[发明专利]一种ARP请求报文验证方法及装置

说明书

技术领域

本发明实施例涉及通信技术，尤其涉及一种地址解析协议(Address Resolution Protocol，ARP)请求报文验证方法及装置。

背景技术

目前ARP广泛应用于因特网协议(Internet Protocol，IP)网络。局域网主机要实现与外部网络通信，需要向网关发送ARP请求报文，从而获得网关的设备的媒体接入控制(Media Access Control，MAC)地址，从而实现网络设备之间的通信。如果网关不能正确、及时对ARP请求报文做出响应，局域网主机将无法实现与外部网络通信。网关受到ARP攻击可能会影响到网关对ARP请求报文做出响应。

为应对ARP攻击，业界提出了相应的解决方案。例如，网关的数据平面收到ARP请求报文后，仅在数据平面对ARP请求报文进行响应，不上送至网关的控制平面。网关的数据平面处理ARP请求报文的能力较强，因此可以较好地应对ARP攻击。

但是，网关的数据平面不能对所有类型的ARP请求报文都做出有效处理。例如，有的ARP请求报文包含两层虚拟局域网(Virtual Local Area Network，VLAN)标签(以下简称Q对，具体可参考IEEE802.1ad)。收到包含Q对的ARP请求报文后，网关需要根据该ARP请求报文中包含的Q对，生成一个索引。Q对的索引范围很大(大约为2的24次方)，在数据平面建立建立一个包含224的表项的用户会话表代价较大。实际应用中，数据平面的用户会话表的表项较少，一般为几十K。因此索引的取值范围在0～几十K之间。为了在较大取值范围的Q对与较小取值范围的用户会话表之间建立映射关系，网关的控制平面依靠用户主机的ARP请求报文触发动态学习Q对并分配用户会话表索引，建立映射关系并下发到网关的数据平面建立用话会话。如果ARP请求报文没有被送到控制平面进行处理就无法建立用户会话表，从而导致用户主机无法与外网进行通信。

因此，仅在数据平面对ARP请求报文进行响应，可能导致部分网络设备无法接入外部网络。

发明内容

本发明实施例提供一种ARP请求报文验证方法，可以解决仅在数据平面对ARP请求报文进行响应，可能导致部分网络设备无法接入外部网络的问题。

一方面，本发明实施例提供的一种地址解析协议ARP请求报文验证方法，包括：

网关收到ARP请求报文；

如果该网关在ARP缓存表中没有查询到与该ARP请求报文匹配的表项，该网关发出ARP验证报文，该ARP验证报文的目的因特网协议IP地址为该ARP请求报文的源IP地址，该ARP验证报文的源IP地址和源媒体接入控制MAC地址分别为验证IP地址和验证MAC地址，该验证IP地址与该网关的IP地址为同一网段的地址，该验证IP地址不同于该网关的IP地址；

该网关收到第一报文，判断该第一报文是否是该ARP验证报文对应的响应报文；

如果该第一报文是该ARP验证报文对应的响应报文，将该第一报文上送到该网关的控制平面。

另一方面，本发明实施例提供的一种ARP请求报文验证装置，包括：

接收器，网关用于收到ARP请求报文；

发送器，用于如果该网关在ARP缓存表中没有查询到与该ARP请求报文匹配的表项，该网关发出ARP验证报文，该ARP验证报文的目的因特网协议IP地址为该ARP请求报文的源IP地址，该ARP验证报文的源IP地址和源媒体接入控制MAC地址分别为验证IP地址和验证MAC地址，该验证IP地址与该网关的IP地址为同一网段的地址，该验证IP地址不同于该网关的IP地址；

判断单元，该网关用于收到第一报文，判断该第一报文是否是该ARP验证报文对应的响应报文；

上送单元，用于如果该第一报文是该ARP验证报文对应的响应报文，将该第一报文上送到该网关的控制平面。

可见，通过本发明实施例提供的ARP请求报文验证方法及装置，可以解决仅在数据平面对ARP请求报文进行响应，可能导致部分网络设备无法接入外部网络的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供ARP请求报文验证方法及装置应用于某一场景的组网结构图；