[发明专利]防止网络攻击的方法与装置

权利要求书

1.一种防止网络攻击的方法，其特征在于，应用于以太网虚拟私有网络EVPN中，所述EVPN中包括多个网络节点，所述方法由所述多个网络节点中的第一网络节点执行，包括：

接收第一报文，所述第一报文携带有第一MAC地址，所述第一MAC地址为所述第一报文的源MAC地址；

确定第一MAC表项信息，所述第一MAC表项信息中包括所述第一MAC地址、所述第一MAC地址的标识与所述第一MAC地址的出端口信息的对应关系，所述第一MAC地址的标识用于指示所述第一MAC地址是可信任的；

所述第一报文是从所述第一网络节点的第一端口接收的，所述确定第一MAC表项信息，包括：

确定所述第一端口未被配置为信任端口；

确定预先保存的第二MAC表项信息中包括与所述第一MAC地址相同的MAC地址；

确定与所述第一MAC地址相同的MAC地址的标识指示所述MAC地址是可信任的；

将所述第二MAC表项信息确定为所述第一MAC表项信息。

2.根据权利要求1所述的方法，其特征在于，所述第一报文是从所述第一网络节点的第一端口接收的，所述确定第一MAC表项信息，包括：

确定所述第一端口被配置为信任端口；

根据所述第一MAC地址与所述第一MAC地址的出端口信息，确定所述第一MAC表项信息。

3.根据权利要求2所述的方法，其特征在于，所述根据所述第一MAC地址与所述第一MAC地址的出端口信息，确定所述第一MAC表项信息，包括：

确定预先保存的第二MAC表项信息中不包括所述第一MAC地址或包括所述第一MAC地址但不包括所述第一MAC地址的出端口信息；

更新所述第二MAC表项信息；

将更新后的所述第二MAC表项信息确定为所述第一MAC表项信息。

4.根据权利要求2所述的方法，其特征在于，所述根据所述第一MAC地址与所述第一MAC地址的出端口信息，确定所述第一MAC表项信息，包括：

确定预先保存的第二MAC表项信息中包括所述第一MAC地址与所述第一MAC地址的出端口信息；

将所述第二MAC表项信息确定为所述第一MAC表项信息。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

向EVPN中除所述第一网络节点外的其他网络节点发送第二报文，所述第二报文携带有所述第一MAC地址和所述第一MAC地址的标识。

6.根据权利要求5所述的方法，其特征在于，所述第二报文中包括的每个MAC地址的标识承载在所述第二报文的预留位。

7.一种防止网络攻击的装置，其特征在于，配置于以太网虚拟私有网络EVPN中，包括：

接收模块，用于接收第一报文，所述第一报文携带有第一MAC地址，所述第一MAC地址为所述第一报文的源MAC地址；

处理模块，用于确定第一MAC表项信息，所述第一MAC表项信息中包括所述第一MAC地址、所述第一MAC地址的标识与所述第一MAC地址的出端口信息的对应关系，所述第一MAC地址的标识用于指示所述MAC地址是可信任的；

所述第一报文是从所述装置的第一端口接收的，所述处理模块，还用于：

确定所述第一端口未被配置为信任端口；

确定预先保存的第二MAC表项信息中包括与所述第一MAC地址相同的MAC地址；

确定与所述第一MAC地址相同的MAC地址的标识指示所述MAC地址所述MAC地址是可信任的；

将所述第二MAC表项信息确定为所述第一MAC表项信息。

8.根据权利要求7所述的装置，其特征在于，所述第一报文是从所述装置的第一端口接收的，所述处理模块，还用于：

确定所述第一端口被配置为信任端口；

根据所述第一MAC地址与所述第一MAC地址的出端口信息，确定所述第一MAC表项信息。