一种VRRP报文的处理方法和设备与流程

本发明涉及通信技术领域，尤其涉及一种VRRP报文的处理方法和设备。

背景技术：

如图1所示，为VRRP(Virtual Router Redundancy Protocol，虚拟路由器冗余协议)网络的组网示意图。VRRP功能可以将承担网关功能的多个VRRP路由器加入到VRRP备份组中，形成一台虚拟路由器。其中，这多个VRRP路由器之间可以交互VRRP报文，以通过VRRP选举机制决定哪台VRRP路由器承担转发任务。局域网内的主机只需要将虚拟路由器配置为默认网关。

由于VRRP路由器与主机同处于一个二层网络，因此可能会出现VRRP备份组震荡现象，并引起主机断流。例如，当攻击者通过主机向VRRP路由器发送VRRP报文时，VRRP路由器会认为该主机为VRRP路由器，并将该主机加入到VRRP备份组中，从而出现安全问题，并出现VRRP备份组震荡现象。

技术实现要素：

本发明实施例提供一种虚拟路由器冗余协议VRRP报文的处理方法，该方法应用于包括接入设备和多个VRRP路由器的网络中，所述多个VRRP路由器组成VRRP备份组，所述方法包括以下步骤：

接入设备在收到VRRP报文时，确定接入设备上收到所述VRRP报文的接口的角色类型；

如果角色类型为主机接口，则所述接入设备丢弃所述VRRP报文；

如果角色类型为所述VRRP备份组的路由器接口，则所述接入设备转发所述VRRP报文；

如果角色类型为待验证接口，则所述接入设备利用预先配置的VRRP保护策略判定所述VRRP报文是否为符合规定的VRRP报文；

如果是符合规定的VRRP报文，则所述接入设备转发所述VRRP报文；

如果不是符合规定的VRRP报文，则所述接入设备丢弃所述VRRP报文。

所述接入设备利用预先配置的VRRP保护策略判定所述VRRP报文是否为符合规定的VRRP报文，包括：

当所述VRRP报文的报文头部分中携带的信息符合预先配置的VRRP保护策略时，所述接入设备判定所述VRRP报文是符合规定的VRRP报文；否则，所述接入设备判定所述VRRP报文不是符合规定的VRRP报文；或者，

当所述VRRP报文的报文数据部分中携带的信息符合预先配置的VRRP保护策略时，所述接入设备判定所述VRRP报文是符合规定的VRRP报文；否则，所述接入设备判定所述VRRP报文不是符合规定的VRRP报文；或者，

当所述VRRP报文的报文头部分中携带的信息符合预先配置的VRRP保护策略，且所述VRRP报文的报文数据部分中携带的信息符合预先配置的VRRP保护策略时，所述接入设备判定所述VRRP报文是符合规定的VRRP报文；否则，所述接入设备判定所述VRRP报文不是符合规定的VRRP报文。

所述VRRP保护策略具体包括：VRRP协议保护策略、和/或，指定访问控制列表ACL策略，所述方法进一步包括：

当所述VRRP报文的报文头部分中携带的协议标识为指定第一数值，目的MAC地址为指定MAC地址，目的IP地址为指定IP地址，生存时间TTL为指定第二数值时，所述接入设备确定所述VRRP报文的报文头部分中携带的信息符合VRRP协议保护策略；否则，所述接入设备确定所述VRRP报文的报文头部分中携带的信息不符合VRRP协议保护策略；

当所述VRRP报文的报文头部分中携带的信息符合预先配置的ACL策略时，所述接入设备确定所述VRRP报文的报文头部分中携带的信息符合指定 ACL策略；否则，所述接入设备确定所述VRRP报文的报文头部分中携带的信息不符合指定ACL策略。

所述VRRP保护策略具体包括以下策略之一或者任意组合：版本保护策略、类型保护策略、优先级保护策略、虚IP地址数量保护策略、发送时间间隔保护策略、校验和保护策略、指定虚拟IP地址保护策略、认证类型保护策略，所述方法进一步包括：

当所述VRRP报文的报文数据部分中携带的版本信息与所述VRRP备份组的版本信息相同时，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息符合版本保护策略；否则，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息不符合版本保护策略；

当所述VRRP报文的报文数据部分中携带的报文类型信息与所述VRRP备份组的报文类型信息相同时，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息符合类型保护策略；否则，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息不符合类型保护策略；

当所述VRRP报文的报文数据部分中携带的优先级信息位于指定优先级区间之内时，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息符合优先级保护策略；否则，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息不符合优先级保护策略；其中，所述指定优先级区间具体为所述VRRP备份组的最小优先级到最大优先级；

当所述VRRP报文的报文数据部分中携带的虚IP地址数量与所述VRRP备份组的虚IP地址数量相同时，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息符合虚IP地址数量保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合虚IP地址数量保护策略；

当所述VRRP报文的报文数据部分中携带的通告报文时间间隔与所述VRRP备份组的通告报文时间间隔相同时，所述接入设备确定所述VRRP报 文的报文数据部分中携带的信息符合发送时间间隔保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合发送时间间隔保护策略；

当所述VRRP报文的报文数据部分中携带的校验和正确时，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息符合校验和保护策略；否则，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息不符合校验和保护策略；

当所述VRRP报文的报文数据部分中携带的虚拟IP地址与所述VRRP备份组的虚拟IP地址相同时，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息符合指定虚拟IP地址保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合指定虚拟IP地址保护策略；

当所述VRRP报文的报文数据部分中携带的认证类型与所述VRRP备份组的认证类型相同时，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息符合认证类型保护策略；否则，所述接入设备确定所述VRRP报文的报文数据部分中携带的信息不符合认证类型保护策略。

在所述VRRP报文是符合规定的VRRP报文时，所述接入设备转发所述VRRP报文之后，所述接入设备将所述接入设备上收到所述VRRP报文的接口的角色类型，由所述待验证接口修改为所述VRRP备份组的路由器接口。

本发明实施例提供一种接入设备，应用于包括所述接入设备和多个虚拟路由器冗余协议VRRP路由器网络中，所述多个VRRP路由器组成VRRP备份组，所述接入设备具体包括：

确定模块，用于在接收到VRRP报文时，确定所述接入设备上收到所述VRRP报文的接口的角色类型；

处理模块，用于当所述角色类型为主机接口时，则丢弃所述VRRP报文；当所述角色类型为所述VRRP备份组的路由器接口时，则转发所述VRRP报文；当所述角色类型为待验证接口时，则利用预先配置的VRRP保护策略判 定所述VRRP报文是否为符合规定的VRRP报文；如果是符合规定的VRRP报文，则转发所述VRRP报文；如果不是符合规定的VRRP报文，则丢弃所述VRRP报文。

所述处理模块，具体用于在利用预先配置的VRRP保护策略判定所述VRRP报文是否为符合规定的VRRP报文时，当所述VRRP报文的报文头部分中携带的信息符合预先配置的VRRP保护策略时，则判定所述VRRP报文是符合规定的VRRP报文；否则，判定所述VRRP报文不是符合规定的VRRP报文；或者，当所述VRRP报文的报文数据部分中携带的信息符合预先配置的VRRP保护策略时，则判定所述VRRP报文是符合规定的VRRP报文；否则，判定所述VRRP报文不是符合规定的VRRP报文；或者，当所述VRRP报文的报文头部分中携带的信息符合预先配置的VRRP保护策略，且所述VRRP报文的报文数据部分中携带的信息符合预先配置的VRRP保护策略时，则判定所述VRRP报文是符合规定的VRRP报文；否则，判定所述VRRP报文不是符合规定的VRRP报文。

所述VRRP保护策略具体包括：VRRP协议保护策略、和/或，指定访问控制列表ACL策略；所述处理模块，进一步用于当所述VRRP报文的报文头部分中携带的协议标识为指定第一数值，目的MAC地址为指定MAC地址，目的IP地址为指定IP地址，生存时间TTL为指定第二数值时，确定所述VRRP报文的报文头部分中携带的信息符合VRRP协议保护策略；否则，确定所述VRRP报文的报文头部分中携带的信息不符合VRRP协议保护策略；

当所述VRRP报文的报文头部分中携带的信息符合预先配置的ACL策略时，确定所述VRRP报文的报文头部分中携带的信息符合指定ACL策略；否则，确定所述VRRP报文的报文头部分中携带的信息不符合指定ACL策略。

所述VRRP保护策略具体包括以下策略之一或者任意组合：版本保护策略、类型保护策略、优先级保护策略、虚IP地址数量保护策略、发送时间间 隔保护策略、校验和保护策略、指定虚拟IP地址保护策略、认证类型保护策略；所述处理模块，进一步用于当所述VRRP报文的报文数据部分中携带的版本信息与所述VRRP备份组的版本信息相同时，确定所述VRRP报文的报文数据部分中携带的信息符合版本保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合版本保护策略；当所述VRRP报文的报文数据部分中携带的报文类型信息与所述VRRP备份组的报文类型信息相同时，确定所述VRRP报文的报文数据部分中携带的信息符合类型保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合类型保护策略；

当所述VRRP报文的报文数据部分中携带的优先级信息位于指定优先级区间之内时，确定所述VRRP报文的报文数据部分中携带的信息符合优先级保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合优先级保护策略；其中，所述指定优先级区间具体为所述VRRP备份组的最小优先级到最大优先级；当所述VRRP报文的报文数据部分中携带的虚IP地址数量与所述VRRP备份组的虚IP地址数量相同时，确定所述VRRP报文的报文数据部分中携带的信息符合虚IP地址数量保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合虚IP地址数量保护策略；

当所述VRRP报文的报文数据部分中携带的通告报文时间间隔与所述VRRP备份组的通告报文时间间隔相同时，确定所述VRRP报文的报文数据部分中携带的信息符合发送时间间隔保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合发送时间间隔保护策略；

当所述VRRP报文的报文数据部分中携带的校验和正确时，确定所述VRRP报文的报文数据部分中携带的信息符合校验和保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合校验和保护策略；

当所述VRRP报文的报文数据部分中携带的虚拟IP地址与所述VRRP备份组的虚拟IP地址相同时，确定所述VRRP报文的报文数据部分中携带的信 息符合指定虚拟IP地址保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合指定虚拟IP地址保护策略；当所述VRRP报文的报文数据部分中携带的认证类型与所述VRRP备份组的认证类型相同时，确定所述VRRP报文的报文数据部分中携带的信息符合认证类型保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合认证类型保护策略。

所述确定模块，进一步用于在所述VRRP报文是符合规定的VRRP报文时，在转发所述VRRP报文之后，将所述接入设备上收到所述VRRP报文的接口的角色类型，由所述待验证接口修改为所述VRRP备份组的路由器接口。

基于上述技术方案，本发明实施例中，接入设备在接收到VRRP报文时，通过否判接收该VRRP报文的接口类型及该VRRP报文是否为符合规定的报文确定该VRRP报文丢弃还是转发。因此当攻击者通过主机向VRRP路由器发送VRRP报文时，接入设备在确定接收该VRRP报文的接口为主机接口时，丢弃该VRRP报文，不将该VRRP报文发送给VRRP路由器，从而使得VRRP路由器不会将该主机加入到VRRP备份组中，可以有效防止用户模拟VRRP报文对VRRP路由器进行欺骗，从而避免VRRP备份组的震荡现象，一定程度上避免了错误VRRP报文冲击VRRP路由器，保护二层网络中的VRRP备份组，避免主机断流。

附图说明

图1是VRRP网络的组网示意图；

图2是本发明实施例提供的一种VRRP报文的处理方法流程示意图；

图3是本发明实施例提供的一种接入设备的结构示意图。

具体实施方式

针对现有技术中存在的问题，本发明实施例提供一种VRRP报文的处理方法，如图1所示，该方法应用于包括接入设备和多个VRRP路由器的网络 中，且这多个VRRP路由器组成VRRP备份组。其中，接入设备具体可以包括但不限于与VRRP路由器连接的二层交换机设备。

如图2所示，该VRRP报文的处理方法具体可以包括以下步骤：

步骤201，接入设备在收到VRRP报文时，确定本接入设备上收到该VRRP报文的接口的角色类型。

该角色类型可以为主机接口、或VRRP备份组(即由多个VRRP路由器组成的VRRP备份组)的路由器接口、或待验证接口。如果角色类型为主机接口，执行步骤202；如果角色类型为VRRP备份组的路由器接口，执行步骤203；如果角色类型为待验证接口，执行步骤204。

本发明实施例中，如果用户明确接入设备的某个接口下连接的是主机，则用户向接入设备下发用于将该接口的角色类型设置为主机接口的命令，由接入设备在收到用户下发的用于将接口的角色类型设置为主机接口的命令时，设置该接口的角色类型为主机接口。如果用户明确接入设备的某个接口下连接的是VRRP路由器，则用户向接入设备下发用于将该接口的角色类型设置为VRRP备份组的路由器接口的命令，由接入设备在收到用户下发的用于将接口的角色类型设置为VRRP备份组的路由器接口的命令时，设置该接口的角色类型为VRRP备份组的路由器接口。

基于此，接入设备在收到VRRP报文时，如果收到VRRP报文的接口被设置为主机接口，则接口的角色类型为主机接口；如果收到VRRP报文的接口被设置为VRRP备份组的路由器接口，则接口的角色类型为VRRP备份组的路由器接口；如果收到VRRP报文的接口未被设置为主机接口且未被设置为VRRP备份组的路由器接口，则接口的角色类型为待验证接口。

步骤202，接入设备丢弃本接入设备当前收到的VRRP报文。

步骤203，接入设备转发本接入设备当前收到的VRRP报文。

步骤204，接入设备利用预先配置的VRRP保护策略判定VRRP报文(即 当前收到的VRRP报文)是否为符合规定的VRRP报文。如果是符合规定的VRRP报文，执行步骤205；如果不是符合规定的VRRP报文，执行步骤206。

本发明实施例中，用户可以预先在接入设备的VRRP备份组的VLAN(Virtual Local Area Network，虚拟局域网)下配置VRRP保护策略，且接入设备需要将待验证接口上接收到的所有VRRP报文均重定向到CPU(Central Processing Unit，中央处理器)进行处理。进一步的，接入设备的CPU利用预先配置的VRRP保护策略判定VRRP报文是否为符合规定的VRRP报文。

步骤205，接入设备转发本接入设备当前收到的VRRP报文。

本步骤205之后，接入设备还可以将本接入设备上收到VRRP报文的接口的角色类型，由待验证接口修改为VRRP备份组的路由器接口。

步骤206，接入设备丢弃本接入设备当前收到的VRRP报文。

本发明实施例中，接入设备利用预先配置的VRRP保护策略判定VRRP报文是否为符合规定的VRRP报文的过程，具体可以包括但不限于如下方式：当VRRP报文的报文头部分中携带的信息符合预先配置的VRRP保护策略时，则接入设备判定该VRRP报文是符合规定的VRRP报文；否则，接入设备判定该VRRP报文不是符合规定的VRRP报文。或者，当VRRP报文的报文数据部分中携带的信息符合预先配置的VRRP保护策略时，则接入设备判定该VRRP报文是符合规定的VRRP报文；否则，接入设备判定该VRRP报文不是符合规定的VRRP报文。或者，当VRRP报文的报文头部分中携带的信息符合预先配置的VRRP保护策略，并且VRRP报文的报文数据部分中携带的信息符合预先配置的VRRP保护策略时，则接入设备判定该VRRP报文是符合规定的VRRP报文；否则，接入设备判定该VRRP报文不是符合规定的VRRP报文。

其中，VRRP报文具体可以包括报文头部分和报文数据部分，该报文头部分包括以太头和IP头，该报文数据部分包括VRRP报文的数据载荷。

本发明实施例中，VRRP保护策略具体可以包括但不限于：VRRP协议保护策略、和/或，指定ACL(Access Control List，访问控制列表)策略。

情况一、VRRP保护策略为VRRP协议保护策略。

基于此，当VRRP报文的报文头部分中携带的协议标识为指定第一数值，目的MAC地址为指定MAC地址，目的IP地址为指定IP地址，TTL(Time ToLive，生存时间)为指定第二数值时，接入设备确定VRRP报文的报文头部分中携带的信息符合VRRP协议保护策略；否则，接入设备确定VRRP报文的报文头部分中携带的信息不符合VRRP协议保护策略。其中，该指定第一数值可以为协议号112，该指定MAC地址可以为01-00-5e-00-00-12，该指定IP地址可以为224.0.0.18，该指定第二数值可以为255。

情况二、VRRP保护策略为指定ACL策略。

基于此，当VRRP报文的报文头部分中携带的信息符合预先配置的ACL策略(可以根据实际经验在接入设备上配置ACL策略)时，则接入设备确定VRRP报文的报文头部分中携带的信息符合指定ACL策略；否则，接入设备确定VRRP报文的报文头部分中携带的信息不符合指定ACL策略。

本发明实施例中，指定ACL策略具体可以为指定源MAC(Media Access Control，介质访问控制)地址保护策略、或者指定源IPv6地址保护策略。

当指定ACL策略为指定源MAC地址保护策略时，当VRRP报文的报文头部分中携带的源MAC地址为指定源MAC地址时，接入设备确定VRRP报文的报文头部分中携带的信息符合指定源MAC地址保护策略；否则，接入设备确定VRRP报文的报文头部分中携带的信息不符合指定源MAC地址保护策略。或者，当VRRP报文的报文头部分中携带的源MAC地址为指定源MAC地址时，接入设备确定VRRP报文的报文头部分中携带的信息不符合指定源MAC地址保护策略；否则，接入设备确定VRRP报文的报文头部分中携带的信息符合指定源MAC地址保护策略。指定源MAC地址保护策略可通过匹配 ACL(Access Control List，访问控制列表)规则实现，即通过ACL规则设置指定源MAC地址保护策略。

当指定ACL策略为指定源IPv6地址保护策略时，当VRRP报文的报文头部分中携带的源IPv6地址与VRRP备份组的源IPv6地址在同一网段时，接入设备确定VRRP报文的报文头部分中携带的信息符合指定源IPv6地址保护策略；否则，确定VRRP报文的报文头部分中携带的信息不符合指定源IPv6地址保护策略。其中，指定源IPv6地址保护策略可以通过匹配ACL规则实现，即通过ACL规则设置指定源IPv6地址保护策略。VRRP报文的报文头部分中携带的源IPv6地址与VRRP备份组的源IPv6地址在同一网段是指：VRRP报文的报文头部分中携带的源IPv6地址的IPv6前缀与VRRP备份组的源IPv6地址的IPv6前缀相同。

基于上述情况，当VRRP保护策略包括VRRP协议保护策略、指定ACL策略时，如果VRRP报文的报文头部分中携带的信息符合VRRP协议保护策略、VRRP报文的报文头部分中携带的信息符合指定ACL策略，则接入设备确定VRRP报文的报文头部分中携带的信息符合预先配置的VRRP保护策略，并判定VRRP报文是符合规定的VRRP报文；否则，接入设备判定VRRP报文不是符合规定的VRRP报文。

本发明实施例中，VRRP保护策略具体可以包括但不限于以下保护策略之一或者任意组合：版本(Version)保护策略、类型(Type)保护策略、优先级(Priority)保护策略、虚IP地址数量保护策略、发送时间间隔保护策略、校验和保护策略、指定虚拟IP地址保护策略、认证类型保护策略。

情况三、VRRP保护策略为版本(Version)保护策略。

基于此，当VRRP报文的报文数据部分中携带的版本信息与VRRP备份组的版本信息相同时，接入设备确定VRRP报文的报文数据部分中携带的信息符合版本保护策略；否则，接入设备确定VRRP报文的报文数据部分中携 带的信息不符合版本保护策略。其中，当VRRP报文的Version字段内容与VRRP备份组的Version字段内容相同时，说明VRRP报文的报文数据部分中携带的版本信息与VRRP备份组的版本信息相同；当VRRP报文的Version字段内容与VRRP备份组的Version字段内容不同时，说明VRRP报文的报文数据部分中携带的版本信息与VRRP备份组的版本信息不同。

情况四、VRRP保护策略为类型(Type)保护策略。

基于此，当VRRP报文的报文数据部分中携带的报文类型信息与VRRP备份组的报文类型信息相同时，接入设备确定VRRP报文的报文数据部分中携带的信息符合类型保护策略；否则接入设备确定VRRP报文的报文数据部分中携带的信息不符合类型保护策略。当VRRP报文的Type字段内容与VRRP备份组的Type字段内容相同时，说明VRRP报文的报文数据部分中携带的报文类型信息与VRRP备份组的报文类型信息相同；当VRRP报文的Type字段内容与VRRP备份组的Type字段内容不同时，说明VRRP报文的报文数据部分中携带的报文类型信息与VRRP备份组的报文类型信息不同。

情况五、VRRP保护策略为优先级(Priority)保护策略。

基于此，当VRRP报文的报文数据部分中携带的优先级信息位于指定优先级区间之内时，接入设备确定VRRP报文的报文数据部分中携带的信息符合优先级保护策略；否则，接入设备确定VRRP报文的报文数据部分中携带的信息不符合优先级保护策略；其中，指定优先级区间具体为VRRP备份组的最小优先级到最大优先级。进一步的，考虑到如下情况：当接入设备接收到优先级更高的通告报文时，会发生Master(主)到Backup(备份)的切换；当接入设备接收到优先级为0的VRRP报文时，会使Backup切换为Master，从而引起一段时间的断流。因此，接入设备可以配置指定优先级区间(如VRRP备份组最小优先级和最大优先级之间)；当接收到的VRRP报文的优先级位于指定优先级区间时，确定VRRP报文的报文数据部分中携带的信息符合优先 级保护策略；当接收到的VRRP报文的优先级不位于指定优先级区间时，确定VRRP报文的报文数据部分中携带的信息不符合优先级保护策略，从而丢弃该VRRP报文，并可以有效的避免震荡。

情况六、VRRP保护策略为虚IP地址数量保护策略。

基于此，当VRRP报文的报文数据部分中携带的虚IP地址数量与VRRP备份组的虚IP地址数量相同时，接入设备确定VRRP报文的报文数据部分中携带的信息符合虚IP地址数量保护策略；否则，接入设备确定VRRP报文的报文数据部分中携带的信息不符合虚IP地址数量保护策略。

情况七、VRRP保护策略为发送时间间隔保护策略。

基于此，当VRRP报文的报文数据部分中携带的通告报文时间间隔与VRRP备份组的通告报文时间间隔相同时，接入设备确定VRRP报文的报文数据部分中携带的信息符合发送时间间隔保护策略；否则，接入设备确定VRRP报文的报文数据部分中携带的信息不符合发送时间间隔保护策略。

情况八、VRRP保护策略为校验和保护策略。

基于此，当VRRP报文的报文数据部分中携带的校验和(Checksum)正确时，接入设备确定VRRP报文的报文数据部分中携带的信息符合校验和保护策略；当VRRP报文的报文数据部分中携带的校验和错误时，接入设备确定VRRP报文的报文数据部分中携带的信息不符合校验和保护策略。

情况九、VRRP保护策略为指定虚拟IP地址保护策略。

基于此，当VRRP报文的报文数据部分中携带的虚拟IP地址与VRRP备份组的虚拟IP地址相同时，接入设备确定VRRP报文的报文数据部分中携带的信息符合指定虚拟IP地址保护策略；否则，接入设备确定VRRP报文的报文数据部分中携带的信息不符合指定虚拟IP地址保护策略。

情况十、VRRP保护策略为认证类型保护策略。

基于此，当VRRP报文的报文数据部分中携带的认证类型(如MD5算法、 简单认证等)与VRRP备份组的认证类型相同时，接入设备确定VRRP报文的报文数据部分中携带的信息符合认证类型保护策略；否则，接入设备确定VRRP报文的报文数据部分中携带的信息不符合认证类型保护策略。

基于上述情况，当VRRP保护策略包括版本保护策略、类型保护策略、优先级保护策略、虚IP地址数量保护策略、发送时间间隔保护策略、校验和保护策略、指定虚拟IP地址保护策略、认证类型保护策略时，则：如果VRRP报文的报文数据部分中携带的信息符合版本保护策略，且VRRP报文的报文数据部分中携带的信息符合类型保护策略，且VRRP报文的报文数据部分中携带的信息符合优先级保护策略，且VRRP报文的报文数据部分中携带的信息符合虚IP地址数量保护策略，且VRRP报文的报文数据部分中携带的信息符合发送时间间隔保护策略，且VRRP报文的报文数据部分中携带的信息符合校验和保护策略，且VRRP报文的报文数据部分中携带的信息符合指定虚拟IP地址保护策略，并且VRRP报文的报文数据部分中携带的信息符合认证类型保护策略，则接入设备可以确定VRRP报文的报文数据部分中携带的信息符合预先配置的VRRP保护策略，并判定VRRP报文是符合规定的VRRP报文；否则，接入设备判定VRRP报文不是符合规定的VRRP报文。

本发明实施例中，接入设备在VLAN内的主机接口配置deny(丢弃)策略，使得该VLAN内的所有主机接口在接收到VRRP报文后，将VRRP报文丢弃；在该VLAN内的除主机接口和VRRP备份组的路由器接口之外的所有接口(即所有待验证接口)配置VRRP保护策略，使得该VLAN内的待验证接口都会生效该VRRP保护策略。例如，可以在该VLAN内的待验证接口配置上述情况一到情况十中的VRRP保护策略，该VLAN内的所有待验证接口都会生效该VRRP保护策略，并基于该VRRP保护策略进行处理。需要说明的是，当待验证接口修改为VRRP备份组的路由器接口后，在该接口上的VRRP保护策略自动失效。

基于上述技术方案，本发明实施例中，接入设备在接收到VRRP报文时，通过否判接收该VRRP报文的接口类型及该VRRP报文是否为符合规定的报文确定该VRRP报文丢弃还是转发。因此当攻击者通过主机向VRRP路由器发送VRRP报文时，接入设备在确定接收该VRRP报文的接口为主机接口时，丢弃该VRRP报文，不将该VRRP报文发送给VRRP路由器，从而使得VRRP路由器不会将该主机加入到VRRP备份组中，可以有效防止用户模拟VRRP报文对VRRP路由器进行欺骗，从而避免VRRP备份组的震荡现象，一定程度上避免了错误VRRP报文冲击VRRP路由器，保护二层网络中的VRRP备份组，避免主机断流。

基于与上述方法同样的发明构思，本发明实施例中还提供了一种接入设备，应用于包括所述接入设备和多个虚拟路由器冗余协议VRRP路由器网络中，所述多个VRRP路由器组成VRRP备份组，如图3所示，所述接入设备具体包括：

确定模块11，用于在接收到VRRP报文时，确定所述接入设备上收到所述VRRP报文的接口的角色类型；其中，所述接口的角色类型具体为：主机接口、或者所述VRRP备份组的路由器接口、或者待验证接口；

处理模块12，用于当所述角色类型为主机接口时，则丢弃所述VRRP报文；当所述角色类型为所述VRRP备份组的路由器接口时，则转发所述VRRP报文；当所述角色类型为待验证接口时，则利用预先配置的VRRP保护策略判定所述VRRP报文是否为符合规定的VRRP报文；如果是符合规定的VRRP报文，则转发所述VRRP报文；如果不是符合规定的VRRP报文，则丢弃所述VRRP报文。

所述处理模块12，具体用于在利用预先配置的VRRP保护策略判定所述VRRP报文是否为符合规定的VRRP报文时，当所述VRRP报文的报文头部分中携带的信息符合预先配置的VRRP保护策略时，则判定所述VRRP报文 是符合规定的VRRP报文；否则，判定所述VRRP报文不是符合规定的VRRP报文；或者，当所述VRRP报文的报文数据部分中携带的信息符合预先配置的VRRP保护策略时，则判定所述VRRP报文是符合规定的VRRP报文；否则，判定所述VRRP报文不是符合规定的VRRP报文；或者，当所述VRRP报文的报文头部分中携带的信息符合预先配置的VRRP保护策略，且所述VRRP报文的报文数据部分中携带的信息符合预先配置的VRRP保护策略时，则判定所述VRRP报文是符合规定的VRRP报文；否则，判定所述VRRP报文不是符合规定的VRRP报文。

所述VRRP保护策略具体包括：VRRP协议保护策略、和/或，指定访问控制列表ACL策略；所述处理模块12，进一步用于当所述VRRP报文的报文头部分中携带的协议标识为指定第一数值，目的MAC地址为指定MAC地址，目的IP地址为指定IP地址，生存时间TTL为指定第二数值时，确定所述VRRP报文的报文头部分中携带的信息符合VRRP协议保护策略；否则，确定所述VRRP报文的报文头部分中携带的信息不符合VRRP协议保护策略；

当所述VRRP报文的报文头部分中携带的信息符合预先配置的ACL策略时，确定所述VRRP报文的报文头部分中携带的信息符合指定ACL策略；否则，确定所述VRRP报文的报文头部分中携带的信息不符合指定ACL策略。

所述VRRP保护策略具体包括以下策略之一或者任意组合：版本保护策略、类型保护策略、优先级保护策略、虚IP地址数量保护策略、发送时间间隔保护策略、校验和保护策略、指定虚拟IP地址保护策略、认证类型保护策略；所述处理模块12，进一步用于当所述VRRP报文的报文数据部分中携带的版本信息与所述VRRP备份组的版本信息相同时，确定所述VRRP报文的报文数据部分中携带的信息符合版本保护策略；否则确定所述VRRP报文的报文数据部分中携带的信息不符合版本保护策略；当所述VRRP报文的报文数据部分中携带的报文类型信息与所述VRRP备份组的报文类型信息相同时， 确定所述VRRP报文的报文数据部分中携带的信息符合类型保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合类型保护策略；

当所述VRRP报文的报文数据部分中携带的优先级信息位于指定优先级区间之内时，确定所述VRRP报文的报文数据部分中携带的信息符合优先级保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合优先级保护策略；其中，所述指定优先级区间具体为所述VRRP备份组的最小优先级到最大优先级；当所述VRRP报文的报文数据部分中携带的虚IP地址数量与所述VRRP备份组的虚IP地址数量相同时，确定所述VRRP报文的报文数据部分中携带的信息符合虚IP地址数量保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合虚IP地址数量保护策略；

当所述VRRP报文的报文数据部分中携带的通告报文时间间隔与所述VRRP备份组的通告报文时间间隔相同时，确定所述VRRP报文的报文数据部分中携带的信息符合发送时间间隔保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合发送时间间隔保护策略；

当所述VRRP报文的报文数据部分中携带的校验和正确时，确定所述VRRP报文的报文数据部分中携带的信息符合校验和保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合校验和保护策略；

当所述VRRP报文的报文数据部分中携带的虚拟IP地址与所述VRRP备份组的虚拟IP地址相同时，确定所述VRRP报文的报文数据部分中携带的信息符合指定虚拟IP地址保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合指定虚拟IP地址保护策略；当所述VRRP报文的报文数据部分中携带的认证类型与所述VRRP备份组的认证类型相同时，确定所述VRRP报文的报文数据部分中携带的信息符合认证类型保护策略；否则，确定所述VRRP报文的报文数据部分中携带的信息不符合认证类型保护策略。

所述确定模块11，进一步用于在VRRP报文是符合规定的VRRP报文时， 在转发所述VRRP报文之后，将所述接入设备上收到所述VRRP报文的接口的角色类型，由所述待验证接口修改为所述VRRP备份组的路由器接口。

所述确定模块11，进一步用于在收到用户下发的用于将接口的角色类型设置为主机接口的命令时，设置所述接口的角色类型为主机接口；和/或，在收到用户下发的用于将接口的角色类型设置为所述VRRP备份组的路由器接口的命令时，设置所述接口的角色类型为所述VRRP备份组的路由器接口。

其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。