技術(shù)領(lǐng)域

本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機。

背景技術(shù)

動態(tài)主機設(shè)置協(xié)議版本6（Dynamic?Host?Configuration?Protocol?Version6,DHCPv6）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用用戶數(shù)據(jù)報協(xié)議（User?datagram?protocol,UDP）工作，主要有兩個用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IPv6地址給用戶，這給內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機作中央管理的手段。DHCPv6作為一種有狀態(tài)的地址分配方式，在安全性和可管理性上均比使用無狀態(tài)地址分配方式有大幅改善，在對安全性要求較高的網(wǎng)絡(luò)中將被廣泛使用。而且由于主機節(jié)點IPv6地址由DHCPv6服務(wù)器統(tǒng)一分配，不會出現(xiàn)地址重復(fù)的情況，避免了無狀態(tài)地址配置和手工配置節(jié)點接口IPv6地址可能帶來的地址沖突問題。DHCPv6監(jiān)聽（DHCPv6SNOOPING）是一種監(jiān)聽DHCPv6請求過程的私有協(xié)議，它在交換裝置中使用，為每一個成功獲取IP的用戶生成一個DHCPv6綁定信息。

IPv6使用了重復(fù)地址檢測技術(shù),每個接口的IPv6地址在生成之初首先要進行重復(fù)地址檢測，因此會在本鏈路內(nèi)廣播鄰居請求報文，目標地址就是要檢測的自身IPv6地址，如果若干次重發(fā)后沒有收到相關(guān)鄰居應(yīng)答報文，則該地址可用，地址狀態(tài)從臨時變?yōu)橛行В摴?jié)點可以使用該IPv6地址作為數(shù)據(jù)包源地址進行網(wǎng)絡(luò)交通。

訪問控制列表（Access?Control?List，ACL）是一或多條ACL規(guī)則的集合，用于識別報文流。這里的規(guī)則是指描述報文匹配條件的判斷語句，匹配條件可以是報文的源地址、目的地址、端口號等。網(wǎng)絡(luò)設(shè)備依照這些規(guī)則識別出特定的報文，并根據(jù)預(yù)先設(shè)定的策略對其進行處理。

為了防止用戶私自接入網(wǎng)絡(luò)，便于網(wǎng)絡(luò)的維護和管理，可結(jié)合DHCPv6監(jiān)聽來實施接入控制策略，通過DHCPv6方式獲取IP的主機可以訪問網(wǎng)絡(luò)，而私設(shè)IP的主機將不允許訪問網(wǎng)絡(luò)。圖1是現(xiàn)有技術(shù)提供的通過DHCPv6方式獲取IP的網(wǎng)絡(luò)架構(gòu)圖。參見圖1，以太網(wǎng)中的主機103,104可以通過以太網(wǎng)交換機102向DHCP?v6服務(wù)器101發(fā)送DHCPv6請求，DHCPv6服務(wù)器101根據(jù)主機103,104發(fā)送的DHCPv6請求返回DHCPv6應(yīng)答，來為主機103,104分配IP地址。這種接入策略需要結(jié)合交換機中的訪問控制列表來實現(xiàn)，每一個DHCPv6用戶需要下發(fā)一條允許訪問網(wǎng)絡(luò)的訪問控制規(guī)則。由于以太網(wǎng)交換機的訪問控制列表的容量有限，因此，當需要存儲在訪問控制列表中的表項數(shù)目大于設(shè)備的訪問控制列表的表項數(shù)目上限時，一些表項對應(yīng)的訪問控制列表的表項無法下發(fā)，則這些表項對應(yīng)的DHCPv6用戶無法訪問網(wǎng)絡(luò)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提出一種訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機，以提高以太網(wǎng)交換機的訪問控制列表的利用率。

第一方面，本發(fā)明實施例提供了一種訪問控制列表動態(tài)更新方法，所述方法包括：

按照第一定時器的定時周期，向DHCPv6綁定表中的表項對應(yīng)的鄰居節(jié)點發(fā)送至少一個鄰居請求消息，同時為所述鄰居節(jié)點啟動第二定時器；

監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應(yīng)的至少一個鄰居公告消息；

如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息，確定所述鄰居節(jié)點已經(jīng)離線；

當監(jiān)測到鄰居節(jié)點離線時，將離線鄰居節(jié)點在訪問控制列表中對應(yīng)的訪問控制規(guī)則刪除。

第二方面，本發(fā)明實施例提供了一種以太網(wǎng)交換機，所述以太網(wǎng)交換機包括：

鄰居請求消息發(fā)送模塊，用于按照第一定時器的定時周期，向DHCPv6綁定表中的表項對應(yīng)的鄰居節(jié)點發(fā)送至少一個鄰居請求消息，同時為所述鄰居節(jié)點啟動第二定時器；

鄰居公告消息監(jiān)聽模塊，用于監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應(yīng)的至少一個鄰居公告消息；

鄰居節(jié)點離線確定模塊，用于如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息，確定所述鄰居節(jié)點已經(jīng)離線；

訪問控制規(guī)則刪除模塊，用于當監(jiān)測到鄰居節(jié)點離線時，將離線鄰居節(jié)點在訪問控制列表中對應(yīng)的訪問控制規(guī)則刪除。

本發(fā)明實施例提供的訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機，通過檢測鄰居節(jié)點是否離線，并在監(jiān)測到鄰居節(jié)點離線時將離線的鄰居節(jié)點在所述訪問控制列表中對應(yīng)的表項刪除，提高了以太網(wǎng)交換機的訪問控制列表的利用率。

附圖說明