专利名称:一种实现网络攻击隔离的方法
技术领域:
本发明涉及网络安全技术,尤指一种实现网络攻击隔离的方法。
背景技术:
随着互联网的迅速发展,各种各样的攻击模式层出不穷,大量的攻击造成了巨大的介质访问控制(MAC,Medium Access Control)地址学习数量,严重消耗了网络设备的资源、降低了设备的处理速度,影响了设备的性能。所谓MAC地址学习是MAC地址学习具有学习网桥的特征,当网桥从一台新加入网络的计算机收到报文时,网桥会将这个报文的源MAC地址和报文到达的端口及这个端口所属的虚拟局域网(VLAN Virtual LAN)联系起来,记录在网桥中,指定传输到该MAC地址的报文将仅被传输至该MAC地址所指的网桥端口。
为了隔离网络攻击,现有技术采用的方法是配置服务质量(QOS,Qualityof Service)规则。具体来说就是对于每个端口配置一个允许通过的MAC地址列表规则以及相应动作。QOS采用控制访问列表(ACL,Access ControlList)方式,每个ACL由多个节点组成,每个节点由规则(Rule)和流动作(Flowaction)两部分组成。在Rule里存放MAC地址列表,在Flowaction里存放是否允许报文转发的动作。当报文到来时,检查MAC地址列表里面是否存在该报文的MAC地址,如果没有该MAC地址,则不允许转发;如果有则检查相应的动作是否允许转发当前收到的报文。这样的话,就需要将报文的MAC地址和MAC地址列表中所列MAC地址进行一一比较,极大地影响了报文转发效率,特别是当用户数量较多的时候,转发性能会明显降低。另外,在用户更换网卡、或与MAC地址绑定的情况下,用户的注册和注销都需要及时更新MAC地址列表,否则QOS规则将不能正常工作,因此这就对维护MAC地址列表带来了不便之处。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现网络攻击隔离的方法,该方法不需要维护MAC地址列表,配置简单,并且可以把攻击隔离在最小的范围内,对性能影响小。
为达到上述目的,本发明的技术方案是这样实现的一种实现网络攻击隔离的方法,为每个用户标识符配置MAC地址限制表,所收到报文源MAC地址的出端口和源端口不同时,该方法还包括以下步骤A1、判断对所收到报文是否配置了第一用户标识符的MAC地址限制使能,如果是,则执行步骤B1;否则,进行MAC地址学习并转发所收到的报文,结束本次处理流程;B1、根据第一用户标识符对应的MAC地址限制表中的信息判断是否能进行MAC地址学习,如果能,则执行步骤C1;否则,执行步骤D1;C1、进行MAC地址学习并转发所收到的报文;D1、更新第一用户标识符对应的MAC地址限制表。
其中,所述第一用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号。
在执行步骤C1和步骤D1之前,该方法进一步包括A2、判断对所收到报文是否配置了第二用户标识符的MAC地址限制使能,如果是,则执行步骤B2;否则,进行MAC地址学习并转发所收到的报文,结束本次处理流程;B2、根据第二用户标识符对应的MAC地址限制表中的信息判断是否能进行MAC地址学习,如果能,则执行步骤C1;否则,执行步骤D1。
其中,所述第一用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号;所述第二用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号。
在执行步骤C1和步骤D1之前,该方法进一步包括A3、判断对所收到报文是否配置了第三用户标识符的MAC地址限制使能,如果是,则执行步骤B3;否则,进行MAC地址学习并转发所收到的报文,结束本次处理流程;B3、根据第三用户标识符对应的MAC地址限制表中的信息判断是否能进行MAC地址学习,如果能,则执行步骤C1;否则,执行步骤D1。
其中,所述第一用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号;所述第二用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号;所述第三用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号。
所述判断是否能进行MAC地址学习具体为判断MAC地址学习是否超出限制,如果未超出,则能进行MAC地址学习,如果超出,再判断是否配置丢弃使能,如果配置,则丢弃所收到的报文,且不能进行MAC地址学习,如果未配置,则能进行MAC地址学习。
所述MAC地址限制方式为数目限制方式,则判断MAC地址学习是否超出限制为判断当前用户标识符所对应MAC地址限制表中的实际学习MAC地址数加1后是否大于允许学习最大MAC地址数,如果大于,则超出限制;否则,未超出限制。
所述MAC地址限制方式为速率限制方式,则判断MAC地址学习是否超出限制为判断上次学习MAC地址时间与当前时间的差值是否小于允许学习MAC地址间隔,如果小于,则超出限制;否则,未超出限制。
其中,在判断是否配置丢弃使能之前,该方法还包括判断是否配置告警使能,如果配置,则发送告警信息,记录报警时间;否则,不做处理。
所述更新MAC地址限制表为更新实际学习MAC地址数为原实际学习MAC地址数加1;或更新上次学习MAC地址时间为本次MAC地址学习时间;或更新受到数目限制丢弃的报文数为原受到数目限制丢弃的报文数加1;或更新受到速率限制丢弃的报文数为原受到速率限制丢弃的报文数加1;或同时将受到数目限制丢弃的报文数以及受到速率限制丢弃的报文数分别加1;或将上次告警时间更新为本次记录的告警时间。
所述MAC地址限制表至少包括数目限制使能、速率限制使能、实际学习MAC地址数、允许学习最大MAC地址数、上次学习MAC地址时间、允许学习MAC地址时间,告警使能标记、丢弃使能标记。
在配置MAC地址限制使能的情况下,该方法进一步包括更新相应用户标识符所对应的MAC地址限制表中的实际MAC地址学习数目为原实际MAC地址学习数目减1。
本发明所提供的一种实现网络攻击隔离的方法,采用基于用户标识符的MAC地址限制方法,对于访问同一源MAC地址的多个报文不需要对其中每个报文都进行一一查找,只有第一个访问该源MAC地址的报文需要进行MAC地址限制操作,而后续报文无需再做处理,不会影响报文的转发效率,对性能几乎没有影响。不仅如此,由于用户只需根据自身的需求配置不同的MAC地址限制模式,对于不同的网络环境使用不同的模式则可以将攻击隔离在最小的范围内。同时,由于模式的选择以及MAC地址限制表的配置只需要根据用户需求以及网络环境来确定,不需要专业知识,因此对于MAC地址限制表的管理以及维护都非常方便。
图1为本发明一实施例的实现流程图;图2为本发明另一实施例的实现流程图;图3为本发明又一实施例的实现流程图。
具体实施例方式
本发明的核心思想是首先,增加设置对应每个用户标识符的MAC地址限制表,然后根据网络设备配置的MAC地址限制模式,以及在不同MAC地址限制模式下依照用户标识符配置的MAC地址限制方法,利用MAC地址限制表中的表项设置,限制MAC地址学习,进而实现网络攻击隔离的功能。
其中,所指的网络设备是指能够进行网络内报文转发的设备,比如交换机、网桥等;网络设备的MAC地址限制模式可根据实际网络的环境,以及对网络安全的要求进行配置。
所谓用户标识符是指用标识符的形式表示用户的方法,用户标识符可以是用户的端口号、或VLAN号、或端口号和VLAN号,也可以相应的称为端口用户标识符、VLAN用户标识符、端口和VLAN用户标识符。由于发送报文的用户可以具有这三类用户标识符,因此一个报文的源MAC地址可以对应以上的三类用户标识符。用户标识符的表示格式为端口号+VLAN号,一般用20比特以16进制数表示,其中前8比特为端口号,后12比特为VLAN号。在现有网络中,由于全1通常被视为无效标识,故端口号+0xFFF表示仅用端口号标识的一类用户;0xFF+VLAN号表示仅用VLAN号标识的一类用户;端口号+VLAN号表示用端口号和VLAN号标识的一类用户。
基于不同的用户标识符存在不同的MAC地址限制方法,包括基于端口的MAC地址限制、基于VLAN的MAC地址限制、基于端口和VLAN的MAC地址限制。
基于以上三种不同的MAC地址限制方法,本发明中提出三种不同的MAC地址限制模式单一模式、组合模式、多组合模式。其中,单一模式为基于一类用户标识符的MAC地址限制;组合模式为基于两类用户标识符联合作用的MAC地址限制,比如先进行端口MAC地址限制,后进行VLANMAC地址限制,或者先进行VLAN MAC地址限制,后进行端口MAC地址限制等六种组合方式;多组合模式为基于三类用户标识符联合作用的MAC地址限制,比如先进行端口MAC地址限制,后进行VLAN MAC地址限制,再进行端口和VLAN MAC地址限制等六种多组合方式。
在本发明中,每个用户标识符对应一个如表1所示的MAC地址限制表。
表1用户可以根据自身的需求对MAC地址限制表中的数据内容进行配置。其中,位宽可以根据实际的情况进行调整。用户可以通过配置MAC地址限制表中的数目限制使能标记、速率限制使能标记选择不同的MAC地址限制方式。MAC地址限制方式是指数目限制和/或速率限制。MAC地址限制表中允许学习MAC地址间隔的单位可以是毫秒、或微秒,或者根据实际情况设定的其他单位。在MAC地址限制表中设置受到速率限制丢弃报文数以及受到数目限制丢弃报文数是为了便于用户查看,切实了解网络的攻击情况。
本发明方法的实现过程是当报文进入网络设备时,根据具体网络设备配置的MAC地址限制模式,按照报文源MAC地址所对应的三类用户标识符判断用户是否配置了基于端口、或基于VLAN、或基于端口和VLAN的MAC地址限制使能情况,然后根据具体的使能情况,用相应的用户标识符进行MAC地址限制表的查找,最后根据MAC地址限制表中的内容设置进行MAC地址的限制。
以下结合附图对基于三种实现模式实现MAC地址限制的处理过程进行更详细的说明。
实施例一本实施例采用单一模式,即基于一类用户标识符进行MAC地址限制,所基于的用户标识符可以是基于端口、或基于VLAN、或基于端口和VLAN。本实施例中,以基于端口的MAC地址限制为例,用端口号+0xFFF进行MAC地址限制表的查找。具体MAC地址限制实现流程如图1所示步骤101~102当报文进入网络设备时,在网络设备自身存储的源MAC地址表中检查出端口和源端口是否相同,如果出端口和源端口相同,则直接进行转发,结束当前处理流程;如果不相同,则进入步骤103。
步骤103在该网络设备设置的端口功能表中检查源MAC地址对应的端口是否配置MAC地址限制使能,如果配置使能,则进入步骤104;否则,进行MAC地址学习并转发报文,结束当前处理流程。MAC地址学习及转发过程同现有技术,在此不再详述。其中,端口功能表预先由网络设备的管理者设置。
步骤104~105用“端口号+0xFFF”查找与它相对应的MAC地址限制表,根据查找到的MAC地址限制表中的数目限制使能标记以及速率限制使能标记,得到用户配置的MAC地址限制方式。根据用户配置的MAC地址限制方式进行MAC地址限制,判断当前端口MAC地址学习的数目和/或速率限制是否超出了范围,如果超出限制,则进入步骤106;否则,进入步骤110。
MAC地址限制方式可采用限制MAC地址学习的数目和/或速率的方式实现。
其中,数目限制方式是将表项中实际学习MAC地址数加1,然后判断其结果是否大于允许学习最大MAC地址数,如果大于,则超出了数目限制范围,否则没有超出。
速率限制方式是可以采用最小时间间隔的方法。由于允许每秒学习N个和允许1000/N毫秒学习一个基本是等同的。因此,只需检查相应MAC地址限制表中上次学习MAC地址时间与当前时间的差值是否小于允许学习MAC地址间隔,如果小于,则超出速率限制范围,否则就没有超出。
如果用户只配置了数目限制或速率限制,则以它们是否超出各自的限制范围作为判断是否超出限制的标准,进行相应操作。如果用户同时配置了数目限制和速率限制,只要两者之一超出了限制范围,则视为超出了限制,只有两者同时都没有超出限制范围的时候,才视为没有超出限制。
步骤106~107检查MAC地址限制表中的告警使能标记项是否使能,如果使能,则发送告警,并记录告警时间,然后进入步骤108;否则直接进入步骤108。
步骤108~109判断MAC地址限制表中的丢弃使能标记项是否使能,如果使能,则丢弃所收到的报文,然后进入步骤111;否则直接进入步骤110。
步骤110进行MAC地址学习,MAC地址学习完成之后进行报文转发。
步骤111更新MAC地址限制表,在本实施例中为更新端口号+0xFFF”所对应的MAC地址限制表。具体更新操作分为以下三种情况a)对于进入了判断端口MAC地址学习是否超出限制的操作之后,报文没有被丢弃的情况更新MAC地址限制表中实际学习MAC地址数具体为在原实际学习MAC地址数加1;且更新上次学习MAC地址时间为本次MAC地址学习时间。
b)对于报文被丢弃的情况如果是由于超出了数目限制范围而执行丢弃操作,则更新表项中的受到数目限制丢弃的报文数,为在原受到数目限制丢弃的报文数加1;如果是由于超出了速率限制范围而执行丢弃操作,则更新表项中的受到速率限制丢弃的报文数,是在原受到速率限制丢弃的报文数加1;如果由于报文同时超出了数目限制以及速率限制而被丢弃,则将在受到数目限制丢弃的报文数以及受到速率限制丢弃的报文数分别加1。
c)对于如上所述a、b的情况,如果告警使能标记配置了使能,并发送了告警信号,则更新还包括将表项中的上次告警时间更新为本次记录的告警时间。
上述步骤101~111及相关所有描述同样适用于基于VLAN、或端口和VLAN的MAC地址限制情况,只需要将步骤103中,判断“端口MAC地址使能”改为判断“VLAN MAC地址使能”、或“端口和VLAN地址使能”;且在步骤104中,将通过“端口号+0xFFF”查找相应的MAC地址限制表改为通过“0xFF+VLAN号”、或“端口号+VLAN号”查找相应的MAC地址限制表,最后更新相应用户标识符所对应的MAC地址限制表。
在本实施例的情况下,可将端口号、或VLAN号、或端口号和VLAN号称为第一用户标识符。
实施例二本实施例采用组合模式,即基于两类用户标识符MAC地址限制方法的模式。本实施例采用基于端口以及基于VLAN的MAC地址限制为例,且采用端口MAC地址限制→VLAN MAC地址限制,也就是先进行基于端口MAC地址限制,后进行基于VLAN MAC地址限制的方式,限制MAC地址的学习。具体流程如图2所示。
步骤201~202与实施例一中的步骤101~102相同。
步骤203根据所收到报文的源MAC地址,检查是否配置了基于端口的MAC地址限制使能,如果配置了基于端口的MAC地址限制使能,则进入步骤204,否则进入步骤209。
步骤204~205同实施例一中步骤104~105所述的MAC地址限制表的查找以及判断是否超出了MAC地址限制范围的方法,如果超出限制范围,进入步骤206,否则进入步骤209。
步骤206~207同实施例一中步骤106~107以及相关描述。
步骤208判断MAC地址限制表中的丢弃使能标记是否使能,如果使能丢弃,则进入步骤216进行丢弃操作,否则进入步骤209。
步骤209根据所收到报文的源MAC地址,检查VLAN是否配置VLANMAC地址限制使能,如果使能则进入步骤210,否则进入步骤215。
步骤210用0xFF+VLAN号查找与之相对应的MAC地址限制表。
步骤211根据查找得到的MAC地址限制表的内容,进行判断是否超出限制的操作,同实施例一步骤105中所述的方法。如果超出限制范围,进入步骤212,否则进入步骤215。
步骤212~213同实施例一中的步骤106~107所述。
步骤214判断MAC地址限制表中的丢弃使能标记是否使能,如果使能,进入步骤216进行丢弃操作,否则进入步骤215。
步骤215进行MAC地址学习,MAC学习地址完成之后进行报文转发。
步骤216~217执行丢弃操作,完成之后更新相应用户标识符使能的MAC地址限制表项。每个表项的更新方法如实施例一步骤111所述方法。例如在本实施例中如果端口MAC地址限制使能,而VLAN MAC地址限制没有使能的情况下,只更新端口号+0xFFF对应的MAC地址限制表。而不更新0xFF+VLAN号对应的MAC地址限制表。
本实施例采用组合模式,类似这样的组合还有端口MAC地址限制→端口和VLAN MAC地址限制;VLAN MAC地址限制→端口和VLAN MAC地址限制;VLAN MAC地址限制→端口MAC地址限制;端口和VLAN MAC地址限制→端口MAC地址限制;端口和VLAN MAC地址限制→VLANMAC地址限制。这些组合方式下的具体实施过程同实施例二所述步骤以及相关描述基本相同,只是按照不同组合方式中MAC地址限制方法的先后次序,判断相应的MAC地址限制方法是否使能,并用相应的用户标识符进行MAC地址限制表查找,进行MAC地址限制的操作,最后更新用户标识符使能的MAC地址限制表。
在本实施例的情况下,可按判断顺序将在前的端口号、或VLAN号、或端口号和VLAN号称为第一用户标识符;在后的端口号、或VLAN号、或端口号和VLAN号称为第二用户标识符。
实施例三本实施例采用多组合模式,即采用基于三类用户标识符的MAC地址限制模式。本实施例采用配置基于端口、基于VLAN、以及端口和VLAN的MAC地址限制,使用端口MAC地址限制→VLAN MAC地址限制→端口和VLAN MAC地址限制,即表示先进行基于端口MAC地址限制,后基于VLAN MAC地址限制,最后基于端口和VLAN MAC地址限制的方式,限制MAC地址的学习。具体流程如图3所示。
步骤301~314与实施例二中步骤201~214以及相关描述相同,只是在基于VLAN MAC的MAC地址限制不使能的情况下、没有超出限制以及没有丢弃报文的情况下不是进行的MAC地址的学习与转发,而是进入步骤315,进行下一类用户标识符的MAC地址限制使能的判断。
步骤315~323与实施例一中步骤103~111的描述相同,步骤323中更新相应的MAC地址限制表的方式同实施例二中更新MAC地址限制表的方式一样。
本实施例介绍多组合模式,类似这样的组合还有端口MAC地址限制→端口和VLAN MAC地址限制→VLAN MAC地址限制;VLAN MAC地址限制→端口和VLAN MAC地址限制→端口MAC地址限制;VLAN MAC地址限制→端口MAC地址限制→端口和VLAN MAC地址限制;端口和VLANMAC地址限制→端口MAC地址限制→VLAN MAC地址限制;端口和VLANMAC地址限制→VLAN MAC地址限制→端口MAC地址限制。这些组合方式的具体实施过程与实施例三所述步骤以及相关描述基本相同,只是按照不同组合方式中MAC地址限制方法的先后次序,判断相应的MAC地址限制方法是否使能,并用相应的用户标识符进行MAC地址限制表查找,进行MAC地址限制的操作,最后更新用户标识符使能的MAC地址限制表。
在本实施例的情况下,可按判断顺序将在前的端口号、或VLAN号、或端口号和VLAN号称为第一用户标识符;中间的端口号、或VLAN号、或端口号和VLAN号称为第二用户标识符;在后的端口号、或VLAN号、或端口号和VLAN号称为第三用户标识符。
本发明中,当MAC地址老化或网络设备的管理者删除MAC地址时,需要更新相应的MAC地址限制表,具体方法是查找MAC地址对应的端口、或VLAN、或端口和VLAN是否配置了MAC地址限制使能,如果设置了使能,则在相应用户标识符表示的MAC地址限制表中,在实际MAC地址学习数目的基础上减1;没有设置使能则不更新相应的MAC地址限制表。
本发明提供了一种实现网络攻击隔离的方法,给用户提供了多种选择,用户可以选择MAC地址的限制模式,在同一模式中,用户可以配置基于不同的用户标识符MAC地址限制方法。适用于不同的网络环境、不同的用户需求,配置简单,不需要很强的专业知识。而且多种组合的应用模式,可以根据用户的要求把攻击隔离在最小的范围内。这种方法和QOS不同,它不需要和MAC地址列表中地址进行一一比较,对于访问同一源MAC地址的多个报文不需要对其中每个报文都进行一一查找,只有第一个访问该源MAC地址的报文需要进行MAC地址限制操作,而后续报文不用再做处理,不会影响报文的转发效率,对性能几乎没有影响。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种实现网络攻击隔离的方法,其特征在于,为每个用户标识符配置MAC地址限制表,所收到报文源MAC地址的出端口和源端口不同时,该方法还包括以下步骤A1、判断对所收到报文是否配置了第一用户标识符的MAC地址限制使能,如果是,则执行步骤B1;否则,进行MAC地址学习并转发所收到的报文,结束本次处理流程;B1、根据第一用户标识符对应的MAC地址限制表中的信息判断是否能进行MAC地址学习,如果能,则执行步骤C1;否则,执行步骤D1;C1、进行MAC地址学习并转发所收到的报文;D1、更新第一用户标识符对应的MAC地址限制表。
2.根据权利要求1所述的方法,其特征在于,所述第一用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号。
3.根据权利要求1所述的方法,其特征在于,在执行步骤C1和步骤D1之前,该方法进一步包括A2、判断对所收到报文是否配置了第二用户标识符的MAC地址限制使能,如果是,则执行步骤B2;否则,进行MAC地址学习并转发所收到的报文,结束本次处理流程;B2、根据第二用户标识符对应的MAC地址限制表中的信息判断是否能进行MAC地址学习,如果能,则执行步骤C1;否则,执行步骤D1。
