[发明专利]地址监控方法及装置

说明书

技术领域

本发明涉及通信领域中业务支撑技术，具体地，涉及地址监控方法及装置。

背景技术

目前大部分网管发现IP地址盗用的常用方法是定期扫描网络各路由器的地址解析协议(address resolution protocol，简称ARP)表，获得当前正在使用的IP地址以及IP-MAC对照关系，与合法的IP地址表，IP-MAC表对照，如果不一致则有非法访问行为发生，然后清除ARP表中非法IP。另外，从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上，常用的防范机制还有：IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。还有手工查找方式：此方式需要登录交换机查找对应端口下的MAC地址，登录核心交换机查看ARP表，手工方式繁琐，切可能查询到相关信息时，非法盗用者已经离开，无法进行有效的监控。

发明人发现现有技术中至少存在如下问题：现有监控方式都有一定局限性，如IP-MAC捆绑技术用户管理十分困难；透明网关技术需要专门的机器进行数据转发，该机器容易成为瓶颈。发明人发现现有机制都没有完全从根本上防止IP地址盗用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源。由于IP地址盗用者仍然具有IP子网内完全活动的自由，因此一方面这会干扰合法用户的使用：另一方面可能被盗用者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器，盗用者还可以通过种种手段获得网外资源。

发明内容

本发明的第一目的是提出一种地址监控方法，以实现及时发现非法地址。

本发明的第二目的是提出一种地址监控装置，以实现及时发现非法地址。

为实现上述第一目的，根据本发明的一个方面，提供了一种地址监控方法，包括：接收三层设备的地址解析协议ARP信息；在监听到ARP信息变化时，根据变化的ARP信息中的IP地址获得对应的MAC地址；根据MAC地址查找二层和/或三层设备的端口MAC地址对应信息，获得IP地址对应的接入设备端口。

还可以包括：将IP地址与接入设备端口合法的IP地址进行比较，判断IP地址是否为非法地址；判断IP地址非法后，进行监控告警和/或封闭接入设备端口。

还可以包括：监控二层和/或三层设备的端口MAC地址对应信息，并与合法的端口MAC地址对应信息进行比较，判断是否出现非法MAC地址；和/或将监控的三层设备的ARP信息与合法的IP地址与MAC地址的对应关系进行比较，判断是否出现非法IP地址或MAC地址。

优选地，根据MAC地址查找二层和/或三层设备的端口MAC地址对应信息，获得IP地址对应的接入设备端口可以包括：根据MAC地址获得IP地址对应的二层或三层设备接入端口；当二层或三层设备接入端口为级联端口时，查找下级设备端口MAC地址对应信息；根据下级设备的端口MAC地址对应信息，查找IP地址对应的下级设备接入端口，直至最终获得的接入设备端口为非级联端口；将最终查找的非级联接入设备端口作为IP地址对应的接入设备端口。

根据下级设备的端口MAC地址对应信息，查找IP地址对应的下级设备接入端口，直至最终获得的接入设备端口为非级联端口可以包括：在已建立的单队列数据存储结构中，当待查找的下级设备端口MAC地址对应信息未存储在单队列数据存储结构中，在单队列数据存储结构中的可用存储位置按顺序存储查找到的下级设备端口MAC地址对应信息；否则从单队列数据存储结构中直接提取。

上述方法可以通过简单网络管理协议SNMP接收ARP信息以及端口MAC地址对应信息；其中，三层设备包括核心路由器、核心交换机、汇聚交换机。

为实现上述第二目的，根据本发明的另一个方面，提供了一种地址监控装置，包括：接口模块，用于接收三层设备的地址解析协议ARP信息，以及二层和/或三层设备的端口MAC地址对应信息；处理模块，用于监听到ARP信息变化时，根据变化的ARP信息中的IP地址获得对应的MAC地址；根据MAC地址查找二层和/或三层设备的端口MAC地址对应信息，获得IP地址对应的接入设备端口。

本发明各实施例的地址监控方法及装置，可以进行实时监控，并及时发现变化的IP地址对应的接入设备端口，如果为非法IP地址可以及时阻断非法IP的物理连接，解决现有技术中没有完全从根本上防止IP地址盗用行为的危害，不仅可以阻断访问外部资源，还可以阻断内网非法IP地址盗用情况。