[发明专利]实现DHCP地址安全分配的方法和交换机

说明书

技术领域

本申请涉及网络通信技术领域，特别涉及一种实现动态主机配置协议（DHCP）地址安全分配的方法和交换机。

背景技术

DHCP采用客户端/服务器通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分配的IP地址等相应的配置信息，以实现IP地址等信息的动态配置。

图1给出了现有DHCP的典型应用组网示意图，如图1所示，该组网中包含一台DHCP服务器和多台DHCP客户端（如PC和便携机等），其中，DHCP客户端获取IP地址的过程可参见图2的四个阶段。如图2所示，这四个阶段包括：

（1）发现阶段，即DHCP客户端寻找DHCP服务器的阶段。DHCP客户端以广播方式发送DHCP-DISCOVER报文。

（2）提供阶段，即DHCP服务器提供IP地址的阶段。DHCP服务器接收到DHCP客户端的DHCP-DISCOVER报文后，根据IP地址分配的优先次序选出一个IP地址，与其他参数一起通过DHCP-OFFER报文发送给DHCP客户端。

（3）选择阶段，即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该DHCP客户端发来DHCP-OFFER报文，DHCP客户端只接受第一个收到的DHCP-OFFER报文，然后以广播方式发送DHCP-REQUEST报文，该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。

（4）确认阶段，即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后，只有DHCP客户端选择的服务器会进行如下操作：如果确认将地址分配给该DHCP客户端，则返回DHCP-ACK报文；否则返回DHCP-NAK报文，表明地址不能分配给DHCP该客户端。

通过上述四个阶段，DHCP客户端即可从DHCP服务器中获取到IP地址。然而，如果组网中存在私自架设的伪DHCP服务器，则可能导致DHCP客户端获取错误的IP地址和网络配置参数，无法正常通信。

为了使DHCP客户端能够通过合法的DHCP服务器获取IP地址，目前通常是通过交换机使能DHCP Snooping来解决这个问题的，其组网示意图可参见图3。如图3所示，DHCP客户端和DHCP服务器通过中间交换机（即这里的交换机）来进行通信，且交换机上连接DHCP服务器的端口被配置为信任端口，其它端口被配置为不信任端口，当交换机上的信任端口接收到DHCP报文时，对接收到的报文正常转发；当交换机上的不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。由此，通过交换机功能也就保证了DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

然而，在多个交换机设备级联的组网（如图4所示的组网）中，一方面，为了保证DHCP服务器的合法性，需要在该组网中的每个交换机设备上分别配置信任端口和不信任端口，由于组网中存在大量交换机，也就使得配置工作量大大增加；另一方面，当某个交换机收到DHCP请求报文时，会遍历该交换机设备上的所有信任端口，从信任端口转发报文，当某个交换机设备的信任端口比较多时，会存在一些不应该收到DHCP请求报文的其他设备收到该DHCP请求报文，从而增大了广播报文的泛洪；最后，当组网中DHCP服务器迁移时，交换机是无法感知DHCP服务器的迁移的，为了保证DHCP服务器的合法性，需要在每个交换机上进行更改信任端口不不信任端口的配置，从而大大增加了配置的工作量。

发明内容

有鉴于此，本发明提供了一种实现DHCP地址安全分配的方法，不仅能够在不需要端口进行配置的情况下，保证DHCP客户端从合法的DHCP服务器获取到IP地址，而且还能够减少广播报文的泛洪。

本发明还提供了一种实现DHCP地址安全分配的设备，不仅能够在不需要端口进行配置的情况下，保证DHCP客户端从合法的DHCP服务器获取到IP地址，而且还能够减少广播报文的泛洪。

为了达到上述目的，本发明提出的技术方案为：

一种实现动态主机配置协议（DHCP）地址安全分配的方法，该方法包括：

交换机将接收到的由DHCP服务器返回的对DHCP客户端的应答报文进行解析，得到所述DHCP服务器标识；

交换机将所述DHCP服务器标识发送给RADIUS服务器，以使得RADIUS服务器根据DHCP服务器标识对所述DHCP服务器进行认证；

交换机接收由所述RADIUS服务器返回的认证结果；