在交換機(jī)偵聽ipv6中管理地址驗(yàn)證狀態(tài)的制作方法
【專利摘要】在一個(gè)實(shí)施例中,一種特定設(shè)備(例如,交換機(jī))從不可信的非交換機(jī)設(shè)備接收鄰居發(fā)現(xiàn)(ND)消息,所述ND消息具有關(guān)聯(lián)的地址,并且在不轉(zhuǎn)發(fā)所述ND消息的情況下創(chuàng)建處于臨時(shí)暫定狀態(tài)的所述地址的對(duì)應(yīng)的綁定條目。此外,所述交換機(jī)然后代表所述不可信的非交換機(jī)設(shè)備生成并且轉(zhuǎn)發(fā)第一重復(fù)地址檢測(cè)(DAD)消息。響應(yīng)于從非所有者設(shè)備接收到第二DAD消息,所述交換機(jī)可以在所述第二DAD消息的對(duì)應(yīng)的第二地址被存儲(chǔ)為暫定狀態(tài)條目時(shí)丟棄所述第二DAD消息,否則在所述第二地址未被存儲(chǔ)為暫定狀態(tài)條目時(shí),將所述第二DAD消息轉(zhuǎn)發(fā)到所述第二地址的對(duì)應(yīng)的所有者設(shè)備以用于鄰居通告(NA)防御。
【專利說明】在交換機(jī)偵聽IPV6中管理地址驗(yàn)證狀態(tài)
【技術(shù)領(lǐng)域】
[0001] 本公開一般涉及計(jì)算機(jī)網(wǎng)絡(luò),并且更特別地,涉及互聯(lián)網(wǎng)協(xié)議版本6 (IPv6)重復(fù) 地址檢測(cè)(DAD)。
【背景技術(shù)】
[0002] 為了特別是在安全環(huán)境中保護(hù)網(wǎng)絡(luò)不受流氓或不受控行為的影響,交換機(jī)需要越 來越關(guān)注IPv6。例如,由IPv6交換機(jī)所需要的一個(gè)方面在于維護(hù)綁定條目,在綁定條目中 交換機(jī)維護(hù)哪一個(gè)交換機(jī)(例如,哪一個(gè)交換機(jī)上的哪一個(gè)端口)擁有給定IPv6地址的映 射。值得注意,這樣的管理操作必須與支持偵聽(snooping)操作的交換機(jī)和不支持偵聽操 作的交換機(jī)相容。
[0003] 互聯(lián)網(wǎng)工程任務(wù)組(IETF)的源地址驗(yàn)證改進(jìn)(SAVI)工作組一直在研究維護(hù)這樣 的條目的方法。一般而言,由SAVI所開發(fā)的當(dāng)前方法存在優(yōu)點(diǎn)和缺點(diǎn),但是一個(gè)特定缺點(diǎn) 是缺少針對(duì)竊取可以通過重復(fù)地址檢測(cè)(DAD)進(jìn)程而被"看見"(即,基于觀察公共通信流 被竊取)的地址的流t民設(shè)備的先來先服務(wù)(first-come-first-serve)保護(hù)。
【專利附圖】
【附圖說明】
[0004] 可以結(jié)合附圖通過參考以下描述更好地理解本文實(shí)施例,在附圖中同樣的附圖標(biāo) 記指示同樣地或功能上類似的元件,其中:
[0005] 圖1圖示示例通信網(wǎng)絡(luò);
[0006] 圖2圖示示例網(wǎng)絡(luò)設(shè)備/節(jié)點(diǎn);
[0007] 圖3-5圖示用于在交換機(jī)偵聽IPv6中管理地址驗(yàn)證狀態(tài)的示例簡化流程;
[0008] 圖6圖示示例信任關(guān)系;
[0009] 圖7圖示用于在交換機(jī)偵聽IPv6中管理地址驗(yàn)證狀態(tài)的另一示例簡化流程; [0010] 圖8-13圖示針對(duì)在本地端口受信任情況下的示例消息交換時(shí)序圖;
[0011] 圖14-23圖示針對(duì)在本地端口不受信任情況下的多路交換操作的示例消息交換 時(shí)序圖;以及
[0012] 圖24-28圖示針對(duì)基于信任的多路交換流示例的示例消息交換時(shí)序圖。
【具體實(shí)施方式】
[0013] 鐘述
[0014] 根據(jù)本公開的一個(gè)或多個(gè)實(shí)施例,特定設(shè)備(例如,交換機(jī))從不可信的非交換機(jī) 設(shè)備接收鄰居發(fā)現(xiàn)(ND)消息--該ND消息具有相關(guān)聯(lián)的地址--并且在不轉(zhuǎn)發(fā)ND消息 的情況下創(chuàng)建處于臨時(shí)暫定狀態(tài)的該地址的對(duì)應(yīng)的綁定條目。另外,交換機(jī)然后代表不可 信的非交換機(jī)設(shè)備生成并且轉(zhuǎn)發(fā)第一重復(fù)地址檢測(cè)(DAD)消息。響應(yīng)于從非所有者設(shè)備接 收到第二DAD消息,交換機(jī)可以在第二DAD消息的對(duì)應(yīng)的第二地址被存儲(chǔ)為暫定狀態(tài)條目 時(shí)丟棄第二DAD消息,否則在第二地址未被存儲(chǔ)為暫定狀態(tài)條目時(shí),將第二DAD消息轉(zhuǎn)發(fā)到 第二地址的對(duì)應(yīng)的所有者設(shè)備以用于鄰居通告(ΝΑ)防御。
[0015] 描述
[0016] 計(jì)算機(jī)網(wǎng)絡(luò)是由通信鏈路所互連的節(jié)點(diǎn)和用于在端節(jié)點(diǎn)之間傳輸數(shù)據(jù)的段的地 理上分布的合集,所述端節(jié)點(diǎn)諸如個(gè)人計(jì)算機(jī)和工作站,或其它設(shè)備,諸如傳感器等。存在 許多類型的網(wǎng)絡(luò),范圍從局域網(wǎng)(LAN)到廣域網(wǎng)(WAN)。LAN典型地通過位于大體同一物理 地點(diǎn)(諸如建筑物或校園)中的專用私有通信鏈路來連接節(jié)點(diǎn)。另一方面,WAN典型地通過 長距離通信鏈路連接地理上分散的節(jié)點(diǎn),所述長距離通信鏈路諸如常見的載波電話線、光 學(xué)光路、同步光網(wǎng)絡(luò)(SONET)、同步數(shù)字體系(SDH)鏈路或電力線通信(PLC)及其它鏈路。
[0017] 圖1是包括由各種通信方法所互連的節(jié)點(diǎn)/設(shè)備200的示例計(jì)算機(jī)網(wǎng)絡(luò)100的示 意框圖,節(jié)點(diǎn)/設(shè)備200例如一個(gè)或多個(gè)客戶端設(shè)備(例如,"客戶端1"、"客戶端2"等)以 及一個(gè)或多個(gè)中間設(shè)備/交換機(jī)(例如,"交換機(jī)1"、"交換機(jī)2"等)。例如,鏈路可以是有 線鏈路或共享介質(zhì)(例如,無線鏈路、PLC鏈路等),其中某些節(jié)點(diǎn)200可以與其它節(jié)點(diǎn)200 通信(例如,基于物理連接配置)當(dāng)前操作狀態(tài)、距離、信號(hào)強(qiáng)度定位等)。本領(lǐng)域的技術(shù)人 員將理解,可以在計(jì)算機(jī)網(wǎng)絡(luò)中使用任何數(shù)目的節(jié)點(diǎn)、設(shè)備、鏈路等,并且本文中所示出的 視圖是為了簡單起見。
[0018] 可以使用諸如某些已知的有線協(xié)議、無線協(xié)議(例如,IEEE標(biāo)準(zhǔn)802. 15. 4、WiFi、 藍(lán)牙⑧等)、PLC協(xié)議或在適當(dāng)情況下其它共享介質(zhì)協(xié)議之類的預(yù)定網(wǎng)絡(luò)通信協(xié)議在計(jì)算 機(jī)網(wǎng)絡(luò)100的節(jié)點(diǎn)/設(shè)備之間交換數(shù)據(jù)分組140 (例如,在設(shè)備/節(jié)點(diǎn)之間發(fā)送的業(yè)務(wù)和/ 或消息)。在這里的上下文中,協(xié)議包括定義節(jié)點(diǎn)如何彼此交互的一組規(guī)則。
[0019] 圖2是示例節(jié)點(diǎn)/設(shè)備200的示意框圖,所述示例節(jié)點(diǎn)/設(shè)備200可以用于本文中 描述的一個(gè)或多個(gè)實(shí)施例,例如作為以上在圖1中所示出的節(jié)點(diǎn)中的任一個(gè),特別是如在 下面所描述的交換機(jī)。設(shè)備可以包括由系統(tǒng)總線250所互連的一個(gè)或多個(gè)網(wǎng)絡(luò)接口 210(例 如,有線、無線、PLC等)、至少一個(gè)處理器220和存儲(chǔ)器240,以及電源260 (例如,電池組、 插件等)。
[0020] 網(wǎng)絡(luò)接口 210包含用于通過耦合到網(wǎng)絡(luò)100的鏈路來傳送數(shù)據(jù)的機(jī)械、電氣以及 信令電路。網(wǎng)絡(luò)接口可以被配置成使用各種不同的通信協(xié)議來發(fā)送和/或接收數(shù)據(jù)。注意, 進(jìn)一步地,節(jié)點(diǎn)可以具有兩種不同類型的網(wǎng)絡(luò)連接210,例如,無線和有線/物理連接,并且 本文視圖僅僅用于說明。并且,雖然與電源260分開地示出網(wǎng)絡(luò)接口 210,但是對(duì)于PLC,網(wǎng) 絡(luò)接口 210可以通過電源260進(jìn)行通信,或者可以是電源的整體組件。
[0021] 存儲(chǔ)器240包括可由處理器220和網(wǎng)絡(luò)接口 210尋址用于存儲(chǔ)與本文中所描述的 實(shí)施例相關(guān)聯(lián)的軟件程序和數(shù)據(jù)結(jié)構(gòu)的多個(gè)存儲(chǔ)單元。處理器220可以包括適合執(zhí)行軟件 程序并且操縱數(shù)據(jù)結(jié)構(gòu)245的必要的元件和邏輯。操作系統(tǒng)242 (其各部分典型地駐留在存 儲(chǔ)器240中并且由處理器執(zhí)行)尤其通過調(diào)用支持在該設(shè)備上執(zhí)行軟件進(jìn)程和/或服務(wù)的 操作在功能上組織該設(shè)備。這些軟件進(jìn)程和/或服務(wù)可以包括說明性交換進(jìn)程/服務(wù)244, 以及說明性重復(fù)地址檢測(cè)(DAD)進(jìn)程248。注意,雖然在集中式存儲(chǔ)器240中示出了交換進(jìn) 程244和DAD進(jìn)程248,但是替代實(shí)施例中,所述進(jìn)程中的一個(gè)或兩者具體操作在網(wǎng)絡(luò)接口 210 內(nèi)。
[0022] 對(duì)于本領(lǐng)域的技術(shù)人員而言將顯而易見的是,其它處理器和存儲(chǔ)器類型(包括各 種計(jì)算機(jī)可讀介質(zhì))可以被用來存儲(chǔ)并且執(zhí)行和本文中所描述的技術(shù)有關(guān)的程序指令。并 且,雖然說明書說明了各種進(jìn)程,但是明顯地可以設(shè)想到,各種進(jìn)程可以被具體化為配置成 依照本文技術(shù)(例如,根據(jù)類似進(jìn)程的功能性)進(jìn)行操作的模塊。進(jìn)一步地,雖然進(jìn)程已被 分開地示出,但是本領(lǐng)域的技術(shù)人員將了解,進(jìn)程可以是在其它進(jìn)程內(nèi)的例行程序或模塊。
[0023] 說明性地,本文中所描述的技術(shù)可以由硬件、軟件和/或固件例如依照交換進(jìn)程 244和/或DAD進(jìn)程248來執(zhí)行,所述交換進(jìn)程244和/或DAD進(jìn)程248可以每個(gè)都可以包 含由處理器220執(zhí)行來進(jìn)行涉及本文中所描述的技術(shù)的功能的計(jì)算機(jī)可執(zhí)行指令。例如, 交換進(jìn)程(服務(wù))244和DAD進(jìn)程248可以包含由處理器220執(zhí)行來執(zhí)行由一個(gè)或多個(gè)交 換協(xié)議所提供的功能的計(jì)算機(jī)可執(zhí)行指令,如由本領(lǐng)域的技術(shù)人員將理解的那樣。這樣的 功能可以基于管理轉(zhuǎn)發(fā)狀態(tài)、端口阻止、地址解析等常規(guī)協(xié)議。根據(jù)本文中所描述的一個(gè)或 多個(gè)實(shí)施例,因此,交換進(jìn)程244和DAD進(jìn)程248 (其本身可以是交換進(jìn)程244的子進(jìn)程) 可以用本文中所描述的功能性加以擴(kuò)展、修改或者代替。
[0024] 特別地,如上面所指出的那樣,為了特別在安全環(huán)境中保護(hù)網(wǎng)絡(luò)不受流氓或不受 控行為的影響交換機(jī)需要越來越關(guān)注IPv6。例如,由IPv6交換機(jī)所需要的一個(gè)方面在于維 護(hù)綁定條目,在綁定條目中交換機(jī)維護(hù)哪一個(gè)交換機(jī)(例如,哪一個(gè)交換機(jī)上的哪一個(gè)端 口)擁有給定IPv6地址的映射。值得注意,這樣的管理操作必須與支持偵聽操作的交換機(jī) 和不支持偵聽操作的交換機(jī)相容?;ヂ?lián)網(wǎng)工程任務(wù)組(IETF)的源地址驗(yàn)證改進(jìn)(SAVI)工 作組一直在研究維護(hù)這樣的條目的方法。作為可從IETF得到的草案并且每個(gè)都通過引用 整體地結(jié)合于此的以下參考文獻(xiàn)是當(dāng)前SAVI協(xié)議的示例:
[0025] -J. Bi 等人的 "SAVI Solution for DHCP"(DHCP 的 SAVI 方 案)<draft-ietf-savi-dhcp-ll>(2011 年 12 月 28 日版);
