亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

防止授權(quán)地址解析協(xié)議信息丟失的方法、系統(tǒng)和設(shè)備的制作方法

文檔序號:7929978閱讀:132來源:國知局
專利名稱:防止授權(quán)地址解析協(xié)議信息丟失的方法、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域中利用授權(quán)地址解析協(xié)議(ARP: Address Resolution Protocol)信息防止攻擊的技術(shù),具體涉及一種防止授權(quán)ARP信 息丟失的方法、系統(tǒng)、接入交換^幾和動態(tài)主機(jī)配置協(xié)議(DHCP, Dynamic Host Configuration Protocol) 中繼。
背景技術(shù)
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)復(fù)雜度的提高,網(wǎng)絡(luò)配置越來越復(fù)雜,經(jīng)常 出現(xiàn)計算機(jī)位置變化(如便攜機(jī)或無線網(wǎng)絡(luò))和計算機(jī)數(shù)量超過可分配的互
聯(lián)網(wǎng)協(xié)議(IP)地址的情況。DHCP就是為滿足這些需求而發(fā)展起來的。DHCP 采用客戶端/服務(wù)器通信模式,由DHCP服務(wù)器為提出地址分配申請的DHCP 客戶端分配IP地址等信息,以實(shí)現(xiàn)IP地址等信息的動態(tài)配置。
對于DHCP客戶端和DHCP服務(wù)器處于不同子網(wǎng)的情況,為了使得位 于不同子網(wǎng)的DHCP客戶端可以訪問同一 DHCP服務(wù)器,以節(jié)省成本和便 于管理,還需要借助DHCP中繼在DHCP客戶端和DHCP服務(wù)器之間傳遞 信息。圖1為現(xiàn)有技術(shù)中DHCP客戶端通過DHCP中繼向DHCP服務(wù)器申 請地址的組網(wǎng)圖,如圖l所示,DHCP服務(wù)器可以為多個,從而相互備份。 DHCP客戶端申請地址的流程如圖2所示,具體步驟如下
步驟201: DHCP客戶端以廣播形式發(fā)送DHCP發(fā)現(xiàn)(DISCOVER)報文。
步驟202: DHCP中繼收到DHCP DISCOVER報文后,根據(jù)DHCP服務(wù) 器地址,以單播形式向DHCP服務(wù)器轉(zhuǎn)發(fā)DHCP DISCOVER報文。如果有 多個DHCP服務(wù)器,則同時轉(zhuǎn)發(fā)給這多個DHCP服務(wù)器。
6步驟203:接收到DHCP DISCOVER報文的DHCP服務(wù)器根據(jù)自身與 地址分配相關(guān)的配置,為請求地址分配的DHCP客戶端分配一個可用的IP 地址,然后向DHCP中繼回應(yīng)DHCP OFFER報文,該報文中攜帶分配的IP 地址。
步驟204: DHCP中繼將收到的DHCP OFFER報文轉(zhuǎn)發(fā)給DHCP客戶
二山乂而。
步驟205: DHCP客戶端收到DHCP OFFER報文后,根據(jù)報文中提供的 可用IP,選定自身希望使用的IP地址,然后以廣播形式向DHCP中繼發(fā)送 DHCP請求(REQUEST )報文,該DHCP REQUEST報文攜帶選定的IP地 址和DHCP客戶端的媒體接入控制(MAC )地址。
步驟206: DHCP中繼收到DHCP REQUEST報文后,將報文轉(zhuǎn)發(fā)給 DHCP服務(wù)器。
步驟207: DHCP服務(wù)器收到DHCP REQUEST報文后,根據(jù)DHCP REQUEST報文中攜帶的IP地址,再次確認(rèn)該IP地址是否仍然允許分配給 DHCP客戶端,若是,則向DHCP客戶端返回DHCP ACK (確認(rèn)響應(yīng))報 文,該DHCP ACK報文中攜帶分配給DHCP客戶端的IP地址以及DHCP 客戶端使用的MAC地址。
步驟208: DHCP中繼將收到的DHCP ACK凈艮文轉(zhuǎn)發(fā)給DHCP客戶端。
步驟209: DHCP客戶端收到ACK報文后,將DHCP服務(wù)器分配的IP 地址設(shè)置到網(wǎng)卡,開始正常通信。
目前DHCP協(xié)議已被廣泛應(yīng)用。同時,也出現(xiàn)了 一些針對DHCP協(xié)議 的攻擊,例如典型的DHCP耗竭攻擊。DHCP耗竭攻擊是網(wǎng)絡(luò)攻擊者向DHCP 服務(wù)器廣播大量攜帶偽造MAC地址的DHCP REQUEST報文,使得DHCP 服務(wù)器所提供的地址空間在一段時間內(nèi)很快被耗竭的攻擊形式。當(dāng)合法用戶 請求DHCP IP地址的時候,由于沒有可用IP地址,造成合法用戶不能得到 IP地址,乂人而無法訪問網(wǎng)纟備。
