WO2007093100A1

WO2007093100A1 - A method for binding the address of the user terminal in the access equipment

Info

Publication number: WO2007093100A1
Application number: PCT/CN2006/002991
Authority: WO
Inventors: Rujun Shi
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2006-02-17
Filing date: 2006-11-08
Publication date: 2007-08-23
Also published as: US20080301269A1; EP1986386A4; EP1986386B1; EP1986386A1; ATE471024T1; CN100579121C; CN1859407A; US8812691B2; ES2347280T3; DE602006014877D1

Description

一种在接入设备上绑定用户终端地址的方法

技术领域

本发明涉及网络技术领域，尤其涉及一种在接入设备上绑定用户终端地址的方法。发明背景

动态主机配置十办议 ( DHCP, Dynamic Host Configuration Protocol ) 是常用的一种控制上网方式的协议，其协议本身比较成熟、使用简单，得到大多数计算机操作系统的支持。按照 DHCP协议规定，用户终端从 DHCP服务器上的地址池中动态获取一个地址后即可上网，无需额外进行配置或安装拨号工具，对于网络的管理者和一般用户来说都十分方便。

但对一些用户来说，比如专线用户，可能更希望一段时间内使用固定不变的地址，比如：用户要对外开放各种服务。此时，运营商需要给用户分配一个固定地址，用户通过设置静态 IP地址的方式保持 IP地址长时间的稳定。

现有技术中，一般使用静态的 IP地址绑定功能来保障专线用户上网，即：在接入设备上将用户端口与固定分配的 IP地址进行绑定，此后，接入设备只允许来自用户端口绑定的 π地址的报文通过。这里所述的接入设备可以为数字用户线接入复用器（DSLAM, Digital Subscriber Line Access Multiplexr )等实体。

现有技术中 , 由于所有的绑定关系都需要在接入设备有相应的静态配置，并且由网络管理员进行人工配置来实现，如果用户比较多，将不可避免地增加网络管理员的工作量，难以对用户进行管理；另外，由于绑定关系始终存在于接入设备上，如果某非法用户直接利用被绑定的静态 IP地址上网，接入设备将无法判断该用户是非法用户还是合法用户，可能导致合法用户的 IP地址被非法盗用。发明内容

本发明的目的在于提供一种在接入设备上绑定用户终端地址的方法，可以由接入设备自动将用户终端地址与对应的端口进行绑定，无需人工干预。

针对上述目的，本发明提出的技术方案为：

一种在接入设备上绑定用户终端地址的方法，包括以下步骤：

A、在动态主机配置 DHCP服务器为用户终端分配 IP地址的过程中，接入设备接收来自 DHCP服务器的响应报文；

B、接入设备根据响应报文中的携带的用户终端的地址信息和端口信息，将用户终端地址和接入设备上对应的端口进行绑定。

上述方案中，设置动态绑定表，步骤 B所述绑定的方法为：所述接入设备将用户终端地址信息和端口信息之间的绑定关系记录在动态绑定表中。

上述方案中，所述步驟 B之后进一步包括：

当接入设备捕获到携带有用户终端地址信息的 IP报文时，接入设备才艮据 IP 艮文中用户终端地址信息，和捕获到 IP ^=艮文的端口的端口信息查询动态绑定表，如果存在所述用户终端地址信息和所述端口信息，则转发捕获到的 IP报文；否则，不作处理。

上述方案中，所述步驟 B之后进一步包括：

当接入设备捕获到携带有用户终端地址信息的 DHCP释放报文时，接入设备从动态绑定表中删除所述用户终端对应的绑定关系。上述方案中，所述步骤 B之后进一步包括：

为所述用户终端设置在线检测定时器，当在线检测定时器到达超时值时，接入设备向用户终端发送地址解析协议 ARP请求报文，并判断是否接收到返回的 ARP响应报文，如果接收到，则刷新在线检测定时器；否则 , 从动态绑定表中删除用户终端对应的绑定关系。

上述方案中，在接入设备中为所述用户终端设置租期定时器，所述步骤 B之后进一步包括：

当用户终端向 DHCP服务器发送单播续租请求报文时，接入设备判断是否接收到返回的单播续租响应报文，如果接收到，则根据单播续租响应 4艮文刷新租期定时器；否则，在租期定时器到达超时值时,.删除所述绑定关系和租期定时器。

上述方案中，步骤 A所述响应^ ^艮文中的用户终端地址信息为： DHCP服务器为用户终端分配的 IP地址 ,和 /或用户终端 MAC地址；所述用户终端 MAC地址由 DHCP服务器在分配 IP地址过程中获取。

上述方案中，所述 DHCP服务器为用户终端分配 IP地址的过程为：所述用户终端将 DHCP协议报文发送给接入设备，接入设备将接收到的 DHCP 协议报文进行信息处理后再转发给 DHCP服务器，所述 DHCP协议报文携带有用户终端 MAC地址、包括端口信息的远端标识 RID和 /或链路标识 CID;

所述 DHCP服务器根据 RID和 /或 CID查询保存在自身的配置数据库，确定为用户终端分配的 IP地址，再将 DHCP协议响应报文通过接入设备返回给用户终端，所述 DHCP协议响应报文携带有用户终端 MAC 地址、 RID和 /或 CID, 以及为用户终端分配的 IP地址。

上述方案中，所述接入设备对接收到的 DHCP协议报文进行信息处理的方法为：

接入设备记录捕获 DHCP协议报文端口的端口信息，根据端口信息生成 RID和 /或 CID,再将 RID和 /CID填入接收到的 DHCP协议报文中。

上述方案中，所述端口信息为：端口描述信息和 /或端口位置信息。综上所述，本发明提出的在接入设备上绑定用户终端地址的方法，在 DHCP为用户终端分配 IP地址的过程中，接入设备直接将获取的用户终端地址信息和自身对应的端口信息进行了绑定，达到自动绑定，无需人工干预的目的。附图简要说明

图 1是本发明的流程图；

图 2是应用本发明方案的实施例的流程图。实施本发明的方式

下面根据附图和实施例对本发明作进一步详细说明：

本发明的核心思想是：接入设备在用户终端向 DHCP服务器请求分配 IP地址的过程中，获取用户终端的地址信息和自身与用户终端对应的端口信息，再根据所述地址信息和端口信息，将用户终端的地址和接入设备对应的端口进行绑定。

图 1是本发明方案的流程图。如图 1所示，本发明实现在接入设备上绑定用户终端地址的方法包括以下步驟：

步骤 101 : 用户终端请求 DHCP服务器分配 IP地址，在 DHCP服务器为用户终端分配 IP地址的过程中，接入设备接收来自 DHCP服务器的响应报文，所述响应报文携带有用户终端地址信息和接入设备上对应端口的端口信息。这里，用户终端通过接入设备请求 DHCP服务器分配 IP地址的方法大致为：用户终端将 DHCP协议报文发送给接入设备，接入设备将接收到的 DHCP协议报文进行信息处理后再转发给 DHCP服务器，所述 DHCP协议报文携带有用户终端 MAC地址、包含端口信息的远端标识 ( RID , Remote ID Sub-option ) 和 /或链路标识（CID , Circuit ID Sub-option ); DHCP服务器根据 RID和 /或 CID查询保存在自身的配置数据库，确定为用户终端分配的 IP地址，再通过接入设备向用户终端返回 DHCP协议响应^ =艮文，所述 DHCP协议响应 4艮文包括：用户终端 MAC 地址、 RID和 /或 CID, 以及为用户终端分配的 IP地址。本步骤中，所述用户终端地址信息为用户终端 MAC地址和 /或 IP地址。

通常，接入设备通过从端口捕获报文的方式来接收用户终端发送的报文。当用户终端请求 DHCP服务器分配 IP地址时，如果接入设备捕获到 DHCP协议报文，将首先记录下捕获到报文的端口的端口信息，这里所述的端口信息包括端口位置信息和 /或端口描述信息。其中，端口位置信息包括框、槽、端口号、永久虚连接（PVC )等信息；端口描述信息为用户电话号码或用户机主名等字符串信息。实际应用中，端口位置信息和端口描述信息没有严格的规定，可以由用户自行定义，只要能标识端口和来自该端口的用户终端即可。之后，接入设备将捕获到的端口位置信息和自身设备名組成 CID, 将端口描述信息直接作为 RID, 再将 CID和 RID构成 DHCP协议报文的 Option82选项字段，并添加到所捕获的 DHCP协议报文中，然后，将携带有 Option82选项字段的 DHCP 协议报文转发给 DHCP服务器。

实际应用中，接入设备还可以在 Option82选项字段中填写 CID和 RID中任何一个，即在捕获的 DHCP协议报文中添加 CID或 RID。另夕卜，用户终端发送给接入设备的 DHCP协议报文中，通常还包括用户终端自身的 MAC地址。也就是说， DHCP服务器接收到的 DHCP协议报文至少包括用户终端的 MAC地址、 RID和 /或 CID。

DHCP服务器将 RID和 /或 CID作为索引，查询自身的配置数据库，所述配置数据库保存有用户终端的各种配置信息，比如： IP地址、掩码、租期、网关、域名服务器（DNS )等信息。从配置数据库确定用户终端的配置信息之后， DHCP服务器将包括为用户终端分配的 IP地址的配置信息写入 DHCP响应消息，再将 RID和 /或 CID以及用户终端的 MAC 地址回填到 DHCP响应消息中，然后， DHCP服务器将 DHCP响应消息通过接入设备返回给用户终端。

步骤 102: 接入设备根据响应报文中的地址信息和端口信息，将用户终端的地址和接入设备上对应的端口进行绑定。

当接入设备接收到 DHCP服务器的响应报文后，可以从 DHCP响应报文中获取用户终端的 MAC地址、 RID和 /或 CID , 以及包括 IP地址的配置信息。这时，接入设备可以直接将 RID和 /或 CID中的端口信息和地址信息进行绑定，这里所述的地址信息就是用户终端的 MAC地址和 / 或 IP地址。

也就是说，由于 RID中的端口位置信息和 CID中的端口描述信息都可以标识端口，用户终端的 MAC地址和所分配的 IP地址都可以标识用户终端，所以，如果将 RID中的端口位置信息和用户终端 MAC地址进行绑定；或者将 RID中的端口位置信息和用户终端 IP地址进行绑定；或者将 RID中的端口位置信息、用户终端 MAC地址和 IP地址同时进行绑定，都可以达到绑定用户终端地址和接入设备上对应端口的目的。相应地，如果用 CID中的端口描述信息，或者同时用 RID中的端口位置信息和 CID中的端口描述信息，也可以达到绑定的目的。

为了更好地说明本发明方案，下面用一个较佳实施例进行详细说明。

本实施例中，假设接入设备的端口 1下包括用户终端 A和用户终端 B两个用户，端口 2下包括用户终端 C; 本实施例中，用户终端 A先请求分配 IP地址，再利用该 IP地址进行上网，即发送 IP报文，然后下线。

图 2是本实施例的流程图。如图 2所示，本实施例包括以下步骤：步骤 201: 用户终端 A将请求 DHCP服务器分配 IP地址的 DHCP 协议报文发送给接入设备，所述 DHCP协议报文包括用户终端 A的 MAC 地址。

步骤 202: 接入设备从端口 1上捕获到 DHCP协议报文，记录下端口 1的端口位置信息和端口描述信息。

步骤 203: 接入设备将端口 1 的端口位置信息和自身设备名组成 RID,将端口描述信息作为 CID，再将 RID和 CID构成 Option82选项字段，填入 DHCP协议报文中，然后将所述 DHCP协议报文发送给 DHCP 服务器。

步骤 204: DHCP服务器根据 RID和 CID查询自身配置数据库，为用户终端 A确定包括 IP地址的配置信息，将携带有配置信息和用户终端 A的 MAC地址的 DHCP响应报文，通过接入设备返回给用户终端 A。

本实施例中，步骤 201 -步骤 204为用户终端 A请求 DHCP服务器分配 IP地址的过程。实际上，在请求分配 IP地址的过程中，用户终端 A和 DHCP服务器之间可能需要多次发送请求消息和响应消息，即：用户终端 A向 DHCP服务器发送 DHCP探测报文, DHCP服务器返回 DHCP 探测响应报文；用户终端 A向 DHCP服务器发送 DHCP请求报文， DHCP 服务器返回 DHCP请求响应报文，其具体的过程可以参见 DHCP协议，此处不再详细叙述。

步骤 205: 接入设备接收到 DHCP响应报文后，将为用户终端 A分配的 IP地址、用户终端 A自身的 MAC地址以及端口 1的端口位置信息记录在事先设置的动态绑定表中。

这里所述的动态绑定表的形式可以如表一所示:

步骤 206 -步骤 208:接入设备从端口 1捕获携带有 IP地址和 MAC 地址的 IP 4艮文， 4艮据 IP地址、 MAC地址和端口位置信息查询动态绑定表，根据查询结果判断发送 IP报文的用户终端是否合法，如果合法，则转发所述的 IP报文；否则，不作处理。

这里，判断用户终端是否合法，实际上就是判断动态绑定表中是否存在所述用户终端的 IP地址、 MAC地址和端口位置信息这一绑定关系，如果存在，则判断该用户终端合法。

本实施例中，接入设备端口 1下有两个用户终端，即用户终端 A和用户终端 B, 端口 2下有一个用户终端，即用户终端（。接入设备将捕获所有端口上的 IP报文，但只有在动态绑定表中有绑定关系记录的用户终端，才可以通过接入设备将 IP报文发送出去，即实现上网。

如果某非法用户利用静止配置的方式，为用户终端配置某 IP地址，并通过该 IP地址向接入设备发送 IP报文，但由于接入设备无法从动态绑定表查询到该用户终端的 IP地址、 MAC地址和端口位置信息的绑定关系，将不转发捕获到的 IP报文，该非法用户就无法上网。比如：用户终端 C盗用用户终端 A的 IP地址上网，由于用户终端 C对应的端口位置信息，与用户终端 A对应的端口位置信息不同，动态绑定表中不存在用户终端 A的 IP地址、用户终端 C的 MAC地址和端口 2的端口位置信息的绑定关系，接入设备将拒绝为用户终端 C转发 IP报文。步驟 209:用户终端 A通过接入设备向 DHCP服务器发送 DHCP释放报文，接入设备从端口 1捕获到 DHCP释放报文，根据该报文中携带的 IP地址、 MAC地址以及端口位置信息查询动态绑定表，从动态绑定表中删除所述 IP地址、 MAC地址和端口位置信息，即删除用户终端 A 的绑定关系。

这时，用户终端 A处于下线状态，动态绑定表中不存在对应的绑定关系。这种情况下，如果某非法用户盗用用户终端 A的 IP地址进行上网，接入设备也同样无法在动态绑定表中查询到相应的绑定关系，将拒绝为该非法用户转发 IP报文。

当然，如果用户终端 A再次上网，将重新执行步骤 201〜步骤 204 获取 IP地址。如果用户终端 A是专线用户， DHCP服务器的配置数据库中事先为用户终端 A保存了固定的 IP地址等配置信息，用户终端 A 将再次获得相同的 IP地址。

应用本实施例方案，合法的用户终端可以每次在上网时，从 DHCP 服务器中获取 IP地址，并在接入设备中自动为该用户终端建立动态绑定关系。当该用户终端下线后，接入设备也将自动删除所对应的绑定关系，从而防止非法用户盗用 IP地址。

实际应用中，用户终端可能因为故障导致下线，接入设备不能正常地删除对应的绑定关系。这种情况下，为了防止非法用户利用故障用户终端的 IP地址上网，可以在接入设备中为合法的用户终端设置在线检测定时器。当在线检测定时器到达超时值时，接入设备向用户终端发送地址解析协议（ARP )请求报文，并判断是否接收到返回的 ARP响应报文，如果接收到，则刷新在线检测定时器；否则，删除用户终端对应的绑定关系。

另外，用户终端上网可能存在有效期限，即系统事先为用户终端设置了租期。为了对用户终端的租期进行管理，可以在接入设备中为用户终端设置租期定时器。当用户终端通过接入设备向 DHCP服务器发送单播续租请求报文时，接入设备将判断是否接收到返回的单播续租响应报文，如果接收到，则根据单播续租响应报文刷新租期定时器；否则，在租期定时器到达超时值时，删除用户终端对应的绑定关系和租期定时器。

这里，用户终端按照 DHCP协议规定，在到达 1/2和 7/8租期时，将不断地通过接入设备向 DHCP服务器发送单播续租请求报文，如果用户重新交纳了租期费用 ,接入设备将接收到来自 DHCP服务器的单播续租响应报文，并按照新的租期重新设置租期定时器的超时值。这样，用户终端就可以继续上网。

如果用户未及时交纳租期费用， DHCP服务器不会向接入设备发送单播续租响应报文，在租期定时器到达超时值时，将自动删除用户终端对应的绑定关系和租期定时器。同时， DHCP服务器上记录用户终端上网有效期限的租期定时器也同样被删除。此后，如果用户终端要上网，必须先交纳租期费用，由 DHCP服务器和接入设备重新设置租期定时器，并由 DHCP重新为该用户终端分配 IP地址，否则， DHCP将不为用户终端分配 IP地址。

本领域技术人员不脱离本发明的实质和精神，可以有多种变形方案实现本发明，以上所述仅为本发明较佳可行的实施例而已，并非因此局限本发明的权利范围，凡运用本发明说明书及附图内容所作的等效变化，均包含于本发明的权利范围之内。

Claims

权利要求书

1、一种在接入设备上绑定用户终端地址的方法，其特征在于，包括以下步骤：

2、根据权利要求 1 所述的方法，其特征在于，设置动态绑定表，步驟 B所述绑定的方法为：

所述接入设备将用户终端地址信息和端口信息之间的绑定关系记录在动态绑定表中。

3、根据权利要求 2所述的方法，其特征在于，所述步骤 B之后进一步包括：

当接入设备捕获到携带有用户终端地址信息的 IP报文时，接入设备根据 IP报文中用户终端地址信息，和捕获到 IP报文的端口的端口信息查询动态绑定表，如果存在所述用户终端地址信息和所述端口信息，则转发捕获到的 IP报文；否则，不作处理。

4、根据权利要求 2所述的方法，其特征在于，所述步骤 B之后进一步包括：

当接入设备捕获到携带有用户终端地址信息的 DHCP释放报文时，

5、根据权利要求 2所述的方法，其特征在于，所述步骤 B之后进一步包括：

为所述用户终端设置在线检测定时器，当在线检测定时器到达超时值时，接入设备向用户终端发送地址解析协议 ARP请求报文，并判断是否接收到返回的 ARP响应报文，如果接收到，则刷新在线检测定时器；否则，从动态绑定表中删除用户终端对应的绑定关系。

6、根据权利要求 2 所述的方法，其特征在于，在接入设备中为所述用户终端设置租期定时器，所述步驟 B之后进一步包括：

当用户终端向 DHCP服务器发送单播续租请求报文时，接入设备判断是否接收到返回的单播续租响应报文，如果接收到，则根据单播续租响应 4艮文刷新租期定时器；否则，在租期定时器到达超时值时，删除所述绑定关系和租期定时器。

7、根据权利要求 1至 6任一项所述的方法，其特征在于，步驟 A 所述响应艮文中的用户终端地址信息为：

DHCP服务器为用户终端分配的 IP地址，和 /或用户终端 MAC地址；所述用户终端 MAC地址由 DHCP服务器在分配 IP地址过程中获取。

8、根据权利要求 7所述的方法，其特征在于，所述 DHCP服务器为用户终端分配 IP地址的过程为：

所述用户终端将 DHCP协议报文发送给接入设备，接入设备将接收到的 DHCP协议报文进行信息处理后再转发给 DHCP服务器，所述 DHCP协议报文携带有用户终端 MAC地址、包括端口信息的远端标识 RID和 /或链路标识 CID;

9、根据权利要求 8 所述的方法，其特征在于，所述接入设备对接收到的 DHCP协议报文进行信息处理的方法为：

接入设备记录捕获 DHCP协议 4艮文端口的端口信息，根据端口信息生成 RID和 /或 CID,再将 RID和 /CID填入接收到的 DHCP协议^艮文中。

10、根据权利要求 1至 6任一项所述的方法，其特征在于，所述端口信息为：端口描述信息和 /或端口位置信息。