專利名稱：：一種優(yōu)化的ipv6過濾規(guī)則處理方法和設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，特別是涉及一種優(yōu)化的IPV6過濾規(guī)則處理方法和設(shè)備。
背景技術(shù)：
：IPv6(InternetProtocolVersion6，IP協(xié)議版本6)地址可以手工配置或者自動配置。其中，自動配置的方式包括ND(NeighborDiscovery，鄰居發(fā)現(xiàn))無狀態(tài)自動配置和DHCP(DynamicHostConfigurationProtocol，動態(tài)主機(jī)配置協(xié)議)有狀態(tài)自動配置。具體的，DHCP是一種使網(wǎng)絡(luò)管理員能夠集中管理和自動分配IP地址的通信協(xié)議，DHCP使網(wǎng)絡(luò)管理員在中心結(jié)點監(jiān)控和分配IP地址。其中，DHCPv6(DHCPforIPv6，支持IPv6的動態(tài)主機(jī)配置協(xié)議)是針對IPv6設(shè)計的，通過使用DHCPv6實現(xiàn)了客戶端IP地址的自動配置。ND協(xié)議是IPv6的基本組成部分，該ND協(xié)議實現(xiàn)了在IPv4中的ARP(AddressResolutionProtocol,地址解析協(xié)議)、ICMP(InternetControlMessageProtocol,控制報文協(xié)議)中的路由器發(fā)現(xiàn)部分、重定向協(xié)議的所有功能，并且具有鄰居不可達(dá)檢測機(jī)制。另外，ACUAccessControlList，訪問控制列表)提供了控制用戶設(shè)備訪問網(wǎng)絡(luò)資源和限制用戶設(shè)備訪問權(quán)限的功能。當(dāng)用戶設(shè)備上線時，如果RADIUS(RemoteAuthenticationDialInUserService，遠(yuǎn)程用戶撥號認(rèn)證服務(wù)器)服務(wù)器上配置了授權(quán)ACL,則設(shè)備會根據(jù)RADIUS服務(wù)器下發(fā)的授權(quán)ACL對用戶設(shè)備所在端口的數(shù)據(jù)流進(jìn)行控制。其中，在RADIUS服務(wù)器上配置授權(quán)ACL之前，還需要在設(shè)備上配置相應(yīng)的ACL規(guī)則，管理員可以通過改變RADIUS服務(wù)器的授權(quán)ACL設(shè)置或設(shè)備上對應(yīng)的ACL規(guī)則來改變用戶設(shè)備的訪問權(quán)限?，F(xiàn)有技術(shù)中，NDSnooping(探聽)功能用于二層交換網(wǎng)絡(luò)環(huán)境，通過偵聽DAD(DuplicateAddressDetection，重復(fù)地址檢測)NS(NeighborRequest，鄰居請求)消息來建立NDSnooping表項，其中，該NDSnooping表項中的內(nèi)容包括報文的源IPv6地址、源MAC(MediaAccessControl，介質(zhì)訪問控制)地址、所屬VLAN(VirtualLocalAreaNetwork，虛擬局域網(wǎng))和入端口等信息。具體的，當(dāng)一個VLAN使能NDSnooping后，該VLAN內(nèi)所有端口接收的ND報文均會被重定向到CPU(CentralProcessingUnit，中央處理單元)中，該CPU通過對這些ND報文進(jìn)行分析，獲取該ND報文的源IPv6地址、源MAC地址、源VLAN和入端口等信息，并根據(jù)這些信息來新建或更新NDSnooping表項。進(jìn)一步的，該NDSnooping表項可以與NDDetection(檢測)功能配合使用，保證ND報文的合法性；另外，該NDSnooping表項還可以與IPSource(源)Guard(保護(hù))功能配合使用，保證數(shù)據(jù)報文的合法性。(I)NDSnooping表項與NDDetection功能配合使用，保證ND報文的合法性。其中，NDDetection功能用于在接入設(shè)備上檢查用戶設(shè)備的合法性，對于合法用戶設(shè)備的ND報文進(jìn)行正常轉(zhuǎn)發(fā)，對于非法用戶設(shè)備的ND報文直接丟棄，從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。具體的，NDDetection功能將接入設(shè)備上的端口分為兩種，分別為ND信任端口和ND非信任端口。對于ND信任端口來說，不需要進(jìn)行用戶設(shè)備的合法性檢查；對于ND非信任端口來說，如果接收到RA(RouterAdvertisement,路由器通告)消息和RR(RouterRequest，路由器請求)消息，則認(rèn)為是非法報文直接丟棄，如果接收到其它類型的ND報文，則需要進(jìn)行用戶設(shè)備的合法性檢查，以防止仿冒用戶的攻擊。用戶設(shè)備的合法性檢查是根據(jù)ND報文中的源IPv6地址和源MAC地址，檢查來自用戶設(shè)備的ND報文是否為接收到端口所屬VLAN上的合法用戶設(shè)備，包括基于IPSourceGuard靜態(tài)綁定表項的檢查、基于NDSnooping表項的檢查和基于DHCPv6Snooping安全表項的檢查。在上述三種表項均存在的情況下，該檢查過程具體包括基于IPSourceGuard靜態(tài)綁定表項的檢查；a)如果找到了對應(yīng)源IPv6地址和源MAC地址的靜態(tài)綁定表項，則認(rèn)為該ND報文合法，進(jìn)行轉(zhuǎn)發(fā)；b)如果找到了對應(yīng)源IPv6地址的靜態(tài)綁定表項，但源MAC地址不符，則認(rèn)為該ND報文非法，進(jìn)行丟棄；c)如果沒有找到對應(yīng)源IPv6地址的靜態(tài)綁定表項，則繼續(xù)進(jìn)行DHCPv6Snooping安全表項和NDSnooping安全表項檢查。進(jìn)一步的，在基于IPSourceGuard靜態(tài)綁定表項檢查之后，還需要進(jìn)行基于DHCPv6Snooping安全表項和基于NDSnooping安全表項的檢查，只要符合兩者中的任何一個，則認(rèn)為該ND報文是合法報文，進(jìn)行轉(zhuǎn)發(fā)；如果所有檢查都沒有找到匹配的表項，則認(rèn)為該ND報文是非法報文，直接丟棄。(2)NDSnooping表項與IPSourceGuard功能配合使用，保證數(shù)據(jù)報文的合法性。其中，IPSourceGuard功能在接入設(shè)備接入用戶側(cè)的端口上啟用，可以對端口接收到的數(shù)據(jù)報文進(jìn)行過濾控制，防止非法數(shù)據(jù)報文通過端口，從而限制了對網(wǎng)絡(luò)資源的非法使用(例如，非法用戶仿冒合法用戶IP接入網(wǎng)絡(luò))，并提高了端口的安全性。具體的，IPSourceGuard在端口上用于過濾數(shù)據(jù)報文的特征項包括源IP地址、源MAC地址和VLAN標(biāo)簽。其中，這些特征項可以單獨或組合起來與端口進(jìn)行綁定，從而形成綁定表項。例如，IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN和IP+MAC+VLAN等。但是，按照現(xiàn)有IPv6協(xié)議規(guī)定，每個用戶設(shè)備對應(yīng)的IPv6地址至少為兩個，一個是鏈路本地地址，一個是全球單播地址。而且在接入設(shè)備上，每個接口可以配置多個IPv6單播地址，如果用戶設(shè)備接入的路由器公告多個前綴，或者用戶設(shè)備接入了多個路由器時，則該用戶設(shè)備將會生成多個IPv6單播地址。而在現(xiàn)有的實現(xiàn)中，需要對每個IPv6地址都生成相應(yīng)的ACL表項，然后利用該ACL表項對轉(zhuǎn)發(fā)報文進(jìn)行過濾，此時，如果每個用戶設(shè)備有多個(至少兩個)IPv6地址，則會對應(yīng)的生成多個ACL表項，從而占用較多的系統(tǒng)ACL資源(例如，包括存儲資源和處理時間)，并由于接入設(shè)備的ACL資源有限，導(dǎo)致ACL資源被消耗光，影響用戶設(shè)備的正常使用。
發(fā)明內(nèi)容本發(fā)明提供一種優(yōu)化的IPV6過濾規(guī)則處理方法和設(shè)備，以在每個用戶設(shè)備對應(yīng)多個IPv6地址的情況下，為每個用戶設(shè)備設(shè)置一個端口ACL，以減少ACL的資源消耗。為了達(dá)到上述目的，本發(fā)明提出了一種優(yōu)化的IPV6過濾規(guī)則處理方法，應(yīng)用于包括用戶設(shè)備和接入設(shè)備的系統(tǒng)中，所述方法包括以下步驟所述接入設(shè)備接收來自所述用戶設(shè)備的鄰居發(fā)現(xiàn)ND報文，并當(dāng)根據(jù)所述ND報文確定所述用戶設(shè)備合法時，獲取所述用戶設(shè)備的接口標(biāo)識ID和IPv6地址；當(dāng)接口ID列表中不存在所述接口ID時，所述接入設(shè)備根據(jù)所述接口ID和所述IPv6地址為所述用戶設(shè)備建立接口ID表項；當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，所述接入設(shè)備在所述接口ID對應(yīng)的接口ID表項中記錄所述IPv6地址；所述接入設(shè)備根據(jù)所述接口ID表項維護(hù)端口訪問控制列表ACL。所述接口ID表項中的信息包括接口ID、介質(zhì)訪問控制MAC地址、端口、虛擬局域網(wǎng)VLAN和關(guān)聯(lián)地址；所述接入設(shè)備根據(jù)所述接口ID和所述IPv6地址為所述用戶設(shè)備建立接口ID表項，具體包括所述接入設(shè)備以所述接口ID為索引，將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址；所述接入設(shè)備在所述接口ID對應(yīng)的接口ID表項中記錄所述IPv6地址，具體包括所述接入設(shè)備將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址。將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址，之后還包括所述接入設(shè)備為所述IPv6地址設(shè)置第一老化時間，并在到達(dá)所述第一老化時間時，對所述IPv6地址進(jìn)行探測，在第二老化時間之內(nèi)探測結(jié)果為不可達(dá)時，從所述接口ID表項中將所述第一老化時間對應(yīng)的所述IPv6地址刪除；如果所述接口ID對應(yīng)的所有IPv6地址均從所述接口ID表項中刪除，所述接入設(shè)備從接口ID列表中刪除所述接口ID表項。所述端口ACL中的信息包括接口ID、MAC地址、端口、VLAN；所述接入設(shè)備根據(jù)所述接口ID表項維護(hù)端口訪問控制列表ACL，具體包括當(dāng)接口ID列表中建立接口ID表項時，所述接入設(shè)備判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果不存在，所述接入設(shè)備根據(jù)所述接口ID表項建立端口ACL；如果存在，所述接入設(shè)備確定不需要根據(jù)所述接口ID表項建立端口ACL；當(dāng)接口ID列表中刪除接口ID表項時，所述接入設(shè)備判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果存在，所述接入設(shè)備刪除所述接口ID對應(yīng)的端口ACL。所述接入設(shè)備根據(jù)所述接口ID表項維護(hù)端口訪問控制列表ACL，之后還包括所述接入設(shè)備根據(jù)所述端口ACL對來自所述用戶設(shè)備的數(shù)據(jù)報文進(jìn)行處理，具體包括當(dāng)接收到來自所述用戶設(shè)備的數(shù)據(jù)報文時，所述接入設(shè)備根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息；如果所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息與所述端口ACL中的信息均匹配成功時，所述接入設(shè)備轉(zhuǎn)發(fā)所述數(shù)據(jù)報文；否則，所述接入設(shè)備丟棄所述數(shù)據(jù)報文。