网络设备MAC地址配置方法及装置与流程

本公开涉及通信
技术领域：
，尤其涉及一种网络设备mac地址配置方法及装置。
背景技术：
：mac(mediaaccesscontrol)地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。网络设备可以通过静态表配置与其连接的设备的mac地址与网络设备接口的映射关系，在与网络设备连接的设备迁移时或者网络设备添加新的连接设备时，可以手工修改静态表配置信息。通过静态表配置mac地址与接口的映射关系可以提高网络的安全性和稳定性，但也存在使用和修改不便、容易配置错误导致网络故障，等问题。技术实现要素：有鉴于此，本公开提出了一种网络设备mac地址配置方法及装置，可以在防止非合法用户攻击网络、保证网络安全的同时，解决手工静态配置不便且容易配置错误导致网络故障的问题。根据本公开的一方面，提供了一种网络设备mac地址配置方法，包括：根据第一接口接收到的报文，获取所述报文的源mac地址及用户特征信息；在信息表中存在所述源mac地址，且所述信息表中记录的所述源mac地址对应的出接口与所述第一接口不同时，根据所述报文携带的用户特征信息和所述信息表中记录的所述源mac地址对应的用户特征信息检测用户是否为合法用户；在检测到所述用户为合法用户的情况下，将所述信息表中与所述源mac地址对应的出接口设置为所述第一接口。根据本公开的另一方面，提供了一种网络设备mac地址配置装置，包括：获取模块，用于根据第一接口接收到的报文，获取所述报文的源mac地址及用户特征信息；检测模块，用于在信息表中存在所述源mac地址，且所述信息表中记录的所述源mac地址对应的出接口与所述第一接口不同时，根据所述报文携带的用户特征信息和所述信息表中记录的所述源mac地址对应的用户特征信息检测用户是否为合法用户；第一设置模块，用于在检测到所述用户为合法用户的情况下，将所述信息表中与所述源mac地址对应的出接口设置为所述第一接口。通过检测用户特征信息判断发送报文的用户的合法性，在检测到用户为合法用户的情况下，对网络设备的mac地址进行配置。根据本公开上述实施例的网络设备mac地址配置方法和装置可以在mac迁移时先进行用户检测，可以有效检测用户的真实性和正确性，防止非合法用户构造仿冒报文攻击网络、保证网络安全和稳定性的同时，还可以减少手工修改静态mac的配置需求，降低人工干涉造成配置错误带来的网络故障等问题。根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。附图说明包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面，并且用于解释本公开的原理。图1示出根据本公开一实施例的网络设备mac地址配置方法的流程图。图2示出根据本公开一实施例的网络设备mac地址配置方法的流程图。图3示出根据本公开一实施例的网络设备mac地址配置方法的流程图。图4示出根据本公开一实施例的网络设备mac地址配置方法的步骤s12的一个示例的流程图。图5示出根据本公开一示例的网络设备mac地址配置方法的应用示例图。图6示出根据本公开一示例的网络设备mac地址配置方法的应用示例图。图7示出根据本公开一示例的检测用户是否合法的过程的示意图。图8示出根据本公开另一示例的网络设备mac地址配置方法的应用示例图。图9示出根据本公开一实施例的网络设备mac地址配置装置的框图。图10示出根据本公开一实施例的网络设备mac地址配置装置的框图。图11示出根据本公开一实施例的网络设备mac地址配置装置的框图。具体实施方式以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。另外，为了更好的说明本公开，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开的主旨。图1示出根据本公开一实施例的网络设备mac地址配置方法的流程图，该方法可应用于网络设备，例如路由器、集线器或者交换机等，还可应用于虚拟网络设备、服务器等。如图1所示，该方法包括：步骤s11，根据第一接口接收到的报文，获取所述报文的源mac地址及用户特征信息。报文(message)是网络中交换与传输的数据单元，即站点一次性要发送的数据块。