技術領域

本發明涉及以太網轉發技術領域，具體涉及媒體接入控制強制轉發方法及功能單元。

背景技術

在傳統的以太網組網方案中，為了實現不同客戶端主機之間的二層隔離和三層互通，通常采用在交換機上劃分虛擬局域網(VLAN，Virtual?Local?AreaNetwork)的方法。但是當彼此間需要二層隔離的用戶較多時，這種方式會占用大量的VLAN資源；同時，為實現客戶端之間三層互通，需要為每個VLAN規劃不同的IP網段，并配置VLAN接口的IP地址，因此劃分過多的VLAN會降低IP地址的分配效率。

為了改善這種現狀，MAC強制轉發(MFF，MAC-Forced?Forwarding)技術為同一廣播域內實現客戶端主機間的二層隔離和三層互通，提供了一種解決方案。

MFF功能單元截獲用戶的地址解析協議(ARP，Address?ResolutionProtocol)請求報文，通過ARP代答機制，回復源地址為網關媒體接入控制(MAC，Media?Access?Control)地址的ARP應答報文。通過這種方式，可以強制用戶將所有流量(包括同一子網內的流量)發送到網關，使網關可以監控數據流量，防止用戶之間的惡意攻擊，能更好地保障網絡部署的安全性。

圖1為現有的MFF應用組網示例圖，如圖1所示，交換機A和B作為以太網接入節點(EAN，Ethernet?Access?Nodes)提供了客戶端主機與匯聚節點(交換機C)之間的連接。在以太網接入節點上配置MFF功能，可以使客戶端間交互的數據報文全部通過網關轉發，實現了客戶端之間的三層互通，又保證了二層數據的隔離，即：客戶端主機不會了解相互的MAC地址。

現有MFF技術的關鍵點是網關MAC地址以及使用該網關MAC地址進行單播報文轉發的處理。在自動地址配置方式下，只能通過動態主機配置協議(DHCP，Dynamic?Host?Configuration?Protocol)的選項學習到IPv4網關MAC地址。但是，當網絡支持IPv6時，現有MFF技術沒有對應的處理方案，這樣將導致IPv6網絡不通，此時，若簡單地模仿IPv4，即通過偵聽DHCPv6報文的方式來學習IPv6網關MAC地址并不可行，因為：IPv6協議中，通過DHCP來分配地址并不是主流技術，而且DHCPv6中并沒有對應的網關選項。

發明內容

本發明提供MFF方法及功能單元，以在IPv6網絡中應用MFF。

本發明的技術方案是這樣實現的：

一種媒體接入控制強制轉發MFF方法，應用于IPv6網絡中，該方法包括：

部署了MFF功能的以太網接入節點EAN偵聽自身網絡端口上的鄰居發現ND報文，從該報文中獲取IPv6網關的媒體接入控制MAC地址；

所述EAN接收任一客戶端發來的ND請求報文，向該客戶端返回ND響應報文，該ND響應報文的源MAC地址為所述IPv6網關的MAC地址，該客戶端保存該IPv6網關的MAC地址；

所述EAN接收任一客戶端發起的IPv6單播報文，報文的目的MAC地址為IPv6網關的MAC地址，EAN將該報文轉發給IPv6網關，以便IPv6網關根據報文的目的IP地址將報文轉發給目的客戶端。

預先在部署了MFF功能的EAN上配置IPv6網關的IP地址，

且所述EAN偵聽自身網絡端口上的ND報文為：

EAN偵聽自身網絡端口上的鄰居通告NA報文，且發現該報文的源IP地址與所配置的一個IPv6網關的IP地址相同；

所述從該報文中獲取IPv6網關的MAC地址為：將所述NA報文的源MAC地址作為學習到的所述IPv6網關的MAC地址。

所述IPv6網關的數目大于1，

且，預先在部署了MFF功能的EAN上配置IPv6網關的前綴；

所述EAN接收任一客戶端發來的ND請求報文之后、向客戶端返回ND響應報文之前進一步包括：

所述EAN將報文的源IP地址與自身已學習到MAC地址的各IPv6網關的前綴一一匹配，將匹配長度最長的前綴對應的IPv6網關的MAC地址作為所述ND響應報文的源MAC地址。

預先在部署了MFF功能的EAN上配置IPv6網關的VLAN標記，

且，所述EAN接收任一客戶端發來的ND請求報文之后、EAN將報文的源IP地址與自身已學習到MAC地址的各IPv6網關的前綴一一匹配之前進一步包括：EAN將報文的VLAN標記與已學習到MAC地址的各IPv6網關的VLAN標記一一匹配；