CN107547676B - 一种地址处理方法及装置 - Google Patents
一种地址处理方法及装置 Download PDFInfo
- Publication number
- CN107547676B CN107547676B CN201710397762.3A CN201710397762A CN107547676B CN 107547676 B CN107547676 B CN 107547676B CN 201710397762 A CN201710397762 A CN 201710397762A CN 107547676 B CN107547676 B CN 107547676B
- Authority
- CN
- China
- Prior art keywords
- address
- ipv6 address
- ipv6
- temporary
- prefix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明实施例提供了一种地址处理方法及装置,应用于网络设备,方法包括:获取第一IPv6地址;确定第一IPv6地址为临时地址,则检测网络设备在第一指定位置是否已记录第一IPv6地址的地址前缀对应的临时地址;若未记录,则在第一指定位置记录第一IPv6地址;若已记录,则判断第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔是否小于时间阈值;如果小于时间阈值,则丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址。应用本发明实施例,减轻了网络设备的表项资源、CPU资源的负担。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种地址处理方法及装置。
背景技术
IPv6(Internet Protocol Version 6,网络协议第六版)地址由地址前缀和接口ID(Identity,标识)组成,IPv6地址无状态自动配置是指节点根据路由器发现、前缀发现所获取的信息,自动配置节点接口的IPv6地址。这里,路由器发现、前缀发现通过RS(RouterSolicitation,路由器请求)消息和RA(Router Advertisement,路由通告)消息来实现。
为了网络审计和网络安全的考虑,网络设备(如路由器、交换机等)通过ND(Neighbor Discovery,邻居发现)探测等机制捕获节点的IPv6地址,记录所捕获的IPv6地址,并将记录的IPv6地址均上报给网络管理系统,由网络管理系统根据获得的IPv6地址进行安全审计,下发控制表项,决定是放通还是限制某个IPv6地址的对外访问。
目前,为了提高安全性,引入了接口ID不断变化的临时地址,即节点无状态自动配置两类IPv6地址:
一类为公共地址:地址前缀为RA消息中携带的地址前缀,接口ID由MAC(MediaAccess Control,媒体访问控制)地址产生,接口ID始终不变;
二类为临时地址:地址前缀为RA消息中携带的地址前缀,接口ID根据预设算法计算产生,接口ID不断变化。
这里,每一临时地址都有自己的有效生命期和首选生命期,如图1所示,首选生命期小于等于有效生命期;在首选生命期内,临时地址可以正常使用;在首选生命期过期后,该临时地址不能主动发起连接,只能被动的接受连接或保持原有连接;在有效生命期过期后,该临时地址无效,被从接口上删除。这里,在临时地址首选生命期过期后,为了保证通信,节点会重新生成一个临时地址,这就使得节点的临时地址不断变化,并同时使用多个临时地址。
基于上述情况,若临时地址的有效生命期和首选生命期的比例过大,可能导致有效的临时地址数目十分巨大,网络设备捕获并记录下这大量并频繁变化的临时地址,将给网络设备的表项资源、CPU资源带来了很大的负担。
发明内容
本发明实施例的目的在于提供一种地址处理方法及装置,以减轻网络设备的表项资源、CPU资源的负担。具体技术方案如下:
一方面,本发明实施例公开了一种地址处理方法,应用于网络设备,所述方法包括:
获取第一IPv6地址;
确定所述第一IPv6地址为临时地址,则检测所述网络设备在第一指定位置是否已记录所述第一IPv6地址的地址前缀对应的临时地址;
若未记录,则在所述第一指定位置记录所述第一IPv6地址;
若已记录,则判断所述第一IPv6地址的获取时间与所述第一指定位置最新记录的所述第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔是否小于时间阈值;
如果小于时间阈值,则丢弃所述第一IPv6地址或在第二指定位置记录所述第一IPv6地址。
二方面,本发明实施例公开了一种地址处理装置,应用于网络设备,所述装置包括:
获取单元,用于获取第一IPv6地址;
确定单元,用于确定所述第一IPv6地址为临时地址
检测单元,用于检测所述网络设备在第一指定位置是否已记录所述第一IPv6地址的地址前缀对应的临时地址;
记录单元,用于当检测到所述网络设备在第一指定位置未记录所述第一IPv6地址的地址前缀对应的临时地址时,在所述第一指定位置记录所述第一IPv6地址;
第一判断单元,用于当所述网络设备在第一指定位置已记录所述第一IPv6地址的地址前缀对应的临时地址时,判断所述第一IPv6地址的获取时间与所述第一指定位置最新记录的所述第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔是否小于时间阈值;
处理单元,用于在所述第一判断单元的判断结果为是的情况下,丢弃所述第一IPv6地址或在第二指定位置记录所述第一IPv6地址。
三方面,本发明实施例公开了一种网络设备,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口、存储器通过通信总线完成相互间的通信;
存储器,用于存放可执行应用程序;
处理器,用于执行存储器上所存放的可执行应用程序,实现上述的地址处理方法。
四方面,本发明实施例公开了一种可读存储介质,所述可读存储介质内存储有可执行应用程序,所述可执行应用程序被处理器执行时实现上述的地址处理方法。
本发明实施例中,网络设备在获取到第一IPv6地址后,若确定第一IPv6地址为临时地址,在确定第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔小于时间阈值时,对获取到的第一IPv6地址进行过滤,丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址,减少了网络设备中记录的需要上报给网络管理系统的临时地址的数量,减轻了网络设备的表项资源、CPU资源的负担。当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为IPv6地址的有效生命期和首选生命期的示意图;
图2为本发明实施例提供的地址处理方法的第一种流程示意图;
图3为本发明实施例提供的地址处理方法的第二种流程示意图;
图4为本发明实施例中记录获取信息的示意图;
图5为本发明实施例提供的地址处理装置的第一种结构示意图;
图6为本发明实施例提供的地址处理装置的第二种结构示意图;
图7为本发明实施例提供的网络设备的一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
链路本地地址:用于本地链路通讯的IPv6地址;当在一个节点启动时,节点的每个接口自动生成一个链路本地地址,一个接口的链路本地地址的地址前缀(链路本地地址前缀)是固定不变的,即“fe80::/10”,链路本地地址的接口ID由链路层地址(如MAC地址)生成,也是固定不变的。
目前,IPv6地址无状态自动配置的具体实现过程为:
节点向网络设备(例如路由器)发送RS消息,请求地址前缀;
路由器应答携带前缀信息选项的RA消息,其中,前缀信息选项中包括地址前缀、前缀的首选生命期和前缀的有效生命期;
节点根据获得的地址前缀、前缀的首选生命期和前缀的有效生命期,自动配置接口的IPv6地址及其他信息。
这里的自动配置的IPv6地址的接口ID由MAC地址产生,对于不同的地址前缀,该接口ID始终不变,攻击者通过接口ID可以很方便的识别出通信流量是由哪个节点产生的,造成一定的安全隐患。为此,引入了接口ID不断变化的临时地址,以加大攻击难度,即节点在获取到地址前缀、前缀的首选生命期和前缀的有效生命期后,无状态自动配置两类IPv6地址,分别为:公共地址和临时地址。此时,节点根据临时地址与其他节点建立连接和通信。
这里,节点的每一临时地址都有自己的有效生命期和首选生命期,临时地址的有效生命期和首选生命期根据RA消息携带的前缀的首选生命期、前缀的有效生命期以及节点自身的有效生命期和首选生命期来协商设置确定。临时地址的首选生命期小于等于临时地址的有效生命期。另外,在临时地址首选生命期过期后,该临时地址还是有效的临时地址,为可用的临时地址,但为了保证通信,节点会重新生成一个临时地址。
这种情况下,若临时地址的有效生命期和首选生命期的比例过大,将导致临时地址频繁变化,有效的临时地址数目巨大,节点中同时存储有大量可用的临时地址,网络设备捕获并记录下大量并频繁变化的临时地址,将给网络设备的表项资源、CPU资源带来了很大的负担。
为了减轻网络设备的表项资源、CPU资源的负担,本发明实施例提供了一种应用于网络设备的地址处理方法及装置。
参考图2,图2为本发明实施例提供的地址处理方法的第一种流程示意图,应用于网络设备,该方法包括:
S201:获取第一IPv6地址;
在本发明实施例中,当网络设备接收到未知节点发送来的ND协议报文或数据报文时,若接收报文的入端口部署了无状态自动配置,则从接收的报文中获取源IPv6地址,也就是上述第一IPv6地址。
在本发明的一个实施例中,网络设备从接收的报文中获取到第一IPv6地址时,还可以从接收的报文中获取到报文的源MAC地址,同时还可以确定接收报文的入端口、报文所属VLAN(Virtual Local Area Network,虚拟局域网)等信息,本发明实施例对此不进行限定。
S202:确定第一IPv6地址是否为临时地址;如果是,执行S203;
在本发明的一个实施例中,依据链路本地地址前缀确定链路本地地址,结合链路本地地址,确定第一IPv6地址是否为临时地址。
具体的,查找链路本地地址前缀对应的链路本地地址,查找到后,检测第一IPv6地址的接口ID是否与链路本地地址的接口ID相同;如果是,则确定第一IPv6地址为公共地址;如果否,则确定第一IPv6地址为临时地址。在确定第一IPv6地址为公共地址时,可以直接在第一指定位置记录下该第一IPv6地址。这里,第一指定位置用于存储需要上报给网络管理系统的IPv6地址。
需要说明的是,本发明实施例中,将第一IPv6地址记录在第一指定位置,可以以列表的形式记录,也可以以文本的形式记录,还可以以其他形式记录,本发明实施例对此不进行限定。
这里,节点的公共地址的接口ID是固定不变的,与节点的链路本地地址的接口ID相同,另外,链路本地地址前缀固定不变,依据链路本地地址前缀可以确定出链路本地地址,再依据链路本地地址的接口ID就可以准确的确定出公共地址及临时地址。
S203:检测网络设备在第一指定位置是否已记录第一IPv6地址的地址前缀对应的临时地址;如果否,执行S204;如果是,执行S205;
S204:在第一指定位置记录第一IPv6地址;
若网络设备在第一指定位置未记录第一IPv6地址的地址前缀对应的临时地址,也就是,第一IPv6地址为网络设备获取的第一个第一IPv6地址的地址前缀对应的临时地址,可以直接在第一指定位置记录下该第一IPv6地址。
S205:判断第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔是否小于时间阈值;如果是,执行S206;
这里,时间阈值可以由用户根据经验确定。例如,若网络环境好、节点本身临时地址变化就比较频繁,则可以将时间阈值设置的小一些;若网络环境差、节点本身临时地址变化比较慢,则可以将时间阈值设置的大一些。
在本发明实施例中,网络设备获取到IPv6地址时,可以记录下获取到该IPv6地址的时间,即该IPv6地址的获取时间。
若网络设备在第一指定位置已记录第一IPv6地址的地址前缀对应的临时地址,也就是,第一IPv6地址不是网络设备获取的第一个第一IPv6地址的地址前缀对应的临时地址,并且第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间间隔小于时间阈值,则可以认为临时地址变化过于频繁,这很可能是一种攻击行为,给网络设备的表项资源、CPU资源带来较大负担,为了减轻网络设备的表项资源、CPU资源的负担,执行S206;
若网络设备在第一指定位置已记录第一IPv6地址的地址前缀对应的临时地址,且第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔不小于时间阈值,可以在第一指定位置记录第一IPv6地址。
S206:丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址。
这里,第二指定位置用于存储不需要上报给网络管理系统的IPv6地址。第一指定位置与第二指定位置不同,以便于区分需要上报给网络管理系统的IPv6地址、不需要上报给网络管理系统的IPv6地址。
在本发明实施例中,若网络设备中已记录第一IPv6地址的地址前缀对应的临时地址,并且第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间间隔小于时间阈值,可以直接丢弃第一IPv6地址,也可以将第一IPv6地址记录在与第一指定位置不同的第二指定位置,以便于用户查看可能是产生攻击行为的IPv6地址,及时处理网络中可能存在的安全问题。
基于上述实施例,当为了网络审计和网络安全的考虑,网络设备将第一指定位置记录的IPv6地址上报给网络管理系统时,也就减少了上报给网络管理系统的IPv6地址的数量,进一步减轻了网络设备上报网络管理系统时的通信开销。
在本发明的一个实施例中,上述网络管理系统可以为RADIUS(RemoteAuthentication Dial In User Service,远程访问拨号用户服务)服务器,网络设备将第一指定位置记录的IPv6地址上报给RADIUS服务器时,可以定义一个新的RADIUS属性,在RADIUS属性的计费(Accounting)属性中携带IPv6地址列表,将第一指定位置记录的IPv6地址一次上报给RADIUS服务器。
在本发明的一个实施例中,若网络设备在第一指定位置已记录第一IPv6地址的地址前缀对应的临时地址,并且第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间间隔小于时间阈值,在丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址之后,还可以生成包括第一IPv6地址的地址前缀的日志,以便于用户根据日志中记录的信息了解第一IPv6地址的地址前缀可能安全问题。
另外,日志中还可以包括源MAC地址、报文的入端口、报文所属VLAN等,以便于用户根据日志中记录的信息,对地址前缀进行检测,及时处理网络中可能存在的安全问题。
在本发明的一个实施例中,为了进一步减轻网络设备的表项资源、CPU资源的负担,参考图3,图3为本发明实施例提供的地址处理方法的第二种流程示意图,基于图2,若确定第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔不小于时间阈值,该方法还可以包括:
S207:判断第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数是否超过个数阈值;如果是,执行S208;如果否,执行S209;
这里,个数阈值可以根据一个报文能够携带的IPv6地址的个数确定,如一个报文能够携带的7个IPv6地址,则该个数阈值可以为7。
若第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数超过了个数阈值,可以认为该地址前缀对应的临时地址过多,这很可能是一种攻击行为,给网络设备的表项资源、CPU资源带来较大负担。为了保证网络设备能够将第一指定位置记录的临时地址一次性上送给网络管理系统,同时将减轻网络设备的表项资源、CPU资源的负担,执行S208丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址。
若第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数未超过个数阈值,执行S209在第一指定位置记录第一IPv6地址。
S208:丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址;
在本发明的一个实施例中,若第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数超过了个数阈值,在丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址之后,还可以生成包括第一IPv6地址的地址前缀的日志,以便于用户根据日志中记录的信息了解第一IPv6地址的地址前缀可能安全问题。
另外,日志中还可以包括源MAC地址、报文的入端口、报文所属VLAN等,以便于用户根据日志中记录的信息,对地址前缀进行检测,及时处理网络中可能存在的安全问题。
S209:在第一指定位置记录第一IPv6地址。
这样,减少了网络设备中记录的IPv6地址的数量,减轻了网络设备的表项资源、CPU资源的负担。
需要说明的是,基于图3所示实施例,若第一IPv6地址为临时地址,且在第一指定位置已记录了第一IP地址的地址前缀对应的临时地址,只有在S205判定第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔不小于时间阈值且S207判定第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数未超过个数阈值的情况下,才在第一指定位置记录第一IPv6地址,对于S205与S207的执行顺序,本发明实施例不进行限定,S207可以在S205之前执行(即在S207判断结果为否时执行S205),也可以在S205之后执行(即在S205判断结果为否时执行S207),还可以与S205同时执行。
在第一指定位置记录的IPv6地址也是需要下发至转发平面的IPv6地址,以用于报文的转发。在本发明的一个实施例中,为了便于控制报文的转发,网络设备获取到报文的源MAC地址、接收报文的入端口、报文所属VLAN等信息后,在第一指定位置记录下获取到的这些信息。例如,获取到源MAC地址、报文的入端口和报文所属VLAN,如图4所示的记录获取信息的示意图,以“源MAC地址+报文的入端口+报文所属VLAN”为键(Key)建立一级表,该一级表位于第一指定位置,在一级表下记录不同的地址前缀、及获取到每个地址前缀对应的IPv6地址(包括链路本地地址、公共地址和临时地址)和IPv6地址的获取时间,如图4中所示,在“源MAC地址2+报文的入端口+报文所属VLAN”的一级表下包括:链路本地地址前缀“fe80::/10”对应的链路本地地址及该链路本地地址的获取时间,地址前缀1对应的公共地址1、临时地址11、1n及公共地址1、临时地址11、1n的获取时间,地址前缀2对应的公共地址2、临时地址21及公共地址2、临时地址21的获取时间。
这里,一级表下记录的地址前缀可以为网络设备中预先配置的,每一地址前缀(除“fe80::/10”外)对应1个公共地址和至少一个临时地址。
这样,网络设备将记录的第一IPv6地址、接收报文的源MAC地址、接收报文的入端口和接收报文所属VLAN的对应关系下发至转发平面;
转发平面就可以根据第一IPv6地址、接收报文的源MAC地址、接收报文的入端口和接收报文所属VLAN的对应关系,对报文转发进行控制,放通与上述对应关系匹配的报文,过滤掉与上述对应关系不匹配的报文。
下面结合一实施例,详细说明本发明实施例提供的地址处理方法。
假设,网络设备为交换机,交换机上设置了一个虚拟网关接口,在虚拟网关接口上配置了地址前缀“3002::/64”、地址前缀的有效生命期、首选生命期,并且指定该虚拟网关接口用于无状态自动配置;
另外,链路本地地址前缀为“fe80::/10”;
交换机下连接的主机的根据“fe80::/10”及接口的链路层地址(对应的接口ID为“1c4f:ead1:a1c1:7775”),自动为接口配置了链路本地地址“fe80::1c4f:ead1:a1c1:7775”;
主机在接收到交换机发送的RA消息通告的新地址前缀“3002::/64”后,在接收RA消息的接口上产生一个公共地址“3002::1c4f:ead1:a1c1:7775”,产生一个临时地址“3002::185e:8b0e:1350:a1f5”;在临时地址“3002::185e:8b0e:1350:a1f5”首选生命期过期后,产生一个新的临时地址“3002::1051:b0ef:1502:1f5a”;在临时地址“3002::1051:b0ef:1502:1f5a”首选生命期过期后,同样生成新的临时地址;
1、交换机获取到“fe80::1c4f:ead1:a1c1:7775”,该IPv6地址的地址前缀为“fe80::/10”为链路本地地址前缀,确定该IPv6地址为链路本地地址,在第一指定位置记录下该IPv6地址;
2、交换机获取到“3002::1c4f:ead1:a1c1:7775”,该IPv6地址的地址前缀为“3002::/64”不是链路本地地址前缀“fe80::/10”,说明该IPv6地址不是链路本地地址;
该IPv6地址的接口ID“1c4f:ead1:a1c1:7775”与在第一指定位置已记录的链路本地地址的接口ID“1c4f:ead1:a1c1:7775”相同,确定该IPv6地址为公共地址,在第一指定位置记录下该IPv6地址;
3、交换机获取到“3002::185e:8b0e:1350:a1f5”,该IPv6地址的地址前缀为“3002::/64”不是链路本地地址前缀“fe80::/10”,说明该IPv6地址不是链路本地地址;
该IPv6地址的接口ID“185e:8b0e:1350:a1f5”与在第一指定位置已记录的链路本地地址的接口ID“1c4f:ead1:a1c1:7775”不同,确定该IPv6地址为临时地址;
此时,交换机在第一指定位置未记录地址前缀“3002::/64”对应的临时地址,确定“3002::185e:8b0e:1350:a1f5”为地址前缀“3002::/64”对应的第一个临时地址,在第一指定位置记录下该IPv6地址;
4、交换机获取到“3002::1051:b0ef:1502:1f5a”,该IPv6地址的地址前缀为“3002::/64”不是链路本地地址前缀“fe80::/10”,说明该IPv6地址不是链路本地地址;
该IPv6地址的接口ID“1051:b0ef:1502:1f5a”与在第一指定位置已记录的链路本地地址的接口ID“1c4f:ead1:a1c1:7775”不同,确定该IPv6地址为临时地址;
此时,交换机在第一指定位置已记录了地址前缀“3002::/64”对应的临时地址“3002::185e:8b0e:1350:a1f5”,确定新获取的“3002::1051:b0ef:1502:1f5a”不是第一个临时地址;
判断“3002::1051:b0ef:1502:1f5a”的获取时间与在第一指定位置最新记录的“3002::/64”对应的临时地址“3002::185e:8b0e:1350:a1f5”的获取时间的时间间隔是否小于时间阈值(例如0.5天);
若小于0.5天,丢弃“3002::1051:b0ef:1502:1f5a”,或在第二指定位置记录“3002::1051:b0ef:1502:1f5a”,同时生成针对“3002::1051:b0ef:1502:1f5a”的日志1;日志1中包括:“3002::/64”;
若不小于0.5天,判断当前已记录的地址前缀“3002::/64”对应的临时地址的个数是否超过个数阈值(例如7个);
此时,只记录了1个临时地址“3002::185e:8b0e:1350:a1f5”,1<7,在第一指定位置记录下“3002::1051:b0ef:1502:1f5a”;
这样,避免了记录变化过于频繁的临时地址,减轻网络设备的表项资源、CPU资源的负担。
5、一段时间后,交换机若获取到“3002::2a01:af01:e02b:fa1b”,该IPv6地址的地址前缀为“3002::/64”不是链路本地地址前缀“fe80::/10”,说明该IPv6地址不是链路本地地址;
该IPv6地址的接口ID“2a01:af01:e02b:fa1b”与在第一指定位置已记录的链路本地地址的接口ID“1c4f:ead1:a1c1:7775”不同,确定该IPv6地址为临时地址;
交换机在第一指定位置已记录了地址前缀“3002::/64”对应的临时地址“3002::185e:8b0e:1350:a1f5”等,确定新获取的“3002::2a01:af01:e02b:fa1b”不是第一个临时地址;
判断“3002::2a01:af01:e02b:fa1b”的获取时间与在第一指定位置最新记录的“3002::/64”对应的临时地址的获取时间的时间间隔是否小于0.5天;
若小于0.5天,丢弃“3002::2a01:af01:e02b:fa1b”,或在第二指定位置记录“3002::1051:b0ef:1502:1f5a”,同时生成针对“3002::2a01:af01:e02b:fa1b”的日志2;日志2中包括:“3002::/64”;
若不小于0.5天,判断在第一指定位置已记录的地址前缀“3002::/64”对应的临时地址的个数是否超过7个;
若超过7个,拒绝记录“3002::2a01:af01:e02b:fa1b”,同时生成针对“3002::2a01:af01:e02b:fa1b”的日志3;日志3中包括:“3002::/64”;
若未超过7个,在第一指定位置记录下“3002::2a01:af01:e02b:fa1b”;
这样,避免了记录变化过于频繁的临时地址,并避免了记录过多同一地址前缀对应的临时地址,减轻网络设备的表项资源、CPU资源的负担。
6、交换机将在第一指定位置记录下了IPv6地址、该IPv6地址对应的报文所属源MAC地址(节点的MAC地址)、报文入端口(上述虚拟网关接口)、该IP地址对应的报文所属VLAN对应的下发至转发平面;
转发平面依据IPv6地址、源MAC地址、报文入端口、VLAN的对应关系,过滤或放通对应的报文。
值得一提的是,本发明实施例中网络设备可以为路由器、交换机等用于网络通信的设备。
应用上述实施例,网络设备在获取到第一IPv6地址后,若确定第一IPv6地址为临时地址,在确定第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔小于时间阈值时,对获取到的第一IPv6地址进行过滤,丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址,减少了网络设备中记录的需要上报给网络管理系统的临时地址的数量,减轻了网络设备的表项资源、CPU资源的负担。
与方法实施例对应,本发明实施例还提供了一种地址处理装置。
参考图5,图5为本发明实施例提供的地址处理装置的第一种结构示意图,应用于网络设备,该装置包括:
获取单元501,用于获取第一IPv6地址;
确定单元502,用于确定第一IPv6地址为临时地址
检测单元503,用于检测网络设备在第一指定位置是否已记录第一IPv6地址的地址前缀对应的临时地址;
记录单元504,用于当检测到网络设备在第一指定位置未记录第一IPv6地址的地址前缀对应的临时地址时,在第一指定位置记录第一IPv6地址;
第一判断单元505,用于当网络设备在第一指定位置已记录第一IPv6地址的地址前缀对应的临时地址时,判断第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔是否小于时间阈值;
处理单元506,用于在第一判断单元505的判断结果为是的情况下,丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址。
在本发明的一个实施例中,确定单元502,具体可以用于:
检测第一IPv6地址的接口标识ID是否与链路本地地址的接口ID不同;如果是,则确定第一IPv6地址为临时地址。
在本发明的一个实施例中,参考图6所示的地址处理装置的第二种结构示意图,还可以包括:
第二判断单元507,用于若检测到网络设备在第一指定位置已记录第一IPv6地址的地址前缀对应的临时地址,判断第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数是否超过个数阈值;
这种情况下,处理单元506,还可以用于在第二判断单元507的判断结果为是的情况下,丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址。
在本发明的一个实施例中,记录单元504,还可以用于:
若第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔不小于时间阈值且第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数未超过个数阈值,在第一指定位置记录第一IPv6地址。
在本发明的一个实施例中,上述地址处理装置还可以包括:下发单元(图5中未示出);
这种情况下,获取单元501,具体用于接收报文;从报文获取第一IPv6地址;
获取单元501,还可以用于在接收报文之后,从报文获取报文的源MAC地址,并确定接收报文的入端口、报文所属VLAN;
下发单元,用于在记录第一IPv6地址之后,将第一IPv6地址、报文的源MAC地址、报文的入端口和报文所属VLAN的对应关系下发给转发平面。
在本发明的一个实施例中,上述地址处理装置还可以包括:
生成单元(图5中未示出),用于在丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址之后,生成包括第一IPv6地址的地址前缀的日志。
应用上述实施例,网络设备在获取到第一IPv6地址后,若确定第一IPv6地址为临时地址,在确定第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔小于时间阈值时,对获取到的第一IPv6地址进行过滤,丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址,减少了网络设备中记录的需要上报给网络管理系统的临时地址的数量,减轻了网络设备的表项资源、CPU资源的负担。
参考图7,图7为本发明实施例提供的一种网络设备的结构示意图,该网络设备包括处理器701、通信接口702、存储器703和通信总线704,其中,处理器701、通信接口702、存储器703通过通信总线704完成相互间的通信;
存储器703,用于存放可执行应用程序;
处理器701,用于执行存储器上所存放的可执行应用程序,实现如下步骤:
获取第一IPv6地址;
确定第一IPv6地址为临时地址,则检测网络设备在第一指定位置是否已记录第一IPv6地址的地址前缀对应的临时地址;
若未记录,则在第一指定位置记录第一IPv6地址;
若已记录,则判断第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔是否小于时间阈值;
如果小于时间阈值,则丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址。
在本发明的一个实施例中,处理器701,具体可以用于:
检测第一IPv6地址的接口标识ID是否与链路本地地址的接口ID不同;
如果是,则确定第一IPv6地址为临时地址。
在本发明的一个实施例中,处理器701,还可以用于:
确定第一IPv6地址为临时地址时,若检测到网络设备在第一指定位置已记录第一IPv6地址的地址前缀对应的临时地址,判断第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数是否超过个数阈值;
如果是,则丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址。
在本发明的一个实施例中,处理器701,还可以用于:
若第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔不小于时间阈值且第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数未超过个数阈值,在第一指定位置记录第一IPv6地址。
在本发明的一个实施例中,处理器701,还可以用于:
接收报文;从报文获取第一IPv6地址、报文的源MAC地址,并确定接收报文的入端口、报文所属VLAN;
另外,在记录第一IPv6地址之后,将第一IPv6地址、报文的源MAC地址、报文的入端口和报文所属VLAN的对应关系下发给转发平面。
在本发明的一个实施例中,处理器701,还可以用于:
在丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址之后,生成包括第一IPv6地址的地址前缀的日志。
应用上述实施例,网络设备在获取到第一IPv6地址后,若确定第一IPv6地址为临时地址,在确定第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔小于时间阈值时,对获取到的第一IPv6地址进行过滤,丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址,减少了网络设备中记录的需要上报给网络管理系统的临时地址的数量,减轻了网络设备的表项资源、CPU资源的负担。
上述网络设备提到的通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述网络设备与其他设备之间的通信。
存储器可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)简称)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例还提供了一种可读存储介质,该可读存储介质内存储有可执行应用程序,该可执行应用程序被处理器执行时实现如下步骤:
获取第一IPv6地址;
确定第一IPv6地址为临时地址,则检测网络设备在第一指定位置是否已记录第一IPv6地址的地址前缀对应的临时地址;
若未记录,则在第一指定位置记录第一IPv6地址;
若已记录,则判断第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔是否小于时间阈值;
如果小于时间阈值,则丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址。
在本发明的一个实施例中,上述确定第一IPv6地址为临时地址的步骤,包括:
检测第一IPv6地址的接口标识ID是否与链路本地地址的接口ID不同;
如果是,则确定第一IPv6地址为临时地址。
在本发明的一个实施例中,上述可执行应用程序被处理器执行时实现还可以实现以下步骤:
确定第一IPv6地址为临时地址时,若检测到网络设备在第一指定位置已记录第一IPv6地址的地址前缀对应的临时地址,判断第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数是否超过个数阈值;
如果是,则丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址。
在本发明的一个实施例中,上述可执行应用程序被处理器执行时实现还可以实现以下步骤:
若第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔不小于时间阈值且第一指定位置已记录的第一IPv6地址的地址前缀对应的临时地址的个数未超过个数阈值,在第一指定位置记录第一IPv6地址。
在本发明的一个实施例中,上述可执行应用程序被处理器执行时实现还可以实现以下步骤:
接收报文;从报文获取第一IPv6地址、报文的源MAC地址,并确定接收报文的入端口、报文所属VLAN;
另外,在记录第一IPv6地址之后,将第一IPv6地址、报文的源MAC地址、报文的入端口和报文所属VLAN的对应关系下发给转发平面。
在本发明的一个实施例中,上述可执行应用程序被处理器执行时实现还可以实现以下步骤:
在丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址之后,生成包括第一IPv6地址的地址前缀的日志。
应用上述实施例,网络设备在获取到第一IPv6地址后,若确定第一IPv6地址为临时地址,在确定第一IPv6地址的获取时间与第一指定位置最新记录的第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔小于时间阈值时,对获取到的第一IPv6地址进行过滤,丢弃第一IPv6地址或在第二指定位置记录第一IPv6地址,减少了网络设备中记录的需要上报给网络管理系统的临时地址的数量,减轻了网络设备的表项资源、CPU资源的负担。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、网络设备、可读存储介质的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (14)
1.一种地址处理方法,其特征在于,应用于网络设备,所述方法包括:
获取第一网络协议IPv6地址;
确定所述第一IPv6地址为临时地址,则检测所述网络设备在第一指定位置是否已记录所述第一IPv6地址的地址前缀对应的临时地址;
若未记录,则在所述第一指定位置记录所述第一IPv6地址;
若已记录,则判断所述第一IPv6地址的获取时间与所述第一指定位置最新记录的所述第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔是否小于时间阈值;
如果小于时间阈值,则丢弃所述第一IPv6地址或在第二指定位置记录所述第一IPv6地址。
2.根据权利要求1所述的方法,其特征在于,所述确定所述第一IPv6地址为临时地址,包括:
检测所述第一IPv6地址的接口标识ID是否与链路本地地址的接口ID不同;
如果是,则确定所述第一IPv6地址为临时地址。
3.根据权利要求1所述的方法,其特征在于,确定所述第一IPv6地址为临时地址时,所述方法还包括:
若检测到所述网络设备在所述第一指定位置已记录所述第一IPv6地址的地址前缀对应的临时地址,判断所述第一指定位置已记录的所述第一IPv6地址的地址前缀对应的临时地址的个数是否超过个数阈值;
如果是,则丢弃所述第一IPv6地址或在所述第二指定位置记录所述第一IPv6地址。
4.根据权利要求3所述的方法,其特征在于,若所述第一IPv6地址的获取时间与所述第一指定位置最新记录的所述第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔不小于时间阈值且所述第一指定位置已记录的所述第一IPv6地址的地址前缀对应的临时地址的个数未超过个数阈值,所述方法还包括:
在所述第一指定位置记录所述第一IPv6地址。
5.根据权利要求4所述的方法,其特征在于,所述获取第一IPv6地址的步骤,包括:
接收报文;从所述报文获取所述第一IPv6地址;
所述方法还包括:
在接收报文之后,从所述报文获取所述报文的源媒体访问控制MAC地址,并确定接收所述报文的入端口、所述报文所属虚拟局域网VLAN;
在记录所述第一IPv6地址之后,将所述第一IPv6地址、所述报文的源MAC地址、所述报文的入端口和所述报文所属VLAN的对应关系下发给转发平面。
6.根据权利要求1-5任一项所述的方法,其特征在于,在丢弃所述第一IPv6地址或在第二指定位置记录所述第一IPv6地址之后,所述方法还包括:
生成包括所述第一IPv6地址的地址前缀的日志。
7.一种地址处理装置,其特征在于,应用于网络设备,所述装置包括:
获取单元,用于获取第一网络协议IPv6地址;
确定单元,用于确定所述第一IPv6地址为临时地址
检测单元,用于检测所述网络设备在第一指定位置是否已记录所述第一IPv6地址的地址前缀对应的临时地址;
记录单元,用于当检测到所述网络设备在第一指定位置未记录所述第一IPv6地址的地址前缀对应的临时地址时,在所述第一指定位置记录所述第一IPv6地址;
第一判断单元,用于当所述网络设备在第一指定位置已记录所述第一IPv6地址的地址前缀对应的临时地址时,判断所述第一IPv6地址的获取时间与所述第一指定位置最新记录的所述第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔是否小于时间阈值;
处理单元,用于在所述第一判断单元的判断结果为是的情况下,丢弃所述第一IPv6地址或在第二指定位置记录所述第一IPv6地址。
8.根据权利要求7所述的装置,其特征在于,所述确定单元,具体用于:
检测所述第一IPv6地址的接口标识ID是否与链路本地地址的接口ID不同;如果是,则确定所述第一IPv6地址为临时地址。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:第二判断单元;
所述第二判断单元,用于若检测到所述网络设备在所述第一指定位置已记录所述第一IPv6地址的地址前缀对应的临时地址,判断所述第一指定位置已记录的所述第一IPv6地址的地址前缀对应的临时地址的个数是否超过个数阈值;
所述处理单元,还用于在所述第二判断单元的判断结果为是的情况下,丢弃所述第一IPv6地址或在所述第二指定位置记录所述第一IPv6地址。
10.根据权利要求9所述的装置,其特征在于,所述记录单元,还用于:
若所述第一IPv6地址的获取时间与所述第一指定位置最新记录的所述第一IPv6地址的地址前缀对应的临时地址的获取时间的时间间隔不小于时间阈值且所述第一指定位置已记录的所述第一IPv6地址的地址前缀对应的临时地址的个数未超过个数阈值,在所述第一指定位置记录所述第一IPv6地址。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:下发单元;
所述获取单元,具体用于接收报文;从所述报文获取所述第一IPv6地址;
所述获取单元,还用于在接收报文之后,从所述报文获取所述报文的源媒体访问控制MAC地址,并确定接收所述报文的入端口、所述报文所属虚拟局域网VLAN;
所述下发单元,用于在记录所述第一IPv6地址之后,将所述第一IPv6地址、所述报文的源MAC地址、所述报文的入端口和所述报文所属VLAN的对应关系下发给转发平面。
12.根据权利要求7-11任一项所述的装置,其特征在于,所述装置还包括:
生成单元,用于在丢弃所述第一IPv6地址或在第二指定位置记录所述第一IPv6地址之后,生成包括所述第一IPv6地址的地址前缀的日志。
13.一种网络设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口、存储器通过通信总线完成相互间的通信;
所述存储器,用于存放可执行应用程序;
所述处理器,用于执行存储器上所存放的可执行应用程序,实现权利要求1-6任一所述的方法。
14.一种可读存储介质,其特征在于,所述可读存储介质内存储有可执行应用程序,所述可执行应用程序被处理器执行时实现权利要求1-6任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710397762.3A CN107547676B (zh) | 2017-05-31 | 2017-05-31 | 一种地址处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710397762.3A CN107547676B (zh) | 2017-05-31 | 2017-05-31 | 一种地址处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547676A CN107547676A (zh) | 2018-01-05 |
| CN107547676B true CN107547676B (zh) | 2020-09-11 |
Family
ID=60966893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710397762.3A Active CN107547676B (zh) | 2017-05-31 | 2017-05-31 | 一种地址处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547676B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981813B (zh) * | 2019-03-19 | 2021-09-17 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN112737946B (zh) * | 2019-10-14 | 2023-09-05 | 中兴通讯股份有限公司 | 用于IPv6网络的路由通告方法、装置、存储介质和系统 |
| CN113992629B (zh) * | 2021-09-09 | 2023-11-07 | 新华三信息安全技术有限公司 | 地址分配方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6424930B1 (en) * | 1999-04-23 | 2002-07-23 | Graeme G. Wood | Distributed processing system for component lifetime prediction |
| JP2004364109A (ja) * | 2003-06-06 | 2004-12-24 | Canon Inc | テンポラリアドレス通信装置、プログラム、記録媒体、および方法 |
| CN102694884B (zh) * | 2012-06-25 | 2014-05-28 | 常熟理工学院 | 一种无线传感器网络IPv6地址配置及管理方法 |
| CN103414641B (zh) * | 2013-07-25 | 2016-12-28 | 福建星网锐捷网络有限公司 | 邻居表项释放方法、装置和网络设备 |
-
2017
- 2017-05-31 CN CN201710397762.3A patent/CN107547676B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547676A (zh) | 2018-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106412142B (zh) | 一种资源设备地址获取方法及装置 | |
| US20190235909A1 (en) | Forwarding policy configuration | |
| CN107547676B (zh) | 一种地址处理方法及装置 | |
| US20170223035A1 (en) | Scaling method and management device | |
| US20200112539A1 (en) | Topic handling in mqtt networks | |
| US10476807B2 (en) | User equipment processing method and device | |
| US9973399B2 (en) | IPV6 address tracing method, apparatus, and system | |
| WO2017206576A1 (zh) | 一种网关业务的处理方法及装置 | |
| CN104639391A (zh) | 一种生成网络流量记录的方法及相应的流量检测设备 | |
| CN104618522B (zh) | 终端ip地址自动更新的方法及以太网接入设备 | |
| CN109041086B (zh) | 一种OpenFlow实例的配置方法及装置 | |
| CN113452594A (zh) | 一种隧道报文的内层报文匹配方法及装置 | |
| CN106060006B (zh) | 一种访问方法及装置 | |
| CN111464479B (zh) | 终端设备用户身份的识别方法及系统 | |
| CN105049546A (zh) | 一种dhcp服务器为客户端分配ip地址的方法及装置 | |
| CN108847999B (zh) | 设备网络连通性检测方法、装置、终端设备及存储介质 | |
| CN115826444A (zh) | 基于dns解析的安全访问控制方法、系统、装置及设备 | |
| CN106789655B (zh) | 一种路由通告报文的发送方法和装置 | |
| CN113595900B (zh) | 路由控制方法、装置、系统以及边界网关协议对等体 | |
| CN109600265B (zh) | 一种接入电路ac配置信息下发方法、装置及服务器 | |
| CN109981462B (zh) | 一种报文处理方法及装置 | |
| US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
| CN108989173B (zh) | 一种报文传输的方法及装置 | |
| CN114500465B (zh) | 工业现场设备的网络配置方法、装置、设备以及介质 | |
| CN116719868A (zh) | 网络资产的识别方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |