一種路由器公告安全接入方法、系統及裝置的製作方法
2023-05-03 05:43:31 1
專利名稱:一種路由器公告安全接入方法、系統及裝置的製作方法
技術領域:
本發明涉及計算機數據通信領域,尤其涉及一種路由器公告安全接入方法、系統及裝置。
背景技術:
IPv6地址無狀態地址配置協議是目前廣泛採用的IPv6地址自動配置協議,配置了該協議的主機只需要相鄰路由器開啟IPv6路由公告功能,即可以根據路由器公告報文 (Router Advertisement,簡稱RA)包含的前綴信息自動配置本機地址。IPv6主機節點的即插即用特徵是IPv6相對IPv4的一個顯著改善,大大方便了終端用戶的使用。這個特徵實施的前提是路由器發送路由器公告(Router Advertisement,簡稱RA)消息給主機節點,其中包含了地址前綴,地址生存期,默認路由器地址,路由器生存期等信息,主機節點根據獲得的信息生成EUI-64形式的IPv6地址,並設置默認路由器地址。但目前主機節點接收路由器公告消息並不作身份驗證,主機節點把路由器公告中默認路由器地址,路由器生存期和地址生存期等信息進行信息配置。如果有惡意節點發送非法路由器公告消息給合法主機節點,主機節點會把其中默認路由器地址,路由器生存期和地址生存期等信息取代合法路由器公告消息已生效的配置,使網絡不可用或把流量導向非法節點,影響網絡安全運行。因此需要一種能夠確保路由器公告安全接入IPv6網絡的方法、設備或系統,保證路由器公告合法使用。
發明內容
為了確保路由器公告安全接入網絡設備或系統,保證路由器公告合法使用,本發明公開一種路由器公告安全接入方法,該方法包括如下步驟Sl 接入交換機使能路由器公告安全功能,並預先配置信任埠 ;S2 接入交換機監聽路由器發出的路由器公告報文,由重定向模塊將該報文重定向到微處理器(CPU);S3 接入交換機根據路由器公告報文(RA)的接收埠信息是否與預先配置的信任埠匹配,判斷路由器公告報文的合法性;S4 如為合法的路由器公告報文,接入交換機轉發該報文;如為非法的路由器公告報文,接入交換機丟棄該報文;S5 :IPv6主機根據合法路由器公告報文內容進行信息配置。進一步地,所述步驟S2中接入交換機監聽路由器公告報文,下發路由器公告報文重定向至微處理器(CPU)的規則,接入交換機的收發模塊接收到路由器公告報文,將該報文重定向至微處理器(CPU)。進一步地,所述步驟S3中如果路由器公告報文的接收埠信息匹配任意一個預先配置的信任口,則認為路由器公告報文合法;如果路由器公告報文的接收埠信息與任意一個預先配置的信任口都不匹配,則認為路由器公告報文非法。進一步地,所述步驟S4中如合法的路由器公告報文為組播報文,接入交換機則從接收埠所在的區域網中,向除該接收埠以外的其他埠轉發;如合法的路由器公告報文為單播報文,接入交換機則查詢鄰居表,從目標主機所連的埠轉發出去。一種路由器公告安全接入系統,所述系統包括IPv6主機、接入交換機和路由器, IPv6主機與接入交換機連接,接入交換機與路由器連接,其中,所述路由器用於發出路由器公告報文(RA);所述接入交換機用於監聽路由器公告報文並根據路由器公告報文(RA)的接收埠信息是否與接入交換機上預先配置的信任埠匹配,判斷路由器公告報文的合法性,如為合法的路由器公告報文,接入交換機轉發該報文;如為非法的路由器公告報文,接入交換機丟棄該報文;所述IPv6主機根據合法路由器公告報文內容進行信息配置。進一步地,所述信任埠為接入交換機上連有路由器的二層物理埠或匯聚端□。進一步地,所述接入交換機包括設置模塊、監聽模塊、收發模塊、重定向模塊和判斷模塊,其中,設置模塊用於對接入交換機上信任埠和非信任埠進行配置;監聽模塊對路由器發出的路由器公告報文進行監聽;收發模塊用於接收路由器公告報文和對合法路由器公告報文進行轉發;重定向模塊匹配路由器公告報文重定向的規則,將收發模塊接收到的路由器公告報文重定向至微處理器(CPU);判斷模塊根據路由器公告報文(RA)的接收埠信息是否與接入交換機上預先配置的信任埠匹配,判斷路由器公告報文的合法性。進一步地,如合法的路由器公告報文為組播報文,接入交換機則從接收埠所在的區域網中,向除該接收埠以外的其他埠轉發;如合法的路由器公告報文為單播報文, 接入交換機則查詢鄰居表,從目標主機所連的埠轉發出去。進一步地,IPv6主機根據路由器公告報文包含的地址前綴、地址生存期、默認路由器地址和路由器生存期信息生成IPv6地址,完成信息配置。本發明還公開一種路由器公告安全接入裝置,該裝置為接入交換機,所述接入交換機包括設置模塊、監聽模塊、收發模塊、重定向模塊和判斷模塊,其中,設置模塊用於對接入交換機上信任埠和非信任埠進行配置;監聽模塊對路由器發出的路由器公告報文進行監聽;收發模塊用於接收路由器公告報文和對合法路由器公告報文進行轉發;重定向模塊匹配路由器公告報文重定向的規則,將收發模塊接收到的路由器公告報文重定向至微處理器(CPU);判斷模塊根據路由器公告報文(RA)的接收埠信息是否與接入交換機上預先配置的信任埠匹配,判斷路由器公告報文的合法性。本發明的技術方案實現了路由器公告能夠安全接入網絡設備或系統,防止了惡意路由器公告消息的轉發,從而保證路由器公告的合法性,確保網絡的正常工作。
圖1為本發明實施例的路由器公告安全接入系統的系統框圖;圖2為本發明實施例的路由器公告安全接入交換機的結構框圖;圖3為本發明實施例的路由器公告安全接入方法的流程圖。
具體實施例方式為詳細說明本發明的技術內容、所實現目的及效果,以下結合實施方式並配合附圖予以詳細說明。圖1為本發明實施例的路由器公告安全接入系統的系統框圖,所述系統包括IPv6 主機、接入交換機和IPv6路由器,IPv6主機與接入交換機連接,接入交換機與IPv6路由器連接,其中,IPv6路由器用於發出路由器公告報文(RA);接入交換機用於監聽路由器公告報文並根據路由器公告報文(RA)的接收埠信息是否與預先配置的信任埠匹配,判斷路由器公告報文的合法性,如為合法的路由器公告報文,接入交換機轉發該報文;如為非法的路由器公告報文,接入交換機丟棄該報文;IPv6主機根據合法路由器公告報文內容進行 fn息配直ο接入交換機包括二層交換機或三層交換機,預先通過配置命令在接入交換機埠上手工指定路由器公告信任埠和非信任埠,所述信任埠為接入交換機上連有路由器的二層物理埠或匯聚埠,其它埠則配置為非信任埠。接入交換機使能路由器公告安全功能,路由器發出路由器公告報文(RA),接入交換機監聽路由器公告報文,並下發路由器公告報文重定向至接入交換機微處理器(CPU)的規則;接入交換機埠接收路由器公告報文,匹配該下發規則,將路由器公告報文重定向到接入交換機的微處理器CPU,由微處理器對路由器公告報文進行軟體解析,記錄路由器公告報文的接收埠信息。接入交換機根據路由器公告報文的接收埠信息與預先配置的信任埠進行匹配,判斷路由器公告報文的合法性如果路由器公告報文的接收埠信息匹配任意一個預先配置的信任埠,則認為路由器公告報文合法;如果路由器公告報文的接收埠信息與任意一個預先配置的信任口都不匹配,則認為路由器公告報文非法。對於合法的路由器公告報文,接入交換機轉發該報文;對於非法的路由器公告報文,接入交換機丟棄該報文。如合法的路由器公告報文為組播報文,接入交換機則從接收埠(信任埠)所在的虛擬區域網中,向除該接收埠以外的其他埠轉發;如合法的路由器公告報文為單播報文,接入交換機則查詢鄰居表,從目標主機所連的埠轉發出去。IPv6主機接收到合法的路由器公告報文,根據路由器公告報文包含的地址前綴、地址生存期、默認路由器地址和路由器生存期等信息生成IPv6地址,完成信息配置。路由器公告報文的特徵為以太類型為0x86dd(以太首部第17,18位元組), nexthdr類型為58 (ipv6首部第6位元組),icmpv6類型(ipv6首部第41位元組)為134。接入交換機根據上述特徵判斷接收報文是否是路由器公告報文,如為路由器公告報文則下發路由器公告報文重定向至接入交換機微處理器(CPU)的規則。圖2為本發明實施例的路由器公告安全接入交換機的結構框圖。該接入交換機用於監聽路由器公告報文並根據路由器公告報文(RA)的接收埠信息是否與預先配置的信任埠匹配,判斷路由器公告報文的合法性,如為合法的路由器公告報文,接入交換機轉發該報文;如為非法的路由器公告報文,接入交換機丟棄該報文,保證了路由器公告安全接入網絡設備或系統。所述接入交換機包括設置模塊、監聽模塊、收發模塊、重定向模塊和判斷模塊,其中,設置模塊用於對接入交換機上信任埠和非信任埠進行配置;監聽模塊對路由器發出的路由器公告報文進行監聽;收發模塊用於接收路由器公告報文和對合法路由器公告報文進行轉發;重定向模塊匹配路由器公告報文重定向的規則,將收發模塊接收到的路由器公告報文重定向至微處理器(CPU);判斷模塊根據路由器公告報文(RA)的接收埠信息是否與接入交換機上預先配置的信任埠匹配,判斷路由器公告報文的合法性。該接入交換機可以為二層交換機,也可以為三層交換機,其中,設置模塊預先通過配置命令在接入交換機埠上手工指定路由器公告信任埠和非信任埠,所述信任埠為接入交換機上連有路由器的二層物理埠或匯聚埠,其他埠則配置為非信任埠。 接入交換機開啟路由器公告安全功能,監聽模塊監聽路由器發出的路由器公告報文(RA), 下發路由器公告報文重定向至接入交換機微處理器(CPU)的規則;收發模塊接收路由器公告報文,匹配該下發規則,不執行硬體轉發行為,而是將路由器公告報文重定向到接入交換機的微處理器CPU,由微處理器對路由器公告報文進行軟體解析,記錄路由器公告報文的接收埠信息;判斷模塊根據路由器公告報文的接收埠信息是否與預先配置的信任埠進行匹配,判斷路由器公告報文的合法性如果路由器公告報文的接收埠信息匹配任意一個預先配置的信任埠,則認為路由器公告報文合法;如果路由器公告報文的接收埠信息與任意一個預先配置的信任埠都不匹配,則認為路由器公告報文非法。對於合法的路由器公告報文,接入交換機通過收發模塊轉發該報文;對於非法的路由器公告報文,接入交換機丟棄該報文。如合法的路由器公告報文為組播報文,接入交換機則從接收埠(信任埠)所在的區域網中,向除該接收埠以外的其他埠轉發;如合法的路由器公告報文為單播報文,接入交換機則查詢鄰居表,從目標主機所連的埠轉發出去。圖3為本發明實施例的路由器公告安全接入方法的流程圖。該方法包括如下步驟Sl 接入交換機使能路由器公告安全功能,並預先配置信任埠。接入交換機的設置模塊預先通過配置命令在接入交換機埠上手工指定路由器公告信任埠和非信任埠,其中信任埠是指在接入交換機上連有路由器的二層物理埠或者匯聚埠,其他埠則配置為非信任埠。S2 接入交換機監聽路由器發出的路由器公告報文,由重定向模塊將該報文重定向到微處理器(CPU)。接入交換機通過監聽模塊監聽路由器發出的路由器公告報文,下發路由器公告報文重定向至接入交換機微處理器(CPU)的規則;收發模塊接收路由器公告報文,匹配該下發規則,不執行硬體轉發行為,而是將路由器公告報文重定向到接入交換機的微處理器 CPU,由微處理器對路由器公告報文進行軟體解析,記錄路由器公告報文的接收埠信息。S3 接入交換機根據路由器公告報文(RA)的接收埠信息是否與預先配置的信任埠匹配,判斷路由器公告報文的合法性。接入交換機的判斷模塊根據路由器公告報文的接收埠信息是否與預先配置的信任埠進行匹配,判斷路由器公告報文的合法性如果路由器公告報文的接收埠信息匹配任意一個預先配置的信任埠,則認為路由器公告報文合法;如果路由器公告報文的接收埠信息與任意一個預先配置的信任口都不匹配,則認為路由器公告報文非法。S4 如為合法的路由器公告報文,接入交換機轉發該報文;如為非法的路由器公告報文,接入交換機丟棄該報文。如合法的路由器公告報文為組播報文,接入交換機則從接收埠(信任埠)所在的區域網中,向除該接收埠以外的其他埠轉發;如合法的路由器公告報文為單播報文,接入交換機則查詢鄰居表,從目標主機所連的埠轉發出去。組播報文是一種向多個接收方傳送單信息流的通信方式,一份組播報文使用一個組播地址作為目的地址。當路由器以組播方式發送一路由器公告報文時,網絡中部署的組播協議為此報文建立一樹型路由,接入交換機從組播報文接收埠所在的區域網,向除該接收埠以外的其他埠轉發。使用組播方式傳遞信息,用戶的增加不會明顯增加網絡的負載,減輕了伺服器和處理器的負荷。組播報文可以跨網段傳輸,不需要此報文的用戶不能收到此報文,保障了信息安全性。單播報文是一種一對一傳遞信息流的通信方式,網絡為每份單播報文執行獨立的數據轉發,形成獨立的數據傳送通路。多份單播報文形成多條相互獨立的傳輸路徑。當路由器以單播方式發送一路由器公告報文時,接入交換機查詢鄰居表,從目標主機所連的埠轉發出去。鄰居表是包含了網絡中多個路由器之間關係的信息表,路由器發送單播路由器公告報文,接入交換機查詢鄰居表,查找目標主機所在的路由網絡,將報文從目標主機所連接的埠轉發出去。單播方式下,網絡中傳輸的信息量和需求信息的用戶量成正比,當需要相同的信息的用戶量較大時,網絡中出現多份相同的信息流,不僅佔用處理器資源而且浪費帶寬,因此單播方式適合用戶量少的網絡。S5 :IPv6主機根據合法路由器公告報文內容進行信息配置。IPv6主機接收到合法的路由器公告報文,根據路由器公告報文包含的地址前綴、 地址生存期、默認路由器地址和路由器生存期等信息生成IPv6地址,完成信息配置。本發明另一實施例的詳細步驟如下1)在接入交換機上使能路由器公告安全功能,下發路由器公告報文重定向至交換機CPU的規則,其中,匹配路由器公告報文的特徵為以太類型為0x86dd(以太首部第17, 18位元組),nexthdr為58 (ipv6首部第6位元組),icmpv6類型(ipv6首部第41位元組)為 134;通過配置命令預先將接入交換機上連有路由器的二層埠或者匯聚埠配置為信任端□;2)路由器發出路由器公告報文,接入交換機監聽路由器公告報文,路由器公告報文到達交換機埠後,匹配下發的規則,不執行硬體轉發行為,而是將報文重定向至交換機的微處理器CPU,由微處理器CPU對報文進行軟體的解析,記錄路由器公告報文的接收埠 fn息;3)接入交換機判斷路由器公告報文的接收埠是否是信任埠,只要路由器公告報文的接收埠信息匹配任意一個預先配置的信任埠,則認為路由器公告報文合法,接入交換機轉發該報文;如果路由器公告報文的接收埠信息沒有匹配任一個信任埠,則認為路由器公告報文非法,接入交換機丟棄該報文;交換機轉發合法的路由器公告報文,如果報文是組播報文,則從接收埠(信任埠)所在的虛擬區域網中向除該接收埠外的其他埠轉發;如果是單播報文,則查詢鄰居表,從目標主機所連的埠轉發出去;4) IPv6主機收到合法路由器公告報文,根據報文內容配置相應的信息,如地址前綴、默認路由器地址等。本發明技術方案實現了路由器公告能夠安全接入網絡設備或系統,防止了惡意路由器公告消息的轉發,從而保證路由器公告的合法性,確保網絡的正常工作。
權利要求
1.一種路由器公告安全接入方法,該方法包括如下步驟51接入交換機使能路由器公告安全功能,並預先配置信任端ロ ;52接入交換機監聽路由器發出的路由器公告報文,由重定向模塊將該報文重定向到微處理器(CPU);S3:接入交換機根據路由器公告報文(RA)的接收端ロ信息是否與預先配置的信任端 ロ匹配,判斷路由器公告報文的合法性;54如為合法的路由器公告報文,接入交換機轉發該報文;如為非法的路由器公告報文,接入交換機丟棄該報文;55:IPv6主機根據合法路由器公告報文內容進行信息配置。
2.根據權利要求1所述的路由器公告安全接入方法,其特徵在幹,所述步驟S2中接入交換機監聽路由器公告報文,下發路由器公告報文重定向至微處理器(CPU)的規則,接入交換機的收發模塊接收到路由器公告報文,將該報文重定向至微處理器(CPU)。
3.根據權利要求1或2所述的路由器公告安全接入方法,其特徵在幹,所述步驟S3中如果路由器公告報文的接收端ロ信息匹配任意一個預先配置的信任端ロ,則認為路由器公告報文合法;如果路由器公告報文的接收端ロ信息與任意一個預先配置的信任端ロ都不匹配,則認為路由器公告報文非法。
4.根據權利要求1所述的路由器公告安全接入方法,其特徵在幹,所述步驟S4中如合法的路由器公告報文為組播報文,接入交換機則從接收端ロ所在的區域網中,向除該接收端ロ以外的其他端ロ轉發;如合法的路由器公告報文為單播報文,接入交換機則查詢鄰居表,從目標主機所連的端ロ轉發出去。
5.一種路由器公告安全接入系統,所述系統包括IPv6主機、接入交換機和路由器, IPv6主機與接入交換機連接,接入交換機與路由器連接,其中,所述路由器用於發出路由器公告報文(RA);所述接入交換機用於監聽路由器公告報文並根據路由器公告報文(RA)的接收端ロ信息是否與接入交換機上預先配置的信任端ロ匹配,判斷路由器公告報文的合法性,如為合法的路由器公告報文,接入交換機轉發該報文;如為非法的路由器公告報文,接入交換機丟棄該報文;所述IPv6主機根據合法路由器公告報文內容進行信息配置。
6.根據權利要求5所述的路由器公告安全接入系統,其特徵在幹,所述信任端ロ為接入交換機上連有路由器的ニ層物理端ロ或匯聚端ロ。
7.根據權利要求5所述的路由器公告安全接入系統,其特徵在幹,所述接入交換機包括設置模塊、監聽模塊、收發模塊、重定向模塊和判斷模塊,其中,設置模塊用於對接入交換機上信任埠和非信任端ロ進行配置;監聽模塊對路由器發出的路由器公告報文進行監聽;收發模塊用於接收路由器公告報文和對合法路由器公告報文進行轉發;重定向模塊匹配路由器公告報文重定向的規則,將收發模塊接收到的路由器公告報文重定向至微處理器(CPU);判斷模塊根據路由器公告報文(RA)的接收端ロ信息是否與接入交換機上預先配置的信任端ロ匹配,判斷路由器公告報文的合法性。
8.根據權利要求5所述的路由器公告安全接入系統,其特徵在於,如合法的路由器公告報文為組播報文,接入交換機則從接收埠所在的區域網中,向除該接收埠以外的其他埠轉發;如合法的路由器公告報文為單播報文,接入交換機則查詢鄰居表,從目標主機所連的埠轉發出去。
9.根據權利要求5所述的路由器公告安全接入系統,其特徵在於,IPv6主機根據路由器公告報文包含的地址前綴、地址生存期、默認路由器地址和路由器生存期信息生成IPv6 地址,完成信息配置。
10.一種路由器公告安全接入裝置,該裝置為接入交換機,所述接入交換機包括設置模塊、監聽模塊、收發模塊、重定向模塊和判斷模塊,其中,設置模塊用於對接入交換機上信任埠和非信任埠進行配置; 監聽模塊對路由器發出的路由器公告報文進行監聽; 收發模塊用於接收路由器公告報文和對合法路由器公告報文進行轉發; 重定向模塊匹配路由器公告報文重定向的規則,將收發模塊接收到的路由器公告報文重定向至微處理器(CPU);判斷模塊根據路由器公告報文(RA)的接收埠信息是否與接入交換機上預先配置的信任埠匹配,判斷路由器公告報文的合法性。
全文摘要
本發明公開一種路由器公告安全接入方法、系統及裝置,步驟如下S1接入交換機使能路由器公告安全功能,並預先配置信任埠;S2接入交換機監聽路由器發出的路由器公告報文,由重定向模塊將該報文重定向到微處理器;S3接入交換機根據路由器公告報文的接收埠信息是否與預先配置的信任埠匹配,判斷路由器公告報文的合法性;S4如為合法的路由器公告報文,接入交換機轉發該報文;如為非法的路由器公告報文,接入交換機丟棄該報文;S5IPv6主機根據合法路由器公告報文內容進行信息配置。本發明實現了路由器公告能夠安全接入網絡設備或系統,防止惡意路由器公告消息的轉發,從而保證路由器公告的合法性,確保網絡的正常工作。
文檔編號H04L12/56GK102546431SQ20121002749
公開日2012年7月4日 申請日期2012年2月8日 優先權日2012年2月8日
發明者梁小冰 申請人:神州數碼網絡(北京)有限公司