专利名称::地址监控方法及装置的制作方法
技术领域:
:本发明涉及通信领域中业务支撑技术,具体地,涉及地址监控方法及装置。
背景技术:
:目前大部分网管发现IP地址盗用的常用方法是定期扫描网络各路由器的地址解析协议(addressresolutionprotocol,简称ARP)表,获得当前正在使用的IP地址以及IP-MAC对照关系,与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发生,然后清除ARP表中非法IP。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,常用的防范机制还有IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。还有手工查找方式此方式需要登录交换机查找对应端口下的MAC地址,登录核心交换机查看ARP表,手工方式繁琐,切可能查询到相关信息时,非法盗用者已经离开,无法进行有效的监控。发明人发现现有技术中至少存在如下问题现有监控方式都有一定局限性,如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。发明人发现现有机制都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。由于IP地址盗用者仍然具有IP子网内完全活动的自由,因此一方面这会干扰合法用户的使用另一方面可能被盗用者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。
发明内容本发明的第一目的是提出一种地址监控方法,以实现及时发现非法地址。本发明的第二目的是提出一种地址监控装置,以实现及时发现非法地址。为实现上述第一目的,根据本发明的一个方面,提供了一种地址监控方法,包括接收三层设备的地址解析协议ARP信息;在监听到ARP信息变化时,根据变化的ARP信息中的IP地址获得对应的MAC地址;根据MAC地址查找二层和/或三层设备的端口MAC地址对应信息,获得IP地址对应的接入设备端口。还可以包括将IP地址与接入设备端口合法的IP地址进行比较,判断IP地址是否为非法地址;判断IP地址非法后,进行监控告警和/或封闭接入设备端口。还可以包括监控二层和/或三层设备的端口MAC地址对应信息,并与合法的端口MAC地址对应信息进行比较,判断是否出现非法MAC地址;和/或将监控的三层设备的ARP信息与合法的IP地址与MAC地址的对应关系进行比较,判断是否出现非法IP地址或MAC地址。优选地,根据MAC地址查找二层和/或三层设备的端口MAC地址对应信息,获得IP地址对应的接入设备端口可以包括根据MAC地址获得IP地址对应的二层或三层设备接入端口;当二层或三层设备接入端口为级联端口时,查找下级设备端口MAC地址对应信息;根据下级设备的端口MAC地址对应信息,查找IP地址对应的下级设备接入端口,直至最终获得的接入设备端口为非级联端口;将最终查找的非级联接入设备端口作为IP地址对应的接入设备端口。根据下级设备的端口MAC地址对应信息,查找IP地址对应的下级设备接入端口,直至最终获得的接入设备端口为非级联端口可以包括在已建立的单队列数据存储结构中,当待查找的下级设备端口MAC地址对应信息未存储在单队列数据存储结构中,在单队列数据存储结构中的可用存储位置按顺序存储查找到的下级设备端口MAC地址对应信息;否则从单队列数据存储结构中直接提取。上述方法可以通过简单网络管理协议SNMP接收ARP信息以及端口MAC地址对应信息;其中,三层设备包括核心路由器、核心交换机、汇聚交换机。为实现上述第二目的,根据本发明的另一个方面,提供了一种地址监控装置,包括接口模块,用于接收三层设备的地址解析协议ARP信息,以及二层和/或三层设备的端口MAC地址对应信息;处理模块,用于监听到ARP信息变化时,根据变化的ARP信息中的IP地址获得对应的MAC地址;根据MAC地址查找二层和/或三层设备的端口MAC地址对应信息,获得IP地址对应的接入设备端口。本发明各实施例的地址监控方法及装置,可以进行实时监控,并及时发现变化的IP地址对应的接入设备端口,如果为非法IP地址可以及时阻断非法IP的物理连接,解决现有技术中没有完全从根本上防止IP地址盗用行为的危害,不仅可以阻断访问外部资源,还可以阻断内网非法IP地址盗用情况。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中图1为根据本发明地址监控方法的实施例一流程图;图2为根据本发明地址监控方法的实施例二流程图;图3为根据本发明地址监控方法界面示意图;图4为根据本发明地址监控方法的实施例三流程图;图5为根据本发明地址监控方法中遍历MAC地址表的网络拓扑结构示意图;图6为图5中网络拓扑的遍历数据的存储结构示意图。图7为根据本发明地址监控装置实施例一结构示意图;图8为根据本发明地址监控装置实施例二结构示意图。具体实施例方式以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。方法实施例图1为根据本发明地址监控方法的实施例一流程图,如图1所示,本实施例包括步骤S102接收三层设备的地址解析协议ARP信息;例如,三层设备可以是核心路由器、核心交换机、汇聚交换机等,从三层设备上获取ARP表,其中,ARP表存储当前使用的IP地址,以及IP-MAC对照关系。步骤S104在监听到ARP信息变化时,根据变化的ARP信息中的IP地址获得对应的MAC地址;步骤S106根据步骤S104中的MAC地址查找二层和/或三层设备的端口MAC地址对应表,可以查询获得变换的IP地址对应的接入设备端口。二层设备包括三层设备的各下游交换机,交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过简单网络管理协议SNMP(SimpleNetworkManagementprotocol)管理站与各个交换机SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的端口-MAC对应表,步骤S106根据ARP表中变化的IP-MAC获得MAC地址,然后根据该MAC地址查找实时的端口-MAC对应表,从而获得ARP表变化IP地址对应的端口。在实现本发明中,发明人发现其他IP监控必须录入IP与MAC地址的对应关系,但是在实际环境当中MAC地址更换相当频繁,如更换网卡,维护员需要不停的更改IP对应的MAC,而本实施例无需知道用户的MAC地址而是根据IP与交换机对应接入端口的方式来判断。并且,由于ARP表可以容易获取,因此,可以及时发现ARP表,并最终查找变化的IP地址对应的接入设备端口,如果为非法IP地址可以及时阻断非法IP的物理连接,解决现有技术中没有完全从根本上防止IP地址盗用行为的危害,本实施例不仅可以阻断访问外部资源,还可以阻断内网非法IP地址盗用情况。图2为根据本发明地址监控方法的实施例二流程图;如图2所示,本实施例包括步骤S202假设某机器IP地址发生变更;步骤S204核心交换机对应的ARP表也会发生变化;步骤S206接收核心交换机的实时ARP表,与前一次获取的实时的ARP表进行比较,监听到某核心交换机的实时ARP表变化,捕获核心ARPTable的变换值,根据变化的IP与MAC地址的对应关系,获得ARP变化对应的MAC地址;步骤S208根据MAC地址查找二层设备的MAC地址表,定位是哪台交换机的哪个接入端口,即变化的IP对应的接入端口;IP地址只会在具有管理VLAN的核心交换机或汇聚交换机等三层交换机上存在,本实施例查找一个IP地址是从哪个端口上来时可以先在核心或汇聚上查找ARPTable并查看该IP对应的MAC地址,从而获取该MAC地址从哪个端口上来,然后到下级级联交换机去查看MacAddress-hlbe,最终得到IP地址和接入交换机端口的对应关系;步骤S210判断该IP是否非法,一般局域网内IP地址和对应的接入端口是固定的,即使MAC地址发生变化,但IP与端口对应关系不会变,因此,根据定位到的端口,判断变化的ARP表中的IP地址是否与定位的端口对应或者该端口合法的IP地址中,如果不是则为非法。或者预先存储有合法的IP和接入端口的绑定关系,根据定位的端口和对应的IP与预先绑定关系进行比较,来分析是否为非法IP,是则关闭该端口,否则结束。本实施例判断出非法IP地址盗用行为后,可以立即采取相应的方法来阻断盗用行为所产生的影响,例如可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的交换机端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系,当然也无法影响其他机器的正常运行。本实施例可以根据实时监控的变化及时发现非法IP,保证了监控的高速、有效进行,利用端口定位及时阻断IP地址盗用,发现了IP地址盗用后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先输入的合法IP地址-设备端口对应表,就可以立即定位到发生盗用行为的房间。图3为根据本发明地址监控方法界面示意图,如图3所示,主要是绑定IP地址与交换机端口,及时发现非法IP地址。本领域技术人员应了解,根据图1和图2实施例可知,每个交换机均维护着一个与端口对应的MAC地址表。通过SNMP管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的端口MAC对应表。除了上述实施例所提到的IP与端口的对应关系判断外,还可以进行如下监控1.监控交换机的实时端口MAC地址对应表,并与合法的端口MAC地址对应表进行比较,还可以及时快速判断交换机端口是否出现非法MAC地址;2.将监控的核心设备的实时ARP信息与合法的IP地址与MAC地址的对应关系进行比较,判断是否出现非法IP地址或MAC地址。例如,根据图1和图2可以发现IP地址盗用,根据上面的第1中附加的监控,还可以发现交换机端口是否出现非法MAC地址,如果同一个MAC地址同时出现在不同的交换机的非级联端口上,还可以监控到IP-MAC成对盗用。总之,可以事先绑定多种关系,从而实现多种策略的监控,例如在局域网中,事先获得合法绑定关系表可以包括终端设备IP地址与交换机端口绑定,终端设备MAC与交换机端口绑定,终端设备IP地址与MAC绑定,IP地址、MAC、交换机端口同时绑定等多种策略的实时监控。上述图1-图3中,可以根据需要预先设置监控策略以及处理方式,例如以轮询的方式每过X时间对网络进行监控,当出现非法IP地址的用户,对其端口实行关闭处理。可以设置Y分钟后自动开启此端口,并重新监控。X,Y可由用户自定义。图4为根据本发明地址监控方法的实施例三流程图。其主要过程包括A、初始化完成之后,使用国际通用标准协议SNMP(简单网络管理协议)获取核心交换机MIB信息并进行保存,保存的只是初始值,用来对比新获得的ARP表项,来比较变化值。MIB信息主要包含ARP数据表(IP和MAC地址的对应表),Macaddress-table数据表(MAC地址与设备端口的对应表,也称端口MAC地址对应表)。B、某个端口的终端IP地址变动,触发核心交换机的ARP表变动,交换机会发送某个自陷“Trap“信息至网管的IP地址监控装置,如图7_8。IP监控装置根据变化的ARP获取核心MAC地址表,查找到对应的端口,判断该端口的IP地址与实时的IP地址是否一致,若不一致,则判断该接口是否为级联端口,若是级联端口则需要发送向下查询的请求,继续向下查找直至查找到最终接入交换机的Macaddress-table,获得非级联的终端接入端口,将查找到的端口与IP地址对应关系与合法的用户自定义的IP与交换机端口对应关系表进行比较,如果为非法IP则可以采取预定义的处理措施,如关闭端口等。现有技术没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。本实施例进行实时监控阻断内外网非法IP盗用情况,及时阻断非法IP的物理连接。上述各实施例无需知道用户的MAC而是根据IP与交换机对应端口的方式来判断非法地址。这种方式的难点在于查找接入的二层和/或三层设备的端口MAC地址对应表时,需要遍历交换机MacAddressTable,如果没有优化的算法来提供查找搜索,实现起来比较困难,下面图5-图6对本发明各实施例的查找过程进了举例说明,提供了一种优化的查找算法采用单线程访问无锁单队列查找算法。图5为根据本发明地址监控方法中遍历MAC地址表的网络拓扑结构示意图,其中A、B、C、D、E、F、G、H、I为各个交换机。由于ARP变化时,发生变更和新增的IP地址时可能为多条数据,每条数据都需遍历其网络路径,难免这些网络路径有重复现象。如路径一A—B—C—D,路径二A-B-E-F,两条路径其A与B相同,如果采用递归算法反复从交换机A与B上获取Mac-AddressTable,属于重复工作,算法效率低,且加大网络负担。下面结合图5对本发明涉及的查找过程举例如下当内网监控时根据变化的ARP表发现核心交换机A上有2个非法IP(定义为xl和x2),首先查看xl的Mac值(定义为Mac-a),然后根据核心A的MacAddress-Table分析Mac-a是从B交换机上来的,还是从C交换机上来的,结果发现时从B交换机上来的,再获取B交换机的MacAddress-Table,分析Mac-a是B上来还是从D或者从E上来的,分析结果发现,Mac-a是从交换机D上来的,继续获取交换机D的MacAddress-Table并分析,最终发现此Mac-a是交换机D的G0/3口。这次遍历路径为A-B-D。然后查找x2的Mac值(定义为Mac_b),根据核心A的MacAddress-Table分析Mac-b是从B交换机上来的,还是从C交换机上来的,结果发现时从B交换机上来的,再获取B交换机的MacAddress-Table,分析Mac_b是B上来还是从D或者从E上来的,分析结果发现,Mac-a是从交换机D上来的,继续获取交换机D的MacAddress-Table并分析,此Mac_b是交换机G上来的,获取交换机G的MacAddress-Table,结果发现此Mac_b为交换机G的G0/4口。这次遍历路径为A-B-D-G。从以上例子看出,2个非法IP,其路径极为相似(A-B-D与A_B_D_G),查找二层交换机的端口地址对应表(MacAddress-Table)将消耗大量时间,而重复获取交换机的MacAddress-Table会花费了服务程序90%的运行时间。图6为图5中网络拓扑的遍历数据的存储结构示意图,如图6所示,查找过程,先建立一个空的单队列,用来存储各个交换机MacAddress-Table。根据图5的网络拓扑结构以及举例的2个非法IP(定义为xl和x2)的路径首先获取核心A上的MacAddress-Table,然后将A的MacAddress-Table(定义为MacA)存储在队列中。当要获取交换机B的MacAddress-Table时先判断交换机B的MacAddress-Table(定义为MacB)存在于队列中不,如果队列中不存在MacB,则将MacB存储在队列中。如果存在直接从队列中获取。当要获取交换机C的MacAddress-TabIe时先判断交换机C的MacAddress-Table(定义为MacC)存在于队列中不,如果队列中不存在MacC,则将MacC存储在队列中。如果存在直接从队列中获取。第1个非法IP(Xl)检查完毕,当检查第2个IP时,路径A_B_C的MacAddress-Table已经存在于队列中,从单队列存储的数据结构中直接获取即可,只需再单独获取交换机D的MacAddress-Table,并存储在队列中即可。判断第2个IP时,只访问了交换机D,访问A、B、C交换机MacAddress-Table的时间将被省略,当有多个非法IP,网络规模更大时,本实施例的查找效果更加明显,效率更高。概括来说,当变换的ARP信息有两个以上IP时,根据变化的ARP信息中的两个以上的IP地址获得对应的两个以上的MAC地址;根据两个以上的MAC地址以及监控的交换机的端口MAC地址对应信息,获得两个以上IP地址分别对应的接入设备端口,具体地在查找下一IP地址对应的接入设备端口时,判断单队列数据存储结构中是否已存储下一IP地址待查找的二层设备端口MAC地址对应信息,在否时在单队列数据存储结构中按顺序存储查找到的二层设备端口MAC地址对应信息;否则直接从单队列数据存储结构中提取。以上述例子为描述,其查找过程具体实现可以为使用单队列数据存储结构,并建立交换机Mac-Address类,先产生单队列容器,当按路径一访问交换机A时实例化Mac-Address类,产生交换机A的Mac-Address对象,并将对象保存至单队列容器中,同理B、C、D访问结束后,B、C、D交换机的Mac-AddressTable对象也将保存在队列容器中。当访问第二条路径时,先查看访问交换机在队列容器中是否存在,不存在产生新对象并保存进容器,如果存在,直接从容器中提取。利用现有技术需要查看A,B,C,D,A,B,E,F8台交换机MacAddressTable,利用上述算法后只需查看A,B,C,D,E,F6台,在上面的例子中,优化了25%的性能,如果需检查的IP地址越多,其查找优点更明显。图7为根据本发明地址监控装置实施例一结构示意图。如图7所示,包括接口模块2,用于接收三层设备的地址解析协议ARP信息,以及二层设备的端口MAC地址对应信息,具体可参见上述方法实施例相关说明;处理模块4,用于监听到ARP信息变化时,根据变化的ARP信息中的IP地址获得对应的MAC地址;根据MAC地址查找对应的二层和/或三层接入设备的端口MAC地址对应信息,获得IP地址对应的接入设备端口,具体可参见上述方法中的查找过程。还可以包括告警模块6,用于将IP地址与接入设备端口合法的IP地址进行比较,判断IP地址为非法地址后,进行告警和/或封闭接入设备端口。告警模块进一步,还可以监控二层和/或三层设备的端口MAC地址对应信息,并与合法的端口MAC地址对应关系进行比较,判断是否出现非法MAC地址;和/或将监控的三层设备的ARP信息与合法的IP地址与MAC地址的对应关系进行比较,判断是否出现非法IP地址或MAC地址。图8为根据本发明地址监控装置实施例二结构示意图。如图8,处理模块4可以包括查询子模块42,用于根据MAC地址获得IP地址对应的二层或三层设备接入端口;当二层或三层设备接入端口为级联端口时,查找下级设备端口MAC地址对应信息;根据下级设备的端口MAC地址对应信息,查找IP地址对应的下级设备接入端口,直至最终获得的接入设备端口为非级联端口,具体可参见上述方法实施例相关说明,在此不再对相同或相似内容进行重复描述。还可以包括存储子模块44,用于在已建立的单队列数据存储结构中,当待查找的下级设备端口MAC地址对应信息未存储在单队列数据存储结构中,在单队列数据存储结构中的可用存储位置按顺序存储查找到的下级设备端口MAC地址对应信息;否则从单队列数据存储结构中直接提取。具体可参见上述方法实施例相关说明,在此不再对相同或相似内容进行重复描述。上述方法发明的各个实施例可以在具备图7-图8结构图所示结构的装置中实现。其中,图7和图8所示的装置可以位于网管系统中,对非法地址进行实时监控。可通过各种手段实施本文描述的技术。举例来说,这些技术可实施在硬件、固件、软件或其组合中。对于硬件实施方案,处理模块4可实施在一个或一个以上专用集成电路(ASIC)、数字信号处理器(DSP)、可编程逻辑装置(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、电子装置、其它经设计以执行本文所描述的功能的电子单元或其组合内。对于固件和/或软件实施方案,可用执行本文描述的功能的模块(例如,过程、步骤、流程等)来实施所述技术。固件和/或软件代码可存储在存储器中并由处理器执行。存储器可实施在处理器内或处理器外部。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1.一种地址监控方法,其特征在于,包括接收三层设备的地址解析协议ARP信息;在监听到所述ARP信息变化时,根据所述变化的ARP信息中的IP地址获得对应的MAC地址;根据所述MAC地址查找二层和/或三层设备的端口MAC地址对应信息,获得所述IP地址对应的接入设备端口。2.根据权利要求1所述的方法,其特征在于,还包括将所述IP地址与所述接入设备端口合法的IP地址进行比较,判断所述IP地址是否非法;判断所述IP地址非法后,进行监控告警和/或封闭所述接入设备端口。3.