專利名稱:一種ip源地址綁定表項(xiàng)的創(chuàng)建方法、裝置及交換機(jī)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通訊領(lǐng)域���,尤其涉及一種IP源地址綁定表項(xiàng)的創(chuàng)建方法���、裝置及 交換機(jī)。
背景技術(shù):
動(dòng)態(tài)主機(jī)配置協(xié)議(DynamicHost Configuration Protocol, DHCP)監(jiān)聽(DHCP Snooping)技術(shù)是DHCP的安全特性�����,通過建立和維護(hù)DHCP Snooping綁定表項(xiàng)過濾不可信 任的DHCP信息。DHCP Snooping功能在交換機(jī)上開啟后���,通過窺探DHCP客戶端(DHCPCLIENT)和 DHCP服務(wù)器(DHCP SERVER)之間的DHCP報(bào)文交互過程����,根據(jù)客戶端獲取到的IP地址及租 約時(shí)間��、終端媒體接入控制(Media AccessControl, MAC)地址和終端所在端口信息�,創(chuàng)建 IP源地址綁定表項(xiàng),IP源地址綁定表項(xiàng)包含如下元素終端MAC地址�����、終端IP地址��、終端所 在端口、租約時(shí)間����。創(chuàng)建IP源地址綁定表項(xiàng)后����,交換機(jī)上的DHCP Snooping功能將IP源地 址綁定表項(xiàng)添加到硬件過濾資源中�。交換機(jī)在對(duì)客戶端發(fā)出的數(shù)據(jù)報(bào)文進(jìn)行硬件轉(zhuǎn)發(fā)時(shí)����,通過硬件過濾資源對(duì)數(shù)據(jù)報(bào) 文進(jìn)行過濾。如果客戶端沒有通過DHCP獲取IP地址�,在交換機(jī)上就不存在該客戶端的IP 源地址綁定表項(xiàng),該客戶端發(fā)出的數(shù)據(jù)報(bào)文就會(huì)被交換機(jī)過濾掉���,有效防止了客戶端私自 配置IP地址�����。為了防止未經(jīng)認(rèn)證的非法DHCP客戶端進(jìn)行非法攻擊�,現(xiàn)有技術(shù)中常采用認(rèn)證服 務(wù)器對(duì)客戶端進(jìn)行認(rèn)證與DHCP Snooping相結(jié)合的方法��,該方法中����,用戶在通過認(rèn)證之前, 只能發(fā)送認(rèn)證報(bào)文����,其他報(bào)文一律被交換機(jī)丟棄,用戶必須在認(rèn)證成功之后,才可以向DHCP 服務(wù)器獲取為其分配的IP地址�����,獲得DHCP服務(wù)器為其分配的IP地址之后���,需要使用分配 的IP地址��,再一次向交換機(jī)發(fā)送認(rèn)證報(bào)文�,重新進(jìn)行認(rèn)證�����,將獲取到的IP地址上傳到認(rèn)證 服務(wù)器中��,這樣���,一個(gè)客戶端必須經(jīng)歷兩次認(rèn)證�����,才能將IP地址上傳至認(rèn)證服務(wù)器�,增加認(rèn) 證服務(wù)器的處理壓力�。為了減輕認(rèn)證服務(wù)器的處理壓力���,現(xiàn)有技術(shù)中還提供了一種在認(rèn)證前獲取IP地 址的方式����,該方式中,客戶端需要在認(rèn)證過程開始之前獲取到IP地址�����,然后在認(rèn)證交互過 程中��,將獲取到的IP地址直接上傳到認(rèn)證服務(wù)器上�,但由于客戶端需要在認(rèn)證通過前通過 DHCP獲取IP地址,DHCP SNOOPING在創(chuàng)建IP源地址綁定表項(xiàng)時(shí)��,不論該客戶端是否合法都 會(huì)直接創(chuàng)建IP源地址綁定表項(xiàng)�����,并且添加到硬件過濾資源中�����,因此���,這種方式存在以下問 題非法DHCP客戶端可利用獲取IP地址的過程進(jìn)行DHCP攻擊�,造成的交換機(jī)上硬件過濾 資源的過度占用甚至耗盡,由于硬件過濾資源在交換機(jī)上屬于稀缺硬件資源���,通常由多個(gè) 安全功能共用硬件過濾資源���,如果硬件過濾資源耗盡會(huì)出現(xiàn)其他合法客戶端無法正常獲取 IP地址,交換機(jī)上其他共用硬件過濾資源的安全功能也無法正常工作��。
本發(fā)明實(shí)施例提供一種IP源地址綁定表項(xiàng)的創(chuàng)建方法�����、裝置及交換機(jī)�,用以避免 現(xiàn)有交換機(jī)硬件過濾資源過度占用甚至耗盡的問題。本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法��,包括對(duì)客戶端向動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器發(fā)起獲取IP地址的第一流程進(jìn)行窺 探���,生成所述客戶端的IP源地址綁定表項(xiàng)��,并將所述IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信 息設(shè)置為等待認(rèn)證通過狀態(tài)�;在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為所述客戶 端認(rèn)證通過時(shí)�����,將所述客戶端的IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息修改為已生效狀 態(tài);并將修改后的IP源地址綁定表項(xiàng)添加到硬件過濾資源中���;在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為所述客戶 端認(rèn)證未通過時(shí),拒絕將所述客戶端的IP源地址綁定表項(xiàng)添加到硬件過濾資源中��。本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建的裝置�����,包括IP源地址綁定表項(xiàng)生成單元���,用于對(duì)客戶端向動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器發(fā) 起獲取IP地址的第一流程進(jìn)行窺探����,生成所述客戶端的IP源地址綁定表項(xiàng)���,并將所述IP 源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息設(shè)置為等待認(rèn)證通過狀態(tài)�����;IP源地址綁定表項(xiàng)添加單元��,用于在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第 二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證通過時(shí)��,將所述客戶端的IP源地址綁定表項(xiàng)包含的表項(xiàng) 狀態(tài)信息修改為已生效狀態(tài)�����;并將修改后的IP源地址綁定表項(xiàng)添加到硬件過濾資源中�����;IP源地址綁定表項(xiàng)清除單元�,用于在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的 第二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證未通過時(shí),拒絕將所述客戶端的IP源地址綁定表 項(xiàng)添加到硬件過濾資源中���。本發(fā)明實(shí)施例還提供了一種交換機(jī)�����,該交換機(jī)包括本發(fā)明實(shí)施例提供的上述IP 源地址綁定表項(xiàng)的創(chuàng)建的裝置���。本發(fā)明實(shí)施例的有益效果包括本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法、裝置及交換機(jī)���,對(duì)客戶端向 DHCP服務(wù)器獲取IP地址的第一流程進(jìn)行窺探�����,生成該客戶端的IP源地址綁定表項(xiàng)��,對(duì)生 成的IP源地址綁定表項(xiàng)中的表項(xiàng)狀態(tài)信息設(shè)置為等待認(rèn)證通過的狀態(tài)��,如果確認(rèn)后續(xù)客 戶端認(rèn)證通過�,那么將該客戶端的IP源地址綁定表項(xiàng)中的表項(xiàng)狀態(tài)修改為已生效狀態(tài),并 添加到硬件過濾資源中�����,否則����,拒絕將該客戶端的IP源地址綁定表項(xiàng)添加到硬件過濾資源 中���。本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法��、裝置及交換機(jī)�����,在不能確認(rèn)客戶 端是否是合法客戶端的情況下����,暫時(shí)不將其IP源地址綁定表項(xiàng)添加到稀缺的硬件過濾資 源中,只有確認(rèn)其是合法的客戶端之后�,才最終將其IP源地址綁定表項(xiàng)添加到硬件過濾資 源中,有效地防止了現(xiàn)有客戶端在認(rèn)證之前發(fā)起向DHCP服務(wù)器獲取IP地址的過程中���,非法 客戶端發(fā)起DHCP攻擊�����,大量創(chuàng)建IP源地址綁定表項(xiàng)��,導(dǎo)致交換機(jī)上的硬件過濾資源的過度 占用甚至耗盡的問題�。
圖1為本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法的網(wǎng)絡(luò)拓?fù)涫疽鈭D2為本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法的流程圖����;圖3為本發(fā)明實(shí)施例提供的確定客戶端是否認(rèn)證通過的流程圖之一;圖4為本發(fā)明實(shí)施例提供的確定客戶端是否認(rèn)證通過的流程圖之二 ���;圖5為本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建裝置的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式下面結(jié)合附圖��,對(duì)本發(fā)明實(shí)施例提供的一種IP源地址綁定表項(xiàng)的創(chuàng)建方法��、裝置 及交換機(jī)的具體實(shí)施方式
進(jìn)行詳細(xì)地說明�����。圖1所示的是本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法的網(wǎng)絡(luò)拓?fù)鋱D��, 交換機(jī)一端與客戶端相連����,客戶端通過該交換機(jī)向DHCP服務(wù)器發(fā)起獲取IP地址的流程 (以下在本發(fā)明實(shí)施例中稱該流程為第一流程),同時(shí)客戶端還與認(rèn)證服務(wù)器相連�,與認(rèn)證 服務(wù)器之間實(shí)現(xiàn)客戶端認(rèn)證的流程(以下在本發(fā)明實(shí)施例中稱該流程為第二流程),認(rèn)證 的方式可以采用現(xiàn)有技術(shù)中的多種認(rèn)證方式�����,包括但不限于802. Ix認(rèn)證方式���、TOB認(rèn)證方 式、點(diǎn)到點(diǎn)(Point-to-Point Protocol,PPP)認(rèn)證方式等�����。認(rèn)證服務(wù)器還與交換機(jī)相連����,以 便交換機(jī)能夠獲知客戶端的認(rèn)證結(jié)果�����。本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法的流程��,如圖2所示�����,包括下 述步驟S201���、對(duì)客戶端向動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器發(fā)起獲取IP地址的第一流程進(jìn) 行窺探,生成該客戶端的IP源地址綁定表項(xiàng)����,將生成的IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài) 信息設(shè)置為等待認(rèn)證通過狀態(tài);S202����、確認(rèn)第一流程后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果是否為客戶端認(rèn) 證通過;若是�,執(zhí)行下述步驟S203 ;若否,執(zhí)行下述步驟S204 ���;S203����、將該客戶端的IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息修改為已生效狀態(tài)���; 并將修改后的IP源地址綁定表項(xiàng)添加到硬件過濾資源中����;S204���、拒絕將該客戶端的IP源地址綁定表項(xiàng)添加到硬件過濾資源中����。下面對(duì)上述各步驟進(jìn)行詳細(xì)地說明�����。本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法����,對(duì)現(xiàn)有技術(shù)中的IP源地址 綁定表項(xiàng)做了改進(jìn),在現(xiàn)有IP源地址綁定表項(xiàng)包含的客戶端MAC地址����、IP地址、客戶端所 在端口標(biāo)識(shí)和租約時(shí)間的基礎(chǔ)上����,增加了一項(xiàng)即表項(xiàng)狀態(tài)信息,生成的客戶端的IP源地址 綁定表項(xiàng)包含的各字段內(nèi)容如下{MAC地址����、IP地址、所在端口標(biāo)識(shí)��、租約時(shí)間����、表項(xiàng)狀態(tài)}其中,表項(xiàng)狀態(tài)字段的取值可分為兩種情況���,一種情況如果用戶還未經(jīng)歷過認(rèn)證 過程�,無法確認(rèn)其是否為合法用戶�����,該客戶端的IP源地址綁定表項(xiàng)中的表項(xiàng)狀態(tài)為“等待 認(rèn)證通過狀態(tài)”,這樣的IP源地址綁定表項(xiàng)暫時(shí)不能添加到硬件過濾資源中去�����。另一種情 況為確認(rèn)客戶端認(rèn)證通過成為合法用戶��,其IP源地址綁定表項(xiàng)中的表項(xiàng)狀態(tài)為“已生效狀 態(tài)”���,該IP源地址綁定表項(xiàng)是可信任的��,可以添加到硬件過濾資源中去�����。在上述步驟S201中���,在客戶端向DHCP服務(wù)器獲取IP地址的過程中,由于該客戶 端還未經(jīng)歷認(rèn)證過程�,因此無法確定該客戶端是否是合法用戶,因此����,將在生成的該客戶端 的IP源地址綁定表項(xiàng)中的表項(xiàng)狀態(tài)設(shè)置為“等待認(rèn)證通過狀態(tài)”��。此時(shí)生成的IP源地址綁定表項(xiàng)并不會(huì)直接添加到硬件過濾資源中,而選擇暫時(shí)緩存����。在步驟S201之后,客戶端會(huì)經(jīng)歷與認(rèn)證服務(wù)器之間的認(rèn)證過程����。隨后,上述步驟S202中����,客戶端確認(rèn)客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果是為客戶 端認(rèn)證通過或未通過,在具體實(shí)施時(shí)��,可以通過下述兩種方式實(shí)現(xiàn)一種方式是認(rèn)證服務(wù)器在對(duì)客戶端完成認(rèn)證過程之后�����,通過接收認(rèn)證服務(wù)器發(fā)送 的攜帶有客戶端MAC地址的通告來確認(rèn)�,較佳地,在生成包含由表項(xiàng)狀態(tài)信息的IP源地址 綁定表項(xiàng)的步驟之后���,按照預(yù)先設(shè)置的認(rèn)證等待超時(shí)時(shí)間����,開始計(jì)時(shí)等待。認(rèn)證等待超時(shí)時(shí) 間的時(shí)長(zhǎng)�,可以按照現(xiàn)有技術(shù)中各種認(rèn)證過程通常所耗時(shí)間來確定。相應(yīng)地����,如圖3所示,確定客戶端是否認(rèn)證通過的過程如下S301��、判斷在認(rèn)證等待超時(shí)時(shí)間之內(nèi)���,是否接收到認(rèn)證服務(wù)器發(fā)送的攜帶有該客 戶端MAC地址的認(rèn)證通過通告消息��;若判斷結(jié)果為是��,則執(zhí)行下述步驟S302 ���;若判斷結(jié)果為 否,則執(zhí)行下步驟S303;S302��、確認(rèn)第二流程認(rèn)證結(jié)果為該客戶端認(rèn)證通過����;S303、確認(rèn)第二流程認(rèn)證結(jié)果為該客戶端未認(rèn)證通過�。在上述步驟S301 S303中���,認(rèn)證服務(wù)器也可以通過發(fā)送攜帶有認(rèn)證通過的客戶 端的其他標(biāo)識(shí)信息例如IP地址信息等來通告該客戶端已經(jīng)通過了認(rèn)證���,具體實(shí)施過程與 上述步驟S301 S303類似�����,在此不再贅述���。另一種方式是通過主動(dòng)向認(rèn)證服務(wù)器查詢認(rèn)證結(jié)果的方法,如圖4所示���,具體包 括下述步驟S401�����、向認(rèn)證服務(wù)器發(fā)送查詢請(qǐng)求��,查詢所述客戶端是否已認(rèn)證通過��;本步驟S401中�,可以通過發(fā)送攜帶而客戶端標(biāo)識(shí)信息(MAC地址��、IP地址或其他 標(biāo)識(shí)信息)的查詢請(qǐng)求來指明需要查詢的客戶端。S402����、判斷在認(rèn)證等待超時(shí)時(shí)間之內(nèi),是否收到認(rèn)證服務(wù)器返回的攜帶有該客戶 端MAC地址的認(rèn)證通過通告消息�;S403、若在認(rèn)證等待超時(shí)時(shí)間之內(nèi)����,收到認(rèn)證服務(wù)器返回的攜帶有該客戶端MAC 地址的認(rèn)證通過通告消息,則確認(rèn)第二流程認(rèn)證結(jié)果為該客戶端認(rèn)證通過�����;S404����、若在認(rèn)證等待超時(shí)時(shí)間之內(nèi),一直未收到認(rèn)證服務(wù)器返回的攜帶有該客戶 端MAC地址的認(rèn)證通過通告消息����,則確認(rèn)第二流程認(rèn)證結(jié)果為該客戶端未認(rèn)證通過。如果設(shè)置了超時(shí)等待時(shí)間���,那么在該客戶端被確認(rèn)是否為合法用戶之前���,該客戶 端的IP源地址綁定表項(xiàng)的生命周期是設(shè)置的認(rèn)證等待超時(shí)時(shí)間�,如果第二流程的認(rèn)證結(jié) 果中確認(rèn)該客戶端通過了認(rèn)證�����,那么����,將該客戶端的IP源地址綁定表項(xiàng)添加到硬件過濾資 源中之后�,該客戶端IP源地址綁定表項(xiàng)的生命周期即修改為DHCP服務(wù)器分配的租約時(shí)間。較佳地����,為了節(jié)約DHCP服務(wù)器中的IP地址資源,如圖2所示的S204中���,在確認(rèn)客 戶端未通過認(rèn)證之后�����,還可以通知DHCP服務(wù)器將該客戶端的IP源地址綁定表項(xiàng)中的IP地 址回收到可分配的IP地址池中�����,同時(shí)����,刪除客戶端的IP源地址綁定表項(xiàng),釋放IP源地址綁 定表項(xiàng)由于緩存所臨時(shí)占用的資源��。這樣��,對(duì)于非法客戶端的IP源地址綁定表項(xiàng)����,可以完 全杜絕將其寫入到稀缺的硬件過濾資源中?����;谕话l(fā)明構(gòu)思����,本發(fā)明實(shí)施例還提供了一種IP源地址綁定表項(xiàng)的創(chuàng)建裝置 和交換機(jī),由于該IP源地址綁定表項(xiàng)的創(chuàng)建裝置和交換機(jī)解決問題的原理與前述IP源地址綁定表項(xiàng)的創(chuàng)建方法相似����,因此該IP源地址綁定表項(xiàng)的創(chuàng)建裝置和交換機(jī)的實(shí)施可以 參見方法的實(shí)施,重復(fù)之處不再贅述。如圖5所示��,本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建裝置�,包括IP源地 址綁定表項(xiàng)生成單元501、IP源地址綁定表項(xiàng)添加單元502和IP源地址綁定表項(xiàng)清除單元 503 ��;其中IP源地址綁定表項(xiàng)生成單元501���,用于對(duì)客戶端向動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器 發(fā)起獲取IP地址的第一流程進(jìn)行窺探�����,生成該客戶端的IP源地址綁定表項(xiàng),并將IP源地 址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息設(shè)置為等待認(rèn)證通過狀態(tài)���;IP源地址綁定表項(xiàng)添加單元502�,用于在確認(rèn)第一流程之后執(zhí)行的客戶端認(rèn)證的 第二流程的認(rèn)證結(jié)果為客戶端認(rèn)證通過時(shí)��,將客戶端的IP源地址綁定表項(xiàng)包含的表項(xiàng)狀 態(tài)信息修改為已生效狀態(tài)����;并將修改后的IP源地址綁定表項(xiàng)添加到硬件過濾資源中;IP源地址綁定表項(xiàng)清除單元503�,用于在確認(rèn)第一流程之后執(zhí)行的客戶端認(rèn)證的 第二流程的認(rèn)證結(jié)果為客戶端認(rèn)證未通過時(shí),拒絕將該客戶端的IP源地址綁定表項(xiàng)添加 到硬件過濾資源中。進(jìn)一步地����,本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建裝置,如圖5所示�,還包 括計(jì)時(shí)等待單元504,用于在IP源地址綁定表項(xiàng)生成單元501生成該客戶端的IP源地址 綁定表項(xiàng)之后����,按照預(yù)先設(shè)置的認(rèn)證等待超時(shí)時(shí)間,開始計(jì)時(shí)等待���。進(jìn)一步地����,本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建裝置�,如圖5所示,還可 以包括判斷單元505���,用于判斷在認(rèn)證等待超時(shí)時(shí)間之內(nèi)�,是否接收到認(rèn)證服務(wù)器發(fā)送的 攜帶有客戶端MAC地址的認(rèn)證通過通告消息����;相應(yīng)地�,本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建裝置中的IP源地址綁定 表項(xiàng)添加單元502�����,還用于在認(rèn)證等待超時(shí)時(shí)間之內(nèi)���,接收到認(rèn)證服務(wù)器發(fā)送的攜帶有客戶 端MAC地址的認(rèn)證通過通告消息��,則確認(rèn)第二流程認(rèn)證結(jié)果為所述客戶端認(rèn)證通過����;本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建裝置中的IP源地址綁定表項(xiàng)清除 單元503���,還用于在認(rèn)證等待超時(shí)時(shí)間之內(nèi)�����,未接收到認(rèn)證服務(wù)器發(fā)送的攜帶有所述客戶端 MAC地址的認(rèn)證通過通告消息,則確認(rèn)第二流程認(rèn)證結(jié)果為所述客戶端認(rèn)證未通過����。進(jìn)一步地,本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建裝置��,如圖5所示,還可 以包括查詢單元506��,用于向認(rèn)證服務(wù)器發(fā)送查詢請(qǐng)求�����,查詢?cè)摽蛻舳耸欠褚颜J(rèn)證通過���;相應(yīng)地�,IP源地址綁定表項(xiàng)添加單元502�,還用于在認(rèn)證等待超時(shí)時(shí)間之內(nèi),收到 認(rèn)證服務(wù)器返回的攜帶有該客戶端MAC地址的認(rèn)證通過通告消息�����,則確認(rèn)第二流程認(rèn)證結(jié) 果為所述客戶端認(rèn)證通過����;IP源地址綁定表項(xiàng)清除單元503,還用于在認(rèn)證等待超時(shí)時(shí)間之內(nèi)��,未收到認(rèn)證 服務(wù)器返回的攜帶有該客戶端MAC地址的認(rèn)證通過通告消息��,則確認(rèn)第二流程認(rèn)證結(jié)果為 該客戶端認(rèn)證未通過��。進(jìn)一步地,本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建裝置����,如圖5所示,還可 以包括通告單元507�����,用于在IP源地址綁定表項(xiàng)清除單元503確認(rèn)第二流程的認(rèn)證結(jié)果 為該客戶端認(rèn)證未通過時(shí)��,通知DHCP服務(wù)器將該客戶端的IP源地址綁定表項(xiàng)中的IP地址 回收到可分配的IP地址池中����;
相應(yīng)地,IP源地址綁定表項(xiàng)清除單元503�,還用于在IP源地址綁定表項(xiàng)清除單元 503確認(rèn)第二流程的認(rèn)證結(jié)果為該客戶端認(rèn)證未通過時(shí),刪除該客戶端的IP源地址綁定表 項(xiàng)�。本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建裝置中,除了上述IP源地址綁定 表項(xiàng)生成單元501���、IP源地址綁定表項(xiàng)添加單元502、IP源地址綁定表項(xiàng)清除單元503���、計(jì) 時(shí)等待單元504和通告單元507之外����,可以同時(shí)包含上述判斷單元505和查詢單元506,也 可在上述五個(gè)單元之外只包含上述判斷單元505和查詢單元506之一��。本發(fā)明實(shí)施例還提供了一種交換機(jī)�����,該交換機(jī)中設(shè)置有本發(fā)明實(shí)施例提供的上述 IP源地址綁定表項(xiàng)的創(chuàng)建裝置�。本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法、裝置及交換機(jī)���,對(duì)客戶端向 DHCP服務(wù)器獲取IP地址的第一流程進(jìn)行窺探�����,生成該客戶端的IP源地址綁定表項(xiàng)���,對(duì)生 成的IP源地址綁定表項(xiàng)中的表項(xiàng)狀態(tài)信息設(shè)置為等待認(rèn)證通過的狀態(tài),如果確認(rèn)后續(xù)客 戶端認(rèn)證通過�,那么將該客戶端的IP源地址綁定表項(xiàng)中的表項(xiàng)狀態(tài)修改為已生效狀態(tài),并 添加到硬件過濾資源中�,否則,拒絕將該客戶端的IP源地址綁定表項(xiàng)添加到硬件過濾資源 中�����。本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法、裝置及交換機(jī)�,在不能確認(rèn)客戶 端是否是合法客戶端的情況下,暫時(shí)不將其IP源地址綁定表項(xiàng)添加到稀缺的硬件過濾資 源中�����,只有確認(rèn)其是合法的客戶端之后�,才最終將其IP源地址綁定表項(xiàng)添加到硬件過濾資 源中,有效地防止了現(xiàn)有技術(shù)中�,客戶端在認(rèn)證之前發(fā)起向DHCP服務(wù)器獲取IP地址的過程 中可能存在的非法客戶端發(fā)起DHCP攻擊,大量創(chuàng)建IP源地址綁定表項(xiàng)�,導(dǎo)致交換機(jī)上的硬 件過濾資源的過度占用甚至耗盡的問題。顯然�����,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精 神和范圍���。這樣�,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi)�����,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)�����。
權(quán)利要求
一種IP源地址綁定表項(xiàng)的創(chuàng)建方法�,其特征在于,包括對(duì)客戶端向動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器發(fā)起獲取IP地址的第一流程進(jìn)行窺探�����,生成所述客戶端的IP源地址綁定表項(xiàng)���,并將所述IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息設(shè)置為等待認(rèn)證通過狀態(tài)�;在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證通過時(shí)�,將所述客戶端的IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息修改為已生效狀態(tài);并將修改后的IP源地址綁定表項(xiàng)添加到硬件過濾資源中��;在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證未通過時(shí)�����,拒絕將所述客戶端的IP源地址綁定表項(xiàng)添加到硬件過濾資源中�����。
2.如權(quán)利要求1所述的方法,其特征在于��,在生成所述客戶端的IP源地址綁定表項(xiàng)之 后���,還包括按照預(yù)先設(shè)置的認(rèn)證等待超時(shí)時(shí)間����,開始計(jì)時(shí)等待�。
3.如權(quán)利要求2所述的方法,其特征在于����,確認(rèn)第二流程認(rèn)證結(jié)果為所述客戶端認(rèn)證 通過或未通過,通過下述方式實(shí)現(xiàn)判斷在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)�,是否接收到認(rèn)證服務(wù)器發(fā)送的攜帶有所述客戶端 媒體接入控制MAC地址的認(rèn)證通過通告消息;若在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)�,接收到認(rèn)證服務(wù)器發(fā)送的攜帶有所述客戶端MAC地 址的認(rèn)證通過通告消息,則確認(rèn)第二流程認(rèn)證結(jié)果為所述客戶端認(rèn)證通過�����;若在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)���,未接收到認(rèn)證服務(wù)器發(fā)送的攜帶有所述客戶端MAC 地址的認(rèn)證通過通告消息�,則確認(rèn)第二流程認(rèn)證結(jié)果為所述客戶端認(rèn)證未通過。
4.如權(quán)利要求2所述的方法���,其特征在于,確認(rèn)第二流程認(rèn)證結(jié)果為所述客戶端認(rèn)證 通過或未通過���,通過下述方式實(shí)現(xiàn)向認(rèn)證服務(wù)器發(fā)送查詢請(qǐng)求���,查詢所述客戶端是否已認(rèn)證通過; 若在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)�,收到認(rèn)證服務(wù)器返回的攜帶有所述客戶端MAC地址 的認(rèn)證通過通告消息,則確認(rèn)第二流程認(rèn)證結(jié)果為所述客戶端認(rèn)證通過�����;若在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)��,未收到認(rèn)證服務(wù)器返回的攜帶有所述客戶端MAC地 址的認(rèn)證通過通告消息�,則確認(rèn)第二流程認(rèn)證結(jié)果為所述客戶端認(rèn)證未通過。
5.如權(quán)利要求1�����、3或4所述的方法,其特征在于���,在確認(rèn)第二流程的認(rèn)證結(jié)果為所述客 戶端認(rèn)證未通過時(shí)����,還包括通知DHCP服務(wù)器將所述客戶端的IP源地址綁定表項(xiàng)中的IP地址回收到可分配的IP 地址池中��,刪除所述客戶端的IP源地址綁定表項(xiàng)�����。
6.一種IP源地址綁定表項(xiàng)的創(chuàng)建裝置���,其特征在于��,包括IP源地址綁定表項(xiàng)生成單元�,用于對(duì)客戶端向動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器發(fā)起獲 取IP地址的第一流程進(jìn)行窺探�����,生成所述客戶端的IP源地址綁定表項(xiàng)��,并將所述IP源地 址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息設(shè)置為等待認(rèn)證通過狀態(tài)�����;IP源地址綁定表項(xiàng)添加單元,用于在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二 流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證通過時(shí)�����,將所述客戶端的IP源地址綁定表項(xiàng)包含的表 項(xiàng)狀態(tài)信息修改為已生效狀態(tài)�����;并將修改后的IP源地址綁定表項(xiàng)添加到硬件過濾資源中�����; IP源地址綁定表項(xiàng)清除單元����,用于在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證未通過時(shí)���,拒絕將所述客戶端的IP源地址綁定表項(xiàng)添 加到硬件過濾資源中�����。
7.如權(quán)利要求6所述的裝置���,其特征在于��,還包括計(jì)時(shí)等待單元����,用于在所述IP源地 址綁定表項(xiàng)生成單元生成所述客戶端的IP源地址綁定表項(xiàng)之后�����,按照預(yù)先設(shè)置的認(rèn)證等 待超時(shí)時(shí)間���,開始計(jì)時(shí)等待�。
8.如權(quán)利要求7所述的裝置��,其特征在于����,還包括判斷單元,用于判斷在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)��,是否接收到認(rèn)證服務(wù)器發(fā)送的攜 帶有所述客戶端媒體接入控制MAC地址的認(rèn)證通過通告消息�;所述IP源地址綁定表項(xiàng)添加單元,還用于在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)��,接收到認(rèn)證 服務(wù)器發(fā)送的攜帶有所述客戶端MAC地址的認(rèn)證通過通告消息,則確認(rèn)第二流程認(rèn)證結(jié)果 為所述客戶端認(rèn)證通過���;所述IP源地址綁定表項(xiàng)清除單元��,還用于在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)�,未接收到認(rèn) 證服務(wù)器發(fā)送的攜帶有所述客戶端MAC地址的認(rèn)證通過通告消息����,則確認(rèn)第二流程認(rèn)證結(jié) 果為所述客戶端認(rèn)證未通過。
9.如權(quán)利要求7所述的裝置���,其特征在于,還包括查詢單元����,用于向認(rèn)證服務(wù)器發(fā)送查詢請(qǐng)求,查詢所述客戶端是否已認(rèn)證通過����;所述IP源地址綁定表項(xiàng)添加單元,還用于在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)�,收到認(rèn)證服 務(wù)器返回的攜帶有所述客戶端MAC地址的認(rèn)證通過通告消息,則確認(rèn)第二流程認(rèn)證結(jié)果為 所述客戶端認(rèn)證通過����;所述IP源地址綁定表項(xiàng)清除單元��,還用于在所述認(rèn)證等待超時(shí)時(shí)間之內(nèi)�����,未收到認(rèn)證 服務(wù)器返回的攜帶有所述客戶端MAC地址的認(rèn)證通過通告消息�,則確認(rèn)第二流程認(rèn)證結(jié)果 為所述客戶端認(rèn)證未通過����。
10.如權(quán)利要求6、8或9所述的裝置�,其特征在于,還包括通告單元�,用于在所述IP源地址綁定表項(xiàng)清除單元確認(rèn)所述第二流程的認(rèn)證結(jié)果為 所述客戶端認(rèn)證未通過時(shí),通知DHCP服務(wù)器將所述客戶端的IP源地址綁定表項(xiàng)中的IP地 址回收到可分配的IP地址池中�����;所述IP源地址綁定表項(xiàng)清除單元���,還用于在所述IP源地址綁定表項(xiàng)清除單元確認(rèn)第 二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證未通過時(shí)���,刪除所述客戶端的IP源地址綁定表項(xiàng)����。
11.一種交換機(jī)����,其特征在于,包括如權(quán)利要求6-10任一項(xiàng)所述的IP源地址綁定表項(xiàng) 的創(chuàng)建裝置���。
全文摘要
本發(fā)明公開了一種IP源地址綁定表項(xiàng)的創(chuàng)建方法�、裝置及交換機(jī)���,其中方法包括對(duì)客戶端向DHCP服務(wù)器發(fā)起獲取IP地址的第一流程進(jìn)行窺探����,生成該客戶端的IP源地址綁定表項(xiàng)��,并將IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息設(shè)置為等待認(rèn)證通過狀態(tài)���;在確認(rèn)第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為該客戶端認(rèn)證通過時(shí),將該客戶端的IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息修改為已生效狀態(tài)�,并將修改后的IP源地址綁定表項(xiàng)添加到硬件過濾資源中;反之�����,拒絕將該客戶端的IP源地址綁定表項(xiàng)添加到硬件過濾資源中。本發(fā)明可有效避免非法客戶端在認(rèn)證之前大量創(chuàng)建IP源地址綁定表項(xiàng)�,導(dǎo)致硬件過濾資源的過度占用甚至耗盡的問題。
文檔編號(hào)H04L29/06GK101917444SQ20101026454
公開日2010年12月15日 申請(qǐng)日期2010年8月25日 優(yōu)先權(quán)日2010年8月25日
發(fā)明者常鵬 申請(qǐng)人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司