实现DHCP地址安全分配的方法和交换机技术

本申请公开了一种实现DHCP地址安全分配的方法和交换机：交换机将由DHCP服务器返回的对DHCP客户端的应答报文进行解析，得到DHCP服务器标识；将所述DHCP服务器标识发送给RADIUS服务器，以使得RADIUS服务器根据DHCP服务器标识对DHCP服务器进行认证；接收由RADIUS返回的认证结果，且当认证通过时，将DHCP服务器标识和接收该DHCP服务器返回的应答报文的信任端口进行对应存储；接收到由DHCP客户端发送的请求报文时，根据请求报文中的DHCP服务器标识选择存储的对应信任端口将请求报文单播给DHCP服务器，由该DHCP服务器将IP地址提供给DHCP客户端。应用本发明专利技术所述的方法和设备，不仅能够在不需要端口进行配置的情况下，保证DHCP客户端从合法的DHCP服务器获取到IP地址，而且还能够减少广播报文的泛洪。

【技术实现步骤摘要】

本申请涉及网络通信
，特别涉及一种实现动态主机配置协议(DHCP)地址安全分配的方法和交换机。
技术介绍
DHCP采用客户端/服务器通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分配的IP地址等相应的配置信息，以实现IP地址等信息的动态配置。图I给出了现有DHCP的典型应用组网示意图，如图I所示，该组网中包含一台DHCP服务器和多台DHCP客户端(如PC和便携机等)，其中，DHCP客户端获取IP地址的过程可参见图2的四个阶段。如图2所示，这四个阶段包括 (I)发现阶段，即DHCP客户端寻找DHCP服务器的阶段。DHCP客户端以广播方式发送 DHCP-DISCOVER 报文。(2)提供阶段，即DHCP服务器提供IP地址的阶段。DHCP服务器接收到DHCP客户端的DHCP-DISC0VER报文后，根据IP地址分配的优先次序选出一个IP地址，与其他参数一起通过DHCP-0FFER报文发送给DHCP客户端。(3)选择阶段，即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该DHCP客户端发来DHCP-0FFER报文，DHCP客户端只接受第一个收到的DHCP-0FFER报文，然后以广播方式发送DHCP-REQUEST报文，该报文中包含DHCP服务器在DHCP-0FFER报文中分配的IP地址。(4)确认阶段，即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后，只有DHCP客户端选择的服务器会进行如下操作如果确认将地址分配给该DHCP客户端，则返回DHCP-ACK报文；否则返回DHCP-NAK报文，表明地址不能分配给DHCP该客户端。通过上述四个阶段，DHCP客户端即可从DHCP服务器中获取到IP地址。然而，如果组网中存在私自架设的伪DHCP服务器，则可能导致DHCP客户端获取错误的IP地址和网络配置参数，无法正常通信。为了使DHCP客户端能够通过合法的DHCP服务器获取IP地址，目前通常是通过交换机使能DHCP Snooping来解决这个问题的，其组网示意图可参见图3。如图3所示，DHCP客户端和DHCP服务器通过中间交换机(即这里的交换机)来进行通信，且交换机上连接DHCP服务器的端口被配置为信任端口，其它端口被配置为不信任端口，当交换机上的信任端口接收到DHCP报文时，对接收到的报文正常转发；当交换机上的不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-0FFER报文后，丢弃该报文。由此，通过交换机功能也就保证了 DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。然而，在多个交换机设备级联的组网(如图4所示的组网)中，一方面，为了保证DHCP服务器的合法性，需要在该组网中的每个交换机设备上分别配置信任端口和不信任端口，由于组网中存在大量交换机，也就使得配置工作量大大增加；另一方面，当某个交换机收到DHCP请求报文时，会遍历该交换机设备上的所有信任端口，从信任端口转发报文，当某个交换机设备的信任端口比较多时，会存在一些不应该收到DHCP请求报文的其他设备收到该DHCP请求报文，从而增大了广播报文的泛洪；最后，当组网中DHCP服务器迁移时，交换机是无法感知DHCP服务器的迁移的，为了保证DHCP服务器的合法性，需要在每个交换机上进行更改信任端口不不信任端口的配置，从而大大增加了配置的工作量。
技术实现思路
有鉴于此，本专利技术提供了一种实现DHCP地址安全分配的方法，不仅能够在不需要端口进行配置的情况下，保证DHCP客户端从合法的DHCP服务器获取到IP地址，而且还能够减少广播报文的泛洪。本专利技术还提供了一种实现DHCP地址安全分配的设备，不仅能够在不需要端口进行配置的情况下，保证DHCP客户端从合法的DHCP服务器获取到IP地址，而且还能够减少广播报文的泛洪。 为了达到上述目的，本专利技术提出的技术方案为一种实现动态主机配置协议(DHCP)地址安全分配的方法，该方法包括交换机将接收到的由DHCP服务器返回的对DHCP客户端的应答报文进行解析，得到所述DHCP服务器标识；交换机将所述DHCP服务器标识发送给RADIUS服务器，以使得RADIUS服务器根据DHCP服务器标识对所述DHCP服务器进行认证；交换机接收由所述RADIUS服务器返回的认证结果；当所述认证结果为认证通过时，交换机将接收该DHCP服务器返回的应答报文的端口作为信任端口，并将该DHCP服务器标识和该信任端口进行对应存储；交换机接收到由DHCP客户端发送的请求报文时，根据所述请求报文中的DHCP服务器标识选择存储的对应信任端口将请求报文单播给对应的DHCP服务器，由该DHCP服务器将IP地址提供给DHCP客户端。当所述认证结果为认证不通过时，该方法进一步包括交换机丢弃所述接收到的应答报文。当所述交换机接收到由DHCP客户端发送的请求报文中没有DHCP服务器标识时，该方法进一步包括交换机通过存储的每一个信任端口将请求报文进行转发。当所述交换机接收到由DHCP客户端发送的请求报文中没有DHCP服务器标识时，该方法进一步包括交换机重复执行所述对接收到的DHCP服务器返回的应答报文进行解析、将解析出的DHCP服务器标识发送给RADIUS服务器、接收由RADIUS服务器返回的认证结果、将DHCP服务器标识和接收该DHCP服务器返回应答报文的信任端口进行对应存储的步骤后，根据所述DHCP服务器标识选择存储的对应信任端口将请求报文单播给对应的DHCP服务器，由该DHCP服务器将IP地址提供给DHCP客户端。所述交换机将DHCP服务器标识和信任端口进行对应存储后，该方法还包括交换机通过NQA检测出所述认证通过的DHCP服务器不存在时，删除存储的所述DHCP服务器标识和信任端口 ；或，交换机检测出与存储了 HDCP服务器标识的DHCP服务器相连端口 down时，删除存储的所述DHCP服务器标识和端口 ；或，交换机设置所述存储的信任端口的时间，当超过该设定时间时，交换机删除存储的所述DHCP服务器标识和信任端口。所述DHCP服务器标识为DHCP IP地址或DHCP ID。一种实现动态主机配置协议(DHCP)地址安全分配的交换机，该交换机包括解析单元、发送单元、接收单元、存储单元和端口选择单元，其中，所述解析单元，用于将接收到的由DHCP服务器返回的对DHCP客户端的应答报文 进行解析，得到所述DHCP服务器标识；所述发送单元，用于将所述解析单元解析得到的DHCP服务器标识发送给RADIUS服务器，以使得RADIUS服务器根据DHCP服务器标识对所述DHCP服务器进行认证；所述接收单元，用于当发送单元将DHCP服务器标识发送给RADIUS服务器认证后，接收由所述RADIUS服务器返回的认证结果；所述存储单元，用于当所述接收单元接收到的认证结果为认证通过时，将该DHCP服务器返回的应答报文的端口作为信任端口，并将所述解析单元解析得到的DHCP服务器标识和该信任端口进行对应存储；所述端口选择单元，用于当接收到由DHCP客户端发送的请求报文时，根据所述请求报文中的DHCP服务器标识选择所述存储单元存储的对应信任端口本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种实现动态主机配置协议(DHCP)地址安全分配的方法，其特征在于，该方法包括 交换机将接收到的由DHCP服务器返回的对DHCP客户端的应答报文进行解析，得到所述DHCP服务器标识； 交换机将所述DHCP服务器标识发送给RADIUS服务器，以使得RADIUS服务器根据DHCP服务器标识对所述DHCP服务器进行认证； 交换机接收由所述RADIUS服务器返回的认证结果； 当所述认证结果为认证通过时，交换机将接收该DHCP服务器返回的应答报文的端口作为信任端口，并将该DHCP服务器标识和该信任端口进行对应存储； 交换机接收到由DHCP客户端发送的请求报文时，根据所述请求报文中的DHCP服务器标识选择存储的对应信任端口将请求报文单播给对应的DHCP服务器，由该DHCP服务器将IP地址提供给DHCP客户端。2.根据权利要求I所述的方法，其特征在于，当所述认证结果为认证不通过时，该方法进一步包括交换机丢弃所述接收到的应答报文。3.根据权利要求I所述的方法，其特征在于，当所述交换机接收到由DHCP客户端发送的请求报文中没有DHCP服务器标识时，该方法进一步包括 交换机通过存储的每一个信任端口将请求报文进行转发。4.根据权利要求I所述的方法，其特征在于，当所述交换机接收到由DHCP客户端发送的请求报文中没有DHCP服务器标识时，该方法进一步包括 交换机重复执行所述对接收到的DHCP服务器返回的应答报文进行解析、将解析出的DHCP服务器标识发送给RADIUS服务器、接收由RADIUS服务器返回的认证结果、将DHCP服务器标识和接收该DHCP服务器返回应答报文的信任端口进行对应存储的步骤后，根据所述DHCP服务器标识选择存储的对应信任端口将请求报文单播给对应的DHCP服务器，由该DHCP服务器将IP地址提供给DHCP客户端。5.根据权利要求I所述的方法，其特征在于，所述交换机将DHCP服务器标识和信任端口进行对应存储后，该方法还包括 交换机通过NQA检测出所述认证通过的DHCP服务器不存在时，删除存储的所述DHCP服务器标识和信任端口； 或，交换机检测出与存储了 HDCP服务器标识的DHCP服务器相连端口 down时，删除存储的所述DHCP服务器标识和端口 ； 或，交换机设...

【专利技术属性】
技术研发人员：田源，于洪强，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：