CN1549524A - 基于二层以太网交换机获取用户地址信息的方法 - Google Patents
基于二层以太网交换机获取用户地址信息的方法 Download PDFInfo
- Publication number
- CN1549524A CN1549524A CNA031251110A CN03125111A CN1549524A CN 1549524 A CN1549524 A CN 1549524A CN A031251110 A CNA031251110 A CN A031251110A CN 03125111 A CN03125111 A CN 03125111A CN 1549524 A CN1549524 A CN 1549524A
- Authority
- CN
- China
- Prior art keywords
- address information
- message
- user
- dhcp
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种基于二层以太网交换机获取用户地址信息的方法,所述方法包括步骤有:链路层收到以太网报文后判断是否是DHCP应答或DHCP请求报文;如果是DHCP应答或DHCP请求报文,则提取报文中相应字段的用户地址信息并记录;将记录的用户地址信息通知给用户认证管理协议802.1X,对所记录的用户地址进行管理,当系统发现网络上非法活动者的IP地址时,可以根据这个记录证明某个用户上网时使用了这个IP地址,从而证明该用户进行了非法活动。利用本发明可以在二层交换机上获取用户的IP地址,从而上传给业务管理系统进行记录,由于本发明不涉及三层协议处理,可以应用在完全不具备三层协议处理能力的二层交换机上。
Description
技术领域
本发明涉及一种以太网交换机技术,特别是涉及二层以太网交换机上,侦听链路层以太网报文收发过程中对动态主机配置协议DHCP的广播报文,获取用户地址信息的方法。
背景技术
在局域网中用户的认证、计费一直是运营管理部门一个头疼的问题,为此产生了用户认证管理协议,即802.1X协议,对用户进行认证管理。802.1X认证方式以其高效率、低成本、良好的组播支持能力而得到了广泛应用。802.1X对设备要求比较低,可以运行在二层以太网交换机上。
动态主机配置协议DHCP是在BOOTP基础上产生的,增加了动态分配的能力,通过DHCP服务器与客户机之间的DHCP报文交互可以为客户机动态分配IP地址等配置信息。DHCP中继则为DHCP报文提供网段间的转发功能,从而使DHCP服务器可以为处于不同网段的客户机服务。
在二层以太网交换机上发送ICMP的echo request报文,目的MAC为全F广播地址,目的IP为全F广播地址,这样二层以太网交换机端口下的所有用户将向交换机发送ICMP响应报文,于是二层以太网交换机就能获得用户IP地址与MAC地址的对应关系了。
随着个人计算机的日益普及,宽带应用的大力推广,网络已经深入到人们的日常生活中,越来越多的人通过网络来获取信息、与他人交流、进行娱乐。与此同时,也有一些人通过网络进行着一些非法活动,例如像网络攻击、窃取信息、金融犯罪、散布违法言论等事件时有发生。出于安全性的考虑,网络管理部门就需要记录用户上网时使用的IP地址,以便当某些用户进行恶意活动时做到有据可查并及时处理。
为了满足网络需求,802.1X就需要获取用户IP地址与MAC地址的对应关系,并将IP地址通过RADIUS协议报文的属性8(Framed-IP-Address)上传给业务管理系统进行记录。但是当在二层交换机上使用802.1X进行用户认证管理时,由于二层交换机不具备三层以上协议处理能力,如何记录用户的IP地址就成为一个技术难题。通过用户动态申请IP地址的DHCP交互报文来获取用户的IP地址是一个很自然的想法,同时也能够保证记录用户IP地址更新的及时性,但是,毕竟DHCP报文是UDP报文,属于四层协议,二层交换机不对其进行处理。
通过发送ICMP报文获取用户IP地址的方法,其最大的缺点就是要求二层以太网交换机的管理IP与用户的IP地址在同一网段,事实上,由于用户的IP地址是通过DHCP动态获取的,而交换机管理IP是构建网络时就已经配置好了,二者几乎不可能在同一网段。因此这种方法也不适合二层以太网交换机的环境。
由于每增加一个新用户交换机就要发送一次广播请求报文而所有用户都要向交换机发送响应报文,这样就会急剧增加网上流量。由于交换机收到的这些响应报文都会交给CPU处理,因此也会显著加重CPU处理负担。
发明内容
本发明的目的在于提供一种基于二层以太网交换机获取用户地址信息的方法,它通过在二层以太网交换机上,侦听链路层以太网报文收发过程中对DHCP广播报文来获取用户地址信息,从而方便地判断用户的合法性。
本发明所述基于二层以太网交换机获取用户地址信息的方法,包括如下步骤:
1、链路层收到以太网报文后,判断是否是DHCP应答或DHCP请求报文;
2、如果不是DHCP应答或DHCP请求报文,则转5;
3、如果是DHCP应答或DHCP请求报文,则提取报文中相应字段的用户地址信息并记录;
4、将记录的用户地址信息通知给用户认证管理协议802.1X,对所记录的用户地址通过分析和比较进行管理。
5、继续进行报文的正常处理流程。
如上所述的获取用户IP地址的方法,所述报文如果是DHCP应答,则提取报文的yiaddr和chaddr域的信息,具体地是通过提取报文的yiaddr域信息获取用户IP地址信息,通过提取报文的chaddr域信息获取用户MAC地址信息,并记录下来,
如上所述的获取用户IP地址的方法,所述报文如果是DHCP请求报文,则提取报文的选项域的Requested IP address选项和chaddr域的信息。进一步地,是通过提取报文的Requested IP address选项域信息获取用户IP地址信息,通过提取报文的chaddr选项域信息获取用户MAC地址信息,并记录下来。
如上所述的获取用户IP地址的方法,当某个用户地址信息发生变化后,立即主动切断该用户。
利用本发明可以在二层交换机上获取用户的IP地址,从而上传给业务管理系统进行记录,由于本发明不涉及三层协议处理,可以应用在完全不具备三层协议处理能力的二层交换机上。
附图说明
图1是本发明所述方法的流程示意图。
具体实施方式
本发明通过在链路层以太网报文收发过程中对DHCP广播报文进行侦听的方法来解决上述现有技术的不足的。
本发明所述方法的流程如图1所示,具体实现步骤为:
1、链路层收到以太网报文后,判断是否是DHCP应答或DHCP请求报文;
2、如果不是DHCP应答或DHCP请求报文,则继续报文的正常处理;
3、如果是DHCP应答报文,则提取报文的yiaddr和chaddr域的信息记录下来,其中yiaddr代表Your Ip ADDRess,它是DHCP应答报文头中的一个字段,表示DHCP服务器分配给用户的IP地址;chaddr代表Client HardwareADDRess,它是DHCP应答报文头中的一个字段,表示用户的硬件地址即MAC地址;
4、如果是DHCP请求报文,则提取报文的options域中的Requested IPaddress选项和chaddr域的信息记录下来,其中Requested IP address选项,表示被请求的IP地址,实际上就是该用户的IP地址,chaddr域同样是表示用户的MAC地址;
5、将记录的用户地址信息通知给用户认证管理协议(802.1X),继续其他报文的正常处理。即通过802.1X协议对所记录的用户地址进行管理,当系统发现网络上非法活动者的IP地址时,可以根据这个记录证明某个用户上网时使用了这个IP地址,从而证明该用户进行了非法活动。
本发明的步骤1中,是基于如下的考虑来判断是否是DHCP应答或DHCP请求报文的:一方面,当DHCP服务器确定分配给用户某个IP地址时会发送DHCP应答报文,因此可以通过侦听DHCP应答报文来获取用户的IP地址。另一方面,客户机向DHCP服务器请求分配地址的DHCP请求报文肯定是广播的,而且用户在DHCP请求报文中申请的IP地址与DHCP服务器在DHCP应答报文中分配给用户的IP地址是相同的,因此可以通过侦听DHCP请求报文来获取用户的IP地址。因此,可以通过侦听DHCP应答、DHCP请求获取到用户地址信息。
步骤2中,如果不是DHCP应答或DHCP请求报文,则继续正常的处理,如果是,在步骤3-4中,分别从DHCP应答或DHCP请求报文提取用户的地址信息,提取后,将所述用户的地址信息通知给802.1X,为了防止用户伪造DHCP请求广播报文使交换机记录错误的地址信息,需要802.1X配合,当发现DHCP侦听上传的用户IP地址发生变化后就及时主动切断用户连接,迫使其下线。判断用户IP地址发生变化具体的做法是:如果之前记录过此用户的地址信息,则将DHCP侦听上传的用户IP地址与以前记录的用户IP地址进行比较,如果不同则主动切断用户下线,避免用户通过申请其他IP地址或伪造报文的方法来清除已经记录过的用来进行非法活动的IP地址;如果之前没有记录过此用户的地址信息,则记录用户的IP地址,并通过RADIUS报文记录在业务管理系统的话单记录中。
最后所应说明的是:以上实施例仅用以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。
Claims (8)
1、一种基于二层以太网交换机获取用户地址信息的方法,其特征在于,包括如下步骤:
(1)侦听链路层以太网报文收发过程中,链路层收到以太网报文后判断是否是DHCP应答或DHCP请求报文;
(2)如果不是DHCP应答或DHCP请求报文,则转至步骤(5);
(3)如果是DHCP应答或DHCP请求报文,则提取报文中相应字段的用户地址信息并记录;
(4)将记录的用户地址信息通知给用户认证管理协议进行分析,对所记录的用户地址进行管理;
(5)继续进行报文的正常处理流程。
2、根据权利要求1所述的基于二层以太网交换机获取用户地址信息的方法,其特征在于,所述报文如果是DHCP应答,则提取报文的用户的IP地址和用户的MAC地址信息,并记录下来。
3、根据权利要求2所述的基于二层以太网交换机获取用户地址信息的方法,其特征在于,所述步骤进一步为通过提取报文的yiaddr域信息获取用户IP地址信息,通过提取报文的chaddr域信息获取用户MAC地址信息。
4、根据权利要求1所述的基于二层以太网交换机获取用户地址信息的方法,其特征在于,所述报文如果是DHCP请求报文,则提取报文的选项域的用户的IP地址和用户的MAC地址。
5、根据权利要求4所述的基于二层以太网交换机获取用户地址信息的方法,其特征在于,所述步骤进一步为通过提取报文的Requested IP address选项域信息获取用户IP地址信息,通过提取报文的chaddr选项域信息获取用户MAC地址信息。
6、根据权利要求1所述的基于二层以太网交换机获取用户地址信息的方法,其特征在于,所述步骤(4)中的分析包括将用户认证管理协议与记录的用户地址信息进行比较并记录用户地址信息。
7、根据权利要求6所述的基于二层以太网交换机获取用户地址信息的方法,其特征在于,如果之前记录过此用户的地址信息,则将DHCP侦听上传的用户IP地址与之前记录的用户IP地址进行比较,如果不同,则主动切断用户下线;如果之前没有记录过此用户的地址信息,则记录用户的IP地址,并通过RADIUS报文记录在业务管理系统的话单记录中。
8、根据权利要求1所述的基于二层以太网交换机获取用户地址信息的方法,其特征在于,所述步骤(4)中对所记录的用户地址进行管理,包括实时监视用户地址信息是否发生变化,如果发生了变化,立即主动切断该用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031251110A CN1306758C (zh) | 2003-05-09 | 2003-05-09 | 基于二层以太网交换机获取用户地址信息的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031251110A CN1306758C (zh) | 2003-05-09 | 2003-05-09 | 基于二层以太网交换机获取用户地址信息的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1549524A true CN1549524A (zh) | 2004-11-24 |
| CN1306758C CN1306758C (zh) | 2007-03-21 |
Family
ID=34321833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031251110A Expired - Lifetime CN1306758C (zh) | 2003-05-09 | 2003-05-09 | 基于二层以太网交换机获取用户地址信息的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1306758C (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100359865C (zh) * | 2004-12-13 | 2008-01-02 | 华为技术有限公司 | 一种检测方法 |
| CN101035012B (zh) * | 2006-03-09 | 2011-06-22 | 上海博达数据通信有限公司 | 基于dhcp和ip的以太网多层交换机安全防护方法 |
| CN101459653B (zh) * | 2007-12-14 | 2012-11-28 | 上海博达数据通信有限公司 | 基于Snooping技术的防止DHCP报文攻击的方法 |
| CN105812318A (zh) * | 2014-12-30 | 2016-07-27 | 中国电信股份有限公司 | 用于在网络中防止攻击的方法、控制器和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1047421C (zh) * | 1995-02-17 | 1999-12-15 | 大栋营造股份有限公司 | 沉箱下水作业千斤顶推进法 |
| US6070187A (en) * | 1998-03-26 | 2000-05-30 | Hewlett-Packard Company | Method and apparatus for configuring a network node to be its own gateway |
| US6393484B1 (en) * | 1999-04-12 | 2002-05-21 | International Business Machines Corp. | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks |
| CN1190042C (zh) * | 2002-11-15 | 2005-02-16 | 烽火通信科技股份有限公司 | 基于以太网技术的网络设备管理方法 |
-
2003
- 2003-05-09 CN CNB031251110A patent/CN1306758C/zh not_active Expired - Lifetime
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100359865C (zh) * | 2004-12-13 | 2008-01-02 | 华为技术有限公司 | 一种检测方法 |
| CN101035012B (zh) * | 2006-03-09 | 2011-06-22 | 上海博达数据通信有限公司 | 基于dhcp和ip的以太网多层交换机安全防护方法 |
| CN101459653B (zh) * | 2007-12-14 | 2012-11-28 | 上海博达数据通信有限公司 | 基于Snooping技术的防止DHCP报文攻击的方法 |
| CN105812318A (zh) * | 2014-12-30 | 2016-07-27 | 中国电信股份有限公司 | 用于在网络中防止攻击的方法、控制器和系统 |
| CN105812318B (zh) * | 2014-12-30 | 2019-02-12 | 中国电信股份有限公司 | 用于在网络中防止攻击的方法、控制器和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1306758C (zh) | 2007-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101453495B (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
| CN1682516B (zh) | 用于防止网络地址盗用的方法和装置 | |
| CN101465856B (zh) | 一种对用户进行访问控制的方法和系统 | |
| US20120011589A1 (en) | Method, apparatus, and system for detecting a zombie host | |
| CN101106512B (zh) | 一种QinQ终结配置的处理方法和设备 | |
| CN100579121C (zh) | 一种保障专线用户上网的方法 | |
| CN101252592A (zh) | 一种ip网络的网络溯源方法和系统 | |
| US7451479B2 (en) | Network apparatus with secure IPSec mechanism and method for operating the same | |
| WO2008137700A1 (en) | Legal intercept of communication traffic particularly useful in a mobile environment | |
| CN101483676A (zh) | 一种保障专线用户上网的方法 | |
| WO2009140910A1 (zh) | 主动式ip地址分配方法及系统 | |
| CN101184099B (zh) | 基于动态主机配置协议接入认证的二次ip地址分配方法 | |
| CN101471936A (zh) | 建立ip会话的方法、装置及系统 | |
| CN106792684B (zh) | 一种多重防护的无线网络安全防护系统及防护方法 | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN101488857A (zh) | 认证服务虚拟化 | |
| CN104618522B (zh) | 终端ip地址自动更新的方法及以太网接入设备 | |
| CN113132385B (zh) | 一种防止网关arp欺骗的方法及装置 | |
| CN102984031B (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
| CN116389105B (zh) | 一种远程接入管理平台及管理方法 | |
| CN112910863A (zh) | 一种网络溯源方法及系统 | |
| CN101325587A (zh) | 一种dhcp会话监测方法 | |
| CN1306758C (zh) | 基于二层以太网交换机获取用户地址信息的方法 | |
| CN109495501B (zh) | 网络安全动态资产管理系统 | |
| CN100461693C (zh) | 网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20070321 |
|
| CX01 | Expiry of patent term |