技術領域

本發明涉及計算機數據通信領域，尤其涉及一種基于DHCP?Opt?ion?82的用戶接入權限控制方法。?

背景技術

DHCP(Dynamic?Host?Configuration?Protocol，動態主機分配協議)作為一種動態分配IP地址的協議，廣泛應用于各種IP網絡中，為了解決在不安全的網絡環境下出現的因IP地址欺騙、MAC地址欺騙、惡意分配IP地址以致IP資源匱乏等問題，現有技術中規定了中繼代理信息選項即Option?82，用戶終端發出的DHCP地址請求報文在通過接入交換機時，接入交換機會在DHCP選項中添加VLAN(Virtual?Local?Area?Network，虛擬局域網標識)ID、交換機端口號等信息，并發給DHCP服務器，這樣DHCP服務器就可以通過VLANID、交換機端口號等信息和用戶信息關聯。一般管理員在DHCP?Server上配置基于Option82的地址分配策略，DHCP?Server根據DHCP請求中的Option?82信息來判斷當前請求是否匹配相應策略而分配不同的地址，目前Option?82并沒有一個確定的內容和格式，常規寫法是“接入vlanid+接入端口id+交換機標識”，通過這幾個信息組成的字符串可以唯一確定用戶接入的物理位置，然后將從用戶的DHCP報文中獲取的Option?82與預設的數據庫中內容進行比對，若有匹配的字符串則認為用戶接入合法并分配IP地址。但是DHCP本身沒有嚴格的安全認證機制，因此，不能依賴DHCP作為安全接入的基礎。為了防止用戶非法接入網絡，一般在接入網絡中采用802.1x認證，802.1x是IEEE?LAN/WAN委員會為了解決?基于端口的網絡接入控制(Port-Based?Network?Access?Control)而定義的一個標準，該標準目前已經在無線局域網和以太網中被廣泛應用。PC客戶端安裝802.1x認證客戶端，客戶通過認證后即可以合法的接入網絡，訪問各種資源。?

但是目前的802.1x認證后存在這樣的缺陷，用戶在認證前無法訪問任何資源，通過認證后又可以訪問所有資源，也就是說，對用戶訪問權限的控制只有完全不能訪問和全部可以訪問這兩種狀態，而這種訪問權限力度太粗，無法實現用戶權限的精細化控制。?

發明內容

為了解決現有技術中用戶接入網絡時802.1x認證后無法控制用戶訪問權限的問題，本發明提供一種基于DHCP?Option?82利用兩次IP獲取來調整用戶權限的接入控制方法，具體方案如下：基于DHCP?Option?82的用戶接入權限控制方法，包括客戶端和DHCP服務器，客戶端通過接入交換機、匯聚交換機與DHCP服務器連接，匯聚交換機還連接有Radius服務器，其特征在于，包括如下步驟：?

步驟1、用戶終端的DHCP模塊向接入交換機發送DHCP請求，接入交換機的DHCP?Snooping模塊在DHCP請求的Option?82中附加默認值，然后通過匯聚交換機向DHCP服務器轉送DHCP請求；?

步驟2、DHCP服務器將接收到的DHCP請求的Option?82信息與DHCP服務器中預存的信息進行對比，如果找到相應的信息，則DHCP服務器將其中的地址作為一次IP地址加入到DHCP回應中并通過匯聚交換機下發給接入交換機，否則駁回該DHCP請求；?

步驟3、接入交換機接到返回的DHCP回應后轉發給用戶終端，如果用戶終?端通過802.1x認證，用戶終端的802.1x模塊向DHCP服務器再發送一次DHCP請求，此次的DHCP請求附加有認證后的Option?82信息；?

步驟4、用戶終端的802.1x認證成功后，DHCP服務器將接收到的DHCP請求中的OPTION?82信息與DHCP服務器中預存的信息進行對比，如果找到相應的信息，則DHCP服務器分配一個二次IP地址給用戶終端；否則駁回此次DHCP請求，用戶終端僅能使用一次IP地址訪問網絡；?

步驟5、用戶終端利用二次IP地址通過匯聚交換機配置的訪問權限訪問網絡。?

優選的，所述步驟1中的默認值為：將Option?82信息的子選項1設為未認證狀態，子選項2設為接入交換機的CPU?MAC地址。?

優選的，所述步驟2中DHCP服務器中預存的信息為：在DHCP服務中配置有很多Option?82，每個不同的Option?82內容下配置相應的地址池，如果用戶終端的DHCP請求中Option?82內容匹配DHCP服務器上其中一個Option?82，則從相應的地址池中分配IP給DHCP請求。?