技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通訊領(lǐng)域，尤其涉及一種IP源地址綁定表項(xiàng)的創(chuàng)建方法、裝置及交換機(jī)。

背景技術(shù)

動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic?Host?Configuration?Protocol，DHCP)監(jiān)聽(tīng)(DHCP?Snooping)技術(shù)是DHCP的安全特性，通過(guò)建立和維護(hù)DHCP?Snooping綁定表項(xiàng)過(guò)濾不可信任的DHCP信息。

DHCP?Snooping功能在交換機(jī)上開(kāi)啟后，通過(guò)窺探DHCP客戶端(DHCPCLIENT)和DHCP服務(wù)器(DHCP?SERVER)之間的DHCP報(bào)文交互過(guò)程，根據(jù)客戶端獲取到的IP地址及租約時(shí)間、終端媒體接入控制(Media?AccessControl，MAC)地址和終端所在端口信息，創(chuàng)建IP源地址綁定表項(xiàng)，IP源地址綁定表項(xiàng)包含如下元素：終端MAC地址、終端IP地址、終端所在端口、租約時(shí)間。創(chuàng)建IP源地址綁定表項(xiàng)后，交換機(jī)上的DHCP?Snooping功能將IP源地址綁定表項(xiàng)添加到硬件過(guò)濾資源中。

交換機(jī)在對(duì)客戶端發(fā)出的數(shù)據(jù)報(bào)文進(jìn)行硬件轉(zhuǎn)發(fā)時(shí)，通過(guò)硬件過(guò)濾資源對(duì)數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾。如果客戶端沒(méi)有通過(guò)DHCP獲取IP地址，在交換機(jī)上就不存在該客戶端的IP源地址綁定表項(xiàng)，該客戶端發(fā)出的數(shù)據(jù)報(bào)文就會(huì)被交換機(jī)過(guò)濾掉，有效防止了客戶端私自配置IP地址。

為了防止未經(jīng)認(rèn)證的非法DHCP客戶端進(jìn)行非法攻擊，現(xiàn)有技術(shù)中常采用認(rèn)證服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證與DHCP?Snooping相結(jié)合的方法，該方法中，用戶在通過(guò)認(rèn)證之前，只能發(fā)送認(rèn)證報(bào)文，其他報(bào)文一律被交換機(jī)丟棄，用戶必須在認(rèn)證成功之后，才可以向DHCP服務(wù)器獲取為其分配的IP地址，獲得DHCP服務(wù)器為其分配的IP地址之后，需要使用分配的IP地址，再一次向交換機(jī)發(fā)送認(rèn)證報(bào)文，重新進(jìn)行認(rèn)證，將獲取到的IP地址上傳到認(rèn)證服務(wù)器中，這樣，一個(gè)客戶端必須經(jīng)歷兩次認(rèn)證，才能將IP地址上傳至認(rèn)證服務(wù)器，增加認(rèn)證服務(wù)器的處理壓力。

為了減輕認(rèn)證服務(wù)器的處理壓力，現(xiàn)有技術(shù)中還提供了一種在認(rèn)證前獲取IP地址的方式，該方式中，客戶端需要在認(rèn)證過(guò)程開(kāi)始之前獲取到IP地址，然后在認(rèn)證交互過(guò)程中，將獲取到的IP地址直接上傳到認(rèn)證服務(wù)器上，但由于客戶端需要在認(rèn)證通過(guò)前通過(guò)DHCP獲取IP地址，DHCP?SNOOPING在創(chuàng)建IP源地址綁定表項(xiàng)時(shí)，不論該客戶端是否合法都會(huì)直接創(chuàng)建IP源地址綁定表項(xiàng)，并且添加到硬件過(guò)濾資源中，因此，這種方式存在以下問(wèn)題：非法DHCP客戶端可利用獲取IP地址的過(guò)程進(jìn)行DHCP攻擊，造成的交換機(jī)上硬件過(guò)濾資源的過(guò)度占用甚至耗盡，由于硬件過(guò)濾資源在交換機(jī)上屬于稀缺硬件資源，通常由多個(gè)安全功能共用硬件過(guò)濾資源，如果硬件過(guò)濾資源耗盡會(huì)出現(xiàn)其他合法客戶端無(wú)法正常獲取IP地址，交換機(jī)上其他共用硬件過(guò)濾資源的安全功能也無(wú)法正常工作。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種IP源地址綁定表項(xiàng)的創(chuàng)建方法、裝置及交換機(jī)，用以避免現(xiàn)有交換機(jī)硬件過(guò)濾資源過(guò)度占用甚至耗盡的問(wèn)題。

本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建方法，包括：

對(duì)客戶端向動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器發(fā)起獲取IP地址的第一流程進(jìn)行窺探，生成所述客戶端的IP源地址綁定表項(xiàng)，并將所述IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息設(shè)置為等待認(rèn)證通過(guò)狀態(tài)；

在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證通過(guò)時(shí)，將所述客戶端的IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息修改為已生效狀態(tài)；并將修改后的IP源地址綁定表項(xiàng)添加到硬件過(guò)濾資源中；

在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證未通過(guò)時(shí)，拒絕將所述客戶端的IP源地址綁定表項(xiàng)添加到硬件過(guò)濾資源中。

本發(fā)明實(shí)施例提供的IP源地址綁定表項(xiàng)的創(chuàng)建的裝置，包括：

IP源地址綁定表項(xiàng)生成單元，用于對(duì)客戶端向動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器發(fā)起獲取IP地址的第一流程進(jìn)行窺探，生成所述客戶端的IP源地址綁定表項(xiàng)，并將所述IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息設(shè)置為等待認(rèn)證通過(guò)狀態(tài)；

IP源地址綁定表項(xiàng)添加單元，用于在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證通過(guò)時(shí)，將所述客戶端的IP源地址綁定表項(xiàng)包含的表項(xiàng)狀態(tài)信息修改為已生效狀態(tài)；并將修改后的IP源地址綁定表項(xiàng)添加到硬件過(guò)濾資源中；

IP源地址綁定表項(xiàng)清除單元，用于在確認(rèn)所述第一流程之后執(zhí)行的客戶端認(rèn)證的第二流程的認(rèn)證結(jié)果為所述客戶端認(rèn)證未通過(guò)時(shí)，拒絕將所述客戶端的IP源地址綁定表項(xiàng)添加到硬件過(guò)濾資源中。