CN103236941A - 一种链路发现方法和装置 - Google Patents

Abstract

本发明公开了一种链路发现方法和装置，属于网络管理技术领域。所述方法包括：当网络设备接收到的直连设备发送的第一链路层发现协议LLDP报文时，根据认证类型-长度-值TLV，确定直连设备的安全级别；若直连设备的安全级别为安全，确定直连设备的设备类型，根据直连设备的设备类型与TLV的对应关系，向直连设备发送第二LLDP报文。本发明通过确定直连设备的安全级别，并当直连设备的安全级别为安全时，确定该直连设备的设备类型，根据设备类型选择相应的TLV进行发送，避免了现有技术中每次都将所有类型的TLV发送给直连设备，减小了设备信息泄漏的可能，保证了发送的LLDP报文更加合理，同时节省链路开销。

Description

一种链路发现方法和装置

技术领域

本发明涉及网络管理技术领域，特别涉及一种链路发现方法和装置。

背景技术

随着以太网技术的发展，网络设备的种类日益繁杂，如何获得整个网络中设备的拓扑，如何解决设备之间的配置冲突，如何使不同厂商的设备能够在网络中互相发现、并进行系统及配置信息的交互，成为网络管理中的重要问题。

LLDP（Link Layer Discovery Protocol，链路层发现协议），提供了一种数据链路层的邻居发现协议，它将本设备的主要能力、管理地址、设备标识、端口号等信息组织成不同的TLV（Type-Length-Value，类型-长度-值），并封装在LLDPDU（Link Layer Discovery Protocol Data Unit，链路层发现协议数据单元）中发布给与自己直连的邻居，邻居收到这些信息后将其以标准MIB（ManagementInformation Base，管理信息库）的形式保存起来，以供网络管理系统查询、判断链路的通信状况。LLDPDU固定以Chassis ID TLV（Chassis Identity TLV，设备标识类型-长度-值）、Port ID TLV（Port Identity，端口号类型-长度-值）和Timeto Live TLV（邻居生命周期类型-长度-值）开始，以End of LLDPDU TLV（结束类型-长度-值）为结束，这四个为必选TLV。

为了避免与非安全设备建立邻居，LLDP通过以下方式验证直连设备是否安全：当第一网络设备收到从第二网络设备发送来的LLDPDU时，检查该LLDPDU中是否包含有合法的授权钥匙，若授权钥匙不存在或不合法时，第一网络设备封锁第二网络设备发送的所有封包，以达到防止非授权的第二网络设备连接并使用第一网设备所提供的网络传输服务的功能。该授权钥匙是由MAC（MediumAccess Control，介质访问控制）地址另加上一密码得到。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

现有技术存在第一网络设备的设备信息泄漏的可能。

发明内容

为了解决现有技术中设备信息泄漏的问题，本发明实施例提供了一种链路发现方法和装置。所述技术方案如下：

第一方面，本发明实施例提供了一种链路发现方法，所述方法包括：

当网络设备接收到的直连设备发送的第一链路层发现协议LLDP报文时，根据所述第一LLDP报文中的认证类型-长度-值TLV，确定所述直连设备的安全级别，所述安全级别包括安全和非安全；所述第一LLDP报文包括所述认证TLV和最低安全级别TLV，所述最低安全级别TLV包括：设备标识TLV、端口号TLV、邻居生命周期TLV和LLDP数据单元结束TLV；

根据所述认证TLV，确定所述直连设备的安全级别，所述安全级别包括安全和非安全；

若所述直连设备的安全级别为安全，则根据所述第一LLDP报文确定所述直连设备的设备类型，并根据所述直连设备的设备类型，向所述直连设备发送第二LLDP报文，所述第二LLDP报文包括与所述直连设备的设备类型对应的TLV。

结合第一方面，在一种实现方式中，所述方法还包括：

若所述直连设备的安全级别为非安全，则向所述直连设备发送所述第一LLDP报文。

结合第一方面及上述实现方式，在另一种实现方式中，在所述根据所述第一LLDP报文中的认证TLV，确定所述直连设备的安全级别之前，所述方法还包括：

接收所述直连设备发送的LLDP报文，并确定接收到的所述LLDP报文是否携带认证TLV；

若所述LLDP报文中携带认证TLV，则所述LLDP报文为第一LLDP报文；

相应地，所述方法还包括：

若所述LLDP报文中未携带认证TLV，则向所述直连设备发送所述第一LLDP报文。

结合第一方面及上述实现方式，在另一种实现方式中，所述根据所述第一LLDP报文中的认证TLV，确定所述直连设备的安全级别，包括：

根据所述设备标识TLV和所述端口号TLV，获得所述直连设备的设备标识和端口号；

采用所述设备标识和端口号，计算判定TLV；

比较所述判定TLV与所述认证TLV是否相同，若相同，则确定所述直连设备的安全级别为安全，若不同，则确定所述直连设备的安全级别为非安全。

结合第一方面及上述实现方式，在另一种实现方式中，所述第一LLDP报文还包括系统能力TLV，所述系统能力TLV包括用于描述设备功能的系统能力字段，则所述根据所述第一LLDP报文，确定所述直连设备的设备类型，包括：

根据所述系统能力TLV中所述系统能力字段获取所述直连设备所具备的功能；

根据所述直连设备所具备的功能确定所述直连设备的设备类型。

结合第一方面及上述实现方式，在另一种实现方式中，在所述根据所述第一LLDP报文，确定所述直连设备的设备类型之前，所述方法还包括：

确定所述第一LLDP报文是否携带系统能力TLV；

若所述第一LLDP报文中未携带系统能力TLV，则向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括全部类型的TLV；

若所述第一LLDP报文中携带系统能力TLV，则根据所述系统能力TLV，确定所述直连设备的设备类型。

结合第一方面及上述实现方式，在另一种实现方式中，所述根据所述直连设备的设备类型，向所述直连设备发送第二LLDP报文，包括：

当所述直连设备为中继器时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV只包括最低安全级别TLV；

当所述直连设备为网桥或者路由器时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括全部类型的TLV；

当所述直连设备为因特网协议电话时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括最低安全级别TLV、端口描述TLV、系统名称TLV、系统描述TLV、系统能力TLV、端口虚拟局域网标识TLV以及设备供电能力TLV。

结合第一方面及上述实现方式，在另一种实现方式中，在所述根据所述直连设备的设备类型，向所述直连设备发送第二LLDP报文之前，所述方法还包括：

采用可逆算法对所述第二LLDP报文中的TLV进行加密。

结合第一方面及上述实现方式，在另一种实现方式中，所述方法还包括：

当所述网络设备的一个端口上连接的直连设备的数目达到上限，且所述端口上新接入的直连设备的安全级别为安全时，删除连接在所述端口上的至少一个安全级别为非安全的直连设备。

第二方面，本发明实施例还提供了一种链路发现装置，所述装置包括：

第一确定模块，用于当网络设备接收到的直连设备发送的第一链路层发现协议LLDP报文时，根据所述第一LLDP报文中的认证TLV，确定所述直连设备的安全级别，所述安全级别包括安全和非安全；所述第一LLDP报文包括所述认证TLV和最低安全级别TLV，所述最低安全级别TLV包括：设备标识TLV、端口号TLV、邻居生命周期TLV和LLDP数据单元结束TLV；

第二确定模块，用于当所述第一确定模块确定所述直连设备的安全级别为安全时，根据所述第一LLDP报文确定所述直连设备的设备类型；

发送模块，用于根据所述直连设备的设备类型，向所述直连设备发送第二LLDP报文，所述第二LLDP报文包括与所述直连设备的设备类型对应的TLV。

结合第二方面，在一种实现方式中，所述发送模块还用于，当所述直连设备的安全级别为非安全时，向所述直连设备发送所述第一LLDP报文。

结合第二方面及上述实现方式，在另一种实现方式中，所述装置还包括：

接收模块，用于接收所述直连设备发送的LLDP报文，

第三确定模块，用于确定所述接收模块接收到的所述LLDP报文是否携带认证TLV，当所述LLDP报文中携带认证TLV时，确定所述LLDP报文为第一LLDP报文；

相应地，所述发送模块，还用于当所述LLDP报文中未携带认证TLV时，向所述直连设备发送所述第一LLDP报文。

结合第二方面及上述实现方式，在另一种实现方式中，所述第一确定模块包括：

获取单元，用于根据所述设备标识TLV和端口号TLV，获得所述直连设备的设备标识和端口号；

计算单元，用于采用所述设备标识和端口号，计算判定TLV；

比较单元，用于比较所述判定TLV与所述认证TLV是否相同，若相同，则确定所述直连设备的安全级别为安全，若不同，则确定所述直连设备的安全级别为非安全。

结合第二方面及上述实现方式，在另一种实现方式中，所述第一LLDP报文还包括系统能力TLV，所述系统能力TLV包括用于描述设备功能的系统能力字段，

则所述第二确定模块，用于根据所述系统能力TLV中所述系统能力字段获取所述直连设备所具备的功能，根据所述直连设备所具备的功能确定所述直连设备的设备类型。

结合第二方面及上述实现方式，在另一种实现方式中，所述第二确定模块，还用于在所述根据所述第一LLDP报文，确定所述直连设备的设备类型之前，确定所述第一LLDP报文是否携带系统能力TLV，当所述第一LLDP报文中携带系统能力TLV时，则根据所述系统能力TLV，确定所述直连设备的设备类型；

相应地，所述发送模块，还用于当所述第一LLDP报文中未携带系统能力TLV时，则向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括全部类型的TLV。

结合第二方面及上述实现方式，在另一种实现方式中，所述发送模块用于，

当所述直连设备为中继器时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV只包括最低安全级别TLV；

当所述直连设备为网桥或者路由器时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括全部类型的TLV；

当所述直连设备为因特网协议电话时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括最低安全级别TLV、端口描述TLV、系统名称TLV、系统描述TLV、系统能力TLV、端口虚拟局域网标识TLV以及设备供电能力TLV。

结合第二方面及上述实现方式，在另一种实现方式中，所述装置还包括：

加密模块，用于采用可逆算法对所述第二LLDP报文中的TLV进行加密。

结合第二方面及上述实现方式，在另一种实现方式中，所述装置还包括：

管理模块，用于当所述网络设备的一个端口上连接的直连设备的数目达到上限，且所述端口上新接入的直连设备的安全级别为安全时，删除连接在所述端口上的至少一个安全级别为非安全的直连设备。

本发明实施例提供的技术方案带来的有益效果是：

通过确定直连设备的安全级别，并当直连设备的安全级别为安全时，确定该直连设备的设备类型，根据设备类型选择与设备类型对应的TLV进行发送，避免了现有技术中每次都将所有类型的TLV发送给直连设备，减小了设备信息泄漏的可能，保证了发送的LLDP报文更加合理，节省链路开销，同时可以避免造成直连设备无法处理而不能正常运行的问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的网络管理系统拓扑图；

图2是本发明实施例提供的LLDP报文的结构示意图；

图3是本发明实施例提供的LLDPDU的结构示意图；

图4是本发明实施例提供的TLV的结构示意图；

图5是本发明实施例一提供的链路发现方法流程图；

图6是本发明实施例二提供的链路发现方法流程图；

图7是本发明实施例三提供的链路发现装置的结构示意图；

图8是本发明实施例四提供的链路发现装置的结构示意图；

图9是本发明实施例三、四提供的链路发现装置的具体实施方式的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

为了便于理解本发明，下面先结合图1对本发明实施例的网络架构及LLDP的原理进行简单介绍。

在本发明实施例中，将与某一网络设备直接连接的其它网络设备称为该网络设备的直连设备，每个网络设备与其直连设备交互LLDP报文。参见图1，Switch A（交换机A，以下简称A）和Switch B（交换机B，以下简称B）直接连接，即B为A的直连设备，A与B交互LLDP报文，建立LLDP邻居，并根据LLDP报文获得对端的设备信息，储存在本端设备的MIB（ManagementInformation Base，管理信息库）中，供NMS（Network Management System，网络管理系统）查询，并进行网络拓扑绘图和网络管理。

LLDP报文为封装有LLDPDU的以太网报文。LLDP报文采用Ethernet II（以太网II）封装或SNAP（SubNetwork Access Protocol，子网络访问协议）封装。

下面以采用Ethernet II封装的LLDP为例，对LLDP报文结构进行说明，如图2所示，具体地，该LLDP报文包括：DA（Destination address，目的地址）、SA（source address，目的地址）、Type（类型）、Data（数据）和FCS（Frame CheckSequence，帧检验序列）；具体地，DA是指目的MAC（Medium Access Control，介质访问控制）地址，LLDP报文中该地址可以为组播地址，比如01-80-C2-00-00-0E；SA是指源MAC地址，即发送设备的MAC地址；Type是指报文类型，LLDP报文中该类型为0x88CC；Data是LLDP中的数据主体，即LLDPDU；FCS为帧检验序列。

参见图3，LLDPDU包括若干TLV，一个LLDPDU固定以Chassis ID TLV、Port ID TLV和Time to Live TLV开始，以End of LLDPDU TLV为结束，这四个TLV为必选的TLV，这四个TLV即本发明实施例中的最低安全级别TLV。一个LLDPDU还可能包括其他可选TLV，可以由设备自行定义是否包含在LLDPDU中。

每种TLV用于标识对应的设备信息，如Chassis ID TLV包括设备的ChassisID（Chassis Identity，设备标识），Port ID TLV包括Port ID（Port Identity，端口号）。

参见图4，每个TLV包括以下字段：TLV Type、TLV information string Length和TLV information string。具体地，TLV Type即为TLV的类型，每个TLV的类型值不同，比如End of LDPDU TLV的类型值为0；TLV information string Length代表TLV information string字段的长度；TLV information string中第一个字节是指此TLV的子类型，剩余的字节为TLV的值。

实施例一

本发明实施例提供了一种链路发现方法，参见图5，该方法包括：

101：当网络设备接收到的直连设备发送的LLDP报文为第一LLDP报文时，根据第一LLDP报文中的认证TLV，确定直连设备的安全级别，该安全级别包括安全和非安全，该第一LLDP报文包括认证TLV和最低安全级别TLV，最低安全级别TLV包括：Chassis ID TLV、Port ID TLV、Time to Live TLV和End ofLLDPDU TLV。

102：若该直连设备的安全级别为安全，则根据第一LLDP报文确定直连设备的设备类型，根据直连设备的设备类型，向直连设备发送第二LLDP报文，该第二LLDP报文包括与该直连设备的设备类型对应的TLV。

本发明实施例中，当直连设备的安全级别为安全时，确定该直连设备的设备类型，根据设备类型选择与设备类型对应的TLV进行发送，避免了现有技术中每次都将所有类型的TLV发送给直连设备，减小了设备信息泄漏的可能，保证了发送的LLDP报文更加合理，节省链路开销，避免造成直连设备无法处理而不能正常运行的问题。

实施例二

本发明实施例将以第一网络设备、以及与第一网络设备直连的第二网络设备为例，对本发明提供的链路发现方法做进一步说明，参见图6，该方法包括：

201：第一网络设备接收来自第二网络设备的LLDP报文。

其中，LLDP报文中包括若干TLV。如前所述，若干TLV中至少包括最低安全级别TLV，该最低安全级别TLV包括：Chassis ID TLV、Port ID TLV、Timeto Live TLV和End of LLDPDU TLV。

202：确定LLDP报文中是否携带认证TLV，若LLDP报文中携带认证TLV，则该LLDP报文为第一LLDP报文，执行203；若LLDP报文中未携带认证TLV，执行204。

203：根据第一LLDP报文中的认证TLV确定第二网络设备的安全级别，当第二网络设备的安全级别为非安全时，执行204；当第二网络设备的安全级别为安全时，执行205。

可选地，在本实施例中，认证TLV由第二网络设备将其Chassis ID和Port ID采用不可逆加密算法（如MD5（Message Digest Algorithm5，消息摘要算法第五版））加密得到。容易知道，认证TLV还可以根据第二网络设备的其它信息，如MAC（Medium Access Control，媒体访问控制）地址等生成。

具体地，203包括：

S1、根据第二网络设备发送的第一LLDP报文中携带的Chassis ID TLV和Port ID TLV，获得Chassis ID和Port ID；

S2、根据Chassis ID和Port ID进行，计算判定TLV；

S3、比较判定TLV与认证TLV是否相同，若相同，则确定第二网络设备的安全级别为安全，若不同，则确定第二网络设备的安全级别为不安全。

容易知道，S2中，采用与第二网络设备计算认证TLV相同的不可逆加密算法计算判定TLV。该不可逆加密算法可以在设备出厂时设置在该设备中。

204：向第二网络设备发送第一LLDP报文，第一LLDP报文中的TLV包括认证TLV和最低安全级别TLV，最低安全级别TLV包括：End of LLDPDU TLV、Chassis ID TLV、Port ID TLV和Time to Live TLV。

在具体实现中，当第一网络设备确定第二网络设备的安全级别为安全时，会将该第二网络设备标识为“安全邻居”；而当第一网络设备确定第二网络设备的安全级别为不安全或者第二网络设备发送的第一LLDP报文中不包括认证TLV时，会将该第二网络设备标识为“非安全邻居”。

205：确定第一LLDP报文中是否携带System Capabilities（系统能力）TLV，若第一LLDP报文中未携带System Capabilities TLV，则执行206；若第一LLDP报文中携带System Capabilities TLV，执行207。

其中，System Capabilities TLV包括TLV Type、TLV information string Length、System Capabilities和Enabled Capabilities（启用的功能）四个字段；其中SystemCapabilities字段用于描述设备功能，该System Capabilities字段通常包括16个比特，每个比特用来表示一个功能，置1表示具备该功能，0表示不具备该功能。

具体地，下面按照这十六个比特的顺序，分别对每个比特表示的功能分别进行说明：0、Other（其他），1、Repeater（中继器），2、Bridge（网桥），3、Wlan-Access-Point（无线热点），4、Router（路由器），5、Telephone（电话），6、DOCSIS cable device（同轴电缆数据服务接口规范电缆设备），7、Station Only（站），8、C_Vlan Component of a Vlan Bridge（Customer Vlan Component of aVlan Bridge，用户虚拟局域网组件），9、S_Vlan Component of a Vlan Bridge（StackVlan Component of a Vlan Bridge，交换虚拟局域网组件），10、Two-Port-MACRelay（双端口桥接），11-15、reserved（保留）。上述每种功能都与设备类型相对应，因此通过检查上述16个字节的值即可确定设备类型。

206：第一网络设备向第二网络设备发送第二LLDP报文，且第二LLDP报文中的TLV包括全部类型的TLV。具体地，全部类型的TLV包括：Chassis IDTLV、Port ID TLV、Time to Live TLV、End of LLDPDU TLV、Port Description（端口描述）TLV、System Name（系统名称）TLV、System Description（系统描述）TLV、System Capabilities TLV、Management Address（管理地址）TLV、Port VLAN ID（Port Virtual Local Area Network Identity，端口虚拟局域网标识）TLV、Port And Protocol VLAN ID（Port And Protocol Virtual Local Area NetworkIdentity，端口协议虚拟局域网标识）TLV、VLAN Name（虚拟局域网名称）TLV、Protocol Identity（协议号）TLV、MAC/PHY Configuration/Status（数据链路和物理层的配置及状态）TLV、Power Via MDI（端口的供电能力）TLV、LinkAggregation（链路聚合）TLV、Maximum Frame Size（最大帧长度）TLV、LLDP-MED Capabilities（LLDP-Media Endpoint Discovery Capabilities，LLDP中可封装的媒体终端发现类型）TLV、Network Policy（应用策略）TLV、ExtendedPower-via-MDI（设备供电能力）TLV、Hardware Revision（硬件版本）TLV、Firmware Revision（固件版本）TLV、Software Revision（软件版本）TLV、SerialNumber（设备序列号）TLV、Manufacturer Name（制造厂商）TLV、Model Name（驱动名称）TLV、Asset ID（设备断言标识符）TLV、Location Identification（位置标识）TLV以及自定义TLV。

207：根据系统能力TLV中System Capabilities字段获取第二网络设备所具备的功能，根据第二网络设备所具备的功能确定第二网络设备的设备类型，执行208。

其中，设备类型包括但不限于repeater（中继器）、telephone（因特网协议电话）、bridge（网桥）和router（路由器）等。确定的依据是System CapabilitiesTLV中System Capabilities字段描述的设备功能，例如，当设备类型为repeater、telephone、bridge和router时，分别对应System Capabilities字段中第1、5、2、4个比特的值为1。

208：根据第二网络设备的设备类型，向第二网络设备发送第二LLDP报文，该第二LLDP报文包括与第二网络设备的设备类型对应的TLV。

上述根据设备类型向第二网络设备发送与设备类型对应的第二LLDP报文，主要根据以下两点进行确定：

1、设备的处理能力。如第二网络设备为低端设备，处理能力会很低，LLDP报文中内容多，且采用加密方式，会造成设备无法正常运转。

2、LLDP报文中哪些TLV是该设备所需的。如对于一个IP（Internet Protocol，网络协议，简称IP）电话而言，需要端口供电能力和VOICE VLAN（Virtual LocalArea Network，虚拟局域网）等信息，而不需要链路聚合TLV的信息。

具体地，208可以包括：

若第二网络设备为中继器，则向第二网络设备发送第二LLDP报文，且第二LLDP报文中的TLV只包括最低安全级别TLV；其中，最低安全级别TLV包括：Chassis ID TLV、Port ID TLV、Time to Live TLV和End of LLDPDU TLV。

若第二网络设备为网桥或者路由器，则向第二网络设备发送第二LLDP报文，且第二LLDP报文中的TLV包括全部类型的TLV；具体地，全部类型的TLV包括：Chassis ID TLV、Port ID TLV、Time to Live TLV、End of LLDPDU TLV、Port Description TLV、System Name TLV、System Description TLV、SystemCapabilities TLV、Management Address TLV、Port VLAN ID TLV、Port AndProtocol VLAN ID TLV、VLAN Name TLV、Protocol Identity TLV、MAC/PHYConfiguration/Status TLV、Power Via MDI TLV、Link Aggregation TLV、MaximumFrame Size TLV、LLDP-MED Capabilities TLV、Network Policy TLV、ExtendedPower-via-MDI TLV、Hardware Revision TLV、Firmware Revision TLV、SoftwareRevision TLV、Serial Number TLV、Manufacturer Name TLV、Model Name TLV、Asset ID TLV、Location Identification TLV以及自定义TLV。

若第二网络设备为因特网协议电话，则向第二网络设备发送第二LLDP报文，且第二LLDP报文中的TLV包括最低安全级别TLV、Port Description TLV、System Name TLV、System Description TLV、System Capabilities TLV、Port VLANID以及Extended Power-via-MDI TLV的LLDP报文。其中，最低安全级别TLV包括：Chassis ID TLV、Port ID TLV、Time to Live TLV和End of LLDPDU TLV。

在具体实现中，设备类型与TLV的对应关系，可预先存储在网络设备中。容易知道，上述对应关系还可以进一步按照设备型号进行细分，这里不再赘述。

可选地，在根据第二网络设备的设备类型，向第二网络设备发送第二LLDP报文之前，该方法还包括：采用可逆算法对第二LLDP报文中的TLV进行加密。具体地，采用可逆算法对第二LLDP报文中的TLV的值进行加密。容易知道，该可逆算法可以由制造商生成设备时，写入设备中。

此外，第一网络设备在收到第一LLDP报文后，还会保存第一网络设备的端口与直连设备的对应关系以及直连设备的安全等级、设备信息等，该对应关系通常保存在设备的MIB中。

可选地，本实施例的方法还可以包括：

当第一网络设备的一个端口上连接的直连设备的数目达到上限，且该端口上新接入的直连设备的安全级别为安全时，删除连接在该端口上的至少一个安全级别为非安全的直连设备。容易知道，当第一网络设备的一个端口上连接的直连设备的数目达到上限，但确定新接入的直连设备的安全级别为非安全时，不会删除连接在该端口上的安全级别为非安全的直连设备。

具体地，删除连接在该端口上的安全级别为非安全的直连设备，包括：

从已保存的端口与直连设备的对应关系中，删除安全级别为非安全的直连设备。

这样做实际上是对邻居的优先级控制，安全级别为非安全的直连设备的优先级低于安全级别为安全的直连设备，既保证能与安全级别为非安全的直连设备兼容，又避免了安全级别为非安全的直连设备耗尽邻居数目的问题。删除至少一个安全级别为非安全的直连设备，保证了新的安全级别为安全的直连设备可以接入。

本发明实施例通过认证TLV确定直连设备的安全级别，一方面，当直连设备的安全级别为安全时，确定该直连设备的设备类型，根据设备类型选择与设备类型对应的TLV进行发送，避免了现有技术中每次都将所有类型的TLV发送给直连设备，减小了设备信息泄漏的可能。保证了发送的LLDP报文更加合理，节省链路开销，避免造成直连设备无法处理而不能正常运行的问题；另一方面，当直连设备的安全级别为安全时或直连设备发送的LLDP报文中为携带认证TLV时，发送只包含最低安全级别的TLV的LLDP报文，既能满足安全需求，又能保证低端设备和老设备的正常接入。

实施例三

参见图7，本发明实施例提供了一种链路发现装置，该装置适用于实施例一提供的链路发现方法，该装置包括：

第一确定模块301，用于当接收到的直连设备发送的LLDP报文为第一LLDP报文时，根据第一LLDP报文中的认证TLV，确定直连设备的安全级别，该安全级别包括安全和非安全；该第一LLDP报文包括认证TLV和最低安全级别TLV，最低安全级别TLV包括：Chassis ID TLV、Port ID TLV、Time to Live TLV和End of LLDPDU TLV；

第二确定模块302，用于当第一确定模块301确定直连设备的安全级别为安全时，根据第一LLDP报文确定直连设备的设备类型；

发送模块303，用于根据直连设备的设备类型，向直连设备发送第二LLDP报文，该第二LLDP报文包括与直连设备的设备类型对应的TLV。

本发明实施例中，当直连设备的安全级别为安全时，确定该直连设备的设备类型，根据设备类型选择与设备类型对应的TLV进行发送，避免了现有技术中每次都将所有类型的TLV发送给直连设备，减小了设备信息泄漏的可能。保证了发送的LLDP报文更加合理，节省链路开销，避免造成直连设备无法处理而不能正常运行的问题。

实施例四

参见图8，本发明实施例提供了一种链路发现装置，该装置适用于实施例二提供的链路发现方法，该装置包括：

第一确定模块301、第二确定模块302和发送模块303，

进一步地，发送模块303还用于，当直连设备的安全级别为非安全时，向直连设备发送第一LLDP报文，第一LLDP报文中的TLV包括认证TLV和最低安全级别TLV。

进一步地，该装置还包括：

接收模块404，用于接收直连设备发送的LLDP报文；

第三确定模块405，用于确定接收到的LLDP报文是否携带认证TLV，当LLDP报文中携带认证TLV时，确定该LLDP报文为第一LLDP报文；

相应地，发送模块303，还用于当LLDP报文中未携带认证TLV时，向直连设备发送第一LLDP报文。

其中，第一确定模块301包括：

获取单元3011，用于根据Chassis ID TLV和Port ID TLV，获得直连设备的Chassis ID和端口号；

计算单元3012，用于采用Chassis ID和Port ID，计算判定TLV；

比较单元3013，用于比较判定TLV与认证TLV是否相同，若相同，则确定直连设备的安全级别为安全，若不同，则确定直连设备的安全级别为非安全。

进一步地，第一LLDP报文还包括系统能力TLV，则第二确定模块302，用于根据系统能力TLV中System Capabilities字段获取直连设备所具备的功能，根据直连设备所具备的功能确定直连设备的设备类型。

其中，设备类型包括repeater（中继器）、telephone（因特网协议电话）、bridge（网桥）和router（路由器）等。

进一步地，第二确定模块302，还用于在根据第一LLDP报文，确定直连设备的设备类型之前，确定第一LLDP报文是否携带系统能力TLV，当第一LLDP报文中携带系统能力TLV时，则根据系统能力TLV，确定直连设备的设备类型；

相应地，发送模块303，还用于当第一LLDP报文中未携带系统能力TLV时，则向直连设备发送第二LLDP报文，且第二LLDP报文中的TLV包括全部类型的TLV。

进一步地，发送模块303用于，

当直连设备为中继器时，向直连设备发送第二LLDP报文，且第二LLDP报文中的TLV只包括最低安全级别TLV；

当直连设备为网桥或者路由器时，向直连设备发送第二LLDP报文，且第二LLDP报文中的TLV包括全部类型的TLV；

当直连设备为因特网协议电话时，向直连设备发送第二LLDP报文，且第二LLDP报文中的TLV包括最低安全级别TLV、端口描述TLV、系统名称TLV、系统描述TLV、系统能力TLV、端口虚拟局域网标识TLV以及设备供电能力TLV。

进一步地，该装置还包括加密模块406，用于采用可逆算法对第二LLDP报文中的TLV进行加密。

进一步地，该装置还包括管理模块，用于当网络设备的一个端口上连接的直连设备的数目达到上限，且该端口上新接入的直连设备的安全级别为安全时，删除连接在该端口上的至少一个安全级别为非安全的直连设备。

本发明实施例通过认证TLV确定直连设备的安全级别，一方面，当直连设备的安全级别为安全时，确定该直连设备的设备类型，根据设备类型选择与设备类型对应的TLV进行发送，避免了现有技术中每次都将所有类型的TLV发送给直连设备，减小了设备信息泄漏的可能，保证了发送的LLDP报文更加合理，节省链路开销，避免造成直连设备无法处理而不能正常运行的问题；另一方面，当直连设备的安全级别为安全时或直连设备发送的LLDP报文中为携带认证TLV时，发送只包含最低安全级别的TLV的LLDP报文，既能满足安全需求，又能保证低端设备和老设备的正常接入。

在具体的实施方式中，前述图7、8中的链路发现装置可以是一种计算机或者服务器，如图9所示。其一般包括存储器91、处理器92、网络接口93等部件。本领域技术人员可以理解，图9中所示出的结构并不构成对本装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图9对计算机90的各个构成部件进行具体的介绍：

存储器91可用于存储软件程序以及应用模块，处理器92通过运行存储在存储器91的软件程序以及应用模块，从而执行计算机90的各种功能应用以及数据处理。存储器91可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序（比如报文解封装）等；存储数据区可存储根据计算机90的处理所创建的数据。此外，存储器91可以包括高速RAM（Random Access Memory，随机存取存储器），还可以包括非易失性存储器（non-volatile memory），例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

处理器92是计算机90的控制中心，利用各种接口和线路连接整个计算机的各个部分。

具体地，处理器92通过运行或执行存储在存储器91内的软件程序和/或应用模块，以及调用存储在存储器91内的数据，处理器92可以实现，当通过网络接口93接收到的直连设备发送的LLDP报文为第一LLDP报文时，根据第一LLDP报文中的认证TLV，确定直连设备的安全级别，该安全级别包括安全和非安全，该第一LLDP报文包括认证TLV和最低安全级别TLV，最低安全级别TLV包括：Chassis ID TLV、Port ID TLV、Time to Live TLV和End of LLDPDU TLV；

当直连设备的安全级别为安全时，根据第一LLDP报文确定直连设备的设备类型；

根据直连设备的设备类型，通过网络接口93向直连设备发送第二LLDP报文，该第二LLDP报文包括与直连设备的设备类型对应的TLV。

进一步地，网络接口93还用于，当直连设备的安全级别为非安全时，向直连设备发送第一LLDP报文，第一LLDP报文中的TLV包括认证TLV和最低安全级别TLV。

进一步地，处理器92可以实现，通过网络接口93接收直连设备发送的LLDP报文，并确定接收到的LLDP报文是否携带认证TLV；

若LLDP报文中携带认证TLV，则LLDP报文为第一LLDP报文；

若LLDP报文中未携带认证TLV，则通过网络接口93向直连设备发送第一LLDP报文。

进一步地，处理器92可以实现，根据直连设备发送的第一LLDP报文中携带的Chassis ID TLV和Port ID TLV，获得Chassis ID和Port ID；

采用Chassis ID和Port ID，计算判定TLV；

比较判定TLV与认证TLV是否相同，若相同，则确定直连设备的安全级别为安全，若不同，则确定直连设备的安全级别为不安全。

进一步地，处理器92可以实现，根据系统能力TLV中System Capabilities字段获取直连设备所具备的功能，根据直连设备所具备的功能确定直连设备的设备类型。

进一步地，处理器92可以实现，在根据第一LLDP报文，确定直连设备的设备类型之前，确定第一LLDP报文是否携带系统能力TLV，当第一LLDP报文中携带系统能力TLV时，则根据系统能力TLV确定直连设备的设备类型；

当第一LLDP报文中未携带系统能力TLV，通过网络接口93向直连设备发送第二LLDP报文，且第二LLDP报文中的TLV包括全部类型的TLV。

进一步地，处理器92可以实现，当直连设备为中继器时，通过网络接口93向直连设备发送第二LLDP报文，且第二LLDP报文中的TLV只包括最低安全级别TLV；

当直连设备为网桥或者路由器时，通过网络接口93向直连设备发送第二LLDP报文，且第二LLDP报文中的TLV包括全部类型的TLV；

当直连设备为因特网协议电话时，通过网络接口93向直连设备发送第二LLDP报文，且第二LLDP报文中的TLV包括最低安全级别TLV、端口描述TLV、系统名称TLV、系统描述TLV、系统能力TLV、端口虚拟局域网标识TLV以及设备供电能力TLV。

进一步地，处理器92还可以实现，采用可逆算法对第二LLDP报文中携带的TLV进行加密。

进一步地，处理器92可以实现，当网络设备的一个端口上连接的直连设备的数目达到上限，且该端口上新接入的直连设备的安全级别为安全时，删除连接在该端口上的至少一个安全级别为非安全的直连设备。

需要说明的是：上述实施例提供的链路发现装置在进行链路发现时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将链路发现装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的链路发现装置与链路发现方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (18)

1.一种链路发现方法，其特征在于，所述方法包括：

当网络设备接收到的直连设备发送的第一链路层发现协议LLDP报文时，根据所述第一LLDP报文中的认证类型-长度-值TLV，确定所述直连设备的安全级别，所述安全级别包括安全和非安全，所述第一LLDP报文包括所述认证TLV和最低安全级别TLV，所述最低安全级别TLV包括：设备标识TLV、端口号TLV、邻居生命周期TLV和LLDP数据单元结束TLV；

若所述直连设备的安全级别为安全，则根据所述第一LLDP报文确定所述直连设备的设备类型，并根据所述直连设备的设备类型，向所述直连设备发送第二LLDP报文，所述第二LLDP报文包括与所述直连设备的设备类型对应的TLV。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述直连设备的安全级别为非安全，则向所述直连设备发送所述第一LLDP报文。

3.根据权利要求1所述的方法，其特征在于，在所述根据所述第一LLDP报文中的认证TLV，确定所述直连设备的安全级别之前，所述方法还包括：

接收所述直连设备发送的LLDP报文，并确定接收到的所述LLDP报文是否携带认证TLV；

若所述LLDP报文中携带认证TLV，则所述LLDP报文为第一LLDP报文；

相应地，所述方法还包括：

若所述LLDP报文中未携带认证TLV，则向所述直连设备发送所述第一LLDP报文。

4.根据权利要求1所述的方法，其特征在于，所述根据所述第一LLDP中的认证TLV，确定所述直连设备的安全级别，包括：

根据所述设备标识TLV和所述端口号TLV，获得所述直连设备的设备标识和端口号；

采用所述设备标识和端口号，计算判定TLV；

比较所述判定TLV与所述认证TLV是否相同，若相同，则确定所述直连设备的安全级别为安全，若不同，则确定所述直连设备的安全级别为非安全。

5.根据权利要求1所述的方法，其特征在于，所述第一LLDP报文还包括系统能力TLV，所述系统能力TLV包括用于描述设备功能的系统能力字段，则所述根据所述第一LLDP报文，确定所述直连设备的设备类型，包括：

根据所述系统能力TLV中所述系统能力字段获取所述直连设备所具备的功能；

根据所述直连设备所具备的功能确定所述直连设备的设备类型。

6.根据权利要求5所述的方法，其特征在于，在所述根据所述第一LLDP报文，确定所述直连设备的设备类型之前，所述方法还包括：

确定所述第一LLDP报文是否携带系统能力TLV；

若所述第一LLDP报文中未携带系统能力TLV，则向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括全部类型的TLV；

若所述第一LLDP报文中携带系统能力TLV，则根据所述系统能力TLV，确定所述直连设备的设备类型。

7.根据权利要求1所述的方法，其特征在于，所述根据所述直连设备的设备类型，向所述直连设备发送第二LLDP报文，包括：

当所述直连设备为中继器时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV只包括最低安全级别TLV；

当所述直连设备为网桥或者路由器时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括全部类型的TLV；

当所述直连设备为因特网协议电话时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括最低安全级别TLV、端口描述TLV、系统名称TLV、系统描述TLV、系统能力TLV、端口虚拟局域网标识TLV以及设备供电能力TLV。

8.根据权利要求1-7任一项所述的方法，其特征在于，在所述根据所述直连设备的设备类型，向所述直连设备发送第二LLDP报文之前，所述方法还包括：

采用可逆算法对所述第二LLDP报文中的TLV进行加密。

9.根据权利要求1-7任一项所述的方法，其特征在于，所述方法还包括：

当所述网络设备的一个端口上连接的直连设备的数目达到上限，且所述端口上新接入的直连设备的安全级别为安全时，删除连接在所述端口上的至少一个安全级别为非安全的直连设备。

10.一种链路发现装置，其特征在于，所述装置包括：

第一确定模块，用于当网络设备接收到的直连设备发送的第一链路层发现协议LLDP报文时，根据所述第一LLDP报文中的认证类型-长度-值TLV，确定所述直连设备的安全级别，所述安全级别包括安全和非安全；所述第一LLDP报文包括所述认证TLV和最低安全级别TLV，所述最低安全级别TLV包括：设备标识TLV、端口号TLV、邻居生命周期TLV和LLDP数据单元结束TLV；

第二确定模块，用于当所述第一确定模块确定所述直连设备的安全级别为安全时，根据所述第一LLDP报文确定所述直连设备的设备类型；

发送模块，用于根据所述直连设备的设备类型，向所述直连设备发送第二LLDP报文，所述第二LLDP报文包括与所述直连设备的设备类型对应的TLV。

11.根据权利要求10所述的装置，其特征在于，所述发送模块还用于，当所述直连设备的安全级别为非安全时，向所述直连设备发送所述第一LLDP报文。

12.根据权利要求10所述的装置，其特征在于，所述装置还包括：

接收模块，用于接收所述直连设备发送的LLDP报文，

第三确定模块，用于确定所述接收模块接收到的所述LLDP报文是否携带认证TLV，当所述LLDP报文中携带认证TLV时，确定所述LLDP报文为第一LLDP报文；

相应地，所述发送模块，还用于当所述LLDP报文中未携带认证TLV时，向所述直连设备发送所述第一LLDP报文。

13.根据权利要求10所述的装置，其特征在于，所述第一确定模块包括：

获取单元，用于根据所述设备标识TLV和端口号TLV，获得所述直连设备的设备标识和端口号；

计算单元，用于采用所述设备标识和端口号，计算判定TLV；

比较单元，用于比较所述判定TLV与所述认证TLV是否相同，若相同，则确定所述直连设备的安全级别为安全，若不同，则确定所述直连设备的安全级别为非安全。

14.根据权利要求10所述的装置，其特征在于，所述第一LLDP报文还包括系统能力TLV，所述系统能力TLV包括用于描述设备功能的系统能力字段，

则所述第二确定模块，用于根据所述系统能力TLV中所述系统能力字段获取所述直连设备所具备的功能，根据所述直连设备所具备的功能确定所述直连设备的设备类型。

15.根据权利要求14所述的装置，其特征在于，所述第二确定模块，还用于在所述根据所述第一LLDP报文，确定所述直连设备的设备类型之前，确定所述第一LLDP报文是否携带系统能力TLV，当所述第一LLDP报文中携带系统能力TLV时，则根据所述系统能力TLV，确定所述直连设备的设备类型；

相应地，所述发送模块，还用于当所述第一LLDP报文中未携带系统能力TLV时，则向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括全部类型的TLV。

16.根据权利要求10所述的装置，其特征在于，所述发送模块用于，

当所述直连设备为中继器时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV只包括最低安全级别TLV；

当所述直连设备为网桥或者路由器时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括全部类型的TLV；

当所述直连设备为因特网协议电话时，向所述直连设备发送第二LLDP报文，且所述第二LLDP报文中的TLV包括最低安全级别TLV、端口描述TLV、系统名称TLV、系统描述TLV、系统能力TLV、端口虚拟局域网标识TLV以及设备供电能力TLV。

17.根据权利要求10-16任一项所述的装置，其特征在于，所述装置还包括：

加密模块，用于采用可逆算法对所述第二LLDP报文中的TLV进行加密。

18.根据权利要求10-16任一项所述的装置，其特征在于，所述装置还包括：

管理模块，用于当所述网络设备的一个端口上连接的直连设备的数目达到上限，且所述端口上新接入的直连设备的安全级别为安全时，删除连接在所述端口上的至少一个安全级别为非安全的直连设备。

Images