一种防止媒体访问控制地址漂移的方法及网络处理设备技术

本发明专利技术提供了一种防止媒体访问控制地址漂移的方法及网络处理设备。其中，所述方法包括：网络接入设备在自身第一端口上接收到第一报文；所述网络接入设备根据当前存在的ACL规则，判断是否丢弃所述第一报文；在判断出不丢弃所述第一报文时，根据目的MAC地址转发所述第一报文，并判断自身的MAC地址表中是否存在与所述第一报文的第一源MAC地址和第一VLAN信息对应的第一表项；在判断出不存在所述第一表项时，根据所述第一报文在所述MAC地址表中建立对应的表项，以及建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第一ACL规则。本发明专利技术能够简便地实现防止MAC地址漂移的功能。

【技术实现步骤摘要】
一种防止媒体访问控制地址漂移的方法及网络处理设备
本专利技术涉及网络通信
，具体涉及一种防止媒体访问控制(MAC，MediaAccessControl)地址漂移的方法及网络处理设备。
技术介绍
随着网络技术的发展和普及，网络规模日益扩大，网络架构逐渐繁琐，网络配置越来越复杂。经常会出现设备位置发生变化(如通过无线网络接入的便携式设备位置经常发生移动)的情况，但有时候也会因网络故障(比如环路)，导致出现异常MAC地址漂移，影响网络数据安全和用户正常使用网络。因此必须采取措施提供安全保障，防止因MAC地址非正常漂移造成用户无法使用网络和其它安全问题。现有技术通常采用静态MAC地址表的方式来防止MAC地址漂移。其做法是在设备应用之初，针对其每个端口配置相关的MAC地址绑定规则，对于每个端口只允许来自特定MAC地址的流通过。这种方法存在以下不足：初期配置量大且可操作性差。对于每台设备的每个端口都需要配置静态MAC地址表，并且还需要清楚的知道哪些MAC地址是合法的，因此设备部署前需要获取大量信息，且配置工作量很大。
技术实现思路
本专利技术所要解决的技术问题是提供一种防止MAC地址漂移的方法及网络处理设备，用以简便地实现防止MAC地址漂移的功能。为解决上述技术问题，本专利技术提供方案如下：一种防止MAC地址漂移的方法，应用于一网络接入设备，所述网络接入设备包括有与外部设备连接的多个端口，所述方法包括：所述网络接入设备在自身第一端口上接收到第一报文，其中，所述网络接入设备的端口的属性都被预先配置为禁止学习报文的源MAC地址，所述第一报文的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息；所述网络接入设备根据当前存在的ACL规则，判断是否丢弃所述第一报文；在判断出不丢弃所述第一报文时，所述网络接入设备根据目的MAC地址转发所述第一报文，并判断自身的MAC地址表中是否存在与所述第一源MAC地址和第一VLAN信息对应的第一表项；在判断出不存在所述第一表项时，所述网络接入设备根据所述第一报文在所述MAC地址表中建立对应的表项，以及建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第一ACL规则。优选地，上述方法中，在所述MAC地址表中的表项发生老化时，所述方法还包括：所述网络接入设备针对当前存在的每一ACL规则，如果所述MAC地址表中不存在与该ACL规则所针对报文的源MAC地址和VLAN信息对应的表项，则删除该ACL规则。优选地，上述方法中，所述网络接入设备进一步在所述MAC地址表中针对第一端口配置静态MAC地址的表项，以允许第一端口上接收到的源MAC地址为所述静态MAC地址的报文得以通过。优选地，上述方法中，在判断出不存在所述第一表项时，所述网络接入设备进一步判断所述MAC地址表中对应于所述第一端口的表项是否已达到预设的第一上限值：若是，则上报第一端口对应的表项已达到所述第一上限值的告警，并结束本流程；否则，进入所述根据所述第一报文在所述MAC地址表中建立对应的表项，以及建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的ACL规则的步骤。优选地，上述方法中，所述建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第一ACL规则，包括：判断当前存在的ACL规则中是否存在针对源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第二ACL规则：在存在所述第二ACL规则时，将所述第二ACL规则中的端口更新为所述第一端口；在不存在所述第二ACL规则时，建立所述第一ACL规则。优选地，上述方法中，在不存在所述第二ACL规则时，进一步判断当前存在的对应于所述第一端口的ACL规则是否已达到预设的第二上限值：若达到，则上报第一端口对应的ACL规则已达到所述第二上限值的告警，并结束本流程；否则，建立包括有所述第一端口、第一MAC地址、第一VLAN信息的第一ACL规则，所述第一ACL规则用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文。本专利技术还提供了一种网络接入设备，包括有与外部设备连接的多个端口，所述网络接入设备还包括：接收单元，用于在所述网络接入设备的第一端口上接收到第一报文，其中，所述网络接入设备的端口的属性都被预先配置为禁止学习报文的源MAC地址，所述第一报文的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息；ACL单元，用于根据所述网络接入设备中当前存在的ACL规则，判断是否丢弃所述第一报文；交换处理单元，用于在所述ACL单元判断出不丢弃所述第一报文时，根据目的MAC地址转发所述第一报文，并判断自身的MAC地址表中是否存在与所述第一源MAC地址和第一VLAN信息对应的第一表项；CPU处理单元，用于在所述交换处理单元判断出不存在所述第一表项时，根据所述第一报文在所述MAC地址表中建立对应的表项，以及建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第一ACL规则。优选地，上述网络接入设备中，还包括：所述ACL单元，还用于在所述MAC地址表中的表项发生老化时，针对当前存在的每一ACL规则，如果所述MAC地址表中不存在与该ACL规则所针对报文的源MAC地址和VLAN信息对应的表项，则删除该ACL规则。优选地，上述网络接入设备中，还包括：配置单元，用于预先将所述网络接入设备的端口的属性都配置根据目的MAC地址转发报文并禁止学习报文的源MAC地址，以及将接收到的新报文同时发送给所述CPU处理单元，所述新报文是源MAC地址和VLAN信息在所述MAC地址表中不存在对应表项的报文。优选地，上述网络接入设备中，所述配置单元，还用于在所述MAC地址表中针对第一端口配置静态MAC地址的表项，以允许第一端口上接收到的源MAC地址为所述静态MAC地址的报文得以通过。优选地，上述网络接入设备中，所述CPU处理单元包括：第一判断单元，用于判断所述MAC地址表中对应于所述第一端口的表项是否已达到预设的第一上限值：第一处理单元，用于在所述MAC地址表中对应于所述第一端口的表项已达到预设的第一上限值时，上报第一端口对应的表项已达到所述第一上限值的告警；第二处理单元，用于在所述MAC地址表中对应于所述第一端口的表项未达到预设的第一上限值时，根据所述第一报文在所述MAC地址表中建立对应的表项，以及建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的ACL规则。优选地，上述网络接入设备中，所述第二处理单元包括：第二判断单元，用于判断当前存在的ACL规则中是否存在针对源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第二ACL规则；第三处理单元，用于在存在所述第二ACL规则时，将所述第二ACL规则的端口更新为所述第一端口；第四处理单元，用于在不存在所述第二ACL规则时，建立包括有所述第一端口、第一M本文档来自技高网...

【技术保护点】
一种防止MAC地址漂移的方法，应用于一网络接入设备，所述网络接入设备包括有与外部设备连接的多个端口，其特征在于，所述方法包括：所述网络接入设备在自身第一端口上接收到第一报文，其中，所述网络接入设备的端口的属性都被预先配置为禁止学习报文的源MAC地址，所述第一报文的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息；所述网络接入设备根据当前存在的ACL规则，判断是否丢弃所述第一报文；在判断出不丢弃所述第一报文时，所述网络接入设备根据目的MAC地址转发所述第一报文，并判断自身的MAC地址表中是否存在与所述第一源MAC地址和第一VLAN信息对应的第一表项；在判断出不存在所述第一表项时，所述网络接入设备根据所述第一报文在所述MAC地址表中建立对应的表项，以及建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第一ACL规则。

【技术特征摘要】
1.一种防止MAC地址漂移的方法，应用于一网络接入设备，所述网络接入设备包括有与外部设备连接的多个端口，其特征在于，所述方法包括：所述网络接入设备在自身第一端口上接收到第一报文，其中，所述网络接入设备的端口的属性都被预先配置为禁止学习报文的源MAC地址，所述第一报文的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息；所述网络接入设备根据当前存在的ACL规则，判断是否丢弃所述第一报文；在判断出不丢弃所述第一报文时，所述网络接入设备根据目的MAC地址转发所述第一报文，并判断自身的MAC地址表中是否存在与所述第一MAC地址和第一VLAN信息对应的第一表项；在判断出不存在所述第一表项时，所述网络接入设备根据所述第一报文在所述MAC地址表中建立对应的表项，以及建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第一ACL规则。2.如权利要求1所述的方法，其特征在于，在所述MAC地址表中的表项发生老化时，所述方法还包括：所述网络接入设备针对当前存在的每一ACL规则，如果所述MAC地址表中不存在与该ACL规则所针对报文的源MAC地址和VLAN信息对应的表项，则删除该ACL规则。3.如权利要求1所述的方法，其特征在于，所述网络接入设备进一步在所述MAC地址表中针对第一端口配置静态MAC地址的表项，以允许第一端口上接收到的源MAC地址为所述静态MAC地址的报文得以通过。4.如权利要求1所述的方法，其特征在于，在判断出不存在所述第一表项时，所述网络接入设备进一步判断所述MAC地址表中对应于所述第一端口的表项是否已达到预设的第一上限值：若是，则上报第一端口对应的表项已达到所述第一上限值的告警，并结束本流程；否则，进入所述根据所述第一报文在所述MAC地址表中建立对应的表项，以及建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的ACL规则的步骤。5.如权利要求1所述的方法，其特征在于，所述建立一用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第一ACL规则，包括：判断当前存在的ACL规则中是否存在针对源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文的第二ACL规则：在存在所述第二ACL规则时，将所述第二ACL规则中的端口更新为所述第一端口；在不存在所述第二ACL规则时，建立所述第一ACL规则。6.如权利要求5所述的方法，其特征在于，在不存在所述第二ACL规则时，进一步判断当前存在的对应于所述第一端口的ACL规则是否已达到预设的第二上限值：若达到，则上报第一端口对应的ACL规则已达到所述第二上限值的告警，并结束本流程；否则，建立包括有所述第一端口、第一MAC地址、第一VLAN信息的第一ACL规则，所述第一ACL规则用以指示丢弃在所述第一端口外的其它端口上接收到的源MAC地址为第一MAC地址、VLAN信息为第一VLAN信息的报文。7.一种网络接入设备，包括有与外部设备连接的多个端口，其特征在于，所述网络接入设备还包括：接收单元，用于在所述网络接入设备的第一端口上接收到第一报文，其中，所述网络接入设备的端口的属性都被预先配置为禁止学习报文的源MAC地址，所述第一报文的源MAC地址为第一MAC地址、VLAN信息...

【专利技术属性】
技术研发人员：吴军，陈强，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：