[发明专利]交换机端口控制方法和装置

说明书

技术领域

本发明实施例涉及交换机控制技术，尤其涉及一种交换机端口控制方法和装置。

背景技术

交换机(Switch)是网络中的常见设备，其具有多个端口，每个端口一般又可通过下级的交换机或集线器(HUB)连接多个用户的网络设备。在实际网络应用中，每一台网络设备都拥有一个全球唯一的媒体访问控制(MediumAccess Control，简称MAC)地址，但是，在交换机的使用过程中仍然存在MAC地址漂移(MAC Flapping)问题。所谓MAC地址漂移，就是MAC地址发生了移动。当某个源MAC地址的报文从交换机的一个端口接入时，交换机就会学习到这个报文的MAC地址与端口的对应关系，在这个MAC地址没有老化前，又有相同源MAC地址的报文从交换机的另外一个端口接入，也就是MAC地址从一个端口移动到了另一个端口时，就发生了MAC地址漂移。

实际网络应用中，各网络设备的MAC地址通常是唯一的，所以由于网络设备MAC地址重复而导致MAC地址漂移的可能性很小。出现MAC地址漂移的原因主要有两方面，即用户侧网络形成环路和仿冒攻击。当某一用户的网络设备发送出一个报文，若报文经过两条路径发送到同一交换机的不同端口，则称为用户侧网络形成环路。所谓仿冒攻击，即非法用户仿冒合法MAC地址，非法接入网络的行为。

现有技术通过克服MAC地址漂移问题的手段是将发生MAC地址漂移的端口进行阻断或者上报告警。但是，发明人在进行本发明的研究过程中，发现现有技术存在如下缺陷：检测到MAC地址漂移即阻断端口，将导致该端口下其他用户无法实现业务，这些用户和上层网络之间的业务都将中断。

发明内容

本发明实施例提供一种交换机端口控制方法和装置，以有效解决用户侧网络成环和仿冒攻击的问题。

本发明实施例提供了一种交换机端口控制方法，包括：

当监测到媒体访问控制地址发生漂移时，将所述媒体访问控制地址的状态设置为阻断状态；

监测与端口对应的处于阻断状态的媒体访问控制地址的个数以获得阻断个数值；

当监测到所述阻断个数值达到个数门限值时，阻断所述端口，并将所述端口下的媒体访问控制地址的状态均设置为正常状态。

本发明实施例还提供了一种交换机端口控制装置，包括：

地址状态机，用于当监测到媒体访问控制地址发生漂移时，将所述媒体访问控制地址的状态设置为阻断状态；

阻断监测模块，用于监测与端口对应的处于阻断状态的媒体访问控制地址的个数以获得阻断个数值；

端口阻断模块，用于当监测到所述阻断个数值达到个数门限值时，阻断所述端口，并将所述端口下的媒体访问控制地址的状态均设置为正常状态。

本发明所提供的交换机端口控制方案，既解决了用户侧网络成环问题，又解决了仿冒攻击问题，提高了实现用户业务的可靠性，对网络情况的适应性强，且能够降低占用的交换机控制资源。

附图说明

图1为仿冒攻击的情况示意图；

图2为用户侧网络成环的情况示意图；

图3为本发明实施例一提供的交换机端口控制方法的流程图；

图4为本发明实施例二提供的交换机端口控制方法中状态设置步骤的流程图；

图5为本发明实施例三提供的交换机端口控制方法中状态设置步骤的流程图；

图6为本发明实施例三中地址状态关系示意图；

图7为本发明实施例四提供的交换机端口控制装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

图3为本发明实施例一提供的交换机端口控制方法的流程图，该方法可以由交换机中的控制装置来执行，实现对各端口进行控制，对于每一个端口所执行的控制方法相同，具体包括如下步骤：

步骤310、当控制装置监测到MAC地址发生漂移时，将该MAC地址的状态设置为阻断状态。

步骤320、控制装置监测与端口对应的处于阻断状态的MAC地址的个数以获得阻断个数值。

步骤330、当控制装置监测到该端口中的阻断个数值达到个数门限值时，阻断该端口，并将该端口下的MAC地址的状态均设置为正常状态。