[发明专利]具有端口绑定功能的三层交换设备和数据报文转发方法

说明书

技术领域

本发明涉及互联网报文交换转发领域，尤其涉及一种具有端口绑定功能的三层交换设备和数据报文转发方法。

背景技术

随着数据通信中交换技术的不断提高，具备三层交换功能的设备已经得到广泛应用，三层交换设备在二层交换设备基础上增加了路由功能，使得三层交换设备能够跨VLAN线速转发IPv6报文，从而大大增强了交换设备的性能。

三层交换设备在交换芯片中包含IPv6第三层路由表项，其中包括主机路由表项和网段路由表项，主机路由表项指的是目的128位的路由表项(如2001::1下一跳)，网段路由表项指的是前缀长度小于128位的路由表项(2001::/16下一跳)。在目前的大部分应用中，主机路由表项一般通过邻居发现协议(Neighbor Discovery，ND)表项生成并下发到交换芯片中。由于ND协议默认通信链路是安全可信的，而网络中的节点无法判别来自链路的ND报文的合法性、有效性，如果链路中有恶意节点伪造自己的身份，发送特殊构造的邻居发现报文，就能够对目标节点发起欺骗攻击，由此会导致ND生成的主机路由表项也不稳定，这样会造成网络报文不能正常转发，影响交换设备的可靠性。

由此，亟需一种可靠性、安全性更好的三层交换设备和数据报文转发方法。

发明内容

本发明的目的在于提供可靠性高，安全性好的三层交换设备和报文转发方法。

本发明一种具有端口绑定功能的三层交换设备，包括收发模块、交换模块、临时绑定模块、端口绑定模块和路由更新模块，其中：

所述收发模块用于收发数据报文；

所述交换模块存储有路由表，用于根据路由表对待转发的数据报文进行转发；

所述临时绑定模块用于在收到的网络节点的地址分配请求报文时，创建包括该网络节点唯一标识以及所述地址分配请求报文接收端口的临时请求绑定信息，并指示交换模块将所述地址分配请求报文转发至预先设置的可信端口；

所述端口绑定模块用于在从所述可信端口接收到地址分配服务器的地址分配响应报文时，根据同一网络节点的所述地址分配响应报文和所述临时请求绑定信息生成端口绑定信息，所述端口绑定信息将分配给所述网络节点的地址、网络节点唯一标识和所述网络节点接入端口绑定；

所述路由更新模块用于定期根据所述端口绑定信息更新所述交换模块的路由表。

优选地，所述路由更新模块将所述端口绑定信息中的网络节点地址、网络节点唯一标识和所述网络节点的接入端口分别对应于下一跳主机地址、下一跳主机唯一标识和下一跳出端口来更新路由表。

优选地，所述地址为IPv6地址，所述地址分配请求报文为DHCPv6请求报文，所述地址分配响应报文为DHCPv6响应报文，所述网络节点唯一标识为MAC地址。

优选地，所述路由表为硬件主机路由表。

优选地，所述可信端口为连接到所述地址分配服务器的端口。

本发明还公开了一种数据报文转发方法，包括：

S1、三层交换机收到的网络节点的地址分配请求报文时，创建包括该网络节点唯一标识以及所述地址分配请求报文接入端口的临时请求绑定信息，并将所述地址分配请求报文转发至预先设置的可信端口；

S2、三层交换机从在从所述可信端口接收到地址分配服务器的地址分配响应报文时，根据同一网络节点的所述地址分配响应报文和所述临时请求绑定信息生成端口绑定信息，所述端口绑定信息将分配给所述网络节点的地址、网络节点唯一标识和所述网络节点接入端口绑定；

S3、三层交换机定期根据所述端口绑定信息更新交换模块的路由表；

S4、三层交换机在收到需转发数据报文时，查询所述路由表确定下一跳目的地址进行转发。

优选地，所述步骤S3进一步包括所述路由更新模块将所述端口绑定信息中的网络节点地址、网络节点唯一标识和所述网络节点的接入端口分别对应于下一跳主机地址、下一跳主机唯一标识和下一跳出端口来更新路由表。

优选地，所述地址为IPv6地址，所述地址分配请求报文为DHCPv6请求报文，所述地址分配响应报文为DHCPv6响应报文，所述网络节点唯一标识为MAC地址。

优选地，所述路由表为硬件主机路由表。

优选地，所述可信端口为连接到所述地址分配服务器的端口。

本发明通过侦听网络节点的DHCPv6请求过程，并将DHCPv6端口绑定信息转化为硬件第三层路由信息，增加了DHCPv6环境中交换机第三层路由表项的学习途径，并有效的保证了路由表项的稳定和安全。提高了三层交换机的安全性和可靠性。