本发明专利技术实施例提供一种合法监听的方法及网络设备。该方法通过网络设备获取监听信息,监听信息包括用户的标识和监听标识,监听标识用于指示是否对用户进行监听,用户的标识包括用户的接入链路信息,接入链路信息用于标识用户的物理位置;接收第一用户设备发来的DHCP报文,DHCP报文中携带用户的标识,第一用户设备的IP地址和MAC地址;如果根据DHCP报文中携带的用户的标识以及监听信息,确定需要对用户进行监听,则根据第一用户设备的IP地址和第一用户设备的MAC地址,设置ACL规则,将携带第一用户设备的MAC地址和IP地址的报文引导至监听设备。从而减少由于用户的MAC地址或IP地址发生变化而导致的监听设备重新下发监听命令的情况。
【技术实现步骤摘要】
合法监听的方法及网络设备
[0001 ] 本专利技术实施例涉及通信技术,尤其涉及一种合法监听的方法及网络设备。
技术介绍
合法监听是由执法机构(Law Enforcement Agency,简称:LEA)和网络服务提供商(Internet Service Provide,简称:ISP)配合完成的监听系统。通过在ISP网络部署合法监听业务,LEA可以针对网络信息内容进行监听和审计,识别违法犯罪活动以进行有效打击。当用户通过动态主机配置协议(Dynamic Host Configuration Protocol,简称:DHCP)分得的地址访问网络时,监听设备根据用户的媒体接入控制(Medium AccessControl,简称:MAC)地址和互联网协议(Internet Protocol,简称:IP)地址下发监听命令,网络设备根据该MAC地址和IP地址生成相应的访问控制列表(Access Control List,简称:ACL)规则,将用户的流量引导至监听设备,从而实现监听。然而,若用户的MAC地址或IP地址发生变化,监听设备需要根据变化后的MAC地址或IP地址重新下发监听命令,导致操作繁琐,降低监听效率。
技术实现思路
本专利技术实施例提供一种合法监听的方法及网络设备,以减少由于用户的MAC地址或IP地址发生变化而导致的监听设备重新下发监听命令的情况。第一方面,本专利技术实施例提供一种合法监听的方法,包括:网络设备获取监听信息,所述监听信息包括用户的标识和监听标识,所述监听标识用于指示是否对所述用户进行监听,所述用户的标识包括所述用户的接入链路信息,所述接入链路信息用于标识所述用户的物理位置;所述网络设备接收第一用户设备发来的动态主机配置协议DHCP报文,所述DHCP报文中携带所述用户的标识,所述第一用户设备的互联网协议IP地址和所述第一用户设备的媒体接入控制MAC地址;所述网络设备根据所述DHCP报文中携带的所述用户的标识以及所述监听信息,确定是否需要对所述用户进行监听;如果确定需要对所述用户进行监听,则所述网络设备根据所述第一用户设备的IP地址和所述第一用户设备的MAC地址,设置访问控制列表ACL规则,所述ACL规则用于将所述网络设备接收到的、携带所述第一用户设备的MAC地址和所述第一用户设备的IP地址的报文引导至监听设备。在第一方面的第一种可能的实现方式中,在所述接收第一用户设备发来的DHCP报文后,所述方法还包括:所述网络设备记录所述用户的标识、所述监听标识、所述第一用户设备的IP地址和所述第一用户设备的MAC地址之间的映射关系。根据第一方面的第一种可能的实现方式,在第二种可能的实现方式中,在所述网络设备记录所述映射关系后,所述方法还包括:若所述网络设备监测到所述用户释放所述第一用户设备的IP地址,则所述网络设备清除所述映射关系中所述第一用户设备的IP地址和所述第一用户设备的MAC地址的值。结合第一方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,在所述网络设备记录所述映射关系后,所述方法还包括:所述网络设备接收终止监听命令,所述终止监听命令中包含所述用户的标识;所述网络设备根据所述终止监听命令,删除记录的所述映射关系;或者所述网络设备根据所述终止监听命令,将所述映射关系中与所述用户的标识所对应的所述监听标识设置为不对所述用户进行监听。结合第一方面至第一方面的第三种可能的实现方式,在第四种可能的实现方式中,所述DHCP报文中携带的所述用户的标识是由接入设备在所述第一用户设备通过DHCP获取IP地址的过程中添加的。第二方面,本专利技术实施例提供一种网络设备,包括:获取模块,用于获取监听信息,所述监听信息包括用户的标识和监听标识,所述监听标识用于指示是否对所述用户进行监听,所述用户的标识包括所述用户的接入链路信息,所述接入链路信息用于标识所述用户的物理位置;接收模块,用于接收第一用户设备发来的动态主机配置协议DHCP报文,所述DHCP报文中携带所述用户的标识,所述第一用户设备的互联网协议IP地址和所述第一用户设备的媒体接入控制MAC地址;确定模块,用于根据所述DHCP报文中携带的所述用户的标识以及所述监听信息,确定是否需要对所述用户进行监听;处理模块,用于如果所述确定模块确定需要对所述用户进行监听,则根据所述第一用户设备的IP地址和所述第一用户设备的MAC地址,设置访问控制列表ACL规则,所述ACL规则用于将所述网络设备接收到的、携带所述第一用户设备的MAC地址和所述第一用户设备的IP地址的报文引导至监听设备。在第二方面的第一种可能的实现方式中,所述网络设备还包括:记录模块,用于记录所述用户的标识、所述监听标识、所述第一用户设备的IP地址和所述第一用户设备的MAC地址之间的映射关系。根据第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述网络设备还包括:监测模块,用于若监测到所述用户释放所述第一用户设备的IP地址,则所述网络设备清除所述映射关系中所述第一用户设备的IP地址和所述第一用户设备的MAC地址的值。结合第二方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,所述接收模块还用于接收终止监听命令,所述终止监听命令中包含所述用户的标识;所述处理模块还用于根据所述终止监听命令,删除记录的所述映射关系;或者所述处理模块还用于根据所述终止监听命令,将所述映射关系中与所述用户的标识所对应的所述监听标识设置为不对所述用户进行监听。结合第二方面至第二方面的第三种可能的实现方式,在第四种可能的实现方式中,所述DHCP报文中携带的所述用户的标识是由接入设备在所述第一用户设备通过DHCP获取IP地址的过程中添加的。本专利技术实施例提供的合法监听的方法及网络设备,通过网络设备获取监听信息,所述监听信息包括用户的标识和监听标识,所述监听标识用于指示是否对所述用户进行监听,所述用户的标识包括所述用户的接入链路信息,所述接入链路信息用于标识所述用户的物理位置;所述网络设备接收第一用户设备发来的DHCP报文,所述DHCP报文中携带所述用户的标识,所述第一用户设备的IP地址和所述第一用户设备的MAC地址;所述网络设备根据所述DHCP报文中携带的所述用户的标识以及所述监听信息,确定是否需要对所述用户进行监听;如果确定需要对所述用户进行监听,则所述网络设备根据所述第一用户设备的IP地址和所述第一用户设备的MAC地址,设置ACL规则,所述ACL规则用于将所述网络设备接收到的、携带所述第一用户设备的MAC地址和所述第一用户设备的IP地址的报文引导至监听设备。从而减少由于用户的MAC地址或IP地址发生变化而导致的监听设备重新下发监听命令的情况。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术合法监听的方法实施例一的流程图;图2为本专利技术合法监听的方法实施例二的流程图;图3为本专利技术合法监听的方法实施例三的流程图;图4为本实施例提供的合法监听的方法的应用场景示意图;图5为本专利技术网络本文档来自技高网...
【技术保护点】
一种合法监听的方法,其特征在于,包括:网络设备获取监听信息,所述监听信息包括用户的标识和监听标识,所述监听标识用于指示是否对所述用户进行监听,所述用户的标识包括所述用户的接入链路信息,所述接入链路信息用于标识所述用户的物理位置;所述网络设备接收第一用户设备发来的动态主机配置协议DHCP报文,所述DHCP报文中携带所述用户的标识,所述第一用户设备的互联网协议IP地址和所述第一用户设备的媒体接入控制MAC地址;所述网络设备根据所述DHCP报文中携带的所述用户的标识以及所述监听信息,确定是否需要对所述用户进行监听;如果确定需要对所述用户进行监听,则所述网络设备根据所述第一用户设备的IP地址和所述第一用户设备的MAC地址,设置访问控制列表ACL规则,所述ACL规则用于将所述网络设备接收到的、携带所述第一用户设备的MAC地址和所述第一用户设备的IP地址的报文引导至监听设备。
【技术特征摘要】
1.一种合法监听的方法,其特征在于,包括: 网络设备获取监听信息,所述监听信息包括用户的标识和监听标识,所述监听标识用于指示是否对所述用户进行监听,所述用户的标识包括所述用户的接入链路信息,所述接入链路信息用于标识所述用户的物理位置; 所述网络设备接收第一用户设备发来的动态主机配置协议DHCP报文,所述DHCP报文中携带所述用户的标识,所述第一用户设备的互联网协议IP地址和所述第一用户设备的媒体接入控制MAC地址; 所述网络设备根据所述DHCP报文中携带的所述用户的标识以及所述监听信息,确定是否需要对所述用户进行监听; 如果确定需要对所述用户进行监听,则所述网络设备根据所述第一用户设备的IP地址和所述第一用户设备的MAC地址,设置访问控制列表ACL规则,所述ACL规则用于将所述网络设备接收到的、携带所述第一用户设备的MAC地址和所述第一用户设备的IP地址的报文引导至监听设备。2.根据权利要求1所述的方 法,其特征在于,在所述接收第一用户设备发来的DHCP报文后,所述方法还包括: 所述网络设备记录所述用户的标识、所述监听标识、所述第一用户设备的IP地址和所述第一用户设备的MAC地址之间的映射关系。3.根据权利要求2所述的方法,其特征在于,在所述网络设备记录所述映射关系后,所述方法还包括: 若所述网络设备监测到所述用户释放所述第一用户设备的IP地址,则所述网络设备清除所述映射关系中所述第一用户设备的IP地址和所述第一用户设备的MAC地址的值。4.根据权利要求2或3所述的方法,其特征在于,在所述网络设备记录所述映射关系后,所述方法还包括: 所述网络设备接收终止监听命令,所述终止监听命令中包含所述用户的标识; 所述网络设备根据所述终止监听命令,删除记录的所述映射关系;或者,所述网络设备根据所述终止监听命令,将所述映射关系中与所述用户的标识所对应的所述监听标识设置为不对所述用户进行监听。5.根据权利要求1-4任一项所述的方法,其特征在于,所述DHCP报文中携带的所述用户的标识是由接入设备在所述第一用户设备通过DHC...
【专利技术属性】
技术研发人员:杨帆,李松,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。