CN110445889B - 一种以太网环境下交换机ip地址管理方法及系统 - Google Patents

一种以太网环境下交换机ip地址管理方法及系统 Download PDF

Info

Publication number
CN110445889B
CN110445889B CN201910890793.1A CN201910890793A CN110445889B CN 110445889 B CN110445889 B CN 110445889B CN 201910890793 A CN201910890793 A CN 201910890793A CN 110445889 B CN110445889 B CN 110445889B
Authority
CN
China
Prior art keywords
address
switch
dhcp
root
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910890793.1A
Other languages
English (en)
Other versions
CN110445889A (zh
Inventor
刘培顺
王学芳
唐瑞春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ocean University of China
Original Assignee
Ocean University of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ocean University of China filed Critical Ocean University of China
Priority to CN201910890793.1A priority Critical patent/CN110445889B/zh
Publication of CN110445889A publication Critical patent/CN110445889A/zh
Application granted granted Critical
Publication of CN110445889B publication Critical patent/CN110445889B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/695Types of network addresses using masks or ranges of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/48Routing tree calculation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种以太网环境下交换机IP地址管理方法及系统。所述管理方法包括基于生成树协议,利用根交换机实现全网DHCP服务管理,依据交换机的端口数量分配IP地址,每个交换机都可以提供DHCP服务,依据根交换机分配的IP地址,服务交换机连接的终端;当交换机接收到终端发送的ARP请求第i个IP对应的MAC地址,根据数据库交换机可以知道合法的第i个IP地址所在的交换机j的MAC,使用交换机j的MAC地址作为第i个IP对应的MAC地址。采用本发明所提供的管理方法及系统可以实现局域网内IP地址自动管理,交换机之间无需传输ARP协议,DHCP协议,减少了局域网内大部分的广播流量,从根本上消除广播风暴,ARP病毒,提高局域网网络带宽利用率,提高网络安全性。

