CN109495431A - 接入控制方法、装置和系统、以及交换机 - Google Patents
接入控制方法、装置和系统、以及交换机 Download PDFInfo
- Publication number
- CN109495431A CN109495431A CN201710822104.4A CN201710822104A CN109495431A CN 109495431 A CN109495431 A CN 109495431A CN 201710822104 A CN201710822104 A CN 201710822104A CN 109495431 A CN109495431 A CN 109495431A
- Authority
- CN
- China
- Prior art keywords
- message
- vlan
- terminal device
- port
- identified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/467—Arrangements for supporting untagged frames, e.g. port-based VLANs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请公开了一种接入控制方法、装置和系统以及交换机,属于网络技术领域。所述接入控制方法包括:认证设备接收接入设备发送的报文,所述报文包括虚拟局域网VLAN标识;认证设备根据所述VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,其中,所述对应关系包括多个VLAN标识到至少两种认证方式的映射。本申请通过根据VLAN标识来确定终端设备的认证方式,使得不同的VLAN中的终端设备可以采用不同的认证方式,接入方式灵活。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种接入控制方法、装置和系统、以及交换机。
背景技术
通过身份认证后终端设备才能访问网络。常见的身份认证方式包括电气电子工程师学会(英文:Institute of Electrical and Electronics Engineers,IEEE)802.1X认证、媒体接入控制(英文:Media Access Control,MAC)认证和强制门户(英文:captiveportal)认证(又称网页(英文:web)认证)。其中,IEEE 802.1X认证需要终端设备先安装客户端软件,然后采用客户端软件发起认证流程。MAC认证是基于MAC地址的,使用白名单内的MAC地址的终端设备通过MAC认证。而强制门户认证基于终端设备发送的超文本传输协议(英文:Hyper Text Transport Protocol,HTTP)请求或超文本传输协议安全(英文:HyperText Transfer Protocol over Secure Socket Layer,HTTPS)。
目前的认证方式的选择基于认证设备的物理端口或者虚拟局域网接口,认证方式单一。
发明内容
为了解决认证设备认证方式单一的问题,本申请提供了一种接入控制方法、装置和系统、以及交换机。所述技术方案如下:
第一方面,提供了一种接入控制方法,所述方法包括:认证设备接收接入设备发送的报文,所述报文包括虚拟局域网(英文:virtual local area network,VLAN)标识;认证设备根据所述报文中的VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,其中,所述对应关系包括多个VLAN标识到至少两种认证方式的映射。
根据VLAN标识来确定属于不同VLAN的终端设备的认证方式,使得不同的VLAN中的终端设备可以采用不同的认证方式,接入方式更加灵活。
可选地,所述对应关系还可以包括所述认证设备的与所述接入设备连接的端口到所述多个VLAN标识的映射。相应地,所述认证设备根据所述VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,包括:当所述报文是从所述端口接收到的时,所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证。在不同的端口可以针对不同的VLAN配置不同的认证方式,配置更为灵活。
在第一方面的一种可能的实现方式中,所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,包括:当所述VLAN标识对应的认证方式为MAC认证且所述报文为第一指定类型的报文时,认证设备发起媒体接入控制MAC认证。其中,第一指定类型的报文可以包括地址解析协议(英文:Address Resolution Protocol,ARP)报文、动态主机配置协议(英文:Dynamic Host Configuration Protocol,DHCP)报文等。
在第一方面的另一种可能的实现方式中,所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,包括:当所述VLAN标识对应的认证方式为强制门户认证且所述报文为第二指定类型的报文时,认证设备发起强制门户认证。其中,第二指定类型的报文可以为HTTP请求报文或HTTPS请求报文。
可选地,该方法还可以包括:认证设备获取并保存所述对应关系。
第二方面,提供了一种接入控制装置,所述装置包括用于实现第一方面所述的方法的模块,例如接收模块和认证模块。
