技術領域

本發明涉及無線局域網絡，特別涉及一種動態主機配置協議數據包過濾方法和系統。

背景技術

網絡通信中，為了簡化IP地址的配置操作，防止IP地址的沖突，并且由于IP資源有限，不能給每臺連接到互聯網上的主機配置一個固定的IP地址，因此通常使用動態主機配置協議(Dynamic Host Configuration Protocol，DHCP)方式對連接網絡的主機配置臨時的、唯一的IP地址。

由于IP地址是被分配的，而且是由主機連接網絡時發出需要上網的數據包告知DHCP服務器，才有可能收到IP地址分配，期間，如果數據包的安全性不高，被截取或者被其他終端偽造，那么最終就無法獲取到IP地址。所以這個過程需要設置自己的識別過濾機制，過濾垃圾報文和虛假報文，防止外來數據盜取攻擊，同時盡量簡化數據包轉發過程，提高轉發效率。

DHCP監聽(DHCP Snooping)技術就是一種DHCP的安全機制的體現，通過監控DHCP用戶和DHCP服務器之間的DHCP報文，建立和維護DHCP Snooping綁定表，在轉發報文時，利用綁定表對地址解析協議(Address Resolution Protocol，ARP)報文、網際協議(Internet Protocol，IP)報文進行檢查，過濾非法報文，實現網絡安全功能。DHCP Snooping綁定表包含用戶IP地址、媒體接入控制(Media Access Control，MAC)地址、入端口號和虛擬局域網(Virtual LAN，VLAN)號等信息。理解上述監聽技術后，其實我們也可以利用DHCP數據包交互的必經過程，過濾數據包，減少不必要的轉發，節約網絡資源。

如公開號為CN103888481B的發明專利公開了“一種局域網DHCP數據包過濾方法”，該方法通過在網卡驅動與協議驅動之間的中間層對局域網中發送到DHCP客戶機的網絡數據包進行過濾，以此設計了包括網絡數據包采集、網絡數據包篩選、DHCP數據包分析、網絡數據包處理四個過濾步驟，從發送到DHCP客戶機的數據包中逐步分離出DHCP數據包，并對DHCP數據包進行分析，接收指定DHCP服務器發送的合法數據包，丟棄非法DHCP服務器發送的數據包，從而實現DHCP客戶機從指定的DHCP服務器獲取IP地址，防止非法DHCP服務器為DHCP客戶機分配IP地址，只是實現過程相對復雜。

又如公開號為CN103944867A的專利文獻公開了一種“動態主機配置協議報文的處理方法、裝置和系統”，接收攜帶有虛擬機的MAC地址信息的第一DHCP請求報文；對第一DHCP請求報文進行解封裝處理后發送至DHCP服務器；接收DHCP服務器發送的第一DHCP響應報文；其中，第一DHCP響應報文為廣播報文，并且攜帶有分配給虛擬機的IP地址；封裝第一DHCP響應報文為第二DHCP響應報文；其中，第二DHCP響應報文為單播報文，發送第二DHCP響應報文至對端隧道端點設備，以此實現了隧道協議中以單播形式發送DHCP響應報文，提高了網絡資源的利用率，但是沒有識別虛假報文的能力，可能會將虛假報文封裝轉發。

發明內容

本發明要解決的技術問題是針對上述現有技術的不足，提供一種能夠過濾垃圾報文和虛假報文，減少不必要的數據包廣播轉發，凈化網絡，節約網絡資源的動態主機配置協議數據包過濾方法和系統。

為了實現上述目的，本發明采用的技術方案為：

一種動態主機配置協議數據包過濾方法，應用于無線接入點，所述方法包括：

S10：丟棄部分從廣域網接口收到的動態主機配置協議報文；過濾掉通過廣域網接口收到的各類動態主機配置協議垃圾報文。

S20：選擇廣域網接口或無線接口轉發未被丟棄的動態主機配置協議報文。指定轉發路徑，便于追蹤查源以及提高轉發效率，節約網絡資源。

進一步地，所述步驟S10之前還包括：

S01：保存用戶的物理地址以及用戶關聯時接入的無線接口信息，以此創建用戶信息記錄項。

進一步地，所述步驟S10中包括：

S11：根據動態主機配置協議報文中的用戶物理地址信息，查看所述用戶信息記錄項中是否存在對應的物理地址，若不存在，則丟棄，若存在，則執行步驟S20。

進一步地，所述步驟S10中包括：

S11：判斷動態主機配置協議報文類型；