本申請(qǐng)涉及安全防護(hù)領(lǐng)域，特別涉及一種防arp網(wǎng)關(guān)欺騙的方法及裝置。

背景技術(shù)：

arp(addressresolutionprotocol，地址解析協(xié)議)協(xié)議的基本功能是通過(guò)目標(biāo)設(shè)備的ip地址查詢目標(biāo)設(shè)備的mac地址，以保證通信的順利進(jìn)行。而arp欺騙是指攻擊者通過(guò)發(fā)送錯(cuò)誤的arp信息使網(wǎng)絡(luò)通信出現(xiàn)異常。

如果局域網(wǎng)中的終端設(shè)備發(fā)送arp請(qǐng)求報(bào)文獲取網(wǎng)關(guān)的mac地址，則攻擊者可以通過(guò)局域網(wǎng)內(nèi)的終端設(shè)備向上述終端設(shè)備返回arp應(yīng)答報(bào)文，該arp應(yīng)答報(bào)文中包括錯(cuò)誤的網(wǎng)關(guān)arp信息。上述終端設(shè)備接收到該arp應(yīng)答報(bào)文后，保存錯(cuò)誤的網(wǎng)關(guān)arp信息，則當(dāng)后續(xù)通信時(shí)，上述終端設(shè)備發(fā)出的數(shù)據(jù)包無(wú)法正常發(fā)送到網(wǎng)關(guān)設(shè)備，這就導(dǎo)致上述終端設(shè)備無(wú)法連接網(wǎng)絡(luò)。此外，上述終端設(shè)備通過(guò)錯(cuò)誤的網(wǎng)關(guān)arp信息發(fā)送數(shù)據(jù)包時(shí)，發(fā)出的數(shù)據(jù)包可能被攻擊者竊取。

在現(xiàn)有技術(shù)中，通常可以利用arp雙綁措施來(lái)防護(hù)arp網(wǎng)關(guān)欺騙。具體地，網(wǎng)絡(luò)管理員可以將局域網(wǎng)中的終端設(shè)備上綁定網(wǎng)關(guān)接口的arp信息，在網(wǎng)關(guān)設(shè)備上綁定終端設(shè)備的arp信息。在綁定完成后，終端設(shè)備接收到攜帶錯(cuò)誤的網(wǎng)關(guān)arp信息的arp報(bào)文后，不再更改已綁定的正確的網(wǎng)關(guān)arp信息。

然而，arp雙綁措施需要人工在網(wǎng)關(guān)設(shè)備和終端設(shè)備上進(jìn)行操作，當(dāng)網(wǎng)關(guān)接口發(fā)生更新時(shí)，就需要重新配置終端設(shè)備上的arp信息，工作量巨大，工作效率低。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本申請(qǐng)?zhí)峁┮环N防arp網(wǎng)關(guān)欺騙的方法及裝置，用以解決現(xiàn)有技術(shù)在防arp網(wǎng)關(guān)欺騙時(shí)需要人工進(jìn)行配置，工作量巨大且工作效率低的問(wèn)題。

具體地，本申請(qǐng)是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的：

一種防arp網(wǎng)關(guān)欺騙的方法，應(yīng)用于網(wǎng)管服務(wù)器，所述網(wǎng)管服務(wù)器與目標(biāo)局域網(wǎng)中的網(wǎng)關(guān)設(shè)備對(duì)接；所述目標(biāo)局域網(wǎng)還包括若干個(gè)接入交換機(jī)以及通過(guò)所述接入交換機(jī)接入所述網(wǎng)關(guān)設(shè)備的若干個(gè)終端設(shè)備，包括：

接收到所述網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息；其中，所述地址綁定信息包括ip地址和mac地址的映射關(guān)系；

基于所述地址綁定信息創(chuàng)建地址綁定信息表；

向各接入交換機(jī)下發(fā)所述地址綁定信息表，以使各接入交換機(jī)在接收到arp報(bào)文時(shí)，根據(jù)所述地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙。

在所述防arp網(wǎng)關(guān)欺騙的方法中，所述接收到所述網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息，包括：

當(dāng)所述網(wǎng)關(guān)設(shè)備的網(wǎng)關(guān)接口發(fā)生更新時(shí)，接收到所述網(wǎng)關(guān)設(shè)備上傳的與所述網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息。

在所述防arp網(wǎng)關(guān)欺騙的方法中，所述方法還包括：

向所述接入交換機(jī)下發(fā)acl表項(xiàng)；其中，所述acl表項(xiàng)用于將arp報(bào)文上送至cpu處理。

在所述防arp網(wǎng)關(guān)欺騙的方法中，所述接入交換機(jī)預(yù)先配置用于將arp報(bào)文上送至cpu處理的acl表項(xiàng)。

在所述防arp網(wǎng)關(guān)欺騙的方法中，所述方法還包括：

接收到所述目標(biāo)局域網(wǎng)內(nèi)的所述網(wǎng)關(guān)設(shè)備上傳的設(shè)備型號(hào)標(biāo)識(shí)和所述接入交換機(jī)上傳的設(shè)備型號(hào)標(biāo)識(shí)；

基于不同的設(shè)備型號(hào)標(biāo)識(shí)，生成對(duì)應(yīng)于不同類型設(shè)備的分組。

一種防arp網(wǎng)關(guān)欺騙的裝置，應(yīng)用于網(wǎng)管服務(wù)器，所述網(wǎng)管服務(wù)器與目標(biāo)局域網(wǎng)中的網(wǎng)關(guān)設(shè)備對(duì)接；所述目標(biāo)局域網(wǎng)還包括若干個(gè)接入交換機(jī)以及通過(guò)所述接入交換機(jī)接入所述網(wǎng)關(guān)設(shè)備的若干個(gè)終端設(shè)備，包括：

接收單元，用于接收到所述網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息；其中，所述地址綁定信息包括ip地址和mac地址的映射關(guān)系；

創(chuàng)建單元，用于基于所述地址綁定信息創(chuàng)建地址綁定信息表；

下發(fā)單元，用于向各接入交換機(jī)下發(fā)所述地址綁定信息表，以使各接入交換機(jī)在接收到arp報(bào)文時(shí)，根據(jù)所述地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙。

在所述防arp網(wǎng)關(guān)欺騙的裝置中，所述接收單元，進(jìn)一步用于：

當(dāng)所述網(wǎng)關(guān)設(shè)備的網(wǎng)關(guān)接口發(fā)生更新時(shí)，接收到所述網(wǎng)關(guān)設(shè)備上傳的與所述網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息。

在所述防arp網(wǎng)關(guān)欺騙的裝置中，所述下發(fā)單元，進(jìn)一步用于：

向所述接入交換機(jī)下發(fā)acl表項(xiàng)；其中，所述acl表項(xiàng)用于將arp報(bào)文上送至cpu處理。

在所述防arp網(wǎng)關(guān)欺騙的裝置中，所述接入交換機(jī)預(yù)先配置用于將arp報(bào)文上送至cpu處理的acl表項(xiàng)。

在所述防arp網(wǎng)關(guān)欺騙的裝置中，所述裝置還包括：

所述接收單元，進(jìn)一步用于接收到所述目標(biāo)局域網(wǎng)內(nèi)的所述網(wǎng)關(guān)設(shè)備上傳的設(shè)備型號(hào)標(biāo)識(shí)和所述接入交換機(jī)上傳的設(shè)備型號(hào)標(biāo)識(shí)；

生成單元，用于基于不同的設(shè)備型號(hào)標(biāo)識(shí)，生成對(duì)應(yīng)于不同類型設(shè)備的分組。

在本申請(qǐng)實(shí)施例中，網(wǎng)管服務(wù)器接收到網(wǎng)關(guān)設(shè)備上傳的接口的地址綁定信息，其中，所述地址綁定信息包括所述網(wǎng)關(guān)設(shè)備的接口的ip地址和mac地址的映射關(guān)系；網(wǎng)管服務(wù)器可以基于所述地址綁定信息創(chuàng)建地址綁定信息表，所述地址綁定信息表中包括所述網(wǎng)關(guān)設(shè)備上傳的所有地址綁定信息，然后向各接入交換機(jī)下發(fā)所述地址綁定信息表，以使各接入交換機(jī)在接收到arp報(bào)文時(shí)，根據(jù)所述地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙；

由于網(wǎng)管服務(wù)器接收到網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息后，創(chuàng)建地址綁定信息表并統(tǒng)一下發(fā)至各接入交換機(jī)；接入交換機(jī)可根據(jù)地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙；本申請(qǐng)取消了網(wǎng)絡(luò)管理員在終端設(shè)備上配置網(wǎng)關(guān)接口的arp信息的人工操作，并可顯著提高工作效率。

附圖說(shuō)明

圖1是現(xiàn)有技術(shù)的一種局域網(wǎng)架構(gòu)圖；

圖2是本申請(qǐng)示出的一種局域網(wǎng)架構(gòu)圖；

圖3是本申請(qǐng)示出的一種防arp網(wǎng)關(guān)欺騙的方法的流程圖；

圖4是本申請(qǐng)示出的一種防arp網(wǎng)關(guān)欺騙的裝置的實(shí)施例框圖；

圖5是本申請(qǐng)示出的一種防arp網(wǎng)關(guān)欺騙的裝置的硬件結(jié)構(gòu)圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明實(shí)施例的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)現(xiàn)有技術(shù)方案和本發(fā)明實(shí)施例中的技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明。

arp網(wǎng)關(guān)欺騙是指攻擊者通過(guò)發(fā)送錯(cuò)誤的網(wǎng)關(guān)arp信息導(dǎo)致網(wǎng)絡(luò)通信出現(xiàn)異常。參見(jiàn)圖1，為本申請(qǐng)示出的一種局域網(wǎng)架構(gòu)圖，如圖1所示，計(jì)算機(jī)a、計(jì)算機(jī)b和網(wǎng)關(guān)設(shè)備的arp信息分別為：

計(jì)算機(jī)a的ip地址：192.168.1.2；mac地址：aa-aa-aa-aa-aa-aa；

計(jì)算機(jī)b的ip地址：192.168.1.3；mac地址：bb-bb-bb-bb-bb-bb；

網(wǎng)關(guān)設(shè)備的ip地址：192.168.1.1/24；mac地址：ii-ii-ii-ii-ii-ii。

當(dāng)計(jì)算機(jī)a發(fā)送arp請(qǐng)求報(bào)文獲取網(wǎng)關(guān)的mac地址時(shí)，網(wǎng)關(guān)設(shè)備可以返回arp應(yīng)答報(bào)文。計(jì)算機(jī)a接收到該arp應(yīng)答報(bào)文后，可以學(xué)習(xí)網(wǎng)關(guān)的arp表項(xiàng)，并在后續(xù)基于該arp表項(xiàng)向網(wǎng)關(guān)發(fā)送報(bào)文。

然后，攻擊者可以通過(guò)計(jì)算機(jī)b向計(jì)算機(jī)a返回arp應(yīng)答報(bào)文，該arp應(yīng)答報(bào)文攜帶錯(cuò)誤的網(wǎng)關(guān)arp信息，其中，該arp應(yīng)答報(bào)文的發(fā)送方ip地址是192.168.1.1/24，mac地址為ll-ll-ll-ll-ll-ll。計(jì)算機(jī)a接收到該arp應(yīng)答報(bào)文后，會(huì)更新本地的arp表項(xiàng)，將錯(cuò)誤的網(wǎng)關(guān)arp信息替換掉正確的網(wǎng)關(guān)arp信息。在后續(xù)通信過(guò)程中，計(jì)算機(jī)a根據(jù)錯(cuò)誤的網(wǎng)關(guān)arp信息無(wú)法將報(bào)文發(fā)送至網(wǎng)關(guān)設(shè)備，這就導(dǎo)致計(jì)算機(jī)a無(wú)法連接網(wǎng)絡(luò)。此外，攻擊者通過(guò)計(jì)算機(jī)b發(fā)出的錯(cuò)誤的網(wǎng)關(guān)arp信息中，mac地址可以是計(jì)算機(jī)b的mac地址，在這種情況下，計(jì)算機(jī)b可以接收到計(jì)算機(jī)a發(fā)出的報(bào)文，攻擊者可以竊取到用戶的信息。

現(xiàn)有技術(shù)可以通過(guò)arp雙綁措施進(jìn)行防arp網(wǎng)關(guān)欺騙時(shí)，需要網(wǎng)絡(luò)管理員手動(dòng)對(duì)在局域網(wǎng)的終端設(shè)備上綁定網(wǎng)關(guān)接口的arp信息，以及，在局域網(wǎng)的網(wǎng)關(guān)設(shè)備上綁定終端設(shè)備的arp信息。在綁定完成后，終端設(shè)備接收到攜帶網(wǎng)關(guān)接口的arp信息的arp報(bào)文后，不會(huì)更改本地保存的網(wǎng)關(guān)接口的arp信息，因此，終端設(shè)備不會(huì)將錯(cuò)誤的網(wǎng)關(guān)arp信息替換掉正確的網(wǎng)關(guān)arp信息，從而可以有效防護(hù)arp網(wǎng)關(guān)欺騙。

然而，arp雙綁措施需要人工在網(wǎng)關(guān)設(shè)備和終端設(shè)備上進(jìn)行操作，當(dāng)網(wǎng)關(guān)設(shè)備的網(wǎng)卡發(fā)生更換或者網(wǎng)關(guān)接口發(fā)生更新時(shí)，網(wǎng)絡(luò)管理員就要重新配置終端設(shè)備上的arp信息，如果局域網(wǎng)中的終端設(shè)備數(shù)量較多，則網(wǎng)絡(luò)管理員的工作量巨大，且工作效率低下。

有鑒于此，本申請(qǐng)實(shí)施例通過(guò)網(wǎng)管服務(wù)器對(duì)局域網(wǎng)中的接入交換機(jī)集中部署網(wǎng)關(guān)接口的arp信息，來(lái)實(shí)現(xiàn)自動(dòng)化防arp網(wǎng)關(guān)欺騙的目的。

請(qǐng)參見(jiàn)圖2，為本申請(qǐng)示出的一種局域網(wǎng)架構(gòu)圖，如圖2所示，相比現(xiàn)有技術(shù)的局域網(wǎng)架構(gòu)圖，本申請(qǐng)示出的局域網(wǎng)架構(gòu)圖中增加了網(wǎng)管服務(wù)器。網(wǎng)管服務(wù)器可以接收到網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息，然后生成地址綁定信息表后統(tǒng)一下發(fā)至各接入交換機(jī)。接入交換機(jī)獲得上述地址綁定信息表后，可以防護(hù)arp網(wǎng)關(guān)欺騙。由于網(wǎng)管服務(wù)器統(tǒng)一對(duì)各接入交換機(jī)進(jìn)行管理，從而實(shí)現(xiàn)自動(dòng)化的arp網(wǎng)關(guān)欺騙防御，無(wú)需網(wǎng)絡(luò)管理員大量的人工操作，并提高了工作效率。

參見(jiàn)圖3，為本申請(qǐng)示出的一種防arp網(wǎng)關(guān)欺騙的方法的流程圖，該方法應(yīng)用于網(wǎng)管服務(wù)器，所述網(wǎng)管服務(wù)器與目標(biāo)局域網(wǎng)中的網(wǎng)關(guān)設(shè)備對(duì)接；所述目標(biāo)局域網(wǎng)還包括若干個(gè)接入交換機(jī)以及通過(guò)所述接入交換機(jī)接入所述網(wǎng)關(guān)設(shè)備的若干個(gè)終端設(shè)備，所述方法包括以下步驟：

步驟301：接收到所述網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息；其中，所述地址綁定信息包括ip地址和mac地址的映射關(guān)系。

步驟302：基于所述地址綁定信息創(chuàng)建地址綁定信息表。

步驟303：向各接入交換機(jī)下發(fā)所述地址綁定信息表，以使各接入交換機(jī)在接收到arp報(bào)文時(shí)，根據(jù)所述地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙。

在本申請(qǐng)實(shí)施例中，網(wǎng)管服務(wù)器可以統(tǒng)一管理整個(gè)目標(biāo)局域網(wǎng)；其中，上述目標(biāo)局域網(wǎng)中可以包括網(wǎng)關(guān)設(shè)備、匯聚交換機(jī)、接入交換機(jī)和終端設(shè)備等。

網(wǎng)管服務(wù)器可以首先根據(jù)snmp(simplenetworkmanagementprotocol，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)協(xié)議接收目標(biāo)局域網(wǎng)內(nèi)的設(shè)備上傳的設(shè)備型號(hào)標(biāo)識(shí)，從而可以獲得上述網(wǎng)關(guān)設(shè)備上傳的設(shè)備型號(hào)標(biāo)識(shí)、上述接入交換機(jī)上傳的設(shè)備型號(hào)標(biāo)識(shí)和上述匯聚交換機(jī)上傳的設(shè)備型號(hào)標(biāo)識(shí)。

網(wǎng)管服務(wù)器獲得不同的設(shè)備型號(hào)標(biāo)識(shí)后，可以基于上述設(shè)備型號(hào)標(biāo)識(shí)，生成對(duì)應(yīng)于不同類型設(shè)備的分組。其中，各個(gè)分組可以包括設(shè)備型號(hào)標(biāo)識(shí)與隸屬于該設(shè)備型號(hào)標(biāo)識(shí)的所有設(shè)備的地址信息。

通過(guò)為不同的設(shè)備分組，網(wǎng)管服務(wù)器可以更方便后續(xù)對(duì)不同的設(shè)備進(jìn)行管理，在向任一類型下發(fā)數(shù)據(jù)時(shí)，可以準(zhǔn)確選擇該類型的設(shè)備，減少了向其它類型的設(shè)備的多余通信，從而提高了局域網(wǎng)的通信效率。

在本申請(qǐng)實(shí)施例中，網(wǎng)關(guān)設(shè)備可以在配置接口地址時(shí)，向網(wǎng)管服務(wù)器上傳與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息；其中，上述地址綁定信息包括網(wǎng)關(guān)接口的ip地址和mac地址的映射關(guān)系。

網(wǎng)管服務(wù)器接收到目標(biāo)局域網(wǎng)內(nèi)各網(wǎng)關(guān)設(shè)備上傳的上述地址綁定信息后，可以創(chuàng)建地址綁定信息表，該地址綁定信息表包括目標(biāo)局域網(wǎng)內(nèi)全部網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息。

在示出的一種實(shí)施方式中，網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息包括ip地址、mac地址、接口標(biāo)識(shí)和網(wǎng)關(guān)設(shè)備的標(biāo)識(shí)的映射關(guān)系。在這種情況下，網(wǎng)管服務(wù)器在后續(xù)接收到網(wǎng)關(guān)設(shè)備上傳的更新后的接口的地址綁定信息時(shí)，可以更方便地更新地址綁定信息表項(xiàng)。

其中，不同的網(wǎng)關(guān)設(shè)備的接口標(biāo)識(shí)可能是相同的，因此需要網(wǎng)關(guān)設(shè)備的標(biāo)識(shí)用以準(zhǔn)確地確定對(duì)應(yīng)于更新后的接口的地址綁定信息表項(xiàng)；上述網(wǎng)關(guān)設(shè)備的標(biāo)識(shí)可以是網(wǎng)關(guān)設(shè)備的一個(gè)接口的mac地址。

具體地，網(wǎng)管服務(wù)器可以根據(jù)網(wǎng)關(guān)設(shè)備的標(biāo)識(shí)和接口標(biāo)識(shí)確定對(duì)應(yīng)于該網(wǎng)關(guān)接口的地址綁定信息表項(xiàng)，并更新上述地址綁定信息表項(xiàng)中的ip地址和mac地址。

在本申請(qǐng)實(shí)施例中，網(wǎng)管服務(wù)器在創(chuàng)建上述地址綁定信息表之后，可以向目標(biāo)局域網(wǎng)中的各接入交換機(jī)下發(fā)上述地址綁定信息表。

需要指出的是，即使網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息包括ip地址、mac地址、接口標(biāo)識(shí)和網(wǎng)關(guān)設(shè)備的標(biāo)識(shí)，網(wǎng)管服務(wù)器向各接入交換機(jī)下發(fā)的地址綁定信息表中仍只包括網(wǎng)關(guān)接口的ip地址和mac地址的映射關(guān)系。

各接入交換機(jī)獲得上述地址綁定信息表后，可以根據(jù)上述地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙。需要指出的是，各接入交換機(jī)在沒(méi)有接收到網(wǎng)管服務(wù)器下發(fā)的更新地址綁定信息表項(xiàng)的消息的情況下，無(wú)法更改上述地址綁定信息表中的網(wǎng)關(guān)接口的arp信息。

具體地，各接入交換機(jī)在接收到arp報(bào)文后，可以將上述arp報(bào)文的源ip在上述地址綁定信息表中進(jìn)行查找。當(dāng)查找到對(duì)應(yīng)于上述arp報(bào)文的源ip的地址綁定信息表項(xiàng)后，可以進(jìn)一步確定上述arp報(bào)文的源mac是否為上述地址綁定信息表項(xiàng)中的mac地址。

一方面，如果上述arp報(bào)文的源mac是上述地址綁定信息表項(xiàng)中的mac地址，則確定上述arp報(bào)文是網(wǎng)關(guān)設(shè)備發(fā)送的，其中攜帶正確的網(wǎng)關(guān)arp信息，此時(shí)可以轉(zhuǎn)發(fā)上述arp報(bào)文。

另一方面，如果上述arp報(bào)文的源mac不是上述地址綁定信息表項(xiàng)中的mac地址，則確定上述arp報(bào)文是攻擊者發(fā)送的，其中攜帶錯(cuò)誤的網(wǎng)關(guān)arp信息，此時(shí)可以丟棄上述arp報(bào)文。

在示出的一種實(shí)施方式中，各接入交換機(jī)接收到arp報(bào)文后進(jìn)行防網(wǎng)關(guān)arp欺騙是通過(guò)cpu(centralprocessingunit，中央處理器)來(lái)完成。

因此，各接入交換機(jī)可以預(yù)先配置用于將arp報(bào)文上述至cpu處理的acl(accesscontrollist，訪問(wèn)控制列表)表項(xiàng)，其中，上述acl表項(xiàng)的匹配項(xiàng)為arp報(bào)文，動(dòng)作項(xiàng)為上送cpu。

此外，各接入交換機(jī)上用于將arp報(bào)文上送至cpu處理的acl表項(xiàng)也可以由網(wǎng)管服務(wù)器下發(fā)。在這種情況下，網(wǎng)管服務(wù)器可以在向接入交換機(jī)下發(fā)上述地址綁定信息表之前，下發(fā)上述acl表項(xiàng)。

各接入交換機(jī)獲得上述acl表項(xiàng)后，接入交換機(jī)的轉(zhuǎn)發(fā)芯片在后續(xù)接收到arp報(bào)文后，會(huì)將arp報(bào)文上送至cpu，以由cpu對(duì)arp報(bào)文進(jìn)行檢查。

在本申請(qǐng)實(shí)施例中，當(dāng)網(wǎng)關(guān)設(shè)備上的網(wǎng)關(guān)接口發(fā)生更新時(shí)，網(wǎng)關(guān)設(shè)備會(huì)將上述網(wǎng)關(guān)接口更新后的地址綁定信息上傳至上述網(wǎng)管服務(wù)器。網(wǎng)管服務(wù)器接收到該地址綁定信息后，根據(jù)網(wǎng)關(guān)設(shè)備的標(biāo)識(shí)和接口標(biāo)識(shí)確定對(duì)應(yīng)于該網(wǎng)關(guān)接口的地址綁定信息表項(xiàng)，然后將更新后的接口的地址綁定信息中的ip地址和mac地址替換上述地址綁定信息表項(xiàng)中的ip地址和mac地址。

此外，網(wǎng)管服務(wù)器還需更新各交換機(jī)上對(duì)應(yīng)于上述網(wǎng)關(guān)接口的地址綁定信息表項(xiàng)。

具體地，網(wǎng)管服務(wù)器可以先向各交換機(jī)發(fā)送刪除地址綁定信息表項(xiàng)的消息；其中，該消息中包括上述地址綁定信息表項(xiàng)中的ip地址和mac地址。各接入交換機(jī)接收到該消息以后，根據(jù)上述地址綁定信息表項(xiàng)中的ip地址和mac地址在本地的地址綁定信息表中進(jìn)行匹配，確定對(duì)應(yīng)的地址綁定信息表項(xiàng)，并進(jìn)行刪除。

網(wǎng)管服務(wù)器可以接著向各交換機(jī)發(fā)送添加地址綁定信息表項(xiàng)的消息；其中，該消息包括更新后的接口的地址綁定信息中的ip地址和mac地址。各接入交換機(jī)接收到該消息以后，在本地的地址綁定信息表中添加對(duì)應(yīng)于上述接口的地址綁定信息表項(xiàng)。

通過(guò)該措施，當(dāng)網(wǎng)關(guān)設(shè)備上的網(wǎng)關(guān)接口發(fā)生更新時(shí)，網(wǎng)管服務(wù)器可以及時(shí)更新各接入交換機(jī)上的地址綁定信息表，使得各接入交換機(jī)可以根據(jù)最新的地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙。避免了因接入交換機(jī)上的地址綁定信息表未及時(shí)更新，導(dǎo)致接入交換機(jī)丟棄攜帶正確的網(wǎng)關(guān)arp信息的arp報(bào)文。

綜上所述，在本申請(qǐng)實(shí)施例中，網(wǎng)管服務(wù)器接收到網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息，其中上述地址綁定信息包括ip地址和mac地址的映射關(guān)系；網(wǎng)管服務(wù)器基于上述地址綁定信息創(chuàng)建地址綁定信息表，然后向各接入交換機(jī)下發(fā)上述地址綁定信息表；各接入交換機(jī)獲得上述地址綁定信息表以后，可以根據(jù)上述地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙；

由于網(wǎng)管服務(wù)器接收到網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息后，創(chuàng)建地址綁定信息表并統(tǒng)一下發(fā)至各接入交換機(jī)；接入交換機(jī)可根據(jù)地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙；本申請(qǐng)取消了網(wǎng)絡(luò)管理員在終端設(shè)備上配置網(wǎng)關(guān)接口的arp信息的人工操作，并可顯著提高工作效率。

與前述防arp網(wǎng)關(guān)欺騙的方法的實(shí)施例相對(duì)應(yīng)，本申請(qǐng)還提供了防arp網(wǎng)關(guān)欺騙的裝置的實(shí)施例。

參見(jiàn)圖4，為本申請(qǐng)示出的一種防arp網(wǎng)關(guān)欺騙的裝置的實(shí)施例框圖：

如圖4所示，該防arp網(wǎng)關(guān)欺騙的裝置40包括：

接收單元410，用于接收到所述網(wǎng)關(guān)設(shè)備上傳的與網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息；其中，所述地址綁定信息包括ip地址和mac地址的映射關(guān)系。

創(chuàng)建單元420，用于基于所述地址綁定信息創(chuàng)建地址綁定信息表。

下發(fā)單元430，用于向各接入交換機(jī)下發(fā)所述地址綁定信息表，以使各接入交換機(jī)在接收到arp報(bào)文時(shí)，根據(jù)所述地址綁定信息表防護(hù)arp網(wǎng)關(guān)欺騙。

在本例中，所述接收單元410，進(jìn)一步用于：

當(dāng)所述網(wǎng)關(guān)設(shè)備的網(wǎng)關(guān)接口發(fā)生更新時(shí)，接收到所述網(wǎng)關(guān)設(shè)備上傳的與所述網(wǎng)關(guān)接口對(duì)應(yīng)的地址綁定信息。

在本例中，所述下發(fā)單元430，進(jìn)一步用于：

向所述接入交換機(jī)下發(fā)acl表項(xiàng)；其中，所述acl表項(xiàng)用于將arp報(bào)文上送至cpu處理。

在本例中，所述接入交換機(jī)預(yù)先配置用于將arp報(bào)文上送至cpu處理的acl表項(xiàng)。

在本例中，所述裝置還包括：

所述接收單元410，進(jìn)一步用于接收到所述目標(biāo)局域網(wǎng)內(nèi)的所述網(wǎng)關(guān)設(shè)備上傳的設(shè)備型號(hào)標(biāo)識(shí)和所述接入交換機(jī)上傳的設(shè)備型號(hào)標(biāo)識(shí)。

生成單元440，用于基于不同的設(shè)備型號(hào)標(biāo)識(shí)，生成對(duì)應(yīng)于不同類型設(shè)備的分組。

本申請(qǐng)防arp網(wǎng)關(guān)欺騙的裝置的實(shí)施例可以應(yīng)用在網(wǎng)管服務(wù)器上。裝置實(shí)施例可以通過(guò)軟件實(shí)現(xiàn)，也可以通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過(guò)其所在網(wǎng)管服務(wù)器的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言，如圖5所示，為本申請(qǐng)防arp網(wǎng)關(guān)欺騙的裝置所在網(wǎng)管服務(wù)器的一種硬件結(jié)構(gòu)圖，除了圖5所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存儲(chǔ)器之外，實(shí)施例中裝置所在的網(wǎng)管服務(wù)器通常根據(jù)該防arp網(wǎng)關(guān)欺騙的裝置的實(shí)際功能，還可以包括其他硬件，對(duì)此不再贅述。

上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過(guò)程具體詳見(jiàn)上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過(guò)程，在此不再贅述。

對(duì)于裝置實(shí)施例而言，由于其基本對(duì)應(yīng)于方法實(shí)施例，所以相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本申請(qǐng)方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下，即可以理解并實(shí)施。

以上所述僅為本申請(qǐng)的較佳實(shí)施例而已，并不用以限制本申請(qǐng)，凡在本申請(qǐng)的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)。