一種調(diào)整安全接入的方法及交換的制造方法
【專利摘要】本發(fā)明公開(kāi)了一種調(diào)整安全接入的方法及交換機(jī)，所述方法包括：根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)，依據(jù)DHCP表項(xiàng)下發(fā)ACL表項(xiàng)，判斷ACL表項(xiàng)是否已滿；當(dāng)ACL表項(xiàng)已滿時(shí)，廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文；監(jiān)聽(tīng)是否接收到ARP回應(yīng)，如果未接收到ARP回應(yīng)，則將DHCP表項(xiàng)在硬件訪問(wèn)控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。通過(guò)本發(fā)明公開(kāi)的一種調(diào)整安全接入的方法及交換機(jī)，可以更多DHCP用戶設(shè)備的接入要求，提高了交換機(jī)訪問(wèn)控制列表的利用率。
【專利說(shuō)明】—種調(diào)整安全接入的方法及交換機(jī)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)通信【技術(shù)領(lǐng)域】，尤其涉及一種調(diào)整安全接入的方法及 交換機(jī)。
【背景技術(shù)】
[0002]DHCP (Dynamic Host Configuration Protocol,動(dòng)態(tài)地址解析協(xié)議)是一種自動(dòng) 為用戶分配IP (Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)地址以及其他選項(xiàng)(如網(wǎng)關(guān)、域 名系統(tǒng))的協(xié)議，廣泛應(yīng)用于局域網(wǎng)中，DHCP簡(jiǎn)化了網(wǎng)絡(luò)的部署、也易于網(wǎng)絡(luò)的維護(hù)。DHCP SNOOPING是一種監(jiān)聽(tīng)DHCP請(qǐng)求過(guò)程的私有協(xié)議，它在交換裝置中使用，將每一個(gè)成功獲取 IP的用戶生成一個(gè)DHCP綁定信息。
[0003]免費(fèi)ARP報(bào)文是一種特殊的ARP報(bào)文，該報(bào)文中攜帶的發(fā)送端IP地址和目標(biāo)IP 地址都是本機(jī)IP地址，報(bào)文源MAC地址是本機(jī)MAC地址，報(bào)文的目的MAC地址是廣播地址。 設(shè)備通過(guò)對(duì)外發(fā)送免費(fèi)ARP報(bào)文來(lái)確定其它設(shè)備的IP地址是否與本機(jī)的IP地址沖突。當(dāng) 其它設(shè)備收到免費(fèi)ARP報(bào)文后，如果發(fā)現(xiàn)報(bào)文中的IP地址和自己的IP地址相同，則給發(fā)送 免費(fèi)ARP報(bào)文的設(shè)備返回一個(gè)ARP應(yīng)答，告知該設(shè)備IP地址沖突。
[0004]ACL (Access Control List,訪問(wèn)控制列表)是一或多條規(guī)則的集合,用于識(shí)別報(bào) 文流。這里的規(guī)則是指描述報(bào)文匹配條件的判斷語(yǔ)句，匹配條件可以是報(bào)文的源地址、目的 地址、端口號(hào)等。網(wǎng)絡(luò)設(shè)備依照這些規(guī)則識(shí)別出特定的報(bào)文，并根據(jù)預(yù)先設(shè)定的策略對(duì)其進(jìn) 行處理。
[0005]為了防止用戶私自接入網(wǎng)絡(luò)，便于網(wǎng)絡(luò)的維護(hù)和管理，可結(jié)合DHCP SNOOPING來(lái)實(shí) 施接入控制策略，通過(guò)DHCP方式獲取IP的主機(jī)可以訪問(wèn)網(wǎng)絡(luò)，而私設(shè)IP的主機(jī)將不允許 訪問(wèn)網(wǎng)絡(luò)。這種接入策略需要結(jié)合交換機(jī)硬件ACL來(lái)實(shí)現(xiàn)，每一個(gè)DHCP用戶需要下發(fā)一條 允許訪問(wèn)網(wǎng)絡(luò)的ACL規(guī)則。由于交換設(shè)備ACL表項(xiàng)容量有限，因此，當(dāng)DHCP綁定表項(xiàng)數(shù)目 大于設(shè)備的ACL表項(xiàng)數(shù)目時(shí)，一些DHCP綁定表項(xiàng)對(duì)應(yīng)的ACL無(wú)法下發(fā)，則這些DHCP用戶無(wú) 法訪問(wèn)網(wǎng)絡(luò)。
[0006]在現(xiàn)有技術(shù)中，交換設(shè)備的ACL表項(xiàng)容量有限，因此，當(dāng)DHCP綁定表項(xiàng)數(shù)目大于設(shè) 備的ACL表項(xiàng)的容量的數(shù)目時(shí)，一些DHCP綁定表項(xiàng)對(duì)應(yīng)的ACL表項(xiàng)將無(wú)法下發(fā)，這些DHCP 用戶設(shè)備就無(wú)法訪問(wèn)網(wǎng)絡(luò)，訪問(wèn)控制列表的利用率較低。

【發(fā)明內(nèi)容】

[0007]有鑒于此，本發(fā)明實(shí)施例提供了一種調(diào)整安全接入的方法及交換機(jī)，以解決以上 【背景技術(shù)】部分提到的交換機(jī)訪問(wèn)控制列表的利用率的技術(shù)問(wèn)題。
[0008]一方面，本發(fā)明實(shí)施例提供了一種調(diào)整安全接入的方法，包括:
[0009]根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)，依據(jù)所述DHCP表項(xiàng) 下發(fā)ACL表項(xiàng)，判斷所述ACL表項(xiàng)是否已滿；
[0010]當(dāng)所述ACL表項(xiàng)已滿時(shí)，廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文，其中，所述ARP請(qǐng)求報(bào)文的發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址，所 述ARP請(qǐng)求報(bào)文的發(fā)送端的媒體訪問(wèn)控制MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC 地址，所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址；
[0011]監(jiān)聽(tīng)是否接收到ARP回應(yīng)，如果未接收到所述ARP回應(yīng)，則將所述DHCP表項(xiàng)在硬 件訪問(wèn)控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。
[0012]優(yōu)選地，在所述根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)，依據(jù) 所述DHCP表項(xiàng)下發(fā)ACL表項(xiàng)，判斷所述ACL表項(xiàng)是否已滿之前，還包括:
[0013]接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文，其中，所述DHCP請(qǐng)求 報(bào)文包括DHCP探聽(tīng)過(guò)程的MAC地址、接入端口號(hào)和虛擬局域網(wǎng)VLAN號(hào)，所述DHCP服務(wù)器 的回應(yīng)報(bào)文包括DHCP探聽(tīng)過(guò)程的IP地址、租期、網(wǎng)關(guān)和域名系統(tǒng)DNS號(hào)；
[0014]根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文，在DHCP綁定 表中創(chuàng)建DHCP表項(xiàng)；
[0015]根據(jù)所述DHCP表項(xiàng)，生成ACL表項(xiàng)。
[0016]優(yōu)選地，在所述接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之前，還 包括:
[0017]使能交換機(jī)的DHCP探聽(tīng)的監(jiān)聽(tīng)功能；
[0018]下發(fā)一條DHCP報(bào)文重定向至交換機(jī)CPU的ACL規(guī)則，同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所 有報(bào)文的ACL規(guī)則。
[0019]優(yōu)選地，所述根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文， 在DHCP綁定表中創(chuàng)建DHCP表項(xiàng)，包括:
[0020]將所述DHCP請(qǐng)求報(bào)文中的MAC地址、接入端口和VLAN號(hào)信息保存到所述用戶設(shè) 備的綁定表的DHCP表項(xiàng)中；
[0021 ] 在收到所述DHCP服務(wù)器的回應(yīng)報(bào)文之后，提取所述回應(yīng)報(bào)文中的IP地址和租期， 并將所述IP地址和租期添加到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中。
[0022]優(yōu)選地，所述ACL表項(xiàng)包括:所述用戶設(shè)備的IP地址、MAC地址、接入端口和VLAN號(hào)。
[0023]與之相對(duì)應(yīng)，本發(fā)明實(shí)施例提供了一種交換機(jī)，包括:
[0024]判斷表項(xiàng)模塊，用于根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)， 依據(jù)所述DHCP表項(xiàng)下發(fā)ACL表項(xiàng)，判斷所述ACL表項(xiàng)是否已滿；
[0025]報(bào)文請(qǐng)求模塊，用于當(dāng)所述ACL表項(xiàng)已滿時(shí)，廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文，其 中，所述ARP請(qǐng)求報(bào)文的發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶 設(shè)備的IP地址，所述ARP請(qǐng)求報(bào)文的發(fā)送端的媒體訪問(wèn)控制MAC地址為所述DHCP表項(xiàng)中 所述用戶設(shè)備的MAC地址，所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址；
[0026]監(jiān)聽(tīng)回復(fù)模塊，用于監(jiān)聽(tīng)是否接收到ARP回應(yīng)，如果未接收到所述ARP回應(yīng)，則將 所述DHCP表項(xiàng)在硬件訪問(wèn)控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。
[0027]優(yōu)選地，所述交換機(jī)還包括:
[0028]接收?qǐng)?bào)文模塊，用于在所述根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的 DHCP表項(xiàng)，依據(jù)所述DHCP表項(xiàng)下發(fā)ACL表項(xiàng)，判斷所述ACL表項(xiàng)是否已滿之前，接收用戶設(shè) 備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文，其中，所述DHCP請(qǐng)求報(bào)文包括DHCP探聽(tīng)過(guò)程的MAC地址、接入端口號(hào)和虛擬局域網(wǎng)VLAN號(hào)，所述DHCP服務(wù)器的回應(yīng)報(bào)文包括DHCP 探聽(tīng)過(guò)程的IP地址、租期、網(wǎng)關(guān)和域名系統(tǒng)DNS號(hào)；
[0029]創(chuàng)建表項(xiàng)模塊，用于根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回 應(yīng)報(bào)文，在DHCP綁定表中創(chuàng)建DHCP表項(xiàng)；
[0030]生成表項(xiàng)模塊，用于根據(jù)所述DHCP表項(xiàng)，生成ACL表項(xiàng)。
[0031 ] 優(yōu)選地，所述交換機(jī)還包括:
[0032]配置模塊，用于在接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之前， 使能交換機(jī)的DHCP探聽(tīng)的監(jiān)聽(tīng)功能，下發(fā)一條DHCP報(bào)文重定向至交換機(jī)CPU的ACL規(guī)則， 同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所有報(bào)文的ACL規(guī)則。
[0033]優(yōu)選地，所述創(chuàng)建表項(xiàng)模塊具體用于:
[0034]將所述DHCP請(qǐng)求報(bào)文中的MAC地址、接入端口和VLAN號(hào)信息保存到所述用戶設(shè) 備的綁定表的DHCP表項(xiàng)中；
[0035]在收到所述DHCP服務(wù)器的回應(yīng)報(bào)文之后，提取所述回應(yīng)報(bào)文中的IP地址和租期， 并將所述IP地址和租期添加到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中。
[0036]優(yōu)選地，所述監(jiān)聽(tīng)回復(fù)模塊中的ACL表項(xiàng)包括:所述用戶設(shè)備的IP地址、MAC地 址、接入端口和VLAN號(hào)。
[0037]本發(fā)明實(shí)施例提供的一種調(diào)整安全接入的方法及交換機(jī)，具有如下特點(diǎn):可以更 多DHCP用戶設(shè)備的接入要求，提高了交換機(jī)訪問(wèn)控制列表的利用率。
【專利附圖】

【附圖說(shuō)明】
[0038]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本 發(fā)明的實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù) 提供的附圖獲得其他的附圖。
[0039]圖1是本發(fā)明實(shí)施例所適用的網(wǎng)絡(luò)應(yīng)用圖；
[0040]圖2是本發(fā)明第一實(shí)施例提供調(diào)整安全接入的方法的實(shí)現(xiàn)流程圖；
[0041]圖3是本發(fā)明第二實(shí)施例提供的調(diào)整安全接入的方法的實(shí)現(xiàn)流程圖；
[0042]圖4是本發(fā)明第三實(shí)施例提供的交換機(jī)的裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0043]下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述，顯然，所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本 發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí) 施例，都屬于本發(fā)明保護(hù)的范圍。
[0044]本發(fā)明實(shí)施例所適用的網(wǎng)絡(luò)環(huán)境如圖1所示。網(wǎng)絡(luò)中設(shè)置有交換機(jī)，其分別與 DHCP服務(wù)器和多個(gè)用戶設(shè)備相連。
[0045]實(shí)施例一
[0046]圖1是本發(fā)明第一實(shí)施例提供的調(diào)整安全接入的方法的實(shí)現(xiàn)流程圖。本發(fā)明實(shí)施 例提供的方法可以在圖1所示的網(wǎng)絡(luò)環(huán)境中由本發(fā)明實(shí)施例提供的交換機(jī)來(lái)執(zhí)行。如圖2所示，本發(fā)明實(shí)施例一提供的一種調(diào)整安全接入的方法包括:
[0047]步驟S201，根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)，依據(jù)所述 DHCP表項(xiàng)下發(fā)ACL表項(xiàng)，判斷所述ACL表項(xiàng)是否已滿。
[0048]步驟202，當(dāng)所述ACL表項(xiàng)已滿時(shí)，廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文。
[0049]在步驟202中，所述ARP請(qǐng)求報(bào)文可以為免費(fèi)ARP請(qǐng)求報(bào)文，其發(fā)送端的IP地址 和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址，所述ARP請(qǐng)求報(bào)文的發(fā)送 端的MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址，所述ARP請(qǐng)求報(bào)文的目標(biāo)端的 MAC地址為廣播地址。由此，可以讓與交換機(jī)相連的各用戶設(shè)備均接收到此報(bào)文，并根據(jù)已 有協(xié)議進(jìn)行回應(yīng)。由于ARP請(qǐng)求報(bào)文是基于每個(gè)表項(xiàng)的地址發(fā)送的，所以若用戶設(shè)備在線， 則必然會(huì)接收到與自身地址一致的ARP請(qǐng)求報(bào)文，并按照協(xié)議需進(jìn)行ARP回應(yīng)。
[0050]步驟S203，監(jiān)聽(tīng)是否接收到ARP回應(yīng)，如果未接收到所述ARP回應(yīng)，則將所述DHCP 表項(xiàng)在硬件訪問(wèn)控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。
[0051]需要進(jìn)行說(shuō)明的是，交換機(jī)監(jiān)聽(tīng)是否接收到ARP回應(yīng)，如果在所述第二定時(shí)器設(shè) 定時(shí)長(zhǎng)截止前未接收到ARP回應(yīng)，則確定所述DHCP表項(xiàng)的用戶設(shè)備處于離線狀態(tài)。
[0052]在步驟S203中，所述ACL規(guī)則是訪問(wèn)控制列表中用于識(shí)別報(bào)文流的匹配條件的判 斷語(yǔ)句，所述ACL表項(xiàng)可包括:所述用戶設(shè)備的IP地址、MAC地址、接入端口和VLAN號(hào)。
[0053]本實(shí)施例一提供的調(diào)整安全接入的方法，通過(guò)監(jiān)控是否接收到ARP回應(yīng)，來(lái)判斷 DHCP表項(xiàng)的對(duì)應(yīng)用戶設(shè)備是否處于離線狀態(tài)，并刪除離線狀態(tài)下的DHCP表項(xiàng)的用戶設(shè)備 對(duì)應(yīng)的ACL表項(xiàng)，能夠?yàn)橛脩粼O(shè)備提供ACL表項(xiàng)空間，提高了交換機(jī)訪問(wèn)控制列表的利用 率。在上述方案中，可以及時(shí)對(duì)ACL表項(xiàng)進(jìn)行清理維護(hù)。利用了免費(fèi)ARP請(qǐng)求報(bào)文及其ARP 回應(yīng)，有效利用了已有的報(bào)文機(jī)制，無(wú)需擴(kuò)展額外的設(shè)備和軟件，因此技術(shù)的推廣便捷、成 本低。
[0054]實(shí)施例二
[0055]圖3是本發(fā)明第二實(shí)施例提供一種調(diào)整安全接入的方法的實(shí)現(xiàn)流程圖。本實(shí)施例 以實(shí)施例一為基礎(chǔ)，軟硬件環(huán)境與實(shí)施例一相同。如圖3所示，本發(fā)明實(shí)施例提供的方法包 括:
[0056]步驟301，接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文。
[0057]在本發(fā)明實(shí)施例中，所述DHCP請(qǐng)求報(bào)文包括DHCP SNOOPING過(guò)程的MAC地址、接 入端口號(hào)和VLAN號(hào)，所述DHCP服務(wù)器的回應(yīng)報(bào)文包括DHCP SNOOPING過(guò)程的IP地址、租 期、網(wǎng)關(guān)和域名系統(tǒng)DNS號(hào)。
[0058]步驟302，根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文，在 DHCP綁定表中創(chuàng)建DHCP表項(xiàng)。
[0059]在本發(fā)明實(shí)施例中，所述DHCP表項(xiàng)包括:MAC地址、接入端口、VLAN號(hào)、IP地址和 租期。所述DHCP表項(xiàng)的創(chuàng)建過(guò)程:將所述DHCP請(qǐng)求報(bào)文中的MAC地址、接入端口和VLAN 號(hào)信息保存到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中；在收到所述DHCP服務(wù)器的回應(yīng)報(bào)文 之后，提取所述回應(yīng)報(bào)文中的IP地址和租期，并將所述IP地址和租期添加到所述用戶設(shè)備 的綁定表的DHCP表項(xiàng)中。
[0060]步驟303，根據(jù)所述DHCP表項(xiàng)，生成ACL表項(xiàng)。
[0061 ] 其中，所述DHCP表項(xiàng)包括:IP地址、MAC地址、接入端口、VLAN號(hào)和租期。提取所述DHCP表項(xiàng)中的IP地址、MAC地址、接入端口和VLAN號(hào)，生成對(duì)應(yīng)的ACL表項(xiàng)。交換機(jī)收 到的報(bào)文后，只有報(bào)文中的表項(xiàng)與交換機(jī)中的所述ACL表項(xiàng)中的一條子項(xiàng)相匹配時(shí)，才能 夠轉(zhuǎn)發(fā)所述報(bào)文。
[0062]步驟304，判斷所述ACL表項(xiàng)是否已滿，當(dāng)所述ACL表項(xiàng)已滿時(shí)，廣播地址解析協(xié)議 ARP請(qǐng)求報(bào)文；
[0063]步驟S305監(jiān)聽(tīng)是否接收到ARP回應(yīng)，如果未接收到所述ARP回應(yīng)，則將所述DHCP 表項(xiàng)在硬件訪問(wèn)控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。
[0064]本實(shí)施例提供的調(diào)整安全接入的方法，是在實(shí)施例一的基礎(chǔ)上提出的優(yōu)選實(shí)施 例，達(dá)到相同的功能，能夠?yàn)橛脩粼O(shè)備提供ACL表項(xiàng)空間，提高了交換機(jī)訪問(wèn)控制列表的利用率。
[0065]進(jìn)一步的，在所述接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之 前，優(yōu)選還包括:使能交換機(jī)的DHCP探聽(tīng)的監(jiān)聽(tīng)功能；下發(fā)一條DHCP報(bào)文重定向至交換機(jī) CPU的ACL規(guī)則，同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所有報(bào)文的ACL規(guī)則，其中，所述ACL規(guī)則是訪 問(wèn)控制列表中用于識(shí)別報(bào)文流的匹配條件的判斷語(yǔ)句。該方案的有益之處在于啟動(dòng)DHCP SNOOPING過(guò)程的安全功能，并預(yù)先配置ACL規(guī)則，使交換機(jī)根據(jù)ACL規(guī)則有針對(duì)性的轉(zhuǎn)發(fā)報(bào) 文信息，保證交換機(jī)轉(zhuǎn)發(fā)報(bào)文的安全性。
[0066]實(shí)施例三
[0067]圖4是本發(fā)明第三實(shí)施例提供的交換機(jī)包括的裝置的結(jié)構(gòu)示意圖。如圖4所示， 本發(fā)明實(shí)施例提供的裝置包括:判斷表項(xiàng)模塊405、報(bào)文請(qǐng)求模塊406和監(jiān)聽(tīng)回復(fù)模塊407。
[0068]判斷表項(xiàng)模塊405，用于根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表 項(xiàng)，依據(jù)所述DHCP表項(xiàng)下發(fā)ACL表項(xiàng)，判斷所述ACL表項(xiàng)是否已滿；報(bào)文請(qǐng)求模塊406，用于 當(dāng)所述ACL表項(xiàng)已滿時(shí)，廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文，其中，所述ARP請(qǐng)求報(bào)文的發(fā)送 端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址，所述ARP請(qǐng) 求報(bào)文的發(fā)送端的媒體訪問(wèn)控制MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址，所 述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址；監(jiān)聽(tīng)回復(fù)模塊407，用于監(jiān)聽(tīng)是否接收到 ARP回應(yīng)，如果未接收到所述ARP回應(yīng)，則將所述DHCP表項(xiàng)在硬件訪問(wèn)控制列表ACL中ACL 規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。
[0069]在上述方案中，通過(guò)判斷表項(xiàng)模塊405來(lái)廣播ARP請(qǐng)求報(bào)文，并判斷接收到ARP回 應(yīng)，進(jìn)而判斷DHCP表項(xiàng)的對(duì)應(yīng)用戶設(shè)備是否處于離線狀態(tài)，通過(guò)監(jiān)聽(tīng)回復(fù)模塊407刪除離 線狀態(tài)下的DHCP表項(xiàng)的用戶設(shè)備對(duì)應(yīng)的ACL表項(xiàng)，能夠?qū)﹄x線的用戶設(shè)備的ACL表項(xiàng)進(jìn)行 及時(shí)清理維護(hù)，提高了交換機(jī)訪問(wèn)控制列表的利用率。有效利用了已有的報(bào)文機(jī)制，無(wú)需擴(kuò) 展額外的設(shè)備和軟件，因此技術(shù)的推廣便捷、成本低。
[0070]在上述方案中，優(yōu)選是，還包括:接收?qǐng)?bào)文模塊402、創(chuàng)建表項(xiàng)模塊403和生成表項(xiàng) 模塊404。
[0071]其中，所述接收?qǐng)?bào)文模塊402，用于在按照第一定時(shí)器定時(shí)周期，根據(jù)DHCP綁定表 中用戶設(shè)備的DHCP表項(xiàng)，廣播ARP請(qǐng)求報(bào)文之前，接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP 服務(wù)器的回應(yīng)報(bào)文，其中，所述DHCP請(qǐng)求報(bào)文包括DHCPSN00PING過(guò)程的MAC地址、接入端 口號(hào)和VLAN號(hào)，所述DHCP服務(wù)器的回應(yīng)報(bào)文包括DHCP SNOOPING過(guò)程的IP地址、租期、網(wǎng) 關(guān)和域名系統(tǒng)DNS號(hào)。所述創(chuàng)建表項(xiàng)模塊403，用于根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文，在DHCP綁定表中創(chuàng)建DHCP表項(xiàng)。所述生成表項(xiàng)模塊404，用 于根據(jù)所述DHCP表項(xiàng)，生成ACL表項(xiàng)。
[0072]在上述方案中，優(yōu)選是，還包括:配置模塊401，用于在接收用戶設(shè)備的DHCP請(qǐng)求 報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之前，使能交換機(jī)的DHCP SNOOPING的監(jiān)聽(tīng)功能，下發(fā)一條 DHCP報(bào)文重定向至交換機(jī)CPU的ACL規(guī)則，同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所有報(bào)文的ACL規(guī)則。
[0073]進(jìn)一步的，所述創(chuàng)建表項(xiàng)模塊403具體用于:將所述DHCP請(qǐng)求報(bào)文中的MAC地址、 接入端口和VLAN號(hào)信息保存到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中；在收到所述DHCP服 務(wù)器的回應(yīng)報(bào)文之后，提取所述回應(yīng)報(bào)文中的IP地址和租期，并將所述IP地址和租期添加 到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中。
[0074]在本發(fā)明實(shí)施例中，所述監(jiān)聽(tīng)回復(fù)模塊407中的ACL表項(xiàng)可以包括:所述用戶設(shè)備 的IP地址、MAC地址、接入端口和VLAN號(hào)。
[0075]本實(shí)施例提供的交換機(jī)用于執(zhí)行本發(fā)明任意實(shí)施例提供的調(diào)整安全接入的方法， 具備相應(yīng)的功能模塊，達(dá)到相同的技術(shù)效果。
[0076]顯然，本領(lǐng)域技術(shù)人員應(yīng)該明白，上述的本發(fā)明的各模塊或各步驟可以用通用的 計(jì)算裝置來(lái)實(shí)現(xiàn)，它們可以集中在單個(gè)計(jì)算裝置上，或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng) 絡(luò)上，可選地，他們可以用計(jì)算機(jī)裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)，從而可以將它們存儲(chǔ)在存 儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行，或者將它們分別制作成各個(gè)集成電路模塊，或者將它們中的 多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件 和軟件的結(jié)合。
[0077]以上僅為本發(fā)明的優(yōu)選實(shí)施例，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域技術(shù)人員而言， 本發(fā)明可以有各種改動(dòng)和變化。凡在本發(fā)明的精神和原理之內(nèi)所作的任何修改、等同替換、 改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種調(diào)整安全接入的方法，其特征在于，包括:根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)，依據(jù)所述DHCP表項(xiàng)下發(fā) ACL表項(xiàng)，判斷所述ACL表項(xiàng)是否已滿；當(dāng)所述ACL表項(xiàng)已滿時(shí)，廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文，其中，所述ARP請(qǐng)求報(bào)文的發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址，所述ARP 請(qǐng)求報(bào)文的發(fā)送端的媒體訪問(wèn)控制MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址， 所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址；監(jiān)聽(tīng)是否接收到ARP回應(yīng)，如果未接收到所述ARP回應(yīng)，則將所述DHCP表項(xiàng)在硬件訪問(wèn)控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。
2.根據(jù)權(quán)利要求1所述的調(diào)整安全接入的方法，其特征在于，在所述根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)，依據(jù)所述DHCP表項(xiàng)下發(fā)ACL表項(xiàng)，判斷所述 ACL表項(xiàng)是否已滿之前,還包括:接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文，其中，所述DHCP請(qǐng)求報(bào)文包括DHCP探聽(tīng)過(guò)程的MAC地址、接入端口號(hào)和虛擬局域網(wǎng)VLAN號(hào)，所述DHCP服務(wù)器的回應(yīng)報(bào)文包括DHCP探聽(tīng)過(guò)程的IP地址、租期、網(wǎng)關(guān)和域名系統(tǒng)DNS號(hào)；根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文，在DHCP綁定表中創(chuàng)建DHCP表項(xiàng)；根據(jù)所述DHCP表項(xiàng)，生成ACL表項(xiàng)。
3.根據(jù)權(quán)利要求2所述的調(diào)整安全接入的方法，其特征在于，在所述接收用戶設(shè)備的 DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之前，還包括:使能交換機(jī)的DHCP探聽(tīng)的監(jiān)聽(tīng)功能； 下發(fā)一條DHCP報(bào)文重定向至交換機(jī)CPU的ACL規(guī)則，同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所有報(bào)文的ACL規(guī)則。
4.根據(jù)權(quán)利要求2所述的調(diào)整安全接入的方法，其特征在于，所述根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文，在DHCP綁定表中創(chuàng)建DHCP表項(xiàng)，包括:將所述DHCP請(qǐng)求報(bào)文中的MAC地址、接入端口和VLAN號(hào)信息保存到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中；在收到所述DHCP服務(wù)器的回應(yīng)報(bào)文之后，提取所述回應(yīng)報(bào)文中的IP地址和租期，并將所述IP地址和租期添加到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中。
5.根據(jù)權(quán)利要求1所述的調(diào)整安全接入的方法，其特征在于，所述ACL表項(xiàng)包括:所述用戶設(shè)備的IP地址、MAC地址、接入端口和VLAN號(hào)。
6.一種交換機(jī)，其特征在于，包括:判斷表項(xiàng)模塊，用于根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)，依據(jù)所述DHCP表項(xiàng)下發(fā)ACL表項(xiàng)，判斷所述ACL表項(xiàng)是否已滿；報(bào)文請(qǐng)求模塊，用于當(dāng)所述ACL表項(xiàng)已滿時(shí)，廣播地址解析協(xié)議ARP請(qǐng)求報(bào)文，其中，所述ARP請(qǐng)求報(bào)文的發(fā)送端的IP地址和目標(biāo)端的IP地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的IP地址，所述ARP請(qǐng)求報(bào)文的發(fā)送端的媒體訪問(wèn)控制MAC地址為所述DHCP表項(xiàng)中所述用戶設(shè)備的MAC地址，所述ARP請(qǐng)求報(bào)文的目標(biāo)端的MAC地址為廣播地址；監(jiān)聽(tīng)回復(fù)模塊，用于監(jiān)聽(tīng)是否接收到ARP回應(yīng)，如果未接收到所述ARP回應(yīng)，則將所述DHCP表項(xiàng)在硬件訪問(wèn)控制列表ACL中ACL規(guī)則對(duì)應(yīng)的ACL表項(xiàng)刪除。
7.根據(jù)權(quán)利要求6所述的交換機(jī)，其特征在于，還包括:接收?qǐng)?bào)文模塊，用于在所述根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP綁定表中用戶設(shè)備的DHCP表項(xiàng)，依據(jù)所述DHCP表項(xiàng)下發(fā)ACL表項(xiàng)，判斷所述ACL表項(xiàng)是否已滿之前，接收用戶設(shè)備的 DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文，其中，所述DHCP請(qǐng)求報(bào)文包括DHCP探聽(tīng)過(guò)程的 MAC地址、接入端口號(hào)和虛擬局域網(wǎng)VLAN號(hào)，所述DHCP服務(wù)器的回應(yīng)報(bào)文包括DHCP探聽(tīng)過(guò)程的IP地址、租期、網(wǎng)關(guān)和域名系統(tǒng)DNS號(hào)；創(chuàng)建表項(xiàng)模塊，用于根據(jù)所述用戶設(shè)備的DHCP請(qǐng)求報(bào)文和所述DHCP服務(wù)器的回應(yīng)報(bào)文，在DHCP綁定表中創(chuàng)建DHCP表項(xiàng)；生成表項(xiàng)模塊，用于根據(jù)所述DHCP表項(xiàng)，生成ACL表項(xiàng)。
8.根據(jù)權(quán)利要求7所述的交換機(jī)，其特征在于，還包括:配置模塊，用于在接收用戶設(shè)備的DHCP請(qǐng)求報(bào)文和DHCP服務(wù)器的回應(yīng)報(bào)文之前，使能交換機(jī)的DHCP探聽(tīng)的監(jiān)聽(tīng)功能，下發(fā)一條DHCP報(bào)文重定向至交換機(jī)CPU的ACL規(guī)則，同時(shí)下發(fā)一條默認(rèn)不轉(zhuǎn)發(fā)所有報(bào)文的ACL規(guī)則。
9.根據(jù)權(quán)利要求7所述的交換機(jī)，其特征在于，所述創(chuàng)建表項(xiàng)模塊具體用于:將所述DHCP請(qǐng)求報(bào)文中的MAC地址、接入端口和VLAN號(hào)信息保存到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中；在收到所述DHCP服務(wù)器的回應(yīng)報(bào)文之后，提取所述回應(yīng)報(bào)文中的IP地址和租期，并將所述IP地址和租期添加到所述用戶設(shè)備的綁定表的DHCP表項(xiàng)中。
10.根據(jù)權(quán)利要求6所述的交換機(jī)，其特征在于，所述監(jiān)聽(tīng)回復(fù)模塊中的ACL表項(xiàng)包括: 所述用戶設(shè)備的IP地址、MAC地址、接入端口和VLAN號(hào)。`
【文檔編號(hào)】H04L12/947GK103595711SQ201310546098
【公開(kāi)日】2014年2月19日 申請(qǐng)日期:2013年11月6日 優(yōu)先權(quán)日:2013年11月6日
【發(fā)明者】梁小冰, 向陽(yáng)朝, 陳翔 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司, 上海神州數(shù)碼有限公司