專利名稱:一種報(bào)文過濾方法和交換設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,具體而言,涉及一種報(bào)文過濾方法和交換設(shè)備�。
背景技術(shù):
IPv6 Source Guard是一種基于IPv6地址和MAC地址的端口流量過濾技術(shù),它可 以防止局域網(wǎng)內(nèi)的IPv6地址欺騙攻擊�。交換機(jī)內(nèi)部有一個(gè)IPv6源地址綁定表作為每個(gè)端 口接收到的數(shù)據(jù)包的檢測(cè)標(biāo)準(zhǔn)。只有在兩種情況下����,交換機(jī)會(huì)轉(zhuǎn)發(fā)數(shù)據(jù)——或者所接收 到的IPv6包滿足IPv6源地址綁定表中P0RT/IPv6/MAC的對(duì)應(yīng)關(guān)系,或者是接收到的是 DHCPv6數(shù)據(jù)包���,其余數(shù)據(jù)包將被交換機(jī)做丟棄處理���。當(dāng)DHCPv6 SNOOPING在一個(gè)非 信任口啟用的時(shí)候,啟用它上面的IPv6 source guard�����,交換機(jī)將阻止非信任口上收到的所 有IP流量����。用戶上線后,這個(gè)端口上將基于DHCPv6 SNOOPING綁定數(shù)據(jù)庫生成一條 端口訪問控制列表�����,這條訪問控制列表僅允許在ACL策略中存在的源地址的IP流量�����,并 阻止其他的流量��。當(dāng)前的IPv6源地址綁定表一般都是基于DHCPv6 SNOOPING綁定表�。 DHCPv6SN00PING是一個(gè)基于DHCPv6的功能。它通過監(jiān)聽DHCPv6用戶同DHCPv6 SERVER的報(bào)文交互來生成綁定表�����,并使用綁定表對(duì)接入用戶進(jìn)行控制���。在一個(gè)典型的 DHCPv6交互過程中��,參見圖1��,根據(jù)相關(guān)技術(shù)的IPv6 Source Guard的通用解決方案流 程�����,包括如下三個(gè)部件���,用戶102��、交換設(shè)備104以及服務(wù)器106��,以上三個(gè)部件執(zhí)行如 下步驟S101�����,在交換設(shè)備上開啟DHCPv6 SNOOPING功能��,在用戶直連的交換設(shè)備端 口開啟IPv6Source Guard功能��,在開啟IPv6 Source Guard功能時(shí)��,下載ACL策略���;S102,當(dāng)交換設(shè)備收到DHCPv6用戶會(huì)向服務(wù)器發(fā)送的一個(gè)Solicit報(bào)文(請(qǐng)求 報(bào)文),該報(bào)文被設(shè)備中的DHCPv6 SNOOPING模塊監(jiān)聽到后進(jìn)行處理����,并轉(zhuǎn)發(fā)給服務(wù) 器;S103�����,服務(wù)器收到此報(bào)文后��,封裝響應(yīng)報(bào)文Advertise(通知報(bào)文)�����,在封裝此報(bào) 文時(shí)需要填充二層頭��,此時(shí)服務(wù)器先在自己的緩存中查找用戶的二層頭地址���,如果沒有 找到����,則向用戶發(fā)送一個(gè)鄰居請(qǐng)求NS (Neighbor Solicitation)報(bào)文����;S104,用戶收到NS報(bào)文后,發(fā)送一個(gè)NA(Neighbor Advertisement)報(bào)文通告服
務(wù)器自己的二層地址�����;S105,服務(wù)器依據(jù)此NA報(bào)文更新緩沖信息��,并填充報(bào)文Advertise的二層頭, 然后發(fā)給交換設(shè)備�����,設(shè)備上的DHCPv6 SNOOPING處理后轉(zhuǎn)發(fā)給用戶���;S106�����,用戶處理完Advertise報(bào)文后�,向服務(wù)器發(fā)送Request報(bào)文(請(qǐng)求報(bào)文)以 請(qǐng)求地址�;S107,服務(wù)器回復(fù)Reply(響應(yīng)報(bào)文)確認(rèn)對(duì)地址的分配;交互完成后�����,DHCPv6 SNOOPING模塊將生成綁定表���,下ACL策略����,轉(zhuǎn)發(fā)給用戶���。
可見����,在啟用IPv6 Source Guard到時(shí)候就下了一條ACL策略以便在正常 DHCPv6報(bào)文交換的過程中���,DHCPv6服務(wù)器期待的響應(yīng)報(bào)文NA報(bào)文可以通過�。從圖1 中的步驟可以看出�����,每個(gè)端口都多占用了一條ACL策略并且用戶在沒有通過DHCPv6服 務(wù)器獲得IP地址時(shí)也可以訪問本地網(wǎng)絡(luò)���。在開啟IPv6 Source Guard的場(chǎng)景下�����,當(dāng)用戶和服務(wù)器交互到步驟S103-步驟 S105并且服務(wù)器沒有在緩存中查找的用戶的二層頭地址時(shí)��,會(huì)向用戶發(fā)送NS以詢問其二 層地址��。由于此時(shí)用戶沒有上線�����,在過濾表中不存在用戶的信息�,因此任何報(bào)文都將被 過濾,包括用戶的響應(yīng)報(bào)文NA�����。服務(wù)器收不到NA報(bào)文����,就無法填充二層頭,導(dǎo)致不能 發(fā)出Advertise報(bào)文��,正常的DHCPv6交互過程不能完成?���,F(xiàn)有技術(shù)中,一般都是通過在啟用Ipv6 Source Guard的時(shí)候下ACL策略來解
決��。大致有三種方法���。第一種是在啟用Ipv6 Source Guard的時(shí)候����,下一條ACL策略,只 要IPv6源地址是FE80開頭的報(bào)文都讓它通過(注FE80開頭的地址是本地鏈路地址)��; 第二種方法是使用ACL非自定義模式��,由于非自定義模式能匹配的報(bào)文的長度有限制�, 因此只能下一條讓ICMPv6報(bào)文通過的策略;第三種是使用自定義的ACL模式���,可以匹 配到較長的位置����,下一條讓NS和NA通過的報(bào)文�����。這三種方法都有缺陷第一種方法 下�����,使用本地鏈路地址作為源地址的用戶協(xié)議報(bào)文和數(shù)據(jù)報(bào)文仍然可以訪問本地網(wǎng)絡(luò)����, 并沒有起到過濾的作用��;第二種方法�,過濾了源地址是本地鏈路地址的數(shù)據(jù)報(bào)文�����,但是 使得Ping報(bào)文也可以通過���;第三種方法只讓NS和NA通過,但是使用了一條寶貴的自定 義模式下的ACL資源�,而自定義模式下的ACL資源數(shù)量和非自定義模式相比非常有限。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種報(bào)文過濾方法和交換設(shè)備����,以解決相關(guān)技術(shù)中 過濾報(bào)文時(shí)產(chǎn)生的浪費(fèi)ACL資源的問題。根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種報(bào)文過濾方法�,包括如下步驟交換設(shè)備 根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)訪問控制列表ACL策略;所述交換設(shè)備向所述用戶轉(zhuǎn) 發(fā)服務(wù)器發(fā)送的鄰居請(qǐng)求NS報(bào)文���;所述交換設(shè)備判斷所述用戶發(fā)送的響應(yīng)于所述鄰居請(qǐng) 求NS報(bào)文的鄰居通知NA報(bào)文是否與所述臨時(shí)ACL策略匹配����;若匹配,則所述交換設(shè)備 進(jìn)行所述用戶和所述服務(wù)器之間的報(bào)文轉(zhuǎn)發(fā)����,并刪除所述臨時(shí)ACL策略。進(jìn)一步地�,所述交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)ACL策略的步驟包 括從所述請(qǐng)求報(bào)文中獲取所述用戶的源二層地址和源三層地址;根據(jù)所獲取的源二層 地址和源三層地址生成所述臨時(shí)ACL策略�。進(jìn)一步地,根據(jù)所獲取的源二層地址和源三層地址生成所述臨時(shí)ACL策略的步 驟包括獲取所述用戶的源二層的MAC地址和源三層的IPv6地址�,并將所述MAC地址 和所述IPv6地址組合為臨時(shí)ACL策略。進(jìn)一步地����,所述交換設(shè)備判斷所述NA報(bào)文是否與所述臨時(shí)ACL策略匹配的步 驟包括判斷所述NA報(bào)文中的MAC地址和IPv6地址是否與所述臨時(shí)ACL策略中的 MAC地址和IPv6地址相同,若相同����,則判斷出所述NA報(bào)文與所述臨時(shí)ACL策略匹配�����; 否則���,判斷出所述NA報(bào)文與所述臨時(shí)ACL策略不匹配���。進(jìn)一步地�,在交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)ACL策略時(shí)�����,報(bào)文過
5濾方法還包括將當(dāng)前使用的ACL策略更新為所述臨時(shí)ACL策略�����,并啟用臨時(shí)ACL策 略定時(shí)器����。進(jìn)一步地,刪除所述臨時(shí)ACL策略的步驟包括若所述臨時(shí)ACL策略定時(shí)器超 時(shí)�,則刪除所述臨時(shí)ACL策略。進(jìn)一步地�����,在所述交換設(shè)備進(jìn)行所述用戶和所述服務(wù)器之間的報(bào)文轉(zhuǎn)發(fā)之后���, 報(bào)文過濾方法還包括所述交換設(shè)備生成用戶數(shù)據(jù)綁定表��,其中����,所述用戶數(shù)據(jù)綁定表 用于在所述用戶獲得IPv6地址之后,允許所述用戶訪問所述服務(wù)器�。根據(jù)本發(fā)明的另一方面,提供了一種交換設(shè)備��,包括生成單元����,用于根據(jù)用 戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)ACL策略;轉(zhuǎn)發(fā)單元��,用于向所述用戶轉(zhuǎn)發(fā)服務(wù)器發(fā)送的NS 報(bào)文��;判斷單元���,用于判斷所述用戶發(fā)送的響應(yīng)于所述NS報(bào)文的NA報(bào)文是否與所述臨 時(shí)ACL策略匹配��;處理單元,用于在所述判斷單元判斷出所述用戶發(fā)送的響應(yīng)于所述NS 報(bào)文的NA報(bào)文與所述臨時(shí)ACL策略匹配時(shí)����,進(jìn)行所述用戶和所述服務(wù)器之間的報(bào)文轉(zhuǎn) 發(fā),并刪除所述臨時(shí)ACL策略�����。進(jìn)一步地,所述生成單元包括獲取模塊����,用于從所述請(qǐng)求報(bào)文中獲取所述用 戶的源二層地址和源三層地址;生成模塊�����,用于根據(jù)所獲取的源二層地址和源三層地址 生成所述臨時(shí)ACL策略����。進(jìn)一步地,所述獲取模塊包括獲取子模塊�,用于獲取所述用戶的源二層的 MAC地址和源三層的IPv6地址;所述生成模塊包括生成子模塊�����,用于將所述MAC地 址和所述IPv6地址組合為臨時(shí)ACL策略����。通過本發(fā)明,采用一個(gè)生成臨時(shí)ACL策略和刪除ACL策略的機(jī)制����,解決了相關(guān) 技術(shù)中過濾報(bào)文時(shí)產(chǎn)生的浪費(fèi)ACL資源的問題��,進(jìn)而達(dá)到了在減少對(duì)ACL資源浪費(fèi)的前 提下���,又實(shí)現(xiàn)了 IPv6 Source Guard的基本功能,保障了網(wǎng)絡(luò)的安全性的效果�。
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分����,本 發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定���。在附圖 中圖1是根據(jù)相關(guān)技術(shù)的IPv6 Source Guard的通用解決方案流程圖�;圖2是根據(jù)本發(fā)明實(shí)施例的報(bào)文過濾方法的一種優(yōu)選流程圖�;圖3是根據(jù)本發(fā)明實(shí)施例的交換設(shè)備的一種優(yōu)選結(jié)構(gòu)框圖;圖4是根據(jù)本發(fā)明實(shí)施例的報(bào)文過濾方法的網(wǎng)絡(luò)結(jié)構(gòu)示意圖�����;圖5是根據(jù)本發(fā)明實(shí)施例的報(bào)文過濾方法的另一種優(yōu)選流程圖����。
具體實(shí)施例方式下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明。需要說明的是�,在不沖突 的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合��。實(shí)施例1圖2是根據(jù)本發(fā)明實(shí)施例的報(bào)文過濾方法的一種優(yōu)選流程圖�����,包括如下步驟S202�,交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)ACL策略;
S204,交換設(shè)備向用戶轉(zhuǎn)發(fā)服務(wù)器發(fā)送的NS報(bào)文��;S206���,交換設(shè)備判斷用戶發(fā)送的響應(yīng)于NS報(bào)文的NA報(bào)文是否與臨時(shí)ACL策略
匹配����;S208�����,若匹配�����,則交換設(shè)備進(jìn)行用戶和服務(wù)器之間的報(bào)文轉(zhuǎn)發(fā),并刪除臨時(shí) ACL策略�。優(yōu)選的,交換設(shè)備在報(bào)文轉(zhuǎn)發(fā)的交互完成或超時(shí)的情況下刪除臨時(shí)ACL策 略��。在本優(yōu)選實(shí)施例中��,采用一個(gè)生成臨時(shí)ACL策略和刪除ACL策略的機(jī)制�����,解決 了相關(guān)技術(shù)中過濾報(bào)文時(shí)產(chǎn)生的浪費(fèi)ACL資源的問題��,進(jìn)而達(dá)到了在減少對(duì)ACL資源浪 費(fèi)的前提下��,又實(shí)現(xiàn)了 IPv6 Source Guard的基本功能�����,保障了網(wǎng)絡(luò)的安全性的效果�。優(yōu)選的,交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)ACL策略的步驟包括從 請(qǐng)求報(bào)文中獲取用戶的源二層地址和源三層地址�;根據(jù)所獲取的源二層地址和源三層地 址生成臨時(shí)ACL策略。在本優(yōu)選實(shí)施例中���,說明了如何生成臨時(shí)ACL策略���,從而保證 了減少對(duì)ACL資源的浪費(fèi)。優(yōu)選的�,根據(jù)所獲取的源二層地址和源三層地址生成臨時(shí)ACL策略的步驟包 括獲取用戶的源二層的MAC地址和源三層的IPv6地址,并將MAC地址和IPv6地址 組合為臨時(shí)ACL策略���。在本優(yōu)選實(shí)施例中��,進(jìn)一步說明了如何生成臨時(shí)ACL策略���,從 而保證了減少對(duì)ACL資源的浪費(fèi)。優(yōu)選的���,交換設(shè)備判斷NA報(bào)文是否與臨時(shí)ACL策略匹配的步驟包括判斷NA 報(bào)文中的MAC地址和IPv6地址是否與臨時(shí)ACL策略中的MAC地址和IPv6地址相同���, 若相同,則判斷出所述NA報(bào)文與所述臨時(shí)ACL策略匹配��;否則���,判斷出所述NA報(bào)文 與所述臨時(shí)ACL策略不匹配����。在本優(yōu)選實(shí)施例中,進(jìn)一步說明了如何匹配臨時(shí)ACL策 略�����,保證實(shí)現(xiàn)了 IPv6Source Guard的基本功能����,保障了網(wǎng)絡(luò)的安全性。優(yōu)選的�,在交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)ACL策略時(shí),根據(jù)本發(fā) 明實(shí)施例的報(bào)文過濾方法還包括將當(dāng)前使用的ACL策略更新為臨時(shí)ACL策略��,并啟用 臨時(shí)ACL策略定時(shí)器����。在本優(yōu)選實(shí)施例中,保證臨時(shí)ACL策略得以被刪除���,進(jìn)一步保 證了減少對(duì)ACL策略的浪費(fèi)����。優(yōu)選的����,刪除臨時(shí)ACL策略的步驟包括若臨時(shí)ACL策略定時(shí)器超時(shí)�����,則刪除 臨時(shí)ACL策略���。在本優(yōu)選實(shí)施例中�����,進(jìn)一步保證臨時(shí)ACL策略得以被刪除����,進(jìn)一步保 證了減少對(duì)ACL策略的浪費(fèi)。優(yōu)選的��,在交換設(shè)備進(jìn)行用戶和服務(wù)器之間的報(bào)文轉(zhuǎn)發(fā)之后����,根據(jù)本發(fā)明實(shí)施 例的報(bào)文過濾方法還包括交換設(shè)備生成用戶數(shù)據(jù)綁定表,其中����,該用戶數(shù)據(jù)綁定表用 于在用戶獲得IPv6地址之后,允許用戶訪問服務(wù)器。在本優(yōu)選實(shí)施例中���,進(jìn)一步保證實(shí) 現(xiàn)了 IPv6 Source Guard的基本功能����,保障了網(wǎng)絡(luò)的安全性�����。實(shí)施例2圖3是根據(jù)本發(fā)明實(shí)施例的交換設(shè)備的一種優(yōu)選結(jié)構(gòu)框圖��,包括生成單元 302����,用于根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)ACL策略;轉(zhuǎn)發(fā)單元304����,用于向所述用戶 轉(zhuǎn)發(fā)服務(wù)器發(fā)送的NS報(bào)文;判斷單元306���,用于判斷所述用戶發(fā)送的響應(yīng)于所述NS報(bào) 文的NA報(bào)文是否與所述臨時(shí)ACL策略匹配�;處理單元308�����,用于在所述判斷單元306判 斷出所述用戶發(fā)送的響應(yīng)于所述NS報(bào)文的NA報(bào)文與所述臨時(shí)ACL策略匹配時(shí),進(jìn)行所述用戶和所述服務(wù)器之間的報(bào)文轉(zhuǎn)發(fā)�����,并刪除所述臨時(shí)ACL策略�����。在本優(yōu)選實(shí)施例中�,采用一個(gè)生成臨時(shí)ACL策略和刪除ACL策略的機(jī)制���,解決 了相關(guān)技術(shù)中過濾報(bào)文時(shí)產(chǎn)生的浪費(fèi)ACL資源的問題����,進(jìn)而達(dá)到了在減少對(duì)ACL資源浪 費(fèi)的前提下�,又實(shí)現(xiàn)了 IPv6 Source Guard的基本功能,保障了網(wǎng)絡(luò)的安全性的效果�����。優(yōu)選的����,生成單元302包括獲取模塊��,用于從請(qǐng)求報(bào)文中獲取用戶的源二層地 址和源三層地址���;生成模塊,用于根據(jù)所獲取的源二層地址和源三層地址生成臨時(shí)ACL 策略在本優(yōu)選實(shí)施例中�����,說明了如何生成臨時(shí)ACL策略��,從而保證了減少對(duì)ACL資源的 浪費(fèi)�。優(yōu)選的,獲取模塊包括獲取子模塊�����,用于獲取用戶的源二層的MAC地址和源 三層的IPv6地址�;生成模塊包括生成子模塊,用于將MAC地址和IPv6地址組合為臨 時(shí)ACL策略��。在本優(yōu)選實(shí)施例中���,進(jìn)一步說明了如何生成臨時(shí)ACL策略�,從而保證了 減少對(duì)ACL資源的浪費(fèi)。優(yōu)選的�,判斷單元306包括判斷模塊,用于判斷NA報(bào)文中的MAC地址和 IPv6地址是否與臨時(shí)ACL策略中的MAC地址和IPv6地址相同�,若相同,則判斷出NA 報(bào)文與臨時(shí)ACL策略匹配�����;否則�,判斷出NA報(bào)文與臨時(shí)ACL策略不匹配。在本優(yōu)選 實(shí)施例中�����,進(jìn)一步說明了如何匹配臨時(shí)ACL策略�,保證實(shí)現(xiàn)了 IPv6 Source Guard的基本 功能�����,保障了網(wǎng)絡(luò)的安全性�����。優(yōu)選的�,生成單元302還包括更新模塊���,用于在交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng) 求報(bào)文生成臨時(shí)ACL策略時(shí),將當(dāng)前使用的ACL策略更新為臨時(shí)ACL策略�����;啟用模 塊��,用于啟用臨時(shí)ACL策略定時(shí)器��。在本優(yōu)選實(shí)施例中�,保證臨時(shí)ACL策略得以被刪 除,進(jìn)一步保證了減少對(duì)ACL策略的浪費(fèi)���。優(yōu)選的���,處理單元308包括刪除模塊,用于若臨時(shí)ACL策略定時(shí)器超時(shí)��,刪 除臨時(shí)ACL策略�����。在本優(yōu)選實(shí)施例中�,進(jìn)一步保證臨時(shí)ACL策略得以被刪除���,進(jìn)一步 保證了減少對(duì)ACL策略的浪費(fèi)。優(yōu)選的��,處理單元308還包括用戶綁定表生成模塊���,用于在交換設(shè)備進(jìn)行用戶 和服務(wù)器之間的報(bào)文轉(zhuǎn)發(fā)之后�,生成用戶數(shù)據(jù)綁定表���,該用戶數(shù)據(jù)綁定表用于在用戶獲 得IPv6地址之后��,允許用戶訪問服務(wù)器�����。在本優(yōu)選實(shí)施例中����,進(jìn)一步保證實(shí)現(xiàn)了 IPv6 Source Guard的基本功能�����,保障了網(wǎng)絡(luò)的安全性��。實(shí)施例3本實(shí)施例中�,實(shí)現(xiàn)IPv6 Source Guard并且節(jié)約ACL資源的方法采用如下方案1)臨時(shí)ACL策略。在DHCPv6SN00PING模塊收到DHCPv6交互報(bào)文的第一
個(gè)請(qǐng)求報(bào)文時(shí)��,從報(bào)文中解析出二層源地址和三層源IP地址(本地鏈路地址)�。這兩個(gè) 地址作為臨時(shí)ACL策略的基本數(shù)據(jù)。2)提前更新ACL策略的機(jī)制���。在DHCPv6 SNOOPING模塊從DHCPv6交互報(bào)
文的第一個(gè)請(qǐng)求報(bào)文中提取出臨時(shí)ACL策略后就更新ACL策略�����,不必等到用戶上線后更 新正式策略����。3)臨時(shí)ACL策略狀態(tài)定時(shí)器��。在把臨時(shí)ACL策略下到非自定義模式ACL中后 啟動(dòng)狀態(tài)定時(shí)器����。4)臨時(shí)ACL策略刪除機(jī)制。在定時(shí)器期限內(nèi)���,若沒有完成正常的交互過程��,則刪除此臨時(shí)ACL策略���;在用戶成功完成DHCPv6報(bào)文交互����,正常上線后刪除此臨時(shí)ACL策略��。圖4是根據(jù)本發(fā)明實(shí)施例的報(bào)文過濾方法的網(wǎng)絡(luò)結(jié)構(gòu)示意圖��,如圖4所示的網(wǎng) 絡(luò)���,包括DHCPv6 服務(wù)器 401��、支持 DHCPv6 SNOOPING 和 IPv6 Source Gard 的交換設(shè) 備402��、終端用戶403和404��。其中�,DHCPv6服務(wù)器401和交換設(shè)備402直連�����,終端用戶403和404也和交換 機(jī)直連��。交換設(shè)備402開啟DHCPv6 SNOOPING功能����,同時(shí)在交換設(shè)備402同終端用戶 403和404直連的端口開啟IPv6 Source Guard功能。需要說明的是���,此圖僅是一個(gè)DHCPv6 SNOOPING和IPv6 Source Guard的典型
應(yīng)用場(chǎng)景�,本發(fā)明不局限于此場(chǎng)景��。圖5是基于圖4的網(wǎng)絡(luò)結(jié)構(gòu)報(bào)文過濾方法的另一種優(yōu)選流程圖��,包括如下三個(gè)部 件用戶403����、交換設(shè)備402和服務(wù)器401,以上三個(gè)部件之間執(zhí)行如下步驟S501,在交換設(shè)備402上開啟DHCPv6 SNOOPING功能�����,在用戶403直連的交 換設(shè)備402端口開啟IPv6 Source Guard功能��,在開啟IPv6 Source Guard功能時(shí)�����,不需要 多下表項(xiàng),只需下一條DenyAny的策略�����;S502,當(dāng)交換設(shè)備402收到DHCPv6用戶403的第一個(gè)請(qǐng)求報(bào)文時(shí)����,DHCPv6 SNOOPING模塊從該請(qǐng)求報(bào)文中解析出用戶403的源二層地址和源三層地址,DHCPv6 SNOOPING模塊依據(jù)解析出的用戶403的源二層地址和源三層地址生成臨時(shí)ACL策略����, 下ACL,啟用臨時(shí)ACL策略定時(shí)器����,DHCPv6 SNOOPING模塊轉(zhuǎn)發(fā)此請(qǐng)求報(bào)文;S503����,交換設(shè)備402收到服務(wù)器401的請(qǐng)求用戶403 二層地址的鄰居請(qǐng)求NS報(bào) 文,并轉(zhuǎn)發(fā)此報(bào)文�����;S504,交換設(shè)備402收到用戶403響應(yīng)服務(wù)器401NS的報(bào)文NA鄰居通知報(bào)文 后����,發(fā)現(xiàn)在過濾表中已經(jīng)存在一條臨時(shí)ACL策略和此NA報(bào)文匹配��,那么透?jìng)鞔藞?bào)文 NA ��;S505, DHCPv6服務(wù)器401依據(jù)NA報(bào)文更新本地緩存�����,封裝Adertise報(bào)文的二 層頭�����,發(fā)給用戶403�����,DHCPv6 SNOOPING模塊收到DHCPv6響應(yīng)報(bào)文Advertise后進(jìn)行 處理并轉(zhuǎn)發(fā)給DHCPv6用戶403 �;S506, DHCPv6 SNOOPING 模塊收到 DHCPv6 用戶 403 的請(qǐng)求報(bào)文 Request 后,
轉(zhuǎn)發(fā)給服務(wù)器401 �����;S507, DHCPv6 SNOOPING 模塊收到 DHCPv6 響應(yīng)報(bào)文 Reply 后,解析 Reply 報(bào)
文中的信息���,生成用戶數(shù)據(jù)綁定表���,刪除臨時(shí)ACL策略,下用戶過濾策略到ACL�,若在 交互過程中,臨時(shí)ACL策略定時(shí)器超時(shí)��,則刪除臨時(shí)ACL策略��。從以上的描述中�����,可以看出����,本發(fā)明實(shí)現(xiàn)了如下技術(shù)效果通過本發(fā)明,采用一個(gè)生成臨時(shí)ACL策略以及提前更新ACL策略和刪除ACL 策略的機(jī)制�����,解決了現(xiàn)有技術(shù)網(wǎng)絡(luò)安全性低和浪費(fèi)ACL資源的問題�,進(jìn)而達(dá)到了既實(shí)現(xiàn) 了 IPveSourceGuard的基本功能�,又保障了網(wǎng)絡(luò)的安全性���,并且減少了對(duì)資源的占用的效 果����。具體體現(xiàn)在(1)用戶在沒通過DHCPv6獲得IP地址之前不能訪問網(wǎng)絡(luò)����,包括本地 網(wǎng)絡(luò)和全球網(wǎng)絡(luò)����。從而保證了網(wǎng)絡(luò)的安全性。(2)能夠減少對(duì)ACL資源的占用��,降低設(shè) 備的硬件成本�,節(jié)約了極其有限的ACL資源。
顯然�,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可以用通 用的計(jì)算裝置來實(shí)現(xiàn)���,它們可以集中在單個(gè)的計(jì)算裝置上�,或者分布在多個(gè)計(jì)算裝置所 組成的網(wǎng)絡(luò)上�,可選地�����,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)����,從而���,可以將 它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行����,并且在某些情況下�,可以以不同于此處的順 序執(zhí)行所示出或描述的步驟,或者將它們分別制作成各個(gè)集成電路模塊��,或者將它們中 的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)�����。這樣���,本發(fā)明不限制于任何特定的 硬件和軟件結(jié)合���。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已���,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的 技術(shù)人員來說��,本發(fā)明可以有各種更改和變化��。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的 任何修改���、等同替換、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種報(bào)文過濾方法��,其特征在于�,包括如下步驟交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)訪問控制列表ACL策略;所述交換設(shè)備向所述用戶轉(zhuǎn)發(fā)服務(wù)器發(fā)送的鄰居請(qǐng)求NS報(bào)文�;所述交換設(shè)備判斷所述用戶發(fā)送的響應(yīng)于所述鄰居請(qǐng)求NS報(bào)文的鄰居通知NA報(bào)文 是否與所述臨時(shí)ACL策略匹配;若匹配�����,則所述交換設(shè)備進(jìn)行所述用戶和所述服務(wù)器之間的報(bào)文轉(zhuǎn)發(fā),并刪除所述 臨時(shí)ACL策略����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文 生成臨時(shí)ACL策略的步驟包括從所述請(qǐng)求報(bào)文中獲取所述用戶的源二層地址和源三層地址���;根據(jù)所獲取的源二層地址和源三層地址生成所述臨時(shí)ACL策略��。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于,根據(jù)所獲取的源二層地址和源三層地址 生成所述臨時(shí)ACL策略的步驟包括獲取所述用戶的源二層的MAC地址和源三層的IPv6地址�,并將所述MAC地址和所 述IPv6地址組合為臨時(shí)ACL策略。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法����,其特征在于,所述交換設(shè)備判斷所述 NA報(bào)文是否與所述臨時(shí)ACL策略匹配的步驟包括判斷所述NA報(bào)文中的MAC地址和IPv6地址是否與所述臨時(shí)ACL策略中的MAC地 址和IPv6地址相同�,若相同,則判斷出所述NA報(bào)文與所述臨時(shí)ACL策略匹配;否則��, 判斷出所述NA報(bào)文與所述臨時(shí)ACL策略不匹配�����。
5.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,在交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生 成臨時(shí)ACL策略時(shí),還包括將當(dāng)前使用的ACL策略更新為所述臨時(shí)ACL策略�����,并啟用臨時(shí)ACL策略定時(shí)器���。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于,刪除所述臨時(shí)ACL策略的步驟包括若所述臨時(shí)ACL策略定時(shí)器超時(shí)��,則刪除所述臨時(shí)ACL策略��。
7.根據(jù)權(quán)利要求1所述的方法����,其特征在于��,在所述交換設(shè)備進(jìn)行所述用戶和所述服 務(wù)器之間的報(bào)文轉(zhuǎn)發(fā)之后��,還包括所述交換設(shè)備生成用戶數(shù)據(jù)綁定表�,其中�,所述用戶數(shù)據(jù)綁定表用于在所述用戶獲 得IPv6地址之后,允許所述用戶訪問所述服務(wù)器�。
8.—種交換設(shè)備,其特征在于�����,包括生成單元���,用于根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)ACL策略�����;轉(zhuǎn)發(fā)單元��,用于向所述用戶轉(zhuǎn)發(fā)服務(wù)器發(fā)送的NS報(bào)文�����;判斷單元�����,用于判斷所述用戶發(fā)送的響應(yīng)于所述NS報(bào)文的NA報(bào)文是否與所述臨時(shí) ACL策略匹配����;處理單元,用于在所述判斷單元判斷出所述用戶發(fā)送的響應(yīng)于所述NS報(bào)文的NA報(bào) 文與所述臨時(shí)ACL策略匹配時(shí)�,進(jìn)行所述用戶和所述服務(wù)器之間的報(bào)文轉(zhuǎn)發(fā),并刪除所 述臨時(shí)ACL策略�����。
9.根據(jù)權(quán)利要求8所述的交換設(shè)備�����,其特征在于��,所述生成單元包括獲取模塊���,用于從所述請(qǐng)求報(bào)文中獲取所述用戶的源二層地址和源三層地址;生成模塊��,用于根據(jù)所獲取的源二層地址和源三層地址生成所述臨時(shí)ACL策略。
10.根據(jù)權(quán)利要求9所述的交換設(shè)備�,其特征在于,所述獲取模塊包括獲取子模 塊���,用于獲取所述用戶的源二層的MAC地址和源三層的IPv6地址�;所述生成模塊包 括生成子模塊����,用于將所述MAC地址和所述IPv6地址組合為所述臨時(shí)ACL策略。
全文摘要
本發(fā)明公開了一種報(bào)文過濾方法和交換設(shè)備�,其中該方法包括交換設(shè)備根據(jù)用戶發(fā)送的請(qǐng)求報(bào)文生成臨時(shí)訪問控制列表ACL策略;交換設(shè)備向用戶轉(zhuǎn)發(fā)服務(wù)器發(fā)送的NS報(bào)文�����;交換設(shè)備判斷用戶發(fā)送的響應(yīng)于NS報(bào)文的NA報(bào)文是否與臨時(shí)ACL策略匹配�;若匹配,則交換設(shè)備進(jìn)行用戶和服務(wù)器之間的報(bào)文轉(zhuǎn)發(fā)����,并刪除臨時(shí)ACL策略。本發(fā)明解決了相關(guān)技術(shù)中過濾報(bào)文時(shí)產(chǎn)生的浪費(fèi)ACL資源的問題����。
文檔編號(hào)H04L29/06GK102025641SQ201010609120
公開日2011年4月20日 申請(qǐng)日期2010年12月27日 優(yōu)先權(quán)日2010年12月27日
發(fā)明者丁崇, 劉書巖 申請(qǐng)人:中興通訊股份有限公司