WO2014117360A1

WO2014117360A1 - Trill网络中处理报文的方法和装置

Info

Publication number: WO2014117360A1
Application number: PCT/CN2013/071194
Authority: WO
Inventors: 刘树名; 谢莹
Original assignee: 华为技术有限公司
Priority date: 2013-01-31
Filing date: 2013-01-31
Publication date: 2014-08-07
Also published as: CN104137492B; CN104137492A; EP2940944B1; US20150334124A1; US9800591B2; EP2940944A1; EP2940944A4

Abstract

本发明提供一种TRILL网络中处理报文的方法，涉及通信领域，能够有效防御网络报文攻击。所述方法包括：接收网络中的设备发送的报文；若确定所述设备为受信任的RB,则放弃对来自于所述设备的所述报文进行安全检查；若确定所述设备不为受信任的RB，则对来自于所述设备的所述报文进行安全检查。本发明还提供相应的装置。

Description

TRILL网络中处理报文的方法和装置

技术领域本发明涉及通信领域，尤其涉及多链接透明互联（英文： Transparent Interconnect of Lots of Links , 缩写： TRILL)网络中处理才艮文的方法和装置。背景技术

多链接透明互联 (英文： Transparent Interconnect of Lots of Links , 缩写： TRILL)网络中的交换机同时具备二层转发功能和三层路由功能，通常称为路由桥（英文： Routing Bridge , 缩写： RBridge或 RB)。 TRILL 运行在数据链路层（英文： data link layer ) , 即开放式系统互联（英文： Open System Interconnection , 缩写： OSI )模型中的第二层，将链路状态路由（英文： link-state routing ) 用在数据链路层。

一种通常的防御报文攻击的方式为动态主机配置协议窥探（英文： Dynamic Host Configuration Protocol snooping , 缩写： DHCP snooping)。执行 DHCP snooping的网络设备将网络设备上的一些物理端口预先设置为用于网络侧流量的传输，将另一些物理端口预先设置为用于用户侧的流量的传输。执行 DHCP snooping的网络设备在进行安全检查时，对来自于网络侧的流量不进行安全检查，对来自于用户侧的流量进行安全检查，只允许来自 DHCP snooping 绑定表中的网际协议（英文： Internet Protocol , 缩写： IP ) 地址的 ^艮文通过。由于网络侧的流量和用户侧的流量是用不同的物理端口进行传输的，而进行攻击的报文一般来自于用户侧的流量，因而，釆用此种对用户侧的流量进行安全检查的方式能够一定程度地防御攻击。

但是， TRILL 网络的拓朴结构可以为环形或网状，在拓朴结构为环形或网状的 TRILL网络中，网络设备上的某个物理端口可能既接收到用户侧的流量也接收到网络侧的流量。这种情况下，该网络设备无法基于物理端口对用户侧的流量和网络侧的流量进行区分，因而，无法有效 4氐御攻击。发明内容

本发明提供一种 TRILL网络中处理报文的方法和装置，能够有效防御网络报文攻击，提高网络的安全性。第一方面，提供一种 TRILL网络中处理报文的方法，所述方法包括：接收网络中的设备发送的报文；

若确定所述设备为受信任的 RB ,则放弃对来自于所述设备的所述报文进行安全检查；

若确定所述设备不为受信任的 RB ,则对来自于所述设备的所述报文进行安全检查。

在第一方面的第一种实现方式中，所述确定所述设备为受信任的路由桥包括：

确定接收的所述报文是 TRILL报文并且该 TRILL报文是受信任的路由桥发出的 TRILL报文。

结合第一方面或第一方面的第一种可能实现方式，在第一方面的第二种可能实现方式中，在所述接收网络中的设备发送的报文之前，所述方法还包括：

接收动态主机配置协议应答报文，只有在确定发送所述动态主机配置协议应答报文的设备为受信任的 RB 的情况下才根据所述动态主机配置协议应答报文建立 DHCP-Snooping绑定表项。

结合第一方面的第二种可能实现方式，在第一方面的第三种可能实现方式中，所述对来自于所述设备的所述报文进行安全检查包括：

根据 DHCP-Snooping 绑定表，对来自于所述设备的所述报文进行 DHCP-Snooping,所述 DHCP-Snooping绑定表中包括所述 DHCP-Snooping 绑定表项。

结合第一方面或第一方面的第一种可能实现方式，在第四种可能的实现方式中，在所述接收网络中的设备发送的报文之前，所述方法还包括：

接收动态主机配置协议应答报文，根据所述动态主机配置协议应答报文建立动态主机配置协议窥探（DHCP-Snooping ) 绑定表项。结合第一方面的第四种可能的实现方式，在第五种可能的实现方式中，所述对来自于所述设备的所述报文进行安全检查包括：

第二方面，提供一种 TRILL网络中处理报文的装置，所述装置包括: 接收单元，用于接收网络中的设备发送的报文；安全检查单元，用于若确定所述设备为受信任的 RB , 则放弃对来自于所述设备的所述报文进行安全检查；若确定所述设备不为受信任的 RB , 则对来自于所述设备的所述报文进行安全检查。

在第二方面的第一种实现方式中，所述装置还包括确定单元，所述确定单元用于：确定接收的所述报文是 TRILL 报文并且该 TRILL报文是受信任的路由桥发出的 TRILL报文。

结合第二方面或第二方面的第一种可能实现方式，在第二方面的第二种可能实现方式中，所述装置还包括：绑定表项建立单元，

所述接收单元，用于接收动态主机配置协议应答报文；

所述绑定表项建立单元，用于只有在确定发送所述动态主机配置协议应答报文的设备为受信任的 RB 的情况下才根据所述接收单元接收的动态主机配置协议应答^艮文建立 DHCP-Snooping绑定表项。

结合第二方面的第二种可能实现方式，在第二方面的第三种可能实现方式中，所述安全检查单元具体用于：根据 DHCP-Snooping绑定表，对来自于所述设备的所述报文进行 DHCP-Snooping,所述 DHCP-Snooping 绑定表中包括所述 DHCP-Snooping绑定表项。

结合第二方面或第二方面的第一种可能实现方式，在第四种可能的实现方式中，所述装置还包括绑定表项建立单元，

所述接收单元，用于接收动态主机配置协议应答报文；

所述绑定表项建立单元，用于根据所述接收单元接收的动态主机配置协议应答报文建立动态主机配置协议窥探（ DHCP-Snooping )绑定表项。

结合第二方面的第四种可能的实现方式，在第五种可能的实现方式中，所述安全检查单元具体用于：根据 DHCP-Snooping 绑定表，对来自于所述设备的所述报文进行 DHCP-Snooping,所述 DHCP-Snooping绑定表中包括所述 DHCP-Snooping 绑定表项。

第三方面，提供一种 RB , 所述 RB包括处理器，通信接口，存储器和总线；

其中，处理器、通信接口、存储器通过总线完成相互间的通信；所述通信接口，用于与外部设备通信；所述存储器，用于存放程序；

所述处理器，用于执行所述程序；所述处理器，用于读取所述存储器中的程序，执行：接收网络中的设备发送的报文；若确定所述设备为受信任的 RB , 则放弃对来自于所述设备的所述报文进行安全检查；若确定所述设备不为受信任的 RB , 则对来自于所述设备的所述报文进行安全检查。

在第三方面的第一种实现方式中，所述处理器还用于执行：确定接收的所述报文是 TRILL报文并且该 TRILL报文是受信任的路由桥发出的 TRILL报文。

结合第三方面或第三方面的第一种可能实现方式，在第三方面的第二种可能实现方式中，所述处理器还用于执行：在接收网络中的设备发送的报文之前，接收动态主机配置协议应答报文，只有在确定发送所述动态主机配置协议应答报文的设备为受信任的 RB 的情况下才根据所述动态主机配置协议应答^艮文建立 DHCP-Snooping绑定表项。

结合第三方面的第二种可能实现方式，在第三方面的第三种可能实现方式中，所述处理器还用于执行：根据 DHCP-Snooping绑定表，对来自于所述设备的所述 4艮文进行 DHCP-Snooping, 所述 DHCP-Snooping绑定表中包括所述 DHCP-Snooping绑定表项。

结合第三方面或第三方面的第一种可能实现方式，在第四种可能的实现方式中，所述处理器还用于执行：在接收网络中的设备发送的报文之前，接收动态主机配置协议应答报文，根据所述动态主机配置协议应答报文建立动态主机配置协议窥探（DHCP-Snooping ) 绑定表项。

结合第三方面的第四种可能的实现方式，在第五种可能的实现方式中，所述处理器用于执行：根据 DHCP-Snooping绑定表，对来自于所述设备的所述报文进行 DHCP-Snooping , 所述 DHCP-Snooping绑定表中包括所述 DHCP-Snooping绑定表项。

釆用上述技术方案后，本发明提供的 TRILL网络中处理报文的方法和装置，不基于物理端口来进行安全检查，而是基于 RB来确定是否进行安全检查。当报文是来自受信任的 RB时，不对来自该受信任的 RB的报文进行安全检查，当报文不是来自受信任的 RB时，对报文进行安全检查。如此一来，由于受信任的 RB是由用户预先配置的，因而，能够最大限度地确保报文安全，有效防御网络报文攻击，提高网络的安全性。

附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图 1为本发明实施例提供的一种 TRILL网络中处理报文的方法的流程图；

图 2A为本发明实施例提供的 TRILL网络中处理报文的装置的一结构框图；

图 2B为本发明实施例提供的 TRILL网络中处理报文的装置的另一结构框图；图 2C为本发明实施例提供的 TRILL网络中处理报文的装置的另一结构框图；图 2D为本发明实施例提供的 TRILL网络中处理报文的装置的另一结构框图；图 3为本发明实施例提供的 RB的示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例提供一种 TRILL 网络中处理报文的方法，可应用于 TRILL网络中的边缘 RB。在本发明实施例中， "边缘 RB" 是指设置在 TRILL 网络的边缘处的 RB , 换言之，边缘 RB是 TRILL 网络中的，与 TRILL网络外的其他网络，例如以太网，相邻的 RB。边缘 RB通过其他网络，例如以太网，连接到终端设备和网络侧设备，并且通过 TRILL网络连接到 TRILL网络中的 RB。其中，终端设备发送的 4艮文属于用户侧的流量，网络侧设备发送的报文属于网络侧的流量。本发明实施例通过在 TRILL网络中利用 DHCP snooping技术，并且用 RB的设置来代替传统 DHCP snooping中物理端口的设置，可以有效防御网络报文攻击，提高网络的安全性。

为更好地理解本发明，下面对本发明实施例中应用于 TRILL网络中的 DHCP snooping进行简要说明。配置阶段：

执行安全检查的边缘 RB开启 DHCP snooping功能，即该边缘 RB 执行 DHCP snooping, TRILL网络中的部分边缘 RB在该执行安全检查的边缘 RB中被预先配置为受信任的 RB , 其中，受信任的 RB可由用户根据组网情况指定。例如，把 TRILL 网络中只连接网络侧设备的边缘 RB 配置为受信任的 RB。又例如，在边缘 RB连接的终端设备由可信任的用户操作的情况下，把 TRILL网络中只连接网络侧设备的边缘 RB配置为受信任的 RB ,把 TRILL网络中连接的所有终端设备都是由可信任的用户操作的终端设备的边缘 RB配置为受信任的 RB。在本发明实施例中，边缘 RB接收的来自于受信任的 RB的流量不进行安全检查，换言之， "受信任的 RB" 为那些发送给边缘 RB的流量不需要被安全检查的 RB。交互阶段： 1、 DHCP客户端广播 DHCP发现（英文： discover)报文；

2、边缘 RB接收到所述 DHCP发现报文后广播所述 DHCP发现报文；

3、 DHCP服务器接收到所述 DHCP发现报文之后，发送 DHCP提供 (英文： offer)报文；

4、所述边缘 RB将所述 DHCP提供文转发给所述 DHCP客户端；

5、 DHCP客户端发送 DHCP请求（英文： request)报文；

6、边缘 RB将所述 DHCP请求报文转发给 DHCP服务器；

7、 DHCP服务器接收到所述 DHCP请求报文之后，发送 DHCP应答 (英文： acknowledgement)才艮文；

8、所述边缘 RB根据 DHCP应答报文中的你的 IP地址（英文： your IP address , 缩写： yiaddr ) 字段建立 DHCP-Snooping绑定表项，将所述 DHCP应答报文转发给所述 DHCP客户端。 DHCP-Snooping绑定表项为 DHCP-Snooping绑定表中的表项。

