CN103428308A - 协助dhcp中继刷新地址安全表项的方法及装置 - Google Patents
协助dhcp中继刷新地址安全表项的方法及装置 Download PDFInfo
- Publication number
- CN103428308A CN103428308A CN2013103519326A CN201310351932A CN103428308A CN 103428308 A CN103428308 A CN 103428308A CN 2013103519326 A CN2013103519326 A CN 2013103519326A CN 201310351932 A CN201310351932 A CN 201310351932A CN 103428308 A CN103428308 A CN 103428308A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- address
- relay
- message
- list item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了一种协助DHCP中继刷新地址安全表项的方法及对应装置,应用于网络的DHCP服务器上,该方法包括:在收到来自客户端的DHCP请求报文后,为DHCP客户端分配IP地址,并检查DHCP请求报文是否有中继标识;对有中继标识的DHCP请求报文,将对应分配出去的IP地址设置特定标识;当需要释放IP地址租约时,判断待释放的IP地址是否有特定标识;对有特定标识的IP地址释放所对应的IP地址租约,并发送报文通知DHCP中继刷新地址安全表项。本发明可以保证DHCP Relay地址安全表项的实时刷新,有效解决DHCP中继的用户地址安全表项较多,老化不及时的问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种协助DHCP中继刷新地址安全表项的方法及装置。
背景技术
DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置,通过DHCP中继完成动态配置的过程中,DHCP客户端与DHCP服务器的处理方式与不通过DHCP中继时的处理方式基本相同。
DHCP客户端释放动态获取的IP地址时,会向DHCP服务器单播发送DHCP-RELEASE报文,DHCP中继不会处理该报文的内容。如果此时DHCP中继上记录了该IP地址与MAC地址的绑定关系,则会造成DHCP中继的用户地址表项无法实时刷新。为了解决这个问题,DHCP中继支持动态用户地址表项的定时刷新功能,如下所示:
DHCP中继动态用户地址表项定时刷新功能开启时,DHCP中继每隔指定时间以客户端分配到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文:
如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会将动态用户地址表中对应的表项老化掉。为了避免地址浪费,DHCP中继收到DHCP-ACK报文后,会发送DHCP-RELEASE报文释放申请的IP地址;
如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会老化该IP地址对应的表项。
DHCP中继每隔指定时间(即为周期性)以客户端分配到的IP地址和DHCP中继口的MAC地址向DHCP服务器发送DHCP-REQUEST报文,导致以下三个问题:
1、网络中会周期性出现大量的DHCP-REQUEST、DHCP-ACK或者DHCP-NAK报文,大量的协议报文上送DHCP服务器CPU处理,导致CPU处理繁忙,DHCP上送CPU协议队列长期被占用,导致其他DHCP协议报文等无法处理。
2、由于DHCP中继周期性刷新动态地址表项,会出现服务器已经收到客户端的DHCP-RELEASE报文释放地址租约,或者DHCP服务器上租约到期之后,但是DHCP中继上还存在地址安全表项,在DHCP中继上不能实时刷新动态地址表项。
3、DHCP服务器释放地址租约后,DHCP中继上地址安全表项一直还在,占用DHCP中继的地址安全表项规格,导致在地址安全表项满规格的情况下用户上线不会产生授权ARP信息。
发明内容
有鉴于此,本发明提供一种协助DHCP中继刷新地址安全表项的方法,应用于网络的DHCP服务器上,所述网络还包括记录有用户地址表项的DHCP中继,所述方法包括:
步骤A,在收到来自客户端的DHCP请求报文后,为DHCP客户端分配IP地址,并检查该DHCP请求报文是否有中继标识;
步骤B,对有中继标识的DHCP请求报文,将对应分配出去的IP地址设置特定标识;
步骤C,在当需要释放IP地址租约时,用于判断待释放的IP地址是否有特定标识,如没有特定标识转步骤D,如有特定标识则转步骤E;
步骤D,释放待释放的IP地址所对应的IP地址租约;
步骤E,释放所对应的IP地址租约,并发送报文通知DHCP中继刷新与该IP地址对应的地址安全表项。
本发明还提供一种协助DHCP中继刷新地址安全表项的装置,应用于网络的DHCP服务器上,其中,
处理单元,用于根据DHCP请求报文为DHCP客户端分配IP地址,并检查DHCP请求报文是否有中继标识;
标识单元,用于对有中继标识的DHCP请求报文,将对应分配出去的IP地址设置特定标识;
判断单元,当需要释放IP地址租约时,用于判断待释放的IP地址是否有特定标识;
释放单元,用于释放待释放的IP地址所对应的IP地址租约;
通知单元,用于释放所对应的IP地址租约,并发送报文通知DHCP中继刷新与该IP地址对应的地址安全表项
本发明通过DHCP服务器在维护地址池表项时增加特定标识,感知所分配的IP地址经过DHCP中继的情况并及时给DHCP中继发送相应报文,通知DHCP中继刷新地址安全表项,保证DHCP中继地址安全表项的实时刷新,并有效解决了DHCP中继周期性向DHCP服务器发送大量释放IP请求报文,导致网络突发流量较大和DHCP服务器CPU处理繁忙的问题。
附图说明
图1是现有技术中DHCP Relay地址转发报文流程图;
图2是本发明中协助DHCP Relay刷新地址安全表项流程框图;
图3是本发明实施例中协助DHCP Relay刷新地址安全表项流程图;
图4是本发明实施例中协助DHCP Relay刷新地址安全表项装置逻辑结构图。
具体实施方式
传统的通过DHCP Relay(中继)完成动态配置的过程中,DHCP客户端与DHCP服务器的处理方式与不通过DHCP中继时的处理方式基本相同,如图1所示,DHCP中继功能的网络设备收到DHCP客户端以广播方式发送的DHCP-DISCOVER(发现)或DHCP-REQUEST(请求)报文后,将报文中的giaddr(中继IP地址)字段填充为DHCP中继的IP地址,并根据配置将报文单播转发给指定的DHCP服务器;DHCP服务器根据giaddr字段为客户端分配IP地址等参数,并通过DHCP中继将配置信息转发给客户端,完成对客户端的动态配置。
当DHCP客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继会记录IP地址与MAC地址的绑定关系,但是由于DHCP客户端释放该IP地址时,会给DHCP服务器单播发送DHCP-RELEASE报文,DHCP中继不会处理该DHCP报文的内容,造成DHCP中继的与用户相关的地址安全表项不能被实时刷新。一种简单思考方式是改变DHCP中继的处理流程,然而事实上有些IP地址在租约到期的时候,客户端并不会发出DHCP-RELEASE报文,因此DHCP中继依然无法准确地更新前述地址安全表项。为了解决这个问题,本发明提供一种协助DHCP Relay刷新地址安全表项的解决方案来解决造成DHCP中继的用户地址安全表项较多,老化不及时的问题。在优选的实施方式中,本发明提供一种协助DHCP Relay刷新地址安全表项的装置,请参考图4,该装置应用于网络的DHCP服务器上,所述DHCP服务器的基本硬件环境包括CPU、内存、非易失性存储器以及其他硬件。该协助DHCP Relay刷新地址安全表项的装置在逻辑上包括:处理单元、标识单元、判断单元、释放单元、通知单元,请参考图2,该装置在运行过程中执行如下处理流程:
步骤201,处理单元在收到来自客户端的DHCP请求报文后,为DHCP客户端分配IP地址,并检查该DHCP请求报文是否有中继标识;
步骤202,对有中继标识的DHCP请求报文,将对应分配出去的IP地址设置特定标识;
步骤203,判断单元用于当需要释放IP地址租约时,判断待释放的IP地址是否有特定标识,如没有特定标识转步骤D,如有特定标识则转步骤E;
步骤204,释放单元用于释放所对应的IP地址租约;
步骤205,通知单元用于释放所对应的IP地址租约,并发送报文通知DHCP中继刷新与该IP地址对应的地址安全表项。
具体地,当DHCP服务器在接收到DHCP客户端申请IP地址的DHCP请求报文时,按照常规流程处理并为DHCP客户端分配IP地址。与现有技术不同的是,本发明同时需要判断DHCP请求报文是否有中继标识,该判断依据DHCP请求报文中携带的Option82字段,如果Option82字段中填充的是中继的信息,说明是经过DHCP中继申请的DHCP请求报文;如果Option82字段中无中继信息,说明是从DHCP客户端直接申请的DHCP请求报文。
为了清楚分辨IP地址的分配情况,DHCP服务器在维护DHCP地址池时,可以仅将经过DHCP中继申请到的IP地址做特定标识,对于从DHCP客户端直接申请到的IP地址不做特别处理;当然也可以将经过DHCP中继申请到的IP地址和从DHCP客户端直接申请到的IP地址均设置不同的标识。
在本实施例中,以标识为Relay或者Direct为例,将经过DHCP中继申请到的IP地址标识为Relay(中继),对于从DHCP客户端直接申请到的IP地址标识为Direct(直接)。以下为DHCP服务器IP地址标识表项:
| IP | MAC | … | IDENTIFY(标识) |
| X.X.X.X | HHH-HHH-HHH | ... | Relay/Direct |
如上所述,DHCP服务器收到客户端发送的DHCP-RELEASE(释放)报文时其需要释放该IP地址租约,也就是将分配给该客户端的IP地址回收,或者说DHCP服务器发现某个IP地址的租约到期时,也需要释放该IP地址租约,主动回收该IP地址。在本发明中,如图3所示,需要对待释放的IP地址进行判断。优选的实施例中,待释放的IP地址有两种情况:
(1)标识为Relay的IP地址;
(2)标识为Direct的IP地址。
DHCP服务器根据以上两种不同情况,分别做出不同的处理:如果IP地址标识为Direct,说明该IP地址是由DHCP客户端直接申请的,此时DHCP服务器只需释放该IP地址租约即可。如果标识为Relay,说明该IP地址当初经过DHCP中继申请的,那么除了要释放该IP地址租约之外,同时还要给DHCP中继发送DHCP-ACK(确认)报文,通知DHCP中继删除与该IP地址对应的地址安全表项(即删除该客户端的IP地址与MAC地址的对应关系记录)。在本实施方式中,使用DHCP-ACK通知DHCP中继刷新地址安全表项,当然也可以使用其他协议报文,比如一些私有协议报文。使用DHCP-ACK通知DHCP中继刷新地址安全表项的方法具体为:在通知DHCP中继的DHCP-ACK报文利用DHCP报文格式中Flags(标志字段:在DHCP报文格式中只使用了其左边的最高位,作为广播响应标识位)字段中的保留部分MBZ(Flags的保留位)设定一个标记,可定义为0001或者其他标记,该标记用于表征发给DHCP中继的DHCP-ACK报文为刷新地址安全表项的报文,通知DHCP中继刷新地址安全表项。
DHCP中继收到DHCP服务器发送的DHCP-ACK报文后,则会删除与该IP地址对应的地址安全表项,保证DHCP中继上地址安全表项能够实时刷新。本发明摒弃了现有方案中DHCP中继周期性刷新动态地址安全表项时,出现DHCP服务器已经收到客户端的DHCP-RELEASE报文释放地址租约或者DHCP服务器上IP地址租约到期之后,但是DHCP中继上还存在地址安全表项,此时未删除的IP地址占用DHCP中继的大量的地址安全表项,甚至会出现地址安全表项满规格的情况,在这种情况下会致使用户上线时就无法产生授权ARP信息等问题。从另一个角度说,本发明避免了现有技术中周期性DHCP中继与DHCP服务器之间大量的协议报文交互,避免了带宽的浪费,也避免了DHCP服务器的CPU处理资源的占用而影响正常DHCP申请报文处理的问题。
相对于现有技术来说,本发明根据DHCP请求报文的申请路径为地址池中已经被分配的IP地址进行特定标识,并对有特定标识的IP地址在释放租约时发送DHCP-ACK报文通知DHCP中继刷新地址安全表项,相应的DHCP中继接收到通知后按指示删除对应的地址安全表项,以达到DHCP中继根据实际释放的IP地址实时刷新地址安全表项,避免了地址安全表项满规格的情况,同时也可以解决传统技术中,DHCP中继周期性以客户端分配到的IP地址和DHCP中继口的MAC地址向DHCP服务器发送DHCP-RELEASE报文,导致网络中会定期突发流量较大和DHCP服务器的CPU处理繁忙的问题。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种协助DHCP中继刷新地址安全表项的方法,应用于网络的DHCP服务器上,其特征在于,该方法包括:
步骤A,在收到来自客户端的DHCP请求报文后,为DHCP客户端分配IP地址,并检查该DHCP请求报文是否有中继标识;
步骤B,对有中继标识的DHCP请求报文,将对应分配出去的IP地址设置特定标识;
步骤C,当需要释放IP地址租约时,判断待释放的IP地址是否有特定标识,如没有特定标识转步骤D,如有特定标识则转步骤E;
步骤D,释放所对应的IP地址租约;
步骤E,释放所对应的IP地址租约,并发送报文通知DHCP中继刷新与该IP地址对应的地址安全表项。
2.如权利要求1所述的协助DHCP中继刷新地址安全表项的方法,其特征在于,步骤A中所述检查请求报文是否有中继标识,进一步包括,判断DHCP请求报文中携带的Option82字段填充的是否有中继的信息,如是则确定该报文为有中继标识的DHCP请求报文。
3.如权利要求1所述的协助DHCP中继刷新地址安全表项的方法,其特征在于,步骤E所述发送的通知DHCP中继刷新地址安全表项的报文为DHCP-ACK报文。
4.如权利要求3所述的协助DHCP中继刷新地址安全表项的方法,其特征在于,所述通知DHCP中继刷新地址安全表项的方法具体为:在所述DHCP-ACK报文Flags字段中的保留部分做一个标记,该标记用于表征发给DHCP中继的DHCP-ACK报文为刷新地址安全表项的报文。
5.一种协助DHCP中继刷新地址安全表项的装置,应用于网络的DHCP服务器上,包括用于接收DHCP客户端以及DHCP中继发送的与地址相关的请求报文的接收单元,其特征在于,还包括:
处理单元,用于在收到来自客户端的DHCP请求报文后为DHCP客户端分配IP地址,并检查DHCP请求报文是否有中继标识;
标识单元,用于对有中继标识的DHCP请求报文,将对应分配出去的IP地址设置特定标识;
判断单元,当需要释放IP地址租约时,用于判断待释放的IP地址是否有特定标识;
释放单元,用于释放待释放的IP地址所对应的IP地址租约;
通知单元,用于在释放有特定标识对应的IP地址租约时,发送报文通知DHCP中继刷新与该IP地址对应的地址安全表项。
6.如权利要求6所述的装置,其特征在于,所述处理单元中检查DHCP请求报文是否有中继标识,进一步是根据DHCP请求报文中携带的Option82字段填充的是否为中继的信息来判断,如是则确定该报文为有中继标识的DHCP请求报文。
7.如权利要求6所述的装置,其特征在于,通知单元中所述发送的通知DHCP中继刷新地址安全表项的报文为DHCP-ACK报文。
8.如权利要求7所述的装置,其特征在于,所述通知DHCP中继刷新地址安全表项的方法具体为:在所述DHCP-ACK报文Flags字段中的保留部分做一个标记,该标记用于表征发给DHCP Relay的DHCP-ACK报文为刷新地址安全表项的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310351932.6A CN103428308B (zh) | 2013-08-13 | 2013-08-13 | 协助dhcp中继刷新地址安全表项的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310351932.6A CN103428308B (zh) | 2013-08-13 | 2013-08-13 | 协助dhcp中继刷新地址安全表项的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103428308A true CN103428308A (zh) | 2013-12-04 |
| CN103428308B CN103428308B (zh) | 2016-12-28 |
Family
ID=49652471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310351932.6A Active CN103428308B (zh) | 2013-08-13 | 2013-08-13 | 协助dhcp中继刷新地址安全表项的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103428308B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410726A (zh) * | 2014-11-10 | 2015-03-11 | 深圳市深信服电子科技有限公司 | 基于动态主机配置协议地址池的管理方法及中继服务器 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1738269A (zh) * | 2004-08-17 | 2006-02-22 | 杭州华为三康技术有限公司 | 同步动态主机配置协议中继地址表与服务器地址池的方法 |
| CN1941722A (zh) * | 2006-08-29 | 2007-04-04 | 杭州华为三康技术有限公司 | 通过探测客户端维护dhcp安全特性表的方法与装置 |
| CN101330531A (zh) * | 2008-07-31 | 2008-12-24 | 杭州华三通信技术有限公司 | Dhcp地址分配处理方法和dhcp中继 |
| US7590733B2 (en) * | 2005-09-14 | 2009-09-15 | Infoexpress, Inc. | Dynamic address assignment for access control on DHCP networks |
| CN101795300A (zh) * | 2009-11-11 | 2010-08-04 | 福建星网锐捷网络有限公司 | Ip地址回收方法及系统、dhcp中继器、dhcp服务器 |
| CN102325202A (zh) * | 2011-10-31 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种用户地址表管理方法和设备 |
-
2013
- 2013-08-13 CN CN201310351932.6A patent/CN103428308B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1738269A (zh) * | 2004-08-17 | 2006-02-22 | 杭州华为三康技术有限公司 | 同步动态主机配置协议中继地址表与服务器地址池的方法 |
| US7590733B2 (en) * | 2005-09-14 | 2009-09-15 | Infoexpress, Inc. | Dynamic address assignment for access control on DHCP networks |
| CN1941722A (zh) * | 2006-08-29 | 2007-04-04 | 杭州华为三康技术有限公司 | 通过探测客户端维护dhcp安全特性表的方法与装置 |
| CN101330531A (zh) * | 2008-07-31 | 2008-12-24 | 杭州华三通信技术有限公司 | Dhcp地址分配处理方法和dhcp中继 |
| CN101795300A (zh) * | 2009-11-11 | 2010-08-04 | 福建星网锐捷网络有限公司 | Ip地址回收方法及系统、dhcp中继器、dhcp服务器 |
| CN102325202A (zh) * | 2011-10-31 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种用户地址表管理方法和设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410726A (zh) * | 2014-11-10 | 2015-03-11 | 深圳市深信服电子科技有限公司 | 基于动态主机配置协议地址池的管理方法及中继服务器 |
| CN104410726B (zh) * | 2014-11-10 | 2018-04-06 | 深信服科技股份有限公司 | 基于动态主机配置协议地址池的管理方法及中继服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103428308B (zh) | 2016-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101330531B (zh) | Dhcp地址分配处理方法和dhcp中继 | |
| CN100502413C (zh) | Dhcp中继为dhcp客户端请求ip地址的方法 | |
| CN102325202B (zh) | 一种用户地址表管理方法和设备 | |
| CN104378455A (zh) | Ip地址分配方法以及装置 | |
| US10440763B2 (en) | M2M node deletion and registration method, M2M node and storage medium | |
| CN101656764A (zh) | Dhcp用户的会话保活方法、系统和装置 | |
| WO2020001045A1 (zh) | 管理地址的方法和装置 | |
| CN102685270A (zh) | 动态地址分配方法和设备 | |
| CN101465756A (zh) | 使非法dhcp服务自动失效的方法和装置及dhcp服务器 | |
| CN105979202B (zh) | 一种数据传输方法及装置 | |
| US20110058491A1 (en) | System and method for managing network connectivity of a cpe using a cmts | |
| CN106453690A (zh) | Ip地址分配方法及装置 | |
| CN102984175B (zh) | 一种无ip监控前端设备和一种代理装置 | |
| WO2017059742A1 (zh) | 用户侧设备、服务器、端口资源管理方法及系统 | |
| CN102710452B (zh) | 一种管理多客户端访问的方法和装置 | |
| CN101888388A (zh) | 一种实现虚拟媒体访问控制地址的方法及装置 | |
| CN104219337A (zh) | 应用于sdn中的ip地址分配方法和设备 | |
| CN102801716A (zh) | 一种dhcp防攻击方法及装置 | |
| CN101237460A (zh) | DHCP Server端租约状态发生变化时的处理方法、系统及装置 | |
| CN102340555B (zh) | 一种介质访问控制地址分配方法、装置和系统 | |
| CN104009961A (zh) | 一种PPPoE会话标识分配方法及设备 | |
| CN103428308A (zh) | 协助dhcp中继刷新地址安全表项的方法及装置 | |
| CN101778107A (zh) | 状态同步的处理方法及装置 | |
| CN102523316B (zh) | 一种地址分配方法和设备 | |
| CN102710810A (zh) | 一种自动分配ip地址的方法及一种中继设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |