專利名稱：基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種以太網(wǎng)交換機(jī)技術(shù)，特別是涉及二層以太網(wǎng)交換機(jī)上，偵聽(tīng)鏈路層以太網(wǎng)報(bào)文收發(fā)過(guò)程中對(duì)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP的廣播報(bào)文，獲取用戶地址信息的方法。
背景技術(shù)：
在局域網(wǎng)中用戶的認(rèn)證、計(jì)費(fèi)一直是運(yùn)營(yíng)管理部門(mén)一個(gè)頭疼的問(wèn)題，為此產(chǎn)生了用戶認(rèn)證管理協(xié)議，即802.1X協(xié)議，對(duì)用戶進(jìn)行認(rèn)證管理。802.1X認(rèn)證方式以其高效率、低成本、良好的組播支持能力而得到了廣泛應(yīng)用。802.1X對(duì)設(shè)備要求比較低，可以運(yùn)行在二層以太網(wǎng)交換機(jī)上。
動(dòng)態(tài)主機(jī)配置協(xié)議DHCP是在BOOTP基礎(chǔ)上產(chǎn)生的，增加了動(dòng)態(tài)分配的能力，通過(guò)DHCP服務(wù)器與客戶機(jī)之間的DHCP報(bào)文交互可以為客戶機(jī)動(dòng)態(tài)分配IP地址等配置信息。DHCP中繼則為DHCP報(bào)文提供網(wǎng)段間的轉(zhuǎn)發(fā)功能，從而使DHCP服務(wù)器可以為處于不同網(wǎng)段的客戶機(jī)服務(wù)。
在二層以太網(wǎng)交換機(jī)上發(fā)送ICMP的echo request報(bào)文，目的MAC為全F廣播地址，目的IP為全F廣播地址，這樣二層以太網(wǎng)交換機(jī)端口下的所有用戶將向交換機(jī)發(fā)送ICMP響應(yīng)報(bào)文，于是二層以太網(wǎng)交換機(jī)就能獲得用戶IP地址與MAC地址的對(duì)應(yīng)關(guān)系了。
隨著個(gè)人計(jì)算機(jī)的日益普及，寬帶應(yīng)用的大力推廣，網(wǎng)絡(luò)已經(jīng)深入到人們的日常生活中，越來(lái)越多的人通過(guò)網(wǎng)絡(luò)來(lái)獲取信息、與他人交流、進(jìn)行娛樂(lè)。與此同時(shí)，也有一些人通過(guò)網(wǎng)絡(luò)進(jìn)行著一些非法活動(dòng)，例如像網(wǎng)絡(luò)攻擊、竊取信息、金融犯罪、散布違法言論等事件時(shí)有發(fā)生。出于安全性的考慮，網(wǎng)絡(luò)管理部門(mén)就需要記錄用戶上網(wǎng)時(shí)使用的IP地址，以便當(dāng)某些用戶進(jìn)行惡意活動(dòng)時(shí)做到有據(jù)可查并及時(shí)處理。
為了滿足網(wǎng)絡(luò)需求，802.1X就需要獲取用戶IP地址與MAC地址的對(duì)應(yīng)關(guān)系，并將IP地址通過(guò)RADIUS協(xié)議報(bào)文的屬性8(Framed-IP-Address)上傳給業(yè)務(wù)管理系統(tǒng)進(jìn)行記錄。但是當(dāng)在二層交換機(jī)上使用802.1X進(jìn)行用戶認(rèn)證管理時(shí)，由于二層交換機(jī)不具備三層以上協(xié)議處理能力，如何記錄用戶的IP地址就成為一個(gè)技術(shù)難題。通過(guò)用戶動(dòng)態(tài)申請(qǐng)IP地址的DHCP交互報(bào)文來(lái)獲取用戶的IP地址是一個(gè)很自然的想法，同時(shí)也能夠保證記錄用戶IP地址更新的及時(shí)性，但是，畢竟DHCP報(bào)文是UDP報(bào)文，屬于四層協(xié)議，二層交換機(jī)不對(duì)其進(jìn)行處理。
通過(guò)發(fā)送ICMP報(bào)文獲取用戶IP地址的方法，其最大的缺點(diǎn)就是要求二層以太網(wǎng)交換機(jī)的管理IP與用戶的IP地址在同一網(wǎng)段，事實(shí)上，由于用戶的IP地址是通過(guò)DHCP動(dòng)態(tài)獲取的，而交換機(jī)管理IP是構(gòu)建網(wǎng)絡(luò)時(shí)就已經(jīng)配置好了，二者幾乎不可能在同一網(wǎng)段。因此這種方法也不適合二層以太網(wǎng)交換機(jī)的環(huán)境。
由于每增加一個(gè)新用戶交換機(jī)就要發(fā)送一次廣播請(qǐng)求報(bào)文而所有用戶都要向交換機(jī)發(fā)送響應(yīng)報(bào)文，這樣就會(huì)急劇增加網(wǎng)上流量。由于交換機(jī)收到的這些響應(yīng)報(bào)文都會(huì)交給CPU處理，因此也會(huì)顯著加重CPU處理負(fù)擔(dān)。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，它通過(guò)在二層以太網(wǎng)交換機(jī)上，偵聽(tīng)鏈路層以太網(wǎng)報(bào)文收發(fā)過(guò)程中對(duì)DHCP廣播報(bào)文來(lái)獲取用戶地址信息，從而方便地判斷用戶的合法性。
本發(fā)明所述基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，包括如下步驟1、鏈路層收到以太網(wǎng)報(bào)文后，判斷是否是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文；2、如果不是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文，則轉(zhuǎn)5；3、如果是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文，則提取報(bào)文中相應(yīng)字段的用戶地址信息并記錄；4、將記錄的用戶地址信息通知給用戶認(rèn)證管理協(xié)議802.1X，對(duì)所記錄的用戶地址通過(guò)分析和比較進(jìn)行管理。
5、繼續(xù)進(jìn)行報(bào)文的正常處理流程。
如上所述的獲取用戶IP地址的方法，所述報(bào)文如果是DHCP應(yīng)答，則提取報(bào)文的yiaddr和chaddr域的信息，具體地是通過(guò)提取報(bào)文的yiaddr域信息獲取用戶IP地址信息，通過(guò)提取報(bào)文的chaddr域信息獲取用戶MAC地址信息，并記錄下來(lái)，如上所述的獲取用戶IP地址的方法，所述報(bào)文如果是DHCP請(qǐng)求報(bào)文，則提取報(bào)文的選項(xiàng)域的Requested IP address選項(xiàng)和chaddr域的信息。進(jìn)一步地，是通過(guò)提取報(bào)文的Requested IP address選項(xiàng)域信息獲取用戶IP地址信息，通過(guò)提取報(bào)文的chaddr選項(xiàng)域信息獲取用戶MAC地址信息，并記錄下來(lái)。
如上所述的獲取用戶IP地址的方法，當(dāng)某個(gè)用戶地址信息發(fā)生變化后，立即主動(dòng)切斷該用戶。
利用本發(fā)明可以在二層交換機(jī)上獲取用戶的IP地址，從而上傳給業(yè)務(wù)管理系統(tǒng)進(jìn)行記錄，由于本發(fā)明不涉及三層協(xié)議處理，可以應(yīng)用在完全不具備三層協(xié)議處理能力的二層交換機(jī)上。


圖1是本發(fā)明所述方法的流程示意圖。
具體實(shí)施例方式
本發(fā)明通過(guò)在鏈路層以太網(wǎng)報(bào)文收發(fā)過(guò)程中對(duì)DHCP廣播報(bào)文進(jìn)行偵聽(tīng)的方法來(lái)解決上述現(xiàn)有技術(shù)的不足的。
本發(fā)明所述方法的流程如圖1所示，具體實(shí)現(xiàn)步驟為1、鏈路層收到以太網(wǎng)報(bào)文后，判斷是否是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文；2、如果不是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文，則繼續(xù)報(bào)文的正常處理；3、如果是DHCP應(yīng)答報(bào)文，則提取報(bào)文的yiaddr和chaddr域的信息記錄下來(lái)，其中yiaddr代表Your Ip ADDRess，它是DHCP應(yīng)答報(bào)文頭中的一個(gè)字段，表示DHCP服務(wù)器分配給用戶的IP地址；chaddr代表Client HardwareADDRess，它是DHCP應(yīng)答報(bào)文頭中的一個(gè)字段，表示用戶的硬件地址即MAC地址；4、如果是DHCP請(qǐng)求報(bào)文，則提取報(bào)文的options域中的Requested IPaddress選項(xiàng)和chaddr域的信息記錄下來(lái)，其中Requested IP address選項(xiàng)，表示被請(qǐng)求的IP地址，實(shí)際上就是該用戶的IP地址，chaddr域同樣是表示用戶的MAC地址；5、將記錄的用戶地址信息通知給用戶認(rèn)證管理協(xié)議(802.1X)，繼續(xù)其他報(bào)文的正常處理。即通過(guò)802.1X協(xié)議對(duì)所記錄的用戶地址進(jìn)行管理，當(dāng)系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)上非法活動(dòng)者的IP地址時(shí)，可以根據(jù)這個(gè)記錄證明某個(gè)用戶上網(wǎng)時(shí)使用了這個(gè)IP地址，從而證明該用戶進(jìn)行了非法活動(dòng)。
本發(fā)明的步驟1中，是基于如下的考慮來(lái)判斷是否是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文的一方面，當(dāng)DHCP服務(wù)器確定分配給用戶某個(gè)IP地址時(shí)會(huì)發(fā)送DHCP應(yīng)答報(bào)文，因此可以通過(guò)偵聽(tīng)DHCP應(yīng)答報(bào)文來(lái)獲取用戶的IP地址。另一方面，客戶機(jī)向DHCP服務(wù)器請(qǐng)求分配地址的DHCP請(qǐng)求報(bào)文肯定是廣播的，而且用戶在DHCP請(qǐng)求報(bào)文中申請(qǐng)的IP地址與DHCP服務(wù)器在DHCP應(yīng)答報(bào)文中分配給用戶的IP地址是相同的，因此可以通過(guò)偵聽(tīng)DHCP請(qǐng)求報(bào)文來(lái)獲取用戶的IP地址。因此，可以通過(guò)偵聽(tīng)DHCP應(yīng)答、DHCP請(qǐng)求獲取到用戶地址信息。
步驟2中，如果不是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文，則繼續(xù)正常的處理，如果是，在步驟3-4中，分別從DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文提取用戶的地址信息，提取后，將所述用戶的地址信息通知給802.1X，為了防止用戶偽造DHCP請(qǐng)求廣播報(bào)文使交換機(jī)記錄錯(cuò)誤的地址信息，需要802.1X配合，當(dāng)發(fā)現(xiàn)DHCP偵聽(tīng)上傳的用戶IP地址發(fā)生變化后就及時(shí)主動(dòng)切斷用戶連接，迫使其下線。判斷用戶IP地址發(fā)生變化具體的做法是如果之前記錄過(guò)此用戶的地址信息，則將DHCP偵聽(tīng)上傳的用戶IP地址與以前記錄的用戶IP地址進(jìn)行比較，如果不同則主動(dòng)切斷用戶下線，避免用戶通過(guò)申請(qǐng)其他IP地址或偽造報(bào)文的方法來(lái)清除已經(jīng)記錄過(guò)的用來(lái)進(jìn)行非法活動(dòng)的IP地址；如果之前沒(méi)有記錄過(guò)此用戶的地址信息，則記錄用戶的IP地址，并通過(guò)RADIUS報(bào)文記錄在業(yè)務(wù)管理系統(tǒng)的話單記錄中。
最后所應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明而非限制本發(fā)明的技術(shù)方案，盡管參照上述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對(duì)本發(fā)明進(jìn)行修改或者等同替換，而不脫離本發(fā)明的精神和范圍的任何修改或局部替換，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1.一種基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，其特征在于，包括如下步驟(1)偵聽(tīng)鏈路層以太網(wǎng)報(bào)文收發(fā)過(guò)程中，鏈路層收到以太網(wǎng)報(bào)文后判斷是否是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文；(2)如果不是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文，則轉(zhuǎn)至步驟(5)；(3)如果是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文，則提取報(bào)文中相應(yīng)字段的用戶地址信息并記錄；(4)將記錄的用戶地址信息通知給用戶認(rèn)證管理協(xié)議進(jìn)行分析，對(duì)所記錄的用戶地址進(jìn)行管理；(5)繼續(xù)進(jìn)行報(bào)文的正常處理流程。
2.根據(jù)權(quán)利要求1所述的基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，其特征在于，所述報(bào)文如果是DHCP應(yīng)答，則提取報(bào)文的用戶的IP地址和用戶的MAC地址信息，并記錄下來(lái)。
3.根據(jù)權(quán)利要求2所述的基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，其特征在于，所述步驟進(jìn)一步為通過(guò)提取報(bào)文的yiaddr域信息獲取用戶IP地址信息，通過(guò)提取報(bào)文的chaddr域信息獲取用戶MAC地址信息。
4.根據(jù)權(quán)利要求1所述的基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，其特征在于，所述報(bào)文如果是DHCP請(qǐng)求報(bào)文，則提取報(bào)文的選項(xiàng)域的用戶的IP地址和用戶的MAC地址。
5.根據(jù)權(quán)利要求4所述的基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，其特征在于，所述步驟進(jìn)一步為通過(guò)提取報(bào)文的Requested IP address選項(xiàng)域信息獲取用戶IP地址信息，通過(guò)提取報(bào)文的chaddr選項(xiàng)域信息獲取用戶MAC地址信息。
6.根據(jù)權(quán)利要求1所述的基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，其特征在于，所述步驟(4)中的分析包括將用戶認(rèn)證管理協(xié)議與記錄的用戶地址信息進(jìn)行比較并記錄用戶地址信息。
7.根據(jù)權(quán)利要求6所述的基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，其特征在于，如果之前記錄過(guò)此用戶的地址信息，則將DHCP偵聽(tīng)上傳的用戶IP地址與之前記錄的用戶IP地址進(jìn)行比較，如果不同，則主動(dòng)切斷用戶下線；如果之前沒(méi)有記錄過(guò)此用戶的地址信息，則記錄用戶的IP地址，并通過(guò)RADIUS報(bào)文記錄在業(yè)務(wù)管理系統(tǒng)的話單記錄中。
8.根據(jù)權(quán)利要求1所述的基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，其特征在于，所述步驟(4)中對(duì)所記錄的用戶地址進(jìn)行管理，包括實(shí)時(shí)監(jiān)視用戶地址信息是否發(fā)生變化，如果發(fā)生了變化，立即主動(dòng)切斷該用戶。
全文摘要
本發(fā)明公開(kāi)了一種基于二層以太網(wǎng)交換機(jī)獲取用戶地址信息的方法，所述方法包括步驟有鏈路層收到以太網(wǎng)報(bào)文后判斷是否是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文；如果是DHCP應(yīng)答或DHCP請(qǐng)求報(bào)文，則提取報(bào)文中相應(yīng)字段的用戶地址信息并記錄；將記錄的用戶地址信息通知給用戶認(rèn)證管理協(xié)議802.1X，對(duì)所記錄的用戶地址進(jìn)行管理，當(dāng)系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)上非法活動(dòng)者的IP地址時(shí)，可以根據(jù)這個(gè)記錄證明某個(gè)用戶上網(wǎng)時(shí)使用了這個(gè)IP地址，從而證明該用戶進(jìn)行了非法活動(dòng)。利用本發(fā)明可以在二層交換機(jī)上獲取用戶的IP地址，從而上傳給業(yè)務(wù)管理系統(tǒng)進(jìn)行記錄，由于本發(fā)明不涉及三層協(xié)議處理，可以應(yīng)用在完全不具備三層協(xié)議處理能力的二層交換機(jī)上。
文檔編號(hào)H04L12/28GK1549524SQ0312511
公開(kāi)日2004年11月24日 申請(qǐng)日期2003年5月9日 優(yōu)先權(quán)日2003年5月9日
發(fā)明者孟小虎, 潘凝, 修亦宏 申請(qǐng)人:華為技術(shù)有限公司