[发明专利]一种建立ARP表项的方法、系统和装置

说明书

技术领域

本发明涉及移动通信技术，特别涉及一种建立ARP表项的方法、系统和装置。

背景技术

随着无线局域网(WLAN，Wireless Local Area Network)技术的发展，集中管理的WLAN得到越来越多的应用。集中管理的WLAN中主要由接入点(AP，Access Point)和接入控制器(AC，Access Controller)构成，通过AC对多个AP进行管理，来共同提供WLAN的接入服务，用户使用的移动终端可以在任何一个AP的覆盖范围内接入到WLAN中。

当AP和AC之间被三层网络隔离时，其组网结构如图1所示，AP向AC发送的所有报文都需要通过网关进行转发，由于AP是零配置设备，所以，AP设备在与AC建立连接之前首先需要获取网关的IP地址以及MAC地址等网络信息，将该网关的IP地址和MAC地址设置为地址解析协议(ARP，Address Resolution Protocol)表项，利用该ARP表项向AC发送报文。现有技术中，AP首先向动态主机配置协议(DHCP)服务器请求网关的IP地址，获取到网关的IP地址后，利用该IP地址动态地学习网关的MAC地址，即向网关请求MAC地址，网关接收到该请求后，向该AP发送包含自身MAC地址和IP地址的ARP报文，AP接收到该ARP报文后，将网关的MAC地址和IP地址设置为动态的ARP表项。

然而，上述现有技术的方法中，如果网络中出现恶意的ARP仿冒攻击，即仿冒网关IP地址向AP发送包含虚假MAC地址的ARP报文时，AP会学习到该虚假的MAC地址，并利用该虚假的MAC地址设置或更新ARP表项，此时的ARP表项使得AP无法将报文发送至网关，从而造成AP与AC无法进行通信。

发明内容

有鉴于此，本发明提供了一种建立ARP表项的方法，以便于防止恶意的ARP仿冒攻击。

一种建立ARP表项的方法，该方法包括：

DHCP服务器接收到AP的网络信息请求后，向所述AP发送预先配置的网关IP地址和网关MAC地址信息；

所述AP利用接收到的所述网关IP地址和网关MAC地址信息设置静态ARP表项。

一种建立ARP表项的系统，该系统包括：DHCP服务器和AP；

所述DHCP服务器，用于接收到AP的网络信息请求后，向所述AP发送预先配置的网关IP地址和网关MAC地址信息；

所述AP，用于向所述DHCP服务器发送网络信息请求，利用接收到的所述网关IP地址和网关MAC地址信息设置静态ARP表项。

一种DHCP服务器，所述DHCP服务器包括：请求接收单元，信息获取单元和信息发送单元；

所述请求接收单元，用于接收AP发送的网络信息请求；

所述信息获取单元，用于在所述请求接收单元接收到AP发送的网络信息请求后，获取预先配置的网关IP地址和网关MAC地址信息；

所述信息发送单元，用于将所述信息获取单元获取的网关IP地址和网关MAC地址信息发送给所述AP，供所述AP设置静态ARP表项。

一种AP，该AP包括：请求发送单元、信息接收单元和表项设置单元；

所述请求发送单元，用于向DHCP服务器发送网络信息请求；

所述信息接收单元，用于接收所述DHCP服务器发送的网关IP地址和网关MAC地址信息；

所述表项设置单元，用于根据所述网关IP地址和网关MAC地址信息设置静态ARP表项。

由以上技术方案可以看出，在本发明提供的方法、系统和装置中，DHCP服务器接收到AP的网络信息请求后，向该AP发送预先配置的网关IP地址和网关MAC地址信息；该AP利用接收到的网关IP地址和网关MAC地址信息设置静态ARP表项。即AP从DHCP服务器不仅获取网关IP地址，还获取与之对应的网关MAC地址，并且将其设置为静态ARP表项，在后续的MAC地址学习过程中不再进行该ARP表项的更新和老化，因此，对于仿冒网关IP地址向AP发送的ARP报文不会对该静态ARP表项产生影响，AP始终可以利用该静态ARP表项将报文发送至网关，由网关将报文转发至AC，从而与AC进行通信，所以，本发明可以防止恶意的ARP仿冒攻击。

附图说明

图1为现有技术中AC和AP被三层网络隔离的组网结构图；

图2为本发明实施例提供的方法流程图；

图3为本发明实施例提供的DHCP报文中扩展的属性域格式；

图4为本发明实施例提供的一个DHCP报文中扩展属性域的结构实例；