CN102413044A - 一种DHCP Snooping绑定表生成的方法、装置、设备及*** - Google Patents
一种DHCP Snooping绑定表生成的方法、装置、设备及*** Download PDFInfo
- Publication number
- CN102413044A CN102413044A CN2011103627745A CN201110362774A CN102413044A CN 102413044 A CN102413044 A CN 102413044A CN 2011103627745 A CN2011103627745 A CN 2011103627745A CN 201110362774 A CN201110362774 A CN 201110362774A CN 102413044 A CN102413044 A CN 102413044A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- message
- request message
- user profile
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供一种动态主机配置协议监听DHCP Snooping绑定表生成的方法、装置、设备及***,所述方法包括:构造用于获得DHCP用户信息的请求报文,并将所述请求报文发送给DHCP服务器;接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址;通过所述MAC地址获得用户虚拟局域网VLAN号和入端口号,进而生成DHCP Snooping绑定表。采用本发明实施例提供的技术方案能够为在DHCP Snooping启动前已经和DHCP服务器建立连接的用户生成DHCP Snooping绑定表,能够解决在DHCP Snooping启动过程中由于部分用户DHCP Snooping绑定表缺失导致所述部分用户流量丢失的问题。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种动态主机配置协议监听(Dynamic Host Configuration Protocol Snooping,DHCP Snooping)绑定表生成的方法、***及设备。
背景技术
动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)监听(Snooping)技术是DHCP的安全特性,通过监控DHCP用户和DHCP服务器之间的DHCP报文,建立和维护DHCP Snooping绑定表,在转发报文时,利用绑定表对地址解析协议(Address Resolution Protocol,ARP)报文、网际协议(Internet Protocol,IP)报文进行检查,过滤非法报文,实现网络安全功能。DHCP Snooping绑定表包含用户网际协议(Internet Protocol,IP)地址、媒体接入控制(Media Access Control,MAC)地址、入端口号和虚拟局域网(Virtual LAN,VLAN)号等信息。网络设备DHCP Snooping功能启动后会根据用户和服务器之间的DHCP交互报文获得用户的IP地址、MAC地址、入端口号和VLAN号,进而形成DHCP Snooping绑定表,该绑定表配合地址解析协议(Address Resolution Protocol,ARP)检测功能即可实现控制用户上网的目的。
现有技术中DHCP Snooping功能是在网络设备开始运行后通过配置命令来启动的,DHCP Snooping功能启动后会根据监听到的DHCP交互报文生成DHCP Snooping绑定表,生成该绑定表所需要的信息只能通过DHCP用户与DHCP服务器最开始建立连接的DHCP交互报文获得,如果DHCP部分用户已经与DHCP服务端连接已经建立完成,再启动DHCP Snooping功能就不能获得建立DHCP Snooping表所需要的信息,也就无法为这些用户生成DHCP Snooping绑定表,会造成这部分用户DHCP Snooping绑定表缺失。由于通过 命令行启动DHCP Snooping功能与DHCP用户与DHCP服务器建立连接没有必然的时间先后依赖关系,所以在DHCP Snooping功能启动之前,可能会有些用户已经与DHCP服务器完成关系建立,由于这些用户没有生成DHCP Snooping绑定表,所以这些用户发送来的数据报文将不会通过DHCP Snooping的检测而被丢弃,这些用户需要与DHCP服务器重新建立交互关系,在这个过程会导致这些用户的流量丢失。
发明内容
本发明实施例提供了一种DHCP Snooping绑定表生成的方法、***及设备,以解决在网络设备DHCP Snooping启动过程中部分DHCP Snooping绑定表缺失造成部分用户流量丢失的问题。
为达到上述目的,本发明实施例提供了一种DHCP Snooping绑定表生成的方法,所述方法包括:
构造用于获得DHCP用户信息的请求报文,并将所述请求报文发送给DHCP服务器;
接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址;
通过所述MAC地址查找MAC表获得用户虚拟局域网VLAN号和入端口号,根据所述用户IP地址、MAC地址、VLAN号及入端口号生成DHCP Snooping绑定表。
本发明实施例提供了一种DHCP Snooping绑定表生成的装置,所述装置包括:
报文发送单元,用于构造获得DHCP用户信息的请求报文,并将所述请求报文发送给DHCP服务器;
报文接收单元,用于接收所述DHCP服务器对应所述请求报文的回应 报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址;
报文处理单元,用于通过所述MAC地址查找MAC表获得用户虚拟局域网VLAN号和入端口号,根据所述用户IP地址、MAC地址、VLAN号及入端口号生成DHCP Snooping绑定表。
本发明实施例提供了一种网络设备,所述网络设备包括本发明实施例提供的一种DHCP Snooping绑定表生成的装置。
本发明实施例提供了一种动态主机配置协议监听DHCP Snooping绑定表生成的***,其特征在于,包括网络设备和与网络设备进行信息交互的DHCP服务器;
所述网络设备,用于构造获得DHCP用户信息的请求报文,并将所述请求报文发送给所述DHCP服务器;接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址,根据所述用户信息生成DHCP Snooping绑定表;
所述DHCP服务器,用于接收所述请求报文,并构造针对所述请求报文的回应报文,所述回应报文包含了所述DHCP用户信息。
综上,本发明实施例提出了一种DHCP Snooping绑定表生成的方法、装置、设备及***,在DHCP Snooping启动过程中,通过从DHCP服务器获得DHCP用户信息生成DHCP Snooping绑定表为实现DHCP Snooping功能提供必要的信息支持,通过本发明实施例有利于在现有用户流量正常运行情况下,实现网络设备的DHCP Snooping功能实时启动。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面 描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一实施例提供的一种DHCP Snooping绑定表生成方法的流程示意图;
图2是现有技术中DHCP Snooping绑定表生成示意图;
图3是现有技术中DHCP用户与DHCP服务器交互的报文格式示意图;
图4是本发明第一实施例提供的扩展的DHCP Inform报文选项Options部分格式示意图;
图5是本发明实施例提供的扩展的DHCPACK报文选项Options部分格式示意图;
图6是本发明第二实施例提供的一种DHCP Snooping绑定表项生成发放的流程示意图;
图7是本发明第二实施例提供的扩展的DHCP Inform报文选项Options部分格式示意图;
图8是本发明第三实施例提供的一种DHCP Snooping绑定表项生成装置的示意图。
图9是本发明第四实施例提供的一种DHCP Snooping绑定表项生成***的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
本发明实施例提供了一种DHCP Snooping绑定表生成的方法,参见图1,
图1为本发明实施例的方法流程图,包括:
102,构造用于获得DHCP用户信息的请求报文,并将所述请求报文发送给DHCP服务器;
在网络设备通过命令行启动DHCP Snooping功能之后,DHCP Snooping协议通过监听DHCP报文,建立DHCP Snooping绑定表,该绑定表的表项包括:用户的IP地址、MAC地址、入端口号和虚拟局域网(Virtual LAN,VLAN)号,举例来说,如图2所示,用户A的MAC地址及IP地址为:A,10.1.1.1;用户B的MAC地址及IP地址为:B,10.1.1.2,在网络设备上通过命令行启动DHCP Snooping功能,网络设备监听用户A、B同DHCP服务器交互过程中的DHCP报文,通过分析这些往来的DHCP报文,建立如下所示的DHCP Snooping绑定表。
表1 DHCP Snooping绑定表
| MAC地址 | IP地址 | 入端口号 | VLAN号 |
| A | 10.1.1.1 | E1 | 1 |
| B | 10.1.1.2 | E2 | 2 |
在转发报文时,利用DHCP Snooping绑定表对用户报文进行检查,对于没有命中绑定表的报文进行丢弃处理,从而解决网络安全问题。由于现有的DHCP Snooping绑定表只能在用户与DHCP服务器建立连接过程中生成,如果在网络设备通过命令行使能DHCP Snooping功能前某些用户已经与DHCP服务器建立起连接,如图2,假设用户N在网络设备通过命令行使能DHCP Snooping之前已经与DHCP服务器建立连接,则DHCP Snooping不能为用户N生成DHCP Snooping绑定表,那么在网络设备使能DHCP Snooping功能后,用户N发送来的数据报文将不会通过DHCP Snooping的检测而被丢弃。为解决这个问题,本发明发明人经过研究发现在网络设备使能DHCP Snooping前,已经和DHCP服务器建立连接的用户信息会被完整的存储在DHCP服务器上, 因此,可以通过构造请求报文的方式到DHCP服务器获取这些用户信息,进而为这些用户建立DHCP Snooping绑定表,保证这些用户流量不中断。
用于获得DHCP用户信息的请求报文通过模拟用户端发送给DHCP服务器,其报文目的地址默认设置为0XFFFFFFFF,以广播的形式发送给所有DHCP服务器,当网络设备配置了DHCP Relay时,所述请求报文的目的地址可以为DHCP Relay配置的DHCP服务器地址,这样可以只向与所述网络设备直接进行交互的DHCP服务器进行发送所述请求报文。所述请求报文可以是扩展的DHCP Inform报文,所述扩展的DHCP Inform报文是对DHCP Inform报文的选项(Options)部分进行了扩展。所述DHCP Inform报文消息格式如图3所示,图3为DHCP用户与DHCP服务器交互的报文格式,其中选项(op)字段值为1,标识报文类型为DHCP Inform。扩展的DHCP Inform报文Options(选项)格式如图4,可以包括:
1)选项类型(option type):用于标识本发明实施例所述请求及应答的交互报文。该字段长度为1字节,取值可以为128到255任一值,优选的,本发明实施例定为206。
2)长度(length):标识数据段信息数据长度。该字段长度为2字节,取值为1,标识数据段信息数据长度为1字节,其中数据段为:1个字节的子类型(subtype)。
3)子类型(subtype):用于标识所述报文类型的字段。该字段长度为1字节,取值为1到255任一值,优选的,本发明实施例定义为1,用于标识所述DHCP Inform报文为所述用于获得DHCP用户信息的请求报文。
104,接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址;
所述回应报文可以是对DHCPACK报文的扩展,由于在DHCP用户与DHCP服务器建立连接时,DHCP服务器会存储DHCP用户信息,所以 DHCP服务器可以把其保存的所述用户信息添加到所述扩展的DHCPACK回应报文中,所述DHCPACK报文格式如图3所示,图3为DHCP用户与DHCP服务器交互的报文格式,其中选项(op)字段值为2,标识报文类型为DHCPACK报文。所述扩展的DHCPACK报文Options选项格式如图5,可以包括:
1)选项类型(option type):用于标识本发明实施例所述请求及应答的交互报文。该字段长度为1字节,取值可以为128到255任一值,优选的,本发明实施例定为206。
2)长度(length):标识数据段信息数据长度。该字段长度为2字节,取值为10*N+1,标识数据段信息数据长度为10*N+1字节,其中10为用户IP地址和MAC地址长度之和,N标识用户个数。
3)子类型(subtype):用于标识所述报文类型的字段。该字段长度为1字节,取值为1到255任一值,为了标识与请求报文类型的区别,优选本发明实施例定义为2,用于标识所述DHCPACK报文为对应于所述请求报文的回应报文。
4)用户A的IP地址(ip_address_A):用于标识用户A的IP地址。该字段长度为4字节。
5)用户A的MAC地址(mac_address_A):用于标识用户A的MAC地址。该字段长度为6个字节。
6)用户N的IP地址(ip_address_N):用于标识用户N的IP地址。该字段长度为4字节。
7)用户N的MAC地址(mac_address_N):用于标识用户N的MAC地址。该字段长度为6个字节。
通过接收所述DHCP服务器发送来的回应报文,解析判断subtype值为2,则认为此报文为DHCP回应的包含用户信息的响应报文,通过解析此报文可以获得用户信息,所述用户信息包含用户的IP地址、MAC地址, 其中IP地址、MAC地址是生成DHCP Snooping绑定表的关键字段。
106,通过所述MAC地址查找MAC表获得用户虚拟局域网VLAN号和入端口号,根据所述用户IP地址、MAC地址、VLAN号及入端口号生成DHCP Snooping绑定表。
通过步骤104获得的所述用户MAC信息进一步查找MAC地址表,可以获得所述用户的入端口号和VLAN号,进而得到了生成DHCP Snooping绑定表的所有信息,所述MAC地址表是二层转发表,其中包含了用户的入端口号、VLAN号等信息,根据获得的所述用户IP地址、MAC地址、入端口号、VLAN号即可生成DHCP Snooping绑定表。
可见,通过本发明实施提供的方法,可以为DHCP Snooping启动之前已经和DHCP服务器建立连接的用户生成DHCP Snooping绑定表,从而可以解决DHCP Snooping启动过程中由于部分用户DHCP Snooping绑定表缺失导致的部分用户流量丢失的问题。
实施例二:
本发明实施例提供了一种DHCP Snooping绑定表生成的方法,参见图6,图6为本发明实施例的方法流程图,与实施例一相比,本发明实施例在实施例一102步骤之前进一步增加了设置DHCP Snooping监控网段信息的步骤,从而使得网络设备可以更精确的向DHCP服务器获取DHCP Snooping所监控的用户信息,本发明实施例包括:
402,确定DHCP Snooping监控的网段信息;
在网络设备通过命令行启动DHCP Snooping功能之前,进一步,可以设置所述DHCP Snooping所监控的网段信息,所述监控的网段信息可以提前和DHCP服务器协商,DHCP服务器只向所述网络设备分配所述监控的网段内的地址。
404,构造用于获得所述监控网段信息对应的DHCP用户信息的请求报文,并将所述请求报文发送给DHCP服务器;
用于获得DHCP用户信息的请求报文目的地址默认为0XFFFFFFFF,以广播的形式发送给所有DHCP服务器,当网络设备配置了DHCP Relay时,所述请求报文的目的地址可以为DHCP Relay配置的DHCP服务器地址,这样可以只向所述网络设备直接进行交互的DHCP服务器进行发送所述请求报文。所述请求报文可以对DHCP Inform进行扩展,该报文通过模拟用户端发送给DHCP服务器,所述扩展的DHCP Inform报文是通过对报文的选项Options部分进行扩展来表示该报文为请求获得用户信息的报文。所述DHCP Inform报文消息格式如图3所示,其中选项op字段值为1,标识报文类型为DHCP Inform。扩展的DHCP Inform请求报文Options选项格式如图7,可以包括:
1)选项类型(option type):用于标识本发明实施例所述请求及应答的交互报文。该字段长度为1字节,取值可以为128到255任一值,优选的,本发明实施例定为206。
2)长度(length):标识数据段信息数据长度。该字段长度为2字节,取值为6,标识数据段信息数据长度为6字节,其中包括:1个字节的子类型(subtype),4个字节长度的监控网段地址(ip),1个字节长度的监控网段地址掩码(ip_mask)。
3)子类型(subtype):用于标识所述报文类型的字段。该字段长度为1字节,取值为1到255任一值,优选的,本发明实施例定义为1,用于标识所述DHCP Inform报文为所述用于获得DHCP用户信息的请求报文。
4)监控网段地址(ip):用于标识DHCP Snooping所监控的网段地址。该字段长度为4字节。
5)监控网段地址掩码(ip_mask):用于标识监控网段地址ip的掩码长度。该字段长度为1个字节。
通过发送包含DHCP Snooping监控网段信息的请求报文,从而使得网络设备可以更精确的从DHCP服务器获取DHCP Snooping所监控的用户 信息,避免保存冗余的DHCP Snooping绑定表。
406,接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址;
所述从DHCP服务器接收的回应报文是DHCP服务器通过DHCPACK报文扩展生成的,所述DHCPACK报文格式如图3所示,其中选项op字段值为2,标识报文类型为DHCPACK报文。所述扩展的DHCPACK报文Options选项格式如图5,可以包括:
1)选项类型(option type):用于标识本发明实施例所述请求及应答的交互报文。该字段长度为1字节,取值可以为128到255任一值,优选的,本发明实施例定为206。
2)长度(length):标识数据段信息数据长度。该字段长度为2字节,取值为10*N+1,标识数据段信息数据长度为10*N+1字节,其中10为用户IP地址和MAC地址长度之和,N标识用户个数。
3)子类型(subtype):用于标识所述报文类型的字段。该字段长度为1字节,取值为1到255任一值,为了标识与请求报文类型的区别,优选本发明实施例定义为2,用于标识所述DHCPACK报文为对应于所述请求报文的回应报文。
4)用户A的IP地址(ip_address_A):用于标识用户A的IP地址。该字段长度为4字节。
5)用户A的MAC地址(mac_address_A):用于标识用户A的MAC地址。该字段长度为6个字节。
6)用户N的IP地址(ip_address_N):用于标识用户A的IP地址。该字段长度为4字节。
7)用户N的MAC地址(mac_address_N):用于标识用户A的MAC地址。该字段长度为6个字节。
所述DHCP服务器通过解析所述请求报文可以获得用户的网段信息,所述用户信息包含用户的IP地址、MAC地址,其中IP地址、MAC地址是DHCP Snooping绑定表的关键表项。
408,通过所述MAC地址查找MAC表获得用户虚拟局域网VLAN号和入端口号,根据所述用户IP地址、MAC地址、VLAN号及入端口号生成DHCP Snooping绑定表。
通过步骤406获得的所述用户MAC信息进一步查找MAC地址表,可以获得所述用用户的入端口号和VLAN号,进而得到了生成DHCP Snooping绑定表的所有信息,根据获得的所述用户IP地址、MAC地址、入端口号、VLAN号生成用户的DHCP Snooping绑定表。
可见,通过本发明实施提供的方法,可以为DHCP Snooping启动之前已经和DHCP服务器建立连接的用户生成DHCP Snooping绑定表,从而可以解决DHCP Snooping启动过程中由于部分用户DHCP Snooping绑定表缺失导致的用户流量丢失的问题,同时,相对于实施例一,本实施例可以精确的的从DHCP服务器获得DHCP Snooping所监控的客户信息,避免存储冗余的用户信息。
实施例三:
本发明实施例提供了一种DHCP Snooping表项生成的装置,参见图8,图8为本发明实施的装置示意图,优选的,该装置包括:报文发送单元802,报文接收单元804,报文处理单元806。
报文发送单元802,用于构造获得DHCP用户信息的请求报文,并将所述请求报文发送给DHCP服务器,所述请求报文可以通过对DHCP Inform报文扩展生成,具体扩展的报文格式可以参见本发明实施例一步骤102;
报文接收单元804,接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址,所述回应报文可以通过对DHCPACK扩 展生成,具体扩展的报文格式可以参见本发明实施例一步骤104;
报文处理单元806,通过所述MAC地址查找MAC表获得用户虚拟局域网VLAN号和入端口号,根据所述用户IP地址、MAC地址、VLAN号及入端口号生成DHCP Snooping绑定表。
进一步,所述装置还可以包括网段设置单元808,用于设置网络设备DHCP Snooping监控的网段信息,相应地,所述报文发送单元构造的获得用户信息的请求报文包含所述监控的网段信息,所述请求报文可以是对DHCP Inform报文的扩展,具体扩展的报文格式可以参见本发明实施例二步骤402。
可选的,所述装置还可以包括:报文请求单元,报文处理单元。
报文请求单元,用于构造请求报文,所述请求报文包括动态主机配置协议通告DHCP Inform报文,所述请求报文用于获得DHCP用户信息,所述用户信息包括用户IP地址、MAC地址,所述DHCP Inform报文的选项Options部分的扩展可以参见发明实施例一步骤102;
报文处理单元,用于接收针对所述请求报文的回应报文,提取所述用户信息,进一步,根据所述获得的用户信息生成DHCP Snooping绑定表,所述回应报文包括动态主机配置协议响应DHCPACK报文,并且对所述DHCPACK选项部分的扩展生成,具体扩展的报文格式可以参见本发明实施例一步骤104。
实施例四:
本发明实施例提供了一种DHCP Snooping表项生成的***,参见图9,图9为本发明实施例的***示意图,该***包括:网络设备902、DHCP服务器904。
网络设备902,用于构造获得DHCP用户信息的请求报文,并将所述请求报文发送给DHCP服务器,进一步,接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中得所述用户信息,根据所述 用户信息生成DHCP Snooping绑定表;
优选的,网络设备902包括:报文发送单元802,报文接收单元804,报文处理单元806。报文发送单元802,用于构造获得用户信息的请求报文,并将所述请求报文发送给DHCP服务器,所述请求报文可以通过对DHCP Inform报文扩展生成,具体扩展的报文格式可以参见本发明实施例一步骤102;报文接收单元804,用于接收所述DHCP服务器对应所述请求报文的回应报文,所述DHCP服务器的回应报文可以通过对DHCPACK扩展生成,具体扩展的报文格式可以参见本发明实施例一步骤104;报文处理单元806,用于提取所述回应报文中的所述用户信息,并根据所述提取的DHCP用户信息生成DHCP Snooping绑定表。
进一步,所述网络设备还可以包括网段设置单元808,用于设置网络设备DHCP Snooping监控的网段信息,相应地,所述报文发送单元构造的获得用户信息的请求报文包含所述监控的网段信息,所述请求报文可以是对DHCP Inform报文的扩展,具体扩展的报文格式可以参见本发明实施例二步骤402。
可选的,所述网络设备还可以包括:报文请求单元,报文处理单元。
报文请求单元,用于构造请求报文,所述请求报文包括动态主机配置协议通告DHCP Inform报文,所述请求报文用于获得DHCP用户信息,所述用户信息包括用户IP地址、MAC地址,所述DHCP Inform报文的选项Options部分的扩展可以参见发明实施例一步骤102;
报文处理单元,用于接收针对所述请求报文的回应报文,提取所述用户信息,进一步,根据所述获得的用户信息生成DHCP Snooping绑定表,所述回应报文包括动态主机配置协议响应DHCPACK报文,并且对所述DHCPACK选项部分的扩展生成,具体扩展的报文格式可以参见本发明实施例一步骤104。
DHCP服务器904,用于接收网络设备发送来的所述请求报文,构造 包含用户信息的回应报文,并将所述回应报文发送给网络设备。
可见,通过本发明实施提供的装置、网络设备及***,可以为DHCP Snooping启动之前已经和DHCP服务器建立连接的用户生成DHCPSnooping绑定表,从而可以解决DHCP Snooping启动过程中由于部分用户DHCP Snooping绑定表缺失导致的用户流量丢失的问题。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种动态主机配置协议监听DHCP Snooping绑定表生成的方法,其特征在于,包括:
构造用于获得DHCP用户信息的请求报文,并将所述请求报文发送给DHCP服务器;
接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址;
通过所述MAC地址查找MAC表获得用户虚拟局域网VLAN号和入端口号,根据所述用户IP地址、MAC地址、VLAN号及入端口号生成DHCP Snooping绑定表。
2.根据权利要求1所述的方法,其特征在于,所述用户信息为DHCPSnooping启动前已经与所述DHCP服务器建立连接的用户的用户信息。
3.根据权利要求1或2所述的方法,其特征在于,所述构造用于获得DHCP用户信息的请求报文之前,还包括:
确定DHCP Snooping监控的网段信息;
相应地,所述请求报文包含所述监控的网段信息,进而所述回应报文中的所述用户信息为所述监控网段内的用户信息。
4.根据权利要求1或2所述的方法,其特征在于,所述请求报文包括:
所述请求报文为动态主机配置协议通告DHCP Inform报文,所述DHCP Inform报文的选项Options部分包括:
报文类型字段,标识所述请求报文为用于获得所述用户信息的请求报文。
5.根据权利要求3所述的方法,其特征在于,所述请求报文包括:
所述请求报文为动态主机配置协议通告DHCP Inform报文,所述DHCP Inform报文的选项Options部分包括:
报文类型字段,标识所述请求报文为用于获得所述用户信息的请求报文;
网段信息字段,标识所述监控网段信息的字段。
6.根据权利要求4或5所述的方法,其特征在于,所述回应报文包括:
所述回应报文为动态主机配置协议响应DHCPACK报文,所述DHCPACK报文的选项Options部分包括:
报文类型字段,标识所述回应报文为对应所述请求报文的回应报文;
用户IP地址字段,标识所述用户IP地址的字段;
用户MAC地址字段,标识所述用户的MAC地址字段。
7.根据权利要求1-3任一权利要求所述的方法,其特征在于,所述请求报文的目的地址默认为0XFFFFFFFF,当配置了动态主机配置协议中继DHCP Relay时候,所述请求报文的目的地址为DHCP Relay配置的DHCP服务器地址。
8.一种动态主机配置协议监听DHCP Snooping绑定表生成的装置,其特征在于,所述装置包括:
报文发送单元,用于构造获得DHCP用户信息的请求报文,并将所述请求报文发送给DHCP服务器;
报文接收单元,用于接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址;
报文处理单元,用于通过所述MAC地址查找MAC表获得用户虚拟局域网VLAN号和入端口号,根据所述用户IP地址、MAC地址、VLAN号及入端口号生成DHCP Snooping绑定表。
9.根据权利要求8所述的装置,其特征在于,进一步包括:
网段确定单元,用于确定DHCP Snooping监控的网段信息,相应地,所述请求报文包含所述监控的网段信息,进而所述回应报文中的所述用户信息为所述监控网段内的用户信息。
10.一种网络设备,其特征在于,所述网络设备包括权利要求8或9所述的装置。
11.一种动态主机配置协议监听DHCP Snooping绑定表生成的***,其特征在于,包括网络设备和与网络设备进行信息交互的DHCP服务器;
所述网络设备,用于构造获得DHCP用户信息的请求报文,并将所述请求报文发送给所述DHCP服务器;接收所述DHCP服务器对应所述请求报文的回应报文,提取所述回应报文中的所述用户信息,所述用户信息包含用户网际协议IP地址、媒体接入控制MAC地址,根据所述用户信息生成DHCP Snooping绑定表;
所述DHCP服务器,用于接收所述请求报文,并构造针对所述请求报文的回应报文,所述回应报文包含了所述DHCP用户信息。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110362774.5A CN102413044B (zh) | 2011-11-16 | 2011-11-16 | 一种DHCP Snooping绑定表生成的方法、装置、设备及*** |
| EP12792507.1A EP2757743B1 (en) | 2011-11-16 | 2012-05-04 | Method, device, apparatus and system for generation of dhcp snooping binding table |
| PCT/CN2012/075059 WO2012163215A1 (zh) | 2011-11-16 | 2012-05-04 | 一种DHCPSnooping绑定表生成的方法、装置、设备及*** |
| US14/272,613 US9883010B2 (en) | 2011-11-16 | 2014-05-08 | Method, apparatus, device and system for generating DHCP snooping binding table |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110362774.5A CN102413044B (zh) | 2011-11-16 | 2011-11-16 | 一种DHCP Snooping绑定表生成的方法、装置、设备及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102413044A true CN102413044A (zh) | 2012-04-11 |
| CN102413044B CN102413044B (zh) | 2015-02-25 |
Family
ID=45914903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110362774.5A Active CN102413044B (zh) | 2011-11-16 | 2011-11-16 | 一种DHCP Snooping绑定表生成的方法、装置、设备及*** |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9883010B2 (zh) |
| EP (1) | EP2757743B1 (zh) |
| CN (1) | CN102413044B (zh) |
| WO (1) | WO2012163215A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012163215A1 (zh) * | 2011-11-16 | 2012-12-06 | 华为技术有限公司 | 一种DHCPSnooping绑定表生成的方法、装置、设备及*** |
| CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN106487742A (zh) * | 2015-08-24 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
| CN112383646A (zh) * | 2020-11-13 | 2021-02-19 | 新华三大数据技术有限公司 | 一种安全表项的配置方法、装置、sdn控制器及介质 |
| CN113973101A (zh) * | 2020-07-25 | 2022-01-25 | 华为技术有限公司 | 一种表项信息处理方法及装置 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10200342B2 (en) | 2015-07-31 | 2019-02-05 | Nicira, Inc. | Dynamic configurations based on the dynamic host configuration protocol |
| CN105592057B (zh) * | 2015-09-28 | 2018-10-09 | 新华三技术有限公司 | 轻量级双协议栈组网下的安全增强方法及装置 |
| CN106603348B (zh) * | 2017-02-14 | 2019-10-11 | 上海斐讯数据通信技术有限公司 | 一种模拟DHCP Offer泛洪的方法及*** |
| CN108667638B (zh) | 2017-03-28 | 2020-11-06 | 华为技术有限公司 | 一种网络业务配置方法及网络管理设备 |
| US11606333B1 (en) * | 2022-03-04 | 2023-03-14 | Cisco Technology, Inc. | Synchronizing dynamic host configuration protocol snoop information |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150582A (zh) * | 2007-10-22 | 2008-03-26 | 华为技术有限公司 | 分配配置信息的方法和设备 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080095114A1 (en) * | 2006-10-21 | 2008-04-24 | Toshiba America Research, Inc. | Key Caching, QoS and Multicast Extensions to Media-Independent Pre-Authentication |
| US7653063B2 (en) * | 2007-01-05 | 2010-01-26 | Cisco Technology, Inc. | Source address binding check |
| US8089967B2 (en) * | 2007-04-06 | 2012-01-03 | International Business Machines Corporation | Modification of a switching table of an internet protocol switch |
| CN100563149C (zh) * | 2007-04-25 | 2009-11-25 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
| CN101227407B (zh) * | 2008-01-25 | 2011-08-10 | 华为技术有限公司 | 基于二层隧道协议的报文发送方法及装置 |
| CN101610206B (zh) * | 2008-06-17 | 2012-04-18 | 华为技术有限公司 | 一种绑定/解绑定的处理方法、***和装置 |
| US8285875B2 (en) * | 2009-01-28 | 2012-10-09 | Juniper Networks, Inc. | Synchronizing resource bindings within computer network |
| US8918531B2 (en) * | 2009-05-07 | 2014-12-23 | Cisco Technology, Inc. | Automated network device provisioning using dynamic host configuration protocol |
| US8732281B2 (en) * | 2009-05-13 | 2014-05-20 | Cisco Technology, Inc. | Actively updating clients with selected data |
| US8380819B2 (en) * | 2009-05-14 | 2013-02-19 | Avaya Inc. | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network |
| US8509244B2 (en) * | 2009-08-14 | 2013-08-13 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for providing host node awareness for multiple NAT64 environments |
| CN102594652B (zh) * | 2011-01-13 | 2015-04-08 | 华为技术有限公司 | 一种虚拟机迁移方法、交换机、虚拟机*** |
| CN102413044B (zh) * | 2011-11-16 | 2015-02-25 | 华为技术有限公司 | 一种DHCP Snooping绑定表生成的方法、装置、设备及*** |
-
2011
- 2011-11-16 CN CN201110362774.5A patent/CN102413044B/zh active Active
-
2012
- 2012-05-04 EP EP12792507.1A patent/EP2757743B1/en active Active
- 2012-05-04 WO PCT/CN2012/075059 patent/WO2012163215A1/zh active Application Filing
-
2014
- 2014-05-08 US US14/272,613 patent/US9883010B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150582A (zh) * | 2007-10-22 | 2008-03-26 | 华为技术有限公司 | 分配配置信息的方法和设备 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012163215A1 (zh) * | 2011-11-16 | 2012-12-06 | 华为技术有限公司 | 一种DHCPSnooping绑定表生成的方法、装置、设备及*** |
| US9883010B2 (en) | 2011-11-16 | 2018-01-30 | Huawei Technologies Co., Ltd. | Method, apparatus, device and system for generating DHCP snooping binding table |
| CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN106487742A (zh) * | 2015-08-24 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
| CN106487742B (zh) * | 2015-08-24 | 2020-01-03 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
| TWI706648B (zh) * | 2015-08-24 | 2020-10-01 | 香港商阿里巴巴集團服務有限公司 | 用於驗證源位址有效性的方法及裝置 |
| CN113973101A (zh) * | 2020-07-25 | 2022-01-25 | 华为技术有限公司 | 一种表项信息处理方法及装置 |
| WO2022021939A1 (zh) * | 2020-07-25 | 2022-02-03 | 华为技术有限公司 | 一种表项信息处理方法及装置 |
| CN112383646A (zh) * | 2020-11-13 | 2021-02-19 | 新华三大数据技术有限公司 | 一种安全表项的配置方法、装置、sdn控制器及介质 |
| CN112383646B (zh) * | 2020-11-13 | 2022-04-22 | 新华三大数据技术有限公司 | 一种安全表项的配置方法、装置、sdn控制器及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2757743A4 (en) | 2015-03-25 |
| EP2757743A1 (en) | 2014-07-23 |
| US20140244733A1 (en) | 2014-08-28 |
| WO2012163215A1 (zh) | 2012-12-06 |
| CN102413044B (zh) | 2015-02-25 |
| EP2757743B1 (en) | 2016-07-06 |
| US9883010B2 (en) | 2018-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102413044A (zh) | 一种DHCP Snooping绑定表生成的方法、装置、设备及*** | |
| CN101106512B (zh) | 一种QinQ终结配置的处理方法和设备 | |
| CN101427523B (zh) | 一种业务绑定的方法和设备 | |
| CN106559292A (zh) | 一种宽带接入方法和装置 | |
| CN102710811B (zh) | 实现dhcp地址安全分配的方法和交换机 | |
| CN101453495A (zh) | 防止授权地址解析协议信息丢失的方法、***和设备 | |
| CN102035899B (zh) | 基于IPv6的局域网内的地址确定方法与装置 | |
| CN102098278B (zh) | 用户接入方法、***及接入服务器、接入设备 | |
| CN101179515B (zh) | 一种抑制黑洞路由的方法和装置 | |
| CN107995321A (zh) | 一种vpn客户端代理dns的方法及装置 | |
| CN108418907A (zh) | Ip地址分配方法及装置 | |
| US8903998B2 (en) | Apparatus and method for monitoring web application telecommunication data by user | |
| CN101729314A (zh) | 动态表项的回收方法、装置及动态主机分配协议侦听设备 | |
| CN104283783A (zh) | 一种即插即用网络中网关设备转发报文的方法和装置 | |
| CN104782105B (zh) | 用于恢复丢失的路由信息的方法、数据路由装置及介质 | |
| CN103401706B (zh) | 一种配置端口安全的方法及装置 | |
| CN107911496A (zh) | 一种vpn服务端代理dns的方法及装置 | |
| CN105049546A (zh) | 一种dhcp服务器为客户端分配ip地址的方法及装置 | |
| CN104219337A (zh) | 应用于sdn中的ip地址分配方法和设备 | |
| CN106231003B (zh) | 一种地址分配方法及装置 | |
| CN103179224B (zh) | 一种ip地址配置的方法、客户端及服务器 | |
| CN107682226A (zh) | Nat板的监控方法及装置 | |
| CN110691012B (zh) | 一种报文处理方法和测试仪 | |
| CN106375489B (zh) | 媒体访问控制mac地址的处理方法及装置 | |
| CN102143050A (zh) | 用于IPv6网络的网络连接处理方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |