CN102694771A - 在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 - Google Patents
在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 Download PDFInfo
- Publication number
- CN102694771A CN102694771A CN2011100699629A CN201110069962A CN102694771A CN 102694771 A CN102694771 A CN 102694771A CN 2011100699629 A CN2011100699629 A CN 2011100699629A CN 201110069962 A CN201110069962 A CN 201110069962A CN 102694771 A CN102694771 A CN 102694771A
- Authority
- CN
- China
- Prior art keywords
- list
- bindings
- mac address
- address
- service end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在网关DHCP服务端绑定IP-MAC的方法及一种网关DHCP服务端。该方法中该DHCP服务端维护一绑定列表:S1、判断该绑定列表中的各IP-MAC地址对在该DHCP服务端的当前分配信息中是否存在,将存在于该绑定列表中但不存在于该当前分配信息中的IP-MAC地址对解除绑定、并从该绑定列表中删除;S2、判断该当前分配信息中的各IP地址在该绑定列表中是否存在,将存在于该当前分配信息中但不存在于该绑定列表中的IP地址与对应的MAC地址绑定、并将该已绑定的IP-MAC地址对添加入该绑定列表中。本发明能够在网关DHCP服务端自动地实现IP-MAC地址对的绑定以及定期维护。
Description
技术领域
本发明涉及一种IP(为每个连接在Internet上的设备分配的一个32bit地址)-MAC(物理地址,用来定义网络设备的位置)地址对的绑定技术,特别是涉及一种在网关DHCP(动态主机设置协议,Dynamic HostConfiguration Protocol)服务端绑定IP-MAC的方法以及一种能够实现该方法的网关DHCP服务端。
背景技术
ARP(地址解析协议,Address Resolution Protocol,用于实现通过IP地址得知设备的MAC地址)攻击是局域网中常见的一种攻击方式,其通过攻击源向局域网发送ARP欺骗信息,从而或是使局域网内的计算机中缓存的IP-MAC信息错误,导致计算机无法将数据包发送至网关;或是造成网关处的IP-MAC信息错误,导致网关无法将数据包发送至计算机,并最终均导致通信故障。
目前,避免这种ARP攻击一般有两种方法。
第一种方法是:采用管理型交换机将每一个房间的网络都相互隔开,这样一来,房间之间互不访问,就更谈不上欺骗和攻击了。
第二种方法是:如果没有管理型交换机可以利用,则通常可以在网关处绑定每台计算机的IP-MAC地址对,并向每一台计算机发送免费的ARP信息,这样便可以防止网关处的IP-MAC信息被篡改。
可想而知的是,在第二种方法中,要想在网关处绑定每台计算机的IP-MAC地址对,显然必须事先获得每台计算机的MAC地址。然而,在公共场所的网络中,特别是在例如酒店、餐厅或机场等公共场所的网络中,网络用户的流动性极大,因此针对每个IP地址而言,与其对应的网络设备的MAC地址均是不固定的,因此网络管理员在网关处显然不可能手动地对不断发生改变的IP-MAC地址对进行绑定。即便假定在极端情况下,每个用户均将自己的网络设备的MAC地址告知网络管理员,允许其在网关处手动地进行IP-MAC地址对的绑定,但是当任何一个用户离线后,网络管理员都必须再手动地将相应的IP-MAC地址对解除绑定,当考虑到用户的极大流动性时,这样的手动绑定显然也是不现实的。
发明内容
本发明要解决的技术问题是为了克服现有技术中难以在公共场所的网络网关处实现IP-MAC地址对绑定,从而难以有效地避免ARP攻击的缺陷,提供一种能够在网关DHCP服务端自动地实现IP-MAC地址对绑定的方法以及一种能够实现该方法的网关DHCP服务端。
本发明是通过下述技术方案来解决上述技术问题的:一种在网关DHCP服务端绑定IP-MAC的方法,该DHCP服务端的分配信息包括该DHCP服务端分配的IP地址以及与各IP地址对应的MAC地址,其特点在于,在该方法中,该DHCP服务端维护一用于保存已绑定的各IP-MAC地址对的绑定列表,其中该DHCP服务端以一预设频率执行以下步骤:S1、读取该绑定列表,判断该绑定列表中的各IP-MAC地址对在该DHCP服务端的当前分配信息中是否存在,将存在于该绑定列表中但不存在于该当前分配信息中的IP-MAC地址对解除绑定、并从该绑定列表中删除;S2、读取该当前分配信息,判断该当前分配信息中的各IP地址在该绑定列表中是否存在,将存在于该当前分配信息中但不存在于该绑定列表中的IP地址与对应的MAC地址绑定、并将该已绑定的IP-MAC地址对添加入该绑定列表中。
较佳地,该预设频率为每分钟一次。
