技術領域

本發明涉及動態主機配置協議(DHCP，Dynamic?Host?ConfigurationProtocol)偵聽技術領域，具體涉及無線漫游用戶訪問網絡的方法、系統及接入點(AP，Access?Point)。

背景技術

在校園網中，一般采用DHCP+WEB認證的方式來實現用戶的安全認證。認證控制點設在校園的認證網關。為了防范地址解析協議(ARP，AddressResolution?Protocol)、DHCP等攻擊，一般在接入交換機上部署DHCP偵聽(Snooping)安全特性。

圖1為現有的DHCP偵聽的業務流程示意圖，如圖1所示，其具體步驟如下：

步驟101：客戶端1上線，廣播DHCP發現(Discovery)報文，該報文中包含客戶端1的媒體接入控制(MAC，Media?Access?Control)地址。

步驟102：所有接收到DHCP?Discovery報文的DHCP服務器檢查自身的配置，如果具有有效的DHCP作用域和富余的IP地址，則廣播DHCP提供(Offer)報文，該報文包括：客戶端1的MAC地址，該DHCP服務器提供的客戶端1的IP地址，該DHCP服務器的IP地址，該DHCP服務器提供的客戶端1的子網掩碼，其它作用域選項例如：域名系統(DNS，Domain?NameSystem)服務器、網關、WINS服務器等，租約期限等。

DHCP服務器會為客戶端1保留為客戶端1提供的IP地址，不會將該IP地址再提供給其它客戶端。

步驟103：客戶端1接收到第一個DHCP服務器返回的DHCP?Offer報文，接受該報文中的IP地址，廣播DHCP請求(Request)報文，以告訴所有DHCP服務器自己已經接受了一個DHCP服務器的租約，該報文中包括：客戶端1的MAC地址、接受的租約中的IP地址、提供該租約的DHCP服務器的IP地址等。

其它DHCP服務器接收到該DHCP?Request報文后，將收回自己為客戶端1保留的IP地址，以給其它客戶端使用。

步驟104：提供租約被接受的DHCP服務器接收客戶端1發來的DHCPRequest報文，廣播DHCP確認(ACK)報文，以進行最后的確認，該報文中包括：客戶端1的MAC地址，DHCP服務器提供的客戶端1的IP地址，租約期限及其它傳輸控制協議(TCP，Transferring?Control?Protocol)/IP選項信息。

步驟105：客戶端1的接入交換機偵聽客戶端1與DHCP服務器交互的DHCP報文，從DHCP?ACK報文中提取客戶端1的IP地址和MAC地址的對應關系，將該對應關系綁定在自身的訪問控制列表(ACL，Access?ControlList)中。

步驟106：接入交換機接收客戶端1發來的ARP請求報文或數據報文，將該報文中的源IP地址、源MAC地址與ACL表項一一匹配。

例如：當客戶端1要客戶端2發送數據報文時，若發現自身只保存了客戶端2的IP地址而未保存客戶端2的MAC地址，則會廣播ARP請求報文，以請求客戶端2的MAC地址，報文的目的IP地址為客戶端2的IP地址。

步驟107：接入交換機判斷是否匹配上，若是，執行步驟108；否則，執行步驟109。

步驟108：接入交換機轉發接收到的ARP請求報文或數據報文，本流程結束。

步驟109：接入交換機認為該ARP請求報文或數據報文為非法報文，丟棄該ARP請求報文或數據報文。

在瘦(Fit)接入點(AP，Access?Point)組網中，可采用集中轉發或本地轉發方式。集中轉發即無線的管理幀和數據幀全部送到接入控制器(AC，Access?Controller)集中處理；本地轉發即：

1)用戶的管理幀，如802.11管理、控制報文和802.1x協議報文等，通過無線接入點配置提供(CAPWAP，Configuration?and?Provisioning?forWireless?Access?Points)隧道傳遞給AC集中處理，以實現用戶的認證、授權等。

2)用戶的數據幀，包括802.11數據和來自有線網絡的802.3數據報文，在AP本地進行解析、封裝等處理，并直接由AP進行轉發。同時，用戶流量信息將通過CAPWAP隧道以管理幀的方式通報給AC，以實現計費、負載均衡等應用。