MAC地址获取方法及系统、网络安全设备及可读存储介质与流程

本发明涉及通信领域，具体涉及mac地址获取方法及系统、网络安全设备及可读存储介质。

背景技术：

虚拟局域网vlan可以跨越多个终端构成一个广播域，可以将网络划分为多个vlan，一个vlan对应一个广播域，相同vlan下的主机可以进行二层数据交换，不同vlan下的主机需要通过三层网络交换设备(如三层交换机、路由器等)进行三层数据交换，其中，二层和三层分别指在osi开放式系统互联模型中的第二层和第三层。mac地址(即物理地址)，用来定义网络设备的位置，每一个主机均有一个mac地址，其对应于osi参考模型的第二层数据链路层，只有二层设备和三层网络交换设备才能获取到主机的mac地址。

网络安全设备在取到mac地址后，可以有很多应用，比如可以使用mac地址标识一个用户，用于免认证上网，既能做到实名制，也可以提高用户体验；当用短信认证时，还能节省短信费用；再比如做账号和mac地址绑定，因为mac地址可以标识一个终端，所以可以达到双因素校验的效果，使得一个账号只能在特定的几个终端上登录，从而提高账号认证的安全性。但是，由于网络安全设备一般部署在三层以上，因此无法直接获取到主机的mac地址。

为了解决上述问题，现有技术中，三层交换机可以利用获取到的广播包进行物理地址的学习机制维护地址映射表arp表，在arp表中包含ip地址和mac地址的对应关系。网络安全设备每隔一段时长通过使用snmp协议主动获取三层交换机上的地址映射表arp表，以获取主机的物理地址。

当三层交换机下接的用户较多时，可能会出现在短时间内有大量的物理地址变化产生，三层交换机进行物理地址的学习时间较长；同时，arp表中会记载大量的地址对应关系，网络安全设备每次均需要耗费大量时长来通过snmp协议获取arp表，这两方面的原因导致网络安全设备难以及时获取到主机的物理地址，制约了网络安全设备对主机的mac地址的应用。

技术实现要素：

本发明提供一种mac地址获取方法及系统、网络安全设备及可读存储介质，用于解决网络安全设备难以及时获取到主机的物理地址的问题。

本发明实施例的一方面提供了一种mac地址获取方法，包括：

网络安全设备通过三层网络交换设备获取目标虚拟局域网vlan的广播包，所述目标vlan为所述三层网络交换设备对应的vlan；

所述网络安全设备对所述广播包进行解析得到解析结果；

所述网络安全设备从所述解析结果中获取目标设备的物理地址mac地址。

可选的，所述目标设备为所述目标vlan的客户端。

可选的，所述网络安全设备对所述广播包进行解析得到解析结果之后，所述方法还包括：

所述网络安全设备从所述解析结果中获取所述目标设备的互联网协议ip地址；

所述网络安全设备利用所述目标设备的mac地址和ip地址对预存的地址表进行更新，所述预存的地址表用于记录所述目标vlan中客户端的mac地址和ip地址的对应关系。

可选的，所述目标设备为所述目标vlan的服务器。

可选的，若所述广播包为简单网络管理协议dhcp提供包和dhcp确认包中的任意一种，在所述网络安全设备从所述解析结果中获取目标设备的mac地址之后，所述方法还包括：

所述网络安全设备判断所述目标设备的mac地址是否为合法的dhcp服务器的mac地址；

若否，则所述网络安全设备判定所述目标设备的mac地址对应于私接的dhcp服务器。

可选的，在网络安全设备通过三层网络交换设备获取目标vlan的广播包之前，所述方法还包括：

所述网络安全设备构造地址解析协议arp请求包，以请求目标vlan的网关的ip地址或者所述目标vlan外的设备的ip地址；

向所述目标vlan广播所述arp请求包；

若所述广播包为所述arp请求包对应的arp回包，在所述网络安全设备从所述解析结果中获取目标设备的mac地址之后，所述方法还包括：

所述网络设备判断所述目标设备的mac地址是否为合法网关的mac地址；

若否，则所述网络安全设备判定所述目标设备的mac地址对应于非法网关。

本发明实施例的第二方面提供了一种网络安全设备，包括：

广播包获取模块，用于通过三层网络交换设备获取目标虚拟局域网vlan的广播包，所述目标vlan为所述三层网络交换设备对应的vlan；

解析模块，用于对所述广播包进行解析得到解析结果；

地址获取模块，用于从所述解析结果中获取目标设备的mac地址。

可选的，网络安全设备还包括：

ip地址获取模块，用于在解析模块对广播包进行解析得到解析结果之后，从解析结果中获取目标设备的ip地址；

更新模块，用于利用目标设备的mac地址和ip地址对预存的地址表进行更新，预存的地址表用于记录目标vlan中客户端的mac地址和ip地址的对应关系。

可选的，网络安全设备还包括：

第一判断模块，用于在mac地址获取模块从解析结果中获取目标设备的mac地址之后，判断目标设备的mac地址是否为合法的dhcp服务器的mac地址，若否，则触发第一判定模块，若是，则执行其它操作；

第一判定模块，用于判定目标设备的mac地址对应于私接的dhcp服务器。

可选的，网络安全设备还包括：

构造模块，用于构造地址解析协议arp请求包，以请求目标vlan的网关的ip地址或者目标vlan外的设备的ip地址；

广播模块，用于向目标vlan广播arp请求包；

第二判断模块，用于当广播包获取模块获取到的广播包为构造模块构造的arp请求包对应的arp回包时，在mac地址获取模块从解析结果中获取目标设备的mac地址之后，判断目标设备的mac地址是否为合法网关的mac地址，若否，则触发第二判定模块，若是，则执行其它操作；

第二判定模块，用于当第二判断模块判定目标设备的mac地址不是合法网关的mac地址时，判定目标设备的mac地址对应于非法网关。

本发明实施例的第三方面提供了一种网络安全设备，包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现第一方面提供的任意一种方法的步骤。

本发明实施例的第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面提供的任意一种方法的步骤。

本发明实施例的第五方面提供了一种mac地址获取系统，包括三层网络交换设备和第二方面提供的任意一种网络安全设备；

所述三层网络交换设备用于获取目标vlan的广播包；

所述网络安全设备与所述三层网络交换设备进行数据连接，用于通过所述三层网络交换设备获取所述广播包。

可选的，所述网络安全设备与所述三层网络交换设备之间通过trunk口进行直连。

可选的，所述mac地址获取系统包括多个三层网络交换设备；

所述mac地址获取系统还包括多个广播包代理设备，所述广播包代理设备与所述三层网络交换设备直连，用于获取所述三层网络交换设备接收到的广播包，并将所述广播包通过路由转发至所述网络安全设备。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，网络安全设备可以通过三层网络交换设备获取目标虚拟局域网vlan的广播包，目标vlan为三层网络交换设备对应的vlan，之后可以根据广播包的协议类型对广播包进行解析得到解析结果，广播包为二层数据，通常携带有主机的mac地址，因此从解析结果中可以获取目标设备(主机)的mac地址，和现有技术相比，无需经过三层交换机的物理地址学习过程和使用snmp协议对arp表的获取过程，便可以直接获取到目标vlan中主机的物理地址，因而提高了网络安全设备获取主机的物理地址的实时性，有利于网络安全设备对主机的mac地址的应用。

附图说明

图1是本发明mac地址获取方法一个实施例示意图；

图2是本发明mac地址获取方法另一个实施例示意图；

图3是本发明dhcp协议的基本过程示意图；

图4是本发明mac地址获取方法另一个实施例示意图；

图5是本发明mac地址获取方法另一个实施例示意图；

图6是本发明网络安全设备一个实施例示意图；

图7是本发明网络安全设备另一个实施例示意图；

图8是本发明网络安全设备另一个实施例示意图；

图9是本发明网络安全设备另一个实施例示意图；

图10是本发明网络安全设备一个硬件实施例示意图；

图11是本发明mac地址获取系统一个实施例示意图；

图12是本发明mac地址获取系统另一个实施例示意图。

具体实施方式

本发明实施例提供了一种mac地址获取方法及系统、网络安全设备及可读存储介质，用于提高网络安全设备获取主机的物理地址的实时性，有利于网络安全设备对主机的mac地址的应用。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明实施例提供一种mac地址获取方法，请参阅图1，本发明实施例中mac地址获取方法一个实施例包括：

101、通过三层网络交换设备获取目标vlan的广播包；

在目标虚拟局域网vlan中，目标vlan的三层网络交换设备可以获取目标vlan内的所有广播包，在本发明实施例中，网络安全设备可以直接或间接的通过该三层网络交换设备获取目标vlan中的广播包。

102、对广播包进行解析得到解析结果；

网络安全设备获取到目标vlan的广播包之后，可以按照获取到的广播包的协议类型对广播包进行解析，得到解析结果。

103、从解析结果中获取目标设备的mac地址。

广播包为二层数据，通常携带有主机的mac地址，网络安全设备对广播包解析后，可以从解析结果中获取主机的mac地址(即物理地址)，在本发明实施例中，将该主机称作目标设备。

本发明实施例中，网络安全设备通过获取广播包来获取目标设备的物理地址，和现有技术相比，无需经过三层交换机的物理地址学习过程和使用snmp协议对arp表的获取过程，便可以直接获取到目标vlan中主机的物理地址，因而提高了网络安全设备获取主机的物理地址的实时性，有利于网络安全设备对主机的mac地址的应用。

图1对应的实施例可以使用于不同的应用场景，在不同的应用场景中，目标设备有所不同，对常见的应用场景进行分类后，可以相应的将目标设备分为两大类，即目标设备可以为局域网中的客户端或服务提供方，下面分别对适用于这两种情况下的本发明方法实施例进行具体描述。

(一)目标设备为目标vlan的客户端

mac地址是在网络层面标识一个主机很好的方式，取到mac地址后，可以有很多应用，比如使用mac地址标识一个用户，用于免认证上网，既能做到实名制，也可以提高用户体验。再比如做账号和mac地址绑定，因为mac可以标识一个主机，所以可以达到双因素校验的效果，一个账号只能在特定的几个终端上登录，从而提高账号认证的安全性。上述应用的基础是，网络安全设备记录的主机的物理地址和ip地址的对应关系是完整的、准确的，也就需要在网络中新增主机时，及时获取到新增主机的物理地址与其ip地址的对应关系，在主机的ip地址发生变更时，及时更新该主机的物理地址对应的ip地址，也就是说，需要网络安全设备能够快速获取到主机的物理地址与其ip地址的对应关系。下面提供一种解决方案，请参阅图2，本发明实施例中mac地址获取方法另一个实施例包括：

201、通过三层网络交换设备获取目标vlan的广播包；

202、对广播包进行解析得到解析结果；

步骤201与步骤202分别与图1对应的实施例中的步骤101和步骤102相同，此处不再赘述。

203、从解析结果中获取客户端的mac地址；

204、从解析结果中获取客户端的ip地址；

常见的广播包包括简单网络管理协议dhcp包和地址解析协议arp包，其中，dhcp协议用于给局域网中的客户端自动分配互联网协议ip地址，arp协议是客户端通过网关获取目的ip地址对应的目的物理地址的一个tcp/ip协议。因此，dhcp包和arp包中携带有客户端的mac地址和ip地址，网络安全设备获取到dhcp包或arp包后，可以从解析结果中获取到客户端的mac地址和ip地址。

(1)若获取到的广播包为dhcp包，则从解析结果中获取dhcp包中携带的客户端的ip地址和mac地址：

dhcp协议的基本过程如图3所示，在整个过程中，会依次产生dhcp发现包(dhcpdiscover报文)、dhcp提供包(dhcpoffer报文)、dhcp请求包(dhcprequest报文)以及dhcp确认包(dhcpack报文)，这四种类型的dhcp包全部都是广播包，因此均能被三层网络交换设备获取到，进而可以被网络安全设备获取到。在上述四种类型的dhcp包中，dhcp确认包为dhcp服务器发出的用于通知客户端可以使用该ip地址的广播包，之后dhcp客户端通常可以将该ip地址与其网卡绑定，可见，从dhcp确认包中获取客户端的ip地址更加准确。因此，网络安全设备对广播包进行解析后，若确定该广播包为dhcp确认包，网络安全设备则从解析结果中获取客户端的ip地址。

由于在获取到dhcp包时，表明客户端是没有ip地址的，因此，通过分析dhcp包，可以在客户端获取到ip地址前，网络安全设备就能获取到该客户端的ip地址和mac地址的对应关系，实时性更好。

(2)若获取到的广播包为arp包，则从解析结果中获取arp包的发包方的ip地址和mac地址：

arp协议的交互过程是，首先客户端发送一个arp请求包，arp请求包为广播包，用以询问待访问的网络对端的mac地址，然后网络对端会针对该arp请求包发送一个arp回包，将其mac地址反馈给该客户端。之后客户端便可以根据获取到的mac地址访问网络对端。由于arp回包不是广播包，因此，在本发明实施例中，若网络安全设备获取到的广播包为arp包，那么该arp包为arp请求包，发包方为目标vlan的客户端，那么该arp请求包的发包方的mac地址和ip地址便是本发明实施例中需要获取的客户端的mac地址和ip地址。

205、利用客户端的mac地址和ip地址对预存的地址表进行更新。

网络安全设备存储有用于记录目标vlan中客户端的mac地址和ip地址的对应关系的地址表，网络安全设备获取到客户端的mac地址和ip地址之后，可以利用客户端的mac地址和ip地址对预存的地址表进行更新，比如，在地址表中查找客户端的mac地址，若查不到，表明该客户端为目标vlan中的新增客户端，可以将该客户端的mac地址和ip地址写入地址表中；若查到，则比较地址表中记录的该客户端的mac地址对应的ip地址与获取到的ip地址是否相同，若不相同，则可以用获取到的ip地址替换地址表中相应的ip地址。

本发明实施例中，网络安全设备通过获取广播包，能够快速获取目标vlan中的客户端的ip地址和mac地址，在目标vlan中新增客户端时，可以及时获取到新增客户端的物理地址与其ip地址的对应关系，在客户端的ip地址发生变更时，可以及时更新该客户端的物理地址对应的ip地址，从而有利于保证在网络安全设备中记录的客户端的物理地址和ip地址的对应关系是完整的、准确的，有利于更好的实现免认证上网等应用。

(二)目标设备为目标vlan的服务器

局域网中有时会存在非法的服务提供方，或者称作非法的服务器，非法的服务器会扰乱局域网的秩序，甚至威胁网络安全，因此快速发现并定位非法的服务器，对于维护网络安全和秩序具有重要意义。常见的非法的服务器包括私接的dhcp服务器和非法网关，下面提供两种解决方案，分别用于发现私接的dhcp服务器和非法网关。

(1)发现并定位私接的dhcp服务器

请参阅图4，本发明实施例中mac地址获取方法另一个实施例包括：

401、通过三层网络交换设备获取目标vlan的广播包；

402、对广播包进行解析得到解析结果；

步骤401与步骤402分别与图1对应的实施例中的步骤101和步骤102相同，此处不再赘述。

403、若广播包为dhcp提供包或dhcp确认包，则获取广播包对应的dhcp服务器的mac地址；

网络安全设备对广播包进行解析后，若广播包为dhcp提供包或dhcp确认包，则网络安全设备可以从解析结果中获取该dhcp包对应的dhcp服务器的mac地址，可以理解的是，该dhcp服务器为目标vlan中的dhcp服务器。具体的，由于dhcp服务器是dhcp提供包或dhcp确认包的发包方，因此，当广播包为dhcp提供包或dhcp确认包时，网络安全设备可以获取广播包的发包方的mac地址，即为该广播包对应的dhcp服务器的mac地址。

404、判断mac地址是否为合法的dhcp服务器的mac地址，若否，则执行步骤405，若是，则执行步骤406；

网络安全设备可以存储或获取目标vlan中各个合法的dhcp服务器的mac地址，在从解析结果中获取到dhcp服务器的mac地址之后，可以判断从解析结果中获取到的dhcp服务器的mac地址是否为合法的dhcp服务器的mac地址，若否，则执行步骤405，若是，则执行步骤406。

405、判定mac地址对应于私接的dhcp服务器；

若网络安全设备判定从解析结果中获取到的dhcp服务器的mac地址不是合法的dhcp服务器的mac地址，则可以判定从解析结果中获取到的mac地址对应于私接的dhcp服务器，之后可以通知网络管理人员根据mac地址与硬件端口的对应关系找到该mac地址对应的私接的dhcp服务器。

406、执行其它操作。

若网络安全设备判定从解析结果中获取到的dhcp服务器的mac地址是合法的dhcp服务器的mac地址，则网络安全设备可以执行其它操作，比如判定dhcp服务器的mac地址对应于合法的dhcp服务器。

(2)发现并定位非法网关

arp攻击的常见方法是攻击者伪造网关，利用伪造的非法网关回错误的mac地址给客户端，从而导致客户端的数据被劫持。为了快速发现并定位非法网关，下面提供一种mac地址获取方法，请参阅图5，本发明实施例中mac地址获取方法另一个实施例包括：

501、构造arp请求包；

网络安全设备可以根据目标vlan的唯一编码id构造arp请求包，以请求目标vlan中的网关的ip地址或者目标vlan外的设备的ip地址。为了接收到目标vlan中的网关的arp回包，构造的arp请求包请求的ip地址应该对应于目标vlan中的网关，或者对应于目标vlan以外的其它vlan中的设备，这样，目标vlan中的网关在收到arp请求包之后，可以发送与arp请求包对应的arp回包。

502、向目标vlan广播arp请求包；

网络安全设备构造arp请求包之后，可以向目标vlan广播该arp请求包。

503、通过三层网络交换设备获取目标虚拟局域网vlan的广播包；

504、对广播包进行解析得到解析结果；

步骤503与步骤504分别与图1对应的实施例中的步骤101和步骤102相同，此处不再赘述。

505、若广播包为arp请求包对应的arp回包，获取arp回包对应的网关的mac地址；

对广播包解析后，若广播包为构造的arp请求包对应的arp回包，那么网络安全设备可以从解析结果中获取该arp回包对应网关的mac地址。具体的，由于网关是arp回包的发包方，因此，当广播包为arp回包时，网络安全设备可以获取广播包的发包方的mac地址，即为该广播包对应的网关的mac地址。

506、判断mac地址是否为合法网关的mac地址；

网络安全设备可以存储或获取目标vlan中各个合法的网关的mac地址，在从解析结果中获取到网关的mac地址之后，可以判断获取到的mac地址是否为合法网关的mac地址，若否，则执行步骤507，若是，则执行步骤508。

507、判定mac地址对应于非法网关；

若网络安全设备判定从解析结果中获取到的网关的mac地址不是合法网关的mac地址，则可以判定从解析结果中获取到的mac地址对应于非法，之后可以通知网络管理人员根据mac地址与硬件端口的对应关系找到该mac地址对应的非法网关。

508、执行其它操作。

若是，则网络安全设备可以执行其它操作，比如判定网关的mac地址对应于合法网关。

为了发现非法网关，可以在各个vlan中构造arp请求包，根据网关反馈的arp回包可以获取网关的mac地址，通过将获取到的mac地址和该vlan中合法网关的mac地址进行对比，可以及时发现并定位非法网关。

上面对本发明实施例中的mac地址获取方法进行了描述，下面对本发明实施例中的网络安全设备进行描述。

请参阅图6，本发明实施例中网络安全设备的一个实施例包括：

广播包获取模块601，用于通过三层网络交换设备获取目标虚拟局域网vlan的广播包，目标vlan为三层网络交换设备对应的vlan；

解析模块602，用于对广播包进行解析得到解析结果；

mac地址获取模块603，用于从解析结果中获取目标设备的mac地址。

本发明实施例中，网络安全设备的广播包获取模块601通过三层网络交换设备获取目标虚拟局域网vlan的广播包，解析模块602对广播包进行解析，之后地址获取模块603从解析结果中获取目标设备的mac地址，和现有技术相比，无需经过三层交换机的物理地址学习过程和使用snmp协议对arp表的获取过程，便可以直接获取到目标vlan中主机的物理地址，因而提高了网络安全设备获取主机的物理地址的实时性，有利于网络安全设备对主机的mac地址的应用。

可选的，在本发明的一些实施例中，目标设备为目标vlan的客户端，请参阅图7，网络安全设备还可以进一步包括：

ip地址获取模块604，用于在解析模块602对广播包进行解析得到解析结果之后，从解析结果中获取目标设备的ip地址；

更新模块605，用于利用目标设备的mac地址和ip地址对预存的地址表进行更新，预存的地址表用于记录目标vlan中客户端的mac地址和ip地址的对应关系。

可选的，在本发明的一些实施例中，目标设备为目标vlan的dhcp服务器，若广播包为dhcp提供包和dhcp确认包中的任意一种，请参阅图8，网络安全设备还可以进一步包括：

第一判断模块606，用于在mac地址获取模块603从解析结果中获取目标设备的mac地址之后，判断目标设备的mac地址是否为合法的dhcp服务器的mac地址，若否，则触发第一判定模块607，若是，则执行其它操作；

第一判定模块607，用于判定目标设备的mac地址对应于私接的dhcp服务器。

可选的，在本发明的一些实施例中，目标设备为目标vlan的网关，请参阅图9，网络安全设备还可以进一步包括：

构造模块608，用于构造地址解析协议arp请求包，以请求目标vlan的网关的ip地址或者目标vlan外的设备的ip地址；

广播模块609，用于向目标vlan广播arp请求包；

第二判断模块610，用于当广播包获取模块601获取到的广播包为构造模块608构造的arp请求包对应的arp回包时，在mac地址获取模块603从解析结果中获取目标设备的mac地址之后，判断目标设备的mac地址是否为合法网关的mac地址，若否，则触发第二判定模块611，若是，则执行其它操作；

第二判定模块611，用于当第二判断模块610判定目标设备的mac地址不是合法网关的mac地址时，判定目标设备的mac地址对应于非法网关。

上面从模块化功能实体的角度对本发明实施例中的网络安全设备进行了描述，下面从硬件处理的角度对本发明实施例中的网络安全设备进行描述：

本发明实施例还提供了一种网络安全设备10，如图10所示，为了便于说明，仅示出了与本发明实施例相关的部分，具体技术细节未揭示的，请参照本发明实施例方法部分。

参考图10，网络安全设备10至少包括处理器1001、存储器1002以及存储在存储器中并可在处理器上运行的计算机程序。处理器执行计算机程序时实现上述各个mac地址获取方法实施例中的步骤，例如图1所示的步骤101至103。或者，处理器执行计算机程序时实现上述各装置实施例中各模块或单元的功能。在实际使用中，网络安全设备10可以为防火墙、或者ids(入侵检测系统)、或者ips(入侵防御系统)、或者接入控制器等。

示例性的，计算机程序可以被分割成一个或多个模块/单元，一个或者多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述网络安全设备中的执行过程。

本领域技术人员可以理解，图10中示出的结构并不构成对网络安全设备10的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，例如所述网络安全设备还可以包括有线或无线网络接口、总线等。

所称处理器可以是中央处理单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述网络安全设备的控制中心，利用各种接口和线路连接整个网络安全设备的各个部分。

所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述网络安全设备的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

所述网络安全设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

上面对本发明的方法及装置实施例进行了描述，下面对上述实施例所基于的系统提出几种可能的实现方式，以使得网络安全设备能够通过三层网络交换设备获取目标vlan的广播包，进而利用广播包获取目标设备的mac地址。

本发明实施例中mac地址获取系统的一个实施例包括：

三层网络交换设备和网络安全设备；

三层网络交换设备用于获取对应的vlan的广播包，一个三层网络交换设备通常对应于多个vlan，可以获取多个vlan的广播包；

网络安全设备与三层网络交换设备进行数据连接，用于通过三层网络交换设备获取广播包；

网络安全设备为图6至图9对应的实施例中任意一个实施例对应的网络安全设备。

请参阅图11，若mac地址获取系统1100中包括一个三层网络交换设备1101，那么网络安全设备1102可以部署在三层网络交换设备1101附近，与三层网络交换设备1101进行直连，如图11中加粗的带有箭头的实线。或者虽然mac地址获取系统1100包括多个三层网络交换设备1101，但是所有三层网络交换设备1101之间的距离很近，网络安全设备1102可以同时与各个三层网络交换设备1101进行直连。关于直连的具体方式，可以将三层网络交换设备1101的一个端口配置为透传trunk口，网络安全设备1102与三层网络交换设备1101之间通过trunk口进行直连，以直接通过三层网络交换设备1101获取广播包。

若mac地址获取系统1100中包括多个三层网络交换设备1101，且多个三层网络交换设备1101之间的距离较远，此时，网络安全设备1102无法同时与各个三层网络交换设备1101进行直连，也就无法获取到所有三层网络交换设备1101上的广播包。为了解决上述问题，mac地址获取系统1100还包括多个广播包代理设备1103，广播包代理设备1103与三层网络交换设备直连1101，如图12中带有箭头的实线，用于获取三层网络交换设备1101接收到的广播包，并将广播包通过路由的方式转发至网络安全设备1102，如图12中带有箭头的虚线。可选的，网络安全设备1102可以与一个三层网络交换设备1101进行直连，如图12中加粗的带有箭头的实线，直接获取该三层网络交换设备1101上的广播包，通过广播包代理设备1103间接的获取其它三层网络交换设备1101上的广播包。在实际使用中，广播包代理设备1103可以指路由器，或者其它的具有转发功能的网络设备。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

所述的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。