CN102571592B - 具有端口绑定功能的三层交换设备和数据报文转发方法 - Google Patents
具有端口绑定功能的三层交换设备和数据报文转发方法 Download PDFInfo
- Publication number
- CN102571592B CN102571592B CN201210016737.3A CN201210016737A CN102571592B CN 102571592 B CN102571592 B CN 102571592B CN 201210016737 A CN201210016737 A CN 201210016737A CN 102571592 B CN102571592 B CN 102571592B
- Authority
- CN
- China
- Prior art keywords
- network node
- address
- port
- module
- binding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开一种具有端口绑定功能的三层交换设备和数据转发方法,所述交换设备包括收发模块、交换模块、临时绑定模块、端口绑定模块和路由更新模块,其中:所述交换模块存储有路由表;所述临时绑定模块用于在收到的网络节点的地址分配请求报文时,创建包括该网络节点唯一标识以及所述地址分配请求报文接收端口的临时请求绑定信息;所述端口绑定模块用于根据同一网络节点的地址分配响应报文和所述临时请求绑定信息生成端口绑定信息,所述端口绑定信息将分配给所述网络节点的地址、网络节点唯一标识和所述网络节点接入端口绑定;所述路由更新模块用于定期根据所述端口绑定信息更新所述交换模块的路由表。
Description
技术领域
本发明涉及互联网报文交换转发领域,尤其涉及一种具有端口绑定功能的三层交换设备和数据报文转发方法。
背景技术
随着数据通信中交换技术的不断提高,具备三层交换功能的设备已经得到广泛应用,三层交换设备在二层交换设备基础上增加了路由功能,使得三层交换设备能够跨VLAN线速转发IPv6报文,从而大大增强了交换设备的性能。
三层交换设备在交换芯片中包含IPv6第三层路由表项,其中包括主机路由表项和网段路由表项,主机路由表项指的是目的128位的路由表项(如2001::1下一跳),网段路由表项指的是前缀长度小于128位的路由表项(2001::/16下一跳)。在目前的大部分应用中,主机路由表项一般通过邻居发现协议(NeighborDiscovery,ND)表项生成并下发到交换芯片中。由于ND协议默认通信链路是安全可信的,而网络中的节点无法判别来自链路的ND报文的合法性、有效性,如果链路中有恶意节点伪造自己的身份,发送特殊构造的邻居发现报文,就能够对目标节点发起欺骗攻击,由此会导致ND生成的主机路由表项也不稳定,这样会造成网络报文不能正常转发,影响交换设备的可靠性。
由此,亟需一种可靠性、安全性更好的三层交换设备和数据报文转发方法。
发明内容
本发明的目的在于提供可靠性高,安全性好的三层交换设备和报文转发方法。
本发明一种具有端口绑定功能的三层交换设备,包括收发模块、交换模块、临时绑定模块、端口绑定模块和路由更新模块,其中:
所述收发模块用于收发数据报文;
所述交换模块存储有路由表,用于根据路由表对待转发的数据报文进行转发;
所述临时绑定模块用于在收到的网络节点的地址分配请求报文时,创建包括该网络节点唯一标识以及所述地址分配请求报文接收端口的临时请求绑定信息,并指示交换模块将所述地址分配请求报文转发至预先设置的可信端口;
所述端口绑定模块用于在从所述可信端口接收到地址分配服务器的地址分配响应报文时,根据同一网络节点的所述地址分配响应报文和所述临时请求绑定信息生成端口绑定信息,所述端口绑定信息将分配给所述网络节点的地址、网络节点唯一标识和所述网络节点接入端口绑定;
所述路由更新模块用于定期根据所述端口绑定信息更新所述交换模块的路由表。
优选地,所述路由更新模块将所述端口绑定信息中的网络节点地址、网络节点唯一标识和所述网络节点的接入端口分别对应于下一跳主机地址、下一跳主机唯一标识和下一跳出端口来更新路由表。
优选地,所述地址为IPv6地址,所述地址分配请求报文为DHCPv6请求报文,所述地址分配响应报文为DHCPv6响应报文,所述网络节点唯一标识为MAC地址。
优选地,所述路由表为硬件主机路由表。
优选地,所述可信端口为连接到所述地址分配服务器的端口。
本发明还公开了一种数据报文转发方法,包括:
S1、三层交换机收到的网络节点的地址分配请求报文时,创建包括该网络节点唯一标识以及所述地址分配请求报文接入端口的临时请求绑定信息,并将所述地址分配请求报文转发至预先设置的可信端口;
S2、三层交换机从在从所述可信端口接收到地址分配服务器的地址分配响应报文时,根据同一网络节点的所述地址分配响应报文和所述临时请求绑定信息生成端口绑定信息,所述端口绑定信息将分配给所述网络节点的地址、网络节点唯一标识和所述网络节点接入端口绑定;
S3、三层交换机定期根据所述端口绑定信息更新交换模块的路由表;
S4、三层交换机在收到需转发数据报文时,查询所述路由表确定下一跳目的地址进行转发。
优选地,所述步骤S3进一步包括所述路由更新模块将所述端口绑定信息中的网络节点地址、网络节点唯一标识和所述网络节点的接入端口分别对应于下一跳主机地址、下一跳主机唯一标识和下一跳出端口来更新路由表。
优选地,所述地址为IPv6地址,所述地址分配请求报文为DHCPv6请求报文,所述地址分配响应报文为DHCPv6响应报文,所述网络节点唯一标识为MAC地址。
优选地,所述路由表为硬件主机路由表。
优选地,所述可信端口为连接到所述地址分配服务器的端口。
本发明通过侦听网络节点的DHCPv6请求过程,并将DHCPv6端口绑定信息转化为硬件第三层路由信息,增加了DHCPv6环境中交换机第三层路由表项的学习途径,并有效的保证了路由表项的稳定和安全。提高了三层交换机的安全性和可靠性。
附图说明
图1为本发明实施例的网络系统的结构示意图;
图2为本发明实施例的三层交换机的结构框图;
图3为本发明实施例的数据报文转发方法的流程图。
具体实施方式
下面结合附图对本发明的实施例作进一步说明。
动态主机配置协议版本6(DHCPv6)是一种自动为用户分配IPv6地址以及其他选项(如DNS)的协议,广泛应用于局域网中,DHCPv6简化了网络的部署、也易于进行网络的维护。DHCPv6侦听(SNOOPING)是一种监听DHCPv6地址请求、分配过程的私有协议。该技术通过在交换机设置可信端口,判别DHCPv6地址请求、分配报文的合法性,同时,如果DHCPv6服务器分配IPV6前缀,则将分配的IPV6前缀、用户MAC地址、用户所在端口、端口所属虚拟局域网标识(VLANID)、租约时间等信息绑定组成一个用户表项,从而形成DHCPv6SNOOPING前缀数据库;如果DHCPv6服务器分配IPV6地址,则根据IPV6地址、用户MAC、用户所在端口、端口所属VLANID、租约时间等信息绑定组成一个用户表项,从而形成DHCPv6SNOOPING绑定数据库。本发明利用DHCPv6SNOOPING的上述特性来实现
图1为本发明实施例的网络系统的结构示意图,如图1所示,所述网络系统包括网络节点100、具有侦听功能的三层交换机200以及DHCPv6服务器300,其中,网络节点100通过三层交换机200向DHCPv6服务器300请求分配IPv6地址,DHCPv6服务器300用于根据网络节点100的请求报文分配IPv6地址。三层交换机200用于交换转发所述IPv6请求、分配报文,并在网络节点100获得IPv6地址后,在网络节点100和互联网之间转发数据报文。
其中,三层交换机在交换芯片中设置有第三层路由表,该路由表用于供交换芯片查询以对需要转发的数据报文进行路由。
图2是本发明实施例的三层交换机的结构框图,如图2所示,所述三层交换机包括收发模块201、交换模块202、临时绑定模块203、端口绑定模块204、路由更新模块205。其中,所述收发模块从不同的端口接收/发送数据报文交由交换模块转发;所述交换模块202根据第三层路由表项进行数据包路由转发;所述临时绑定模块203在收到的网络节点100的DHCv6P请求报文时,为该网络节点100创建一个临时请求绑定,提取DHCPv6请求报文中的MAC地址以及接收该请求报文的端口和VLANID保存到该网络节点的临时请求绑定信息中,并将该DHCPv6请求报文转发至预先设置的可信端口;所述端口绑定模块204用于在从可信端口接收到DHCPv6响应报文时(该响应报文中包括请求网络节点MAC、分配给该网络节点的IPv6地址以及地址有效期等信息),查询所述临时绑定模块中的临时请求绑定信息,如果存在相同MAC地址的临时请求绑定信息,则创建DHCPv6网络节点的端口绑定信息,从DHCPv6响应报文中取出IP地址和地址有效期,并从临时请求绑定信息中提取该网络节点的MAC地址、接入端口和VLANID,将上述信息绑定保存在端口绑定信息中;如果不存在相同MAC地址的临时请求绑定信息,则丢弃该DHCPv6响应报文;所述路由更新模块205用于定期读取DHCPv6侦听得到的各网络节点的端口绑定信息,将所述端口绑定信息中的IPv6地址,MAC地址,接入端口和VLANID分别对应作为主机路由表的下一跳目的主机地址,下一跳的目的MAC地址(DMAC)、出端口、出VLANID更新所述交换模块中的主机路由表项。
图3是本发明实施例的报文转发方法的流程图,在系统配置时预先设置侦听模块设置交换机端口的DHCPv6绑定数目上限,并设置可信端口,所述可信端口为连接到DHCPv6服务器的端口。如图3所示,所述方法包括:
S1、三层交换机200收到的网络节点100的DHCv6P请求报文,为该网络节点100创建一个临时请求绑定,提取DHCPv6请求报文中的MAC地址以及接收该请求报文的端口和VLANID保存到该网络节点的临时请求绑定信息中,并将该DHCPv6请求报文转发至预先设置的可信端口;
S2、三层交换机200从可信端口接收DHCPv6响应报文,该响应报文中包括请求网络节点MAC、分配给该网络节点的IPv6地址以及地址有效期等信息,三层交换机的绑定模块查询临时请求绑定信息,如果存在相同MAC地址的临时请求绑定信息,则创建DHCPv6网络节点的端口绑定信息,从DHCPv6响应报文中取出IP地址和地址有效期,并从临时请求绑定信息中提取该网络节点的MAC地址、接入端口和VLANID,将上述信息绑定保存在端口绑定信息中,同时删除该网络节点的临时请求绑定信息;如果不存在相同MAC地址的临时请求绑定信息,则三层交换机200丢弃该DHCPv6响应报文,退出方法流程;
S3、三层交换机定期读取DHCPv6侦听得到的各网络节点的端口绑定信息,将所述端口绑定信息中的IPv6地址,MAC地址,接入端口和VLANID分别对应作为主机路由表的下一跳目的主机地址,下一跳的目的MAC地址(DMAC)、出端口、出VLANID更新所述交换模块中的主机路由表项;
S4、三层交换机在收到一个需转发的IPv6报文时,根据目的地址查找交换芯片第三层路由表,如果命中三层主机路由表项,则根据所述主机路由表项中的下一跳目的MAC等信息封装报文的二层信息并转发报文。
本发明通过侦听网络节点的DHCPv6请求过程,并将DHCPv6端口绑定信息转化为硬件第三层路由信息,增加了DHCPv6环境中交换机第三层路由表项的学习途径,并有效的保证了表项的稳定和安全。
上述仅为本发明的较佳实施例及所运用技术原理,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围内。
Claims (8)
1.一种具有端口绑定功能的三层交换设备,包括收发模块、交换模块、临时绑定模块、端口绑定模块和路由更新模块,其中:
所述收发模块用于收发数据报文;
所述交换模块存储有路由表,用于根据路由表对待转发的数据报文进行转发;
所述临时绑定模块用于在收到的网络节点的地址分配请求报文时,创建包括该网络节点唯一标识以及所述地址分配请求报文接收端口的临时请求绑定信息,并指示交换模块将所述地址分配请求报文转发至预先设置的可信端口;
所述端口绑定模块用于在从所述可信端口接收到地址分配服务器的地址分配响应报文时,根据同一网络节点的所述地址分配响应报文和所述临时请求绑定信息生成端口绑定信息,所述端口绑定信息将分配给所述网络节点的地址、网络节点唯一标识和所述网络节点接入端口绑定;
所述路由更新模块用于将所述端口绑定信息中的网络节点地址、网络节点唯一标识和所述网络节点的接入端口分别对应于下一跳主机地址、下一跳主机唯一标识和下一跳出端口来更新路由表。
2.如权利要求1所述的具有端口绑定功能的三层交换设备,其特征在于:所述地址为IPv6地址,所述地址分配请求报文为DHCPv6请求报文,所述地址分配响应报文为DHCPv6响应报文,所述网络节点唯一标识为MAC地址。
3.如权利要求1所述的具有端口绑定功能的三层交换设备,其特征在于:所述路由表为硬件主机路由表。
4.如权利要求1所述的具有端口绑定功能的三层交换设备,其特征在于:所述可信端口为连接到所述地址分配服务器的端口。
5.一种数据报文转发方法,包括:
S1、三层交换机收到的网络节点的地址分配请求报文时,创建包括该网络节点唯一标识以及所述地址分配请求报文接入端口的临时请求绑定信息,并将所述地址分配请求报文转发至预先设置的可信端口;
S2、三层交换机从在从所述可信端口接收到地址分配服务器的地址分配响应报文时,根据同一网络节点的所述地址分配响应报文和所述临时请求绑定信息生成端口绑定信息,所述端口绑定信息将分配给所述网络节点的地址、网络节点唯一标识和所述网络节点接入端口绑定;
S3、三层交换机定期根据所述端口绑定信息更新交换模块的路由表;
S4、三层交换机在收到需转发数据报文时,查询所述路由表确定下一跳目的地址进行转发;其中,所述步骤S3进一步包括路由更新模块将所述端口绑定信息中的网络节点地址、网络节点唯一标识和所述网络节点的接入端口分别对应于下一跳主机地址、下一跳主机唯一标识和下一跳出端口来更新路由表。
6.如权利要求5所述的数据报文转发方法,其特征在于:所述地址为IPv6地址,所述地址分配请求报文为DHCPv6请求报文,所述地址分配响应报文为DHCPv6响应报文,所述网络节点唯一标识为MAC地址。
7.如权利要求5所述的数据报文转发方法,其特征在于:所述路由表为硬件主机路由表。
8.如权利要求5所述的数据报文转发方法,其特征在于:所述可信端口为连接到所述地址分配服务器的端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210016737.3A CN102571592B (zh) | 2012-01-18 | 2012-01-18 | 具有端口绑定功能的三层交换设备和数据报文转发方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210016737.3A CN102571592B (zh) | 2012-01-18 | 2012-01-18 | 具有端口绑定功能的三层交换设备和数据报文转发方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102571592A CN102571592A (zh) | 2012-07-11 |
CN102571592B true CN102571592B (zh) | 2016-02-24 |
Family
ID=46416093
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210016737.3A Active CN102571592B (zh) | 2012-01-18 | 2012-01-18 | 具有端口绑定功能的三层交换设备和数据报文转发方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102571592B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103560968B (zh) * | 2013-10-30 | 2017-01-11 | 神州数码网络(北京)有限公司 | 交换机硬件主机路由表更新方法、装置和交换机 |
CN111555981A (zh) * | 2020-04-03 | 2020-08-18 | 深圳震有科技股份有限公司 | 一种数据传输方法、交换机及存储介质 |
CN112152944A (zh) * | 2020-09-18 | 2020-12-29 | 苏州浪潮智能科技有限公司 | 一种交换机三层接口的实现的方法和设备 |
CN117499371A (zh) * | 2023-10-27 | 2024-02-02 | 众信方智(苏州)智能技术有限公司 | 一种根据插槽位置自动分配板卡id的方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141372A (zh) * | 2006-09-07 | 2008-03-12 | 上海贝尔阿尔卡特股份有限公司 | 接入设备中用于管理路由信息和数据转发的方法及装置 |
CN102318284A (zh) * | 2009-02-27 | 2012-01-11 | 华为技术有限公司 | 通过用于ipv6的动态主机配置协议(dhcpv6)扩展配置具有多个接口的主机的装置和方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4054719B2 (ja) * | 2003-05-29 | 2008-03-05 | キヤノン株式会社 | 特定アドレス使用制限装置 |
CN101582888B (zh) * | 2009-06-01 | 2012-04-18 | 杭州华三通信技术有限公司 | 一种创建邻居发现表项的方法和一种服务器 |
CN102316101B (zh) * | 2011-08-09 | 2015-04-08 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
-
2012
- 2012-01-18 CN CN201210016737.3A patent/CN102571592B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141372A (zh) * | 2006-09-07 | 2008-03-12 | 上海贝尔阿尔卡特股份有限公司 | 接入设备中用于管理路由信息和数据转发的方法及装置 |
CN102318284A (zh) * | 2009-02-27 | 2012-01-11 | 华为技术有限公司 | 通过用于ipv6的动态主机配置协议(dhcpv6)扩展配置具有多个接口的主机的装置和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102571592A (zh) | 2012-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104052666B (zh) | 实现主机路由可达的方法和装置 | |
CN102971992B (zh) | 虚拟专用局域网设备、网络组件和数据帧转发方法 | |
JP5497901B2 (ja) | 匿名通信の方法、登録方法、メッセージ受発信方法及びシステム | |
CN103534993B (zh) | 连接低功率网络域的标签交换路由选择方法和装置 | |
CN109586972B (zh) | 用户终端设备的接入方法、系统和宽带网络网关 | |
CN102594678B (zh) | 一种dvpn大规模组网的方法和客户端 | |
CN106559292A (zh) | 一种宽带接入方法和装置 | |
CN102447752B (zh) | 基于二层隧道协议的业务访问方法、系统和装置 | |
EP3094052B1 (en) | Method and device for forwarding information | |
CN102413061A (zh) | 一种报文传输方法及设备 | |
EP2654250A2 (en) | Virtual local area network identity transformation method and apparatus | |
CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
JP2007202036A (ja) | パケット中継方法及びパケット中継システム | |
CN106209616B (zh) | 一种泛洪抑制方法及装置 | |
CN102170395A (zh) | 数据的传输方法及网络设备 | |
CN102957589A (zh) | 业务数据传输的方法、网络节点及系统 | |
CN103731349A (zh) | 一种以太网虚拟化互联邻居间报文转发方法和边缘设备 | |
CN101394333A (zh) | 转发报文的方法、装置以及网络系统 | |
CN103957161B (zh) | 一种报文转发方法及其装置 | |
CN102333027A (zh) | 基于vrrpe备份组的流量负载分担实现方法及其装置 | |
CN102571592B (zh) | 具有端口绑定功能的三层交换设备和数据报文转发方法 | |
CN102437946A (zh) | 一种接入控制的方法、nas设备及认证服务器 | |
WO2013086966A1 (zh) | 基于IPv6的二层互通的方法、装置和系统 | |
CN102405629B (zh) | 用于将用户设备连接到支持IPv6的聚合网络的方法和装置 | |
CN103167483B (zh) | 一种基于隧道的数据转发方法、设备及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent for invention or patent application | ||
CB03 | Change of inventor or designer information |
Inventor after: Liang Xiaobing Inventor after: Xiang Yangchao Inventor before: Liang Xiaobing |
|
COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: LIANG XIAOBING TO: LIANG XIAOBING XIANG YANGCHAO |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |