專利名稱:基于dhcp snooping的三層交換裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)數(shù)據(jù)通信領(lǐng)域����,尤其涉及一種基于DHCP SNOOPING的三層交換裝置及方法
背景技術(shù):
隨著數(shù)據(jù)通信中交換技術(shù)的不斷提高�,具有三層交換功能的設(shè)備已經(jīng)廣泛應(yīng)用,三層交換設(shè)備能夠跨虛擬局域網(wǎng)線速轉(zhuǎn)發(fā)IP報文�,這是二層交換設(shè)備不具有的優(yōu)勢。三層交換機(jī)在普通交換機(jī)上增加三層路由功能���,通過交換機(jī)和路由器的有機(jī)結(jié)合實現(xiàn)�����。三層交換機(jī)對首次接收到的數(shù)據(jù)流軟件路由后���,產(chǎn)生MAC地址與IP地址的映射表�,并進(jìn)行硬件緩存��,當(dāng)具有相同地址信息的數(shù)據(jù)流再次通過時����,就可以根據(jù)此表直接進(jìn)行快速轉(zhuǎn)發(fā),即“一次路由�,多次交換”,有效提高了數(shù)據(jù)包的轉(zhuǎn)發(fā)效率���。 現(xiàn)有技術(shù)公開號為CN 101594358A的發(fā)明專利公開了一種“三層交換方法���、裝置、系統(tǒng)和宿主機(jī)”�,該方法包括接收源虛擬機(jī)發(fā)送的網(wǎng)絡(luò)報文;根據(jù)預(yù)先獲取的三層交換信息對所述網(wǎng)絡(luò)報文進(jìn)行三層交換處理��,生成經(jīng)過三層交換處理的網(wǎng)絡(luò)報文��、目的虛擬機(jī)所在的虛擬鏈路以及目的虛擬機(jī)的三層目的地址�;根據(jù)所述目的虛擬機(jī)的三層目的地址將所述經(jīng)過三層交換處理的網(wǎng)絡(luò)報文通過目的虛擬機(jī)所在的虛擬鏈路發(fā)送給目的虛擬機(jī)。現(xiàn)有的三層交換功能的實現(xiàn)技術(shù)方案��,三層交換信息即三層表項,三層表項包括主機(jī)路由表項和網(wǎng)段路由表項���,主機(jī)路由表項指的是如綴32位的路由表項(如I. I. I. I下一跳)��,網(wǎng)段路由表項指的是前綴長度小于32位的路由表項(I. 0. 0. 0/8下一跳)���。三層表項一般通過ARP(ADDRESS Resolution Protocol)表項生成并下發(fā)到交換芯片。由于ARP協(xié)議簡單����,極易受到攻擊�,也容易產(chǎn)生欺騙,由ARP生成主機(jī)路由表項也變得不穩(wěn)定�,這樣會造成網(wǎng)絡(luò)流量的不正常轉(zhuǎn)發(fā),給用戶帶來極大的不便��。DHCP(動態(tài)地址解析協(xié)議)是一種自動為用戶分配IP地址以及其他選項(如網(wǎng)關(guān)���、DNS)的協(xié)議�,廣泛應(yīng)用于局域網(wǎng)中�,DHCP簡化了網(wǎng)絡(luò)的部署、也易于網(wǎng)絡(luò)的維護(hù)�����。DHCPSNOOPING是一種監(jiān)聽DHCP請求過程的私有協(xié)議,它在交換裝置中使用���,將每一個成功獲取IP的用戶生成一個DHCP綁定信息��。DHCP SNOOPING可以開啟多項防護(hù)機(jī)制來避免DHCP欺騙和攻擊�,如通過設(shè)置可信端口防止網(wǎng)絡(luò)中私自搭建DHCP服務(wù)器���,通過設(shè)置端口綁定數(shù)量來防止大量請求DHCP����。通過DHCP SNOOPING創(chuàng)建了一個安全穩(wěn)定的DHCP環(huán)境���。為了保證三層表項的穩(wěn)定和安全���,本發(fā)明提出一種基于DHCP SNOOPING的三層交換裝置及方法。
發(fā)明內(nèi)容
為克服現(xiàn)有技術(shù)中存在的缺陷和不足����,本發(fā)明提出一種基于DHCP SNOOPING的三層交換裝置及方法,DHCP SNOOPING監(jiān)聽用戶的DHCP請求過程,并將DHCP SNOOPING綁定信息轉(zhuǎn)化為硬件三層轉(zhuǎn)發(fā)信息�����,實現(xiàn)跨虛擬局域網(wǎng)的網(wǎng)絡(luò)報文轉(zhuǎn)發(fā)�����。采用本發(fā)明的技術(shù)方案增加了 DHCP環(huán)境中交換機(jī)三層表項的學(xué)習(xí)途徑����,并有效的保證了表項的穩(wěn)定和安全。
本發(fā)明公開一種基于DHCP SNOOPING的三層交換裝置���,該裝置與多個虛擬局域網(wǎng)連接���,包括使能模塊�����,對配置的DHCP SNOOPING使能�;重定向模塊,將源用戶終端發(fā)送的網(wǎng)絡(luò)報文請求重定向到中央處理模塊�����;中央處理模塊,判斷接收到的網(wǎng)絡(luò)報文的合法性并進(jìn)行處理���,創(chuàng)建DHCP SNOOPING的綁定信息表��;存儲模塊����,存儲DHCP SNOOPING的綁定信息表�;三層交換模塊,接收源用戶終端發(fā)送的網(wǎng)絡(luò)報文�����,根據(jù)DHCP SNOOPING的綁定信息表�,將該報文發(fā)送到三層引擎處理,根據(jù)目的用戶終端的地址轉(zhuǎn)發(fā)經(jīng)過三層引擎處理后的網(wǎng)絡(luò)報文至目的用戶終端��。進(jìn)一步地���,所述DHCP SNOOPING的綁定信息包括用戶的IP地址��、MAC地址����、接入端口、接入虛擬局域網(wǎng)和租期����。進(jìn)一步地,所述三層交換模塊包括三層交換芯片�;所述三層交換芯片包括設(shè)置模塊,設(shè)置DHCP綁定數(shù)目上限及可信端口 �;三層引擎處理模塊,根據(jù)DHCP SNOOPING的綁定信息查找下一跳信息��,下發(fā)三層引擎處理后的路由表項���。進(jìn)一步地�����,所述下一跳信息包括下一跳的目的MAC地址�、出端口���、出虛擬局域網(wǎng)。進(jìn)一步地��,所述三層弓I擎包括主機(jī)路由表項和網(wǎng)絡(luò)路由表項。本發(fā)明還公開一種基于DHCP SNOOPING的三層交換方法���,包括如下步驟SI :使能模塊對配置的DHCP SNOOPING使能����,重定向模塊將DHCP網(wǎng)絡(luò)報文重定向到中央處理模塊�;S2 DHCP SNOOPING監(jiān)聽用戶的DHCP請求并進(jìn)行綁定數(shù)目限制判定,創(chuàng)建REQUEST綁定信息��;S3 :收到DHCP ACK,查詢REQUEST綁定信息����,創(chuàng)建DHCP SNOOPING的綁定信息表并存儲;S4 :三層交換模塊接收源用戶終端發(fā)送的網(wǎng)絡(luò)報文���,根據(jù)DHCP SNOOPING的綁定信息表��,將該報文發(fā)送到三層引擎處理�����,根據(jù)目的用戶終端的地址轉(zhuǎn)發(fā)經(jīng)過三層引擎處理后的網(wǎng)絡(luò)報文至目的用戶終端����。進(jìn)一步地,所述步驟S2中創(chuàng)建REQUEST綁定信息的過程為三層交換模塊收到DHCP請求后�,將DHCP請求報文中的MAC地址、接收報文的端口和虛擬局域網(wǎng)信息�����,保存到該用戶的REQUEST綁定信息中����。進(jìn)一步地,所述步驟S3中創(chuàng)建DHCP SNOOPING的綁定信息過程為三層交換模塊收到DHCP ACK后�,查詢REQUEST綁定信息,如存在相同用戶MAC��,從DHCP ACK中取出IP地址和租期����,加上REQUEST綁定中MAC地址、接入端口和虛擬局域網(wǎng)�����,創(chuàng)建DHCP用戶的綁定信息并保存����,同時刪除REQUEST綁定。進(jìn)一步地�����,所述步驟S4中三層引擎處理過程為根據(jù)DHCP SNOOPING的綁定信息表��,下發(fā)主機(jī)路由表項����,以DHCP綁定中的IP地址作為目的主機(jī),綁定信息的MAC地址���,接入端口和接入虛擬局域網(wǎng)��,分別對應(yīng)主機(jī)路由表項下一跳的目的MAC地址(DMAC)����、出端口��、出虛擬局域網(wǎng)���。�����、
進(jìn)一步地��,當(dāng)接收到源用戶終端的IP網(wǎng)絡(luò)報文時�,根據(jù)網(wǎng)絡(luò)報文的目的地址查找DHCP SNOOPING的綁定信息表,下發(fā)三層引擎處理后的路由表項��,以綁定信息中的IP地址為目的主機(jī)�����,根據(jù)下一跳信息封裝報文的二層信息���,轉(zhuǎn)發(fā)跨虛擬局域網(wǎng)的IP網(wǎng)絡(luò)報文�����。本發(fā)明公開一種基于DHCP SNOOPING的三層交換裝置及方法�,通過DHCP SNOOPING監(jiān)聽用戶的DHCP請求過程�����,創(chuàng)建DHCP SNOOPING綁定信息表��,并將DHCP SNOOPING綁定信息轉(zhuǎn)化為硬件三層轉(zhuǎn)發(fā)信息,實現(xiàn)跨虛擬局域網(wǎng)的網(wǎng)絡(luò)報文轉(zhuǎn)發(fā)�����。采用本發(fā)明的技術(shù)方案增加了 DHCP環(huán)境中交換機(jī)三層表項的學(xué)習(xí)途徑�����,有效保證了表項的穩(wěn)定和安全��。
圖I為本發(fā)明基于DHCP SNOOPING的三層交換裝置原理框圖���; 圖2為本發(fā)明基于DHCP SNOOPING的三層交換裝置示意圖;圖3為本發(fā)明基于DHCP SNOOPING的三層交換方法流程圖���。
具體實施例方式為詳細(xì)說明本發(fā)明的技術(shù)內(nèi)容��、所實現(xiàn)目的及效果���,以下結(jié)合實施方式并配合附圖予以詳細(xì)說明。本發(fā)明的技術(shù)原理本發(fā)明通過DHCP SNOOPING監(jiān)聽用戶的DHCP請求過程��,創(chuàng)建DHCP SNOOPING綁定信息表���,并將DHCP SNOOPING綁定信息轉(zhuǎn)化為硬件三層轉(zhuǎn)發(fā)信息���,實現(xiàn)跨虛擬局域網(wǎng)的網(wǎng)絡(luò)報文轉(zhuǎn)發(fā)��。參見圖1�,為本發(fā)明基于DHCP SNOOPING的三層交換裝置原理框圖���,該三層交換裝置包括使能模塊�����、重定向模塊��、中央處理模塊�����、存儲模塊和三層交換模塊�����,三層交換模塊包括設(shè)置模塊和三層引擎處理模塊��,其中�,使能模塊對配置的DHCP SNOOPING使能,源用戶終端發(fā)送DHCP請求給三層交換模塊���,DHCP SNOOPING對源用戶終端的DHCP請求進(jìn)行監(jiān)聽���,由重定向模塊將DHCP請求重定向至中央處理模塊,中央處理模塊判斷接收到的網(wǎng)絡(luò)報文的合法性并進(jìn)行處理���,創(chuàng)建DHCP SNOOPING綁定信息表;設(shè)置模塊對DHCP綁定數(shù)目進(jìn)行判斷并設(shè)置可信端口 �;三層交換模塊根據(jù)DHCP SNOOPING綁定信息,將網(wǎng)絡(luò)報文轉(zhuǎn)發(fā)給三層引擎處理模塊,三層引擎處理模塊下發(fā)主機(jī)路由表項,三層交換模塊根據(jù)主機(jī)路由表項信息�����,跨虛擬局域網(wǎng)轉(zhuǎn)發(fā)網(wǎng)絡(luò)報文�。參見圖2,為本發(fā)明基于DHCP SNOOPING的三層交換裝置示意圖�����。整個裝置的具體工作過程如下源用戶終端dhcp client發(fā)送DHCP請求�����,使能模塊對配置的DHCP SNOOPING使能,三層交換模塊接收到源用戶終端的DHCP請求���,DHCP SNOOPING對源用戶終端的DHCP請求進(jìn)行監(jiān)聽�����,并且重定向模塊將DHCP請求重定向到中央處理模塊����,中央處理模塊對接收到的DHCP請求的合法性進(jìn)行判斷����,將DHCP請求中轉(zhuǎn)到DHCP服務(wù)器。DHCP服務(wù)器根據(jù)收到的DHCP請求進(jìn)行響應(yīng)���,并通過交換機(jī)的三層交換模塊將DHCP響應(yīng)返回給用戶終端�����,用戶終端收到DHCP響應(yīng)后發(fā)送DHCP REQUEST, DHCP服務(wù)器根據(jù)收到的DHCP REQUEST并進(jìn)行響應(yīng)�,分配IP地址及相關(guān)配置信息給用戶終端�����;三層交換模塊收到DHCP ACK后,查詢DHCPREQUEST綁定信息�,如存在相同用戶MAC,從DHCP ACK中取出IP地址和租期���,加上REQUEST綁定中MAC地址��、接入端口和虛擬局域網(wǎng)����,創(chuàng)建DHCP綁定信息并保存�。當(dāng)源用戶終端發(fā)送DHCP報文時,三層交換模塊的設(shè)置模塊對綁定數(shù)目進(jìn)行判斷并設(shè)置可信端口�,根據(jù)DHCPSNOOPING綁定信息�,將DHCP請求轉(zhuǎn)發(fā)給三層引擎處理模塊,三層引擎處理模塊下發(fā)主機(jī)路由表項��,三層交換模塊根據(jù)主機(jī)路由表項信息���,跨虛擬局域網(wǎng)轉(zhuǎn)發(fā)網(wǎng)絡(luò)報文�。其中�����,DHCP SNOOPING的綁定信息是根據(jù)DHCP SNOOPING監(jiān)聽用戶DHCP請求而建立的綁定信息表;監(jiān)聽用戶DHCP請求而建立的綁定信息���,是根據(jù)DHCP請求報文中的MAC地址以及接收報文的端口和VLAN�,保存到該用戶的綁定信息中��,待收到DHCP響應(yīng)后���,再取出其中的IP地址�����,保存到綁定信息中�;DHCP SNOOPING綁定信息包括用戶的IP地址�����、MAC地址�����、接入端口�����、接入虛擬局域網(wǎng)和租期等。三層引擎處理模塊包括主機(jī)路由表項和網(wǎng)絡(luò)路由表項�,主機(jī)路由表項是前綴為32位的主機(jī)IP地址,三層交換模塊通過三層引擎處理后下發(fā)主機(jī)路由表項,根據(jù)主機(jī)路由表項信息實現(xiàn)跨虛擬局域網(wǎng)的網(wǎng)絡(luò)報文轉(zhuǎn)發(fā)。主機(jī)路由表項以DHCP綁定中的IP地址作為目的主機(jī)�����,綁定信息的MAC地址�����,接入端口和接入VLAN(虛擬局域網(wǎng))����,分別對應(yīng)主機(jī)路由表項下一跳的目的MAC地址(DMAC)、出端口��、出vlan (虛擬局域網(wǎng))��。參見圖3���,為本發(fā)明基于DHCP SNOOPING的三層交換方法流程圖。該方法具體步驟 如下SI :使能模塊對配置的DHCP SNOOPING使能�,重定向模塊將DHCP網(wǎng)絡(luò)報文重定向到中央處理模塊。使能模塊對DHCP SNOOPING使能�,用戶終端發(fā)送DHCP請求����,DHCP SNOOPING對DHCP請求進(jìn)行監(jiān)聽���,重定向模塊將DHCP請求報文重定向到中央處理模塊��,中央處理模塊對接收到的DHCP請求的合法性進(jìn)行判斷并進(jìn)行處理�����。其中��,DHCP請求報文包括MAC地址以及接收報文的端口和VLAN�。S2 DHCP SNOOPING監(jiān)聽用戶的DHCP請求并進(jìn)行綁定數(shù)目限制判定��,創(chuàng)建REQUEST綁定信息���,并轉(zhuǎn)發(fā)DHCP請求至可信端口���。用戶終端通過廣播的方式在網(wǎng)絡(luò)中發(fā)送一個DHCP請求,DHCP請求包括源用戶終端IP地址�����,目標(biāo)地址,源用戶終端的MAC地址����,以方便DHCP服務(wù)器確定是哪一臺客戶機(jī)發(fā)出的請求。三層交換模塊收到DHCP請求后����,DHCP SNOOPING監(jiān)聽用戶的DHCP請求,三層交換模塊的設(shè)置模塊對DHCP請求綁定數(shù)目限制進(jìn)行判斷�����,對中央處理模塊判斷為合法的DHCP請求設(shè)置為可信端口�����,中央處理模塊將DHCP請求中轉(zhuǎn)到DHCP服務(wù)器�,當(dāng)DHCP服務(wù)器收到用戶終端請求IP地址的信息,就在自己的地址庫中���,查找是否有合法的IP地址提供給用戶終端。如果有�����,DHCP服務(wù)器就將此IP地址做上標(biāo)記,廣播DHCP響應(yīng)���。此處�����,DHCP響應(yīng)信息包括DHCP用戶終端的的MAC地址�����,用來正確表示用戶終端�����;DHCP SERVER提供的合法的IP地址���、子網(wǎng)掩碼、租約期��、服務(wù)器標(biāo)識符(DHCP SERVER IP ADDRESS)等����。DHCP用戶終端從接收到的第一個DHCP響應(yīng)中選擇IP地址,創(chuàng)建DHCP REQUEST綁定信息,并將DHCP REQUEST廣播到所有的DHCP SERVER�。DHCP REQUEST的信息包括為用戶終端提供IP配置的DHCP SERVER的標(biāo)識符(SERVER IP ADDRESS)。DHCP SERVER檢查服務(wù)器標(biāo)識符字段�,以確定他們是否被選擇為指定的用戶終端提供IP。如果用戶終端接收了 IP地址��,則發(fā)出IP地址的DHCP SERVER將該地址保留����,不再提供給另一個客戶機(jī)。本技術(shù)方案中����,三層交換模塊收到DHCP請求后,將DHCP請求報文中的MAC地址�����、接收報文的端口和虛擬局域網(wǎng)信息�,保存到該用戶的EQUEST綁定信息中。S3 :收到從可信端口返回的DHCP ACK�����,查詢REQUEST綁定信息���,創(chuàng)建DHCPSNOOPING的綁定信息表并存儲���。DHCP SERVER接收到 DHCP REQUEST后,以 DHCP ACK (DHCP acknowledge)消息的形式向用戶終端廣播成功的確認(rèn)�����。三層交換模塊收到DHCP ACK后��,查詢REQUEST綁定信息����,如存在相同用戶MAC,從DHCP ACK中取出IP地址和租期����,加上REQUEST綁定中MAC地址、接入端口和虛擬局域網(wǎng)����,創(chuàng)建DHCP用戶的綁定信息并保存,同時刪除REQUEST綁定��。S4 :三層交換模塊接收源用戶終端發(fā)送的網(wǎng)絡(luò)報文�����,根據(jù)DHCP SNOOPING的綁定信息表,將該報文發(fā)送到三層引擎處理��,根據(jù)目的用戶終端的地址轉(zhuǎn)發(fā)經(jīng)過三層引擎處理后的網(wǎng)絡(luò)報文至目的用戶終端���。三層引擎處理過程為根據(jù)DHCP SNOOPING的綁定信息表�����,下發(fā)主機(jī)路由表項�����,以DHCP綁定中的IP地址作為目的主機(jī)�����,綁定信息的MAC地址���,接入端口和接入虛擬局域網(wǎng),分別對應(yīng)主機(jī)路由表項下一跳的目的MAC地址(DMAC)���、出端口��、出虛擬局域網(wǎng)����。當(dāng)接收到源用戶終端的IP網(wǎng)絡(luò)報文時,根據(jù)網(wǎng)絡(luò)報文的目的地址查找DHCPSNOOPING的綁定信息表��,下發(fā)三層引擎處理后的路由表項��,以綁定信息中的IP地址為目的主機(jī)�����,根據(jù)下一跳信息封裝報文的二層信息���,轉(zhuǎn)發(fā)跨虛擬局域網(wǎng)的IP網(wǎng)絡(luò)報文。本發(fā)明另一實施例實現(xiàn)的詳細(xì)步驟如下I)在裝置中配置DHCP SNOOPING并使能�,DHCP報文重定向至交換裝置CPU ;2) DHCP SNOOPING設(shè)置交換機(jī)端口的DHCP綁定數(shù)目上限��,設(shè)置可信端口 ����;3)交換機(jī)收到的用戶DHCP請求報文,為用戶創(chuàng)建一個臨時的REQUEST綁定��,根據(jù)DHCP請求報文中的MAC地址以及接收報文的端口和VLAN,保存到該用戶的REQUEST綁定信息中�,并將DHCP請求報文轉(zhuǎn)發(fā)至可信端口 ;4)從可信端口收到DHCP ACK后����,查詢臨時的REQUEST綁定,如果存在相同用戶MAC,則創(chuàng)建DHCP用戶的綁定信息����,從ACK中取出IP地址和租期,以及REQUEST綁定中MAC地址�、接入端口和VLAN,均保存到DHCP綁定信息中����,同時刪除臨時的REQUEST綁定;5)根據(jù)DHCP SNOOPING的綁定信息��,下發(fā)主機(jī)路由表項��,以DHCP綁定中的IP地址作為目的主機(jī)�,綁定信息的MAC地址,接入端口和接入VLAN(虛擬局域網(wǎng))����,分別對應(yīng)主機(jī)路由表項下一跳的目的MAC地址(DMAC)���、出端口、出vlan (虛擬局域網(wǎng))�;6)收到一個IP報文,根據(jù)目的地址查找交換芯片三層表,命中三層主機(jī)路由表項,根據(jù)下一跳封裝報文的二層信息并轉(zhuǎn)發(fā)報文����。下面以具體實施例對工作過程進(jìn)行說明站點(diǎn)A和站點(diǎn)B為DHCP用戶終端,通過DHCP SNOOPING使能�,創(chuàng)建DHCP SNOOPING的綁定表����,三層交換模塊根據(jù)DHCP SNOOPING的綁定表,下發(fā)主機(jī)路由表項����,站點(diǎn)A和站點(diǎn)B通過三層交換機(jī)進(jìn)行通信。站點(diǎn)A和站點(diǎn)B所在網(wǎng)段都屬于交換機(jī)上的直連網(wǎng)段���,若站點(diǎn)A和站點(diǎn)B不在同一子網(wǎng)內(nèi)�����,發(fā)送站點(diǎn)A首先要向其“缺省網(wǎng)關(guān)”發(fā)出DHCP請求報文��,而“缺省網(wǎng)關(guān)”的IP地址就是三層交換機(jī)上站點(diǎn)A所屬VLAN的IP地址��。當(dāng)發(fā)送站點(diǎn)A對“缺省網(wǎng)關(guān)”的IP地址廣播出一個DHCP請求時�,重定向模塊將DHCP請求重定向到控制CPU,控制CPU判斷接收到的DHCP請求合法性并進(jìn)行處理����,創(chuàng)建、DHCP SNOOPING的綁定信息表�。DHCP SNOOPING的綁定信息表的過程發(fā)送站點(diǎn)A對“缺省網(wǎng)關(guān)”的IP地址廣播出一個DHCP請求時,DHCP服務(wù)器接收到DHCP請求后向站點(diǎn)A返回一個DHCP響應(yīng)���,告訴站點(diǎn)A交換機(jī)所在VLAN的MAC地址�����,站點(diǎn)A收到DHCP響應(yīng)后發(fā)送DHCPREQUEST,進(jìn)行源MAC地址學(xué)習(xí)�����,目的MAC地址查找�����,同時把站點(diǎn)A的IP地址�����、MAC地址��、與交換機(jī)直接相連的端口號等信息保存到REQUEST綁定信息中���,并將DHCP請求報文轉(zhuǎn)發(fā)至可信端口 �;交換機(jī)收到從可信端口返回的DHCP ACK后���,查詢REQUEST綁定信息�,如存在相同用戶MAC����,從DHCPACK中取出IP地址和租期�,加上REQUEST綁定中MAC地址、接入端口和虛擬局域網(wǎng)���,創(chuàng)建DHCP用戶的綁定信息并保存���,同時刪除REQUEST綁定。當(dāng)源用戶終端發(fā)送DHCP網(wǎng)絡(luò)報文時�,根據(jù)網(wǎng)絡(luò)報文的目的地址查找交換芯片三層表��,下發(fā)三層引擎處理后的路由表項����,以綁定信息中的IP地址為目的主機(jī)�����,根據(jù)下一跳信息封裝報文的二層信息����,轉(zhuǎn)發(fā)跨虛擬局域網(wǎng)的IP網(wǎng)絡(luò)報文。交換芯片的三層表也稱為三層交換表,指硬件的三層轉(zhuǎn)發(fā)表�,交換芯片根據(jù)報文的目的IP查詢?nèi)龑咏粨Q表,實現(xiàn)報文的三層轉(zhuǎn)發(fā)���。三層表包括主機(jī)路由表項和網(wǎng)段路由表項��,本技術(shù)方案中將DHCP SNOOPING綁定信息下發(fā)到三層表中的主機(jī)路由表項中�,通過三層引擎模塊進(jìn)行查詢���。主機(jī)路由表項以IP地址為索引���,里面存放目的IP地址�、下一跳MAC地 址�、端口號等信息。當(dāng)站點(diǎn)A向站點(diǎn)B發(fā)送網(wǎng)路報文時�����,根據(jù)DHCP SNOOPING的綁定信息�,下發(fā)主機(jī)路由表項,以DHCP綁定中的IP地址作為目的主機(jī)�����,綁定信息的MAC地址��,接入端口和接入VLAN(虛擬局域網(wǎng))����,分別對應(yīng)主機(jī)路由表項下一跳的目的MAC地址(DMAC)�、出端口、出vlan (虛擬局域網(wǎng))����。根據(jù)目的地址查找交換芯片三層表,若找到一條匹配表項,就會在對報文進(jìn)行一些操作(例如根據(jù)下一跳封裝報文的二層信息)之后將報文從表中指定的端口轉(zhuǎn)發(fā)出去���。若主機(jī)路由表中沒有找到匹配表項�����,則會查找另一個表——網(wǎng)段路由表��。網(wǎng)段路由表項存放網(wǎng)段地址�、下一跳MAC地址�����、端口號等信息��。在其他網(wǎng)段找到匹配表項�,對報文進(jìn)行一些操作(例如根據(jù)下一跳封裝報文的二層信息),將報文從指定的端口跨虛擬局域網(wǎng)轉(zhuǎn)發(fā)出去��。有益效果�,實施本發(fā)明的一種基于DHCP SNOOPING的三層交換裝置及方法,增加了DHCP環(huán)境中交換機(jī)三層表項的學(xué)習(xí)途徑��,并有效的保證了表項的穩(wěn)定和安全��。
權(quán)利要求
1.一種基于DHCP SNOOPING的三層交換裝置,該裝置與多個虛擬局域網(wǎng)連接�,其特征在于,包括 使能模塊���,對配置的DHCP SNOOPING使能��; 重定向模塊�����,將源用戶終端發(fā)送的網(wǎng)絡(luò)報文請求重定向到中央處理模塊��; 中央處理模塊��,判斷接收到的網(wǎng)絡(luò)報文的合法性并進(jìn)行處理�,創(chuàng)建DHCP SNOOPING的綁定信息表�; 存儲模塊,存儲DHCP SNOOPING的綁定信息表�����; 三層交換模塊���,接收源用戶終端發(fā)送的網(wǎng)絡(luò)報文,根據(jù)DHCP SNOOPING的綁定信息表,將該報文發(fā)送到三層引擎處理���,根據(jù)目的用戶終端的地址轉(zhuǎn)發(fā)經(jīng)過三層引擎處理后的網(wǎng)絡(luò)報文至目的用戶終端����。
2.根據(jù)權(quán)利要求I所述的基于DHCPSNOOPING的三層交換裝置�����,其特征在于�����,所述DHCPSNOOPING的綁定信息包括用戶的IP地址��、MAC地址�����、接入端口��、接入虛擬局域網(wǎng)和租期���。
3.根據(jù)權(quán)利要求I所述的基于DHCPSNOOPING的三層交換裝置�����,其特征在于�����,所述三層交換模塊包括三層交換芯片����;所述三層交換芯片包括 設(shè)置模塊,設(shè)置DHCP綁定數(shù)目上限及可信端口 ���; 三層引擎處理模塊�����,根據(jù)DHCP SNOOPING的綁定信息查找下一跳信息�,下發(fā)三層引擎處理后的路由表項����。
4.根據(jù)權(quán)利要求3所述的基于DHCPSNOOPING的三層交換裝置,其特征在于��,所述下一跳信息包括下一跳的目的MAC地址�����、出端口�����、出虛擬局域網(wǎng)��。
5.根據(jù)權(quán)利要求3所述的基于DHCPSNOOPING的三層交換裝置�,其特征在于,所述三層弓I擎包括主機(jī)路由表項和網(wǎng)絡(luò)路由表項�。
6.一種基于DHCP SNOOPING的三層交換方法,其特征在于���,包括如下步驟 51:使能模塊對配置的DHCP SNOOPING使能�,重定向模塊將DHCP網(wǎng)絡(luò)報文重定向到中央處理模塊��; 52DHCP SNOOPING監(jiān)聽用戶的DHCP請求并進(jìn)行綁定數(shù)目限制判定�����,創(chuàng)建REQUEST綁定信息��; 53:收到DHCP ACK,查詢REQUEST綁定信息����,創(chuàng)建DHCP SNOOPING的綁定信息表并存儲��; 54:三層交換模塊接收源用戶終端發(fā)送的網(wǎng)絡(luò)報文���,根據(jù)DHCP SNOOPING的綁定信息表,將該報文發(fā)送到三層引擎處理����,根據(jù)目的用戶終端的地址轉(zhuǎn)發(fā)經(jīng)過三層引擎處理后的網(wǎng)絡(luò)報文至目的用戶終端。
7.根據(jù)權(quán)利要求6所述的基于DHCPSNOOPING的三層交換方法�����,其特征在于�����,所述步驟S2中創(chuàng)建REQUEST綁定信息的過程為三層交換模塊收到DHCP請求后����,將DHCP請求報文中的MAC地址、接收報文的端口和虛擬局域網(wǎng)信息���,保存到該用戶的REQUEST綁定信息中��。
8.根據(jù)權(quán)利要求7所述的基于DHCPSNOOPING的三層交換方法�,其特征在于,所述步驟S3中創(chuàng)建DHCP SNOOPING的綁定信息過程為三層交換模塊收到DHCP ACK后��,查詢REQUEST綁定信息�,如存在相同用戶MAC����,從DHCP ACK中取出IP地址和租期,加上REQUEST綁定中MAC地址�����、接入端口和虛擬局域網(wǎng)�,創(chuàng)建DHCP用戶的綁定信息并保存,同時刪除REQUEST綁定�����。
9.根據(jù)權(quán)利要求6所述的基于DHCPSNOOPING的三層交換方法����,其特征在于,所述步驟S4中三層引擎處理過程為根據(jù)DHCP SNOOPING的綁定信息表���,下發(fā)主機(jī)路由表項�,以DHCP綁定中的IP地址作為目的主機(jī),綁定信息的MAC地址�����,接入端口和接入虛擬局域網(wǎng)����,分別對應(yīng)主機(jī)路由表項下一跳的目的MAC地址(DMAC)、出端口����、出虛擬局域網(wǎng)。
10.根據(jù)權(quán)利要求6至9之一所述的基于DHCPSNOOPING的三層交換方法�,其特征在于,當(dāng)接收到源用戶終端的IP網(wǎng)絡(luò)報文時�����,根據(jù)網(wǎng)絡(luò)報文的目的地址查找DHCP SNOOPING的綁定信息表����,下發(fā)三層引擎處理后的路由表項,以綁定信息中的IP地址為目的主機(jī),根據(jù)下一跳信息封裝報文的二層信息����,轉(zhuǎn)發(fā)跨虛擬局域網(wǎng)的IP網(wǎng)絡(luò)報文。
全文摘要
本發(fā)明公開了一種基于DHCP SNOOPING的三層交換裝置及方法�����,該裝置與多個虛擬局域網(wǎng)連接�,包括使能模塊,對配置的DHCP SNOOPING使能�����;重定向模塊��,將源用戶終端發(fā)送的網(wǎng)絡(luò)報文請求重定向到中央處理模塊���;中央處理模塊,判斷接收到的網(wǎng)絡(luò)報文的合法性并進(jìn)行處理�����,創(chuàng)建DHCP綁定信息表�����;存儲模塊,存儲DHCP綁定信息表����;三層交換模塊,接收源用戶終端發(fā)送的網(wǎng)絡(luò)報文�����,根據(jù)DHCP綁定信息表�����,將該報文發(fā)送到三層引擎處理�����,根據(jù)目的用戶終端的地址轉(zhuǎn)發(fā)經(jīng)過三層引擎處理后的網(wǎng)絡(luò)報文至目的用戶終端�����。本發(fā)明的技術(shù)方案增加了DHCP環(huán)境中交換機(jī)三層表項的學(xué)習(xí)途徑���,并有效的保證了表項的穩(wěn)定和安全����。
文檔編號H04L12/46GK102638390SQ20121001636
公開日2012年8月15日 申請日期2012年1月18日 優(yōu)先權(quán)日2012年1月18日
發(fā)明者梁小冰 申請人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司