專(zhuān)利名稱(chēng)：：一種實(shí)現(xiàn)安全接入的方法和一種接入設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及IPv6
技術(shù)領(lǐng)域：
，尤指一種實(shí)現(xiàn)安全接入的方法和一種接入設(shè)備。
背景技術(shù)：
：第6版本的互聯(lián)網(wǎng)協(xié)議(IPv6，InternetProtocolVersion6)是互聯(lián)網(wǎng)工程任務(wù)組(IETF，InternetEngineeringTaskForce)設(shè)計(jì)的用于替代現(xiàn)行版本IP協(xié)議(IPv4)的下一代IP協(xié)議。鄰居發(fā)現(xiàn)(ND,NeighborDiscovery)協(xié)議是IPv6的基本組成部分。ND協(xié)議使用五種類(lèi)型的第6版本互聯(lián)網(wǎng)控制報(bào)文協(xié)議(ICMPv6，InternetControlMessageProtocolVersion6)報(bào)文實(shí)現(xiàn)以下功能地址解析、驗(yàn)證鄰居是否可達(dá)、重復(fù)地址4企測(cè)、路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)、地址自動(dòng)配置和重定向等。ND協(xié)議使用的五種類(lèi)型的ICMPv6報(bào)文及其作用如表1所示:<table>tableseeoriginaldocumentpage8</column></row><table>表1參見(jiàn)表1,路由器通告報(bào)文RA包括前綴信息選項(xiàng)和一些標(biāo)志位信息。其中兩個(gè)與地址分配相關(guān)的標(biāo)志位為(1)M管J里；也iiL酉己置才示i口、(Managedaddressconfiguration)M取值為0，表示無(wú)狀態(tài)地址分配，客戶(hù)端通過(guò)無(wú)狀態(tài)協(xié)議(如ND)獲得IPv6地址；M取值為1,表示有狀態(tài)地址分配，客戶(hù)端通過(guò)有狀態(tài)協(xié)議(如DHCPv6)獲得IPv6地址。(2)O其他狀態(tài)配置標(biāo)識(shí)(Otherstatefulconfiguration)O取值為0，表示客戶(hù)端通過(guò)無(wú)狀態(tài)協(xié)議(如ND)獲取除IPv6地址以外的配置信息；O取值為1，表示客戶(hù)端通過(guò)有狀態(tài)協(xié)議(如DHCPv6)獲取除IPv6地址以外的配置信息。協(xié)議中規(guī)定，若M為1，則O也應(yīng)置為l,否則無(wú)意義。下面對(duì)ND協(xié)議的五種類(lèi)型的ICMPv6才艮文所實(shí)現(xiàn)的功能進(jìn)行簡(jiǎn)單介紹1、地址解析地址解析是獲取同一鏈路上的鄰居節(jié)點(diǎn)的鏈路層地址，通過(guò)鄰居請(qǐng)求報(bào)文NS和鄰居通告才艮文NA實(shí)現(xiàn)。圖1是現(xiàn)有技術(shù)的地址解析過(guò)程的示意圖。如圖1所示，節(jié)點(diǎn)A要獲取節(jié)點(diǎn)B的鏈路層地址，則節(jié)點(diǎn)A以組播方式發(fā)送NS報(bào)文，該NS報(bào)文的源地址是節(jié)點(diǎn)A的接口IPv6地址，目的地址是節(jié)點(diǎn)B的被請(qǐng)求節(jié)點(diǎn)組播地址，報(bào)文內(nèi)容中包含了節(jié)點(diǎn)A的鏈路層地址；節(jié)點(diǎn)B收到NS報(bào)文后，判斷其中的目的地址是否為自己的IPv6地址對(duì)應(yīng)的被請(qǐng)求節(jié)點(diǎn)組播地址，如果是，則節(jié)點(diǎn)B學(xué)習(xí)節(jié)點(diǎn)A的鏈路層地址，并以單播方式向節(jié)點(diǎn)A返回NA報(bào)文，該NA報(bào)文中包含了節(jié)點(diǎn)B的鏈路層地址；節(jié)點(diǎn)A收到NA報(bào)文，從中獲取節(jié)點(diǎn)B的鏈路層地址。2、驗(yàn)證鄰居是否可達(dá)9在獲取到鄰居節(jié)點(diǎn)的鏈路層地址后，通過(guò)NS報(bào)文和NA報(bào)文可以驗(yàn)證鄰居節(jié)點(diǎn)是否可達(dá)。具體為節(jié)點(diǎn)發(fā)送NS報(bào)文，其中的目的地址是鄰居節(jié)點(diǎn)的IPv6地址，如果收到鄰居節(jié)點(diǎn)的確認(rèn)報(bào)文NA,則認(rèn)為鄰居節(jié)點(diǎn)可達(dá)，否則，認(rèn)為鄰居不可達(dá)。3、重復(fù)地址檢測(cè)(DAD)當(dāng)節(jié)點(diǎn)獲取到一個(gè)IPv6地址后，需要使用重復(fù)地址檢測(cè)功能確定該地址是否已被其他節(jié)點(diǎn)使用。圖2是現(xiàn)有技術(shù)中的重復(fù)地址檢測(cè)過(guò)程的示意圖。如圖2所示，節(jié)點(diǎn)A發(fā)送NS報(bào)文，該NS報(bào)文的源地址是未指定的地址，用"::"表示，目的地址是待檢測(cè)的IPv6地址對(duì)應(yīng)的被請(qǐng)求節(jié)點(diǎn)組播地址，NS報(bào)文的內(nèi)容中包含了待檢測(cè)的IPv6地址；如果節(jié)點(diǎn)B已經(jīng)使用了這個(gè)待檢測(cè)的IPv6地址，則會(huì)組播返回NA報(bào)文，該NA報(bào)文中包含了節(jié)點(diǎn)B自身的IPv6地址；節(jié)點(diǎn)A收到節(jié)點(diǎn)B發(fā)送的NA報(bào)文后，便知道該IPv6地址，反之，則說(shuō)明該地址未被使用，節(jié)點(diǎn)A可以^使用該IPv6地址。4、路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)及無(wú)狀態(tài)地址自動(dòng)配置路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)是指節(jié)點(diǎn)從收到的RA報(bào)文中獲取鄰居路由器及所在網(wǎng)絡(luò)的前綴，以及其他配置參數(shù)。無(wú)狀態(tài)地址自動(dòng)配置是指節(jié)點(diǎn)根據(jù)路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)所獲取的信息，自動(dòng)配置IPv6地址。路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)通過(guò)RS和RA報(bào)文來(lái)實(shí)現(xiàn)，具體過(guò)程如下(1)節(jié)點(diǎn)啟動(dòng)時(shí)，通過(guò)RS報(bào)文向路由器發(fā)送請(qǐng)求，請(qǐng)求前綴和其他配置信息，以便用于節(jié)點(diǎn)的配置；(2)路由器返回RA報(bào)文，其中包括前綴信息選項(xiàng)；需要說(shuō)明的是除了響應(yīng)RS路由器也會(huì)周期性地發(fā)布RA報(bào)文；(3)節(jié)點(diǎn)利用路由器返回的RA報(bào)文中的地址前綴及其他配置參數(shù)，自動(dòng)配置接口的IPv6地址及其他信息。在自動(dòng)配置生成IPv6地址時(shí)，為了防止與現(xiàn)有網(wǎng)絡(luò)中的其他設(shè)備或主機(jī)地址沖突，需要進(jìn)行一次重復(fù)地址檢測(cè)過(guò)程，檢測(cè)沒(méi)有重復(fù)地址，則地址生效。前綴信息選項(xiàng)中不僅包括地址前綴信息，還包括該地址前綴的首選生命期(preferredlifetime)和有效生命期(validlifetime)。節(jié)點(diǎn)收到路由器周期性發(fā)送的RA報(bào)文后，會(huì)根據(jù)該報(bào)文更新前綴的首選生命期和有效生命期。在有效生命期內(nèi)，自動(dòng)生成的地址可以正常使用，有效生命期過(guò)期后，自動(dòng)生成的地址將被刪除。5、重定向功能當(dāng)主機(jī)啟動(dòng)時(shí)，它的路由表中可能只有一條到缺省網(wǎng)關(guān)的缺省路由。當(dāng)滿(mǎn)足一定的條件時(shí)，缺省網(wǎng)關(guān)會(huì)向源主機(jī)發(fā)送ICMPv6重定向報(bào)文，通知主機(jī)選擇更好的下一跳進(jìn)行后續(xù)報(bào)文的發(fā)送。上述便是ND協(xié)議的五種類(lèi)型的ICMPv6報(bào)文所實(shí)現(xiàn)的功能。支持IPv6的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCPv6，DynamicHostConfigurationProtocolforIPv6)是針對(duì)IPv6編址方案設(shè)計(jì)的、為主機(jī)分配IPv6地址和其他網(wǎng)絡(luò)配置參數(shù)的協(xié)議。DHCPv6是一種有狀態(tài)地址分配方式。DHCPv6除了為主機(jī)分配IP地址以外，還能夠?yàn)橹鳈C(jī)提供域名服務(wù)器(DNS,DomainNameServer)、域名等網(wǎng)絡(luò)配置參數(shù)。DHCPv6采用客戶(hù)端/服務(wù)器通信模式，由客戶(hù)端設(shè)備向DHCPv6服務(wù)器提出配置申請(qǐng)，DHCPv6服務(wù)器返回為客戶(hù)端分配的IP地址等相應(yīng)的配置信息，以實(shí)現(xiàn)IP地址等信息的動(dòng)態(tài)配置。圖3是現(xiàn)有技術(shù)中的DHCPv6有狀態(tài)配置方式下的地址分配報(bào)文交互過(guò)程的示意圖。如圖3所示，包括以下步驟步驟301，客戶(hù)端設(shè)備主動(dòng)發(fā)送懇求(Solicit)報(bào)文，該報(bào)文是目的地址為FF02::1:2的多播報(bào)文，該目的地址表示所有的DHCPv6中繼設(shè)備和DHCPv6服務(wù)器的地址。該懇求(Solicit)報(bào)文經(jīng)過(guò)DHCPv6中繼設(shè)備轉(zhuǎn)發(fā)至DHCPv6服務(wù)器，后續(xù)客戶(hù)端設(shè)備和DHCPv6服務(wù)器之間的通信報(bào)文都經(jīng)過(guò)DHCPv6中繼設(shè)備轉(zhuǎn)發(fā)，不再--說(shuō)明。步驟302,收到懇求(Solicit)報(bào)文的DHCPv6服務(wù)器，回應(yīng)通告(Advertise)報(bào)文，該通告報(bào)文中攜帶DHCPv6服務(wù)器的標(biāo)識(shí)和優(yōu)先權(quán)信息?？蛻?hù)端設(shè)備在指定時(shí)間內(nèi)收集所有DHCPv6月良務(wù)器返回的通告(Advertise)報(bào)文，根據(jù)其中的優(yōu)先權(quán)信息選擇一個(gè)DHCPv6服務(wù)器。步驟303,客戶(hù)端設(shè)備向所選擇的DHCPv6服務(wù)器發(fā)送請(qǐng)求(Request)報(bào)文。步驟304，相應(yīng)的DHCPv6服務(wù)器收到請(qǐng)求(Request)報(bào)文后，從前綴池中選4奪一個(gè)前綴，并通過(guò)回復(fù)(Reply)才艮文返回給客戶(hù)端i殳備?？蛻?hù)端設(shè)備根據(jù)回復(fù)(Reply)報(bào)文中的前綴配置自身的IPv6地址，以及根據(jù)回復(fù)(Reply)報(bào)文中的其他信息配置自身的參數(shù)。步驟305，當(dāng)指定時(shí)間T1到達(dá)時(shí)，客戶(hù)端設(shè)備向DHCPv6服務(wù)器發(fā)送續(xù)約(Renew)報(bào)文，為所使用的IP地址續(xù)約。這里Tl是所使用的IP地址租期的50%。步驟306，DHCPv6服務(wù)器根據(jù)綁定情況為客戶(hù)端設(shè)備續(xù)約，同時(shí)將選項(xiàng)(option)填上后返回回復(fù)(Reply)報(bào)文，同意續(xù)約。如果選項(xiàng)(option)發(fā)生變化，客戶(hù)端設(shè)備也能感知。步驟307,當(dāng)T2時(shí)間到達(dá)時(shí)客戶(hù)端設(shè)備沒(méi)有收到回應(yīng)的續(xù)約(Renew)報(bào)文的Reply報(bào)文，則向DHCPv6服務(wù)器發(fā)送重新綁定(Rebind)報(bào)文。這里Tl是所使用的IP地址租期的80%。步驟308，DCHPv6服務(wù)器收到重新綁定(Rebind)報(bào)文后，執(zhí)行與步驟306類(lèi)似的操作，返回回復(fù)(Reply)報(bào)文。步驟309，DHCPv6月l務(wù)器在選項(xiàng)(option)參數(shù)發(fā)生變化時(shí)，主動(dòng)向客戶(hù)端發(fā)送重新配置(Reconfigure)報(bào)文，以通知客戶(hù)端設(shè)備相應(yīng)更新配置參數(shù)。步驟310,客戶(hù)端設(shè)備接收到重新配置(Reconfigure)報(bào)文后，解析報(bào)文中的"OPTION_RECONF_MSG"，如果其中的"msg-type"為5，則表示前綴變化，發(fā)送續(xù)約(Renew)報(bào)文；如果其中的"msg-type"為11，則表示選項(xiàng)參數(shù)變化，發(fā)送信息請(qǐng)求(Information-r叫uest)報(bào)文。步驟311，DHCPv6服務(wù)器返回相應(yīng)的回復(fù)(Reply)報(bào)文。步驟312,如果客戶(hù)端設(shè)備不再使用IP地址，如用戶(hù)下線(xiàn)時(shí)，客戶(hù)端設(shè)備向DHCPv6服務(wù)器發(fā)送租約釋放(Release)報(bào)文。步驟313,接收到租約釋放(Release)報(bào)文后，DHCPv6服務(wù)器將相應(yīng)的IP地址標(biāo)記為空閑，以備后續(xù)重新使用，并返回相應(yīng)的回復(fù)(Reply)報(bào)文。步驟314，如果客戶(hù)端設(shè)備在根據(jù)步驟304中的所得到的前綴進(jìn)行地址配置后，通過(guò)重復(fù)地址檢測(cè)發(fā)現(xiàn)該地址已經(jīng)被使用，則向DHCPv6服務(wù)器發(fā)送拒絕(Decline)報(bào)文，以告知DHCPv6服務(wù)器，則DHCPv6服務(wù)器收回為該客戶(hù)端分配的IP地址。在現(xiàn)有的局域網(wǎng)組網(wǎng)中，IPv6地址大多通過(guò)無(wú)狀態(tài)地址自動(dòng)配置方式進(jìn)行配置。圖4是現(xiàn)有4支術(shù)中的局域網(wǎng)組網(wǎng)示意圖。如圖4所示的組網(wǎng)中，接入層的接入設(shè)備為二層交換機(jī)，匯聚層的接入設(shè)備為三層交換機(jī)。主機(jī)接入后，發(fā)送RS報(bào)文；匯聚層交換機(jī)回應(yīng)RA報(bào)文，公告合法前綴；主機(jī)使用公告的前綴生成自己的IPv6全球單播地址，然后就可以通過(guò)匯聚層設(shè)備上網(wǎng)。但是在現(xiàn)有IPv6地址分配方案中，RS報(bào)文和RA報(bào)文沒(méi)有任何驗(yàn)證，任意主枳d妾入后，都能夠獲得前綴，并生成自己的IPv6地址，然后通過(guò)匯聚層設(shè)備訪(fǎng)問(wèn)外部。甚至主機(jī)自己配置IPv6地址，也可以通過(guò)匯聚層設(shè)備訪(fǎng)問(wèn)外部網(wǎng)絡(luò)。可見(jiàn)，現(xiàn)有的IPv6地址分配方式并不安全。
發(fā)明內(nèi)容本發(fā)明提供了一種實(shí)現(xiàn)安全接入的方法，該方法能夠保證IPv6全球單播地址配置的安全性。本發(fā)明還提供了一種接入設(shè)備，其接入設(shè)備能夠保證IPv6全球單播地址配置的安全性。為達(dá)到上述目的，本發(fā)明的技術(shù)方案具體是這樣實(shí)現(xiàn)的本發(fā)明公開(kāi)了一種實(shí)現(xiàn)安全接入的方法，該方法應(yīng)用于IPv6網(wǎng)絡(luò)中的134妄入i殳備上，該方法包才舌對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證；當(dāng)接入認(rèn)證成功時(shí)，為客戶(hù)端設(shè)備分配IPv6全球單播地址；當(dāng)接入認(rèn)證成功時(shí)，在用戶(hù)表中為所述客戶(hù)端設(shè)備建立對(duì)應(yīng)的表項(xiàng)；該對(duì)應(yīng)表項(xiàng)中的IPv6全球單播地址為空，且表項(xiàng)狀態(tài)為初始狀態(tài)；采用無(wú)狀態(tài)地址自動(dòng)配置方式或DHCPv6方式為客戶(hù)端設(shè)備分配IPv6全球單播地址；當(dāng)為客戶(hù)端設(shè)備分配IPv6全5求單播地址成功時(shí)，將所成功分配的IPv6地址添加到用戶(hù)表中的與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)；根據(jù)正常狀態(tài)的表項(xiàng)下發(fā)訪(fǎng)問(wèn)控制列表ACL,只允許符合該ACL的客戶(hù)端設(shè)備依據(jù)預(yù)定策略訪(fǎng)問(wèn)網(wǎng)絡(luò)。本發(fā)明還公開(kāi)了一種接入設(shè)備，該接入i殳備包括認(rèn)證模塊、地址分配模塊和訪(fǎng)問(wèn)控制模塊，其中，認(rèn)證模塊，用于對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證，并在認(rèn)證成功時(shí)向地址分配模塊發(fā)送認(rèn)證成功消息；地址分配模塊，用于在收到認(rèn)證成功消息時(shí)，在用戶(hù)表中為所述客戶(hù)端設(shè)備建立對(duì)應(yīng)的表項(xiàng)，且所建立的表項(xiàng)中，IPv6全J求單播地址為空，表項(xiàng)狀態(tài)為初始狀態(tài)；用于采用無(wú)狀態(tài)地址自動(dòng)配置方式或DHCPv6方式為客戶(hù)端設(shè)備分配IPv6全球單播地址；當(dāng)為客戶(hù)端設(shè)備分配IPv6全球單播地址成功時(shí)，將所成功分配的IPv6地址添加到用戶(hù)表中的與客戶(hù)端i殳備對(duì)應(yīng)的表項(xiàng)中，將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)，向訪(fǎng)問(wèn)控制沖莫塊發(fā)送地址分配成功消臺(tái).訪(fǎng)問(wèn)控制模塊，用于在接收到地址分配成功消息時(shí)，根據(jù)所述客戶(hù)端設(shè)備對(duì)應(yīng)的正常狀態(tài)的表項(xiàng)下發(fā)訪(fǎng)問(wèn)控制列表ACL,只允許符合該ACL的客戶(hù)端設(shè)備依據(jù)預(yù)定策略訪(fǎng)問(wèn)網(wǎng)絡(luò)。由上述4支術(shù)方案可見(jiàn)，本發(fā)明這種對(duì)客戶(hù)端設(shè)備進(jìn)行4秦入認(rèn)證，當(dāng)接入認(rèn)證成功時(shí)，為客戶(hù)端設(shè)備分配IPv6全球單播地址，當(dāng)客戶(hù)端設(shè)備成功獲得IPv6全球單播地址時(shí)，允許客戶(hù)端設(shè)備使用所獲得的IPv6全球單播地址訪(fǎng)問(wèn)網(wǎng)絡(luò)的技術(shù)方案，由于先對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證，然后只為通過(guò)認(rèn)證的客戶(hù)端設(shè)備分配IPV6全球單播地址，并在地址分配時(shí)允許其訪(fǎng)問(wèn)網(wǎng)絡(luò)的技術(shù)方案，能夠保證IPv6全球單播地址配置的安全性。圖1是現(xiàn)有技術(shù)的地址解析過(guò)程的示意圖2是現(xiàn)有技術(shù)中的重復(fù)地址檢測(cè)過(guò)程的示意圖3是現(xiàn)有技術(shù)中的DHCPv6有狀態(tài)配置方式下的地址分配報(bào)文交互過(guò)程的示意圖4是現(xiàn)有技術(shù)中的局域網(wǎng)組網(wǎng)示意圖5是本發(fā)明實(shí)施例一種實(shí)現(xiàn)安全接入的方法的流程圖6是本發(fā)明實(shí)施例中的匯聚層接入設(shè)備實(shí)現(xiàn)安全接入的流程示意圖7是本發(fā)明實(shí)施例一種接入設(shè)備的組成結(jié)構(gòu)框圖。具體實(shí)施例方式圖5是本發(fā)明實(shí)施例一種實(shí)現(xiàn)安全接入的方法的流程圖。該方法應(yīng)用于IPv6網(wǎng)絡(luò)中的接入設(shè)備上，該接入設(shè)備即可以是接入層的接入設(shè)備，也可以是匯聚層的接入設(shè)備。如圖5所示，該方法包括步驟501，對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證。本步驟中，對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證的方式可以采用PORTAL認(rèn)證或802.1x認(rèn)證等現(xiàn)有的接入認(rèn)證技術(shù)。步驟502，當(dāng)接入認(rèn)證成功時(shí)，在用戶(hù)表中為所述客戶(hù)端設(shè)備建立對(duì)應(yīng)的表項(xiàng)；該對(duì)應(yīng)表項(xiàng)中的IPv6全球單播地址為空，且表項(xiàng)狀態(tài)為初始狀態(tài)；采用無(wú)狀態(tài)地址自動(dòng)配置方式或DHCPv6方式為客戶(hù)端設(shè)備分配IPv6全球單播地址；當(dāng)為客戶(hù)端設(shè)備分配IPv6全球單播地址成功時(shí)，將所成功分配的IPv6地址添加到用戶(hù)表中的與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)。步驟503,根據(jù)正常狀態(tài)的表項(xiàng)下發(fā)訪(fǎng)問(wèn)控制列表ACL,只允許符合該ACL的客戶(hù)端設(shè)備依據(jù)預(yù)定策略訪(fǎng)問(wèn)網(wǎng)絡(luò)。為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，下面以匯聚層接入設(shè)備采用PORTAL認(rèn)證方式以及無(wú)狀態(tài)地址自動(dòng)配置方式進(jìn)4亍4矣入控制為例，對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。在本實(shí)施例中，在初始狀態(tài)(沒(méi)有為任何客戶(hù)端設(shè)備分配IPv6全球單播地址)下，匯聚層接入設(shè)備上做如下的配置接入設(shè)備不允許任何IPv6全球單播地址進(jìn)行IPv6三層報(bào)文轉(zhuǎn)發(fā)；接入設(shè)備可定期發(fā)布RA報(bào)文，不包含IPv6前綴信息，但公布DNS服務(wù)器位置以及網(wǎng)關(guān)等信息；或者，RA中也可以提供受限前綴信息，但接入設(shè)備上對(duì)該受限前綴進(jìn)行過(guò)濾，不允許客戶(hù)端設(shè)備根據(jù)該受限前綴自動(dòng)配置生成的地址通過(guò)設(shè)備進(jìn)行三層轉(zhuǎn)發(fā)，或者通過(guò)ACL限制其只能訪(fǎng)問(wèn)某些IP地址，比如DNS服務(wù)器地址等，如果該客戶(hù)端需要訪(fǎng)問(wèn)外部網(wǎng)絡(luò)，則可以先進(jìn)4亍認(rèn)i正，認(rèn)證通過(guò)后向該客戶(hù)端設(shè)備公告不受限的前綴，從而使得該客戶(hù)端設(shè)備根據(jù)不受限的前綴生成能夠訪(fǎng)問(wèn)外部網(wǎng)絡(luò)的IPv6全球單播地址；DNS服務(wù)器應(yīng)該部署在客戶(hù)端設(shè)備可以訪(fǎng)問(wèn)的位置，即與客戶(hù)端設(shè)備位于同一鏈路，或者配置接入設(shè)備允許客戶(hù)端設(shè)備訪(fǎng)問(wèn)DNS服務(wù)器的IP地址；當(dāng)有DNS域名請(qǐng)求查詢(xún)時(shí)，DNS服務(wù)器才艮據(jù)請(qǐng)求的源地址，返回同一范圍內(nèi)的IP地址，或返回多個(gè)范圍的IP地址，供客戶(hù)端設(shè)備使用；參見(jiàn)圖6,匯聚層接入設(shè)備在收到IPv6的超文本傳輸協(xié)議HTTP請(qǐng)求時(shí)，仿冒目的設(shè)備與客戶(hù)端設(shè)備進(jìn)行TCP連接，并利用重定向技術(shù)，將HTTP請(qǐng)求重定向到PORTAL認(rèn)證服務(wù)器上，強(qiáng)制客戶(hù)端設(shè)備進(jìn)行PORTAL認(rèn)證。PROTAL認(rèn)證服務(wù)器向接入設(shè)備和客戶(hù)端設(shè)備返回認(rèn)證結(jié)果。PORTAL認(rèn)證服務(wù)器如何對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證的過(guò)程是現(xiàn)有技術(shù)，這里不再詳述。這里，客戶(hù)端設(shè)備沒(méi)有IPv6全球單播地址，也能夠發(fā)送HTTP請(qǐng)求，是因16為IPv6協(xié)議棧只要一啟動(dòng)，就至少生成IPv6鏈i各本地地址，并用于HTTP請(qǐng)求。參見(jiàn)圖6，當(dāng)客戶(hù)端設(shè)備的PORTAL認(rèn)證通過(guò)時(shí)，接入設(shè)備在用戶(hù)表中為所述客戶(hù)端設(shè)備建立對(duì)應(yīng)的表項(xiàng)；所述用戶(hù)表中的每一個(gè)表項(xiàng)包括用戶(hù)名、IPv6鏈路本地地址、IPv6全球單播地址、鏈路層地址、端口以及表項(xiàng)狀態(tài)。在本發(fā)明的一個(gè)實(shí)施例中，用戶(hù)表如表2所示<table>tableseeoriginaldocumentpage17</column></row><table>表2在本實(shí)施例中，接入設(shè)備為客戶(hù)端設(shè)備建立的表項(xiàng)中，IPv6全球單播地址為空，等待后續(xù)的處理填充，而IPv6鏈路本地地址可能為鏈i洛本地地址或受限的全球地址，接入設(shè)備在用戶(hù)名、鏈路層地址和端口的位置中填入相應(yīng)的內(nèi)容，表項(xiàng)狀態(tài)為初始(INIT)狀態(tài)。當(dāng)客戶(hù)端設(shè)備的對(duì)應(yīng)表項(xiàng)的狀態(tài)為初始狀態(tài)時(shí)，接入設(shè)備主動(dòng)向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的單播路由器通告RA報(bào)文，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)；或者，接入設(shè)備也可以在接收到客戶(hù)端設(shè)備發(fā)送的路由器請(qǐng)求RS才艮文時(shí)，沖艮據(jù)客戶(hù)端設(shè)備的IPv6地址、鏈路層地址和端口查找用戶(hù)表，如果存在對(duì)應(yīng)的表項(xiàng)并且該表項(xiàng)的狀態(tài)為初始狀態(tài)，則向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的單播RA報(bào)文，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)。如果查找用戶(hù)表，沒(méi)有存在對(duì)應(yīng)的表項(xiàng)，則丟棄RS報(bào)文?？蛻?hù)端設(shè)備在接收到RA報(bào)文后，根據(jù)其中的前綴生成自己的IPv6全球單播地址并進(jìn)行DAD檢測(cè)。則在接入設(shè)備這一側(cè)，如果在將表項(xiàng)的狀態(tài)置為RA狀態(tài)之后的第一預(yù)設(shè)時(shí)間(如1秒)內(nèi)收到所述客戶(hù)端設(shè)備發(fā)送的重復(fù)地址4全測(cè)鄰居請(qǐng)求DADNS報(bào)文，且用戶(hù)表中的與所述客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)處于RA狀態(tài)，則將所接收的DADNS報(bào)文中的IPv6全球單播地址添加到對(duì)應(yīng)表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)，同時(shí)加入此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組。如果在將表項(xiàng)的狀態(tài)置為DAD狀態(tài)后的第二預(yù)設(shè)時(shí)間(如l秒)內(nèi)，接入設(shè)備沒(méi)有收到與所述DADNS報(bào)文對(duì)應(yīng)的鄰居通告NA報(bào)文，則表示沒(méi)有重復(fù)的地址存在，客戶(hù)端設(shè)備能夠使用DAD檢測(cè)的IPv6全球單播地址，因此接人設(shè)備將客戶(hù)端設(shè)備的對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常(NORMAL)狀態(tài)。然后離開(kāi)此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組。當(dāng)客戶(hù)端設(shè)備的對(duì)應(yīng)表項(xiàng)的狀態(tài)為NORMAL狀態(tài)時(shí)，接入設(shè)備根據(jù)該對(duì)應(yīng)表項(xiàng)下發(fā)訪(fǎng)問(wèn)控制列表ACL,只允許符合該ACL的客戶(hù)端設(shè)備訪(fǎng)問(wèn)網(wǎng)絡(luò)；其中，所述ACL包括該表項(xiàng)中的IPv6全球單播地址、端口，或者該表項(xiàng)中的IPv6全球單播地址、端口和鏈路層地址。此時(shí)，客戶(hù)端設(shè)備可以采用所獲得的IPv6全球單播地址上網(wǎng)。在圖6所示的實(shí)施例中，對(duì)于客戶(hù)端設(shè)備來(lái)說(shuō)，在未認(rèn)證之前，只能使用IPv6鏈^各本地地址，在局域網(wǎng)或受限網(wǎng)絡(luò)內(nèi)訪(fǎng)問(wèn)資源。而在認(rèn)證后，只需成功分配到1IPv6全球單播地址，就能夠訪(fǎng)問(wèn)外部網(wǎng)絡(luò)。此外，在圖6所示的實(shí)施例中，還啟動(dòng)定時(shí)握手機(jī)制。即接入設(shè)備利用鄰居請(qǐng)求NS報(bào)文驗(yàn)證鄰居是否可達(dá)的功能定期監(jiān)視客戶(hù)端設(shè)備是否在線(xiàn)，具體為接入設(shè)備向客戶(hù)端設(shè)備發(fā)送NS報(bào)文，其中的目的地址是客戶(hù)端設(shè)備的IPv6全球單播地址，如果收到客戶(hù)端設(shè)備返回的確認(rèn)報(bào)文NA，則客戶(hù)端設(shè)備在線(xiàn)，否則，客戶(hù)端設(shè)備不在線(xiàn)。如果客戶(hù)端設(shè)備不在線(xiàn)的時(shí)間超過(guò)第三預(yù)設(shè)時(shí)間(如180秒)，則刪除該客戶(hù)端設(shè)備對(duì)應(yīng)的ACL,并將用戶(hù)表中的與該客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)的狀態(tài)置為初始狀態(tài)；如果客戶(hù)端設(shè)備不在線(xiàn)的時(shí)間超過(guò)第四預(yù)i殳時(shí)間(如360秒)，則從用戶(hù)表中刪除與該客戶(hù)端設(shè)備只十應(yīng)的表項(xiàng)。如果客戶(hù)端設(shè)備不在線(xiàn)的時(shí)間在第三預(yù)設(shè)時(shí)間和第四預(yù)設(shè)時(shí)間之間，然后該客戶(hù)端設(shè)備重新上線(xiàn)，在這種情況下(1)如果PORTAL認(rèn)證的策略是對(duì)重新上線(xiàn)的客戶(hù)端設(shè)備不再重新進(jìn)行認(rèn)證，則接入設(shè)備通過(guò)客戶(hù)端設(shè)備的重新配置IP地址的過(guò)程和DAD4全測(cè)過(guò)程，將用戶(hù)表中的與該客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)的狀態(tài)置為NORMAL狀態(tài)，下發(fā)ACL;(2)如果POTAL認(rèn)證的策略對(duì)重新上線(xiàn)的客戶(hù)端設(shè)備需要重新進(jìn)行認(rèn)證，則接入設(shè)備根據(jù)認(rèn)證結(jié)果更新用戶(hù)表中的與該客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)，并通過(guò)后續(xù)的IP地址分配過(guò)程以及DAD檢測(cè)過(guò)程將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為NORMAL狀態(tài)，下發(fā)ACL。在圖6所示的實(shí)施例中才婁入i殳備為匯聚層的三層"ll:入"i殳備。本發(fā)明的4支術(shù)方案還可以實(shí)施在接入層的二層接入設(shè)備上，其實(shí)現(xiàn)安全接入的過(guò)程與圖6相同。另外接入認(rèn)證也可以采用802.1x認(rèn)證，在這種方式下，由接入設(shè)備直接對(duì)客戶(hù)端設(shè)備進(jìn)行802.lx認(rèn)證，在認(rèn)證通過(guò)時(shí)再執(zhí)行IPv6全球單播地址分配的過(guò)程，以及在IPv6全球單播地址分配成功后下發(fā)ACL的過(guò)程。在圖6所示的實(shí)施例中，IPv6全球單播地址分配采用的無(wú)狀態(tài)地址自動(dòng)分配方式。在本發(fā)明的其他實(shí)施例中可以采用有狀態(tài)的DHCPv6方式進(jìn)行IPv6全球單播地址分配。這種方式的具體流程如下(1)接入設(shè)備對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證；(2)當(dāng)接入認(rèn)證通過(guò)時(shí)，接入設(shè)備在用戶(hù)表中為客戶(hù)端設(shè)備建立對(duì)應(yīng)的表項(xiàng)，該表項(xiàng)中，IPv6全球單播地址為空，且表項(xiàng)狀態(tài)為初始狀態(tài)；(3)接入設(shè)備主動(dòng)向客戶(hù)端設(shè)備發(fā)送單播RA報(bào)文，該RA報(bào)文中的管理地址配置標(biāo)識(shí)M為l，用于通知客戶(hù)端設(shè)備采用DHCPv6方式申請(qǐng)IPv6全球單播地址；(4)客戶(hù)端設(shè)備采用DHCPv6方式申請(qǐng)IPv6全球單播地址，包括接入i殳備接收客戶(hù)端設(shè)備發(fā)送的DHCPv6懇求報(bào)文，向客戶(hù)端設(shè)備發(fā)送DHCPv6通告才艮文；接收客戶(hù)端"i殳備發(fā)送的DHCPv6請(qǐng)求報(bào)文，向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的DHCPv6回復(fù)報(bào)文，并將用戶(hù)表中的與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)的狀態(tài)置為回復(fù)狀態(tài)；上述DHCPv6交互過(guò)程與現(xiàn)有技術(shù)相同；(5)如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為回復(fù)狀態(tài)之后的第一預(yù)設(shè)時(shí)間內(nèi)，接入設(shè)備收到所述客戶(hù)端設(shè)備發(fā)送的DADNS報(bào)文，且用戶(hù)表中的與所述客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)處于RA狀態(tài)時(shí)，將所接收的DADNS報(bào)文中的IPv6全J求單播地址添加到對(duì)應(yīng)表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)，然后加入此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組；(6)如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)后的第二預(yù)設(shè)時(shí)間內(nèi)，表項(xiàng)的狀態(tài)置為正常狀態(tài)。然后離開(kāi)此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組。(7)接入設(shè)備根據(jù)正常狀態(tài)的表項(xiàng)下發(fā)ACL,使得對(duì)應(yīng)的客戶(hù)端設(shè)備能夠上網(wǎng)通過(guò)上述實(shí)施例可見(jiàn)，本發(fā)明的技術(shù)方案在IPv6環(huán)境下，通過(guò)接入認(rèn)證方式，保證IPv6全球單播地址配置的安全性，并且能夠有效地控制局域網(wǎng)中的客戶(hù)端對(duì)外部的訪(fǎng)問(wèn)。圖7是本發(fā)明實(shí)施例一種接入設(shè)備的組成結(jié)構(gòu)框圖。如圖7所示，該接入設(shè)備包括認(rèn)證模塊701、地址分配模塊702和訪(fǎng)問(wèn)控制模塊703,其中，認(rèn)證模塊701，用于對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證，并在認(rèn)證成功時(shí)向地址分配模塊702發(fā)送認(rèn)證成功消息；地址分配模塊702，用于在收到認(rèn)證成功消息時(shí)，在用戶(hù)表中為所述客戶(hù)端設(shè)備建立對(duì)應(yīng)的表項(xiàng)，且所建立的表項(xiàng)中，IPv6全球單播地址為空，表項(xiàng)狀態(tài)為初始狀態(tài)；用于采用無(wú)狀態(tài)地址自動(dòng)配置方式或DHCPv6方式為客戶(hù)端設(shè)備分配IPv6全球單播地址；當(dāng)為客戶(hù)端設(shè)備分配IPv6全球單播地址成功時(shí)，將所成功分配的IPv6地址添加到用戶(hù)表中的與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)中，將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)，向訪(fǎng)問(wèn)控制模塊703發(fā)送地址分配成功消息；訪(fǎng)問(wèn)控制模塊703，用于在接收到地址分配成功消息時(shí)，根據(jù)所述客戶(hù)端設(shè)備對(duì)應(yīng)的正常狀態(tài)的表項(xiàng)下發(fā)訪(fǎng)問(wèn)控制列表ACL，只允許符合該ACL的客戶(hù)端設(shè)備依據(jù)預(yù)定策略訪(fǎng)問(wèn)網(wǎng)絡(luò)。在圖7中，所述認(rèn)證模塊701，用于在接收到客戶(hù)端設(shè)備發(fā)送的超文本傳輸協(xié)議HTTP請(qǐng)求時(shí)，將該HTTP請(qǐng)求重定向到PORTAL認(rèn)證服務(wù)器，并20接收PORTAL認(rèn)證服務(wù)器返回的iU正結(jié)果，如果認(rèn)證結(jié)果表示認(rèn)證成功，則向地址分配模塊發(fā)送認(rèn)證成功消息；或者，采用802.lx認(rèn)證方式對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證，在認(rèn)證成功時(shí)向地址分配模塊發(fā)送認(rèn)證成功消息。如圖7所示，該接入設(shè)備還包括存儲(chǔ)模塊704,用于存儲(chǔ)所述用戶(hù)表；所述用戶(hù)表中的每一個(gè)表項(xiàng)包括用戶(hù)名、IPv6鏈路本地地址、IPv6全球單播地址、鏈路層地址、端口以及表項(xiàng)狀態(tài)；所述ACL包括對(duì)應(yīng)表項(xiàng)中的IPv6全球單播地址、端口，或者對(duì)應(yīng)表項(xiàng)中的IPv6全3求單播地址、端口和4連;洛層地址。在圖7中，所述地址分配模塊702，用于在收到認(rèn)證成功消息，并為客戶(hù)端設(shè)備建立對(duì)應(yīng)表項(xiàng)且將該對(duì)應(yīng)表項(xiàng)的狀態(tài)置為初始狀態(tài)后，主動(dòng)向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的單播路由器通告RA報(bào)文，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)；或者，在接收到客戶(hù)端設(shè)備發(fā)送的路由器請(qǐng)求RS報(bào)文時(shí)，根據(jù)客戶(hù)端設(shè)備的IPv6鏈路本地地址、鏈路層地址和端口查找用戶(hù)表，如果存在對(duì)應(yīng)的表項(xiàng)并且該表項(xiàng)的狀態(tài)為初始狀態(tài)，則向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的單播RA報(bào)文，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)之后的第一預(yù)設(shè)時(shí)間內(nèi)收到所述客戶(hù)端設(shè)備發(fā)送的重復(fù)地址檢測(cè)鄰居請(qǐng)求DADNS報(bào)文，且用戶(hù)表中的與所述客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)處于RA狀態(tài)，則將所接收的DADNS報(bào)文中的IPv6全球單〗番地址添加到對(duì)應(yīng)表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)，同時(shí)加入此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)后的第二預(yù)設(shè)時(shí)間內(nèi)，沒(méi)有收到與所述DADNS報(bào)文對(duì)應(yīng)的鄰居通告NA報(bào)文，則將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)；然后離開(kāi)此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組；或者，在圖7中，所述地址分配模塊702，用于在收到認(rèn)證成功消息，并為客戶(hù)端設(shè)備建立對(duì)應(yīng)表項(xiàng)且將該對(duì)應(yīng)表項(xiàng)的狀態(tài)置為初始狀態(tài)后，主動(dòng)向客戶(hù)端設(shè)備發(fā)送單播RA報(bào)文，該RA報(bào)文中的管理地址配置標(biāo)識(shí)M為1，用于通知客戶(hù)端設(shè)備采用DHCPv6方式申請(qǐng)IPv6全球單播地址；接收客戶(hù)端設(shè)備發(fā)送的DHCPv6懇求報(bào)文，向客戶(hù)端設(shè)備發(fā)送DHCPv6通告報(bào)文；接收客戶(hù)端設(shè)備發(fā)送的DHCPv6請(qǐng)求報(bào)文，向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的DHCPv6回復(fù)報(bào)文，并將用戶(hù)表中的與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)的狀態(tài)置為回復(fù)狀態(tài)；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為回復(fù)狀態(tài)之后的第一預(yù)設(shè)時(shí)間內(nèi)收到所述客戶(hù)端設(shè)備發(fā)送的DADNS報(bào)文，且用戶(hù)表中的與所述客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)處于RA狀態(tài)時(shí)，將所接收的DADNS報(bào)文中的IPv6全球單^番地址添加到對(duì)應(yīng)表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)，同時(shí)加入此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組纟番組；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)后的第二預(yù)設(shè)時(shí)間內(nèi)，沒(méi)有收到與所述DADNS報(bào)文對(duì)應(yīng)的鄰居通告NA報(bào)文，則將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)。然后離開(kāi)此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組。如圖7所示，該接入設(shè)備進(jìn)一步包括監(jiān)視模塊705，用于利用鄰居請(qǐng)求NS報(bào)文的驗(yàn)證鄰居是否可達(dá)的功能定期監(jiān)視客戶(hù)端設(shè)備是否在線(xiàn)；如果客戶(hù)端設(shè)備不在線(xiàn)的時(shí)間超過(guò)第三預(yù)設(shè)時(shí)間，則刪除該客戶(hù)端設(shè)備對(duì)應(yīng)的果客戶(hù)端設(shè)備不在線(xiàn)的時(shí)間超過(guò)第四預(yù)設(shè)時(shí)間，則從用戶(hù)表中刪除與該客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)。綜上所述，本發(fā)明這種對(duì)客戶(hù)端i殳備進(jìn)行接入認(rèn)證，當(dāng)接入認(rèn)證成功時(shí)，為客戶(hù)端設(shè)備分配IPv6全球單播地址，當(dāng)客戶(hù)端設(shè)備成功獲得IPv6全球單播地址時(shí)，允許客戶(hù)端設(shè)備使用所獲得的IPv6全球單播地址訪(fǎng)問(wèn)網(wǎng)絡(luò)的技術(shù)方案，由于先對(duì)客戶(hù)端i殳備進(jìn)行接入iU正，然后只為通過(guò)認(rèn)證的客戶(hù)端設(shè)備分配IPV6全球單播地址，并在地址分配時(shí)允許其訪(fǎng)問(wèn)網(wǎng)絡(luò)的技術(shù)方案，能夠保證IPv6地址配置的安全性。在圖7中，所述訪(fǎng)問(wèn)控制模塊703，進(jìn)一步用于在初始時(shí)不允許任何IPv6全球單播地址進(jìn)行IPv6三層報(bào)文轉(zhuǎn)發(fā)；所述地址分配模塊702,進(jìn)一步用于在初始時(shí)定期發(fā)布不包含IPv6前綴信息的RA報(bào)文，或者，定期發(fā)布包含受限前綴信息的RA報(bào)文，并將受限前綴通知給訪(fǎng)問(wèn)控制模塊；所述訪(fǎng)問(wèn)控制模塊703，進(jìn)一步用于在接收到受限前綴時(shí)，對(duì)該受限前綴進(jìn)行過(guò)濾，不允許客戶(hù)端設(shè)備根據(jù)該受限前綴自動(dòng)配置生成的地址進(jìn)行三層轉(zhuǎn)發(fā)，或者通過(guò)ACL限制該地址只能訪(fǎng)問(wèn)預(yù)設(shè)的受限資源。以上所述，僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍，凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1、一種實(shí)現(xiàn)安全接入的方法，其特征在于，該方法應(yīng)用于IPv6網(wǎng)絡(luò)中的接入設(shè)備上，該方法包括對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證；當(dāng)接入認(rèn)證成功時(shí)，在用戶(hù)表中為所述客戶(hù)端設(shè)備建立對(duì)應(yīng)的表項(xiàng)；該對(duì)應(yīng)表項(xiàng)中的IPv6全球單播地址為空，且表項(xiàng)狀態(tài)為初始狀態(tài)；采用無(wú)狀態(tài)地址自動(dòng)配置方式或DHCPv6方式為客戶(hù)端設(shè)備分配IPv6全球單播地址；當(dāng)為客戶(hù)端設(shè)備分配IPv6全球單播地址成功時(shí)，將所成功分配的IPv6地址添加到用戶(hù)表中的與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)；根據(jù)正常狀態(tài)的表項(xiàng)下發(fā)訪(fǎng)問(wèn)控制列表ACL，只允許符合該ACL的客戶(hù)端設(shè)備依據(jù)預(yù)定策略訪(fǎng)問(wèn)網(wǎng)絡(luò)。2、如權(quán)利要求l所述的方法，其特征在于，所述對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證包括當(dāng)接收到客戶(hù)端設(shè)備發(fā)送的超文本傳輸協(xié)議HTTP請(qǐng)求時(shí)，將該HTTP請(qǐng)求重定向到PORTAL認(rèn)證服務(wù)器，由PORTAL認(rèn)證服務(wù)器對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證，并返回認(rèn)證結(jié)果；或者，采用802.1x認(rèn)證方式對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證。3、如權(quán)利要求l所述的方法，其特征在于，所述用戶(hù)表中的每一個(gè)表項(xiàng)包括用戶(hù)名、IPv6鏈;洛本地地址、IPv6全球單播地址、鏈路層地址、端口以及表項(xiàng)狀態(tài)；所述ACL包括該正常狀態(tài)的表項(xiàng)中的IPv6全球單播地址、端口，或者該表項(xiàng)中的IPv6全球單播地址、端口和鏈路層地址。4、如權(quán)利要求3所述的方法，其特征在于，所述采用無(wú)狀態(tài)地址自動(dòng)配置方式為客戶(hù)端設(shè)備分配IPv6全球IP地址，當(dāng)為客戶(hù)端設(shè)備分配IPv6全球單播地址成功時(shí)，將所成功分配的IPv6地址添加到與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)包括在客戶(hù)端設(shè)備的接入認(rèn)證成功，并為客戶(hù)端設(shè)備建立對(duì)應(yīng)表項(xiàng)且將該對(duì)應(yīng)表項(xiàng)的狀態(tài)置為初始狀態(tài)后，主動(dòng)向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的單播路由器通告RA報(bào)文，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)；或者，在接收到客戶(hù)端設(shè)備發(fā)送的路由器請(qǐng)求RS報(bào)文時(shí)，根據(jù)客戶(hù)端設(shè)備的IPv6鏈路本地地址、鏈路層地址和端口查找用戶(hù)表，如果存在對(duì)應(yīng)的表項(xiàng)并且該表項(xiàng)的狀態(tài)為初始狀態(tài)，則向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的單播RA報(bào)文，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)之后的第一預(yù)設(shè)時(shí)間內(nèi)收到所述客戶(hù)端設(shè)備發(fā)送的重復(fù)地址檢測(cè)鄰居請(qǐng)求DADNS報(bào)文，且用戶(hù)表中的與所述客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)處于RA狀態(tài)，則將所接收的DADNS報(bào)文中的IPv6全球單播地址添加到對(duì)應(yīng)表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)，同時(shí)力口入此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)后的第二預(yù)設(shè)時(shí)間內(nèi)，沒(méi)有收到與所述DADNS報(bào)文對(duì)應(yīng)的鄰居通告NA報(bào)文，則將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)，然后離開(kāi)此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組。。5、如權(quán)利要求3所迷的方法，其特征在于，所述采用DHCPv6方式為客戶(hù)端設(shè)備分配IPv6全球單播地址，當(dāng)為客戶(hù)端設(shè)備分配IPv6全球單播地址成功時(shí)，將所成功分配的IPv6地址添加到與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)的相應(yīng)位置中，并將表項(xiàng)狀態(tài)置為正常狀態(tài)包括在客戶(hù)端設(shè)備的接入認(rèn)證成功，并為客戶(hù)端設(shè)備建立對(duì)應(yīng)表項(xiàng)且將該對(duì)應(yīng)表項(xiàng)的狀態(tài)置為初始狀態(tài)后，主動(dòng)向客戶(hù)端設(shè)備發(fā)送單播RA報(bào)文，該RA報(bào)文中的管理地址配置標(biāo)識(shí)M為1,用于通知客戶(hù)端設(shè)備采用DHCPv6方式申請(qǐng)IPv6全球單播地址；接收客戶(hù)端設(shè)備發(fā)送的DHCPv6懇求報(bào)文，向客戶(hù)端設(shè)備發(fā)送DHCPv6通告報(bào)文；接收客戶(hù)端設(shè)備發(fā)送的DHCPv6請(qǐng)求報(bào)文，向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的DHCPv6回復(fù)報(bào)文，并將用戶(hù)表中的與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)的狀態(tài)置為回復(fù)狀態(tài)；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為回復(fù)狀態(tài)之后的第一預(yù)設(shè)時(shí)間內(nèi)收到所述客戶(hù)端設(shè)備發(fā)送的DADNS報(bào)文，且用戶(hù)表中的與所述客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)處于RA狀態(tài)時(shí)，將所接收的DADNS報(bào)文中的IPv6全5求單播地址添加到對(duì)應(yīng)表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)，同時(shí)加入此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)后的第二預(yù)設(shè)時(shí)間內(nèi)，沒(méi)有收到與所述DADNS才艮文對(duì)應(yīng)的鄰居通告NA報(bào)文，則將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)，然后離開(kāi)此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組。6、如權(quán)利要求3所述的方法，其特征在于，該方法進(jìn)一步包括利用鄰居請(qǐng)求NS報(bào)文的驗(yàn)證鄰居是否可達(dá)的功能定期監(jiān)視客戶(hù)端設(shè)備是否在線(xiàn)；如果客戶(hù)端設(shè)備不在線(xiàn)的時(shí)間超過(guò)第三預(yù)設(shè)時(shí)間，則刪除該客戶(hù)端設(shè)備對(duì)應(yīng)的ACL,并將用戶(hù)表中的與該客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)的狀態(tài)置為初始狀態(tài)；如果客戶(hù)端設(shè)備不在線(xiàn)的時(shí)間超過(guò)第四預(yù)設(shè)時(shí)間，則從用戶(hù)表中刪除與該客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)。7、如權(quán)利要求1-6中任一項(xiàng)所述的方法，其特征在于，該方法進(jìn)一步包括初始時(shí)執(zhí)行的如下步驟不允許任何IPv6全球單播地址進(jìn)行IPv6三層報(bào)文轉(zhuǎn)發(fā)；定期發(fā)布不包含IPv6前綴信息的RA報(bào)文；或者，定期發(fā)布包含受限前綴信息的RA報(bào)文，對(duì)該受限前綴進(jìn)行過(guò)濾，不允許客戶(hù)端設(shè)備根據(jù)該受限前綴自動(dòng)配置生成的地址進(jìn)行三層轉(zhuǎn)發(fā)，或者通過(guò)ACL限制該地址只能訪(fǎng)問(wèn)預(yù)設(shè)的受限資源。8、一種接入設(shè)備，其特征在于，該接入設(shè)備包括認(rèn)證模塊、地址分配模塊和訪(fǎng)問(wèn)控制模塊，其中，iU正才莫塊，用于對(duì)客戶(hù)端i殳備進(jìn)行接入認(rèn)證，并在認(rèn)證成功時(shí)向地址分配才莫塊發(fā)送i人i正成功消息；地址分配模塊，用于在收到認(rèn)證成功消息時(shí)，在用戶(hù)表中為所述客戶(hù)端設(shè)備建立對(duì)應(yīng)的表項(xiàng)，且所建立的表項(xiàng)中，IPv6全球單播地址為空，表項(xiàng)狀態(tài)為初始狀態(tài)；用于采用無(wú)狀態(tài)地址自動(dòng)配置方式或DHCPv6方式為客戶(hù)端設(shè)備分配IPv6全球單播地址；當(dāng)為客戶(hù)端設(shè)備分配IPv6全球單播地址成功時(shí)，將所成功分配的IPv6地址添加到用戶(hù)表中的與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)中，將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)，向訪(fǎng)問(wèn)控制模塊發(fā)送地址分配成功消白訪(fǎng)問(wèn)控制模塊，用于在接收到地址分配成功消息時(shí)，根據(jù)所述客戶(hù)端設(shè)備對(duì)應(yīng)的正常狀態(tài)的表項(xiàng)下發(fā)訪(fǎng)問(wèn)控制列表ACL,只允許符合該ACL的客戶(hù)端設(shè)備依據(jù)預(yù)定策略訪(fǎng)問(wèn)網(wǎng)絡(luò)。9、如權(quán)利要求8所述的接入設(shè)備，其特征在于，所述認(rèn)證模塊，用于在接收到客戶(hù)端設(shè)備發(fā)送的超文本傳輸協(xié)議HTTP請(qǐng)求時(shí)，將該HTTP請(qǐng)求重定向到PORTAL認(rèn)證服務(wù)器，并接收PORTAL認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果，如果認(rèn)證結(jié)果表示認(rèn)證成功，則向地址分配模塊發(fā)送認(rèn)證成功消息；或者，采用802.1xi^證方式對(duì)客戶(hù)端i殳備進(jìn)行接入認(rèn)證，在認(rèn)證成功時(shí)向地址分配模塊發(fā)送認(rèn)證成功消息。10、如權(quán)利要求8所述的接入設(shè)備，其特征在于，該接入設(shè)備還包括存儲(chǔ)模塊，用于存儲(chǔ)所述用戶(hù)表；所述用戶(hù)表中的每一個(gè)表項(xiàng)包括用戶(hù)名、IPv6鏈路本地地址、IPv6全球單播地址、鏈路層地址、端口以及表項(xiàng)狀態(tài)；所述ACL包括對(duì)應(yīng)正常狀態(tài)表項(xiàng)中的IPv6全球單播地址、端口，或者對(duì)應(yīng)表項(xiàng)中的IPv6全球單播地址、端口和鏈路層地址。11、如權(quán)利要求IO所述的接入設(shè)備，其特征在于，所述地址分配模塊，用于在收到認(rèn)證成功消息，并為客戶(hù)端設(shè)備建立對(duì)應(yīng)表項(xiàng)且將該對(duì)應(yīng)表項(xiàng)的狀態(tài)置為初始狀態(tài)后，主動(dòng)向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的單播路由器通告RA報(bào)文，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)；或者，在接收客戶(hù)端設(shè)備發(fā)送的路由器請(qǐng)求RS報(bào)文時(shí)，根據(jù)客戶(hù)端設(shè)備的IPv6鏈路本地地址、鏈路層地址和端口查找用戶(hù)表，如果存在對(duì)應(yīng)的表項(xiàng)并且該表項(xiàng)的狀態(tài)為初始狀態(tài)，則向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的單播RA報(bào)文，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為RA狀態(tài)之后的第一預(yù)設(shè)時(shí)間內(nèi)收到所述客戶(hù)端設(shè)備發(fā)送的重復(fù)地址檢測(cè)鄰居請(qǐng)求DADNS報(bào)文，且用戶(hù)表中的與所述客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)處于RA狀態(tài)，則將所接收的DADNS報(bào)文中的IPv6全球單播地址添加到對(duì)應(yīng)表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)，然后加入此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)后的第二預(yù)設(shè)時(shí)間內(nèi)，沒(méi)有收到與所述DADNS4艮文對(duì)應(yīng)的鄰居通告NA報(bào)文，則將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)，然后離開(kāi)此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組。12、如權(quán)利要求IO所述的接入設(shè)備，其特征在于，所述地址分配模塊，用于在收到認(rèn)證成功消息，并為客戶(hù)端設(shè)備建立對(duì)應(yīng)表項(xiàng)且將該對(duì)應(yīng)表項(xiàng)的狀態(tài)置為初始狀態(tài)后，主動(dòng)向客戶(hù)端設(shè)備發(fā)送單播RA報(bào)文，該RA才艮文中的管理地址配置標(biāo)識(shí)M為1，用于通知客戶(hù)端i殳備采用DHCPv6方式申請(qǐng)IPv6全球單播地址；接收客戶(hù)端設(shè)備發(fā)送的DHCPv6懇求報(bào)文，向客戶(hù)端設(shè)備發(fā)送DHCPv6通告報(bào)文；接收客戶(hù)端設(shè)備發(fā)送的DHCPv6請(qǐng)求報(bào)文，向客戶(hù)端設(shè)備發(fā)送攜帶IPv6前綴信息的DHCPv6回復(fù)報(bào)文，并將用戶(hù)表中的與客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)的狀志置為回復(fù)狀態(tài)；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為回復(fù)狀態(tài)之后的第一預(yù)設(shè)時(shí)間內(nèi)收到所述客戶(hù)端設(shè)備發(fā)送的DADNS報(bào)文，且用戶(hù)表中的與所述客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)處于RA狀態(tài)時(shí)，將所接收的DADNS報(bào)文中的IPv6全球單播地址添加到對(duì)應(yīng)表項(xiàng)中，并將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)，然后加入此IPv6單l番地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組；如果在將對(duì)應(yīng)表項(xiàng)的狀態(tài)置為DAD狀態(tài)后的第二預(yù)應(yīng)表項(xiàng)的狀態(tài)置為正常狀態(tài)，然后離開(kāi)此IPv6單播地址所對(duì)應(yīng)的請(qǐng)求節(jié)點(diǎn)組播組。13、如權(quán)利要求10所述的接入設(shè)備，其特征在于，該接入設(shè)備進(jìn)一步包括監(jiān)視模塊，用于利用鄰居請(qǐng)求NS報(bào)文的驗(yàn)證鄰居是否可達(dá)的功能定期監(jiān)視客戶(hù)端設(shè)備是否在線(xiàn)；如果客戶(hù)端設(shè)備不在線(xiàn)的時(shí)間超過(guò)第三預(yù)設(shè)時(shí)間，則刪除該客戶(hù)端設(shè)備對(duì)應(yīng)的ACL，并將用戶(hù)表中的與該客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)的狀態(tài)置為初始狀態(tài)；如果客戶(hù)端設(shè)備不在線(xiàn)的時(shí)間超過(guò)第四預(yù)設(shè)時(shí)間，則從用戶(hù)表中刪除與該客戶(hù)端設(shè)備對(duì)應(yīng)的表項(xiàng)。14、如權(quán)利要求8至13中任一項(xiàng)所述的接入設(shè)備，其特征在于，所述訪(fǎng)問(wèn)控制模塊，進(jìn)一步用于在初始時(shí)不允許任何IPv6全球單播地址進(jìn)行IPv6三層報(bào)文轉(zhuǎn)發(fā)；所述地址分配模塊，進(jìn)一步用于在初始時(shí)定期發(fā)布不包含IPv6前綴信息的RA報(bào)文，或者，定期發(fā)布包含受限前綴信息的RA報(bào)文，并將受限前綴通知給訪(fǎng)問(wèn)控制模塊；所述訪(fǎng)問(wèn)控制模塊，進(jìn)一步用于在接收到受限前綴時(shí)，對(duì)該受限前綴進(jìn)行過(guò)濾，不允許客戶(hù)端設(shè)備根據(jù)該受限前綴自動(dòng)配置生成的地址進(jìn)行三層轉(zhuǎn)發(fā)，或者通過(guò)ACL限制該地址只能訪(fǎng)問(wèn)預(yù)設(shè)的受限資源。全文摘要本發(fā)明公開(kāi)了一種安全接入方法，包括對(duì)客戶(hù)端設(shè)備進(jìn)行接入認(rèn)證；當(dāng)接入認(rèn)證成功時(shí)，為客戶(hù)端設(shè)備分配IPv6全球單播地址；當(dāng)客戶(hù)端設(shè)備成功獲得IPv6全球單播地址時(shí)，允許客戶(hù)端設(shè)備使用所獲得的IPv6全球單播地址訪(fǎng)問(wèn)網(wǎng)絡(luò)。本發(fā)明還公開(kāi)了一種接入設(shè)備。本發(fā)明的技術(shù)方案能夠保證IPv6全球單播地址配置的安全性。文檔編號(hào)H04L29/06GK101656725SQ20091009350公開(kāi)日2010年2月24日申請(qǐng)日期2009年9月24日優(yōu)先權(quán)日2009年9月24日發(fā)明者濤林申請(qǐng)人:杭州華三通信技術(shù)有限公司