[发明专利]一种IPv6网络防止PMTU攻击的方法和装置

权利要求书

1.一种IPv6网络防止路径最大传输单元(PMTU)攻击的方法，其特征在于，包括以下步骤：

A、交换机开启防止IPv6网络PMTU攻击的功能，为交换机配置信任端口；

B、接收互联网控制消息协议第六版(ICMPv6)报文过大消息报文；

C、判断ICMPv6报文过大消息报文的接收端口是否属于配置的信任端口，若属于，则转发至IPv6主机，若不属于，则丢弃该报文；

D、所述IPv6主机收到转发的ICMPv6报文过大消息报文，调整发往目的节点的最大传输单元(MTU)值。

2.根据权利要求1所述的IPv6网络防止PMTU攻击的方法，其特征在于，步骤A中，配置的信任端口为交换机上连接IPv6路由器的二层端口和/或汇聚端口。

3.根据权利要求1或2所述的IPv6网络防止PMTU攻击的方法，其特征在于，步骤C中，当ICMPv6报文过大消息报文的接收端口属于信任端口时，查询MAC地址表，从连接IPv6主机的端口将ICMPv6报文过大消息报文转发出去。

4.一种IPv6网络防止PMTU攻击的装置，其特征在于，包括接收模块、端口配置模块、处理模块和转发模块，其中处理模块分别与接收模块、端口配置模块和转发模块连接；

所述接收模块，用于接收ICMPv6报文过大消息报文；

所述端口配置模块，用于为交换机配置信任端口；

所述处理模块，用于读取所述ICMPv6报文过大消息报文的接收端口信息，判断ICMPv6报文过大消息报文的接收端口是否属于配置的信任端口，若属于，则将所述ICMPv6报文过大消息报文发送给转发模块；若不属于，则丢弃所述ICMPv6报文过大消息报文；

所述转发模块，用于将处理模块发来的ICMPv6报文过大消息报文转发至所述ICMPv6报文过大消息报文的目的主机。

5.根据权利要求4所述的IPv6网络防止PMTU攻击的装置，其特征在于，所述端口配置模块为交换机配置的信任端口，为交换机上连接IPv6路由器的二层端口和/或汇聚端口。

6.根据权利要求4或5所述的IPv6网络防止PMTU攻击的装置，其特征在于，所述处理模块判断ICMPv6报文过大消息报文的接收端口属于信任端口时，转发模块查询MAC地址表，从连接IPv6主机的端口将ICMPv6报文过大消息报文转发出去。