專利名稱:一種認(rèn)證方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其涉及一種i人證方法和系統(tǒng)。
技術(shù)背景用戶訪問局域網(wǎng)的方式�,從最初始的無任何保護(hù)的網(wǎng)絡(luò)訪問接入到做簡 單的Mac地址綁定,發(fā)展到現(xiàn)在采用PPPoE (Point to Point Protocol over Ethernet ���,以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議)���、Web ���、 VPN (Virtual Private Network,虛擬專 用網(wǎng))���、無線網(wǎng)的WEP( Wireless Encryption Protocol,無線加密協(xié)議)、802.IX 認(rèn)證等多樣化的訪問接入體系���,其安全��、高效和便利性也得到了較快的發(fā)展 和提高�。由于PPPoE在純以太網(wǎng)絡(luò)環(huán)境接入控制中存在種種缺陷����,IEEE (Institute of Electrical and Electronics Engineers, 電氣和電子工程師學(xué)會(huì))在 2001年正式頒布了 IEEE 802.1X標(biāo)準(zhǔn)�����,它是一種基于端口的網(wǎng)絡(luò)接入控制技 術(shù)�,在網(wǎng)絡(luò)設(shè)備的物理接入級(jí)對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制���,連接在該類端口 上的用戶設(shè)備如果能通過認(rèn)證���,就可以訪問LAN內(nèi)的資源;如果不能通過認(rèn) 證����,則無法訪問LAN (Local Area Network,局域網(wǎng))內(nèi)的資源,相當(dāng)于物 理上斷開連才妻��。802.1X的體系結(jié)構(gòu)如圖1所示��。它的體系結(jié)構(gòu)中包括三個(gè)部分���,即客戶 端系統(tǒng)�、設(shè)備端系統(tǒng)和認(rèn)證月l務(wù)器系統(tǒng)三部分����。其中����,客戶端一般為一個(gè)用戶終端設(shè)備���,用戶通過啟動(dòng)客戶端軟件發(fā)起 802.1X認(rèn)證��;設(shè)備端通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備����,它為客戶端提供接 入局域網(wǎng)的端口���,該端口可以是物理端口����,也可以是邏輯端口�����; i人證服務(wù)器 用于實(shí)現(xiàn)用戶的認(rèn)證�����、授權(quán)和計(jì)費(fèi)���,通常為RADIUS ( Remote Authentication Dial In User Service,遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))服務(wù)器?���,F(xiàn)有的802.IX是配置在交換機(jī)的接入端口上����,所有通過該端口的數(shù)據(jù)凈艮 文都要經(jīng)過認(rèn)證,這就使實(shí)際應(yīng)用具有很大的局限性�。在實(shí)際應(yīng)用中,用戶
需要細(xì)致的劃分����。例如在圖2所示的組網(wǎng)應(yīng)用中,用戶接入的二層交換機(jī)S3526不支持802.1X���,承擔(dān)認(rèn)證功能的是匯聚層交換機(jī)S6506, 802.1X配置 在S6506的接入端口 Pl����、 P2�����、 P3、 P4上����。在用戶中,存在特殊的PCD和PCE 不需要認(rèn)證就可以上網(wǎng)����。由于同 一接入層交換機(jī)下的所有用戶上行都要經(jīng)過 同一匯聚層交換機(jī)的接入端口,例如S3526-1下的用戶PAC PCE流量都要 通過S6506-1的Pl端口��,或者在MSTP (Multi-Service Transport Platform,多 業(yè)務(wù)傳送平臺(tái))發(fā)生切換時(shí)經(jīng)過S6506-2的P3端口 ���,這些流量在Pl或P3處 都要經(jīng)過802.1X認(rèn)證����,否則會(huì)被丟棄����。PCA的用戶在上網(wǎng)時(shí)會(huì)主動(dòng)發(fā)起802.1X 認(rèn)證請(qǐng)求,匯聚層交換機(jī)通過和RADIUS Server的交互對(duì)該用戶進(jìn)行認(rèn)證���, 認(rèn)證通過則允許該用戶上網(wǎng)。而PCD和PCE的用戶不需要i/^正�,也不會(huì)觸發(fā) 認(rèn)證請(qǐng)求,但是其數(shù)據(jù)報(bào)文也要通過配置了 802.1X的P1或P3,匯聚層交換 機(jī)無法區(qū)分同一端口上來的流量哪些需要認(rèn)證哪些不需要���,所以PCD和PCE 的報(bào)文可能會(huì)被丟棄��,無法實(shí)現(xiàn)這些用戶的細(xì)分���。