[发明专利]基于DHCP侦听实现代理ARP功能的方法和系统

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种基于DHCP侦听实现代理ARP功能的方法和系统。

背景技术

动态主机设置协议(Dynamic Host Configuration Protocol，DHCP)是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。

DHCP侦听(SNOOPING)功能指交换机监测DHCP客户端通过DHCP协议获取IP地址的过程。它通过设置可信端口和非可信端口，来防止DHCP攻击及私设DHCP服务器。从可信端口接收的DHCP报文无需校验即可转发。典型的设置是将可信端口连接DHCP服务器或者DHCP中继代理。非可信端口连接DHCP客户端，交换机将转发从非可信端口接收的DHCP请求报文，不转发从非可信端口接收的DHCP回应报文。如果启用了DHCP侦听绑定功能，则交换机将会保存非可信端口下的DHCP客户端的绑定信息，每一条绑定信息包含该DHCP客户端的MAC地址、IP地址、租期、VLAN号和端口号，这些绑定信息存放于DHCP侦听的绑定表中。

地址解析协议(Address Resolution Protocol，ARP)，在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。这个目标MAC地址是通过地址解析协议获得的。所谓“地址解析”就是主机在发送报文前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机，那么连接它们的具有代理ARP功能的设备就可以回答该请求，这个过程称作代理ARP(Proxy ARP)。代理ARP功能屏蔽了分离的物理网络这一事实，使用户使用起来，好像在同一个物理网络上。代理ARP的优点是，它可以只被应用在一个设备上(此时该设备的作用相当于网关)，不会影响到网络中其他设备的路由表。代理ARP功能可以在IP主机没有配置缺省网关或者IP主机没有任何路由能力的情况下使用。

代理ARP的缺陷在于设备没有检测目标IP的可达性而直接给请求端发送ARP回应，如果在请求端的ARP缓存中存在目标主机的IP和硬件地址的映射关系，则造成请求终端认为目的终端存在，而实际上无法互通的情况。

发明内容

本发明的目的在于提出一种基于DHCP侦听实现代理ARP功能的方法和系统，可以实现代理ARP设备检测目标IP的可达性。

为达此目的，本发明采用以下技术方案：

一种基于动态主机配置协议(DHCP)侦听(SNOOPING)实现代理ARP功能的方法，包括以下步骤：

A、接入层交换机开启DHCP侦听功能，汇聚层交换机开启代理ARP功能，在所述接入层交换机上配置所述汇聚层交换机的IP地址；

B、接入层交换机侦听客户端的DHCP请求过程，创建并保存绑定信息，将所述绑定信息上传至汇聚层交换机；

C、汇聚层交换机将所述绑定信息保存在绑定信息表中；

D、客户端发送的ARP请求报文到达汇聚层交换机，当所述ARP请求报文的目的IP地址与所述客户端处于不同的广播域时，汇聚层交换机查询绑定信息表，当绑定信息表中包含所述ARP请求报文的目的IP地址时，汇聚层交换机向所述客户端发出ARP回应报文。

步骤B中，接入层交换机创建并保存绑定信息后，通过将所述绑定信息添加到DHCP侦听绑定报文中，并对所述DHCP侦听绑定报文进行加密和散列处理，根据步骤A中配置的汇聚层交换机的IP地址将绑定信息上传到汇聚层交换机。

步骤C中，汇聚层交换机对收到的经过加密和散列处理的DHCP侦听绑定报文，先进行散列计算，再进行解密，还原出所述DHCP侦听绑定报文。

所述绑定信息表中包含所述汇聚层交换机下连的所有接入层交换机通过DHCP侦听获取的绑定信息。

一种基于DHCP侦听实现代理ARP功能的系统，包括客户端、接入层交换机和汇聚层交换机，

所述客户端，用于发送DHCP请求报文和ARP请求报文；

所述接入层交换机，用于侦听客户端的DHCP请求过程，创建并保存绑定信息，将所述绑定信息上传至汇聚层交换机；

所述汇聚层交换机，用于将所述绑定信息保存在绑定信息表中，当所述绑定信息表中包含客户端发送的ARP请求报文的目的IP地址时，向所述客户端发出ARP回应报文。