CN102437966A - 基于二层dhcp snooping三层交换系统及方法 - Google Patents
基于二层dhcp snooping三层交换系统及方法 Download PDFInfo
- Publication number
- CN102437966A CN102437966A CN2012100163669A CN201210016366A CN102437966A CN 102437966 A CN102437966 A CN 102437966A CN 2012100163669 A CN2012100163669 A CN 2012100163669A CN 201210016366 A CN201210016366 A CN 201210016366A CN 102437966 A CN102437966 A CN 102437966A
- Authority
- CN
- China
- Prior art keywords
- layers
- dhcp
- switch
- binding information
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000012545 processing Methods 0.000 claims abstract description 57
- 230000008569 process Effects 0.000 claims abstract description 19
- 238000012544 monitoring process Methods 0.000 claims description 14
- 230000009191 jumping Effects 0.000 claims description 10
- MHABMANUFPZXEB-UHFFFAOYSA-N O-demethyl-aloesaponarin I Natural products O=C1C2=CC=CC(O)=C2C(=O)C2=C1C=C(O)C(C(O)=O)=C2C MHABMANUFPZXEB-UHFFFAOYSA-N 0.000 claims description 6
- 238000004321 preservation Methods 0.000 claims description 6
- 208000033748 Device issues Diseases 0.000 abstract 1
- 238000013459 approach Methods 0.000 abstract 1
- 239000010410 layer Substances 0.000 description 209
- 101150060512 SPATA6 gene Proteins 0.000 description 23
- 230000004044 response Effects 0.000 description 8
- 230000006855 networking Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 239000012792 core layer Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000013517 stratification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Abstract
本发明公开了一种基于二层DHCP SNOOPING的三层交换系统及方法,该系统包括DHCP用户终端、二层交换装置、三层交换装置和DHCP服务器,其特征在于,二层交换装置包括使能模块,通过对二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求过程,创建DHCP绑定信息并保存;二层交换装置对绑定信息经过处理后上传到三层交换装置,三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。本发明的技术方案增加了DHCP环境中交换机三层表项的学习途径,并有效的保证了表项的稳定和安全。
Description
技术领域
本发明涉及计算机数据通信领域,尤其涉及一种基于二层DHCP SNOOPING的三层交换系统及方法
背景技术
随着数据通信中交换技术的不断提高,具有三层交换功能的设备已经广泛应用,三层交换设备能够跨虚拟局域网线速转发IP报文,这是二层交换设备不具有的优势。
现有技术公开号为CN 101594358 A的发明专利公开了一种“三层交换方法、装置、系统和宿主机”,该方法包括:接收源虚拟机发送的网络报文;根据预先获取的三层交换信息对所述网络报文进行三层交换处理,生成经过三层交换处理的网络报文、目的虚拟机所在的虚拟链路以及目的虚拟机的三层目的地址;根据所述目的虚拟机的三层目的地址将所述经过三层交换处理的网络报文通过目的虚拟机所在的虚拟链路发送给目的虚拟机。
现有的三层交换功能的实现技术方案,三层交换信息即三层表项,三层表项包括主机路由表项和网段路由表项,主机路由表项指的是前缀32位的路由表项(如1.1.1.1下一跳),网段路由表项指的是前缀长度小于32位的路由表项(1.0.0.0/8下一跳)。三层表项一般通过ARP(ADDRESS Resolution Protocol)表项生成并下发到交换芯片。由于ARP协议简单,极易受到攻击,也容易产生欺骗,由ARP生成主机路由表项也变得不稳定,这样会造成网络流量的不正常转发,给用户带来极大的不便。
DHCP(动态地址解析协议)是一种自动为用户分配IP地址以及其他选项(如网关、DNS)的协议,广泛应用于局域网中,DHCP简化了网络的部署、也易于网络的维护。DHCP SNOOPING是一种监听DHCP请求过程的私有协议,它在交换装置中使用,将每一个成功获取IP的用户生成一个DHCP绑定信息。DHCP SNOOPING可以开启多项防护机制来避免DHCP欺骗和攻击,如通过设置可信端口防止网络中私自搭建DHCP服务器,通过设置端口绑定数量来防止大量请求DHCP。通过DHCP SNOOPING创建了一个安全稳定的DHCP环境。
在一般的组网中,采用的是层次化的组网方式,包括接入层、汇聚层和核心层,接入层采用低廉的二层交换装置、汇聚层采用三层交换装置,而核心层采用的是高可靠和冗余的交换装置。为了保证三层表项的稳定和安全,本发明提出一种基于二层DHCP SNOOPING的三层交换系统及方法,该技术方案中DHCPSNOOPING在二层交换装置中启用,处于汇聚层的三层交换装置没有用户的DHCP绑定信息。
发明内容
为克服现有技术中存在的缺陷和不足,本发明提出一种基于二层DHCPSNOOPING的三层交换系统及方法,在网络接入层的二层交换装置配置DHCPSNOOPING并使能,DHCP SNOOPING监听用户的DHCP请求过程,创建DHCP绑定信息并存储,二层交换装置对绑定信息经过处理后上传到汇聚层的三层交换装置,下发为硬件三层转发信息,实现跨虚拟局域网的网络报文转发。采用本发明的技术方案增加了DHCP环境中交换装置三层表项的学习途径,并有效的保证了表项的稳定和安全。
本发明公开一种基于二层DHCP SNOOPING的三层交换系统,该系统包括DHCP用户终端、二层交换装置、三层交换装置和DHCP服务器,其中,二层交换装置包括使能模块,通过对二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求过程,创建DHCP绑定信息并保存;二层交换装置对绑定信息经过处理后上传到三层交换装置,三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。
进一步地,所述二层交换装置还包括:
重定向模块,将源用户终端发送的网络报文请求重定向到中央处理模块;
中央处理模块,判断接收到的网络报文的合法性并进行处理,创建DHCPSNOOPING的绑定信息表;
存储模块,存储DHCP SNOOPING的绑定信息表;
接收端口,接收DHCP绑定的三层交换装置地址以及端口信息;
设置模块,设置DHCP绑定数目上限及可信端口;
三层交换装置包括:
接收端口,接收二层交换装置上传来的DHCP绑定报文;
三层引擎处理模块,根据DHCP SNOOPING的绑定信息查找下一跳信息,下发三层引擎处理后的路由表项。
进一步地,所述DHCP SNOOPING的绑定信息包括用户的IP地址、MAC地址、接入端口、接入虚拟局域网和租期。
进一步地,三层引擎处理过程为:根据DHCP SNOOPING的绑定信息表,下发主机路由表项,以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入虚拟局域网,分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出虚拟局域网。
进一步地,二层交换装置将绑定信息加入到DHCP SNOOPING绑定报文中,并对绑定报文进行加密和散列处理,再转发给三层交换装置。
本发明还公开一种基于二层DHCP SNOOPING的三层交换方法,包括如下步骤:
S1:二层交换装置对配置的DHCP SNOOPING使能,重定向模块将DHCP网络报文重定向到中央处理模块;
S2:二层交换装置DHCP SNOOPING监听用户的DHCP请求并进行绑定数目限制判定,创建REQUEST绑定信息;
S3:二层交换装置收到DHCP ACK,查询REQUEST绑定信息,创建DHCP绑定信息表并存储,绑定信息经处理后加密后上传三层交换装置;
S4:三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。
进一步地,所述步骤S2中创建REQUEST绑定信息的过程为:二层交换装置收到用户DHCP请求报文,为用户创建一个REQUEST绑定,根据DHCP请求报文中的MAC地址以及接收报文的端口和VLAN,保存到该用户的REQUEST绑定信息中,并将DHCP请求报文转发至可信端口。
进一步地,所述步骤S3中创建DHCP SNOOPING的绑定信息过程为:二层交换装置从可信端口收到DHCP ACK后,查询REQUEST绑定,如果存在相同用户MAC,从ACK中取出IP地址和租期,以及REQUEST绑定中MAC地址、接入端口和VLAN,创建DHCP用户的绑定信息并存储。
进一步地,所述步骤S3中二层交换装置将绑定信息加入到DHCP SNOOPING绑定报文中,并对绑定报文进行加密和散列处理,再转发给三层交换装置。
进一步地,当三层交换装置接收到源用户终端的IP网络报文时,根据网络报文的目的地址查找DHCP SNOOPING的绑定信息表,下发三层引擎处理后的路由表项,以绑定信息中的IP地址为目的主机,根据下一跳信息封装报文的二层信息,转发跨虚拟局域网的IP网络报文。
本发明公开一种基于二层DHCP SNOOPING的三层交换系统及方法,通过在网络接入层的二层交换装置配置DHCP SNOOPING并使能,DHCP SNOOPING监听用户的DHCP请求过程,创建DHCP绑定信息并存储,二层交换装置对绑定信息经过处理后上传到汇聚层的三层交换装置,下发三层引擎处理后的路由表项,根据路由表项信息,实现跨虚拟局域网的网络报文转发。
附图说明
图1为本发明基于二层DHCP SNOOPING的三层交换系统原理框图;
图2为本发明基于二层DHCP SNOOPING的三层交换系统示意图;
图3为本发明基于二层DHCP SNOOPING的三层交换方法流程图;
图4为本发明中承载于UDP中的DHCP SNOOPING绑定报文格式。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以详细说明。
本发明的技术原理:本发明通过二层交换装置配置DHCP SNOOPING并使能,DHCP SNOOPING监听用户的DHCP请求过程,创建DHCP SNOOPING绑定信息表并存储,二层交换装置对绑定信息进行处理后上传到三层交换装置,根据DHCPSNOOPING绑定信息,下发三层引擎处理路由表项,根据路由表项信息,实现跨虚拟局域网的网络报文转发。
参见图1,为本发明基于二层DHCP SNOOPING的三层交换系统原理框图,该三层交换系统包括DHCP用户终端、二层交换装置、三层交换装置和DHCP服务器,二层交换装置位于接入层,三层交换装置位于汇聚层;二层交换装置包括使能模块,通过对二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求过程,创建DHCP绑定信息并保存;二层交换装置对绑定信息经过处理后上传到三层交换装置,三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。
其中,二层交换装置还包括:
重定向模块,将源用户终端发送的网络报文请求重定向到中央处理模块;
中央处理模块,判断接收到的网络报文的合法性并进行处理,创建DHCPSNOOPING的绑定信息表;
存储模块,存储DHCP SNOOPING的绑定信息表;
接收端口,接收DHCP绑定的三层交换装置地址以及端口信息;
设置模块,设置DHCP绑定数目上限及可信端口;
三层交换装置包括:
接收端口,接收二层交换装置上传来的DHCP绑定报文;
三层引擎处理模块,根据DHCP SNOOPING的绑定信息查找下一跳信息,下发三层引擎处理后的路由表项。
其中,使能模块对二层交换装置配置的DHCP SNOOPING使能,源用户终端发送DHCP请求给二层交换装置,二层交换装置的DHCP SNOOPING对源用户终端的DHCP请求进行监听,由重定向模块将DHCP请求重定向至中央处理模块,中央处理模块判断接收到的网络报文的合法性并进行处理,创建DHCP SNOOPING绑定信息表并保存,设置模块对DHCP绑定数目进行判断并设置可信端口,二层交换装置对绑定信息加密和散列处理后,转发给三层交换装置;三层交换装置根据DHCPSNOOPING绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。
参见图2,为本发明基于二层DHCP SNOOPING的三层交换系统示意图。整个装置的具体工作过程如下:源用户终端dhcp client发送DHCP请求,使能模块对二层交换装置配置的DHCP SNOOPING使能,二层交换模块接收到源用户终端的DHCP请求,DHCP SNOOPING对源用户终端的DHCP请求进行监听,并且重定向模块将DHCP请求重定向到中央处理模块,中央处理模块对接收到的DHCP请求的合法性进行判断,并将DHCP请求报文转发至三层交换装置的接收端口,三层交换装置将DHCP网络报文中转给DHCP服务器。DHCP服务器根据收到的DHCP请求进行响应,并通过三层交换装置、二层交换装置将DHCP响应返回给用户终端,用户终端收到DHCP响应后发送DHCP REQUEST,DHCP服务器根据收到的DHCP REQUEST并进行响应,分配IP地址及相关配置信息给用户终端,二层交换装置为用户创建一个REQUEST绑定,将DHCP报文请求中的MAC地址以及接收的报文端口和虚拟局域网,保存到REQUEST绑定信息中。二层交换装置收到DHCP ACK后,查询DHCPREQUEST绑定信息,如存在相同用户MAC,从DHCP ACK中取出IP地址和租期,加上REQUEST绑定中MAC地址、接入端口和虚拟局域网,创建DHCP绑定信息并保存。当源用户终端发送DHCP报文时,二层交换装置配置的DHCP SNOOPING使能,对DHCP报文进行监听,二层交换装置将DHCP绑定信息加入到DHCP SNOOPING报文中,对绑定报文进行加密和散列处理后上传到三层交换装置,三层交换装置根据DHCPSNOOPING绑定信息,下发三层引擎处理路由表项,根据路由表项信息,实现跨虚拟局域网转发网络报文。
其中,DHCP SNOOPING的绑定信息是根据DHCP SNOOPING监听用户DHCP请求而建立的绑定信息表;监听用户DHCP请求而建立的绑定信息,是根据DHCP请求报文中的MAC地址以及接收报文的端口和VLAN,保存到该用户的绑定信息中,待收到DHCP响应后,再取出其中的IP地址,保存到绑定信息中;DHCP SNOOPING绑定信息包括用户的IP地址、MAC地址、接入端口、接入虚拟局域网和租期等。
三层引擎处理模块包括主机路由表项和网络路由表项,主机路由表项是前缀为32位的主机IP地址,三层交换模块通过三层引擎处理后下发主机路由表项,根据主机路由表项信息实现跨虚拟局域网的网络报文转发。主机路由表项以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入VLAN(虚拟局域网),分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出vlan(虚拟局域网)。
参见图3,为本发明基于二层DHCP SNOOPING的三层交换方法流程图。该方法具体步骤如下:
S1:二层交换装置对配置的DHCP SNOOPING使能,重定向模块将DHCP网络报文重定向到中央处理模块;
二层交换装置的使能模块对DHCP SNOOPING使能,用户终端发送DHCP请求,DHCP SNOOPING对DHCP请求进行监听,重定向模块将DHCP请求报文重定向到中央处理模块,中央处理模块对接收到的DHCP请求的合法性进行判断并进行处理。其中,DHCP请求报文包括MAC地址以及接收报文的端口和VLAN。
