[发明专利]一种访问控制方法、接入设备及系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种访问控制方法、接入设备及系统。

背景技术

在IP(Internet Protocol，网络协议)网络或者IPv6(Internet Protocol Version 6，新一代网络协议)网络模型中，一个CPE/RG(customer premises equipment/router gateway，用户站/路由型网关)要访问网络资源，和其它CPE/RG进行通信，必须获取唯一的IP地址(IPv6地址或者IPv6前缀)。目前，根据不同的链路层封装，CPE/RG获取IP地址、IPv6地址或者IPv6前缀的方式主要有两种：IPoE(IP over Ethernet，IP承载在以太链路上)链路封装类型主要通过DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)协议或者DHCPv6(Dynamic Host Configuration Protocol for IPv6，新一代动态主机配置协议)协议动态获取IP地址(IPv6地址或者IPv6前缀)，以及PPPoE(Point to Point over Ethernet，点对点协议承载在以太链路上)链路封装类型通过PPPoE协议获取IP地址(IPv6地址或者IPv6前缀)。

IPoE链路封装类型安全性比较低，恶意CPE/RG可以通过仿冒其它CPE/RG的IP地址(IPv6地址或者IPv6前缀)或MAC地址进行欺骗，网络容易受到攻击。在网络安全越来越重要的情况下，必须要提供更安全的接入方法，防止网络攻击。AN(Access Node，接入节点)在网络架构中负责给CPE/RG提供接入网络的服务，是最接近CPE/RG的设备，需要处理DHCP协议(DHCPv6协议)，因此，目前AN上防IP地址欺骗和防MAC地址欺骗的接入方法是基于DHCP协议的原理来实现的。

AN通过监听DHCP报文，获取到CPE/RG的MAC地址和DHCP Server分配给CPE/RG的IP地址，并且与AN上的用户侧端口建立绑定关系。用户端口不一定是物理端口，根据不同的接入方式，也可以是虚拟的通道端口，通常在同一端口上可以允许绑定多个MAC地址和IP地址，但要限制绑定的数量，超过该限制值后，不再绑定新的MAC地址和IP地址。

在转发平面转发报文时，通过获取接收报文的用户侧端口，检查报文的MAC地址和IP地址是否符合已经建立的绑定关系，如果符合，则允许访问接入，如果不符合，则不能进行访问，从而实现防止用户进行MAC地址欺骗和IP地址欺骗的目的。在控制平面，如果新的CPE/RG使用与已经绑定MAC地址相同的MAC地址发起DHCP协议申请IP地址，也会检查已经建立的绑定关系，如果用户端口信息不同，认为是属于MAC地址欺骗，丢弃该DHCP协议报文。建立绑定关系的有效时间，根据DHCP协议的原理，与DHCP分配的IP地址的租期相同，当租期到期则删除绑定关系表。

CPE/RG通过DHCP协议申请IP地址时，为了减少DHCP协议报文占用的网络资源，通常租期时间都会比较长，一般在24小时以上，在这段时间内，绑定关系表一直是生效的。但是，当进行开局测试时，可能会使用相同的终端在不同端口上测试DHCP业务是否正常，需要将MAC地址和IP地址在短时间内在不同用户端口上迁移，在这种场景下，因为已经在一端口上绑定了MAC和IP地址，当相同MAC地址迁移到其他端口上进行DHCP协议申请时，会被认为是MAC地址欺骗，不能进行申请，必须等到原绑定关系租期到期删除后，才能在另一端口上申请。由于租期时间一般比较长，所以无法实现上述业务。另外，当一端口上绑定关系表规格已经满的情况下，更换其中一个访问设备，例如终端损坏，更换终端时，需要使用新的MAC地址进行DHCP协议申请，但因为旧的绑定表项租期较长，旧的绑定关系依然存在，新的MAC地址将不能进行申请，所以也无法实现该业务。

由此可见，现有技术防止用户进行MAC地址欺骗和IP地址欺骗的访问控制方法适用性较差，影响了正常业务的进行。

发明内容

有鉴于此，本发明提供一种访问控制方法、接入设备及系统，以解决现有技术中绑定关系建立方法，其具体方案如下：

一种访问控制方法，包括：

接收访问请求，获取用户的网络协议IP地址和用户的介质访问控制MAC地址；