CN106357840B - 一种支持端口迁移检测的方法及装置 - Google Patents
一种支持端口迁移检测的方法及装置 Download PDFInfo
- Publication number
- CN106357840B CN106357840B CN201610911130.XA CN201610911130A CN106357840B CN 106357840 B CN106357840 B CN 106357840B CN 201610911130 A CN201610911130 A CN 201610911130A CN 106357840 B CN106357840 B CN 106357840B
- Authority
- CN
- China
- Prior art keywords
- port
- target
- dhcp snooping
- address
- entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种支持端口迁移检测的方法及装置,所述方法包括:当在第一端口学习到媒体访问控制MAC地址时,根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项;若查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,则检测所述目标DHCP Snooping表项对应的目标客户端当前是否连接在所述第二端口;若检测到所述目标客户端当前未连接在所述第二端口,则确定所述目标客户端发生端口迁移,并将所述目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。应用本发明实施例可以保证应用DHCP Snooping安全机制时,端口迁移能够正常进行。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种支持端口迁移检测的方法及装置。
背景技术
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)采用客户端/服务器模式,由服务器为网络设备动态地分配IP(Internet Protocol,互联网协议)地址等网络配置参数。
DHCP Snooping(侦听)是DHCP的一种安全机制,用于保证客户端从合法的服务器获取IP地址。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
信任端口正常转发接收到的DHCP报文;
不信任端口接收到DHCP服务器响应的DHCP-ACK(确认)和DHCP-OFFER(提供)报文后,丢弃该报文。
DHCP Snooping安全机制通过监听DHCP-REQUEST(请求)报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC(Media Access Control,媒体访问控制)地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN(Virtual Local Area Network,虚拟局域网)等信息。DHCP Snooping安全机制利用DHCP Snooping表项中的信息进行安全检查。
然而在现有DHCP Snooping安全机制中,当DHCP客户端发生端口迁移(如手机客户端漫游时),若DHCP客户端所属VLAN没有变化,而只有端口发生变化时,DHCP服务器不会为该客户端重新分配IP地址,而DHCPSnooping表项中记录的端口还是迁移前的端口,导致安全防护,如ARP(Address Resolution Protocol,地址解析协议)Detection(防护),采用之前记录的DHCP Snooping表项进行检查,无法让用户迁移成功,需要强制让客户端重新分配地址后才能迁移成功。
发明内容
本发明提供一种支持端口迁移检测的方法及装置,以解决现有技术中应用DHCPSnooping安全机制时,端口迁移可能无法成功的问题。
根据本发明实施例的第一方面,提供一种支持端口迁移检测的方法,包括:
当在第一端口学习到媒体访问控制MAC地址时,根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项;
若查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口;
若检测到所述目标客户端当前未连接在所述第二端口,则确定所述目标客户端发生端口迁移,并将所述目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。
根据本发明实施例的第二方面,提供一种支持端口迁移检测的装置,包括:
学习单元,用于学习媒体访问控制MAC地址;
查询单元,用于当所述学习单元在第一端口学习到媒体访问控制MAC地址时,根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项;
检测单元,用于若所述查询单元查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口;
处理单元,用于若检测到所述目标客户端当前未连接在所述第二端口,则确定所述目标客户端发生端口迁移,并将所述目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。
应用本发明实施例,当第一端口学习到MAC地址时,根据该MAC地址查询DHCPSnooping表项,若查询到对应的DHCP Snooping表项,且目标DHCP Snooping表项中记录的第二端口与第一端口不一致,则检测目标DHCP Snooping表项对应的目标客户端当前是否连接在第二端口,若检测到目标客户端当前未连接在第二端口,则确定目标端口发生迁移,将目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口,保证了应用DHCPSnooping安全机制时,端口迁移能够正常进行。
附图说明
图1是本发明实施例提供的一种支持端口迁移检测的方法的流程示意图;
图2是本发明实施例提供的一种具体应用场景的架构示意图;
图3是本发明实施例提供的一种支持端口迁移检测的装置的结构示意图;
图4是本发明实施例提供的另一种支持端口迁移检测的装置的结构示意图;
图5是本发明实施例提供的另一种支持端口迁移检测的装置的结构示意图;
图6是本发明实施例提供的另一种支持端口迁移检测的装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
请参见图1,图1为本发明实施提供的一种支持端口迁移检测的方法的流程示意图,如图1所示,该支持端口迁移检测的方法可以包括以下步骤:
需要说明的是,在本发明实施例中,步骤101~步骤103的执行主体为支持DHCPSnooping安全机制的通信设备,如交换机或路由器等,为便于说明,以下以步骤101~步骤103的执行主体为DHCP Snooping设备为例进行描述。
步骤101、当在第一端口学习到MAC地址时,根据所述MAC地址查询DHCP Snooping表项。
本发明实施例中,第一端口并不特指某一固定的端口,而是可以指代DHCPSnooping设备上客户端侧的任一端口,本发明实施例后续不再复述。
本发明实施例中,当DHCP Snooping设备学习到MAC地址时,DHCP Snooping设备可以认为当前可能发生了MAC迁移事件,进而,DHCP Snooping设备可以根据该学到的MAC地址查询自身维护的DHCP Snooping表项。
步骤102、若查询到对应的目标DHCP Snooping表项,且该目标DHCP Snooping表项中记录的第二端口与第一端口不一致,则检测该目标DHCP Snooping表项对应的目标客户端当前是否连接在第二端口。
本发明实施例中,若DHCP Snooping设备根据学习到的MAC地址查询到对应的DHCPSnooping表项(本文中称为目标DHCP Snooping表项),则DHCP Snooping设备需要进一步比较该目标DHCP Snooping表项中记录的端口(本文中称为第二端口)与学习到该MAC地址的端口(即第一端口)是否一致,若不一致,则DHCP Snooping设备需要进一步检测该目标DHCPSnooping表项对应的客户端(即IP地址和MAC地址分别为该目标DHCP Snooping表项中记录的IP地址和MAC地址的客户端,本文中称为目标客户端)当前是否连接在第二端口,即确定当前是发生了MAC迁移还是MAC攻击。
作为一种可选的实施方式,在本发明实施例中,检测目标DHCP Snooping表项对应的目标客户端当前是否连接在第二端口,可以包括以下步骤:
11)、通过第二端口发送ARP请求报文,该ARP请求报文的目的IP地址为目标DHCPSnooping表项中记录的IP地址;
12)、若在第一预设时间内通过第二端口接收到ARP应答报文,且该ARP应答报文的源MAC地址和源IP地址分别与目标DHCP Snooping表项中记录的MAC地址和IP地址一致,则确定目标客户端当前连接在第二端口;
13)、否则,确定目标客户端当前未连接在第二端口。
在该实施方式中,DHCP Snooping设备可以通过第二端口发送ARP请求报文,该ARP请求报文的目的IP地址为目标DHCP Snooping表项中记录的IP地址(目的MAC地址可以为广播地址或目标DHCP Snooping表项中记录的MAC地址),并判断是否在预设时间内(可以根据具体场景设定,本文中称为第一预设时间)通过第二端口接收到该ARP请求报文对应的ARP应答报文。
若DHCP Snooping设备在第一预设时间内通过第二端口接收到ARP应答报文,且该ARP应答报文的源MAC地址和源IP地址分别与目标DHCP Snooping表项中记录的MAC地址和IP地址一致,则DHCP Snooping设备可以确定目标客户端当前连接在第二端口;否则,确定目标客户端当前未连接在第二端口。
作为另一种可选的实施方式,在本发明实施例中,检测目标DHCP Snooping表项对应的目标客户端当前是否连接在第二端口,可以包括以下步骤:
21)、通过第二端口发送ICMP请求报文,ICMP请求报文的目的IP地址为目标DHCPSnooping表项中记录的IP地址;
22)、若在第二预设时间内通过第二端口接收到ICMP应答报文,且ICMP应答报文的源MAC地址和源IP地址分别与目标DHCP Snooping表项中记录的MAC地址和IP地址一致,则确定目标客户端当前连接在第二端口;
23)、否则,确定目标客户端当前未连接在第二端口。
在该实施方式中,DHCP Snooping设备可以通过第二端口发送ICMP(InternetControl Message Protocol,互联网控制报文协议)请求报文,该ICMP请求报文的目的IP地址为目标DHCP Snooping表项中记录的IP地址(目的MAC地址可以为目标DHCP Snooping表项中记录的MAC地址),并判断是否在预设时间内(可以根据具体场景设定,本文中称为第二预设时间)通过第二端口接收到该ICMP请求报文对应的ICMP应答报文。其中,第一预设时间与第二预设时间可以相同,也可以不同。
若DHCP Snooping设备在第二预设时间内通过第二端口接收到ICMP应答报文,且该ICMP应答报文的源MAC地址和源IP地址分别与目标DHCP Snooping表项中记录的MAC地址和IP地址一致,则DHCP Snooping设备可以确定目标客户端当前连接在第二端口;否则,确定目标客户端当前未连接在第二端口。
值得说明的是,在本发明实施例中,若DHCP Snooping设备根据学习到的MAC地址未查询到对应的目标DHCP Snooping表项,或查询到对应的目标DHCP Snooping表项,且该目标DHCP Snooping表项中记录的第二端口与第一端口一致,则DHCP Snooping设备可以不需要对其进行特殊处理,而是可以参照现有相关实现进行处理,本发明实施例对此不做描述。
步骤103、若检测到目标客户端当前未连接在第二端口,则确定目标客户端发生端口迁移,并将该目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。
本发明实施例中,若DHCP Snooping设备检测到目标客户端当前未连接在第二端口,则DHCP Snooping设备可以认为第一端口学习到的该MAC地址是由于目标客户端发生了端口迁移,从而,DHCP Snooping设备可以将目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。
进一步地,在本发明实施例中,若DHCP Snooping设备检测到目标客户端当前连接在第二端口,则DHCP Snooping设备可以确定目标客户端未发生端口迁移,DHCP Snooping设备从第一端口学习到该MAC地址属于MAC攻击,从而,DHCP Snooping设备可以拒绝更新目标DHCP Snooping表项。
进一步地,作为一种可选的实施方式,在本发明实施例中,若查询到对应的目标DHCP Snooping表项,且目标DHCP Snooping表项中记录的第二端口与第一端口不一致,则上述检测目标DHCP Snooping表项对应的目标客户端当前是否连接在第二端口之前,还可以包括以下步骤:
31)、判断自身是否使能了端口迁移检测功能;
32)、若使能了端口迁移检测功能,则确定执行上述检测目标DHCP Snooping表项对应的目标客户端当前是否连接在第二端口的步骤。
在该实施方式中,为了使本发明实施例提供端口迁移方案能够兼容现有DHCPSnooping的相关应用,可以在应用本发明实施例提供的端口迁移方案中的DHCP Snooping设备上新增端口迁移检测功能,当该端口迁移检测功能被使能时,DHCP Snooping设备会在查询到与新学习到的MAC地址对应的目标DHCP Snooping表项,且该目标DHCP Snooping表项中记录的端口与新学习到该MAC地址的端口不一致时,进行端口迁移检测。
相应地,在该实施方式中,若DHCP Snooping设备查询到对应的目标DHCPSnooping表项,且目标DHCP Snooping表项中记录的第二端口与第一端口不一致,则DHCPSnooping设备需要先判断自身是否使能了端口迁移检测功能,若自身使能了端口迁移检测功能,再进一步检测目标DHCP Snooping表项对应的目标客户端当前是否连接在第二端口上。
其中,该端口迁移检测功能可以包括但不限于ARP检测或ICMP检测(或称为ping(一种网络诊断工具)检测)功能。
值得说明的是,在本发明实施例中,若DHCP Snooping设备未使能端口迁移检测功能,或DHCP Snooping设备不支持端口迁移检测功能,则DHCP Snooping设备可以按照现有相关实现进行处理,本发明实施例对此不做限定。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面结合具体应用场景对本发明实施例提供的技术方案进行描述。
请参见图2,为本发明实施例提供的一种具体应用场景的架构示意图,如图2所示,在该应用场景中,客户端1的MAC地址为FC64-6A50-E465,DHCP Snooping设备部署于DCHPServer(服务器)与客户端之间,端口G1/0/1和G1/0/2均属于VLAN130。
基于该应用场景,支持端口迁移检测的方案的实现流程如下:
1、客户端1在端口G1/0/1上线,申请到IP地址为10.0.139.34;
2、DHCP Snooping设备记录客户端通过DHCP上线申请到的地址信息,记录的用户信息(即DHCP Snooping表项)为:
IP为10.0.139.34,MAC为FC64-6A50-E465,端口为G1/0/1,VLAN为130;
3、某一时刻,客户端1发生漫游,从端口G1/0/1漫游到端口G1/0/2,IP地址不变;
4、DHCP Snooping设备从端口G1/0/2学习到MAC地址:FC64-6A50-E465;
5、DHCP Snooping设备根据该MAC地址查询DHCP Snooping表项,发现存在对应的目标DHCP Snooping表项,但目标DHCP Snooping表项中记录的端口为G1/0/1(与新学习到该MAC地址的端口G1/0/2不一致);
6、DHCP Snooping设备通过端口G1/0/1发送目的IP地址为10.0.139.34,目的MAC地址为FC64-6A50-E465的ARP请求报文(或ICMP请求报文),并设置超时时间,如5s;
7、若DHCP Snooping设备在5s内通过端口G1/0/1接收到源IP地址为10.0.139.34,源MAC地址为FC64-6A50-E465的ARP应答报文(或ICMP应答报文),则DHCP Snooping设备认为客户端1当前仍连接在端口G1/0/1,未发生端口迁移,端口G1/0/2上学习到的MAC地址属于MAC攻击,后续可以通过ARP授权阻止该端口对该MAC地址进行ARP学习;
8、若DHCP Snooping设备在5s内通过端口G1/0/1未接收到源IP地址为10.0.139.34,源MAC地址为FC64-6A50-E465的ARP应答报文(或ICMP应答报文),则认为客户端1发生了端口迁移,从而,DHCP Snooping设备可以将客户端1对应的目标DHCP Snooping表项中记录的端口由G1/0/1修改为G1/0/2;
9、DHCP Snooping设备控制基于DHCP Snooping授权的模块更新端口信息,且在端口G1/0/2上,可以学习IP为10.0.139.34,VLAN 130,MAC为FC64-6A50-E465的ARP信息。
通过以上描述可以看出,在本发明实施例提供的技术方案中,当第一端口学习到MAC地址时,根据该MAC地址查询DHCP Snooping表项,若查询到对应的DHCP Snooping表项,且目标DHCP Snooping表项中记录的第二端口与第一端口不一致,则检测目标DHCPSnooping表项对应的目标客户端当前是否连接在第二端口,若检测到目标客户端当前未连接在第二端口,则确定目标端口发生迁移,将目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口,保证了应用DHCP Snooping安全机制时,端口迁移能够正常进行。
请参见图3,为本发明实施例提供的一种支持端口迁移检测的装置的结构示意图,其中,所述装置可以应用于上述方法实施例中的DHCP Snooping设备中,如图3所示,该支持端口迁移检测的装置可以包括:
学习单元310,用于学习媒体访问控制MAC地址;
查询单元320,用于当所述学习单元310在第一端口学习到媒体访问控制MAC地址时,根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项;
检测单元330,用于若所述查询单元320查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,则检测所述目标DHCP Snooping表项对应的目标客户端当前是否连接在所述第二端口;
处理单元340,用于若所述检测单元330检测到所述目标客户端当前未连接在所述第二端口,则确定所述目标客户端发生端口迁移,并将所述目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。
请一并参阅图4,为本发明实施例提供的另一种支持端口迁移检测的装置的结构示意图,如图4所示,在图3所示支持端口迁移检测的装置的基础上,图4所示的支持端口迁移检测的装置还可以包括:
判断单元350,用于若所述查询单元320查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,判断DHCPSnooping设备是否使能了端口迁移检测功能;
相应地,所述检测单元330,可以具体用于若所述判断单元340的判断结果为是,则检测所述目标DHCP Snooping表项对应的目标客户端当前是否连接在所述第二端口。
请一并参阅图5,为本发明实施例提供的另一种支持端口迁移检测的装置的结构示意图,如图5所示,在图3所示支持端口迁移检测的装置的基础上,图5所示的支持端口迁移检测的装置中,所述检测单元330,可以包括:
第一发送子单元331,用于通过所述第二端口发送地址解析协议ARP请求报文,所述ARP请求报文的目的IP地址为所述目标DHCP Snooping表项中记录的IP地址;
第一接收子单元332,用于接收ARP应答报文;
第一确定子单元333,用于若所述第一接收子单元332在第一预设时间内通过所述第二端口接收到ARP应答报文,且所述ARP应答报文的源MAC地址和源IP地址分别与所述目标DHCP Snooping表项中记录的MAC地址和IP地址一致,则确定所述目标客户端当前连接在所述第二端口;否则,确定所述目标客户端当前未连接在所述第二端口。
请一并参阅图6,为本发明实施例提供的另一种支持端口迁移检测的装置的结构示意图,如图6所示,在图3所示支持端口迁移检测的装置的基础上,图6所示的支持端口迁移检测的装置中,所述检测单元330,可以包括:
第二发送子单元334,用于通过所述第二端口发送互联网控制报文协议ICMP请求报文,所述ICMP请求报文的目的IP地址为所述目标DHCP Snooping表项中记录的IP地址;
第二接收子单元335,用于接收ICMP应答报文;
第二确定子单元336,用于若所述第二接收子单元335在第二预设时间内通过所述第二端口接收到ICMP应答报文,且所述ICMP应答报文的源MAC地址和源IP地址分别与所述目标DHCP Snooping表项中记录的MAC地址和IP地址一致,则确定所述目标客户端当前连接在所述第二端口;否则,确定所述目标客户端当前未连接在所述第二端口。
在可选实施例中,所述处理单元340,还可以用于若所述检测单元330检测到所述目标客户端当前连接在所述第二端口,则确定所述目标客户端未发生端口迁移,拒绝更新所述目标DHCP Snooping表项。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,当第一端口学习到MAC地址时,根据该MAC地址查询DHCPSnooping表项,若查询到对应的DHCP Snooping表项,且目标DHCP Snooping表项中记录的第二端口与第一端口不一致,则检测目标DHCP Snooping表项对应的目标客户端当前是否连接在第二端口,若检测到目标客户端当前未连接在第二端口,则确定目标端口发生迁移,将目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口,保证了应用DHCPSnooping安全机制时,端口迁移能够正常进行。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种支持端口迁移检测的方法,其特征在于,该方法应用于客户端发生端口迁移的网络场景,所述客户端在发生端口迁移前后的IP地址不变,该方法包括:
当在第一端口学习到媒体访问控制MAC地址时,根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项;
若查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,则检测所述目标DHCP Snooping表项对应的目标客户端当前是否连接在所述第二端口;
若检测到所述目标客户端当前未连接在所述第二端口,则确定所述目标客户端发生端口迁移,并将所述目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。
2.根据权利要求1所述的方法,其特征在于,若查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,所述检测所述目标DHCP Snooping表项对应的目标客户端当前是否连接在所述第二端口之前,还包括:
判断自身是否使能了端口迁移检测功能;
若使能了端口迁移检测功能,则确定执行所述检测所述目标DHCP Snooping表项对应的目标客户端当前是否连接在所述第二端口的步骤。
3.根据权利要求1所述的方法,其特征在于,所述检测所述目标DHCP Snooping表项对应的目标客户端当前是否连接在所述第二端口,包括:
通过所述第二端口发送地址解析协议ARP请求报文,所述ARP请求报文的目的IP地址为所述目标DHCP Snooping表项中记录的IP地址;
若在第一预设时间内通过所述第二端口接收到ARP应答报文,且所述ARP应答报文的源MAC地址和源IP地址分别与所述目标DHCP Snooping表项中记录的MAC地址和IP地址一致,则确定所述目标客户端当前连接在所述第二端口;否则,确定所述目标客户端当前未连接在所述第二端口。
4.根据权利要求1所述的方法,其特征在于,所述检测所述目标DHCP Snooping表项对应的目标客户端当前是否连接在所述第二端口,包括:
通过所述第二端口发送互联网控制报文协议ICMP请求报文,所述ICMP请求报文的目的IP地址为所述目标DHCP Snooping表项中记录的IP地址;
若在第二预设时间内通过所述第二端口接收到ICMP应答报文,且所述ICMP应答报文的源MAC地址和源IP地址分别与所述目标DHCP Snooping表项中记录的MAC地址和IP地址一致,则确定所述目标客户端当前连接在所述第二端口;否则,确定所述目标客户端当前未连接在所述第二端口。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若检测到所述目标客户端当前连接在所述第二端口,则确定所述目标客户端未发生端口迁移,拒绝更新所述目标DHCP Snooping表项。
6.一种支持端口迁移检测的装置,其特征在于,该装置应用于客户端发生端口迁移的网络场景,所述客户端在端口迁移前后IP地址不变,该装置包括:
学习单元,用于学习媒体访问控制MAC地址;
查询单元,用于当所述学习单元在第一端口学习到媒体访问控制MAC地址时,根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项;
检测单元,用于若所述查询单元查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口;
处理单元,用于若所述检测单元检测到所述目标客户端当前未连接在所述第二端口,则确定所述目标客户端发生端口迁移,并将所述目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
判断单元,用于若所述查询单元查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,判断DHCP Snooping设备是否使能了端口迁移检测功能;
所述检测单元,具体用于若所述判断单元的判断结果为是,则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口。
8.根据权利要求6所述的装置,其特征在于,所述检测单元,包括:
第一发送子单元,用于通过所述第二端口发送地址解析协议ARP请求报文,所述ARP请求报文的目的IP地址为所述目标DHCP Snooping表项中记录的IP地址;
第一接收子单元,用于接收ARP应答报文;
第一确定子单元,用于若所述第一接收子单元在第一预设时间内通过所述第二端口接收到ARP应答报文,且所述ARP应答报文的源MAC地址和源IP地址分别与所述目标DHCPSnooping表项中记录的MAC地址和IP地址一致,则确定所述目标客户端当前连接在所述第二端口;否则,确定所述目标客户端当前未连接在所述第二端口。
9.根据权利要求6所述的装置,其特征在于,所述检测单元,包括:
第二发送子单元,用于通过所述第二端口发送互联网控制报文协议ICMP请求报文,所述ICMP请求报文的目的IP地址为所述目标DHCP Snooping表项中记录的IP地址;
第二接收子单元,用于接收ICMP应答报文;
第二确定子单元,用于若所述第二接收子单元在第二预设时间内通过所述第二端口接收到ICMP应答报文,且所述ICMP应答报文的源MAC地址和源IP地址分别与所述目标DHCPSnooping表项中记录的MAC地址和IP地址一致,则确定所述目标客户端当前连接在所述第二端口;否则,确定所述目标客户端当前未连接在所述第二端口。
10.根据权利要求6所述的装置,其特征在于,
所述处理单元,还用于若所述检测单元检测到所述目标客户端当前连接在所述第二端口,则确定所述目标客户端未发生端口迁移,拒绝更新所述目标DHCP Snooping表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610911130.XA CN106357840B (zh) | 2016-10-19 | 2016-10-19 | 一种支持端口迁移检测的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610911130.XA CN106357840B (zh) | 2016-10-19 | 2016-10-19 | 一种支持端口迁移检测的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106357840A CN106357840A (zh) | 2017-01-25 |
| CN106357840B true CN106357840B (zh) | 2019-12-06 |
Family
ID=57863351
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610911130.XA Active CN106357840B (zh) | 2016-10-19 | 2016-10-19 | 一种支持端口迁移检测的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106357840B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021142158A1 (en) * | 2020-01-08 | 2021-07-15 | Cisco Technology, Inc. | Dhcp snooping with host mobility |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127709A (zh) * | 2007-09-26 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种更新地址解析协议表中端口地址的方法和设备 |
| CN101237378A (zh) * | 2008-03-11 | 2008-08-06 | 杭州华三通信技术有限公司 | 虚拟局域网的映射方法和设备 |
| CN101453447A (zh) * | 2007-12-03 | 2009-06-10 | 华为技术有限公司 | 动态主机配置协议dhcp用户老化的方法及接入设备 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
| CN101909007A (zh) * | 2010-07-29 | 2010-12-08 | 福建星网锐捷网络有限公司 | 绑定表项生成方法、装置及网络设备 |
| CN101938411A (zh) * | 2010-08-03 | 2011-01-05 | 杭州华三通信技术有限公司 | 一种nd探听表项的处理方法和设备 |
| CN103117934A (zh) * | 2013-01-25 | 2013-05-22 | 上海斐讯数据通信技术有限公司 | 实现端口迁移端口地址更新的方法 |
-
2016
- 2016-10-19 CN CN201610911130.XA patent/CN106357840B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127709A (zh) * | 2007-09-26 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种更新地址解析协议表中端口地址的方法和设备 |
| CN101453447A (zh) * | 2007-12-03 | 2009-06-10 | 华为技术有限公司 | 动态主机配置协议dhcp用户老化的方法及接入设备 |
| CN101237378A (zh) * | 2008-03-11 | 2008-08-06 | 杭州华三通信技术有限公司 | 虚拟局域网的映射方法和设备 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
