專利名稱:一種路由器公告安全接入方法�、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)通信領(lǐng)域,尤其涉及一種路由器公告安全接入方法���、系統(tǒng)及裝置�。
背景技術(shù):
IPv6地址無狀態(tài)地址配置協(xié)議是目前廣泛采用的IPv6地址自動配置協(xié)議���,配置了該協(xié)議的主機(jī)只需要相鄰路由器開啟IPv6路由公告功能��,即可以根據(jù)路由器公告報文 (Router Advertisement����,簡稱RA)包含的前綴信息自動配置本機(jī)地址���。IPv6主機(jī)節(jié)點(diǎn)的即插即用特征是IPv6相對IPv4的一個顯著改善�,大大方便了終端用戶的使用���。這個特征實(shí)施的前提是路由器發(fā)送路由器公告(Router Advertisement��,簡稱RA)消息給主機(jī)節(jié)點(diǎn)��,其中包含了地址前綴����,地址生存期����,默認(rèn)路由器地址,路由器生存期等信息�,主機(jī)節(jié)點(diǎn)根據(jù)獲得的信息生成EUI-64形式的IPv6地址,并設(shè)置默認(rèn)路由器地址����。但目前主機(jī)節(jié)點(diǎn)接收路由器公告消息并不作身份驗(yàn)證,主機(jī)節(jié)點(diǎn)把路由器公告中默認(rèn)路由器地址���,路由器生存期和地址生存期等信息進(jìn)行信息配置����。如果有惡意節(jié)點(diǎn)發(fā)送非法路由器公告消息給合法主機(jī)節(jié)點(diǎn)�,主機(jī)節(jié)點(diǎn)會把其中默認(rèn)路由器地址,路由器生存期和地址生存期等信息取代合法路由器公告消息已生效的配置��,使網(wǎng)絡(luò)不可用或把流量導(dǎo)向非法節(jié)點(diǎn),影響網(wǎng)絡(luò)安全運(yùn)行����。因此需要一種能夠確保路由器公告安全接入IPv6網(wǎng)絡(luò)的方法、設(shè)備或系統(tǒng)�,保證路由器公告合法使用。
發(fā)明內(nèi)容
為了確保路由器公告安全接入網(wǎng)絡(luò)設(shè)備或系統(tǒng)�,保證路由器公告合法使用,本發(fā)明公開一種路由器公告安全接入方法�,該方法包括如下步驟Sl 接入交換機(jī)使能路由器公告安全功能,并預(yù)先配置信任端口 �;S2 接入交換機(jī)監(jiān)聽路由器發(fā)出的路由器公告報文,由重定向模塊將該報文重定向到微處理器(CPU)���;S3 接入交換機(jī)根據(jù)路由器公告報文(RA)的接收端口信息是否與預(yù)先配置的信任端口匹配����,判斷路由器公告報文的合法性����;S4 如為合法的路由器公告報文,接入交換機(jī)轉(zhuǎn)發(fā)該報文�;如為非法的路由器公告報文,接入交換機(jī)丟棄該報文��;S5 :IPv6主機(jī)根據(jù)合法路由器公告報文內(nèi)容進(jìn)行信息配置。進(jìn)一步地����,所述步驟S2中接入交換機(jī)監(jiān)聽路由器公告報文,下發(fā)路由器公告報文重定向至微處理器(CPU)的規(guī)則��,接入交換機(jī)的收發(fā)模塊接收到路由器公告報文���,將該報文重定向至微處理器(CPU)����。進(jìn)一步地�,所述步驟S3中如果路由器公告報文的接收端口信息匹配任意一個預(yù)先配置的信任口��,則認(rèn)為路由器公告報文合法����;如果路由器公告報文的接收端口信息與任意一個預(yù)先配置的信任口都不匹配,則認(rèn)為路由器公告報文非法����。