一種鏈路發現方法和裝置的製作方法

2023-10-27 05:10:22

專利名稱：一種鏈路發現方法和裝置的製作方法
技術領域：
本發明涉及網絡管理技術領域，特別涉及一種鏈路發現方法和裝置。
背景技術：
隨著乙太網技術的發展，網絡設備的種類日益繁雜，如何獲得整個網絡中設備的拓撲，如何解決設備之間的配置衝突，如何使不同廠商的設備能夠在網絡中互相發現、並進行系統及配置信息的交互，成為網絡管理中的重要問題。LLDP (Link Layer Discovery Protocol,鏈路層發現協議),提供了一種數據鏈路層的鄰居發現協議，它將本設備的主要能力、管理地址、設備標識、埠號等信息組織成不同的 TLV(Type-Length_Value,類型-長度-值)，並封裝在 LLDF1DlXLink Layer DiscoveryProtocol Data Unit,鏈路層發現協議數據單元)中發布給與自己直連的鄰居,鄰居收到這些信息後將其以標準MIB (Management Information Base,管理信息庫)的形式保存起來，以供網絡管理系統查詢、判斷鏈路的通信狀況。LLDPDU固定以Chassis ID TLV (ChassisIdentity TLV,設備標識類型-長度-值)、Port ID TLV (Port Identity,埠號類型-長度-值^PTime to Live TLV(鄰居生命周期類型-長度-值)開始，以End of LLDPDU TLV(結束類型-長度-值)為結束，這四個為必選TLV。為了避免與非安·全設備建立鄰居，LLDP通過以下方式驗證直連設備是否安全:當第一網絡設備收到從第二網絡設備發送來的LLDPDU時，檢查該LUFDU中是否包含有合法的授權鑰匙，若授權鑰匙不存在或不合法時，第一網絡設備封鎖第二網絡設備發送的所有封包，以達到防止非授權的第二網絡設備連接並使用第一網設備所提供的網絡傳輸服務的功能。該授權鑰匙是由MAC (Medium Access Control,介質訪問控制)地址另加上一密碼得到。在實現本發明的過程中，發明人發現現有技術至少存在以下問題:現有技術存在第一網絡設備的設備信息洩漏的可能。

發明內容
為了解決現有技術中設備信息洩漏的問題，本發明實施例提供了一種鏈路發現方法和裝置。所述技術方案如下:第一方面，本發明實施例提供了一種鏈路發現方法，所述方法包括:當網絡設備接收到的直連設備發送的第一鏈路層發現協議LLDP報文時，根據所述第一 LLDP報文中的認證類型-長度-值TLV，確定所述直連設備的安全級別，所述安全級別包括安全和非安全；所述第一 LLDP報文包括所述認證TLV和最低安全級別TLV，所述最低安全級別TLV包括:設備標識TLV、埠號TLV、鄰居生命周期TLV和LLDP數據單元結束TLV ；根據所述認證TLV，確定所述直連設備的安全級別，所述安全級別包括安全和非安全；
若所述直連設備的安全級別為安全，則根據所述第一 LLDP報文確定所述直連設備的設備類型，並根據所述直連設備的設備類型，向所述直連設備發送第二 LLDP報文，所述第二 LLDP報文包括與所述直連設備的設備類型對應的TLV。結合第一方面,在一種實現方式中,所述方法還包括:若所述直連設備的安全級別為非安全，則向所述直連設備發送所述第一 LLDP報文。結合第一方面及上述實現方式，在另一種實現方式中，在所述根據所述第一 LLDP報文中的認證TLV，確定所述直連設備的安全級別之前，所述方法還包括:接收所述直連設備發送的LLDP報文，並確定接收到的所述LLDP報文是否攜帶認證 TLV ；若所述LLDP報文中攜帶認證TLV，則所述LLDP報文為第一 LLDP報文；相應地，所述方法還包括:若所述LLDP報文中未攜帶認證TLV，則向所述直連設備發送所述第一 LLDP報文。結合第一方面及上述實現方式，在另一種實現方式中，所述根據所述第一 LLDP報文中的認證TLV，確定所述直連設備的安全級別，包括:根據所述設備標識TLV和所述埠號TLV，獲得所述直連設備的設備標識和埠號;採用所述設備標識 和埠號，計算判定TLV ；比較所述判定TLV與所述認證TLV是否相同，若相同，則確定所述直連設備的安全級別為安全，若不同，則確定所述直連設備的安全級別為非安全。結合第一方面及上述實現方式，在另一種實現方式中，所述第一 LLDP報文還包括系統能力TLV，所述系統能力TLV包括用於描述設備功能的系統能力欄位，則所述根據所述第一 LLDP報文，確定所述直連設備的設備類型，包括:根據所述系統能力TLV中所述系統能力欄位獲取所述直連設備所具備的功能；根據所述直連設備所具備的功能確定所述直連設備的設備類型。結合第一方面及上述實現方式，在另一種實現方式中，在所述根據所述第一 LLDP報文，確定所述直連設備的設備類型之前，所述方法還包括:確定所述第一 LLDP報文是否攜帶系統能力TLV ；若所述第一 LLDP報文中未攜帶系統能力TLV，則向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括全部類型的TLV ；若所述第一 LLDP報文中攜帶系統能力TLV，則根據所述系統能力TLV，確定所述直連設備的設備類型。結合第一方面及上述實現方式，在另一種實現方式中，所述根據所述直連設備的設備類型，向所述直連設備發送第二 LLDP報文，包括:當所述直連設備為中繼器時，向所述直連設備發送第二 LLDP報文，且所述第二LLDP報文中的TLV只包括最低安全級別TLV ；當所述直連設備為網橋或者路由器時，向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括全部類型的TLV ；當所述直連設備為網際網路協議電話時，向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括最低安全級別TLV、埠描述TLV、系統名稱TLV、系統描述TLV、系統能力TLV、埠虛擬區域網標識TLV以及設備供電能力TLV。結合第一方面及上述實現方式，在另一種實現方式中，在所述根據所述直連設備的設備類型，向所述直連設備發送第二 LLDP報文之前，所述方法還包括:採用可逆算法對所述第二 LLDP報文中的TLV進行加密。結合第一方面及上述實現方式，在另一種實現方式中，所述方法還包括:當所述網絡設備的一個埠上連接的直連設備的數目達到上限，且所述埠上新接入的直連設備的安全級別為安全時，刪除連接在所述埠上的至少一個安全級別為非安全的直連設備。第二方面，本發明實施例還提供了一種鏈路發現裝置，所述裝置包括:第一確定模塊，用於當網絡設備接收到的直連設備發送的第一鏈路層發現協議LLDP報文時，根據所述第一 LLDP報文中的認證TLV，確定所述直連設備的安全級別，所述安全級別包括安全和非安全；所述第一 LLDP報文包括所述認證TLV和最低安全級別TLV，所述最低安全級別TLV包括:設備標識TLV、埠號TLV、鄰居生命周期TLV和LLDP數據單元結束TLV ；第二確定模塊，用於當所述第一確定模塊確定所述直連設備的安全級別為安全時，根據所述第一 LLDP報文確定所述直連設備的設備類型；發送模塊，用於根據所述直連設備的設備類型，向所述直連設備發送第二 LLDP報文，所述第二 LLDP報文包括與所述直連設備的設備類型對應的TLV。結合第二方面，在一種實現方式中，所述發送模塊還用於，當所述直連設備的安全級別為非安全時，向所述直連設備發送所述第一 LLDP報文。結合第二方面及上述實現方式，在另一種實現方式中，所述裝置還包括:接收模塊，用於接收所述直連設備發送的LLDP報文，第三確定模塊，用於確定所述接收模塊接收到的所述LLDP報文是否攜帶認證TLV,當所述LLDP報文中攜帶認證TLV時，確定所述LLDP報文為第一 LLDP報文；相應地，所述發送模塊，還用於當所述LLDP報文中未攜帶認證TLV時，向所述直連設備發送所述第一 LLDP報文。結合第二方面及上述實現方式，在另一種實現方式中，所述第一確定模塊包括:獲取單元，用於根據所述設備標識TLV和埠號TLV，獲得所述直連設備的設備標識和埠號；計算單元，用於採用所述設備標識和埠號，計算判定TLV ；比較單元，用於比較所述判定TLV與所述認證TLV是否相同，若相同，則確定所述直連設備的安全級別為安全，若不同，則確定所述直連設備的安全級別為非安全。結合第二方面及上述實現方式，在另一種實現方式中，所述第一 LLDP報文還包括系統能力TLV，所述系統能力TLV包括用於描述設備功能的系統能力欄位，則所述第二確定模塊，用於根據所述系統能力TLV中所述系統能力欄位獲取所述直連設備所具備的功能，根據所述直連設備所具備的功能確定所述直連設備的設備類型。結合第二方面及上述實現方式，在另一種實現方式中，所述第二確定模塊，還用於在所述根據所述第一 LLDP報文，確定所述直連設備的設備類型之前，確定所述第一 LLDP報文是否攜帶系統能力TLV，當所述第一 LLDP報文中攜帶系統能力TLV時，則根據所述系統能力TLV，確定所述直連設備的設備類型；相應地，所述發送模塊，還用於當所述第一 LLDP報文中未攜帶系統能力TLV時，則向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括全部類型的TLV。結合第二方面及上述實現方式，在另一種實現方式中，所述發送模塊用於，當所述直連設備為中繼器時，向所述直連設備發送第二 LLDP報文，且所述第二LLDP報文中的TLV只包括最低安全級別TLV ；當所述直連設備為網橋或者路由器時，向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括全部類型的TLV ；當所述直連設備為網際網路協議電話時，向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括最低安全級別TLV、埠描述TLV、系統名稱TLV、系統描述TLV、系統能力TLV、埠虛擬區域網標識TLV以及設備供電能力TLV。結合第二方面及上述實現方式，在另一種實現方式中，所述裝置還包括:加密模塊，用於採用可逆算法對所述第二 LLDP報文中的TLV進行加密。結合第二方面及上述實現方式，在另一種實現方式中，所述裝置還包括:管理模塊，用於當所述網絡設備的一個埠上連接的直連設備的數目達到上限，且所述埠上新接入的直連設備的安全級別為安全時，刪除連接在所述埠上的至少一個安全級別為非安全的直連設備。本發明實施例提供的技術方案帶來的有益效果是:通過確定直連設備的安全級別，並當直連設備的安全級別為安全時，確定該直連設備的設備類型，根據設備類型選擇與設備類型對應的TLV進行發送，避免了現有技術中每次都將所有類型的TLV發送給直連設備，減小了設備信息洩漏的可能，保證了發送的LLDP報文更加合理，節省鏈路開銷，同時可以避免造成直連設備無法處理而不能正常運行的問題。


為了更清楚地說明本發明實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1是本發明實施例提供的網絡管理系統拓撲圖；圖2是本發明實施例提供的LLDP報文的結構示意圖；圖3是本發明實施例提供的LLDPDU的結構示意圖；圖4是本發明實施例提供的TLV的結構示意圖；圖5是本發明實施例一提供的鏈路發現方法流程圖；圖6是本發明實施例二提供的鏈路發現方法流程圖；圖7是本發明實施例三提供的鏈路發現裝置的結構示意圖；圖8是本發明實施例四提供的鏈路發現裝置的結構示意
圖9是本發明實施例三、四提供的鏈路發現裝置的具體實施方式
的結構示意圖。
