MAC地址获取方法及系统、网络安全设备及可读存储介质技术方案

本发明专利技术实施例公开了一种MAC地址获取方法及系统、网络安全设备及可读存储介质，用于解决网络安全设备难以及时获取到主机的物理地址的问题。本发明专利技术实施例方法包括：网络安全设备通过三层网络交换设备获取目标虚拟局域网VLAN的广播包，目标VLAN为三层网络交换设备对应的VLAN；网络安全设备对广播包进行解析得到解析结果；网络安全设备从解析结果中获取目标设备的物理地址MAC地址。

MAC address acquisition method and system, network security device and readable storage medium

The embodiment of the invention discloses a MAC address acquisition method and a system, a network security device and a readable storage medium for solving the problem that the network security device is difficult to obtain the physical address of the host in time. The embodiment method of the invention includes: the network security device obtains the broadcast packet of the target virtual local area network VLAN through the three-layer network switching device, the target VLAN is the VLAN corresponding to the three-layer network switching device, the network security device parses the broadcast packet to obtain the parsing result, and the network security device obtains the target device from the parsing result. The physical address MAC address.

【技术实现步骤摘要】
MAC地址获取方法及系统、网络安全设备及可读存储介质
本专利技术涉及通信领域，具体涉及MAC地址获取方法及系统、网络安全设备及可读存储介质。
技术介绍
虚拟局域网VLAN可以跨越多个终端构成一个广播域，可以将网络划分为多个VLAN，一个VLAN对应一个广播域，相同VLAN下的主机可以进行二层数据交换，不同VLAN下的主机需要通过三层网络交换设备(如三层交换机、路由器等)进行三层数据交换，其中，二层和三层分别指在OSI开放式系统互联模型中的第二层和第三层。MAC地址(即物理地址)，用来定义网络设备的位置，每一个主机均有一个MAC地址，其对应于OSI参考模型的第二层数据链路层，只有二层设备和三层网络交换设备才能获取到主机的MAC地址。网络安全设备在取到MAC地址后，可以有很多应用，比如可以使用MAC地址标识一个用户，用于免认证上网，既能做到实名制，也可以提高用户体验；当用短信认证时，还能节省短信费用；再比如做账号和MAC地址绑定，因为MAC地址可以标识一个终端，所以可以达到双因素校验的效果，使得一个账号只能在特定的几个终端上登录，从而提高账号认证的安全性。但是，由于网络安全设备一般部署在三层以上，因此无法直接获取到主机的MAC地址。为了解决上述问题，现有技术中，三层交换机可以利用获取到的广播包进行物理地址的学习机制维护地址映射表ARP表，在ARP表中包含IP地址和MAC地址的对应关系。网络安全设备每隔一段时长通过使用SNMP协议主动获取三层交换机上的地址映射表ARP表，以获取主机的物理地址。当三层交换机下接的用户较多时，可能会出现在短时间内有大量的物理地址变化产生，三层交换机进行物理地址的学习时间较长；同时，ARP表中会记载大量的地址对应关系，网络安全设备每次均需要耗费大量时长来通过SNMP协议获取ARP表，这两方面的原因导致网络安全设备难以及时获取到主机的物理地址，制约了网络安全设备对主机的MAC地址的应用。
技术实现思路
本专利技术提供一种MAC地址获取方法及系统、网络安全设备及可读存储介质，用于解决网络安全设备难以及时获取到主机的物理地址的问题。本专利技术实施例的一方面提供了一种MAC地址获取方法，包括：网络安全设备通过三层网络交换设备获取目标虚拟局域网VLAN的广播包，所述目标VLAN为所述三层网络交换设备对应的VLAN；所述网络安全设备对所述广播包进行解析得到解析结果；所述网络安全设备从所述解析结果中获取目标设备的物理地址MAC地址。可选的，所述目标设备为所述目标VLAN的客户端。可选的，所述网络安全设备对所述广播包进行解析得到解析结果之后，所述方法还包括：所述网络安全设备从所述解析结果中获取所述目标设备的互联网协议IP地址；所述网络安全设备利用所述目标设备的MAC地址和IP地址对预存的地址表进行更新，所述预存的地址表用于记录所述目标VLAN中客户端的MAC地址和IP地址的对应关系。可选的，所述目标设备为所述目标VLAN的服务器。可选的，若所述广播包为简单网络管理协议DHCP提供包和DHCP确认包中的任意一种，在所述网络安全设备从所述解析结果中获取目标设备的MAC地址之后，所述方法还包括：所述网络安全设备判断所述目标设备的MAC地址是否为合法的DHCP服务器的MAC地址；若否，则所述网络安全设备判定所述目标设备的MAC地址对应于私接的DHCP服务器。可选的，在网络安全设备通过三层网络交换设备获取目标VLAN的广播包之前，所述方法还包括：所述网络安全设备构造地址解析协议ARP请求包，以请求目标VLAN的网关的IP地址或者所述目标VLAN外的设备的IP地址；向所述目标VLAN广播所述ARP请求包；若所述广播包为所述ARP请求包对应的ARP回包，在所述网络安全设备从所述解析结果中获取目标设备的MAC地址之后，所述方法还包括：所述网络设备判断所述目标设备的MAC地址是否为合法网关的MAC地址；若否，则所述网络安全设备判定所述目标设备的MAC地址对应于非法网关。本专利技术实施例的第二方面提供了一种网络安全设备，包括：广播包获取模块，用于通过三层网络交换设备获取目标虚拟局域网VLAN的广播包，所述目标VLAN为所述三层网络交换设备对应的VLAN；解析模块，用于对所述广播包进行解析得到解析结果；地址获取模块，用于从所述解析结果中获取目标设备的MAC地址。可选的，网络安全设备还包括：IP地址获取模块，用于在解析模块对广播包进行解析得到解析结果之后，从解析结果中获取目标设备的IP地址；更新模块，用于利用目标设备的MAC地址和IP地址对预存的地址表进行更新，预存的地址表用于记录目标VLAN中客户端的MAC地址和IP地址的对应关系。可选的，网络安全设备还包括：第一判断模块，用于在MAC地址获取模块从解析结果中获取目标设备的MAC地址之后，判断目标设备的MAC地址是否为合法的DHCP服务器的MAC地址，若否，则触发第一判定模块，若是，则执行其它操作；第一判定模块，用于判定目标设备的MAC地址对应于私接的DHCP服务器。可选的，网络安全设备还包括：构造模块，用于构造地址解析协议ARP请求包，以请求目标VLAN的网关的IP地址或者目标VLAN外的设备的IP地址；广播模块，用于向目标VLAN广播ARP请求包；第二判断模块，用于当广播包获取模块获取到的广播包为构造模块构造的ARP请求包对应的ARP回包时，在MAC地址获取模块从解析结果中获取目标设备的MAC地址之后，判断目标设备的MAC地址是否为合法网关的MAC地址，若否，则触发第二判定模块，若是，则执行其它操作；第二判定模块，用于当第二判断模块判定目标设备的MAC地址不是合法网关的MAC地址时，判定目标设备的MAC地址对应于非法网关。本专利技术实施例的第三方面提供了一种网络安全设备，包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现第一方面提供的任意一种方法的步骤。本专利技术实施例的第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面提供的任意一种方法的步骤。本专利技术实施例的第五方面提供了一种MAC地址获取系统，包括三层网络交换设备和第二方面提供的任意一种网络安全设备；所述三层网络交换设备用于获取目标VLAN的广播包；所述网络安全设备与所述三层网络交换设备进行数据连接，用于通过所述三层网络交换设备获取所述广播包。可选的，所述网络安全设备与所述三层网络交换设备之间通过Trunk口进行直连。可选的，所述MAC地址获取系统包括多个三层网络交换设备；所述MAC地址获取系统还包括多个广播包代理设备，所述广播包代理设备与所述三层网络交换设备直连，用于获取所述三层网络交换设备接收到的广播包，并将所述广播包通过路由转发至所述网络安全设备。从以上技术方案可以看出，本专利技术实施例具有以下优点：本专利技术实施例中，网络安全设备可以通过三层网络交换设备获取目标虚拟局域网VLAN的广播包，目标VLAN为三层网络交换设备对应的VLAN，之后可以根据广播包的协议类型对广播包进行解析得到解析结果，广播包为二层数据，通常携带有主机的MAC地址，因此从解析结果中可以获取目标设备(主机)的MAC地址，和现有技术相比，无需经过三层交换机的物理地址学习过程和使用SNMP协议对ARP本文档来自技高网...

【技术保护点】
1.一种MAC地址获取方法，其特征在于，包括：网络安全设备通过三层网络交换设备获取目标虚拟局域网VLAN的广播包，所述目标VLAN为所述三层网络交换设备对应的VLAN；所述网络安全设备对所述广播包进行解析得到解析结果；所述网络安全设备从所述解析结果中获取目标设备的物理地址MAC地址。

【技术特征摘要】
1.一种MAC地址获取方法，其特征在于，包括：网络安全设备通过三层网络交换设备获取目标虚拟局域网VLAN的广播包，所述目标VLAN为所述三层网络交换设备对应的VLAN；所述网络安全设备对所述广播包进行解析得到解析结果；所述网络安全设备从所述解析结果中获取目标设备的物理地址MAC地址。2.根据权利要求1所述的MAC地址获取方法，其特征在于，所述目标设备为所述目标VLAN的客户端。3.根据权利要求2所述的MAC地址获取方法，其特征在于，所述网络安全设备对所述广播包进行解析得到解析结果之后，所述方法还包括：所述网络安全设备从所述解析结果中获取所述目标设备的互联网协议IP地址；所述网络安全设备利用所述目标设备的MAC地址和IP地址对预存的地址表进行更新，所述预存的地址表用于记录所述目标VLAN中客户端的MAC地址和IP地址的对应关系。4.根据权利要求1所述的MAC地址获取方法，其特征在于，所述目标设备为所述目标VLAN的服务器。5.根据权利要求4所述的MAC地址获取方法，其特征在于，若所述广播包为简单网络管理协议DHCP提供包和DHCP确认包中的任意一种，在所述网络安全设备从所述解析结果中获取目标设备的MAC地址之后，所述方法还包括：所述网络安全设备判断所述目标设备的MAC地址是否为合法的DHCP服务器的MAC地址；若否，则所述网络安全设备判定所述目标设备的MAC地址对应于私接的DHCP服务器。6.根据权利要求4所述的MAC地址获取方法，其特征在于，在网络安全设备通过三层网络交换设备获取目标VLAN的广播包之前，所述方法还包括：所述网络安全设备构造地址解析协议ARP请求包，以请求目标VLAN的网关的IP地址或者所述目标VLAN外的设备的IP地址；向所述目标VLAN广...

【专利技术属性】
技术研发人员：袁义金，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44