專(zhuān)利名稱(chēng):一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)通信領(lǐng)域��,尤其涉及一種防止DHCPve服務(wù)器欺騙的系統(tǒng)及方法��。
背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)復(fù)雜程度的提高�����,網(wǎng)絡(luò)配置越來(lái)越復(fù)雜��,經(jīng)常出現(xiàn)計(jì)算機(jī)位置變化和計(jì)算機(jī)數(shù)量超過(guò)可分配的IP地址的情況。動(dòng)態(tài)主機(jī)分配協(xié)議(Dynamic Host Configuration Protocol Version, DHCP)就是為了滿(mǎn)足這些需求而發(fā)展起來(lái)的����。在網(wǎng)絡(luò)規(guī)模較大的情況下���,IPv6協(xié)議具有地址空間巨大的特點(diǎn)�����,但同時(shí)長(zhǎng)達(dá)128 比特的IPv6地址又要求高效合理的地址自動(dòng)分配和管理策略�。IPv6地址無(wú)狀態(tài)地址配置協(xié)議是目前廣泛采用的IPv6地址自動(dòng)配置協(xié)議����,配置了該協(xié)議的主機(jī)只需要相鄰路由器開(kāi)啟IPv6路由公告功能,既可以根據(jù)公告報(bào)文包含的前綴信息自動(dòng)配置本機(jī)地址����。但無(wú)狀態(tài)地址配置方案中路由器并不記錄所連接的IPv6主機(jī)的具體地址信息,可管理性差�。而且當(dāng)前無(wú)狀態(tài)地址配置方式不能使IPv6主機(jī)獲取DNS服務(wù)器的地址和域名等配置信息,在可用性上由一定缺陷�。DHCPv6是動(dòng)態(tài)主機(jī)分配協(xié)議(DHCP)的IPv6版本,相對(duì)于IPv6無(wú)狀態(tài)地址自動(dòng)配置協(xié)議�����,DHCPv6屬于一種有狀態(tài)地址自動(dòng)配置協(xié)議。在有狀態(tài)地址配置過(guò)程中���,DHCPv6服務(wù)器分配一個(gè)完成的IPv6地址給主機(jī)�����,并提供DNS服務(wù)地址和域名等其他配置信息�,中間可能通過(guò)中繼代理轉(zhuǎn)交DHCPv6報(bào)文�����,而且最終服務(wù)器能把分配的IPv6地址和客戶(hù)端的綁定關(guān)系記錄在案���,增強(qiáng)了網(wǎng)絡(luò)的可管理性�。DHCPv6服務(wù)器也能提供無(wú)狀態(tài)DHCPv6服務(wù)�,即 DHCPv6服務(wù)器不分配IP v6地址,僅需要向主機(jī)提供DNS服務(wù)器地址和域名等其他配置信息����,主機(jī)IPv6地址仍通過(guò)路由器公告方式自動(dòng)生成,這樣配合使用彌補(bǔ)了 IPv6無(wú)狀態(tài)地址自動(dòng)配置的缺陷���。為了防止非法設(shè)置DHCPv6服務(wù)器����,一般在交換機(jī)中開(kāi)啟DHCPv6偵聽(tīng)(DHCPv6 SNOOPING)功能,但是啟用DHCPv6偵聽(tīng)來(lái)防止私設(shè)DHCPv6服務(wù)器是一種被動(dòng)的行為��,而且其判斷DHCPv6服務(wù)器非法的條件相對(duì)簡(jiǎn)單�����,不能滿(mǎn)足復(fù)雜網(wǎng)絡(luò)中的需求��。亟需一種簡(jiǎn)單��、 易于實(shí)現(xiàn)����、能夠主動(dòng)探測(cè)發(fā)現(xiàn)非法DHCPv6服務(wù)器的方法���,能夠有效解決網(wǎng)絡(luò)中DHCPv6服務(wù)器欺騙行為���。
發(fā)明內(nèi)容
為克服現(xiàn)有技術(shù)中存在的缺陷和不足,本發(fā)明提出一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)及方法���,有效的解決了在網(wǎng)絡(luò)中私設(shè)DHCPv6服務(wù)器的行為����,確保用戶(hù)獲取合法IPv6 地址,保證了網(wǎng)絡(luò)的安全性�����。一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)�,所述系統(tǒng)包括交換裝置和DHCPv6服務(wù)器,其中�����,所述交換裝置用于主動(dòng)構(gòu)建并發(fā)送DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)��,并在接收到所述DHCPv6服務(wù)器的DHCPv6公告報(bào)文(DHCPv6 ADVERTISE報(bào)文)后將相應(yīng)報(bào)文中的DHCPv6服務(wù)器特征信息與預(yù)先配置的合法DHCPv6服務(wù)器特征信息進(jìn)行匹配���,如匹配成功���,交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文);如匹配失敗��,交換裝置將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄����。