專利名稱:用戶接入權限控制系統(tǒng)和方法
技術領域:
本發(fā)明涉及計算機數(shù)據(jù)通信領域,具體涉及一種基于DHCPve和802. Ix的用戶接入權限控制系統(tǒng)和方法����。
背景技術:
在計算機網(wǎng)絡中�,如果用戶終端發(fā)出網(wǎng)絡接入請求,網(wǎng)絡中負責IP地址分配的服務器會為發(fā)出網(wǎng)絡接入請求的用戶終端分配一個網(wǎng)絡(IP)地址���,以便用戶終端可以接入網(wǎng)絡�����。當前�,網(wǎng)絡中的參與用戶終端網(wǎng)絡接入的服務器通常是采用支持IPv6的動態(tài)主機設置協(xié)議(Dynamic Host Configuration Protocol, DHCP)的 DHCPv6 服務器和 DHCPv6 中繼服務器����。DHCPv6是一種動態(tài)分配IPv6地址的協(xié)議���,廣泛應用于各種IPv6網(wǎng)絡中。在現(xiàn)有技術中��,在用戶終端進行網(wǎng)絡接入時���,首先由用戶終端向DHCPv6中繼服務器發(fā)出DHCP請求報文申請接入網(wǎng)絡�����,DHCPv6中繼服務器接收到該請求報文后��,將該報文轉給DHCPv6服務器���,DHCPv6服務器收到用戶終端的DHCP請求報文后,把分配給用戶終端的 IP地址等網(wǎng)絡初始化信息及自己的IP地址記載在DHCP響應報文中��,發(fā)給DHCPv6中繼服務器��,再由DHCPv6中繼服務器將收到的由DHCPv6服務器發(fā)送的DHCP響應報文中轉給用戶終端����,用戶終端獲得IP地址,從而該用戶終端可以接入網(wǎng)絡。DHCPv6協(xié)議向IPv6客戶端提供IP地址和配置信息��,其包括中繼代理能力�,中繼代理可以在要轉發(fā)的DHCPv6報文中添加必要的信息。DHCPv6報文可以由多個選項(option) 字段組成���,其中�,RFC4649規(guī)定了中繼代理遠程標識選項字段(Relay Agent Remote-ID option)���,也被稱為選項37字段(option 37)�,該字段由DHCPv6中繼代理添加到DHCPv6報文����,其格式如圖1所示。其中����,“選項代碼”表示中繼代理選項字段的序號��,定義為0ΡΤΙ0Ν_ REM0TE_ID(37)���,表示該選項字段為中繼代理遠程標識選項字段���?����!斑x項長度”為“廠商代碼” 和“遠程標識”區(qū)域的字節(jié)數(shù)���,不包括“選項代碼”和“選項長度”部分的字節(jié)數(shù)?���!皬S商代碼”(enterprise-number)為生產(chǎn)廠商注冊的企業(yè)號,其唯一標識設備的制造商��?���!斑h程標識”(remote-id)為設備制造商自定義字段,用于唯一標識制造商制造的設備��,即“廠商代碼”和“遠程標識”構成的序列可以唯一標識一臺遠程設備����。一般管理員在DHCPv6服務器上配置基于中繼代理遠程標識選項字段的地址分配策略。DHCPv6服務器根據(jù)DHCPv6請求中的中繼代理遠程標識選項字段信息來判斷當前請求是否匹配相應策略而分配不同的地址���,然后將從用戶的DHCPv6報文中獲取的中繼代理遠程標識選項字段與預設的數(shù)據(jù)庫中內(nèi)容進行比對��,若有匹配的字符串則認為用戶接入合法并分配IPv6地址��。但是�,由于DHCPv6本身沒有嚴格的安全認證機制,在不安全的網(wǎng)絡環(huán)境下會出現(xiàn)因IPv6地址欺騙����、MAC地址欺騙、惡意分配IPv6地址以致IPv6資源匱乏等問題���。為了防止用戶非法接入網(wǎng)絡��,一般在接入網(wǎng)絡中采用802. Ix認證���。802. Ix是IEEE LAN/WAN委員會為了解決基于端口的網(wǎng)絡接入控制(Port-BasedNetwork Access Control)而定義的標準,該標準目前已經(jīng)在無線局域網(wǎng)和以太網(wǎng)中被廣泛應用����。用戶終端安裝802. Ix認證客戶端�,用戶終端通過認證后即可以合法的接入網(wǎng)絡,訪問各種資源���。但是�����,在目前的802. Ix認證過程中����,用戶終端在認證前無法訪問任何資源,通過認證后又可以訪問所有資源��,這造成對用戶訪問權限的控制只有完全不能訪問和全部可以訪問這兩種狀態(tài)�,這樣的管理方式難以滿足對用戶訪問權限進行精細化管理的需要。
發(fā)明內(nèi)容
針對上述技術問題����,本發(fā)明的目的在于提供一種基于DHCPv6和802. Ix的用戶接入權限控制系統(tǒng)和方法,其解決了現(xiàn)有技術中用戶接入網(wǎng)絡時��,在802. Ix認證后無法精細控制用戶訪問權限的問題�����。本發(fā)明公開了一種用戶接入權限控制系統(tǒng)�,所述系統(tǒng)包括用戶終端,接入交換機�����, 匯聚交換機以及通過網(wǎng)絡與匯聚交換機連接的地址分配服務器和認證服務器;所述用戶終端用于向接入交換機發(fā)送地址分配請求以請求地址分配服務器分配地址�����,并根據(jù)地址分配服務器分配的地址向認證服務器發(fā)起認證請求����;所述接入交換機用于向所述地址分配請求的中繼代理遠程標識選項字段(Option 37)中附加接入虛擬局域網(wǎng)標識、接入端口以及接入交換機物理地址��,并轉發(fā)該附加信息后的地址分配請求�;所述匯聚交換機用于轉發(fā)所有來自接入交換機的報文;所述地址分配服務器用于根據(jù)地址分配請求的中繼代理遠程標識選項字段中所附加信息為所述用戶終端分配地址�����;所述認證服務器用于根據(jù)用戶終端發(fā)起的認證請求向所述接入服務器返回該用戶終端的網(wǎng)絡接入權限信息���;所述接入交換機還用于根據(jù)所述網(wǎng)絡接入權限信息更新網(wǎng)絡訪問控制列表以控制所述用戶終端的訪問權限�����。優(yōu)選地����,所述地址分配服務器為支持IPv6的動態(tài)主機設置協(xié)議(DHCPv6)服務器����,所述認證服務器為用戶業(yè)務遠程撥號認證(Radius)服務器,所述地址分配請求信息為 DHCPv6 請求����。優(yōu)選地,所述地址分配服務器預先配置匹配信息���,匹配信息對應于不同的地址池���, 所述地址分配服務器對所述DHCPv6請求中的Option 37字段信息與所述匹配信息進行匹配,在相匹配的匹配信息所對應的地址池中選擇地址進行分配�。優(yōu)選地,所述Radius服務器通過Radius Access-Accept報文的廠商屬性將所述網(wǎng)絡接入權限信息下發(fā)給所述接入交換機�����。本發(fā)明還公開了一種用戶接入權限控制方法��,包括用戶終端用于向接入交換機發(fā)送地址分配請求以請求地址分配服務器分配地址����;接入交換機向所述地址分配請求的中繼代理遠程標識選項字段(Option 37)中附加接入虛擬局域網(wǎng)標識����、接入端口以及接入交換機物理地址����,并通過匯聚交換機向地址分配服務器轉發(fā)該附加信息后的地址分配請求;地址分配服務器根據(jù)地址分配請求的中繼代理遠程標識選項字段中所附加信息為所述用戶終端分配地址����;
所述用戶終端獲得所分配的地址后根據(jù)該分配的地址向認證服務器發(fā)起認證請求;所述認證服務器根據(jù)用戶終端發(fā)起的認證請求向所述接入服務器返回該用戶終端的網(wǎng)絡接入權限信息�����;接入交換機根據(jù)所述網(wǎng)絡接入權限信息更新網(wǎng)絡訪問控制列表以控制所述用戶終端的訪問權限����。優(yōu)選地,所述地址分配服務器為支持IPv6的動態(tài)主機設置協(xié)議(DHCPv6)服務器����,所述認證服務器為用戶業(yè)務遠程撥號認證(Radius)服務器,所述地址分配請求信息為 DHCPv6 請求����。優(yōu)選地�����,所述地址分配服務器預先配置匹配信息,匹配信息對應于不同的地址池�����, 所述地址分配服務器對所述DHCPv6請求中的Option 37字段信息與所述匹配信息進行匹配�����,在相匹配的匹配信息所對應的地址池中選擇地址進行分配����。優(yōu)選地,所述Radius服務器通過Radius Access-Accept報文的廠商屬性將所述網(wǎng)絡接入權限信息下發(fā)給所述接入交換機����。本發(fā)明既利用了 DHCPv6方便的特性,又利用了 802. Ix的安全認證機制����,提供了一種用戶終端安全方便的接入網(wǎng)絡的方法���,同時實現(xiàn)控制用戶終端接入權限的目的。
