CN102387225A - 数据流发送方法及装置 - Google Patents
数据流发送方法及装置 Download PDFInfo
- Publication number
- CN102387225A CN102387225A CN2011103590596A CN201110359059A CN102387225A CN 102387225 A CN102387225 A CN 102387225A CN 2011103590596 A CN2011103590596 A CN 2011103590596A CN 201110359059 A CN201110359059 A CN 201110359059A CN 102387225 A CN102387225 A CN 102387225A
- Authority
- CN
- China
- Prior art keywords
- user
- dhcp
- message
- dynamic host
- host configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种数据流发送方法及装置,该方法包括:PE设备接收到来自用户的数据流;确定用户的用户信息与预先设定或记录的用户信息表相匹配;向DHCP服务器或远端网络发送数据流。本发明解决了相关技术中,在VPLS网络中,当DHCP服务器和客户端在地域隔离的不同局域网时,用户可以通过静态指定的方式来设置IP地址,从而导致VPLS网络中IP地址冲突的问题,通过对用户信息与用户信息表进行匹配,PE设备可以过滤非法的通过静态指定的方式来设置IP地址的用户的数据流,从而避免VPLS网络中IP地址冲突。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种数据流发送方法及装置。
背景技术
虚拟专用局域网服务(Virtual Private LAN Service,简称为VPLS)是在公用网络中提供的一种点到多点的二层虚拟专用网(L2 Virtual Private Network,简称为L2VPN)业务。VPLS使地域上隔离的用户站点能通过城域网(Metropolitan Area Network,简称为MAN)或广域网(Wide Area Network,简称为WAN)相连,并且使各个站点间的连接效果像在一个局域网(Local Area Network,简称为LAN)中一样。VPLS也称透明局域网服务(Transparent LANService,简称为TLS)或虚拟专有交换网络服务(Virtual Private Switched Network Service)。
VPLS提供二层虚拟专用网(Virtual Private Network,简称为VPN)服务。在VPLS中,用户是由多点网络连接起来,不同于传统VPN提供的点到点(Point to Point,简称为P2P)的连接服务。VPLS实际上就是在服务提供商网络上的边缘设备(Provider Edge,简称为PE)上创建一系列的虚拟交换机租借给用户,虚拟交换机的组网和传统交换机完全相同,这样,用户就可以通过MAN或WAN来实现自己的LAN。
动态主机配置协议(Dynamic Host Configure Protocol,简称为DHCP)是一种简化主机互联网协议(Internet Protocol,简称为IP)地址配置管理的传输控制协议/互联网协议(Transmission Control Protocol/Internet Protocol,简称为TCP/IP)标准。该标准为DHCP服务器的使用提供了一种有效的方法,即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。
VPLS网络中,运营商的网络相当于二层网桥,当DHCP服务器和客户端在地域隔离的不同局域网中时,用户可以通过静态指定的方式来设置IP地址,从而导致VPLS网络中IP地址冲突。
发明内容
针对相关技术中,在VPLS网络中,当DHCP服务器和客户端在地域隔离的不同局域网时,用户可以通过静态指定的方式来设置IP地址,从而导致VPLS网络中IP地址冲突的问题而提出本发明,为此,本发明提供了一种数据流发送方法及装置,以至少解决上述问题。
根据本发明的一个方面,提供了一种数据流发送方法,包括:PE设备接收到来自用户的数据流;确定用户的用户信息与预先设定或记录的用户信息表相匹配;向DHCP服务器或远端网络发送数据流。
优选地,在确定用户的用户信息与预先设定或记录的用户信息表相匹配之前,上述方法还包括:根据来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表,其中,用户信息包括以下至少之一:用户的媒体接入控制(MediaAccess Control,简称为MAC)地址、用户的互联网协议IP地址、用户的虚拟局域网标识(Virtual Local Area Network Identity,简称为VLAN ID)、用户的虚拟专用网标识(VirtualPrivate Network Identity,简称为VPN ID)、接口、租期。
