本發(fā)明涉及一種IP地址接入技術(shù)���,特別是涉及一種IPv6地址回收禁用方法及裝置��,屬于IP網(wǎng)絡(luò)技術(shù)領(lǐng)域�����。
背景技術(shù):
1���、IPv6地址的后64位是接口ID,接口ID的容量空間的大小為2^64�。這使得在某些場景中,IPv6接口ID可以永久的綁定使用者的身份��。而不同的身份具有不同的權(quán)限����,于是出于安全方面的考慮�����,對于廢棄的IPv6接口需要進(jìn)行回收禁用�����,以防止他人的冒用��。由于接口ID容量的巨大冗余性���,對于回收的接口ID可以直接禁止使用,而不用考慮再次分配�����,以減少IP地址管理的復(fù)雜度�。
2、現(xiàn)有的IPv6地址接入技術(shù)分為自動配置和手動配置兩大類��。
對于自動配置分為兩種:無狀態(tài)自動配置[RFC 4862]和使用DHCPv6[RFC 3315]���。
1)無狀態(tài)自動配置過程說明如下:
主機(jī)的接口第一次接入鏈路產(chǎn)生一個本地鏈路試驗地址�����,本地鏈路試驗地址前64位使用本地鏈路地址的固定前綴FE80::/64�,后64位為接口ID���,使用EUI-64算法[RFC 4291]通過MAC地址自動生成�。
然后進(jìn)行重復(fù)地址檢測(DAD:Duplicate Address Detection)�,來確定本地鏈路試驗地址在本地鏈路中是否是唯一的。接口加入本地鏈路全部節(jié)點組播地址(FF02::1)和試驗地址的本地鏈路被請求節(jié)點組播地址(FF02::1:FF00:0000/104+接口ID的后24位�,將發(fā)送給本地鏈路中所有具有相同后24位的IPv6地址),接口以全零地址為源地址��,向被請求節(jié)點組播地址發(fā)送鄰居請求消息��。如果該試驗地址已被鏈路上的一個節(jié)點使用��,那么接收到鄰居請求消息的節(jié)點將會向全部節(jié)點組播地址發(fā)送一個鄰居公告消息�����。接收到鄰居公告消息�����,表示自動配置的試驗地址不可用��,自動配置地址失敗,須改為手動配置�。如果沒有收到鄰居公告消息說明該試驗地址可以配置給接口,主機(jī)接口已經(jīng)能在鏈路內(nèi)進(jìn)行通信����。
最后是獲取全球地址的前綴。IPv6的全球單播地址由前綴加上接口ID組成����,前面已由EUI-64算法生成了64位的接口ID,并通過重復(fù)地址檢查確定了接口ID的唯一性��,剩下的前綴由路由器公告消息的前綴信息選項中獲得��。
2)DHCPv6是一個用來配置工作在IPv6網(wǎng)絡(luò)上的IPv6主機(jī)所需的IP地址�、IP前綴和/或其他配置的網(wǎng)絡(luò)協(xié)議。接入網(wǎng)絡(luò)的主機(jī)通過與網(wǎng)絡(luò)中的DHCPv6服務(wù)器交互��,來獲取IPv6地址���。
3)手動配置就是在主機(jī)的接口上通過人工來配置一個固定的IPv6地址����。
然而無論是通過DHCPv6還是手動配置獲取的IPv6地址,都需要進(jìn)行重復(fù)地址檢測(DAD)����,如果DAD不能通過�����,都需要重新配置IPv6地址�����,否則主機(jī)將無法正常接入網(wǎng)絡(luò)��。
3.對于單個IPv6地址的禁用����,目前已有的技術(shù)有:
1)在作為接入網(wǎng)關(guān)的路由器或交換機(jī)處,使用ACL(訪問控制列表��,Access Control List)���,來拒絕特定的IPv6地址的訪問�����。ACL是路由器和交換機(jī)接口的指令列表�,用來控制端口進(jìn)出的數(shù)據(jù)包。ACL是提供網(wǎng)絡(luò)安全訪問的基本手段���。ACL可以允許主機(jī)A訪問某個網(wǎng)絡(luò)���,而拒絕主機(jī)B訪問。
2)在服務(wù)器端使用防火墻的過濾規(guī)則來禁止特定的IPv6地址接入�。網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器,運(yùn)作在底層的TCP/IP協(xié)議堆棧上�。可以以枚舉的方式�,只允許符合特定規(guī)則的封包通過,其余的一概禁止穿越防火墻(病毒除外��,防火墻不能防止病毒侵入)�����。這些規(guī)則通?����?梢越?jīng)由管理員定義或修改�,不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。也能以另一種較寬松的角度來制定防火墻規(guī)則,只要封包不符合任何一項“否定規(guī)則”就予以放行�����。操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能�����。
4.現(xiàn)有技術(shù)存在的問題:
1)在一個局域網(wǎng)中禁用一個IPv6地址����,需要對局域網(wǎng)中的所有網(wǎng)關(guān)和服務(wù)器逐一進(jìn)行配置�,工作量大,工作復(fù)雜度高�����。
2)對于具有多個局域網(wǎng)的網(wǎng)絡(luò)來說�����,需要在每一個局域網(wǎng)內(nèi)對每一個網(wǎng)關(guān)和服務(wù)器都進(jìn)行配置�,工作量巨大。
技術(shù)實現(xiàn)要素:
針對上述問題及不足�,本發(fā)明的目的是提供了一種IPv6地址回收禁用方法,使得在網(wǎng)絡(luò)中實現(xiàn)快捷方便地禁止含有特定接口ID的IPv6地址接入,解決了網(wǎng)絡(luò)系統(tǒng)中以現(xiàn)有方式禁用特定IPv6地址的工作量大��,工作復(fù)雜度高的難題���。
本發(fā)明的另一個目的是提供一種IPv6地址回收禁用裝置����,其結(jié)構(gòu)簡單合理���,使得網(wǎng)絡(luò)系統(tǒng)的工作效率大大提高��。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的:一種IPv6地址回收禁用方法�����,包括DAD報文監(jiān)測設(shè)備�,IPv6地址回收服務(wù)器及在IPv6地址回收服務(wù)器內(nèi)已由網(wǎng)絡(luò)管理員錄入了IPv6禁用接口ID的名單��,其步驟如下:
步驟1:DAD報文監(jiān)測設(shè)備在局域網(wǎng)中監(jiān)測到接入設(shè)備發(fā)出的DAD報文后���,將DAD報文中需要進(jìn)行重復(fù)地址檢測的接口ID發(fā)送給骨干網(wǎng)中的IPv6地址回收服務(wù)器�����;
步驟2:骨干網(wǎng)中的IPv6地址回收服務(wù)器將接收到的接口ID與預(yù)先存儲在IPv6地址回收服務(wù)器內(nèi)的IPv6禁用接口ID名單記錄相比對�����,然后將比對結(jié)果返回發(fā)送給DAD報文監(jiān)測設(shè)備��;
步驟3:
當(dāng)步驟2返回的結(jié)果是該接口ID是未被禁用的����,DAD報文監(jiān)測設(shè)備將不進(jìn)行任何動作;
當(dāng)步驟2返回的結(jié)果是該接口ID是已被禁用的�,DAD報文監(jiān)測設(shè)備發(fā)送一個鄰居公告消息給步驟1中發(fā)送DAD報文的接入設(shè)備����,則表示檢測的IPv6接口ID發(fā)生重復(fù),已被使用����;
當(dāng)步驟2返回的結(jié)果是該接口ID是已被禁用的,為預(yù)防接入設(shè)備拒絕更改接口ID�����,DAD報文監(jiān)測設(shè)備發(fā)送消息給局域網(wǎng)的接入網(wǎng)關(guān)����,使接入網(wǎng)關(guān)拒絕轉(zhuǎn)發(fā)接入設(shè)備發(fā)出的���,源地址中仍然使用已被禁用的接口ID的IPv6報文。
一種IPv6地址回收禁用裝置�����,包括DAD報文監(jiān)測設(shè)備�,IPv6地址回收服務(wù)器,其結(jié)構(gòu)如下:各接入設(shè)備與相應(yīng)的局域網(wǎng)的接入網(wǎng)關(guān)相連接通信, 接入網(wǎng)關(guān)與DAD報文監(jiān)測設(shè)備相連接通信�����,各局域網(wǎng)分別與骨干網(wǎng)相連接�����,骨干網(wǎng)中的IPv6地址回收服務(wù)器分別與各局域網(wǎng)的DAD報文監(jiān)測設(shè)備相連接通信�。
所述的接入設(shè)備采用IPv6地址,該IPv6地址的后64位是接口ID�。
所述的DAD報文監(jiān)測設(shè)備為具有路由功能的服務(wù)器。
由于采用上述方法和裝置�����,使得本發(fā)明與現(xiàn)有技術(shù)相比具有下列優(yōu)點效果:
本發(fā)明采用了監(jiān)測DAD報文的方法來管理、禁用IPv6地址�,與傳統(tǒng)的逐個設(shè)置每個網(wǎng)關(guān)、服務(wù)器的方法相比�����,極大的減少了工作量和工作的復(fù)雜程度�����。
使用了統(tǒng)一的骨干網(wǎng)絡(luò)服務(wù)器���,所有局域網(wǎng)的監(jiān)測設(shè)備都向它上報接入的IPv6地址的接口ID����,實現(xiàn)了全網(wǎng)內(nèi)的統(tǒng)一監(jiān)控�����,克服了DAD只能管理本地地址的問題�����,同時統(tǒng)一的在骨干網(wǎng)絡(luò)服務(wù)器上設(shè)置禁用接口ID名單���,避免了在每個局域網(wǎng)的逐一設(shè)置�,解決了網(wǎng)絡(luò)系統(tǒng)中以現(xiàn)有方式禁用特定IPv6地址的工作量大�����,工作復(fù)雜度高的難題���,使得網(wǎng)絡(luò)系統(tǒng)的工作效率大大提高����,實現(xiàn)了增量式部署�,保持了現(xiàn)有網(wǎng)絡(luò)協(xié)議的兼容性。
附圖說明
圖1為本發(fā)明的結(jié)構(gòu)示意圖���。
圖中:接入設(shè)備1����,接入網(wǎng)關(guān)2�����,局域網(wǎng)3�,DAD報文監(jiān)測設(shè)備4�����,骨干網(wǎng)5�,IPv6地址回收服務(wù)器6�。
具體實施方式
下面結(jié)合具體實施例對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明,但本發(fā)明的保護(hù)范圍不受具體的實施例所限制�,以權(quán)利要求書為準(zhǔn)。另外����,以不違背本發(fā)明技術(shù)方案的前提下,對本發(fā)明所作的本領(lǐng)域普通技術(shù)人員容易實現(xiàn)的任何改動或改變都將落入本發(fā)明的權(quán)利要求范圍之內(nèi)��。
實施例1
如圖1所示���,一種IPv6地址回收禁用方法����,包括DAD報文監(jiān)測設(shè)備�����,IPv6地址回收服務(wù)器及在IPv6地址回收服務(wù)器內(nèi)已由網(wǎng)絡(luò)管理員錄入了IPv6禁用接口ID的名單�����,其步驟如下:
步驟1:DAD報文監(jiān)測設(shè)備在局域網(wǎng)中監(jiān)測到接入設(shè)備發(fā)出的DAD報文后�,將DAD報文中需要進(jìn)行重復(fù)地址檢測的接口ID發(fā)送給骨干網(wǎng)中的IPv6地址回收服務(wù)器;
步驟2:骨干網(wǎng)中的IPv6地址回收服務(wù)器將接收到的接口ID與預(yù)先存儲在IPv6地址回收服務(wù)器內(nèi)的IPv6禁用接口ID名單記錄相比對����,然后將比對結(jié)果返回發(fā)送給DAD報文監(jiān)測設(shè)備;
步驟3:
當(dāng)步驟2返回的結(jié)果是該接口ID是未被禁用的�����,DAD報文監(jiān)測設(shè)備將不進(jìn)行任何動作�����;
當(dāng)步驟2返回的結(jié)果是該接口ID是已被禁用的�����,DAD報文監(jiān)測設(shè)備發(fā)送一個鄰居公告消息給步驟1中發(fā)送DAD報文的接入設(shè)備�,則表示檢測的IPv6接口ID發(fā)生重復(fù),已被使用�����;
當(dāng)步驟2返回的結(jié)果是該接口ID是已被禁用的,為預(yù)防接入設(shè)備拒絕更改接口ID��,DAD報文監(jiān)測設(shè)備發(fā)送消息給局域網(wǎng)的接入網(wǎng)關(guān)��,使接入網(wǎng)關(guān)拒絕轉(zhuǎn)發(fā)接入設(shè)備發(fā)出的���,源地址中仍然使用已被禁用的接口ID的IPv6報文���。
一種IPv6地址回收禁用裝置,包括DAD報文監(jiān)測設(shè)備����,IPv6地址回收服務(wù)器,其結(jié)構(gòu)如下:各接入設(shè)備1與相應(yīng)的局域網(wǎng)的接入網(wǎng)關(guān)2相連接通信���,接入網(wǎng)關(guān)2與DAD報文監(jiān)測設(shè)備4相連接通信����,各局域網(wǎng)3分別與骨干網(wǎng)5相連接����,骨干網(wǎng)5中的IPv6地址回收服務(wù)器6分別與各局域網(wǎng)的DAD報文監(jiān)測設(shè)備4相連接通信�。
所述的接入設(shè)備1采用IPv6地址�����,該IPv6地址的后64位是接口ID����。
所述的DAD報文監(jiān)測設(shè)備4為具有路由功能的服務(wù)器����。
本發(fā)明一種IPv6地址回收禁用方法的工作原理如下:
設(shè)在一個網(wǎng)絡(luò)中需要禁用一個IPv6的64位接口ID:1:2:0:3。則會由網(wǎng)絡(luò)管理員首先將需要禁用的接口ID:1:2:3:4寫入到骨干網(wǎng)中的IPv6地址回收服務(wù)器上的禁用接口ID名單中去��。
然后在一個子網(wǎng)前綴為2001:0:0:1::/64的局域網(wǎng)中�����,有一臺手動配置了一個非禁用的IPv6地址2001:0:0:1::5的設(shè)備開始通過局域網(wǎng)接入網(wǎng)關(guān)接入網(wǎng)絡(luò)�����。
接入設(shè)備加入局域網(wǎng)鏈路全部節(jié)點組播地址FF02::1和試驗地址的局域網(wǎng)鏈路被請求節(jié)點組播地址FF02::1:FF00:0:5�����,然后向局域網(wǎng)鏈路被請求節(jié)點組播地址FF02::1:FF00:0:5發(fā)送DAD報文。
1���、DAD報文監(jiān)測設(shè)備監(jiān)聽到DAD報文后��,將DAD報文中攜帶的接入設(shè)備IPv6地址2001:0:0:1::5中的后64位接口ID0:0:0:5提取出來并發(fā)送給IPv6地址回收服務(wù)器�����。
2����、骨干網(wǎng)中的IPv6地址回收服務(wù)器對接收到的IPv6接口ID0:0:0:5進(jìn)行鑒別����,與預(yù)先留存的禁用IPv6接口ID名單進(jìn)行比對。結(jié)果發(fā)現(xiàn)沒有相匹配的項��,說明接入網(wǎng)絡(luò)的設(shè)備使用的不是被禁用的IPv6接口ID��。于是����,IPv6地址回收服務(wù)器將鑒別結(jié)果返回給DAD報文監(jiān)測設(shè)備。
3����、DAD報文監(jiān)測設(shè)備接收鑒別結(jié)果����,發(fā)現(xiàn)DAD報文中的IPv6地址的接口ID不是被禁用的����,于是保持沉默��,讓接入設(shè)備繼續(xù)正常的接入過程�����。
接下來���,設(shè)有一臺手動配置了一個禁用的IPv6地址2001:0:0:1:1:2:0:3的設(shè)備開始通過局域網(wǎng)的接入網(wǎng)關(guān)接入網(wǎng)絡(luò)�����。
接入設(shè)備���,加入局域網(wǎng)鏈路全部節(jié)點組播地址FF02::1和試驗地址的局域網(wǎng)鏈路被請求節(jié)點組播地址FF02::1:FF00:0:3,然后向局域網(wǎng)鏈路被請求節(jié)點組播地址FF02::1:FF00:0:3發(fā)送DAD報文����。
1���、DAD報文監(jiān)測設(shè)備監(jiān)聽到DAD報文后,將DAD報文中攜帶的接入設(shè)備IPv6地址2001:0:0:1:1:2:0:3中的后64位接口ID1:2:0:3提取出來并發(fā)送給IPv6地址回收服務(wù)器����。
2、骨干網(wǎng)中的IPv6地址回收服務(wù)器對接收到的IPv6接口ID1:2:0:3進(jìn)行鑒別��,與預(yù)先留存的禁用IPv6接口ID名單進(jìn)行比對�����。結(jié)果發(fā)現(xiàn)存在相匹配的項��,說明接入網(wǎng)絡(luò)的設(shè)備使用的是被禁用的IPv6接口ID����。于是,IPv6地址回收服務(wù)器將鑒別結(jié)果返回給DAD報文監(jiān)測設(shè)備��。
3����、DAD報文監(jiān)測設(shè)備接收鑒別結(jié)果�,發(fā)現(xiàn)DAD報文中的IPv6地址的接口ID是被禁用的���,于是局域網(wǎng)鏈路全部節(jié)點組播地址FF02::1發(fā)送一個鄰居公告消息��,告知接入設(shè)備出現(xiàn)地址重復(fù)��。DAD報文監(jiān)測設(shè)備向局域網(wǎng)的接入網(wǎng)關(guān)設(shè)備發(fā)送通知����,禁止轉(zhuǎn)發(fā)源地址為2001:0:0:1:1:2:0:3的IPv6報文�。
4���、接入設(shè)備在局域網(wǎng)鏈路全部節(jié)點組播地址FF02::1接收到鄰居公告消息���,得知地址發(fā)生重復(fù)后,應(yīng)重新手動修改想要使用IPv6地址接口ID�����,并再次進(jìn)行重復(fù)地址檢測�����。如果接入主機(jī)拒絕修改將不能正常接入網(wǎng)絡(luò)。