CN103795581B - 地址处理方法和设备 - Google Patents
地址处理方法和设备 Download PDFInfo
- Publication number
- CN103795581B CN103795581B CN201210422493.9A CN201210422493A CN103795581B CN 103795581 B CN103795581 B CN 103795581B CN 201210422493 A CN201210422493 A CN 201210422493A CN 103795581 B CN103795581 B CN 103795581B
- Authority
- CN
- China
- Prior art keywords
- message
- address
- duid
- dhcp
- dhcp server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 7
- 238000000034 method Methods 0.000 claims abstract description 27
- 230000004044 response Effects 0.000 claims abstract description 25
- 238000006243 chemical reaction Methods 0.000 claims abstract description 9
- 230000006870 function Effects 0.000 claims description 13
- COCAUCFPFHUGAA-MGNBDDOMSA-N n-[3-[(1s,7s)-5-amino-4-thia-6-azabicyclo[5.1.0]oct-5-en-7-yl]-4-fluorophenyl]-5-chloropyridine-2-carboxamide Chemical compound C=1C=C(F)C([C@@]23N=C(SCC[C@@H]2C3)N)=CC=1NC(=O)C1=CC=C(Cl)C=N1 COCAUCFPFHUGAA-MGNBDDOMSA-N 0.000 claims description 10
- 230000032683 aging Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 abstract 1
- 230000006855 networking Effects 0.000 description 6
- 238000012360 testing method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5061—Pools of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了地址处理方法和设备。其中,该方法应用于具有DHCP侦听snooping功能的网络设备,包括:所述网络设备侦听DHCP客户端发送的用于确认IP地址是否可用的报文,并依据侦听的报文记录关联所述IP地址的临时snooping表项;所述网络设备将侦听的报文转换为用于申请IP地址的报文,并将DHCP服务器的标识DUID携带在转换后的报文中发送给所述DHCP服务器;所述网络设备侦听DHCP服务器针对所述用于申请IP地址的报文返回的应答报文,发现已记录的临时snooping表项中存在与所述应答报文中IP地址关联的临时snooping表项,则将该存在的临时snooping表项更新为有效的snooping表项,以基于所述有效的snooping表项使所述DHCP客户端正常访问局域网。
Description
技术领域
本申请涉及网络通信技术,特别涉及地址处理方法和设备。
背景技术
动态主机配置协议(DHCP:Dynamic Host Configuration Protocol),其采用客户端/服务器通信模式,由DHCP客户端(Client)向DHCP服务器(Server)提出配置请求比如申请IP地址等,DHCP服务器返回DHCP客户端请求的配置信息比如IP地址等,以实现配置信息的动态配置。
在DHCP应用组网中,出于安全考虑,往往在DHCP客户端和DHCP服务器之间部署具有DHCP侦听(Snooping)功能的网络设备(简称DHCPSnooping设备)。如图1所示,网络设备上连接DHCP服务器的端口需要配置为信任属性(Trusted),以便DHCP Snooping设备正常转发DHCP服务器向DHCP客户端返回的应答报文,保证DHCP客户端能够从合法的DHCP服务器申请IP地址。
在DHCP客户端申请IP地址后,如果该DHCP客户端重启,或者从睡眠(sleep)状态唤醒,或者物理连接状态发生变化,都会有可能使DHCP客户端迁移至新的链路。当DHCP客户端迁移至新的链路时,DHCP客户端必须发起一次确认(Confirm)报文来确认其之前已申请的IP地址是否可用,该Confirm报文的组播地址为All_DHCP_Relay_Agents_and_Servers组播地址。
DHCP服务器收到DHCP客户端发起的Confirm报文后,测试Confirm报文需要续约的IP地址在DHCP客户端当前所在的链路上是否可用,并依据测试结果做出以下应答方式:
1、在Confirm报文中的IP地址通过测试时,不记录该IP地址的租约信息,向DHCPClient返回一个应答报文,该应答报文中Status Code Option选项的状态标识为用于通知该IP地址可用的SUCCESS,但不携带IA选项,这里,IA选项用于携带通过测试的、且由confirm报文确认的IP地址;
