[发明专利]一种路由器公告安全接入方法、系统及装置

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种路由器公告安全接入方法、系统及装置。

背景技术

IPv6地址无状态地址配置协议是目前广泛采用的IPv6地址自动配置协议，配置了该协议的主机只需要相邻路由器开启IPv6路由公告功能，即可以根据路由器公告报文(Router Advertisement，简称RA)包含的前缀信息自动配置本机地址。IPv6主机节点的即插即用特征是IPv6相对IPv4的一个显著改善，大大方便了终端用户的使用。这个特征实施的前提是路由器发送路由器公告(Router Advertisement，简称RA)消息给主机节点，其中包含了地址前缀，地址生存期，默认路由器地址，路由器生存期等信息，主机节点根据获得的信息生成EUI-64形式的IPv6地址，并设置默认路由器地址。

但目前主机节点接收路由器公告消息并不作身份验证，主机节点把路由器公告中默认路由器地址，路由器生存期和地址生存期等信息进行信息配置。如果有恶意节点发送非法路由器公告消息给合法主机节点，主机节点会把其中默认路由器地址，路由器生存期和地址生存期等信息取代合法路由器公告消息已生效的配置，使网络不可用或把流量导向非法节点，影响网络安全运行。

因此需要一种能够确保路由器公告安全接入IPv6网络的方法、设备或系统，保证路由器公告合法使用。

发明内容

为了确保路由器公告安全接入网络设备或系统，保证路由器公告合法使用，本发明公开一种路由器公告安全接入方法，该方法包括如下步骤：

S1：接入交换机使能路由器公告安全功能，并预先配置信任端口；

S2：接入交换机监听路由器发出的路由器公告报文，由重定向模块将该报文重定向到微处理器(CPU)；

S3：接入交换机根据路由器公告报文(RA)的接收端口信息是否与预先配置的信任端口匹配，判断路由器公告报文的合法性；

S4：如为合法的路由器公告报文，接入交换机转发该报文；如为非法的路由器公告报文，接入交换机丢弃该报文；

S5：IPv6主机根据合法路由器公告报文内容进行信息配置。

进一步地，所述步骤S2中接入交换机监听路由器公告报文，下发路由器公告报文重定向至微处理器(CPU)的规则，接入交换机的收发模块接收到路由器公告报文，将该报文重定向至微处理器(CPU)。

进一步地，所述步骤S3中如果路由器公告报文的接收端口信息匹配任意一个预先配置的信任口，则认为路由器公告报文合法；如果路由器公告报文的接收端口信息与任意一个预先配置的信任口都不匹配，则认为路由器公告报文非法。

进一步地，所述步骤S4中如合法的路由器公告报文为组播报文，接入交换机则从接收端口所在的局域网中，向除该接收端口以外的其他端口转发；如合法的路由器公告报文为单播报文，接入交换机则查询邻居表，从目标主机所连的端口转发出去。

一种路由器公告安全接入系统，所述系统包括IPv6主机、接入交换机和路由器，IPv6主机与接入交换机连接，接入交换机与路由器连接，其中，

所述路由器用于发出路由器公告报文(RA)；

所述接入交换机用于监听路由器公告报文并根据路由器公告报文(RA)的接收端口信息是否与接入交换机上预先配置的信任端口匹配，判断路由器公告报文的合法性，如为合法的路由器公告报文，接入交换机转发该报文；如为非法的路由器公告报文，接入交换机丢弃该报文；

所述IPv6主机根据合法路由器公告报文内容进行信息配置。

进一步地，所述信任端口为接入交换机上连有路由器的二层物理端口或汇聚端口。

进一步地，所述接入交换机包括设置模块、监听模块、收发模块、重定向模块和判断模块，其中，

设置模块用于对接入交换机上信任端口和非信任端口进行配置；

监听模块对路由器发出的路由器公告报文进行监听；

收发模块用于接收路由器公告报文和对合法路由器公告报文进行转发；

重定向模块匹配路由器公告报文重定向的规则，将收发模块接收到的路由器公告报文重定向至微处理器(CPU)；

判断模块根据路由器公告报文(RA)的接收端口信息是否与接入交换机上预先配置的信任端口匹配，判断路由器公告报文的合法性。

进一步地，如合法的路由器公告报文为组播报文，接入交换机则从接收端口所在的局域网中，向除该接收端口以外的其他端口转发；如合法的路由器公告报文为单播报文，接入交换机则查询邻居表，从目标主机所连的端口转发出去。