基於二層乙太網交換機獲取用戶地址信息的方法
2023-09-22 23:05:15 2
專利名稱:基於二層乙太網交換機獲取用戶地址信息的方法
技術領域:
本發明涉及一種乙太網交換機技術,特別是涉及二層乙太網交換機上,偵聽鏈路層乙太網報文收發過程中對動態主機配置協議DHCP的廣播報文,獲取用戶地址信息的方法。
背景技術:
在區域網中用戶的認證、計費一直是運營管理部門一個頭疼的問題,為此產生了用戶認證管理協議,即802.1X協議,對用戶進行認證管理。802.1X認證方式以其高效率、低成本、良好的組播支持能力而得到了廣泛應用。802.1X對設備要求比較低,可以運行在二層乙太網交換機上。
動態主機配置協議DHCP是在BOOTP基礎上產生的,增加了動態分配的能力,通過DHCP伺服器與客戶機之間的DHCP報文交互可以為客戶機動態分配IP位址等配置信息。DHCP中繼則為DHCP報文提供網段間的轉發功能,從而使DHCP伺服器可以為處於不同網段的客戶機服務。
在二層乙太網交換機上發送ICMP的echo request報文,目的MAC為全F廣播地址,目的IP為全F廣播地址,這樣二層乙太網交換機埠下的所有用戶將向交換機發送ICMP響應報文,於是二層乙太網交換機就能獲得用戶IP位址與MAC地址的對應關係了。
隨著個人計算機的日益普及,寬帶應用的大力推廣,網絡已經深入到人們的日常生活中,越來越多的人通過網絡來獲取信息、與他人交流、進行娛樂。與此同時,也有一些人通過網絡進行著一些非法活動,例如像網絡攻擊、竊取信息、金融犯罪、散布違法言論等事件時有發生。出於安全性的考慮,網絡管理部門就需要記錄用戶上網時使用的IP位址,以便當某些用戶進行惡意活動時做到有據可查並及時處理。
為了滿足網絡需求,802.1X就需要獲取用戶IP位址與MAC地址的對應關係,並將IP位址通過RADIUS協議報文的屬性8(Framed-IP-Address)上傳給業務管理系統進行記錄。但是當在二層交換機上使用802.1X進行用戶認證管理時,由於二層交換機不具備三層以上協議處理能力,如何記錄用戶的IP位址就成為一個技術難題。通過用戶動態申請IP位址的DHCP交互報文來獲取用戶的IP位址是一個很自然的想法,同時也能夠保證記錄用戶IP位址更新的及時性,但是,畢竟DHCP報文是UDP報文,屬於四層協議,二層交換機不對其進行處理。
通過發送ICMP報文獲取用戶IP位址的方法,其最大的缺點就是要求二層乙太網交換機的管理IP與用戶的IP位址在同一網段,事實上,由於用戶的IP位址是通過DHCP動態獲取的,而交換機管理IP是構建網絡時就已經配置好了,二者幾乎不可能在同一網段。因此這種方法也不適合二層乙太網交換機的環境。
由於每增加一個新用戶交換機就要發送一次廣播請求報文而所有用戶都要向交換機發送響應報文,這樣就會急劇增加網上流量。由於交換機收到的這些響應報文都會交給CPU處理,因此也會顯著加重CPU處理負擔。
發明內容
本發明的目的在於提供一種基於二層乙太網交換機獲取用戶地址信息的方法,它通過在二層乙太網交換機上,偵聽鏈路層乙太網報文收發過程中對DHCP廣播報文來獲取用戶地址信息,從而方便地判斷用戶的合法性。
本發明所述基於二層乙太網交換機獲取用戶地址信息的方法,包括如下步驟1、鏈路層收到乙太網報文後,判斷是否是DHCP應答或DHCP請求報文;2、如果不是DHCP應答或DHCP請求報文,則轉5;3、如果是DHCP應答或DHCP請求報文,則提取報文中相應欄位的用戶地址信息並記錄;4、將記錄的用戶地址信息通知給用戶認證管理協議802.1X,對所記錄的用戶地址通過分析和比較進行管理。
5、繼續進行報文的正常處理流程。
