一种防止IPv6网关邻居欺骗攻击的方法及系统

摘要

本发明公开了一种防止IPv6网关邻居欺骗攻击的方法及系统，该方法包括：在配置为IPv6网关的汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址；汇聚交换机将所述三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文，通过配置的IP地址发送给接入交换机；接入交换机接收映射报文，将映射报文中携带的IPv6地址和链路层地址映射关系保存到本地映射表项中；接入交换机监听邻居请求报文或邻居公告报文，分别根据邻居请求报文或邻居公告报文中源地址或目标地址与本地网关IP地址是否一致，且源链路层地址或目标链路层地址与映射表中链路层地址是否一致，判断邻居请求报文和邻居公告报文的合法性。

主权项

一种防止IPv6网关邻居欺骗攻击的方法，该方法应用于由IPv6主机、接入交换机和汇聚交换机组成的系统，包括如下步骤：S1：在配置为IPv6网关的汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址；S2：所述汇聚交换机将所述三层接口下联的接入交换机的合法IPv6地址和合法链路层地址封装成自定义的映射报文，并将所述映射报文通过下联的接入交换机的IP地址发送给接入交换机；S3：接入交换机接收映射报文，并将映射报文中携带的IPv6地址和链路层地址保存到本地网关IP和链路层地址的映射表项中；S4：接入交换机监听接收到的所有邻居请求报文或邻居公告报文，并通过重定向模块将所述报文重定向至接入交换机的判断模块；S5：判断模块对接收到的报文的合法性进行判断：接入交换机接收邻居请求报文，当邻居请求报文的源IP地址为单播地址，且源链路层地址选项存在时，如源IP地址与映射表项中的网关IP一致，但源链路层地址选项中的链路层地址与映射表项中的链路层地址不一致，则判断该邻居请求报文为非法报文，丢弃该报文；如源IP地址与映射表项中的网关IP不一致，则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文；或者，接入交换机接收邻居公告报文，当邻居公告报文的目标地址选项存在，且目标链路层地址选项也存在时，如目标地址选项中的IP地址与映射表项中的网关IP一致，但目标链路层地址选项中的链路层地址与映射表项中的链路层地址不一致，则判断该邻居公告报文为非法报文，丢弃该报文；如目标地址选项中的IP地址与映射表项中的网关IP不一致，则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。