一种目的未知单播报文的处理方法和设备与流程

本发明涉及通信技术领域，尤其是涉及了一种目的未知单播报文的处理方法和设备。

背景技术：
目的未知单播报文是指网络设备（即转发设备）在转发单播报文时，目的MAC（MediaAccessControl，介质访问控制）地址不能在网络设备的转发表中查找到，从而不能确定唯一出端口的单播报文。进一步的，由于目的未知单播报文的出端口无法唯一确定，因此通常采用在目的未知单播报文所在的VLAN（VirtualLocalAreaNetwork，虚拟局域网）中，排除源端口进行广播的方式发送目的未知单播报文，从而达到转发目的未知单播报文的目的。如图1所示，为目的未知单播报文的转发示意图，网络设备1通过网络设备2向网络设备3发送单播报文时，网络设备2在收到该单播报文后，如果本地转发表中不能查询到该单播报文的目的MAC地址，则认为该单播报文为目的未知单播报文，并以广播方式发送该目的未知单播报文。在正常情况下，网络设备3会通过网络设备2向网络设备1发送单播报文，网络设备2在收到该单播报文后，会学习到网络设备3的MAC地址；之后，在网络设备1通过网络设备2向网络设备3发送单播报文时，网络设备2在收到该单播报文后，本地转发表中能够查询到该单播报文的目的MAC地址，从而不需要以广播方式发送该单播报文，并直接以单播方式发送该单播报文。但是，对于网络攻击等异常情况，网络设备2将收到大量的攻击报文，而这些攻击报文均是目的未知单播报文，从而使网络设备2广播大量的目的未知单播报文，从而影响正常的目的未知单播报文的转发。

技术实现要素：
本发明实施例提供一种目的未知单播报文的处理方法和设备，以区分正常的目的未知单播报文以及攻击的目的未知单播报文，从而保证正常的目的未知单播报文的正确转发。为了达到上述目的，本发明实施例提供一种目的未知单播报文的处理方法，应用于包括转发芯片和中央处理器CPU的网络设备中，该方法包括：所述CPU接收来自所述转发芯片的目的未知单播报文，并获取所述目的未知单播报文的目的介质访问控制MAC地址；所述CPU判断所述网络设备的未知单播报文转发控制表中是否记录有所述目的MAC地址；其中，所述未知单播报文转发控制表用于记录目的MAC地址与收到该目的MAC地址的目的未知单播报文的数量之间的对应关系；若所述未知单播报文转发控制表中记录有所述目的MAC地址，则所述CPU更新所述目的MAC地址对应的目的未知单播报文的数量，否则，所述CPU在所述未知单播报文转发控制表中记录所述目的MAC地址，并更新所述目的MAC地址对应的目的未知单播报文的数量；所述CPU在到达指定时间后，判断各目的MAC地址对应的目的未知单播报文的数量是否大于预设门限值，若大于，则向所述转发芯片发送该目的MAC地址对应的流量控制策略，所述流量控制策略用于使所述转发芯片在收到该目的MAC地址的目的未知单播报文后，丢弃收到的该目的MAC地址的目的未知单播报文。所述方法还包括：当所述转发芯片将目的未知单播报文转发到所述CPU时，如果所述未知单播报文转发控制表中有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则所述CPU以广播方式发送该目的MAC地址的目的未知单播报文；或者，当所述转发芯片将目的未知单播报文镜像到所述CPU时，如果所述未知单播报文转发控制表中有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则所述CPU丢弃该目的MAC地址的目的未知单播报文，并由所述转发芯片以广播方式发送该目的MAC地址的目的未知单播报文。所述方法还包括：如果有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则所述CPU在所述未知单播报文转发控制表中对该目的MAC地址对应的目的未知单播报文的数量进行清零处理；或者，所述CPU删除该目的MAC地址在所述未知单播报文转发控制表中对应的记录。所述方法还包括：如果有目的MAC地址对应的目的未知单播报文的数量大于预设门限值，则所述CPU为该目的MAC地址设置阻塞Block定时器；在所述Block定时器超时后，所述CPU向所述转发芯片发送该目的MAC地址对应的流量恢复策略，所述流量恢复策略用于使所述转发芯片清除该目的MAC地址对应的流量控制策略，并使所述转发芯片在收到该目的MAC地址的目的未知单播报文后，将该目的MAC地址的目的未知单播报文上送给所述CPU进行处理。