專利名稱:基于dhcp偵聽實現(xiàn)代理arp功能的方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及計算機數(shù)據(jù)通信領域���,尤其涉及一種基于DHCP偵聽實現(xiàn)代理ARP功能的方法和系統(tǒng)�����。
背景技術:
動態(tài)主機設置協(xié)議(DynamicHost Configuration Protocol, DHCP)是一個局域網(wǎng)的網(wǎng)絡協(xié)議���,使用UDP協(xié)議工作����,主要有兩個用途給內(nèi)部網(wǎng)絡或網(wǎng)絡服務供應商自動分配IP地址給用戶給內(nèi)部網(wǎng)絡管理員作為對所有計算機作中央管理的手段����。DHCP偵聽(SNOOPING)功能指交換機監(jiān)測DHCP客戶端通過DHCP協(xié)議獲取IP地址的過程。它通過設置可信端口和非可信端口���,來防止DHCP攻擊及私設DHCP服務器�����。從可信端口接收的DHCP報文無需校驗即可轉發(fā)�。典型的設置是將可信端口連接DHCP服務器或者DHCP中繼代理�����。非可信端口連接DHCP客戶端�,交換機將轉發(fā)從非可信端口接收的DHCP 請求報文,不轉發(fā)從非可信端口接收的DHCP回應報文����。如果啟用了 DHCP偵聽綁定功能���,則交換機將會保存非可信端口下的DHCP客戶端的綁定信息,每一條綁定信息包含該DHCP客戶端的MAC地址�、IP地址、租期���、VLAN號和端口號����,這些綁定信息存放于DHCP偵聽的綁定表中�����。地址解析協(xié)議(Address Resolution Protocol��,ARP)�����,在以太網(wǎng)中��,一個主機要和另一個主機進行直接通信�,必須要知道目標主機的MAC地址。這個目標MAC地址是通過地址解析協(xié)議獲得的�����。所謂“地址解析”就是主機在發(fā)送報文前將目標IP地址轉換成目標MAC 地址的過程����。ARP協(xié)議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址�����, 以保證通信的順利進行�����。如果ARP請求是從一個網(wǎng)絡的主機發(fā)往同一網(wǎng)段卻不在同一物理網(wǎng)絡上的另一臺主機���,那么連接它們的具有代理ARP功能的設備就可以回答該請求���,這個過程稱作代理 ARP (Proxy ARP)。代理ARP功能屏蔽了分離的物理網(wǎng)絡這一事實��,使用戶使用起來,好像在同一個物理網(wǎng)絡上����。代理ARP的優(yōu)點是,它可以只被應用在一個設備上(此時該設備的作用相當于網(wǎng)關)�����,不會影響到網(wǎng)絡中其他設備的路由表�����。代理ARP功能可以在IP主機沒有配置缺省網(wǎng)關或者IP主機沒有任何路由能力的情況下使用���。代理ARP的缺陷在于設備沒有檢測目標IP的可達性而直接給請求端發(fā)送ARP回應�,如果在請求端的ARP緩存中存在目標主機的IP和硬件地址的映射關系���,則造成請求終端認為目的終端存在,而實際上無法互通的情況�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提出一種基于DHCP偵聽實現(xiàn)代理ARP功能的方法和系統(tǒng)����,可以實現(xiàn)代理ARP設備檢測目標IP的可達性�����。為達此目的�,本發(fā)明采用以下技術方案一種基于動態(tài)主機配置協(xié)議(DHCP)偵聽(SNOOPING)實現(xiàn)代理ARP功能的方法��,包括以下步驟A����、接入層交換機開啟DHCP偵聽功能,匯聚層交換機開啟代理ARP功能�����,在所述接入層交換機上配置所述匯聚層交換機的IP地址�;B、接入層交換機偵聽客戶端的DHCP請求過程�����,創(chuàng)建并保存綁定信息�,將所述綁定信息上傳至匯聚層交換機;C��、匯聚層交換機將所述綁定信息保存在綁定信息表中;D�、客戶端發(fā)送的ARP請求報文到達匯聚層交換機,當所述ARP請求報文的目的IP 地址與所述客戶端處于不同的廣播域時�,匯聚層交換機查詢綁定信息表,當綁定信息表中包含所述ARP請求報文的目的IP地址時���,匯聚層交換機向所述客戶端發(fā)出ARP回應報文���。步驟B中,接入層交換機創(chuàng)建并保存綁定信息后����,通過將所述綁定信息添加到 DHCP偵聽綁定報文中,并對所述DHCP偵聽綁定報文進行加密和散列處理�,根據(jù)步驟A中配置的匯聚層交換機的IP地址將綁定信息上傳到匯聚層交換機。步驟C中�,匯聚層交換機對收到的經(jīng)過加密和散列處理的DHCP偵聽綁定報文�,先進行散列計算���,再進行解密,還原出所述DHCP偵聽綁定報文���。所述綁定信息表中包含所述匯聚層交換機下連的所有接入層交換機通過DHCP偵聽獲取的綁定信息���。一種基于DHCP偵聽實現(xiàn)代理ARP功能的系統(tǒng)����,包括客戶端�����、接入層交換機和匯聚層交換機���,所述客戶端��,用于發(fā)送DHCP請求報文和ARP請求報文����;所述接入層交換機�����,用于偵聽客戶端的DHCP請求過程���,創(chuàng)建并保存綁定信息,將所述綁定信息上傳至匯聚層交換機���;所述匯聚層交換機���,用于將所述綁定信息保存在綁定信息表中����,當所述綁定信息表中包含客戶端發(fā)送的ARP請求報文的目的IP地址時����,向所述客戶端發(fā)出ARP回應報文�。接入層交換機創(chuàng)建并保存綁定信息��,將所述綁定信息添加到DHCP偵聽綁定報文中�,并對所述DHCP偵聽綁定報文進行加密和散列處理后上傳到匯聚層交換機。匯聚層交換機對收到的經(jīng)過加密和散列處理的DHCP偵聽綁定報文�,先進行散列計算����,再進行解密�,還原出所述DHCP偵聽綁定報文���。所述匯聚層交換機的綁定信息表中,包含下連的所有接入層交換機通過DHCP偵聽獲取的綁定信息���。采用本發(fā)明的技術方案���,可以實現(xiàn)代理ARP設備檢測目標IP的可達性,確保請求終端與目標終端的互通。
圖1是本發(fā)明具體實施方式
提供的基于DHCP偵聽實現(xiàn)代理ARP功能的方法流程示意圖��。圖2是本發(fā)明具體實施方式
中DHCP偵聽綁定報文的報文格式示意圖���。圖3是本發(fā)明具體實施方式
提供的基于DHCP偵聽實現(xiàn)代理ARP功能的系統(tǒng)結構示意圖��。
具體實施例方式本發(fā)明技術方案的主要思想在于���,匯聚層交換機通過收集下連的所有接入層交換機通過DHCP偵聽獲得的綁定信息��,來確認收到的ARP請求報文的目標主機是否存在,從而確保請求終端與目標終端的互通��。下面結合附圖并通過具體實施方式
來進一步說明本發(fā)明的技術方案�����。圖1是本發(fā)明具體實施方式
提供的基于DHCP偵聽實現(xiàn)代理ARP功能的方法流程示意圖�。如圖1所示���,該方法包括步驟S101���,接入層交換機開啟DHCP偵聽功能��,匯聚層交換機開啟代理ARP功能����,在所述接入層交換機上配置所述匯聚層交換機的IP地址����。在接入層交換機上開啟DHCP偵聽功能��,并配置接收綁定信息的匯聚層交換機的 IP地址�,在匯聚層交換機的開啟ARP代理功能�;接入層交換機開啟DHCP偵聽后����,將DHCP報文重定向至交換機CPU的規(guī)則下發(fā)至交換芯片,所述接入層交換機的交換芯片收到DHCP報文后��,不執(zhí)行硬件轉發(fā)行為�����,而是將報文重定向至接入層交換機的CPU�,由CPU進行軟件的解析和轉發(fā)。步驟S102���,接入層交換機偵聽客戶端的DHCP請求過程���,創(chuàng)建并保存綁定信息����,將所述綁定信息上傳至匯聚層交換機。接入層交換機偵聽客戶端DHCP請求的過程如下接入層交換機的DHCP偵聽模塊截獲客戶端的DHCP請求報文后���,根據(jù)所述DHCP請求報文的源MAC地址查詢請求(REQUEST)綁定表�,如果該MAC地址在綁定表中存在,則將所述DHCP請求報文轉發(fā)出去���。否則�����,所述接入層交換機會先創(chuàng)建一個臨時的REQUEST綁定信息��,記錄DHCP客戶端的MAC地址�、IP地址����、租期、VLAN號和端口號���,再將所述DHCP請求報文轉發(fā)出去����。接入層交換機的DHCP偵聽模塊截獲客戶端的DHCP應答報文包后�,根據(jù)所述DHCP 應答報文中的chaddr字段(用于存儲DHCP客戶端MAC地址的字段)中的信息查詢REQUEST 綁定表,如果存在相同客戶端MAC地址�����,則創(chuàng)建一個綁定信息,記錄DHCP客戶端的MAC地址����、IP地址、租期���、VLAN號和端口號�����。所述DHCP偵聽模塊為運行在CPU上的軟件模塊�,用于截獲由交換芯片重定向至 CPU的DHCP請求報文和DHCP轉發(fā)報文����。讀取上述DHCP報文的源MAC地址、查詢REQUEST 綁定表��、創(chuàng)建并保存綁定信息���、將綁定信息添加到DHCP偵聽綁定報文中進行加密和散列處理后轉發(fā)等操作,均由所述運行在CPU上的軟件來執(zhí)行�。接入層交換機創(chuàng)建并保存綁定信息后,將綁定信息添加到DHCP偵聽綁定報文中�, 并對所述DHCP偵聽綁定報文進行加密和散列處理����,根據(jù)步驟SlOl中配置的接收綁定信息的匯聚層交換機的IP地址將綁定信息上傳到所述匯聚層交換機�����。所述DHCP偵聽綁定報文的報文格式如圖2所示�,其中各個字段分別為Version 版本號;Type 類型��,為1時����,表示包含綁定信息;SeqNo 序列號���,每發(fā)送一個報文��,加1 ���;SecretLen 被加密報文的長度;Signature =DHCP偵聽綁定報文所有字段的MD5散列結果�;
SwitchIPAddr 交換機的 IP 地址;SwitchID 交換機ID�����,存儲交換機CPU的MAC地址;Count 綁定數(shù)量�;ClientMAC 租用IP地址的客戶端MAC地址;Reserved 保留�����,為 0 ��;ClientVlanID =DHCP 客戶端接入交換機的 Vlan ID �����;
PortNum =DHCP客戶端所在的交換機端口號��;ClientIP 客戶端 IP 地址�����;ClientMask 客戶端地址掩碼��;ClientGateway 客戶端網(wǎng)關參數(shù)�����;ClientLease 客戶端 DHCP 地址租期�����;BindingTimeStamp 分配地址的時間戳����;所述綁定信息中的DHCP客戶端的MAC地址添加到ClientMAC字段中;客戶端IP 地址添加到ClientIP字段中�����;客戶端DHCP地址租期添加到ClientLease字段中����;客戶端 VLAN號添加到ClientVlanID字段中;客戶端端口號添加到PortNum字段中���。所述對DHCP偵聽綁定報文進行加密和散列處理��,本發(fā)明具體實施方式