為了避免DHCP攻擊,目前采用授權(quán)ARP ( Authorized ARP )表項(xiàng)實(shí)現(xiàn)DHCP客戶端的合法性驗(yàn)證。其中,授權(quán)ARP表項(xiàng)是ARP表的一部分,在 ARP表中,還包括靜態(tài)ARP表項(xiàng)和動態(tài)ARP表項(xiàng)。當(dāng)表項(xiàng)重復(fù)時,靜態(tài) ARP表項(xiàng)可以覆蓋授權(quán)ARP表項(xiàng),授權(quán)ARP表項(xiàng)可以覆蓋動態(tài)ARP表項(xiàng), 反之則不行。ARP表的主要內(nèi)容為IP地址和MAC地址的對應(yīng)關(guān)系,該對 應(yīng)關(guān)系是轉(zhuǎn)發(fā)流量的關(guān)鍵信息,而授權(quán)ARP表項(xiàng)還是合法性驗(yàn)證的依據(jù)。
授權(quán)ARP表項(xiàng)的建立操作為DHCP中繼在向DHCP客戶端發(fā)送DHCP ACK報文的同時,在本地ARP表中添加一條包含客戶端MAC地址和IP地 址的授權(quán)ARP表項(xiàng)。根據(jù)授權(quán)ARP表項(xiàng)保存的IP地址和MAC地址的對應(yīng) 關(guān)系,可以對用戶進(jìn)行IP地址和MAC地址的核對,只有IP地址和MAC 地址均符合的合法用戶才能使用網(wǎng)絡(luò)資源,從而實(shí)現(xiàn)用戶合法性檢查,防止 用戶仿冒其他用戶的IP地址或MAC地址對網(wǎng)絡(luò)進(jìn)行DHCP攻擊,增加了 網(wǎng)絡(luò)的安全性。此外,當(dāng)授權(quán)ARP表項(xiàng)被添加在ARP表中后,還可以利用 ARP的Ping機(jī)制實(shí)現(xiàn)授權(quán)ARP表項(xiàng)的老化,從而檢查用戶的非正常下線。
當(dāng)DHCP中繼異常重啟時,ARP表中的動態(tài)ARP表項(xiàng)和授權(quán)ARP表 項(xiàng)被清空。由于沒有ARP表項(xiàng),DHCP中繼在短時間內(nèi)會出現(xiàn)所有DHCP 客戶端業(yè)務(wù)中斷的情況。此后,DHCP中繼會動態(tài)學(xué)習(xí)DHCP客戶端的ARP 信息,將學(xué)習(xí)到ARP信息作為動態(tài)ARP表項(xiàng)寫入ARP表,從而恢復(fù)DHCP 客戶端的業(yè)務(wù)。
雖然可以通過動態(tài)學(xué)習(xí)獲得動態(tài)ARP表項(xiàng),A/v而恢復(fù)業(yè)務(wù),然而ARP 表中的授權(quán)ARP表項(xiàng)卻不能從動態(tài)學(xué)習(xí)中恢復(fù)。這是因?yàn)槭跈?quán)ARP表項(xiàng) 是根據(jù)DHCP ACK報文中的IP地址和MAC地址生成的,由于DHCP客戶 端無法感知到DHCP中繼異常重啟的事件,因此DHCP客戶端在DHCP中 繼異常重啟后不會重新申請IP地址,那么DHCP中繼無法恢復(fù)丟失的授權(quán) ARP表項(xiàng)。
可見,在現(xiàn)有技術(shù)中,當(dāng)DHCP中繼異常重啟時,由于丟失了ARP信 息,因此DHCP客戶端流量中斷。而且,丟失的授權(quán)ARP表項(xiàng)無法恢復(fù), 從而不能為DHCP客戶端的合法性檢查提供依據(jù),無法防止DHCP攻擊。
8

發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了一種防止授權(quán)ARP信息丟失的方法,能夠在 DHCP中繼異常重啟時,保證授權(quán)ARP信息不丟失。
該方法中接入交換機(jī)通過上行端口耦接于動態(tài)主機(jī)配置協(xié)議DHCP中 繼,通過下行端口耦接于DHCP客戶端,該方法包括
接入交換機(jī)對流經(jīng)下行端口的DHCP報文進(jìn)行監(jiān)聽,從監(jiān)聽到的DHCP 報文中獲取DHCP客戶端的互聯(lián)網(wǎng)協(xié)議IP地址和媒體接入控制MAC地址 并保存;
當(dāng)所述接入交換機(jī)檢測到所述上行端口從故障中恢復(fù)時,將自身保存的 各DHCP客戶端的IP地址和MAC地址發(fā)送l會所述DHCP中繼;
所述DHCP中繼才艮據(jù)接入交換機(jī)發(fā)來的各DHCP客戶端的IP地址和 MAC地址,生成授權(quán)地址解析協(xié)議ARP表項(xiàng)并下發(fā)到本地ARP表中。
較佳地,該方法進(jìn)一步包括在接入交換機(jī)的下行端口上使能DHCP 欺騙Sno叩ing功能模塊;
所述接入交換機(jī)對流經(jīng)下行端口的DHCP寺艮文進(jìn)行監(jiān)聽,從監(jiān)聽到的 DHCP報文中獲取DHCP客戶端的IP地址和MAC地址并保存,包括
接入交換機(jī)下行端口上的DHCP Snooping功能模塊監(jiān)聽流經(jīng)所述下行 端口的DHCP請求報文和DHCP響應(yīng)報文,根據(jù)監(jiān)聽到的DHCP請求報文 和DHCP響應(yīng)報文,獲取DHCP服務(wù)器為DHCP客戶端分配的IP地址和該 DHCP客戶端使用的MAC地址并保存。
較佳地,該方法進(jìn)一步包括在接入交換機(jī)和DHCP中繼上使能鏈路層 發(fā)現(xiàn)協(xié)議LLDP功能模塊;
所述當(dāng)所述接入交換機(jī)檢測到所述上行端口從故障中恢復(fù)時,將自身保 存的各DHCP客戶端的IP地址和MAC地址發(fā)送給所述DHCP中繼,包括
