CN109005119B - 一种设置mac地址认证下线检测时间的方法及交换机 - Google Patents
一种设置mac地址认证下线检测时间的方法及交换机 Download PDFInfo
- Publication number
- CN109005119B CN109005119B CN201811150011.2A CN201811150011A CN109005119B CN 109005119 B CN109005119 B CN 109005119B CN 201811150011 A CN201811150011 A CN 201811150011A CN 109005119 B CN109005119 B CN 109005119B
- Authority
- CN
- China
- Prior art keywords
- mac address
- processing unit
- data message
- forwarding
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种设置MAC地址认证下线检测时间的方法及交换机,处理单元通过芯片通道接收转发芯片发送的数据报文及其接收端口标识;处理单元若基于数据报文的源MAC地址在MAC认证列表中未查找到匹配的认证信息表项,对数据报文进行认证,在数据报文通过认证后,为数据报文的接收端口标识指示的物理端口分配虚拟端口,在MAC认证列表中记录源MAC地址的认证信息表项,并设置认证信息表项的老化时间为MAC地址下线检测周期;处理单元以分配的虚拟端口为出端口生成转发表项并同步到转发芯片;转发芯片在硬件转发表中记录转发表项记录。实现了一个下线检测周期删除源MAC的认证表项信息,缩短了用户下线周期,提高了用户的下线效率。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种设置MAC地址认证下线检测时间的方法及交换机。
背景技术
物理地址(Media Access Control或者Medium Access Control,MAC)地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,无需安装客户端软件。设备在启动了MAC地址认证的端口上首次检测到来自用户的数据报文后,启动对该用户的MAC地址的认证操作。若该用户认证成功,则允许其通过端口访问网络资源。
设备开启端口的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下在线用户的报文,则将切断与该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。设备在开启端口的MAC地址认证下线检测功能后,启动下线检测定时器,当到达定时器的检测周期之后,查询认证的MAC是否有源命中;其中,有用户的数据报文认证的MAC就对应有源命中标记;此时,若查询到认证的MAC有源命中标记,在当前检测周期将源命中标记清除,若下一个周期继续检测到该认证的是否有源命中标记,若没有源命标记中,则删除该认证的MAC。
现有技术中,对于一个新认证的MAC的下线检测方法,在一个检测周期清除该MAC的源命中标记,在下一个检测周期若未检测到该MAC的源命中标记则删除该MAC,这样,需要有2个检测周期才能让用户下线,时间周期较长。
发明内容
有鉴于此,本申请实施例的目的在于提供一种设置MAC地址认证下线检测时间的方法及交换机,实现了在一个下线检测周期删除源MAC的认证表项信息,缩短了用户下线周期,提高了用户的下线效率。
第一方面,本申请实施例提供了一种设置MAC地址认证下线检测时间的方法,应用于交换机,所述交换机包括处理单元和转发芯片,所述方法包括:
所述处理单元通过芯片通道接收所述转发芯片发送的数据报文及所述数据报文的接收端口标识;
所述处理单元基于所述数据报文的源MAC地址在MAC认证列表执行查找;
所述处理单元未查找到所述数据报文的源MAC地址匹配的认证信息表项,对所述数据报文进行认证;
所述处理单元确定所述数据报文通过认证,为所述数据报文的接收端口标识指示的物理端口分配虚拟端口,在所述MAC认证列表中记录所述源MAC地址的认证信息表项,并设置所述认证信息表项的老化时间为MAC地址下线检测周期;所述认证信息表项包括所述源MAC地址、所述接收端口标识指示的物理端口以及为所述物理端口分配的虚拟端口;
所述处理单元以分配的所述虚拟端口为出端口生成转发表项,并通过所述芯片通道将所述转发表项同步到所述转发芯片;所述转发表项记录所述源MAC地址及所述源MAC地址对应的所述虚拟端口;
所述转发芯片将接收到的所述转发表项记录在硬件转发表中。
第二方面,本申请实施例还提供了一种交换机,包括:处理单元和转发芯片;
所述处理单元,用于通过芯片通道接收所述转发芯片发送的数据报文及所述数据报文的接收端口标识;
所述处理单元,还用于基于所述数据报文的源MAC地址在MAC认证列表执行查找;
所述处理单元,还用于在未查找到所述数据报文的源MAC地址匹配的认证信息表项时,对所述数据报文进行认证;
所述处理单元,还用于确定所述数据报文通过认证,为所述数据报文的接收端口标识指示的物理端口分配虚拟端口,在所述MAC认证列表中记录所述源MAC地址的认证信息表项,并设置所述认证信息表项的老化时间为MAC地址下线检测周期;所述认证信息表项包括所述源MAC地址、所述接收端口标识指示的物理端口以及为所述物理端口分配的虚拟端口;
所述处理单元,还用于以分配的所述虚拟端口为出端口生成转发表项,并通过所述芯片通道将所述转发表项同步到所述转发芯片;所述转发表项记录所述源MAC地址及所述源MAC地址对应的所述虚拟端口;
所述转发芯片,用于将接收到的所述转发表项记录在硬件转发表中。
本申请实施例提供的一种设置MAC地址认证下线检测时间的方法及交换机,处理单元在接收到数据报文后,若在MAC认证列表中未查找到数据报文的源MAC地址匹配的认证信息表项,对数据报文进行认证,并建立通过认证的数据报文的认证信息表项,以及,基于认证信息表项生成转发表项并同步给转发芯片。这样,转发芯片基于转发表项将接收到的数据报文上送给处理单元,以使处理单元重新认证信息表项的老化时间。同时,处理单元删除没有报文命中且到达老化时间的认证表项信息。通过采用上述机制,实现了在一个下线检测周期删除源MAC的认证表项信息,缩短了用户下线周期,提高了用户的下线效率。
本申请实施例中,转发芯片接收数据报文,并根据数据报文的接收端口和源MAC地址进行硬件转发表学习,由于转发表项中包括源MAC地址及源MAC地址对应的虚拟端口,因此,转发芯片在硬件转发表中查找到数据报文的源MAC地址时,由于源MAC地址对应的虚拟端口与数据报文的接收端口不一致,转发芯片仍然将数据报文上送给处理单元,以使处理单元重置该源MAC地址对应的认证信息表项的老化时间,这样,能够保证未下线用户业务的正常运行。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例所提供的一种交换机的结构图。
图2示出了本申请实施例所提供的一种设置MAC地址认证下线检测时间的方法的流程图。
图3示出了本申请实施例所提供的另一种设置MAC地址认证下线检测时间的方法的流程图。
图4示出了本申请实施例所提供的另一种设置MAC地址认证下线检测时间的方法的流程图。
图5示出了本申请实施例所提供的另一种设置MAC地址认证下线检测时间的方法的流程图。
图6示出了本申请实施例所提供的另一种设置MAC地址认证下线检测时间的方法的流程图。
图7示出了本申请实施例所提供的另一种设置MAC地址认证下线检测时间的方法的流程图。
图8示出了本申请实施例所提供的另一种设置MAC地址认证下线检测时间的方法的流程图。
图9示出了本申请实施例所提供的另一种设置MAC地址认证下线检测时间的方法的流程图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1示出了本申请实施例提供的一种交换机的结构图,如图1所示,交换机包括转发芯片和处理单元,交换机上还配置有物理端口。其中,物理端口与转发芯片电连接,转发芯片与处理单元电连接。作为一种可选的实施方式,处理单元为中央处理器(CPU,CentralProcessing Unit)。
基于上述交换机,本申请第一实施例提供了一种设置MAC地址认证下线检测时间的方法,应用于交换机,所述交换机包括处理单元和转发芯片;如图2所示,所述方法包括:
S101、所述处理单元通过芯片通道接收所述转发芯片发送的数据报文及所述数据报文的接收端口标识。
本申请实施例中,转发芯片接收数据报文,获取该数据报文的接收端口标识,并基于该接收端口标识对数据报文进行封装,并将封装后的数据报文发送给处理单元。此时,封装后的数据报文包括源媒体访问控制(Media Access Control或者Medium AccessControl,MAC)地址和接收端口标识。
S102、所述处理单元基于所述数据报文的源MAC地址在MAC认证列表执行查找。
本申请实施例中,处理单元中预先建立MAC认证列表。其中,上述MAC认证列表包括通过认证的源MAC地址的认证信息表项。这里,上述MAC认证列表可以是处理单元根据用户的配置指令建立的,也可以是处理单元自学习建立的。
S103、所述处理单元未查找到所述数据报文的源MAC地址匹配的认证信息表项,对所述数据报文进行认证。
作为一种可选的的实施方式,处理单元中对所述数据报文的认证方式如下:处理单元中记录有具有网络访问权限的源MAC地址,处理单元判断数据报文的源MAC地址是否为处理单元中记录的具有网络访问权限的源MAC地址,若是,则确定数据报文通过认证。若不是,则确定数据报文未通过认证。
S104、所述处理单元确定所述数据报文通过认证,为所述数据报文的接收端口标识指示的物理端口分配虚拟端口,在所述MAC认证列表中记录所述源MAC地址的认证信息表项,并设置所述认证信息表项的老化时间为MAC地址下线检测周期;所述认证信息表项包括所述源MAC地址、所述接收端口标识指示的物理端口以及为所述物理端口分配的虚拟端口。
本申请实施例中,处理单元预先创建接收端口标识指示的物理端口对应的虚拟端口,每一个所述物理端口对应一个虚拟端口,并生成出方向映射表项,该出方向映射表项中记录了分配的虚拟端口与数据报文的接收端口标识指示的物理端口的映射关系。
比如,在物理端口(如port1)配置认证的时候,处理单元基于port1端口创建虚拟端口Svp1,出方向映射表项为Svp1指向Port1。再比如,在物理端口(如port2)配置认证的时候,处理单元基于port2端口创建虚拟端口Svp2,出方向映射表项为Svp2指向Port2。
处理单元在判断数据报文的源MAC地址为处理单元中记录的具有网络访问权限的源MAC地址,确定数据报文通过认证。此时,为所述数据报文的接收端口标识指示的物理端口分配与该物理端口对应的虚拟端口,并基于所述数据报文的源MAC地址、物理端口和对应的虚拟端口,生成认证信息表项,并将该认证信息表项写入MAC认证列表中,同时,设置该认证信息表项的老化时间为MAC地址下线检测周期。其中,处理单元建立的认证表如表1所示:
| MAC地址 | 出端口 | 指向端口 | 老化时间 |
| 1-1-1 | Svp1 | Port1 | 300s |
| 2-2-2 | Svp2 | Port2 | 300s |
表1
S105、所述处理单元以分配的所述虚拟端口为出端口生成转发表项,并通过所述芯片通道将所述转发表项同步到所述转发芯片;所述转发表项记录所述源MAC地址及所述源MAC地址对应的所述虚拟端口。
本申请实施例中,处理单元在生成认证信息表项之后,基于认证信息表项中的源MAC地址和对应虚拟端口,以对应的虚拟端口为出端口,生成转发表项,并将转发表项同步给转发芯片。其中,转发表项如表2所示:
| MAC地址 | 出端口 |
| 1-1-1 | Svp1 |
| 2-2-2 | Svp2 |
表2
S106、所述转发芯片将接收到的所述转发表项记录在硬件转发表中。
本申请实施例中,转发芯片在接收到数据报文后,基于硬件转发表向处理单元上送数据报文。
作为一种具体实施方式,转发芯片在接收到数据报文后,基于所述数据报文的源MAC地址在硬件转发表中执行查找,若未查找到与所述源MAC地址匹配的转发表项,则将数据报文上送数据报文。
作为另一种具体实施方式,转发芯片在接收到数据报文后,基于所述数据报文的源MAC地址在硬件转发表中执行查找,若查找到与所述源MAC地址匹配的转发表项,由于转发表项中的出端口为虚拟端口,该虚拟端口与数据报文的接收端口不一致,因此,转发芯片仍然将数据报文上送处理单元。
本申请实施例提供的一种设置MAC地址认证下线检测时间的方法,处理单元在接收到数据报文后,若在MAC认证列表中未查找到数据报文的源MAC地址匹配的认证信息表项,对数据报文进行认证,并建立通过认证的数据报文的认证信息表项,以及,基于认证信息表项生成转发表项并同步给转发芯片。这样,转发芯片基于转发表项将接收到的数据报文上送给处理单元,以使处理单元重新认证信息表项的老化时间。同时,处理单元删除没有报文命中且到达老化时间的认证表项信息。通过采用上述机制,实现了在一个下线检测周期删除源MAC的认证表项信息,缩短了用户下线周期,提高了用户的下线效率。
本申请实施例中,转发芯片接收数据报文,并根据数据报文的接收端口和源MAC地址进行硬件转发表学习,由于转发表项中包括源MAC地址及源MAC地址对应的虚拟端口,因此,转发芯片在硬件转发表中查找到数据报文的源MAC地址时,由于源MAC地址对应的虚拟端口与数据报文的接收端口不一致,转发芯片仍然将数据报文上送给处理单元,以使处理单元重置该源MAC地址对应的认证信息表项的老化时间,这样,能够保证未下线用户业务的正常运行。
进一步的,如图3所示,本申请实施例提供的设置MAC地址认证下线检测时间的方法,步骤101,所述处理单元基于所述数据报文的源MAC地址在MAC认证列表执行查找之后,所述方法还包括以下步骤:
S201、所述处理单元查找到所述数据报文的源MAC地址匹配的认证信息表项。
S202、确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口一致。
S203、将匹配的所述认证信息表项的老化时间重置为所述MAC地址下线检测周期。
结合步骤201至步骤203,其中,MAC认证列表中的认证信息表项的老化时间按照预设时长减小。作为一种具体的实施方式,上述预设时长设置为1s,处理单元中设置有定时器,定时器每1s轮询一次MAC认证列表中的认证信息表项,并将每个认证信息表项的老化时间减1。
处理单元在接收到数据报文后,从MAC认证列表中查找与数据报文的源MAC地址匹配的认证信息表项,在查找到认证信息表项后,将认证信息表项的老化时间重置为MAC地址下线检测周期。比如,认证信息表项的老化时间可设置缺省为300s,处理单元在接收到数据报文时,该认证信息表项的老化时间变成100s,此时,处理单元将认证信息表项的老化时间100s重置为300s。处理单元在检测到任一认证信息表项的老化时间为0,删除该认证信息表项。
进一步的,如图4所示,本申请实施例提供的设置MAC地址认证下线检测时间的方法,步骤101,所述处理单元基于所述数据报文的源MAC地址在MAC认证列表执行查找之后,所述方法还包括以下步骤:
S301、所述处理单元查找到所述数据报文的源MAC地址匹配的认证信息表项;确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口不一致。
本申请实施例中,处理单元从MAC认证列表中查找到所述数据报文的源MAC地址匹配的认证信息表项后,判断数据报文的接收端口标识指示的物理端口是否与该认证信息表项中记录的物理端口相一致,若不一致,则执行步骤302。
S302、所述处理单元对所述数据报文进行认证,确定所述数据报文通过认证,为所述数据报文的接收端口标识指示的物理端口分配新虚拟端口,根据所述数据报文的接收端口标识指示的物理端口以及所述新虚拟端口更新匹配的认证信息表项;将更新后的认证信息表项的老化时间重置为所述MAC地址下线检测周期。
这里,处理单元在确定该数据报文的源MAC地址为处理单元中记录的具有网络访问权限的源MAC地址,确定该数据报文通过认证。此时,为所述数据报文的接收端口标识指示的物理端口分配与该物理端口对应的新虚拟端口,并基于所述数据报文的源MAC地址、物理端口和对应的新虚拟端口,生成新认证信息表项。
作为一种实施方式,处理单元将生成的新认证信息表项写入MAC认证列表中,并设置该新认证信息表项的老化时间为MAC地址下线检测周期。同时,删除MAC认证列表中源MAC地址对应的认证信息表项。
作为另一种实施方式,处理单元使用生成的新认证信息表项中的物理端口和为该物理端口分配的新虚拟端口替换源MAC地址对应的认证信息表项中的物理端口和该物理端口分配的虚拟端口,并设置该新认证信息表项的老化时间为MAC地址下线检测周期。
S303、所述处理单元以所述新虚拟端口为出端口生成更新转发表项,通过所述芯片通道将所述转发表项同步到所述转发芯片;所述更新转发表项包含所述源MAC地址对应于分配所述新虚拟端口。
本申请实施例中,处理单元在生成新认证信息表项之后,基于新认证信息表项中的源MAC地址和对应新虚拟端口,以对应的新虚拟端口为出端口,生成更新转发表项,并将更新转发表项同步给转发芯片。
S304、所述转发芯片根据接收到的所述更新转发表项更新所述硬件转发表中所述源MAC地址的硬件转发表项。
作为一种可选的实施方式,转发芯片在接收到更新转发表项后,删除硬件转发表中所述源MAC地址的转发表项,并将所述源MAC地址的更新转发表项写入硬件转发表。
进一步的,如图5所示,本申请实施例提供的设置MAC地址认证下线检测时间的方法,步骤102,所述处理单元基于所述数据报文的源MAC地址在MAC认证列表执行查找之后,所述方法还包括以下步骤:
S401、所述处理单元查找到所述数据报文的源MAC地址匹配的认证信息表项。
S402、确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口不一致。
S403、所述处理单元对所述数据报文进行认证,确定所述数据报文未通过认证,不更新匹配的认证信息表项。
结合步骤401至步骤403,处理单元从MAC认证列表中查找到所述数据报文的源MAC地址匹配的认证信息表项后,判断数据报文的接收端口标识指示的物理端口是否与该认证信息表项中记录的物理端口相一致,若不一致,则对数据报文进行认证。若数据报文未通过认证,该数据报文可能是攻击报文,针对数据报文未通过认证的情况,处理单元不更新匹配的认证信息表项。
处理单元监控到认证信息表项的老化时间减小为0时,删除该认证信息表项,而该认证信息表项的用户再次请求业务,处理单元需要重新该用户进行认证。
进一步的,如图6所示,本申请实施例提供的设置MAC地址认证下线检测时间的方法中,步骤101,所述处理单元通过芯片通道接收转发芯片发送的数据报文及所述数据报文的接收端口标识之前,所述方法还包括:
S501、所述转发芯片接收所述数据报文,基于所述数据报文的源MAC地址在所述硬件转发表中执行查找。
S502、所述转发芯片确定未查找到匹配的转发表项,所述转发芯片通过所述芯片通道向所述处理单元发送所述数据报文及所述数据报文的接收端口标识。
结合步骤501至步骤502,若转发芯片接收到的数据报文为首包数据报文后,硬件转发表中不存在转发表项,此时,转发芯片在查找硬件转发表后,若未查找到匹配的转发表项,则通过芯片通道将该数据报文及该数据报文的接收端口标识上送给处理单元,由处理单元执行对该报文进行认证及后续处理。
进一步的,如图7所示,本申请实施例提供的设置MAC地址认证下线检测时间的方法中,步骤101,所述处理单元通过芯片通道接收所述转发芯片发送的数据报文及所述数据报文的接收端口标识之前,所述方法还包括:
S601、所述转发芯片接收所述数据报文,基于所述数据报文的源MAC地址在所述硬件转发表中执行查找。
S602、所述转发芯片查找到所述源MAC地址匹配的转发表项,确定查找到的所述转发表项的出端口与所述数据报文的接收端口不一致,通过所述芯片通道向所述处理单元发送所述数据报文及所述数据报文的接收端口标识。
结合步骤601至步骤602,若转发芯片接收到的数据报文为非首包数据报文后,硬件转发表中可能存在该数据报文的转发表项。此时,转发芯片在查找硬件转发表后,若查找到该数据报文的源MAC地址匹配的转发表项,则将所述数据报文的接收端口标识指示的接收端口与查找到的转发表项的出端口进行比较,由于数据报文的接收端口标识指示的接收端口为物理端口,转发表项的出端口为虚拟端口,处理单元确定数据报文的接收端口查找到的转发表项中的虚拟端口不一致,仍然通过所述芯片通道向所述处理单元发送所述数据报文及所述数据报文的接收端口标识,由处理单元执行对该报文进行认证及后续处理。
进一步的,如图8所示,本申请实施例提供的设置MAC地址认证下线检测时间的方法中,所述方法还包括:
S701、所述处理单元生成出方向映射表项,其中记录了分配的所述虚拟端口与所述数据报文的接收端口标识指示的物理端口的映射关系。
本申请实施例中,处理单元创建接收端口标识指示的物理端口对应的虚拟端口后,并生成出方向映射表项,该出方向映射表项中记录了分配的虚拟端口与数据报文的接收端口标识指示的物理端口的映射关系。
比如,在物理端口(比如即port1)配置认证的时候,处理单元基于port1端口创建虚拟端口Svp1,出方向映射表项为Svp1指向Port1。再比如,在物理端口(比如即port2)配置认证的时候,处理单元基于port2端口创建虚拟端口Svp2,出方向映射表项为Svp2指向Port2。
S702、所述处理单元通过所述芯片通道向所述转发芯片发送所述出方向映射表项。
S703、所述转发芯片记录接收到的所述出方向映射表项。
本申请实施例中,转发芯片在转发数据报文时,从硬件转发表中查找与所述数据报文的目的MAC地址匹配的转发表项,然后,从出方向映射表项中查找与所述转发表项中的虚拟端口指向的物理端口,最后,通过查找到的物理端口转发所述数据报文。
举例来讲,来自物理端口(即port1)的数据报文的目的MAC是转发表项中已经通过认证的MAC地址,由于该MAC地址的出端口是虚拟端口Svp2,由于Svp2的出方向是对应Port2(也即Svp2指向Port2),因此,该数据报文从Port2转发出去。
进一步的,如图9所示,本申请实施例提供的设置MAC地址认证下线检测时间的方法中,所述方法还包括:
S801、所述处理单元生成更新的出方向映射表项,其中记录了分配的所述新虚拟端口与所述数据报文的接收端口标识指示的物理端口的映射关系。
本申请实施例中,处理单元创建接收端口标识指示的物理端口对应的新虚拟端口后,并生成更新的出方向映射表项,该更新的出方向映射表项中记录了分配的新虚拟端口与数据报文的接收端口标识指示的物理端口的映射关系。
比如,在物理端口(即port1)配置认证的时候,处理单元基于port1端口创建虚拟端口Svp1,出方向映射表项为Svp1指向Port1。更改之后变成了,处理单元基于port1端口创建虚拟端口Svp3,出方向映射表项为Svp3指向Port1。
S802、所述处理单元通过所述芯片通道向所述转发芯片发送所述更新的出方向映射表项。
S803、所述转发芯片根据接收到的所述更新的出方向映射表项更新所述物理端口对应的出方向映射表项。
本申请实施例中,转发芯片在接收到更新的出方向映射表项后,删除已存储的出方向映射表项,并存储更新的出方向映射表。或者,转发芯片用更新的出方向映射表替换已存储的出方向映射表项。
本申请实施例中,转发芯片在转发数据报文时,从硬件转发表中查找与所述数据报文的目的MAC地址匹配的转发表项,然后,从更新的出方向映射表中查找与所述转发表项中的虚拟端口指向的物理端口,最后,通过查找到的物理端口转发所述数据报文。
本申请第二实施例提供了一种交换机,包括:处理单元和转发芯片;
所述处理单元,用于通过芯片通道接收所述转发芯片发送的数据报文及所述数据报文的接收端口标识;
所述处理单元,还用于基于所述数据报文的源MAC地址在MAC认证列表执行查找;
所述处理单元,还用于在未查找到所述数据报文的源MAC地址匹配的认证信息表项时,对所述数据报文进行认证;
所述处理单元,还用于确定所述数据报文通过认证,为所述数据报文的接收端口标识指示的物理端口分配虚拟端口,在所述MAC认证列表中记录所述源MAC地址的认证信息表项,并设置所述认证信息表项的老化时间为MAC地址下线检测周期;所述认证信息表项包括所述源MAC地址、所述接收端口标识指示的物理端口以及为所述物理端口分配的虚拟端口;
所述处理单元,还用于以分配的所述虚拟端口为出端口生成转发表项,并通过所述芯片通道将所述转发表项同步到所述转发芯片;所述转发表项记录所述源MAC地址及所述源MAC地址对应的所述虚拟端口;
所述转发芯片,用于将接收到的所述转发表项记录在硬件转发表中。
进一步的,本申请实施例提供的交换机中,所述处理单元,还用于:
查找到所述数据报文的源MAC地址匹配的认证信息表项;确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口一致;将匹配的所述认证信息表项的老化时间重置为所述MAC地址下线检测周期。
进一步的,本申请实施例提供的交换机中,所述处理单元,还用于:
查找到所述数据报文的源MAC地址匹配的认证信息表项;确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口不一致;
对所述数据报文进行认证,确定所述数据报文通过认证,为所述数据报文的接收端口标识指示的物理端口分配新虚拟端口,根据所述数据报文的接收端口标识指示的物理端口以及所述新虚拟端口更新匹配的认证信息表项;将更新后的认证信息表项的老化时间重置为所述MAC地址下线检测周期;
以所述新虚拟端口为出端口生成更新转发表项,通过所述芯片通道将所述转发表项同步到所述转发芯片;所述更新转发表项包含所述源MAC地址对应于分配所述新虚拟端口;
所述转发芯片,还用于根据接收到的所述更新转发表项更新所述硬件转发表中所述源MAC地址的硬件转发表项。
进一步的,本申请实施例提供的交换机中,所述处理单元,还用于:
查找到所述数据报文的源MAC地址匹配的认证信息表项;确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口不一致;
对所述数据报文进行认证,确定所述数据报文未通过认证,不更新匹配的认证信息表项。
进一步的,本申请实施例提供的交换机中,
所述转发芯片,还用于接收所述数据报文,基于所述数据报文的源MAC地址在所述硬件转发表中执行查找;
所述转发芯片,还用于确定未查找到匹配的转发表项,所述转发芯片通过所述芯片通道向所述处理单元发送所述数据报文及所述数据报文的接收端口标识。
进一步的,本申请实施例提供的交换机中,
所述转发芯片,还用于接收所述数据报文,基于所述数据报文的源MAC地址在所述硬件转发表中执行查找;
所述转发芯片,还用于查找到所述源MAC地址匹配的转发表项,确定查找到的所述转发表项的出端口与所述数据报文的接收端口不一致,通过所述芯片通道向所述处理单元发送所述数据报文及所述数据报文的接收端口标识。
进一步的,本申请实施例提供的交换机中,
所述处理单元,还用于生成出方向映射表项,其中记录了分配的所述虚拟端口与所述数据报文的接收端口标识指示的物理端口的映射关系;
所述处理单元,还用于通过所述芯片通道向所述转发芯片发送所述出方向映射表项;
所述转发芯片,还用于记录接收到的所述出方向映射表项。
进一步的,本申请实施例提供的交换机中,
所述处理单元,还用于生成更新的出方向映射表项,其中记录了分配的所述新虚拟端口与所述数据报文的接收端口标识指示的物理端口的映射关系;
所述处理单元,还用于通过所述芯片通道向所述转发芯片发送所述更新的出方向映射表项;
所述转发芯片,还用于根据接收到的所述更新的出方向映射表项更新所述物理端口对应的出方向映射表项。
对应于上述设置MAC地址认证下线检测时间的方法,本申请第三实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述设置MAC地址认证下线检测时间的方法中处理单元执行的步骤。
具体地,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该存储介质上的计算机程序被运行时,能够执行上述设置MAC地址认证下线检测时间的方法中处理单元执行的步骤。
本申请实施例所提供的处理单元可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的系统、装置和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务设备,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种设置MAC地址认证下线检测时间的方法,其特征在于,应用于交换机,所述交换机包括处理单元和转发芯片,所述方法包括:
所述处理单元通过芯片通道接收所述转发芯片发送的数据报文及所述数据报文的接收端口标识;
所述处理单元基于所述数据报文的源MAC地址在MAC认证列表执行查找;
所述处理单元未查找到所述数据报文的源MAC地址匹配的认证信息表项,对所述数据报文进行认证;
所述处理单元确定所述数据报文通过认证,为所述数据报文的接收端口标识指示的物理端口分配虚拟端口,在所述MAC认证列表中记录所述源MAC地址的认证信息表项,并设置所述认证信息表项的老化时间为MAC地址下线检测周期;所述认证信息表项包括所述源MAC地址、所述接收端口标识指示的物理端口以及为所述物理端口分配的虚拟端口;
所述处理单元以分配的所述虚拟端口为出端口生成转发表项,并通过所述芯片通道将所述转发表项同步到所述转发芯片;所述转发表项记录所述源MAC地址及所述源MAC地址对应的所述虚拟端口;
所述转发芯片将接收到的所述转发表项记录在硬件转发表中。
2.根据权利要求1所述的设置MAC地址认证下线检测时间的方法,其特征在于,所述处理单元基于所述数据报文的源MAC地址在MAC认证列表执行查找之后,所述方法还包括以下步骤:
所述处理单元查找到所述数据报文的源MAC地址匹配的认证信息表项;确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口一致;将匹配的所述认证信息表项的老化时间重置为所述MAC地址下线检测周期。
3.根据权利要求1所述的设置MAC地址认证下线检测时间的方法,其特征在于,所述处理单元基于所述数据报文的源MAC地址在MAC认证列表执行查找之后,所述方法还包括以下步骤:
所述处理单元查找到所述数据报文的源MAC地址匹配的认证信息表项;确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口不一致;
所述处理单元对所述数据报文进行认证,确定所述数据报文通过认证,为所述数据报文的接收端口标识指示的物理端口分配新虚拟端口,根据所述数据报文的接收端口标识指示的物理端口以及所述新虚拟端口更新匹配的认证信息表项;将更新后的认证信息表项的老化时间重置为所述MAC地址下线检测周期;
所述处理单元以所述新虚拟端口为出端口生成更新转发表项,通过所述芯片通道将所述转发表项同步到所述转发芯片;所述更新转发表项包含所述源MAC地址对应于分配所述新虚拟端口;
所述转发芯片根据接收到的所述更新转发表项更新所述硬件转发表中所述源MAC地址的硬件转发表项。
4.根据权利要求1所述的设置MAC地址认证下线检测时间的方法,其特征在于,所述处理单元基于所述数据报文的源MAC地址在MAC认证列表执行查找之后,所述方法还包括以下步骤:
所述处理单元查找到所述数据报文的源MAC地址匹配的认证信息表项;确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口不一致;
所述处理单元对所述数据报文进行认证,确定所述数据报文未通过认证,不更新匹配的认证信息表项。
5.根据权利要求1所述的设置MAC地址认证下线检测时间的方法,其特征在于,所述处理单元通过芯片通道接收转发芯片发送的数据报文及所述数据报文的接收端口标识之前,所述方法还包括:
所述转发芯片接收所述数据报文,基于所述数据报文的源MAC地址在所述硬件转发表中执行查找;
所述转发芯片确定未查找到匹配的转发表项,所述转发芯片通过所述芯片通道向所述处理单元发送所述数据报文及所述数据报文的接收端口标识。
6.根据权利要求2或3所述的设置MAC地址认证下线检测时间的方法,其特征在于,所述处理单元通过芯片通道接收所述转发芯片发送的数据报文及所述数据报文的接收端口标识之前,所述方法还包括:
所述转发芯片接收所述数据报文,基于所述数据报文的源MAC地址在所述硬件转发表中执行查找;
所述转发芯片查找到所述源MAC地址匹配的转发表项,确定查找到的所述转发表项的出端口与所述数据报文的接收端口不一致,通过所述芯片通道向所述处理单元发送所述数据报文及所述数据报文的接收端口标识。
7.根据权利要求1所述的设置MAC地址认证下线检测时间的方法,其特征在于,所述方法还包括:
所述处理单元生成出方向映射表项,其中记录了分配的虚拟端口与所述数据报文的接收端口标识指示的物理端口的映射关系;
所述处理单元通过所述芯片通道向所述转发芯片发送所述出方向映射表项;
所述转发芯片记录接收到的所述出方向映射表项。
8.根据权利要求7所述的设置MAC地址认证下线检测时间的方法,其特征在于,所述方法还包括:
所述处理单元生成更新的出方向映射表项,其中记录了分配的新虚拟端口与所述数据报文的接收端口标识指示的物理端口的映射关系;
所述处理单元通过所述芯片通道向所述转发芯片发送所述更新的出方向映射表项;
所述转发芯片根据接收到的所述更新的出方向映射表项更新所述物理端口对应的出方向映射表项。
9.一种交换机,其特征在于,包括:处理单元和转发芯片;
所述处理单元,用于通过芯片通道接收所述转发芯片发送的数据报文及所述数据报文的接收端口标识;
所述处理单元,还用于基于所述数据报文的源MAC地址在MAC认证列表执行查找;
所述处理单元,还用于在未查找到所述数据报文的源MAC地址匹配的认证信息表项时,对所述数据报文进行认证;
所述处理单元,还用于确定所述数据报文通过认证,为所述数据报文的接收端口标识指示的物理端口分配虚拟端口,在所述MAC认证列表中记录所述源MAC地址的认证信息表项,并设置所述认证信息表项的老化时间为MAC地址下线检测周期;所述认证信息表项包括所述源MAC地址、所述接收端口标识指示的物理端口以及为所述物理端口分配的虚拟端口;
所述处理单元,还用于以分配的所述虚拟端口为出端口生成转发表项,并通过所述芯片通道将所述转发表项同步到所述转发芯片;所述转发表项记录所述源MAC地址及所述源MAC地址对应的所述虚拟端口;
所述转发芯片,用于将接收到的所述转发表项记录在硬件转发表中。
10.根据权利要求9所述的交换机,其特征在于,所述处理单元还用于:
查找到所述数据报文的源MAC地址匹配的认证信息表项;确定所述数据报文的接收端口标识指示的物理端口与匹配的所述认证信息表项记录的物理端口一致;将匹配的所述认证信息表项的老化时间重置为所述MAC地址下线检测周期。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811150011.2A CN109005119B (zh) | 2018-09-29 | 2018-09-29 | 一种设置mac地址认证下线检测时间的方法及交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811150011.2A CN109005119B (zh) | 2018-09-29 | 2018-09-29 | 一种设置mac地址认证下线检测时间的方法及交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109005119A CN109005119A (zh) | 2018-12-14 |
| CN109005119B true CN109005119B (zh) | 2021-02-09 |
Family
ID=64590249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811150011.2A Active CN109005119B (zh) | 2018-09-29 | 2018-09-29 | 一种设置mac地址认证下线检测时间的方法及交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109005119B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111654485B (zh) * | 2020-05-26 | 2023-04-07 | 新华三信息安全技术有限公司 | 一种客户端的认证方法以及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104584507A (zh) * | 2012-08-27 | 2015-04-29 | 西门子公司 | 通过交换站对第一设备进行认证 |
| CN105391634A (zh) * | 2015-12-08 | 2016-03-09 | 福建星网锐捷网络有限公司 | 一种报文处理方法、装置及交换机 |
| CN105592037A (zh) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种mac地址认证方法和装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8495714B2 (en) * | 2011-07-20 | 2013-07-23 | Bridgewater Systems Corp. | Systems and methods for authenticating users accessing unsecured wifi access points |
| CN102938715B (zh) * | 2012-11-30 | 2016-03-30 | 杭州华三通信技术有限公司 | 基于mac地址认证的离线检测方法和设备 |
| CN103944826B (zh) * | 2013-01-22 | 2017-03-15 | 杭州华三通信技术有限公司 | Spbm网络中的表项聚合方法及设备 |
| CN103929461B (zh) * | 2013-08-12 | 2018-03-20 | 新华三技术有限公司 | 堆叠系统中的mac地址信息同步方法及装置 |
| CN106060072B (zh) * | 2016-06-30 | 2019-09-06 | 新华三技术有限公司 | 认证方法以及装置 |
| CN106453409B (zh) * | 2016-11-28 | 2019-12-10 | 迈普通信技术股份有限公司 | 一种报文处理方法及接入设备 |
| CN107332774B (zh) * | 2017-06-09 | 2019-12-03 | 烽火通信科技股份有限公司 | 一种vpls中基于软硬件协同进行mac地址学习的方法 |
-
2018
- 2018-09-29 CN CN201811150011.2A patent/CN109005119B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104584507A (zh) * | 2012-08-27 | 2015-04-29 | 西门子公司 | 通过交换站对第一设备进行认证 |
| CN105592037A (zh) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种mac地址认证方法和装置 |
| CN105391634A (zh) * | 2015-12-08 | 2016-03-09 | 福建星网锐捷网络有限公司 | 一种报文处理方法、装置及交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109005119A (zh) | 2018-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101857511B1 (ko) | 가상 머신 마이그레이션을 판정하는 방법 및 장치 | |
| CN108259347B (zh) | 一种报文传输方法和装置 | |
| CN108683668B (zh) | 内容分发网络中的资源校验方法、装置、存储介质及设备 | |
| CN107656695B (zh) | 一种数据存储、删除方法、装置及分布式存储系统 | |
| CN106878199B (zh) | 一种接入信息的配置方法和装置 | |
| EP2824872B1 (en) | Host providing system and communication control method | |
| CN108259218B (zh) | 一种ip地址分配方法和装置 | |
| CN108777663B (zh) | 一种路由信息的同步方法及装置 | |
| CN111240896A (zh) | 一种终端数据同步方法、装置、服务器及存储介质 | |
| US11166174B2 (en) | Management server, communication system, management server control method, and program | |
| CN109005119B (zh) | 一种设置mac地址认证下线检测时间的方法及交换机 | |
| US9906953B2 (en) | Method and user equipment for discovering device user | |
| CN110620694A (zh) | 一种客户端上线恢复方法、装置、电子设备及存储介质 | |
| WO2019037664A1 (zh) | 地址分配 | |
| CN107547400B (zh) | 一种虚拟机迁移方法和装置 | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| CN108540582B (zh) | 一种终端标识的处理方法、服务器及终端 | |
| CN108616896B (zh) | 运营商识别方法、装置及互联网访问系统 | |
| CN110708275B (zh) | 一种协议报文的处理方法和装置 | |
| JP2016208175A (ja) | 通信方法、通信システム、情報処理装置、及びプログラム | |
| US10165502B2 (en) | Asynchronous information transfer between devices on different networks via a plurality of provider devices | |
| JP6114214B2 (ja) | ネットワーク装置、及び、通信方法 | |
| US10594842B2 (en) | Method for real-time synchronization between a device and host servers | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| US9563388B2 (en) | Sharing a hosted device in a computer network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |