[发明专利]扁平化网络中防止DHCP攻击的方法、装置及系统

说明书

本发明公开了扁平化网络中防止DHCP攻击的方法、装置及系统，包括：在DHCP snooping中设置接口ID，Supervlan ID以及对应的用户限制值；DHCP snooping接收客户端发送的discover报文，并判断客户端是否在线；若不在线，则根据discover报文中的接口ID及Supervlan ID确定对应的用户限制值；判断当前在线用户数量是否超过用户限制值；若超过，则不转发discover报文；若未超过，则将当前在线用户数量加1，并转发discover报文；能够防止DHCP攻击引起地址耗尽，提升网络安全性，提高整体方案的可用性和用户体验。

技术领域

本发明涉及通信技术领域，特别涉及一种扁平化网络中防止DHCP攻击的方法、装置及系统。

背景技术

VLAN是虚拟局域网(Virtual Local Area Network)的简称，它是在一个物理网络上划分出来的逻辑网络，效果和普通局域网一样。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。所以，如果一个端口所连接的主机想要和其它不在同一个VLAN的主机通讯，则必须通过一个三层设备。

Supervlan，即超级vlan，也叫vlan聚合，在RFC(Request For Comments，请求评论文档)3069中定义，其原理是将一个网段的IP分给不同的子VLAN(Sub VLAN)，这些Sub VLAN同属于一个Super VLAN。而每一个Sub VLAN都是独立的广播域，不同Sub VLAN之间二层相互隔离。当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN的虚接口的IP地址作为网关地址，这样多个VLAN共享一个IP地址，从而节省了IP地址资源。

同时，为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通，需要利用ARP代理功能。通过ARP代理可以进行ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

动态主机配置协议(DHCP，Dynamic Host Configuration Protocol)，在RFC2131中定义。它分为两个部分：一个是服务器端，即Server，而另一个是客户端，即Client。Server通过响应Client的请求，给Client分配网络参数，比如IP地址，子网掩码，网关等参数信息。通过DHCP协议，可以实现客户端网络参数的动态分配上网，大大减轻了网络管理员的负担。并通过DHCP Snooping对Client和服务器之间的DHCP交互报文进行窥探，实现对用户IP地址使用情况的监控，同时DHCP Snooping起到一个DHCP报文过滤的功能，通过合理的配置实现对非法的DHCP服务的过滤。

通过Supervlan，vlan隔离，DHCP server和DHCP Snooping，可以组建一种扁平化网络，但是这种网络存在用户进行DHCP攻击从而耗尽地址池的情况；例如，当前校园网中多数采用扁平化网络拓仆，并对Supervlan配置一个大地址池，此时用户进行DHCP攻击，必然出现设备Supervlan下的所有可用地址被耗尽，导致在Supervlan下的其余子vlan中的用户无地址可用的情况出现。

发明内容

本发明的目的是提供一种扁平化网络中防止DHCP攻击的方法、装置及系统，能够防止DHCP攻击引起地址耗尽，提升网络安全性，提高整体方案的可用性和用户体验。

为解决上述技术问题，本发明提供一种扁平化网络中防止DHCP攻击的方法，应用于通过Supervlan构建的扁平化网络，包括：

在DHCP snooping中设置接口ID，Supervlan ID以及与所述接口ID及SupervlanID对应的用户限制值；

所述DHCP snooping接收客户端发送的discover报文，并判断所述客户端是否在线；