所述方法還包括所述接入設(shè)備獲取所有合法前綴的信息，并根據(jù)所述合法前綴的信息為所述用戶設(shè)備建立全局前綴ACL;所述接入設(shè)備根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息，之前還包括所述接入設(shè)備根據(jù)所述全局前綴ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的IPv6前綴；如果所述數(shù)據(jù)報文中攜帶的IPv6前綴與所述全局前綴ACL中的信息匹配成功時，則執(zhí)行所述接入設(shè)備根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息的操作；否則，所述接入設(shè)備丟棄所述數(shù)據(jù)報文。一種接入設(shè)備，應(yīng)用于包括用戶設(shè)備和接入設(shè)備的系統(tǒng)中，該設(shè)備進(jìn)一步包括收發(fā)模塊，用于接收來自所述用戶設(shè)備的鄰居發(fā)現(xiàn)ND報文；獲取模塊，與所述收發(fā)模塊連接，用于當(dāng)根據(jù)所述ND報文確定所述用戶設(shè)備合法時，獲取所述用戶設(shè)備的接口ID和IPv6地址；接口ID表項維護(hù)模塊，與所述獲取模塊連接，用于當(dāng)接口ID列表中不存在所述接口ID時，根據(jù)所述接口ID和所述IPv6地址為所述用戶設(shè)備建立接口ID表項；當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，在所述接口ID對應(yīng)的接口ID表項中記錄所述IPv6地址；端口ACL維護(hù)模塊，與所述接口ID表項維護(hù)模塊連接，用于根據(jù)所述接口ID表項維護(hù)端口ACL。所述接口ID表項中的信息包括接口ID、介質(zhì)訪問控制MAC地址、端口、虛擬局域網(wǎng)VLAN和關(guān)聯(lián)地址；所述接口ID表項維護(hù)模塊具體用于，當(dāng)接口ID列表中不存在所述接口ID時，以所述接口ID為索引，將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址；或者，當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址。所述接口ID表項維護(hù)模塊還用于，為所述IPv6地址設(shè)置第一老化時間，并在到達(dá)所述第一老化時間時，對所述IPv6地址進(jìn)行探測，在第二老化時間之內(nèi)探測結(jié)果為不可達(dá)時，從所述接口ID表項中將所述第一老化時間對應(yīng)的所述IPv6地址刪除；如果所述接口ID對應(yīng)的所有IPv6地址均從所述接口ID表項中刪除，從接口ID列表中刪除所述接口ID表項。所述端口ACL中的信息包括接口ID、MAC地址、端口、VLAN；所述端口ACL維護(hù)模塊具體用于，當(dāng)接口ID列表中建立接口ID表項時，判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果不存在，根據(jù)所述接口ID表項建立端口ACL；如果存在，確定不需要根據(jù)所述接口ID表項建立端口ACL；當(dāng)接口ID列表中刪除接口ID表項時，判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果存在，刪除所述接口ID對應(yīng)的端口ACL。還包括處理模塊，與所述端口ACL維護(hù)模塊連接，用于根據(jù)所述端口ACL對來自所述用戶設(shè)備的數(shù)據(jù)報文進(jìn)行處理，并進(jìn)一步用于，當(dāng)接收到來自所述用戶設(shè)備的數(shù)據(jù)報文時，根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息；如果所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息與所述端口ACL中的信息均匹配成功時，轉(zhuǎn)發(fā)所述數(shù)據(jù)報文；否則，丟棄所述數(shù)據(jù)報文。所述獲取模塊還用于，獲取所有合法前綴的信息；所述處理模塊還用于，根據(jù)所述合法前綴的信息為所述用戶設(shè)備建立全局前綴ACL；并根據(jù)所述全局前綴ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的IPv6前綴；如果所述數(shù)據(jù)報文中攜帶的IPv6前綴與所述全局前綴ACL中的信息匹配成功時，則執(zhí)行根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息的操作；否貝U，丟棄所述數(shù)據(jù)報文。與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點通過使用用戶設(shè)備的接口ID為每個用戶設(shè)備建立對應(yīng)的ACL表項，保證了對于每個用戶設(shè)備的多個IPv6地址，只需要建立一個ACL表項，減少了對系統(tǒng)ACL資源的消耗，并能夠保證用戶設(shè)備的正常使用。圖1為本發(fā)明提出的一種優(yōu)化的IPV6過濾規(guī)則處理方法流程圖；圖2為本發(fā)明提出的一種應(yīng)用場景示意圖；圖3為對應(yīng)圖2應(yīng)用場景所提出的一種優(yōu)化的IPV6過濾規(guī)則處理方法流程圖；圖4為本發(fā)明提出的一種接入設(shè)備的結(jié)構(gòu)圖。具體實施例方式本發(fā)明中，通過在控制層面根據(jù)接口ID為每個用戶設(shè)備建立接口ID表項，對于每個用戶設(shè)備的多個IPv6地址來說，由于具有相同的接口ID，則該多個IPv6地址將對應(yīng)同一個接口ID表項。而在數(shù)據(jù)轉(zhuǎn)發(fā)層面上，根據(jù)接口ID表項為用戶設(shè)備下發(fā)端口ACL，在為每個用戶設(shè)備建立端口ACL表項時，能夠根據(jù)接口ID表項中的接口ID為使用相同接口ID的多個IPv6地址建立一個端口ACL表項，從而保證了對于每個用戶設(shè)備的多個IPv6地址來說，只需要建立一個端口ACL表項，減少了對系統(tǒng)ACL資源的消耗?；谏鲜鏊枷?，本發(fā)明中提供一種優(yōu)化的IPV6過濾規(guī)則處理方法，應(yīng)用于包括用戶設(shè)備和接入設(shè)備的系統(tǒng)中，在本發(fā)明中，該用戶設(shè)備包括至少兩個IPv6地址，且所述至少兩個IPv6地址使用相同的接口ID，并在接入設(shè)備上預(yù)先維護(hù)了接口ID列表，如圖1所示，該方法包括以下步驟步驟101，所述接入設(shè)備接收來自所述用戶設(shè)備的鄰居發(fā)現(xiàn)ND報文，并當(dāng)根據(jù)所述ND報文確定所述用戶設(shè)備合法時，獲取所述用戶設(shè)備的接口標(biāo)識ID和IPv6地址。步驟102，當(dāng)接口ID列表中不存在所述接口ID時，所述接入設(shè)備根據(jù)所述接口ID和所述IPv6地址為所述用戶設(shè)備建立接口ID表項；當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，所述接入設(shè)備在所述接口ID對應(yīng)的接口ID表項中記錄所述IPv6地址。步驟103，所述接入設(shè)備根據(jù)所述接口ID表項維護(hù)端口訪問控制列表ACL。為了更加清楚的闡述本發(fā)明提供的技術(shù)方案，以下結(jié)合一種具體的應(yīng)用場景對本發(fā)明進(jìn)行詳細(xì)描述。如圖2所示，為本發(fā)明提供的一種組網(wǎng)示意圖，在圖2中，包括接入設(shè)備和多個用戶設(shè)備，該接入設(shè)備與各個用戶設(shè)備分別連接，各個用戶設(shè)備分別為用戶設(shè)備1、用戶設(shè)備2和用戶設(shè)備3。在實際應(yīng)用中，各個用戶設(shè)備均分別對應(yīng)了至少兩個IPv6地址，為了方便描述，本應(yīng)用場景下以用戶設(shè)備1為例進(jìn)行說明，對于其他用戶設(shè)備的處理方式，與用戶設(shè)備1相同，本應(yīng)用場景下不再詳加贅述。本應(yīng)用場景下，用戶設(shè)備1對應(yīng)了至少兩個IPv6地址(以IPv6地址1和IPv6地址2為例進(jìn)行說明)，且IPv6地址1和IPv6地址2使用了相同的接口ID，該接口ID在本鏈路內(nèi)是唯一的?；谏鲜銮闆r，如圖3所示，本發(fā)明提供的優(yōu)化的IPV6過濾規(guī)則處理方法中，包括以下步驟步驟301，當(dāng)接收到來自用戶設(shè)備的ND報文時，接入設(shè)備根據(jù)該ND報文判斷該用戶設(shè)備是否合法。當(dāng)該用戶設(shè)備合法時，則轉(zhuǎn)到步驟302，當(dāng)該用戶設(shè)備不合法時，則接入設(shè)備丟棄該ND報文。具體的，在接入設(shè)備上維護(hù)了NDSnooping表項，該NDSnooping表項中的內(nèi)容包括但不限于源IPv6地址、源MAC地址、所屬VLAN和入端口等信息，當(dāng)接收到來自用戶設(shè)備的ND報文時，該接入設(shè)備能夠?qū)碜杂脩粼O(shè)備的ND報文進(jìn)行偵聽，并根據(jù)NDSnooping表項和該ND報文判斷該用戶設(shè)備是否合法，該過程與現(xiàn)有技術(shù)的處理方式相同，本應(yīng)用場景下不再說明。步驟302，接入設(shè)備獲取該用戶設(shè)備的接口ID和IPv6地址。對于每個用戶設(shè)備來說，具有唯一的接口ID，而在用戶設(shè)備向接入設(shè)備發(fā)送的ND報文中攜帶了該用戶設(shè)備的接口ID和IPv6地址，即接入設(shè)備能夠根據(jù)該ND報文獲取該用戶設(shè)備的接口ID。步驟303，接入設(shè)備判斷自身的接口ID列表中是否存儲了該接口ID對應(yīng)的接口ID表項。具體的，在接入設(shè)備上維護(hù)了接口ID列表，而該接口ID列表中記錄了各個接口ID對應(yīng)的接口ID表項，該接口ID表項以接口ID為索引，當(dāng)獲取到用戶設(shè)備的接口ID后，能夠根據(jù)該接口ID列表判斷出接入設(shè)備上是否存儲了該接口ID對應(yīng)的接口ID表項；如果存儲了該接口ID對應(yīng)的接口ID表項時，則轉(zhuǎn)到步驟304，否則，轉(zhuǎn)到步驟305。步驟304，接入設(shè)備確定不需要為用戶設(shè)備建立接口ID表項。當(dāng)存儲了該接口ID對應(yīng)的接口ID表項時，則說明接入設(shè)備上已經(jīng)建立了該用戶設(shè)備對應(yīng)的接口ID表項，不再需要重新為該用戶設(shè)備建立接口ID表項。步驟305，接入設(shè)備根據(jù)該接口ID和IPv6地址為該用戶設(shè)備建立對應(yīng)的接口ID表項。當(dāng)沒有存儲該接口ID對應(yīng)的接口ID表項時，則說明接入設(shè)備上還沒有為該用戶設(shè)備建立對應(yīng)的接口ID表項，此時，需要根據(jù)該接口ID和IPv6地址為該用戶設(shè)備建立對應(yīng)的接口ID表項。本發(fā)明中，該接口ID表項中的信息包括但不限于接口ID、MAC地址、端口、VLAN和關(guān)聯(lián)地址(即關(guān)聯(lián)的IPv6地址)等信息。因此，在根據(jù)該接口ID和IPv6地址為該用戶設(shè)備建立對應(yīng)的接口ID表項時，還需要從ND報文中獲取MAC地址、端口、VLAN等信息，并根據(jù)接口ID、MAC地址、端口、VLAN和IPv6地址等信息為該用戶設(shè)備建立對應(yīng)的接口ID表項。如表1所示，為一種接口ID列表。表1<table>tableseeoriginaldocumentpage11</column></row><table>可以理解的是，當(dāng)接收到來自用戶設(shè)備1的ND報文時，如果在接口ID表項中沒有用戶設(shè)備1的接口ID(接口ID1)的記錄，則需要為用戶設(shè)備1建立接口ID表項。例如，建立表1所示的接口ID1對應(yīng)的接口ID表項。需要注意的是，由于一個接口ID可能被多個IPv6地址所使用，因此本發(fā)明中，在建立接口ID表項的過程中，需要以接口ID為索引，將所有使用該接口ID的IPv6地址都記錄到該接口ID對應(yīng)的接口ID表項中。因此，本應(yīng)用場景下，在步驟304中，接入設(shè)備確定不需要為用戶設(shè)備建立接口ID表項之后，該接入設(shè)備還需要根據(jù)步驟302中獲取的IPv6地址判斷是否需要對相應(yīng)的接口ID表項進(jìn)行更新。具體的，當(dāng)接口ID列表中存在接口ID且接口ID列表中不存在IPv6地址時，則說明接口ID列表具有接口ID對應(yīng)的接口ID表項，但是該接口ID表項中沒有記錄該IPv6地址，此時，需要在接口ID對應(yīng)的接口ID表項中記錄該IPv6地址。當(dāng)接口ID列表中存在接口ID且接口ID列表存在IPv6地址時，不需要進(jìn)行相關(guān)處理，可以直接丟棄步驟301中接收到的ND報文。例如，該ND報文中攜帶的接口ID為接口IDl且關(guān)聯(lián)地址為關(guān)聯(lián)地址2，在接入設(shè)備上已經(jīng)維護(hù)了表1所示的接口ID表項，此時，該接入設(shè)備需要將關(guān)聯(lián)地址2更新到該接口ID表項中，如表2所示的更新后的接口ID表項。表2<table>tableseeoriginaldocumentpage11</column></row><table>需要說明的是，接入設(shè)備還需要為接口ID表項中的每個關(guān)聯(lián)地址設(shè)置老化時間(例如，第一老化時間)，該老化時間可以根據(jù)實際需要任意選擇。對于不同的關(guān)聯(lián)地址，老化時間可以相同，也可以不同。例如，對于用戶設(shè)備1來說，由于用戶設(shè)備1對應(yīng)了兩個IPv6地址，則在接口ID表項中，用戶設(shè)備1對應(yīng)了兩個關(guān)聯(lián)地址，如表3所示。表3<table>tableseeoriginaldocumentpage12</column></row><table>需要注意的是，對于每一個關(guān)聯(lián)地址來說，當(dāng)?shù)竭_(dá)該關(guān)聯(lián)地址的老化時間時，還需要對該關(guān)聯(lián)地址進(jìn)行探測，并在預(yù)設(shè)老化時間內(nèi)不可達(dá)時，從接口ID表項中將該關(guān)聯(lián)地址刪除。例如，當(dāng)?shù)竭_(dá)老化時間1時，需要對關(guān)聯(lián)地址1進(jìn)行探測，如果在老化時間(例如，第二老化時間，該第二老化時間可以根據(jù)實際需要任意選擇)之內(nèi)探測結(jié)果為不可達(dá)時，則需要將關(guān)聯(lián)地址1從接口ID表項中刪除。進(jìn)一步的，如果接口ID對應(yīng)的所有關(guān)聯(lián)地址均從接口ID表項中刪除時，還需要刪除該接口ID表項。例如，當(dāng)?shù)竭_(dá)老化時間1和老化時間2時，且關(guān)聯(lián)地址1和關(guān)聯(lián)地址2均為不可達(dá)時，需要將關(guān)聯(lián)地址1和關(guān)聯(lián)地址2從接口ID表項中刪除，此時，對于接口ID1來說，已經(jīng)沒有對應(yīng)的關(guān)聯(lián)地址，需要將該接口ID1對應(yīng)的接口ID表項刪除。本應(yīng)用場景下，通過使用上述步驟，即可以在接入設(shè)備的控制層面上建立每個用戶設(shè)備對應(yīng)的接口ID表項。進(jìn)一步的，當(dāng)在控制層面上為用戶設(shè)備建立了接口ID表項之后，還需要根據(jù)該接口ID表項為用戶設(shè)備在數(shù)據(jù)轉(zhuǎn)發(fā)層面維護(hù)端口ACL，并根據(jù)該端口ACL對數(shù)據(jù)報文進(jìn)行過濾ο在端口ACL中攜帶的信息包括但不限于接口ID、MAC地址、端口、VLAN信息等，在根據(jù)接口ID表項為用戶設(shè)備在數(shù)據(jù)轉(zhuǎn)發(fā)層面維護(hù)端口ACL時，可以分為以下兩種情況(1)當(dāng)接口ID列表中建立接口ID表項時，接入設(shè)備需要判斷端口ACL列表中是否存在該接口ID表項中的接口ID，如果不存在，則需要根據(jù)接口ID表項建立端口ACL;如果存在，則不需要根據(jù)接口ID表項建立端口ACL。(2)當(dāng)接口ID列表中刪除接口ID表項時，接入設(shè)備判斷端口ACL列表中是否存在接口ID表項中的接口ID，如果存在，則刪除接口ID對應(yīng)的端口ACL；如果不存在，則不需要進(jìn)行相關(guān)處理。具體的，在根據(jù)接口ID表項為用戶設(shè)備建立端口ACL時，可以根據(jù)接口ID表項中的接口ID、MAC地址、端口、VLAN等信息直接獲取到端口ACL中的接口ID、MAC地址、端口、VLAN等信息，從而建立對應(yīng)的端口ACL?？梢钥闯觯捎诙丝贏CL為根據(jù)接口ID表項獲得的，該接口ID表項以接口ID為索引，將所有使用同一個接口ID的IPv6地址記錄為一個接口ID表項，則在建立端口ACL中，所有使用同一個接口ID的IPv6地址也將對應(yīng)一個端口ACL，從而在每個用戶設(shè)備具有多個IPv6地址時，為每個用戶設(shè)備建立一個端口ACL，節(jié)省了端口ACL表項的資源。進(jìn)一步的，當(dāng)接口ID表項發(fā)生更新時，還需要根據(jù)更新后的接口ID表項更新端口ACL表項。例如，當(dāng)刪除了接口ID1對應(yīng)的接口ID表項時，則需要將接口ID1對應(yīng)的端口ACL刪除。基于上述端口ACL，本應(yīng)用場景下，當(dāng)接收到來自用戶設(shè)備的數(shù)據(jù)報文時，還可以包括以下步驟步驟306，接入設(shè)備根據(jù)端口ACL中的信息匹配該數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息。具體的，在端口ACL中，存儲了接口ID、MAC地址、端口和VLAN等信息，而在數(shù)據(jù)報文中，也攜帶了用戶設(shè)備的接口ID、MAC地址、端口和VLAN信息。如果端口ACL中的接口ID、MAC地址、端口和VLAN，與用戶設(shè)備的接口ID、MAC地址、端口和VLAN信息完全匹配時，則說明該數(shù)據(jù)報文為來自合法用戶設(shè)備的數(shù)據(jù)報文，轉(zhuǎn)到步驟307；否則，說明該數(shù)據(jù)報文為來自非法用戶設(shè)備的數(shù)據(jù)報文，丟棄該數(shù)據(jù)報文。步驟307，接入設(shè)備繼續(xù)轉(zhuǎn)發(fā)該數(shù)據(jù)報文。另外，本應(yīng)用場景下，考慮到前綴偽造的預(yù)防，還需要針對所有的端口ACL建立全局前綴ACL表項。具體的，接入設(shè)備需要獲取所有合法前綴的信息(即所有的端口ACL使用到的前綴)，并根據(jù)所有合法前綴的信息為用戶設(shè)備建立全局前綴ACL表項，如表4所示。表4<table>tableseeoriginaldocumentpage13</column></row><table>可以看出，在表4中，如果到達(dá)合法前綴(例如，接口ID1對應(yīng)的前綴)的前綴生存期時，需要將該接口ID1對應(yīng)的前綴從全局前綴ACL中刪除，本應(yīng)用場景下不再贅述。基于這種情況，在步驟306之前，接入設(shè)備還需要根據(jù)全局前綴ACL表項中的信息(合法前綴)匹配該數(shù)據(jù)報文中攜帶的IPv6前綴；如果數(shù)據(jù)報文中攜帶的IPv6前綴與全局前綴ACL表項中的信息匹配成功時，則執(zhí)行步驟306中的操作，否則，接入設(shè)備需要丟棄該數(shù)據(jù)報文。其中，本發(fā)明中的各個步驟還可以根據(jù)實際的需要進(jìn)行調(diào)整?；谂c上述方法同樣的發(fā)明構(gòu)思，本發(fā)明還提出了一種接入設(shè)備，應(yīng)用于包括用戶設(shè)備和接入設(shè)備的系統(tǒng)中，如圖4所示，該設(shè)備進(jìn)一步包括收發(fā)模塊11，用于接收來自所述用戶設(shè)備的鄰居發(fā)現(xiàn)ND報文。獲取模塊12，與所述收發(fā)模塊11連接，用于當(dāng)根據(jù)所述ND報文確定所述用戶設(shè)備合法時，獲取所述用戶設(shè)備的接口ID和IPv6地址。接口ID表項維護(hù)模塊13，與所述獲取模塊12連接，用于當(dāng)接口ID列表中不存在所述接口ID時，根據(jù)所述接口ID和所述IPv6地址為所述用戶設(shè)備建立接口ID表項；當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，在所述接口ID對應(yīng)的接口ID表項中記錄所述IPv6地址。本發(fā)明中，所述接口ID表項中的信息包括但不限于接口ID、介質(zhì)訪問控制MAC地址、端口、虛擬局域網(wǎng)VLAN和關(guān)聯(lián)地址；所述接口ID表項維護(hù)模塊13具體用于，當(dāng)接口ID列表中不存在所述接口ID時，以所述接口ID為索引，將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址；或者，當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址。另外，所述接口ID表項維護(hù)模塊13還用于，為所述IPv6地址設(shè)置第一老化時間，并在到達(dá)所述第一老化時間時，對所述IPv6地址進(jìn)行探測，在第二老化時間之內(nèi)探測結(jié)果為不可達(dá)時，從所述接口ID表項中將所述第一老化時間對應(yīng)的所述IPv6地址刪除；如果所述接口ID對應(yīng)的所有IPv6地址均從所述接口ID表項中刪除，從接口ID列表中刪除所述接口ID表項。端口ACL維護(hù)模塊14，與所述接口ID表項維護(hù)模塊13連接，用于根據(jù)所述接口ID表項維護(hù)端口ACL。所述端口ACL中的信息包括接口ID、MAC地址、端口、VLAN；所述端口ACL維護(hù)模塊14具體用于，當(dāng)當(dāng)接口ID列表中建立接口ID表項時，判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果不存在，根據(jù)所述接口ID表項建立端口ACL；如果存在，確定不需要根據(jù)所述接口ID表項建立端口ACL;當(dāng)接口ID列表中刪除接口ID表項時，判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果存在，刪除所述接口ID對應(yīng)的端口ACL。處理模塊15，與所述端口ACL維護(hù)模塊14連接，用于根據(jù)所述端口ACL對來自所述用戶設(shè)備的數(shù)據(jù)報文進(jìn)行處理，并進(jìn)一步用于，當(dāng)接收到來自所述用戶設(shè)備的數(shù)據(jù)報文時，根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息；如果所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息與所述端口ACL中的信息均匹配成功時，轉(zhuǎn)發(fā)所述數(shù)據(jù)報文；否則，丟棄所述數(shù)據(jù)報文。另外，考慮到前綴偽造的預(yù)防，還需要針對所有的端口ACL表項建立全局前綴ACL表項。此時，所述獲取模塊12還用于獲取所有合法前綴的信息。所述處理模塊15還用于根據(jù)所述合法前綴的信息為所述用戶設(shè)備建立全局前綴ACL；并根據(jù)所述全局前綴ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的IPv6前綴；如果所述數(shù)據(jù)報文中攜帶的IPv6前綴與所述全局前綴ACL中的信息匹配成功時，則執(zhí)行根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息的操作；否貝U，確定需要丟棄所述數(shù)據(jù)報文。其中，本發(fā)明裝置的各個模塊可以集成于一體，也可以分離部署。上述模塊可以合并為一個模塊，也可以進(jìn)一步拆分成多個子模塊。通過以上的實施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通過硬件實現(xiàn)，也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)?；谶@樣的理解，本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來，該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是⑶-ROM，U盤，移動硬盤等)中，包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖，附圖中的模塊或流程并不一定是實施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的模塊可以按照實施例描述進(jìn)行分布于實施例的裝置中，也可以進(jìn)行相應(yīng)變化位于不同于本實施例的一個或多個裝置中。上述實施例的模塊可以合并為一個模塊，也可以進(jìn)一步拆分成多個子模塊。上述本發(fā)明序號僅僅為了描述，不代表實施例的優(yōu)劣。以上公開的僅為本發(fā)明的幾個具體實施例，但是，本發(fā)明并非局限于此，任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。權(quán)利要求一種優(yōu)化的IPv6過濾規(guī)則處理方法，應(yīng)用于包括用戶設(shè)備和接入設(shè)備的系統(tǒng)中，其特征在于，所述方法包括以下步驟所述接入設(shè)備接收來自所述用戶設(shè)備的鄰居發(fā)現(xiàn)ND報文，并當(dāng)根據(jù)所述ND報文確定所述用戶設(shè)備合法時，獲取所述用戶設(shè)備的接口標(biāo)識ID和IPv6地址；當(dāng)接口ID列表中不存在所述接口ID時，所述接入設(shè)備根據(jù)所述接口ID和所述IPv6地址為所述用戶設(shè)備建立接口ID表項；當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，所述接入設(shè)備在所述接口ID對應(yīng)的接口ID表項中記錄所述IPv6地址；所述接入設(shè)備根據(jù)所述接口ID表項維護(hù)端口訪問控制列表ACL。2.如權(quán)利要求1所述的方法，其特征在于，所述接口ID表項中的信息包括接口ID、介質(zhì)訪問控制MAC地址、端口、虛擬局域網(wǎng)VLAN和關(guān)聯(lián)地址；所述接入設(shè)備根據(jù)所述接口ID和所述IPv6地址為所述用戶設(shè)備建立接口ID表項，具體包括所述接入設(shè)備以所述接口ID為索引，將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址；所述接入設(shè)備在所述接口ID對應(yīng)的接口ID表項中記錄所述IPv6地址，具體包括所述接入設(shè)備將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址。3.如權(quán)利要求2所述的方法，其特征在于，將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址，之后還包括所述接入設(shè)備為所述IPv6地址設(shè)置第一老化時間，并在到達(dá)所述第一老化時間時，對所述IPv6地址進(jìn)行探測，在第二老化時間之內(nèi)探測結(jié)果為不可達(dá)時，從所述接口ID表項中將所述第一老化時間對應(yīng)的所述IPv6地址刪除；如果所述接口ID對應(yīng)的所有IPv6地址均從所述接口ID表項中刪除，所述接入設(shè)備從接口ID列表中刪除所述接口ID表項。4.如權(quán)利要求3所述的方法，其特征在于，所述端口ACL中的信息包括接口ID、MAC地址、端口、VLAN；所述接入設(shè)備根據(jù)所述接口ID表項維護(hù)端口訪問控制列表ACL，具體包括當(dāng)接口ID列表中建立接口ID表項時，所述接入設(shè)備判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果不存在，所述接入設(shè)備根據(jù)所述接口ID表項建立端口ACL；如果存在，所述接入設(shè)備確定不需要根據(jù)所述接口ID表項建立端口ACL；當(dāng)接口ID列表中刪除接口ID表項時，所述接入設(shè)備判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果存在，所述接入設(shè)備刪除所述接口ID對應(yīng)的端口ACL。5.如權(quán)利要求4所述的方法，其特征在于，所述接入設(shè)備根據(jù)所述接口ID表項維護(hù)端口訪問控制列表ACL，之后還包括所述接入設(shè)備根據(jù)所述端口ACL對來自所述用戶設(shè)備的數(shù)據(jù)報文進(jìn)行處理，具體包括當(dāng)接收到來自所述用戶設(shè)備的數(shù)據(jù)報文時，所述接入設(shè)備根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息；如果所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息與所述端口ACL中的信息均匹配成功時，所述接入設(shè)備轉(zhuǎn)發(fā)所述數(shù)據(jù)報文；否則，所述接入設(shè)備丟棄所述數(shù)據(jù)報文。6.如權(quán)利要求5所述的方法，其特征在于，所述方法還包括所述接入設(shè)備獲取所有合法前綴的信息，并根據(jù)所述合法前綴的信息為所述用戶設(shè)備建立全局前綴ACL；所述接入設(shè)備根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息，之前還包括所述接入設(shè)備根據(jù)所述全局前綴ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的IPv6前圣雙；如果所述數(shù)據(jù)報文中攜帶的IPv6前綴與所述全局前綴ACL中的信息匹配成功時，則執(zhí)行所述接入設(shè)備根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息的操作；否則，所述接入設(shè)備丟棄所述數(shù)據(jù)報文。7.一種接入設(shè)備，應(yīng)用于包括用戶設(shè)備和接入設(shè)備的系統(tǒng)中，其特征在于，該設(shè)備進(jìn)一步包括收發(fā)模塊，用于接收來自所述用戶設(shè)備的鄰居發(fā)現(xiàn)ND報文；獲取模塊，與所述收發(fā)模塊連接，用于當(dāng)根據(jù)所述ND報文確定所述用戶設(shè)備合法時，獲取所述用戶設(shè)備的接口ID和IPv6地址；接口ID表項維護(hù)模塊，與所述獲取模塊連接，用于當(dāng)接口ID列表中不存在所述接口ID時，根據(jù)所述接口ID和所述IPv6地址為所述用戶設(shè)備建立接口ID表項；當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，在所述接口ID對應(yīng)的接口ID表項中記錄所述IPv6地址；端口ACL維護(hù)模塊，與所述接口ID表項維護(hù)模塊連接，用于根據(jù)所述接口ID表項維護(hù)端□ACL。8.如權(quán)利要求7所述的設(shè)備，其特征在于，所述接口ID表項中的信息包括接口ID、介質(zhì)訪問控制MAC地址、端口、虛擬局域網(wǎng)VLAN和關(guān)聯(lián)地址；所述接口ID表項維護(hù)模塊具體用于，當(dāng)接口ID列表中不存在所述接口ID時，以所述接口ID為索引，將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址；或者，當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，將所述IPv6地址記錄為所述接口ID表項中的關(guān)聯(lián)地址。9.如權(quán)利要求8所述的設(shè)備，其特征在于，所述接口ID表項維護(hù)模塊還用于，為所述IPv6地址設(shè)置第一老化時間，并在到達(dá)所述第一老化時間時，對所述IPv6地址進(jìn)行探測，在第二老化時間之內(nèi)探測結(jié)果為不可達(dá)時，從所述接口ID表項中將所述第一老化時間對應(yīng)的所述IPv6地址刪除；如果所述接口ID對應(yīng)的所有IPv6地址均從所述接口ID表項中刪除，從接口ID列表中刪除所述接口ID表項。10.如權(quán)利要求9所述的設(shè)備，其特征在于，所述端口ACL中的信息包括接口ID、MAC地址、端口、VLAN；所述端口ACL維護(hù)模塊具體用于，當(dāng)接口ID列表中建立接口ID表項時，判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果不存在，根據(jù)所述接口ID表項建立端口ACL；如果存在，確定不需要根據(jù)所述接口ID表項建立端口ACL；當(dāng)接口ID列表中刪除接口ID表項時，判斷端口ACL列表中是否存在所述接口ID表項中的接口ID，如果存在，刪除所述接口ID對應(yīng)的端口ACL。11.如權(quán)利要求10所述的設(shè)備，其特征在于，還包括處理模塊，與所述端口ACL維護(hù)模塊連接，用于根據(jù)所述端口ACL對來自所述用戶設(shè)備的數(shù)據(jù)報文進(jìn)行處理，并進(jìn)一步用于，當(dāng)接收到來自所述用戶設(shè)備的數(shù)據(jù)報文時，根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息；如果所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息與所述端口ACL中的信息均匹配成功時，轉(zhuǎn)發(fā)所述數(shù)據(jù)報文；否貝U，丟棄所述數(shù)據(jù)報文。12.如權(quán)利要求11所述的設(shè)備，其特征在于，所述獲取模塊還用于，獲取所有合法前綴的信息；所述處理模塊還用于，根據(jù)所述合法前綴的信息為所述用戶設(shè)備建立全局前綴ACL;并根據(jù)所述全局前綴ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的IPv6前綴；如果所述數(shù)據(jù)報文中攜帶的IPv6前綴與所述全局前綴ACL中的信息匹配成功時，則執(zhí)行根據(jù)所述端口ACL中的信息匹配所述數(shù)據(jù)報文中攜帶的接口ID、MAC地址、端口和VLAN信息的操作；否則，丟棄所述數(shù)據(jù)報文。全文摘要本發(fā)明公開了一種優(yōu)化的IPV6過濾規(guī)則處理方法，包括以下步驟所述接入設(shè)備接收來自所述用戶設(shè)備的鄰居發(fā)現(xiàn)ND報文，并當(dāng)根據(jù)所述ND報文確定所述用戶設(shè)備合法時，獲取所述用戶設(shè)備的接口標(biāo)識ID和IPv6地址；當(dāng)接口ID列表中存在所述接口ID且接口ID列表中不存在所述IPv6地址時，所述接入設(shè)備在所述接口ID對應(yīng)的接口ID表項中記錄所述IPv6地址；所述接入設(shè)備根據(jù)所述接口ID表項維護(hù)端口訪問控制列表ACL。本發(fā)明中，減少了對系統(tǒng)ACL資源的消耗。文檔編號H04L29/12GK101827138SQ20101017909公開日2010年9月8日申請日期2010年5月21日優(yōu)先權(quán)日2010年5月21日發(fā)明者林濤申請人:杭州華三通信技術(shù)有限公司