本发明专利技术公开了一种端口安全的实现方法及系统,该方法主要包括:使能交换机端口的端口安全功能,关闭该端口硬件学习MAC地址的能力;在交换机端口配置端口安全IP-MAC规则;若在配置IP-MAC规则时或在配置IP-MAC规则后交换机端口的状态为up,则交换机端口发送ARP报文并根据接收到的ARP报文内容与配置的端口安全IP-MAC规则进行匹配,对FDB表中的MAC表项执行动作。本发明专利技术所述的方法及系统能够很好的解决端口安全与各种操作系统的兼容性之间存在的问题,同时能够防止MAC地址表过大的问题;并且在实际应用中,能够有效实现银行或其他金融系统在安全访问控制策略上的应用。
【技术实现步骤摘要】
一种端口安全的实现方法及系统
本专利技术属于数据通信
,涉及一种端口安全规则的实现方法及系统。
技术介绍
在对接入安全访问控制比较严格的行业,例如金融行业,为实现安全访问控制,通常在接入交换机上开启端口安全功能进行安全接入控制。只有允许的特定主机才能访问网络,未被允许的主机则禁止访问网络。在接入层交换机上实施端口安全模块后,如果实施的是端口安全的MAC(MediaAccessControl,媒体访问控制)规则,则无法控制用户随意更换IP地址的现象;如果实施的是最大数规则,则无法针对某个特定终端进行安全控制;但是端口安全的IP-MAC规则解决了以上两个问题,其采用的办法为只有特定MAC和IP地址的终端才允许访问网络,否则会被拒绝。但是在实际应用中,如果IP-MAC机制处理不当又会引起与不同操作系统终端的兼容性问题,造成IP-MAC规则在具体实施应用中受到了限制。由此总结出的问题为,在接入层交换机上实施端口安全进行访问控制后,无论采用的是MAC规则还是MAXIMUM规则,都无法做到指定终端使用指定IP接入网络的功效,同时IP-MAC规则处理流程不完善还会引起端口安全与不同操作系统兼容性的问题。
技术实现思路
本专利技术所要解决的技术问题是为了克服现有技术中端口安全规则与不同操作系统终端存在兼容性的问题而提供一种端口安全的实现方法及系统。本专利技术解决其技术问题采用的技术方案是:一种端口安全IP-MAC规则的实现方法,包括:使能交换机端口的端口安全功能,关闭该端口硬件学习媒体访问控制MAC地址的能力;在交换机端口配置端口安全IP-MAC规则;若在配置IP-MAC规则时或在配置IP-MAC规则后交换机端口的状态为连通up时,则交换机端口发送地址解析协议ARP报文并根据接收到的ARP报文内容与配置的端口安全IP-MAC规则进行匹配,根据匹配结果对FDB表中的MAC表项执行相应动作。进一步的,若所述交换机端口的状态为连通up时,交换机端口发送ARP请求报文;当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN接口配置有IP地址,则发送的ARP请求报文中源IP和源MAC选用该三层VLAN接口的IP和MAC;当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN接口没有配置IP地址,则发送的ARP请求报文中的源IP和源MAC选用交换机其他的任一三层VLAN接口的IP和MAC;当交换机整机任一三层VLAN接口都没配置有IP,则不发送ARP请求报文。进一步的,所述交换机根据接收的ARP报文内容与端口安全IP-MAC规则进行匹配的过程为:提取接收到的ARP报文中的源MAC与源IP,如果源MAC与端口安全IP-MAC规则匹配,但IP不匹配,且该ARP报文中的源IP不是全0,则删除该源MAC在FDB表里的MAC表项;如果源MAC与端口安全IP-MAC规则匹配,但IP不匹配,且该ARP报文中的源IP是全0,则不删除该源MAC在FDB表里的MAC表项;如果源MAC和源IP与端口安全IP-MAC规则均匹配,则将该源MAC添加到FDB表里的MAC表项;如果源MAC与端口安全IP-MAC规则不匹配,则删除该源MAC在FDB表里的MAC表项。更进一步的,所述交换机接收到的ARP报文包括ARP请求报文和ARP响应报文,所述ARP请求报文和ARP响应报文中分别包括源MAC和源IP。进一步的,若在配置IP-MAC规则后交换机端口的状态为未连通DOWN时或终端处于下线状态,则在FDB表中删除该MAC表项。更进一步的,所述终端是否处于下线状态通过定期发送ARP报文进行测试,若在预设时间内或预设发送ARP报文次数内没有收到终端的回应报文则表示该终端处于下线状态,则在FDB表中删除该MAC表项。为了解决技术问题,本专利技术还提供了一种端口安全IP-MAC规则的实现系统,包括:端口安全启动模块、端口安全IP-MAC规则配置模块以及端口安全IP-MAC规则匹配模块;所述端口安全启动模块用于使能交换机端口的端口安全功能,关闭该端口硬件学习MAC地址的能力;所述端口安全IP-MAC规则配置模块用于在交换机端口配置端口安全IP-MAC规则;所述端口安全IP-MAC规则匹配模块用于在若配置IP-MAC规则时或在配置IP-MAC规则后交换机端口的状态为up,则交换机端口发送ARP报文并根据接收到的ARP报文内容与配置的端口安全IP-MAC规则进行匹配,对FDB表中的MAC表项执行动作。进一步的,所述端口安全IP-MAC匹配模块在所述交换机端口的状态为up时,交换机端口发送ARP请求报文;当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN(局域网)接口配置有IP地址,则发送的ARP请求报文中源IP和源MAC选用该三层VLAN接口的IP和MAC;当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN接口没有配置IP地址,则发送的ARP请求报文中的源IP和源MAC选用交换机其他的任一三层VLAN接口的IP和MAC;当交换机整机任一三层VLAN接口都没配置有IP,则不发送ARP请求报文。进一步的,所述端口安全IP-MAC匹配模块中交换机根据接收的ARP报文内容与端口安全IP-MAC规则进行匹配的过程为:提取接收到的ARP报文中的源MAC与源IP,如果源MAC与端口安全IP-MAC规则匹配,但IP不匹配,且该ARP报文中的源IP不是全0,则删除该源MAC在FDB表里的MAC表项;如果源MAC与端口安全IP-MAC规则匹配,但IP不匹配,且该ARP报文中的源IP是全0,则不删除该源MAC在FDB表里的MAC表项;如果源MAC和源IP与端口安全IP-MAC规则均匹配,则将该源MAC添加到FDB表里的MAC表项;如果源MAC与端口安全IP-MAC规则不匹配,则删除该源MAC在FDB表里的MAC表项。进一步的,所述端口安全IP-MAC匹配模块还用于,若在配置IP-MAC规则后交换机端口的状态为DOWN或终端处于下线状态,则在FDB表中删除该MAC表项。本专利技术的有益效果:本专利技术一种端口安全IP-MAC规则的实现方法及系统,通过在配置有端口安全IP-MAC规则的交换机端口发送ARP报文及接收ARP报文,并提取报文中的源MAC和源IP与端口安全IP-MAC规则进行匹配,从而实现了指定MAC和IP地址的终端能够允许访问网络,能够很好的解决端口安全与各种操作系统的兼容性之间存在的问题,同时能够防止MAC地址表过大的问题;并且在实际应用中,能够有效实现银行或其他金融系统在安全访问控制策略上的应用。附图说明图1为本专利技术实施例的一种端口安全IP-MAC规则的实现方法的系统框图;图2为本专利技术实施例的一种端口安全IP-MAC规则的实现方法中端口状态为up时IP-MAC规则匹配的具体流程图;图3为本专利技术实施例的一种端口安全IP-MAC规则的实现方法中端口状态为DOWN时的IP-MAC规则匹配的具体流程图;图4为本专利技术实施例的一种端口安全IP-MAC规则的实现系统的示意框图。具体实施方式下面结合附图和具体的实施例对本专利技术作进一步的阐述。如图1所示为本专利技术实施例的一种端口安全IP-MAC规则的实现方法的系统框图,包括:使能交换机端口的端口安全功能,关闭该端口硬件学习MAC本文档来自技高网...
【技术保护点】
一种端口安全的实现方法,其特征在于,包括:使能交换机端口的端口安全功能,关闭该端口硬件学习媒体访问控制MAC地址的能力;在交换机该端口上配置至少一条端口安全IP‑MAC规则;若在配置IP‑MAC规则时或在配置IP‑MAC规则后交换机端口的状态为连通up时,则交换机端口发送地址解析协议ARP请求报文并根据接收到的ARP报文内容与配置的端口安全IP‑MAC规则进行匹配,根据匹配结果对转发地址FDB表中的MAC表项执行相应动作。
【技术特征摘要】
1.一种端口安全的实现方法,其特征在于,包括:使能交换机端口的端口安全功能,关闭该端口硬件学习媒体访问控制MAC地址的能力;在交换机该端口上配置至少一条端口安全IP-MAC规则;若在配置IP-MAC规则时或在配置IP-MAC规则后交换机端口的状态为连通up时,则交换机端口发送地址解析协议ARP请求报文并根据接收到的ARP报文内容与配置的端口安全IP-MAC规则进行匹配,根据匹配结果对转发地址FDB表中的MAC表项执行相应动作;若所述交换机端口的状态为up时,交换机端口发送ARP请求报文;当配置了端口安全IP-MAC规则的交换机端口所在的三层虚拟局域网VLAN接口配置有IP地址,则发送的ARP请求报文中源IP和源MAC选用该三层VLAN接口的IP和MAC;当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN接口没有配置IP地址,则发送的ARP请求报文中的源IP和源MAC选用交换机其他的任一三层VLAN接口的IP和MAC;当交换机整机任一三层VLAN接口都没配置有IP,则不发送ARP请求报文。2.如权利要求1所述的方法,其特征在于,所述交换机根据接收的ARP报文内容与端口安全IP-MAC规则进行匹配的过程为:提取接收到的ARP报文中的源MAC与源IP,如果源MAC与端口安全IP-MAC规则匹配,但IP不匹配,且该ARP报文中的源IP不是全0,则删除该源MAC在FDB表里的MAC表项;如果源MAC与端口安全IP-MAC规则匹配,但IP不匹配,且该ARP报文中的源IP是全0,则不删除该源MAC在FDB表里的MAC表项;如果源MAC和源IP与端口安全IP-MAC规则均匹配,则将该源MAC添加到FDB表里的MAC表项;如果源MAC与端口安全IP-MAC规则不匹配,则删除该源MAC在FDB表里的MAC表项。3.如权利要求1至2任一项所述的方法,其特征在于,所述交换机接收到的ARP报文包括ARP请求报文和ARP响应报文,所述ARP请求报文和ARP响应报文中分别包括源MAC和源IP。4.如权利要求1所述的方法,其特征在于,若在配置IP-MAC规则后交换机端口的状态为DOWN或终端处于下线状态,则在FDB表中删除该MAC表项。5.如权利要求4所述的方法,其特征在于,所述终端是否处于下线状态通过定期发送ARP报文进行测试,若在预设时间内或预设发送ARP报文次...
【专利技术属性】
技术研发人员:张隆伟,王文科,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。