專利名稱:一種實(shí)現(xiàn)ip地址過濾的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及交換機(jī)設(shè)備中實(shí)現(xiàn)IP地址過濾的技術(shù),尤其涉及在支持VID+MAC+IP綁定的帶有網(wǎng)絡(luò)處理器的交換機(jī)設(shè)備中實(shí)現(xiàn)IP地址過濾的方法及裝置。
背景技術(shù):
所述VID,即VLAN ID,VLAN(Virtual LAN,虛擬局域網(wǎng)),現(xiàn)今網(wǎng)絡(luò)中,每個(gè)用戶的網(wǎng)絡(luò)接入口都對(duì)應(yīng)著一個(gè)VID,以實(shí)現(xiàn)與別的虛擬局域網(wǎng)進(jìn)行二層隔離,所述VID是用來區(qū)分不同的VLAN。
MAC,即MAC地址,是Ethernet協(xié)議使用的地址,是PC所用網(wǎng)卡的物理地址,保存在網(wǎng)卡的EPROM里面,每一臺(tái)PC的MAC地址都是唯一的,且同一塊網(wǎng)卡的MAC地址是不變的。
IP,即Internet協(xié)議使用的地址,主要用于IP層的數(shù)據(jù)交換,用戶可以自行配置PC的IP地址。
隨著企業(yè)網(wǎng)和校園網(wǎng)等網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大,用戶在獲得IP地址之后,如果再隨意配置主機(jī)的IP地址,很容易引起IP地址沖突,采用VID+MAC+IP綁定的過濾技術(shù),可以限制用戶在獲得IP地址之后再重新配置IP地址,從而避免了IP地址沖突,保證了集中管理。
現(xiàn)有的VID+MAC+IP綁定技術(shù),可以分為三層交換技術(shù)和二層交換技術(shù)兩種,三層交換技術(shù)主要是基于DHCP(Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)Relay(中繼)實(shí)現(xiàn)的,必須起了三層接口才能夠?qū)崿F(xiàn)綁定過濾功能,而現(xiàn)有二層交換技術(shù),是采用ACL(Access Control List,訪問控制表)配置,對(duì)非法IP地址進(jìn)行過濾,但是對(duì)于交換機(jī)設(shè)備而言所支持的ACL條目是有限的綜上所述,現(xiàn)有技術(shù)中存在,二層交換機(jī)設(shè)備中實(shí)現(xiàn)VID+MAC+IP綁定過濾IP地址時(shí),過多占用ACL條目的問題。
發(fā)明內(nèi)容
本發(fā)明的目的是提出一種實(shí)現(xiàn)IP地址過濾的方法及裝置,用于解決現(xiàn)有技術(shù)中存在的在二層交換機(jī)設(shè)備中實(shí)現(xiàn)VID+MAC+IP綁定過濾IP地址時(shí),過多占用ACL條目的問題。
為了實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明具體是這樣實(shí)現(xiàn)的一種實(shí)現(xiàn)IP地址過濾的方法包括,采用交換機(jī)設(shè)備對(duì)從用戶發(fā)出的數(shù)據(jù)包進(jìn)行接收,包括步驟1,對(duì)所述數(shù)據(jù)包進(jìn)行分析,得到源MAC地址、VLAN ID和源IP地址;步驟2,對(duì)交換機(jī)設(shè)備的MAC地址表中與所述源MAC地址、VLAN ID匹配的條目進(jìn)行綁定配置檢查;步驟3,將所述源IP地址與交換機(jī)設(shè)備的MAC地址表中綁定的IP地址進(jìn)行比較,如果兩個(gè)地址不相同,則過濾掉數(shù)據(jù)包,否則,兩個(gè)地址相同,則將數(shù)據(jù)包發(fā)送。
在所述的實(shí)現(xiàn)IP地址過濾的方法中,所述步驟2中,如果交換機(jī)設(shè)備的MAC地址表中的條目與所述源MAC地址、VLAN ID不匹配,則直接進(jìn)行數(shù)據(jù)包的發(fā)送。
在所述的實(shí)現(xiàn)IP地址過濾的方法中,所述步驟2,所述的交換機(jī)設(shè)備的MAC地址表中的條目,若沒有進(jìn)行綁定配置,則直接進(jìn)行數(shù)據(jù)包的發(fā)送。
本發(fā)明還提出一種實(shí)現(xiàn)IP地址過濾的裝置包括,用于對(duì)用戶發(fā)出數(shù)據(jù)包進(jìn)行接收的接收模塊;用于對(duì)所述數(shù)據(jù)包進(jìn)行分析并得到源MAC地址、VLAN ID和源IP地址的分析模塊;用于對(duì)交換機(jī)設(shè)備的MAC地址表中與所述源MAC地址、VLAN ID匹配的條目進(jìn)行綁定過濾功能配置檢查的配置檢查模塊;用于將所述源IP地址與交換機(jī)設(shè)備的MAC地址表中綁定的IP地址進(jìn)行比較,若地址不相同進(jìn)行數(shù)據(jù)包過濾以及地址相同進(jìn)行數(shù)據(jù)包發(fā)送的判決/處理模塊。
采用本發(fā)明,不但在二層交換機(jī)設(shè)備中實(shí)現(xiàn)了VID+MAC+IP綁定的功能,使得用戶必須使用綁定的IP地址,不得再隨意配置,有效地避免了IP地址沖突問題,保證了集中管理,且本發(fā)明實(shí)現(xiàn)起來簡單、靈活。
圖1為用戶使用綁定的IP上網(wǎng)的圖示;圖2為用戶使用非綁定的IP上網(wǎng)的圖示;圖3為實(shí)現(xiàn)本發(fā)明所述方法的主要流程圖。
具體實(shí)施例方式
本發(fā)明的主要技術(shù)思想是,如果用戶的MAC地址、VLAN ID和IP地址進(jìn)行了綁定,在交換機(jī)設(shè)備內(nèi)就生成了一條特殊的MAC條目,條目中的綁定標(biāo)志位被置上,同時(shí)被綁定的IP地址也被寫到MAC條目中,用戶必須使用被綁定的IP地址,如果更換另外一個(gè)IP地址,就不能正常通信,發(fā)出的數(shù)據(jù)包都會(huì)被過濾掉。
以下結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行詳細(xì)說明。
如圖1所示,一臺(tái)PC,MAC地址為00-11-C6-5B-D5-80,VLAN為1,使用綁定的IP(192.168.1.1)上網(wǎng),交換機(jī)設(shè)備先用MAC+VLAN查MAC學(xué)習(xí)表,得到的對(duì)應(yīng)MAC條目具有綁定功能,需要進(jìn)行IP比較,比較結(jié)果數(shù)據(jù)包的源IP和MAC條目中綁定的IP相同,不過濾,正常轉(zhuǎn)發(fā),于是用戶和外界正常通信。
如圖2所示,一臺(tái)PC,MAC地址為00-11-C6-5B-D5-80,VLAN為1,綁定的IP地址為192.168.1.1,使用非綁定的IP(192.168.1.5)上網(wǎng)。交換機(jī)設(shè)備先用MAC+VLAN查MAC學(xué)習(xí)表,得到的對(duì)應(yīng)MAC條目具有綁定功能,需要進(jìn)行IP比較,比較結(jié)果數(shù)據(jù)包的源IP和MAC條目中綁定的IP不同,過濾掉該數(shù)據(jù)包,于是用戶無法和外界通信。
如圖3所示為實(shí)現(xiàn)本發(fā)明所述方法的主要流程圖。
從數(shù)據(jù)轉(zhuǎn)發(fā)的角度來描述本發(fā)明所述的實(shí)現(xiàn)IP地址過濾的方法,主要包括如下步驟第一步,交換機(jī)設(shè)備收到從用戶發(fā)出的數(shù)據(jù)包,從數(shù)據(jù)包中分析出數(shù)據(jù)包的源MAC地址、VLAN ID和源IP地址;第二步,用數(shù)據(jù)包的源MAC地址和VLAN ID來查詢交換機(jī)設(shè)備的MAC地址表;第三步,根據(jù)查詢的結(jié)果,判斷數(shù)據(jù)包的源MAC地址和VLAN