[发明专利]地址解析协议报文处理方法及交换机

权利要求书

1.一种地址解析协议ARP报文处理方法，其特征在于，包括：

在确定ARP报文需要进行二层检测且所述ARP报文为不 存在三层接口的ARP报文的情况下，对所述ARP报文进行二 层检测以判断所述ARP报文是否合法，在所述ARP报文为存 在三层接口的ARP报文的情况下，将所述ARP报文复制为两 份，对其中一份ARP报文进行所述二层检测以判断所述ARP 报文是否合法，其中，所述二层检测包括：普通协议检查、 ARP报文的动态地址解析协议检测DAI有效性检查和ARP报 文合法用户绑定表检查；

在所述ARP报文合法的情况下，转发所述ARP报文，否 则，丢弃所述ARP报文。

2.根据权利要求1所述的方法，其特征在于，所述ARP报文的 DAI有效性检查包括以下至少之一：源媒体访问控制MAC检 查、目的MAC检查、因特网协议IP合法性检查。

3.根据权利要求1所述的方法，其特征在于，在对所述ARP报 文进行所述二层检测之前，所述方法还包括：

根据预定规则判断所述ARP报文是否需要进行所述二层 检测，其中，所述预定规则包括：在所述ARP报文的收包端 口为可信任端口的情况下，确定所述ARP报文不需要进行所 述二层检测；在所述ARP报文的收包端口为非可信任端口的 情况下，确定所述ARP报文需要进行所述二层检测。

4.根据权利要求3所述的方法，其特征在于，所述可信任端口为 交换机与交换机连接的端口，所述非可信任端口为交换机与主 机连接的端口。

5.根据权利要求1所述的方法，其特征在于，依次按照以下检测 步骤进行所述二层检测：

对所述ARP报文进行所述普通协议检查，进行所述ARP 报文的DAI有效性检查，进行所述ARP报文合法用户绑定表 检查。

6.一种交换机，其特征在于，包括：

复制模块，用于在确定ARP报文需要进行二层检测且所 述ARP报文存在三层接口的情况下，将所述ARP报文复制为 两份，其中一份用于送入检测模块进行二层检测；

所述检测模块，用于对所述ARP报文进行所述二层检测 以判断所述ARP报文是否合法，其中，所述二层检测包括： 普通协议检查、ARP报文的DAI有效性检查和ARP报文合法 用户绑定表检查；

处理模块，用于在所述检测模块检测所述ARP报文合法 的情况下，转发所述ARP报文，否则，丢弃所述ARP报文。

7.根据权利要求6所述的交换机，其特征在于，所述交换机还包 括：

判断模块，用于根据预定规则判断所述ARP报文是否需 要进行所述二层检测，其中，所述预定规则包括：在所述ARP 报文的收包端口为可信任端口的情况下，确定所述ARP报文 不需要进行所述二层检测；在所述ARP报文的收包端口为非 可信任端口的情况下，确定所述ARP报文需要进行所述二层 检测。

8.根据权利要求6所述的交换机，其特征在于，所述处理模块包 括：

普通协议检查子模块，用于对所述ARP报文进行所述普 通协议检查；

ARP报文的DAI有效性检查子模块，用于对所述ARP报 文进行所述DAI有效性检查；

ARP报文合法用户绑定表检查子模块，用于对所述ARP 报文进行所述ARP报文合法用户绑定表检查；

调度子模块，用于按照所述普通协议检查子模块、所述 ARP报文的DAI有效性检查子模块、所述ARP报文合法用户 绑定表检查子模块的顺序调度所述普通协议检查子模块、所述 ARP报文的DAI有效性检查子模块、所述ARP报文合法用户 绑定表检查子模块对ARP报文进行二层检测。