CN101800741B - 一种防止非法媒体访问控制地址迁移的装置及方法 - Google Patents
一种防止非法媒体访问控制地址迁移的装置及方法 Download PDFInfo
- Publication number
- CN101800741B CN101800741B CN201010102815.2A CN201010102815A CN101800741B CN 101800741 B CN101800741 B CN 101800741B CN 201010102815 A CN201010102815 A CN 201010102815A CN 101800741 B CN101800741 B CN 101800741B
- Authority
- CN
- China
- Prior art keywords
- mac address
- permanence
- address entry
- entry
- migration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种防止非法MAC地址迁移的装置及方法,当新学习到的MAC地址条目在MAC表中已存在,若新的MAC地址条目与原MAC地址条目信息不一致,且当原MAC地址条目为永久化的MAC地址条目时,则不更新原MAC地址条目,并进行非法MAC地址迁移的报警和信息统计,并执行相应的处理策略。采用本发明所述的装置及方法,能够降低维护的成本,提高管理的灵活性,还可以使接入设备的MAC地址的正确学习得到保证,提高了系统运行的可靠性。
Description
技术领域
本发明涉及网络设备接入技术,特别是涉及一种防止非法媒体访问控制(MAC,MediaAccess Control)地址迁移的装置及方法。
背景技术
在网络设备接入技术中,接入设备如交换机,在收到数据包后,会对接收数据包的源MAC地址进行学习,并将学习到的MAC地址作为目的MAC地址转发的依据,学习到的MAC地址都具有相同的属性和等级。在MAC地址学习过程中,当先后有两个具有相同源MAC地址的数据包从不同的端口收到时,交换机会用新学习到的MAC地址对应的端口信息替换旧的端口信息,这个处理称为MAC地址迁移。
通常,导致MAC地址迁移的原因有多种,主要原因包括:接入网络中存在环路,或者调整接入设备的接入端口,或者是由于病毒等原因造成的MAC地址攻击,而最常见的原因是MAC地址攻击。
MAC地址攻击的方式是利用接入设备如交换机,对MAC地址学习的需求,将接入交换机的MAC地址表被学习到的MAC地址条目填满,并使交换机学习到错误的MAC地址对应的端口。这样,如果不对正确的MAC地址进行保护和监控,就会使MAC地址攻击有机可乘,对数据的安全转发和网络带宽等都会产生严重的影响,因此,必须对接入设备学习到的MAC地址表进行管理。
现有技术中,接入设备是无法对MAC地址表中的MAC地址所对应端口信息的合法性作出鉴定的,只能依靠人工的判断和处理。一般情况下,接入设备可以通过手动配置MAC地址条目来绑定合法用户MAC地址的端口,禁止该MAC地址的老化和迁移,来保护合法的MAC地址信息,但是这种方法工作量大、成本高,且缺乏灵活性,无法从根本上限制MAC地址攻击。
发明内容
有鉴于此,本发明的主要目的在于提供一种防止非法MAC地址迁移的装置及方法,能在不增加新设备的情况下,降低设计成本并提高设计的灵活性,以防止非法MAC地址迁移。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种防止非法MAC地址迁移的装置,该装置位于接入设备中,与接入设备中的MAC转发芯片相连,包括:MAC永久化相关配置模块、MAC永久化判断处理模块、报警/信息统计模块,以及报警处理模块;其中,
MAC永久化相关配置模块包括以下几个配置:
自动存盘配置,用于配置永久化MAC地址的自动存盘使能,以及自动存盘的周期,使永久化MAC地址条目保存在MAC管理模块中;
端口/单条MAC永久化配置,用于配置端口的永久化使能/去使能,以及单条永久化MAC地址条目的删除功能;
报警统计/处理策略配置,用于配置发生非法MAC地址迁移时的报警和统计功能、非法MAC地址迁移计数阈值以及发生非法MAC地址迁移时相应的处理策略;
MAC永久化判断处理模块,位于接入设备的控制平面的MAC管理模块中,用于根据上述配置信息判断新学习到的MAC地址条目是否属于非法MAC地址迁移,并做相应处理;
