[发明专利]虚拟路由冗余协议路由器防攻击的方法和接入设备

权利要求书

1.一种虚拟路由冗余协议VRRP路由器防攻击的方法，其特征在于，包括：

连接VRRP路由器的接入设备接收到报文；

如果所述接收到的报文为VRRP报文或者网关报文，根据本机保存的合法VRRP路由器的节点信息，判断所述接收到的报文是否为合法报文；

如果否，抑制所述接收到的报文。

2.根据权利要求1所述的方法，其特征在于，所述合法VRRP路由器的节点信息包括：合法VRRP路由器的标识、所述合法VRRP路由器参加的VRRP组的标识、所述合法VRRP路由器在所述参加的VRRP组中的优先级、所述参加的VRRP组对应的虚拟路由器IP和主用路由器标识、以及接入设备上用以标识所述合法VRRP路由器所在位置的物理端口，则所述根据本机保存的合法VRRP路由器的节点信息，判断所述接收到的报文是否为合法报文包括：

当所述接收到的报文为VRRP报文时，从所述VRRP报文中提取发送所述VRRP报文的VRRP路由器的标识、参加的VRRP组以及所述参加的VRRP组对应的虚拟路由器IP，并获得所述接入设备上接收到所述VRRP报文的物理端口，将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较，如果全部相同，则所述VRRP报文为合法报文；

当所述接收到的报文为网关报文时，从所述网关报文中提取发送所述网关报文的VRRP路由器参加的VRRP组对应的虚拟路由器IP以及主用路由器标识，并获得所述接入设备上接收到所述网关报文的物理端口，将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较，如果全部相同，则所述网关报文为合法报文。

3.根据权利要求1或2所述的方法，其特征在于，如果所述接收到的报文为合法报文，所述方法还包括：

判断所述接收到的报文中是否携带节点信息；

如果是，根据所述接收到的报文中携带的节点信息更新所述本机保存的合法VRRP路由器的节点信息。

4.根据权利要求3所述的方法，其特征在于，所述携带有节点信息的报文为注册响应报文或VRRP通告报文，则在所述接入设备接收到报文之前，所述方法还包括：

所述接入设备发送注册查询报文给VRRP路由器，以使所述VRRP路由器在接收到所述注册查询报文后发送携带有节点信息的报文给所述接入设备。

5.根据权利要求4所述的方法，其特征在于，所述接入设备发送注册查询报文给VRRP路由器，包括：

接收到携带有节点信息的报文开始计时，如果计时超过第一预设值，则发送注册查询报文给VRRP路由器。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

如果计时超过第二预设值，仍未收到所述VRRP路由器发送的携带有节点信息的报文，则停止发送所述注册查询报文。

7.根据权利要求1或2所述的方法，其特征在于，当所述接收到的报文为网关报文时，所述方法还包括：

根据所述本机保存的合法VRRP路由器的节点信息获得同一VRRP组内的主用路由器端口；

如果所述网关报文的接收端口与所述合法VRRP路由器的节点信息内保存的主用路由器端口不同，抑制所述网关报文。

8.一种接入设备，其特征在于，包括：

接收模块，用于接收到报文；

判断模块，用于如果所述接收模块接收到的报文为虚拟路由冗余协议VRRP报文或者网关报文，根据本机保存的合法VRRP路由器的节点信息，判断所述接收到的报文是否为合法报文；

抑制模块，用于如果所述判断模块的判断结果为否，抑制所述接收到的报文。