1.一種限制交換機(jī)遠(yuǎn)程訪問的方法，其特征在于，包括以下步 驟：

利用交換機(jī)的第一ACL對交換機(jī)預(yù)定端口收到的數(shù)據(jù)包報文進(jìn) 行匹配處理；

把數(shù)據(jù)包報文內(nèi)容與第一ACL中配置的字段完全相同的匹配數(shù) 據(jù)包報文交由交換機(jī)CPU進(jìn)行處理；

把數(shù)據(jù)包報文內(nèi)容與第一ACL中配置的字段不相同的失配數(shù)據(jù) 包報文交由在交換機(jī)所有端口生效的全局ACL進(jìn)行處理；

其中，所述全局ACL進(jìn)行的處理包括：

如果所述失配數(shù)據(jù)包報文的目的IP地址、目的MAC地址和目的 端口號與全局ACL中配置的相應(yīng)字段相同，則作丟棄處理；

如果所述失配數(shù)據(jù)包報文的目的IP地址或目的端口號與全局 ACL中配置的相應(yīng)字段不相同，并且是協(xié)議報文，則將所述失配數(shù)據(jù) 包報文交由交換機(jī)CPU進(jìn)行處理。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，其中對于多次輸 入用戶密碼的數(shù)據(jù)包報文，利用第二ACL進(jìn)行匹配處理，丟棄數(shù)據(jù)包 報文內(nèi)容與第二ACL中配置的字段完全匹配的數(shù)據(jù)包報文。

3.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，其中所述第 一ACL中配置的字段包括：源IP地址，目的IP地址，源MAC地址、 目的MAC地址、VLAN?id和目的端口號，其中源IP地址和源MAC地 址是遠(yuǎn)程同步過來的，目的IP地址、目的MAC地址、VLAN?id和目 的端口號是交換機(jī)的固有配置。

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，其中交換機(jī)定時 向網(wǎng)絡(luò)內(nèi)預(yù)先指定的網(wǎng)關(guān)同步遠(yuǎn)程訪問報文的源IP地址和源MAC地 址，然后通過將同步過來的源IP地址、源MAC地址與交換機(jī)的Hash 存儲表中的VLANid、目的IP地址、目的MAC地址、端口號進(jìn)行組合 得到同步配置，并算出同步配置索引。

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，其中交換機(jī)將根 據(jù)對應(yīng)的第一ACL中配置的目的源IP地址、目的IP地址、源MAC地 址、目的MAC地址、VLAN?id和目的端口號算出的第一ACL索引與所 述同步配置索引進(jìn)行比較，并依據(jù)比較結(jié)果進(jìn)行以下操作：

如果同步配置索引與第一ACL索引相同，則保持對應(yīng)的第一ACL；

如果同步配置索引與第一ACL索引不同，則改變對應(yīng)的第一ACL。

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，其中，當(dāng)同步配 置索引與對應(yīng)的第一ACL索引不同時，交換機(jī)執(zhí)行以下操作：

如果同步過來源IP地址和源MAC地址是一個新數(shù)據(jù)包報文的源 地址，則通過在交換機(jī)Hash存儲表上拷貝所述同步配置，添加關(guān)于 所述新數(shù)據(jù)包報文的第一ACL，并將其綁定到端口上；

如果同步過來源IP地址和源MAC地址為空，則從端口上解除對 應(yīng)的ACL綁定，然后從交換機(jī)的ASIC芯片上刪除該對應(yīng)的ACL。

7.一種限制交換機(jī)遠(yuǎn)程訪問的裝置，其特征在于包括：

匹配處理模塊，用于利用交換機(jī)第一ACL對交換機(jī)預(yù)定端口收到 的數(shù)據(jù)包報文進(jìn)行匹配處理；

匹配數(shù)據(jù)包報文處理模塊，用于把數(shù)據(jù)包報文內(nèi)容與第一ACL中 配置的字段完全相同的匹配數(shù)據(jù)包報文交由交換機(jī)CPU處理；

失配數(shù)據(jù)包報文處理模塊，用于把數(shù)據(jù)包報文內(nèi)容與第一ACL中 配置的字段不相同的失配數(shù)據(jù)包報文交由在交換機(jī)所有端口生效的 全局ACL處理；

其中，所述全局ACL處理包括：

如果所述失配數(shù)據(jù)包報文的目的IP地址、目的MAC地址和目的 端口號與全局ACL中配置的相應(yīng)字段相同，則丟棄所述失配數(shù)據(jù)包報 文；

如果所述失配數(shù)據(jù)包報文的目的IP地址或目的端口號與全局 ACL中配置的相應(yīng)字段不相同，并且是協(xié)議報文，則將所述失配數(shù)據(jù) 包報文交由交換機(jī)CPU進(jìn)行處理。

8.根據(jù)權(quán)利要求7所述的裝置，其特征在于，還包括禁止多次 輸入用戶密碼模塊，用于利用第二ACL對多次輸入用戶密碼的數(shù)據(jù)包 報文進(jìn)行匹配處理，丟棄數(shù)據(jù)包報文內(nèi)容與第二ACL中配置的字段完 全匹配的數(shù)據(jù)包報文。