第三方面,提供了一种交换机,所述交换机包括:处理器、端口和存储器,所述端口和所述存储器分别与所述处理器连接,所述处理器用于通过所述端口接收接入设备发送的报文,所述报文包括虚拟局域网VLAN标识;根据所述报文中的VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,其中,所述对应关系包括多个VLAN标识到至少两种认证方式的映射。
第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该计算机可读存储介质在计算机上运行时,使得计算机执行上述第一方面或第一方面的任一可选方式所提供的方法。
第五方面,提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面或第一方面的任一可选方式所提供的方法。
第六方面,提供了一种接入控制系统,所述系统包括接入设备和认证设备;所述接入设备用于接收终端设备发送的报文,为接收到的报文添加VLAN标识,并将添加了VLAN标识的报文发送给所述认证设备,所述认证设备用于执行上述第一方面中任意一种可能的实施方式提供的方法。
附图说明
图1是本发明实施例提供的一种应用场景的示意图;
图2是本发明实施例提供的一种接入控制方法流程图;
图3是本发明实施例提供的一种接入控制系统的示意图;
图4是本发明实施例提供的一种交换机的结构示意图;
图5是本发明实施例提供的一种接入控制装置的示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
图1显示了本发明实施例提供的一种应用场景。如图1所示,接入设备A1和A2分别与认证设备B1的一个端口连接,即接入设备A1与认证设备B1的端口1连接,接入设备A2与认证设备B1的端口2连接。终端设备11与接入设备A1连接,接入设备A1被配置为通过接入设备A1的所有端口接入的终端设备均接入VLAN1。终端设备12通过接入设备A2的第一端口A21与接入设备A2连接,终端设备13通过接入设备A2的第二端口A22与接入设备A2连接。接入设备A2被配置为通过接入设备A2的第一端口A21接入的终端设备均接入VLAN2,接入设备A2被配置为通过接入设备A2的第二端口A22接入的终端设备均接入VLAN3。
图1中接入设备的数量可以根据实际需要设置,不限于图1所示的两个,且每个接入设备连接的终端设备的数量也可以根据实际需要变化。图1所示的场景可以适用于多个企业在同一园区,园区的网络统一建设,不同企业通过不同接入设备或者同一接入设备的不同物理端口接入网络。
在图1中,终端设备可以是手机、笔记本电脑、个人计算机等,接入设备可以是终端设备接入网络时直接连接的交换机,不具备认证功能,认证设备也可以是交换机,具备认证功能,接入设备与认证设备连接,接入设备将终端设备发送的报文发送给认证设备,以由认证设备对终端设备进行认证或对报文进行转发。
具体地,接入设备的与终端设备连接的端口配置有缺省的VLAN标识,可以被称为端口VLAN标识(英文:port VLAN ID)。当接入设备从与终端设备连接的端口接收到报文时,会将该端口的缺省的VLAN标识添加到报文中,并将添加了VLAN标识的报文发送给认证设备。例如,在图1中,终端设备11发送报文给接入设备A1,接入设备A1接收该报文,并为该报文添加VLAN1的VLAN标识,然后将携带有VLAN1的报文发送给认证设备B1;又例如,在图2中,终端设备12通过第一端口A21(对应的端口VLAN标识为VLAN2)发送报文给接入设备A2,接入设备A2接收该报文,并为该报文添加VLAN2的VLAN标识,然后将携带有VLAN2的报文发送给认证设备B1;终端设备13通过第二端口A22((对应的端口VLAN标识为VLAN3))发送报文给接入设备A2,接入设备A2接收该报文,并为该报文添加VLAN3的VLAN标识,然后将携带有VLAN3的报文发送给认证设备B1。认证设备B1接收到添加了VLAN标识的报文后,根据报文中的VLAN标识来对发送该报文的终端设备进行认证,从而对终端设备进行接入控制。
在本申请实施例中,认证设备上配置有至少两种认证方式,下面将以配置有两种认证方式,且这两种认证方式分别为MAC认证和强制门户认证为例,来对本申请实施例进行说明。
下面结合图2对整个接入控制方法进行详细描述。如图3所示,本发明实施例提供的接入控制方法可以包括:
S101:终端设备向接入设备发送报文。
相应地,接入设备接收该报文。该报文至少包括源MAC地址,该源MAC地址为该终端设备的MAC地址。
S102:接入设备为该报文添加VLAN标识。
该步骤S102可以包括:接入设备确定接收该报文的端口,并将该端口对应的VLAN标识(即前述端口VLAN标识)添加到报文中。
S103:接入设备将添加了VLAN标识的报文发送给认证设备。
相应地,认证设备接收携带了VLAN标识的报文。
S104:认证设备根据报文中的VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证。
在本实施例的一种实现方式中,该对应关系可以包括多个VLAN标识到至少两种认证方式的映射。其中,不同的VLAN标识可以映射到同一种认证方式,也可以映射到不同的认证方式。换言之,每种认证方式可以对应一个或多个VLAN标识。该对应关系可以采用列表的形式保存。
在该步骤S104中,采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,可以包括:当所述VLAN标识对应的认证方式为MAC认证,且所述报文为第一指定类型的报文时,认证设备发起媒体接入控制MAC认证。其中第一类型的报文可以包括地址解析协议(英文:Address Resolution Protocol,ARP)报文、动态主机配置协议(英文:Dynamic host configuration protocol,DHCP)报文等。例如,对于ARP报文,报文类型可以根据报文的物理帧头中的以太类型(Ethertype)字段的值来确定,例如若该字段的值为0x0806,则对应的报文为ARP报文。
