一種地址分配方法和裝置與流程

2023-06-01 16:17:41 2

本發明涉及通信
技術領域：
，尤其涉及一種地址分配方法和裝置。
背景技術：
：如圖1所示，為ADCMPS(ApplicationDrivenCampus，應用驅動園區)網絡的組網示意圖，ADCMPS網絡具有如下優勢：IP位址規劃簡單；業務識別簡單，基於最基本的IP位址就可以定義業務(如攝像頭等)；用戶帳號與IP位址綁定，其審計過程簡單；用戶安全策略簡單；滿足強綁定的應用場景(如與銀行強綁定)；滿足特殊的應用場景(如移動財務終端的license(許可證)授權)。在ADCMPS網絡中，若申請IP位址的用戶終端數量很多，則大量的DHCP(DynamicHostConfigurationProtocol，動態主機配置協議)請求報文、DHCP響應報文，均需要跨過Overlay網絡，導致Overlay網絡繁忙，帶寬被大量佔用。技術實現要素：本發明提供一種地址分配方法，應用於匯聚層設備上，所述方法包括：維護下行埠與動態主機配置協議DHCP地址池的映射關係；在通過下行埠接收到來自用戶終端的第一DHCP請求報文時，根據所述映射關係從所述下行埠對應的DHCP地址池中選取一個未被分配的IP位址；向所述用戶終端發送攜帶所述IP位址的第一DHCP響應報文。本發明提供一種地址分配裝置，應用於匯聚層設備上，所述裝置包括：維護模塊，用於維護下行埠與動態主機配置協議DHCP地址池的映射關係；選取模塊，用於在通過下行埠接收到來自用戶終端的第一DHCP請求報文時，根據所述映射關係從所述下行埠對應的DHCP地址池中選取一個未被分配的IP位址；發送模塊，用於向用戶終端發送攜帶所述IP位址的第一DHCP響應報文。基於上述技術方案，本發明實施例中，可以由匯聚層設備維護下行埠與DHCP地址池的映射關係，在通過下行埠接收到來自用戶終端的DHCP請求報文時，直接利用該下行埠對應的DHCP地址池為用戶終端分配IP位址，而不用跨過Overlay網絡將DHCP請求報文發送給DHCP伺服器。而且，由匯聚層設備向用戶終端發送攜帶IP位址的DHCP響應報文，即DHCP響應報文也不用跨過Overlay網絡。因此，當申請IP位址的用戶終端數量很多時，大量DHCP請求報文、DHCP響應報文均不需要跨過Overlay網絡，解決Overlay網絡中報文數量很多的問題，減少Overlay網絡的壓力，節約Overlay網絡的帶寬資源。附圖說明為了更加清楚地說明本發明實施例或者現有技術中的技術方案，下面將對本發明實施例或者現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對於本領域普通技術人員來講，還可以根據這些附圖獲得其他的附圖。圖1是ADCMPS網絡的組網示意圖；圖2是本發明一種實施方式中的地址分配方法的流程圖；圖3是本發明一種實施方式中的匯聚層設備的硬體結構圖；圖4是本發明一種實施方式中的地址分配裝置的結構圖。具體實施方式在本發明使用的術語僅僅是出於描述特定實施例的目的，而非限制本發明。本發明和權利要求書中所使用的單數形式的「一種」、「所述」和「該」也旨在包括多數形式，除非上下文清楚地表示其它含義。還應當理解，本文中使用的術語「和/或」是指包含一個或多個相關聯的列出項目的任何或所有可能組合。應當理解，儘管在本發明可能採用術語第一、第二、第三等來描述各種信息，但這些信息不應限於這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如，在不脫離本發明範圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決於語境，此外，所使用的詞語「如果」可以被解釋成為「在……時」或「當……時」或「響應於確定」。本發明實施例中提出一種地址分配方法，該方法可以應用於包括用戶終端、匯聚層設備和DHCP伺服器的網絡中，如ADCMPS網絡。以圖1為本發明實施例的應用場景示意圖，用戶終端可以採用無線方式接入，此時，該用戶終端可以為移動終端(如手機)等，且接入層設備可以為AP(AccessPoint，接入點)等。用戶終端還可以採用有線方式接入，此時，該用戶終端可以為PC(PersonalComputer，個人計算機)等，且接入層設備可以為接入層交換機等。匯聚層設備可以為匯聚層交換機，且可以在匯聚層設備上配置DHCP中繼(DHCPrelay)功能，核心層設備可以為核心層交換機，且匯聚層設備與核心層設備之間可以通過Overlay網絡進行交互，對此Overlay網絡內部的詳細結構，在此不再詳細贅述。DHCP伺服器用於為用戶終端分配IP位址。認證伺服器用於完成對用戶終端的認證、授權、計費等功能，該認證伺服器可以為AAA(Authentication、Authorization、Accounting，認證授權計費)伺服器或者RADIUS(RemoteAuthenticationDialInUserService，遠程用戶撥號認證系統)伺服器等。在一個例子中，當用戶終端申請IP位址時，則用戶終端在向DHCP伺服器發送DHCP請求報文時，該DHCP請求報文會依次經過接入層設備、匯聚層設備、Overlay(覆蓋)網絡、核心層設備，並最終達到DHCP伺服器，因此，DHCP請求報文需要跨過Overlay網絡，才能到達DHCP伺服器。同理，DHCP伺服器在向用戶終端發送的DHCP響應報文時，該DHCP響應報文會依次經過核心層設備、Overlay網絡、匯聚層設備、接入層設備，並最終達到用戶終端，因此，DHCP響應報文也需要跨過Overlay網絡，才能到達用戶終端。在另一個例子中，針對為用戶終端分配IP位址的過程，DHCP請求報文和DHCP響應報文也可以不跨過Overlay網絡，可以參見圖2所示，為該地址分配方法的流程圖，該地址分配方法可以應用於匯聚層設備(即DHCP中繼)上。步驟201，維護下行埠與DHCP地址池的映射關係。步驟202，在通過下行埠接收到來自用戶終端的第一DHCP請求報文時，根據該映射關係從該下行埠對應的DHCP地址池中選取一個未被分配的IP位址。步驟203，向該用戶終端發送攜帶該IP位址的第一DHCP響應報文。針對步驟201，在一個例子中，下行埠是指匯聚層設備上與用戶側連接的埠，如圖1所示，在匯聚層設備1上，埠1和埠2均是下行埠。在一個例子中，維護下行埠與DHCP地址池的映射關係的過程，可以包括：方式一、在匯聚層設備上配置下行埠與DHCP地址池的映射關係。方式二、獲取本設備的下行埠的IP位址所屬的網段，向DHCP伺服器發送攜帶該網段的信息的第二DHCP請求報文。接收DHCP伺服器返回的第二DHCP響應報文，該第二DHCP響應報文用於表示DHCP伺服器允許本設備使用與網段的信息對應的IP位址。維護下行埠與該網段對應的DHCP地址池的映射關係。假設匯聚層設備1的埠1的IP位址為10.10.10.10，埠2的IP位址為20.20.20.20。針對方式一，則可以在匯聚層設備1上配置埠1與DHCP地址池1(10.10.10.0-10.10.10.255)的映射關係，並在匯聚層設備1上配置埠2與DHCP地址池2(20.20.20.0-20.20.20.255)的映射關係。此外，還可以在DHCP伺服器上標記DHCP地址池1和DHCP地址池2已經被分配給匯聚層設備1，不能再分配給用戶終端。基於此，當用戶終端向DHCP伺服器申請IP位址時，則DHCP伺服器不能夠從DHCP地址池1和DHCP地址池2內選擇IP位址。針對方式二、匯聚層設備1獲取埠1的IP位址10.10.10.10所屬的網段，在通常情況下，該網段可以為24位的網段，因此，該IP位址10.10.10.10所屬的網段可以為10.10.10.0/24。匯聚層設備1向DHCP伺服器發送第二DHCP請求報文，且該第二DHCP請求報文中攜帶該網段10.10.10.0/24的信息。DHCP伺服器在接收到第二DHCP請求報文之後，確定將網段10.10.10.0/24對應的DHCP地址池(即10.10.10.0-10.10.10.255)分配給匯聚層設備1，並標記該DHCP地址池(10.10.10.0-10.10.10.255)已經被分配給匯聚層設備1，不能分配給用戶終端。基於此，當用戶終端向DHCP伺服器申請IP位址時，DHCP伺服器不再從DHCP地址池(10.10.10.0-10.10.10.255)內選擇IP位址。DHCP伺服器向匯聚層設備1發送第二DHCP響應報文，該第二DHCP響應報文中攜帶有確認信息，該確認信息用於表示DHCP伺服器允許匯聚層設備1使用該DHCP地址池(如10.10.10.0-10.10.10.255)內的的IP位址。匯聚層設備1在接收到來自DHCP伺服器的第二DHCP響應報文後，確定DHCP伺服器已經將該DHCP地址池(10.10.10.0-10.10.10.255)分配給匯聚層設備1，因此，匯聚層設備1可以維護埠1與DHCP地址池(10.10.10.0-10.10.10.255)的映射關係。同理，匯聚層設備1還可以獲取到埠2的IP位址20.20.20.20所屬的網段20.20.20.0/24，並最終維護埠2與DHCP地址池(20.20.20.0-20.20.20.255)的映射關係，此過程與上述埠1的處理過程類似，在此不再重複贅述。在一個例子中，在ADCMPS網絡的組網完成之後，還可以在匯聚層設備上使能DHCP伺服器代答功能(如通過在匯聚層設備上下發配置命令DHCPrelayproxyserverenable，以使能該DHCP伺服器代答功能)。對於使能DHCP伺服器代答功能的匯聚層設備，可以採用本發明實施例的技術方案；而對於未使能DHCP伺服器代答功能的匯聚層設備，則採用傳統流程進行處理。基於此，在執行維護下行埠與DHCP地址池的映射關係之前，匯聚層設備還可以判斷本設備是否使能了DHCP伺服器代答功能；若是，則執行維護下行埠與DHCP地址池的映射關係的步驟以及後續步驟；若否，則採用傳統流程進行處理。在一個例子中，網段的信息可以包括：該網段的起始IP位址以及終止IP位址；例如，在網段10.10.10.0/24的信息中，起始IP位址為10.10.10.0，終止IP位址為10.10.10.255，第二DHCP請求報文中攜帶10.10.10.0和10.10.10.255。與傳統的DHCP請求報文不同的是，本發明實施例中，由匯聚層設備1決定自身使用的DHCP地址池，如DHCP地址池1(10.10.10.0-10.10.10.255)，且向DHCP伺服器發送的第二DHCP請求報文攜帶10.10.10.0和10.10.10.255，其目的是告知DHCP伺服器，匯聚層設備1需要使用DHCP地址池1，請確認是否將這個DHCP地址池1分配給本匯聚層設備1使用。若這個DHCP地址池1還沒有被使用，則DHCP伺服器確認將這個DHCP地址池1分配給匯聚層設備1使用，且不再將這個DHCP地址池1分配給其它設備使用，並向匯聚層設備1發送第二DHCP響應報文，以表示同意將這個DHCP地址池1分配給匯聚層設備1使用。與傳統的DHCP響應報文不同的是，該第二DHCP響應報文中攜帶有確認信息。若這個DHCP地址池1內有IP位址已經被使用，則DHCP伺服器不能將這個DHCP地址池1分配給匯聚層設備1使用，並向匯聚層設備1發送失敗響應報文，以表示無法將這個DHCP地址池1分配給匯聚層設備1使用。匯聚層設備1在接收到第二DHCP響應報文後，確定自身可以使用DHCP地址池1，維護下行埠與DHCP地址池1的映射關係。匯聚層設備1在接收到失敗響應報文後，確定自身不可以使用DHCP地址池1，採用傳統流程處理。在用戶終端向DHCP伺服器發送的傳統DHCP請求報文中，不會攜帶網段的信息，該DHCP請求報文用於申請IP位址，用戶終端無法決定自身使用的IP位址。DHCP伺服器在接收到DHCP請求報文之後，為用戶終端分配一個IP位址，且DHCP響應報文中會攜帶該IP位址，最終由用戶終端使用該IP位址。在一個例子中，第二DHCP響應報文中還可以攜帶網段10.10.10.0/24對應的各IP位址的租約信息，如1小時。此租約信息的作用是：匯聚層設備1在利用DHCP地址池1為用戶終端分配IP位址時，該IP位址的租約時間為1小時，當用戶終端使用該IP位址的時間達到該租約時間後，則匯聚層設備1可以回收該IP位址，由用戶終端重新申請IP位址。針對步驟202、步驟203，在一個例子中，匯聚層設備1在通過埠1接收到來自用戶終端1的第一DHCP請求報文時，從埠1對應的DHCP地址池1(10.10.10.0-10.10.10.255)中選取一個未被分配的IP位址10.10.10.100，並向用戶終端1發送攜帶該IP位址10.10.10.100的第一DHCP響應報文。匯聚層設備1通過埠2收到來自用戶終端2的第一DHCP請求報文時，從埠2對應的DHCP地址池2(20.20.20.0-20.20.20.20.255)中選取一個未被分配的IP位址20.20.20.100，並向用戶終端2發送攜帶該IP位址20.20.20.100的第一DHCP響應報文。基於上述技術方案，本發明實施例中，可以由匯聚層設備維護下行埠與DHCP地址池的映射關係，在通過下行埠接收到來自用戶終端的DHCP請求報文時，直接利用該下行埠對應的DHCP地址池為用戶終端分配IP位址，而不用跨過Overlay網絡將DHCP請求報文發送給DHCP伺服器。而且，由匯聚層設備向用戶終端發送攜帶IP位址的DHCP響應報文，即DHCP響應報文也不用跨過Overlay網絡。因此，當申請IP位址的用戶終端數量很多時，大量DHCP請求報文、DHCP響應報文均不需要跨過Overlay網絡，解決Overlay網絡中報文數量很多的問題，減少Overlay網絡的壓力，節約Overlay網絡的帶寬資源。在一個例子中，匯聚層設備還可以判斷是否允許用戶終端訪問網絡，如果是，則在本地表項中記錄用戶終端的標識信息與用戶終端的IP位址的映射關係。進一步的，匯聚層設備判斷是否允許用戶終端訪問網絡的過程，可以包括如下方式：方式一、在接收到來自用戶終端的認證報文時，向認證伺服器轉發該認證報文；若接收到認證伺服器返回的認證成功報文，則確定允許用戶終端訪問網絡；該認證成功報文是認證伺服器利用認證報文確定用戶終端認證成功，並記錄用戶終端已經上線後發送的。若接收到認證伺服器返回的認證失敗報文，確定不允許用戶終端訪問網絡。方式二、從認證伺服器上獲取針對DHCP地址池的認證策略信息，若用戶終端的IP位址位於該DHCP地址池內，利用該認證策略信息確定允許用戶終端訪問網絡或者確定不允許用戶終端訪問網絡，並在允許用戶終端訪問網絡時，通知認證伺服器記錄該用戶終端已經上線。針對方式一，用戶終端在得到IP位址(如IP位址10.10.10.100)後，還可以使用該IP位址發送業務報文，繼而訪問網絡資源。在用戶終端訪問網絡之前，還可以對用戶終端進行認證，如portal認證、802.1X認證等，具體認證方式可以根據實際需要任意選擇，本發明實施例中對此認證方式不做限制。在認證過程中，用戶終端會發送認證報文。匯聚層設備在接收到來自用戶終端的認證報文時，向認證伺服器轉發該認證報文。認證伺服器利用該認證報文對用戶終端進行認證，具體認證過程不再贅述。用戶終端的認證結果為認證成功或者認證失敗，若認證結果為認證失敗，則認證伺服器通知用戶終端重新認證，對此過程不再贅述。若認證結果為認證成功，則認證伺服器記錄該用戶終端已經上線，並向用戶終端返回認證成功報文。匯聚層設備在接收到認證伺服器返回的認證成功報文後，在本地表項中記錄該用戶終端的標識信息(如用戶名等)與該用戶終端的IP位址(即之前分配的IP位址)的映射關係。在一個例子中，匯聚層設備維護的本地表項可以如表1所示。針對認證伺服器記錄用戶終端已經上線的過程，認證伺服器也可以維護用戶終端的標識信息與IP位址的映射關係，以表示該IP位址對應的用戶終端已經通過認證，並已經上線且訪問網絡資源，認證伺服器維護的映射關係也可以如表1所示。表1用戶終端的標識信息用戶終端的IP位址Aaa10.10.10.100Bbb20.20.20.100在一個例子中，匯聚層設備在接收到認證成功報文後，還可以將該認證成功報文轉發給用戶終端，由用戶終端獲知自身已經通過認證，並發送業務報文。針對方式二，可以在認證伺服器上配置針對DHCP地址池的認證策略信息，如針對DHCP地址池1(10.10.10.0-10.10.10.255)的認證策略信息1，該認證策略信息1為在時間段A內，用戶終端可以免認證訪問網絡。基於此，匯聚層設備在維護埠1與DHCP地址池1的映射關係後，還可以向認證伺服器請求針對DHCP地址池1的認證策略信息，由認證伺服器將認證策略信息1返回給匯聚層設備，匯聚層設備記錄DHCP地址池1與認證策略信息1的對應關係。用戶終端在得到IP位址(如IP位址10.10.10.100)後，還可以對用戶終端進行認證，如portal認證、802.1X認證等，而在認證過程中，用戶終端會發送認證報文，該認證報文中會攜帶IP位址10.10.10.100。匯聚層設備在接收到來自用戶終端的認證報文時，由於用戶終端的IP位址10.10.10.100位於DHCP地址池1內，假設當前時間位於時間段A內，則基於DHCP地址池1對應的認證策略信息1，匯聚層設備直接確定允許用戶終端訪問網絡，即用戶終端認證成功。假設當前時間不位於時間段A內，則基於DHCP地址池1對應的認證策略信息1，匯聚層設備確定不允許用戶終端訪問網絡，即用戶終端認證失敗。匯聚層設備在確定用戶終端認證成功後，在本地表項中記錄該用戶終端的標識信息(如用戶名等)與該用戶終端的IP位址(即之前分配的IP位址)的映射關係，如表1所示，為本地表項的一個示例。而且，匯聚層設備還可以通知認證伺服器記錄該用戶終端已經上線，由認證伺服器記錄該用戶終端已經上線。針對認證伺服器記錄用戶終端已經上線的過程，認證伺服器可以維護用戶終端的標識信息與IP位址的映射關係，以表示該IP位址對應的用戶終端已經通過認證，已經上線且訪問網絡資源，認證伺服器維護的映射關係也可以如表1所示。在一個例子中，匯聚層設備在確定允許用戶終端訪問網絡，即用戶終端認證成功時，還可以生成一個認證成功報文，並將該認證成功報文發送給用戶終端，由用戶終端獲知自身已經通過認證，並發送業務報文。在業務報文的傳輸過程中，匯聚層設備在接收到來自用戶終端的業務報文時，若本地表項中記錄有該業務報文的源IP位址，則利用該業務報文的目的IP位址轉發該業務報文。若本地表項中沒有記錄該業務報文的源IP位址，則匯聚層設備判斷該源IP位址是否為收到該業務報文的下行埠對應的DHCP地址池內的IP位址。如果是，則匯聚層設備丟棄該業務報文。如果否，則匯聚層設備從認證伺服器上查詢該用戶終端是否已經上線，如果已經上線，則利用該業務報文的目的IP位址轉發該業務報文，如果沒有上線，則丟棄該業務報文。以下結合幾個具體情況對上述業務報文的傳輸過程進行詳細說明。情況一、用戶終端1沒有發生漫遊，仍然在接入層設備1下發送業務報文。在此情況下，匯聚層設備1在接收到來自用戶終端1的業務報文時，參見表1所示，由於在本地表項中記錄有該業務報文的源IP位址10.10.10.100，因此，匯聚層設備1可以利用該業務報文的目的IP位址轉發該業務報文。情況二、用戶終端1從接入層設備1漫遊到接入層設備2，並在接入層設備2下發送業務報文。在此情況下，接入層設備2在接收到來自用戶終端1的業務報文後，將業務報文發送給匯聚層設備1。匯聚層設備1在接收到該業務報文時，參見表1所示，由於在本地表項中記錄有該業務報文的源IP位址10.10.10.100，因此，匯聚層設備1可以利用該業務報文的目的IP位址轉發該業務報文。情況三、用戶終端1從接入層設備1漫遊到接入層設備3，並在接入層設備3下發送業務報文。在此情況下，接入層設備3在接收到來自用戶終端1的業務報文後，將業務報文發送給匯聚層設備2。匯聚層設備2在接收到該業務報文時，由於本地表項中沒有記錄該業務報文的源IP位址10.10.10.100，因此匯聚層設備2判斷該源IP位址10.10.10.100是否為埠3對應的DHCP地址池內的IP位址。如果源IP位址10.10.10.100是埠3對應的DHCP地址池內的IP位址，則說明源IP位址10.10.10.100對應的用戶終端應該在匯聚層設備2上線，源IP位址10.10.10.100應該記錄在本地表項中。但是，源IP位址10.10.10.100沒有記錄在本地表項中，因此表明用戶終端未通過認證，匯聚層設備2丟棄該業務報文。在本應用場景中，假設埠3的IP位址為30.30.30.30，因此，埠3對應的DHCP地址池可以為(30.30.30.0-20.30.30.30.255)，且源IP位址10.10.10.100不是埠3對應的DHCP地址池內的IP位址。因此，匯聚層設備2可以從認證伺服器上查詢該用戶終端是否已經上線。在查詢過程中，匯聚層設備2向認證伺服器發送攜帶源IP位址10.10.10.100的查詢消息，認證伺服器在接收到該查詢消息後，由於本地記錄了該IP位址10.10.10.100對應的用戶終端已經上線，因此向匯聚層設備2返回用戶終端已經上線的響應消息，匯聚層設備2在獲知用戶終端已經上線後，則利用該業務報文的目的IP位址轉發該業務報文。在一個例子中，匯聚層設備2向認證伺服器發送查詢消息後，若認證伺服器本地沒有記錄該IP位址10.10.10.100對應的用戶終端已經上線，則向匯聚層設備2返回用戶終端沒有上線的響應消息，匯聚層設備2在獲知用戶終端沒有上線後，則丟棄該業務報文，並下發針對該用戶終端的靜默規則。基於該靜默規則，匯聚層設備2再次接收到源IP位址10.10.10.100的業務報文後，可以直接丟棄該業務報文，而不再執行上述的處理流程，以簡化對業務報文的處理。在一個例子中，當用戶終端下線時，匯聚層設備可以接收來自用戶終端的下線報文，從本地表項中刪除用戶終端的標識信息與IP位址的映射關係，並向認證伺服器轉發下線報文，認證伺服器停止計費，並記錄用戶終端已經下線。基於與上述方法同樣的發明構思，本發明實施例還提供一種地址分配裝置，該地址分配裝置應用在匯聚層設備上。其中，該地址分配裝置可以通過軟體實現，也可以通過硬體或者軟硬體結合的方式實現。以軟體實現為例，作為一個邏輯意義上的裝置，是通過其所在的匯聚層設備的處理器，讀取非易失性存儲器中對應的電腦程式指令形成的。從硬體層面而言，如圖3所示，為本發明提出的地址分配裝置所在的匯聚層設備的一種硬體結構圖，除了圖3所示的處理器、非易失性存儲器外，匯聚層設備還可以包括其他硬體，如負責處理報文的轉發晶片、網絡接口、內存等；從硬體結構上來講，匯聚層設備還可能是分布式設備，可能包括多個接口卡，以便在硬體層面進行報文處理的擴展。如圖4所示，為本發明提出的地址分配裝置的結構圖，所述裝置包括：維護模塊11，用於維護下行埠與DHCP地址池的映射關係；選取模塊12，用於在通過下行埠接收到來自用戶終端的第一DHCP請求報文時，根據所述映射關係從所述下行埠對應的DHCP地址池中選取一個未被分配的IP位址；發送模塊13，用於向用戶終端發送攜帶所述IP位址的第一DHCP響應報文。所述維護模塊11，具體用於在維護下行埠與DHCP地址池的映射關係的過程中，獲取所述匯聚層設備的下行埠的IP位址所屬的網段；向DHCP伺服器發送攜帶所述網段的信息的第二DHCP請求報文；接收所述DHCP伺服器返回的第二DHCP響應報文，所述第二DHCP響應報文用於表示DHCP伺服器允許本設備使用與所述網段的信息對應的IP位址；維護所述下行埠與所述網段對應的DHCP地址池的映射關係。所述網段的信息具體包括：所述網段的起始IP位址以及終止IP位址；所述第二DHCP響應報文中還攜帶所述網段對應的各IP位址的租約信息。所述維護模塊11，還用於判斷是否允許所述用戶終端訪問網絡，如果是，則在本地表項中記錄所述用戶終端的標識信息與所述用戶終端的IP位址的映射關係；所述發送模塊13，還用於在接收到業務報文時，若所述本地表項中記錄有所述業務報文的源IP位址，則轉發所述業務報文；若所述本地表項中沒有記錄所述業務報文的源IP位址，則判斷所述源IP位址是否為收到所述業務報文的下行埠對應的DHCP地址池內的IP位址；如果是，則丟棄所述業務報文；如果否，則從認證伺服器上查詢所述源IP位址對應的用戶終端是否已經上線，如果已經上線，則轉發所述業務報文，如果沒有上線，則丟棄所述業務報文。所述維護模塊11，進一步用於在判斷是否允許所述用戶終端訪問網絡的過程中，在接收到來自所述用戶終端的認證報文時，向所述認證伺服器轉發所述認證報文；若接收到所述認證伺服器返回的認證成功報文，則確定允許所述用戶終端訪問網絡；所述認證成功報文是所述認證伺服器利用所述認證報文確定所述用戶終端認證成功，並記錄所述用戶終端已經上線後發送的；若接收到所述認證伺服器返回的認證失敗報文，確定不允許所述用戶終端訪問網絡；或者，從所述認證伺服器上獲取針對所述DHCP地址池的認證策略信息，若所述用戶終端的IP位址位於所述DHCP地址池內，則利用所述認證策略信息確定允許所述用戶終端訪問網絡或者確定不允許所述用戶終端訪問網絡，並在允許所述用戶終端訪問網絡時，通知所述認證伺服器記錄所述用戶終端已經上線。其中，本發明裝置的各個模塊可以集成於一體，也可以分離部署。上述模塊可以合併為一個模塊，也可以進一步拆分成多個子模塊。通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發明可藉助軟體加必需的通用硬體平臺的方式來實現，當然也可以通過硬體，但很多情況下前者是更佳的實施方式。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例所述的方法。本領域技術人員可以理解附圖只是一個優選實施例的示意圖，附圖中的模塊或流程並不一定是實施本發明所必須的。本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分布於實施例的裝置中，也可以進行相應變化位於不同於本實施例的一個或多個裝置中。上述實施例的模塊可以合併為一個模塊，也可進一步拆分成多個子模塊。上述本發明實施例序號僅僅為了描述，不代表實施例的優劣。以上公開的僅為本發明的幾個具體實施例，但是，本發明並非局限於此，任何本領域的技術人員能思之的變化都應落入本發明的保護範圍。當前第1頁1&nbsp2&nbsp3&nbsp