[发明专利]网络设备及其访问控制方法

说明书

技术领域

本发明涉及通信领域，尤其涉及一种网络设备及其访问控制方法。

背景技术

访问控制列表(ACCESS CONTROL LIST，简称为ACL)使用数据包过滤技术，在网络设备上读取第三层及第四层数据包头中的信息，诸如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对数据包进行过滤，从而达到访问控制的目的。初期，只有路由器支持该技术，近些年来三层交换机也可以支持该技术，目前部分二层交换机(包括接入设备)也开始提供对访问控制列表的支持。

访问控制列表分为很多种，在不同场合可以应用不同种类的访问控制列表。其中，最简单的就是标准访问控制列表，标准访问控制列表是通过使用互联网络协议(INTERNETPROTOCOL，简称IP)数据包中的源IP地址进行过滤。由于访问控制列表功能是使用数据包过滤技术来实现的，过滤的依据是第三层和第四层数据包头中的部分信息，对于允许通过的IP数据包，则会按照正常的处理流程进行处理。对于不满足过滤条件的IP数据包，则进行丢弃处理。

在以太网的应用中，地址解析协议不是三层协议，也不是封装在IP数据包格式中的。因此当特定源IP地址的IP数据包被过滤丢弃时，携带该IP地址的地址解析协议数据帧因为不是IP数据包，所以不能被过滤，因此可能会被网络设备进行处理或者转发，从而会对网络和网络设备造成影响。

当一台网络设备B的IP地址被网络设备A的访问控制列表模块定义为拒绝接受和处理时，网络设备B所发送出来的IP数据包会被网络设备A丢弃。但如果网络设备B发送的“请求本网络设备的MAC地址”的地址解析协议(ADDRESS RESOLUTIONPROTOCOL，简称为ARP)数据帧传送到网络设备A，由于网络设备A对地址解析协议数据帧没有过滤功能，该地址解析协议数据帧就会被网络设备A的地址解析协议数据帧处理模块处理，并返回正确的地址解析协议响应帧。这样网络设备B便可以学习到网络设备A的MAC地址。网络设备B能够利用网络设备A的MAC地址发起恶意攻击。另一方面，如果网络设备B恶意发送地址解析协议请求帧，网络设备A都要一一进行处理，也会大大降低网络设备A处理其他报文和其他功能的处理能力，严重时还会造成网络设备A运行的不正常，造成更为严重的后果。

由于通常的访问控制列表功能只对IP数据包进行过滤处理，对封装在以太网数据帧中的地址解析协议数据帧没有过滤，从而可能导致网络设备的处理能力降低，甚至存在网络设备被恶意攻击的可能。

因此，必须采用一种方法，使得配置了访问控制列表功能的网络设备不但能够过滤IP数据包，还应该能够处理和该IP地址相关的地址解析协议数据帧，减少对网络设备的影响，防止非法设备通过地址解析协议数据帧对网络设备进行恶意攻击，提高安全性和可靠性。

发明内容

针对以上问题，本发明提供了一种网络设备和用于网络设备的访问控制方法，具有访问控制列表功能，防止非法设备通过地址解析协议数据帧对网络设备进行恶意攻击，提高安全性和可靠性。

该网络设备包括：地址解析协议数据帧过滤模块，用于根据网络设备接收到的地址解析协议数据帧中的标识信息查找访问控制列表，并且根据标识信息在访问控制列表中对应的状态，对地址解析协议数据帧进行过滤。

该网络设备还包括：地址解析协议数据帧检验模块，用于在地址解析协议数据帧过滤模块对地址解析协议数据帧进行过滤之前，对地址解析协议数据帧的合法性和正确性进行检验；以及地址解析协议数据帧处理模块，用于对地址解析协议数据帧过滤模块允许处理的地址解析协议数据帧进行处理。

地址解析协议数据帧过滤模块包括：标识信息获取单元，用于从接收到的地址解析协议数据帧获取标识信息；标识信息查找单元，用于在访问控制列表中查找所获取的标识信息是否存在；标识信息状态查找单元，在访问控制列表中存在标识信息的情况下，在访问控制列表中查找标识信息对应的状态；以及地址解析协议数据帧过滤单元，根据标识信息对应的状态对地址解析协议数据帧进行过滤。

标识信息对应的状态为允许，指示地址解析协议数据帧处理模块对地址解析协议数据帧进行处理；以及标识信息对应的状态为拒绝，指示丢弃地址解析协议数据帧。

其中，在标识信息在访问控制列表中不存在的情况下，丢弃地址解析协议数据帧。标识信息包括IP地址和MAC地址中的至少一个。

根据本发明的用于网络设备的访问控制方法，包括：地址解析协议数据帧过滤模块根据网络设备接收到的地址解析协议数据帧中的标识信息查找访问控制列表，并且根据标识信息在访问控制列表中对应的状态，对地址解析协议数据帧进行过滤。