基于二层dhcpsnooping三层交换系统及方法

文档序号:7887645阅读:161来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:基于二层dhcp snooping三层交换系统及方法
技术领域
本发明涉及计算机数据通信领域,尤其涉及一种基于二层DHCP SNOOPING的三层交换系统及方法
背景技术
随着数据通信中交换技术的不断提高,具有三层交换功能的设备已经广泛应用, 三层交换设备能够跨虚拟局域网线速转发IP报文,这是二层交换设备不具有的优势。现有技术公开号为CN 101594358 A的发明专利公开了一种“三层交换方法、装置、 系统和宿主机”,该方法包括接收源虚拟机发送的网络报文;根据预先获取的三层交换信息对所述网络报文进行三层交换处理,生成经过三层交换处理的网络报文、目的虚拟机所在的虚拟链路以及目的虚拟机的三层目的地址;根据所述目的虚拟机的三层目的地址将所述经过三层交换处理的网络报文通过目的虚拟机所在的虚拟链路发送给目的虚拟机。现有的三层交换功能的实现技术方案,三层交换信息即三层表项,三层表项包括主机路由表项和网段路由表项,主机路由表项指的是前缀32位的路由表项(如1. 1. 1. 1下一跳),网段路由表项指的是前缀长度小于32位的路由表项(1. 0. 0. 0/8下一跳)。三层表项一般通过ARP(ADDRESS Resolution Protocol)表项生成并下发到交换芯片。由于ARP 协议简单,极易受到攻击,也容易产生欺骗,由ARP生成主机路由表项也变得不稳定,这样会造成网络流量的不正常转发,给用户带来极大的不便。DHCP (动态地址解析协议)是一种自动为用户分配IP地址以及其他选项(如网关、DNS)的协议,广泛应用于局域网中,DHCP简化了网络的部署、也易于网络的维护。DHCP SNOOPING是一种监听DHCP请求过程的私有协议,它在交换装置中使用,将每一个成功获取 IP的用户生成一个DHCP绑定信息。DHCP SNOOPING可以开启多项防护机制来避免DHCP欺骗和攻击,如通过设置可信端口防止网络中私自搭建DHCP服务器,通过设置端口绑定数量来防止大量请求DHCP。通过DHCP SNOOPING创建了一个安全稳定的DHCP环境。在一般的组网中,采用的是层次化的组网方式,包括接入层、汇聚层和核心层,接入层采用低廉的二层交换装置、汇聚层采用三层交换装置,而核心层采用的是高可靠和冗余的交换装置。为了保证三层表项的稳定和安全,本发明提出一种基于二层DHCP SNOOPING 的三层交换系统及方法,该技术方案中DHCPSN00PING在二层交换装置中启用,处于汇聚层的三层交换装置没有用户的DHCP绑定信息。

发明内容
为克服现有技术中存在的缺陷和不足,本发明提出一种基于二层DHCP SNOOPING 的三层交换系统及方法,在网络接入层的二层交换装置配置DHCP SNOOPING并使能,DHCP SNOOPING监听用户的DHCP请求过程,创建DHCP绑定信息并存储,二层交换装置对绑定信息经过处理后上传到汇聚层的三层交换装置,下发为硬件三层转发信息,实现跨虚拟局域网的网络报文转发。采用本发明的技术方案增加了 DHCP环境中交换装置三层表项的学习途
4径,并有效的保证了表项的稳定和安全。本发明公开一种基于二层DHCP SNOOPING的三层交换系统,该系统包括DHCP用户终端、二层交换装置、三层交换装置和DHCP服务器,其中,二层交换装置包括使能模块,通过对二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求过程,创建DHCP 绑定信息并保存;二层交换装置对绑定信息经过处理后上传到三层交换装置,三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。进一步地,所述二层交换装置还包括重定向模块,将源用户终端发送的网络报文请求重定向到中央处理模块;中央处理模块,判断接收到的网络报文的合法性并进行处理,创建DHCP SNOOPING 的绑定信息表;存储模块,存储DHCP SNOOPING的绑定信息表;接收端口,接收DHCP绑定的三层交换装置地址以及端口信息;设置模块,设置DHCP绑定数目上限及可信端口 ;三层交换装置包括接收端口,接收二层交换装置上传来的DHCP绑定报文;三层引擎处理模块,根据DHCP SNOOPING的绑定信息查找下一跳信息,下发三层引擎处理后的路由表项。