技術領域

本發明涉及互聯網報文交換轉發領域，尤其涉及一種具有端口綁定功能的三層交換設備和數據報文轉發方法。

背景技術

隨著數據通信中交換技術的不斷提高，具備三層交換功能的設備已經得到廣泛應用，三層交換設備在二層交換設備基礎上增加了路由功能，使得三層交換設備能夠跨VLAN線速轉發IPv6報文，從而大大增強了交換設備的性能。

三層交換設備在交換芯片中包含IPv6第三層路由表項，其中包括主機路由表項和網段路由表項，主機路由表項指的是目的128位的路由表項(如2001::1下一跳)，網段路由表項指的是前綴長度小于128位的路由表項(2001::/16下一跳)。在目前的大部分應用中，主機路由表項一般通過鄰居發現協議(Neighbor?Discovery，ND)表項生成并下發到交換芯片中。由于ND協議默認通信鏈路是安全可信的，而網絡中的節點無法判別來自鏈路的ND報文的合法性、有效性，如果鏈路中有惡意節點偽造自己的身份，發送特殊構造的鄰居發現報文，就能夠對目標節點發起欺騙攻擊，由此會導致ND生成的主機路由表項也不穩定，這樣會造成網絡報文不能正常轉發，影響交換設備的可靠性。

由此，亟需一種可靠性、安全性更好的三層交換設備和數據報文轉發方法。

發明內容

本發明的目的在于提供可靠性高，安全性好的三層交換設備和報文轉發方法。

本發明一種具有端口綁定功能的三層交換設備，包括收發模塊、交換模塊、臨時綁定模塊、端口綁定模塊和路由更新模塊，其中：

所述收發模塊用于收發數據報文；

所述交換模塊存儲有路由表，用于根據路由表對待轉發的數據報文進行轉發；

所述臨時綁定模塊用于在收到的網絡節點的地址分配請求報文時，創建包括該網絡節點唯一標識以及所述地址分配請求報文接收端口的臨時請求綁定信息，并指示交換模塊將所述地址分配請求報文轉發至預先設置的可信端口；

所述端口綁定模塊用于在從所述可信端口接收到地址分配服務器的地址分配響應報文時，根據同一網絡節點的所述地址分配響應報文和所述臨時請求綁定信息生成端口綁定信息，所述端口綁定信息將分配給所述網絡節點的地址、網絡節點唯一標識和所述網絡節點接入端口綁定；

所述路由更新模塊用于定期根據所述端口綁定信息更新所述交換模塊的路由表。

優選地，所述路由更新模塊將所述端口綁定信息中的網絡節點地址、網絡節點唯一標識和所述網絡節點的接入端口分別對應于下一跳主機地址、下一跳主機唯一標識和下一跳出端口來更新路由表。

優選地，所述地址為IPv6地址，所述地址分配請求報文為DHCPv6請求報文，所述地址分配響應報文為DHCPv6響應報文，所述網絡節點唯一標識為MAC地址。

優選地，所述路由表為硬件主機路由表。

優選地，所述可信端口為連接到所述地址分配服務器的端口。

本發明還公開了一種數據報文轉發方法，包括：

S1、三層交換機收到的網絡節點的地址分配請求報文時，創建包括該網絡節點唯一標識以及所述地址分配請求報文接入端口的臨時請求綁定信息，并將所述地址分配請求報文轉發至預先設置的可信端口；

S2、三層交換機從在從所述可信端口接收到地址分配服務器的地址分配響應報文時，根據同一網絡節點的所述地址分配響應報文和所述臨時請求綁定信息生成端口綁定信息，所述端口綁定信息將分配給所述網絡節點的地址、網絡節點唯一標識和所述網絡節點接入端口綁定；

S3、三層交換機定期根據所述端口綁定信息更新交換模塊的路由表；

S4、三層交換機在收到需轉發數據報文時，查詢所述路由表確定下一跳目的地址進行轉發。

優選地，所述步驟S3進一步包括所述路由更新模塊將所述端口綁定信息中的網絡節點地址、網絡節點唯一標識和所述網絡節點的接入端口分別對應于下一跳主機地址、下一跳主機唯一標識和下一跳出端口來更新路由表。

優選地，所述地址為IPv6地址，所述地址分配請求報文為DHCPv6請求報文，所述地址分配響應報文為DHCPv6響應報文，所述網絡節點唯一標識為MAC地址。

優選地，所述路由表為硬件主機路由表。

優選地，所述可信端口為連接到所述地址分配服務器的端口。

本發明通過偵聽網絡節點的DHCPv6請求過程，并將DHCPv6端口綁定信息轉化為硬件第三層路由信息，增加了DHCPv6環境中交換機第三層路由表項的學習途徑，并有效的保證了路由表項的穩定和安全。提高了三層交換機的安全性和可靠性。