本发明专利技术提供一种TRILL网络中处理报文的方法,涉及通信领域,能够有效防御网络报文攻击。所述方法包括:接收网络中的设备发送的报文;若确定所述设备为受信任的RB,则放弃对来自于所述设备的所述报文进行安全检查;若确定所述设备不为受信任的RB,则对来自于所述设备的所述报文进行安全检查。本发明专利技术还提供相应的装置。
【技术实现步骤摘要】
【国外来华专利技术】TRILL网络中处理报文的方法和装置
本专利技术涉及通信领域,尤其涉及多链接透明互联(英文:TransparentInterconnectofLotsofLinks,缩写:TRILL)网络中处理报文的方法和装置。
技术介绍
多链接透明互联(英文:TransparentInterconnectofLotsofLinks,缩写:TRILL)网络中的交换机同时具备二层转发功能和三层路由功能,通常称为路由桥(英文:RoutingBridge,缩写:RBridge或RB)。TRILL运行在数据链路层(英文:datalinklayer),即开放式系统互联(英文:OpenSystemInterconnection,缩写:OSI)模型中的第二层,将链路状态路由(英文:link-staterouting)用在数据链路层。一种通常的防御报文攻击的方式为动态主机配置协议窥探(英文:DynamicHostConfigurationProtocolsnooping,缩写:DHCPsnooping)。执行DHCPsnooping的网络设备将网络设备上的一些物理端口预先设置为用于网络侧流量的传输,将另一些物理端口预先设置为用于用户侧的流量的传输。执行DHCPsnooping的网络设备在进行安全检查时,对来自于网络侧的流量不进行安全检查,对来自于用户侧的流量进行安全检查,只允许来自DHCPsnooping绑定表中的网际协议(英文:InternetProtocol,缩写:IP)地址的报文通过。由于网络侧的流量和用户侧的流量是用不同的物理端口进行传输的,而进行攻击的报文一般来自于用户侧的流量,因而,采用此种对用户侧的流量进行安全检查的方式能够一定程度地防御攻击。但是,TRILL网络的拓扑结构可以为环形或网状,在拓扑结构为环形或网状的TRILL网络中,网络设备上的某个物理端口可能既接收到用户侧的流量也接收到网络侧的流量。这种情况下,该网络设备无法基于物理端口对用户侧的流量和网络侧的流量进行区分,因而,无法有效抵御攻击。
技术实现思路
本专利技术提供一种TRILL网络中处理报文的方法和装置,能够有效防御网络报文攻击,提高网络的安全性。第一方面,提供一种TRILL网络中处理报文的方法,所述方法包括:接收网络中的设备发送的报文;若确定所述设备为受信任的RB,则放弃对来自于所述设备的所述报文进行安全检查;若确定所述设备不为受信任的RB,则对来自于所述设备的所述报文进行安全检查。在第一方面的第一种实现方式中,所述确定所述设备为受信任的路由桥包括:确定接收的所述报文是TRILL报文并且该TRILL报文是受信任的路由桥发出的TRILL报文。结合第一方面或第一方面的第一种可能实现方式,在第一方面的第二种可能实现方式中,在所述接收网络中的设备发送的报文之前,所述方法还包括:接收动态主机配置协议应答报文,只有在确定发送所述动态主机配置协议应答报文的设备为受信任的RB的情况下才根据所述动态主机配置协议应答报文建立DHCP-Snooping绑定表项。结合第一方面的第二种可能实现方式,在第一方面的第三种可能实现方式中,所述对来自于所述设备的所述报文进行安全检查包括:根据DHCP-Snooping绑定表,对来自于所述设备的所述报文进行DHCP-Snooping,所述DHCP-Snooping绑定表中包括所述DHCP-Snooping绑定表项。结合第一方面或第一方面的第一种可能实现方式,在第四种可能的实现方式中,在所述接收网络中的设备发送的报文之前,所述方法还包括:接收动态主机配置协议应答报文,根据所述动态主机配置协议应答报文建立动态主机配置协议窥探(DHCP-Snooping)绑定表项。结合第一方面的第四种可能的实现方式,在第五种可能的实现方式中,所述对来自于所述设备的所述报文进行安全检查包括:根据DHCP-Snooping绑定表,对来自于所述设备的所述报文进行DHCP-Snooping,所述DHCP-Snooping绑定表中包括所述DHCP-Snooping绑定表项。第二方面,提供一种TRILL网络中处理报文的装置,所述装置包括:接收单元,用于接收网络中的设备发送的报文;安全检查单元,用于若确定所述设备为受信任的RB,则放弃对来自于所述设备的所述报文进行安全检查;若确定所述设备不为受信任的RB,则对来自于所述设备的所述报文进行安全检查。在第二方面的第一种实现方式中,所述装置还包括确定单元,所述确定单元用于:确定接收的所述报文是TRILL报文并且该TRILL报文是受信任的路由桥发出的TRILL报文。结合第二方面或第二方面的第一种可能实现方式,在第二方面的第二种可能实现方式中,所述装置还包括:绑定表项建立单元,所述接收单元,用于接收动态主机配置协议应答报文;所述绑定表项建立单元,用于只有在确定发送所述动态主机配置协议应答报文的设备为受信任的RB的情况下才根据所述接收单元接收的动态主机配置协议应答报文建立DHCP-Snooping绑定表项。结合第二方面的第二种可能实现方式,在第二方面的第三种可能实现方式中,所述安全检查单元具体用于:根据DHCP-Snooping绑定表,对来自于所述设备的所述报文进行DHCP-Snooping,所述DHCP-Snooping绑定表中包括所述DHCP-Snooping绑定表项。结合第二方面或第二方面的第一种可能实现方式,在第四种可能的实现方式中,所述装置还包括绑定表项建立单元,所述接收单元,用于接收动态主机配置协议应答报文;所述绑定表项建立单元,用于根据所述接收单元接收的动态主机配置协议应答报文建立动态主机配置协议窥探(DHCP-Snooping)绑定表项。结合第二方面的第四种可能的实现方式,在第五种可能的实现方式中,所述安全检查单元具体用于:根据DHCP-Snooping绑定表,对来自于所述设备的所述报文进行DHCP-Snooping,所述DHCP-Snooping绑定表中包括所述DHCP-Snooping绑定表项。第三方面,提供一种RB,所述RB包括处理器,通信接口,存储器和总线;其中,处理器、通信接口、存储器通过总线完成相互间的通信;所述通信接口,用于与外部设备通信;所述存储器,用于存放程序;所述处理器,用于执行所述程序;所述处理器,用于读取所述存储器中的程序,执行:接收网络中的设备发送的报文;若确定所述设备为受信任的RB,则放弃对来自于所述设备的所述报文进行安全检查;若确定所述设备不为受信任的RB,则对来自于所述设备的所述报文进行安全检查。在第三方面的第一种实现方式中,所述处理器还用于执行:确定接收的所述报文是TRILL报文并且该TRILL报文是受信任的路由桥发出的TRILL报文。结合第三方面或第三方面的第一种可能实现方式,在第三方面的第二种可能实现方式中,所述处理器还用于执行:在接收网络中的设备发送的报文之前,接收动态主机配置协议应答报文,只有在确定发送所述动态主机配置协议应答报文的设备为受信任的RB的情况下才根据所述动态主机配置协议应答报文建立DHCP-Snooping绑定表项。结合第三方面的第二种可能实现方式,在第三方面的第三种可能实现方式中,所述处理器还用于执行:根据DHCP-Snooping绑定表,对来自于所述设备的所述本文档来自技高网...
【技术保护点】
PCT国内申请,权利要求书已公开。
【技术特征摘要】
【国外来华专利技术】1.一种多链接透明互联TRILL网络中处理报文的方法,其特征在于,所述方法包括:接收网络中的设备发送的报文;若确定所述设备为受信任的路由桥,则放弃对来自于所述设备的所述报文进行安全检查;若确定所述设备不为受信任的路由桥,则对来自于所述设备的所述报文进行安全检查;在所述接收网络中的设备发送的报文之前,所述方法还包括:接收动态主机配置协议应答报文,只有在确定发送所述动态主机配置协议应答报文的设备为受信任的路由桥的情况下才根据所述动态主机配置协议应答报文建立动态主机配置协议窥探DHCP-Snooping绑定表项。2.如权利要求1所述的方法,其特征在于,所述确定所述设备为受信任的路由桥包括:确定接收的所述报文是TRILL报文并且该TRILL报文是受信任的路由桥发出的TRILL报文。3.如权利要求1所述的方法,其特征在于,所述对来自于所述设备的所述报文进行安全检查包括:根据DHCP-Snooping绑定表,对来自于所述设备的所述报文进行DHCP-Snooping,所述DHCP-Snooping绑定表中包括所述DHCP-Snooping绑定表项。4.如权利要求1或2所述的方法,其特征在于,在所述接收网络中的设备发送的报文之前,所述方法还包括:接收动态主机配置协议应答报文,根据所述动态主机配置协议应答报文建立DHCP-Snooping绑定表项。5.如权利要求4所述的方法,其特征在于,所述对来自于所述设备的所述报文进行安全检查包括:根据DHCP-Snooping绑定表,对来自于所述设备的所述报文进行DHCP-Snooping,所述DHCP-Snooping绑定表中包括所述DHCP-Snooping绑定表项。6.一种多链接透明互联TRILL网络中处理报文的装置,其特征在于,所述装置包括:接收单元,用于接收网络中的设备发送的报文;安全检查单元,用于若确定所述设备为受信任的路由桥,则放弃对来自于所述设备的所述报文进行安全检查;若确定所述设备不为受信任的路由桥,则对来自于所述设备的所述报文进行安全检查;所述装置还包括绑定表项建立单元,所述接收单元,还用于接收动态主机配置协议应答报文;所述绑定表项建立单元,用于只有在确定发送所述动态主机配置协议应答报文的设备为受信任的路由桥的情况下才根据所述接收单元接收的动态主机配置协议应答报文建立动态主机配置协议窥探DHCP-Snooping绑定表项。7.如权利要求6所述的装置,其特征在于,所述装置还包括确定单元,所述确定单元用于:确定接收的所述报文是TRILL报文并且该TRILL报文是受信任的路由桥发出的TRILL报文。8.如权利要求6所述的装置,其特征在于,所述安全检查单元具体用于:根...
【专利技术属性】
技术研发人员:刘树名,谢莹,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。