进一步地,所述DHCP SNOOPING的绑定信息包括用户的IP地址、MAC地址、接入端口、接入虚拟局域网和租期。进一步地,三层引擎处理过程为根据DHCP SNOOPING的绑定信息表,下发主机路由表项,以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入虚拟局域网,分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出虚拟局域网。进一步地,二层交换装置将绑定信息加入到DHCP SNOOPING绑定报文中,并对绑定报文进行加密和散列处理,再转发给三层交换装置。本发明还公开一种基于二层DHCP SNOOPING的三层交换方法,包括如下步骤Sl 二层交换装置对配置的DHCP SNOOPING使能,重定向模块将DHCP网络报文重定向到中央处理模块;S2 二层交换装置DHCP SNOOPING监听用户的DHCP请求并进行绑定数目限制判定,创建REQUEST绑定信息;S3 二层交换装置收到DHCP ACK,查询REQUEST绑定信息,创建DHCP绑定信息表并存储,绑定信息经处理后加密后上传三层交换装置;S4 三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。进一步地,所述步骤S2中创建REQUEST绑定信息的过程为二层交换装置收到用户DHCP请求报文,为用户创建一个REQUEST绑定,根据DHCP请求报文中的MAC地址以及接收报文的端口和VLAN,保存到该用户的REQUEST绑定信息中,并将DHCP请求报文转发至可信端口。进一步地,所述步骤S3中创建DHCP SNOOPING的绑定信息过程为二层交换装置从可信端口收到DHCP ACK后,查询REQUEST绑定,如果存在相同用户MAC,从ACK中取出IP 地址和租期,以及REQUEST绑定中MAC地址、接入端口和VLAN,创建DHCP用户的绑定信息并存储。进一步地,所述步骤S3中二层交换装置将绑定信息加入到DHCP SNOOPING绑定报文中,并对绑定报文进行加密和散列处理,再转发给三层交换装置。进一步地,当三层交换装置接收到源用户终端的IP网络报文时,根据网络报文的目的地址查找DHCP SNOOPING的绑定信息表,下发三层引擎处理后的路由表项,以绑定信息中的IP地址为目的主机,根据下一跳信息封装报文的二层信息,转发跨虚拟局域网的IP网络报文。本发明公开一种基于二层DHCP SNOOPING的三层交换系统及方法,通过在网络接入层的二层交换装置配置DHCP SNOOPING并使能,DHCP SNOOPING监听用户的DHCP请求过程,创建DHCP绑定信息并存储,二层交换装置对绑定信息经过处理后上传到汇聚层的三层交换装置,下发三层引擎处理后的路由表项,根据路由表项信息,实现跨虚拟局域网的网络报文转发。


图1为本发明基于二层DHCP SNOOPING的三层交换系统原理框图;图2为本发明基于二层DHCP SNOOPING的三层交换系统示意图;图3为本发明基于二层DHCP SNOOPING的三层交换方法流程图;图4为本发明中承载于UDP中的DHCP SNOOPING绑定报文格式。
具体实施例方式为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以详细说明。本发明的技术原理本发明通过二层交换装置配置DHCP SNOOPING并使能,DHCP SNOOPING监听用户的DHCP请求过程,创建DHCP SNOOPING绑定信息表并存储,二层交换装置对绑定信息进行处理后上传到三层交换装置,根据DHCP SNOOPING绑定信息,下发三层引擎处理路由表项,根据路由表项信息,实现跨虚拟局域网的网络报文转发。参见图1,为本发明基于二层DHCP SNOOPING的三层交换系统原理框图,该三层交换系统包括DHCP用户终端、二层交换装置、三层交换装置和DHCP服务器,二层交换装置位于接入层,三层交换装置位于汇聚层;二层交换装置包括使能模块,通过对二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求过程,创建DHCP绑定信息并保存;二层交换装置对绑定信息经过处理后上传到三层交换装置,三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。其中,二层交换装置还包括重定向模块,将源用户终端发送的网络报文请求重定向到中央处理模块;中央处理模块,判断接收到的网络报文的合法性并进行处理,创建DHCP SNOOPING 的绑定信息表;
存储模块,存储DHCP SNOOPING的绑定信息表;接收端口,接收DHCP绑定的三层交换装置地址以及端口信息;设置模块,设置DHCP绑定数目上限及可信端口 ;三层交换装置包括接收端口,接收二层交换装置上传来的DHCP绑定报文;三层引擎处理模块,根据DHCP SNOOPING的绑定信息查找下一跳信息,下发三层引擎处理后的路由表项。其中,使能模块对二层交换装置配置的DHCP SNOOPING使能,源用户终端发送 DHCP请求给二层交换装置,二层交换装置的DHCP SNOOPING对源用户终端的DHCP请求进行监听,由重定向模块将DHCP请求重定向至中央处理模块,中央处理模块判断接收到的网络报文的合法性并进行处理,创建DHCP SNOOPING绑定信息表并保存,设置模块对DHCP绑定数目进行判断并设置可信端口,二层交换装置对绑定信息加密和散列处理后,转发给三层交换装置;三层交换装置根据DHCP SNOOPING绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。参见图2,为本发明基于二层DHCP SNOOPING的三层交换系统示意图。整个装置的具体工作过程如下源用户终端dhcp client发送DHCP请求,使能模块对二层交换装置配置的DHCP SNOOPING使能,二层交换模块接收到源用户终端的DHCP请求,DHCP SNOOPING对源用户终端的DHCP请求进行监听,并且重定向模块将DHCP请求重定向到中央处理模块,中央处理模块对接收到的DHCP请求的合法性进行判断,并将DHCP请求报文转发至三层交换装置的接收端口,三层交换装置将DHCP网络报文中转给DHCP服务器。DHCP服务器根据收到的DHCP请求进行响应,并通过三层交换装置、二层交换装置将DHCP响应返回给用户终端, 用户终端收到DHCP响应后发送DHCP REQUEST,DHCP服务器根据收到的DHCP REQUEST并进行响应,分配IP地址及相关配置信息给用户终端,二层交换装置为用户创建一个REQUEST 绑定,将DHCP报文请求中的MAC地址以及接收的报文端口和虚拟局域网,保存到REQUEST 绑定信息中。二层交换装置收到DHCP ACK后,查询DHCP REQUEST绑定信息,如存在相同用户MAC,从DHCP ACK中取出IP地址和租期,加上REQUEST绑定中MAC地址、接入端口和虚拟局域网,创建DHCP绑定信息并保存。当源用户终端发送DHCP报文时,二层交换装置配置的DHCP SNOOPING使能,对DHCP报文进行监听,二层交换装置将DHCP绑定信息加入到DHCP SNOOPING报文中,对绑定报文进行加密和散列处理后上传到三层交换装置,三层交换装置根据DHCP SNOOPING绑定信息,下发三层引擎处理路由表项,根据路由表项信息,实现跨虚拟局域网转发网络报文。其中,DHCP SNOOPING的绑定信息是根据DHCP SNOOPING监听用户DHCP请求而建立的绑定信息表;监听用户DHCP请求而建立的绑定信息,是根据DHCP请求报文中的MAC地址以及接收报文的端口和VLAN,保存到该用户的绑定信息中,待收到DHCP响应后,再取出其中的IP地址,保存到绑定信息中;DHCP SNOOPING绑定信息包括用户的IP地址、MAC地址、接入端口、接入虚拟局域网和租期等。三层引擎处理模块包括主机路由表项和网络路由表项,主机路由表项是前缀为32 位的主机IP地址,三层交换模块通过三层引擎处理后下发主机路由表项,根据主机路由表项信息实现跨虚拟局域网的网络报文转发。主机路由表项以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入VLAN(虚拟局域网),分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出vlan (虚拟局域网)。参见图3,为本发明基于二层DHCP SNOOPING的三层交换方法流程图。该方法具体步骤如下Sl 二层交换装置对配置的DHCP SNOOPING使能,重定向模块将DHCP网络报文重定向到中央处理模块;二层交换装置的使能模块对DHCP SNOOPING使能,用户终端发送DHCP请求,DHCP SNOOPING对DHCP请求进行监听,重定向模块将DHCP请求报文重定向到中央处理模块,中央处理模块对接收到的DHCP请求的合法性进行判断并进行处理。其中,DHCP请求报文包括 MAC地址以及接收报文的端口和VLAN。S2 二层交换装置DHCP SNOOPING监听用户的DHCP请求并进行绑定数目限制判定,创建REQUEST绑定信息;二层交换装置收到DHCP请求后,DHCP SNOOPING监听用户的DHCP请求,二层交换装置的设置模块对DHCP请求绑定数目限制进行判断,对中央处理模块判断为合法的DHCP 请求设置为可信端口,通过二层交换装置配置的接收端口将DHCP请求转发给三层交换装置,三层交换装置将DHCP请求中转给DHCP服务器。当DHCP服务器收到用户终端请求IP地址的信息,就在自己的地址库中,查找是否有合法的IP地址提供给用户终端。如果有,DHCP 服务器就将此IP地址做上标记,广播DHCP响应。DHCP响应信息包括DHCP用户终端的的 MAC地址,用来正确表示用户终端;DHCP SERVER提供的合法的IP地址、子网掩码、租约期、 服务器标识符(DHCP SERVER IP ADDRESS)等。DHCP用户终端从接收到的第一个DHCP响应中选择IP地址,创建DHCP REQUEST绑定信息,并将DHCP REQUEST广播到所有的DHCP SERVER。DHCP REQUEST绑定信息包括为用户终端提供IP配置的DHCP SERVER的标识符 (SERVER IP ADDRESS)。DHCP SERVER检查服务器标识符字段,以确定他们是否被选择为指定的用户终端提供IP。本技术方案中,二层交换装置收到DHCP请求后,将DHCP请求报文中的MAC地址、 接收报文的端口和虚拟局域网信息,保存到该用户的DHCP REQUEST绑定信息中。S3 二层交换装置收到DHCP ACK,查询REQUEST绑定信息,创建DHCP绑定信息表并存储,绑定信息经处理后加密后上传三层交换装置;二层交换装置收到DHCP ACK后,查询REQUEST绑定信息,如存在相同用户MAC,从 DHCP ACK中取出IP地址和租期,加上REQUEST绑定中MAC地址、接入端口和虚拟局域网,创建DHCP用户的绑定信息并保存,同时删除REQUEST绑定。二层交换装置将DHCP绑定信息加入到DHCP SNOOPING报文中,对DHCP绑定报文进行加密和散列处理后上传给三层交换装置。其中,二层交换装置和三层交换装置之间的DHCP SNOOPING绑定报文使用UDP连接在网络上传播,为了保证安全性和防篡改,对DHCP SNOOPING绑定报文进行加密和散列处理,本发明中加密采用共享密钥的DES方式,散列采用MD5方式。DHCP SNOOPING绑定报文承载于UDP中,其报文格式如图4所示,各字段解释如下Version 版本号,目前为1
Type 类型,目前为1,表示包含绑定信息SeqNo 序列号,每发送一个报文,加1SecretLen 被加密报文的长度Signature =DHCP SNOOPING绑定报文所有字段的MD5散列结果SwitchIPAddr 交换机的 IP 地址SwitchID 交换机 ID,取交换机 CPU MACCount 绑定数量ClientMAC 租用地址的PC终端MAC地址Reserved 保留,填 0ClientVlanId =DHCP 用户接入交换机的 Vlan IDPortNum =DHCP用户所在的交换机端口号ClientIP 用户 IP 地址ClientMask 地址掩码ClientGateway 网关参数ClientLease :DHCP 地址租期bindingTimeStamp 分配地址的时间戳为了防止用户信息泄露以及传输过程中被恶意篡改,需要对报文进行DES加密和 MD5散列处理,DES密钥由用户配置,二层交换装置与三层交换装置的密钥必须确保一致。发送报文前,先进行加密,后进行散列处理,具体过程如下自SwitchIPAddr字段开始,一直到结尾的报文内容进行DES加密,密文与明文等长,密文放入DHCP SNOOPING绑定报文中SwitchIPAddr字段开始的报文区域,密文长度置于DHCP SNOOPING绑定报文的kcretLen字段,然后交给散列处理模块。对于交换机DES 加密后的DHCP SNOOPING绑定报文,计算MD5散列时Signature字段先清零,然后对整个报文作散列运算,散列操作完成后散列值填入Signature字段,这时报文可以发出交换机。三层交换装置收到报文后,先进行散列计算,再解密,具体过程如下计算时先备份signature字段的值,然后signature字段清零,再计算整个报文的 MD5散列值,如果散列值与备份的signature字段的值一样,则散列验证成功,继续对DHCP SNOOPING绑定报文作DES解密处理。如果散列验证失败,丢弃该DHCP SNOOPING绑定报文。 对于接收到的MD5散列验证成功的报文,交换机对从Signature字段之后位置开始,长度由kcretLen字段指定的报文内容进行DES解密处理,还原出自SwitchIPAddr字段开始的 DHCP SNOOPING绑定报文内容。S4 三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。三层引擎处理过程为根据DHCP SNOOPING的绑定信息表,下发主机路由表项,以 DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入虚拟局域网,分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出虚拟局域网。当二层交换装置接收到源用户终端的网络报文时,二层交换装置将网络报文加入到DHCP SNOOPING绑定,对绑定报文进行加密和散列处理后上传到三层交换装置,三层交换装置收到报文根据收到的DHCP SNOOPING的绑定信息,设置绑定信息接入端口为收到DHCP绑定报文的端口,下发主机路由表项,以绑定信息中的IP地址为目的主机,根据下一跳信息封装报文的二层信息,转发跨虚拟局域网的IP网络报文。本发明另一实施例实现的详细步骤如下1)在二层交换装置中配置DHCP SNOOPING并使能,DHCP报文重定向至交换装置 CPU ;2) DHCP SNOOPING设置交换机端口的DHCP绑定数目上限,设置可信端口 ;二层交换装置配置接收DHCP绑定的三层交换机地址以及端口号;3) 二层交换装置收到的用户DHCP请求报文,为用户创建一个临时的REQUEST 绑定,根据DHCP请求报文中的MAC地址以及接收报文的端口和VLAN,保存到该用户的 REQUEST绑定信息中,并将DHCP请求报文转发至可信端口 ;4) 二层交换装置从可信端口收到DHCP ACK后,查询临时的REQUEST绑定,如果存在相同用户MAC,则创建DHCP用户的绑定信息,从ACK中取出IP地址和租期,以及REQUEST 绑定中MAC地址、接入端口和VLAN,均保存到DHCP绑定信息中,同时删除临时的REQUEST绑定;5) 二层交换装置将DHCP SNOOPING绑定信息加入到DHCP SNOOPING绑定报文中, 再转发给三层交换装置。二层交换装置和三层交换装置之间的DHCP SNOOPING绑定报文使用UDP连接在网络上传播,为了保证安全性和防篡改,对DHCP SNOOPING绑定报文进行加密和散列处理,其中,加密采用共享密钥的DES方式,散列采用MD5方式。6)三层交换装置收到报文根据收到的DHCP SNOOPING的绑定信息,设置绑定信息接入端口为收到DHCP绑定报文的端口,下发主机路由表项,以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入VLAN(虚拟局域网),分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出vlan (虚拟局域网);7)三层交换装置收到一个IP报文,根据目的地址查找交换芯片三层表,命中三层主机路由表项,根据下一跳封装报文的二层信息,实现跨虚拟局域网的网络报文转发。下面以具体实施例对工作过程进行说明站点A和站点B为DHCP用户终端,采用层次化的组网方式与DHCP服务器连接,包括接入层的二层交换装置,汇聚层的三层交换装置。通过二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求,创建DHCP SNOOPING的绑定表,二层交换装置将DHCP SNOOPING绑定信息加入到DHCP SNOOPING绑定报文中,对绑定报文进行加密和散列处理后上传到三层交换装置,三层交换装置收到绑定报文,根据DHCP SNOOPING的绑定信息,下发主机路由表项,根据主机路由表项,实现站点A 和站点B相互通信。若站点A和站点B不在同一子网内,发送站点A首先要向其“缺省网关”发出DHCP 请求报文,而“缺省网关”的IP地址就是二层交换装置上站点A所属VLAN的IP地址。当发送站点A对“缺省网关”的IP地址广播出一个DHCP请求时,重定向模块将 DHCP请求重定向到控制CPU,控制CPU判断接收到的DHCP请求合法性并进行处理,创建 DHCP SNOOPING的绑定信息表。DHCP SNOOPING的绑定信息表的过程发送站点A对“缺省网关”的IP地址广播出一个DHCP请求时,DHCP服务器接收到DHCP请求后向站点A返回一个DHCP响应,告诉站点A交换机所在VLAN的MAC地址,站点A收到DHCP响应后发送DHCP REQUEST,进行源MAC地址学习,目的MAC地址查找,同时把站点A的IP地址、MAC地址、与二层交换装置直接相连的端口号等信息保存到REQUEST绑定信息中,并将DHCP请求报文转发至可信端口 ;二层交换装置收到从可信端口返回的DHCP ACK后,查询REQUEST绑定信息, 如存在相同用户MAC,从DHCP ACK中取出IP地址和租期,加上REQUEST绑定中MAC地址、接入端口和虚拟局域网,创建DHCP用户的绑定信息并保存,同时删除REQUEST绑定。二层交换装置将DHCP绑定信息加入到DHCP SNOOPING报文中,对绑定报文进行加密和散列处理后上传到三层交换装置,三层交换装置收到报文根据DHCP绑定信息,设置绑定信息接入端口为收到DHCP绑定报文的端口,下发主机路由表项,根据下一跳封装报文的二层信息,实现跨虚拟局域网的网络报文转发。主机路由表项以IP地址为索弓丨,里面存放目的IP地址、下一跳MAC地址、端口号等信息。当站点A向站点B发送网路报文时,根据DHCP SNOOPING的绑定信息,下发主机路由表项,以DHCP绑定中的IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入VLAN(虚拟局域网),分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出 vlan(虚拟局域网)。三层表是指交换芯片的三层交换表,即硬件的三层转发表,交换芯片根据报文的目的IP查询三层交换表,实现报文的三层转发。三层表包括主机路由表项和网段路由表项,本技术方案中将二层交换装置的DHCP SNOOPING绑定信息加密处理后上传到三层交换装置,三层交换装置通过三层引擎处理模块查询三层表。根据目的地址查找交换芯片主机路由表项,若找到一条匹配表项,就会在对报文进行一些操作(例如根据下一跳封装报文的二层信息)之后将报文从表中指定的端口转发出去。若主机路由表中没有找到匹配表项,则会查找另一个表——网段路由表。网段路由表项存放网段地址、下一跳MAC地址、端口号等信息。在其他网段找到匹配表项,对报文进行一些操作(例如根据下一跳封装报文的二层信息),将报文从指定的端口跨虚拟局域网转发出去。有益效果,实施本发明的一种基于二层DHCP SNOOPING的三层交换系统及方法,增加了 DHCP环境中交换机三层表项的学习途径,并有效的保证了表项的稳定和安全。
权利要求
1.一种基于二层DHCP SNOOPING的三层交换系统,该系统包括DHCP用户终端、二层交换装置、三层交换装置和DHCP服务器,其特征在于,二层交换装置包括使能模块,通过对二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求过程,创建DHCP绑定信息并保存;二层交换装置对绑定信息经过处理后上传到三层交换装置,三层交换装置根据 DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。
2.根据权利要求1所述的基于二层DHCPSNOOPING的三层交换系统,其特征在于,所述二层交换装置还包括重定向模块,将源用户终端发送的网络报文请求重定向到中央处理模块;中央处理模块,判断接收到的网络报文的合法性并进行处理,创建DHCP SNOOPING的绑定信息表;存储模块,存储DHCP SNOOPING的绑定信息表;接收端口,接收DHCP绑定的三层交换装置地址以及端口信息;设置模块,设置DHCP绑定数目上限及可信端口 ;三层交换装置包括接收端口,接收二层交换装置上传的处理后的DHCP绑定报文;三层引擎处理模块,根据DHCP SNOOPING的绑定信息查找下一跳信息,下发三层引擎处理后的路由表项。
3.根据权利要求1所述的基于二层DHCPSNOOPING的三层交换系统,其特征在于,所述 DHCP SNOOPING的绑定信息包括用户的IP地址、MAC地址、接入端口、接入虚拟局域网和租期。
4.根据权利要求2所述的基于二层DHCPSNOOPING的三层交换系统,其特征在于,三层引擎处理过程为根据DHCP SNOOPING的绑定信息表,下发主机路由表项,以DHCP绑定中的 IP地址作为目的主机,绑定信息的MAC地址,接入端口和接入虚拟局域网,分别对应主机路由表项下一跳的目的MAC地址(DMAC)、出端口、出虚拟局域网。
5.根据权利要求1所述的基于二层DHCPSNOOPING的三层交换系统,其特征在于,二层交换装置将绑定信息加入到DHCP SNOOPING绑定报文中,并对绑定报文进行加密和散列处理,再转发给三层交换装置。
6.一种基于二层DHCP SNOOPING的三层交换方法,其特征在于,包括如下步骤51二层交换装置对配置的DHCP SNOOPING使能,重定向模块将DHCP网络报文重定向到中央处理模块;52二层交换装置DHCP SNOOPING监听用户的DHCP请求并进行绑定数目限制判定,创建REQUEST绑定信息;53二层交换装置收到DHCP ACK,查询REQUEST绑定信息,创建DHCP绑定信息表并存储,绑定信息经处理后加密后上传三层交换装置;S4:三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。
7.根据权利要求6所述的基于二层DHCPSNOOPING的三层交换方法,其特征在于,所述步骤S2中创建REQUEST绑定信息的过程为二层交换装置收到用户DHCP请求报文,为用户创建一个REQUEST绑定,根据DHCP请求报文中的MAC地址以及接收报文的端口和VLAN,保存到该用户的REQUEST绑定信息中,并将DHCP请求报文转发至可信端口。
8.根据权利要求7所述的基于二层DHCPSNOOPING的三层交换方法,其特征在于,所述步骤S3中创建DHCP SNOOPING的绑定信息过程为二层交换装置从可信端口收到DHCP ACK 后,查询REQUEST绑定,如果存在相同用户MAC,从ACK中取出IP地址和租期,以及REQUEST 绑定中MAC地址、接入端口和VLAN,创建DHCP用户的绑定信息并存储。
9.根据权利要求8所述的基于二层DHCPSNOOPING的三层交换方法,其特征在于,所述步骤S3中二层交换装置将绑定信息加入到DHCP SNOOPING绑定报文中,并对绑定报文进行加密和散列处理,再转发给三层交换装置。
10.根据权利要求6至9之一所述的基于二层DHCPSNOOPING的三层交换方法,其特征在于,当三层交换装置接收到源用户终端的IP网络报文时,根据网络报文的目的地址查找DHCP SNOOPING的绑定信息表,下发三层引擎处理后的路由表项,以绑定信息中的IP地址为目的主机,根据下一跳信息封装报文的二层信息,转发跨虚拟局域网的IP网络报文。
全文摘要
本发明公开了一种基于二层DHCP SNOOPING的三层交换系统及方法,该系统包括DHCP用户终端、二层交换装置、三层交换装置和DHCP服务器,其特征在于,二层交换装置包括使能模块,通过对二层交换装置配置的DHCP SNOOPING使能,监听用户终端的DHCP请求过程,创建DHCP绑定信息并保存;二层交换装置对绑定信息经过处理后上传到三层交换装置,三层交换装置根据DHCP绑定信息,下发三层引擎处理路由表项,根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。本发明的技术方案增加了DHCP环境中交换机三层表项的学习途径,并有效的保证了表项的稳定和安全。
文档编号H04L12/56GK102437966SQ20121001636
公开日2012年5月2日 申请日期2012年1月18日 优先权日2012年1月18日
发明者梁小冰 申请人:神州数码网络(北京)有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:梁小冰
  • 技术所有人:神州数码网络(北京)有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2