[发明专利]一种地址分配方法和一种接入控制设备

权利要求书

1.一种地址分配方法，其特征在于，该方法包括：

接入控制设备作为中间设备协助认证服务器对客户端设备进行802.1x认证；

接入控制设备在接收到认证服务器发送的802.1x认证通过报文时，根据客户端设备的媒质访问控制MAC地址发起动态主机配置协议DHCP流程，从DHCP服务器获得为客户端设备分配的IP地址；

接入控制设备将所获得的IP地址携带在802.1x认证成功报文中发送给客户端设备；

进一步地，该方法进一步包括：

接入控制设备根据802.1x认证过程以及DHCP流程中获取的信息生成保存有MAC地址、IP地址和端口之间对应关系的映射表，所述映射表用于根据该映射表中的对应关系识别MAC地址欺骗报文和IP地址欺骗报文。

2.如权利要求1所述的方法，其特征在于，该方法进一步包括：

在接入控制设备的连接客户端设备的端口上禁止收发DHCP报文。

3.如权利要求1所述的方法，其特征在于，所述根据该映射表中的对应关系识别MAC地址欺骗报文和IP地址欺骗报文包括：

接入控制设备接收到报文时，根据报文的源MAC地址、源IP地址和接收到该报文的端口查找映射表，如果所述报文的源MAC地址、源IP地址和接收到该报文的端口之间的对应关系与映射表中相应对应关系不相匹配时，则确认该报文为MAC地址欺骗报文或IP地址欺骗报文。

4.一种接入控制设备，该接入控制设备是客户端设备和认证服务器的中间设备，其特征在于，该接入控制设备包括：802.1x认证模块和DHCP处理模块，其中，

802.1x认证模块，用于协助认证服务器对客户端设备进行802.1x认证，并在接收到认证服务器发送的802.1x认证通过报文时，将客户端设备的MAC地址发送给DHCP处理模块；然后在接收到DHCP处理模块返回的IP地址时，将该IP地址携带在802.1x认证成功报文中发送给客户端设备；

DHCP处理模块，用于根据所接收的客户端设备的MAC地址发起DHCP流程，从DHCP服务器获得为客户端设备分配的IP地址，并将所获得的IP地址发送给802.1x认证模块；

该接入控制设备进一步包括：识别模块；

所述802.1x认证模块，进一步用于根据802.1x认证过程中获取的信息以及从DHCP处理模块接收的IP地址生成保存有MAC地址、IP地址和端口之间对应关系的映射表；

识别模块，用于根据所述映射表中的对应关系识别MAC地址欺骗报文和IP地址欺骗报文。

5.如权利要求4所述的接入控制设备，其特征在于，该接入控制设备的连接客户端设备的端口上禁止收发DHCP报文。

6.如权利要求5所述的接入控制设备，其特征在于，

识别模块，用于根据接收报文的源MAC地址、源IP地址和接收到该报文的端口查找映射表，如果所述报文的源MAC地址、源IP地址和接收到该报文的端口之间的对应关系与映射表中相应对应关系不相匹配时，则确认该报文为MAC地址欺骗报文或IP地址欺骗报文。