本发明的目的还在于提供了一种网关DHCP服务端,该DHCP服务端的分配信息包括该DHCP服务端分配的IP地址以及与各IP地址对应的MAC地址,其特点在于,该DHCP服务端包括:一绑定列表模块,用于存储一用于保存已绑定的各IP-MAC地址对的绑定列表;一计时模块,用于以一预设频率调用一维护模块,该维护模块包括:一绑定解除模块,用于读取该绑定列表,判断该绑定列表中的各IP-MAC地址对在该DHCP服务端的当前分配信息中是否存在,将存在于该绑定列表中但不存在于该当前分配信息中的IP-MAC地址对解除绑定、并从该绑定列表中删除;一绑定添加模块,用于读取该当前分配信息,判断该当前分配信息中的各IP地址在该绑定列表中是否存在,将存在于该当前分配信息中但不存在于该绑定列表中的IP地址与对应的MAC地址绑定、并将该已绑定的IP-MAC地址对添加入该绑定列表中。
较佳地,该预设频率为每分钟一次。
本发明的积极进步效果在于:本发明能够在网关DHCP服务端自动地实现IP-MAC地址对的绑定以及定期维护。这一方面将极大地降低网络管理员的网络管理工作量,使得其能够更加便捷、高效、及时地对局域网进行管理,另一方面将增强局域网的安全性,减少ARP攻击所带来的网络瘫痪问题,为用户营造一个稳定安全的局域网环境。
附图说明
图1为本发明的在网关DHCP服务端绑定IP-MAC的方法的流程图。
图2为本发明的网关DHCP服务端的结构示意图。
具体实施方式
下面结合附图给出本发明较佳实施例,以详细说明本发明的技术方案。
本发明适用于那些用户接入网络的方式为DHCP自动获得地址方式的局域网,尤其适用于酒店、餐厅或机场等用户流动性极大的公共场所的局域网。由于绝大多数用户在公共场所上网时一般都是采用DHCP自动获得地址方式,因此本发明具有极为广泛的推广使用前景。
一般的网关DHCP服务端为了实现自动分配IP地址,均会维护一张DHCP分配信息表,该DHCP分配信息表中的数据项即构成了该DHCP服务端的当前分配信息,每一数据项均为:该DHCP服务端为一MAC地址(即一用户的网络设备)自动分配的一IP地址。即,在该DHCP分配信息表中,各IP地址与各MAC地址均是一一对应的,通常将这样的分配信息称为ARP信息。
本发明中在网关处,该DHCP服务端定期地对上述的ARP信息的当前状态进行检查,并将分配的IP地址与对应的MAC地址进行IP-MAC地址对绑定;其中,如果发现当前ARP信息中的一IP地址已经与一对应的MAC地址进行过绑定了,则无需再次进行重复绑定;另外,如果发现已经进行过绑定的一IP-MAC地址对在当前ARP信息中找不到,则说明持有该MAC地址的用户已经长时间离线,此时便需要将该IP-MAC地址对解除绑定。
由上述内容可知,本发明中的该DHCP服务端需要定期地根据当前ARP信息对各个处于绑定状态的IP-MAC地址对进行维护,因此在本发明中建立并维护一绑定列表,该绑定列表中保存的各数据项即为当前处于绑定状态的IP-MAC地址对。
以下将参考图1,对该DHCP服务端对该绑定列表的定期维护操作的具体步骤进行说明,在每一次维护操作过程中该DHCP服务端均执行图1所示的该循环流程。
其中,该循环流程的执行频率不能太低,若间隔太长时间才对该绑定列表进行下一次维护,如果一个用户在上一次维护之后便长期离线,则该用户的网络设备的MAC地址在该上一次维护与该下一次维护之间将会长期占用分配给该MAC地址的对应IP地址,这将导致在此期间内,该DHCP服务端便无法及时地将该闲置的IP地址再次自动分配给其它的MAC地址。
其中,该循环流程的执行频率也不能太高,若间隔太短时间便对该绑定列表进行下一次维护,则将会增加太多的系统开销。
因此,对于公共场所的网络而言,每分钟执行一次该循环流程将是比较合适的。
每轮循环流程包括以下的步骤100-108:
步骤100,判断是否到达了开始进行新一次的维护操作的时间点,例如判断是否已经经过了如上所述的1分钟的时间间隔,若还未到达该时间点,则执行步骤101,若已到达该时间点,则执行步骤102。
步骤101,继续等待,然后再次执行步骤100。
步骤102,读取该绑定列表中的各数据项。
步骤103,判断该绑定列表中的各数据项,即当前处于绑定状态的各IP-MAC地址对在当前ARP信息中是否存在,也就是说,判断该绑定列表中的各IP-MAC地址对在当前ARP信息中是否存在完全匹配的数据项,若有一个或多个IP-MAC地址对在当前ARP信息中不存在完全匹配的数据项,则说明该些IP-MAC地址对所对应的用户已经离线,此时执行步骤104;而对于那些在当前ARP信息中仍然有效的IP-MAC地址对,则不进行任何动作,直接进入步骤105。
步骤104,将该一个或多个在当前ARP信息中不存在的IP-MAC地址对解除绑定,并将其从该绑定列表中删除,接着同样进入步骤105。
步骤105,依次读取当前ARP信息中的IP地址。
步骤106,判断步骤105中读取的该IP地址是否在该绑定列表中存在,若不存在,则说明该IP地址是在上一轮循环流程结束之后才被分配给对应的MAC地址的,因此该IP地址与该对应的MAC地址必然还未进行过绑定,此时执行步骤107;若已存在,则不进行任何动作,直接进入步骤108。
步骤107,将新分配的该IP地址与该对应的MAC地址绑定,并将其添加入该绑定列表中。
步骤108,判断是否已经读取完了当前ARP信息中所有的IP地址,若还未读取完毕,则重新执行步骤105,若已经读取完毕,则该轮循环流程结束,返回步骤100。
对于经过了IP-MAC地址对绑定的网络设备而言,当其分配获得的IP地址老化需要重新获得IP地址时,则本发明的该网关DHCP服务端便会将与该网络设备的MAC地址绑定的那个IP地址再次分配给该网络设备。
为了实现上述方法,本发明的该网关DHCP服务端需要包括以下诸多模块:
一绑定列表模块1,用于存储该绑定列表;
一计时模块2,用于以一预设频率调用一维护模块3,其中该预设频率即为上述的循环流程的执行频率,该维护模块3则进一步包括:
一绑定解除模块31,用于读取该绑定列表,判断该绑定列表中的各IP-MAC地址对在当前ARP信息中是否存在,将存在于该绑定列表中但不存在于当前ARP信息中的IP-MAC地址对解除绑定、并从该绑定列表中删除;以及,
一绑定添加模块32,用于读取当前ARP信息,判断当前ARP信息中的各IP地址在该绑定列表中是否存在,将存在于当前ARP信息中但不存在于该绑定列表中的IP地址与对应的MAC地址绑定、并将该已绑定的IP-MAC地址对添加入该绑定列表中。
本文中所涉及的各个功能模块均可以在现有的硬件条件下、利用现有的软件编程手段实现,故其具体实现方式在此不做赘述。
综上所述,本发明能够在网关DHCP服务端自动地实现IP-MAC地址对的绑定以及定期维护。这一方面将极大地降低网络管理员的网络管理工作量,使得其能够更加便捷、高效、及时地对局域网进行管理,另一方面将增强局域网的安全性,减少ARP攻击所带来的网络瘫痪问题,为用户营造一个稳定安全的局域网环境。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (4)
1.一种在网关DHCP服务端绑定IP-MAC的方法,该DHCP服务端的分配信息包括该DHCP服务端分配的IP地址以及与各IP地址对应的MAC地址,其特征在于,在该方法中,该DHCP服务端维护一用于保存已绑定的各IP-MAC地址对的绑定列表,其中该DHCP服务端以一预设频率执行以下步骤:
S1、读取该绑定列表,判断该绑定列表中的各IP-MAC地址对在该DHCP服务端的当前分配信息中是否存在,将存在于该绑定列表中但不存在于该当前分配信息中的IP-MAC地址对解除绑定、并从该绑定列表中删除;
S2、读取该当前分配信息,判断该当前分配信息中的各IP地址在该绑定列表中是否存在,将存在于该当前分配信息中但不存在于该绑定列表中的IP地址与对应的MAC地址绑定、并将该已绑定的IP-MAC地址对添加入该绑定列表中。
2.如权利要求1所述的在网关DHCP服务端绑定IP-MAC的方法,其特征在于,该预设频率为每分钟一次。
3.一种网关DHCP服务端,该DHCP服务端的分配信息包括该DHCP服务端分配的IP地址以及与各IP地址对应的MAC地址,其特征在于,该DHCP服务端包括:
一绑定列表模块,用于存储一用于保存已绑定的各IP-MAC地址对的绑定列表;
一计时模块,用于以一预设频率调用一维护模块,该维护模块包括:
一绑定解除模块,用于读取该绑定列表,判断该绑定列表中的各IP-MAC地址对在该DHCP服务端的当前分配信息中是否存在,将存在于该绑定列表中但不存在于该当前分配信息中的IP-MAC地址对解除绑定、并从该绑定列表中删除;
一绑定添加模块,用于读取该当前分配信息,判断该当前分配信息中的各IP地址在该绑定列表中是否存在,将存在于该当前分配信息中但不存在于该绑定列表中的IP地址与对应的MAC地址绑定、并将该已绑定的IP-MAC地址对添加入该绑定列表中。
4.如权利要求3所述的网关DHCP服务端,其特征在于,该预设频率为每分钟一次。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011100699629A CN102694771A (zh) | 2011-03-22 | 2011-03-22 | 在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011100699629A CN102694771A (zh) | 2011-03-22 | 2011-03-22 | 在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102694771A true CN102694771A (zh) | 2012-09-26 |
Family
ID=46860058
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011100699629A Pending CN102694771A (zh) | 2011-03-22 | 2011-03-22 | 在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102694771A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107534585A (zh) * | 2016-03-29 | 2018-01-02 | 华为技术有限公司 | 通信方法和终端 |
CN108270879A (zh) * | 2016-12-31 | 2018-07-10 | 中国移动通信集团安徽有限公司 | Ip-mac地址绑定方法和装置 |
CN110071983A (zh) * | 2018-01-22 | 2019-07-30 | 西安中兴新软件有限责任公司 | 一种转发方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
CN101193116A (zh) * | 2007-07-09 | 2008-06-04 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
CN101345643A (zh) * | 2007-07-09 | 2009-01-14 | 珠海金山软件股份有限公司 | 对网络设备进行预警的方法及装置 |
CN101616131A (zh) * | 2008-06-24 | 2009-12-30 | 重庆广用通信技术有限责任公司 | 一种防御Arp病毒攻击的方法 |
-
2011
- 2011-03-22 CN CN2011100699629A patent/CN102694771A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
CN101193116A (zh) * | 2007-07-09 | 2008-06-04 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
CN101345643A (zh) * | 2007-07-09 | 2009-01-14 | 珠海金山软件股份有限公司 | 对网络设备进行预警的方法及装置 |
CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
CN101616131A (zh) * | 2008-06-24 | 2009-12-30 | 重庆广用通信技术有限责任公司 | 一种防御Arp病毒攻击的方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107534585A (zh) * | 2016-03-29 | 2018-01-02 | 华为技术有限公司 | 通信方法和终端 |
CN107534585B (zh) * | 2016-03-29 | 2020-04-21 | 华为技术有限公司 | 通信方法和终端 |
CN108270879A (zh) * | 2016-12-31 | 2018-07-10 | 中国移动通信集团安徽有限公司 | Ip-mac地址绑定方法和装置 |
CN110071983A (zh) * | 2018-01-22 | 2019-07-30 | 西安中兴新软件有限责任公司 | 一种转发方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103051740B (zh) | 域名解析方法、dns服务器及域名解析系统 | |
CN105516391B (zh) | 一种基于cname的dns域名解析方法 | |
US9100353B2 (en) | Cloud server for managing hostnames and IP addresses, and management method for the cloud server | |
CN101964799B (zh) | 点到网隧道方式下地址冲突的解决方法 | |
CN101741702B (zh) | 实现arp请求广播限制的方法和装置 | |
CN102932498A (zh) | 一种云计算平台的虚拟机ip资源管理方法 | |
US20120324063A1 (en) | Method, network device, and system for automatically configuring network device in ipv6 network | |
CN101094129A (zh) | 一种域名访问方法及客户端 | |
CN101753458B (zh) | 一种nd邻居表项的处理方法及装置 | |
WO2015066840A1 (zh) | 一种网络地址转换设备及方法 | |
CN103037023B (zh) | 一种虚拟机系统的运行方法及虚拟机系统 | |
US20150288581A1 (en) | Ipv6 address tracing method, apparatus, and system | |
CN103188107A (zh) | 终端设备自动发现和配置部署的系统及方法 | |
US20130205011A1 (en) | Service providing system | |
CN101355594A (zh) | 一种分配ip地址时地址冲突的检测方法 | |
CN104038402A (zh) | 一种访客网络的实现方法及无线路由器 | |
CN102394948B (zh) | Dhcp地址分配方法及dhcp服务器 | |
CN101873320B (zh) | 一种基于DHCPv6中继的客户端信息确认方法及其装置 | |
CN102594839B (zh) | 一种识别伪dhcp服务器的方法和交换机 | |
CN105634805B (zh) | 一种无线组网环境下主控设备对附加设备统一配置的方法 | |
CN103530335B (zh) | 电力计量采集系统的入库操作方法及装置 | |
CN112769965A (zh) | Ip地址管理和分配方法、装置及系统 | |
CN1855842A (zh) | 一种使维护节点标识与媒体访问控制地址对应的方法 | |
CN102694771A (zh) | 在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 | |
CN102238245B (zh) | 一种地址的分配方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120926 |