[发明专利]一种基于DHCP Option 82的用户接入权限控制方法

权利要求书

1.一种基于DHCP Option 82的用户接入权限控制方法，其中，客户端通过接入交换机、汇聚交换机与DHCP服务器连接，汇聚交换机连接有Radius服务器，其特征在于，该方法包括如下步骤：

步骤1、用户终端DHCP模块向接入交换机发送DHCP请求，接入交换机的DHCP Snooping模块在DHCP请求的Option 82中附加默认值，然后通过汇聚交换机向DHCP服务器转送DHCP请求；

步骤2、DHCP服务器将接收到的DHCP请求的Option 82信息与DHCP服务器中预存的信息进行对比，如果找到相应的信息，则DHCP服务器将其中的地址作为一次IP地址加入到DHCP回应中，并通过汇聚交换机下发给接入交换机，否则驳回该DHCP请求；

步骤3、接入交换机接到返回的DHCP回应后转发给用户终端，用户终端获取一次IP，用户终端发起802.1x认证，如果认证成功，用户终端的802.1x模块向DHCP服务器再发送一次DHCP请求，此次的DHCP请求附加有认证后的Option 82信息；

步骤4、用户终端的802.1x认证成功后，DHCP服务器将接收到的DHCP请求中的OPTION 82信息与DHCP服务器中预存的信息进行对比，如果找到相应的信息，则DHCP服务器分配一个二次IP地址给用户终端；否则驳回此次DHCP请求，用户终端仅能使用一次IP地址访问网络；

步骤5、用户终端利用二次IP地址通过汇聚交换机配置的访问权限访问网络。

2.如权利要求1所述的一种基于DHCP Option82的用户接入权限控制方法，其特征在于，所述步骤1中的默认值为：将Option 82信息的子选项1设为未认证状态，子选项2设为接入交换机的CPU MAC地址。

3.如权利要求1所述的一种基于DHCP Option82的用户接入权限控制方法，其特征在于，所述步骤2中DHCP服务器中预存的信息为：在DHCP服务中配置有很多Option 82，每个不同的Option 82内容下配置相应的地址池，如果用户终端的DHCP请求中Option 82内容匹配DHCP服务器的其中一个Option 82，则从相应的地址池中分配IP给DHCP请求。

4.如权利要求1所述的一种基于DHCP Option82的用户接入权限控制方法，其特征在于，所述步骤3中接入交换机接到返回的DHCP回应后，剥离其中的Option 82信息，然后转发给用户终端。用户终端认证通过后的Option 82由Radius服务器利用Access-Accept报文的26属性下发给接入交换机保存，而用户终端的802.1x模块再次发送DHCP请求时，接入交换机的DHCP Snooping模块会将保存的认证后的Option 82信息添加到此次的DHCP请求的Option 82中。

5.如权利要求1所述的一种基于DHCP Option82的用户接入权限控制方法，其特征在于，所述步骤3中，接入交换机将一次认证成功后的DHCP请求中的IP地址和MAC地址绑定在接入交换机端口上，以防止ARP欺骗，DHCP Snooping模块在获得DHCP ACK包后更新用户访问所有资源的IP地址和ARP的ACL表项。

6.如权利要求1所述的一种基于DHCP Option82的用户接入权限控制方法，其特征在于，所述步骤4中，DHCP服务器分配的二次IP地址由DHCP服务器根据DHCP请求中Option 82选择相应的地址池，从中分配给用户终端。

7.如权利要求1所述的一种基于DHCP Option82的用户接入权限控制方法，其特征在于，所述步骤5中，汇聚交换机中利用硬件ACL表项配置二次IP地址网段的访问权限，在用户终端利用二次IP地址访问时，汇聚交换机根据二次IP地址对应的硬件ACL表项中此二次IP地址所限制的网段，控制用户终端的访问权限。

8.如权利要求7所述的一种基于DHCP Option82的用户接入权限控制方法，其特征在于，接入交换机的DHCP Snooping模块接到用户的DHCP请求后，在802.1x认证表项里查询DHCP请求的源MAC是否通过认证，如果用户未通过认证，接入交换机附加未通过标识到DHCP请求尾部，对DHCP请求其它部分不作修改而传送到汇聚交换机的DHCP中继代理；

如果用户已经通过认证，则取出已认证Option 82放到DHCP请求尾部，交给汇聚交换机DHCP中继代理。