本发明专利技术公开一种防止DHCPv6服务器欺骗的系统及方法,该方法包括:S1:交换装置预先配置满足合法DHCPv6服务器的特征,主动构建DHCPv6发现报文;S2:交换装置转发所述报文到DHCPv6服务器;S3:DHCPv6服务器接收所述报文并回复带有服务器信息的DHCPv6公告报文;S4:交换装置判断DHCPv6公告报文中DHCPv6服务器特征信息与合法DHCPv6服务器特征是否匹配;S5:根据步骤S4中的匹配结果,采取不同防护措施,主动防止DHCPv6服务器欺骗。该方案简单,易实现,通过主动探测发现非法DHCPv6服务器,保证了网络的安全性。
【技术实现步骤摘要】
一种防止DHCPv6服务器欺骗的系统及方法
本专利技术涉及计算机数据通信领域,尤其涉及一种防止DHCPv6服务器欺骗的系统及方法。
技术介绍
随着网络规模的扩大和网络复杂程度的提高,网络配置越来越复杂,经常出现计算机位置变化和计算机数量超过可分配的IP地址的情况。动态主机分配协议(DynamicHostConfigurationProtocolVersion,DHCP)就是为了满足这些需求而发展起来的。在网络规模较大的情况下,IPv6协议具有地址空间巨大的特点,但同时长达128比特的IPv6地址又要求高效合理的地址自动分配和管理策略。IPv6地址无状态地址配置协议是目前广泛采用的IPv6地址自动配置协议,配置了该协议的主机只需要相邻路由器开启IPv6路由公告功能,既可以根据公告报文包含的前缀信息自动配置本机地址。但无状态地址配置方案中路由器并不记录所连接的IPv6主机的具体地址信息,可管理性差。而且当前无状态地址配置方式不能使IPv6主机获取DNS服务器的地址和域名等配置信息,在可用性上由一定缺陷。DHCPv6是动态主机分配协议(DHCP)的IPv6版本,相对于IPv6无状态地址自动配置协议,DHCPv6属于一种有状态地址自动配置协议。在有状态地址配置过程中,DHCPv6服务器分配一个完成的IPv6地址给主机,并提供DNS服务地址和域名等其他配置信息,中间可能通过中继代理转交DHCPv6报文,而且最终服务器能把分配的IPv6地址和客户端的绑定关系记录在案,增强了网络的可管理性。DHCPv6服务器也能提供无状态DHCPv6服务,即DHCPv6服务器不分配IPv6地址,仅需要向主机提供DNS服务器地址和域名等其他配置信息,主机IPv6地址仍通过路由器公告方式自动生成,这样配合使用弥补了IPv6无状态地址自动配置的缺陷。为了防止非法设置DHCPv6服务器,一般在交换机中开启DHCPv6侦听(DHCPv6SNOOPING)功能,但是启用DHCPv6侦听来防止私设DHCPv6服务器是一种被动的行为,而且其判断DHCPv6服务器非法的条件相对简单,不能满足复杂网络中的需求。亟需一种简单、易于实现、能够主动探测发现非法DHCPv6服务器的方法,能够有效解决网络中DHCPv6服务器欺骗行为。
技术实现思路
为克服现有技术中存在的缺陷和不足,本专利技术提出一种防止DHCPv6服务器欺骗的系统及方法,有效的解决了在网络中私设DHCPv6服务器的行为,确保用户获取合法IPv6地址,保证了网络的安全性。一种防止DHCPv6服务器欺骗的系统,所述系统包括交换装置和DHCPv6服务器,其中,所述交换装置用于主动构建并发送DHCPv6发现报文(DHCPv6SOLICIT报文),并在接收到所述DHCPv6服务器的DHCPv6公告报文(DHCPv6ADVERTISE报文)后将相应报文中的DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器特征信息进行匹配,如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6REQUEST报文);如匹配失败,交换装置将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。所述DHCPv6服务器用于接收DHCPv6发现报文并回复带有服务器信息的DHCPv6公告报文;进一步地,所述合法DHCPv6服务器特征包括DHCPv6服务器连接端口、所属虚拟局域网标识、IPv6地址或MAC地址。进一步地,所述交换装置包括交换芯片和微处理器单元(CPU);交换装置预先配置满足合法DHCPv6服务器的特征,下发将所述DHCPv6发现报文由交换芯片重定向到微处理器单元的规则到交换芯片。进一步地,所述交换装置包括接入交换机和汇聚交换机,接入交换机包括交换芯片和微处理器单元(CPU),接入交换机通过汇聚交换机与DHCPv6服务器连接,其中,汇聚交换机支持DHCPv6中继,接入交换机预先配置满足合法DHCPv6服务器的特征,下发将所述DHCPv6发现报文由交换芯片重定向到微处理器单元的规则到交换芯片,通过汇聚交换机转发DHCPv6发现报文给DHCPv6服务器;进一步地,交换装置对每一个物理端口构建以定位服务器的DHCPv6发现报文(DHCPv6SOLICIT报文),并将构建后的报文从各构建端口发送给DHCPv6服务器。进一步地,DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文(DHCPv6ADVERTISE报文),交换装置的微处理器单元对DHCPv6公告报文进行解析,记录接收报文的端口信息。本专利技术还公开一种防止DHCPv6服务器欺骗的方法,包括如下步骤:S1:交换装置预先配置满足合法DHCPv6服务器的特征,交换装置主动构建DHCPv6发现报文(DHCPv6SOLICIT报文);S2:交换装置转发所述DHCPv6发现报文到DHCPv6服务器;S3:DHCPv6服务器接收到DHCPv6发现报文并回复带有服务器信息的DHCPv6公告报文;S4:交换装置判断DHCPv6公告报文中的DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器特征是否匹配;S5:如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6REQUEST报文);如匹配失败,交换装置将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。进一步地,所述步骤S2中交换装置对每一个物理端口构建以定位服务器的DHCPv6发现报文(DHCPv6SOLICIT报文),并将构建后的报文从各构建端口发送给DHCPv6服务器。进一步地,步骤S3中DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文,交换装置的微处理器单元对DHCPv6公告报文进行解析,记录接收报文的端口信息。进一步地,步骤S5中,如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6REQUEST报文),并将DHCPv6公告报文丢弃;如匹配失败,交换装置通过Shutdown该端口、下发该DHCPv6服务器的黑洞MAC表项或将该端口设置到黑名单的方式将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。本专利技术的一种防止DHCPv6服务器欺骗的系统及方法,能够实现主动探测发现非法DHCPv6服务器,确保用户获取合法IPv6地址,该方法简单,易于实现,保证了网络的安全性。附图说明图1为本专利技术一种防止DHCPv6服务器欺骗的系统示意图;图2为本专利技术另一种防止DHCPv6服务器欺骗的系统示意图;图3为本专利技术防止DHCPv6服务器欺骗的方法流程图;图4为本专利技术一具体实施的防止DHCPv6服务器欺骗的方法的流程图。具体实施方式为详细说明本专利技术的
技术实现思路
、所实现目的及效果,以下结合具体实施方式并配合附图予以详细说明。参见图1,为本专利技术一种防止DHCPv6服务器欺骗的系统示意图,该系统包括交换装置和DHCPv6服务器,其中,交换装置用于主动构建并发送DHCPv6发现报文(DHCPv6SOLICIT报文),并在接收到所述DHCPv6服务器的DHCPv6公告报文(DHCPv6ADVERTISE报文)后将相应报文中的DHCPv6服务器特征信息与预先配置的合法DH本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防止DHCPv6服务器欺骗的系统,所述系统包括交换装置和DHCPv6服务器,其中,所述交换装置用于主动构建并发送DHCPv6发现报文(DHCPv6SOLICIT报文),所述交换装置包括接入交换机和汇聚交换机,接入交换机包括交换芯片和微处理器单元(CPU),接入交换机通过汇聚交换机与DHCPv6服务器连接,其中,汇聚交换机支持DHCPv6中继,接入交换机预先配置满足合法DHCPv6服务器的特征,下发将所述DHCPv6发现报文由交换芯片重定向到微处理器单元的规则到交换芯片,通过汇聚交换机转发DHCPv6发现报文给DHCPv6服务器,并在接收到所述DHCPv6服务器的DHCPv6公告报文(DHCPv6ADVERTISE报文)后将相应报文中的DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器特征进行匹配,所述合法DHCPv6服务器特征包括DHCPv6服务器连接端口和所属虚拟局域网标识以及IPv6地址或MAC地址,如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6REQUEST报文);如匹配失败,交换装置将非法DHCPv6服务器的所有DHCPv6报文全部丢弃;所述DHCPv6服务器用于接收DHCPv6发现报文并回复带有服务器信息的DHCPv6公告报文。2.根据权利要求1所述的防止DHCPv6服务器欺骗的系统,其特征在于,所述交换装置包括交换芯片和微处理器单元(CPU);交换装置预先配置满足合法DHCPv6服务器的特征,下发将所述DHCPv6发现报文由交换芯片重定向到微处理器单元的规则到交换芯片。3.根据权利要求2所述的防止DHCPv6服务器欺骗的系统,其特征在于,交换装置对每一个物理端口构建以定位服务器的DHCPv6发现报文(DHCPv6SOLICIT报文),并将构建后的报文从各构建端口发送给DHCPv6服务器。4.根据权利要求3所述的防止DHCPv6服务器欺骗的系统,其特征在于,DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文(DHCPv6ADVERTISE报文),交换装置的微处理器单元对DHCPv6公告报文进行解析,记录接收报文的端口信息。5.一种防止DHCPv6服务器欺骗的方法,其特征在于,包括如下步骤:S...
【专利技术属性】
技术研发人员:梁小冰,
申请(专利权)人:神州数码网络北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。