一种IPv6地址回收禁用装置的制造方法
【技术领域】
[0001]本实用新型涉及一种IP地址接入技术,特别是涉及一种IPv6地址回收禁用装置,属于IP网络技术领域。
【背景技术】
[0002]1、IPv6地址的后64位是接口 ID,接口 ID的容量空间的大小为2~64。这使得在某些场景中,IPv6接口 ID可以永久的绑定使用者的身份。而不同的身份具有不同的权限,于是出于安全方面的考虑,对于废弃的IPv6接口需要进行回收禁用,以防止他人的冒用。由于接口 ID容量的巨大冗余性,对于回收的接口 ID可以直接禁止使用,而不用考虑再次分配,以减少IP地址管理的复杂度。
[0003]2、现有的IPv6地址接入技术分为自动配置和手动配置两大类。
[0004]对于自动配置分为两种:无状态自动配置[RFC 4862]和使用DHCPv6 [RFC 3315]。
[0005]I)无状态自动配置过程说明如下:
[0006]主机的接口第一次接入链路产生一个本地链路试验地址,本地链路试验地址前64位使用本地链路地址的固定前缀FE80::/64,后64位为接口 ID,使用EU1-64算法[RFC4291]通过MAC地址自动生成。
[0007]然后进行重复地址检测(DAD:Duplicate Address Detect1n),来确定本地链路试验地址在本地链路中是否是唯一的。接口加入本地链路全部节点组播地址(FF02::1)和试验地址的本地链路被请求节点组播地址(FF02::1: FFOO:0000/104+接口 ID的后24位,将发送给本地链路中所有具有相同后24位的IPv6地址),接口以全零地址为源地址,向被请求节点组播地址发送邻居请求消息。如果该试验地址已被链路上的一个节点使用,那么接收到邻居请求消息的节点将会向全部节点组播地址发送一个邻居公告消息。接收到邻居公告消息,表示自动配置的试验地址不可用,自动配置地址失败,须改为手动配置。如果没有收到邻居公告消息说明该试验地址可以配置给接口,主机接口已经能在链路内进行通信。
[0008]最后是获取全球地址的前缀。IPv6的全球单播地址由前缀加上接口 ID组成,前面已由EU1-64算法生成了 64位的接口 ID,并通过重复地址检查确定了接口 ID的唯一性,剩下的前缀由路由器公告消息的前缀信息选项中获得。
[0009]2) DHCPv6是一个用来配置工作在IPv6网络上的IPv6主机所需的IP地址、IP前缀和/或其他配置的网络协议。接入网络的主机通过与网络中的DHCPv6服务器交互,来获取IPv6地址。
[0010]3)手动配置就是在主机的接口上通过人工来配置一个固定的IPv6地址。
[0011]然而无论是通过DHCPv6还是手动配置获取的IPv6地址,都需要进行重复地址检测(DAD),如果DAD不能通过,都需要重新配置IPv6地址,否则主机将无法正常接入网络。
[0012]3.对于单个IPv6地址的禁用,目前已有的技术有:
[0013]I)在作为接入网关的路由器或交换机处,使用ACL (访问控制列表,AccessControl List),来拒绝特定的IPv6地址的访问。ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL是提供网络安全访问的基本手段。ACL可以允许主机A访问某个网络,而拒绝主机B访问。
[0014]2)在服务器端使用防火墙的过滤规则来禁止特定的IPv6地址接入。网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。
[0015]4.现有技术存在的问题:
[0016]I)在一个局域网中禁用一个IPv6地址,需要对局域网中的所有网关和服务器逐一进行配置,工作量大,工作复杂度高。
[0017]2)对于具有多个局域网的网络来说,需要在每一个局域网内对每一个网关和服务器都进行配置,工作量巨大。
【发明内容】
[0018]针对上述问题及不足,本实用新型的目的是提供了一种IPv6地址回收禁用装置,其结构简单合理,解决了网络系统中以现有方式禁用特定IPv6地址的工作量大,工作复杂度高的难题,有效的提高了网络系统的工作效率。
[0019]本实用新型的目的是通过以下技术方案实现的:一种IPv6地址回收禁用装置,包括DAD报文监测设备,IPv6地址回收服务器,其结构如下:各接入设备与相应的局域网的接入网关相连接通信,接入网关与DAD报文监测设备相连接通信,各局域网分别与骨干网相连接,骨干网中的IPv6地址回收服务器分别与各局域网的DAD报文监测设备相连接通信。
[0020]所述的接入设备采用IPv6地址,该IPv6地址的后64位是接口 ID。
[0021]所述的DAD报文监测设备为具有路由功能的服务器。
[0022]由于采用上述方法和装置,使得本实用新型与现有技术相比具有下列优点效果:
[0023]本实用新型采用了统一的骨干网络服务器,所有局域网的监测设备都向它上报接入的IPv6地址的接口 ID,实现了全网内的统一监控,克服了 DAD只能管理本地地址的问题,同时统一的在骨干网络服务器上设置禁用接口 ID名单,避免了在每个局域网的逐一设置。解决了网络系统中以现有方式禁用特定IPv6地址的工作量大,工作复杂度高的难题,使得网络系统的工作效率大大提高,实现了增量式部署,保持了现有网络协议的兼容性。
【附图说明】
[0024]图1为本实用新型的结构示意图。
[0025]图中:接入设备I,接入网关2,局域网3,DAD报文监测设备4,骨干网5,IPv6地址回收服务器6。
【具体实施方式】
[0026]下面结合具体实施例对本实用新型进行进一步详细说明,但本实用新型的保护范围不受具体的实施例所限制,以权利要求书为准。另外,以不违背本实用新型技术方案的前提下,对本实用新型所作的本领域普通技术人员容易实现的任何改动或改变都将落入本实用新型的权利要求范围之内。
[0027]实施例1
[0028]如图1所示,一种IPv6地址回收禁用装置,其结构如下:各接入设备I与相应的局域网的接入网关2相连接通信,接入网关2与DAD报文监测设备4相连接通信,各局域网3分别与骨干网5相连接,骨干网5中的IPv6地址回收服务器6分别与各局域网的DAD报文监测设备4相连接通信。
[0029]所述的接入设备I采用IPv6地址,该IPv6地址的后64位是接口 ID。
[0030]所述的DAD报文监测设备4为具有路由功能的服务器。
[0031]本实用新型具体使用时:
[0032]先在IPv6地址回收服务器内由网络管理员录入了 IPv6禁用接口 ID的名单,DAD报文监测设备4在局域网3中监测到接入设备I发出的DAD报文后,将DAD报文中需要进行重复地址检测的接口 ID发送给骨干网5中的IPv6地址回收服务器6 ;骨干网中的IPv6地址回收服务器6将接收到的接口 ID与预先存储在IPv6地址回收服务器内的IPv6禁用接口 ID名单记录相比对,然后将比对结果返回发送给DAD报文监测设备4 ;当返回的结果是该接口 ID是未被禁用的,DAD报文监测设备4将不进行任何动作;当返回的结果是该接口ID是已被禁用的,DAD报文监测设备4发送一个邻居公告消息给发送DAD报文的接入设备,则表示检测的IPv6接口 ID发生重复,已被使用;当返回的结果是该接口 ID是已被禁用的,为预防接入设备拒绝更改接口 ID,DAD报文监测设备4发送消息给局域网的接入网关2,使接入网关2拒绝转发接入设备I发出的,源地址中仍然使用已被禁用的接口 ID的IPv6报文。
【主权项】
1.一种IPv6地址回收禁用装置,包括DAD报文监测设备,IPv6地址回收服务器,其特征在于结构如下:各接入设备(I)与相应的局域网的接入网关(2)相连接通信,接入网关(2)与DAD报文监测设备(4)相连接通信,各局域网(3)分别与骨干网(5)相连接,骨干网(5)中的IPv6地址回收服务器(6)分别与各局域网的DAD报文监测设备(4)相连接通信。2.根据权利要求1所述的一种IPv6地址回收禁用装置,其特征在于:所述的接入设备(I)采用IPv6地址,该IPv6地址的后64位是接口 ID。3.根据权利要求1所述的一种IPv6地址回收禁用装置,其特征在于:所述的DAD报文监测设备(4)为具有路由功能的服务器。
【专利摘要】本实用新型涉及一种IP地址接入技术,特别是涉及一种IPv6地址回收禁用装置,属于IP网络技术领域。包括DAD报文监测设备,IPv6地址回收服务器,其结构如下:各接入设备与相应的局域网的接入网关相连接通信,接入网关与DAD报文监测设备相连接通信,各局域网分别与骨干网相连接,骨干网中的IPv6地址回收服务器分别与各局域网的DAD报文监测设备相连接通信。本实用新型解决了网络系统中以现有方式禁用特定IPv6地址的工作量大,工作复杂度高的难题,使得网络系统的工作效率大大提高,实现了增量式部署,保持了现有网络协议的兼容性。
【IPC分类】H04L29/12
【公开号】CN204615859
【申请号】CN201520354676
【发明人】张勇, 赵毅, 赵宏昊, 孟凡博, 林忠秋, 林函楚, 冯志强, 袁兆刚, 陈晓蕾, 刘杨
【申请人】国网辽宁省电力有限公司丹东供电公司, 国网辽宁省电力有限公司, 国家电网公司
【公开日】2015年9月2日
【申请日】2015年5月28日