[发明专利]端口安全防御的辅助方法和装置、方法和系统及交换设备

权利要求书

1.一种端口安全防御的辅助方法，用于辅助交换设备进行端口MAC地址的学习，其特征在于，包括以下步骤：

步骤S1：为所述交换设备设置具有不同优先级的安全域；

步骤S2：将所述交换设备的各端口添加到相应的安全域中，并控制高优先级安全域下的端口优先进行MAC地址的学习；

其中所述控制高优先级安全域下的端口优先进行MAC地址学习的步骤包括：

当第一端口学习到的MAC地址与交换设备CAM表中第二端口已学习的MAC地址表项冲突时，识别第一端口和第二端口所属的安全域；

如果第一端口所属安全域的优先级高于第二端口所属安全域的优先级，则从CAM表中删除第二端口的MAC地址表项，并重新添加第一端口的MAC地址表项；

否则，丢弃第一端口收到的报文；

或者，所述控制高优先级安全域下的端口优先进行MAC地址学习的步骤包括：

当交换设备CAM表已满且一端口学习到新的MAC地址时，识别所述端口所属的安全域的优先级；

如果所述CAM表中记录有更低优先级端口的MAC地址表项，则删除相应数目的最低优先级端口的MAC地址表项；

否则，将所述端口模式转为secure，停止所述端口MAC地址的学习。

2.根据权利要求1所述的端口安全防御的辅助方法，其特征在于，步骤S2中将交换设备的各端口添加到相应的安全域中的步骤包括：将所述交换设备的各端口批量添加到相应的安全域中。

3.根据权利要求1所述的端口安全防御的辅助方法，其特征在于，还包括：保持交换设备端口的缺省设置，该缺省设置为无最大MAC地址学习数量限制。

4.一种端口安全防御的辅助装置，设置于交换设备中以辅助交换设备进行端口MAC地址的学习；其特征在于，包括：

安全域划分单元，用于进行具有不同优先级的安全域设置；

端口设置单元，与所述安全域划分单元连接，用于将交换设备的各端口添加到相应的安全域中；

MAC地址学习控制单元，与所述端口设置单元和交换设备中的CAM表连接，用于控制高优先级安全域下的端口优先进行MAC地址的学习；

其中所述MAC地址学习控制单元包括：端口冲突控制模块，用于在第一端口学习到的MAC地址与交换设备CAM表中第二端口已学习的MAC地址表项冲突时，识别第一端口和第二端口所属的安全域；如果第一端口所属安全域的优先级高于第二端口所属安全域的优先级，则从CAM表中删除第二端口的MAC地址表项，并重新添加第一端口的MAC地址表项；否则，丢弃第一端口收到的报文；

或者，所述MAC地址学习控制单元包括：CAM表溢出控制模块，用于在交换设备CAM表已满且一端口学习到新的MAC地址时，识别所述端口所属的安全域的优先级；如果所述CAM表中记录有更低优先级端口的MAC地址表项，则删除相应数目的最低优先级端口的MAC地址表项；否则，将所述端口模式转为secure，停止所述端口MAC地址的学习。

5.根据权利要求4所述的端口安全防御的辅助装置，其特征在于，所述端口设置单元包括批量处理接口，用于将所述交换设备的各端口批量添加到相应的安全域中。

6.根据权利要求4所述的端口安全防御的辅助装置，其特征在于，交换设备各端口保持缺省设置，该缺省设置为无最大MAC地址学习数量限制。

7.一种端口安全防御的方法，其特征在于，交换设备基于权利要求1-3任一所述端口安全防御的辅助方法进行MAC地址的学习，并根据学习到的MAC地址进行网络接入控制。

8.一种端口安全防御的系统，设置于交换设备中，包括MAC地址学习单元以及保存端口MAC地址学习结果的CAM表；其特征在于，还包括权利要求4-6任一所述的端口安全防御的辅助装置。

9.一种交换设备，其特征在于，设有权利要求4-6任一所述的端口安全防御的辅助装置或者权利要求8所述的端口安全防御的系统。