WO2014161416A2 - 一种链路发现方法和装置 - Google Patents

Abstract

本发明公开了一种链路发现方法和装置，属于网络管理技术领域。所述方法包括：当网络设备接收到的直连设备发送的第一链路层发现协议LLDP报文时，根据认证类型-长度-值TLV，确定直连设备的安全级别；若直连设备的安全级别为安全，确定直连设备的设备类型，根据直连设备的设备类型与TLV的对应关系，向直连设备发送第二LLDP报文。本发明通过确定直连设备的安全级别，并当直连设备的安全级别为安全时，确定该直连设备的设备类型，根据设备类型选择相应的TLV进行发送，避免了现有技术中每次都将所有类型的TLV发送给直连设备，减小了设备信息泄漏的可能，保证了发送的LLDP报文更加合理，同时节省链路开销。

Description

一种链路发现方法和装置 本申请要求于 2013 年 04 月 03 日提交中国专利局、 申请号为 201310115610. K 发明名称为 "一种链路发现方法和装置" 的中国专利申 请的优先权， 其全部内容通过引用结合在本申请中。 技术领域 本发明涉及网络管理技术领域， 特别涉及一种链路发现方法和装置。 背景技术 随着以太网技术的发展， 网络设备的种类日益繁杂， 如何获得整个网 络中设备的拓扑， 如何解决设备之间的配置冲突， 如何使不同厂商的设备 能够在网络中互相发现、 并进行系统及配置信息的交互， 成为网络管理中 的重要问题。

LLDP (Link Layer Discovery Protocol , 链路层发现协议）， 提供了 一种数据链路层的邻居发现协议， 它将本设备的主要能力、 管理地址、 设 备标识、 端口号等信息组织成不同的 TLV (Type-Length-Value, 类型 -长度 _值）， 并封装在] DPDU (Link Layer Discovery Protocol Data Unit, 链 路层发现协议数据单元） 中发布给与自己直连的邻居， 邻居收到这些信息 后将其以标准 MIB (Management Information Base, 管理信息库） 的形式 保存起来， 以供网络管理系统查询、 判断链路的通信状况。 LLDPDU固定以 Chassis ID TLV (Chassis Identity TLV, 设备标识类型-长度-值）、 Port ID TLV (Port Identity, 端口号类型 -长度 -值） 和 Time to Live TLV (邻 居生命周期类型 -长度 -值） 开始， 以 End of LLDPDU TLV (结束类型-长度- 值） 为结束， 这四个为必选 TLV。

为了避免与非安全设备建立邻居， LLDP通过以下方式验证直连设备是 否安全： 当第一网络设备收到从第二网络设备发送来的 LLDPDU时， 检查该 LLDPDU中是否包含有合法的授权钥匙， 若授权钥匙不存在或不合法时， 第 一网络设备封锁第二网络设备发送的所有封包， 以达到防止非授权的第二 网络设备连接并使用第一网设备所提供的网络传输服务的功能。 该授权钥 匙是由 MAC (Medium Access Control , 介质访问控制） 地址另加上一密码 得到。

在实现本发明的过程中， 发明人发现现有技术至少存在以下问题： 现 有技术存在第一网络设备的设备信息泄漏的可能。

发明内容

为了解决现有技术中设备信息泄漏的问题， 本发明实施例提供了一种 链路发现方法和装置。

第一方面， 本发明实施例提供了一种链路发现方法， 所述方法包括： 当网络设备接收到的直连设备发送的第一链路层发现协议 LLDP 报文 时， 根据所述第一 LLDP报文中的认证类型-长度-值 TLV, 确定所述直连设 备的安全级别， 所述安全级别包括安全和非安全； 所述第一 LLDP报文包括 所述认证 TLV和最低安全级别 TLV, 所述最低安全级别 TLV包括： 设备标识 TLV、 端口号 TLV、 邻居生命周期 TLV和 LLDP数据单元结束 TLV;

根据所述认证 TLV, 确定所述直连设备的安全级别， 所述安全级别包括 安全和非安全；

若所述直连设备的安全级别为安全， 则根据所述第一 LLDP报文确定所 述直连设备的设备类型， 并根据所述直连设备的设备类型， 向所述直连设 备发送第二 LLDP报文， 所述第二 LLDP报文包括与所述直连设备的设备类 型对应的 TLV。

结合第一方面， 在一种实现方式中， 所述方法还包括：

若所述直连设备的安全级别为非安全， 则向所述直连设备发送所述第 一 LLDP报文。

结合第一方面及上述实现方式， 在另一种实现方式中， 在所述根据所 述第一 LLDP报文中的认证 TLV, 确定所述直连设备的安全级别之前， 所述 方法还包括：

接收所述直连设备发送的 LLDP报文， 并确定接收到的所述 LLDP报文 是否携带认证 TLV;

若所述 LLDP报文中携带认证 TLV,则所述 LLDP报文为第一 LLDP报文； 相应地， 所述方法还包括：

若所述 LLDP报文中未携带认证 TLV, 则向所述直连设备发送所述第一 LLDP报文。

结合第一方面及上述实现方式， 在另一种实现方式中， 所述根据所述 第一 LLDP报文中的认证 TLV, 确定所述直连设备的安全级别， 包括：

根据所述设备标识 TLV和所述端口号 TLV,获得所述直连设备的设备标 识和端口号；

采用所述设备标识和端口号， 计算判定 TLV;

比较所述判定 TLV与所述认证 TLV是否相同， 若相同， 则确定所述直 连设备的安全级别为安全， 若不同， 则确定所述直连设备的安全级别为非 安全。

结合第一方面及上述实现方式， 在另一种实现方式中， 所述第一 LLDP 报文还包括系统能力 TLV,所述系统能力 TLV包括用于描述设备功能的系统 能力字段，则所述根据所述第一 LLDP报文，确定所述直连设备的设备类型， 包括：

根据所述系统能力 TLV 中所述系统能力字段获取所述直连设备所具备 的功能；

根据所述直连设备所具备的功能确定所述直连设备的设备类型。

结合第一方面及上述实现方式， 在另一种实现方式中， 在所述根据所 述第一 LLDP报文， 确定所述直连设备的设备类型之前， 所述方法还包括： 确定所述第一 LLDP报文是否携带系统能力 TLV; 若所述第一 LLDP报文中未携带系统能力 TLV, 则向所述直连设备发送 第二 LLDP报文， 且所述第二 LLDP报文中的 TLV包括全部类型的 TLV;

若所述第一 LLDP报文中携带系统能力 TLV, 则根据所述系统能力 TLV, 确定所述直连设备的设备类型。

结合第一方面及上述实现方式， 在另一种实现方式中， 所述根据所述 直连设备的设备类型， 向所述直连设备发送第二 LLDP报文， 包括：

当所述直连设备为中继器时， 向所述直连设备发送第二 LLDP报文， 且 所述第二 LLDP报文中的 TLV只包括最低安全级别 TLV;

当所述直连设备为网桥或者路由器时， 向所述直连设备发送第二 LLDP 报文， 且所述第二 LLDP报文中的 TLV包括全部类型的 TLV;

当所述直连设备为因特网协议电话时， 向所述直连设备发送第二 LLDP 报文，且所述第二 LLDP报文中的 TLV包括最低安全级别 TLV、端口描述 TLV、 系统名称 TLV、 系统描述 TLV、 系统能力 TLV、 端口虚拟局域网标识 TLV以 及设备供电能力 TLV。

结合第一方面及上述实现方式， 在另一种实现方式中， 在所述根据所 述直连设备的设备类型， 向所述直连设备发送第二 LLDP报文之前， 所述方 法还包括：

采用可逆算法对所述第二 LLDP报文中的 TLV进行加密。

结合第一方面及上述实现方式， 在另一种实现方式中， 所述方法还包 括：

当所述网络设备的一个端口上连接的直连设备的数目达到上限， 且所 述端口上新接入的直连设备的安全级别为安全时， 删除连接在所述端口上 的至少一个安全级别为非安全的直连设备。

第二方面， 本发明实施例还提供了一种链路发现装置， 所述装置包括: 第一确定模块， 用于当网络设备接收到的直连设备发送的第一链路层 发现协议 LLDP报文时， 根据所述第一 LLDP报文中的认证 TLV, 确定所述直 连设备的安全级别， 所述安全级别包括安全和非安全； 所述第一 LLDP报文 包括所述认证 TLV和最低安全级别 TLV, 所述最低安全级别 TLV包括： 设备 标识 TLV、 端口号 TLV、 邻居生命周期 TLV和 LLDP数据单元结束 TLV;

第二确定模块， 用于当所述第一确定模块确定所述直连设备的安全级 别为安全时， 根据所述第一 LLDP报文确定所述直连设备的设备类型；

发送模块， 用于根据所述直连设备的设备类型， 向所述直连设备发送 第二 LLDP报文， 所述第二 LLDP报文包括与所述直连设备的设备类型对应 的 TLVo

结合第二方面， 在一种实现方式中， 所述发送模块还用于， 当所述直 连设备的安全级别为非安全时， 向所述直连设备发送所述第一 LLDP报文。

结合第二方面及上述实现方式， 在另一种实现方式中， 所述装置还包 括：

接收模块， 用于接收所述直连设备发送的 LLDP报文，

第三确定模块， 用于确定所述接收模块接收到的所述 LLDP报文是否携 带认证 TLV, 当所述 LLDP报文中携带认证 TLV时， 确定所述 LLDP报文为第 一 LLDP报文；

相应地，所述发送模块，还用于当所述 LLDP报文中未携带认证 TLV时， 向所述直连设备发送所述第一 LLDP报文。

结合第二方面及上述实现方式， 在另一种实现方式中， 所述第一确定 模块包括：

获取单元， 用于根据所述设备标识 TLV和端口号 TLV, 获得所述直连设 备的设备标识和端口号；

计算单元， 用于采用所述设备标识和端口号， 计算判定 TLV;

比较单元， 用于比较所述判定 TLV与所述认证 TLV是否相同， 若相同， 则确定所述直连设备的安全级别为安全， 若不同， 则确定所述直连设备的 安全级别为非安全。 结合第二方面及上述实现方式， 在另一种实现方式中， 所述第一 LLDP 报文还包括系统能力 TLV,所述系统能力 TLV包括用于描述设备功能的系统 能力字段，

则所述第二确定模块， 用于根据所述系统能力 TLV 中所述系统能力字 段获取所述直连设备所具备的功能， 根据所述直连设备所具备的功能确定 所述直连设备的设备类型。

结合第二方面及上述实现方式， 在另一种实现方式中， 所述第二确定 模块， 还用于在所述根据所述第一 LLDP报文， 确定所述直连设备的设备类 型之前， 确定所述第一 LLDP报文是否携带系统能力 TLV, 当所述第一 LLDP 报文中携带系统能力 TLV时， 则根据所述系统能力 TLV, 确定所述直连设备 的设备类型；

相应地， 所述发送模块， 还用于当所述第一 LLDP报文中未携带系统能 力 TLV时， 则向所述直连设备发送第二 LLDP报文， 且所述第二 LLDP报文 中的 TLV包括全部类型的 TLV。

结合第二方面及上述实现方式， 在另一种实现方式中， 所述发送模块 用于，

当所述直连设备为中继器时， 向所述直连设备发送第二 LLDP报文， 且 所述第二 LLDP报文中的 TLV只包括最低安全级别 TLV;

当所述直连设备为网桥或者路由器时， 向所述直连设备发送第二 LLDP 报文， 且所述第二 LLDP报文中的 TLV包括全部类型的 TLV;

当所述直连设备为因特网协议电话时， 向所述直连设备发送第二 LLDP 报文，且所述第二 LLDP报文中的 TLV包括最低安全级别 TLV、端口描述 TLV、 系统名称 TLV、 系统描述 TLV、 系统能力 TLV、 端口虚拟局域网标识 TLV以 及设备供电能力 TLV。

结合第二方面及上述实现方式， 在另一种实现方式中， 所述装置还包 括： 加密模块，用于采用可逆算法对所述第二 LLDP报文中的 TLV进行加密。 结合第二方面及上述实现方式， 在另一种实现方式中， 所述装置还包 括：

管理模块， 用于当所述网络设备的一个端口上连接的直连设备的数目 达到上限， 且所述端口上新接入的直连设备的安全级别为安全时， 删除连 接在所述端口上的至少一个安全级别为非安全的直连设备。

本发明实施例提供的技术方案带来的有益效果是：

通过确定直连设备的安全级别， 并当直连设备的安全级别为安全时， 确定该直连设备的设备类型， 根据设备类型选择与设备类型对应的 TLV进 行发送， 避免了现有技术中每次都将所有类型的 TLV发送给直连设备， 减 小了设备信息泄漏的可能， 保证了发送的 LLDP报文更加合理， 节省链路开 销， 同时可以避免造成直连设备无法处理而不能正常运行的问题。

附图说明 为了更清楚地说明本发明实施例中的技术方案， 下面将对实施例描述 中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅 是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性 劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1是本发明实施例提供的网络管理系统拓扑图；

图 2是本发明实施例提供的 LLDP报文的结构示意图；

图 3是本发明实施例提供的 LLDPDU的结构示意图；

图 4是本发明实施例提供的 TLV的结构示意图；

图 5是本发明实施例一提供的链路发现方法流程图；

图 6是本发明实施例二提供的链路发现方法流程图；

图 7是本发明实施例三提供的链路发现装置的结构示意图；

图 8是本发明实施例四提供的链路发现装置的结构示意图；

图 9是本发明实施例三、 四提供的链路发现装置的具体实施方式的结 构示意图。

具体实施方式 为使本发明的目的、 技术方案和优点更加清楚， 下面将结合附图对本 发明实施方式作进一歩地详细描述。

为了便于理解本发明， 下面先结合图 1 对本发明实施例的网络架构及

LLDP的原理进行简单介绍。

在本发明实施例中， 将与某一网络设备直接连接的其它网络设备称为 该网络设备的直连设备， 每个网络设备与其直连设备交互 LLDP报文。 参见 图 1， Switch A (交换机 A， 以下简称 A) 和 Switch B (交换机 B， 以下简 称 B) 直接连接， 即 B为 A的直连设备， A与 B交互 LLDP报文， 建立 LLDP 邻居， 并根据 LLDP 报文获得对端的设备信息， 储存在本端设备的 MIB ( Management Information Base , 管理信息库） 中， 供 NMS ( Network Management System, 网络管理系统） 查询， 并进行网络拓扑绘图和网络管 理。

LLDP报文为封装有 LLDPDU的以太网报文。 LLDP报文采用 Ethernet II

(以太网 II ) 封装或 SNAP (SubNetwork Access Protocol , 子网络访问协 议） 封装。

下面以采用 Ethernet II封装的 LLDP为例， 对 LLDP报文结构进行说 明， 如图 2所示， 具体地， 该 LLDP报文包括： DA (Destination address, 目的地址）、 SA ( source address, 目的地址）、 Type (类型）、 Data (数据） 和 FCS (Frame Check Sequence, 帧检验序列）； 具体地， DA是指目的 MAC (Medium Access Control , 介质访问控制） 地址， LLDP报文中该地址可以 为组播地址， 比如 01-80-C2-00-00-0E; SA是指源 MAC地址， 即发送设备 的 MAC地址； Type是指报文类型， LLDP报文中该类型为 0x88CC; Data是 LLDP中的数据主体， 即 LLDPDU; FCS为帧检验序列。

参见图 3， LLDPDU包括若干 TLV, —个 LLDPDU固定以 Chassis ID TLV、 Port ID TLV和 Time to Live TLV开始， 以 End of LLDPDU TLV为结束， 这四个 TLV为必选的 TLV, 这四个 TLV即本发明实施例中的最低安全级别 TLVo一个 LLDPDU还可能包括其他可选 TLV, 可以由设备自行定义是否包含 在 LLDPDU中。

每种 TLV用于标识对应的设备信息， 如 Chassis ID TLV包括设备的

Chassis ID (Chassis Identity, 设备标识）， Port ID TLV包括 Port ID (Port Identity, 端口号）。

参见图 4， 每个 TLV包括以下字段： TLV Type, TLV information string Length和 TLV information string。 具体地， TLV Type即为 TLV的类型， 每个 TLV 的类型值不同， 比如 End of LDPDU TLV 的类型值为 0 ; TLV information string Length代表 TLV information string字段的长度； TLV information string中第一个字节是指此 TLV的子类型， 剩余的字节 为 TLV的值。 实施例一

本发明实施例提供了一种链路发现方法， 参见图 5， 该方法包括：

101： 当网络设备接收到的直连设备发送的 LLDP报文为第一 LLDP报文 时， 根据第一 LLDP报文中的认证 TLV, 确定直连设备的安全级别， 该安全 级别包括安全和非安全， 该第一 LLDP报文包括认证 TLV和最低安全级别 TLV, 最低安全级别 TLV包括: Chassis ID TLV, Port ID TLV、 Time to Live TLV和 End of LLDPDU TLV。

102： 若该直连设备的安全级别为安全， 则根据第一 LLDP报文确定直 连设备的设备类型， 根据直连设备的设备类型， 向直连设备发送第二 LLDP 报文， 该第二 LLDP报文包括与该直连设备的设备类型对应的 TLV。

本发明实施例中， 当直连设备的安全级别为安全时， 确定该直连设备 的设备类型， 根据设备类型选择与设备类型对应的 TLV进行发送， 避免了 现有技术中每次都将所有类型的 TLV发送给直连设备， 减小了设备信息泄 漏的可能， 保证了发送的 LLDP报文更加合理， 节省链路开销， 避免造成直 连设备无法处理而不能正常运行的问题。 实施例二

本发明实施例将以第一网络设备、 以及与第一网络设备直连的第二网 络设备为例， 对本发明提供的链路发现方法做进一歩说明， 参见图 6， 该方 法包括：

201： 第一网络设备接收来自第二网络设备的 LLDP报文。

其中， LLDP报文中包括若干 TLV。 如前所述， 若干 TLV中至少包括最 低安全级别 TLV, 该最低安全级别 TLV包括： Chassis ID TLV, Port ID TLV、 Time to Live TLV和 End of LLDPDU TLV。

202:确定 LLDP报文中是否携带认证 TLV,若 LLDP报文中携带认证 TLV, 则该 LLDP报文为第一 LLDP报文，执行 203;若 LLDP报文中未携带认证 TLV, 执行 204。

203： 根据第一 LLDP报文中的认证 TLV确定第二网络设备的安全级别， 当第二网络设备的安全级别为非安全时， 执行 204; 当第二网络设备的安全 级别为安全时， 执行 205。

可选地， 在本实施例中， 认证 TLV由第二网络设备将其 Chassis ID和 Port ID采用不可逆力口密算法 （如 MD5 (Message Digest Algorithm 5, 消 息摘要算法第五版）） 加密得到。 容易知道， 认证 TLV还可以根据第二网络 设备的其它信息， 如 MAC (Medium Access Control , 媒体访问控制） 地址 等生成。

具体地， 203包括：

Sl、 根据第二网络设备发送的第一 LLDP报文中携带的 Chassis ID TLV 和 Port ID TLV, 获得 Chassis ID和 Port ID; 52、 根据 Chassis ID和 Port ID进行， 计算判定 TLV;

53、 比较判定 TLV与认证 TLV是否相同， 若相同， 则确定第二网络设 备的安全级别为安全， 若不同， 则确定第二网络设备的安全级别为不安全。

容易知道， S2中， 采用与第二网络设备计算认证 TLV相同的不可逆加 密算法计算判定 TLV。 该不可逆加密算法可以在设备出厂时设置在该设备 中。

204： 向第二网络设备发送第一 LLDP报文， 第一 LLDP报文中的 TLV包 括认证 TLV和最低安全级别 TLV,最低安全级别 TLV包括： End of LLDPDU TLV, Chassis ID TLV, Port ID TLV和 Time to Live TLV。

在具体实现中， 当第一网络设备确定第二网络设备的安全级别为安全 时， 会将该第二网络设备标识为 "安全邻居"； 而当第一网络设备确定第二 网络设备的安全级别为不安全或者第二网络设备发送的第一 LLDP报文中不 包括认证 TLV时， 会将该第二网络设备标识为 "非安全邻居"。

205： 确定第一 LLDP报文中是否携带 System Capabilities (系统能 力） TLV, 若第一 LLDP报文中未携带 System Capabilities TLV, 则执行 206； 若第一 LLDP报文中携带 System Capabilities TLV, 执行 207。

其中， System Capabilities TLV 包括 TLV Type、 TLV information string Lengths System Capabilities禾口 Enabled Capabilities (启用的 功能） 四个字段； 其中 System Capabilities字段用于描述设备功能， 该 System Capabilities字段通常包括 16个比特， 每个比特用来表示一个功 能， 置 1表示具备该功能， 0表示不具备该功能。

具体地， 下面按照这十六个比特的顺序， 分别对每个比特表示的功能 分别进行说明： 0、 Other (其他）， 1、 Repeater (中继器）， 2、 Bridge (网 桥）， 3、 Wlan-Access-Point (无线热点）， 4、 Router (路由器）， 5、 Telephone (电话）， 6、 DOCSIS cable device (同轴电缆数据服务接口规范电缆设备）， 7、 Station Only (站)， 8、 C_Vlan Component of a Vlan Bridge (Customer Vlan Component of a Vlan Bridge , 用户虚拟局域网组件）， 9、 S_Vlan Component of a Vlan Bridge ( Stack Vlan Component of a Vlan Bridge , 交换虚拟局域网组件）， 10、 Two- Port- MAC Relay (双端口桥接）， 11-15、 reserved (保留）。 上述每种功能都与设备类型相对应， 因此通过检查上述 16个字节的值即可确定设备类型。

206： 第一网络设备向第二网络设备发送第二 LLDP报文， 且第二 LLDP 报文中的 TLV包括全部类型的 TLV。具体地，全部类型的 TLV包括： Chassis ID TLV , Port ID TLV , Time to Live TLV , End of LLDPDU TLV , Port Description (端口描述) TLV, System Name (系统名称） TLV, System Description (系统描述) TLV System Capabi l ities TLV Management Address (管理地址) TLV, Port VLAN ID ( Port Virtual Local Area Network Identity , 端口虚拟局域网标识） TLV、 Port And Protocol VLAN ID ( Port And Protocol Virtual Local Area Network Ident ity , 端口协议虚拟局 域网标识） TLV、 VLAN Name (虚拟局域网名称） TLV、 Protocol Identity (协议号） TLV、 MAC/PHY Configurat ion/Status (数据链路和物理层的 配置及状态） TLV、 Power Via腸 I (端口的供电能力） TLV、 Link Aggregation (链路聚合） TLV、 Maximum Frame Size (最大帧长度） TLV、 LLDP-MED Capabi l it ies ( LLDP-Media Endpoint Discovery Capabi l ities , LLDP中 可封装的媒体终端发现类型） TLV、 Network Pol icy (应用策略） TLV、 Extended Power-via-MDI (设备供电能力） TLV, Hardware Revision (硬 件版本) TLV Firmware Revi sion (固件版本) TLV Software Revi sion (软件版本） TLV、 Serial Number (设备序列号） TLV、 Manufacturer Name (制造厂商） TLV、 Model Name (驱动名称） TLV、 Asset ID (设备断言标 识符） TLV、 Locat ion Identification (位置标识） TLV以及自定义 TLV。

207： 根据系统能力 TLV中 System Capabi l ities字段获取第二网络设 备所具备的功能， 根据第二网络设备所具备的功能确定第二网络设备的设 备类型， 执行 208。

其中， 设备类型包括但不限于 repeater (中继器）、 telephone (因特 网协议电话）、 bridge (网桥）和 router (路由器）等。确定的依据是 System Capabilities TLV中 System Capabilities字段描述的设备功能， 例如， 当设备类型为 repeater telephone^ bridge禾口 router时，分别对应 System Capabilities字段中第 1、 5、 2、 4个比特的值为 1。

208： 根据第二网络设备的设备类型， 向第二网络设备发送第二 LLDP 报文， 该第二 LLDP报文包括与第二网络设备的设备类型对应的 TLV。

上述根据设备类型向第二网络设备发送与设备类型对应的第二 LLDP报 文， 主要根据以下两点进行确定：

1、 设备的处理能力。 如第二网络设备为低端设备， 处理能力会很低， LLDP报文中内容多， 且采用加密方式， 会造成设备无法正常运转。

2、 LLDP报文中哪些 TLV是该设备所需的。 如对于一个 IP ( Internet Protocol , 网络协议， 简称 IP)电话而言， 需要端口供电能力和 VOICE VLAN (Virtual Local Area Network, 虚拟局域网） 等信息， 而不需要链路聚 合 TLV的信息。

具体地， 208可以包括：

若第二网络设备为中继器， 则向第二网络设备发送第二 LLDP报文， 且 第二 LLDP报文中的 TLV只包括最低安全级别 TLV;其中，最低安全级别 TLV 包括： Chassis ID TLV, Port ID TLV, Time to Live TLV禾口 End of LLDPDU TLV。

若第二网络设备为网桥或者路由器， 则向第二网络设备发送第二 LLDP 报文， 且第二 LLDP报文中的 TLV包括全部类型的 TLV; 具体地， 全部类型 的 TLV包括： Chassis ID TLV, Port ID TLV, Time to Live TLV, End of LLDPDU TLV Port Description TLV System Name TLV System Description TLV, System Capabilities TLV, Management Address TLV, Port VLAN ID TLV, Port And Protocol VLAN ID TLV, VLAN Name TLV, Protocol Identity TLV , MAC/PHY Configuration/Status TLV , Power Via MDI TLV , Link Aggregation TLV Maximum Frame Size TLV LLDP-MED Capabilities TLV Network Policy TLV Extended Power-via-MDI TLV Hardware Revision TLV Firmware Revision TLV Software Revision TLV Serial Number TLV Manufacturer Name TLV Model Name TLV Asset ID TLV Location Identification TLV以及自定义 TLV。

若第二网络设备为因特网协议电话， 则向第二网络设备发送第二 LLDP 报文，且第二 LLDP报文中的 TLV包括最低安全级别 TLV、 Port Description TLV System Name TLV System Description TLV System Capabilities TLV, Port VLAN ID以及 Extended Power-via-MDI TLV的 LLDP报文。 其中， 最低安全级别 TLV包括： Chassis ID TLV, Port ID TLV, Time to Live TLV 和 End of LLDPDU TLV。

在具体实现中， 设备类型与 TLV 的对应关系， 可预先存储在网络设备 中。 容易知道， 上述对应关系还可以进一歩按照设备型号进行细分， 这里 不再赘述。

可选地， 在根据第二网络设备的设备类型， 向第二网络设备发送第二

LLDP报文之前， 该方法还包括： 采用可逆算法对第二 LLDP报文中的 TLV进 行加密。 具体地， 采用可逆算法对第二 LLDP报文中的 TLV的值进行加密。 容易知道， 该可逆算法可以由制造商生成设备时， 写入设备中。

此外， 第一网络设备在收到第一 LLDP报文后， 还会保存第一网络设备 的端口与直连设备的对应关系以及直连设备的安全等级、 设备信息等， 该 对应关系通常保存在设备的 MIB中。

可选地， 本实施例的方法还可以包括：

当第一网络设备的一个端口上连接的直连设备的数目达到上限， 且该 端口上新接入的直连设备的安全级别为安全时， 删除连接在该端口上的至 少一个安全级别为非安全的直连设备。 容易知道， 当第一网络设备的一个 端口上连接的直连设备的数目达到上限， 但确定新接入的直连设备的安全 级别为非安全时， 不会删除连接在该端口上的安全级别为非安全的直连设 备。

具体地， 删除连接在该端口上的安全级别为非安全的直连设备， 包括: 从已保存的端口与直连设备的对应关系中， 删除安全级别为非安全的 直连设备。

这样做实际上是对邻居的优先级控制， 安全级别为非安全的直连设备 的优先级低于安全级别为安全的直连设备， 既保证能与安全级别为非安全 的直连设备兼容， 又避免了安全级别为非安全的直连设备耗尽邻居数目的 问题。 删除至少一个安全级别为非安全的直连设备， 保证了新的安全级别 为安全的直连设备可以接入。

本发明实施例通过认证 TLV确定直连设备的安全级别， 一方面， 当直 连设备的安全级别为安全时， 确定该直连设备的设备类型， 根据设备类型 选择与设备类型对应的 TLV进行发送， 避免了现有技术中每次都将所有类 型的 TLV发送给直连设备，减小了设备信息泄漏的可能。保证了发送的 LLDP 报文更加合理， 节省链路开销， 避免造成直连设备无法处理而不能正常运 行的问题； 另一方面， 当直连设备的安全级别为安全时或直连设备发送的 LLDP报文中为携带认证 TLV时，发送只包含最低安全级别的 TLV的 LLDP报 文， 既能满足安全需求， 又能保证低端设备和老设备的正常接入。 实施例三

参见图 7， 本发明实施例提供了一种链路发现装置， 该装置适用于实施 例一提供的链路发现方法， 该装置包括：

第一确定模块 301， 用于当接收到的直连设备发送的 LLDP报文为第一 LLDP报文时，根据第一 LLDP报文中的认证 TLV,确定直连设备的安全级别， 该安全级别包括安全和非安全； 该第一 LLDP报文包括认证 TLV和最低安全 级别 TLV, 最低安全级别 TLV包括： Chassis ID TLV, Port ID TLV, Time to Live TLV和 End of LLDPDU TLV;

第二确定模块 302，用于当第一确定模块 301确定直连设备的安全级别 为安全时， 根据第一 LLDP报文确定直连设备的设备类型；

发送模块 303， 用于根据直连设备的设备类型， 向直连设备发送第二 LLDP报文， 该第二 LLDP报文包括与直连设备的设备类型对应的 TLV。

本发明实施例中， 当直连设备的安全级别为安全时， 确定该直连设备 的设备类型， 根据设备类型选择与设备类型对应的 TLV进行发送， 避免了 现有技术中每次都将所有类型的 TLV发送给直连设备， 减小了设备信息泄 漏的可能。 保证了发送的 LLDP报文更加合理， 节省链路开销， 避免造成直 连设备无法处理而不能正常运行的问题。 实施例四

参见图 8， 本发明实施例提供了一种链路发现装置， 该装置适用于实施 例二提供的链路发现方法， 该装置包括：

第一确定模块 301、 第二确定模块 302和发送模块 303，

进一歩地， 发送模块 303还用于， 当直连设备的安全级别为非安全时， 向直连设备发送第一 LLDP报文， 第一 LLDP报文中的 TLV包括认证 TLV和 最低安全级别 TLV。

