本申请提供了一种在环网中进行DHCP snooping表项信息处理的方法,该方法由环网上的第一通信装置执行。在一个示例中,第一通信装置可以获取DHCP snooping表项信息并将该DHCP snooping表项信息同步给环网上或与环网通信的其它一个或多个节点。该DHCP snooping表项信息包括第一用户设备的第一互联网协议IP地址和第一用户设备的第一MAC地址。其中,第一用户设备通过所述第一通信装置接入所述环网。利用本方案,在报文传输路径发生变化后,新路径上的节点能够根据获取到的所述DHCP snooping表项信息,进行DHCP snooping,保证合法用户能够访问网络的同时,有效防范网络攻击。击。击。
【技术实现步骤摘要】
一种表项信息处理方法及装置
[0001]本申请要求于2020年07月25日提交中国国家知识产权局、申请号为CN202010726603.5、专利技术名称为“一种通信方法和设备”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
[0002]本申请涉及通信领域,尤其涉及一种动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)监听(snooping)表项信息的处理方法及装置。
技术介绍
[0003]DHCP服务器(server)可以动态为DHCP客户端(client)分配互联网协议(Internet Protocol,IP)地址。但是DHCP服务器为DHCP客户端分配IP地址时,可能会存在安全隐患。例如,存在中间人攻击、IP仿冒(spoofing)攻击、媒体接入控制(media access control,MAC)spoofing攻击、续租报文攻击以及饿死攻击等。其中,DHCP客户端也可以被称为用户设备。
[0004]为了降低安全隐患,可以在网络设备上部署DHCP snooping功能,DHCP snooping通过记录DHCP client的IP地址和MAC地址的对应关系,能够保证合法用户能访问网络,DHCP snooping还能够解决设备应用DHCP时遇到的例如续租报文攻击,非法IP报文攻击等问题。但是,在一些环网场景中,即使在网络设备上部署了DHCP snooping功能,仍然不能有效保证环网的网络安全。
技术实现思路
[0005]本申请提供了一种表项信息处理方法,可以进一步提升网络安全。
[0006]第一方面,本申请实施例提供了一种表项信息的处理方法,该方法可以由环网上的第一通信装置执行。在一个示例中,第一通信装置可以获取第一用户设备对应的DHCP snooping表项信息并将该DHCP snooping表项信息同步给环网上或者与环网通信的环网以外的其它装置,由此,当用于传输第一用户设备发送的报文的传输路径发生变化后,新的转发路径上的网络装置能够获取第一用户设备对应的DHCP snooping表项信息,从而在设备上进行DHCP snooping。具体来说,该第一用户设备对应的DHCP snooping表项信息包括第一用户设备的第一互联网协议(Internet Protocol,IP)地址和第一用户设备的第一媒体接入控制(media access control,MAC)地址。第一通信装置获取DHCP snooping表项信息之后,可以生成第一报文,所述第一报文中包括所述DHCP snooping表项信息。而后,第一通信装置可以发送所述第一报文。其中,第一用户设备通过所述第一通信装置接入所述环网。利用本方案,接收到所述第一报文的通信装置即可获取所述DHCP snooping表项信息,进而可以在设备中添加该DHCP snooping表项信息,保证合法用户能够访问网络的同时,有效防范网络攻击。在一个示例中,所述第一用户设备通过所述第一通信装置接入环网,并通过环网中的第二路径传输报文,当环网的网络拓扑发生改变,第一通信装置通过环网中的第一路径转发所述第一用户设备发送的报文时,通过本申请的方案,第一通信装置可以将第一
snooping表项信息,进而可以在设备中部署DHCP snooping功能,保证合法用户能够访问网络的同时,有效防范网络攻击。
[0014]在一种实现方式中,第一通信装置可以基于第二报文生成第一报文,并发送第一报文。在一个示例中,第一通信装置可以接收第二报文,所述第二报文用于向所述第一通信装置请求所述DHCP snooping表项信息。第一通信装置接收到第二报文之后,即可生成第一报文,并发送第一报文。从而使得接收到所述第一报文的通信装置即可获取所述DHCP snooping表项信息,进而可以在设备中部署DHCP snooping功能,保证合法用户能够访问网络的同时,有效防范网络攻击。
[0015]在一种实现方式中,所述第二报文可以是所述环网的根桥节点发送给第一通信装置的。对于这种情况,第一通信装置可以将第一报文发送给所述环网的根桥节点。
[0016]在一种实现方式中,所述第二报文可以是外部网络中的VRRP组中的主节点发送给第一通信装置的,其中,所述环网的根桥节点通过所述VRRP组接入所述外部网络。对于这种情况,所述第一通信装置可以将第一报文发送给所述VRRP组中的主节点。
[0017]在一种实现方式中,所述第一报文中还包括指示信息,所述指示信息用于指示所述环网上转发所述第一报文的通信节点获取所述DHCP snooping表项信息。对于这种情况,所述环网上转发所述第一报文的通信节点即可获取所述DHCP snooping表项信息,进而可以在设备中部署DHCP snooping功能,保证合法用户能够访问网络的同时,有效防范网络攻击。
[0018]在一种实现方式中,所述第一报文可以包括第一部分和第二部分,其中:第一部分,用于携带包括所述DHCP snooping表项信息的至少一条DHCP snooping表项信息;第二部分,用于指示所述第一部分中所携带的DHCP snooping表项信息的数量。
[0019]在一种实现方式中,所述环网为二层环网或三层环网。当所述环网为二层环网时,利用本方案可以有效防止二层环网攻击,当所述环网为三层环网时,利用本方案可以有效防止三层环网攻击。
[0020]第二方面,本申请提供了一种表项信息处理方法,该方法可以由第二通信装置执行,在一个示例中,第二通信装置可以接收环网上的第一通信装置发送的第一报文,所述第一报文包括动态主机配置协议DHCP监听snooping表项信息,所述DHCP snooping表项信息包括第一用户设备的第一互联网协议IP地址和所述第一用户设备的第一媒体接入控制MAC地址,所述第一用户设备通过所述第一通信装置接入所述环网;第二通信装置接收到第一报文之后,可以保存所述DHCP snooping表项信息。进而第二通信装置可以利用该DHCP snooping表项信息保证合法用户能够访问网络的同时,有效防范网络攻击。
[0021]在一种实现方式中,所述DHCP snooping表项信息还包括:所述第一用户设备所属的虚拟局域网VLAN的标识,和/或,所述第一IP地址的租期。
[0022]在一种实现方式中,所述第二通信装置为所述环网上的第一路径中的通信节点,所述第一路径用于在所述环网中的第二路径发生故障时,传输来自所述第一用户设备的报文,所述第一路径和所述第二路径为所述环网中传输方向相反的两条路径。
[0023]在一种实现方式中,所述第二通信装置包括所述环网的根桥节点。
[0024]在一种实现方式中,所述第二通信装置为外部网络中的虚拟路由冗余协议VRRP组中的主节点,所述环网的根桥节点通过所述VRRP组接入所述外部网络。
snooping表项信息的至少一条DHCP snooping表项信息;第二部分,用于指示所述第一本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种表项信息处理方法,其特征在于,由环网上的第一通信装置执行,所述方法包括:生成第一报文,所述第一报文包括动态主机配置协议DHCP监听snooping表项信息,所述DHCP snooping表项信息包括第一用户设备的第一互联网协议IP地址和所述第一用户设备的第一媒体接入控制MAC地址,所述第一用户设备通过所述第一通信装置接入所述环网;发送所述第一报文。2.根据权利要求1所述的方法,其特征在于,所述生成第一报文包括:确定所述环网的拓扑发生变化后,生成所述第一报文。3.根据权利要求1或2所述的方法,其特征在于,所述发送所述第一报文,包括:向所述环网的第一路径中的通信节点发送所述第一报文,所述第一路径用于在所述环网中的第二路径发生故障时,传输来自所述第一用户设备的报文,所述第一路径和所述第二路径为所述环网中传输方向相反的两条路径。4.根据权利要求3所述的方法,其特征在于,所述通信节点包括所述环网的根桥节点。5.根据权利要求1或2所述的方法,其特征在于,所述发送所述第一报文,包括:向外部网络中的虚拟路由冗余协议VRRP组中的主节点发送所述第一报文,所述环网的根桥节点通过所述VRRP组接入所述外部网络。6.根据权利要求1
‑
5任意一项所述的方法,其特征在于,在生成所述第一报文之前,所述方法还包括:接收第二报文,所述第二报文用于向所述第一通信装置请求所述DHCP snooping表项信息。7.根据权利要求6所述的方法,其特征在于,所述接收第二报文,包括:接收所述环网的根桥节点发送的所述第二报文。8.根据权利要求6所述的方法,其特征在于,所述接收第二报文包括:接收外部网络中的虚拟路由冗余协议VRRP组中的主节点发送的所述第二报文,所述环网的根桥节点通过所述VRRP组接入所述外部网络。9.一种表项信息处理方法,其特征在于,由第二通信装置执行,所述方法包括:接收环网上的第一通信装置发送的第一报文,所述第一报文包括动态主机配置协议DHCP监听snooping表项信息,所述DHCP snooping表项信息包括第一用户设备的第一互联网协议IP地址和所述第一用户设备的第一媒体接入控制MAC地址,所述第一用户设备通过所述第一通信装置接入所述环网;保存所述DHCP snooping表项信息。10.根据权利要求9所述的方法,其特征在于,所述第二通信装置为所述环网上的第一路径中的通信节点,所述第一路径用于在所述环网中的第二路径发生故障时,传输来自所述第一用户设备的报文,所述第一路径和所述第二路径为所述环网中传输方向相反的两条路径。11.根据权利要求10所述的方法,其特征在于,所述第二通信装置包括所述环网的根桥节点。12.根据权利要求9所述的方法,其特征在于,所述第二通信装置为外部网络中的虚拟路由冗余协议VRRP组中的主节点,所述环网的根桥节点通过所述VRRP组接入所述外部网
络。13.根据权利要求9
‑
12任意一项所述的方法,其特征在于,...
【专利技术属性】
技术研发人员:朱筠,张耀坤,陈亮,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。