ID與交換機(jī)設(shè)備的MAC地址表的條目是否匹配,如果不匹配,則不進(jìn)行IP比較,直接進(jìn)行數(shù)據(jù)的正常轉(zhuǎn)發(fā),否則,如果匹配,轉(zhuǎn)入第四步;第四步,查看匹配的交換機(jī)設(shè)備的MAC地址表的條目中的綁定標(biāo)志位,如果標(biāo)志位為0,則該MAC條目沒有配置綁定過濾功能,不需要進(jìn)行IP比較,直接進(jìn)行數(shù)據(jù)的正常轉(zhuǎn)發(fā);如果標(biāo)志位為1,則該MAC條目配置了綁定過濾功能,需要進(jìn)行IP比較,轉(zhuǎn)入第五步;第五步,用數(shù)據(jù)包的源IP地址和MAC地址表中綁定的IP地址進(jìn)行比較,如果不相同,將該數(shù)據(jù)包丟棄,即過濾掉該數(shù)據(jù)包,否則,如果相同,將該數(shù)據(jù)包正常轉(zhuǎn)發(fā)。
權(quán)利要求
1.一種實(shí)現(xiàn)IP地址過濾的方法包括,采用交換機(jī)設(shè)備對(duì)從用戶發(fā)出的數(shù)據(jù)包進(jìn)行接收,其特征在于,還包括步驟1,對(duì)所述數(shù)據(jù)包進(jìn)行分析,得到源MAC地址、VLAN ID和源IP地址;步驟2,對(duì)交換機(jī)設(shè)備的MAC地址表中與所述源MAC地址、VLAN ID匹配的條目進(jìn)行綁定配置檢查;步驟3,將所述源IP地址與交換機(jī)設(shè)備的MAC地址表中綁定的IP地址進(jìn)行比較,如果兩個(gè)地址不相同,則過濾掉數(shù)據(jù)包,否則,兩個(gè)地址相同,則將數(shù)據(jù)包發(fā)送。
2.如權(quán)利要求1所述的實(shí)現(xiàn)IP地址過濾的方法,其特征在于,所述步驟2中,如果交換機(jī)設(shè)備的MAC地址表中的條目與所述源MAC地址、VLAN ID不匹配,則直接進(jìn)行數(shù)據(jù)包的發(fā)送。
3.如權(quán)利要求1或2所述的實(shí)現(xiàn)IP地址過濾的方法,其特征在于,所述步驟2,所述的交換機(jī)設(shè)備的MAC地址表中的條目,若沒有進(jìn)行綁定配置,則直接進(jìn)行數(shù)據(jù)包的發(fā)送。
4.一種實(shí)現(xiàn)IP地址過濾的裝置包括,用于對(duì)用戶發(fā)出數(shù)據(jù)包進(jìn)行接收的接收模塊,其特征在于,還包括用于對(duì)所述數(shù)據(jù)包進(jìn)行分析并得到源MAC地址、VLAN ID和源IP地址的分析模塊;用于對(duì)交換機(jī)設(shè)備的MAC地址表中與所述源MAC地址、VLAN ID匹配的條目進(jìn)行綁定過濾功能配置檢查的配置檢查模塊;用于將所述源IP地址與交換機(jī)設(shè)備的MAC地址表中綁定的IP地址進(jìn)行比較,若地址不相同進(jìn)行數(shù)據(jù)包過濾以及地址相同進(jìn)行數(shù)據(jù)包發(fā)送的判決/處理模塊。
全文摘要
本發(fā)明提出一種實(shí)現(xiàn)IP地址過濾的方法及裝置,所述方法包括,采用交換機(jī)設(shè)備對(duì)從用戶發(fā)出的數(shù)據(jù)包進(jìn)行接收,對(duì)數(shù)據(jù)包進(jìn)行分析,得到源MAC地址、VLAN ID和源IP地址;對(duì)交換機(jī)設(shè)備的MAC地址表中與所述源MAC地址、VLAN ID匹配的條目進(jìn)行綁定配置檢查;將源IP地址與交換機(jī)設(shè)備的MAC地址表中綁定的IP地址進(jìn)行比較,如果兩個(gè)地址不同,則過濾掉數(shù)據(jù)包,否則,將數(shù)據(jù)包發(fā)送。采用本發(fā)明,在二層交換機(jī)設(shè)備中實(shí)現(xiàn)了VID+MAC+IP綁定的功能,使得用戶必須使用綁定的IP地址,不得再隨意配置,有效地避免了IP地址沖突問題,保證了集中管理。
文檔編號(hào)H04L12/56GK101072239SQ200710123368
公開日2007年11月14日 申請(qǐng)日期2007年6月25日 優(yōu)先權(quán)日2007年6月25日
發(fā)明者顧霞, 李新宇, 劉昆 申請(qǐng)人:中興通訊股份有限公司