本公开涉及通信技术领域,具体涉及一种地址检测的方法、装置、交换机及存储介质,用于解决相关技术中IPv6地址配置过程中可能出现的地址伪造或冲突等技术问题。所述地址检测的方法包括:在交换机接收NS报文后,提取所述NS报文中的入端口、源地址及目标地址字段;当基于所述入端口确认存在对应的寄存器索引时,根据所述入端口对应的寄存器索引验证源地址及目标地址;当所述源地址及目标地址通过验证时,提取所述NS报文中的目的MAC字段;根据所述目的MAC查询MAC地址转发匹配行为表,以确定转发端口并基于所述转发端口转发所述NS报文。
【技术实现步骤摘要】
地址检测的方法、装置、交换机及存储介质
本公开涉通信
,特别地涉及一种地址检测的方法、装置、交换机及存储介质。
技术介绍
重复地址检测(DuplicateAddressDetection,DAD)是IPv6地址配置(静态配置,无状态自动配置(StatelessAddressAutoconfiguration,SLAAC),动态主机配置(DynamicHostConfigurationProtocolforIPv6(DHCPv6)))过程中的关键步骤,它允许相同链路上的节点使用唯一的IPv6地址进行通讯。DAD过程基于两个NDP(NeighborDiscoveryProtocol;邻居发现协议)消息,NeighborSolicitation(NS;邻居请求协议)以及NeighborAdvertisement(NA;邻居通告协议)。在DAD过程中,主机会发出NS消息来验证它想要配置的IPv6地址的唯一性,如果发现该IPv6地址重复,其余相同链路上的主机会回复NA消息。由于NS消息中目标地址(TargetAddress)的公开性以及缺乏验证NA消息真实性的安全机制,恶意主机很容易伪造NA消息来破坏DAD过程进而干扰正常主机的IPv6地址配置。
技术实现思路
本公开提供一种地址检测的方法、装置、交换机及存储介质,以解决相关技术中IPv6地址配置过程中可能出现的地址伪造或冲突等技术问题。为实现上述目的,本公开实施例的第一方面,提供一种地址检测的方法,所述方法包括:在交换机接收NS报文后,提取所述NS报文中的入端口、源地址及目标地址字段;当基于所述入端口确认存在对应的寄存器索引时,根据所述入端口对应的寄存器索引验证源地址及目标地址;当所述源地址及目标地址通过验证时,提取所述NS报文中的目的MAC字段;根据所述目的MAC查询MAC地址转发匹配行为表,以确定转发端口并基于所述转发端口转发所述NS报文。可选地,所述MAC地址转发匹配行为表通过以下步骤获得:提取所述NS报文中的源MAC地址字段,当基于所述源MAC地址字段没有查询到MAC地址转发匹配行为表时,将所述源MAC地址及入端口发送给所述交换机中的控制器,以使所述控制器下发流表;根据所述流表、源MAC地址以及入端口进行MAC地址学习,以获得MAC地址转发匹配行为表。可选地,还包括:当基于所述入端口确认不存在对应的寄存器索引时,基于所述入端口计算与所述入端口对应的寄存器索引;将目标地址及表征为暂时的状态值存储到所述寄存器索引对应的寄存器中。可选地,根据所述入端口对应的寄存器索引验证源地址及目标地址,包括:读取所述寄存器索引所对应的寄存器值;判断所述源地址及所述目标地址是否等于所述寄存器值;其中,若所述源地址及所述目标地址等于所述寄存器值,所述源地址及所述目标地址通过验证。可选地,还包括:当所述源地址及所述目标地址不等于所述寄存器值时,丢弃所述NS报文。可选地,还包括:在交换机接收到根据所述NS报文反馈的NA报文后,提取所述NA报文中的入端口、源地址及目标地址字段;当基于所述NA报文中的入端口计算出与所述NA报文中的入端口对应的寄存器索引时,根据所述NA报文中的入端口对应的寄存器索引验证所述NA报文中的源地址及目标地址;当所述NA报文中的源地址及目标地址通过验证时,从命中匹配行为表中提取与所述NA报文中的目标地址对应的索引值,以获取该索引值中所对应的寄存器值,该寄存器值包括IPv6地址及状态值;如果状态值表征为暂时,重置该索引所对应的寄存器值。可选地,还包括:当所述NA报文中的源地址及目标地址没有通过验证时,丢弃所述NA报文。本公开实施例的第二方面,提供一种地址检测的装置,所述装置包括:第一提取模块,被配置为在交换机接收NS报文后,提取所述NS报文中的入端口、源地址及目标地址字段;验证模块,被配置为当基于所述入端口确认存在对应的寄存器索引时,根据所述入端口对应的寄存器索引验证源地址及目标地址;第二提取模块,被配置为当所述源地址及目标地址通过验证时,提取所述NS报文中的目的MAC字段;转发模块,被配置为根据所述目的MAC查询MAC地址转发匹配行为表,以确定转发端口并基于所述转发端口转发所述NS报文。本公开实施例的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面中任一项所述方法的步骤。本公开实施例的第四方面,提供一种交换机,包括:存储器,其上存储有计算机程序;以及处理器,用于执行所述存储器中的所述计算机程序,以实现上述第一方面中任一项所述方法的步骤。采用上述技术方案,至少能够达到如下技术效果:本公开通过交换机监测IPv6地址配置过程,以建立IPv6地址与链路层属性(例如交换机端口、MAC地址)的绑定表,并将该绑定表存储在交换机的寄存器中,利用交换机提取源及目标地址,从而可直接在交换机上验证源及目标地址的真实性,以过滤伪造的NS/NA消息,确保重复地址检测过程的安全性。本公开计算轻量级,不需在主机及网络设备上实施哈希加密运算,鲁棒性好,不依赖任何中央节点,易于部署,不需修改NDP协议及主机行为。本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。附图说明附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:图1是本公开一示例性实施例示出的一种地址检测的方法流程图。图2是本公开一示例性实施例示出的一种交换机的逻辑结构设计示意框图。图3是本公开一示例性实施例示出的不同NDP功能下NS/NA消息的不同操作示意表。图4是本公开一示例性实施例示出的一种地址检测的装置框图。图5是本公开一示例性实施例示出的交换机框图。具体实施方式以下将结合附图及实施例来详细说明本公开的实施方式,借此对本公开如何应用技术手段来解决技术问题,并达到相应技术效果的实现过程能充分理解并据以实施。本申请实施例以及实施例中的各个特征,在不相冲突前提下可以相互结合,所形成的技术方案均在本公开的保护范围之内。本公开专利技术人经研究发现,由于NS消息中目标地址的公开性以及缺乏验证NA消息真实性的安全机制,目前存在的解决办法可以分成三类:(1)隐藏目标地址。这类方法的核心想法是在DAD过程中隐藏NS消息中的目标地址,以使得恶意主机无法得知要配置的IPv6地址信息。(2)认证NDP消息。这类方法通过在NDP消息中附加消息认证码(MessageAuthenticationCode)来使得主机可以区分NDP消息的真实性。(3)统一回复NA消息。这类方法利用可靠的中央节点来统一地回复NA消息,而忽略其余节点的回复。前两类本文档来自技高网...
【技术保护点】
1.一种地址检测的方法,其特征在于,所述方法包括:/n在交换机接收NS报文后,提取所述NS报文中的入端口、源地址及目标地址字段;/n当基于所述入端口确认存在对应的寄存器索引时,根据所述入端口对应的寄存器索引验证源地址及目标地址;/n当所述源地址及目标地址通过验证时,提取所述NS报文中的目的MAC字段;/n根据所述目的MAC查询MAC地址转发匹配行为表,以确定转发端口并基于所述转发端口转发所述NS报文。/n
【技术特征摘要】
1.一种地址检测的方法,其特征在于,所述方法包括:
在交换机接收NS报文后,提取所述NS报文中的入端口、源地址及目标地址字段;
当基于所述入端口确认存在对应的寄存器索引时,根据所述入端口对应的寄存器索引验证源地址及目标地址;
当所述源地址及目标地址通过验证时,提取所述NS报文中的目的MAC字段;
根据所述目的MAC查询MAC地址转发匹配行为表,以确定转发端口并基于所述转发端口转发所述NS报文。
2.根据权利要求1所述的方法,其特征在于,所述MAC地址转发匹配行为表通过以下步骤获得:
提取所述NS报文中的源MAC地址字段,当基于所述源MAC地址字段没有查询到MAC地址转发匹配行为表时,将所述源MAC地址及入端口发送给所述交换机中的控制器,以使所述控制器下发流表;
根据所述流表、源MAC地址以及入端口进行MAC地址学习,以获得MAC地址转发匹配行为表。
3.根据权利要求2所述的方法,其特征在于,还包括:
当基于所述入端口确认不存在对应的寄存器索引时,基于所述入端口计算与所述入端口对应的寄存器索引;
将目标地址及表征为暂时的状态值存储到所述寄存器索引对应的寄存器中。
4.根据权利要求3所述的方法,其特征在于,根据所述入端口对应的寄存器索引验证源地址及目标地址,包括:
读取所述寄存器索引所对应的寄存器值;
判断所述源地址及所述目标地址是否等于所述寄存器值;其中,若所述源地址及所述目标地址等于所述寄存器值,所述源地址及所述目标地址通过验证。
5.根据权利要求4所述的方法,其特征在于,还包括:
当所述源地址及所述目标地址不等于所述寄存器值时,丢弃所述NS报文。
6.根据权利要...
【专利技术属性】
技术研发人员:何林,刘莹,况鹏,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。