[发明专利]镜像802.1AE明文和密文的方法及交换芯片

说明书

本发明揭示了一种镜像802.1AE明文和密文的方法及交换芯片，应用于网络通信技术领域。所述方法包括启用端口镜像功能，并配置端口镜像模式；判断镜像模式与报文标识符逻辑与运算结果，若结果为非零，则当前报文满足被镜像的条件，则执行镜像操作。本发明所述的镜像802.1AE明文和密文的方法及交换芯片，功能灵活，应用于不同需求的场景，所述交换机芯片能够感知当前处理的报文是明文还是密文，结合配置的镜像模式，能够灵活的镜像802.1AE密文，或者明文，或者同时镜像密文和明文。

技术领域

本发明涉及一种网络通信技术领域，尤其是涉及一种灵活镜像802.1AE明文和密文的方法及交换芯片。

背景技术

MACsec是一个用以保护局域网安全的主要协议，这一协议通过识别局域网上非授信站点来阻止其通信，从而保证网络正常运行，同时还能保护信息完整性和保密信，并减少对二层协议的攻击，很好的保护局域网不受被动接线、假冒、中间人以及部分拒绝任务攻击等袭击。

MACsec可为用户提供安全的MAC层数据发送和接收服务，包括用户数据加密、数据帧完整性校验，使能了MACsec功能且启用了MACsec保护的端口发送数据帧时，需要对它进行加密；使能了MACsec功能的端口收到经过MACsec封装的数据帧时，需要对它进行解密。加解密所使用的秘钥是收发双方通过协议协商得到的。如果收发两端之间存在第三方窃听者，由于窃听得到的是被加密过的数据，所以没法窃取到报文三层及以上的内容，因此安全性得到了保证。

端口镜像是指通过配置交换机或者路由器，把一个或多个端口的数据转发到某一个端口，来实现对网络的监听，端口镜像是对网络流量监控的一个有效的安全手段，对监控流量的分析可以进行安全性的检查，同时也能及时地在网络发生故障时进行准确的定位。

现有技术方案802.1AE加解密模块是在MAC上面实现的，交换机接收到一个802.1AE密文时，在MAC层解密，然后将解密后的明文送进交换机处理芯片；交换机芯片将需要发送出去的报文发送给MAC层，然后MAC层进行加密，最终从交换机发送出去的就是802.1AE密文；

在启用MACsec功能的端口上启用端口镜像功能时，只能镜像出802.1AE密文，不能镜像出明文，或者不能同时镜像出密文和明文。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种镜像802.1AE明文和密文的方法及交换芯片，所述方法及交换芯片能够镜像出某个端口802.1AE密文或者明文，或者同时密文和明文。

为实现上述目的，本发明提出如下技术方案：一种镜像802.1AE明文和密文的方法，其特征在于，包括如下步骤：

步骤1，启用端口镜像功能，并配置端口镜像模式；

步骤2，判断镜像模式与报文标识符逻辑与运算结果，若结果为非零，则当前报文满足被镜像的条件，则执行镜像操作。

优选地，所述端口镜像模式选自不启用镜像、只镜像明文、只镜像密文，以及同时镜像明文和密文中的一种，其中，

不启用镜像的配置命令为：mirrorMode[1：0]＝2′00；

只镜像明文的配置命令为：mirrorMode[1：0]＝2′01；

只镜像密文的配置命令为：mirrorMode[1：0]＝2′10；

同时镜像明文和密文的配置命令为：mirrorMode[1：0]＝2′11。

优选地，所述报文标识符包括第一报文标识符和第二报文标识符，所述第一报文标识符表示报文是否需要解密，以及是否已完成解密，所述第二报文标识符表示报文是否需要加密，以及是否已完成加密。

优选地，所述第一报文标识符为(1，0)，则报文需要解密，且未完成解密操作；