经过上述过程，边缘 RB即可建立 DHCP-Snooping绑定表项，所述 DHCP-Snooping绑定表项中包含 DHCP服务器分配给 DHCP客户端的 IP 地址等内容，进而，边缘 RB在确定报文不是来自受信任的 RB时，即可根据 DHCP-Snooping 绑定表项，对所述报文进行安全检查。如此，可有效防御网络报文攻击，提高网络的安全性。

图 1为本发明实施例提供的一种 TRILL网络中处理报文的方法的流程图。参照图 1 , 本发明实施例提供一种 TRILL网络中处理报文的方法，所述方法基于边缘 RB而描述，包括：

11、接收网络中的设备发送的报文。本发明实施例中的 "网络" 不作限定，可以是 TRILL网络，也可以是以太网等。

其中，所述网络中的设备可以为边缘 RB 所相邻连接的以太网中的终端设备，例如个人计算机、平板电脑、移动电话、 IP 电话、网络打印机、个人数码助理（英文： personal digital assistant, 缩写： PDA ) , 移动互联网设备（英文： mobile Internet device , 缩写： MID ) 和电子书阅读器（英文： e-book reader ) 等，也可以为 TRILL网络中的 RB。

12、若确定所述设备为受信任的 RB , 则放弃对来自于所述设备的所述报文进行安全检查。对才艮文进行安全检查包括对 4艮文进行 DHCP snooping。

执行安全检查的边缘 RB 在接收到所述报文后，可根据接收的所述报文，确定所述设备是否为受信任的 RB。

其中，受信任的 RB 是指其所发出的报文不需要进行安全检查的边缘 RB。

在本发明实施例中，在执行安全检查的边缘 RB 接收的所述报文是 TRILL报文，并且该 TRILL报文是受信任的 RB发出的 TRILL报文的情况下，执行安全检查的边缘 RB确定所述设备为受信任的 RB。在所述报文不是 TRILL 报文的情况下，以及在所述报文是 TRILL 报文并且该 TRILL报文不是受信任的 RB发出的 TRILL报文的情况下，执行安全检查的边缘 RB确定所述设备不为受信任的 RB。

TRILL 网络中的边缘 RB在转发来自于其他网络的 4艮文时，为该才艮文添加 TRILL头以构成 TRILL报文，所述 TRILL头中的入口 RBridge 昵称（英文： ingress RBridge nickname)为该边缘 RB的昵称。在 TRILL 报文被在 TRILL网络中传递的过程中， TRILL头中的该入口 RB昵称不会被改变。这样，执行安全检查的边缘 RB 可通过确定报文是否包括 TRILL头来确定该报文是否为 TRILL报文。执行安全检查的边缘 RB中可被预先存储受信任的 RB 的昵称，并通过确定 TRILL头中的入口 RB 昵称是否为预先存储的受信任的 RB 的昵称来确定发送该报文的设备是否为受信任的 RB。

其中，执行安全检查的边缘 RB可将所述入口 RB昵称作为查找对象，在预先存储的所述受信任的 RB的昵称中进行查找，若能够查找到所述入口 RB昵称，则确定所述设备为受信任的 RB , 否则不为受信任的 RB。

13、若确定所述设备不为受信任的 RB , 则对来自于所述设备的所述报文进行安全检查。在本发明实施例中，在步骤 11所述接收网络中的设备发送的报文之前，本发明实施例提供的 TRILL网络中处理报文的方法还可包括：预先存储受信任的 RB 的昵称。在本发明实施例中，所述预先存储的受信任的 RB可以由用户根据组网情况进行指定。在本发明实施例中，对来自于那些不为受信任的 RB 的设备的报文进行安全检查具体可以为：根据 DHCP-Snooping绑定表来对这些报文进行 DHCP-Snooping。 DHCP-Snooping绑定表中包括 DHCP-Snooping绑定表项。执行安全检查的边缘 RB根据 DHCP应答报文建立 DHCP-Snooping 绑定表项。具体的，执行安全检查的边缘 RB根据 DHCP应答报文中 yiaddr 字段建立 DHCP-Snooping绑定表项。可选的，执行安全检查的边缘 RB 在接收到 DHCP应答报文后，只有在确定发送所述 DHCP应答报文的设备为受信任的 RB的情况下才根据该 DHCP应答报文建立 DHCP-Snooping 绑定表项。执行安全检查的边缘 RB在接收到 DHCP应答报文后，在确定发送所述 DHCP应答报文的设备不为受信任的 RB 的情况下，则丟弃该 DHCP应答报文并放弃建立 DHCP-Snooping绑定表项。

其中，所述对来自于所述设备的所述文进行 DHCP-Snooping可具体包括：

若所述报文不为 TRILL报文，则对所述报文进行 DHCP-Snooping; 若所述报文为 TRILL报文，则对所述 TRILL报文承载的内层报文进行 DHCP-Snooping。可见，在本发明实施例中，执行安全检查的边缘 RB 在应用 DHCP snooping之后，会确定发送报文的设备是否为受信任的 RB , 只要所述设备不为受信任的 RB , 则对来自于所述设备的报文都进行安全检查。换句话说，若所述设备不为受信任的 RB , 则可将来自于所述设备的报文视为用户侧的报文，需要进行安全检查；若所述设备为受信任的 RB , 则可将来自于所述设备的报文视为网络侧的报文，不需要进行安全检查。本发明实施例提供的 TRILL网络中处理报文的方法，不基于物理端口来进行安全检查，而是基于 RB来确定是否进行安全检查。当报文是来自受信任的 RB时，不对来自该受信任的 RB的报文进行安全检查，当报文不是来自受信任的 RB时，一律对报文进行安全检查。如此一来，由于受信任的 RB是由用户预先配置的，因而，能够最大限度地确保报文安全，有效防御网络报文攻击，提高网络的安全性。与上述方法相对应，参照图 2A, 本发明实施例还提供一种 TRILL 网络中处理报文的装置 20 , 所述装置 20 包括接收单元 21、安全检查单元 22。其中：

接收单元 21 , 用于接收网络中的设备发送的报文；

安全检查单元 22 , 用于若确定所述设备为受信任的 RB , 则放弃对来自于所述设备的所述报文进行安全检查；若确定所述设备不为受信任的 RB , 则对来自于所述设备的所述报文进行安全检查。本发明实施例提供的 TRILL网络中处理报文的装置，不基于物理端口来进行安全检查，而是基于 RB来确定是否进行安全检查。当报文是来自受信任的 RB时，不对来自该受信任的 RB的报文进行安全检查，当报文不是来自受信任的 RB时，一律对报文进行安全检查。如此一来，由于受信任的 RB是由用户预先配置的，因而，能够最大限度地确保报文安全，有效防御网络报文攻击，提高网络的安全性。可选地，在本发明的一个实施例中，参照图 2B , 所述装置 20除了包括接收单元 21、安全检查单元 22之外，还可包括确定单元 23。其中：所述确定单元 23用于：确定接收的所述报文是 TRILL报文并且该 TRILL报文是受信任的路由桥发出的 TRILL报文。

本发明实施例提供的 TRILL 网络中处理报文的装置 20还可包括绑定表项建立单元 24。

参照图 2C , 可选地，在本发明的一个实施例中，所述接收单元 21 , 用于接收动态主机配置协议应答报文；所述绑定表项建立单元 24 , 用于只有在确定发送所述动态主机配置协议应答报文的设备为受信任的 RB 的情况下才根据所述接收单元 21接收的动态主机配置协议应答报文建立 DHCP-Snooping绑定表项。

其中，所述安全检查单元 22具体用于：根据所述绑定表项建立单元 24所建立 DHCP-Snooping绑定表，对来自于所述设备的所述报文进行 DHCP-Snooping , 所述 DHCP-Snooping 绑定表中包括所述 DHCP-Snooping绑定表项。

参照图 2D ,可选地，在本发明的另一个实施例中，所述接收单元 21 , 用于接收动态主机配置协议应答报文；绑定表项建立单元 24 , 用于根据所述接收单元 21接收的动态主机配置协议应答报文建立动态主机配置协议窥探（DHCP-Snooping ) 绑定表项。

进一步地，所述安全检查单元 22可具体用于：根据所述绑定表项建立单元 24所建立的 DHCP-Snooping绑定表，对来自于所述设备的所述报文进行 DHCP-Snooping ,所述 DHCP-Snooping 绑定表中包括所述 DHCP-Snooping绑定表项。值得注意的是，上述 TRIL 网络中处理报文的装置实施例中，所包括的各个单元只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

本发明实施例提供的 TRIL 网络中处理报文的装置的工作流程与本文中所述 TRILL 网络中处理报文的方法中相对应，由于在前文中已对 TRILL 网络中处理 ^艮文的方法进行了详细描述，上述方法实施例中的相关说明，也同样适用于上述装置的实施例，因而，在此处不再赘述。

图 3为本发明实施例提供的 RB的示意图。请参考图 3 , 本发明实施例提供的 RB 300可以为边缘 RB节点，所述 RB 300可包括：处理器 510 , 通信接口 520 , 存储器 530和总线 540。

其中，处理器 510、通信接口 520、存储器 530通过总线 540完成相互间的通信。所述通信接口 520 , 用于与外部设备进行通信。

所述存储器 530 , 用于存放程序 532 , 存储器 530可以是易失性存储器 (英文： volatile memory) , 例如随机存取存储器 (英文： random-access memory,缩写： RAM) ,也可以是非易失性存储器（ non-volatile memory ) , 例如磁盘存储器。具体地，程序 532可以包括计算机操作指令。

处理器 510是中央处理器（英文： central processing unit ,缩写： CPU ) 或网络处理器（英文： network processor, 缩写： NP ) 。所述处理器 510 , 用于读取所述程序 532 , 执行：接收网络中的设备发送的报文；若确定所述设备为受信任的 RB , 则放弃对来自于所述设备的所述报文进行安全检查；若确定所述设备不为受信任的 RB , 则对来自于所述设备的所述报文进行安全检查。

本发明实施例提供的 RB , 不基于物理端口来进行安全检查，而是基于 RB来确定是否进行安全检查。当报文是来自受信任的 RB时，不对来自该受信任的 RB的报文进行安全检查，当报文不是来自受信任的 RB时，一律对报文进行安全检查。如此一来，由于受信任的 RB是由用户预先配置的，因而，能够最大限度地确保报文安全，有效防御网络报文攻击，提高网络的安全性。

在一个实施例中，所述处理器 510还用于执行：确定接收的所述报文是 TRILL报文并且该 TRILL报文是受信任的路由桥发出的 TRILL报文。

可选地，在一个实施例中，所述处理器 510还用于执行：在接收网络中的设备发送的报文之前，接收动态主机配置协议应答报文，只有在确定发送所述动态主机配置协议应答报文的设备为受信任的 RB 的情况下才根据所述动态主机配置协议应答报文建立 DHCP-Snooping 绑定表项。

进一步地，所述处理器 510还用于执行：根据 DHCP-Snooping绑定表，对来自于所述设备的所述报文进行 DHCP-Snooping , 所述 DHCP-Snooping绑定表中包括所述 DHCP-Snooping绑定表项。

可选地，在一个实施例中，所述处理器 510还用于执行：在接收网络中的设备发送的报文之前，接收动态主机配置协议应答报文，根据所述动态主机配置协议应答报文建立动态主机配置协议窥探 ( DHCP-Snooping ) 绑定表项。

在上一实施例中，进一步地，所述处理器 510还用于执行：根据所述 DHCP-Snooping绑定表，对来自于所述设备的所述报文进行 DHCP-Snooping , 所述 DHCP-Snooping 绑定表中包括所述 DHCP-Snooping绑定表项。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质包含但不限于电子、磁性、光学、电磁、红外或半导体系统、设备或者装置，或者前述的任意适当组合，如随机存取存储器、只读存储器（英文： read-only memory , 缩写： ROM)、可擦除可编程只读存储器 (英文： erasable programmable read only memory，缩写： EPROM)等。

计算机中的处理器读取存储在计算机可读介质中的计算机可读程序代码，使得处理器能够执行在流程图中每个步骤、或各步骤的组合中规定的功能动作；生成实施在框图的每一块、或各块的组合中规定的功能动作的装置。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

权利要求书

1. 一种多链接透明互联（ TRILL ) 网络中处理 4艮文的方法，其特征在于，所述方法包括：

接收网络中的设备发送的报文；

若确定所述设备为受信任的路由桥，则放弃对来自于所述设备的所述报文进行安全检查；

若确定所述设备不为受信任的路由桥，则对来自于所述设备的所述报文进行安全检查。

2. 如权利要求 1所述的方法，其特征在于，所述确定所述设备为受信任的路由桥包括：

3. 如权利要求 1或 2所述的方法，其特征在于，在所述接收网络中的设备发送的报文之前，所述方法还包括：

接收动态主机配置协议应答报文，只有在确定发送所述动态主机配置协议应答报文的设备为受信任的路由桥的情况下才根据所述动态主机配置协议应答报文建立动态主机配置协议窥探（ DHCP-Snooping )绑定表项。

4. 如权利要求 3所述的方法，其特征在于，所述对来自于所述设备的所述报文进行安全检查包括：

5. 如权利要求 1或 2所述的方法，其特征在于，在所述接收网络中的设备发送的报文之前，所述方法还包括：

接收动态主机配置协议应答报文，根据所述动态主机配置协议应答才艮文建立 DHCP-Snooping绑定表项。

6. 如权利要求 5所述的方法，其特征在于，所述对来自于所述设备的所述报文进行安全检查包括：

7. 一种多链接透明互联 (TRILL)网络中处理报文的装置，其特征在于，所述装置包括：

接收单元，用于接收网络中的设备发送的报文；

安全检查单元，用于若确定所述设备为受信任的路由桥，则放弃对来自于所述设备的所述报文进行安全检查；若确定所述设备不为受信任的路由桥，则对来自于所述设备的所述报文进行安全检查。

8. 如权利要求 7所述的装置，其特征在于，所述装置还包括确定单元，

所述确定单元用于：确定接收的所述报文是 TRILL 报文并且该 TRILL报文是受信任的路由桥发出的 TRILL报文。

9. 如权利要求 7或 8所述的装置，其特征在于，所述装置还包括绑定表项建立单元，

所述接收单元，用于接收动态主机配置协议应答报文；

所述绑定表项建立单元，用于只有在确定发送所述动态主机配置协议应答报文的设备为受信任的路由桥的情况下才根据所述接收单元接收的动态主机配置协议应答报文建立动态主机配置协议窥探 ( DHCP-Snooping ) 绑定表项。

10. 如权利要求 9所述的装置，其特征在于，

所述安全检查单元具体用于：根据 DHCP-Snooping绑定表，对来自于所述设备的所述文进行 DHCP-Snooping, 所述 DHCP-Snooping绑定表中包括所述 DHCP-Snooping绑定表项。

11. 如权利要求 7或 8所述的装置，其特征在于，所述装置还包括绑定表项建立单元，

所述接收单元，用于接收动态主机配置协议应答报文；

所述绑定表项建立单元，用于根据所述接收单元接收的动态主机配置协议应答报文建立 DHCP-Snooping绑定表项。

12. 如权利要求 11 所述的装置，其特征在于，所述安全检查单元具体用于：

13. 一种路由桥，其特征在于，所述路由桥包括处理器，通信接口，存储器和总线；

其中，处理器、通信接口、存储器通过总线完成相互间的通信；所述通信接口，用于与外部设备通信；

所述存储器，用于存放程序；

所述处理器，用于执行所述程序；

所述处理器，用于读取所述存储器中的程序，执行：接收网络中的设备发送的报文；若确定所述设备为受信任的路由桥，则放弃对来自于所述设备的所述报文进行安全检查；若确定所述设备不为受信任的路由桥，则对来自于所述设备的所述报文进行安全检查。

14. 如权利要求 13 所述的路由桥，其特征在于，所述处理器还用于执行：确定接收的所述报文是多链接透明互联（TRILL)报文并且该 TRILL 报文是受信任的路由桥发出的 TRILL报文。

15. 如权利要求 13或 14所述的路由桥，其特征在于，所述处理器还用于执行：在接收网络中的设备发送的报文之前，接收动态主机配置协议应答报文，只有在确定发送所述动态主机配置协议应答报文的设备为受信任的路由桥的情况下才根据所述动态主机配置协议应答报文建立动态主机配置协议窥探 ( DHCP-Snooping ) 绑定表项。

16. 如权利要求 15 所述的路由桥，其特征在于，所述处理器还用于执行：根据 DHCP-Snooping绑定表，对来自于所述设备的所述报文进行 DHCP-Snooping,所述 DHCP-Snooping绑定表中包括所述 DHCP-Snooping 绑定表项。

17. 如权利要求 13或 14所述的路由桥，其特征在于，所述处理器还用于执行：

在接收网络中的设备发送的报文之前，接收动态主机配置协议应答报文，根据所述动态主机配置协议应答报文建立 DHCP-Snooping绑定表项。

18. 如权利要求 17 所述的路由桥，其特征在于，所述处理器用于执行：