本申請是申請號為200780051195.0、申請日為2007年11月7日、發明名稱為“用于限制IP（因特網協議）網絡的廣播域中一個節點與其他節點進行通信的方法和系統”的PCT國際發明專利申請的分案申請。

技術領域

本發明涉及于通信網絡。更具體地，本發明涉及通信網絡的安全以及涉及于在一個通信網絡中限制節點與其他節點進行通信。

背景技術

圖1是包括節點的IP網絡101、106的示意圖。該圖示出了兩種網絡拓撲，而本領域技術人員應當明白許多其他拓撲也是可能的，因此所圖示的拓撲并不是限制性的。以下，連接到該網絡的每個物理元件都構成了一個節點。所圖示的網絡101構成了局域網（LAN），其經由路由器103被連接到因特網102.該路由器103可直接連接到端節點104，包括比如個人計算機（PC）的工作站、比如UNIX工作站的服務器、比如X終端的終端等等。可選地，該路由器103可連接到一個或多個集線器105，額外的端節點104也可連接到該集線器。應注意在這種情況中，該集線器105是一個簡單的集線器（即其是非交換的集線器），因此，那些連接到該集線器的節點和連接到路由器103的端節點處于同一廣播域中。此外，本領域技術人員應當明白路由器可以具有將其連接到不同網絡或網絡各部分的多于一個的網絡接口卡，因此應當明白，以下（整個說明書），路由器103代表了一個接口，其將該路由器連接到該網絡101。還應注意，路由器（比如路由器103）、集線器（比如集線器105）、端節點104和包括網絡接口的其他物理元件一同構成了“節點”。106是IP網絡的另一個例子，其包括交換機107，端節點104被連接到該交換機。應當明白類似于網絡101，網絡106也構成了一個廣播域。此外，本領域技術人員應當明白可以經由路由器（比如路由器103）將網絡106連接到因特網，并且，已經指出了路由器可以具有多個網絡接口卡，并且圖1中的確存在兩個這種網絡接口卡，一個用于將該路由器連接到網絡106，而另一個用于將其連接到因特網102.因此，只有將路由器連接到網絡106的NIC被認為是該廣播域中的成員，并因此在圖1中呈現出路由器僅有一部分是該網絡的一部分，而其另一部分在網絡外部。

現有技術中已知多種網絡協議，其允許了通信網絡中的不同的功能性。例如，請求注解（RFC）826（于1982年公布）論述了轉換協議地址（例如IP地址）為本地網絡地址（例如以太網地址），一個已知的協議是地址解析請求（ARP），RFC826是公眾可獲得的并在此被結合進來作為參考。

根據RFC826，當一個分組被通過網絡層向下發送時，路由確定用于該分組的下一跳的協議地址以及在哪一片硬件上其期望能找到具有直接目標協議地址的站點。在10Mbit以太網的情況中，需要地址解析并且一些較低層（可能是硬件驅動器）必須咨詢地址解析模塊（也許在該以太網支持模塊中實施）以將該<協議類型，目標協議地址>配對轉換為48bit的以太網地址。該地址解析模塊嘗試在“轉換表”或“ARP緩存”中找到該配對。如果找到了該配對，其將相應的48bit以太網地址返回給該訪問者（硬件驅動器），然后該訪問者發送該分組。如果其沒有找到該配對，那么其可能通知該訪問者其將丟棄該分組（假設該分組將由更高網絡層傳輸）。然后這使得該分組被廣播到由路由機制所原始確定的以太網電纜上的所有站點。

當接收到地址解析分組時，該接收以太網模塊將該分組交給地址解析模塊，該地址解析模塊在檢查是否其應產生一個回復之前將該<協議類型，發送者協議地址，發送者硬件地址>三元組合并到其本地轉換表中。注意，如果已經存在了用于<協議類型，發送者協議地址>配對的入口，那么新的硬件地址取代舊的。然后，如果該操作碼是REQUEST并且該目標協議地址與該接收機器的協議地址相匹配，那么該接收機器產生REPLY，并發送它到產生該REQUEST的機器。此外，應當注意，當與對該LAN來說是遠程的機器進行通信時，該路由器的物理地址被解析，而不是該機器的地址。

根據RFC826，有時發生主機走下去或移動的情況（例如，當該協議地址（比如IP地址）被重新指派給一個不同的物理硬件時）。為了保持該轉換表是最新的，可以執行超時，其中在構成一個“ARP檢查超時”的一個合適的超時之后，該機器考慮從其中移除一個入口。其可發送一個具有操作碼REQUEST（即ARP請求）的地址解析分組直接到該表中的以太網地址。如果在一小段時間之后沒有看見REPLY（即ARP回復），該入口被從該轉換表中刪除。