所述未知单播报文转发控制表对应有最大记录数量，所述CPU判断所述网络设备的未知单播报文转发控制表中是否记录有所述目的MAC地址之后，所述方法进一步包括：当所述网络设备的未知单播报文转发控制表中没有记录所述目的MAC地址时，所述CPU判断所述未知单播报文转发控制表中记录的目的MAC地址数量是否达到所述最大记录数量；如果否，则执行在所述未知单播报文转发控制表中记录所述目的MAC地址的步骤；如果是，则将所述目的MAC地址添加到指定计数器中；所述CPU在所述指定计数器中的目的MAC地址数量达到预设数量门限时，发出所述网络设备的告警信息。本发明实施例提供一种网络设备，用于目的未知单播报文的处理，所述网络设备包括转发芯片和中央处理器CPU，所述CPU具体包括：接收模块，用于接收来自所述转发芯片的目的未知单播报文；获取模块，用于获取目的未知单播报文的目的介质访问控制MAC地址；判断模块，用于判断网络设备的未知单播报文转发控制表中是否记录所述目的MAC地址；其中，所述未知单播报文转发控制表用于记录目的MAC地址与收到该目的MAC地址的目的未知单播报文的数量之间的对应关系；维护模块，用于当所述判断模块的判断结果为所述未知单播报文转发控制表中记录有所述目的MAC地址，则更新所述目的MAC地址对应的目的未知单播报文的数量，否则，在所述未知单播报文转发控制表中记录所述目的MAC地址，并更新所述目的MAC地址对应的目的未知单播报文的数量；发送模块，用于在到达指定时间后，判断各目的MAC地址对应的目的未知单播报文的数量是否大于预设门限值，若大于，则向所述转发芯片发送该目的MAC地址对应的流量控制策略，所述流量控制策略用于使所述转发芯片在收到该目的MAC地址的目的未知单播报文后，丢弃收到的该目的MAC地址的目的未知单播报文。所述发送模块，还用于当所述转发芯片将目的未知单播报文转发到CPU时，如果所述未知单播报文转发控制表中有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则以广播方式发送该目的MAC地址的目的未知单播报文；或者，当所述转发芯片将目的未知单播报文镜像到CPU时，如果所述未知单播报文转发控制表中有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则丢弃该目的MAC地址的目的未知单播报文，由所述转发芯片以广播方式发送该目的MAC地址的目的未知单播报文。所述维护模块，进一步用于如果有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则在所述未知单播报文转发控制表中对该目的MAC地址对应的目的未知单播报文的数量进行清零处理；或者，删除该目的MAC地址在所述未知单播报文转发控制表中对应的记录。所述维护模块，进一步用于如果有目的MAC地址对应的目的未知单播报文的数量大于预设门限值，则为该目的MAC地址设置阻塞Block定时器；所述发送模块，进一步用于在所述Block定时器超时后，向所述转发芯片发送该目的MAC地址对应的流量恢复策略，所述流量恢复策略用于使所述转发芯片清除该目的MAC地址对应的流量控制策略，并使所述转发芯片在收到该目的MAC地址的目的未知单播报文后，将该目的MAC地址的目的未知单播报文上送给CPU进行处理。所述未知单播报文转发控制表对应有最大记录数量；所述判断模块，进一步用于在判断所述网络设备的未知单播报文转发控制表中是否记录有所述目的MAC地址之后，当所述网络设备的未知单播报文转发控制表中没有记录所述目的MAC地址时，判断所述未知单播报文转发控制表中记录的目的MAC地址数量是否达到所述最大记录数量；如果否，由所述维护模块执行在所述未知单播报文转发控制表中记录所述目的MAC地址的步骤；如果是，由所述维护模块将所述目的MAC地址添加到指定计数器中；所述发送模块，进一步用于在所述指定计数器中的目的MAC地址数量达到预设数量门限时，发出所述网络设备的告警信息。与现有技术相比，本发明实施例至少具有以下优点：本发明实施例中，通过在未知单播报文转发控制表中维护目的MAC地址以及收到该目的MAC地址的目的未知单播报文的数量之间的对应关系，从而能够区分出正常的目的未知单播报文（即合法的目的未知单播报文）以及攻击的目的未知单播报文（即不合法的目的未知单播报文），可有效对攻击的目的未知单播报文进行彻底抑制，并有效保证正常的目的未知单播报文的正确转发。附图说明图1是现有技术中目的未知单播报文的转发示意图；图2是本发明实施例提供的一种目的未知单播报文的处理方法流程图；图3是本发明实施例提供的一种网络设备的结构示意图。具体实施方式针对现有技术中存在的问题，本发明实施例提供一种目的未知单播报文的处理方法，该方法应用于至少包括转发芯片和CPU（CentralProcessingUnit，中央处理器）的网络设备（如：交换机、路由器等）中，以图1为本发明实施例的应用场景示意图；其中，网络设备1需要通过网络设备2向网络设备3发送单播报文，因此网络设备2会收到来自网络设备1的目的未知单播报文（其目的MAC地址为MAC3）；此外，网络设备2还会收到攻击的目的未知单播报文（其目的MAC地址可以为MAC4、MAC5、MAC6等）。基于上述应用场景，如图2所示，该方法包括以下步骤：步骤201，转发芯片在收到目的未知单播报文后，将目的未知单播报文发送给CPU。其中，转发芯片可以直接将目的未知单播报文转发到CPU；或者，转发芯片可以将目的未知单播报文镜像到CPU，即转发芯片复制一份目的未知单播报文，并将复制的目的未知单播报文发送给CPU。若转发芯片直接将目的未知单播报文转发到CPU，则由CPU控制是否向外转发该报文；若转发芯片将目的未知单播报文镜像到CPU，则转发芯片会保留该目的未知单播报文，并仍然按照正常处理流程发送该目的未知单播报文。为了防止大量目的未知单播报文上送CPU时，对CPU性能造成的影响，本发明实施例中，还可以配置目的未知单播报文的最大上送速率；基于此最大上送速率，转发芯片将按照该最大上送速率向CPU发送目的未知单播报文。例如，目的未知单播报文的最大上送速率为每秒100个目的未知单播报文时，如果转发芯片每秒收到的目的未知单播报文为130个，则转发芯片每秒只向CPU发送100个目的未知单播报文，并将其它30个目的未知单播报文丢弃。步骤202，CPU接收来自转发芯片的目的未知单播报文，获取该目的未知单播报文的目的MAC地址，即从目的未知单播报文中提取目的MAC地址。步骤203，CPU判断网络设备的未知单播报文转发控制表中是否记录有该目的MAC地址；如果否，则执行步骤204；如果是，则执行步骤205。本发明实施例中，网络设备上需要维护未知单播报文转发控制表，该未知单播报文转发控制表用于记录目的MAC地址与收到该目的MAC地址的目的未知单播报文的数量之间的对应关系；如表1所示，为一种未知单播报文转发控制表的示例，此未知单播报文转发控制表中记录了当前各目的MAC地址与收到该目的MAC地址的目的未知单播报文的数量之间的对应关系。表1目的MAC地址收到目的MAC地址的目的未知单播报文的数量MAC32MAC42000MAC52000基于表1所示的未知单播报文转发控制表，如果CPU从目的未知单播报文中提取的目的MAC地址为MAC3，则确定网络设备的未知单播报文转发控制表中记录有该目的MAC地址，需要执行步骤205；如果CPU从目的未知单播报文中提取的目的MAC地址为MAC6，则确定网络设备的未知单播报文转发控制表中没有记录该目的MAC地址，需要执行步骤204。步骤204，CPU在未知单播报文转发控制表中记录该目的MAC地址，并更新该目的MAC地址对应的目的未知单播报文的数量，即在未知单播报文转发控制表中将该目的MAC地址对应的目的未知单播报文的数量加1。基于表1所示的未知单播报文转发控制表，如果CPU从目的未知单播报文中提取的目的MAC地址为MAC6，则在未知单播报文转发控制表中记录该MAC6，并在未知单播报文转发控制表中将该MAC6对应的目的未知单播报文的数量加1，得到表2所示的未知单播报文转发控制表。表2目的MAC地址收到目的MAC地址的目的未知单播报文的数量MAC32MAC42000MAC52000MAC61在本步骤204之后，如果到达指定时间（该指定时间可以根据实际经验进行设置），则执行后续步骤206，否则继续执行上述步骤。步骤205，CPU直接更新该目的MAC地址（如MAC3）对应的目的未知单播报文的数量，即CPU直接在未知单播报文转发控制表中将该目的MAC地址（如MAC3）对应的目的未知单播报文的数量加1。基于表1所示的未知单播报文转发控制表，如果CPU从目的未知单播报文中提取的目的MAC地址为MAC3，则CPU可以直接在表1所示的未知单播报文转发控制表中将该目的MAC地址（即MAC3）对应的目的未知单播报文的数量加1，从而得到表3所示的未知单播报文转发控制表。表3目的MAC地址收到目的MAC地址的目的未知单播报文的数量MAC33MAC42000MAC52000在本步骤205之后，如果到达指定时间（该指定时间可以根据实际经验进行设置），则执行后续步骤206，否则继续执行上述步骤。步骤206，CPU在到达指定时间（可根据实际经验进行设置，如将指定时间设置为1s）后，判断各目的MAC地址对应的目的未知单播报文的数量是否大于预设门限值（该预设门限值根据实际经验进行设置，如将预设门限值设为1000）；如果大于（即有目的MAC地址对应的目的未知单播报文的数量大于预设门限值），则执行步骤207；如果不大于（即有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值），则执行步骤208。CPU在到达指定时间后，如果当前未知单播报文转发控制表为表3所示的未知单播报文转发控制表，则CPU统计MAC3对应的目的未知单播报文的数量为3，即MAC3对应的目的未知单播报文的数量不大于预设门限值1000，执行步骤208；CPU统计MAC4对应的目的未知单播报文的数量为2000，即MAC4对应的目的未知单播报文的数量大于预设门限值1000，执行步骤207；CPU统计MAC5对应的目的未知单播报文的数量为2000，即MAC5对应的目的未知单播报文的数量大于预设门限值1000，执行步骤207。步骤207，CPU向转发芯片发送该目的MAC地址对应的流量控制策略，且该流量控制策略用于使转发芯片在收到该目的MAC地址的目的未知单播报文后，直接丢弃收到的该目的MAC地址的目的未知单播报文。例如，CPU统计MAC4对应的目的未知单播报文的数量大于预设门限值时，向转发芯片发送MAC4对应的流量控制策略，该流量控制策略用于使转发芯片收到目的MAC地址为MAC4的目的未知单播报文后，丢弃收到的目的MAC地址为MAC4的目的未知单播报文。在统计MAC5对应的目的未知单播报文的数量大于预设门限值时，向转发芯片发送MAC5对应的流量控制策略，该流量控制策略用于使转发芯片收到目的MAC地址为MAC5的目的未知单播报文后，丢弃收到的目的MAC地址为MAC5的目的未知单播报文。步骤208，CPU或转发芯片以广播方式发送该目的MAC地址的目的未知单播报文。例如，CPU统计MAC3对应的目的未知单播报文的数量不大于预设门限值时，由CPU或转发芯片以广播方式发送MAC3的目的未知单播报文。其中，当转发芯片直接将目的未知单播报文转发到CPU时，由CPU以广播方式发送该目的MAC地址的目的未知单播报文；或者，当转发芯片将目的未知单播报文镜像到CPU时，则CPU丢弃该目的MAC地址的目的未知单播报文，由转发芯片以广播方式发送该目的MAC地址的目的未知单播报文。需要注意的是，当转发芯片将目的未知单播报文镜像到CPU时，如果未收到CPU向转发芯片发送的目的MAC地址对应的流量控制策略，则转发芯片需要一直以广播方式发送该目的MAC地址的目的未知单播报文；如果收到CPU向转发芯片发送的目的MAC地址对应的流量控制策略，则转发芯片需要停止以广播方式发送该目的MAC地址的目的未知单播报文。本发明实施例中，CPU判断目的MAC地址对应的目的未知单播报文的数量是否大于预设门限值之后，如果有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则CPU还需要在未知单播报文转发控制表中对该目的MAC地址对应的目的未知单播报文的数量进行清零处理；或者，CPU删除该目的MAC地址在未知单播报文转发控制表中对应的记录。例如：CPU在到达指定时间后，如果当前未知单播报文转发控制表为表3所示的未知单播报文转发控制表，则CPU在统计MAC3对应的目的未知单播报文的数量不大于预设门限值1000后，CPU还可以在未知单播报文转发控制表中对该MAC3对应的目的未知单播报文的数量进行清零处理，得到表4所示的未知单播报文转发控制表；或者，CPU还可以删除该MAC3在未知单播报文转发控制表中对应的记录，得到表5所示的未知单播报文转发控制表。表4目的MAC地址收到目的MAC地址的目的未知单播报文的数量MAC30MAC42000MAC52000表5目的MAC地址收到目的MAC地址的目的未知单播报文的数量MAC42000MAC52000本发明实施例中，CPU判断目的MAC地址对应的目的未知单播报文的数量是否大于预设门限值之后，如果有目的MAC地址对应的目的未知单播报文的数量大于预设门限值，则CPU还可以为该目的MAC地址设置Block（阻塞）定时器。在Block定时器超时（该Block定时器的超时时间可以根据实际经验值进行任意设置）后，CPU对该目的MAC地址对应的目的未知单播报文的数量进行清零处理，并进一步向转发芯片发送该目的MAC地址对应的流量恢复策略，且该流量恢复策略用于使转发芯片清除该目的MAC地址对应的流量控制策略，继而使转发芯片在收到该目的MAC地址的目的未知单播报文后，能够将该目的MAC地址的目的未知单播报文上送给CPU进行处理。在具体的实现方式中，如果流量控制策略为自动恢复方式，在Block定时器超时后，由CPU向转发芯片发送该目的MAC地址对应的流量恢复策略（用于使转发芯片清除该目的MAC地址对应的流量控制策略），以恢复转发芯片对目的未知单播报文的处理方式；如果流量控制策略为手动恢复方式，在Block定时器超时后，由人工恢复转发芯片对目的未知单播报文的处理方式。例如：CPU在到达指定时间后，如果当前未知单播报文转发控制表为表3所示的未知单播报文转发控制表，则CPU在统计MAC4和MAC5对应的目的未知单播报文的数量大于预设门限值1000后，CPU还可以为MAC4设置Block定时器，并为MAC5设置Block定时器。在MAC4的Block定时器超时后，CPU向转发芯片发送MAC4对应的流量恢复策略，该流量恢复策略用于使转发芯片清除该MAC4对应的流量控制策略，继而使转发芯片在收到目的MAC地址为MAC4的目的未知单播报文后，能够将目的MAC地址为MAC4的目的未知单播报文上送给CPU进行处理。此外，在MAC5的Block定时器超时后，CPU向转发芯片发送MAC5对应的流量恢复策略，该流量恢复策略用于使转发芯片清除该MAC5对应的流量控制策略，继而使转发芯片在收到目的MAC地址为MAC5的目的未知单播报文后，能够将目的MAC地址为MAC5的目的未知单播报文上送给CPU进行处理。本发明实施例中，对于网络设备上维护的未知单播报文转发控制表，该未知单播报文转发控制表还可以对应有最大记录数量。如：当未知单播报文转发控制表中最多纪录16个MAC地址时，则最大记录数量为16。基于此，CPU判断网络设备的未知单播报文转发控制表中是否记录有从目的未知单播报文中提取的目的MAC地址（即步骤203）之后，如果网络设备的未知单播报文转发控制表中没有记录该目的MAC地址，则CPU首先判断当前未知单播报文转发控制表中记录的目的MAC地址数量是否达到最大记录数量；如果否，则执行在未知单播报文转发控制表中记录该目的MAC地址的步骤（即执行步骤204）；如果是，则将该目的MAC地址添加到指定计数器中。其中，该指定计数器用于记录无法记录到未知单播报文转发控制表中的MAC地址；具体的，当该未知单播报文转发控制表中记录的目的MAC地址数量在达到最大记录数量时，无法将MAC地址记录到未知单播报文转发控制表中。进一步的，CPU在指定计数器中的目的MAC地址数量达到预设数量门限（可以根据实际经验进行设置）时，则认为网络设备的MAC地址学习过程出现问题或者网络环境出现问题（网络设备总是受到攻击），因此会发出网络设备的告警信息，继而由网管人员对该网络设备进行管理和维护。本发明实施例中，由于未知单播报文转发控制表对应有最大记录数量，因此CPU为目的MAC地址设置Block定时器后，还可以从未知单播报文转发控制表删除该目的MAC地址对应的记录，以节约未知单播报文转发控制表的资源，使未知单播报文转发控制表能够记录其它目的MAC地址的内容。综上所述，本发明实施例中，通过在未知单播报文转发控制表中维护目的MAC地址以及收到该目的MAC地址的目的未知单播报文的数量之间的对应关系，从而能够区分出正常的目的未知单播报文（即合法的目的未知单播报文）以及攻击的目的未知单播报文（即不合法的目的未知单播报文），可有效对攻击的目的未知单播报文进行彻底抑制，并有效保证正常的目的未知单播报文的正确转发。进一步的，当大量攻击的目的未知单播报文的目的MAC地址不发生变化时，可通过上述方法快速检测出攻击的目的未知单播报文的目的MAC地址，以排除目的未知单播报文的攻击；当攻击的目的未知单播报文的目的MAC地址发生变化时，可通过上述方法的多次检测过程，检测出攻击的目的未知单播报文的目的MAC地址，以排除目的未知单播报文的攻击。基于与上述方法同样的发明构思，本发明实施例中还提供了一种网络设备，用于目的未知单播报文的处理，所述网络设备包括转发芯片和中央处理器CPU，如图3所示，所述CPU具体包括：接收模块11，用于接收来自所述转发芯片的目的未知单播报文；获取模块12，用于获取目的未知单播报文的目的MAC地址；判断模块13，用于判断网络设备的未知单播报文转发控制表中是否记录所述目的MAC地址；其中，所述未知单播报文转发控制表用于记录目的MAC地址与收到该目的MAC地址的目的未知单播报文的数量之间的对应关系；维护模块14，用于当所述判断模块13的判断结果为所述未知单播报文转发控制表中记录有所述目的MAC地址，则更新所述目的MAC地址对应的目的未知单播报文的数量，否则，在所述未知单播报文转发控制表中记录所述目的MAC地址，并更新所述目的MAC地址对应的目的未知单播报文的数量；发送模块15，用于在到达指定时间后，判断各目的MAC地址对应的目的未知单播报文的数量是否大于预设门限值，若大于，则向所述转发芯片发送该目的MAC地址对应的流量控制策略，所述流量控制策略用于使所述转发芯片在收到该目的MAC地址的目的未知单播报文后，丢弃收到的该目的MAC地址的目的未知单播报文。所述发送模块15，还用于当所述转发芯片将目的未知单播报文转发到CPU时，如果所述未知单播报文转发控制表中有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则以广播方式发送该目的MAC地址的目的未知单播报文；或者，当所述转发芯片将目的未知单播报文镜像到CPU时，如果所述未知单播报文转发控制表中有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则丢弃该目的MAC地址的目的未知单播报文，由所述转发芯片以广播方式发送该目的MAC地址的目的未知单播报文。所述维护模块14，如果有目的MAC地址对应的目的未知单播报文的数量不大于预设门限值，则在所述未知单播报文转发控制表中对该目的MAC地址对应的目的未知单播报文的数量进行清零处理；或者，删除该目的MAC地址在所述未知单播报文转发控制表中对应的记录。所述维护模块14，进一步用于如果有目的MAC地址对应的目的未知单播报文的数量大于预设门限值，则为该目的MAC地址设置阻塞Block定时器；所述发送模块15，进一步用于在所述Block定时器超时后，向所述转发芯片发送该目的MAC地址对应的流量恢复策略，所述流量恢复策略用于使所述转发芯片清除该目的MAC地址对应的流量控制策略，并使所述转发芯片在收到该目的MAC地址的目的未知单播报文后，将该目的MAC地址的目的未知单播报文上送给CPU进行处理。所述未知单播报文转发控制表对应有最大记录数量；所述判断模块13，进一步用于在判断所述网络设备的未知单播报文转发控制表中是否记录有所述目的MAC地址之后，当网络设备的未知单播报文转发控制表中没有记录所述目的MAC地址时，判断所述未知单播报文转发控制表中记录的目的MAC地址数量是否达到所述最大记录数量；如果否，由维护模块14执行在所述未知单播报文转发控制表中记录所述目的MAC地址的步骤；如果是，由所述维护模块14将所述目的MAC地址添加到指定计数器中；所述发送模块15，进一步用于在所述指定计数器中的目的MAC地址数量达到预设数量门限时，发出所述网络设备的告警信息。其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。