[发明专利]防止ARP报文攻击的方法和路由设备

权利要求书

1.一种防止地址解析协议ARP报文攻击的方法，应用于部署有虚拟路由器冗余协议VRRP备份组的监控网络中，其特征在于，该方法包括：

动态主机配置协议中继DHCP Relay接收由编码器EC发送的用于请求IP地址的DHCP发现DISCOVER报文，将所述DHCP DISCOVER报文发送给DHCP服务器Server；

DHCP Relay接收由DHCP Server对所述DHCP DISCOVER报文回应的包含为EC分配的IP地址和网关IP地址的DHCP OFFER报文；

DHCP Relay根据所述网关IP地址获取VRRP备份组的网关接入访问控制MAC地址，将所述获取到的MAC地址携带在DHCP OFFER报文中发送给EC。

2.根据权利要求1所述的方法，其特征在于，所述DHCP Relay根据所述网关IP地址获取VRRP备份组的网关MAC地址，将所述获取到的MAC地址携带在DHCP OFFER报文中发送给EC包括：

DHCP Relay侦听VRRP备份组发送的包含该VRRP备份组里所有路由器的虚拟MAC地址的Advertisement报文，从所述网关IP地址对应的VRRP备份组发送的Advertisement报文中选取一个虚拟MAC地址，将所述虚拟MAC地址携带在DHCP OFFER报文中发送给EC。

3.根据权利要求1所述的方法，其特征在于，所述DHCP Relay根据所述网关IP地址获取VRRP备份组的网关MAC地址，将所述获取到的MAC地址携带在DHCP OFFER报文中发送给EC包括：

DHCP Relay根据所述网关IP地址构造免费ARP，将所述免费ARP发送给VRRP备份组，接收VRRP备份组发送的该备份组中路由器的虚拟MAC地址，从所述网关IP地址对应的VRRP备份组发送的虚拟MAC地址中选取一个虚拟MAC地址，将所述虚拟MAC地址携带在DHCP OFFER报文中发送给EC。

4.根据权利要求2或3所述的方法，其特征在于，所述DHCP Relay通过轮询或加权的方式选取一个虚拟MAC地址。

5.根据权利要求1所述的方法，其特征在于，所述DHCP Relay根据所述网关IP地址获取VRRP备份组的网关MAC地址，将所述获取到的MAC地址携带在DHCP OFFER报文中发送给EC包括：

DHCP Relay根据所述DHCP OFFER报文中网关IP地址和为EC分配的IP地址，向具有相应网关IP地址的VRRP备份组中的主Master路由器请求网关MAC地址，接收由Master路由器发送的虚拟MAC地址，将所述虚拟MAC地址携带在DHCP OFFER报文中发送给EC。

6.根据权利要求1至5中任一项所述的方法，其特征在于，该方法进一步包括：EC根据接收到的网关IP地址和网关MAC地址生成ARP表项。

7.一种防止地址解析协议ARP报文攻击的路由设备，应用于部署有虚拟路由器冗余协议VRRP备份组的监控网络中，其特征在于，该路由设备包括：发送单元，接收单元和获取单元，其中，

所述发送单元，用于接收由编码器EC发送的用于请求IP地址的DHCP发现DISCOVER报文，将所述DHCP DISCOVER报文发送给DHCP服务器Server；

所述接收单元，用于接收由DHCP Server对所述发送单元发送的DHCPDISCOVER报文回应的包含为EC分配的IP地址和网关IP地址的DHCP OFFER报文；

所述获取单元，用于根据所述接收单元接收到的网关IP地址获取VRRP备份组的网关接入访问控制MAC地址，将所述获取到的MAC地址携带在DHCPOFFER报文中发送给EC。

8.根据权利要求7所述的路由设备，其特征在于，

所述获取单元，用于侦听VRRP备份组发送的包含该VRRP备份组里所有路由器的虚拟MAC地址的Advertisement报文，从所述接收单元接收到的网关IP地址对应的VRRP备份组发送的Advertisement报文中选取一个虚拟MAC地址，将所述虚拟MAC地址携带在DHCP OFFER报文中发送给EC。