4.根据权利要求3所述的方法,其特征在于,所述第一用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号;所述第二用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号。
5.根据权利要求3所述的方法,其特征在于,在执行步骤C1和步骤D1之前,该方法进一步包括A3、判断对所收到报文是否配置了第三用户标识符的MAC地址限制使能,如果是,则执行步骤B3;否则,进行MAC地址学习并转发所收到的报文,结束本次处理流程;B3、根据第三用户标识符对应的MAC地址限制表中的信息判断是否能进行MAC地址学习,如果能,则执行步骤C1;否则,执行步骤D1。
6.根据权利要求5所述的方法,其特征在于,所述第一用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号;所述第二用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号;所述第三用户标识符为端口号、或为虚拟局域网号、或为端口号和虚拟局域网号。
7.根据权利要求1、3或5所述的方法,其特征在于,所述判断是否能进行MAC地址学习具体为判断MAC地址学习是否超出限制,如果未超出,则能进行MAC地址学习,如果超出,再判断是否配置丢弃使能,如果配置,则丢弃所收到的报文,且不能进行MAC地址学习,如果未配置,则能进行MAC地址学习。
8.根据权利要求7所述的方法,其特征在于,所述MAC地址限制方式为数目限制方式,则判断MAC地址学习是否超出限制为判断当前用户标识符所对应MAC地址限制表中的实际学习MAC地址数加1后是否大于允许学习最大MAC地址数,如果大于,则超出限制;否则,未超出限制。
9.根据权利要求7所述的方法,其特征在于,所述MAC地址限制方式为速率限制方式,则判断MAC地址学习是否超出限制为判断上次学习MAC地址时间与当前时间的差值是否小于允许学习MAC地址间隔,如果小于,则超出限制;否则,未超出限制。
10.根据权利要求7所述的方法,其特征在于,在判断是否配置丢弃使能之前,该方法还包括判断是否配置告警使能,如果配置,则发送告警信息,记录报警时间;否则,不做处理。
11.根据权利要求1、3或5所述的方法,其特征在于,所述更新MAC地址限制表为更新实际学习MAC地址数为原实际学习MAC地址数加1;或更新上次学习MAC地址时间为本次MAC地址学习时间;或更新受到数目限制丢弃的报文数为原受到数目限制丢弃的报文数加1;或更新受到速率限制丢弃的报文数为原受到速率限制丢弃的报文数加1;或同时将受到数目限制丢弃的报文数以及受到速率限制丢弃的报文数分别加1;或将上次告警时间更新为本次记录的告警时间。
12.根据权利要求1、3或5所述的方法,其特征在于,所述MAC地址限制表至少包括数目限制使能、速率限制使能、实际学习MAC地址数、允许学习最大MAC地址数、上次学习MAC地址时间、允许学习MAC地址时间,告警使能标记、丢弃使能标记。
13.根据权利要求1、3或5所述的方法,其特征在于,在配置MAC地址限制使能的情况下,该方法进一步包括更新相应用户标识符所对应的MAC地址限制表中的实际MAC地址学习数目为原实际MAC地址学习数目减1。
全文摘要
本发明公开了一种实现攻击隔离的方法,为每个用户标识符配置MAC地址限制表,按照报文源MAC地址所对应的三类用户标识符判断用户是否配置了基于端口、或基于VLAN、或基于端口和VLAN的MAC地址限制使能情况,然后根据具体的使能情况,用相应的用户标识符进行MAC地址限制表的查找,最后根据MAC地址限制表中的内容设置进行MAC地址的限制。对于访问同一源MAC地址的多个报文不需要对其中每个报文都进行查找,只有第一个访问该源MAC地址的报文需要进行MAC地址限制操作,而后续报文无需再做处理,不会影响报文的转发效率,对性能几乎没有影响。该方法对于不同的网络环境使用不同的模式则可以将攻击隔离在最小的范围内。
文档编号H04L12/56GK1889455SQ20051007997
公开日2007年1月3日 申请日期2005年6月27日 优先权日2005年6月27日
发明者任广涛 申请人:华为技术有限公司