[发明专利]一种端口安全的实现方法及系统

权利要求书

1.一种端口安全的实现方法，其特征在于，包括：

使能交换机端口的端口安全功能，关闭该端口硬件学习媒体访问控制MAC地址的能力；

在交换机该端口上配置至少一条端口安全IP-MAC规则；

若在配置IP-MAC规则时或在配置IP-MAC规则后交换机端口的状态为连通up时，则交换机端口发送地址解析协议ARP请求报文并根据接收到的ARP报文内容与配置的端口安全IP-MAC规则进行匹配，根据匹配结果对转发地址FDB表中的MAC表项执行相应动作；

若所述交换机端口的状态为up时，交换机端口发送ARP请求报文；

当配置了端口安全IP-MAC规则的交换机端口所在的三层虚拟局域网VLAN接口配置有IP地址，则发送的ARP请求报文中源IP和源MAC选用该三层VLAN接口的IP和MAC；

当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN接口没有配置IP地址，则发送的ARP请求报文中的源IP和源MAC选用交换机其他的任一三层VLAN接口的IP和MAC；

当交换机整机任一三层VLAN接口都没配置有IP，则不发送ARP请求报文。

2.如权利要求1所述的方法，其特征在于，所述交换机根据接收的ARP报文内容与端口安全IP-MAC规则进行匹配的过程为：

提取接收到的ARP报文中的源MAC与源IP，如果源MAC与端口安全IP-MAC规则匹配，但IP不匹配，且该ARP报文中的源IP不是全0，则删除该源MAC在FDB表里的MAC表项；

如果源MAC与端口安全IP-MAC规则匹配，但IP不匹配，且该ARP报文中的源IP是全0，则不删除该源MAC在FDB表里的MAC表项；

如果源MAC和源IP与端口安全IP-MAC规则均匹配，则将该源MAC添加到FDB表里的MAC表项；

如果源MAC与端口安全IP-MAC规则不匹配，则删除该源MAC在FDB表里的MAC表项。

3.如权利要求1至2任一项所述的方法，其特征在于，所述交换机接收到的ARP报文包括ARP请求报文和ARP响应报文，所述ARP请求报文和ARP响应报文中分别包括源MAC和源IP。

4.如权利要求1所述的方法，其特征在于，若在配置IP-MAC规则后交换机端口的状态为DOWN或终端处于下线状态，则在FDB表中删除该MAC表项。

5.如权利要求4所述的方法，其特征在于，所述终端是否处于下线状态通过定期发送ARP报文进行测试，若在预设时间内或预设发送ARP报文次数内没有收到终端的回应报文则表示该终端处于下线状态，则在FDB表中删除该MAC表项。

6.一种端口安全的实现系统，其特征在于，包括：端口安全启动模块、端口安全IP-MAC规则配置模块以及端口安全IP-MAC规则匹配模块；

所述端口安全启动模块用于使能交换机端口的端口安全功能，关闭该端口硬件学习MAC地址的能力；

所述端口安全IP-MAC规则配置模块用于在交换机端口配置至少一条端口安全IP-MAC规则；

所述端口安全IP-MAC规则匹配模块用于在若配置IP-MAC规则时或在配置IP-MAC规则后交换机端口的状态为up，则交换机端口发送ARP报文并根据接收到的ARP报文内容与配置的端口安全IP-MAC规则进行匹配，对FDB表中的MAC表项执行动作；

所述端口安全IP-MAC匹配模块在所述交换机端口的状态为up时，交换机端口发送ARP请求报文；

当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN接口配置有IP地址，则发送的ARP请求报文中源IP和源MAC选用该三层VLAN接口的IP和MAC；

当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN接口没有配置IP地址，则发送的ARP请求报文中的源IP和源MAC选用交换机其他的任一三层VLAN接口的IP和MAC；

当交换机整机任一三层VLAN接口都没配置有IP，则不发送ARP请求报文。