报警/信息统计模块,用于当发生非法MAC地址迁移时,产生相应的报警,并且对非法MAC地址迁移信息进行统计;
报警处理模块,用于当发生非法MAC地址迁移报警时,根据所配置的报警统计/处理策略,对非法MAC地址迁移做相应的处理。
上述方案中,所述报警统计/处理策略配置发生非法MAC地址迁移时的报警和统计功能为:当发生非法MAC地址迁移时,进行报警并填写非法MAC地址迁移统计表。
上述方案中,所述非法MAC地址迁移统计表中包括:全局计数、时间、原端口、迁移端口、MAC信息以及迁移计数。
上述方案中,所述报警统计/处理策略配置发生非法MAC地址迁移时相应的处理策略为:当接入网络存在环路时,采用启动环网保护策略;当接入网络设备改换了接入端口时,采用手动删除MAC地址表中对应的永久化MAC策略;当接入网络存在MAC地址攻击时,采用数据包丢弃、关闭端口、限速或是下发端口过滤策略。
上述方案中,所述MAC永久化判断处理模块判断新学习到的MAC地址条目是否属于非法MAC地址迁移并做相应处理,具体为:
对新学习到的MAC地址条目,如果在MAC地址表中不存在,则判断新的MAC地址条目对应端口是否开启永久化功能,如果该端口开启了永久化功能,则将新的MAC地址条目转化为永久化条目存入MAC地址表;
如果在MAC地址表中已存在,则判断原MAC地址条目是否为永久化MAC地址条目,当原MAC地址条目是永久化MAC地址条目时,则确认新的MAC地址条目属于非法MAC地址迁移,不对原MAC地址条目进行更新,同时向MAC转发芯片下发删除新的MAC地址条目命令,并根据报警统计/处理策略,通知报警/信息统计模块进行非法MAC地址迁移的报警和信息统计,并当迁移计数信息达到MAC地址迁移计数阈值时,通知报警处理模块对非法MAC地址迁移进行处理;当原MAC地址条目不是永久化MAC地址条目时,若新的MAC地址条目对应端口已开启永久化功能,则将新的MAC地址条目转化为永久化MAC地址条目,若新的MAC地址条目对应端口未开启永久化功能,则进行正常的MAC地址迁移处理。
上述方案中,所述MAC永久化判断处理模块,还用于根据端口/单条MAC地址永久化配置信息,当端口永久化功能开启时,对所有学习到的该端口下的MAC地址条目进行永久化处理;当接入设备的接入端口做了调整时,关闭端口永久化功能,并删除该端口下所有永久化的MAC地址条目。
上述方案中,所述MAC永久化判断处理模块,还用于根据自动存盘配置,将永久化的MAC地址条目保存在硬件中。
本发明还提供了一种防止非法MAC地址迁移的方法,该方法包括:
当新学习到的MAC地址条目在MAC地址表中已存在时,若新学习到的MAC地址条目与原MAC地址条目信息不一致,且当原MAC地址条目为永久化的MAC地址条目时,则不更新原MAC地址条目,并删除新学习到的MAC地址条目,进行非法MAC地址迁移的报警和信息统计,并执行相应的处理策略以防止非法MAC地址迁移。
上述方案中,该方法还包括:若新学习到的MAC地址条目与原MAC地址条目信息一致,则读取下一条学习到的MAC地址条目。
上述方案中,当新学习到的MAC地址条目与原MAC地址条目信息不一致时,该方法还包括:若原MAC地址条目不可以更新,则删除新学习到的MAC地址条目,并读取下一条学习到的MAC地址条目。
上述方案中,当新学习到的MAC地址条目与原MAC地址条目信息不一致时,该方法包括:当原MAC地址条目可以更新,但不是永久化的MAC地址条目时,若新学习到的MAC地址条目对应端口未开启永久化功能,则进行正常的MAC地址迁移处理;若新学习到的MAC地址条目对应端口已经开启永久化的功能,则将新学习到的MAC地址条目转化为永久化的MAC地址条目,并存入数据库,并用新学习到的MAC地址条目替换原MAC地址条目下发到MAC转发芯片中。
上述方案中,该方法还包括:当新学习到的MAC地址条目在MAC地址表中不存在时,判断MAC地址条目中的信息进行检查是否通过,如果检查通过,则判断该学习到的MAC地址条目对应端口是否开启了永久化功能,若开启永久化功能,则将该MAC地址条目转化为永久化条目,并下发到MAC转发芯片;若没有开启永久化功能,则将该MAC地址条目以普通MAC地址条目形式下发到MAC转发芯片;如果检查不通过,则删除该MAC地址条目并读取下一条学习到的MAC地址条目。
本发明所提供的防止非法MAC地址迁移的装置和方法,当新学习到的MAC地址条目在MAC地址表中已存在时,若新的MAC地址条目与原MAC地址条目信息不一致,且当原MAC地址条目为永久化的MAC地址条目时,则不更新原MAC地址条目,并删除新学习到的MAC地址条目,进行非法MAC地址迁移的报警和信息统计,并执行相应的处理策略以防止非法MAC地址迁移。
采用本发明所述的装置及方法,在不需要增加新设备的情况下,可以降低设备维护的成本,提高管理的灵活性;另外,还可以使接入设备的MAC地址的正确学习得到保证,通过MAC地址的迁移端口信息就可以查找到MAC地址攻击的来源,提高了系统运行的可靠性。
附图说明
图1为本发明防止非法MAC地址迁移的装置组成示意图;
图2为本发明非法MAC地址迁移统计表的组成框图;
图3为本发明防止非法MAC地址迁移的方法流程示意图。
具体实施方式
本发明的基本思想是:当新学习到的MAC地址条目在MAC地址表中已存在时,若该MAC地址条目与原MAC地址条目信息不一致,且当原MAC地址条目为永久化条目时,则不更新原MAC地址条目,并删除新学习到的MAC地址条目,以及进行非法MAC地址迁移的报警和信息统计,并执行相应的处理策略以防止非法MAC地址迁移。
下面结合具体实施例对实现本发明的方法及装置做以详细描述。
本发明提供的一种防止非法MAC地址迁移的装置,如图1所示,该装置位于接入设备如交换机中,与接入设备中的MAC转发芯片相连,包括:MAC永久化相关配置模块、MAC永久化判断处理模块、报警/信息统计模块,以及报警处理模块;其中,
MAC永久化相关配置模块包括以下几个配置:
自动存盘配置,用于配置永久化MAC地址的自动存盘使能,以及自动存盘的周期;这里,由于永久化的MAC地址条目依然保持着学习到的MAC地址条目的灵活性,但是需要将它与手动配置的MAC地址永久化条目区分处理,所以需要进行自动存盘配置,使永久化的MAC地址条目定期的保存在硬件中,以便在端口或接入设备重启时被恢复,并且便于用户的查询,方便永久化的MAC地址条目的存盘管理。
端口/单条MAC永久化配置,用于配置端口的永久化使能/去使能,以及单条永久化MAC地址条目的删除功能;
这里,配置端口的永久化功能,是为了防止MAC地址表信息因MAC地址攻击而用错误的信息替换正确的信息;配置MAC地址学习最大值,可以防止MAC地址表因MAC地址攻击而学满,其中,配置MAC地址学习最大值为现有技术,在此不做详细描述;将端口的永久化功能和端口的MAC地址学习最大值配置结合起来使用,可以更有效地应对由于MAC地址攻击而导致的非法MAC地址迁移。
端口永久化功能默认情况下是关闭的,当某端口的永久化功能开启时,不仅要将已学习到的MAC地址条目转换为永久化的MAC地址条目,而且还要对后续学习到的MAC地址条目进行转换,即:承认所有学习到的、而不是手动配置的,该端口下的MAC地址条目的合法性;但也不排除会出现学习到错误的MAC地址条目的情况,因此,还需要配置单条永久化MAC地址条目的删除功能。
当接入设备的接入端口做了调整时,这些永久化的MAC地址条目将会变为错误的地址信息占据在该端口下,所以需要关闭该端口永久化功能,并及时删除掉这些已经是错误的永久化的MAC地址条目;而对于该端口下普通的MAC地址条目,MAC管理模块可以通过正常的MAC地址迁移和老化的方式进行处理,因此不需要对普通MAC地址条目进行删除。
报警统计/处理策略配置,用于配置发生非法MAC地址迁移时的报警和统计功能、非法MAC地址迁移计数阈值以及发生非法MAC地址迁移时相应的处理策略;
这里,所述配置发生非法MAC地址迁移时的报警和统计功能,具体为:当发生非法MAC地址迁移时,进行报警并填写非法MAC地址迁移统计表;其中,非法MAC地址迁移统计表中包括以下统计信息,如图2所示,包括以下项目:全局计数、时间、原端口、迁移端口、MAC信息以及迁移计数;其中,
全局计数,用于记录在一定的时间范围内各个端口上的非法MAC地址迁移次数;
时间:用于记录每次发生非法MAC地址迁移的时间点,以标记(tick)为单位;
原端口:用于记录原MAC信息中对应的端口,该原端口是开启了MAC地址永久化功能的端口,原端口信息也作为迁移计数的索引信息;
迁移端口:用于记录新学到的MAC地址信息中对应的端口;对于同一个原端口,所有对应的迁移端口组成一个迁移端口域,迁移端口域可以用来帮助确定产生非法MAC地址迁移的原因和来源;
MAC信息:用于记录发生了非法MAC地址迁移的MAC地址信息,即:MAC地址表的索引信息,通常包括MAC地址和虚拟局域网(VLAN)地址;
迁移计数:是基于原端口信息进行的计数,用于记录在一定的时间范围内对应原端口上发生的非法MAC地址迁移次数;该计数值和配置的对应端口非法MAC地址迁移计数阈值进行比较,决定是否触发配置的处理策略。
所述配置非法MAC地址迁移计数阈值,可以根据具体情况而设定,可以是一个或多个;
所述配置发生非法MAC地址迁移时相应的处理策略,可以根据非法MAC地址迁移统计表中的信息和非法MAC地址迁移计数阈值,通过找出导致MAC非法迁移的原因而配置不同的处理策略。
一般,导致MAC非法迁移的主要原因有:接入网络存在环路、接入设备改换了接入端口和接入网络存在MAC地址攻击三种情况;具体为:
第一种情况,当接入网络存在环路,非法迁移的频度较高,迁移端口域内通常只有一个端口,但MAC地址信息会有不同。当确认接入网络存在环路时,可以采用启动环网保护策略;
第二种情况,当单个接入设备改换了接入端口,迁移端口域内只有一个端口,且MAC地址信息也是单个设备的MAC地址信息,即使有多个接入设备改换了接入端口,MAC地址信息也是相对固定的。当确认接入网络设备改换了接入端口时,可以采用手动删除MAC地址表中对应的永久化MAC地址策略;
第三种情况,当接入网络存在MAC地址攻击,会导致端口的MAC地址条目数迅速达到最大数上限;当接入网络中病毒泛滥时,可能会表现出非法MAC地址迁移频度很高,迁移端口域中的端口数非常多的特点。当确认接入网络存在MAC地址攻击时,可以采用数据包丢弃、限速或是下发端口过滤条目等策略。
MAC永久化判断处理模块,位于接入设备的控制平面的MAC管理模块中,用于对MAC地址条目的永久化进行判断,并做相应处理;具体为:
对新学习到的MAC地址条目,包括MAC地址和端口信息,如果在MAC地址表中不存在,则判断新的MAC地址条目对应端口是否开启永久化功能,如果该端口开启了永久化功能,则将新的MAC地址条目转化为永久化条目存入MAC地址表;
如果在MAC地址表中已存在,则判断原MAC地址条目是否为永久化MAC地址条目,当原MAC地址条目是永久化MAC地址条目,则确认新的MAC地址条目属于非法MAC地址迁移,不对原MAC地址条目进行更新,同时向MAC转发芯片下发删除新的MAC地址条目命令,以及根据报警统计/处理策略配置信息,通知报警/信息统计模块进行非法MAC地址迁移的报警和信息统计,并当迁移计数信息达到MAC地址迁移计数阈值时,通知报警处理模块对非法MAC地址迁移进行处理;当原MAC地址条目不是永久化MAC地址条目时,若新的MAC地址条目对应端口已开启永久化功能,则将新的MAC地址条目转化为永久化MAC地址条目,若新的MAC地址条目对应端口未开启永久化功能,则进行正常的MAC地址迁移处理。
报警/信息统计模块,用于当发生非法MAC地址迁移时,根据所配置的报警统计/处理策略产生相应的报警,并且对非法MAC地址迁移统计表中的信息进行统计;
报警处理模块,用于当发生非法MAC地址迁移报警时,根据所配置的报警统计/处理策略,对非法MAC地址迁移做相应的处理,如启动环网保护策略、手动删除MAC地址表中对应的永久化MAC地址策略、数据包丢弃、限速或是下发端口过滤条目等策略。
所述MAC永久化判断处理模块,还用于根据端口/单条MAC地址永久化配置信息,当端口永久化功能开启时,对所有学习到的该端口下的MAC地址条目进行永久化处理;当接入设备的接入端口做了调整时,关闭端口永久化功能,并删除该端口下所有永久化的MAC地址条目。
所述MAC永久化判断处理模块,还用于根据自动存盘配置,将永久化MAC地址条目保存在硬件中。
本发明所提供的一种防止非法MAC地址迁移的方法,如图3所示,包括以下步骤:
步骤301:读取一条新学习到的MAC地址条目,并判断该MAC地址条目是否已存在;如果不存在,则执行步骤302;若已存在,则执行步骤307;
本步骤中,交换机在收到数据包后,会将学习到的源MAC地址放入MAC地址表,作为以后目的MAC地址转发的依据。这些学习到的MAC地址条目,包括MAC地址和端口信息,会被放入一个队列中通过MAC转发芯片上报给控制平面的MAC管理模块;MAC管理模块从MAC转发芯片上报的队列中依次获取到一条学习到的MAC地址条目后,根据MAC地址判断该MAC地址条目是否已存在,如果该条目不存在,则执行步骤302;若已经存在,则执行步骤307。
步骤302:对该MAC地址条目中的信息进行检查,并判断检查是否通过,如检查通过,则执行步骤303;如检查不通过,则执行步骤306;
本步骤中,对MAC地址条目中的信息,如MAC地址和端口信息做检查,包括:MAC地址是否为单播地址,是否为本交换机地址,以及MAC地址条目数是否已到达端口的MAC地址学习最大值等内容。如果MAC地址不是单播地址,或者MAC地址为本交换机地址,或者MAC地址条目数以达到端口的MAC地址学习最大值时,认为检查不通过,则执行步骤306;否则,认为检查通过,则执行步骤303。
步骤303:判断该MAC地址条目对应端口是否开启了永久化功能,若开启永久化功能,则执行步骤304;否则执行步骤305;
本步骤中,根据学到的MAC地址条目中的端口信息检查该端口是否已开启了永久化的功能,若已经开启,则执行步骤304;若没有开启,则执行步骤305。一般情况下,接入设备运行过程中,待数据通讯端口接入的网络稳定,即可启动该端口的永久化功能,将该端口学习到的MAC地址条目永久化。
步骤304:将该MAC地址条目转化为永久化条目,并下发到MAC转发芯片,返回步骤301,读取下一条新学习到的MAC地址条目;
本步骤中,将该MAC地址条目转化为永久化条目存入MAC地址表,同时存入数据库以免数据丢失,并下发到MAC转发芯片中。
步骤305:将该MAC地址条目以普通MAC地址条目形式下发到MAC转发芯片,返回步骤301,读取下一条新学习到的MAC地址条目;
步骤306:删除该MAC地址条目,并返回步骤301;
本步骤中,如果检查不通过,则直接向MAC转发芯片下发删除该MAC地址条目的命令,并返回步骤301,从上报队列中读取下一条新学习到的MAC地址条目进行处理。
步骤307:比较新学习到的MAC地址与原MAC地址是否完全一致,若完全一致,则返回步骤301;若不一致,则执行步骤308;
步骤308:判断MAC地址条目是否可以更新,若不能更新,则执行步骤306;否则,执行步骤309;
本步骤中,判断MAC地址条目是否可以更新的内容,包括:学习到的MAC地址条目是否能更新原先配置的MAC地址条目,以及是否已达到端口的MAC地址学习最大值等;若学习到的MAC地址条目不能更新原先配置的MAC地址信息,或者已达到端口的MAC地址学习最大值,则认为MAC地址条目不能更新,执行步骤306;否则,执行步骤309。
步骤309:判断原MAC地址条目是否为永久化MAC地址条目,若是,则执行步骤310;若否,则执行步骤311;
步骤310:不更新原MAC地址条目,删除新学习到的MAC地址条目,进行非法MAC地址迁移报警和信息统计并做相应处理;返回步骤301,读取下一条新学习到的MAC地址条目;
本步骤中,若原MAC地址条目是永久化的MAC地址条目,则新学习到的MAC地址条目就属于非法MAC地址迁移,不能更新原MAC地址信息,向MAC转发芯片下发删除新学习到的MAC地址条目命令,并进行非法MAC地址迁移的报警和信息统计,并根据所配置的发生非法MAC地址迁移时相应的处理策略,做出相应的处理。
步骤311:进行正常的MAC地址迁移处理,或者将新学习到的MAC地址条目转化为永久化的MAC地址条目并替换原MAC地址条目下发到MAC转发芯片;返回步骤301,读取下一条新学习到的MAC地址条目;。
本步骤中,若原MAC地址条目不是永久化的MAC地址条目,且新学习到的MAC地址条目对应端口也没有开启永久化功能,则进行正常的MAC地址迁移处理;若原MAC地址条目不是永久化的MAC地址条目,且新学习到的MAC地址条目对应端口已经开启永久化的功能,则将新学习到的MAC地址条目地址转化为永久化的MAC地址条目,并存入数据库以免数据丢失,并用新学习到的MAC地址条目替换原MAC地址条目下发到MAC转发芯片中。
采用本发明所述的装置及方法,可以有效的防止非法MAC地址迁移,因为非法MAC地址迁移的主要原因是MAC地址攻击,且当发生MAC地址攻击时,由于攻击所连接的接入设备的端口是固定的,因此只要获取到攻击的端口信息,也就是MAC地址的迁移端口信息,就可以找到攻击的来源,进而有效阻止MAC地址攻击。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种防止非法MAC地址迁移的装置,其特征在于,该装置位于接入设备中,与接入设备中的MAC转发芯片相连,包括:MAC永久化相关配置模块、MAC永久化判断处理模块、报警/信息统计模块,以及报警处理模块;其中,MAC永久化相关配置模块包括以下几个配置:
自动存盘配置,用于配置永久化MAC地址的自动存盘使能,以及自动存盘的周期,使永久化MAC地址条目定期的保存在MAC管理模块中,且永久化MAC地址条目与手动配置的MAC地址永久化条目相区分处理;
端口/单条MAC永久化配置,用于配置端口的永久化使能/去使能,以及单条永久化MAC地址条目的删除功能;
报警统计/处理策略配置,用于配置发生非法MAC地址迁移时的报警和统计功能、非法MAC地址迁移计数阈值以及发生非法MAC地址迁移时相应的处理策略;
MAC永久化判断处理模块,位于接入设备的控制平面的MAC管理模块中,用于根据上述配置信息判断新学习到的MAC地址条目是否属于非法MAC地址迁移,并做相应处理;
报警/信息统计模块,用于当发生非法MAC地址迁移时,产生相应的报警,并且对非法MAC地址迁移信息进行统计;
报警处理模块,用于当发生非法MAC地址迁移报警时,根据所配置的报警统计/处理策略,对非法MAC地址迁移做相应的处理;
其中,所述MAC永久化判断处理模块判断新学习到的MAC地址条目是否属于非法MAC地址迁移并做相应处理,具体为:
对新学习到的MAC地址条目,如果在MAC地址表中不存在,则判断新的MAC地址条目对应端口是否开启永久化功能,如果该端口开启了永久化功能,则将新的MAC地址条目转化为永久化条目存入MAC地址表;
如果在MAC地址表中已存在,则判断原MAC地址条目是否为永久化MAC地址条目,当原MAC地址条目是永久化MAC地址条目时,则确认新的MAC地址条目属于非法MAC地址迁移,不对原MAC地址条目进行更新,同时向MAC转发芯片下发删除新的MAC地址条目命令,并根据报警统计/处理策略,通知报警/信息统计模块进行非法MAC地址迁移的报警和信息统计,并当迁移计数信息达到MAC地址迁移计数阈值时,通知报警处理模块对非法MAC地址迁移进行处理;当原MAC地址条目不是永久化MAC地址条目时,若新的MAC地址条目对应端口已开启永久化功能,则将新的MAC地址条目转化为永久化MAC地址条目,若新的MAC地址条目对应端口未开启永久化功能,则进行正常的MAC地址迁移处理。
2.根据权利要求1所述的装置,其特征在于,所述报警统计/处理策略配置发生非法MAC地址迁移时的报警和统计功能为:当发生非法MAC地址迁移时,进行报警并填写非法MAC地址迁移统计表。
3.根据权利要求2所述的装置,其特征在于,所述非法MAC地址迁移统计表中包括:全局计数、时间、原端口、迁移端口、MAC信息以及迁移计数。
4.根据权利要求1所述的装置,其特征在于,所述报警统计/处理策略配置的发生非法MAC地址迁移时相应的处理策略为:
当接入网络存在环路时,采用启动环网保护策略;当接入网络设备改换了接入端口时,采用手动删除MAC地址表中对应的永久化MAC策略;当接入网络存在MAC地址攻击时,采用数据包丢弃、关闭端口、限速或是下发端口过滤策略。
5.根据权利要求4所述的装置,其特征在于,所述MAC永久化判断处理模块,还用于根据端口/单条MAC地址永久化配置信息,当端口永久化功能开启时,对所有学习到的该端口下的MAC地址条目进行永久化处理;当接入设备的接入端口做了调整时,关闭端口永久化功能,并删除该端口下所有永久化的MAC地址条目。
6.根据权利要求5所述的装置,其特征在于,所述MAC永久化判断处理模块,还用于根据自动存盘配置,将永久化的MAC地址条目保存在硬件中。
7.一种防止非法MAC地址迁移的方法,其特征在于,该方法包括:
配置永久化MAC地址的自动存盘使能,以及自动存盘的周期,使永久化MAC地址条目定期的保存在MAC管理模块中,且永久化MAC地址条目与手动配置的MAC地址永久化条目相区分处理;
配置端口的永久化使能/去使能,以及单条永久化MAC地址条目的删除功能;
配置发生非法MAC地址迁移时的报警和统计功能、非法MAC地址迁移计数阈值以及发生非法MAC地址迁移时相应的处理策略;
根据上述配置信息判断出新学习到的MAC地址条目如果在MAC地址表中不存在,则判断新的MAC地址条目对应端口是否开启永久化功能,如果该端口开启了永久化功能,则将新的MAC地址条目转化为永久化条目存入MAC地址表;
如果在MAC地址表中已存在,则判断原MAC地址条目是否为永久化MAC地址条目,当原MAC地址条目是永久化MAC地址条目时,则确认新的MAC地址条目属于非法MAC地址迁移,不对原MAC地址条目进行更新,同时向MAC转发芯片下发删除新的MAC地址条目命令,并根据报警统计/处理策略,通知报警/信息统计模块进行非法MAC地址迁移的报警和信息统计,并当迁移计数信息达到MAC地址迁移计数阈值时,通知报警处理模块对非法MAC地址迁移进行处理;当原MAC地址条目不是永久化MAC地址条目时,若新的MAC地址条目对应端口已开启永久化功能,则将新的MAC地址条目转化为永久化MAC地址条目,若新的MAC地址条目对应端口未开启永久化功能,则进行正常的MAC地址迁移处理。
8.根据权利要求7所述的方法,其特征在于,该方法还包括:若新学习到的MAC地址条目与原MAC地址条目信息一致,则读取下一条学习到的MAC地址条目。
9.根据权利要求8所述的方法,其特征在于,当新学习到的MAC地址条目与原MAC地址条目信息不一致时,该方法还包括:若原MAC地址条目不可以更新,则删除新学习到的MAC地址条目,并读取下一条学习到的MAC地址条目。
10.根据权利要求9所述的方法,其特征在于,当新学习到的MAC地址条目与原MAC地址条目信息不一致时,该方法包括:当原MAC地址条目可以更新,但不是永久化的MAC地址条目时,若新学习到的MAC地址条目对应端口未开启永久化功能,则进行正常的MAC地址迁移处理;若新学习到的MAC地址条目对应端口已经开启永久化的功能,则将新学习到的MAC地址条目转化为永久化的MAC地址条目,并存入数据库,并用新学习到的MAC地址条目替换原MAC地址条目下发到MAC转发芯片中。
11.根据权利要求7至10任一项所述的方法,其特征在于,该方法还包括:当新学习到的MAC地址条目在MAC地址表中不存在时,判断MAC地址条目中的信息进行检查是否通过,如果检查通过,则判断该学习到的MAC地址条目对应端口是否开启了永久化功能,若开启永久化功能,则将该MAC地址条目转化为永久化条目,并下发到MAC转发芯片;若没有开启永久化功能,则将该MAC地址条目以普通MAC地址条目形式下发到MAC转发芯片;如果检查不通过,则删除该MAC地址条目并读取下一条学习到的MAC地址条目。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010102815.2A CN101800741B (zh) | 2010-01-25 | 2010-01-25 | 一种防止非法媒体访问控制地址迁移的装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010102815.2A CN101800741B (zh) | 2010-01-25 | 2010-01-25 | 一种防止非法媒体访问控制地址迁移的装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101800741A CN101800741A (zh) | 2010-08-11 |
CN101800741B true CN101800741B (zh) | 2014-08-20 |
Family
ID=42596234
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010102815.2A Active CN101800741B (zh) | 2010-01-25 | 2010-01-25 | 一种防止非法媒体访问控制地址迁移的装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101800741B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102137109B (zh) * | 2011-03-18 | 2013-08-28 | 华为技术有限公司 | 一种访问控制方法、接入设备及系统 |
CN106878258A (zh) * | 2016-12-14 | 2017-06-20 | 新华三技术有限公司 | 一种攻击定位方法及装置 |
CN115118681B (zh) * | 2022-06-22 | 2023-05-30 | 烽火通信科技股份有限公司 | 一种软硬件相结合配置mac地址条目的方法、系统和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043355A (zh) * | 2006-05-19 | 2007-09-26 | 华为技术有限公司 | 一种防止mac地址欺骗的方法 |
CN101567883A (zh) * | 2005-04-25 | 2009-10-28 | 华为技术有限公司 | 防止mac地址仿冒的实现方法 |
