CN103561026B - 硬件访问控制列表的更新方法、更新装置和交换机 - Google Patents
硬件访问控制列表的更新方法、更新装置和交换机 Download PDFInfo
- Publication number
- CN103561026B CN103561026B CN201310538281.1A CN201310538281A CN103561026B CN 103561026 B CN103561026 B CN 103561026B CN 201310538281 A CN201310538281 A CN 201310538281A CN 103561026 B CN103561026 B CN 103561026B
- Authority
- CN
- China
- Prior art keywords
- host node
- dhcpv6
- software
- list
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种硬件控制列表的更新方法、更新装置和交换机。所述方法包括:当硬件访问控制列表中的ACL规则被写满时,向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,同时为所述主机节点启动定时器;监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息;如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息,确定所述主机节点已经离线;当监测到主机节点离线时,将离线主机节点在硬件ACL中对应的ACL规则删除。本发明提高了交换机ACL的利用率,满足更多在线主机的接入要求。
Description
技术领域
本发明涉及通信技术和计算机领域,尤其涉及一种硬件访问控制列表的更新方法、更新装置和交换机。
背景技术
DHCPv6(Dynamic Host Configuration Protocol Version 6,动态主机配置协议,版本6)是一个局域网协议,使用UDP协议(User Datagram Protocol,用户数据包协议)工作,主要有两个用途:(1)为内部网络或网络服务供应商自动分配IPv6(InternetProtocol Version 6,网际协议,版本6)地址给用户;(2)方便内部网络管理员对所有计算机作中央管理。DHCPv6SNOOPING(DHCPv6监听协议)是一种监听DHCPv6请求过程的私有协议,它在交换装置中使用,将每一个成功获取IPv6地址的用户生成一个DHCPv6绑定信息。ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里所指的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址和端口号等。网络设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
为了防止用户私自接入网络,便于网络的维护和管理,可结合DHCPv6 SNOOPING来实施接入控制策略,通过DHCPv6方式获取IPv6地址的主机可以访问网络,而私设IPv6地址的主机将不允许访问网络。这种接入策略可以结合交换机硬件ACL来实现,即:针对每一个合法的DHCPv6用户下发一条相对应的ACL规则。但是,由于交换设备中的ACL的容量有限,当DHCPv6绑定表项数目大于设备的ACL规则数目时,一些DHCPv6绑定表项对应的ACL规则无法下发,则这些DHCPv6用户无法访问网络,但是,交换设备无法保证所有ACL规则对应的主机节点均在线,这就造成因为不在线主机占用ACL规则而使得在线主机无法访问网络,交换机硬件ACL利用率低。
发明内容
有鉴于此,本发明提供一种硬件访问控制列表的更新方法、更新装置和交换机,以提高了交换机硬件ACL的利用率,满足更多在线主机节点的接入要求。
在第一方面,本发明实施例提供了一种硬件访问控制列表的更新方法,包括:
当硬件ACL中的ACL规则被写满时,向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,同时为所述主机节点启动定时器,其中,所述邻居请求消息的源地址为未指定地址,目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址,消息内容中包括所述主机节点的IPv6地址;
监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息;
如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息,确定所述主机节点已经离线;
当监测到主机节点离线时,将离线主机节点在硬件ACL中对应的ACL规则删除。
在第二方面,本发明实施例提供了一种硬件访问控制列表的更新装置,包括:
请求消息发送单元,用于当硬件ACL中的ACL规则被写满时,向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,同时为所述主机节点启动定时器,其中,所述邻居请求消息的源地址为未指定地址,目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址,消息内容中包括所述主机节点的IPv6地址;
公告消息监听单元,用于监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息;
离线主机确定单元,用于如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息,确定所述主机节点已经离线;
ACL规则删除单元,用于当监测到主机节点离线时,将离线主机节点在硬件ACL中对应的ACL规则删除。
在第三方面,本发明提供了一种交换机,包括本发明任意实施例所提供的硬件访问控制列表的更新装置。
本发明实施例提供的硬件访问控制列表的更新方法、更新装置和交换机,在硬件ACL规则被写满后,通过向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息的方式,检测硬件ACL中记录的主机节点是否在线,将不在线的主机节点从硬件ACL中删除,为在线用户留出了更多的硬件空间。提高了交换机硬件ACL的利用率,满足了更多在线主机节点的接入要求。
附图说明
图1是本发明第一实施例的一种硬件ACL的更新方法的流程图;
图2是本发明第二实施例的一种硬件ACL的更新方法的流程图;
图3是本发明第三实施例的一种硬件ACL的更新装置的结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明具体实施例作进一步的详细描述。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。
本发明实施例利用了重复地址检测技术,即:节点A发送邻居请求消息,其中,该邻居请求消息的源地址是未指定地址(用::表示),目的地址是待检测的IPv6(InternetProtocol Version 6,互联网协议,版本号6)地址对应的被请求节点组播地址,消息内容中包含了该待检测的IPv6地址。如果某个节点B已经使用这个IPv6地址,则会返回邻居公告消息。其中包含了自己的IPv6地址。节点A收到节点B发来的邻居公告消息,就知道该IPv6地址已被使用。反之,则说明该地址未被使用,节点A就可使用此IPv6地址。本发明利用了重复地址检测机制,只有当节点B当前在线的情况下,才会向节点A发送对应的邻居公告消息,因此,交换机可以通过对IPv6地址进行重复地址检测的方式,获取与该IPv6地址对应的主机是否在线。
第一实施例
图1是本发明第一实施例提供的一种ACL的更新方法的流程图,本实施例的方法可以由硬件ACL的更新装置来执行,该装置可通过硬件和/或软件的方式实现,一般可集成于三层交换机内。本实施例的方法具体包括如下步骤:
步骤110、当硬件ACL中的ACL规则被写满时,向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,同时为所述主机节点启动定时器,其中,所述邻居请求消息的源地址为未指定地址,目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址,消息内容中包括所述主机节点的IPv6地址。
在本实施例中,交换机查询自身存储的硬件ACL,当该硬件ACL中的ACL规则被写满时,向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,进行重复地址检测。
在本实施例中,上述软件DHCPv6绑定表中包括与硬件ACL中的ACL规则相对应的主机节点信息。典型的,上述主机节点信息中包括:主机IPv6地址、主机MAC(Media AccessControl,介质访问控制层)地址、接入VLAN(Virtual Local Area Network,虚拟局域网)号和接入端口号。
当然,本领域技术人员可以理解的是,主机节点信息中除了上述四元组数据之外,还可以包括其他类型的数据,例如:数据包发送时间、有效生存期等,对此并不限定。
在本实施例中,交换机可以向软件DHCPv6绑定表中的表项对应的主机发送一个邻居请求消息,或者,连续向对应的主机发送预定多个邻居请求信息。
在本实施例中,定时器用于判断交换机是否能够在预定的时间内收到与发送的邻居请求消息相对应的邻居公告消息。
步骤120、监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息。
在本实施例中,当交换机完成邻居请求消息的发送过程后,开始监听主机节点反馈的与邻居请求信息对应的邻居公告消息。
步骤130、如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息,确定所述主机节点已经离线。
在本实施例中,当交换机为一个主机节点设定的定时周期内,收到该主机节点反馈的至少一个邻居公告消息,确定该主机节点当前在线;当交换机为一个主机节点设定的定时周期内,未收到该主机节点反馈的邻居公告信息,确定该主机节点已经离线。
步骤140、当监测到主机节点离线时,将离线主机节点在硬件ACL中对应的ACL规则删除。
在本实施例中,交换机的硬件ACL中存储有针对不同主机的ACL规则,当交换机监测到一个主机节点离线时,将该离线主机节点在硬件ACL中对应的ACL规则删除。
本发明实施例提供的硬件访问控制列表的更新方法、更新装置和交换机,在硬件ACL规则被写满后,通过向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息的方式,检测硬件ACL中记录的主机节点是否在线,将不在线的主机节点从硬件ACL中删除,为在线用户留出了更多的硬件空间。提高了交换机硬件ACL的利用率,满足了更多在线主机节点的接入要求。
在上述实施例的基础上,所述的软件DHCPv6绑定表中还包括表项写入状态,其中,所述表项写入状态包括:硬件写入状态和软件写入状态;所述当硬件ACL中的ACL规则被写满时,向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息具体包括:当硬件ACL中的ACL规则被写满时,向软件DHCPv6绑定表中表项写入状态为硬件写入状态的表项对应的主机节点发送至少一个邻居请求消息;所述当监测到主机节点离线时,将离线主机节点在硬件ACL中对应的ACL规则删除之后,还包括:将软件DHCPv6绑定表中与离线主机节点对应的表项的写入状态修改为软件写入状态。
在本优选实施方式中,软件DHCPv6绑定表中的主机节点信息具体包括两种写入状态:硬件写入状态和软件写入状态。其中,硬件写入状态代表该主机节点信息在写入软件DHCPv6绑定表中的同时也被写入了交换机的硬件ACL中;软件写入状态代表该主机节点信息仅被写入软件DHCPv6绑定表中而没有被写入交换机的硬件ACL中。
这样设置的好处是:通过在软件DHCPv6绑定表中标注主机节点信息的写入状态,可以在软件DHCPv6绑定表记录所有通过交换机转发数据包的主机节点信息的基础上,只查询被写入硬件ACL表项的主机节点信息,节省了查询时间,另外,避免了直接在ACL中查找对应的主机进行检测时,影响其他数据包通过硬件ACL进行数据的转发。
在上述各实施例的基础上,所述方法还包括:监听主机节点的DHCPv6探听过程,为监听到的主机节点在软件DHCPv6绑定表中创建表项;根据所述软件DHCPv6绑定表项下发所述硬件ACL规则。
在本优选实施方式中,通过下发硬件ACL规则的方式,确保了软件DHCPv6绑定表中包括硬件ACL中全部硬件ACL规则对应的主机节点信息。
在本优选实施方式中,在软件DHCPv6绑定表项下发所述硬件ACL规则时,交换机查询自身存储的硬件ACL,当硬件ACL中的ACL规则未被写满时,下发相应的硬件ACL规则;当硬件ACL中的ACL规则被写满时,触发执行步骤110。
在上述各实施例的基础上,所述监听主机节点的DHCPv6探听过程,为监听到的主机节点在软件DHCPv6绑定表中创建表项具体包括:获取网络中DHCPv6请求报文;提取所述DHCPv6请求报文中的交换标识(Transaction-ID),作为操作标识;当获取交换标识与所述操作标识相同的DHCPv6应答报文时,提取所述DHCPv6应答报文中的主机信息,其中,所述主机信息包括主机MAC地址和IPv6地址;查询MAC地址表,获取与所述主机MAC地址相对应的VLAN号和端口号;将所述主机MAC地址、IPv6地址、VLAN号和端口号,作为一条绑定表项写入所述软件DHCPv6绑定表中。
在本优选实施方式中,交换机的交换芯片在获取网络中的原始的DHCPv6交互报文(请求报文和应答报文)后,将该原始DHCPv6交互报文复制一份(例如,通过DHCPv6重定向的方式)传输至交换机的CPU后,将原始的DHCPv6交互报文通过交换芯片转发出去。
第二实施例
图2为本发明第二实施例的一种硬件ACL的更新方法的流程图,本实施例以上述实施例为基础进行优化,在本实施例中,在交换机根据软件DHCPv6绑定表下发所述硬件ACL规则时,触发查询硬件ACL的操作。本实施例的方法具体包括如下步骤:
步骤210、根据获取的DHCPv6交互报文生成主机节点信息,作为待绑定数据。
步骤220、查询软件DHCPv6绑定表,判断待绑定数据的存储和写入状态:当该待绑定数据存储于该DHCPv6绑定表中并且其写入状态为硬件写入时,执行步骤230;当该待绑定数据未被存储在DHCPv6绑定表时,执行步骤240;当该待绑定数据存储于该DHCPv6绑定表中并且其写入状态为软件写入时,执行步骤250。
步骤230、丢弃待绑定数据。
在本实施例中,若待绑定数据已经被写入交换机硬件ACL,将丢弃该待绑定数据,对其不进行任何处理。
步骤240、将待绑定数据写入DHCPv6绑定表,将其状态标记为软件写入。
步骤250、查询硬件ACL,判断该表是否被写满:若是,执行步骤260;否则,执行步骤270。
步骤260、查找DHCPv6绑定表中状态为硬件写入的主机节点信息,获取IPv6地址进行重复地址检测。
在本实施例中,步骤260可以为:遍历邻居表中的写入状态为硬件写入状态的主机节点信息,获取各目标地址进行重复地址检测,将交换机硬件ACL中ACL规则对应的全部主机都进行是否在线的检测;也可以当判断出一个主机不在线后,即停止剩下的主机的在线检测。
步骤270、将待绑定数据写入硬件ACL,并将其在DHCPv6绑定表的状态修改为硬件写入。
步骤280、判断是否存在未收到对应邻居公告消息IPv6地址:若是,执行步骤290;否则,结束该流程。
在本实施例中,如果判断硬件ACL中存储的ACL规则对应的主机全部在线,则不将待绑定数据写入硬件ACL中。
当然,本领域技术人员可以理解,当判断硬件ACL中存储的ACL规则对应的主机全部在线还可以采用其他的操作方式,例如:随机从硬件ACL中删除一条ACL规则或者将最早被写入硬件ACL的ACL规则删除等,对此并不限定。
步骤290、将IPv6地址对应ACL规则从ACL中删除,并将该地址对应的主机节点信息在ACL中的状态修改为软件写入。
步骤2A0、将待绑定数据写入ACL中,将其在DHCPv6绑定表中的写入状态修改为硬件写入状态。
本发明实施例提供的硬件访问控制列表的更新方法、更新装置和交换机,在硬件ACL规则被写满后,通过向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息的方式,检测硬件ACL中记录的主机节点是否在线,将不在线的主机节点从硬件ACL中删除,为在线用户留出了更多的硬件空间。提高了交换机硬件ACL的利用率,满足了更多在线主机节点的接入要求。
在上述各实施例的基础上,所述获取IPv6地址进行重复地址检测包括:
根据该获取的目标地址构造邻居请求消息并发送,其中,该邻居请求消息的源地址为未指定地址,目的地址为该获取的目标地址对应的被请求节点组播地址,消息内容中包括该获取的目标地址。
举例而言,组播地址是把每个IPv6地址的后24位加入到FF02::1:FF/104形成的,每个IPv6地址都会加入到各自相应的被请求节点的多播组,比如邻居请求报文的目标地址(Target Address)为2001:410:0:1::1:a,对应的被请求节点组播地址为FF02::1:FF01:000A。
第三实施例
在图3中示出了硬件ACL表项更新装置的结构图。如图3所示,所述装置包括:
请求消息发送单元31,用于当硬件访问控制列表ACL中的ACL规则被写满时,向软件动态主机配置协议DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,同时为所述主机节点启动定时器,其中,所述邻居请求消息的源地址为未指定地址,目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址,消息内容中包括所述主机节点的IPv6地址。
公告消息监听单元32,用于监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息。
离线主机确定单元33,用于如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息,确定所述主机节点已经离线。
ACL规则删除单元34,用于当监测到主机节点离线时,将离线主机节点在硬件ACL中对应的ACL规则删除。
本发明实施例提供的硬件访问控制列表的更新方法、更新装置和交换机,在硬件ACL规则被写满后,通过向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息的方式,检测硬件ACL中记录的主机节点是否在线,将不在线的主机节点从硬件ACL中删除,为在线用户留出了更多的硬件空间。提高了交换机硬件ACL的利用率,满足了更多在线主机节点的接入要求。
在上述各实施例的基础上,所述的软件DHCPv6绑定表中还包括表项写入状态,其中,所述表项写入状态包括:硬件写入状态和软件写入状态;
所述请求消息发送单元具体用于:当硬件ACL中的ACL规则被写满时,向软件DHCPv6绑定表中表项写入状态为硬件写入状态的表项对应的主机节点发送至少一个邻居请求消息;
所述装置还包括,软件状态修改单元:用于将软件DHCPv6绑定表中与离线主机节点对应的表项的写入状态修改为软件写入状态。
在上述各实施例的基础上,所述装置还包括:
软件表项创建子单元,用于监听主机节点的DHCPv6探听过程,为监听到的主机节点在软件DHCPv6绑定表中创建表项;
软件表项下发子单元,用于根据所述软件DHCPv6绑定表项下发所述硬件ACL规则。
在上述各实施例的基础上,所述软件表项创建子单元具体用于:
获取网络中DHCPv6请求报文;
提取所述DHCPv6请求报文中的交换标识,作为操作标识;
当获取交换标识与所述操作标识相同的DHCPv6应答报文时,提取所述DHCPv6应答报文中的主机信息,其中,所述主机信息包括主机MAC地址和IPv6地址;
查询MAC地址表,获取与所述主机MAC地址相对应的VLAN号和端口号;
将所述主机MAC地址、IPv6地址、VLAN号和端口号,作为一条绑定表项写入所述软件DHCPv6绑定表中。
本发明实施例所提供的硬件ACL更新装置可以用于执行本发明任意实施例提供的硬件ACL更新方法,具备相应的功能模块,达到同样的技术效果。
显然,本领域技术人员应该明白,本发明实施例可以用计算机装置可执行的程序来实现,从而可以将它们存储在存储装置中由处理器来执行,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等;或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件的结合。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种硬件访问控制列表的更新方法,其特征在于,包括:
当硬件访问控制列表中的ACL规则被写满时,向软件动态主机配置协议DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,同时为所述主机节点启动定时器,其中,所述邻居请求消息的源地址为未指定地址,目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址,消息内容中包括所述主机节点的IPv6地址;
监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息;
如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息,确定所述主机节点已经离线;
当监测到主机节点离线时,将离线主机节点在硬件访问控制列表中对应的ACL规则删除;
所述的软件DHCPv6绑定表中还包括表项写入状态,其中,所述表项写入状态包括:硬件写入状态和软件写入状态;
所述当硬件访问控制列表中的ACL规则被写满时,向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息具体包括:
当硬件访问控制列表中的ACL规则被写满时,向软件DHCPv6绑定表中表项写入状态为硬件写入状态的表项对应的主机节点发送至少一个邻居请求消息;
所述当监测到主机节点离线时,将离线主机节点在硬件访问控制列表中对应的ACL规则删除之后,还包括:
将软件DHCPv6绑定表中与离线主机节点对应的表项的写入状态修改为软件写入状态。
2.根据权利要求1所述的硬件访问控制列表的更新方法,其特征在于,所述方法还包括:
监听主机节点的DHCPv6探听过程,为监听到的主机节点在软件DHCPv6绑定表中创建表项;
根据所述软件DHCPv6绑定表项下发所述硬件ACL规则。
3.根据权利要求2所述的硬件访问控制列表的更新方法,其特征在于,所述监听主机节点的DHCPv6探听过程,为监听到的主机节点在软件DHCPv6绑定表中创建表项具体包括:
获取网络中DHCPv6请求报文;
提取所述DHCPv6请求报文中的交换标识,作为操作标识;
当获取交换标识与所述操作标识相同的DHCPv6应答报文时,提取所述DHCPv6应答报文中的主机信息,其中,所述主机信息包括主机媒体访问控制MAC地址和IPv6地址;
查询MAC地址表,获取与所述主机MAC地址相对应的虚拟局域网VLAN号和端口号;
将所述主机MAC地址、IPv6地址、VLAN号和端口号,作为一条绑定表项写入所述软件DHCPv6绑定表中。
4.一种硬件访问控制列表的更新装置,其特征在于,包括:
请求消息发送单元,用于当硬件访问控制列表中的ACL规则被写满时,向软件动态主机配置协议DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息,同时为所述主机节点启动定时器,其中,所述邻居请求消息的源地址为未指定地址,目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址,消息内容中包括所述主机节点的IPv6地址;
公告消息监听单元,用于监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息;
离线主机确定单元,用于如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息,确定所述主机节点已经离线;
ACL规则删除单元,用于当监测到主机节点离线时,将离线主机节点在硬件访问控制列表中对应的ACL规则删除;
所述的软件DHCPv6绑定表中还包括表项写入状态,其中,所述表项写入状态包括:硬件写入状态和软件写入状态;
所述请求消息发送单元具体用于:
当硬件访问控制列表中的ACL规则被写满时,向软件DHCPv6绑定表中表项写入状态为硬件写入状态的表项对应的主机节点发送至少一个邻居请求消息;
所述装置还包括,软件状态修改单元:
用于将软件DHCPv6绑定表中与离线主机节点对应的表项的写入状态修改为软件写入状态。
5.根据权利要求4所述的硬件访问控制列表的更新装置,其特征在于,所述装置还包括:
软件表项创建子单元,用于监听主机节点的DHCPv6探听过程,为监听到的主机节点在软件DHCPv6绑定表中创建表项;
软件表项下发子单元,用于根据所述软件DHCPv6绑定表项下发所述硬件ACL规则。
6.根据权利要求5所述的硬件访问控制列表的更新装置,其特征在于,所述软件表项创建子单元具体用于:
获取网络中DHCPv6请求报文;
提取所述DHCPv6请求报文中的交换标识,作为操作标识;
当获取交换标识与所述操作标识相同的DHCPv6应答报文时,提取所述DHCPv6应答报文中的主机信息,其中,所述主机信息包括主机MAC地址和IPv6地址;
查询MAC地址表,获取与所述主机MAC地址相对应的VLAN号和端口号;
将所述主机MAC地址、IPv6地址、VLAN号和端口号,作为一条绑定表项写入所述软件DHCPv6绑定表中。
7.一种交换机,其特征在于,包括权利要求4-6任一所述的硬件访问控制列表的更新装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310538281.1A CN103561026B (zh) | 2013-11-04 | 2013-11-04 | 硬件访问控制列表的更新方法、更新装置和交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310538281.1A CN103561026B (zh) | 2013-11-04 | 2013-11-04 | 硬件访问控制列表的更新方法、更新装置和交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103561026A CN103561026A (zh) | 2014-02-05 |
| CN103561026B true CN103561026B (zh) | 2017-03-15 |
Family
ID=50015176
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310538281.1A Active CN103561026B (zh) | 2013-11-04 | 2013-11-04 | 硬件访问控制列表的更新方法、更新装置和交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103561026B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660597B (zh) * | 2015-02-11 | 2017-11-24 | 福建星网锐捷网络有限公司 | 三层认证方法、装置及三层认证交换机 |
| CN105306481B (zh) * | 2015-11-12 | 2018-06-19 | 北京锐安科技有限公司 | 一种访问控制策略规则的操作方法 |
| CN107196947B (zh) * | 2017-06-08 | 2020-05-26 | 苏州浪潮智能科技有限公司 | 一种访问控制列表设置方法及系统 |
| CN112637234B (zh) * | 2020-12-30 | 2023-03-21 | 锐捷网络股份有限公司 | 基于端口变动的安全规则更新方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7143435B1 (en) * | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| CN101605070A (zh) * | 2009-07-10 | 2009-12-16 | 清华大学 | 基于控制报文监听的源地址验证方法及装置 |
| CN101753458A (zh) * | 2009-12-30 | 2010-06-23 | 杭州华三通信技术有限公司 | 一种nd邻居表项的处理方法及装置 |
| CN102404346A (zh) * | 2011-12-27 | 2012-04-04 | 神州数码网络(北京)有限公司 | 一种互联网用户访问权限的控制方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022394B (zh) * | 2007-04-06 | 2010-05-26 | 杭州华三通信技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
| CN101471936B (zh) * | 2007-12-29 | 2012-08-08 | 华为技术有限公司 | 建立ip会话的方法、装置及系统 |
| CN101304372B (zh) * | 2008-06-18 | 2011-04-13 | 华为技术有限公司 | 一种配置访问控制列表的方法、设备及系统 |
-
2013
- 2013-11-04 CN CN201310538281.1A patent/CN103561026B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7143435B1 (en) * | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| CN101605070A (zh) * | 2009-07-10 | 2009-12-16 | 清华大学 | 基于控制报文监听的源地址验证方法及装置 |
| CN101753458A (zh) * | 2009-12-30 | 2010-06-23 | 杭州华三通信技术有限公司 | 一种nd邻居表项的处理方法及装置 |
| CN102404346A (zh) * | 2011-12-27 | 2012-04-04 | 神州数码网络(北京)有限公司 | 一种互联网用户访问权限的控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103561026A (zh) | 2014-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9674139B2 (en) | Detection of a misconfigured duplicate IP address in a distributed data center network fabric | |
| EP2192722B1 (en) | A method of operating a network subnet manager | |
| CN103561026B (zh) | 硬件访问控制列表的更新方法、更新装置和交换机 | |
| JP2014511089A (ja) | プライベートアドレスとパブリックアドレスのマッピング | |
| JP5826320B2 (ja) | ネットワーク・ロケーション・サービス | |
| EP2842285A1 (en) | Migration of a security policy of a virtual machine | |
| JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
| WO2017107871A1 (zh) | 访问控制方法和网络设备 | |
| Hilgenstieler et al. | Extensions to the source path isolation engine for precise and efficient log-based IP traceback | |
| JP4329412B2 (ja) | ファイルサーバシステム | |
| WO2013159667A1 (en) | Virtual router redundancy protocol load balancing mode (vrrpe) | |
| WO2009097757A1 (zh) | 配置链路层发现协议管理地址的方法和装置 | |
| JP5720162B2 (ja) | 通信システム、スイッチングハブ、およびルータ | |
| JP4683345B2 (ja) | ネットワーク負荷分散装置、ネットワーク負荷分散方法及びプログラム | |
| US20150334019A1 (en) | Routing control method and non-transitory computer-readable recording medium storing routing control program | |
| US7769007B2 (en) | Method of providing multicast services in virtual private LAN | |
| CN104683491B (zh) | 一种获取虚拟机的因特网协议地址的方法和系统 | |
| JP2006330783A (ja) | オーバレイネットワーク生成アプリケーション起動ノード特定装置およびその方法 | |
| JP5750933B2 (ja) | 通信システム、スイッチングハブ、ルータおよびプログラム | |
| US7860099B2 (en) | Method for managing and setting many network devices | |
| JP2006020157A (ja) | ノード情報収集装置 | |
| Fan et al. | Address allocation scheme based on local MAC address | |
| JP2009194666A (ja) | マルチキャストアドレス情報処理装置及びマルチキャストアドレス情報処理プログラム | |
| CN108134853A (zh) | 一种管理终端位置信息的方法和装置 | |
| CN102571816B (zh) | 一种防止邻居学习攻击的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |