[发明专利]限制交换机远程访问的方法及装置

权利要求书

1.一种限制交换机远程访问的方法，其特征在于，包括以下步 骤：

利用交换机的第一ACL对交换机预定端口收到的数据包报文进 行匹配处理；

把数据包报文内容与第一ACL中配置的字段完全相同的匹配数 据包报文交由交换机CPU进行处理；

把数据包报文内容与第一ACL中配置的字段不相同的失配数据 包报文交由在交换机所有端口生效的全局ACL进行处理；

其中，所述全局ACL进行的处理包括：

如果所述失配数据包报文的目的IP地址、目的MAC地址和目的 端口号与全局ACL中配置的相应字段相同，则作丢弃处理；

如果所述失配数据包报文的目的IP地址或目的端口号与全局 ACL中配置的相应字段不相同，并且是协议报文，则将所述失配数据 包报文交由交换机CPU进行处理。

2.根据权利要求1所述的方法，其特征在于，其中对于多次输 入用户密码的数据包报文，利用第二ACL进行匹配处理，丢弃数据包 报文内容与第二ACL中配置的字段完全匹配的数据包报文。

3.根据权利要求1或2所述的方法，其特征在于，其中所述第 一ACL中配置的字段包括：源IP地址，目的IP地址，源MAC地址、 目的MAC地址、VLAN id和目的端口号，其中源IP地址和源MAC地 址是远程同步过来的，目的IP地址、目的MAC地址、VLAN id和目 的端口号是交换机的固有配置。

4.根据权利要求3所述的方法，其特征在于，其中交换机定时 向网络内预先指定的网关同步远程访问报文的源IP地址和源MAC地 址，然后通过将同步过来的源IP地址、源MAC地址与交换机的Hash 存储表中的VLANid、目的IP地址、目的MAC地址、端口号进行组合 得到同步配置，并算出同步配置索引。

5.根据权利要求4所述的方法，其特征在于，其中交换机将根 据对应的第一ACL中配置的目的源IP地址、目的IP地址、源MAC地 址、目的MAC地址、VLAN id和目的端口号算出的第一ACL索引与所 述同步配置索引进行比较，并依据比较结果进行以下操作：

如果同步配置索引与第一ACL索引相同，则保持对应的第一ACL；

如果同步配置索引与第一ACL索引不同，则改变对应的第一ACL。

6.根据权利要求5所述的方法，其特征在于，其中，当同步配 置索引与对应的第一ACL索引不同时，交换机执行以下操作：

如果同步过来源IP地址和源MAC地址是一个新数据包报文的源 地址，则通过在交换机Hash存储表上拷贝所述同步配置，添加关于 所述新数据包报文的第一ACL，并将其绑定到端口上；

如果同步过来源IP地址和源MAC地址为空，则从端口上解除对 应的ACL绑定，然后从交换机的ASIC芯片上删除该对应的ACL。

7.一种限制交换机远程访问的装置，其特征在于包括：

匹配处理模块，用于利用交换机第一ACL对交换机预定端口收到 的数据包报文进行匹配处理；

匹配数据包报文处理模块，用于把数据包报文内容与第一ACL中 配置的字段完全相同的匹配数据包报文交由交换机CPU处理；

失配数据包报文处理模块，用于把数据包报文内容与第一ACL中 配置的字段不相同的失配数据包报文交由在交换机所有端口生效的 全局ACL处理；

其中，所述全局ACL处理包括：

如果所述失配数据包报文的目的IP地址、目的MAC地址和目的 端口号与全局ACL中配置的相应字段相同，则丢弃所述失配数据包报 文；

如果所述失配数据包报文的目的IP地址或目的端口号与全局 ACL中配置的相应字段不相同，并且是协议报文，则将所述失配数据 包报文交由交换机CPU进行处理。

8.根据权利要求7所述的装置，其特征在于，还包括禁止多次 输入用户密码模块，用于利用第二ACL对多次输入用户密码的数据包 报文进行匹配处理，丢弃数据包报文内容与第二ACL中配置的字段完 全匹配的数据包报文。