對(duì)于該問題,現(xiàn)有技術(shù)中提出了一些不同的解決方法�。如在網(wǎng)絡(luò)中添加 接入層交換機(jī),把不需要認(rèn)證的用戶單獨(dú)接入��,該接入層交換機(jī)上連到匯聚 層交換機(jī)的端口不進(jìn)行802.1X認(rèn)證���。如圖3所示���,新增S3526-3,不需認(rèn)證 的PCD和PCE單獨(dú)從該交換才幾接入����,上行到匯聚層交換機(jī)的端口 P5和P6 不配置802.1X?����;蛟趨R聚層交換機(jī)配置了 802.1X的端口下寫入不需要認(rèn)證的 客戶端的靜態(tài)MAC,如圖2所示,在S6506-l的端口 Pl和S6506-2的端口 P3下寫入PCD和PCE的靜態(tài)MAC (Media Access Control,々某體"l妾入控制)�, 這樣PCD和PCE的數(shù)據(jù)流量到達(dá)S6506-l和S6506-2后會(huì)直接通過而無需i人 證。使用上述方法時(shí)����,存在以下問題添加接入層交換機(jī)的方法增加了設(shè)備 成本和網(wǎng)絡(luò)復(fù)雜度;而在匯聚層交換機(jī)配置靜態(tài)MAC的方法在特殊用戶的數(shù) 量小且固定的情況下可以使用����,否則會(huì)極大的增加網(wǎng)絡(luò)管理的工作量,并且 提高了故障發(fā)生的幾率�����。
發(fā)明內(nèi)容
本發(fā)明解決的問題是提供一種認(rèn)證方法����,以實(shí)現(xiàn)認(rèn)證過程中對(duì)上網(wǎng)的用 戶終端的細(xì)致劃分與接入。為達(dá)到上述目的����,本發(fā)明提供一種認(rèn)證方法,包括以下步驟認(rèn)證設(shè)備的受控端口接收到交換設(shè)備發(fā)送的報(bào)文時(shí)��,獲取報(bào)文的類型以 及發(fā)送所述報(bào)文的終端所屬的VLAN;所述認(rèn)證設(shè)備根據(jù)所述報(bào)文的類型�、發(fā)送所述才艮文的終端所屬的VLAN 以及預(yù)設(shè)的VLAN屬性,對(duì)所述纟艮文進(jìn)4于處理其中�,所述認(rèn)證設(shè)備的受控端口接收到交換設(shè)備發(fā)送的報(bào)文前,還包括 步驟配置所述認(rèn)證設(shè)備以及所述交換設(shè)備����,所述配置具體為配置所述認(rèn)證設(shè)備與交換設(shè)備連接的端口為具有認(rèn)證功能的受控端口 ; 劃分所述交換設(shè)備下不同終端所屬的VLAN����,將不同的VLAN配置為不需認(rèn)證的非受控VLAN或需要認(rèn)證的受控VLAN,并將所述交換設(shè)備下的VLAN信息通知所述iU正設(shè)備。其中���,所述認(rèn)證設(shè)備的受控端口接收到交換設(shè)備發(fā)送的報(bào)文的步驟前還包括所述交換設(shè)備接收到終端發(fā)送的報(bào)文����;所述交換設(shè)備獲取發(fā)送所述報(bào)文的終端所屬的VLAN�,并在所述報(bào)文中添加所述VLAN的標(biāo)識(shí);所述交換設(shè)備向所述認(rèn)證設(shè)備發(fā)送所述攜帶VLAN標(biāo)識(shí)的報(bào)文�����。其中����,所述認(rèn)證設(shè)備獲取發(fā)送報(bào)文的終端所屬的VLAN的步驟具體為所述認(rèn)證設(shè)備根據(jù)所述報(bào)文中攜帶的VLAN的標(biāo)識(shí)�,獲取發(fā)送所述報(bào)文的終端所屬的VLAN�����。其中����,所述認(rèn)證設(shè)備根據(jù)報(bào)文的類型、發(fā)送報(bào)文的終端所屬的VLAN以及預(yù)設(shè)的VLAN屬性��,對(duì)報(bào)文進(jìn)行處理的步驟具體包括對(duì)于來自所述非受控VLAN內(nèi)終端的認(rèn)證協(xié)議報(bào)文直接丟棄����; 對(duì)于來自所述非受控VLAN內(nèi)終端的除認(rèn)證協(xié)議報(bào)文外的其他協(xié)議報(bào)文,上送到CPU進(jìn)行處理�; 對(duì)于來自所述非受控VLAN內(nèi)終端的數(shù)據(jù)t艮文,直接進(jìn)行報(bào)文的轉(zhuǎn)發(fā)�����。 其中�����,所述認(rèn)證設(shè)備根據(jù)所述報(bào)文的類型�、發(fā)送報(bào)文的終端所屬的VLAN以及預(yù)設(shè)的VLAN屬性���,對(duì)才艮文進(jìn)行處理的步驟具體包括對(duì)于來自所述受控VLAN內(nèi)終端的認(rèn)證協(xié)議報(bào)文�����,上送到CPU進(jìn)行處理����; 對(duì)于來自所述受控VLAN內(nèi)終端的除認(rèn)證協(xié)i義才艮文外的其他協(xié)議報(bào)文,上送到CPU進(jìn)行處理�����;對(duì)于來自所述受控VLAN內(nèi)已通過認(rèn)證的終端的數(shù)據(jù)報(bào)文��,進(jìn)行報(bào)文的轉(zhuǎn)發(fā)�����;對(duì)于來自所述受控VLAN內(nèi)未通過認(rèn)證的終端的數(shù)據(jù)報(bào)文����,進(jìn)行丟棄。 