技術領域

本發明涉及計算機數據通信領域，尤其涉及一種基于DHCP和802.1x接入權限控制方法及系統。

背景技術

動態主機分配協議(Dynamic?Host?Configuration?Protocol，簡稱DHCP)作為一種動態分配IP地址的協議，廣泛應用于各種IP網絡中，為了解決在不安全的網絡環境下出現的因IP地址欺騙、硬件位址(MAC地址)欺騙、惡意分配IP地址以致IP資源匱乏等問題，現有技術中規定了中繼代理信息選項即Option?82，用戶終端發出的DHCP地址請求報文在通過接入交換機時，接入交換機會在DHCP選項中添加虛擬局域網(Virtual?Local?Area?Network，簡稱VLAN)ID、交換機端口號等信息，并發給DHCP服務器，這樣DHCP服務器就可以通過VLAN?ID、交換機端口號等信息和用戶信息關聯。一般情況下，管理員在DHCP服務器上配置基于Option?82的地址分配策略，DHCP服務器根據DHCP請求中的Option?82信息來判斷當前請求是否匹配相應策略而分配不同的地址；目前，Option?82并沒有一個確定的內容和格式，常規寫法是“接入VLAN?ID+接入端口ID+交換機標識”，通過這幾個信息組成的字符串可以唯一確定用戶接入的物理位置，然后將從用戶的DHCP報文中獲取的Option?82與預設的數據庫中內容進行比對，若有匹配的字符串則認為用戶接入合法并分配IP地址。但是DHCP本身沒有嚴格的安全認證機制，因此，不能依賴DHCP作為安全接入的基礎。為了防止用戶非法接入網絡，一般在接入網絡中采用802.1x認證，其中，802.1x是IEEE?LAN/WAN委員會為了解決基于端口的網絡接入控制(Port-BasedNetwork?Aecess?Control)而定義的一個標準，該標準目前已經在無線局域網和以太網中被廣泛應用。PC用戶終端安裝802.1x認證用戶終端，客戶通過認證后即可以合法的接入網絡，訪問各種資源。

但是目前的802.1x認證后存在這樣的缺陷，即用戶在認證前無法訪問任何資源，通過認證后又可以訪問所有資源，也就是說，對用戶訪問權限的控制只有完全不能訪問和全部可以訪問這兩種狀態，而這種訪問權限力度太粗，無法實現用戶權限的精細化控制。

發明內容

針對上述技術問題，本發明的目的在于提供一種基于DHCP和802.1x接入權限控制方法及系統，其解決了現有技術中用戶接入網絡時，在802.1x認證后無法精細控制用戶訪問權限的問題。

為達到上述目的，本發明是通過以下技術方案來實現的：

基于DHCP和802.1x接入權限控制方法，包括如下步驟：

A、用戶終端通過接入交換機和匯聚交換機將DHCP請求發送給DHCP服務器；其中，所述用戶終端和匯聚交換機均與接入交換機連接，所述DHCP服務器與匯聚交換機連接；

B、DHCP服務器分析DHCP請求，根據分析結果，駁回DHCP請求，或將與DHCP請求對應的IP加入DHCP回應中后通過匯集交換機和接入交換機下發給用戶終端；

C、若用戶終端獲得DHCP服務器下發的DHCP回應，則用戶終端獲取IP地址，然后發起802.1x認證；

D、用戶終端802.1x認證成功后，Radius服務器通過匯聚交換機向接入交換機下發用戶終端的可訪問資源信息；

E、接入交換機根據傳入的用戶終端的可訪問資源信息，配置用戶終端接入網絡的權限。

特別的，所述步驟A具體包括：

A1、用戶終端的DHCP單元向接入交換機發送DHCP請求；

A2、接入交換機的DHCP?Snooping單元在DHCP請求的Option?82中附加默認值，然后通過匯聚交換機將DHCP請求轉送至DHCP服務器。

特別的，所述步驟A2中在DHCP請求的Option?82中附加默認值具體包括：將Option?82的子選項1設為用戶VLAN和端口信息，子選項2設為接入交換機的CPU?MAC地址。

特別的，所述步驟B具體包括：

B1、DHCP服務器將DHCP請求的Option?82信息與DHCP服務器中預存的Option?82信息進行對比；如果在DHCP服務器中存在與DHCP請求的Option?82信息匹配的Option?82，則將此Option?82相應的地址池中的IP分配給DHCP請求，否則，駁回所述DHCP請求；

B2、DHCP服務器將加入所述IP的DHCP回應，通過匯聚交換機下發給接入交換機；