[发明专利]一种基于DHCPv6 SNOOPING的安全接入方法

说明书

技术领域

本发明涉及计算机网络的接入安全技术，尤其涉及一种基于DHCPv6 SNOOPING的安全接入方法。

背景技术

动态主机设置协议版本6(Dynamic Host Configuration Protocol Version 6，DHCPv6)是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IPv6地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。

DHCPv6 SNOOPING功能指交换机监测DHCPv6 CLIENT通过DHCPv6协议获取IP的过程。它通过设置可信端口和非可信端口，来防止DHCPv6攻击及私设DHCPv6 SERVER。从可信端口接收的DHCPv6报文无需校验即可转发。典型的设置是将可信端口连接DHCPv6 SERVER或者DHCPv6 RELAY代理。非可信端口连接DHCPv6 CLIENT，交换机将转发从非可信端口接收的DHCPv6请求报文，不转发从非可信端口接收的DHCPv6回应报文。如果从非可信端口接收DHCPv6回应报文，除了发出告警信息外，并可根据设置对该端口执行相应的动作，比如SHUTDOWN，下发BLACKHOLE。如果启用了DHCPv6 SNOOPING绑定功能，则交换机将会保存非可信端口下的DHCPv6 CLIENT的绑定信息，每一条绑定信息包含该DHCPv6 CLIENT的MAC地址、IP地址、租期、VLAN号和端口号，这些绑定信息存放于DHCPv6 SNOOPING的绑定表中。

DHCPv6 OPTION 38是DHCPv6中继代理的subscriber-id选项，它是DHCPv6报文中的一个选项，其编号为38。Rfc4580定义了option 38，但并没有指明option 38中具体的内容(在本文实现中subscriber-id默认是指接收到DHCPv6请求报文的接入交换机VLAN名加接入二层端口名称，如VLAN2+Ethernet0/0/10，也可以由用户指定自己的subscriber-id)。

DHCP OPTION 38是为了增强DHCP服务器的安全性，改善IP地址配置策略而提出的一种机制。通过在网络接入设备上配置DHCPv6中继代理功能，中继代理把从客户端接收到的DHCP请求报文添加进OPTION 38选项(其中包含了客户端的接入物理端口和接入设备标识等信息)，然后再把该报文转发给DHCPv6服务器，支持OPTION 38功能的DHCPv6服务器接收到报文后，根据预先配置策略和报文中OPTION 38信息分配IP地址和其它配置信息给客户端，同时DHCPv6服务器也可以依据OPTION 38中的信息识别可能的DHCPv6攻击报文并作出防范。

DHCP OPTION 38是在DHCPv6中继代理(DHCPv6 RELAY)中利用的，如果在接入环境中不配置DHCPv6 RELAY，则无法利用DHCPv6 OPTION 38的功能，来规划和管理接入端用户IP的分配。

如果不对每个交换机端口的DHCPv6绑定数目进行限制，则会有恶意用户伪造大量DHCPv6请求，从而耗尽交换机的资源以及DHCPv6 SERVER的地址空间。

由于一般接入交换机本身没有大空间的非易失存储介质(如flash)，交换机一旦出现异常重启后，或者关机重启后，存放在交换机内存中的DHCPv6 SNOOPING绑定表将会消失，而由于用户可能通过其他网络设备(比如集线器HUB等)接入交换机的，用户感知不到交换机重启了，用户的DHCPv6 CLIENT不会去重新申请地址，或者续租，在这种情况下，由于没有用户绑定信息，这会造成用户无法接入网络，这将造成用户造成极大的不便。

发明内容

本发明的目的在于提供一种基于DHCPv6 SNOOPING的安全接入方法，有效的解决了通过DHCPv6分配地址带来的安全和可靠性，能够有效的控制和管理通过DHCPv6方式接入网络的安全性问题。

为达到上述的目的，本发明采用技术方案如下：

一种基于DHCPv6 SNOOPING的安全接入方法，包括以下步骤：

步骤1、为交换机收到的用户DHCPv6请求报文添加定义或缺省设置的OPTION 38；

步骤2、设置交换机端口的DHCPv6绑定数目上限以及可信端口；

步骤3、为用户创建一个临时的REQUEST绑定，并将DHCPv6请求报文转发至可信端口；