| CN101909007A (zh) * | 2010-07-29 | 2010-12-08 | 福建星网锐捷网络有限公司 | 绑定表项生成方法、装置及网络设备 |
| CN101938411A (zh) * | 2010-08-03 | 2011-01-05 | 杭州华三通信技术有限公司 | 一种nd探听表项的处理方法和设备 |
| CN103117934A (zh) * | 2013-01-25 | 2013-05-22 | 上海斐讯数据通信技术有限公司 | 实现端口迁移端口地址更新的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021142158A1 (en) * | 2020-01-08 | 2021-07-15 | Cisco Technology, Inc. | Dhcp snooping with host mobility |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106357840A (zh) | 2017-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9258266B2 (en) | Host detection by top of rack switch devices in data center environments | |
| US10250636B2 (en) | Detecting man-in-the-middle attacks | |
| US9729501B2 (en) | System and data card for stateless automatic configuration of IPv6 address and method for implementing the same | |
| EP2661011B1 (en) | Method and network device for detecting ip address conflict | |
| US20180048540A1 (en) | Wireless terminal type identification method and system in router bridge networking mode | |
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| US9184930B2 (en) | Detection and support of a dual-stack capable host | |
| EP2731010A1 (en) | Method, device, and system for migrating configuration information during live migration of virtual machine | |
| WO2017114362A1 (zh) | 一种报文转发方法、装置和系统 | |
| CN104219340A (zh) | 一种arp应答代理方法以及装置 | |
| EP4325807A3 (en) | Duplicate address detection for global ip address or range of link local ip addresses | |
| WO2012075850A1 (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
| US7958220B2 (en) | Apparatus, method and system for acquiring IPV6 address | |
| JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
| WO2013186969A1 (ja) | 通信情報検出装置及び通信情報検出方法 | |
| CN108667957B (zh) | Ip地址分配方法、第一电子设备以及第一服务器 | |
| CN106878485B (zh) | 一种报文处理方法及装置 | |
| CN106357840B (zh) | 一种支持端口迁移检测的方法及装置 | |
| US20080310319A1 (en) | Server, network system, and network connection method used for the same | |
| US10547638B1 (en) | Detecting name resolution spoofing | |
| CN106899456B (zh) | 一种链路检测与修复的实现方法 | |
| US20080201477A1 (en) | Client side replacement of DNS addresses | |
| CN108429687B (zh) | 报文转发方法和装置 | |
| US20200274799A1 (en) | Multi-vrf and multi-service insertion on edge gateway virtual machines | |
| WO2017219777A1 (zh) | 一种报文处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |