地址解析协议表项学习方法、装置及网络设备的制造方法
【技术领域】
[0001]本发明实施例涉及通信技术,尤其涉及一种地址解析协议表项学习方法、装置及网络设备。
【背景技术】
[0002]目前,在以太网中使用因特网协议(Internet Protocol, IP)时,发送端需要进行地址解析协议(Address Resolut1n Protocol, ARP)表项学习,即发送端需要根据接收端的IP地址映射得到接收端的介质访问控制(Media Access Control, MAC)地址,然后将IP数据报文封装成帧进行发送。其中,IP地址与MAC地址的对应关系称之为ARP表项。
[0003]现有技术中,ARP表项学习有非严格学习或非严格学习两种方式。非严格学习方式中,发送端将自身的ARP表项与接收端的IP地址携带在ARP请求中广播发送给其他网络设备,使得其他网络设备学习到发送端的ARP表项,并判断IP地址与自身的IP地址是否匹配,若是,则单播发送携带接收端ARP表项的ARP应答;否则,丢弃ARP请求。该过程中,网络设备以广播方式发送ARP请求,使得其他网络设备不断的学习到ARP表项并存储在ARP表,ARP表中存储静态设置的关键ARP表项与动态学习到的ARP表项。严格学习方式中,各网络设备仅学习与自身发送的ARP请求对应的ARP应答中的ARP表项,而不学习其他网络设备发送的ARP请求或ARP应答中的ARP表项。然而,复杂网络环境中,当某网络设备接收到大量目的地址为本网络设备的ARP应答攻击报文时候,或大量攻击IP报文需要通过该网络设备进行三层转发时,该网络设备主动发送大量ARP请求,导致该网络设备学习到大量不必要的ARP表项。
[0004]然而,由于每个网络设备的ARP表能存储的ARP表项的数量是有限的,当存储的ARP表项数量达到ARP表所能支持的最大规格时发生ARP表项资源耗尽,后续将无法学习到的ARP表项,引发数据发送的中断,无法保证业务质量。
【发明内容】
[0005]本发明提供一种地址解析协议表项学习方法、装置及网络设备,通过限制ARP表项的学习范围防止ARP表项资源耗尽,从而对业务质量进行保证。
[0006]第一个方面,本发明实施例提供一种地址解析协议表项学习方法,包括:
[0007]判断地址解析协议ARP报文中携带的因特网协议IP地址是否存储在白名单列表,所述白名单列表中存储有可进行ARP表项学习的IP地址;
[0008]若所述IP地址存储在所述白名单列表中,则对所述IP地址进行ARP表项学习以学习到所述IP表项对应的介质访问控制MAC地址。
[0009]在第一个方面的第一种可能的实现方式中,所述判断地址解析协议ARP报文中携带的因特网协议IP地址是否存储在白名单列表之前,还包括:
[0010]配置所述白名单列表。
[0011 ] 结合第一个方面的第一种可能的实现方式,在第一个方面的第二种可能的实现方式中,所述配置所述白名单列表包括:
[0012]确定可进行ARP表项学习的IP地址和/或IP网段;
[0013]存储所述IP地址和/或IP网段以得到所述白名单列表。
[0014]结合第一个方面的第一种可能的实现方式,在第一个方面的第三种可能的实现方式中,所述配置所述白名单列表包括:
[0015]确定网络设备的路由表中所有下一跳IP地址;
[0016]存储所述所有下一跳IP地址以得到所述白名单列表。
[0017]结合第一个方面的第一种可能的实现方式,在第一个方面的第四种可能的实现方式中,所述配置所述白名单列表包括:
[0018]当网络设备作为三层转发的转发设备时,若所述网络设备具有静态的IP地址,则存储所述静态的IP地址以得到所述白名单列表;和/或,
[0019]当网络设备作为三层转发的转发设备时,若所述网络设备的IP地址动态变化,则监听所述网络设备的IP地址,存储监听到的IP地址以得到所述白名单列表。
[0020]结合第一个方面、第一个方面的第一种至第四种中任一种可能的实现方式,在第一个方面的第五种可能的实现方式中,该方法还包括:
[0021]若所述IP地址未存储在所述白名单列表中,则禁止对所述IP地址进行ARP表项学习;或者,
[0022]若所述IP地址未存储在所述白名单列表中,则对所述IP地址进行非严格学习或严格学习方式的ARP表项学习。
[0023]第二个方面,本发明实施例提供一种地址解析协议表项学习装置,包括:
[0024]判断模块,用于判断地址解析协议ARP报文中携带的因特网协议IP地址是否存储在白名单列表,所述白名单列表中存储有可进行ARP表项学习的IP地址;
[0025]学习模块,用于若所述判断模块判断出所述IP地址存储在所述白名单列表中,则对所述IP地址进行ARP表项学习以学习到所述IP表项对应的介质访问控制MAC地址。
[0026]在第二个方面的第一种可能的实现方式中,所述装置还包括:
[0027]配置模块,用于在所述判断模块判断地址解析协议ARP报文中携带的因特网协议IP地址是否存储在白名单列表之前,配置所述白名单列表。
[0028]结合第二个方面的第一种可能的实现方式,在第二个方面的第二种可能的实现方式中,所述配置模块,包括:
[0029]确定单元,用于确定可进行ARP表项学习的IP地址和/或IP网段;
[0030]存储单元,用于存储所述确定单元确定的所述IP地址和/或IP网段以得到所述白名单列表。
[0031]结合第二个方面的第一种可能的实现方式,在第二个方面的第三种可能的实现方式中,所述配置模块,包括:
[0032]确定单元,用于确定网络设备的路由表中所有下一跳IP地址;
[0033]存储单元,用于存储所述确定单元确定的所述所有下一跳IP地址以得到所述白名单列表。
[0034]结合第二个方面的第一种可能的实现方式,在第二个方面的第四种可能的实现方式中,所述配置模块,包括:存储单元和/或监听单元与存储单元;
[0035]所述存储单元,用于当网络设备作为三层转发的转发设备时,若所述网络设备具有静态的IP地址,则存储所述静态的IP地址以得到所述白名单列表;和/或,
[0036]所述监听单元,用于当网络设备作为三层转发的转发设备时,若所述网络设备的IP地址动态变化,则监听所述网络设备的IP地址,所述存储单元,用于存储所述监听单元监听到的IP地址以得到所述白名单列表。
[0037]结合第二个方面、第二个方面的第一种至第四种中任一种可能的实现方式,在第二个方面的第五种可能的实现方式中,所述装置还包括:
[0038]禁止模块,用于若所述判断模块判断出所述IP地址未存储在所述白名单列表中,则禁止对所述IP地址进行ARP表项学习;或者,
[0039]所述学习模块,用于若所述判断模块判断出所述IP地址未存储在所述白名单列表中,则对所述IP地址进行非严格学习或严格学习方式的ARP表项学习。
[0040]第三个方面,本发明实施例提供一种网络设备,其包括如第二个方面、第二个方面的第一种至第五种中任一种ARP表项学习装置。
[0041]本发明实施例提供的地址解析协议表项学习方法、装置及网络设备,通过判断ARP报文中携带的IP地址是否存储在白名单列表中,仅对白名单列表中的IP地址进行ARP表项学习,通过限制ARP表项的学习范围以防止ARP表项资源耗尽,从而对业务质量进行保证。另外,由于IP地址对应的MAC地址不是固定的,当关键ARP表项比较多时,静态配置ARP表项方式严格限制了 IP地址与MAC地址的对应关系。而本实施例中,仅需要指定IP地址,无需指定MAC地址,相较于非严格学习方式中为保证关键ARP能被学习到而静态配置ARP表项的方式,灵活度高。
【附图说明】
[0042]图1为本发明提供的一个ARP表项学习方法实施例的流程图;
[0043]图2为本发明提供的一个ARP表项学习装置的结构示意图;
[0044]图3为本发明另一实施例提供的ARP表项学习装置的结构示意图;
[0045]图4为本发明又一实施例提供的ARP表项