一種主機防護方法
【專利摘要】本發(fā)明涉及通信技術。本發(fā)明解決了現有端口安全技術中沒有基于IP規(guī)則進行防護方法的問題，提供了一種主機防護方法，其技術方案可概括為：首先端口開啟端口安全系統，端口安全系統初始化，設定參數，然后在端口上配置IP規(guī)則，該IP規(guī)則中包括至少一個準入IP地址，端口安全系統再對每一個準入IP地址對應的主機都發(fā)送一個ARP廣播請求，端口安全系統在接收到有效主機的ARP應答后，提取出相應的MAC地址，并將獲取到得MAC地址與相應的VLAN?ID及端口號一并寫入靜態(tài)轉發(fā)表項中，此時端口下匹配該靜態(tài)轉發(fā)表項的報文在查表成功后便可以實現二層轉發(fā)。本發(fā)明的有益效果是：方便用戶，適用于端口安全防護。
【專利說明】一種主機防護方法
【技術領域】
[0001]本發(fā)明涉及通信技術，特別涉及二層設備的安全接入控制技術。
【背景技術】
[0002]交換機作為網絡環(huán)境中最靠近接入終端的網絡設備，對其進行安全接入控制尤為重要，端口安全技術是由此產生的一種基于端口的二層網絡設備的安全接入控制技術。
[0003]網絡設備的二層轉發(fā)是通過查找MAC地址表進行的，對于無法查找到源MAC地址表并且不能學習該表項的報文將被丟棄。當前端口安全管理模塊最常用的做法是針對需要防護的主機MAC地址及進入端口報文所帶VLAN ID進行安全控制，通過在設備端定義具體的MAC規(guī)則、MAC+VLAN規(guī)則等方式實現特定的安全策略。
[0004]當前端口安全技術主要是通過定義基于端口的MAC規(guī)則或者MAC+VLAN規(guī)則來實現對端口進行接入控制，具體方式為通過端口安全功能將端口轉發(fā)狀態(tài)設置為丟棄(DROP)模式，只有通過定義的MAC規(guī)則或者MAC+VLAN規(guī)則生成相應靜態(tài)地址表項的報文才能實現轉發(fā)，從而實現端口的安全接入控制功能，但是由于MAC地址采用16進制的形式進行描述，其可識記性較差，在實際的規(guī)模性網絡部署中存在很大的不方便性。同時，MAC地址的規(guī)則只能基于接入終端進行接入控制，對于需要基于IP網絡地址進行防護的應用場景有很大的局限性。

【發(fā)明內容】

[0005]本發(fā)明的目的就是克服目前端口安全技術中沒有基于IP規(guī)則進行防護方法的缺點，提供一種主機防護方法。
[0006]本發(fā)明解決其技術問題，采用的技術方案是，一種主機防護方法，其特征在于，包括以下步驟:
[0007]步驟1、端口啟用端口安全機制，端口安全機制初始化，設定參數；
[0008]步驟2、在端口上配置IP規(guī)則，該IP規(guī)則中包括至少一個準入IP地址；
[0009]步驟3、對每一個準入IP地址對應的主機都發(fā)送一個ARP廣播請求；
[0010]步驟4、接收到有效主機的ARP應答后，提取出相應的MAC地址，并將獲取得的MAC地址與相應的虛擬局域網號VLAN ID及端口號一并寫入靜態(tài)轉發(fā)表項中。
[0011]具體的，步驟I中，所述參數包括ARP廣播請求輪詢周期及ARP廣播請求每次發(fā)送數目。
[0012]進一步的，步驟3包括以下具體步驟:
[0013]步驟301、端口安全系統判斷IP規(guī)則中的準入IP地址數量是否大于設定的ARP廣播請求每次發(fā)送數目，若是則進入下一步，若不是則進入步驟303 ；
[0014]步驟302、端口安全系統以設定的ARP廣播請求輪詢周期為時間周期按照準入IP地址排列順序每次以輪詢的方式發(fā)送ARP廣播請求，每個ARP廣播請求對應一個準入IP地址對應的主機，直至未發(fā)送ARP廣播請求的對應準入IP地址數量小于或等于設定的ARP廣播請求每次發(fā)送數目時，進入下一步；
[0015]步驟303、端口安全系統向未發(fā)送ARP廣播請求的所有準入IP地址對應的主機發(fā)送ARP廣播請求。
[0016]具體的，步驟302中，所述排列順序為IP地址由小到大排列。
[0017]再進一步的，步驟302包括以下具體步驟:
[0018]步驟302A、端口安全系統對未發(fā)送ARP廣播請求的對應準入IP地址進行由小到大排列，依序選擇向其中設定的ARP廣播請求每次發(fā)送數目的準入IP地址對應的主機發(fā)送ARP廣播請求；
[0019]步驟302B、端口安全系統等待設定時間；
[0020]步驟302C、端口安全系統判斷未發(fā)送ARP廣播請求的對應準入IP地址數量是否大于設定的ARP廣播請求每次發(fā)送數目，若是則回到步驟302A，否則進入下一步。
[0021]具體的，步驟I中，所述參數包括保活周期。
[0022]再進一步的，步驟3中，還包括:端口安全系統在對所有準入IP地址對應的主機發(fā)送ARP廣播請求完成后重置保活計時為0，并開始計時；
[0023]步驟4以后還包括以下步驟:
[0024]步驟5、端口安全系統判斷保活計時是否達到設定的?；钪芷冢羰莿t回到步驟3，否則等待。
[0025]具體的，步驟2中，所述IP規(guī)則中包括至少一個準入IP地址是指:IP規(guī)則中包括一個準入IP地址或一個連續(xù)的準入IP地址段。
[0026]再進一步的，步驟I中，所述端口安全系統初始化是指:清除該端口下所有MAC地址動態(tài)轉發(fā)表項，并將端口地址學習狀態(tài)設置為丟棄(DROP)模式。
[0027]本發(fā)明的有益效果是，通過上述基于IP規(guī)則的主機防護方法，實現了基于IP規(guī)則的端口安全防護方法，豐富了端口安全系統的應用場景并且極大的優(yōu)化了端口安全系統的部署手段，方便用戶。
【專利附圖】

【附圖說明】
[0028]圖1是本發(fā)明實施例中的一種主機防護方法的流程圖。
【具體實施方式】
[0029]下面結合實施例及附圖，詳細描述本發(fā)明的技術方案。
[0030]本發(fā)明的一種王機防護方法中，首先端口開啟端口安全系統，端口安全系統初始化，設定參數，然后在端口上配置IP規(guī)則，該IP規(guī)則中包括至少一個準入IP地址，端口安全系統再對每一個準入IP地址對應的主機都發(fā)送一個ARP廣播請求，端口安全系統在接收到有效主機的ARP應答后，提取出相應的MAC地址，并將獲取到得MAC地址與相應的VLANID及端口號一并寫入靜態(tài)轉發(fā)表項中，此時端口下匹配該靜態(tài)轉發(fā)表項的報文在查表成功后便可以實現二層轉發(fā)。
[0031]實施例
[0032]本發(fā)明實施例中的一種主機防護方法的流程圖參見圖1，具體包括以下步驟:
[0033]步驟1、端口開啟端口安全機制，端口安全系統初始化，設定參數。[0034]本步驟中，參數包括ARP廣播請求輪詢周期及ARP廣播請求每次發(fā)送數目，分別記為t及n,本例中以n=10為例,參數中還可以包括保活周期,記為S ;端口安全系統初始化是指:清除該端口下所有MAC地址靜態(tài)轉發(fā)表項，并將端口地址學習狀態(tài)設置為丟棄(DROP)模式。
[0035]步驟2、在端口上配置IP規(guī)則，該IP規(guī)則中包括至少一個準入IP地址。
[0036]本步驟中，IP規(guī)則中包括至少一個準入IP地址是指:IP網絡規(guī)則中包括一個準A IP地址或一個連續(xù)的準入IP地址段，本例中將準入IP地址數量記為m，IP網絡規(guī)則中的準入IP地址段以10.0.0.1-10.0.0.15為例，即15個準入IP地址。
[0037]步驟3、對每一個準入IP地址對應的主機都發(fā)送一個ARP廣播請求。
[0038]本步驟可包括以下具體步驟:
[0039]步驟301、端口安全系統判斷IP網絡規(guī)則中的準入IP地址數量是否大于設定的ARP廣播請求每次發(fā)送數目n，若是則進入下一步，若不是則進入步驟303，本例中即為判斷15是否大于10，由于15大于10，則進入步驟302 ；
[0040]步驟302、端口安全系統以t為周期按照準入IP地址排列順序每次以輪詢的方式發(fā)送n個ARP廣播請求,本例中這里即為10個ARP廣播請求,每個ARP廣播請求對應一個準入IP地址對應的主機，直至未發(fā)送ARP廣播請求的對應準入IP地址數量小于或等于n時，進入下一步；
[0041]步驟303、端口安全系統向未發(fā)送ARP廣播請求的所有準入IP地址對應的主機發(fā)送ARP廣播請求。
[0042]其中，步驟302中，排列順序可以為IP地址由小到大排列，則其具體步驟為:
[0043]步驟302A、端口安全系統對未發(fā)送ARP廣播請求的對應準入IP地址進行由小到大排列，依序選擇向其中n個準入IP地址對應的主機發(fā)送ARP廣播請求，本例中即為依序選擇向其中10個準入IP地址對應的主機發(fā)送ARP廣播請求，此時未發(fā)送ARP廣播請求的對應準入IP地址數量為5，這里，可以預設一個i值，先令i=0 ；
[0044]步驟302B、端口安全系統等待t時間，此時，令i=i+l ；
[0045]步驟302C、端口安全系統判斷未發(fā)送ARP廣播請求的對應準入IP地址數量是否大于n，即可以理解為判斷m-nXi是否大于n，若是則回到步驟302A，若不是則進入下一步，本例中即為判斷未發(fā)送ARP廣播請求的對應準入IP地址數量5是否大于10，由于5小于10，則直接進入步驟303。
[0046]若步驟I中設置了保活周期S，則可以當端口安全系統對所有準入IP地址對應的主機發(fā)送ARP廣播請求完成后重置保活計時為0，并開始計時。
[0047]步驟4、接收到有效主機的ARP應答后，提取出相應的MAC地址，并將獲取到得MAC地址與相應的VLAN ID及端口號一并寫入靜態(tài)轉發(fā)表項中。
[0048]本步驟中，端口安全系統在接收到有效主機的ARP應答后，提取出相應的MAC地址，并將獲取到的MAC地址與相應的VLAN ID，端口號一并寫入靜態(tài)轉發(fā)表項中，若沒有獲取到相應的ARP應答，則表明此時端口下不存在該主機，該條IP網絡規(guī)則暫時處于無生效表項狀態(tài)，直到后續(xù)主機有相應的ARP報文觸發(fā)再次寫入靜態(tài)轉發(fā)表項。
[0049]本例中還包括以下步驟:
[0050]步驟5、端口安全系統判斷?；钣嫊r是否達到S，若是則回到步驟3，否則繼續(xù)等待。
【權利要求】
1.一種主機防護方法，其特征在于，包括以下步驟: 步驟1、端口啟用端口安全機制，端口安全機制初始化，設定參數； 步驟2、在端口上配置IP規(guī)則，該IP規(guī)則中包括至少一個準入IP地址； 步驟3、對每一個準入IP地址對應的主機都發(fā)送一個ARP廣播請求； 步驟4、接收到有效主機的ARP應答后，提取出相應的MAC地址，并將獲取得的MAC地址與相應的虛擬局域網號VLAN ID及端口號一并寫入靜態(tài)轉發(fā)表項中。
2.如權利要求1所述的主機防護方法，其特征在于，步驟I中，所述參數包括ARP廣播請求輪詢周期及ARP廣播請求每次發(fā)送數目。
3.如權利要求2所述的主機防護方法，其特征在于，步驟3包括以下具體步驟: 步驟301、端口安全系統判斷IP規(guī)則中的準入IP地址數量是否大于設定的ARP廣播請求每次發(fā)送數目，若是則進入下一步，若不是則進入步驟303 ； 步驟302、端口安全系統以設定的ARP廣播請求輪詢周期為時間周期按照準入IP地址排列順序每次以輪詢的方式發(fā)送ARP廣播請求，每個ARP廣播請求對應一個準入IP地址對應的主機，直至未發(fā)送ARP廣播請求的對應準入IP地址數量小于或等于設定的ARP廣播請求每次發(fā)送數目時，進入下一步； 步驟303、端口安全系統向未發(fā)送ARP廣播請求的所有準入IP地址對應的主機發(fā)送ARP廣播請求。
4.如權利要求3所述的主機防護方法，其特征在于，步驟302中，所述排列順序為IP地址由小到大排列。
5.如權利要求4所述的主機防護方法，其特征在于，步驟302包括以下具體步驟: 步驟302A、端口安全系統對未發(fā)送ARP廣播請求的對應準入IP地址進行由小到大排列，依序選擇向其中設定的ARP廣播請求每次發(fā)送數目的準入IP地址對應的主機發(fā)送ARP廣播請求； 步驟302B、端口安全系統等待設定時間； 步驟302C、端口安全系統判斷未發(fā)送ARP廣播請求的對應準入IP地址數量是否大于設定的ARP廣播請求每次發(fā)送數目，若是，則回到步驟302A，否則進入下一步。
6.如權利要求1所述的主機防護方法，其特征在于，步驟I中，所述參數還包括?；钪芷?。
7.如權利要求6所述的主機防護方法，其特征在于，步驟3中，還包括:端口安全機制在對所有準入IP地址對應的主機發(fā)送ARP廣播請求完成后重置?；钣嫊r為0，并開始計時；和/或 所述方法還包括以下步驟: 步驟5、端口安全系統判斷保活計時是否達到S，若是則回到步驟3，否則繼續(xù)等待。
8.如權利要求1-7任一項所述的主機防護方法，其特征在于，步驟2中，所述IP規(guī)則中包括至少一個準入IP地址是指:IP規(guī)則中包括一個準入IP地址或一個連續(xù)的準入IP地址段。
9.如權利要求1-7任一項所述的主機防護方法，其特征在于，步驟I中，所述端口安全系統初始化是指:清除該端口下所有MAC地址動態(tài)轉發(fā)表項，并將端口地址學習狀態(tài)設置為丟棄模式。
【文檔編號】H04L29/12GK103701784SQ201310692812
【公開日】2014年4月2日 申請日期:2013年12月17日 優(yōu)先權日:2013年12月17日
【發(fā)明者】嚴云龍, 李勇 申請人:邁普通信技術股份有限公司