硬件访问控制列表的更新方法、更新装置和交换机制造方法及图纸

本发明专利技术公开了一种硬件访问控制列表的更新方法、更新装置和交换机。所述方法包括：当硬件访问控制列表中的ACL规则被写满时，向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，同时为所述主机节点启动定时器；监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息；如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息，确定所述主机节点已经离线；当监测到主机节点离线时，将离线主机节点在硬件ACL表中对应的ACL规则删除。本发明专利技术提高了交换机ACL表的利用率，满足更多在线主机的接入要求。

【技术实现步骤摘要】
硬件访问控制列表的更新方法、更新装置和交换机
本专利技术涉及通信技术和计算机领域，尤其涉及一种硬件访问控制列表的更新方法、更新装置和交换机。
技术介绍
DHCPv6(DynamicHostConfigurationProtocolVersion6，动态主机配置协议，版本6)是一个局域网协议，使用UDP协议(UserDatagramProtocol，用户数据包协议)工作，主要有两个用途：(1)为内部网络或网络服务供应商自动分配IPv6(InternetProtocolVersion6，网际协议，版本6)地址给用户；(2)方便内部网络管理员对所有计算机作中央管理。DHCPv6SNOOPING(DHCPv6监听协议)是一种监听DHCPv6请求过程的私有协议，它在交换装置中使用，将每一个成功获取IPv6地址的用户生成一个DHCPv6绑定信息。ACL(AccessControlList，访问控制列表)是一或多条规则的集合，用于识别报文流。这里所指的规则是指描述报文匹配条件的判断语句，匹配条件可以是报文的源地址、目的地址和端口号等。网络设备依照这些规则识别出特定的报文，并根据预先设定的策略对其进行处理。为了防止用户私自接入网络，便于网络的维护和管理，可结合DHCPv6SNOOPING来实施接入控制策略，通过DHCPv6方式获取IPv6地址的主机可以访问网络，而私设IPv6地址的主机将不允许访问网络。这种接入策略可以结合交换机硬件ACL来实现，即：针对每一个合法的DHCPv6用户下发一条相对应的ACL规则。但是，由于交换设备中的ACL的容量有限，当DHCPv6绑定表项数目大于设备的ACL规则数目时，一些DHCPv6绑定表项对应的ACL规则无法下发，则这些DHCPv6用户无法访问网络，但是，交换设备无法保证所有ACL规则对应的主机节点均在线，这就造成因为不在线主机占用ACL规则而使得在线主机无法访问网络，交换机硬件ACL利用率低。
技术实现思路
有鉴于此，本专利技术提供一种硬件访问控制列表的更新方法、更新装置和交换机，以提高了交换机硬件ACL的利用率，满足更多在线主机节点的接入要求。在第一方面，本专利技术实施例提供了一种硬件访问控制列表的更新方法，包括：当硬件ACL中的ACL规则被写满时，向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，同时为所述主机节点启动定时器，其中，所述邻居请求消息的源地址为未指定地址，目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址，消息内容中包括所述主机节点的IPv6地址；监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息；如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息，确定所述主机节点已经离线；当监测到主机节点离线时，将离线主机节点在硬件ACL中对应的ACL规则删除。在第二方面，本专利技术实施例提供了一种硬件访问控制列表的更新装置，包括：请求消息发送单元，用于当硬件ACL中的ACL规则被写满时，向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，同时为所述主机节点启动定时器，其中，所述邻居请求消息的源地址为未指定地址，目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址，消息内容中包括所述主机节点的IPv6地址；公告消息监听单元，用于监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息；离线主机确定单元，用于如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息，确定所述主机节点已经离线；ACL规则删除单元，用于当监测到主机节点离线时，将离线主机节点在硬件ACL中对应的ACL规则删除。在第三方面，本专利技术提供了一种交换机，包括本专利技术任意实施例所提供的硬件访问控制列表的更新装置。本专利技术实施例提供的硬件访问控制列表的更新方法、更新装置和交换机，在硬件ACL规则被写满后，通过向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息的方式，检测硬件ACL中记录的主机节点是否在线，将不在线的主机节点从硬件ACL中删除，为在线用户留出了更多的硬件空间。提高了交换机硬件ACL的利用率，满足了更多在线主机节点的接入要求。附图说明图1是本专利技术第一实施例的一种硬件ACL的更新方法的流程图；图2是本专利技术第二实施例的一种硬件ACL的更新方法的流程图；图3是本专利技术第三实施例的一种硬件ACL的更新装置的结构图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚，下面结合附图对本专利技术具体实施例作进一步的详细描述。可以理解的是，此处所描述的具体实施例仅仅用于解释本专利技术，而非对本专利技术的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本专利技术相关的部分而非全部内容。本专利技术实施例利用了重复地址检测技术，即：节点A发送邻居请求消息，其中，该邻居请求消息的源地址是未指定地址(用::表示)，目的地址是待检测的IPv6(InternetProtocolVersion6，互联网协议，版本号6)地址对应的被请求节点组播地址，消息内容中包含了该待检测的IPv6地址。如果某个节点B已经使用这个IPv6地址，则会返回邻居公告消息。其中包含了自己的IPv6地址。节点A收到节点B发来的邻居公告消息，就知道该IPv6地址已被使用。反之，则说明该地址未被使用，节点A就可使用此IPv6地址。本专利技术利用了重复地址检测机制，只有当节点B当前在线的情况下，才会向节点A发送对应的邻居公告消息，因此，交换机可以通过对IPv6地址进行重复地址检测的方式，获取与该IPv6地址对应的主机是否在线。第一实施例图1是本专利技术第一实施例提供的一种ACL的更新方法的流程图，本实施例的方法可以由硬件ACL的更新装置来执行，该装置可通过硬件和/或软件的方式实现，一般可集成于三层交换机内。本实施例的方法具体包括如下步骤：步骤110、当硬件ACL中的ACL规则被写满时，向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，同时为所述主机节点启动定时器，其中，所述邻居请求消息的源地址为未指定地址，目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址，消息内容中包括所述主机节点的IPv6地址。在本实施例中，交换机查询自身存储的硬件ACL，当该硬件ACL中的ACL规则被写满时，向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，进行重复地址检测。在本实施例中，上述软件DHCPv6绑定表中包括与硬件ACL中的ACL规则相对应的主机节点信息。典型的，上述主机节点信息中包括：主机IPv6地址、主机MAC(MediaAccessControl，介质访问控制层)地址、接入VLAN(VirtualLocalAreaNetwork，虚拟局域网)号和接入端口号。当然，本领域技术人员可以理解的是，主机节点信息中除了上述四元组数据之外，还可以包括其他类型的数据，例如：数据包发送时间、有效生存期等，对此并不限定。在本实施例中，交换机可以向软件DHCPv6绑定表中的表项对应的主机发送一个邻居请求消息，或者，连续向对应的主机发送预定多个邻居本文档来自技高网...

【技术保护点】
一种硬件访问控制列表的更新方法，其特征在于，包括：当硬件访问控制列表ACL中的ACL规则被写满时，向软件动态主机配置协议DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，同时为所述主机节点启动定时器，其中，所述邻居请求消息的源地址为未指定地址，目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址，消息内容中包括所述主机节点的IPv6地址；监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息；如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息，确定所述主机节点已经离线；当监测到主机节点离线时，将离线主机节点在硬件ACL表中对应的ACL规则删除。

【技术特征摘要】
1.一种硬件访问控制列表的更新方法，其特征在于，包括：当硬件访问控制列表中的ACL规则被写满时，向软件动态主机配置协议DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，同时为所述主机节点启动定时器，其中，所述邻居请求消息的源地址为未指定地址，目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址，消息内容中包括所述主机节点的IPv6地址；监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息；如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息，确定所述主机节点已经离线；当监测到主机节点离线时，将离线主机节点在硬件访问控制列表中对应的ACL规则删除；所述的软件DHCPv6绑定表中还包括表项写入状态，其中，所述表项写入状态包括：硬件写入状态和软件写入状态；所述当硬件访问控制列表中的ACL规则被写满时，向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息具体包括：当硬件访问控制列表中的ACL规则被写满时，向软件DHCPv6绑定表中表项写入状态为硬件写入状态的表项对应的主机节点发送至少一个邻居请求消息；所述当监测到主机节点离线时，将离线主机节点在硬件访问控制列表中对应的ACL规则删除之后，还包括：将软件DHCPv6绑定表中与离线主机节点对应的表项的写入状态修改为软件写入状态。2.根据权利要求1所述的硬件访问控制列表的更新方法，其特征在于，所述方法还包括：监听主机节点的DHCPv6探听过程，为监听到的主机节点在软件DHCPv6绑定表中创建表项；根据所述软件DHCPv6绑定表项下发所述硬件ACL规则。3.根据权利要求2所述的硬件访问控制列表的更新方法，其特征在于，所述监听主机节点的DHCPv6探听过程，为监听到的主机节点在软件DHCPv6绑定表中创建表项具体包括：获取网络中DHCPv6请求报文；提取所述DHCPv6请求报文中的交换标识，作为操作标识；当获取交换标识与所述操作标识相同的DHCPv6应答报文时，提取所述DHCPv6应答报文中的主机信息，其中，所述主机信息包括主机媒体访问控制MAC地址和IPv6地址；查询MAC地址表，获取与所述主机MAC地址相对应的虚拟局域网VLAN号和端口号；将所述主机MAC地址、IPv6地址、VLAN号和端口号，作为一条绑定表项写入所述软件DHCPv...

【专利技术属性】
技术研发人员：梁小冰，向阳朝，陈翔，
申请(专利权)人：神州数码网络北京有限公司，上海神州数码有限公司，
类型：发明
国别省市：