所述DHCPv6服務(wù)器用于接收DHCPv6發(fā)現(xiàn)報(bào)文并回復(fù)帶有服務(wù)器信息的DHCPv6 公告報(bào)文��;進(jìn)一步地����,所述合法DHCPve服務(wù)器特征包括DHCPve服務(wù)器連接端口��、所屬虛擬局域網(wǎng)標(biāo)識(shí)����、IPv6地址或MAC地址�����。進(jìn)一步地����,所述交換裝置包括交換芯片和微處理器單元(CPU);交換裝置預(yù)先配置滿(mǎn)足合法DHCPV6服務(wù)器的特征,下發(fā)將所述DHCPV6發(fā)現(xiàn)報(bào)文由交換芯片重定向到微處理器單元的規(guī)則到交換芯片��。進(jìn)一步地�����,所述交換裝置包括接入交換機(jī)和匯聚交換機(jī),接入交換機(jī)包括交換芯片和微處理器單元(CPU)���,接入交換機(jī)通過(guò)匯聚交換機(jī)與DHCPV6服務(wù)器連接��,其中�,匯聚交換機(jī)支持DHCPv6中繼�,接入交換機(jī)預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征,下發(fā)將所述 DHCPv6發(fā)現(xiàn)報(bào)文由交換芯片重定向到微處理器單元的規(guī)則到交換芯片����,通過(guò)匯聚交換機(jī)轉(zhuǎn)發(fā)DHCPv6發(fā)現(xiàn)報(bào)文給DHCPv6服務(wù)器;進(jìn)一步地����,交換裝置對(duì)每一個(gè)物理端口構(gòu)建以定位服務(wù)器的DHCPv6發(fā)現(xiàn)報(bào)文 (DHCPv6 SOLICIT報(bào)文),并將構(gòu)建后的報(bào)文從各構(gòu)建端口發(fā)送給DHCPv6服務(wù)器�����。進(jìn)一步地����,DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并進(jìn)行回復(fù),返回服務(wù)器可提供的地址和配置設(shè)置的DHCPv6公告報(bào)文(DHCPv6 ADVERTISE報(bào)文),交換裝置的微處理器單元對(duì)DHCPv6公告報(bào)文進(jìn)行解析���,記錄接收?qǐng)?bào)文的端口信息�����。本發(fā)明還公開(kāi)一種防止DHCPv6服務(wù)器欺騙的方法�����,包括如下步驟SI :交換裝置預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征��,交換裝置主動(dòng)構(gòu)建DHCPv6 發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)�����;S2 :交換裝置轉(zhuǎn)發(fā)所述DHCPve發(fā)現(xiàn)報(bào)文到DHCPv6服務(wù)器;S3 DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并回復(fù)帶有服務(wù)器信息的DHCPv6公告報(bào)文�����;S4 :交換裝置判斷DHCPv6公告報(bào)文中的DHCPv6服務(wù)器特征信息與預(yù)先配置的合法DHCPv6服務(wù)器特征是否匹配�����;S5 :如匹配成功��,交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文); 如匹配失敗����,交換裝置將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄。進(jìn)一步地����,所述步驟S2中交換裝置對(duì)每一個(gè)物理端口構(gòu)建以定位服務(wù)器的 DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文),并將構(gòu)建后的報(bào)文從各構(gòu)建端口發(fā)送給DHCPv6 服務(wù)器���。進(jìn)一步地��,步驟S3中DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并進(jìn)行回復(fù)��,返回服務(wù)器可提供的地址和配置設(shè)置的DHCPv6公告報(bào)文����,交換裝置的微處理器單元對(duì)DHCPv6公告報(bào)文進(jìn)行解析�,記錄接收?qǐng)?bào)文的端口信息。進(jìn)一步地��,步驟S5中����,如匹配成功�����,交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文)�����,并將DHCPv6公告報(bào)文丟棄��;如匹配失敗��,交換裝置通過(guò)Shutdown該端口����、下發(fā)該DHCPv6服務(wù)器的黑洞MAC表項(xiàng)或?qū)⒃摱丝谠O(shè)置到黑名單的方式將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄����。本發(fā)明的一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)及方法,能夠?qū)崿F(xiàn)主動(dòng)探測(cè)發(fā)現(xiàn)非法DHCPv6服務(wù)器���,確保用戶(hù)獲取合法IPv6地址,該方法簡(jiǎn)單���,易于實(shí)現(xiàn)�����,保證了網(wǎng)絡(luò)的安全性�。