的加密方式優(yōu)選采用共享密鑰的DES方式�,散列處理優(yōu)選采用MD5方式�����。DES密鑰由用戶配置,接入交換機與匯聚交換機的密鑰必須確保一致��。接入層交換機和匯聚層交換機之間經(jīng)過加密和散列處理的DHCP偵聽綁定報文通過UDP協(xié)議在網(wǎng)絡中傳輸�。對所述DHCP偵聽綁定報文先進行DES加密,后進行MD5散列處理����,具體過程如下從SwitchIPAddr字段開始,一直到結尾的報文內(nèi)容進行DES加密��,密文與明文等長�,密文放入DHCP偵聽綁定報文中SwitchIPAddr字段開始的報文區(qū)域,密文長度置于DHCP 偵聽綁定報文WkcretLen字段����,然后交給散列處理模塊。對于接入層交換機DES加密后的 DHCP偵聽綁定報文�����,計算MD5散列時��,Signature字段先清零���,然后對整個報文作散列運算�, 散列操作完成后,散列值填入Signature字段����,這時報文可以發(fā)出所述接入層交換機�,發(fā)送至匯聚層交換機。步驟S103����,匯聚層交換機將所述綁定信息保存在綁定信息表中。匯聚層交換機收到所述經(jīng)過加密和散列處理的DHCP偵聽綁定報文后��,先進行散列計算�����,再解密�,具體過程如下計算時先備份Signature字段的值,然后將Signature字段清零��,再計算整個報文的MD5散列值����,如果散列值與備份的Signature字段的值一樣,則散列驗證成功,繼續(xù)對所述DHCP偵聽綁定報文作DES解密處理�。如果散列驗證失敗,丟棄該DHCP偵聽綁定報文��。對于接收到的MD5散列驗證成功的DHCP偵聽綁定報文�����,匯聚層交換機對從Signature字段之后位置開始��,長度由SecretLen字段指定的報文內(nèi)容進行DES解密處理�����,還原出DHCP偵聽綁定報文�。根據(jù)報文結構首字段的起始地址以及其他各字段的相對偏移量,讀取所述DHCP 偵聽綁定報文在步驟S102中添加了綁定信息的各個字段的內(nèi)容��,保存在所述匯聚層交換機本地的綁定信息表中����。所述綁定信息表存儲在匯聚層交換機的內(nèi)存中。步驟S104����,客戶端發(fā)送的ARP請求報文到達匯聚層交換機�,當所述ARP請求報文的目的IP地址與所述客戶端處于不同的廣播域時(處于不同的三層接口下)���,匯聚層交換機查詢綁定信息表���,當綁定信息表中包含所述ARP請求報文的目的IP地址時,匯聚層交換機向所述客戶端發(fā)出ARP回應報文�����?���?蛻舳税l(fā)送ARP請求報文到達匯聚層交換機�。如果接收的三層接口開啟了 ARP代理,并且客戶端的ARP請求報文的目標IP地址處在匯聚層交換機的另一個三層接口的網(wǎng)段中�,不在同一個廣播域,則滿足代理ARP條件�����。匯聚層交換機根據(jù)ARP請求報文中的目標IP 地址����,查詢綁定信息表�,如果目標IP地址在綁定信息表中���,則發(fā)送ARP回應報文給客戶端�����, 其中�����,ARP回應報文中的目標MAC地址為接收該ARP請求報文的三層接口的MAC地址���;否則, 丟棄該ARP請求報文�����,不做處理����。圖3是本發(fā)明具體實施方式
提供的基于DHCP偵聽實現(xiàn)代理ARP功能的系統(tǒng)結構示意圖。如圖3所示���,該系統(tǒng)包括客戶端301�、接入層交換機302和匯聚層交換機303,所述客戶端301���,用于發(fā)送DHCP請求報文和ARP請求報文�;所述接入層交換機302����,用于偵聽客戶端的DHCP請求過程,創(chuàng)建并保存綁定信息�����, 將所述綁定信息上傳至匯聚層交換機����;所述匯聚層交換機303�,用于將所述綁定信息保存在綁定信息表中,當所述綁定信息表中包含客戶端發(fā)送的ARP請求報文的目的IP地址時���,向所述客戶端發(fā)出ARP回應報文���。所述接入層交換機開啟DHCP偵聽后,將DHCP報文重定向至交換機CPU的規(guī)則下發(fā)至交換芯片����,所述接入層交換機的交換芯片收到DHCP報文后�,不執(zhí)行硬件轉發(fā)行為��,而是將報文重定向至接入層交換機的CPU���,由CPU進行軟件的解析和轉發(fā)����。所述接入層交換機偵聽客戶端的DHCP請求過程����,創(chuàng)建并保存綁定信息。將綁定信息添加到DHCP偵聽綁定報文中����,并對所述DHCP偵聽綁定報文進行加密和散列處理,根據(jù)配置的接收綁定信息的匯聚層交換機的IP地址將綁定信息上傳到所述匯聚層交換機�。所述偵聽客戶端的DHCP請求的過程,由接入層交換機的DHCP偵聽模塊完成��。DHCP 偵聽模塊為運行在接入層交換機CPU上的軟件模塊����。讀取上述DHCP報文的源MAC地址����、查詢REQUEST綁定表�、創(chuàng)建并保存綁定信息、將綁定信息添加到DHCP偵聽綁定報文中進行加密和散列處理后轉發(fā)等操作�����,均由所述運行在CPU上的軟件來執(zhí)行���。所述加密方式優(yōu)選采用共享密鑰的DES方式���,散列處理優(yōu)選采用MD5方式。接入層交換機和匯聚層交換機之間經(jīng)過加密和散列處理的DHCP偵聽綁定報文通過UDP協(xié)議在網(wǎng)絡中傳輸�。匯聚層交換機對收到的經(jīng)過加密和散列處理的DHCP偵聽綁定報文,先進行散列計算�����,再進行解密��,還原出所述DHCP偵聽綁定報文�����。讀取所述DHCP偵聽綁定報文中添加的綁定信息的各個字段的內(nèi)容���,保存在所述匯聚層交換機本地的綁定信息表中���。所述綁定信息表存儲在匯聚層交換機的內(nèi)存中。所述匯聚層交換機的綁定信息表中����,包含其下連的所有接入層交換機通過DHCP 偵聽獲取的綁定信息?���?蛻舳税l(fā)送ARP請求報文到達匯聚層交換機。如果接收的三層接口開啟了 ARP代理�,并且客戶端的ARP請求報文的目標IP地址處在匯聚層交換機的另一個三層接口的網(wǎng)段中,不在同一個廣播域�����,則滿足代理ARP條件����。匯聚層交換機根據(jù)ARP請求報文中的目標IP
7地址,查詢綁定信息表,如果目標IP地址在綁定信息表中��,則發(fā)送ARP回應報文給客戶端���, 其中�,ARP回應報文中的目標MAC地址為接收該ARP請求報文的三層接口的MAC地址���;否則��, 丟棄該ARP請求報文���,不做處理。采用本發(fā)明的技術方案�,可以實現(xiàn)代理ARP設備檢測目標IP的可達性,確保請求終端與目標終端的互通���。以上所述�,僅為本發(fā)明較佳的具體實施方式
����,但本發(fā)明的保護范圍并不局限于此���, 任何熟悉該技術的人在本發(fā)明所揭露的技術范圍內(nèi)�,可輕易想到的變化或替換,都應涵蓋在本發(fā)明的保護范圍之內(nèi)���。因此��,本發(fā)明的保護范圍應該以權利要求的保護范圍為準���。
權利要求
1.一種基于動態(tài)主機配置協(xié)議(DHCP)偵聽(SNOOPING)實現(xiàn)代理地址解析協(xié)議(ARP) 功能的方法,其特征在于����,包括以下步驟A、接入層交換機開啟DHCP偵聽功能����,匯聚層交換機開啟代理ARP功能,在所述接入層交換機上配置所述匯聚層交換機的IP地址�����;B�、接入層交換機偵聽客戶端的DHCP請求過程,創(chuàng)建并保存綁定信息�,將所述綁定信息上傳至匯聚層交換機����;C���、匯聚層交換機將所述綁定信息保存在綁定信息表中����;D�、客戶端發(fā)送的ARP請求報文到達匯聚層交換機,當所述ARP請求報文的目的IP地址與所述客戶端處于不同的廣播域時�����,匯聚層交換機查詢綁定信息表����,當綁定信息表中包含所述ARP請求報文的目的IP地址時,匯聚層交換機向所述客戶端發(fā)出ARP回應報文�。
2.根據(jù)權利要求1所述的基于DHCP偵聽實現(xiàn)代理ARP功能的方法,其特征在于�,步驟 B中,接入層交換機創(chuàng)建并保存綁定信息后�,通過將所述綁定信息添加到DHCP偵聽綁定報文中,并對所述DHCP偵聽綁定報文進行加密和散列處理��,根據(jù)步驟A中配置的匯聚層交換機的IP地址將綁定信息上傳到匯聚層交換機。
3.根據(jù)權利要求2所述的基于DHCP偵聽實現(xiàn)代理ARP功能的方法����,其特征在于��,步驟 C中��,匯聚層交換機對收到的經(jīng)過加密和散列處理的DHCP偵聽綁定報文����,先進行散列計算, 再進行解密��,還原出所述DHCP偵聽綁定報文���。
4.根據(jù)權利要求1-3任一所述的基于DHCP偵聽實現(xiàn)代理ARP功能的方法���,其特征在于,所述綁定信息表中包含所述匯聚層交換機下連的所有接入層交換機通過DHCP偵聽獲取的綁定信息�。
5.一種基于DHCP偵聽實現(xiàn)代理ARP功能的系統(tǒng),其特征在于��,包括客戶端����、接入層交換機和匯聚層交換機��,所述客戶端�����,用于發(fā)送DHCP請求報文和ARP請求報文���;所述接入層交換機,用于偵聽客戶端的DHCP請求過程�����,創(chuàng)建并保存綁定信息�����,將所述綁定信息上傳至匯聚層交換機���;所述匯聚層交換機�����,用于將所述綁定信息保存在綁定信息表中����,當所述綁定信息表中包含客戶端發(fā)送的ARP請求報文的目的IP地址時,向所述客戶端發(fā)出ARP回應報文����。
6.根據(jù)權利要求5所述的基于DHCP偵聽實現(xiàn)代理ARP功能的系統(tǒng)��,其特征在于�,接入層交換機創(chuàng)建并保存綁定信息,將所述綁定信息添加到DHCP偵聽綁定報文中����,并對所述 DHCP偵聽綁定報文進行加密和散列處理后上傳到匯聚層交換機。
7.根據(jù)權利要求6所述的基于DHCP偵聽實現(xiàn)代理ARP功能的系統(tǒng)�,其特征在于,匯聚層交換機對收到的經(jīng)過加密和散列處理的DHCP偵聽綁定報文�,先進行散列計算,再進行解密����,還原出所述DHCP偵聽綁定報文。
8.根據(jù)權利要求5-7任一所述的基于DHCP偵聽實現(xiàn)代理ARP功能的系統(tǒng)����,其特征在于���,所述匯聚層交換機的綁定信息表中,包含下連的所有接入層交換機通過DHCP偵聽獲取的綁定信息���。
全文摘要
本發(fā)明公開了一種基于DHCP偵聽實現(xiàn)代理ARP功能的方法和系統(tǒng)����,該方法在接入層交換機開啟DHCP偵聽功能�,匯聚層交換機開啟代理ARP功能,接入層交換機上配置匯聚層交換機的IP地址���;接入層交換機偵聽客戶端的DHCP請求過程���,創(chuàng)建并保存綁定信息,將綁定信息上傳至匯聚層交換機�;匯聚層交換機將綁定信息保存在綁定信息表中;客戶端發(fā)送ARP請求報文到達匯聚層交換機�����,匯聚層交換機查詢綁定信息表��,當綁定信息表中包含ARP請求報文的目的IP地址時,匯聚層交換機向客戶端發(fā)出ARP回應報文�。采用本發(fā)明的技術方案,可以實現(xiàn)代理ARP設備檢測目標IP的可達性����,確保請求終端與目標終端的互通。
文檔編號H04L12/26GK102546307SQ20121002749
公開日2012年7月4日 申請日期2012年2月8日 優(yōu)先權日2012年2月8日
發(fā)明者梁小冰 申請人:神州數(shù)碼網(wǎng)絡(北京)有限公司