[发明专利]一种基于安全端口地址访问网络的控制方法

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种基于安全端口地址访问网络的控制方法。

背景技术

现有的以太网交换机提供了多种网络安全机制，来解决在开放式环境中的网络安全问题。基于端口地址的安全技术是指以太网交换机对通过某个端口的数据包的传输进行控制的技术。端口安全是一种基于MAC地址对网络接入进行控制的安全机制，是对已有的802.1X认证和MAC地址认证的有力扩充，是一个比较成熟的技术。

基于安全端口对接入用户访问网络进行控制和限制的方法可以归纳为以下几种，其主要是通过限制端口学习MAC(Media Access Control，介质访问控制层)地址、查找MAC地址表、软件维护MAC地址表和绑定表检查等实现对接入网络的控制：

1、配置端口的学习状态：以太网交换机用户可以根据需要设置某个端口禁止学习新的MAC地址，使该端口仅允许以用户手工配置的静态MAC地址为源MAC地址的数据包通过，而来自于其它MAC地址的数据包则因为其相应的MAC地址无法学习到MAC地址表中被丢弃；

2、设置端口最多允许学习的MAC地址数：以太网交换机用户根据实际需要配置相应端口允许学习的MAC地址个数，当端口已经学习到允许的MAC地址个数后，将停止学习新的MAC地址，直到部分MAC地址老化后，才可以学习新MAC地址，所以相应的以太网交换机端口只允许设置数量的接入用户进行正常的网络访问；

3、端口和MAC地址绑定：将MAC地址与对应的端口绑定，即在端口上配置静态MAC地址，并禁止该端口进行MAC地址学习，从而限定该端口上允许通过的报文的源MAC地址，而来自其他MAC地址的报文均被丢弃。

上述技术在一定程度上起到了网络访问控制的作用，但在具体的应用过程中仍然无法满足网络访问控制的多种需求。目前实现防地址假冒可以通过在MAC地址表中配置静态表项实现，如通过禁止端口学习MAC地址或者将MAC地址和端口绑定的措施实现，但MAC地址表中的静态表项一般是针对重要的MAC地址而言，如果把所有的端口的MAC地址都设置为静态表项，则MAC地址表支持的可学习的MAC地址数量大大减少，不方便动态接入用户的需求；如果MAC地址和端口绑定，当用户从一个端口移到另一端口时，将导致合法用户无法访问网络，所以对于不是非常重要的MAC地址通常不需要将其设置为静态表项。

通过启用安全端口功能可以达到控制端口下的MAC地址，只允许某些合法MAC地址的用户接入网络的目的，保证了网络的安全。但现有技术中基于MAC地址的端口安全功能只是基于动态MAC地址和静态MAC地址这两种类型，静态MAC地址需要手动配置，配置较复杂且配置方式单一，当网络中存在大量用户时，给网络管理员带来很大负担；动态MAC地址通过端口学习得到，动态MAC地址安全级别较低，容易受到攻击造成MAC地址迁移。此外，现有技术中的基于安全端口访问网络的控制不能进行动态MAC地址配置的保存和恢复，不能灵活的进行端口的违背状态处理和MAC地址的老化，不能针对端口所属的VLAN进行MAC地址的接入控制等。因此，需要一种更有效、更灵活地基于安全端口地址访问网络的控制方法，保护正常用户接入网络。

发明内容

为了克服现有技术中存在的缺陷和不足，本发明提供一种更有效、更灵活地基于安全端口地址访问网络的控制方法。

一种基于安全端口地址访问网络的控制方法，包括：

S1：在交换机上配置任意指定端口为安全端口并进入STICKY模式，学习建立STICKY类型MAC表，所述STICKY类型MAC表为安全端口开启STICKY模式时将所有的动态类型MAC地址转化为STICKY类型的MAC地址形成的MAC表项；

S2：根据安全端口接收数据帧的源MAC地址和虚拟局域网标识信息，查询所述STICKY类型MAC表，判断是否存在与所述源MAC地址相同的STICKY类型MAC表项，如不存在，则执行步骤S3；如存在，则执行步骤S4；

S3：判断安全端口上安全MAC地址数量是否达到配置的阈值，执行配置的是否学习新MAC地址的动作；

S4：判断源MAC地址与MAC地址表项中STICKY类型MAC地址是否在同一端口上，执行配置的是否更新原有安全MAC地址表项的动作。

进一步地，所述步骤S3中配置的安全MAC地址阈值包括安全端口上STICKY类型MAC地址阈值和安全端口所属虚拟局域网上STICKY类型MAC地址阈值，选择其中较小的阈值作为端口安全MAC地址数目限制阈值。