[发明专利]基于DHCP和802.1x接入权限控制方法及系统

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种基于DHCP和802.1x接入权限控制方法及系统。

背景技术

动态主机分配协议(Dynamic Host Configuration Protocol，简称DHCP)作为一种动态分配IP地址的协议，广泛应用于各种IP网络中，为了解决在不安全的网络环境下出现的因IP地址欺骗、硬件位址(MAC地址)欺骗、恶意分配IP地址以致IP资源匮乏等问题，现有技术中规定了中继代理信息选项即Option 82，用户终端发出的DHCP地址请求报文在通过接入交换机时，接入交换机会在DHCP选项中添加虚拟局域网(Virtual Local Area Network，简称VLAN)ID、交换机端口号等信息，并发给DHCP服务器，这样DHCP服务器就可以通过VLAN ID、交换机端口号等信息和用户信息关联。一般情况下，管理员在DHCP服务器上配置基于Option 82的地址分配策略，DHCP服务器根据DHCP请求中的Option 82信息来判断当前请求是否匹配相应策略而分配不同的地址；目前，Option 82并没有一个确定的内容和格式，常规写法是“接入VLAN ID+接入端口ID+交换机标识”，通过这几个信息组成的字符串可以唯一确定用户接入的物理位置，然后将从用户的DHCP报文中获取的Option 82与预设的数据库中内容进行比对，若有匹配的字符串则认为用户接入合法并分配IP地址。但是DHCP本身没有严格的安全认证机制，因此，不能依赖DHCP作为安全接入的基础。为了防止用户非法接入网络，一般在接入网络中采用802.1x认证，其中，802.1x是IEEE LAN/WAN委员会为了解决基于端口的网络接入控制(Port-BasedNetwork Aecess Control)而定义的一个标准，该标准目前已经在无线局域网和以太网中被广泛应用。PC用户终端安装802.1x认证用户终端，客户通过认证后即可以合法的接入网络，访问各种资源。

但是目前的802.1x认证后存在这样的缺陷，即用户在认证前无法访问任何资源，通过认证后又可以访问所有资源，也就是说，对用户访问权限的控制只有完全不能访问和全部可以访问这两种状态，而这种访问权限力度太粗，无法实现用户权限的精细化控制。

发明内容

针对上述技术问题，本发明的目的在于提供一种基于DHCP和802.1x接入权限控制方法及系统，其解决了现有技术中用户接入网络时，在802.1x认证后无法精细控制用户访问权限的问题。

为达到上述目的，本发明是通过以下技术方案来实现的：

基于DHCP和802.1x接入权限控制方法，包括如下步骤：

A、用户终端通过接入交换机和汇聚交换机将DHCP请求发送给DHCP服务器；其中，所述用户终端和汇聚交换机均与接入交换机连接，所述DHCP服务器与汇聚交换机连接；

B、DHCP服务器分析DHCP请求，根据分析结果，驳回DHCP请求，或将与DHCP请求对应的IP加入DHCP回应中后通过汇集交换机和接入交换机下发给用户终端；

C、若用户终端获得DHCP服务器下发的DHCP回应，则用户终端获取IP地址，然后发起802.1x认证；

D、用户终端802.1x认证成功后，Radius服务器通过汇聚交换机向接入交换机下发用户终端的可访问资源信息；

E、接入交换机根据传入的用户终端的可访问资源信息，配置用户终端接入网络的权限。

特别的，所述步骤A具体包括：

A1、用户终端的DHCP单元向接入交换机发送DHCP请求；

A2、接入交换机的DHCP Snooping单元在DHCP请求的Option 82中附加默认值，然后通过汇聚交换机将DHCP请求转送至DHCP服务器。

特别的，所述步骤A2中在DHCP请求的Option 82中附加默认值具体包括：将Option 82的子选项1设为用户VLAN和端口信息，子选项2设为接入交换机的CPU MAC地址。

特别的，所述步骤B具体包括：

B1、DHCP服务器将DHCP请求的Option 82信息与DHCP服务器中预存的Option 82信息进行对比；如果在DHCP服务器中存在与DHCP请求的Option 82信息匹配的Option 82，则将此Option 82相应的地址池中的IP分配给DHCP请求，否则，驳回所述DHCP请求；

B2、DHCP服务器将加入所述IP的DHCP回应，通过汇聚交换机下发给接入交换机；