CN102932371A - 实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 - Google Patents
实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 Download PDFInfo
- Publication number
- CN102932371A CN102932371A CN2012104752022A CN201210475202A CN102932371A CN 102932371 A CN102932371 A CN 102932371A CN 2012104752022 A CN2012104752022 A CN 2012104752022A CN 201210475202 A CN201210475202 A CN 201210475202A CN 102932371 A CN102932371 A CN 102932371A
- Authority
- CN
- China
- Prior art keywords
- address
- network node
- private network
- address prefix
- prefix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本申请公开实现IPv6私网节点与公网节点之间通信的方法,包括:路由转发设备接收来自IPv6私网节点的报文,当该报文的源IP地址为私网地址、目的IP地址为公网地址时,从路由转发设备对应接口配置的公网IPv6地址中选择一IPv6地址并将其地址前缀作为该私网节点访问公网使用的地址前缀;所述地址前缀不同于所述私网节点前一次访问公网使用的地址前缀;发送含有所述地址前缀及其有效时间的路由器公告RA给所述私网节点;RA用于触发私网节点利用RA中的地址前缀,生成可聚合全球单播地址,可聚合全球单播地址用于私网节点与公网节点之间通信。本申请还公开路由转发设备。本申请可实现IPv6私网节点与公网节点之间通信的同时,有效保护私网节点免受外部网络的攻击。
Description
技术领域
本申请涉及网络节点通信技术领域,尤其涉及实现IPv6私网节点与公网节点之间通信的方法及路由转发设备。
背景技术
IPv6(互联网协议第六版)因其巨大的地址空间正逐步走向实用,虽然地址空间很大,但并不意味着网络内的IPv6地址都可以对外公开,即IPv6网络中也存在着私网的现象,如本地站点地址的应用。如何在实现IPv6私网节点与公网节点之间通信的同时,可以隐藏IPv6私网中各节点的IP地址不被公网所获知,而安全地用于私网内部的数据交换,在需要的时候又可以安全地同公网进行互通,使私网节点免受外部网络的攻击,是将来IPv6应用中需要解决的问题。
目前,在IPv4(互联网协议第四版)网络中是通过NAT(Network AddressTranslation,网络地址转换)来实现私网节点与公网节点之间的通信,并可以对私网节点IP地址进行隐藏,以保护私网节点免受外部网络的攻击,但这种解决方案仅以增强的网络状态作为补充,而忽略了IP地址端对端的重要性。结果是,由于存在NAT设备,由IPSec(Internet协议安全性)保证的端对端IP网络级安全无法应用到终端主机。如果在IPv6网络中也这样应用,必然影响IPv6端对端通信的便利。
此外,当存在NAT时,TCP/IP协议过程将发生变化,会影响数据包传输的安全性。一般在TCP/IP协议体系中,如果一个路由转发设备出现故障,不会影响到TCP协议的执行,因为只要几秒收不到应答,发送进程就会进入超时重传处理,而当存在NAT时,TCP/IP协议过程将发生变化,一些需要初始化从外部网络建立的TCP连接、和使用无状态协议(比如用户数据报协议UDP)的服务将被中断。除非具有NAT功能的路由转发设备作一些特别的处理,否则转发来的数据包将不能到达正确的目的地址。所以,如果将NAT应用在IPv6网络中,将会影响数据报文传输的安全性。
因此,在一个具有NAT功能的路由转发设备下的主机并没有建立真正的端对端连接,并且不能参与一些因特网协议,若将NAT应用于IPv6网络,会影响IPv6端对端通信的便利,也会影响数据报文传输的安全性,使得现有IPv4网络中通过NAT转换来实现IPv6私网节点与公网节点之间通信的方法并不适用于IPv6网络。
当IPv6网络日益成熟后,在IPv6私网节点与公网节点之间进行通信时,出于对私网安全的考虑,需要隐藏私网节点的IP地址,使得公网的攻击者无法确定私网节点的IP地址,从而无法发起有效的攻击,但目前还没有一种实现IPv6私网节点与公网节点之间通信的方案,可以有效隐藏IPv6私网节点的IP地址,以保护IPv6私网节点免受外部网络的攻击。
发明内容
有鉴于此,本申请提出一种实现IPv6私网节点与公网节点之间通信的方法,可以实现IPv6私网节点与公网节点之间进行数据交互,并有效保护私网节点免受外部网络的攻击。
本申请还提出一种路由转发设备,可以实现IPv6私网节点与公网节点之间进行数据交互,并有效保护私网节点免受外部网络的攻击。
为达到上述目的,本申请实施例的技术方案是这样实现的:
一种实现IPv6私网节点与公网节点之间通信的方法,包括:
路由转发设备接收到来自IPv6私网节点的报文,当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时,从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀;所述地址前缀不同于所述私网节点前一次访问公网时使用的地址前缀;
所述路由转发设备发送包含有所述地址前缀及其有效时间的路由器公告RA给所述私网节点;所述RA用于触发所述私网节点利用RA中的地址前缀,通过无状态自动地址配置,生成可聚合全球单播地址,所述可聚合全球单播地址用于所述私网节点与公网节点之间进行数据交互。
一种路由转发设备,包括:报文接收模块、地址前缀处理模块和路由器公告RA发送模块,其中:
报文接收模块,用于接收来自IPv6私网节点的报文;
地址前缀处理模块,用于当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时,从本路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀;所述地址前缀不同于所述私网节点前一次访问公网时使用的地址前缀;
RA发送模块,用于发送包含有所述地址前缀及其有效时间的RA给所述私网节点;所述RA用于触发所述私网节点利用RA中的地址前缀,通过无状态自动地址配置,生成可聚合全球单播地址,所述可聚合全球单播地址用于所述私网节点与公网节点之间进行数据交互。
本申请的有益效果为,通过为IPv6私网节点分配地址前缀,形成唯一的可聚合全球单播地址,实现所述私网节点与公网节点之间的通信,所分配的地址前缀呈动态变化,使得可聚合全球单播地址也呈动态变化,可以有效隐藏私网节点的本地站点地址和公网地址,使外部网络的攻击者无法发给对私网节点的攻击,从而可以实现私网节点与公网节点之间进行数据交互,并且可以对私网节点进行有效保护。
附图说明
图1为本申请实施例的方法流程图;
图2为本申请实施例的IPv6私网保护组网拓扑结构示意图;
图3为本申请实施例的路由转发设备功能结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下通过具体实施例并参见附图,对本发明进行详细说明。
本申请中,路由转发设备接收到来自IPv6私网节点的报文,当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时,从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀;所述地址前缀不同于所述私网节点前一次访问公网时使用的地址前缀;
所述路由转发设备发送包含有所述地址前缀及其有效时间的路由器公告RA给所述私网节点;所述RA用于触发所述私网节点利用RA中的地址前缀,通过无状态自动地址配置,生成EUI-64格式的可聚合全球单播地址,所述可聚合全球单播地址用于所述私网节点与公网节点之间进行数据交互。
通过上述内容可知,本申请方案在实现IPv6私网节点与公网节点之间通信的过程中,有效地隐藏了IPv6私网节点的IP地址。
即,对于该私网节点的本地站点地址,通过使用地址前缀,根据无状态自动地址配置,生成可聚合全球单播地址,有效隐藏了该私网节点的本地站点IP地址;对于该私网节点对外的公网IP地址(即可聚合全球单播地址),通过公网IP地址中地址前缀的动态变化,有效地隐藏了该私网节点当前的公网IP地址。这样使得公网的攻击者既无法确定所述私网节点的本地站点地址,也无法确定所述私网节点使用的公网地址,从而无法对所述私网节点发起有效的攻击。
本申请实施例的方法流程如图1所示,一种实现IPv6私网节点与公网节点之间通信的方法,参照图2的IPv6私网保护组网拓扑结构示意图来对本申请实施例进行说明。如图2所示,IPv6私网内的节点,利用本地站点地址(前缀为FEC0:1:1:1::/64)与私网内的其它节点进行数据交换。路由转发设备Router A负责私网内部N(N为自然数)个节点的对外交换工作,其对应接口上配置多个公网IPv6地址。该方法包括以下步骤:
步骤101:路由转发设备接收到来自IPv6私网节点的报文。
当私网节点(如PC1)因为业务需要,需要与外部IPv6公网的节点node A进行通信的时候,PC1会将发送给node A的报文先转发至路由转发设备Router A。
步骤102:当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时,从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀;所述地址前缀不同于所述私网节点前一次访问公网时使用的地址前缀。
为了便于对私网节点进行管理,比如,私网节点是否可以对公网进行访问,路由转发设备上也可以进行如下配置:选择对哪些私网节点分配地址前缀,使其具有访问公网的能力。
因此,当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时,可以先判断所述源IP地址是否具有与公网通信的权限,通过地址解析协议ARP表就可以容易地设置上述权限。
判断结果如果为否,直接拒绝所述报文;
判断结果如果为是,从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀;所述具有与公网通信权限的源IP地址为预先设置。
本申请实施例中,从路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址,并将其该IPv6地址的地址前缀作为所述私网节点访问公网时使用的地址前缀。
如图2所示,路由转发设备A接收到来自于PC1的、以2001:1:1:1::1为目的IP地址,以FEC0:1:1:1:0250:4EFF:FEEC:1234为源IP地址的报文时,路由转发设备A发现其源IP地址是私网的本地站点地址,此类地址只适用于私网本地站点范围,不能进行公网转发。本申请实施例中,为了实现私网节点访问公网的同时,还可以隐藏该私网节点的本地站点地址,从路由转发设备A对应接口上配置的公网IPv6地址中为私网节点选择一个地址前缀,比如为2001:1:2:3::/64,用于生成可聚合全球单播地址2001:1:2:3:0250:4EFF:FEEC:1234,与公网节点进行数据交互。
当为了保证所述私网节点利用可聚合全球单播地址与公网通信时,不至于受到外部网络的攻击,可以对所述私网节点的可聚合全球单播地址进行隐藏,本申请实施例中,采用的方法是:选择与前一次不同的地址前缀,如此可以保证该私网节点在访问公网时,其可聚合全球单播地址呈动态变化,使攻击者无法发起对所述私网节点的攻击,以实现对所述私网节点的保护。
本申请实施例中,地址前缀使用路由转发设备对应接口上配置的公网IPv6地址,如图2所示,这些公网IPv6地址可能有多个,由网络管理员预先配置。由于EUI-64格式的地址对MAC地址的应用,同一地址前缀,可以分配给多个私网节点,不会形成地址重复。私网节点在需要的时候可以获取到地址前缀,根据EUI-64格式生成唯一可聚合全球单播地址,此地址不会与私网内任何其它节点的公网地址重复。即一个地址前缀可以同时分配给多个私网节点使用,但是它们的公网地址不会相同。
由于每次分配给同一私网节点的IPv6地址前缀不会与前一次相同,地址前缀根据选择策略呈动态变化,其公网IP地址(可聚合全球单播地址)也是动态变化,增加了外部网络对私网节点的公网IP地址猜测的难度。
可以通过预先设定的选择策略,如随机选择、顺序选择等,选择不同于前一次的IPv6地址前缀,选择策略可自定义,只要保证选择的地址前缀与前一次不同即可。根据路由转发设备对应接口配置的多个公网IPv6地址,进行地址前缀的不重复选择及分配,形成动态的IPv6公网地址,使私网节点当前所使用的公网IP地址呈动态变化,免受外部网络的攻击。
当所述私网节点是初次访问公网时,可以根据预先设定的选择策略,从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀,此时,选择的任一IPv6地址前缀都是可行的。
当所述私网节点不是初次访问公网时,可以根据预先设定的选择策略,从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀,此时,选择的IPv6地址的地址前缀需要与该私网节点前一次访问公网时使用的地址前缀进行对比,若相同就需要根据选择策略重新选择下一个IPv6地址的地址前缀。
步骤103:所述路由转发设备发送包含有所述地址前缀及其有效时间的路由器公告RA给所述私网节点;所述RA用于触发所述私网节点利用RA中的地址前缀,通过无状态自动地址配置,生成可聚合全球单播地址,所述可聚合全球单播地址用于所述私网节点与外公网节点之间进行数据交互。
本申请实施例利用路由器公告RA机制发送地址前缀信息,根据RA机制,必然带有地址前缀的有效时间,这里地址前缀的有效时间可用于对私网节点当前访问外网时使用的地址前缀设置保活或失效,如此,当路由转发设备出现故障后,仍可由私网节点自行失效其当前使用的可聚合全球单播地址,避免该私网节点长时间持有所述可聚合全球单播地址。
所述私网节点接收到RA,利用其中的地址前缀,根据无状态自动地址配置,生成可聚合全球单播地址,从而具备与公网节点进行数据交互的能力。生成可聚合全球单播地址后,私网节点仍可以使用其本地站点地址与私网内部的其它节点进行数据交互。
所述路由转发设备可以以单播的形式发送包含有所述地址前缀及其有效时间的RA给所述私网节点,然后,建立老化表项,根据私网节点和公网之间交互的数据报文对老化表项进行刷新。老化表项用于对接收到的报文进行表项匹配、并对地址前缀设置保活或失效。老化表项的元素包括:私网节点本地站点地址、地址前缀、可聚合全球单播地址、地址前缀有效时间、老化时间;其中:
所述地址前缀即为步骤102中选择的地址前缀,私网节点本地站点地址即为步骤102中的源IP地址,所述地址前缀有效时间与老化时间根据实际需要设置,同时启动老化时间计时器。
根据老化表项,发送RA通知私网节点,可以设置地址前缀及其对应的可聚合全球单播地址失效或保活。具体过程如下:
若老化时间内,所述路由转发设备接收到源IP地址为所述老化表项中可聚合全球单播地址的报文,则允许所述报文通过,并更新所述老化表项的老化时间;
若老化时间内,所述路由转发设备没有接收到源IP地址为所述老化表项中可聚合全球单播地址的报文,则删除所述老化表项,发送第二RA给所述私网节点,记录地址前缀与所述私网节点本地站点地址的对应信息,以供下次进行地址前缀分配的时候进行比较选择;第二RA中包含有所述地址前缀及其有效时间、且所述有效时间设置为0;第二RA用于触发所述私网节点根据第二RA中的所述地址前缀有效时间为0的信息,失效所述地址前缀对应的可聚合全球单播地址。所述私网节点如想继续与公网进行数据交流,则需要重新获取新的IPv6地址前缀。
所述路由转发设备的老化表项和私网节点中的地址前缀及其有效时间是相同的,所述路由转发设备和私网节点可以同时对地址前缀有效时间进行监控,所述路由转发设备发现地址前缀有效时间将先于老化时间超时时,此时所述私网节点可能仍有流量与公网交流,所述路由转发设备发送第三RA对地址前缀进行保活;所述私网节点中的地址前缀有效时间到达时,地址前缀失效,当路由转发设备出现故障时,可以失效地址前缀及其对应的可聚合全球单播地,具体过程如下:
所述路由转发设备建立老化表项之后,若监控到所述老化表项中的地址前缀有效时间将先于老化时间超时时,则按照预先设定的时间提前发送第三RA给所述私网节点,更新所述老化表项的地址前缀有效时间;第三RA包含有:所述地址前缀及其有效时间;第三RA用于触发所述私网节点更新所述地址前缀的有效时间;所述地址前缀的有效时间到达时,所述地址前缀失效。这样可以防止路由转发设备出现故障时地址前缀永远有效而导致私网节点的公网IP地址被外部网络获知。
下面参照图2对本申请的较佳实施例进行进一步举例说明:
如图2所示,私网节点PC1在正常情况下只拥有本地站点地址:FEC0:1:1:1:0250:4EFF:FEEC:1234,通过它与私网内的其他节点进行通信。因业务需要,要和公网节点Node A(公网IPv6地址:2001:1:1:1::1)进行数据交互,发送源IP地址是FEC0:1:1:1:0250:4EFF:FEEC:1234,目的IP地址是2001:1:1:1::1的报文给默认路由转发设备Router A;
Router A收到来自PC1的报文后,对目的IP地址和源IP地址进行判断,发现所述报文的目的IP地址是公网地址,但是源IP地址是内网地址,则判断所述源IP地址为FEC0:1:1:1:0250:4EFF:FEEC:1234的私网节点是否具有与公网通信的权限:
如果没有权限,直接拒绝该报文;
如果有权限,根据Router A对应接口上配置的公网IPv6地址,查询PC1与公网前一次通信所使用的地址前缀记录,按照预先设定的选择策略,从Router A对应接口上配置的公网IPv6地址中选择与前一次地址前缀不同的IPv6地址的地址前缀作为上述私网节点访问公网时使用的地址前缀,如2001:1:2:3::/64,以单播的形式发送包含有地址前缀2001:1:2:3::/64的RA给PC1,并设置其有效时间。
PC1收到RA公告后,通过无状态自动地址配置,生成EUI-64格式的可聚合全球单播地址2001:1:2:3:0250:4EFF:FEEC:1234/64,利用这个地址与公网节点NodeA进行通信。这个地址很好地隐藏了PC1的本地站点地址,使PC1免受外部网络的攻击。
上述Router A发送RA给PC1后,建立老化表项,示例如下表1:
表1
建立老化表项的同时,启动老化时间计时器,并对老化时间进行监控。
由于Router A负责私网内部多个节点的对外交换工作,可能会对应建立多个老化表项。源IP为公网的报文到达Router A后进行表项匹配,如果源地址能够匹配上任一老化表项的可聚合全球单播地址,则允许通过,并更新该老化表项的老化计时器;如果不能匹配上所有老化表项中的可聚合全球单播地址,则拒绝所述报文。
针对表1所示的这一老化表项,在老化时间内,若Router A接收到源IP地址为2001:1:2:3:0250:4EFF:FEEC:1234的报文,则允许该报文通过,并更新所述老化表项的老化时间;
若老化时间内,Router A没有接收到源IP地址为2001:1:2:3:0250:4EFF:FEEC:1234的报文,则删除所述老化表项,发送第二RA给PC1,记录地址前缀2001:1:2:3::与本地站点地址FEC0:1:1:1:0250:4EFF:FEEC:1234的对应信息,用于后续选择地址前缀时进行对比;第二RA中包含有地址前缀2001:1:2:3::及其有效时间、且所述有效时间设置为0;PC1接收到第二RA后,失效可聚合全球单播地址2001:1:2:3:0250:4EFF:FEEC:1234。如果下一次还需访问公网,则必须重新申请地址前缀。通过地址前缀的动态变化,生成不同的可聚合全球单播地址,实现了对PC1的公网地址的隐藏,使PC1免受外部网络的攻击。
此外,如果设置的地址前缀有效时间将先于老化时间超时时(意味着PC1端的公网地址将失效),但是PC1继续有流量与公网交流,为避免流量中断,RouterA按预先设定的时间提前向PC1发送第三RA报文,第三RA包含有:地址前缀2001:1:2:3::及其有效时间;第三RA用于触发PC1更新2001:1:2:3::的有效时间。同时,Router A也更新表1所示的老化表项中的地址前缀有效时间。
Router A和所述老化表项中的地址前缀有效时间是相同的,即Router A和PC1同时对地址前缀有效时间进行监控,当PC1有流量与公网交流时,Router A可以发送RA对地址前缀进行保活,当Router A出现故障无法发送RA时,在地址前缀有效时间到后,PC1自动失效其公网地址。
由本申请实施例方案可知,私网节点即便获取到地址前缀也不是长期拥有,其老化超时后,地址前缀即失效。即使在路由转发设备出现故障的情况下,私网节点本地也会对地址前缀有效时间进行计时,在地址前缀有效时间到后,其公网IP地址(即可聚合全球单播地址)设置为失效,就是说其可聚合全球单播地址是临时的。
本申请实施例的路由转发设备功能结构示意图如图3所示,一种路由转发设备,包括:报文接收模块、地址前缀处理模块和路由器公告RA发送模块,其中:
报文接收模块,用于接收来自IPv6私网节点的报文;
地址前缀处理模块,用于当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时,从本路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀;所述地址前缀不同于所述私网节点前一次访问公网时使用的地址前缀;
RA发送模块,用于发送包含有所述地址前缀及其有效时间的RA给所述私网节点;所述RA用于触发所述私网节点利用RA中的地址前缀,通过无状态自动地址配置,生成可聚合全球单播地址,所述可聚合全球单播地址用于所述私网节点与公网节点之间进行数据交互。
较佳地,所述路由转发设备还包括:
老化表项处理模块,用于在RA发送模块发送包含有所述地址前缀及其有效时间的RA给所述私网节点之后,建立老化表项,包括:私网节点本地站点地址、地址前缀、可聚合全球单播地址、地址前缀有效时间、老化时间;所述可聚合全球单播地址由所述地址前缀与所述私网节点本地站点地址的后64位结合而生成,所述地址前缀有效时间与老化时间根据实际需要设置,同时启动老化时间计时器。
较佳地,所述老化表项处理模块,还用于:
若老化时间内,本路由转发设备接收到源IP地址为所述老化表项中可聚合全球单播地址的报文,则允许所述报文通过,并更新所述老化表项的老化时间;
若老化时间内,本路由转发设备没有接收到源IP地址为所述老化表项中可聚合全球单播地址的报文,则删除所述老化表项,记录地址前缀与所述私网节点本地站点地址的对应信息;
所述RA发送模块,还用于在老化表项处理模块删除所述老化表项时,发送第二RA给所述私网节点;第二RA中包含有所述地址前缀及其有效时间、且所述有效时间设置为0;第二RA用于触发所述私网节点根据第二RA中的所述地址前缀有效时间为0的信息,失效所述地址前缀对应的可聚合全球单播地址。
较佳地,所述RA发送模块,还用于
当本路由转发设备监控到所述老化表项中的地址前缀有效时间将先于老化时间超时时,按照预先设定的时间提前发送第三RA给所述私网节点;第三RA包含有:所述地址前缀及其有效时间;第三RA用于触发所述私网节点更新所述地址前缀的有效时间;
所述老化表项处理模块,还用于在RA发送模块发送第三RA给所述私网节点时,更新所述老化表项的地址前缀有效时间。
较佳地,所述地址前缀处理模块,还用于
在从本路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址之前,判断所述源IP地址是否具有与公网通信的权限,如果否,直接拒绝所述报文,如果是,从本路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀。
本申请实施例中,私网节点用于与公网通信的公网地址是唯一可聚合全球单播地址,中间不再经过任何的地址转换或者变动,不会像NAT地址转换一样对IPv6端到端安全性产生影响。
而且,本申请方案应用了IPv6的路由器公告RA机制,不需对内网终端做任何修改,天然支持。
本申请方案解决了私网节点公网地址(即可聚合全球单播地址)的动态获取及释放,可以达到隐藏私网节点的IP地址以保护私网节点免受外部网络攻击的目的。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种实现IPv6私网节点与公网节点之间通信的方法,其特征在于,包括:
路由转发设备接收到来自IPv6私网节点的报文,当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时,从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀;所述地址前缀不同于所述私网节点前一次访问公网时使用的地址前缀;
所述路由转发设备发送包含有所述地址前缀及其有效时间的路由器公告RA给所述私网节点;所述RA用于触发所述私网节点利用RA中的地址前缀,通过无状态自动地址配置,生成可聚合全球单播地址,所述可聚合全球单播地址用于所述私网节点与公网节点之间进行数据交互。
2.根据权利要求1所述的方法,其特征在于,
所述路由转发设备发送包含有所述地址前缀及其有效时间的RA给所述私网节点之后,进一步包括:
所述路由转发设备建立老化表项,包括:私网节点本地站点地址、地址前缀、可聚合全球单播地址、地址前缀有效时间、老化时间;所述可聚合全球单播地址由所述地址前缀与所述私网节点本地站点地址的后64位结合而生成,所述地址前缀有效时间与老化时间根据实际需要设置,同时启动老化时间计时器。
3.根据权利要求2所述的方法,其特征在于,所述启动老化时间计时器之后,进一步包括:
若老化时间内,所述路由转发设备接收到源IP地址为所述老化表项中可聚合全球单播地址的报文,则允许所述报文通过,并更新所述老化表项的老化时间;
若老化时间内,所述路由转发设备没有接收到源IP地址为所述老化表项中可聚合全球单播地址的报文,则删除所述老化表项,发送第二RA给所述私网节点,记录地址前缀与所述私网节点本地站点地址的对应信息;第二RA中包含有所述地址前缀及其有效时间、且所述有效时间设置为0;第二RA用于触发所述私网节点根据第二RA中的所述地址前缀有效时间为0的信息,失效所述地址前缀对应的可聚合全球单播地址。
4.根据权利要求2所述的方法,其特征在于,所述路由转发设备建立老化表项之后,进一步包括:
所述路由转发设备若监控到所述老化表项中的地址前缀有效时间将先于老化时间超时时,则按照预先设定的时间提前发送第三RA给所述私网节点,更新所述老化表项的地址前缀有效时间;第三RA包含有:所述地址前缀及其有效时间;第三RA用于触发所述私网节点更新所述地址前缀的有效时间。
5.根据权利要求1所述的方法,其特征在于,所述从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址之前,进一步包括:
判断所述源IP地址是否具有与公网通信的权限,如果否,直接拒绝所述报文,如果是,从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀。
6.一种路由转发设备,其特征在于,包括:报文接收模块、地址前缀处理模块和路由器公告RA发送模块,其中:
报文接收模块,用于接收来自IPv6私网节点的报文;
地址前缀处理模块,用于当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时,从本路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀;所述地址前缀不同于所述私网节点前一次访问公网时使用的地址前缀;
RA发送模块,用于发送包含有所述地址前缀及其有效时间的RA给所述私网节点;所述RA用于触发所述私网节点利用RA中的地址前缀,通过无状态自动地址配置,生成可聚合全球单播地址,所述可聚合全球单播地址用于所述私网节点与公网节点之间进行数据交互。
7.根据权利要求6所述的路由转发设备,其特征在于,所述路由转发设备还包括:
老化表项处理模块,用于在RA发送模块发送包含有所述地址前缀及其有效时间的RA给所述私网节点之后,建立老化表项,包括:私网节点本地站点地址、地址前缀、可聚合全球单播地址、地址前缀有效时间、老化时间;所述可聚合全球单播地址由所述地址前缀与所述私网节点本地站点地址的后64位结合而生成,所述地址前缀有效时间与老化时间根据实际需要设置,同时启动老化时间计时器。
8.根据权利要求7所述的路由转发设备,其特征在于,所述老化表项处理模块,还用于:
若老化时间内,本路由转发设备接收到源IP地址为所述老化表项中可聚合全球单播地址的报文,则允许所述报文通过,并更新所述老化表项的老化时间;
若老化时间内,本路由转发设备没有接收到源IP地址为所述老化表项中可聚合全球单播地址的报文,则删除所述老化表项,记录地址前缀与所述私网节点本地站点地址的对应信息;
所述RA发送模块,还用于在老化表项处理模块删除所述老化表项时,发送第二RA给所述私网节点;第二RA中包含有所述地址前缀及其有效时间、且所述有效时间设置为0;第二RA用于触发所述私网节点根据第二RA中的所述地址前缀有效时间为0的信息,失效所述地址前缀对应的可聚合全球单播地址。
9.根据权利要求7所述的路由转发设备,其特征在于,
所述RA发送模块,还用于当本路由转发设备监控到所述老化表项中的地址前缀有效时间将先于老化时间超时时,按照预先设定的时间提前发送第三RA给所述私网节点;第三RA包含有:所述地址前缀及其有效时间;第三RA用于触发所述私网节点更新所述地址前缀的有效时间;
所述老化表项处理模块,还用于在RA发送模块发送第三RA给所述私网节点时,更新所述老化表项的地址前缀有效时间。
10.根据权利要求7所述的路由转发设备,其特征在于,
所述地址前缀处理模块,还用于在从本路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址之前,判断所述源IP地址是否具有与公网通信的权限,如果否,直接拒绝所述报文,如果是,从本路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210475202.2A CN102932371B (zh) | 2012-11-20 | 2012-11-20 | 实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210475202.2A CN102932371B (zh) | 2012-11-20 | 2012-11-20 | 实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102932371A true CN102932371A (zh) | 2013-02-13 |
| CN102932371B CN102932371B (zh) | 2015-09-09 |
Family
ID=47647073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210475202.2A Active CN102932371B (zh) | 2012-11-20 | 2012-11-20 | 实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102932371B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107370680A (zh) * | 2016-05-12 | 2017-11-21 | 中兴通讯股份有限公司 | 一种组播路由条目控制方法、装置及通信系统 |
| CN107547687A (zh) * | 2017-08-31 | 2018-01-05 | 新华三技术有限公司 | 一种报文传输方法和装置 |
| CN107580079A (zh) * | 2017-08-31 | 2018-01-12 | 新华三技术有限公司 | 一种报文传输方法和装置 |
| CN108712507A (zh) * | 2018-05-31 | 2018-10-26 | 中国联合网络通信集团有限公司 | 区块链节点访问方法、装置及区块链节点 |
| CN109981633A (zh) * | 2019-03-19 | 2019-07-05 | 全链通有限公司 | 访问服务器的方法、设备及计算机可读存储介质 |
| CN111741039A (zh) * | 2019-03-25 | 2020-10-02 | 阿里巴巴集团控股有限公司 | 会话请求处理方法、装置及电子设备 |
| CN114024933A (zh) * | 2020-07-17 | 2022-02-08 | 中国移动通信有限公司研究院 | 一种地址保护方法、装置、网络设备和计算机存储介质 |
| CN114285825A (zh) * | 2021-12-17 | 2022-04-05 | 浪潮思科网络科技有限公司 | 一种基于IPv6无状态地址分配的冗余方法、设备及介质 |
| CN116761213A (zh) * | 2023-08-23 | 2023-09-15 | 深圳市南方硅谷半导体股份有限公司 | 一种手机流量的应用方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744597A (zh) * | 2004-09-01 | 2006-03-08 | 华为技术有限公司 | IPv6网络中主机用户获取IP地址参数的方法 |
| WO2007137518A1 (en) * | 2006-05-19 | 2007-12-06 | Huawei Technologies Co., Ltd. | Using dhcpv6 and aaa for mobile station prefix delegation and enhanced neighbor discovery |
| CN101572692A (zh) * | 2008-04-28 | 2009-11-04 | 华为技术有限公司 | 一种ip地址分配方法、系统及设备 |
| CN101945144A (zh) * | 2010-09-14 | 2011-01-12 | 中兴通讯股份有限公司 | 一种ip地址重分配的方法和服务节点 |
| CN102238075A (zh) * | 2010-05-05 | 2011-11-09 | 杭州华三通信技术有限公司 | 基于以太网点对点协议的IPv6路由建立方法及接入服务器 |
-
2012
- 2012-11-20 CN CN201210475202.2A patent/CN102932371B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744597A (zh) * | 2004-09-01 | 2006-03-08 | 华为技术有限公司 | IPv6网络中主机用户获取IP地址参数的方法 |
| WO2007137518A1 (en) * | 2006-05-19 | 2007-12-06 | Huawei Technologies Co., Ltd. | Using dhcpv6 and aaa for mobile station prefix delegation and enhanced neighbor discovery |
| CN101572692A (zh) * | 2008-04-28 | 2009-11-04 | 华为技术有限公司 | 一种ip地址分配方法、系统及设备 |
| CN102238075A (zh) * | 2010-05-05 | 2011-11-09 | 杭州华三通信技术有限公司 | 基于以太网点对点协议的IPv6路由建立方法及接入服务器 |
| CN101945144A (zh) * | 2010-09-14 | 2011-01-12 | 中兴通讯股份有限公司 | 一种ip地址重分配的方法和服务节点 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107370680A (zh) * | 2016-05-12 | 2017-11-21 | 中兴通讯股份有限公司 | 一种组播路由条目控制方法、装置及通信系统 |
| CN107580079B (zh) * | 2017-08-31 | 2020-12-29 | 新华三技术有限公司 | 一种报文传输方法和装置 |
| CN107547687A (zh) * | 2017-08-31 | 2018-01-05 | 新华三技术有限公司 | 一种报文传输方法和装置 |
| CN107580079A (zh) * | 2017-08-31 | 2018-01-12 | 新华三技术有限公司 | 一种报文传输方法和装置 |
| CN108712507A (zh) * | 2018-05-31 | 2018-10-26 | 中国联合网络通信集团有限公司 | 区块链节点访问方法、装置及区块链节点 |
| CN108712507B (zh) * | 2018-05-31 | 2021-05-18 | 中国联合网络通信集团有限公司 | 区块链节点访问方法、装置及区块链节点 |
| CN109981633A (zh) * | 2019-03-19 | 2019-07-05 | 全链通有限公司 | 访问服务器的方法、设备及计算机可读存储介质 |
| CN109981633B (zh) * | 2019-03-19 | 2021-05-11 | 全链通有限公司 | 访问服务器的方法、设备及计算机可读存储介质 |
| CN111741039A (zh) * | 2019-03-25 | 2020-10-02 | 阿里巴巴集团控股有限公司 | 会话请求处理方法、装置及电子设备 |
| CN111741039B (zh) * | 2019-03-25 | 2022-06-03 | 阿里巴巴集团控股有限公司 | 会话请求处理方法、装置及电子设备 |
| CN114024933A (zh) * | 2020-07-17 | 2022-02-08 | 中国移动通信有限公司研究院 | 一种地址保护方法、装置、网络设备和计算机存储介质 |
| CN114285825A (zh) * | 2021-12-17 | 2022-04-05 | 浪潮思科网络科技有限公司 | 一种基于IPv6无状态地址分配的冗余方法、设备及介质 |
| CN116761213A (zh) * | 2023-08-23 | 2023-09-15 | 深圳市南方硅谷半导体股份有限公司 | 一种手机流量的应用方法及系统 |
| CN116761213B (zh) * | 2023-08-23 | 2023-11-17 | 深圳市南方硅谷半导体股份有限公司 | 一种手机流量的应用方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102932371B (zh) | 2015-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102932371B (zh) | 实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 | |
| Whalen | An introduction to arp spoofing | |
| CN105262738B (zh) | 一种路由器及其防arp攻击的方法 | |
| US8380863B2 (en) | Control of security application in a LAN from outside the LAN | |
| EP2991292B1 (en) | Network collaborative defense method, device and system | |
| US20100313265A1 (en) | Method and Apparatus for Preventing Spoofed Packet Attacks | |
| US20150195304A1 (en) | Protecting address resolution protocol neighbor discovery cache against denial of service attacks | |
| CN101471936B (zh) | 建立ip会话的方法、装置及系统 | |
| Arote et al. | Detection and prevention against ARP poisoning attack using modified ICMP and voting | |
| CN106302525B (zh) | 一种基于伪装的网络空间安全防御方法及系统 | |
| CN105743878A (zh) | 使用蜜罐的动态服务处理 | |
| AU2003259554A1 (en) | Network terminal device, address management server, communication system, and network communication method using mac addresses to determine the ip target addresses | |
| CN104813644A (zh) | 针对特定于设备的业务流导向而识别NATed设备 | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN101662423A (zh) | 单一地址反向传输路径转发的实现方法及装置 | |
| CN102244651A (zh) | 防止非法邻居发现协议报文攻击的方法和接入设备 | |
| CN102025734A (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
| JP5405415B2 (ja) | サービス振分方法およびサービス振分装置 | |
| CN101873320A (zh) | 一种基于DHCPv6中继的客户端信息确认方法及其装置 | |
| US9100433B2 (en) | Communications control device, communications system, and program | |
| US10498700B2 (en) | Transmitting network traffic in accordance with network traffic rules | |
| US9866524B2 (en) | Home gateway apparatus and packet transfer method | |
| Kantola | Implementing trust-to-trust with customer edge switching | |
| CN103516820A (zh) | 基于mac地址的端口映射方法和装置 | |
| CN106210164A (zh) | 一种ip地址冲突处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230620 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |