CN103095722A - 一种更新网络安全表的方法及网络设备、dhcp服务器 - Google Patents
一种更新网络安全表的方法及网络设备、dhcp服务器 Download PDFInfo
- Publication number
- CN103095722A CN103095722A CN2013100415946A CN201310041594A CN103095722A CN 103095722 A CN103095722 A CN 103095722A CN 2013100415946 A CN2013100415946 A CN 2013100415946A CN 201310041594 A CN201310041594 A CN 201310041594A CN 103095722 A CN103095722 A CN 103095722A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- address
- dhcp
- request message
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种更新网络安全表的方法及网络设备、DHCP服务器。当虚拟机迁入网络设备的管理域下时,网络设备解析接收到的来自虚拟机的第一请求报文,获得虚拟机的IP地址和MAC地址;当网络设备的网络安全表中不存在包含该IP地址和MAC地址的安全表项时,网络设备向DHCP服务器发送根据该IP地址和MAC地址生成的第二请求报文,以使DHCP服务器发起与虚拟机间的强制通信;网络设备监听DHCP服务器与虚拟机间的交互的报文,获取虚拟机的安全表项;根据该安全表项更新网络安全表。通过上述方式,本发明既保障了虚拟机迁入网络设备的管理域下时,虚拟机能够正常访问网络,又保障了网络安全表的可靠性,进而保障网络安全。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种更新网络安全表的方法及网络设备、DHCP(Dynamic Host Configuration Protocol,动态主机设置协议)服务器。
背景技术
虚拟机指通过软件模拟的具有完整硬件***功能的、运行在一个完全隔离环境中的完整计算机***。目前,人们常常通过虚拟机向用户提供服务。由于虚拟机必须运行在物理服务器上,随着物理服务器上加载的虚拟机越来越多,负载越来越大,有必要对物理服务器进行负载分担,或者,对物理服务器上的数据进行备份。在对物理服务器进行负载分担或者数据备份时,需要把运行于一个物理服务器上的虚拟机迁移到另一个物理服务器上,以保持服务不中断。
请参阅图1,图1是现有网络***中虚拟机的迁移过程示意图。数据中心10包括路由器101、第一交换机102、第二交换机103、第一服务器104、第二服务器105和虚拟机106。第一交换机102分别连接第一服务器104和路由器101,第二交换机103分别连接第二服务器105和路由器101。虚拟机106原先运行在第一服务器104上。通常情况下,为了保障数据中心10的安全,会使能第一交换机102和第二交换机103的DHCP Snooping Defend(动态主机设置协议防欺骗攻击)及相关的IP/ARP(Internet Protocol/Address Resolution Protocol,因特网协议/地址解析协议)安全功能,DHCP Snooping Defend和IP/ARP安全功能均依赖于DHCP防欺骗绑定表。DHCP防欺骗绑定表是交换机通过监听虚拟机与DHCP服务器间交互的DHCP报文建立的。为了减轻第一交换机104的负载或者备份数据,需要把虚拟机106从第一服务器104迁移到第二服务器105。由于第一服务器104与第二服务器105不在同一网段,第二交换机中的DHCP防欺骗绑定表中没有虚拟机104的安全表项相应的表项,从而造成第二交换机103在收到来自虚拟机106的报文,认为该报文为非法报文,而将该报文丢弃,导致虚拟机106没法提供服务。
现有技术中,为了使虚拟机106迁移到第二服务器105后,虚拟机106依然能够提供服务,通常情况,不使能第二交换机103的DHCPSnooping Defend和IP/ARP安全功能。第二交换机103接收来自虚拟机106的ARP请求报文,从ARP请求报文中获取虚拟机106的IP地址和MAC地址后,根据IP地址和MAC地址生成ARP安全表项,以ARP安全表替代DHCP防欺骗绑定表。
然而,本申请发明人在长期研发中发现,ARP请求报文很容易冒仿,若大量冒仿的ARP请求报文发向第二交换机103时,无效IP地址和MAC地址会填满ARP安全表,使得合法报文无法通过第二交换机103,进而使得虚拟机106没法正常访问网络。
发明内容
本发明主要解决的技术问题是提供一种更新网络安全表的方法及DHCP服务器、网络设备,既保障了在虚拟机迁入网络设备的管理域下时,虚拟机能够正常访问网络,又保障了网络设备中的网络安全表的可靠性,进而保障网络安全。
本发明第一方面,提供一种更新网络安全表的方法,包括当虚拟机迁入网络设备的管理域下时,网络设备解析接收到的来自虚拟机的第一请报文,获得虚拟机的因特网协议IP地址和媒体访问控制MAC地址;网络设备查询网络安全表中是否存在该IP地址和该MAC地址的安全表项;若网络安全表不存在该IP地址和该MAC地址,则网络设备根据该IP地址和该MAC地址生成第二请求报文;网络设备向动态主机设置协议DHCP服务器发送第二请求报文,以使DHCP服务器发起与虚拟机间的强制通信;网络设备监听DHCP服务器与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据DHCP请求报文或者DHCP确认报文获取虚拟机的安全表项,安全表项包括虚拟机的IP地址和MAC地址;网络设备根据安全表项更新网络安全表。
结全第一方面实现方式,在第一方面的第一种可能实现方式中,网络设备根据安全表项更新网络安全表的步骤包括:网络设备将安全表项写入网络安全表中。
结合第一方面实现方式或者第一方面的第一种可能实现方式,在第一方面的第二种可能实现方式中,第一请求报文为地址解析协议ARP请求报文。
结合第一方面实现方式或者第一方面的第一种可能实现方式或者第一方面的第二种可能实现方式,在第一方面的第三种可能实现方式中,第二请求报文为扩展的DHCP通知报文,其中,扩展的DHCP通知报文携带虚拟机的IP地址、MAC地址以及请求DHCP服务器发起与虚拟机间的强制通信的标记。
结合第一方面实现方式或者第一方面的第一种可能实现方式或者第一方面的第二种可能实现方式或者第一方面的第三种可能实现方式,在第一方面的第四种可能实现方式中,网络安全表为DHCP防欺骗绑定表;安全表项还包括虚拟机所在的局域网的标识和接入端口。
本发明第二方面,提供一种更新网络安全表的方法,包括:动态主机设置协议DHCP服务器接收来自网络设备的请求报文,请求报文用于请求DHCP服务器发起与虚拟机间的强制通信;DHCP服务器解析所述请求报文,获得虚拟机的因特网协议IP地址和媒体访问控制MAC地址;DHCP服务器根据虚拟机的IP地址和MAC地址向虚拟机发起强制通信,以使网络设备能够通过监听DHCP服务器与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据DHCP请求报文或者DHCP确认报文获得虚拟机的安全表项,以及根据该安全表项更新网络安全表,其中,该安全表项包括虚拟机的IP地址和MAC地址。
结合第二方面实现方式,在第二方面的第一种可能实现方式中,DHCP请求报文为IP地址续租请求报文,DHCP确认报文为IP地址续租确认报文;DHCP服务器向虚拟机发起强制通信包括:DHCP服务器向虚拟机发送强制续租报文;DHCP服务器接收虚拟机根据强制续租报文发送的IP地址续租请求报文;DHCP服务器根据IP地址续租请求报文为虚拟机续租IP地址后,向虚拟机返回IP地址续租确认报文。
结合第二方面实现方式,在第二方面的第二种可能实现方式中,DHCP请求报文为IP地址请求报文,DHCP确认报文为IP地址分配确认报文;DHCP服务器向虚拟机发起强制通信包括:DHCP服务器向虚拟机发送强制重新申请IP地址报文;DHCP服务器接收虚拟机根据强制重新申请IP地址报文发送的IP地址请求报文;DHCP服务器根据IP地址请求报文,为虚拟机分配好IP地址后,向虚拟机发送IP地址分配确认报文。
结合第二方面实现方式或者第二方面的第一种可能实现方式或者第二方面的第二种可能实现方式,在第二方面的第三种可能实现方式中,请求报文为扩展的DHCP通知报文,其中,扩展的DHCP通知报文携带虚拟机的IP地址、MAC地址以及请求DHCP服务器发起与虚拟机间的强制通信的标记。
结合第二方面实现方式或者第二方面的第一种可能实现方式或者第二方面的第二种可能实现方式或者第二方面的第三种可能实现方式,在第二方面的第四种可能实现方式中,网络安全表为DHCP防欺骗绑定表;安全表项还包括虚拟机所在的局域网标识和接入端口。
本发明第三方面,提供一种网络设备,包括:接收模块,用于当虚拟机迁入网络设备的管理域下时,接收来自虚拟机的第一请求报文,第一请求报文携带虚拟机的因特网协议IP地址和媒体访问控制MAC地址;解析模块,用于解析第一请求报文,获得虚拟机的IP地址和MAC地址;查询模块,用于查询网络安全表中是否存在包含该IP地址和MAC地址的安全表项;生成模块,用于在网络安全表中不存在该安全表项时,根据该IP地址和MAC地址生成第二请求报文;发送模块,用于向动态主机设置协议DHCP服务器发送第二请求报文,以使DHCP服务器发起与虚拟机间的强制通信;监听获取模块,用于监听DHCP服务器与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据DHCP请求报文或者DHCP确认报文获取虚拟机的安全表项,安全表项包括虚拟机的IP地址和MAC地址;更新模块,用于根据虚拟机的安全表项更新网络安全表。
结合第三方面实现方式,在第三方面的第一种可能实现方式中,更新模块具体用于将安全表项写入网络安全表中。
结合第三方面实现方式或者第三方面的第一种可能实现方式,在第三方面的第二种可能实现方式中,第一请求报文为地址解析协议ARP请求报文。
结合第三方面实现方式或者第三方面的第一种可能实现方式或者第三方面的第二种可能实现方式,在第三方面的第三种可能实现方式中,第二请求报文为扩展的DHCP通知报文,其中,扩展的DHCP通知报文携带虚拟机的IP地址、MAC地址以及请求DHCP服务器发起与虚拟机间的强制通信的标记。
结合第三方面实现方式或者第三方面的第一种可能实现方式或者第三方面的第二种可能实现方式或者第三方面的第三种可能实现方式,在第三方面的第四种可能实现方式中,网络安全表为DHCP防欺骗绑定表;安全表项还包括虚拟机所在的局域网标识和接入端口。
本发明第四方面,提供一种DHCP服务器,包括:接收模块,用于接收来自网络设备的请求报文,所述请求报文用于请求DHCP服务器发起与虚拟机间的强制通信;解析模块,用于解析请求报文,获得虚拟机的IP地址和MAC地址;通信模块,用于根据虚拟机的IP地址和MAC地址向虚拟机发起强制通信,以使网络设备能够通过监听DHCP服务器与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据DHCP请求报文或者DHCP确认报文获得虚拟机的安全表项,以及根据安全表项更新网络安全表,其中,安全表项包括虚拟机的IP地址和MAC地址。
结合第四方面实现方式,在第四方面的第一种可能实现方式中,DHCP请求报文为IP地址续租请求报文,DHCP确认报文为IP地址续租确认报文;通信模块包括第一发送单元、第一接收单元、续租单元和第二发送单元;第一发送单元,用于向虚拟机发送强制续租报文;第一接收单元,用于接收虚拟机根据强制续租报文发送的IP地址续租请求报文;续租单元,用于根据IP地址续租请求报文为虚拟机续租IP地址;第二发送单元,用于在为虚拟机续租IP地址完成后,向虚拟机发送IP地址续租确认报文。
结合第四方面实现方式,在第四方面的第二种可能实现方式中,DHCP请求报文为IP地址请求报文,DHCP确认报文为IP地址分配确认报文;通信模块包括第三发送单元、第二接收单元、配置单元和第四发送单元;第三发送单元,用于向虚拟机发送强制重新申请IP地址报文;第二接收单元,用于接收虚拟机根据所述强制重新申请IP地址报文发送的IP地址请求报文;配置单元,用于根据IP地址请求报文,重新为虚拟机分配IP地址;第四发送单元,用于在为虚拟机分配IP地址完成后,向虚拟机发送IP地址分配确认报文。
结合第四方面实现方式或者第四方面的第一种可能实现方式或者第四方面的第二种可能实现方式,在第四方面的第三种可能实现方式中,请求报文为扩展的DHCP通知报文,其中,扩展的DHCP通知报文携带虚拟机的IP地址、MAC地址以及请求DHCP服务器发起与所述虚拟机间的强制通信的标记。
结合第四方面实现方式或者第四方面的第一种可能实现方式或者第四方面的第二种可能实现方式或者第四方面的第三种可能实现方式,在第四方面的第四种可能实现方式中,网络安全表为DHCP防欺骗绑定表;安全表项还包括虚拟机所在的局域网标识和接入端口。
本发明实施方式的有益效果是:网络设备检测到网终安全表中不存在网络设备的管理域下的虚拟机的安全表项时,网络设备向DHCP服务器发送第二请求报文,以使DHCP服务器发起与虚拟机间的强制通信。由于虚拟机与DHCP服务器间的通信模式是客户端与服务器通信,DHCP服务器起到验证虚拟机的合法性的作用。网络设备通过监听虚拟机与DHCP服务器间的通信过程,获得虚拟机的安全表项,并将该安全表项写入网络安全表中,既保障了当虚拟机迁入新的网络设备的管理域下时,虚拟机能够正常访问网络,又保障了网络安全表的可靠性,进而保障网络安全。