其中���,所述認(rèn)證為基于802.IX的認(rèn)i正����。 本發(fā)明還提供一種認(rèn)證系統(tǒng),包括交換設(shè)備��,用于將來自不同VLAN的報(bào)文發(fā)送到所述認(rèn)證設(shè)備��; 認(rèn)證設(shè)備����,用于在接收到所述交換設(shè)備發(fā)送的報(bào)文時(shí),根據(jù)所述報(bào)文的類型����、發(fā)送所述報(bào)文的終端所屬的VLAN以及預(yù)設(shè)的VLAN屬性,對(duì)所述報(bào)文進(jìn)行處理���。其中��,所述交換設(shè)備進(jìn)一步包括VLAN配置單元���,用于劃分本設(shè)備下不同終端所屬的VLAN,將不同的 VLAN配置為不需認(rèn)證的非受控VLAN或需要認(rèn)-i正的受控VLAN,并將所述 VLAN信息通知所述認(rèn)證設(shè)備;VLAN獲取單元�,用于在接收到報(bào)文時(shí),根據(jù)所述VLAN配置單元的配 置�,獲取發(fā)送所述報(bào)文的終端所屬的VLAN;標(biāo)識(shí)添加單元,用于根據(jù)所述VLAN獲取單元獲取到的發(fā)送報(bào)文的終端 所屬的VLAN,在才艮文中添加所述VLAN的標(biāo)識(shí)����;才艮文發(fā)送單元,用于將所述標(biāo)識(shí)添加單元進(jìn)4亍加標(biāo)識(shí)處理后的才艮文向所 述認(rèn)證設(shè)備發(fā)送����。其中���,所述認(rèn)證設(shè)備進(jìn)一步包括端口配置單元�,用于將本設(shè)備的端口配置為具有認(rèn)證功能的受控端口 ���, 且對(duì)與本設(shè)備連接的所述交換設(shè)備下各VLAN的信息進(jìn)行預(yù)先配置�;
判斷單元�����,用于在接收到所述交換設(shè)備發(fā)送的報(bào)文時(shí)�,獲取報(bào)文的類型以及發(fā)送所述報(bào)文的終端所屬的VLAN;處理單元,用于根據(jù)所述端口配置單元的配置、以及所述判斷單元獲取 的報(bào)文的類型和發(fā)送報(bào)文的終端所屬的VLAN,對(duì)所述報(bào)文進(jìn)行處理��。其中����,所述認(rèn)證設(shè)備為匯聚層交換設(shè)備,所述交換設(shè)備為接入層交換設(shè)備�。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn)實(shí)現(xiàn)了認(rèn)證中對(duì)上網(wǎng)的用戶終端的細(xì)致劃分����,使得不需要認(rèn)證的用戶終 端也可以通過受控端口接入,大大增強(qiáng)了組網(wǎng)的靈活性��,節(jié)約了成本����,減少 了網(wǎng)絡(luò)管理和維護(hù)的工作量。
圖1是現(xiàn)有技術(shù)中802.1X的體系結(jié)構(gòu)示意圖����;圖2是現(xiàn)有技術(shù)中802.1X認(rèn)證的一組網(wǎng)結(jié)構(gòu)示意圖;圖3是現(xiàn)有技術(shù)中解決802.1X認(rèn)證問題的一組網(wǎng)結(jié)構(gòu)示意圖���;圖4是本發(fā)明的一種認(rèn)證方法的流程圖����;圖5是本發(fā)明的一種認(rèn)證方法的另一流程圖;圖6是本發(fā)明的認(rèn)證方法的一應(yīng)用場景示意圖����;圖7是本發(fā)明的認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施方式
本發(fā)明的核心思想在于將認(rèn)證設(shè)備端的受控端口下的VLAN劃分為兩種 虛VLAN:受控VLAN和非受控VLAN�。其中,對(duì)于受控VLAN,在未經(jīng)過認(rèn) 證的非授權(quán)狀態(tài)下禁止發(fā)送任何報(bào)文���,在授權(quán)狀態(tài)下可以傳遞數(shù)據(jù)報(bào)文����;對(duì) 于非受控VLAN����,始終允許數(shù)據(jù)才艮文通過�����。如圖4所示����,本發(fā)明的一種認(rèn)證方法包括以下步驟步驟s401 、配置認(rèn)證設(shè)備及其受控端口 。具體的��,配置認(rèn)證設(shè)備具有認(rèn)證功能��,配置其端口為具有認(rèn)證功能的受 控端口����。步驟s402、配置受控端口下的VLAN��。配置受控端口下的VLAN,受控端口還進(jìn)一步與交換設(shè)備連接����,交換設(shè)備 下不同類型的用戶終端屬于不同的VLAN, VLAN分為兩種受控VLAN和非 受控VLAN。其中�,將不需要進(jìn)行認(rèn)證即可上網(wǎng)的用戶終端劃分到非受控 VLAN, 一般用戶終端劃分到受控VLAN��。對(duì)于非受控VLAN,端口下發(fā)ACL, 使所有來自非受控VLAN的數(shù)據(jù)報(bào)文即使源MAC未知也要學(xué)習(xí)MAC并且轉(zhuǎn)發(fā) 該報(bào)文��,來自非受控VLAN的認(rèn)證報(bào)文會(huì)被丟棄�。對(duì)于受控VLAN,所有來自 受控VLAN的報(bào)文按照現(xiàn)有技術(shù)中的處理方法進(jìn)行處理。步驟s403����、認(rèn)證設(shè)備接收交換設(shè)備發(fā)送的報(bào)文�����,判斷報(bào)文的類型以及發(fā) 送報(bào)文的終端所屬的VLAN����。步驟s404����、認(rèn)證設(shè)備根據(jù)報(bào)文的類型以及發(fā)送報(bào)文的終端所屬的VLAN, 對(duì)報(bào)文進(jìn)行處理。具體的�,認(rèn)證設(shè)備的受控端口接收到來自受控VLAN的終端發(fā)送的報(bào)文 時(shí),處理原則如下對(duì)于認(rèn)證協(xié)議報(bào)文�����,上送到CPU進(jìn)行處理���;對(duì)于其他非 認(rèn)證協(xié)議報(bào)文如路由協(xié)議報(bào)文,上送到CPU進(jìn)行處理����;對(duì)于經(jīng)過認(rèn)證的終端 發(fā)送的、源MAC已知的數(shù)據(jù)報(bào)文���,進(jìn)行報(bào)文的轉(zhuǎn)發(fā)�����;對(duì)于未經(jīng)過認(rèn)證的終端 發(fā)送的�����、源MAC未知的數(shù)據(jù)報(bào)文����,直接丟棄。具體的��,認(rèn)證設(shè)備的受控端口接收到來自非受控VLAN的終端發(fā)送的報(bào) 文時(shí)����,處理原則如下對(duì)于認(rèn)證協(xié)議報(bào)文,直接丟棄����;對(duì)于除認(rèn)證協(xié)議報(bào)文 外的其他協(xié)議報(bào)文如路由協(xié)議報(bào)文,上送到CPU進(jìn)行處理��;對(duì)于數(shù)據(jù)報(bào)文��, 直接進(jìn)行報(bào)文的轉(zhuǎn)發(fā)。以下以認(rèn)證協(xié)議為802.1X認(rèn)證為例��,對(duì)上述步驟s401 ~ s404的認(rèn)證方法 進(jìn)行詳細(xì)描述��,如圖5所示����,該認(rèn)證方法包括如下步驟步驟s501、配置認(rèn)證設(shè)備���,在認(rèn)證設(shè)備的全局和端口下配置802.1X�。 步驟s502�����、配置受控端口下的受控VLAN和非受控VLAN����。 受控端口還進(jìn)一步與交換設(shè)備連接,交換設(shè)備下不同類型的用戶終端屬 于不同的VLAN,使所有來自非受控VLAN的數(shù)據(jù)報(bào)文即使源MAC未知�,
也要學(xué)習(xí)該MAC并且轉(zhuǎn)發(fā)該報(bào)文�����,而來自非受控VLAN的802.1X報(bào)文直接 丟棄。對(duì)于來自受控VLAN的報(bào)文�����,按照現(xiàn)有技術(shù)中的處理方法進(jìn)行處理����。步驟s503、受控端口接收到報(bào)文時(shí)�����,判斷其來自受控VLAN或是非受控 VLAN�。來自非受控VLAN時(shí),進(jìn)行步驟s504;來自受控VLAN時(shí)�,進(jìn)行步 驟s506。步驟s504�����、判斷該報(bào)文是否為802.1X報(bào)文�����,若為802.1X報(bào)文����,則直接 丟棄該報(bào)文���。否則進(jìn)行步驟s505。步驟s505��、判斷該報(bào)文是否為需要CPU進(jìn)行處理的協(xié)議報(bào)文���,如果是則 上送CPU,否則該報(bào)文為數(shù)據(jù)報(bào)文���,直接進(jìn)行報(bào)文轉(zhuǎn)發(fā)即可。步驟s506���、判斷該報(bào)文是否為802.1X報(bào)文�����,若為802.1X報(bào)文�����,則上送 CPU;否則進(jìn)行步驟s507����。步驟s507���,判斷該報(bào)文是否為需要CPU進(jìn)行處理的協(xié)議報(bào)文�,若是則上 送CPU,否則進(jìn)行步驟s508��。步驟s508����、判斷該報(bào)文的源MAC是否已知,如果已知?jiǎng)t轉(zhuǎn)發(fā)該才艮文����, 否則直接丟棄該源MAC未知的纟艮文。以下結(jié)合一個(gè)具體的組網(wǎng)場景�,對(duì)本發(fā)明的實(shí)施方式作進(jìn)一步的說明。 如圖6所示��,網(wǎng)絡(luò)中的接入層交換機(jī)S3526-l以及S-3526-2下部署用戶終端 PC����,接入層交換機(jī)無802.1X認(rèn)證功能,其通過雙歸屬上行到匯聚層交換沖幾 S6506-l和S6506-2�,由匯聚層交換機(jī)進(jìn)行802.1X認(rèn)證。目前的應(yīng)用組網(wǎng)中, 普遍使用該組網(wǎng)方式����。與接入層交換機(jī)連接的各用戶終端中,PCD與PCE為 特殊用戶�����,其不需要802.1X認(rèn)證即可上網(wǎng)���。對(duì)于上述組網(wǎng)場景�����,按照本發(fā)明提供的方法���,對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行如下 配置在接入層交換機(jī)S3526-l上將不需要802.1X iU正即可上網(wǎng)的特殊用戶 PCD與PCE劃分到VLAN10;其他一般用戶可以根據(jù)需要進(jìn)行劃分,這里假 設(shè)將PCA與PCB劃分到VLAN100, PCC劃分為VLAN200�����。對(duì)于與匯聚層 交換機(jī)連接的上行接口 ����,配置為對(duì)上行到匯聚層交換機(jī)的報(bào)文進(jìn)行加標(biāo)識(shí) (tag)處理�����,使用該標(biāo)識(shí)作為報(bào)文所屬VLAN的標(biāo)識(shí)��。例如來自PCD或PCE
的報(bào)文,在報(bào)文中加入標(biāo)識(shí)VLANIO��,來自PCA與PCB的報(bào)文�����,在報(bào)文中加 入標(biāo)識(shí)VLANIOO��。在匯聚層交換機(jī)S6506-l和S6506-2上配置802.1X認(rèn)證功能��,其端口 Pl�����、 P2��、 P3和P4為具有802.1X認(rèn)i正功能受控端口 �����,端口下的各VLAN在默認(rèn)情 況下為受控VLAN,即VLAN100和VLAN200在默認(rèn)情況下為受控VLAN, 無需特別進(jìn)行配置。另外�����,配置VLAN10為非受控VLAN�。以下列舉^f吏用本發(fā)明的方法時(shí)對(duì)一些典型情況的處理方式 (1 )受控VLAN中的用戶如PCA試圖不經(jīng)過802. IX認(rèn)證直接訪問網(wǎng)絡(luò)接入層交換機(jī)S3526-1接收到來自PCA的數(shù)據(jù)報(bào)文,獲取該數(shù)據(jù)報(bào)文的 發(fā)送方所屬的VLAN后���,將該才艮文加標(biāo)識(shí)VLANIOO并通過與匯聚層交換^L 連接的上行接口向匯聚層交換機(jī)S6506-1發(fā)送��。匯聚層交換機(jī)S6506-l的受控端口 Pl接收該凈艮文�,根據(jù)標(biāo)識(shí)VLANIOO 判斷該報(bào)文為來自受控VLAN��,且該用戶之前未經(jīng)過802.IX認(rèn)證�,報(bào)文的源 MAC未知,則丟棄該l良文�����。(2 )受控VLAN中的用戶如PCB向網(wǎng)絡(luò)側(cè)發(fā)起802.IX iU正請(qǐng)求接入層交換機(jī)S3526-l接收到來自PCB的802.1X協(xié)議報(bào)文���,獲取該數(shù)據(jù) 報(bào)文的發(fā)送方所屬的VLAN后����,將該報(bào)文加標(biāo)識(shí)VLANIOO并通過與匯聚層 交換機(jī)連接的上行接口向匯聚層交換機(jī)S6506-l發(fā)送。匯聚層交換機(jī)S6506-l的受控端口 Pl接收該報(bào)文��,根據(jù)標(biāo)識(shí)VLANIOO 判斷該報(bào)文為來自受控VLAN,且該報(bào)文為802.1X協(xié)議報(bào)文����,則將該報(bào)文上 送CPU以繼續(xù)認(rèn)i正流程。(3 )非受控VLAN中的用戶如PCC試圖不經(jīng)過802.1X認(rèn)證直接訪問網(wǎng)絡(luò)接入層交換機(jī)S3526-1接收到來自PCC的數(shù)據(jù)報(bào)文�,獲取該數(shù)據(jù)報(bào)文的 發(fā)送方所屬的VLAN后,將該纟艮文加標(biāo)識(shí)VLANIO并通過與匯聚層交換機(jī)連 接的上行接口向匯聚層交換機(jī)S6506-l發(fā)送��。匯聚層交換機(jī)S6506-l的受控端口 Pl接收該報(bào)文���,根據(jù)標(biāo)識(shí)VLAN10判 斷該報(bào)文為來自非受控VLAN,則學(xué)習(xí)該報(bào)文的MAC地址并轉(zhuǎn)發(fā)該報(bào)文�。 (4 )非受控VLAN中的用戶如PCD向網(wǎng)絡(luò)側(cè)發(fā)起802.1X認(rèn)證請(qǐng)求 接入層交換機(jī)S3526-l接收到來自PCD的802.1X協(xié)議報(bào)文,獲取該數(shù)據(jù)報(bào)文的發(fā)送方所屬的VLAN后���,將該報(bào)文加標(biāo)識(shí)VLANIO并通過與匯聚層交換機(jī)連接的上行接口向匯聚層交換機(jī)S6506-l發(fā)送���。匯聚層交換機(jī)S6506-l的受控端口 PI接收該凈艮文,根據(jù)標(biāo)識(shí)VLANIO判斷該報(bào)文為來自非受控VLAN,且該報(bào)文為802.1X協(xié)議報(bào)文��,則將該報(bào)文丟棄���。通過使用上述認(rèn)證方法����,以802.IX認(rèn)證為例,實(shí)現(xiàn)了認(rèn)證過程中對(duì)上網(wǎng) 的用戶終端的細(xì)致劃分��,使得不需要認(rèn)證的用戶終端也可以通過受控端口接 入�����,大大增強(qiáng)了組網(wǎng)的靈活性����,節(jié)約了成本,減少了網(wǎng)絡(luò)管理和維護(hù)的工作 量����。對(duì)于其他接入系統(tǒng)中的認(rèn)證方法,只需在交換設(shè)備和認(rèn)證設(shè)備的認(rèn)證協(xié) 議的配置上進(jìn)行修改即可���,在此不進(jìn)行詳細(xì)描述�����。本發(fā)明還提供了一種認(rèn)證系統(tǒng)����,包括認(rèn)證設(shè)備和交換設(shè)備,以認(rèn)證設(shè)備 為匯聚層交換設(shè)備����、交換設(shè)備為接入層交換設(shè)備為例。該認(rèn)證系統(tǒng)的結(jié)構(gòu)如 圖7所示�����,包括接入層交換設(shè)備10和匯聚層交換設(shè)備20�����。其中�,接入層交換 設(shè)備10用于根據(jù)預(yù)先設(shè)定的VLAN����,將來自不同VLAN的用戶終端的報(bào)文進(jìn) 行加標(biāo)識(shí)處理并發(fā)送到匯聚層交換設(shè)備20;匯聚層交換設(shè)備20用于在接收到 接入層交換設(shè)備10發(fā)送的報(bào)文時(shí),通過報(bào)文中的標(biāo)識(shí)獲取其所屬VLAN,然 后根據(jù)預(yù)先配置的VLAN信息判斷其來自受控VLAN或非受控VLAN��,從而 根據(jù)報(bào)文所屬VLAN以及報(bào)文的類型對(duì)報(bào)文進(jìn)行處理�。具體的,接入層交換設(shè)備IO進(jìn)一步包括VLAN配置單元ll��、 VLAN獲 取單元12、標(biāo)識(shí)添加單元13以及4艮文發(fā)送單元14�����。VLAN配置單元11,用于對(duì)與本接入層交換機(jī)連接的用戶終端所屬的 VLAN進(jìn)行配置�,其中,將不需要進(jìn)行認(rèn)證的特殊用戶終端劃分為一個(gè)或多 個(gè)VLAN,稱為非受控VLAN�����, 一4殳的用戶終端所在的VLAN稱為受控VLAN����。 其中,上述受控VLAN與非受控VLAN的信息預(yù)先也在匯聚層交換設(shè)備20 進(jìn)行了配置����。VLAN獲取單元12、與VLAN配置單元11連接��,用于在接收到用戶終 端發(fā)送的報(bào)文時(shí)����,根據(jù)VLAN配置單元11的配置,獲取發(fā)送該報(bào)文的用戶終 端所屬的VLAN�����。標(biāo)識(shí)添加單元13,與VLAN獲取單元12連接,用于根據(jù)VLAN獲取單 元12獲取到的發(fā)送報(bào)文的用戶終端所屬的VLAN���,在報(bào)文中添加標(biāo)識(shí)以作為 該才艮文的發(fā)送終端所屬的VLAN的標(biāo)識(shí)��。報(bào)文發(fā)送單元]4,與標(biāo)識(shí)添加單元13連接����,用于將標(biāo)識(shí)添加單元13進(jìn) 行加標(biāo)識(shí)處理后的報(bào)文向匯聚層交換設(shè)備20發(fā)送���。具體的��,匯聚層交換設(shè)備20進(jìn)一步包括端口配置單元21���、判斷單元 22以及處理單元23�。端口配置單元21,用于對(duì)匯聚層交換設(shè)備的端口進(jìn)行配置����,配置后的端 口為受控端口 ,具有802.1X認(rèn)證功能�,且對(duì)接入層交換設(shè)備10下各VLAN 屬于受控VLAN或非受控VLAN的信息進(jìn)行了預(yù)先配置�����。判斷單元22,用于在接收到接入層交換設(shè)備10發(fā)送的報(bào)文時(shí)���,獲取報(bào)文 的類型以及其攜帶的標(biāo)識(shí),根據(jù)該標(biāo)識(shí)判斷報(bào)文的發(fā)送終端屬于受控VLAN 或非受控VLAN�。處理單元23,與判斷單元22和端口配置單元21連接,用于根據(jù)判斷單 元22獲取的報(bào)文的類型�����、報(bào)文的發(fā)送終端屬于受控VLAN或非受控VLAN�、 以及端口配置單元21中對(duì)VLAN的配置,對(duì)報(bào)文進(jìn)行相應(yīng)的處理����,該處理包 括(1 )對(duì)于來自受控VLAN的報(bào)文處理原則如下認(rèn)證協(xié)議報(bào)文上送到CPU 進(jìn)行處理;其他協(xié)議報(bào)文如路由協(xié)議報(bào)文�,上送到CPU進(jìn)行處理;已通過認(rèn) 證的用戶終端發(fā)送的���、源MAC已知的數(shù)據(jù)報(bào)文����,進(jìn)行報(bào)文的轉(zhuǎn)發(fā);未通過認(rèn) 證的用戶終端發(fā)送的��、源MAC未知的數(shù)據(jù)報(bào)文��,直接丟棄�����。(2)對(duì)于來自非 受控VLAN的報(bào)文認(rèn)證協(xié)議報(bào)文直接丟棄��;其他非認(rèn)證協(xié)議報(bào)文如路由協(xié) 議報(bào)文�����,上送到CPU進(jìn)行處理�;數(shù)據(jù)報(bào)文,直接進(jìn)行報(bào)文的轉(zhuǎn)發(fā)����。通過使用上述認(rèn)證系統(tǒng)和設(shè)備,實(shí)現(xiàn)了認(rèn)證過程中對(duì)上網(wǎng)的用戶終端的 細(xì)致劃分�����,使得不需要認(rèn)證的用戶終端也可以通過受控端口接入���,大大增強(qiáng) 了組網(wǎng)的靈活性��,節(jié)約了成本��,減少了網(wǎng)絡(luò)管理和維護(hù)的工作量�����。通過以上的實(shí)施方式的描述����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)���,當(dāng)然也可以通過硬件�, 但很多情況下前者是更佳的實(shí)施方式��?���;谶@樣的理解,本發(fā)明的技術(shù)方案 本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�, 該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中�,包括若干指令用以使得一臺(tái)網(wǎng)絡(luò) 設(shè)備執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法����。以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是��,本發(fā)明并非局限于此��, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍��。
權(quán)利要求
1�、一種認(rèn)證方法,其特征在于���,包括以下步驟認(rèn)證設(shè)備的受控端口接收到交換設(shè)備發(fā)送的報(bào)文時(shí)�����,獲取報(bào)文的類型以及發(fā)送所述報(bào)文的終端所屬的VLAN����;所述認(rèn)證設(shè)備根據(jù)所述報(bào)文的類型���、發(fā)送所述報(bào)文的終端所屬的VLAN以及預(yù)設(shè)的VLAN屬性����,對(duì)所述報(bào)文進(jìn)行處理����。
2、 如權(quán)利要求1所述認(rèn)證方法����,其特征在于,所述認(rèn)證設(shè)備的受控端口 接收到交換設(shè)備發(fā)送的報(bào)文前����,還包括步驟配置所述認(rèn)證設(shè)備以及所述交 換設(shè)備,所述配置具體為配置所述認(rèn)證設(shè)備與交換設(shè)備連接的端口為具有認(rèn)證功能的受控端口 ��; 劃分所述交換設(shè)備下不同終端所屬的VLAN,將不同的VLAN配置為不需i人i正的非受控VLAN或需要認(rèn)證的受控VLAN�,并將所述交換i殳備下的VLAN信息通知所述認(rèn)證設(shè)備。
3�、 如權(quán)利要求2所述認(rèn)證方法,其特征在于���,所述認(rèn)證設(shè)備的受控端口 接收到交換設(shè)備發(fā)送的報(bào)文的步驟前還包括所述交換設(shè)備接收到終端發(fā)送的報(bào)文�;所述交換設(shè)備獲取發(fā)送所述報(bào)文的終端所屬的VLAN,并在所述報(bào)文中 添加所述VLAN的標(biāo)識(shí)��;所述交換設(shè)備向所述認(rèn)證設(shè)備發(fā)送所述攜帶VLAN標(biāo)識(shí)的報(bào)文。
4�、 如權(quán)利要求3所述認(rèn)證方法,其特征在于�����,所述認(rèn)證設(shè)備獲取發(fā)送報(bào) 文的終端所屬的VLAN的步驟具體為所述認(rèn)證設(shè)備根據(jù)所述報(bào)文中攜帶的VLAN的標(biāo)識(shí)�����,獲取發(fā)送所述報(bào)文 的終端所屬的VLAN����。
5、 如權(quán)利要求1至4中任一項(xiàng)所述認(rèn)證方法���,其特征在于��,所述認(rèn)證設(shè) 備根據(jù)報(bào)文的類型�、發(fā)送報(bào)文的終端所屬的VLAN以及預(yù)設(shè)的VLAN屬性���, 對(duì)^1文進(jìn)行處理的步驟具體包括對(duì)于來自所述非受控VLAN內(nèi)終端的認(rèn)證協(xié)議報(bào)文直接丟棄����;對(duì)于來自所述非受控VLAN內(nèi)終端的除認(rèn)證協(xié)議報(bào)文外的其他協(xié)議報(bào) 文,上送到CPU進(jìn)行處理�����;對(duì)于來自所述非受控VLAN內(nèi)終端的數(shù)據(jù)報(bào)文����,直接進(jìn)行報(bào)文的轉(zhuǎn)發(fā)����。
6、 如權(quán)利要求1至4中任一項(xiàng)所述認(rèn)證方法�����,其特征在于�����,所述認(rèn)證設(shè) 備根據(jù)所述報(bào)文的類型�����、發(fā)送報(bào)文的終端所屬的VLAN以及預(yù)設(shè)的VLAN屬 性��,對(duì)報(bào)文進(jìn)行處理的步驟具體包括對(duì)于來自所述受控VLAN內(nèi)終端的認(rèn)證協(xié)議才艮文,上送到CPU進(jìn)行處理�����; 對(duì)于來自所述受控VLAN內(nèi)終端的除認(rèn)證協(xié)議報(bào)文外的其他協(xié)議報(bào)文�,上送到CPU進(jìn)行處理;對(duì)于來自所述受控VLAN內(nèi)已通過認(rèn)證的終端的數(shù)據(jù)報(bào)文��,進(jìn)行報(bào)文的轉(zhuǎn)發(fā)���;對(duì)于來自所述受控VLAN內(nèi)未通過認(rèn)證的終端的數(shù)據(jù)報(bào)文����,進(jìn)行丟棄�。
7、 如權(quán)利要求1至4中任一項(xiàng)所述認(rèn)證方法���,其特征在于����,所述認(rèn)證為 基于802.1X的認(rèn)證��。
8、 一種認(rèn)證系統(tǒng)���,其特征在于��,包括交換設(shè)備����,用于將來自不同VLAN的報(bào)文發(fā)送到所述認(rèn)證設(shè)備�; 認(rèn)證設(shè)備,用于在接收到所述交換設(shè)備發(fā)送的報(bào)文時(shí)�,根據(jù)所述報(bào)文的類型��、發(fā)送所述報(bào)文的終端所屬的VLAN以及預(yù)設(shè)的VLAN屬性�����,對(duì)所述才艮文進(jìn)行處理�。
9、 如權(quán)利要求8所述認(rèn)證系統(tǒng)����,其特征在于,所述交換設(shè)備進(jìn)一步包括 VLAN配置單元��,用于劃分本設(shè)備下不同終端所屬的VLAN��,將不同的VLAN配置為不需認(rèn)證的非受控VLAN或需要認(rèn)證的受控VLAN,并將所述 VLAN信息通知所述認(rèn)證設(shè)備;VLAN獲取單元���,用于在接收到報(bào)文時(shí)��,根據(jù)所述VLAN配置單元的配 置���,獲取發(fā)送所述報(bào)文的終端所屬的VLAN;標(biāo)識(shí)添加單元,用于根據(jù)所述VLAN獲取單元獲取到的發(fā)送"R文的終端 所屬的VLAN,在l艮文中添加所述VLAN的標(biāo)識(shí)����;報(bào)文發(fā)送單元,用于將所述標(biāo)識(shí)添加單元進(jìn)^f亍加標(biāo)識(shí)處理后的導(dǎo)艮文向所 述認(rèn)證設(shè)備發(fā)送���。
10�����、 如權(quán)利要求8所述認(rèn)證系統(tǒng)�����,其特征在于����,所述認(rèn)證設(shè)備進(jìn)一步包括端口配置單元,用于將本-設(shè)備的端口配置為具有認(rèn)證功能的受控端口 ���,且對(duì)與本設(shè)備連接的所述交換設(shè)備下各VLAN的信息進(jìn)行預(yù)先配置�����;判斷單元��,用于在接收到所述交換設(shè)備發(fā)送的報(bào)文時(shí)���,獲取報(bào)文的類型以及發(fā)送所述報(bào)文的終端所屬的VLAN;處理單元,用于根據(jù)所述端口配置單元的配置��、以及所述判斷單元獲取的報(bào)文的類型和發(fā)送報(bào)文的終端所屬的VLAN���,對(duì)所述報(bào)文進(jìn)行處理。
11����、 如權(quán)利要求8所述認(rèn)證系統(tǒng),其特征在于�����,所述認(rèn)證設(shè)備為匯聚層 交換設(shè)備,所述交換設(shè)備為接入層交換設(shè)備�。
全文摘要
本發(fā)明公開了一種認(rèn)證方法,包括以下步驟認(rèn)證設(shè)備的受控端口接收到交換設(shè)備發(fā)送的報(bào)文時(shí)��,獲取報(bào)文的類型以及發(fā)送該報(bào)文的終端所屬的VLAN�����;認(rèn)證設(shè)備根據(jù)該報(bào)文的類型�����、發(fā)送該報(bào)文的終端所屬的VLAN以及預(yù)設(shè)的VLAN屬性���,對(duì)報(bào)文進(jìn)行處理����。本發(fā)明還公開了一種認(rèn)證系統(tǒng)�,通過使用本發(fā)明提供的方法,實(shí)現(xiàn)了認(rèn)證過程中對(duì)上網(wǎng)的用戶終端的細(xì)致劃分��,使得不需要認(rèn)證的用戶終端也可以通過同一端口接入���,大大增強(qiáng)了組網(wǎng)的靈活性�����,節(jié)約了成本��,減少了網(wǎng)絡(luò)管理和維護(hù)的工作量����。
文檔編號(hào)H04L9/32GK101166093SQ20071014304
公開日2008年4月23日 申請(qǐng)日期2007年8月22日 優(yōu)先權(quán)日2007年8月22日
發(fā)明者琳 彭 申請(qǐng)人:杭州華三通信技術(shù)有限公司