传输过程中会不断的封装成分组、数据包、数据帧来传输，封装的方式包括添加一些信息段，添加的信息段可以为报文头(也叫报头)，是以一定格式组织起来的数据。以基于ip的实际组网应用为例，报头可以包括协议类型(例如tcp、udp等)、源ip地址、目的ip地址、源mac地址、目的mac地址、源端口号和目的端口号等信息。在本实例中，网络设备在从第一接口接收到报文后，对报头进行解析可以获取需要的信息，例如，所述报文的源mac地址以及用户特征信息等。其中，用户特征信息可以是指能够通过用户加载的应用程序或者提供的服务类型的特征等信息来区分不同用户的信息，例如表示业务类型的信息，具体可以为udp端口号、tcp端口号等。其中，udp协议适用根据udp端口分辨运行在同一台设备上的多个应用程序。还可以根据应用层信息识别用户特征，例如，根据应用程序文件(文件名、后缀名)信息等，本公开对此不作限定。步骤s12，在信息表中存在所述源mac地址，且所述信息表中记录的所述源mac地址对应的出接口与所述第一接口不同时，根据所述报文携带的用户特征信息和所述信息表中记录的所述源mac地址对应的用户特征信息检测用户是否为合法用户。图5、图6分别示出根据本公开一示例的网络设备mac地址配置方法的应用示例图。如图5所示，网络设备可以包括多个接口(例如，接口a、接口b)，在网络设备中存储有信息表，在一种可能的实施方式中，所述信息表可以记录mac地址、与mac地址对应的出接口信息以及用户特征信息等。如图6所示，网络设备在从第一接口(接口b)接收到报文并获取所述报文的源mac地址信息后，可以在所述信息表中查找表中是否已经记录了所述源mac地址；在所述信息表中存在所述源mac地址的情况下，表示网络设备可能接收过(可能是从接口b或接口a学习mac地址)与所述源mac地址对应的用户发送的报文、或者也可能是静态配置过所述源mac地址。网络设备可以进一步确认信息表中记录的所述源mac地址对应的出接口与所述第一接口(接口b)是否相同，在所述信息表中记录的所述源mac地址对应的出接口与所述第一接口不同时，表示需要进行网络设备mac地址配置，在配置之前可以对所述用户的身份进行检测，确认其是否为合法用户，以防止非法用户构造仿冒报文攻击网络。步骤s13，在检测到所述用户为合法用户的情况下，将所述信息表中与所述源mac地址对应的出接口设置为所述第一接口。如图5所示，在网络设备根据所述报文携带的用户特征信息和所述信息表中记录的所述源mac地址对应的用户特征信息检测到所述用户为合法用户的情况下，可以将所述信息表中与所述源mac地址对应的出接口修改为所述第一接口(接口b)，也就是将所述源mac地址对应的出接口设置为第一接口(接口b)。在一种可能的实施方式中，还可以对信息表中记录的与所述源mac地址对应的所述用户特征信息进行更新，以便于下次进行mac地址配置前检测用户合法性。通过检测用户特征信息判断发送报文的用户的合法性，在检测到用户为合法用户的情况下，对网络设备的mac地址进行配置。根据本公开上述实施例的网络设备mac地址配置方法可以在mac配置时先进行用户检测，可以有效检测用户的真实性和正确性，防止非合法用户构造仿冒报文攻击网络、保证网络安全和稳定性的同时，还可以减少手工修改静态mac的配置需求，降低人工干涉造成配置错误带来的网络故障等问题。相关技术中，通过配置静态mac，将mac绑定固定的接口，迁移时修改静态mac的方式解决上述问题。例如，将mac地址表项中与该mac地址对应的出接口改为接口b的同时，手工修改静态mac，将该mac地址绑定至接口b。但是手工修改静态mac配置使用不便，且容易导致配置错误，导致网络故障等问题。而根据本公开上述实施例的网络设备mac地址配置方法，在检测到所述用户为合法用户的情况下进行mac地址配置可以解决非合法用户构造仿冒报文攻击网络的问题，不需要手工修改静态mac，减少手工修改静态mac的配置需求，降低人工干涉造成配置错误带来的网络故障等问题。图2示出根据本公开一实施例的网络设备mac地址配置方法的流程图。如图2所示，基于图1所示的实施例，本实施例的方法还包括：步骤s14，在信息表中不存在所述源mac地址的情况下，在所述信息表中记录所述源mac地址、第一接口，以及该报文携带的用户特征信息的对应关系。如图6所示，在所述信息表中不存在所述源mac地址的情况下，表示网络设备第一次接收与所述源mac地址对应的用户发送的报文。此时，网络设备通过第一接口(接口b)学习该用户的源mac地址，并在所述信息表中记录所述源mac地址、与所述源mac地址对应的第一接口(接口b)以及该报文携带的用户特征信息的对应关系等，以便在下次对该用户的mac地址配置前对所述用户是否为合法用户进行检测。其中，所述信息表可以是基于网络设备存储的mac地址表，或者，也可以新建一个列表对上述信息之间的对应关系进行记录，本公开对此不作限定。如表1所示信息表的示例，可以将所述源mac地址、与所述源mac地址对应的第一接口以及该报文携带的用户特征信息的对应关系记录在所述信息表中，也就是将所述第一接口设置为所述源mac地址的出接口。表1信息表mac地址出接口用户特征信息mac地址1接口1用户特征信息1mac地址2接口2用户特征信息2………通过学习用户的源mac地址以及用户特征信息并关联存储，以便于在网络设备中对用户的mac地址进行配置前检测用户是否为合法用户。根据本公开上述实施例的网络设备mac地址配置方法可以在mac配置时先进行用户检测，以有效确定用户的真实性和正确性，防止非合法用户构造仿冒报文攻击网络、保证网络安全和稳定性。图3示出根据本公开一实施例的网络设备mac地址配置方法的流程图。如图3所示，基于图1所示的实施例，本实施例的方法还包括：步骤s15，在检测到所述用户为非合法用户的情况下，则不将所述第一接口设置为出接口。举例来说，如图6所示，在网络设备根据所述报文携带的用户特征信息和所述信息表中记录的所述源mac地址对应的用户特征信息检测到所述用户为非合法用户的情况下，可以将所述源mac地址和第一接口相关联地记录在黑名单列表中，信息表中与所述源mac地址相关联存储的第一接口以及用户特征信息可保持不变。网络设备下次从第一接口接收到携带所述源mac地址的报文时，直接丢弃，也就是拒绝接收该mac地址发送的报文，防止非合法用户构造仿冒报文攻击网络、保证网络安全和稳定性。在将所述源mac地址和第一接口相关联地记录在黑名单列表中的同时，可以开启一个黑名单列表表项老化定时器，待表项老化后可以将表项内的mac地址和接口信息移出黑名单列表，网络设备可以重新从第一接口接收所述源mac地址对应的用户发送的报文。通过不将所述第一接口设置为出接口，可以设置所述第一接口不接收所述源mac地址发送的报文，可以防止非合法用户攻击网络；通过设置表项老化定时器，表项老化后移出黑名单列表，网络设备可以重新从第一接口接收所述源mac地址发送的报文，可以防止出现合法正确的用户无法迁移的问题。其中，表项老化定时器定时的时间段长度可以根据实际的需要进行设置，本公开对此不作限定。图4示出根据本公开一实施例的网络设备mac地址配置方法中步骤s12的一个示例的流程图。如图4所示，在步骤s12中，根据所述报文携带的用户特征信息和所述信息表中记录的所述源mac地址对应的用户特征信息检测所述用户是否为合法用户，包括：步骤s121，获取所述报文携带的用户特征信息与所述信息表中记录的所述源mac地址对应的用户特征信息的匹配结果；步骤s122，根据所述匹配结果判断所述用户是否为合法用户。在网络设备确定在信息表中存在上述源mac地址，且所述信息表中记录的所述源mac地址对应的出接口与所述第一接口不同时，即网络设备需要进行mac地址配置的情况下，要先对发送所述报文的用户是否为合法用户进行检测以防止非合法用户构造仿冒报文攻击网络。由上文的描述可知，网络设备在设备内记录有与所述源mac地址对应的用户特征信息，获取所述报文携带的用户特征信息后，将所述报文携带的用户特征信息与网络设备内所述信息表中记录的用户特征信息进行匹配获得匹配结果，根据匹配结果可以判断所述用户是否为合法用户。举例来说，如图5所示，网络设备包括接口a和接口b，接口a和接口b都属于vlan10。如上所述，以所述用户特征信息为表示业务类型的信息(例如，udp端口号或tcp端口号等)为例进行说明。网络设备可以创建如下表2所示的信息表的一个示例来记录用户特征信息。表2信息表mac地址出接口vlanid端口号类型端口号0-0-1avlan10udp101-110………以udp类型端口号为例，如图6所示，假设网络设备第一次从接口a接收到源mac地址为0-0-1的用户发送的报文，报文中udp端口号为101-110。网络设备学习mac地址并在信息表中关联记录所述源mac地址(0-0-1)以及接口a和udp端口号101-110，如表2所示。网络设备又从接口b收到了源mac地址为0-0-1的用户的报文，通过查找信息表确定表中存在源mac地址0-0-1且对应的出接口与接口b不同时，需要检测用户是否为合法用户。网络设备开启nqa(networkqualityanalyzer，网络质量分析)监听服务，对源mac地址为0-0-1的报文携带的udp端口进行端口扫描并根据扫描得到的端口号与信息表中记录的101-110端口号进行匹配，根据匹配结果可以判断所述用户是否为合法用户，例如，根据匹配成功的端口号数量、比例等判断所述用户是否为合法用户。通过匹配接收到的报文携带的用户特征信息和信息表中记录的与所述源mac地址对应的用户特征信息，根据匹配结果判断所述用户的合法性。可以有效检测用户的真实性和正确性，防止非合法用户构造仿冒报文攻击网络、保证网络安全和稳定性的同时，还可以减少手工修改静态mac的配置需求，降低人工干涉造成配置错误带来的网络故障等问题。在一种可能的实施方式中，所述匹配结果为所述报文携带的业务类型信息与所述信息表中记录的所述源mac地址对应的业务类型信息的匹配比例；步骤s122，具体包括：步骤s1221，当所述匹配比例大于预设阈值时，则判断用户为合法用户。举例来说，仍然以上述示例为例，网络设备对源mac地址为0-0-1的报文携带的udp端口进行端口扫描后获得udp端口号为101-106、109-110。网络设备将扫描得到的udp端口号(101-106、109-110)逐一与信息表中记录的与所述源mac地址对应的udp端口号(101-110)进行匹配，例如，以端口101为例，网络设备查找信息表中的端口号，若查找到端口101则匹配成功，记录匹配情况(例如，匹配成功记录为1、匹配失败记录为0)，然后再查找端口102、记录匹配情况，直到获得扫描得到的全部端口号的匹配结果。当然，也可以反过来进行，例如，将信息表中记录的与所述源mac地址对应的udp端口号(101-110)逐一与网络设备扫描得到的udp端口号(101-106、109-110)进行匹配，并记录匹配情况，本公开对此不作限定。根据记录的匹配情况获得匹配结果，例如匹配成功的数量、匹配比例等。在一种可能的实施方式中，所述匹配结果为报文携带的端口号与信息表中记录的与所述源mac地址对应的端口号匹配成功的数量占信息表中记录的与所述源mac地址对应的端口号总数的比例。匹配成功的数量即报文携带的端口号中与信息表中记录的与所述源mac地址对应的端口号相同的端口号数量。仍然以上述示例为例，根据匹配记录可知报文携带的udp端口号中与信息表中记录的与所述源mac地址对应的udp端口号中的8个相同，也就是匹配比例为匹配成功的数量(8个)占信息表中记录的所述源mac地址对应的udp端口号总数(10)的比例，即80％。其中，所述预设阈值可以是预先设置的，例如可以是50％。在上述的示例中，匹配比例为80％，大于50％，网络设备可以此判断用户为合法用户，此时，网络设备可以将信息表中与该mac地址0-0-1对应的出接口修改为接口b，也就是将接口b设置为该mac地址0-0-1对应的出接口，同时可以将信息表中的用户特征信息修改为[101,102,103,104,105,106,109,110]，以便于下次mac地址配置时进行用户特征信息检测。当扫描获得与源mac地址为0-0-1的报文携带的udp端口号为106-109时，匹配比例为40％，小于50％，网络设备可以此判断用户为非合法用户，可能存在非合法用户构造仿冒报文攻击网络；据此，网络设备可将源mac地址0-0-1加入黑名单列表中，第一接口将不再接收源mac地址为0-0-1的用户发送的报文。在一种可能的实施方式中，网络设备也可以每扫描获得一个端口号就进行查询匹配，匹配端口号的数量超过与所述源mac地址相关联的用户源端口号总数量的例如50％，则认为用户为合法用户，不再进行监听扫描，本公开对具体匹配过程采用的方法不作限定。图7示出根据本公开一实施例的检测用户是否合法的过程的示意图。如图7所示，网络设备开启nqa监听并自定义端口匹配比例阈值(预设阈值)，对源mac地址为0-0-1的报文携带的的udp端口进行端口扫描后获得udp端口号为101-106、109-110，网络设备将扫描得到的udp端口号(101-106、109-110)逐一与信息表中记录的与所述源mac地址对应的udp端口号(101-110)进行匹配并记录匹配情况，根据记录确定匹配比例。判断匹配比例与预设阈值的关系，在匹配比例大于预设阈值的情况下，判断用户为合法用户，更新信息表中源mac地址0-0-1对应的出接口为接口b(也就是将源mac地址为0-0-1的用户迁移到接口b)；在匹配比例小于或等于预设阈值的情况下，判断用户为非合法用户，将源mac地址0-0-1及接口b加入到黑名单列表中，此时将不在从接口b接收源mac地址为0-0-1的用户发放的报文。定义端口匹配比例的预设阈值的过程可以是在网络设备初始化的过程完成，也可以每次根据需求重新定义，本公开对此不作限定。udp协议适用根据端口号分辨运行在同一台设备上的多个应用程序，在源mac地址相同的情况下，那么根据运行的应用程序(udp端口号)可以判断是不是同一台设备，也就是可以判断是否为合法用户。tcp/ip协议中的tcp端口号适用于分辨主机可以提供的服务，比如web服务、ftp服务、smtp服务等，可以根据不同的tcp端口号区分不同的网络服务，据此可以判断是不是同一主机，也就是可以判断是否为合法用户。当然，本公开不限于用udp端口号或tcp端口号作为用户特征信息，还可以采用应用层的其他参数，本公开对此不作限定。根据本公开上述实施例的mac地址迁移方法可以有效检测用户的真实性和正确性，防止非合法用户构造仿冒报文攻击网络、保证网络安全和稳定性的同时，还可以减少手工修改静态mac的配置需求，降低人工干涉造成配置错误带来的网络故障等问题。在一种可能的实施方式中，以上实施例的网络设备mac地址配置方法还可以应用于vxlan网络中，可将vxlan网络中的虚拟机认为是上述实施例中的用户的一种示例。图8示出根据本公开另一示例的网络设备mac地址配置方法的应用示例图。如图8所示，以vtep1为例，当vtep1从vxlan的tunnel2隧道上接收到远端vtep2发送的vxlan数据帧后，进行解封装，根据vxlanid判断其所属vxlan，并找到对应vsi为vsi1，获取所述数据帧携带的远端虚拟机vm2的源mac地址及用户特征信息(这里可为虚拟机特征信息)；可以在信息表中查找是否已经记录了所述源mac地址，在所述信息表中存在所述源mac地址的情况下，可以表示vtep1的vsi1(通过tunnel2或tunnel1)接收到过与所述源mac地址对应的虚拟机vm2发送的数据帧或者vtep1静态配置过该mac地址。vtep1可以进一步确认所述源mac地址对应的出接口信息，在信息表中记录的所述源mac地址对应的出接口与tunnel2不同时，表示需要进行mac地址配置，在配置之前可对发送所述数据帧的用户的身份进行检测，确认其是否为合法用户，防止非法用户构造仿冒数据帧攻击网络。在vtep1根据所述数据帧携带的虚拟机特征信息和所述信息表中记录的所述源mac地址对应的虚拟机特征信息检测到所述虚拟机vm2为合法虚拟机的情况下，可以将所述信息表中与所述源mac地址对应的出接口修改为tunnel2，也就是将所述源mac地址对应的虚拟机vm2的隧道(出接口)迁移到了tunnel2。还可以更新与所述源mac地址对应地所述虚拟机特征信息，以便于下次进行地址迁移前检测虚拟机合法性。在所述信息表中不存在所述源mac地址的情况下，表示vtep1第一次接收与所述源mac地址对应的虚拟机vm2发送的数据帧。此时，vtep1学习该虚拟机vm2的源mac地址，在所述信息表中记录所述源mac地址、tunnel2，以及该数据帧携带的虚拟机特征信息的对应关系。在vtep1根据所述数据帧携带的虚拟机特征信息和所述信息表中记录的所述源mac地址对应的虚拟机特征信息检测到所述虚拟机vm2为非合法虚拟机的情况下，则不将所述tunnel2设置为出接口，可以将所述源mac地址和tunnel2相关联地记录在黑名单列表中。vtep1下次在tunnel2接收到所述源mac地址的虚拟机发送的数据帧时，直接丢弃，也就是拒绝接收该mac地址的虚拟机发送的数据帧，防止非合法虚拟机构造仿冒数据帧攻击网络、保证网络安全和稳定性。在将所述源mac地址和tunnel2相关联地记录在黑名单列表中的同时，可以开启一个黑名单列表表项老化定时器，待表项老化后可以将表项内的mac地址和接口信息移出黑名单列表，vtep1可以重新从第一接口接收所述源mac地址对应的虚拟机发送的数据帧。通过将所述源mac地址和tunnel2相关联地记录在黑名单列表中，设置所述tunnel2不接收以所述源mac地址的虚拟机发送的数据帧，可以防止非法虚拟机攻击；在表项老化后将表项内的mac地址和接口信息移出黑名单列表，vtep1可以重新接收数据帧，可以防止出现合法正确的虚拟机无法迁移的问题。其中，老化定时器定时的时间段长度可以根据实际的需要进行设置，本公开对此不作限定。在应用于vxlan网络时，根据所述虚拟机特征信息检测所述虚拟机是否为合法虚拟机的过程与实际网络中的方法类似，在此不再赘述。图9示出根据本公开一实施例的网络设备mac地址配置装置的框图。该装置可应用于网络设备，例如路由器、集线器或者交换机等，还可应用于虚拟网络设备、服务器等。如图9所示，该装置包括：获取模块91、检测模块92以及第一设置模块93。获取模块91，用于根据第一接口接收到的报文，获取所述报文的源mac地址及用户特征信息；检测模块92，用于在信息表中存在所述源mac地址，且所述信息表中记录的所述源mac地址对应的出接口与所述第一接口不同时，根据所述报文携带的用户特征信息和所述信息表中记录的所述源mac地址对应的用户特征信息检测用户是否为合法用户；第一设置模块93，用于在检测到所述用户为合法用户的情况下，将所述信息表中与所述源mac地址对应的出接口设置为所述第一接口。网路设备通过检测用户特征信息判断发送报文的用户的合法性，在检测到用户为合法用户的情况下配置mac地址。根据本公开上述实施例的网络设备mac地址配置装置可以在mac迁移时先进行用户检测，可以有效检测用户的真实性和正确性，防止非合法用户构造仿冒报文攻击网络、保证网络安全和稳定性的同时，还可以减少手工修改静态mac的配置需求，降低人工干涉造成配置错误带来的网络故障等问题。图10示出根据本公开一实施例的网络设备mac地址配置装置的框图。如图10所示，在一种可能的实施方式中，所述装置还包括：记录模块94。记录模块94，用于在信息表中不存在所述源mac地址的情况下，在所述信息表中记录所述源mac地址、第一接口，以及该报文携带的用户特征信息的对应关系。在一种可能的实施方式中，所述装置还包括：第二设置模块95。第二设置模块95，用于在检测到所述用户为非合法用户的情况下，则不将所述第一接口设置为出接口。在一种可能的实施方式中，所述检测模块92包括：获取单元921和判断单元922。获取单元921，用于获取所述报文携带的用户特征信息与所述信息表中记录的所述源mac地址对应的用户特征信息的匹配结果；判断单元922，用于根据所述匹配结果判断所述用户是否为合法用户。在一种可能的实施方式中，所述用户特征信息包括用于表示业务类型的信息。在一种可能的实施方式中，所述匹配结果为所述报文携带的业务类型信息与所述信息表中记录的所述源mac地址对应的业务类型信息的匹配比例。所述判断单元922具体用于当所述匹配比例大于预设阈值时判断用户为合法用户。图11是根据一示例性实施例示出的一种mac地址迁移装置1900的框图。例如，装置1900可以被提供为一服务器。参照图11，装置1900包括处理组件1922，其进一步包括一个或多个处理器，以及由存储器1932所代表的存储器资源，用于存储可由处理组件1922的执行的指令，例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1922被配置为执行指令，以执行上述方法。装置1900还可以包括一个电源组件1926被配置为执行装置1900的电源管理，一个有线或无线网络接口1950被配置为将装置1900连接到网络，和一个输入输出(i/o)接口1958。装置1900可以操作基于存储在存储器1932的操作系统，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm或类似。在示例性实施例中，还提供了一种包括指令的非易失性计算机可读存储介质，例如包括指令的存储器1932，上述指令可由装置1900的处理组件1922执行以完成上述方法。本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如smalltalk、c++等，以及常规的过程式编程语言—诸如“c”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本
技术领域：
的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进，或者使本
技术领域：
的其它普通技术人员能理解本文披露的各实施例。当前第1页12