[发明专利]基于二层DHCP SNOOPING三层交换系统及方法

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种基于二层DHCP SNOOPING的三层交换系统及方法

背景技术

随着数据通信中交换技术的不断提高，具有三层交换功能的设备已经广泛应用，三层交换设备能够跨虚拟局域网线速转发IP报文，这是二层交换设备不具有的优势。

现有技术公开号为CN 101594358 A的发明专利公开了一种“三层交换方法、装置、系统和宿主机”，该方法包括：接收源虚拟机发送的网络报文；根据预先获取的三层交换信息对所述网络报文进行三层交换处理，生成经过三层交换处理的网络报文、目的虚拟机所在的虚拟链路以及目的虚拟机的三层目的地址；根据所述目的虚拟机的三层目的地址将所述经过三层交换处理的网络报文通过目的虚拟机所在的虚拟链路发送给目的虚拟机。

现有的三层交换功能的实现技术方案，三层交换信息即三层表项，三层表项包括主机路由表项和网段路由表项，主机路由表项指的是前缀32位的路由表项(如1.1.1.1下一跳)，网段路由表项指的是前缀长度小于32位的路由表项(1.0.0.0/8下一跳)。三层表项一般通过ARP(ADDRESS Resolution Protocol)表项生成并下发到交换芯片。由于ARP协议简单，极易受到攻击，也容易产生欺骗，由ARP生成主机路由表项也变得不稳定，这样会造成网络流量的不正常转发，给用户带来极大的不便。

DHCP(动态地址解析协议)是一种自动为用户分配IP地址以及其他选项(如网关、DNS)的协议，广泛应用于局域网中，DHCP简化了网络的部署、也易于网络的维护。DHCP SNOOPING是一种监听DHCP请求过程的私有协议，它在交换装置中使用，将每一个成功获取IP的用户生成一个DHCP绑定信息。DHCP SNOOPING可以开启多项防护机制来避免DHCP欺骗和攻击，如通过设置可信端口防止网络中私自搭建DHCP服务器，通过设置端口绑定数量来防止大量请求DHCP。通过DHCP SNOOPING创建了一个安全稳定的DHCP环境。

在一般的组网中，采用的是层次化的组网方式，包括接入层、汇聚层和核心层，接入层采用低廉的二层交换装置、汇聚层采用三层交换装置，而核心层采用的是高可靠和冗余的交换装置。为了保证三层表项的稳定和安全，本发明提出一种基于二层DHCP SNOOPING的三层交换系统及方法，该技术方案中DHCPSNOOPING在二层交换装置中启用，处于汇聚层的三层交换装置没有用户的DHCP绑定信息。

发明内容

为克服现有技术中存在的缺陷和不足，本发明提出一种基于二层DHCP SNOOPING的三层交换系统及方法，在网络接入层的二层交换装置配置DHCP SNOOPING并使能，DHCP SNOOPING监听用户的DHCP请求过程，创建DHCP绑定信息并存储，二层交换装置对绑定信息经过处理后上传到汇聚层的三层交换装置，下发为硬件三层转发信息，实现跨虚拟局域网的网络报文转发。采用本发明的技术方案增加了DHCP环境中交换装置三层表项的学习途径，并有效的保证了表项的稳定和安全。

本发明公开一种基于二层DHCP SNOOPING的三层交换系统，该系统包括DHCP用户终端、二层交换装置、三层交换装置和DHCP服务器，其中，二层交换装置包括使能模块，通过对二层交换装置配置的DHCP SNOOPING使能，监听用户终端的DHCP请求过程，创建DHCP绑定信息并保存；二层交换装置对绑定信息经过处理后上传到三层交换装置，三层交换装置根据DHCP绑定信息，下发三层引擎处理路由表项，根据目的用户终端的地址转发经过三层引擎处理后的网络报文至目的用户终端。

进一步地，所述二层交换装置还包括：

重定向模块，将源用户终端发送的网络报文请求重定向到中央处理模块；

中央处理模块，判断接收到的网络报文的合法性并进行处理，创建DHCP SNOOPING的绑定信息表；

存储模块，存储DHCP SNOOPING的绑定信息表；

接收端口，接收DHCP绑定的三层交换装置地址以及端口信息；

设置模块，设置DHCP绑定数目上限及可信端口；

三层交换装置包括：

接收端口，接收二层交换装置上传来的DHCP绑定报文；

三层引擎处理模块，根据DHCP SNOOPING的绑定信息查找下一跳信息，下发三层引擎处理后的路由表项。

进一步地，所述DHCP SNOOPING的绑定信息包括用户的IP地址、MAC地址、接入端口、接入虚拟局域网和租期。