[发明专利]硬件访问控制列表的更新方法、更新装置和交换机

说明书

技术领域

本发明涉及通信技术和计算机领域，尤其涉及一种硬件访问控制列表的更新方法、更新装置和交换机。

背景技术

DHCPv6（Dynamic Host Configuration Protocol Version6，动态主机配置协议，版本6）是一个局域网协议，使用UDP协议（User Datagram Protocol，用户数据包协议）工作，主要有两个用途：（1）为内部网络或网络服务供应商自动分配IPv6（Internet Protocol Version6，网际协议，版本6）地址给用户；（2）方便内部网络管理员对所有计算机作中央管理。DHCPv6SNOOPING（DHCPv6监听协议）是一种监听DHCPv6请求过程的私有协议，它在交换装置中使用，将每一个成功获取IPv6地址的用户生成一个DHCPv6绑定信息。ACL（Access Control List，访问控制列表）是一或多条规则的集合，用于识别报文流。这里所指的规则是指描述报文匹配条件的判断语句，匹配条件可以是报文的源地址、目的地址和端口号等。网络设备依照这些规则识别出特定的报文，并根据预先设定的策略对其进行处理。

为了防止用户私自接入网络，便于网络的维护和管理，可结合DHCPv6SNOOPING来实施接入控制策略，通过DHCPv6方式获取IPv6地址的主机可以访问网络，而私设IPv6地址的主机将不允许访问网络。这种接入策略可以结合交换机硬件ACL来实现，即：针对每一个合法的DHCPv6用户下发一条相对应的ACL规则。但是，由于交换设备中的ACL表的容量有限，当DHCPv6绑定表项数目大于设备的ACL规则数目时，一些DHCPv6绑定表项对应的ACL规则无法下发，则这些DHCPv6用户无法访问网络，但是，交换设备无法保证所有ACL规则对应的主机节点均在线，这就造成因为不在线主机占用ACL规则而使得在线主机无法访问网络，交换机硬件ACL表利用率低。

发明内容

有鉴于此，本发明提供一种硬件访问控制列表的更新方法、更新装置和交换机，以提高了交换机硬件ACL表的利用率，满足更多在线主机节点的接入要求。

在第一方面，本发明实施例提供了一种硬件访问控制列表的更新方法，包括：

当硬件ACL中的ACL规则被写满时，向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，同时为所述主机节点启动定时器，其中，所述邻居请求消息的源地址为未指定地址，目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址，消息内容中包括所述主机节点的IPv6地址；

监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息；

如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息，确定所述主机节点已经离线；

当监测到主机节点离线时，将离线主机节点在硬件ACL表中对应的ACL规则删除。

在第二方面，本发明实施例提供了一种硬件访问控制列表的更新装置，包括：

请求消息发送单元，用于当硬件ACL中的ACL规则被写满时，向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，同时为所述主机节点启动定时器，其中，所述邻居请求消息的源地址为未指定地址，目的地址为所述主机节点的IPv6地址对应的被请求节点组播地址，消息内容中包括所述主机节点的IPv6地址；

公告消息监听单元，用于监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息；

离线主机确定单元，用于如果在所述定时器定时截止前未接收到主机节点反馈的至少一个邻居公告消息，确定所述主机节点已经离线；

ACL规则删除单元，用于当监测到主机节点离线时，将离线主机节点在硬件ACL表中对应的ACL规则删除。

在第三方面，本发明提供了一种交换机，包括本发明任意实施例所提供的硬件访问控制列表的更新装置。

本发明实施例提供的硬件访问控制列表的更新方法、更新装置和交换机，在硬件ACL规则被写满后，通过向软件DHCPv6绑定表中的表项对应的主机节点发送至少一个邻居请求消息，监听所述主机节点反馈的与所述至少一个邻居请求消息对应的至少一个邻居公告消息的方式，检测硬件ACL表中记录的主机节点是否在线，将不在线的主机节点从硬件ACL表中删除，为在线用户留出了更多的硬件空间。提高了交换机硬件ACL表的利用率，满足了更多在线主机节点的接入要求。

附图说明

图1是本发明第一实施例的一种硬件ACL的更新方法的流程图；