一种端口安全的实现方法及装置制造方法

一种端口安全的实现方法及装置制造方法
【专利摘要】本发明公开了一种端口安全的实现方法及装置，涉及网络【技术领域】，使得一个网络用户能够与交换机的一个或多个或全部端口进行绑定，以保证用户能够灵活、安全地访问网络。本发明的具体实施例包括：在不能确定网络用户从哪个端口接入时，以动态表项的形式存储网络用户的MAC地址，当交换机的端口接收到网络用户的报文时，更新存储的动态表项，并根据获取的该网络用户的端口和VLAN信息，和网络管理者的配置进行对比，确定该网络用户是合法用户并且是从合法端口接入网络的，将该网络用户的MAC表项修改为静态表项。本发明技术方案主要应用于网络用户网络接入流程中。
【专利说明】一种端口安全的实现方法及装置
【技术领域】
[0001]本发明涉及网络【技术领域】，尤其涉及一种端口安全的实现方法及装置。
【背景技术】
[0002]以太网交换机相比其它网络设备，易用性很突出，插上以太网线就可接入网络，这种便利性虽然有利于网络部署，但也存在安全隐患，容易出现非法接入网络的情况。针对安全接入问题，在以太网中引入了多种技术，其中端口安全技术是最常用的一种，端口安全技术将网络用户的MAC地址、VLAN (Virtual Local Area Network,虚拟局域网)ID与交换机的端口绑定起来，限定网络用户只能从绑定的端口接入网络，非绑定用户不能访问网络，从而保证网络数据的安全性。但是在实现上述的端口安全技术过程中，同一个网络用户的MAC地址、VLAN ID只能与交换机的一个端口绑定，不能绑定到多个端口，更不能与交换机的所有端口绑定。
[0003]具体的，交换机端口安全功能分为两个部分。一部分是软件控制模块，另一部分是对交换机芯片MAC地址表资源的管理。进一步的，在交换机中的某一个端口启用端口安全功能后，首先关掉该端口的MAC地址硬件学习功能，同时打开源MAC地址查找失败则丢弃报文的控制开关，但是ARP (Address Resolution Protocol,地址解析协议)报文不受这个开关的限制，交换机可以将该ARP报文直接交给该交换机内部的CPU处理，CPU收到这一 ARP报文后，解析出报文的MAC地址、VLAN ID信息，并将这些信息与网络管理者的配置进行对t匕。如果这些信息代表的网络用户是网络管理者的配置允许的合法用户，交换机的CPU则将该网络用户的MAC地址写到交换机芯片的MAC地址表中，这样当该网络用户的下一个报文到达时，会在交换机芯片的MAC地址表中查找成功，进而进行正常转发，也就是该网络用户后续能正常访问网络。如果在网络管理者的配置中找不到相应的信息，CPU不会将MAC地址写入交换机芯片，该用户后续报文因在交换机芯片中查不到MAC信息会被丢弃，也就是说该网络用户不能访问网络。
[0004]现有的端口安全技术，只允许网络用户与交换机的一个端口绑定。一方面，网络管理者不一定能准确地确定网络用户要从哪个端口接入网络；另一方面，在实际的应用环境中，网络用户的工作位置会经常变动，从而就必须更换接入端口。这两个因素导致，网络管理者为网络用户配置的交换机端口，与该网络用户实际接入的端口很大程度上是不同的，进而会导致该网络用户不能访问网络。所以迫切需要一种网络用户与交换机的多个或全部端口进行绑定的方法，以保证网络用户能够灵活、安全地访问网络。

【发明内容】

[0005]本发明的实施例提供一种端口安全的实现方法及装置，使得一个网络用户与交换机的一个或多个或全部端口进行绑定，以保证用户能够灵活、安全地访问网络。
[0006]为达到上述目的，本发明的实施例采用如下技术方案:
[0007]一种端口安全的实现方法，包括:[0008]在接收到网络用户的报文之前，根据网络管理者的配置获取所述网络用户的MAC地址，以动态表项的形式存储所述网络用户的MAC地址，形成交换芯片的MAC表项，所述MAC表项的端口置为CPU端口 ；
[0009]当接收到所述网络用户的报文时，更新所述MAC表项，并获取所述网络用户的端口和虚拟局域网VLAN信息；所述更新后的MAC表项的端口为实际接收所述报文的端口 ；
[0010]根据所述网络用户的端口和VLAN信息，与网络管理者的配置进行对比，判断所述网络用户是否是合法用户；
[0011 ] 当确定所述网络用户是合法用户，修改所述MAC表项为静态表项。
[0012]一种端口安全的实现装置，包括:
[0013]获取单元，用于在接收到网络用户的报文之前，根据网络管理者的配置获取所述网络用户的MAC地址，并以动态表项的形式存储所述网络用户的MAC地址，形成交换芯片的MAC表项，所述MAC表项的端口置为CPU的端口 ；
[0014]更新单元，用于当接收到所述网络用户的报文时，更新通过所述获取单元形成的所述MAC表项；所述更新后的MAC表项的端口为实际接收所述报文的端口 ；
[0015]所述获取单元，还用于在所述更新单元更新所述MAC表项后，获取所述网络用户的端口和虚拟局域网VLAN信息；
[0016]判断单元，用于根据所述获取单元获取的所述网络用户的端口和VLAN信息，与网络管理者的配置进行对比，判断所述网络用户是否是合法用户；
[0017]修改单元，用于通过所述判断单元的判断，确定所述网络用户是合法用户，修改所述MAC表项为静态表项。
[0018]本发明实施例提供的一种端口安全的实现方法，在不能确定网络用户从哪个端口接入时，以动态表项的形式存储网络用户的MAC地址，当接入端口接收到网络用户的报文时，更新存储的动态表项，并根据获取的该网络用户的端口和VLAN信息，确定该网络用户是合法用户，修改该网络用户的MAC表项修改为静态表项。现有技术中，网络用户只能与交换机的一个端口绑定，当接收报文的端口不是指定接入端口时，导致该网络用户的报文被丢弃，从而造成网络访问失败的问题，而本发明实施例提供的技术方案，使得一个网络用户与能够与交换机的一个或多个或者全部端口进行绑定，以保证网络用户能够灵活、安全地访问网络。
【专利附图】

【附图说明】
[0019]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0020]图1为本发明一实施例提供的一种端口安全实现方法的流程图；
[0021]图2为本发明另一实施例提供的一种端口安全实现方法的流程图；
[0022]图3为本发明一实施例提供的另一种端口安全实现方法的流程图；
[0023]图4为本发明一实施例提供的一种端口安全的实现装置的组成示意图；
[0024]图5为本发明一实施例提供的另一种端口安全的实现装置的组成示意图。【具体实施方式】
[0025]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0026]本发明一实施例提供了一种端口安全的实现方法，如图1所示，该方法包括:
[0027]101、在接收到网络用户的报文之前，根据网络管理者的配置，以动态表项的形式存储网络用户的MAC地址，形成MAC表项。
[0028]其中，MAC表项的端口置为CPU的端口。
[0029]由于此时交换机不能确定网络用户从哪一个端口接入，因此，此时的网络用户的状态为未确认状态。
[0030]102、当接收到网络用户的报文时，更新MAC表项，并获取网络用户的端口和VLAN信息。
[0031]其中，更新后的MAC表项的端口为实际接收该网络用户报文的端口。获取网络用户的端口信息用于确定该网络用户的接入端口。
[0032]103、将获取的网络用户的端口和VLAN信息，与网络管理者的配置进行对比，判断网络用户是否是合法用户并且从合法端口接入网络。
[0033]其中，当该网络用户为合法用户时，表示交换机允许该网络用户通过接收报文的端口，来访问网络。
[0034]104、当确定网络用户是合法用户，修改MAC表项为静态表项。
[0035]其中，静态表项是不能迁移的，此时将MAC表项修改为静态表项，指的是该网络用户与接收其报文的端口绑定，进而通过该端口访问网络。
[0036]本发明实施例提供的一种端口安全的实现方法，在不能确定网络用户从哪个端口接入时，以动态表项的形式存储网络用户的MAC地址，当交换机的端口接收到网络用户的报文时，更新存储的动态表项，并根据获取的该网络用户的端口和VLAN信息，确定该网络用户是合法用户并且是从合法端口接入网络的，修改该网络用户的MAC表项修改为静态表项。现有技术中，网络用户只能与交换机的一个端口绑定，当接收报文的端口不是指定接入端口时，导致该网络用户的报文被丢弃，从而造成网络访问失败的问题，而本发明实施例提供的技术方案，使得一个网络用户与能够与交换机的一个或多个或者全部端口进行绑定，以保证网络用户能够灵活、安全地访问网络。
[0037]结合上一实施例的描述，为了更为完善地实现上述实施例描述的技术方案，还需要执行下述步骤:
[0038]首先，在根据网络用户的端口和VLAN信息，判断网络用户是否为合法用户并且从合法端口接入网络之前，需要获取到网络管理者的配置。
[0039]其中的，网络管理者的配置至少包括网络用户与交换机端口的对应关系，也就是说规定网络用户可以接入的交换机的端口。相对于现有的端口安全中只允许网络用户绑定一个端口来说，本实施例在配置时，就使得网络用户可以从一个或多个或全部端口接入，这样就显著提高了网络用户接入的灵活性而又不失安全性，提高了整个网络的可用性，降低网络部署难度和维护成本。
[0040]具体的，根据网络用户的端口和VLAN信息，判断网络用户是否为合法用户并且从合法端口接入网络，包括:
[0041]当网络用户的端口和VLAN信息，与网络管理者配置中与网络用户对应的配置一致时，确定该网络用户是合法用户。判断所述网络用户是否是合法用户的方法为，判断所述网络用户的MAC地址是否合法以及是否从合法端口接入网络。
[0042]本发明实施例还存在另一种实现方式，在这一实现方式中，使得网络用户能够灵活的接入网络，比如，当网络用户因为位置变化而需要转换接入端口的情况下，在这一情况下，现有技术就不再允许网络用户接入网络，本实现方式使得网络用户能够灵活的接入网络。
[0043]具体的，在网络用户的MAC表项被修改为静态表项后，
[0044]交换机会按照预设周期清除静态表项中的源命中标志，在设定时间内，源命中标志没有交换被芯片再次设置上，将网络用户的静态表项修改为动态表项。
[0045]值得说明的是，在该实现方式中，由于网络用户存在下线或者关机的情况，也就是说，该网络用户在相当长的时间内，不会再次通过静态表项原初始化设置的CPU的端口接入网络，或者该网络用户更换到其它端口接入网络，为了保证网络用户能够再次从该端口或者更换到其它端口接入网络，在本实现方式中，会对静态表项中的源命中标志进行删除，使得网络用户重新处于未确认状态。
[0046]其中，源命中标志表示网络用户通过指定端口访问网络。
[0047]值得说明的是，本发明实施例中提及的交换机，除包括一般的以太网交换机之外，还包括支持端口安全功能的路由器交换板卡。
[0048]本发明另一实施例提供了一种端口安全的实现方法，如图2所示，该方法包括:
[0049]201、交换机使能了端口安全功能的所有端口，关掉MAC地址硬件学习功能。
[0050]202、交换机接收网络管理者的配置。
[0051]其中，该网络管理者的配置可由网络管理者自行配置，在该设置中同一个网络用户可以与交换机的一个或多个或者所有端口绑定，且该网络管理者的配置中包括端口安全规则，该端口安全规则表示网络用户的MAC地址与交换机的端口的对应关系。
[0052]比如，在实施例的该端口安全规则中包括MAC地址为MACl的网络用户可以通过交换机上的A、B端口来访问网络。
[0053]值得说明的是，本发明实施例不限定上述201、202的执行顺序，即202也可以在201之前执行。
[0054]进一步值得说明的是，在本发明实施例中，下述步骤的描述以网络用户的MAC地址为MACl的网络用户为例进行描述，下述描述中该网络用户简称为用户MAC1。
[0055]203、交换机的CPU设置用户MACl的状态为未确认状态。
[0056]值得说明的是，由于在网络用户未请求访问网络时，并不能确定该网络用户在哪个端口接入，则此时将网络用户的状态设置为未确认状态。
[0057]204、CPU定期将用户MACl的MAC地址以动态表项的形式预写入交换芯片。
[0058]205、设置该动态表项的端口为CPU的端口，并设置该MACl的MAC表项源匹配丢弃。[0059]值得说明的是，此处的MAC表项源匹配丢弃与上述203中的未确认状态是对应的，当用户MACl为未确认状态时，CPU设置MACl的MAC表项源匹配丢弃，且设置该MAC表项源匹配丢弃的用户MACl不与交换机的任何端口匹配，也就是此时设置的是用户MACl不能通过交换机的任何端口访问网络。
[0060]206、交换机接收到网络用户MACl发出的报文。
[0061]值得说明的是，本发明实施例以用户MACl的报文从A端口达到交换机为例进行说明。
[0062]207、交换芯片更新用户MACl的MAC地址所在的动态表项中的端口为实际的收到报文的端口。
[0063]结合上述的206中的描述，由于该用户MACl是从端口 A接入的，则用户MACl的MAC地址所在动态表项中的端口被更新为端口 A。
[0064]值得说明的是，由于此时的用户MACl的动态表项设有MAC表项源匹配丢弃，则此时的用户MACl不能通过交换机上的任何端口访问网络。
[0065]208、CPU检测到交换芯片中网络用户MACl的MAC地址所在的动态表项端口发生变化，提取端口和VLAN信息。
[0066]其中的，用户MACl的MAC地址的动态表项端口发生变化，指的是用户MACl的端口由设置的CPU的端口变化为实际接入的端口 A。
[0067]209、CPU将提取的端口和VLAN信息与网络管理者的配置进行比较。
[0068]进一步的，结合上述202中的描述，该用户MACl被允许通过端口 A接入网络，则更近一步的，更新交换芯片中的该用户MACl的动态表项为静态表项。
[0069]值得说明的是，静态表项是不能够迁移的，也就是说，当网络用户的MAC表项为静态表项时，该用户与该静态表项指示的端口绑定，不能迁移。
[0070]在本发明实施例的另一种实现方式中，由于在实际应用过程中，网络用户存在关机、下线或者位置迁移等情况，在这些情况下，这一网络用户可能长期不通过之前绑定的端口访问网络，或者更换为通过其它端口来访问网络。如果继续采用现有技术，由于现有端口安全只允许网络用户与一个端口绑定，会导致用户无法正常访问网络。
[0071]为了解决这一问题，本发明实施例提供了下述实现方式，且在这一实现方式中，以网络用户转换接入端口为例进行描述，如图3所示，在本实施例中以用户MACl从交换机的A端口转到B端口为例进行说明。
[0072]301、交换机的B端口接收到用户MACl的报文。
[0073]值得说明的是，结合上述实施例的描述此时的用户MACl仍然是绑定的A端口。
[0074]302、CPU按照预设周期清除MACl的源命中标志，在设定时间内，源命中标志没有被交换芯片再次设置上，也就是说网络用户长时间没再从该端口访问网络，修改交换芯片中的该用户MACl的静态表项为动态表项。
[0075]具体的，CPU定期清除MACl的源命中标志，也就是说，对于已经存在静态表项的网络用户，如果该网络用户在长时间内都不会命中，则修改交换芯片中的静态表项为动态表项。
[0076]值得说明的是，在CPU清除MACl的源命中标志，并修改交换芯片中的MAC表项为动态表项时，用户MACl的端口又被置为CPU的端口，且CPU为该动态表项设置源匹配丢弃，修改该用户MACl的状态为未确认状态。
[0077]303、用户MACl的报文从B端口到达交换机，交换芯片更新用户MACl的MAC地址所在动态表项中端口为B端口。
[0078]304、CPU检测到芯片中的网络用户MACl的MAC地址所在的动态表项的端口发生变化，提取该用户MACl的实际接入的端口和VLAN信息。
[0079]305、CPU将提取实际接入的端口和VLAN信息与网络管理者的配置进行比较。
[0080]结合上述实施例的描述，此时网络管理者的配置为允许该用户MACl可以通过B端口访问网络，此时比较提取网络用户MACl实际接入的端口 B和VLAN信息，与所述网络管理者配置中该网络用户MACl对应的端口信息和VLAN信息与提取的网络用户MACl对应的实际接入的端口和VLAN信息配置一致时，确定所述网络用户是合法用户，即判断所述网络用户MACl的MAC地址合法以及是从合法端口 B接入网络。
[0081]则更近一步的，更新交换芯片中的该用户MACl的MAC地址所在的动态表项为静态表项，则在修改用户MACl的的MAC地址所在的表项为静态表项的同时，清除源匹配标志，将用户MACl的状态由未确认状态修改为正常运行状态,则后续的该用户MACl可以通过B端口正常访问网络，自此用户MACl从A端口向B端口迁移成功。
[0082]此外值得说明的是，当上述的用户MACl从B端口转到C端口时，执行步骤与上述的该用户MACl从A端口迁移到B端口的执行操作相同，但是结合上述实施例的描述该用户MACl只能通过A端口和B端口接入网络，也就是说用户MACl不能通过C端口访问网络，则进一步的，用户MACl的报文持续丢弃，用户MACl不能迁移到C端口。
[0083]值得说明的是，本发明实施例针对的是现有技术中端口安全不能进行全局绑定而提出的技术方案。但是现有技术中存在能够实现与端口安全全局绑定同等效果的技术方案，即采用ACL (Access Control List,访问控制列表)。
[0084]具体的，ACL可以全局匹配网络用户的MAC地址、VLAN ID信息，允许网络用户访问网络时不局限于某一个端口，同时可以限制非法用户对网络的访问。但是采用ACL技术必须使用交换芯片的硬件资源。而对交换芯片而言ACL是一种紧缺资源，许多其它功能也需要使用ACL资源，低端交换机通常有几百条到一两千条ACL表项资源，甚至一些低端交换机甚至没有ACL资源。所以ACL的使用存在较大限制，不适宜普遍应用。相对于ACL技术，本发明实施例提供的技术方案，节约了硬件资源，适用面广，本发明技术方案不再结合ACL技术进行展开描述。
[0085]本发明另一实施例提供了一种端口安全全局绑定的装置，如图4所示，该装置包括:获取单元41、更新单元42、判断单元43、修改单元44。
[0086]获取单元41，用于在接收到网络用户的报文之前，根据网络管理者的配置获取所述网络用户的MAC地址，并以动态表项的形式存储所述网络用户的MAC地址，形成交换芯片的MAC表项。
[0087]其中，MAC表项的端口置为CPU的端口。
[0088]更新单元42，用于当接收到网络用户的报文时，更新通过获取单元41形成的MAC表项。
[0089]值得说明的是，更新后的MAC表项的端口为实际接收报文的端口。
[0090]所述获取单元41，还用于在更新单元42更新MAC表项后，获取网络用户的端口和虚拟局域网VLAN信息。
[0091]判断单元43，用于根据获取单元41获取的网络用户的端口和VLAN信息，与网络管理者的配置进行对比，判断网络用户是否是合法用户。
[0092]修改单元44，用于通过判断单元43的判断，确定网络用户是合法用户，修改MAC表项为静态表项。
[0093]可选的，如图5所示，该装置还包括:接收单元45、清除单元46。
[0094]接收单元45，用于接收网络管理者的配置。
[0095]其中，网络管理者的配置至少包括网络用户与交换机端口的对应关系，且网络用户与交换机的至少一个端口存在对应关系。
[0096]进一步可选的，判断单元43，具体用于当网络用户的端口和VLAN信息，与接收单元45接收的网络管理者配置中与该网络用户对应的配置一致时，确定网络用户是合法用户。
[0097]具体的，判断单元43，用于判断网络用户的MAC地址是否合法以及是否从合法端口接入网络来确定该网络用户是否是合法用户。
[0098]更进一步的，只有当该网络用户的MAC地址合法且该网络用户是从合法端口接入网络时，才确定该网络用户是合法用户。
[0099]清除单元46，用于按照预设周期清除修改单元44修改的静态表项的源命中标志；
[0100]所述修改单元44，还用于当清除单元46清除源命中标志后，在设定时间内，源命中标志没有被交换芯片再次设置上，修改网络用户的静态表项为动态表项。
[0101]其中，源命中标志表示网络用户通过指定端口访问网络。
[0102]本发明实施例提供的一种端口安全的实现装置，获取单元在不能确定网络用户从哪个端口接入时，以动态表项的形式存储网络用户的MAC地址，当交换机的端口接收到网络用户的报文时，通过更新单元更新存储的动态表项，并由判断单元根据获取的该网络用户的端口和VLAN信息，确定该网络用户是合法用户并且是从合法端口接入网络的，通过修改单元修改该网络用户的MAC表项修改为静态表项。现有技术中，网络用户只能与交换机的一个端口绑定，当接收报文的端口不是指定接入端口时，导致该网络用户的报文被丢弃，从而造成网络访问失败的问题，而本发明实施例提供的技术方案，使得一个网络用户与能够与交换机的一个或多个或全部端口进行绑定，以保证网络用户能够灵活、安全地访问网络。
[0103]以上所述的本发明的方法不仅仅可以适用于以太网交换机，也适用于具有交换功能的路由器，所以本发明实施例中所提的交换机不能作为对发明的限制。
