【技术实现步骤摘要】
本专利技术涉及网络通信
,尤其涉及一种支持端口迁移检测的方法及装置。
技术介绍
DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)采用客户端/服务器模式,由服务器为网络设备动态地分配IP(InternetProtocol,互联网协议)地址等网络配置参数。DHCPSnooping(侦听)是DHCP的一种安全机制,用于保证客户端从合法的服务器获取IP地址。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCPSnooping安全机制允许将端口设置为信任端口和不信任端口:信任端口正常转发接收到的DHCP报文;不信任端口接收到DHCP服务器响应的DHCP-ACK(确认)和DHCP-OFFER(提供)报文后,丢弃该报文。DHCPSnooping安全机制通过监听DHCP-REQUEST(请求)报文和信任端口收到的DHCP-ACK报文,记录DHCPSnooping表项,其中包括客户端的MAC(MediaAccessControl,媒体访问控制)地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN(VirtualLocalAreaNetwork,虚拟局域网)等信息。DHCPSnooping安全机制利用DHCPSnooping表项中的信息进行安全检查。然而在现有DHCPSnooping安全机制中,当DHCP客户端发生端口迁移(如手机客户端漫游时),若DHCP客户端所属VLAN没有变化,而只有端口发生变化时,DHCP服务器不会为该客户端重新分配IP地址,而DHCPSnoopi ...
【技术保护点】
一种支持端口迁移检测的方法,其特征在于,包括:当在第一端口学习到媒体访问控制MAC地址时,根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项;若查询到对应的目标DHCP Snooping表项,且所述目标DHCP Snooping表项中记录的第二端口与所述第一端口不一致,则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口;若检测到所述目标客户端当前未连接在所述第二端口,则确定所述目标客户端发生端口迁移,并将所述目标DHCP Snooping表项中记录的端口由第二端口修改为第一端口。
【技术特征摘要】
1.一种支持端口迁移检测的方法,其特征在于,包括:当在第一端口学习到媒体访问控制MAC地址时,根据所述MAC地址查询动态主机配置协议DHCP侦听Snooping表项;若查询到对应的目标DHCPSnooping表项,且所述目标DHCPSnooping表项中记录的第二端口与所述第一端口不一致,则检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口;若检测到所述目标客户端当前未连接在所述第二端口,则确定所述目标客户端发生端口迁移,并将所述目标DHCPSnooping表项中记录的端口由第二端口修改为第一端口。2.根据权利要求1所述的方法,其特征在于,若查询到对应的目标DHCPSnooping表项,且所述目标DHCPSnooping表项中记录的第二端口与所述第一端口不一致,所述检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口之前,还包括:判断自身是否使能了端口迁移检测功能;若使能了端口迁移检测功能,则确定执行所述检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口的步骤。3.根据权利要求1所述的方法,其特征在于,所述检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口,包括:通过所述第二端口发送地址解析协议ARP请求报文,所述ARP请求报文的目的IP地址为所述目标DHCPSnooping表项中记录的IP地址;若在第一预设时间内通过所述第二端口接收到ARP应答报文,且所述ARP应答报文的源MAC地址和源IP地址分别与所述目标DHCPSnooping表项中记录的MAC地址和IP地址一致,则确定所述目标客户端当前连接在所述第二端口;否则,确定所述目标客户端当前未连接在所述第二端口。4.根据权利要求1所述的方法,其特征在于,所述检测所述目标DHCPSnooping表项对应的目标客户端当前是否连接在所述第二端口,包括:通过所述第二端口发送互联网控制报文协议ICMP请求报文,所述ICMP请求报文的目的IP地址为所述目标DHCPSnooping表项中记录的IP地址;若在第二预设时间内通过所述第二端口接收到ICMP应答报文,且所述ICMP应答报文的源MAC地址和源IP地址分别与所述目标DHCPSnooping表项中记录的MAC地址和IP地址一致,则确定所述目标客户端当前连接在所述第二端口;否则,确定所述目标客户端当前未连接在所述第二端口。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:若检测到所述目标客户端当前连接在所述第二端口,则确定所述目标客户端未发生端口迁移,拒绝更新所述目标DHCPSnooping表项。6.一种支持端口迁移检测的装置,其特征在于,包括:学习单元,用于学习媒体访问控制...
【专利技术属性】
技术研发人员:林长望,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。