一种IP地址切换的方法及装置

1.一种IP地址转换的方法，应用在BYOD场景中终端设备通过MAC地址进行认证的接入设备上，其特征在于，所述方法包括：
终端设备请求接入网络时，获知该终端设备的MAC地址为未知源MAC地址后，触发该终端设备进行MAC地址认证，接收来自Radius服务器回应的Accept报文，其中该Accept报文中携带有隔离VLAN以及DHCP短租约时间属性参数；
终端设备向DHCP服务器发起DHCP请求时，截获该终端设备发送的DHCP请求报文并修改该报文内容，将DHCP短租约时间填入报文中，使得终端设备获取的IP地址与短租约时间关联；
终端设备在隔离VLAN中访问相关资源时，截获该终端设备的MAC地址及该终端设备对应的指纹信息，并将之发送给Radius服务器，以便所述Radius服务器根据终端设备的指纹信息识别出该终端设备类型；所述指纹信息是指DHCP Request报文中的Option：(55)属性的参数顺序信息；
在Radius服务器获知所述终端设备的类型后，终端设备被强制踢下线并重新进行MAC地址认证时，接收到终端设备的接入请求后，再次将该终端设备的MAC地址认证请求发送给Radius服务器，接收来自Radius服务器回应的Accept报文，其中该Accept报文中携带有该终端设备类型对应的VLAN以及DHCP长租约时间属性参数；
当终端设备的DHCP短租约时间到期后，再次向DHCP服务器发起DHCP请求时，截获该终端设备发送的DHCP请求报文并修改该报文内容，将DHCP长租约时间填入报文中，使得终端获取的IP地址与长租约时间关联，以便终端设备申请到新的长租约的IP地址后，在该终端设备对应的VLAN内正常访问网络。
2.如权利要求1所述的方法，其特征在于，当终端设备请求接入网络时，接入设备首先查询接入设备上的MAC地址转发表，如果在MAC地址转发表中没有找到匹配该终端设备对应的MAC地址时，则触发该终端设备进行MAC地址认证。
3.如权利要求2所述的方法，其特征在于，所述指纹信息中不同的顺序代表不同终端设备的生产厂商、设备类型和操作系统类型。
4.一种IP地址转换的方法，应用在BYOD场景中通过MAC地址进行认证的Radius服务器上，其特征在于，所述方法包括：
接收来自接入设备发送的终端设备的MAC地址认证请求，所述Radius服务器识别出该终端设备没有经过认证，则回应Accept报文给接入设备，并在其中携带隔离VLAN以及DHCP短租约时间属性参数；
接收来自接入设备发送的终端设备的MAC地址及该终端设备对应的指纹信息时，根据所述指纹信息识别出该终端设备类型，然后将MAC地址和终端设备类型绑定记录在数据库中；所述指纹信息是指DHCP Request报文中的Option：(55)属性的参数顺序信息；
终端设备被强制踢下线后重新进行MAC地址认证时，再次接收到接入设备发送的所述终端设备的接入请求后，所述Radius服务器识别出该终端设备已经认证，根据所述终端设备的类型下发Accept报文，其中携带有终端设备类型对应的VLAN、DHCP长租约时间参数。
5.如权利要求4所述的方法，其特征在于，所述隔离VLAN、与终端类型对应的VLAN以及DHCP短租约、长租约时间属性参数，是根据具体策略事先配置的。
6.如权利要求4所述的方法，其特征在于，所述指纹信息中不同的顺序代表不同终端设备的生产厂商、设备类型和操作系统类型。
7.如权利要求4所述的方法，其特征在于，在将MAC地址和终端设备类型绑定记录在数据库中后，所述Radius服务器进一步通过自身配置的COA功能，向接入设备发送Disconnect Message消息，强制将所述终端设备踢下线。
8.一种IP地址转换的装置，运行在BYOD场景中通过MAC地址进行认证的接入设备上，其特征在于，所述装置包括：
认证单元，用于当终端设备请求接入网络时，触发该终端设备进行MAC地址认证，接收来自Radius服务器回应的Accept报文，其中该Accept报文中携带有隔离VLAN以及DHCP短租约时间属性参数；
截获单元，用于当终端设备向DHCP服务器发起DHCP请求时，获知该终端设备的MAC地址为未知源MAC地址后，截获该终端设备发送的DHCP请求报文，
信息更改单元，用于在截获单元截获到该终端设备发送的DHCP请求报文后修改该报文内容，将DHCP短租约时间填入报文中，使得终端获取的IP地址与短租约时间关联；
当终端设备在隔离VLAN中访问相关资源时，所述截获单元进一步地截获该终端设备的MAC地址及该终端设备对应的指纹信息，并将之发送给Radius服务器，以便所述Radius服务器根据终端设备的指纹信息识别出该终端设备类型；所述指纹信息是指DHCP Request报文中的Option：(55)属性的参数顺序信息；
当终端设备被强行踢下线后重新进行MAC地址认证时，所述认证单元再次将该终端设备的MAC地址认证请求发送给Radius服务器，并重新接收来自Radius服务器回应的Accept报文，其中该Accept报文中携带有该终端设备类型对应的VLAN以及DHCP长租约时间属性参数；
当所述终端设备的DHCP短租约时间到期后，再次向DHCP服务器发起DHCP请求时，截获单元截获该终端设备发送的DHCP请求报文；
所述信息更改单元在截获单元截获到该终端设备发送的DHCP请求报文后修改该报文内容，将DHCP长租约时间填入报文中，使得终端获取的IP地址与长租约时间关联，以便终端设备申请到新的长租约的IP地址，进而在该终端设备类型对应的VLAN中正常访问网络。
9.如权利要求8所述的装置，其特征在于，当终端设备请求接入网络时，所述认证单元查询接入设备上的MAC地址转发表，如果在MAC地址转发表中没有找到匹配该终端设备对应的MAC地址，则触发该终端设备进行MAC地址认证。
10.如权利要求8所述的装置，其特征在于，所述指纹信息中不同的顺序代表不同终端设备的生产厂商、设备类型和操作系统类型。
11.一种IP地址转换的装置，运行在BYOD场景中通过MAC地址进行认证的Radius服务器上，其特征在于，所述装置包括有识别单元和处理单元，其中：
识别单元，用于在接收到来自接入设备转发的终端设备的MAC地址认证请求后，识别出该终端设备没有经过认证，则通知处理单元回应Accept报文给接入设备，并在其中携带隔离VLAN以及DHCP短租约时间属性参数；
进一步地，所述识别单元在接收到来自接入设备转发的终端设备的MAC地址及该终端设备对应的指纹信息时，根据所述指纹信息识别出该终端设备类型，然后通知处理单元将MAC地址和终端设备类型绑定记录在数据库中；所述指纹信息是指DHCP Request报文中的Option：(55)属性的参数顺序信息；
进一步地，所述识别单元再次接收到接入设备转发的所述终端设备的接入请求后，当识别出该终端设备已经认证，通知处理单元根据所述终端设备的类型下发Accept报文，其中携带有终端设备类型对应的VLAN、DHCP长租约时间参数。
12.如权利要求11所述的装置，其特征在于，所述指纹信息中不同的顺序代表不同终端设备的生产厂商、设备类型和操作系统类型。
13.如权利要求11所述的装置，其特征在于，在将MAC地址和终端设备类型绑定记录在数据库中后，所述处理单元进一步通过自身配置的COA功能，向接入设备发送Disconnect Message消息，强制将所述终端设备踢下线。
14.如权利要求11所述的装置，其特征在于，所述装置还包括：
配置单元，用于配置隔离VLAN、与终端类型对应的VLAN以及DHCP短租约、长租约时间属性参数。

一种IP地址切换的方法及装置\n技术领域\n[0001] 本发明涉及计算机通信领域，尤其涉及一种在BYOD（Bring Your Own Device）应用场景下打印机等哑终端设备IP地址切换的方法及装置。\n背景技术\n[0002] 随着以iPhone、iPad、Android等为代表的智能手机和平板电脑的流行，越来越多的业务应用基于这些智能终端展开，给人们的生活带来了极大的便利。BYOD逐渐进入人们的视野，越来越多的企业员工带着自己的终端设备到办公室工作。这种方式不仅方便了员工的选择，同时让企业节省一大笔办公电脑的固定投资。企业允许员工或者访客携带自己的终端设备进入公司网络，网管就需要智能地识别出这些设备的型号、是否是公司的资产，进而给与这些终端设备开放不同的权限。\n[0003] 在整个企业的BYOD方案中，不仅有无线接入，而且还有有线接入。在大多数企业中，一般都会部署有线/无线一体化接入方案。针对终端设备的类型不同，采取的接入方式也不尽相同。比如：iPhone、iPad等终端设备通过无线接入，对于没有无线网卡的打印机等终端设备，则必须通过有线接入。对于打印机这类终端设备（通常称为哑终端设备），由于其本身无浏览器和客户端，因此无法采用传统的8021x或portal认证接入，通常只能采用MAC地址认证的方式接入。\n[0004] 对于这种采用MAC地址认证的方式接入来说，由于无客户端，因此，需要解决该类型终端设备第一次认证在隔离VLAN和后续在正常VLAN中IP地址切换问题。为了解决这个问题，目前很多厂商都是通过Radius服务器发送指令让接入设备端口down掉，进而触发该类型终端设备通过DHCP服务器申请新的IP地址来实现。\n[0005] 然而，该种实现方式有存在两个重大缺陷：\n[0006] 1、实施BYOD方案的接入设备必须和该类型终端设备直连，如果中间有其他设备，当接入设备端口down掉时该类型终端设备感知不到。因此，\n[0007] 采用该认证接入方案要求接入设备的一个端口只能接入一个终端设备，这会导致网络利用率非常低。\n[0008] 2、该类型终端设备在隔离VLAN中使用的IP地址回收慢，浪费了IP地址的宝贵资源。\n发明内容\n[0009] 有鉴于此，本发明提供一种IP地址切换的方法及装置，以解决现有技术中存在的问题。\n[0010] 具体地，本发明是通过以下技术方案实现的：\n[0011] 一种IP地址转换的方法，应用在BYOD场景中的接入设备上，其中所述方法包括：\n[0012] 当终端设备请求接入网络时，触发该终端设备进行MAC地址认证，接收来自Radius服务器回应的Accept报文，其中该Accept报文中携带有隔离VLAN以及DHCP短租约时间属性参数；\n[0013] 当终端设备向DHCP服务器发起DHCP请求时，截获该终端设备发送的DHCP请求报文并修改该报文内容，将DHCP短租约时间填入报文中，使得终端获取的IP地址与短租约时间关联；\n[0014] 当终端设备在隔离VLAN中访问相关资源时，截获该终端设备的MAC地址及该终端设备对应的指纹信息，将之发送给Radius服务器，以便所述Radius服务器根据终端设备的指纹信息识别出该终端设备类型；\n[0015] 当终端设备被强制踢下线重新进行MAC地址认证时，接收到终端设备的接入请求后，将该终端设备的MAC地址认证请求发送给Radius服务器，接收来自Radius服务器回应的Accept报文，其中该Accept报文中携带有该终端设备类型对应的VLAN以及DHCP长租约时间属性参数；\n[0016] 当所述终端设备再次向DHCP服务器发起DHCP请求时，截获该终端设备发送的DHCP请求报文并修改该报文内容，将DHCP长租约时间填入报文中，使得终端获取的IP地址与长租约时间关联，以便终端设备申请到新的长租约的IP地址，进而正常访问网络。\n[0017] 进一步地，当终端设备首次请求接入网络时，接入设备通过查询接入设备上的MAC地址转发表，当在MAC地址转发表中没有找到匹配该终端设备对应的MAC地址时，则触发该终端设备进行MAC地址认证。\n[0018] 进一步地，所述指纹信息是指DHCP Request报文中的Option:(55)属性的参数顺序信息，不同的顺序代表不同终端设备的生产厂商、设备类型和操作系统类型。\n[0019] 本发明还同时提供另外一种IP地址转换的方法，应用在BYOD场景中的Radius服务器上，其中所述方法包括：\n[0020] 接收到来自接入设备转发的终端设备的MAC地址认证请求，所述Radius服务器识别出该终端设备没有经过认证，则回应Accept报文给接入设备，并在其中携带隔离VLAN以及DHCP短租约时间属性参数；\n[0021] 接收到来自接入设备转发的终端设备的MAC地址及该终端设备对应的指纹信息时，根据所述指纹信息识别出该终端设备类型，然后将MAC地址和终端设备类型绑定记录在数据库中；\n[0022] 再次接收到接入设备转发的所述终端设备的接入请求后，所述Radius服务器识别出该终端设备已经认证，根据所述终端设备的类型下发Accept报文，其中携带有终端设备类型对应的VLAN、DHCP长租约时间参数。\n[0023] 进一步地，所述隔离VLAN、与终端类型对应的VLAN以及DHCP短租约、长租约时间属性参数，是根据具体策略配置来实现的。\n[0024] 进一步地，所述指纹信息是指DHCP Request报文中的Option:(55)属性的参数顺序信息，不同的顺序代表不同终端设备的生产厂商、设备类型和操作系统类型。\n[0025] 进一步地，在将MAC地址和终端设备类型绑定记录在数据库中后，所述Radius服务器进一步通过自身配置的COA功能，通知接入设备强制将所述终端设备踢下线。\n[0026] 本发明同时还提供一种IP地址转换的装置，运行在BYOD场景中的接入设备上，其中，所述装置包括：\n[0027] 认证单元，用于当终端设备请求接入网络时，触发该终端设备进行MAC地址认证，接收来自Radius服务器回应的Accept报文，其中该Accept报文中携带有隔离VLAN以及DHCP短租约时间属性参数；\n[0028] 截获单元，用于当终端设备向DHCP服务器发起DHCP请求时，截获该终端设备发送的DHCP请求报文并修改该报文内容，将DHCP短租约时间填入报文中，使得终端获取的IP地址与短租约时间关联；\n[0029] 进一步地，当终端设备在隔离VLAN中访问相关资源时，所述截获单元截获该终端设备的MAC地址及该终端设备对应的指纹信息，将之发送给Radius服务器，以便所述Radius服务器根据终端设备的指纹信息识别出该终端设备类型；\n[0030] 当终端设备被强行踢下线后重新进行MAC地址认证时，所述认证单元将该终端设备的MAC地址认证请求发送给Radius服务器，重新接收来自Radius服务器回应的Accept报文，其中该Accept报文中携带有该终端设备类型对应的VLAN以及DHCP长租约时间属性参数；\n[0031] 当所述终端设备再次向DHCP服务器发起DHCP请求时，截获单元截获该终端设备发送的DHCP请求报文并修改该报文内容，将DHCP长租约时间填入报文中，使得终端获取的IP地址与长租约时间关联，以便终端设备申请到新的长租约的IP地址，进而正常访问网络。\n[0032] 进一步地，当终端设备请求接入网络时，所述认证单元通过查询接入设备上的MAC地址转发表，当在MAC地址转发表中没有找到匹配该终端设备对应的MAC地址时，则触发该终端设备进行MAC地址认证。\n[0033] 进一步地，所述指纹信息是指DHCP Request报文中的Option:(55)属性的参数顺序信息，不同的顺序代表不同终端设备的生产厂商、设备类型和操作系统类型。\n[0034] 本发明还同时提供一种IP地址转换的装置，运行在BYOD场景中的Radius服务器上，其中所述装置包括：\n[0035] 识别单元，用于在接收到来自接入设备转发的终端设备的MAC地址认证请求后，识别出该终端设备没有经过认证，则通知处理单元回应Accept报文给接入设备，并在其中携带隔离VLAN以及DHCP短租约时间属性参数；\n[0036] 进一步地，所述识别单元在接收到来自接入设备转发的终端设备的MAC地址及该终端设备对应的指纹信息时，根据所述指纹信息识别出该终端设备类型，然后通知处理单元将MAC地址和终端设备类型绑定记录在数据库中；\n[0037] 进一步地，所述识别单元再次接收到接入设备转发的所述终端设备的接入请求后，当识别出该终端设备已经认证，根据所述终端设备的类型下发Accept报文，其中携带有终端设备类型对应的VLAN、DHCP长租约时间参数。\n[0038] 进一步地，所述指纹信息是指DHCP Request报文中的Option:(55)属性的参数顺序信息，不同的顺序代表不同终端设备的生产厂商、设备类型和操作系统类型。\n[0039] 进一步地，在将MAC地址和终端设备类型绑定记录在数据库中后，所述处理单元进一步通过自身配置的COA功能，向接入设备发送Disconnect Message消息，强制将所述终端设备踢下线。\n[0040] 进一步地，所述装置还包括：\n[0041] 配置单元，用于配置隔离VLAN、与终端类型对应的VLAN以及DHCP短租约、长租约时间属性参数。\n[0042] 与现有技术相比，本发明通过在MAC地址认证接入的过程中，对未识别的终端设备和已经识别的终端下发不同长短的租约时间，并通过COA服务器强制未识别的已上线终端设备下线，从而触发该终端设备重新进行MAC地址认证。以解决在BYOD场景下接入设备必须和终端设备直连的限制；同时还可以解决在该情形下隔离VLAN中IP地址租约回收慢的问题。\n附图说明\n[0043] 图1是本发明IP地址切换的装置结构示意图。\n[0044] 图2是本发明IP地址切换的方法流程示意图。\n具体实施方式\n[0045] 为使本发明更加清楚和明白，以下结合实施例和附图详细描述本发明。\n[0046] 请参考图1，为本发明示例性实施方式中，提供的分别应用在Radius服务器和接入设备上用于实现BYOD应用场景下当终端设备进行MAC认证时IP地址切换的装置及其基本硬件环境。其中，所述装置具体为借由软件程序分别运行在Radius服务器和接入设备上的逻辑装置，作为运行所述逻辑装置的载体，所述Radius服务器和接入设备的基本硬件架构均包括有CPU、内存、非易失性存储器（例如硬盘）以及其他硬件。从逻辑上来看，应用在Radius服务器上的装置包括配置单元、识别单元和处理单元。应用在接入设备上的装置包括认证单元、截获单元和信息更改单元。以上两个装置在实现本发明目的时彼此相互配合执行如下处理流程，具体如图2所示。\n[0047] 步骤1、当终端设备请求接入网络时，接入设备上认证单元获知该终端设备的MAC地址为未知源MAC地址后，触发该终端设备进行MAC地址认证。\n[0048] 当终端设备请求接入网络时，接入设备上认证单元首先查询接入设备上的MAC地址转发表，当在MAC地址转发表中没有找到匹配该终端设备对应的MAC地址时，则确认该终端设备的MAC地址为未经源MAC地址，尚未进行MAC地址认证。此时，所述认证单元将触发该终端设备进行MAC地址认证，具体为将该终端设备的MAC地址认证请求报文发送给Radius服务器。\n[0049] 步骤2、Radius服务器上的识别单元识别出终端设备的MAC地址没有经过认证，则通知处理单元回应Accept报文给接入设备，并在其中携带隔离VLAN以及DHCP短租约时间属性参数。\n[0050] 当终端设备首次请求接入时，显然该Radius服务器自身的数据库中没有记录该终端设备的MAC地址，如果Radius服务器上的识别单元通过查询该数据库，没有匹配到对应的该终端设备的MAC地址，则表明该终端设备尚未经过MAC地址认证。此时，所述识别单元将通知处理单元回应通过MAC地址认证的Accept报文给接入设备，由接入设备将该等信息缓存起来。其中所述回应Accept报文中携带的隔离VLAN以及DHCP短租约时间属性参数等可以根据具体策略通过配置单元加以配置。\n[0051] 步骤3、当终端设备向DHCP服务器发起DHCP请求时，接入设备上截获单元截获终端设备发送的DHCP请求报文，信息更改单元修改该报文内容，将DHCP短租约时间填入报文中，使得终端获取的IP地址与短租约时间关联。\n[0052] 当终端设备向DHCP服务器发起DHCP请求时，接入设备上的截获单元从该终端设备发送的DHCP Discover报文中截获该终端设备的MAC地址，并根据该MAC地址查询MAC地址认证的用户租约时间，随后信息更改单元通过DHCP-Option51的属性将该认证过的用户租约时间填写在该DHCP Discover报文中，由于此时填写的用户租约时间为本发明配置的短租约时间，这样，当添加了DHCP短租约时间的DHCP回应报文发送给终端设备时，所述终端设备成功获取的IP地址就与短租约时间关联了。\n[0053] 步骤4、当终端设备在隔离VLAN中访问相关资源时，接入设备上截获单元截获该终端设备的MAC地址及该终端设备对应的指纹信息，将之发送给Radius服务器[0054] 当终端设备获取相应的短租约IP地址后，就可以在隔离VLAN中访问相关资源了，当其访问隔离VLAN中的相关资源时，接入设备上截获单元截获该终端设备的MAC地址及该终端设备对应的指纹信息该终端设备的指纹信息，其中所述指纹信息是指DHCP Request报文中的Option:(55)属性的参数顺序信息，不同的顺序代表不同终端设备的生产厂商、设备类型和操作系统类型。\n[0055] 然后，截获单元将该截获的终端设备的MAC地址和该终端设备对应的指纹信息一同提供给认证单元，由认证单元将该终端设备的MAC地址和指纹信息通过计费更新报文上传给Radius服务器。\n[0056] 步骤5、Radius服务器上的识别单元通过该终端设备的指纹信息识别出该终端设备类型，然后将MAC地址和终端设备类型绑定记录在数据库中。\n[0057] 步骤6、接入设备接收到终端设备的下线指令后，将该终端设备踢下线，进而触发终端设备重新进行MAC地址认证。\n[0058] 具体地，当所述Radius服务器完成所述终端设备的MAC地址与终端设备类型的绑定后，通过其上的COA（Change-of-Authorization）功能或者通知COA服务器向接入设备下发Disconnect Message消息，要求该终端设备下线。所述接入设备接收到终端设备的下线指令后，强制将该终端设备踢下线，进而触发终端设备重新进行MAC地址认证。\n[0059] 步骤7、接入设备接收到终端设备的接入请求后，将该终端设备的MAC地址认证请求再次通过认证单元发送给Radius服务器。\n[0060] 由于终端设备被强制下线，接入设备上的MAC地址转发表中将删除该终端设备对应的MAC地址，这样，当接入设备接收到终端设备的接入请求后，其上认证单元通过查询没有在接入设备的MAC地址转发表中查询到该终端设备的MAC地址，进而确认该终端设备的MAC地址为未知源MAC地址，进而触发该终端设备重新进行MAC地址认证，由于此步骤中的认证过程与步骤1的认证过程相同，此处不再赘述。\n[0061] 步骤8、Radius服务器上的识别单元根据数据库中的记录，检查获知该MAC地址已经注册，处理单元根据该MAC地址识别出该终端类型，回应Accept报文给接入设备。其中该报文中携带终端设备类型对应的VLAN、DHCP长租约时间参数。\n[0062] 由于Radius服务器数据库内已经存在该终端设备的MAC地址以及终端设备类型信息，因此，当所述Radius服务器接收到接入设备认证单元发送的终端设备MAC地址认证请求报文时，处理单元可以根据该终端设备的MAC地址获知该设备的类型，进而根据预先的策略下发该终端设备类型对应的VLAN、DHCP长租约时间参数。其中，终端设备类型对应的VLAN、DHCP长租约时间等属性参数均是事先根据设定的策略通过配置单元加以配置完成的。\n[0063] 步骤9、当终端设备的DHCP短租约到期后，再次向DHCP服务器发起DHCP请求时，接入设备上截获单元截获终端设备发送的DHCP请求报文，信息更改单元修改该报文内容，将DHCP长租约时间填入报文中，使得终端获取的IP地址与长租约时间关联。\n[0064] 具体地，当终端设备短租约到期，将发送DHCP续约单播报文，由于此时终端设备的VLAN已发生切换，因而续约报文交互必将失败，这样，终端设备将重新发起DHCP请求报文申请IP地址。\n[0065] 当终端设备向DHCP服务器再次发起DHCP请求时，接入设备上的截获单元从该终端设备发送的DHCP Discover报文中截获该终端设备的MAC地址，并根据该MAC地址查询MAC地址认证的用户租约时间，随后信息更改单元通过DHCP-Option51的属性将该认证过的用户租约时间填写在该DHCP Discover报文中，由于此时填写的用户租约时间为本发明配置的长租约时间，这样，当添加了DHCP长租约时间的DHCP回应报文发送给终端设备时，所述终端设备成功获取的IP地址就与长租约时间关联了。\n[0066] 步骤10、终端设备申请到新的长租约的IP地址，进而可以在该终端设备类型对应的VLAN内正常访问网络。\n[0067] 本发明方案适用于任何通过MAC地址认证接入到网络的终端设备，尤其适用于如打印机等哑终端设备。\n[0068] 与现有的技术相比，本发明通过在MAC地址认证接入的过程中，对未识别的终端设备和已经识别的终端分别下发不同长短的租约时间，同时，通过Radius服务器上的COA功能下发Disconnect Message消息给接入设备强制用户下线，解决了在BYOD场景下接入设备必须和终端设备必须直连的限制；同时还可以解决在该情形下隔离VLAN中IP地址租约回收慢的问题。\n[0069] 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。