圖I為本發(fā)明一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)示意圖;圖2為本發(fā)明另一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)不意圖���;圖3為本發(fā)明防止DHCPv6服務(wù)器欺騙的方法流程圖�;圖4為本發(fā)明一具體實(shí)施的防止DHCPv6服務(wù)器欺騙的方法的流程圖��。
具體實(shí)施例方式為詳細(xì)說(shuō)明本發(fā)明的技術(shù)內(nèi)容��、所實(shí)現(xiàn)目的及效果����,以下結(jié)合具體實(shí)施方式
并配合附圖予以詳細(xì)說(shuō)明。參見(jiàn)圖1�,為本發(fā)明一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)示意圖,該系統(tǒng)包括交換裝置和DHCPv6服務(wù)器���,其中���,交換裝置用于主動(dòng)構(gòu)建并發(fā)送DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)�,并在接收到所述DHCPv6服務(wù)器的DHCPv6公告報(bào)文(DHCPv6 ADVERTISE報(bào)文)后將相應(yīng)報(bào)文中的DHCPv6服務(wù)器特征信息與預(yù)先配置的合法DHCPv6服務(wù)器特征信息進(jìn)行匹配��,如匹配成功�,交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文);如匹配失敗�����,交換裝置將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄�。DHCPv6服務(wù)器用于接收DHCPv6發(fā)現(xiàn)報(bào)文并回復(fù)帶有服務(wù)器信息的DHCPv6公告報(bào)文。交換裝置包括交換芯片和微處理器單元(CPU)�����,能夠支持DHCPv6服務(wù)器�;交換裝置預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征,該合法DHCPv6服務(wù)器的特征指由管理員搭建DHCPv6服務(wù)器時(shí)所具有的特征�,包括DHCPv6服務(wù)器的連接端口、所屬虛擬局域網(wǎng)標(biāo)識(shí)(VLAN ID)�����、IPv6地址或者M(jìn)AC地址等�����;交換裝置主動(dòng)構(gòu)建DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)����,下發(fā)將所述DHCPv6發(fā)現(xiàn)報(bào)文由交換芯片重定向微處理器單元的規(guī)則,微處理器單元(CPU)對(duì)所述DHCPv6發(fā)現(xiàn)報(bào)文進(jìn)行軟件解析和轉(zhuǎn)發(fā)���;所述交換裝置對(duì)每一個(gè)物理端口構(gòu)建以定位服務(wù)器的發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)�����,將構(gòu)建后的報(bào)文從各構(gòu)建端口發(fā)送給DHCPv6服務(wù)器���,并記錄DHCPv6請(qǐng)求對(duì)話;DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并進(jìn)行回復(fù)�,返回服務(wù)器可提供的地址和配置設(shè)置的DHCPv6公告報(bào)文(DHCPv6 ADVERTISE 報(bào)文),交換裝置的微處理器單元對(duì)DHCPv6公告報(bào)文進(jìn)行解析���,記錄接收?qǐng)?bào)文的端口信息���; 交換裝置接收到DHCPv6公告報(bào)文將相應(yīng)DHCPv6服務(wù)器特征信息與預(yù)先配置的合法DHCPv6 服務(wù)器特征進(jìn)行匹配,如匹配成功�,交換裝置不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST 報(bào)文),并將DHCPv6公告報(bào)文丟棄�����;如匹配失敗,交換裝置通過(guò)Shutdown該端口���、下發(fā)該 DHCPv6服務(wù)器的黑洞MAC表項(xiàng)或?qū)⒃摱丝谠O(shè)置到黑名單的方式將非法DHCPv6服務(wù)器所有 DHCPv6報(bào)文全部丟棄�。該技術(shù)方案禁止非法DHCPv6服務(wù)器接入網(wǎng)絡(luò)�,采用主動(dòng)方式解決了網(wǎng)絡(luò)中私設(shè) DHCPv6服務(wù)器的行為。
