CN103201982A - 利用安全端口组来管理mac移动 - Google Patents
利用安全端口组来管理mac移动 Download PDFInfo
- Publication number
- CN103201982A CN103201982A CN2010800699088A CN201080069908A CN103201982A CN 103201982 A CN103201982 A CN 103201982A CN 2010800699088 A CN2010800699088 A CN 2010800699088A CN 201080069908 A CN201080069908 A CN 201080069908A CN 103201982 A CN103201982 A CN 103201982A
- Authority
- CN
- China
- Prior art keywords
- port
- edge device
- source mac
- network edge
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/467—Arrangements for supporting untagged frames, e.g. port-based VLANs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种方法包括确定源MAC地址与作为网络边缘设备(20、50)的端口(1-14)的安全组(34、36)的成员的特定端口相关联。允许源MAC地址移动到作为安全端口组的成员的网络边缘设备(20、50)的任何端口。不允许MAC地址移动到安全端口组外的网络边缘设备(20、50)的任何端口。还描述了用于实现该方法的装置和至少一种计算机可读介质。
Description
背景技术
边缘设备(例如,网桥或路由器)是将一个网络中的节点连接到另一个网络中的节点的网络设备。边缘设备保持媒体访问控制(MAC)转发表,该表存储将网络节点的MAC地址映射到网桥的端口的条目。当在端口处接收到进入分组时,边缘设备执行在接收到的分组中的目的地MAC地址的转发阶段查找以及在接收到的分组中的源MAC地址的学习阶段查找。
在转发阶段查找操作模式中,边缘设备在MAC转发表中寻找接收到的进入分组中的目的地地址。如果找到了包含目的地地址的条目,则边缘设备向在该条目中列出的端口转发分组;否则,边缘设备可以在除了接收到该分组的端口之外的边缘设备的所有输出端口上“洪泛(flood)”该分组。
在学习阶段操作模式中,边缘设备在MAC转发表中查找接收到的进入分组中的源地址。如果没有找到包含源地址的条目,则边缘设备将新的条目添加到MAC转发表,该新的条目将该源地址映射到其上接收到该分组的端口。如果找到了包含源地址的条目,则边缘设备确定该条目将源地址是与其上接收到分组的当前端口还是与不同的端口相关联。如果当前端口与在标识的转发表条目中列出的端口相同,则学习阶段结束。如果当前端口与在标识的转发表条目中列出的端口不同,则边缘设备确定源地址已经移动(即,MAC移动已经发生),并且更新MAC转发表以反映新的MAC地址到端口映射。
一些边缘设备被配置成实现一个或多个安全协议。例如,边缘设备可以被限制为针对每个VLAN(虚拟局域网)能够学习到的源MAC地址的最大数目。在另一示例中,边缘设备可以被配置成响应于接收到MAC锁定(lock down)命令来锁定MAC转发表。根据这些方法,在已经学习了源MAC地址的最大数目或已经接收到MAC锁定命令之后,边缘设备丢弃包含没有在当前的MAC地址表中列出的源MAC地址的分组。在另一示例中,追踪MAC地址随时间的移动的数目,以便于检测和防止桥接转发循环。如果在给定时段中的特定源MAC地址的MAC移动的数目高于阈值数,则边缘设备可以阻止与该源MAC地址相关联的所有分组,并且发出循环检测警告。
本文描述了利用安全端口组管理MAC移动的系统和方法。
附图说明
图1是将两个虚拟局域网中的网络节点连接到另一网络的网络节点的边缘设备的示例的图解视图。
图2是管理媒体访问控制(MAC)地址的移动的方法的示例的流程图。
图3是管理媒体访问控制(MAC)地址的移动的方法的示例的流程图。
图4是边缘设备的示例的框图。
图5是示出随时间的MAC地址移动的表的示例、将边缘设备的端口映射到安全端口组的表的示例以及示出用于随时间的MAC地址的MAC地址表条目的表的示例的图解视图。
具体实施方式
在下面的描述中,相同的附图标记用于指示相同的元素。此外,附图意在以图解的方式说明示例性实施例的主要特征。附图并不意在描绘实际实施例的每个特征,也不意在描绘所描绘的元件的相对尺寸而没有按比例绘制。
“计算机”是根据临时或永久存储在计算机可读介质上的计算机可读指令来处理数据的任何机器、设备或装置。“计算机操作系统”是管理和协调任务的执行以及计算和硬件资源的共享的计算机系统的软件组件。“软件应用”(还称为软件、应用、计算机软件、计算机应用、程序和计算机程序)是计算机可以解释并且运行以执行一个或多个具体任务的指令集。“数据文件”是持久地存储供软件应用使用的数据的信息块。
术语“计算机可读介质”指能够存储可由机器(例如,计算机)读取的信息(例如,指令和数据)的任何有形非临时介质。适用于有形地包含这样的信息的存储设备包括但不限于所有形式的物理、非临时计算机可读存储器,包括例如,诸如随机存取存储器(RAM)、EPROM、EEPROM和闪速存储器设备的半导体存储器设备、诸如内部硬盘和可移除硬盘的磁盘、磁光盘、DVD-ROM/RAM和CD-ROM/RAM。
“网络节点”(还简称为“节点”)是在通信网络中的交叉点或连接点。示例性网络节点包括但不限于终端、计算机和边缘设备。“服务器”网络节点是在对于信息或服务的请求进行响应的网络上的主机计算机。“客户端”网络节点是向服务器请求信息或服务的网络上的计算机。“网络连接”是在两个通信网络节点之间的链路。
“边缘设备”是将一个网络中的节点连接到另一网络中的节点的网络设备。边缘设备的示例包括网桥(例如,交换机或集线器)、路由器、路由交换机、综合接入设备(IAD)和复用器。
虚拟局域网(VLAN)是在不考虑节点的物理位置的情况下在逻辑上分割成节点组的交换式网络。
媒体访问控制(MAC)地址是指派给网络接口以用于物理网络分段上的通信的唯一标识符。
“安全端口”是基于一个或多个源MAC地址的指定集合来控制将接收和转发哪些分组的端口。
“安全端口组”是边缘设备的可配置的安全端口组,其中,允许的源MAC地址被限制为在安全端口组中的端口之间移动。
如这里使用的,术语“包括”意味着包括但不限于,术语“包含”意味着包括但不限于。术语“基于”意味着至少部分地基于。
这里描述的示例提供了利用安全端口组来管理MAC移动的系统和方法。在这些示例中的一些中,允许源MAC地址在指定端口组的端口之间移动,而不允许移动到指定端口组外的端口。以该方式,这些示例可以在不损害安全性的情况下灵活地适应源MAC地址移动。
图1示出了将第一网络24中的网络节点22与第一VLAN 28(VLAN 1)中的网络节点26和第二VLAN 32(VLAN 2)中的网络节点30连接的边缘设备20的示例。
边缘设备20包括根据第一和第二VLAN 28、32在逻辑上分区的多个端口(标记为1-14)。具体地,边缘设备20保持下述数据结构(例如,表或多个表),该数据结构向上行链路端口1-4指派与第一VLAN 28相对应的VLAN ID,并且向上行链路端口5-7指派与第二VLAN 32相对应的VLAN ID。虽然没有示出,但是在边缘设备20的上行链路侧的端口8-14可以被分成VLAN组。而且,没有示出替代VLAN端口配置,诸如属于多个VLAN的端口。VLAN端口映射数据结构通常可以由网络管理员来动态地配置。
除了VLAN分区之外,边缘设备20的端口还在逻辑上被分成第一安全端口组34(安全端口组1)和第二安全端口组36(安全端口组2)。具体地,边缘设备20保持数据结构(例如,表或多个表),该数据结构向端口2-4和9-10指派与第一安全端口组34相对应的端口组ID,并且向端口7、13和14指派与第二安全端口组36相对应的端口组ID。如以下详细解释的,端口2-4、9-10、7、13和14中的每一个是被限制为转发具有一个或多个指定源地址的分组的安全端口,并且对于每个安全端口组34、36,可以从安全端口组中的端口转发的源MAC地址被限制为在安全端口组中的端口之间移动。
图2是利用安全端口组来管理媒体访问控制(MAC)地址的移动的方法的示例的流程图。根据图2的方法,边缘设备20确定源MAC地址与作为网络边缘设备的安全端口组的成员的特定端口相关联(图2,框40)。边缘设备20允许源MAC地址移动到作为安全端口组的成员的网络边缘设备20的任何端口(图2,框42)。边缘设备20不允许MAC地址移动到在安全端口组外的网络边缘设备的任何端口(图2,框44)。
图3示出了边缘设备20通过其利用安全端口组来管理媒体访问控制(MAC)地址的移动的方法的示例。根据图3的方法,边缘设备20接收进入分组(图3,框80)。边缘设备20从接收到的进入分组中提取源MAC地址(图3,框82)。如果源MAC地址的端口关联还没有改变(图3,框84),则边缘设备20处理该分组(图3,框86)。如果源MAC地址的端口关联已经改变(图3,框84),则边缘设备20确定进入分组是否(例如,通过MAC地址表中的条目)与作为受限的端口组的成员的端口相关联(图3,框88)。如果进入分组不与安全端口组的成员相关联,则边缘设备处理该分组(图3,框86)。如果进入分组与安全端口组的成员相关联,则边缘设备确定接收端口是否是安全端口组的成员(图3,框90)。如果接收端口是安全端口组的成员,则边缘设备处理该分组(图3,框86)。如果接收端口不是安全端口组的成员,则边缘设备20发起安全动作(例如,过滤分组并且发出安全警告)(图3,框92)。
图4示出了边缘设备20的示例50,该边缘设备20包括多个端口1-14、存储器52以及存储器控制器54,其进而包括MAC地址表56和安全端口组表58。端口1-14、存储器52和存储器控制器54通常是通过总线互连的单个集成电路的组件。在一些示例中,存储器控制器54包括可操作为执行这里描述的存储器控制器功能的可编程数字电路。在一些示例中,存储器控制器54包括执行存储在至少一个计算机可读介质上的指令的处理器。在一些示例中,MAC地址表56和安全端口组表58中的一个或两个被存储在与边缘设备50分离的存储器设备上,并且对于存储器控制器54来说可通过有线或无线网络连接来访问。
当在边缘设备50的端口(例如,端口3)上接收到进入分组60时,接收端口将分组存储在存储器52中,并且从分组的报头中提取信息。在一些示例中,接收端口从分组报头中提取源MAC地址、目的地MAC地址和VLAN ID。接收端口将所提取的信息及其端口ID传递到存储器控制器54。
存储器控制器54基于安全端口组表58的条目来确定接收端口的端口ID是否是安全端口组的成员。
如果接收端口的端口ID是安全端口组的成员,则存储器控制器54基于相同安全端口组表58的条目来确定所提取的源MAC地址是否被允许在相应的端口上接收。如果接收到的分组的源MAC地址不是允许的源地址,则过滤该分组(例如,丢弃该分组),并且可选地发出安全警告。如果源MAC地址是允许的源地址,则存储器控制器54确定MAC移动是否已经发生。在该过程中,存储器控制器54针对使进入端口与源MAC地址和从进入分组中提取的VLAN ID相关联的条目搜索MAC地址表56。
如果在MAC表中找到了用于接收到的分组的VLAN ID和源MAC地址的条目,则存储器控制器54将表条目中的输入端口的端口ID与接收端口的端口ID作比较。如果这些ID不同,则正在尝试MAC移动。如果正在尝试MAC移动,则存储器控制器54基于安全端口组表58的条目来确定当前分组的接收端口是否是与在现有MAC表条目中的输入端口相同的安全端口组的成员。
如果接收端口是相同安全端口组的成员,则允许MAC移动。在该情况下,存储器控制器54更新使接收端口与提取的源MAC地址和VLAN ID相关联的MAC地址表56条目;存储器控制器54还针对使输出端口与从进入分组中提取的目的地MAC地址和VLAN ID相关联的条目来搜索MAC地址表56。如果找到了用于目的地MAC地址和VLAN ID的条目,则存储器控制器54将分组60从存储器52中的存储地址传送到在条目中列出的输出端口(例如,端口9)。如果没有找到用于目的地MAC地址和VLAN ID的条目,则存储器控制器54将分组60从存储器52洪泛到所有的可用端口。
在一些实现中,如果输出端口不是与接收端口相同的安全端口组的成员,则存储器控制器54可以可选地过滤该分组(例如,丢弃该分组)并且可选地发出安全警告。
如果接收端口是安全端口组的成员并且对于相同的安全端口组来说源MAC地址是允许的源地址,但是在MAC地址表56中没有找到用于源MAC地址和VLAN ID的条目,则存储器控制器54在MAC地址表56中创建新的条目,该新的条目使接收端口的端口ID与从进入分组中提取的源MAC地址和VLAN ID相关联。
如果接收端口的端口ID不是安全端口组的成员,则存储器控制器54针对使从进入分组中提取的源MAC地址和VLAN ID与输入端口相关联的条目来搜索MAC地址表56。
如果接收端口的端口ID不是安全端口组的成员并且在MAC地址表56中找到了用于源MAC地址和VLAN ID的条目,则存储器控制器确定与现有MAC表条目相关联的端口是否是安全端口组的成员。如果该端口是安全端口组的成员,则尝试将源MAC地址移动到安全端口组外,并且在该情况下,存储器控制器54过滤该分组(例如,丢弃该分组)并且可选地发出安全警告。如果该端口不是安全端口组的成员,则正常处理该地址移动并且转发该分组。如果接收端口的端口ID不是安全端口组的成员并且在MAC地址表56中没有找到用于源MAC地址和VLAN ID的条目,则存储器控制器54在MAC地址表56中创建新的条目,该新的条目使接收端口的端口ID与从进入分组中提取的源MAC地址和VLAN ID相关联。存储器控制器54还针对使输出端口与从进入分组中提取的目的地MAC地址和VLAN ID相关联的条目来搜索MAC地址表56。如果找到了用于目的地MAC地址和VLAN ID的条目,则存储器控制器54将分组60从存储器52中的存储地址传送到在条目中列出的输出端口(例如,端口9)。如果没有找到用于目的地MAC地址和VLAN ID的条目,则存储器控制器54将分组60从存储器52洪泛到所有所允许的可用端口。
图5示出了随时间的MAC地址A的移动的表100、将边缘设备的端口映射到安全端口组的安全端口组表102以及包含用于随时间的MAC地址A的MAC地址表条目的表104的示例。安全端口组表102存储安全端口组、端口ID、VLAN ID和受限MAC地址之间的关联。在该示例中,端口2、3、4、9、10和11是安全端口组1的成员,并且端口7、13和14是安全端口组2的成员(参见图1)。在时间t0,源MAC地址A与安全端口组1相关联,如在MAC地址表104中的第一条目所示。因此,如在表100中所示,允许MAC地址A在时间t2和t3移动到端口4和3,而不允许MAC地址A在时间t0和t4移动到端口1和12。这反映在MAC地址表104中,MAC地址表104示出了仅MAC地址A在端口3和4之间的允许的移动触发对MAC地址A的端口关联的更新。
边缘设备20、50的示例可以通过一个或多个离散模块(或数据处理组件)来实现,一个或多个离散模块不限于任何特定硬件或机器可读指令配置(例如,固件或软件)。在图示的示例中,这些模块可以在任何计算或数据处理环境中实现,包括在数字电子电路(例如,专用集成电路,诸如数字信号处理器(DSP))或者在计算机硬件、设备驱动器或机器可读指令(包括固件或软件)中实现。在一些示例中,模块的功能被合并成单个数据处理组件。在一些示例中,通过多个数据处理组件的各个集合来执行一个或多个模块中的每一个的相应功能。
在一些实现中,用于实现由边缘设备20、50的示例所执行的方法的过程指令(例如,机器可读代码,诸如计算机软件)及它们生成的数据被存储在一个或多个机器可读介质中。适用于有形地包含这些指令和数据的存储设备包括所有形式的非易失性计算机可读存储器,包括例如,诸如随机存取存储器(RAM)、EPROM、EEPROM和闪速存储器设备的半导体存储器设备、诸如内部硬盘和可移除硬盘的磁盘、磁光盘、DVD-ROM/RAM和CD-ROM/RAM。
通常,边缘设备20的示例可以以各种电子设备中的任何一个来实现,包括专用功能边缘设备(例如,网桥,诸如交换机或集线器、路由器、路由交换机、综合接入设备和复用器)和通用计算机。
其他实施例在权利要求书的范围内。
Claims (15)
1.一种方法,包括:
确定源MAC地址与作为网络边缘设备(20、50)的端口(1-14)的安全组(34、36)的成员的特定端口相关联;
允许所述源MAC地址移动到作为安全端口组的成员的所述网络边缘设备(20、50)的任何端口;以及
不允许所述MAC地址移动到所述安全端口组外的所述网络边缘设备(20、50)的任何端口。
2.根据权利要求1所述的方法,其中,所述确定包括搜索在与所述源MAC地址相关联的端口和可由所述网络边缘设备(20、50)访问的表(56)中的所述安全端口组之间的关联。
3.根据权利要求1所述的方法,进一步包括:从在所述网络边缘设备(50)的特定端口上接收到的网络分组(60)中提取所述源MAC地址,以及基于所提取的源MAC地址来检测所述源地址的移动。
4.根据权利要求3所述的方法,其中,所述检测包括:
搜索在所述网络边缘设备(50)的端口和所提取的源MAC地址之间的关联;以及
基于对于所述关联的成功搜索,基于关联的端口和所述特定端口的比较来确定所述源MAC地址的移动已经发生。
5.根据权利要求1所述的方法,进一步包括:
从在所述网络边缘设备(50)的特定端口上接收到的网络分组(60)中提取所述源MAC地址;
搜索在所提取的源MAC地址和所述网络边缘设备(50)的相应端口之间的关联;以及
基于对于所述条目的不成功搜索,使所述源MAC地址与所述特定端口相关联。
6.根据权利要求1所述的方法,进一步包括:更新所述网络边缘设备(50)可访问的表(56),以反映所述源MAC地址向作为相同安全端口组的成员的所述网络边缘设备(50)的相应端口的所允许的移动。
7.根据权利要求1所述的方法,其中,所述不允许包括:丢弃在不是端口(1-14)的相同安全组(34、36)的成员的所述网络边缘设备(20、50)的相应端口上接收到的包含所述源MAC地址的分组。
8.根据权利要求1所述的方法,进一步包括:在可由所述网络边缘设备(50)访问的表(56)中创建条目,其中,所述条目使所述源MAC地址与所述特定端口相关联。
9.根据权利要求1所述的方法,进一步包括:
从在作为端口(1-14)的安全组(34、36)的成员的所述网络边缘设备(20、50)的特定端口上接收到的网络分组(60)中提取源MAC地址;以及
基于所提取的源MAC地址与在所述安全端口组外的特定端口相关联的确定来发起安全动作。
10.一种装置,包括:
存储器(52);以及
可编程数字电路(54),所述可编程数字电路(54)耦合到所述存储器(52)并且可操作为执行操作,所述操作包括:
确定源MAC地址与作为网络边缘设备(20、50)的端口(1-14)的安全组(34、36)的成员的特定端口相关联;
允许所述源MAC地址移动到作为安全端口组的成员的所述网络边缘设备(20、50)的任何端口;以及
不允许所述MAC地址移动到所述安全端口组外的所述网络边缘设备(20、50)的任何端口。
11.根据权利要求10所述的装置,其中,所述可编程数字电路(54)可操作为执行操作,所述操作包括:
从在所述网络边缘设备(50)的特定端口上接收到的网络分组(60)中提取所述源MAC地址;
基于所提取的源MAC地址来检测所述源地址的移动;以及
在所述检测中,搜索在所述网络边缘设备(50)的端口和所提取的源MAC地址之间的关联,并且基于对于所述关联的成功搜索,基于关联的端口和所述特定端口的比较来确定所述源MAC地址的移动已经发生。
12.根据权利要求10所述的装置,其中,所述可编程数字电路(54)可操作为执行操作,所述操作包括:
更新所述网络边缘设备(50)可访问的表(56),以反映所述源MAC地址向作为相同安全端口组的成员的所述网络边缘设备(50)的相应端口的所允许的移动;以及
在所述不允许中,丢弃在不是端口(1-14)的安全组(34、36)的成员的所述网络边缘设备(20、50)的相应端口上接收到的包含所述源MAC地址的分组。
13.根据权利要求10所述的装置,其中,所述可编程数字电路(54)可操作为执行操作,所述操作包括:
从在作为端口(1-14)的安全组(34、36)的成员的所述网络边缘设备(20、50)的特定端口上接收到的网络分组(60)中提取源MAC地址;以及
基于所提取的源MAC地址与在所述安全端口组外的特定端口相关联的确定来发起安全动作。
14.至少一种计算机可读介质,所述至少一种计算机可读介质具有在其中包含的处理器可读程序代码,所述处理器可读程序代码适用于由处理器执行以实现下述方法,所述方法包括:
确定源MAC地址与作为网络边缘设备(20、50)的端口(1-14)的安全组(34、36)的成员的特定端口相关联;
允许所述源MAC地址移动到作为安全端口组的成员的所述网络边缘设备(20、50)的任何端口;以及
不允许所述MAC地址移动到所述安全端口组外的所述网络边缘设备(20、50)的任何端口。
15.根据权利要求14所述的至少一种计算机可读介质,其中,所述方法包括:
从在所述网络边缘设备(50)的特定端口上接收到的网络分组(60)中提取所述源MAC地址;以及
基于所提取的源MAC地址来检测所述源地址的移动;
其中,所述检测包括:搜索在所述网络边缘设备(50)的端口和所提取的源MAC地址之间的关联,以及基于对于所述关联的成功搜索,基于关联的端口和所述特定端口的比较来确定所述源MAC地址的移动已经发生。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2010/054926 WO2012060808A1 (en) | 2010-11-01 | 2010-11-01 | Managing mac moves with secure port groups |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103201982A true CN103201982A (zh) | 2013-07-10 |
Family
ID=46024723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010800699088A Pending CN103201982A (zh) | 2010-11-01 | 2010-11-01 | 利用安全端口组来管理mac移动 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9148360B2 (zh) |
| EP (1) | EP2636183A4 (zh) |
| CN (1) | CN103201982A (zh) |
| WO (1) | WO2012060808A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825846A (zh) * | 2014-02-28 | 2014-05-28 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及装置 |
| WO2015149432A1 (zh) * | 2014-04-04 | 2015-10-08 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法及控制装置 |
| CN107005483A (zh) * | 2014-12-27 | 2017-08-01 | 英特尔公司 | 用于高性能网络结构安全的技术 |
| CN107205058A (zh) * | 2016-03-16 | 2017-09-26 | 中兴通讯股份有限公司 | 一种媒体介入控制mac地址处理方法及装置 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8812727B1 (en) * | 2011-06-23 | 2014-08-19 | Amazon Technologies, Inc. | System and method for distributed load balancing with distributed direct server return |
| US9363207B2 (en) * | 2011-06-24 | 2016-06-07 | Cisco Technology, Inc. | Private virtual local area network isolation |
| CN102291320B (zh) * | 2011-09-29 | 2015-03-18 | 杭州华三通信技术有限公司 | Mac地址学习方法和边缘设备 |
| US9264295B1 (en) | 2012-03-02 | 2016-02-16 | Big Switch Networks, Inc. | Systems and methods for forwarding broadcast network packets with a controller |
| US9419909B2 (en) * | 2014-01-14 | 2016-08-16 | Verizon Patent And Licensing Inc. | Determining when to relearn a relationship between a network address and a port |
| US9338094B2 (en) * | 2014-03-31 | 2016-05-10 | Dell Products, L.P. | System and method for context aware network |
| JP2016009972A (ja) * | 2014-06-24 | 2016-01-18 | 富士通株式会社 | 通信制御装置,通信制御プログラム及び通信制御方法 |
| KR101589011B1 (ko) * | 2014-10-24 | 2016-01-27 | 주식회사 다산네트웍스 | 플로딩에 의한 통신 불능 현상이 개선된 수동광 네트워크 시스템 및 이의 플로딩에 의한 통신 불능 현상 개선방법 |
| CN106330652A (zh) * | 2015-06-30 | 2017-01-11 | 中兴通讯股份有限公司 | 交换机虚拟局域网中mac地址的学习方法及装置 |
| US20180070284A1 (en) * | 2016-09-05 | 2018-03-08 | Mediatek Inc. | Apparatuses and methods for propagating packets in a wireless mesh network supporting both flooding-based and routing-based relaying |
| US10225233B2 (en) * | 2017-06-07 | 2019-03-05 | Nicira, Inc. | Media access control (MAC) address learning in virtualized computing environments |
| US10742690B2 (en) | 2017-11-21 | 2020-08-11 | Juniper Networks, Inc. | Scalable policy management for virtual networks |
| US10742557B1 (en) | 2018-06-29 | 2020-08-11 | Juniper Networks, Inc. | Extending scalable policy management to supporting network devices |
| US10778724B1 (en) * | 2018-06-29 | 2020-09-15 | Juniper Networks, Inc. | Scalable port range management for security policies |
| CN109728992B (zh) * | 2018-11-27 | 2021-09-28 | 苏州盛科通信股份有限公司 | 分配转发域的方法、装置、存储介质及电子装置 |
| US11216309B2 (en) | 2019-06-18 | 2022-01-04 | Juniper Networks, Inc. | Using multidimensional metadata tag sets to determine resource allocation in a distributed computing environment |
| US11368488B2 (en) * | 2019-10-25 | 2022-06-21 | Fortinet, Inc. | Optimizing a security configuration of a networked environment |
| US11418955B2 (en) | 2020-05-15 | 2022-08-16 | Secureg | System and methods for transit path security assured network slices |
| US11711401B2 (en) | 2021-03-01 | 2023-07-25 | Secureg | Digital trust broker and end to end trust assurance in multi-domain, multi-operator and cloud networks for high security environments |
| US12021740B2 (en) | 2021-05-28 | 2024-06-25 | Juniper Networks, Inc. | Policy enforcement for bare metal servers by top of rack switches |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6041058A (en) * | 1997-09-11 | 2000-03-21 | 3Com Corporation | Hardware filtering method and apparatus |
| CN1778077A (zh) * | 2003-04-30 | 2006-05-24 | 思科技术公司 | 移动以太网 |
| CN101789972A (zh) * | 2009-01-27 | 2010-07-28 | 株式会社日立制作所 | 网络通信装置 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7027406B1 (en) * | 1998-04-16 | 2006-04-11 | Avaya Communication Israel Ltd. | Distributed port-blocking method |
| TW457790B (en) | 2000-01-15 | 2001-10-01 | Via Tech Inc | A routing control circuit and method providing network load balance and random port configuration |
| GB2358761B (en) * | 2000-01-25 | 2002-03-13 | 3Com Corp | Multi-port network communication device with selective mac address filtering |
| US7133403B1 (en) | 2000-05-05 | 2006-11-07 | Fujitsu Limited | Transport network and method |
| US7075926B2 (en) * | 2000-05-24 | 2006-07-11 | Alcatel Internetworking, Inc. (Pe) | Programmable packet processor with flow resolution logic |
| US7653743B2 (en) | 2000-11-28 | 2010-01-26 | Microsoft Corporation | Protocol for throttling high volume messages |
| US20030033421A1 (en) * | 2001-08-02 | 2003-02-13 | Amplify.Net, Inc. | Method for ascertaining network bandwidth allocation policy associated with application port numbers |
| US20030105881A1 (en) * | 2001-12-03 | 2003-06-05 | Symons Julie Anna | Method for detecting and preventing intrusion in a virtually-wired switching fabric |
| US7308703B2 (en) * | 2002-12-18 | 2007-12-11 | Novell, Inc. | Protection of data accessible by a mobile device |
| US7567510B2 (en) * | 2003-02-13 | 2009-07-28 | Cisco Technology, Inc. | Security groups |
| US7512078B2 (en) | 2003-10-15 | 2009-03-31 | Texas Instruments Incorporated | Flexible ethernet bridge |
| US7515530B2 (en) | 2004-03-25 | 2009-04-07 | Alcatel-Lucent Usa Inc. | Detecting loops between network devices by monitoring MAC moves |
| US7508757B2 (en) | 2004-10-15 | 2009-03-24 | Alcatel Lucent | Network with MAC table overflow protection |
| US20060179326A1 (en) * | 2005-02-10 | 2006-08-10 | Kwok-Yan Leung | Security device using multiple operating system for enforcing security domain |
| CN100352240C (zh) | 2005-05-19 | 2007-11-28 | 杭州华三通信技术有限公司 | 控制二层以太环网设备mac地址学习数目的方法 |
| JP4547341B2 (ja) | 2005-09-05 | 2010-09-22 | アラクサラネットワークス株式会社 | 通信品質制御機能を備えるパケット中継装置 |
| US8131871B2 (en) | 2006-01-12 | 2012-03-06 | Cisco Technology, Inc. | Method and system for the automatic reroute of data over a local area network |
| GB0601706D0 (en) * | 2006-01-27 | 2006-03-08 | Amrivox Ltd | Automatic IP Network Determination And Configuration For Edge Devices |
| US7593400B2 (en) * | 2006-05-19 | 2009-09-22 | Corrigent Systems Ltd. | MAC address learning in a distributed bridge |
| US7898986B2 (en) * | 2006-10-31 | 2011-03-01 | Hewlett-Packard Development Company, L.P. | Port configuration |
| JP5092546B2 (ja) | 2007-05-30 | 2012-12-05 | 日本電気株式会社 | 中継装置、ネットワーク及びそれらに用いるフレーム中継方法 |
| US8036217B2 (en) | 2008-06-03 | 2011-10-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus to count MAC moves at line rate |
| US7908368B2 (en) * | 2008-09-23 | 2011-03-15 | International Business Machines Corporation | Method and apparatus for redirecting data traffic based on external switch port status |
| JP5443745B2 (ja) | 2008-12-01 | 2014-03-19 | 富士通株式会社 | スイッチ |
| US8639783B1 (en) * | 2009-08-28 | 2014-01-28 | Cisco Technology, Inc. | Policy based configuration of interfaces in a virtual machine environment |
-
2010
- 2010-11-01 CN CN2010800699088A patent/CN103201982A/zh active Pending
- 2010-11-01 WO PCT/US2010/054926 patent/WO2012060808A1/en active Application Filing
- 2010-11-01 EP EP10859347.6A patent/EP2636183A4/en not_active Withdrawn
- 2010-11-01 US US13/876,898 patent/US9148360B2/en active Active
-
2015
- 2015-07-29 US US14/812,750 patent/US20150334089A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6041058A (en) * | 1997-09-11 | 2000-03-21 | 3Com Corporation | Hardware filtering method and apparatus |
| CN1778077A (zh) * | 2003-04-30 | 2006-05-24 | 思科技术公司 | 移动以太网 |
| CN101789972A (zh) * | 2009-01-27 | 2010-07-28 | 株式会社日立制作所 | 网络通信装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825846A (zh) * | 2014-02-28 | 2014-05-28 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及装置 |
| CN103825846B (zh) * | 2014-02-28 | 2017-02-15 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及装置 |
| WO2015149432A1 (zh) * | 2014-04-04 | 2015-10-08 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法及控制装置 |
| CN104980526A (zh) * | 2014-04-04 | 2015-10-14 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法、装置及网络设备 |
| CN107005483A (zh) * | 2014-12-27 | 2017-08-01 | 英特尔公司 | 用于高性能网络结构安全的技术 |
| CN107005483B (zh) * | 2014-12-27 | 2021-01-26 | 英特尔公司 | 用于高性能网络结构安全的技术 |
| CN107205058A (zh) * | 2016-03-16 | 2017-09-26 | 中兴通讯股份有限公司 | 一种媒体介入控制mac地址处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2636183A4 (en) | 2016-08-31 |
| WO2012060808A1 (en) | 2012-05-10 |
| US9148360B2 (en) | 2015-09-29 |
| EP2636183A1 (en) | 2013-09-11 |
| US20150334089A1 (en) | 2015-11-19 |
| US20130182722A1 (en) | 2013-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103201982A (zh) | 利用安全端口组来管理mac移动 | |
| KR101500094B1 (ko) | 이더넷 기반의 차량 네트워크 메시지 전달 시스템 및 방법 | |
| TWI472187B (zh) | 網路系統、控制器、網路管理方法、儲存媒體、通信系統及通信方法 | |
| RU2523917C2 (ru) | Система управления связью и способ управления связью | |
| US20140022894A1 (en) | Network system, switch and connected terminal detection method | |
| EP3026852A1 (en) | Loop avoidance method, device and system | |
| US10050859B2 (en) | Apparatus for processing network packet using service function chaining and method for controlling the same | |
| US20130308651A1 (en) | Packet Processing Method, Device and System | |
| US20110264795A1 (en) | Communication network managment system, method and program, and management computer | |
| CN104584492B (zh) | 报文处理方法、设备及系统 | |
| CN109462515A (zh) | 环路处理方法、网络设备、mlag组网及存储介质 | |
| EP3253030B1 (en) | Method and device for reporting openflow switch capability | |
| US9692636B2 (en) | Relay system and relay device | |
| WO2016085375A1 (en) | Methods, routing device and further routing device for managing data frames in switched networks | |
| EP2525527B1 (en) | Network relay device and network relay method | |
| US9596131B2 (en) | Method for transiting operation mode of routing processor | |
| US9521091B2 (en) | Relay system and switching device | |
| CN105338127A (zh) | 媒体接入控制mac地址表更新方法、交换机及系统 | |
| TWI505675B (zh) | 網路交換器與資料更新方法 | |
| CN106059810B (zh) | 一种消息通知方法及系统 | |
| CN107409088B (zh) | 一种数据包转发方法和网络设备 | |
| WO2017054535A1 (zh) | 流量转发方法及装置 | |
| US20150180775A1 (en) | Communication System, Control Apparatus, Communication Method, and Program | |
| CN112702236B (zh) | 一种实现丢包检测的方法和处理器 | |
| CN111740914B (zh) | 一种ospf协议报文分布式处理方法、系统及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20170609 |