[发明专利]一种主机防护方法

说明书

技术领域

本发明涉及通信技术，特别涉及二层设备的安全接入控制技术。

背景技术

交换机作为网络环境中最靠近接入终端的网络设备，对其进行安全接入控制尤为重要，端口安全技术是由此产生的一种基于端口的二层网络设备的安全接入控制技术。

网络设备的二层转发是通过查找MAC地址表进行的，对于无法查找到源MAC地址表并且不能学习该表项的报文将被丢弃。当前端口安全管理模块最常用的做法是针对需要防护的主机MAC地址及进入端口报文所带VLAN ID进行安全控制，通过在设备端定义具体的MAC规则、MAC+VLAN规则等方式实现特定的安全策略。

当前端口安全技术主要是通过定义基于端口的MAC规则或者MAC+VLAN规则来实现对端口进行接入控制，具体方式为通过端口安全功能将端口转发状态设置为丢弃（DROP）模式，只有通过定义的MAC规则或者MAC+VLAN规则生成相应静态地址表项的报文才能实现转发，从而实现端口的安全接入控制功能，但是由于MAC地址采用16进制的形式进行描述，其可识记性较差，在实际的规模性网络部署中存在很大的不方便性。同时，MAC地址的规则只能基于接入终端进行接入控制，对于需要基于IP网络地址进行防护的应用场景有很大的局限性。

发明内容

本发明的目的就是克服目前端口安全技术中没有基于IP规则进行防护方法的缺点，提供一种主机防护方法。

本发明解决其技术问题，采用的技术方案是，一种主机防护方法，其特征在于，包括以下步骤：

步骤1、端口启用端口安全机制，端口安全机制初始化，设定参数；

步骤2、在端口上配置IP规则，该IP规则中包括至少一个准入IP地址；

步骤3、对每一个准入IP地址对应的主机都发送一个ARP广播请求；

步骤4、接收到有效主机的ARP应答后，提取出相应的MAC地址，并将获取得的MAC地址与相应的虚拟局域网号VLAN ID及端口号一并写入静态转发表项中。

具体的，步骤1中，所述参数包括ARP广播请求轮询周期及ARP广播请求每次发送数目。

进一步的，步骤3包括以下具体步骤：

步骤301、端口安全系统判断IP规则中的准入IP地址数量是否大于设定的ARP广播请求每次发送数目，若是则进入下一步，若不是则进入步骤303；

步骤302、端口安全系统以设定的ARP广播请求轮询周期为时间周期按照准入IP地址排列顺序每次以轮询的方式发送ARP广播请求，每个ARP广播请求对应一个准入IP地址对应的主机，直至未发送ARP广播请求的对应准入IP地址数量小于或等于设定的ARP广播请求每次发送数目时，进入下一步；

步骤303、端口安全系统向未发送ARP广播请求的所有准入IP地址对应的主机发送ARP广播请求。

具体的，步骤302中，所述排列顺序为IP地址由小到大排列。

再进一步的，步骤302包括以下具体步骤：

步骤302A、端口安全系统对未发送ARP广播请求的对应准入IP地址进行由小到大排列，依序选择向其中设定的ARP广播请求每次发送数目的准入IP地址对应的主机发送ARP广播请求；

步骤302B、端口安全系统等待设定时间；

步骤302C、端口安全系统判断未发送ARP广播请求的对应准入IP地址数量是否大于设定的ARP广播请求每次发送数目，若是则回到步骤302A，否则进入下一步。

具体的，步骤1中，所述参数包括保活周期。

再进一步的，步骤3中，还包括：端口安全系统在对所有准入IP地址对应的主机发送ARP广播请求完成后重置保活计时为0，并开始计时；

步骤4以后还包括以下步骤：

步骤5、端口安全系统判断保活计时是否达到设定的保活周期，若是则回到步骤3，否则等待。

具体的，步骤2中，所述IP规则中包括至少一个准入IP地址是指：IP规则中包括一个准入IP地址或一个连续的准入IP地址段。

再进一步的，步骤1中，所述端口安全系统初始化是指：清除该端口下所有MAC地址动态转发表项，并将端口地址学习状态设置为丢弃（DROP）模式。

本发明的有益效果是，通过上述基于IP规则的主机防护方法，实现了基于IP规则的端口安全防护方法，丰富了端口安全系统的应用场景并且极大的优化了端口安全系统的部署手段，方便用户。

附图说明

图1是本发明实施例中的一种主机防护方法的流程图。

具体实施方式

下面结合实施例及附图，详细描述本发明的技术方案。