[发明专利]一种IP源地址绑定表项的创建方法、装置及交换机

说明书

技术领域

本发明涉及网络通讯领域，尤其涉及一种IP源地址绑定表项的创建方法、装置及交换机。

背景技术

动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)监听(DHCP Snooping)技术是DHCP的安全特性，通过建立和维护DHCP Snooping绑定表项过滤不可信任的DHCP信息。

DHCP Snooping功能在交换机上开启后，通过窥探DHCP客户端(DHCPCLIENT)和DHCP服务器(DHCP SERVER)之间的DHCP报文交互过程，根据客户端获取到的IP地址及租约时间、终端媒体接入控制(Media AccessControl，MAC)地址和终端所在端口信息，创建IP源地址绑定表项，IP源地址绑定表项包含如下元素：终端MAC地址、终端IP地址、终端所在端口、租约时间。创建IP源地址绑定表项后，交换机上的DHCP Snooping功能将IP源地址绑定表项添加到硬件过滤资源中。

交换机在对客户端发出的数据报文进行硬件转发时，通过硬件过滤资源对数据报文进行过滤。如果客户端没有通过DHCP获取IP地址，在交换机上就不存在该客户端的IP源地址绑定表项，该客户端发出的数据报文就会被交换机过滤掉，有效防止了客户端私自配置IP地址。

为了防止未经认证的非法DHCP客户端进行非法攻击，现有技术中常采用认证服务器对客户端进行认证与DHCP Snooping相结合的方法，该方法中，用户在通过认证之前，只能发送认证报文，其他报文一律被交换机丢弃，用户必须在认证成功之后，才可以向DHCP服务器获取为其分配的IP地址，获得DHCP服务器为其分配的IP地址之后，需要使用分配的IP地址，再一次向交换机发送认证报文，重新进行认证，将获取到的IP地址上传到认证服务器中，这样，一个客户端必须经历两次认证，才能将IP地址上传至认证服务器，增加认证服务器的处理压力。

为了减轻认证服务器的处理压力，现有技术中还提供了一种在认证前获取IP地址的方式，该方式中，客户端需要在认证过程开始之前获取到IP地址，然后在认证交互过程中，将获取到的IP地址直接上传到认证服务器上，但由于客户端需要在认证通过前通过DHCP获取IP地址，DHCP SNOOPING在创建IP源地址绑定表项时，不论该客户端是否合法都会直接创建IP源地址绑定表项，并且添加到硬件过滤资源中，因此，这种方式存在以下问题：非法DHCP客户端可利用获取IP地址的过程进行DHCP攻击，造成的交换机上硬件过滤资源的过度占用甚至耗尽，由于硬件过滤资源在交换机上属于稀缺硬件资源，通常由多个安全功能共用硬件过滤资源，如果硬件过滤资源耗尽会出现其他合法客户端无法正常获取IP地址，交换机上其他共用硬件过滤资源的安全功能也无法正常工作。

发明内容

本发明实施例提供一种IP源地址绑定表项的创建方法、装置及交换机，用以避免现有交换机硬件过滤资源过度占用甚至耗尽的问题。

本发明实施例提供的IP源地址绑定表项的创建方法，包括：

对客户端向动态主机配置协议DHCP服务器发起获取IP地址的第一流程进行窥探，生成所述客户端的IP源地址绑定表项，并将所述IP源地址绑定表项包含的表项状态信息设置为等待认证通过状态；

在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证通过时，将所述客户端的IP源地址绑定表项包含的表项状态信息修改为已生效状态；并将修改后的IP源地址绑定表项添加到硬件过滤资源中；

在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证未通过时，拒绝将所述客户端的IP源地址绑定表项添加到硬件过滤资源中。

本发明实施例提供的IP源地址绑定表项的创建的装置，包括：

IP源地址绑定表项生成单元，用于对客户端向动态主机配置协议DHCP服务器发起获取IP地址的第一流程进行窥探，生成所述客户端的IP源地址绑定表项，并将所述IP源地址绑定表项包含的表项状态信息设置为等待认证通过状态；

IP源地址绑定表项添加单元，用于在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证通过时，将所述客户端的IP源地址绑定表项包含的表项状态信息修改为已生效状态；并将修改后的IP源地址绑定表项添加到硬件过滤资源中；

IP源地址绑定表项清除单元，用于在确认所述第一流程之后执行的客户端认证的第二流程的认证结果为所述客户端认证未通过时，拒绝将所述客户端的IP源地址绑定表项添加到硬件过滤资源中。