CN101909007B - 绑定表项生成方法、装置及网络设备 - Google Patents
绑定表项生成方法、装置及网络设备 Download PDFInfo
- Publication number
- CN101909007B CN101909007B CN2010102409927A CN201010240992A CN101909007B CN 101909007 B CN101909007 B CN 101909007B CN 2010102409927 A CN2010102409927 A CN 2010102409927A CN 201010240992 A CN201010240992 A CN 201010240992A CN 101909007 B CN101909007 B CN 101909007B
- Authority
- CN
- China
- Prior art keywords
- list item
- mac address
- binding list
- variation
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004519 manufacturing process Methods 0.000 title abstract description 6
- 238000000034 method Methods 0.000 claims abstract description 47
- 238000012544 monitoring process Methods 0.000 claims abstract description 42
- 238000001514 detection method Methods 0.000 claims abstract description 35
- 239000000523 sample Substances 0.000 claims description 33
- 230000004044 response Effects 0.000 claims description 32
- 230000008859 change Effects 0.000 claims description 23
- 230000005012 migration Effects 0.000 abstract description 11
- 238000013508 migration Methods 0.000 abstract description 11
- 230000008569 process Effects 0.000 description 12
- 230000032683 aging Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 238000003860 storage Methods 0.000 description 5
- 230000002950 deficient Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供一种绑定表项生成方法、装置及网络设备,其中方法包括:监测本地MAC地址表;当监测到MAC地址表发生变化时,根据MAC地址表中的变化表项信息和预存储的RA报文信息,生成变化表项信息中的变化端口的绑定表项。本发明技术方案通过监测MAC地址表发现网络迁移,根据变化的MAC地址表项生成对应的绑定表项,绑定表项的生成不依赖终端发出的地址冲突检测报文,终端无须感知网络迁移,可在终端不与网络设备直接连接的网络拓扑结构下,现绑定表项的生成。
Description
技术领域
本发明涉及网络通信技术,尤其涉及一种绑定表项生成方法、装置及网络设备。
背景技术
在IPV6无状态自动分配地址环境中,常见的网络拓扑结构如图1所示,该网络拓扑包括终端11、与终端11连接的ND Snooping12以及与NDSnooping12连接的路由设备13。其中,终端11是指预获取IPV6地址的各种入网设备,例如个人计算机(Personal Computer;简称为:PC);路由设备13用于为终端11分配IPV6地址;ND Snooping12的作用是生成安全表项,对终端11发出的数据进行源地址安全过滤。
其中,终端11通过ND Snooping12向路由设备13发出路由器请求消息(Router Solicitation Message;简称为:RS)报文以使路由设备13为其分配IP地址。路由设备13收到RS报文后,向ND Snooping12发送路由器通告消息(Router Advertisement Message;简称为:RA)报文。NDSnooping12通过设置与路由设备13相连的上联端口为trust端口,对路由设备13发出的RA报文进行过滤。如果ND Snooping12接收到从非trust端口来的RA报文,则将该RA报文丢掉;反之,将该RA报文发送给终端11。终端11接收到合法的RA报文后,提取RA报文携带的前缀,并与自身的MAC地址组合成无状态自动分配的IPV6地址。此时,终端11会向同一网段的其他终端发送邻居请求消息(Neighbor Solicitation Message;简称为:NS)报文以进行地址冲突检测(Address Conflict Detection;简称为:DAD),并在预设时间戳内根据是否接收到邻居通告 消息(Neighbor Advertisement Message;简称为:NA)报文来决定该IPV6地址是否分配成功。如果没有接收到NA报文,表明该IPV6地址分配成功,终端11可以使用该分配的地址接入网络;反之,则表明该地址分配失败。在上述终端11获取IPV6地址的过程中,ND Snooping12通过嗅探地址冲突检测过程,并在嗅探到IPV6地址分配成功时为终端11建立绑定表项,该绑定表项包括终端11的MAC地址、所在网段号、老化时间等信息。ND Snooping12根据该绑定表项对终端11的报文进行过滤,实现网络的安全接入。
在图1所示的网络结构中,终端11直接与ND Snooping12连接,当网络中终端11的数量较多时,需要ND Snooping12具有较多数量的端口,而通常ND Snooping12的端口数量是有限制的。因此,为了扩展NDSnooping12的端口功能,可以采用图2所示的网络拓扑结构,该网络拓扑结构通过在终端11和ND Snooping12之间设置端口扩展设备,例如HUB 14(也可以是不具有ND Snooping功能的交换机),实现对ND Snooping12端口的扩展。但是,在图2所示的网络拓扑结构中,若HUB 14所连接的ND Snooping12的端口发生改变时,例如从ND Snooping12的端口G0/1变化到端口G0/2,或者改连到其他ND Snooping12时,终端11由于无法感知这种变化,将不会发出NS报文进行DAD检测,这样ND Snooping12的端口G0/2或者新的ND Snooping12将不会生成终端11的绑定表项,因此,终端11的报文将被过滤掉,以致使终端11无法正常通信。因此,在图2所示扩展ND Snooping12端口的网络拓扑中,如何生成绑定表项成为必须解决的问题。
发明内容
本发明提供一种绑定表项生成方法、装置及网络设备,用以在扩展网络设备端口的同时,实现绑定表项的生成。
本发明提供一种绑定表项生成方法,包括:
监测本地MAC地址表;
当监测到所述MAC地址表发生变化时,根据所述MAC地址表中的变化表项信息和预存储的RA报文信息,生成所述变化表项信息中的变化端口的绑定表项;所述MAC地址表发生的变化为所述MAC地址表中变化表项信息中的MAC地址发生迁移。
本发明提供一种绑定表项生成装置,包括:
监测模块,用于监测本地MAC地址表;
生成模块,用于在所述监测模块监测到所述MAC地址表发生变化时,根据所述MAC地址表中的变化表项信息和预存储的RA报文信息,生成所述变化表项信息中的变化端口的绑定表项;所述MAC地址表发生的变化为所述MAC地址表中变化表项信息中的MAC地址发生迁移。
本发明提供一种网络设备,其包括本发明提供的绑定表项生成装置。
本发明提供的绑定表项生成方法、装置及网络设备,绑定表项生成装置通过监测其MAC地址表发现MAC地址变化,当MAC地址表有变化时,根据MAC地址表中的变化表项信息和预存储的RA报文信息生成绑定表项。本发明技术方案通过监测本地MAC地址表可以实时发现网络迁移,根据变化的MAC地址表项生成变化表项中的变化端口对应的绑定表项,绑定表项的生成不依赖终端发出的地址冲突检测报文,终端无须感知网络迁移,克服了现有绑定表项生成方法无法应用于通过端口扩展设备(例如HUB)进行端口扩展的网络结构中的缺陷,在对网络设备进行端口扩展的同时,实现绑定表项的生成。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有IPV6无状态自动分配地址环境中常见的网络拓扑结构示意图;
图2为IPV6无状态自动分配地址环境下扩展ND Snooping端口的网络拓扑结构示意图;
图3为本发明实施例一提供的绑定表项生成方法的流程图;
图4为本发明实施例二提供的绑定表项生成方法的流程图;
图5为本发明实施例三提供的绑定表项生成装置的结构示意图;
图6为本发明实施例四提供的绑定表项生成装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
图3为本发明实施例一提供的绑定表项生成方法的流程图。本实施例的执行主体为绑定表项生成装置,如图3所示,本实施例的绑定表项生成方法包括:
步骤301,监测本地MAC地址表;
其中,本实施例的绑定表项生成装置可以独立于网络设备而与网络设备连接,也可以作为网络设备的一个功能模块设置于网络设备内。而网络设备例如可以为ND Snooping设备或者具有ND Snooping功能的路由设备(例如三层交换机)。
在本步骤301中,绑定表项生成装置监测本地介质访问控制(Medium Access Control;简称为:MAC)地址表,以通过MAC地址表的变化发现所在网络是否发生网络迁移。例如是否发生图2所示的扩 展端口用的HUB14由端口G0/1变换到端口G0/2,或者由新终端通过NDSnooping接入网络等。其中,当绑定表项生成装置监测到MAC地址表有MAC地址迁移(例如:终端的物理位置发生变化时,从绑定表项生成装置的一个端口迁移到了另一个端口)或者由新MAC地址加入时,即可判断网络发生迁移。
步骤302,判断是否监测到MAC地址表发生变化;若监测到MAC地址表发生变化,则执行步骤303;反之,则执行步骤301,即继续监测MAC地址表的变化情况。
步骤303,根据MAC地址表中的变化表项信息和预存储的RA报文信息,生成变化表项信息中的变化端口的绑定表项。
其中,在无状态自动分配地址机制中,端口的绑定表项包括终端的MAC地址、由该MAC地址和RA报文前缀生成的IPV6地址、接收端口、老化时间以及网段号等信息。其中,绑定表项生成装置会根据接收到的报文进行MAC地址的学习,并将学习到的MAC地址和接收报文的端口的对应关系存储在其MAC地址表中,即在绑定表项生成装置的MAC地址表中存储各端口与挂接在各端口的终端的MAC地址之间的对应关系。根据上述,可知各端口上的绑定表项应该与MAC地址表相对应,即每个绑定表项中的MAC地址对应于MAC地址表中的一个MAC地址。其中,本实施例所称的变化表项是指MAC地址表中发生变化的表项。例如当MAC地址表中新增一个MAC地址时,则记录该新增MAC地址以及该新增MAC地址对应的端口的一项记录,即为变化表项;而变化表项信息即为所记录的新增MAC地址以及其对应的端口等信息。其中,记录在变化表项中的端口即为变化端口,同时,该端口也即为需要生成绑定表项的端口。
本步骤302用于在MAC地址表发生变化时,获知变化端口,并生成变化端口的绑定表项。同理,该绑定表项中包括MAC地址、IPV6地址、接收端口(即变化端口)、老化时间以及网段号等信息。其中,当生成变化端口 的绑定表项后,将继续执行步骤301,即继续监测MAC地址表。
本实施例的绑定表项生成方法,利用端口的绑定表项与MAC地址表的对应关系,监测本地MAC地址表的变化情况,并在监测到MAC地址表发生变化时,根据变化表项信息和预存储的RA报文信息,生成变化端口对应的绑定表项。本发明技术方案通过监测本地MAC地址表可以实时发现网络迁移,根据变化的MAC地址表项生成变化表项信息中变化端口的绑定表项,绑定表项的生成不依赖终端发出的地址冲突检测报文,终端无须感知网络迁移;同时,通过本发明技术方案可以克服现有绑定表项生成方法无法应用于通过端口扩展设备(例如HUB)进行端口扩展的网络结构中的缺陷,在对绑定表项生成装置进行端口扩展的同时,实现绑定表项的生成。
其中,绑定表项生成装置可以根据变化表项信息中的MAC地址和RA报文信息中的前缀,按照RFC4862的规定生成IPV6地址。进一步,获取变化表项信息中的MAC地址和变化端口号、以及RA报文信息,并结合生成的与MAC地址对应的IPV6地址,生成变化端口的绑定表项。其中,RA报文信息还包括生成绑定表项所需的老化时间、网段号等信息。该RA报文信息可以在绑定表项生成装置接收路由设备发送的响应RS报文的RA报文中获取。具体的,绑定表项生成装置可以在判断该RA报文合法后,获取其中的前缀、老化时间以及网段号等生成RA报文信息并存储。则由上述过程生成的绑定表项包括终端的MAC地址、对应的IPV6地址、接收端口、老化时间以及网段号等信息。进一步,绑定表项生成装置可基于上述绑定表项对接收到的终端的报文进行过滤处理,以保证网络接入时的安全性。
实施例二
图4为本发明实施例二提供的绑定表项生成方法的流程图。本实施例可基于实施例一实现,其执行主体也为绑定表项生成装置,如图2所示,本实施例的绑定表项生成方法包括:
步骤401,监测本地MAC地址表;
步骤402,判断监测的MAC地址表是否发生变化;当绑定表项生成装置监测到其MAC地址表发生变化时,执行步骤403;反之,返回步骤401,继续执行监测操作。
步骤403,根据MAC地址表中的变化表项信息和预存储的RA报文信息,生成探测报文,并执行步骤404;
本步骤403用于当绑定表项生成装置监测到其MAC地址表发生变化,获知网络发生迁移时,根据MAC地址表中发生变化的MAC地址(例如新增MAC地址,或者由一个端口迁移到另一端口发生迁移的MAC地址),和预存储的RA报文信息中的前缀,生成发生变化的MAC地址对应的IPV6地址,进而生成包含该IPV6地址的探测报文。其中,本实施例的探测报文用于探测使用该IPV6地址的终端的存在状态,其可以是根据私有协议预先约定的报文,也可以采用现有的报文,例如NS报文,本实施例并不对探测报文的实现方式进行限制。其中,采用现有NS报文其实现简单,且可与现有技术兼容,因此,本实施例以NS报文作为探测报文,则绑定表项生成装置将生成以上述IPV6地址为探测地址的NS报文,即将上述IPV6地址为NS报文的目的IP地址。
步骤404,将该探测报文发送给同网段内的终端,并执行步骤405;
当绑定表项生成装置生成NS报文后,可以通过组播或广播的形式将NS报文发送给绑定表项生成装置所在同一局域网内的所有终端,其中MAC地址表中发生变化的MAC地址对应的终端也在上述局域网内。
步骤405,等待接收终端返回的探测响应报文;当在预设时间内接收到终端返回的探测响应报文时,执行步骤406;反之,转去执行步骤404,即再次发送探测报文;
其中,探测响应报文是使用由发生变化的MAC地址生成的IPV6地址的终端对探测报文做出的应答报文,该探测响应报文中携带有终端的所要生成绑定的IP地址(即上述IPV6地址),以确认终端是使用这个地址。在本实 施例中,该探测响应报文具体为NA报文。
具体的,同一网段内的终端接收到绑定表项生成装置发送的NS报文后,会根据其目的IP地址判断是否接收并响应该NS报文。其中,只有使用上述IPV6地址的终端响应NS报文并返回NA报文。若此时该终端仍然在线,则该终端将会对NS报文做出响应,即返回NA报文。
步骤406,根据接收到的探测响应报文和预存储的RA报文信息,生成变化端口的绑定表项,并转去执行步骤401,继续监测MAC地址表的变化情况,以便进行下一次绑定表项的生成。
其中,终端返回的NA报文中携带有上述IPV6地址以及终端的MAC地址(即NA报文的源MAC地址)等信息。绑定表项生成装置可以从接收到的NA报文中获取上述IPV6地址、终端的MAC地址,并获取接收NA报文的端口以及RA报文信息中的老化时间和网段号等信息,用以在绑定表项生成装置的变化端口上生成所对应的终端的绑定表项。其中,根据NA报文携带的信息生成绑定表项的方法,可以直接获取绑定表项中的各种信息,例如可以直接获取IPV6地址,进而节约了生成IPV6地址的操作。
进一步,需要说明的是,在本实施例步骤405中,为了防止由于网络链路等原因引起的探测报文丢失的问题,当绑定表项生成装置在预设时间内未收到探测响应报文时,将会重新发送探测报文,以便保证正确接收NA报文。但是该重新发送探测报文的操作不是无限制的执行,例如,当使用该IPv6地址的终端正好在发送探测报文的瞬间下线,则此时将不会有NA报文返回。因此,为了避免无限制的重发探测报文,在本实施例中将设定一重发次数阈值,当重发次数达到预设重发次数阈值时,将不再发送探测报文,并认为该终端已经下线,将不再为该终端建立绑定表项。
本实施例的绑定表项生成方法,由绑定表项生成装置发起绑定表项的建立过程,通过探测报文和探测响应报文验证使用IPV6地址的终端的存在状态,并在确认终端存在时,根据终端的探测响应报文在绑定表项生成装置的 端口上为终端建立绑定表项,既可以保证成功为终端建立绑定表项,又可以避免在终端不存在时建立绑定表项造成的资源浪费;且本实施例根据终端返回的NA报文建立绑定表项,可以实现与现有相关技术(例如,DAD检测过程等)的兼容。
其中,本发明上述技术方案并不限于应用在通过端口扩展设备(例如HUB)扩展绑定表项生成装置端口的网络拓扑结构中,也可应用于终端直接与绑定表项生成装置连接的网络拓扑结构中,且同样适用于既有终端直接与绑定表项生成装置连接,也有终端通过端口扩展设备与绑定表项生成装置连接的网络拓扑结构中。即本发明技术方案具有更强的适用性。
进一步,为了使本发明技术方案能够更好地与现有基于DAD检测过程生成绑定表项的技术方案相兼容,本实施例技术方案在根据变化表项信息生成变化端口的绑定表项之前,还包括查询变化端口的绑定表项信息的操作。其中,绑定表项信息为绑定表项存储的内容,例如MAC地址、IPV6地址、接收端口等信息。查询绑定表项信息的操作结果包括:查询到该变化端口存在绑定表项,或者查询到变化端口的绑定表项不存在。
其中,当查询到该变化端口的绑定表项不存在时,则可按照本发明上述实施例的方法为该变化端口建立绑定表项。若查询到该变化端口已存在绑定表项时,则将查询获取到的变化端口的绑定表项信息与对应的MAC地址表中的变化表项信息进行比较,并判断绑定表项信息是否与变化表项信息是否一致。若比较得出该变化端口已存在的绑定表项中存储的内容与MAC地址表中的变化表项信息一致(例如,绑定表项生成装置可能通过DAD检测过程已经为该变化端口建立了绑定表项,从而使得存在绑定表项与变化表项信息一致),则不再为该变化端口建立绑定表项,以节约操作流程及资源。若比较得出变化端口存在绑定表项中的内容与对应的MAC地址表中的变化表项信息不一致(例如,由于终端发生迁移使得MAC地址由第一端口变化到第二端口,但第二端口原来的绑定表项尚未被删除),则将根据本发明技术方 案生成变化端口的绑定表项,并对该变化端口的绑定表项进行更新。
本发明上述技术方案可以与现有技术实现兼容。具体的,在实施过程中可以现有技术为主实现绑定表项的生成,而本发明技术方案可用于在特殊网络拓扑结构或者特殊情况下对绑定表项进行更新。即通过上述方式可以在保证不对网络拓扑和现有协议进行较大更改的情况下,提高生成绑定表项的成功率,进而保证基于绑定表项对终端报文进行过滤实现网络接入时的安全性。
实施例三
图5为本发明实施例三提供的绑定表项生成装置的结构示意图。本实施例的绑定表项生成装置可以独立于网络设备而与网络设备连接,也可以作为网络设备的一部分而设置于网络设备内,主要用于生成绑定表项,对终端发送的数据进行源地址安全过滤。其中,网络设备可以是独立的ND Snooping设备,也可以是具有ND Snooping功能的路由设备(例如三层交换机)。如图5所示,本实施例的绑定表项生成装置包括:监测模块51和生成模块52。
其中,监测模块51,与生成模块52连接,用于监测本地绑定表项生成装置的MAC地址表。具体的,监测模块51可以实时或定时监测绑定表项生成装置的MAC地址表的变化情况,以监测网络是否发生迁移。其中,监测模块51可能会监测到有新增MAC地址或者某一个或某些MAC地址对应的端口由一个变化为另一个(可能由终端物理位置的迁移而引起)等情况。
生成模块52,用于在监测模块51监测到MAC地址表发生变化时,根据MAC地址表中的变化表项信息和预存储的RA报文信息,生成变化表项信息中的变化端口的绑定表项。其中,变化表项是指MAC地址表中发生变化的表项,例如新增MAC地址对应的表项或者对应端口发生变化的MAC地址对应的表项等。而变化表项信息是指变化表项中存储的内容,例如发生变化的MAC地址,以及其对应的端口(以端口号表示)等信息。其中变化表项信息中的端口即为变化端口,同时,在本实施例中也即需要生成绑定表项的端口。
具体的,由于绑定表项生成装置上端口的绑定表项中存储有终端的MAC 地址,以及终端使用的并根据终端的MAC地址生成的IPV6地址,因此,每个端口的绑定表项应该与MAC地址表中的某个表项信息相对应,故可以根据MAC地址表中变化表项信息获知需要生成绑定表项的端口(即变化端口),并可根据变化表项信息中的MAC地址以及预存储的RA报文信息生成获取的端口的绑定表项。
本实施例的绑定表项生成装置,可用于执行本发明实施例提供的绑定表项生成方法的流程,通过监测模块监测本地MAC地址表可以实时发现网络迁移,根据变化的MAC地址表项生成变化表项信息中变化端口的绑定表项,绑定表项的生成不依赖终端发出的地址冲突检测报文,终端无须感知网络迁移;同时,本发明技术方案并不限定终端与绑定表项生成装置的连接方式(既可以直接连接,也可以通过其他设备连接),即本发明技术方案可以克服现有技术无法适用于通过端口扩展设备(例如HUB)进行端口扩展的网络结构中的缺陷,在对绑定表项生成装置进行端口扩展的同时,实现绑定表项的生成。
其中,本实施例的生成模块52具体可以根据变化表项信息中的MAC地址和RA报文中信息中的前缀,按照RFC4862的规定生成IPV6地址。其中,RA报文信息是根据路由设备通过绑定表项生成装置向终端返回的RA报文获取的,即获取RA报文携带的前缀(可由RFC4862决定)、老化时间以及网段号等信息。进一步,生成模块52可以获取变化表项信息中的MAC地址和变化端口号、以及RA报文信息,并结合生成的与MAC地址对应的IPV6地址,生成变化端口的绑定表项。通过上述技术方案,生成模块52可以为绑定表项生成装置上各个连接有终端的端口建立绑定表项,以使绑定表项生成装置根据建立的绑定表项对终端报文进行过滤,使终端安全接入网络。
实施例四
图6为本发明实施例四提供的绑定表项生成装置的结构示意图。本实施例基于实施例五实现,其区别在于,本实施例的绑定表项生成装置还包括: 探测模块61、接收模块62和重新发送模块63。
其中,探测模块61,与监测模块51连接,用于在监测模块51监测到绑定表项生成装置的MAC地址表发生变化,且在生成模块52生成变化端口的绑定表项之前,根据变化表项信息和RA报文信息,生成探测报文,并将探测报文发送给绑定表项生成装置所在同一局域网段的终端。接收模块62,与生成模块52连接,用于等待接收终端返回的探测响应报文,并在接收到探测响应报文时触发生成模块52执行生成变化端口的绑定表项的操作。其中,探测响应报文是接收并响应探测报文的终端对接收到的探测报文做出的响应报文。
具体的,探测模块61包括第一生成单元611和第二生成单元612。其中,第一生成单元611与监测模块51连接,用于根据变化表项信息中的MAC地址和RA报文信息中的前缀,按照RFC4862的规定生成IPV6地址,并将生成的IPV6地址提供给第二生成单元612;第二生成单元612,用于根据接收到的IPV6地址,生成并发送探测报文。其中,本实施例的探测报文用于探测使用该IPV6地址的终端的存在状态,其可以是根据私有协议预先约定的报文,也可以采用现有的报文,例如NS报文,本实施例并不对探测报文的实现方式进行限制。
重新发送模块63,分别与探测模块61和接收模块62连接,用于当接收模块62在预设时间内未接收到探测响应报文时,重新发送探测报文。其中更为优选的方式是在重新发送模块63内设置一重发次数阈值,当重发次数达到预设重发次数阈值时,将不再发送探测报文,并认为该终端已经下线,将不再为该终端建立绑定表项,以避免无限制重发探测报文造成的资源浪费。
基于上述技术方案,本实施例的生成模块52还可用于根据变化表项信息对应的探测响应报文和RA报文信息,生成变化端口的绑定表项。其中,在该方式下,生成模块52将不根据MAC地址表中的变化表项信息中的MAC地址和端口,结合RA报文信息生成变化端口的绑定表项。具体的,由于探 测响应报文是由使用上述IPV6地址的终端返回的,因此,探测响应报文中携带有上述IPV6地址以及终端的MAC地址(即NA报文的源MAC地址)等信息。则生成模块52获取接收模块62接收到的探测响应报文(例如对应于NS报文的NA报文)中的信息,即上述IPV6地址、终端的MAC地址,并获取接收NA报文的端口,再结合RA报文信息中的老化时间和网段号等信息,用以在绑定表项生成装置的变化端口上生成所对应的终端的绑定表项。
本实施例的绑定表项生成装置,同样可用于执行本发明实施例提供的绑定表项生成方法的流程,其在发起绑定表项的建立过程中,通过探测报文和探测响应报文验证使用IPV6地址的终端的存在状态,并在确认终端存在时,根据终端的探测响应报文在绑定表项生成装置的端口上为终端建立绑定表项;本实施例的绑定表项生成装置既可以保证成功为终端建立绑定表项,又可以避免在终端不存在时建立绑定表项造成的资源浪费。
进一步,在上述技术方案的基础上,为了实现与现有生成绑定表项的技术方案更好的兼容,本实施例的绑定表项生成装置还包括:查询确定模块64。该查询确定模块64分别与监测模块51和生成模块52连接,用于在监测模块51监测到MAC地址表有变化,并在生成模块52生成绑定表项之前,查询变化端口的绑定表项信息。其中,当变化端口存在绑定表项时,查询确定模块64需要查询获取到变化端口的绑定表项信息,并提供确定绑定表项信息与变化表项信息不一致的结果;当变化端口的绑定表项不存在时,查询确定模块64需要查询并提供变化端口的绑定表项不存在的结果。其中,绑定表项信息为绑定表项存储的内容,例如MAC地址、IPV6地址、接收端口等信息。其中,查询确定模块64的应用场景以及具体工作原理,可详见方法实施例相应部分的描述,本实施例将不再赘述。通过该查询确定模块64可以实现本发明绑定表项生成装置与现有技术的兼容。
实施例五
本发明实施例五提供一种网络设备,包括绑定表项生成装置。本实施例 的网络设备例如可以为设置于终端和路由设备(例如三层交换机或路由器)之间的独立的ND Snooping设备,也可以是具有ND Snooping功能的交换机等设备。本实施例的网络设备主要用于获取可靠终端的IPV6地址与MAC地址的对应关系,并建立绑定表项,通过所建立的绑定表项,以及结合邻居发现(Neighbor Discovery;简称为:ND)检测(ND Detection)技术,对异常的ND报文进行过滤,达到防止ND攻击的效果。其中,绑定表项生成装置可以为本发明上述实施例提供的绑定表项生成装置,具体结构、功能和工作原理详见本发明上述实施例,本实施例将不再详细介绍。
本实施例的网络设备由于包括本发明的绑定表项生成装置,因此,可以直接与终端连接,也可以通过其他端口扩展设备与终端连接,即本实施例的网络设备可应用于各种网络拓扑结构中对异常报文进行过滤,使终端安全接入网络。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种绑定表项生成方法,其特征在于,包括:
绑定表项生成装置监测本地MAC地址表;
当监测到所述MAC地址表发生变化时,所述绑定表项生成装置根据所述MAC地址表中的变化表项信息和预存储的RA报文信息,生成探测报文,并将所述探测报文发送给同网段内的终端;以及等待接收所述终端返回的探测响应报文,并在预设时间内接收到所述终端返回的所述探测响应报文时,根据所述MAC地址表中的变化表项信息和预存储的RA报文信息,生成所述变化表项信息中的变化端口的绑定表项;所述MAC地址表发生的变化为所述MAC地址表中变化表项信息中的MAC地址发生迁移,所述终端通过端口扩展设备与所述绑定表项生成装置连接。
2.根据权利要求1所述的绑定表项生成方法,其特征在于,若在预设时间内未接收到所述探测响应报文,则重新发送所述探测报文。
3.根据权利要求1所述的绑定表项生成方法,其特征在于,根据所述MAC地址表中的变化表项信息和预存储的RA报文信息,生成所述变化表项信息中的变化端口的绑定表项之前,包括:
查询获取所述变化端口的绑定表项信息,并确定所述绑定表项信息与所述变化表项信息不一致;或者
查询确定所述变化端口的绑定表项信息不存在。
4.根据权利要求1-3任一项所述的绑定表项生成方法,其特征在于,根据所述MAC地址表中的变化表项信息和预存储的RA报文信息,生成所述变化表项信息中的变化端口的绑定表项,具体为:
根据所述变化表项信息中的MAC地址和所述RA报文信息中的前缀,生成IPV6地址,以生成包含所述IPV6地址、所述变化表项信息中的MAC地址和变化端口号,以及所述RA报文信息的所述绑定表项。
5.根据权利要求1所述的绑定表项生成方法,其特征在于,根据所述MAC地址表中的变化表项信息和预存储的RA报文信息,生成所述变化表项信息中的变化端口的绑定表项,具体为:
根据所述变化表项信息对应的探测响应报文信息和所述RA报文信息,生成所述变化端口的绑定表项。
6.一种绑定表项生成装置,其特征在于,包括:
监测模块,用于监测本地MAC地址表;
探测模块,用于在所述监测模块监测到所述MAC地址表发生变化,且在生成模块生成变化端口的绑定表项之前,根据所述MAC地址表中的变化表项信息和预存储的RA报文信息,生成探测报文,并将所述探测报文发送给同网段内的终端;
接收模块,用于等待接收所述终端返回的探测响应报文;
所述生成模块,用于在所述监测模块监测到所述MAC地址表发生变化,且所述接收模块接收到所述探测响应报文时,根据所述MAC地址表中的变化表项信息和预存储的RA报文信息,生成所述变化表项信息中的变化端口的绑定表项;所述MAC地址表发生的变化为所述MAC地址表中变化表项信息中的MAC地址发生迁移,所述终端通过端口扩展设备与所述绑定表项生成装置连接。
7.根据权利要求6所述的绑定表项生成装置,其特征在于,所述探测模块包括:
第一生成单元,用于根据所述变化表项信息中的MAC地址和所述RA报文信息中的前缀,生成IPV6地址;
第二生成单元,用于根据所述IPV6地址,生成并发送所述探测报文。
8.根据权利要求6所述的绑定表项生成装置,其特征在于,还包括:重新发送模块,用于在预设时间内未接收到所述探测响应报文时,重新发送所述探测报文。
9.根据权利要求6所述的绑定表项生成装置,其特征在于,还包括:查询确定模块,用于在所述生成模块生成所述绑定表项之前,查询获取所述变化端口的绑定表项信息,并确定所述绑定表项信息与所述变化表项信息不一致;或者用于在所述生成模块生成所述绑定表项之前,查询确定所述变化端口的绑定表项信息不存在。
10.根据权利要求6-9任一项所述的绑定表项生成装置,其特征在于,所述生成模块具体用于根据所述变化表项信息中的MAC地址和所述RA报文信息中的前缀,生成IPV6地址,以生成包含所述IPV6地址、所述变化表项信息中的MAC地址和变化端口号,以及所述RA报文信息的所述绑定表项。
11.根据权利要求6所述的绑定表项生成装置,其特征在于,所述生成模块具体用于根据所述变化表项信息对应的所述探测响应报文和所述RA报文信息,生成所述变化端口的绑定表项。
12.一种包含权利要求6-11任一项所述的绑定表项生成装置的网络设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102409927A CN101909007B (zh) | 2010-07-29 | 2010-07-29 | 绑定表项生成方法、装置及网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102409927A CN101909007B (zh) | 2010-07-29 | 2010-07-29 | 绑定表项生成方法、装置及网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101909007A CN101909007A (zh) | 2010-12-08 |
CN101909007B true CN101909007B (zh) | 2013-03-13 |
Family
ID=43264330
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102409927A Expired - Fee Related CN101909007B (zh) | 2010-07-29 | 2010-07-29 | 绑定表项生成方法、装置及网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101909007B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916484B (zh) * | 2012-12-31 | 2017-07-21 | 华为技术有限公司 | 配置ip地址的方法和设备 |
CN104579970B (zh) * | 2013-10-29 | 2018-06-12 | 国家计算机网络与信息安全管理中心 | 一种IPv6报文的策略匹配装置 |
CN104506437B (zh) * | 2014-12-29 | 2018-08-24 | 新华三技术有限公司 | 一种表项建立方法及装置 |
CN104683500B (zh) * | 2015-03-25 | 2017-12-15 | 新华三技术有限公司 | 一种安全表项生成方法和装置 |
CN106357840B (zh) * | 2016-10-19 | 2019-12-06 | 新华三技术有限公司 | 一种支持端口迁移检测的方法及装置 |
CN111356126B (zh) * | 2018-12-20 | 2022-08-30 | 中兴通讯股份有限公司 | 一种实现无线漫游的方法及装置和网关 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
CN101729314A (zh) * | 2009-11-26 | 2010-06-09 | 福建星网锐捷网络有限公司 | 动态表项的回收方法、装置及动态主机分配协议侦听设备 |
-
2010
- 2010-07-29 CN CN2010102409927A patent/CN101909007B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
CN101729314A (zh) * | 2009-11-26 | 2010-06-09 | 福建星网锐捷网络有限公司 | 动态表项的回收方法、装置及动态主机分配协议侦听设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101909007A (zh) | 2010-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101909007B (zh) | 绑定表项生成方法、装置及网络设备 | |
CN102291320B (zh) | Mac地址学习方法和边缘设备 | |
CN101621414B (zh) | 一种网络资源及拓扑的发现方法及装置 | |
CN101577675B (zh) | IPv6网络中邻居表保护方法及邻居表保护装置 | |
US20150295884A1 (en) | Method and System for Managing IPv6 Address Conflict Automatically | |
CN1929497B (zh) | 一种获取移动节点家乡代理信息的方法和系统 | |
CN112714027B (zh) | 物联网终端设备接入网关的方法和系统 | |
CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
CN106330723B (zh) | 网络邻居设备的发现方法及装置 | |
JP3806094B2 (ja) | ルータ装置、ネットワークアドレス管理システム、ネットワークアドレス管理方法及びネットワークアドレス管理プログラム | |
CN104753793A (zh) | 在无状态IPv6配置下有状态管理接入终端的方法 | |
CN101621455A (zh) | 网络设备的管理方法和网络管理站、设备 | |
CN113660357B (zh) | 一种IPv6双栈系统自动获取IP地址的方法和装置 | |
CN102025797A (zh) | 地址前缀处理方法、装置、系统及网络设备 | |
US7852878B2 (en) | Apparatus and method for supporting establishment of network address of communication apparatus | |
CN101494536B (zh) | 一种防arp攻击的方法、装置和系统 | |
CN109873764B (zh) | 建立定向ospf邻居关系的方法、装置、电子设备 | |
WO2017161866A1 (zh) | 网络连接方法及装置 | |
CN103051484A (zh) | 会话业务处理方法、系统和会话边缘控制器 | |
CN101945145B (zh) | 地址状态处理方法、系统和网络节点 | |
CN101572675B (zh) | 一种发现直连网段中运行vrrp网络设备的方法及装置 | |
CN110673799B (zh) | 一种集群伙伴关系建立方法、系统、设备及计算机介质 | |
KR20090126355A (ko) | 패킷 통신 시스템에서 네트워크 주소 설정을 위한 장치 및방법 | |
CN114024903A (zh) | 网络切换方法、装置及网关设备 | |
CN101383727B (zh) | 路由器维护方法和路由器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 350002 19 Building, Citrus Industrial Park, 618 Jinshan Road, Cangshan District, Fuzhou, Fujian. Patentee after: RUIJIE NETWORKS Co.,Ltd. Address before: 350002 19 Building, Citrus Industrial Park, 618 Jinshan Road, Cangshan District, Fuzhou, Fujian. Patentee before: Fujian Star-net Ruijie Network Co.,Ltd. |
|
CP01 | Change in the name or title of a patent holder | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130313 |