用户终端的接入鉴权方法和设备的制作方法

专利名称：：用户终端的接入鉴权方法和设备的制作方法
技术领域：
：本发明涉及通信
技术领域：
，尤其涉及一种用户终端的接入鉴权方法和设备。
背景技术：
：DHCP(DynamicDostConfigurationProtocol,动态主冲几配置协议)作为一种动态分配IP(InternetProtocol,因特网协议)地址的协议，广泛应用于各种IP网络中。为了解决在不安全的网络环境下出现的因IP地址欺骗、MAC(MediumAccessControl,々某体接入控制)地址欺骗、恶意分配IP地址以致IP资源匮乏等问题，现有技术中规定了中继代理信息选项即Option82。用户终端发出的DHCP地址请求报文在通过接入交换机时，接入交换机会在DHCP选项中添加VLAN(VirtualLocalAreaNetwork,虚拟局域网标识)ID、交换机端口号等信息，并发给DHCP服务器。这样DHCP服务器就可以通过VLANID、交换机端口号等信息和用户信息关联，并在记录下这些关联以解决前面提到的安全问题。综上所述，为了解决接入安全的问题，需要在接入交换机或汇聚交换机支持DHCPOption82功能。现有技术中用户终端通过接入交换机和汇聚交换^U妄入网络的组网示意图如图1所示。DHCPOption82选项在现有技术中已有定义，^f旦是并没有明确Option82的具体内容和格式。目前对LAN交换机常见的Option82内容为"交换机名+接入端口号+接入VLAN号"，通过这几个信息组成的字符串可以唯一确定用户接入的物理位置。在DHCP服务器上将从用户的DHCP报文中获取的Option82与预设的数据库中内容进行比对，若有匹配的字符串，则认为用户冲妄入合法并分配IP地址。该匹配的动作可以由DHCP月l务器或AAA(Authentication/Authorization/Accounting,认证/授权/计费)服务器完成。现有技术中的缺点在于DHCPOption82中的内容较多，字符串很长，在部署和维护中都;f艮不方便，容易发生错误。
发明内容本发明提供一种用户终端的接入鉴权方法，用于通过DHCPOption82和QinQ方法的结合实现更加灵活完善的用户终端接入鉴权方法。为达到上述目的，本发明提供一种用户终端的接入鉴权方法，包括以下步骤在交换机上配置各个用户终端所唯一对应的两层VLAN标签；所述交换机接收到来自用户终端的DHCP协议报文时，根据所述配置获取与所述用户终端唯一对应的两层VLAN标签；所述交换机将所述获取到的两层VLAN标签封装在所述DHCP协议报文中并向DHCP服务器发送，用于对所述用户终端的接入鉴权。其中，所述在交换机上配置各个用户终端所唯一对应的两层VLAN标签的步骤具体包括根据用户终端的接入位置，配置各个用户终端所唯一对应的两层VLAN标签。其中，所述交换机根据所述配置获取与所述用户终端唯一对应的两层VLAN标签的步骤具体为接入交换机接收到来自用户终端的DHCP协议报文时，根据所述用户终端的接入位置以及所述配置，获取与所述用户终端对应的内层VLAN标签并通知汇聚交换机；所述汇聚交换机获取与所述用户终端对应的内层VLAN标签，并根据所述用户终端的接入位置以及所述配置，获取与所述用户终端对应的外层VLAN标签，从而获取到与所述用户终端唯一对应的两层VLAN标签。其中，所述两层VLAN标签封装在所述DHCP协议报文的Option82选项中。其中，还包括DHCP服务器接收汇聚交换机发送的携带两层VLAN标签的DHCP协议报文，获取所述两层VLAN标签；所述两层VLAN标签的鉴权通过时，所述DHCP服务器为所述用户终端其中，所述两层VLAN标签的鉴权具体为配置用户终端与两层VLAN标签的对应关系；根据所述对应关系，获取与发送所述DHCP协议报文的用户终端对应的两层VLAN标签；根据所述与用户终端对应的两层VLAN标签，判断所述DHCP协议报文中携带的两层VLAN标签是否合法，若合法则鉴权通过，否则鉴权失败。其中，对所述两层VLAN标签的鉴权由所述DHCP服务器或网络中的鉴权服务器进行。其中，所述为用户终端分配地址后，还包括步骤所述DHCP服务器记录为所述用户终端分配的IP地址、所述用户终端的MAC地址、以及两层VLAN标签的对应关系。本发明还提供一种交换机设备，用于用户终端的接入鉴权，包括配置单元，用于配置各个用户终端所唯一对应的两层VLAN标签；VLAN标签获取单元，用于接收到来自用户终端的DHCP协议才艮文时，根据所述配置单元的配置获取与所述用户终端唯一对应的两层VLAN标签；VLAN标签封装单元，用于将所述VLAN标签获取单元获取到的两层VLAN标签封装在所述DHCP协议报文中；报文发送单元，用于将所述VLAN标签封装单元封装后的DHCP协议报文向DHCP服务器发送，用于对所述用户终端的接入鉴权。其中，所述VLAN标签获取单元进一步包括内层VLAN标签获取子单元，用于获取接入交换机根据所述用户终端的接入位置为所述用户终端分配的内层VLAN标签；外层VLAN标签获取子单元，用于根据所述用户终端的接入位置，以及所述配置单元的配置，获:f又与所述用户终端对应的外层VLAN标签。本发明还提供一种DHCP服务器，用于用户终端的接入鉴权，包括服务器报文接收单元，用于接收汇聚交换机发送的携带两层VLAN标签的DHCP协议才艮文；服务器VLAN标签获取单元，用于获取所述DHCP协议报文中的两层VLAN标签；服务器鉴权结果获取单元，用于获取对所述服务器VLAN标签获取单元获取的两层VLAN标签的鉴权结果；服务器地址分配单元，用于当所述服务器鉴权单元获取的结果为所述两层VLAN标签的鉴权通过时，所述DHCP服务器为所述用户终端分配地址。其中，还包括月l务器配置单元，用于配置各个用户终端所唯一对应的两层VLAN标签；服务器鉴权单元，用于根据所述服务器配置单元配置的与用户终端对应的两层VLAN标签，判断所述服务器VLAN标签获取单元获取的两层VLAN标签是否合法，若合法则鉴权通过，否则鉴权失败，并将鉴权结果通知所述服务器鉴权结果获取单元。本发明还提供一种鉴权服务器，包括接收单元，用于接收DHCP服务器从用户终端的DHCP协议l艮文中携带的两层VLAN标签；配置单元，用于配置各个用户终端所唯一对应的两层VLAN标签；鉴权单元，用于根据所述配置单元配置的与用户终端对应的两层VLAN标签，判断所述接收单元接收的两层VLAN标签是否合法，若合法则鉴权通过，否则鉴权失败，并将鉴权结果通知所述DHCP服务器。与现有技术相比，本发明具有以下优点通过DHCPOption82和QinQ相结合的方法，使得DHCP服务器的地址分配策略更加灵活，与现有技术相比节约了信令传输所需的资源，简化了配置信息。另外，通过对两层VLAN标签的鉴权，进一步提高了网络的安全性。图1是现有技术中用户终端通过接入交换机和汇聚交换机接入网络的组网示意图；图2是本发明中用户终端的接入鉴权方法的流程图；图3A和图3B是本发明应用场景中的网络结构示意图；图4是本发明应用场景中用户终端的接入鉴权方法的流程图；图5是本发明中汇聚交换设备的结构示意图；图6是本发明中DHCP服务器的结构示意图；图7是本发明中鉴权服务器的结构示意图。具体实施方式现有技术中，如果一个汇聚交换机下接入的每个用户的VLAN各不相同，则由于协议的限制，整个汇聚交换机最多支持4K的用户接入，这显然不能满足运营商的要求。为了突破VLAN标签数量的限制，现有技术中提供了一种QinQ技术，在原有的802.1Q报文的基础上又增加一层802.1Q标签。具体的，通过由汇聚交换机上在原有的标签基础上再增加一个外层VLAN标签，在理论上就可以支持4Kx4K个用户。在实际部署中，每一个汇聚交换机的端口可以独享4KVLAN标签，内层标签代表用户，外层标签代表用户接入的小区位置、业务类别或者其它信息，这样就实现对用户的精确标识。本发明提供一种用户终端的接入鉴权方法，其核心思想在于在DHCPOption82中携带由两层VLAN标签表征的用户信息用于网络侧的接入鉴权，通过DHCPOption82和QinQ方法的结合，实现更加灵活完善的用户终端接入鉴一又方法。如图2所示，为本发明中一种用户终端的接入鉴权方法的流程图，包括以下步骤步骤s201、在交换机上配置各个用户终端所唯一对应的两层VLAN标签。具体的，可以根据用户终端的接入位置，配置各个用户终端所唯一对应的两层VLAN标签。该接入位置包括用户终端所接入的接入交换机、用户终端在接入交换机上对应的端口、用户终端所接入的接入交换机在汇聚交换机上对应的端口等。步骤s202、交换机接收到来自用户终端的DHCP协议报文时，根据所述配置获耳又与所述用户终端唯一对应的两层VLAN标签。具体的，两层VLAN标签包括内层VLAN标签和外层VLAN标签。内层VLAN标签可以由接入交换机获取接入交换机接收到来自用户终端的DHCP协议报文时，根据所述用户终端的接入位置以及所述配置，获取与所述用户终端对应的内层VLAN标签并通知汇聚交换才几。外层VLAN标签由汇聚交换机获取汇聚交换机获取与所述用户终端对应的内层VLAN标签，并根据所述用户终端的接入位置以及所述配置，获取与所述用户终端对应的外层VLAN标签，/人而获取到与所述用户终端唯一对应的两层VLAN标签。步骤s203、交换机将获取到的两层VLAN标签封装在DHCP协议报文中并向DHCP服务器发送，用于对所述用户终端的接入鉴权。步骤s204、DHCP服务器接收到DHCP协议报文后，从报文中解析得到两层VLAN标签，获取对该两层VLAN标签的鉴权结果。具体的，该鉴权具体为配置用户终端与两层VLAN标签的对应关系；根据所述对应关系，获取与发送所述DHCP协议报文的用户终端对应的两层VLAN标签；才艮据所述与用户终端对应的两层VLAN标签，判断所述DHCP协议报文中携带的两层VLAN标签是否合法，若合法则鉴权通过，否则鉴权失败。步骤s205、当对两层VLAN标签的鉴权通过时，DHCP服务器为用户终端分配IP地址，否则不为用户终端分配IP地址。也可以在网络中与DHCP服务器连接的鉴权服务器实现。当由鉴权服务器实合法则通知DHCP^务器为用户终端分配IP地址，否则通知DHCPll务器不为用户终端分配IP地址。上述为合法的用户终端分配IP地址后，还包括以下步骤步骤s206、DHCP服务器记录用户的MAC地址、IP地址以及两层VLAN的对应关系。通过该步骤可以防止恶意欺骗、恶意分配IP地址等问题。以下结合具体的应用场景，描述本发明的具体实施方式。以图3A所描述的组网示意图为例网络中存在汇聚交换机，汇聚交换机下存在三台接入交换机，分别为通过Port1接入的接入交换机1(Switch1)和接入交换机2(Switch2),以及通过Port2接入的接入交换机3(Switch3)。接入交换机1的端口Port1下接入了用户终端1,端口Port2下接入了用户终端2;接入交换机2的端口Port1下接入了用户终端3，端口Port2下接入了用户终端4;接入交换机3的端口Port1下接入了用户终端5,端口Port2下接入了用户终端6。在规划网络的过程中，对于内层VLAN标签(1)在接入交换机1上将从Port1接入的用户终端1配置为属于VLAN1,将从Port2接入的用户终端2配置属于VLAN2。(2)在接入交换机2上将从Port1接入的用户终端3配置为属于VLAN1,将从Port2接入的用户终端4配置属于VLAN2。(3)在接入交换机3上将从Port1接入的用户终端5配置为属于VLAN1,将从Port2接入的用户终端6配置属于VLAN2。在规划网络的过程中，对于外层VLAN标签汇聚交换机对于从不同接口接入的接入交换机、以及从同一接口接入的不同接入交换机通过外层VLAN标签进行区分，具体的(l)在汇聚交换机上将从接入交换机1接收到的报文的外层VLAN标签配置为1;(2)在汇聚交换机上将从接入交换机2接收到的报文的外层VLAN标签配置为2;(3)在汇聚交换机上将从接入交换机3接收到的报文的外层VLAN标签配置为3。上述内层VLAN标签以及外层VLAN规划示意如下表1所示。表1:用户终端以及对应的两层VLAN标签<table>tableseeoriginaldocumentpage11</column></row><table><table>tableseeoriginaldocumentpage12</column></row><table>通过上述内层VLAN标签以及外层VLAN规划，使得对于网络中的每一用户终端，都可以通过两层VLAN标签进行区分。除了上述图3A所示的组网示意图外，还可以使用其他内层VLAN标签以及外层VLAN的规划方式，例如以图3B所示的场景为例网络中存在汇聚交换机，汇聚交换机下存在三台接入交换机，分别为通过Port1接入的接入交换机1(Switch1)和接入交换机2(Switch2)，以及通过Port2接入的接入交换机3(Switch3)。接入交换机1的端口Port1下接入了用户终端1，端口Port2下接入了用户终端2;接入交换机2的端口Port1下接入了用户终端3,端口Port2下接入了用户终端4;接入交换机3的端口Port1下接入了用户终端5，端口Port2下接入了用户终端6。在规划网络的过程中，对于内层VLAN标签(1)在接入交换机1上将从Port1接入的用户终端1配置为属于VLAN1，将从Port2接入的用户终端2配置属于VLAN2。(2)在接入交换机2上将从Port1接入的用户终端3配置为属于VLAN3,将从Port2接入的用户终端4配置属于VLAN4。(3)在接入交换机3上将从Port1接入的用户终端5配置为属于VLAN1，将从Port2接入的用户终端6配置属于VLAN2。在规划网络的过程中，对于外层VLAN标签汇聚交换机对于从不同接口接入的接入交换机通过外层VLAN标签进行区分，具体的(1)在汇聚交换机上将从接入交换机1、以及接入交换机2接收到的报文的外层VLAN标签配置为1;(2)在汇聚交换机上将从接入交换机3接收到的报文的外层VLAN标签配置为3。上述内层VLAN标签以及外层VLAN规划示意如下表2所示。表2:用户终端以及对应的两层VLAN标签接入交换机以及端口汇聚交换机以及端口内层VLAN标签外层VLAN标签<table>tableseeoriginaldocumentpage13</column></row><table>通过上述内层VLAN标签以及外层VLAN规划，使得对于网络中的每一用户终端，都可以通过两层VLAN标签进行区分。上述图3A与图3B所描述的组网示意图只是本发明方法的应用举例，对于其他组网方式以及规划方式，在此不进行限定。只要能将不用的用户终端通过两层VLAN标签区分即可。以图3A中所示的应用场景中的用户终端1为例，用户终端1^妄入网络时发送DHCP请求报文的过程，使用现有技术中的方法时，用户终端l发出的DHCP请求报文在通过接入交换机1时，支持中继代理信息选项即Option82的接入交换机1会在用户终端1发送的DHCP协议报文中添加Option82选项，添加的内容具体为"交换机名+接入端口号+接入VLAN号"，在本场景中包括Switch1(长度为若干字符)、接入端口号为Port1(长度为2字符)、接入VLAN为VLAN1(长度为4字符)。汇聚交换机将接入交换机发送的DHCP请求报文发送给DHCP服务器，DHCP服务器或鉴权服务器对该Option82选项中的内容进行匹配，判断该用户终端是否为合法的接入用户。同样以图3A中所示的应用场景中的用户终端1为例，用户终端l接入网络时发送DHCP请求报文，使用本发明中的方法时，如图4所示，包括以下步骤步骤s401、用户终端1发送DHCP请求报文。步骤s402、接入交换机1根据预先配置的VLAN,为接收到的DHCP请求才艮文"i殳置VLANID为VLAN1，并向汇聚交换才几转发。具体的，接入交换机1判断用户终端1从端口Port1接入，则将用户终端设置为VLAN1。步骤s403、汇聚交换机根据预先配置的用户终端与两层VLAN标签的对应关系，确定用户的外层VLAN，这里确定外层VLAN标签为1,并将两层VLAN标签封装到DHCP请求才艮文的Option82选项中转发给DHCP月l务器。具体的，需要预先在汇聚交换机上对用户终端与两层VLAN标签的对应关系进行配置，使得对于每一用户终端都存在唯一对应的两层VLAN标签。例如对于通过接入交换机1的端口Port1接入的用户终端，外层VLAN标签设置为1;对于通过接入交换机l的端口Port2接入的用户终端，外层VLAN标签设置为2等。对于接入交换机分配了相同的内层VLAN的多个用户终端，可以通过外层VLAN标签进行区分，从而实现通过两层VLAN标签唯一标识每一用户终端。步骤s404、DHCP服务器接收到DHCP请求报文后，解析得到两层VLAN标签。步骤s405、DHCP服务器将两层VLAN标签发送到鉴权服务器。步骤s406、鉴权服务器对两层VLAN标签的合法性进行判断，如果合法则通知DHCP服务器为用户终端分配IP地址，否则通知DHCP服务器不为用户终端分配IP地址。具体的，鉴权服务器上预先存储有每一用户终端及其唯一对应的两层VLAN标签。例如通过接入交换机1的端口Port1接入的用户终端，内层VLAN标签应当为1,外层VLAN标签也应当为1。则鉴权服务器对DHCP服务器上报的两层VLAN标签信息与预先存储的对应关系进行比较，当为用户终端分配的两层VLAN标签信息与预先存储的与该用户终端对应的两层VLAN标签一致时，判断为用户终端分配的两层VLAN标签信息合法，否则判断为不合法。该合法性判断还可以用于以下需要对特定端口下的用户终端的数量进行控制的接入鉴权方案。以控制每个端口下只能接入一台用户终端为例，当鉴权服务器使用两层VLAN标签信息判断从特定端口接入的一用户终端为合法接入时，通知DHCP服务器为该用户终端分配IP地址。在接收到DHCP服务器将该分配的IP地址回收之前，对于仍从该特定端口接收到的DHCP请求报文，判断为不合法请求而进行拒绝，从而实现了对从特定端口接入的用户终端数量的控制。步骤s407、为用户终端分配IP地址后，DHCP服务器记录用户终端的MAC地址、IP地址以及两层VLAN的对应关系。具体的，通过该步骤可以防止恶意欺骗、恶意分配IP地址等问题。例如，同一端口下的用户终端通过伪造mac地址等方法大量请求dhcp服务器分配IP地址时，根据上述MAC地址、IP地址以及两层VLAN标签的对应关系，可以通过两层VLAN标签确定已经向该端口下的用户终端分配了IP地址，乂人而拒绝该端口下的其他IP地址分配请求。与上述使用现有技术中的方法的场景相比，本发明提供的方法使用QinQ的两层VLAN标签技术，以两层VLAN标签替代Option82中原有的"交换机名+接入端口号+接入VLAN号"，最多只需要8个字符即可表示，节省了信令传输所需的资源，简化了网络侧的配置复杂程度，为网络侧的运行和维护带来便捷。本发明的还提供一种用户终端的接入鉴权系统，包括汇聚交换设备、DHCP服务器、以及鉴权服务器。具体的，该汇聚交换设备的结构如图5所示，包括配置单元11，用于配置各个用户终端所唯一对应的两层VLAN标签；VLAN标签获取单元12,用于接收到来自用户终端的DHCP协iiU艮文时，根据配置单元11的配置获取与所述用户终端唯一对应的两层VLAN标签。该VLAN标签获取单元12进一步包括内层VLAN标签获取子单元121，用于获取接入交换机根据所述用户终端的接入位置为所述用户终端分配的内层VLAN标签；外层VLAN标签获取子单元122,用手根据所述用户终端的接入位置，以及配置单元ll的配置，获取与所述用户终端对应的外层VLAN标签。VLAN标签封装单元13，用于将VLAN标签获取单元12获取到的两层VLAN标签封装在所述DHCP协议才艮文中。报文发送单元14,用于将VLAN标签封装单元13封装后的DHCP协议报文向DHCP服务器发送，用于对所述用户终端的接入鉴权。具体的，该DHCP服务器的结构如图6所示，包括服务器报文接收单元21,用于接收汇聚交换机发送的携带两层VLAN标签的DHCP协议净艮文；服务器VLAN标签获取单元22,用于获取所述DHCP协议报文中的两层VLAN标签；服务器鉴权结果获取单元23，用于获取对服务器VLAN标签获取单元22获:f又的两层VLAN标签的鉴权结果；该鉴权结果可以为DHCP服务器本身鉴权后提供的，也可能是网络中的鉴权服务器提供的。服务器地址分配单元24，用于当服务器鉴权结果获取单元23获取的结果为所述两层VLAN标签的鉴权通过时，所述DHCP服务器为所述用户终端分酉己;也iiL。当DHCP服务器具备鉴权功能时，还包括服务器配置单元25,用于各个用户终端所唯一对应的两层VLAN标签；服务器鉴权单元26，用于根据服务器配置单元25配置的与用户终端对应的两层VLAN标签，判断所述服务器VLAN标签获取单元获取的两层VLAN标签是否合法，若合法则鉴权通过，否则鉴权失败，并将鉴权结果通知所述服务器鉴权结果获取单元。具体的，当网络中存在鉴权服务器用于对两层VLAN标签进行鉴权时，如图7所示，该鉴权服务器包括带的两层VLAN标签；配置单元32,用于配置各个用户终端所唯一对应的两层VLAN标签;_鉴权单元33,用于根据配置单元配置32的与用户终端对应的两层VLAN标签，判断接收单元31接收的两层VLAN标签是否合法，若合法则鉴权通过，否则鉴权失败，并将鉴权结果通知所述DHCP服务器。本发明提供的上述方法和设备中，通过DHCPOption82和QinQ相结合的方法，使得DHCP服务器的地址分配策略更力。灵活，与现有技术相比节约了信令传输所需的资源，简化了配置信息。另外，通过对两层VLAN标签的鉴权，进一步提高了网络的安全性。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台设备执行本发明各个实施例所述的方法。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。权利要求1、一种用户终端的接入鉴权方法，其特征在于，包括以下步骤在交换机上配置各个用户终端所唯一对应的两层VLAN标签；所述交换机接收到来自用户终端的DHCP协议报文时，根据所述配置获取与所述用户终端唯一对应的两层VLAN标签；所述交换机将所述获取到的两层VLAN标签封装在所述DHCP协议报文中并向DHCP服务器发送，用于对所述用户终端的接入鉴权。2、如权利要求1所述用户终端的接入鉴权方法，其特征在于，所述在交换机上配置各个用户终端所唯一对应的两层VLAN标签的步骤具体包括根据用户终端的接入位置，配置各个用户终端所唯一对应的两层VLAN标签。3、如权利要求2所述用户终端的接入鉴权方法，其特征在于，所述交换机根据所述配置获取与所述用户终端唯一对应的两层VLAN标签的步骤具体为接入交换机接收到来自用户终端的DHCP协议报文时，根据所述用户终端的接入位置以及所述配置，获取与所述用户终端对应的内层VLAN标签并通知汇聚交换机；述用户终端的^l妄入位置以及所述配置，获取与所述用户终端对应的外层VLAN标签，从而获取到与所述用户终端唯一对应的两层VLAN标签。4、如权利要求1至3中任一项所述用户终端的接入鉴权方法，其特征在于，所述两层VLAN标签封装在所述DHCP协议报文的Option82选项中。5、如权利要求1所述用户终端的接入鉴权方法，其特征在于，还包括DHCP服务器接收汇聚交换机发送的携带两层VLAN标签的DHCP协议报文，获取所述两层VLAN标签；所述两层VLAN标签的鉴权通过时，所述DHCP服务器为所述用户终端6、如权利要求5所述用户终端的接入鉴权方法，其特征在于，所述两层VLAN标签的鉴权具体为配置用户终端与两层VLAN标签的对应关系；根据所述对应关系，获取与发送所述DHCP协议报文的用户终端对应的两层VLAN标签；根据所述与用户终端对应的两层VLAN标签，判断所述DHCP协议报文中携带的两层VLAN标签是否合法，若合法则鉴权通过，否则鉴权失败。7、如权利要求5或6所述用户终端的接入鉴权方法，其特征在于，对所述两层VLAN标签的鉴权由所述DHCP服务器或网络中的鉴权服务器进行。8、如权利要求5所述用户终端的接入鉴权方法，其特征在于，所述为用户终端分配地址后，还包括步骤所述DHCP服务器记录为所述用户终端分配的IP地址、所述用户终端的MAC地址、以及两层VLAN标签的对应关系。9、一种交换机设备，用于用户终端的接入鉴权，其特征在于，包括配置单元，用于配置各个用户终端所唯一对应的两层VLAN标签；VLAN标签获取单元，用于接收到来自用户终端的DHCP协议报文时，根据所述配置单元的配置获取与所述用户终端唯一对应的两层VLAN标签；VLAN标签封装单元，用于将所述VLAN标签获取单元获取到的两层VLAN标签封装在所述DHCP协议才良文中；报文发送单元，用于将所述VLAN标签封装单元封装后的DHCP协议报文向DHCP服务器发送，用于对所述用户终端的接入鉴权。10、如权利要求9所述交换机设备，其特色在于，所述VLAN标签获取单元进一步包括内层VLAN标签获取子单元，用于获取接入交换机根据所述用户终端的接入位置为所述用户终端分配的内层VLAN标签；外层VLAN标签获取子单元，用于根据所述用户终端的接入位置，以及所述配置单元的配置，获取与所述用户终端对应的外层VLAN标签。11、一种DHCP服务器，用于用户终端的接入鉴权，其特征在于，包括服务器报文接收单元，用于接收汇聚交换机发送的携带两层VLAN标签的DHCP协议才艮文；服务器VLAN标签获取单元，用于获取所述DHCP协议报文中的两层VLAN标签；服务器鉴权结果获取单元，用于获取对所述服务器VLAN标签获取单元获取的两层VLAN标签的鉴权结果；服务器地址分配单元，用于当所述服务器鉴权单元获取的结果为所述两层VLAN标签的鉴权通过时，所述DHCP服务器为所述用户终端分配地址。12、如权利要求11所述DHCP服务器，其特征在于，还包括月l务器配置单元，用于配置各个用户终端所唯一对应的两层VLAN标签；服务器鉴权单元，用于根据所述服务器配置单元配置的与用户终端对应的两层VLAN标签，判断所述服务器VLAN标签获取单元获取的两层VLAN标签是否合法，若合法则鉴权通过，否则鉴权失败，并将鉴权结果通知所述服务器鉴权结果获取单元。13、一种鉴权服务器，其特征在于，包括接收单元，用于接收DHCP服务器从用户终端的DHCP协议^f艮文中携带的两层VLAN标签；配置单元，用于配置各个用户终端所唯一对应的两层VLAN标签；鉴权单元，用于根据所述配置单元配置的与用户终端对应的两层VLAN标签，判断所述接收单元接收的两层VLAN标签是否合法，若合法则鉴权通过，否则鉴权失败，并将鉴权结果通知所述DHCP服务器。全文摘要本发明公开了一种用户终端的接入鉴权方法和设备。该方法包括以下步骤在交换机上配置各个用户终端所唯一对应的两层VLAN标签；所述交换机接收到来自用户终端的DHCP协议报文时，根据所述配置获取与所述用户终端唯一对应的两层VLAN标签；所述交换机将所述获取到的两层VLAN标签封装在所述DHCP协议报文中并向DHCP服务器发送，用于对所述用户终端的接入鉴权。通过使用本发明，使用DHCPOption82和QinQ相结合的方法，使得DHCP服务器的地址分配策略更加灵活，与现有技术相比节约了信令传输所需的资源，简化了配置信息。另外，通过对两层VLAN标签的鉴权，进一步提高了网络的安全性。文档编号H04L29/06GK101252587SQ200810093769公开日2008年8月27日申请日期2008年4月18日优先权日2008年4月18日发明者民姚,张天洁申请人:杭州华三通信技术有限公司