根据权利要求1所述的方法,其特征在于,还包括监控所述二层设备和/或三层设备的端口MAC地址对应信息,将监控的端口MAC地址对应信息与合法的端口MAC地址对应信息进行比较,判断是否出现非法MAC地址;和/或将监控的所述三层设备的所述ARP信息与合法的IP地址与MAC地址的对应关系进行比较,判断是否出现非法IP地址或MAC地址。4.根据权利要求1所述的方法,其特征在于,根据所述MAC地址查找二层和/或三层设备的端口MAC地址对应信息,获得所述IP地址对应的接入设备端口包括根据所述MAC地址获得所述IP地址对应的二层或三层设备接入端口;当所述三层或二层设备接入端口为级联端口时,查找下级设备端口MAC地址对应信息;根据所述下级设备端口MAC地址对应信息,查找所述IP地址对应的下级级联设备接入端口,直至最终获得的接入设备端口为非级联端口;将最终查找的非级联接入设备端口作为所述IP地址对应的接入设备端口。5.根据权利要求4所述的方法,其特征在于,根据所述下级设备端口MAC地址对应信息,查找所述IP地址对应的下级级联设备接入端口,直至最终获得的接入设备端口为非级联端口包括在已建立的单队列数据存储结构中,当待查找的下级设备端口MAC地址对应信息未存储在所述单队列数据存储结构中,在所述单队列数据存储结构中的可用存储位置按顺序存储查找到的下级设备端口MAC地址对应信息;否则从所述单队列数据存储结构中直接提取。6.根据权利要求1-5任一项所述的方法,其特征在于,通过简单网络管理协议SNMP接收所述ARP信息以及所述端口MAC地址对应信息;其中,所述三层设备包括核心路由器、核心交换机、汇聚交换机。7.一种地址监控装置,其特征在于,包括接口模块,用于接收三层设备的地址解析协议ARP信息,以及二层和/或三层设备的端口MAC地址对应信息;处理模块,用于监听到所述ARP信息变化时,根据所述变化的ARP信息中的IP地址获得对应的MAC地址;根据所述MAC地址查找所述二层和/或三层设备的端口MAC地址对应信息,获得所述IP地址对应的接入设备端口。8.根据权利要求7所述的装置,其特征在于,还包括告警模块,用于将所述IP地址与所述接入设备端口合法的IP地址进行比较,判断所述IP地址为非法地址后,进行告警和/或封闭所述接入设备端口。9.根据权利要求8所述的装置,其特征在于,所述告警模块进一步监控所述二层和/或三层设备的端口MAC地址对应信息,将监控的端口MAC地址对应信息与合法的端口MAC地址对应信息进行比较,判断是否出现非法MAC地址;和/或将监控的所述三层设备的所述ARP信息与合法的IP地址与MAC地址的对应关系进行比较,判断是否出现非法IP地址或MAC地址。10.根据权利要求7所述的装置,其特征在于,所述处理模块包括查询子模块,用于根据所述MAC地址获得所述IP地址对应的二层或三层设备接入端口;当所述三层或二层设备接入端口为级联端口时,查找下级设备端口MAC地址对应信息;根据所述下级设备的端口MAC地址对应信息,查找所述IP地址对应的下级设备接入端口,直至最终获得的接入设备端口为非级联端口。11.根据权利要求10所述的装置,其特征在于,所述处理模块还包括存储子模块,用于在已建立的单队列数据存储结构中,当待查找的下级设备端口MAC地址对应信息未存储在所述单队列数据存储结构中,在所述单队列数据存储结构中的可用存储位置按顺序存储查找到的下级设备端口MAC地址对应信息;否则从所述单队列数据存储结构中直接提取。全文摘要本发明公开了一种地址监控方法及装置,其中,该方法包括接收三层设备的地址解析协议ARP信息;在监听到ARP信息变化时,根据变化的ARP信息中的IP地址获得对应的MAC地址;根据MAC地址查找二层和/或三层设备的端口MAC地址对应信息,获得IP地址对应的接入设备端口。本发明可以及时发现非法地址,解决现有技术中没有从根本上防止地址盗用行为的技术缺陷。文档编号H04L12/24GK102572000SQ201010624258公开日2012年7月11日申请日期2010年12月31日优先权日2010年12月31日发明者宋悦,弋鹏翔,申民,罗海星,马振尊,高芳申请人:中国移动通信集团陕西有限公司