CN101453495B - 防止授权地址解析协议信息丢失的方法、系统和设备 - Google Patents
防止授权地址解析协议信息丢失的方法、系统和设备 Download PDFInfo
- Publication number
- CN101453495B CN101453495B CN2008102475495A CN200810247549A CN101453495B CN 101453495 B CN101453495 B CN 101453495B CN 2008102475495 A CN2008102475495 A CN 2008102475495A CN 200810247549 A CN200810247549 A CN 200810247549A CN 101453495 B CN101453495 B CN 101453495B
- Authority
- CN
- China
- Prior art keywords
- dhcp
- address
- access switch
- relay
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000011084 recovery Methods 0.000 claims abstract description 10
- 238000012545 processing Methods 0.000 claims description 19
- 230000004044 response Effects 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 13
- 238000011144 upstream manufacturing Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 42
- 238000010586 diagram Methods 0.000 description 9
- 230000006855 networking Effects 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 3
- 238000005111 flow chemistry technique Methods 0.000 description 2
- 230000001172 regenerating effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种防止授权地址解析协议信息丢失的方法、系统和设备。在该方法中,接入交换机对流经下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的IP地址和MAC地址并保存;当该接入交换机通过其上行端口检测到DHCP中继发生故障重启时,将自身保存的各DHCP客户端的IP地址和MAC地址发送给所述DHCP中继;该DHCP中继根据接入交换机发来的DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表。使用本发明能够在DHCP中继异常重启时,保证授权ARP信息不丢失。
Description
技术领域
本发明涉及网络通信领域中利用授权地址解析协议(ARP:AddressResolution Protocol)信息防止攻击的技术,具体涉及一种防止授权ARP信息丢失的方法、系统、接入交换机和动态主机配置协议(DHCP,Dynamic HostConfiguration Protocol)中继。
背景技术
随着网络规模的扩大和网络复杂度的提高,网络配置越来越复杂,经常出现计算机位置变化(如便携机或无线网络)和计算机数量超过可分配的互联网协议(IP)地址的情况。DHCP就是为满足这些需求而发展起来的。DHCP采用客户端/服务器通信模式,由DHCP服务器为提出地址分配申请的DHCP客户端分配IP地址等信息,以实现IP地址等信息的动态配置。
对于DHCP客户端和DHCP服务器处于不同子网的情况,为了使得位于不同子网的DHCP客户端可以访问同一DHCP服务器,以节省成本和便于管理,还需要借助DHCP中继在DHCP客户端和DHCP服务器之间传递信息。图1为现有技术中DHCP客户端通过DHCP中继向DHCP服务器申请地址的组网图,如图1所示,DHCP服务器可以为多个,从而相互备份。DHCP客户端申请地址的流程如图2所示,具体步骤如下:
步骤201:DHCP客户端以广播形式发送DHCP发现(DISCOVER)报文。
步骤202:DHCP中继收到DHCP DISCOVER报文后,根据DHCP服务器地址,以单播形式向DHCP服务器转发DHCP DISCOVER报文。如果有多个DHCP服务器,则同时转发给这多个DHCP服务器。
步骤203:接收到DHCP DISCOVER报文的DHCP服务器根据自身与地址分配相关的配置,为请求地址分配的DHCP客户端分配一个可用的IP地址,然后向DHCP中继回应DHCP OFFER报文,该报文中携带分配的IP地址。
步骤204:DHCP中继将收到的DHCP OFFER报文转发给DHCP客户端。
步骤205:DHCP客户端收到DHCP OFFER报文后,根据报文中提供的可用IP,选定自身希望使用的IP地址,然后以广播形式向DHCP中继发送DHCP请求(REQUEST)报文,该DHCP REQUEST报文携带选定的IP地址和DHCP客户端的媒体接入控制(MAC)地址。
步骤206:DHCP中继收到DHCP REQUEST报文后,将报文转发给DHCP服务器。
步骤207:DHCP服务器收到DHCP REQUEST报文后,根据DHCPREQUEST报文中携带的IP地址,再次确认该IP地址是否仍然允许分配给DHCP客户端,若是,则向DHCP客户端返回DHCP ACK(确认响应)报文,该DHCP ACK报文中携带分配给DHCP客户端的IP地址以及DHCP客户端使用的MAC地址。
步骤208:DHCP中继将收到的DHCP ACK报文转发给DHCP客户端。
步骤209:DHCP客户端收到ACK报文后,将DHCP服务器分配的IP地址设置到网卡,开始正常通信。
目前DHCP协议已被广泛应用。同时,也出现了一些针对DHCP协议的攻击,例如典型的DHCP耗竭攻击。DHCP耗竭攻击是网络攻击者向DHCP服务器广播大量携带伪造MAC地址的DHCP REQUEST报文,使得DHCP服务器所提供的地址空间在一段时间内很快被耗竭的攻击形式。当合法用户请求DHCP IP地址的时候,由于没有可用IP地址,造成合法用户不能得到IP地址,从而无法访问网络。
为了避免DHCP攻击,目前采用授权ARP(Authorized ARP)表项实现 DHCP客户端的合法性验证。其中,授权ARP表项是ARP表的一部分,在ARP表中,还包括静态ARP表项和动态ARP表项。当表项重复时,静态ARP表项可以覆盖授权ARP表项,授权ARP表项可以覆盖动态ARP表项,反之则不行。ARP表的主要内容为IP地址和MAC地址的对应关系,该对应关系是转发流量的关键信息,而授权ARP表项还是合法性验证的依据。
授权ARP表项的建立操作为:DHCP中继在向DHCP客户端发送DHCPACK报文的同时,在本地ARP表中添加一条包含客户端MAC地址和IP地址的授权ARP表项。根据授权ARP表项保存的IP地址和MAC地址的对应关系,可以对用户进行IP地址和MAC地址的核对,只有IP地址和MAC地址均符合的合法用户才能使用网络资源,从而实现用户合法性检查,防止用户仿冒其他用户的IP地址或MAC地址对网络进行DHCP攻击,增加了网络的安全性。此外,当授权ARP表项被添加在ARP表中后,还可以利用ARP的Ping机制实现授权ARP表项的老化,从而检查用户的非正常下线。
当DHCP中继异常重启时,ARP表中的动态ARP表项和授权ARP表项被清空。由于没有ARP表项,DHCP中继在短时间内会出现所有DHCP客户端业务中断的情况。此后,DHCP中继会动态学习DHCP客户端的ARP信息,将学习到ARP信息作为动态ARP表项写入ARP表,从而恢复DHCP客户端的业务。
虽然可以通过动态学习获得动态ARP表项,从而恢复业务,然而ARP表中的授权ARP表项却不能从动态学习中恢复。这是因为:授权ARP表项是根据DHCP ACK报文中的IP地址和MAC地址生成的,由于DHCP客户端无法感知到DHCP中继异常重启的事件,因此DHCP客户端在DHCP中继异常重启后不会重新申请IP地址,那么DHCP中继无法恢复丢失的授权ARP表项。
可见,在现有技术中,当DHCP中继异常重启时,由于丢失了ARP信息,因此DHCP客户端流量中断。而且,丢失的授权ARP表项无法恢复,从而不能为DHCP客户端的合法性检查提供依据,无法防止DHCP攻击。
发明内容
有鉴于此,本发明提供了一种防止授权ARP信息丢失的方法,能够在DHCP中继异常重启时,保证授权ARP信息不丢失。
该方法中接入交换机通过上行端口耦接于动态主机配置协议DHCP中继,通过下行端口耦接于DHCP客户端,该方法包括:
接入交换机对流经下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的互联网协议IP地址和媒体接入控制MAC地址并保存;
当所述接入交换机通过所述上行端口检测到所述DHCP中继发生故障重启时,将自身保存的各DHCP客户端的IP地址和MAC地址发送给所述DHCP中继;
所述DHCP中继根据接入交换机发来的各DHCP客户端的IP地址和MAC地址,生成授权地址解析协议ARP表项并下发到本地ARP表中。
较佳地,该方法进一步包括:在接入交换机的下行端口上使能DHCP欺骗Snooping功能模块;
所述接入交换机对流经下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的IP地址和MAC地址并保存,包括:
接入交换机下行端口上的DHCP Snooping功能模块监听流经所述下行端口的DHCP请求报文和DHCP响应报文,根据监听到的DHCP请求报文和DHCP响应报文,获取DHCP服务器为DHCP客户端分配的IP地址和该DHCP客户端使用的MAC地址并保存。
较佳地,该方法进一步包括:在接入交换机和DHCP中继上使能链路层发现协议LLDP功能模块;
所述当所述接入交换机通过所述上行端口检测到所述DHCP中继发生故障重启时,将自身保存的各DHCP客户端的IP地址和MAC地址发送给所述DHCP中继,包括:
当所述接入交换机的LLDP功能模块检测到其上行端口状态从关闭DOWN转换为启用UP时,生成LLDP报文,将自身保存的各DHCP客户 端的IP地址和MAC地址携带在生成的LLDP报文中发送给所述DHCP中继。
其中,所述DHCP中继根据接入交换机发来的各DHCP客户端的IP地址和MAC地址,生成授权地址解析协议ARP表项并下发到本地ARP表中,包括:
所述DHCP中继接收所述接入交换机发来的LLDP报文,从所接收的LLDP报文中获取各DHCP客户端的IP地址和MAC地址,根据获取的各DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
本发明还提供了一种防止授权ARP信息丢失的系统,能够在DHCP中继异常重启时,保证授权ARP信息不丢失。
该系统包括DHCP客户端、DHCP服务器、DHCP中继以及DHCP客户端与DHCP中继之间的接入交换机;所述接入交换机通过上行端口耦接于所述DHCP中继,通过下行端口耦接于所述DHCP客户端;
所述接入交换机,用于对流经所述下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的IP地址和MAC地址并保存;当所述接入交换机通过所述上行端口检测到所述DHCP中继发生故障重启时,将自身保存的各DHCP客户端的IP地址和MAC地址发送给所述DHCP中继;
所述DHCP中继,用于根据接入交换机发来的DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
其中,所述接入交换机包括LLDP功能模块和设置在所述下行端口上的DHCP Snooping功能模块;
所述DHCP Snooping功能模块,用于监听流经所述下行端口的DHCP请求报文和DHCP响应报文,根据监听到的DHCP请求报文和DHCP响应报文,获取DHCP服务器为DHCP客户端分配的IP地址和该DHCP客户端使用的MAC地址并保存;
所述LLDP功能模块,用于在检测到所述上行端口的状态从DOWN转换为UP时,生成LLDP报文,将所述DHCP Snooping功能模块保存的各 DHCP客户端的IP地址和MAC地址携带在生成的LLDP报文中发送给所述DHCP中继。
其中,所述DHCP中继包括LLDP功能模块和授权ARP表项处理模块;
所述LLDP功能模块,用于接收接入交换机发来的LLDP报文,从所接收的LLDP报文中获取各DHCP客户端的IP地址和MAC地址;
所述授权ARP表项处理模块,用于根据所述LLDP功能模块获取的各DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
本发明还提供了一种防止授权ARP信息丢失的接入交换机,能够在DHCP中继异常重启时,保证授权ARP信息不丢失。
该接入交换机通过上行端口耦接于动态主机配置协议DHCP中继,通过下行端口耦接于DHCP客户端;该接入交换机包括DHCP客户端信息收集单元和故障恢复处理单元;
所述DHCP客户端信息收集单元,用于对流经所述下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的IP地址和MAC地址并保存;
所述故障恢复处理单元,用于对所在接入交换机的上行端口进行检测,当通过所述上行端口检测到所述DHCP中继发生故障重启时,将所述DHCP客户端信息收集单元保存的各DHCP客户端的IP地址和MAC地址发送给所述DHCP中继,以便所述DHCP中继接收的DHCP客户端的IP地址和MAC地址生成授权ARP表项并下发到ARP表中。
其中,所述DHCP客户端信息收集单元为设置在接入交换机下行端口上的DHCP Snooping功能模块,用于监听流经所述下行端口的DHCP请求报文和DHCP响应报文,根据监听到的DHCP请求报文和DHCP响应报文,获取DHCP服务器为DHCP客户端分配的IP地址和该DHCP客户端使用的MAC地址并保存;
所述故障恢复处理单元为设置在接入交换机上的LLDP功能模块,用于在检测到所述上行端口的状态从DOWN转换为UP时,生成LLDp报文,将所述DHCP Snooping功能模块保存的各DHCP客户端的IP地址和MAC 地址携带在生成的LLDP报文中发送给所述DHCP中继。
本发明还提供了一种防止授权ARP信息丢失的DHCP中继,能够在DHCP中继异常重启时,保证授权ARP信息不丢失。
该DHCP中继包括LLDP功能模块和授权ARP表项处理模块;
所述LLDP功能模块,当耦接于DHCP中继和DHCP客户端之间的接入交换机通过与DHCP中继耦接的上行端口检测到所述DHCP中继发生故障重启时,所述接入交换机发送LLDP报文给DHCP中继,DHCP中继的所述LLDP功能模块接收该LLDP报文,并从所接收的LLDP报文中获取DHCP客户端的IP地址和MAC地址;
所述授权ARP表项处理模块,用于根据所述LLDP功能模块获取的DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
根据以上技术方案可见,在DHCP中继故障前,由接入交换机通过监听报文保存DHCP客户端的IP地址和MAC地址;在DHCP中继异常重启后,立刻将保存的IP地址和MAC地址提供给DHCP中继,由DHCP中继重新生成授权ARP表项。这样,DHCP中继在异常重启后,可以立刻恢复授权ARP表项,进而根据恢复的授权ARP表项进行流量处理,避免流量中断。
而且,生成的表项为授权ARP表项,由于授权ARP表项可以覆盖动态ARP表项,但动态ARP表项不能覆盖授权ARP表项,因此即使DHCP中继在重启后学习到的动态ARP表项也不会覆盖授权ARP表项,保证恢复的授权ARP表项可以保存下来,用于DHCP客户端的合法性检查,从而防止DHCP攻击。
附图说明
图1为现有技术中DHCP客户端通过DHCP中继向DHCP服务器申请地址的组网图。
图2为图1中DHCP客户端通过DHCP中继向DHCP服务器申请地址的流程图。
图3为本发明实施例中一种DHCP组网结构示意图。
图4为图3中的DHCP客户端1申请IP地址的流程示意图。
图5为图3中的DHCP中继异常重启后的处理流程。
图6为本发明实施例中防止授权ARP信息丢失的系统示意图。
图7为图6中接入交换机的结构示意图。
图8为图6中DHCP中继的结构示意图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
本发明为一种防止授权ARP信息丢失的方案,其基本思想为:DHCP客户端与DHCP中继之间的接入交换机,对其连接DHCP客户端的端口进行报文监听,从监听到的DHCP报文中获取该DHCP客户端使用的IP地址和MAC地址并对应保存;当所述接入交换机检测到其连接DHCP中继的端口从故障中恢复时,实时地将自身存储的各DHCP客户端的IP地址和MAC地址发送给DHCP中继。DHCP中继根据接入交换机发来的各DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到ARP表中。
可见,采用本发明的技术方案,在DHCP中继故障前,由接入交换机通过监听报文保存DHCP客户端的IP地址和MAC地址;在DHCP中继异常重启后,立刻将保存的IP地址和MAC地址提供给DHCP中继,由DHCP中继重新生成授权ARP表项。这样,DHCP中继在异常重启后,可以立刻恢复授权ARP表项,根据恢复的授权ARP表项进行流量处理,避免流量中断。
而且,生成的表项为授权ARP表项,由于授权ARP表项可以覆盖动态ARP表项,但动态ARP表项不能覆盖授权ARP表项,即使DHCP中继在重启后学习到的动态ARP表项也不会覆盖授权ARP表项,保证恢复的授权ARP表项不会再次被丢失,为DHCP客户端的合法性检查提供依据,从而防止DHCP攻击。
在本发明的技术方案中,接入交换机对连接DHCP客户端的端口进行报文监听,从监听到的DHCP报文中获取DHCP客户端使用的IP地址和MAC地址并保存的操作可以借助DHCP协议中的DHCP欺骗(Snooping)功能实现。
具体来说:将接入交换机耦接于DHCP客户端的端口称为下行端口,在接入交换机的下行端口上使能DHCP Snooping功能模块,DHCP Snooping功能模块通过监听来自DHCP客户端的DHCP REQUEST报文和待发向DHCP客户端的DHCP ACK广播报文,记录DHCP客户端的MAC地址以及DHCP客户端从服务器获取的IP地址。管理员可以方便的利用displaydhcp-snooping命令查看DHCP客户端的MAC地址和获得IP地址信息。
监听报文以及记录IP地址和MAC地址仅是DHCP Snooping功能模块的部分功能。采用DHCP Snooping功能模块的好处是可以充分利用现有标准操作,有利于本发明方案的推广。当然,在实际中,也可以针对本发明防止授权ARP信息丢失的技术方案专门设计具有DHCP报文监听以及记录IP地址和MAC地址的功能模块,或者采用其它具有相应功能的功能模块实现。
在本发明的技术方案中,接入交换机将自身存储的对应关系发送给DHCP中继的操作可以借助现有的链路层发现协议(LLDP:Link LayerDiscovery Protocol)实现。LLDP协议规定,使能LLDP协议的端口在状态从DOWN到UP时,向该端口连接的LLDP邻居发送LLDP报文,以将自身相关信息告知邻居。
具体来说,本发明实施例在接入交换机和DHCP中继上使能LLDP功能模块,那么接入交换机和DHCP中继互为邻居。将接入交换机耦接于DHCP中继的端口称为上行端口,当接入交换机的LLDP功能模块检测到上行端口的状态从DOWN转换为UP时,将所在接入交换机保存的各DHCP客户端的IP地址和MAC地址携带在LLDP报文的扩展字段中发送给DHCP中继。
采用LLDP功能模块的好处是可以充分利用现有标准操作,有利于本发明方案的推广。当然,在实际中,还可以将IP地址和MAC地址携带在其它 协议报文的扩展字段中发送给DHCP中继。
下面针对图3示出的DHCP组网结构,对利用DHCP Snooping功能和LLDP协议实现防止授权ARP信息丢失的方法进行详细描述。
首先,需要对DHCP中继和接入交换机进行配置。参见图3,配置方案具体包括:
在网关与接入交换机连接的端口上使能DHCP中继功能和授权ARP功能,配置DHCP服务器的地址,从而使得网关在DHCP组网中承担DHCP中继的角色,同时DHCP中继能够采用授权ARP功能实现DHCP客户端的合法性验证;
在接入交换机的下行端口Port2上使能DHCP Snooping功能模块;
在接入交换机和DHCP中继上开启LLDP功能,实际上缺省就是打开的。
图4示出了图3中的DHCP客户端1申请IP地址的流程。如图4所示,该方法包括以下步骤:
步骤401:DHCP客户端1通过接入交换机1向DHCP中继发送DHCPREQUEST报文。
步骤402:DHCP REQUEST报文进入接入交换机1时,Port2的DHCPSnooping功能模块监听到DHCP REQUEST报文,记录该请求1和DHCPREQUEST报文的入接口。
步骤403:DHCP中继向DHCP服务器转发DHCP REQUEST报文,接收DHCP服务器回应的DHCP ACK报文,该DHCP ACK报文中包含分配给DHCP客户端1的IP地址以及DHCP客户端1使用的MAC地址。
步骤404:DHCP中继从接收的DHCP ACK报文中获取DHCP客户端1的IP地址和MAC地址,根据获取的IP地址和MAC地址生成授权ARP表项下发到ARP表中。
步骤405:DHCP中继通过接入交换机1向DHCP客户端1转发DHCPACK报文。
步骤406:DHCP ACK报文进入接入交换机1后,Port2的DHCP Snooping 功能模块根据接收的DHCP ACK报文查找对应的请求,此时查找到请求1,根据请求1和接收的DHCP ACK报文,建立DHCP客户端1的IP地址、MAC地址和报文入接口的对应关系,并保存。虽然本步骤中记录的是IP地址、MAC地址和入接口,但是在DHCP中继异常重启后只需将IP地址和MAC地址携带在LLDP报文中发送给DHCP中继即可。
步骤407:DHCP客户端1接到DHCP ACK报文后,从报文中获取分配的IP地址,然后采用该IP地址正常通信。
