基于端口的网络访问控制方法 【技术领域】
本发明涉及网络通信技术领域,尤其涉及一种基于端口的网络访问控制方法。
背景技术
随着网络通信技术的发展,以太网已经广泛地应用于人们生活中,网络为人们的工作、生活提供了极大的便利,尤其是一些大中型企业网的应用,极大地方便了企业内部用户间,及内部用户与外部用户间的信息交互。
在企业网络中,如果用户接入网络的以太网交换机未提供相应的安全保护功能,则用户只要接入以太网交换机,便可以访问Internet(互联网)上的设备和资源,且构成Internet的TCP/IP(传输控制协议/网际协议)本身缺乏安全性,提供了一种开放式的环境,这样,自由、广泛地应用网络,以及黑客地“流行”,将使网络案例面临很大威胁,如机密泄漏、恶意攻击等。为此,作为企业内部网络之间通讯的关键设备的以太网交换机,必需在企业网内部提供充分的安全保护功能,以解决在开放式环境中的网络安全问题。
鉴于上述需要,现有的以太网交换机均提供了多种网络安全机制,其中基于端口的地址安全技术成为多种网络案例机制的一个重要的特点,所述的基于端口的地址安全技术是指以太网交换机对通过某个端口的数据包的传输进行相应的控制。
目前所采用的基于端口对接入用户访问网络进行控制和限制的方法可以归纳为以下几种,这几种安全技术主是通过限制端口学习MAC(介质访问控制)地址、查找MAC地址表、软件维护MAC地址表和绑定表检查等实现对接入网络的控制:
1、支持配置端口的学习状态:以太网交换机用户可以根据需要设置某个端口禁止学习新的MAC地址,使该端口仅允许以用户手工配置的静态MAC地址为源MAC地址的数据包通过,而来自于其它MAC地址的数据包则将因为相应的MAC地址无法学习到MAC地址表中被丢弃;
2、支持设置端口最多允许学习的MAC地址数:以太网交换机用户根据实际需要配置相应端口允许学习的MAC地址个数,当端口已经学习到允许的MAC地址个数后,将停止学习新MAC地址,直到部分MAC地址老化后,才可以学习新MAC地址,所以相应的以太网交换机端口只允许设置数量的接入用户接入网络,并进行正常的网络访问;
3、支持端口和MAC地址绑定:将MAC地址与对应的端口绑定,即在端口上配置静态MAC地址,并禁止该端口进行MAC地址学习,从而限定该端口上允许通过的报文的源MAC地址,来自其它MAC地址的报文均被丢弃;
4、支持广播报文转发开关:在端口上配置禁止目的地址为广播地址的报文从该端口转发,以防止Smurf攻击,所述的Smurf攻击为一种网络级的攻击:黑客向网络的广播地址发出大量的IP echo(IP回应)请求,所有请求都是用受害者的IP地址,这样网络上所有的计算机都会响应这些请求,向受害者计算机发出IP echo请求应答消息,导致网络拥塞。
上述现有技术在一定程度上起到了相应的网络访问控制作用,然而,在具体的应用过程中上述各种方法仍然无法满足网络访问控制的多种需求,因此上述现有技术仍存在以下缺点:
目前实现防地址假冒可以通过在MAC地址表中配置静态表项实现的,例如可以采用上述的方案1禁止端口学习MAC地址,或采用上述方案3将MAC地址与端口绑定,然而,MAC地址表中的静态表项一般是针对重要的MAC地址而言,如果把来自所有的端口的MAC地址都设成静态表项,那么一方面MAC地址表支持的可自学习的MAC地址数会大大减少,不方便那些灵活接入用户的需求;另一方面也不利于用户移动办公的需求,即用户移动至另一个端口时,如果MAC地址与端口绑定,则该用户将无法访问网络,所以对于不是非常重要的MAC地址通常不将其设置为静态表项,这就导致上述方案和方案3无法有效地避免MAC地址假冒现象。
上述的方案3尽管限制了相应端口学习MAC地址数量,即限制了通过某一端口接入网络的用户数量,但仍无法有效解决地址假冒问题。
现有技术所提供的方案4可以支持广播报文转发开关实现了可防止用户发送广播报文进行网络攻击,但当根据需要禁止转发广播报文时,可能会阻塞一些特殊报文的转发,如ARP(地址解析协议)报文,从而影响网络的正常通信。
