IP报文的处理方法及装置与流程

本发明涉及通信领域，具体而言，涉及一种ip报文的处理方法及装置。

背景技术：

传送多协议标签交换(mpls-tp)是一种基于mpls、面向连接的分组传送技术。mpls-tp取消了mpls中与l3和ip路由相关的功能特性，其设备实现将满足运营商对低成本和大容量的下一代分组网络的需求。mpls-tp沿袭了现有基于电路交换传送网的思想，采用与其相同的体系架构、管理和运行模式。mpls-tp可以支持各种分组业务和电路业务。

arp(addressresolutionprotocol，地址解析协议)是将ip地址解析为以太网mac地址(媒体接入控制地址或称物理地址)的协议。在局域网中，ip数据报文必须封装成帧才能通过物理网络发送，因此发送站必须知道接收站的物理地址，当主机或其它网络设备有数据要发送给另一个主机或设备时，它首先根据对方的网络层地址(即ip地址)，查询本地的arp表找到对应的mac后通过物理网发送；如果本地arp表中没有对应的记录项，arp协议就要发送arp请求广播包向拥有该ip地址的主机询问其mac地址，以便完成数据发送。

在基于mpls-tp的l3vpn(虚拟专用网络，virtualprivatenetwork)网络中，ce(用户端设备)通过ac与pe(运营商边缘设备)相连，进而通过l3vpn实现ce间的互联，vpn被pe和p(运营商设备)建立的隧道所承载。当client(客户端)发起ip报文攻击时，需要通过ac向pe发送大量错误的ip报文，这样会导致pe设备被占用大量资源，cpu冲高，来不及处理正常的业务报文，导致性能下降。如图1所示，图1为本发明相关技术中的组网示意图。

针对相关技术中存在的上述问题，目前尚未发现有效的解决方案。

技术实现要素：

本发明实施例提供了一种ip报文的处理方法及装置，以至少解决相关技术中当发起ip报文攻击时不能处理正常业务报文的技术问题。

根据本发明的一个实施例，提供了一种ip报文的处理方法，包括：生成地址解析协议arp侦听表项和动态主机设置协议dhcp侦听表项；在接收到ip报文时，提取所述ip报文的源ip地址和源媒体接入控制mac地址；将所述源ip地址和所述源mac地址作为关键字段与所述arp侦听表项和/或所述dhcp侦听表项中的对应字段进行匹配；根据匹配结果处理所述ip报文。

可选地，生成arp侦听表项和dhcp侦听表项包括：启动arp侦听监测arp报文，以及启动dhcp侦听dhcp报文；从所述arp报文和所述dhcp报文中获取以下报文信息：报文的源ip地址、报文的mac地址，入端口信息；将所述报文信息分别保存得到所述arp侦听表项和所述dhcp侦听表项。

可选地，将所述源ip地址和所述源mac地址作为关键字段与所述arp侦听表项和/或所述dhcp侦听表项中的对应字段进行匹配包括：在所述arp侦听表项和所述dhcp侦听表项中都没有查询到所述源ip地址和所述源mac地址时，确定不匹配；在所述arp侦听表项或所述dhcp侦听表项中查询到所述源ip地址和所述源mac地址时，判断所述源mac地址的对应的入端口信息与所述ip报文的入端口信息是否相同，在入端口信息相同时，确定匹配，在入端口信息不相同时，确定不匹配。

可选地，根据匹配结果处理所述ip报文包括：在所述源ip地址和所述源mac地址与所述arp侦听表项和/或所述dhcp侦听表项的对应字段匹配时，转发所述ip报文；在所述源ip地址和所述源mac地址与所述arp侦听表项和/或所述dhcp侦听表项的对应字段不匹配时，丢弃所述ip报文。

可选地，在生成地址解析协议arp侦听表项和动态主机设置协议dhcp侦听表项之后，所述方法还包括以下至少之一：在接收变更ip地址的dhcp广播协议报文时，在所述dhcp侦听表项中更新相应的ip地址；在接收到客户端广播的更改mac地址的arp数据报文时，在所述arp侦听表项中更新相应的mac地址；在所述arp侦听表项或dhcp侦听表项中的mac地址超时失效时，向所有端口发送arp请求广播报文，并在接收根据所述arp请求广播报反馈的arp响应广播报文后，更新相应的mac地址。

可选地，在提取所述ip报文的源ip地址和源mac地址之前，所述方法还包括：在所述ip报文中未查询到所述源mac地址时，配置所述源mac地址；建立所述源ip地址与配置的所述源mac地址的映射关系；将所述映射关系保存到所述arp侦听表项和/或dhcp侦听表项中。

根据本发明的另一个实施例，提供了一种ip报文的处理装置，包括：生成模块，用于生成地址解析协议arp侦听表项和动态主机设置协议dhcp侦听表项；提取模块，用于在接收到ip报文时，提取所述ip报文的源ip地址和源媒体接入控制mac地址；匹配模块，用于将所述源ip地址和所述源mac地址作为关键字段与所述arp侦听表项和/或所述dhcp侦听表项中的对应字段进行匹配；处理模块，用于根据匹配结果处理所述ip报文。

可选地，所述处理模块包括：转发单元，用于在所述源ip地址和所述源mac地址与所述arp侦听表项和/或所述dhcp侦听表项的对应字段匹配时，转发所述ip报文；丢弃单元，用于在所述源ip地址和所述源mac地址与所述arp侦听表项和/或所述dhcp侦听表项的对应字段不匹配时，丢弃所述ip报文。

根据本发明的又一个实施例，还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码：

生成地址解析协议arp侦听表项和动态主机设置协议dhcp侦听表项；

在接收到ip报文时，提取所述ip报文的源ip地址和源媒体接入控制mac地址；

将所述源ip地址和所述源mac地址作为关键字段与所述arp侦听表项和/或所述dhcp侦听表项中的对应字段进行匹配；

根据匹配结果处理所述ip报文。

通过本发明，通过及时检测ip报文的合法性，并根据合法性进行相应的处理，解决了相关技术中当发起ip报文攻击时不能处理正常业务报文的技术问题。减少了非法ip报文对资源的占用，节省cpu等资源，减少非法ip报文的影响。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明相关技术中的组网示意图；

图2是根据本发明实施例的ip报文的处理方法的流程图；

图3是根据本发明实施例的ip报文的处理装置的结构框图；

图4为本发明实施例的防范ip报文攻击的方法的流程图；

图5为本发明实施例的dhcpsnooping表建立过程的示意图；

图6为本发明实施例的arpsnooping表建立过程的示意图；

图7为本发明实施例的用户mac地址修改后的处理的示意图；

图8为本发明实施例的防范ip报文攻击的装置的架构图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

实施例1

在本实施例中提供了一种运行于上述图1所示的网络架构的ip报文的处理方法，图2是根据本发明实施例的ip报文的处理方法的流程图，如图2所示，该流程包括如下步骤：

步骤s202，生成地址解析协议arp侦听表项和动态主机设置协议dhcp侦听表项；

步骤s204，在接收到ip报文时，提取ip报文的源ip地址和源媒体接入控制mac地址；

步骤s206，将源ip地址和源mac地址作为关键字段与arp侦听表项和/或dhcp侦听表项中的对应字段进行匹配；

步骤s208，根据匹配结果处理ip报文。

通过上述步骤，通过及时检测ip报文的合法性，并根据合法性进行相应的处理，解决了相关技术中当发起ip报文攻击时不能处理正常业务报文的技术问题。减少了非法ip报文对资源的占用，节省cpu等资源，减少非法ip报文的影响。

可选地，上述步骤的执行主体可以为网关设备，路由器，交换机，无线控制器(ac)，具体可以是基于mpls-tp的l3vpn网络中的pe等，但不限于此。

可选地，生成arp侦听表项和dhcp侦听表项包括：

s11，启动arp侦听监测arp报文，以及启动dhcp侦听dhcp报文；

s12，从arp报文和dhcp报文中获取以下报文信息：报文的源ip地址、报文的mac地址，入端口信息；

s13，将报文信息分别保存得到arp侦听表项和dhcp侦听表项。

可选地，将源ip地址和源mac地址作为关键字段与arp侦听表项和/或dhcp侦听表项中的对应字段进行匹配包括以下场景：

在arp侦听表项和dhcp侦听表项中都没有查询到源ip地址和源mac地址时，确定不匹配；

在arp侦听表项或dhcp侦听表项中查询到源ip地址和源mac地址时，判断源mac地址的对应的入端口信息与ip报文的入端口信息是否相同，在入端口信息相同时，确定匹配，在入端口信息不相同时，确定不匹配。

可选地，根据匹配结果处理ip报文包括以下场景：

在源ip地址和源mac地址与arp侦听表项和/或dhcp侦听表项的对应字段匹配时，转发ip报文；即正常处理；

在源ip地址和源mac地址与arp侦听表项和/或dhcp侦听表项的对应字段不匹配时，丢弃ip报文。也可以同时将该报文设备为黑名单，下次在匹配之前直接丢弃；

可选地，在生成地址解析协议arp侦听表项和动态主机设置协议dhcp侦听表项之后，还随时更新表项内容，具体包括以下至少之一：

在接收变更ip地址的dhcp广播协议报文时，在dhcp侦听表项中更新相应的ip地址；

在接收到客户端广播的更改mac地址的arp数据报文时，在arp侦听表项中更新相应的mac地址；

在arp侦听表项或dhcp侦听表项中的mac地址超时失效时，向所有端口发送arp请求广播报文，并在接收根据arp请求广播报反馈的arp响应广播报文后，更新相应的mac地址。

可选地，在提取ip报文的源ip地址和源mac地址之前，方法还包括：

s21，在ip报文中未查询到源mac地址时，配置源mac地址；具体可以是根据用户输入的源mac地址来配置；

s22，建立源ip地址与配置的源mac地址的映射关系；

s23，将映射关系保存到arp侦听表项和/或dhcp侦听表项中。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

在本实施例中还提供了一种ip报文的处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图3是根据本发明实施例的ip报文的处理装置的结构框图，如图3所示，该装置包括：

生成模块30，用于生成地址解析协议arp侦听表项和动态主机设置协议dhcp侦听表项；

提取模块32，用于在接收到ip报文时，提取ip报文的源ip地址和源媒体接入控制mac地址；

匹配模块34，用于将源ip地址和源mac地址作为关键字段与arp侦听表项和/或dhcp侦听表项中的对应字段进行匹配；

处理模块36，用于根据匹配结果处理ip报文。

可选的，处理模块包括：转发单元，用于在源ip地址和源mac地址与arp侦听表项和/或dhcp侦听表项的对应字段匹配时，转发ip报文；丢弃单元，用于在源ip地址和源mac地址与arp侦听表项和/或dhcp侦听表项的对应字段不匹配时，丢弃ip报文。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

实施例3

本实施例是根据本发明的可选实施例，用于结合具体的场景和示例对对本申请进行详细说明：

本实施例提供了一种防范ip报文攻击的方法及装置，能够及时检测网络中的非法ip报文，并提示用户。

本实施例的一种防范ip报文攻击的方法，包括：

步骤一，生成侦听表：

运营商边缘设备(pe)启动地址解析协议侦听(arpsnooping)和动态主机设置协议侦听(dhcpsnooping)，分别侦听arp报文和dhcp报文，从所侦听到的报文中获取报文的源ip地址、源媒体接入控制(mac)地址和入端口信息，并相应地保存到建立的arpsnooping表或dhcpsnooping表中；

步骤二，ip报文的匹配检查：

所述运营商边缘设备(pe)在所侦听到有ip报文进入时，提取收到的ip报文的源ip地址和源媒体接入控制(mac)地址，作为关键字段，从所述arpsnooping表和/或dhcpsnooping表中的表项查询，在查询到所述源媒体接入控制(mac)地址和源ip地址的表项时，将所述源媒体接入控制(mac)地址和ip地址的表项相关字段进行比对，如果匹配，则对所收到的ip报文进行正常处理；否则，可以根据用户规则进行处理。

进一步地，还包括：所述pe在未查询到所述源媒体接入控制(mac)地址时，可以提示用户，用户可以手工配置源媒体接入控制(mac)地址和ip地址映射关系，并保存到所述arpsnooping/dhcpsnooping表中。

进一步地，还包括：所述pe在查询到所述源ip地址时，还判断所述源媒体接入控制(mac)地址对应的入端口信息与所述ip报文的入端口信息是否相同，如果不相同，则将ip报文丢弃。

进一步地，还包括：所述pe在接收到变更ip地址的dhcp广播协议报文时，在所述dhcpsnooping表中更新相应的ip地址；并且，在接收到客户端(client)广播的更改mac地址的arp数据报文时，在所述arpsnooping表中更新相应的mac地址，或者，在客户端的mac地址超时失效时，向所有端口发送arp请求广播报文，并在接收到所述客户端发送的arp响应广播报文后，更新相应的mac地址。

本实施例的一种防范ip报文攻击的装置，包括：报文侦听单元、地址表维护单元和地址查询单元，其中：

所述报文侦听单元，用于启动地址解析协议侦听(arpsnooping)和动态主机设置协议侦听(dhcpsnooping)，分别侦听arp报文和dhcp报文，从所侦听到的报文中获取报文的源ip地址、源媒体接入控制(mac)地址和入端口信息；

所述地址表维护单元，用于建立的arpsnooping表和dhcpsnooping表，将所述报文侦听单元获取的源ip地址、源mac地址和入端口信息，相应地保存到arpsnooping表或dhcpsnooping表中；

所述地址查询单元，用于在收到ip报文时候，从所述arpsnooping表和/或dhcpsnooping表中查询所述ip报文的源ip地址，在查询到所述源ip地址时，将所述源ip地址对应的mac地址与报文中的进行匹配。

进一步地，还包括告警发送单元，用于在所述查询单元未查询到所述目的ip地址时，向用户提示未知的源mac地址或者ip地址的报文；

进一步地，所述地址查询单元，还用于在查询到所述源ip地址时，判断所述源ip地址对应的入端口信息与所述ip报文的入端口信息是否相同，如果不相同，则将所述ip地址报文丢弃。

进一步地，所述地址表维护单元，还用于在所述报文侦听单元接收到变更ip地址的dhcp广播协议报文时，在所述dhcpsnooping表中更新相应的ip地址；并且，在所述报文侦听单元接收到客户端(client)广播的更改mac地址的arp数据报文时，在所述arpsnooping表中更新相应的mac地址，或者，在客户端的mac地址超时失效时，通知报文发送单元向所有端口发送arp请求广播报文，并在所述报文侦听单元接收到所述客户端发送的arp响应广播报文后，更新相应的mac地址。

在l3vpn(三层虚拟专用网)设备中通过vpn来实现多个ac接口和多个隧道之间的映射，形成数据是三层转发实例。为了减少非法ip报文对设备的影响，本实施方式在vpn的转发实例范围内启动dhcpsnooping(动态主机设置协议侦听)和arpsnooping(地址解析协议侦听)等广播报文侦听功能，建立dhcpsnooping表项和arpsnooping表项，针对ac端口的上行的ip报文，首先查找本地的dhcpsnooping表项和arpsnooping表项，如果查到相应的记录则直接直接匹配，查找不到提示用户。

如图4所示，图4为本发明实施例的防范ip报文攻击的方法的流程图，本实施方式的防范ip报文攻击的方法，包括：

步骤101：pe启动dhcpsnooping和arpsnooping等侦听功能，并根据侦听到的数据包，获取报文的源ip地址、源mac地址、源vlan和入端口信息，生成相应的dhcpsnooping表和arpsnooping表；

步骤102：pe在所侦听到的报文为ip报文时，从arpsnooping表和/或dhcpsnooping表中查询ip报文的源ip地址，在查询到源ip地址时，将源ip地址对应的mac地址进行匹配。

本实施方式中可以配置client在修改mac地址之后向全网广播免费的更改mac地址的arp数据报文。pe在接收到更改mac地址的arp数据报文时，在arpsnooping表中更新相应的mac地址。

在arpsnooping表和dhcpsnooping表中均启动表项记录老化时间，如果在老化时间内没有收到相应的(arp或dhcp)广播报文，则该记录项从表中删除。

根据不同的场景，本实施例还包括以下示例：

示例一：vpn方式实施例

(一)dhcpsnooping表项的建立：

图5为本发明实施例的dhcpsnooping表建立过程的示意图，如图5所示，其中虚线为arp请求广播报文，实线为arp响应广播报文，clienta启动后，会向dhcpserver发送动态ip申请的广播报文，如图中虚线所示，dhcpserve分配ip地址之后会对请求做出响应，在vpn1、vpn2和vpn3内部的pe通过侦听clienta发送的动态ip申请的广播报文和dhcpserve的响应报文，可以在dhcpsnoopingtbl中，建立clienta的ip地址ip_a和mac的对应关系的表记录项1。

(二)arpsnooping表项的建立：

图6为本发明实施例的arpsnooping表建立过程的示意图，如图6所示，当clientb需要向clientc发送数据包时，由于clientb的本地arp表中没有clientc的ip地址ip_c对应的记录项，因此，须先通过arp请求广播报文查询clientc的mac，得到mac后才能发送报文。当arp请求广播报文到达vpn1后，vpn1的arpsnooping首先记录clientb的ip和mac得到arpsnoopingtbl中的记录项2，之后vpn1通过在dhcpsnooping表中查询ip_c发现没有对应的记录项，进而查找arpsnooping表，也没有相关表项，此时它会向所有的其他端口发送arp请求广播报文。arp请求广播报文到vpn2，vpn2的arpsnooping侦听到该arp请求广播报文后，得到arpsnoopingtbl表中的记录项2，并将此广播报文向所有的ac端口广播，clientc收到此广播报文后发现目的ip是自己，所以用自己的mac对该arp请求广播作应答，应答到达vpn2后得到arpsnoopingtbl表中的记录3，同理应答广播包到达vpn1和vpn3后得到arpsnoopingtbl表中的记录3。(三)报文匹配：

当有ip报文进入本装置的时候，地址查询单元负责提取收到的ip报文的源ip地址和源媒体接入控制(mac)地址，然后作为关键字段，从所述arpsnoopingtbl和/或dhcpsnoopingtbl中的表项查询，在查询到所述源媒体接入控制(mac)地址和源ip地址的表项时，将所述源媒体接入控制(mac)地址和ip地址的表项对应字段进行比对，如果匹配，则对所收到的ip报文进行正常处理；否则，可以根据用户规则进行处理。ip报文的匹配规则不限于本文中所指定的ip地址和媒体接入控制(mac)地址(mac)地址字段，可以进一步扩展匹配协议类型、长度等协议字段。在本文中其他部分涉及的匹配规则描述不做具体的扩展和阐述，缺省都包括上送的描述。

(四)地址更改：

图7为本发明实施例的用户mac地址修改后的处理的示意图，如图7所示，针对主机ip地址的变更，由于网络中通过dhcp协议获取主机ip地址，因此ip地址改变时整个广播域都会收到dhcp的广播协议包，从而dhcpsnooping侦听到该广播包后会在dhcpsnoopingtbl中更新相应记录，从而保证snooping表中记录的信息和主机的实际地址信息实现实时同步。

当主机的物理mac地址改变时(不建议修改物理mac地址)，比如clientc的mac地址改为了mac_c1，此时clientb需要向clientc发送数据包时，由于vpn1的arpsnoopingtbl中，记录了ip_c与mac_c对应，所以它会用mac_c的目的mac去访问clientc显然这种情况下的访问是失败的，clientb会进入重试发送流程。这种情况会一直持续到mac_c的arp条目超时失效，此时clientb由于自身的mac_c的arp条目失效，会向vpn1发送arp广播，由于vpn2、vpn1、vpn3中的该mac_c的arp条目也失效，所以该广播会在全网泛洪，当clientc应答该arp请求报文后，会在vpn1、vpn2、vpn3中重新生成mac_c1的arp条目。

实施例二：普通公网

(一)dhcpsnooping表项的建立：

过程同vpn实施例，只是不涉及到vpn的相关描述。

(二)arpsnooping表项的建立：

过程同vpn实施例，只是不涉及到vpn的相关描述。

(三)报文匹配：

过程同vpn实施例，只是不涉及到vpn的相关描述。

(四)地址更改：

过程同vpn实施例，只是不涉及到vpn的相关描述。

本实施方式通过使用arpsnooping表和dhcpsnooping表的记录，完成了ip报文的快速校验，从而大大减少了非法ip报文在设备中处理的资源浪费，有效地提高了设备性能。

图8为本发明实施例的防范ip报文攻击的装置的架构图，如图8所示，本实施方式还提供了一种防范ip报文攻击的装置，包括：报文侦听单元、地址表维护单元和地址查询单元，其中：

(一)报文侦听单元

报文侦听单元，用于启动arpsnooping和dhcpsnooping，分别侦听arp报文和dhcp报文，从所侦听到的报文中获取报文的源ip地址、源mac地址和入端口信息；

报文侦听单元，还用于在接收到arp请求广播报文对应的arp响应广播报文时，获取目的ip地址对应的mac地址和入端口信息；

(二)地址表维护单元

地址表维护单元，用于建立的arpsnooping表和dhcpsnooping表，将报文侦听单元获取的源ip地址、源mac地址和入端口信息，相应地保存到arpsnooping表或dhcpsnooping表中；

地址表维护单元，还用于将报文侦听单元获取的目的ip地址对应的mac地址和入端口信息保存到arpsnooping表中。

地址表维护单元，还用于在报文侦听单元接收到变更ip地址的dhcp广播协议报文时，在dhcpsnooping表中更新相应的ip地址；并且，在报文侦听单元接收到客户端广播的更改mac地址的arp数据报文时，在arpsnooping表中更新相应的mac地址，或者，在客户端的mac地址超时失效时，通知报文发送单元向所有端口发送arp请求广播报文，并在报文侦听单元接收到客户端发送的arp响应广播报文后，更新相应的mac地址。

地址表维护单元，还用于在所侦听到的arp报文为arp请求广播报文时，判断arp请求广播报文的目的ip地址是否是pe自身的ip地址，如果不是，则从arpsnooping表和/或dhcpsnooping表中查询arp请求广播报文的目的ip地址。

(三)地址查询单元

地址查询单元，用于在收到ip报文时候，从所述arpsnooping表和/或dhcpsnooping表中查询所述ip报文的源ip地址，在查询到所述源ip地址时，将所述源ip地址对应的mac地址与报文中的进行匹配。

(四)告警发送单元

上述装置还包括告警发送单元，告警发送单元用于在查询单元未查询到源ip地址时，向用户提示。

通过本实施例的方案，在通过dhcp协议动态获取主机ip地址的l3vpn网络中，为基于mpls-tp的pe设备提供一种可以在ac上判断ip报文合法性的功能，减少非法ip报文对资源的占用，节省cpu等资源，减少非法ip报文的影响。

实施例4

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

s1，生成地址解析协议arp侦听表项和动态主机设置协议dhcp侦听表项；

s2，在接收到ip报文时，提取所述ip报文的源ip地址和源媒体接入控制mac地址；

s3，将所述源ip地址和所述源mac地址作为关键字段与所述arp侦听表项和/或所述dhcp侦听表项中的对应字段进行匹配；

s4，根据匹配结果处理所述ip报。

可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行生成地址解析协议arp侦听表项和动态主机设置协议dhcp侦听表项；

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行在接收到ip报文时，提取所述ip报文的源ip地址和源媒体接入控制mac地址；

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行将所述源ip地址和所述源mac地址作为关键字段与所述arp侦听表项和/或所述dhcp侦听表项中的对应字段进行匹配；

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行根据匹配结果处理所述ip报。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。