本發明揭示了一種鏡像802.1AE明文和密文的方法及交換芯片，應用于網絡通信技術領域。所述方法包括啟用端口鏡像功能，并配置端口鏡像模式；判斷鏡像模式與報文標識符邏輯與運算結果，若結果為非零，則當前報文滿足被鏡像的條件，則執行鏡像操作。本發明所述的鏡像802.1AE明文和密文的方法及交換芯片，功能靈活，應用于不同需求的場景，所述交換機芯片能夠感知當前處理的報文是明文還是密文，結合配置的鏡像模式，能夠靈活的鏡像802.1AE密文，或者明文，或者同時鏡像密文和明文。

技術領域

本發明涉及一種網絡通信技術領域，尤其是涉及一種靈活鏡像802.1AE明文和密文的方法及交換芯片。

背景技術

MACsec是一個用以保護局域網安全的主要協議，這一協議通過識別局域網上非授信站點來阻止其通信，從而保證網絡正常運行，同時還能保護信息完整性和保密信，并減少對二層協議的攻擊，很好的保護局域網不受被動接線、假冒、中間人以及部分拒絕任務攻擊等襲擊。

MACsec可為用戶提供安全的MAC層數據發送和接收服務，包括用戶數據加密、數據幀完整性校驗，使能了MACsec功能且啟用了MACsec保護的端口發送數據幀時，需要對它進行加密；使能了MACsec功能的端口收到經過MACsec封裝的數據幀時，需要對它進行解密。加解密所使用的秘鑰是收發雙方通過協議協商得到的。如果收發兩端之間存在第三方竊聽者，由于竊聽得到的是被加密過的數據，所以沒法竊取到報文三層及以上的內容，因此安全性得到了保證。

端口鏡像是指通過配置交換機或者路由器，把一個或多個端口的數據轉發到某一個端口，來實現對網絡的監聽，端口鏡像是對網絡流量監控的一個有效的安全手段，對監控流量的分析可以進行安全性的檢查，同時也能及時地在網絡發生故障時進行準確的定位。

現有技術方案802.1AE加解密模塊是在MAC上面實現的，交換機接收到一個802.1AE密文時，在MAC層解密，然后將解密后的明文送進交換機處理芯片；交換機芯片將需要發送出去的報文發送給MAC層，然后MAC層進行加密，最終從交換機發送出去的就是802.1AE密文；

在啟用MACsec功能的端口上啟用端口鏡像功能時，只能鏡像出802.1AE密文，不能鏡像出明文，或者不能同時鏡像出密文和明文。

發明內容

本發明的目的在于克服現有技術的缺陷，提供一種鏡像802.1AE明文和密文的方法及交換芯片，所述方法及交換芯片能夠鏡像出某個端口802.1AE密文或者明文，或者同時密文和明文。

為實現上述目的，本發明提出如下技術方案：一種鏡像802.1AE明文和密文的方法，其特征在于，包括如下步驟：

步驟1，啟用端口鏡像功能，并配置端口鏡像模式；

步驟2，判斷鏡像模式與報文標識符邏輯與運算結果，若結果為非零，則當前報文滿足被鏡像的條件，則執行鏡像操作。

優選地，所述端口鏡像模式選自不啟用鏡像、只鏡像明文、只鏡像密文，以及同時鏡像明文和密文中的一種，其中，

不啟用鏡像的配置命令為：mirrorMode[1：0]＝2′00；

只鏡像明文的配置命令為：mirrorMode[1：0]＝2′01；

只鏡像密文的配置命令為：mirrorMode[1：0]＝2′10；

同時鏡像明文和密文的配置命令為：mirrorMode[1：0]＝2′11。

優選地，所述報文標識符包括第一報文標識符和第二報文標識符，所述第一報文標識符表示報文是否需要解密，以及是否已完成解密，所述第二報文標識符表示報文是否需要加密，以及是否已完成加密。

優選地，所述第一報文標識符為(1，0)，則報文需要解密，且未完成解密操作；