一种mac地址学习的控制方法及装置的制造方法
【技术领域】
[0001]本发明涉及MAC (Media Access Control)地址学习领域,尤其涉及一种MAC地址学习的控制方法及装置。
【背景技术】
[0002]芯片中MAC表的规格都是一定的,MAC表的容量也是有限的,当黑客伪造大量源MAC地址不同的报文并发送到设备后,设备上的MAC地址表就可能被这些源MAC地址填满,尤其在软件学习模式下,还会造成对CPU的冲击。如此,当MAC地址表被填满后,即使它再收到正常的报文,也无法学习到正常报文中的源MAC地址。
[0003]目前,针对这种冲击MAC表的行为,基本都是采用基于端口或VLAN (VirtualLAN)关闭MAC地址学习,或者采用基于端口或VLAN进行MAC地址学习数的限制来防止这种冲击。上述方案虽然可以达到防止冲击报文填满整个MAC表的目的,但冲击报文还是有一定数目的源MAC地址已经学习到MAC表中,占用了 MAC表的资源,在一定情况下还会造成MAC地址的漂移,带来其它的安全隐患;而且,关闭MAC地址学习和进行MAC地址学习数的限制是针对整个端口或VLAN的,会导致之后正常的报文也无法学习到。
【发明内容】
[0004]本发明的目的在于提供一种MAC地址学习的控制方法及装置。
[0005]为实现上述发明目的之一,本发明一实施方式提供一种MAC地址学习的控制方法,包括步骤:
接收报文;
解析所述报文,得到所述报文的源MAC地址及对应的目的MAC地址;
匹配所述报文的所述目的MAC地址及MAC表中的地址条目,若匹配成功,允许学习对应的所述源MAC地址,若匹配失败,禁止学习对应的所述源MAC地址。
[0006]作为本发明一实施方式的进一步改进,步骤“匹配所述报文的所述目的MAC地址及MAC表中的地址条目,若匹配成功,允许学习对应的所述源MAC地址,若匹配失败,禁止学习对应的所述源MAC地址”具体包括:
匹配所述报文的所述目的MAC地址及MAC表中的地址条目,若匹配成功,将对应的所述源MAC地址关联到允许学习状态,若匹配失败,将对应的所述源MAC地址关联到禁止学习状态;
学习所述允许学习状态对应的所述源MAC地址,且丢弃所述禁止学习状态对应的所述源MAC地址。
[0007]作为本发明一实施方式的进一步改进,所述源MAC地址的初始学习状态为禁止学习状态,步骤“匹配所述报文的所述目的MAC地址及MAC表中的地址条目,若匹配成功,将对应的所述源MAC地址关联到允许学习状态,若匹配失败,将对应的所述源MAC地址关联到禁止学习状态”具体包括:匹配所述报文的所述目的MAC地址及MAC表中的地址条目,若匹配成功,将对应的所述源MAC地址修改为允许学习状态,若匹配失败,将对应的所述源MAC地址维持为禁止学习状
??τ O
[0008]作为本发明一实施方式的进一步改进,所述源MAC地址的初始学习状态为允许学习状态,步骤“匹配所述报文的所述目的MAC地址及MAC表中的地址条目,若匹配成功,将对应的所述源MAC地址关联到允许学习状态,若匹配失败,将对应的所述源MAC地址关联到禁止学习状态”具体包括:
匹配所述报文的所述目的MAC地址及MAC表中的地址条目,若匹配成功,将对应的所述源MAC地址维持为允许学习状态,若匹配失败,将对应的所述源MAC地址修改为禁止学习状
??τ O
[0009]作为本发明一实施方式的进一步改进,所述允许学习状态及所述禁止学习状态对应AD表。
[0010]为实现上述发明目的之一,本发明一实施方式提供一种MAC地址学习的控制装置,包括MAC表、接收模块、解析模块、匹配模块及学习模块,所述MAC表包含地址条目;接收模块用于接收报文;解析模块用于解析并得到所述报文的源MAC地址及对应的目的MAC地址;匹配模块用于匹配所述报文的所述目的MAC地址及所述地址条目;若匹配成功,所述学习模块用于将对应的所述源MAC地址学习到所述MAC表中,若匹配失败,所述学习模块用于丢弃对应的所述源MAC地址。
[0011]作为本发明一实施方式的进一步改进,所述装置还包括AD表,所述AD表中包括允许学习单元及禁止学习单元,若匹配成功,所述学习模块用于将对应的所述源MAC地址关联至所述允许学习单元,若匹配失败,所述学习模块用于将对应的所述源MAC地址关联至所述禁止学习单元。
[0012]作为本发明一实施方式的进一步改进,所述源MAC地址的初始状态为与所述禁止学习单元相关联,若匹配成功,所述学习模块用于将对应的所述源MAC地址修改为与所述允许学习单元相关联,若匹配失败,所述学习模块用于将对应的所述源MAC地址维持为与所述禁止学习单元相关联。
[0013]作为本发明一实施方式的进一步改进,所述源MAC地址的初始状态为与所述允许学习单元相关联,若匹配成功,所述学习模块用于将对应的所述源MAC地址维持为与所述允许学习单元相关联,若匹配失败,所述学习模块用于将对应的所述源MAC地址修改为与所述禁止学习单元相关联。
[0014]作为本发明一实施方式的进一步改进,所述报文包括未知报文和已知报文,所述地址条目与所述已知报文匹配,且所述地址条目与所述未知报文不匹配。
[0015]与现有技术相比,本发明的有益效果在于:本发明根据目的MAC地址与MAC表中的地址条目的匹配结果来决定是否进行对应的源MAC地址的学习,以实现防止未知报文对MAC表的冲击,同时又能保证已知报文的源MAC地址能学习到。
【附图说明】
[0016]图1是本发明一实施方式的MAC地址学习的控制方法流程图;
图2是本发明一实施方式的MAC地址学习的控制装置结构框图; 图3是本发明一具体示例的MAC地址学习的控制方法示意图。
【具体实施方式】
[0017]以下将结合附图所示的【具体实施方式】对本发明进行详细描述。但这些实施方式并不限制本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。
[0018]如图1所示,本发明一实施方式的MAC地址学习的控制方法包括步骤:
S1:接收报文;
这里,所述报文可分为未知报文和已知报文,所述未知报文例如为黑客伪造的包含虚假源MAC地址的冲击报文,这些未知报文可能对设备的MAC表产生冲击。
[0019]S2:解析所述报文,得到所述报文的源MAC地址及对应的目的MAC地址;
这里,每一所述报文均包含对应的源MAC地址、目的MAC地址及其他信息。
[0020]S3:匹配所述报文的所述目的MAC地址及MAC表中的地址条目,若匹配成功,允许学习对应的所述源MAC地址,若匹配失败,禁止学习对应的所述源MAC地址。
[0021]这里,MAC表中的地址条目与报文的目的MAC地址相对应,且只有当报文是已知报文时,才能在MAC表中查找到对应的地址条目,即此时匹配成功,若报文是未知报文,则无法在MAC表中查找到对应的地址条目,即此时匹配失败。
[0022]当接收到报文时,会先进行目的MAC地址及源MAC地址的匹配过程,一般情况,这两个匹配过程是同步进行的。
[0023]其中,目的MAC地址是与MAC表中的目的地址条目进行匹配,当于MAC表中查找到与该目的MAC地址相对应的目的地址条目时,即匹配成功,亦即表明该目的MAC地址对应