[发明专利]一种主动防止路由器公告报文欺骗的装置和方法

权利要求书

1.一种主动防止路由器公告报文欺骗的方法，其特征在于，所述方法包括：

根据路由器配置合法的路由器公告报文特征在交换机上，然后发送由设置在每一个交换机端口的间隔检测定时器触发的路由器请求报文；

所述交换机接收由所述路由器请求报文触发而来的所述路由器的公告报文，然后解析所述公告报文；

根据所述解析处理结果匹配所述路由器合法公告特征，所述交换机根据匹配结果判断所述路由器公告报文是否合法，若合法，丢掉所述路由器公告报文，不做处理；若不合法，采取预定防护措施禁止非法IPv6节点接入网络。

2.根据权利要求1所述的一种主动防止路由器公告报文欺骗的方法，其特征在于，所述根据路由器配置合法的路由器公告报文特征在交换机上，进一步包括：

在交换机上配置满足合法路由器公告的特征，所述合法路由器公告的特征指管理员搭建的路由器公告具有的特征，采用的是上联路由器的端口、所属虚拟局域网号和路由器的IPv6本地链路地址或MAC地址；同时发送路由器公告报文重定向至交换机CPU的规则，而在所述匹配规则中所述路由器公告报文的特征为：以太首部第17，18字节，即以太类型为0x86dd；ipv6首部第6字节，即下一包头为58；ipv6首部第41字节，即icmpv6类型为134。

3.根据权利要求1所述的一种主动防止路由器公告报文欺骗的方法，其特征在于，根据主机配置合法的路由器公告报文特征在交换机上，进一步包括还有，所述交换机的交换芯片收到所述路由器公告报文后，不执行硬件转发行为，而是将所述路由器公告报文重定向至所述交换机的CPU，由CPU进行软件的解析和转发。

4.根据权利要求1所述的一种主动防止路由器公告报文欺骗的方法，其特征在于，所述交换机接收由所述路由器请求报文触发而来的所述路由器的公告报文，然后解析所述公告报文，进一步还有记录接收报文的端口，将解析结果跟所述合法路由器公告特征进行匹配。

5.根据权利要求1所述的一种主动防止路由器公告报文欺骗的方法，其特征在于，所述防护措施包括关闭所述侵入端口、发送所述侵入端口的黑洞MAC地址表项和将所述侵入端口设置黑名单，所述交换机将非法端口的所有报文全部丢弃。

6.根据权利要求1所述的一种主动防止路由器公告报文欺骗的方法，其特征在于，所述交换机对公告报文进行判断处理，进一步还有，判断完成后，重设端口的检测定时器，将所述定时器的触发时间设为下一个时间间隔，到下一个时间间隔再次触发，触发后再进行报文发送。

7.一种主动防止路由器公告报文欺骗的装置，其特征在于，该装置包括配置发送模块、解析模块和判断模块；

所述配置发送模块，用于在交换机上配置满足合法路由器公告特征和用于发送由设置在每一个交换机端口的间隔检测定时器触发的路由器请求报文；

所述解析模块，用于所述交换机收到的来自于所述配置发送模块的报文进行解析处理；

所述判断模块，用于根据所述解析处理结果匹配所述路由器合法公告特征，并根据匹配结果判断所述路由器公告报文是否合法，若合法，丢掉所述路由器公告报文，不做处理；若不合法，采取预定防护措施禁止非法IPv6节点接入网络。

8.根据权利要求7所述一种主动防止路由器公告报文欺骗的装置，其特征在于，所述配置发送模块包括：在交换机上配置满足合法路由器公告的特征，所述合法路由器公告的特征指管理员搭建的路由器公告具有的特征，采用的是上联路由器的端口、所属虚拟局域网号和路由器的IPv6本地链路地址或MAC地址；同时发送路由器公告报文重定向至交换机CPU的规则，而在所述匹配规则中所述路由器公告报文的特征为：以太首部第17，18字节，即以太类型为0x86dd；ipv6首部第6字节，即下一包头为58；ipv6首部第41字节，即icmpv6类型为134。

9.根据权利要求7所述一种主动防止路由器公告报文欺骗的装置，其特征在于，所述解析模块进一步包括接收报文模块和解析报文模块；

所述接收报文模块，通过所述交换机端口接收所述路由器公告报文；

所述解析报文模块，将所述接收报文模块接收的报文进行解析，以便进行匹配判断。

10.根据权利要求7所述一种主动防止路由器公告报文欺骗的装置，其特征在于，所述判断模块，进一步的工作过程是如果所述解析结果和所述合法路由器公告特征相匹配，则所述交换机丢弃所述路由器公告报文，不做任何处理；如果所述解析结果和所述合法路由器公告特征不匹配，则所述交换机采取防护措施，禁止非法IPv6节点接入网路；所述的防护措施由管理员在所述交换机设置，所述的防护措施有关闭有侵入的端口，发送所述侵入端口的黑洞MAC地址表项，或将所述侵入端口设置黑名单，所述交换机将非法端口的所有报文全部丢弃。