除上述基于端口对接入用户访问网络进行控制和限制的方法外,现有技术中还提供了支持IP地址、MAC地址和VLAN ID(虚拟局域网标识)的绑定的网络访问控制方法,即当业务接入点收到一个IP报文时,以太网封装数据包头中的VLAN ID、源MAC地址和源IP地址必须分别符合绑定记录中VLAN ID、MAC地址和IP地址,否则该报文被视为无效并被丢弃。
该方案提供了支持IP地址、MAC地址和VLAN ID的相关绑定,但无法满足同一个端口下同一个用户有不同的VLAN ID,例如,某一端口下的同一用户可能属于不同公司或不同的项目组,一般不同公司或不同项目组的VLAN ID是不一样的,所以同一个用户可能发送不同VLAN ID的数据包,如果将VLAN ID与IP地址、MAC地址绑定便无法保证这类用户正常使用网络。而且,该方案只能对发送有IP地址(IP报文和ARP报文)的帧才适用,当发没有IP地址的帧(如协议报文)时,是得不到源IP地址的,所以这样的帧会被丢弃。另外,该方案的配置不灵活,处理方式单一,不能满足不同客户的需求,如客户只要求对源MAC地址绑定,该方案就无法实现。
由上述现有技术的描述还可以看出,现有技术无法防止用户发起的恶意攻击,其中包括合法源MAC地址发出恶意攻击的数据包,尤其对于发往服务器的攻击数据包,如果不有效地对其进行控制,将导致相应服务器无法正常提供相应的服务,给用户和网络运营商带来很大的损失;同时现有技术也无法抑制某个特定的MAC地址收发数据包,例如,需要禁止某一个未付费用户继续收发数据,则现有技术无法实现针对该未付费用户的数据收发进行限制。
【发明内容】
鉴于上述现有技术所存在的问题,本发明的目的是提供一种基于端口的网络访问控制方法,以克服现有技术的缺点,有效对非法接入网络的用户进行网络访问的控制。
本发明的目的是通过以下方案实现的:
所述的一种基于网络接入设备端口的网络访问控制方法,包括:
根据报文的地址信息,配置经过网络接入设备端口的报文的处理方式;
获取经过网络接入设备端口的报文的地址信息,并根据获取的地址信息及为该端口配置的针对相应报文的处理方式对该报文进行处理。
基于网络接入设备端口的网络访问控制方法进一步包括:
a、为网络接入设备端口配置接入用户的用户地址信息及对应的报文处理方式,所述的用户地址信息包括接入用户的MAC(介质访问控制)地址信息和/或IP(网际协议)地址信息;
b、获取经网络接入设备端口传输来的报文中承载的用户地址信息;
c、根据获取的用户地址信息及为该端口配置的用户地址信息对应的报文的处理方式对所述的报文进行处理。
所述的步骤c包括:
c1、判断获取的接入用户的MAC地址和IP地址为该端口配置的合法接入用户的MAC地址和IP地址是否匹配,如果匹配,则执行步骤c3,否则,执行步骤c2;
c2、丢弃该报文;
c3、继续报文的转发处理过程。
所述步骤a还包括:配置网络接入设备支持的VLAN ID(虚拟局域网标识)与VLAN ID的成员的对应关系,所述的VLAN ID的成员为网络接入设备的端口。
所述的步骤a中的配置信息采用两张表的进行保存,其中:
第一张表包括:
端口信息字段:用于记录需要对其进行绑定配置的端口信息,即端口号或端口列表;
MAC地址字段:用于记录与相应端口对应的MAC地址信息,即配置允许经该端口进入网络的报文的源MAC地址;
IP地址字段:用于记录与相应端口对应的IP地址信息,即配置允许经该端口进入网络的报文的源IP地址;
第二张表包括:
VLAN ID字段:用于记录以太网交换机支持的VLAN ID信息;
VLAN ID对应的端口字段:记录与以太网交换机支持的VLAN ID对应的一个或一组端口信息。
所述的步骤c3包括:
c31、判断获取的接入用户的VLAN ID与为该端口支持的VLAN ID是否匹配,如果匹配,则执行步骤c32,否则,执行步骤c33;
c32、判断该报文进入网络接入设备所使用的端口是否为配置的VLAN ID的成员,如果是,则继续报文的转发处理过程,否则,丢弃该报文;
c33、丢弃该报文。
所述的步骤c33包括:
判断该端口对于未知VLAN的报文是否设置为允许透传,如果是,则根据基于该端口的VLAN透传配置方式进行报文的转发,否则,丢弃该报文。
基于网络接入设备端口的网络访问控制方法进一步包括:
d、根据经网络接入设备端口转发的报文的目的地址配置经过该端口的报文的处理方式;
e、获取经网络接入设备端口转发的报文的目的地址信息,并根据获取的目的地址对该报文进行相应的处理。
所述的步骤d为:
根据经网络接入设备端口转发的报文的目的地址配置允许或禁止转发经过该端口的报文。
所述的步骤d还包括:
根据经网络接入设备端口转发的报文的目的地址配置允许转发经过该端口的报文的数量。
所述的目的地址包括:
广播地址、未知单播地址、未知多播地址、服务器的地址和特定的MAC地址。
所述的步骤e包括:
e1、获取经网络接入设备端口转发的报文的目的地址信息;
e2、根据获取的目的地址信息和步骤d配置的目的地址判断是否允许该报文转发,如果允许,则执行e3,否则,丢弃该报文;
e3、判断该端口转发的该种类目的地址的报文的数量是否超过设定的数值,如果超过,则丢弃该报文,否则,对该报文进行相应的转发处理。
步骤e3所述的对该报文进行相应的转发处理为:
将该报文根据在该端口中配置的对该类型目的地址的报文的转发处理方式进行转发处理,其中:
对于广播报文,向以太网交换机内同一VLAN内所有端口转发;
对于未知单播报文和未知多播报文,根据该以太网交换机端口上配置的该类型报文的转发目的地进行报文的转发;
对于发往服务器的报文或发往特定目的MAC地址的报文,则将报文转发至相应的服务器或特定的目的MAC地址。
本发明中,为在MAC地址表中保存所述的步骤a和d中相应的端口配置信息,需要在所述的MAC地址表中分别设置以下字段:
目的MAC地址过滤字段:根据该字段确定报文是否需要根据目的MAC地址进行过滤;
源MAC地址过滤字段:根据该段确定报文是否需要根据源MAC地址进行过滤;
目的MAC地址字段:将确定需要根据目的MAC地址进行过滤的报文的目的MAC地址与该字段中的MAC地址进行匹配,确定针对该报文的转发处理方式;
源MAC地址字段:将确定需要根据源MAC地址进行过滤的报文的源MAC地址与该字段中的MAC地址进行匹配,确定针对该报文的处理方式;
端口信息字段:将确定需要根据源MAC地址或目的MAC地址进行过滤的报文进入网络接入设备的端口与该字段中的端口信息进行匹配,从而确定需要与该报文中的源MAC地址或目的MAC地址匹配的位于源MAC地址或目的MAC地址字段中的MAC地址信息;
所述的表中还需要设置静态表项字段:根据该字段确定表项中的MAC地址对应的属性是否可以修改。
由上述技术方案可以看出,本发明将用户源MAC地址、源IP地址与以太网交换机端口绑定,用户的VLAN ID与以太网交换机支持的VLAN ID绑定,以太网交换机端口与用户VLAN ID对应的成员绑定的技术方案,因此,可以有效地防止防止假冒源MAC地址、源IP地址、VLAN ID的非法用户恶意访问或攻击网络。本发明中还针对报文的目的地址对经网络接入设备端口进入网络的报文进行了相应的访问限制,包括针对广播报文、单播报文、多播报文、发送给服务器的报文,以及特定目的MAC地址的报文的网络访问控制,因此,本发明还可以有效地防止合法用户假冒某些目的MAC地址恶意攻击网络,以及根据需要控制特定用户的数据收发,例如某个用户因欠费需停机,需要禁止该用户继续收发数据,此时,网络管理员只需在MAC地址表中设置对应该MAC地址的目的地址过滤和源地址过滤,以满足相应的网络访问控制需求,避免欠费用户恶意攻击网络或继续享受网络的服务。另外,本发明的实现还可以阻止合法用户随意移动上网,有效地避免了用户移动上网窃取他人技术资料等现象的发生。
【附图说明】
图1为本发明的具体实施方式流程图;
图2a为本发明建立的单播MAC地址表的结构示意图;
图2b为本发明建立的多播MAC地址表的结构示意图;
图2c为本发明建立的MAC地址、IP地址和端口绑定的表的结构示意图;
图2d为本发明建立的VLAN ID和VLAN ID对应的成员绑定的表的结构示意图;
图3为图1中的步骤12和步骤13的具体实施方式流程图;
图4为图1中的步骤14的具体实施方式流程图。
【具体实施方式】
本发明的核心思想是分别根据经过网络接入设备端口的报文的源地址信息和目的地址信息对其进行相应的网络访问控制,从而为网络的安全提供保证,即:将通过网络接入设备端口接入网络的用户的MAC地址、IP地址或VLANID与相应的端口绑定,同时,还根据报文的目的MAC地址对报文的转发处理方式进行控制管理,为网络的安全提供了有效的保证。
现结合附图对本发明的具体实施方式作进一步说明,首先,参见图1,对本发明所述的方法进行说明,具体包括以下步骤:
步骤11:根据进入网络的报文的地址信息,在网络接入设备端口(通常为以太网交换机端口)处配置经该端口的报文的转发处理方式;
所述的报文的地址信息包括源地址信息和目的地址信息,其中,源地址信息为接入用户的地址信息,包括:报文的源MAC地址信息和源IP地址信息,在应用过程中,可以配置合法接入用户的源MAC地址信息和源IP地址信息;目的地址信息为:报文的目的MAC地址信息,在应用过程中,可以配置限制转发的报文的目的MAC地址信息,如广播地址、特定目的MAC地址等;
上述配置的地址信息可以以表的形式保存,例如,可以在以太网交换机上创建包含以下字段的MAC地址表进行相应地址信息的保存,参见图2a和图2b,具体包括:
目的MAC地址字段:用于记录目的MAC地址信息,即用于记录用户静态配置的经过相应以太网交换机端口进入网络的报文的目的MAC地址信息,在该字段中记录目的MAC地址信息,当与其对应的目的MAC地址过滤字段设置为有效时,则对于目的MAC地址为该字段中记录的MAC地址的报文将作丢弃处理;该字段可以为单播MAC地址、多播MAC地址,且多播MAC地址对应的端口信息字段中为以太网交换机的所有端口;
源MAC地址字段:用于记录源MAC地址信息,即用于记录学习的MAC地址或用户静态配置的接入用户的MAC地址信息,在该字段中记录一个源MAC地址,当与其对应的源MAC地址过滤字段设置为有效时,则对于源MAC地址为该字段中记录的MAC地址的报文将作丢弃处理;该字段是现有MAC地址表中的字段;
端口信息字段:用于记录相应配置的端口号,即所有的配置是基于端口的配置,每一条配置信息均需要对应一个具体的端口,或对应一组端口;
目的MAC地址过滤字段:该字段用于记录是否根据目的MAC地址对报文的转发处理方式进行处理,即:当该字段有效时,将目的MAC地址为该字段对应的MAC地址字段中记录的MAC地址的报文作丢弃处理;
源MAC地址过滤字段:该字段用于记录是否根据源MAC地址对报文的转发处理方式进行处理,即:当该字段有效时,将源MAC地址为该字段对应的MAC地址字段中记录的MAC地址的报文作丢弃处理;
静态表项字段:用于记录表项中的MAC地址对应的属性是否可以修改,当该字段有效时,该表项中的MAC地址对应的属性均不可以被修改,所述的MAC地址对应的属性包括:时间标签、镜像标志、端口号等,例如,配置相应端口信息字段时,不希望配置的信息被修改,则将该字段设置为有效;
本发明中还可以设置包含以下字段的表保存与端口绑定的MAC地址和IP地址,如图2c所示,表中的MAC地址和IP地址配置可以根据需要进行设置,从而使用利用本发明进行网络访问控制时,可以选择端口与MAC地址绑定,端口与IP地址绑定,或端口与MAC地址和IP地址绑定等技术方案分别实现,表中包含的字段为:
端口信息字段:用于记录需要对其进行绑定配置的端口信息,即端口号或端口列表;
MAC地址字段:用于记录与相应端口对应的MAC地址信息,即配置允许经该端口进入网络的报文的源MAC地址;
IP地址字段:用于记录与相应端口对应的IP地址信息,即配置允许经该端口进入网络的报文的源IP地址;
利用上述表将端口与MAC地址绑定或与IP地址绑定时,可以有效地防止用户移动至另一个端口进行网络访问;
为了进一步保证对接入报文的有效控制,还可以在基于报文的地址信息的基础上根据通过相应端口接入网络的用户的VLAN ID信息配置经过该端口的报文的转发处理方式,此时,还需要增加设置包含VLAN ID字段和VLAN ID的成员字段的VLAN ID绑定表,如图2d所示,用于记录以太网交换机支持的VLANID及VLAN ID的成员信息,VLAN ID的成员为对应的以太网交换机的端口,即配置允许以太网交换机支持的VLAN ID向外发送报文所应用的端口,从而使接入用户发送出来的报文在根据其源MAC地址和源IP地址检查其合法性的基础上,还可以根据其VLAN ID进一步检查其合法性,从而进一步保证了网络通信的安全;本发明中还可以仅选择端口与合法接入用户的VLAN ID绑定实现网络访问控制,即仅利用图2d所示的VLAN ID绑定表记录相应的内容,实现网络访问控制;当然,对于那些不信任用户的VLAN ID而直接使用自己配置的端口的VIAN ID进行数据包的收发的以太网交换机来说,则无需根据用户的VLANID配置经过该端口的报文的转发处理方式;
步骤12:用户待发送的报文经以太网交换机端口接入网络,获取所述报文的源MAC地址信息和源IP地址信息;
步骤13:根据获取的源地址MAC信息和源IP地址信息确定对该报文的处理方式,并进行相应的处理;
即:将获取的源地址MAC信息和源IP地址信息与在该端口配置的相应的源地址MAC信息和源IP地址信息进行匹配,并根据匹配结果确定对该报文的转发处理方式,或者正常地对报文进行转发,或者将报文丢弃,或者执行步骤14,根据目的MAC地址对报文的转发处理方式作进一步认定;
当在所述端口配置的是合法接入用户的源MAC地址信息和源IP地址信息,则当匹配通过时,进行下一步的VLAN ID检查及目的MAC地址检查。
获取报文中的VLAN ID信息,并根据用户的VLAN ID配置,进一步确定针对该报文的转发处理方式,如果配置的是合法接入用户的VLAN ID信息,则当匹配通过时,正常转发报文,否则,丢弃该报文;
步骤14:获取经以太网交换机端口的进入网络的报文中的目的MAC地址信息,并根据目的MAC地址确定对该报文的转发处理方式;
当根据端口的配置信息确定需要对经过该端口的报文根据目的MAC地址进行过滤处理时,则获取报文中的目的MAC地址,并将获取的目的MAC地址与前面所述的MAC地址表表项中的目的MAC地址字段匹配,并根据匹配结果确定对该报文的转发处理方式。
经过步骤11至步骤14的处理过程可以看出,本发明实现了基于端口对接入网络用户进行相应的网络访问控制,即对经以太网交换机端口接入网络的用户所发送的报文的转发处理方式根据需要进行了相应的限定。
其中,步骤12和步骤13描述的处理过程的实质为:根据接入用户的地址信息和/或接入用户的VLAN ID信息确定报文的转发处理方式,即将用户的地址信息和/或接入用户的VLAN ID信息与用户接入网络时使用的以太网交换机端口绑定,并将经过以太网交换机端口进入网络的报文根据发送该报文的接入用户的地址信息对其进行相应的转发处理,所述的地址信息包括用户的MAC地址、IP地址,所述的接入用户的VLAN ID信息则可选地与端口绑定,在以太网交换机端口上将合法用户的地址信息与对应的端口绑定,同时将接入用户的VLAN ID信息与以太网交换机支持的VLAN ID绑定,端口与接入用户的VLANID绑定,绑定用户的数目可以根据需要设置,这样,通过检查该端口上绑定的用户的地址信息及接入用户的VLAN ID信息便可以确定从该端口进入网络的报文的转发处理方式。下面首先结合图3对前面所述的步骤12和步骤13作进一步说明,以将接入用户的MAC地址、IP地址与对应的端口绑定,及以太网交换机支持的VLAN ID与VLAN ID的成员绑定,所述的VLAN ID的成员为对应以太网交换机的各端口,通常所述的VLAN ID的成员是以端口列表的形式表示的,具体包括以下各步骤:
步骤31:接入用户发送的报文从以太网交换机端口进入网络,获取所述报文的源MAC地址和源IP地址;
步骤32:将获取的源MAC地址和源IP地址与该以太网交换机端口上绑定的用户地址信息中的源MAC地址和源IP地址信息匹配,如果匹配,则针对该报文的用户地址信息检查通过,执行步骤34,否则,针对该报文的用户地址信息检查未通过,执行步骤33
步骤33:确定该报文为不合法报文,并丢弃该报文;
步骤34:进一步进行VLAN ID是否合法的检查,即获取进入网络的报文中承载的VLAN ID;
步骤35:将获取的VLAN ID与该以太网交换机上绑定的VLAN ID信息匹配,并判断是否匹配通过,如果匹配通过,执行步骤36,否则,执行步骤38;
步骤36:进一步确定与其匹配的VLAN ID对应的端口列表中是否包含该端口,即报文进入网络时使用的端口,如果包含该端口,则针对该报文的VLANID检查通过,执行步骤37,否则,针对该报文的VLAN ID检查未通过,执行步骤33;
步骤37:对报文进行正常地转发处理,即通过查找MAC地址表确定目的转发端口,并将报文通过确定的端口转发出去;
通常如果无需对其执行前面所述的步骤14进行目的地址检查,则直接对报文进行正常的转发处理即可,如果需要执行步骤14对该报文作进一步的目的地址是否合法的检查,则需要转至步骤14;
步骤38:确定该以太网交换机端口是否支持VLAN透传,如果支持,则执行步骤39,否则,执行步骤33;
以太网交换机端口是否支持VLAN透传可以由用户根据需要进行配置,如果支持VLANLAN透传,用户还需要根据需要配置相应的透传转发方式,并将需要透传的报文根据配置的转发方式进行透传;
在目前的通信系统中,为节省以太网交换机资源,通常仅令其支持一定数量的VLAN ID,对于以太网交换机不支持的VLAN ID的数据包,为保证用户正常收发相应的数据包,便需要以太网交换机支持对该类数据包的透传;对于用户的VLAN ID不在以太网交换机支持的VLAN ID内的情况,是否允许透传该类报文通常为基于以太网交换机端口可配置。
步骤39:将报文按照该以太网交换机端口上关于VLAN透传配置的转发方式进行报文的转发。
图1中的步骤14的处理过程实质为:将接入网络用户发送的报文根据报文中承载的目的地址信息确定相应的转发处理方式,并根据确定的转发处理方式对报文进行处理。为实现该方案首先需要在以太网交换机端口上配置目的MAC地址及对应报文的转发处理方式,所述的目的MAC地址可以为广播地址、单播地址、多播地址、服务器地址、特定的MAC地址,从而可以根据由该以太网交换机端口进入网络的报文的目的MAC地址对所述报文进行相应的访问控制,例如,控制广播报文的转发处理方式,或者限制广播报文的转发,或者限制广播报文的转发数量,等等。具体参见图4所示,包括以下步骤:
步骤41:确定需要对由该以太网交换机端口进入网络的报文进行目的MAC地址的过滤处理;
步骤42:获取报文中承载的目的MAC地址;
步骤43:根据获取的报文的目的MAC地址信息查找该以太网交换机端口上配置的该报文的转发处理方式;
步骤44:判断所述报文的转发处理方式是否为丢弃,如果是,则执行步骤45,否则,执行步骤46;
步骤45:丢弃该报文;
步骤46:判断经过该以太网交换机端口正常处理的该目的MAC地址的报文数量是否超过设定的数值,如果超过,则执行步骤45,否则,执行步骤47;
步骤47:根据该以太网交换机端口上配置的对该报文的转发方式对报文进行转发处理,包括:
对于广播报文,则向以太网交换机内同一个VLAN内的所有端口转发该报文;
对于未知单播报文和未知多播报文,则根据该以太网交换机端口上配置的该类型报文的转发目的地址进行报文的转发;
对于发往服务器的报文或发往特定目的MAC地址的报文,则将报文转发至相应的服务器或特定的目的MAC地址。
本发明中针对报文目的MAC地址的网络访问控制,可以根据需要进行选择设置,即根据需要使能针对报文目的MAC地址的网络访问控制功能,或禁止该功能。本发明中提供了分别针对广播报文、未知单播报文、未知多播报文、发往服务器的报文及发往特定MAC地址的报文中目的MAC地址的网络访问控制功能,且各个功能可以各自独立地使能或禁止。