CN107528930B - 面向dhcp终端的网络准入状态快速切换方法和系统 - Google Patents
面向dhcp终端的网络准入状态快速切换方法和系统 Download PDFInfo
- Publication number
- CN107528930B CN107528930B CN201610453179.5A CN201610453179A CN107528930B CN 107528930 B CN107528930 B CN 107528930B CN 201610453179 A CN201610453179 A CN 201610453179A CN 107528930 B CN107528930 B CN 107528930B
- Authority
- CN
- China
- Prior art keywords
- message
- mac address
- request message
- dns
- dhcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种面向DHCP终端的网络准入状态快速切换方法和系统。本发明能够在终端用户DHCP分配的是隔离域的IP时,且认证、安检通过时,使用户能够立即访问受控资源,而不需要等待DHCP分配给正常域的IP;从而能够在客户端通过认证、安检后,无论DHCP分配给用户终端的IP地址是正常域或者隔离域都可以访问受控资源,大大的提高了该系统使用时的体验效果。
Description
技术领域
本发明涉及网络通信领域,具体涉及针对网络通信时报文转发的处理。
背景技术
在内网中,大部分主机是通过DHCP方式获取IP地址的,但目前存在终端主机无法对应到人、没法强制安装合规软件、外来主机随意接入网络以及不能区分访客与员工的访问权限等问题,而解决以上问题就需要部署DHCP准入系统。
在现有的DHCP准入系统中,用户在未进行认证、安检前DHCP分配到的IP都是隔离域中的IP,此时不能访问受控资源;只有当用户认证、安检成功后DHCP分配到的IP才是正常域的IP,此时才可以正常访问受控资源。
但在上述DHCP准入系统中,由于DHCP机制原因,用户认证、安检成功后,需要等待DHCP分配给正常域的IP,而这个等待时间有30秒,甚至更长时间。
发明内容
本发明的目的在于提高用户的DHCP准入环境下用户的友好度,减少网络访问的等待时间,为解决上述技术问题,提供一种能够为了提高用户的DHCP准入环境下用户的友好度的面向DHCP终端的网络准入状态快速切换方法和系统。
为解决上述技术问题,本发明采用如下的技术方案:本发明提供一种面向DHCP终端的网络准入状态快速切换方法,DHCP准入系统中用户终端获取的IP为隔离域IP,具体包括如下步骤:
S1、DHCP准入系统接收到用户终端发送的第一ARP报文后,通过伪造第二ARP报文,告知所述用户终端所在隔离域网关的MAC地址;所述用户终端与隔离域处于不同于VLAN;
S2、所述用户终端在收到所述第二ARP报文后,发送DNS请求报文;
S3、所述DHCP准入系统在接收到所述DNS请求报文后,修改所述DNS请求报文的目的MAC地址和VLAN ID,并转发修改后的所述DNS请求报文至所述隔离域网关;
S4、当服务端响应所述DNS请求报文时,所述隔离域网关首先接收到服务端的DNS响应报文,随后所述隔离域网关发送第三ARP报文,查找用户终端MAC地址;所述DHCP准入系统接收到所述第三ARP报文后,伪造一个ARP响应报文发给所述隔离域网关,使所述服务端的所述DNS响应报文能够到达所述DHCP准入系统;
S5、所述DHCP准入系统接收到所述隔离域网关转发的所述DNS响应报文;
S6、所述DHCP准入系统修改所述DNS响应报文的目的MAC地址和VLAN ID,随后将所述DNS响应报文转发到所述用户终端;
S7、所述用户终端向通过DNS请求到的IP地址发送HTTP请求报文,所述DHCP准入系统按照所述DNS请求报文的处理步骤S2~S6处理所述HTTP请求报文。
如前述的面向DHCP终端的网络准入状态快速切换方法,所述S3中修改DNS请求报文A的目的MAC地址和VLAN ID具体为:所述步骤S3中修改所述DNS请求报文的目的MAC地址和VLAN ID具体为:将所述DNS请求报文的目的MAC地址修改为所述隔离域网关的MAC地址,将所述DNS请求报文的目的VLAN ID修改为所述隔离域网关所在的VLAN ID。
如前述的面向DHCP终端的网络准入状态快速切换方法,在所述步骤S4中,在伪造一个ARP响应报文后,还包括:将所述用户终端的MAC地址填充为所述DHCP准入系统的MAC地址。
如前述的面向DHCP终端的网络准入状态快速切换方法,在所述步骤S6中,所述修改所述DNS响应报文的目的MAC地址和VLAN ID具体为:将所述DNS响应报文的目的MAC地址修改为所述用户终端的MAC地址,将所述DNS响应报文的VLAN ID修改为所述用户终端实际所在的VLAN ID。
如前所述的DHCP准入系统,包括:
第一报文伪造模块,用于接收用户终端发送的第一ARP报文或HTTP请求报文后,通过伪造第二ARP报文,告知所述用户终端所在隔离域网关的MAC地址;
第一报文接收模块,用于接收所述用户终端在收到所述第二ARP报文后发送的DNS请求报文及HTTP请求报文;
第一报文修改及转发模块,用于在收到所述DNS请求报文或HTTP请求报文后,修改所述DNS请求报文或所述HTTP请求报文的目的MAC地址和VLAN ID,并转发修改后的所述DNS请求报文或所述HTTP请求报文至所述隔离域网关;
第二报文伪造模块,用于当服务端响应所述DNS请求报文或所述HTTP请求报文时,所述隔离域网关首先接收到服务端的DNS响应报文,随后所述隔离域网关会发送第三ARP报文,查找所述用户终端的MAC地址;所述第二报文伪造模块接收到所述第三ARP报文后,伪造一个ARP响应报文发给所述隔离域网关,使所述服务端的所述DNS响应报文能够到达所述DHCP准入系统;
第二报文接收模块,用于接收所述隔离域网关转发的所述DNS响应报文;
第二报文修改及转发模块,用于在接收到所述隔离域网关转发的所述DNS响应报文后,修改所述DNS响应报文的目的MAC地址和VLAN ID,随后将所述DNS响应报文转发到所述用户终端。
如前述的DHCP准入系统,在所述第一报文修改及转发模块中,所述修改DNS请求报文或HTTP请求报文的目的MAC地址和VLAN ID具体为:将所述DNS请求报文或HTTP请求报文的目的MAC地址修改为所述隔离域网关的MAC地址,将所述DNS请求报文或HTTP请求报文的目的VLAN ID修改为所述隔离域网关所在的VLAN ID。
如前述的DHCP准入系统,在所述第二报文伪造模块中,在伪造一个ARP响应报文后,还包括:将所述用户终端的MAC地址填充为所述DHCP准入系统的MAC地址。
如前述的DHCP准入系统,在所述第二报文修改及转发模块中,所述修改DNS响应报文的目的MAC地址和VLAN ID具体为:将所述DNS响应报文的目的MAC地址修改为所述用户终端的MAC地址,所述DNS响应报文的VLAN ID修改为所述用户终端实际所在的VLAN ID。
与现有技术相比,本发明通过一种面向DHCP终端的网络准入状态快速切换方法和系统,当终端用户DHCP分配的是隔离域的IP时,且认证、安检通过时,使用户能够立即访问受控资源,而不需要等待DHCP分配给正常域的IP;从而能够在客户端通过认证、安检后,无论DHCP分配给用户终端的IP地址是正常域或者隔离域都可以访问受控资源,大大的提高了该系统使用时的体验效果。
附图说明
图1为本发明系统的网络拓扑部署示意图;
图2为本发明中一种实施方式流程图;
图3为本发明中一种实施例的原理框图。
下面结合附图和具体实施方式对本发明作进一步的说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
如图1所示,本发明系统部署的网络拓扑,DHCP准入系统业务口连接核心交换机的Trunk口,允许现有的VLAN数据通过,本发明方法改口进行报文的转发处理;DHCP服务器口连接第三方DHCP服务器,分配给用户终端1IP地址;在交换机上配置隔离域对应的VLAN以及分配IP的网段;在企业原有的DHCP服务器中,需要添加隔离域IP的相关配置,使服务器能够根据中继IP分配地址。
如图2所示,当用户认证通过后且DHCP服务器还未分配正常域IP,则DHCP准入系统实施步骤如下:
1、DHCP准入系统,等待接收第一ARP报文,如果该第一ARP报文请求的是隔离域网关MAC地址,进行下一步;
2、伪造一个第二ARP报文,MAC地址填充为DHCP准入系统的MAC地址,用来欺骗用户终端1,使所述用户终端1的报文能够到达所述DHCP准入系统;