2、在Confirm报文中的IP地址未通过测试时,不记录该IP地址的租约,向DHCPClient返回一个应答报文,该应答报文中Status Code Option选项的状态标识为用于通知该IP地址不可用的NotOnLink,不携带IA选项;
3、在Confirm报文中的IP地址未通过测试时,不记录该IP地址的租约,且不向DHCPClient返回应答报文。
从上面描述的三种应答方式中可以看出,DHCP Server或者向发起confirm报文的DHCP客户端返回应答报文,但应答报文不携带IA选项,或者DHCP Server不向发起confirm报文的DHCP客户端返回应答报文,但不管哪种情况,DHCP snooping设备均无法获取由confirm报文确认且通过DHCP服务器测试的IP地址,进而导致DHCP snooping设备无法建立关联该IP地址的snooping表项,影响DHCP Client无法基于snooping表项通过由confirm报文确认且通过DHCP服务器测试的IP地址访问局域网。
发明内容
本申请提供了地址处理方法和设备,以实现DHCP Client正常访问局域网。
本申请提供的技术方案包括:
一种地址处理方法,该方法应用于具有DHCP侦听snooping功能的网络设备,该方法包括:
所述网络设备侦听DHCP客户端发送的用于确认IP地址是否可用的报文,并依据侦听的报文记录关联所述IP地址的临时snooping表项;
所述网络设备将侦听的报文转换为用于申请IP地址的报文,并将DHCP服务器的标识DUID携带在转换后的报文中发送给所述DHCP服务器;
所述网络设备侦听DHCP服务器针对所述用于申请IP地址的报文返回的应答报文,发现已记录的临时snooping表项中存在与所述应答报文中IP地址关联的临时snooping表项,则将该存在的临时snooping表项更新为有效的snooping表项,以基于所述有效的snooping表项使所述DHCP客户端正常访问局域网。
一种应用于地址处理的网络设备,该网络设备具有DHCP侦听snooping功能,包括:CPU和存储器;其中,
所述CPU包含第一侦听模块、转换模块和第二侦听模块;
所述第一侦听模块,用于侦听DHCP客户端发送的用于确认IP地址是否可用的报文,并依据侦听的报文在所述存储器中记录关联所述IP地址的临时snooping表项;
转换模块,用于将所述第一侦听模块侦听的报文转换为用于申请IP地址的报文,并将对应DHCP服务器的标识DUID携带在转换后的报文中发送给所述DHCP服务器;
第二侦听模块,用于侦听DHCP服务器针对所述用于申请IP地址的报文返回的应答报文,发现所述存储器中存在与所述应答报文中的IP地址关联的临时snooping表项,则在所述存储器中将该存在的临时snooping表项更新为有效的snooping表项,以基于所述有效的snooping表项使所述DHCP客户端正常访问局域网。
由以上技术方案可以看出,本发明通过具有DHCP snooping功能的网络设备对用于确认IP地址是否可用的报文比如confirm报文转换为用于申请IP地址的报文比如request报文,以按照现有DHCP客户端申请IP地址方式与DHCP服务器进行交互,能够保证具有DHCP snooping功能的网络设备建立与该需要确认的IP地址相关联的snooping表项,实现DHCP客户端正常访问局域网。
附图说明
图1为DHCP Snooping功能的网络设备的应用组网图;
图2为本发明实施例提供的方法流程图;
图3为本发明实施例提供的步骤202实现流程图;
图4为本发明实施例提供的网络设备结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
通常,为了实现安全防护,组网中DHCP客户端和DHCP服务器之间的所有报文都是经过DHCP snooping设备的,也就是说,DHCP snooping设备能够侦听到组网中所有的报文,基于此,本发明提供的方法中,由DHCPsnooping设备侦听DHCP客户端发起的用于确认IP地址是否可用的报文,并基于侦听结果执行相关操作,以实现DHCP客户端通过由confirm报文发起的需要确认的IP地址访问局域网。
下面对本发明提供的方法进行描述:
参见图2,图2为本发明实施例提供的方法流程图。如图2所示,该流程可包括以下步骤:
步骤201,DHCP snooping设备侦听DHCP客户端发送的用于确认IP地址是否可用的报文,并依据侦听的报文记录关联所述IP地址的临时snooping表项。
优选地,本步骤201中记录的临时snooping表项至少包括:需要确认的IP地址、DHCP客户端的MAC地址、DHCP snooping设备接收到所述报文的端口、以及VLAN等。
这里,之所以将该snooping表项称为临时snooping表项,主要是因为该IP地址还未被DHCP服务器确认,此时该snooping表项还未有效,不能使用。
另外,优选地,本发明中,所述用于确认IP地址是否可用的报文可为DHCPv6中的confirm报文,或者其他具有类似功能的报文。以下为便于描述,可将该用于确认IP地址是否可用的报文称为confirm报文,其他情况原理类似。
步骤202,DHCP snooping设备将侦听的confirm报文转换为用于申请IP地址的报文,并将DHCP服务器的标识(DUID:DHCP Unique Identifier)携带在转换后的报文中发送给所述DHCP服务器。
优选地,本发明中,所述用于申请IP地址的报文可为DHCPv6中的request报文,或者为其他具有类似功能的报文。
以下为便于描述,将用于申请IP地址的报文称为request报文。
当DHCP服务器接收到request报文时,与现有方式一样,查看该request报文携带的DUID是否为自身的DUID,如果否,则丢弃该接收的request报文,如果是,则解析出该request报文携带的IP地址,确定该解析出的IP地址是否可分配,如果是,记录该IP地址的租约信息,并向所述DHCP snooping设备返回应答(reply)报文。这里,确定该解析出的IP地址是否可分配具体可包括:按照不同DHCP客户端使用不同IP地址的原则确定该解析出的IP地址是否可分配;也即,确定该解析出的IP地址是否空闲,如果是,则确定该IP地址可分配给DHCP客户端,否则,确定该IP地址不可分配给DHCP客户端,这能避免IP地址冲突。另外,优选地,本发明中,DHCP服务器记录的IP地址的租约信息至少包括:IP地址、所述request报文携带的DHCP客户端的MAC地址、IP地址的租约期限。
而当DHCP snooping设备侦听到DHCP服务器返回的reply报文时,执行步骤203:
步骤203,DHCP snooping设备侦听DHCP服务器返回的reply报文,发现已记录的临时snooping表项中存在与所述reply报文中的IP地址关联的临时snooping表项,则将该存在的临时snooping表项更新为有效的snooping表项,以基于所述有效的snooping表项使所述DHCP客户端正常访问局域网。
其中,当临时snooping表项更新为有效的snooping表项后,则表示该更新后的snooping表项可用。
优选地,步骤203中,DHCP snooping设备还进一步将侦听到的reply报文转发给DHCP客户端,如此,当DHCP客户端基于所述reply报文中的IP地址进行局域网访问时,由于DHCP snooping设备中存在关联该IP地址的有效snooping表项,因此,DHCP snooping设备可允许DHCP客户端访问局域网,实现了DHCP客户端正常访问局域网的目的。
至此,完成图2所示流程。
从图2所示流程可以看出,本发明通过由DHCP snooping设备对confirm报文进行转换,以按照现有IP地址申请方式即request/reply方式与DHCP服务器进行交互,一方面确保DHCP服务器记录confirm报文发起的需要确认的IP地址的租约信息,另一方面保证DHCPsnooping设备建立与该需要确认的IP地址相关联的snooping表项,实现DHCP客户端正常访问局域网。
下面对图2所示流程中步骤202进行详细描述:
需要说明的是,本申请中,为便于实现步骤202,需要DHCP snooping设备在本申请的步骤202之前,进一步执行以下操作:记录DHCP服务器的DUID。
本申请中,DHCP snooping设备可通过以下三种方式中任一方式记录DHCP服务器的DUID:
方式1:如上所述,出于安全防护的目的,组网中DHCP客户端和DHCP服务器之间的所有报文都是经过DHCP snooping设备的,基于此,本方式1中,DHCP snooping设备可通过在DHCP客户端申请IP地址过程中侦听DHCP服务器向DHCP客户端发送的报文,并依据侦听的报文所携带的信息建立以下两个表项:
表项1,其包含DHCP客户端的MAC地址、IP地址、DHCP服务器对应的DUID、侦听到所述报文的端口和该端口所属的虚拟局域网(VLAN);其中,DHCP客户端的MAC地址、IP地址、DHCP服务器对应的DUID均从该侦听到的报文中获取的。
表项2,其仅包含DHCP服务器对应的DUID、侦听到所述报文的端口和该端口所属的VLAN。其中,DHCP服务器对应的DUID从该侦听到的报文中获取的。
其中,由于表项1包含DHCP客户端的IP地址,因此,该表项1的老化时间依赖于其包含的IP地址的租约时间,也即,表项1可在其包含的IP地址的租约时间结束时老化,而表项2,其老化时间可根据实际情况设置,比如,可设置为建立该表项2时所侦听到的报文中IP地址的租约时间,或者为该租约时间的倍数等,本发明并不具体限定。
需要说明的是,本方式1下侦听报文的方式可能会出现重复侦听同一个DHCP服务器发起的报文,进而会导致重复建立上述两个表项,针对这种情况,本发明中,当DHCPsnooping设备侦听到报文时,验证已建立的表项中是否包含该侦听到的报文携带的DUID,如果是,忽略此时侦听的报文,反之,执行上述表项1和表项2的建立。
方式2:基于组网中DHCP客户端和DHCP服务器之间的所有报文都是经过DHCPsnooping设备的,本方式2中,DHCP snooping设备可通过在DHCP客户端申请IP地址过程中侦听DHCP服务器向DHCP客户端发送的报文,记录该侦听到的报文所携带的DUID。也即,本方式2中仅记录DUID,比较简单,并不像方式1那样还记录侦听到报文的端口、端口所属VLAN等。
需要说明的是,本方式2下侦听报文的方式可能会出现重复侦听同一个DHCP服务器发起的报文,进而会导致重复记录DUID,针对这种情况,本发明中,当DHCP snooping设备侦听到报文时,验证已记录的DUID中是否包含该侦听到的报文携带的DUID,如果是,忽略此时侦听的报文,反之,记录该侦听到的报文携带的DUID。
方式3:本方式可通过静态配置实现,即预先在DHCP snooping设备上配置各个DHCP服务器的DUID。
至此,完成DHCP snooping设备记录DUID的描述。
基于上面描述的DHCP snooping设备记录DUID的方式,则上述步骤202具体实现可通过图3所示:
参见图3,图3为本发明实施例提供的步骤202实现流程图。如图3所示,该流程可包括以下步骤:
步骤301,DHCP snooping设备从已记录的所有DUID中确定出当前需要使用的N个DUID,N大于等于1。
假如DHCP snooping设备通过上面描述的方式1记录DUID,则步骤301具体为:从侦听到的confirm报文中获取DHCP客户端的MAC地址、以及该confirm报文需要确认的IP地址,确定本地建立的表项中是否存在包含该MAC和IP地址的表项,如果是,则将该表项中的一个DUID确定为当前需要使用的DUID,如果否,比如,包含该MAC和IP地址的表项已老化,则从本地已建立的所有表项中获取不同的DUID,将该获取的DUID作为当前需要使用的DUID。
假如DHCP snooping设备通过上面描述的方式2或方式3记录DUID,步骤301具体为:将本地已记录的所有DUID作为当前需要使用的DUID。在DHCPv6组网应用中,基于方式2或方式3,DHCP snooping设备记录的DUID个数可为1,也可大于1,比如为2等,本发明并不具体限定。
步骤302,DHCP snooping设备将侦听的confirm报文转换为N个request报文,将已确定的N个DUID依次填充至N个request报文,并将N个request报文发送至其携带的DUID对应的DHCP服务器。
本步骤302中,将侦听的confirm报文转换为request报文,实质是中止confirm报文的转发,由DHCP snooping设备代理客户端生成request报文。也即,DHCP snooping设备侦听的confirm报文是用于触发DHCP snooping设备生成request报文的前提。其中,生成的request报文的数量与步骤301确定的DUID的数量一致。另外,本步骤302中,DUID填充至request报文可通过在request报文增加server-id选项实现。
假如DHCP snooping设备通过上面描述的方式1记录DUID,则本步骤302中,将request报文发送至其携带的DUID对应的DHCP服务器具体包括:通过该request报文携带的DUID所在的表项中的端口和VLAN发送该request报文。通过这种方式,能够保证DHCPsnooping设备并非通过所有端口发送request报文,节省资源。
假如DHCP snooping设备通过上面描述的方式2或方式3记录DUID,则本步骤302中,将request报文发送至其携带的DUID对应的DHCP服务器具体包括:通过本地所有端口或者预先指定的至少一个端口发送该request报文。
至此,通过图3所示流程即可实现上述步骤202的操作。
以上对本发明提供的方法进行了描述,下面对本发明提供的设备进行描述:
参见图4,图4为本发明实施例提供的网络设备结构图。该网络设备应用于地址处理,具有DHCP侦听snooping功能,如图4所示,所述网络设备包括:,所述网络设备包括:CPU和存储器;其中,
所述CPU包含第一侦听模块、转换模块和第二侦听模块;
所述第一侦听模块,用于侦听DHCP客户端发送的用于确认IP地址是否可用的报文,并依据侦听的报文在所述存储器中记录关联所述IP地址的临时snooping表项;
转换模块,用于将所述第一侦听模块侦听的报文转换为用于申请IP地址的报文,并将对应DHCP服务器的标识DUID携带在转换后的报文中发送给所述DHCP服务器;
第二侦听模块,用于侦听DHCP服务器针对所述用于申请IP地址的报文返回的应答报文,发现所述存储器中存在与所述应答报文中的IP地址关联的临时snooping表项,则在所述存储器中将该存在的临时snooping表项更新为有效的snooping表项,以基于所述有效的snooping表项使所述DHCP客户端正常访问局域网。
优选地,本发明中,所述第二侦听模块侦听的应答报文是DHCP服务器通过执行以下步骤发送的:
确定所述用于申请IP地址的报文携带的IP地址是否可分配,如果是,记录该IP地址的租约信息,并向所述网络设备发送应答报文;其中,所述IP地址的租约信息至少包括:IP地址、所述申请IP地址的报文携带的DHCP客户端的MAC地址、IP地址的租约期限。
优选地,本发明中,所述用于确认IP地址是否可用的报文为DHCPv6中的确认confirm报文;所述用于申请IP地址的报文为DHCPv6中的request报文。
优选地,本发明中,所述存储器进一步记录DHCP服务器对应的DUID。基于此,如图4所示,所述转换模块包括:
确定子模块,用于从所述存储器已记录的所有DUID中确定出当前需要使用的N个DUID,N大于等于1;
处理子模块,用于将侦听的报文转换为N个用于申请IP地址的报文,将所述确定子模块已确定的N个DUID依次填充至N个转换后的报文,并将N个报文发送至其携带的DUID对应的DHCP服务器。
本发明中,所述CPU进一步包括:
第三侦听模块,用于通过在DHCP客户端申请IP地址过程中侦听DHCP服务器向DHCP客户端发送的报文;基于此,所述存储器通过以下三种方式中的任一种记录DHCP服务器对应的DUID:
方式1:通过以下两个表项记录DHCP服务器对应的DUID:表项1,包含DHCP客户端的MAC地址、DHCP客户端申请的IP地址、DHCP服务器对应的DUID、所述第三侦听模块侦听到报文的端口和该端口所属的VLAN;其中,DHCP客户端的MAC地址、DHCP客户端申请的IP地址、DHCP服务器对应的DUID均从第三侦听模块侦听到的报文中获取;表项2,仅包含DHCP服务器对应的DUID、侦听到所述报文的端口和该端口所属的VLAN,其中,DHCP服务器对应的DUID从第三侦听模块侦听到的报文中获取;
方式2:仅记录第三侦听模块侦听到的报文所携带的DUID;
方式3:记录配置的各个DHCP服务器的DUID。
本发明中,所述表项1的老化时间由所述表项1包含的IP地址的租约时间决定;所述表项2的老化时间预先配置。
本发明中,所述确定子模块从已记录的所有DUID中确定出当前需要使用的N个DUID包括:
在所述存储器通过方式1记录DHCP服务器的DUID时,从所述confirm报文中获取DHCP客户端的MAC地址,并获取该confirm报文需要确认的IP地址,确定所述存储器中是否存在包含该MAC和IP地址的表项,如果是,则将该表项中的一个DUID确定为当前需要使用的DUID,如果否,则从所述存储器存储的所有表项中获取不同的DUID,将该获取的DUID作为当前需要使用的DUID;
在所述存储器通过方式2或3记录DHCP服务器的DUID时,将所述存储器已记录的所有DUID作为当前需要使用的DUID。
本发明中,所述处理子模块将报文发送至其携带的DUID对应的DHCP服务器包括:
在所述存储器通过方式1记录DHCP服务器的DUID时,通过该报文携带的DUID所在表项中的端口和VLAN发送该request报文;
在所述存储器通过方式2或3记录DHCP服务器的DUID时,通过该本地所有端口或者预先指定的至少一个端口发送该request报文。
至此,完成本发明提供的网络设备结构描述。
由以上技术方案可以看出,本发明中,本发明通过具有DHCP snooping功能的网络设备对用于确认IP地址是否可用的报文比如confirm报文转换为用于申请IP地址的报文比如request报文,以按照现有DHCP客户端申请IP地址方式与DHCP服务器进行交互,能够保证具有DHCP snooping功能的网络设备建立与该需要确认的IP地址相关联的snooping表项,实现DHCP客户端正常访问局域网。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (13)
1.一种地址处理方法,该方法应用于具有DHCP侦听snooping功能的网络设备,其特征在于,该方法包括:
所述网络设备侦听DHCP客户端发送的用于确认IP地址是否可用的报文,并依据侦听的报文记录关联所述IP地址的临时snooping表项;
所述网络设备将侦听的报文转换为用于申请IP地址的报文,并将DHCP服务器的标识DUID携带在转换后的报文中发送给所述DHCP服务器;
所述网络设备侦听DHCP服务器针对所述用于申请IP地址的报文返回的应答报文,发现已记录的临时snooping表项中存在与所述应答报文中IP地址关联的临时snooping表项,则将该存在的临时snooping表项更新为有效的snooping表项,以基于所述有效的snooping表项使所述DHCP客户端正常访问局域网。
2.根据权利要求1所述的方法,其特征在于,所述用于确认IP地址是否可用的报文为DHCPv6中的确认confirm报文;和/或,
所述用于申请IP地址的报文为DHCPv6中的request报文。
3.根据权利要求1所述的方法,其特征在于,该方法之前进一步包括:所述网络设备记录DHCP服务器对应的DUID;
所述将侦听的报文转换为用于申请IP地址的报文,并将对应DHCP服务器的标识DUID携带在转换后的报文中发送给DHCP服务器包括:
从已记录的所有DUID中确定出当前需要使用的N个DUID,N大于等于1;
将侦听的报文转换为N个用于申请IP地址的报文,将已确定的N个DUID依次填充至N个转换后的报文,并将N个报文发送至其携带的DUID对应的DHCP服务器。
4.根据权利要求3所述的方法,其特征在于,所述网络设备通过以下三种方式中的任一种记录DHCP服务器对应的DUID:
方式1:所述网络设备通过在DHCP客户端申请IP地址过程中侦听DHCP服务器向DHCP客户端发送的报文,并依据侦听的报文建立以下两个表项:表项1,包含DHCP客户端的MAC地址、DHCP客户端申请的IP地址、DHCP服务器对应的DUID、侦听到所述报文的端口和该端口所属的VLAN;其中,DHCP客户端的MAC地址、DHCP客户端申请的IP地址、DHCP服务器对应的DUID均从该侦听到的报文中获取;表项2,仅包含DHCP服务器对应的DUID、侦听到所述报文的端口和该端口所属的VLAN,其中,DHCP服务器对应的DUID从该侦听到的报文中获取;
方式2:所述网络设备通过在DHCP客户端申请IP地址过程中侦听DHCP服务器向DHCP客户端发送的报文,仅记录该侦听到的报文所携带的DUID;
方式3:在所述网络设备上配置各个DHCP服务器的DUID。
5.根据权利要求4所述的方法,其特征在于,所述表项1的老化时间由所述表项1包含的IP地址的租约时间决定;
所述表项2的老化时间预先配置。
6.根据权利要求4或5所述的方法,其特征在于,所述从已记录的所有DUID中确定出当前需要使用的N个DUID包括:
在所述网络设备通过方式1记录DHCP服务器的DUID时,从侦听到的confirm报文中获取DHCP客户端的MAC地址,并获取该confirm报文需要确认的IP地址,确定本地建立的表项中是否存在包含该MAC和IP地址的表项,如果是,则将该表项中的DUID确定为当前需要使用的DUID,如果否,则从本地已建立的所有表项中获取不同的DUID,将该获取的DUID作为当前需要使用的DUID;
在所述网络设备通过所述方式2或方式3记录DUID时,将本地已记录的所有DUID作为当前需要使用的DUID。
7.根据权利要求4或5所述的方法,其特征在于,将报文发送至其携带的DUID对应的DHCP服务器包括:
在所述网络设备通过方式1记录DHCP服务器的DUID时,通过该报文携带的DUID所在表项中的端口和VLAN发送该报文;
在所述网络设备通过方式2或方式3记录DHCP服务器的DUID时,通过本地所有端口或者预先指定的至少一个端口发送该报文。
8.一种应用于地址处理的网络设备,该网络设备具有DHCP侦听snooping功能,其特征在于,所述网络设备包括:CPU和存储器;其中,
所述CPU包含第一侦听模块、转换模块和第二侦听模块;
所述第一侦听模块,用于侦听DHCP客户端发送的用于确认IP地址是否可用的报文,并依据侦听的报文在所述存储器中记录关联所述IP地址的临时snooping表项;
转换模块,用于将所述第一侦听模块侦听的报文转换为用于申请IP地址的报文,并将对应DHCP服务器的标识DUID携带在转换后的报文中发送给所述DHCP服务器;
第二侦听模块,用于侦听DHCP服务器针对所述用于申请IP地址的报文返回的应答报文,发现所述存储器中存在与所述应答报文中的IP地址关联的临时snooping表项,则在所述存储器中将该存在的临时snooping表项更新为有效的snooping表项,以基于所述有效的snooping表项使所述DHCP客户端正常访问局域网。
9.根据权利要求8所述的网络设备,其特征在于,所述存储器进一步记录DHCP服务器对应的DUID;
所述转换模块包括:
确定子模块,用于从所述存储器已记录的所有DUID中确定出当前需要使用的N个DUID,N大于等于1;
处理子模块,用于将侦听的报文转换为N个用于申请IP地址的报文,将所述确定子模块已确定的N个DUID依次填充至N个转换后的报文,并将N个报文发送至其携带的DUID对应的DHCP服务器。
10.根据权利要求9所述的网络设备,其特征在于,所述CPU进一步包括:
第三侦听模块,用于通过在DHCP客户端申请IP地址过程中侦听DHCP服务器向DHCP客户端发送的报文;
所述存储器通过以下三种方式中的任一种记录DHCP服务器对应的DUID:
方式1:通过以下两个表项记录DHCP服务器对应的DUID:表项1,包含DHCP客户端的MAC地址、DHCP客户端申请的IP地址、DHCP服务器对应的DUID、所述第三侦听模块侦听到报文的端口和该端口所属的VLAN;其中,DHCP客户端的MAC地址、DHCP客户端申请的IP地址、DHCP服务器对应的DUID均从第三侦听模块侦听到的报文中获取;表项2,仅包含DHCP服务器对应的DUID、侦听到所述报文的端口和该端口所属的VLAN,其中,DHCP服务器对应的DUID从第三侦听模块侦听到的报文中获取;
方式2:仅记录第三侦听模块侦听到的报文所携带的DUID;
方式3:记录配置的各个DHCP服务器的DUID。
11.根据权利要求10所述的网络设备,其特征在于,所述表项1的老化时间由所述表项1包含的IP地址的租约时间决定;
所述表项2的老化时间预先配置。
12.根据权利要求10或11所述的网络设备,其特征在于,所述确定子模块从已记录的所有DUID中确定出当前需要使用的N个DUID包括:
在所述存储器通过方式1记录DHCP服务器的DUID时,从侦听到的confirm报文中获取DHCP客户端的MAC地址,并获取该confirm报文需要确认的IP地址,确定所述存储器中是否存在包含该MAC和IP地址的表项,如果是,则将该表项中的一个DUID确定为当前需要使用的DUID,如果否,则从所述存储器存储的所有表项中获取不同的DUID,将该获取的DUID作为当前需要使用的DUID;
在所述存储器通过方式2或3记录DHCP服务器的DUID时,将所述存储器已记录的所有DUID作为当前需要使用的DUID。
13.根据权利要求10或11所述的网络设备,其特征在于,所述处理子模块将报文发送至其携带的DUID对应的DHCP服务器包括:
在所述存储器通过方式1记录DHCP服务器的DUID时,通过该报文携带的DUID所在表项中的端口和VLAN发送该报文;
在所述存储器通过方式2或3记录DHCP服务器的DUID时,通过本地所有端口或者预先指定的至少一个端口发送该报文。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210422493.9A CN103795581B (zh) | 2012-10-29 | 2012-10-29 | 地址处理方法和设备 |
| PCT/CN2013/081434 WO2014067314A1 (en) | 2012-10-29 | 2013-08-14 | Address processing |
| US14/403,854 US20150237005A1 (en) | 2012-10-29 | 2013-08-14 | Address processing |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210422493.9A CN103795581B (zh) | 2012-10-29 | 2012-10-29 | 地址处理方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103795581A CN103795581A (zh) | 2014-05-14 |
| CN103795581B true CN103795581B (zh) | 2018-05-11 |
Family
ID=50626417
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210422493.9A Active CN103795581B (zh) | 2012-10-29 | 2012-10-29 | 地址处理方法和设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20150237005A1 (zh) |
| CN (1) | CN103795581B (zh) |
| WO (1) | WO2014067314A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9521109B2 (en) * | 2014-10-01 | 2016-12-13 | The Boeing Company | Systems, methods, and computer-readable media for allocation and renewal of IP addresses |
| WO2016187786A1 (zh) * | 2015-05-25 | 2016-12-01 | 华为技术有限公司 | 消息处理方法、装置和系统 |
| CN106899456B (zh) * | 2017-03-14 | 2020-03-27 | 深圳市友华通信技术有限公司 | 一种链路检测与修复的实现方法 |
| CN109067764B (zh) * | 2018-08-29 | 2020-09-04 | 新华三技术有限公司 | 一种建立设备表项的方法及装置 |
| CN109150745B (zh) * | 2018-10-26 | 2022-06-21 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN113473576B (zh) * | 2020-03-31 | 2023-04-07 | 深圳市万普拉斯科技有限公司 | 漫游连网处理方法、装置、移动终端及可读存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
| CN101237378A (zh) * | 2008-03-11 | 2008-08-06 | 杭州华三通信技术有限公司 | 虚拟局域网的映射方法和设备 |
| US7478436B1 (en) * | 2008-01-17 | 2009-01-13 | International Business Machines Corporation | System and method for providing last log-in screen shots for security confirmation |
| CN101610206A (zh) * | 2008-06-17 | 2009-12-23 | 华为技术有限公司 | 一种绑定/解绑定的处理方法、系统和装置 |
| CN101873320A (zh) * | 2010-06-17 | 2010-10-27 | 杭州华三通信技术有限公司 | 一种基于DHCPv6中继的客户端信息确认方法及其装置 |
| CN102244620A (zh) * | 2010-05-13 | 2011-11-16 | 工业和信息化部电信传输研究所 | 一种确定网关与设备关联关系的方法和系统 |
| CN102244690A (zh) * | 2011-07-26 | 2011-11-16 | 福建星网锐捷网络有限公司 | 动态主机配置协议地址分配方法、系统、客户端及服务器 |
| CN102404230A (zh) * | 2011-12-15 | 2012-04-04 | 杭州华三通信技术有限公司 | 流量控制方法和装置 |
| CN102685270A (zh) * | 2012-05-25 | 2012-09-19 | 杭州华三通信技术有限公司 | 动态地址分配方法和设备 |
| CN102710811A (zh) * | 2012-06-14 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现dhcp地址安全分配的方法和交换机 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6226684B1 (en) * | 1998-10-26 | 2001-05-01 | Pointcast, Inc. | Method and apparatus for reestablishing network connections in a multi-router network |
| DE502004008199D1 (de) * | 2004-01-23 | 2008-11-20 | Siemens Ag | Verfahren zur Zuordnung einer IP-Adresse zu einem Gerät |
| GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
| GB0601706D0 (en) * | 2006-01-27 | 2006-03-08 | Amrivox Ltd | Automatic IP Network Determination And Configuration For Edge Devices |
| EP1993268A3 (en) * | 2007-05-18 | 2009-07-01 | Huawei Technologies Co., Ltd. | Method, system and relay device for transmitting packet |
| CN101330531B (zh) * | 2008-07-31 | 2011-01-19 | 杭州华三通信技术有限公司 | Dhcp地址分配处理方法和dhcp中继 |
| CN101924800B (zh) * | 2009-06-11 | 2015-03-25 | 华为技术有限公司 | 获取DHCPv6服务器IP地址的方法、DHCPv6服务器和DHCPv6通信系统 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
| JP5364671B2 (ja) * | 2010-10-04 | 2013-12-11 | アラクサラネットワークス株式会社 | ネットワーク認証における端末接続状態管理 |
-
2012
- 2012-10-29 CN CN201210422493.9A patent/CN103795581B/zh active Active
-
2013
- 2013-08-14 WO PCT/CN2013/081434 patent/WO2014067314A1/en active Application Filing
- 2013-08-14 US US14/403,854 patent/US20150237005A1/en not_active Abandoned
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
| US7478436B1 (en) * | 2008-01-17 | 2009-01-13 | International Business Machines Corporation | System and method for providing last log-in screen shots for security confirmation |
| CN101237378A (zh) * | 2008-03-11 | 2008-08-06 | 杭州华三通信技术有限公司 | 虚拟局域网的映射方法和设备 |
| CN101610206A (zh) * | 2008-06-17 | 2009-12-23 | 华为技术有限公司 | 一种绑定/解绑定的处理方法、系统和装置 |
| CN102244620A (zh) * | 2010-05-13 | 2011-11-16 | 工业和信息化部电信传输研究所 | 一种确定网关与设备关联关系的方法和系统 |
| CN101873320A (zh) * | 2010-06-17 | 2010-10-27 | 杭州华三通信技术有限公司 | 一种基于DHCPv6中继的客户端信息确认方法及其装置 |
| CN102244690A (zh) * | 2011-07-26 | 2011-11-16 | 福建星网锐捷网络有限公司 | 动态主机配置协议地址分配方法、系统、客户端及服务器 |
| CN102404230A (zh) * | 2011-12-15 | 2012-04-04 | 杭州华三通信技术有限公司 | 流量控制方法和装置 |
| CN102685270A (zh) * | 2012-05-25 | 2012-09-19 | 杭州华三通信技术有限公司 | 动态地址分配方法和设备 |
| CN102710811A (zh) * | 2012-06-14 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现dhcp地址安全分配的方法和交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014067314A1 (en) | 2014-05-08 |
| CN103795581A (zh) | 2014-05-14 |
| US20150237005A1 (en) | 2015-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3204857B1 (en) | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration | |
| CN103795581B (zh) | 地址处理方法和设备 | |
| Cheshire et al. | Multicast dns | |
| US9729501B2 (en) | System and data card for stateless automatic configuration of IPv6 address and method for implementing the same | |
| US8589582B2 (en) | Broadband network access | |
| US9515988B2 (en) | Device and method for split DNS communications | |
| EP3418891A1 (en) | Synchronization between virtual network functions and host systems | |
| CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| WO2011059770A2 (en) | Smart client routing | |
| US9148401B2 (en) | Method for obtaining IP address of DHCPV6 server, DHCPV6 server, and DHCPV6 communication system | |
| Cheshire et al. | Rfc 6762: Multicast dns | |
| CN104662848B (zh) | 用于动态域名系统(ddns)的方法和系统 | |
| CN103166960A (zh) | 接入控制方法及装置 | |
| CN107995321A (zh) | 一种vpn客户端代理dns的方法及装置 | |
| CN102801716B (zh) | 一种dhcp防攻击方法及装置 | |
| US10097418B2 (en) | Discovering network nodes | |
| CN107911496A (zh) | 一种vpn服务端代理dns的方法及装置 | |
| CN101945053B (zh) | 一种报文的发送方法和装置 | |
| CN107547621B (zh) | 一种报文转发方法及装置 | |
| CN114095562A (zh) | 边缘应用发现方法、系统以及增强防火墙 | |
| EP2574093A1 (en) | Method and system for managing and controlling wired terminal, and access server | |
| US9912557B2 (en) | Node information detection apparatus, node information detection method, and program | |
| US9419985B1 (en) | Interrogating malware | |
| US12074889B2 (en) | Preventing DHCP pool exhaustion and starvation with centralized arp protocol messages | |
| JP6256471B2 (ja) | 通信装置、通信方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |