CN119299966B - 一种安全防护方法及装置 - Google Patents

Abstract

本申请实施例提供了一种安全防护方法及装置，涉及通信技术领域，该方法包括：接收第一报文；若第一报文表征网络设备所属的WLAN二层网络具备IP直通能力，则关闭IP防护功能，IP直通能力为设备间能够直接通过IP地址进行通信的能力，IP防护功能是指不向无线接口复制和转发接收到的IP组播报文和IP广播报文；若第一报文表征WLAN二层网络不具备IP直通能力，则保持IP防护功能处于开启状态。能够提升报文转发效率。

Description

一种安全防护方法及装置

技术领域

本申请涉及通信技术领域，特别是涉及一种安全防护方法及装置。

背景技术

WiFi技术为目前应用最为广泛的无线局域网络技术之一，目前已正式推出更先进的WiFi 7标准。此标准是前一代 WiFi 6的升级版本，相比之下，WiFi 7能够提供更快、更稳定、更能效的无线连接。社会的发展和技术的更替对于无线设备提供商而言，是个巨大的机遇，同时也是个挑战。其中，在提高网络设备的报文处理速度、降低时延和增强安全性方面，尽可能减少对广播和组播报文的无效复制和转发，是无线局域网（Wireless Local AreaNetwork，WLAN）领域的一个长期且重要的课题。为了尽可能减少对广播和组播报文的无效复制和转发，WLAN隔离技术应运而生。

目前主要的隔离技术均是硬隔离技术，例如，基于域、组或者端口进行隔离，即对于属于同一个域或同一个组的用户之间的互相访问进行隔离限制，或者对属于同一个端口组的端口，进行二三层转发的隔离。然而这些隔离技术均需要有经验的网络管理员提前进行规划和配置，在配置信息生效后，若网络设备数量、无线终端数量、网络拓扑或网络配置等环境因素发生变化，配置信息无法自动更新，仍需依赖于网络管理员的运维，弹性较差，且若未对不同的域间或组间的用户之间的互相访问进行隔离限制，则仍然可能存在广播和组播报文的无效复制和转发的问题，从而影响网络设备的转发效率。

发明内容

本申请实施例的目的在于提供一种安全防护方法及装置，以提升网络设备的转发效率和网络安全性。具体技术方案如下：

第一方面，本申请实施例提供一种安全防护方法，应用于网络设备，所述方法包括：

接收第一报文；

若所述第一报文表征所述网络设备所属的WLAN二层网络具备网际协议（InternetProtocol，IP）直通能力，则关闭IP防护功能，所述IP直通能力为设备间能够直接通过IP地址进行通信的能力，所述IP防护功能是指不向无线接口复制和转发接收到的IP组播报文和IP广播报文；

若所述第一报文表征所述WLAN二层网络不具备IP直通能力，则保持所述IP防护功能处于开启状态。

在一种可能的实现方式中，所述方法还包括：

每隔第一预设时长，探测所述WLAN二层网络中是否存在IP网关设备和DHCP服务器；

若所述WLAN二层网络中存在IP网关或DHCP服务器，则确定所述WLAN二层网络具备IP直通能力，并关闭所述IP防护功能；

若所述WLAN二层网络中不存在IP网关和DHCP服务器，则确定所述WLAN二层网络不具备IP直通能力，并开启所述IP防护功能。

在一种可能的实现方式中，所述方法还包括：

在所述IP防护功能处于开启状态的情况下，若接收到IP组播报文或IP广播报文，且与前一次接收到IP组播报文或广播报文的时长超出第二预设时长，则探测所述WLAN二层网络中是否存在IP网关设备和DHCP服务器；

若所述WLAN二层网络中存在IP网关或DHCP服务器，则确定所述WLAN二层网络具备IP直通能力，并关闭所述IP防护功能；

若所述WLAN二层网络中不存在IP网关和DHCP服务器，则确定所述WLAN二层网络不具备IP直通能力，并保持所述IP防护功能处于开启状态。

在一种可能的实现方式中，所述方法还包括：

在所述IP防护功能处于开启状态的情况下，周期性探测所述WLAN二层网络内的设备是否能够与外网IP服务器通信；

若所述WLAN二层网络内的设备能够与外网IP服务器通信，则确定所述WLAN二层网络具备IP直通能力，并关闭所述IP防护功能。

在一种可能的实现方式中，所述探测所述WLAN二层网络中是否存在IP网关设备和DHCP服务器，包括：

发送路由请求RS报文；

若在第三预设时长内接收到路由通告RA报文，则确定所述WLAN二层网络中存在IP网关设备；

发送DHCP发现报文；

若在第四预设时长内接收到DHCP服务器回复的DHCP通告报文，则向所述DHCP服务器发送DHCP请求报文；

若在第五预设时长内接收到所述DHCP服务器发送的DHCP回复报文，则确定所述WLAN二层网络中存在DHCP服务器。

在一种可能的实现方式中，所述发送路由请求RS报文，包括：

若通过第一接口已接收到RA报文，则通过所述第一接口发送RS报文；若在第六预设时长内未接收到所述RA报文，且已接收到第一VLAN内的RA报文，则在所述第一VLAN内广播RS报文；

若未通过任一接口接收到RA报文，则在所述网络设备所属的所有VLAN内广播RS报文。

在一种可能的实现方式中，在所述向所述DHCP服务器发送DHCP请求报文之后，所述方法还包括：

若在所述第五预设时长内接收到所述DHCP服务器发送的DHCP回复报文，且所述DHCP回复报文携带为所述网络设备分配的IP地址，则向所述DHCP服务器发送DHCP释放报文。

在一种可能的实现方式中，所述RS报文包括目的地址以及源地址，所述目的地址为通用组播地址，所述源地址为全0地址或者链路本地地址，所述链路本地地址包括所述网络设备的桥MAC地址和链路本地地址前缀；

所述DHCP发现报文包括的源地址和所述DHCP请求报文包括的源地址均为所述链路本地地址。

在一种可能的实现方式中，所述探测所述WLAN二层网络内的设备是否能够与外网IP服务器通信，包括：

向域名服务器发送DNS请求报文；若在第七预设时长内接收到所述域名服务器回复的DNS响应报文，则向所述外网IP服务器发送ICMP Echo Request报文，若在第八预设时长内接收到所述外网IP服务器回复的ICMP Echo Reply报文，则确定所述WLAN二层网络内的设备能够与外网IP服务器通信；其中，所述DNS请求报文中携带所述外网IP服务器的域名，所述DNS响应报文中携带所述外网IP服务器的第一IP地址，所述ICMP Echo Request报文中携带所述第一IP地址；或者，

向所述外网IP服务器发送ICMP Echo Request报文；若在第九预设时长内接收到所述外网IP服务器回复的ICMP Echo Reply报文，则确定所述WLAN二层网络内的设备能够与外网IP服务器通信，其中，所述ICMP Echo Request报文中携带第二IP地址，所述第二IP地址为所述网络设备存储的所述外网IP服务器的IP地址。

在一种可能的实现方式中，所述ICMP Echo Request报文的载荷部分包括指定标识；

在所述向所述外网IP服务器发送ICMP Echo Request报文之后，所述方法还包括：

若在所述第九预设时长内接收到所述外网IP服务器回复的ICMP Echo Reply报文，且所述ICMP Echo Reply报文的载荷部分包括所述指定标识，则丢弃所述ICMP EchoReply报文。

在一种可能的实现方式中，所述DNS请求报文的源地址包括所述IP网关设备的RA前缀和所述网络设备的桥MAC地址；或者，所述DNS请求报文的源地址为向所述DHCP服务器申请的IP地址；

所述ICMP Echo Request报文的源地址包括所述IP网关设备的RA前缀和所述网络设备的桥MAC地址构造的地址；或者，所述ICMP Echo Request报文的源地址为向所述DHCP服务器申请的IP地址；或者，所述ICMP Echo Request报文的源地址为无线终端的源IP地址，所述无线终端的源IP地址为从无线终端发送的IP报文中获取的源地址、或者为所述网络设备的用户管理模块中存储的无线终端的IP地址。

在一种可能的实现方式中，在所述接收第一报文之后，所述方法还包括：

若所述第一报文为以下任意一种报文，则确定所述第一报文表征所述WLAN二层网络具备IP直通能力：

DHCP动态地址分配过程中的报文；

网关设备向终端发送的路由通告报文；

邻居通告NA报文；

全球单播IP数据报文。

在一种可能的实现方式中，在所述关闭所述IP防护功能后，所述方法还包括：

若持续第十预设时长未接收到表征所述WLAN二层网络具备IP直通能力的报文，则开启所述IP防护功能。

第二方面，本申请实施例提供一种安全防护装置，应用于网络设备，所述装置包括：

接收模块，用于接收第一报文；

关闭模块，用于若所述第一报文表征所述网络设备所属的WLAN二层网络具备IP直通能力，则关闭IP防护功能，所述IP直通能力为设备间能够直接通过IP地址进行通信的能力，所述IP防护功能是指不向无线接口复制和转发接收到的IP组播报文和IP广播报文；

开启模块，用于若所述第一报文表征所述WLAN二层网络不具备IP直通能力，则保持所述IP防护功能处于开启状态。

在一种可能的实现方式中，所述装置还包括：

探测模块，用于每隔第一预设时长，探测所述WLAN二层网络中是否存在IP网关设备和DHCP服务器；

所述关闭模块，还用于若所述WLAN二层网络中存在IP网关或DHCP服务器，则确定所述WLAN二层网络具备IP直通能力，并关闭所述IP防护功能；

所述开启模块，还用于若所述WLAN二层网络中不存在IP网关和DHCP服务器，则确定所述WLAN二层网络不具备IP直通能力，并开启所述IP防护功能。

在一种可能的实现方式中，所述装置还包括：

探测模块，用于在所述IP防护功能处于开启状态的情况下，若接收到IP组播报文或IP广播报文，且与前一次接收到IP组播报文或广播报文的时长超出第二预设时长，则探测所述WLAN二层网络中是否存在IP网关设备和DHCP服务器；

所述关闭模块，还用于若所述WLAN二层网络中存在IP网关或DHCP服务器，则确定所述WLAN二层网络具备IP直通能力，并关闭所述IP防护功能；

所述开启模块，还用于若所述WLAN二层网络中不存在IP网关和DHCP服务器，则确定所述WLAN二层网络不具备IP直通能力，并保持所述IP防护功能处于开启状态。

在一种可能的实现方式中，所述装置还包括：

探测模块，用于在所述IP防护功能处于开启状态的情况下，周期性探测所述WLAN二层网络内的设备是否能够与外网IP服务器通信；

所述关闭模块，还用于若所述WLAN二层网络内的设备能够与外网IP服务器通信，则确定所述WLAN二层网络具备IP直通能力，并关闭所述IP防护功能。

在一种可能的实现方式中，所述探测模块，具体用于：发送路由请求RS报文；若在第三预设时长内接收到路由通告RA报文，则确定所述WLAN二层网络中存在IP网关设备；发送DHCP发现报文；若在第四预设时长内接收到DHCP服务器回复的DHCP通告报文，则向所述DHCP服务器发送DHCP请求报文；若在第五预设时长内接收到所述DHCP服务器发送的DHCP回复报文，则确定所述WLAN二层网络中存在DHCP服务器。

在一种可能的实现方式中，所述探测模块，具体用于：若通过第一接口已接收到RA报文，则通过所述第一接口发送RS报文；若在第六预设时长内未接收到所述RA报文，且已接收到第一VLAN内的RA报文，则在所述第一VLAN内广播RS报文；若未通过任一接口接收到RA报文，则在所述网络设备所属的所有VLAN内广播RS报文。

在一种可能的实现方式中，所述探测模块，还用于若在所述第五预设时长内接收到所述DHCP服务器发送的DHCP回复报文，且所述DHCP回复报文携带为所述网络设备分配的IP地址，则向所述DHCP服务器发送DHCP释放报文。

在一种可能的实现方式中，所述RS报文包括目的地址以及源地址，所述目的地址为通用组播地址，所述源地址为全0地址或者链路本地地址，所述链路本地地址包括所述网络设备的桥MAC地址和链路本地地址前缀；

所述DHCP发现报文包括的源地址和所述DHCP请求报文包括的源地址均为所述链路本地地址。

在一种可能的实现方式中，所述探测模块，具体用于：

向域名服务器发送DNS请求报文；若在第七预设时长内接收到所述域名服务器回复的DNS响应报文，则向所述外网IP服务器发送ICMP Echo Request报文，若在第八预设时长内接收到所述外网IP服务器回复的ICMP Echo Reply报文，则确定所述WLAN二层网络内的设备能够与外网IP服务器通信；其中，所述DNS请求报文中携带所述外网IP服务器的域名，所述DNS响应报文中携带所述外网IP服务器的第一IP地址，所述ICMP Echo Request报文中携带所述第一IP地址；或者，

向所述外网IP服务器发送ICMP Echo Request报文；若在第九预设时长内接收到所述外网IP服务器回复的ICMP Echo Reply报文，则确定所述WLAN二层网络内的设备能够与外网IP服务器通信，其中，所述ICMP Echo Request报文中携带第二IP地址，所述第二IP地址为所述网络设备存储的所述外网IP服务器的IP地址。

在一种可能的实现方式中，所述ICMP Echo Request报文的载荷部分包括指定标识；

所述探测模块，还用于若在所述第九预设时长内接收到所述外网IP服务器回复的ICMP Echo Reply报文，且所述ICMP Echo Reply报文的载荷部分包括所述指定标识，则丢弃所述ICMP Echo Reply报文。

在一种可能的实现方式中，所述DNS请求报文的源地址包括所述IP网关设备的RA前缀和所述网络设备的桥MAC地址；或者，所述DNS请求报文的源地址为向所述DHCP服务器申请的IP地址；

所述ICMP Echo Request报文的源地址包括所述IP网关设备的RA前缀和所述网络设备的桥MAC地址；或者，所述ICMP Echo Request报文的源地址为向所述DHCP服务器申请的IP地址；或者，所述ICMP Echo Request报文的源地址为无线终端的源IP地址，所述无线终端的源IP地址为从无线终端发送的IP报文中获取的源地址、或者为所述网络设备的用户管理模块中存储的无线终端的IP地址。

在一种可能的实现方式中，所述装置还包括：

确定模块，用于若所述第一报文为以下任意一种报文，则确定所述第一报文表征所述WLAN二层网络具备IP直通能力：

DHCP动态地址分配过程中的报文；

网关设备向终端发送的路由通告报文；

邻居通告NA报文；

全球单播IP数据报文。

在一种可能的实现方式中，所述开启模块，还用于若持续第十预设时长未接收到表征所述WLAN二层网络具备IP直通能力的报文，则开启所述IP防护功能。

第三方面，本申请实施例提供了一种网络设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述第一方面所述的方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面所述的方法。

第五方面，本申请实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

采用上述技术方案，网络设备接收到第一报文后，若确定第一报文表征网络设备所属的WLAN二层网络具备IP直通能力，则关闭IP防护功能，若确定第一报文表征网络设备所属的WLAN二层网络不具备IP直通能力，则保持IP功能处于开启状态。即能够基于网络设备接收到的报文灵活地调整IP防护功能的开关，在网络环境发生变化时，不依赖于运维人员调整配置信息，并且在确定WLAN二层网络具备IP直通能力的情况下，能够及时关闭IP防护功能，从而减少IP组播报文和IP广播报文的无效复制和转发，使得网络设备的转发资源能够被更好地应用于其他报文的转发，提升转发效率。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的实施例。

图1为本申请实施例提供的一种安全防护方法的流程图；

图2为本申请实施例提供的一种安全防护方法中的探测时机的示例性示意图；

图3为本申请实施例提供的一种系统架构图；

图4为图3的系统架构中的各单元的第一种交互示意图；

图5为图3的系统架构中的各单元的第二种交互示意图；

图6为本申请实施例提供的另一种系统架构图；

图7为图6的系统架构中各单元的交互示意图；

图8为本申请实施例提供的一种安全防护装置的结构示意图；

图9为本申请实施例提供的一种网络设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员基于本申请所获得的所有其他实施例，都属于本申请保护的范围。

在数字化、智能化、现代化社会高速发展的今天，无线通信技术因其独有的便利性，在家庭、办公和公共场所所扮演的角色显得越来越重要。随着智能手机、智能手表、智能平板、智能家居设备等无线终端的普及，超高清视频、虚拟现实、移动直播等应用的兴起，它们都对当前的无线网络提出了更高的需求，即更快的数据传输速度、更低的网络延迟、更好的网络稳定性和安全性。

在无线网络中，为了尽可能减少对广播和组播报文的无效复制和转发，WLAN隔离技术应运而生。目前主流的WLAN隔离技术包括以下五种：

端口隔离：对属于同一个端口组的端口进行二三层转发的隔离；

基于VLAN域的用户隔离：在一个VLAN域的有线用户之间、有线用户和无线用户之间以及无线用户之间（无论无线用户是否使用同一服务集标识（Service Set Identifier，SSID）接入WLAN网络）的互相访问进行隔离限制；

基于SSID的用户隔离：对通过相同SSID接入无线网络且处于同一虚拟局域网（Virtual Local Area Network，VLAN）内的无线用户之间的互相访问进行隔离限制；

基于用户组的用户隔离：对用户组内的无线用户和用户组间的无线用户之间的互相访问进行隔离限制；

漫游组隧道隔离：同一漫游组内的多台设备间存在环路时，开启漫游组隧道隔离功能，确保设备不会在漫游组的隧道之间转发报文，从而避免出现广播风暴等问题。

以上五种WLAN隔离技术均能减少WLAN网络中网络设备对广播报文和组播报文的无效复制和转发，将更多的资源用于有效的基础报文转发，从而提高网络设备整体的报文转发速度，降低转发时延，并降低对WLAN网络中其他设备的影响。

然而，这些隔离技术均为硬隔离技术，均需要有经验的网络管理员提前规划配置，在配置信息生效后，无法实时更新配置信息，运维复杂，弹性较差，且存在因配置不完善而存在广播报文和组播报文的无效复制和转发问题，导致网络设备对其他报文的转发效率低。

为了解决上述问题，本申请实施例提供一种安全防护方法，该方法应用于网络设备，该网络设备可以为无线接入控制器（Access Controller，AC）或无线接入点（AccessPoint，AP），如图1所示，该方法包括：

S101、接收第一报文。

其中，第一报文为网络设备接收到的任一报文，可以理解为网络设备需要逐包解析接收到的报文。

S102、若第一报文表征网络设备所属的WLAN二层网络具备IP直通能力，则关闭IP防护功能。

其中，IP直通能力为设备间能够直接通过IP地址进行通信的能力，IP防护功能是指不向无线接口复制和转发接收到的IP组播报文和IP广播报文。例如，可以丢弃接收到的IP组播报文和IP广播报文，或者只向有线接口复制和转发接收到的IP组播报文和IP广播报文。

若WLAN二层网络具备IP直通能力，说明WLAN二层网络中的各设备之间能够直接通过IP地址进行通信，因此网络设备能够正确的基于IP地址转发IP组播报文和IP广播报文，且接收到IP组播报文和IP广播报文的设备也能够识别和处理IP组播报文和IP广播报文，这种情况下属于有效的复制和转发，无需进行转发隔离，因此可以关闭IP防护功能，使得网络设备能够正常复制和转发IP组播报文和IP广播报文。

需要说明的是，本申请实施例中的WLAN二层网络包括传统的二层网络，也包括虚拟扩展局域网（Virtual Extensible Local Area Network，VXLAN）等大二层网络。

S103、若第一报文表征WLAN二层网络不具备IP直通能力，则保持IP防护功能处于开启状态。

若WLAN二层网络不具备IP直通能力，说明WLAN二层网络中的各设备之间不能直接通过IP地址进行通信，因此即使网络设备复制接收到的IP组播报文和IP广播报文，也无法基于IP地址通过无线接口成功转发IP组播报文和IP广播报文，这种情况下属于无效的复制和转发，因此需进行转发隔离，保持IP防护功能处于开启状态，使得网络设备不通过无线接口复制和转发接收到的IP组播报文和IP广播报文。

本申请实施例中的网络设备可以为AC或AP，若网络设备为AC，则对于AC接收到的组播报文和广播报文，进行IP防护时，AC不会将下行的组播报文和广播报文复制给AP；若网络设备为AP，则AP会丢弃从无线射频口上接收到的来自无线终端的组播报文和广播报文，且若AP接收到有线终端发送的组播报文和广播报文，则不会将下行的组播报文和广播报文复制给无线终端。

采用该方法，网络设备接收到第一报文后，若确定第一报文表征网络设备所属的WLAN二层网络具备IP直通能力，则关闭IP防护功能，若确定第一报文表征网络设备所属的WLAN二层网络不具备IP直通能力，则保持IP功能处于开启状态。即能够基于网络设备接收到的报文灵活地调整IP防护功能的开关，在网络环境发生变化时，不依赖于运维人员调整配置信息，并且在确定WLAN二层网络具备IP直通能力的情况下，能够及时关闭IP防护功能，从而减少IP组播报文和IP广播报文的无效复制和转发，使得网络设备的转发资源能够被更好地应用于其他报文的转发，提升转发效率。

并且，在IP防护功能被开启后，能够抑制网络设备对IP组播报文和IP广播报文的复制和转发，相当于减小了对IP组播报文和IP广播报文对本网络设备的无线接口和转发芯片的影响，且本网络设备不向其他网络设备和无线终端进行无效的IP组播报文和IP广播报文的转发，也能够提升WLAN网络整体的收发包性能和网络安全性。

需要说明的是，本申请实施例中的IP防护功能的防护粒度可以有以下三种：

第一种为基于VLAN粒度进行防护，因为组播报文是在同一个VLAN内进行组播。

第二种为基于设备级的防护，只要设备中有1个板判定具备IP直通能力则认为整个设备具备IP直通能力，所有板判定不具备IP直通能力则认为整个设备不具备IP直通能力。

第三种为基于多设备组合系统（如智能弹性架构（Intelligent ResilientFramework，IRF）堆叠、云集群、各种双机/多机系统等）的防护，即只要有1台设备判定具备IP直通能力则认为系统具备IP直通能力，所有设备判定不具备IP直通能力则认为系统不具备IP直通能力。

需要说明的是，本申请实施例中的IP直通能力分为IPv4直通能力和IPv6直通能力，本申请实施例中涉及的IP地址可以为IPv4地址或IPv6地址，IP组播报文可以为IPv4或IPv6组播报文，IP广播报文可以为IPv4或IPv6广播报文。

可以理解的是，若确定WLAN二层网络不具备IPv4直通能力，则需要对IPv4组播报文和IPv4广播报文进行防护；若确定WLAN二层网络不具备IPv6直通能力，则需要对IPv6组播报文和IPv6广播报文进行防护。

目前，互联网整体处于IPv4向IPv6过渡的阶段，大部分网络设备同时支持IPv4和IPv6通信，或者只支持IPv4通信，可以理解为大部分网络设备之间均具备IPv4直通能力。只有在IPv4完全过渡到IPv6后，或者WLAN网络仅支持IPv6网络通信的情况下，网络设备之间才可能仅支持IPv6通信，而不支持IPv4通信，可以理解为只有在这种情况下，对IPv4组播报文和IPv4广播报文的复制和转发进行防护才有应用价值。

另外，目前主流的无线终端（例如智能手机、平板电脑）的网卡已支持IPv4和IPv6双栈，但是仍有部分网关设备还不具备IPv6直通能力，或者因投入成本等其他因素，网络管理员暂未开通内网和外网的IPv6通信功能。因此现阶段对IPv6组播报文和IPv6广播报文的复制和转发进行防护的应用价值更大。本申请实施例提供的方法能够适用于IPv4场景和IPv6场景，后续实施例的举例中，均以IPv6场景为例进行解释说明。

在上述实施例的基础上，网络设备在接收到第一报文后，需要对第一报文进行解析，若第一报文为以下任意一种报文，则确定第一报文表征WLAN二层网络具备IP直通能力：

动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）动态地址分配过程中的报文；

网关设备向终端发送的路由通告报文；

邻居通告（Neighbor Advertisement，NA）报文；

全球单播IP报文。

其中，各网络设备之前若需要进行IP直通，则需获取IPv4地址或IPv6地址。

目前网络设备获取IPv4地址的方式主要分为两种。第一种为直接获取人工配置的静态IPv4地址。第二种为获取DHCP或在以太网上承载的点对点协议（Point-to-PointProtocol over Ethernet，PPPOE）动态分配的IPv4地址。

网络设备获取IPv6地址的方式目前只有三种。第一种为直接获取人工配置的静态IPv6地址。第二种为获取IPv6动态主机配置协议（Dynamic Host Configuration Protocolfor IPv6，DHCPv6）动态分配的IPv6地址。第三种为获取自动配置的无状态地址。

各网络设备获取自身的IPv4地址或IPv6地址后，再基于通过路由或者动态学习方式获取的IPv4或IPv6转发表，进行IPv4或IPv6报文的转发。

以IPv6场景为例，DHCP动态地址分配过程中的报文主要包括：

（1）、Advertise（通告）报文：是DHCPv6客户端申请地址过程中的第二步中，由DHCPv6服务端回复给DHCPv6客户端的报文，网络设备通过该报文可以识别出本网络内拥有DHCPv6服务器，因此判定本网络至少具备内网IPv6直通能力。

（2）、Reply（回复）报文：是DHCPv6客户端申请地址过程中的第四步中，由DHCPv6服务端回复给DHCPv6客户端的报文，网络设备通过该报文可以识别出本网络拥有DHCPv6服务器，因此判定本网络至少具备内网IPv6直通能力。

（3）、Renew（更新）报文：是地址租约剩余1/2时，由DHCPv6客户端发送给DHCPv6服务端进行续约的报文，网络设备通过该报文可以识别出本网络有无线终端通过DHCPv6服务器获取到IPv6地址，因此判定本网络至少具备内网IPv6直通能力。

（4）、Rebind（再绑定）报文：是地址租约剩余7/8时，由DHCPv6客户端发送给DHCPv6服务端进行续约的报文，网络设备通过该报文可以识别出本网络有我先终端通过DHCPv6服务器获取到IPv6地址，因此判定本网络至少具备内网IPv6直通能力。

（5）、Release（释放）报文：DHCPv6客户端发主动释放地址，发送给DHCPv6服务端的释放报文，网络设备根据该报文识别出本网络有无线终端通过DHCPv6服务器获取到IPv6地址，因此判定本网络至少具备内网IPv6直通能力。

（6）、Relay Forward（中继转发）报文：是DHCPv6中继收到DHCPv6客户端的请求报文后，转发给DHCPv6服务端的中转报文，在AC作为DHCPv6中继的场景中使用，网络设备根据该报文识别出本网络拥有DHCPv6服务器，因此判定本网络至少具备内网IPv6直通能力。

（7）、Relay Reply（中继回复）报文：是DHCPv6中继从DHCPv6服务端收到的RelayForward的应答报文，在AC做中继的场景使用，网络设备根据该报文识别出本网络拥有DHCPv6服务器，判定本网络至少具备内网IPv6直通能力。

（8）、Reconfiguration（重配置）报文：是DHCPv6服务端在发生配置变化时，主动通知DHCPv6客户端重新申请地址的报文，网络设备通过该报文识别出本网络拥有DHCPv6服务器，因此判定本网络至少具备内网IPv6直通能力。

网关设备向无线终端发送的路由通告（Router Advertisement，RA）报文为自动配置无状态地址过程中涉及的报文。RA报文为网关设备针对无线终端发送的路由请求（Router Solicitation，RS）的应答报文（单播报文）或者为网关设备主动周期性发送的报文（组播报文）。RA报文中携带网关设备向无线终端返回的网关信息，网关信息具体可以包括网关地址和RA前缀。网络设备可通过RA报文识别出本网络拥有网关，因此判定本网络至少具备内网IPv6直通能力。

另外，网关设备还可通过IPv6报文转发过程中的报文识别出WLAN二层网络具备IP直通能力，IPv6报文转发过程中涉及的报文主要包括邻居通告（Neighbor Advertisement，NA）报文和全球单播IPv6数据报文。

其中，NA报文是指对邻居发现（Neighbor Solicitation，NS）报文进行地址解析的应答报文。

网络设备若接收到全球单播IPv6数据报文，说明本网络内至少具备内网IPv6直通能力，不能说明是否具备外网IPv6直通能力。

采用本申请实施例，通过逐包解析接收到的报文，能够实时判断出所属的WLAN二层网络是否具备IPv6直通能力，在确定具备IPv6直通能力的情况下，则关闭IPv6防护功能，正常转发发往或者收自无线终端的IPv6组播报文和IPv6广播报文，能够避免影响正常的IPv6业务；在确定不具备IPv6直通能力的情况下，则保持IPv6防护功能处于开启状态，从而避免对IPv6组播报文和IPv6广播报文进行无效的转发和复制，使得网络设备的转发资源能够用于其他报文的转发，能够提升网络设备的带宽，降低处理时延，提升报文转发效率，以减少对无线终端用户的影响，提升无线终端用户的无线上网体验。

采用上述方法时，网络设备需要对接收到的报文进行逐包解析，解析过程需要占用网络设备的设备资源，会为网络设备增加额外的负担，可能会影响网络设备原有的处理性能，为了尽可能避免这些问题，在实际使用该方法时，可以预先对网络设备进行测试，评估出对组播报文和广播报文的复制和该方法的附加消耗的收益对比，从而确定启用该安全防护方法的合适时机。由于组播报文和广播报文的复制的收益由无线终端的数量决定，因此可以通过测试得到一个指定数量，在指定数量以上的无线终端同时接入一个网络设备时，在该网络设备上启用本申请实施例提供的安全防护方法。

若某些时间段内，WLAN二层网络中未传输表征WLAN二层网络具备IP直通能力的报文，则无法准确判定WLAN二层网络是否具备IP直通能力，为了解决该问题，本申请实施例中网络设备还可以通过报文探测类技术主动探测WLAN二层网络是否具备IP直通能力。

目前，IP网络通信过程中的报文，在网络层和传输层上，没有特征标识报文是内网报文还是外网报文，而本申请实施例提供的报文探测类技术能够探测WLAN二层网络是否具备内网IP直通能力以及是否具备外网IP直通能力。

其中，探测WLAN二层网络是否具备内网IP直通能力，包括以下两种情况：

情况1、每隔第一预设时长，探测WLAN二层网络中是否存在IP网关设备和DHCP服务器；若WLAN二层网络中存在IP网关或DHCP服务器，则确定WLAN二层网络具备IP直通能力，并关闭IP防护功能；若WLAN二层网络中不存在IP网关和DHCP服务器，则确定WLAN二层网络不具备IP直通能力，并开启所述IP防护功能。

也就是说，网络设备可以周期性探测WLAN二层网络中是否存在IP网关设备和DHCP服务器，从而确定WLAN二层网络是否具备IP直通能力，进而在WLAN二层网络中未传输表征WLAN二层网络具备IP直通能力的报文的情况下，也可以及时识别出WLAN二层网络是否具备IP直通能力。

情况2、在IP防护功能处于开启状态的情况下，若接收到IP组播报文或IP广播报文，且与前一次接收到IP组播报文或广播报文的时长超出第二预设时长，则探测WLAN二层网络中是否存在IP网关设备和DHCP服务器；若WLAN二层网络中存在IP网关或DHCP服务器，则确定WLAN二层网络具备IP直通能力，并关闭IP防护功能；若WLAN二层网络中不存在IP网关和DHCP服务器，则确定WLAN二层网络不具备IP直通能力，并保持IP防护功能处于开启状态。

在进行探测前，可以先缓存接收到的IP组播报文或IP广播报文，在经探测确定可以关闭IP防护功能后，则可以对缓存的IP组播报文或IP广播报文进行正常的复制和转发；在经探测确定需要保持IP防护功能处于开启状态的情况下，则不向无线接口复制和转发缓存的IP组播报文或IP广播报文。

需要说明的是，上述第二预设时长是对情况2的探测方法的抑制时长，在IP防护功能处于开启状态的情况下，若接收到IP组播报文或IP广播报文，则主动探测IP网关设备和/或DHCP服务器，并在接下来的第二预设时长内，保持本次判定结果，即在接下来的第二预设时长内，即使再接收到IP组播报文或IP广播报文，也无需按照情况2的探测方法进行主动探测，从而避免频繁地发起主动探测。另外，若在第二预设时长内，按照情况1的判定结果需要调整IP防护功能的开关状态，则可以进行调整，并且若基于接收到的第一报文确定需要调整IP防护功能的开关状态，则也可以进行调整。

若将上述情况1和上述情况2应用在IPv4的场景中，前提条件是WLAN二层网络中用于分配IPv4地址的服务器只有DHCP服务器。若WLAN二层网络中用于分配IPv4地址的服务器还有其他服务器，例如引导程序协议（Bootstrap Protocol，BOOTP）服务器或认证、授权、计费（Authentication、Authorization、Accounting，AAA）服务器等，则需分别对每个服务器进行探测，若确定WLAN二层网络中存在IPv4网关设备或任意一个用于分配IPv4地址的服务器，则确定WLAN二层网络具备IPv4直通能力，并关闭IPv4防护功能；若确定WLAN二层网络中不存在IPv4网关设备和所有用于分配IPv4地址的服务器，则确定WLAN网络不具备IPv4直通能力，并开启IPv4防护功能。

其中，在上述情况1和情况2中，探测WLAN二层网络中是否存在IP网关设备的方法为：

发送RS报文，若在第三预设时长内接收到RA报文，则确定WLAN二层网络中存在IP网关设备。

以IPv6场景为例，在正常的IPv6通信中，RA报文是由IP网关设备发出的，用于向IP网关设备所属本地网络的其他设备公告自身的位置、IPv6地址、RA前缀和最大传输单元（Maximum Transmission Unit，MTU）等信息。本申请实施例中，网络设备可以主动以组播的方式发送RS报文，以向本地网络（即自身所属的WLAN二层网络）询问IP网关设备的上述信息。

如果网络设备在第三预设时长内接收到RA报文，则证明本地网络存在IP网关设备，即本地网络具备内网IPv6直通能力，进而可以关闭IPv6防护功能；

如果网络设备在第三预设时长内未接收到RA报文，则可进一步基于对DHCP服务器的探测结果确定本地网络是否具备内网IPv6直通能力。

需要说明的是，网络设备每次接收到RA报文后，可以记录接收RA报文的入接口和RA报文所属的VLAN。进而，发送RS报文，具体可以实现为：

若通过第一接口已接收到RA报文，则通过第一接口发送RS报文，若在第六预设时长内未接收到RA报文，且已接收到第一VLAN内的RA报文，则在第一VLAN内广播RS报文。

若未通过任一接口接收到RA报文，则在网络设备所属的所有VLAN内广播RS报文。

如此，网络设备可以优先向记录的曾经接收到RA报文的接口发送RS报文，如果未接收到回包，再尝试在记录的VLAN中广播RS报文。若网络设备中未记录接收RA报文的入接口和RA报文所属的VLAN，则在网络设备所属的所有VLAN内广播RS报文。

由于IP网关设备一旦被部署好，位置一般不会发生变化，曾经接收RA报文的接口仍然连接IP网关设备的可能性较大，因此通过该接口发送RS报文探测到IP网关设备的可能性较大，因此先通过该接口进行探测能够提升探测效率，在通过该接口未探测成功的情况下，才会在整个VLAN内广播RS报文，若仍未探测成功，才会在网络设备所属的所有VLAN内广播RS报文，采用该方法能够尽可能提升探测效率。

由于本申请实施例中的网络设备通常被作为二层设备使用，因此在构造RS报文时，可以将RS报文包括的目的地址为通用组播地址，例如，RS报文包括的目的地址为以“ff02::”开头的通用组播地址。RS报文包括的源地址为全0地址“：：”或者链路本地（linklocal）地址，链路本地地址包括网络设备的桥MAC地址和链路本地地址前缀。链路本地地址前缀为FE80::/10，即源地址是通过网络设备的桥MAC地址和FE80::/10前缀构造出的链路本地地址。

由于网络设备的桥MAC地址存在唯一性，因此基于该桥MAC地址构造出的链路本地地址也存在唯一性，将该链路本地地址作为RS报文的源地址后，相应地，该RS报文对应的RA报文的目的地址也是该链路本地地址，即RA报文是个单播报文，不是组播报文，如此能够减轻WLAN二层网络转发RA报文的负担。

另外，由于RA报文的目的地址也是该链路本地地址，因此网络设备可以基于该目的地址确定该RA报文是针对自身发送的RS报文的回包，进而网络设备在处理该RA报文后，可以直接丢弃该RA报文，不进一步向自身下挂的无线终端进行转发，进而避免对无线终端产生影响。

在上述情况1和情况2中，探测WLAN二层网络中是否存在DHCP服务器的方法为：

发送DHCP发现报文；若在第四预设时长内接收到DHCP服务器回复的DHCP通告报文，则向DHCP服务器发送DHCP请求报文；若在第五预设时长内接收到DHCP服务器发送的DHCP回复报文，则确定WLAN二层网络中存在DHCP服务器。

其中，在IPv6场景中，通过DHCPv6服务器为无线终端分配IPv6地址是较为常见的IPv6地址分配方式，并且若没有外网通信的需求，WLAN二层网络中不一定有IP网关设备，因此本申请实施例中还可以探测WLAN二层网络中是否存在DHCPv6服务器。

在探测过程中，网络设备可以模拟DHCPv6客户端向DHCPv6服务器申请IPv6地址，以判定WLAN二层网络中是否存在DHCPv6服务器。

网络设备先向DHCPv6服务器发送DHCPv6 Solicit报文，若在第四预设时长内收到DHCPv6服务器回复的DHCPv6 Advertise报文，则向DHCPv6服务器发送DHCPv6 Request报文，若在第五预设时长内收到DHCPv6服务器回复的DHCPv6 Reply报文，则完成IPv6地址申请过程，确定WLAN二层网络中存在可用的DHCPv6服务器。

其中，第四预设时长和第五预设时长为DHCP协议规定的时长。

需要说明的是，若网络设备收到DHCPv6服务器回复的DHCPv6 Advertise报文和DHCPv6 Reply报文，无论网络设备是否成功申请到IPv6地址，均可确定WLAN二层网络中存在可用的DHCPv6服务器，并判定WLAN二层网络存在IPv6直通能力。并且，在此过程中，需要按照DHCPv6协议将申请IPv6地址的交互流程完成，以防止DHCPv6服务器误认为此次申请IPv6地址的行为是攻击行为，或者出现其他不可预期的异常。

如果未在第四预设时长内接收到DHCPv6 Advertise报文或者未在第五预设时长内接收到DHCPv6 Reply报文，且未探测到IP网关设备，则可确定WLAN二层网络不存在IPv6直通能力。

另外，如果在第五预设时长内接收到DHCP服务器发送的DHCP回复报文，且DHCP回复报文携带为网络设备分配的IP地址，则向DHCP服务器发送DHCP释放报文。

在IPv6场景下，该DHCP释放报文为DHCPv6 Release报文。如果DHCPv6 Reply报文中携带分配给网络设备的IPv6地址，则说明该网络设备确实申请到IPv6地址，若该网络设备还需探测外网IP服务器，则可以暂时缓存该IPv6地址；若网络设备无需探测外网IP服务器，则应立刻向DHCPv6服务器发送DHCPv6 Release报文，从而释放该IPv6地址，以免影响正常无线终端申请IPv6地址。

在本申请实施例中，DHCP发现报文包括的源地址和DHCP请求报文包括的源地址均为链路本地地址，该链路本地地址为通过网络设备的桥MAC地址和链路本地地址前缀（FE80::/10）构造出的地址。

需要说明的是，本申请实施例不对探测IP网关设备和探测DHCP服务器的顺序进行限定，可以同步探测，也可以按照先后顺序探测，在既探测IP网关设备又探测DHCP服务器的情况下，则在探测到存在IP网关设备或DHCP服务器的情况下，则可确定WLAN二层网络存在IPv6直通能力；在既未探测到IP网关设备也未探测到DHCP服务器的情况下，确定WLAN二层网络不存在IPv6直通能力。

或者，也可以只对IP网关设备进行探测，或者也可以只对DHCP服务器进行探测，可以根据实际需求进行灵活设置。

以下结合具体的例子对上述实施例的探测过程进行说明，如图2所示，图2的箭头代表时间轴，时间轴下方未填充部分表示IP防护功能处于开启状态，有阴影填充的部分表示IP防护功能处于关闭状态。为便于描述，在该例子中将能够表征WLAN二层网络具备IP直通能力的第一报文称为特征报文。

如图2所示，假设IP防护功能默认处于开启状态，网络设备每隔第一预设时长主动探测WLAN二层网络中是否存在IP网关设备和/或DHCP服务器，图2中示出了二次主动探测过程，分别为“探1”和“探2”。

在第一次主动探测过程中，确定WLAN二层网络不具备IP直通能力，则保持IP防护功能处于开启状态，然后收到了特征报文1（特1），确定WLAN二层网络当前具备了IP直通能力，则关闭IP防护功能，后续依次收到了特征报文2（特2）、特征报文3（特3）和特征报文n（特n），则IP防护功能在此期间一直处于关闭状态。在收到特征报文n后，持续第十预设时长未接收到特征报文，则开启IP防护功能。

在网络设备进行第二次主动探测后，确定WLAN二层网络具备IP直通能力，则关闭IP防护功能，然后网络设备再次持续第十预设时长未接收到特征报文，则再次开启IP防护功能。

然后网络设备接收到IP组播报文，触发了一次探测（探2.1），经探测确定WLAN二层网络不具备IP直通能力，则保持IP防护功能处于开启状态，并进行第二预设时长的探测抑制，即在第二预设时长内，即使接收到IP组播报文或IP广播报文，也不会触发网络设备进行探测。

在第二预设时长后，若网络设备再次接收到IP组播报文，则可再触发一次探测（探2.2），经探测确定WLAN二层网络具备IP直通能力，则关闭IP防护功能。

然后若持续第十预设时长未接收到特征报文，则再次开启IP防护功能，并在达到主动探测的探测周期后，进行第三次主动探测。

可见，在上述过程中，通过本申请实施例的方法可以基于网络环境的变化灵活调整IP防护功能的开关状态，在调整过程中，无需运维人员参与，灵活性和弹性更好，能够尽可能避免存在IP直通能力的WLAN二层网络中的网络设备进行广播报文和组播报文的无效复制和转发，能够提升对基础报文的转发效率。

在上述实施例中，通过对IP网关设备和/或DHCP服务器的探测，能够确定WLAN二层网络是否具备内网IPv6直通能力，但是无法保证WLAN二层网络是否具备外网IPv6直通能力。因此，作为一种可选的实施方式，网络设备还可以探测WLAN二层网络是否具备外网IPv6直通能力，探测方法为：

在IP防护功能处于开启状态的情况下，周期性探测WLAN二层网络内的设备是否能够与外网IP服务器通信；若WLAN二层网络内的设备能够与外网IP服务器通信，则确定WLAN二层网络具备IP直通能力，并关闭IP防护功能。

其中，探测WLAN二层网络内的设备是否能够与外网IP服务器通信，具体包括以下两种情况：

情况1、在网络设备存储有外网IP服务器的域名，但未存储外网服务器的IP地址的情况下，向域名服务器发域名系统（Domain Name System，DNS）请求报文；若在第七预设时长内接收到域名服务器回复的DNS响应报文，则向外网IP服务器发送因特网报文控制协议（Internet Control Message Protocol，ICMP）回显请求（Echo Request）报文，若在第八预设时长内接收到外网IP服务器回复的ICMP回显应答（Echo Reply）报文，则确定WLAN二层网络内的设备能够与外网IP服务器通信；其中，DNS请求报文中携带外网IP服务器的域名，DNS响应报文中携带外网IP服务器的第一IP地址，ICMP Echo Request报文中携带第一IP地址。

其中，ICMP Echo Request报文和ICMP Echo Reply报文为ping探测过程中的报文，在网络设备存储有外网IP服务器的域名的情况下，可通过DNS查询外网IP服务器的IP地址，进而基于该IP地址对该外网IP服务器进行ping探测，从而确定网络设备是否能够与该外网IP服务器进行通信，若确定能够通信，则可确定WLAN二层网络内的设备能够与外网IP服务器通信。

由于域名比IP地址更加稳定，因此即使外网IP服务器的IP地址发生变化，网络设备也可通过DNS查询到外网服务器的最新IP地址，能够减少运维成本，提升探测准确性。

情况2、在网络设备存储有外网IP服务器的IP地址的情况下，向外网IP服务器发送ICMP Echo Request报文；若在第九预设时长内接收到外网IP服务器回复的ICMP EchoReply报文，则确定WLAN二层网络内的设备能够与外网IP服务器通信，其中，ICMP EchoRequest报文中携带第二IP地址，第二IP地址为网络设备存储的外网IP服务器的IP地址。

若网络设备中预先配置了外网IP服务器的IP地址，则可直接通过ping探测的方式探测网络设备是否能够与外网IP服务器进行通信，若确定能够通信，则可确定WLAN二层网络内的设备能够与外网IP服务器通信。

在情况1和情况2中，ICMP Echo Request报文的载荷部分包括指定标识，指定标识用于表示该ICMP Echo Request报文为网络设备模拟无线终端发送的报文。作为示例，该指定标识可以为魔鬼数字，例如1F2E3D4C5B6A7089。

相应地，在向外网IP服务器发送ICMP Echo Request报文之后，若在第九预设时长内接收到外网IP服务器回复的ICMP Echo Reply报文，且ICMP Echo Reply报文的载荷部分包括指定标识，则丢弃ICMP Echo Reply报文。

其中，外网IP服务器接收到ICMP Echo Request报文之后，在回复ICMP EchoReply报文时，会在ICMP Echo Reply报文中携带与ICMP Echo Request报文相同的载荷，因此若网络设备接收到的ICMP Echo Reply报文中存在指定标识，则可确定该ICMP EchoReply报文为外网IP服务器针对网络设备发送的ICMP Echo Request报文回复的报文，进而在处理完ICMP Echo Reply报文后，可丢弃该ICMP Echo Reply报文，如此能够避免探测过程对无线终端产生影响。

需要说明的是，上述DNS请求报文的源地址包括IP网关设备的RA前缀和网络设备的桥MAC地址；或者，DNS请求报文的源地址为向DHCP服务器申请的IP单播地址。

其中，若在上述实施例中探测IP网关设备过程中获取到RA前缀，则网络设备以64位扩展唯一标识符（64-bit Extended Unique Identifier，EUI-64）的方式，将RA前缀和网络设备的桥MAC地址构造为源地址。若在上述实施例探测DHCP服务器过程中申请到了IPv6地址（IPv6全球单播地址），则可直接将该IPv6地址作为源地址。

另外，上述ICMP Echo Request报文的源地址包括IP网关设备的RA前缀和网络设备的桥MAC地址；或者，上述ICMP Echo Request报文的源地址为向DHCP服务器申请的IP地址；或者，ICMP Echo Request报文的源地址为无线终端的源IP地址，无线终端的源IP地址为从无线终端发送的IP报文中获取的源地址、或者为网络设备的用户管理模块中存储的无线终端的IP地址。

其中，网络设备可以抓取无线终端的源IP地址。无线终端的源IP地址是指网络设备接收到来自无线终端侧的报文后，从该报文中获取的源IP地址。

无线终端接入网络设备的过程中，网络设备可获取无线终端的IP地址，并将无线终端的IP地址存储于自身的用户管理模块中。

需要说明的是，若网络设备无法通过IP网关设备、DHCP服务器或者无线终端处获取到DNS请求报文或ICMP Echo Request报文的源地址，则无法对外网IP服务器进行探测，进而可确定WLAN二层网络不具备外网IP直通能力。

若网络设备通过上述探测方法，确定WLAN二层网络不具备内网IP直通能力或者不具备外网IP直通能力，则可保持IP防护功能处于开启状态，以避免网络设备对广播报文和组播报文的无效复制和转发，提升对业务报文的转发效率，并且提升网络安全性。

本申请实施例中的网络设备可能涉及两种系统架构，以下分别进行说明。

在一种可能的实现方式中，网络设备的报文处理系统为基于CPU的软件报文处理系统，例如网络设备可以为台式电脑。若采用基于CPU的软件报文处理系统，则所有报文的转发处理动作由CPU执行，若IP防护功能处于开启状态，则在报文转发处理的入口处识别出IP组播报文或IP广播报文后，则可进行防护，无需CPU处理IP组播报文和IP广播报文，能够减少无效的报文处理流程对CPU的占用。基于CPU的软件报文处理技术具有较强的可编程性，且成本较低，能够实现系统的快速更新和迭代。

这种情况下，网络设备的系统架构如图3所示，该网络设备分为控制平面和数据平面，控制平面中包括监控单元和探测单元，数据平面中包括解析单元、决策单元、防护单元和转发单元。

若采用图3所示的系统架构，如图4所示，该系统架构实现本申请实施例的安全防护方法的过程包括以下步骤。

步骤1、网卡将接收到的所有报文发送给解析单元。

步骤2、解析单元对接收到的报文进行解析，并将解析结果发送给决策单元。

其中，若解析单元能够解析出报文是特征报文，则可向决策单元发送一个指定标记，以指示决策单元当前接收到了特征报文。

若解析单元解析出报文是网络设备主动探测后接收到的回复报文，且网络设备还需进行进一步探测，则将该报文中网络设备进一步探测所需的信息发送给决策单元。

例如，若该报文为DHCP通告报文，则解析单元需通知决策单元已接收到DHCP通告报文，并将DHCP通告报文携带的信息发送给决策单元，以便于后续转发单元向DHCP服务器发送DHCP请求报文。

步骤3、决策单元若决策出本网络不具备IP直通能力，则将接收到的广播报文和组播报文送给防护单元进行缓存或者丢包或只复制给有线口。

步骤4、决策单元若决策出本网络具备IP直通能力，则将接收到的广播报文、组播报文和单播报文均发送至转发单元，从而由转发单元进行转发。

步骤5、探测单元探测本网络是否具备内外网IP直通能力。

其中，探测单元的探测时机和探测方法已在上述实施例中进行介绍，此处不再赘述。

步骤6、探测单元将探测结果发送给决策单元进行决策。

步骤7、监控单元在IP防护功能关闭的情况下，定时检查有无特征报文。

其中，监控单元可以定时检查决策单元中存储的各特征报文的接收时间，从而确定是否已持续第十预设时长未接收到特征报文。

步骤8、监控单元将检查结果下发给决策单元进行决策。

若检查结果为持续第十预设时长无特征报文，则决策单元可以开启IP防护功能。

步骤9、在IP防护功能处于开启状态的情况下，若防护单元缓存了广播报文或组播报文，则通知探测单元发起探测。

需要说明的是，本申请实施例还可以配置白名单，在IP防护功能开启的情况下，转发单元可以转发非广组播报文以及符合白名单设置的报文特征的广播报文和组播报文。

本申请实施例中至少可以将以下报文的报文特征配置在白名单中：

（1）、使用IPv6的本地链路地址实现bonjour协议的报文，这些报文用于服务发现等；

（2）、集群系统内部的各个设备之间，使用配置的IPv6地址进行控制信息同步和保活处理的报文。

（3）、双向转发侦测（Bidirectional Forwarding Detection，BFD）等探测类业务报文，使用IPv6广播报文或IPv6组播报文进行保活和测量等。

作为图4的一种替代方案，如图5所示，还可以将解析单元设置于网卡中，即利用网卡自带的解析单元解析接收到的报文，从而提升整个系统的处理性能，图5中其他单元的实现方式与图4相同，即图5中的步骤2-步骤8与图4中步骤3-步骤9相同，此处不再重复描述。

采用图4或图5的方案，可以利用数据平面自身的报文并行解析能力，在将报文上送给控制平面之前，先对报文信息进行解析，如此能够减少对CPU资源的占用，减轻对正常报文的转发负担。并且，若采用图5的方案，则可利用网卡自带的解析单元对接收到的报文进行逐包解析，能够提升整个系统的处理性能。

在另一种可能的实现方式中，网络设备的报文处理系统为基于现场可编程逻辑门阵列（Field Programmable Gate Array，FPGA）、网络处理器（Network Processor，NP）等芯片的硬件报文处理系统，例如网络设备可以为交换机、路由器等设备。若采用硬件报文处理系统，则存在两种实现方式，方式一为通过软硬结合的方式，控制平面将特征报文的特征以一种较粗粒度的规则（例如ACL）下发到硬件芯片的数据平面。然后数据平面将满足该规则的特征报文拷贝上送到基于CPU的控制平面，由控制平面进行进一步的深度解析和决策，以确定WLAN二层网络是否具备IP直通能力，若确定不具备IP直通能力，则再下发一个规则给数据平面，从而使得数据平面对组播报文和广播报文进行防护。方式二为将报文的解析工作完全下放至数据平面，将解析方式通过硬编码的方式写入硬件芯片，在数据平面接收到报文后，能够直接解析出该报文是否为特征报文，并将解析结果上报给控制平面，无需控制平面对报文进行进一步的解析。这两种方式对数据平面的正常报文转发流程的影响均较小。

这种情况下，若采用方式一，网络设备的系统架构如图6所示，该网络设备分为控制平面和数据平面，控制平面中包括监控单元、解析单元、决策单元和探测单元，数据平面中包括匹配单元、动作单元、防护单元和转发单元。

若采用图6所示的系统架构，如图7所示，该系统架构实现本申请实施例的安全防护方法的过程包括以下步骤。

步骤1、硬件芯片的匹配单元通过特定的硬件进行报文匹配，若匹配到满足规则1的报文，则将该报文发送到动作单元执行报文动作。

其中，特定的硬件可以为三态内容可寻址存储器（Ternary Content AddressableMemory，TCAM），TCAM中存储有规则1，规则1可以为控制平面下发的ACL规则，规则1的匹配域中可以包括特征报文的全部或部分特征，若接收到的报文与规则1的匹配域完全匹配，则确定该报文满足规则1。

步骤2、动作单元将报文或者报文中的信息拷贝上送至解析单元进行解析。

其中，若规则1中包括特征报文的全部特征，则动作单元只需通知解析单元是否接收到特征报文，若规则1中包括特征报文的部分特征，则动作单元需将该报文上送至解析单元进行进一步解析。

例如，若规则1中包括DHCP协议的协议号和端口号，当前接收到的报文与规则1匹配，但是匹配单元只能确定该报文是DHCP报文，不能确定该报文具体是DHCP通告报文还是DHCP回复报文，则需由控制平面的解析单元对该报文进行进一步解析。

步骤3、解析单元保存报文中有用的信息后，将解析结果通知给决策单元。

其中，有用的信息为对于后续的报文处理和探测有用的信息，例如RA前缀，接收RA报文的入接口和RA报文所属的VLAN等。

解析结果为当前接收到的报文是否为特征报文。

步骤4、决策单元综合解析单元、探测单元、监控单元的结果，进行决策，并将决策出的广组播报文处理动作下发给硬件芯片。

其中，该处理动作可以为ACL的形式，例如该ACL可以为若匹配到组播报文或广播报文，则进行缓存、丢包或者只向有线口复制。

步骤5、动作单元指示防护单元对组播报文或广播报文执行缓存、丢包或者只向有线口复制的动作。

步骤6、动作单元将除组播报文和广播报文之外的报文发送给转发单元进行转发。

步骤7、探测单元探测本网络是否具备内外网IP直通能力。

其中，探测单元的探测时机和探测方法已在上述实施例中进行介绍，此处不再赘述

步骤8、探测单元将探测结果发送给决策单元进行决策。

步骤9、监控单元在IP防护功能关闭的情况下，定时检查有无特征报文。

其中，监控单元可以定时检查决策单元中存储的各特征报文的接收时间，以确定是否已持续第十预设时长未接收到特征报文。

步骤10、监控单元将监控结果发送给决策单元进行决策。

步骤11、在IP防护功能处于开启状态的情况下，若防护单元缓存了广播报文或组播报文，则通知探测单元发起探测。

本申请实施例利用通用的基础协议进行主动探测以及特征报文的监控，能够适用于大多数无线二层网络和大二层网络场景，在识别特征报文时，基于动态地址分配协议的最基本特征，具有较好的可扩展性，未来若有新的动态协议产生，只需适配新的协议即可。且基于七层网络模型中较低的链路层和网络层进行监控、探测和防护，能够自动适应大多数环境因素的变化，比如接入的无线设备和无线终端的数量变化、网络拓扑变化、IPv6转发功能的开启和关闭等，能够降低运维成本，提升运维效率。并且，本申请实施例的先识别再防护机制，即先识别是否具备IP直通能力，再决定是否开启或关闭IP防护功能的机制，能够解决相关技术中域间或组间的隔离失效的问题。

需要说明的是，本申请实施例提供的安全防护方法有以下三种开启和关闭的时机。

第一种为通过命令配置网络设备开启或关闭安全防护方法。

第二种为在通过命令开启或关闭安全防护方法的基础上，后续若网络设备的流量负载高于预设负载阈值，则自动开启安全防护方法，若网络设备的流量负载低于预设负载阈值，则自动关闭安全防护方法。

第三种为在通过命令开启或关闭安全防护方法的基础上，后续若网络设备的流量负载高于预设负载阈值，则自动开启安全防护方法，若网络设备的流量负载低于预设负载阈值，则自动关闭安全防护方法。并且，若网络设备下挂的无线终端数量超出指定数量，则自动开启安全防护方法；若网络设备下挂的无线终端数量低于指定数量，则自动关闭安全防护方法。

还需说明的是，本申请实施例提供的安全防护方法可以与相关技术中的其他隔离技术共存，若其他隔离技术中也存在白名单功能，则可提前设置本申请实施例的安全防护方法与其他隔离技术之间的优先级，进而在利用本申请实施例提供的安全防护方法与其他隔离技术决策出的结果不同的情况下，以优先级高的方法的决策结果为准。

或者，可以将本申请实施例的决策结果作为优先使用的决策结果，当与其他隔离技术的决策结果不同时，优先采用本申请实施例的决策结果。

对应于上述方法实施例，本申请实施例提供一种安全防护装置，应用于网络设备，如图8所示，该装置包括：

接收模块801，用于接收第一报文；

关闭模块802，用于若第一报文表征网络设备所属的WLAN二层网络具备IP直通能力，则关闭IP防护功能，IP直通能力为设备间能够直接通过IP地址进行通信的能力，IP防护功能是指不向无线接口复制和转发接收到的IP组播报文和IP广播报文；

开启模块803，用于若第一报文表征WLAN二层网络不具备IP直通能力，则保持IP防护功能处于开启状态。

可选地，该装置还包括：

探测模块，用于每隔第一预设时长，探测WLAN二层网络中是否存在IP网关设备和DHCP服务器；

关闭模块802，还用于若WLAN二层网络中存在IP网关或DHCP服务器，则确定WLAN二层网络具备IP直通能力，并关闭IP防护功能；

开启模块803，还用于若WLAN二层网络中不存在IP网关和DHCP服务器，则确定WLAN二层网络不具备IP直通能力，并开启IP防护功能。

可选地，该装置还包括：

探测模块，用于在IP防护功能处于开启状态的情况下，若接收到IP组播报文或IP广播报文，且与前一次接收到IP组播报文或广播报文的时长超出第二预设时长，则探测WLAN二层网络中是否存在IP网关设备和DHCP服务器；

关闭模块802，还用于若WLAN二层网络中存在IP网关或DHCP服务器，则确定WLAN二层网络具备IP直通能力，并关闭IP防护功能；

开启模块803，还用于若WLAN二层网络中不存在IP网关和DHCP服务器，则确定WLAN二层网络不具备IP直通能力，并保持IP防护功能处于开启状态。

可选地，该装置还包括：

探测模块，用于在IP防护功能处于开启状态的情况下，周期性探测WLAN二层网络内的设备是否能够与外网IP服务器通信；

关闭模块802，还用于若WLAN二层网络内的设备能够与外网IP服务器通信，则确定WLAN二层网络具备IP直通能力，并关闭IP防护功能。

可选地，探测模块，具体用于：发送路由请求RS报文；若在第三预设时长内接收到路由通告RA报文，则确定WLAN二层网络中存在IP网关设备；发送DHCP发现报文；若在第四预设时长内接收到DHCP服务器回复的DHCP通告报文，则向DHCP服务器发送DHCP请求报文；若在第五预设时长内接收到DHCP服务器发送的DHCP回复报文，则确定WLAN二层网络中存在DHCP服务器。

可选地，探测模块，具体用于：若通过第一接口已接收到RA报文，则通过第一接口发送RS报文；若在第六预设时长内未接收到RA报文，且已接收到第一VLAN内的RA报文，则在第一VLAN内广播RS报文；若未通过任一接口接收到RA报文，则在网络设备所属的所有VLAN内广播RS报文。

可选地，探测模块，还用于若在第五预设时长内接收到DHCP服务器发送的DHCP回复报文，且DHCP回复报文携带为网络设备分配的IP地址，则向DHCP服务器发送DHCP释放报文。

可选地，RS报文包括目的地址以及源地址，目的地址为通用组播地址，源地址为全0地址或者链路本地地址，链路本地地址包括网络设备的桥MAC地址和链路本地地址前缀；

DHCP发现报文包括的源地址和DHCP请求报文包括的源地址均为链路本地地址。

可选地，探测模块，具体用于：

向域名服务器发送DNS请求报文；若在第七预设时长内接收到域名服务器回复的DNS响应报文，则向外网IP服务器发送ICMP Echo Request报文，若在第八预设时长内接收到外网IP服务器回复的ICMP Echo Reply报文，则确定WLAN二层网络内的设备能够与外网IP服务器通信；其中，DNS响应报文中携带外网IP服务器的IP地址；其中，DNS请求报文中携带外网IP服务器的域名，DNS响应报文中携带外网IP服务器的第一IP地址，ICMP EchoRequest报文中携带第一IP地址；或者，

向外网IP服务器发送ICMP Echo Request报文；若在第九预设时长内接收到外网IP服务器回复的ICMP Echo Reply报文，则确定WLAN二层网络内的设备能够与外网IP服务器通信，其中，ICMP Echo Request报文中携带第二IP地址，第二IP地址为网络设备存储的外网IP服务器的IP地址。

可选地，ICMP Echo Request报文的载荷部分包括指定标识，指定标识用于表示ICMP Echo Request报文为网络设备模拟无线终端发送的报文；

探测模块，还用于若在第九预设时长内接收到外网IP服务器回复的ICMP EchoReply报文，且ICMP Echo Reply报文的载荷部分包括指定标识，则丢弃ICMP Echo Reply报文。

可选地，DNS请求报文的源地址包括IP网关设备的RA前缀和网络设备的桥MAC地址；或者，DNS请求报文的源地址为向DHCP服务器申请的IP地址；

ICMP Echo Request报文的源地址包括IP网关设备的RA前缀和网络设备的桥MAC地址；或者，ICMP Echo Request报文的源地址为向DHCP服务器申请的IP地址；或者，ICMPEcho Request报文的源地址为从无线终端发送的IP报文中获取的源地址、或者为网络设备的用户管理模块中存储的无线终端的IP地址。

可选地，该装置还包括：

确定模块，用于若第一报文为以下任意一种报文，则确定第一报文表征WLAN二层网络具备IP直通能力：

DHCP动态地址分配过程中的报文；

网关设备向终端发送的路由通告报文；

邻居通告NA报文；

全球单播IP数据报文。

可选地，开启模块803，还用于若持续第十预设时长未接收到表征WLAN二层网络具备IP直通能力的报文，则开启IP防护功能。

本申请实施例还提供了一种网络设备，如图9所示，包括处理器901、通信接口902、存储器903和通信总线904，其中，处理器901、通信接口902、存储器903通过通信总线904完成相互间的通信。

存储器903，用于存放计算机程序；

处理器901，用于执行存储器903上所存放的程序时，实现上述方法实施例中的方法步骤。

上述网络设备提到的通信总线可以是外设部件互连标准（Peripheral ComponentInterconnect，PCI）总线或扩展工业标准结构（Extended Industry StandardArchitecture，EISA）总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述网络设备与其他设备之间的通信。

存储器可以包括随机存取存储器（Random Access Memory，RAM），也可以包括非易失性存储器（Non-Volatile Memory，NVM），例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器（Central Processing Unit，CPU）、网络处理器（Network Processor，NP）等；还可以是数字信号处理器（Digital SignalProcessor，DSP）、专用集成电路（Application Specific Integrated Circuit，ASIC）、现场可编程门阵列（Field-Programmable Gate Array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本申请提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一安全防护方法。

在本申请提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一安全防护方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如同轴电缆、光纤、数字用户线（DSL））或无线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质（例如固态硬盘Solid State Disk (SSD)）等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、网络设备、存储介质和程序产品实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。

Claims (14)

1.一种安全防护方法，其特征在于，应用于网络设备，所述方法包括：

接收第一报文；

若所述第一报文表征所述网络设备所属的WLAN二层网络具备IP直通能力，则关闭IP防护功能，所述IP直通能力为设备间能够直接通过IP地址进行通信的能力，所述IP防护功能是指不向无线接口复制和转发接收到的IP组播报文和IP广播报文；

若所述第一报文表征所述WLAN二层网络不具备IP直通能力，则保持所述IP防护功能处于开启状态。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

每隔第一预设时长，探测所述WLAN二层网络中是否存在IP网关设备和DHCP服务器；

若所述WLAN二层网络中存在IP网关或DHCP服务器，则确定所述WLAN二层网络具备IP直通能力，并关闭所述IP防护功能；

若所述WLAN二层网络中不存在IP网关和DHCP服务器，则确定所述WLAN二层网络不具备IP直通能力，并开启所述IP防护功能。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

在所述IP防护功能处于开启状态的情况下，若接收到IP组播报文或IP广播报文，且与前一次接收到IP组播报文或广播报文的时长超出第二预设时长，则探测所述WLAN二层网络中是否存在IP网关设备和DHCP服务器；

若所述WLAN二层网络中存在IP网关或DHCP服务器，则确定所述WLAN二层网络具备IP直通能力，并关闭所述IP防护功能；

若所述WLAN二层网络中不存在IP网关和DHCP服务器，则确定所述WLAN二层网络不具备IP直通能力，并保持所述IP防护功能处于开启状态。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

在所述IP防护功能处于开启状态的情况下，周期性探测所述WLAN二层网络内的设备是否能够与外网IP服务器通信；

若所述WLAN二层网络内的设备能够与外网IP服务器通信，则确定所述WLAN二层网络具备IP直通能力，并关闭所述IP防护功能。

5.根据权利要求2所述的方法，其特征在于，所述探测所述WLAN二层网络中是否存在IP网关设备和DHCP服务器，包括：

发送路由请求RS报文；

若在第三预设时长内接收到路由通告RA报文，则确定所述WLAN二层网络中存在IP网关设备；

发送DHCP发现报文；

若在第四预设时长内接收到DHCP服务器回复的DHCP通告报文，则向所述DHCP服务器发送DHCP请求报文；

若在第五预设时长内接收到所述DHCP服务器发送的DHCP回复报文，则确定所述WLAN二层网络中存在DHCP服务器。

6.根据权利要求5所述的方法，其特征在于，所述发送路由请求RS报文，包括：

若通过第一接口已接收到RA报文，则通过所述第一接口发送RS报文；若在第六预设时长内未接收到所述RA报文，且已接收到第一VLAN内的RA报文，则在所述第一VLAN内广播RS报文；

若未通过任一接口接收到RA报文，则在所述网络设备所属的所有VLAN内广播RS报文。

7.根据权利要求5所述的方法，其特征在于，在所述向所述DHCP服务器发送DHCP请求报文之后，所述方法还包括：

若在所述第五预设时长内接收到所述DHCP服务器发送的DHCP回复报文，且所述DHCP回复报文携带为所述网络设备分配的IP地址，则向所述DHCP服务器发送DHCP释放报文。

8.根据权利要求5所述的方法，其特征在于，所述RS报文包括目的地址以及源地址，所述目的地址为通用组播地址，所述源地址为全0地址或者链路本地地址，所述链路本地地址包括所述网络设备的桥MAC地址和链路本地地址前缀；

所述DHCP发现报文包括的源地址和所述DHCP请求报文包括的源地址均为所述链路本地地址。

9.根据权利要求4所述的方法，其特征在于，所述探测所述WLAN二层网络内的设备是否能够与外网IP服务器通信，包括：

向域名服务器发送DNS请求报文；若在第七预设时长内接收到所述域名服务器回复的DNS响应报文，则向所述外网IP服务器发送ICMP Echo Request报文，若在第八预设时长内接收到所述外网IP服务器回复的ICMP Echo Reply报文，则确定所述WLAN二层网络内的设备能够与外网IP服务器通信；其中，所述DNS请求报文中携带所述外网IP服务器的域名，所述DNS响应报文中携带所述外网IP服务器的第一IP地址，所述ICMP Echo Request报文中携带所述第一IP地址；或者，

向所述外网IP服务器发送ICMP Echo Request报文；若在第九预设时长内接收到所述外网IP服务器回复的ICMP Echo Reply报文，则确定所述WLAN二层网络内的设备能够与外网IP服务器通信，其中，所述ICMP Echo Request报文中携带第二IP地址，所述第二IP地址为所述网络设备存储的所述外网IP服务器的IP地址。

10.根据权利要求9所述的方法，其特征在于，所述ICMP Echo Request报文的载荷部分包括指定标识；

在所述向所述外网IP服务器发送ICMP Echo Request报文之后，所述方法还包括：

若在所述第九预设时长内接收到所述外网IP服务器回复的ICMP Echo Reply报文，且所述ICMP Echo Reply报文的载荷部分包括所述指定标识，则丢弃所述ICMP Echo Reply报文。

11.根据权利要求9或10所述的方法，其特征在于，所述DNS请求报文的源地址包括所述IP网关设备的RA前缀和所述网络设备的桥MAC地址；或者，所述DNS请求报文的源地址为向所述DHCP服务器申请的IP地址；

所述ICMP Echo Request报文的源地址包括所述IP网关设备的RA前缀和所述网络设备的桥MAC地址；或者，所述ICMP Echo Request报文的源地址为向所述DHCP服务器申请的IP地址；或者，所述ICMP Echo Request报文的源地址为无线终端的源IP地址，所述无线终端的源IP地址为从无线终端发送的IP报文中获取的源地址、或者为所述网络设备的用户管理模块中存储的无线终端的IP地址。

12.根据权利要求1所述的方法，其特征在于，在所述接收第一报文之后，所述方法还包括：

若所述第一报文为以下任意一种报文，则确定所述第一报文表征所述WLAN二层网络具备IP直通能力：

DHCP动态地址分配过程中的报文；

网关设备向终端发送的路由通告报文；

邻居通告NA报文；

全球单播IP数据报文。

13.根据权利要求1所述的方法，其特征在于，在所述关闭所述IP防护功能后，所述方法还包括：

若持续第十预设时长未接收到表征所述WLAN二层网络具备IP直通能力的报文，则开启所述IP防护功能。

14.一种安全防护装置，其特征在于，应用于网络设备，所述装置包括：

接收模块，用于接收第一报文；

关闭模块，用于若所述第一报文表征所述网络设备所属的WLAN二层网络具备IP直通能力，则关闭IP防护功能，所述IP直通能力为设备间能够直接通过IP地址进行通信的能力，所述IP防护功能是指不向无线接口复制和转发接收到的IP组播报文和IP广播报文；

开启模块，用于若所述第一报文表征所述WLAN二层网络不具备IP直通能力，则保持所述IP防护功能处于开启状态。