[发明专利]一种基于DHCP SNOOPING的安全接入方法

说明书

技术领域

本发明涉及计算机网络的接入安全技术，尤其涉及一种基于DHCPSNOOPING的安全接入方法。

背景技术

动态主机设置协议(Dynamic Host Configuration Protocol，DHCP)是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。

DHCP SNOOPING功能指交换机监测DHCP CLIENT通过DHCP协议获取IP的过程。它通过设置可信端口和非可信端口，来防止DHCP攻击及私设DHCPSERVER。从可信端口接收的DHCP报文无需校验即可转发。典型的设置是将可信端口连接DHCP SERVE或者DHCP RELAY代理。非可信端口连接DHCP CLIENT，交换机将转发从非可信端口接收的DHCP请求报文，不转发从非可信端口接收的DHCP回应报文。如果从非可信端口接收DHCP回应报文，除了发出告警信息外，并可根据设置对该端口执行相应的动作，比如SHUTDOWN，下发BLACKHOLE。如果启用了DHCP SNOOPING绑定功能，则交换机将会保存非可信端口下的DHCPCLIENT的绑定信息，每一条绑定信息包含该DHCP CLIENT的MAC地址、IP地址、租期、VLAN号和端口号，这些绑定信息存放于DHCP SNOOPING的绑定表中。

DHCP OPTION 82是DHCP报文中的中继代理信息选项(Relay Agent Information Option)，其选项编号为82。DHCP OPTION 82是为了增强DHCP服务器的安全性，改善IP地址配置策略而提出的一种机制。通过在网络接入设备上配置DHCP中继代理功能，中继代理把从客户端接收到的DHCP请求报文添加进OPTION 82选项(其中包含了客户端的接入物理端口和接入设备标识等信息)，然后再把该报文转发给DHCP服务器，支持OPTION 82功能的DHCP服务器接收到报文后，根据预先配置策略和报文中OPTION 82信息分配IP地址和其它配置信息给客户端，同时DHCP服务器也可以依据OPTION 82中的信息识别可能的DHCP攻击报文并作出防范。

DHCP OPTION 82是在DHCP中继代理(DHCP RELAY)中利用的，如果在接入环境中不配置DHCP RELAY，则无法利用DHCP OPTION 82的功能，来规划和管理接入端用户IP的分配。

如果不对每个交换机端口的DHCP绑定数目进行限制，则会有恶意用户伪造大量DHCP请求，从而耗尽交换机的资源以及DHCP SERVER的地址空间。

由于一般接入交换机本身没有大空间的非易失存储介质(如flash)，交换机一旦出现异常重启后，或者关机重启后，存放在交换机内存中的DHCPSNOOPING绑定表将会消失，而由于用户可能通过其他网络设备(比如集线器HUB等)接入交换机的，用户感知不到交换机重启了，用户的DHCP CLIENT不会去重新申请地址，或者续租，在这种情况下，由于没有用户绑定信息，这会造成用户无法接入网络，这将造成用户造成极大的不便。

发明内容

本发明的目的在于提供一种基于DHCP SNOOPING的安全接入方法，有效的解决了通过DHCP分配地址带来的安全和可靠性，能够有效的控制和管理通过DHCP方式接入网络的安全性问题。

为达到上述的目的，本发明采用技术方案如下：

一种基于DHCP SNOOPING的安全接入方法包括以下步骤：

步骤1、为交换机收到的用户DHCP请求报文添加定义或缺省设置的OPTION82；

步骤2、设置交换机端口的DHCP绑定数目上限；

步骤3、为用户创建一个临时的REQUEST绑定，并将DHCP请求报文转发至可信端口；

步骤4、从可信端口收到DHCP ACK后，查询临时的REQUEST绑定，如果存在相同用户MAC，则创建DHCP用户的绑定信息，并将绑定信息下发到硬件；

步骤5、将绑定信息加入到DHCP SNOOPING绑定报文中，并对绑定报文进行加密和散列处理，再转发给后台服务器备份；

步骤6、交换机一旦重启，从后台服务器获取绑定信息，并对绑定信息进行ARP确认，确定绑定信息是否有效。

DHCP用户绑定信息包括：DHCP CLIENT的MAC地址、IP地址、租期、VLAN号和端口号。

加密采用共享密钥的DES方式，散列处理采用MD5方式。