CN104243454A - 一种IPv6报文过滤方法和设备 - Google Patents
一种IPv6报文过滤方法和设备 Download PDFInfo
- Publication number
- CN104243454A CN104243454A CN201410431706.3A CN201410431706A CN104243454A CN 104243454 A CN104243454 A CN 104243454A CN 201410431706 A CN201410431706 A CN 201410431706A CN 104243454 A CN104243454 A CN 104243454A
- Authority
- CN
- China
- Prior art keywords
- message
- ipv6
- ipv6 address
- address information
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000001914 filtration Methods 0.000 title claims abstract description 25
- 238000013475 authorization Methods 0.000 claims abstract description 51
- 238000012545 processing Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IPv6报文过滤方法和设备,该方法包括:接入设备侦听IPv6地址分配报文,并利用所述IPv6地址分配报文确定IPv6地址信息;所述接入设备将所述IPv6地址信息添加到授权表项中;所述接入设备在接收到来自用户设备的IPv6报文时,利用所述授权表项中记录的IPv6地址信息,对所述IPv6报文进行源IP地址的过滤。本发明实施例中,基于授权表项中记录的IPv6地址信息,使得接入设备能够有效的对来自用户设备的IPv6报文进行过滤。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种IPv6报文过滤方法和设备。
背景技术
用户设备在通过PPPOE(Point to Point over Ethernet以太网上的点到点协议)接入网络时,可以通过接入设备获取到IPv6地址信息。例如,接入设备为用户设备分配IPv6地址信息,并将IPv6地址信息通知给用户设备。或者,DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务器为用户设备分配IPv6地址信息,并将IPv6地址信息通知给接入设备,由接入设备将IPv6地址信息通知给用户设备。其中,用户设备可以为PC或者接入路由器,接入设备可以为接入交换机或者BRAS(Broadband Remote Access Server,宽带远端接入服务器)。在用户设备为PC时,IPv6地址信息为IPv6地址,在用户设备为接入路由器时,IPv6地址信息为IPv6地址和/或IPv6前缀。
用户设备在访问网络时,可以使用从接入设备获取的IPv6地址信息发送IPv6报文,即IPv6报文的源IP地址为从接入设备获取的IPv6地址信息,也可以使用自身配置的IPv6地址信息发送IPv6报文,即IPv6报文的源IP地址为自身配置的IPv6地址信息。接入设备在收到来自用户设备的IPv6报文时,对于源IP地址为用户设备从接入设备获取的IPv6地址信息的IPv6报文,接入设备需要允许IPv6报文通过;对于源IP地址为用户设备自身配置的IPv6地址信息的IPv6报文,接入设备需要拒绝IPv6报文通过。
但是,在现有技术中,接入设备无法区分出IPv6报文中携带的源IP地址是用户设备从接入设备获取的IPv6地址信息,还是用户设备自身配置的IPv6地址信息,从而导致接入设备无法有效的对来自用户设备的IPv6报文进行过滤。
发明内容
本发明实施例提供一种IPv6报文过滤方法,所述方法包括以下步骤:
接入设备侦听IPv6地址分配报文,利用所述IPv6地址分配报文确定IPv6地址信息;
所述接入设备将所述IPv6地址信息添加到授权表项中;
所述接入设备在接收到来自用户设备的IPv6报文时,利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤。
所述IPv6地址分配报文具体包括以下之一或者任意组合:IPv6控制协议IPv6CP报文、路由通告RA报文、动态主机配置协议DHCP报文。
所述接入设备侦听IPv6地址分配报文,利用所述IPv6地址分配报文确定IPv6地址信息的过程,具体包括:
在用户设备采用邻居发现路由通告NDRA方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的IPv6CP报文和RA报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的所述IPv6地址;或者,
在用户设备采用互联网地址分配IANA方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址;或者,
在用户设备采用互联网地址前缀代理IAPD方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6前缀;或者,
在用户设备采用IANA和IAPD方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的DHCP报文后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址和IPv6前缀;或者,
在用户设备采用NDRA和IAPD方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的IPv6CP报文、RA报文和DHCP报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的IPv6地址和所述DHCP报文中携带的IPv6前缀。
所述接入设备利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤,具体包括:
当所述授权表项中记录的IPv6地址信息中包含所述IPv6报文的源IP地址时,所述接入设备允许所述IPv6报文通过;
当所述授权表项中记录的IPv6地址信息中不包含所述IPv6报文的源IP地址时,所述接入设备拒绝所述IPv6报文通过。
所述方法进一步包括:
所述接入设备在侦听到IPv6地址分配报文时,从所述IPv6地址分配报文中获得用户会话信息,并将所述用户会话信息添加到所述授权表项中;
所述接入设备在对IPv6报文进行源IP地址的过滤时,所述接入设备利用所述授权表项中记录的IPv6地址信息和用户会话信息对所述IPv6报文进行源IP地址的过滤;
其中,所述用户会话信息包括以下之一或者任意组合:会话标识、接入端口、源介质访问控制MAC地址、目的MAC地址、虚拟局域网VLAN信息。
本发明实施例提供一种接入设备,所述接入设备具体包括:
确定模块,用于侦听IPv6地址分配报文,利用所述IPv6地址分配报文确定IPv6地址信息;
添加模块,用于将所述IPv6地址信息添加到授权表项中;
处理模块,用于在接收到来自用户设备的IPv6报文时,利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤。
所述IPv6地址分配报文具体包括以下之一或者任意组合:IPv6控制协议IPv6CP报文、路由通告RA报文、动态主机配置协议DHCP报文。
所述确定模块,具体用于在用户设备采用邻居发现路由通告NDRA方式获得IPv6地址信息时,侦听到所述用户设备对应的IPv6CP报文和RA报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的所述IPv6地址;或者,
在用户设备采用互联网地址分配IANA方式获得IPv6地址信息时,侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址;或者,
在用户设备采用互联网地址前缀代理IAPD方式获得IPv6地址信息时,侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6前缀;或者,
在用户设备采用IANA和IAPD方式获得IPv6地址信息时,侦听到所述用户设备对应的DHCP报文后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址和IPv6前缀;或者,
在用户设备采用NDRA和IAPD方式获得IPv6地址信息时,侦听到所述用户设备对应的IPv6CP报文、RA报文和DHCP报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的IPv6地址和所述DHCP报文中携带的IPv6前缀。
所述处理模块,具体用于在利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤时,当所述授权表项中记录的IPv6地址信息中包含所述IPv6报文的源IP地址时,允许所述IPv6报文通过;当所述授权表项中记录的IPv6地址信息中不包含所述IPv6报文的源IP地址时,拒绝所述IPv6报文通过。
所述确定模块,还用于在侦听到IPv6地址分配报文时,从所述IPv6地址分配报文中获得用户会话信息;
所述添加模块,还用于将所述用户会话信息添加到所述授权表项中;
所述处理模块,具体用于在对IPv6报文进行源IP地址的过滤时,利用所述授权表项中记录的IPv6地址信息和用户会话信息对所述IPv6报文进行源IP地址的过滤;
其中,所述用户会话信息包括以下之一或者任意组合:会话标识、接入端口、源介质访问控制MAC地址、目的MAC地址、虚拟局域网VLAN信息。
基于上述技术方案,本发明实施例中,接入设备在侦听到IPv6地址分配报文时,能够在授权表项中添加IPv6地址信息,继而在接收到来自用户设备的IPv6报文时,能够利用授权表项中记录的IPv6地址信息区分出IPv6报文中携带的源IP地址是用户设备从接入设备获取的IPv6地址信息,还是用户设备自身配置的IPv6地址信息,并使得接入设备能够有效的对来自用户设备的IPv6报文进行过滤。
附图说明
图1是本发明实施例的应用场景示意图;
图2是本发明实施例提供的一种IPv6报文过滤方法流程示意图;
图3是本发明实施例提供的一种接入设备的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种报文过滤方法,该方法应用于包括用户设备和接入设备的网络中,且由接入设备对来自用户设备的IPv6报文进行过滤。以图1为本发明实施例的应用场景示意图,用户设备可以为PC或者接入路由器,接入设备可以为接入交换机或者BRAS。
在上述应用场景下,如图2所示,该IPv6报文过滤方法包括以下步骤:
步骤201,接入设备侦听IPv6地址分配报文,利用IPv6地址分配报文确定IPv6地址信息。其中,在用户设备为PC时,IPv6地址信息为IPv6地址,在用户设备为接入路由器时,IPv6地址信息为IPv6地址和/或IPv6前缀。
具体的,用户设备在通过PPPOE接入网络时,可通过接入设备获取到IPv6地址信息。例如,接入设备为用户设备分配IPv6地址信息,并将IPv6地址信息通知给用户设备。或者,DHCP服务器为用户设备分配IPv6地址信息,并将IPv6地址信息通知给接入设备,由接入设备将IPv6地址信息通知给用户设备。在上述处理过程中,接入设备是通过IPv6地址分配报文将IPv6地址信息通知给用户设备,因此,接入设备通过侦听IPv6地址分配报文,即可以利用该IPv6地址分配报文中携带的信息确定该用户设备对应的IPv6地址信息。
本发明实施例中,IPv6地址分配报文具体包括但不限于以下之一或者任意组合:IPv6CP(IP Control Protocol and IPv6Control Protocol,IPv6控制协议)报文、RA(Router Advertisement,路由通告)报文、DHCP报文等。
本发明实施例中,接入设备侦听IPv6地址分配报文,并利用侦听到的IPv6地址分配报文确定IPv6地址信息的过程,具体包括但不限于如下方式:
方式一、在用户设备采用NDRA(邻居发现路由通告)方式获得IPv6地址信息时,接入设备侦听到用户设备对应的IPv6CP报文和RA报文之后,接入设备利用该RA报文中携带的IPv6前缀以及该IPv6CP报文中携带的接口标识信息生成IPv6地址,具体生成方式在此不再赘述。之后,接入设备确定IPv6地址信息为当前生成的IPv6地址。其中,NDRA方式是通过RA中发布的IPv6前缀以及IPv6CP报文中携带的接口ID生成IPv6地址的方式。
其中,在用户设备为PC时,当前生成的IPv6地址为该PC的IPv6地址;在用户设备为接入路由器时,当前生成的IPv6地址为该接入路由器的IPv6地址。
针对方式一,在接入设备的接口开启侦听IPv6CP报文和RA报文的功能。用户设备进行PPPOE拨号上线,会话ID为1,接口ID为24c7:e23e:0000:1703,接入设备记录该接口ID24c7:e23e:0000:1703,并向用户设备发送IPv6CP报文,该IPv6CP报文中携带接口ID24c7:e23e:0000:1703。接入设备在侦听到IPv6CP报文之后,确定IPv6CP协商通过。进一步的,接入设备在IPv6CP协商通过之后,向用户设备发送RA报文,且接入设备侦听该RA报文,该RA报文中指定IPv6前缀2000::/64。基于此RA报文中携带的IPv6前缀以及IPv6CP报文中携带的接口标识信息24c7:e23e:0000:1703,接入设备可以生成IPv6地址2000:::24c7:e23e:0000:1703,并确定IPv6地址信息为当前生成的IPv6地址。
方式二、在用户设备采用IANA(互联网地址分配)方式获得IPv6地址信息时,接入设备侦听到用户设备对应的DHCP报文之后,接入设备直接确定IPv6地址信息为DHCP报文中携带的IPv6地址。其中,DHCP报文为DHCPAdvertise(通告)报文,IANA方式是通过DHCP报文中指定的地址生成IPv6地址的方式。
其中,在用户设备为PC时,DHCP报文中携带的IPv6地址为该PC的IPv6地址;在用户设备为接入路由器时,DHCP报文中携带的IPv6地址为该接入路由器的IPv6地址。
针对方式二,在接入设备的接口开启侦听DHCP报文的功能。用户设备进行PPPOE拨号上线,会话ID为1,接口ID为24c7:e23e:0000:1703,接入设备记录该接口ID24c7:e23e:0000:1703,在IPv6CP协商通过之后,向用户设备发送RA报文,且接入设备侦听该RA报文,该RA报文中没有携带任何IPv6前缀,且M标志位置1,O标志位置0(M标志位置1,O标志位置0用于指示通过IANA方式获取IPv6地址)。之后,接入设备继续侦听DHCP报文(即DHCP Advertise报文)。用户设备在收到RA报文后向接入设备发送DHCP请求,由接入设备回应DHCP Advertise报文。因此,接入设备可以侦听该DHCPAdvertise报文,并确定IPv6地址信息为DHCP报文中携带的IPv6地址。
方式三、在用户设备采用IAPD(互联网地址前缀代理)方式获得IPv6地址信息时,接入设备侦听到用户设备对应的DHCP报文之后,接入设备直接确定IPv6地址信息为DHCP报文中携带的IPv6前缀。其中,DHCP报文为DHCP Advertise报文,IAPD方式是通过DHCP报文中指定的IPv6前缀生成IPv6前缀的方式。
其中,方式三只针对用户设备为接入路由器的应用场景。在用户设备为接入路由器时,DHCP报文中携带的IPv6前缀为该接入路由器的IPv6前缀,该接入路由器下挂的多个PC均可以使用该IPv6前缀,且该IPv6前缀也是为其它接入路由器的用户使用的。
针对方式三、在接入设备的接口开启侦听DHCP报文的功能。用户设备进行PPPOE拨号上线,会话ID为1,接口ID为24c7:e23e:0000:1703,接入设备记录该接口ID24c7:e23e:0000:1703,在IPv6CP协商通过之后,向用户设备发送RA报文,且接入设备侦听该RA报文,并且该RA报文中没有携带任何IPv6前缀。进一步的,接入设备继续侦听DHCP报文(即DHCP Advertise报文)。用户设备在收到RA报文之后,向接入设备发送DHCP请求,由接入设备向用户设备回应DHCP Advertise报文。因此,接入设备可以侦听该DHCPAdvertise报文,并确定IPv6地址信息为DHCP报文中携带的IPv6前缀。
方式四、在用户设备采用IANA和IAPD方式获得IPv6地址信息时,接入设备侦听到用户设备对应的DHCP报文之后,直接确定IPv6地址信息为DHCP报文中携带的IPv6地址和IPv6前缀。其中,DHCP报文为DHCPAdvertise报文,IANA方式是通过DHCP报文中指定的地址生成IPv6地址的方式,IAPD方式是通过DHCP报文中指定的IPv6前缀生成IPv6前缀的方式。
其中,方式四只针对用户设备为接入路由器的应用场景。在用户设备为接入路由器时,DHCP报文中携带的IPv6地址和IPv6前缀为该接入路由器的IPv6地址和IPv6前缀,该接入路由器下挂的多个PC均可以使用该IPv6前缀,且该IPv6前缀也是为其它接入路由器的用户使用的。
针对方式四,在接入设备的接口开启侦听DHCP报文的功能。用户设备进行PPPOE拨号上线,会话ID为1,接口ID为24c7:e23e:0000:1703,接入设备记录该接口ID24c7:e23e:0000:1703,在IPv6CP协商通过之后,向用户设备发送RA报文,且接入设备侦听该RA报文,该RA报文中没有携带任何IPv6前缀,且M标志位置1,O标志位置1(M标志位置1,O标志位置1用于指示通过IANA方式获取IPv6地址,并通过IAPD方式获取IPv6前缀)。之后,接入设备继续侦听DHCP报文(即DHCP Advertise报文)。用户设备在收到RA报文后,向接入设备发送DHCP请求,由接入设备向用户设备回应DHCPAdvertise报文。因此,接入设备可以侦听该DHCP Advertise报文,并直接确定IPv6地址信息为DHCP报文中携带的IPv6地址和IPv6前缀。
方式五、在用户设备采用NDRA和IAPD方式获得IPv6地址信息时,接入设备侦听到用户设备对应的IPv6CP报文、RA报文和DHCP报文之后,接入设备利用该RA报文中携带的IPv6前缀以及IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定IPv6地址信息为当前生成的IPv6地址以及DHCP报文中携带的IPv6前缀。其中,DHCP报文具体包括DHCP Advertise报文,NDRA方式是指用户设备通过RA中发布的前缀以及IPv6CP报文中携带的接口ID生成IPv6地址的方式,IAPD方式是指用户设备通过DHCP报文中指定的IPv6前缀生成IPv6前缀的方式。
其中,方式五只针对用户设备为接入路由器的应用场景。在用户设备为接入路由器时,当前生成的IPv6地址以及DHCP报文中携带的IPv6前缀为该接入路由器的IPv6地址和IPv6前缀,该接入路由器下挂的多个PC均可以使用该IPv6前缀,且该IPv6前缀也是为其它接入路由器的用户使用的。
针对方式五,在接入设备的接口开启侦听IPv6CP报文、RA报文和DHCP报文的功能。用户设备进行PPPOE拨号上线,会话ID为1,接口ID为24c7:e23e:0000:1703,接入设备记录该接口ID24c7:e23e:0000:1703,并向用户设备发送IPv6CP报文,该IPv6CP报文中携带接口ID24c7:e23e:0000:1703。接入设备在侦听到IPv6CP报文之后,确定IPv6CP协商通过。进一步的,接入设备在IPv6CP协商通过之后,向用户设备发送RA报文,且接入设备侦听该RA报文,该RA报文中携带IPv6前缀,且M标志位置0,O标志位置1(M标志位置0,O标志位置1用于指示通过NDRA方式获取IPv6地址,并通过IAPD方式获取IPv6前缀)。接入设备记录RA报文中指定的IPv6前缀2000::/64以及IPv6CP报文中携带的接口ID24c7:e23e:0000:1703,并继续侦听DHCP报文(即DHCP Advertise报文)。用户设备在收到RA报文后向接入设备发送DHCP请求,由接入设备回应DHCP Advertise报文。因此,接入设备可以侦听DHCP Advertise报文。接入设备基于RA报文中携带的IPv6前缀以及IPv6CP报文中携带的接口标识信息,生成IPv6地址2000:::24c7:e23e:0000:1703,并确定IPv6地址信息为当前生成的IPv6地址以及DHCP报文中携带的IPv6前缀。
步骤202,接入设备将IPv6地址信息添加到授权表项中。
步骤203,接入设备在接收到来自用户设备的IPv6报文时,利用该授权表项中记录的IPv6地址信息对IPv6报文进行源IP地址的过滤。
本发明实施例中,接入设备利用授权表项中记录的IPv6地址信息对IPv6报文进行源IP地址的过滤的过程,具体包括:
当授权表项中记录的IPv6地址信息中包含IPv6报文的源IP地址时,接入设备允许IPv6报文通过;当授权表项中记录的IPv6地址信息中不包含IPv6报文的源IP地址时,接入设备拒绝IPv6报文通过。
本发明实施例中,接入设备在侦听到IPv6地址分配报文时,还可以从IPv6地址分配报文中获得用户会话信息,并将用户会话信息添加到授权表项中。进一步的,接入设备在对IPv6报文进行源IP地址的过滤时,接入设备利用授权表项中记录的IPv6地址信息和用户会话信息对IPv6报文进行源IP地址的过滤。其中,用户会话信息具体包括但不限于以下之一或者任意组合:会话标识、接入端口、源MAC(Media Access Control,介质访问控制)地址、目的MAC地址、VLAN(Virtual Local Area Network,虚拟局域网)信息。
本发明实施例中,当用户设备下线时,接入设备还可以删除该用户设备对应的授权表项,以节约授权表项的表项资源。
基于上述技术方案,本发明实施例中,接入设备在侦听到IPv6地址分配报文时,能够在授权表项中添加IPv6地址信息,继而在接收到来自用户设备的IPv6报文时,能够利用授权表项中记录的IPv6地址信息区分出IPv6报文中携带的源IP地址是用户设备从接入设备获取的IPv6地址信息,还是用户设备自身配置的IPv6地址信息,并使得接入设备能够有效的对来自用户设备的IPv6报文进行过滤。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种接入设备,如图3所示,所述接入设备具体包括:
确定模块11,用于侦听IPv6地址分配报文,利用所述IPv6地址分配报文确定IPv6地址信息;
添加模块12,用于将所述IPv6地址信息添加到授权表项中;
处理模块13,用于在接收到来自用户设备的IPv6报文时,利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤。
所述IPv6地址分配报文具体包括以下之一或者任意组合:IPv6控制协议IPv6CP报文、路由通告RA报文、动态主机配置协议DHCP报文。
所述确定模块11,具体用于在用户设备采用邻居发现路由通告NDRA方式获得IPv6地址信息时,侦听到所述用户设备对应的IPv6CP报文和RA报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的所述IPv6地址;或者,
在用户设备采用互联网地址分配IANA方式获得IPv6地址信息时,侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址;或者,
在用户设备采用互联网地址前缀代理IAPD方式获得IPv6地址信息时,侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6前缀;或者,
在用户设备采用IANA和IAPD方式获得IPv6地址信息时,侦听到所述用户设备对应的DHCP报文后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址和IPv6前缀;或者,
在用户设备采用NDRA和IAPD方式获得IPv6地址信息时,侦听到所述用户设备对应的IPv6CP报文、RA报文和DHCP报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的IPv6地址和所述DHCP报文中携带的IPv6前缀。
所述处理模块13,具体用于在利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤时,当所述授权表项中记录的IPv6地址信息中包含所述IPv6报文的源IP地址时,允许所述IPv6报文通过;当所述授权表项中记录的IPv6地址信息中不包含所述IPv6报文的源IP地址时,拒绝所述IPv6报文通过。
所述确定模块11,还用于在侦听到IPv6地址分配报文时,从所述IPv6地址分配报文中获得用户会话信息;
所述添加模块12,还用于将所述用户会话信息添加到所述授权表项中;
所述处理模块13,具体用于在对IPv6报文进行源IP地址的过滤时,利用所述授权表项中记录的IPv6地址信息和用户会话信息对所述IPv6报文进行源IP地址的过滤;
其中,所述用户会话信息包括以下之一或者任意组合:会话标识、接入端口、源介质访问控制MAC地址、目的MAC地址、虚拟局域网VLAN信息。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种IPv6报文过滤方法,其特征在于,所述方法包括以下步骤:
接入设备侦听IPv6地址分配报文,利用所述IPv6地址分配报文确定IPv6地址信息;
所述接入设备将所述IPv6地址信息添加到授权表项中;
所述接入设备在接收到来自用户设备的IPv6报文时,利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤。
2.如权利要求1所述的方法,其特征在于,
所述IPv6地址分配报文具体包括以下之一或者任意组合:IPv6控制协议IPv6CP报文、路由通告RA报文、动态主机配置协议DHCP报文。
3.如权利要求2所述的方法,其特征在于,所述接入设备侦听IPv6地址分配报文,利用所述IPv6地址分配报文确定IPv6地址信息的过程,具体包括:
在用户设备采用邻居发现路由通告NDRA方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的IPv6CP报文和RA报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的所述IPv6地址;或者,
在用户设备采用互联网地址分配IANA方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址;或者,
在用户设备采用互联网地址前缀代理IAPD方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6前缀;或者,
在用户设备采用IANA和IAPD方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的DHCP报文后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址和IPv6前缀;或者,
在用户设备采用NDRA和IAPD方式获得IPv6地址信息时,所述接入设备侦听到所述用户设备对应的IPv6CP报文、RA报文和DHCP报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的IPv6地址和所述DHCP报文中携带的IPv6前缀。
4.如权利要求1所述的方法,其特征在于,
所述接入设备利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤,具体包括:
当所述授权表项中记录的IPv6地址信息中包含所述IPv6报文的源IP地址时,所述接入设备允许所述IPv6报文通过;
当所述授权表项中记录的IPv6地址信息中不包含所述IPv6报文的源IP地址时,所述接入设备拒绝所述IPv6报文通过。
5.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述接入设备在侦听到IPv6地址分配报文时,从所述IPv6地址分配报文中获得用户会话信息,并将所述用户会话信息添加到所述授权表项中;
所述接入设备在对IPv6报文进行源IP地址的过滤时,所述接入设备利用所述授权表项中记录的IPv6地址信息和用户会话信息对所述IPv6报文进行源IP地址的过滤;
其中,所述用户会话信息包括以下之一或者任意组合:会话标识、接入端口、源介质访问控制MAC地址、目的MAC地址、虚拟局域网VLAN信息。
6.一种接入设备,其特征在于,所述接入设备具体包括:
确定模块,用于侦听IPv6地址分配报文,利用所述IPv6地址分配报文确定IPv6地址信息;
添加模块,用于将所述IPv6地址信息添加到授权表项中;
处理模块,用于在接收到来自用户设备的IPv6报文时,利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤。
7.如权利要求6所述的接入设备,其特征在于,
所述IPv6地址分配报文具体包括以下之一或者任意组合:IPv6控制协议IPv6CP报文、路由通告RA报文、动态主机配置协议DHCP报文。
8.如权利要求7所述的接入设备,其特征在于,
所述确定模块,具体用于在用户设备采用邻居发现路由通告NDRA方式获得IPv6地址信息时,侦听到所述用户设备对应的IPv6CP报文和RA报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的所述IPv6地址;或者,
在用户设备采用互联网地址分配IANA方式获得IPv6地址信息时,侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址;或者,
在用户设备采用互联网地址前缀代理IAPD方式获得IPv6地址信息时,侦听到所述用户设备对应的DHCP报文之后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6前缀;或者,
在用户设备采用IANA和IAPD方式获得IPv6地址信息时,侦听到所述用户设备对应的DHCP报文后,所述接入设备直接确定所述IPv6地址信息为所述DHCP报文中携带的IPv6地址和IPv6前缀;或者,
在用户设备采用NDRA和IAPD方式获得IPv6地址信息时,侦听到所述用户设备对应的IPv6CP报文、RA报文和DHCP报文之后,利用所述RA报文中携带的IPv6前缀以及所述IPv6CP报文中携带的接口标识信息生成IPv6地址,并确定所述IPv6地址信息为当前生成的IPv6地址和所述DHCP报文中携带的IPv6前缀。
9.如权利要求6所述的接入设备,其特征在于,
所述处理模块,具体用于在利用所述授权表项中记录的IPv6地址信息对所述IPv6报文进行源IP地址的过滤时,当所述授权表项中记录的IPv6地址信息中包含所述IPv6报文的源IP地址时,允许所述IPv6报文通过;当所述授权表项中记录的IPv6地址信息中不包含所述IPv6报文的源IP地址时,拒绝所述IPv6报文通过。
10.如权利要求6所述的接入设备,其特征在于,
所述确定模块,还用于在侦听到IPv6地址分配报文时,从所述IPv6地址分配报文中获得用户会话信息;
所述添加模块,还用于将所述用户会话信息添加到所述授权表项中;
所述处理模块,具体用于在对IPv6报文进行源IP地址的过滤时,利用所述授权表项中记录的IPv6地址信息和用户会话信息对所述IPv6报文进行源IP地址的过滤;
其中,所述用户会话信息包括以下之一或者任意组合:会话标识、接入端口、源介质访问控制MAC地址、目的MAC地址、虚拟局域网VLAN信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410431706.3A CN104243454A (zh) | 2014-08-28 | 2014-08-28 | 一种IPv6报文过滤方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410431706.3A CN104243454A (zh) | 2014-08-28 | 2014-08-28 | 一种IPv6报文过滤方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104243454A true CN104243454A (zh) | 2014-12-24 |
Family
ID=52230804
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410431706.3A Pending CN104243454A (zh) | 2014-08-28 | 2014-08-28 | 一种IPv6报文过滤方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104243454A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878291A (zh) * | 2017-01-22 | 2017-06-20 | 新华三技术有限公司 | 一种基于前缀安全表项的报文处理方法及装置 |
| KR20180055093A (ko) * | 2016-11-16 | 2018-05-25 | 주식회사 케이티 | 차세대 주소 할당 정보 동기화 시스템 및 그 방법 |
| CN108243261A (zh) * | 2016-12-23 | 2018-07-03 | 华为技术有限公司 | 一种双栈终端的接入控制方法及接入设备 |
| WO2018176510A1 (zh) * | 2017-03-30 | 2018-10-04 | 网宿科技股份有限公司 | PPPoE报文传输方法和PPPoE服务器 |
| CN114979075A (zh) * | 2021-02-24 | 2022-08-30 | 华为技术有限公司 | 一种IPv6地址生成方法及相关装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572712A (zh) * | 2009-06-09 | 2009-11-04 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
| CN101577675A (zh) * | 2009-06-02 | 2009-11-11 | 杭州华三通信技术有限公司 | IPv6网络中邻居表保护方法及邻居表保护装置 |
| CN101945143A (zh) * | 2010-09-16 | 2011-01-12 | 中兴通讯股份有限公司 | 一种在混合组网下防止报文地址欺骗的方法及装置 |
| CN102340548A (zh) * | 2010-07-23 | 2012-02-01 | 中兴通讯股份有限公司 | 一种IPv6用户接入的控制方法和装置 |
-
2014
- 2014-08-28 CN CN201410431706.3A patent/CN104243454A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577675A (zh) * | 2009-06-02 | 2009-11-11 | 杭州华三通信技术有限公司 | IPv6网络中邻居表保护方法及邻居表保护装置 |
| CN101572712A (zh) * | 2009-06-09 | 2009-11-04 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
| CN102340548A (zh) * | 2010-07-23 | 2012-02-01 | 中兴通讯股份有限公司 | 一种IPv6用户接入的控制方法和装置 |
| CN101945143A (zh) * | 2010-09-16 | 2011-01-12 | 中兴通讯股份有限公司 | 一种在混合组网下防止报文地址欺骗的方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180055093A (ko) * | 2016-11-16 | 2018-05-25 | 주식회사 케이티 | 차세대 주소 할당 정보 동기화 시스템 및 그 방법 |
| KR102097102B1 (ko) * | 2016-11-16 | 2020-04-06 | 주식회사 케이티 | 차세대 주소 할당 정보 동기화 시스템 및 그 방법 |
| CN108243261A (zh) * | 2016-12-23 | 2018-07-03 | 华为技术有限公司 | 一种双栈终端的接入控制方法及接入设备 |
| CN106878291A (zh) * | 2017-01-22 | 2017-06-20 | 新华三技术有限公司 | 一种基于前缀安全表项的报文处理方法及装置 |
| WO2018176510A1 (zh) * | 2017-03-30 | 2018-10-04 | 网宿科技股份有限公司 | PPPoE报文传输方法和PPPoE服务器 |
| CN114979075A (zh) * | 2021-02-24 | 2022-08-30 | 华为技术有限公司 | 一种IPv6地址生成方法及相关装置 |
| WO2022179410A1 (zh) * | 2021-02-24 | 2022-09-01 | 华为技术有限公司 | 一种IPv6地址生成方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103580980B (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| CN104243454A (zh) | 一种IPv6报文过滤方法和设备 | |
| US9973399B2 (en) | IPV6 address tracing method, apparatus, and system | |
| CN102244651B (zh) | 防止非法邻居发现协议报文攻击的方法和接入设备 | |
| CN105635327B (zh) | 一种地址分配的方法和设备 | |
| EP2346217A1 (en) | Method, device and system for identifying ip session | |
| JP6766393B2 (ja) | Dhcpのための通信制御装置、方法及びプログラム | |
| EP2765743A1 (en) | Layer 2 inter-connecting method, apparatus and system based on ipv6 | |
| JP2012529802A (ja) | 動的ホスト構成プロトコルバージョン6サーバのipアドレスを取得するための方法、動的ホスト構成プロトコルバージョン6サーバ、および動的ホスト構成プロトコルバージョン6通信システム | |
| US20140289770A1 (en) | Method, Device and System for Obtaining Multicast Address | |
| US20140181279A1 (en) | Virtual Console-Port Management | |
| CN104935564A (zh) | 使基于mDNS协议的设备及服务在局域网中互相发现的方法 | |
| CN102904902B (zh) | 一种基于dhcp旁路阻断方法 | |
| WO2015117455A1 (zh) | 一种网络接入方法、系统及终端设备、计算机存储介质 | |
| CN103039059B (zh) | Ip地址分配方法和系统以及设备 | |
| US11005706B2 (en) | Method for configuring forwarding table for user equipment, apparatus, and system | |
| CN103780494A (zh) | 一种用户信息获取方法和装置 | |
| CN106878485B (zh) | 一种报文处理方法及装置 | |
| WO2016177185A1 (zh) | 媒体访问控制mac地址的处理方法及装置 | |
| US20130086259A1 (en) | Method for acquiring an ip address and network access device | |
| Nuhu et al. | Mitigating DHCP starvation attack using snooping technique | |
| CN102244689A (zh) | 远程ip地址获取方法及设备 | |
| CN105376346B (zh) | 一种提高dhcp协议安全性的方法与系统 | |
| CN104283982B (zh) | 一种dmz主机自动指向的方法、系统及网关 | |
| WO2015131567A1 (zh) | 一种IPv6地址管理方法、装置和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141224 |
|
| RJ01 | Rejection of invention patent application after publication |