CN102223269A - 一种报文处理方法、mac地址漂移的检测方法及装置 - Google Patents
一种报文处理方法、mac地址漂移的检测方法及装置 Download PDFInfo
- Publication number
- CN102223269A CN102223269A CN2011101704817A CN201110170481A CN102223269A CN 102223269 A CN102223269 A CN 102223269A CN 2011101704817 A CN2011101704817 A CN 2011101704817A CN 201110170481 A CN201110170481 A CN 201110170481A CN 102223269 A CN102223269 A CN 102223269A
- Authority
- CN
- China
- Prior art keywords
- mac address
- drift
- situation
- address drift
- loop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种报文处理方法、MAC地址漂移的检测方法及装置;所述报文处理方法包括:根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;如果MAC地址漂移的情况满足保护条件则停止将MAC地址漂移报文上报给所述CPU。本发明能防止CPU利用率过高,以保护CPU的安全和其他业务的运行稳定。
Description
技术领域
本发明涉及网络领域,尤其涉及一种报文处理方法、MAC地址漂移的检测方法及装置。
背景技术
环路的形成都是由于目的路径不明确导致混乱而造成的,例如一个广播信息经过两个交换机的时候会不断恶性循环产生广播,造成环路。无论是企业还是电信运营商,环路问题一直是导致网络质量下降甚至瘫痪的主要问题之一,因此应运而生各种检测环路的方法和策略。
MAC(Medium Access Control,介质访问控制)地址漂移告警是其中较为普遍的一种,通过检测MAC地址漂移的发生,判断是否存在网络环路,向网络管理者告警并及时解除环路,维护网络的稳定。MAC地址漂移存在两种情况,一种是端口绑定的静态MAC地址,在交换机的另一个端口出现,MAC地址发生漂移;另一种是一个端口先动态的学到一个MAC地址,此MAC地址在交换机另一个端口又被学习到。
当前,以太网交换机使用ASIC(Application Specific Integrated Circuits,专用集成电路)芯片实现数据的交换,CPU(Central Processing Unit,中央处理器)负责控制功能。 MAC地址漂移检测需要通过ASIC进行MAC地址的学习和报文的转发,发现MAC地址漂移报文时上交CPU处理。CPU进行漂移MAC地址的统计,当MAC地址漂移频率超过设定的环路告警阈值时,向上层网络管理员进行告警,管理员根据告警信息进行问题的定位和处理。如果需要立即处理检测出的环路,可以预先配置端口在发现环路时阻塞相关端口,及时解除环路,以保证其他端口业务的正常运行。
上述方法可以有效的检测网络中存在的环路,但也存在一定的漏洞。如果遇到网络攻击,难以保证CPU的安全,而CPU的安全关系着网络的稳定和所有业务的正常运行。
发明内容
本发明要解决的技术问题是在MAC地址漂移检测的过程中,如何防止CPU利用率过高,以保护CPU的安全和其他业务的运行稳定。
为了解决上述问题,本发明提供了一种报文处理方法,包括:
根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;
如果MAC地址漂移的情况满足保护条件则停止将MAC地址漂移报文上报给所述CPU。
进一步地,所述判断MAC地址漂移的情况是否满足保护条件是指:
判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
进一步地,所述判断MAC地址漂移的情况是否满足保护条件的步骤前还包括:
判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下进行所述判断MAC地址漂移的情况是否满足保护条件的步骤。
进一步地,所述停止将MAC地址漂移报文上报给所述CPU的步骤后还包括:
等待预定长度的第一时间后,判断MAC地址漂移报文队列是否为空;如果为空,则恢复将MAC地址漂移报文上报给所述CPU,如果不为空则重新等待所述第一时间后再次判断。
进一步地,在恢复将MAC地址漂移报文上报给所述CPU的步骤前还包括:
判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则进行所述恢复将MAC地址漂移报文上报给所述CPU的步骤。
本发明还提供了一种报文处理装置,包括:
判断模块,用于根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;
操作模块,用于当所述判断模块判断MAC地址漂移的情况满足保护条件时,停止将MAC地址漂移报文上报给所述CPU。
进一步地,所述判断模块判断MAC地址漂移的情况是否满足保护条件是指:
所述判断模块判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
进一步地,所述判断模块还用于在判断MAC地址漂移的情况是否满足保护条件前,先判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警、或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下则判断MAC地址漂移的情况是否满足保护条件。
进一步地,所述操作模块还用于在停止将MAC地址漂移报文上报给所述CPU后,等待预定长度的第一时间,然后判断MAC地址漂移报文队列是否为空;如果为空,则恢复将MAC地址漂移报文上报给所述CPU,如果不为空则重新等待所述第一时间后再次判断。
进一步地,所述操作模块还用于在恢复将MAC地址漂移报文上报给所述CPU前,先判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则恢复将MAC地址漂移报文上报给所述CPU。
本发明还提供了一种介质访问控制地址漂移的检测方法,包括:
将MAC地址漂移报文上报给CPU;
所述CPU根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件,如果满足则停止MAC地址漂移报文上报。
进一步地,所述判断MAC地址漂移的情况是否满足保护条件是指:
判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
进一步地,所述判断MAC地址漂移的情况是否满足保护条件的步骤前还包括:
判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警、或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下进行所述判断MAC地址漂移的情况是否满足保护条件的步骤。
进一步地,所述停止MAC地址漂移报文上报的步骤后还包括:
等待预定长度的第一时间后,判断MAC地址漂移报文队列是否为空;如果为空,则恢复MAC地址漂移报文上报,如果不为空则重新等待所述第一时间后再次判断。
进一步地,在恢复MAC地址漂移报文上报的步骤前还包括:
判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则进行所述恢复MAC地址漂移报文上报的步骤。
本发明还提供了一种以太网交换机,包括:
中央处理器CPU;
专用集成电路ASIC芯片,用于将MAC地址漂移报文上报给所述CPU;
其特征在于,所述CPU包括:
判断模块,用于根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;
操作模块,用于当所述判断模块判断MAC地址漂移的情况满足保护条件时停止MAC地址漂移报文上报。
进一步地,所述判断模块判断MAC地址漂移的情况是否满足保护条件是指:
所述判断模块判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
进一步地,所述判断模块还用于在判断MAC地址漂移的情况是否满足保护条件前,先判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警、或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下则判断MAC地址漂移的情况是否满足保护条件。
进一步地,所述操作模块还用于在停止MAC地址漂移报文上报后,等待预定长度的第一时间,然后判断MAC地址漂移报文队列是否为空;如果为空则恢复MAC地址漂移报文上报,如果不为空则重新等待所述第一时间后再次判断。
进一步地,所述操作模块还用于在恢复MAC地址漂移报文上报前,先判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则恢复MAC地址漂移报文上报。
本发明的技术方案通过对单一MAC地址漂移频率的限制和总MAC漂移数量的限制,适时的关闭MAC地址漂移检测报文上报,在不影响环路检测的情况下,避免报文频繁的上交CPU而造成的CPU因为处理漂移报文持续处于利用率较高程度的情况,保护了CPU的安全,维护了网络的稳定和其它业务的正常运行。本发明的优化方案通过间断的回复MAC地址漂移环路检测,保证了网络的安全和稳定。
附图说明
图1是实施例三中例子的流程示意图之一;
图2是实施例三中例子的流程示意图之二。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明的提出是考虑到目前使用MAC地址漂移检测环路的方法中,主要集中在关注MAC地址漂移的检测方法和告警阈值的设计上。ASIC芯片已经能很好实现漂移报文的标识和上送CPU的处理,但都忽视了在不能达到环路告警阈值时,MAC地址漂移检测功能对CPU的负担。利用MAC地址漂移漏洞对网络进行攻击时,交换机CPU会持续处于利用率较高的程度,也因此会影响其他业务和网络的稳定。
现有方法中,MAC地址漂移的统计和处理需要依赖CPU完成,对CPU造成较大的负担,MAC地址漂移功能开启的过程中,应尽量少的占用CPU资源。但是目前只能对超过环路告警阈值的情况进行告警和解除环路,在网络中一旦出现多个MAC地址报文同时发生漂移,而每个MAC地址漂移的发生频率又不能达到环路告警阈值的情况时,就无法利用阻塞端口阻止报文上交CPU,所有MAC地址漂移报文都上交CPU,从而会对CPU造成较大的负担,使CPU持续处于利用率较高的状态。
基于对以上问题的认识和发现,提出了本发明的技术方案。
实施例一,一种报文处理方法,包括:
根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;
如果MAC地址漂移的情况满足保护条件则停止将MAC地址漂移报文上报给所述CPU。
本实施例中,所述判断MAC地址漂移的情况是否满足保护条件可以但不限于是指:
判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
也就是说MAC漂移统计链表长度达到或超过预设的第一保护阈值、MAC地址漂移发生频率达到或超过预设的第二保护阈值这两种情况只要发生一种,就判断MAC地址漂移的情况满足保护条件。
这里列举了两种判断满足保护条件的情况,实际应用时可以不限于此,可以按照需求设置别的保护条件,而且也不排除将保护条件设置为上述两个情况都发生;只要满足设置的保护条件,就停止将MAC地址漂移报文上报给所述CPU。
另外实际应用时,所述判断MAC地址漂移的情况是否满足保护条件可以只指任一种情况,而对另一种情况不予考虑(即另一种情况即使发生也不算满足保护条件),也就是说除了上文所述的判断方式以外,还可以包括下述两种实施方式:
第一种实施方式:
所述判断MAC地址漂移的情况是否满足保护条件是指判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值。
第二种实施方式:
所述判断MAC地址漂移的情况是否满足保护条件是指判断MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
本实施例中,所述判断MAC地址漂移的情况是否满足保护条件的步骤前还可以包括:
判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警、或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下进行所述判断MAC地址漂移的情况是否满足保护条件的步骤。
也就是说,当MAC地址漂移频率达到或超过环路告警阈值时,只要采取了解除环路的措施(即阻塞相关端口),那么无论是否发出告警,都不用再去判断是否满足保护条件。
另外,MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下,发出告警的步骤和判断MAC地址漂移的情况是否满足保护条件的步骤先后次序不限,也可以并行。
由于所述第二保护阈值通常会大于所述环路告警阈值,因此如果MAC地址漂移发生频率没达到环路告警阈值,就必然也不会达到所述第二保护阈值;而如果MAC地址漂移发生频率达到或超过环路告警阈值,则MAC地址漂移发生频率有可能达到或超过第二保护阈值。
本实施例可保证在MAC地址漂移频率未达到环路告警阈值的情况下,CPU不会因为处理MAC漂移报文而长时间处于利用率较高的程度。
本实施例中,所述停止将MAC地址漂移报文上报给所述CPU的步骤后还可以包括:
等待预定长度的第一时间后,判断MAC地址漂移报文队列是否为空;如果为空,则恢复将MAC地址漂移报文上报给所述CPU,如果不为空则重新等待所述第一时间后再次判断。
本实施例中,无论按哪种方式判断MAC地址漂移的情况是否满足保护条件,在恢复将MAC地址漂移报文上报给所述CPU的步骤前还可以包括:判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则进行所述恢复将MAC地址漂移报文上报给所述CPU的步骤。
所述第一时间、第二时间的长度可以相同,也可以不同;可根据试验或经验确定长度。
实施例二,一种报文处理装置,包括:
判断模块,用于根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;
操作模块,用于当所述判断模块判断MAC地址漂移的情况满足保护条件时,停止将MAC地址漂移报文上报给所述CPU。
本实施例中,所述判断模块判断MAC地址漂移的情况是否满足保护条件可以但不限于是指:
所述判断模块判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
也就是说MAC漂移统计链表长度达到或超过预设的第一保护阈值、MAC地址漂移发生频率达到或超过预设的第二保护阈值这两种情况只要发生一种,所述判断模块就判断MAC地址漂移的情况满足保护条件。
这里列举了两种判断满足保护条件的情况,实际应用时可以不限于此,可以按照需求设置别的保护条件,而且也不排除将保护条件设置为上述两个情况都发生;只要满足设置的保护条件,就停止将MAC地址漂移报文上报给所述CPU。
另外实际应用时,所述判断模块判断MAC地址漂移的情况是否满足保护条件可以只指任一种情况,而对另一种情况不予考虑(即另一种情况即使发生也不算满足保护条件),也就是说除了上文所述的判断方式以外,还可以包括下述两种实施方式:
第一种实施方式:
所述判断模块判断MAC地址漂移的情况是否满足保护条件是指判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值。
第二种实施方式:
所述判断模块判断MAC地址漂移的情况是否满足保护条件是指判断MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
本实施例中,所述判断模块还可以用于在判断MAC地址漂移的情况是否满足保护条件前,先判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警、或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下则判断MAC地址漂移的情况是否满足保护条件。
也就是说,当MAC地址漂移频率达到或超过环路告警阈值时,只要采取了解除环路的措施(即阻塞相关端口),那么无论是否发出告警,都不用再去判断是否满足保护条件。
另外,MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下,发出告警的步骤和判断MAC地址漂移的情况是否满足保护条件的步骤先后次序不限,也可以并行。
由于所述第二保护阈值通常会大于所述环路告警阈值,因此如果MAC地址漂移发生频率没达到环路告警阈值,就必然也不会达到所述第二保护阈值;而如果MAC地址漂移发生频率达到或超过环路告警阈值,则MAC地址漂移发生频率有可能达到或超过第二保护阈值。
本实施例中,所述操作模块还可以用于在停止将MAC地址漂移报文上报给所述CPU后,等待预定长度的第一时间,然后判断MAC地址漂移报文队列是否为空;如果为空,则恢复将MAC地址漂移报文上报给所述CPU,如果不为空则重新等待所述第一时间后再次判断。
本实施例中,无论所述判断模块按哪种方式判断MAC地址漂移的情况是否满足保护条件,所述操作模块还可以用于在恢复将MAC地址漂移报文上报给所述CPU前,先判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则恢复将MAC地址漂移报文上报给所述CPU。
所述第一时间、第二时间的长度可以相同,也可以不同;可根据试验或经验确定长度。
本实施例中,该装置中的判断模块和操作模块、或其中之一可以但不限于由以太网交换机中的CPU实现,如果操作模块由其它装置实现,则停止将MAC地址漂移报文上报给所述CPU可以是指拦截上报给所述CPU的MAC地址漂移报文,也可以是指示所述CPU停止接收MAC地址漂移报文。
其它具体细节可参见实施例一。
实施例三,一种介质访问控制地址漂移的检测方法,包括:
将MAC地址漂移报文上报给CPU;
所述CPU根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件,如果满足则停止MAC地址漂移报文上报。
本实施例中,所述判断MAC地址漂移的情况是否满足保护条件可以但不限于是指:
判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
也就是说MAC漂移统计链表长度达到或超过预设的第一保护阈值、MAC地址漂移发生频率达到或超过预设的第二保护阈值这两种情况只要发生一种,就判断MAC地址漂移的情况满足保护条件。
这里列举了两种判断满足保护条件的情况,实际应用时可以不限于此,可以按照需求设置别的保护条件,而且也不排除将保护条件设置为上述两个情况都发生;只要满足设置的保护条件,就停止MAC地址漂移报文上报。
另外实际应用时,所述判断MAC地址漂移的情况是否满足保护条件可以只指任一种情况,而对另一种情况不予考虑(即另一种情况即使发生也不算满足保护条件),也就是说除了上文所述的判断方式以外,还可以包括下述两种实施方式:
第一种实施方式:
所述判断MAC地址漂移的情况是否满足保护条件是指判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值。
第二种实施方式:
所述判断MAC地址漂移的情况是否满足保护条件是指判断MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
本实施例中,所述判断MAC地址漂移的情况是否满足保护条件的步骤前还可以包括:
判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下进行所述判断MAC地址漂移的情况是否满足保护条件的步骤。
也就是说,当MAC地址漂移频率达到或超过环路告警阈值时,只要采取了解除环路的措施(即阻塞相关端口),那么无论是否发出告警,都不用再去判断是否满足保护条件。
另外,MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下,发出告警的步骤和判断MAC地址漂移的情况是否满足保护条件的步骤先后次序不限,也可以并行。
由于所述第二保护阈值通常会大于所述环路告警阈值,因此如果MAC地址漂移发生频率没达到环路告警阈值,就必然也不会达到所述第二保护阈值;而如果MAC地址漂移发生频率达到或超过环路告警阈值,则MAC地址漂移发生频率有可能达到或超过第二保护阈值。
本实施例可保证在MAC地址漂移频率未达到环路告警阈值的情况下,CPU不会因为处理MAC漂移报文而长时间处于利用率较高的程度。
下面用一个具体例子进行说明,该例子中,由ASIC芯片将MAC地址漂移报文上报给CPU,由CPU判断MAC地址漂移的情况是否满足保护条件,如果满足则停止MAC地址漂移报文;实际应用时,不限于此。
参考图1,该例子包括下列步骤:
步骤101:判断以太网交换机当前端口是否阻塞,阻塞时丢弃报文;未阻塞时,正常进行MAC地址的学习和报文的转发。报文的处理都是通过ASIC芯片实现,不需要CPU参与。
步骤102:判断ASIC芯片是否开启了MAC地址漂移检测功能。未开启漂移检测时,按照现有流程处理。
步骤103:开启MAC地址漂移检测功能时,判断当前报文是否为MAC地址漂移报文。为MAC地址漂移报文时,将报文上送CPU处理,上送原因标识为MAC地址漂移。不是MAC地址漂移报文时按照现有流程处理。
步骤104:根据报文上送CPU原因进行判断,对MAC地址漂移情况进行统计,包括所属VLAN,MAC地址漂移发生时间,MAC地址漂移发生次数等相关信息。
步骤105:判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时,向上层网管发出告警,等待处理或者立即阻塞相关端口,解除环路,以保证其它业务的正常运行。
步骤106:MAC地址漂移频率未达到环路告警阈值时,判断MAC地址漂移的情况是否满足保护条件,本例子中是达到或超过预设的保护阈值,所述保护阈值包括所述第一、第二保护阈值;达到或超过保护阈值,则停止因为MAC地址漂移上交报文给CPU,以保证CPU不会因为处理MAC地址漂移报文而长时间处于利用率较高的程度。
其中,根据步骤105中处理方案的不同,可以有两种应用情况:
第一种情况:
步骤105中,当MAC地址漂移频率达到或超过环路告警阈值时不仅向上层网管发出告警,还阻塞了相关端口,解除环路;此时就无需进行步骤106;在MAC地址漂移频率未达到环路告警阈值时才进行步骤106。
步骤106判断MAC地址漂移统计链表长度是否达到或超过CPU保护阈值,当达到或超过CPU保护阈值时,表示在多个端口上都发生了MAC地址漂移,或者是多个MAC地址在统计周期内都发生了漂移,因此停止报文因为MAC地址漂移原因上交CPU。
第二种情况:
当使用MAC地址漂移检测环路时,如果手动处理环路,而不是自动阻塞相关端口,可避免因为检测错误阻塞端口,影响正常业务。
此时在步骤105中当MAC地址漂移频率达到或超过环路告警阈值时仅向上层网关发出告警信息,并不阻塞相关端口,不解除环路。在这种情况下,MAC地址漂移告警会以MAC漂移统计的统计周期向网管发送告警信息。通常此周期时间较短,造成上层网管人员会频繁收到环路告警。
该情况下,MAC地址漂移频率未达到环路告警阈值时会进行步骤106,达到或超过环路告警阈值时也进行步骤106。
相应的,步骤106中判断当前MAC地址漂移发生频率是否达到或超过CPU保护阈值,达到或超过时停止报文因为MAC地址漂移原因上交CPU。
本实施例保护CPU利用率的同时,避免了上层网管频繁收到环路告警。
停止MAC地址漂移检测报文上报给CPU后,无法继续检测网络环路,因此需要定时恢复将MAC地址漂移检测报文上报给CPU,以满足在保护CPU安全的同时,保证网络的稳定。
本实施例中,所述停止MAC地址漂移报文上报的步骤后还可以包括:
等待预定长度的第一时间后,判断MAC地址漂移报文队列是否为空;如果为空,则恢复MAC地址漂移报文上报,如果不为空则重新等待所述第一时间后再次判断。
本实施例中,无论按哪种方式判断MAC地址漂移的情况是否满足保护条件,在恢复MAC地址漂移报文上报的步骤前还可以包括:判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则进行所述恢复MAC地址漂移报文上报的步骤。
所述第一时间、第二时间的长度可以相同,也可以不同;可根据试验或经验确定长度。
本实施例中,可以但不限于用计时器或定时器来对所述第一、第二时间进行计时;上述步骤一个具体实例中,第一时间和第二时间相同,用一个恢复MAC地址漂移检测计时器进行计时,该实例如图2所示,包括:
步骤201:因为保护CPU利用率而停止上报MAC地址漂移检测报文。
步骤202:启动恢复MAC地址漂移检测计时器。
步骤203:判断计时器是否到时(即达到所述第一/第二时间),未到时继续计时。
步骤204:计时器到时,判断MAC地址漂移报文的队列是否为空,不为空时,仍存在停止MAC地址漂移报文上报前队列中的MAC漂移通知消息。重新启动恢复MAC地址漂移检测计时器;这样可以等待报文清空。避免队列中的报文影响重新开启MAC地址漂移检测报文上报后的统计分析。
步骤205:队列为空时,判断MAC地址漂移统计链表长度是否达到或超过所述第一保护阈值。达到或超过第一保护阈值时,重新启动恢复MAC地址漂移检测计时器。这样可以等待MAC地址漂移统计链表的部分结点老化。
步骤206:重新开启MAC地址漂移检测报文上报,继续检测环路。
实施例四,一种以太网交换机,包括:
中央处理器CPU;
专用集成电路ASIC芯片,用于将MAC地址漂移报文上报给所述CPU;
所述CPU包括:
判断模块,用于根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;
操作模块,用于当所述判断模块判断MAC地址漂移的情况满足保护条件时停止MAC地址漂移报文上报。
本实施例中,所述判断模块判断MAC地址漂移的情况是否满足保护条件可以但不限于是指:
所述判断模块判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
也就是说MAC漂移统计链表长度达到或超过预设的第一保护阈值、MAC地址漂移发生频率达到或超过预设的第二保护阈值这两种情况只要发生一种,所述判断模块就判断MAC地址漂移的情况满足保护条件。
这里列举了两种判断满足保护条件的情况,实际应用时可以不限于此,可以按照需求设置别的保护条件,而且也不排除将保护条件设置为上述两个情况都发生;只要满足设置的保护条件,就停止MAC地址漂移报文上报。
另外实际应用时,所述判断模块判断MAC地址漂移的情况是否满足保护条件可以只指任一种情况,而对另一种情况不予考虑(即另一种情况即使发生也不算满足保护条件),也就是说除了上文所述的判断方式以外,还可以包括下述两种实施方式:
第一种实施方式:
所述判断模块判断MAC地址漂移的情况是否满足保护条件是指判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值。
第二种实施方式:
所述判断模块判断MAC地址漂移的情况是否满足保护条件是指判断MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
本实施例中,所述判断模块还可以用于在判断MAC地址漂移的情况是否满足保护条件前,先判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警、或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下则判断MAC地址漂移的情况是否满足保护条件。
也就是说,当MAC地址漂移频率达到或超过环路告警阈值时,只要采取了解除环路的措施(即阻塞相关端口),那么无论是否发出告警,都不用再去判断是否满足保护条件。
另外,MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下,发出告警的步骤和判断MAC地址漂移的情况是否满足保护条件的步骤先后次序不限,也可以并行。
由于所述第二保护阈值通常会大于所述环路告警阈值,因此如果MAC地址漂移发生频率没达到环路告警阈值,就必然也不会达到所述第二保护阈值;而如果MAC地址漂移发生频率达到或超过环路告警阈值,则MAC地址漂移发生频率有可能达到或超过第二保护阈值。
本实施例可保证在MAC地址漂移频率未达到环路告警阈值的情况下,CPU不会因为处理MAC漂移报文而长时间处于利用率较高的程度。
本实施例中,所述操作模块还可以用于在停止MAC地址漂移报文上报后,等待预定长度的第一时间,然后判断MAC地址漂移报文队列是否为空;如果为空,则恢复MAC地址漂移报文上报,如果不为空则重新等待所述第一时间后再次判断。
本实施例中,无论所述判断模块按哪种方式判断MAC地址漂移的情况是否满足保护条件,所述操作模块还用于在恢复MAC地址漂移报文上报前,先判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则恢复MAC地址漂移报文上报。
所述第一时间、第二时间的长度可以相同,也可以不同;可根据试验或经验确定长度。
其它实现细节可参见实施例三。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
Claims (20)
1.一种报文处理方法,包括:
根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;
如果MAC地址漂移的情况满足保护条件则停止将MAC地址漂移报文上报给所述CPU。
2.如权利要求1所述的方法,其特征在于,所述判断MAC地址漂移的情况是否满足保护条件是指:
判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
3.如权利要求1所述的方法,其特征在于,所述判断MAC地址漂移的情况是否满足保护条件的步骤前还包括:
判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下进行所述判断MAC地址漂移的情况是否满足保护条件的步骤。
4.如权利要求1到3中任一项所述的方法,其特征在于,所述停止将MAC地址漂移报文上报给所述CPU的步骤后还包括:
等待预定长度的第一时间后,判断MAC地址漂移报文队列是否为空;如果为空,则恢复将MAC地址漂移报文上报给所述CPU,如果不为空则重新等待所述第一时间后再次判断。
5.如权利要求4所述的方法,其特征在于,在恢复将MAC地址漂移报文上报给所述CPU的步骤前还包括:
判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则进行所述恢复将MAC地址漂移报文上报给所述CPU的步骤。
6.一种报文处理装置,其特征在于,包括:
判断模块,用于根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;
操作模块,用于当所述判断模块判断MAC地址漂移的情况满足保护条件时,停止将MAC地址漂移报文上报给所述CPU。
7.如权利要求6所述的装置,其特征在于,所述判断模块判断MAC地址漂移的情况是否满足保护条件是指:
所述判断模块判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
8.如权利要求6所述的装置,其特征在于:
所述判断模块还用于在判断MAC地址漂移的情况是否满足保护条件前,先判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警、或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下则判断MAC地址漂移的情况是否满足保护条件。
9.如权利要求6到8中任一项所述的装置,其特征在于:
所述操作模块还用于在停止将MAC地址漂移报文上报给所述CPU后,等待预定长度的第一时间,然后判断MAC地址漂移报文队列是否为空;如果为空,则恢复将MAC地址漂移报文上报给所述CPU,如果不为空则重新等待所述第一时间后再次判断。
10.如权利要求9所述的装置,其特征在于:
所述操作模块还用于在恢复将MAC地址漂移报文上报给所述CPU前,先判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则恢复将MAC地址漂移报文上报给所述CPU。
11.一种介质访问控制地址漂移的检测方法,包括:
将MAC地址漂移报文上报给CPU;
所述CPU根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件,如果满足则停止MAC地址漂移报文上报。
12.如权利要求11所述的方法,其特征在于,所述判断MAC地址漂移的情况是否满足保护条件是指:
判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
13.如权利要求11所述的方法,其特征在于,所述判断MAC地址漂移的情况是否满足保护条件的步骤前还包括:
判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警、或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下进行所述判断MAC地址漂移的情况是否满足保护条件的步骤。
14.如权利要求11到13中任一项所述的方法,其特征在于,所述停止MAC地址漂移报文上报的步骤后还包括:
等待预定长度的第一时间后,判断MAC地址漂移报文队列是否为空;如果为空,则恢复MAC地址漂移报文上报,如果不为空则重新等待所述第一时间后再次判断。
15.如权利要求14所述的方法,其特征在于,在恢复MAC地址漂移报文上报的步骤前还包括:
判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则进行所述恢复MAC地址漂移报文上报的步骤。
16.一种以太网交换机,包括:
中央处理器CPU;
专用集成电路ASIC芯片,用于将MAC地址漂移报文上报给所述CPU;
其特征在于,所述CPU包括:
判断模块,用于根据MAC地址漂移报文的上报情况,判断MAC地址漂移的情况是否满足保护条件;
操作模块,用于当所述判断模块判断MAC地址漂移的情况满足保护条件时停止MAC地址漂移报文上报。
17.如权利要求16所述的以太网交换机,其特征在于,所述判断模块判断MAC地址漂移的情况是否满足保护条件是指:
所述判断模块判断MAC漂移统计链表长度是否达到或超过预设的第一保护阈值,或MAC地址漂移发生频率是否达到或超过预设的第二保护阈值。
18.如权利要求16所述的以太网交换机,其特征在于:
所述判断模块还用于在判断MAC地址漂移的情况是否满足保护条件前,先判断MAC地址漂移频率是否达到或超过环路告警阈值,达到或超过环路告警阈值时发出告警、或发出告警并解除环路;MAC地址漂移频率未达到环路告警阈值时、或MAC地址漂移频率达到或超过环路告警阈值但不解除环路的情况下则判断MAC地址漂移的情况是否满足保护条件。
19.如权利要求16到18中任一项所述的以太网交换机,其特征在于:
所述操作模块还用于在停止MAC地址漂移报文上报后,等待预定长度的第一时间,然后判断MAC地址漂移报文队列是否为空;如果为空则恢复MAC地址漂移报文上报,如果不为空则重新等待所述第一时间后再次判断。
20.如权利要求19所述的以太网交换机,其特征在于:
所述操作模块还用于在恢复MAC地址漂移报文上报前,先判断MAC漂移统计链表长度是否达到或超过所述第一保护阈值,如果达到或超过则重新等待预定长度的第二时间后再次判断,如果没达到则恢复MAC地址漂移报文上报。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110170481.7A CN102223269B (zh) | 2011-06-23 | 2011-06-23 | 一种报文处理方法、mac地址漂移的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110170481.7A CN102223269B (zh) | 2011-06-23 | 2011-06-23 | 一种报文处理方法、mac地址漂移的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102223269A true CN102223269A (zh) | 2011-10-19 |
| CN102223269B CN102223269B (zh) | 2015-06-17 |
Family
ID=44779702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110170481.7A Active CN102223269B (zh) | 2011-06-23 | 2011-06-23 | 一种报文处理方法、mac地址漂移的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102223269B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104980526A (zh) * | 2014-04-04 | 2015-10-14 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法、装置及网络设备 |
| CN105830400A (zh) * | 2014-11-04 | 2016-08-03 | 华为技术有限公司 | 控制mac地址漂移的方法、装置和系统 |
| CN107171952A (zh) * | 2017-04-06 | 2017-09-15 | 烽火通信科技股份有限公司 | 一种在vpls中实现防环的方法及设备 |
| CN107645452A (zh) * | 2016-07-20 | 2018-01-30 | 中兴通讯股份有限公司 | 一种未知组播报文的处理方法和装置 |
| CN109714182A (zh) * | 2017-10-25 | 2019-05-03 | 中兴通讯股份有限公司 | 一种网络控制方法、装置和计算机可读存储介质 |
| CN111901234A (zh) * | 2020-08-12 | 2020-11-06 | 深圳市信锐网科技术有限公司 | 网络环路处理方法、系统及相关设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227400A (zh) * | 2008-02-01 | 2008-07-23 | 中兴通讯股份有限公司 | 用于以太网的数据包处理方法和装置 |
| CN101909016A (zh) * | 2010-08-25 | 2010-12-08 | 中兴通讯股份有限公司 | 一种防止虚拟专用网中环路的方法及装置 |
-
2011
- 2011-06-23 CN CN201110170481.7A patent/CN102223269B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227400A (zh) * | 2008-02-01 | 2008-07-23 | 中兴通讯股份有限公司 | 用于以太网的数据包处理方法和装置 |
| CN101909016A (zh) * | 2010-08-25 | 2010-12-08 | 中兴通讯股份有限公司 | 一种防止虚拟专用网中环路的方法及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104980526A (zh) * | 2014-04-04 | 2015-10-14 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法、装置及网络设备 |
| CN105830400A (zh) * | 2014-11-04 | 2016-08-03 | 华为技术有限公司 | 控制mac地址漂移的方法、装置和系统 |
| CN107645452A (zh) * | 2016-07-20 | 2018-01-30 | 中兴通讯股份有限公司 | 一种未知组播报文的处理方法和装置 |
| CN107171952A (zh) * | 2017-04-06 | 2017-09-15 | 烽火通信科技股份有限公司 | 一种在vpls中实现防环的方法及设备 |
| CN107171952B (zh) * | 2017-04-06 | 2019-10-11 | 烽火通信科技股份有限公司 | 一种在vpls中实现防环的方法及设备 |
| CN109714182A (zh) * | 2017-10-25 | 2019-05-03 | 中兴通讯股份有限公司 | 一种网络控制方法、装置和计算机可读存储介质 |
| CN109714182B (zh) * | 2017-10-25 | 2022-01-25 | 中兴通讯股份有限公司 | 一种网络控制方法、装置和计算机可读存储介质 |
| CN111901234A (zh) * | 2020-08-12 | 2020-11-06 | 深圳市信锐网科技术有限公司 | 网络环路处理方法、系统及相关设备 |
| CN111901234B (zh) * | 2020-08-12 | 2023-03-14 | 深圳市信锐网科技术有限公司 | 网络环路处理方法、系统及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102223269B (zh) | 2015-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102223269A (zh) | 一种报文处理方法、mac地址漂移的检测方法及装置 | |
| US11381974B2 (en) | Method and attack detection function for detection of a distributed attack in a wireless network | |
| EP1774716B1 (en) | Inline intrusion detection using a single physical port | |
| CN101083563B (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
| CN100428688C (zh) | 网络攻击的防护方法 | |
| EP2352253B1 (en) | Method and apparatus for protecting link aggregation group of ethernet ring | |
| JP5233504B2 (ja) | 経路制御装置およびパケット廃棄方法 | |
| EP2590372B1 (en) | Ethernet loop locating method, switching device and system | |
| EP2933954B1 (en) | Network anomaly notification method and apparatus | |
| US8879381B2 (en) | Ethernet ring system, transit node of Ethernet ring system and initialization method thereof | |
| US8660075B2 (en) | Congestion notification in private VLANs | |
| CN101529763A (zh) | 链路聚合的禁用状态和状态信令 | |
| CN104980372A (zh) | 中继系统以及交换机装置 | |
| US20120218896A1 (en) | Centralized supervision of network traffic | |
| CN103152210B (zh) | 修复生成树协议转发状态异常的方法及堆叠设备 | |
| CN107273214A (zh) | 一种基于固态硬盘的多核控制器资源访问方法及其装置 | |
| CN101764753A (zh) | 一种实现交换机端口mac地址防迁移的方法及装置 | |
| EP2533470B1 (en) | Method and equipment for preventing repeated refreshing of ethernet ring node address table | |
| CN106789982B (zh) | 一种应用于工业控制系统中的安全防护方法和系统 | |
| CN104104558A (zh) | 一种智能变电站过程层通信中网络风暴抑制的方法 | |
| WO2014161205A1 (zh) | 一种网络拥塞处理方法、系统及装置 | |
| EP2640012B1 (en) | Multi-ring ethernet network and protection method thereof | |
| CN114157609B (zh) | Pfc死锁检测方法及装置 | |
| CN112702226B (zh) | 环路检测方法、装置、设备及计算机可读存储介质 | |
| CN101355567B (zh) | 一种对交换路由设备中央处理器进行安全保护的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |