[发明专利]一种优化交换机访问控制的方法、系统、设备及介质

说明书

本发明公开了一种优化交换机访问控制的方法、系统、设备和存储介质，方法包括：监测交换机的CPU资源的使用率，并判断所述CPU资源的使用率是否超过第一阈值；响应于所述CPU资源的使用率超过所述第一阈值，监测每个端口处理的报文数量，并确定当前处理报文数量最多的第一端口；关闭所述第一端口的动态地址解析协议检测功能，并开启所述第一端口的网际协议源保护功能；以及重复上述步骤直到所述CPU资源的使用率不超过所述第一阈值。本发明通过交换机CPU资源和端口报文流量的实时监控结果为基准，对每个端口的DAI功能和IP Source Guard功能进行灵活切换，达到交换机CPU资源和存储资源的最优配置。

技术领域

本发明涉及交换机领域，更具体地，特别是指一种优化交换机访问控制的方法、系统、计算机设备及可读介质。

背景技术

交换机的主要作用，简而言之就是一个“多端口网桥”，它为每一个主机分配一个业务端口，在多个主机之间进行相互通信时，交换机可以在数据链路层上隔离冲突域。攻击者可以利用交换机的工作原理，进行如下行动：

1.泛洪攻击。不断发送访问未知端口主机(目的主机MAC(Media Access Control，介质访问控制)地址不在交换机MAC表中)的以太帧，使得交换机不得不采用广播泛洪的方式转发至其他端口，占用大量网络资源，造成拒绝服务；

2.IP(Internet Protocol，网际协议)地址欺骗。指攻击者产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。黑客使用一台计算机上网，而借用另外一台机器的IP地址，从而冒充另外一台机器与服务器打交道；

3.ARP报文欺骗。ARP欺骗，又称ARP毒化或ARP攻击，是针对以太网地址解析协议(ARP)的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。根据ARP欺骗者与被欺骗者之间的角色关系的不同，通常可以把ARP欺骗攻击分为主机型ARP欺骗和网关型ARP欺骗。

为应对上述攻击，当前的大多数交换机都会提供IP Source Guard(网际协议源保护)技术和DAI(Dynamic Address Resolution Protocol Inspection，动态地址解析协议检测)技术对上述报文攻击和其他交换机安全问题进行防范，以提高交换机端口的安全性。目前，市面上的主流厂商的交换机还没能做到这两种技术在特定场景下的切换，以达到交换机CPU资源和存储资源的最优配置。

发明内容

有鉴于此，本发明实施例的目的在于提出一种优化交换机访问控制的方法、系统、计算机设备及计算机可读存储介质，本发明通过交换机CPU资源和端口报文流量的实时监控结果为基准，对每个端口的DAI功能和IP Source Guard功能进行灵活切换，达到交换机CPU资源和存储资源的最优配置。

基于上述目的，本发明实施例的一方面提供了一种优化交换机访问控制的方法，包括如下步骤：监测交换机的CPU资源的使用率，并判断所述CPU资源的使用率是否超过第一阈值；响应于所述CPU资源的使用率超过所述第一阈值，监测每个端口处理的报文数量，并确定当前处理报文数量最多的第一端口；关闭所述第一端口的动态地址解析协议检测功能，并开启所述第一端口的网际协议源保护功能；以及重复上述步骤直到所述CPU资源的使用率不超过所述第一阈值。

在一些实施方式中，所述开启所述第一端口的网际协议源保护功能包括：生成所述第一端口的绑定数据库，将原始数据库中的客户端主机信息同步到所述绑定数据库。

在一些实施方式中，方法还包括：响应于新增未记录在所述原始数据库中的静态绑定信息，设置对所述静态绑定信息的处理方式，并将所述静态绑定信息写入所述绑定数据库。