CN108429823B - Dhcp网络中防止mac地址漂移的方法及交换设备 - Google Patents
Dhcp网络中防止mac地址漂移的方法及交换设备 Download PDFInfo
- Publication number
- CN108429823B CN108429823B CN201810168845.XA CN201810168845A CN108429823B CN 108429823 B CN108429823 B CN 108429823B CN 201810168845 A CN201810168845 A CN 201810168845A CN 108429823 B CN108429823 B CN 108429823B
- Authority
- CN
- China
- Prior art keywords
- mac address
- port
- dhcp
- host
- static
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供一种DHCP网络中防止MAC地址漂移的方法及交换设备,涉及数据通信领域,能够在保持IP地址可动态分配的前提下,防止与已分配IP地址绑定的主机的MAC地址发生漂移。该方法包括:在主机获取互联网协议IP地址后,若交换设备已配置DHCP监听功能,则交换设备建立DHCP监听表;若第一端口已配置MAC地址静态绑定功能,则交换设备建立静态MAC地址表;交换设备为DHCP监听表配置禁止迁移标识;其中,DHCP监听表包括主机的IP地址、主机的媒体接入控制MAC地址和第一端口,静态MAC地址表包括MAC地址、第一端口和静态绑定标识,第一端口为交换设备中与主机连接的端口,静态绑定标识禁止交换设备修改静态MAC地址表,禁止迁移标识禁止交换设备修改DHCP监听表。
Description
技术领域
本申请涉及数据通信领域,尤其涉及一种DHCP网络中防止MAC地址漂移的方法及交换设备。
背景技术
如图1所示,在利用动态主机配置协议(dynamic host configuration protocol,DHCP)监听(snooping)技术组建的网络(以下简称DHCP网络)中,交换设备通过端口1与合法主机连接,通过端口2与服务器连接。在合法主机通过交换设备从服务器获取到互联网协议(Internet Protocol,IP)地址之后,交换设备即可建立包含有已分配IP地址、端口1、合法主机的媒体接入控制(Media Access Control,MAC)地址的DHCP监听绑定表,以便交换设备在服务器与合法主机之间转发信令报文和流量报文(用于承载业务数据)。当合法主机下线时,服务器根据合法主机发送的DHCP释放(Release)报文回收上述已分配IP地址。可见,服务器能够为在线的合法主机动态分配和回收其拥有的IP地址,以提高DHCP网络中可分配IP地址的利用率,从而提高DHCP网络的网络容量。
然而,上述信令报文和流量报文携带的合法主机的MAC地址,可以被其他与交换设备连接的主机监听到。例如,与交换设备的端口3连接的非法主机,在监听到合法主机的MAC地址后,可以伪造携带有该MAC地址的信令报文和流量报文,并通过端口3向交换设备发送。由于DHCP监听绑定表是动态的,交换设备接收到上述伪造的信令报文和流量报文时,会将上述DHCP监听绑定表中的端口1更新为端口3,即合法主机的MAC地址从端口1漂移到了端口3。之后,交换设备会根据更新后的DHCP监听绑定表,将合法主机的信令报文和流量报文,在非法主机与服务器之间转发,使得非法主机登录者能够窃取合法主机登录者的私有信息,或者以合法主机的MAC地址作为掩护,发动网络攻击。
实际应用中,可以通过手动方式绑定合法主机的MAC地址和交换设备中与合法主机连接的端口,以避免合法主机的MAC地址发生漂移。但是,当合法主机数量较多时,采用手动方式绑定MAC地址的工作量较大,且当一台或多台合法主机下线时,与已下线合法主机绑定的IP地址不能及时回收,导致DHCP网络的IP地址的利用率较低。因此,在DHCP网络中,如何在保持IP地址可动态分配的前提下,防止与已分配IP地址绑定的主机的MAC地址发生漂移,以提高传输该主机的信令报文和流量报文的安全性,成为一个亟待解决的问题。
发明内容
本申请提供一种DHCP网络中防止MAC地址漂移的方法及交换设备,能够在保持IP地址可动态分配的前提下,防止与已分配IP地址绑定的主机的MAC地址发生漂移,提高传输该主机的信令报文和流量报文的安全性。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种DHCP网络中防止MAC地址漂移的方法,该方法可以包括:在主机获取互联网协议IP地址后,若交换设备已配置DHCP监听功能,则交换设备建立动态主机配置协议DHCP监听表;其中,DHCP监听表包括主机的IP地址、主机的媒体接入控制MAC地址和第一端口,第一端口为交换设备中与主机连接的端口;若第一端口已配置MAC地址静态绑定功能,则交换设备建立静态MAC地址表;其中,静态MAC地址表包括MAC地址、第一端口和静态绑定标识,静态绑定标识禁止交换设备修改静态MAC地址表;交换设备为DHCP监听表配置禁止迁移标识;其中,禁止迁移标识禁止交换设备修改DHCP监听表。
第二方面,本申请提供一种交换设备,应用于DHCP网络中,该交换设备包括:动态主机配置协议DHCP监听模块、MAC地址绑定模块和存储模块。其中,DHCP监听模块,用于在主机获取互联网协议IP地址后,若交换设备已配置DHCP监听功能,则建立动态主机配置协议DHCP监听表;其中,DHCP监听表包括主机的IP地址、主机的媒体接入控制MAC地址和第一端口,第一端口为交换设备中与主机连接的端口;MAC地址绑定模块,用于若第一端口已配置MAC地址静态绑定功能,则建立静态MAC地址表;其中,静态MAC地址表包括MAC地址、第一端口和静态绑定标识,静态绑定标识禁止交换设备修改静态MAC地址表;DHCP监听模块,还用于为DHCP监听表配置禁止迁移标识;其中,禁止迁移标识禁止交换设备修改DHCP监听表。
第三方面,本申请提供一种交换设备,该交换设备包括:处理器和存储器。其中,存储器用于存储一个或多个程序。该一个或多个程序包括计算机执行指令,当该交换设备运行时,处理器执行该存储器存储的该计算机执行指令,以使该交换设备执行第一方面及其各种可选的实现方式中任意之一所述的DHCP网络中防止MAC地址漂移的方法。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当交换设备执行该指令时,该交换设备执行上述第一方面及其各种可选的实现方式中任意之一所述的DHCP网络中防止MAC地址漂移的方法。
第五方面,本申请提供一种DHCP网络,该DHCP网络包括主机、服务器和第二方面及其各种可选的实现方式中任意之一所述的交换设备。
本申请提供的DHCP网络中防止MAC地址漂移的方法及交换设备,能够在主机获取到IP地址后,且在交换设备已配置DHCP监听功能的情况下,建立包含有该主机的IP地址、MAC地址,以及交换设备中与该主机连接的第一端口的DHCP监听表;若第一端口已配置MAC地址静态绑定功能,则建立包含有第一端口、该主机的MAC地址和静态绑定标识的静态MAC地址表,并为该DHCP监听表配置禁止迁移标识。其中,静态绑定标识禁止交换设备修改静态MAC地址表,禁止迁移标识禁止交换设备修改DHCP监听表,以避免交换设备根据另一主机通过另一端口发送的,且携带有该主机的MAC地址的流量报文和/或DHCP报文,将DHCP监听表和MAC地址表中该主机的MAC地址对应的端口从第一端口修改为另一端口的情况,即能够避免该主机的MAC地址发生漂移,从而能够避免另一主机窃取该主机的流量报文,或者以该主机的MAC地址作为掩护身份发起网络攻击的情况,能够在保持IP地址资源可动态分配和回收的前提下,提高传输该主机的信令报文和流量报文的安全性。
附图说明
图1为本申请实施例提供的DHCP网络中防止MAC地址漂移的方法及交换设备所应用的通信网络结构示意图;
图2为本申请实施例提供的DHCP网络中防止MAC地址漂移的方法示意图一;
图3为本申请实施例提供的DHCP网络中防止MAC地址漂移的方法示意图二;
图4为本申请实施例提供的DHCP网络中防止MAC地址漂移的方法示意图三;
图5为本申请实施例提供的DHCP网络中防止MAC地址漂移的方法示意图四;
图6为本申请实施例提供的DHCP网络中防止MAC地址漂移的方法示意图五;
图7为本申请实施例提供的DHCP网络中防止MAC地址漂移的方法示意图六;
图8为本申请实施例提供的交换设备的结构示意图一;
图9为本申请实施例提供的交换设备的结构示意图二;
图10为本申请实施例提供的交换设备的结构示意图三。
具体实施方式
下面结合附图对本申请实施例提供的DHCP网络中防止MAC地址漂移的方法及交换设备进行详细地描述。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象,或者用于区别对同一对象的不同处理,而不是用于描述对象的特定顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
本申请实施例提供的DHCP网络中防止MAC地址漂移的方法可以应用于图1所示的DHCP网络中。如图1所示,该DHCP网络可以包含:主机、交换设备和服务器。其中,图1中的主机可以通过交换设备与服务器连接,服务器主要用于为DHCP网络中的任一主机分配动态IP地址,交换设备主要用于在任一主机与服务器之间转发信令报文和流量报文。具体地,交换设备为主机建立DHCP监听表和MAC地址表,并根据DHCP监听表和MAC地址表在该主机与服务器之间转发信令报文和流量报文。需要说明的是,图1仅为示例性架构图,除图1中所示功能单元之外,该网络架构还可以包括其他功能单元,本申请实施例对此不进行限定。
上述主机可以为能够通过有线或无线方式,接入如图1所示的DHCP网络的任一终端,如:手机、电脑、个人数字助理(personal digital assistant,PDA)、膝上型计算机等,本申请实施例不做限制。
实际应用中,当一台主机上线时,该主机会请求DHCP网络中的服务器为其分配一个IP地址,具体流程如下:
发现阶段:该主机向DHCP网络中的所有服务器广播(Broadcast)发现(DISCOVER)报文。发现报文携带有该主机的MAC地址,其目的在于请求服务器为该主机分配IP地址。
提供阶段:所有收到发现报文的服务器都会广播一个提供(OFFER)报文。提供报文携带有该主机的MAC地址、为该主机预分配的IP地址,以及发送提供报文的服务器的域名、IP地址、默认网关和DNS服务器IP地址等信息。
请求阶段:该主机根据提供报文携带的MAC地址是否与本身的MAC地址相同,来确认提供报文是否为发送给自己的。在该主机接收到提供报文(通常情况下为第一个)后,会广播一个请求(REQUEST)报文。请求报文携带有发送提供报文的服务器为该主机预分配的IP地址、该主机的MAC地址,以及发送提供报文的服务器的IP地址。实际应用中,请求报文用于通知发送提供报文的服务器,该主机打算接受该服务器为其分配的IP地址,同时通知其他服务器回收为该主机预分配的IP地址。
确认阶段:所有接收到请求报文的服务器,会根据请求报文携带的服务器的IP地址是否与本身IP地址相同,确定请求报文是否为发送给自己的。若是,该服务器会广播一个确认(ACK)报文,否则,广播一个否认(NACK)报文。其中,确认报文携带有该服务器的IP地址、默认网关、DNS服务器IP地址,以及该服务器为该主机分配的IP地址、租约期、续约时间,以及该主机的MAC地址等。
探测阶段:为避免IP地址冲突,该主机接收到确认报文后,会在DHCP网络广播一个地址解析协议(Address Resolution Protocol,ARP)报文。若在规定时间内没有其他主机回应,则该主机将该服务器为其分配的IP地址设置为自身的IP地址,并根据IP地址租约期和续约时间自动启动续延流程。
IP地址回收阶段:在租约期到期时,该主机会自动放弃使用该IP地址,并重新发起IP地址获取流程。或者租约期到期前,该主机向该服务器发送释放(RELEASE)报文,主动放弃为其分配的IP地址。无论哪种场景,该服务器均可回收其为该主机分配的IP地址,并将该IP地址分配给其他主机使用,以提高该服务器的IP地址资源的利用率。
实际应用中,如图1所示,上述各个阶段的报文转发,是由同时与服务器和主机连接的交换设备完成的。其中,若交换设备已配置DHCP监听功能,则交换设备会为每台主机建立一条DHCP监听绑定表,用于管理服务器为该主机分配的IP地址、该主机的MAC地址以及交换设备中与该主机连接的端口之间的对应关系,并在交换设备的MAC地址转发表中记录该主机的MAC地址以及交换设备中与该主机连接的端口之间的对应关系,以便在该主机与该服务器之间转发信令报文和流量报文。
然而,在DHCP监听绑定表和MAC地址转发表中,该主机的MAC地址以及交换设备中与该主机连接的端口之间的对应关系是动态的,交换设备会根据其通过其端口接收到的携带有该主机的MAC地址的信令报文和/或流量报文,修改该主机的MAC地址对应的端口。若交换设备当前接收端口与DHCP监听绑定表和MAC地址转发表中记录的端口不同,则会将DHCP监听绑定表和MAC地址转发表中记录的端口修改为当前端口,从而导致该主机的MAC地址发生漂移。
本申请实施例提供一种DHCP网络中防止MAC地址漂移的方法,可以应用于如图1所示的DHCP网络的交换设备中。具体地,如图2所示,该方法可以包括S201-S203:
S201、在主机获取互联网协议IP地址后,若交换设备已配置DHCP监听功能,则交换设备建立动态主机配置协议DHCP监听表。
其中,DHCP监听表包括主机的IP地址、主机的媒体接入控制MAC地址和第一端口,第一端口为交换设备中与主机连接的端口。
实际应用中,主机广播ARP报文且在规定时间内未收到其他主机回应,方才视为该主机获取IP地址成功。但是,主机获取IP地址成功后,并没有通知交换设备。因此,在本申请实施例中,主机获取互联网协议IP地址,可以是该主机接收到服务器发送的确认报文,也可以是从该主机接收到服务器发送的确认报文起超过预设时间(例如可以根据ARP报文的历史回应时间确定)。当然,对于前者,若该主机本次获取IP地址的最终结果是失败的,例如IP地址冲突,则在本申请实施例中,需要清除下述S202所述的静态绑定标识和S203中所述的禁止迁移标识,并重新从S201执行本申请实施例提供的方法流程即可。
S202、若第一端口已配置MAC地址静态绑定功能,则交换设备建立静态MAC地址表。
其中,静态MAC地址表包括主机的MAC地址、第一端口和静态绑定标识,静态绑定标识禁止交换设备修改静态MAC地址表。
在本申请实施例中,若流量报文携带的MAC地址与该主机的MAC地址相同,但是接收该流量报文的端口与该主机的MAC地址对应的端口不同,则可确认该流量报文为流量攻击报文,并采取丢弃该流量报文的方式避免MAC地址发生漂移,以确保通过该主机登录的用户的私有信息不会被窃取到,从而提高合法流量报文的安全性。因此,可选地,结合图2,如图3所示,在执行S202之后,该方法还可以包括S301-S302:
S301、交换设备通过交换设备的第二端口接收流量报文。
其中,流量报文包括主机的MAC地址;
S302、若第二端口与第一端口不同,则交换设备丢弃流量报文。
实际应用中,MAC地址静态绑定功能是交换设备的端口配置属性。因此,若需要关闭交换设备中一个或多个端口(以下简称指定端口)的MAC地址静态绑定功能,则需要有针对性地清除DHCP监听表中指定端口对应的禁止迁移标识,以及指定端口对应的全部MAC地址的静态绑定标识。因此,可选地,结合图2,如图4所示,在执行S202之后,该方法还可以包括S401:
S401、若关闭指定端口的MAC地址静态绑定功能,则交换设备清除静态MAC地址表中与指定端口对应的所有MAC地址的静态绑定标识。
其中,指定端口为交换设备中的任一端口。
S203、交换设备为DHCP监听表配置禁止迁移标识。
其中,禁止迁移标识禁止交换设备修改DHCP监听表。
在本申请实施例中,若DHCP报文携带的MAC地址与该主机的MAC地址相同,但是接收该DHCP报文的端口与DHCP监听表中该主机的MAC地址对应的端口不同,则可确认该DHCP报文为DHCP攻击报文,并采取丢弃该DHCP报文的方式避免MAC地址发生漂移,以确保非法主机通过伪造该主机的MAC地址,并向服务器申请IP地址,从而建立非法主机访问DHCP网络的通道,并以该主机的MAC地址作为掩护身份发起网络攻击的情况,能够提高合法DHCP报文的安全性。因此,可选地,结合图2,如图5所示,在执行S203之后,该方法还可以包括S501-S502:
S501、交换设备通过交换设备的第三端口接收DHCP报文。
其中,DHCP报文包括主机的MAC地址。
S502、若第三端口与第一端口不同,则交换设备丢弃DHCP报文。
实际应用中,DHCP监听功能是交换设备的整体配置属性。因此,若需要关闭交换设备的DHCP监听功能,则需要清除交换设备的全部DHCP监听表的禁止迁移标识,以及全部静态MAC地址表的静态绑定标识。可选地,结合图2,如图6所示,在执行S203之后,该方法还可以包括S601-S602:
S601、若关闭交换设备的DHCP监听功能,则交换设备清除交换设备中全部DHCP监听表的禁止迁移标识。
S602、交换设备清除交换设备中全部静态MAC地址表的静态绑定标识。
当一台或多台主机下线时,需要回收为下线主机分配的IP地址,以便分配给其他新上线主机,提高可分配IP地址资源的利用率。因此,可选地,结合图2,如图7所示,在执行S203之后,该方法还可以包括S701-S702:
S701、若存在下线主机,则交换设备清除包含下线主机的MAC地址的DHCP监听表的禁止迁移标识。
其中,下线主机为与交换设备连接的任一主机。
S702、交换设备清除静态MAC地址表中与下线主机的MAC地址对应的静态绑定标识。
可以理解,为避免对未下线主机的通信造成不良影响,在本申请实施例中,仅对下线主机对应的禁止迁移标识和静态绑定标识进行清除操作。
本申请实施例提供的DHCP网络中防止MAC地址漂移的方法,能够在主机获取到IP地址后,且在交换设备已配置DHCP监听功能的情况下,建立包含有该主机的IP地址、MAC地址,以及交换设备中与该主机连接的第一端口的DHCP监听表;若第一端口已配置MAC地址静态绑定功能,则建立包含有第一端口、该主机的MAC地址和静态绑定标识的静态MAC地址表,并为该DHCP监听表配置禁止迁移标识。其中,静态绑定标识禁止交换设备修改静态MAC地址表,禁止迁移标识禁止交换设备修改DHCP监听表,以避免交换设备根据另一主机通过另一端口发送的,且携带有该主机的MAC地址的流量报文和/或DHCP报文,将DHCP监听表和MAC地址表中该主机的MAC地址对应的端口从第一端口修改为另一端口的情况,即能够避免该主机的MAC地址发生漂移,从而能够避免另一主机窃取该主机的业务数据,或者以该主机的MAC地址作为掩护身份发起网络攻击的情况,能够在保持IP地址资源可动态分配和回收的前提下,提高传输该主机的信令报文和流量报文的安全性。
本申请实施例可以根据上述方法示例对交换设备进行功能模块或者功能单元的划分,例如,可以对应各个功能划分各个功能模块或者功能单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块或者功能单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
图8示出了上述实施例中所涉及的交换设备的一种可能的结构示意图。该交换设备应用于动态主机配置协议DHCP网络中,该交换设备可以包括DHCP监听模块81、MAC地址绑定模块82和存储模块83。
其中,DHCP监听模块81,用于在主机获取互联网协议IP地址后,若交换设备已配置DHCP监听功能,则建立动态主机配置协议DHCP监听表;其中,DHCP监听表包括主机的IP地址、主机的媒体接入控制MAC地址和第一端口,第一端口为交换设备中与主机连接的端口;
MAC地址绑定模块82,用于若第一端口已配置MAC地址静态绑定功能,则建立静态MAC地址表;其中,静态MAC地址表包括MAC地址、第一端口和静态绑定标识,静态绑定标识禁止交换设备修改静态MAC地址表;
DHCP监听模块81,还用于为DHCP监听表配置禁止迁移标识;其中,禁止迁移标识禁止交换设备修改DHCP监听表;
存储模块83,用于存储指令和报文。
可选地,结合图8,如图9所示,交换设备还可以包括接收模块84和转发模块85,其中,
接收模块84,用于通过交换设备的第二端口接收流量报文;其中,流量报文包括MAC地址;
转发模块85,用于若第二端口与第一端口不同,则丢弃流量报文。
可选地,接收模块84,还用于通过交换设备的第三端口接收DHCP报文;其中,DHCP报文包括MAC地址;
DHCP监听模块81,还用于若第三端口与第一端口不同,则丢弃DHCP报文。
可选地,DHCP监听模块81,还用于若关闭交换设备的DHCP监听功能,则清除交换设备中全部DHCP监听表的禁止迁移标识;
MAC地址绑定模块82,还用于清除交换设备中全部静态MAC地址表的静态绑定标识。
可选地,DHCP监听模块81,还用于若存在下线主机,则清除包含下线主机的MAC地址的DHCP监听表的禁止迁移标识;其中,下线主机为与交换设备连接的任一主机;
MAC地址绑定模块82,还用于清除静态MAC地址表中与下线主机的MAC地址对应的静态绑定标识。
可选地,MAC地址绑定模块82,还用于若关闭指定端口的MAC地址静态绑定功能,则清除静态MAC地址表中与指定端口对应的所有MAC地址的静态绑定标识;其中,指定端口为交换设备中的任一端口。
本申请实施例提供的交换设备,能够在主机获取到IP地址后,且在交换设备已配置DHCP监听功能的情况下,建立包含有该主机的IP地址、MAC地址,以及交换设备中与该主机连接的第一端口的DHCP监听表;若第一端口已配置MAC地址静态绑定功能,则建立包含有第一端口、该主机的MAC地址和静态绑定标识的静态MAC地址表,并为该DHCP监听表配置禁止迁移标识。其中,静态绑定标识禁止交换设备修改静态MAC地址表,禁止迁移标识禁止交换设备修改DHCP监听表,以避免交换设备根据另一主机通过另一端口发送的,且携带有该主机的MAC地址的流量报文和/或DHCP报文,将DHCP监听表和MAC地址表中该主机的MAC地址对应的端口从第一端口修改为另一端口的情况,即能够避免该主机的MAC地址发生漂移,从而能够避免另一主机窃取该主机的业务数据,或者以该主机的MAC地址作为掩护身份发起网络攻击的情况,能够在保持IP地址资源可动态分配和回收的前提下,提高传输该主机的信令报文和流量报文的安全性。
图10示出了上述实施例中所涉及的交换设备的又一种可能的结构示意图。该交换设备包括:处理单元1001。处理单元1001用于对交换设备的动作进行控制管理,例如,执行上述DHCP监听模块81,MAC地址绑定模块82、转发模块85执行的步骤,和/或用于执行本文所描述的技术的其它过程。交换设备还可以包括通信单元1002、存储单元1003和总线1004。其中,通信单元1002用于支持交换设备与其他网络实体的通信,例如,执行上述接收模块84执行的步骤。存储单元1003用于存储交换设备的程序代码和报文。
其中,上述处理单元1001可以是交换设备中的处理器或控制器,该处理器或控制器可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器或控制器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
通信单元1002可以是交换设备中的收发器、收发电路或通信接口等。
存储单元1003可以是交换设备中的存储器等,该存储器可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
总线1004可以是扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线1004可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请实施例提供一种DHCP网络,该DHCP网络可以包括主机、交换设备和服务器,该交换设备用于在主机与服务器之间转发流量报文和信令报文,以执行本申请实施例提供的DHCP网络中防止MAC地址漂移的方法。对于主机、交换设备和服务器的描述具体可以参见上述方法实施例和装置实施例中的相关描述,此处不再赘述。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当交换设备执行该指令时,该交换设备执行上述方法实施例所示的方法流程中交换设备执行的各个步骤。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (12)
1.一种DHCP网络中防止MAC地址漂移的方法,其特征在于,包括:
在主机获取互联网协议IP地址后,若交换设备已配置DHCP监听功能,则所述交换设备建立动态主机配置协议DHCP监听表;其中,所述DHCP监听表包括所述主机的IP地址、所述主机的媒体接入控制MAC地址和第一端口,所述第一端口为所述交换设备中与所述主机连接的端口;
若所述第一端口已配置MAC地址静态绑定功能,则所述交换设备建立静态MAC地址表;其中,所述静态MAC地址表包括所述MAC地址、所述第一端口和静态绑定标识,所述静态绑定标识禁止所述交换设备修改所述静态MAC地址表;
所述交换设备为所述DHCP监听表配置禁止迁移标识;其中,所述禁止迁移标识禁止所述交换设备修改所述DHCP监听表。
2.根据权利要求1所述的方法,其特征在于,在若所述第一端口已配置MAC地址静态绑定功能,则所述交换设备建立静态MAC地址表之后,所述方法还包括:
所述交换设备通过所述交换设备的第二端口接收流量报文;其中,所述流量报文包括所述MAC地址;
若所述第二端口与所述第一端口不同,则所述交换设备丢弃所述流量报文。
3.根据权利要求1所述的方法,其特征在于,在所述交换设备为所述DHCP监听表配置禁止迁移标识之后,所述方法还包括:
所述交换设备通过所述交换设备的第三端口接收DHCP报文;其中,所述DHCP报文包括所述MAC地址;
若所述第三端口与所述第一端口不同,则所述交换设备丢弃所述DHCP报文。
4.根据权利要求1-3任一项所述的方法,其特征在于,在所述交换设备为所述DHCP监听表配置禁止迁移标识之后,所述方法还包括:
若关闭所述交换设备的DHCP监听功能,则所述交换设备清除所述交换设备中全部DHCP监听表的禁止迁移标识;
所述交换设备清除所述交换设备中全部静态MAC地址表的静态绑定标识。
5.根据权利要求1-3任一项所述的方法,其特征在于,在所述交换设备为所述DHCP监听表配置禁止迁移标识之后,所述方法还包括:
若存在下线主机,则所述交换设备清除包含所述下线主机的MAC地址的DHCP监听表的禁止迁移标识;其中,所述下线主机为与所述交换设备连接的任一主机;
所述交换设备清除所述静态MAC地址表中与所述下线主机的MAC地址对应的静态绑定标识。
6.根据权利要求1-3任一项所述的方法,其特征在于,在若所述第一端口已配置MAC地址静态绑定功能,则所述交换设备建立静态MAC地址表之后,所述方法还包括:
若关闭指定端口的MAC地址静态绑定功能,则所述交换设备清除所述静态MAC地址表中与所述指定端口对应的所有MAC地址的静态绑定标识;其中,所述指定端口为所述交换设备中的任一端口。
7.一种交换设备,其特征在于,应用于DHCP网络中,所述交换设备包括:
动态主机配置协议DHCP监听模块,用于在主机获取互联网协议IP地址后,若交换设备已配置DHCP监听功能,则建立动态主机配置协议DHCP监听表;其中,所述DHCP监听表包括所述主机的IP地址、所述主机的媒体接入控制MAC地址和第一端口,所述第一端口为所述交换设备中与所述主机连接的端口;
MAC地址绑定模块,用于若所述第一端口已配置MAC地址静态绑定功能,则建立静态MAC地址表;其中,所述静态MAC地址表包括所述MAC地址、所述第一端口和静态绑定标识,所述静态绑定标识禁止所述交换设备修改所述静态MAC地址表;
所述DHCP监听模块,还用于为所述DHCP监听表配置禁止迁移标识;其中,所述禁止迁移标识禁止所述交换设备修改所述DHCP监听表。
8.根据权利要求7所述的交换设备,其特征在于,所述交换设备还包括接收模块和转发模块,其中,
所述接收模块,用于通过所述交换设备的第二端口接收流量报文;其中,所述流量报文包括所述MAC地址;
所述转发模块,用于若所述第二端口与所述第一端口不同,则丢弃所述流量报文。
9.根据权利要求7所述的交换设备,其特征在于,
接收模块,还用于通过所述交换设备的第三端口接收DHCP报文;其中,所述DHCP报文包括所述MAC地址;
所述DHCP监听模块,还用于若所述第三端口与所述第一端口不同,则丢弃所述DHCP报文。
10.根据权利要求7-9任一项所述的交换设备,其特征在于,
所述DHCP监听模块,还用于若关闭所述交换设备的DHCP监听功能,则清除所述交换设备中全部DHCP监听表的禁止迁移标识;
所述MAC地址绑定模块,还用于清除所述交换设备中全部静态MAC地址表的静态绑定标识。
11.根据权利要求7-9任一项所述的交换设备,其特征在于,
所述DHCP监听模块,还用于若存在下线主机,则清除包含所述下线主机的MAC地址的DHCP监听表的禁止迁移标识;其中,所述下线主机为与所述交换设备连接的任一主机;
所述MAC地址绑定模块,还用于清除所述静态MAC地址表中与所述下线主机的MAC地址对应的静态绑定标识。
12.根据权利要求7-9任一项所述的交换设备,其特征在于,
所述MAC地址绑定模块,还用于若关闭指定端口的MAC地址静态绑定功能,则清除所述静态MAC地址表中与所述指定端口对应的所有MAC地址的静态绑定标识;其中,所述指定端口为所述交换设备中的任一端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810168845.XA CN108429823B (zh) | 2018-02-28 | 2018-02-28 | Dhcp网络中防止mac地址漂移的方法及交换设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810168845.XA CN108429823B (zh) | 2018-02-28 | 2018-02-28 | Dhcp网络中防止mac地址漂移的方法及交换设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108429823A CN108429823A (zh) | 2018-08-21 |
| CN108429823B true CN108429823B (zh) | 2021-06-29 |
Family
ID=63157304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810168845.XA Active CN108429823B (zh) | 2018-02-28 | 2018-02-28 | Dhcp网络中防止mac地址漂移的方法及交换设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108429823B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098291A (zh) * | 2006-06-29 | 2008-01-02 | 中兴通讯股份有限公司 | 在接入设备上防止介质访问控制地址表扰乱的方法 |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
| CN104980526A (zh) * | 2014-04-04 | 2015-10-14 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法、装置及网络设备 |
| CN102843440B (zh) * | 2011-06-24 | 2017-04-26 | 中兴通讯股份有限公司 | 一种防止媒体访问控制地址漂移的方法及网络处理设备 |
-
2018
- 2018-02-28 CN CN201810168845.XA patent/CN108429823B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098291A (zh) * | 2006-06-29 | 2008-01-02 | 中兴通讯股份有限公司 | 在接入设备上防止介质访问控制地址表扰乱的方法 |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
| CN102843440B (zh) * | 2011-06-24 | 2017-04-26 | 中兴通讯股份有限公司 | 一种防止媒体访问控制地址漂移的方法及网络处理设备 |
| CN104980526A (zh) * | 2014-04-04 | 2015-10-14 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法、装置及网络设备 |
Non-Patent Citations (1)
| Title |
|---|
| DHCP 服务安全策略;郑秀琴;《电脑知识与技术》;20170930;第13卷(第26期);正文第2.2.4节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108429823A (zh) | 2018-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9116736B2 (en) | Virtualized movement of enhanced network services associated with a virtual machine | |
| US9729501B2 (en) | System and data card for stateless automatic configuration of IPv6 address and method for implementing the same | |
| CN108777722B (zh) | 多***组网通信方法、装置、移动终端及存储介质 | |
| US9313171B2 (en) | Path selection in a multi-service and multi-tenant secure cloud environment | |
| US20130024553A1 (en) | Location independent dynamic IP address assignment | |
| CN107800743B (zh) | 云桌面***、云管理***和相关设备 | |
| CN106533973B (zh) | 分发业务消息的方法、设备和*** | |
| CN107733808B (zh) | 一种流量传输方法及装置 | |
| KR102392120B1 (ko) | Nf 구성요소의 예외를 처리하기 위한 방법 및 시스템, 그리고 기기 | |
| WO2021057348A1 (zh) | 一种服务器安全防御方法及***、通信设备、存储介质 | |
| WO2012174914A1 (zh) | 控制地址配置方式的方法和设备 | |
| WO2017107871A1 (zh) | 访问控制方法和网络设备 | |
| EP3267633B1 (en) | Information processing system, proxy server, address duplication prevention method, and computer-readable recording medium | |
| US11171927B2 (en) | Method for enabling establishment of a direct connection | |
| CN112771833A (zh) | 向客户端节点分配标识符的方法、记录标识符的方法、对应设备、客户端节点、服务器和计算机程序 | |
| JP2014093772A (ja) | Ipアドレスを割り当て、取得するための方法および装置 | |
| Bi et al. | Source address validation improvement (SAVI) solution for DHCP | |
| CN113014680B (zh) | 一种宽带接入的方法、装置、设备和存储介质 | |
| CN107342972B (zh) | 一种实现远程访问的方法及装置 | |
| CN108429823B (zh) | Dhcp网络中防止mac地址漂移的方法及交换设备 | |
| CN111669309B (zh) | 一种建立VxLAN的方法及无线控制器、交换机 | |
| WO2014090022A1 (zh) | 动态主机配置协议服务器的识别方法和装置 | |
| WO2017124231A1 (zh) | 分配互联网协议地址的方法、控制面网关和用户面网关 | |
| CN113556337A (zh) | 终端地址识别方法、网络***、电子设备及存储介质 | |
| EP3200433A1 (en) | Ipv6 address management method, device and terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |