本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種基于前綴安全表項(xiàng)的報(bào)文處理方法及裝置。

背景技術(shù)：

DHCPv6(Dynamic Host Configuration Protocol for IPv6，支持IPv6的動態(tài)主機(jī)配置協(xié)議)是針對IPv6編址方案設(shè)計(jì)的，為主機(jī)分配IPv6前綴、IPv6地址和其他網(wǎng)絡(luò)配置參數(shù)的協(xié)議。DHCPv6 Snooping是DHCPv6的一種安全特性，為了使DHCPv6客戶端能通過合法的DHCPv6服務(wù)器獲取IPv6地址，DHCPv6 Snooping安全機(jī)制允許將端口設(shè)置為信任端口和不信任端口：

信任端口正常轉(zhuǎn)發(fā)接收到的DHCPv6報(bào)文；

不信任端口接收到DHCPv6服務(wù)器發(fā)送的應(yīng)答報(bào)文后，丟棄該報(bào)文；

通常將連接DHCPv6服務(wù)器、DHCPv6中繼或其他DHCPv6 Snooping設(shè)備的端口需要設(shè)置為信任端口，其他端口設(shè)置為不信任端口，從而保證DHCPv6客戶端只能從合法的DHCPv6服務(wù)器獲取地址，私自架設(shè)的偽DHCPv6服務(wù)器無法為DHCPv6客戶端分配地址。

在地址分層分配組網(wǎng)中，通常由PE(Provider Edge，運(yùn)營商邊緣路由器)先分配給CPE(Customer Premise Equipment，終端接入設(shè)備)一個IPv6前綴，CPE再給下掛的幾個客戶端分配IPv6地址，其中PE的下行端口上配置了ipv6 source binding。由于PE不知道CPE為客戶端分配的IPv6地址，因此PE只能獲取CPE路由器的IPv6地址，沒有客戶端的IPv6地址。這樣會導(dǎo)致客戶端的流量無法正常通過source binding檢查，從而無法通過PE轉(zhuǎn)發(fā)。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提供一種基于前綴安全表項(xiàng)的報(bào)文處理方法及裝置來解決現(xiàn)有技術(shù)中地址分層分配組網(wǎng)中報(bào)文無法正常轉(zhuǎn)發(fā)的問題。

具體地，本發(fā)明是通過如下技術(shù)方案實(shí)現(xiàn)的：

本發(fā)明提供一種基于前綴安全表項(xiàng)的報(bào)文處理方法，所述方法應(yīng)用于地址分層分配組網(wǎng)中的網(wǎng)絡(luò)設(shè)備，所述方法包括：

偵聽DHCP報(bào)文，獲取所述DHCP報(bào)文中的前綴信息，基于前綴信息生成正式安全表項(xiàng)；

接收客戶端設(shè)備發(fā)送的報(bào)文，獲取報(bào)文中的源地址；

根據(jù)所述正式安全表項(xiàng)，基于所述源地址對該報(bào)文進(jìn)行報(bào)文過濾。

進(jìn)一步的，基于前綴信息生成正式安全表項(xiàng)之前，所述方法還包括：

判斷所述DHCP報(bào)文的類型；

若是第一報(bào)文，則判斷所述前綴信息是否存在匹配的臨時安全表項(xiàng)；若是，則更新該臨時安全表項(xiàng)的老化時間；若否，則基于所述第一報(bào)文的前綴信息生成臨時安全表項(xiàng)；

若是第二報(bào)文，則判斷所述前綴信息是否存在匹配的臨時安全表項(xiàng)；若是，則基于所述第二報(bào)文的前綴信息生成正式安全表項(xiàng)；若否，則結(jié)束處理；

若是第三報(bào)文，則判斷所述前綴信息是否存在匹配的正式安全表項(xiàng)；若是，則刪除該正式安全表項(xiàng)；若否，則結(jié)束處理。

進(jìn)一步的，基于所述第二報(bào)文的前綴信息生成正式安全表項(xiàng)之后，所述方法還包括：

基于所述正式安全表項(xiàng)生成轉(zhuǎn)發(fā)規(guī)則下發(fā)至轉(zhuǎn)發(fā)芯片。

進(jìn)一步的，所述正式安全表項(xiàng)包括前綴信息，VLAN和端口信息；

所述基于所述源地址對該客戶端進(jìn)行安全認(rèn)證，具體包括：

判斷所述源地址中的前綴信息是否與所述正式安全表項(xiàng)中的前綴信息相匹配，若是，則驗(yàn)證所述報(bào)文的端口信息和VLAN是否與所述正式安全表項(xiàng)中的端口信息和VLAN相匹配，若是，則轉(zhuǎn)發(fā)該報(bào)文。

進(jìn)一步的，所述方法還包括：

所述網(wǎng)絡(luò)設(shè)備具體為部署在所述地址分層分配組網(wǎng)中的PE和CPE之間的物理設(shè)備或者是部署在所述PE上的虛擬設(shè)備。

基于相同的構(gòu)思，本發(fā)明還提供一種基于前綴安全表項(xiàng)的報(bào)文處理裝置，所述裝置應(yīng)用于地址分層分配組網(wǎng)中的網(wǎng)絡(luò)設(shè)備，所述裝置包括：

表項(xiàng)生成單元，用于偵聽DHCP報(bào)文，獲取所述DHCP報(bào)文中的前綴信息，基于前綴信息生成正式安全表項(xiàng)；

地址獲取單元，用于接收客戶端設(shè)備發(fā)送的報(bào)文，獲取報(bào)文中的源地址；

報(bào)文過濾單元，用于根據(jù)所述正式安全表項(xiàng)，基于所述源地址對所述報(bào)文進(jìn)行報(bào)文過濾。

進(jìn)一步的，所述裝置還包括：

類型判斷單元，用于在基于前綴信息生成正式安全表項(xiàng)之前，判斷所述DHCP報(bào)文的類型；

第一處理單元，用于若DHCP報(bào)文是第一報(bào)文，則判斷所述前綴信息是否存在匹配的臨時安全表項(xiàng)；若是，則更新該臨時安全表項(xiàng)的老化時間；若否，則基于所述第一報(bào)文的前綴信息生成臨時安全表項(xiàng)；

第二處理單元，用于若DHCP報(bào)文是第二報(bào)文，則判斷所述前綴信息是否存在匹配的臨時安全表項(xiàng)；若是，則基于所述第二報(bào)文的前綴信息生成正式安全表項(xiàng)；若否，則結(jié)束處理；

第三處理單元，用于若DHCP報(bào)文是第三報(bào)文，則判斷所述前綴信息是否存在匹配的正式安全表項(xiàng)；若是，則刪除該正式安全表項(xiàng)；若否，則結(jié)束處理。

進(jìn)一步的，所述第二處理單元，還用于在基于所述第二報(bào)文的前綴信息生成正式安全表項(xiàng)之后，基于所述正式安全表項(xiàng)生成轉(zhuǎn)發(fā)規(guī)則下發(fā)至轉(zhuǎn)發(fā)芯片。

進(jìn)一步的，所述正式安全表項(xiàng)包括前綴信息，VLAN和端口信息；

所述報(bào)文過濾單元，具體用于判斷所述源地址中的前綴信息是否與所述正式安全表項(xiàng)中的前綴信息相匹配，若是，則驗(yàn)證所述報(bào)文的端口信息和VLAN是否與所述正式安全表項(xiàng)中的端口信息和VLAN相匹配，若是，則轉(zhuǎn)發(fā)該報(bào)文。

進(jìn)一步的，所述網(wǎng)絡(luò)設(shè)備具體為部署在所述地址分層分配組網(wǎng)中的PE和CPE之間的物理設(shè)備或者是部署在所述PE上的虛擬設(shè)備。

由此可見，本發(fā)明的網(wǎng)絡(luò)設(shè)備可以通過偵聽地址分層分配組網(wǎng)中的DHCP報(bào)文，獲取DHCP報(bào)文中的前綴信息，并基于該前綴信息生成正式安全表項(xiàng)；在接收客戶端設(shè)備發(fā)送的報(bào)文時，獲取報(bào)文中的源地址，根據(jù)所述正式安全表項(xiàng)，基于所述源地址對該報(bào)文進(jìn)行報(bào)文過濾。因此本發(fā)明可以通過基于前綴的正式安全表項(xiàng)實(shí)現(xiàn)對報(bào)文前綴的安全檢查，保證合法報(bào)文的正常轉(zhuǎn)發(fā)，防止非法報(bào)文的攻擊。

附圖說明

圖1是本發(fā)明一種示例性實(shí)施方式中的一種基于前綴安全表項(xiàng)的報(bào)文處理方法的處理流程圖；

圖2是本發(fā)明一種示例性實(shí)施方式中組網(wǎng)示意圖；

圖3本發(fā)明一種示例性實(shí)施方式中的基于前綴安全表項(xiàng)的報(bào)文處理裝置所在網(wǎng)絡(luò)設(shè)備的硬件結(jié)構(gòu)圖；

圖4本發(fā)明一種示例性實(shí)施方式中的一種基于前綴安全表項(xiàng)的報(bào)文處理裝置的邏輯結(jié)構(gòu)圖。

具體實(shí)施方式

為了解決現(xiàn)有技術(shù)存在的問題，本發(fā)明提供一種基于前綴安全表項(xiàng)的報(bào)文處理方法及裝置，使網(wǎng)絡(luò)設(shè)備可以通過偵聽地址分層分配組網(wǎng)中的DHCP報(bào)文，獲取DHCP報(bào)文中的前綴信息，并基于該前綴信息生成正式安全表項(xiàng)；在接收客戶端設(shè)備發(fā)送的報(bào)文時，獲取報(bào)文中的源地址，根據(jù)所述正式安全表項(xiàng)，基于所述源地址對該報(bào)文進(jìn)行報(bào)文過濾。因此本發(fā)明可以通過基于前綴的正式安全表項(xiàng)實(shí)現(xiàn)對報(bào)文前綴的安全檢查，保證合法報(bào)文的正常轉(zhuǎn)發(fā)，防止非法報(bào)文的攻擊。

請參考圖1，是本發(fā)明一種示例性實(shí)施方式中的一種基于前綴安全表項(xiàng)的報(bào)文處理方法的處理流程圖，該方法應(yīng)用于地址分層分配組網(wǎng)中的網(wǎng)絡(luò)設(shè)備。所述方法包括：

步驟101、偵聽DHCP報(bào)文，獲取所述DHCP報(bào)文中的前綴信息，基于前綴信息生成正式安全表項(xiàng)；

在本發(fā)明可選的實(shí)施例中，網(wǎng)絡(luò)設(shè)備可以作為物理設(shè)備部署在地址分層分配組網(wǎng)中的PE和CPE之間，也可以作為虛擬設(shè)備部署在PE上，其中PE用于分配前綴信息，CPE用于為客戶端分配IP地址。

網(wǎng)絡(luò)設(shè)備偵聽PE和CPE之間交互的DHCP報(bào)文，獲取所述DHCP報(bào)文中的前綴信息，并基于前綴信息生成正式安全表項(xiàng)，在可選的實(shí)施例中，網(wǎng)絡(luò)設(shè)備可以通過DHCPv6 snooping偵聽DHCP報(bào)文，并獲取DHCP報(bào)文中的前綴信息、VLAN以及端口信息，并基于這些信息生成正式安全表項(xiàng)。

步驟102、接收客戶端設(shè)備發(fā)送的報(bào)文，獲取報(bào)文中的源地址；

網(wǎng)絡(luò)設(shè)備在接到客戶端設(shè)備發(fā)送的報(bào)文時，需要對該客戶端的報(bào)文進(jìn)行報(bào)文過濾，具體可以獲取該報(bào)文中的源地址。

步驟103、根據(jù)所述正式安全表項(xiàng)，基于所述源地址對該報(bào)文進(jìn)行報(bào)文過濾。

網(wǎng)絡(luò)設(shè)備獲取該報(bào)文的源地址后，可以根據(jù)本地記錄的正式安全表項(xiàng)，基于所述源地址對該報(bào)文進(jìn)行報(bào)文過濾。在可選的實(shí)施例中，該網(wǎng)絡(luò)設(shè)備可以先判斷所述源地址中的前綴信息是否與所述正式安全表項(xiàng)中的前綴信息相匹配，若是，則驗(yàn)證所述報(bào)文的端口信息和VLAN是否與所述正式安全表項(xiàng)中的端口信息和VLAN相匹配，若是，則認(rèn)為該報(bào)文是合法報(bào)文，然后轉(zhuǎn)發(fā)該報(bào)文；若否，則認(rèn)為該報(bào)文是非法報(bào)文，然后丟棄該報(bào)文。

因此本發(fā)明可以通過基于前綴的正式安全表項(xiàng)實(shí)現(xiàn)基于前綴的報(bào)文過濾，保證合法報(bào)文的正常轉(zhuǎn)發(fā)，防止非法報(bào)文的攻擊。

在本發(fā)明可選的實(shí)施例中，基于前綴信息生成正式安全表項(xiàng)之前，安全認(rèn)證設(shè)備還可以判斷偵聽到的所述DHCP報(bào)文的報(bào)文類型，其中具體包括

若是第一報(bào)文，例如solicit報(bào)文、request報(bào)文、renew報(bào)文及rebind報(bào)文，其中solicit報(bào)文為懇求報(bào)文，用于查詢能夠提供IP地址的網(wǎng)絡(luò)設(shè)備；request報(bào)文為請求報(bào)文，用于向能夠提供IP地址的網(wǎng)絡(luò)設(shè)備請求IP地址；renew報(bào)文和rebind報(bào)文均為續(xù)約報(bào)文，用于續(xù)約IP地址的租期。由于上述第一報(bào)文是由CPE發(fā)送的報(bào)文，其中的前綴信息并非CPE最終獲取的前綴信息，因此可以基于第一報(bào)文的前綴信息生成臨時安全表項(xiàng)。網(wǎng)絡(luò)設(shè)備獲取到該第一報(bào)文的前綴信息時，可以進(jìn)一步判斷本地是否存在與所述前綴信息相匹配的臨時安全表項(xiàng)；若存在相匹配的臨時安全表項(xiàng)，則更新該臨時安全表項(xiàng)的老化時間；若不存在相匹配的臨時安全表項(xiàng)，則基于所述前綴信息生成臨時安全表項(xiàng)。

若是第二報(bào)文，例如reply報(bào)文，即應(yīng)答報(bào)文，用于為CPE分配IP地址。由于該第二報(bào)文攜帶的前綴信息為正式的前綴信息，因此可以基于該第二報(bào)文中的前綴信息生成正式安全表項(xiàng)。網(wǎng)絡(luò)設(shè)備獲取該第二報(bào)文的前綴信息后，可以進(jìn)一步判斷本地是否存在與所述前綴信息相匹配的臨時安全表項(xiàng)；若存在相匹配的臨時安全表項(xiàng)，則基于所述第二報(bào)文的前綴信息生成正式安全表項(xiàng)，該正式安全表項(xiàng)用于進(jìn)行報(bào)文過濾；若不存在相匹配的臨時安全表項(xiàng)，則結(jié)束處理；此外，在生成正式安全表項(xiàng)之后，網(wǎng)絡(luò)設(shè)備還可以基于所述正式安全表項(xiàng)生成轉(zhuǎn)發(fā)規(guī)則下發(fā)至轉(zhuǎn)發(fā)芯片，以使轉(zhuǎn)發(fā)芯片根據(jù)該轉(zhuǎn)發(fā)規(guī)則阻止非法報(bào)文的轉(zhuǎn)發(fā)。

若是第三報(bào)文，例如release報(bào)文、decline報(bào)文，即釋放報(bào)文，用于刪除IP地址。網(wǎng)絡(luò)設(shè)備獲取該第三報(bào)文的前綴信息后，可以進(jìn)一步判斷本地是否存在與所述前綴信息相匹配的正式安全表項(xiàng)；若存在相匹配的正式安全表項(xiàng)，則刪除該前綴信息對應(yīng)的正式安全表項(xiàng)；若不存在相匹配的正式安全表項(xiàng)，則結(jié)束處理。因此可以在IP地址釋放后，將對應(yīng)的正式安全表項(xiàng)刪除，以節(jié)省內(nèi)存的空間占用。

因此本發(fā)明可以通過對偵聽的報(bào)文進(jìn)行分類從而生存基于前綴的正式安全表項(xiàng)，進(jìn)而實(shí)現(xiàn)根據(jù)基于前綴的正式安全表項(xiàng)進(jìn)行安全檢查，放行合法報(bào)文，阻止非法報(bào)文，從而提高地址分層分配組網(wǎng)的安全性。

需要說明的是，本發(fā)明的分層分配組網(wǎng)可以適用于IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)，當(dāng)應(yīng)用于IPv6網(wǎng)絡(luò)時，網(wǎng)絡(luò)設(shè)備可以通過偵聽DHCPv6報(bào)文獲取前綴信息；當(dāng)應(yīng)用于IPv4網(wǎng)絡(luò)時，網(wǎng)絡(luò)設(shè)備可以通過偵聽DHCPv4報(bào)文獲取前綴信息。

為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，下面以IPv6網(wǎng)絡(luò)為例，結(jié)合圖2對本發(fā)明該方案作進(jìn)一步地詳細(xì)說明。

在圖2所示的地址分層分配的組網(wǎng)架構(gòu)中包括DHCPv6服務(wù)器、交換機(jī)、路由器以及客戶端1和客戶端2。其中交換機(jī)作為具有DHCPv6 snooping功能的網(wǎng)絡(luò)設(shè)備，當(dāng)DHCPv6服務(wù)器分配給路由器一個前綴之后，路由器再給下掛的客戶端1和客戶端2分配IPv6地址。

如圖2所示，在本發(fā)明的實(shí)施例中，實(shí)現(xiàn)基于前綴的報(bào)文過濾的具體過程如下：

路由器向DHCPv6服務(wù)器發(fā)送請求報(bào)文申請前綴，交換機(jī)通過DHCPv6 Snooping偵聽到路由器發(fā)送的請求報(bào)文，因此記錄路由器的前綴信息，交換機(jī)上的路由器接入端口和VLAN，例如IPv6前綴為2001:410:201::/48，端口為G1/0/1，VLAN為100。由于該請求報(bào)文屬于上述第一報(bào)文，因此交換機(jī)可以根據(jù)前綴信息在本地查找是否存在與該前綴信息匹配的臨時安全表項(xiàng)，若不存在，則根據(jù)上述信息生成臨時安全表項(xiàng)具體為：IPv6前綴為2001:410:201::/48，端口為G1/0/1，VLAN為100；若存在，則為該臨時安全表項(xiàng)更新老化時間。

當(dāng)路由器收到DHCPv6服務(wù)器發(fā)送的應(yīng)答報(bào)文時，假設(shè)應(yīng)答報(bào)文中包括路由器申請到的前綴為2001:410:201::/48；交換機(jī)可以通過DHCPv6 Snooping偵聽到DHCPv6服務(wù)器發(fā)送的應(yīng)答報(bào)文，交換機(jī)可以獲取該應(yīng)答報(bào)文的前綴信息，由于該應(yīng)答報(bào)文屬于上述第二報(bào)文，因此交換機(jī)可以根據(jù)前綴信息在本地查找是否存在與該前綴信息匹配的臨時安全表項(xiàng)，若存在，則根據(jù)路由器通過DHCPv6上線申請到的前綴、以及交換機(jī)上的路由器接入端口和VLAN，并根據(jù)上述信息生成正式安全表項(xiàng)具體為：IPv6前綴為2001:410:201::/48，端口為G1/0/1，VLAN為100；若不存在，則結(jié)束處理。

然后，路由器通過路由通告(RA)消息，根據(jù)前綴信息2001:410:201::/48給客戶端分配IP地址，例如，客戶端1分配到的IPv6地址為2001:410:201::10/128，客戶端2分配到的IPv6地址為2001:410:201::11/128。

在交換機(jī)端口G1/0/1上使能源地址檢查功能，并根據(jù)正式安全表項(xiàng)向轉(zhuǎn)發(fā)芯片下發(fā)轉(zhuǎn)發(fā)規(guī)則，即只允許源地址在2001:410:201::/48內(nèi)，端口為G1/0/1，VLAN為100的報(bào)文通過。

當(dāng)客戶端1和客戶端2往交換機(jī)發(fā)送報(bào)文時，由于客戶端1分配到的地址為IPv6地址2001:410:201::10/128，客戶端2分配到的地址為IPv6地址2001:410:201::11/128，通過查找正式安全表項(xiàng)，確定客戶端1和客戶端2的源地址均在2001:410:201::/48內(nèi)，因此客戶端1和客戶端2均通過檢查，可以轉(zhuǎn)發(fā)報(bào)文；當(dāng)有一個客戶端，源地址為2001:420:200::10時，當(dāng)交換機(jī)在端口G1/0/1收到該報(bào)文時，通過查找正式安全表項(xiàng)，發(fā)現(xiàn)2001:420:200::10地址不在2001:410:201::/48之內(nèi)，因此檢查不通過，并丟棄該報(bào)文。

當(dāng)路由器向DHCPv6服務(wù)器發(fā)送釋放報(bào)文時，交換機(jī)可以通過DHCPv6 Snooping偵聽到該釋放報(bào)文，從而可以獲取該釋放報(bào)文的前綴信息，例如前綴信息為2001:410:201::/48，由于該釋放報(bào)文屬于上述第三報(bào)文，因此交換機(jī)可以根據(jù)前綴信息在本地查找是否存在與該前綴信息匹配的正式安全表項(xiàng)，若存在，則刪除該正式安全表項(xiàng)，由于交換機(jī)本地保存了正式安全表項(xiàng)：IPv6前綴為2001:410:201::/48，端口為G1/0/1，VLAN為100，因此可以將該正式安全表項(xiàng)刪除；若不存在，則結(jié)束處理。

因此本發(fā)明可以通過基于前綴的正式安全表項(xiàng)實(shí)現(xiàn)基于前綴的報(bào)文過濾，保證合法報(bào)文的正常轉(zhuǎn)發(fā)，防止非法報(bào)文的攻擊。

基于相同的構(gòu)思，本發(fā)明還提供一種基于前綴安全表項(xiàng)的報(bào)文處理裝置，該裝置可以通過軟件實(shí)現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，本發(fā)明的基于前綴安全表項(xiàng)的報(bào)文處理裝置作為一個邏輯意義上的裝置，是通過其所在裝置的CPU將存儲器中對應(yīng)的計(jì)算機(jī)程序指令讀取后運(yùn)行而成。

請參考圖3，是本發(fā)明一種示例性實(shí)施方式中的一種基于前綴安全表項(xiàng)的報(bào)文處理裝置400，該裝置應(yīng)用于地址分層分配組網(wǎng)中的網(wǎng)絡(luò)設(shè)備，該裝置基本運(yùn)行環(huán)境包括CPU，存儲器以及其他硬件，從邏輯層面上來看，該裝置的結(jié)構(gòu)如圖4所示，該裝置400包括：

表項(xiàng)生成單元401，用于偵聽DHCP報(bào)文，獲取所述DHCP報(bào)文中的前綴信息，基于前綴信息生成正式安全表項(xiàng)；

地址獲取單元402，用于接收客戶端設(shè)備發(fā)送的報(bào)文，獲取報(bào)文中的源地址；

報(bào)文過濾單元403，用于根據(jù)所述正式安全表項(xiàng)，基于所述源地址對所述報(bào)文進(jìn)行報(bào)文過濾。

可選的，所述裝置還包括：

類型判斷單元404，用于在基于前綴信息生成正式安全表項(xiàng)之前，判斷所述DHCP報(bào)文的類型；

第一處理單元405，用于若DHCP報(bào)文是第一報(bào)文，則判斷所述前綴信息是否存在匹配的臨時安全表項(xiàng)；若是，則更新該臨時安全表項(xiàng)的老化時間；若否，則基于所述第一報(bào)文的前綴信息生成臨時安全表項(xiàng)；

第二處理單元406，用于若DHCP報(bào)文是第二報(bào)文，則判斷所述前綴信息是否存在匹配的臨時安全表項(xiàng)；若是，則基于所述第二報(bào)文的前綴信息生成正式安全表項(xiàng)；若否，則結(jié)束處理；

第三處理單元407，用于若DHCP報(bào)文是第三報(bào)文，則判斷所述前綴信息是否存在匹配的正式安全表項(xiàng)；若是，則刪除該正式安全表項(xiàng)；若否，則結(jié)束處理。

可選的，所述第二處理單元406，還用于在基于所述應(yīng)答報(bào)文的前綴信息生成正式安全表項(xiàng)之后，基于所述正式安全表項(xiàng)生成轉(zhuǎn)發(fā)規(guī)則下發(fā)至轉(zhuǎn)發(fā)芯片。

可選的，所述正式安全表項(xiàng)包括前綴信息，VLAN和端口信息；

所述報(bào)文過濾單元403，具體用于判斷所述源地址中的前綴信息是否與所述正式安全表項(xiàng)中的前綴信息相匹配，若是，則驗(yàn)證所述報(bào)文的端口信息和VLAN是否與所述正式安全表項(xiàng)中的端口信息和VLAN相匹配，若是，則轉(zhuǎn)發(fā)該報(bào)文。

可選的，所述網(wǎng)絡(luò)設(shè)備具體為部署在所述地址分層分配組網(wǎng)中的PE和CPE之間的物理設(shè)備或者是部署在所述PE上的虛擬設(shè)備。

由此可見，本發(fā)明的網(wǎng)絡(luò)設(shè)備可以通過偵聽地址分層分配組網(wǎng)中的DHCP報(bào)文，獲取DHCP報(bào)文中的前綴信息，并基于該前綴信息生成正式安全表項(xiàng)；在接收客戶端設(shè)備發(fā)送的報(bào)文時，獲取報(bào)文中的源地址，根據(jù)所述正式安全表項(xiàng)，基于所述源地址對該報(bào)文進(jìn)行報(bào)文過濾。因此本發(fā)明可以通過基于前綴的正式安全表項(xiàng)實(shí)現(xiàn)對報(bào)文前綴的安全檢查，保證合法報(bào)文的正常轉(zhuǎn)發(fā)，防止非法報(bào)文的攻擊。

上述裝置中各個單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實(shí)現(xiàn)過程，在此不再贅述。

對于裝置實(shí)施例而言，由于其基本對應(yīng)于方法實(shí)施例，所以相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實(shí)施。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。