Description

一种以太网环境下交换机IP地址管理方法及系统
技术领域
本发明涉及IP地址管理领域,特别是涉及一种以太网环境下交换机IP地址管理方法及系统。
背景技术
随着信息化程度的提高、网络规模的不断扩大,接入网络的设备不断增加,网络流量管理日益重要。在以太网环境中地址解析协议(Address Resolution Protocol,ARP),动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)通常是必不可少的重要协议,但是这些协议在设计上不具有任何防御恶意攻击的功能。针对DHCP协议,攻击者可能对外发布虚假网关地址、互联网协议地址(Internet Protocol Address,IP)地址池甚至是错误的域名系统(Domain Name System,DNS)服务器信息,如果这些非法DHCP指定的DNS服务器被蓄意修改,就有可能将用户引导到木马网站、虚假网站,盗窃用户账号和密码,威胁用户的信息安全;ARP协议对网络安全同样具有重要的意义,通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。因此,网络设备IP地址智能管理技术减少ARP,DHCP协议的使用,能够提供网络效率,减少网络攻击风险,而现有技术把ARP协议,DHCP协议分散到不同的系统,无法减少使用,依旧存在网络攻击风险高,网络安全性差的问题。
发明内容
本发明的目的是提供一种以太网环境下交换机IP地址管理方法及系统,以解决在现有的以太网环境下,网络攻击风险高,网络安全性差的问题。
为实现上述目的,本发明提供了如下方案:
一种以太网环境下交换机IP地址管理方法,包括:
配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机;
基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号;
获取所述根交换机的设备查询请求;
根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果;
若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机;
获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态;
根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果;
若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息;
根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机;
判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果;
若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库;
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
可选的,所述根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址之后,还包括:
获取所述交换机所连接终端发送的DHCP Discover包;
根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端;
根据所述DHCP offer报文,向所述终端发送DHCP ACK报文;
根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果;
若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程;
若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用;
若成功分配所述终端的IP地址,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
可选的,所述根据所述DHCP offer报文,向所述终端发送DHCP ACK报文之后,还包括:
获取所述终端发出的地址解析协议ARP请求;
基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址;
判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果;
若所述第五判断结果表示为所述请求IP地址为所述终端的网关IP地址,将网关的MAC地址以及ARP响应消息发送至所述终端;
若所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
可选的,所述将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端之后,还包括:
获取数据帧及所述数据帧的MAC地址;
判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果;
若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果;
若所述第六判断结果表示为所述数据帧的MAC地址为非广播帧,则检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机;
若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理;
若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果;
若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
一种以太网环境下交换机IP地址管理系统,包括:
根交换机确定模块,用于配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机;
消息认证模块,用于基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号;
设备查询请求获取模块,用于获取所述根交换机的设备查询请求;
第一判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果;
设备查询请求发送模块,用于若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机;
非根交换机生成的本机设备信息获取模块,用于获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态;
第二判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果;
交换机DHCP地址池消息生成模块,用于若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息;
IP地址配置模块,用于根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机;
第三判断模块,用于判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果;
交换机DHCP地址池数据库构建模块,用于若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库;
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
可选的,还包括:
DHCP Discover包获取模块,用于获取所述交换机所连接终端发送的DHCPDiscover包;
DHCP offer报文生成模块,用于根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端;
DHCP ACK报文发送模块,用于根据所述DHCP offer报文,向所述终端发送DHCPACK报文;
第四判断模块,用于根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果;
续延过程启动模块,用于若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程;
占用模块,用于若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用;
关系表更新模块,用于在成功分配所述终端的IP地址时,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
可选的,还包括:
ARP请求获取模块,用于获取所述终端发出的地址解析协议ARP请求;
请求IP地址确定模块,用于基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址;
第五判断模块,用于判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果;
消息发送模块,用于若所述第五判断结果表示为所述请求IP地址为所述终端的网关IP地址,将网关的MAC地址以及ARP响应消息发送至所述终端;
MAC地址返回模块,用于在所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
可选的,还包括:
数据帧获取模块,用于获取数据帧及所述数据帧的MAC地址;
第六判断模块,用于判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果;
第七判断模块,用于若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果;
转发模块,用于当所述第六判断结果表示为所述数据帧的MAC地址为非广播帧时,检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机;
第一处理模块,用于若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理;
第八判断模块,用于若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果;
第二处理模块,用于若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明提供了一种以太网环境下交换机IP地址管理方法及系统,基于生成树协议,利用根交换机实现全网DHCP服务管理,依据交换机的端口数量分配IP地址,每个交换机都可以提供DHCP服务,依据根交换机分配的IP地址,服务本交换机连接的终端,减少DHCP服务产生的广播包在网络上的传播。
根交换机管理全网IP地址之后,可以得到全网每个交换机和IP的对应关系数据库,根交换机定期更新这个数据库,并同步到生成树上的每个交换机。当交换机接收到终端发送的ARP请求第i个IP对应的MAC地址,根据这个数据库交换机可以知道合法的第i个IP地址所在的交换机j的MAC,使用交换机j的MAC地址作为第i个IP对应的MAC地址生成ARP响应信息,减少ARP协议产生的广播包在网络上的传播。
由于减少了DHCP服务产生的广播包在网络上的传播以及ARP协议产生的广播包在网络上的传播,从而降低了网络攻击风险,提高了网络安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一所提供的以太网IP地址管理流程图;
图2为本发明实施例一所提供的交换机处理数据帧的流程图;
图3为本发明实施例一所提供的交换机处理DHCP协议的流程图;
图4为本发明实施例一所提供的交换机处理ARP协议的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种以太网环境下交换机IP地址管理方法及系统,能够降低网络攻击风险,提高网络安全性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例一
图1为本发明所提供的以太网IP地址管理流程图,如图1所示,所述管理方法,包括如下步骤:
在步骤101之前还包括系统初始化阶段,局域网内的交换机配置VLAN,运行生成树协议选出的根交换机,或者管理员指定某交换机为根交换机,在根交换机和非根交换机上配置一个口令,根交换机和非根交换机通过PKCS#5v2.1基于口令的消息认证方案PBMAC1进行消息认证,防范黑客和病毒攻击。管理员在根交换机上配置DHCP服务器信息,主要包括:
1)DHCP Pool Name:地址池名字(dhcp pool-name);
2)DHCP Mask:子网掩码;
3)DHCP IP:地址段;
4)DHCP Gateway:网关IP和MAC;
5)DHCP Exclude ip:保留地址;
6)DHCP DNS:域名服务器:
7)其他DHCP服务参数:
8)DHCP VLAN ID:DHCP服务的VLAN号,每一个需要运行DHCP协议的VLAN,都要配置上述信息。
设某VLAN下局域网交换机S1,S2,……,Sn,且该VLAN下运行生成树协议选出的根交换机为Sk,管理员也可以指定某交换机为根交换机,运行MasterIP技术需要在根交换机和非根交换机上配置一个口令,根交换机和非根交换机通过PKCS#5(v2.1)基于口令的消息认证方案PBMAC1进行消息认证,防范黑客和病毒攻击。
步骤101:根交换机Sk发送设备查询请求,要求生成树上每个交换机提供如下设备信息(非根交换机生成的本机设备信息,Switch Infomation,SWInfo):交换机的MAC地址,IP地址,交换机的端口信息(端口数量,端口类型,端口是否启用,端口属于的VLAN ID)。
Figure BDA0002208694060000091
Figure BDA0002208694060000101
步骤102:非根交换机接收到根交换机的设备查询请求,根据基于口令的消息认证方案PBMAC1检查消息是否合法,非法消息直接丢弃;
步骤103:非根交换机转发根交换机的设备查询请求到其他交换机(下级交换机);
步骤104:非根交换机生成的本机设备信息SWInfo,发送给根交换机;
步骤105:根交换机接收非根交换机发送的非根交换机生成的本机设备信息SWInfo,根据基于口令的消息认证方案PBMAC1检查消息是否合法,非法消息直接丢弃;
步骤106:根据非根交换机生成的本机设备信息,生成该交换机的交换机DHCP地址池消息(SW_DHCP_POOL),根据交换机在不同VLAN中端口数量,从相应的DHCP池中分配IP地址构建交换机DHCP配置表SW_DHCP_POOL,分配IP地址的原则是根据端口数量分配IP地址,一般情况每个端口接入一个终端的设备,需要一个IP地址。根交换机把交换机DHCP配置表下发给所有交换机,交换机DHCP配置表的结构如下:
Figure BDA0002208694060000102
Figure BDA0002208694060000111
步骤107:根交换机发送SW_DHCP_POOL到生成树上的每个交换机;
步骤108:非根交换机接收到根交换机发送的SW_DHCP_POOL,验证消息的合法性,非法消息丢弃,合法消息进行转发;
步骤109:构建交换机DHCP地址池数据库(SW_DHCP_POOL_DB),可以通过数据库可以知道每个VLAN的每个活动IP在哪个交换机上,可以知道每个VLAN网关的MAC地址。
Figure BDA0002208694060000112
Figure BDA0002208694060000121
每当有新的交换机加入网络或者生成树发生改变,根交换机都要发送设备查询请求,获取设备信息,每当交换机的端口发生改变,交换机要主动发送SWInfo给根交换机,根交换机收到新的SWInfo之后更新SW_DHCP_POOL,并同步到生成树的每个非根交换机上。
1)基于上述交换机,实现DHCP服务:
需要IP地址的终端在局域网内发起一个DHCP Discover包,试图发现能够给它提供IP的DHCP Server。
交换机接收到DHCP Discover,交换机不需要转发该广播包,交换机充当DHCPSERVER,根据端口所在的VLAN,查询SW_DHCP_POOL,找到空闲IP作为该终端的租用IP,生成相应的包含出租的IP地址和其他设置的DHCP offer消息,发送给终端。交换机在分配IP地址时,缺省的每个端口只分配一个IP。
终端接收到DHCP offer报文,进行处理,然后发送DHCP request消息。
交换机接收到DHCP request报文,判断“选项”字段中的DHCP SERVER的IP地址是否与自己的地址相同,不相同,则不做任何处理,如果自己发出过DHCPOFFER报文,则清除相应IP地址记录;当“选项”字段中的DHCP SERVER的IP地址是与自己的IP地址相同时,DHCPSERVER就会响应一个DHCPACK报文,其内容同DHCPOFFER类似,并在“选项”字段中增加了IP地址使用租期选项。交换机建立起(端口,MAC,IP)关系表,默认情况下每个端口只有一个终端,端口,MAC,IP一一对应。
终端收到DHCP ACK报文后(经过上面的处理后,有且只有一个DHCP ACK报文),会检查DHCP SERVER分配给自己的IP地址是否能够使用,如在以太网类型的网络中,CLIENT会发出的ARP请求来确定DHCP SERVER分配的IP地址是否已经被别人使用,如果可以使用,则CLIENT成功获得IP地址,并根据IP地址使用租期自动启动续延过程。
2)交换机处理ARP请求:
交换机接收到终端发起ARP请求,交换机根据SW_DHCP_POOL_DB找到请求IP,如果请求IP是网关的IP,则把网关的MAC发送给终端,发送ARP响应消息给终端,如果请求IP是其他终端的IP,则返回该IP所属交换机的MAC地址。
终端收到交换机发送的ARP响应消息,获得查询IP的MAC地址,使用这个MAC地址进行通信。即终端根据ARP响应消息确定请求IP地址的MAC地址,并使用基于请求IP地址的MAC地址进行通信。
交换机处理数据帧:
交换机接收终端发送数据帧,如果数据帧是广播数据,则检查数据帧的类型,如果是DHCP协议,按照1)实现DHCP服务的步骤进行处理;如果是ARP协议,按照2)交换机处理ARP请求的步骤进行处理,其他协议按照交换机的常规流程处理。
数据帧非广播帧,则检查数据帧的MAC地址,如果MAC地址不是本交换机,查找SW_DHCP_POOL_DB,则根据端端口,MAC,IP)关系表把数据帧转发出去。
如果MAC地址是本交换机的,根据协议类型和IP地址(如果有的话)判断数据报文是否是交换机本身的协议数据报文,如果是按照对应的协议进行处理。
数据报文是交换机所连接终端的数据帧:根据IP地址,找到IP地址所在的交换机,查找(端口,MAC,IP)对应表,找到IP对应的MAC,使用这个MAC地址替换原帧中的目的MAC地址,重新生成数据帧,根据IP所对应的端口,把帧转发出去。
图2为本发明所提供的交换机处理数据帧的流程图,如图2所示,交换机接收到数据帧之后,应进行如下步骤:
步骤201:交换机接收到数据帧(数据包),按照常规操作校验帧是否正确;
步骤202:交换机检查数据包MAC地址判断是否是广播帧;如果是广播帧则进入步骤203,否则进入步骤206;
步骤203:判断数据帧是DHCP还是ARP协议帧,如果是DHCP帧进入步骤204,如果是APR帧进入步骤205;其他广播帧按照交换机常规流程处理。
步骤204:如果是DHCP帧,这按照DHCP协议处理流程进行处理,其操作流程参见图3的说明。
步骤205:如果是ARP帧,这按照ARP协议处理流程进行处理,其操作流程参见图4的说明。
步骤206:如果是非广播帧,交换机检查数据帧的目的地址是否是本机的MAC地址,如果不是本机的MAC地址进入步骤207,是本机MAC的进入步骤208;
步骤207:接收到非本机MAC的数据帧,根据帧的目的MAC地址,查询(端口,MAC,IP)关系表,找到MAC地址对应的端口,把数据帧转发出去。
步骤208:接收到本机MAC地址的数据帧,需要进一步判断数据帧类型。判断数据帧是否是交换机管理帧,即判断是否是交换机自身的包,如果是进入步骤209;否则进入步骤2010;
步骤209:接收到交换机管理帧,按照根据协议类型交换机直接进行处理。
步骤2010:接收的数据帧不是交换机的管理帧,应该是交换机端口所接入终端的数据帧,根据帧里面IP地址,查找(端口,MAC,IP)关系表,找个该IP对应的MAC和接入端口,使用这个MAC地址作为数据帧的目的MAC地址,重新封装成以太网帧;
步骤2011:通过端口把数据帧转发给终端。
图3为本发明所提供的交换机处理DHCP协议的流程图,如图3所示,交换机接收到DHCP数据帧之后,应进行如下步骤:
步骤301:接收到DHCP协议,对数据进行协议解析;
步骤302:判断协议消息类型,如果是DHCP Discover则进入步骤303,否则进入步骤305;
步骤303:DHCP Discover表示有某个终端在请求IP地址,交换机充当DHCPSERVER,根据端口所在的VLAN,查询SW_DHCP_POOL,找到空闲IP作为该终端的租用IP,生成相应的包含出租的IP地址和其他设置的DHCP offer消息,发送给终端。交换机在分配IP地址时,缺省的每个端口只分配一个IP。
步骤304:发送DHCP offer报文。
步骤305:如果是其他DHCP报文,交换机按照标准DHCP SERVER处理协议报文的方法处理该报文,把响应消息发送给终端。
通过这些操作交换机建立起(端口,MAC,IP)关系表,默认情况下每个端口只有一个终端,端口,MAC,IP一一对应。
图4为本发明所提供的交换机处理ARP协议的流程图,如图4所示,交换机接收到ARP数据帧之后,应进行如下步骤:
步骤401:交换机接收到终端发起ARP请求,解析协议包;
步骤402:如果是MAC地址请求消息,则分析请求IP地址,如果是请求网关的MAC地址则进入步骤403,如果是其他主机(非网关本VLAN)的MAC地址则进入步骤404;
步骤403:从SW_DHCP_POOL_DB中查找网关的MAC地址,发送该网关MAC地址给终端;
步骤404:请求其他终端MAC地址,从SW_DHCP_POOL_DB中查找该IP所在交换机的MAC地址,把该MAC地址当作请求IP的MAC地址发送给终端;
步骤405:根据选择的MAC地址生成ARP应答报文,发送给请求终端。
本发明基于生成树协议,利用根交换机实现全网DHCP服务管理,依据交换机的端口数量分配IP地址,每个交换机都可以提供DHCP服务,依据根交换机分配的IP地址,服务本交换机连接的终端。这样可以减少DHCP服务产生的广播包在网络上的传播。根交换机管理全网IP地址之后,可以得到全网每个交换机和IP的对应关系数据库,根交换机定期更新这个数据库,并同步到生成树上的每个交换机。当交换机接收到终端发送的ARP请求第i个IP对应的MAC地址,根据这个数据库交换机可以知道合法的第i个IP地址所在的交换机j的MAC,使用交换机j的MAC地址作为第i个IP对应的MAC地址。这样可以减少ARP协议产生的广播包在网络上的传播。基于本发明所提供的管理方法及系统可以实现局域网内IP地址自动管理,交换机之间无需传输ARP协议,DHCP协议,减少了局域网内大部分的广播流量,从根本上消除广播风暴,ARP病毒,可以提高局域网网络带宽利用率,提高网络安全性。
实施例二
本发明还提供一种以太网环境下交换机IP地址管理方法,包括:
配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机。
基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号。
获取所述根交换机的设备查询请求。
根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果。
若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机。
获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态。
根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果。
若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息。
根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机。
判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果。
若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库。
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
获取所述交换机所连接终端发送的DHCP Discover包。
根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端。
根据所述DHCP offer报文,向所述终端发送DHCP ACK报文。
获取所述终端发出的地址解析协议ARP请求。
基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址。
判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果。
若所述第五判断结果表示为所述请求IP地址为所述终端的网关IP地址,将网关的MAC地址以及ARP响应消息发送至所述终端。
若所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
获取数据帧及所述数据帧的MAC地址。
判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果。
若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果。
若所述第六判断结果表示为所述数据帧的MAC地址为非广播帧,则检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机。
若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理。
若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果。
若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果。
若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程。
若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用。
若成功分配所述终端的IP地址,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
实施例三
本发明还提供一种以太网环境下交换机IP地址管理系统,包括:
根交换机确定模块,用于配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机。
消息认证模块,用于基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号。
设备查询请求获取模块,用于获取所述根交换机的设备查询请求。
第一判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果。
设备查询请求发送模块,用于若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机。
非根交换机生成的本机设备信息获取模块,用于获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态。
第二判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果。
交换机DHCP地址池消息生成模块,用于若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息。
IP地址配置模块,用于根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机。
第三判断模块,用于判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果。
交换机DHCP地址池数据库构建模块,用于若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库。
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
DHCP Discover包获取模块,用于获取所述交换机所连接终端发送的DHCPDiscover包。
DHCP offer报文生成模块,用于根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端。
DHCP ACK报文发送模块,用于根据所述DHCP offer报文,向所述终端发送DHCPACK报文。
第四判断模块,用于根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果。
续延过程启动模块,用于若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程。
占用模块,用于若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用。
关系表更新模块,用于在成功分配所述终端的IP地址时,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
ARP请求获取模块,用于获取所述终端发出的地址解析协议ARP请求。
请求IP地址确定模块,用于基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址。
第五判断模块,用于判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果。
通讯模块,用于根据所述ARP响应消息确定所述请求IP地址的MAC地址,并使用基于所述请求IP地址的MAC地址进行通信。
MAC地址返回模块,用于在所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
数据帧获取模块,用于获取数据帧及所述数据帧的MAC地址。
第六判断模块,用于判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果。
第七判断模块,用于若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果。
转发模块,用于当所述第六判断结果表示为所述数据帧的MAC地址为非广播帧时,检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机。
第一处理模块,用于若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理。
第八判断模块,用于若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果。
第二处理模块,用于若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种以太网环境下交换机IP地址管理方法,其特征在于,包括:
配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机;
基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号;
获取所述根交换机的设备查询请求;
根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果;
若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求至剩余的非根交换机;
获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态;
根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果;
若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息;
根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机;根据交换机在不同VLAN中端口数量,从相应的DHCP地址池中分配IP地址构建交换机DHCP配置表SW_DHCP_POOL,分配IP地址的原则是根据端口数量分配IP地址,每个端口接入一个终端的设备,需要一个IP地址;
判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果;
若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库;
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
2.根据权利要求1所述的以太网环境下交换机IP地址管理方法,其特征在于,所述根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址之后,还包括:
获取所述交换机所连接终端发送的DHCP Discover包;
根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端;
根据所述DHCP offer报文,向所述终端发送DHCPACK报文;
根据所述DHCPACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果;
若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程;
若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用;
若成功分配所述终端的IP地址,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
3.根据权利要求2所述的以太网环境下交换机IP地址管理方法,其特征在于,所述根据所述DHCP offer报文,向所述终端发送DHCP ACK报文之后,还包括:
获取所述终端发出的地址解析协议ARP请求;
基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址;
判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果;
若所述第五判断结果表示为所述请求IP地址为所述终端的网关IP地址,将网关的MAC地址以及ARP响应消息发送至所述终端;
若所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
4.根据权利要求3所述的以太网环境下交换机IP地址管理方法,其特征在于,所述将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端之后,还包括:
获取数据帧及所述数据帧的MAC地址;
判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果;
若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果;
若所述第六判断结果表示为所述数据帧的MAC地址为非广播帧,则检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机;
若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理;
若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果;
若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
5.一种以太网环境下交换机IP地址管理系统,其特征在于,包括:
根交换机确定模块,用于配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机;
消息认证模块,用于基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号;
设备查询请求获取模块,用于获取所述根交换机的设备查询请求;
第一判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果;
设备查询请求发送模块,用于若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求至剩余的非根交换机;
非根交换机生成的本机设备信息获取模块,用于获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态;
第二判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果;
交换机DHCP地址池消息生成模块,用于若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息;
IP地址配置模块,用于根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机;根据交换机在不同VLAN中端口数量,从相应的DHCP地址池中分配IP地址构建交换机DHCP配置表SW_DHCP_POOL,分配IP地址的原则是根据端口数量分配IP地址,每个端口接入一个终端的设备,需要一个IP地址;
第三判断模块,用于判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果;
交换机DHCP地址池数据库构建模块,用于若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库;
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
6.根据权利要求5所述的以太网环境下交换机IP地址管理系统,其特征在于,还包括:
DHCP Discover包获取模块,用于获取所述交换机所连接终端发送的DHCP Discover包;
DHCP offer报文生成模块,用于根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端;
DHCPACK报文发送模块,用于根据所述DHCP offer报文,向所述终端发送DHCPACK报文;
第四判断模块,用于根据所述DHCPACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果;
续延过程启动模块,用于若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程;
占用模块,用于若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用;
关系表更新模块,用于在成功分配所述终端的IP地址时,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
7.根据权利要求6所述的以太网环境下交换机IP地址管理系统,其特征在于,还包括:
ARP请求获取模块,用于获取所述终端发出的地址解析协议ARP请求;
请求IP地址确定模块,用于基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址;
第五判断模块,用于判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果;
通讯模块,用于根据所述ARP响应消息确定所述请求IP地址的MAC地址,并使用基于所述请求IP地址的MAC地址进行通信;
MAC地址返回模块,用于在所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
8.根据权利要求7所述的以太网环境下交换机IP地址管理系统,其特征在于,还包括:
数据帧获取模块,用于获取数据帧及所述数据帧的MAC地址;
第六判断模块,用于判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果;
第七判断模块,用于若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果;
转发模块,用于当所述第六判断结果表示为所述数据帧的MAC地址为非广播帧时,检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机;
第一处理模块,用于若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理;
第八判断模块,用于若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果;
第二处理模块,用于若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
CN201910890793.1A 2019-09-20 2019-09-20 一种以太网环境下交换机ip地址管理方法及系统 Active CN110445889B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910890793.1A CN110445889B (zh) 2019-09-20 2019-09-20 一种以太网环境下交换机ip地址管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910890793.1A CN110445889B (zh) 2019-09-20 2019-09-20 一种以太网环境下交换机ip地址管理方法及系统

Publications (2)

Publication Number Publication Date
CN110445889A CN110445889A (zh) 2019-11-12
CN110445889B true CN110445889B (zh) 2020-06-02

Family

ID=68440508

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910890793.1A Active CN110445889B (zh) 2019-09-20 2019-09-20 一种以太网环境下交换机ip地址管理方法及系统

Country Status (1)

Country Link
CN (1) CN110445889B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111866208B (zh) * 2020-06-30 2022-10-21 新华三信息安全技术有限公司 网络地址获取方法及设备
US11456987B1 (en) 2021-05-07 2022-09-27 State Farm Mutual Automobile Insurance Company Systems and methods for automatic internet protocol address management
WO2023138256A1 (zh) * 2022-01-24 2023-07-27 华为技术有限公司 一种通信方法及通信装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101035012A (zh) * 2006-03-09 2007-09-12 上海博达数据通信有限公司 基于dhcp和ip的以太网多层交换机安全防护方法
CN102255918A (zh) * 2011-08-22 2011-11-23 神州数码网络(北京)有限公司 一种基于DHCP Option 82的用户接入权限控制方法
CN102438028A (zh) * 2012-01-19 2012-05-02 神州数码网络(北京)有限公司 一种防止dhcp服务器欺骗的方法、装置及系统
CN104506368A (zh) * 2014-12-30 2015-04-08 浪潮(北京)电子信息产业有限公司 一种统一管理交换机设备的方法和设备
CN105610996A (zh) * 2016-01-29 2016-05-25 深圳市磊科实业有限公司 一种应用于交换机的dhcp冲突检测方法和装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100421144B1 (ko) * 2002-05-24 2004-03-04 삼성전자주식회사 미디어 게이트웨이 콘트롤 프로토콜방식의 보이스 오버인터넷 프로토콜 호 서비스를 위한 헤드 엔드 장치
CN102694720B (zh) * 2011-03-24 2015-07-29 日电(中国)有限公司 编址方法、编址装置、架构管理器、交换机和数据路由方法
US8948061B2 (en) * 2011-08-09 2015-02-03 Google Technology Holdings LLC Method of intercepting VOIP communications
US10630774B2 (en) * 2014-03-27 2020-04-21 Hitachi Kokusai Electric Inc. Intra-formation network system, intra-formation network management method, and management apparatus
CN105162704B (zh) * 2015-09-28 2019-01-25 杭州数梦工场科技有限公司 Overlay网络中组播复制的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101035012A (zh) * 2006-03-09 2007-09-12 上海博达数据通信有限公司 基于dhcp和ip的以太网多层交换机安全防护方法
CN102255918A (zh) * 2011-08-22 2011-11-23 神州数码网络(北京)有限公司 一种基于DHCP Option 82的用户接入权限控制方法
CN102438028A (zh) * 2012-01-19 2012-05-02 神州数码网络(北京)有限公司 一种防止dhcp服务器欺骗的方法、装置及系统
CN104506368A (zh) * 2014-12-30 2015-04-08 浪潮(北京)电子信息产业有限公司 一种统一管理交换机设备的方法和设备
CN105610996A (zh) * 2016-01-29 2016-05-25 深圳市磊科实业有限公司 一种应用于交换机的dhcp冲突检测方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"A Multi-OLTs and Virtual Passive Optical Network";He Zhang, Min Zhang, Xuefang Liu;《2016 7th IEEE International Conference on Software Engineering and Service Science (ICSESS)》;20160828;全文 *
"Clustering Energy-Efficient Transmission Protocol for Wireless Sensor";Huahongzi Chen, Ze Lv, Ruichun Tang;《 2017 International Conference on Computer, Information and Telecommunication Systems (CITS)》;20170723;全文 *

Also Published As

Publication number Publication date
CN110445889A (zh) 2019-11-12

Similar Documents

Publication Publication Date Title
US8484695B2 (en) System and method for providing access control
EP1876754B1 (en) Method system and server for implementing dhcp address security allocation
US7596693B1 (en) Controlling ARP packet traffic to enhance network security and scalability in TCP/IP networks
US8875233B2 (en) Isolation VLAN for layer two access networks
US5884024A (en) Secure DHCP server
CN110445889B (zh) 一种以太网环境下交换机ip地址管理方法及系统
US6801528B2 (en) System and method for dynamic simultaneous connection to multiple service providers
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
EP2249538B1 (en) Method for accessing network, authentication method, communication system and related equipment
US20060062228A1 (en) Packet forwarding apparatus and access network system
US11968174B2 (en) Systems and methods for blocking spoofed traffic
EP3108643B1 (en) Ipoe dual-stack subscriber for routed residential gateway configuration
WO1998026530A1 (en) System, device, and method for routing dhcp packets in a public data network
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
KR101358775B1 (ko) 사용자 액세스 방법, 시스템, 및 액세스 서버, 액세스 장치
EP2677716A1 (en) Access control method, access device and system
CN101459653A (zh) 基于Snooping技术的防止DHCP报文攻击的方法
JP2001326696A (ja) アクセス制御方法
EP3108642B1 (en) Ipoe dual-stack subscriber for bridged residential gateway configuration
JP3994412B2 (ja) ネットワークシステム、網内識別子の設定方法、ネットワーク接続点、網内識別子の設定プログラム、及び記録媒体
WO2010130181A1 (zh) 防止IPv6地址被欺骗性攻击的装置与方法
WO2009079896A1 (fr) Procédé d'authenfication d'accès utilisateur fondé sur un protocole de configuration d'hôte dynamique
US7237025B1 (en) System, device, and method for communicating user identification information over a communications network
JP2004104355A (ja) ネットワークアドレス管理方法、その管理装置およびネットワークアドレス管理システム
Cisco Command Reference

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant