簽以及預(yù)設(shè)的第二對應(yīng)關(guān)系獲取網(wǎng)絡(luò)安全策略,并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡(luò)安全策略��,所述第二對應(yīng)關(guān)系為所述第一安全組標(biāo)簽與所述網(wǎng)絡(luò)安全策略的對應(yīng)關(guān)系�,具體包括:
[0061]所述處理器根據(jù)所述第二安全組標(biāo)簽和獲取到的所述第一安全組標(biāo)簽和以及預(yù)設(shè)的第二對應(yīng)關(guān)系獲取網(wǎng)絡(luò)安全策略�����,并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡(luò)安全策略���,所述第二對應(yīng)關(guān)系包括所述第一安全組標(biāo)簽����、所述第二安全組標(biāo)簽與所述網(wǎng)絡(luò)安全策略之間的對應(yīng)關(guān)系。
[0062]結(jié)合第五方面���,第五方面的第一種實現(xiàn)方式和第五方面的第二種實現(xiàn)方式中的任意一個�����,在第五方面的第三種實現(xiàn)方式中����,所述處理器����,通過所述接口,經(jīng)過不支持所述第一安全組標(biāo)簽的網(wǎng)絡(luò)向一個或多個其他網(wǎng)絡(luò)設(shè)備發(fā)送同步消息��,所述同步消息的凈荷中包括所述第一對應(yīng)關(guān)系���,所述一個或多個其他網(wǎng)絡(luò)設(shè)備位于與所述網(wǎng)絡(luò)設(shè)備所在的可信域不同的可信域中�,所述一個或多個其他網(wǎng)絡(luò)設(shè)備所在的可信域與所述所述網(wǎng)絡(luò)設(shè)備所在的可信域之間存在所述不支持所述第一安全組標(biāo)簽的網(wǎng)絡(luò)�。
[0063]第六方面提供一種網(wǎng)絡(luò)設(shè)備��,其特征在于�����,所述網(wǎng)絡(luò)設(shè)備位于可信域中�,所述網(wǎng)絡(luò)設(shè)備包括處理器和接口�����,所述處理器通過總線和所述接口連接��;其中����,
[0064]所述處理器,用于執(zhí)行:
[0065]所述處理器通過所述接口接收另一網(wǎng)絡(luò)設(shè)備發(fā)送的同步消息���,所述同步消息的凈荷中包括第一對應(yīng)關(guān)系��,所述第一對應(yīng)關(guān)系為IP地址和第一安全組標(biāo)簽的對應(yīng)關(guān)系���,所述另一網(wǎng)絡(luò)設(shè)備位于另一可信域中,所述網(wǎng)絡(luò)設(shè)備所在的可信域與所述另一可信域之間存在不支持所述第一安全組標(biāo)簽的網(wǎng)絡(luò)�����;
[0066]所述處理器通過所述接口接收數(shù)據(jù)報文��,所述數(shù)據(jù)報文的目的IP地址字段中的IP地址為所述第一對應(yīng)關(guān)系中的IP地址����;
[0067]所述處理器根據(jù)所述數(shù)據(jù)報文的目的IP地址字段中的IP地址和所述第一對應(yīng)關(guān)系獲取所述第一安全組標(biāo)簽;
[0068]所述處理器根據(jù)獲取到的所述第一安全組標(biāo)簽以及預(yù)設(shè)的第二對應(yīng)關(guān)系獲取網(wǎng)絡(luò)安全策略���,并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡(luò)安全策略所述第二對應(yīng)關(guān)系為所述第一安全組標(biāo)簽與所述網(wǎng)絡(luò)安全策略的對應(yīng)關(guān)系����。
[0069]結(jié)合第六方面�����,在第六方面的第一種實現(xiàn)方式中����,所述數(shù)據(jù)報文包括第二安全組標(biāo)簽,所述第二安全組標(biāo)簽用于標(biāo)識所述數(shù)據(jù)報文所屬的安全組��;
[0070]所述處理器根據(jù)獲取到的所述第一安全組標(biāo)簽以及預(yù)設(shè)的第二對應(yīng)關(guān)系獲取網(wǎng)絡(luò)安全策略,并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡(luò)安全策略所述第二對應(yīng)關(guān)系為所述第一安全組標(biāo)簽與所述網(wǎng)絡(luò)安全策略的對應(yīng)關(guān)系�����,具體包括:
[0071]所述處理器根據(jù)所述第二安全組標(biāo)簽和獲取到的所述第一安全組標(biāo)簽以及預(yù)設(shè)的第二對應(yīng)關(guān)系執(zhí)行網(wǎng)絡(luò)安全策略�,所述第二對應(yīng)關(guān)系包括所述第一安全組標(biāo)簽、所述第二安全組標(biāo)簽與所述網(wǎng)絡(luò)安全策略之間的對應(yīng)關(guān)系�。
[0072]結(jié)合第六方面,在第六方面的第二種實現(xiàn)方式中����,所述處理器通過所述接口接收所述數(shù)據(jù)報文后,還為所述數(shù)據(jù)報文分配第二安全組標(biāo)簽����;
[0073]所述處理器根據(jù)獲取到的所述第一安全組標(biāo)簽以及預(yù)設(shè)的第二對應(yīng)關(guān)系獲取網(wǎng)絡(luò)安全策略,并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡(luò)安全策略所述第二對應(yīng)關(guān)系為所述第一安全組標(biāo)簽與所述網(wǎng)絡(luò)安全策略的對應(yīng)關(guān)系���,具體包括:
[0074]所述處理器根據(jù)所述第二安全組標(biāo)簽和獲取到的所述第一安全組標(biāo)簽以及預(yù)設(shè)的第二對應(yīng)關(guān)系執(zhí)行網(wǎng)絡(luò)安全策略���,所述第二對應(yīng)關(guān)系包括所述第一安全組標(biāo)簽、所述第二安全組標(biāo)簽與所述網(wǎng)絡(luò)安全策略之間的對應(yīng)關(guān)系����。
[0075]本發(fā)明實施例中記錄IP地址和SGT間的對應(yīng)關(guān)系���,根據(jù)其記錄的IP地址和SGT間的對應(yīng)關(guān)系,針對數(shù)據(jù)報文的接收方執(zhí)行網(wǎng)絡(luò)安全策略����,
[0076]不需要專門的傳播接收方的SGT信息��,減小了網(wǎng)絡(luò)資源消耗并降低了網(wǎng)絡(luò)復(fù)雜度�。
【附圖說明】
[0077]圖1為本發(fā)明一個實施例中網(wǎng)絡(luò)安全方法流程圖;
[0078]圖2為本發(fā)明另一個實施例中網(wǎng)絡(luò)安全方法流程圖����;
[0079]圖3為本發(fā)明又一個實施例中網(wǎng)絡(luò)安全裝置框圖;
[0080]圖4為本發(fā)明另一個實施例中網(wǎng)絡(luò)安全裝置框圖��;
[0081]圖5為本發(fā)明又一個實施例中網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖�����。
【具體實施方式】
[0082]以下結(jié)合圖1說明本發(fā)明一個實施例:
[0083]圖1為本發(fā)明一個實施例中網(wǎng)絡(luò)安全方法流程圖�����。該方法包括:
[0084]102��、網(wǎng)絡(luò)設(shè)備接收包括第一安全組標(biāo)簽的第一數(shù)據(jù)報文。
[0085]該網(wǎng)絡(luò)設(shè)備是信任網(wǎng)絡(luò)安全架構(gòu)中的一個網(wǎng)絡(luò)設(shè)備��。該網(wǎng)絡(luò)設(shè)備處于一個可信域中���。以下將該可信域中的任意兩個網(wǎng)絡(luò)設(shè)備之間發(fā)送和接收的數(shù)據(jù)報文成為該可信域中的數(shù)據(jù)報文���。該可信域中的數(shù)據(jù)報文都包括SGT?�?尚庞蛑械臄?shù)據(jù)報文中的SGT可以在數(shù)據(jù)報文的數(shù)據(jù)鏈路層(英文:data link layer)頭(英文:header)或者網(wǎng)絡(luò)層(英文:networklayer)頭中�。例如,SGT可以位于數(shù)據(jù)報文的以太網(wǎng)巾貞(英文:Ethernet frame)的頭,即以太網(wǎng)頭(英文:Ethernet header)中��;SGT也可以位于數(shù)據(jù)報文的IP報文的頭�����,即IP頭中��。第一數(shù)據(jù)報文中的第一 SGT用于標(biāo)識該第一數(shù)據(jù)報文所屬的安全組��,該安全組可稱為第一安全組�����。
[0086]104、該網(wǎng)絡(luò)設(shè)備記錄第一對應(yīng)關(guān)系��,該第一對應(yīng)關(guān)系為該第一數(shù)據(jù)報文的源IP地址字段中的IP地址和該第一安全組標(biāo)簽的對應(yīng)關(guān)系���。
[0087]該網(wǎng)絡(luò)設(shè)備接收到可信域中的數(shù)據(jù)報文后���,記錄該數(shù)據(jù)報文的IP頭中的源IP地址字段中的IP地址和數(shù)據(jù)報文的SGT間的對應(yīng)關(guān)系���。在該網(wǎng)絡(luò)設(shè)備接收到多個數(shù)據(jù)報文后�����,該網(wǎng)絡(luò)設(shè)備根據(jù)多個數(shù)據(jù)報文記錄的多條對應(yīng)關(guān)系構(gòu)成第一對應(yīng)關(guān)系集合��,該第一對應(yīng)關(guān)系集合中包括IP地址和SGT間的多個對應(yīng)關(guān)系��。具體到第一數(shù)據(jù)報文���,該網(wǎng)絡(luò)設(shè)備記錄第一對應(yīng)關(guān)系,該第一對應(yīng)關(guān)系為第一 SGT和第一數(shù)據(jù)報文的源IP地址字段中的IP地址的對應(yīng)關(guān)系����。
[0088]106�����、該網(wǎng)絡(luò)設(shè)備接收第二數(shù)據(jù)報文��,該第二數(shù)據(jù)報文的目的IP地址字段中的IP地址為該第一數(shù)據(jù)報文的源IP地址字段中的IP地址�。
[0089]該網(wǎng)絡(luò)設(shè)備接收可信域中的數(shù)據(jù)報文��,或者在該網(wǎng)絡(luò)設(shè)備是可信域邊緣的網(wǎng)絡(luò)設(shè)備的情況下�,該網(wǎng)絡(luò)設(shè)備接收剛進(jìn)入該可信域的數(shù)據(jù)報文。具體到應(yīng)當(dāng)由第一數(shù)據(jù)報文的發(fā)送方來接收的第二數(shù)據(jù)報文���,由于第二數(shù)據(jù)報文的目的IP地址字段中的IP地址是該第二數(shù)據(jù)報文的接收方�,也就是第一數(shù)據(jù)報文的發(fā)送方的IP地址����,該第二數(shù)據(jù)報文的目的IP地址和第一數(shù)據(jù)報文的源IP地址相同。
[0090]108����、該網(wǎng)絡(luò)設(shè)備根據(jù)該第二數(shù)據(jù)報文的目的IP地址字段中的IP地址和該第一對應(yīng)關(guān)系獲取該第一安全組標(biāo)簽。
[0091]該網(wǎng)絡(luò)設(shè)備接收到數(shù)據(jù)報文后��,確定該數(shù)據(jù)報文的目的IP地址字段中的IP地址是否在該網(wǎng)絡(luò)設(shè)備記錄的第一對應(yīng)關(guān)系集合中的某個對應(yīng)關(guān)系中����,并進(jìn)一步根據(jù)該對應(yīng)關(guān)系確定和該數(shù)據(jù)報文的目的IP地址對應(yīng)的SGT���。網(wǎng)絡(luò)安全策略不僅可以和數(shù)據(jù)報文的發(fā)送方的安全組有關(guān),還可以和數(shù)據(jù)報文的接收方的安全組有關(guān)�����,根據(jù)網(wǎng)絡(luò)設(shè)備記錄的第一對應(yīng)關(guān)系集合確定數(shù)據(jù)報文的目的IP地址相關(guān)的SGT可以實現(xiàn)基于數(shù)據(jù)報文的接收方來執(zhí)行網(wǎng)絡(luò)安全策略����。根據(jù)網(wǎng)絡(luò)設(shè)備記錄的第一對應(yīng)關(guān)系集合確定數(shù)據(jù)報文的接收方的SGT,可以避免使用專用協(xié)議傳播SGT����。具體到第二數(shù)據(jù)報文���,該網(wǎng)絡(luò)設(shè)備接收第二數(shù)據(jù)報文后���,根據(jù)該第二數(shù)據(jù)報文的目的IP地址找到第一對應(yīng)關(guān)系,第一對應(yīng)關(guān)系中的第一 SGT即為第二數(shù)據(jù)報文的接收方對應(yīng)的SGT�����,也就是第一數(shù)據(jù)報文的發(fā)送方對應(yīng)的SGT。
[0092]110��、該網(wǎng)絡(luò)設(shè)備根據(jù)獲取到的該第一安全組標(biāo)簽以及預(yù)設(shè)的第二對應(yīng)關(guān)系獲取網(wǎng)絡(luò)安全策略�����,并對該第二數(shù)據(jù)報文執(zhí)行該網(wǎng)絡(luò)安全策略���,該第二對應(yīng)關(guān)系為該第一安全組標(biāo)簽與該網(wǎng)絡(luò)安全策略的對應(yīng)關(guān)系�����。
[0093]該網(wǎng)絡(luò)設(shè)備上有預(yù)設(shè)的第二對應(yīng)關(guān)系集合����。第二對應(yīng)關(guān)系集合中包括多個對應(yīng)關(guān)系�����,其中至少一個對應(yīng)關(guān)系包括基于數(shù)據(jù)報文的接收方的SGT來執(zhí)行的網(wǎng)絡(luò)安全策略��。該網(wǎng)絡(luò)設(shè)備根據(jù)第二數(shù)據(jù)報文的接收方對應(yīng)的SGT��,也就是第一 SGT���,得到第二對應(yīng)關(guān)系集合中的一個對應(yīng)關(guān)系�,該對應(yīng)關(guān)系被稱作第二對應(yīng)關(guān)系。該第二對應(yīng)關(guān)系包括基于數(shù)據(jù)報文的接收方的SGT���,即第一 SGT來執(zhí)行的網(wǎng)絡(luò)安全策略�����。該網(wǎng)絡(luò)設(shè)備獲取該第一 SGT對應(yīng)的網(wǎng)絡(luò)安全策略�����。之后該網(wǎng)絡(luò)設(shè)備就可以根據(jù)第一 SGT對應(yīng)的網(wǎng)絡(luò)安全策略對該第二數(shù)據(jù)報文執(zhí)行該網(wǎng)絡(luò)安全策略���。
[0094]網(wǎng)絡(luò)安全策略可以和數(shù)據(jù)報文的發(fā)送方的安全組有關(guān),可以和數(shù)據(jù)報文的接收方的安全組有關(guān)����,還可以和數(shù)據(jù)報文的發(fā)送方的安全組與接收方的安全組的組合有關(guān)�。在后一種情況下,第二對應(yīng)關(guān)系集合中至少一個對應(yīng)關(guān)系包括基于數(shù)據(jù)報文的接收方的SGT和數(shù)據(jù)報文的發(fā)送方的SGT的組合來執(zhí)行的網(wǎng)絡(luò)安全策略��,即該至少一個對應(yīng)關(guān)系中的網(wǎng)絡(luò)安全策略和兩個SGT的組合對應(yīng)���。
[0095]如果該網(wǎng)絡(luò)設(shè)備接收到的是可信域中的數(shù)據(jù)報文��,即第二數(shù)據(jù)報文中有該第二數(shù)據(jù)報文的SGT���,即第二 SGT�����,則網(wǎng)絡(luò)設(shè)備根據(jù)獲取到的該第一 SGT和該第二 SGT以及第二對應(yīng)關(guān)系集合中包括第一 SGT和第二 SGT的對應(yīng)關(guān)系���,即第二對應(yīng)關(guān)系,獲取第二對應(yīng)關(guān)系中的與第一 SGT和第二 SGT的組合對應(yīng)的網(wǎng)絡(luò)安全策略�����,并對第二數(shù)據(jù)報文執(zhí)行該網(wǎng)絡(luò)安全策略�����。該第二 SGT用于標(biāo)識該第二數(shù)據(jù)報文所屬的安全組����。
[0096]如果該網(wǎng)絡(luò)設(shè)備接收到的第二數(shù)據(jù)報文中沒有該第二數(shù)據(jù)報文的SGT,該網(wǎng)絡(luò)設(shè)備為該第二數(shù)據(jù)報文分配第二 SGT。該第二 SGT用于標(biāo)識該第二數(shù)據(jù)報文所屬的安全組���。一般地����,在該網(wǎng)絡(luò)設(shè)備是可信域邊緣的網(wǎng)絡(luò)設(shè)備的情況下��,第二數(shù)據(jù)報文剛進(jìn)入該可信域�����,還沒有可信域中的其他網(wǎng)絡(luò)設(shè)備為該第二數(shù)據(jù)報文分配過SGT����,該網(wǎng)絡(luò)設(shè)備作為該可信域的入口根據(jù)認(rèn)證中獲取的設(shè)備和用戶憑據(jù)為該第二數(shù)據(jù)報文分配第二 SGT。該網(wǎng)絡(luò)設(shè)備將為該第二數(shù)據(jù)報文分配的第二 SGT添加到該第二數(shù)據(jù)報文中���。該網(wǎng)絡(luò)設(shè)備根據(jù)獲取到的該第一 SGT和為該第二數(shù)據(jù)報文分配的第二 SGT以及第二對應(yīng)關(guān)系集合中包括第一 SGT和第二 SGT的對應(yīng)關(guān)系���,即第二對應(yīng)關(guān)系,獲取第二對應(yīng)關(guān)系中的與第一 SGT和第二 SGT的組合對應(yīng)的網(wǎng)絡(luò)安全策略����,并對第二數(shù)據(jù)報文執(zhí)行該網(wǎng)絡(luò)安全策略系。
[0097]兩個或更多可信域之間可能存在不支持信任網(wǎng)絡(luò)安全架構(gòu)的網(wǎng)絡(luò)����,即不支持SGT的網(wǎng)絡(luò)。在上述網(wǎng)絡(luò)設(shè)備是其中一個可信域的邊緣的情況下�����,如果該網(wǎng)絡(luò)設(shè)備是一個數(shù)據(jù)報文的出口�����,則該網(wǎng)絡(luò)設(shè)備可以將其記錄的IP地址和SGT間的對應(yīng)關(guān)系傳播到與其所在可信域之間存在不支持信任網(wǎng)絡(luò)安全架構(gòu)的網(wǎng)絡(luò)的其他可信域���。例如��,該網(wǎng)絡(luò)設(shè)備經(jīng)過不支持該第一 SGT的網(wǎng)絡(luò)向一個或多個其他網(wǎng)絡(luò)設(shè)備發(fā)送同步消息�,該同步消息的凈荷中包括該第一對應(yīng)關(guān)系���。該一個或多個其他網(wǎng)絡(luò)設(shè)備位于與該網(wǎng)絡(luò)設(shè)備所在的可信域不同的可信域中�����,該一個或多個其他網(wǎng)絡(luò)設(shè)備所在的可信域與該網(wǎng)絡(luò)設(shè)備所在的可信域之間存在不支持第一 SGT的網(wǎng)絡(luò)��。一般的�,如果該同步消息是數(shù)據(jù)鏈路層幀,即該同步消息不包括網(wǎng)絡(luò)層頭�,同步消息的凈荷是數(shù)據(jù)鏈路層凈荷,如果該同步消息是網(wǎng)絡(luò)層報文���,同步消息的凈荷是網(wǎng)絡(luò)層凈荷�。接收該同步消息的網(wǎng)絡(luò)設(shè)備的對該同步消息的處理請參見圖2所示的實施例��。
[0098]可信域內(nèi)的多個網(wǎng)絡(luò)設(shè)備間也可以在執(zhí)行本發(fā)明實施例的步驟前��,啟動能力協(xié)商流程�,以確定可信域內(nèi)的各個網(wǎng)絡(luò)設(shè)備是否支持本發(fā)明實施例的通過數(shù)據(jù)報文獲取第一對應(yīng)關(guān)系集合的功能。在該可信域內(nèi)存在不支持本發(fā)明實施例的通過數(shù)據(jù)報文獲取第一對應(yīng)關(guān)系集合的功能的情況下���,支持本發(fā)明實施例的網(wǎng)絡(luò)設(shè)備向不支持本發(fā)明實施例的網(wǎng)絡(luò)設(shè)備發(fā)送同步消息����,以傳播其記錄的IP地址和SGT間的對應(yīng)關(guān)系�����。
[0099]本實施例中的網(wǎng)絡(luò)設(shè)備記錄接收的數(shù)據(jù)報文中的IP地址和SGT間的對應(yīng)關(guān)系����,不需要其他網(wǎng)絡(luò)設(shè)備使用專用協(xié)議向其傳播SGT信息,減小了網(wǎng)絡(luò)資源消耗并降低了網(wǎng)絡(luò)復(fù)雜度�。此外,該網(wǎng)絡(luò)設(shè)備根據(jù)其記錄的IP地址和SGT間的對應(yīng)關(guān)系�,針對數(shù)據(jù)報文的接收方執(zhí)行網(wǎng)絡(luò)安全策略,不需要專門向其傳播接收方的SGT信息���,減小了網(wǎng)絡(luò)資源消耗并降低了網(wǎng)絡(luò)復(fù)雜度����。
[0100]以下結(jié)合圖2說明本發(fā)明另一個實施例:
[0101]圖2為本發(fā)明另一個實施例中網(wǎng)絡(luò)安全方法流程圖�。該方法包括:
[0102]202、網(wǎng)絡(luò)設(shè)備接收同步消息�����,該同步消息的凈荷中包括第一對應(yīng)關(guān)系����,該第一對應(yīng)關(guān)系為IP地址和第一安全組標(biāo)簽的對應(yīng)關(guān)系。
[0103]該網(wǎng)絡(luò)設(shè)備是信任網(wǎng)絡(luò)安全架構(gòu)中的一個網(wǎng)絡(luò)設(shè)備����。該網(wǎng)絡(luò)設(shè)備處于一個可信域中�。以下將該可信域中的任意兩個網(wǎng)絡(luò)設(shè)備之間發(fā)送和接收的數(shù)據(jù)報文成為該可信域中的數(shù)據(jù)報文��。該可信域中的數(shù)據(jù)報文都包括SGT�。可信域中的數(shù)據(jù)報文中的SGT可以在數(shù)據(jù)報文的數(shù)據(jù)鏈路層頭或者網(wǎng)絡(luò)層頭中��。例如����,SGT可以位于數(shù)據(jù)報文的以太網(wǎng)幀的頭,即以太網(wǎng)頭中��;SGT也可以位于數(shù)據(jù)報文的網(wǎng)際協(xié)議報文的頭����,即IP頭中。該可信域中的數(shù)據(jù)報文中的SGT用于標(biāo)識該數(shù)據(jù)報文所屬的安全組����。
[0104]兩個或更多可信域之間可能存在不支持信任網(wǎng)絡(luò)安全架構(gòu)的網(wǎng)絡(luò),即不支持SGT的網(wǎng)絡(luò)����。其中一個可信域的邊緣的網(wǎng)絡(luò)設(shè)備是一個數(shù)據(jù)報文的出口,則該可信域的邊緣的網(wǎng)絡(luò)設(shè)備經(jīng)過不支持SGT的網(wǎng)絡(luò)向另一個可信域中的網(wǎng)絡(luò)設(shè)備�����,即本實施例的執(zhí)行主體,發(fā)送同步消息����,該同步消息的凈荷中包括第一對應(yīng)關(guān)系�。發(fā)送該同步消息的網(wǎng)絡(luò)設(shè)備生成該同步消息的處理請參見圖1所示的實施例。
[0105]該網(wǎng)絡(luò)設(shè)備接收到該同步消息后�,記錄該同步消息中的IP地址和SGT間的對應(yīng)關(guān)系。在該網(wǎng)絡(luò)設(shè)備接收到多個同步消息后�����,該網(wǎng)絡(luò)設(shè)備根據(jù)多個同步消息記錄的多條對應(yīng)關(guān)系構(gòu)成第一對應(yīng)關(guān)系集合���,該第一對應(yīng)關(guān)系集合中包括IP地址和SGT間的多個對應(yīng)關(guān)系O
[0106]204�、該網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)報文�,該數(shù)據(jù)報文的目的IP地址字段中的IP地址為該第一對應(yīng)關(guān)系中的IP地址。
[0107]該網(wǎng)絡(luò)設(shè)備接收可信域中的數(shù)據(jù)報文�,或者在該網(wǎng)絡(luò)設(shè)備是可信域邊緣的網(wǎng)絡(luò)設(shè)備的情況下,該網(wǎng)絡(luò)設(shè)備接收剛進(jìn)入該可信域的數(shù)據(jù)報文