KR100958283B1 - apparatus having Dynamic Host Configuration Protocol - Snooping function - Google Patents

apparatus having Dynamic Host Configuration Protocol - Snooping function Download PDF

Info

Publication number
KR100958283B1
KR100958283B1 KR1020070106021A KR20070106021A KR100958283B1 KR 100958283 B1 KR100958283 B1 KR 100958283B1 KR 1020070106021 A KR1020070106021 A KR 1020070106021A KR 20070106021 A KR20070106021 A KR 20070106021A KR 100958283 B1 KR100958283 B1 KR 100958283B1
Authority
KR
South Korea
Prior art keywords
dhcp
packet
snooping
address
dhcp snooping
Prior art date
Application number
KR1020070106021A
Other languages
Korean (ko)
Other versions
KR20090040592A (en
Inventor
신현재
Original Assignee
주식회사 다산네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 다산네트웍스 filed Critical 주식회사 다산네트웍스
Priority to KR1020070106021A priority Critical patent/KR100958283B1/en
Publication of KR20090040592A publication Critical patent/KR20090040592A/en
Application granted granted Critical
Publication of KR100958283B1 publication Critical patent/KR100958283B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Abstract

본 발명은 동적 호스트 설정 프로토콜(Dynamic Host Configuration Protocol : 이하, DHCP) 스누핑(snooping) 기능을 구비한 장치에 관한 것으로, 이 장치는 DHCP 스누핑을 통하여 각 호스트의 하드웨어 주소 및 IP 주소를 포함하는 정보를 획득하는 스누핑부; 및 소정의 기간 동안에 IP 패킷을 통과시키고, 나머지 기간 동안에 상기 정보를 기초로 IP 패킷을 통과시키거나, 폐기하는 필터링부를 포함한다. 본 발명에 따르면, IP source guard를 지원하는 DHCP 스누핑 장비에서 데몬(daemon) 재시작(restart), 장비 재시작(re-booting)되더라도 일시적인 서비스 장애 없이 정상적인 서비스가 가능하다.The present invention relates to a device having a Dynamic Host Configuration Protocol (DHCP) snooping function, which uses DHCP snooping to provide information including a hardware address and an IP address of each host A snooping part to acquire; And a filtering unit for passing IP packets during a predetermined period and passing or discarding IP packets based on the information for the remaining period. According to the present invention, even if a daemon is restarted or a device is re-booted in a DHCP snooping device supporting IP source guard, a normal service can be performed without a temporary service failure.

DHCP 스누핑, IP source guard DHCP snooping, IP source guard

Description

동적 호스트 설정 프로토콜 스누핑 기능을 구비한 장치 {apparatus having Dynamic Host Configuration Protocol - Snooping function}[0001] The present invention relates to a dynamic host configuration protocol (Snooping function)

도 1은 IP source guard 실행에 사용되는 DHCP 스누핑 바인딩 테이블 및 규칙 테이블을 예시한다.Figure 1 illustrates a DHCP snooping binding table and rule table used for IP source guard execution.

도 2는 DHCP 스누핑 장비가 IP source guard와 관련된 패킷 처리 과정을 나타내는 흐름도이다.FIG. 2 is a flowchart showing a packet processing process in which the DHCP snooping device is associated with an IP source guard. FIG.

도 3은 DHCP 스누핑 장비의 재시동으로 인해, 정상적인 IP 사용자가 통신을 수행할 수 없게 되는 과정을 예시한다.FIG. 3 illustrates a process in which a normal IP user can not perform communication due to a restart of the DHCP snooping device.

도 4는 본 발명의 일실시예에 따른 DHCP 스누핑 장비의 구성을 나타내는 블록도이다.4 is a block diagram illustrating a configuration of a DHCP snooping apparatus according to an embodiment of the present invention.

도 5는 본 발명의 일실시예에 따른 DHCP 스누핑 장비의 동작을 나타내는 흐름도이다.5 is a flowchart illustrating an operation of a DHCP snooping apparatus according to an exemplary embodiment of the present invention.

도 6은 DHCP 스누핑 장비의 재시동이 발생되는 경우, 본 발명에 따른 DHCP 스누핑 장비의 동작을 시간 흐름 상으로 예시하는 도면이다.FIG. 6 is a diagram illustrating the operation of the DHCP snooping apparatus according to the present invention over time when a reboot of the DHCP snooping apparatus occurs. FIG.

본 발명은 DHCP 스누핑 장비에 관한 것으로서, 보다 상세하게는 IP source guard 실행시, 데몬 재시작, 장비 재시작으로 인해 DHCP 스누핑 바인딩(binding) 테이블이 삭제되었을 경우에도 일시적인 서비스 장애 없이 정상적인 서비스가 가능하도록 하는 DHCP 스누핑 장비에 관한 것이다.The present invention relates to a DHCP snooping device, and more particularly, to a DHCP snooping device capable of performing normal service without a temporary service failure even when a DHCP snooping binding table is deleted due to a restart of a daemon, Snooping equipment.

전 세계의 사용자 컴퓨터(personal computer : 이하, PC)들은 라우터 및 스위치를 포함하여 구성되는 네트워크 장비를 통하여 인터넷에 연결된다. 기본적으로 인터넷은 통신제어 프로토콜/인터넷 프로토콜(Transmission Control Protocol / Internet Protocol: 이하 " TCP/IP" 라 함)이라고 불리는 프로토콜 조합을 기반으로 하기 때문에, PC가 인터넷에 접속하기 위해서는 고유한 IP 주소를 가질 필요가 있다. 모든 PC들이 고정된 고유의 IP 주소를 가지는 것이 이상적이지만, IP 주소 자원은 한정되어 있으며 각각의 PC에서 수동으로 자신의 IP 주소를 입력하는 작업은 번거롭기 때문에 대부분의 PC들은 인터넷에 접속할 때마다 DHCP를 이용하여 동적으로 IP 주소를 할당 받는다. 따라서, PC 등의 호스트는 DHCP 클라이언트 프로그램을 탑재하며 DHCP 서버 프로그램을 탑재하고 있는 네트워크 장비로부터 IP 주소를 할당 받아 소정의 리스 시간(lease time) 동안 사용하게 된다.BACKGROUND OF THE INVENTION [0002] Personal computers (PCs) around the world are connected to the Internet through network equipment including routers and switches. Basically, the Internet is based on a protocol combination called Transmission Control Protocol / Internet Protocol (hereinafter referred to as "TCP / IP"), so that a PC has a unique IP address There is a need. Ideally, all PCs have a fixed unique IP address, but IP address resources are limited, and manually entering their IP address on each PC is cumbersome, so most PCs use DHCP IP addresses are allocated dynamically. Therefore, a host such as a PC mounts a DHCP client program and is assigned an IP address from a network device that is equipped with a DHCP server program, and is used for a predetermined lease time.

한편, 네트워크에 존재하는 DHCP 스누핑 장비는 비정상적인 IP 사용자를 차단하기 위한 IP source guard 기능을 지원한다.Meanwhile, the DHCP snooping device in the network supports an IP source guard function for blocking abnormal IP users.

도 1은 IP source guard 실행에 사용되는 DHCP 스누핑 바인딩 테이블 및 규칙 테이블을 예시한다.Figure 1 illustrates a DHCP snooping binding table and rule table used for IP source guard execution.

DHCP 스누핑 장비는 DHCP 서버로부터 IP 주소를 정상적으로 할당 받은 사용 자에 대하여 도 1의 상단에 도시된 DHCP 스누핑 바인딩 테이블을 관리한다. 이 DHCP 스누핑 바인딩 테이블에는 DHCP 서버로부터 IP 주소가 할당된 각 호스트의 IP 주소, 하드웨어 주소(예컨대, 이더넷의 경우는 MAC 주소), 리스 시간 등이 저장된다.The DHCP snooping device manages the DHCP snooping binding table shown at the top of FIG. 1 for a user who has been normally assigned an IP address from the DHCP server. The DHCP snooping binding table stores the IP address, the hardware address (for example, MAC address in the case of Ethernet), and the lease time of each host to which an IP address is assigned from the DHCP server.

IP source guard가 실행 시작되면, 해당 포트(port)에 대하여 모든 IP 패킷(DHCP 패킷 등의 제어 패킷이 아니라 데이터 패킷을 의미함)을 폐기하는 규칙(Drop Rule)이 규칙 테이블에 생성된다. 또한, DHCP 스누핑을 통하여 획득된 클라이언트의 IP 주소 및 하드웨어 주소가 DHCP 스누핑 바인딩 테이블에 반영될 때마다, 상기 반영된 IP 주소 및 하드웨어 주소를 허용하는 규칙(Permit Rule)이 규칙 테이블에 생성된다. When the IP source guard is started, a rule (Drop Rule) for discarding all IP packets (meaning a data packet, not a control packet such as a DHCP packet) is created in the rule table for the corresponding port. Also, whenever a client's IP address and hardware address obtained through DHCP snooping are reflected in the DHCP snooping binding table, a rule permitting the reflected IP address and hardware address is generated in the rule table.

IP source guard가 실행 중이고, DHCP 스누핑 바인딩 테이블이 도 1의 상단의 상태라면, 규칙 테이블은 도 1의 하단과 같이, DHCP 스누핑 바인딩 테이블의 엔트리에 해당하는 IP 주소 및 하드웨어 주소를 허용하는 규칙 및 모든 IP 패킷을 폐기하는 규칙 등으로 이루어지는 데, 일반적으로 전자의 규칙이 후자의 규칙보다 우선 순위 면에서 높게 설정된다. DHCP 스누핑 장비는 수신된 IP 패킷의 소스(source) IP 주소 및 소스 하드웨어 주소를 규칙 테이블에서 우선 순위가 높은 규칙과 먼저 비교한 후, 매칭되지 않으면 그 다음의 우선 순위인 규칙과 비교하는 과정을 수행하여 IP 패킷을 허용하거나 폐기한다. If the IP source guard is running and the DHCP snooping binding table is in the top state of FIG. 1, then the rules table may contain rules to allow IP addresses and hardware addresses corresponding to entries in the DHCP snooping binding table, Rules for discarding IP packets, and the like. In general, the former rules are set higher than the latter rules in terms of priority. The DHCP snooping device first compares the source IP address and the source hardware address of the received IP packet with the rule having the highest priority in the rule table, and then compares the source IP address and the source hardware address with the rule having the next priority To allow or discard IP packets.

도 1의 하단에 도시된 바와 같다면, 수신된 IP 패킷의 소스 IP 주소 및 소스 하드웨어 주소가 각각 10.10.10.2 및 xx:xx:xx:xx:xx:bb라면, IP 패킷은 허용되며, 수신된 IP 패킷의 소스 IP 주소가 10.10.10.4라면 우선 순위 6의 규칙에는 매칭되지 않으므로, 그 다음의 우선 순위인 폐기 규칙에 매칭되게 되어 이 IP 패킷은 폐기된다.1, if the source IP address and the source hardware address of the received IP packet are 10.10.10.2 and xx: xx: xx: xx: xx: bb, the IP packet is allowed, If the source IP address of the IP packet is 10.10.10.4, it is not matched to the rule of priority 6, and the IP packet is discarded because it is matched with the discard rule which is the next priority.

이러한 규칙 테이블에 따라 IP 패킷을 필터링하면, DHCP 스누핑 장비는 DHCP 스누핑 바인딩 테이블에 존재하지 않는 IP 주소 및 하드웨어 주소를 가지지 않은 호스트를 비정상적인 IP 사용자로 간주하여 IP 패킷을 폐기하게 된다.When the IP packet is filtered according to the rule table, the DHCP snooping device discards the IP packet by considering a host having no IP address and hardware address that does not exist in the DHCP snooping binding table as an abnormal IP user.

도 2는 DHCP 스누핑 장비가 IP source guard와 관련된 패킷 처리 과정을 나타내는 흐름도이다.FIG. 2 is a flowchart showing a packet processing process in which the DHCP snooping device is associated with an IP source guard. FIG.

도 2를 참조하면, IP 패킷이 수신되면, DHCP 스누핑 장비는 IP source guard 기능 설정 여부를 판단한다. IP source guard 기능이 비활성화(disable) 설정되었다면, DHCP 스누핑 장비는 수신된 IP 패킷을 통과시킨다. 반면에, IP source guard 기능이 활성화(enable) 설정되었다면, 수신된 IP 패킷의 소스 하드웨어 주소와 소스 IP 주소가 필터링 규칙 테이블의 규칙과 매칭되는지를 확인한다. 여기서, 필터링 규칙 테이블의 규칙과의 매칭은 우선 순위가 높은 규칙 순으로 매칭 과정이 이루어진다. 이러한 과정은 IP 패킷을 송신한 호스트가 DHCP 서버로부터 IP 주소를 할당 받았는지를 확인하는 과정을 의미한다. 확인 결과, 폐기 규칙에 매칭되면, 수신된 IP 패킷은 폐기(drop)되며, 허용 규칙에 매칭되면 수신된 IP 패킷은 통과된다. 통과된 IP 패킷은 다음의 IP 노드(예컨대, 서버, 라우터, 호스트 등)로 포워딩된다.Referring to FIG. 2, when the IP packet is received, the DHCP snooping device determines whether the IP source guard function is set. If the IP source guard function is disabled, the DHCP snooping device passes the received IP packet. On the other hand, if the IP source guard function is enabled, it checks whether the source hardware address and source IP address of the received IP packet match the rules of the filtering rule table. Here, the matching process with the rule of the filtering rule table is performed in order of the rule having the highest priority. This process is a process of confirming whether a host that has transmitted an IP packet has been assigned an IP address from a DHCP server. As a result of checking, if the discard rule is matched, the received IP packet is dropped, and if the acceptance rule is matched, the received IP packet is passed. The passed IP packet is forwarded to the next IP node (e.g., server, router, host, etc.).

한편, 정상적인 서비스가 제공되던 도중, DHCP 스누핑 장비가 재시동되었을 경우, 도 3을 참조하여 후술하는 바와 같이, DHCP 스누핑 바인딩 테이블이 모두 지워지게 되어, 정상적인 IP 사용자가 IP 주소를 재할당 받기 전까지 서비스가 끊어지는 경우가 발생된다.Meanwhile, when the DHCP snooping device is restarted while a normal service is being provided, the DHCP snooping binding table is erased as described later with reference to FIG. 3, and the service is not updated until a normal IP user receives the IP address again. It may be disconnected.

도 3은 DHCP 스누핑 장비의 재시동으로 인해, 정상적인 IP 사용자가 통신을 수행할 수 없게 되는 과정을 예시한다.FIG. 3 illustrates a process in which a normal IP user can not perform communication due to a restart of the DHCP snooping device.

도 3을 참조하면, 클라이언트가 IP 주소를 할당 받기 위해, DHCP 발견(discovery) 패킷을 브로드캐스트하면, 이를 수신한 DHCP 서버가 할당할 IP 주소 및 리스 시간을 포함하는 DHCP 제공(offer) 패킷을 클라이언트에게 송신한다. DHCP 제공 패킷을 수신한 클라이언트는 해당 IP 주소를 사용하기 위해, DHCP 요구(request) 패킷을 브로드캐스트한다. 이를 수신한 DHCP 서버는 DHCP 리스 DB(Data Base)에 클라이언트의 하드웨어 주소, 할당된 IP 주소, 리스 시간, 사용자 식별자(User ID) 등을 기록한 후, 해당 IP 주소의 사용을 허락하는 DHCP 승낙(ACK) 패킷을 클라이언트에게 송신한다.Referring to FIG. 3, when a client broadcasts a DHCP discovery packet to receive an IP address, a DHCP offer packet including an IP address and a lease time to be allocated by the DHCP server, Lt; / RTI > The client receiving the DHCP-provided packet broadcasts a DHCP request packet to use the IP address. Upon receipt of the DHCP request, the DHCP server records the hardware address of the client, the assigned IP address, the lease time, and the user ID in the DHCP lease DB, and then issues a DHCP acknowledgment ACK ) Packet to the client.

이러한 과정에서, DHCP 스누핑 장비는 클라이언트와 서버 간에 송수신되는 DHCP 패킷(DHCP 발견 패킷, DHCP 제공 패킷, DHCP 요구 패킷, DHCP 승낙 패킷)을 스누핑하여, DHCP 서버로부터 IP 주소를 정상적으로 할당받은 클라이언트의 IP 주소, 하드웨어 주소 등을 DHCP 스누핑 바인딩 테이블에 기록한 후, 상술한 규칙 테이블에 기록하는 동작을 수행한다.In this process, the DHCP snooping device snoops DHCP packets (DHCP discovery packet, DHCP discovery packet, DHCP request packet, and DHCP consent packet) transmitted and received between the client and the server and transmits the IP address , A hardware address, and the like in the DHCP snooping binding table, and then records in the above-described rule table.

그러던 도중, DHCP 스누핑 장비가 재시동되는 경우, DHCP 스누핑 바인딩 테 이블 및 규칙 테이블에 포함된 모든 엔트리가 사라지게 된다. 또한, 장비 재시동 되면 IP source guard 기능이 다시 실행 시작되어, 규칙 테이블이 생성된다. 장비 재시동으로 이전의 DHCP 스누핑 바인딩 테이블의 모든 엔트리가 사라졌으므로, 재시동 후 생성되는 필터링 규칙 테이블에는 모든 IP 패킷이 폐기되는 폐기 규칙만이 존재하게 된다.In the meantime, if the DHCP snooping device is rebooted, all entries in the DHCP snooping binding table and rules table will be lost. Also, when the equipment is rebooted, the IP source guard function starts again and a rule table is created. Since all the entries in the previous DHCP snooping binding table have been lost due to the equipment restart, only the revocation rules in which all IP packets are discarded are present in the filtering rule table generated after rebooting.

따라서, 재시동 이후, DHCP 스누핑 장비가 IP 패킷을 수신하여, IP source guard 기능에 따라 패킷 필터링을 수행하는 경우, 재시동 이전의 DHCP 스누핑 바인딩 테이블에 등록된 IP 주소 및 하드웨어 주소를 가진 클라이언트로부터 송신된 IP 패킷이라 하더라도 폐기된다.Therefore, when the DHCP snooping device receives the IP packet and performs packet filtering according to the IP source guard function after the restart, the IP address and the IP address transmitted from the client having the hardware address registered in the DHCP snooping binding table before the restart Even packets are discarded.

또한, 도 3에 따르면, IP 패킷이 폐기된 이후, 클라이언트는 IP 주소 사용 연장을 위해 DHCP 요구 패킷을 DHCP 서버에 송신하고, DHCP 서버는 IP 주소 사용 연장을 허락하는 DHCP 승낙 패킷을 클라이언트에게 송신한다. 이러한 과정에서, DHCP 스누핑 장비는 클라이언트와 서버 간에 송수신되는 DHCP 요구 패킷, DHCP 승낙 패킷을 스누핑하여, 클라이언트의 IP 주소 및 하드웨어 주소를 DHCP 스누핑 바인딩 테이블에 등록한 후, 규칙 테이블에 반영한다. 이후에 해당 클라이언트로부터 송신된 IP 패킷은 상기 반영된 규칙 테이블로 인해 통과된다.3, after the IP packet is discarded, the client transmits a DHCP request packet to the DHCP server for extending the use of the IP address, and the DHCP server transmits a DHCP acknowledgment packet to the client, which allows extension of the use of the IP address . In this process, the DHCP snooping device snoops the DHCP request packet and the DHCP acknowledgment packet transmitted and received between the client and the server, registers the IP address and the hardware address of the client in the DHCP snooping binding table, and reflects the IP address and the hardware address in the rule table. The IP packet transmitted from the client is then passed by the reflected rule table.

따라서, 재시동, 데몬 재시작 등으로 인해 DHCP 스누핑 바인딩 테이블 등이 삭제된 시점에서, 해당 클라이언트의 IP 주소 재할당 시점까지의 기간 동안 해당 클라이언트로부터 송신된 IP 패킷은 정상적으로 전달될 수 없게 된다. 즉, 정상적인 IP 사용자라 하더라도 IP source guard를 사용하는 DHCP 스누핑 장비의 재시동 등으로 인해 일시적으로 서비스를 받지 못하는 문제점이 발생한다.Therefore, when the DHCP snooping binding table or the like is deleted due to re-start or daemon restart, the IP packet transmitted from the client can not be normally transmitted during the period until the IP address reassignment of the client is performed. That is, even a normal IP user can not receive service temporarily due to rebooting of the DHCP snooping device using IP source guard.

따라서, IP source guard를 지원하는 DHCP 스누핑 장비에서 데몬 재시작, 장비 재시작으로 인해 DHCP 스누핑 바인딩 테이블 및 규칙 테이블이 삭제되었을 경우에도 일시적인 서비스 장애 없이 정상적인 서비스가 가능하도록 하는 방안이 요구된다.Therefore, even if the DHCP snooping binding table and the rule table are deleted due to the restart of the daemons and the restart of the device in the DHCP snooping equipment supporting IP source guard, it is required to provide a normal service without temporary service failure.

본 발명이 이루고자 하는 기술적 과제는, 재시동, 데몬 재시작 등의 상황이 발생되더라도 일시적인 서비스 장애 없이 정상적인 서비스를 보장하는 DHCP 스누핑 기능을 구비한 장치를 제공하는 데 있다.An object of the present invention is to provide a device having a DHCP snooping function that ensures normal service without a temporary service failure even if a restart or daemon restart occurs.

상기의 기술적 과제를 이루기 위해 본 발명의 제1 측면은 DHCP 스누핑을 통하여 각 호스트의 하드웨어 주소 및 IP 주소를 포함하는 정보를 획득하는 스누핑부; 및 소정의 기간 동안에 IP 패킷을 통과시키고, 나머지 기간 동안에 상기 정보를 기초로 IP 패킷을 통과시키거나, 폐기하는 필터링부를 포함하는 DHCP 스누핑 기능을 구비한 장치를 제공한다.According to an aspect of the present invention, there is provided a method of controlling a network device including a snooping unit for obtaining information including a hardware address and an IP address of each host through DHCP snooping; And a filtering unit for passing an IP packet for a predetermined period of time and for passing or discarding an IP packet based on the information for the remaining period of time.

상기의 기술적 과제를 이루기 위해 본 발명의 제2 측면은 DHCP 스누핑을 통하여 DHCP 스누핑 바인딩 테이블을 관리하는 스누핑부; 및 소정의 기간이 경과된 후, 상기 DHCP 스누핑 바인딩 테이블을 기초로 패킷 필터링을 위한 필터링 규칙 테이블을 생성하는 필터링 규칙 생성부를 포함하는 DHCP 스누핑 기능을 구비한 장치 를 제공한다.According to a second aspect of the present invention, there is provided a method for managing a DHCP snooping binding table through DHCP snooping, And a filtering rule generator for generating a filtering rule table for packet filtering based on the DHCP snooping binding table after a predetermined period of time elapses.

이하, 상기 기술적 과제를 해결하기 위한 본 발명의 실시예들이 첨부된 도면을 참조하여 설명된다. 본 실시예를 설명함에 있어서, 동일 구성에 대해서는 동일 명칭 및 동일 부호가 사용되며 이에 따른 부가적인 설명은 하기에서 생략된다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. In describing the present embodiment, the same designations and the same reference numerals are used for the same components, and additional description thereof will be omitted in the following.

도 4는 본 발명의 일실시예에 따른 DHCP 스누핑 장비의 구성을 나타내는 블록도이다. 도 4를 참조하면, DHCP 서버는 스누핑부(400), DHCP 스누핑 바인딩 테이블(402), 규칙 테이블(404), 필터링부(410), 및 포워딩부(420)를 포함하여 이루어진다. 참고로, 도 4는 본 발명의 개념을 설명하기 위해 DHCP 스누핑 장비의 구성을 간략히 예시적으로 나타낸 도면에 불과하며, 구현에 따라 기타 모듈의 추가 또는 구조의 변형 등이 가능하므로, 본 발명의 범주는 도 4에 도시된 예에 국한되지 않음은 이 분야에 종사하는 자라면 충분히 이해할 수 있다.4 is a block diagram illustrating a configuration of a DHCP snooping apparatus according to an embodiment of the present invention. 4, the DHCP server includes a snooping unit 400, a DHCP snooping binding table 402, a rule table 404, a filtering unit 410, and a forwarding unit 420. 4 is a diagram illustrating a configuration of a DHCP snooping apparatus in order to explain the concept of the present invention. It is possible to add other modules or modify the structure of the DHCP snooping apparatus according to an implementation, Is not limited to the example shown in Fig. 4, but it is understood that the person skilled in the art can understand it.

여기서, DHCP 스누핑 장비라 함은 DHCP 스누핑 기능을 구비한 장치를 의미하며, 그 예로는, 2계층 스위치 뿐만 아니라, 다중 계층(Multi-layer) 스위치(L2, L3, L4, L7), 2계층 스위칭 기능을 구비한 홈 게이트 웨이, 셋탑 박스, 레지덴셜(residential) 게이트웨이, 무선 접속 포인터(Wireless Access Pointer)를 들 수 있으나, DHCP 스누핑 기능을 구비하면 족하므로 반드시 이에 한정되는 것은 아니다.Here, the DHCP snooping device refers to a device having a DHCP snooping function. Examples of the DHCP snooping device include a multi-layer switch (L2, L3, L4, L7) A set-top box, a residential gateway, and a wireless access point (PoA), but it is not necessarily limited thereto as long as it has a DHCP snoop function.

스누핑부(400)는 DHCP 스누핑을 통하여 각 호스트의 하드웨어 주소 및 IP 주소를 포함하는 정보를 획득하여, DHCP 스누핑 바인딩 테이블(402)에 기록하며, IP source guard 실행 중이라면 DHCP 스누핑 바인딩 테이블(402)에 기록되는 엔트리들 을 규칙 테이블(404)에 반영한다. 그 결과, 규칙 테이블(404)은 해당 포트(port)에 대한 폐기 규칙(Drop Rule) 및 DHCP 스누핑 바인딩 테이블(402)에 반영된 IP 주소와 하드웨어 주소에 대한 허용 규칙을 포함하게 된다.The snooping unit 400 obtains information including a hardware address and an IP address of each host through DHCP snooping and records the information in the DHCP snooping binding table 402. If the IP source guard is being executed, To the rule table 404, as shown in FIG. As a result, the rule table 404 includes a drop rule for the port and an IP address and a permission rule for the hardware address reflected in the DHCP snooping binding table 402.

패킷 검증을 수행하는 필터링부(410)는 소정의 기간(이하, 유예 기간) 동안에 IP 패킷을 통과시키고, 나머지 기간 동안에 필터링 규칙 테이블(404)을 기초로 IP 패킷을 통과시키거나, 폐기한다. 바람직하게, 상기 유예 기간은 재시동, 데몬 재시작 등으로 인해 DHCP 스누핑 바인딩 테이블(402) 및 규칙 테이블(404)의 모든 엔트리가 삭제된 시점에서 소정 시간 경과된 시점까지의 기간을 포함한다. 상기 소정 시간의 예로는, IP 주소의 사용 연장을 위한 DHCP 요구 패킷이 수신되는 것을 보장하기 위해, DHCP 리스 시간의 절반 이상의 시간을 들 수 있다.The filtering unit 410 that performs packet verification passes IP packets during a predetermined period (hereinafter, grace period), and passes or discards IP packets based on the filtering rule table 404 during the remaining period. Preferably, the grace period includes a period from a time point at which all entries of the DHCP snooping binding table 402 and the rule table 404 are deleted due to re-start, daemon restart, etc. until a predetermined time elapses. An example of the predetermined time may be a half or more of the DHCP lease time to ensure that a DHCP request packet for extending the use of the IP address is received.

바람직하게, 스누핑부(400)는 상기 유예 기간이 경과된 직후, DHCP 스누핑 바인딩 테이블(402)을 기초로 규칙 테이블(404)을 생성한다. 즉, DHCP 스누핑 장비는 재부팅으로 DHCP 스누핑 바인딩 테이블(402)이 사라지더라도, 일시적으로(즉, 유예 기간 동안) 모든 IP 패킷을 통과시키게 하여 정상적인 서비스를 가능하게 하고, 그 시간 동안 DHCP 스누핑 바인딩 테이블(402)에 엔트리가 추가된다. 그 다음(즉, 유예 기간 이후), IP source guard를 실행하여 규칙 테이블(404)를 생성한 후, 비정상적인 IP 사용자의 접근을 차단할 수 있다.Preferably, the snooping unit 400 generates a rules table 404 based on the DHCP snooping binding table 402 immediately after the grace period has elapsed. That is, even if the DHCP snooping binding table 402 disappears due to a reboot, the DHCP snooping device allows all IP packets to pass through temporarily (i.e., during a grace period) to enable normal service, and during that time, the DHCP snooping binding table 402 are added. Next, after the grace period (after the grace period), the IP source guard is executed to generate the rule table 404, and then the access of the abnormal IP user can be blocked.

포워딩부(420)는 필터링부(410)가 통과시킨 IP 패킷에 대한 포워딩을 수행한다.The forwarding unit 420 performs forwarding of the IP packet passed by the filtering unit 410.

도 5는 본 발명의 일실시예에 따른 DHCP 스누핑 장비의 동작을 나타내는 흐름도이다. 도 4를 참조하여, 도 5의 실시예를 설명하면 다음과 같다.5 is a flowchart illustrating an operation of a DHCP snooping apparatus according to an exemplary embodiment of the present invention. Referring to FIG. 4, the embodiment of FIG. 5 will be described as follows.

IP 패킷이 수신되면(S500), 필터링부(410)는 IP source guard 차단 기능이 활성화되었는지를 판단한다(S510).When the IP packet is received (S500), the filtering unit 410 determines whether the IP source guard blocking function is activated (S510).

IP source guard 차단 기능이 비활성화되어 있으면(S510), 필터링부(410)는 수신된 IP 패킷을 패킷 검증 없이 통과시킨다(S550). 그 결과, 통과된 IP 패킷은 포워딩부(420)에 의해 포워딩된다.If the IP source guard blocking function is disabled (S510), the filtering unit 410 passes the received IP packet without packet verification (S550). As a result, the passed IP packet is forwarded by the forwarding unit 420.

IP source guard 차단 기능이 활성화되어 있으면(S510), 필터링부(410)는 IP 패킷의 수신 시점이 유예 기간 내인지를 판단한다(S520). 유예 기간 내라면(S520), 필터링부(410)는 수신된 IP 패킷을 패킷 검증 없이 통과시키며(S550), 마찬가지로 패킷 포워딩이 수행된다. 따라서, 유예 기간 동안에도 정상적인 IP 사용자의 통신이 보장된다.If the IP source guard blocking function is activated (S510), the filtering unit 410 determines whether the reception time of the IP packet is within the grace period (S520). If it is within the grace period (S520), the filtering unit 410 passes the received IP packet without packet verification (S550), and packet forwarding is similarly performed. Therefore, normal IP user communication is ensured even during the grace period.

유예 기간 외라면(S520), S530 단계로 진행되어 패킷 검증 과정이 수행된다. 수신된 IP 패킷의 소스 하드웨어 주소 및 소스 IP 주소와 매칭되는 규칙 테이블(404)의 엔트리가 허용을 나타내면(S530), 필터링부(412)는 수신된 IP 패킷을 통과시키며(S550), 마찬가지로 패킷 포워딩이 수행된다.If it is out of the grace period (S520), the flow goes to step S530 to perform the packet verification process. If the entry of the rule table 404 matching the source hardware address and the source IP address of the received IP packet indicates permission (S530), the filtering unit 412 passes the received IP packet (S550) Is performed.

수신된 IP 패킷의 소스 하드웨어 주소 및 소스 IP 주소와 매칭되는 규칙 테이블(404)의 엔트리가 폐기을 나타내면(S530), 필터링부(412)는 수신된 IP 패킷을 폐기한다(S540). 그 결과, 패킷 포워딩이 이루어지지 않아, 비정상적인 IP 사용자의 통신이 차단되게 된다.If the entry of the rule table 404 matching the source hardware address and the source IP address of the received IP packet indicates discarding (S530), the filtering unit 412 discards the received IP packet (S540). As a result, packet forwarding is not performed, and communication of abnormal IP users is blocked.

도 6은 DHCP 스누핑 장비의 재시동이 발생되는 경우, 본 발명에 따른 DHCP 스누핑 장비의 동작을 시간 흐름 상으로 예시하는 도면이다.FIG. 6 is a diagram illustrating the operation of the DHCP snooping apparatus according to the present invention over time when a reboot of the DHCP snooping apparatus occurs. FIG.

도 6에서, DHCP 스누핑 바인딩 테이블 및 필터링 규칙 테이블에 담겨 있던 IP 주소를 할당 받은 호스트의 정보가, DHCP 스누핑 장비의 재시동으로 인해, 모두 삭제된다. 이 때, 클라이언트로부터 IP 패킷이 송신되고, 그 수신 시점이 유예 기간 내이므로 패킷 검증 없이 통과되어 패킷 포워딩이 이루어진다. 즉, 유예 기간 동안에는 IP source guard가 실행 전이므로 도 3과는 달리 모든 IP 패킷이 통과되어, 서비스가 보장된다.In FIG. 6, the information of the host to which the IP address contained in the DHCP snooping binding table and the filtering rule table are all deleted due to the rebooting of the DHCP snooping equipment. At this time, since the IP packet is transmitted from the client and the reception time is within the grace period, the packet is passed without packet verification and packet forwarding is performed. That is, since the IP source guard is not executed during the grace period, unlike FIG. 3, all IP packets are passed and the service is guaranteed.

또한, 유예 기간 동안, 각 호스트들은 IP 주소의 사용 연장을 위한 DHCP 요구 패킷을 DHCP 서버에 송신하게 되며, 그 결과, DHCP 서버는 IP 주소의 사용 연장을 허락하는 DHCP 승낙 패킷을 송신한다. 이러한 과정에서 DHCP 스누핑 장비는 DHCP 패킷을 스누핑하여 DHCP 스누핑 바인딩 테이블에 반영한다.Also, during the grace period, each host sends a DHCP request packet to extend the use of the IP address to the DHCP server, and as a result, the DHCP server transmits a DHCP accept packet allowing the extension of the use of the IP address. In this process, the DHCP snooping device snoops the DHCP packet and reflects it in the DHCP snooping binding table.

유예 기간이 지난 시점에서, DHCP 스누핑 장비는 IP source guard를 실행 시작하여 규칙 테이블을 생성한다. 그 결과, 이 규칙 테이블에는 상술한 폐기 규칙 및 유예 기간 동안 반영된 DHCP 스누핑 바인딩 테이블의 IP 주소 및 하드웨어 주소을 허용하는 규칙이 포함된다.At the end of the grace period, the DHCP snooping device starts to execute the IP source guard to create the rules table. As a result, this rule table includes rules for allowing the IP address and the hardware address of the DHCP snooping binding table reflected during the above-mentioned discard rule and the grace period.

유예 기간 이후에는, DHCP 스누핑 장비는 IP source guard에 따라, 상기 생성된 규칙 테이블을 기초로 한 패킷 필터링을 수행한다. 그 결과, 유예 기간 이후에는 비정상적인 IP 사용자의 접근이 차단된다.After the grace period, the DHCP snooping device performs packet filtering based on the generated rule table according to the IP source guard. As a result, after the grace period, unauthorized IP access is blocked.

본 발명은 또한 컴퓨터 등의 머신이 읽을 수 있는 기록매체에 머신이 읽을 수 있는 코드로서 구현하는 것이 가능하다. 여기서, 머신의 예로는 2계층 스위칭을 수행할 수 있는 장치를 들 수 있다. 머신이 읽을 수 있는 기록매체는 머신에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 머신이 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 케리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 머신이 읽을 수 있는 기록매체는 네트워크로 연결된 머신 시스템에 분산되어, 분산방식으로 머신이 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The present invention can also be implemented as a machine readable code on a machine readable recording medium such as a computer. Here, an example of the machine is an apparatus capable of performing 2-layer switching. A machine readable recording medium includes all kinds of recording apparatuses in which data that can be read by a machine is stored. Examples of the recording medium on which the machine can read are ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, etc., and also implemented in the form of a carrier wave (for example, transmission over the Internet) . In addition, the machine-readable recording medium may be distributed over networked machine systems so that machine readable code in a distributed manner can be stored and executed. In addition, functional programs, codes, and code segments for implementing the present invention can be easily inferred by programmers of the technical field to which the present invention belongs.

이러한 본원 발명인 방법 및 장치는 이해를 돕기 위하여 도면에 도시된 실시예를 참고로 설명되었으나, 이는 예시적인 것에 불과하며, 당해 분야에서 통상적 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위에 의해 정해져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is evident that many alternatives, modifications and variations will be apparent to those skilled in the art. I will understand that. Accordingly, the true scope of the present invention should be determined by the appended claims.

본 발명에 따르면, IP source guard를 지원하는 DHCP 스누핑 장비에서 데몬 재시작, 장비 재시작되더라도 일시적인 서비스 장애 없이 정상적인 서비스가 가능하다.According to the present invention, even when the daemon is restarted and the equipment is restarted in the DHCP snooping device supporting IP source guard, normal service is possible without temporary service failure.

Claims (7)

삭제delete DHCP 스누핑을 통하여 각 호스트의 하드웨어 주소 및 IP 주소를 포함하는 정보를 획득하는 스누핑부; 및A snooping unit for obtaining information including a hardware address and an IP address of each host through DHCP snooping; And 상기 스누핑부에서 획득된 정보를 기초로 하는 패킷 검증을 수행하여 IP 패킷을 통과시키거나 폐기하되, 상기 스누핑부에서 획득된 정보가 모두 삭제되는 이벤트가 발생하면 미리 설정된 기간 동안 상기 패킷 검증을 수행함이 없이 IP 패킷을 통과시키는 필터링부를 포함하는 것을 특징으로 하는 DHCP 스누핑 기능을 구비한 장치.Wherein the packet verification is performed for a predetermined period when an event occurs in which the IP packet is passed or discarded by performing packet verification based on the information obtained in the snooping unit, And a filtering unit for passing the IP packet without the DHCP snooping function. 제2항에 있어서, 상기 미리 설정된 시간은3. The method of claim 2, wherein the predetermined time is DHCP 리스 시간의 절반 이상인 것을 특징으로 하는 DHCP 스누핑 기능을 구비한 장치.Wherein the DHCP lease time is at least half of the DHCP lease time. 제2항에 있어서,3. The method of claim 2, 상기 정보는 DHCP 스누핑 바인딩 테이블에 포함되며,The information is included in the DHCP snooping binding table, 상기 필터링부는 상기 DHCP 스누핑 바인딩 테이블을 기초로 생성되는 규칙 테이블에 따라, 필터링을 수행하는 것을 특징으로 하는 DHCP 스누핑 기능을 구비한 장치.Wherein the filtering unit performs filtering according to a rule table generated based on the DHCP snooping binding table. 제2항에 있어서, 3. The method of claim 2, 상기 통과된 IP 패킷에 대한 포워딩을 수행하는 포워딩부를 더 포함하는 것을 특징으로 하는 DHCP 스누핑 기능을 구비한 장치.Further comprising a forwarding unit for forwarding the passed IP packet. 삭제delete 삭제delete
KR1020070106021A 2007-10-22 2007-10-22 apparatus having Dynamic Host Configuration Protocol - Snooping function KR100958283B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070106021A KR100958283B1 (en) 2007-10-22 2007-10-22 apparatus having Dynamic Host Configuration Protocol - Snooping function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070106021A KR100958283B1 (en) 2007-10-22 2007-10-22 apparatus having Dynamic Host Configuration Protocol - Snooping function

Publications (2)

Publication Number Publication Date
KR20090040592A KR20090040592A (en) 2009-04-27
KR100958283B1 true KR100958283B1 (en) 2010-05-19

Family

ID=40763916

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070106021A KR100958283B1 (en) 2007-10-22 2007-10-22 apparatus having Dynamic Host Configuration Protocol - Snooping function

Country Status (1)

Country Link
KR (1) KR100958283B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000051907A (en) * 1999-01-27 2000-08-16 서평원 Relay control Apparatus and Method in Safe-guard equipment
KR20040109985A (en) * 2003-06-19 2004-12-29 주식회사 인티게이트 Method for preventing arp/ip spoofing automatically on the dynamic ip address allocating environment using dhcp packet
KR20070032061A (en) * 2004-07-09 2007-03-20 가부시끼가이샤 도시바 Dynamic host configuration and network access authentication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000051907A (en) * 1999-01-27 2000-08-16 서평원 Relay control Apparatus and Method in Safe-guard equipment
KR20040109985A (en) * 2003-06-19 2004-12-29 주식회사 인티게이트 Method for preventing arp/ip spoofing automatically on the dynamic ip address allocating environment using dhcp packet
KR20070032061A (en) * 2004-07-09 2007-03-20 가부시끼가이샤 도시바 Dynamic host configuration and network access authentication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Catalyst 3750 Switch Software Configuration Guide, Chapter 21. Configuring DHCP Features and IP Source Guard (2006.12)*

Also Published As

Publication number Publication date
KR20090040592A (en) 2009-04-27

Similar Documents

Publication Publication Date Title
CN1323535C (en) Method and apparatus for dynamic change of MAC address
JP4664143B2 (en) Packet transfer apparatus, communication network, and packet transfer method
KR100704391B1 (en) Access management apparatus, computer readable medium which stores program and remote start-up method of terminal device
US7870603B2 (en) Method and apparatus for automatic filter generation and maintenance
US20100223655A1 (en) Method, System, and Apparatus for DHCP Authentication
JP2009188771A (en) Communication apparatus, firewall control method, and firewall control program
WO2008072220A2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network
JP2007053703A (en) Filtering device
JP2003218873A (en) Communication monitoring apparatus and monitoring method
CN101378312B (en) Safety payment control system and method based on broadband network
US7558845B2 (en) Modifying a DHCP configuration for one system according to a request from another system
JP2006352719A (en) Apparatus, method for monitoring network, network system, network monitoring method and network communication method
WO2010130181A1 (en) Device and method for preventing internet protocol version 6 (ipv6) address being fraudulently attacked
JP4895793B2 (en) Network monitoring apparatus and network monitoring method
JP3590394B2 (en) Packet transfer device, packet transfer method, and program
KR100942719B1 (en) Apparatus having Dynamic Host Configuration Protocol - Snooping function
KR100958283B1 (en) apparatus having Dynamic Host Configuration Protocol - Snooping function
US20040117473A1 (en) Proxy network control apparatus
JP4767683B2 (en) Relay device, unauthorized access prevention device, and access control program
KR100946162B1 (en) Server for Dynamic Host Configuration Protocol
JP2008244765A (en) Dynamic host configuration protocol server, and ip address assignment method
JP2004104355A (en) Method and apparatus for managing network address and network address management system
JP4290526B2 (en) Network system
WO2020078428A1 (en) Method and device enabling a user to access the internet, broadband remote access server, and storage medium
JP2009225045A (en) Communication jamming apparatus and communication jamming program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130403

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140423

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160511

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170511

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190424

Year of fee payment: 10