[发明专利]一种TRILL网络中DHCP报文转发方法和路由桥

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种多链接半透明互联(TRILL)网络中动态主机配置协议(DHCP)报文转发方法和路由桥。

背景技术

DHCP用来为网络设备动态地分配IP地址等网络配置参数。DHCP采用客户端和服务器通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分配的IP地址等相应的配置信息，以实现IP地址等信息的动态配置。参见图1，图1为DHCP的典型应用结构示意图。在图1中，包括一台DHCP服务器101和多台DHCP客户端102，如PC机和便携机。

参见图2，图2为现有技术中DHCP客户端从DHCP服务器动态获取IP地址的流程图。其具体步骤为：

步骤201，DHCP客户端以广播方式发送DHCP发现报文。

步骤202，DHCP服务器收到DHCP客户发送的DHCP发现(DHCPDISCOVER)报文时，根据IP地址分配的优先次序选择出一个IP地址。

步骤203，DHCP服务器将选出的IP地址通过DHCP提供报文发送给客户端。

DHCP提供报文的发送方式由DHCP DISCOVER报文中的flag字段决定，一般是单播。

步骤204，DHCP客户端向DHCP服务器发送DHCP请求报文。

如果DHCP客户端收到有多台DHCP服务器发来DHCP提供报文，DHCP客户端只接受第一个收到的DHCP提供报文，然后以广播方式发送DHCP请求(DHCP REQUEST)报文，该报文中包含DHCP服务器在DHCP提供报文中分配的IP地址。

步骤205，DHCP服务器收到DHCP客户端发来的DHCP请求报文后，向DHCP发送应答报文。

本步骤中，只有DHCP客户端选择的服务器会进行如下操作：如果确认将地址分配给该客户端，则返回DHCP确认(DHCP ACK)报文；否则返回DHCP否定(DHCP NAK)报文，表明地址不能分配给该客户端。

DHCP报文侦听(DHCP Snooping)是DHCP的一种安全特性，网络中如果存在私自架设的伪DHCP服务器，则可能导致DHCP客户端获取错误的IP地址和网络配置参数，无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口。其中，信任端口正常转发接收到的DHCP报文。不信任端口接收到DHCP服务器响应的DHCP ACK和DHCP提供(DHCP OFFER)报文后，丢弃该报文。

连接DHCP服务器和其他DHCP Snooping设备的端口需要设置为信任端口，其他端口设置为不信任端口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

由上可见，DHCP的发现和请求报文都是广播发送。在TRILL网络中，广播报文沿着TRILL组播树发送到每个RB设备，在整个VLAN域内广播。参见图3，图3为现有技术中组播树组网结构示意图。

图3中，以RB301为根的组播树，其中RB301、RB302、RB303、RB304、RB305和RB306均使能VLAN200的DHCP snooping，由图中可知VLAN200内存在DHCP Client 311、未知设备312、嗅探者313、伪冒Server 314、合法DHCP Server 315。VLAN200内的DHCP Client 311发出的DHCPDISCOVER、REQUEST广播报文本来只需要转发给合法的DHCP Server312和合法DHCP Server 315，但由于沿着TRILL组播树转发，从而实际会到达未知设备312、嗅探者313、伪冒Server 314和合法DHCP Server 315，这就给嗅探者313和伪冒Server 314将来的攻击提供了机会。

综上所述，如果只针对组播树进行VLAN剪枝，将DHCP的DISCOVER和REQUEST报文沿着组播树转发，则DHCP报文在VLAN内广播，RB及下挂设备都会收到DHCP报文，因而给攻击者提供了机会。

发明内容

有鉴于此，本发明提供一种TRILL网络中DHCP报文的转发方法和路由桥，能够实现DHCP报文转发的私密性，减少网络受攻击的机会。

为解决上述技术问题，本发明的技术方案是这样实现的：