本發明提供了一種IP報文的處理方法及裝置，其中，該方法包括：生成地址解析協議ARP偵聽表項和動態主機設置協議DHCP偵聽表項；在接收到IP報文時，提取IP報文的源IP地址和源媒體接入控制MAC地址；將源IP地址和源MAC地址作為關鍵字段與ARP偵聽表項和/或DHCP偵聽表項中的對應字段進行匹配；根據匹配結果處理IP報文。通過本發明，解決了相關技術中當發起IP報文攻擊時不能處理正常業務報文的技術問題。

技術領域

本發明涉及通信領域，具體而言，涉及一種IP報文的處理方法及裝置。

背景技術

傳送多協議標簽交換(MPLS-TP)是一種基于MPLS、面向連接的分組傳送技術。MPLS-TP取消了MPLS中與L3和IP路由相關的功能特性，其設備實現將滿足運營商對低成本和大容量的下一代分組網絡的需求。MPLS-TP沿襲了現有基于電路交換傳送網的思想，采用與其相同的體系架構、管理和運行模式。MPLS-TP可以支持各種分組業務和電路業務。

ARP(Address Resolution Protocol，地址解析協議)是將IP地址解析為以太網MAC地址(媒體接入控制地址或稱物理地址)的協議。在局域網中，IP數據報文必須封裝成幀才能通過物理網絡發送，因此發送站必須知道接收站的物理地址，當主機或其它網絡設備有數據要發送給另一個主機或設備時，它首先根據對方的網絡層地址(即IP地址)，查詢本地的ARP表找到對應的MAC后通過物理網發送；如果本地ARP表中沒有對應的記錄項，ARP協議就要發送ARP請求廣播包向擁有該IP地址的主機詢問其MAC地址，以便完成數據發送。

在基于MPLS-TP的L3VPN(虛擬專用網絡，Virtual Private Network)網絡中，CE(用戶端設備)通過AC與PE(運營商邊緣設備)相連，進而通過L3VPN實現CE間的互聯，VPN被PE和P(運營商設備)建立的隧道所承載。當Client(客戶端)發起IP報文攻擊時，需要通過AC向PE發送大量錯誤的IP報文，這樣會導致PE設備被占用大量資源，CPU沖高，來不及處理正常的業務報文，導致性能下降。如圖1所示，圖1為本發明相關技術中的組網示意圖。

針對相關技術中存在的上述問題，目前尚未發現有效的解決方案。

發明內容

本發明實施例提供了一種IP報文的處理方法及裝置，以至少解決相關技術中當發起IP報文攻擊時不能處理正常業務報文的技術問題。

根據本發明的一個實施例，提供了一種IP報文的處理方法，包括：生成地址解析協議ARP偵聽表項和動態主機設置協議DHCP偵聽表項；在接收到IP報文時，提取所述IP報文的源IP地址和源媒體接入控制MAC地址；將所述源IP地址和所述源MAC地址作為關鍵字段與所述ARP偵聽表項和/或所述DHCP偵聽表項中的對應字段進行匹配；根據匹配結果處理所述IP報文。

可選地，生成ARP偵聽表項和DHCP偵聽表項包括：啟動ARP偵聽監測ARP報文，以及啟動DHCP偵聽DHCP報文；從所述ARP報文和所述DHCP報文中獲取以下報文信息：報文的源IP地址、報文的MAC地址，入端口信息；將所述報文信息分別保存得到所述ARP偵聽表項和所述DHCP偵聽表項。

可選地，將所述源IP地址和所述源MAC地址作為關鍵字段與所述ARP偵聽表項和/或所述DHCP偵聽表項中的對應字段進行匹配包括：在所述ARP偵聽表項和所述DHCP偵聽表項中都沒有查詢到所述源IP地址和所述源MAC地址時，確定不匹配；在所述ARP偵聽表項或所述DHCP偵聽表項中查詢到所述源IP地址和所述源MAC地址時，判斷所述源MAC地址的對應的入端口信息與所述IP報文的入端口信息是否相同，在入端口信息相同時，確定匹配，在入端口信息不相同時，確定不匹配。