CN110445889A - 一种以太网环境下交换机ip地址管理方法及*** - Google Patents
一种以太网环境下交换机ip地址管理方法及*** Download PDFInfo
- Publication number
- CN110445889A CN110445889A CN201910890793.1A CN201910890793A CN110445889A CN 110445889 A CN110445889 A CN 110445889A CN 201910890793 A CN201910890793 A CN 201910890793A CN 110445889 A CN110445889 A CN 110445889A
- Authority
- CN
- China
- Prior art keywords
- address
- dhcp
- interchanger
- terminal
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 34
- 238000000034 method Methods 0.000 claims description 34
- 230000004044 response Effects 0.000 claims description 27
- 230000008569 process Effects 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 13
- 238000010276 construction Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 4
- 235000013399 edible fruits Nutrition 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 8
- 241000700605 Viruses Species 0.000 abstract description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/695—Types of network addresses using masks or ranges of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/48—Routing tree calculation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种以太网环境下交换机IP地址管理方法及***。所述管理方法包括基于生成树协议,利用根交换机实现全网DHCP服务管理,依据交换机的端口数量分配IP地址,每个交换机都可以提供DHCP服务,依据根交换机分配的IP地址,服务交换机连接的终端;当交换机接收到终端发送的ARP请求第i个IP对应的MAC地址,根据数据库交换机可以知道合法的第i个IP地址所在的交换机j的MAC,使用交换机j的MAC地址作为第i个IP对应的MAC地址。采用本发明所提供的管理方法及***可以实现局域网内IP地址自动管理,交换机之间无需传输ARP协议,DHCP协议,减少了局域网内大部分的广播流量,从根本上消除广播风暴,ARP病毒,提高局域网网络带宽利用率,提高网络安全性。
Description
技术领域
本发明涉及IP地址管理领域,特别是涉及一种以太网环境下交换机IP地址管理方法及***。
背景技术
随着信息化程度的提高、网络规模的不断扩大,接入网络的设备不断增加,网络流量管理日益重要。在以太网环境中地址解析协议(Address Resolution Protocol,ARP),动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)通常是必不可少的重要协议,但是这些协议在设计上不具有任何防御恶意攻击的功能。针对DHCP协议,攻击者可能对外发布虚假网关地址、互联网协议地址(Internet Protocol Address,IP)地址池甚至是错误的域名***(Domain Name System,DNS)服务器信息,如果这些非法DHCP指定的DNS服务器被蓄意修改,就有可能将用户引导到木马网站、虚假网站,盗窃用户账号和密码,威胁用户的信息安全;ARP协议对网络安全同样具有重要的意义,通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。因此,网络设备IP地址智能管理技术减少ARP,DHCP协议的使用,能够提供网络效率,减少网络攻击风险,而现有技术把ARP协议,DHCP协议分散到不同的***,无法减少使用,依旧存在网络攻击风险高,网络安全性差的问题。
发明内容
本发明的目的是提供一种以太网环境下交换机IP地址管理方法及***,以解决在现有的以太网环境下,网络攻击风险高,网络安全性差的问题。
为实现上述目的,本发明提供了如下方案:
一种以太网环境下交换机IP地址管理方法,包括:
配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机;
基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号;
获取所述根交换机的设备查询请求;
根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果;
若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机;
获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态;
根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果;
若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息;
根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机;
判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果;
若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库;
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
可选的,所述根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址之后,还包括:
获取所述交换机所连接终端发送的DHCP Discover包;
根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端;
根据所述DHCP offer报文,向所述终端发送DHCP ACK报文;
根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果;
若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程;
若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用;
若成功分配所述终端的IP地址,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
可选的,所述根据所述DHCP offer报文,向所述终端发送DHCP ACK报文之后,还包括:
获取所述终端发出的地址解析协议ARP请求;
基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址;
判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果;
若所述第五判断结果表示为所述请求IP地址为所述终端的网关IP地址,将网关的MAC地址以及ARP响应消息发送至所述终端;
若所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
可选的,所述将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端之后,还包括:
获取数据帧及所述数据帧的MAC地址;
判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果;
若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果;
若所述第六判断结果表示为所述数据帧的MAC地址为非广播帧,则检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机;
若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理;
若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果;
若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
一种以太网环境下交换机IP地址管理***,包括:
根交换机确定模块,用于配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机;
消息认证模块,用于基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号;
设备查询请求获取模块,用于获取所述根交换机的设备查询请求;
第一判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果;
设备查询请求发送模块,用于若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机;
非根交换机生成的本机设备信息获取模块,用于获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态;
第二判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果;
交换机DHCP地址池消息生成模块,用于若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息;
IP地址配置模块,用于根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机;
第三判断模块,用于判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果;
交换机DHCP地址池数据库构建模块,用于若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库;
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
可选的,还包括:
DHCP Discover包获取模块,用于获取所述交换机所连接终端发送的DHCPDiscover包;
DHCP offer报文生成模块,用于根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端;
DHCP ACK报文发送模块,用于根据所述DHCP offer报文,向所述终端发送DHCPACK报文;
第四判断模块,用于根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果;
续延过程启动模块,用于若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程;
占用模块,用于若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用;
关系表更新模块,用于在成功分配所述终端的IP地址时,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
可选的,还包括:
ARP请求获取模块,用于获取所述终端发出的地址解析协议ARP请求;
请求IP地址确定模块,用于基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址;
第五判断模块,用于判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果;
消息发送模块,用于若所述第五判断结果表示为所述请求IP地址为所述终端的网关IP地址,将网关的MAC地址以及ARP响应消息发送至所述终端;
MAC地址返回模块,用于在所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
可选的,还包括:
数据帧获取模块,用于获取数据帧及所述数据帧的MAC地址;
第六判断模块,用于判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果;
第七判断模块,用于若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果;
转发模块,用于当所述第六判断结果表示为所述数据帧的MAC地址为非广播帧时,检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机;
第一处理模块,用于若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理;
第八判断模块,用于若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果;
第二处理模块,用于若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明提供了一种以太网环境下交换机IP地址管理方法及***,基于生成树协议,利用根交换机实现全网DHCP服务管理,依据交换机的端口数量分配IP地址,每个交换机都可以提供DHCP服务,依据根交换机分配的IP地址,服务本交换机连接的终端,减少DHCP服务产生的广播包在网络上的传播。
根交换机管理全网IP地址之后,可以得到全网每个交换机和IP的对应关系数据库,根交换机定期更新这个数据库,并同步到生成树上的每个交换机。当交换机接收到终端发送的ARP请求第i个IP对应的MAC地址,根据这个数据库交换机可以知道合法的第i个IP地址所在的交换机j的MAC,使用交换机j的MAC地址作为第i个IP对应的MAC地址生成ARP响应信息,减少ARP协议产生的广播包在网络上的传播。
由于减少了DHCP服务产生的广播包在网络上的传播以及ARP协议产生的广播包在网络上的传播,从而降低了网络攻击风险,提高了网络安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一所提供的以太网IP地址管理流程图;
图2为本发明实施例一所提供的交换机处理数据帧的流程图;
图3为本发明实施例一所提供的交换机处理DHCP协议的流程图;
图4为本发明实施例一所提供的交换机处理ARP协议的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种以太网环境下交换机IP地址管理方法及***,能够降低网络攻击风险,提高网络安全性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例一
图1为本发明所提供的以太网IP地址管理流程图,如图1所示,所述管理方法,包括如下步骤:
在步骤101之前还包括***初始化阶段,局域网内的交换机配置VLAN,运行生成树协议选出的根交换机,或者管理员指定某交换机为根交换机,在根交换机和非根交换机上配置一个口令,根交换机和非根交换机通过PKCS#5v2.1基于口令的消息认证方案PBMAC1进行消息认证,防范黑客和病毒攻击。管理员在根交换机上配置DHCP服务器信息,主要包括:
1)DHCP Pool Name:地址池名字(dhcp pool-name);
2)DHCP Mask:子网掩码;
3)DHCP IP:地址段;
4)DHCP Gateway:网关IP和MAC;
5)DHCP Exclude ip:保留地址;
6)DHCP DNS:域名服务器:
7)其他DHCP服务参数:
8)DHCP VLAN ID:DHCP服务的VLAN号,每一个需要运行DHCP协议的VLAN,都要配置上述信息。
设某VLAN下局域网交换机S1,S2,……,Sn,且该VLAN下运行生成树协议选出的根交换机为Sk,管理员也可以指定某交换机为根交换机,运行MasterIP技术需要在根交换机和非根交换机上配置一个口令,根交换机和非根交换机通过PKCS#5(v2.1)基于口令的消息认证方案PBMAC1进行消息认证,防范黑客和病毒攻击。
步骤101:根交换机Sk发送设备查询请求,要求生成树上每个交换机提供如下设备信息(非根交换机生成的本机设备信息,Switch Infomation,SWInfo):交换机的MAC地址,IP地址,交换机的端口信息(端口数量,端口类型,端口是否启用,端口属于的VLAN ID)。
步骤102:非根交换机接收到根交换机的设备查询请求,根据基于口令的消息认证方案PBMAC1检查消息是否合法,非法消息直接丢弃;
步骤103:非根交换机转发根交换机的设备查询请求到其他交换机(下级交换机);
步骤104:非根交换机生成的本机设备信息SWInfo,发送给根交换机;
步骤105:根交换机接收非根交换机发送的非根交换机生成的本机设备信息SWInfo,根据基于口令的消息认证方案PBMAC1检查消息是否合法,非法消息直接丢弃;
步骤106:根据非根交换机生成的本机设备信息,生成该交换机的交换机DHCP地址池消息(SW_DHCP_POOL),根据交换机在不同VLAN中端口数量,从相应的DHCP池中分配IP地址构建交换机DHCP配置表SW_DHCP_POOL,分配IP地址的原则是根据端口数量分配IP地址,一般情况每个端口接入一个终端的设备,需要一个IP地址。根交换机把交换机DHCP配置表下发给所有交换机,交换机DHCP配置表的结构如下:
步骤107:根交换机发送SW_DHCP_POOL到生成树上的每个交换机;
步骤108:非根交换机接收到根交换机发送的SW_DHCP_POOL,验证消息的合法性,非法消息丢弃,合法消息进行转发;
步骤109:构建交换机DHCP地址池数据库(SW_DHCP_POOL_DB),可以通过数据库可以知道每个VLAN的每个活动IP在哪个交换机上,可以知道每个VLAN网关的MAC地址。
每当有新的交换机加入网络或者生成树发生改变,根交换机都要发送设备查询请求,获取设备信息,每当交换机的端口发生改变,交换机要主动发送SWInfo给根交换机,根交换机收到新的SWInfo之后更新SW_DHCP_POOL,并同步到生成树的每个非根交换机上。
1)基于上述交换机,实现DHCP服务:
需要IP地址的终端在局域网内发起一个DHCP Discover包,试图发现能够给它提供IP的DHCP Server。
交换机接收到DHCP Discover,交换机不需要转发该广播包,交换机充当DHCPSERVER,根据端口所在的VLAN,查询SW_DHCP_POOL,找到空闲IP作为该终端的租用IP,生成相应的包含出租的IP地址和其他设置的DHCP offer消息,发送给终端。交换机在分配IP地址时,缺省的每个端口只分配一个IP。
终端接收到DHCP offer报文,进行处理,然后发送DHCP request消息。
交换机接收到DHCP request报文,判断“选项”字段中的DHCP SERVER的IP地址是否与自己的地址相同,不相同,则不做任何处理,如果自己发出过DHCPOFFER报文,则清除相应IP地址记录;当“选项”字段中的DHCP SERVER的IP地址是与自己的IP地址相同时,DHCPSERVER就会响应一个DHCPACK报文,其内容同DHCPOFFER类似,并在“选项”字段中增加了IP地址使用租期选项。交换机建立起(端口,MAC,IP)关系表,默认情况下每个端口只有一个终端,端口,MAC,IP一一对应。
终端收到DHCP ACK报文后(经过上面的处理后,有且只有一个DHCP ACK报文),会检查DHCP SERVER分配给自己的IP地址是否能够使用,如在以太网类型的网络中,CLIENT会发出的ARP请求来确定DHCP SERVER分配的IP地址是否已经被别人使用,如果可以使用,则CLIENT成功获得IP地址,并根据IP地址使用租期自动启动续延过程。
2)交换机处理ARP请求:
交换机接收到终端发起ARP请求,交换机根据SW_DHCP_POOL_DB找到请求IP,如果请求IP是网关的IP,则把网关的MAC发送给终端,发送ARP响应消息给终端,如果请求IP是其他终端的IP,则返回该IP所属交换机的MAC地址。
终端收到交换机发送的ARP响应消息,获得查询IP的MAC地址,使用这个MAC地址进行通信。即终端根据ARP响应消息确定请求IP地址的MAC地址,并使用基于请求IP地址的MAC地址进行通信。
交换机处理数据帧:
交换机接收终端发送数据帧,如果数据帧是广播数据,则检查数据帧的类型,如果是DHCP协议,按照1)实现DHCP服务的步骤进行处理;如果是ARP协议,按照2)交换机处理ARP请求的步骤进行处理,其他协议按照交换机的常规流程处理。
数据帧非广播帧,则检查数据帧的MAC地址,如果MAC地址不是本交换机,查找SW_DHCP_POOL_DB,则根据端端口,MAC,IP)关系表把数据帧转发出去。
如果MAC地址是本交换机的,根据协议类型和IP地址(如果有的话)判断数据报文是否是交换机本身的协议数据报文,如果是按照对应的协议进行处理。
数据报文是交换机所连接终端的数据帧:根据IP地址,找到IP地址所在的交换机,查找(端口,MAC,IP)对应表,找到IP对应的MAC,使用这个MAC地址替换原帧中的目的MAC地址,重新生成数据帧,根据IP所对应的端口,把帧转发出去。
图2为本发明所提供的交换机处理数据帧的流程图,如图2所示,交换机接收到数据帧之后,应进行如下步骤:
步骤201:交换机接收到数据帧(数据包),按照常规操作校验帧是否正确;
步骤202:交换机检查数据包MAC地址判断是否是广播帧;如果是广播帧则进入步骤203,否则进入步骤206;
步骤203:判断数据帧是DHCP还是ARP协议帧,如果是DHCP帧进入步骤204,如果是APR帧进入步骤205;其他广播帧按照交换机常规流程处理。
步骤204:如果是DHCP帧,这按照DHCP协议处理流程进行处理,其操作流程参见图3的说明。
步骤205:如果是ARP帧,这按照ARP协议处理流程进行处理,其操作流程参见图4的说明。
步骤206:如果是非广播帧,交换机检查数据帧的目的地址是否是本机的MAC地址,如果不是本机的MAC地址进入步骤207,是本机MAC的进入步骤208;
步骤207:接收到非本机MAC的数据帧,根据帧的目的MAC地址,查询(端口,MAC,IP)关系表,找到MAC地址对应的端口,把数据帧转发出去。
步骤208:接收到本机MAC地址的数据帧,需要进一步判断数据帧类型。判断数据帧是否是交换机管理帧,即判断是否是交换机自身的包,如果是进入步骤209;否则进入步骤2010;
步骤209:接收到交换机管理帧,按照根据协议类型交换机直接进行处理。
步骤2010:接收的数据帧不是交换机的管理帧,应该是交换机端口所接入终端的数据帧,根据帧里面IP地址,查找(端口,MAC,IP)关系表,找个该IP对应的MAC和接入端口,使用这个MAC地址作为数据帧的目的MAC地址,重新封装成以太网帧;
步骤2011:通过端口把数据帧转发给终端。
图3为本发明所提供的交换机处理DHCP协议的流程图,如图3所示,交换机接收到DHCP数据帧之后,应进行如下步骤:
步骤301:接收到DHCP协议,对数据进行协议解析;
步骤302:判断协议消息类型,如果是DHCP Discover则进入步骤303,否则进入步骤305;
步骤303:DHCP Discover表示有某个终端在请求IP地址,交换机充当DHCPSERVER,根据端口所在的VLAN,查询SW_DHCP_POOL,找到空闲IP作为该终端的租用IP,生成相应的包含出租的IP地址和其他设置的DHCP offer消息,发送给终端。交换机在分配IP地址时,缺省的每个端口只分配一个IP。
步骤304:发送DHCP offer报文。
步骤305:如果是其他DHCP报文,交换机按照标准DHCP SERVER处理协议报文的方法处理该报文,把响应消息发送给终端。
通过这些操作交换机建立起(端口,MAC,IP)关系表,默认情况下每个端口只有一个终端,端口,MAC,IP一一对应。
图4为本发明所提供的交换机处理ARP协议的流程图,如图4所示,交换机接收到ARP数据帧之后,应进行如下步骤:
步骤401:交换机接收到终端发起ARP请求,解析协议包;
步骤402:如果是MAC地址请求消息,则分析请求IP地址,如果是请求网关的MAC地址则进入步骤403,如果是其他主机(非网关本VLAN)的MAC地址则进入步骤404;
步骤403:从SW_DHCP_POOL_DB中查找网关的MAC地址,发送该网关MAC地址给终端;
步骤404:请求其他终端MAC地址,从SW_DHCP_POOL_DB中查找该IP所在交换机的MAC地址,把该MAC地址当作请求IP的MAC地址发送给终端;
步骤405:根据选择的MAC地址生成ARP应答报文,发送给请求终端。
本发明基于生成树协议,利用根交换机实现全网DHCP服务管理,依据交换机的端口数量分配IP地址,每个交换机都可以提供DHCP服务,依据根交换机分配的IP地址,服务本交换机连接的终端。这样可以减少DHCP服务产生的广播包在网络上的传播。根交换机管理全网IP地址之后,可以得到全网每个交换机和IP的对应关系数据库,根交换机定期更新这个数据库,并同步到生成树上的每个交换机。当交换机接收到终端发送的ARP请求第i个IP对应的MAC地址,根据这个数据库交换机可以知道合法的第i个IP地址所在的交换机j的MAC,使用交换机j的MAC地址作为第i个IP对应的MAC地址。这样可以减少ARP协议产生的广播包在网络上的传播。基于本发明所提供的管理方法及***可以实现局域网内IP地址自动管理,交换机之间无需传输ARP协议,DHCP协议,减少了局域网内大部分的广播流量,从根本上消除广播风暴,ARP病毒,可以提高局域网网络带宽利用率,提高网络安全性。
实施例二
本发明还提供一种以太网环境下交换机IP地址管理方法,包括:
配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机。
基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号。
获取所述根交换机的设备查询请求。
根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果。
若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机。
获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态。
根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果。
若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息。
根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机。
判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果。
若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库。
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
获取所述交换机所连接终端发送的DHCP Discover包。
根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端。
根据所述DHCP offer报文,向所述终端发送DHCP ACK报文。
获取所述终端发出的地址解析协议ARP请求。
基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址。
判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果。
若所述第五判断结果表示为所述请求IP地址为所述终端的网关IP地址,将网关的MAC地址以及ARP响应消息发送至所述终端。
若所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
获取数据帧及所述数据帧的MAC地址。
判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果。
若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果。
若所述第六判断结果表示为所述数据帧的MAC地址为非广播帧,则检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机。
若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理。
若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果。
若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果。
若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程。
若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用。
若成功分配所述终端的IP地址,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
实施例三
本发明还提供一种以太网环境下交换机IP地址管理***,包括:
根交换机确定模块,用于配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机。
消息认证模块,用于基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号。
设备查询请求获取模块,用于获取所述根交换机的设备查询请求。
第一判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果。
设备查询请求发送模块,用于若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机。
非根交换机生成的本机设备信息获取模块,用于获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态。
第二判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果。
交换机DHCP地址池消息生成模块,用于若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息。
IP地址配置模块,用于根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机。
第三判断模块,用于判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果。
交换机DHCP地址池数据库构建模块,用于若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库。
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
DHCP Discover包获取模块,用于获取所述交换机所连接终端发送的DHCPDiscover包。
DHCP offer报文生成模块,用于根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端。
DHCP ACK报文发送模块,用于根据所述DHCP offer报文,向所述终端发送DHCPACK报文。
第四判断模块,用于根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果。
续延过程启动模块,用于若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程。
占用模块,用于若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用。
关系表更新模块,用于在成功分配所述终端的IP地址时,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
ARP请求获取模块,用于获取所述终端发出的地址解析协议ARP请求。
请求IP地址确定模块,用于基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址。
第五判断模块,用于判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果。
通讯模块,用于根据所述ARP响应消息确定所述请求IP地址的MAC地址,并使用基于所述请求IP地址的MAC地址进行通信。
MAC地址返回模块,用于在所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
数据帧获取模块,用于获取数据帧及所述数据帧的MAC地址。
第六判断模块,用于判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果。
第七判断模块,用于若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果。
转发模块,用于当所述第六判断结果表示为所述数据帧的MAC地址为非广播帧时,检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机。
第一处理模块,用于若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理。
第八判断模块,用于若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果。
第二处理模块,用于若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的***而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种以太网环境下交换机IP地址管理方法,其特征在于,包括:
配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机;
基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号;
获取所述根交换机的设备查询请求;
根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果;
若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机;
获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态;
根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果;
若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息;
根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机;
判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果;
若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库;
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
2.根据权利要求1所述的以太网环境下交换机IP地址管理方法,其特征在于,所述根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址之后,还包括:
获取所述交换机所连接终端发送的DHCP Discover包;
根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端;
根据所述DHCP offer报文,向所述终端发送DHCP ACK报文;
根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果;
若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程;
若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用;
若成功分配所述终端的IP地址,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
3.根据权利要求2所述的以太网环境下交换机IP地址管理方法,其特征在于,所述根据所述DHCP offer报文,向所述终端发送DHCP ACK报文之后,还包括:
获取所述终端发出的地址解析协议ARP请求;
基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址;
判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果;
若所述第五判断结果表示为所述请求IP地址为所述终端的网关IP地址,将网关的MAC地址以及ARP响应消息发送至所述终端;
若所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
4.根据权利要求3所述的以太网环境下交换机IP地址管理方法,其特征在于,所述将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端之后,还包括:
获取数据帧及所述数据帧的MAC地址;
判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果;
若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果;
若所述第六判断结果表示为所述数据帧的MAC地址为非广播帧,则检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机;
若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理;
若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果;
若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
5.一种以太网环境下交换机IP地址管理***,其特征在于,包括:
根交换机确定模块,用于配置局域网内的交换机的虚拟局域网(VLAN),运行生成树协议确定根交换机,并确定剩余交换机为非根交换机;
消息认证模块,用于基于口令的消息认证方案(PBMAC1),对所述根交换机和所述非根交换机进行消息认证,并在所述根交换机上配置动态主机配置协议DHCP服务器信息;所述DHCP服务器信息包括地址池名字、子网掩码、地址段、网关IP、网关媒体访问控制地址MAC地址、保留的IP地址、域名服务器以及DHCP服务的VLAN号;
设备查询请求获取模块,用于获取所述根交换机的设备查询请求;
第一判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述设备查询请求是否合法,得到第一判断结果;
设备查询请求发送模块,用于若所述第一判断结果表示为所述设备查询请求合法,非根交换机转发所述根交换机的设备查询请求发送至剩余的非根交换机;
非根交换机生成的本机设备信息获取模块,用于获取所有的所述非根交换机生成的本机设备信息,并将所述非根交换机生成的本机设备信息发送至所述根交换机;所述非根交换机生成的本机设备信息包括所述非根交换机的MAC地址、IP地址以及端口信息;所述端口信息包括端口数量、端口类型以及端口的启用状态;
第二判断模块,用于根据所述基于口令的消息认证方案(PBMAC1)判断所述非根交换机生成的本机设备信息是否合法,得到第二判断结果;
交换机DHCP地址池消息生成模块,用于若所述第二判断结果表示为所述非根交换机生成的本机设备信息合法,根据所述非根交换机生成的本机设备信息生成交换机DHCP地址池消息;所述交换机DHCP地址池消息包括MAC地址、VLAN的标识码ID、分配的IP地址及地址池、网关IP、网关MAC、域名服务器IP以及DHCP的选项信息;
IP地址配置模块,用于根据所述交换机DHCP地址池消息配置在不同VLAN中接入的终端的互联网协议地址IP地址,并将所述交换机DHCP地址池消息发送至所有的非根交换机;
第三判断模块,用于判断所述非根交换机接收的所述交换机DHCP地址池消息是否合法,得到第三判断结果;
交换机DHCP地址池数据库构建模块,用于若所述第三判断结果表示为所述非根交换机接收的所述交换机DHCP地址池消息合法,根据所述交换机DHCP地址池消息构建交换机DHCP地址池数据库;
根据所述交换机DHCP地址池数据库管理以太网环境下交换机IP地址。
6.根据权利要求5所述的以太网环境下交换机IP地址管理***,其特征在于,还包括:
DHCP Discover包获取模块,用于获取所述交换机所连接终端发送的DHCP Discover包;
DHCP offer报文生成模块,用于根据所述DHCP Discover包和所述交换机DHCP地址池消息,生成DHCP offer报文并发送给所述终端;
DHCP ACK报文发送模块,用于根据所述DHCP offer报文,向所述终端发送DHCP ACK报文;
第四判断模块,用于根据所述DHCP ACK报文判断分配给所述终端的IP地址是否可使用,得到第四判断结果;
续延过程启动模块,用于若所述第四判断结果表示为分配给所述终端的IP地址可使用,获取所述终端的IP地址,并根据所述IP地址的使用租期自动启动续延过程;
占用模块,用于若所述第四判断结果表示为分配给所述终端的IP地址不可使用,确定所述终端的IP地址已被占用;
关系表更新模块,用于在成功分配所述终端的IP地址时,所述交换机更新关系表,所述关系表为端口、MAC、IP关系表;每个端口只有一个终端;所述端口,所述MAC和所述IP一一对应。
7.根据权利要求6所述的以太网环境下交换机IP地址管理***,其特征在于,还包括:
ARP请求获取模块,用于获取所述终端发出的地址解析协议ARP请求;
请求IP地址确定模块,用于基于所述ARP请求,根据所述交换机DHCP地址池数据库确定请求IP地址;
第五判断模块,用于判断所述请求IP地址是否为所述终端的网关IP地址,得到第五判断结果;
通讯模块,用于根据所述ARP响应消息确定所述请求IP地址的MAC地址,并使用基于所述请求IP地址的MAC地址进行通信;
MAC地址返回模块,用于在所述第五判断结果表示为所述请求IP地址不为所述终端的网关IP地址,将所述请求IP地址所属根交换机或所属非根交换机的MAC地址作为请求IP地址的MAC地址,根据所述请求IP地址的MAC地址生成ARP响应消息,并将所述ARP响应消息发送至所述终端。
8.根据权利要求7所述的以太网环境下交换机IP地址管理***,其特征在于,还包括:
数据帧获取模块,用于获取数据帧及所述数据帧的MAC地址;
第六判断模块,用于判断所述数据帧的MAC地址是否为广播帧,得到第六判断结果;
第七判断模块,用于若所述第六判断结果表示为所述数据帧的MAC地址为广播帧,判断所述数据帧是否为DHCP协议帧,得到第七判断结果;
转发模块,用于当所述第六判断结果表示为所述数据帧的MAC地址为非广播帧时,检查所述数据帧的MAC地址,如果所述数据帧的MAC地址与所述交换机的MAC地址不一致,查找交换机DHCP地址池数据库,将所述数据帧转发至与所述数据帧的MAC地址对应的交换机;
第一处理模块,用于若所述第七判断结果表示为所述数据帧为DHCP协议帧,根据DHCP协议对所述数据帧进行处理;
第八判断模块,用于若所述第七判断结果表示为所述数据帧不为DHCP协议帧,判断所述数据帧是否为APR帧,得到第八判断结果;
第二处理模块,用于若所述第八判断结果表示为所述数据帧为APR帧,根据ARP协议对所述数据帧进行处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910890793.1A CN110445889B (zh) | 2019-09-20 | 2019-09-20 | 一种以太网环境下交换机ip地址管理方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910890793.1A CN110445889B (zh) | 2019-09-20 | 2019-09-20 | 一种以太网环境下交换机ip地址管理方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110445889A true CN110445889A (zh) | 2019-11-12 |
CN110445889B CN110445889B (zh) | 2020-06-02 |
Family
ID=68440508
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910890793.1A Expired - Fee Related CN110445889B (zh) | 2019-09-20 | 2019-09-20 | 一种以太网环境下交换机ip地址管理方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110445889B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111866208A (zh) * | 2020-06-30 | 2020-10-30 | 新华三信息安全技术有限公司 | 网络地址获取方法及设备 |
US11456987B1 (en) | 2021-05-07 | 2022-09-27 | State Farm Mutual Automobile Insurance Company | Systems and methods for automatic internet protocol address management |
WO2023138256A1 (zh) * | 2022-01-24 | 2023-07-27 | 华为技术有限公司 | 一种通信方法及通信装置 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030219011A1 (en) * | 2002-05-24 | 2003-11-27 | Dong-Sik Han | Head end apparatus for media gateway control protocol type voice over internet protocol call service |
CN101035012A (zh) * | 2006-03-09 | 2007-09-12 | 上海博达数据通信有限公司 | 基于dhcp和ip的以太网多层交换机安全防护方法 |
CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及*** |
CN102694720A (zh) * | 2011-03-24 | 2012-09-26 | 日电(中国)有限公司 | 编址方法、编址装置、架构管理器、交换机和数据路由方法 |
US20130039226A1 (en) * | 2011-08-09 | 2013-02-14 | General Instrument Corporation | Method of intercepting voip communications |
CN104506368A (zh) * | 2014-12-30 | 2015-04-08 | 浪潮(北京)电子信息产业有限公司 | 一种统一管理交换机设备的方法和设备 |
CN105162704A (zh) * | 2015-09-28 | 2015-12-16 | 杭州数梦工场科技有限公司 | Overlay网络中组播复制的方法及装置 |
CN105610996A (zh) * | 2016-01-29 | 2016-05-25 | 深圳市磊科实业有限公司 | 一种应用于交换机的dhcp冲突检测方法和装置 |
US20170019481A1 (en) * | 2014-03-27 | 2017-01-19 | Hitachi Kokusai Electric Inc. | Intra-formation network system, intra-formation network management method, and management apparatus |
-
2019
- 2019-09-20 CN CN201910890793.1A patent/CN110445889B/zh not_active Expired - Fee Related
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030219011A1 (en) * | 2002-05-24 | 2003-11-27 | Dong-Sik Han | Head end apparatus for media gateway control protocol type voice over internet protocol call service |
CN101035012A (zh) * | 2006-03-09 | 2007-09-12 | 上海博达数据通信有限公司 | 基于dhcp和ip的以太网多层交换机安全防护方法 |
CN102694720A (zh) * | 2011-03-24 | 2012-09-26 | 日电(中国)有限公司 | 编址方法、编址装置、架构管理器、交换机和数据路由方法 |
US20130039226A1 (en) * | 2011-08-09 | 2013-02-14 | General Instrument Corporation | Method of intercepting voip communications |
CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及*** |
US20170019481A1 (en) * | 2014-03-27 | 2017-01-19 | Hitachi Kokusai Electric Inc. | Intra-formation network system, intra-formation network management method, and management apparatus |
CN104506368A (zh) * | 2014-12-30 | 2015-04-08 | 浪潮(北京)电子信息产业有限公司 | 一种统一管理交换机设备的方法和设备 |
CN105162704A (zh) * | 2015-09-28 | 2015-12-16 | 杭州数梦工场科技有限公司 | Overlay网络中组播复制的方法及装置 |
CN109561033A (zh) * | 2015-09-28 | 2019-04-02 | 杭州数梦工场科技有限公司 | Overlay网络中组播复制的方法及装置 |
CN105610996A (zh) * | 2016-01-29 | 2016-05-25 | 深圳市磊科实业有限公司 | 一种应用于交换机的dhcp冲突检测方法和装置 |
Non-Patent Citations (4)
Title |
---|
HE ZHANG, MIN ZHANG, XUEFANG LIU: ""A Multi-OLTs and Virtual Passive Optical Network"", 《2016 7TH IEEE INTERNATIONAL CONFERENCE ON SOFTWARE ENGINEERING AND SERVICE SCIENCE (ICSESS)》 * |
HUAHONGZI CHEN, ZE LV, RUICHUN TANG: ""Clustering Energy-Efficient Transmission Protocol for Wireless Sensor"", 《 2017 INTERNATIONAL CONFERENCE ON COMPUTER, INFORMATION AND TELECOMMUNICATION SYSTEMS (CITS)》 * |
WANG BIN,LIU PEICHUN: "Research on the Application of Flipped Classroom Model Based on MOOC in the Course", 《2018 INTERNATIONAL SYMPOSIUM ON EDUCATIONAL TECHNOLOGY》 * |
毕艳冰 ,孙延涛 ,李涛: "一种交换式以太网拓扑结构的发现算法", 《小型微型计算机》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111866208A (zh) * | 2020-06-30 | 2020-10-30 | 新华三信息安全技术有限公司 | 网络地址获取方法及设备 |
US11456987B1 (en) | 2021-05-07 | 2022-09-27 | State Farm Mutual Automobile Insurance Company | Systems and methods for automatic internet protocol address management |
WO2023138256A1 (zh) * | 2022-01-24 | 2023-07-27 | 华为技术有限公司 | 一种通信方法及通信装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110445889B (zh) | 2020-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8484695B2 (en) | System and method for providing access control | |
EP1876754B1 (en) | Method system and server for implementing dhcp address security allocation | |
US8195950B2 (en) | Secure and seamless wireless public domain wide area network and method of using the same | |
US8125980B2 (en) | User terminal connection control method and apparatus | |
US6603758B1 (en) | System for supporting multiple internet service providers on a single network | |
CN101465856B (zh) | 一种对用户进行访问控制的方法和*** | |
US7477648B2 (en) | Packet forwarding apparatus and access network system | |
US20130191901A1 (en) | Security actions based on client identity databases | |
CN110445889A (zh) | 一种以太网环境下交换机ip地址管理方法及*** | |
CN112019434B (zh) | 一种组网设备web集中管理方法与装置 | |
JP2002508121A (ja) | 通信システムに関する方法および装置 | |
US20090077635A1 (en) | Method, apparatus and system for network service authentication | |
CN105763658B (zh) | 用于被寻址设备动态ip寻址的方法、寻址服务器和*** | |
JP2001326696A (ja) | アクセス制御方法 | |
KR20010082754A (ko) | 서비스 사인 온 | |
CN100365591C (zh) | 基于客户端的网络地址分配方法 | |
KR100714368B1 (ko) | 인증 서버와 연동되는 ip 주소 관리 시스템 | |
CN107343058B (zh) | 一种ip地址分配的***及其工作方法 | |
EP1244265A2 (en) | Integrated policy implementation service for communication network | |
EP1593230B1 (en) | Terminating a session in a network | |
JP2003224576A (ja) | Lan型インタネット・アクセス網及びそれに用いる加入者線収容方法 | |
CN106330894B (zh) | 基于本地链路地址的savi代理认证***及方法 | |
WO2006075823A1 (en) | Internet protocol address management system co-operated with authentication server | |
KR100513296B1 (ko) | 네트워크 접근제어를 위한 네트워크 관리장치와관리시스템 및 이를 이용한 네트워크 접근제어 방법 | |
RU2788673C1 (ru) | Система и способ управления доступом к сети |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200602 |
|
CF01 | Termination of patent right due to non-payment of annual fee |