[发明专利]一种主动防止路由器公告报文欺骗的装置和方法

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种主动防止路由器公告报文欺骗的装置和方法。

背景技术

目前我们使用的第二代互联网IPv4技术，核心技术属于美国。它的最大问题是网络地址资源有限，从理论上讲，编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后，可用的网络地址和主机地址的数目大打折扣，以至目前的IP地址近乎枯竭。其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国截止2010年6月IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。地址不足，严重地制约了中国及其他国家互联网的应用和发展。

一方面是地址资源数量的限制，另一方面是随着电子技术及网络技术的发展，计算机网络将进入人们的日常生活，可能身边的每一样东西都需要连入全球因特网。在这样的环境下，IPv6应运而生。单从数字上来说，IPv6所拥有的地址容量是IPv4的约8×10^28倍，达到2^128个。这不但解决了网络地址资源数量的问题，同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。

但是，如果说IPv4实现的只是人机对话，而IPv6则扩展到任意事物之间的对话，它不仅可以为人类服务，还将服务于众多硬件设备，如家用电器、传感器、远程照相机、汽车等，它将是无时不在，无处不在的深入社会每个角落的真正的宽带网。而且它所带来的经济效益将非常巨大。

IPv6主机节点的即插即用特征是IPv6相对IPv4的一个显著改善，大大方便了终端用户的使用。这个特征实施的前提是路由器发送路由器公告(RouterAdvertisement，简称RA)消息给主机节点，其中包含了地址前缀，地址生存期，默认路由器地址，路由器生存期等信息，主机节点根据获得的信息生成EUI-64形式的IPv6地址，并设置默认路由器地址。但遗憾的是，目前主机节点接收路由器公告消息并不作身份验证，如果有恶意节点发送非法路由器公告消息给合法主机节点，主机节点会把其中默认路由器地址，路由器生存期和地址生存期等信息取代合法路由器公告消息已生效的配置，使网络不能用或把流量导向非法节点，因此现有路由器公告的合法使用在目前IPv6网络设备还不能很好的做到的。

发明内容

为了解决现有技术中IPv6网络设备中路由器公告的合法使用问题，本发明提出一种主动防止路由器公告报文欺骗的装置和方法。

一种主动防止路由器公告报文欺骗的方法，所述方法包括：

根据路由器配置合法的路由器公告报文特征在交换机上，然后发送由设置在每一个交换机端口的间隔检测定时器触发的路由器请求报文；

所述交换机接收由所述路由器请求报文触发而来的所述路由器的公告报文，然后解析所述公告报文；

根据所述解析处理结果匹配所述路由器合法公告特征，所述交换机根据匹配结果判断所述路由器公告报文是否合法，若合法，丢掉所述路由器公告报文，不做处理；若不合法，采取预定防护措施禁止非法IPv6节点接入网络。

优选的，所述根据路由器配置合法的路由器公告报文特征在交换机上，进一步包括：

在交换机上配置满足合法路由器公告的特征，所述合法路由器公告的特征指管理员搭建的路由器公告具有的特征，采用的是上联路由器的端口、所属虚拟局域网号和路由器的IPv6本地链路地址或MAC地址；同时发送路由器公告报文重定向至交换机CPU的规则，而在所述匹配规则中所述路由器公告报文的特征为：以太首部第17，18字节，即以太类型为0x86dd；ipv6首部第6字节，即下一包头(Next Header)为58；ipv6首部第41字节，即icmpv6类型为134。

优选的，根据主机配置合法的路由器公告报文特征在交换机上，进一步包括还有，所述交换机的交换芯片收到所述路由器公告报文后，不执行硬件转发行为，而是将所述路由器公告报文重定向至所述交换机的CPU，由CPU进行软件的解析和转发。

优选的，所述交换机接收由所述路由器请求报文触发而来的所述路由器的公告报文，然后解析所述公告报文，进一步还有记录接收报文的端口，将解析结果跟所述合法路由器公告特征进行匹配。

优选的，所述防护措施包括关闭所述侵入端口、发送所述侵入端口的黑洞MAC地址表项和将所述侵入端口设置黑名单，所述交换机将非法端口的所有报文全部丢弃。

优选的，所述交换机对公告报文进行判断处理，进一步还有，判断完成后，重设端口的检测定时器，将所述定时器的触发时间设为下一个时间间隔，到下一个时间间隔再次触发，触发后再进行报文发送。