[發(fā)明專利]訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機在審
| 申請?zhí)枺?/td> | 201310538472.8 | 申請日: | 2013-11-04 |
| 公開(公告)號: | CN103560960A | 公開(公告)日: | 2014-02-05 |
| 發(fā)明(設(shè)計)人: | 梁小冰;向陽朝;陳翔 | 申請(專利權(quán))人: | 神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司;上海神州數(shù)碼有限公司 |
| 主分類號: | H04L12/741 | 分類號: | H04L12/741;H04L12/931 |
| 代理公司: | 北京品源專利代理有限公司 11332 | 代理人: | 胡彬 |
| 地址: | 100085 北京市海淀*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 訪問 控制 列表 動態(tài) 更新 方法 以太網(wǎng) 交換機 | ||
技術(shù)領(lǐng)域
本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機。
背景技術(shù)
動態(tài)主機設(shè)置協(xié)議版本6(Dynamic?Host?Configuration?Protocol?Version6,DHCPv6)是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議,使用用戶數(shù)據(jù)報協(xié)議(User?datagram?protocol,UDP)工作,主要有兩個用途:給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IPv6地址給用戶,這給內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機作中央管理的手段。DHCPv6作為一種有狀態(tài)的地址分配方式,在安全性和可管理性上均比使用無狀態(tài)地址分配方式有大幅改善,在對安全性要求較高的網(wǎng)絡(luò)中將被廣泛使用。而且由于主機節(jié)點IPv6地址由DHCPv6服務(wù)器統(tǒng)一分配,不會出現(xiàn)地址重復(fù)的情況,避免了無狀態(tài)地址配置和手工配置節(jié)點接口IPv6地址可能帶來的地址沖突問題。DHCPv6監(jiān)聽(DHCPv6SNOOPING)是一種監(jiān)聽DHCPv6請求過程的私有協(xié)議,它在交換裝置中使用,為每一個成功獲取IP的用戶生成一個DHCPv6綁定信息。
IPv6使用了重復(fù)地址檢測技術(shù),每個接口的IPv6地址在生成之初首先要進行重復(fù)地址檢測,因此會在本鏈路內(nèi)廣播鄰居請求報文,目標地址就是要檢測的自身IPv6地址,如果若干次重發(fā)后沒有收到相關(guān)鄰居應(yīng)答報文,則該地址可用,地址狀態(tài)從臨時變?yōu)橛行В摴?jié)點可以使用該IPv6地址作為數(shù)據(jù)包源地址進行網(wǎng)絡(luò)交通。
訪問控制列表(Access?Control?List,ACL)是一或多條ACL規(guī)則的集合,用于識別報文流。這里的規(guī)則是指描述報文匹配條件的判斷語句,匹配條件可以是報文的源地址、目的地址、端口號等。網(wǎng)絡(luò)設(shè)備依照這些規(guī)則識別出特定的報文,并根據(jù)預(yù)先設(shè)定的策略對其進行處理。
為了防止用戶私自接入網(wǎng)絡(luò),便于網(wǎng)絡(luò)的維護和管理,可結(jié)合DHCPv6監(jiān)聽來實施接入控制策略,通過DHCPv6方式獲取IP的主機可以訪問網(wǎng)絡(luò),而私設(shè)IP的主機將不允許訪問網(wǎng)絡(luò)。圖1是現(xiàn)有技術(shù)提供的通過DHCPv6方式獲取IP的網(wǎng)絡(luò)架構(gòu)圖。參見圖1,以太網(wǎng)中的主機103,104可以通過以太網(wǎng)交換機102向DHCP?v6服務(wù)器101發(fā)送DHCPv6請求,DHCPv6服務(wù)器101根據(jù)主機103,104發(fā)送的DHCPv6請求返回DHCPv6應(yīng)答,來為主機103,104分配IP地址。這種接入策略需要結(jié)合交換機中的訪問控制列表來實現(xiàn),每一個DHCPv6用戶需要下發(fā)一條允許訪問網(wǎng)絡(luò)的訪問控制規(guī)則。由于以太網(wǎng)交換機的訪問控制列表的容量有限,因此,當需要存儲在訪問控制列表中的表項數(shù)目大于設(shè)備的訪問控制列表的表項數(shù)目上限時,一些表項對應(yīng)的訪問控制列表的表項無法下發(fā),則這些表項對應(yīng)的DHCPv6用戶無法訪問網(wǎng)絡(luò)。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提出一種訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機,以提高以太網(wǎng)交換機的訪問控制列表的利用率。
第一方面,本發(fā)明實施例提供了一種訪問控制列表動態(tài)更新方法,所述方法包括:
按照第一定時器的定時周期,向DHCPv6綁定表中的表項對應(yīng)的鄰居節(jié)點發(fā)送至少一個鄰居請求消息,同時為所述鄰居節(jié)點啟動第二定時器;
監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應(yīng)的至少一個鄰居公告消息;
如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息,確定所述鄰居節(jié)點已經(jīng)離線;
當監(jiān)測到鄰居節(jié)點離線時,將離線鄰居節(jié)點在訪問控制列表中對應(yīng)的訪問控制規(guī)則刪除。
第二方面,本發(fā)明實施例提供了一種以太網(wǎng)交換機,所述以太網(wǎng)交換機包括:
鄰居請求消息發(fā)送模塊,用于按照第一定時器的定時周期,向DHCPv6綁定表中的表項對應(yīng)的鄰居節(jié)點發(fā)送至少一個鄰居請求消息,同時為所述鄰居節(jié)點啟動第二定時器;
鄰居公告消息監(jiān)聽模塊,用于監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應(yīng)的至少一個鄰居公告消息;
鄰居節(jié)點離線確定模塊,用于如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息,確定所述鄰居節(jié)點已經(jīng)離線;
訪問控制規(guī)則刪除模塊,用于當監(jiān)測到鄰居節(jié)點離線時,將離線鄰居節(jié)點在訪問控制列表中對應(yīng)的訪問控制規(guī)則刪除。
本發(fā)明實施例提供的訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機,通過檢測鄰居節(jié)點是否離線,并在監(jiān)測到鄰居節(jié)點離線時將離線的鄰居節(jié)點在所述訪問控制列表中對應(yīng)的表項刪除,提高了以太網(wǎng)交換機的訪問控制列表的利用率。
附圖說明
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司;上海神州數(shù)碼有限公司,未經(jīng)神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司;上海神州數(shù)碼有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310538472.8/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種OpenFlow流表存儲空間壓縮方法
- 下一篇:一種粗線檢測處理電路
- 存儲器訪問調(diào)度裝置、調(diào)度方法與存儲器訪問控制系統(tǒng)
- 一種限制用戶訪問的方法和裝置
- 一種訪問信息提供方法及系統(tǒng)
- 數(shù)據(jù)訪問權(quán)限的控制方法及裝置
- 基于智能家居系統(tǒng)的訪問授權(quán)方法、裝置及設(shè)備
- 網(wǎng)站訪問請求的動態(tài)調(diào)度方法及裝置
- 基于訪問頻率的監(jiān)測方法、裝置、設(shè)備和計算機存儲介質(zhì)
- 訪問憑證驗證方法、裝置、計算機設(shè)備及存儲介質(zhì)
- 一種應(yīng)用訪問控制方法、系統(tǒng)和介質(zhì)
- 異常訪問行為的檢測方法、裝置、電子設(shè)備及存儲介質(zhì)





