一種表項建立方法及裝置制造方法
【專利摘要】本發(fā)明提供一種表項建立方法及裝置����。所述方法包括:轉(zhuǎn)發(fā)層面收到下行報文時,判斷所述下行報文是否為未知報文����;當(dāng)所述下行報文為未知報文時,所述轉(zhuǎn)發(fā)層面將所述未知報文上送到控制層面�����;控制層面收到所述未知報文后���,為所述未知報文的目標(biāo)主機建立對應(yīng)的安全綁定表項。因此��,本發(fā)明可以通過建立安全綁定表項來保證目標(biāo)主機正常訪問網(wǎng)絡(luò)��。
【專利說明】_種表項建立方法及裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信【技術(shù)領(lǐng)域】����,尤其涉及一種表項建立方法及裝置。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)的應(yīng)用與發(fā)展,網(wǎng)絡(luò)安全性逐漸被人們重視�。由于ND Snooping(Neighbor Discovery Snooping,鄰居發(fā)現(xiàn)協(xié)議報文偵聽)技術(shù)可以通過偵聽二 層交換網(wǎng)絡(luò)中用戶主機發(fā)送的上行報文����,例如ND協(xié)議報文,來建立ND Snooping表項�,因此 現(xiàn)有技術(shù)中可利用ND Snooping表項作為用戶主機的安全綁定表項來進行安全保護,以防 止非法用戶通過仿冒合法用戶的IPdnternet Protocol�����,網(wǎng)互連協(xié)議)地址對網(wǎng)絡(luò)進行訪 問����。
[0003] 然而當(dāng)網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備因異常或設(shè)備重啟導(dǎo)致本地的ND snooping表項丟失時�,由 于用戶主機可能無法感知這一情況,則用戶主機不能重新發(fā)送ND協(xié)議報文��,因此所述網(wǎng)絡(luò) 轉(zhuǎn)發(fā)設(shè)備無法學(xué)習(xí)到該用戶主機的ND snooping表項����,導(dǎo)致用戶主機無法訪問網(wǎng)絡(luò)。
【發(fā)明內(nèi)容】
[0004] 有鑒于此�����,本發(fā)明提供一種表項建立方法及裝置。
[0005] 具體地�����,本發(fā)明是通過如下技術(shù)方案實現(xiàn)的:
[0006] -種表項建立方法����,所述方法應(yīng)用于網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備,所述方法包括:
[0007] 轉(zhuǎn)發(fā)層面收到下行報文時�,判斷所述下行報文是否為未知報文;
[0008] 當(dāng)所述下行報文為未知報文時��,所述轉(zhuǎn)發(fā)層面將所述未知報文上送到控制層面�����;
[0009] 控制層面收到所述未知報文后�,為所述未知報文的目標(biāo)主機建立對應(yīng)的安全綁定 表項。
[0010] 進一步的��,所述轉(zhuǎn)發(fā)層面判斷所述下行報文是否為未知報文�����,包括:
[0011] 轉(zhuǎn)發(fā)層面獲取所述下行報文的源介質(zhì)訪問控制MAC地址����;
[0012] 在自身的MAC地址表中查找所述下行報文的源MAC地址;
[0013] 若未查找到�,則確定所述下行報文為未知報文。
[0014] 進一步的���,當(dāng)預(yù)先在所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的端口上下發(fā)訪問控制列表ACL規(guī)則時�, 所述轉(zhuǎn)發(fā)層面將所述未知報文上送到控制層面����,包括:
[0015] 所述轉(zhuǎn)發(fā)層面在預(yù)先下發(fā)的ACL規(guī)則中查找與所述未知報文匹配的ACL規(guī)則;
[0016] 按照匹配到的ACL規(guī)則中定義的動作����,復(fù)制所述未知報文并上送到控制層面。
[0017] 進一步的����,當(dāng)所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備包括具有寄存器的轉(zhuǎn)發(fā)芯片時,所述轉(zhuǎn)發(fā)層面將 所述未知報文上送到控制層面�,包括:
[0018] 所述轉(zhuǎn)發(fā)層面根據(jù)所述寄存器中預(yù)設(shè)的轉(zhuǎn)發(fā)策略,復(fù)制所述未知報文并上送到控 制層面��。
[0019] 進一步的,所述控制層面為所述未知報文的目標(biāo)主機建立對應(yīng)的安全綁定表項�����, 包括:
[0020] 獲取所述未知報文所屬的虛擬局域網(wǎng)VLAN及目的網(wǎng)絡(luò)互連協(xié)議IP地址�����;
[0021] 根據(jù)所述目的IP地址創(chuàng)建鄰居發(fā)現(xiàn)ND協(xié)議報文���,并將所述ND協(xié)議報文在所述 VLAN中進行廣播��,以使所述未知報文的目標(biāo)主機在收到所述ND協(xié)議報文后返回ND應(yīng)答報 文�����;
[0022] 根據(jù)所述目標(biāo)主機返回的ND應(yīng)答報文��,創(chuàng)建所述目標(biāo)主機對應(yīng)的安全綁定表項����。
[0023] 一種表項建立裝置�����,所述裝置應(yīng)用于網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備�,所述裝置包括:
[0024] 報文判斷單元,用于在轉(zhuǎn)發(fā)層面收到下行報文時��,判斷所述下行報文是否為未知 報文�����;
[0025] 報文上送單元�,用于當(dāng)所述下行報文為未知報文時,將所述未知報文上送到控制 層面�;
[0026] 表項建立單元,用于在控制層面收到所述未知報文后��,為所述未知報文的目標(biāo)主 機建立對應(yīng)的安全綁定表項��。
[0027] 進一步的�����,所述報文判斷單元����,具體用于獲取所述下行報文的源MAC地址,在自身 的MAC地址表中查找所述下行報文的源MAC地址�����,若未查找到,則確定所述下行報文為未知 報文����。
[0028] 進一步的,當(dāng)預(yù)先在所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的端口上下發(fā)ACL規(guī)則時����,
[0029] 所述報文上送單元,具體用于在預(yù)先下發(fā)的ACL規(guī)則中查找與所述未知報文匹配 的ACL規(guī)則���;按照匹配到的ACL規(guī)則中定義的動作����,復(fù)制所述未知報文并上送到控制層面����。
[0030] 進一步的,當(dāng)所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備包括具有寄存器的轉(zhuǎn)發(fā)芯片時����,
[0031] 所述報文上送單元,具體用于根據(jù)所述寄存器中預(yù)設(shè)的轉(zhuǎn)發(fā)策略,復(fù)制所述未知 報文并上送到控制層面�。
[0032] 進一步的,所述表項建立單元��,具體用于獲取所述未知報文所屬的VLAN及目的IP 地址����;根據(jù)所述目的IP地址創(chuàng)建ND協(xié)議報文����,并將所述ND協(xié)議報文在所述VLAN中進行廣 播,以使所述未知報文的目標(biāo)主機在收到所述ND協(xié)議報文后返回ND應(yīng)答報文�����;根據(jù)所述目 標(biāo)主機返回的ND應(yīng)答報文��,創(chuàng)建所述目標(biāo)主機對應(yīng)的安全綁定表項��。
[0033] 由此可見����,本發(fā)明通過在網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面收到下行報文時,若判斷所述 下行報文為未知報文����,將所述未知報文上送到所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的控制層面���,并由控制層 面為所述未知報文的目標(biāo)主機建立對應(yīng)的安全綁定表項,當(dāng)所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備收到所述目 標(biāo)主機發(fā)送的訪問請求時�����,可以根據(jù)所述安全綁定表項確定所述目標(biāo)主機為合法用戶�����,從 而使所述目標(biāo)主機可以在沒有上行報文的情況下正常訪問網(wǎng)絡(luò)�。
【專利附圖】
【附圖說明】
[0034] 圖1是本發(fā)明一種示例性實施方式中的網(wǎng)絡(luò)架構(gòu)圖;
[0035] 圖2是本發(fā)明一種示例性實施方式中的表項建立方法的處理流程圖��;
[0036] 圖3是本發(fā)明一種示例性實施方式中的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的處理流程圖���;
[0037] 圖4是本發(fā)明一種示例性實施方式中的一種表項建立裝置的網(wǎng)絡(luò)轉(zhuǎn)設(shè)備的硬件 結(jié)構(gòu)圖�;
[0038] 圖5是本發(fā)明一種示例性實施方式中的一種表項建立裝置的邏輯結(jié)構(gòu)圖��。
【具體實施方式】
[0039] 請參見圖1��,是本發(fā)明一種示例性實施方式中的網(wǎng)絡(luò)架構(gòu)圖�,其中網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備分 別與主機1和主機2建立了網(wǎng)絡(luò)連接。通常可以將主機面向所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的方向�,稱 為"上行方向",該方向上傳輸?shù)膱笪目煞Q為"上行報文"���。對應(yīng)的�,可將所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備 面向主機的方向稱為"下行方向"����,該方向上傳輸?shù)膱笪目煞Q為"下行報文"����。按照業(yè)務(wù)分工 不同,通??蓪⑺鼍W(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備分為控制層面和轉(zhuǎn)發(fā)層面。其中網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中的處理 器可視為控制層面�,控制層面通常用于通過內(nèi)部通道向轉(zhuǎn)發(fā)層面下發(fā)控制策略以及與其他 網(wǎng)絡(luò)設(shè)備交互控制報文。網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中的端口及轉(zhuǎn)發(fā)芯片可視為轉(zhuǎn)發(fā)層面�,轉(zhuǎn)發(fā)層面通 常用于根據(jù)控制層面下發(fā)的控制策略轉(zhuǎn)發(fā)報文。
[0040] 傳統(tǒng)的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備是在轉(zhuǎn)發(fā)層面收到主機發(fā)送的上行報文時���,觸發(fā)控制層面可 以為發(fā)送所述上行報文的主機創(chuàng)建安全綁定表項�,從而使主機可以安全訪問網(wǎng)絡(luò)���。但是當(dāng) 所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備上的主機1的安全綁定表項丟失時�����,由于主機1在多數(shù)情況下無法感知 到這一情況��,因此不會主動發(fā)送上行報文來重新觸發(fā)控制層面建立安全綁定表項�。當(dāng)主機 1再次請求訪問網(wǎng)絡(luò)時,就可能會被該網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備拒絕訪問����。
[0041] 本發(fā)明實施例中,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面收到下行報文時�,若判斷所述下行報 文為未知報文,將所述未知報文上送到所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的控制層面����,并由控制層面為所 述未知報文的目標(biāo)主機建立對應(yīng)的安全綁定表項,從而使所述目標(biāo)主機可以正常訪問網(wǎng) 絡(luò)��。
[0042] 請參考圖2,是本發(fā)明一種示例性實施方式中的表項建立方法的處理流程圖����,所述 方法應(yīng)用于網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備,所述方法包括:
[0043] 步驟201�、轉(zhuǎn)發(fā)層面收到下行報文時�,判斷所述下行報文是否為未知報文�����;
[0044] 其中����,當(dāng)網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面通過下行端口收到下行報文時,可以查找自身 的MAC(Media Access Control�����,媒體介入控制層)地址表項判斷該下行報文是否為未知報 文�。在本發(fā)明可選的實施例中�,所述轉(zhuǎn)發(fā)層面判斷所述下行報文是否為未知報文的過程具 體為:先解析該下行報文,獲取所述下行報文的源MAC地址�;然后在自身學(xué)習(xí)到的MAC地址 表中查找所述下行報文的源MAC地址;如果未查找到所述下行報文的源MAC地址�,則確定所 述下行報文為未知報文。
[0045] 本實施例中的所述未知報文可以是未知單播報文��,也可以是未知組播報文��,下面 的處理步驟對于未知單播報文和未知組播報文均適用��。
[0046] 步驟202、當(dāng)所述下行報文為未知報文時����,所述轉(zhuǎn)發(fā)層面將所述未知報文上送到控 制層面;
[0047] 當(dāng)確定所述下行報文是未知報文時���,除了根據(jù)常規(guī)處理方式將該未知報文向下行 方向的主機進行廣播以外�����,所述轉(zhuǎn)發(fā)層面還可根據(jù)預(yù)設(shè)的處理策略將所述未知報文上送到 控制層面處理����。
[0048] 在本發(fā)明可選的實施例中���,所述轉(zhuǎn)發(fā)層面將所述未知報文上送到控制層面可以通 過以下兩種方式實現(xiàn)�����。
[0049] 方式一:
[0050] 預(yù)先在所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的端口上下發(fā)ACL(Access Control List����,訪問控制列 表)規(guī)則�,轉(zhuǎn)發(fā)層面可以在預(yù)先下發(fā)的ACL規(guī)則中查找與所述未知報文匹配的ACL規(guī)則���; 并按照匹配到的ACL規(guī)則中定義的動作,復(fù)制所述未知報文并上送到控制層面�。由于ACL 規(guī)則作為網(wǎng)絡(luò)安全防范的主要策略被廣泛應(yīng)用在轉(zhuǎn)發(fā)層面上,因此本方法具有良好的兼容 性��,可以應(yīng)用于各種網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備�����。
[0051] 方式二:
[0052] 當(dāng)所述轉(zhuǎn)發(fā)層面包括具有寄存器的轉(zhuǎn)發(fā)芯片時�,還可以在所述寄存器中預(yù)先設(shè)置 轉(zhuǎn)發(fā)策略。當(dāng)轉(zhuǎn)發(fā)層面收到下行的未知報文時�����,可以根據(jù)所述寄存器中預(yù)設(shè)的轉(zhuǎn)發(fā)策略�����,復(fù) 制所述未知報文并上送控制層面��。由于轉(zhuǎn)發(fā)芯片通過硬件轉(zhuǎn)發(fā)�,相比于軟件轉(zhuǎn)發(fā)處理速度 更快�����,因此通過轉(zhuǎn)發(fā)芯片上送所述未知報文到控制層面的方法可以提高所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備 的處理效率。
[0053] 需要說明的是���,由于所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備除了通過所述下行的未知報文觸發(fā)控制層 面主動去建立安全綁定表項外��,還要保證所述未知報文能夠傳輸?shù)街鳈C上��。進行因此本實 施例中需要對該未知報文進行復(fù)制���,而非直接上送。
[0054] 步驟203��、控制層面收到所述未知報文后����,為所述未知報文的目標(biāo)主機建立對應(yīng)的 安全綁定表項。
[0055] 控制層面收到轉(zhuǎn)發(fā)層面上送的所述未知報文后��,可觸發(fā)所述控制層面向該未知報 文對應(yīng)的目標(biāo)主機發(fā)送控制報文�,通過與目標(biāo)主機交互,從而為該目標(biāo)主機建立對應(yīng)的安 全綁定表項�。
[0056] 由此可見,本發(fā)明通過在網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面收到下行報文時�,若判斷所述 下行報文為未知報文�����,將所述未知報文上送到所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的控制層面�,并由控制層 面為所述未知報文的目標(biāo)主機建立對應(yīng)的安全綁定表項��,當(dāng)所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備收到所述目 標(biāo)主機發(fā)送的訪問請求時��,可以根據(jù)所述安全綁定表項確定所述目標(biāo)主機為合法用戶����,從 而使所述目標(biāo)主機可以在沒有上行報文的情況下正常訪問網(wǎng)絡(luò)。
[0057] 由于所述安全綁定表項可以包含多種表項���,常用的安全綁定表項是ND Snooping 表項�,因此在本發(fā)明可選的實施例中��,以網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備建立ND Snooping表項為例����,說明所 述控制層面收到未知報文后���,具體建立安全綁定表項的過程��。首先網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的控制層 面可以獲取所述未知報文所屬的VLAN(Virtual Local Area Network��,虛擬局域網(wǎng))及目 的IP地址�����,也就是目標(biāo)主機的IP地址�����;控制層面創(chuàng)建ND協(xié)議報文�����,并將所述目的IP地址 填寫到該ND協(xié)議報文的指定字段�����,然后將所述ND協(xié)議報文在所述未知報文所屬的VLAN中 進行廣播�。當(dāng)所述目標(biāo)主機收到所述ND協(xié)議報文后,確認(rèn)該ND協(xié)議報文中攜帶的目的IP 地址就是自身的IP地址后�,向所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備返回ND應(yīng)答報文,并攜帶主機自身的MAC 地址���、IP地址等信息���。所述控制層面根據(jù)所述目標(biāo)主機返回的ND應(yīng)答報文���,創(chuàng)建所述目標(biāo) 主機對應(yīng)的安全綁定表項,該表項中可以包括主機的MAC地址�����、IP地址���、所屬的VLAN及端 口號等信息��。由于ND協(xié)議報文可以代替ARP請求進行鏈路層地址解析�����,還可以在進行鄰 居發(fā)現(xiàn)過程中篩選不可達的鄰居節(jié)點���、篩選重復(fù)地址,因此通過與目標(biāo)主機交互ND協(xié)議報 文���,可以快速準(zhǔn)確的獲取目標(biāo)主機的MAC地址�����、IP地址等信息����。
[0058] 為使本發(fā)明的目的�、技術(shù)方案及優(yōu)點更加清楚明白,以下基于圖1的網(wǎng)絡(luò)架構(gòu)����,對 本發(fā)明所述方案作進一步地詳細說明。
[0059] 根據(jù)前述實施例����,當(dāng)網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備上主機1的ND snooping表項丟失時,所述網(wǎng)絡(luò) 轉(zhuǎn)發(fā)設(shè)備的具體處理過程如圖3所示�����,其中包括:
[0060] 步驟301���、網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面接收下行報文后����,獲取該下行報文的源MAC地 址;
[0061] 步驟302�����、網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面判斷所述下行報文的源MAC地址是否在自身 的MAC地址表中���,若是��,則轉(zhuǎn)步驟303 ;若否����,則轉(zhuǎn)步驟304 ;
[0062] 步驟303���、網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面轉(zhuǎn)發(fā)該下行報文�,并結(jié)束�;
[0063] 步驟304、網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面復(fù)制并廣播所述下行報文���;
[0064] 步驟305�、網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面上送所述下行報文到控制層面���;
[0065] 步驟306����、網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的控制層面根據(jù)所述下行報文所屬的VLAN及目的IP地址 創(chuàng)建ND協(xié)議報文并在所述VLAN內(nèi)廣播;
[0066] 假設(shè)該下行報文的目的IP地址為IP1����,所屬的VLAN為VLAN1��。該控制層面將IP1 寫入ND協(xié)議報文的指定字段中�,所述ND協(xié)議報文通常可以是用于請求主機所在位置的 DAD-NS報文�。由于主機1和主機2都屬于VLAN1,因此主機1和主機2都能夠收到網(wǎng)絡(luò)轉(zhuǎn)發(fā) 設(shè)備發(fā)送的DAD-NS報文��。主機1和主機2在收到該DAD-NS報文后���,可獲取其攜帶的IP1��, 然后與自身的IP地址進行匹配��,假設(shè)主機1的IP地址為IP1���,則說明主機1為所述未知報 文的目標(biāo)主機。于是主機1可以向網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備返回ND應(yīng)答報文����。所述ND應(yīng)答報文中包 括主機1的源IP地址IP1�����、源MAC地址MAC1�����、入端口 P1等信息�����。
[0067] 步驟307�、控制層面收到主機1返回的ND應(yīng)答報文后�,創(chuàng)建所述主機1對應(yīng)的ND snooping 表項。
[0068] 該控制層面為主機1創(chuàng)建的ND snooping表項如下表1所示:
[0069]
[0070] 表 1
[0071] 那么當(dāng)所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備后續(xù)再收到主機1發(fā)送的訪問網(wǎng)絡(luò)請求時����,根據(jù)該請求 中的主機1的源IP地址,源MAC地址�,入端口及所屬VALN等信息與自身保存的ND snooping 表項進行比對,便可以識別主機1的身份��,從而對主機1進行安全放行��。
[0072] 由此可見,本發(fā)明通過在網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)層面收到下行報文時���,若判斷所述 下行報文為未知報文�,將所述未知報文上送到所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的控制層面���,并由控制層 面為所述未知報文的目標(biāo)主機建立對應(yīng)的安全綁定表項��,當(dāng)所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備收到所述目 標(biāo)主機發(fā)送的訪問請求時,可以根據(jù)所述安全綁定表項確定所述目標(biāo)主機為合法用戶�����,從 而使所述目標(biāo)主機可以在沒有上行報文的情況下正常訪問網(wǎng)絡(luò)��。
[0073] 基于相同的構(gòu)思�����,本發(fā)明還提供一種表項建立裝置���,所述裝置可以通過軟件實現(xiàn)��, 也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)���。以軟件實現(xiàn)為例���,本發(fā)明的表項建立裝置作 為一個邏輯意義上的裝置,是通過其所在網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的CPU將存儲器中對應(yīng)的計算機程 序指令讀取后運行而成��。
[0074] 請參考圖4及圖5,是本發(fā)明一種示例性實施方式中的一種表項建立裝置400,所 述裝置應(yīng)用于網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備�,所述裝置基本運行環(huán)境包括CPU,存儲器以及其他硬件����,從邏 輯層面上來看,所述裝置400包括:
【權(quán)利要求】
1. 一種表項建立方法�,其特征在于,所述方法應(yīng)用于網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備����,所述方法包括: 轉(zhuǎn)發(fā)層面收到下行報文時,判斷所述下行報文是否為未知報文����; 當(dāng)所述下行報文為未知報文時,所述轉(zhuǎn)發(fā)層面將所述未知報文上送到控制層面��; 控制層面收到所述未知報文后���,為所述未知報文的目標(biāo)主機建立對應(yīng)的安全綁定表 項���。
2. 根據(jù)權(quán)利要求1所述的方法��,其特征在于����,所述轉(zhuǎn)發(fā)層面判斷所述下行報文是否為 未知報文���,包括: 轉(zhuǎn)發(fā)層面獲取所述下行報文的源介質(zhì)訪問控制MAC地址�����; 在自身的MAC地址表中查找所述下行報文的源MAC地址; 若未查找到�,則確定所述下行報文為未知報文。
3. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,當(dāng)預(yù)先在所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的端口上下 發(fā)訪問控制列表ACL規(guī)則時���,所述轉(zhuǎn)發(fā)層面將所述未知報文上送到控制層面����,包括: 所述轉(zhuǎn)發(fā)層面在預(yù)先下發(fā)的ACL規(guī)則中查找與所述未知報文匹配的ACL規(guī)則; 按照匹配到的ACL規(guī)則中定義的動作��,復(fù)制所述未知報文并上送到控制層面��。
4. 根據(jù)權(quán)利要求1所述的方法���,其特征在于���,當(dāng)所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備包括具有寄存器的 轉(zhuǎn)發(fā)芯片時,所述轉(zhuǎn)發(fā)層面將所述未知報文上送到控制層面����,包括: 所述轉(zhuǎn)發(fā)層面根據(jù)所述寄存器中預(yù)設(shè)的轉(zhuǎn)發(fā)策略,復(fù)制所述未知報文并上送到控制層 面���。
5. 根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述控制層面為所述未知報文的目標(biāo)主 機建立對應(yīng)的安全綁定表項����,包括: 獲取所述未知報文所屬的虛擬局域網(wǎng)VLAN及目的網(wǎng)絡(luò)互連協(xié)議IP地址; 根據(jù)所述目的IP地址創(chuàng)建鄰居發(fā)現(xiàn)ND協(xié)議報文,并將所述ND協(xié)議報文在所述VLAN 中進行廣播�����,以使所述未知報文的目標(biāo)主機在收到所述ND協(xié)議報文后返回ND應(yīng)答報文���; 根據(jù)所述目標(biāo)主機返回的ND應(yīng)答報文���,創(chuàng)建所述目標(biāo)主機對應(yīng)的安全綁定表項。
6. -種表項建立裝置���,其特征在于����,所述裝置應(yīng)用于網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備�����,所述裝置包括: 報文判斷單元�����,用于在轉(zhuǎn)發(fā)層面收到下行報文時�����,判斷所述下行報文是否為未知報 文����; 報文上送單元,用于當(dāng)所述下行報文為未知報文時�����,將所述未知報文上送到控制層 面��; 表項建立單元���,用于在控制層面收到所述未知報文后����,為所述未知報文的目標(biāo)主機建 立對應(yīng)的安全綁定表項�����。
7. 根據(jù)權(quán)利要求6所述的裝置����,其特征在于�, 所述報文判斷單元�����,具體用于獲取所述下行報文的源MAC地址�����,在自身的MAC地址表中 查找所述下行報文的源MAC地址���,若未查找到���,則確定所述下行報文為未知報文。
8. 根據(jù)權(quán)利要求6所述的裝置�����,其特征在于�,當(dāng)預(yù)先在所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的端口上下 發(fā)ACL規(guī)則時, 所述報文上送單元���,具體用于在預(yù)先下發(fā)的ACL規(guī)則中查找與所述未知報文匹配的 ACL規(guī)則��;按照匹配到的ACL規(guī)則中定義的動作,復(fù)制所述未知報文并上送到控制層面。
9. 根據(jù)權(quán)利要求6所述的裝置�,其特征在于,當(dāng)所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備包括具有寄存器的 轉(zhuǎn)發(fā)芯片時�, 所述報文上送單元,具體用于根據(jù)所述寄存器中預(yù)設(shè)的轉(zhuǎn)發(fā)策略�,復(fù)制所述未知報文 并上送到控制層面。
10.根據(jù)權(quán)利要求6所述的裝置����,其特征在于,所述表項建立單元���,具體用于獲取所述 未知報文所屬的VLAN及目的IP地址����;根據(jù)所述目的IP地址創(chuàng)建ND協(xié)議報文��,并將所述ND 協(xié)議報文在所述VLAN中進行廣播����,以使所述未知報文的目標(biāo)主機在收到所述ND協(xié)議報文 后返回ND應(yīng)答報文;根據(jù)所述目標(biāo)主機返回的ND應(yīng)答報文�����,創(chuàng)建所述目標(biāo)主機對應(yīng)的安全 綁定表項。
【文檔編號】H04L29/06GK104506437SQ201410839769
【公開日】2015年4月8日 申請日期:2014年12月29日 優(yōu)先權(quán)日:2014年12月29日
【發(fā)明者】何川 申請人:杭州華三通信技術(shù)有限公司