WO2012163215A1 - 一种DHCPSnooping绑定表生成的方法、装置、设备及系统 - Google Patents

Abstract

本发明实施例提供一种动态主机配置协议监听DHCPSnooping绑定表生成的方法、装置、设备及系统，所述方法包括：构造用于获得DHCP用户信息的请求报文，并将所述请求报文发送给DHCP服务器；接收所述DHCP服务器对应所述请求报文的回应报文，提取所述回应报文中的所述用户信息，所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址；通过所述MAC地址获得用户虚拟局域网VLAN号和入端口号，进而生成DHCPSnooping绑定表。采用本发明实施例提供的技术方案能够为在DHCPSnooping启动前已经和DHCP服务器建立连接的用户生成DHCPSnooping绑定表，能够解决在DHCPSnooping启动过程中由于部分用户DHCPSnooping

Description

一种 DHCP Snooping绑定表生成的方法、 装置、 设备及系统 本申请要求于 2011年 11月 16 日提交中国专利局、 申请号为

201110362774. 5 , 发明名称为 "一种 DHCP Snooping绑定表生成的方法、 装置、 设备及系统" 的中国专利申请的优先权， 其全部内容通过引用结合 在本申请中。 技术领域

本发明实施例涉及通信技术领域， 尤其涉及一种动态主机配置协议监听 ( Dynamic Host Configuration Protocol Snooping, DHCP Snooping )绑定表生 成的方法、 系统及设备。

背景技术

动态主机配置协议 ( Dynamic Host Configuration Protocol, DHCP )监听 ( Snooping )技术是 DHCP的安全特性， 通过监控 DHCP用户和 DHCP服务 器之间的 DHCP报文， 建立和维护 DHCP Snooping绑定表， 在转发报文时， 利用绑定表对地址解析协议（ Address Resolution Protocol, ARP )报文、 网际 协议 (Internet Protocol , IP)报文进行检查，过滤非法报文，实现网络安全功能。 DHCP Snooping绑定表包含用户网际协议（ Internet Protocol, IP )地址、 媒体 接入控制（ Media Access Control, MAC )地址、入端口号和虚拟局域网（ Virtual LAN, VLAN )号等信息。 网络设备 DHCP Snooping功能启动后会根据用户 和服务器之间的 DHCP交互 4艮文获得用户的 IP地址、 MAC地址、 入端口号 和 VLAN号， 进而形成 DHCP Snooping绑定表， 该绑定表配合地址解析协议 ( Address Resolution Protocol , ARP )检测功能即可实现控制用户上网的目的。

现有技术中 DHCP Snooping功能是在网络设备开始运行后通过配置命令 来启动的， DHCP Snooping功能启动后会根据监听到的 DHCP交互报文生成 DHCP Snooping绑定表， 生成该绑定表所需要的信息只能通过 DHCP用户与 DHCP服务器最开始建立连接的 DHCP交互报文获得， 如果 DHCP部分用户 已经与 DHCP服务端连接已经建立完成，再启动 DHCP Snooping功能就不能 获得建立 DHCP Snooping表所需要的信息， 也就无法为这些用户生成 DHCP Snooping绑定表， 会造成这部分用户 DHCP Snooping绑定表缺失。 由于通过 命令行启动 DHCP Snooping功能与 DHCP用户与 DHCP服务器建立连接没有 必然的时间先后依赖关系， 所以在 DHCP Snooping功能启动之前， 可能会有 些用户已经与 DHCP服务器完成关系建立， 由于这些用户没有生成 DHCP Snooping 绑定表， 所以这些用户发送来的数据报文将不会通过 DHCP Snooping的检测而被丟弃，这些用户需要与 DHCP服务器重新建立交互关系， 在这个过程会导致这些用户的流量丟失。 发明内容

本发明实施例提供了一种 DHCP Snooping绑定表生成的方法、 系统及设 备， 以解决在网络设备 DHCP Snooping启动过程中部分 DHCP Snooping绑 定表缺失造成部分用户流量丟失的问题。

为达到上述目的， 本发明实施例提供了一种 DHCP Snooping绑定表生成 的方法， 所述方法包括：

构造用于获得 DHCP用户信息的请求报文， 并将所述请求报文发送给 DHCP服务器；

接收所述 DHCP服务器对应所述请求 文的回应^艮文， 提取所述回应 报文中的所述用户信息， 所述用户信息包含用户网际协议 IP地址、 媒体 接入控制 MAC地址；

通过所述 MAC地址查找 MAC表获得用户虚拟局域网 VLAN号和入 端口号， 根据所述用户 IP地址、 MAC地址、 VLAN号及入端口号生成

DHCP Snooping绑定表。

本发明实施例提供了一种 DHCP Snooping绑定表生成的装置，所述装 置包括： 报文发送单元， 用于构造获得 DHCP用户信息的请求报文， 并将所述 请求报文发送给 DHCP 服务器；

报文接收单元， 用于接收所述 DHCP服务器对应所述请求报文的回应 报文， 提取所述回应报文中的所述用户信息， 所述用户信息包含用户网际 协议 IP地址、 媒体接入控制 MAC地址；

报文处理单元， 用于通过所述 MAC地址查找 MAC表获得用户虚拟 局域网 VLAN号和入端口号， 根据所述用户 IP地址、 MAC地址、 VLAN 号及入端口号生成 DHCP Snooping绑定表。

本发明实施例提供了一种网络设备， 所述网络设备包括本发明实施例 提供的一种 DHCP Snooping绑定表生成的装置。

本发明实施例提供了一种动态主机配置协议监听 DHCP Snooping绑定 表生成的系统， 其特征在于， 包括网络设备和与网络设备进行信息交互的 DHCP服务器；

所述网络设备， 用于构造获得 DHCP用户信息的请求报文， 并将所述 请求报文发送给所述 DHCP服务器；接收所述 DHCP服务器对应所述请求 报文的回应报文， 提取所述回应报文中的所述用户信息， 所述用户信息包 含用户网际协议 IP地址、 媒体接入控制 MAC地址， 根据所述用户信息生 成 DHCP Snooping绑定表；

所述 DHCP服务器， 用于接收所述请求报文， 并构造针对所述请求报 文的回应报文， 所述回应报文包含了所述 DHCP用户信息。

综上， 本发明实施例提出了一种 DHCP Snooping绑定表生成的方法、 装置、 设备及系统， 在 DHCP Snooping启动过程中， 通过从 DHCP服务 器获得 DHCP用户信息生成 DHCP Snooping绑定表为实现 DHCP Snooping 功能提供必要的信息支持， 通过本发明实施例有利于在现有用户流量正常 运行情况下， 实现网络设备的 DHCP Snooping功能实时启动。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面 描述中的附图是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不 付出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1是本发明第一实施例提供的一种 DHCP Snooping绑定表生成方法的 流程示意图；

图 2是现有技术中 DHCP Snooping绑定表生成示意图；

图 3是现有技术中 DHCP用户与 DHCP服务器交互的报文格式示意图； 图 4是本发明第一实施例提供的扩展的 DHCP Inform报文选项 Options 部分格式示意图； 式示意图；

图 6是本发明第二实施例提供的一种 DHCP Snooping绑定表项生成发放 的流程示意图；

图 7是本发明第二实施例提供的扩展的 DHCP Inform报文选项 Options 部分格式示意图；

图 8是本发明第三实施例提供的一种 DHCP Snooping绑定表项生成装置 的示意图。

图 9是本发明第四实施例提供的一种 DHCP Snooping绑定表项生成系统 的示意图。

具体实施方式

为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发 明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于 本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动前提下所获 得的所有其他实施例， 都属于本发明保护的范围。

实施例一：

本发明实施例提供了一种 DHCP Snooping绑定表生成的方法，参见图 1 , 图 1为本发明实施例的方法流程图， 包括：

102 , 构造用于获得 DHCP用户信息的请求报文， 并将所述请求报文 发送给 DHCP服务器；

在网络设备通过命令行启动 DHCP Snooping功能之后， DHCP Snooping 协议通过监听 DHCP报文， 建立 DHCP Snooping绑定表， 该绑定表的表项包 括：用户的 IP地址、 MAC地址、入端口号和虚拟局域网（ Virtual LAN, VLAN ) 号，举例来说，如图 2所示，用户 A的 MAC地址及 IP地址为： A, 10.1.1.1 ; 用户 B的 MAC地址及 IP地址为： B, 10.1.1.2, 在网络设备上通过命令行启 动 DHCP Snooping功能， 网络设备监听用户 A、 B同 DHCP服务器交互过程 中的 DHCP报文， 通过分析这些往来的 DHCP报文， 建立如下所示的 DHCP Snooping绑定表。

表 1 DHCP Snooping绑定表

在转发报文时， 利用 DHCP Snooping绑定表对用户报文进行检查， 对于 没有命中绑定表的报文进行丟弃处理， 从而解决网络安全问题。 由于现有的 DHCP Snooping绑定表只能在用户与 DHCP服务器建立连接过程中生成， 如 果在网络设备通过命令行使能 DHCP Snooping功能前某些用户已经与 DHCP 服务器建立起连接， 如图 2, 假设用户 N在网络设备通过命令行使能 DHCP Snooping之前已经与 DHCP服务器建立连接，则 DHCP Snooping不能为用户 N生成 DHCP Snooping绑定表，那么在网络设备使能 DHCP Snooping功能后， 用户 N发送来的数据报文将不会通过 DHCP Snooping的检测而被丟弃。为解 决这个问题，本发明发明人经过研究发现在网络设备使能 DHCP Snooping前， 已经和 DHCP服务器建立连接的用户信息会被完整的存储在 DHCP服务器上, 因此， 可以通过构造请求报文的方式到 DHCP服务器获取这些用户信息， 进 而为这些用户建立 DHCP Snooping绑定表， 保证这些用户流量不中断。

用于获得 DHCP用户信息的请求报文通过模拟用户端发送给 DHCP服务 器， 其报文目的地址默认设置为 0XFFFFFFFF , 以广播的形式发送给所有 DHCP服务器， 当网络设备配置了 DHCP Relay时， 所述请求报文的目的地址 可以为 DHCP Relay配置的 DHCP服务器地址， 这样可以只向与所述网络设 备直接进行交互的 DHCP服务器进行发送所述请求报文。 所述请求报文可以 是扩展的 DHCP Inform报文，所述扩展的 DHCP Inform报文是对 DHCP Inform 报文的选项 （Options )部分进行了扩展。 所述 DHCP Inform报文消息格式如 图 3所示，图 3为 DHCP用户与 DHCP服务器交互的报文格式，其中选项（op ) 字段值为 1 ,标识报文类型为 DHCP Inform„扩展的 DHCP Inform报文 Options (选项）格式如图 4, 可以包括：

1 )选项类型（ option type ): 用于标识本发明实施例所述请求及应答的交 互报文。 该字段长度为 1字节， 取值可以为 128到 255任一值， 优选的， 本 发明实施例定为 206。

2 )长度（ length ): 标识数据段信息数据长度。 该字段长度为 2字节， 取 值为 1 , 标识数据段信息数据长度为 1字节， 其中数据段为： 1个字节的子类 型 ( subtype )。

3 )子类型 （subtype ): 用于标识所述报文类型的字段。 该字段长度为 1 字节， 取值为 1到 255任一值， 优选的， 本发明实施例定义为 1 , 用于标识 104 , 接收所述 DHCP服务器对应所述请求 文的回应^艮文， 提取所 述回应 4艮文中的所述用户信息，所述用户信息包含用户网际协议 IP地址、 媒体接入控制 MAC地址；