圖1為現(xiàn)有的中繼代理遠程標識選項字段的格式示意圖����;圖2為本發(fā)明實施例的用戶訪問權限控制系統(tǒng)的系統(tǒng)框圖;圖3為本發(fā)明實施例的用戶訪問權限控制系統(tǒng)的工作流程圖��;圖4為本發(fā)明實施例的用戶訪問權限控制方法的方法流程圖�����。
具體實施例方式下面結合附圖并通過具體實施方式
對本發(fā)明作進一步說明����。圖2為本發(fā)明實施例的用戶訪問權限控制系統(tǒng)的系統(tǒng)框圖。如圖2所示�,所述用戶訪問權限控制系統(tǒng)包括多個用戶終端、接入層交換機�����、匯聚層交換機���、DHCPv6服務器和認證服務器�����,在本實施例中��,所述認證服務器優(yōu)選為用戶業(yè)務遠程撥號認證(Remote Authentication Dial In User Service����,Radius)服務器��。其中����,用戶終端通過接入交換機連入網(wǎng)絡,匯聚交換機收集接入交換機轉發(fā)的DHCPv6信息向DHCPv6服務器轉發(fā)并轉發(fā)來自接入交換機的數(shù)據(jù)報文����,而Radius服務器對接入交換機通過匯聚交換機傳來的DHCPv6 請求進行驗證以向接入交換機下發(fā)基于地址確定的訪問控制列表(Access Control List, ACL)。ACL根據(jù)數(shù)據(jù)包的包頭信息(源地址�、目的地址、源端口���、目的端口����、協(xié)議等)來控制路由器應該允許還是拒絕數(shù)據(jù)包的通過,從而實現(xiàn)訪問控制的目的���。所述接入交換機被配置為支持DHCPv6中繼代理功能并負責配置訪問控制列表表項以控制不同IP網(wǎng)段的用戶的接入權限范圍����。接入交換機還被配置為啟動802. Ix認證流程�����,進行DHCPv6偵聽�����、綁定以及對DHCPv6附加中繼代理遠程標識選項字段信息的作用�。用戶終端(DHCPv6 Client)安裝有DCN802. Ix用戶終端,具備802. Ix接入認證功能����。RADIUS是一種用于在需要認證其鏈接的網(wǎng)絡訪問服務器(NAS)和共享認證服務器之間進行認證、授權和計費信息的文檔協(xié)議���,RADIUS使用UDP作為傳輸協(xié)議�����,具有良好的實時性�����;同時也支持重傳機制和備用服務器機制�,有較好的可靠性。在本發(fā)明實施例中�,在RADIUS服務器上為每一個認證用戶終端配置Radius的沈屬性(Vendor-Specific Attribute,廠商屬性)的內(nèi)容為用戶終端的可訪問資源(如用戶jim���,可訪問網(wǎng)段 2001: :/32 或者全網(wǎng)::/0) ο其中��,所述用戶終端包括DHCPv6單元,所述接入交換機包括DHCPv6偵聽單元和 802. Ix認證單元����,所述匯聚交換機包括中繼單元;所述用戶終端利用DHCPv6單元通過接入交換機和匯聚交換機將DHCPv6請求發(fā)送給DHCPv6服務器�;并在接收到DHCPv6服務器下發(fā)的DHCPv6回應后,獲取IPv6地址���,然后發(fā)起802. Ix認證�����。所述接入交換機��,與用戶終端連接���,利用DHCPv6偵聽單元在DHCPv6請求的Option 37中附加默認值��,然后通過匯聚交換機將DHCPv6請求轉送至DHCPv6服務器���;并根據(jù) Radius服務器下發(fā)的用戶終端的可訪問資源信息,更新用戶終端可訪問資源的硬件ACL表項����,從而通過用戶終端的IPv6地址對應的硬件ACL表項中此IPv6地址所限制的網(wǎng)段,控制用戶終端接入網(wǎng)絡的權限�����。其中����,在DHCPv6請求的Option 37中附加默認值具體包括enterprise-number 設置為廠商的注冊號,remote-id設置為接入VLAN�����、接入端口以及交換機的CPU MAC,例如�,接入交換機的DHCPv6偵聽單元在Option 37的enterprise-number字段填入6336, remote-id 字段填入字符串 “Vlanl+Ethernertl/l+00-03-0f-00-00_01���,����,�。接入交換機的DHCPv6偵聽單元接到回復的DHCPv6回應后,將提取其中的IPv6地址�����、MAC和端口信息發(fā)送給802. Ix單元��,DHCPv6偵聽單元轉發(fā)該DHCPv6回應到用戶終端����。 802. Ix認證成功后����,接入交換機會保存Radius服務器通過Radius Access-Accept報文的 26屬性下發(fā)的用戶可訪問資源信息���,802. Ix單元下發(fā)用戶終端的可訪問資源的硬件ACL表項,此時該用戶終端的流量通過接入交換機時其IPv6地址要受硬件ACL表項的限制��,只能訪問ACL表項允許的網(wǎng)段����。所述匯聚交換機,與接入交換機連接��,利用中繼單元將接入交換機傳入的DHCPv6 請求中繼給DHCPv6服務器并對后續(xù)數(shù)據(jù)報文進行轉發(fā)��。匯聚交換機的中繼單元收到來自接入交換機的DHCPv6請求后����,只負責把DHCPv6 數(shù)據(jù)包中繼給DHCPv6服務器,匯聚交換機不能啟用DHCPv6中繼0ption37的功能���。所述DHCPv6服務器與匯聚交換機通過網(wǎng)絡連接��,將DHCPv6請求的Option 37信息與DHCPv6服務器中預存的Option 37信息進行對比�;如果在DHCPv6服務器中存在與 DHCPv6請求的Option 37信息匹配的Option 37匹配信息����,則將此Option 37匹配信息相應的地址池中的IP分配給DHCPv6請求�,否則�,駁回所述DHCPv6請求。具體來說��,在DHCPv6服務器中配置有很多Option 37匹配信息��,每個不同的 Option 37匹配信息下配置相應的地址池�����,如果用戶終端的DHCPv6請求中Option 37信息匹配DHCPv6服務器上其中一個Option 37匹配信息���,則從相對應的地址池中分配IP給 DHCPv6請求���,如果沒有匹配任一個地址池,則會駁回請求�����。所述Radius服務器與匯聚交換機通過網(wǎng)絡連接����,對用戶終端通過接入交換機傳來的dotlx請求進行驗證���;并在802. Ix認證成功后��,通過匯聚交換機向接入交換機下發(fā)用戶終端的可訪問資源信息��。本系統(tǒng)的工作流程如圖3所示用戶終端向DHCPv6服務器發(fā)送DHCPv6請求�����;接入交換機的DHCPv6偵聽單元截獲用戶的DHCPv6請求后�,在DHCPv6請求的Option 37中附加默認值到DHCPv6請求報文尾部, 對DHCPv6請求報文其它部分不作修改����,然后發(fā)送給匯聚交換機,匯聚交換機的中繼單元將 DHCPv6請求中繼給DHCPv6服務器�。DHCPv6服務器收到DHCPv6請求后,根據(jù)預先配置的Option 37匹配信息從對應的地址池中分配 IP�����,例如 Option 37 字段中的 remote-id 為“Vlanl+Ethernertl/l+00_03-Of-OO-OO-Ol”���,預設的地址池是IP1/MASK1���,然后將加入IP的DHCPv6回應通過匯聚交換機發(fā)送給接入交換機��;接入交換機的DHCPv6偵聽單元接到回復的DHCPv6回應后����,提取其中的 IPv6地址���、MAC和端口信息保存��,用戶終端獲取IPv6地址后向RADIUS服務器發(fā)起802. Ix 認證�,DHCPv6偵聽單元轉發(fā)該DHCPv6回應到用戶終端�。 802. Ix認證成功后,接入交換機保存!Radius服務器通過feidiusAccess-Acc印t報文的26屬性下發(fā)的用戶可訪問資源信息��,802. Ix單元根據(jù)該用戶可訪問資源信息更新用戶終端的可訪問資源的硬件ACL表項���,此時該用戶終端的流量通過接入交換機時其IPv6地址要受硬件ACL表項的限制��,只能訪問允許的網(wǎng)段�。圖4是本發(fā)明實施例的用戶接入權限控制方法的方法流程圖����。如圖4所示,所述方法包括步驟100、用戶終端的DHCPv6單元向接入交換機發(fā)送DHCPv6請求�����,接入交換機的DHCPv6偵聽單元在DHCPv6請求的Option 37中附加默認值����,然后通過匯聚交換機向 DHCPv6服務器轉送改附加了默認值的DHCPv6請求����。此時經(jīng)過接入交換機的所有數(shù)據(jù)報文都不能轉發(fā),僅能向匯聚交換機轉送DHCPv6 請求��;這樣用戶終端在獲取認證后的IPv6地址之前�����,除了能向DHCPv6服務器發(fā)送DHCPv6 請求外���,不能訪問其他資源���。匯聚交換機的中繼單元收到來自接入交換機的DHCPv6請求后,只負責把DHCPv6 數(shù)據(jù)包中繼給DHCPv6服務器����,匯聚交換機不能啟用DHCPv6中繼0ption37的功能�。在DHCPv6請求的Option 37中附加默認值具體包括enterprise-number設置為廠商的注冊號��,remote-id設置為接入VLAN�、接入端口以及交換機的MAC地址,例如DHCPv6 偵聽單元在 Option 37 的 enterprise-number 填入 6336�,remote-id 填入字符串 “Vlanl+E thernertl/l+00-03-0f-00-00-01,���,���。步驟200、DHCPv6服務器將接收到的DHCPv6請求的Option 37信息與DHCPv6服務器中預存的Option 37匹配信息進行對比�����,如果查找到匹配的Option 37匹配信息�����,則 DHCPv6服務器從該匹配信息對應的地址池中選取地址作為IPv6地址加入到DHCPv6回應中并通過匯聚交換機下發(fā)給接入交換機����,否則駁回該DHCPv6請求���。步驟300、接入交換機在接收到DHCPv6服務器下發(fā)的DHCPv6回應后����,將剝離 DHCPv6服務器下發(fā)的DHCPv6回應中的Option 37信息��,并提取DHCPv6回應中的����,然后才將DHCPv6回應下發(fā)給用戶終端。用戶終端獲得IPv6地址后�����,接入交換機發(fā)起進行802. Ix 認證�����;802. Ix認證成功后的用戶終端的可訪問資源的內(nèi)容由Radius服務器利用Radius Access-Acc印t報文的洸屬性(Vendor-Specific Attribute����,廠商屬性)下發(fā)給接入交換機;接入交換機保存該認證用戶終端的可訪問資源��,并根據(jù)用戶終端的可訪問資源信息下發(fā)用戶終端可訪問資源的硬件ACL表項,從而控制用戶終端接入網(wǎng)絡的權限�����。步驟400�����、用戶終端利用IPv6地址通過接入交換機下發(fā)的訪問權限訪問網(wǎng)絡�����。此時接入交換機利用硬件ACL表項限制用戶IPv6地址的訪問權限���,在用戶終端利用獲取的IPv6地址訪問時���,接入交換機根據(jù)該IPv6地址對應的硬件ACL表項中此IPv6地址所限制的網(wǎng)段控制用戶終端的訪問權限。本發(fā)明既利用了 DHCPv6方便的特性�����,又利用了 802. Ix的安全認證機制���,提供了一種用戶終端安全方便的接入網(wǎng)絡的方法�����,同時實現(xiàn)控制用戶終端接入權限的目的��。上述僅為本發(fā)明的較佳實施例及所運用技術原理���,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi)�����,可輕易想到的變化或替換,都應涵蓋在本發(fā)明的保護范圍內(nèi)���。
權利要求
1.一種用戶接入權限控制系統(tǒng)�����,所述系統(tǒng)包括用戶終端��,接入交換機�����,匯聚交換機以及通過網(wǎng)絡與匯聚交換機連接的地址分配服務器和認證服務器�����;所述用戶終端用于向接入交換機發(fā)送地址分配請求以請求地址分配服務器分配地址��, 并根據(jù)地址分配服務器分配的地址向認證服務器發(fā)起認證請求�����;所述接入交換機用于向所述地址分配請求的中繼代理遠程標識選項字段(Option 37) 中附加接入虛擬局域網(wǎng)標識�、接入端口以及接入交換機物理地址,并轉發(fā)該附加過信息的地址分配請求�����;所述匯聚交換機用于轉發(fā)所有來自接入交換機的報文��;所述地址分配服務器用于根據(jù)地址分配請求的中繼代理遠程標識選項字段中所附加信息為所述用戶終端分配地址���;所述認證服務器用于根據(jù)用戶終端發(fā)起的認證請求向所述接入服務器返回該用戶終端的網(wǎng)絡接入權限信息����;所述接入交換機還用于根據(jù)所述網(wǎng)絡接入權限信息更新網(wǎng)絡訪問控制列表以控制所述用戶終端的訪問權限���。
2.如權利要求1所述的用戶接入權限控制系統(tǒng)�����,其特征在于所述地址分配服務器為基于IPv6的動態(tài)主機設置協(xié)議(DHCPv6)服務器���,所述認證服務器為用戶業(yè)務遠程撥號認證(Radius)服務器��,所述地址分配請求信息為DHCPv6請求�����。
3.如權利要求2所述的用戶接入權限控制系統(tǒng)����,其特征在于所述地址分配服務器預先配置匹配信息�,匹配信息對應于不同的地址池�����,所述地址分配服務器對所述DHCPv6請求中的Option 37字段信息與所述匹配信息進行匹配���,在相匹配的匹配信息所對應的地址池中選擇地址進行分配�。
4.如權利要求2所述的用戶接入權限控制系統(tǒng)�,其特征在于所述Radius服務器通過 Radius Access-Accept報文的廠商屬性將所述網(wǎng)絡接入權限信息下發(fā)給所述接入交換機�。
5.一種用戶接入權限控制方法����,包括用戶終端用于向接入交換機發(fā)送地址分配請求以請求地址分配服務器分配地址; 接入交換機向所述地址分配請求的中繼代理遠程標識選項字段(0ption37)中附加接入虛擬局域網(wǎng)標識�、接入端口以及接入交換機物理地址,并通過匯聚交換機向地址分配服務器轉發(fā)該附加信息后的地址分配請求��;地址分配服務器根據(jù)地址分配請求的中繼代理遠程標識選項字段中所附加信息為所述用戶終端分配地址��;所述用戶終端獲得所分配的地址后根據(jù)該分配的地址向認證服務器發(fā)起認證請求�; 所述認證服務器根據(jù)用戶終端發(fā)起的認證請求向所述接入服務器返回該用戶終端的網(wǎng)絡接入權限信息;接入交換機根據(jù)所述網(wǎng)絡接入權限信息更新網(wǎng)絡訪問控制列表以控制所述用戶終端的訪問權限�。
6.如權利要求5所述的用戶接入權限控制方法,其特征在于所述地址分配服務器為基于IPv6的動態(tài)主機設置協(xié)議(DHCPv6)服務器���,所述認證服務器為用戶業(yè)務遠程撥號認證(Radius)服務器����,所述地址分配請求信息為DHCPv6請求�����。
7.如權利要求6所述的用戶接入權限控制方法�����,其特征在于所述地址分配服務器預先配置匹配信息,匹配信息對應于不同的地址池��,所述地址分配服務器對所述DHCPv6請求中的Option 37字段信息與所述匹配信息進行匹配����,在相匹配的匹配信息所對應的地址池中選擇地址進行分配。
8.如權利要求6所述的用戶接入權限控制方法����,其特征在于所述Radius服務器通過 Radius Access-Accept報文的廠商屬性將所述網(wǎng)絡接入權限信息下發(fā)給所述接入交換機。
全文摘要
本發(fā)明公開了一種用戶接入權限控制系統(tǒng)�,所述系統(tǒng)包括用戶終端,接入交換機����,匯聚交換機以及通過網(wǎng)絡與匯聚交換機連接的地址分配服務器和認證服務器;接入交換機用于在用戶終端的地址分配請求的Option 37字段附加接入信息�����,地址分配服務器根據(jù)該附加的接入信息選擇地址池分配地址�����,認證服務器根據(jù)該分配的地址向接入交換機下發(fā)該用戶終端地址的網(wǎng)絡接入權限信息�,接入交換機根據(jù)網(wǎng)絡接入權限信息更新ACL表項以控制用戶終端接入權限。本發(fā)明通過接入交換機的DHCPv6偵聽實現(xiàn)了對用戶接入權限的分類管理���。
文檔編號H04L29/06GK102571811SQ20121002875
公開日2012年7月11日 申請日期2012年2月9日 優(yōu)先權日2012年2月9日
發(fā)明者梁小冰 申請人:神州數(shù)碼網(wǎng)絡(北京)有限公司