當(dāng)所述接入交換機(jī)的LLDP功能模塊檢測到其上行端口狀態(tài)從關(guān)閉 DOWN轉(zhuǎn)換為啟用UP時,生成LLDP報文,將自身保存的各DHCP客戶端的IP地址和MAC地址攜帶在生成的LLDP報文中發(fā)送給所述DHCP中繼。
其中,所述DHCP中繼根據(jù)接入交換機(jī)發(fā)來的各DHCP客戶端的IP地 址和MAC地址,生成授權(quán)地址解析協(xié)議ARP表項(xiàng)并下發(fā)到本地ARP表中, 包括
所述DHCP中繼接收所述接入交換機(jī)發(fā)來的LLDP報文,從所接收的 LLDP報文中獲取各DHCP客戶端的IP地址和MAC地址,根據(jù)獲取的各 DHCP客戶端的IP地址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP表中。
本發(fā)明還提供了 一種防止授權(quán)ARP信息丟失的系統(tǒng),能夠在DHCP中 繼異常重啟時,保證授權(quán)ARP信息不丟失。
該系統(tǒng)包括DHCP客戶端、DHCP服務(wù)器、DHCP中繼以及DHCP客戶 端與DHCP中繼之間的接入交換才幾;所述接入交換沖幾通過上行端口耦4妄于所 述DHCP中繼,通過下行端口耦接于所述DHCP客戶端;
所述接入交換機(jī),用于對流經(jīng)所述下行端口的DHCP報文進(jìn)行監(jiān)聽,從 監(jiān)聽到的DHCP凈艮文中獲取DHCP客戶端的IP地址和MAC地址并保存; 當(dāng)檢測到所述上行端口從故障中恢復(fù)時,將自身保存的各DHCP客戶端的 IP地址和MAC地址發(fā)送給所述DHCP中繼;
所述DHCP中繼,用于根據(jù)接入交換機(jī)發(fā)來的DHCP客戶端的IP地址 和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP表中。
其中,所述接入交換機(jī)包括LLDP功能模塊和設(shè)置在所述下行端口上的 DHCP Snooping功能模塊;
所述DHCP Sno叩ing功能模塊,用于監(jiān)聽流經(jīng)所述下行端口的DHCP 請求報文和DHCP響應(yīng)報文,根據(jù)監(jiān)聽到的DHCP請求報文和DHCP響應(yīng) 報文,獲取DHCP服務(wù)器為DHCP客戶端分配的IP地址和該DHCP客戶端 使用的MAC地址并保存;
所述LLDP功能模塊,用于在^r測到所述上行端口的狀態(tài)從DOWN轉(zhuǎn)換為UP時,生成LLDP報文,將所述DHCP Snooping功能模塊保存的各 DHCP客戶端的IP地址和MAC地址攜帶在生成的LLDP報文中發(fā)送給所述 DHCP中繼。
其中,所述DHCP中繼包括LLDP功能模塊和授權(quán)ARP表項(xiàng)處理模塊; 所述LLDP功能模塊,用于接收接入交換機(jī)發(fā)來的LLDP報文,從所接
收的LLDP報文中獲取各DHCP客戶端的IP地址和MAC地址;
所述授權(quán)ARP表項(xiàng)處理模塊,用于根據(jù)所述LLDP功能模塊獲取的各
DHCP客戶端的IP地址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP表中。
本發(fā)明還提供了一種防止授權(quán)ARP信息丟失的接入交換機(jī),能夠在 DHCP中繼異常重啟時,保證授權(quán)ARP信息不丟失。
該接入交換機(jī)通過上行端口耦接于動態(tài)主機(jī)配置協(xié)議DHCP中繼,通過 下行端口耦接于DHCP客戶端;該交換機(jī)包括DHCP客戶端信息收集單元 和故障恢復(fù)處理單元;
所述DHCP客戶端信息收集單元,用于對流經(jīng)所述下行端口的DHCP 報文進(jìn)行監(jiān)聽,從監(jiān)聽到的DHCP報文中獲取DHCP客戶端的IP地址和 MAC地址并保存;
所述故障恢復(fù)處理單元,用于當(dāng)檢測到所述上行端口從故障中恢復(fù)時, 將所述DHCP客戶端信息收集單元保存的各DHCP客戶端的IP地址和MAC 地址發(fā)送給所述DHCP中繼,以便所述DHCP中繼接收的DHCP客戶端的 IP地址和MAC地址生成4受4又ARP表項(xiàng)并下發(fā)到ARP表中。
其中,所述DHCP客戶端信息收集單元為設(shè)置在接入交換機(jī)下行端口上 的DHCP Snooping功能模塊,用于監(jiān)聽流經(jīng)所述下行端口的DHCP請求報 文和DHCP響應(yīng)報文,根據(jù)監(jiān)聽到的DHCP請求"l艮文和DHCP響應(yīng)報文, 獲取DHCP服務(wù)器為DHCP客戶端分配的IP地址和該DHCP客戶端使用的 MAC地址并保存;
所述故障恢復(fù)處理單元為設(shè)置在接入交換機(jī)上的LLDP功能模塊,用于
li在檢測到所述上行端口的狀態(tài)從DOWN轉(zhuǎn)換為UP時,生成LLDP報文, 將所述DHCP Snooping功能模塊保存的各DHCP客戶端的IP地址和MAC 地址攜帶在生成的LLDP報文中發(fā)送給所述DHCP中繼。
本發(fā)明還提供了一種防止授權(quán)ARP信息丟失的DHCP中繼,能夠在 DHCP中繼異常重啟時,保證授權(quán)ARP信息不丟失。
該DHCP中繼包括LLDP功能模塊和授權(quán)ARP表項(xiàng)處理模塊;
所述LLDP功能模塊,用于接收接入交換機(jī)發(fā)來的LLDP報文,從所接 收的LLDP報文中獲取DHCP客戶端的IP地址和MAC地址;
所述授權(quán)ARP表項(xiàng)處理模塊,用于根據(jù)所述LLDP功能模塊獲取的 DHCP客戶端的IP地址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP 表中。
根據(jù)以上技術(shù)方案可見,在DHCP中繼故障前,由接入交換機(jī)通過監(jiān)聽 報文保存DHCP客戶端的IP地址和MAC地址;在DHCP中繼異常重啟后, 立刻將保存的IP地址和MAC地址提供給DHCP中繼,由DHCP中繼重新 生成授權(quán)ARP表項(xiàng)。這樣,DHCP中繼在異常重啟后,可以立刻恢復(fù)4吏權(quán) ARP表項(xiàng),進(jìn)而根據(jù)恢復(fù)的4更權(quán)ARP表項(xiàng)進(jìn)行流量處理,避免流量中斷。
而且,生成的表項(xiàng)為授權(quán)ARP表項(xiàng),由于授權(quán)ARP表項(xiàng)可以覆蓋動態(tài) ARP表項(xiàng),但動態(tài)ARP表項(xiàng)不能覆蓋授權(quán)ARP表項(xiàng),因此即使DHCP中繼 在重啟后學(xué)習(xí)到的動態(tài)ARP表項(xiàng)也不會覆蓋授權(quán)ARP表項(xiàng),保證恢復(fù)的授 權(quán)ARP表項(xiàng)可以保存下來,用于DHCP客戶端的合法性檢查,從而防止 DHCP攻擊。


圖1為現(xiàn)有技術(shù)中DHCP客戶端通過DHCP中繼向DHCP服務(wù)器申請
地址的組網(wǎng)圖。
圖2為圖1中DHCP客戶端通過DHCP中繼向DHCP服務(wù)器申請地址
的流程圖。
12圖3為本發(fā)明實(shí)施例中 一種DHCP組網(wǎng)結(jié)構(gòu)示意圖。
圖4為圖3中的DHCP客戶端1申請IP地址的流程示意圖。
圖5為圖3中的DHCP中繼異常重啟后的處理流程。
圖6為本發(fā)明實(shí)施例中防止授權(quán)ARP信息丟失的系統(tǒng)示意圖。
圖7為圖6中接入交換機(jī)的結(jié)構(gòu)示意圖。
圖8為圖6中DHCP中繼的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
下面結(jié)合附圖并舉實(shí)施例,對本發(fā)明進(jìn)行詳細(xì)描述。
本發(fā)明為一種防止授權(quán)ARP信息丟失的方案,其基本思想為DHCP 客戶端與DHCP中繼之間的接入交換機(jī),對其連接DHCP客戶端的端口進(jìn) 行報文監(jiān)聽,從監(jiān)聽到的DHCP報文中獲取該DHCP客戶端使用的IP地址 和MAC地址并對應(yīng)保存;當(dāng)所述接入交換機(jī)檢測到其連接DHCP中繼的端 口從故障中恢復(fù)時,實(shí)時地將自身存儲的各DHCP客戶端的IP地址和MAC 地址發(fā)送給DHCP中繼。DHCP中繼根據(jù)接入交換機(jī)發(fā)來的各DHCP客戶端 的IP地址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到ARP表中。
可見,采用本發(fā)明的4支術(shù)方案,在DHCP中繼故障前,由接入交換才幾通 過監(jiān)聽報文保存DHCP客戶端的IP地址和MAC地址;在DHCP中繼異常 重啟后,立刻將保存的IP地址和MAC地址一是供S會DHCP中繼,由DHCP 中繼重新生成授權(quán)ARP表項(xiàng)。這樣,DHCP中繼在異常重啟后,可以立刻 恢復(fù)授權(quán)ARP表項(xiàng),根據(jù)恢復(fù)的授權(quán)ARP表項(xiàng)進(jìn)行流量處理,避免流量中 斷。
而且,生成的表項(xiàng)為授權(quán)ARP表項(xiàng),由于授權(quán)ARP表項(xiàng)可以覆蓋動態(tài) ARP表項(xiàng),但動態(tài)ARP表項(xiàng)不能覆蓋授權(quán)ARP表項(xiàng),即使DHCP中繼在重 啟后學(xué)習(xí)到的動態(tài)ARP表項(xiàng)也不會覆蓋授權(quán)ARP表項(xiàng),保證恢復(fù)的授權(quán) ARP表項(xiàng)不會再次被丟失,為DHCP客戶端的合法性檢查提供依據(jù),從而 防止DHCP攻擊。
13在本發(fā)明的技術(shù)方案中,接入交換機(jī)對連接DHCP客戶端的端口進(jìn)行報
文監(jiān)聽,從監(jiān)聽到的DHCP報文中獲取DHCP客戶端使用的IP地址和MAC 地址并保存的才喿作可以借助DHCP協(xié)議中的DHCP欺騙(Snooping )功能實(shí)現(xiàn)。
具體來說將接入交換機(jī)耦接于DHCP客戶端的端口稱為下行端口 ,在 接入交換機(jī)的下行端口上使能DHCP Snooping功能模塊,DHCP Snooping 功能才莫塊通過監(jiān)聽來自DHCP客戶端的DHCP REQUEST報文和待發(fā)向 DHCP客戶端的DHCP ACK廣播報文,記錄DHCP客戶端的MAC地址以 及DHCP客戶端從服務(wù)器獲取的IP地址。管理員可以方便的利用display dhcp-snooping命令查看DHCP客戶端的MAC地址和獲得IP地址信息。
監(jiān)聽4艮文以及記錄IP地址和MAC地址僅是DHCP Snooping功能模塊 的部分功能。采用DHCP Snooping功能模塊的好處是可以充分利用現(xiàn)有標(biāo) 準(zhǔn)操作,有利于本發(fā)明方案的推廣。當(dāng)然,在實(shí)際中,也可以針對本發(fā)明防 止授權(quán)ARP信息丟失的技術(shù)方案專門設(shè)計具有DHCP報文監(jiān)聽以及記錄IP 地址和MAC地址的功能模塊,或者采用其它具有相應(yīng)功能的功能模塊實(shí)現(xiàn)。
在本發(fā)明的技術(shù)方案中,接入交換機(jī)將自身存儲的對應(yīng)關(guān)系發(fā)送給 DHCP中繼的操作可以借助現(xiàn)有的鏈路層發(fā)現(xiàn)協(xié)議(LLDP: Link Layer Discovery Protocol)實(shí)現(xiàn)。LLDP協(xié)議規(guī)定,使能LLDP協(xié)議的端口在狀態(tài) 從DOWN到UP時,向該端口連接的LLDP鄰居發(fā)送LLDP報文,以將自 身相關(guān)信息告知鄰居。
具體來說,本發(fā)明實(shí)施例在接入交換機(jī)和DHCP中繼上使能LLDP功能 模塊,那么接入交換機(jī)和DHCP中繼互為鄰居。將接入交換機(jī)耦接于DHCP 中繼的端口稱為上行端口 ,當(dāng)接入交換機(jī)的LLDP功能模塊檢測到上行端口 的狀態(tài)從DOWN轉(zhuǎn)換為UP時,將所在接入交換機(jī)保存的各DHCP客戶端 的IP地址和MAC地址攜帶在LLDP報文的擴(kuò)展字段中發(fā)送給DHCP中繼。
采用LLDP功能模塊的好處是可以充分利用現(xiàn)有標(biāo)準(zhǔn)操作,有利于本發(fā) 明方案的推廣。當(dāng)然,在實(shí)際中,還可以將IP地址和MAC地址攜帶在其它協(xié)議報文的擴(kuò)展字段中發(fā)送給DHCP中繼。
下面針對圖3示出的DHCP組網(wǎng)結(jié)構(gòu),對利用DHCP Snooping功能和 LLDP協(xié)議實(shí)現(xiàn)防止授權(quán)ARP信息丟失的方法進(jìn)行詳細(xì)描述。
首先,需要對DHCP中繼和接入交換機(jī)進(jìn)行配置。參見圖3,配置方案 具體包括
在網(wǎng)關(guān)與接入交換機(jī)連接的端口上使能DHCP中繼功能和授權(quán)ARP功 能,配置DHCP服務(wù)器的地址,從而使得網(wǎng)關(guān)在DHCP組網(wǎng)中承擔(dān)DHCP 中繼的角色,同時DHCP中繼能夠采用授權(quán)ARP功能實(shí)現(xiàn)DHCP客戶端的 合法性驗(yàn)證;
在接入交換機(jī)的下行端口 Port2上使能DHCP Snooping功能模塊; 在接入交換機(jī)和DHCP中繼上開啟LLDP功能,實(shí)際上缺省就是打開的。 圖4示出了圖3中的DHCP客戶端1申請IP地址的流程。如圖4所示,
該方法包括以下步驟
步驟401: DHCP客戶端1通過接入交換機(jī)1向DHCP中繼發(fā)送DHCP
REQUEST報文。
步驟402: DHCP REQUEST報文進(jìn)入接入交換機(jī)1時,Port2的DHCP Snooping功能模塊監(jiān)聽到DHCP REQUEST報文,記錄該請求1和DHCP REQUEST才艮文的入接口 。
步驟403: DHCP中繼向DHCP服務(wù)器轉(zhuǎn)發(fā)DHCP REQUEST報文,接 收DHCP服務(wù)器回應(yīng)的DHCP ACK報文,該DHCP ACK報文中包含分配給 DHCP客戶端1的IP地址以及DHCP客戶端1使用的MAC地址。
步驟404: DHCP中繼從接收的DHCP ACK報文中獲取DHCP客戶端1 的IP地址和MAC地址,根據(jù)獲取的IP地址和MAC地址生成4受權(quán)ARP表 項(xiàng)下發(fā)到ARP表中。
步驟405: DHCP中繼通過接入交換機(jī)1向DHCP客戶端1轉(zhuǎn)發(fā)DHCP ACK報文。
步驟406: DHCP ACK報文進(jìn)入接入交換機(jī)1后,Port2的DHCP Snooping功能模塊根據(jù)接收的DHCP ACK報文查找對應(yīng)的請求,此時查找到請求1, 根據(jù)請求1和接收的DHCP ACK報文,建立DHCP客戶端1的IP地址、 MAC地址和報文入接口的對應(yīng)關(guān)系,并保存。雖然本步驟中記錄的是IP地 址、MAC地址和入接口 ,但是在DHCP中繼異常重啟后只需將IP地址和 MAC地址攜帶在LLDP報文中發(fā)送給DHCP中繼即可。
步驟407: DHCP客戶端1接到DHCP ACK報文后,從報文中獲取分配 的IP地址,然后采用該IP地址正常通信。
至此,本流程結(jié)束。
從圖4示出的流程可見,接入交換機(jī)利用DHCP Slumping功能獲得與 其連接的所有DHCP客戶端的IP地址和MAC地址的對應(yīng)關(guān)系,以備DHCP 中繼異常重啟后發(fā)送給DHCP中繼。
圖5示出了圖3中的DHCP中繼異常重啟后的處理流程。如圖5所示, 該流程包括以下步驟
步驟501:接入交換機(jī)的LLDP功能模塊檢測到上行端口 Portl先DOWN 后UP,此時生成LLDP報文,將所在接入交換機(jī)保存的各DHCP客戶端的 IP地址和MAC地址攜帶在LLDP報文的擴(kuò)展字段中發(fā)送給DHCP中繼。
在圖3示出的組網(wǎng)環(huán)境中,DHCP中繼故障重啟后,接入交換機(jī)1和2 都會檢測到上行端口 Portl先DOWN后UP,均發(fā)送攜帶IP地址和MAC地 址的LLDP報文。
步驟502: DHCP中繼從接收到的LLDP報文中獲取DHCP客戶端的IP 地址和MAC地址,根據(jù)獲取的IP地址和MAC地址生成授權(quán)ARP表項(xiàng)下 發(fā)到ARP表中。
在圖3示出的組網(wǎng)環(huán)境中,DHCP中繼根據(jù)接收自接入交換機(jī)1和2的 LLDP報文恢復(fù)了授權(quán)ARP信息,可以利用這些授權(quán)ARP信息處理主機(jī)業(yè) 務(wù)和驗(yàn)證DHCP客戶端的合法性。
至此,本流程結(jié)束。
從圖5示出的流程可見,當(dāng)DHCP中繼異常重啟時,DHCP中的ARP表項(xiàng)清空。這時,DHCP客戶端無法感知DHCP中繼異常重啟事件,不會發(fā) 送DHCP REQUEST報文,所以DHCP中繼無法更新ARP表中的授權(quán)ARP 表項(xiàng)。但是接入交換機(jī)可以通過端口的DOWN與UP感知到DHCP中繼的 變化,從而將IP地址和MAC地址發(fā)送給DHCP中繼,使其恢復(fù)授權(quán)ARP 表項(xiàng)。
當(dāng)接入交換機(jī)異常重啟時,接入交換機(jī)保存的IP地址和MAC地址清空。 此時,與異常接入交換機(jī)相連的DHCP客戶端網(wǎng)卡先DOWN再UP, IP地 址釋放。此時,DHCP客戶端會重新發(fā)送DHCP REQUEST報文以獲取新的 IP地址。在新地址獲取過程中,重啟的接入交換機(jī)可以重新累積各客戶端的 IP地址和MAC地址信息。因此,接入交換機(jī)的異常重啟不會導(dǎo)致授權(quán)ARP 丟失。
為了實(shí)現(xiàn)本發(fā)明的防止授權(quán)ARP信息丟失的方法,本發(fā)明還提供了一 種防止授權(quán)ARP信息丟失的系統(tǒng)。圖6為該系統(tǒng)的結(jié)構(gòu)示意圖,如圖6所 示,該系統(tǒng)包括DHCP客戶端61、 DHCP服務(wù)器64、 DHCP中繼63以及 DHCP客戶端61與DHCP中繼63之間的接入交換機(jī)62。接入交換機(jī)62通 過上行端口耦接于DHCP中繼63,通過下行端口耦接于DHCP客戶端61。
其中,DHCP客戶端61和DHCP服務(wù)器64的功能與現(xiàn)有設(shè)備相同。接 入交換沖幾62和DHCP中繼63不同于現(xiàn)有設(shè)備。
接入交換機(jī)62,用于對流經(jīng)其下行端口的DHCP 4艮文進(jìn)行監(jiān)聽,從監(jiān)聽到 的DHCP報文中獲取DHCP客戶端的IP地址和MAC地址并保存;當(dāng)檢測到上 行端口從故障中恢復(fù)時,將自身保存的各DHCP客戶端的IP地址和MAC地址 發(fā)送給DHCP中繼63。
DHCP中繼63,用于根據(jù)接入交換機(jī)62發(fā)來的DHCP客戶端的IP地 址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP表中。
下面對接入交換機(jī)62和DHCP中繼63進(jìn)行詳細(xì)描述。
圖7為圖6中接入交換機(jī)62的結(jié)構(gòu)示意圖。如圖7所示,接入交換機(jī) 62包括DHCP客戶端信息收集單元621和故障恢復(fù)處理單元622;其中,
17DHCP客戶端信息收集單元621,用于對流經(jīng)所在接入交換機(jī)下行端口的
DHCP報文進(jìn)行監(jiān)聽,從監(jiān)聽到的DHCP報文中獲取DHCP客戶端的IP地址 和MAC地址并保存。
故障恢復(fù)處理單元622,用于對所在接入交換機(jī)的上行端口進(jìn)行狀態(tài)檢 測,當(dāng)一全測到所在接入交換機(jī)的上行端口從故障中恢復(fù)時,將DHCP客戶端 信息收集單元621保存的各DHCP客戶端的IP地址和MAC地址發(fā)送給通 過該上行端口相連的DHCP中繼63,以便DHCP中繼63根據(jù)這些DHCP 客戶端的IP地址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到DHCP中繼63 中的ARP表中。
較佳地,DHCP客戶端信息收集單元621采用設(shè)置在接入交換機(jī)62下 行接口上的DHCP Snooping功能4莫塊實(shí)現(xiàn),故障恢復(fù)處理單元622采用設(shè) 置在接入交換機(jī)62的LLDP功能模塊實(shí)現(xiàn)。
具體來說,DHCP Sno叩ing功能模塊監(jiān)聽流經(jīng)下行端口的DHCP請求報 文和DHCP響應(yīng)報文,沖艮據(jù)監(jiān)聽到的DHCP請求報文和DHCP響應(yīng)報文, 獲取DHCP服務(wù)器為DHCP客戶端分配的IP地址和該DHCP客戶端使用的 MAC地址并保存。
LLDP功能模塊在檢測到所在接入交換機(jī)的上行端口狀態(tài)從DOWN轉(zhuǎn) 換為UP時,生成LLDP報文,將DHCP Snooping功能模塊保存的各DHCP 客戶端的IP地址和MAC地址攜帶在生成的LLDP報文中發(fā)送給DHCP中 繼63。
圖8為圖6中DHCP中繼的結(jié)構(gòu)示意圖。如圖8所示,DHCP中繼包括 LLDP功能模塊631和授權(quán)ARP表項(xiàng)處理模塊632。其中,
LLDP功能模塊631,用于接收接入交換機(jī)62發(fā)來的LLDP報文,從所 接收的LLDP報文中獲取DHCP客戶端的IP地址和MAC地址。
授權(quán)ARP表項(xiàng)處理模塊632,用于根據(jù)LLDP功能模塊631獲取的DHCP 客戶端的IP地址和MAC地址,生成授一又ARP表項(xiàng)并下發(fā)到本地ARP表中。
綜上所述,以上僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改 進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1、一種防止授權(quán)地址解析協(xié)議信息丟失的方法,該方法中接入交換機(jī)通過上行端口耦接于動態(tài)主機(jī)配置協(xié)議DHCP中繼,通過下行端口耦接于DHCP客戶端,其特征在于,該方法包括接入交換機(jī)對流經(jīng)下行端口的DHCP報文進(jìn)行監(jiān)聽,從監(jiān)聽到的DHCP報文中獲取DHCP客戶端的互聯(lián)網(wǎng)協(xié)議IP地址和媒體接入控制MAC地址并保存;當(dāng)所述接入交換機(jī)檢測到所述上行端口從故障中恢復(fù)時,將自身保存的各DHCP客戶端的IP地址和MAC地址發(fā)送給所述DHCP中繼;所述DHCP中繼根據(jù)接入交換機(jī)發(fā)來的各DHCP客戶端的IP地址和MAC地址,生成授權(quán)地址解析協(xié)議ARP表項(xiàng)并下發(fā)到本地ARP表中。
2、 如權(quán)利要求l所述的方法,其特征在于,該方法進(jìn)一步包括在接入交 換機(jī)的下行端口上使能DHCP欺騙Snooping功能模塊;所述接入交換機(jī)對流經(jīng)下行端口的DHCP報文進(jìn)行監(jiān)聽,從監(jiān)聽到的 DHCP報文中獲取DHCP客戶端的IP地址和MAC地址并保存,包括接入交換機(jī)下行端口上的DHCP Snooping功能模塊監(jiān)聽流經(jīng)所述下行端口 的DHCP請求報文和DHCP響應(yīng)報文,根據(jù)監(jiān)聽到的DHCP請求報文和DHCP 響應(yīng)報文,獲取DHCP服務(wù)器為DHCP客戶端分配的IP地址和該DHCP客戶 端使用的MAC地址并保存。
3、 如權(quán)利要求1或2所述的方法,其特征在于,該方法進(jìn)一步包括在接 入交換機(jī)和DHCP中繼上使能鏈路層發(fā)現(xiàn)協(xié)議LLDP功能才莫塊;所述當(dāng)所述接入交換機(jī)檢測到所述上行端口從故障中恢復(fù)時,將自身保存 的各DHCP客戶端的IP地址和MAC地址發(fā)送給所述DHCP中繼,包括當(dāng)所述接入交換機(jī)的LLDP功能模塊檢測到其上行端口狀態(tài)從關(guān)閉DOWN 轉(zhuǎn)換為啟用UP時,生成LLDP報文,將自身保存的各DHCP客戶端的IP地址 和MAC地址攜帶在生成的LLDP報文中發(fā)送給所述DHCP中繼。
4、 如權(quán)利要求3所述的方法,其特征在于,所述DHCP中繼根據(jù)接入交換機(jī)發(fā)來的各DHCP客戶端的IP地址和MAC地址,生成4受4又地址解析協(xié)i義ARP 表項(xiàng)并下發(fā)到本地ARP表中,包括所述DHCP中繼接收所述接入交換機(jī)發(fā)來的LLDP報文,從所接收的LLDP 報文中獲取各DHCP客戶端的IP地址和MAC地址,根據(jù)獲取的各DHCP客戶 端的IP地址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP表中。
5 、 一種防止授權(quán)地址解析協(xié)議信息丟失的系統(tǒng),該系統(tǒng)包括DHCP客戶端、 DHCP服務(wù)器、DHCP中繼以及DHCP客戶端與DHCP中繼之間的接入交換機(jī); 所述接入交換機(jī)通過上行端口耦接于所述DHCP中繼,通過下行端口耦接于所 述DHCP客戶端,其特征在于,所述接入交換機(jī),用于對流經(jīng)所述下行端口的DHCP報文進(jìn)行監(jiān)聽,從監(jiān) 聽到的DHCP報文中獲取DHCP客戶端的IP地址和MAC地址并保存;當(dāng)檢測 到所述上行端口從故障中恢復(fù)時,將自身保存的各DHCP客戶端的IP地址和 MAC地址發(fā)送給所述DHCP中繼;所述DHCP中繼,用于根據(jù)接入交換機(jī)發(fā)來的DHCP客戶端的IP地址和 MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP表中。
6、 如權(quán)利要求5所述的系統(tǒng),其特征在于,所述接入交換機(jī)包括LLDP功 能模塊和設(shè)置在所述下行端口上的DHCP Snooping功能模塊;所述DHCP Snooping功能模塊,用于監(jiān)聽流經(jīng)所述下行端口的DHCP請求 報文和DHCP響應(yīng)報文,根據(jù)監(jiān)聽到的DHCP請求報文和DHCP響應(yīng)報文,獲 取DHCP服務(wù)器為DHCP客戶端分配的IP地址和該DHCP客戶端使用的MAC 地址并保存;所述LLDP功能模塊,用于在檢測到所述上行端口的狀態(tài)從DOWN轉(zhuǎn)換為 UP時,生成LLDP報文,將所述DHCP Snooping功能模塊保存的各DHCP客 戶端的IP地址和MAC地址攜帶在生成的LLDP報文中發(fā)送給所述DHCP中繼。
7、 如權(quán)利要求5所述的系統(tǒng),其特征在于,所述DHCP中繼包括LLDP 功能模塊和授權(quán)ARP表項(xiàng)處理模塊;所述LLDP功能模塊,用于接收接入交換機(jī)發(fā)來的LLDP報文,從所接收的LLDP報文中獲取各DHCP客戶端的IP地址和MAC地址;所述授權(quán)ARP表項(xiàng)處理模塊,用于根據(jù)所述LLDP功能模塊獲取的各 DHCP客戶端的IP地址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP 表中。
8、 一種防止授權(quán)地址解析協(xié)議信息丟失的接入交換機(jī),該接入交換機(jī)通過 上行端口耦接于動態(tài)主機(jī)配置協(xié)議DHCP中繼,通過下行端口耦接于DHCP客 戶端,其特征在于,該交換機(jī)包括DHCP客戶端信息收集單元和故障恢復(fù)處理 單元;所述DHCP客戶端信息收集單元,用于對流經(jīng)所述下行端口的DHCP報文 進(jìn)行監(jiān)聽,從監(jiān)聽到的DHCP報文中獲取DHCP客戶端的IP地址和MAC地址 并保存;所述故障恢復(fù)處理單元,用于當(dāng)檢測到所述上行端口從故障中恢復(fù)時,將 所述DHCP客戶端信息收集單元保存的各DHCP客戶端的IP地址和MAC地址 發(fā)送給所述DHCP中繼,以便所述DHCP中繼接收的DHCP客戶端的IP地址 和MAC地址生成授權(quán)ARP表項(xiàng)并下發(fā)到ARP表中。
9、 如權(quán)利要求8所述接入交換機(jī),其特征在于,所述DHCP客戶端信息收 集單元為設(shè)置在接入交換機(jī)下行端口上的DHCP Snooping功能模塊,用于監(jiān)聽 流經(jīng)所述下行端口的DHCP請求才艮文和DHCP響應(yīng)報文,才艮據(jù)監(jiān)聽到的DHCP 請求報文和DHCP響應(yīng)報文,獲取DHCP服務(wù)器為DHCP客戶端分配的IP地 址和該DHCP客戶端使用的MAC地址并保存;所述故障恢復(fù)處理單元為設(shè)置在接入交換機(jī)上的LLDP功能模塊,用于在 檢測到所述上行端口的狀態(tài)從DOWN轉(zhuǎn)換為UP時,生成LLDP報文,將所述 DHCP Snooping功能模塊保存的各DHCP客戶端的IP地址和MAC地址攜帶在 生成的LLDP報文中發(fā)送給所述DHCP中繼。
10、 一種防止授4又地址解析協(xié)議信息丟失的DHCP中繼,其特征在于,該 DHCP中繼包括LLDP功能模塊和授權(quán)ARP表項(xiàng)處理模塊;所述LLDP功能模塊,用于接收接入交換機(jī)發(fā)來的LLDP報文,從所接收的LLDP報文中獲取DHCP客戶端的IP地址和MAC地址;所述授權(quán)ARP表項(xiàng)處理模塊,用于根據(jù)所述LLDP功能模塊獲取的DHCP 客戶端的IP地址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP表中。
全文摘要
本發(fā)明公開了一種防止授權(quán)地址解析協(xié)議信息丟失的方法、系統(tǒng)和設(shè)備。在該方法中,接入交換機(jī)對流經(jīng)下行端口的DHCP報文進(jìn)行監(jiān)聽,從監(jiān)聽到的DHCP報文中獲取DHCP客戶端的IP地址和MAC地址并保存;當(dāng)該接入交換機(jī)檢測到其上行端口從故障中恢復(fù)時,將自身保存的各DHCP客戶端的IP地址和MAC地址發(fā)送給所述DHCP中繼;該DHCP中繼根據(jù)接入交換機(jī)發(fā)來的DHCP客戶端的IP地址和MAC地址,生成授權(quán)ARP表項(xiàng)并下發(fā)到本地ARP表。使用本發(fā)明能夠在DHCP中繼異常重啟時,保證授權(quán)ARP信息不丟失。
文檔編號H04L29/12GK101453495SQ200810247549
公開日2009年6月10日 申請日期2008年12月30日 優(yōu)先權(quán)日2008年12月30日
發(fā)明者蔚 李 申請人:杭州華三通信技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1