[发明专利]实现DHCP地址安全分配的方法和交换机

权利要求书

1.一种实现动态主机配置协议（DHCP）地址安全分配的方法，其特征在于，该方法包括：

交换机将接收到的由DHCP服务器返回的对DHCP客户端的应答报文进行解析，得到所述DHCP服务器标识；

交换机将所述DHCP服务器标识发送给RADIUS服务器，以使得RADIUS服务器根据DHCP服务器标识对所述DHCP服务器进行认证；

交换机接收由所述RADIUS服务器返回的认证结果；

当所述认证结果为认证通过时，交换机将接收该DHCP服务器返回的应答报文的端口作为信任端口，并将该DHCP服务器标识和该信任端口进行对应存储；

交换机接收到由DHCP客户端发送的请求报文时，根据所述请求报文中的DHCP服务器标识选择存储的对应信任端口将请求报文单播给对应的DHCP服务器，由该DHCP服务器将IP地址提供给DHCP客户端。

2.根据权利要求1所述的方法，其特征在于，当所述认证结果为认证不通过时，该方法进一步包括：交换机丢弃所述接收到的应答报文。

3.根据权利要求1所述的方法，其特征在于，当所述交换机接收到由DHCP客户端发送的请求报文中没有DHCP服务器标识时，该方法进一步包括：

交换机通过存储的每一个信任端口将请求报文进行转发。

4.根据权利要求1所述的方法，其特征在于，当所述交换机接收到由DHCP客户端发送的请求报文中没有DHCP服务器标识时，该方法进一步包括：

交换机重复执行所述对接收到的DHCP服务器返回的应答报文进行解析、将解析出的DHCP服务器标识发送给RADIUS服务器、接收由RADIUS服务器返回的认证结果、将DHCP服务器标识和接收该DHCP服务器返回应答报文的信任端口进行对应存储的步骤后，根据所述DHCP服务器标识选择存储的对应信任端口将请求报文单播给对应的DHCP服务器，由该DHCP服务器将IP地址提供给DHCP客户端。

5.根据权利要求1所述的方法，其特征在于，所述交换机将DHCP服务器标识和信任端口进行对应存储后，该方法还包括：

交换机通过NQA检测出所述认证通过的DHCP服务器不存在时，删除存储的所述DHCP服务器标识和信任端口；

或，交换机检测出与存储了HDCP服务器标识的DHCP服务器相连端口down时，删除存储的所述DHCP服务器标识和端口；

或，交换机设置所述存储的信任端口的时间，当超过该设定时间时，交换机删除存储的所述DHCP服务器标识和信任端口。

6.根据权利要求1-5中任一项所述的方法，其特征在于，所述DHCP服务器标识为DHCP IP地址或DHCP ID。

7.一种实现动态主机配置协议（DHCP）地址安全分配的交换机，其特征在于，该交换机包括：解析单元、发送单元、接收单元、存储单元和端口选择单元，其中，

所述解析单元，用于将接收到的由DHCP服务器返回的对DHCP客户端的应答报文进行解析，得到所述DHCP服务器标识；

所述发送单元，用于将所述解析单元解析得到的DHCP服务器标识发送给RADIUS服务器，以使得RADIUS服务器根据DHCP服务器标识对所述DHCP服务器进行认证；

所述接收单元，用于当发送单元将DHCP服务器标识发送给RADIUS服务器认证后，接收由所述RADIUS服务器返回的认证结果；

所述存储单元，用于当所述接收单元接收到的认证结果为认证通过时，将该DHCP服务器返回的应答报文的端口作为信任端口，并将所述解析单元解析得到的DHCP服务器标识和该信任端口进行对应存储；

所述端口选择单元，用于当接收到由DHCP客户端发送的请求报文时，根据所述请求报文中的DHCP服务器标识选择所述存储单元存储的对应信任端口将请求报文单播给对应的DHCP服务器，由该DHCP服务器将IP地址提供给DHCP客户端。

8.根据权利要求7所述的交换机，其特征在于，该设备还包括：丢弃单元，用于当所述接收单元接收到的认证结果为认证不通过时，丢弃所述接收到的应答报文。