S2:二层交换装置DHCP SNOOPING监听用户的DHCP请求并进行绑定数目限制判定,创建REQUEST绑定信息;
二层交换装置收到DHCP请求后,DHCP SNOOPING监听用户的DHCP请求,二层交换装置的设置模块对DHCP请求绑定数目限制进行判断,对中央处理模块判断为合法的DHCP请求设置为可信端口,通过二层交换装置配置的接收端口将DHCP请求转发给三层交换装置,三层交换装置将DHCP请求中转给DHCP服务器。当DHCP服务器收到用户终端请求IP地址的信息,就在自己的地址库中,查找是否有合法的IP地址提供给用户终端。如果有,DHCP服务器就将此IP地址做上标记,广播DHCP响应。DHCP响应信息包括:DHCP用户终端的的MAC地址,用来正确表示用户终端;DHCP SERVER提供的合法的IP地址、子网掩码、租约期、服务器标识符(DHCP SERVER IP ADDRESS)等。
DHCP用户终端从接收到的第一个DHCP响应中选择IP地址,创建DHCP REQUEST绑定信息,并将DHCP REQUEST广播到所有的DHCP SERVER。
DHCP REQUEST绑定信息包括:为用户终端提供IP配置的DHCP SERVER的标识符(SERVER IP ADDRESS)。DHCP SERVER检查服务器标识符字段,以确定他们是否被选择为指定的用户终端提供IP。
本技术方案中,二层交换装置收到DHCP请求后,将DHCP请求报文中的MAC地址、接收报文的端口和虚拟局域网信息,保存到该用户的DHCP REQUEST绑定信息中。
S3:二层交换装置收到DHCP ACK,查询REQUEST绑定信息,创建DHCP绑定信息表并存储,绑定信息经处理后加密后上传三层交换装置;
二层交换装置收到DHCP ACK后,查询REQUEST绑定信息,如存在相同用户MAC,从DHCP ACK中取出IP地址和租期,加上REQUEST绑定中MAC地址、接入端口和虚拟局域网,创建DHCP用户的绑定信息并保存,同时删除REQUEST绑定。二层交换装置将DHCP绑定信息加入到DHCP SNOOPING报文中,对DHCP绑定报文进行加密和散列处理后上传给三层交换装置。
其中,二层交换装置和三层交换装置之间的DHCP SNOOPING绑定报文使用UDP连接在网络上传播,为了保证安全性和防篡改,对DHCP SNOOPING绑定报文进行加密和散列处理,本发明中加密采用共享密钥的DES方式,散列采用MD5方式。DHCP SNOOPING绑定报文承载于UDP中,其报文格式如图4所示,各字段解释如下:
Version:版本号,目前为1
Type:类型,目前为1,表示包含绑定信息
SeqNo:序列号,每发送一个报文,加1
SecretLen:被加密报文的长度
Signature:DHCP SNOOPING绑定报文所有字段的MD5散列结果
SwitchIPAddr:交换机的IP地址
SwitchID:交换机ID,取交换机CPU MAC
Count:绑定数量
ClientMAC:租用地址的PC终端MAC地址
Reserved:保留,填0
ClientVlanId:DHCP用户接入交换机的Vlan ID
PortNum:DHCP用户所在的交换机端口号
ClientIP:用户IP地址
ClientMask:地址掩码
ClientGateway:网关参数
ClientLease:DHCP地址租期
bindingTimeStamp:分配地址的时间戳
为了防止用户信息泄露以及传输过程中被恶意篡改,需要对报文进行DES加密和MD5散列处理,DES密钥由用户配置,二层交换装置与三层交换装置的密钥必须确保一致。
发送报文前,先进行加密,后进行散列处理,具体过程如下:
自SwitchIPAddr字段开始,一直到结尾的报文内容进行DES加密,密文与明文等长,密文放入DHCP SNOOPING绑定报文中SwitchIPAddr字段开始的报文区域,密文长度置于DHCP SNOOPING绑定报文的SecretLen字段,然后交给散列处理模块。对于交换机DES加密后的DHCP SNOOPING绑定报文,计算MD5散列时Signature字段先清零,然后对整个报文作散列运算,散列操作完成后散列值填入Signature字段,这时报文可以发出交换机。
三层交换装置收到报文后,先进行散列计算,再解密,具体过程如下:
计算时先备份signature字段的值,然后signature字段清零,再计算整个报文的MD5散列值,如果散列值与备份的signature字段的值一样,则散列验证成功,继续对DHCP SNOOPING绑定报文作DES解密处理。如果散列验证失败,丢弃该DHCP SNOOPING绑定报文。对于接收到的MD5散列验证成功的报文,交换机对从Signature字段之后位置开始,长度由SecretLen字段指定的报文内容进行DES解密处理,还原出自SwitchIPAddr字段开始的DHCP SNOOPING绑定报文内容。
S4:三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。
三层引擎处理过程为:根据DHCP SNOOPING的绑定信息表,下发主机路由表项,以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入虚拟局域网,分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出虚拟局域网。
当二层交换装置接收到源用户终端的网络报文时,二层交换装置将网络报文加入到DHCP SNOOPING绑定,对绑定报文进行加密和散列处理后上传到三层交换装置,三层交换装置收到报文根据收到的DHCP SNOOPING的绑定信息,设置绑定信息接入端口为收到DHCP绑定报文的端口,下发主机路由表项,以绑定信息中的IP地址为目的主机,根据下一跳信息封装报文的二层信息,转发跨虚拟局域网的IP网络报文。
本发明另一实施例实现的详细步骤如下:
1)在二层交换装置中配置DHCP SNOOPING并使能,DHCP报文重定向至交换装置CPU;
2)DHCP SNOOPING设置交换机端口的DHCP绑定数目上限,设置可信端口;二层交换装置配置接收DHCP绑定的三层交换机地址以及端口号;
3)二层交换装置收到的用户DHCP请求报文,为用户创建一个临时的REQUEST绑定,根据DHCP请求报文中的MAC地址以及接收报文的端口和VLAN,保存到该用户的REQUEST绑定信息中,并将DHCP请求报文转发至可信端口;
4)二层交换装置从可信端口收到DHCP ACK后,查询临时的REQUEST绑定,如果存在相同用户MAC,则创建DHCP用户的绑定信息,从ACK中取出IP地址和租期,以及REQUEST绑定中MAC地址、接入端口和VLAN,均保存到DHCP绑定信息中,同时删除临时的REQUEST绑定;
5)二层交换装置将DHCP SNOOPING绑定信息加入到DHCP SNOOPING绑定报文中,再转发给三层交换装置。二层交换装置和三层交换装置之间的DHCP SNOOPING绑定报文使用UDP连接在网络上传播,为了保证安全性和防篡改,对DHCPSNOOPING绑定报文进行加密和散列处理,其中,加密采用共享密钥的DES方式,散列采用MD5方式。
6)三层交换装置收到报文根据收到的DHCP SNOOPING的绑定信息,设置绑定信息接入端口为收到DHCP绑定报文的端口,下发主机路由表项,以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入VLAN(虚拟局域网),分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出vlan(虚拟局域网);
7)三层交换装置收到一个IP报文,根据目的地址查找交换芯片三层表,命中三层主机路由表项,根据下一跳封装报文的二层信息,实现跨虚拟局域网的网络报文转发。
下面以具体实施例对工作过程进行说明:站点A和站点B为DHCP用户终端,采用层次化的组网方式与DHCP服务器连接,包括接入层的二层交换装置,汇聚层的三层交换装置。通过二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求,创建DHCP SNOOPING的绑定表,二层交换装置将DHCP SNOOPING绑定信息加入到DHCP SNOOPING绑定报文中,对绑定报文进行加密和散列处理后上传到三层交换装置,三层交换装置收到绑定报文,根据DHCP SNOOPING的绑定信息,下发主机路由表项,根据主机路由表项,实现站点A和站点B相互通信。
若站点A和站点B不在同一子网内,发送站点A首先要向其“缺省网关”发出DHCP请求报文,而“缺省网关”的IP地址就是二层交换装置上站点A所属VLAN的IP地址。
当发送站点A对“缺省网关”的IP地址广播出一个DHCP请求时,重定向模块将DHCP请求重定向到控制CPU,控制CPU判断接收到的DHCP请求合法性并进行处理,创建DHCP SNOOPING的绑定信息表。DHCP SNOOPING的绑定信息表的过程:发送站点A对“缺省网关”的IP地址广播出一个DHCP请求时,DHCP服务器接收到DHCP请求后向站点A返回一个DHCP响应,告诉站点A交换机所在VLAN的MAC地址,站点A收到DHCP响应后发送DHCP REQUEST,进行源MAC地址学习,目的MAC地址查找,同时把站点A的IP地址、MAC地址、与二层交换装置直接相连的端口号等信息保存到REQUEST绑定信息中,并将DHCP请求报文转发至可信端口;二层交换装置收到从可信端口返回的DHCP ACK后,查询REQUEST绑定信息,如存在相同用户MAC,从DHCP ACK中取出IP地址和租期,加上REQUEST绑定中MAC地址、接入端口和虚拟局域网,创建DHCP用户的绑定信息并保存,同时删除REQUEST绑定。
二层交换装置将DHCP绑定信息加入到DHCP SNOOPING报文中,对绑定报文进行加密和散列处理后上传到三层交换装置,三层交换装置收到报文根据DHCP绑定信息,设置绑定信息接入端口为收到DHCP绑定报文的端口,下发主机路由表项,根据下一跳封装报文的二层信息,实现跨虚拟局域网的网络报文转发。
主机路由表项以IP地址为索引,里面存放目的IP地址、下一跳MAC地址、端口号等信息。当站点A向站点B发送网路报文时,根据DHCP SNOOPING的绑定信息,下发主机路由表项,以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入VLAN(虚拟局域网),分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出vlan(虚拟局域网)。
三层表是指交换芯片的三层交换表,即硬件的三层转发表,交换芯片根据报文的目的IP查询三层交换表,实现报文的三层转发。三层表包括主机路由表项和网段路由表项,本技术方案中将二层交换装置的DHCP SNOOPING绑定信息加密处理后上传到三层交换装置,三层交换装置通过三层引擎处理模块查询三层表。根据目的地址查找交换芯片主机路由表项,若找到一条匹配表项,就会在对报文进行一些操作(例如根据下一跳封装报文的二层信息)之后将报文从表中指定的端口转发出去。若主机路由表中没有找到匹配表项,则会查找另一个表——网段路由表。网段路由表项存放网段地址、下一跳MAC地址、端口号等信息。在其他网段找到匹配表项,对报文进行一些操作(例如根据下一跳封装报文的二层信息),将报文从指定的端口跨虚拟局域网转发出去。
有益效果,实施本发明的一种基于二层DHCP SNOOPING的三层交换系统及方法,增加了DHCP环境中交换机三层表项的学习途径,并有效的保证了表项的稳定和安全。
Claims (10)
1.一种基于二层DHCP SNOOPING的三层交换系统,该系统包括DHCP用户终端、二层交换装置、三层交换装置和DHCP服务器,其特征在于,二层交换装置包括使能模块,通过对二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求过程,创建DHCP绑定信息并保存;二层交换装置对绑定信息经过处理后上传到三层交换装置,三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。
2.根据权利要求1所述的基于二层DHCP SNOOPING的三层交换系统,其特征在于,所述二层交换装置还包括:
重定向模块,将源用户终端发送的网络报文请求重定向到中央处理模块;
中央处理模块,判断接收到的网络报文的合法性并进行处理,创建DHCPSNOOPING的绑定信息表;
存储模块,存储DHCP SNOOPING的绑定信息表;
接收端口,接收DHCP绑定的三层交换装置地址以及端口信息;
设置模块,设置DHCP绑定数目上限及可信端口;
三层交换装置包括:
接收端口,接收二层交换装置上传的处理后的DHCP绑定报文;
三层引擎处理模块,根据DHCP SNOOPING的绑定信息查找下一跳信息,下发三层引擎处理后的路由表项。
3.根据权利要求1所述的基于二层DHCP SNOOPING的三层交换系统,其特征在于,所述DHCP SNOOPING的绑定信息包括用户的IP地址、MAC地址、接入端口、接入虚拟局域网和租期。
4.根据权利要求2所述的基于二层DHCP SNOOPING的三层交换系统,其特征在于,三层引擎处理过程为:根据DHCP SNOOPING的绑定信息表,下发主机路由表项,以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入虚拟局域网,分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出虚拟局域网。
5.根据权利要求1所述的基于二层DHCP SNOOPING的三层交换系统,其特征在于,二层交换装置将绑定信息加入到DHCP SNOOPING绑定报文中,并对绑定报文进行加密和散列处理,再转发给三层交换装置。
6.一种基于二层DHCP SNOOPING的三层交换方法,其特征在于,包括如下步骤:
S1:二层交换装置对配置的DHCP SNOOPING使能,重定向模块将DHCP网络报文重定向到中央处理模块;
S2:二层交换装置DHCP SNOOPING监听用户的DHCP请求并进行绑定数目限制判定,创建REQUEST绑定信息;
S3:二层交换装置收到DHCP ACK,查询REQUEST绑定信息,创建DHCP绑定信息表并存储,绑定信息经处理后加密后上传三层交换装置;
S4:三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。
7.根据权利要求6所述的基于二层DHCP SNOOPING的三层交换方法,其特征在于,所述步骤S2中创建REQUEST绑定信息的过程为:二层交换装置收到用户DHCP请求报文,为用户创建一个REQUEST绑定,根据DHCP请求报文中的MAC地址以及接收报文的端口和VLAN,保存到该用户的REQUEST绑定信息中,并将DHCP请求报文转发至可信端口。
8.根据权利要求7所述的基于二层DHCP SNOOPING的三层交换方法,其特征在于,所述步骤S3中创建DHCP SNOOPING的绑定信息过程为:二层交换装置从可信端口收到DHCP ACK后,查询REQUEST绑定,如果存在相同用户MAC,从ACK中取出IP地址和租期,以及REQUEST绑定中MAC地址、接入端口和VLAN,创建DHCP用户的绑定信息并存储。
9.根据权利要求8所述的基于二层DHCP SNOOPING的三层交换方法,其特征在于,所述步骤S3中二层交换装置将绑定信息加入到DHCP SNOOPING绑定报文中,并对绑定报文进行加密和散列处理,再转发给三层交换装置。
10.根据权利要求6至9之一所述的基于二层DHCP SNOOPING的三层交换方法,其特征在于,当三层交换装置接收到源用户终端的IP网络报文时,根据网络报文的目的地址查找DHCP SNOOPING的绑定信息表,下发三层引擎处理后的路由表项,以绑定信息中的IP地址为目的主机,根据下一跳信息封装报文的二层信息,转发跨虚拟局域网的IP网络报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210016366.9A CN102437966B (zh) | 2012-01-18 | 2012-01-18 | 基于二层dhcp snooping三层交换系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210016366.9A CN102437966B (zh) | 2012-01-18 | 2012-01-18 | 基于二层dhcp snooping三层交换系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102437966A true CN102437966A (zh) | 2012-05-02 |
| CN102437966B CN102437966B (zh) | 2016-08-10 |
Family
ID=45985849
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210016366.9A Active CN102437966B (zh) | 2012-01-18 | 2012-01-18 | 基于二层dhcp snooping三层交换系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102437966B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795631A (zh) * | 2012-10-30 | 2014-05-14 | 杭州华三通信技术有限公司 | 部署了以太网虚拟连接的网络中的流量转发方法及设备 |
| CN105656780A (zh) * | 2016-03-17 | 2016-06-08 | 北京星网锐捷网络技术有限公司 | 一种数据报文转发方法和装置 |
| CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN106330648A (zh) * | 2015-06-15 | 2017-01-11 | 中兴通讯股份有限公司 | 路由信息生成方法及装置 |
| CN107547347A (zh) * | 2017-07-25 | 2018-01-05 | 新华三技术有限公司 | 基于vni的路径调整方法和装置 |
| CN113973101A (zh) * | 2020-07-25 | 2022-01-25 | 华为技术有限公司 | 一种表项信息处理方法及装置 |
| CN114710388A (zh) * | 2022-03-25 | 2022-07-05 | 江苏科技大学 | 一种校园网安全架构及网络监护系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141304A (zh) * | 2007-09-18 | 2008-03-12 | 杭州华三通信技术有限公司 | Acl规则的管理方法和设备 |
| CN101494562A (zh) * | 2009-03-18 | 2009-07-29 | 杭州华三通信技术有限公司 | 一种网络设备上终端表项的维护方法和一种网络设备 |
| CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
-
2012
- 2012-01-18 CN CN201210016366.9A patent/CN102437966B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141304A (zh) * | 2007-09-18 | 2008-03-12 | 杭州华三通信技术有限公司 | Acl规则的管理方法和设备 |
| CN101494562A (zh) * | 2009-03-18 | 2009-07-29 | 杭州华三通信技术有限公司 | 一种网络设备上终端表项的维护方法和一种网络设备 |
| CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795631A (zh) * | 2012-10-30 | 2014-05-14 | 杭州华三通信技术有限公司 | 部署了以太网虚拟连接的网络中的流量转发方法及设备 |
| CN103795631B (zh) * | 2012-10-30 | 2017-03-15 | 杭州华三通信技术有限公司 | 部署了以太网虚拟连接的网络中的流量转发方法及设备 |
| CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN106330648A (zh) * | 2015-06-15 | 2017-01-11 | 中兴通讯股份有限公司 | 路由信息生成方法及装置 |
| CN106330648B (zh) * | 2015-06-15 | 2020-06-30 | 中兴通讯股份有限公司 | 路由信息生成方法及装置 |
| CN105656780A (zh) * | 2016-03-17 | 2016-06-08 | 北京星网锐捷网络技术有限公司 | 一种数据报文转发方法和装置 |
| CN107547347A (zh) * | 2017-07-25 | 2018-01-05 | 新华三技术有限公司 | 基于vni的路径调整方法和装置 |
| CN107547347B (zh) * | 2017-07-25 | 2020-06-09 | 新华三技术有限公司 | 基于vni的路径调整方法和装置 |
| CN113973101A (zh) * | 2020-07-25 | 2022-01-25 | 华为技术有限公司 | 一种表项信息处理方法及装置 |
| WO2022021939A1 (zh) * | 2020-07-25 | 2022-02-03 | 华为技术有限公司 | 一种表项信息处理方法及装置 |
| CN114710388A (zh) * | 2022-03-25 | 2022-07-05 | 江苏科技大学 | 一种校园网安全架构及网络监护系统 |
| CN114710388B (zh) * | 2022-03-25 | 2024-01-23 | 江苏科技大学 | 一种校园网安全系统及网络监护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102437966B (zh) | 2016-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Afanasyev et al. | A brief introduction to named data networking | |
| US10630784B2 (en) | Facilitating a secure 3 party network session by a network device | |
| CN102223365B (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
| JP4579934B2 (ja) | レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置 | |
| CN102437966A (zh) | 基于二层dhcp snooping三层交换系统及方法 | |
| CN102812671B (zh) | 用于进行diameter消息处理器间路由的方法、系统和计算机可读介质 | |
| CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
| JP6619894B2 (ja) | アクセス制御 | |
| JP2004104542A (ja) | ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 | |
| CN107534643A (zh) | 在ip vpn与传输层vpn之间转换移动业务 | |
| CN101106450A (zh) | 分布式报文传输安全保护装置和方法 | |
| CN102148767A (zh) | 一种基于nat的数据路由方法及其装置 | |
| WO2009082889A1 (fr) | Procédé de négociation pour échange de clés internet et dispositif et système associés | |
| CN102546661B (zh) | 一种防止IPv6网关邻居欺骗攻击的方法及系统 | |
| CN102546658A (zh) | 一种防止网关arp欺骗的方法和系统 | |
| EP3598705B1 (en) | Routing control | |
| WO2021008591A1 (zh) | 数据传输方法、装置及系统 | |
| CN101834864A (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
| CN102546308B (zh) | 基于重复地址检测实现邻居发现代理的方法和系统 | |
| CN106533894A (zh) | 一种全新的安全的即时通信体系 | |
| CN102546429A (zh) | 基于dhcp监听的isatap隧道的认证方法和系统 | |
| CN102594882A (zh) | 一种基于DHCPv6监听的邻居发现代理方法和系统 | |
| CN104518959B (zh) | 一种设备间通信的方法及装置 | |
| CN101471938B (zh) | 一种点对点p2p网络中的认证方法、系统和装置 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing Haidian District, No. 9 Shangdi Jiujie Digital Science and Technology Plaza Patentee after: Beijing Shenzhou Digital Cloud Information Technology Co.,Ltd. Address before: 100085 Beijing Haidian District, No. 9 Shangdi Jiujie Digital Science and Technology Plaza Patentee before: DIGITAL CHINA NETWORKS (BEIJING) Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190617 Address after: 430000 Six Floors of 777B Office Building, Guanggu Third Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee after: Wuhan Shenzhou Digital Cloud Technology Co.,Ltd. Address before: 100085 Beijing Haidian District, No. 9 Shangdi Jiujie Digital Science and Technology Plaza Patentee before: Beijing Shenzhou Digital Cloud Information Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20240428 Address after: 430000 Six Floors of 777B Office Building, Guanggu Third Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee after: Wuhan Shenzhou Digital Cloud Technology Co.,Ltd. Country or region after: China Patentee after: Shenzhou Kuntai (Xiamen) Information Technology Co.,Ltd. Address before: 430000 Six Floors of 777B Office Building, Guanggu Third Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee before: Wuhan Shenzhou Digital Cloud Technology Co.,Ltd. Country or region before: China |