一种邻居发现协议安全表项处理方法和装置制造方法及图纸

本申请提供一种邻居发现协议ND安全表项处理方法，应用于二层交换设备，其通过信任端口连接路由器网关、通过验证端口连接主机，方法为：接收NS报文或NA报文；从报文中获取报文发送方的主机地址；如果本设备上不存在与该主机地址对应的ND安全表项，则新建与该主机地址对应的临时未生效的ND安全表项，通过信任端口发送探测该主机地址是否已被使用的NS报文；若在设定时间内从信任端口收到通告该主机地址已被使用的NA报文则删除新建的ND安全表项；若在设定时间内未从信任端口收到NA报文则生效该ND安全表项；设定时间为从信任端口收到的RA报文包括的重新传输计时器字段值。该方法使得ND安全内表项的表项探测时长可动态调整。

【技术实现步骤摘要】
一种邻居发现协议安全表项处理方法和装置
本申请涉及通信
，尤其涉及一种ND(NeighborDiscovery，邻居发现协议)安全表项处理方法和装置。
技术介绍
RFC(requestforcomments，请求注解协议)6620定义描述了IPv6(InternetProtocolVersion6，互联网协议第6版)的源地址验证机制：在连接路由器网关和主机的二层交换设备上生成ND安全表项，用于验证到达二层交换设备的数据报文的合法性；如果数据报文的源地址未记录在ND安全表项中则该数据报文不合法会被丢弃，如果数据报文的源地址已记录在ND安全表项中则该数据报文合法会被正常转发。ND安全表项为数据报文的转发和丢弃提供了凭证，保证了源地址的有效性，可以防止非法报文的攻击。
技术实现思路
有鉴于此，本申请提供一种ND安全表项处理方法和装置，用于动态调整ND安全表项的表项探测时长，保证了在各类网络下的适应性。具体地，本申请是通过如下技术方案实现的：本申请第一方面，提供了一种ND安全表项处理方法，所述方法应用于二层交换设备，所述二层交换设备通过信任端口连接路由器网关、通过验证端口连接主机，所述方法本文档来自技高网...

【技术保护点】
一种邻居发现协议安全表项处理方法，其特征在于，所述方法应用于二层交换设备，所述二层交换设备通过信任端口连接路由器网关、通过验证端口连接主机，所述方法包括：接收邻居请求NS报文或邻居通告NA报文；从所述NS报文或NA报文中获取报文发送方的主机地址；如果本设备上不存在与所述主机地址对应的邻居发现协议ND安全表项，则新建与所述主机地址对应的临时未生效的ND安全表项，并通过信任端口发送用于探测所述主机地址是否已被使用的NS报文；如果在设定时间内从信任端口收到用于通告所述主机地址已被使用的NA报文，则删除新建的ND安全表项；如果在设定时间内未从信任端口收到用于通告所述主机地址已被使用的NA报文，则生效新...

【技术特征摘要】
1.一种邻居发现协议安全表项处理方法，其特征在于，所述方法应用于二层交换设备，所述二层交换设备通过信任端口连接路由器网关、通过验证端口连接主机，所述方法包括：接收邻居请求NS报文或邻居通告NA报文；从所述NS报文或NA报文中获取报文发送方的主机地址；如果本设备上不存在与所述主机地址对应的邻居发现协议ND安全表项，则新建与所述主机地址对应的临时未生效的ND安全表项，并通过信任端口发送用于探测所述主机地址是否已被使用的NS报文；如果在设定时间内从信任端口收到用于通告所述主机地址已被使用的NA报文，则删除新建的ND安全表项；如果在设定时间内未从信任端口收到用于通告所述主机地址已被使用的NA报文，则生效新建的ND安全表项；其中，所述设定时间为从信任端口收到的路由通告RA报文包括的重新传输计时器字段值。2.如权利要求1所述的方法，其特征在于，本设备上存在与所述主机地址对应的ND安全表项且该ND安全表项的状态为无效；所述方法还包括：如果所述NS报文或NA报文从本设备的验证端口收到，则根据所述NS报文或NA报文的媒体接入控制MAC地址和入端口更新该ND安全表项的内容；如果所述NS报文或NA报文从本设备的信任端口收到，则删除该ND安全表项。3.如权利要求1所述的方法，其特征在于，本设备上存在与所述主机地址对应的ND安全表项且该ND安全表项的状态为有效；所述方法还包括：如果该ND安全表项记录的MAC地址和入端口与所述NS报文或NA报文的MAC地址和入端口一致，则更新该ND安全表项的老化时间；如果该ND安全表项记录的MAC地址和入端口与所述NS报文或NA报文的MAC地址和入端口不一致，则通过该ND安全表项记录的入端口发送用于探测所述主机地址是否仍被使用的NS报文；当在所述设定时间内从该ND安全表项记录的入端口收到用于通告所述主机地址仍被使用的NA报文时，保持该ND安全表项的内容不变，并更新该ND安全表项的老化时间；当在所述设定时间内未从该ND安全表项记录的入端口收到用于通告所述主机地址仍被使用的NA报文时，根据所述NS报文或NA报文的MAC地址和入端口更新该ND安全表项的内容，并更新该ND安全表项的老化时间。4.如权利要求1所述的方法，其特征在于，在生效新建的ND安全表项后，所述方法还包括：为生效的ND安全表项设置老化时间，所述老化时间为从信任端口收到的RA报文包括的可达时间字段值与一随机时间的和值；当生效的ND安全表项到达所述老化时间时，通过该ND安全表项记录的入端口发送用于探测所述主机地址是否仍被使用的NS报文；如果在所述设定时间内从该ND安全表项记录的入端口收到用于通告所述主机地址仍被使用的NA报文，则更新该ND安全表项的老化时间，如果在所述设定时间内未从该ND安全表项记录的入端口收到用于通告所述主机地址仍被使用的NA报文，则删除该ND安全表项。5.如权利要求1所述的方法，其特征在于，所述从所述NS报文或NA报文中获取报文发送方对应的主机地址，包括：对于重复地址检测DADNS报文，从该报文的内容中获取报文发送方的主机地址；对于非DADNS报文或NA报文，从该报文的源地址字段中获取报文发送方的主机地址。6.一种邻居发现协议安全表项处理装置，其特征在于，所述装置应用于二层交换...

【专利技术属性】
技术研发人员：罗琳，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33