專利名稱：基于dhcp和ip的以太網(wǎng)多層交換機(jī)安全防護(hù)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及數(shù)據(jù)通信中的以太網(wǎng)通信領(lǐng)域的數(shù)據(jù)交換方法，特別涉及基于DHCP和IP的以太網(wǎng)多層交換機(jī)安全防護(hù)。
背景技術(shù)：
為了進(jìn)一步了解數(shù)據(jù)通信領(lǐng)域，首先了解下列常用名詞解釋LAN --Local Area Network，局域網(wǎng)。
VLAN --Virtual LAN，虛擬局域網(wǎng)，邏輯劃分的交換網(wǎng)絡(luò)。
IP --Internet Protocol，網(wǎng)際協(xié)議，運(yùn)行于網(wǎng)絡(luò)層，包含地址和控制信息以實(shí)現(xiàn)對報(bào)文的路由。
ARP --Address Resolution Protocol，地址解析協(xié)議，實(shí)現(xiàn)IP地址到物理地址的映射。
UDP --User Datagram Protocol，用戶數(shù)據(jù)報(bào)協(xié)議，基于IP協(xié)議在傳輸層實(shí)現(xiàn)的一種無連接、不可靠的通信。
DHCP --Dynamic Host Configuration Protocol，動態(tài)主機(jī)配置協(xié)議，實(shí)現(xiàn)了一種動態(tài)指定IP地址和網(wǎng)絡(luò)配置參數(shù)的機(jī)制。
DHCP-Server --DHCP服務(wù)器，支持DHCP協(xié)議的多層交換機(jī)可以作為DHCP服務(wù)器。
DHCP-Client --DHCP客戶端，通常為主機(jī)。
TFTP --Trivial File Transfer Protocol，簡單文件傳輸協(xié)議，基于UDP協(xié)議實(shí)現(xiàn)的文件傳輸功能。
支持多種服務(wù)和功能的高性能多層交換機(jī)MLS(Multiple Layer Switch)越來越多的被用于網(wǎng)絡(luò)的核心位置。如圖1所示為一種較典型的組網(wǎng)方式。
在核心交換機(jī)(以下簡稱MLS)上劃分了多個(gè)VLAN，其中主機(jī)A和B屬于虛擬局域網(wǎng)3(Vlan2)，主機(jī)C和D屬于虛擬局域網(wǎng)4(Vlan3)，連接Internet和文件服務(wù)器的端口也都屬于不同的Vlan。同時(shí)，多層交換機(jī)作為網(wǎng)絡(luò)的DHCP服務(wù)器，響應(yīng)主機(jī)的配置請求。
假設(shè)主機(jī)B剛剛加入網(wǎng)絡(luò)，它首先通過DHCP服務(wù)器及多層交換機(jī)1利用DHCP協(xié)議向網(wǎng)絡(luò)服務(wù)器請求IP地址，其多層交換機(jī)根據(jù)B所在的Vlan動態(tài)分配給它一個(gè)192.168.1.0網(wǎng)段的地址，此后B可以與網(wǎng)絡(luò)中的其它主機(jī)進(jìn)行通信。
由于B和A處在同一Vlan中，因此，它們的通信可以通過接入層交換機(jī)3和4直接完成。如果B希望與C進(jìn)行通信，來自B的報(bào)文必須先到達(dá)多層交換機(jī)MLS進(jìn)行三層轉(zhuǎn)發(fā)(路由)，然后才能到達(dá)C所在的Vlan3。B與Internet以及B與文件服務(wù)器2的通信也是同樣的過程。
當(dāng)上述各主機(jī)期望與Internet通信時(shí)候，由于多層交換機(jī)MLS支持基于硬件的缺省三層硬件表，交換機(jī)在確認(rèn)報(bào)文的目的IP地址與MLS所有端口的IP地址不在同一個(gè)網(wǎng)段的時(shí)候，將通過缺省硬件路由出去。
上述網(wǎng)絡(luò)配置存在著一定的安全問題。第一，網(wǎng)絡(luò)攻擊程序或者病毒通?？梢宰孕性O(shè)置報(bào)文中的IP地址，而用戶同樣可以不經(jīng)過DHCP服務(wù)器而手動修改主機(jī)的網(wǎng)絡(luò)設(shè)置，從而構(gòu)成網(wǎng)絡(luò)中的安全隱患；第二，盡管MLS可以通過硬件來完成跨Vlan的三層報(bào)文轉(zhuǎn)發(fā)，但是如果報(bào)文中的目的IP地址關(guān)聯(lián)的MAC地址是還沒有被學(xué)習(xí)到的，MLS仍然需要消耗一定的軟件資源來對其進(jìn)行處理(比如，MLS可能會通過向某一個(gè)Vlan廣播ARP請求來查詢主機(jī)的物理地址)，在這種情況下，一些IP掃描手段，比如TCP Syn Scan、TCP Connect Scan或者ICMP Scan，在對大范圍的網(wǎng)絡(luò)地址進(jìn)行掃描時(shí)，就可能會占用掉大量的MLS軟件資源，導(dǎo)致網(wǎng)絡(luò)中的正常通信無法完成。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是通過基于DHCP和IP的特殊功能實(shí)現(xiàn)和配置策略而對多層交換機(jī)進(jìn)行安全防護(hù)的方法。
為了實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明提供的基于DHCP和IP的以太網(wǎng)多層交換機(jī)安全防護(hù)方法首先使用基于DHCP響應(yīng)的靜態(tài)ARP設(shè)置，強(qiáng)制每臺主機(jī)通過DHCP協(xié)議從MLS獲取合法的IP地址及其它網(wǎng)絡(luò)配置信息；同時(shí)允許MLS在一個(gè)或多個(gè)Vlan中禁止動態(tài)ARP，也就是說，MLS不會主動向這個(gè)Vlan發(fā)送ARP請求來獲得某一個(gè)IP地址所在的物理地址；當(dāng)該Vlan中的一臺主機(jī)通過請求在MLS上創(chuàng)建一條DHCP租約后，多層交換機(jī)才會將與這臺主機(jī)的物理地址對應(yīng)的ARP條目加入到緩存中，并且也在MLS的三層硬件轉(zhuǎn)發(fā)表中加入與該地址對應(yīng)的條目，此時(shí)，該主機(jī)與MLS所連其它網(wǎng)段的通信才能夠正常進(jìn)行。
DHCP靜態(tài)ARP設(shè)置可以在未形成地址租約的情況下禁止主機(jī)對網(wǎng)絡(luò)的訪問，因而DHCP協(xié)議所維護(hù)的租約數(shù)據(jù)庫也就顯得更為重要。在通常情況下，MLS在運(yùn)行DHCP時(shí)會將租約數(shù)據(jù)庫保存在Flash存儲器中，而安全防護(hù)功能則允許將DHCP租約數(shù)據(jù)庫備份到遠(yuǎn)端的主機(jī)或備份服務(wù)器。備份通過MLS支持的TFTP協(xié)議來完成，這就要求備份服務(wù)器作為TFTP服務(wù)器端來運(yùn)行。對租約數(shù)據(jù)庫的備份可以定時(shí)進(jìn)行，也可以根據(jù)用戶的命令執(zhí)行，或者在每新生成一條租約的情況下自動進(jìn)行備份。
在保證主機(jī)具有合法的IP地址的前提下，防掃描攻擊統(tǒng)計(jì)過濾可以主動的對網(wǎng)絡(luò)中可能的攻擊源進(jìn)行分析和阻擋。對于每一個(gè)需要進(jìn)行三層處理的報(bào)文，MLS都會以“源IP地址+源端口”或者“源MAC地址+源端口+源Vlan”的形式對其進(jìn)行統(tǒng)計(jì)，如果在限定時(shí)間內(nèi)來自某個(gè)源地址的報(bào)文數(shù)目超過限定的值，MLS會在一段時(shí)間內(nèi)主動丟棄來自該地址的報(bào)文，以減輕自身以及整個(gè)網(wǎng)絡(luò)的負(fù)擔(dān)。
未完成ARP表項(xiàng)限制是防掃描攻擊的輔助功能。由于MLS必須在接收到一定數(shù)目的報(bào)文之后才能確定攻擊源，很可能這段時(shí)間內(nèi)大量的軟件資源已經(jīng)被這些報(bào)文占用(最常見的就是形成大量的未完成ARP表項(xiàng))，這種情況下，一定時(shí)間內(nèi)網(wǎng)絡(luò)的正常通信仍然有可能會受到影響。安全防護(hù)功能允許網(wǎng)絡(luò)管理員設(shè)置未完成ARP條目的最大數(shù)目，以及它們被保存在軟件緩存中的時(shí)間，從而進(jìn)一步保護(hù)MLS資源。該功能使得MLS對ARP響應(yīng)速度受到影響，但在我們與DHCP結(jié)合的環(huán)境中，正常情況下，合法主機(jī)都是通過DHCP獲取IP地址，MLS同時(shí)記錄了與該IP地址關(guān)聯(lián)的ARP表項(xiàng)，所以合法主機(jī)之間通信時(shí)候，MLS不需要進(jìn)行ARP解析工作。而對于合法主機(jī)上Internet時(shí)候，將通過MLS的缺省硬件路由，對于MLS來說，下一跳都對應(yīng)到相同的網(wǎng)關(guān)的IP地址。其對應(yīng)MAC地址我們可以通過配置靜態(tài)ARP實(shí)現(xiàn)。MLS也不會解析ARP過程?；谏厦娴姆治?，限制ARP條目并不會影響到合法用戶的通信。
本發(fā)明提供的安全防護(hù)方法，通過安全防護(hù)功能可以使以MLS為核心的網(wǎng)絡(luò)具有以下特性，從而保護(hù)MLS自身以及網(wǎng)絡(luò)的安全每臺主機(jī)都必須通過DHCP請求獲得合法租約之后才能進(jìn)行正常的網(wǎng)絡(luò)通信；MLS能夠?qū)HCP租約數(shù)據(jù)庫備份到遠(yuǎn)端的主機(jī)或備份服務(wù)器；網(wǎng)絡(luò)中的攻擊源或者被病毒控制的主機(jī)在進(jìn)行掃描攻擊時(shí)能夠被檢測并阻擋；網(wǎng)絡(luò)管理員可以對未完成ARP條目的相關(guān)屬性進(jìn)行設(shè)置，以保護(hù)MLS的資源。
另外，基于DHCP和IP的安全防護(hù)功能主要表現(xiàn)在以下四個(gè)方面DHCP地址綁定與交換機(jī)三層硬件表同步MLS在生成DHCP租約之后自動添加ARP條目，在MLS上生成靜態(tài)ARP，該ARP條目永遠(yuǎn)不過期，只有當(dāng)DHCP釋放該IP地址資源的時(shí)候才刪除靜態(tài)ARP。同時(shí)，在DHCP服務(wù)器(Server)提供合法用戶的IP地址的時(shí)候，同時(shí)獲取到了該主機(jī)對應(yīng)MAC地址和該主機(jī)與MLS關(guān)聯(lián)的端口。所以將相關(guān)信息同時(shí)寫入到三層主機(jī)硬件表中，從而可以提高主機(jī)訪問網(wǎng)絡(luò)的效率。最關(guān)鍵的是，這樣使得合法用戶訪問網(wǎng)絡(luò)的速度不會因?yàn)閯討B(tài)ARP表項(xiàng)限制而受到影響。
DHCP地址租約備份TFTP協(xié)議是博達(dá)交換機(jī)支持的一項(xiàng)基本功能，使用該協(xié)議進(jìn)行DHCP地址租約備份，可以在用戶消耗最小的情況下有效增強(qiáng)交換機(jī)的可靠性。
基于MAC地址的攻擊源阻擋基于MAC地址對攻擊源進(jìn)行統(tǒng)計(jì)比基于IP地址的統(tǒng)計(jì)具有更強(qiáng)的效果，可以防止攻擊中常用的源IP地址誘騙等手段。
未完成ARP條目限制對未完成ARP條目的限制是針對ARP協(xié)議的一項(xiàng)創(chuàng)新功能。設(shè)置未完成ARP條目的最大數(shù)目，以及它們被保存在軟件緩存中的時(shí)間，可以有效地防止交換機(jī)的資源由于網(wǎng)絡(luò)攻擊而被大量占用。


圖1是已有的較典型的組網(wǎng)方式的。
圖2是本發(fā)明提供的具有安全防護(hù)功能的網(wǎng)絡(luò)組網(wǎng)方式。
圖3是本發(fā)明提供的組網(wǎng)方式的禁止動態(tài)ARP的示意圖。
圖4是本發(fā)明提供的組網(wǎng)方式的DHCP租約數(shù)據(jù)庫備份示意圖。
具體實(shí)施例方式
如圖2和3所示，與圖1表示的已有技術(shù)相比，多層交換機(jī)(MLS)仍然為網(wǎng)絡(luò)的DHCP服務(wù)器21，同時(shí)在它上面啟動了防掃描攻擊功能，對每個(gè)經(jīng)過三層轉(zhuǎn)發(fā)的報(bào)文進(jìn)行統(tǒng)計(jì)過濾(Filter ip)。多層交換機(jī)(MLS)的虛擬局域網(wǎng)24(Vlan2)和虛擬局域網(wǎng)25(Vlan3)兩個(gè)端口下面連接著主機(jī)A、B、C、D，因此在這兩個(gè)虛擬局域網(wǎng)上禁止動態(tài)ARP，強(qiáng)制主機(jī)和進(jìn)行DHCP配置。原來的文件服務(wù)器2現(xiàn)在兼作TFTP服務(wù)器使用，為圖2中的File/TFTP服務(wù)器22，從而可以允許MLS對DHCP租約數(shù)據(jù)庫進(jìn)行備份。3為因特網(wǎng)(INTERNET)。
當(dāng)主機(jī)B剛剛連接到網(wǎng)絡(luò)時(shí)，它必須向DHCP服務(wù)器21發(fā)出配置請求，從而使MLS可以獲取其IP地址到MAC地址的映射。否則，所有從其它虛擬局域網(wǎng)發(fā)送到B的報(bào)文都會在MLS處被丟棄，主機(jī)B就不能正常的訪問虛擬局域網(wǎng)25(Vlan3)中的主機(jī)、文件服務(wù)器以及Internet。
假設(shè)有攻擊者或者病毒希望通過主機(jī)B對192.168.0.0網(wǎng)段進(jìn)行地址掃描，所有非192.168.1.0網(wǎng)段的報(bào)文都是需要經(jīng)過MLS轉(zhuǎn)發(fā)的，在掃描進(jìn)行一段時(shí)間之后，報(bào)文數(shù)目超過了防攻擊統(tǒng)計(jì)的門限，多層交換機(jī)MLS就可以確認(rèn)主機(jī)B的IP地址192.168.1.3(或者M(jìn)AC地址)為攻擊源，進(jìn)而在連接虛擬局域網(wǎng)24(Vlan2)的端口處對其進(jìn)行阻擋。
基于源MAC地址的防掃描攻擊功能可以在全局配置態(tài)或端口配置態(tài)下啟用。在通常情況下，由于從文件服務(wù)器發(fā)往主機(jī)的報(bào)文都可以由多層交換機(jī)MLS的硬件完成轉(zhuǎn)發(fā)，因而此項(xiàng)功更適用于MLS連接主機(jī)的端口。
再參見圖3，基于DHCP響應(yīng)的靜態(tài)ARP設(shè)置、基于源IP地址的防掃描攻擊，未完成ARP條目的限制等功能和三層主機(jī)硬件表同步可以在多層交換機(jī)(MLS)31全局配置態(tài)下面進(jìn)行設(shè)置。
DHCP靜態(tài)ARP設(shè)置可以在未形成地址租約的情況下禁止主機(jī)對網(wǎng)絡(luò)的訪問，因而DHCP協(xié)議所維護(hù)的租約數(shù)據(jù)庫也就顯得更為重要。在通常情況下，MLS在運(yùn)行DHCP時(shí)會將租約數(shù)據(jù)庫保存在Flash存儲器中，而安全防護(hù)功能則允許將DHCP租約數(shù)據(jù)庫備份到遠(yuǎn)端的主機(jī)或備份服務(wù)器。備份通過MLS支持的TFTP協(xié)議來完成，這就要求備份服務(wù)器作為TFTP服務(wù)器端來運(yùn)行。對租約數(shù)據(jù)庫的備份可以定時(shí)進(jìn)行，也可以根據(jù)用戶的命令執(zhí)行，或者在每新生成一條租約的情況下自動進(jìn)行備份。
如圖4所示，DHCP服務(wù)器41的DHCP租約數(shù)據(jù)庫備份功能也可以與任何一臺運(yùn)行TFTP服務(wù)器46端程序的主機(jī)或服務(wù)器結(jié)合完成。DHCP靜態(tài)ARP設(shè)置可以在未形成地址租約的情況下禁止主機(jī)對網(wǎng)絡(luò)的訪問，因而DHCP協(xié)議所維護(hù)的租約數(shù)據(jù)庫也就顯得更為重要。在通常情況下，MLS在運(yùn)行DHCP時(shí)會將租約數(shù)據(jù)庫保存在Flash存儲器中，而安全防護(hù)功能則允許將DHCP租約數(shù)據(jù)庫備份到遠(yuǎn)端的主機(jī)或備份服務(wù)器。備份通過MLS支持的TFTP協(xié)議來完成，這就要求備份服務(wù)器作為TFTP服務(wù)器端46來運(yùn)行。對租約數(shù)據(jù)庫的備份可以定時(shí)進(jìn)行，也可以根據(jù)用戶的命令執(zhí)行，或者在每新生成一條租約的情況下自動進(jìn)行備份。
當(dāng)然，對于本領(lǐng)域的一般技術(shù)人員，不花費(fèi)創(chuàng)造性的勞動，在上述實(shí)施例的基礎(chǔ)上能夠作多種變化，同樣能夠?qū)崿F(xiàn)本實(shí)用新型的目的。但是，這種變化顯然應(yīng)該在本實(shí)用新型的權(quán)利要求書的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種基于DHCP和IP的以太網(wǎng)多層交換機(jī)安全防護(hù)方法，其特征在于，首先使用基于DHCP響應(yīng)的靜態(tài)ARP設(shè)置，強(qiáng)制每臺主機(jī)通過DHCP協(xié)議從MLS獲取合法的IP地址及其它網(wǎng)絡(luò)配置信息；同時(shí)允許MLS在一個(gè)或多個(gè)Vlan中禁止動態(tài)ARP，也就是說，MLS不會主動向這個(gè)Vlan發(fā)送ARP請求來獲得某一個(gè)IP地址所在的物理地址；當(dāng)該Vlan中的一臺主機(jī)通過請求在MLS上創(chuàng)建一條DHCP租約后，多層交換機(jī)才會將與這臺主機(jī)的物理地址對應(yīng)的ARP條目加入到緩存中，并且也在MLS的三層硬件轉(zhuǎn)發(fā)表中加入與該地址對應(yīng)的條目，此時(shí)，該主機(jī)與MLS所連其它網(wǎng)段的通信才能夠正常進(jìn)行。
2.如權(quán)利要求1所述的基于DHCP和IP的以太網(wǎng)多層交換機(jī)安全防護(hù)方法，其特征在于，它還通過DHCP靜態(tài)ARP設(shè)置可以在未形成地址租約的情況下禁止主機(jī)對網(wǎng)絡(luò)的訪問，因而DHCP協(xié)議所維護(hù)的租約數(shù)據(jù)庫也就顯得更為重要。在通常情況下，MLS在運(yùn)行DHCP時(shí)會將租約數(shù)據(jù)庫保存在Flash存儲器中，而安全防護(hù)功能則允許將DHCP租約數(shù)據(jù)庫備份到遠(yuǎn)端的主機(jī)或備份服務(wù)器。備份通過MLS支持的TFTP協(xié)議來完成，這就要求備份服務(wù)器作為TFTP服務(wù)器端來運(yùn)行。對租約數(shù)據(jù)庫的備份可以定時(shí)進(jìn)行，也可以根據(jù)用戶的命令執(zhí)行，或者在每新生成一條租約的情況下自動進(jìn)行備份。
3.如權(quán)利要求1所述的基于DHCP和IP的以太網(wǎng)多層交換機(jī)安全防護(hù)方法，其特征在于，在保證主機(jī)具有合法的IP地址的前提下，防掃描攻擊統(tǒng)計(jì)過濾可以主動的對網(wǎng)絡(luò)中可能的攻擊源進(jìn)行分析和阻擋。對于每一個(gè)需要進(jìn)行三層處理的報(bào)文，MLS都會以“源IP地址+源端口”或者“源MAC地址+源端口+源Vlan”的形式對其進(jìn)行統(tǒng)計(jì)，如果在限定時(shí)間內(nèi)來自某個(gè)源地址的報(bào)文數(shù)目超過限定的值，MLS會在一段時(shí)間內(nèi)主動丟棄來自該地址的報(bào)文，以減輕自身以及整個(gè)網(wǎng)絡(luò)的負(fù)擔(dān)。
4.如權(quán)利要求1或2或3任一所述的基于DHCP和IP的以太網(wǎng)多層交換機(jī)安全防護(hù)方法，其特征在于，安全防護(hù)功能允許網(wǎng)絡(luò)管理員設(shè)置未完成ARP條目的最大數(shù)目，以及它們被保存在軟件緩存中的時(shí)間，從而進(jìn)一步保護(hù)MLS資源。
全文摘要
本發(fā)明提供一種基于DHCP和IP的以太網(wǎng)多層交換機(jī)安全防護(hù)方法首先使用基于DHCP響應(yīng)的靜態(tài)ARP設(shè)置，強(qiáng)制每臺主機(jī)通過DHCP協(xié)議從MLS獲取合法的IP地址及其它網(wǎng)絡(luò)配置信息；同時(shí)允許MLS在一個(gè)或多個(gè)Vlan中禁止動態(tài)ARP，也就是說，MLS不會主動向這個(gè)Vlan發(fā)送ARP請求來獲得某一個(gè)IP地址所在的物理地址；當(dāng)該Vlan中的一臺主機(jī)通過請求在MLS上創(chuàng)建一條DHCP租約后，多層交換機(jī)才會將與這臺主機(jī)的物理地址對應(yīng)的ARP條目加入到緩存中，并且也在MLS的三層硬件轉(zhuǎn)發(fā)表中加入與該地址對應(yīng)的條目，此時(shí)，該主機(jī)與MLS所連其它網(wǎng)段的通信才能夠正常進(jìn)行。本發(fā)明提供的安全防護(hù)方法可以實(shí)現(xiàn)DHCP地址綁定與交換機(jī)三層硬件表同步、DHCP地址租約備份、基于MAC地址的攻擊源阻擋、未完成ARP條目限制。
文檔編號H04L12/56GK101035012SQ20061002453
公開日2007年9月12日 申請日期2006年3月9日 優(yōu)先權(quán)日2006年3月9日
發(fā)明者汪革, 茍利平 申請人:上海博達(dá)數(shù)據(jù)通信有限公司