技術領域

本發明實施例涉及通信技術，尤其涉及一種合法監聽的方法及網絡設備。

背景技術

合法監聽是由執法機構（Law Enforcement Agency，簡稱：LEA）和網絡服務提供商（Internet Service Provide，簡稱：ISP）配合完成的監聽系統。通過在ISP網絡部署合法監聽業務，LEA可以針對網絡信息內容進行監聽和審計，識別違法犯罪活動以進行有效打擊。

當用戶通過動態主機配置協議（Dynamic Host Configuration Protocol，簡稱：DHCP）分得的地址訪問網絡時，監聽設備根據用戶的媒體接入控制（Medium Access Control，簡稱：MAC）地址和互聯網協議（Internet Protocol，簡稱：IP）地址下發監聽命令，網絡設備根據該MAC地址和IP地址生成相應的訪問控制列表（Access Control List，簡稱：ACL）規則，將用戶的流量引導至監聽設備，從而實現監聽。然而，若用戶的MAC地址或IP地址發生變化，監聽設備需要根據變化后的MAC地址或IP地址重新下發監聽命令，導致操作繁瑣，降低監聽效率。

發明內容

本發明實施例提供一種合法監聽的方法及網絡設備，以減少由于用戶的MAC地址或IP地址發生變化而導致的監聽設備重新下發監聽命令的情況。

第一方面，本發明實施例提供一種合法監聽的方法，包括：

網絡設備獲取監聽信息，所述監聽信息包括用戶的標識和監聽標識，所述監聽標識用于指示是否對所述用戶進行監聽，所述用戶的標識包括所述用戶的接入鏈路信息，所述接入鏈路信息用于標識所述用戶的物理位置；

所述網絡設備接收第一用戶設備發來的動態主機配置協議DHCP報文，所述DHCP報文中攜帶所述用戶的標識，所述第一用戶設備的互聯網協議IP地址和所述第一用戶設備的媒體接入控制MAC地址；

所述網絡設備根據所述DHCP報文中攜帶的所述用戶的標識以及所述監聽信息，確定是否需要對所述用戶進行監聽；

如果確定需要對所述用戶進行監聽，則所述網絡設備根據所述第一用戶設備的IP地址和所述第一用戶設備的MAC地址，設置訪問控制列表ACL規則，所述ACL規則用于將所述網絡設備接收到的、攜帶所述第一用戶設備的MAC地址和所述第一用戶設備的IP地址的報文引導至監聽設備。

在第一方面的第一種可能的實現方式中，在所述接收第一用戶設備發來的DHCP報文后，所述方法還包括：

所述網絡設備記錄所述用戶的標識、所述監聽標識、所述第一用戶設備的IP地址和所述第一用戶設備的MAC地址之間的映射關系。

根據第一方面的第一種可能的實現方式，在第二種可能的實現方式中，在所述網絡設備記錄所述映射關系后，所述方法還包括：

若所述網絡設備監測到所述用戶釋放所述第一用戶設備的IP地址，則所述網絡設備清除所述映射關系中所述第一用戶設備的IP地址和所述第一用戶設備的MAC地址的值。

結合第一方面的第一種或第二種可能的實現方式，在第三種可能的實現方式中，在所述網絡設備記錄所述映射關系后，所述方法還包括：

所述網絡設備接收終止監聽命令，所述終止監聽命令中包含所述用戶的標識；

所述網絡設備根據所述終止監聽命令，刪除記錄的所述映射關系；

或者

所述網絡設備根據所述終止監聽命令，將所述映射關系中與所述用戶的標識所對應的所述監聽標識設置為不對所述用戶進行監聽。

結合第一方面至第一方面的第三種可能的實現方式，在第四種可能的實現方式中，所述DHCP報文中攜帶的所述用戶的標識是由接入設備在所述第一用戶設備通過DHCP獲取IP地址的過程中添加的。

第二方面，本發明實施例提供一種網絡設備，包括：

獲取模塊，用于獲取監聽信息，所述監聽信息包括用戶的標識和監聽標識，所述監聽標識用于指示是否對所述用戶進行監聽，所述用戶的標識包括所述用戶的接入鏈路信息，所述接入鏈路信息用于標識所述用戶的物理位置；

接收模塊，用于接收第一用戶設備發來的動態主機配置協議DHCP報文，所述DHCP報文中攜帶所述用戶的標識，所述第一用戶設備的互聯網協議IP地址和所述第一用戶設備的媒體接入控制MAC地址；

確定模塊，用于根據所述DHCP報文中攜帶的所述用戶的標識以及所述監聽信息，確定是否需要對所述用戶進行監聽；