技術領域

本發明涉及數據通信技術，特別涉及一種限制非DHCP(Dynamic?HostConfiguration?Protocol，動態主機配置協議)用戶上網的方法及裝置。

背景技術

DHCP是一個能夠讓主機從DHCP服務器上自動獲得一個可以讓其正常通信的IP(Internet?Protocol)地址以及相關的配置信息的協議。

DHCP偵聽(DHCP?snooping)是用于偵聽DHCP報文，然后根據偵聽到的信息做進一步的操作和控制。它可以在一定程度上解決DHCP協議本身不具有安全性所帶來的潛在的被攻擊的風險。

目前隨著企業網和校園網等網絡規模的日益擴大，用戶自己配置主機IP地址很容易導致IP地址的沖突，而且也不便于集中管理，所以DHCP的應用越來越廣泛，并且其主要用于大型網絡環境和配置比較困難的地方，它統一由DHCP服務器給主機自動進行IP地址的分配與回收，基本上不需要人為干預，但傳統的DHCP組網方式是基于內部信任并不進行運營的網絡，而對于運營的網絡，則尚需對非DHCP用戶做進一步的控制。

發明內容

本發明所要解決的技術問題在于，提供一種限制非DHCP用戶上網的方法及裝置，對沒有通過DHCP申請到IP地址的用戶網絡訪問權限進行限制。

為達到上述目的，本發明提供的限制非DHCP用戶上網的方法，用于包括交換機、客戶端的網絡接入系統，其特征在于，所述方法包括：

偵聽步驟，用于通過DHCP偵聽將沒有通過DHCP申請IP地址的客戶端的MAC地址置上MAC表的目的丟棄位；

丟棄步驟，用于當所述交換機接收到所述置上目的丟棄位的MAC數據流時丟棄所述目的丟棄位的MAC數據。

上述限制非DHCP用戶上網的方法，其特征在于，還包括一解除丟棄的步驟，用于通過DHCP偵聽將所述通過DHCP申請到IP地址的用戶的MAC地址從MAC表的目的丟棄位去掉。

上述限制非DHCP用戶上網的方法，其特征在于，所述偵聽步驟又包括一判斷所述客戶端是否申請到IP地址的步驟，用于根據客戶端MAC地址查詢DHCP偵聽的客戶端數據庫，如果沒有所述客戶端申請到IP地址的記錄，則將該客戶端MAC地址置上目的丟棄位，以限制該客戶端訪問網絡。

上述限制非DHCP用戶上網的方法，其特征在于，所述還包括一刪除所述MAC表中客戶端MAC地址的步驟，用于當所述DHCP偵聽到所述客戶端釋放DHCP申請到的IP地址時，刪除所述客戶端在所述MAC表中的MAC地址。

為進一步實現本發明的目的，本發明還提供了一種限制非DHCP用戶上網的裝置，用于包括交換機、客戶端的網絡接入系統，其特征在于，所述裝置包括：

一偵聽模塊，用于通過DHCP偵聽將沒有通過DHCP申請IP地址的客戶端的MAC地址置上MAC表的目的丟棄位；

一丟棄模塊，用于當所述交換機接收到所述置上目的丟棄位的MAC數據流時丟棄所述目的丟棄位的MAC數據。

上述限制非DHCP用戶上網的裝置，其特征在于，還包括一解除丟棄模塊，用于通過DHCP偵聽將所述通過DHCP申請到IP地址的用戶的MAC地址從MAC表的目的丟棄位去掉。

上述限制非DHCP用戶上網的裝置，其特征在于，所述偵聽模塊還包括一判斷模塊，用于根據客戶端MAC地址查詢DHCP偵聽的客戶端數據庫記錄來判斷所述客戶端是否申請到IP地址。

上述限制非DHCP用戶上網的裝置，其特征在于，還包括一刪除模塊，用于當所述DHCP偵聽到所述客戶端釋放DHCP申請到的IP地址時，刪除所述客戶端在所述MAC表中的MAC地址。

為更好的實現本發明的目的，本發明還提供了一種應用上述裝置的網絡接入系統，其包括客戶端、交換機，所述交換機包括一限制非DHCP用戶上網的裝置，其特征在于，所述裝置又包括：

一偵聽模塊，用于通過DHCP偵聽將沒有通過DHCP申請IP地址的客戶端的MAC地址置上MAC表的目的丟棄位；

一丟棄模塊，用于當所述交換機接收到所述置上目的丟棄位的MAC數據流時丟棄所述目的丟棄位的MAC數據。

上述系統，其特征在于，所述限制非DHCP用戶上網的裝置還包括一解除丟棄模塊，用于通過DHCP偵聽將所述通過DHCP申請到IP地址的用戶的MAC地址從MAC表的目的丟棄位去掉。