本發(fā)明涉及網(wǎng)絡通信技術領域，具體而言，涉及一種地址分配方法及裝置。

背景技術：

隨著通信技術的發(fā)展，網(wǎng)絡規(guī)模越來越大，功能也越多，為了安全及易于管理，對網(wǎng)絡進行一定的劃分，例如，公共網(wǎng)絡和私有網(wǎng)絡的劃分。為了保證私有數(shù)據(jù)資源的安全，私有網(wǎng)絡(如企業(yè)內(nèi)部網(wǎng)絡)一般不對公共網(wǎng)絡開放。私有網(wǎng)絡一般具有一定的地域限制，用戶在需要從公共網(wǎng)絡遠程接入到私有網(wǎng)絡時，需要采用如虛擬隧道等技術，例如l2tp(layer2tunnelprotocol，第二層隧道協(xié)議)。在通過虛擬隧道接入私有網(wǎng)絡時，為了安全審計和便于管理，需要根據(jù)用戶身份為用戶分配一一對應的ip地址?，F(xiàn)有方法中，需要增加額外的aaa(authentication，authorization，accounting，審計、授權、計費)服務器來實現(xiàn)用戶身份的認證并分配ip地址，導致了成本的增加，不易實現(xiàn)。

技術實現(xiàn)要素：

為了克服現(xiàn)有技術中的上述不足，本發(fā)明的目的在于提供一種地址分配方法，應用于網(wǎng)絡設備，所述方法包括：

與客戶端建立鏈路；

采用點對點協(xié)議對所述客戶端進行認證，從所述客戶端發(fā)送的認證信息中獲取該客戶端的身份信息；

根據(jù)所述身份信息為該客戶端分配相應的ip地址，以使所述客戶端通過該ip地址與所述網(wǎng)絡設備進行通信。

可選地，在上述方法中，所述與客戶端建立鏈路的步驟，包括：

通過虛擬隧道與所述客戶端建立鏈路。

可選地，在上述方法中，所述為l2tp網(wǎng)絡服務器(l2tpnetworkserver，lns)，所述客戶端包括l2tp訪問集中器(l2tpaccessconcentrator，lac)；所述通過虛擬隧道與所述客戶端建立鏈路的步驟，包括：

接收客戶端發(fā)送的隧道連接請求，與所述客戶端建立l2tp隧道及會話；

通過所述l2tp隧道與所述客戶端建立鏈路。

可選地，在上述方法中，所述網(wǎng)絡設備為lns，所述客戶端接入lac；所述通過虛擬隧道與所述客戶端建立鏈路的步驟，包括：

接收lac發(fā)送的隧道連接請求，與所述lac建立l2tp隧道及會話；

通過所述l2tp隧道經(jīng)過所述lac與所述客戶端建立鏈路。

可選地，在上述方法中，所述網(wǎng)絡設備存儲有已與客戶端的身份信息綁定的ip地址；所述根據(jù)所述身份信息為該客戶端分配相應的ip地址步驟，包括：

根據(jù)所述客戶端的身份信息，查找是否存在與該身份信息綁定的ip地址；

當查找到有與該身份信息綁定的ip地址時，將該ip地址分配給所述客戶端；

當未查找到有與該身份信息綁定的ip地址時，在可用的ip段內(nèi)隨機選取一未綁定的ip分配給該客戶端。

本發(fā)明還提供一種地址分配裝置，應用于網(wǎng)絡設備，所述裝置包括：

鏈路建立模塊，用于與客戶端建立鏈路；

認證模塊，用于采用點對點協(xié)議對所述客戶端進行認證，從所述客戶端發(fā)送的認證信息中獲取該客戶端的身份信息；

地址分配模塊，用于根據(jù)所述身份信息為該客戶端分配相應的ip地址，以使所述客戶端通過該ip地址與所述網(wǎng)絡設備進行通信。

可選地，在上述裝置中，所述鏈路建立模塊與客戶端建立鏈路的方式，包括：

通過虛擬隧道與所述客戶端建立鏈路。

可選地，在上述裝置中，所述網(wǎng)絡設備為lns，所述客戶端包括lac；所述鏈路建立模塊通過虛擬隧道與所述客戶端建立鏈路的方式，包括：

接收客戶端發(fā)送的隧道連接請求，與所述客戶端建立l2tp隧道及會話；

通過所述l2tp隧道與所述客戶端建立鏈路。

可選地，在上述裝置中，所述網(wǎng)絡設備為lns，所述客戶端接入lac；所述鏈路建立模塊通過虛擬隧道與所述客戶端建立鏈路的方式，包括：

接收lac發(fā)送的隧道連接請求，與所述lac建立l2tp隧道及會話；

通過所述l2tp隧道及所述lac與所述客戶端建立鏈路。

可選地，在上述裝置中，所述網(wǎng)絡設備存儲有已與客戶端的身份信息綁定的ip地址；所述地址分配模塊包括：

查找子模塊，用于根據(jù)所述客戶端的身份信息，查找是否存在與該身份信息綁定的ip地址；

第一分配子模塊，用于當查找到有與該身份信息綁定的ip地址時，將該ip地址分配給所述客戶端；

第二分配子模塊，用于當未查找到有與該身份信息綁定的ip地址時，在可用的ip段內(nèi)隨機選取一未綁定的ip分配給該客戶端。

相對于現(xiàn)有技術而言，本發(fā)明具有以下有益效果：

本發(fā)明提供的地址分配方法及裝置，通過在客戶端建立鏈路后，采用點對點協(xié)議獲取客戶終端的身份信息，根據(jù)所述身份信息為該客戶端分配相應的ip地址。如此，通過可擴展認證協(xié)議，可以在不增加額外的設備的情況下實現(xiàn)了為接入的客戶端分配固定ip地址的功能，增加遠程訪問網(wǎng)絡的安全性和易管理性。

附圖說明

為了更清楚地說明本發(fā)明實施例的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，應當理解，以下附圖僅示出了本發(fā)明的某些實施例，因此不應被看作是對范圍的限定，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他相關的附圖。

圖1為本發(fā)明實施例提供的地址分配方法的步驟流程示意圖；

圖2為本發(fā)明實施例提供的自發(fā)隧道應用場景示意圖；

圖3為本發(fā)明實施例提供的強制隧道應用場景示意圖；

圖4為本發(fā)明實施例提供的地址分配裝置的示意圖。

圖標：100-網(wǎng)絡設備；110-地址分配裝置；111-鏈路建立模塊；112-認證模塊；113-地址分配模塊；200-客戶端；300-lac。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例。通常在此處附圖中描述和示出的本發(fā)明實施例的組件可以以各種不同的配置來布置和設計。

因此，以下對在附圖中提供的本發(fā)明的實施例的詳細描述并非旨在限制要求保護的本發(fā)明的范圍，而是僅僅表示本發(fā)明的選定實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

請參照圖1，圖1為一種地址分配方法的流程圖，所述方法應用于網(wǎng)絡設備，以下將對所述方法包括各個步驟進行詳細闡述。

步驟s110，與客戶端建立鏈路。

在本實施例中，所述網(wǎng)絡設備與所述客戶端采用點對點協(xié)議(pointtopointprotocol，ppp)通信，通過虛擬隧道與客戶端建立鏈路。

虛擬隧道是一種通過互聯(lián)網(wǎng)絡基礎設施在網(wǎng)絡之間傳遞數(shù)據(jù)的方式，工作于數(shù)據(jù)鏈路層。使用虛擬隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或包，隧道協(xié)議將不同協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送，被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡進行路由，一旦到達網(wǎng)絡終點，數(shù)據(jù)將被解包并轉發(fā)到最終目的地。

整個傳遞過程中，被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡上傳遞時所經(jīng)過的邏輯路徑稱為隧道。在本實施例中，所述虛擬隧道可以為l2tp隧道，l2tp是一種工業(yè)標準的internet隧道協(xié)議，要求面向數(shù)據(jù)包的點對點連接。

可選地，請參照圖2，在本實施例的一種實施方式中，所述網(wǎng)絡設備100可以為lns，lns是支持ppp認證的用于處理l2tp協(xié)議的服務器端設備。所述客戶端200可以包括有l(wèi)ac，lac是附屬在交換網(wǎng)絡上支持ppp認證和l2tp協(xié)議處理能力的客戶端設備。

在本實施方式中，l2tp采用自發(fā)隧道的形式。所述網(wǎng)絡設備100接收客戶端200發(fā)送的隧道連接請求，與所述客戶端200建立l2tp隧道及會話。l2tp隧道及會話建立后，所述網(wǎng)絡設備100通過所述l2tp隧道與所述客戶端200進行鏈路控制協(xié)議(linkcontrolprotocol，lcp)協(xié)商，并建立ppp(pointtopointprotocol，ppp)隧道。

可選地，請參照圖3，在本實施例的另一種實施方式中，所述網(wǎng)絡設備100可以為lns，所述客戶端200可以通過遠程撥號呼入的方式與接入設備lac300通信，例如，通過所述客戶端200可以3g、4g、pppoe或者isdn等方式撥入lac300。

在本實施方式中，l2tp采用強制隧道的形式?？蛻舳?00遠程撥號撥入lac300后，所述網(wǎng)絡設備100接收lac300發(fā)送的隧道連接請求，與lac300建立l2tp隧道及會話。所述網(wǎng)絡設備100通過所述l2tp隧道經(jīng)過所述lac300與所述客戶端200建立會話，然后與所述客戶端200進行l(wèi)cp協(xié)商。所述網(wǎng)絡設備100通過與lac300的l2tp隧道與所述客戶端200建立ppp隧道。

在本實施例中，所述客戶端200與網(wǎng)絡設備100之間的ppp認證可以采用口令認證協(xié)議(passwordauthenticationprotocol，pap)，pap是ppp協(xié)議集中的一種鏈路控制協(xié)議，主要是通過使用2次握手提供一種對等結點的建立認證的簡單方法，這是建立在初始鏈路確定的基礎上的。也可以采用挑戰(zhàn)握手協(xié)議(challengehandshakeauthenticationprotocol，chap)，chap可通過3次握手周期性的校驗對端的身份，可在初始鏈路建立時、完成時、在鏈路建立之后重復進行。

步驟s120，采用點對點協(xié)議的對所述客戶端200進行認證，從所述客戶端200發(fā)送的認證信息中獲取該客戶端200的身份信息。

所述網(wǎng)絡設備100采用ppp協(xié)議的chap或者pap協(xié)議對所述客戶端200進行認證。在本實施例中，進行chap或者pap認證時所述客戶端200發(fā)送認證信息中包括該客戶端200的身份信息，例如，所述客戶端200的身份信息可以采用該客戶端200設置的用戶名稱username。

基于上述設計，本實施例提供的方法基于已有的ppp協(xié)議進行信息傳輸，并通過chap或者pap認證獲取客戶端200的身份信息，不需要額外修改報文字段，易于實現(xiàn)。

步驟s130，根據(jù)所述身份信息為該客戶端200分配相應的ip地址，以使所述客戶端200通過該ip地址與所述網(wǎng)絡設備100進行通信。

在本實施例中，所述網(wǎng)絡設備100存儲有已與客戶端200的身份信息綁定的ip地址，例如，配置存儲有已登記的客戶端200的身份信息與ip地址的綁定對應表。

所述網(wǎng)絡設備100根據(jù)所述客戶端200的身份信息，查找是否存在與該身份信息綁定的ip地址。

當查找到有與該身份信息綁定的ip地址時，將該ip地址分配給所述客戶端200，所述客戶端200通過該ip地址與所述網(wǎng)絡設備100進行通信。

當未查找到有與該身份信息綁定的ip地址時，隨機選取一未綁定的ip分配給該客戶端200。

可選地，所述網(wǎng)絡設備100在可用的ip段內(nèi)隨機選取一未綁定的ip地址與所述客戶端200進行ip協(xié)商。例如，所述網(wǎng)絡設備100的可用的同一ip地址段包括254個ip地址，其中10個ip地址為已綁定的ip地址，則在所述網(wǎng)絡設備100在其余244個ip地址中隨機選取一個與所述客戶端200進行ip協(xié)商。

基于上述設計，本實施例提供的方法，實現(xiàn)了根據(jù)客戶端200身份信息進行固定ip地址分配的功能，提高了遠程訪問網(wǎng)絡的安全性和易管理性。并且沒有增加額外aaa服務器，節(jié)約了成本。

請參照圖4，本實施例還提供一種地址分配裝置110，應用于網(wǎng)絡設備100，所述裝置包括鏈路建立模塊111、認證模塊112及地址分配模塊113。

所述鏈路建立模塊111，用于與客戶端200建立鏈路。

本實施例中，所述鏈路建立模塊111可用于執(zhí)行圖1所示的步驟s110，關于所述鏈路建立模塊111的具體描述可參對所述步驟s110的描述。

進一步地，在本實施例中，所述鏈路建立模塊111通過虛擬隧道與所述客戶端200建立鏈路。

可選地，請再次參照圖2，在本實施例的一種實施方式中，所述網(wǎng)絡設備100為lns，所述客戶端200包括lac。所述鏈路建立模塊111通過虛擬隧道與所述客戶端200建立鏈路的方式，包括：

接收客戶端200發(fā)送的隧道連接請求，與所述客戶端200建立l2tp隧道及會話。

通過所述l2tp隧道與所述客戶端200建立鏈路。

可選地，請再次參照圖3，在本實施例的另一種實施方式中，所述網(wǎng)絡設備100為lns，所述客戶端200接入lac300；所述鏈路建立模塊111通過虛擬隧道與所述客戶端200建立鏈路的方式，包括：

接收lac300發(fā)送的隧道連接請求，與所述lac300建立l2tp隧道及會話。

通過所述l2tp隧道及所述lac300與所述客戶端200建立鏈路。

所述認證模塊112，用于采用點對點協(xié)議對所述客戶端200進行認證，從所述客戶端200發(fā)送的認證信息中獲取該客戶端200的身份信息。

本實施例中，所述認證模塊112可用于執(zhí)行圖1所示的步驟s120，關于所述認證模塊112的具體描述可參對所述步驟s120的描述。

所述地址分配模塊113，用于根據(jù)所述身份信息為該客戶端200分配相應的ip地址，以使所述客戶端200通過該ip地址與所述網(wǎng)絡設備100進行通信。

本實施例中，所述地址分配模塊113可用于執(zhí)行圖1所示的步驟s130，關于所述地址分配模塊113的具體描述可參對所述步驟s130的描述。

進一步地，在本實施例中，所述網(wǎng)絡設備100存儲有已與客戶端200的身份信息綁定的ip地址。所述地址分配模塊113包括：

查找子模塊，用于根據(jù)所述客戶端200的身份信息，查找是否存在與該身份信息綁定的ip地址；

第一分配子模塊，用于當查找到有與該身份信息綁定的ip地址時，將該ip地址分配給所述客戶端200進行ipcp協(xié)商。ipcp用于建立、配置及檢測數(shù)據(jù)鏈路連接的lcp，并用于建立和配置不同網(wǎng)絡層協(xié)議的ncp協(xié)議族。

第二分配子模塊，用于當未查找到有與該身份信息綁定的ip地址時，隨機選取一未綁定的ip分配給該客戶端200進行ipcp協(xié)商。

進一步地，在本實施例中，所述第二分配子模塊在可用的ip段內(nèi)隨機選取一未綁定的ip地址與所述客戶端200進行ip協(xié)商。

綜上所述，本發(fā)明提供的地址分配方法及裝置，通過在客戶端200建立鏈路后，采用點對點協(xié)議獲取客戶終端的身份信息，根據(jù)所述身份信息為該客戶端200分配相應的ip地址。如此，通過可擴展認證協(xié)議，可以在不增加額外的設備的情況下實現(xiàn)了為接入的客戶端200分配固定ip地址的功能，增加遠程訪問網(wǎng)絡的安全性和易管理性。

以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi)，可輕易想到變化或替換，都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應所述以權利要求的保護范圍為準。