技術領域

本發明涉及通信技術，尤其是一種動態主機配置協議(Dynamic?HostConfigure?Protocol，以下簡稱：DHCP)窺探綁定信息的生成方法與裝置。?

背景技術

在基于DHCP的DHCP網絡系統中，可以通過DHCP窺探(SNOOPING)設備，對DHCP服務器的回應報文進行過濾，來阻止其對內部網絡的攻擊。圖1為現有技術DHCP網絡的一個拓撲結構示意圖。在該圖1所示的DHCP網絡中，個人計算機(personal?computer，以下簡稱：PC)從DHCP窺探設備獲取的互聯網協議(Internet?Protocol，以下簡稱：IP)地址與DHCP服務器的地址在同一網段內，圖2為現有技術DHCP網絡的另一個拓撲結構示意圖，在該圖2所示的DHCP網絡中，PC從DHCP窺探設備獲取的IP地址與DHCP服務器的地址不在同一個網段，DHCP中繼(Relay)對PC與DHCP服務器之間的DHCP報文進行中繼。另外，在圖1與圖2所示的DHCP網絡中，DHCP窺探設備通過將上聯口設置為信任(trust)接口，對DHCP服務器的回應報文進行過濾，丟棄非信任接口接收到的DHCP服務器的回應報文。另外，DHCP窺探設備通過檢測用戶通過下聯口發送的報文是否與DHCP窺探綁定信息來過濾非法報文，從而防止下聯用戶通過介質訪問控制(MediaAccess?Control，以下簡稱：MAC)地址欺騙對外部網絡的攻擊。其中，DHCP窺探綁定信息包括用戶IP地址、虛擬局域網(Virtual?Local?Area?Network，以下簡稱：VLAN)標識(identity，以下簡稱：ID)、端口(port)、租約時間、綁定類型等信息。具體地，DHCP窺探設備從DHCP服務器回應的確認(Acknowledge，以下簡稱：ACK)報文中獲取輸入VLAN?ID、IP地址、租?約時間等信息，并根據ACK報文中攜帶的MAC地址查詢二層MAC表項，獲取該MAC地址對應的端口信息，由該端口信息與ACK報文中攜帶的輸入VLAN?ID、IP地址、租約時間信息，以及選擇的綁定類型生成DHCP窺探綁定信息。DHCP窺探設備中的動態地址解析協議(Address?Resolution?Protocol，以下簡稱：ARP)檢測(dynamic?arp?inspection，以下簡稱：DAI)模塊，接收到PC通過下聯口發送的ARP報文時，檢測該ARP報文是否與DHCP窺探綁定信息匹配，對與DHCP窺探綁定信息不匹配的ARP報文進行過濾。?

網絡中存在著MAC地址欺騙，假設第一MAC地址原先學習在第一端口上，當有MAC地址欺騙時，MAC表項中第一MAC地址對應的端口就會發生遷移，例如：第一端口遷移到第二端口?，F有技術生成DHCP窺探綁定信息時，至少存在以下問題：DHCP報文交互過程中，在DHCP服務器向DHCP窺探設備回應ACK報文之前，若用戶MAC地址被欺騙，則MAC表項中該MAC地址對應的端口會發生遷移，這樣，在生成DHCP窺探綁定信息時，查找MAC表項獲得的端口與實際端口不符，導致生成的DHCP窺探綁定信息錯誤。因此，無法通過下聯口對用戶發送的非法報文進行有效過濾，從而防止下聯用戶MAC地址欺騙對外部網絡的攻擊。?

發明內容

本發明實施例的目的是：提供一種動態主機配置協議窺探綁定信息的生成方法與裝置，避免由于MAC地址欺騙導致MAC表中MAC地址對應的端口會發生遷移，有效保證DHCP窺探綁定信息的正確性。?

為實現上述目的，本發明實施例提供的一種動態主機配置協議窺探綁定信息的生成方法，包括：?

接收動態主機配置協議DHCP服務器返回的確認ACK報文，該ACK報文中包括目的介質訪問控制MAC地址；?

查詢MAC表中與所述目的MAC地址對應的MAC條目，該MAC條目中包括輸入端口信息、第一標識位與第二標識位，所述第一標識位用于標識是否接收到第一互聯網協議IP地址獲取請求報文discover，所述第二標識位用于標識是否接收到第二IP地址獲取請求報文request，所述第一IP地址獲取請求報文discover與第二IP地址獲取請求報文request中的源MAC地址、輸入端口信息、輸入虛擬局域網標識VLAN?ID分別對應相同；

根據所述第一標識位與所述第二標識位，若接收到第一IP地址獲取請求報文discover與第二IP地址獲取請求報文request，根據所述MAC條目中的輸入端口信息生成DHCP窺探綁定信息。?