CN101917444A - 一种ip源地址绑定表项的创建方法、装置及交换机 - Google Patents
一种ip源地址绑定表项的创建方法、装置及交换机 Download PDFInfo
- Publication number
- CN101917444A CN101917444A CN2010102645436A CN201010264543A CN101917444A CN 101917444 A CN101917444 A CN 101917444A CN 2010102645436 A CN2010102645436 A CN 2010102645436A CN 201010264543 A CN201010264543 A CN 201010264543A CN 101917444 A CN101917444 A CN 101917444A
- Authority
- CN
- China
- Prior art keywords
- list item
- source address
- binding list
- address binding
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种IP源地址绑定表项的创建方法、装置及交换机,其中方法包括:对客户端向DHCP服务器发起获取IP地址的第一流程进行窥探,生成该客户端的IP源地址绑定表项,并将IP源地址绑定表项包含的表项状态信息设置为等待认证通过状态;在确认第一流程之后执行的客户端认证的第二流程的认证结果为该客户端认证通过时,将该客户端的IP源地址绑定表项包含的表项状态信息修改为已生效状态,并将修改后的IP源地址绑定表项添加到硬件过滤资源中;反之,拒绝将该客户端的IP源地址绑定表项添加到硬件过滤资源中。本发明可有效避免非法客户端在认证之前大量创建IP源地址绑定表项,导致硬件过滤资源的过度占用甚至耗尽的问题。
Description
技术领域
本发明涉及网络通讯领域,尤其涉及一种IP源地址绑定表项的创建方法、装置及交换机。
背景技术
动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)监听(DHCP Snooping)技术是DHCP的安全特性,通过建立和维护DHCP Snooping绑定表项过滤不可信任的DHCP信息。
DHCP Snooping功能在交换机上开启后,通过窥探DHCP客户端(DHCPCLIENT)和DHCP服务器(DHCP SERVER)之间的DHCP报文交互过程,根据客户端获取到的IP地址及租约时间、终端媒体接入控制(Media AccessControl,MAC)地址和终端所在端口信息,创建IP源地址绑定表项,IP源地址绑定表项包含如下元素:终端MAC地址、终端IP地址、终端所在端口、租约时间。创建IP源地址绑定表项后,交换机上的DHCP Snooping功能将IP源地址绑定表项添加到硬件过滤资源中。
交换机在对客户端发出的数据报文进行硬件转发时,通过硬件过滤资源对数据报文进行过滤。如果客户端没有通过DHCP获取IP地址,在交换机上就不存在该客户端的IP源地址绑定表项,该客户端发出的数据报文就会被交换机过滤掉,有效防止了客户端私自配置IP地址。
为了防止未经认证的非法DHCP客户端进行非法攻击,现有技术中常采用认证服务器对客户端进行认证与DHCP Snooping相结合的方法,该方法中,用户在通过认证之前,只能发送认证报文,其他报文一律被交换机丢弃,用户必须在认证成功之后,才可以向DHCP服务器获取为其分配的IP地址,获得DHCP服务器为其分配的IP地址之后,需要使用分配的IP地址,再一次向交换机发送认证报文,重新进行认证,将获取到的IP地址上传到认证服务器中,这样,一个客户端必须经历两次认证,才能将IP地址上传至认证服务器,增加认证服务器的处理压力。
为了减轻认证服务器的处理压力,现有技术中还提供了一种在认证前获取IP地址的方式,该方式中,客户端需要在认证过程开始之前获取到IP地址,然后在认证交互过程中,将获取到的IP地址直接上传到认证服务器上,但由于客户端需要在认证通过前通过DHCP获取IP地址,DHCP SNOOPING在创建IP源地址绑定表项时,不论该客户端是否合法都会直接创建IP源地址绑定表项,并且添加到硬件过滤资源中,因此,这种方式存在以下问题:非法DHCP客户端可利用获取IP地址的过程进行DHCP攻击,造成的交换机上硬件过滤资源的过度占用甚至耗尽,由于硬件过滤资源在交换机上属于稀缺硬件资源,通常由多个安全功能共用硬件过滤资源,如果硬件过滤资源耗尽会出现其他合法客户端无法正常获取IP地址,交换机上其他共用硬件过滤资源的安全功能也无法正常工作。
发明内容