[0104]通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
[0105]以上所述，仅为本发明的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。
【权利要求】
1.一种端口安全的实现方法，其特征在于，包括: 在接收到网络用户的报文之前，根据网络管理者的配置获取所述网络用户的MAC地址，以动态表项的形式存储所述网络用户的MAC地址，形成交换芯片的MAC表项，所述MAC表项的端口置为CPU端口 ； 当接收到所述网络用户的报文时，更新所述MAC表项，并获取所述网络用户的端口和虚拟局域网VLAN信息；所述更新后的MAC表项的端口为实际接收所述报文的端口 ； 根据所述网络用户的端口和VLAN信息，与网络管理者的配置进行对比，判断所述网络用户是否是合法用户； 当确定所述网络用户是合法用户，修改所述MAC表项为静态表项。
2.根据权利要求1所述的方法，其特征在于，所述方法还包括: 接收网络管理者的配置，所述网络管理者的配置至少包括所述网络用户与所述交换机端口的对应关系；所述网络用户与所述交换机的至少一个端口存在对应关系。
3.根据权利要求2所述的方法，其特征在于，根据所述网络用户的端口和VLAN信息，判断所述网络用户是否是合法用户，包括； 当所述网络用户的端口和VLAN信息，与所述网络管理者配置中与所述网络用户对应的配置一致时，确定所述网络用户是合法用户。
4.根据权利要求3所述的方法，其特征在于，在修改所述MAC表项为静态表项之后，所述方法还包括: 按照预设周期清除所述静态表项的源命中标志； 当所述源命中标志被清除后，在设定时间内，源命中标志没有被交换芯片再次设置上，修改所述网络用户的静态表项为动态表项； 所述源命中标志表示所述网络用户通过指定端口访问网络。
5.根据权利要求1-4任一项所述的方法，其特征在于，判断所述网络用户是否是合法用户的方法为，判断所述网络用户的MAC地址是否合法以及是否从合法端口接入网络。
6.一种端口安全的实现装置，其特征在于，包括: 获取单元，用于在接收到网络用户的报文之前，根据网络管理者的配置获取所述网络用户的MAC地址，并以动态表项的形式存储所述网络用户的MAC地址，形成交换芯片的MAC表项，所述MAC表项的端口置为CPU的端口 ； 更新单元，用于当接收到所述网络用户的报文时，更新通过所述获取单元形成的所述MAC表项；所述更新后的MAC表项的端口为实际接收所述报文的端口 ； 所述获取单元，还用于在所述更新单元更新所述MAC表项后，获取所述网络用户的端口和虚拟局域网VLAN信息； 判断单元，用于根据所述获取单元获取的所述网络用户的端口和VLAN信息，与网络管理者的配置进行对比，判断所述网络用户是否是合法用户； 修改单元，用于通过所述判断单元的判断，确定所述网络用户是合法用户，修改所述MAC表项为静态表项。
7.根据权利要求6所述的装置，其特征在于，所述装置还包括: 接收单元，用于接收网络管理者的配置，所述网络管理者的配置至少包括所述网络用户与所述交换机端口的对应关系；所述网络用户与所述交换机的至少一个端口存在对应关系O
8.根据权利要求7所述的装置，其特征在于，所述判断单元，具体用于当所述网络用户的端口和VLAN信息，与所述网络管理者配置中与所述网络用户对应的配置一致时，确定所述网络用户是合法用户。
9.根据权利要求7所述的装置，其特征在于，所述判断单元，具体用于判断所述网络用户的MAC地址是否合法以及是否从合法端口接入网络来确定所述网络用户是否是合法用户。
10.根据 权利要求6-8任一种所述的装置，其特征在于，所述装置还包括: 清除单元，用于按照预设周期清除所述修改单元修改的所述静态表项的源命中标志；所述修改单元，还用于当所述清除单元清除所述源命中标志后，在设定时间内，源命中标志没有被交换芯片再次设置上，修改所述网络用户的静态表项为动态表项； 所述源命中标志表示所述网络用户通过指定端口访问网络。
【文档编号】H04L12/46GK103825846SQ201410073440
【公开日】2014年5月28日 申请日期:2014年2月28日 优先权日:2014年2月28日
【发明者】王焕章, 李勇, 陈烈 申请人:迈普通信技术股份有限公司