CN1780287B - 一种自动绑定动态地址解析协议表条目的方法 - Google Patents
一种自动绑定动态地址解析协议表条目的方法 Download PDFInfo
- Publication number
- CN1780287B CN1780287B CN200410065780A CN200410065780A CN1780287B CN 1780287 B CN1780287 B CN 1780287B CN 200410065780 A CN200410065780 A CN 200410065780A CN 200410065780 A CN200410065780 A CN 200410065780A CN 1780287 B CN1780287 B CN 1780287B
- Authority
- CN
- China
- Prior art keywords
- address
- dynamic
- dynamic environment
- arp
- binding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明旨在提供一种自动绑定动态地址解析协议表条目的方法,用于数据通讯领域,包括以下步骤:为网络设备三层接口配置IP地址;为网络中的用户主机配置IP地址,使其与三层接口的IP地址在同一个网段;通过地址解析协议,网络设备学习到用户主机的动态地址解析协议表条目;网络设备执行绑定动态条目命令,自动绑定此时刻的地址解析协议表中的所有动态条目,使其成为永久条目,不被覆盖,不进行老化更新处理。本发明可根据需要灵活地自动绑定/解除绑定网络设备中ARP表的动态条目。
Description
技术领域
本发明涉及数据通讯领域,尤其涉及地址解析协议表(ARP表)的动态条目绑定技术。
背景技术
数据报文分组在物理网络上传递,需要知道设备终端和三层网络设备的物理地址,即MAC地址。ARP表就是一张反映网络地址(IP地址)和物理地址(MAC地址)对应关系的映射表,提供IP地址到MAC地址的映射。在三层网络设备中(例如路由器和交换机),ARP表是维系设备正常运转的基础信息表,保证ARP表安全对于数据通讯系统非常重要。
支持ARP(地址解析协议)的设备都维护着一个高速缓存,用于存放最新获得的IP地址到MAC地址的映射,为了保存最新的映射关系,需经常对该ARP表进行老化和更新处理。地址解析协议通过处理来自网络上的ARP分组,记录相应的MAC地址。当ARP分组到达时,处理程序首先提取发送方的IP地址和MAC地址对,并检查本地的高速缓存ARP表,如果ARP表中已经存有这个IP地址的表项,处理程序就从ARP分组中获得MAC地址并覆盖缓存中原先的MAC地址,从而更新表项。如果ARP表中不存在这个IP地址的表项,则加入该条IP地址条目,记录MAC地址,从而新增表项。
由此,带来了一些网络安全隐患。首先,网络上的主机可以通过相应的网络工具软件轻易地进行ARP欺骗,网络设备会提取出物理地址,对高速缓存进行更新,这样可能会引起原来的合法用户网络不通。其次,ARP表中的动态条目达到一定的时间(老化时间),需要进行老化更新处理,在网络上重新发送ARP请求报文。这在一定程度上让非法用户有机可乘,并且对于稳定可靠的网络来说,产生了不必要的广播报文,增加了通信量。
实际应用中,对于某个网络来说,在一定的时间周期内其用户群一般都维持一个相对稳定的状况。针对这种情况,为了提高网络的稳定性,对于相对稳定的用户群的动态ARP表条目,现有技术采用手工绑定的方法,使之成为永久条目,这样该主机条目就不会被更新,也不会进行老化处理。但大量地手工绑定动态ARP表条目,其工作任务过于繁重,实现很困难。
发明内容
本发明要解决的技术问题是克服现有技术ARP表的安全隐患以及手工绑定动态ARP表条目的不足,提供一种自动绑定动态ARP表条目的方法,实现对动态ARP表条目的自动绑定,可以有效迅速地对网络中的动态ARP表条目进行管理。
本发明采用以下技术方案:
一种自动绑定动态地址解析协议表条目的方法,包括以下步骤:
步骤一,为网络设备三层接口配置IP地址;
步骤二,为网络中的用户主机配置IP地址,使其与三层接口的IP地址在同一个网段;
步骤三,通过地址解析协议,网络设备学习到用户主机的动态地址解析协议表条目;
步骤四,网络设备执行绑定动态条目命令,自动绑定此时刻的地址解析协议表中的所有动态条目,使其成为永久条目,不被覆盖,不进行老化更新处理。
进一步地,网络设备自动绑定动态地址解析协议表条目后,可执行解除绑定动态条目命令,恢复已绑定条目为动态条目,使其可进行正常的老化更新处理。
进一步地,可在网络设备的全局模式下执行绑定动态条目命令和解除绑定动态条目命令。
进一步地,可通过手工绑定条目,对已自动绑定的条目进行重新绑定。
进一步地,执行绑定动态条目命令后,网络设备可以继续学习新的动态条目到地址解析协议表。
进一步地,可自动绑定所有接口的动态条目或者指定接口的动态条目。
与现有技术相比,本发明采用自动绑定方法,可根据需要灵活地自动绑定/解除绑定网络设备中ARP表的动态条目,不需增加额外的硬件成本,有效地提高了ARP表的安全,增强了网络的稳定性。
附图说明
图1是本发明应用环境的组网示意图;
图2是应用本发明的网络设备的ARP模块组成图;
图3是本发明中ARP动态条目自动绑定的处理流程图;
图4是本发明中ARP动态条目解除绑定的处理流程图。
具体实施方式
图1是本发明应用环境的组网示意图,如图所示:以太网交换机ZXROS配置以太口fei_1/1为10.1.1.1/24网段,配置以太口fei_1/2为20.1.1.1/24网段。fei_1/1下挂10.1.1.0/24网段的用户主机(Host),fei_1/2下挂20.1.1.0/24网段的用户主机。
图2是应用本发明的网络设备的ARP模块组成图,其中各模块功能如下:
ARP输出模块:用于接收数据报文,在ARP模块中进行处理。
ARP输入模块:用于从底层收发包接收ARP报文的处理。如果当前主机动态条目已经绑定,此时不能通过ARP报文接收对之进行更新,但能进行正常的通信。
ARP代理模块:用于在原有ARP输入模块的基础上,提供ARP代理功能。
ARP表同步模块:用于保证分布式系统中ARP表的一致性。
ARP表主备倒换模块:用于实现主备倒换过程中ARP表项的注备倒换。
配置管理模块:用于通过操作维护接口提供用户对ARP数据的配置、查询。配置管理模块提供人机界面,设有ARP动态条目的自动绑定和解除绑定功能,通过自动绑定命令和解除绑定命令,可以对ARP动态条目进行方便的管理。
ARP表管理模块:用于对ARP表的进行操作和维护,包括内存管理、查找、添加、删除、超时老化等。执行了动态条目自动绑定时,ARP表管理模块将该时刻相应的动态条目置为永久条目,不进行老化和更新处理,ARP输入模块仍然能够回应主机的ARP请求;执行了解除动态条目自动绑定命令时,ARP表管理模块将自动绑定的条目恢复成动态条目,又可进行正常的老化和更新处理。
图3是本发明中ARP动态条目自动绑定的处理流程图。如图3所示,执行了自动绑定命令(arp to-static)之后,遍历接口的ARP表,如果是动态条目则将其置为永久条目,打上自动绑定的标记,不进行老化和更新处理;如果不是动态条目则不做处理。
图4是本发明中ARP动态条目解除绑定的处理流程图。如图4所示,执行了解除绑定命令(no arp to-static)之后,遍历接口的ARP表,如果该条目为自动绑定的条目,将其自动绑定的标志复位,并恢复成动态条目,又可以进行正常的老化和更新处理。
以图1所示组网系统为例,说明应用本发明的实施情况如下:
配置以太口1的IP地址:
interface fei_1/1
ip address 10.1.1.1255.255.0.0
配置以太口2的IP地址:
interface fei_1/2
ip address 20.1.1.1255.255.0.0
执行show arp可以查看路由器上当前ARP表的内容:
地址 时间 硬件地址 接口
10.1.1.1 - 00d0.d0c0.0000 fei_1/1
10.1.1.2 0 0000.0000.0012 fei_1/1
10.1.1.3 0 0000.0000.0013 fei_1/1
20.1.1.1 - 00d0.d0c0.0000 fei_1/2
20.1.1.2 0 0000.0000.0022 fei_1/2
20.1.1.3 0 0000.0000.0023 fei_1/2
…
进入接口配置模式,在fei_1/1接口上执行自动绑定命令:
interface fei_1/1
arp to-static
执行show arp查看路由器当前ARP的内容:fei_1/1接口上的动态条目被绑定成静态,标志为TS:
地址 时间 硬件地址 接口
10.1.1.1 - 00d0.d0c0.0000 fei_1/1
10.1.1.2 TS 0000.0000.0012 fei_1/1
10.1.1.3 TS 0000.0000.0013 fei_1/1
20.1.1.1 - 00d0.d0c0.0000 fei_1/2
20.1.1.2 0 0000.0000.0022 fei_1/2
20.1.1.3 0 0000.0000.0023 fei_1/2
在fei_1/1接口上执行no arp to-static命令,解除动态条目的绑定:
interface fei_1/1
no arp to-static
再次通过show arp查看,原先被绑定的条目恢复成动态条目,可进行正常的更新和老化:
地址 时间 硬件地址 接口
10.1.1.1 - 00d0.d0c0.0000 fei_1/1
10.1.1.2 0 0000.0000.0012 fei_1/1
10.1.1.3 0 0000.0000.0013 fei_1/1
20.1.1.1 - 00d0.d0c0.0000 fei_1/2
20.1.1.2 0 0000.0000.0022 fei_1/2
20.1.1.3 0 0000.0000.0023 fei_1/2
类似地,在全局配置模式下执行绑定动态条目命令和解除绑定动态条目命令将对所有以太接口的动态ARP条目进行绑定/解除绑定操作。
综上所述,在网络设备上应用本发明具有以下优点:通过ARP动态条目自动绑定命令,可以方便地将某时刻的动态条目绑定成永久条目,由于永久条目不会被覆盖,从而防止主机条目被篡改。通过ARP动态条目解除绑定命令,可将已绑定的条目恢复成动态条目,进行正常的老化处理;可以对ARP表中所有动态条目或者某个接口上的动态条目进行操作。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (6)
1.一种自动绑定动态地址解析协议表条目的方法,包括以下步骤:
步骤一,为网络设备三层接口配置IP地址;
步骤二,为网络中的用户主机配置IP地址,使其与三层接口的IP地址在同一个网段;
步骤三,通过地址解析协议,网络设备学习到用户主机的动态地址解析协议表条目;
步骤四,网络设备执行绑定动态条目命令,自动绑定此时刻的地址解析协议表中的所有动态条目,使其成为永久条目,不被覆盖,不进行老化更新处理。
2.根据权利要求1所述的方法,其特征在于,网络设备自动绑定动态地址解析协议表条目后,可执行解除绑定动态条目命令,恢复已绑定条目为动态条目,使其可进行正常的老化更新处理。
3.根据权利要求1所述的方法,其特征在于,在网络设备的全局模式下执行绑定动态条目命令和解除绑定动态条目命令。
4.根据权利要求1所述的方法,其特征在于,可通过手工绑定条目,对已自动绑定的条目进行重新绑定。
5.根据权利要求1所述的方法,其特征在于,执行绑定动态条目命令后,网络设备继续学习新的动态条目到地址解析协议表。
6.根据权利要求1所述的方法,其特征在于,自动绑定所有接口的动态条目或者指定接口的动态条目。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200410065780A CN1780287B (zh) | 2004-11-18 | 2004-11-18 | 一种自动绑定动态地址解析协议表条目的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200410065780A CN1780287B (zh) | 2004-11-18 | 2004-11-18 | 一种自动绑定动态地址解析协议表条目的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1780287A CN1780287A (zh) | 2006-05-31 |
CN1780287B true CN1780287B (zh) | 2012-09-05 |
Family
ID=36770397
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200410065780A Active CN1780287B (zh) | 2004-11-18 | 2004-11-18 | 一种自动绑定动态地址解析协议表条目的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1780287B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103560914B (zh) * | 2013-11-01 | 2017-10-17 | 国网安徽省电力公司铜陵供电公司 | 一种基于命令模板的交换机arp表操作方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
WO2004025926A1 (en) * | 2002-09-16 | 2004-03-25 | Cisco Technology, Inc. | Method and apparatus for preventing spoofing of network addresses |
-
2004
- 2004-11-18 CN CN200410065780A patent/CN1780287B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
WO2004025926A1 (en) * | 2002-09-16 | 2004-03-25 | Cisco Technology, Inc. | Method and apparatus for preventing spoofing of network addresses |
Also Published As
Publication number | Publication date |
---|---|
CN1780287A (zh) | 2006-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102447752B (zh) | 基于二层隧道协议的业务访问方法、系统和装置 | |
CN105323173B (zh) | 网络规则条目的设置方法及装置 | |
CN100477666C (zh) | 一种快速更新地址解析协议的方法 | |
AU2003211139A1 (en) | Intelligent network address translator and method for network address translation | |
CN100414890C (zh) | 一种集中配置终端设备的方法和系统 | |
CN101754221B (zh) | 异构系统间的数据传输方法及数据传输系统 | |
CN102904976B (zh) | 基于前缀分配的扩展双重无状态IPv4-IPv6翻译方法 | |
CN104023092A (zh) | 一种实现定向流量包的方法及系统 | |
CN106790503A (zh) | 一种基于HTTP反向代理实现无天窗的IPv4网站应用向IPv6升级的装置 | |
CN103516541A (zh) | 基于智能化变电站的配置信息自动管理方法 | |
CN103248720A (zh) | 一种查询物理地址的方法及装置 | |
CN102857428A (zh) | 一种基于访问控制列表的报文转发方法和设备 | |
CN105337754A (zh) | 一种数据通信网络开通方法及系统 | |
CN113347020A (zh) | 域名服务的灾备方法、系统、装置和介质 | |
CN109167850A (zh) | 一种确定cdn服务运营商的方法、装置和存储介质 | |
CN101415002B (zh) | 防止报文攻击的方法、数据通信设备及通信系统 | |
CN104125662A (zh) | 无线接入点集中管理装置及其管理方法 | |
CN1863193B (zh) | 实现网络安全装置安全策略的方法 | |
CN102821020B (zh) | 通过复制中转ip包来透传vpn通信的方法 | |
CN102724767A (zh) | 一种移动用户的虚拟专用网接入方法及其装置 | |
WO2004066070A3 (en) | Network address translation based mobility management | |
CN1780287B (zh) | 一种自动绑定动态地址解析协议表条目的方法 | |
CN101945110A (zh) | 地址解析协议表目的配置方法和装置 | |
CN106302850A (zh) | 一种权威dns配置优化方法与装置 | |
CN104717639A (zh) | 一种移动客户端访问互联网的方法和接入网关服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20060531 |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |