一种支持端口迁移检测的方法及装置制造方法及图纸

本发明专利技术提供一种支持端口迁移检测的方法及装置，所述方法包括：当在第一端口学习到媒体访问控制MAC地址时，根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项；若查询到对应的目标DHCP Snooping表项，且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致，则检测所述目标DHCP Snooping表项对应的目标客户端当前是否连接在所述第二端口；若检测到所述目标客户端当前未连接在所述第二端口，则确定所述目标客户端发生端口迁移，并将所述目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。应用本发明专利技术实施例可以保证应用DHCP Snooping安全机制时，端口迁移能够正常进行。

【技术实现步骤摘要】

本专利技术涉及网络通信
，尤其涉及一种支持端口迁移检测的方法及装置。
技术介绍
DHCP(DynamicHostConfigurationProtocol，动态主机配置协议)采用客户端/服务器模式，由服务器为网络设备动态地分配IP(InternetProtocol，互联网协议)地址等网络配置参数。DHCPSnooping(侦听)是DHCP的一种安全机制，用于保证客户端从合法的服务器获取IP地址。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCPSnooping安全机制允许将端口设置为信任端口和不信任端口：信任端口正常转发接收到的DHCP报文；不信任端口接收到DHCP服务器响应的DHCP-ACK(确认)和DHCP-OFFER(提供)报文后，丢弃该报文。DHCPSnooping安全机制通过监听DHCP-REQUEST(请求)报文和信任端口收到的DHCP-ACK报文，记录DHCPSnooping表项，其中包括客户端的MAC(MediaAccessControl，媒体访问控制)地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN(VirtualLocalAreaNetwork，虚拟局域网)等信息。DHCPSnooping安全机制利用DHCPSnooping表项中的信息进行安全检查。然而在现有DHCPSnooping安全机制中，当DHCP客户端发生端口迁移(如手机客户端漫游时)，若DHCP客户端所属VLAN没有变化，而只有端口发生变化时，DHCP服务器不会为该客户端重新分配IP地址，而DHCPSnooping表项中记录的端口还是迁移前的端口，导致安全防护，如ARP(AddressResolutionProtocol，地址解析协议)Detection(防护)，采用之前记录的DHCPSnooping表项进行检查，无法让用户迁移成功，需要强制让客户端重新分配地址后才能迁移成功。
技术实现思路
本专利技术提供一种支持端口迁移检测的方法及装置，以解决现有技术中应用DHCPSnooping安全机制时，端口迁移可能无法成功的问题。根据本专利技术实施例的第一方面，提供一种支持端口迁移检测的方法，包括：当在第一端口学习到媒体访问控制MAC地址时，根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项；若查询到对应的目标DHCPSnooping表项，且所述目标DHCPSnooping表项中记录的第二端口与所述第一端口不一致，则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口；若检测到所述目标客户端当前未连接在所述第二端口，则确定所述目标客户端发生端口迁移，并将所述目标DHCPSnooping表项中记录的端口由第二端口修改为第一端口。根据本专利技术实施例的第二方面，提供一种支持端口迁移检测的装置，包括：学习单元，用于学习媒体访问控制MAC地址；查询单元，用于当所述学习单元在第一端口学习到媒体访问控制MAC地址时，根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项；检测单元，用于若所述查询单元查询到对应的目标DHCPSnooping表项，且所述目标DHCPSnooping表项中记录的第二端口与所述第一端口不一致，则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口；处理单元，用于若检测到所述目标客户端当前未连接在所述第二端口，则确定所述目标客户端发生端口迁移，并将所述目标DHCPSnooping表项中记录的端口由第二端口修改为第一端口。应用本专利技术实施例，当第一端口学习到MAC地址时，根据该MAC地址查询DHCPSnooping表项，若查询到对应的DHCPSnooping表项，且目标DHCPSnooping表项中记录的第二端口与第一端口不一致，则检测目标DHCPSnooping表项对应的目标客户端当前是否连接在第二端口，若检测到目标客户端当前未连接在第二端口，则确定目标端口发生迁移，将目标DHCPSnooping表项中记录的端口由第二端口修改为第一端口，保证了应用DHCPSnooping安全机制时，端口迁移能够正常进行。附图说明图1是本专利技术实施例提供的一种支持端口迁移检测的方法的流程示意图；图2是本专利技术实施例提供的一种具体应用场景的架构示意图；图3是本专利技术实施例提供的一种支持端口迁移检测的装置的结构示意图；图4是本专利技术实施例提供的另一种支持端口迁移检测的装置的结构示意图；图5是本专利技术实施例提供的另一种支持端口迁移检测的装置的结构示意图；图6是本专利技术实施例提供的另一种支持端口迁移检测的装置的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术实施例中技术方案作进一步详细的说明。请参见图1，图1为本专利技术实施提供的一种支持端口迁移检测的方法的流程示意图，如图1所示，该支持端口迁移检测的方法可以包括以下步骤：需要说明的是，在本专利技术实施例中，步骤101～步骤103的执行主体为支持DHCPSnooping安全机制的通信设备，如交换机或路由器等，为便于说明，以下以步骤101～步骤103的执行主体为DHCPSnooping设备为例进行描述。步骤101、当在第一端口学习到MAC地址时，根据所述MAC地址查询DHCPSnooping表项。本专利技术实施例中，第一端口并不特指某一固定的端口，而是可以指代DHCPSnooping设备上客户端侧的任一端口，本专利技术实施例后续不再复述。本专利技术实施例中，当DHCPSnooping设备学习到MAC地址时，DHCPSnooping设备可以认为当前可能发生了MAC迁移事件，进而，DHCPSnooping设备可以根据该学到的MAC地址查询自身维护的DHCPSnooping表项。步骤102、若查询到对应的目标DHCPSnooping表项，且该目标DHCPSnooping表项中记录的第二端口与第一端口不一致，则检测该目标DHCPSnooping表项对应的目标客户端当前是否连接在第二端口。本专利技术实施例中，若DHCPSnooping设备根据学习到的MAC地址查询到对应的DHCPSnooping表项(本文中称为目标DHCPSnooping表项)，则DHCPSnooping设备需要进一步比较该目标DHCPSnooping表项中记录的端口(本文中称为第二端口)与学习到该MAC地址的端口(即第一端口)是否一致，若不一致，则DHCPSnooping设备需要进一步检测该目标DHCPSnooping表项对应的客户端(即IP地址和MAC地址分别为该目标DHCPSnooping表项中记录的IP地址和MAC地址的客户端，本文中称为目标客户端)当前是否连接在第二端口，即确定当前是发生了MAC迁移还是MAC攻击。作为一种可选的实施方式，在本专利技术实施例中，检测目标DHCPSnooping表项对应的目标客户端当前是否连接在第二端口，可以包括以下步骤：11)、通过第二端口发送ARP请求报文，该ARP请求报文的目的IP地址为目标DHCPSnooping表项中记录的IP地址；12)、若在第一预设时间内通过第二端本文档来自技高网...

【技术保护点】
一种支持端口迁移检测的方法，其特征在于，包括：当在第一端口学习到媒体访问控制MAC地址时，根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项；若查询到对应的目标DHCP Snooping表项，且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致，则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口；若检测到所述目标客户端当前未连接在所述第二端口，则确定所述目标客户端发生端口迁移，并将所述目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。

【技术特征摘要】
1.一种支持端口迁移检测的方法，其特征在于，包括：当在第一端口学习到媒体访问控制MAC地址时，根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项；若查询到对应的目标DHCPSnooping表项，且所述目标DHCPSnooping表项中记录的第二端口与所述第一端口不一致，则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口；若检测到所述目标客户端当前未连接在所述第二端口，则确定所述目标客户端发生端口迁移，并将所述目标DHCPSnooping表项中记录的端口由第二端口修改为第一端口。2.根据权利要求1所述的方法，其特征在于，若查询到对应的目标DHCPSnooping表项，且所述目标DHCPSnooping表项中记录的第二端口与所述第一端口不一致，所述检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口之前，还包括：判断自身是否使能了端口迁移检测功能；若使能了端口迁移检测功能，则确定执行所述检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口的步骤。3.根据权利要求1所述的方法，其特征在于，所述检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口，包括：通过所述第二端口发送地址解析协议ARP请求报文，所述ARP请求报文的目的IP地址为所述目标DHCPSnooping表项中记录的IP地址；若在第一预设时间内通过所述第二端口接收到ARP应答报文，且所述ARP应答报文的源MAC地址和源IP地址分别与所述目标DHCPSnooping表项中记录的MAC地址和IP地址一致，则确定所述目标客户端当前连接在所述第二端口；否则，确定所述目标客户端当前未连接在所述第二端口。4.根据权利要求1所述的方法，其特征在于，所述检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口，包括：通过所述第二端口发送互联网控制报文协议ICMP请求报文，所述ICMP请求报文的目的IP地址为所述目标DHCPSnooping表项中记录的IP地址；若在第二预设时间内通过所述第二端口接收到ICMP应答报文，且所述ICMP应答报文的源MAC地址和源IP地址分别与所述目标DHCPSnooping表项中记录的MAC地址和IP地址一致，则确定所述目标客户端当前连接在所述第二端口；否则，确定所述目标客户端当前未连接在所述第二端口。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：若检测到所述目标客户端当前连接在所述第二端口，则确定所述目标客户端未发生端口迁移，拒绝更新所述目标DHCPSnooping表项。6.一种支持端口迁移检测的装置，其特征在于，包括：学习单元，用于学习媒体访问控制...

【专利技术属性】
技术研发人员：林长望，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33