如上所述的獲取用戶IP位址的方法,所述報文如果是DHCP應答,則提取報文的yiaddr和chaddr域的信息,具體地是通過提取報文的yiaddr域信息獲取用戶IP位址信息,通過提取報文的chaddr域信息獲取用戶MAC地址信息,並記錄下來,如上所述的獲取用戶IP位址的方法,所述報文如果是DHCP請求報文,則提取報文的選項域的Requested IP address選項和chaddr域的信息。進一步地,是通過提取報文的Requested IP address選項域信息獲取用戶IP位址信息,通過提取報文的chaddr選項域信息獲取用戶MAC地址信息,並記錄下來。
如上所述的獲取用戶IP位址的方法,當某個用戶地址信息發生變化後,立即主動切斷該用戶。
利用本發明可以在二層交換機上獲取用戶的IP位址,從而上傳給業務管理系統進行記錄,由於本發明不涉及三層協議處理,可以應用在完全不具備三層協議處理能力的二層交換機上。
圖1是本發明所述方法的流程示意圖。
具體實施例方式
本發明通過在鏈路層乙太網報文收發過程中對DHCP廣播報文進行偵聽的方法來解決上述現有技術的不足的。
本發明所述方法的流程如圖1所示,具體實現步驟為1、鏈路層收到乙太網報文後,判斷是否是DHCP應答或DHCP請求報文;2、如果不是DHCP應答或DHCP請求報文,則繼續報文的正常處理;3、如果是DHCP應答報文,則提取報文的yiaddr和chaddr域的信息記錄下來,其中yiaddr代表Your Ip ADDRess,它是DHCP應答報文頭中的一個欄位,表示DHCP伺服器分配給用戶的IP位址;chaddr代表Client HardwareADDRess,它是DHCP應答報文頭中的一個欄位,表示用戶的硬體地址即MAC地址;4、如果是DHCP請求報文,則提取報文的options域中的Requested IPaddress選項和chaddr域的信息記錄下來,其中Requested IP address選項,表示被請求的IP位址,實際上就是該用戶的IP位址,chaddr域同樣是表示用戶的MAC地址;5、將記錄的用戶地址信息通知給用戶認證管理協議(802.1X),繼續其他報文的正常處理。即通過802.1X協議對所記錄的用戶地址進行管理,當系統發現網絡上非法活動者的IP位址時,可以根據這個記錄證明某個用戶上網時使用了這個IP位址,從而證明該用戶進行了非法活動。
本發明的步驟1中,是基於如下的考慮來判斷是否是DHCP應答或DHCP請求報文的一方面,當DHCP伺服器確定分配給用戶某個IP位址時會發送DHCP應答報文,因此可以通過偵聽DHCP應答報文來獲取用戶的IP位址。另一方面,客戶機向DHCP伺服器請求分配地址的DHCP請求報文肯定是廣播的,而且用戶在DHCP請求報文中申請的IP位址與DHCP伺服器在DHCP應答報文中分配給用戶的IP位址是相同的,因此可以通過偵聽DHCP請求報文來獲取用戶的IP位址。因此,可以通過偵聽DHCP應答、DHCP請求獲取到用戶地址信息。
步驟2中,如果不是DHCP應答或DHCP請求報文,則繼續正常的處理,如果是,在步驟3-4中,分別從DHCP應答或DHCP請求報文提取用戶的地址信息,提取後,將所述用戶的地址信息通知給802.1X,為了防止用戶偽造DHCP請求廣播報文使交換機記錄錯誤的地址信息,需要802.1X配合,當發現DHCP偵聽上傳的用戶IP位址發生變化後就及時主動切斷用戶連接,迫使其下線。判斷用戶IP位址發生變化具體的做法是如果之前記錄過此用戶的地址信息,則將DHCP偵聽上傳的用戶IP位址與以前記錄的用戶IP位址進行比較,如果不同則主動切斷用戶下線,避免用戶通過申請其他IP位址或偽造報文的方法來清除已經記錄過的用來進行非法活動的IP位址;如果之前沒有記錄過此用戶的地址信息,則記錄用戶的IP位址,並通過RADIUS報文記錄在業務管理系統的話單記錄中。
最後所應說明的是以上實施例僅用以說明而非限制本發明的技術方案,儘管參照上述實施例對本發明進行了詳細說明,本領域的普通技術人員應當理解依然可以對本發明進行修改或者等同替換,而不脫離本發明的精神和範圍的任何修改或局部替換,其均應涵蓋在本發明的權利要求範圍當中。
權利要求
1.一種基於二層乙太網交換機獲取用戶地址信息的方法,其特徵在於,包括如下步驟(1)偵聽鏈路層乙太網報文收發過程中,鏈路層收到乙太網報文後判斷是否是DHCP應答或DHCP請求報文;(2)如果不是DHCP應答或DHCP請求報文,則轉至步驟(5);(3)如果是DHCP應答或DHCP請求報文,則提取報文中相應欄位的用戶地址信息並記錄;(4)將記錄的用戶地址信息通知給用戶認證管理協議進行分析,對所記錄的用戶地址進行管理;(5)繼續進行報文的正常處理流程。
2.根據權利要求1所述的基於二層乙太網交換機獲取用戶地址信息的方法,其特徵在於,所述報文如果是DHCP應答,則提取報文的用戶的IP位址和用戶的MAC地址信息,並記錄下來。
3.根據權利要求2所述的基於二層乙太網交換機獲取用戶地址信息的方法,其特徵在於,所述步驟進一步為通過提取報文的yiaddr域信息獲取用戶IP位址信息,通過提取報文的chaddr域信息獲取用戶MAC地址信息。
4.根據權利要求1所述的基於二層乙太網交換機獲取用戶地址信息的方法,其特徵在於,所述報文如果是DHCP請求報文,則提取報文的選項域的用戶的IP位址和用戶的MAC地址。
5.根據權利要求4所述的基於二層乙太網交換機獲取用戶地址信息的方法,其特徵在於,所述步驟進一步為通過提取報文的Requested IP address選項域信息獲取用戶IP位址信息,通過提取報文的chaddr選項域信息獲取用戶MAC地址信息。
6.根據權利要求1所述的基於二層乙太網交換機獲取用戶地址信息的方法,其特徵在於,所述步驟(4)中的分析包括將用戶認證管理協議與記錄的用戶地址信息進行比較並記錄用戶地址信息。
7.根據權利要求6所述的基於二層乙太網交換機獲取用戶地址信息的方法,其特徵在於,如果之前記錄過此用戶的地址信息,則將DHCP偵聽上傳的用戶IP位址與之前記錄的用戶IP位址進行比較,如果不同,則主動切斷用戶下線;如果之前沒有記錄過此用戶的地址信息,則記錄用戶的IP位址,並通過RADIUS報文記錄在業務管理系統的話單記錄中。
8.根據權利要求1所述的基於二層乙太網交換機獲取用戶地址信息的方法,其特徵在於,所述步驟(4)中對所記錄的用戶地址進行管理,包括實時監視用戶地址信息是否發生變化,如果發生了變化,立即主動切斷該用戶。
全文摘要
本發明公開了一種基於二層乙太網交換機獲取用戶地址信息的方法,所述方法包括步驟有鏈路層收到乙太網報文後判斷是否是DHCP應答或DHCP請求報文;如果是DHCP應答或DHCP請求報文,則提取報文中相應欄位的用戶地址信息並記錄;將記錄的用戶地址信息通知給用戶認證管理協議802.1X,對所記錄的用戶地址進行管理,當系統發現網絡上非法活動者的IP位址時,可以根據這個記錄證明某個用戶上網時使用了這個IP位址,從而證明該用戶進行了非法活動。利用本發明可以在二層交換機上獲取用戶的IP位址,從而上傳給業務管理系統進行記錄,由於本發明不涉及三層協議處理,可以應用在完全不具備三層協議處理能力的二層交換機上。
文檔編號H04L12/28GK1549524SQ0312511
公開日2004年11月24日 申請日期2003年5月9日 優先權日2003年5月9日
發明者孟小虎, 潘凝, 修亦宏 申請人:華為技術有限公司