本发明实施例提供一种IP源地址绑定表项的创建方法、装置及交换机,用以避免现有交换机硬件过滤资源过度占用甚至耗尽的问题。
本发明实施例提供的IP源地址绑定表项的创建方法,包括:
对客户端向动态主机配置协议DHCP服务器发起获取IP地址的第一流程进行窥探,生成所述客户端的IP源地址绑定表项,并将所述IP源地址绑定表项包含的表项状态信息设置为等待认证通过状态;
在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证通过时,将所述客户端的IP源地址绑定表项包含的表项状态信息修改为已生效状态;并将修改后的IP源地址绑定表项添加到硬件过滤资源中;
在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证未通过时,拒绝将所述客户端的IP源地址绑定表项添加到硬件过滤资源中。
本发明实施例提供的IP源地址绑定表项的创建的装置,包括:
IP源地址绑定表项生成单元,用于对客户端向动态主机配置协议DHCP服务器发起获取IP地址的第一流程进行窥探,生成所述客户端的IP源地址绑定表项,并将所述IP源地址绑定表项包含的表项状态信息设置为等待认证通过状态;
IP源地址绑定表项添加单元,用于在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证通过时,将所述客户端的IP源地址绑定表项包含的表项状态信息修改为已生效状态;并将修改后的IP源地址绑定表项添加到硬件过滤资源中;
IP源地址绑定表项清除单元,用于在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证未通过时,拒绝将所述客户端的IP源地址绑定表项添加到硬件过滤资源中。
本发明实施例还提供了一种交换机,该交换机包括本发明实施例提供的上述IP源地址绑定表项的创建的装置。
本发明实施例的有益效果包括:
本发明实施例提供的IP源地址绑定表项的创建方法、装置及交换机,对客户端向DHCP服务器获取IP地址的第一流程进行窥探,生成该客户端的IP源地址绑定表项,对生成的IP源地址绑定表项中的表项状态信息设置为等待认证通过的状态,如果确认后续客户端认证通过,那么将该客户端的IP源地址绑定表项中的表项状态修改为已生效状态,并添加到硬件过滤资源中,否则,拒绝将该客户端的IP源地址绑定表项添加到硬件过滤资源中。本发明实施例提供的IP源地址绑定表项的创建方法、装置及交换机,在不能确认客户端是否是合法客户端的情况下,暂时不将其IP源地址绑定表项添加到稀缺的硬件过滤资源中,只有确认其是合法的客户端之后,才最终将其IP源地址绑定表项添加到硬件过滤资源中,有效地防止了现有客户端在认证之前发起向DHCP服务器获取IP地址的过程中,非法客户端发起DHCP攻击,大量创建IP源地址绑定表项,导致交换机上的硬件过滤资源的过度占用甚至耗尽的问题。
附图说明
图1为本发明实施例提供的IP源地址绑定表项的创建方法的网络拓扑示意图;
图2为本发明实施例提供的IP源地址绑定表项的创建方法的流程图;
图3为本发明实施例提供的确定客户端是否认证通过的流程图之一;
图4为本发明实施例提供的确定客户端是否认证通过的流程图之二;
图5为本发明实施例提供的IP源地址绑定表项的创建装置的结构示意图。
具体实施方式
下面结合附图,对本发明实施例提供的一种IP源地址绑定表项的创建方法、装置及交换机的具体实施方式进行详细地说明。
图1所示的是本发明实施例提供的IP源地址绑定表项的创建方法的网络拓扑图,交换机一端与客户端相连,客户端通过该交换机向DHCP服务器发起获取IP地址的流程(以下在本发明实施例中称该流程为第一流程),同时客户端还与认证服务器相连,与认证服务器之间实现客户端认证的流程(以下在本发明实施例中称该流程为第二流程),认证的方式可以采用现有技术中的多种认证方式,包括但不限于:802.1x认证方式、WEB认证方式、点到点(Point-to-Point Protocol,PPP)认证方式等。认证服务器还与交换机相连,以便交换机能够获知客户端的认证结果。
本发明实施例提供的IP源地址绑定表项的创建方法的流程,如图2所示,包括下述步骤:
S201、对客户端向动态主机配置协议DHCP服务器发起获取IP地址的第一流程进行窥探,生成该客户端的IP源地址绑定表项,将生成的IP源地址绑定表项包含的表项状态信息设置为等待认证通过状态;
S202、确认第一流程后执行的客户端认证的第二流程的认证结果是否为客户端认证通过;若是,执行下述步骤S203;若否,执行下述步骤S204;
S203、将该客户端的IP源地址绑定表项包含的表项状态信息修改为已生效状态;并将修改后的IP源地址绑定表项添加到硬件过滤资源中;
S204、拒绝将该客户端的IP源地址绑定表项添加到硬件过滤资源中。
下面对上述各步骤进行详细地说明。
本发明实施例提供的IP源地址绑定表项的创建方法,对现有技术中的IP源地址绑定表项做了改进,在现有IP源地址绑定表项包含的客户端MAC地址、IP地址、客户端所在端口标识和租约时间的基础上,增加了一项即表项状态信息,生成的客户端的IP源地址绑定表项包含的各字段内容如下:
{MAC地址、IP地址、所在端口标识、租约时间、表项状态}
其中,表项状态字段的取值可分为两种情况,一种情况如果用户还未经历过认证过程,无法确认其是否为合法用户,该客户端的IP源地址绑定表项中的表项状态为“等待认证通过状态”,这样的IP源地址绑定表项暂时不能添加到硬件过滤资源中去。另一种情况为确认客户端认证通过成为合法用户,其IP源地址绑定表项中的表项状态为“已生效状态”,该IP源地址绑定表项是可信任的,可以添加到硬件过滤资源中去。
在上述步骤S201中,在客户端向DHCP服务器获取IP地址的过程中,由于该客户端还未经历认证过程,因此无法确定该客户端是否是合法用户,因此,将在生成的该客户端的IP源地址绑定表项中的表项状态设置为“等待认证通过状态”。此时生成的IP源地址绑定表项并不会直接添加到硬件过滤资源中,而选择暂时缓存。
在步骤S201之后,客户端会经历与认证服务器之间的认证过程。
随后,上述步骤S202中,客户端确认客户端认证的第二流程的认证结果是为客户端认证通过或未通过,在具体实施时,可以通过下述两种方式实现:
一种方式是认证服务器在对客户端完成认证过程之后,通过接收认证服务器发送的携带有客户端MAC地址的通告来确认,较佳地,在生成包含由表项状态信息的IP源地址绑定表项的步骤之后,按照预先设置的认证等待超时时间,开始计时等待。认证等待超时时间的时长,可以按照现有技术中各种认证过程通常所耗时间来确定。
相应地,如图3所示,确定客户端是否认证通过的过程如下:
S301、判断在认证等待超时时间之内,是否接收到认证服务器发送的携带有该客户端MAC地址的认证通过通告消息;若判断结果为是,则执行下述步骤S302;若判断结果为否,则执行下步骤S303;
S302、确认第二流程认证结果为该客户端认证通过;
S303、确认第二流程认证结果为该客户端未认证通过。
在上述步骤S301~S303中,认证服务器也可以通过发送携带有认证通过的客户端的其他标识信息例如IP地址信息等来通告该客户端已经通过了认证,具体实施过程与上述步骤S301~S303类似,在此不再赘述。
另一种方式是通过主动向认证服务器查询认证结果的方法,如图4所示,具体包括下述步骤:
S401、向认证服务器发送查询请求,查询所述客户端是否已认证通过;
本步骤S401中,可以通过发送携带而客户端标识信息(MAC地址、IP地址或其他标识信息)的查询请求来指明需要查询的客户端。
S402、判断在认证等待超时时间之内,是否收到认证服务器返回的携带有该客户端MAC地址的认证通过通告消息;
S403、若在认证等待超时时间之内,收到认证服务器返回的携带有该客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为该客户端认证通过;
S404、若在认证等待超时时间之内,一直未收到认证服务器返回的携带有该客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为该客户端未认证通过。
如果设置了超时等待时间,那么在该客户端被确认是否为合法用户之前,该客户端的IP源地址绑定表项的生命周期是设置的认证等待超时时间,如果第二流程的认证结果中确认该客户端通过了认证,那么,将该客户端的IP源地址绑定表项添加到硬件过滤资源中之后,该客户端IP源地址绑定表项的生命周期即修改为DHCP服务器分配的租约时间。
较佳地,为了节约DHCP服务器中的IP地址资源,如图2所示的S204中,在确认客户端未通过认证之后,还可以通知DHCP服务器将该客户端的IP源地址绑定表项中的IP地址回收到可分配的IP地址池中,同时,删除客户端的IP源地址绑定表项,释放IP源地址绑定表项由于缓存所临时占用的资源。这样,对于非法客户端的IP源地址绑定表项,可以完全杜绝将其写入到稀缺的硬件过滤资源中。
基于同一发明构思,本发明实施例还提供了一种IP源地址绑定表项的创建装置和交换机,由于该IP源地址绑定表项的创建装置和交换机解决问题的原理与前述IP源地址绑定表项的创建方法相似,因此该IP源地址绑定表项的创建装置和交换机的实施可以参见方法的实施,重复之处不再赘述。
如图5所示,本发明实施例提供的IP源地址绑定表项的创建装置,包括:IP源地址绑定表项生成单元501、IP源地址绑定表项添加单元502和IP源地址绑定表项清除单元503;其中:
IP源地址绑定表项生成单元501,用于对客户端向动态主机配置协议DHCP服务器发起获取IP地址的第一流程进行窥探,生成该客户端的IP源地址绑定表项,并将IP源地址绑定表项包含的表项状态信息设置为等待认证通过状态;
IP源地址绑定表项添加单元502,用于在确认第一流程之后执行的客户端认证的第二流程的认证结果为客户端认证通过时,将客户端的IP源地址绑定表项包含的表项状态信息修改为已生效状态;并将修改后的IP源地址绑定表项添加到硬件过滤资源中;
IP源地址绑定表项清除单元503,用于在确认第一流程之后执行的客户端认证的第二流程的认证结果为客户端认证未通过时,拒绝将该客户端的IP源地址绑定表项添加到硬件过滤资源中。
进一步地,本发明实施例提供的IP源地址绑定表项的创建装置,如图5所示,还包括:计时等待单元504,用于在IP源地址绑定表项生成单元501生成该客户端的IP源地址绑定表项之后,按照预先设置的认证等待超时时间,开始计时等待。
进一步地,本发明实施例提供的IP源地址绑定表项的创建装置,如图5所示,还可以包括:判断单元505,用于判断在认证等待超时时间之内,是否接收到认证服务器发送的携带有客户端MAC地址的认证通过通告消息;
相应地,本发明实施例提供的IP源地址绑定表项的创建装置中的IP源地址绑定表项添加单元502,还用于在认证等待超时时间之内,接收到认证服务器发送的携带有客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证通过;
本发明实施例提供的IP源地址绑定表项的创建装置中的IP源地址绑定表项清除单元503,还用于在认证等待超时时间之内,未接收到认证服务器发送的携带有所述客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证未通过。
进一步地,本发明实施例提供的IP源地址绑定表项的创建装置,如图5所示,还可以包括:查询单元506,用于向认证服务器发送查询请求,查询该客户端是否已认证通过;
相应地,IP源地址绑定表项添加单元502,还用于在认证等待超时时间之内,收到认证服务器返回的携带有该客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证通过;
IP源地址绑定表项清除单元503,还用于在认证等待超时时间之内,未收到认证服务器返回的携带有该客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为该客户端认证未通过。
进一步地,本发明实施例提供的IP源地址绑定表项的创建装置,如图5所示,还可以包括:
通告单元507,用于在IP源地址绑定表项清除单元503确认第二流程的认证结果为该客户端认证未通过时,通知DHCP服务器将该客户端的IP源地址绑定表项中的IP地址回收到可分配的IP地址池中;
相应地,IP源地址绑定表项清除单元503,还用于在IP源地址绑定表项清除单元503确认第二流程的认证结果为该客户端认证未通过时,删除该客户端的IP源地址绑定表项。
本发明实施例提供的IP源地址绑定表项的创建装置中,除了上述IP源地址绑定表项生成单元501、IP源地址绑定表项添加单元502、IP源地址绑定表项清除单元503、计时等待单元504和通告单元507之外,可以同时包含上述判断单元505和查询单元506,也可在上述五个单元之外只包含上述判断单元505和查询单元506之一。
本发明实施例还提供了一种交换机,该交换机中设置有本发明实施例提供的上述IP源地址绑定表项的创建装置。
本发明实施例提供的IP源地址绑定表项的创建方法、装置及交换机,对客户端向DHCP服务器获取IP地址的第一流程进行窥探,生成该客户端的IP源地址绑定表项,对生成的IP源地址绑定表项中的表项状态信息设置为等待认证通过的状态,如果确认后续客户端认证通过,那么将该客户端的IP源地址绑定表项中的表项状态修改为已生效状态,并添加到硬件过滤资源中,否则,拒绝将该客户端的IP源地址绑定表项添加到硬件过滤资源中。本发明实施例提供的IP源地址绑定表项的创建方法、装置及交换机,在不能确认客户端是否是合法客户端的情况下,暂时不将其IP源地址绑定表项添加到稀缺的硬件过滤资源中,只有确认其是合法的客户端之后,才最终将其IP源地址绑定表项添加到硬件过滤资源中,有效地防止了现有技术中,客户端在认证之前发起向DHCP服务器获取IP地址的过程中可能存在的非法客户端发起DHCP攻击,大量创建IP源地址绑定表项,导致交换机上的硬件过滤资源的过度占用甚至耗尽的问题。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种IP源地址绑定表项的创建方法,其特征在于,包括:
对客户端向动态主机配置协议DHCP服务器发起获取IP地址的第一流程进行窥探,生成所述客户端的IP源地址绑定表项,并将所述IP源地址绑定表项包含的表项状态信息设置为等待认证通过状态;
在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证通过时,将所述客户端的IP源地址绑定表项包含的表项状态信息修改为已生效状态;并将修改后的IP源地址绑定表项添加到硬件过滤资源中;
在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证未通过时,拒绝将所述客户端的IP源地址绑定表项添加到硬件过滤资源中。
2.如权利要求1所述的方法,其特征在于,在生成所述客户端的IP源地址绑定表项之后,还包括:
按照预先设置的认证等待超时时间,开始计时等待。
3.如权利要求2所述的方法,其特征在于,确认第二流程认证结果为所述客户端认证通过或未通过,通过下述方式实现:
判断在所述认证等待超时时间之内,是否接收到认证服务器发送的携带有所述客户端媒体接入控制MAC地址的认证通过通告消息;
若在所述认证等待超时时间之内,接收到认证服务器发送的携带有所述客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证通过;
若在所述认证等待超时时间之内,未接收到认证服务器发送的携带有所述客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证未通过。
4.如权利要求2所述的方法,其特征在于,确认第二流程认证结果为所述客户端认证通过或未通过,通过下述方式实现:
向认证服务器发送查询请求,查询所述客户端是否已认证通过;
若在所述认证等待超时时间之内,收到认证服务器返回的携带有所述客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证通过;
若在所述认证等待超时时间之内,未收到认证服务器返回的携带有所述客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证未通过。
5.如权利要求1、3或4所述的方法,其特征在于,在确认第二流程的认证结果为所述客户端认证未通过时,还包括:
通知DHCP服务器将所述客户端的IP源地址绑定表项中的IP地址回收到可分配的IP地址池中,删除所述客户端的IP源地址绑定表项。
6.一种IP源地址绑定表项的创建装置,其特征在于,包括:
IP源地址绑定表项生成单元,用于对客户端向动态主机配置协议DHCP服务器发起获取IP地址的第一流程进行窥探,生成所述客户端的IP源地址绑定表项,并将所述IP源地址绑定表项包含的表项状态信息设置为等待认证通过状态;
IP源地址绑定表项添加单元,用于在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证通过时,将所述客户端的IP源地址绑定表项包含的表项状态信息修改为已生效状态;并将修改后的IP源地址绑定表项添加到硬件过滤资源中;
IP源地址绑定表项清除单元,用于在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证未通过时,拒绝将所述客户端的IP源地址绑定表项添加到硬件过滤资源中。
7.如权利要求6所述的装置,其特征在于,还包括:计时等待单元,用于在所述IP源地址绑定表项生成单元生成所述客户端的IP源地址绑定表项之后,按照预先设置的认证等待超时时间,开始计时等待。
8.如权利要求7所述的装置,其特征在于,还包括:
判断单元,用于判断在所述认证等待超时时间之内,是否接收到认证服务器发送的携带有所述客户端媒体接入控制MAC地址的认证通过通告消息;
所述IP源地址绑定表项添加单元,还用于在所述认证等待超时时间之内,接收到认证服务器发送的携带有所述客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证通过;
所述IP源地址绑定表项清除单元,还用于在所述认证等待超时时间之内,未接收到认证服务器发送的携带有所述客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证未通过。
9.如权利要求7所述的装置,其特征在于,还包括:
查询单元,用于向认证服务器发送查询请求,查询所述客户端是否已认证通过;
所述IP源地址绑定表项添加单元,还用于在所述认证等待超时时间之内,收到认证服务器返回的携带有所述客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证通过;
所述IP源地址绑定表项清除单元,还用于在所述认证等待超时时间之内,未收到认证服务器返回的携带有所述客户端MAC地址的认证通过通告消息,则确认第二流程认证结果为所述客户端认证未通过。
10.如权利要求6、8或9所述的装置,其特征在于,还包括:
通告单元,用于在所述IP源地址绑定表项清除单元确认所述第二流程的认证结果为所述客户端认证未通过时,通知DHCP服务器将所述客户端的IP源地址绑定表项中的IP地址回收到可分配的IP地址池中;
所述IP源地址绑定表项清除单元,还用于在所述IP源地址绑定表项清除单元确认第二流程的认证结果为所述客户端认证未通过时,删除所述客户端的IP源地址绑定表项。
11.一种交换机,其特征在于,包括如权利要求6-10任一项所述的IP源地址绑定表项的创建装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102645436A CN101917444A (zh) | 2010-08-25 | 2010-08-25 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102645436A CN101917444A (zh) | 2010-08-25 | 2010-08-25 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101917444A true CN101917444A (zh) | 2010-12-15 |
Family
ID=43324828
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102645436A Pending CN101917444A (zh) | 2010-08-25 | 2010-08-25 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101917444A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098298A (zh) * | 2010-12-29 | 2011-06-15 | 福建星网锐捷网络有限公司 | 防止过滤资源耗尽的方法和网络接入设备 |
| CN102420817A (zh) * | 2011-11-28 | 2012-04-18 | 广州杰赛科技股份有限公司 | 应用服务管理***及服务禁用方法 |
| CN102638390A (zh) * | 2012-01-18 | 2012-08-15 | 神州数码网络(北京)有限公司 | 基于dhcp snooping的三层交换装置及方法 |
| CN102739814A (zh) * | 2011-04-15 | 2012-10-17 | 中兴通讯股份有限公司 | 一种建立动态主机配置协议窥探绑定表的方法及*** |
| CN102801685A (zh) * | 2011-05-23 | 2012-11-28 | 中兴通讯股份有限公司 | 一种Web认证方法及*** |
| CN103458062A (zh) * | 2013-08-26 | 2013-12-18 | 杭州华三通信技术有限公司 | 一种网络协议ip地址获取方法及设备 |
| CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN106411928A (zh) * | 2016-10-28 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | 客户端接入服务器的认证方法和装置及vdi*** |
| CN106487742A (zh) * | 2015-08-24 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
| CN106506410A (zh) * | 2016-10-31 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种安全表项建立方法及装置 |
| US20170134239A1 (en) * | 2014-03-21 | 2017-05-11 | Ptc Inc. | Systems and methods for routing messages in distributed computing environments |
| CN108418806A (zh) * | 2018-02-05 | 2018-08-17 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078485A1 (en) * | 2002-10-18 | 2004-04-22 | Nokia Corporation | Method and apparatus for providing automatic ingress filtering |
| WO2004039116A1 (ja) * | 2002-10-25 | 2004-05-06 | Matsushita Electric Industrial Co., Ltd. | 無線通信管理方法及び無線通信管理サーバ |
| CN1859409A (zh) * | 2006-03-17 | 2006-11-08 | 华为技术有限公司 | 一种提高网络动态主机配置dhcp安全性的方法和*** |
| CN101163161A (zh) * | 2007-11-07 | 2008-04-16 | 福建星网锐捷网络有限公司 | 统一资源***地址过滤方法及中间传输设备 |
| CN101465862A (zh) * | 2009-01-09 | 2009-06-24 | 北京星网锐捷网络技术有限公司 | 认证业务切换处理方法与装置、网络设备与通信*** |
| CN101651696A (zh) * | 2009-09-17 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
| CN101753370A (zh) * | 2008-12-08 | 2010-06-23 | 中兴通讯股份有限公司 | 检测宽带接入用户认证流程可用性的***和方法 |
-
2010
- 2010-08-25 CN CN2010102645436A patent/CN101917444A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078485A1 (en) * | 2002-10-18 | 2004-04-22 | Nokia Corporation | Method and apparatus for providing automatic ingress filtering |
| WO2004039116A1 (ja) * | 2002-10-25 | 2004-05-06 | Matsushita Electric Industrial Co., Ltd. | 無線通信管理方法及び無線通信管理サーバ |
| CN1859409A (zh) * | 2006-03-17 | 2006-11-08 | 华为技术有限公司 | 一种提高网络动态主机配置dhcp安全性的方法和*** |
| CN101163161A (zh) * | 2007-11-07 | 2008-04-16 | 福建星网锐捷网络有限公司 | 统一资源***地址过滤方法及中间传输设备 |
| CN101753370A (zh) * | 2008-12-08 | 2010-06-23 | 中兴通讯股份有限公司 | 检测宽带接入用户认证流程可用性的***和方法 |
| CN101465862A (zh) * | 2009-01-09 | 2009-06-24 | 北京星网锐捷网络技术有限公司 | 认证业务切换处理方法与装置、网络设备与通信*** |
| CN101651696A (zh) * | 2009-09-17 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098298A (zh) * | 2010-12-29 | 2011-06-15 | 福建星网锐捷网络有限公司 | 防止过滤资源耗尽的方法和网络接入设备 |
| CN102098298B (zh) * | 2010-12-29 | 2014-07-30 | 福建星网锐捷网络有限公司 | 防止过滤资源耗尽的方法和网络接入设备 |
| CN102739814A (zh) * | 2011-04-15 | 2012-10-17 | 中兴通讯股份有限公司 | 一种建立动态主机配置协议窥探绑定表的方法及*** |
| CN102739814B (zh) * | 2011-04-15 | 2015-09-16 | 中兴通讯股份有限公司 | 一种建立动态主机配置协议窥探绑定表的方法及*** |
| CN102801685A (zh) * | 2011-05-23 | 2012-11-28 | 中兴通讯股份有限公司 | 一种Web认证方法及*** |
| CN102420817A (zh) * | 2011-11-28 | 2012-04-18 | 广州杰赛科技股份有限公司 | 应用服务管理***及服务禁用方法 |
| CN102638390A (zh) * | 2012-01-18 | 2012-08-15 | 神州数码网络(北京)有限公司 | 基于dhcp snooping的三层交换装置及方法 |
| CN103458062A (zh) * | 2013-08-26 | 2013-12-18 | 杭州华三通信技术有限公司 | 一种网络协议ip地址获取方法及设备 |
| US20170134239A1 (en) * | 2014-03-21 | 2017-05-11 | Ptc Inc. | Systems and methods for routing messages in distributed computing environments |
| CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN106487742A (zh) * | 2015-08-24 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
| CN106487742B (zh) * | 2015-08-24 | 2020-01-03 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
| CN106411928A (zh) * | 2016-10-28 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | 客户端接入服务器的认证方法和装置及vdi*** |
| CN106506410A (zh) * | 2016-10-31 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种安全表项建立方法及装置 |
| CN108418806A (zh) * | 2018-02-05 | 2018-08-17 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
| CN108418806B (zh) * | 2018-02-05 | 2021-09-24 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101917444A (zh) | 一种ip源地址绑定表项的创建方法、装置及交换机 | |
| US9628441B2 (en) | Attack defense method and device | |
| CN102316101B (zh) | 一种基于dhcp snooping的安全接入方法 | |
| CN104853001B (zh) | 一种arp报文的处理方法和设备 | |
| CN101453495A (zh) | 防止授权地址解析协议信息丢失的方法、***和设备 | |
| CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
| CN101465856A (zh) | 一种对用户进行访问控制的方法和*** | |
| CN104010285A (zh) | 一种短信过滤方法、***以及短信服务中心和终端 | |
| CN102572005A (zh) | 一种ip地址分配方法和设备 | |
| CN107707435B (zh) | 一种报文处理方法和装置 | |
| CN108881233B (zh) | 防攻击处理方法、装置、设备及存储介质 | |
| WO2020083288A1 (zh) | Dns服务器的安全防御方法及装置、通信设备及存储介质 | |
| CN102752269A (zh) | 基于云计算的身份认证的方法、***及云端服务器 | |
| CN105592180B (zh) | 一种Portal认证的方法和装置 | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN106686592B (zh) | 一种带有认证的网络接入方法及*** | |
| CN103905579A (zh) | 平台与终端间的通信方法、通信***、平台及相关设备 | |
| CN102946385B (zh) | 一种防止伪造释放报文进行攻击的方法和设备 | |
| CN101577645B (zh) | 检测仿冒网络设备的方法和装置 | |
| CN110909030B (zh) | 一种信息处理方法及服务器集群 | |
| CN101729314A (zh) | 动态表项的回收方法、装置及动态主机分配协议侦听设备 | |
| CN101656724A (zh) | 一种防攻击方法和一种动态主机配置协议服务器 | |
| CN101146103A (zh) | 一种可实现宽带接入设备安全防护稳定性的方法 | |
| CN102882861A (zh) | 基于解析dhcp报文实现防ip地址欺诈的方法 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101215 |