进一歩地， 该装置还包括：

接收模块 404， 用于接收直连设备发送的 LLDP报文；

第三确定模块 405， 用于确定接收到的 LLDP报文是否携带认证 TLV, 当 LLDP报文中携带认证 TLV时， 确定该 LLDP报文为第一 LLDP报文；

相应地， 发送模块 303， 还用于当 LLDP报文中未携带认证 TLV时， 向 直连设备发送第一 LLDP报文。 其中， 第一确定模块 301包括：

获取单元 3011， 用于根据 Chassis ID TLV和 Port ID TLV, 获得直连 设备的 Chassis ID和端口号；

计算单元 3012， 用于采用 Chassis ID和 Port ID, 计算判定 TLV; 比较单元 3013， 用于比较判定 TLV与认证 TLV是否相同， 若相同， 则 确定直连设备的安全级别为安全， 若不同， 则确定直连设备的安全级别为 非安全。

进一歩地， 第一 LLDP报文还包括系统能力 TLV, 则第二确定模块 302， 用于根据系统能力 TLV中 System Capabilities字段获取直连设备所具备 的功能， 根据直连设备所具备的功能确定直连设备的设备类型。

其中， 设备类型包括 repeater (中继器）、 telephone (因特网协议电 话）、 bridge (网桥) 和 router (路由器) 等。

进一歩地， 第二确定模块 302， 还用于在根据第一 LLDP报文， 确定直 连设备的设备类型之前， 确定第一 LLDP报文是否携带系统能力 TLV, 当第 一 LLDP报文中携带系统能力 TLV时， 则根据系统能力 TLV, 确定直连设备 的设备类型；

相应地，发送模块 303，还用于当第一 LLDP报文中未携带系统能力 TLV 时， 则向直连设备发送第二 LLDP报文， 且第二 LLDP报文中的 TLV包括全 部类型的 TLV。

进一歩地， 发送模块 303用于，

当直连设备为中继器时， 向直连设备发送第二 LLDP报文， 且第二 LLDP 报文中的 TLV只包括最低安全级别 TLV;

当直连设备为网桥或者路由器时， 向直连设备发送第二 LLDP报文， 且 第二 LLDP报文中的 TLV包括全部类型的 TLV;

当直连设备为因特网协议电话时， 向直连设备发送第二 LLDP报文， 且 第二 LLDP报文中的 TLV包括最低安全级别 TLV、 端口描述 TLV、 系统名称 TLV, 系统描述 TLV、 系统能力 TLV、 端口虚拟局域网标识 TLV以及设备供 电能力 TLV。

进一歩地，该装置还包括加密模块 406，用于采用可逆算法对第二 LLDP 报文中的 TLV进行加密。

进一歩地， 该装置还包括管理模块， 用于当网络设备的一个端口上连 接的直连设备的数目达到上限， 且该端口上新接入的直连设备的安全级别 为安全时， 删除连接在该端口上的至少一个安全级别为非安全的直连设备。

本发明实施例通过认证 TLV确定直连设备的安全级别， 一方面， 当直 连设备的安全级别为安全时， 确定该直连设备的设备类型， 根据设备类型 选择与设备类型对应的 TLV进行发送， 避免了现有技术中每次都将所有类 型的 TLV发送给直连设备，减小了设备信息泄漏的可能，保证了发送的 LLDP 报文更加合理， 节省链路开销， 避免造成直连设备无法处理而不能正常运 行的问题； 另一方面， 当直连设备的安全级别为安全时或直连设备发送的 LLDP报文中为携带认证 TLV时，发送只包含最低安全级别的 TLV的 LLDP报 文， 既能满足安全需求， 又能保证低端设备和老设备的正常接入。 在具体的实施方式中， 前述图 7、 8中的链路发现装置可以是一种计算 机或者服务器， 如图 9所示。 其一般包括存储器 91、 处理器 92、 网络接口 93等部件。 本领域技术人员可以理解， 图 9中所示出的结构并不构成对本 装置的限定， 可以包括比图示更多或更少的部件， 或者组合某些部件， 或 者不同的部件布置。

下面结合图 9对计算机 90的各个构成部件进行具体的介绍：

存储器 91可用于存储软件程序以及应用模块， 处理器 92通过运行存 储在存储器 91的软件程序以及应用模块， 从而执行计算机 90的各种功能 应用以及数据处理。存储器 91可主要包括存储程序区和存储数据区，其中， 存储程序区可存储操作系统、 至少一个功能所需的应用程序 （比如报文解 封装） 等； 存储数据区可存储根据计算机 90的处理所创建的数据。 此外， 存储器 91可以包括高速 RAM (Random Access Memory, 随机存取存储器）， 还可以包括非易失性存储器 （non-volatile memory) , 例如至少一个磁盘 存储器件、 闪存器件、 或其他易失性固态存储器件。

处理器 92是计算机 90的控制中心， 利用各种接口和线路连接整个计 算机的各个部分。

具体地， 处理器 92通过运行或执行存储在存储器 91内的软件程序和 / 或应用模块， 以及调用存储在存储器 91 内的数据， 处理器 92可以实现， 当通过网络接口 93接收到的直连设备发送的 LLDP报文为第一 LLDP报文时， 根据第一 LLDP报文中的认证 TLV, 确定直连设备的安全级别， 该安全级别 包括安全和非安全， 该第一 LLDP报文包括认证 TLV和最低安全级别 TLV, 最低安全级别 TLV包括： Chassis ID TLV, Port ID TLV, Time to Live TLV 和 End of LLDPDU TLV;

当直连设备的安全级别为安全时， 根据第一 LLDP报文确定直连设备的 设备类型；

根据直连设备的设备类型，通过网络接口 93向直连设备发送第二 LLDP 报文， 该第二 LLDP报文包括与直连设备的设备类型对应的 TLV。

进一歩地， 网络接口 93还用于， 当直连设备的安全级别为非安全时， 向直连设备发送第一 LLDP报文， 第一 LLDP报文中的 TLV包括认证 TLV和 最低安全级别 TLV。

进一歩地， 处理器 92可以实现， 通过网络接口 93接收直连设备发送 的 LLDP报文， 并确定接收到的 LLDP报文是否携带认证 TLV;

若 LLDP报文中携带认证 TLV, 则 LLDP报文为第一 LLDP报文； 若 LLDP报文中未携带认证 TLV,则通过网络接口 93向直连设备发送第 一 LLDP报文。

进一歩地， 处理器 92可以实现， 根据直连设备发送的第一 LLDP报文 中携带的 Chassis ID TLV和 Port ID TLV, 获得 Chassis ID和 Port ID; 采用 Chassis ID和 Port ID, 计算判定 TLV;

比较判定 TLV与认证 TLV是否相同， 若相同， 则确定直连设备的安全 级别为安全， 若不同， 则确定直连设备的安全级别为不安全。

进一歩地， 处理器 92 可以实现， 根据系统能力 TLV 中 System Capabilities字段获取直连设备所具备的功能， 根据直连设备所具备的功 能确定直连设备的设备类型。

进一歩地， 处理器 92可以实现， 在根据第一 LLDP报文， 确定直连设 备的设备类型之前，确定第一 LLDP报文是否携带系统能力 TLV,当第一 LLDP 报文中携带系统能力 TLV时， 则根据系统能力 TLV确定直连设备的设备类 型；

当第一 LLDP报文中未携带系统能力 TLV,通过网络接口 93向直连设备 发送第二 LLDP报文， 且第二 LLDP报文中的 TLV包括全部类型的 TLV。

进一歩地， 处理器 92可以实现， 当直连设备为中继器时， 通过网络接 口 93向直连设备发送第二 LLDP报文， 且第二 LLDP报文中的 TLV只包括最 低安全级别 TLV;

当直连设备为网桥或者路由器时， 通过网络接口 93向直连设备发送第 二 LLDP报文， 且第二 LLDP报文中的 TLV包括全部类型的 TLV;

当直连设备为因特网协议电话时， 通过网络接口 93向直连设备发送第 二 LLDP报文， 且第二 LLDP报文中的 TLV包括最低安全级别 TLV、端口描述 TLV、 系统名称 TLV、 系统描述 TLV、 系统能力 TLV、 端口虚拟局域网标识 TLV以及设备供电能力 TLV。

进一歩地， 处理器 92还可以实现， 采用可逆算法对第二 LLDP报文中 携带的 TLV进行加密。

进一歩地， 处理器 92可以实现， 当网络设备的一个端口上连接的直连 设备的数目达到上限， 且该端口上新接入的直连设备的安全级别为安全时， 删除连接在该端口上的至少一个安全级别为非安全的直连设备。

需要说明的是： 上述实施例提供的链路发现装置在进行链路发现时， 仅以上述各功能模块的划分进行举例说明， 实际应用中， 可以根据需要而 将上述功能分配由不同的功能模块完成， 即将链路发现装置的内部结构划 分成不同的功能模块， 以完成以上描述的全部或者部分功能。 另外， 上述 实施例提供的链路发现装置与链路发现方法实施例属于同一构思， 其具体 实现过程详见方法实施例， 这里不再赘述。

上述本发明实施例序号仅仅为了描述， 不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分歩骤可以 通过硬件来完成， 也可以通过程序来指令相关的硬件完成， 所述的程序可 以存储于一种计算机可读存储介质中， 上述提到的存储介质可以是只读存 储器， 磁盘或光盘等。

以上所述仅为本发明的较佳实施例， 并不用以限制本发明， 凡在本发 明的精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在 本发明的保护范围之内。

Claims

权利要求

1、 一种链路发现方法， 其特征在于， 所述方法包括：

当网络设备接收到的直连设备发送的第一链路层发现协议 LLDP 报文 时， 根据所述第一 LLDP报文中的认证类型-长度-值 TLV, 确定所述直连设 备的安全级别， 所述安全级别包括安全和非安全， 所述第一 LLDP报文包括 所述认证 TLV和最低安全级别 TLV, 所述最低安全级别 TLV包括： 设备标识 TLV、 端口号 TLV、 邻居生命周期 TLV和 LLDP数据单元结束 TLV;

若所述直连设备的安全级别为安全， 则根据所述第一 LLDP报文确定所 述直连设备的设备类型， 并根据所述直连设备的设备类型， 向所述直连设 备发送第二 LLDP报文， 所述第二 LLDP报文包括与所述直连设备的设备类 型对应的 TLV。

2、 根据权利要求 1所述的方法， 其特征在于， 所述方法还包括： 若所述直连设备的安全级别为非安全， 则向所述直连设备发送所述第 一 LLDP报文。

3、根据权利要求 1所述的方法，其特征在于，在所述根据所述第一 LLDP 报文中的认证 TLV, 确定所述直连设备的安全级别之前， 所述方法还包括： 接收所述直连设备发送的 LLDP报文， 并确定接收到的所述 LLDP报文 是否携带认证 TLV;

若所述 LLDP报文中携带认证 TLV,则所述 LLDP报文为第一 LLDP报文； 相应地， 所述方法还包括：

若所述 LLDP报文中未携带认证 TLV, 则向所述直连设备发送所述第一 LLDP报文。

4、 根据权利要求 1所述的方法， 其特征在于， 所述根据所述第一 LLDP 中的认证 TLV, 确定所述直连设备的安全级别， 包括：

根据所述设备标识 TLV和所述端口号 TLV,获得所述直连设备的设备标 识和端口号； 采用所述设备标识和端口号， 计算判定 TLV;

比较所述判定 TLV与所述认证 TLV是否相同， 若相同， 则确定所述直 连设备的安全级别为安全， 若不同， 则确定所述直连设备的安全级别为非 安全。

5、 根据权利要求 1所述的方法， 其特征在于， 所述第一 LLDP报文还 包括系统能力 TLV,所述系统能力 TLV包括用于描述设备功能的系统能力字 段， 则所述根据所述第一 LLDP报文，确定所述直连设备的设备类型，包括： 根据所述系统能力 TLV 中所述系统能力字段获取所述直连设备所具备 的功能；

根据所述直连设备所具备的功能确定所述直连设备的设备类型。

6、根据权利要求 5所述的方法，其特征在于，在所述根据所述第一 LLDP 报文， 确定所述直连设备的设备类型之前， 所述方法还包括：

确定所述第一 LLDP报文是否携带系统能力 TLV;

若所述第一 LLDP报文中未携带系统能力 TLV, 则向所述直连设备发送 第二 LLDP报文， 且所述第二 LLDP报文中的 TLV包括全部类型的 TLV;

若所述第一 LLDP报文中携带系统能力 TLV, 则根据所述系统能力 TLV, 确定所述直连设备的设备类型。

7、 根据权利要求 1所述的方法， 其特征在于， 所述根据所述直连设备 的设备类型， 向所述直连设备发送第二 LLDP报文， 包括：

当所述直连设备为中继器时， 向所述直连设备发送第二 LLDP报文， 且 所述第二 LLDP报文中的 TLV只包括最低安全级别 TLV;

当所述直连设备为网桥或者路由器时， 向所述直连设备发送第二 LLDP 报文， 且所述第二 LLDP报文中的 TLV包括全部类型的 TLV;

当所述直连设备为因特网协议电话时， 向所述直连设备发送第二 LLDP 报文，且所述第二 LLDP报文中的 TLV包括最低安全级别 TLV、端口描述 TLV、 系统名称 TLV、 系统描述 TLV、 系统能力 TLV、 端口虚拟局域网标识 TLV以 及设备供电能力 TLV。

8、 根据权利要求 1-7任一项所述的方法， 其特征在于， 在所述根据所 述直连设备的设备类型， 向所述直连设备发送第二 LLDP报文之前， 所述方 法还包括：

采用可逆算法对所述第二 LLDP报文中的 TLV进行加密。

9、 根据权利要求 1-7任一项所述的方法， 其特征在于， 所述方法还包 括：

当所述网络设备的一个端口上连接的直连设备的数目达到上限， 且所 述端口上新接入的直连设备的安全级别为安全时， 删除连接在所述端口上 的至少一个安全级别为非安全的直连设备。

10、 一种链路发现装置， 其特征在于， 所述装置包括：

第一确定模块， 用于当网络设备接收到的直连设备发送的第一链路层 发现协议 LLDP报文时，根据所述第一 LLDP报文中的认证类型-长度-值 TLV, 确定所述直连设备的安全级别， 所述安全级别包括安全和非安全； 所述第 一 LLDP报文包括所述认证 TLV和最低安全级别 TLV,所述最低安全级别 TLV 包括： 设备标识 TLV、 端口号 TLV、 邻居生命周期 TLV和 LLDP数据单元结 束 TLV;

第二确定模块， 用于当所述第一确定模块确定所述直连设备的安全级 别为安全时， 根据所述第一 LLDP报文确定所述直连设备的设备类型；

发送模块， 用于根据所述直连设备的设备类型， 向所述直连设备发送 第二 LLDP报文， 所述第二 LLDP报文包括与所述直连设备的设备类型对应 的 TLVo

11、根据权利要求 10所述的装置，其特征在于，所述发送模块还用于， 当所述直连设备的安全级别为非安全时， 向所述直连设备发送所述第一 LLDP报文。

12、 根据权利要求 10所述的装置， 其特征在于， 所述装置还包括： 接收模块， 用于接收所述直连设备发送的 LLDP报文，

第三确定模块， 用于确定所述接收模块接收到的所述 LLDP报文是否携 带认证 TLV, 当所述 LLDP报文中携带认证 TLV时， 确定所述 LLDP报文为第 一 LLDP报文；

相应地，所述发送模块，还用于当所述 LLDP报文中未携带认证 TLV时， 向所述直连设备发送所述第一 LLDP报文。

13、 根据权利要求 10所述的装置， 其特征在于， 所述第一确定模块包 括：

获取单元， 用于根据所述设备标识 TLV和端口号 TLV, 获得所述直连设 备的设备标识和端口号；

计算单元， 用于采用所述设备标识和端口号， 计算判定 TLV;

比较单元， 用于比较所述判定 TLV与所述认证 TLV是否相同， 若相同， 则确定所述直连设备的安全级别为安全， 若不同， 则确定所述直连设备的 安全级别为非安全。

14、 根据权利要求 10所述的装置， 其特征在于， 所述第一 LLDP报文 还包括系统能力 TLV,所述系统能力 TLV包括用于描述设备功能的系统能力 字段，

则所述第二确定模块， 用于根据所述系统能力 TLV 中所述系统能力字 段获取所述直连设备所具备的功能， 根据所述直连设备所具备的功能确定 所述直连设备的设备类型。

15、 根据权利要求 14所述的装置， 其特征在于， 所述第二确定模块， 还用于在所述根据所述第一 LLDP报文，确定所述直连设备的设备类型之前， 确定所述第一 LLDP报文是否携带系统能力 TLV,当所述第一 LLDP报文中携 带系统能力 TLV时， 则根据所述系统能力 TLV, 确定所述直连设备的设备类 型；

相应地， 所述发送模块， 还用于当所述第一 LLDP报文中未携带系统能 力 TLV时， 则向所述直连设备发送第二 LLDP报文， 且所述第二 LLDP报文 中的 TLV包括全部类型的 TLV。

16、 根据权利要求 10所述的装置， 其特征在于， 所述发送模块用于， 当所述直连设备为中继器时， 向所述直连设备发送第二 LLDP报文， 且 所述第二 LLDP报文中的 TLV只包括最低安全级别 TLV;

当所述直连设备为网桥或者路由器时， 向所述直连设备发送第二 LLDP 报文， 且所述第二 LLDP报文中的 TLV包括全部类型的 TLV;

当所述直连设备为因特网协议电话时， 向所述直连设备发送第二 LLDP 报文，且所述第二 LLDP报文中的 TLV包括最低安全级别 TLV、端口描述 TLV、 系统名称 TLV、 系统描述 TLV、 系统能力 TLV、 端口虚拟局域网标识 TLV以 及设备供电能力 TLV。

17、 根据权利要求 10-16任一项所述的装置， 其特征在于， 所述装置 还包括：

加密模块，用于采用可逆算法对所述第二 LLDP报文中的 TLV进行加密。

18、 根据权利要求 10-16任一项所述的装置， 其特征在于， 所述装置 还包括：

管理模块， 用于当所述网络设备的一个端口上连接的直连设备的数目 达到上限， 且所述端口上新接入的直连设备的安全级别为安全时， 删除连 接在所述端口上的至少一个安全级别为非安全的直连设备。