進(jìn)一步地,所述步驟S4中如合法的路由器公告報文為組播報文���,接入交換機(jī)則從接收端口所在的局域網(wǎng)中����,向除該接收端口以外的其他端口轉(zhuǎn)發(fā);如合法的路由器公告報文為單播報文�,接入交換機(jī)則查詢鄰居表,從目標(biāo)主機(jī)所連的端口轉(zhuǎn)發(fā)出去����。一種路由器公告安全接入系統(tǒng),所述系統(tǒng)包括IPv6主機(jī)��、接入交換機(jī)和路由器�, IPv6主機(jī)與接入交換機(jī)連接,接入交換機(jī)與路由器連接�,其中,所述路由器用于發(fā)出路由器公告報文(RA)���;所述接入交換機(jī)用于監(jiān)聽路由器公告報文并根據(jù)路由器公告報文(RA)的接收端口信息是否與接入交換機(jī)上預(yù)先配置的信任端口匹配�,判斷路由器公告報文的合法性����,如為合法的路由器公告報文,接入交換機(jī)轉(zhuǎn)發(fā)該報文;如為非法的路由器公告報文����,接入交換機(jī)丟棄該報文;所述IPv6主機(jī)根據(jù)合法路由器公告報文內(nèi)容進(jìn)行信息配置�。進(jìn)一步地,所述信任端口為接入交換機(jī)上連有路由器的二層物理端口或匯聚端□�。進(jìn)一步地,所述接入交換機(jī)包括設(shè)置模塊���、監(jiān)聽模塊��、收發(fā)模塊���、重定向模塊和判斷模塊���,其中�,設(shè)置模塊用于對接入交換機(jī)上信任端口和非信任端口進(jìn)行配置�;監(jiān)聽模塊對路由器發(fā)出的路由器公告報文進(jìn)行監(jiān)聽;收發(fā)模塊用于接收路由器公告報文和對合法路由器公告報文進(jìn)行轉(zhuǎn)發(fā)��;重定向模塊匹配路由器公告報文重定向的規(guī)則��,將收發(fā)模塊接收到的路由器公告報文重定向至微處理器(CPU);判斷模塊根據(jù)路由器公告報文(RA)的接收端口信息是否與接入交換機(jī)上預(yù)先配置的信任端口匹配��,判斷路由器公告報文的合法性��。進(jìn)一步地����,如合法的路由器公告報文為組播報文,接入交換機(jī)則從接收端口所在的局域網(wǎng)中��,向除該接收端口以外的其他端口轉(zhuǎn)發(fā)���;如合法的路由器公告報文為單播報文���, 接入交換機(jī)則查詢鄰居表,從目標(biāo)主機(jī)所連的端口轉(zhuǎn)發(fā)出去��。進(jìn)一步地����,IPv6主機(jī)根據(jù)路由器公告報文包含的地址前綴、地址生存期����、默認(rèn)路由器地址和路由器生存期信息生成IPv6地址,完成信息配置。本發(fā)明還公開一種路由器公告安全接入裝置���,該裝置為接入交換機(jī)��,所述接入交換機(jī)包括設(shè)置模塊��、監(jiān)聽模塊���、收發(fā)模塊、重定向模塊和判斷模塊���,其中���,設(shè)置模塊用于對接入交換機(jī)上信任端口和非信任端口進(jìn)行配置;監(jiān)聽模塊對路由器發(fā)出的路由器公告報文進(jìn)行監(jiān)聽��;收發(fā)模塊用于接收路由器公告報文和對合法路由器公告報文進(jìn)行轉(zhuǎn)發(fā)���;重定向模塊匹配路由器公告報文重定向的規(guī)則,將收發(fā)模塊接收到的路由器公告報文重定向至微處理器(CPU)��;判斷模塊根據(jù)路由器公告報文(RA)的接收端口信息是否與接入交換機(jī)上預(yù)先配置的信任端口匹配��,判斷路由器公告報文的合法性。本發(fā)明的技術(shù)方案實(shí)現(xiàn)了路由器公告能夠安全接入網(wǎng)絡(luò)設(shè)備或系統(tǒng)����,防止了惡意路由器公告消息的轉(zhuǎn)發(fā),從而保證路由器公告的合法性�,確保網(wǎng)絡(luò)的正常工作。
圖1為本發(fā)明實(shí)施例的路由器公告安全接入系統(tǒng)的系統(tǒng)框圖����;圖2為本發(fā)明實(shí)施例的路由器公告安全接入交換機(jī)的結(jié)構(gòu)框圖;圖3為本發(fā)明實(shí)施例的路由器公告安全接入方法的流程圖���。
具體實(shí)施例方式為詳細(xì)說明本發(fā)明的技術(shù)內(nèi)容���、所實(shí)現(xiàn)目的及效果,以下結(jié)合實(shí)施方式并配合附圖予以詳細(xì)說明���。圖1為本發(fā)明實(shí)施例的路由器公告安全接入系統(tǒng)的系統(tǒng)框圖�,所述系統(tǒng)包括IPv6 主機(jī)�、接入交換機(jī)和IPv6路由器,IPv6主機(jī)與接入交換機(jī)連接����,接入交換機(jī)與IPv6路由器連接��,其中��,IPv6路由器用于發(fā)出路由器公告報文(RA)�;接入交換機(jī)用于監(jiān)聽路由器公告報文并根據(jù)路由器公告報文(RA)的接收端口信息是否與預(yù)先配置的信任端口匹配����,判斷路由器公告報文的合法性,如為合法的路由器公告報文���,接入交換機(jī)轉(zhuǎn)發(fā)該報文���;如為非法的路由器公告報文,接入交換機(jī)丟棄該報文���;IPv6主機(jī)根據(jù)合法路由器公告報文內(nèi)容進(jìn)行 fn息配直ο接入交換機(jī)包括二層交換機(jī)或三層交換機(jī)�����,預(yù)先通過配置命令在接入交換機(jī)端口上手工指定路由器公告信任端口和非信任端口�����,所述信任端口為接入交換機(jī)上連有路由器的二層物理端口或匯聚端口�,其它端口則配置為非信任端口���。接入交換機(jī)使能路由器公告安全功能�����,路由器發(fā)出路由器公告報文(RA)�,接入交換機(jī)監(jiān)聽路由器公告報文�,并下發(fā)路由器公告報文重定向至接入交換機(jī)微處理器(CPU)的規(guī)則;接入交換機(jī)端口接收路由器公告報文�����,匹配該下發(fā)規(guī)則�����,將路由器公告報文重定向到接入交換機(jī)的微處理器CPU�,由微處理器對路由器公告報文進(jìn)行軟件解析,記錄路由器公告報文的接收端口信息�。接入交換機(jī)根據(jù)路由器公告報文的接收端口信息與預(yù)先配置的信任端口進(jìn)行匹配,判斷路由器公告報文的合法性如果路由器公告報文的接收端口信息匹配任意一個預(yù)先配置的信任端口���,則認(rèn)為路由器公告報文合法�;如果路由器公告報文的接收端口信息與任意一個預(yù)先配置的信任口都不匹配,則認(rèn)為路由器公告報文非法���。對于合法的路由器公告報文�����,接入交換機(jī)轉(zhuǎn)發(fā)該報文�����;對于非法的路由器公告報文�����,接入交換機(jī)丟棄該報文��。如合法的路由器公告報文為組播報文�,接入交換機(jī)則從接收端口(信任端口)所在的虛擬局域網(wǎng)中��,向除該接收端口以外的其他端口轉(zhuǎn)發(fā)�;如合法的路由器公告報文為單播報文,接入交換機(jī)則查詢鄰居表���,從目標(biāo)主機(jī)所連的端口轉(zhuǎn)發(fā)出去��。IPv6主機(jī)接收到合法的路由器公告報文���,根據(jù)路由器公告報文包含的地址前綴、地址生存期�、默認(rèn)路由器地址和路由器生存期等信息生成IPv6地址,完成信息配置��。路由器公告報文的特征為以太類型為0x86dd(以太首部第17�,18字節(jié)), nexthdr類型為58 (ipv6首部第6字節(jié))�����,icmpv6類型(ipv6首部第41字節(jié))為134���。接入交換機(jī)根據(jù)上述特征判斷接收報文是否是路由器公告報文��,如為路由器公告報文則下發(fā)路由器公告報文重定向至接入交換機(jī)微處理器(CPU)的規(guī)則�����。圖2為本發(fā)明實(shí)施例的路由器公告安全接入交換機(jī)的結(jié)構(gòu)框圖��。該接入交換機(jī)用于監(jiān)聽路由器公告報文并根據(jù)路由器公告報文(RA)的接收端口信息是否與預(yù)先配置的信任端口匹配��,判斷路由器公告報文的合法性��,如為合法的路由器公告報文�,接入交換機(jī)轉(zhuǎn)發(fā)該報文;如為非法的路由器公告報文�,接入交換機(jī)丟棄該報文,保證了路由器公告安全接入網(wǎng)絡(luò)設(shè)備或系統(tǒng)��。所述接入交換機(jī)包括設(shè)置模塊�、監(jiān)聽模塊、收發(fā)模塊���、重定向模塊和判斷模塊�,其中�,設(shè)置模塊用于對接入交換機(jī)上信任端口和非信任端口進(jìn)行配置;監(jiān)聽模塊對路由器發(fā)出的路由器公告報文進(jìn)行監(jiān)聽�����;收發(fā)模塊用于接收路由器公告報文和對合法路由器公告報文進(jìn)行轉(zhuǎn)發(fā)�����;重定向模塊匹配路由器公告報文重定向的規(guī)則,將收發(fā)模塊接收到的路由器公告報文重定向至微處理器(CPU)���;判斷模塊根據(jù)路由器公告報文(RA)的接收端口信息是否與接入交換機(jī)上預(yù)先配置的信任端口匹配�,判斷路由器公告報文的合法性��。該接入交換機(jī)可以為二層交換機(jī)�����,也可以為三層交換機(jī)���,其中,設(shè)置模塊預(yù)先通過配置命令在接入交換機(jī)端口上手工指定路由器公告信任端口和非信任端口�,所述信任端口為接入交換機(jī)上連有路由器的二層物理端口或匯聚端口,其他端口則配置為非信任端口�����。 接入交換機(jī)開啟路由器公告安全功能��,監(jiān)聽模塊監(jiān)聽路由器發(fā)出的路由器公告報文(RA)���, 下發(fā)路由器公告報文重定向至接入交換機(jī)微處理器(CPU)的規(guī)則��;收發(fā)模塊接收路由器公告報文�,匹配該下發(fā)規(guī)則,不執(zhí)行硬件轉(zhuǎn)發(fā)行為�����,而是將路由器公告報文重定向到接入交換機(jī)的微處理器CPU�,由微處理器對路由器公告報文進(jìn)行軟件解析,記錄路由器公告報文的接收端口信息��;判斷模塊根據(jù)路由器公告報文的接收端口信息是否與預(yù)先配置的信任端口進(jìn)行匹配�����,判斷路由器公告報文的合法性如果路由器公告報文的接收端口信息匹配任意一個預(yù)先配置的信任端口�����,則認(rèn)為路由器公告報文合法�;如果路由器公告報文的接收端口信息與任意一個預(yù)先配置的信任端口都不匹配,則認(rèn)為路由器公告報文非法�����。對于合法的路由器公告報文�,接入交換機(jī)通過收發(fā)模塊轉(zhuǎn)發(fā)該報文�����;對于非法的路由器公告報文���,接入交換機(jī)丟棄該報文。如合法的路由器公告報文為組播報文��,接入交換機(jī)則從接收端口(信任端口)所在的局域網(wǎng)中�����,向除該接收端口以外的其他端口轉(zhuǎn)發(fā)��;如合法的路由器公告報文為單播報文�����,接入交換機(jī)則查詢鄰居表���,從目標(biāo)主機(jī)所連的端口轉(zhuǎn)發(fā)出去。圖3為本發(fā)明實(shí)施例的路由器公告安全接入方法的流程圖�。該方法包括如下步驟Sl 接入交換機(jī)使能路由器公告安全功能,并預(yù)先配置信任端口��。接入交換機(jī)的設(shè)置模塊預(yù)先通過配置命令在接入交換機(jī)端口上手工指定路由器公告信任端口和非信任端口,其中信任端口是指在接入交換機(jī)上連有路由器的二層物理端口或者匯聚端口�����,其他端口則配置為非信任端口�。S2 接入交換機(jī)監(jiān)聽路由器發(fā)出的路由器公告報文,由重定向模塊將該報文重定向到微處理器(CPU)�����。接入交換機(jī)通過監(jiān)聽模塊監(jiān)聽路由器發(fā)出的路由器公告報文�����,下發(fā)路由器公告報文重定向至接入交換機(jī)微處理器(CPU)的規(guī)則�����;收發(fā)模塊接收路由器公告報文��,匹配該下發(fā)規(guī)則�����,不執(zhí)行硬件轉(zhuǎn)發(fā)行為�����,而是將路由器公告報文重定向到接入交換機(jī)的微處理器 CPU,由微處理器對路由器公告報文進(jìn)行軟件解析�,記錄路由器公告報文的接收端口信息。S3 接入交換機(jī)根據(jù)路由器公告報文(RA)的接收端口信息是否與預(yù)先配置的信任端口匹配���,判斷路由器公告報文的合法性��。接入交換機(jī)的判斷模塊根據(jù)路由器公告報文的接收端口信息是否與預(yù)先配置的信任端口進(jìn)行匹配�����,判斷路由器公告報文的合法性如果路由器公告報文的接收端口信息匹配任意一個預(yù)先配置的信任端口��,則認(rèn)為路由器公告報文合法�����;如果路由器公告報文的接收端口信息與任意一個預(yù)先配置的信任口都不匹配,則認(rèn)為路由器公告報文非法�。S4 如為合法的路由器公告報文,接入交換機(jī)轉(zhuǎn)發(fā)該報文���;如為非法的路由器公告報文��,接入交換機(jī)丟棄該報文��。如合法的路由器公告報文為組播報文�,接入交換機(jī)則從接收端口(信任端口)所在的局域網(wǎng)中,向除該接收端口以外的其他端口轉(zhuǎn)發(fā)�;如合法的路由器公告報文為單播報文,接入交換機(jī)則查詢鄰居表��,從目標(biāo)主機(jī)所連的端口轉(zhuǎn)發(fā)出去�����。組播報文是一種向多個接收方傳送單信息流的通信方式���,一份組播報文使用一個組播地址作為目的地址��。當(dāng)路由器以組播方式發(fā)送一路由器公告報文時���,網(wǎng)絡(luò)中部署的組播協(xié)議為此報文建立一樹型路由,接入交換機(jī)從組播報文接收端口所在的局域網(wǎng)��,向除該接收端口以外的其他端口轉(zhuǎn)發(fā)���。使用組播方式傳遞信息�,用戶的增加不會明顯增加網(wǎng)絡(luò)的負(fù)載,減輕了服務(wù)器和處理器的負(fù)荷�。組播報文可以跨網(wǎng)段傳輸,不需要此報文的用戶不能收到此報文��,保障了信息安全性���。單播報文是一種一對一傳遞信息流的通信方式���,網(wǎng)絡(luò)為每份單播報文執(zhí)行獨(dú)立的數(shù)據(jù)轉(zhuǎn)發(fā),形成獨(dú)立的數(shù)據(jù)傳送通路���。多份單播報文形成多條相互獨(dú)立的傳輸路徑��。當(dāng)路由器以單播方式發(fā)送一路由器公告報文時�,接入交換機(jī)查詢鄰居表���,從目標(biāo)主機(jī)所連的端口轉(zhuǎn)發(fā)出去��。鄰居表是包含了網(wǎng)絡(luò)中多個路由器之間關(guān)系的信息表,路由器發(fā)送單播路由器公告報文���,接入交換機(jī)查詢鄰居表�,查找目標(biāo)主機(jī)所在的路由網(wǎng)絡(luò),將報文從目標(biāo)主機(jī)所連接的端口轉(zhuǎn)發(fā)出去���。單播方式下���,網(wǎng)絡(luò)中傳輸?shù)男畔⒘亢托枨笮畔⒌挠脩袅砍烧龋?dāng)需要相同的信息的用戶量較大時�����,網(wǎng)絡(luò)中出現(xiàn)多份相同的信息流�,不僅占用處理器資源而且浪費(fèi)帶寬,因此單播方式適合用戶量少的網(wǎng)絡(luò)�。S5 :IPv6主機(jī)根據(jù)合法路由器公告報文內(nèi)容進(jìn)行信息配置。IPv6主機(jī)接收到合法的路由器公告報文��,根據(jù)路由器公告報文包含的地址前綴�、 地址生存期、默認(rèn)路由器地址和路由器生存期等信息生成IPv6地址�����,完成信息配置�����。本發(fā)明另一實(shí)施例的詳細(xì)步驟如下1)在接入交換機(jī)上使能路由器公告安全功能,下發(fā)路由器公告報文重定向至交換機(jī)CPU的規(guī)則�����,其中�,匹配路由器公告報文的特征為以太類型為0x86dd(以太首部第17, 18字節(jié))��,nexthdr為58 (ipv6首部第6字節(jié))���,icmpv6類型(ipv6首部第41字節(jié))為 134;通過配置命令預(yù)先將接入交換機(jī)上連有路由器的二層端口或者匯聚端口配置為信任端□�����;2)路由器發(fā)出路由器公告報文�����,接入交換機(jī)監(jiān)聽路由器公告報文���,路由器公告報文到達(dá)交換機(jī)端口后,匹配下發(fā)的規(guī)則�,不執(zhí)行硬件轉(zhuǎn)發(fā)行為,而是將報文重定向至交換機(jī)的微處理器CPU,由微處理器CPU對報文進(jìn)行軟件的解析�����,記錄路由器公告報文的接收端口 fn息�;3)接入交換機(jī)判斷路由器公告報文的接收端口是否是信任端口�,只要路由器公告報文的接收端口信息匹配任意一個預(yù)先配置的信任端口,則認(rèn)為路由器公告報文合法�,接入交換機(jī)轉(zhuǎn)發(fā)該報文;如果路由器公告報文的接收端口信息沒有匹配任一個信任端口�,則認(rèn)為路由器公告報文非法,接入交換機(jī)丟棄該報文�����;交換機(jī)轉(zhuǎn)發(fā)合法的路由器公告報文�����,如果報文是組播報文���,則從接收端口(信任端口)所在的虛擬局域網(wǎng)中向除該接收端口外的其他端口轉(zhuǎn)發(fā)���;如果是單播報文,則查詢鄰居表,從目標(biāo)主機(jī)所連的端口轉(zhuǎn)發(fā)出去��;4) IPv6主機(jī)收到合法路由器公告報文��,根據(jù)報文內(nèi)容配置相應(yīng)的信息���,如地址前綴��、默認(rèn)路由器地址等�����。本發(fā)明技術(shù)方案實(shí)現(xiàn)了路由器公告能夠安全接入網(wǎng)絡(luò)設(shè)備或系統(tǒng)��,防止了惡意路由器公告消息的轉(zhuǎn)發(fā)���,從而保證路由器公告的合法性,確保網(wǎng)絡(luò)的正常工作��。
權(quán)利要求
1.一種路由器公告安全接入方法�,該方法包括如下步驟51接入交換機(jī)使能路由器公告安全功能,并預(yù)先配置信任端ロ �����;52接入交換機(jī)監(jiān)聽路由器發(fā)出的路由器公告報文,由重定向模塊將該報文重定向到微處理器(CPU)�����;S3:接入交換機(jī)根據(jù)路由器公告報文(RA)的接收端ロ信息是否與預(yù)先配置的信任端 ロ匹配��,判斷路由器公告報文的合法性�;54如為合法的路由器公告報文�,接入交換機(jī)轉(zhuǎn)發(fā)該報文;如為非法的路由器公告報文��,接入交換機(jī)丟棄該報文��;55:IPv6主機(jī)根據(jù)合法路由器公告報文內(nèi)容進(jìn)行信息配置�����。
2.根據(jù)權(quán)利要求1所述的路由器公告安全接入方法��,其特征在干���,所述步驟S2中接入交換機(jī)監(jiān)聽路由器公告報文�,下發(fā)路由器公告報文重定向至微處理器(CPU)的規(guī)則�,接入交換機(jī)的收發(fā)模塊接收到路由器公告報文�����,將該報文重定向至微處理器(CPU)�����。
3.根據(jù)權(quán)利要求1或2所述的路由器公告安全接入方法�����,其特征在干��,所述步驟S3中如果路由器公告報文的接收端ロ信息匹配任意一個預(yù)先配置的信任端ロ�,則認(rèn)為路由器公告報文合法�����;如果路由器公告報文的接收端ロ信息與任意一個預(yù)先配置的信任端ロ都不匹配�,則認(rèn)為路由器公告報文非法。
4.根據(jù)權(quán)利要求1所述的路由器公告安全接入方法���,其特征在干���,所述步驟S4中如合法的路由器公告報文為組播報文�����,接入交換機(jī)則從接收端ロ所在的局域網(wǎng)中�����,向除該接收端ロ以外的其他端ロ轉(zhuǎn)發(fā)�;如合法的路由器公告報文為單播報文��,接入交換機(jī)則查詢鄰居表��,從目標(biāo)主機(jī)所連的端ロ轉(zhuǎn)發(fā)出去���。
5.一種路由器公告安全接入系統(tǒng),所述系統(tǒng)包括IPv6主機(jī)�、接入交換機(jī)和路由器, IPv6主機(jī)與接入交換機(jī)連接�,接入交換機(jī)與路由器連接,其中��,所述路由器用于發(fā)出路由器公告報文(RA)��;所述接入交換機(jī)用于監(jiān)聽路由器公告報文并根據(jù)路由器公告報文(RA)的接收端ロ信息是否與接入交換機(jī)上預(yù)先配置的信任端ロ匹配��,判斷路由器公告報文的合法性,如為合法的路由器公告報文���,接入交換機(jī)轉(zhuǎn)發(fā)該報文��;如為非法的路由器公告報文���,接入交換機(jī)丟棄該報文;所述IPv6主機(jī)根據(jù)合法路由器公告報文內(nèi)容進(jìn)行信息配置��。
6.根據(jù)權(quán)利要求5所述的路由器公告安全接入系統(tǒng)�����,其特征在干�,所述信任端ロ為接入交換機(jī)上連有路由器的ニ層物理端ロ或匯聚端ロ。
7.根據(jù)權(quán)利要求5所述的路由器公告安全接入系統(tǒng)�����,其特征在干���,所述接入交換機(jī)包括設(shè)置模塊���、監(jiān)聽模塊�����、收發(fā)模塊�、重定向模塊和判斷模塊�,其中,設(shè)置模塊用于對接入交換機(jī)上信任端口和非信任端ロ進(jìn)行配置�;監(jiān)聽模塊對路由器發(fā)出的路由器公告報文進(jìn)行監(jiān)聽;收發(fā)模塊用于接收路由器公告報文和對合法路由器公告報文進(jìn)行轉(zhuǎn)發(fā)��;重定向模塊匹配路由器公告報文重定向的規(guī)則�,將收發(fā)模塊接收到的路由器公告報文重定向至微處理器(CPU);判斷模塊根據(jù)路由器公告報文(RA)的接收端ロ信息是否與接入交換機(jī)上預(yù)先配置的信任端ロ匹配���,判斷路由器公告報文的合法性。
8.根據(jù)權(quán)利要求5所述的路由器公告安全接入系統(tǒng)�����,其特征在于��,如合法的路由器公告報文為組播報文�����,接入交換機(jī)則從接收端口所在的局域網(wǎng)中,向除該接收端口以外的其他端口轉(zhuǎn)發(fā)�����;如合法的路由器公告報文為單播報文�����,接入交換機(jī)則查詢鄰居表�����,從目標(biāo)主機(jī)所連的端口轉(zhuǎn)發(fā)出去��。
9.根據(jù)權(quán)利要求5所述的路由器公告安全接入系統(tǒng)��,其特征在于�,IPv6主機(jī)根據(jù)路由器公告報文包含的地址前綴、地址生存期�、默認(rèn)路由器地址和路由器生存期信息生成IPv6 地址,完成信息配置�����。
10.一種路由器公告安全接入裝置,該裝置為接入交換機(jī)��,所述接入交換機(jī)包括設(shè)置模塊���、監(jiān)聽模塊���、收發(fā)模塊、重定向模塊和判斷模塊�����,其中��,設(shè)置模塊用于對接入交換機(jī)上信任端口和非信任端口進(jìn)行配置��; 監(jiān)聽模塊對路由器發(fā)出的路由器公告報文進(jìn)行監(jiān)聽��; 收發(fā)模塊用于接收路由器公告報文和對合法路由器公告報文進(jìn)行轉(zhuǎn)發(fā)�; 重定向模塊匹配路由器公告報文重定向的規(guī)則�����,將收發(fā)模塊接收到的路由器公告報文重定向至微處理器(CPU)���;判斷模塊根據(jù)路由器公告報文(RA)的接收端口信息是否與接入交換機(jī)上預(yù)先配置的信任端口匹配�,判斷路由器公告報文的合法性。
全文摘要
本發(fā)明公開一種路由器公告安全接入方法��、系統(tǒng)及裝置���,步驟如下S1接入交換機(jī)使能路由器公告安全功能���,并預(yù)先配置信任端口;S2接入交換機(jī)監(jiān)聽路由器發(fā)出的路由器公告報文��,由重定向模塊將該報文重定向到微處理器��;S3接入交換機(jī)根據(jù)路由器公告報文的接收端口信息是否與預(yù)先配置的信任端口匹配���,判斷路由器公告報文的合法性�����;S4如為合法的路由器公告報文��,接入交換機(jī)轉(zhuǎn)發(fā)該報文���;如為非法的路由器公告報文,接入交換機(jī)丟棄該報文;S5IPv6主機(jī)根據(jù)合法路由器公告報文內(nèi)容進(jìn)行信息配置��。本發(fā)明實(shí)現(xiàn)了路由器公告能夠安全接入網(wǎng)絡(luò)設(shè)備或系統(tǒng)���,防止惡意路由器公告消息的轉(zhuǎn)發(fā)��,從而保證路由器公告的合法性��,確保網(wǎng)絡(luò)的正常工作���。
文檔編號H04L12/56GK102546431SQ20121002749
公開日2012年7月4日 申請日期2012年2月8日 優(yōu)先權(quán)日2012年2月8日
發(fā)明者梁小冰 申請人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司