CN106254574B - 一种地址分配方法和装置 - Google Patents

Abstract

本发明提供一种地址分配方法和装置，该方法包括：维护下行端口与DHCP地址池的映射关系；在通过下行端口接收到来自用户终端的第一DHCP请求报文时，根据所述映射关系从所述下行端口对应的DHCP地址池中选取一个未被分配的IP地址；向所述用户终端发送携带所述IP地址的第一DHCP响应报文。通过本发明的技术方案，可以解决Overlay网络中报文数量很多的问题，减少Overlay网络的压力，节约Overlay网络的带宽资源。

Description

一种地址分配方法和装置

技术领域

本发明涉及通信技术领域，尤其涉及一种地址分配方法和装置。

背景技术

如图1所示，为ADCMPS(Application Driven Campus，应用驱动园区)网络的组网示意图，ADCMPS网络具有如下优势：IP地址规划简单；业务识别简单，基于最基本的IP地址就可以定义业务(如摄像头等)；用户帐号与IP地址绑定，其审计过程简单；用户安全策略简单；满足强绑定的应用场景(如与银行强绑定)；满足特殊的应用场景(如移动财务终端的license(许可证)授权)。

在ADCMPS网络中，若申请IP地址的用户终端数量很多，则大量的DHCP(DynamicHost Configuration Protocol，动态主机配置协议)请求报文、DHCP响应报文，均需要跨过Overlay网络，导致Overlay网络繁忙，带宽被大量占用。

发明内容

本发明提供一种地址分配方法，应用于汇聚层设备上，所述方法包括：

维护下行端口与动态主机配置协议DHCP地址池的映射关系；

在通过下行端口接收到来自用户终端的第一DHCP请求报文时，根据所述映射关系从所述下行端口对应的DHCP地址池中选取一个未被分配的IP地址；

向所述用户终端发送携带所述IP地址的第一DHCP响应报文。

本发明提供一种地址分配装置，应用于汇聚层设备上，所述装置包括：

维护模块，用于维护下行端口与动态主机配置协议DHCP地址池的映射关系；

选取模块，用于在通过下行端口接收到来自用户终端的第一DHCP请求报文时，根据所述映射关系从所述下行端口对应的DHCP地址池中选取一个未被分配的IP地址；

发送模块，用于向用户终端发送携带所述IP地址的第一DHCP响应报文。

基于上述技术方案，本发明实施例中，可以由汇聚层设备维护下行端口与DHCP地址池的映射关系，在通过下行端口接收到来自用户终端的DHCP请求报文时，直接利用该下行端口对应的DHCP地址池为用户终端分配IP地址，而不用跨过Overlay网络将DHCP请求报文发送给DHCP服务器。而且，由汇聚层设备向用户终端发送携带IP地址的DHCP响应报文，即DHCP响应报文也不用跨过Overlay网络。因此，当申请IP地址的用户终端数量很多时，大量DHCP请求报文、DHCP响应报文均不需要跨过Overlay网络，解决Overlay网络中报文数量很多的问题，减少Overlay网络的压力，节约Overlay网络的带宽资源。

附图说明

为了更加清楚地说明本发明实施例或者现有技术中的技术方案，下面将对本发明实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是ADCMPS网络的组网示意图；

图2是本发明一种实施方式中的地址分配方法的流程图；

图3是本发明一种实施方式中的汇聚层设备的硬件结构图；

图4是本发明一种实施方式中的地址分配装置的结构图。

具体实施方式

在本发明使用的术语仅仅是出于描述特定实施例的目的，而非限制本发明。本发明和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本发明实施例中提出一种地址分配方法，该方法可以应用于包括用户终端、汇聚层设备和DHCP服务器的网络中，如ADCMPS网络。以图1为本发明实施例的应用场景示意图，用户终端可以采用无线方式接入，此时，该用户终端可以为移动终端(如手机)等，且接入层设备可以为AP(Access Point，接入点)等。用户终端还可以采用有线方式接入，此时，该用户终端可以为PC(Personal Computer，个人计算机)等，且接入层设备可以为接入层交换机等。

汇聚层设备可以为汇聚层交换机，且可以在汇聚层设备上配置DHCP中继(DHCPrelay)功能，核心层设备可以为核心层交换机，且汇聚层设备与核心层设备之间可以通过Overlay网络进行交互，对此Overlay网络内部的详细结构，在此不再详细赘述。DHCP服务器用于为用户终端分配IP地址。认证服务器用于完成对用户终端的认证、授权、计费等功能，该认证服务器可以为AAA(Authentication、Authorization、Accounting，认证授权计费)服务器或者RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证系统)服务器等。

在一个例子中，当用户终端申请IP地址时，则用户终端在向DHCP服务器发送DHCP请求报文时，该DHCP请求报文会依次经过接入层设备、汇聚层设备、Overlay(覆盖)网络、核心层设备，并最终达到DHCP服务器，因此，DHCP请求报文需要跨过Overlay网络，才能到达DHCP服务器。同理，DHCP服务器在向用户终端发送的DHCP响应报文时，该DHCP响应报文会依次经过核心层设备、Overlay网络、汇聚层设备、接入层设备，并最终达到用户终端，因此，DHCP响应报文也需要跨过Overlay网络，才能到达用户终端。

在另一个例子中，针对为用户终端分配IP地址的过程，DHCP请求报文和DHCP响应报文也可以不跨过Overlay网络，可以参见图2所示，为该地址分配方法的流程图，该地址分配方法可以应用于汇聚层设备(即DHCP中继)上。

步骤201，维护下行端口与DHCP地址池的映射关系。

步骤202，在通过下行端口接收到来自用户终端的第一DHCP请求报文时，根据该映射关系从该下行端口对应的DHCP地址池中选取一个未被分配的IP地址。

步骤203，向该用户终端发送携带该IP地址的第一DHCP响应报文。

针对步骤201，在一个例子中，下行端口是指汇聚层设备上与用户侧连接的端口，如图1所示，在汇聚层设备1上，端口1和端口2均是下行端口。

在一个例子中，维护下行端口与DHCP地址池的映射关系的过程，可以包括：方式一、在汇聚层设备上配置下行端口与DHCP地址池的映射关系。方式二、获取本设备的下行端口的IP地址所属的网段，向DHCP服务器发送携带该网段的信息的第二DHCP请求报文。接收DHCP服务器返回的第二DHCP响应报文，该第二DHCP响应报文用于表示DHCP服务器允许本设备使用与网段的信息对应的IP地址。维护下行端口与该网段对应的DHCP地址池的映射关系。

假设汇聚层设备1的端口1的IP地址为10.10.10.10，端口2的IP地址为20.20.20.20。针对方式一，则可以在汇聚层设备1上配置端口1与DHCP地址池1(10.10.10.0-10.10.10.255)的映射关系，并在汇聚层设备1上配置端口2与DHCP地址池2(20.20.20.0-20.20.20.255)的映射关系。此外，还可以在DHCP服务器上标记DHCP地址池1和DHCP地址池2已经被分配给汇聚层设备1，不能再分配给用户终端。基于此，当用户终端向DHCP服务器申请IP地址时，则DHCP服务器不能够从DHCP地址池1和DHCP地址池2内选择IP地址。

针对方式二、汇聚层设备1获取端口1的IP地址10.10.10.10所属的网段，在通常情况下，该网段可以为24位的网段，因此，该IP地址10.10.10.10所属的网段可以为10.10.10.0/24。汇聚层设备1向DHCP服务器发送第二DHCP请求报文，且该第二DHCP请求报文中携带该网段10.10.10.0/24的信息。

DHCP服务器在接收到第二DHCP请求报文之后，确定将网段10.10.10.0/24对应的DHCP地址池(即10.10.10.0-10.10.10.255)分配给汇聚层设备1，并标记该DHCP地址池(10.10.10.0-10.10.10.255)已经被分配给汇聚层设备1，不能分配给用户终端。基于此，当用户终端向DHCP服务器申请IP地址时，DHCP服务器不再从DHCP地址池(10.10.10.0-10.10.10.255)内选择IP地址。

DHCP服务器向汇聚层设备1发送第二DHCP响应报文，该第二DHCP响应报文中携带有确认信息，该确认信息用于表示DHCP服务器允许汇聚层设备1使用该DHCP地址池(如10.10.10.0-10.10.10.255)内的的IP地址。汇聚层设备1在接收到来自DHCP服务器的第二DHCP响应报文后，确定DHCP服务器已经将该DHCP地址池(10.10.10.0-10.10.10.255)分配给汇聚层设备1，因此，汇聚层设备1可以维护端口1与DHCP地址池(10.10.10.0-10.10.10.255)的映射关系。

同理，汇聚层设备1还可以获取到端口2的IP地址20.20.20.20所属的网段20.20.20.0/24，并最终维护端口2与DHCP地址池(20.20.20.0-20.20.20.255)的映射关系，此过程与上述端口1的处理过程类似，在此不再重复赘述。

在一个例子中，在ADCMPS网络的组网完成之后，还可以在汇聚层设备上使能DHCP服务器代答功能(如通过在汇聚层设备上下发配置命令DHCP relay proxy serverenable，以使能该DHCP服务器代答功能)。对于使能DHCP服务器代答功能的汇聚层设备，可以采用本发明实施例的技术方案；而对于未使能DHCP服务器代答功能的汇聚层设备，则采用传统流程进行处理。基于此，在执行维护下行端口与DHCP地址池的映射关系之前，汇聚层设备还可以判断本设备是否使能了DHCP服务器代答功能；若是，则执行维护下行端口与DHCP地址池的映射关系的步骤以及后续步骤；若否，则采用传统流程进行处理。

在一个例子中，网段的信息可以包括：该网段的起始IP地址以及终止IP地址；例如，在网段10.10.10.0/24的信息中，起始IP地址为10.10.10.0，终止IP地址为10.10.10.255，第二DHCP请求报文中携带10.10.10.0和10.10.10.255。

与传统的DHCP请求报文不同的是，本发明实施例中，由汇聚层设备1决定自身使用的DHCP地址池，如DHCP地址池1(10.10.10.0-10.10.10.255)，且向DHCP服务器发送的第二DHCP请求报文携带10.10.10.0和10.10.10.255，其目的是告知DHCP服务器，汇聚层设备1需要使用DHCP地址池1，请确认是否将这个DHCP地址池1分配给本汇聚层设备1使用。若这个DHCP地址池1还没有被使用，则DHCP服务器确认将这个DHCP地址池1分配给汇聚层设备1使用，且不再将这个DHCP地址池1分配给其它设备使用，并向汇聚层设备1发送第二DHCP响应报文，以表示同意将这个DHCP地址池1分配给汇聚层设备1使用。与传统的DHCP响应报文不同的是，该第二DHCP响应报文中携带有确认信息。

若这个DHCP地址池1内有IP地址已经被使用，则DHCP服务器不能将这个DHCP地址池1分配给汇聚层设备1使用，并向汇聚层设备1发送失败响应报文，以表示无法将这个DHCP地址池1分配给汇聚层设备1使用。

汇聚层设备1在接收到第二DHCP响应报文后，确定自身可以使用DHCP地址池1，维护下行端口与DHCP地址池1的映射关系。汇聚层设备1在接收到失败响应报文后，确定自身不可以使用DHCP地址池1，采用传统流程处理。

在用户终端向DHCP服务器发送的传统DHCP请求报文中，不会携带网段的信息，该DHCP请求报文用于申请IP地址，用户终端无法决定自身使用的IP地址。DHCP服务器在接收到DHCP请求报文之后，为用户终端分配一个IP地址，且DHCP响应报文中会携带该IP地址，最终由用户终端使用该IP地址。

在一个例子中，第二DHCP响应报文中还可以携带网段10.10.10.0/24对应的各IP地址的租约信息，如1小时。此租约信息的作用是：汇聚层设备1在利用DHCP地址池1为用户终端分配IP地址时，该IP地址的租约时间为1小时，当用户终端使用该IP地址的时间达到该租约时间后，则汇聚层设备1可以回收该IP地址，由用户终端重新申请IP地址。

针对步骤202、步骤203，在一个例子中，汇聚层设备1在通过端口1接收到来自用户终端1的第一DHCP请求报文时，从端口1对应的DHCP地址池1(10.10.10.0-10.10.10.255)中选取一个未被分配的IP地址10.10.10.100，并向用户终端1发送携带该IP地址10.10.10.100的第一DHCP响应报文。汇聚层设备1通过端口2收到来自用户终端2的第一DHCP请求报文时，从端口2对应的DHCP地址池2(20.20.20.0-20.20.20.20.255)中选取一个未被分配的IP地址20.20.20.100，并向用户终端2发送携带该IP地址20.20.20.100的第一DHCP响应报文。

基于上述技术方案，本发明实施例中，可以由汇聚层设备维护下行端口与DHCP地址池的映射关系，在通过下行端口接收到来自用户终端的DHCP请求报文时，直接利用该下行端口对应的DHCP地址池为用户终端分配IP地址，而不用跨过Overlay网络将DHCP请求报文发送给DHCP服务器。而且，由汇聚层设备向用户终端发送携带IP地址的DHCP响应报文，即DHCP响应报文也不用跨过Overlay网络。因此，当申请IP地址的用户终端数量很多时，大量DHCP请求报文、DHCP响应报文均不需要跨过Overlay网络，解决Overlay网络中报文数量很多的问题，减少Overlay网络的压力，节约Overlay网络的带宽资源。

在一个例子中，汇聚层设备还可以判断是否允许用户终端访问网络，如果是，则在本地表项中记录用户终端的标识信息与用户终端的IP地址的映射关系。进一步的，汇聚层设备判断是否允许用户终端访问网络的过程，可以包括如下方式：方式一、在接收到来自用户终端的认证报文时，向认证服务器转发该认证报文；若接收到认证服务器返回的认证成功报文，则确定允许用户终端访问网络；该认证成功报文是认证服务器利用认证报文确定用户终端认证成功，并记录用户终端已经上线后发送的。若接收到认证服务器返回的认证失败报文，确定不允许用户终端访问网络。方式二、从认证服务器上获取针对DHCP地址池的认证策略信息，若用户终端的IP地址位于该DHCP地址池内，利用该认证策略信息确定允许用户终端访问网络或者确定不允许用户终端访问网络，并在允许用户终端访问网络时，通知认证服务器记录该用户终端已经上线。

针对方式一，用户终端在得到IP地址(如IP地址10.10.10.100)后，还可以使用该IP地址发送业务报文，继而访问网络资源。在用户终端访问网络之前，还可以对用户终端进行认证，如portal认证、802.1X认证等，具体认证方式可以根据实际需要任意选择，本发明实施例中对此认证方式不做限制。

在认证过程中，用户终端会发送认证报文。汇聚层设备在接收到来自用户终端的认证报文时，向认证服务器转发该认证报文。认证服务器利用该认证报文对用户终端进行认证，具体认证过程不再赘述。用户终端的认证结果为认证成功或者认证失败，若认证结果为认证失败，则认证服务器通知用户终端重新认证，对此过程不再赘述。若认证结果为认证成功，则认证服务器记录该用户终端已经上线，并向用户终端返回认证成功报文。汇聚层设备在接收到认证服务器返回的认证成功报文后，在本地表项中记录该用户终端的标识信息(如用户名等)与该用户终端的IP地址(即之前分配的IP地址)的映射关系。

在一个例子中，汇聚层设备维护的本地表项可以如表1所示。针对认证服务器记录用户终端已经上线的过程，认证服务器也可以维护用户终端的标识信息与IP地址的映射关系，以表示该IP地址对应的用户终端已经通过认证，并已经上线且访问网络资源，认证服务器维护的映射关系也可以如表1所示。

表1

用户终端的标识信息	用户终端的IP地址
		Aaa	10.10.10.100
Bbb	20.20.20.100

在一个例子中，汇聚层设备在接收到认证成功报文后，还可以将该认证成功报文转发给用户终端，由用户终端获知自身已经通过认证，并发送业务报文。

针对方式二，可以在认证服务器上配置针对DHCP地址池的认证策略信息，如针对DHCP地址池1(10.10.10.0-10.10.10.255)的认证策略信息1，该认证策略信息1为在时间段A内，用户终端可以免认证访问网络。基于此，汇聚层设备在维护端口1与DHCP地址池1的映射关系后，还可以向认证服务器请求针对DHCP地址池1的认证策略信息，由认证服务器将认证策略信息1返回给汇聚层设备，汇聚层设备记录DHCP地址池1与认证策略信息1的对应关系。

用户终端在得到IP地址(如IP地址10.10.10.100)后，还可以对用户终端进行认证，如portal认证、802.1X认证等，而在认证过程中，用户终端会发送认证报文，该认证报文中会携带IP地址10.10.10.100。汇聚层设备在接收到来自用户终端的认证报文时，由于用户终端的IP地址10.10.10.100位于DHCP地址池1内，假设当前时间位于时间段A内，则基于DHCP地址池1对应的认证策略信息1，汇聚层设备直接确定允许用户终端访问网络，即用户终端认证成功。假设当前时间不位于时间段A内，则基于DHCP地址池1对应的认证策略信息1，汇聚层设备确定不允许用户终端访问网络，即用户终端认证失败。

汇聚层设备在确定用户终端认证成功后，在本地表项中记录该用户终端的标识信息(如用户名等)与该用户终端的IP地址(即之前分配的IP地址)的映射关系，如表1所示，为本地表项的一个示例。而且，汇聚层设备还可以通知认证服务器记录该用户终端已经上线，由认证服务器记录该用户终端已经上线。针对认证服务器记录用户终端已经上线的过程，认证服务器可以维护用户终端的标识信息与IP地址的映射关系，以表示该IP地址对应的用户终端已经通过认证，已经上线且访问网络资源，认证服务器维护的映射关系也可以如表1所示。

在一个例子中，汇聚层设备在确定允许用户终端访问网络，即用户终端认证成功时，还可以生成一个认证成功报文，并将该认证成功报文发送给用户终端，由用户终端获知自身已经通过认证，并发送业务报文。

在业务报文的传输过程中，汇聚层设备在接收到来自用户终端的业务报文时，若本地表项中记录有该业务报文的源IP地址，则利用该业务报文的目的IP地址转发该业务报文。若本地表项中没有记录该业务报文的源IP地址，则汇聚层设备判断该源IP地址是否为收到该业务报文的下行端口对应的DHCP地址池内的IP地址。如果是，则汇聚层设备丢弃该业务报文。如果否，则汇聚层设备从认证服务器上查询该用户终端是否已经上线，如果已经上线，则利用该业务报文的目的IP地址转发该业务报文，如果没有上线，则丢弃该业务报文。

以下结合几个具体情况对上述业务报文的传输过程进行详细说明。

情况一、用户终端1没有发生漫游，仍然在接入层设备1下发送业务报文。在此情况下，汇聚层设备1在接收到来自用户终端1的业务报文时，参见表1所示，由于在本地表项中记录有该业务报文的源IP地址10.10.10.100，因此，汇聚层设备1可以利用该业务报文的目的IP地址转发该业务报文。

情况二、用户终端1从接入层设备1漫游到接入层设备2，并在接入层设备2下发送业务报文。在此情况下，接入层设备2在接收到来自用户终端1的业务报文后，将业务报文发送给汇聚层设备1。汇聚层设备1在接收到该业务报文时，参见表1所示，由于在本地表项中记录有该业务报文的源IP地址10.10.10.100，因此，汇聚层设备1可以利用该业务报文的目的IP地址转发该业务报文。

情况三、用户终端1从接入层设备1漫游到接入层设备3，并在接入层设备3下发送业务报文。在此情况下，接入层设备3在接收到来自用户终端1的业务报文后，将业务报文发送给汇聚层设备2。汇聚层设备2在接收到该业务报文时，由于本地表项中没有记录该业务报文的源IP地址10.10.10.100，因此汇聚层设备2判断该源IP地址10.10.10.100是否为端口3对应的DHCP地址池内的IP地址。

如果源IP地址10.10.10.100是端口3对应的DHCP地址池内的IP地址，则说明源IP地址10.10.10.100对应的用户终端应该在汇聚层设备2上线，源IP地址10.10.10.100应该记录在本地表项中。但是，源IP地址10.10.10.100没有记录在本地表项中，因此表明用户终端未通过认证，汇聚层设备2丢弃该业务报文。

在本应用场景中，假设端口3的IP地址为30.30.30.30，因此，端口3对应的DHCP地址池可以为(30.30.30.0-20.30.30.30.255)，且源IP地址10.10.10.100不是端口3对应的DHCP地址池内的IP地址。因此，汇聚层设备2可以从认证服务器上查询该用户终端是否已经上线。在查询过程中，汇聚层设备2向认证服务器发送携带源IP地址10.10.10.100的查询消息，认证服务器在接收到该查询消息后，由于本地记录了该IP地址10.10.10.100对应的用户终端已经上线，因此向汇聚层设备2返回用户终端已经上线的响应消息，汇聚层设备2在获知用户终端已经上线后，则利用该业务报文的目的IP地址转发该业务报文。

在一个例子中，汇聚层设备2向认证服务器发送查询消息后，若认证服务器本地没有记录该IP地址10.10.10.100对应的用户终端已经上线，则向汇聚层设备2返回用户终端没有上线的响应消息，汇聚层设备2在获知用户终端没有上线后，则丢弃该业务报文，并下发针对该用户终端的静默规则。基于该静默规则，汇聚层设备2再次接收到源IP地址10.10.10.100的业务报文后，可以直接丢弃该业务报文，而不再执行上述的处理流程，以简化对业务报文的处理。

在一个例子中，当用户终端下线时，汇聚层设备可以接收来自用户终端的下线报文，从本地表项中删除用户终端的标识信息与IP地址的映射关系，并向认证服务器转发下线报文，认证服务器停止计费，并记录用户终端已经下线。

基于与上述方法同样的发明构思，本发明实施例还提供一种地址分配装置，该地址分配装置应用在汇聚层设备上。其中，该地址分配装置可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在的汇聚层设备的处理器，读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言，如图3所示，为本发明提出的地址分配装置所在的汇聚层设备的一种硬件结构图，除了图3所示的处理器、非易失性存储器外，汇聚层设备还可以包括其他硬件，如负责处理报文的转发芯片、网络接口、内存等；从硬件结构上来讲，汇聚层设备还可能是分布式设备，可能包括多个接口卡，以便在硬件层面进行报文处理的扩展。

如图4所示，为本发明提出的地址分配装置的结构图，所述装置包括：

维护模块11，用于维护下行端口与DHCP地址池的映射关系；

选取模块12，用于在通过下行端口接收到来自用户终端的第一DHCP请求报文时，根据所述映射关系从所述下行端口对应的DHCP地址池中选取一个未被分配的IP地址；

发送模块13，用于向用户终端发送携带所述IP地址的第一DHCP响应报文。

所述维护模块11，具体用于在维护下行端口与DHCP地址池的映射关系的过程中，获取所述汇聚层设备的下行端口的IP地址所属的网段；

向DHCP服务器发送携带所述网段的信息的第二DHCP请求报文；

接收所述DHCP服务器返回的第二DHCP响应报文，所述第二DHCP响应报文用于表示DHCP服务器允许本设备使用与所述网段的信息对应的IP地址；

维护所述下行端口与所述网段对应的DHCP地址池的映射关系。

所述网段的信息具体包括：所述网段的起始IP地址以及终止IP地址；所述第二DHCP响应报文中还携带所述网段对应的各IP地址的租约信息。

所述维护模块11，还用于判断是否允许所述用户终端访问网络，如果是，则在本地表项中记录所述用户终端的标识信息与所述用户终端的IP地址的映射关系；

所述发送模块13，还用于在接收到业务报文时，若所述本地表项中记录有所述业务报文的源IP地址，则转发所述业务报文；若所述本地表项中没有记录所述业务报文的源IP地址，则判断所述源IP地址是否为收到所述业务报文的下行端口对应的DHCP地址池内的IP地址；如果是，则丢弃所述业务报文；如果否，则从认证服务器上查询所述源IP地址对应的用户终端是否已经上线，如果已经上线，则转发所述业务报文，如果没有上线，则丢弃所述业务报文。

所述维护模块11，进一步用于在判断是否允许所述用户终端访问网络的过程中，在接收到来自所述用户终端的认证报文时，向所述认证服务器转发所述认证报文；若接收到所述认证服务器返回的认证成功报文，则确定允许所述用户终端访问网络；所述认证成功报文是所述认证服务器利用所述认证报文确定所述用户终端认证成功，并记录所述用户终端已经上线后发送的；若接收到所述认证服务器返回的认证失败报文，确定不允许所述用户终端访问网络；或者，

从所述认证服务器上获取针对所述DHCP地址池的认证策略信息，若所述用户终端的IP地址位于所述DHCP地址池内，则利用所述认证策略信息确定允许所述用户终端访问网络或者确定不允许所述用户终端访问网络，并在允许所述用户终端访问网络时，通知所述认证服务器记录所述用户终端已经上线。

其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (10)

1.一种地址分配方法，其特征在于，应用于汇聚层设备，所述方法包括：

维护下行端口与动态主机配置协议DHCP地址池的映射关系；

在通过下行端口接收到来自用户终端的第一DHCP请求报文时，根据所述映射关系从所述下行端口对应的DHCP地址池中选取一个未被分配的IP地址；

向所述用户终端发送携带所述IP地址的第一DHCP响应报文。

2.根据权利要求1所述的方法，其特征在于，所述维护下行端口与动态主机配置协议DHCP地址池的映射关系的过程，具体包括：

获取本设备的下行端口的IP地址所属的网段；

向DHCP服务器发送携带所述网段的信息的第二DHCP请求报文；

接收所述DHCP服务器返回的第二DHCP响应报文，所述第二DHCP响应报文用于表示DHCP服务器允许本设备使用与所述网段的信息对应的IP地址；

维护所述下行端口与所述网段对应的DHCP地址池的映射关系。

3.根据权利要求2所述的方法，其特征在于，

所述网段的信息具体包括：所述网段的起始IP地址以及终止IP地址；

所述第二DHCP响应报文中还携带所述网段对应的各IP地址的租约信息。

4.根据权利要求1所述的方法，其特征在于，所述方法进一步包括：

判断是否允许所述用户终端访问网络，如果是，则在本地表项中记录所述用户终端的标识信息与所述用户终端的IP地址的映射关系；

在接收到业务报文时，若所述本地表项中记录有所述业务报文的源IP地址，则转发所述业务报文；若所述本地表项中没有记录所述业务报文的源IP地址，则判断所述源IP地址是否为收到所述业务报文的下行端口对应的DHCP地址池内的IP地址；如果是，则丢弃所述业务报文；如果否，则从认证服务器上查询所述源IP地址对应的用户终端是否已经上线，如果已经上线，则转发所述业务报文，如果没有上线，则丢弃所述业务报文。

5.根据权利要求4所述的方法，其特征在于，

所述判断是否允许所述用户终端访问网络的过程，具体包括：

在接收到来自所述用户终端的认证报文时，向所述认证服务器转发所述认证报文；若接收到所述认证服务器返回的认证成功报文，则确定允许所述用户终端访问网络；所述认证成功报文是所述认证服务器利用所述认证报文确定所述用户终端认证成功，并记录所述用户终端已经上线后发送的；若接收到所述认证服务器返回的认证失败报文，确定不允许所述用户终端访问网络；或者，

从所述认证服务器上获取针对所述DHCP地址池的认证策略信息，若所述用户终端的IP地址位于所述DHCP地址池内，则利用所述认证策略信息确定允许所述用户终端访问网络或者确定不允许所述用户终端访问网络，并在允许所述用户终端访问网络时，通知所述认证服务器记录所述用户终端已经上线。

6.一种地址分配装置，其特征在于，应用于汇聚层设备，所述装置包括：

维护模块，用于维护下行端口与动态主机配置协议DHCP地址池的映射关系；

选取模块，用于在通过下行端口接收到来自用户终端的第一DHCP请求报文时，根据所述映射关系从所述下行端口对应的DHCP地址池中选取一个未被分配的IP地址；

发送模块，用于向用户终端发送携带所述IP地址的第一DHCP响应报文。

7.根据权利要求6所述的装置，其特征在于，

所述维护模块，具体用于在维护下行端口与DHCP地址池的映射关系的过程中，获取所述汇聚层设备的下行端口的IP地址所属的网段；

向DHCP服务器发送携带所述网段的信息的第二DHCP请求报文；

接收所述DHCP服务器返回的第二DHCP响应报文，所述第二DHCP响应报文用于表示DHCP服务器允许本设备使用与所述网段的信息对应的IP地址；

维护所述下行端口与所述网段对应的DHCP地址池的映射关系。

8.根据权利要求7所述的装置，其特征在于，

所述网段的信息具体包括：所述网段的起始IP地址以及终止IP地址；

所述第二DHCP响应报文中还携带所述网段对应的各IP地址的租约信息。

9.根据权利要求6所述的装置，其特征在于，

所述维护模块，还用于判断是否允许所述用户终端访问网络，如果是，则在本地表项中记录所述用户终端的标识信息与所述用户终端的IP地址的映射关系；

所述发送模块，还用于在接收到业务报文时，若所述本地表项中记录有所述业务报文的源IP地址，则转发所述业务报文；若所述本地表项中没有记录所述业务报文的源IP地址，则判断所述源IP地址是否为收到所述业务报文的下行端口对应的DHCP地址池内的IP地址；如果是，则丢弃所述业务报文；如果否，则从认证服务器上查询所述源IP地址对应的用户终端是否已经上线，如果已经上线，则转发所述业务报文，如果没有上线，则丢弃所述业务报文。

10.根据权利要求9所述的装置，其特征在于，

所述维护模块，进一步用于在判断是否允许所述用户终端访问网络的过程中，在接收到来自所述用户终端的认证报文时，向所述认证服务器转发所述认证报文；若接收到所述认证服务器返回的认证成功报文，则确定允许所述用户终端访问网络；所述认证成功报文是所述认证服务器利用所述认证报文确定所述用户终端认证成功，并记录所述用户终端已经上线后发送的；若接收到所述认证服务器返回的认证失败报文，确定不允许所述用户终端访问网络；或者，

从所述认证服务器上获取针对所述DHCP地址池的认证策略信息，若所述用户终端的IP地址位于所述DHCP地址池内，则利用所述认证策略信息确定允许所述用户终端访问网络或者确定不允许所述用户终端访问网络，并在允许所述用户终端访问网络时，通知所述认证服务器记录所述用户终端已经上线。