[发明专利]DHCP网络中防止MAC地址漂移的方法及交换设备

说明书

本申请提供一种DHCP网络中防止MAC地址漂移的方法及交换设备，涉及数据通信领域，能够在保持IP地址可动态分配的前提下，防止与已分配IP地址绑定的主机的MAC地址发生漂移。该方法包括：在主机获取互联网协议IP地址后，若交换设备已配置DHCP监听功能，则交换设备建立DHCP监听表；若第一端口已配置MAC地址静态绑定功能，则交换设备建立静态MAC地址表；交换设备为DHCP监听表配置禁止迁移标识；其中，DHCP监听表包括主机的IP地址、主机的媒体接入控制MAC地址和第一端口，静态MAC地址表包括MAC地址、第一端口和静态绑定标识，第一端口为交换设备中与主机连接的端口，静态绑定标识禁止交换设备修改静态MAC地址表，禁止迁移标识禁止交换设备修改DHCP监听表。

技术领域

本申请涉及数据通信领域，尤其涉及一种DHCP网络中防止MAC地址漂移的方法及交换设备。

背景技术

如图1所示，在利用动态主机配置协议(dynamic host configuration protocol，DHCP)监听(snooping)技术组建的网络(以下简称DHCP网络)中，交换设备通过端口1与合法主机连接，通过端口2与服务器连接。在合法主机通过交换设备从服务器获取到互联网协议(Internet Protocol，IP)地址之后，交换设备即可建立包含有已分配IP地址、端口1、合法主机的媒体接入控制(Media Access Control，MAC)地址的DHCP监听绑定表，以便交换设备在服务器与合法主机之间转发信令报文和流量报文(用于承载业务数据)。当合法主机下线时，服务器根据合法主机发送的DHCP释放(Release)报文回收上述已分配IP地址。可见，服务器能够为在线的合法主机动态分配和回收其拥有的IP地址，以提高DHCP网络中可分配IP地址的利用率，从而提高DHCP网络的网络容量。

然而，上述信令报文和流量报文携带的合法主机的MAC地址，可以被其他与交换设备连接的主机监听到。例如，与交换设备的端口3连接的非法主机，在监听到合法主机的MAC地址后，可以伪造携带有该MAC地址的信令报文和流量报文，并通过端口3向交换设备发送。由于DHCP监听绑定表是动态的，交换设备接收到上述伪造的信令报文和流量报文时，会将上述DHCP监听绑定表中的端口1更新为端口3，即合法主机的MAC地址从端口1漂移到了端口3。之后，交换设备会根据更新后的DHCP监听绑定表，将合法主机的信令报文和流量报文，在非法主机与服务器之间转发，使得非法主机登录者能够窃取合法主机登录者的私有信息，或者以合法主机的MAC地址作为掩护，发动网络攻击。

实际应用中，可以通过手动方式绑定合法主机的MAC地址和交换设备中与合法主机连接的端口，以避免合法主机的MAC地址发生漂移。但是，当合法主机数量较多时，采用手动方式绑定MAC地址的工作量较大，且当一台或多台合法主机下线时，与已下线合法主机绑定的IP地址不能及时回收，导致DHCP网络的IP地址的利用率较低。因此，在DHCP网络中，如何在保持IP地址可动态分配的前提下，防止与已分配IP地址绑定的主机的MAC地址发生漂移，以提高传输该主机的信令报文和流量报文的安全性，成为一个亟待解决的问题。

发明内容

本申请提供一种DHCP网络中防止MAC地址漂移的方法及交换设备，能够在保持IP地址可动态分配的前提下，防止与已分配IP地址绑定的主机的MAC地址发生漂移，提高传输该主机的信令报文和流量报文的安全性。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种DHCP网络中防止MAC地址漂移的方法，该方法可以包括：在主机获取互联网协议IP地址后，若交换设备已配置DHCP监听功能，则交换设备建立动态主机配置协议DHCP监听表；其中，DHCP监听表包括主机的IP地址、主机的媒体接入控制MAC地址和第一端口，第一端口为交换设备中与主机连接的端口；若第一端口已配置MAC地址静态绑定功能，则交换设备建立静态MAC地址表；其中，静态MAC地址表包括MAC地址、第一端口和静态绑定标识，静态绑定标识禁止交换设备修改静态MAC地址表；交换设备为DHCP监听表配置禁止迁移标识；其中，禁止迁移标识禁止交换设备修改DHCP监听表。