本发明涉及一种IP地址接入技术,特别是涉及一种IPv6地址回收禁用方法及装置,属于IP网络技术领域。
背景技术:
1、IPv6地址的后64位是接口ID,接口ID的容量空间的大小为2^64。这使得在某些场景中,IPv6接口ID可以永久的绑定使用者的身份。而不同的身份具有不同的权限,于是出于安全方面的考虑,对于废弃的IPv6接口需要进行回收禁用,以防止他人的冒用。由于接口ID容量的巨大冗余性,对于回收的接口ID可以直接禁止使用,而不用考虑再次分配,以减少IP地址管理的复杂度。
2、现有的IPv6地址接入技术分为自动配置和手动配置两大类。
对于自动配置分为两种:无状态自动配置[RFC 4862]和使用DHCPv6[RFC 3315]。
1)无状态自动配置过程说明如下:
主机的接口第一次接入链路产生一个本地链路试验地址,本地链路试验地址前64位使用本地链路地址的固定前缀FE80::/64,后64位为接口ID,使用EUI-64算法[RFC 4291]通过MAC地址自动生成。
然后进行重复地址检测(DAD:Duplicate Address Detection),来确定本地链路试验地址在本地链路中是否是唯一的。接口加入本地链路全部节点组播地址(FF02::1)和试验地址的本地链路被请求节点组播地址(FF02::1:FF00:0000/104+接口ID的后24位,将发送给本地链路中所有具有相同后24位的IPv6地址),接口以全零地址为源地址,向被请求节点组播地址发送邻居请求消息。如果该试验地址已被链路上的一个节点使用,那么接收到邻居请求消息的节点将会向全部节点组播地址发送一个邻居公告消息。接收到邻居公告消息,表示自动配置的试验地址不可用,自动配置地址失败,须改为手动配置。如果没有收到邻居公告消息说明该试验地址可以配置给接口,主机接口已经能在链路内进行通信。
最后是获取全球地址的前缀。IPv6的全球单播地址由前缀加上接口ID组成,前面已由EUI-64算法生成了64位的接口ID,并通过重复地址检查确定了接口ID的唯一性,剩下的前缀由路由器公告消息的前缀信息选项中获得。
2)DHCPv6是一个用来配置工作在IPv6网络上的IPv6主机所需的IP地址、IP前缀和/或其他配置的网络协议。接入网络的主机通过与网络中的DHCPv6服务器交互,来获取IPv6地址。
3)手动配置就是在主机的接口上通过人工来配置一个固定的IPv6地址。
然而无论是通过DHCPv6还是手动配置获取的IPv6地址,都需要进行重复地址检测(DAD),如果DAD不能通过,都需要重新配置IPv6地址,否则主机将无法正常接入网络。
3.对于单个IPv6地址的禁用,目前已有的技术有:
1)在作为接入网关的路由器或交换机处,使用ACL(访问控制列表,Access Control List),来拒绝特定的IPv6地址的访问。ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL是提供网络安全访问的基本手段。ACL可以允许主机A访问某个网络,而拒绝主机B访问。
2)在服务器端使用防火墙的过滤规则来禁止特定的IPv6地址接入。网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。
4.现有技术存在的问题:
1)在一个局域网中禁用一个IPv6地址,需要对局域网中的所有网关和服务器逐一进行配置,工作量大,工作复杂度高。
2)对于具有多个局域网的网络来说,需要在每一个局域网内对每一个网关和服务器都进行配置,工作量巨大。
技术实现要素:
针对上述问题及不足,本发明的目的是提供了一种IPv6地址回收禁用方法,使得在网络中实现快捷方便地禁止含有特定接口ID的IPv6地址接入,解决了网络系统中以现有方式禁用特定IPv6地址的工作量大,工作复杂度高的难题。
本发明的另一个目的是提供一种IPv6地址回收禁用装置,其结构简单合理,使得网络系统的工作效率大大提高。
本发明的目的是通过以下技术方案实现的:一种IPv6地址回收禁用方法,包括DAD报文监测设备,IPv6地址回收服务器及在IPv6地址回收服务器内已由网络管理员录入了IPv6禁用接口ID的名单,其步骤如下:
步骤1:DAD报文监测设备在局域网中监测到接入设备发出的DAD报文后,将DAD报文中需要进行重复地址检测的接口ID发送给骨干网中的IPv6地址回收服务器;
步骤2:骨干网中的IPv6地址回收服务器将接收到的接口ID与预先存储在IPv6地址回收服务器内的IPv6禁用接口ID名单记录相比对,然后将比对结果返回发送给DAD报文监测设备;
步骤3:
当步骤2返回的结果是该接口ID是未被禁用的,DAD报文监测设备将不进行任何动作;
当步骤2返回的结果是该接口ID是已被禁用的,DAD报文监测设备发送一个邻居公告消息给步骤1中发送DAD报文的接入设备,则表示检测的IPv6接口ID发生重复,已被使用;
当步骤2返回的结果是该接口ID是已被禁用的,为预防接入设备拒绝更改接口ID,DAD报文监测设备发送消息给局域网的接入网关,使接入网关拒绝转发接入设备发出的,源地址中仍然使用已被禁用的接口ID的IPv6报文。
一种IPv6地址回收禁用装置,包括DAD报文监测设备,IPv6地址回收服务器,其结构如下:各接入设备与相应的局域网的接入网关相连接通信, 接入网关与DAD报文监测设备相连接通信,各局域网分别与骨干网相连接,骨干网中的IPv6地址回收服务器分别与各局域网的DAD报文监测设备相连接通信。
所述的接入设备采用IPv6地址,该IPv6地址的后64位是接口ID。
所述的DAD报文监测设备为具有路由功能的服务器。
由于采用上述方法和装置,使得本发明与现有技术相比具有下列优点效果:
本发明采用了监测DAD报文的方法来管理、禁用IPv6地址,与传统的逐个设置每个网关、服务器的方法相比,极大的减少了工作量和工作的复杂程度。
使用了统一的骨干网络服务器,所有局域网的监测设备都向它上报接入的IPv6地址的接口ID,实现了全网内的统一监控,克服了DAD只能管理本地地址的问题,同时统一的在骨干网络服务器上设置禁用接口ID名单,避免了在每个局域网的逐一设置,解决了网络系统中以现有方式禁用特定IPv6地址的工作量大,工作复杂度高的难题,使得网络系统的工作效率大大提高,实现了增量式部署,保持了现有网络协议的兼容性。
附图说明
图1为本发明的结构示意图。
图中:接入设备1,接入网关2,局域网3,DAD报文监测设备4,骨干网5,IPv6地址回收服务器6。
具体实施方式
下面结合具体实施例对本发明进行进一步详细说明,但本发明的保护范围不受具体的实施例所限制,以权利要求书为准。另外,以不违背本发明技术方案的前提下,对本发明所作的本领域普通技术人员容易实现的任何改动或改变都将落入本发明的权利要求范围之内。
实施例1
如图1所示,一种IPv6地址回收禁用方法,包括DAD报文监测设备,IPv6地址回收服务器及在IPv6地址回收服务器内已由网络管理员录入了IPv6禁用接口ID的名单,其步骤如下:
步骤1:DAD报文监测设备在局域网中监测到接入设备发出的DAD报文后,将DAD报文中需要进行重复地址检测的接口ID发送给骨干网中的IPv6地址回收服务器;
步骤2:骨干网中的IPv6地址回收服务器将接收到的接口ID与预先存储在IPv6地址回收服务器内的IPv6禁用接口ID名单记录相比对,然后将比对结果返回发送给DAD报文监测设备;
步骤3:
当步骤2返回的结果是该接口ID是未被禁用的,DAD报文监测设备将不进行任何动作;
当步骤2返回的结果是该接口ID是已被禁用的,DAD报文监测设备发送一个邻居公告消息给步骤1中发送DAD报文的接入设备,则表示检测的IPv6接口ID发生重复,已被使用;
当步骤2返回的结果是该接口ID是已被禁用的,为预防接入设备拒绝更改接口ID,DAD报文监测设备发送消息给局域网的接入网关,使接入网关拒绝转发接入设备发出的,源地址中仍然使用已被禁用的接口ID的IPv6报文。
一种IPv6地址回收禁用装置,包括DAD报文监测设备,IPv6地址回收服务器,其结构如下:各接入设备1与相应的局域网的接入网关2相连接通信,接入网关2与DAD报文监测设备4相连接通信,各局域网3分别与骨干网5相连接,骨干网5中的IPv6地址回收服务器6分别与各局域网的DAD报文监测设备4相连接通信。
所述的接入设备1采用IPv6地址,该IPv6地址的后64位是接口ID。
所述的DAD报文监测设备4为具有路由功能的服务器。
本发明一种IPv6地址回收禁用方法的工作原理如下:
设在一个网络中需要禁用一个IPv6的64位接口ID:1:2:0:3。则会由网络管理员首先将需要禁用的接口ID:1:2:3:4写入到骨干网中的IPv6地址回收服务器上的禁用接口ID名单中去。
然后在一个子网前缀为2001:0:0:1::/64的局域网中,有一台手动配置了一个非禁用的IPv6地址2001:0:0:1::5的设备开始通过局域网接入网关接入网络。
接入设备加入局域网链路全部节点组播地址FF02::1和试验地址的局域网链路被请求节点组播地址FF02::1:FF00:0:5,然后向局域网链路被请求节点组播地址FF02::1:FF00:0:5发送DAD报文。
1、DAD报文监测设备监听到DAD报文后,将DAD报文中携带的接入设备IPv6地址2001:0:0:1::5中的后64位接口ID0:0:0:5提取出来并发送给IPv6地址回收服务器。
2、骨干网中的IPv6地址回收服务器对接收到的IPv6接口ID0:0:0:5进行鉴别,与预先留存的禁用IPv6接口ID名单进行比对。结果发现没有相匹配的项,说明接入网络的设备使用的不是被禁用的IPv6接口ID。于是,IPv6地址回收服务器将鉴别结果返回给DAD报文监测设备。
3、DAD报文监测设备接收鉴别结果,发现DAD报文中的IPv6地址的接口ID不是被禁用的,于是保持沉默,让接入设备继续正常的接入过程。
接下来,设有一台手动配置了一个禁用的IPv6地址2001:0:0:1:1:2:0:3的设备开始通过局域网的接入网关接入网络。
接入设备,加入局域网链路全部节点组播地址FF02::1和试验地址的局域网链路被请求节点组播地址FF02::1:FF00:0:3,然后向局域网链路被请求节点组播地址FF02::1:FF00:0:3发送DAD报文。
1、DAD报文监测设备监听到DAD报文后,将DAD报文中携带的接入设备IPv6地址2001:0:0:1:1:2:0:3中的后64位接口ID1:2:0:3提取出来并发送给IPv6地址回收服务器。
2、骨干网中的IPv6地址回收服务器对接收到的IPv6接口ID1:2:0:3进行鉴别,与预先留存的禁用IPv6接口ID名单进行比对。结果发现存在相匹配的项,说明接入网络的设备使用的是被禁用的IPv6接口ID。于是,IPv6地址回收服务器将鉴别结果返回给DAD报文监测设备。
3、DAD报文监测设备接收鉴别结果,发现DAD报文中的IPv6地址的接口ID是被禁用的,于是局域网链路全部节点组播地址FF02::1发送一个邻居公告消息,告知接入设备出现地址重复。DAD报文监测设备向局域网的接入网关设备发送通知,禁止转发源地址为2001:0:0:1:1:2:0:3的IPv6报文。
4、接入设备在局域网链路全部节点组播地址FF02::1接收到邻居公告消息,得知地址发生重复后,应重新手动修改想要使用IPv6地址接口ID,并再次进行重复地址检测。如果接入主机拒绝修改将不能正常接入网络。