DHCP服务器建立连接时， DHCP服务器会存储 DHCP用户信息， 所以 DHCP服务器可以把其保存的所述用户信息添加到所述扩展的 DHCPACK 回应 ^艮文中， 所述 DHCPACK ^艮文格式如图 3所示， 图 3为 DHCP用户 与 DHCP服务器交互的报文格式， 其中选项 （op ) 字段值为 2 , 标识报文 类型为 DHCPACK报文。所述扩展的 DHCPACK报文 Options选项格式如 图 5 , 可以包括：

1 )选项类型（ option type ): 用于标识本发明实施例所述请求及应答的交 互 ^艮文。 该字段长度为 1字节， 取值可以为 128到 255任一值， 优选的， 本 发明实施例定为 206。

2 )长度（ length ): 标识数据段信息数据长度。 该字段长度为 2字节， 取 值为 10*N+1 , 标识数据段信息数据长度为 10*N+1字节， 其中 10为用户 IP 地址和 MAC地址长度之和 , N标识用户个数。

3 )子类型 （subtype ): 用于标识所述报文类型的字段。 该字段长度为 1 字节， 取值为 1到 255任一值， 为了标识与请求报文类型的区别， 优选本发 明实施例定义为 2 , 用于标识所述 DHCPACK报文为对应于所述请求报文的 回应报文。

4 )用户 A的 IP地址（ ip_address_A ): 用于标识用户 A的 IP地址。 该 字段长度为 4字节。

5 )用户 A的 MAC地址（ mac— address— A ): 用于标识用户 A的 MAC地 址。 该字段长度为 6个字节。

6 )用户 N的 IP地址（ ip_address_N ): 用于标识用户 N的 IP地址。 该 字段长度为 4字节。

7 )用户 N的 MAC地址（ mac— address— N ): 用于标识用户 N的 MAC地 址。 该字段长度为 6个字节。 通过接收所述 DHCP服务器发送来的回应报文， 解析判断 subtype值 为 2 , 则认为此报文为 DHCP回应的包含用户信息的响应报文， 通过解析 此报文可以获得用户信息，所述用户信息包含用户的 IP地址、 MAC地址， 其中 IP地址、 MAC地址是生成 DHCP Snooping绑定表的关键字段。

106 ,通过所述 MAC地址查找 MAC表获得用户虚拟局域网 VLAN号 和入端口号， 根据所述用户 IP地址、 MAC地址、 VLAN号及入端口号生 成 DHCP Snooping绑定表。

通过步骤 104获得的所述用户 MAC信息进一步查找 MAC地址表， 可以获得所述用户的入端口号和 VLAN号， 进而得到了生成 DHCP Snooping绑定表的所有信息， 所述 MAC地址表是二层转发表， 其中包含 了用户的入端口号、 VLAN号等信息，根据获得的所述用户 IP地址、 MAC 地址、 入端口号、 VLAN号即可生成 DHCP Snooping绑定表。

可见， 通过本发明实施提供的方法， 可以为 DHCP Snooping启动之前 已经和 DHCP服务器建立连接的用户生成 DHCP Snooping绑定表， 从而 可以解决 DHCP Snooping启动过程中由于部分用户 DHCP Snooping绑定 表缺失导致的部分用户流量丟失的问题。

实施例二：

本发明实施例提供了一种 DHCP Snooping绑定表生成的方法，参见图 6, 图 6为本发明实施例的方法流程图， 与实施例一相比， 本发明实施例 在实施例一 102步骤之前进一步增加了设置 DHCP Snooping监控网段信息

Snooping所监控的用户信息， 本发明实施例包括：

402 , 确定 DHCP Snooping监控的网段信息；

在网络设备通过命令行启动 DHCP Snooping功能之前， 进一步， 可以 设置所述 DHCP Snooping所监控的网段信息，所述监控的网段信息可以提 前和 DHCP服务器协商， DHCP服务器只向所述网络设备分配所述监控的 网段内的地址。

404 , 构造用于获得所述监控网段信息对应的 DHCP用户信息的请求 报文， 并将所述请求报文发送给 DHCP服务器；

用于获得 DHCP用户信息的请求报文目的地址默认为 0XFFFFFFFF, 以 广播的形式发送给所有 DHCP服务器， 当网络设备配置了 DHCP Relay时， 所述请求报文的目的地址可以为 DHCP Relay配置的 DHCP服务器地址， 这 样可以只向所述网络设备直接进行交互的 DHCP服务器进行发送所述请求报 文。 所述请求报文可以对 DHCP Inform进行扩展， 该报文通过模拟用户端发 送给 DHCP服务器， 所述扩展的 DHCP Inform 艮文是通过对艮文的选项 Options部分进行扩展来表示该报文为请求获得用户信息的报文。 所述 DHCP Inform报文消息格式如图 3所示， 其中选项 op字段值为 1 , 标识报文类型为 DHCP Inform。 扩展的 DHCP Inform请求报文 Options选项格式如图 7, 可以 包括：

1 )选项类型（ option type ): 用于标识本发明实施例所述请求及应答的交 互 ^艮文。 该字段长度为 1字节， 取值可以为 128到 255任一值， 优选的， 本 发明实施例定为 206。

2 )长度（ length ): 标识数据段信息数据长度。 该字段长度为 2字节， 取 值为 6, 标识数据段信息数据长度为 6字节， 其中包括： 1 个字节的子类型

( subtype ), 4个字节长度的监控网段地址（ ip ), 1个字节长度的监控网段地 址掩码 ( ip mask )„

3 )子类型 （subtype ): 用于标识所述报文类型的字段。 该字段长度为 1 字节， 取值为 1到 255任一值， 优选的， 本发明实施例定义为 1 , 用于标识

4 )监控网段地址（ip ): 用于标识 DHCP Snooping所监控的网段地址。 该字段长度为 4字节。

5 )监控网段地址掩码（ ip mask ):用于标识监控网段地址 ip的掩码长度。 该字段长度为 1个字节。

通过发送包含 DHCP Snooping监控网段信息的请求报文，从而使得网 络设备可以更精确的从 DHCP服务器获取 DHCP Snooping所监控的用户 信息， 避免保存冗余的 DHCP Snooping绑定表。

406 , 接收所述 DHCP服务器对应所述请求报文的回应报文， 提取所 述回应 4艮文中的所述用户信息，所述用户信息包含用户网际协议 IP地址、 媒体接入控制 MAC地址；

所述从 DHCP服务器接收的回应报文是 DHCP服务器通过 DHCPACK 报文扩展生成的， 所述 DHCPACK报文格式如图 3所示， 其中选项 op字 段值为 2 , 标识报文类型为 DHCPACK报文。 所述扩展的 DHCPACK报文 Options选项格式如图 5 , 可以包括：

1 )选项类型（ option type ): 用于标识本发明实施例所述请求及应答的交 互报文。 该字段长度为 1字节， 取值可以为 128到 255任一值， 优选的， 本 发明实施例定为 206。

2 )长度（ length ): 标识数据段信息数据长度。 该字段长度为 2字节， 取 值为 10*N+1 , 标识数据段信息数据长度为 10*N+1字节， 其中 10为用户 IP 地址和 MAC地址长度之和 , N标识用户个数。

3 )子类型 （subtype ): 用于标识所述报文类型的字段。 该字段长度为 1 字节， 取值为 1到 255任一值， 为了标识与请求报文类型的区别， 优选本发 明实施例定义为 2 , 用于标识所述 DHCPACK报文为对应于所述请求报文的 回应报文。

