WO2009012663A1

WO2009012663A1 - Procédé, système de communication et dispositif pour le traitement de paquets arp

Info

Publication number: WO2009012663A1
Application number: PCT/CN2008/070532
Authority: WO
Inventors: Zhenhai Li
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-07-20
Filing date: 2008-03-19
Publication date: 2009-01-29
Also published as: ES2371127T3; EP2139187A4; PT2139187E; US9148374B2; CN101094236A; ATE523023T1; US20100054253A1; EP2139187B1; EP2139187A1; US20130336326A1; US8542684B2; CN101094236B

Description

地址解析协议报文处理方法、通讯系统及设备

本申请要求于 2007 年 7 月 20 日提交中国专利局、申请号为 200710129994.7、发明名称为"地址解析协议 4艮文处理方法及通讯系统及转发平面处理器"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通讯领域，尤其涉及一种地址解析协议文处理方法、通讯系统及设备。

背景技术

地址解析协议（ ARP, Address Resolution Protocol )是传输控制协议 /互联网协议 ( TCP/IP, Transmission Control Protocol/Internet Protocol )协议栈中较低层的协议之一，其作用是实现 IP地址到以太网物理地址，即媒体接入控制 ( MAC, Media Access Control )地址的转换。

以太网设备之间的通信是使用 MAC地址来寻址的，而基于 TCP/IP的各种应用是以 IP地址来寻址的，基于 IP地址寻址的各种数据包最终都需要封装在基于 MAC地址寻址的以太网帧内进行传输。因此，以太网设备在进行 IP 通信之前，都需要通过协议从对端的 IP地址解析出对端的 MAC地址，完成这一解析过程的协议就是 ARP协议。

为了加快地址转换速度，网络设备在实现 ARP协议时都会用到 ARP緩存技术，在本地通过表结构来緩存一定数量的地址映射关系，这张表通常叫做 ARP表。

但是在现有网络中通常会存在基于 ARP的网络攻击行为，从攻击原理区分， ARP攻击一般有以下两种：

1、地址欺骗：通过发送具有错误地址映射关系的 ARP请求或 ARP响应报文来篡改主机或网关的 ARP表，使网关或主机将报文发送到错误的物理地址从而达到攻击目的。

2、 ARP拒绝服务（ DoS, Denial of service )攻击：一般针对网关设备 (如路由器或交换机）进行。由于 ARP报文一般在设备的控制平面进行处理，控制平面一般釆用通用 CPU作为处理引擎。通用 CPU的特点是可以进行复杂的处理但性能有限，过多的处理任务会使控制平面的 CPU不堪重负甚至崩溃。 ARP DoS攻击就是利用这个原理，向网关设备发送大流量 ARP报文，使设备的控制平面极度繁忙而无法处理正常的 ARP报文，从而达到攻击目的。

现有技术中一种 ARP报文处理方法为：

首先在转发平面中对 ARP报文的 IP地址进行检查，不合法的 ARP报文被丟弃。

IP地址检查主要包括：

1、目的 IP地址检查。检查目的 IP地址是否是网关所在网段的 IP地址，如果不是则丟弃该报文。

2、源 IP地址检查。检查源 IP地址是否是"确认合法，，的 IP地址。这里的 "确认合法"是指该 IP地址已经在 ARP表项中存在，对于这类报文给予较高的上送优先级，对于其它 ARP "^文以低优先级上送。

但上述技术不能应对来自使用合法 IP地址的攻击。

为了克服上一方案的缺陷，现有技术中另一种 ARP报文处理方法为：利用转发平面中网络处理器的高速处理能力，直接在转发平面中回应 ARP 请求报文。

由于 ARP报文分为 ARP请求报文和 ARP响应报文两种，而上述方案只解决了 ARP请求报文的问题；不能解决使用 ARP响应报文进行大流量攻击的问题。

发明内容

本发明实施例提供一种地址解析协议报文处理方法、通讯系统及设备，能够有效地防御利用 ARP报文发起的网络攻击。

本发明实施例提供的地址解析协议报文处理方法，包括：

接收地址解析协议报文，并判断所述地址解析协议报文的类型；若所述地址解析协议 ^艮文为地址解析协议请求 ^艮文，并且在本地配置的地址解析协议表中查询到所述地址解析协议请求报文对应的表项，则对所述地址解析协议请求 4艮文进行回应；

若所述地址解析协议 ^艮文为地址解析协议响应 ^艮文，并且在本地配置的地址解析协议表中查询到所述地址解析协议响应报文对应的表项，所述表项中的上报参数为允许上报，则上报所述地址解析协议响应报文，若在所述地址解析协议表中未查询到所述地址解析协议响应文对应的表项 ,则丟弃所述地址解析协议响应 4艮文。

本发明实施例提供的通讯系统，包括：

外部设备，用于发送地址解析协议请求 ^艮文以及地址解析协议响应 ^艮文；转发平面处理器，用于判断接收到的地址解析协议报文的类型；在所述地址解析协议 ^艮文为地址解析协议请求文时，查询本地配置的地址解析协议表，并根据在所述地址解析协议表中查询到所述地址解析协议请求报文对应的表项，对所述地址解析协议请求文进行回应；在所述地址解析协议文为地址解析协议响应报文时，查询本地配置的地址解析协议表，并根据在所述地址解析协议表中查询到所述地址解析协议响应报文对应的表项，判断所述表项中的上报参数是否为允许上报，若为允许上报，则上报所述地址解析协议响应报文，若在所述表中未查询到所述地址解析协议响应^艮文对应的表项，则丟弃所述地址解析协议响应 ^艮文；

控制平面处理器，用于接收所述转发平面处理器上报的地址解析协议请求 ^艮文或地址解析协议响应 ^艮文。

本发明实施例提供的转发平面处理器，包括：

判断单元，用于判断接收到的地址解析协议报文的类型；

第一查询单元，用于当所述地址解析协议报文为地址解析协议请求报文时查询本地配置的地址解析协议表；

回应处理单元，用于当在所述表中查询到所述地址解析协议请求 ^艮文对应的表项，对所述地址解析协议请求文进行回应；

第二查询单元，用于当所述地址解析协议 >¾文为地址解析协议响应 ^艮文时查询本地配置的地址解析协议表；

丟弃处理单元，用于当在所述表中未查询到所述地址解析协议响应 ^艮文对应的表项时，丟弃所述地址解析协议响应 ^艮文。

本发明实施例中，由转发平面处理器直接对接收到的 ARP请求报文进行回应，而不根据该 ARP请求报文生成 ARP表项，所以防止了使用 ARP请求报文对网关设备 ARP表进行地址欺骗的可能，另外当接收到 ARP响应报文时，转发平面处理器只上报 ARP表中允许上报的 ARP响应报文，所以能够有效的防范釆用大量 ARP响应文进行攻击的可能。

附图说明

图 1为本发明实施例中 ARP报文处理方法实施例流程图；

图 2为本发明实施例中 ARP请求报文处理流程示意图；

图 3为本发明实施例中 ARP响应报文处理流程示意图；

图 4为本发明实施例中通讯系统实施例示意图；

图 5为本发明实施例中转发平面处理器实施例示意图。

具体实施方式

本发明实施例提供了一种地址解析协议报文处理方法、通讯系统及转发平面处理器，用于防御利用 ARP报文发起的网络攻击。

请参阅图 1 , 本发明实施例中 ARP报文处理方法实施例包括：

101、接收 ARP 艮文；

转发平面处理器接收外部设备发送的 ARP报文。

其中，高端数据通信设备 (如高端路由器和交换机）通常将设备分为三个相对独立的平面：控制平面、转发平面以及管理平面。

控制平面一般釆用通用 CPU作为处理引擎，完成各种复杂的协议（如路由协议等）处理；

转发平面主要完成高速数据转发处理；

管理平面主要完成各种网管、命令行、日志、告警等，一般有专门的管理通道。

本实施例中，转发平面处理器可以为单核或多核 CPU, 网络处理器，或者专用集成电路处理器及以上所述器件工作需要的外围器件如随机存取存储器（RAM, Random Access Memory)、三态内容寻址存 4诸器（ TCAM, ternary content addressable memory )、 FLASH等组成的处理系统。

102、判断 ARP报文的类型，若为 ARP请求报文，则执行步骤 103 , 若为 ARP响应报文，则执行步骤 107；

具体的判断 ARP报文的类型的步骤为现有技术，此处不再赘述。

103、查询 ARP表；

根据获取到的 ARP请求报文查询转发平面处理器中保存的 ARP表。本实施例中，转发平面处理器中保存的 ARP表可以由控制平面处理器下发给转发平面处理器，也可以直接在转发平面处理器中配置。

本实施例中， ARP表的表项中含有网关接口 IP地址与 MAC地址的对应关系（当接口上使能虚拟路由器冗余协议（ VRRP , Virtual Router Redundancy Protocol ) 时，需要根据 VRRP的状态变化维护该表项）。

可以在 ARP表项中设立标志位，指示该表项是否属于网关 ARP表项或代理 ARP表项。

104、判断在 ARP表中是否存在与获取到的 ARP请求报文对应的表项，若存在，则执行步骤 105, 若不存在，则执行步骤 106;

具体的判断方式将在后面的实施例中详细描述。

105、回应 ARP请求 ^艮文；

若在 ARP表中查询到了与获取到的 ARP请求报文对应的表项，则转发平面处理器回应该 ARP请求报文，具体的回应方式将在后面的实施例中详细描述。

106、执行其他处理；

若在 ARP表中未查询到与获取到的 ARP请求报文对应的表项，则执行其他的处理流程，具体的其他处理流程将在后续实施例中详细描述。

107、查询 ARP表；

根据获取到的 ARP响应报文查询转发平面处理器中保存的 ARP表。

本实施例中，转发平面处理器中保存的 ARP表可以由控制平面处理器下发给转发平面处理器，也可以直接在转发平面处理器中配置。

108、判断在 ARP表中是否存在与获取到的 ARP响应报文对应的表项，若存在，则执行步骤 109, 若不存在，则执行步骤 112; 执行步骤 110, 若为不允许上报，则执行步骤 111 ;

110、上报 ARP响应报文；

当该 ARP响应报文对应的表项中的上报参数为允许上报时，转发平面处理器将该 ARP响应报文上报至控制平面处理器。

111、执行其他处理；当该 ARP响应报文对应的表项中的上报参数为不允许上报时，则执行其他的处理流程，具体的其他处理流程将在后续实施例中详细描述。

112、丟弃 ARP响应艮文。

当在 ARP表中不存在对获得的 ARP响应报文对应的表项时，丟弃该 ARP 响应 4艮文。

上述实施例中，由转发平面处理器直接对接收到的 ARP请求报文进行回应，而不根据该 ARP请求报文生成 ARP表项，所以防止了使用 ARP请求报文对网关设备 ARP表进行地址欺骗的可能，另外当接收到 ARP响应 ^艮文时，转发平面处理器只上报 ARP表中允许上报的 ARP响应报文，所以能够有效的防范釆用大量 ARP响应文进行攻击的可能。

下面根据 ARP报文的类型分别说明具体的报文处理方式：

一、 ARP请求 ^艮文的处理：

请参阅图 2, 为本发明实施例中 ARP请求 "^文的处理流程，包括：

201、接收 ARP请求艮文；

转发平面处理器接收外部设备发送的 ARP请求报文。

202、过滤源 MAC地址为非单播的 ARP请求报文；

具体的过滤手段为现有技术，此处不再赘述。

203、查询 ARP表；

从接收到的 ARP请求报文中获取端口号，虚拟局域网标识以及目的 IP地址等参数，并根据获得的参数查询转发平面处理器本地保存的 ARP表。

204、判断在 ARP表中是否存在与获取到的 ARP请求报文对应的表项，若存在，则执行步骤 205, 若不存在，则执行步骤 208;

205、判断 ARP请求文是否为网关 ARP请求 4艮文或代理 ARP请求 4艮文，若是，则执行步骤 206, 若否，则执行步骤 207;

判断的方式为查询对应表项中有关 "网关 ARP表项或代理 ARP表项 "的标识位实现。

206、回应 ARP请求 ^艮文；

若 ARP请求报文为网关 ARP请求报文或代理 ARP请求报文，则转发平面处理器向外部设备回应该 ARP请求 ^艮文，具体的回应方式为：编辑该 ARP 请求报文，使之成为 ARP响应报文或者创建新的 ARP响应报文，响应报文中的源 MAC地址使用该 ARP表项中的 MAC地址。将编辑完成的 ARP响应报文或者是创建得到的新的 ARP响应报文直接从 ARP表项中指定的端口发出。

本实施例中，在转发平面处理器回应 ARP请求报文的过程中，并不根据 ARP请求报文中的源 IP地址或 MAC地址生成 ARP表项，即对 ARP请求报文进行无状态处理。

207、丟弃 ARP请求 ^艮文；

将接收到的 ARP请求报文丟弃。

208、判断接收该 ARP请求报文的接口是否使能代理 ARP功能，若使能，则执行步骤 209, 若未使能，则执行步骤 207;

209、对 ARP请求报文进行限速后上报。

若接收该 ARP请求报文的接口使能代理 ARP功能，则转发平面处理器对该 ARP请求报文进行限速，限速之后上报控制平面处理器。

本实施例中，判断 ARP请求 ^艮文是否为网关 ARP请求 ^艮文或代理 ARP 请求报文的方法还可以通过查询转发表或者是其他包含此类信息的表实现，具体流程与上述实施例中类似。

本实施例中，步骤 209中，转发平面处理器对接收到的 ARP请求报文进行限速并上报控制平面处理器之后，控制平面处理器处理该代理 ARP请求报文，处理完成后，可根据配置将代理 ARP表项下发至转发平面处理器，代理 ARP表项中的 MAC地址为网关的 MAC地址，后续收到该代理 ARP表项对应的 ARP请求报文时，便可由转发平面处理器直接处理，不需要再上送给控制平面处理器，从而加快处理速度，增强在使能代理 ARP功能的情况下防范 ARP请求攻击的能力。

本实施例中，由于在转发平面处理器回应 ARP请求 ^艮文的过程中，并不根据 ARP请求报文中的源 IP/MAC地址生成 ARP表项，所以有效地防范了釆用 ARP请求 ^艮文进行 MAC地址欺骗的 ARP攻击。

二、 ARP响应 ^艮文的处理：

请参阅图 3 , 为本发明实施例中 ARP响应 "^文的处理流程，包括： 301、接收 ARP响应报文；转发平面处理器接收外部设备发送的 ARP响应报文。

302、查询 ARP表；

从接收到的 ARP响应文中获取源 IP地址，并根据获得的源 IP地址查询转发平面处理器本地保存的 ARP表。

303、判断在 ARP表中是否存在与获取到的 ARP响应报文对应的表项，若存在，则执行步骤 304, 若不存在，则执行步骤 307; 则执行步骤 305, 若否，则执行步骤 306或步骤 307;

305、上报 ARP响应报文；

当 ARP响应报文对应的表项中的上报参数为允许上报时，则转发平面处理器向控制平面处理器上报该 ARP响应报文。

本实施例中，转发平面处理器向控制平面处理器上报 ARP响应报文，控制平面处理器处理该 ARP响应报文，处理完成后，将 ARP表中该 ARP响应报文对应的表项中的上报参数修改为不允许上报。

306、限速后上报；

根据预置的处理规则对该 ARP响应报文进行限速处理，将限速后的 ARP 响应报文上报至控制平面处理器。

307、丟弃 ARP响应 ^艮文。

本实施例中，步骤 304中，在 ARP响应报文对应的表项中上报参数为不允许上报的情况下，步骤 306与步骤 307可以根据预置的处理规则进行选择执行，例如正常情况下，设备的 MAC地址不会频繁变化，因此，可以选择丟弃策略，但对于需要频繁改变设备 MAC地址的特殊应用的情况下，可以选择限速策略。需要说明的是，选择丟弃策略对于防止地址欺骗攻击的效果比选择限速策略的效果会更加好，因此，除非特别需要，在大多数情况下建议选择丟弃策略。

本实施例中，选择限速或丟弃策略的方法可以通过查询相关表实现，具体的表的类型不作限定。

请参阅图 4, 本发明实施例中通讯系统包括：

外部设备 401 , 用于发送地址解析协议请求 ^艮文以及地址解析协议响应才艮文；

转发平面处理器 402 , 用于判断接收到的地址解析协议报文的类型；在地址解析协议>¾文为地址解析协议请求>¾文时 ,查询本地配置的地址解析协议表，并根据在地址解析协议表中查询到的所述地址解析协议请求报文对应的表项，对地址解析协议请求文进行回应；

在地址解析协议 ^艮文为地址解析协议响应 ^艮文时，查询本地配置的地址解析协议表，并根据在地址解析协议表中查询到的所述地址解析协议响应报文对应的表项，判断表项中的上报参数是否为允许上报，若为允许上报，则上报所述地址解析协议响应报文，若在表中未查询到所述地址解析协议响应报文对应的表项，则丟弃所述地址解析协议响应 ^艮文；

控制平面处理器 403 , 用于接收转发平面处理器 402上报的地址解析协议请求文或地址解析协议响应"¾文。

请参阅图 5 , 本发明实施例中转发平面处理器实施例包括：

判断单元 501 , 用于判断接收到的地址解析协议报文的类型；

第一查询单元 502 , 用于当地址解析协议 "^文为地址解析协议请求 ^艮文时查询本地配置的地址解析协议表；

回应处理单元 503 , 用于当在所述地址解析协议表中查询到地址解析协议请求文对应的表项，对地址解析协议请求 ^艮文进行回应；

第二查询单元 504 , 用于当地址解析协议 ^艮文为地址解析协议响应 ^艮文时查询本地配置的地址解析协议表；

丟弃处理单元 506 , 用于当在表中未查询到地址解析协议响应 4艮文对应的表项时，丟弃所述地址解析协议响应 4艮文；

限速单元 509 , 用于对地址解析协议报文进行限速后上报至控制平面处理器；

接口判断单元 508 , 用于当在地址解析协议表中未查询到接收到的地址解析协议请求报文对应的表项时，判断接收地址解析协议请求报文的接口是否使能代理地址解析协议功能，若使能，则通知限速单元对所述报文进行限速上报；若未使能，则通知丟弃处理单元 506丟弃所述地址解析协议请求报文；

校验单元 505 , 用于当在地址解析协议表中查询到所述地址解析协议响应报文对应的表项时，判断所述表项中的上报参数是否为允许上报；上报单元 507 , 用于当所述地址解析协议响应报文对应的表项中的上报参数为允许上报时，将地址解析协议响应报文上报至控制平面处理器。

可以理解的是，本实施例中执行类似功能的单元在实际应用中可以合并为同一个单元，例如第一查询单元 502以及第二查询单元 504可以集成实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括如下步骤：转发平面处理器判断接收到的地址解析协议报文的类型；若所述地址解析协议报文为地址解析协议请求报文，则查询本地配置的地址解析协议表，若在所述表中查询到所述地址解析协议请求报文对应的表项，则直接对地址解析协议请求报文进行回应；若所述地址解析协议 4艮文为地址解析协议响应 ^艮文，则查询本地配置的地址解析协议表，若在所述表中查询到所述地址解析协议响应报文对应的表项，则判断所述表项中的上报参数是否为允许上报，若为允许上报，则将所述地址解析协议响应报文上报至控制平面处理器，若在所述表中未查询到所述地址解析协议响应报文对应的表项，则丟弃所述地址解析协议响应报文。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上对本发明所提供的一种地址解析协议报文处理方法及通讯系统及转发平面处理器进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种地址解析协议文处理方法，其特征在于，包括：

接收地址解析协议报文，并判断所述地址解析协议报文的类型；若所述地址解析协议 ^艮文为地址解析协议请求 ^艮文，并且在本地配置的地址解析协议表中查询到所述地址解析协议请求报文对应的表项 ,则对所述地址解析协议请求 4艮文进行回应；

若所述地址解析协议 ^艮文为地址解析协议响应 ^艮文，并且在本地配置的地址解析协议表中查询到所述地址解析协议响应报文对应的表项，所述表项中的上报参数为允许上报，则上报所述地址解析协议响应报文，若在所述地址解析协议表中未查询到所述地址解析协议响应 4艮文对应的表项，则丟弃所述地址解析协议响应 4艮文。

2、根据权利要求 1所述的地址解析协议报文处理方法，其特征在于，若所述地址解析协议报文为地址解析协议请求报文，并且在所述地址解析协议表中未查询到所述地址解析协议请求报文对应的表项 ,则判断接收所述地址解析协议请求报文的接口是否使能代理地址解析协议功能；

若使能，则对所述地址解析协议请求报文进行限速处理，并将限速后的地址解析协议请求报文上报至控制平面处理器；

若未使能，则丟弃所述地址解析协议请求报文。

3、根据权利要求 1所述的地址解析协议报文处理方法，其特征在于，若所述地址解析协议文为地址解析协议响应^艮文，并且在所述地址解析协议表中查询到所述地址解析协议响应报文对应的表项，所述表项中的上报参数为不允许上报，则

对所述地址解析协议响应文进行限速处理，并将限速后的地址解析协议响应报文上报至控制平面处理器；或

丟弃所述地址解析协议响应 ^艮文。

4、根据权利要求 1至 3任一项所述的地址解析协议报文处理方法，其特征在于，若所述地址解析协议报文为地址解析协议请求报文，则

根据所述地址解析协议请求报文的端口号，虚拟局域网标识以及目的互联网协议地址查询所述地址解析协议表。

5、根据权利要求 1至 3任一项所述的地址解析协议报文处理方法，其特征在于，所述对地址解析协议请求报文进行回应之前包括：

如果所述地址解析协议请求报文对应的表项不是网关地址解析协议表项或代理地址解析协议表项，则丟弃所述地址解析协议请求报文。

6、根据权利要求 1至 3任一项所述的地址解析协议报文处理方法，其特征在于，若所述地址解析协议 ^艮文为地址解析协议响应文，则根据所述地址解析协议响应 4艮文的源互联网协议地址查询所述地址解析协议表。

7、根据权利要求 1至 3任一项所述的地址解析协议报文处理方法，其特征在于，所述方法还包括：

所述上报地址解析协议响应报文后 ,将所述地址解析协议表中所述地址解析协议响应报文对应的表项中的上报参数修改为不允许上报。

8、一种通讯系统，其特征在于，包括：

转发平面处理器，用于接收地址解析协议报文，判断所述地址解析协议报文的类型；在所述地址解析协议文为地址解析协议请求"¾文，并且在本地配置的地址解析协议表中查询到所述地址解析协议请求报文对应的表项时 ,对所述地址解析协议请求 ^艮文进行回应；

在所述地址解析协议 ^艮文为地址解析协议响应 ^艮文，并且在本地配置的地址解析协议表中查询到所述地址解析协议响应^艮文对应的表项 ,并且所述表项中的上报参数为允许上报时，上报所述地址解析协议响应报文，若在所述地址解析协议表中未查询到所述地址解析协议响应^艮文对应的表项时 ,丟弃所述地址解析协议响应>¾文；

控制平面处理器，用于接收所述转发平面处理器上报的地址解析协议请求才艮文或地址解析协议响应 4艮文。

9、一种转发平面处理器，其特征在于，包括：

判断单元，用于判断接收到的地址解析协议报文的类型；

第一查询单元，用于在所述判断单元判断所述地址解析协议报文为地址解析协议请求 ^艮文时查询本地配置的地址解析协议表；

回应处理单元，用于在所述第一查询单元查询到所述地址解析协议请求才艮文对应的表项时，对所述地址解析协议请求报文进行回应；第二查询单元，用于在所述判断单元判断所述地址解析协议报文为地址解析协议响应 ^艮文时查询本地配置的地址解析协议表；

丟弃处理单元，用于在所述第二查询单元未查询到所述地址解析协议响应报文对应的表项时，丟弃所述地址解析协议响应报文。

10、根据权利要求 9所述的转发平面处理器，其特征在于，所述转发平面处理器还包括：

限速单元，用于对地址解析协议报文进行限速后上报至控制平面处理器；接口判断单元，用于在所述第一查询单元在所述地址解析协议表中未查询到接收到的地址解析协议请求报文对应的表项时，判断接收所述地址解析协议请求报文的接口是否使能代理地址解析协议功能，若使能，则通知所述限速单元对所述地址解析协议请求报文进行限速上报；若未使能，则通知所述丟弃处理单元丟弃所述地址解析协议请求 4艮文。

11、根据权利要求 9或 10所述的转发平面处理器，其特征在于，所述转发平面处理器还包括：

校验单元，用于当在所述地址解析协议表中查询到所述地址解析协议响应报文对应的表项时，判断所述表项中的上报参数是否为允许上报；

上报单元，用于当所述表项中的上报参数为允许上报时，上报所述地址解析协议响应 4艮文。