一種安全接入實(shí)時(shí)更新的方法及交換的制造方法
【專利摘要】本發(fā)明公開了一種安全接入實(shí)時(shí)更新的方法及交換機(jī)���,所述方法包括:按照第一定時(shí)器定時(shí)周期,根據(jù)DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)����,廣播ARP請(qǐng)求報(bào)文,并啟動(dòng)第二定時(shí)器進(jìn)行計(jì)時(shí)��;監(jiān)聽是否接收到ARP回應(yīng)���,如果在所述第二定時(shí)器設(shè)定時(shí)長截止前未接收到ARP回應(yīng)�,則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)�����;重復(fù)執(zhí)行上述廣播操作���,當(dāng)所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)的次數(shù)達(dá)到設(shè)定閾值,則將所述DHCP表項(xiàng)在硬件ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除����。本發(fā)明能夠滿足更多DHCP用戶設(shè)備的接入要求���,提高了交換機(jī)訪問控制列表的利用率。
【專利說明】—種安全接入實(shí)時(shí)更新的方法及交換機(jī)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)通信【技術(shù)領(lǐng)域】��,尤其涉及一種安全接入實(shí)時(shí)更新的方法及交換機(jī)�。
【背景技術(shù)】
[0002]動(dòng)態(tài)地址解析協(xié)議(DHCP,Dynamic Host Configuration Protocol)是一種自動(dòng)為用戶設(shè)備分配IP地址以及其它選項(xiàng)(如網(wǎng)關(guān)、DNS等)的協(xié)議�����,廣泛應(yīng)用于局域網(wǎng)中��,DHCP能夠簡化網(wǎng)絡(luò)的部署��,易于網(wǎng)絡(luò)的維護(hù)����。DHCP探聽(DHCP SNOOPING)是一種監(jiān)聽DHCP請(qǐng)求過程的私有協(xié)議,它在交換裝置中使用�,能夠針對(duì)每一個(gè)成功獲取IP的用戶設(shè)備生成一個(gè)對(duì)應(yīng)的DHCP綁定表項(xiàng)。
[0003]免費(fèi)ARP報(bào)文是一種特殊的地址解析協(xié)議(Address Resolution Protocol, ARP)報(bào)文��,免費(fèi)ARP報(bào)文中攜帶的發(fā)送端和目標(biāo)端IP地址都是本機(jī)IP地址�,報(bào)文的發(fā)送端MAC地址是本機(jī)MAC地址���,報(bào)文的目標(biāo)端MAC地址是廣播地址。用戶設(shè)備通過對(duì)外廣播免費(fèi)ARP報(bào)文來確定其它設(shè)備的IP地址是否與用戶設(shè)備的IP地址沖突�。當(dāng)其它設(shè)備收到免費(fèi)ARP報(bào)文后,如果發(fā)現(xiàn)報(bào)文中的IP地址和自己的IP地址相同�����,則給發(fā)送免費(fèi)ARP報(bào)文的設(shè)備返回一個(gè)ARP回應(yīng)����,告知用戶設(shè)備IP地址發(fā)生沖突。
[0004]訪問控制列表(Access Control List, ACL)是由一或多條規(guī)則組成的集合,用于識(shí)別報(bào)文流����,這里的規(guī)則是指描述報(bào)文匹配條件的判斷語句,匹配條件可以是報(bào)文的源地址����、目的地址和端口號(hào)等���。網(wǎng)絡(luò)設(shè)備依照這些規(guī)則識(shí)別出特定的報(bào)文�,并根據(jù)預(yù)先設(shè)定的策略對(duì)其進(jìn)行處理�。
[0005]為了便于網(wǎng)絡(luò)的維護(hù)和管理�,防止用戶設(shè)備私自接入網(wǎng)絡(luò)����,交換機(jī)可結(jié)合DHCPSNOOPING過程來對(duì)用戶設(shè)備訪問網(wǎng)絡(luò)進(jìn)行控制,使通過DHCP方式獲取IP地址的用戶設(shè)備可以訪問網(wǎng)絡(luò)����,而私設(shè)IP地址的用戶設(shè)備將不允許訪問網(wǎng)絡(luò)。這種接入網(wǎng)絡(luò)的方式需要結(jié)合交換機(jī)硬件ACL來實(shí)現(xiàn)���,每一個(gè)DHCP用戶設(shè)備需要下發(fā)一條允許訪問網(wǎng)絡(luò)的ACL表項(xiàng)�,設(shè)置ACL規(guī)則��。
[0006]在現(xiàn)有技術(shù)中���,交換設(shè)備的ACL表項(xiàng)容量有限��,因此���,當(dāng)DHCP綁定表項(xiàng)數(shù)目大于設(shè)備的ACL表項(xiàng)的容量的數(shù)目時(shí),一些DHCP綁定表項(xiàng)對(duì)應(yīng)的ACL表項(xiàng)將無法下發(fā)��,這些DHCP用戶設(shè)備就無法訪問網(wǎng)絡(luò),訪問控制列表的利用率較低����。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的在于提出一種安全接入實(shí)時(shí)更新的方法及交換機(jī),以提高交換機(jī)訪問控制列表的利用率��。
[0008]一方面�,本發(fā)明提供了一種安全接入實(shí)時(shí)更新的方法,所述方法包括:
[0009]按照第一定時(shí)器定時(shí)周期����,根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng),廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文���,并啟動(dòng)第二定時(shí)器進(jìn)行計(jì)時(shí)�,其中�,所述ARP請(qǐng)求報(bào)文的發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址,所述ARP請(qǐng)求報(bào)文的發(fā)送端的媒體訪問控制MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址,所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址���;
[0010]監(jiān)聽是否接收到ARP回應(yīng)��,如果在所述第二定時(shí)器設(shè)定時(shí)長截止前未接收到ARP回應(yīng)��,則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)����;
[0011]重復(fù)執(zhí)行上述廣播操作����,當(dāng)所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)的次數(shù)達(dá)到設(shè)定閾值,則將所述DHCP表項(xiàng)在硬件訪問控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除��。
[0012]對(duì)應(yīng)地����,本發(fā)明還提供了一種交換機(jī),所述交換機(jī)包括:
[0013]廣播模塊���,用于按照第一定時(shí)器定時(shí)周期��,根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)���,廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文,并啟動(dòng)第二定時(shí)器進(jìn)行計(jì)時(shí)�����,其中���,所述ARP請(qǐng)求報(bào)文的發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址��,所述ARP請(qǐng)求報(bào)文的發(fā)送端的媒體訪問控制MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址���,所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址���;
[0014]監(jiān)聽模塊,用于監(jiān)聽是否接收到ARP回應(yīng)��,如果在所述第二定時(shí)器設(shè)定時(shí)長截止前未接收到ARP回應(yīng)�����,則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)���;
[0015]處理模塊���,用于重復(fù)執(zhí)行上述廣播操作,當(dāng)所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)的次數(shù)達(dá)到設(shè)定閾值����,則將所述DHCP表項(xiàng)在硬件訪問控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。
[0016]本發(fā)明提出了一種安全接入實(shí)時(shí)更新的方法及交換機(jī)���,通過判斷DHCP表項(xiàng)的用戶設(shè)備是否處于離線狀態(tài)�����,刪除離線狀態(tài)下的DHCP表項(xiàng)對(duì)應(yīng)的ACL表項(xiàng)���,能夠?yàn)橛脩粼O(shè)備提供ACL表項(xiàng)空間,能夠滿足更多DHCP用戶設(shè)備的接入要求���,提高了交換機(jī)訪問控制列表的利用率����。
【專利附圖】
【附圖說明】
[0017]圖1是本發(fā)明實(shí)施例所適用的網(wǎng)絡(luò)應(yīng)用圖�����。
[0018]圖2是本發(fā)明第一實(shí)施例提供的安全接入實(shí)時(shí)更新的方法的實(shí)現(xiàn)流程圖����。
[0019]圖3是本發(fā)明第二實(shí)施例提供的安全接入實(shí)時(shí)更新的方法的實(shí)現(xiàn)流程圖。
[0020]圖4是本發(fā)明第三實(shí)施例提供的交換機(jī)的裝置的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0021]為使本發(fā)明解決的技術(shù)問題、采用的技術(shù)方案和達(dá)到的技術(shù)效果更加清楚�����,下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說明?����?梢岳斫獾氖?����,此處所描述的具體實(shí)施例僅僅用于解釋本發(fā)明���,而非對(duì)本發(fā)明的限定�。另外還需要說明的是����,為了便于描述,附圖中僅示出了與本發(fā)明相關(guān)的部分而非全部內(nèi)容���。下面結(jié)合附圖并通過【具體實(shí)施方式】來進(jìn)一步說明本發(fā)明的技術(shù)方案�。
[0022]本發(fā)明實(shí)施例所適用的網(wǎng)絡(luò)環(huán)境如圖1所示��。網(wǎng)絡(luò)中設(shè)置有交換機(jī)�����,其分別與DHCP服務(wù)器和多個(gè)用戶設(shè)備相連。
[0023]實(shí)施例一
[0024]圖2是本發(fā)明第一實(shí)施例提供的安全接入實(shí)時(shí)更新的方法的實(shí)現(xiàn)流程圖�。本發(fā)明實(shí)施例提供的方法可以在圖1所示的網(wǎng)絡(luò)環(huán)境中由本發(fā)明實(shí)施例提供的交換機(jī)來執(zhí)行。如圖2所示����,本發(fā)明實(shí)施例提供的方法包括:
[0025]步驟201��,按照第一定時(shí)器定時(shí)周期�����,根據(jù)DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)��,廣播ARP請(qǐng)求報(bào)文�,并啟動(dòng)第二定時(shí)器進(jìn)行計(jì)時(shí)。
[0026]在本發(fā)明實(shí)施例中�,所述ARP請(qǐng)求報(bào)文可以為免費(fèi)ARP請(qǐng)求報(bào)文,其發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址��,所述ARP請(qǐng)求報(bào)文的發(fā)送端的MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址���,所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址���。由此�����,可以讓與交換機(jī)相連的各用戶設(shè)備均接收到此報(bào)文��,并根據(jù)已有協(xié)議進(jìn)行回應(yīng)��。由于ARP請(qǐng)求報(bào)文是基于每個(gè)表項(xiàng)的地址發(fā)送的���,所以若用戶設(shè)備在線,則必然會(huì)接收到與自身地址一致的ARP請(qǐng)求報(bào)文����,并按照協(xié)議需進(jìn)行ARP回應(yīng)。
[0027]步驟202��,監(jiān)聽是否接收到ARP回應(yīng)�����,如果在所述第二定時(shí)器設(shè)定時(shí)長截止前未接收到ARP回應(yīng)�����,則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)。
[0028]根據(jù)步驟201中廣播的ARP請(qǐng)求報(bào)文�,交換機(jī)監(jiān)聽是否接收到ARP回應(yīng),如果在所述第二定時(shí)器設(shè)定時(shí)長截止前未接收到ARP回應(yīng)����,則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài);如果在所述第二定時(shí)器設(shè)定時(shí)長截止前能夠接收到ARP回應(yīng)��,則確定所述DHCP表項(xiàng)的用戶設(shè)備處于在線狀態(tài)�����,則重置第二定時(shí)器����。例如�,可設(shè)置所述第二定時(shí)器設(shè)定時(shí)長為I秒,如果交換機(jī)在I秒內(nèi)未接收到ARP回應(yīng)���,則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)��。
[0029]步驟203���,重復(fù)執(zhí)行上述廣播操作����,當(dāng)所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)的次數(shù)達(dá)到設(shè)定閾值�����,則將所述DHCP表項(xiàng)的用戶設(shè)備在硬件ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除��。
[0030]如果步驟202中確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)的次數(shù)達(dá)到設(shè)定閾值時(shí)�,則將所述DHCP表項(xiàng)的地址在硬件ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。例如����,可設(shè)置當(dāng)檢測(cè)到用戶設(shè)備離線狀態(tài)達(dá)3次,即可判定所述用戶設(shè)備離線��。通過多次檢測(cè)離線��,可提高檢測(cè)的可靠性�����,避免由于其它原因?qū)е虏豢苫貜?fù)ARP回應(yīng)所引起的誤刪除�。
[0031]其中,所述ACL規(guī)則是訪問控制列表中用于識(shí)別報(bào)文流的匹配條件的判斷語句,所述ACL表項(xiàng)可包括:所述用戶設(shè)備的IP地址���、MAC地址���、接入端口和VLAN號(hào)。
[0032]本實(shí)施例提供的安全接入實(shí)時(shí)更新的方法���,通過監(jiān)控是否接收到ARP回應(yīng)���,來判斷DHCP表項(xiàng)的對(duì)應(yīng)用戶設(shè)備是否處于離線狀態(tài),并刪除離線狀態(tài)下的DHCP表項(xiàng)的用戶設(shè)備對(duì)應(yīng)的ACL表項(xiàng)����,能夠?yàn)橛脩粼O(shè)備提供ACL表項(xiàng)空間,提高了交換機(jī)訪問控制列表的利用率���。在上述方案中,利用第一定時(shí)器來定時(shí)觸發(fā)對(duì)DHCP表項(xiàng)中用戶設(shè)備的離線檢測(cè)�,可以及時(shí)對(duì)ACL表項(xiàng)進(jìn)行清理維護(hù)。利用了免費(fèi)ARP請(qǐng)求報(bào)文及其ARP回應(yīng)���,有效利用了已有的報(bào)文機(jī)制��,無需擴(kuò)展額外的設(shè)備和軟件��,因此技術(shù)的推廣便捷��、成本低��。
[0033]實(shí)施例二
[0034]圖3是本發(fā)明第二實(shí)施例提供安全接入實(shí)時(shí)更新的方法的實(shí)現(xiàn)流程圖��。本實(shí)施例以實(shí)施例一為基礎(chǔ)�,軟硬件環(huán)境與實(shí)施例一相同。如圖3所示�,本發(fā)明實(shí)施例提供的方法包括:
[0035]步驟301,接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文�。
[0036]在本發(fā)明實(shí)施例中,所述DHCP請(qǐng)求報(bào)文包括DHCP SNOOPING過程的MAC地址����、接入端口號(hào)和VLAN號(hào),所述DHCP服務(wù)器的回應(yīng)報(bào)文包括DHCP SNOOPING過程的IP地址�����、租期��、網(wǎng)關(guān)和域名系統(tǒng)DNS號(hào)���。
[0037]步驟302�����,根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文���,在DHCP綁定表中創(chuàng)建DHCP表項(xiàng)�����。
[0038]在本發(fā)明實(shí)施例中��,所述DHCP表項(xiàng)包括:MAC地址�����、接入端口���、VLAN號(hào)、IP地址和租期���。所述DHCP表項(xiàng)的創(chuàng)建過程:將所述DHCP請(qǐng)求報(bào)文中的MAC地址、接入端口和VLAN號(hào)信息保存到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中����;在收到所述DHCP服務(wù)器的回應(yīng)報(bào)文之后���,提取所述回應(yīng)報(bào)文中的IP地址和租期,并將所述IP地址和租期添加到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中���。
[0039]步驟303�,根據(jù)所述DHCP表項(xiàng)��,生成ACL表項(xiàng)����。
[0040]其中,所述DHCP表項(xiàng)包括:IP地址���、MAC地址��、接入端口��、VLAN號(hào)和租期����。提取所述DHCP表項(xiàng)中的IP地址�、MAC地址���、接入端口和VLAN號(hào),生成對(duì)應(yīng)的ACL表項(xiàng)����。交換機(jī)收到的報(bào)文后,只有報(bào)文中的表項(xiàng)與交換機(jī)中的所述ACL表項(xiàng)中的一條子項(xiàng)相匹配時(shí)����,才能夠轉(zhuǎn)發(fā)所述報(bào)文。
[0041]步驟304����,按照第一定時(shí)器定時(shí)周期,根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)�����,廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文�����,并啟動(dòng)第二定時(shí)器進(jìn)行計(jì)時(shí)��。
[0042]步驟305�����,監(jiān)聽是否接收到ARP回應(yīng)�,如果在所述第二定時(shí)器設(shè)定時(shí)長截止前未接收到ARP回應(yīng),則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)�����。
[0043]步驟306��,重復(fù)執(zhí)行上述廣播操作��,當(dāng)所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)的次數(shù)達(dá)到設(shè)定閾值����,則將所述DHCP表項(xiàng)在硬件ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。
[0044]本實(shí)施例提供的安全接入實(shí)時(shí)更新的方法��,是在實(shí)施例一的基礎(chǔ)上提出的優(yōu)選實(shí)施例���,達(dá)到相同的功能��,能夠?yàn)橛脩粼O(shè)備提供ACL表項(xiàng)空間�����,提高了交換機(jī)訪問控制列表的利用率�����。
[0045]進(jìn)一步的��,在所述接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之前���,優(yōu)選還包括:使能交換機(jī)的DHCP探聽的監(jiān)聽功能��;下發(fā)一條DHCP報(bào)文重定向至交換機(jī)CPU的ACL規(guī)則�����,同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所有報(bào)文的ACL規(guī)則��,其中�,所述ACL規(guī)則是訪問控制列表中用于識(shí)別報(bào)文流的匹配條件的判斷語句����。該方案的有益之處在于啟動(dòng)DHCPSNOOPING過程的安全功能,并預(yù)先配置ACL規(guī)則��,使交換機(jī)根據(jù)ACL規(guī)則有針對(duì)性的轉(zhuǎn)發(fā)報(bào)文信息,保證交換機(jī)轉(zhuǎn)發(fā)報(bào)文的安全性���。
[0046]實(shí)施例三
[0047]圖4是本發(fā)明第三實(shí)施例提供的交換機(jī)包括的裝置的結(jié)構(gòu)示意圖����。如圖4所示�,本發(fā)明實(shí)施例提供的裝置包括:廣播模塊405����、監(jiān)聽模塊406和處理模塊407。
[0048]其中����,所述廣播模塊405,用于按照第一定時(shí)器定時(shí)周期����,根據(jù)DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng),廣播ARP請(qǐng)求報(bào)文��,并啟動(dòng)第二定時(shí)器進(jìn)行計(jì)時(shí)�,其中,所述ARP請(qǐng)求報(bào)文的發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址�,所述ARP請(qǐng)求報(bào)文的發(fā)送端的MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址,所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址。所述監(jiān)聽模塊406���,用于監(jiān)聽是否接收到ARP回應(yīng)�����,如果在所述第二定時(shí)器設(shè)定時(shí)長截止前未接收到ARP回應(yīng)��,則確定所述DHCP表項(xiàng)的地址處于離線狀態(tài)�。所述處理模塊407��,用于重復(fù)執(zhí)行上述廣播操作���,當(dāng)所述DHCP表項(xiàng)的地址處于離線狀態(tài)的次數(shù)達(dá)到設(shè)定閾值��,則將所述DHCP表項(xiàng)的地址在ACL表中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除�����。
[0049]在上述方案中��,通過廣播模塊來廣播ARP請(qǐng)求報(bào)文���,通過監(jiān)控模塊來監(jiān)控是否接收到ARP回應(yīng),進(jìn)而判斷DHCP表項(xiàng)的對(duì)應(yīng)用戶設(shè)備是否處于離線狀態(tài),通過處理模塊刪除離線狀態(tài)下的DHCP表項(xiàng)的用戶設(shè)備對(duì)應(yīng)的ACL表項(xiàng)�,能夠?qū)﹄x線的用戶設(shè)備的ACL表項(xiàng)進(jìn)行及時(shí)清理維護(hù),提高了交換機(jī)訪問控制列表的利用率�����。有效利用了已有的報(bào)文機(jī)制�,無需擴(kuò)展額外的設(shè)備和軟件,因此技術(shù)的推廣便捷����、成本低����。
[0050]在上述方案中,優(yōu)選是�,還包括:接收模塊402、創(chuàng)建模塊403和生成模塊404����。
[0051]其中,所述接收模塊402��,用于在按照第一定時(shí)器定時(shí)周期����,根據(jù)DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)�,廣播ARP請(qǐng)求報(bào)文之前�����,接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文���,其中��,所述DHCP請(qǐng)求報(bào)文包括DHCP SNOOPING過程的MAC地址�����、接入端口號(hào)和VLAN號(hào)���,所述DHCP服務(wù)器的回應(yīng)報(bào)文包括DHCP SNOOPING過程的IP地址、租期��、網(wǎng)關(guān)和域名系統(tǒng)DNS號(hào)��。所述創(chuàng)建模塊403��,用于根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文����,在DHCP綁定表中創(chuàng)建DHCP表項(xiàng)���。所述生成模塊404,用于根據(jù)所述DHCP表項(xiàng)�,生成ACL表項(xiàng)。
[0052]在上述方案中����,優(yōu)選是,還包括:配置模塊401��,用于在接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之前����,使能交換機(jī)的DHCP SNOOPING的監(jiān)聽功能�,下發(fā)一條DHCP報(bào)文重定向至交換機(jī)CPU的ACL規(guī)則,同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所有報(bào)文的ACL規(guī)則����。
[0053]進(jìn)一步的,所述創(chuàng)建模塊403具體用于:將所述DHCP請(qǐng)求報(bào)文中的MAC地址���、接入端口和VLAN號(hào)信息保存到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中����;在收到所述DHCP服務(wù)器的回應(yīng)報(bào)文之后,提取所述回應(yīng)報(bào)文中的IP地址和租期��,并將所述IP地址和租期添加到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中���。
[0054]在本發(fā)明實(shí)施例中����,所述處理模塊407中的ACL表項(xiàng)可以包括:所述用戶設(shè)備的IP地址�����、MAC地址�����、接入端口和VLAN號(hào)�。
[0055]本實(shí)施例提供的交換機(jī)用于執(zhí)行本發(fā)明任意實(shí)施例提供的安全接入實(shí)時(shí)更新的方法,具備相應(yīng)的功能模塊��,達(dá)到相同的技術(shù)效果��。
[0056]注意����,上述內(nèi)容僅為本發(fā)明的較佳實(shí)施例�。本領(lǐng)域技術(shù)人員會(huì)理解�,本發(fā)明不限于這里所述的特定實(shí)施例,對(duì)本領(lǐng)域技術(shù)人員來說能夠進(jìn)行各種明顯的變化�、重新調(diào)整和替代而不會(huì)脫離本發(fā)明的保護(hù)范圍。因此����,雖然通過以上實(shí)施例對(duì)本發(fā)明進(jìn)行了較為詳細(xì)的說明,但是本發(fā)明不僅僅限于以上實(shí)施例���,在不脫離本發(fā)明構(gòu)思的情況下��,還可以包括更多其它等效實(shí)施例���,而本發(fā)明的范圍由所附的權(quán)利要求范圍決定。
【權(quán)利要求】
1.一種安全接入實(shí)時(shí)更新的方法�����,其特征在于����,包括: 按照第一定時(shí)器定時(shí)周期,根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)�,廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文,并啟動(dòng)第二定時(shí)器進(jìn)行計(jì)時(shí)�,其中,所述ARP請(qǐng)求報(bào)文的發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址��,所述ARP請(qǐng)求報(bào)文的發(fā)送端的媒體訪問控制MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址�����,所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址���; 監(jiān)聽是否接收到ARP回應(yīng)�,如果在所述第二定時(shí)器設(shè)定時(shí)長截止前未接收到ARP回應(yīng)����,則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài); 重復(fù)執(zhí)行上述廣播操作��,當(dāng)所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)的次數(shù)達(dá)到設(shè)定閾值���,則將所述DHCP表項(xiàng)在硬件訪問控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除�。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于,在按照第一定時(shí)器定時(shí)周期�����,根據(jù)DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)����,廣播ARP請(qǐng)求報(bào)文之前,還包括: 接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文��,其中��,所述DHCP請(qǐng)求報(bào)文包括DHCP探聽過程的MAC地址�����、接入端口號(hào)和虛擬局域網(wǎng)VLAN號(hào)�����,所述DHCP服務(wù)器的回應(yīng)報(bào)文包括DHCP探聽過程的IP地址��、租期�、網(wǎng)關(guān)和域名系統(tǒng)DNS號(hào); 根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文���,在DHCP綁定表中創(chuàng)建DHCP表項(xiàng)���; 根據(jù)所述DHCP表項(xiàng),生成 ACL表項(xiàng)����。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于����,在所述接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之前,還包括: 使能交換機(jī)的DHCP探聽的監(jiān)聽功能����; 下發(fā)一條DHCP報(bào)文重定向至交換機(jī)CPU的ACL規(guī)則,同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所有報(bào)文的ACL規(guī)則����。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于�,所述根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文,在DHCP綁定表中創(chuàng)建DHCP表項(xiàng),包括: 將所述DHCP請(qǐng)求報(bào)文中的MAC地址���、接入端口和VLAN號(hào)信息保存到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中�����; 在收到所述DHCP服務(wù)器的回應(yīng)報(bào)文之后�����,提取所述回應(yīng)報(bào)文中的IP地址和租期��,并將所述IP地址和租期添加到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中�����。
5.根據(jù)權(quán)利要求1所述的方法�,其特征在于���,所述ACL表項(xiàng)包括:所述用戶設(shè)備的IP地址�����、MAC地址��、接入端口和VLAN號(hào)����。
6.一種交換機(jī)�����,其特征在于�����,包括: 廣播模塊���,用于按照第一定時(shí)器定時(shí)周期�,根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)�����,廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文��,并啟動(dòng)第二定時(shí)器進(jìn)行計(jì)時(shí)��,其中����,所述ARP請(qǐng)求報(bào)文的發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址��,所述ARP請(qǐng)求報(bào)文的發(fā)送端的媒體訪問控制MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址��,所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址�; 監(jiān)聽模塊����,用于監(jiān)聽是否接收到ARP回應(yīng),如果在所述第二定時(shí)器設(shè)定時(shí)長截止前未接收到ARP回應(yīng)����,則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài);處理模塊��,用于重復(fù)執(zhí)行上述廣播操作����,當(dāng)所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)的次數(shù)達(dá)到設(shè)定閾值,則將所述DHCP表項(xiàng)在硬件訪問控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除���。
7.根據(jù)權(quán)利要求6所述的交換機(jī)�����,其特征在于�����,還包括: 接收模塊���,用于在按照第一定時(shí)器定時(shí)周期,根據(jù)DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)��,廣播ARP請(qǐng)求報(bào)文之前���,接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文��,其中�����,所述DHCP請(qǐng)求報(bào)文包括DHCP探聽過程的MAC地址��、接入端口號(hào)和虛擬局域網(wǎng)VLAN號(hào)�����,所述DHCP服務(wù)器的回應(yīng)報(bào)文包括DHCP探聽過程的IP地址����、租期、網(wǎng)關(guān)和域名系統(tǒng)DNS號(hào)�����; 創(chuàng)建模塊��,用于根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文�,在DHCP綁定表中創(chuàng)建DHCP表項(xiàng); 生成模塊��,用于根據(jù)所述DHCP表項(xiàng)�����,生成ACL表項(xiàng)�����。
8.根據(jù)權(quán)利要求7所述的交換機(jī)����,其特征在于,還包括: 配置模塊�����,用于在接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之前,使能交換機(jī)的DHCP探聽的監(jiān)聽功能���,下發(fā)一條DHCP報(bào)文重定向至交換機(jī)CPU的ACL規(guī)則��,同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所有報(bào)文的ACL規(guī)則�����。
9.根據(jù)權(quán)利要求7所述的交換機(jī),其特征在于����,所述創(chuàng)建模塊具體用于: 將所述DHCP請(qǐng)求報(bào)文中的MAC地址、接入端口和VLAN號(hào)信息保存到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中�; 在收到所述DHCP服務(wù)器的回應(yīng)報(bào)文之后,提取所述回應(yīng)報(bào)文中的IP地址和租期�����,并將所述IP地址和租期添加到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中�����。
10.根據(jù)權(quán)利要求6所述的交換機(jī),其特征在于���,所述處理模塊中的ACL表項(xiàng)包括:所述用戶設(shè)備的IP地址���、MAC地址、接入端口和VLAN號(hào)����。
【文檔編號(hào)】H04L12/741GK103561129SQ201310538610
【公開日】2014年2月5日 申請(qǐng)日期:2013年11月4日 優(yōu)先權(quán)日:2013年11月4日
【發(fā)明者】梁小冰, 向陽朝, 陳翔 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司, 上海神州數(shù)碼有限公司