[发明专利]用于限制IP（因特网协议）网络的广播域中一个节点与其他节点进行通信的方法和系统

说明书

技术领域

本发明涉及于通信网络。更具体地，本发明涉及通信网络的安全以及涉及于在一个通信网络中限制节点与其他节点进行通信。

背景技术

图1是包括节点的IP网络101、106的示意图。该图示出了两种网络拓扑，而本领域技术人员应当明白许多其他拓扑也是可能的，因此所图示的拓扑并不是限制性的。以下，连接到该网络的每个物理元件都构成了一个节点。所图示的网络101构成了局域网(LAN)，其经由路由器103被连接到因特网102.该路由器103可直接连接到端节点104，包括比如个人计算机(PC)的工作站、比如UNIX工作站的服务器、比如X终端的终端等等。可选地，该路由器103可连接到一个或多个集线器105，额外的端节点104也可连接到该集线器。应注意在这种情况中，该集线器105是一个简单的集线器(即其是非交换的集线器)，因此，那些连接到该集线器的节点和连接到路由器103的端节点处于同一广播域中。此外，本领域技术人员应当明白路由器可以具有将其连接到不同网络或网络各部分的多于一个的网络接口卡，因此应当明白，以下(整个说明书)，路由器103代表了一个接口，其将该路由器连接到该网络101。还应注意，路由器(比如路由器103)、集线器(比如集线器105)、端节点104和包括网络接口的其他物理元件一同构成了“节点”。106是IP网络的另一个例子，其包括交换机107，端节点104被连接到该交换机。应当明白类似于网络101，网络106也构成了一个广播域。此外，本领域技术人员应当明白可以经由路由器(比如路由器103)将网络106连接到因特网，并且，已经指出了路由器可以具有多个网络接口卡，并且图1中的确存在两个这种网络接口卡，一个用于将该路由器连接到网络106，而另一个用于将其连接到因特网102.因此，只有将路由器连接到网络106的NIC被认为是该广播域中的成员，并因此在图1中呈现出路由器仅有一部分是该网络的一部分，而其另一部分在网络外部。

现有技术中已知多种网络协议，其允许了通信网络中的不同的功能性。例如，请求注解(RFC)826(于1982年公布)论述了转换协议地址(例如IP地址)为本地网络地址(例如以太网地址)，一个已知的协议是地址解析请求(ARP)，RFC 826是公众可获得的并在此被结合进来作为参考。

根据RFC 826，当一个分组被通过网络层向下发送时，路由确定用于该分组的下一跳的协议地址以及在哪一片硬件上其期望能找到具有直接目标协议地址的站点。在10Mbit以太网的情况中，需要地址解析并且一些较低层(可能是硬件驱动器)必须咨询地址解析模块(也许在该以太网支持模块中实施)以将该<协议类型，目标协议地址>配对转换为48bit的以太网地址。该地址解析模块尝试在“转换表”或“ARP缓存”中找到该配对。如果找到了该配对，其将相应的48bit以太网地址返回给该访问者(硬件驱动器)，然后该访问者发送该分组。如果其没有找到该配对，那么其可能通知该访问者其将丢弃该分组(假设该分组将由更高网络层传输)。然后这使得该分组被广播到由路由机制所原始确定的以太网电缆上的所有站点。

当接收到地址解析分组时，该接收以太网模块将该分组交给地址解析模块，该地址解析模块在检查是否其应产生一个回复之前将该<协议类型，发送者协议地址，发送者硬件地址>三元组合并到其本地转换表中。注意，如果已经存在了用于<协议类型，发送者协议地址>配对的入口，那么新的硬件地址取代旧的。然后，如果该操作码是REQUEST并且该目标协议地址与该接收机器的协议地址相匹配，那么该接收机器产生REPLY，并发送它到产生该REQUEST的机器。此外，应当注意，当与对该LAN来说是远程的机器进行通信时，该路由器的物理地址被解析，而不是该机器的地址。

根据RFC 826，有时发生主机走下去或移动的情况(例如，当该协议地址(比如IP地址)被重新指派给一个不同的物理硬件时)。为了保持该转换表是最新的，可以执行超时，其中在构成一个“ARP检查超时”的一个合适的超时之后，该机器考虑从其中移除一个入口。其可发送一个具有操作码REQUEST(即ARP请求)的地址解析分组直接到该表中的以太网地址。如果在一小段时间之后没有看见REPLY(即ARP回复)，该入口被从该转换表中删除。

应当注意根据RFC 826，这里描述的地址解析协议和分组格式被允许用于非10Mbit以太网。因此，以下，作为对“以太网地址”的替代，“物理地址”被参考，其更普遍。