本發明提供一種表項建立方法及裝置。所述方法包括：轉發層面收到下行報文時，判斷所述下行報文是否為未知報文；當所述下行報文為未知報文時，所述轉發層面將所述未知報文上送到控制層面；控制層面收到所述未知報文后，為所述未知報文的目標主機建立對應的安全綁定表項。因此，本發明可以通過建立安全綁定表項來保證目標主機正常訪問網絡。

技術領域

本發明涉及通信技術領域，尤其涉及一種表項建立方法及裝置。

背景技術

隨著網絡的應用與發展，網絡安全性逐漸被人們重視。由于ND Snooping(Neighbor Discovery Snooping，鄰居發現協議報文偵聽)技術可以通過偵聽二層交換網絡中用戶主機發送的上行報文，例如ND協議報文，來建立ND Snooping表項，因此現有技術中可利用ND Snooping表項作為用戶主機的安全綁定表項來進行安全保護，以防止非法用戶通過仿冒合法用戶的IP(Internet Protocol，網互連協議)地址對網絡進行訪問。

然而當網絡轉發設備因異常或設備重啟導致本地的ND snooping表項丟失時，由于用戶主機可能無法感知這一情況，則用戶主機不能重新發送ND協議報文，因此所述網絡轉發設備無法學習到該用戶主機的ND snooping表項，導致用戶主機無法訪問網絡。

發明內容

有鑒于此，本發明提供一種表項建立方法及裝置。

具體地，本發明是通過如下技術方案實現的：

一種表項建立方法，所述方法應用于網絡轉發設備，所述方法包括：

轉發層面收到下行報文時，判斷所述下行報文是否為未知報文；

當所述下行報文為未知報文時，所述轉發層面將所述未知報文上送到控制層面；

控制層面收到所述未知報文后，為所述未知報文的目標主機建立對應的安全綁定表項。

進一步的，所述轉發層面判斷所述下行報文是否為未知報文，包括：

轉發層面獲取所述下行報文的源介質訪問控制MAC地址；

在自身的MAC地址表中查找所述下行報文的源MAC地址；

若未查找到，則確定所述下行報文為未知報文。

進一步的，當預先在所述網絡轉發設備的端口上下發訪問控制列表ACL規則時，所述轉發層面將所述未知報文上送到控制層面，包括：

所述轉發層面在預先下發的ACL規則中查找與所述未知報文匹配的ACL規則；

按照匹配到的ACL規則中定義的動作，復制所述未知報文并上送到控制層面。

進一步的，當所述網絡轉發設備包括具有寄存器的轉發芯片時，所述轉發層面將所述未知報文上送到控制層面，包括：

所述轉發層面根據所述寄存器中預設的轉發策略，復制所述未知報文并上送到控制層面。

進一步的，所述控制層面為所述未知報文的目標主機建立對應的安全綁定表項，包括：

獲取所述未知報文所屬的虛擬局域網VLAN及目的網絡互連協議IP地址；

根據所述目的IP地址創建鄰居發現ND協議報文，并將所述ND協議報文在所述VLAN中進行廣播，以使所述未知報文的目標主機在收到所述ND協議報文后返回ND應答報文；

根據所述目標主機返回的ND應答報文，創建所述目標主機對應的安全綁定表項。

一種表項建立裝置，所述裝置應用于網絡轉發設備，所述裝置包括：

報文判斷單元，用于在轉發層面收到下行報文時，判斷所述下行報文是否為未知報文；