4 )用户 A的 IP地址（ ip_address_A ): 用于标识用户 A的 IP地址。 该 字段长度为 4字节。

5 )用户 A的 MAC地址（ mac— address— A ): 用于标识用户 A的 MAC地 址。 该字段长度为 6个字节。

6 )用户 N的 IP地址（ ip_address_N ): 用于标识用户 A的 IP地址。 该 字段长度为 4字节。

7 )用户 N的 MAC地址（ mac— address— N ): 用于标识用户 A的 MAC地 址。 该字段长度为 6个字节。

所述 DHCP服务器通过解析所述请求报文可以获得用户的网段信息， 所述用户信息包含用户的 IP地址、 MAC地址， 其中 IP地址、 MAC地址 是 DHCP Snooping绑定表的关键表项。

408 ,通过所述 MAC地址查找 MAC表获得用户虚拟局域网 VLAN号 和入端口号， 根据所述用户 IP地址、 MAC地址、 VLAN号及入端口号生 成 DHCP Snooping绑定表。

通过步骤 406获得的所述用户 MAC信息进一步查找 MAC地址表， 可以获得所述用用户的入端口号和 VLAN号， 进而得到了生成 DHCP Snooping绑定表的所有信息， 根据获得的所述用户 IP地址、 MAC地址、 入端口号、 VLAN号生成用户的 DHCP Snooping绑定表。

可见， 通过本发明实施提供的方法， 可以为 DHCP Snooping启动之前 已经和 DHCP服务器建立连接的用户生成 DHCP Snooping绑定表， 从而 可以解决 DHCP Snooping启动过程中由于部分用户 DHCP Snooping绑定 表缺失导致的用户流量丟失的问题， 同时， 相对于实施例一， 本实施例可 以精确的的从 DHCP服务器获得 DHCP Snooping所监控的客户信息， 避 免存储冗余的用户信息。

实施例三：

本发明实施例提供了一种 DHCP Snooping表项生成的装置， 参见图 8 , 图 8为本发明实施的装置示意图，优选的， 该装置包括： 报文发送单元 802 , 报文接收单元 804 , 报文处理单元 806。

报文发送单元 802,用于构造获得 DHCP用户信息的请求报文， 并将所述 请求报文发送给 DHCP服务器， 所述请求报文可以通过对 DHCP Inform报文 扩展生成， 具体扩展的报文格式可以参见本发明实施例一步骤 102; 报文接收单元 804, 接收所述 DHCP服务器对应所述请求报文的回应报 文， 提取所述回应报文中的所述用户信息， 所述用户信息包含用户网际协议 IP地址、 媒体接入控制 MAC地址， 所述回应报文可以通过对 DHCPACK扩 展生成， 具体扩展的报文格式可以参见本发明实施例一步骤 104;

^艮文处理单元 806 ,通过所述 MAC地址查找 MAC表获得用户虚拟局 域网 VLAN号和入端口号， 根据所述用户 IP地址、 MAC地址、 VLAN号 及入端口号生成 DHCP Snooping绑定表。

进一步， 所述装置还可以包括网段设置单元 808 , 用于设置网络设备 DHCP Snooping监控的网段信息， 相应地， 所述报文发送单元构造的获得 用户信息的请求报文包含所述监控的网段信息， 所述请求报文可以是对 DHCP Inform报文的扩展， 具体扩展的报文格式可以参见本发明实施例二 步骤 402。

可选的， 所述装置还可以包括： 报文请求单元， 报文处理单元。

报文请求单元， 用于构造请求报文， 所述请求报文包括动态主机配置协 议通告 DHCP Inform报文， 所述请求报文用于获得 DHCP用户信息， 所述 用户信息包括用户 IP地址、 MAC地址， 所述 DHCP Inform 4艮文的选项 Options部分的扩展可以参见发明实施例一步骤 102;

报文处理单元， 用于接收针对所述请求报文的回应报文， 提取所述用 户信息， 进一步， 根据所述获得的用户信息生成 DHCP Snooping绑定表， 所述回应 文包括动态主机配置协议响应 DHCPACK ^艮文， 并且对所述 DHCPACK选项部分的扩展生成， 具体扩展的报文格式可以参见本发明实 施例一步骤 104。

实施例四：

本发明实施例提供了一种 DHCP Snooping表项生成的系统， 参见图 9, 图 9为本发明实施例的系统示意图， 该系统包括： 网络设备 902、 DHCP服务 器 904。 网络设备 902 , 用于构造获得 DHCP用户信息的请求报文， 并将所述 请求报文发送给 DHCP 服务器， 进一步， 接收所述 DHCP 服务器对应所 述请求报文的回应报文， 提取所述回应报文中得所述用户信息， 根据所述 用户信息生成 DHCP Snooping绑定表；

优选的， 网络设备 902包括： ^艮文发送单元 802, ^艮文接收单元 804 , 才艮文处理单元 806。 ^艮文发送单元 802 , 用于构造获得用户信息的请求才艮 文， 并将所述请求报文发送给 DHCP 服务器， 所述请求报文可以通过对 DHCP Inform报文扩展生成， 具体扩展的报文格式可以参见本发明实施例 一步骤 102; 报文接收单元 804 , 用于接收所述 DHCP 服务器对应所述请 求报文的回应报文，所述 DHCP服务器的回应报文可以通过对 DHCPACK 扩展生成， 具体扩展的报文格式可以参见本发明实施例一步骤 104; 报文 处理单元 806 , 用于提取所述回应报文中的所述用户信息， 并根据所述提 取的 DHCP用户信息生成 DHCP Snooping绑定表。

进一步， 所述网络设备还可以包括网段设置单元 808, 用于设置网络 设备 DHCP Snooping监控的网段信息， 相应地， 所述报文发送单元构造的 获得用户信息的请求报文包含所述监控的网段信息， 所述请求报文可以是 对 DHCP Inform报文的扩展，具体扩展的报文格式可以参见本发明实施例 二步骤 402。

可选的， 所述网络设备还可以包括： 文请求单元， 文处理单元。 报文请求单元， 用于构造请求报文， 所述请求报文包括动态主机配置协 议通告 DHCP Inform报文， 所述请求报文用于获得 DHCP用户信息， 所述 用户信息包括用户 IP地址、 MAC地址， 所述 DHCP Inform 4艮文的选项 Options部分的扩展可以参见发明实施例一步骤 102;

报文处理单元， 用于接收针对所述请求报文的回应报文， 提取所述用 户信息， 进一步， 根据所述获得的用户信息生成 DHCP Snooping绑定表， 所述回应 文包括动态主机配置协议响应 DHCPACK ^艮文， 并且对所述 DHCPACK选项部分的扩展生成， 具体扩展的报文格式可以参见本发明实 施例一步骤 104。

DHCP 服务器 904 , 用于接收网络设备发送来的所述请求报文， 构造 包含用户信息的回应报文， 并将所述回应报文发送给网络设备。

可见， 通过本发明实施提供的装置、 网络设备及系统， 可以为 DHCP

Snooping启动之前已经和 DHCP服务器建立连接的用户生成 DHCP Snooping绑定表，从而可以解决 DHCP Snooping启动过程中由于部分用户 DHCP Snooping绑定表缺失导致的用户流量丟失的问题。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成， 前述程序可以存储于一计算机可 读取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而 前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序 代码的介质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技 术人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应 技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权 利 要 求 书

1、 一种动态主机配置协议监听 DHCP Snooping绑定表生成的方法， 其特征在于， 包括：

构造用于获得 DHCP用户信息的请求报文， 并将所述请求报文发送给 DHCP服务器；

接收所述 DHCP服务器对应所述请求 文的回应^艮文， 提取所述回应 报文中的所述用户信息， 所述用户信息包含用户网际协议 IP地址、 媒体 接入控制 MAC地址；

通过所述 MAC地址查找 MAC表获得用户虚拟局域网 VLAN号和入 端口号， 根据所述用户 IP地址、 MAC地址、 VLAN号及入端口号生成 DHCP Snooping绑定表。

2、 根据权利要求 1所述的方法， 其特征在于， 所述用户信息为 DHCP Snooping启动前已经与所述 DHCP服务器建立连接的用户的用户信息。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 所述构造用于获 得 DHCP用户信息的请求报文之前， 还包括：

确定 DHCP Snooping监控的网段信息；

相应地， 所述请求报文包含所述监控的网段信息， 进而所述回应报文 中的所述用户信息为所述监控网段内的用户信息。

4、根据权利要求 1或 2所述的方法，其特征在于，所述请求报文包括： 所述请求报文为动态主机配置协议通告 DHCP Inform报文， 所述

DHCP Inform才艮文的选项 Options部分包括：

报文类型字段， 标识所述请求报文为用于获得所述用户信息的请求报 文。

5、 根据权利要求 3所述的方法， 其特征在于， 所述请求报文包括： 所述请求报文为动态主机配置协议通告 DHCP Inform报文， 所述

DHCP Inform才艮文的选项 Options部分包括： 报文类型字段， 标识所述请求报文为用于获得所述用户信息的请求报 文；

网段信息字段， 标识所述监控网段信息的字段。

6、 根据权利要求 4或 5所述的方法， 其特征在于， 所述回应 ^艮文包 括：

所述回应报文为动态主机配置协议响应 DHCPACK报文， 所述

DHCPACK ^艮文的选项 Options部分包括：

才艮文类型字段， 标识所述回应 ^艮文为对应所述请求 ^艮文的回应 ^艮文； 用户 IP地址字段， 标识所述用户 IP地址的字段；

用户 MAC地址字段， 标识所述用户的 MAC地址字段。

7、 根据权利要求 1-3任一权利要求所述的方法， 其特征在于， 所述请 求报文的目的地址默认为 0XFFFFFFFF , 当配置了动态主机配置协议中继 DHCP Relay时候， 所述请求 4艮文的目的地址为 DHCP Relay配置的 DHCP 服务器地址。

8、 一种动态主机配置协议监听 DHCP Snooping绑定表生成的装置， 其特征在于， 所述装置包括：

报文发送单元， 用于构造获得 DHCP用户信息的请求报文， 并将所述 请求报文发送给 DHCP 服务器；

报文接收单元， 用于接收所述 DHCP服务器对应所述请求报文的回应 报文， 提取所述回应报文中的所述用户信息， 所述用户信息包含用户网际 协议 IP地址、 媒体接入控制 MAC地址；

报文处理单元， 用于通过所述 MAC地址查找 MAC表获得用户虚拟 局域网 VLAN号和入端口号， 根据所述用户 IP地址、 MAC地址、 VLAN 号及入端口号生成 DHCP Snooping绑定表。

9、 根据权利要求 8所述的装置， 其特征在于， 进一步包括：

网段确定单元， 用于确定 DHCP Snooping监控的网段信息， 相应地， 所述请求报文包含所述监控的网段信息， 进而所述回应报文中的所述用户 信息为所述监控网段内的用户信息。

10、 一种网络设备， 其特征在于， 所述网络设备包括权利要求 8或 9 所述的装置。

11、 一种动态主机配置协议监听 DHCP Snooping绑定表生成的系统， 其特征在于， 包括网络设备和与网络设备进行信息交互的 DHCP服务器； 所述网络设备， 用于构造获得 DHCP用户信息的请求报文， 并将所述 请求报文发送给所述 DHCP服务器；接收所述 DHCP服务器对应所述请求 报文的回应报文， 提取所述回应报文中的所述用户信息， 所述用户信息包 含用户网际协议 IP地址、 媒体接入控制 MAC地址， 根据所述用户信息生 成 DHCP Snooping绑定表；

所述 DHCP服务器， 用于接收所述请求报文， 并构造针对所述请求报 文的回应报文， 所述回应报文包含了所述 DHCP用户信息。