附图说明
为了更清楚地说明本发明实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有网络***中虚拟机的迁移过程示意图;
图2是本发明网络***实施方式的结构示意图;
图3是本发明更新网络安全表的方法第一实施方式的流程图;
图4是本发明更新网络安全表的方法第二实施方式的流程图;
图5是本发明更新网络安全表的方法第二实施方式中强制续租通信的流程图;
图6是本发明更新网络安全表的方法第二实施方式中强制重新申请IP地址通信的流程图;
图7是本发明网络设备第一实施方式的结构示意图;
图8是本发明网络设备第二实施方式的结构示意图;
图9是本发明DHCP服务器第一实施方式的结构示意图;
图10是本发明DHCP服务器第二实施方式的结构示意图。
具体实施方式
请参阅图2,图2是本发明网络***实施方式的结构示意图。如图所示,网络***20包括第一网络设备21、第二网络设备22、第一服务器25、第二服务器26和DHCP服务器24。
第一服务器25通过第一网络设备21访问网络。第一服务器25上最初运行有虚拟机23。第二服务器26通过第二网络设备22访问网络。其中,第一网络设备21和第二网络设备22均使能了网络安全功能,即:根据网络安全表过滤非法报文。第一网络设备21的网络安全表中存储有虚拟机23的安全表项,因此,虚拟机23能够通过第一网络设备21访问网络。
为了减轻第一服务器25的负载或者备份数据,虚拟机23从第一服务器25迁移至第二服务器26。由于第一服务器25与第二服务器26不在同一个网段,所以第二网络设备22的网络安全表中未存储有虚拟机23的安全表项,但此时虚拟机23位于第二网络设备22的管理域下,虚拟机23与网络交互的报文均需要通过第二网络设备22转发。
第二网络设备22接收到虚拟机23的第一请求报文后,解析第一请求报文,获得虚拟机23的IP地址和MAC地址。第一请求报文的内容在下文会详细说明。第二网络设备22查询网络安全表中是否存在包含该IP地址和该MAC地址的安全表项,若不存在所述安全表项,第二网络设备根据该IP地址和该MAC地址生成第二请求报文,并向DHCP服务器24发送第二请求报文。所述第二请求报文的内容在下文会详细说明。DHCP服务器24接收到该第二请求报文后,发起与虚拟机23间的强制通信。此时,虚拟机23位于第二网络设备22的管理域下,因此,虚拟机23与DHCP服务器24交互的报文必定经过第二网络设备22。第二网络设备22监听DHCP服务器24与虚拟机间的强制通信过程中交互的报文,获取到虚拟机23的安全表项,该安全表项包括虚拟机23的IP地址和MAC地址,并且第二网络设备22把虚拟机23的安全表项写入网络安全表。
第二网络设备22的网络安全表存储有虚拟机23的安全表项后,虚拟机23能够通过第二网络设备22正常访问网络。由于虚拟机23的安全表项是由第二网络设备22通过监听DHCP服务器24与虚拟机23间的强制通信过程获得的,而DHCP服务器24与虚拟机23间的通信为客户端服务器模式通信,只有合法的虚拟机才能够与DHCP服务器24进行通信,从而保障获得的虚拟机23的安全表项的合法性,进而保障了网络安全表的可靠性。
在本发明实施方式中,第二网络设备22确定网终安全表中不存在包含虚拟机23的安全表项时,第二网络设备22向DHCP服务器24发送第二请求报文,以使DHCP服务器24发起与虚拟机23间的强制通信。而虚拟机23与DHCP服务器24间的通信模式是客户端服务器通信模式,起到验证虚拟机23的合法性的作用。而第二网络设备22通过监听虚拟机23与DHCP服务器24间的强制通信过程交互的报文,获得合法的虚拟机23的安全表项,网络设备将合法的虚拟机23的安全表项写入网终安全表,既保障了虚拟机23迁入第二网络设备22的管理域下时,虚拟机23能够正常访问网络,又保障网络安全表的可靠性,进而保障网络安全。
请参阅图3,图3是本发明更新网络安全表的方法第一实施方式的流程图。如图所示,所述方法包括:
步骤S301:当虚拟机迁入网络设备的管理域下时,网络设备解析接收到的来自虚拟机的第一请求报文,获得虚拟机的IP地址和MAC地址。
网络设备用于实现虚拟机与网络的互连,其中,网络设备包括交换机、路由器等等。第一请求报文为虚拟机向网络请求内容时,发送的报文,在本发明实施方式中,第一请求报文为ARP请求报文,用于向网络请求与虚拟机进行通信的对端虚拟机的MAC地址。IP地址为网络为虚拟机分配的地址,MAC地址为虚拟机本机的地址。
步骤S302:网络设备查询网络安全表中是否存在包含该IP地址和MAC地址的安全表项,若网络安全表不存在所述安全表项,则进入步骤S304,否则,进入步骤S303。
网络安全表中存储了合法虚拟机的安全表项,安全表项包括IP地址和MAC地址等信息,网络设备根据网络安全表过滤非法虚拟机的报文,从而保障网络的安全。
步骤S303:网络设备转发第一请求报文。
若网络安全表存在包含该IP地址和MAC地址的安全表项,则说明网络安全表已经存储了该虚拟机的安全表项,或者说明虚拟机为合法的虚拟机,网络设备可信任该虚拟机发送的报文,因此直接转发该第一请求报文即可。
步骤S304:网络设备根据该IP地址和MAC地址生成第二请求报文,并向DHCP服务器发送第二请求报文,以使DHCP服务器发起与虚拟机间的强制通信。
DHCP服务器用于管理IP地址的分配和IP地址的续租。虚拟机需要访问网络时,先登录DHCP服务器,DHCP服务器为虚拟机分配好IP地址后,虚拟机才能够正常访问网络。
第二请求报文用于请求DHCP服务器发起与虚拟机间的强制通信,在本发明实施方式中,第二请求报文可为扩展的DHCP通知报文,扩展的DHCP通知报文携带虚拟机的IP地址和MAC地址以及请求DHCP服务器发起与虚拟机间的强制通信的标记。其中,一种扩展的DHCP通知报文格式如下:
虚拟机的IP地址封装于Ciaddr字段,虚拟机的MAC地址封装于Chaddr字段,其中,Ciaddr字段和Chaddr字段为标准DHCP通知报文中的客户端的IP地址字段和MAC地址字段,Options字段采用新的定义格式,并且Options字段携带有请求DHCP服务器发起与虚拟机间的强制通信的标记,其他字段为DHCP标准字段,保持不变。
Options(variable)字段的新定义格式如下:
| Code | Len | Tag |
Code值为55(原DHCP协议就已经支持),Len值表示后续的Tag字节的长度,Tag为标志值,在本发明实施方式中,Tag可选为213。当DHCP服务器收到Options中Code值55,Tag值为213的DHCP通知报文时,DHCP服务器发起与虚拟机间的强制通信,比如:DHCP服务器向虚拟机发送强制续租报文,使得虚拟机与DHCP服务器间进行续租通信。
