本发明专利技术提供一种基于前缀安全表项的报文处理方法及装置,所述方法应用于地址分层分配组网中的网络设备,所述方法包括:侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;接收客户端设备发送的报文,获取报文中的源地址;根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。因此本发明专利技术可以通过基于前缀的正式安全表项实现对报文前缀的安全检查,保证合法报文的正常转发,防止非法报文的攻击。
【技术实现步骤摘要】
一种基于前缀安全表项的报文处理方法及装置
本专利技术涉及通信
,尤其涉及一种基于前缀安全表项的报文处理方法及装置。
技术介绍
DHCPv6(DynamicHostConfigurationProtocolforIPv6,支持IPv6的动态主机配置协议)是针对IPv6编址方案设计的,为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议。DHCPv6Snooping是DHCPv6的一种安全特性,为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6Snooping安全机制允许将端口设置为信任端口和不信任端口:信任端口正常转发接收到的DHCPv6报文;不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文;通常将连接DHCPv6服务器、DHCPv6中继或其他DHCPv6Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的伪DHCPv6服务器无法为DHCPv6客户端分配地址。在地址分层分配组网中,通常由PE(ProviderEdge,运营商边缘路由器)先分配给CPE(CustomerPremiseEquipment,终端接入设备)一个IPv6前缀,CPE再给下挂的几个客户端分配IPv6地址,其中PE的下行端口上配置了ipv6sourcebinding。由于PE不知道CPE为客户端分配的IPv6地址,因此PE只能获取CPE路由器的IPv6地址,没有客户端的IPv6地址。这样会导致客户端的流量无法正常通过sourcebinding检查,从而无法通过PE转发。
技术实现思路
有鉴于此,本专利技术提供一种基于前缀安全表项的报文处理方法及装置来解决现有技术中地址分层分配组网中报文无法正常转发的问题。具体地,本专利技术是通过如下技术方案实现的:本专利技术提供一种基于前缀安全表项的报文处理方法,所述方法应用于地址分层分配组网中的网络设备,所述方法包括:侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;接收客户端设备发送的报文,获取报文中的源地址;根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。进一步的,基于前缀信息生成正式安全表项之前,所述方法还包括:判断所述DHCP报文的类型;若是第一报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则更新该临时安全表项的老化时间;若否,则基于所述第一报文的前缀信息生成临时安全表项;若是第二报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则基于所述第二报文的前缀信息生成正式安全表项;若否,则结束处理;若是第三报文,则判断所述前缀信息是否存在匹配的正式安全表项;若是,则删除该正式安全表项;若否,则结束处理。进一步的,基于所述第二报文的前缀信息生成正式安全表项之后,所述方法还包括:基于所述正式安全表项生成转发规则下发至转发芯片。进一步的,所述正式安全表项包括前缀信息,VLAN和端口信息;所述基于所述源地址对该客户端进行安全认证,具体包括:判断所述源地址中的前缀信息是否与所述正式安全表项中的前缀信息相匹配,若是,则验证所述报文的端口信息和VLAN是否与所述正式安全表项中的端口信息和VLAN相匹配,若是,则转发该报文。进一步的,所述方法还包括:所述网络设备具体为部署在所述地址分层分配组网中的PE和CPE之间的物理设备或者是部署在所述PE上的虚拟设备。基于相同的构思,本专利技术还提供一种基于前缀安全表项的报文处理装置,所述装置应用于地址分层分配组网中的网络设备,所述装置包括:表项生成单元,用于侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;地址获取单元,用于接收客户端设备发送的报文,获取报文中的源地址;报文过滤单元,用于根据所述正式安全表项,基于所述源地址对所述报文进行报文过滤。进一步的,所述装置还包括:类型判断单元,用于在基于前缀信息生成正式安全表项之前,判断所述DHCP报文的类型;第一处理单元,用于若DHCP报文是第一报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则更新该临时安全表项的老化时间;若否,则基于所述第一报文的前缀信息生成临时安全表项;第二处理单元,用于若DHCP报文是第二报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则基于所述第二报文的前缀信息生成正式安全表项;若否,则结束处理;第三处理单元,用于若DHCP报文是第三报文,则判断所述前缀信息是否存在匹配的正式安全表项;若是,则删除该正式安全表项;若否,则结束处理。进一步的,所述第二处理单元,还用于在基于所述第二报文的前缀信息生成正式安全表项之后,基于所述正式安全表项生成转发规则下发至转发芯片。进一步的,所述正式安全表项包括前缀信息,VLAN和端口信息;所述报文过滤单元,具体用于判断所述源地址中的前缀信息是否与所述正式安全表项中的前缀信息相匹配,若是,则验证所述报文的端口信息和VLAN是否与所述正式安全表项中的端口信息和VLAN相匹配,若是,则转发该报文。进一步的,所述网络设备具体为部署在所述地址分层分配组网中的PE和CPE之间的物理设备或者是部署在所述PE上的虚拟设备。由此可见,本专利技术的网络设备可以通过侦听地址分层分配组网中的DHCP报文,获取DHCP报文中的前缀信息,并基于该前缀信息生成正式安全表项;在接收客户端设备发送的报文时,获取报文中的源地址,根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。因此本专利技术可以通过基于前缀的正式安全表项实现对报文前缀的安全检查,保证合法报文的正常转发,防止非法报文的攻击。附图说明图1是本专利技术一种示例性实施方式中的一种基于前缀安全表项的报文处理方法的处理流程图;图2是本专利技术一种示例性实施方式中组网示意图;图3本专利技术一种示例性实施方式中的基于前缀安全表项的报文处理装置所在网络设备的硬件结构图;图4本专利技术一种示例性实施方式中的一种基于前缀安全表项的报文处理装置的逻辑结构图。具体实施方式为了解决现有技术存在的问题,本专利技术提供一种基于前缀安全表项的报文处理方法及装置,使网络设备可以通过侦听地址分层分配组网中的DHCP报文,获取DHCP报文中的前缀信息,并基于该前缀信息生成正式安全表项;在接收客户端设备发送的报文时,获取报文中的源地址,根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。因此本专利技术可以通过基于前缀的正式安全表项实现对报文前缀的安全检查,保证合法报文的正常转发,防止非法报文的攻击。请参考图1,是本专利技术一种示例性实施方式中的一种基于前缀安全表项的报文处理方法的处理流程图,该方法应用于地址分层分配组网中的网络设备。所述方法包括:步骤101、侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;在本专利技术可选的实施例中,网络设备可以作为物理设备部署在地址分层分配组网中的PE和CPE之间,也可以作为虚拟设备部署在PE上,其中PE用于分配前缀信息,CPE用于为客户端分配IP地址。网络设备侦听PE和CPE之间交互的DHCP报文,获取所述DHCP报文中的前缀信息,并基于前缀信息生成正式安全表项,在可选的实施例中,网络本文档来自技高网...
【技术保护点】
一种基于前缀安全表项的报文处理方法,其特征在于,所述方法应用于地址分层分配组网中的网络设备,所述方法包括:侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;接收客户端设备发送的报文,获取报文中的源地址;根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。
【技术特征摘要】
1.一种基于前缀安全表项的报文处理方法,其特征在于,所述方法应用于地址分层分配组网中的网络设备,所述方法包括:侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;接收客户端设备发送的报文,获取报文中的源地址;根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。2.根据权利要求1所述的方法,其特征在于,基于前缀信息生成正式安全表项之前,所述方法还包括:判断所述DHCP报文的类型;若是第一报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则更新该临时安全表项的老化时间;若否,则基于所述第一报文的前缀信息生成临时安全表项;若是第二报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则基于所述第二报文的前缀信息生成正式安全表项;若否,则结束处理;若是第三报文,则判断所述前缀信息是否存在匹配的正式安全表项;若是,则删除该正式安全表项;若否,则结束处理。3.根据权利要求2所述的方法,其特征在于,基于所述第二报文的前缀信息生成正式安全表项之后,所述方法还包括:基于所述正式安全表项生成转发规则下发至转发芯片。4.根据权利要求1所述的方法,其特征在于,所述正式安全表项包括前缀信息,VLAN和端口信息;所述基于所述源地址对该客户端进行安全认证,具体包括:判断所述源地址中的前缀信息是否与所述正式安全表项中的前缀信息相匹配,若是,则验证所述报文的端口信息和VLAN是否与所述正式安全表项中的端口信息和VLAN相匹配,若是,则转发该报文。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述网络设备具体为部署在所述地址分层分配组网中的PE和CPE之间的物理设备或者是部署在所述PE上的虚拟设备。6.一种基于前缀安全表项的报文处理装置,其特征在于,所述装置应用于地...
【专利技术属性】
技术研发人员:林长望,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。