专利名称:一种建立arp表项的方法、系统和装置的制作方法
技术领域:
本发明涉及移动通信技术,特别涉及一种建立ARP表项的方法、系统和装置。
背景技术:
随着无线局域网(WLAN, Wireless Local Area Network )技术的发展, 集中管理的WLAN得到越来越多的应用。集中管理的WLAN中主要由接入 点(AP, Access Point)和4妄入控制器(AC, Access Controller)构成,通过 AC对多个AP进行管理,来共同提供WLAN的接入服务,用户使用的移动 终端可以在任何一个AP的覆盖范围内接入到WLAN中。当AP和AC之间被三层网络隔离时,其组网结构如图l所示,AP向 AC发送的所有报文都需要通过网关进行转发,由于AP是零配置设备,所 以,AP设备在与AC建立连接之前首先需要获取网关的IP地址以及MAC 地址等网络信息,将该网关的IP地址和MAC地址设置为地址解析协议 (ARP, Address Resolution Protocol)表项,利用该ARP表项向AC发送报 文。现有技术中,AP首先向动态主机配置协议(DHCP)服务器请求网关的 IP地址,获取到网关的IP地址后,利用该IP地址动态地学习网关的MAC 地址,即向网关请求MAC地址,网关接收到该请求后,向该AP发送包含 自身MAC地址和IP地址的ARP报文,AP接收到该ARP报文后,将网关 的MAC地址和IP地址设置为动态的ARP表项。然而,上述现有技术的方法中,如果网络中出现恶意的ARP仿冒攻击, 即仿冒网关IP地址向AP发送包含虚假MAC地址的ARP报文时,AP会学 习到该虚假的MAC地址,并利用该虚假的MAC地址设置或更新ARP表项,此时的ARP表项使得AP无法将报文发送至网关,从而造成AP与AC无法 进行通信。发明内容有鉴于此,本发明提供了一种建立ARP表项的方法,以便于防止恶意 的ARP仿冒攻击。一种建立ARP表项的方法,该方法包括DHCP服务器接收到AP的网络信息请求后,向所述AP发送预先配置的网 关IP地址和网关MAC地址信息;所述AP利用接收到的所述网关IP地址和网关MAC地址信息设置静态 ARP表项。一种建立ARP表项的系统,该系统包括DHCP服务器和AP;所述DHCP服务器,用于接收到AP的网络信息请求后,向所述AP发送 预先配置的网关IP地址和网关MAC地址信息;所述AP,用于向所述DHCP服务器发送网络信息请求,利用接收到的 所述网关IP地址和网关MAC地址信息设置静态ARP表项。一种DHCP服务器,所述DHCP服务器包括请求接收单元,信息获取单 元和信息发送单元;所述请求接收单元,用于接收AP发送的网络信息请求;所述信息获取单元,用于在所述请求接收单元接收到AP发送的网络信息 请求后,荻取预先配置的网关IP地址和网关MAC地址信息;所述信息发送单元,用于将所述信息获取单元获取的网关IP地址和网 关MAC地址信息发送给所述AP,供所述AP设置静态ARP表项。一种AP,该AP包括请求发送单元、信息接收单元和表项设置单元;所述请求发送单元,用于向DHCP服务器发送网络信息请求;所述信息接收单元,用于接收所述DHCP服务器发送的网关IP地址和网关 MAC地址信 息5所述表项设置单元,用于根据所述网关IP地址和网关MAC地址信息设置 静态ARP表项。由以上技术方案可以看出,在本发明提供的方法、系统和装置中,DHCP 服务器接收到AP的网络信息请求后,向该AP发送预先配置的网关IP地址 和网关MAC地址信息;该AP利用接收到的网关IP地址和网关MAC地址 信息设置静态ARP表项。即AP从DHCP服务器不仅获取网关IP地址,还 获取与之对应的网关MAC地址,并且将其设置为静态ARP表项,在后续的网关IP地址向AP发送的ARP才艮文不会对该静态ARP表项产生影响,AP 始终可以利用该静态ARP表项将报文发送至网关,由网关将报文转发至AC, 从而与AC进行通信,所以,本发明可以防止恶意的ARP仿冒攻击。
图1为现有技术中AC和AP被三层网络隔离的组网结构图;图2为本发明实施例提供的方法流程图;图3为本发明实施例提供的DHCP报文中扩展的属性域格式;图4为本发明实施例提供的一个DHCP报文中扩展属性域的结构实例;图5为本发明实施例提供的系统结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体 实施例对本发明进行详细描述。本发明提供的方法主要包括DHCP服务器接收到AP的网络信息请 求后,向AP发送预先配置的网关IP地址和网关MAC地址信息;AP利用 接收到的该网关IP地址和网关MAC地址信息设置静态ARP表项。下面具一个具体的实施例对上述方法进行描述,图2为本发明实施例提 供的方法流程图,在该实施例中,预先在DHCP服务器上配置网关IP地址和网关MAC地址,通常可以采用配置网关IP地址、以及IP地址与MAC 地址之间的映射关系的方式。如图2所示,该方法可以包括以下步骤步骤201: AP启动后,向DHCP服务器请求网络信息。本步骤中,AP启动后,会向DHCP服务器发送DHCP网络信息请求, 用于向DHCP服务器请求AC地址信息、网关地址信息等网络信息。步骤202: DHCP服务器接收到AP的网络信息请求后,根据AP的IP 地址,选择可供该AP使用的网关地址信息和AC地址信息,通过DHCP报 文将该AC的地址信息、网关IP地址信息、以及IP地址和MAC地址之间 的映射关系发送给该AP。本步骤中,关于AC地址信息、网关IP地址信息的选择和发送与现有 技术相同,在此不再赘述。IP地址和MAC地址之间的映射关系可以通过在DHCP报文的扩展属性 于域中携带。DHCP报文中扩展属性域格式可以如图3所示,其中,类型字 段携带该新扩展的属性类型信息,由DHCP协议统一分配,例如,可以用 0x83表示该属性域中携带的信息为IP地址和MAC地址映射关系,长度字 段可以携带该属性域中该长度字段之后的长度信息;子类型字段携带该属性 中携带的信息的版本类型,有利于未来的扩展,例如,可以用0x01表示该 报文中携带IP地址和MAC地址的映射关系为IPv4版本,子长度字段可以 携带属性值的长度信息;属性值字段携带IP地址和MAC地址的映射关系, 由 一 系列字符串表示,其可以包含一对IP地址和MAC地址的映射关系,也 可以包含多对IP地址和MAC地址的映射关系。图4为本发明实施例提供的一个DHCP报文中扩展属性域的结构实例, 其中的内容以十六进制表示,每个IP地址占用4个字节、每个MAC地址占 用6个字节。如图4所示,该DHCP报文的扩展属性域的属性值中包含两对 IP地址和MAC地址的映射关系,即IP地址1.1.1.160对应MAC地址 01-01-01-01-01-AO; IP地址2.1.1.200对应的MAC地址为01-01-01-01-01-C8。以 上是通过对DHCP报文的属性域进行扩展,且在该扩展的属性域中携带IP地址与MAC地址之间的映射关系为例进行的说明,除此之外,还可以 通过对DHCP报文进行属性域扩展,且在该扩展的属性域中直接携带该网关 IP地址所对应的MAC地址信息。步骤203: AP利用接收到的该网关IP地址信息设置路由,利用该网关 IP地址信息、以及IP地址和MAC地址之间的映射关系设置静态ARP表项。AP从DHCP服务器发送的DHCP报文中获取网关IP地址信息,假设 该网关IP地址信息为1.1.1.160。然后根据DHCP报文中携带的IP地址和 MAC地址之间的映射关系,确定该网关IP地址对应的网关MAC地址为 Ol-Ol-Ol-Ol-Ol-AO。 AP釆用该网关IP地址和网关MAC地址设置静态ARP 表项。另外,需要注意的是,本步骤中设置的ARP表项是静态表项,也就是 说,该ARP表项不会4艮据后续学习到的MAC地址进4亍该ARP表项的更新, 这样,对于仿冒网关IP地址发送的ARP报文,AP不会对ARP表项中网关 IP地址对应的MAC地址进行更新。只有在对该网关的IP地址不再被使用 而进行该网关IP地址的DHCP释放时,才可以将该静态ARP表项删除。执行上述流程后,AP可以利用建立的静态ARP表项向网关发送携带 AC地址信息的报文,并由网关将该报文转发至AC,从而与AC进行通信。 以上是对本发明提供的方法所进行的描述,下面对本发明实施例提供的 系统和装置进行描述。图5为本发明实施例提供的系统结构图,如图5所示, 该系统包括DHCP服务器500和AP 510。DHCP服务器500,用于接收到AP510的网络信息请求后,向AP510发送 预先配置的网关IP地址和网关MAC地址信息。AP510,用于向DHCP服务器500发送网络信息请求,利用接收到的网关 IP地址和网关MAC地址信息设置静态ARP表项。其中,DHCP服务器500可以包括请求接收单元501,信息获取单元502 和信息发送单元503。请求接收单元501 ,用于接收AP 510发送的网络信息请求。信息获取单元502,用于在请求接收单元501接收到AP 510发送的网络信 息请求后,获取预先配置的网关IP地址和网关MAC地址信息。信息发送单元503,用于将信息获取单元502获取的网关IP地址和网关 MAC地址信息发送给AP 510,供AP 510设置静态ARP表项。另外,该DHCP服务器500还可以包括信息存储单元504,用于存储网 关IP地址和网关MAC地址信息。信息获取单元502,用于从信息存储单元504中获取网关IP地址和网关 MAC地址信 息。其中,上述信息发送单元503可以包括报文生成子单元5031和报文发送 子单元5032。报文生成子单元5031 ,用于生成携带网关IP地址的DHCP报文,且该DHCP 报文的扩展属性域中携带网关MAC地址,或者IP地址与MAC地址之间的映 射关系。报文发送子单元5032,用于发送报文生成子单元5031生成的DHCP报文。 上述AP510包括请求发送单元511、信息接收单元512和表项设置单元513。请求发送单元511,用于向DHCP服务器500发送网络信息请求。 信息接收单元512,用于接收DHCP服务器500发送的网关IP地址和网关 MAC地址信息。表项设置单元513,用于根据网关IP地址和网关MAC地址信息设置静态 ARP表项。如果网关IP地址和网关MAC地址信息为网关IP地址、以及IP地址与MAC 之间的映射关系,则表项设置单元513可以包括确定子单元5131和设置子单 元5132。确定子单元5131,用于根据网关IP地址、以及IP地址与MAC之间的映 射关系,确定网关MAC地址。设置子单元5132,用于根据网关IP地址和网关MAC地址设置静态ARP表项。由以上技术方案可以看出,在本发明提供的方法、系统和装置中,DHCP 服务器接收到AP的网络信息请求后,向该AP发送预先配置的网关IP地址 和网关MAC地址信息;该AP利用4矣收到的网关IP地址和网关MAC地址 信息设置静态ARP表项。即AP从DHCP服务器不仅获取网关IP地址,还 获取与之对应的网关MAC地址,并且将其设置为静态ARP表项,在后续的 MAC地址学习过程中不再进行该ARP表项的更新和老化,因此,对于仿冒 网关IP地址向AP发送的ARP报文不会对该静态ARP表项产生影响,AP 可以始终利用该静态ARP表项向网关发送报文,由网关将报文转发至AC, 从而与AC进4亍通信,所以,本发明可以防止恶意的ARP仿冒攻击。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本 发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在 本发明保护的范围之内。
权利要求
1. 一种建立地址解析协议ARP表项的方法,其特征在于,该方法包括动态主机配置协议DHCP服务器接收到接入点AP的网络信息请求后,向所述AP发送预先配置的网关IP地址和网关MAC地址信息;所述AP利用接收到的所述网关IP地址和网关MAC地址信息设置静态ARP表项。
2、 根据权利要求1所述的方法,其特征在于,向所述AP发送预先配置的 网关IP地址和网关MAC地址信息包括向所述AP发送携带网关IP地址的 DHCP报文,且该DHCP报文的扩展属性域中携带预先配置网关MAC地址。
3、 根据权利要求1所述的方法,其特征在于,向所述AP发送预先配置的 网关IP地址和网关MAC地址信息包括向所述AP发送携带网关IP地址的 DHCP报文,且该DHCP报文的扩展属性域中携带IP地址与MAC地址之间的 映射关系;所述AP利用接收到的所述网关IP地址和网关MAC地址信息设置静态所述网关IP地址对应的网关MAC地址,并利用所述网关IP地址和网关MAC 地址设置静态ARP表项。
4、 根据权利要求1所述的方法,其特征在于,该方法还包括所述AP利 用所述静态ARP表项向所述网关发送报文,由网关将所述报文转发至AC。
5、 一种建立ARP表项的系统,其特征在于,该系统包括DHCP服务器 和AP;所述DHCP服务器,用于接收到AP的网络信息请求后,向所述AP发送 预先配置的网关IP地址和网关MAC地址信息;所述AP,用于向所述DHCP服务器发送网络信息请求,利用接收到的所 述网关IP地址和网关MAC地址信息设置静态ARP表项。
6、 一种DHCP服务器,其特征在于,所述DHCP服务器包括请求接收单元,信息获取单元和信息发送单元;所述请求接收单元,用于接收AP发送的网络信息请求; 所述信息获取单元,用于在所述请求接收单元接收到AP发送的网络信息请求后,获取预先配置的网关IP地址和网关MAC地址信息;所述信息发送单元,用于将所述信息获取单元获取的网关IP地址和网关MAC地址信息发送给所述AP,供所述AP设置静态ARP表项。
7、 根据权利要求6所述的DHCP服务器,其特征在于,该DHCP服务器 还包括信息存储单元,用于存储网关IP地址和网关MAC地址信息;所述信息获取单元,用于从所述信息存储单元中荻取所述网关IP地址和网 关MAC地址信息。
8、 根据权利要求6或7所述的DHCP服务器,其特征在于,所述信息发送 单元包括报文生成子单元和报文发送子单元;所述报文生成子单元,用于生成携带网关IP地址的DHCP报文,且该DHCP 报文的扩展属性域中携带网关MAC地址,或者IP地址与MAC地址之间的映 射关系;所述报文发送子单元,用于发送所述^^艮文生成子单元生成的DHCP报文。
9、 一种AP,其特征在于,该AP包括请求发送单元、信息接收单元和 表项设置单元;所述请求发送单元,用于向DHCP服务器发送网络信息请求; 所述信息接收单元,用于接收所述DHCP服务器发送的网关IP地址和网关 MAC地址信息;所述表项设置单元,用于根据所述网关IP地址和网关MAC地址信息设置 静态ARP表项。
10、 根据权利要求9所述的AP,其特征在于,如果所述网关IP地址和网 关MAC地址信息为网关IP地址、以及IP地址与MAC之间的映射关系,则所 述表项设置单元包括确定子单元和设置子单元;所述确定子单元,用于才艮据所述网关IP地址、以及IP地址与MAC之间的映射关系,确定网关MAC地址;所述设置子单元,用于根据所述网关IP地址和网关MAC地址设置静态 ARP表项。
全文摘要
本发明提供了一种建立ARP表项的方法、系统和装置,其中,方法包括DHCP服务器接收到AP的网络信息请求后,向该AP发送预先配置的网关IP地址和网关MAC地址信息;该AP利用接收到的网关IP地址和网关MAC地址信息设置静态ARP表项。即AP从DHCP服务器不仅获取网关IP地址,还获取与之对应的网关MAC地址,并且将其设置为静态ARP表项,在后续的MAC地址学习过程中不再进行该ARP表项的更新和老化,从而防止恶意的ARP仿冒攻击。
文档编号H04L29/12GK101262505SQ20081010439
公开日2008年9月10日 申请日期2008年4月22日 优先权日2008年4月22日
发明者渊 宋, 张海涛, 飓 王, 赵玉金 申请人:杭州华三通信技术有限公司