專(zhuān)利名稱(chēng):一種基于DHCP Option 82的用戶(hù)接入權(quán)限控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)通信領(lǐng)域��,尤其涉及一種基于DHCP Opt ion 82的用戶(hù)接入權(quán)限控制方法�����。
背景技術(shù):
DHCP (Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)分配協(xié)議)作為一種動(dòng)態(tài)分配IP地址的協(xié)議���,廣泛應(yīng)用于各種IP網(wǎng)絡(luò)中,為了解決在不安全的網(wǎng)絡(luò)環(huán)境下出現(xiàn)的因IP地址欺騙�����、MAC地址欺騙���、惡意分配IP地址以致IP資源匱乏等問(wèn)題�,現(xiàn)有技術(shù)中規(guī)定了中繼代理信息選項(xiàng)即Option 82�����,用戶(hù)終端發(fā)出的DHCP地址請(qǐng)求報(bào)文在通過(guò)接入交換機(jī)時(shí)��,接入交換機(jī)會(huì)在DHCP選項(xiàng)中添加VLAN(Virtual Local Area Network���,虛擬局域網(wǎng)標(biāo)識(shí))ID�����、交換機(jī)端口號(hào)等信息�����,并發(fā)給DHCP服務(wù)器����,這樣DHCP服務(wù)器就可以通過(guò)VLANID、交換機(jī)端口號(hào)等信息和用戶(hù)信息關(guān)聯(lián)�����。一般管理員在DHCP krver上配置基于0ption82的地址分配策略��,DHCP krver根據(jù)DHCP請(qǐng)求中的Option 82信息來(lái)判斷當(dāng)前請(qǐng)求是否匹配相應(yīng)策略而分配不同的地址�,目前Option 82并沒(méi)有一個(gè)確定的內(nèi)容和格式,常規(guī)寫(xiě)法是“接入vlanid+接入端口 id+交換機(jī)標(biāo)識(shí)”��,通過(guò)這幾個(gè)信息組成的字符串可以唯一確定用戶(hù)接入的物理位置���,然后將從用戶(hù)的DHCP報(bào)文中獲取的Option 82與預(yù)設(shè)的數(shù)據(jù)庫(kù)中內(nèi)容進(jìn)行比對(duì)�,若有匹配的字符串則認(rèn)為用戶(hù)接入合法并分配IP地址��。但是DHCP本身沒(méi)有嚴(yán)格的安全認(rèn)證機(jī)制,因此�����,不能依賴(lài)DHCP作為安全接入的基礎(chǔ)���。為了防止用戶(hù)非法接入網(wǎng)絡(luò)��,一般在接入網(wǎng)絡(luò)中采用802. Ix認(rèn)證,802. Ix是IEEE LAN/WAN委員會(huì)為了解決基于端口的網(wǎng)絡(luò)接入控制(Port-Based Network Access Control)而定義的一個(gè)標(biāo)準(zhǔn)�,該標(biāo)準(zhǔn)目前已經(jīng)在無(wú)線(xiàn)局域網(wǎng)和以太網(wǎng)中被廣泛應(yīng)用。PC客戶(hù)端安裝802. Ix認(rèn)證客戶(hù)端�����,客戶(hù)通過(guò)認(rèn)證后即可以合法的接入網(wǎng)絡(luò)�����,訪(fǎng)問(wèn)各種資源���。但是目前的802. Ix認(rèn)證后存在這樣的缺陷�,用戶(hù)在認(rèn)證前無(wú)法訪(fǎng)問(wèn)任何資源�,通過(guò)認(rèn)證后又可以訪(fǎng)問(wèn)所有資源,也就是說(shuō)�,對(duì)用戶(hù)訪(fǎng)問(wèn)權(quán)限的控制只有完全不能訪(fǎng)問(wèn)和全部可以訪(fǎng)問(wèn)這兩種狀態(tài)�,而這種訪(fǎng)問(wèn)權(quán)限力度太粗��,無(wú)法實(shí)現(xiàn)用戶(hù)權(quán)限的精細(xì)化控制����。
發(fā)明內(nèi)容
為了解決現(xiàn)有技術(shù)中用戶(hù)接入網(wǎng)絡(luò)時(shí)802. Ix認(rèn)證后無(wú)法控制用戶(hù)訪(fǎng)問(wèn)權(quán)限的問(wèn)題,本發(fā)明提供一種基于DHCP Option 82利用兩次IP獲取來(lái)調(diào)整用戶(hù)權(quán)限的接入控制方法�����,具體方案如下基于DHCP Option 82的用戶(hù)接入權(quán)限控制方法�,包括客戶(hù)端和DHCP 服務(wù)器,客戶(hù)端通過(guò)接入交換機(jī)����、匯聚交換機(jī)與DHCP服務(wù)器連接,匯聚交換機(jī)還連接有 Radius服務(wù)器���,其特征在于��,包括如下步驟步驟1�、用戶(hù)終端的DHCP模塊向接入交換機(jī)發(fā)送DHCP請(qǐng)求�����,接入交換機(jī)的DHCP Snooping模塊在DHCP請(qǐng)求的Option 82中附加默認(rèn)值,然后通過(guò)匯聚交換機(jī)向DHCP服務(wù)器轉(zhuǎn)送DHCP請(qǐng)求����;步驟2、DHCP服務(wù)器將接收到的DHCP請(qǐng)求的Option 82信息與DHCP服務(wù)器中預(yù)存的信息進(jìn)行對(duì)比����,如果找到相應(yīng)的信息,則DHCP服務(wù)器將其中的地址作為一次IP地址加入到DHCP回應(yīng)中并通過(guò)匯聚交換機(jī)下發(fā)給接入交換機(jī)�,否則駁回該DHCP請(qǐng)求;步驟3��、接入交換機(jī)接到返回的DHCP回應(yīng)后轉(zhuǎn)發(fā)給用戶(hù)終端��,如果用戶(hù)終端通過(guò) 802. Ix認(rèn)證�,用戶(hù)終端的802. Ix模塊向DHCP服務(wù)器再發(fā)送一次DHCP請(qǐng)求��,此次的DHCP請(qǐng)求附加有認(rèn)證后的Option 82信息��;步驟4�、用戶(hù)終端的802. Ix認(rèn)證成功后,DHCP服務(wù)器將接收到的DHCP請(qǐng)求中的 OPTION 82信息與DHCP服務(wù)器中預(yù)存的信息進(jìn)行對(duì)比�����,如果找到相應(yīng)的信息,則DHCP服務(wù)器分配一個(gè)二次IP地址給用戶(hù)終端��;否則駁回此次DHCP請(qǐng)求��,用戶(hù)終端僅能使用一次IP 地址訪(fǎng)問(wèn)網(wǎng)絡(luò)�;步驟5、用戶(hù)終端利用二次IP地址通過(guò)匯聚交換機(jī)配置的訪(fǎng)問(wèn)權(quán)限訪(fǎng)問(wèn)網(wǎng)絡(luò)���。優(yōu)選的��,所述步驟1中的默認(rèn)值為將Option 82信息的子選項(xiàng)1設(shè)為未認(rèn)證狀態(tài)�,子選項(xiàng)2設(shè)為接入交換機(jī)的CPU MAC地址��。優(yōu)選的�����,所述步驟2中DHCP服務(wù)器中預(yù)存的信息為在DHCP服務(wù)中配置有很多 Option 82��,每個(gè)不同的Option 82內(nèi)容下配置相應(yīng)的地址池�����,如果用戶(hù)終端的DHCP請(qǐng)求中 Option 82內(nèi)容匹配DHCP服務(wù)器上其中一個(gè)Option 82,則從相應(yīng)的地址池中分配IP給 DHCP請(qǐng)求��。優(yōu)選的�����,所述步驟3中接入交換機(jī)接到返回的DHCP請(qǐng)求后����,剝離并保存其中的 Option 82信息然后轉(zhuǎn)發(fā)給用戶(hù)終端,而用戶(hù)終端的802. Ix模塊再次發(fā)送DHCP請(qǐng)求時(shí)��,接入交換機(jī)的DHCP Snooping模塊會(huì)將保存的認(rèn)證后的Option 82信息添加到此次的DHCP 請(qǐng)求的Option 82中���。優(yōu)選的����,所述步驟3中�,接入交換機(jī)將一次IP請(qǐng)求成功后的DHCP回應(yīng)中的IP地址和MAC地址綁定在接入交換機(jī)端口上���,以防止ARP欺騙��,DHCP Snooping模塊在獲得DHCP ACK包后更新用戶(hù)訪(fǎng)問(wèn)所有資源的IP地址和ARP的ACL表項(xiàng)���。優(yōu)選的���,所述步驟4中,DHCP服務(wù)器分配的二次IP地址所依據(jù)的DHCP請(qǐng)求中的 Option 82內(nèi)容由Radius服務(wù)器利用Access-Accept報(bào)文的沈?qū)傩韵掳l(fā)給用戶(hù)終端���。優(yōu)選的�,所述步驟5中�,匯聚交換機(jī)中利用硬件ACL表項(xiàng)配置了二次IP地址網(wǎng)段的訪(fǎng)問(wèn)權(quán)限,在用戶(hù)終端利用二次IP地址訪(fǎng)問(wèn)時(shí)���,匯聚交換機(jī)根據(jù)二次IP地址對(duì)應(yīng)的硬件 ACL表項(xiàng)中此二次IP地址所限制的網(wǎng)段控制用戶(hù)終端的訪(fǎng)問(wèn)權(quán)限����。優(yōu)選的��,接入交換機(jī)的DHCP Snooping模塊接到用戶(hù)的DHCP請(qǐng)求后���,在802. Ix認(rèn)證表項(xiàng)里查詢(xún)DHCP請(qǐng)求的源MAC是否通過(guò)認(rèn)證����,如果用戶(hù)未通過(guò)認(rèn)證��,接入交換機(jī)附加未通過(guò)標(biāo)識(shí)的Option 82到DHCP請(qǐng)求尾部,對(duì)DHCP請(qǐng)求其它部分不作修改而傳送到匯聚交換機(jī)的DHCP中繼代理����;如果用戶(hù)已經(jīng)通過(guò)認(rèn)證,則取出已認(rèn)證Option 82放到DHCP請(qǐng)求尾部交給匯聚交換機(jī)DHCP中繼代理�。本發(fā)明通常應(yīng)用于用戶(hù)使用DHCP方式獲取地址的環(huán)境中,需要支持基于Option 82進(jìn)行地址分配策略的DHCP服務(wù)器?��,F(xiàn)有技術(shù)中DHCP請(qǐng)求中的0ption82選項(xiàng)一般由 DHCP中繼代理在中繼DHCP請(qǐng)求時(shí)附加�。本發(fā)明擴(kuò)展了這一功能�,允許接入交換機(jī)的DHCP Snooping模塊在監(jiān)聽(tīng)DHCP請(qǐng)求時(shí)附加Option 82信息,用戶(hù)在獲取IP地址之前處于受控狀態(tài)���,只能訪(fǎng)問(wèn)DHCP服務(wù)器�����,用戶(hù)在獲取IP地址之后處于安全狀態(tài)�,此時(shí)接入交換機(jī)轉(zhuǎn)發(fā)該用戶(hù)的IP和ARP報(bào)文���,由于用戶(hù)在認(rèn)證前后能夠獲得不同地址,在匯聚交換機(jī)上配置硬件ACL表項(xiàng)限制不同源IP地址用戶(hù)能夠訪(fǎng)問(wèn)的資源��,從而實(shí)現(xiàn)認(rèn)證前后用戶(hù)終端的訪(fǎng)問(wèn)權(quán)限控制。本發(fā)明通過(guò)用戶(hù)終端的DHCP申請(qǐng)IP時(shí)��,在DHCP請(qǐng)求中附加不同的0ption82信息��,用戶(hù)終端認(rèn)證后��,Option 82的內(nèi)容由Radius服務(wù)器下發(fā)�,因此完全可以在后臺(tái)為不同用戶(hù)分配不同的Option 82信息。同時(shí)�,管理員在DHCP服務(wù)器端配置基于Option 82的地址分配策略,用戶(hù)終端在認(rèn)證前后將獲得不同的IP地址���,這個(gè)IP地址是經(jīng)過(guò)802. Ix認(rèn)證和DHCP服務(wù)器共同確認(rèn)的��。本發(fā)明既利用了 DHCP的方便�����,又利用了 802. Ix的安全認(rèn)證機(jī)制��,提供了一種安全方便的接入方法��,同時(shí)實(shí)現(xiàn)控制用戶(hù)終端訪(fǎng)問(wèn)權(quán)限的目的�。
圖1為本發(fā)明系統(tǒng)的網(wǎng)絡(luò)連接結(jié)構(gòu)框圖�����;圖2為本發(fā)明的方法流程示意圖。
具體實(shí)施例方式下面結(jié)合具體圖示�,進(jìn)一步闡述本發(fā)明。圖1為本發(fā)明涉及的系統(tǒng)網(wǎng)絡(luò)連接結(jié)構(gòu)框圖�,其中用戶(hù)終端通過(guò)接入交換機(jī)連入網(wǎng)絡(luò),匯聚交換機(jī)收集接入交換機(jī)的信息向DHCP服務(wù)器轉(zhuǎn)發(fā)�,而Radius服務(wù)器對(duì)用戶(hù)終端通過(guò)匯聚交換機(jī)傳來(lái)的DHCP請(qǐng)求進(jìn)行驗(yàn)證。其中一��、匯聚交換機(jī)1��、支持DHCP中繼代理�����;2���、配置 ACL:ACLl :permiti pl/maksl dstl/maskl ��;ACL2 :permiti p2/mask2 dst2/m£isk2���。