具體實施例方式為使本發明的目的、技術方案和優點更加清楚，下面將結合附圖對本發明實施方式作進一步地詳細描述。為了便於理解本發明，下面先結合圖1對本發明實施例的網絡架構及LLDP的原理進行簡單介紹。在本發明實施例中，將與某一網絡設備直接連接的其它網絡設備稱為該網絡設備的直連設備，每個網絡設備與其直連設備交互LLDP報文。參見圖l，Switch A(交換機A，以下簡稱A)和Switch B (交換機B，以下簡稱B)直接連接，即B為A的直連設備，A與B交互LLDP報文，建立LLDP鄰居，並根據LLDP報文獲得對端的設備信息，儲存在本端設備的MIB(Management Information Base,管理信息庫)中，供 NMS (Network Management System,網絡管理系統)查詢，並進行網絡拓撲繪圖和網絡管理。LLDP報文為封裝有LLDPDU的乙太網報文。LLDP報文採用Ethernet II (乙太網II)封裝或SNAP (SubNetwork Access Protocol,子網絡訪問協議)封裝。下面以採用Ethernet II封裝的LLDP為例，對LLDP報文結構進行說明，如圖2所不，具體地，該 LLDP 報文包括:DA(Destination address,目的地址)、SA( source address,目的地址)、Type (類型)、Data (數據)和FCS (Frame Check Sequence,巾貞檢驗序列)；具體地，DA是指目的MAC (Medium Access Control,介質訪問控制)地址,LLDP報文中該地址可以為組播地址，比如01-80-C2-00-00-0E ;SA是指源MAC地址，即發送設備的MAC地址；Type是指報文類型，LLDP報文中該類型為0x88CC ；Data是LLDP中的數據主體，即LLDPDU ；FCS為幀檢驗序列。參見圖3，LLDPDU包括若干TLV，一個LLDPDU固定以ChassisID TLV,Port ID TLV和Time to Live TLV開始，以End of LLDPDU TLV為結束，這四個TLV為必選的TLV，這四個TLV即本發明實施例中的·最低安全級別TLV。一個LLDPDU還可能包括其他可選TLV，可以由設備自行定義是否包含在LUFDU中。每種TLV用於標識對應的設備信息，如Chassis ID TLV包括設備的Chassis ID(Chassis Identity,設備標識)，Port ID TLV 包括 Port ID (Port Identity,埠號)。參見圖4,每個TLV包括以下欄位:TLV Type>TLV information string Length 和TLV information string。具體地,TLV Type即為TLV的類型,每個TLV的類型值不同，比如End of LDPDU TLV 的類型值為 O ;TLV information string Length 代表 TLV informationstring欄位的長度；TLV information string中第一個字節是指此TLV的子類型,剩餘的字節為TLV的值。實施例一本發明實施例提供了一種鏈路發現方法，參見圖5，該方法包括:101:當網絡設備接收到的直連設備發送的LLDP報文為第一 LLDP報文時，根據第一 LLDP報文中的認證TLV，確定直連設備的安全級別，該安全級別包括安全和非安全，該第
一LLDP報文包括認證TLV和最低安全級別TLV，最低安全級別TLV包括=Chassis ID TLV,Port ID TLV、Time to Live TLV 和 End of LLDPDU TLV。102:若該直連設備的安全級別為安全,則根據第一 LLDP報文確定直連設備的設備類型，根據直連設備的設備類型，向直連設備發送第二 LLDP報文，該第二 LLDP報文包括與該直連設備的設備類型對應的TLV。本發明實施例中，當直連設備的安全級別為安全時，確定該直連設備的設備類型，根據設備類型選擇與設備類型對應的TLV進行發送，避免了現有技術中每次都將所有類型的TLV發送給直連設備，減小了設備信息洩漏的可能，保證了發送的LLDP報文更加合理，節省鏈路開銷，避免造成直連設備無法處理而不能正常運行的問題。實施例二本發明實施例將以第一網絡設備、以及與第一網絡設備直連的第二網絡設備為例，對本發明提供的鏈路發現方法做進一步說明，參見圖6，該方法包括:201:第一網絡設備接收來自第二網絡設備的LLDP報文。其中，LLDP報文中包括若干TLV。如前所述，若干TLV中至少包括最低安全級別TLV，該最低安全級別 TLV 包括:Chassis ID TLV、Port ID TLV、Time to Live TLV 和 Endof LLDPDU TLV。202:確定LLDP報文中是否攜帶認證TLV，若LLDP報文中攜帶認證TLV，則該LLDP報文為第一 LLDP報文，執行203 ;若LLDP報文中未攜帶認證TLV，執行204。203:根據第一LLDP報文中的認證TLV確定第二網絡設備的安全級別，當第二網絡設備的安全級別為非安全時，執行204 ;當第二網絡設備的安全級別為安全時，執行205。可選地，在本實施例中，認證TLV由第二網絡設備將其Chassis ID和Port ID採用不可逆加密算法(如MD5 (Message Digest Algorithm5,消息摘要算法第五版))加密得到。容易知道，認證TLV還可以根據第二 網絡設備的其它信息,如MAC(Medium Access Control,媒體訪問控制)地址等生成。具體地，203包括:S1、根據第二網絡設備發送的第一LLDP報文中攜帶的Chassis ID TLV和Port IDTLV，獲得 Chassis ID 和 Port ID ；S2、根據 Chassis ID 和 Port ID 進行,計算判定 TLV ;S3、比較判定TLV與認證TLV是否相同，若相同，則確定第二網絡設備的安全級別為安全，若不同，則確定第二網絡設備的安全級別為不安全。容易知道，S2中，採用與第二網絡設備計算認證TLV相同的不可逆加密算法計算判定TLV。該不可逆加密算法可以在設備出廠時設置在該設備中。204:向第二網絡設備發送第一 LLDP報文，第一 LLDP報文中的TLV包括認證TLV和最低安全級別TLV，最低安全級別TLV包括:End of LLDPDU TLV、Chassis ID TLV、PortID TLV 和 Time to Live TLV。在具體實現中，當第一網絡設備確定第二網絡設備的安全級別為安全時，會將該第二網絡設備標識為「安全鄰居」;而當第一網絡設備確定第二網絡設備的安全級別為不安全或者第二網絡設備發送的第一 LLDP報文中不包括認證TLV時，會將該第二網絡設備標識為「非安全鄰居」。205:確定第一 LLDP報文中是否攜帶System Capabilities (系統能力)TLV,若第一 LLDP報文中未攜帶System Capabilities TLV,則執行206 ;若第一 LLDP報文中攜帶System Capabilities TLV,執行 207。
其中，SystemCapabilities TLV 包括 TLV Type、TLV information stringLength、System Capabilities 和 Enabled Capabilities (啟用的功能)四個欄位；其中System Capabilities欄位用於描述設備功能，該System Capabilities欄位通常包括16個比特，每個比特用來表示一個功能，置I表示具備該功能，O表示不具備該功能。具體地，下面按照這十六個比特的順序，分別對每個比特表示的功能分別進行說明:0、Other (其他)，1、Repeater (中繼器)，2、Bridge (網橋)，3、Wlan-Access-Point (無線熱點)，4、Router (路由器)，5、Telephone (電話)，6、DOCSIS cable device (同軸電纜數據服務接口規範電纜設備)，7、Station Only (站)，8、C—Vlan Component of a VlanBridge (Customer Vlan Component of a Vlan Bridge，用戶虛擬區域網組件)，9、S—VlanComponent of a Vlan Bridge (Stack Vlan Component of a Vlan Bridge，交換虛擬區域網組件)，10、Two-Port-MAC Relay (雙埠橋接)，11-15、reserved (保留)。上述每種功能都與設備類型相對應，因此通過檢查上述16個字節的值即可確定設備類型。206:第一網絡設備向第二網絡設備發送第二 LLDP報文，且第二 LLDP報文中的TLV包括全部類型的TLV。具體地，全部類型的TLV包括:Chassis ID TLV.Port ID TLV.Timeto Live TLV、End of LLDPDU TLV、Port Description (埠描述)TLV、System Name (系統名稱)TLV、System Description (系統描述)TLV、System Capabilities TLV、ManagementAddress (管理地址)TLV、Port VLAN ID (Port Virtual Local Area Network Identity，埠虛擬區域網標識)TLV、Port And Protocol VLAN IDCPort And Protocol Virtual LocalArea Network Identity，埠協議虛擬區域網標識)TLV、VLAN Name(虛擬區域網名稱)TLV、Protocol 1(16的;^7(協議號)1'1^、嫩(^/ !^ Configuration/Status(數據鏈路和物理層的配置及狀態)TLV.Powei* Via MDI (埠的供電能力)TLV、Link Aggregation (鏈路聚合)TLV、Maximum Frame Size (最大巾貞長度)TLV、LLDP-MED Capabilities (LLDP-Media EndpointDiscovery Capabilities，LLDP 中可封裝的媒體終端發現類型)TLV、Network Policy (應用策略)TLV、Extended Power-via-MDI (設備供電能力)TLV、Hardware Revision (硬體版本)TLV、Firmware Revision (固件版本)TLV、Software Revision (軟體版本)TLV、SerialNumber (設備序列號)TLV、Manufacturer Name (製造廠商)TLV、Model Name (驅動名稱)TLV、Asset ID (設備斷言標識符)TLV、Location Identification (位置標識)TLV 以及自定義TLV。207:根據系統能力TLV中System Capabilities欄位獲取第二網絡設備所具備的功能，根據第二網絡設備所具備的功能確定第二網絡設備的設備類型，執行208。其中，設備類型包括但不限於repeater (中繼器)、telephone (網際網路協議電話)、bridge (網橋)和 router (路由器)等。確定的依據是 System Capabilities TLV 中 SystemCapabilities欄位描述的設備功能，例如，當設備類型為repeater、telephone、bridge和router時，分別對應System Capabilities欄位中第1、5、2、4個比特的值為I。208:根據第二網絡設備的設備類型，向第二網絡設備發送第二 LLDP報文，該第二LLDP報文包括與第二網絡設備的設備類型對應的TLV。上述根據設備類型向第二網絡設備發送與設備類型對應的第二 LLDP報文，主要根據以下兩點進行確定:1、設備的處理能力。如第二網絡設 備為低端設備，處理能力會很低，LLDP報文中內容多，且採用加密方式，會造成設備無法正常運轉。2、LLDP報文中哪些TLV是該設備所需的。如對於一個IP (Internet Protocol,網絡協議，簡稱IP)電話而言，需要埠供電能力和VOICE VLAN (Virtual Local AreaNetwork,虛擬區域網)等信息,而不需要鏈路聚合TLV的信息。具體地，208可以包括:若第二網絡設備為中繼器，則向第二網絡設備發送第二 LLDP報文，且第二 LLDP報文中的TLV只包括最低安全級別TLV ;其中，最低安全級別TLV包括:Chassis ID TLV、PortID TLV、Time to Live TLV 和 End of LLDPDU TLV。若第二網絡設備為網橋或者路由器，則向第二網絡設備發送第二 LLDP報文，且第二LLDP報文中的TLV包括全部類型的TLV ;具體地，全部類型的TLV包括:Chassis ID TLV、Port ID TLV、Time to Live TLV>End of LLDPDU TLV>Port Description TLV>System NameTLV> System Description TLV> System Capabilities TLV> Management Address TLV>Port VLAN ID TLV>Port And Protocol VLAN ID TLV>VLAN Name TLV>Protocol IdentityTLV、MAC/PHY Configuration/Status TLV、Power Via MDI TLV、Link Aggregation TLV、Maximum Frame Size TLV> LLDP-MED Capabilities TLV> Network Policy TLV> ExtendedPower-via-MDI TLV> Hardware Revision TLV> Firmware Revision TLV> SoftwareRevision TLV、Serial Number TLV> Manufacturer Name TLV、Model Name TLV、Asset IDTLV、Location Identification TLV 以及自定義 TLV。若 第二網絡設備為網際網路協議電話，則向第二網絡設備發送第二 LLDP報文，且第二 LLDP 報文中的 TLV 包括最低安全級別 TLV、Port Description TLV、System NameTLV> System Description TLV> System Capabilities TLV> Port VLAN ID 以及 ExtendedPower-via-MDI TLV 的 LLDP 報文。其中，最低安全級別 TLV 包括:Chassis ID TLV,Port IDTLV、Time to Live TLV 和 End of LLDPDU TLV。在具體實現中，設備類型與TLV的對應關係，可預先存儲在網絡設備中。容易知道，上述對應關係還可以進一步按照設備型號進行細分，這裡不再贅述。可選地，在根據第二網絡設備的設備類型，向第二網絡設備發送第二 LLDP報文之前，該方法還包括:採用可逆算法對第二 LLDP報文中的TLV進行加密。具體地，採用可逆算法對第二 LLDP報文中的TLV的值進行加密。容易知道，該可逆算法可以由製造商生成設備時，寫入設備中。此外，第一網絡設備在收到第一 LLDP報文後，還會保存第一網絡設備的埠與直連設備的對應關係以及直連設備的安全等級、設備信息等，該對應關係通常保存在設備的MIB 中。可選地，本實施例的方法還可以包括:當第一網絡設備的一個埠上連接的直連設備的數目達到上限，且該埠上新接入的直連設備的安全級別為安全時，刪除連接在該埠上的至少一個安全級別為非安全的直連設備。容易知道，當第一網絡設備的一個埠上連接的直連設備的數目達到上限，但確定新接入的直連設備的安全級別為非安全時，不會刪除連接在該埠上的安全級別為非安全的直連設備。具體地，刪除連接在該埠上的安全級別為非安全的直連設備，包括:
從已保存的埠與直連設備的對應關係中，刪除安全級別為非安全的直連設備。這樣做實際上是對鄰居的優先級控制，安全級別為非安全的直連設備的優先級低於安全級別為安全的直連設備，既保證能與安全級別為非安全的直連設備兼容，又避免了安全級別為非安全的直連設備耗盡鄰居數目的問題。刪除至少一個安全級別為非安全的直連設備，保證了新的安全級別為安全的直連設備可以接入。本發明實施例通過認證TLV確定直連設備的安全級別，一方面，當直連設備的安全級別為安全時，確定該直連設備的設備類型，根據設備類型選擇與設備類型對應的TLV進行發送，避免了現有技術中每次都將所有類型的TLV發送給直連設備，減小了設備信息洩漏的可能。保證了發送的LLDP報文更加合理，節省鏈路開銷，避免造成直連設備無法處理而不能正常運行的問題；另一方面，當直連設備的安全級別為安全時或直連設備發送的LLDP報文中為攜帶認證TLV時，發送只包含最低安全級別的TLV的LLDP報文，既能滿足安全需求，又能保證低端設備和老設備的正常接入。實施例三參見圖7，本發明實施例提供了一種鏈路發現裝置，該裝置適用於實施例一提供的鏈路發現方法，該裝置包括:第一確定模塊301，用於當接收到的直連設備發送的LLDP報文為第一 LLDP報文時，根據第一 LLDP報文中的認證TLV，確定直連設備的安全級別，該安全級別包括安全和非安全；該第一 LLDP報文包括認證TLV和最低安全級別TLV，最低安全級別TLV包括-ChassisID TLV、Port ID TLV、Time to Live TLV 和 End of LLDPDU TLV ；第二確定模塊302，用於當第一確定模塊301確定直連設備的安全級別為安全時，根據第一 LLDP報文確定直連設備的設備類型；發送模塊303，用於根據直連設備的設備類型，向直連設備發送第二 LLDP報文，該第二 LLDP報文包括與直連設備的設備類型對應的TLV。本發明實施例中，當直連設備的安全級別為安全時，確定該直連設備的設備類型，根據設備類型選擇與設備類型對應的TLV進行發送，避免了現有技術中每次都將所有類型的TLV發送給直連設備，減小了設備信息洩漏的可能。保證了發送的LLDP報文更加合理，節省鏈路開銷，避免造成直連設備無法處理而不能正常運行的問題。實施例四參見圖8，本發明實施例提供了一種鏈路發現裝置，該裝置適用於實施例二提供的鏈路發現方法，該裝置包括:第一確定模塊301、第二確定模塊302和發送模塊303，進一步地，發送模塊303還用於，當直連設備的安全級別為非安全時，向直連設備發送第一 LLDP報文，第一 LLDP報文中的TLV包括認證TLV和最低安全級別TLV。進一步地,該裝置還包括:接收模塊404，用於接收直連設備發送的LLDP報文；第三確定模塊405，用於確定接收到的LLDP報文是否攜帶認證TLV，當LLDP報文中攜帶認證TLV時，確定該LLDP報文為第一 LLDP報文；

相應地，發送模塊303，還用於當LLDP報文中未攜帶認證TLV時，向直連設備發送第一 LLDP報文。
其中，第一確定模塊301包括:獲取單元3011，用於根據Chassis ID TLV和Port ID TLV，獲得直連設備的Chassis ID 和埠號;計算單元3012，用於採用Chassis ID和Port ID，計算判定TLV;比較單元3013，用於比較判定TLV與認證TLV是否相同，若相同，則確定直連設備的安全級別為安全，若不同，則確定直連設備的安全級別為非安全。進一步地，第一 LLDP報文還包括系統能力TLV，則第二確定模塊302，用於根據系統能力TLV中System Capabilities欄位獲取直連設備所具備的功能,根據直連設備所具備的功能確定直連設備的設備類型。其中，設備類型包括repeater (中繼器)、telephone (網際網路協議電話)、bridge(網橋)和router (路由器)等。進一步地，第二確定模塊302，還用於在根據第一 LLDP報文，確定直連設備的設備類型之前，確定第一 LLDP報文是否攜帶系統能力TLV，當第一 LLDP報文中攜帶系統能力TLV時，則根據系統能力TLV，確定直連設備的設備類型；相應地，發送模塊303，還用於當第一 LLDP報文中未攜帶系統能力TLV時，則向直連設備發送第二 LLDP報文，且第二 LLDP報文中的TLV包括全部類型的TLV。進一步地，發送模塊303用於，當直連設備為中繼器時，向直連設備發送第二 LLDP報文，且第二 LLDP報文中的TLV只包括最低安全 級別TLV ；當直連設備為網橋或者路由器時，向直連設備發送第二 LLDP報文，且第二 LLDP報文中的TLV包括全部類型的TLV ；當直連設備為網際網路協議電話時，向直連設備發送第二 LLDP報文，且第二 LLDP報文中的TLV包括最低安全級別TLV、埠描述TLV、系統名稱TLV、系統描述TLV、系統能力TLV、埠虛擬區域網標識TLV以及設備供電能力TLV。進一步地，該裝置還包括加密模塊406，用於採用可逆算法對第二 LLDP報文中的TLV進行加密。進一步地，該裝置還包括管理模塊，用於當網絡設備的一個埠上連接的直連設備的數目達到上限，且該埠上新接入的直連設備的安全級別為安全時，刪除連接在該埠上的至少一個安全級別為非安全的直連設備。本發明實施例通過認證TLV確定直連設備的安全級別，一方面，當直連設備的安全級別為安全時，確定該直連設備的設備類型，根據設備類型選擇與設備類型對應的TLV進行發送，避免了現有技術中每次都將所有類型的TLV發送給直連設備，減小了設備信息洩漏的可能，保證了發送的LLDP報文更加合理，節省鏈路開銷，避免造成直連設備無法處理而不能正常運行的問題；另一方面，當直連設備的安全級別為安全時或直連設備發送的LLDP報文中為攜帶認證TLV時，發送只包含最低安全級別的TLV的LLDP報文，既能滿足安全需求，又能保證低端設備和老設備的正常接入。在具體的實施方式中，前述圖7、8中的鏈路發現裝置可以是一種計算機或者伺服器，如圖9所示。其一般包括存儲器91、處理器92、網絡接口 93等部件。本領域技術人員可以理解，圖9中所示出的結構並不構成對本裝置的限定，可以包括比圖示更多或更少的部件，或者組合某些部件，或者不同的部件布置。下面結合圖9對計算機90的各個構成部件進行具體的介紹:存儲器91可用於存儲軟體程序以及應用模塊，處理器92通過運行存儲在存儲器91的軟體程序以及應用模塊，從而執行計算機90的各種功能應用以及數據處理。存儲器91可主要包括存儲程序區和存儲數據區，其中，存儲程序區可存儲作業系統、至少一個功能所需的應用程式(比如報文解封裝)等；存儲數據區可存儲根據計算機90的處理所創建的數據。此外，存儲器91可以包括高速RAM(Random Access Memory,隨機存取存儲器),還可以包括非易失性存儲器(non-volatile memory),例如至少一個磁碟存儲器件、快閃記憶體器件、或其他易失性固態存儲器件。處理器92是計算機90的控制中心，利用各種接口和線路連接整個計算機的各個部分。具體地，處理器92通過運行或執行存儲在存儲器91內的軟體程序和/或應用模塊，以及調用存儲在存儲器91內的數據，處理器92可以實現，當通過網絡接口 93接收到的直連設備發送的LLDP報文為第一 LLDP報文時，根據第一 LLDP報文中的認證TLV，確定直連設備的安全級別，該安全級別包括安全和非安全，該第一 LLDP報文包括認證TLV和最低安全級別 TLV，最低安全級別 TLV 包括:Chassis ID TLV,Port ID TLV, Time to Live TLV 和End of LLDPDU TLV ；當直連設備的安全級別為安全時，根據第一 LLDP報文確定直連設備的設備類型；根據直連設備的設備類型，通過網絡接口 93向直連設備發送第二 LLDP報文，該第
二LLDP報文包括與直連設備的設備類型對應的TLV。進一步地，網絡接口 93`還用於，當直連設備的安全級別為非安全時，向直連設備發送第一 LLDP報文，第一 LLDP報文中的TLV包括認證TLV和最低安全級別TLV。進一步地，處理器92可以實現，通過網絡接口 93接收直連設備發送的LLDP報文，並確定接收到的LLDP報文是否攜帶認證TLV ；若LLDP報文中攜帶認證TLV，則LLDP報文為第一 LLDP報文；若LLDP報文中未攜帶認證TLV，則通過網絡接口 93向直連設備發送第一 LLDP報文。進一步地，處理器92可以實現，根據直連設備發送的第一 LLDP報文中攜帶的Chassis ID TLV 和 Port ID TLV，獲得 Chassis ID 和 Port ID;米用Chassis ID 和 Port ID，計算判定 TLV;比較判定TLV與認證TLV是否相同，若相同，則確定直連設備的安全級別為安全，若不同，則確定直連設備的安全級別為不安全。進一步地,處理器92可以實現,根據系統能力TLV中System Capabilities欄位獲取直連設備所具備的功能，根據直連設備所具備的功能確定直連設備的設備類型。進一步地，處理器92可以實現，在根據第一 LLDP報文，確定直連設備的設備類型之前，確定第一 LLDP報文是否攜帶系統能力TLV，當第一 LLDP報文中攜帶系統能力TLV時，則根據系統能力TLV確定直連設備的設備類型；當第一 LLDP報文中未攜帶系統能力TLV，通過網絡接口 93向直連設備發送第二LLDP報文，且第二 LLDP報文中的TLV包括全部類型的TLV。
進一步地，處理器92可以實現，當直連設備為中繼器時，通過網絡接口 93向直連設備發送第二 LLDP報文，且第二 LLDP報文中的TLV只包括最低安全級別TLV ；當直連設備為網橋或者路由器時，通過網絡接口 93向直連設備發送第二 LLDP報文，且第二 LLDP報文中的TLV包括全部類型的TLV ；當直連設備為網際網路協議電話時，通過網絡接口 93向直連設備發送第二 LLDP報文，且第二 LLDP報文中的TLV包括最低安全級別TLV、埠描述TLV、系統名稱TLV、系統描述TLV、系統能力TLV、埠虛擬區域網標識TLV以及設備供電能力TLV。進一步地，處理器92還可以實現，採用可逆算法對第二 LLDP報文中攜帶的TLV進行加密。進一步地，處理器92可以實現，當網絡設備的一個埠上連接的直連設備的數目達到上限，且該埠上新接入的直連設備的安全級別為安全時，刪除連接在該埠上的至少一個安全級別為非安全的直連設備。需要說明的是:上述實施例提供的鏈路發現裝置在進行鏈路發現時，僅以上述各功能模塊的劃分進行舉例說明，實際應用中，可以根據需要而將上述功能分配由不同的功能模塊完成，即將鏈路發現裝置的內部結構劃分成不同的功能模塊，以完成以上描述的全部或者部分功能。另外，上述實施例提供的鏈路發現裝置與鏈路發現方法實施例屬於同一構思，其具體實現過程詳見方法實施例，這裡不再贅述。上述本發明實施例序號僅僅為了描述，不代表實施例的優劣。本領域普通技術人員可以理解實現上述實施例的全部或部分步驟可以通過硬體來完成，也可以通過程序來指令相關的硬體完成，所述的程序可以存儲於一種計算機可讀存儲介質中，上述提到的存儲 介質可以是只讀存儲器，磁碟或光碟等。以上所述僅為本發明的較佳實施例，並不用以限制本發明，凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。
權利要求
1.一種鏈路發現方法，其特徵在於，所述方法包括: 當網絡設備接收到的直連設備發送的第一鏈路層發現協議LLDP報文時，根據所述第一LLDP報文中的認證類型-長度-值TLV，確定所述直連設備的安全級別，所述安全級別包括安全和非安全，所述第一 LLDP報文包括所述認證TLV和最低安全級別TLV，所述最低安全級別TLV包括:設備標識TLV、埠號TLV、鄰居生命周期TLV和LLDP數據單元結束TLV ； 若所述直連設備的安全級別為安全，則根據所述第一 LLDP報文確定所述直連設備的設備類型，並根據所述直連設備的設備類型，向所述直連設備發送第二 LLDP報文，所述第二LLDP報文包括與所述直連設備的設備類型對應的TLV。
2.根據權利要求1所述的方法，其特徵在於，所述方法還包括: 若所述直連設備的安全級別為非安全，則向所述直連設備發送所述第一 LLDP報文。
3.根據權利要求1所述的方法，其特徵在於，在所述根據所述第一LLDP報文中的認證TLV,確定所述直連設備的安全級別之前，所述方法還包括: 接收所述直連設備發送的LLDP報文，並確定接收到的所述LLDP報文是否攜帶認證TLV ； 若所述LLDP報文中攜帶認證TLV，則所述LLDP報文為第一 LLDP報文； 相應地，所述方法還包括: 若所述LLDP報文中未攜帶認證TLV，則向所述直連設備發送所述第一 LLDP報文。
4.根據權利要求1所述的方法，其特徵在於，所述根據所述第一LLDP中的認證TLV，確定所述直連設備的安全級別，包括: 根據所述設備標識TLV和所述埠號TLV，獲得所述直連設備的設備標識和埠號； 採用所述設備標識和埠號，計算判定TLV ； 比較所述判定TLV與所述認證TLV是否相同，若相同，則確定所述直連設備的安全級別為安全，若不同，則確定所述直連設備的安全級別為非安全。
5.根據權利要求1所述的方法，其特徵在於，所述第一LLDP報文還包括系統能力TLV，所述系統能力TLV包括用於描述設備功能的系統能力欄位，則所述根據所述第一 LLDP報文，確定所述直連設備的設備類型，包括: 根據所述系統能力TLV中所述系統能力欄位獲取所述直連設備所具備的功能； 根據所述直連設備所具備的功能確定所述直連設備的設備類型。
6.根據權利要求5所述的方法，其特徵在於，在所述根據所述第一LLDP報文，確定所述直連設備的設備類型之前，所述方法還包括: 確定所述第一 LLDP報文是否攜帶系統能力TLV ； 若所述第一 LLDP報文中未攜帶系統能力TLV，則向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括全部類型的TLV ； 若所述第一 LLDP報文中攜帶系統能力TLV，則根據所述系統能力TLV，確定所述直連設備的設備類型。
7.根據權利要求1所述的方法，其特徵在於，所述根據所述直連設備的設備類型，向所述直連設備發送第二 LLDP報文，包括: 當所述直連設備為中繼器時，向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV只包括最低安全級別TLV ；當所述直連設備為網橋或者路由器時，向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括全部類型的TLV ； 當所述直連設備為網際網路協議電話時，向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括最低安全級別TLV、埠描述TLV、系統名稱TLV、系統描述TLV、系統能力TLV、埠虛擬區域網標識TLV以及設備供電能力TLV。
8.根據權利要求1-7任一項所述的方法，其特徵在於，在所述根據所述直連設備的設備類型，向所述直連設備發送第二 LLDP報文之前，所述方法還包括: 採用可逆算法對所述第二 LLDP報文中的TLV進行加密。
9.根據權利要求1-7任一項所述的方法，其特徵在於，所述方法還包括: 當所述網絡設備的一個埠上連接的直連設備的數目達到上限，且所述埠上新接入的直連設備的安全級別為安全時，刪除連接在所述埠上的至少一個安全級別為非安全的直連設備。
10.一種鏈路發現裝置，其特徵在於，所述裝置包括: 第一確定模塊，用於當網絡設備接收到的直連設備發送的第一鏈路層發現協議LLDP報文時，根據所述第一 LLDP報文中的認證類型-長度-值TLV，確定所述直連設備的安全級另IJ，所述安全級別包括安全和非安全；所述第一 LLDP報文包括所述認證TLV和最低安全級別TLV，所述最低安全級別TLV包括:設備標識TLV、埠號TLV、鄰居生命周期TLV和LLDP數據單元結束TLV ； 第二確定模塊，用於當所述第一確定模塊確定所述直連設備的安全級別為安全時，根據所述第一 LLDP報文確定所述直連設備的設備類型； 發送模塊，用於根據所述直連`設備的設備類型，向所述直連設備發送第二 LLDP報文，所述第二 LLDP報文包括與所述直連設備的設備類型對應的TLV。
11.根據權利要求10所述的裝置，其特徵在於，所述發送模塊還用於，當所述直連設備的安全級別為非安全時，向所述直連設備發送所述第一 LLDP報文。
12.根據權利要求10所述的裝置，其特徵在於，所述裝置還包括: 接收模塊，用於接收所述直連設備發送的LLDP報文， 第三確定模塊，用於確定所述接收模塊接收到的所述LLDP報文是否攜帶認證TLV，當所述LLDP報文中攜帶認證TLV時，確定所述LLDP報文為第一 LLDP報文； 相應地，所述發送模塊，還用於當所述LLDP報文中未攜帶認證TLV時，向所述直連設備發送所述第一 LLDP報文。
13.根據權利要求10所述的裝置，其特徵在於，所述第一確定模塊包括: 獲取單元，用於根據所述設備標識TLV和埠號TLV，獲得所述直連設備的設備標識和埠號； 計算單元，用於採用所述設備標識和埠號，計算判定TLV ； 比較單元，用於比較所述判定TLV與所述認證TLV是否相同，若相同，則確定所述直連設備的安全級別為安全，若不同，則確定所述直連設備的安全級別為非安全。
14.根據權利要求10所述的裝置，其特徵在於，所述第一LLDP報文還包括系統能力TLV，所述系統能力TLV包括用於描述設備功能的系統能力欄位， 則所述第二確定模塊，用於根據所述系統能力TLV中所述系統能力欄位獲取所述直連設備所具備的功能，根據所述直連設備所具備的功能確定所述直連設備的設備類型。
15.根據權利要求14所述的裝置，其特徵在於，所述第二確定模塊，還用於在所述根據所述第一 LLDP報文，確定所述直連設備的設備類型之前，確定所述第一 LLDP報文是否攜帶系統能力TLV，當所述第一 LLDP報文中攜帶系統能力TLV時，則根據所述系統能力TLV，確定所述直連設備的設備類型； 相應地，所述發送模塊，還用於當所述第一 LLDP報文中未攜帶系統能力TLV時，則向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括全部類型的TLV。
16.根據權利要求10所述的裝置，其特徵在於，所述發送模塊用於， 當所述直連設備為中繼器時，向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV只包括最低安全級別TLV ； 當所述直連設備為網橋或者路由器時，向所述直連設備發送第二 LLDP報文，且所述第二 LLDP報文中的TLV包括全部類型的TLV ； 當所述直連設備為網際網路協議電話時，向所述直連設備發送第二 LLDP報文，且所述第二LLDP報文中的TLV包括最低安全級別TLV、埠描述TLV、系統名稱TLV、系統描述TLV、系統能力TLV、埠虛擬區域網標識TLV以及設備供電能力TLV。
17.根據權利要求10-16任一項所述的裝置，其特徵在於，所述裝置還包括: 加密模塊，用於採用可逆算法對所述第二 LLDP報文中的TLV進行加密。
18.根據權利要求 10-16任一項所述的裝置，其特徵在於，所述裝置還包括: 管理模塊，用於當所述網絡設備的一個埠上連接的直連設備的數目達到上限，且所述埠上新接入的直連設備的安全級別為安全時，刪除連接在所述埠上的至少一個安全級別為非安全的直連設備。
全文摘要
本發明公開了一種鏈路發現方法和裝置，屬於網絡管理技術領域。所述方法包括當網絡設備接收到的直連設備發送的第一鏈路層發現協議LLDP報文時，根據認證類型-長度-值TLV，確定直連設備的安全級別；若直連設備的安全級別為安全，確定直連設備的設備類型，根據直連設備的設備類型與TLV的對應關係，向直連設備發送第二LLDP報文。本發明通過確定直連設備的安全級別，並當直連設備的安全級別為安全時，確定該直連設備的設備類型，根據設備類型選擇相應的TLV進行發送，避免了現有技術中每次都將所有類型的TLV發送給直連設備，減小了設備信息洩漏的可能，保證了發送的LLDP報文更加合理，同時節省鏈路開銷。
文檔編號H04L12/24GK103236941SQ201310115610
公開日2013年8月7日 申請日期2013年4月3日 優先權日2013年4月3日
發明者王鋮, 子康 申請人:華為技術有限公司