至此,本流程结束。
从图4示出的流程可见,接入交换机利用DHCP Snooping功能获得与其连接的所有DHCP客户端的IP地址和MAC地址的对应关系,以备DHCP中继异常重启后发送给DHCP中继。
图5示出了图3中的DHCP中继异常重启后的处理流程。如图5所示,该流程包括以下步骤:
步骤501:接入交换机的LLDP功能模块检测到上行端口Port1先DOWN后UP,此时生成LLDP报文,将所在接入交换机保存的各DHCP客户端的IP地址和MAC地址携带在LLDP报文的扩展字段中发送给DHCP中继。
在图3示出的组网环境中,DHCP中继故障重启后,接入交换机1和2都会检测到上行端口Port1先DOWN后UP,均发送携带IP地址和MAC地址的LLDP报文。
步骤502:DHCP中继从接收到的LLDP报文中获取DHCP客户端的IP地址和MAC地址,根据获取的IP地址和MAC地址生成授权ARP表项下发到ARP表中。
在图3示出的组网环境中,DHCP中继根据接收自接入交换机1和2的LLDP报文恢复了授权ARP信息,可以利用这些授权ARP信息处理主机业务和验证DHCP客户端的合法性。
至此,本流程结束。
从图5示出的流程可见,当DHCP中继异常重启时,DHCP中的ARP 表项清空。这时,DHCP客户端无法感知DHCP中继异常重启事件,不会发送DHCP REQUEST报文,所以DHCP中继无法更新ARP表中的授权ARP表项。但是接入交换机可以通过端口的DOWN与UP感知到DHCP中继的变化,从而将IP地址和MAC地址发送给DHCP中继,使其恢复授权ARP表项。
当接入交换机异常重启时,接入交换机保存的IP地址和MAC地址清空。此时,与异常接入交换机相连的DHCP客户端网卡先DOWN再UP,IP地址释放。此时,DHCP客户端会重新发送DHCP REQUEST报文以获取新的IP地址。在新地址获取过程中,重启的接入交换机可以重新累积各客户端的IP地址和MAC地址信息。因此,接入交换机的异常重启不会导致授权ARP丢失。
为了实现本发明的防止授权ARP信息丢失的方法,本发明还提供了一种防止授权ARP信息丢失的系统。图6为该系统的结构示意图,如图6所示,该系统包括DHCP客户端61、DHCP服务器64、DHCP中继63以及DHCP客户端61与DHCP中继63之间的接入交换机62。接入交换机62通过上行端口耦接于DHCP中继63,通过下行端口耦接于DHCP客户端61。
其中,DHCP客户端61和DHCP服务器64的功能与现有设备相同。接入交换机62和DHCP中继63不同于现有设备。
接入交换机62,用于对流经其下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的IP地址和MAC地址并保存;当检测到上行端口从故障中恢复时,将自身保存的各DHCP客户端的IP地址和MAC地址发送给DHCP中继63。
DHCP中继63,用于根据接入交换机62发来的DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
下面对接入交换机62和DHCP中继63进行详细描述。
图7为图6中接入交换机62的结构示意图。如图7所示,接入交换机62包括DHCP客户端信息收集单元621和故障恢复处理单元622;其中,
DHCP客户端信息收集单元621,用于对流经所在接入交换机下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的IP地址和MAC地址并保存。
故障恢复处理单元622,用于对所在接入交换机的上行端口进行状态检测,当检测到所在接入交换机的上行端口从故障中恢复时,将DHCP客户端信息收集单元621保存的各DHCP客户端的IP地址和MAC地址发送给通过该上行端口相连的DHCP中继63,以便DHCP中继63根据这些DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到DHCP中继63中的ARP表中。
较佳地,DHCP客户端信息收集单元621采用设置在接入交换机62下行接口上的DHCP Snooping功能模块实现,故障恢复处理单元622采用设置在接入交换机62的LLDP功能模块实现。
具体来说,DHCP Snooping功能模块监听流经下行端口的DHCP请求报文和DHCP响应报文,根据监听到的DHCP请求报文和DHCP响应报文,获取DHCP服务器为DHCP客户端分配的IP地址和该DHCP客户端使用的MAC地址并保存。
LLDP功能模块在检测到所在接入交换机的上行端口状态从DOWN转换为UP时,生成LLDP报文,将DHCP Snooping功能模块保存的各DHCP客户端的IP地址和MAC地址携带在生成的LLDP报文中发送给DHCP中继63。
图8为图6中DHCP中继的结构示意图。如图8所示,DHCP中继包括LLDP功能模块631和授权ARP表项处理模块632。其中,
LLDP功能模块631,用于接收接入交换机62发来的LLDP报文,从所接收的LLDP报文中获取DHCP客户端的IP地址和MAC地址。
授权ARP表项处理模块632,用于根据LLDP功能模块631获取的DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的 保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种防止授权地址解析协议信息丢失的方法,该方法中接入交换机通过上行端口耦接于动态主机配置协议DHCP中继,通过下行端口耦接于DHCP客户端,其特征在于,该方法包括:
接入交换机对流经下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的互联网协议IP地址和媒体接入控制MAC地址并保存;
当所述接入交换机通过所述上行端口检测到所述DHCP中继发生故障重启时,将自身保存的各DHCP客户端的IP地址和MAC地址发送给所述DHCP中继;
所述DHCP中继根据接入交换机发来的各DHCP客户端的IP地址和MAC地址,生成授权地址解析协议ARP表项并下发到本地ARP表中。
2.如权利要求1所述的方法,其特征在于,该方法进一步包括:在接入交换机的下行端口上使能DHCP欺骗Snooping功能模块;
所述接入交换机对流经下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的IP地址和MAC地址并保存,包括:
接入交换机下行端口上的DHCP Snooping功能模块监听流经所述下行端口的DHCP请求报文和DHCP响应报文,根据监听到的DHCP请求报文和DHCP响应报文,获取DHCP服务器为DHCP客户端分配的IP地址和该DHCP客户端使用的MAC地址并保存。
3.如权利要求1或2所述的方法,其特征在于,该方法进一步包括:在接入交换机和DHCP中继上使能链路层发现协议LLDP功能模块;
所述当所述接入交换机通过所述上行端口检测到所述DHCP中继发生故障重启时,将自身保存的各DHCP客户端的IP地址和MAC地址发送给所述DHCP中继,包括:
当所述接入交换机的LLDP功能模块检测到其上行端口状态从关闭DOWN转换为启用UP时,生成LLDP报文,将自身保存的各DHCP客户端的IP地址和MAC地址携带在生成的LLDP报文中发送给所述DHCP中继。
4.如权利要求3所述的方法,其特征在于,所述DHCP中继根据接入交换机发来的各DHCP客户端的IP地址和MAC地址,生成授权地址解析协议ARP表项并下发到本地ARP表中,包括:
所述DHCP中继接收所述接入交换机发来的LLDP报文,从所接收的LLDP报文中获取各DHCP客户端的IP地址和MAC地址,根据获取的各DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
5.一种防止授权地址解析协议信息丢失的系统,该系统包括DHCP客户端、DHCP服务器、DHCP中继以及DHCP客户端与DHCP中继之间的接入交换机;所述接入交换机通过上行端口耦接于所述DHCP中继,通过下行端口耦接于所述DHCP客户端,其特征在于,
所述接入交换机,用于对流经所述下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的IP地址和MAC地址并保存;当所述接入交换机通过所述上行端口检测到所述DHCP中继发生故障重启时,将自身保存的各DHCP客户端的IP地址和MAC地址发送给所述DHCP中继;
所述DHCP中继,用于根据接入交换机发来的DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
6.如权利要求5所述的系统,其特征在于,所述接入交换机包括LLDP功能模块和设置在所述下行端口上的DHCP Snooping功能模块;
所述DHCP Snooping功能模块,用于监听流经所述下行端口的DHCP请求报文和DHCP响应报文,根据监听到的DHCP请求报文和DHCP响应报文,获取DHCP服务器为DHCP客户端分配的IP地址和该DHCP客户端使用的MAC地址并保存;
所述LLDP功能模块,用于在检测到所述上行端口的状态从DOWN转换为UP时,生成LLDP报文,将所述DHCP Snooping功能模块保存的各DHCP客户端的IP地址和MAC地址携带在生成的LLDP报文中发送给所述DHCp中继。
7.如权利要求5所述的系统,其特征在于,所述DHCP中继包括LLDP功能模块和授权ARP表项处理模块;
所述LLDP功能模块,用于接收接入交换机发来的LLDP报文,从所接收的LLDP报文中获取各DHCP客户端的IP地址和MAC地址;
所述授权ARP表项处理模块,用于根据所述LLDP功能模块获取的各DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
8.一种防止授权地址解析协议信息丢失的接入交换机,该接入交换机通过上行端口耦接于动态主机配置协议DHCP中继,通过下行端口耦接于DHCP客户端,其特征在于,该接入交换机包括DHCP客户端信息收集单元和故障恢复处理单元;
所述DHCP客户端信息收集单元,用于对流经所述下行端口的DHCP报文进行监听,从监听到的DHCP报文中获取DHCP客户端的IP地址和MAC地址并保存;
所述故障恢复处理单元,用于对所在接入交换机的上行端口进行检测,当通过所述上行端口检测到所述DHCP中继发生故障重启时,将所述DHCP客户端信息收集单元保存的各DHCP客户端的IP地址和MAC地址发送给所述DHCP中继,以便所述DHCP中继接收的DHCP客户端的IP地址和MAC地址生成授权ARP表项并下发到ARP表中。
9.如权利要求8所述接入交换机,其特征在于,所述DHCP客户端信息收集单元为设置在接入交换机下行端口上的DHCP Snooping功能模块,用于监听流经所述下行端口的DHCP请求报文和DHCP响应报文,根据监听到的DHCP请求报文和DHCP响应报文,获取DHCP服务器为DHCP客户端分配的IP地址和该DHCP客户端使用的MAC地址并保存;
所述故障恢复处理单元为设置在接入交换机上的LLDP功能模块,用于在检测到所述上行端口的状态从DOWN转换为UP时,生成LLDP报文,将所述DHCP Snooping功能模块保存的各DHCP客户端的IP地址和MAC地址携带在生成的LLDP报文中发送给所述DHCP中继。
10.一种防止授权地址解析协议信息丢失的DHCP中继,其特征在于,该DHCP中继包括LLDP功能模块和授权ARP表项处理模块;
所述LLDP功能模块,当耦接于DHCP中继和DHCP客户端之间的接入交换机通过与DHCP中继耦接的上行端口检测到所述DHCP中继发生故障重启时,所述接入交换机发送LLDP报文给DHCP中继,DHCP中继的所述LLDP功能模块接收该LLDP报文,并从所接收的LLDP报文中获取DHCP客户端的IP地址和MAC地址;
所述授权ARP表项处理模块,用于根据所述LLDP功能模块获取的DHCP客户端的IP地址和MAC地址,生成授权ARP表项并下发到本地ARP表中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102475495A CN101453495B (zh) | 2008-12-30 | 2008-12-30 | 防止授权地址解析协议信息丢失的方法、系统和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102475495A CN101453495B (zh) | 2008-12-30 | 2008-12-30 | 防止授权地址解析协议信息丢失的方法、系统和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101453495A CN101453495A (zh) | 2009-06-10 |
| CN101453495B true CN101453495B (zh) | 2011-06-15 |
Family
ID=40735514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102475495A Expired - Fee Related CN101453495B (zh) | 2008-12-30 | 2008-12-30 | 防止授权地址解析协议信息丢失的方法、系统和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101453495B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111313A (zh) * | 2010-12-23 | 2011-06-29 | 中兴通讯股份有限公司 | 接入用户表的自动恢复方法和装置 |
| CN102158487A (zh) * | 2011-04-01 | 2011-08-17 | 福建星网锐捷网络有限公司 | 网络接入控制方法、系统及装置 |
| WO2014029110A1 (en) * | 2012-08-24 | 2014-02-27 | Thomson Licensing | Method and apparatus for configuring dhcp client |
| CN103501252B (zh) * | 2013-10-14 | 2017-01-04 | 华为技术有限公司 | 云终端认证的方法及装置 |
| CN103957288A (zh) * | 2014-04-28 | 2014-07-30 | 福建星网锐捷网络有限公司 | 一种动态分配ip地址的方法、装置及设备 |
| CN105471615A (zh) * | 2014-09-12 | 2016-04-06 | 中兴通讯股份有限公司 | 一种动态主机配置协议dhcp信息异常的处理方法及装置 |
| CN104219338B (zh) * | 2014-09-15 | 2017-12-15 | 新华三技术有限公司 | 授权地址解析协议安全表项的生成方法及装置 |
| CN106559506A (zh) * | 2015-09-28 | 2017-04-05 | 中兴通讯股份有限公司 | Arp条目生成方法和装置 |
| CN105407105A (zh) * | 2015-12-24 | 2016-03-16 | Tcl集团股份有限公司 | 一种在samba服务上进行设备鉴权的方法及系统 |
| CN106100859A (zh) * | 2016-05-31 | 2016-11-09 | 深圳市双赢伟业科技股份有限公司 | 交换机待机的控制方法及装置 |
| CN106488458B (zh) * | 2016-12-21 | 2020-04-24 | 锐捷网络股份有限公司 | 检测网关arp欺骗的方法及装置 |
| CN106603348B (zh) * | 2017-02-14 | 2019-10-11 | 上海斐讯数据通信技术有限公司 | 一种模拟DHCP Offer泛洪的方法及系统 |
| CN106936824B (zh) * | 2017-03-09 | 2019-12-24 | 迈普通信技术股份有限公司 | Lldp邻居信息处理方法及lldp邻居信息处理设备 |
| CN109905285B (zh) * | 2017-12-11 | 2021-08-13 | 北京华为数字技术有限公司 | 一种网络管理的方法与网络设备 |
| CN109214189B (zh) * | 2018-08-22 | 2022-05-24 | 深圳市腾讯网络信息技术有限公司 | 识别程序漏洞的方法、装置、存储介质和电子设备 |
| CN111225080B (zh) * | 2020-01-06 | 2022-11-08 | 博为科技有限公司 | 一种网关下挂设备信息的获取方法 |
| CN114040382B (zh) * | 2021-11-09 | 2024-08-20 | 锐捷网络股份有限公司 | 报文传输处理方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006053605A1 (de) * | 2004-11-11 | 2006-05-26 | Siemens Ag | Verfahren zur persistenten speicherung von dhcp teilnehmerdaten |
| CN1835515A (zh) * | 2006-04-12 | 2006-09-20 | 杭州华为三康技术有限公司 | 一种在动态主机地址配置过程中进行中继的方法和装置 |
| CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
| CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
-
2008
- 2008-12-30 CN CN2008102475495A patent/CN101453495B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006053605A1 (de) * | 2004-11-11 | 2006-05-26 | Siemens Ag | Verfahren zur persistenten speicherung von dhcp teilnehmerdaten |
| CN1835515A (zh) * | 2006-04-12 | 2006-09-20 | 杭州华为三康技术有限公司 | 一种在动态主机地址配置过程中进行中继的方法和装置 |
| CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
| CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101453495A (zh) | 2009-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101453495B (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
| JP4727537B2 (ja) | リレーエージェント装置及び代行アドレス貸与装置 | |
| US8285875B2 (en) | Synchronizing resource bindings within computer network | |
| US9379968B2 (en) | Redundancy support for network address translation (NAT) | |
| CN107465556B (zh) | 一种主备服务器的切换方法、装置及系统 | |
| EP2843910B1 (en) | Address allocation method, device, and system | |
| US9219641B2 (en) | Performing failover in a redundancy group | |
| CN101764734B (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
| KR100992968B1 (ko) | 네트워크 스위치 및 그 스위치의 주소충돌방지방법 | |
| CN101510902B (zh) | 防止无线客户端在上网过程中掉线的方法、系统和设备 | |
| US20140344444A1 (en) | Recovery of Dynamic Host Configuration Protocol IP Addresses | |
| CN103905579B (zh) | 平台与终端间的通信方法、通信系统、平台及相关设备 | |
| CN109379291B (zh) | 一种组网中服务请求的处理方法及装置 | |
| KR100807933B1 (ko) | 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체 | |
| CN101431428B (zh) | 安全监控服务恢复方法及系统 | |
| WO2008141584A1 (en) | Message processing method, system, and equipment | |
| WO2008072220A2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network | |
| JP2010103695A (ja) | クラスタシステム、クラスタサーバ及びクラスタ制御方法 | |
| CN103249075A (zh) | 接入点故障的检测恢复方法及装置 | |
| CN101179515B (zh) | 一种抑制黑洞路由的方法和装置 | |
| CN101197811B (zh) | 提高代理方式下动态主机配置协议中服务器可靠性的方法 | |
| CN101325587A (zh) | 一种dhcp会话监测方法 | |
| CN101778107B (zh) | 状态同步的处理方法及装置 | |
| CN101729314A (zh) | 动态表项的回收方法、装置及动态主机分配协议侦听设备 | |
| CN107682226B (zh) | Nat板的监控方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110615 Termination date: 20191230 |