[0026] -Erik Nordmark 等人的 "FCFS SAVI :First_Come First-Serve Source-Address Validation for Locally Assigned IPv6Addresses"(本地分配的 IPv6 地址的先來先服務(wù) 源地址驗(yàn)證)<draft-ietf-savi-fcfs>(2011 年 11 月 22 日版);
[0027] -Jianping Wu 等人的"Source Address Validation Improvement Framework"(源 地址驗(yàn)證改進(jìn)架構(gòu))〈draft-ietf-savi-framework>(2011 年 12 月 27 日版);
[0028] -Jun Bi 等人的 "SAVI for Mixed Address Assignment Methods Scenario"(混合 地址分配方法場(chǎng)景的SAVI)〈draft-ietf-savi-mix>(2011年10月26日版);
[0029] -Marcelo Bagnulo 等人的 "SEND-based Source-Address Validation Implementation"(基于發(fā)送的源地址驗(yàn)證實(shí)施)<draft-ietf-savi-send> (2011 年 10 月 4日版);以及
[0030] -Danny McPherson 等人的"SAVI Threat Scope,'(SAVI 威脅范圍)〈draft-ietf-sa vi-threat_scope>(2011 年4月 11 日版)。
[0031] 此外注意,涉及IPv6的以下請(qǐng)求注解(RFC)文檔也通過引用整體地結(jié)合:
[0032] -RFC4861,T. Narten 等人的"Neighbor Discovery for IP version 6 (IPv6) ''(IPv6 鄰居發(fā)現(xiàn))(2007年9月版,廢棄RFC2461和1970);以及
[0033] -RFC4862, S. Thomson 等人的" IPv6Stateless Address Autoconfiguration,'(IPv6 無國家地址自動(dòng)配置)(2007年9月版,廢棄RFC2462和1971)。
[0034] 如上面還指出的那樣,由SAVI所開發(fā)的當(dāng)前方法存在優(yōu)點(diǎn)和缺點(diǎn),但是一個(gè)特定 缺點(diǎn)是缺少針對(duì)竊取地址(所述地址可以通過重復(fù)地址檢測(cè)(DAD)進(jìn)程看見)的流氓設(shè)備 的先來先服務(wù)保護(hù)。因此,本文技術(shù)用于在保護(hù)要求保護(hù)地址的第一設(shè)備的交換機(jī)中分發(fā) 鄰居發(fā)現(xiàn)(ND)綁定表狀態(tài),同時(shí)仍然允許基于可配置信任的重載(override)。
[0035] 操作上,根據(jù)本文中所描述的實(shí)施例,技術(shù)提出了保護(hù)給定IPv6地址的第一用戶 的標(biāo)準(zhǔn)DAD消息的特定使用,這可以一般地參考圖3-7來描述,其中圖3-5和7圖示依照本 文中所描述的一個(gè)或多個(gè)實(shí)施例用于在交換機(jī)偵聽IPv6中管理地址驗(yàn)證狀態(tài)的示例簡化 流程(分別為300、400、500以及700)。
[0036] 特別地,基于在步驟305中開始的流程300,當(dāng)在步驟310中接收到鄰居發(fā)現(xiàn)(ND) 消息(具有關(guān)聯(lián)的地址)時(shí),可以首先在步驟315中確定該消息是否從"不可信的"非交換 機(jī)設(shè)備抵達(dá)(其中可以配置信任級(jí)別,如本文中所描述的那樣并且如本領(lǐng)域中所理解的那 樣)。如果消息是來自交換機(jī),則在步驟320中不創(chuàng)建綁定條目;也就是說,不為通過交換 機(jī)到達(dá)的設(shè)備創(chuàng)建綁定條目。然而,如果消息是來自不可信的非交換機(jī)設(shè)備,則在步驟325 中,在接收交換機(jī)中(例如,在諸如數(shù)據(jù)結(jié)構(gòu)245之類的綁定條目表中)為該地址創(chuàng)建對(duì)應(yīng) 的綁定條目,值得注意,不轉(zhuǎn)發(fā)ND消息。依照本文實(shí)施例,創(chuàng)建處于臨時(shí)暫定(TENTATIVE) 狀態(tài)的條目(例如這會(huì)傳回設(shè)備中可能的ND狀態(tài),即使設(shè)備中的狀態(tài)會(huì)是不同的)。該狀 態(tài)在特定示例實(shí)施例中例如可以持續(xù)(保持)800ms。如本領(lǐng)域中將理解的那樣,并且如可 以在下面所描述的那樣,其它狀態(tài)可以包括INCOMPLETE (未完成的)、REACHABLE (可達(dá)的)、 VERIFY (驗(yàn)證)、DOWN (停機(jī))和 STALE (過時(shí))。
[0037] 不轉(zhuǎn)發(fā)ND消息,在步驟330接收交換機(jī)的綁定表支持(例如,DAD進(jìn)程248)代表 條目所有者設(shè)備生成DAD消息,并且如下所述轉(zhuǎn)發(fā)該消息(例如,以輪詢其它交換機(jī)(多路 交換操作))。同樣注意,ND消息本身可以被相應(yīng)地管制(例如,阻止帶源或目標(biāo)鏈路層地 址選項(xiàng)(S/T LLA0)的通告直到DAD被其它(可信)交換機(jī)執(zhí)行為止)。
[0038] 特別地,本文技術(shù)允許被配置成維護(hù)條目數(shù)據(jù)庫的集中式或分布式注冊(cè)表(例 如,分布式散列表或"DHT")。如果在步驟335中沒有注冊(cè)表,則DAD消息在步驟340中被 作為傳統(tǒng)的組播發(fā)送。然而,如果在步驟335中存在這樣的注冊(cè)表,則在步驟345中所生成 的DAD消息被單播發(fā)送到注冊(cè)表。注意,注冊(cè)表可以在步驟350中確定對(duì)于該地址它是否 具有注冊(cè)的設(shè)備。如果存在注冊(cè)表并且注冊(cè)表沒有針對(duì)來自交換機(jī)的單播DAD消息的注冊(cè) (無注冊(cè)的設(shè)備),則在步驟355中注冊(cè)表丟棄DAD消息。然而,如果它具有指向注冊(cè)的交 換機(jī)(注冊(cè)的設(shè)備)的條目,則它將DAD消息轉(zhuǎn)發(fā)(例如,單播)到該注冊(cè)的交換機(jī)。流程 300可以在步驟365結(jié)束,并且可以繼續(xù)到下面的流程400或500的任一個(gè)。
[0039] 例如,圖4的流程400可以在步驟405處開始,并且繼續(xù)到步驟410,在步驟410從 所關(guān)聯(lián)的地址(條目)的"所有者"設(shè)備(即,"擁有"該地址條目的設(shè)備)接收任何新的ND 消息?;谠诓襟E415中確定ND消息的地址是否已經(jīng)是處于TENTATIVE狀態(tài)的條目,DAD 消息在步驟420僅響應(yīng)于地址已經(jīng)不是處于暫定狀態(tài)的條目而被轉(zhuǎn)發(fā)。換句話說,只要條 目已經(jīng)處于TENTATIVE狀態(tài)就不轉(zhuǎn)發(fā)ND消息(也不創(chuàng)建條目)(S卩,步驟425)。流程400 可以在步驟430結(jié)束。
[0040] 如圖5的流程500 (其可以在步驟505開始)中所示,當(dāng)在步驟510中從另一(非 所有者)設(shè)備接收到DAD消息時(shí),可以再次在步驟515中確定與這個(gè)接收到的DAD消息相 對(duì)應(yīng)的關(guān)聯(lián)的地址/條目是否是已經(jīng)以TENTATIVE狀態(tài)存儲(chǔ)的地址/條目(即,作為暫定 狀態(tài)條目)。如果它是,則不將DAD消息傳遞到設(shè)備,而是在步驟520中丟棄。然而,當(dāng)在步 驟515中接收到未被存儲(chǔ)為暫定狀態(tài)條目(即,處于TENTATIVE狀態(tài))的條目的DAD消息 時(shí),那么接收交換機(jī)在步驟525中將DAD消息轉(zhuǎn)發(fā)到條目所有者(對(duì)應(yīng)的所有者設(shè)備),使 得它能夠用鄰居通告(NA)防御進(jìn)行自我防御。流程500在步驟530結(jié)束。
[0041] 一般而言,交換機(jī)能夠被配置為用于偵聽的設(shè)備角色,并且可以是可信的或不可 信的。圖6圖示依照本文說明性實(shí)施例的示例配置的信任關(guān)系,其中不同的設(shè)備可以與配 置的信任級(jí)別相關(guān)聯(lián),如可以由本領(lǐng)域的技術(shù)人員所了解的那樣(例如,基于配置、網(wǎng)絡(luò)共 享等)。特別地,設(shè)備的類型按從最可信設(shè)備到最不可信設(shè)備的順序是:可信接入設(shè)備(節(jié) 點(diǎn))605、可信交換機(jī)610、不可信接入設(shè)備以及不可信交換機(jī)。換句話說,維護(hù)條目的交換 機(jī)被其它交換機(jī)視為可信的,可信交換機(jī)比可信接入不太可信,但是比不可信接入更可信, 所述不可信接入進(jìn)而比不可信交換機(jī)更可信。
[0042] 根據(jù)本文技術(shù),因此,諸如依照?qǐng)D7的流程700還提供了基于信任級(jí)別的重載規(guī) 定。根據(jù)可以在步驟705中開始的流程700,在步驟710接收到非DAD消息的交換機(jī)在步 驟715確定該非DAD消息是否是從更可信方接收到的。如果不是,則在步驟720中維護(hù)所 對(duì)應(yīng)的地址條目。然而,如果它是更可信方,則在步驟725中交換機(jī)將當(dāng)前條目讓給新的所 有者,并且在步驟730中用單播將非DAD消息傳遞給老的所有者,使得它可能取決于狀態(tài)和 實(shí)施方式而"清理"其地址。值得注意,在步驟735中響應(yīng)于更可信方是交換機(jī),S卩,如果通 過交換機(jī)看見"獲勝者",則在步驟740中特定條目被簡單地去除。相反地,響應(yīng)于更可信方 不是交換機(jī),則在步驟745中條目被更新以將更可信方(獲勝設(shè)備)反映為非DAD消息的 地址的所有者。流程700可以在步驟750結(jié)束。
[0043] 應(yīng)該注意的是,雖然像上面所描述的那樣在流程300-500和700內(nèi)的某些步驟可 以是可選的,但是圖3-5和7中所示出的步驟僅僅是示例以用于說明,并且可以視需要而定 包括或者排除某些其它步驟。進(jìn)一步地,雖然示出了步驟的特定的順序,但是這種排序僅僅 是說明性的,并且在不背離本文實(shí)施例的范圍的情況下可以利用步驟的任何適合的布置。 而且,雖然分別對(duì)流程300-500和700進(jìn)行描述,但是來自每個(gè)流程的某些步驟可以并入每 個(gè)其它流程,并且流程并不意在為相互排他的。
[0044] 可以參考在下面所描述的示例消息交換圖更好地理解流程300-500和700的結(jié) 果。
[0045] 特別地,根據(jù)本文技術(shù),圖8-13圖示針對(duì)在本地端口受信任情況下的示例消息交 換時(shí)序圖。圖8示出交換機(jī)1從地址為"ADD1"的客戶端1 (NS DAD)接收第一 DAD消息。交 換機(jī)1創(chuàng)建的對(duì)應(yīng)條目為INCOMPLETE,并且將NS DAD (ADD1)轉(zhuǎn)發(fā)到交換機(jī)2??蛻舳?在 發(fā)送NS DAD時(shí)已啟動(dòng)延時(shí)定時(shí)器,并且在期滿時(shí)將對(duì)應(yīng)的NA重載消息(ADD1,TLLA0)發(fā)送 到交換機(jī)1。這時(shí),條目變成REACHABLE,并且NA重載(ADD1,TLLA0)被轉(zhuǎn)發(fā)到交換機(jī)2。
[0046] 圖9圖示第一非DAD ND/LLA0消息場(chǎng)景,其中客戶端1將ND消息(ADD1,S/TLLA0) 發(fā)送到交換機(jī)1,這時(shí)條目可以被創(chuàng)建為REACHABLE。ND消息(ADD1,S/TLLA0)然后可以被 轉(zhuǎn)發(fā)到交換機(jī)2。
[0047] 另一方面,圖10圖示第一非DAD ND消息(沒有LLA0)。在這個(gè)實(shí)例中,客戶端1 將ND消息(ADD1,無 S/TLLA0)發(fā)送到交換機(jī)1,所述交換機(jī)1然后創(chuàng)建條目INCOMPLETE,并 且將ND消息(ADD1,無 S/TLLA0)轉(zhuǎn)發(fā)到交換機(jī)2。接下來,交換機(jī)1將NS DAD消息(ADD1) 返回給客戶端1,所述客戶端1然后可以相應(yīng)地將NA重載消息(ADD1,TLLA0)返回給交換 機(jī)1。因此,在交換機(jī)1處的條目變成REACHABLE,并且ΝΑ重載(ADD1,TLLAO)被轉(zhuǎn)發(fā)到交 換機(jī)2。
[0048] 圖11圖示從交換機(jī)接收DAD消息,特別在交換機(jī)1處從交換機(jī)2接收NS DAD (ADD1)。這時(shí),如果對(duì)于來自交換機(jī)的DAD消息不存在條目,則不創(chuàng)建條目,并且僅任何 DAD消息均被轉(zhuǎn)發(fā)到其它交換機(jī)。交換機(jī)2稍后可以發(fā)送NA重載消息(ADD1,TLLA0),并且 交換機(jī)1盡管仍然沒有創(chuàng)建條目,但是將NA重載消息(ADD1,TLLA0)轉(zhuǎn)發(fā)到客戶端1,因?yàn)?該消息不是DAD消息。
[0049] 相反地,圖12圖示來自交換機(jī)的DAD消息的另一接收,但是現(xiàn)在當(dāng)交換機(jī)1接收 到NS DAD (ADD1)時(shí),對(duì)于客戶端1條目已經(jīng)存在。這時(shí),不更新條目,但是交換機(jī)1通過 將NS DAD (ADD1)發(fā)送到客戶端1 (所有者)與條目所有者核對(duì)。如果客戶端1將NA重載 (ADD 1,TLLA0)返回給交換機(jī)1,則條目變成REACHABLE,并且NA重載(ADD 1,TLLA0)被轉(zhuǎn)發(fā) 到交換機(jī)2。
[0050] 圖13圖示從交換機(jī)接收S/T LLAO ND消息,在圖13中,如果交換機(jī)2將ND消息 (ADD1,S/TLLA0)發(fā)送回到交換機(jī)1 (其已經(jīng)具有ADD1的現(xiàn)有條目),則消息被丟棄,因?yàn)榻?換機(jī)2具有比客戶端1更低的信任級(jí)別。
[0051] 具體地根據(jù)本文中所描述的新穎技術(shù),圖14-23圖示針對(duì)在本地端口不受信任情 況下的多路交換操作的示例消息交換時(shí)序圖。
[0052] 在例如圖示第一 DAD消息的接收的圖14中,客戶端1將NS DAD (ADD1)發(fā)送到交換 機(jī)1,并且啟動(dòng)延時(shí)定時(shí)器。在接收時(shí),交換機(jī)1為ADD1創(chuàng)建條目TENTATIVE,并且同樣啟 動(dòng)延時(shí)定時(shí)器。在這個(gè)延遲期間,交換機(jī)1可以將NS DAD(ADD1)轉(zhuǎn)發(fā)到交換機(jī)2。
[0053] 另一方面,根據(jù)本文技術(shù),在圖15中,在接收到第一非DAD消息(諸如來自客戶端 1的ND消息(ADD1))時(shí),交換機(jī)1同樣創(chuàng)建條目TENTATIVE并且啟動(dòng)延時(shí)定時(shí)器,但是停止 ND消息。然后生成新的NS DAD(ADD1)消息并且將它轉(zhuǎn)發(fā)到交換機(jī)2。
[0054] 如圖16中所示,交換機(jī)1使其"最小DAD T0"(超時(shí))值超時(shí),并且如果和其它 交換機(jī)的DAD操作是成功的,則ADD1的條目變成INCOMPLETE,直到客戶端1發(fā)送NA重載 (ADD1,TLLA0)消息為止。這時(shí),ADD1的條目變成REACHABLE,其相應(yīng)中繼到交換機(jī)2。
[0055] 然而,如果如圖17中所示,客戶端1的延遲首先期滿,并且接收ND消息(ADD1, 無 S/TLLA0)同時(shí)ADD1在交換機(jī)1處仍然是暫定的,則停止消息。最后,ADD1的條目在交 換機(jī)1的TENTATIVE定時(shí)器期滿時(shí)變成INCOMPLETE。如果INCOMPLETE狀態(tài)超時(shí),則交換 機(jī)1將通過將NS DAD(ADD1)發(fā)送到客戶端1來輪詢客戶端1。如果客戶端1返回NA重載 (ADD1,TLLA0),則在交換機(jī)1處ADD1的條目變成REACHABLE。
[0056] 在圖18中示出了在TENTATIVE狀態(tài)下接收ND/LLA0消息。特別地,當(dāng)客戶端1將 ND消息(ADD1,S/TLLA0)發(fā)送到交換機(jī)1然而ADD1仍然是TENTATIVE時(shí),交換機(jī)1丟棄該 消息。最后,ADD1的條目從TENTATIVE移動(dòng)至REACHABLE。當(dāng)客戶端1稍后發(fā)送NA重載 (ADD1,TLLA0)消息時(shí),這個(gè)消息被轉(zhuǎn)發(fā)到交換機(jī)2,因?yàn)锳DD1的條目是REACHABLE。
[0057] 圖19圖示在條目已經(jīng)處于TENTATIVE狀態(tài)時(shí)從交換機(jī)接收DAD消息的示例。特 別地,在客戶端1發(fā)送NS DAD (ADD1)之后,并且條目由交換機(jī)1以TENTATIVE狀態(tài)創(chuàng)建,像 上面所指出的那樣轉(zhuǎn)發(fā)所對(duì)應(yīng)的NS DAD (ADD1)。如果交換機(jī)2將它自己的NS DAD (ADD1)發(fā) 送到交換機(jī)1,根據(jù)本文技術(shù),即使交換機(jī)2具有較高的信任值然后新的DAD消息指示新的 條目創(chuàng)建。因?yàn)榭蛻舳?不能夠自我防御,所以交換機(jī)1丟棄該消息。
[0058] 圖20圖示在與TENTATIVE條目存在沖突時(shí)的場(chǎng)景。例如,在接收到NS DAD (ADD1) 并且創(chuàng)建條目TENTATIVE (以及將NS DAD (ADD1)轉(zhuǎn)發(fā)到交換機(jī)2)之后,如果交換機(jī)2發(fā)送 NA重載(ADD1,TLLA0)(具有較高信任),則消息是有效的,并且條目被去除。同樣地,NA重 載(ADD1,TLLA0)被發(fā)送到客戶端1以更新它自己的條目狀態(tài)。
[0059] 更進(jìn)一步地,圖21圖示從交換機(jī)接收DAD消息的不同示例。特別地,如果交換機(jī) 1從交換機(jī)2接收NS DAD (ADD1),則當(dāng)條目已經(jīng)不存在時(shí),因?yàn)镈AD消息來自交換機(jī),所以 沒有條目被創(chuàng)建,并且DAD消息被停止(僅轉(zhuǎn)發(fā)到干線(trunk))。當(dāng)交換機(jī)2跟隨NA重載 (ADD1,TLLA0)時(shí),條目仍然未被創(chuàng)建,但是因?yàn)橄⒉皇荄AD,所以NA重載(ADD1,TLLA0) 被相應(yīng)轉(zhuǎn)發(fā)到客戶端1。
[0060] 如圖22中所示,如果在圖21中條目已經(jīng)存在,則該條目仍然未被更新,但是 現(xiàn)在交換機(jī)1用NS DAD(ADDl)與條目所有者客戶端1核對(duì)。如果客戶端1用NA重 載(ADD1,TLLA0)進(jìn)行響應(yīng),則在交換機(jī)1處ADD1的條目變成REACHABLE,并且NA重載 (ADD1,TLLA0)被轉(zhuǎn)發(fā)到交換機(jī)2。
[0061] 最后,圖23圖示在交換機(jī)1處從交換機(jī)2接收ND消息(ADD1,S/TLLA0),其中ADD1 的條目已經(jīng)存在。如果交換機(jī)2具有比當(dāng)前條目更高的信任級(jí)別,則消息是有效的,并且條 目被去除(因?yàn)檩^高的信任條目來自交換機(jī))。相應(yīng)地,ND消息(ADD1,S/TLLA0)被轉(zhuǎn)發(fā)到 客戶端1。
[0062] 此外,圖24-28圖示用于基于信任的多路交換流示例的示例消息交換時(shí)序圖。特 別地,在圖24中(可信設(shè)備對(duì)無條目)客戶端1可以首先將NS DAD(ADDl)發(fā)送到交換 機(jī)1,并且啟動(dòng)其延時(shí)定時(shí)器,在將NS DAD(ADD1)轉(zhuǎn)發(fā)到交換機(jī)2之前交換機(jī)1創(chuàng)建條目 INCOMPLETE。如果交換機(jī)2沒有ADD1的條目,則它停止該消息(僅轉(zhuǎn)發(fā)到干線)。一旦 客戶端1延遲結(jié)束,它就將NA重載(ADD1,TLLA0)消息發(fā)送到交換機(jī)1,這允許條目變成 REACHABLE。這時(shí),交換機(jī)2可以相應(yīng)將NA重載(ADD1,TLLA0)發(fā)送到客戶端2。
[0063] 替換地,在圖25中(可信設(shè)備對(duì)不可信設(shè)備),假定當(dāng)交換機(jī)2從交換機(jī)1接收到 第一 NS DAD (ADD1)時(shí),從而假定對(duì)于客戶端2 (對(duì)于ADD1)在交換機(jī)2上存在條目,交換機(jī)2 不更新其條目,但是用NS DAD (ADD1)與條目所有者客戶端2核對(duì)。如果客戶端2用NA重載 (ADD1,TLLA0)進(jìn)行響應(yīng),則交換機(jī)2相應(yīng)將NA重載(ADD1,TLLA0)轉(zhuǎn)發(fā)到交換機(jī)1。然而, 因?yàn)樵诮粨Q機(jī)1處已經(jīng)存在條目,并且因?yàn)榭蛻舳?是比交換機(jī)2更高的信任級(jí)別,所以NA 重載被停止。一旦在客戶端1處的延遲期滿,客戶端1就可以發(fā)送NA重載(ADD1,TLLA0), 這時(shí)在交換機(jī)1處的條目變成REACHABLE,并且NA重載(ADD1,TLLA0)傳播直到客戶端2。
[0064] 在圖26中(可信對(duì)可信),除了現(xiàn)在來自客戶端1的NA重載(ADD 1,TLLA0)到達(dá) 交換機(jī)2,發(fā)生與在圖25中相同的流。這時(shí),因?yàn)閷?duì)于客戶端2在交換機(jī)2處已經(jīng)存在ADD1 的條目,所以值得注意,在比交換機(jī)1更好的信任級(jí)別下,不基于NA重載消息改變條目。
[0065] 在圖26中,因此能夠看到,在交換機(jī)1和交換機(jī)2之間存在狀態(tài)不一致。NA消息 總是通過干線來傳播,但是它們被接收交換機(jī)丟棄。在熱備份路由器協(xié)議(HSRP)操作的情 況下,一個(gè)交換機(jī)將維持錯(cuò)誤狀態(tài)直到超時(shí)為止,并且在該交換機(jī)上的節(jié)點(diǎn)將不被更新。在 這個(gè)實(shí)例中,ND抑制可以使HSRP無效。根據(jù)本文說明性實(shí)施例,因此,這可以通過在從交 換機(jī)接收到NA消息時(shí)檢查條目來改進(jìn)。
[0066] 繼續(xù)圖27,圖示了不可信設(shè)備對(duì)無條目,當(dāng)交換機(jī)1從客戶端1接收到NS DAD (ADD1)時(shí),它創(chuàng)建條目TENTATIVE,并且將NS DAD (ADD1)轉(zhuǎn)發(fā)到交換機(jī)2。交換機(jī)2沒 有ADD1的條目,并且停止NS DAD消息,因?yàn)樗鼇碜越粨Q機(jī)(如上所述)。一旦客戶端1將 NA重載(ADD1,TLLA0)發(fā)送到交換機(jī)1,在交換機(jī)1上的條目就變成REACHABLE,并且NA重 載被傳播直到客戶端2。然而,在交換機(jī)2處,因?yàn)榻粨Q機(jī)不為遠(yuǎn)程條目保持狀態(tài),所以沒有 狀態(tài)被創(chuàng)建。
[0067] 最后,圖28圖示不可信設(shè)備對(duì)現(xiàn)有條目,其中現(xiàn)在來自客戶端1的NS DAD(ADDl) 被交換機(jī)2傳播直到客戶端2以便與條目所有者核對(duì)地址(如上所述)。如果客戶端2用 NA重載(ADD1,TLLA0)響應(yīng),則這通過交換機(jī)2被轉(zhuǎn)發(fā)到交換機(jī)1。如果交換機(jī)在交換機(jī)1 處具有比客戶端1更高的信任級(jí)別,則消息是有效的,并且條目被去除(從交換機(jī))。NA重 載(ADD1,TLLA0)然后被轉(zhuǎn)發(fā)到客戶端1使得客戶端1能夠相應(yīng)調(diào)整它對(duì)于該地址的狀態(tài)。
[0068] 應(yīng)該注意的是,圖8-28中所示出的交換僅僅是示例以用于說明,并且可以視情況 而定包括或者排除某些其它步驟/交換。而且,雖然以特定順序示出了圖8-28,但是除非明 確指出,否則這種排序不意在要求圖之間的交換的順序,并且該排序因此不意在限制本文 實(shí)施例的范圍。
[0069] 因此,本文中所描述的技術(shù)可以在交換機(jī)偵聽IPv6中管理地址驗(yàn)證狀態(tài)。特別 地,本文技術(shù)以保護(hù)要求保護(hù)地址的第一設(shè)備的方式在交換機(jī)中分發(fā)ND綁定表狀態(tài),同時(shí) 仍然通過可配置信任關(guān)系允許一些重載實(shí)現(xiàn)。也就是說,本文技術(shù)保護(hù)網(wǎng)絡(luò)不受竊取從DAD 交換看見的地址的流氓設(shè)備的影響,例如,當(dāng)在第2層(L2)處允許不可信接入時(shí)在第3層 (L3)處進(jìn)行保護(hù)。
[0070] 特別地,本文技術(shù)與由SAVI所提出的當(dāng)前機(jī)制具有至少一些關(guān)鍵差異。首先,本 文技術(shù)在可信節(jié)點(diǎn)被直接連接(與經(jīng)由另一交換機(jī)通過干線相反)時(shí)為它們維護(hù)條目。此 夕卜,本文技術(shù)通過使用DAD來識(shí)別何時(shí)為交換機(jī)中的不可信節(jié)點(diǎn)創(chuàng)建條目并且為從節(jié)點(diǎn)接 收的任何ND消息生成DAD以創(chuàng)建該條目,來建立不同的DAD流。而且,本文技術(shù)支持集中 式注冊(cè)處交換機(jī)或具有分布式散列表(DHT)的幾個(gè)交換機(jī)以找出哪一個(gè)交換機(jī)具有給定 地址的條目。
[0071] 在這種最后的情況下,例如,交換機(jī)可以將經(jīng)典的ND流變換成注冊(cè)處的注冊(cè)。同 樣地,接入(例如,客戶端-交換機(jī)通信)中的經(jīng)典的(基于組播的)ND能夠被變換成另一 經(jīng)典的ND,或者否則變換成交換機(jī)結(jié)構(gòu)中的ND注冊(cè)機(jī)制(例如,交換機(jī)-交換機(jī)通信),如 本文中所描述的那樣。值得注意,進(jìn)一步擴(kuò)展還可以反過來操作,其中來自客戶端的ND注 冊(cè)還可以被變換成交換結(jié)構(gòu)中的模式(即,變換為經(jīng)典的ND)或ND注冊(cè)機(jī)制。在上面的描 述中,例如,來自客戶端的DAD可以用ND注冊(cè)代替。這種注冊(cè)不會(huì)超出第一接收交換機(jī), 并且該交換機(jī)在注冊(cè)時(shí)的輸出可以如上所述,即,根據(jù)針對(duì)NS DAD操作所描述的流生成的 NS DAD。可以在本文中使用的ND注冊(cè)的示例可以在Thubert的標(biāo)題為"LoWPAN Backbone Router"(LoWPAN 骨干路由器)〈draft-thubert-lowpan-backbone_router> 的 IETF 互聯(lián)網(wǎng) 草案(2007年11月4日版)中找到,所述IETF互聯(lián)網(wǎng)草案成為Shelby等人的"Neighbor Discovery Optimization for Low Power and Lossy Networks (6L0WPAN),'(低功率損耗網(wǎng)絡(luò) 的鄰居發(fā)現(xiàn)優(yōu)化)<draft-ietf-61owpan-nd> (2011年10月24日版),其中的每一個(gè)的內(nèi)容 通過引用整體結(jié)合于此。
[0072] 雖然已經(jīng)示出并且描述了在交換機(jī)偵聽IPv6中管理地址驗(yàn)證狀態(tài)的說明性實(shí)施 例,但是應(yīng)當(dāng)理解的是,可以在本文實(shí)施例的范圍內(nèi)做出各種其它改編和修改。例如,關(guān)于 根據(jù)當(dāng)前標(biāo)準(zhǔn)的DAD消息(諸如由SAVI所提出的那些)已經(jīng)在本文中示出并且描述了實(shí) 施例。然而,實(shí)施例在它們更廣泛的意義上不受如此限制,并且可以實(shí)際上用于其它適合的 標(biāo)準(zhǔn),所述其它適合的標(biāo)準(zhǔn)包括但不限于利用與IPv6的DAD消息類似的消息的互聯(lián)網(wǎng)協(xié)議 的未來版本。
[0073] 前面的描述一直針對(duì)特定實(shí)施例。然而,將顯而易見的是,可以對(duì)所描述的實(shí)施例 做出其它變化和修改,以達(dá)到它們的部分或全部優(yōu)點(diǎn)。例如,明顯地設(shè)想到,本文中所描述 的組件和/或元件能夠被實(shí)現(xiàn)為被存儲(chǔ)在具有在計(jì)算機(jī)、硬件、固件或其組合上執(zhí)行的程 序指令的有形(非暫態(tài))計(jì)算機(jī)可讀介質(zhì)(例如,磁盤/CD/等)上的軟件。因此本描述將 僅通過示例的方式進(jìn)行,而不以其它方式限制本文實(shí)施例的范圍。因此,所附權(quán)利要求的目 標(biāo)是涵蓋如落入本文實(shí)施例的精神和范圍內(nèi)的所有這樣的變化和修改。
【權(quán)利要求】
1. 一種方法,包括: 從不可信的非交換機(jī)設(shè)備接收鄰居發(fā)現(xiàn)(ND)消息,所述ND消息具有相關(guān)聯(lián)的地址; 在不轉(zhuǎn)發(fā)所述ND消息的情況下創(chuàng)建處于臨時(shí)暫定狀態(tài)的所述地址的對(duì)應(yīng)的綁定條 目; 代表所述不可信的非交換機(jī)設(shè)備生成并且轉(zhuǎn)發(fā)第一重復(fù)地址檢測(cè)(DAD)消息;以及 響應(yīng)于從非所有者設(shè)備接收到第二DAD消息: 當(dāng)所述第二DAD消息的對(duì)應(yīng)的第二地址被存儲(chǔ)為暫定狀態(tài)條目時(shí)丟棄所述第二DAD消 息;以及 當(dāng)所述第二地址未被存儲(chǔ)為暫定狀態(tài)條目時(shí),將所述第二DAD消息轉(zhuǎn)發(fā)到所述第二地 址的對(duì)應(yīng)的所有者設(shè)備以用于鄰居通告(NA)防御。
2. 如權(quán)利要求1中所述的方法,進(jìn)一步包括: 確定所述ND消息的地址是否已經(jīng)是處于暫定狀態(tài)的條目;以及 僅響應(yīng)于所述地址已經(jīng)不是處于所述暫定狀態(tài)的條目而創(chuàng)建所述條目并且轉(zhuǎn)發(fā)所述 DAD消息。
3. 如權(quán)利要求1中所述的方法,進(jìn)一步包括: 從比當(dāng)前擁有與所述非DAD消息的地址相對(duì)應(yīng)的特定條目的第二設(shè)備更可信的第一 設(shè)備接收非DAD消息; 將所述當(dāng)前條目讓給所述第一設(shè)備;以及 將所述非DAD消息傳遞給所述第二設(shè)備。
4. 如權(quán)利要求3中所述的方法,進(jìn)一步包括: 響應(yīng)于所述第一設(shè)備是交換機(jī),去除所述特定條目;以及 響應(yīng)于所述第一設(shè)備不是交換機(jī),更新所述特定條目以將所述第一設(shè)備體現(xiàn)為所述非 DAD消息的地址的所有者。
5. 如權(quán)利要求1中所述的方法,進(jìn)一步包括: 從交換機(jī)接收另一 ND消息;以及 響應(yīng)于該另一 ND消息來自交換機(jī),不創(chuàng)建綁定條目。
6. 如權(quán)利要求1中所述的方法,其中,所述臨時(shí)暫定狀態(tài)持續(xù)800ms。
7. 如權(quán)利要求1中所述的方法,其中,轉(zhuǎn)發(fā)所述DAD消息包括將所述DAD消息單播到配 置成維護(hù)條目的數(shù)據(jù)庫的注冊(cè)表。
8. 如權(quán)利要求7中所述的方法,進(jìn)一步包括: 由所述注冊(cè)表確定對(duì)于所述地址所述注冊(cè)表是否具有注冊(cè)的設(shè)備; 響應(yīng)于注冊(cè)的設(shè)備,將所述DAD消息從所述注冊(cè)表轉(zhuǎn)發(fā)到所述注冊(cè)的交換機(jī);以及 響應(yīng)于無注冊(cè)的設(shè)備,在所述注冊(cè)表處丟棄所述DAD消息。
9. 如權(quán)利要求1中所述的方法,其中,轉(zhuǎn)發(fā)所述DAD消息包括響應(yīng)于不存在維護(hù)條目的 數(shù)據(jù)庫的注冊(cè)表而組播所述DAD消息。
10. -種裝置,包括: 用來在計(jì)算機(jī)網(wǎng)絡(luò)中通信的一個(gè)或多個(gè)網(wǎng)絡(luò)接口; 耦合到所述網(wǎng)絡(luò)接口并且適于執(zhí)行一個(gè)或多個(gè)進(jìn)程的處理器;以及 配置成存儲(chǔ)可由所述處理器執(zhí)行的進(jìn)程的存儲(chǔ)器,所述進(jìn)程當(dāng)被執(zhí)行時(shí)可操作來: 從不可信的非交換機(jī)設(shè)備接收鄰居發(fā)現(xiàn)(ND)消息,所述ND消息具有相關(guān)聯(lián)的地址; 在不轉(zhuǎn)發(fā)所述ND消息的情況下創(chuàng)建處于臨時(shí)暫定狀態(tài)的所述地址的對(duì)應(yīng)的綁定條 目; 代表所述不可信的非交換機(jī)設(shè)備生成并且轉(zhuǎn)發(fā)第一重復(fù)地址檢測(cè)(DAD)消息;以及 響應(yīng)于從非所有者設(shè)備接收到第二DAD消息: 當(dāng)所述第二DAD消息的對(duì)應(yīng)的第二地址被存儲(chǔ)為暫定狀態(tài)條目時(shí)丟棄所述第二DAD消 息;以及 當(dāng)所述第二地址未被存儲(chǔ)為暫定狀態(tài)條目時(shí),將所述第二DAD消息轉(zhuǎn)發(fā)到所述第二地 址的對(duì)應(yīng)的所有者設(shè)備以用于鄰居通告(NA)防御。
11. 如權(quán)利要求10中所述的裝置,其中,所述進(jìn)程當(dāng)被執(zhí)行時(shí)進(jìn)一步可操作來: 確定所述ND消息的地址是否已經(jīng)是處于暫定狀態(tài)的條目;以及 僅響應(yīng)于所述地址已經(jīng)不是處于所述暫定狀態(tài)的條目而創(chuàng)建所述條目并且轉(zhuǎn)發(fā)所述 DAD消息。
12. 如權(quán)利要求10中所述的裝置,其中,所述進(jìn)程當(dāng)被執(zhí)行時(shí)進(jìn)一步可操作來: 從比當(dāng)前擁有與所述非DAD消息的地址相對(duì)應(yīng)的特定條目的第二設(shè)備更可信的第一 設(shè)備接收非DAD消息; 將所述當(dāng)前條目讓給所述第一設(shè)備;以及 將所述非DAD消息傳遞給所述第二設(shè)備。
13. 如權(quán)利要求12中所述的裝置,其中,所述進(jìn)程當(dāng)被執(zhí)行時(shí)進(jìn)一步可操作來: 響應(yīng)于所述第一設(shè)備是交換機(jī)而去除所述特定條目;以及 響應(yīng)于所述第一設(shè)備不是交換機(jī)而更新所述特定條目以將所述第一設(shè)備體現(xiàn)為所述 非DAD消息的地址的所有者。
14. 如權(quán)利要求10中所述的裝置,其中,所述進(jìn)程當(dāng)被執(zhí)行時(shí)進(jìn)一步可操作來: 從交換機(jī)接收另一 ND消息;以及 響應(yīng)于該另一 ND消息來自交換機(jī),不創(chuàng)建綁定條目。
15. 如權(quán)利要求10中所述的裝置,其中,所述臨時(shí)暫定狀態(tài)持續(xù)800ms。
16. 如權(quán)利要求10中所述的裝置,其中,所述進(jìn)程當(dāng)被執(zhí)行以轉(zhuǎn)發(fā)所述DAD消息時(shí),可 操作來將所述DAD消息單播到配置成維護(hù)條目的數(shù)據(jù)庫的注冊(cè)表。
17. 如權(quán)利要求10中所述的裝置,其中,所述進(jìn)程當(dāng)被執(zhí)行以轉(zhuǎn)發(fā)所述DAD消息時(shí),可 操作來響應(yīng)于不存在維護(hù)條目的數(shù)據(jù)庫的注冊(cè)表而組播所述DAD消息。
18. -種具有編碼在其上的軟件的有形非暫態(tài)計(jì)算機(jī)可讀介質(zhì),所述軟件當(dāng)被處理器 執(zhí)行時(shí)可操作來: 從不可信的非交換機(jī)設(shè)備接收鄰居發(fā)現(xiàn)(ND)消息,所述ND消息具有相關(guān)聯(lián)的地址; 在不轉(zhuǎn)發(fā)所述ND消息的情況下創(chuàng)建處于臨時(shí)暫定狀態(tài)的所述地址的對(duì)應(yīng)的綁定條 目; 代表所述不可信的非交換機(jī)設(shè)備生成并且轉(zhuǎn)發(fā)第一重復(fù)地址檢測(cè)(DAD)消息;以及 響應(yīng)于從非所有者設(shè)備接收到第二DAD消息: 當(dāng)所述第二DAD消息的對(duì)應(yīng)的第二地址被存儲(chǔ)為暫定狀態(tài)條目時(shí)丟棄所述第二DAD消 息;以及 當(dāng)所述第二地址未被存儲(chǔ)為暫定狀態(tài)條目時(shí),將所述第二DAD消息轉(zhuǎn)發(fā)到所述第二地 址的對(duì)應(yīng)的所有者設(shè)備以用于鄰居通告(NA)防御。
19. 如權(quán)利要求18中所述的計(jì)算機(jī)可讀介質(zhì),其中,所述軟件當(dāng)被執(zhí)行時(shí)進(jìn)一步可操 作來: 確定所述ND消息的地址是否已經(jīng)是處于暫定狀態(tài)的條目;以及 僅響應(yīng)于所述地址已經(jīng)不是處于所述暫定狀態(tài)的條目而創(chuàng)建所述條目并且轉(zhuǎn)發(fā)所述 DAD消息。
20. 如權(quán)利要求18中所述的計(jì)算機(jī)可讀介質(zhì),其中,所述軟件當(dāng)被執(zhí)行時(shí)進(jìn)一步可操 作來: 從比當(dāng)前擁有與所述非DAD消息的地址相對(duì)應(yīng)的特定條目的第二設(shè)備更可信的第一 設(shè)備接收非DAD消息; 將所述當(dāng)前條目讓給所述第一設(shè)備;以及 將所述非DAD消息傳遞給所述第二設(shè)備。
【文檔編號(hào)】H04L29/06GK104067592SQ201380006066
【公開日】2014年9月24日 申請(qǐng)日期:2013年1月18日 優(yōu)先權(quán)日:2012年1月20日
【發(fā)明者】帕斯卡·舒伯特, 艾瑞克·李維-阿白哥諾里 申請(qǐng)人:思科技術(shù)公司