优选地,在根据来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表之前,上述方法还包括:接收到来自用户的DHCP请求报文;判断用户的MAC地址与DHCP请求报文中携带的用户的MAC地址是否匹配;如果判断结果为是,则向DHCP服务器发送DHCP请求报文,否则丢弃DHCP请求报文。
优选地,在根据来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表之前,上述方法还包括:接收到来自DHCP服务器的DHCP应答报文;确定DHCP应答报文不是通过预先设定的信任接口接收到的;丢弃DHCP应答报文。
优选地,根据来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表包括:根据来自用户的DHCP请求报文生成请求临时表,其中,请求临时表包括以下至少之一:用户的MAC地址、用户所在的VPLS、用户的上线接口、用户的VLAN ID、用户的VPN ID;根据来自DHCP服务器的DHCP应答报文,获取用户的IP地址;将用户的IP地址填充到请求临时表中,生成包含用户信息的用户信息表。
优选地,在PE设备中的第一线卡接收到来自用户的DHCP请求报文并且第二线卡接收到来自DHCP服务器的DHCP应答报文的情况下,上述方法还包括:第一线卡在接收到来自用户的DHCP请求报文时,生成请求临时表,并将请求临时表同步到PE设备的各个线卡;第二线卡在接收到来自DHCP服务器的DHCP应答报文时,查找是否存在请求临时表;如果查找结果为存在请求临时表,则第二线卡生成用户信息表,否则第二线卡缓存DHCP应答报文。
优选地,在缓存DHCP应答报文之后,还包括:第二线卡在预定时间内没有接收到请求临时表;第二线卡丢弃DHCP应答报文。
根据本发明的另一方面,提供了一种数据流发送装置,包括:第一接收模块,用于接收到来自用户的数据流;确定模块,用于确定用户的用户信息与预先设定或记录的用户信息表相匹配;发送模块,用于向DHCP服务器或远端网络发送数据流。
优选地,上述装置还包括:生成模块,用于根据来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表,其中,用户信息包括以下至少之一:用户的MAC地址、用户的IP地址、用户的VLAN ID、用户的VPN ID、接口、租期。
优选地,上述装置还包括:第二接收模块,用于接收到来自用户的DHCP请求报文;判断模块,用于判断用户的MAC地址与DHCP请求报文中携带的用户的MAC地址是否匹配;执行模块,用于在判断结果为是的情况下,向DHCP服务器发送DHCP请求报文,否则丢弃DHCP请求报文。
本发明通过对用户信息与用户信息表进行匹配,PE设备可以过滤非法的通过静态指定的方式来设置IP地址的用户的数据流,从而避免VPLS网络中IP地址冲突。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的数据流发送方法的流程图;
图2是根据本发明实施例的VPLS网络中的PE设备组网示意图;
图3是根据本发明实施例的VPLS网络中PE设备生成用户信息表的流程图;
图4是根据本发明实施例的VPLS网络中PE设备控制用户流量的流程图;
图5是根据本发明实施例的数据流发送装置的结构框图;
图6是根据本发明优选实施例一的数据流发送装置的结构框图;
图7是根据本发明优选实施例二的数据流发送装置的结构框图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
本发明提供了一种数据流发送方法。图1是根据本发明实施例的数据流发送方法的流程图,如图1所示,包括如下的步骤S102至步骤S106。
步骤S102,PE设备接收到来自用户的数据流。
步骤S104,确定用户的用户信息与预先设定或记录的用户信息表相匹配。
步骤S106,向DHCP服务器或远端网络发送数据流。
相关技术中,在VPLS网络中,当DHCP服务器和客户端在地域隔离的不同局域网时,用户可以通过静态指定的方式来设置IP地址,从而导致VPLS网络中IP地址冲突。本发明实施例中,通过对用户信息与用户信息表进行匹配,PE设备可以过滤非法的通过静态指定的方式来设置IP地址的用户的数据流,从而避免VPLS网络中IP地址冲突。
在步骤S104之前,上述方法还包括:根据来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表,其中,用户信息包括以下至少之一:用户的MAC地址、用户的IP地址、用户的VLAN ID、用户的VPN ID、接口、租期。
另外,在VPLS网络中,当DHCP服务器和客户端在地域隔离的不同局域网时,还存在以下两种安全问题,下面分别加以介绍,并提供解决方法。
(1)DHCP服务器的拒绝服务攻击
通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是ClientMAC address)字段来判断客户端的MAC地址,正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC地址的方式发送DHCP请求,但这种攻击可以使用交换机的端口安全特性来防止。但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的拒绝服务(Denial of Service,简称为DoS)攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。此外,即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。
本发明中,采取如下方法解决上述问题:
基于上述数据流发送方法,在根据来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表之前,采用如下步骤:接收到来自用户的DHCP请求报文;判断用户的MAC地址与DHCP请求报文中携带的用户的MAC地址是否匹配;如果判断结果为是,则向DHCP服务器发送DHCP请求报文,否则丢弃DHCP请求报文。本优选实施例中,PE设备接收到DHCP请求报文时,查看PE设备的MAC检查功能是否开启,开启则需要检查以太报文头中的MAC地址和DHCP请求报文中用户的MAC地址是否匹配,若不匹配直接丢弃该DHCP请求报文,用户为非法用户,这样可以防止非法的DoS攻击,保证VPLS网络的安全。
(2)DHCP服务器冒充
由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,这样就会造成IP地址冲突,影响IP地址的正常分配。那就会对网络造成非常大的危害。
本发明中,采取如下方法解决上述问题:
基于上述数据流发送方法,在根据来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表之前,采用如下步骤:接收到来自DHCP服务器的DHCP应答报文;确定DHCP应答报文不是通过预先设定的信任接口接收到的;丢弃DHCP应答报文。本优选实施例中,设置连接DHCP服务器的伪线(Pseudowire,简称为PW)或者接入电路(Attachment Circuit,简称为AC)接口为信任接口,其它PW和AC都是非信任接口,只有信任接口能接收DHCP应答报文,通过非信任接口接收的DHCP应答报文则丢弃,这样对于私设的DHCP服务器就产生了过滤的效果,保证VPLS网络的安全。
优选地,根据来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表通过以下步骤实现:根据来自用户的DHCP请求报文生成请求临时表,其中,请求临时表包括以下至少之一:用户的MAC地址、用户所在的VPLS、用户的上线接口、用户的VLAN ID、用户的VPN ID;根据来自DHCP服务器的DHCP应答报文,获取用户的IP地址;将用户的IP地址填充到请求临时表中,生成包含用户信息的用户信息表。本优选实施例中,分别从DHCP请求报文和DHCP应答报文中获取用户信息,并组合生成用户信息表,实现方式简单、可靠。
另外,考虑到请求临时表和DHCP应答报文不在同一个线卡上会导致用户信息表没有办法匹配生成,所以在PE设备中的第一线卡接收到来自用户的DHCP请求报文并且第二线卡接收到来自DHCP服务器的DHCP应答报文的情况下,本发明采用报文缓存的方式来解决,具体如下:第一线卡在接收到来自用户的DHCP请求报文时,生成请求临时表,并将请求临时表同步到PE设备的各个线卡;第二线卡在接收到来自DHCP服务器的DHCP应答报文时,查找是否存在请求临时表;如果查找结果为存在请求临时表,则第二线卡生成用户信息表,否则第二线卡缓存DHCP应答报文。本优选实施例中,避免了请求临时表和应答报文不在同一线卡上时,导致不能生成用户信息表的情况。
优选地,在缓存DHCP应答报文之后,如果第二线卡在预定时间内没有接收到请求临时表,则丢弃DHCP应答报文。本优选实施例中,避免了缓存过多的DHCP应答报文而造成PE设备超负荷。
本发明提供的数据流发送方法概括如下:PE设备将经过VPLS网络的DHCP报文截获并建立用户信息表。DHCP报文通过PE设备,进入PE设备处理流程。当DHCP客户端申请到IP,PE设备会根据DHCP请求和应答报文生成包含用户信息的用户信息表。这个用户信息表包含用户的MAC、IP、VLAN ID、VPN ID、接口、租期信息。用户信息表生成后提供给数据转发面使用,转发面在转发数据流量时需要根据报文中用户信息来匹配PE设备生成的用户信息表中的用户信息,需要匹配的用户信息主要包括:MAC、IP,同时还可以根据实际的组网增加对接口的判断。只有匹配的流量才能够通过,这样就可以防止私设IP的非法用户有数据流量通过。
由上述可见,采用本发明的方法,可以有效地解决VPLS网络中存在的安全性问题,过滤VPLS网络中非法DHCP服务器、非法用户,保证VPLS网络的安全性。
下面将结合实例和附图对本发明实施例的实现过程进行详细描述。
图2是根据本发明实施例的VPLS网络中的PE设备组网示意图,如图2所示,PE1、PE2、PE3构成一个VPLS网络,用户连接在PE1和PE2的AC侧,DHCP服务器连接在PE3上。PE设备使能在PE1和PE2上来监听用户,PE1和PE2根据PE设备用户信息表来过滤用户流量。
图3是根据本发明实施例的VPLS网络中PE设备生成用户信息表的流程图,如图3所示,包括如下的步骤S302至步骤S314。
步骤S302,VPLS中PE设备截获DHCP请求报文。
步骤S304,PE设备分析DHCP请求报文,获取用户侧信息,该用户信息包括用户MAC、用户所在VPLS、用户上线接口以及用户存在的VLAN信息。
步骤S306,PE设备转发接收到的DHCP请求报文给DHCP服务器。
步骤S308,VPLS中PE设备截获DHCP应答报文,判断是否是信任口接收到的,不是信任接口则丢弃该报文。
步骤S310,分析DHCP应答报文并获取用户IP信息,填充请求信息表生成最终的用户信息表。用户信息表生成时需要考虑到DHCP请求报文和DHCP应答报文在分布式系统中跨线卡的情况,由于请求临时表和DHCP应答报文不在同一个线卡上会导致用户信息表没有办法匹配生成,对此本发明采用报文缓存的方式来解决,具体如下:线卡1收到DHCP请求报文生成请求临时表然后同步到各个线卡。线卡2接受到DHCP应答报文后查找是否有请求临时表,有则生成正式的用户信息表,没有就将DHCP应答报文缓存在线卡2等待同步数据过来生成正式的用户信息表,一定时间内没有收到同步数据就将缓存的DHCP应答报文老化。
步骤S312,PE设备转发接收到的DHCP应答报文给用户。
图4是根据本发明实施例的VPLS网络中PE设备控制用户流量的流程图,如图4所示,包括如下的步骤S402至步骤S410。
步骤S402,VPLS网络中PE设备接收到用户发送过来的IP数据流。
步骤S404,分析数据报文、获取用户侧信息。
步骤S406,根据用户信息来匹配用户信息表。
步骤S408,匹配到就转发报文,否则丢弃报文。
图3和图4两个实施例说明,本发明可以有效地解决VPLS网络中存在的安全性问题,过滤VPLS网络中非法DHCP服务器、非法用户,保证VPLS网络的安全性。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例提供了一种数据流发送装置,该数据流发送装置可以用于实现上述数据流发送方法。图5是根据本发明实施例的数据流发送装置的结构框图,如图5所示,包括第一接收模块51,确定模块52和发送模块53。下面对其结构进行详细介绍。
第一接收模块51,用于接收到来自用户的数据流;确定模块52,连接至第一接收模块51,用于确定第一接收模块51接收的数据流中用户的用户信息与预先设定或记录的用户信息表相匹配;发送模块53,连接至确定模块52,用于在确定模块52确定用户信息匹配以后,向DHCP服务器或远端网络发送数据流。
图6是根据本发明优选实施例一的数据流发送装置的结构框图,如图6所示,该装置还包括:生成模块54,连接至第一接收模块51,用于根据第一接收模块51接收的来自用户的DHCP请求报文和来自DHCP服务器的DHCP应答报文生成包含用户信息的用户信息表,其中,用户信息包括以下至少之一:用户的MAC地址、用户的IP地址、用户的VLAN ID、用户的VPN ID、接口、租期。
图7是根据本发明优选实施例二的数据流发送装置的结构框图,如图7所示,还包括:
第二接收模块55,用于接收到来自用户的DHCP请求报文;判断模块56,连接至第二接收模块55,用于判断用户的MAC地址与第二接收模块55接收的DHCP请求报文中携带的用户的MAC地址是否匹配;执行模块57,连接至判断模块56,用于在判断模块56的判断结果为是的情况下,向DHCP服务器发送DHCP请求报文,否则丢弃DHCP请求报文。
需要说明的是,装置实施例中描述的数据流发送装置对应于上述的方法实施例,其具体的实现过程在方法实施例中已经进行过详细说明,在此不再赘述。
综上所述,根据本发明的上述实施例,提供了一种数据流发送方法及装置。本发明通过对用户信息与用户信息表进行匹配,PE设备可以过滤非法的通过静态指定的方式来设置IP地址的用户的数据流,可以保证进入VPLS网络的用户合法性,从而避免VPLS网络中IP地址冲突,保护网络上关键业务不受非法用户的影响。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种数据流发送方法,其特征在于包括:
提供商边缘PE设备接收到来自用户的数据流;
确定所述用户的用户信息与预先设定或记录的用户信息表相匹配;
向动态主机配置协议DHCP服务器或远端网络发送所述数据流。
2.根据权利要求1所述的方法,其特征在于,在确定所述用户的用户信息与预先设定或记录的用户信息表相匹配之前,还包括:根据来自所述用户的DHCP请求报文和来自所述DHCP服务器的DHCP应答报文生成包含所述用户信息的所述用户信息表,其中,所述用户信息包括以下至少之一:所述用户的媒体接入控制MAC地址、所述用户的互联网协议IP地址、所述用户的虚拟局域网标识VLAN ID、所述用户的虚拟专用网标识VPN ID、接口、租期。
3.根据权利要求2所述的方法,其特征在于,在根据来自所述用户的DHCP请求报文和来自所述DHCP服务器的DHCP应答报文生成包含所述用户信息的所述用户信息表之前,还包括:
接收到来自所述用户的所述DHCP请求报文;
判断所述用户的MAC地址与所述DHCP请求报文中携带的所述用户的MAC地址是否匹配;
如果判断结果为是,则向所述DHCP服务器发送所述DHCP请求报文,否则丢弃所述DHCP请求报文。
4.根据权利要求2所述的方法,其特征在于,在根据来自所述用户的DHCP请求报文和来自所述DHCP服务器的DHCP应答报文生成包含所述用户信息的所述用户信息表之前,还包括:
接收到来自所述DHCP服务器的DHCP应答报文;
确定所述DHCP应答报文不是通过预先设定的信任接口接收到的;
丢弃所述DHCP应答报文。
5.根据权利要求2所述的方法,其特征在于,根据来自所述用户的DHCP请求报文和来自所述DHCP服务器的DHCP应答报文生成包含所述用户信息的所述用户信息表包括:
根据来自所述用户的DHCP请求报文生成请求临时表,其中,所述请求临时表包括以下至少之一:所述用户的MAC地址、所述用户所在的VPLS、所述用户的上线接口、所述用户的VLAN ID、所述用户的VPN ID;
根据来自所述DHCP服务器的DHCP应答报文,获取所述用户的IP地址;
将所述用户的IP地址填充到所述请求临时表中,生成包含所述用户信息的所述用户信息表。
6.根据权利要求5所述的方法,其特征在于,在所述PE设备中的第一线卡接收到来自所述用户的所述DHCP请求报文并且第二线卡接收到来自所述DHCP服务器的所述DHCP应答报文的情况下,所述方法还包括:
所述第一线卡在接收到来自所述用户的所述DHCP请求报文时,生成所述请求临时表,并将所述请求临时表同步到所述PE设备的各个线卡;
所述第二线卡在接收到来自所述DHCP服务器的所述DHCP应答报文时,查找是否存在所述请求临时表;
如果查找结果为存在所述请求临时表,则所述第二线卡生成所述用户信息表,否则所述第二线卡缓存所述DHCP应答报文。
7.根据权利要求6所述的方法,其特征在于,在缓存所述DHCP应答报文之后,还包括:
所述第二线卡在预定时间内没有接收到所述请求临时表;
所述第二线卡丢弃所述DHCP应答报文。
8.一种数据流发送装置,其特征在于包括:
第一接收模块,用于接收到来自用户的数据流;
确定模块,用于确定所述用户的用户信息与预先设定或记录的用户信息表相匹配;
发送模块,用于向DHCP服务器或远端网络发送所述数据流。
9.根据权利要求8所述的装置,其特征在于,还包括:生成模块,用于根据来自所述用户的DHCP请求报文和来自所述DHCP服务器的DHCP应答报文生成包含所述用户信息的所述用户信息表,其中,所述用户信息包括以下至少之一:所述用户的MAC地址、所述用户的IP地址、所述用户的VLAN ID、所述用户的VPN ID、接口、租期。
10.根据权利要求9所述的装置,其特征在于,还包括:
第二接收模块,用于接收到来自所述用户的所述DHCP请求报文;
判断模块,用于判断所述用户的MAC地址与所述DHCP请求报文中携带的所述用户的MAC地址是否匹配;
执行模块,用于在判断结果为是的情况下,向所述DHCP服务器发送所述DHCP请求报文,否则丢弃所述DHCP请求报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110359059.6A CN102387225B (zh) | 2011-11-14 | 2011-11-14 | 数据流发送方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110359059.6A CN102387225B (zh) | 2011-11-14 | 2011-11-14 | 数据流发送方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102387225A true CN102387225A (zh) | 2012-03-21 |
CN102387225B CN102387225B (zh) | 2018-01-09 |
Family
ID=45826185
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110359059.6A Active CN102387225B (zh) | 2011-11-14 | 2011-11-14 | 数据流发送方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102387225B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024016799A1 (zh) * | 2022-07-19 | 2024-01-25 | 中兴通讯股份有限公司 | 数据传输方法、运营商边缘设备、计算机可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1357997A (zh) * | 2000-12-15 | 2002-07-10 | 华为技术有限公司 | 以太网接入网中的虚拟局域网接入方法 |
CN1416239A (zh) * | 2001-10-31 | 2003-05-07 | 华为技术有限公司 | 光纤同轴混合接入网中的虚拟局域网接入方法 |
CN1864390A (zh) * | 2003-10-29 | 2006-11-15 | 思科技术公司 | 用于利用安全性标记提供网络安全性的方法和装置 |
CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
CN101459653A (zh) * | 2007-12-14 | 2009-06-17 | 上海博达数据通信有限公司 | 基于Snooping技术的防止DHCP报文攻击的方法 |
CN101834864A (zh) * | 2010-04-30 | 2010-09-15 | 中兴通讯股份有限公司 | 一种三层虚拟专用网中攻击防范的方法及装置 |
-
2011
- 2011-11-14 CN CN201110359059.6A patent/CN102387225B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1357997A (zh) * | 2000-12-15 | 2002-07-10 | 华为技术有限公司 | 以太网接入网中的虚拟局域网接入方法 |
CN1416239A (zh) * | 2001-10-31 | 2003-05-07 | 华为技术有限公司 | 光纤同轴混合接入网中的虚拟局域网接入方法 |
CN1864390A (zh) * | 2003-10-29 | 2006-11-15 | 思科技术公司 | 用于利用安全性标记提供网络安全性的方法和装置 |
CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
CN101459653A (zh) * | 2007-12-14 | 2009-06-17 | 上海博达数据通信有限公司 | 基于Snooping技术的防止DHCP报文攻击的方法 |
CN101834864A (zh) * | 2010-04-30 | 2010-09-15 | 中兴通讯股份有限公司 | 一种三层虚拟专用网中攻击防范的方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024016799A1 (zh) * | 2022-07-19 | 2024-01-25 | 中兴通讯股份有限公司 | 数据传输方法、运营商边缘设备、计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN102387225B (zh) | 2018-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
US6374298B2 (en) | System for performing remote operation between firewall-equipped networks or devices | |
US20060130135A1 (en) | Virtual private network connection methods and systems | |
CN101471936B (zh) | 建立ip会话的方法、装置及系统 | |
CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
CN101355557B (zh) | 在mpls/vpn网络中实现网络接入控制的方法及系统 | |
CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
CN106169952B (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
CN100514929C (zh) | 一种虚拟专用局域网的报文转发方法及装置 | |
CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
CN104717205A (zh) | 基于报文重构的工控防火墙控制方法 | |
CN103152343A (zh) | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 | |
CN101834864A (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
US20070234418A1 (en) | Method and apparatus of remote access message differentiation in VPN endpoint routers | |
CN103067531A (zh) | 一种公网ip地址资源管理分配方法 | |
CN103002041A (zh) | 一种处于nat环境下的设备的通信方法 | |
CN101166093A (zh) | 一种认证方法和系统 | |
CN106131177A (zh) | 一种报文处理方法及装置 | |
CN109150925B (zh) | IPoE静态认证方法及系统 | |
CN102387225A (zh) | 数据流发送方法及装置 | |
Cisco | Configuring Network Data Encryption | |
Cisco | Configuring Network Data Encryption | |
Cisco | Configuring Network Data Encryption | |
CN114710388A (zh) | 一种校园网安全架构及网络监护系统 | |
JP2002084326A (ja) | 被サービス装置、センタ装置、及びサービス装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |