技術(shù)領(lǐng)域

本發(fā)明涉及MAC（Media?Access?Control）地址學(xué)習(xí)領(lǐng)域，尤其涉及一種MAC地址學(xué)習(xí)的控制方法及裝置。

背景技術(shù)

芯片中MAC表的規(guī)格都是一定的，MAC表的容量也是有限的，當(dāng)黑客偽造大量源MAC地址不同的報(bào)文并發(fā)送到設(shè)備后，設(shè)備上的MAC地址表就可能被這些源MAC地址填滿，尤其在軟件學(xué)習(xí)模式下，還會(huì)造成對(duì)CPU的沖擊。如此，當(dāng)MAC地址表被填滿后，即使它再收到正常的報(bào)文，也無(wú)法學(xué)習(xí)到正常報(bào)文中的源MAC地址。

目前，針對(duì)這種沖擊MAC表的行為，基本都是采用基于端口或VLAN?（Virtual?LAN）關(guān)閉MAC地址學(xué)習(xí)，或者采用基于端口或VLAN進(jìn)行MAC地址學(xué)習(xí)數(shù)的限制來(lái)防止這種沖擊。上述方案雖然可以達(dá)到防止沖擊報(bào)文填滿整個(gè)MAC表的目的，但沖擊報(bào)文還是有一定數(shù)目的源MAC地址已經(jīng)學(xué)習(xí)到MAC表中，占用了MAC表的資源，在一定情況下還會(huì)造成MAC地址的漂移，帶來(lái)其它的安全隱患；而且，關(guān)閉MAC地址學(xué)習(xí)和進(jìn)行MAC地址學(xué)習(xí)數(shù)的限制是針對(duì)整個(gè)端口或VLAN的，會(huì)導(dǎo)致之后正常的報(bào)文也無(wú)法學(xué)習(xí)到。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種MAC地址學(xué)習(xí)的控制方法及裝置。

為實(shí)現(xiàn)上述發(fā)明目的之一，本發(fā)明一實(shí)施方式提供一種MAC地址學(xué)習(xí)的控制方法，包括步驟：

接收?qǐng)?bào)文；

解析所述報(bào)文，得到所述報(bào)文的源MAC地址及對(duì)應(yīng)的目的MAC地址；

匹配所述報(bào)文的所述目的MAC地址及MAC表中的地址條目，若匹配成功，允許學(xué)習(xí)對(duì)應(yīng)的所述源MAC地址，若匹配失敗，禁止學(xué)習(xí)對(duì)應(yīng)的所述源MAC地址。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，步驟“匹配所述報(bào)文的所述目的MAC地址及MAC表中的地址條目，若匹配成功，允許學(xué)習(xí)對(duì)應(yīng)的所述源MAC地址，若匹配失敗，禁止學(xué)習(xí)對(duì)應(yīng)的所述源MAC地址”具體包括：

匹配所述報(bào)文的所述目的MAC地址及MAC表中的地址條目，若匹配成功，將對(duì)應(yīng)的所述源MAC地址關(guān)聯(lián)到允許學(xué)習(xí)狀態(tài)，若匹配失敗，將對(duì)應(yīng)的所述源MAC地址關(guān)聯(lián)到禁止學(xué)習(xí)狀態(tài)；

學(xué)習(xí)所述允許學(xué)習(xí)狀態(tài)對(duì)應(yīng)的所述源MAC地址，且丟棄所述禁止學(xué)習(xí)狀態(tài)對(duì)應(yīng)的所述源MAC地址。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述源MAC地址的初始學(xué)習(xí)狀態(tài)為禁止學(xué)習(xí)狀態(tài)，步驟“匹配所述報(bào)文的所述目的MAC地址及MAC表中的地址條目，若匹配成功，將對(duì)應(yīng)的所述源MAC地址關(guān)聯(lián)到允許學(xué)習(xí)狀態(tài)，若匹配失敗，將對(duì)應(yīng)的所述源MAC地址關(guān)聯(lián)到禁止學(xué)習(xí)狀態(tài)”具體包括：

匹配所述報(bào)文的所述目的MAC地址及MAC表中的地址條目，若匹配成功，將對(duì)應(yīng)的所述源MAC地址修改為允許學(xué)習(xí)狀態(tài)，若匹配失敗，將對(duì)應(yīng)的所述源MAC地址維持為禁止學(xué)習(xí)狀態(tài)。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述源MAC地址的初始學(xué)習(xí)狀態(tài)為允許學(xué)習(xí)狀態(tài)，步驟“匹配所述報(bào)文的所述目的MAC地址及MAC表中的地址條目，若匹配成功，將對(duì)應(yīng)的所述源MAC地址關(guān)聯(lián)到允許學(xué)習(xí)狀態(tài)，若匹配失敗，將對(duì)應(yīng)的所述源MAC地址關(guān)聯(lián)到禁止學(xué)習(xí)狀態(tài)”具體包括：

匹配所述報(bào)文的所述目的MAC地址及MAC表中的地址條目，若匹配成功，將對(duì)應(yīng)的所述源MAC地址維持為允許學(xué)習(xí)狀態(tài)，若匹配失敗，將對(duì)應(yīng)的所述源MAC地址修改為禁止學(xué)習(xí)狀態(tài)。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述允許學(xué)習(xí)狀態(tài)及所述禁止學(xué)習(xí)狀態(tài)對(duì)應(yīng)AD表。

為實(shí)現(xiàn)上述發(fā)明目的之一，本發(fā)明一實(shí)施方式提供一種MAC地址學(xué)習(xí)的控制裝置，包括MAC表、接收模塊、解析模塊、匹配模塊及學(xué)習(xí)模塊，所述MAC表包含地址條目；接收模塊用于接收?qǐng)?bào)文；解析模塊用于解析并得到所述報(bào)文的源MAC地址及對(duì)應(yīng)的目的MAC地址；匹配模塊用于匹配所述報(bào)文的所述目的MAC地址及所述地址條目；若匹配成功，所述學(xué)習(xí)模塊用于將對(duì)應(yīng)的所述源MAC地址學(xué)習(xí)到所述MAC表中，若匹配失敗，所述學(xué)習(xí)模塊用于丟棄對(duì)應(yīng)的所述源MAC地址。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述裝置還包括AD表，所述AD表中包括允許學(xué)習(xí)單元及禁止學(xué)習(xí)單元，若匹配成功，所述學(xué)習(xí)模塊用于將對(duì)應(yīng)的所述源MAC地址關(guān)聯(lián)至所述允許學(xué)習(xí)單元，若匹配失敗，所述學(xué)習(xí)模塊用于將對(duì)應(yīng)的所述源MAC地址關(guān)聯(lián)至所述禁止學(xué)習(xí)單元。