本申請(qǐng)?zhí)峁┮环N鄰居發(fā)現(xiàn)協(xié)議ND安全表項(xiàng)處理方法，應(yīng)用于二層交換設(shè)備，其通過(guò)信任端口連接路由器網(wǎng)關(guān)、通過(guò)驗(yàn)證端口連接主機(jī)，方法為：接收NS報(bào)文或NA報(bào)文；從報(bào)文中獲取報(bào)文發(fā)送方的主機(jī)地址；如果本設(shè)備上不存在與該主機(jī)地址對(duì)應(yīng)的ND安全表項(xiàng)，則新建與該主機(jī)地址對(duì)應(yīng)的臨時(shí)未生效的ND安全表項(xiàng)，通過(guò)信任端口發(fā)送探測(cè)該主機(jī)地址是否已被使用的NS報(bào)文；若在設(shè)定時(shí)間內(nèi)從信任端口收到通告該主機(jī)地址已被使用的NA報(bào)文則刪除新建的ND安全表項(xiàng)；若在設(shè)定時(shí)間內(nèi)未從信任端口收到NA報(bào)文則生效該ND安全表項(xiàng)；設(shè)定時(shí)間為從信任端口收到的RA報(bào)文包括的重新傳輸計(jì)時(shí)器字段值。該方法使得ND安全內(nèi)表項(xiàng)的表項(xiàng)探測(cè)時(shí)長(zhǎng)可動(dòng)態(tài)調(diào)整。

技術(shù)領(lǐng)域

本申請(qǐng)涉及通信技術(shù)領(lǐng)域，尤其涉及一種ND(Neighbor Discovery，鄰居發(fā)現(xiàn)協(xié)議)安全表項(xiàng)處理方法和裝置。

背景技術(shù)

RFC(request for comments，請(qǐng)求注解協(xié)議)6620定義描述了IPv6(InternetProtocol Version 6，互聯(lián)網(wǎng)協(xié)議第6版)的源地址驗(yàn)證機(jī)制：在連接路由器網(wǎng)關(guān)和主機(jī)的二層交換設(shè)備上生成ND安全表項(xiàng)，用于驗(yàn)證到達(dá)二層交換設(shè)備的數(shù)據(jù)報(bào)文的合法性；如果數(shù)據(jù)報(bào)文的源地址未記錄在ND安全表項(xiàng)中則該數(shù)據(jù)報(bào)文不合法會(huì)被丟棄，如果數(shù)據(jù)報(bào)文的源地址已記錄在ND安全表項(xiàng)中則該數(shù)據(jù)報(bào)文合法會(huì)被正常轉(zhuǎn)發(fā)。ND安全表項(xiàng)為數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)和丟棄提供了憑證，保證了源地址的有效性，可以防止非法報(bào)文的攻擊。

發(fā)明內(nèi)容

有鑒于此，本申請(qǐng)?zhí)峁┮环NND安全表項(xiàng)處理方法和裝置，用于動(dòng)態(tài)調(diào)整 ND安全表項(xiàng)的表項(xiàng)探測(cè)時(shí)長(zhǎng)，保證了在各類(lèi)網(wǎng)絡(luò)下的適應(yīng)性。

具體地，本申請(qǐng)是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的：

本申請(qǐng)第一方面，提供了一種ND安全表項(xiàng)處理方法，所述方法應(yīng)用于二層交換設(shè)備，所述二層交換設(shè)備通過(guò)信任端口連接路由器網(wǎng)關(guān)、通過(guò)驗(yàn)證端口連接主機(jī)，所述方法包括：

接收NS報(bào)文或NA報(bào)文；

從所述NS報(bào)文或NA報(bào)文中獲取報(bào)文發(fā)送方的主機(jī)地址；

如果本設(shè)備上不存在與所述主機(jī)地址對(duì)應(yīng)的ND安全表項(xiàng)，則

新建與所述主機(jī)地址對(duì)應(yīng)的臨時(shí)未生效的ND安全表項(xiàng)，并通過(guò)信任端口發(fā)送用于探測(cè)所述主機(jī)地址是否已被使用的NS報(bào)文；如果在設(shè)定時(shí)間內(nèi)從信任端口收到用于通告所述主機(jī)地址已被使用的NA報(bào)文，則刪除新建的ND安全表項(xiàng)；如果在設(shè)定時(shí)間內(nèi)未從信任端口收到用于通告所述主機(jī)地址已被使用的NA 報(bào)文，則生效新建的ND安全表項(xiàng)；其中，所述設(shè)定時(shí)間為從信任端口收到的 RA報(bào)文包括的重新傳輸計(jì)時(shí)器字段值。

本申請(qǐng)第二方面，提供了一種ND安全表項(xiàng)處理裝置，所述裝置可以應(yīng)用于二層交換設(shè)備，所述二層交換設(shè)備通過(guò)信任端口連接路由器網(wǎng)關(guān)、通過(guò)驗(yàn)證端口連接主機(jī)，所述二層交換設(shè)備具有實(shí)現(xiàn)上述方法的功能。所述功能可以通過(guò)硬件實(shí)現(xiàn)，也可以通過(guò)硬件執(zhí)行相應(yīng)的軟件實(shí)現(xiàn)。所述硬件或軟件包括一個(gè)或多個(gè)與上述功能相對(duì)應(yīng)的模塊或單元。

一種可能的實(shí)現(xiàn)方式中，所述裝置包括：

接收單元，用于接收NS報(bào)文或NA報(bào)文；

主機(jī)地址獲取單元，用于從所述NS報(bào)文或NA報(bào)文中獲取報(bào)文發(fā)送方的主機(jī)地址；

ND安全表項(xiàng)處理單元，用于在本設(shè)備上不存在與所述主機(jī)地址對(duì)應(yīng)的ND 安全表項(xiàng)時(shí)，新建與所述主機(jī)地址對(duì)應(yīng)的臨時(shí)未生效的ND安全表項(xiàng)，并通過(guò)信任端口發(fā)送用于探測(cè)所述主機(jī)地址是否已被使用的NS報(bào)文；如果在設(shè)定時(shí)間內(nèi)所述接收單元從信任端口收到用于通告所述主機(jī)地址已被使用的NA報(bào)文，則刪除新建的ND安全表項(xiàng)；如果在設(shè)定時(shí)間內(nèi)所述接收單元未從信任端口收到用于通告所述主機(jī)地址已被使用的NA報(bào)文，則生效新建的ND安全表項(xiàng)；其中，所述設(shè)定時(shí)間為從信任端口收到的RA報(bào)文包括的重新傳輸計(jì)時(shí)器字段值。