技術領域

本發明涉及計算機數據通信領域，尤其涉及一種基于二層DHCP?SNOOPING的三層交換系統及方法

背景技術

隨著數據通信中交換技術的不斷提高，具有三層交換功能的設備已經廣泛應用，三層交換設備能夠跨虛擬局域網線速轉發IP報文，這是二層交換設備不具有的優勢。

現有技術公開號為CN?101594358?A的發明專利公開了一種“三層交換方法、裝置、系統和宿主機”，該方法包括：接收源虛擬機發送的網絡報文；根據預先獲取的三層交換信息對所述網絡報文進行三層交換處理，生成經過三層交換處理的網絡報文、目的虛擬機所在的虛擬鏈路以及目的虛擬機的三層目的地址；根據所述目的虛擬機的三層目的地址將所述經過三層交換處理的網絡報文通過目的虛擬機所在的虛擬鏈路發送給目的虛擬機。

現有的三層交換功能的實現技術方案，三層交換信息即三層表項，三層表項包括主機路由表項和網段路由表項，主機路由表項指的是前綴32位的路由表項(如1.1.1.1下一跳)，網段路由表項指的是前綴長度小于32位的路由表項(1.0.0.0/8下一跳)。三層表項一般通過ARP(ADDRESS?Resolution?Protocol)表項生成并下發到交換芯片。由于ARP協議簡單，極易受到攻擊，也容易產生欺騙，由ARP生成主機路由表項也變得不穩定，這樣會造成網絡流量的不正常轉發，給用戶帶來極大的不便。

DHCP(動態地址解析協議)是一種自動為用戶分配IP地址以及其他選項(如網關、DNS)的協議，廣泛應用于局域網中，DHCP簡化了網絡的部署、也易于網絡的維護。DHCP?SNOOPING是一種監聽DHCP請求過程的私有協議，它在交換裝置中使用，將每一個成功獲取IP的用戶生成一個DHCP綁定信息。DHCP?SNOOPING可以開啟多項防護機制來避免DHCP欺騙和攻擊，如通過設置可信端口防止網絡中私自搭建DHCP服務器，通過設置端口綁定數量來防止大量請求DHCP。通過DHCP?SNOOPING創建了一個安全穩定的DHCP環境。

在一般的組網中，采用的是層次化的組網方式，包括接入層、匯聚層和核心層，接入層采用低廉的二層交換裝置、匯聚層采用三層交換裝置，而核心層采用的是高可靠和冗余的交換裝置。為了保證三層表項的穩定和安全，本發明提出一種基于二層DHCP?SNOOPING的三層交換系統及方法，該技術方案中DHCPSNOOPING在二層交換裝置中啟用，處于匯聚層的三層交換裝置沒有用戶的DHCP綁定信息。

發明內容

為克服現有技術中存在的缺陷和不足，本發明提出一種基于二層DHCP?SNOOPING的三層交換系統及方法，在網絡接入層的二層交換裝置配置DHCP?SNOOPING并使能，DHCP?SNOOPING監聽用戶的DHCP請求過程，創建DHCP綁定信息并存儲，二層交換裝置對綁定信息經過處理后上傳到匯聚層的三層交換裝置，下發為硬件三層轉發信息，實現跨虛擬局域網的網絡報文轉發。采用本發明的技術方案增加了DHCP環境中交換裝置三層表項的學習途徑，并有效的保證了表項的穩定和安全。

本發明公開一種基于二層DHCP?SNOOPING的三層交換系統，該系統包括DHCP用戶終端、二層交換裝置、三層交換裝置和DHCP服務器，其中，二層交換裝置包括使能模塊，通過對二層交換裝置配置的DHCP?SNOOPING使能，監聽用戶終端的DHCP請求過程，創建DHCP綁定信息并保存；二層交換裝置對綁定信息經過處理后上傳到三層交換裝置，三層交換裝置根據DHCP綁定信息，下發三層引擎處理路由表項，根據目的用戶終端的地址轉發經過三層引擎處理后的網絡報文至目的用戶終端。

進一步地，所述二層交換裝置還包括：

重定向模塊，將源用戶終端發送的網絡報文請求重定向到中央處理模塊；

中央處理模塊，判斷接收到的網絡報文的合法性并進行處理，創建DHCP?SNOOPING的綁定信息表；

存儲模塊，存儲DHCP?SNOOPING的綁定信息表；

接收端口，接收DHCP綁定的三層交換裝置地址以及端口信息；

設置模塊，設置DHCP綁定數目上限及可信端口；

三層交換裝置包括：

接收端口，接收二層交換裝置上傳來的DHCP綁定報文；

三層引擎處理模塊，根據DHCP?SNOOPING的綁定信息查找下一跳信息，下發三層引擎處理后的路由表項。

進一步地，所述DHCP?SNOOPING的綁定信息包括用戶的IP地址、MAC地址、接入端口、接入虛擬局域網和租期。