訪問控制列表動態(tài)更新方法和以太網(wǎng)交換的制造方法
【專利摘要】本發(fā)明公開了一種訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機�����。所述訪問控制列表動態(tài)更新方法包括:按照第一定時器的定時周期���,向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息��,同時為所述鄰居節(jié)點啟動第二定時器;監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公告消息��;如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息��,確定所述鄰居節(jié)點已經(jīng)離線����;當監(jiān)測到鄰居節(jié)點離線時���,將離線鄰居節(jié)點在訪問控制列表中對應的訪問控制規(guī)則刪除�����。本發(fā)明公開的訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機提高了以太網(wǎng)交換機的訪問控制列表的利用率��。
【專利說明】訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機
【技術領域】
[0001]本發(fā)明涉及計算機網(wǎng)絡【技術領域】�����,尤其涉及訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機���。
【背景技術】
[0002]動態(tài)主機設置協(xié)議版本6 (Dynamic Host Configuration ProtocolVersion6, DHCPv6)是一個局域網(wǎng)的網(wǎng)絡協(xié)議,使用用戶數(shù)據(jù)報協(xié)議(User datagramprotocol, UDP)工作��,主要有兩個用途:給內部網(wǎng)絡或網(wǎng)絡服務供應商自動分配IPv6地址給用戶,這給內部網(wǎng)絡管理員作為對所有計算機作中央管理的手段�����。DHCPv6作為一種有狀態(tài)的地址分配方式��,在安全性和可管理性上均比使用無狀態(tài)地址分配方式有大幅改善����,在對安全性要求較高的網(wǎng)絡中將被廣泛使用�����。而且由于主機節(jié)點IPv6地址由DHCPv6服務器統(tǒng)一分配�����,不會出現(xiàn)地址重復的情況��,避免了無狀態(tài)地址配置和手工配置節(jié)點接口 IPv6地址可能帶來的地址沖突問題���。DHCPv6監(jiān)聽(DHCPv6SN00PING)是一種監(jiān)聽DHCPv6請求過程的私有協(xié)議���,它在交換裝置中使用���,為每一個成功獲取IP的用戶生成一個DHCPv6綁定信肩、O
[0003]IPv6使用了重復地址檢測技術�,每個接口的IPv6地址在生成之初首先要進行重復地址檢測,因此會在本鏈路內廣播鄰居請求報文�����,目標地址就是要檢測的自身IPv6地址�����,如果若干次重發(fā)后沒有收到相關鄰居應答報文�,則該地址可用,地址狀態(tài)從臨時變?yōu)橛行?�,該?jié)點可以使用該IPv6地址作為數(shù)據(jù)包源地址進行網(wǎng)絡交通��。
[0004]訪問控制列表(Access Control List, ACL)是一或多條ACL規(guī)則的集合,用于識別報文流�����。這里的規(guī)則是指描述報文匹配條件的判斷語句���,匹配條件可以是報文的源地址�����、目的地址����、端口號等�����。網(wǎng)絡設備依照這些規(guī)則識別出特定的報文�����,并根據(jù)預先設定的策略對其進行處理�����。
[0005]為了防止用戶私自接入網(wǎng)絡�,便于網(wǎng)絡的維護和管理,可結合DHCPv6監(jiān)聽來實施接入控制策略�����,通過DHCPv6方式獲取IP的主機可以訪問網(wǎng)絡����,而私設IP的主機將不允許訪問網(wǎng)絡���。圖1是現(xiàn)有技術提供的通過DHCPv6方式獲取IP的網(wǎng)絡架構圖。參見圖1�����,以太網(wǎng)中的主機103�����,104可以通過以太網(wǎng)交換機102向DHCP v6服務器101發(fā)送DHCPv6請求�����,DHCPv6服務器101根據(jù)主機103����,104發(fā)送的DHCPv6請求返回DHCPv6應答,來為主機103���,104分配IP地址�����。這種接入策略需要結合交換機中的訪問控制列表來實現(xiàn)���,每一個DHCPv6用戶需要下發(fā)一條允許訪問網(wǎng)絡的訪問控制規(guī)則���。由于以太網(wǎng)交換機的訪問控制列表的容量有限,因此���,當需要存儲在訪問控制列表中的表項數(shù)目大于設備的訪問控制列表的表項數(shù)目上限時��,一些表項對應的訪問控制列表的表項無法下發(fā),則這些表項對應的DHCPv6用戶無法訪問網(wǎng)絡�����。
【發(fā)明內容】
[0006]有鑒于此�,本發(fā)明提出一種訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機,以提高以太網(wǎng)交換機的訪問控制列表的利用率�����。
[0007]第一方面�,本發(fā)明實施例提供了一種訪問控制列表動態(tài)更新方法,所述方法包括:
[0008]按照第一定時器的定時周期����,向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息����,同時為所述鄰居節(jié)點啟動第二定時器�����;
[0009]監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公
告消息����;
[0010]如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息,確定所述鄰居節(jié)點已經(jīng)離線��;
[0011]當監(jiān)測到鄰居節(jié)點離線時����,將離線鄰居節(jié)點在訪問控制列表中對應的訪問控制規(guī)貝_除。
[0012]第二方面��,本發(fā)明實施例提供了一種以太網(wǎng)交換機�����,所述以太網(wǎng)交換機包括:
[0013]鄰居請求消息發(fā)送模塊,用于按照第一定時器的定時周期�,向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息,同時為所述鄰居節(jié)點啟動第二定時器�;
[0014]鄰居公告消息監(jiān)聽模塊,用于監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公告消息�;
[0015]鄰居節(jié)點離線確定模塊,用于如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息��,確定所述鄰居節(jié)點已經(jīng)離線���;
[0016]訪問控制規(guī)則刪除模塊���,用于當監(jiān)測到鄰居節(jié)點離線時,將離線鄰居節(jié)點在訪問控制列表中對應的訪問控制規(guī)則刪除���。
[0017]本發(fā)明實施例提供的訪問控制列表動態(tài)更新方法和以太網(wǎng)交換機,通過檢測鄰居節(jié)點是否離線���,并在監(jiān)測到鄰居節(jié)點離線時將離線的鄰居節(jié)點在所述訪問控制列表中對應的表項刪除��,提高了以太網(wǎng)交換機的訪問控制列表的利用率����。
【專利附圖】
【附圖說明】
[0018]通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述,本發(fā)明的其它特征�����、目的和優(yōu)點將會變得更明顯:
[0019]圖1是現(xiàn)有技術提供的通過DHCPv6方式獲取IP的網(wǎng)絡架構圖����;
[0020]圖2是本發(fā)明第一實施例提供的訪問控制列表動態(tài)更新方法的流程圖;
[0021]圖3是本發(fā)明第二實施例提供的訪問控制列表動態(tài)更新方法的流程圖���;
[0022]圖4是本發(fā)明第二實施例提供的訪問控制列表動態(tài)更新方法中的DHCPv6綁定表項創(chuàng)建的流程圖����;
[0023]圖5是本發(fā)明第三實施例提供的以太網(wǎng)交換機的結構圖�����。
【具體實施方式】
[0024]下面結合附圖和實施例對本發(fā)明作進一步的詳細說明��?�?梢岳斫獾氖?���,此處所描述的具體實施例僅用于解釋本發(fā)明,而非對本發(fā)明的限定。另外還需要說明的是���,為了便于描述�,附圖中僅示出了與本發(fā)明相關的部分而非全部內容����。
[0025]圖2示出了本發(fā)明的第一實施例。[0026]圖2是本發(fā)明第一實施例提供的訪問控制列表動態(tài)更新方法的流程圖�。本實施例的方法由以太網(wǎng)交換機來執(zhí)行,該交換機可連接多個用戶設備作為鄰居節(jié)點���。該交換機中通常在硬件層配置有DHCPv6綁定表和ACL表�,供進行硬件的報文轉發(fā)�����,在軟件層配置有對應的DHCPv6綁定表�����,記錄與各鄰居節(jié)點對應的表項����。參見圖2,所述訪問控制列表動態(tài)更新方法包括:
[0027]步驟S210����,按照第一定時器的定時周期,向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息�����,同時為所述鄰居節(jié)點啟動第二定時器�。
[0028]所述DHCPv6綁定表是以太網(wǎng)交換機通過監(jiān)聽用戶的DHCPv6請求而建立的,記錄用戶通過DHCPv6請求而獲取的IPv6地址與用戶直接的對應關系的列表�����。所述DHCPv6綁定表中的每一個表項包括用戶的IPv6地址��、MAC地址�����、用戶所屬的VLANJ^S的網(wǎng)絡接口以及所述IPv6地址的生存周期�。
[0029]所述鄰居請求消息是以太網(wǎng)交換機為了探測它在以太網(wǎng)內的鄰居節(jié)點而向以太網(wǎng)內的鄰居節(jié)點發(fā)送的一種消息。以太網(wǎng)內的其他節(jié)點接收到以太網(wǎng)交換機發(fā)送的鄰居請求消息后��,根據(jù)所述鄰居請求消息中的源地址向以太網(wǎng)交換機反饋與原始的鄰居請求消息對應的鄰居公告消息��。以太網(wǎng)交換機接收到其他節(jié)點反饋的鄰居公告消息后,則認為反饋了鄰居公告消息的節(jié)點是自己在以太網(wǎng)內的鄰居節(jié)點���。
[0030]在本實施例中����,以太網(wǎng)交換機按照第一定時器的定時周期向所述DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息����。其中,所述第一定時器用于定義所述以太網(wǎng)交換機發(fā)送鄰居請求消息的時間間隔�����。在向鄰居節(jié)點發(fā)送鄰居請求消息的同時�����,以太網(wǎng)交換機還啟動第二定時器���。在本實施例中�����,所述第二定時器用于定義所述以太網(wǎng)交換機接收與鄰居請求消息對應的鄰居公告消息的時限��。
[0031]步驟S220,監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公告消息�����。
[0032]鄰居節(jié)點在接收到以太網(wǎng)交換機發(fā)送的鄰居請求消息后��,當目標地址與本機相同時�,即會反饋與所述鄰居請求消息對應的鄰居公告消息�����。在向鄰居節(jié)點發(fā)送鄰居請求消息后���,以太網(wǎng)交換機對鄰居節(jié)點發(fā)送的鄰居公告消息進行監(jiān)聽�。
[0033]具體的��,以太網(wǎng)交換機讀取所有接收到的數(shù)據(jù)包的數(shù)據(jù)頭�,對數(shù)據(jù)包的類型是鄰居公告消息的數(shù)據(jù)包的數(shù)據(jù)內容進行讀取。
[0034]由于以太網(wǎng)交換機向鄰居節(jié)點發(fā)送的鄰居請求消息的個數(shù)可能多于一個���,因此監(jiān)聽得到的鄰居節(jié)點反饋的鄰居公告消息的個數(shù)也可能多于一個�����。發(fā)送多個鄰居請求消息的優(yōu)點在于能夠保證鄰居節(jié)點的可靠接收�。
[0035]步驟S230,如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息��,確定所述鄰居節(jié)點已經(jīng)離線����。
[0036]所述第二定時器用于定義所述以太網(wǎng)交換機接收與鄰居請求消息對應的鄰居公告消息的時限。如果在所述第二定時器定義的時限到達之前�,以太網(wǎng)交換機沒有接收到鄰居節(jié)點反饋的至少一個鄰居公告消息,則以太網(wǎng)交換機確定所述鄰居節(jié)點已經(jīng)離線�。
[0037]在本實施例中,所述第二定時器的定時時間間隔與所述第一定時器的定時時間間隔沒有必然關聯(lián)���。即第二定時器的定時時間間隔可以小于所述第一定時器的定時時間間隔�����,也可以等于所述第一定時器的定時時間間隔��,還可以大于所述第一定時器的定時時間間隔���。
[0038]步驟S240,當監(jiān)測到鄰居節(jié)點離線時��,將離線鄰居節(jié)點在訪問控制列表中對應的訪問控制規(guī)則刪除。
[0039]訪問控制規(guī)則是指描述報文匹配條件的判斷語句�。具體的,報文匹配條件可以是報文的源地址����、目的地址�����、端口號等�����。以太網(wǎng)交換機依照訪問控制規(guī)則識別出特定的報文�����,并根據(jù)預先設定的策略對其進行處理�����。所述訪問控制列表是以太網(wǎng)交換機根據(jù)DHCPv6綁定表創(chuàng)建并維護的�����,用于存儲訪問控制規(guī)則的列表。
[0040]當以太網(wǎng)交換機監(jiān)測到鄰居節(jié)點已經(jīng)離線時�����,在訪問控制列表中查找離線的鄰居節(jié)點對應的訪問控制規(guī)則�,并將查找到的訪問控制規(guī)則刪除,以避免所述訪問控制列表被已經(jīng)離線的鄰居節(jié)點的訪問控制規(guī)則占據(jù)��。
[0041]本實施例通過定時向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息���,并在預定時間內沒有收到鄰居公告消息的情況下將訪問控制列表中對應的訪問控制規(guī)則刪除�,提高了以太網(wǎng)交換機的訪問控制列表的利用率����。本發(fā)明實施例利用定時器來觸發(fā)對鄰居節(jié)點的離線檢測,能夠及時的對訪問控制表進行表項清除�����,及時清理占用的離線節(jié)點���。并且�,充分利用了已有的鄰居請求消息和公告消息的消息機制,無需增加額外的硬件成本和軟件研發(fā)開銷����。
[0042]圖3及圖4示出了本發(fā)明的第二實施例。
[0043]圖3是本發(fā)明第二實施例提供的訪問控制列表動態(tài)更新方法的流程圖���。所述訪問控制列表動態(tài)更新方法以上述實施例為基礎����,進一步的����,在按照第一定時器的定時周期���,向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息之前���,所述方法還包括:
[0044]步驟S310,啟動鄰居節(jié)點的DHCPv6監(jiān)聽(DHCPv6SNOOPING)過程���,為監(jiān)聽到的鄰居節(jié)點在DHCPv6綁定表中創(chuàng)建表項��。
[0045]以太網(wǎng)交換機對鄰居節(jié)點進行DHCPv6監(jiān)聽����,當監(jiān)聽到有新的鄰居節(jié)點加入時,在所述DHCPv6綁定表中創(chuàng)建DHCPv6綁定表的表項���。所述創(chuàng)建的DHCPv6綁定表的表項包括鄰居節(jié)點的IPv6地址����、鄰居節(jié)點的MAC地址���、鄰居節(jié)點所屬的VLAN�、鄰居節(jié)點對應的端口以及所述鄰居節(jié)點的IPv6地址的有效生存期�。
[0046]步驟S320,根據(jù)DHCPv6綁定表項下發(fā)訪問控制列表�。
[0047]創(chuàng)建的DHCPv6綁定表的表項包括鄰居節(jié)點的IPv6地址、鄰居節(jié)點的MAC地址�����、鄰居節(jié)點所屬的VLAN�、鄰居節(jié)點對應的端口以及所述鄰居節(jié)點的IPv6地址的有效生存期。
[0048]當以太網(wǎng)交換機對鄰居節(jié)點創(chuàng)建DHCPv6綁定表的表項后�����,以太網(wǎng)交換機下發(fā)訪問控制列表。所述訪問控制列表包括:用戶的IPv6地址���、MAC地址�����、接入端口和接入VLAN�����。
[0049]圖4是本發(fā)明第二實施例提供的訪問控制列表動態(tài)更新方法中的DHCPv6綁定表項創(chuàng)建的流程圖�。參見圖4����,優(yōu)選的����,所述啟動鄰居節(jié)點的DHCPv6監(jiān)聽過程,為監(jiān)聽到的鄰居節(jié)點在DHCPv6綁定表中創(chuàng)建表項包括:
[0050]子步驟S311����,使能交換機的DHCPv6監(jiān)聽功能,配置將接收到的DHCPv6報文重定向至交換機的CPU����,同時下發(fā)一條默認不轉發(fā)所有報文的訪問控制規(guī)則���。
[0051]上述操作可以將報文定向至CPU,以便于進行表項建立��。且通過ACL規(guī)則禁止報文轉發(fā)�,以提高網(wǎng)絡內的安全性。[0052]子步驟S312���,監(jiān)聽獲取鄰居節(jié)點發(fā)送的DHCPv6請求��。
[0053]子步驟S313���,根據(jù)所述DHCPv6請求中的源媒體訪問控制地址,查詢在DHCPv6綁定
表中是否存在����。
[0054]子步驟S314,如果所述源媒體訪問控制地址在DHCPv6綁定表中不存在�,為發(fā)送的DHCPv6請求的鄰居節(jié)點在DHCPv6綁定表中創(chuàng)建一個臨時的請求(REQUEST)綁定表項,記錄所述源MAC�����、請求的傳輸標識(Transaction-1D)、端口和虛擬局域網(wǎng)(VLAN)信息,并將DHCPv6請求從可信口轉發(fā)出去��。
[0055]子步驟S315�����,監(jiān)聽獲取DHCPv6服務器向鄰居節(jié)點返回的DHCPv6應答包�。
[0056]子步驟S316,從DHCPv6應答包解析獲得請求的Transaction-1D、虛擬局域網(wǎng)中的IPv6地址以及有效生存期���。
[0057]子步驟S317,根據(jù)Transaction-1D,在DHCPv6綁定表中查詢臨時請求綁定表項����。
[0058]子步驟S318����,如果存在�����,則為所述鄰居節(jié)點在所述DHCPv6綁定表中創(chuàng)建一個綁定表項��,記錄DHCPv6節(jié)點的IPv6地址���、媒體訪問控制地址��、虛擬局域網(wǎng)���、端口號和有效生存期��。
[0059]優(yōu)選的�,所述DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息包括:為所述DHCPv6綁定表中的表項對應的鄰居節(jié)點創(chuàng)建至少一個鄰居請求消息�����,其中���,每個所述鄰居請求消息配置為互聯(lián)網(wǎng)控制報文協(xié)議版本6ICMPv6類型為135�����,IPv6首部源地址為未指定地址���,IPv6首部的目的地址為被請求節(jié)點組播地址,被請求節(jié)點為DHCPv6綁定表項對應的鄰居節(jié)點����。
[0060]本實施例通過在發(fā)現(xiàn)鄰居節(jié)點時創(chuàng)建DHCPv6綁定表中的表項����,并在創(chuàng)建DHCPv6綁定表中的表項后下發(fā)訪問控制列表���,實現(xiàn)了訪問控制列表的動態(tài)創(chuàng)建��。
[0061]圖5示出了本發(fā)明的第三實施例�����。
[0062]圖5是本發(fā)明第三實施例提供的以太網(wǎng)交換機的結構圖��。參見圖5�,所述以太網(wǎng)交換機包括:鄰居請求消息發(fā)送模塊530���、鄰居公告消息監(jiān)聽模塊540����、鄰居節(jié)點離線確定模塊550以及訪問控制規(guī)則刪除模塊560��。
[0063]所述鄰居請求消息發(fā)送模塊530用于按照第一定時器的定時周期�,向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息��,同時為所述鄰居節(jié)點啟動第二定時器。
[0064]所述鄰居公告消息監(jiān)聽模塊540用于監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公告消息���。
[0065]所述鄰居節(jié)點離線確定模塊550用于如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息�����,確定所述鄰居節(jié)點已經(jīng)離線��。
[0066]所述訪問控制規(guī)則刪除模塊560用于當監(jiān)測到鄰居節(jié)點離線時�����,將離線鄰居節(jié)點在訪問控制列表中對應的訪問控制規(guī)則刪除��。
[0067]優(yōu)選的��,所述以太網(wǎng)交換機還包括:DHCPv6綁定表項創(chuàng)建模塊510以及訪問控制列表下發(fā)模塊520����。
[0068]所述DHCPv6綁定表項創(chuàng)建模塊510用于在向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息之前��,啟動鄰居節(jié)點的DHCPv6監(jiān)聽(DHCPv6SC00PING)過程����,為監(jiān)聽到的鄰居節(jié)點在DHCPv6綁定表中創(chuàng)建表項��。[0069]所述訪問控制列表下發(fā)模塊520用于根據(jù)DHCPv6綁定表項下發(fā)訪問控制列表�����。
[0070]進一步優(yōu)選的���,所述DHCPv6綁定表項創(chuàng)建模塊510包括:交換機預置子模塊511、DHCPv6請求監(jiān)聽子模塊512�、源MAC查詢子模塊513、臨時請求綁定表項創(chuàng)建子模塊514��、DHCPv6應答包監(jiān)聽子模塊515�、DHCPv6應答參數(shù)獲取子模塊516、臨時請求綁定表項查詢子模塊517以及綁定表項創(chuàng)建子模塊518�。
[0071 ] 所述交換機預置子模塊511用于使能交換機的DHCPv6監(jiān)聽功能,配置將接收到的DHCPv6報文重定向至交換機的CPU��,同時下發(fā)一條默認不轉發(fā)所有報文的訪問控制規(guī)則���。
[0072]所述DHCPv6請求監(jiān)聽子模塊512用于監(jiān)聽獲取鄰居節(jié)點發(fā)送的DHCPv6請求��。
[0073]所述源MAC查詢子模塊513用于根據(jù)所述DHCPv6請求中的源媒體訪問控制地質�,查詢在DHCPv6綁定表中是否存在。
[0074]所述臨時請求綁定表項創(chuàng)建子模塊514用于在所述源媒體訪問控制地質在DHCPv6綁定表中不存在時���,為發(fā)送的DHCPv6請求的鄰居節(jié)點在DHCPv6綁定表中創(chuàng)建一個臨時的請求綁定表項,記錄所述源媒體訪問控制地質���、請求的傳輸標識�����、端口和虛擬局域網(wǎng)信息�,并將DHCPv6請求從可信口轉發(fā)出去����。
[0075]所述DHCPv6應答包監(jiān)聽子模塊515用于監(jiān)聽獲取DHCPV6服務器向鄰居節(jié)點返回的DHCPv6應答包。
[0076]所述DHCPv6應答參數(shù)獲取子模塊516用于從DHCPv6應答包解析獲得請求的傳輸標識�、虛擬局域網(wǎng)中的IPv6地址以及有效生存期。
[0077]所述臨時請求綁定表項查詢子模塊517用于根據(jù)傳輸標識���,在DHCPv6綁定表中查詢臨時請求綁定表項����。
[0078]所述綁定表項創(chuàng)建子模塊518用于在DHCPv6綁定表中存在臨時請求綁定表項時���,為所述鄰居節(jié)點在所述DHCPv6綁定表中創(chuàng)建一個綁定表項����,記錄DHCPv6節(jié)點的IPv6地址、媒體訪問控制地址���、虛擬局域網(wǎng)�、端口號和有效生存期�。
[0079]進一步優(yōu)選的,所述訪問控制列表下發(fā)模塊520具體用于為所述DHCPv6綁定表中的表項對應的鄰居節(jié)點創(chuàng)建至少一個鄰居請求消息�,其中,每個所述鄰居請求消息配置為互聯(lián)網(wǎng)控制報文協(xié)議版本6類型為135����,IPv6首部源地址為未指定地址,IPv6首部的目的地址為被請求節(jié)點組播地址���,被請求節(jié)點為DHCPv6綁定表項對應的鄰居節(jié)點�����。
[0080]本實施例通過定時向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息���,并在預定時間內沒有收到鄰居公告消息的情況下將訪問控制列表中對應的訪問控制規(guī)則刪除�����,提高了以太網(wǎng)交換機的訪問控制列表的利用率����。
[0081 ] 上述本發(fā)明實施例序號僅僅為了描述�����,不代表實施例的優(yōu)劣�����。
[0082]本領域普通技術人員應該明白�,上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)�����,它們可以集中在單個計算裝置上���,或者分布在多個計算裝置所組成的網(wǎng)絡上���,可選地����,他們可以用計算機裝置可執(zhí)行的程序代碼來實現(xiàn)��,從而可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行����,或者將它們分別制作成各個集成電路模塊,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)�。這樣,本發(fā)明不限制于任何特定的硬件和軟件的結合��。
[0083]本說明書中的各個實施例均采用遞進的方式描述��,每個實施例重點說明的都是與其他實施例的不同之處���,各個實施例之間的相同相似的部分互相參見即可����。[0084]最后���,還需要說明的是���,在本文中����,諸如第一和第二等之類的關系屬于僅僅用來將一個實體或者操作與另一個實體或者操作區(qū)分開來��,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序�����。
[0085]以上所述僅為本發(fā)明的優(yōu)選實施例�����,并不用于限制本發(fā)明�,對于本領域技術人員而言�,本發(fā)明可以有各種改動和變化。凡在本發(fā)明的精神和原理之內所作的任何修改�����、等同替換�、改進等,均應包含在本發(fā)明的保護范圍之內��。
【權利要求】
1.一種訪問控制列表動態(tài)更新方法���,其特征在于�,包括: 按照第一定時器的定時周期,向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息���,同時為所述鄰居節(jié)點啟動第二定時器����; 監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公告消息�; 如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息,確定所述鄰居節(jié)點已經(jīng)離線�; 當監(jiān)測到鄰居節(jié)點離線時,將離線鄰居節(jié)點在訪問控制列表中對應的訪問控制規(guī)則刪除��。
2.根據(jù)權利要求1所述的方法����,其特征在于,在向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息之前���,所述方法還包括: 啟動鄰居節(jié)點的DHCPv6監(jiān)聽過程��,為監(jiān)聽到的鄰居節(jié)點在DHCPv6綁定表中創(chuàng)建表項�����; 根據(jù)DHCPv6綁定表項下發(fā)訪問控制列表�����。
3.根據(jù)權利要求2所述的方法����,其特征在于,啟動鄰居節(jié)點的DHCPv6監(jiān)聽過程�,為監(jiān)聽到的鄰居節(jié)點在DHCPv6綁定表中創(chuàng)建表項包括:` 使能交換機的DHCPv6監(jiān)聽功能,配置將接收到的DHCPv6報文重定向至交換機的CPU��,同時下發(fā)一條默認不轉發(fā)所有報文的訪問控制規(guī)則��; 監(jiān)聽獲取鄰居節(jié)點發(fā)送的DHCPv6請求��; 根據(jù)所述DHCPv6請求中的源媒體訪問控制地址�����,查詢在DHCPv6綁定表中是否存在���;如果所述源MAC在DHCPv6綁定表中不存在,為發(fā)送的DHCPv6請求的鄰居節(jié)點在DHCPv6綁定表中創(chuàng)建一個臨時的請求綁定表項����,記錄所述源媒體訪問控制地址�����、請求的傳輸標識��、端口和虛擬局域網(wǎng)信息,并將DHCPv6請求從可信口轉發(fā)出去�; 監(jiān)聽獲取DHCPV6服務器向鄰居節(jié)點返回的DHCPv6應答包���; 從DHCPv6應答包解析獲得請求的傳輸標識�����、虛擬局域網(wǎng)信息中的IPv6地址以及有效生存期��; 根據(jù)傳輸標識�,在DHCPv6綁定表中查詢臨時請求綁定表項���; 如果存在���,則為所述鄰居節(jié)點在所述DHCPv6綁定表中創(chuàng)建一個綁定表項,記錄DHCPv6節(jié)點的IPv6地址、媒體訪問控制地址��、虛擬局域網(wǎng)信息�����、端口號和有效生存期�。
4.根據(jù)權利要求1所述的方法,其特征在于�,向所述DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息包括: 為所述DHCPv6綁定表中的表項對應的鄰居節(jié)點創(chuàng)建至少一個鄰居請求消息,其中��,每個所述鄰居請求消息配置為互聯(lián)網(wǎng)控制報文協(xié)議版本6ICMPv6類型為135���,IPv6首部源地址為未指定地址�,IPv6首部的目的地址為被請求節(jié)點組播地址�����,被請求節(jié)點為DHCPv6綁定表項對應的鄰居節(jié)點��。
5.一種以太網(wǎng)交換機���,其特征在于,包括: 鄰居請求消息發(fā)送模塊�,用于按照第一定時器的定時周期��,向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息����,同時為所述鄰居節(jié)點啟動第二定時器��; 鄰居公告消息監(jiān)聽模塊���,用于監(jiān)聽所述鄰居節(jié)點反饋的與所述至少一個鄰居請求消息對應的至少一個鄰居公告消息����; 鄰居節(jié)點離線確定模塊����,用于如果在所述第二定時器定時截止前未接收到鄰居節(jié)點反饋的至少一個鄰居公告消息,確定所述鄰居節(jié)點已經(jīng)離線�; 訪問控制規(guī)則刪除模塊,用于當監(jiān)測到鄰居節(jié)點離線時�,將離線鄰居節(jié)點在訪問控制列表中對應的訪問控制規(guī)則刪除。
6.根據(jù)權利要求5所述的以太網(wǎng)交換機��,其特征在于��,還包括: DHCPv6綁定表項創(chuàng)建模塊,用于在向DHCPv6綁定表中的表項對應的鄰居節(jié)點發(fā)送至少一個鄰居請求消息之前���,啟動鄰居節(jié)點的DHCPv6監(jiān)聽過程�,為監(jiān)聽到的鄰居節(jié)點在DHCPv6綁定表中創(chuàng)建表項��; 訪問控制列表下發(fā)模塊�����,用于根據(jù)DHCPv6綁定表項下發(fā)訪問控制列表�。
7.根據(jù)權利要求6所述的以太網(wǎng)交換機,其特征在于���,所述DHCPv6綁定表項創(chuàng)建模塊包括: 交換機預置子模塊���,用于使能交換機的DHCPv6監(jiān)聽功能,配置將接收到的DHCPv6報文重定向至交換機的CPU��,同時下發(fā)一條默認不轉發(fā)所有報文的訪問控制規(guī)則�; DHCPv6請求監(jiān)聽子模塊,用于監(jiān)聽獲取鄰居節(jié)點發(fā)送的DHCPv6請求��; 源MAC查詢子模塊�����,用于根據(jù)所述DHCPv6請求中的源媒體訪問控制地址���,查詢在DHCPv6綁定表中是否存在��; 臨時請求綁定表項創(chuàng)建子模塊�����,用于在所述源MAC在DHCPv6綁定表中不存在時�����,為發(fā)送的DHCPv6請求的鄰居節(jié)點`在DHCPv6綁定表中創(chuàng)建一個臨時的請求綁定表項�����,記錄所述源媒體訪問控制地址����、請求的傳輸標識��、端口和虛擬局域網(wǎng)信息��,并將DHCPv6請求從可信口轉發(fā)出去; DHCPv6應答包監(jiān)聽子模塊����,用于監(jiān)聽獲取DHCPv6服務器向鄰居節(jié)點返回的DHCPv6應答包; DHCPv6應答參數(shù)獲取子模塊�,用于從DHCPv6應答包解析獲得請求的傳輸標識、虛擬局域網(wǎng)信息中的IPv6地址以及有效生存期��; 臨時請求綁定表項查詢子模塊���,用于根據(jù)傳輸標識��,在DHCPv6綁定表中查詢臨時請求綁定表項��; 綁定表項創(chuàng)建子模塊�����,用于在DHCPv6綁定表中存在臨時請求綁定表項時����,為所述鄰居節(jié)點在所述DHCPv6綁定表中創(chuàng)建一個綁定表項���,記錄DHCPv6節(jié)點的IPv6地址��、媒體訪問控制地址���、虛擬局域網(wǎng)信息、端口號和有效生存期���。
8.根據(jù)權利要求5所述的以太網(wǎng)交換機�����,其特征在于�,所述鄰居請求消息發(fā)送模塊具體用于: 為所述DHCPv6綁定表中的表項對應的鄰居節(jié)點創(chuàng)建至少一個鄰居請求消息����,其中,每個所述鄰居請求消息配置為互聯(lián)網(wǎng)控制報文協(xié)議版本6ICMPv6類型為135�,IPv6首部源地址為未指定地址,IPv6首部的目的地址為被請求節(jié)點組播地址�����,被請求節(jié)點為DHCPv6綁定表項對應的鄰居節(jié)點��。
【文檔編號】H04L12/931GK103560960SQ201310538472
【公開日】2014年2月5日 申請日期:2013年11月4日 優(yōu)先權日:2013年11月4日
【發(fā)明者】梁小冰, 向陽朝, 陳翔 申請人:神州數(shù)碼網(wǎng)絡(北京)有限公司, 上海神州數(shù)碼有限公司