二、接入交換機(jī)1、全局啟動(dòng) 802. Ix ���;2、端口使能dotlx����,使用基于DHCP 0ption82的接入控制方式;3�、啟動(dòng) DHCP Snooping ;4����、啟動(dòng) DHCP Snooping 綁定功能;5����、啟用 DHCP Snooping 添加 0ption82 功能。三�����、客戶(hù)端(DHCPClient)1����、安裝 DCN802. Ix 客戶(hù)端。圖2是本發(fā)明基于DHCP Option 82的用戶(hù)接入權(quán)限控制方法流程圖,如圖2所示�����, 該方法包括如下步驟步驟101 用戶(hù)終端的系統(tǒng)自帶的DHCP Client模塊向接入交換機(jī)發(fā)送DHCP請(qǐng)求���, 接入交換機(jī)的DHCP Snooping模塊在DHCP請(qǐng)求的Option 82中附加默認(rèn)值�����,然后通過(guò)匯聚交換機(jī)向DHCP服務(wù)器轉(zhuǎn)送DHCP請(qǐng)求���。接入交換機(jī)的端口使能802. lx,接入交換機(jī)基于DHCP Option 82的接入控制方式設(shè)置硬件表項(xiàng)�,此時(shí)經(jīng)過(guò)接入交換機(jī)的所有報(bào)文都不能轉(zhuǎn)發(fā),僅能向匯聚交換機(jī)轉(zhuǎn)送DHCP請(qǐng)求���,在啟動(dòng)接入交換機(jī)的DHCP Snooping模塊后�,用戶(hù)終端的DHCP報(bào)文重定向到接入交換機(jī)的CPU��,這樣用戶(hù)終端在獲取認(rèn)證IP地址之前�����,除了能向DHCP服務(wù)器發(fā)送DHCP請(qǐng)求外,不能訪(fǎng)問(wèn)其他資源��。匯聚交換機(jī)的DHCP中繼模塊收到來(lái)自接入交換機(jī)的DHCP請(qǐng)求后���,只負(fù)責(zé)把DHCP 數(shù)據(jù)包中繼給DHCP服務(wù)器,匯聚交換機(jī)不能啟用DHCP Relay Option 82功能���。設(shè)定Option 82的兩個(gè)子選項(xiàng)�����,其中子選項(xiàng)1為未認(rèn)證狀態(tài)����;子選項(xiàng)2為存放接入交換機(jī)的CPU MAC地址�����,默認(rèn)值由網(wǎng)管人員設(shè)定���,例如DHCPSnooping模塊在Option 82 的子選項(xiàng)1中填入字符串“unauth”���,子選項(xiàng)2中填入交換機(jī)的CPU MAC。步驟102 =DHCP服務(wù)器將接收到的DHCP請(qǐng)求的Option 82信息與DHCP服務(wù)器中預(yù)存的信息進(jìn)行對(duì)比,如果找到相應(yīng)的信息�����,則DHCP服務(wù)器將其中的地址作為一次IP地址加入到DHCP回應(yīng)中并通過(guò)匯聚交換機(jī)下發(fā)給接入交換機(jī)���,否則駁回該DHCP請(qǐng)求��。其中����,在DHCP服務(wù)器中查找相應(yīng)信息的步驟為在DHCP服務(wù)中配置有很多 Option 82�����,每個(gè)不同的Option 82內(nèi)容下配置相應(yīng)的地址池����,如果用戶(hù)終端的DHCP請(qǐng)求中 Option 82內(nèi)容匹配DHCP服務(wù)器上其中一個(gè)Option 82,則從相應(yīng)的地址池中分配IP給 DHCP請(qǐng)求�����,如果沒(méi)有匹配任一個(gè)地址池�����,則會(huì)駁回請(qǐng)求。步驟103 接入交換機(jī)接到返回的DHCP回應(yīng)后轉(zhuǎn)發(fā)給用戶(hù)終端��,客戶(hù)端獲得第一次IP地址�����,用戶(hù)進(jìn)行802. Ix認(rèn)證���,如果通過(guò)認(rèn)證,用戶(hù)終端的802. Ix模塊向DHCP服務(wù)器再發(fā)送一次DHCP請(qǐng)求�,此次的DHCP請(qǐng)求附加有認(rèn)證后的Option 82信息。接入交換機(jī)接到返回的DHCP回應(yīng)后�����,剝離其中的Option 82信息然后轉(zhuǎn)發(fā)給用戶(hù)終端����,而用戶(hù)終端的802. Ix模塊再次發(fā)送DHCP請(qǐng)求時(shí),接入交換機(jī)的DHCP Snooping模塊會(huì)將保存的認(rèn)證后的Option 82信息添加到此次的DHCP請(qǐng)求的Option 82中�。該認(rèn)證后的Option 82內(nèi)容由!Radius服務(wù)器利用!Radius Access-Accept報(bào)文的 26屬性(廠(chǎng)商屬性)通過(guò)下發(fā)給接入交換機(jī),接入交換機(jī)會(huì)保存該認(rèn)證用戶(hù)的Option 82 選項(xiàng)���。接入交換機(jī)端口配置基于DHCP Option 82的接入控制模式后�����,DHCP請(qǐng)求一旦成功����,用戶(hù)終端不需要認(rèn)證(包括認(rèn)證后)就能夠訪(fǎng)問(wèn)全網(wǎng)資源,此時(shí)將認(rèn)證后的IP地址和 MAC地址綁定在接入交換機(jī)端口上��,以防止ARP欺騙����。DHCPSnooping模塊在獲得DHCP請(qǐng)求后更新用戶(hù)訪(fǎng)問(wèn)所有資源的IP地址和ARP的硬件ACL表項(xiàng)。步驟104 用戶(hù)終端的802. Ix認(rèn)證成功后���,DHCP服務(wù)器將接收到的DHCP請(qǐng)求中的OPTION 82信息與DHCP服務(wù)器中預(yù)存的信息進(jìn)行對(duì)比����,如果找到相應(yīng)的信息����,則DHCP服務(wù)器分配一個(gè)二次IP地址給用戶(hù)終端;否則駁回此次DHCP請(qǐng)求����,用戶(hù)終端僅能使用一次 IP地址訪(fǎng)問(wèn)網(wǎng)絡(luò)�。如果沒(méi)有匹配預(yù)設(shè)的認(rèn)證用戶(hù)的地址池�����,根據(jù)DHCP服務(wù)器的配置(DHCP服務(wù)器可設(shè)置一個(gè)缺省的地址池)可能會(huì)分配一個(gè)缺省配置的IP���,但這個(gè)IP就不是用戶(hù)終端需要的IP 了��。當(dāng)用戶(hù)未通過(guò)二次認(rèn)證時(shí)只能采用一次IP地址進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)�,而此訪(fǎng)問(wèn)則是受匯聚交換機(jī)設(shè)定的訪(fǎng)問(wèn)權(quán)限的限制�。步驟105 用戶(hù)終端利用二次IP地址通過(guò)匯聚交換機(jī)配置的訪(fǎng)問(wèn)權(quán)限訪(fǎng)問(wèn)網(wǎng)絡(luò)���。此時(shí)在匯聚交換機(jī)中利用硬件ACL表項(xiàng)配置了二次IP地址網(wǎng)段的訪(fǎng)問(wèn)權(quán)限�����,在用戶(hù)終端利用二次IP地址訪(fǎng)問(wèn)時(shí)�,匯聚交換機(jī)根據(jù)二次IP地址對(duì)應(yīng)的硬件ACL表項(xiàng)中此二次IP地址所限制的網(wǎng)段控制用戶(hù)終端的訪(fǎng)問(wèn)權(quán)限��。接入交換機(jī)的DHCP Snooping模塊接到用戶(hù)的DHCP請(qǐng)求后��,在802. Ix認(rèn)證用戶(hù)表項(xiàng)里查詢(xún)DHCP請(qǐng)求的源MAC是否通過(guò)認(rèn)證,如果用戶(hù)未通過(guò)認(rèn)證��,接入交換機(jī)附加未通過(guò)標(biāo)識(shí)的Option 82到DHCP請(qǐng)求尾部�,對(duì)DHCP請(qǐng)求其它部分不作修改而傳送到匯聚交換機(jī)的DHCP中繼代理;如果用戶(hù)已經(jīng)通過(guò)認(rèn)證�����,則取出已認(rèn)證Option 82放到DHCP請(qǐng)求尾部交給匯聚交換機(jī)DHCP中繼代理�。由網(wǎng)管人員配置匯聚交換機(jī)中每個(gè)IP地址段的硬件ACL表項(xiàng),以限制不同網(wǎng)段的 IP地址的訪(fǎng)問(wèn)權(quán)限���,進(jìn)而實(shí)現(xiàn)用戶(hù)終端在通過(guò)認(rèn)證前后獲取不同的訪(fǎng)問(wèn)權(quán)限��。本方法的工作流程如下用戶(hù)終端向DHCP服務(wù)器發(fā)送DHCP請(qǐng)求�����,接入交換機(jī)的 DHCP Snooping模塊截獲用戶(hù)的DHCP請(qǐng)求后����,查詢(xún)DHCP請(qǐng)求報(bào)文的源MAC是否通過(guò)認(rèn)證��, 如果用戶(hù)未通過(guò)認(rèn)證����,交換機(jī)附加標(biāo)識(shí)未通過(guò)認(rèn)證的0ption82選項(xiàng)(其中子選項(xiàng)1指示未認(rèn)證狀態(tài)��,子選項(xiàng)2存放接入交換機(jī)的MAC地址)到DHCP請(qǐng)求報(bào)文尾部��,對(duì)DHCP請(qǐng)求報(bào)文其它部分不作修改交給匯聚交換機(jī)DHCP中繼代理�����。如果用戶(hù)已經(jīng)通過(guò)802. Ix認(rèn)證��,則取出 Radius服務(wù)器通過(guò)feidiusAccess-Acc印t報(bào)文的洸屬性下發(fā)的已認(rèn)證0ption82選項(xiàng)(其中子選項(xiàng)1來(lái)自沈?qū)傩?�,子選項(xiàng)2存放接入交換機(jī)的MAC地址)放到DHCP請(qǐng)求報(bào)文尾部交給匯聚交換機(jī)DHCP中繼代理���,DHCP服務(wù)器收到DHCP請(qǐng)求后,根據(jù)預(yù)先配置的0ption82內(nèi)容從對(duì)應(yīng)的地址池中分配IP����,例如Option 82子選項(xiàng)1為” unauth”�����,預(yù)設(shè)的地址池是IPl/ MASK1�,接入交換機(jī)的DHCP Snooping接到回復(fù)的DHCP回應(yīng)后��,提取其中的IP���、MAC和端口信息發(fā)送給802. Ix模塊,DHCP Snooping模塊轉(zhuǎn)發(fā)該DHCP回應(yīng)到用戶(hù)終端���,第一次獲取IP 的用戶(hù)即可通過(guò)匯聚交換機(jī)的硬件ACL表項(xiàng)進(jìn)行過(guò)濾轉(zhuǎn)發(fā)�����,此時(shí)接入交換機(jī)雖然已經(jīng)允許該用戶(hù)的流量通過(guò)匯聚交換機(jī)�����,但流量經(jīng)過(guò)匯聚交換機(jī)時(shí)其IP地址要受硬件ACL表項(xiàng)的限制�����,即只能訪(fǎng)問(wèn)IP1/MASK1能訪(fǎng)問(wèn)的網(wǎng)段�����。如果想訪(fǎng)問(wèn)全網(wǎng)段�����,只有通過(guò)再次IP獲取才能獲得全網(wǎng)段通行的權(quán)限����。第一次用戶(hù)認(rèn)證成功后,接入交換機(jī)會(huì)保存通過(guò)Radius服務(wù)器的 RadiusAccess-Accept 艮文的 26 屬性(艮口 vendor-type 為 2 的 vendor 屬性攜帶 0ption82 選項(xiàng))下發(fā)Option 82選項(xiàng)��,用戶(hù)終端的802. Ix模塊會(huì)再次主動(dòng)發(fā)起DHCP請(qǐng)求���,接入交換機(jī)的DHCP Snooping模塊收到該DHCP請(qǐng)求并查詢(xún)到該用戶(hù)已經(jīng)認(rèn)證后�����,會(huì)附加已經(jīng)通過(guò)認(rèn)證的Option 82選項(xiàng)到DHCP請(qǐng)求尾部�����,然后傳給匯聚交換機(jī)中繼給DHCP服務(wù)器��,DHCP服務(wù)器對(duì)DHCP請(qǐng)求中的Option 82匹配預(yù)設(shè)的地址池��,如果未匹配,DHCP服務(wù)器駁回此次DHCP 請(qǐng)求�;如果匹配則由DHCP服務(wù)器根據(jù)新的Option 82選項(xiàng)為DHCP請(qǐng)求分配另一個(gè)IP2/ MASK2網(wǎng)段中的IP地址,然后將DHCP請(qǐng)求通過(guò)匯聚交換機(jī)傳送給接入交換機(jī),接入交換機(jī)的DHCP Snooping模塊截獲到DHCP請(qǐng)求后���,提取里面的IP��、MAC和端口信息發(fā)送給802. Ix 模塊(802. Ix控制著每個(gè)IP所對(duì)應(yīng)的權(quán)限表)�,802. Ix模塊下發(fā)用戶(hù)可訪(fǎng)問(wèn)所有資源的硬件ACL表項(xiàng)�����,此時(shí)接入交換機(jī)雖然已經(jīng)允許該用戶(hù)的流量通過(guò)匯聚交換機(jī)����,但流量經(jīng)過(guò)匯聚交換機(jī)時(shí)其IP地址要受硬件ACL表項(xiàng)的限制,比如匯聚交換機(jī)ACL這時(shí)允許屬于網(wǎng)段 IP2/MASK2的IP地址可訪(fǎng)問(wèn)外網(wǎng)���,也可訪(fǎng)問(wèn)內(nèi)網(wǎng)�。以上顯示和描述了本發(fā)明的基本原理�����、主要特征和本發(fā)明的優(yōu)點(diǎn)�����。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制�,上述實(shí)施例和說(shuō)明書(shū)中描述的只是說(shuō)明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下本發(fā)明還會(huì)有各種變化和改進(jìn)�����,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)��。
權(quán)利要求
1.一種基于DHCP Option 82的用戶(hù)接入權(quán)限控制方法����,其中,客戶(hù)端通過(guò)接入交換機(jī)�����、匯聚交換機(jī)與DHCP服務(wù)器連接�����,匯聚交換機(jī)連接有Radius服務(wù)器�����,其特征在于���,該方法包括如下步驟步驟1��、用戶(hù)終端DHCP模塊向接入交換機(jī)發(fā)送DHCP請(qǐng)求�����,接入交換機(jī)的DHCP Snooping 模塊在DHCP請(qǐng)求的Option 82中附加默認(rèn)值�,然后通過(guò)匯聚交換機(jī)向DHCP服務(wù)器轉(zhuǎn)送 DHCP請(qǐng)求����;步驟2、DHCP服務(wù)器將接收到的DHCP請(qǐng)求的Option 82信息與DHCP服務(wù)器中預(yù)存的信息進(jìn)行對(duì)比�����,如果找到相應(yīng)的信息�����,則DHCP服務(wù)器將其中的地址作為一次IP地址加入到 DHCP回應(yīng)中���,并通過(guò)匯聚交換機(jī)下發(fā)給接入交換機(jī)�����,否則駁回該DHCP請(qǐng)求�;步驟3、接入交換機(jī)接到返回的DHCP回應(yīng)后轉(zhuǎn)發(fā)給用戶(hù)終端����,用戶(hù)終端獲取一次IP,用戶(hù)終端發(fā)起802. Ix認(rèn)證���,如果認(rèn)證成功���,用戶(hù)終端的802. Ix模塊向DHCP服務(wù)器再發(fā)送一次DHCP請(qǐng)求,此次的DHCP請(qǐng)求附加有認(rèn)證后的Option 82信息���;步驟4�����、用戶(hù)終端的802. Ix認(rèn)證成功后��,DHCP服務(wù)器將接收到的DHCP請(qǐng)求中的OPTION 82信息與DHCP服務(wù)器中預(yù)存的信息進(jìn)行對(duì)比�����,如果找到相應(yīng)的信息�,則DHCP服務(wù)器分配一個(gè)二次IP地址給用戶(hù)終端;否則駁回此次DHCP請(qǐng)求�����,用戶(hù)終端僅能使用一次IP地址訪(fǎng)問(wèn)網(wǎng)絡(luò)�;步驟5��、用戶(hù)終端利用二次IP地址通過(guò)匯聚交換機(jī)配置的訪(fǎng)問(wèn)權(quán)限訪(fǎng)問(wèn)網(wǎng)絡(luò)���。
2.如權(quán)利要求1所述的一種基于DHCP0ption82的用戶(hù)接入權(quán)限控制方法����,其特征在于��,所述步驟1中的默認(rèn)值為將Option 82信息的子選項(xiàng)1設(shè)為未認(rèn)證狀態(tài)�����,子選項(xiàng)2設(shè)為接入交換機(jī)的CPU MAC地址����。
3.如權(quán)利要求1所述的一種基于DHCP0ption82的用戶(hù)接入權(quán)限控制方法,其特征在于����,所述步驟2中DHCP服務(wù)器中預(yù)存的信息為在DHCP服務(wù)中配置有很多Option 82���,每個(gè)不同的Option 82內(nèi)容下配置相應(yīng)的地址池,如果用戶(hù)終端的DHCP請(qǐng)求中Option 82內(nèi)容匹配DHCP服務(wù)器的其中一個(gè)Option 82�,則從相應(yīng)的地址池中分配IP給DHCP請(qǐng)求。
4.如權(quán)利要求1所述的一種基于DHCP0ption82的用戶(hù)接入權(quán)限控制方法���,其特征在于�����,所述步驟3中接入交換機(jī)接到返回的DHCP回應(yīng)后���,剝離其中的Option 82信息,然后轉(zhuǎn)發(fā)給用戶(hù)終端��。用戶(hù)終端認(rèn)證通過(guò)后的Option 82由Radius服務(wù)器利用Access-Accept 報(bào)文的26屬性下發(fā)給接入交換機(jī)保存�,而用戶(hù)終端的802. Ix模塊再次發(fā)送DHCP請(qǐng)求時(shí), 接入交換機(jī)的DHCP Snooping模塊會(huì)將保存的認(rèn)證后的Option 82信息添加到此次的DHCP 請(qǐng)求的Option 82中���。
5.如權(quán)利要求1所述的一種基于DHCP0ption82的用戶(hù)接入權(quán)限控制方法��,其特征在于�,所述步驟3中,接入交換機(jī)將一次認(rèn)證成功后的DHCP請(qǐng)求中的IP地址和MAC地址綁定在接入交換機(jī)端口上�,以防止ARP欺騙,DHCP Snooping模塊在獲得DHCP ACK包后更新用戶(hù)訪(fǎng)問(wèn)所有資源的IP地址和ARP的ACL表項(xiàng)��。
6.如權(quán)利要求1所述的一種基于DHCP0ption82的用戶(hù)接入權(quán)限控制方法���,其特征在于���,所述步驟4中�����,DHCP服務(wù)器分配的二次IP地址由DHCP服務(wù)器根據(jù)DHCP請(qǐng)求中Option 82選擇相應(yīng)的地址池��,從中分配給用戶(hù)終端����。
7.如權(quán)利要求1所述的一種基于DHCP0ption82的用戶(hù)接入權(quán)限控制方法,其特征在于���,所述步驟5中���,匯聚交換機(jī)中利用硬件ACL表項(xiàng)配置二次IP地址網(wǎng)段的訪(fǎng)問(wèn)權(quán)限����,在用戶(hù)終端利用二次IP地址訪(fǎng)問(wèn)時(shí)��,匯聚交換機(jī)根據(jù)二次IP地址對(duì)應(yīng)的硬件ACL表項(xiàng)中此二次IP地址所限制的網(wǎng)段���,控制用戶(hù)終端的訪(fǎng)問(wèn)權(quán)限���。
8.如權(quán)利要求7所述的一種基于DHCP 0ption82的用戶(hù)接入權(quán)限控制方法,其特征在于�����,接入交換機(jī)的DHCP Snooping模塊接到用戶(hù)的DHCP請(qǐng)求后�����,在802. Ix認(rèn)證表項(xiàng)里查詢(xún)DHCP請(qǐng)求的源MAC是否通過(guò)認(rèn)證�����,如果用戶(hù)未通過(guò)認(rèn)證���,接入交換機(jī)附加未通過(guò)標(biāo)識(shí)到 DHCP請(qǐng)求尾部��,對(duì)DHCP請(qǐng)求其它部分不作修改而傳送到匯聚交換機(jī)的DHCP中繼代理���;如果用戶(hù)已經(jīng)通過(guò)認(rèn)證����,則取出已認(rèn)證Option 82放到DHCP請(qǐng)求尾部���,交給匯聚交換機(jī)DHCP中繼代理�����。
全文摘要
本發(fā)明公開(kāi)一種基于DHCP Option 82的用戶(hù)接入權(quán)限控制方法����,屬于計(jì)算機(jī)數(shù)據(jù)通信領(lǐng)域�。本發(fā)明利用DHCP Snooping模塊在監(jiān)聽(tīng)用戶(hù)終端DHCP請(qǐng)求時(shí)附加Option 82信息����,當(dāng)用戶(hù)終端在獲取地址成功并且認(rèn)證通過(guò)后,則由Radius服務(wù)器下發(fā)該用戶(hù)的Option 82認(rèn)證信息�����,用戶(hù)終端認(rèn)證成功后,802.1x會(huì)重新申請(qǐng)一次地址���,DHCP Snooping模塊在DHCP請(qǐng)求中附加認(rèn)證后的Option 82信息����,DHCP服務(wù)器會(huì)根據(jù)這個(gè)Option 82信息給用戶(hù)分配另一個(gè)地址��,匯聚交換機(jī)上配置有硬件ACL表項(xiàng)����,限制了不同源IP地址用戶(hù)能夠訪(fǎng)問(wèn)的資源,從而實(shí)現(xiàn)認(rèn)證前后用戶(hù)終端的訪(fǎng)問(wèn)權(quán)限控制����。
文檔編號(hào)H04L29/06GK102255918SQ20111024069
公開(kāi)日2011年11月23日 申請(qǐng)日期2011年8月22日 優(yōu)先權(quán)日2011年8月22日
發(fā)明者梁小冰 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司