[发明专利]一种端口安全的实现方法及系统

说明书

技术领域

本发明属于数据通信技术领域，涉及一种端口安全规则的实现方法及系统。

背景技术

在对接入安全访问控制比较严格的行业，例如金融行业，为实现安全访问控制，通常在接入交换机上开启端口安全功能进行安全接入控制。只有允许的特定主机才能访问网络，未被允许的主机则禁止访问网络。

在接入层交换机上实施端口安全模块后，如果实施的是端口安全的MAC（Media Access Control，媒体访问控制）规则，则无法控制用户随意更换IP地址的现象；如果实施的是最大数规则，则无法针对某个特定终端进行安全控制；但是端口安全的IP-MAC规则解决了以上两个问题，其采用的办法为只有特定MAC和IP地址的终端才允许访问网络，否则会被拒绝。但是在实际应用中，如果IP-MAC机制处理不当又会引起与不同操作系统终端的兼容性问题，造成IP-MAC规则在具体实施应用中受到了限制。

由此总结出的问题为，在接入层交换机上实施端口安全进行访问控制后，无论采用的是MAC规则还是MAXIMUM规则，都无法做到指定终端使用指定IP接入网络的功效，同时IP-MAC规则处理流程不完善还会引起端口安全与不同操作系统兼容性的问题。

发明内容

本发明所要解决的技术问题是为了克服现有技术中端口安全规则与不同操作系统终端存在兼容性的问题而提供一种端口安全的实现方法及系统。

本发明解决其技术问题采用的技术方案是：一种端口安全IP-MAC规则的实现方法，包括：

使能交换机端口的端口安全功能，关闭该端口硬件学习媒体访问控制MAC地址的能力；

在交换机端口配置端口安全IP-MAC规则；

若在配置IP-MAC规则时或在配置IP-MAC规则后交换机端口的状态为连通up时，则交换机端口发送地址解析协议ARP报文并根据接收到的ARP报文内容与配置的端口安全IP-MAC规则进行匹配，根据匹配结果对FDB表中的MAC表项执行相应动作。

进一步的，若所述交换机端口的状态为连通up时，交换机端口发送ARP请求报文；

当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN接口配置有IP地址，则发送的ARP请求报文中源IP和源MAC选用该三层VLAN接口的IP和MAC；

当配置了端口安全IP-MAC规则的交换机端口所在的三层VLAN接口没有配置IP地址，则发送的ARP请求报文中的源IP和源MAC选用交换机其他的任一三层VLAN接口的IP和MAC；

当交换机整机任一三层VLAN接口都没配置有IP，则不发送ARP请求报文。

进一步的，所述交换机根据接收的ARP报文内容与端口安全IP-MAC规则进行匹配的过程为：

提取接收到的ARP报文中的源MAC与源IP，如果源MAC与端口安全IP-MAC规则匹配，但IP不匹配，且该ARP报文中的源IP不是全0，则删除该源MAC在FDB表里的MAC表项；

如果源MAC与端口安全IP-MAC规则匹配，但IP不匹配，且该ARP报文中的源IP是全0，则不删除该源MAC在FDB表里的MAC表项；

如果源MAC和源IP与端口安全IP-MAC规则均匹配，则将该源MAC添加到FDB表里的MAC表项；

如果源MAC与端口安全IP-MAC规则不匹配，则删除该源MAC在FDB表里的MAC表项。

更进一步的，所述交换机接收到的ARP报文包括ARP请求报文和ARP响应报文，所述ARP请求报文和ARP响应报文中分别包括源MAC和源IP。

进一步的，若在配置IP-MAC规则后交换机端口的状态为未连通DOWN时或终端处于下线状态，则在FDB表中删除该MAC表项。

更进一步的，所述终端是否处于下线状态通过定期发送ARP报文进行测试，若在预设时间内或预设发送ARP报文次数内没有收到终端的回应报文则表示该终端处于下线状态，则在FDB表中删除该MAC表项。

为了解决技术问题，本发明还提供了一种端口安全IP-MAC规则的实现系统，包括：端口安全启动模块、端口安全IP-MAC规则配置模块以及端口安全IP-MAC规则匹配模块；

所述端口安全启动模块用于使能交换机端口的端口安全功能，关闭该端口硬件学习MAC地址的能力；

所述端口安全IP-MAC规则配置模块用于在交换机端口配置端口安全IP-MAC规则；