-
2010
- 2010-01-25 CN CN201010102815.2A patent/CN101800741B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567883A (zh) * | 2005-04-25 | 2009-10-28 | 华为技术有限公司 | 防止mac地址仿冒的实现方法 |
CN101043355A (zh) * | 2006-05-19 | 2007-09-26 | 华为技术有限公司 | 一种防止mac地址欺骗的方法 |
Non-Patent Citations (1)
Title |
---|
JP特开2009-17562A 2009.01.22 |
Also Published As
Publication number | Publication date |
---|---|
CN101800741A (zh) | 2010-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200195542A1 (en) | System for aggregating statistics associated with interfaces | |
CN106375384B (zh) | 一种虚拟网络环境中镜像网络流量的管理系统和控制方法 | |
CN101616129B (zh) | 防网络攻击流量过载保护的方法、装置和系统 | |
US8261349B2 (en) | Router for preventing port scans and method utilizing the same | |
CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
CN102999716B (zh) | 虚拟机器监控系统及方法 | |
CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
CN103117948B (zh) | 基于fpga的分级并行高速网络tcp流重组方法 | |
CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
CN100388684C (zh) | 宽带接入网络中防止点到点协议认证攻击的实现方法 | |
US9300591B2 (en) | Network device | |
CN103684880A (zh) | 控制告警的方法及告警装置 | |
CN103988478A (zh) | 智能连接器、集成磁模块插口和智能物理层设备 | |
CN101800741B (zh) | 一种防止非法媒体访问控制地址迁移的装置及方法 | |
CN107465632A (zh) | 一种切换聚合成员端口的流量的方法及装置 | |
CN110912826A (zh) | 利用acl扩充ipfix表项的方法及装置 | |
CN103095717A (zh) | 防止mac地址表溢出攻击的方法及网络设备 | |
US20170149821A1 (en) | Method And System For Protection From DDoS Attack For CDN Server Group | |
KR101191251B1 (ko) | 3단계 동적 분류를 통한 10기가급 대용량 플로우 생성 및 제어방법 | |
US7957325B2 (en) | Method and network element configured for limiting the number virtual local area networks creatable by GVRP | |
CN101534301A (zh) | 表项的安装方法和装置以及网络设备 | |
CN116185598A (zh) | 地址处理方法、装置、电子设备及可读存储介质 | |
CN105635145A (zh) | Capwap dtls隧道的芯片级安全防护方法 | |
CN103997488B (zh) | 一种网络攻击的监控方法及系统 | |
CN110113268A (zh) | 流量控制方法、装置和服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |