专利名称:基于dhcp和ip的以太网多层交换机安全防护方法
技术领域:
本发明涉及数据通信中的以太网通信领域的数据交换方法,特别涉及基于DHCP和IP的以太网多层交换机安全防护。
背景技术:
为了进一步了解数据通信领域,首先了解下列常用名词解释LAN --Local Area Network,局域网。
VLAN --Virtual LAN,虚拟局域网,逻辑划分的交换网络。
IP --Internet Protocol,网际协议,运行于网络层,包含地址和控制信息以实现对报文的路由。
ARP --Address Resolution Protocol,地址解析协议,实现IP地址到物理地址的映射。
UDP --User Datagram Protocol,用户数据报协议,基于IP协议在传输层实现的一种无连接、不可靠的通信。
DHCP --Dynamic Host Configuration Protocol,动态主机配置协议,实现了一种动态指定IP地址和网络配置参数的机制。
DHCP-Server --DHCP服务器,支持DHCP协议的多层交换机可以作为DHCP服务器。
DHCP-Client --DHCP客户端,通常为主机。
TFTP --Trivial File Transfer Protocol,简单文件传输协议,基于UDP协议实现的文件传输功能。
支持多种服务和功能的高性能多层交换机MLS(Multiple Layer Switch)越来越多的被用于网络的核心位置。如图1所示为一种较典型的组网方式。
在核心交换机(以下简称MLS)上划分了多个VLAN,其中主机A和B属于虚拟局域网3(Vlan2),主机C和D属于虚拟局域网4(Vlan3),连接Internet和文件服务器的端口也都属于不同的Vlan。同时,多层交换机作为网络的DHCP服务器,响应主机的配置请求。
假设主机B刚刚加入网络,它首先通过DHCP服务器及多层交换机1利用DHCP协议向网络服务器请求IP地址,其多层交换机根据B所在的Vlan动态分配给它一个192.168.1.0网段的地址,此后B可以与网络中的其它主机进行通信。
由于B和A处在同一Vlan中,因此,它们的通信可以通过接入层交换机3和4直接完成。如果B希望与C进行通信,来自B的报文必须先到达多层交换机MLS进行三层转发(路由),然后才能到达C所在的Vlan3。B与Internet以及B与文件服务器2的通信也是同样的过程。
当上述各主机期望与Internet通信时候,由于多层交换机MLS支持基于硬件的缺省三层硬件表,交换机在确认报文的目的IP地址与MLS所有端口的IP地址不在同一个网段的时候,将通过缺省硬件路由出去。
上述网络配置存在着一定的安全问题。第一,网络攻击程序或者病毒通常可以自行设置报文中的IP地址,而用户同样可以不经过DHCP服务器而手动修改主机的网络设置,从而构成网络中的安全隐患;第二,尽管MLS可以通过硬件来完成跨Vlan的三层报文转发,但是如果报文中的目的IP地址关联的MAC地址是还没有被学习到的,MLS仍然需要消耗一定的软件资源来对其进行处理(比如,MLS可能会通过向某一个Vlan广播ARP请求来查询主机的物理地址),在这种情况下,一些IP扫描手段,比如TCP Syn Scan、TCP Connect Scan或者ICMP Scan,在对大范围的网络地址进行扫描时,就可能会占用掉大量的MLS软件资源,导致网络中的正常通信无法完成。
发明内容
本发明所要解决的技术问题是通过基于DHCP和IP的特殊功能实现和配置策略而对多层交换机进行安全防护的方法。
为了实现上述发明目的,本发明提供的基于DHCP和IP的以太网多层交换机安全防护方法首先使用基于DHCP响应的静态ARP设置,强制每台主机通过DHCP协议从MLS获取合法的IP地址及其它网络配置信息;同时允许MLS在一个或多个Vlan中禁止动态ARP,也就是说,MLS不会主动向这个Vlan发送ARP请求来获得某一个IP地址所在的物理地址;当该Vlan中的一台主机通过请求在MLS上创建一条DHCP租约后,多层交换机才会将与这台主机的物理地址对应的ARP条目加入到缓存中,并且也在MLS的三层硬件转发表中加入与该地址对应的条目,此时,该主机与MLS所连其它网段的通信才能够正常进行。
DHCP静态ARP设置可以在未形成地址租约的情况下禁止主机对网络的访问,因而DHCP协议所维护的租约数据库也就显得更为重要。在通常情况下,MLS在运行DHCP时会将租约数据库保存在Flash存储器中,而安全防护功能则允许将DHCP租约数据库备份到远端的主机或备份服务器。备份通过MLS支持的TFTP协议来完成,这就要求备份服务器作为TFTP服务器端来运行。对租约数据库的备份可以定时进行,也可以根据用户的命令执行,或者在每新生成一条租约的情况下自动进行备份。
在保证主机具有合法的IP地址的前提下,防扫描攻击统计过滤可以主动的对网络中可能的攻击源进行分析和阻挡。对于每一个需要进行三层处理的报文,MLS都会以“源IP地址+源端口”或者“源MAC地址+源端口+源Vlan”的形式对其进行统计,如果在限定时间内来自某个源地址的报文数目超过限定的值,MLS会在一段时间内主动丢弃来自该地址的报文,以减轻自身以及整个网络的负担。
未完成ARP表项限制是防扫描攻击的辅助功能。由于MLS必须在接收到一定数目的报文之后才能确定攻击源,很可能这段时间内大量的软件资源已经被这些报文占用(最常见的就是形成大量的未完成ARP表项),这种情况下,一定时间内网络的正常通信仍然有可能会受到影响。安全防护功能允许网络管理员设置未完成ARP条目的最大数目,以及它们被保存在软件缓存中的时间,从而进一步保护MLS资源。该功能使得MLS对ARP响应速度受到影响,但在我们与DHCP结合的环境中,正常情况下,合法主机都是通过DHCP获取IP地址,MLS同时记录了与该IP地址关联的ARP表项,所以合法主机之间通信时候,MLS不需要进行ARP解析工作。而对于合法主机上Internet时候,将通过MLS的缺省硬件路由,对于MLS来说,下一跳都对应到相同的网关的IP地址。其对应MAC地址我们可以通过配置静态ARP实现。MLS也不会解析ARP过程。基于上面的分析,限制ARP条目并不会影响到合法用户的通信。
本发明提供的安全防护方法,通过安全防护功能可以使以MLS为核心的网络具有以下特性,从而保护MLS自身以及网络的安全每台主机都必须通过DHCP请求获得合法租约之后才能进行正常的网络通信;MLS能够将DHCP租约数据库备份到远端的主机或备份服务器;网络中的攻击源或者被病毒控制的主机在进行扫描攻击时能够被检测并阻挡;网络管理员可以对未完成ARP条目的相关属性进行设置,以保护MLS的资源。
另外,基于DHCP和IP的安全防护功能主要表现在以下四个方面DHCP地址绑定与交换机三层硬件表同步MLS在生成DHCP租约之后自动添加ARP条目,在MLS上生成静态ARP,该ARP条目永远不过期,只有当DHCP释放该IP地址资源的时候才删除静态ARP。同时,在DHCP服务器(Server)提供合法用户的IP地址的时候,同时获取到了该主机对应MAC地址和该主机与MLS关联的端口。所以将相关信息同时写入到三层主机硬件表中,从而可以提高主机访问网络的效率。最关键的是,这样使得合法用户访问网络的速度不会因为动态ARP表项限制而受到影响。
DHCP地址租约备份TFTP协议是博达交换机支持的一项基本功能,使用该协议进行DHCP地址租约备份,可以在用户消耗最小的情况下有效增强交换机的可靠性。
基于MAC地址的攻击源阻挡基于MAC地址对攻击源进行统计比基于IP地址的统计具有更强的效果,可以防止攻击中常用的源IP地址诱骗等手段。
未完成ARP条目限制对未完成ARP条目的限制是针对ARP协议的一项创新功能。设置未完成ARP条目的最大数目,以及它们被保存在软件缓存中的时间,可以有效地防止交换机的资源由于网络攻击而被大量占用。
图1是已有的较典型的组网方式的。
图2是本发明提供的具有安全防护功能的网络组网方式。
图3是本发明提供的组网方式的禁止动态ARP的示意图。
图4是本发明提供的组网方式的DHCP租约数据库备份示意图。
具体实施例方式
如图2和3所示,与图1表示的已有技术相比,多层交换机(MLS)仍然为网络的DHCP服务器21,同时在它上面启动了防扫描攻击功能,对每个经过三层转发的报文进行统计过滤(Filter ip)。多层交换机(MLS)的虚拟局域网24(Vlan2)和虚拟局域网25(Vlan3)两个端口下面连接着主机A、B、C、D,因此在这两个虚拟局域网上禁止动态ARP,强制主机和进行DHCP配置。原来的文件服务器2现在兼作TFTP服务器使用,为图2中的File/TFTP服务器22,从而可以允许MLS对DHCP租约数据库进行备份。3为因特网(INTERNET)。
当主机B刚刚连接到网络时,它必须向DHCP服务器21发出配置请求,从而使MLS可以获取其IP地址到MAC地址的映射。否则,所有从其它虚拟局域网发送到B的报文都会在MLS处被丢弃,主机B就不能正常的访问虚拟局域网25(Vlan3)中的主机、文件服务器以及Internet。
假设有攻击者或者病毒希望通过主机B对192.168.0.0网段进行地址扫描,所有非192.168.1.0网段的报文都是需要经过MLS转发的,在扫描进行一段时间之后,报文数目超过了防攻击统计的门限,多层交换机MLS就可以确认主机B的IP地址192.168.1.3(或者MAC地址)为攻击源,进而在连接虚拟局域网24(Vlan2)的端口处对其进行阻挡。
基于源MAC地址的防扫描攻击功能可以在全局配置态或端口配置态下启用。在通常情况下,由于从文件服务器发往主机的报文都可以由多层交换机MLS的硬件完成转发,因而此项功更适用于MLS连接主机的端口。
再参见图3,基于DHCP响应的静态ARP设置、基于源IP地址的防扫描攻击,未完成ARP条目的限制等功能和三层主机硬件表同步可以在多层交换机(MLS)31全局配置态下面进行设置。
DHCP静态ARP设置可以在未形成地址租约的情况下禁止主机对网络的访问,因而DHCP协议所维护的租约数据库也就显得更为重要。在通常情况下,MLS在运行DHCP时会将租约数据库保存在Flash存储器中,而安全防护功能则允许将DHCP租约数据库备份到远端的主机或备份服务器。备份通过MLS支持的TFTP协议来完成,这就要求备份服务器作为TFTP服务器端来运行。对租约数据库的备份可以定时进行,也可以根据用户的命令执行,或者在每新生成一条租约的情况下自动进行备份。
如图4所示,DHCP服务器41的DHCP租约数据库备份功能也可以与任何一台运行TFTP服务器46端程序的主机或服务器结合完成。DHCP静态ARP设置可以在未形成地址租约的情况下禁止主机对网络的访问,因而DHCP协议所维护的租约数据库也就显得更为重要。在通常情况下,MLS在运行DHCP时会将租约数据库保存在Flash存储器中,而安全防护功能则允许将DHCP租约数据库备份到远端的主机或备份服务器。备份通过MLS支持的TFTP协议来完成,这就要求备份服务器作为TFTP服务器端46来运行。对租约数据库的备份可以定时进行,也可以根据用户的命令执行,或者在每新生成一条租约的情况下自动进行备份。
当然,对于本领域的一般技术人员,不花费创造性的劳动,在上述实施例的基础上能够作多种变化,同样能够实现本实用新型的目的。但是,这种变化显然应该在本实用新型的权利要求书的保护范围内。
权利要求
1.一种基于DHCP和IP的以太网多层交换机安全防护方法,其特征在于,首先使用基于DHCP响应的静态ARP设置,强制每台主机通过DHCP协议从MLS获取合法的IP地址及其它网络配置信息;同时允许MLS在一个或多个Vlan中禁止动态ARP,也就是说,MLS不会主动向这个Vlan发送ARP请求来获得某一个IP地址所在的物理地址;当该Vlan中的一台主机通过请求在MLS上创建一条DHCP租约后,多层交换机才会将与这台主机的物理地址对应的ARP条目加入到缓存中,并且也在MLS的三层硬件转发表中加入与该地址对应的条目,此时,该主机与MLS所连其它网段的通信才能够正常进行。
2.如权利要求1所述的基于DHCP和IP的以太网多层交换机安全防护方法,其特征在于,它还通过DHCP静态ARP设置可以在未形成地址租约的情况下禁止主机对网络的访问,因而DHCP协议所维护的租约数据库也就显得更为重要。在通常情况下,MLS在运行DHCP时会将租约数据库保存在Flash存储器中,而安全防护功能则允许将DHCP租约数据库备份到远端的主机或备份服务器。备份通过MLS支持的TFTP协议来完成,这就要求备份服务器作为TFTP服务器端来运行。对租约数据库的备份可以定时进行,也可以根据用户的命令执行,或者在每新生成一条租约的情况下自动进行备份。
3.如权利要求1所述的基于DHCP和IP的以太网多层交换机安全防护方法,其特征在于,在保证主机具有合法的IP地址的前提下,防扫描攻击统计过滤可以主动的对网络中可能的攻击源进行分析和阻挡。对于每一个需要进行三层处理的报文,MLS都会以“源IP地址+源端口”或者“源MAC地址+源端口+源Vlan”的形式对其进行统计,如果在限定时间内来自某个源地址的报文数目超过限定的值,MLS会在一段时间内主动丢弃来自该地址的报文,以减轻自身以及整个网络的负担。
4.如权利要求1或2或3任一所述的基于DHCP和IP的以太网多层交换机安全防护方法,其特征在于,安全防护功能允许网络管理员设置未完成ARP条目的最大数目,以及它们被保存在软件缓存中的时间,从而进一步保护MLS资源。
全文摘要
本发明提供一种基于DHCP和IP的以太网多层交换机安全防护方法首先使用基于DHCP响应的静态ARP设置,强制每台主机通过DHCP协议从MLS获取合法的IP地址及其它网络配置信息;同时允许MLS在一个或多个Vlan中禁止动态ARP,也就是说,MLS不会主动向这个Vlan发送ARP请求来获得某一个IP地址所在的物理地址;当该Vlan中的一台主机通过请求在MLS上创建一条DHCP租约后,多层交换机才会将与这台主机的物理地址对应的ARP条目加入到缓存中,并且也在MLS的三层硬件转发表中加入与该地址对应的条目,此时,该主机与MLS所连其它网段的通信才能够正常进行。本发明提供的安全防护方法可以实现DHCP地址绑定与交换机三层硬件表同步、DHCP地址租约备份、基于MAC地址的攻击源阻挡、未完成ARP条目限制。
文档编号H04L12/56GK101035012SQ20061002453
公开日2007年9月12日 申请日期2006年3月9日 优先权日2006年3月9日
发明者汪革, 苟利平 申请人:上海博达数据通信有限公司