參見(jiàn)圖2��,為本發(fā)明另一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)示意圖�����。該系統(tǒng)包括交換裝置和DHCPv6服務(wù)器���,所述交換裝置包括接入交換機(jī)和匯聚交換機(jī)�,接入交換機(jī)包括交換芯片和微處理器單元(CPU)��,接入交換機(jī)通過(guò)匯聚交換機(jī)與DHCPv6服務(wù)器連接���,其中�����,匯聚交換機(jī)支持DHCPv6中繼�;接入交換機(jī)預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征�����,該合法 DHCPv6服務(wù)器的特征指由管理員搭建DHCPv6服務(wù)器時(shí)所具有的特征����,包括DHCPv6服務(wù)器的連接端口、所屬虛擬局域網(wǎng)標(biāo)識(shí)(VLAN ID)�、IPv6地址或者M(jìn)AC地址等;接入交換機(jī)主動(dòng)構(gòu)建DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)�,下發(fā)將所述DHCPv6發(fā)現(xiàn)報(bào)文由交換芯片重定向微處理器單元的規(guī)則,微處理器單元(CPU)對(duì)所述DHCPv6發(fā)現(xiàn)報(bào)文進(jìn)行軟件解析和轉(zhuǎn)發(fā)���;所述接入交換機(jī)對(duì)每一個(gè)物理端口構(gòu)建以定位服務(wù)器的發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT 報(bào)文)���,將構(gòu)建后的報(bào)文從各構(gòu)建端口發(fā)送給匯聚交換機(jī),匯聚交換機(jī)將DHCPv6發(fā)現(xiàn)報(bào)文給DHCPv6服務(wù)器���;DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并進(jìn)行回復(fù)���,返回服務(wù)器可提供的地址和配置設(shè)置的DHCPv6公告報(bào)文(DHCPv6 ADVERTISE報(bào)文)�,匯聚交換機(jī)接收DHCPv6 公告報(bào)文后將DHCPv6公告報(bào)文轉(zhuǎn)發(fā)給接入交換機(jī)���,接入交換機(jī)的微處理器單元對(duì)DHCPv6 公告報(bào)文進(jìn)行解析��,記錄接收?qǐng)?bào)文的端口信息���;接入交換機(jī)接收到DHCPv6公告報(bào)文將相應(yīng) DHCPv6服務(wù)器特征信息與預(yù)先配置的合法DHCPv6服務(wù)器特征進(jìn)行匹配,如匹配成功����,交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文),并將DHCPv6公告報(bào)文丟棄���;如匹配失敗�����,交換裝置通過(guò)Shutdown該端口���、下發(fā)該DHCPv6服務(wù)器的黑洞MAC表項(xiàng)或?qū)⒃摱丝谠O(shè)置到黑名單的方式將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄。參見(jiàn)圖3����,為本發(fā)明防止DHCPv6服務(wù)器欺騙的方法流程圖���。該方法具體步驟如下SI :交換裝置預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征,交換裝置主動(dòng)構(gòu)建DHCPv6 發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)�。其中,合法DHCPv6服務(wù)器的特征指管理員搭建的DHCPv6服務(wù)器具有的特征�,如 DHCPv6服務(wù)器的連接端口、所屬虛擬局域網(wǎng)標(biāo)識(shí)(VLAN ID)���、IPv6地址或者M(jìn)AC地址等,交換裝置下發(fā)DHCPv6報(bào)文重定向至微處理器單元(CPU)的規(guī)則�����,由交換芯片接收到DHCPv6 發(fā)現(xiàn)報(bào)文后���,不執(zhí)行硬件轉(zhuǎn)發(fā)行為�����,而是將報(bào)文重定向至交換裝置的微處理器單元(CPU)�����, 由微處理器單元進(jìn)行軟件的解析和轉(zhuǎn)發(fā)��。S2 :交換裝置發(fā)送所述DHCPv6發(fā)現(xiàn)報(bào)文到DHCPv6服務(wù)器����。交換裝置上包括多個(gè)物理端口,交換芯片接收到DHCPv6發(fā)現(xiàn)報(bào)文后�����,交換裝置為每一個(gè)端口構(gòu)建以定位服務(wù)器的DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)��,將構(gòu)建后的報(bào)文從各構(gòu)建端口發(fā)送給DHCPv6服務(wù)器����,同時(shí)記錄此次DHCPv6請(qǐng)求對(duì)話。交換裝置包括接入交換機(jī)和匯聚交換機(jī)����,接入交換機(jī)上包括多個(gè)物理端口,匯聚交換機(jī)支持DHCPv6中繼��,接入交換機(jī)的交換芯片收到DHCPv6發(fā)現(xiàn)報(bào)文后���,接入交換機(jī)為每一個(gè)端口構(gòu)建以定位服務(wù)器的DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)���,將構(gòu)建后的報(bào)文從各構(gòu)建端口發(fā)出����,通過(guò)匯聚交換機(jī)中繼給DHCPv6服務(wù)器���。S3 DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并回復(fù)帶有服務(wù)器信息的DHCPv6公告報(bào)文�����。DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并進(jìn)行回復(fù)�����,返回服務(wù)器可提供的地址和配置設(shè)置的DHCPv6公告報(bào)文(DHCPv6 ADVERTISE報(bào)文),交換裝置的微處理器單元對(duì) DHCPv6公告報(bào)文進(jìn)行解析��,記錄接收?qǐng)?bào)文的端口信息���。
S4 :交換裝置判斷DHCPv6公告報(bào)文中的DHCPv6服務(wù)器特征信息與預(yù)先配置的合法DHCPv6服務(wù)器特征是否匹配���。交換裝置接收DHCPv6服務(wù)器回復(fù)的DHCPv6公告報(bào)文,根據(jù)微處理器單元對(duì) DHCPv6公告報(bào)文解析的結(jié)果��,將相應(yīng)DHCPv6服務(wù)器特征信息與預(yù)先配置的合法DHCPv6服務(wù)器的特征進(jìn)行匹配。S5 :如匹配成功����,交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文;如匹配失敗���,交換裝置將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄�。如果DHCPv6公告報(bào)文為本次DHCPv6請(qǐng)求對(duì)話的回應(yīng)���,解析后的信息與預(yù)先配置的合法DHCPv6服務(wù)器的特征匹配成功����,交換裝置就不再發(fā)送以請(qǐng)求特定服務(wù)器地址和配置設(shè)置的DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文)����,并且丟棄該DHCPv6公告報(bào)文;如解析后的信息與預(yù)先配置的合法DHCPv6服務(wù)器的特征匹配失敗���,交換裝置通過(guò)Shutdown該端口����、下發(fā)該DHCPv6服務(wù)器的黑洞MAC表項(xiàng)或?qū)⒃摱丝谠O(shè)置到黑名單的方式將非法DHCPv6 服務(wù)器的所有DHCPv6報(bào)文全部丟棄��。參見(jiàn)圖4,為本發(fā)明一具體實(shí)施的防止DHCPv6服務(wù)器欺騙的方法的具體流程I)在交換裝置上預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征�����,啟用主動(dòng)探測(cè)非法 DHCPv6服務(wù)器功能����;2)交換裝置主動(dòng)構(gòu)建DHCPv6發(fā)現(xiàn)報(bào)文,下發(fā)DHCPv6報(bào)文重定向至微處理器單元 CPU的規(guī)則到交換芯片����,交換芯片收到DHCPV6發(fā)現(xiàn)報(bào)文后,不執(zhí)行硬件轉(zhuǎn)發(fā)行為����,而是將報(bào)文重定向至交換機(jī)的微處理器單元CPU,由微處理器單元CPU進(jìn)行軟件的解析和轉(zhuǎn)發(fā)���;3)交換裝置為每一個(gè)物理端口構(gòu)建DHCPv6發(fā)現(xiàn)報(bào)文,將構(gòu)建后的DHCPv6發(fā)現(xiàn)報(bào)文以多播(目的地址為FF02: :1:2)的方式從各構(gòu)建端口發(fā)送給DHCPv6服務(wù)器�,記錄此次 DHCPv6請(qǐng)求對(duì)話;DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并進(jìn)行回復(fù)�,以單播的形式返回 DHCPv6公告報(bào)文給交換裝置;4)交換裝置端口收到DHCPv6公告報(bào)文��,解析該報(bào)文,記錄接收?qǐng)?bào)文的端口����,判斷 DHCPv6公告報(bào)文解析結(jié)果與步驟I)中預(yù)先配置的合法DHCPv6服務(wù)器特征是否匹配;如是�,執(zhí)行步驟5),如否��,則執(zhí)行步驟6)�;5)如果DHCPv6公告報(bào)文為本次DHCPv6請(qǐng)求對(duì)話的回應(yīng),解析后的信息與預(yù)先配置的合法DHCPv6服務(wù)器的特征匹配成功��,交換裝置就不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文)�����,并且將接收到的DHCPv6公告報(bào)文丟棄���;6)如解析后的信息與預(yù)先配置的合法DHCPv6服務(wù)器的特征匹配不成功�,交換裝置通過(guò)Shutdown該端口���、下發(fā)該DHCPv6服務(wù)器的黑洞MAC表項(xiàng)或?qū)⒃摱丝谠O(shè)置到黑名單的方式將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄����。實(shí)施本發(fā)明的一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)及方法,通過(guò)主動(dòng)探測(cè)發(fā)現(xiàn)非法DHCPv6服務(wù)器����,確保用戶(hù)獲取合法IPv6地址,該方案簡(jiǎn)單����,易于實(shí)現(xiàn),保證了網(wǎng)絡(luò)的安全性�。
權(quán)利要求
1.一種防止DHCPv6服務(wù)器欺騙的系統(tǒng),所述系統(tǒng)包括交換裝置和DHCPv6服務(wù)器����,其中,所述交換裝置用于主動(dòng)構(gòu)建并發(fā)送DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)����,并在接收到所述DHCPv6服務(wù)器的DHCPv6公告報(bào)文(DHCPv6 ADVERTISE報(bào)文)后將相應(yīng)報(bào)文中的 DHCPv6服務(wù)器特征信息與預(yù)先配置的合法DHCPv6服務(wù)器特征進(jìn)行匹配,如匹配成功��,交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文)�;如匹配失敗����,交換裝置將非法 DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄�;所述DHCPv6服務(wù)器用于接收DHCPv6發(fā)現(xiàn)報(bào)文并回復(fù)帶有服務(wù)器信息的DHCPv6公告報(bào)文����。
2.根據(jù)權(quán)利要求I所述的防止DHCPv6服務(wù)器欺騙的系統(tǒng),其特征在于�����,所述合法 DHCPv6服務(wù)器特征包括DHCPv6服務(wù)器連接端口�、所屬虛擬局域網(wǎng)標(biāo)識(shí)、IPv6地址或MAC地址��。
3.根據(jù)權(quán)利要求I所述的防止DHCPv6服務(wù)器欺騙的系統(tǒng)�,其特征在于,所述交換裝置包括交換芯片和微處理器單元(CPU);交換裝置預(yù)先配置滿(mǎn)足合法DHCPV6服務(wù)器的特征�����, 下發(fā)將所述DHCPv6發(fā)現(xiàn)報(bào)文由交換芯片重定向到微處理器單元的規(guī)則到交換芯片�。
4.根據(jù)權(quán)利要求I所述的防止DHCPv6服務(wù)器欺騙的系統(tǒng),其特征在于��,所述交換裝置包括接入交換機(jī)和匯聚交換機(jī)�����,接入交換機(jī)包括交換芯片和微處理器單元(CPU),接入交換機(jī)通過(guò)匯聚交換機(jī)與DHCPv6服務(wù)器連接�,其中,匯聚交換機(jī)支持DHCPv6中繼����,接入交換機(jī)預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征,下發(fā)將所述DHCPv6發(fā)現(xiàn)報(bào)文由交換芯片重定向到微處理器單元的規(guī)則到交換芯片��,通過(guò)匯聚交換機(jī)轉(zhuǎn)發(fā)DHCPv6發(fā)現(xiàn)報(bào)文給DHCPv6服務(wù)器��。
5.根據(jù)權(quán)利要求3或4所述的防止DHCPv6服務(wù)器欺騙的系統(tǒng)���,其特征在于�,交換裝置對(duì)每一個(gè)物理端口構(gòu)建以定位服務(wù)器的DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文)����,并將構(gòu)建后的報(bào)文從各構(gòu)建端口發(fā)送給DHCPv6服務(wù)器。
6.根據(jù)權(quán)利要求5所述的防止DHCPv6服務(wù)器欺騙的系統(tǒng)��,其特征在于����,DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并進(jìn)行回復(fù),返回服務(wù)器可提供的地址和配置設(shè)置的DHCPv6公告報(bào)文(DHCPv6 ADVERTISE報(bào)文),交換裝置的微處理器單元對(duì)DHCPv6公告報(bào)文進(jìn)行解析�����,記錄接收?qǐng)?bào)文的端口信息�。
7.一種防止DHCPv6服務(wù)器欺騙的方法�,其特征在于,包括如下步驟51:交換裝置預(yù)先配置滿(mǎn)足合法DHCPV6服務(wù)器的特征����,交換裝置主動(dòng)構(gòu)建DHCPV6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT 報(bào)文);52:交換裝置轉(zhuǎn)發(fā)所述DHCPv6發(fā)現(xiàn)報(bào)文到DHCPv6服務(wù)器��;53DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并回復(fù)帶有服務(wù)器信息的DHCPv6公告報(bào)文�����;54:交換裝置判斷DHCPv6公告報(bào)文中的DHCPv6服務(wù)器特征信息與預(yù)先配置的合法 DHCPv6服務(wù)器特征是否匹配����;55:如匹配成功,交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文)��;如匹配失敗���,交換裝置將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄�。
8.根據(jù)權(quán)利要求7所述的防止DHCPv6服務(wù)器欺騙的方法,其特征在于����,所述步驟S2中交換裝置對(duì)每一個(gè)物理端口構(gòu)建以定位服務(wù)器的DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6 SOLICIT報(bào)文),并將構(gòu)建后的報(bào)文從各構(gòu)建端口發(fā)送給DHCPv6服務(wù)器�。
9.根據(jù)權(quán)利要求7所述的防止DHCPv6服務(wù)器欺騙的方法,其特征在于��,步驟S3中 DHCPv6服務(wù)器接收到DHCPv6發(fā)現(xiàn)報(bào)文并進(jìn)行回復(fù)�����,返回服務(wù)器可提供的地址和配置設(shè)置的DHCPv6公告報(bào)文���,交換裝置的微處理器單元對(duì)DHCPv6公告報(bào)文進(jìn)行解析���,記錄接收?qǐng)?bào)文的端口信息。
10.根據(jù)權(quán)利要求7所述的防止DHCPV6服務(wù)器欺騙的方法�,其特征在于,步驟S5中����, 如匹配成功����,交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6 REQUEST報(bào)文)�,并將DHCPv6 公告報(bào)文丟棄;如匹配失敗���,交換裝置通過(guò)Shutdown該端口、下發(fā)該DHCPv6服務(wù)器的黑洞 MAC表項(xiàng)或?qū)⒃摱丝谠O(shè)置到黑名單的方式將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄�。
全文摘要
本發(fā)明公開(kāi)一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)及方法,該方法包括S1交換裝置預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征��,主動(dòng)構(gòu)建DHCPv6發(fā)現(xiàn)報(bào)文��;S2交換裝置轉(zhuǎn)發(fā)所述報(bào)文到DHCPv6服務(wù)器���;S3DHCPv6服務(wù)器接收所述報(bào)文并回復(fù)帶有服務(wù)器信息的DHCPv6公告報(bào)文��;S4交換裝置判斷DHCPv6公告報(bào)文中DHCPv6服務(wù)器特征信息與合法DHCPv6服務(wù)器特征是否匹配����;S5根據(jù)步驟S4中的匹配結(jié)果�����,采取不同防護(hù)措施,主動(dòng)防止DHCPv6服務(wù)器欺騙���。該方案簡(jiǎn)單�,易實(shí)現(xiàn)���,通過(guò)主動(dòng)探測(cè)發(fā)現(xiàn)非法DHCPv6服務(wù)器�����,保證了網(wǎng)絡(luò)的安全性����。
文檔編號(hào)H04L29/12GK102594808SQ20121002534
公開(kāi)日2012年7月18日 申請(qǐng)日期2012年2月6日 優(yōu)先權(quán)日2012年2月6日
發(fā)明者梁小冰 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司