步骤S305:网络设备监听DHCP服务器与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据所述DHCP请求报文或者DHCP确认报文获取包含所述虚拟机的IP地址和MAC地址的安全表项。
虚拟机位于网终设备的管理域下,因此,虚拟机与DHCP服务器间通信过程中交互的报文,必须要经网终设备转发。网终设备可根据交互的DHCP请求报文或者DHCP确认报文获取虚拟机的安全表项。本发明实施方式中,网络安全表为DHCP防欺骗绑定表,所述虚拟机的安全表项包括虚拟机的IP地址和MAC地址,还可以进一步包括所述虚拟机所在的局域网标识和接入端口。
步骤S306:网络设备根据虚拟机的安全表项更新网络安全表。
网络安全表记录虚拟机的安全表项后,来自虚拟机的报文才能够通过网络设备。在本发明实施方式中,网络设备根据虚拟机的安全表项更新网络安全表的一种具体实施方式为:网络设备将虚拟机的安全表项写入网络安全表中。
在本发明实施方式中,若网终安全表中不存在虚拟机的安全表项时,网络设备向DHCP服务器发送第二请求报文,以使DHCP服务器发起与虚拟机间的强制通信。由于虚拟机与DHCP服务器间的通信模式是客户端与服务器通信,若虚拟机为合法终端,DHCP服务器才能够与虚拟机进行通信,起到验证虚拟机的合法性的作用。而网络设备通过监听虚拟机与DHCP服务器间通信过程交互的报文,获得合法的虚拟机的安全表项,网络设备将合法的虚拟机的安全表项写入网终安全表,既保障了虚拟机迁入新的网络设备的管理域下时,虚拟机能够正常访问网络,又保障了网络安全表的可靠性,进而保障网络安全。
请参阅图4,图4是本发明更新网络安全表的方法第二实施方式的流程图。如图所示,所述方法包括:
步骤S401:DHCP服务器接收来自网络设备的请求报文,请求报文用于请求DHCP服务器发起与虚拟机间的强制通信。
DHCP服务器用于管理IP地址的分配和IP地址的续租。网络设备用于实现虚拟机与网络的互连。
其中,所述请求报文携带虚拟机的IP地址、MAC地址以及请求DHCP服务器发起与虚拟机间的强制通信的标记。在本发明实施方式中,请求报文为扩展的DHCP通知报文,扩展的DHCP通知报文的格式可参阅本发明更新网络安全表的方法第一实施方式中的描述,以处不再一一赘述。
步骤S402:DHCP解析所述请求报文,获得虚拟机的IP地址和MAC地址。
IP地址为网络为虚拟机分配的地址,MAC地址为虚拟机本机的地址。
步骤S403:DHCP服务器根据虚拟机的IP地址和MAC地址向虚拟机发起强制通信,以使网络设备能够通过监听DHCP服务器与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据DHCP请求报文或者DHCP确认报文中获得虚拟机的安全表项,以及根据所述安全表项更新网络安全表,其中,安全表项包括虚拟机的IP地址和MAC地址。
在本发明实施方式中,网络安全表可为DHCP防欺骗绑定表,安全表项还包括虚拟机所在的局域网标识和接入端口;网络设备根据安全表项更新网络安全表的方法可具体为:网络设备将安全表项写入网络安全表。
由于虚拟机位于网络设备的管理域下,因此,DHCP服务器与虚拟机间交互的报文均需要经网络设备转发,则网络设备能够监听DHCP服务器与虚拟机间交互的DHCP报文,并根据DHCP报文获得虚拟机的安全表项。
在一种实现中,DHCP请求报文为IP地址续租请求报文,DHCP确认报文为IP地址续租确认报文,DHCP服务器发起与虚拟机间的强制通信可为强制续租IP地址通信。如图5所示,强制续租IP地址通信过程包括以下步骤:
S4031:DHCP服务器向虚拟机发送强制续租报文。
S4032:DHCP服务器接收虚拟机根据强制续租报文发送的IP地址续租请求报文。
S4033:DHCP服务器根据IP地址续租请求报文为虚拟机续租IP地址后,向虚拟机返回IP地址续租确认报文。
在另一种实现中,DHCP请求报文为IP地址请求报文,DHCP确认报文为IP地址分配确认报文,DHCP服务器向虚拟机发起强制通信可为强制重新申IP地址通信。如图6所示,强制重新申请IP地址通信过程包括以下步骤:
S4041:DHCP服务器向虚拟机发送强制重新申请IP地址报文。
S4042:DHCP服务器接收虚拟机根据强制重新申请IP地址报文发送的IP地址请求报文。
值得注意的是:虚拟机接收DHCP服务器的强制重新申IP地址请求报文后,会丢弃原IP地址。
S4043:DHCP服务器根据IP地址请求报文,为虚拟机分配IP地址后,向虚拟机发送IP地址分配确认报文。
在本发明实施方式中,DHCP服务器接收网络设备的请求报文后,发起与请求报文中所携带虚拟机的IP地址和MAC地址间的强制通信。而虚拟机与DHCP服务器间的通信模式是客户端与服务器通信,若虚拟机为合法终端,DHCP服务器才能够与虚拟机进行通信,起到验证虚拟机的合法性的作用。而网络设备通过监听虚拟机与DHCP服务器间的通信过程,获得合法的虚拟机的安全表项,网络设备将合法的虚拟机的安全表项写入网终安全表,既保障了虚拟机迁入网络设备的管理域下时,虚拟机能够正常访问网络,又保障了网络安全表的可靠性,进而保障网络安全。
请参阅图7,图7是本发明网络设备第一实施方式的结构示意图。如图所示,网络设备50包括接收模块501、解析模块502、查询模块503、生成模块504、发送模块505、监听获取模块506和更新模块507。
接收模块501接收来自虚拟机的第一请求报文,其中,第一请求报文携带虚拟机的IP地址和MAC地址。在本发明实施方式中,第一请求报文为ARP请求报文。解析模块502解析第一请求报文,获得虚拟机的IP地址和MAC地址。
查询模块503查询网络安全表中是否存在包含所述IP地址和MAC地址的安全表项。若查询到网络安全表中不存在所述安全表项时,生成模块504根据所述IP地址和MAC地址生成第二请求报文。其中,第二请求报文用于请求DHCP服务器发起与虚拟机间的强制通信。在本发明实施方式中,第二请求报文为扩展的DHCP通知报文,扩展的DHCP通知报文携带虚拟机的IP地址、MAC地址以及请求DHCP服务器发起与虚拟机间的强制通信的标记,其中,扩展的DHCP通知报文的格式可参阅更新网络设备的方法第一实施方式中的描述,此处不再一一赘述。
发送模块505向DHCP服务器发送第二请求报文。DHCP服务器接收第二请求报文后,发起与虚拟机间的强制通信。监听获取模块506监听DHCP服务器与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据DHCP请求报文或者DHCP确认报文获取虚拟机的安全表项,安全表项包括虚拟机的IP地址和MAC地址。DHCP服务器发起与虚拟机间的强制通信可以为强制续租通信或者强制重新申请IP地址通信。更新模块507根据所述安全表项更新网络安全表。其中,更新模块507根据所述安全表项更新网络安全表的一种具体实现为:更新模块507将所述安全表项写入网络安表中。网络安全表用于过滤非法报文,在本发明实施方式中,网络安全表为DHCP防欺骗绑定表,安全表项还包括虚拟机所在的局域网标识和接入端口。网络设备50还包括转发模块508,用于在查询模块503查询到网络安全表中存在虚拟机的安全表项时,直接转发第一请求报文。
在本发明实施方式中,网络设备50查询到网终安全表中不存在包含虚拟机的安全表项时,网络设备50向DHCP服务器发送第二请求报文,以使DHCP服务器发起与虚拟机间的强制通信。虚拟机与DHCP服务器间的通信模式是客户端与服务器通信,若虚拟机为合法终端,DHCP服务器才能够与虚拟机进行通信,起到验证虚拟机的合法性的作用。网络设备50通过监听虚拟机与DHCP服务器间的通信过程,获得合法的虚拟机的安全表项,网络设备50将合法的虚拟机的安全表项写入网终安全表,既保障了当虚拟机迁入网络设备50的管理域下时,虚拟机能够正常访问网络,又保障网络安全表的可靠性,进而保障网络安全。
请参阅图8,图8是本发明网络设备第二实施方式的结构示意图。如图所示,网络设备60包括处理器601、存储器602、网络接口603和总线604。处理器601、存储器602和网络接口603均与总线604连接。
处理器601用于解析接收到的来自虚拟机的第一请求报文,获得虚拟机的IP地址和MAC地址;查询网络安全表中是否存在包含该IP地址和该MAC地址的安全表项;若网络安全表不存所述安全表项时,则根据该IP地址和该MAC地址生成第二请求报文;通过网络接口603向DHCP服务器发送第二请求报文,以使DHCP服务器发起与虚拟机间的强制通信;监听DHCP服务器与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据DHCP请求报文或者DHCP确认报文获取虚拟机的安全表项,安全表项包括虚拟机的IP地址和MAC地址;根据虚拟机的安全表项更新网络安全表。
其中,处理器601执行的上述处理过程通常是由一段程序控制完成,程序存放于存储器602中,当需要进行上述动作时,将程序调入处理器601,由处理器601控制完成。当然,上述处理过程还可以是由硬件完成。
请参阅图9,图9是本发明DHCP服务器第一实施方式的结构示意图。如图所示,DHCP服务器70包括接收模块701、解析模块702和通信模块703。
接收模块701接收来自网络设备的请求报文。请求报文为网络设备解析接收到的来自其管理域下的虚拟机的报文,获得虚拟机的IP地址和MAC地址,并查询到网络安全表中不存包含该IP地址和MAC地址的安全表项时,向DHCP服务器70发送的用于请求DHCP服务器发起与虚拟机间的强制通信的报文。在本发明实施方式中,请求报文为扩展的DHCP请求报文,扩展的DHCP通知报文携带虚拟机的IP地址、MAC地址以及请求DHCP服务器发起与虚拟机间的强制通信的标记,其中,扩展的DHCP请求报文的格式可参阅更新网络安全表的方法第一实施方式中的描述,此处不再一一赘述。
解析模块702解析请求报文,获得虚拟机的IP地址和MAC地址。通信模块703根据虚拟机的IP地址和MAC地址向虚拟机发起强制通信,以使网络设备能够通过监听DHCP服务器70与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据DHCP请求报文或者DHCP确认报文获得虚拟机的安全表项,以及根据该安全表项更新网络安全表。在本发明实施方式中,DHCP防欺骗绑定表,安全表项包括虚拟机的IP地址、MAC地址,虚拟机所在的局域网标识和接入端口。
在一种实现中,通信模块703发起与虚拟机间的强制通信可为强制续租通信,则DHCP请求报文为IP地址续租请求报文,DHCP确认报文为IP地址续租确认报文,通信模块703包括第一发送单元7031、第一接收单元7032、续租单元7033和第二发送单元7034。
第一发送单元7031向虚拟机发送强制续租报文。第一接收单元7032接收虚拟机根据强制续租报文发送的IP地址续租请求报文。续租单元7033根据IP地址续租请求报文为虚拟机续租IP地址。在续租单元7033完成虚拟机的IP地址续租后,第二发送单元7034向虚拟机发送IP地址续租确认报文。
在另一种实现中,通信模块703发起与虚拟机间的强制通信为强制重新申请IP地址通信,则DHCP请求报文为IP地址请求报文,DHCP确认报文为IP地址分配确认报文,通信模块703又可包括第三发送单元(图中未示出)、第二接收单元(图中未示出)、配置单元(图中未示出)和第四发送单元(图中未示出)。
第三发送单元向虚拟机发送强制重新申请IP地址报文。第二接收单元接收虚拟机根据强制重新申请IP地址报文发送的IP地址请求报文。其中,虚拟机接收强制重新申请IP地址报文后,会丢弃原IP地址。配置单元根据IP地址请求报文,重新为虚拟机分配IP地址。第四发送单元在为虚拟机分配IP地址完成后,向虚拟机发送IP地址分配确认报文。
在本发明实施方式中,解析模块701解析接收到的请求报文,获得虚拟机的IP地址和MAC地址,通信模块703发起与虚拟机间的强制通信。虚拟机与DHCP服务器70间的通信模式是客户端与服务器通信,只有虚拟机为合法终端时,DHCP服务器70才能够与虚拟机进行通信,起到验证虚拟机的合法性的作用。网络设备通过监听虚拟机与DHCP服务器70间的通信过程,获得合法的虚拟机的安全表项,网络设备将合法的虚拟机的安全表项写入网终安全表,既保障了虚拟机迁入网络设备的管理域下时,虚拟机能够正常访问网络,又保障网络安全表的可靠性,进而保障网络安全。
请参阅图10,图10是本发明DHCP服务器第二实施方式的结构示意图。如图所示,DHCP服务器80包括处理器801、存储器802、网络接口803和总线804。处理器801、存储器802和网络接口803均与总线804连接。
处理器801通过网络接口803接收来自网络设备的请求报文,解析请求报文,获得虚拟机的IP地址和MAC地址;根据虚拟机的IP地址和MAC地址向虚拟机发起强制通信,以使网络设备能够通过监听DHCP服务器80与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据DHCP请求报文或者DHCP确认报文获得虚拟机的安全表项,以及根据所述安全表项更新网络安全表,其中,安全表项包括虚拟机的IP地址和MAC地址。
其中,处理器801执行的上述处理过程通常是由一段程序控制完成,程序存放于存储器802中,当需要进行上述动作时,将程序调入处理器801,由处理器801控制完成。当然,上述处理过程还可以是由硬件完成。
以上所述仅为本发明的实施方式,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (20)
1.一种更新网络安全表的方法,其特征在于,所述方法包括:
当虚拟机迁入网络设备的管理域下时,所述网络设备解析接收到的来自所述虚拟机的第一请求报文,获得所述虚拟机的因特网协议IP地址和媒体访问控制MAC地址;
所述网络设备查询网络安全表中是否存在包含所述IP地址和所述MAC地址的安全表项;
若所述网络安全表不存在所述IP地址和所述MAC地址的安全表项,则所述网络设备根据所述IP地址和所述MAC地址生成第二请求报文;
所述网络设备向动态主机设置协议DHCP服务器发送所述第二请求报文,以使所述DHCP服务器发起与所述虚拟机间的强制通信;
所述网络设备监听所述DHCP服务器与所述虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据所述DHCP请求报文或者所述DHCP确认报文获取所述虚拟机的安全表项,所述安全表项包括所述虚拟机的IP地址和MAC地址;
所述网络设备根据所述安全表项更新所述网络安全表。
2.根据权利要求1所述的方法,其特征在于,所述网络设备根据所述安全表项更新所述网络安全表的步骤包括:
所述网络设备将所述安全表项写入所述网络安全表中。
3.根据权利要求1或者2所述的方法,其特征在于,
所述第一请求报文为地址解析协议ARP请求报文。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,
所述第二请求报文为扩展的DHCP通知报文,其中,所述扩展的DHCP通知报文携带所述虚拟机的IP地址、MAC地址以及请求所述DHCP服务器发起与所述虚拟机间的强制通信的标记。
5.根据权利要求1至4中任意一项所述的方法,其特征在于,
所述网络安全表为DHCP防欺骗绑定表;
所述安全表项还包括所述虚拟机所在的局域网的标识和接入端口。
6.一种更新网络安全表的方法,其特征在于,所述方法包括:
动态主机设置协议DHCP服务器接收来自网络设备的请求报文,所述请求报文用于请求所述DHCP服务器发起与虚拟机间的强制通信;
所述DHCP服务器解析所述请求报文,获得所述虚拟机的因特网协议IP地址和媒体访问控制MAC地址;
所述DHCP服务器根据所述虚拟机的IP地址和MAC地址向所述虚拟机发起强制通信,以使所述网络设备能够通过监听DHCP服务器与所述虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据所述DHCP请求报文或者DHCP确认报文获得所述虚拟机的安全表项,以及根据所述安全表项更新网络安全表,其中,所述安全表项包括所述虚拟机的IP地址和MAC地址。
7.根据权利要求6所述的方法,其特征在于,
所述DHCP请求报文为IP地址续租请求报文,所述DHCP确认报文为IP地址续租确认报文;
所述强制通信过程包括:
所述DHCP服务器向所述虚拟机发送强制续租报文;
所述DHCP服务器接收所述虚拟机根据所述强制续租报文发送的IP地址续租请求报文;
所述DHCP服务器根据所述IP地址续租请求报文为所述虚拟机续租IP地址后,向所述虚拟机返回IP地址续租确认报文。
8.根据权利要求6所述的方法,其特征在于,
所述DHCP请求报文为IP地址请求报文,所述DHCP确认报文为IP地址分配确认报文;
所述强制通信过程包括:
所述DHCP服务器向所述虚拟机发送强制重新申请IP地址报文;
所述DHCP服务器接收所述虚拟机根据所述强制重新申请IP地址报文发送的IP地址请求报文;
所述DHCP服务器根据所述IP地址请求报文,为重新所述虚拟机分配好IP地址后,向所述虚拟机发送IP地址分配确认报文。
9.根据权利要求6至8中任意一项所述的方法,其特征在于,
所述请求报文为扩展的DHCP通知报文,其中,所述扩展的DHCP通知报文携带所述虚拟机的IP地址、MAC地址以及请求所述DHCP服务器发起与所述虚拟机间的强制通信的标记。
10.根据权利要求6至9中任意一项所述的方法,其特征在于,
所述网络安全表为DHCP防欺骗绑定表;
所述安全表项还包括所述虚拟机所在的局域网标识和接入端口。
11.一种网络设备,其特征在于,所述网络设备包括:
接收模块,用于当虚拟机迁入所述网络设备的管理域下时,接收来自所述虚拟机的第一请求报文,所述第一请求报文携带所述虚拟机的因特网协议IP地址和媒体访问控制MAC地址;
解析模块,用于解析所述第一请求报文,获得所述虚拟机的IP地址和MAC地址;
查询模块,用于查询网络安全表中是否存在包含所述IP地址和所述MAC地址的安全表项;
生成模块,用于在所述网络安全表中不存在所述安全表项时,根据所述IP地址和所述MAC地址生成第二请求报文;
发送模块,用于向动态主机设置协议DHCP服务器发送所述第二请求报文,以使所述DHCP服务器发起与所述虚拟机间的强制通信;
监听获取模块,用于监听所述DHCP服务器与所述虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据所述DHCP请求报文或者DHCP确认报文获取所述虚拟机的安全表项,所述安全表项包括所述虚拟机的IP地址和MAC地址;
更新模块,用于根据所述安全表项更新所述网络安全表。
12.根据权利要求11所述的网络设备,其特征在于,
所述更新模块具体用于将所述安全表项写入所述网络安全表中。
13.根据权利要求11或者12所述的网络设备,其特征在于,
所述第一请求报文为地址解析协议ARP请求报文。
14.根据权利要求11至13中任意一项所述的网络设备,其特征在于,
所述第二请求报文为扩展的DHCP通知报文,其中,所述扩展的DHCP通知报文携带所述虚拟机的IP地址、MAC地址以及请求所述DHCP服务器发起与所述虚拟机间的强制通信的标记。
15.根据权利要求11至14中任意一项所述的网络设备,其特征在于,
所述网络安全表为DHCP防欺骗绑定表;
所述安全表项还包括所述虚拟机所在的局域网标识和接入端口。
16.一种DHCP服务器,其特征在于,所述DHCP服务器包括:
接收模块,用于接收来自网络设备的请求报文,所述请求报文用于请求所述DHCP服务器发起与虚拟机间的强制通信;
解析模块,用于解析所述请求报文,获得虚拟机的因特网协议IP地址和媒体访问控制MAC地址;
通信模块,用于根据所述虚拟机的IP地址和MAC地址向所述虚拟机发起强制通信,以使所述网络设备能够通过监听DHCP服务器与所述虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文,并根据所述DHCP请求报文或者DHCP确认报文获得所述虚拟机的安全表项,以及根据所述安全表项更新网络安全表,其中,所述安全表项包括所述虚拟机的IP地址和MAC地址。
17.根据权利要求16所述的DHCP服务器,其特征在于,
所述DHCP请求报文为IP地址续租请求报文,所述DHCP确认报文为IP地址续租确认报文;
所述通信模块包括第一发送单元、第一接收单元、续租单元和第二发送单元;
所述第一发送单元,用于向所述虚拟机发送强制续租报文;
所述第一接收单元,用于接收所述虚拟机根据所述强制续租报文发送的IP地址续租请求报文;
所述续租单元,用于根据所述IP地址续租请求报文为所述虚拟机续租IP地址;
所述第二发送单元,用于在为所述虚拟机续租IP地址完成后,向所述虚拟机发送IP地址续租确认报文。
18.根据权利要求16所述的DHCP服务器,其特征在于,
所述DHCP请求报文为IP地址请求报文,所述DHCP确认报文为IP地址分配确认报文;
所述通信模块包括第三发送单元、第二接收单元、配置单元和第四发送单元;
所述第三发送单元,用于向所述虚拟机发送强制重新申请IP地址报文;
第二接收单元,用于接收所述虚拟机根据所述强制重新申请IP地址报文发送的IP地址请求报文;
所述配置单元,用于根据所述IP地址请求报文,重新为所述虚拟机分配IP地址;
所述第四发送单元,用于在为所述虚拟机分配IP地址完成后,向所述虚拟机发送IP地址分配确认报文。
19.根据权利要求16至18中任意一项所述的DHCP服务器,其特征在于,
所述请求报文为扩展的DHCP通知报文,其中,所述扩展的DHCP通知报文携带所述虚拟机的IP地址、MAC地址以及请求所述DHCP服务器发起与所述虚拟机间的强制通信的标记。
20.根据权利要求16至19中任意一项所述的DHCP服务器,其特征在于,
所述网络安全表为DHCP防欺骗绑定表;
所述安全表项还包括所述虚拟机所在的局域网标识和接入端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100415946A CN103095722A (zh) | 2013-02-01 | 2013-02-01 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100415946A CN103095722A (zh) | 2013-02-01 | 2013-02-01 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103095722A true CN103095722A (zh) | 2013-05-08 |
Family
ID=48207855
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013100415946A Pending CN103095722A (zh) | 2013-02-01 | 2013-02-01 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103095722A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| WO2016180351A1 (en) * | 2015-05-13 | 2016-11-17 | Hangzhou H3C Technologies Co., Ltd. | Endpoint migration detection |
| CN107222856A (zh) * | 2017-06-16 | 2017-09-29 | 北京星网锐捷网络技术有限公司 | 一种在无线控制器ac间漫游的实现方法和装置 |
| CN109274784A (zh) * | 2018-11-13 | 2019-01-25 | 郑州云海信息技术有限公司 | 基于openstack的IP和MAC地址绑定方法、装置、终端及存储介质 |
| CN111510435A (zh) * | 2020-03-25 | 2020-08-07 | 新华三大数据技术有限公司 | 一种网络安全策略迁移方法及装置 |
| CN111835764A (zh) * | 2020-07-13 | 2020-10-27 | 中国联合网络通信集团有限公司 | 一种arp防欺骗方法、隧道端点以及电子设备 |
| CN112291079A (zh) * | 2017-03-28 | 2021-01-29 | 华为技术有限公司 | 一种网络业务配置方法及网络管理设备 |
| CN114710388A (zh) * | 2022-03-25 | 2022-07-05 | 江苏科技大学 | 一种校园网安全架构及网络监护*** |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855939A (zh) * | 2005-04-25 | 2006-11-01 | 阿尔卡特公司 | 复制网络地址的检测 |
| CN101060495A (zh) * | 2007-05-22 | 2007-10-24 | 华为技术有限公司 | 报文处理方法、***和设备 |
| CN101442516A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 一种dhcp认证的方法、***和装置 |
| CN101656764A (zh) * | 2009-09-22 | 2010-02-24 | 中兴通讯股份有限公司 | Dhcp用户的会话保活方法、***和装置 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及*** |
| WO2011085612A1 (zh) * | 2010-01-15 | 2011-07-21 | 中兴通讯股份有限公司 | 状态同步的处理方法及装置 |
| WO2012003742A1 (zh) * | 2010-07-06 | 2012-01-12 | 中兴通讯股份有限公司 | 防止用户私自修改ip地址的方法、装置及*** |
| CN102413000A (zh) * | 2011-12-23 | 2012-04-11 | 华为数字技术有限公司 | 客户端上线的方法、dhcp服务器及网管*** |
-
2013
- 2013-02-01 CN CN2013100415946A patent/CN103095722A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855939A (zh) * | 2005-04-25 | 2006-11-01 | 阿尔卡特公司 | 复制网络地址的检测 |
| CN101060495A (zh) * | 2007-05-22 | 2007-10-24 | 华为技术有限公司 | 报文处理方法、***和设备 |
| CN101442516A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 一种dhcp认证的方法、***和装置 |
| CN101656764A (zh) * | 2009-09-22 | 2010-02-24 | 中兴通讯股份有限公司 | Dhcp用户的会话保活方法、***和装置 |
| WO2011085612A1 (zh) * | 2010-01-15 | 2011-07-21 | 中兴通讯股份有限公司 | 状态同步的处理方法及装置 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及*** |
| WO2012003742A1 (zh) * | 2010-07-06 | 2012-01-12 | 中兴通讯股份有限公司 | 防止用户私自修改ip地址的方法、装置及*** |
| CN102413000A (zh) * | 2011-12-23 | 2012-04-11 | 华为数字技术有限公司 | 客户端上线的方法、dhcp服务器及网管*** |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| WO2016180351A1 (en) * | 2015-05-13 | 2016-11-17 | Hangzhou H3C Technologies Co., Ltd. | Endpoint migration detection |
| CN112291079A (zh) * | 2017-03-28 | 2021-01-29 | 华为技术有限公司 | 一种网络业务配置方法及网络管理设备 |
| CN112291079B (zh) * | 2017-03-28 | 2021-10-26 | 华为技术有限公司 | 一种网络业务配置方法及网络管理设备 |
| CN107222856A (zh) * | 2017-06-16 | 2017-09-29 | 北京星网锐捷网络技术有限公司 | 一种在无线控制器ac间漫游的实现方法和装置 |
| CN107222856B (zh) * | 2017-06-16 | 2020-01-21 | 北京星网锐捷网络技术有限公司 | 一种在无线控制器ac间漫游的实现方法和装置 |
| CN109274784A (zh) * | 2018-11-13 | 2019-01-25 | 郑州云海信息技术有限公司 | 基于openstack的IP和MAC地址绑定方法、装置、终端及存储介质 |
| CN111510435A (zh) * | 2020-03-25 | 2020-08-07 | 新华三大数据技术有限公司 | 一种网络安全策略迁移方法及装置 |
| CN111510435B (zh) * | 2020-03-25 | 2022-02-22 | 新华三大数据技术有限公司 | 一种网络安全策略迁移方法及装置 |
| CN111835764A (zh) * | 2020-07-13 | 2020-10-27 | 中国联合网络通信集团有限公司 | 一种arp防欺骗方法、隧道端点以及电子设备 |
| CN114710388A (zh) * | 2022-03-25 | 2022-07-05 | 江苏科技大学 | 一种校园网安全架构及网络监护*** |
| CN114710388B (zh) * | 2022-03-25 | 2024-01-23 | 江苏科技大学 | 一种校园网安全***及网络监护*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103095722A (zh) | 一种更新网络安全表的方法及网络设备、dhcp服务器 | |
| CN102571996B (zh) | Ip地址分配方法、装置以及网络*** | |
| CN107800743B (zh) | 云桌面***、云管理***和相关设备 | |
| CN103677858A (zh) | 一种云环境中虚拟机软件管理的方法、***及设备 | |
| CN103534994A (zh) | 一种虚拟机迁移后实现通信的方法、设备和*** | |
| US20150195128A1 (en) | Apparatus and method for supporting configuration management of virtual machine, and apparatus and method for brokering cloud service using the configuration management supporting apparatus | |
| CN104378455A (zh) | Ip地址分配方法以及装置 | |
| CN103024028A (zh) | 一种云计算中虚拟机ip地址探测***及方法 | |
| CN105338128A (zh) | 域名解析方法及域名解析装置 | |
| CN106301897A (zh) | 一种Linux操作***安装配置方法及装置 | |
| CN107770010A (zh) | 一种基于OpenFlow的家庭组网方法和家庭组网*** | |
| TW200622671A (en) | Program installation system and method using the same | |
| CN109819064B (zh) | 模块间通信的方法、操作***模块和会议平板 | |
| CN103795581A (zh) | 地址处理方法和设备 | |
| CN103401954B (zh) | 虚拟dhcp的实现方法 | |
| CN100349433C (zh) | 为用户终端分配接入地址的方法 | |
| CN112187718B (zh) | 一种idv云桌面的远程访问云终端和*** | |
| CN101945053B (zh) | 一种报文的发送方法和装置 | |
| CN113766041B (zh) | 获取第一服务器媒体访问控制mac地址的方法、装置、设备及存储介质 | |
| CN103795584A (zh) | 客户端身份检测方法及网关 | |
| CN106470193A (zh) | 一种DNS递归服务器抗DoS、DDoS攻击的方法及装置 | |
| CN105530187B (zh) | 物理地址获取方法及装置 | |
| CN103138961B (zh) | 服务器控制方法、被控服务器及中心控制服务器 | |
| CN102148760B (zh) | Id申请方法、装置及*** | |
| CN106375489B (zh) | 媒体访问控制mac地址的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130508 |