技術領域

本發明涉及通信技術和計算機領域，尤其涉及一種硬件訪問控制列表的更新方法、更新裝置和交換機。

背景技術

DHCPv6（Dynamic?Host?Configuration?Protocol?Version6，動態主機配置協議，版本6）是一個局域網協議，使用UDP協議（User?Datagram?Protocol，用戶數據包協議）工作，主要有兩個用途：（1）為內部網絡或網絡服務供應商自動分配IPv6（Internet?Protocol?Version6，網際協議，版本6）地址給用戶；（2）方便內部網絡管理員對所有計算機作中央管理。DHCPv6SNOOPING（DHCPv6監聽協議）是一種監聽DHCPv6請求過程的私有協議，它在交換裝置中使用，將每一個成功獲取IPv6地址的用戶生成一個DHCPv6綁定信息。ACL（Access?Control?List，訪問控制列表）是一或多條規則的集合，用于識別報文流。這里所指的規則是指描述報文匹配條件的判斷語句，匹配條件可以是報文的源地址、目的地址和端口號等。網絡設備依照這些規則識別出特定的報文，并根據預先設定的策略對其進行處理。

為了防止用戶私自接入網絡，便于網絡的維護和管理，可結合DHCPv6SNOOPING來實施接入控制策略，通過DHCPv6方式獲取IPv6地址的主機可以訪問網絡，而私設IPv6地址的主機將不允許訪問網絡。這種接入策略可以結合交換機硬件ACL來實現，即：針對每一個合法的DHCPv6用戶下發一條相對應的ACL規則。但是，由于交換設備中的ACL表的容量有限，當DHCPv6綁定表項數目大于設備的ACL規則數目時，一些DHCPv6綁定表項對應的ACL規則無法下發，則這些DHCPv6用戶無法訪問網絡，但是，交換設備無法保證所有ACL規則對應的主機節點均在線，這就造成因為不在線主機占用ACL規則而使得在線主機無法訪問網絡，交換機硬件ACL表利用率低。

發明內容

有鑒于此，本發明提供一種硬件訪問控制列表的更新方法、更新裝置和交換機，以提高了交換機硬件ACL表的利用率，滿足更多在線主機節點的接入要求。

在第一方面，本發明實施例提供了一種硬件訪問控制列表的更新方法，包括：

當硬件ACL中的ACL規則被寫滿時，向軟件DHCPv6綁定表中的表項對應的主機節點發送至少一個鄰居請求消息，同時為所述主機節點啟動定時器，其中，所述鄰居請求消息的源地址為未指定地址，目的地址為所述主機節點的IPv6地址對應的被請求節點組播地址，消息內容中包括所述主機節點的IPv6地址；

監聽所述主機節點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公告消息；

如果在所述定時器定時截止前未接收到主機節點反饋的至少一個鄰居公告消息，確定所述主機節點已經離線；

當監測到主機節點離線時，將離線主機節點在硬件ACL表中對應的ACL規則刪除。

在第二方面，本發明實施例提供了一種硬件訪問控制列表的更新裝置，包括：

請求消息發送單元，用于當硬件ACL中的ACL規則被寫滿時，向軟件DHCPv6綁定表中的表項對應的主機節點發送至少一個鄰居請求消息，同時為所述主機節點啟動定時器，其中，所述鄰居請求消息的源地址為未指定地址，目的地址為所述主機節點的IPv6地址對應的被請求節點組播地址，消息內容中包括所述主機節點的IPv6地址；

公告消息監聽單元，用于監聽所述主機節點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公告消息；

離線主機確定單元，用于如果在所述定時器定時截止前未接收到主機節點反饋的至少一個鄰居公告消息，確定所述主機節點已經離線；

ACL規則刪除單元，用于當監測到主機節點離線時，將離線主機節點在硬件ACL表中對應的ACL規則刪除。

在第三方面，本發明提供了一種交換機，包括本發明任意實施例所提供的硬件訪問控制列表的更新裝置。

本發明實施例提供的硬件訪問控制列表的更新方法、更新裝置和交換機，在硬件ACL規則被寫滿后，通過向軟件DHCPv6綁定表中的表項對應的主機節點發送至少一個鄰居請求消息，監聽所述主機節點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公告消息的方式，檢測硬件ACL表中記錄的主機節點是否在線，將不在線的主機節點從硬件ACL表中刪除，為在線用戶留出了更多的硬件空間。提高了交換機硬件ACL表的利用率，滿足了更多在線主機節點的接入要求。

附圖說明

圖1是本發明第一實施例的一種硬件ACL的更新方法的流程圖；