[发明专利]一种优化的IPV6过滤规则处理方法和设备

说明书

技术领域

本发明涉及通信技术领域，特别是涉及一种优化的IPV6过滤规则处理方 法和设备。

背景技术

IPv6(Internet Protocol Version 6，IP协议版本6)地址可以手工配置或者 自动配置。其中，自动配置的方式包括ND(Neighbor Discovery，邻居发现) 无状态自动配置和DHCP(Dynamic Host Configuration Protocol，动态主机配 置协议)有状态自动配置。

具体的，DHCP是一种使网络管理员能够集中管理和自动分配IP地址的 通信协议，DHCP使网络管理员在中心结点监控和分配IP地址。其中，DHCPv6 (DHCP for IPv6，支持IPv6的动态主机配置协议)是针对IPv6设计的，通 过使用DHCPv6实现了客户端IP地址的自动配置。ND协议是IPv6的基本组 成部分，该ND协议实现了在IPv4中的ARP(Address Resolution Protocol， 地址解析协议)、ICMP(Internet Control Message Protocol，控制报文协议) 中的路由器发现部分、重定向协议的所有功能，并且具有邻居不可达检测机 制。

另外，ACL(Access Control List，访问控制列表)提供了控制用户设备 访问网络资源和限制用户设备访问权限的功能。当用户设备上线时，如果 RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证服务 器)服务器上配置了授权ACL，则设备会根据RADIUS服务器下发的授权 ACL对用户设备所在端口的数据流进行控制。其中，在RADIUS服务器上配 置授权ACL之前，还需要在设备上配置相应的ACL规则，管理员可以通过 改变RADIUS服务器的授权ACL设置或设备上对应的ACL规则来改变用户 设备的访问权限。

现有技术中，ND Snooping(探听)功能用于二层交换网络环境，通过侦 听DAD(Duplicate Address Detection，重复地址检测)NS(Neighbor Request， 邻居请求)消息来建立ND Snooping表项，其中，该ND Snooping表项中的 内容包括报文的源IPv6地址、源MAC(MediaAccess Control，介质访问控制) 地址、所属VLAN(Virtual Local Area Network，虚拟局域网)和入端口等信 息。

具体的，当一个VLAN使能ND Snooping后，该VLAN内所有端口接收 的ND报文均会被重定向到CPU(Central Processing Unit，中央处理单元)中， 该CPU通过对这些ND报文进行分析，获取该ND报文的源IPv6地址、源 MAC地址、源VLAN和入端口等信息，并根据这些信息来新建或更新ND Snooping表项。

进一步的，该ND Snooping表项可以与ND Detection(检测)功能配合使 用，保证ND报文的合法性；另外，该ND Snooping表项还可以与IP Source (源)Guard(保护)功能配合使用，保证数据报文的合法性。

(1)ND Snooping表项与ND Detection功能配合使用，保证ND报文的 合法性。其中，ND Detection功能用于在接入设备上检查用户设备的合法性， 对于合法用户设备的ND报文进行正常转发，对于非法用户设备的ND报文直 接丢弃，从而防止仿冒用户、仿冒网关的攻击。

具体的，ND Detection功能将接入设备上的端口分为两种，分别为：ND 信任端口和ND非信任端口。对于ND信任端口来说，不需要进行用户设备的 合法性检查；对于ND非信任端口来说，如果接收到RA(Router Advertisement， 路由器通告)消息和RR(Router Request，路由器请求)消息，则认为是非法 报文直接丢弃，如果接收到其它类型的ND报文，则需要进行用户设备的合 法性检查，以防止仿冒用户的攻击。