在交换机侦听IPV6中管理地址验证状态制造技术

在一个实施例中，一种特定设备(例如，交换机)从不可信的非交换机设备接收邻居发现(ND)消息，所述ND消息具有关联的地址，并且在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条目。此外，所述交换机然后代表所述不可信的非交换机设备生成并且转发第一重复地址检测(DAD)消息。响应于从非所有者设备接收到第二DAD消息，所述交换机可以在所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息，否则在所述第二地址未被存储为暂定状态条目时，将所述第二DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告(NA)防御。

【技术实现步骤摘要】
【国外来华专利技术】在交换机侦听IPV6中管理地址验证状态
本公开一般涉及计算机网络，并且更特别地，涉及互联网协议版本6 (IPv6)重复 地址检测（DAD)。
技术介绍
为了特别是在安全环境中保护网络不受流氓或不受控行为的影响，交换机需要越 来越关注IPv6。例如，由IPv6交换机所需要的一个方面在于维护绑定条目，在绑定条目中 交换机维护哪一个交换机（例如，哪一个交换机上的哪一个端口）拥有给定IPv6地址的映 射。值得注意，这样的管理操作必须与支持侦听（snooping)操作的交换机和不支持侦听操 作的交换机相容。 互联网工程任务组（IETF)的源地址验证改进（SAVI)工作组一直在研究维护这样 的条目的方法。一般而言，由SAVI所开发的当前方法存在优点和缺点，但是一个特定缺点 是缺少针对窃取可以通过重复地址检测（DAD)进程而被看见（即，基于观察公共通信流 被窃取）的地址的流t民设备的先来先服务（first-come-first-serve)保护。 【附图说明】 可以结合附图通过参考以下描述更好地理解本文实施例，在附图中同样的附图标 记指示同样地或功能上类似的元本文档来自技高网...

【技术保护点】
一种方法，包括：从不可信的非交换机设备接收邻居发现(ND)消息，所述ND消息具有相关联的地址；在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条目；代表所述不可信的非交换机设备生成并且转发第一重复地址检测(DAD)消息；以及响应于从非所有者设备接收到第二DAD消息：当所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息；以及当所述第二地址未被存储为暂定状态条目时，将所述第二DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告(NA)防御。

【技术特征摘要】
【国外来华专利技术】2012.01.20 US 13/355,0321. 一种方法，包括： 从不可信的非交换机设备接收邻居发现（ND)消息，所述ND消息具有相关联的地址； 在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条 目； 代表所述不可信的非交换机设备生成并且转发第一重复地址检测（DAD)消息；以及 响应于从非所有者设备接收到第二DAD消息： 当所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消 息；以及 当所述第二地址未被存储为暂定状态条目时，将所述第二DAD消息转发到所述第二地 址的对应的所有者设备以用于邻居通告（NA)防御。2. 如权利要求1中所述的方法，进一步包括： 确定所述ND消息的地址是否已经是处于暂定状态的条目；以及 仅响应于所述地址已经不是处于所述暂定状态的条目而创建所述条目并且转发所述 DAD消息。3. 如权利要求1中所述的方法，进一步包括： 从比当前拥有与所述非DAD消息的地址相对应的特定条目的第二设备更可信的第一 设备接收非DAD消息； 将所述当前条目让给所述第一设备；以及 将所述非DAD消息传递给所述第二设备。4. 如权利要求3中所述的方法，进一步包括： 响应于所述第一设备是交换机，去除所述特定条目；以及 响应于所述第一设备不是交换机，更新所述特定条目以将所述第一设备体现为所述非 DAD消息的地址的所有者。5. 如权利要求1中所述的方法，进一步包括： 从交换机接收另一 ND消息；以及 响应于该另一 ND消息来自交换机，不创建绑定条目。6. 如权利要求1中所述的方法，其中，所述临时暂定状态持续800ms。7. 如权利要求1中所述的方法，其中，转发所述DAD消息包括将所述DAD消息单播到配 置成维护条目的数据库的注册表。8. 如权利要求7中所述的方法，进一步包括： 由所述注册表确定对于所述地址所述注册表是否具有注册的设备； 响应于注册的设备，将所述DAD消息从所述注册表转发到所述注册的交换机；以及 响应于无注册的设备，在所述注册表处丢弃所述DAD消息。9. 如权利要求1中所述的方法，其中，转发所述DAD消息包括响应于不存在维护条目的 数据库的注册表而组播所述DAD消息。10. -种装置，包括： 用来在计算机网络中通信的一个或多个网络接口； 耦合到所述网络接口并且适于执行一个或多个进程的处理器；以及 配置成存储可由所述处理器执行的进程的存储器，所述进程当被执行时可操作来： 从不可信的非交换机设备接收邻居发现（ND)消息，所述ND消息具有相关联的地址； 在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条 目； 代表所述不可信的非交换机设备生成并且转发第一重复地址检测（DAD)消息；以及 响应于从非所有者设备接收到第二DAD消息： 当所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD...

【专利技术属性】
技术研发人员：帕斯卡·舒伯特，艾瑞克·李维阿白哥诺里，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国;US