3、所述DHCP准入系统,接收所述用户终端1发送的DNS请求报文(包括:TCP、UDP等请求报文);
4、修改所述用户终端1发送的TCP、UDP报文的目的MAC地址为隔离域网关的MAC地址,VLAN ID为隔离域网关所在的VLAN ID,转发该修改后的DNS请求报文;
5、所述隔离域网关在收到修改后的DNS请求报文后,继续转发该报文到对应的受控资源;
6、所述隔离域网关收到受控资源的回应,发送第三ARP报文查找所述用户终端1的MAC地址;
7、所述DHCP准入系统在接收到该第三ARP报文后,发现查找的是所述用户终端1的MAC,进行下一步处理;
8、所述DHCP准入系统伪造一个ARP报文,MAC地址填充为DHCP准入系统MAC,用来欺骗用户终端1,使其报文能够到达所述DHCP准入系统;
9、所述DHCP准入系统,接收所述隔离域网关发送的DNS请求报文;
10、修改所述隔离域网关发送的DNS请求报文的目的MAC地址为所述用户终端1的MAC地址,VLAN ID为所述用户终端1所在的VLAN ID,转发该报文;
至此便完成了用户终端1的一次请求相应。
本发明实施例1,如图2及图3所示,本发明提供一种面向DHCP终端的网络准入状态快速切换方法,DHCP准入系统中用户终端1获取的IP为隔离域IP,所述用户终端1与隔离域处于不同于VLAN,具体包括如下步骤:
S1、DHCP准入系统接收到用户终端1发送的第一ARP报文后,通过伪造第二ARP报文,通知用户终端1所在隔离域网关的MAC地址;
S2、所述用户终端1在收到所述第二ARP报文后发送DNS请求报文;
S3、所述DHCP准入系统在接收到所述DNS请求报文后,将所述DNS请求报文的目的MAC地址和VLAN ID修改未隔离域网关的MAC地址,DNS请求报文的目的VLAN ID修改为隔离域网关所处的VLAN ID,并转发修改后的所述DNS请求报文至所述隔离域网关;
S4、当服务端2响应所述DNS请求报文时,所述隔离域网关首先接收到服务端2的DNS响应报文,随后所述隔离域网关发送第三ARP报文,查找用户终端1的MAC地址;所述DHCP准入系统接收到所述第三ARP报文后,伪造一个ARP响应报文并将所述用户终端1的MAC地址填充为DHCP准入系统的MAC地址,随后将所述伪造的ARP响应报文发给所述隔离域网关,使所述服务端2的DNS响应报文能够到达所述DHCP准入系统;
S5、所述DHCP准入系统接收到所述隔离域网关转发的所述DNS响应报文;
S6、所述DHCP准入系统将所述DNS请求报文的目的MAC地址修改为用户终端1的MAC地址,所述DNS请求报文的VLAN ID修改为用户终端1实际所处VLAN ID;随后将所述DNS响应报文转发到所述用户终端1;
S7、所述用户终端1向通过DNS请求到的IP地址发送HTTP请求报文,所述DHCP准入系统按照所述DNS请求报文的处理步骤S2~S6处理所述HTTP请求报文。
如前所述的DHCP准入系统,包括:
第一报文伪造模块3,用于接收用户终端1发送的第一ARP报文或HTTP请求报文后,通过伪造第二ARP报文,告知所述用户终端1所在隔离域网关的MAC地址;
第一报文接收模块4,用于接收所述用户终端1在收到所述第二ARP报文后发送的DNS请求报文及HTTP请求报文;
第一报文修改及转发模块5,用于在收到所述DNS请求报文或HTTP请求报文后,修改所述DNS请求报文或所述HTTP请求报文的目的MAC地址和VLAN ID,并转发修改后的所述DNS请求报文或所述HTTP请求报文至所述隔离域网关;
第二报文伪造模块6,用于当服务端2响应所述DNS请求报文或所述HTTP请求报文时,所述隔离域网关首先接收到服务端2的DNS响应报文,随后所述隔离域网关会发送第三ARP报文,查找所述用户终端1的MAC地址;所述第二报文伪造模块6接收到所述第三ARP报文后,伪造一个ARP响应报文发给所述隔离域网关,使所述服务端2的所述DNS响应报文能够到达所述DHCP准入系统;
第二报文接收模块7用于接收所述隔离域网关转发的所述DNS响应报文;
第二报文修改及转发模块8,用于在接收到所述隔离域网关转发的所述DNS响应报文后,修改所述DNS响应报文的目的MAC地址和VLAN ID,随后将所述DNS响应报文转发到所述用户终端1。
在所述第一报文修改及转发模块5中,所述修改DNS请求报文或HTTP请求报文的目的MAC地址和VLAN ID具体为:将所述DNS请求报文或HTTP请求报文的目的MAC地址修改为所述隔离域网关的MAC地址,DNS请求报文或HTTP请求报文的目的VLAN ID修改为隔离域网关所在的VLAN ID。
在所述第二报文伪造模块6中,在伪造一个ARP响应报文后,还包括:将所述用户终端1的MAC地址填充为所述DHCP准入系统的MAC地址。
在所述第二报文修改及转发模块8中,所述修改响应报文的目的MAC地址和VLANID具体为:将所述响应报文的目的MAC地址修改为所述用户终端1的MAC地址,所述DNS响应报文的VLAN ID修改为所述用户终端1实际所在的VLAN ID。
本发明实施例2,如图2及图3所示,
本发明提供一种面向DHCP终端的网络准入状态快速切换方法,DHCP准入系统中用户终端1获取的IP为隔离域IP,所述用户终端1与隔离域处于不同于VLAN,具体包括如下步骤:
S1、DHCP准入系统接收到用户终端1发送的第一ARP报文后,通过伪造第二ARP报文,通知用户终端1所在隔离域网关的MAC地址;
S2、所述用户终端1在收到所述第二ARP报文后发送DNS请求报文;
S3、所述DHCP准入系统在接收到所述DNS请求报文后,将所述DNS请求报文的目的MAC地址和VLAN ID修改未隔离域网关的MAC地址,DNS请求报文的目的VLAN ID修改为隔离域网关所处的VLAN ID,并转发修改后的所述DNS请求报文至所述隔离域网关;
S4、当服务端2响应所述DNS请求报文时,所述隔离域网关首先接收到服务端2的DNS响应报文,随后所述隔离域网关发送第三ARP报文,查找用户终端1的MAC地址;所述DHCP准入系统接收到所述第三ARP报文后,伪造一个ARP响应报文并将所述用户终端1的MAC地址填充为DHCP准入系统的MAC地址,随后将所述伪造的ARP响应报文发给所述隔离域网关,使所述服务端2的DNS响应报文能够到达所述DHCP准入系统;
S5、所述DHCP准入系统接收到所述隔离域网关转发的所述DNS响应报文;
S6、所述DHCP准入系统将所述DNS请求报文的目的MAC地址修改为用户终端1的MAC地址,所述DNS请求报文的VLAN ID修改为用户终端1实际所处VLAN ID;随后将所述DNS响应报文转发到所述用户终端1;
S7、所述用户终端1向通过DNS请求到的IP地址发送HTTP请求报文,所述DHCP准入系统按照所述DNS请求报文的处理步骤S2~S6处理所述HTTP请求报文。
如前所述的DHCP准入系统,包括:
第一报文伪造模块3,用于接收用户终端1发送的第一ARP报文或HTTP请求报文后,通过伪造第二ARP报文,告知所述用户终端1所在隔离域网关的MAC地址;
第一报文接收模块4,用于接收所述用户终端1在收到所述第二ARP报文后发送的DNS请求报文及HTTP请求报文;
第一报文修改及转发模块5,用于在收到所述DNS请求报文或HTTP请求报文后,修改所述DNS请求报文或所述HTTP请求报文的目的MAC地址和VLAN ID,并转发修改后的所述DNS请求报文或所述HTTP请求报文至所述隔离域网关;
第二报文伪造模块6,用于当服务端2响应所述DNS请求报文或所述HTTP请求报文时,所述隔离域网关首先接收到服务端2的DNS响应报文,随后所述隔离域网关会发送第三ARP报文,查找所述用户终端1的MAC地址;所述第二报文伪造模块6接收到所述第三ARP报文后,伪造一个ARP响应报文发给所述隔离域网关,使所述服务端2的所述DNS响应报文能够到达所述DHCP准入系统;
第二报文接收模块7,用于接收所述隔离域网关转发的所述DNS响应报文;
第二所述报文修改及转发模块8,用于在接收到所述隔离域网关转发的所述DNS响应报文后,修改所述DNS响应报文的目的MAC地址和VLAN ID,随后将所述DNS响应报文转发到所述用户终端1。
本发明实施例3,如图2及图3所示,
本发明提供一种面向DHCP终端的网络准入状态快速切换方法,DHCP准入系统中用户终端1获取的IP为隔离域IP,所述用户终端1与隔离域处于不同于VLAN,具体包括如下步骤:
S1、DHCP准入系统接收到用户终端1发送的第一ARP报文后,通过伪造第二ARP报文,通知用户终端1所在隔离域网关的MAC地址;
S2、所述用户终端1在收到所述第二ARP报文后发送DNS请求报文;
S3、所述DHCP准入系统在接收到所述DNS请求报文后,将所述DNS请求报文的目的MAC地址和VLAN ID修改未隔离域网关的MAC地址,DNS请求报文的目的VLAN ID修改为隔离域网关所处的VLAN ID,并转发修改后的所述DNS请求报文至所述隔离域网关;
S4、当服务端2响应所述DNS请求报文时,所述隔离域网关首先接收到服务端2的DNS响应报文,随后所述隔离域网关发送第三ARP报文,查找用户终端1的MAC地址;所述DHCP准入系统接收到所述第三ARP报文后,伪造一个ARP响应报文并将所述用户终端1的MAC地址填充为DHCP准入系统的MAC地址,随后将所述伪造的ARP响应报文发给所述隔离域网关,使所述服务端2的DNS响应报文能够到达所述DHCP准入系统;
S5、所述DHCP准入系统接收到所述隔离域网关转发的所述DNS响应报文;
S6、所述DHCP准入系统将所述DNS请求报文的目的MAC地址修改为用户终端1的MAC地址,所述DNS请求报文的VLAN ID修改为用户终端1实际所处VLAN ID;随后将所述DNS响应报文转发到所述用户终端1;
S7、所述用户终端1向通过DNS请求到的IP地址发送HTTP请求报文,所述DHCP准入系统按照所述DNS请求报文的处理步骤S2~S6处理所述HTTP请求报文。
如前所述的DHCP准入系统,包括:
第一报文伪造模块3,用于接收用户终端1发送的第一ARP报文或HTTP请求报文后,通过伪造第二ARP报文,告知所述用户终端1所在隔离域网关的MAC地址;
第一报文接收模块4,用于接收所述用户终端1在收到所述第二ARP报文后发送的DNS请求报文及HTTP请求报文;
第一报文修改及转发模块5,用于在收到所述DNS请求报文或HTTP请求报文后,修改所述DNS请求报文或所述HTTP请求报文的目的MAC地址和VLAN ID,并转发修改后的所述DNS请求报文或所述HTTP请求报文至所述隔离域网关;
第二报文伪造模块6,用于当服务端2响应所述DNS请求报文或所述HTTP请求报文时,所述隔离域网关首先接收到服务端2的DNS响应报文,随后所述隔离域网关会发送第三ARP报文,查找所述用户终端1的MAC地址;所述报文伪造模块3接收到所述第三ARP报文后,伪造一个ARP响应报文发给所述隔离域网关,使所述服务端2的所述DNS响应报文能够到达所述DHCP准入系统;
第二报文接收模块7,用于接收所述隔离域网关转发的所述DNS响应报文;
第二报文修改及转发模块8,用于在接收到所述隔离域网关转发的所述DNS响应报文后,修改所述DNS响应报文的目的MAC地址和VLAN ID,随后将所述DNS响应报文转发到所述用户终端1。
本发明实施例4,如图2及图3所示,本发明提供一种面向DHCP终端的网络准入状态快速切换方法,DHCP准入系统中用户终端1获取的IP为隔离域IP,所述用户终端1与隔离域处于不同于VLAN,具体包括如下步骤:
S1、DHCP准入系统接收到用户终端1发送的第一ARP报文后,通过伪造第二ARP报文,通知用户终端1所在隔离域网关的MAC地址;
S2、所述用户终端1在收到所述第二ARP报文后发送DNS请求报文;
S3、所述DHCP准入系统在接收到所述DNS请求报文后,将所述DNS请求报文的目的MAC地址和VLAN ID修改未隔离域网关的MAC地址,DNS请求报文的目的VLAN ID修改为隔离域网关所处的VLAN ID,并转发修改后的所述DNS请求报文至所述隔离域网关;
S4、当服务端2响应所述DNS请求报文时,所述隔离域网关首先接收到服务端2的DNS响应报文,随后所述隔离域网关发送第三ARP报文,查找用户终端1的MAC地址;所述DHCP准入系统接收到所述第三ARP报文后,伪造一个ARP响应报文并将所述用户终端1的MAC地址填充为DHCP准入系统的MAC地址,随后将所述伪造的ARP响应报文发给所述隔离域网关,使所述服务端2的DNS响应报文能够到达所述DHCP准入系统;
S5、所述DHCP准入系统接收到所述隔离域网关转发的所述DNS响应报文;
S6、所述DHCP准入系统将所述DNS请求报文的目的MAC地址修改为用户终端1的MAC地址,所述DNS请求报文的VLAN ID修改为用户终端1实际所处VLAN ID;随后将所述DNS响应报文转发到所述用户终端1;
S7、所述用户终端1向通过DNS请求到的IP地址发送HTTP请求报文,所述DHCP准入系统按照所述DNS请求报文的处理步骤S2~S6处理所述HTTP请求报文。
如前所述的DHCP准入系统,包括:
第一报文伪造模块3,用于接收用户终端1发送的第一ARP报文或HTTP请求报文后,通过伪造第二ARP报文,告知所述用户终端1所在隔离域网关的MAC地址;
第一报文接收模块4,用于接收所述用户终端1在收到所述第二ARP报文后发送的DNS请求报文及HTTP请求报文;
第一报文修改及转发模块5,用于在收到所述DNS请求报文或HTTP请求报文后,修改所述DNS请求报文或所述HTTP请求报文的目的MAC地址和VLAN ID,并转发修改后的所述DNS请求报文或所述HTTP请求报文至所述隔离域网关;
第二报文伪造模块6,用于当服务端2响应所述DNS请求报文或所述HTTP请求报文时,所述隔离域网关首先接收到服务端2的DNS响应报文,随后所述隔离域网关会发送第三ARP报文,查找所述用户终端1的MAC地址;所述报文伪造模块3接收到所述第三ARP报文后,伪造一个ARP响应报文发给所述隔离域网关,使所述服务端2的所述DNS响应报文能够到达所述DHCP准入系统;
第二报文接收模块7,用于接收所述隔离域网关转发的所述DNS响应报文;
第二所述报文修改及转发模块8,用于在接收到所述隔离域网关转发的所述DNS响应报文后,修改所述DNS响应报文的目的MAC地址和VLAN ID,随后将所述DNS响应报文转发到所述用户终端1。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种面向DHCP终端的网络准入状态快速切换方法,DHCP准入系统中用户终端获取的IP为隔离域IP,其特征在于,具体包括如下步骤:
S1、DHCP准入系统接收到用户终端发送的第一ARP报文后,通过伪造第二ARP报文,告知所述用户终端所在隔离域网关的MAC地址;所述用户终端与隔离域处于不同VLAN;
S2、所述用户终端在收到所述第二ARP报文后,发送DNS请求报文;
S3、所述DHCP准入系统在接收到所述DNS请求报文后,修改所述DNS请求报文的目的MAC地址和VLAN ID,并转发修改后的所述DNS请求报文至所述隔离域网关;
S4、当服务端响应所述DNS请求报文时,所述隔离域网关首先接收到服务端的DNS响应报文,随后所述隔离域网关发送第三ARP报文,查找用户终端MAC地址;所述DHCP准入系统接收到所述第三ARP报文后,伪造一个ARP响应报文发给所述隔离域网关,使所述服务端的所述DNS响应报文能够到达所述DHCP准入系统;
S5、所述DHCP准入系统接收到所述隔离域网关转发的所述DNS响应报文;
S6、所述DHCP准入系统修改所述DNS响应报文的目的MAC地址和VLAN ID,随后将所述DNS响应报文转发到所述用户终端;
S7、所述用户终端向通过DNS请求到的IP地址发送HTTP请求报文,所述DHCP准入系统按照所述DNS请求报文的处理步骤S2~S6处理所述HTTP请求报文。
2.如权利要求1所述的快速切换方法,其特征在于,所述S3中修改所述DNS请求报文的目的MAC地址和VLAN ID具体为:将所述DNS请求报文的目的MAC地址修改为所述隔离域网关的MAC地址,将所述DNS请求报文的目的VLAN ID修改为所述隔离域网关所在的VLAN ID。
3.如权利要求1所述的快速切换方法,其特征在于,在所述步骤S4中,在伪造一个ARP响应报文后,还包括:将所述用户终端的MAC地址填充为所述DHCP准入系统的MAC地址。
4.如权利要求1所述的快速切换方法,其特征在于,在所述步骤S6中,所述修改所述DNS响应报文的目的MAC地址和VLAN ID具体为:将所述DNS响应报文的目的MAC地址修改为所述用户终端的MAC地址,将所述DNS响应报文的VLAN ID修改为所述用户终端实际所在的VLANID。
5.如权利要求1~4所述的DHCP准入系统,其特征在于,包括:
第一报文伪造模块,用于接收用户终端发送的第一ARP报文或HTTP请求报文后,通过伪造第二ARP报文,告知所述用户终端所在隔离域网关的MAC地址;
第一报文接收模块,用于接收所述用户终端在收到所述第二ARP报文后发送的DNS请求报文及HTTP请求报文;
第一报文修改及转发模块,用于在收到所述DNS请求报文或HTTP请求报文后,修改所述DNS请求报文或所述HTTP请求报文的目的MAC地址和VLAN ID,并转发修改后的所述DNS请求报文或所述HTTP请求报文至所述隔离域网关;
第二报文伪造模块,用于当服务端响应所述DNS请求报文或所述HTTP请求报文时,所述隔离域网关首先接收到服务端的DNS响应报文,随后所述隔离域网关会发送第三ARP报文,查找所述用户终端的MAC地址;所述第二报文伪造模块接收到所述第三ARP报文后,伪造一个ARP响应报文发给所述隔离域网关,使所述服务端的所述DNS响应报文能够到达所述DHCP准入系统;
第二报文接收模块,用于接收所述隔离域网关转发的所述DNS响应报文;
第二报文修改及转发模块,用于在接收到所述隔离域网关转发的所述DNS响应报文后,修改所述DNS响应报文的目的MAC地址和VLAN ID,随后将所述DNS响应报文转发到所述用户终端。
6.如权利要求5所述的DHCP准入系统,其特征在于,在所述第一报文修改及转发模块中,所述修改DNS请求报文或HTTP请求报文的目的MAC地址和VLAN ID具体为:将所述DNS请求报文或HTTP请求报文的目的MAC地址修改为所述隔离域网关的MAC地址,将所述DNS请求报文或HTTP请求报文的目的VLAN ID修改为所述隔离域网关所在的VLAN ID。
7.如权利要求5所述的DHCP准入系统,其特征在于,在所述第二报文伪造模块中,在伪造一个ARP响应报文后,还包括:将所述用户终端的MAC地址填充为所述DHCP准入系统的MAC地址。
8.如权利要求5所述的DHCP准入系统,其特征在于,在所述第二报文修改及转发模块中,所述修改DNS响应报文的目的MAC地址和VLAN ID具体为:将所述DNS响应报文的目的MAC地址修改为所述用户终端的MAC地址,所述响应报文的VLAN ID修改为用户终端实际所在的VLAN ID。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610453179.5A CN107528930B (zh) | 2016-06-21 | 2016-06-21 | 面向dhcp终端的网络准入状态快速切换方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610453179.5A CN107528930B (zh) | 2016-06-21 | 2016-06-21 | 面向dhcp终端的网络准入状态快速切换方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107528930A CN107528930A (zh) | 2017-12-29 |
| CN107528930B true CN107528930B (zh) | 2020-12-08 |
Family
ID=60735253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610453179.5A Active CN107528930B (zh) | 2016-06-21 | 2016-06-21 | 面向dhcp终端的网络准入状态快速切换方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107528930B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012001270A1 (fr) * | 2010-06-30 | 2012-01-05 | France Telecom | Procede et systeme de gestion de sessions de communication |
| CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
| CN102447709A (zh) * | 2012-01-17 | 2012-05-09 | 神州数码网络(北京)有限公司 | 基于DHCP和802.1x接入权限控制方法及系统 |
| CN103379186A (zh) * | 2012-04-26 | 2013-10-30 | 安美世纪(北京)科技有限公司 | 一种酒店公共网络的即插即用接入方法 |
-
2016
- 2016-06-21 CN CN201610453179.5A patent/CN107528930B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012001270A1 (fr) * | 2010-06-30 | 2012-01-05 | France Telecom | Procede et systeme de gestion de sessions de communication |
| CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
| CN102447709A (zh) * | 2012-01-17 | 2012-05-09 | 神州数码网络(北京)有限公司 | 基于DHCP和802.1x接入权限控制方法及系统 |
| CN103379186A (zh) * | 2012-04-26 | 2013-10-30 | 安美世纪(北京)科技有限公司 | 一种酒店公共网络的即插即用接入方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107528930A (zh) | 2017-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9237027B2 (en) | Destination address control to limit unauthorized communications | |
| US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
| CN107819732B (zh) | 用户终端访问本地网络的方法和装置 | |
| US10469532B2 (en) | Preventing DNS cache poisoning | |
| CN108234522B (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
| US20170034174A1 (en) | Method for providing access to a web server | |
| CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
| CN103812960A (zh) | 用于订户感知服务的应用的网络地址转换 | |
| RU2006143768A (ru) | Ароматическое ограничение сетевого нарушителя | |
| CN109413649B (zh) | 一种接入认证方法及装置 | |
| WO2017215492A1 (zh) | 设备检测方法及装置 | |
| CN107948150B (zh) | 报文转发方法及装置 | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| CN108337257B (zh) | 一种免认证访问方法和网关设备 | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| WO2016192608A3 (zh) | 身份认证方法、身份认证系统和相关设备 | |
| CN103916491A (zh) | 基于nat444架构的动态地址映射方法及装置 | |
| CN102801716B (zh) | 一种dhcp防攻击方法及装置 | |
| EP3016423A1 (en) | Network safety monitoring method and system | |
| WO2014110912A1 (zh) | 访问局域网中隔离区主机的方法和装置 | |
| WO2021002180A1 (ja) | 中継方法、中継システム、及び中継用プログラム | |
| CN107528930B (zh) | 面向dhcp终端的网络准入状态快速切换方法和系统 | |
| JP5764085B2 (ja) | ポート開閉制御システム | |
| CN108696506B (zh) | 在客户端和终端设备之间建立连接的方法、介质和系统 | |
| EP3273666A1 (en) | Method and apparatus for configuring network parameters of local area network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |