WO2012088934A1

WO2012088934A1 - 一种报文过滤方法和交换设备

Info

Publication number: WO2012088934A1
Application number: PCT/CN2011/080133
Authority: WO
Inventors: 刘书岩; 丁崇
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-12-27
Filing date: 2011-09-23
Publication date: 2012-07-05
Also published as: CN102025641A; CN102025641B

Abstract

本发明公开了一种报文过滤方法和交换设备，其中该方法包括：交换设备根据用户发送的请求报文生成临时访问控制列表ACL策略；交换设备向用户转发服务器发送的NS报文；交换设备判断用户发送的响应于NS报文的NA报文是否与临时ACL策略匹配；若匹配，则交换设备进行用户和服务器之间的报文转发，并删除临时ACL策略。本发明解决了相关技术中过滤报文时产生的浪费ACL资源的问题。

Description

一种报文过滤方法和交换设备技术领域本发明涉及网络安全技术领域，具体而言，涉及一种报文过滤方法和交换设备。背景技术互联网协议第 6版（Internet Protocol version 6，简称为 IPv6) Source Guard (IPv6 源保护）是一种基于 IPv6地址和媒体接入控制（Media Access Control, 简称为 MAC) 地址的端口流量过滤技术，它可以防止局域网内的 IPv6地址欺骗攻击。交换机内部有一个 IPv6 源地址绑定表作为每个端口接收到的数据包的检测标准。只有在两种情况下，交换机会转发数据——或者所接收到的 IPv6包满足 IPv6源地址绑定表中 PORT (端口） /IPv6/MAC的对应关系，或者是接收到的是 DHCPv6数据包，其余数据包将被交换机做丢弃处理。当动态主机设置协议第 6版窥探（Dynamic Host Configuration Protocol version 6 Snooping, 简称为 DHCPv6 SNOOPING) 在一个非信任口启用的时候，启用它上面的 IPv6 source guard,交换机将阻止非信任口上收到的所有互联网协议 ( Internet Protocol, 简称为 IP ) 流量。用户上线后，这个端口上将基于 DHCPv6 SNOOPING绑定数据库生成一条端口访问控制列表，这条访问控制列表仅允许在访问控制列表（Access Control Lists, 简称为 ACL) 策略中存在的源地址的 IP流量，并阻止其他的流量。当前的 IPv6 源地址绑定表一般都是基于 DHCPv6 SNOOPING绑定表。 DHCPv6 SNOOPING 是一个基于 DHCPv6 的功能。它通过监听 DHCPv6 用户同 DHCPv6 SERVER (服务器）的报文交互来生成绑定表，并使用绑定表对接入用户进行控制。在一个典型的 DHCPv6交互过程中，参见图 1，根据相关技术的 IPv6 Source Guard的通用解决方案流程，包括如下三个部件，用户 102、交换设备 104以及服务器 106，以上三个部件执行如下步骤 S102至 S114。步骤 S102，在交换设备上开启 DHCPv6 SNOOPING功能，在用户直连的交换设备端口开启 IPv6 Source Guard功能，在开启 IPv6 Source Guard功能时，下载 ACL策略。步骤 S104, 当交换设备收到 DHCPv6用户会向服务器发送的一个 Solicit报文（请求报文），该报文被设备中的 DHCPv6 SNOOPING模块监听到后进行处理，并转发给服务器。步骤 S106，服务器收到此报文后，封装响应报文 Advertise (通知报文），在封装此报文时需要填充二层头，此时服务器先在自己的缓存中查找用户的二层头地址，如果没有找到，则向用户发送一个邻居请求 NS (Neighbor Solicitation) 报文。步骤 S108，用户收到 NS报文后，发送一个 NA (Neighbor Advertisement) 报文通告服务器自己的二层地址。步骤 S110, 服务器依据此 NA报文更新缓冲信息，并填充报文 Advertise的二层头，然后发给交换设备，设备上的 DHCPv6 SNOOPING处理后转发给用户。步骤 S112,用户处理完 Advertise报文后，向服务器发送 Request报文（请求报文）以请求地址。步骤 S114,服务器回复 Reply (响应报文）确认对地址的分配；交互完成后， DHCPv6

SNOOPING模块将生成绑定表，下 ACL策略，转发给用户。可见，在启用 IPv6 Source Guard到时候就下了一条 ACL策略以便在正常 DHCPv6 报文交换的过程中， DHCPv6服务器期待的响应报文 NA报文可以通过。从图 1中的步骤可以看出，每个端口都多占用了一条 ACL策略并且用户在没有通过 DHCPv6服务器获得 IP地址时也可以访问本地网络。在开启 IPv6 Source Guard的场景下，当用户和服务器交互到步骤 S106-步骤 S110 并且服务器没有在缓存中查找的用户的二层头地址时，会向用户发送 NS 以询问其二层地址。由于此时用户没有上线，在过滤表中不存在用户的信息，因此任何报文都将被过滤，包括用户的响应报文 NA。服务器收不到 NA报文，就无法填充二层头，导致不能发出 Advertise报文，正常的 DHCPv6交互过程不能完成。相关技术中，一般都是通过在启用 Ipv6 Source Guard的时候下 ACL策略来解决。大致有三种方法。第一种是在启用 Ipv6 Source Guard的时候，下一条 ACL策略，只要 IPv6源地址是 FE80开头的报文都让它通过 (注: FE80开头的地址是本地链路地址）；第二种方法是使用 ACL 非自定义模式，由于非自定义模式能匹配的报文的长度有限制，因此只能下一条让 ICMPv6报文通过的策略；第三种是使用自定义的 ACL模式，可以匹配到较长的位置，下一条让 NS和 NA通过的报文。这三种方法都有缺陷：第一种方法下，使用本地链路地址作为源地址的用户协议报文和数据报文仍然可以访问本地网络，并没有起到过滤的作用；第二种方法，过滤了源地址是本地链路地址的数据报文，但是使得 Ping报文也可以通过；第三种方法只让 NS和 NA通过，但是使用了一条宝贵的自定义模式下的 ACL资源，而自定义模式下的 ACL资源数量和非自定义模式相比非常有限。发明内容针对相关技术中过滤报文时产生的浪费 ACL资源的问题，本发明提供了一种报文过滤方法和交换设备。根据本发明的一个方面，提供了一种报文过滤方法，包括如下步骤：交换设备根据用户发送的请求报文生成临时访问控制列表 ACL策略；交换设备向用户转发服务器发送的邻居请求 NS报文；交换设备判断用户发送的响应于邻居请求 NS报文的邻居通知 NA报文是否与临时 ACL策略匹配；若匹配，则交换设备进行用户和服务器之间的报文转发，并删除临时 ACL策略。优选地，交换设备根据用户发送的请求报文生成临时 ACL策略的步骤包括：从请求报文中获取用户的源二层地址和源三层地址；根据所获取的源二层地址和源三层地址生成临时 ACL策略。优选地，根据所获取的源二层地址和源三层地址生成临时 ACL策略的步骤包括：获取用户的源二层的 MAC地址和源三层的 IPv6地址，并将 MAC地址和 IPv6地址组合为临时 ACL策略。优选地，交换设备判断 NA报文是否与临时 ACL策略匹配的步骤包括：判断 NA 报文中的 MAC地址和 IPv6地址是否与临时 ACL策略中的 MAC地址和 IPv6地址相同，若相同，则判断出 NA报文与临时 ACL策略匹配；否则，判断出 NA报文与临时 ACL策略不匹配。优选地，在交换设备根据用户发送的请求报文生成临时 ACL策略时，报文过滤方法还包括：将当前使用的 ACL策略更新为临时 ACL策略，并启用临时 ACL策略定时器。优选地，删除临时 ACL策略的步骤包括：若临时 ACL策略定时器超时，则删除临时 ACL策略。优选地，在交换设备进行用户和服务器之间的报文转发之后，报文过滤方法还包括：交换设备生成用户数据绑定表，其中，用户数据绑定表用于在用户获得 IPv6地址之后，允许用户访问服务器。根据本发明的另一方面，提供了一种交换设备，包括：生成单元，设置为根据用户发送的请求报文生成临时 ACL策略；转发单元，设置为向用户转发服务器发送的 NS报文；判断单元，设置为判断用户发送的响应于 NS报文的 NA报文是否与临时 ACL策略匹配；处理单元，设置为在判断单元判断出用户发送的响应于 NS报文的 NA 报文与临时 ACL策略匹配时，进行用户和服务器之间的报文转发，并删除临时 ACL 策略。优选地，生成单元包括：获取模块，设置为从请求报文中获取用户的源二层地址和源三层地址；生成模块，设置为根据所获取的源二层地址和源三层地址生成临时 ACL策略。优选地，获取模块包括：获取子模块，设置为获取用户的源二层的 MAC地址和源三层的 IPv6地址；生成模块包括：生成子模块，设置为将 MAC地址和 IPv6地址组合为临时 ACL策略。通过本发明，采用一个生成临时 ACL策略和删除 ACL策略的机制，解决了相关技术中过滤报文时产生的浪费 ACL资源的问题，进而达到了在减少对 ACL资源浪费的前提下，又实现了 IPv6 Source Guard的基本功能，保障了网络的安全性的效果。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1是根据相关技术的 IPv6 Source Guard的通用解决方案流程图；图 2是根据本发明实施例的报文过滤方法的一种优选流程图；图 3是根据本发明实施例的交换设备的一种优选结构框图；图 4是根据本发明实施例的报文过滤方法的网络结构示意图；图 5是根据本发明实施例的报文过滤方法的另一种优选流程图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。实施例 1 图 2是根据本发明实施例的报文过滤方法的一种优选流程图，包括如下步骤：步骤 S202, 交换设备根据用户发送的请求报文生成临时 ACL策略；步骤 S204, 交换设备向用户转发服务器发送的 NS报文；步骤 S206, 交换设备判断用户发送的响应于 NS报文的 NA报文是否与临时 ACL 策略匹配；步骤 S208, 若匹配，则交换设备进行用户和服务器之间的报文转发，并删除临时 ACL策略。优选的，交换设备在报文转发的交互完成或超时的情况下删除临时 ACL 策略。在本优选实施例中，采用一个生成临时 ACL策略和删除 ACL策略的机制，解决了相关技术中过滤报文时产生的浪费 ACL资源的问题，进而达到了在减少对 ACL资源浪费的前提下，又实现了 IPv6 Source Guard的基本功能，保障了网络的安全性的效果。优选地，交换设备根据用户发送的请求报文生成临时 ACL策略的步骤包括：从请求报文中获取用户的源二层地址和源三层地址；根据所获取的源二层地址和源三层地址生成临时 ACL策略。在本优选实施例中，说明了如何生成临时 ACL策略，从而保证了减少对 ACL资源的浪费。优选地，根据所获取的源二层地址和源三层地址生成临时 ACL策略的步骤包括：获取用户的源二层的 MAC地址和源三层的 IPv6地址，并将 MAC地址和 IPv6地址组合为临时 ACL策略。在本优选实施例中，进一步说明了如何生成临时 ACL策略，从而保证了减少对 ACL资源的浪费。优选地，交换设备判断 NA报文是否与临时 ACL策略匹配的步骤包括：判断 NA 报文中的 MAC地址和 IPv6地址是否与临时 ACL策略中的 MAC地址和 IPv6地址相同，若相同，则判断出所述 NA报文与所述临时 ACL策略匹配；否则，判断出所述 NA报文与所述临时 ACL策略不匹配。在本优选实施例中，进一步说明了如何匹配临时 ACL策略，保证实现了 IPv6 Source Guard的基本功能，保障了网络的安全性。优选地，在交换设备根据用户发送的请求报文生成临时 ACL策略时，根据本发明实施例的报文过滤方法还包括：将当前使用的 ACL策略更新为临时 ACL策略，并启用临时 ACL策略定时器。在本优选实施例中，保证临时 ACL策略得以被删除，进一步保证了减少对 ACL策略的浪费。优选地，删除临时 ACL策略的步骤包括：若临时 ACL策略定时器超时，则删除临时 ACL策略。在本优选实施例中，进一步保证临时 ACL策略得以被删除，进一步保证了减少对 ACL策略的浪费。优选地，在交换设备进行用户和服务器之间的报文转发之后，根据本发明实施例的报文过滤方法还包括：交换设备生成用户数据绑定表，其中，该用户数据绑定表用于在用户获得 IPv6地址之后，允许用户访问服务器。在本优选实施例中，进一步保证实现了 IPv6 Source Guard的基本功能，保障了网络的安全性。实施例 2 图 3是根据本发明实施例的交换设备的一种优选结构框图，包括：生成单元 302，设置为根据用户发送的请求报文生成临时 ACL策略；转发单元 304，设置为向所述用户转发服务器发送的 NS报文；判断单元 306，设置为判断所述用户发送的响应于所述 NS报文的 NA报文是否与所述临时 ACL策略匹配；处理单元 308，设置为在所述判断单元 306判断出所述用户发送的响应于所述 NS报文的 NA报文与所述临时 ACL策略匹配时，进行所述用户和所述服务器之间的报文转发，并删除所述临时 ACL策略。在本优选实施例中，采用一个生成临时 ACL策略和删除 ACL策略的机制，解决了相关技术中过滤报文时产生的浪费 ACL资源的问题，进而达到了在减少对 ACL资源浪费的前提下，又实现了 IPv6 Source Guard的基本功能，保障了网络的安全性的效果。优选地，生成单元 302包括获取模块，设置为从请求报文中获取用户的源二层地址和源三层地址；生成模块，设置为根据所获取的源二层地址和源三层地址生成临时 ACL策略在本优选实施例中，说明了如何生成临时 ACL策略，从而保证了减少对 ACL 资源的浪费。优选地，获取模块包括：获取子模块，设置为获取用户的源二层的 MAC地址和源三层的 IPv6地址；生成模块包括：生成子模块，设置为将 MAC地址和 IPv6地址组合为临时 ACL策略。在本优选实施例中，进一步说明了如何生成临时 ACL策略，从而保证了减少对 ACL资源的浪费。优选地，判断单元 306包括：判断模块，设置为判断 NA报文中的 MAC地址和 IPv6地址是否与临时 ACL策略中的 MAC地址和 IPv6地址相同，若相同，则判断出 NA报文与临时 ACL策略匹配；否则，判断出 NA报文与临时 ACL策略不匹配。在本优选实施例中，进一步说明了如何匹配临时 ACL策略，保证实现了 IPv6 Source Guard 的基本功能，保障了网络的安全性。优选地，生成单元 302还包括：更新模块，设置为在交换设备根据用户发送的请求报文生成临时 ACL策略时，将当前使用的 ACL策略更新为临时 ACL策略；启用模块，设置为启用临时 ACL策略定时器。在本优选实施例中，保证临时 ACL策略得以被删除，进一步保证了减少对 ACL策略的浪费。优选的，处理单元 308包括：删除模块，设置为若临时 ACL策略定时器超时，删除临时 ACL策略。在本优选实施例中，进一步保证临时 ACL策略得以被删除，进一步保证了减少对 ACL策略的浪费。优选地，处理单元 308还包括用户绑定表生成模块，设置为在交换设备进行用户和服务器之间的报文转发之后，生成用户数据绑定表，该用户数据绑定表用于在用户获得 IPv6地址之后，允许用户访问服务器。在本优选实施例中，进一步保证实现了 IPv6 Source Guard的基本功能，保障了网络的安全性。实施例 3 本实施例中，实现 IPv6 Source Guard并且节约 ACL资源的方法采用如下方案：

1 ) 临时 ACL策略。在 DHCPv6 SNOOPING模块收到 DHCPv6交互报文的第一个请求报文时，从报文中解析出二层源地址和三层源 IP地址（本地链路地址）。这两个地址作为临时 ACL策略的基本数据。

2) 提前更新 ACL策略的机制。在 DHCPv6 SNOOPING模块从 DHCPv6交互报文的第一个请求报文中提取出临时 ACL策略后就更新 ACL策略，不必等到用户上线后更新正式策略。 3 ) 临时 ACL策略状态定时器。在把临时 ACL策略下到非自定义模式 ACL中后启动状态定时器。

4) 临时 ACL策略删除机制。在定时器期限内，若没有完成正常的交互过程，则删除此临时 ACL策略；在用户成功完成 DHCPv6报文交互，正常上线后删除此临时 ACL策略。图 4是根据本发明实施例的报文过滤方法的网络结构示意图，如图 4所示的网络，包括： DHCPv6服务器 401、支持 DHCPv6 SNOOPING和 IPv6 Source Gard的交换设备 402、终端用户 403和 404。其中， DHCPv6服务器 401和交换设备 402直连，终端用户 403和 404也和交换机直连。交换设备 402开启 DHCPv6 SNOOPING功能，同时在交换设备 402同终端用户 403和 404直连的端口开启 IPv6 Source Guard功能。需要说明的是，此图仅是一个 DHCPv6 SNOOPING和 IPv6 Source Guard的典型应用场景，本发明不局限于此场景。图 5是基于图 4的网络结构报文过滤方法的另一种优选流程图，包括如下三个部件：用户 403、交换设备 402和服务器 401，以上三个部件之间执行如下步骤 S502至 S514。步骤 S502, 在交换设备 402上开启 DHCPv6 SNOOPING功能，在用户 403直连的交换设备 402端口开启 IPv6 Source Guard功能，在开启 IPv6 Source Guard功能时，不需要多下表项，只需下一条 Deny Any的策略。步骤 S504,当交换设备 402收到 DHCPv6用户 403的第一个请求报文时， DHCPv6

SNOOPING 模块从该请求报文中解析出用户 403 的源二层地址和源三层地址， DHCPv6 SNOOPING模块依据解析出的用户 403的源二层地址和源三层地址生成临时 ACL策略，下 ACL，启用临时 ACL策略定时器， DHCPv6 SNOOPING模块转发此请求报文。步骤 S506, 交换设备 402收到服务器 401的请求用户 403二层地址的邻居请求

NS报文，并转发此报文。步骤 S508,交换设备 402收到用户 403响应服务器 401NS的报文 NA邻居通知报文后，发现在过滤表中已经存在一条临时 ACL策略和此 NA报文匹配，那么透传此报文 NA。步骤 S510， DHCPv6服务器 401依据 NA报文更新本地缓存，封装 Adertise报文的二层头，发给用户 403， DHCPv6 SNOOPING模块收到 DHCPv6响应报文 Advertise 后进行处理并转发给 DHCPv6用户 403。步骤 S512， DHCPv6 SNOOPING模块收到 DHCPv6用户 403的请求报文 Request 后，转发给服务器 401。步骤 S514，DHCPv6 SNOOPING模块收到 DHCPv6响应报文 Reply后，解析 Reply 报文中的信息，生成用户数据绑定表，删除临时 ACL策略，下用户过滤策略到 ACL，若在交互过程中，临时 ACL策略定时器超时，则删除临时 ACL策略。从以上的描述中，可以看出，本发明实现了如下技术效果：通过本发明，采用一个生成临时 ACL策略以及提前更新 ACL策略和删除 ACL策略的机制，解决了现有技术网络安全性低和浪费 ACL资源的问题，进而达到了既实现了 IPv6 Source Guard的基本功能，又保障了网络的安全性，并且减少了对资源的占用的效果。具体体现在：（ 1 )用户在没通过 DHCPv6获得 IP地址之前不能访问网络，包括本地网络和全球网络。从而保证了网络的安全性。（2)能够减少对 ACL资源的占用，降低设备的硬件成本，节约了极其有限的 ACL资源。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种报文过滤方法，包括如下步骤：

交换设备根据用户发送的请求报文生成临时访问控制列表 ACL策略；所述交换设备向所述用户转发服务器发送的邻居请求 NS报文；所述交换设备判断所述用户发送的响应于所述邻居请求 NS报文的邻居通知 NA报文是否与所述临时 ACL策略匹配；

若匹配，则所述交换设备进行所述用户和所述服务器之间的报文转发，并删除所述临时 ACL策略。

2. 根据权利要求 1所述的方法，其中，所述交换设备根据用户发送的请求报文生成临时 ACL策略的步骤包括：

从所述请求报文中获取所述用户的源二层地址和源三层地址；根据所获取的源二层地址和源三层地址生成所述临时 ACL策略。

3. 根据权利要求 2所述的方法，其中，根据所获取的源二层地址和源三层地址生成所述临时 ACL策略的步骤包括：

获取所述用户的源二层的媒体访问控制 MAC地址和源三层的互联网协议第 6版 IPv6地址，并将所述 MAC地址和所述 IPv6地址组合为所述临时 ACL 策略。

4. 根据权利要求 1至 3中任一项所述的方法，其中，所述交换设备判断所述 NA 报文是否与所述临时 ACL策略匹配的步骤包括：

判断所述 NA报文中的 MAC地址和 IPv6地址是否与所述临时 ACL策略中的 MAC地址和 IPv6地址相同，若相同，则判断出所述 NA报文与所述临时 ACL策略匹配；否则，判断出所述 NA报文与所述临时 ACL策略不匹配。

5. 根据权利要求 1所述的方法，其中，在交换设备根据用户发送的请求报文生成临时 ACL策略时，所述方法还包括：

将当前使用的 ACL策略更新为所述临时 ACL策略，并启用临时 ACL策略定时器。

6. 根据权利要求 5所述的方法，其中，删除所述临时 ACL策略的步骤包括：若所述临时 ACL策略定时器超时，则删除所述临时 ACL策略。

7. 根据权利要求 1所述的方法，其中，在所述交换设备进行所述用户和所述服务器之间的报文转发之后，所述方法还包括：

所述交换设备生成用户数据绑定表，其中，所述用户数据绑定表用于在所述用户获得 IPv6地址之后，允许所述用户访问所述服务器。

8. 一种交换设备，包括：

生成单元，设置为根据用户发送的请求报文生成临时访问控制列表 ACL 策略；

转发单元，设置为向所述用户转发服务器发送的邻居请求 NS报文；判断单元，设置为判断所述用户发送的响应于所述 NS报文的邻居通知 NA 报文是否与所述临时 ACL策略匹配；

处理单元，设置为在所述判断单元判断出所述用户发送的响应于所述 NS 报文的 NA报文与所述临时 ACL策略匹配时，进行所述用户和所述服务器之间的报文转发，并删除所述临时 ACL策略。

9. 根据权利要求 8所述的交换设备，其中，所述生成单元包括：获取模块，设置为从所述请求报文中获取所述用户的源二层地址和源三层地址；

生成模块，设置为根据所获取的源二层地址和源三层地址生成所述临时 ACL策略。

10. 根据权利要求 9所述的交换设备，其中，所述获取模块包括：获取子模块，设置为获取所述用户的源二层的媒体访问控制 MAC地址和源三层的互联网协议第 6版 IPv6地址；所述生成模块包括：生成子模块，设置为将所述 MAC地址和所述 IPv6地址组合为所述临时 ACL策略。