的该终端发送的报文的硬件丢弃，从而保证了该终端能够在第二端口正常上线，进而，实现了端口安全机制下的端口迁移。在本专利技术其中一个实施例中，上述对从第二端口接收到的该终端发送的报文进行硬件丢弃，可以包括：生成目标ACL表项，该目标ACL表项的匹配项为该终端的MAC地址、VLAN标识以及第二端口的端口标识，动作项为对与匹配项匹配的报文进行硬件丢弃；对与该目标ACL匹配的报文进行硬件丢弃；相应地，上述取消对从第二端口接收到的该终端发送的报文进行硬件丢弃，包括：删除目标ACL本文档来自技高网...

【技术保护点】
1.一种端口安全机制下的端口迁移控制方法，其特征在于，包括：当检测到终端从第一端口迁移至第二端口时，对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃；当所述终端在所述第一端口下线时，取消对从所述第二端口接收到的所述终端发送的报文的硬件丢弃。

【技术特征摘要】
1.一种端口安全机制下的端口迁移控制方法，其特征在于，包括：当检测到终端从第一端口迁移至第二端口时，对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃；当所述终端在所述第一端口下线时，取消对从所述第二端口接收到的所述终端发送的报文的硬件丢弃。2.根据权利要求1所述的方法，其特征在于，所述检测到终端从第一端口迁移至第二端口，包括：当从第二端口接收到所述终端发送的报文时，根据该报文的源MAC地址和虚拟局域网VLAN标识进行MAC表项查询；若存在匹配的第一目标MAC表项，且所述第一目标MAC表项中的端口标识为所述第一端口的端口标识，则确定所述终端从所述第一端口迁移至所述第二端口。3.根据权利要求1所述的方法，其特征在于，所述对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃，包括：生成目标访问控制列表ACL表项，所述目标ACL表项的匹配项为所述终端的MAC地址、VLAN标识以及所述第二端口的端口标识，动作项为对与所述匹配项匹配的报文进行硬件丢弃；对与所述目标ACL匹配的报文进行硬件丢弃；所述取消对从所述第二端口接收到的所述终端发送的报文进行硬件丢弃，包括：删除所述目标ACL表项。4.根据权利要求1所述的方法，其特征在于，所述取消对从所述第二端口接收到的所述终端发送的报文的硬件丢弃之后，还包括：当从所述第二端口接收到所述终端发送的报文，且未查询到匹配的MAC表项时，进行MAC地址学习，以生成第二目标MAC表项；其中，所述第二目标MAC表项的MAC地址和VLAN标识为所述终端的MAC地址和VLAN标识，端口标识为所述第二端口的端口标识。5.根据权利要求4所述的方法，其特征在于，所述第二目标MAC表项还包括刷新标识，当所述刷新标识的值为第一标识值时，表明所述第二目标MAC表项为未刷新状态，当所述刷新标识的值为第二标识值时，表明所述第二目标MAC表项为刷新状态；所述进行MAC地址学习之后，还包括：启动对应所述第二目标MAC表项的老化定时器；当所述老化定时器超时时，若所述第二目标MAC表项的刷新标识为第一标识值，则删除所述第二目标MAC表项；若所述第二目标MAC表项的刷新标识为第二标...

【专利技术属性】
技术研发人员：闫丰，梁学伟，肖冰，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33