在交换机侦听IPV6中管理地址验证状态.pdf

摘要
申请专利号：	CN201380006066.5	申请日：	2013.01.18
公开号：	CN104067592A	公开日：	2014.09.24
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20130118\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	思科技术公司
发明人：	帕斯卡·舒伯特; 艾瑞克·李维-阿白哥诺里
地址：	美国加利福尼亚州
优先权：	2012.01.20 US 13/355,032
专利代理机构：	北京东方亿思知识产权代理有限责任公司 11258	代理人：	李晓冬
PDF下载：	PDF下载

内容摘要

在一个实施例中，一种特定设备(例如，交换机)从不可信的非交换机设备接收邻居发现(ND)消息，所述ND消息具有关联的地址，并且在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条目。此外，所述交换机然后代表所述不可信的非交换机设备生成并且转发第一重复地址检测(DAD)消息。响应于从非所有者设备接收到第二DAD消息，所述交换机可以在所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息，否则在所述第二地址未被存储为暂定状态条目时，将所述第二DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告(NA)防御。

权利要求书

1.  一种方法，包括：
从不可信的非交换机设备接收邻居发现(ND)消息，所述ND消息具有相关联的地址；
在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条目；
代表所述不可信的非交换机设备生成并且转发第一重复地址检测(DAD)消息；以及
响应于从非所有者设备接收到第二DAD消息：
当所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息；以及
当所述第二地址未被存储为暂定状态条目时，将所述第二DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告(NA)防御。

2.  如权利要求1中所述的方法，进一步包括：
确定所述ND消息的地址是否已经是处于暂定状态的条目；以及
仅响应于所述地址已经不是处于所述暂定状态的条目而创建所述条目并且转发所述DAD消息。

3.  如权利要求1中所述的方法，进一步包括：
从比当前拥有与所述非DAD消息的地址相对应的特定条目的第二设备更可信的第一设备接收非DAD消息；
将所述当前条目让给所述第一设备；以及
将所述非DAD消息传递给所述第二设备。

4.  如权利要求3中所述的方法，进一步包括：
响应于所述第一设备是交换机，去除所述特定条目；以及
响应于所述第一设备不是交换机，更新所述特定条目以将所述第一设备体现为所述非DAD消息的地址的所有者。

5.  如权利要求1中所述的方法，进一步包括：
从交换机接收另一ND消息；以及
响应于该另一ND消息来自交换机，不创建绑定条目。

6.  如权利要求1中所述的方法，其中，所述临时暂定状态持续800ms。

7.  如权利要求1中所述的方法，其中，转发所述DAD消息包括将所述DAD消息单播到配置成维护条目的数据库的注册表。

8.  如权利要求7中所述的方法，进一步包括：
由所述注册表确定对于所述地址所述注册表是否具有注册的设备；
响应于注册的设备，将所述DAD消息从所述注册表转发到所述注册的交换机；以及
响应于无注册的设备，在所述注册表处丢弃所述DAD消息。

9.  如权利要求1中所述的方法，其中，转发所述DAD消息包括响应于不存在维护条目的数据库的注册表而组播所述DAD消息。

10.  一种装置，包括：
用来在计算机网络中通信的一个或多个网络接口；
耦合到所述网络接口并且适于执行一个或多个进程的处理器；以及
配置成存储可由所述处理器执行的进程的存储器，所述进程当被执行时可操作来：
从不可信的非交换机设备接收邻居发现(ND)消息，所述ND消息具有相关联的地址；
在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条目；
代表所述不可信的非交换机设备生成并且转发第一重复地址检测(DAD)消息；以及
响应于从非所有者设备接收到第二DAD消息：
当所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息；以及
当所述第二地址未被存储为暂定状态条目时，将所述第二 DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告(NA)防御。

11.  如权利要求10中所述的装置，其中，所述进程当被执行时进一步可操作来：
确定所述ND消息的地址是否已经是处于暂定状态的条目；以及
仅响应于所述地址已经不是处于所述暂定状态的条目而创建所述条目并且转发所述DAD消息。

12.  如权利要求10中所述的装置，其中，所述进程当被执行时进一步可操作来：
从比当前拥有与所述非DAD消息的地址相对应的特定条目的第二设备更可信的第一设备接收非DAD消息；
将所述当前条目让给所述第一设备；以及
将所述非DAD消息传递给所述第二设备。

13.  如权利要求12中所述的装置，其中，所述进程当被执行时进一步可操作来：
响应于所述第一设备是交换机而去除所述特定条目；以及
响应于所述第一设备不是交换机而更新所述特定条目以将所述第一设备体现为所述非DAD消息的地址的所有者。

14.  如权利要求10中所述的装置，其中，所述进程当被执行时进一步可操作来：
从交换机接收另一ND消息；以及
响应于该另一ND消息来自交换机，不创建绑定条目。

15.  如权利要求10中所述的装置，其中，所述临时暂定状态持续800ms。

16.  如权利要求10中所述的装置，其中，所述进程当被执行以转发所述DAD消息时，可操作来将所述DAD消息单播到配置成维护条目的数据库的注册表。

17.  如权利要求10中所述的装置，其中，所述进程当被执行以转发所述DAD消息时，可操作来响应于不存在维护条目的数据库的注册表而组播所述DAD消息。

18.  一种具有编码在其上的软件的有形非暂态计算机可读介质，所述软件当被处理器执行时可操作来：
从不可信的非交换机设备接收邻居发现(ND)消息，所述ND消息具有相关联的地址；
在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条目；
代表所述不可信的非交换机设备生成并且转发第一重复地址检测(DAD)消息；以及
响应于从非所有者设备接收到第二DAD消息：
当所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息；以及
当所述第二地址未被存储为暂定状态条目时，将所述第二DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告(NA)防御。

19.  如权利要求18中所述的计算机可读介质，其中，所述软件当被执行时进一步可操作来：
确定所述ND消息的地址是否已经是处于暂定状态的条目；以及
仅响应于所述地址已经不是处于所述暂定状态的条目而创建所述条目并且转发所述DAD消息。

20.  如权利要求18中所述的计算机可读介质，其中，所述软件当被执行时进一步可操作来：
从比当前拥有与所述非DAD消息的地址相对应的特定条目的第二设备更可信的第一设备接收非DAD消息；
将所述当前条目让给所述第一设备；以及
将所述非DAD消息传递给所述第二设备。

说明书

在交换机侦听IPV6中管理地址验证状态
技术领域
本公开一般涉及计算机网络，并且更特别地，涉及互联网协议版本6(IPv6)重复地址检测(DAD)。
背景技术
为了特别是在安全环境中保护网络不受流氓或不受控行为的影响，交换机需要越来越关注IPv6。例如，由IPv6交换机所需要的一个方面在于维护绑定条目，在绑定条目中交换机维护哪一个交换机(例如，哪一个交换机上的哪一个端口)拥有给定IPv6地址的映射。值得注意，这样的管理操作必须与支持侦听(snooping)操作的交换机和不支持侦听操作的交换机相容。
互联网工程任务组(IETF)的源地址验证改进(SAVI)工作组一直在研究维护这样的条目的方法。一般而言，由SAVI所开发的当前方法存在优点和缺点，但是一个特定缺点是缺少针对窃取可以通过重复地址检测(DAD)进程而被“看见”(即，基于观察公共通信流被窃取)的地址的流氓设备的先来先服务(first-come-first-serve)保护。
附图说明
可以结合附图通过参考以下描述更好地理解本文实施例，在附图中同样的附图标记指示同样地或功能上类似的元件，其中：
图1图示示例通信网络；
图2图示示例网络设备/节点；
图3-5图示用于在交换机侦听IPv6中管理地址验证状态的示例简化流程；
图6图示示例信任关系；
图7图示用于在交换机侦听IPv6中管理地址验证状态的另一示例简化流程；
图8-13图示针对在本地端口受信任情况下的示例消息交换时序图；
图14-23图示针对在本地端口不受信任情况下的多路交换操作的示例消息交换时序图；以及
图24-28图示针对基于信任的多路交换流示例的示例消息交换时序图。
具体实施方式
综述
根据本公开的一个或多个实施例，特定设备(例如，交换机)从不可信的非交换机设备接收邻居发现(ND)消息——该ND消息具有相关联的地址——并且在不转发ND消息的情况下创建处于临时暂定状态的该地址的对应的绑定条目。另外，交换机然后代表不可信的非交换机设备生成并且转发第一重复地址检测(DAD)消息。响应于从非所有者设备接收到第二DAD消息，交换机可以在第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃第二DAD消息，否则在第二地址未被存储为暂定状态条目时，将第二DAD消息转发到第二地址的对应的所有者设备以用于邻居通告(NA)防御。
描述
计算机网络是由通信链路所互连的节点和用于在端节点之间传输数据的段的地理上分布的合集，所述端节点诸如个人计算机和工作站，或其它设备，诸如传感器等。存在许多类型的网络，范围从局域网(LAN)到广域网(WAN)。LAN典型地通过位于大体同一物理地点(诸如建筑物或校园)中的专用私有通信链路来连接节点。另一方面，WAN典型地通过长距离通信链路连接地理上分散的节点，所述长距离通信链路诸如常见的载波电话线、光学光路、同步光网络(SONET)、同步数字体系(SDH)链路或电力线通信(PLC)及其它链路。
图1是包括由各种通信方法所互连的节点/设备200的示例计算机网络100的示意框图，节点/设备200例如一个或多个客户端设备(例如，“客户端1”、“客户端2”等)以及一个或多个中间设备/交换机(例如，“交换机1”、“交换机2”等)。例如，链路可以是有线链路或共享介质(例如，无线链路、PLC链路等)，其中某些节点200可以与其它节点200通信(例如，基于物理连接配置)当前操作状态、距离、信号强度定位等)。本领域的技术人员将理解，可以在计算机网络中使用任何数目的节点、设备、链路等，并且本文中所示出的视图是为了简单起见。
可以使用诸如某些已知的有线协议、无线协议(例如，IEEE标准802.15.4、WiFi、等)、PLC协议或在适当情况下其它共享介质协议之类的预定网络通信协议在计算机网络100的节点/设备之间交换数据分组140(例如，在设备/节点之间发送的业务和/或消息)。在这里的上下文中，协议包括定义节点如何彼此交互的一组规则。
图2是示例节点/设备200的示意框图，所述示例节点/设备200可以用于本文中描述的一个或多个实施例，例如作为以上在图1中所示出的节点中的任一个，特别是如在下面所描述的交换机。设备可以包括由系统总线250所互连的一个或多个网络接口210(例如，有线、无线、PLC等)、至少一个处理器220和存储器240，以及电源260(例如，电池组、插件等)。
网络接口210包含用于通过耦合到网络100的链路来传送数据的机械、电气以及信令电路。网络接口可以被配置成使用各种不同的通信协议来发送和/或接收数据。注意，进一步地，节点可以具有两种不同类型的网络连接210，例如，无线和有线/物理连接，并且本文视图仅仅用于说明。并且，虽然与电源260分开地示出网络接口210，但是对于PLC，网络接口210可以通过电源260进行通信，或者可以是电源的整体组件。
存储器240包括可由处理器220和网络接口210寻址用于存储与本文中所描述的实施例相关联的软件程序和数据结构的多个存储单元。处理器220可以包括适合执行软件程序并且操纵数据结构245的必要的元件和逻辑。操作系统242(其各部分典型地驻留在存储器240中并且由处理器执行)尤其通过调用支持在该设备上执行软件进程和/或服务的操作在功能上组织该设备。这些软件进程和/或服务可以包括说明性交换进程/服务244，以及说明性重复地址检测(DAD)进程248。注意，虽然在集中式存储器240中示出了交换进程244和DAD进程248，但是替代实施例中，所述进程中的一个或两者具体操作在网络接口210内。
对于本领域的技术人员而言将显而易见的是，其它处理器和存储器类型(包括各种计算机可读介质)可以被用来存储并且执行和本文中所描述的技术有关的程序指令。并且，虽然说明书说明了各种进程，但是明显地可以设想到，各种进程可以被具体化为配置成依照本文技术(例如，根据类似进程的功能性)进行操作的模块。进一步地，虽然进程已被分开地示出，但是本领域的技术人员将了解，进程可以是在其它进程内的例行程序或模块。
说明性地，本文中所描述的技术可以由硬件、软件和/或固件例如依照交换进程244和/或DAD进程248来执行，所述交换进程244和/或DAD进程248可以每个都可以包含由处理器220执行来进行涉及本文中所描述的技术的功能的计算机可执行指令。例如，交换进程(服务)244和DAD进程248可以包含由处理器220执行来执行由一个或多个交换协议所提供的功能的计算机可执行指令，如由本领域的技术人员将理解的那样。这样的功能可以基于管理转发状态、端口阻止、地址解析等常规协议。根据本文中所描述的一个或多个实施例，因此，交换进程244和DAD进程248(其本身可以是交换进程244的子进程)可以用本文中所描述的功能性加以扩展、修改或者代替。
特别地，如上面所指出的那样，为了特别在安全环境中保护网络不受流氓或不受控行为的影响交换机需要越来越关注IPv6。例如，由IPv6交换机所需要的一个方面在于维护绑定条目，在绑定条目中交换机维护哪一个交换机(例如，哪一个交换机上的哪一个端口)拥有给定IPv6地址的映射。值得注意，这样的管理操作必须与支持侦听操作的交换机和不支持侦听操作的交换机相容。互联网工程任务组(IETF)的源地址验证改进(SAVI)工作组一直在研究维护这样的条目的方法。作为可从IETF得到的草案并且每个都通过引用整体地结合于此的以下参考文献是当前SAVI协议的示例：
-J.Bi等人的“SAVI Solution for DHCP”(DHCP的SAVI方案)<draft-ietf-savi-dhcp-ll>(2011年12月28日版)；
-Erik Nordmark等人的“FCFS SAVI：First-Come First-Serve Source-Address Validation for Locally Assigned IPv6Addresses”(本地分配的IPv6地址的先来先服务源地址验证)<draft-ietf-savi-fcfs>(2011年11月22日版)；
-Jianping Wu等人的“Source Address Validation ImprovementFramework”(源地址验证改进架构)<draft-ietf-savi-framework>(2011年12月27日版)；
-Jun Bi等人的“SAVI for Mixed Address Assignment Methods Scenario”(混合地址分配方法场景的SAVI)<draft-ietf-savi-mix>(2011年10月26日版)；
-Marcelo Bagnulo等人的“SEND-based Source-Address ValidationImplementation”(基于发送的源地址验证实施)<draft-ietf-savi-send>(2011年10月4日版)；以及
-Danny McPherson等人的“SAVI Threat Scope”(SAVI威胁范围)<draft-ietf-savi-threat-scope>(2011年4月11日版)。
此外注意，涉及IPv6的以下请求注解(RFC)文档也通过引用整体地结合：
-RFC4861，T.Narten等人的“Neighbor Discovery for IP version 6(IPv6)”(IPv6邻居发现)(2007年9月版，废弃RFC2461和1970)；以及
-RFC4862，S.Thomson等人的“IPv6Stateless AddressAutoconfiguration”(IPv6无国家地址自动配置)(2007年9月版，废弃RFC2462和1971)。
如上面还指出的那样，由SAVI所开发的当前方法存在优点和缺点，但是一个特定缺点是缺少针对窃取地址(所述地址可以通过重复地址检测(DAD)进程看见)的流氓设备的先来先服务保护。因此，本文技术用于在保护要求保护地址的第一设备的交换机中分发邻居发现(ND)绑定表状态，同时仍然允许基于可配置信任的重载(override)。
操作上，根据本文中所描述的实施例，技术提出了保护给定IPv6地址的第一用户的标准DAD消息的特定使用，这可以一般地参考图3-7来描述，其中图3-5和7图示依照本文中所描述的一个或多个实施例用于在交换机侦听IPv6中管理地址验证状态的示例简化流程(分别为300、400、500以及700)。
特别地，基于在步骤305中开始的流程300，当在步骤310中接收到邻居发现(ND)消息(具有关联的地址)时，可以首先在步骤315中确定该消息是否从“不可信的”非交换机设备抵达(其中可以配置信任级别，如本文中所描述的那样并且如本领域中所理解的那样)。如果消息是来自交换机，则在步骤320中不创建绑定条目；也就是说，不为通过交换机到达的设备创建绑定条目。然而，如果消息是来自不可信的非交换机设备，则在步骤325中，在接收交换机中(例如，在诸如数据结构245之类的绑定条目表中)为该地址创建对应的绑定条目，值得注意，不转发ND消息。依照本文实施例，创建处于临时暂定(TENTATIVE)状态的条目(例如这会传回设备中可能的ND状态，即使设备中的状态会是不同的)。该状态在特定示例实施例中例如可以持续(保持)800ms。如本领域中将理解的那样，并且如可以在下面所描述的那样，其它状态可以包括INCOMPLETE(未完成的)、REACHABLE(可达的)、VERIFY(验证)、DOWN(停机)和STALE(过时)。
不转发ND消息，在步骤330接收交换机的绑定表支持(例如，DAD进程248)代表条目所有者设备生成DAD消息，并且如下所述转发该消息(例如，以轮询其它交换机(多路交换操作))。同样注意，ND消息本身可以被相应地管制(例如，阻止带源或目标链路层地址选项(S/TLLAO)的通告直到DAD被其它(可信)交换机执行为止)。
特别地，本文技术允许被配置成维护条目数据库的集中式或分布式注册表(例如，分布式散列表或“DHT”)。如果在步骤335中没有注册表，则DAD消息在步骤340中被作为传统的组播发送。然而，如果在步骤335中存在这样的注册表，则在步骤345中所生成的DAD消息被单播发送到注册表。注意，注册表可以在步骤350中确定对于该地址它是否具有注册的设备。如果存在注册表并且注册表没有针对来自交换机的单播DAD消息的注册(无注册的设备)，则在步骤355中注册表丢弃DAD消息。然而，如果它具有指向注册的交换机(注册的设备)的条目，则它将DAD消息转发(例如，单播)到该注册的交换机。流程300可以在步骤365结束，并且可以继续到下面的流程400或500的任一个。
例如，图4的流程400可以在步骤405处开始，并且继续到步骤410，在步骤410从所关联的地址(条目)的“所有者”设备(即，“拥有”该地址条目的设备)接收任何新的ND消息。基于在步骤415中确定ND消息的地址是否已经是处于TENTATIVE状态的条目，DAD消息在步骤420仅响应于地址已经不是处于暂定状态的条目而被转发。换句话说，只要条目已经处于TENTATIVE状态就不转发ND消息(也不创建条目)(即，步骤425)。流程400可以在步骤430结束。
如图5的流程500(其可以在步骤505开始)中所示，当在步骤510中从另一(非所有者)设备接收到DAD消息时，可以再次在步骤515中确定与这个接收到的DAD消息相对应的关联的地址/条目是否是已经以TENTATIVE状态存储的地址/条目(即，作为暂定状态条目)。如果它是，则不将DAD消息传递到设备，而是在步骤520中丢弃。然而，当在步骤515中接收到未被存储为暂定状态条目(即，处于TENTATIVE状态)的条目的DAD消息时，那么接收交换机在步骤525中将DAD消息转发到条目所有者(对应的所有者设备)，使得它能够用邻居通告(NA)防御进行自我防御。流程500在步骤530结束。
一般而言，交换机能够被配置为用于侦听的设备角色，并且可以是可信的或不可信的。图6图示依照本文说明性实施例的示例配置的信任关系，其中不同的设备可以与配置的信任级别相关联，如可以由本领域的技术人员所了解的那样(例如，基于配置、网络共享等)。特别地，设备的类型按从最可信设备到最不可信设备的顺序是：可信接入设备(节点)605、可信交换机610、不可信接入设备以及不可信交换机。换句话说，维护条目的交换机被其它交换机视为可信的，可信交换机比可信接入不太可信，但是比不可信接入更可信，所述不可信接入进而比不可信交换机更可信。
根据本文技术，因此，诸如依照图7的流程700还提供了基于信任级别的重载规定。根据可以在步骤705中开始的流程700，在步骤710接收到非DAD消息的交换机在步骤715确定该非DAD消息是否是从更可信方接收到的。如果不是，则在步骤720中维护所对应的地址条目。然而，如果它是更可信方，则在步骤725中交换机将当前条目让给新的所有者，并且在步骤730中用单播将非DAD消息传递给老的所有者，使得它可能取决于状态和实施方式而“清理”其地址。值得注意，在步骤735中响应于更可信方是交换机，即，如果通过交换机看见“获胜者”，则在步骤740中特定条目被简单地去除。相反地，响应于更可信方不是交换机，则在步骤745中条目被更新以将更可信方(获胜设备)反映为非DAD消息的地址的所有者。流程700可以在步骤750结束。
应该注意的是，虽然像上面所描述的那样在流程300-500和700内的某些步骤可以是可选的，但是图3-5和7中所示出的步骤仅仅是示例以用于说明，并且可以视需要而定包括或者排除某些其它步骤。进一步地，虽然示出了步骤的特定的顺序，但是这种排序仅仅是说明性的，并且在不背离本文实施例的范围的情况下可以利用步骤的任何适合的布置。而且，虽然分别对流程300-500和700进行描述，但是来自每个流程的某些步骤可以并入每个其它流程，并且流程并不意在为相互排他的。
可以参考在下面所描述的示例消息交换图更好地理解流程300-500和700的结果。
特别地，根据本文技术，图8-13图示针对在本地端口受信任情况下的示例消息交换时序图。图8示出交换机1从地址为“ADD1”的客户端1(NS DAD)接收第一DAD消息。交换机1创建的对应条目为INCOMPLETE，并且将NS DAD(ADD1)转发到交换机2。客户端1在发送NS DAD时已启动延时定时器，并且在期满时将对应的NA重载消息(ADD1,TLLAO)发送到交换机1。这时，条目变成REACHABLE，并且NA重载(ADD1,TLLAO)被转发到交换机2。
图9图示第一非DAD ND/LLAO消息场景，其中客户端1将ND消息(ADD1,S/TLLAO)发送到交换机1，这时条目可以被创建为REACHABLE。ND消息(ADD1,S/TLLAO)然后可以被转发到交换机2。
另一方面，图10图示第一非DAD ND消息(没有LLAO)。在这个实例中，客户端1将ND消息(ADD1,无S/TLLAO)发送到交换机1，所述交换机1然后创建条目INCOMPLETE，并且将ND消息(ADD1,无S/TLLAO)转发到交换机2。接下来，交换机1将NS DAD消息(ADD1)返回给客户端1，所述客户端1然后可以相应地将NA重载消息(ADD1,TLLAO)返回给交换机1。因此，在交换机1处的条目变成REACHABLE，并且NA重载(ADD1,TLLAO)被转发到交换机2。
图11图示从交换机接收DAD消息，特别在交换机1处从交换机2接收NS DAD(ADD1)。这时，如果对于来自交换机的DAD消息不存在条目，则不创建条目，并且仅任何DAD消息均被转发到其它交换机。交换机2稍后可以发送NA重载消息(ADD1,TLLAO)，并且交换机1尽管仍然没有创建条目，但是将NA重载消息(ADD1,TLLAO)转发到客户端1，因为该消息不是DAD消息。
相反地，图12图示来自交换机的DAD消息的另一接收，但是现在当交换机1接收到NS DAD(ADD1)时，对于客户端1条目已经存在。这时，不更新条目，但是交换机1通过将NS DAD(ADD1)发送到客户端1(所有者)与条目所有者核对。如果客户端1将NA重载(ADD1,TLLAO)返回给交换机1，则条目变成REACHABLE，并且NA重载(ADD1,TLLAO)被转发到交换机2。
图13图示从交换机接收S/T LLAO ND消息，在图13中，如果交换机2将ND消息(ADD1,S/TLLAO)发送回到交换机1(其已经具有ADD1的现有条目)，则消息被丢弃，因为交换机2具有比客户端1更低的信任级别。
具体地根据本文中所描述的新颖技术，图14-23图示针对在本地端口不受信任情况下的多路交换操作的示例消息交换时序图。
在例如图示第一DAD消息的接收的图14中，客户端1将NS DAD(ADD1)发送到交换机1，并且启动延时定时器。在接收时，交换机1为ADD1创建条目TENTATIVE，并且同样启动延时定时器。在这个延迟期间，交换机1可以将NS DAD(ADD1)转发到交换机2。
另一方面，根据本文技术，在图15中，在接收到第一非DAD消息(诸如来自客户端1的ND消息(ADD1))时，交换机1同样创建条目TENTATIVE并且启动延时定时器，但是停止ND消息。然后生成新的NSDAD(ADD1)消息并且将它转发到交换机2。
如图16中所示，交换机1使其“最小DAD TO”(超时)值超时，并且如果和其它交换机的DAD操作是成功的，则ADD1的条目变成INCOMPLETE，直到客户端1发送NA重载(ADD1,TLLAO)消息为止。这时，ADD1的条目变成REACHABLE，其相应中继到交换机2。
然而，如果如图17中所示，客户端1的延迟首先期满，并且接收ND消息(ADD1,无S/TLLAO)同时ADD1在交换机1处仍然是暂定的，则停止消息。最后，ADD1的条目在交换机1的TENTATIVE定时器期满时变成INCOMPLETE。如果INCOMPLETE状态超时，则交换机1将通过将NS DAD(ADD1)发送到客户端1来轮询客户端1。如果客户端1返回NA重载(ADD1,TLLAO)，则在交换机1处ADD1的条目变成REACHABLE。
在图18中示出了在TENTATIVE状态下接收ND/LLAO消息。特别地，当客户端1将ND消息(ADD1,S/TLLAO)发送到交换机1然而ADD1仍然是TENTATIVE时，交换机1丢弃该消息。最后，ADD1的条目从TENTATIVE移动至REACHABLE。当客户端1稍后发送NA重载(ADD1,TLLAO)消息时，这个消息被转发到交换机2，因为ADD1的条目是REACHABLE。
图19图示在条目已经处于TENTATIVE状态时从交换机接收DAD消息的示例。特别地，在客户端1发送NS DAD(ADD1)之后，并且条目由交换机1以TENTATIVE状态创建，像上面所指出的那样转发所对应的NS DAD(ADD1)。如果交换机2将它自己的NS DAD(ADD1)发送到交换机1，根据本文技术，即使交换机2具有较高的信任值然后新的DAD消息指示新的条目创建。因为客户端1不能够自我防御，所以交换机1丢弃该消息。
图20图示在与TENTATIVE条目存在冲突时的场景。例如，在接收到NS DAD(ADD1)并且创建条目TENTATIVE(以及将NS DAD(ADD1)转发到交换机2)之后，如果交换机2发送NA重载(ADD1,TLLAO)(具有较高信任)，则消息是有效的，并且条目被去除。同样地，NA重载(ADD1,TLLAO)被发送到客户端1以更新它自己的条目状态。
更进一步地，图21图示从交换机接收DAD消息的不同示例。特别地，如果交换机1从交换机2接收NS DAD(ADD1)，则当条目已经不存在时，因为DAD消息来自交换机，所以没有条目被创建，并且DAD消息被停止(仅转发到干线(trunk))。当交换机2跟随NA重载(ADD1,TLLAO)时，条目仍然未被创建，但是因为消息不是DAD，所以NA重载(ADD1,TLLAO)被相应转发到客户端1。
如图22中所示，如果在图21中条目已经存在，则该条目仍然未被更新，但是现在交换机1用NS DAD(ADD1)与条目所有者客户端1核对。如果客户端1用NA重载(ADD1,TLLAO)进行响应，则在交换机1处ADD1的条目变成REACHABLE，并且NA重载(ADD1,TLLAO)被转发到交换机2。
最后，图23图示在交换机1处从交换机2接收ND消息(ADD1,S/TLLAO)，其中ADD1的条目已经存在。如果交换机2具有比当前条目更高的信任级别，则消息是有效的，并且条目被去除(因为较高的信任条目来自交换机)。相应地，ND消息(ADD1,S/TLLAO)被转发到客户端1。
此外，图24-28图示用于基于信任的多路交换流示例的示例消息交换时序图。特别地，在图24中(可信设备对无条目)客户端1可以首先将NS DAD(ADD1)发送到交换机1，并且启动其延时定时器，在将NSDAD(ADD1)转发到交换机2之前交换机1创建条目INCOMPLETE。如果交换机2没有ADD1的条目，则它停止该消息(仅转发到干线)。一旦客户端1延迟结束，它就将NA重载(ADD1,TLLAO)消息发送到交换机1，这允许条目变成REACHABLE。这时，交换机2可以相应将NA重载(ADD1,TLLAO)发送到客户端2。
替换地，在图25中(可信设备对不可信设备)，假定当交换机2从交换机1接收到第一NS DAD(ADD1)时，从而假定对于客户端2(对于ADD1)在交换机2上存在条目，交换机2不更新其条目，但是用NSDAD(ADD1)与条目所有者客户端2核对。如果客户端2用NA重载(ADD1,TLLAO)进行响应，则交换机2相应将NA重载(ADD1,TLLAO)转发到交换机1。然而，因为在交换机1处已经存在条目，并且因为客户端1是比交换机2更高的信任级别，所以NA重载被停止。一旦在客户端1处的延迟期满，客户端1就可以发送NA重载(ADD1,TLLAO)，这时在交换机1处的条目变成REACHABLE，并且NA重载(ADD1,TLLAO)传播直到客户端2。
在图26中(可信对可信)，除了现在来自客户端1的NA重载(ADD1,TLLAO)到达交换机2，发生与在图25中相同的流。这时，因为对于客户端2在交换机2处已经存在ADD1的条目，所以值得注意，在比交换机1更好的信任级别下，不基于NA重载消息改变条目。
在图26中，因此能够看到，在交换机1和交换机2之间存在状态不一致。NA消息总是通过干线来传播，但是它们被接收交换机丢弃。在热备份路由器协议(HSRP)操作的情况下，一个交换机将维持错误状态直到超时为止，并且在该交换机上的节点将不被更新。在这个实例中，ND抑制可以使HSRP无效。根据本文说明性实施例，因此，这可以通过在从交换机接收到NA消息时检查条目来改进。
继续图27，图示了不可信设备对无条目，当交换机1从客户端1接收到NS DAD(ADD1)时，它创建条目TENTATIVE，并且将NS DAD(ADD1)转发到交换机2。交换机2没有ADD1的条目，并且停止NSDAD消息，因为它来自交换机(如上所述)。一旦客户端1将NA重载(ADD1,TLLAO)发送到交换机1，在交换机1上的条目就变成 REACHABLE，并且NA重载被传播直到客户端2。然而，在交换机2处，因为交换机不为远程条目保持状态，所以没有状态被创建。
最后，图28图示不可信设备对现有条目，其中现在来自客户端1的NS DAD(ADD1)被交换机2传播直到客户端2以便与条目所有者核对地址(如上所述)。如果客户端2用NA重载(ADD1,TLLAO)响应，则这通过交换机2被转发到交换机1。如果交换机在交换机1处具有比客户端1更高的信任级别，则消息是有效的，并且条目被去除(从交换机)。NA重载(ADD1,TLLAO)然后被转发到客户端1使得客户端1能够相应调整它对于该地址的状态。
应该注意的是，图8-28中所示出的交换仅仅是示例以用于说明，并且可以视情况而定包括或者排除某些其它步骤/交换。而且，虽然以特定顺序示出了图8-28，但是除非明确指出，否则这种排序不意在要求图之间的交换的顺序，并且该排序因此不意在限制本文实施例的范围。
因此，本文中所描述的技术可以在交换机侦听IPv6中管理地址验证状态。特别地，本文技术以保护要求保护地址的第一设备的方式在交换机中分发ND绑定表状态，同时仍然通过可配置信任关系允许一些重载实现。也就是说，本文技术保护网络不受窃取从DAD交换看见的地址的流氓设备的影响，例如，当在第2层(L2)处允许不可信接入时在第3层(L3)处进行保护。
特别地，本文技术与由SAVI所提出的当前机制具有至少一些关键差异。首先，本文技术在可信节点被直接连接(与经由另一交换机通过干线相反)时为它们维护条目。此外，本文技术通过使用DAD来识别何时为交换机中的不可信节点创建条目并且为从节点接收的任何ND消息生成DAD以创建该条目，来建立不同的DAD流。而且，本文技术支持集中式注册处交换机或具有分布式散列表(DHT)的几个交换机以找出哪一个交换机具有给定地址的条目。
在这种最后的情况下，例如，交换机可以将经典的ND流变换成注册处的注册。同样地，接入(例如，客户端-交换机通信)中的经典的(基于组播的)ND能够被变换成另一经典的ND，或者否则变换成交换机结构中的ND注册机制(例如，交换机-交换机通信)，如本文中所描述的那样。值得注意，进一步扩展还可以反过来操作，其中来自客户端的ND注册还可以被变换成交换结构中的模式(即，变换为经典的ND)或ND注册机制。在上面的描述中，例如，来自客户端的DAD可以用ND注册代替。这种注册不会超出第一接收交换机，并且该交换机在注册时的输出可以如上所述，即，根据针对NS DAD操作所描述的流生成的NS DAD。可以在本文中使用的ND注册的示例可以在Thubert的标题为“LoWPAN BackboneRouter”(LoWPAN骨干路由器)<draft-thubert-lowpan-backbone-router>的IETF互联网草案(2007年11月4日版)中找到，所述IETF互联网草案成为Shelby等人的“Neighbor Discovery Optimization for Low Power andLossy Networks(6LoWPAN)”(低功率损耗网络的邻居发现优化)<draft-ietf-61owpan-nd>(2011年10月24日版)，其中的每一个的内容通过引用整体结合于此。
虽然已经示出并且描述了在交换机侦听IPv6中管理地址验证状态的说明性实施例，但是应当理解的是，可以在本文实施例的范围内做出各种其它改编和修改。例如，关于根据当前标准的DAD消息(诸如由SAVI所提出的那些)已经在本文中示出并且描述了实施例。然而，实施例在它们更广泛的意义上不受如此限制，并且可以实际上用于其它适合的标准，所述其它适合的标准包括但不限于利用与IPv6的DAD消息类似的消息的互联网协议的未来版本。
前面的描述一直针对特定实施例。然而，将显而易见的是，可以对所描述的实施例做出其它变化和修改，以达到它们的部分或全部优点。例如，明显地设想到，本文中所描述的组件和/或元件能够被实现为被存储在具有在计算机、硬件、固件或其组合上执行的程序指令的有形(非暂态)计算机可读介质(例如，磁盘/CD/等)上的软件。因此本描述将仅通过示例的方式进行，而不以其它方式限制本文实施例的范围。因此，所附权利要求的目标是涵盖如落入本文实施例的精神和范围内的所有这样的变化和修改。

资源描述

《在交换机侦听IPV6中管理地址验证状态.pdf》由会员分享，可在线阅读，更多相关《在交换机侦听IPV6中管理地址验证状态.pdf（41页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104067592A43申请公布日20140924CN104067592A21申请号201380006066522申请日2013011813/355,03220120120USH04L29/0620060171申请人思科技术公司地址美国加利福尼亚州72发明人帕斯卡舒伯特艾瑞克李维阿白哥诺里74专利代理机构北京东方亿思知识产权代理有限责任公司11258代理人李晓冬54发明名称在交换机侦听IPV6中管理地址验证状态57摘要在一个实施例中，一种特定设备例如，交换机从不可信的非交换机设备接收邻居发现ND消息，所述ND消息具有关联的地址，并且在不转发所述ND消息的情况下创建处于临时暂定。

2、状态的所述地址的对应的绑定条目。此外，所述交换机然后代表所述不可信的非交换机设备生成并且转发第一重复地址检测DAD消息。响应于从非所有者设备接收到第二DAD消息，所述交换机可以在所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息，否则在所述第二地址未被存储为暂定状态条目时，将所述第二DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告NA防御。30优先权数据85PCT国际申请进入国家阶段日2014071886PCT国际申请的申请数据PCT/US2013/0221022013011887PCT国际申请的公布数据WO2013/109855EN2013072551。

3、INTCL权利要求书3页说明书9页附图28页19中华人民共和国国家知识产权局12发明专利申请权利要求书3页说明书9页附图28页10申请公布号CN104067592ACN104067592A1/3页21一种方法，包括从不可信的非交换机设备接收邻居发现ND消息，所述ND消息具有相关联的地址；在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条目；代表所述不可信的非交换机设备生成并且转发第一重复地址检测DAD消息；以及响应于从非所有者设备接收到第二DAD消息当所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息；以及当所述第二地址未被存储为暂定状态条目时。

4、，将所述第二DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告NA防御。2如权利要求1中所述的方法，进一步包括确定所述ND消息的地址是否已经是处于暂定状态的条目；以及仅响应于所述地址已经不是处于所述暂定状态的条目而创建所述条目并且转发所述DAD消息。3如权利要求1中所述的方法，进一步包括从比当前拥有与所述非DAD消息的地址相对应的特定条目的第二设备更可信的第一设备接收非DAD消息；将所述当前条目让给所述第一设备；以及将所述非DAD消息传递给所述第二设备。4如权利要求3中所述的方法，进一步包括响应于所述第一设备是交换机，去除所述特定条目；以及响应于所述第一设备不是交换机，更新所述特定条。

5、目以将所述第一设备体现为所述非DAD消息的地址的所有者。5如权利要求1中所述的方法，进一步包括从交换机接收另一ND消息；以及响应于该另一ND消息来自交换机，不创建绑定条目。6如权利要求1中所述的方法，其中，所述临时暂定状态持续800MS。7如权利要求1中所述的方法，其中，转发所述DAD消息包括将所述DAD消息单播到配置成维护条目的数据库的注册表。8如权利要求7中所述的方法，进一步包括由所述注册表确定对于所述地址所述注册表是否具有注册的设备；响应于注册的设备，将所述DAD消息从所述注册表转发到所述注册的交换机；以及响应于无注册的设备，在所述注册表处丢弃所述DAD消息。9如权利要求1中所述的方法，。

6、其中，转发所述DAD消息包括响应于不存在维护条目的数据库的注册表而组播所述DAD消息。10一种装置，包括用来在计算机网络中通信的一个或多个网络接口；耦合到所述网络接口并且适于执行一个或多个进程的处理器；以及配置成存储可由所述处理器执行的进程的存储器，所述进程当被执行时可操作来权利要求书CN104067592A2/3页3从不可信的非交换机设备接收邻居发现ND消息，所述ND消息具有相关联的地址；在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条目；代表所述不可信的非交换机设备生成并且转发第一重复地址检测DAD消息；以及响应于从非所有者设备接收到第二DAD消息当所述第二DAD消。

7、息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息；以及当所述第二地址未被存储为暂定状态条目时，将所述第二DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告NA防御。11如权利要求10中所述的装置，其中，所述进程当被执行时进一步可操作来确定所述ND消息的地址是否已经是处于暂定状态的条目；以及仅响应于所述地址已经不是处于所述暂定状态的条目而创建所述条目并且转发所述DAD消息。12如权利要求10中所述的装置，其中，所述进程当被执行时进一步可操作来从比当前拥有与所述非DAD消息的地址相对应的特定条目的第二设备更可信的第一设备接收非DAD消息；将所述当前条目让给所述第一设备；以及。

8、将所述非DAD消息传递给所述第二设备。13如权利要求12中所述的装置，其中，所述进程当被执行时进一步可操作来响应于所述第一设备是交换机而去除所述特定条目；以及响应于所述第一设备不是交换机而更新所述特定条目以将所述第一设备体现为所述非DAD消息的地址的所有者。14如权利要求10中所述的装置，其中，所述进程当被执行时进一步可操作来从交换机接收另一ND消息；以及响应于该另一ND消息来自交换机，不创建绑定条目。15如权利要求10中所述的装置，其中，所述临时暂定状态持续800MS。16如权利要求10中所述的装置，其中，所述进程当被执行以转发所述DAD消息时，可操作来将所述DAD消息单播到配置成维护条目的。

9、数据库的注册表。17如权利要求10中所述的装置，其中，所述进程当被执行以转发所述DAD消息时，可操作来响应于不存在维护条目的数据库的注册表而组播所述DAD消息。18一种具有编码在其上的软件的有形非暂态计算机可读介质，所述软件当被处理器执行时可操作来从不可信的非交换机设备接收邻居发现ND消息，所述ND消息具有相关联的地址；在不转发所述ND消息的情况下创建处于临时暂定状态的所述地址的对应的绑定条目；代表所述不可信的非交换机设备生成并且转发第一重复地址检测DAD消息；以及响应于从非所有者设备接收到第二DAD消息当所述第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃所述第二DAD消息；以及权利。

10、要求书CN104067592A3/3页4当所述第二地址未被存储为暂定状态条目时，将所述第二DAD消息转发到所述第二地址的对应的所有者设备以用于邻居通告NA防御。19如权利要求18中所述的计算机可读介质，其中，所述软件当被执行时进一步可操作来确定所述ND消息的地址是否已经是处于暂定状态的条目；以及仅响应于所述地址已经不是处于所述暂定状态的条目而创建所述条目并且转发所述DAD消息。20如权利要求18中所述的计算机可读介质，其中，所述软件当被执行时进一步可操作来从比当前拥有与所述非DAD消息的地址相对应的特定条目的第二设备更可信的第一设备接收非DAD消息；将所述当前条目让给所述第一设备；以及将所述非。

11、DAD消息传递给所述第二设备。权利要求书CN104067592A1/9页5在交换机侦听IPV6中管理地址验证状态技术领域0001本公开一般涉及计算机网络，并且更特别地，涉及互联网协议版本6IPV6重复地址检测DAD。背景技术0002为了特别是在安全环境中保护网络不受流氓或不受控行为的影响，交换机需要越来越关注IPV6。例如，由IPV6交换机所需要的一个方面在于维护绑定条目，在绑定条目中交换机维护哪一个交换机例如，哪一个交换机上的哪一个端口拥有给定IPV6地址的映射。值得注意，这样的管理操作必须与支持侦听SNOOPING操作的交换机和不支持侦听操作的交换机相容。0003互联网工程任务组IETF的。

12、源地址验证改进SAVI工作组一直在研究维护这样的条目的方法。一般而言，由SAVI所开发的当前方法存在优点和缺点，但是一个特定缺点是缺少针对窃取可以通过重复地址检测DAD进程而被“看见”即，基于观察公共通信流被窃取的地址的流氓设备的先来先服务RSTCOMERSTSERVE保护。附图说明0004可以结合附图通过参考以下描述更好地理解本文实施例，在附图中同样的附图标记指示同样地或功能上类似的元件，其中0005图1图示示例通信网络；0006图2图示示例网络设备/节点；0007图35图示用于在交换机侦听IPV6中管理地址验证状态的示例简化流程；0008图6图示示例信任关系；0009图7图示用于在交换机侦。

13、听IPV6中管理地址验证状态的另一示例简化流程；0010图813图示针对在本地端口受信任情况下的示例消息交换时序图；0011图1423图示针对在本地端口不受信任情况下的多路交换操作的示例消息交换时序图；以及0012图2428图示针对基于信任的多路交换流示例的示例消息交换时序图。具体实施方式0013综述0014根据本公开的一个或多个实施例，特定设备例如，交换机从不可信的非交换机设备接收邻居发现ND消息该ND消息具有相关联的地址并且在不转发ND消息的情况下创建处于临时暂定状态的该地址的对应的绑定条目。另外，交换机然后代表不可信的非交换机设备生成并且转发第一重复地址检测DAD消息。响应于从非所有者设。

14、备接收到第二DAD消息，交换机可以在第二DAD消息的对应的第二地址被存储为暂定状态条目时丢弃第二DAD消息，否则在第二地址未被存储为暂定状态条目时，将第二DAD消息转发到说明书CN104067592A2/9页6第二地址的对应的所有者设备以用于邻居通告NA防御。0015描述0016计算机网络是由通信链路所互连的节点和用于在端节点之间传输数据的段的地理上分布的合集，所述端节点诸如个人计算机和工作站，或其它设备，诸如传感器等。存在许多类型的网络，范围从局域网LAN到广域网WAN。LAN典型地通过位于大体同一物理地点诸如建筑物或校园中的专用私有通信链路来连接节点。另一方面，WAN典型地通过长距离通信链。

15、路连接地理上分散的节点，所述长距离通信链路诸如常见的载波电话线、光学光路、同步光网络SONET、同步数字体系SDH链路或电力线通信PLC及其它链路。0017图1是包括由各种通信方法所互连的节点/设备200的示例计算机网络100的示意框图，节点/设备200例如一个或多个客户端设备例如，“客户端1”、“客户端2”等以及一个或多个中间设备/交换机例如，“交换机1”、“交换机2”等。例如，链路可以是有线链路或共享介质例如，无线链路、PLC链路等，其中某些节点200可以与其它节点200通信例如，基于物理连接配置当前操作状态、距离、信号强度定位等。本领域的技术人员将理解，可以在计算机网络中使用任何数目的节。

16、点、设备、链路等，并且本文中所示出的视图是为了简单起见。0018可以使用诸如某些已知的有线协议、无线协议例如，IEEE标准802154、WIFI、等、PLC协议或在适当情况下其它共享介质协议之类的预定网络通信协议在计算机网络100的节点/设备之间交换数据分组140例如，在设备/节点之间发送的业务和/或消息。在这里的上下文中，协议包括定义节点如何彼此交互的一组规则。0019图2是示例节点/设备200的示意框图，所述示例节点/设备200可以用于本文中描述的一个或多个实施例，例如作为以上在图1中所示出的节点中的任一个，特别是如在下面所描述的交换机。设备可以包括由系统总线250所互连的一个或多个网络接。

17、口210例如，有线、无线、PLC等、至少一个处理器220和存储器240，以及电源260例如，电池组、插件等。0020网络接口210包含用于通过耦合到网络100的链路来传送数据的机械、电气以及信令电路。网络接口可以被配置成使用各种不同的通信协议来发送和/或接收数据。注意，进一步地，节点可以具有两种不同类型的网络连接210，例如，无线和有线/物理连接，并且本文视图仅仅用于说明。并且，虽然与电源260分开地示出网络接口210，但是对于PLC，网络接口210可以通过电源260进行通信，或者可以是电源的整体组件。0021存储器240包括可由处理器220和网络接口210寻址用于存储与本文中所描述的实施例相。

18、关联的软件程序和数据结构的多个存储单元。处理器220可以包括适合执行软件程序并且操纵数据结构245的必要的元件和逻辑。操作系统242其各部分典型地驻留在存储器240中并且由处理器执行尤其通过调用支持在该设备上执行软件进程和/或服务的操作在功能上组织该设备。这些软件进程和/或服务可以包括说明性交换进程/服务244，以及说明性重复地址检测DAD进程248。注意，虽然在集中式存储器240中示出了交换进程244和DAD进程248，但是替代实施例中，所述进程中的一个或两者具体操作在网络接口210内。0022对于本领域的技术人员而言将显而易见的是，其它处理器和存储器类型包括各种计算机可读介质可以被用来存储。

19、并且执行和本文中所描述的技术有关的程序指令。并说明书CN104067592A3/9页7且，虽然说明书说明了各种进程，但是明显地可以设想到，各种进程可以被具体化为配置成依照本文技术例如，根据类似进程的功能性进行操作的模块。进一步地，虽然进程已被分开地示出，但是本领域的技术人员将了解，进程可以是在其它进程内的例行程序或模块。0023说明性地，本文中所描述的技术可以由硬件、软件和/或固件例如依照交换进程244和/或DAD进程248来执行，所述交换进程244和/或DAD进程248可以每个都可以包含由处理器220执行来进行涉及本文中所描述的技术的功能的计算机可执行指令。例如，交换进程服务244和DAD进。

20、程248可以包含由处理器220执行来执行由一个或多个交换协议所提供的功能的计算机可执行指令，如由本领域的技术人员将理解的那样。这样的功能可以基于管理转发状态、端口阻止、地址解析等常规协议。根据本文中所描述的一个或多个实施例，因此，交换进程244和DAD进程248其本身可以是交换进程244的子进程可以用本文中所描述的功能性加以扩展、修改或者代替。0024特别地，如上面所指出的那样，为了特别在安全环境中保护网络不受流氓或不受控行为的影响交换机需要越来越关注IPV6。例如，由IPV6交换机所需要的一个方面在于维护绑定条目，在绑定条目中交换机维护哪一个交换机例如，哪一个交换机上的哪一个端口拥有给定IP。

21、V6地址的映射。值得注意，这样的管理操作必须与支持侦听操作的交换机和不支持侦听操作的交换机相容。互联网工程任务组IETF的源地址验证改进SAVI工作组一直在研究维护这样的条目的方法。作为可从IETF得到的草案并且每个都通过引用整体地结合于此的以下参考文献是当前SAVI协议的示例0025JBI等人的“SAVISOLUTIONFORDHCP”DHCP的SAVI方案2011年12月28日版；0026ERIKNORDMARK等人的“FCFSSAVIFIRSTCOMEFIRSTSERVESOURCEADDRESSVALIDATIONFORLOCALLYASSIGNEDIPV6ADDRESSES”本地分配。

22、的IPV6地址的先来先服务源地址验证2011年11月22日版；0027JIANPINGWU等人的“SOURCEADDRESSVALIDATIONIMPROVEMENTFRAMEWORK”源地址验证改进架构2011年12月27日版；0028JUNBI等人的“SAVIFORMIXEDADDRESSASSIGNMENTMETHODSSCENARIO”混合地址分配方法场景的SAVI2011年10月26日版；0029MARCELOBAGNULO等人的“SENDBASEDSOURCEADDRESSVALIDATIONIMPLEMENTATION”基于发送的源地址验证实施2011年10月4日版；以及0030。

23、DANNYMCPHERSON等人的“SAVITHREATSCOPE”SAVI威胁范围2011年4月11日版。0031此外注意，涉及IPV6的以下请求注解RFC文档也通过引用整体地结合0032RFC4861，TNARTEN等人的“NEIGHBORDISCOVERYFORIPVERSION6IPV6”IPV6邻居发现2007年9月版，废弃RFC2461和1970；以及0033RFC4862，STHOMSON等人的“IPV6STATELESSADDRESSAUTOCONGURATION”IPV6无国家地址自动配置2007年9月版，废弃RFC2462和1971。0034如上面还指出的那样，由SAVI所。

24、开发的当前方法存在优点和缺点，但是一个特定缺点是缺少针对窃取地址所述地址可以通过重复地址检测DAD进程看见的流氓设备说明书CN104067592A4/9页8的先来先服务保护。因此，本文技术用于在保护要求保护地址的第一设备的交换机中分发邻居发现ND绑定表状态，同时仍然允许基于可配置信任的重载OVERRIDE。0035操作上，根据本文中所描述的实施例，技术提出了保护给定IPV6地址的第一用户的标准DAD消息的特定使用，这可以一般地参考图37来描述，其中图35和7图示依照本文中所描述的一个或多个实施例用于在交换机侦听IPV6中管理地址验证状态的示例简化流程分别为300、400、500以及700。00。

25、36特别地，基于在步骤305中开始的流程300，当在步骤310中接收到邻居发现ND消息具有关联的地址时，可以首先在步骤315中确定该消息是否从“不可信的”非交换机设备抵达其中可以配置信任级别，如本文中所描述的那样并且如本领域中所理解的那样。如果消息是来自交换机，则在步骤320中不创建绑定条目；也就是说，不为通过交换机到达的设备创建绑定条目。然而，如果消息是来自不可信的非交换机设备，则在步骤325中，在接收交换机中例如，在诸如数据结构245之类的绑定条目表中为该地址创建对应的绑定条目，值得注意，不转发ND消息。依照本文实施例，创建处于临时暂定TENTATIVE状态的条目例如这会传回设备中可能的N。

26、D状态，即使设备中的状态会是不同的。该状态在特定示例实施例中例如可以持续保持800MS。如本领域中将理解的那样，并且如可以在下面所描述的那样，其它状态可以包括INCOMPLETE未完成的、REACHABLE可达的、VERIFY验证、DOWN停机和STALE过时。0037不转发ND消息，在步骤330接收交换机的绑定表支持例如，DAD进程248代表条目所有者设备生成DAD消息，并且如下所述转发该消息例如，以轮询其它交换机多路交换操作。同样注意，ND消息本身可以被相应地管制例如，阻止带源或目标链路层地址选项S/TLLAO的通告直到DAD被其它可信交换机执行为止。0038特别地，本文技术允许被配置成维。

27、护条目数据库的集中式或分布式注册表例如，分布式散列表或“DHT”。如果在步骤335中没有注册表，则DAD消息在步骤340中被作为传统的组播发送。然而，如果在步骤335中存在这样的注册表，则在步骤345中所生成的DAD消息被单播发送到注册表。注意，注册表可以在步骤350中确定对于该地址它是否具有注册的设备。如果存在注册表并且注册表没有针对来自交换机的单播DAD消息的注册无注册的设备，则在步骤355中注册表丢弃DAD消息。然而，如果它具有指向注册的交换机注册的设备的条目，则它将DAD消息转发例如，单播到该注册的交换机。流程300可以在步骤365结束，并且可以继续到下面的流程400或500的任一个。。

28、0039例如，图4的流程400可以在步骤405处开始，并且继续到步骤410，在步骤410从所关联的地址条目的“所有者”设备即，“拥有”该地址条目的设备接收任何新的ND消息。基于在步骤415中确定ND消息的地址是否已经是处于TENTATIVE状态的条目，DAD消息在步骤420仅响应于地址已经不是处于暂定状态的条目而被转发。换句话说，只要条目已经处于TENTATIVE状态就不转发ND消息也不创建条目即，步骤425。流程400可以在步骤430结束。0040如图5的流程500其可以在步骤505开始中所示，当在步骤510中从另一非所有者设备接收到DAD消息时，可以再次在步骤515中确定与这个接收到的DA。

29、D消息相对应的关联的地址/条目是否是已经以TENTATIVE状态存储的地址/条目即，作为暂定状态条目。如果它是，则不将DAD消息传递到设备，而是在步骤520中丢弃。然而，当在步说明书CN104067592A5/9页9骤515中接收到未被存储为暂定状态条目即，处于TENTATIVE状态的条目的DAD消息时，那么接收交换机在步骤525中将DAD消息转发到条目所有者对应的所有者设备，使得它能够用邻居通告NA防御进行自我防御。流程500在步骤530结束。0041一般而言，交换机能够被配置为用于侦听的设备角色，并且可以是可信的或不可信的。图6图示依照本文说明性实施例的示例配置的信任关系，其中不同的设备可。

30、以与配置的信任级别相关联，如可以由本领域的技术人员所了解的那样例如，基于配置、网络共享等。特别地，设备的类型按从最可信设备到最不可信设备的顺序是可信接入设备节点605、可信交换机610、不可信接入设备以及不可信交换机。换句话说，维护条目的交换机被其它交换机视为可信的，可信交换机比可信接入不太可信，但是比不可信接入更可信，所述不可信接入进而比不可信交换机更可信。0042根据本文技术，因此，诸如依照图7的流程700还提供了基于信任级别的重载规定。根据可以在步骤705中开始的流程700，在步骤710接收到非DAD消息的交换机在步骤715确定该非DAD消息是否是从更可信方接收到的。如果不是，则在步骤7。

31、20中维护所对应的地址条目。然而，如果它是更可信方，则在步骤725中交换机将当前条目让给新的所有者，并且在步骤730中用单播将非DAD消息传递给老的所有者，使得它可能取决于状态和实施方式而“清理”其地址。值得注意，在步骤735中响应于更可信方是交换机，即，如果通过交换机看见“获胜者”，则在步骤740中特定条目被简单地去除。相反地，响应于更可信方不是交换机，则在步骤745中条目被更新以将更可信方获胜设备反映为非DAD消息的地址的所有者。流程700可以在步骤750结束。0043应该注意的是，虽然像上面所描述的那样在流程300500和700内的某些步骤可以是可选的，但是图35和7中所示出的步骤仅仅是。

32、示例以用于说明，并且可以视需要而定包括或者排除某些其它步骤。进一步地，虽然示出了步骤的特定的顺序，但是这种排序仅仅是说明性的，并且在不背离本文实施例的范围的情况下可以利用步骤的任何适合的布置。而且，虽然分别对流程300500和700进行描述，但是来自每个流程的某些步骤可以并入每个其它流程，并且流程并不意在为相互排他的。0044可以参考在下面所描述的示例消息交换图更好地理解流程300500和700的结果。0045特别地，根据本文技术，图813图示针对在本地端口受信任情况下的示例消息交换时序图。图8示出交换机1从地址为“ADD1”的客户端1NSDAD接收第一DAD消息。交换机1创建的对应条目为IN。

33、COMPLETE，并且将NSDADADD1转发到交换机2。客户端1在发送NSDAD时已启动延时定时器，并且在期满时将对应的NA重载消息ADD1,TLLAO发送到交换机1。这时，条目变成REACHABLE，并且NA重载ADD1,TLLAO被转发到交换机2。0046图9图示第一非DADND/LLAO消息场景，其中客户端1将ND消息ADD1,S/TLLAO发送到交换机1，这时条目可以被创建为REACHABLE。ND消息ADD1,S/TLLAO然后可以被转发到交换机2。0047另一方面，图10图示第一非DADND消息没有LLAO。在这个实例中，客户端1将ND消息ADD1,无S/TLLAO发送到交换机1。

34、，所述交换机1然后创建条目INCOMPLETE，并且将ND消息ADD1,无S/TLLAO转发到交换机2。接下来，交换机1将NSDAD消息ADD1返回给客户端1，所述客户端1然后可以相应地将NA重载消息ADD1,TLLAO返回给交换说明书CN104067592A6/9页10机1。因此，在交换机1处的条目变成REACHABLE，并且NA重载ADD1,TLLAO被转发到交换机2。0048图11图示从交换机接收DAD消息，特别在交换机1处从交换机2接收NSDADADD1。这时，如果对于来自交换机的DAD消息不存在条目，则不创建条目，并且仅任何DAD消息均被转发到其它交换机。交换机2稍后可以发送NA重载。

35、消息ADD1,TLLAO，并且交换机1尽管仍然没有创建条目，但是将NA重载消息ADD1,TLLAO转发到客户端1，因为该消息不是DAD消息。0049相反地，图12图示来自交换机的DAD消息的另一接收，但是现在当交换机1接收到NSDADADD1时，对于客户端1条目已经存在。这时，不更新条目，但是交换机1通过将NSDADADD1发送到客户端1所有者与条目所有者核对。如果客户端1将NA重载ADD1,TLLAO返回给交换机1，则条目变成REACHABLE，并且NA重载ADD1,TLLAO被转发到交换机2。0050图13图示从交换机接收S/TLLAOND消息，在图13中，如果交换机2将ND消息ADD1,。

36、S/TLLAO发送回到交换机1其已经具有ADD1的现有条目，则消息被丢弃，因为交换机2具有比客户端1更低的信任级别。0051具体地根据本文中所描述的新颖技术，图1423图示针对在本地端口不受信任情况下的多路交换操作的示例消息交换时序图。0052在例如图示第一DAD消息的接收的图14中，客户端1将NSDADADD1发送到交换机1，并且启动延时定时器。在接收时，交换机1为ADD1创建条目TENTATIVE，并且同样启动延时定时器。在这个延迟期间，交换机1可以将NSDADADD1转发到交换机2。0053另一方面，根据本文技术，在图15中，在接收到第一非DAD消息诸如来自客户端1的ND消息ADD1时，。

37、交换机1同样创建条目TENTATIVE并且启动延时定时器，但是停止ND消息。然后生成新的NSDADADD1消息并且将它转发到交换机2。0054如图16中所示，交换机1使其“最小DADTO”超时值超时，并且如果和其它交换机的DAD操作是成功的，则ADD1的条目变成INCOMPLETE，直到客户端1发送NA重载ADD1,TLLAO消息为止。这时，ADD1的条目变成REACHABLE，其相应中继到交换机2。0055然而，如果如图17中所示，客户端1的延迟首先期满，并且接收ND消息ADD1,无S/TLLAO同时ADD1在交换机1处仍然是暂定的，则停止消息。最后，ADD1的条目在交换机1的TENTATI。

38、VE定时器期满时变成INCOMPLETE。如果INCOMPLETE状态超时，则交换机1将通过将NSDADADD1发送到客户端1来轮询客户端1。如果客户端1返回NA重载ADD1,TLLAO，则在交换机1处ADD1的条目变成REACHABLE。0056在图18中示出了在TENTATIVE状态下接收ND/LLAO消息。特别地，当客户端1将ND消息ADD1,S/TLLAO发送到交换机1然而ADD1仍然是TENTATIVE时，交换机1丢弃该消息。最后，ADD1的条目从TENTATIVE移动至REACHABLE。当客户端1稍后发送NA重载ADD1,TLLAO消息时，这个消息被转发到交换机2，因为ADD1的。

39、条目是REACHABLE。0057图19图示在条目已经处于TENTATIVE状态时从交换机接收DAD消息的示例。特别地，在客户端1发送NSDADADD1之后，并且条目由交换机1以TENTATIVE状态创建，像上面所指出的那样转发所对应的NSDADADD1。如果交换机2将它自己的NSDADADD1发送到交换机1，根据本文技术，即使交换机2具有较高的信任值然后新的DAD消息指示新的说明书CN104067592A107/9页11条目创建。因为客户端1不能够自我防御，所以交换机1丢弃该消息。0058图20图示在与TENTATIVE条目存在冲突时的场景。例如，在接收到NSDADADD1并且创建条目TEN。

40、TATIVE以及将NSDADADD1转发到交换机2之后，如果交换机2发送NA重载ADD1,TLLAO具有较高信任，则消息是有效的，并且条目被去除。同样地，NA重载ADD1,TLLAO被发送到客户端1以更新它自己的条目状态。0059更进一步地，图21图示从交换机接收DAD消息的不同示例。特别地，如果交换机1从交换机2接收NSDADADD1，则当条目已经不存在时，因为DAD消息来自交换机，所以没有条目被创建，并且DAD消息被停止仅转发到干线TRUNK。当交换机2跟随NA重载ADD1,TLLAO时，条目仍然未被创建，但是因为消息不是DAD，所以NA重载ADD1,TLLAO被相应转发到客户端1。006。

41、0如图22中所示，如果在图21中条目已经存在，则该条目仍然未被更新，但是现在交换机1用NSDADADD1与条目所有者客户端1核对。如果客户端1用NA重载ADD1,TLLAO进行响应，则在交换机1处ADD1的条目变成REACHABLE，并且NA重载ADD1,TLLAO被转发到交换机2。0061最后，图23图示在交换机1处从交换机2接收ND消息ADD1,S/TLLAO，其中ADD1的条目已经存在。如果交换机2具有比当前条目更高的信任级别，则消息是有效的，并且条目被去除因为较高的信任条目来自交换机。相应地，ND消息ADD1,S/TLLAO被转发到客户端1。0062此外，图2428图示用于基于信任的多。

42、路交换流示例的示例消息交换时序图。特别地，在图24中可信设备对无条目客户端1可以首先将NSDADADD1发送到交换机1，并且启动其延时定时器，在将NSDADADD1转发到交换机2之前交换机1创建条目INCOMPLETE。如果交换机2没有ADD1的条目，则它停止该消息仅转发到干线。一旦客户端1延迟结束，它就将NA重载ADD1,TLLAO消息发送到交换机1，这允许条目变成REACHABLE。这时，交换机2可以相应将NA重载ADD1,TLLAO发送到客户端2。0063替换地，在图25中可信设备对不可信设备，假定当交换机2从交换机1接收到第一NSDADADD1时，从而假定对于客户端2对于ADD1在交换。

43、机2上存在条目，交换机2不更新其条目，但是用NSDADADD1与条目所有者客户端2核对。如果客户端2用NA重载ADD1,TLLAO进行响应，则交换机2相应将NA重载ADD1,TLLAO转发到交换机1。然而，因为在交换机1处已经存在条目，并且因为客户端1是比交换机2更高的信任级别，所以NA重载被停止。一旦在客户端1处的延迟期满，客户端1就可以发送NA重载ADD1,TLLAO，这时在交换机1处的条目变成REACHABLE，并且NA重载ADD1,TLLAO传播直到客户端2。0064在图26中可信对可信，除了现在来自客户端1的NA重载ADD1,TLLAO到达交换机2，发生与在图25中相同的流。这时，因。

44、为对于客户端2在交换机2处已经存在ADD1的条目，所以值得注意，在比交换机1更好的信任级别下，不基于NA重载消息改变条目。0065在图26中，因此能够看到，在交换机1和交换机2之间存在状态不一致。NA消息总是通过干线来传播，但是它们被接收交换机丢弃。在热备份路由器协议HSRP操作的情况下，一个交换机将维持错误状态直到超时为止，并且在该交换机上的节点将不被更新。在这个实例中，ND抑制可以使HSRP无效。根据本文说明性实施例，因此，这可以通过在从交换机接收到NA消息时检查条目来改进。说明书CN104067592A118/9页120066继续图27，图示了不可信设备对无条目，当交换机1从客户端1接收。

45、到NSDADADD1时，它创建条目TENTATIVE，并且将NSDADADD1转发到交换机2。交换机2没有ADD1的条目，并且停止NSDAD消息，因为它来自交换机如上所述。一旦客户端1将NA重载ADD1,TLLAO发送到交换机1，在交换机1上的条目就变成REACHABLE，并且NA重载被传播直到客户端2。然而，在交换机2处，因为交换机不为远程条目保持状态，所以没有状态被创建。0067最后，图28图示不可信设备对现有条目，其中现在来自客户端1的NSDADADD1被交换机2传播直到客户端2以便与条目所有者核对地址如上所述。如果客户端2用NA重载ADD1,TLLAO响应，则这通过交换机2被转发到交换。

46、机1。如果交换机在交换机1处具有比客户端1更高的信任级别，则消息是有效的，并且条目被去除从交换机。NA重载ADD1,TLLAO然后被转发到客户端1使得客户端1能够相应调整它对于该地址的状态。0068应该注意的是，图828中所示出的交换仅仅是示例以用于说明，并且可以视情况而定包括或者排除某些其它步骤/交换。而且，虽然以特定顺序示出了图828，但是除非明确指出，否则这种排序不意在要求图之间的交换的顺序，并且该排序因此不意在限制本文实施例的范围。0069因此，本文中所描述的技术可以在交换机侦听IPV6中管理地址验证状态。特别地，本文技术以保护要求保护地址的第一设备的方式在交换机中分发ND绑定表状态，。

47、同时仍然通过可配置信任关系允许一些重载实现。也就是说，本文技术保护网络不受窃取从DAD交换看见的地址的流氓设备的影响，例如，当在第2层L2处允许不可信接入时在第3层L3处进行保护。0070特别地，本文技术与由SAVI所提出的当前机制具有至少一些关键差异。首先，本文技术在可信节点被直接连接与经由另一交换机通过干线相反时为它们维护条目。此外，本文技术通过使用DAD来识别何时为交换机中的不可信节点创建条目并且为从节点接收的任何ND消息生成DAD以创建该条目，来建立不同的DAD流。而且，本文技术支持集中式注册处交换机或具有分布式散列表DHT的几个交换机以找出哪一个交换机具有给定地址的条目。0071在这。

48、种最后的情况下，例如，交换机可以将经典的ND流变换成注册处的注册。同样地，接入例如，客户端交换机通信中的经典的基于组播的ND能够被变换成另一经典的ND，或者否则变换成交换机结构中的ND注册机制例如，交换机交换机通信，如本文中所描述的那样。值得注意，进一步扩展还可以反过来操作，其中来自客户端的ND注册还可以被变换成交换结构中的模式即，变换为经典的ND或ND注册机制。在上面的描述中，例如，来自客户端的DAD可以用ND注册代替。这种注册不会超出第一接收交换机，并且该交换机在注册时的输出可以如上所述，即，根据针对NSDAD操作所描述的流生成的NSDAD。可以在本文中使用的ND注册的示例可以在THUBE。

49、RT的标题为“LOWPANBACKBONEROUTER”LOWPAN骨干路由器的IETF互联网草案2007年11月4日版中找到，所述IETF互联网草案成为SHELBY等人的“NEIGHBORDISCOVERYOPTIMIZATIONFORLOWPOWERANDLOSSYNETWORKS6LOWPAN”低功率损耗网络的邻居发现优化2011年10月24日版，其中的每一个的内容通过引用整体结合于此。说明书CN104067592A129/9页130072虽然已经示出并且描述了在交换机侦听IPV6中管理地址验证状态的说明性实施例，但是应当理解的是，可以在本文实施例的范围内做出各种其它改编和修改。例如，关于根据当前标准的DAD消息诸如由SAVI所提出的那些已经在本文中示出并且描述了实施例。然而，实施例在它们更广泛的意义上不受如此限制，并且可以实际上用于其它适合的标准，所述其它适合的标准包括但不限于利用与IPV6的DAD消息类似的消息的互联网协议的未来版本。0073前面的描述一直针对特定实施例。然而，将显而易见的是，可以对所描述的实施例做出其它变化和修改，以达到它们的部分或全部优点。例如，明显地设想到，本文中所描述的组件和/或元件能够被实现为被存储在具有在计算机、硬件、固件或其组合上执行的程序指令的有形非暂态计算机可读介质例如，磁盘/CD/等上的软件。因此本描述将仅通过示例的方式进行，而不。

展开阅读全文