技術領域

本發明涉及接入認證技術領域，特別涉及一種接入方法和接入設備。

背景技術

在現有的IPv4/IPv6網絡組網中，簡單地使用802.1X協議提供對客戶端的接入認證。如圖1為現有的802.1X認證系統結構示意圖，該認證系統包括客戶端，接入設備和認證服務器；其中，客戶端必須支持局域網上的可擴展認證協議(EAPol，Extensible?Authentication?Protocol?over?LAN)；接入設備是位于局域網一端的網絡設備，對所連接的客戶端進行認證，接入設備通常支持802.1X協議，為客戶端提供接入局域網的端口；認證服務器是為接入設備提供認證服務的實體，用于實現對客戶端的認證、授權和計費，認證服務器通常為遠程認證撥號認證服務器(RADIUS，Remote?AuthenticationDial-In?User?Service)。

現有的IPv4/IPv6網絡組網中，有些使用802.1X認證協議進行接入認證，這種方式只能簡單地基于端口信息對客戶端進行認證和控制，網絡管理員不能知道接入客戶端的IPv4/IPv6地址，也不能使用客戶端的IPv4/IPv6地址對客戶端進行接入控制。

對于不使用802.1X認證協議進行接入認證的IPv4/IPv6網絡組網，接入設備希望能夠針對接入用戶的源IP地址進行接入認證，以便監控所有轉發報文，杜絕偽造源IP地址攻擊。采用這種認證方式的前提是接入設備能夠獲取到客戶端的IP地址，這就要求網絡必須使用動態主機配置協議(DHCP，Dynamic?Host?Configuration?Protocol)地址分配方式為客戶端分配IP地址；然而，在實際IPv4/IPv6網絡組網中，還有很多客戶端的IP地址不是采用DHCP地址分配方式分配的，對于這部分客戶端，接入設備無法獲取其IP地址，也就無法基于IP地址對客戶端進行接入控制。

綜上可見，在現有技術中，無法基于IP地址對客戶端進行接入控制，防止偽造源地址攻擊。

發明內容

本發明提出一種接入方法，用于基于IP地址對客戶端進行接入控制，防止偽造源地址攻擊。

本發明還提出一種接入設備，用于基于IP地址對客戶端進行接入控制，防止偽造源地址攻擊。

本發明的技術方案是這樣實現的：

一種接入方法，包括：

當接入設備學習到客戶端的IP地址時，啟動鄰居學習功能，在鄰居學習的過程中將來自所述客戶端的報文暫時轉發或丟棄；

當接入設備采用鄰居學習功能學習到所述客戶端的物理信息與所述IP地址存在實際的對應關系時，將來自所述客戶端的報文轉發，允許所述客戶端接入。

一種接入設備，包括CPU和轉發處理器，其中CPU包括源地址學習模塊和指令發送模塊；

所述源地址學習模塊，用于學習客戶端的IP地址；還用于采用鄰居學習功能，學習客戶端的物理地址與IP地址是否存在實際的對應關系；

所述指令發送模塊，用于當源地址學習模塊學習到客戶端的IP地址時，向轉發處理器發送第一指令，所述第一指令為：將來自所述客戶端的報文暫時轉發或丟棄；還用于當源地址學習模塊學習到客戶端的物理地址與IP地址存在實際的對應關系時，向轉發處理器發送第二指示，所述第二指示為：將來自所述客戶端的報文轉發；

所述轉發處理器，用于按照所述第一指示，將來自客戶端的報文暫時轉發或丟棄；還用于按照所述第二指示，將來自客戶端的報文轉發。

綜上可見，本發明提出的方法和接入設備，能夠方便地獲得客戶端的多個IP地址，基于IP地址對客戶端進行接入控制，從而有效防止客戶端進行偽造源地址攻擊。此外，啟動鄰居學習功能過程中，在接入設備尚未確定客戶端是否偽造了IP地址時，可以暫時將來自該客戶端的報文轉發或丟棄，避免數據沖突。

附圖說明

圖1為現有的802.1X認證系統結構示意圖；

圖2為本發明接入方法的實現流程圖；

圖3為本發明實施例接入方法的實現流程圖；

圖4為本發明實施例接入設備的結構示意圖。

具體實施方式

本發明提出一種接入方法，應用于包括圖1所示的接入認證系統，本發明主要對系統中的接入設備進行改進，從而實現對客戶端基于IP地址的接入控制，以下具體實施例中將對接入設備及其功能作詳細描述。

參見圖2，圖2為本發明接入方法的實現流程圖。包括：

步驟201：當接入設備學習到客戶端的IP地址時，啟動鄰居學習功能，在鄰居學習的過程中將來自所述客戶端的報文暫時轉發或丟棄；