技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)通信領(lǐng)域，尤其涉及一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)及方法。

背景技術(shù)

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)復(fù)雜程度的提高，網(wǎng)絡(luò)配置越來(lái)越復(fù)雜，經(jīng)常出現(xiàn)計(jì)算機(jī)位置變化和計(jì)算機(jī)數(shù)量超過(guò)可分配的IP地址的情況。動(dòng)態(tài)主機(jī)分配協(xié)議(Dynamic?Host?Configuration?Protocol?Version，DHCP)就是為了滿(mǎn)足這些需求而發(fā)展起來(lái)的。

在網(wǎng)絡(luò)規(guī)模較大的情況下，IPv6協(xié)議具有地址空間巨大的特點(diǎn)，但同時(shí)長(zhǎng)達(dá)128比特的IPv6地址又要求高效合理的地址自動(dòng)分配和管理策略。IPv6地址無(wú)狀態(tài)地址配置協(xié)議是目前廣泛采用的IPv6地址自動(dòng)配置協(xié)議，配置了該協(xié)議的主機(jī)只需要相鄰路由器開(kāi)啟IPv6路由公告功能，既可以根據(jù)公告報(bào)文包含的前綴信息自動(dòng)配置本機(jī)地址。但無(wú)狀態(tài)地址配置方案中路由器并不記錄所連接的IPv6主機(jī)的具體地址信息，可管理性差。而且當(dāng)前無(wú)狀態(tài)地址配置方式不能使IPv6主機(jī)獲取DNS服務(wù)器的地址和域名等配置信息，在可用性上由一定缺陷。

DHCPv6是動(dòng)態(tài)主機(jī)分配協(xié)議(DHCP)的IPv6版本，相對(duì)于IPv6無(wú)狀態(tài)地址自動(dòng)配置協(xié)議，DHCPv6屬于一種有狀態(tài)地址自動(dòng)配置協(xié)議。在有狀態(tài)地址配置過(guò)程中，DHCPv6服務(wù)器分配一個(gè)完成的IPv6地址給主機(jī)，并提供DNS服務(wù)地址和域名等其他配置信息，中間可能通過(guò)中繼代理轉(zhuǎn)交DHCPv6報(bào)文，而且最終服務(wù)器能把分配的IPv6地址和客戶(hù)端的綁定關(guān)系記錄在案，增強(qiáng)了網(wǎng)絡(luò)的可管理性。DHCPv6服務(wù)器也能提供無(wú)狀態(tài)DHCPv6服務(wù)，即DHCPv6服務(wù)器不分配IP?v6地址，僅需要向主機(jī)提供DNS服務(wù)器地址和域名等其他配置信息，主機(jī)IPv6地址仍通過(guò)路由器公告方式自動(dòng)生成，這樣配合使用彌補(bǔ)了IPv6無(wú)狀態(tài)地址自動(dòng)配置的缺陷。

為了防止非法設(shè)置DHCPv6服務(wù)器，一般在交換機(jī)中開(kāi)啟DHCPv6偵聽(tīng)(DHCPv6?SNOOPING)功能，但是啟用DHCPv6偵聽(tīng)來(lái)防止私設(shè)DHCPv6服務(wù)器是一種被動(dòng)的行為，而且其判斷DHCPv6服務(wù)器非法的條件相對(duì)簡(jiǎn)單，不能滿(mǎn)足復(fù)雜網(wǎng)絡(luò)中的需求。亟需一種簡(jiǎn)單、易于實(shí)現(xiàn)、能夠主動(dòng)探測(cè)發(fā)現(xiàn)非法DHCPv6服務(wù)器的方法，能夠有效解決網(wǎng)絡(luò)中DHCPv6服務(wù)器欺騙行為。

發(fā)明內(nèi)容

為克服現(xiàn)有技術(shù)中存在的缺陷和不足，本發(fā)明提出一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)及方法，有效的解決了在網(wǎng)絡(luò)中私設(shè)DHCPv6服務(wù)器的行為，確保用戶(hù)獲取合法IPv6地址，保證了網(wǎng)絡(luò)的安全性。

一種防止DHCPv6服務(wù)器欺騙的系統(tǒng)，所述系統(tǒng)包括交換裝置和DHCPv6服務(wù)器，其中，

所述交換裝置用于主動(dòng)構(gòu)建并發(fā)送DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6?SOLICIT報(bào)文)，并在接收到所述DHCPv6服務(wù)器的DHCPv6公告報(bào)文(DHCPv6?ADVERTISE報(bào)文)后將相應(yīng)報(bào)文中的DHCPv6服務(wù)器特征信息與預(yù)先配置的合法DHCPv6服務(wù)器特征信息進(jìn)行匹配，如匹配成功，交換裝置則不再發(fā)送DHCPv6請(qǐng)求報(bào)文(DHCPv6?REQUEST報(bào)文)；如匹配失敗，交換裝置將非法DHCPv6服務(wù)器的所有DHCPv6報(bào)文全部丟棄。

所述DHCPv6服務(wù)器用于接收DHCPv6發(fā)現(xiàn)報(bào)文并回復(fù)帶有服務(wù)器信息的DHCPv6公告報(bào)文；

進(jìn)一步地，所述合法DHCPv6服務(wù)器特征包括DHCPv6服務(wù)器連接端口、所屬虛擬局域網(wǎng)標(biāo)識(shí)、IPv6地址或MAC地址。

進(jìn)一步地，所述交換裝置包括交換芯片和微處理器單元(CPU)；交換裝置預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征，下發(fā)將所述DHCPv6發(fā)現(xiàn)報(bào)文由交換芯片重定向到微處理器單元的規(guī)則到交換芯片。

進(jìn)一步地，所述交換裝置包括接入交換機(jī)和匯聚交換機(jī)，接入交換機(jī)包括交換芯片和微處理器單元(CPU)，接入交換機(jī)通過(guò)匯聚交換機(jī)與DHCPv6服務(wù)器連接，其中，匯聚交換機(jī)支持DHCPv6中繼，接入交換機(jī)預(yù)先配置滿(mǎn)足合法DHCPv6服務(wù)器的特征，下發(fā)將所述DHCPv6發(fā)現(xiàn)報(bào)文由交換芯片重定向到微處理器單元的規(guī)則到交換芯片，通過(guò)匯聚交換機(jī)轉(zhuǎn)發(fā)DHCPv6發(fā)現(xiàn)報(bào)文給DHCPv6服務(wù)器；

進(jìn)一步地，交換裝置對(duì)每一個(gè)物理端口構(gòu)建以定位服務(wù)器的DHCPv6發(fā)現(xiàn)報(bào)文(DHCPv6?SOLICIT報(bào)文)，并將構(gòu)建后的報(bào)文從各構(gòu)建端口發(fā)送給DHCPv6服務(wù)器。