进一步地,该步骤S104可以采用如下方式实现:当VLAN标识对应的认证方式为MAC认证时,认证设备确定该报文是否为第一指定类型的报文,当该报文为第一指定类型的报文时,认证设备提取报文中的源MAC地址,将提取的源MAC地址发送给服务器进行MAC认证,或者对提取的源MAC地址进行本地认证。当该报文不是第一指定类型的报文时,对该报文进行正常转发。
在其他实施例中,认证设备还可以直接获取报文中的源MAC地址,并判断获取到的源MAC地址是否为新的MAC地址,当源MAC地址是新的MAC地址时,对获取到的源MAC地址进行MAC认证。当源MAC地址不是新的MAC地址时,对该报文进行正常转发。具体地,判断获取到的源MAC地址是否为新的MAC地址,可以查询MAC表中是否存在该MAC地址,若不存在,则认为该源MAC地址为新的MAC地址。
在本实施例中,通过判断报文的报文类型来确定该报文中的MAC地址是否为新的MAC地址,可以简化流程。
可选地,在该步骤S104中,采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,还可以包括:当所述VLAN标识对应的认证方式为强制门户认证,且所述报文为第二指定类型的报文时,认证设备发起强制门户认证。其中,第二类型的报文可以为超文本传输协议(英文:Hyper Text Transport Protocol,HTTP)请求报文或超文本传输协议安全(英文:Hyper Text Transfer Protocol over Secure Socket Layer,HTTPS)请求报文。
进一步地,该步骤S104可以采用如下方式实现:当VLAN标识对应的认证方式为强制门户认证时,认证设备确定该报文是否为第二指定类型的报文,当该报文为第二指定类型的报文时,认证设备向终端设备发送重定向统一资源定位符(英文:Uniform ResourceLocator,URL),该URL指向Portal服务器的地址,终端设备打开重定向URL,打开web认证页面,获取终端用户通过web认证页面输入的认证信息(例如用户名和密码),将获取到的web认证信息发送给服务器进行认证,或者对获取到的用户名和密码进行本地认证。当该报文不是第二指定类型的报文时,对该报文进行正常转发。
前述服务器可以为远程用户拨号认证系统(英文:Remote Authentication DialIn User Service,RADIUS)服务器。
在本实施例的另一种实现方式中,该对应关系除了包括多个VLAN标识到至少两种认证方式的映射之外,还包括所述认证设备的与所述接入设备连接的端口到所述多个VLAN标识的映射。认证设备的一个端口可以映射到一个或多一个VLAN标识。认证设备的不同的端口对应的VLAN标识的数量可以相同也可以不同。并且,认证设备的不同的端口对应的VLAN标识可以不同。例如,图1中,认证设备B1的端口1对应了一个VLAN标识,即VLAN1,而认证设备B1的端口2对应了两个VLAN标识,即VLAN2和VLAN3。该对应关系同样可以采用列表的形式保存。
相应地,该步骤S104可以包括:当报文是从认证设备的与所述接入设备连接的端口接收到的时,所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证。例如,当报文是从认证设备B1的端口1接收到的,且报文中携带的VLAN标识为VLAN1,则认证设备B1采用VLAN1对应的认证方式进行认证;当报文是从认证设备B1的端口2接收到的,且报文中携带的VLAN标识为VLAN2,则认证设备B1采用VLAN2对应的认证方式进行认证。
本申请实施例中的认证设备可以为网络交换机。该网络交换机可以不是网关设备,在不是网关设备时报文通过二层转发。
在本发明实施例的一种实施方式中,对于认证通过的终端设备,认证设备可以下发授权信息给接入设备,该授权信息用于指示终端设备的网络访问权限,并根据该授权信息控制该终端设备的网络访问权限。对于认证失败的终端设备,接入设备可以对其进行隔离。
可选地,当终端设备通过认证之后,本实施例的接入控制方法还可以包括:
终端设备可以将自己的安全状态信息上报给安全策略服务器,例如病毒库版本、操作系统版本、已安装的不定版本等;安全策略服务器根据终端设备的安全状态信息,下发授权信息给接入设备;接入设备根据安全策略服务器重新下发的授权信息修改终端设备的网络访问权限。
相应地,终端设备可以接入软件服务器进行客户端下载、系统修复、补丁/病毒库升级等处理,直到符合企业安全标准。
图3示出了本发明实施例提供的一种接入控制系统的示意图。如图3所示,本发明实施例提供的接入控制系统包括接入设备301和认证设备302。其中,接入设备301用于执行图2所示方法中,由接入设备301执行的步骤,认证设备302用于执行图2所示方法中,由认证设备302执行的步骤。
可选地,该接入控制系统还可以包括服务器303。该服务器可以包括Portal服务器和RADIUS服务器等。
图4示出了本发明实施例提供的一个交换机的结构方框图。参见图4,交换机的硬件可以包括一个或者一个以上处理核心的处理器41、包括有一个或一个以上计算机可读存储介质的存储器42、端口43等部件,处理器41可以用总线与存储器42和端口43连接。本领域技术人员可以理解,图4中示出的结构并不构成对交换机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
可选地,处理器41可以包括一个或者一个以上处理模块,该处理模块可以是中央处理单元(英文:central processing unit,CPU)或者网络处理器(英文:networkprocessor,NP)等。
端口43可以为以太网端口。端口43由处理器41控制。
存储器42可用于存储各种数据,例如各种配置参数(例如前述对应关系)以及计算机指令,该计算机指令可以由处理器41执行。存储器42可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘、闪存,也可以是其他易失性固态存储器件。相应地,存储器42还可以包括存储器控制器,以提供处理器41对存储器42的访问。
在本申请实施例中,处理器41用于通过端口43接收接入设备发送的报文,并且用于执行存储器中的指令,以实现如图2中认证设备所需要执行的步骤。
本发明实施例还提供了一种接入控制装置,参见图5,该接入控制装置包括:接收模块501和认证模块502。其中,接收模块501用于接收接入设备发送的报文,所述报文包括VLAN标识;认证模块502用于根据所述VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,其中,所述对应关系包括多个VLAN标识到至少两种认证方式的映射。
可选地,该对应关系还可以包括所述认证设备的与所述接入设备连接的端口到所述多个VLAN标识的映射。可选地,认证模块502用于当所述报文是从所述端口接收到的时,采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证。
在本发明实施例的一种实施方式中,认证模块502用于当所述VLAN标识对应的认证方式为MAC认证且所述报文为第一指定类型的报文时,发起MAC认证。
在本发明实施例的另一种实施方式中,认证模块502用于当所述VLAN标识对应的认证方式为强制门户认证且所述报文为第二指定类型的报文时,发起强制门户认证。
可选地,该接入控制装置还可以包括配置模块503,配置模块503用于获取并保存前述对应关系。
相关细节可结合参考图2的方法实施例。
上述认证模块502和配置模块503可以由处理器实现或者由处理器执行存储器中的程序指令来实现。接收模块501可以由端口实现或者由端口结合处理器来实现。
需要说明的是:上述实施例提供的接入控制装置与接入控制方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件或者其组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以是存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、双绞线、光纤)或无线(例如红外、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质、或者半导体介质(例如固态硬盘(SSD))等。
以上所述仅为本申请的可选实施例,并不用以限制本申请,根据本申请所作的任何修改、改进等,均应包含在本申请的保护范围之内。
Claims (11)
1.一种接入控制方法,其特征在于,所述方法包括:
认证设备接收接入设备发送的报文,所述报文包括虚拟局域网VLAN标识;
所述认证设备根据所述VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,其中,所述对应关系包括多个VLAN标识到至少两种认证方式的映射。
2.根据权利要求1所述的方法,其特征在于,所述对应关系还包括所述认证设备的与所述接入设备连接的端口到所述多个VLAN标识的映射;所述认证设备根据所述VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,包括:
当所述报文是从所述端口接收到的时,所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证。
3.根据权利要求1或2所述的方法,其特征在于,所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,包括:
当所述VLAN标识对应的认证方式为MAC认证,且所述报文为第一指定类型的报文时,所述认证设备发起媒体接入控制MAC认证,所述第一指定类型的报文包括地址解析协议ARP报文或动态主机配置协议DHCP报文。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,包括:
当所述VLAN标识对应的认证方式为强制门户认证,且所述报文为第二指定类型的报文时,所述认证设备发起强制门户认证,所述第二指定类型的报文包括超文本传输协议HTTP请求报文或超文本传输协议安全HTTPS请求报文。
5.一种接入控制装置,其特征在于,所述装置包括:
接收模块,用于接收接入设备发送的报文,所述报文包括VLAN标识;
认证模块,用于根据所述VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,其中,所述对应关系包括多个VLAN标识到至少两种认证方式的映射。
6.根据权利要求5所述的装置,其特征在于,所述对应关系还包括所述认证设备的与所述接入设备连接的端口到所述多个VLAN标识的映射;所述认证模块用于当所述报文是从所述端口接收到的时,采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证。
7.一种交换机,其特征在于,所述交换机包括:处理器、端口和存储器,所述端口和所述存储器分别与所述处理器连接,所述处理器用于通过所述端口接收接入设备发送的报文,所述报文包括虚拟局域网VLAN标识;根据所述报文中的VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,其中,所述对应关系包括多个VLAN标识到至少两种认证方式的映射。
8.根据权利要求7所述的交换机,其特征在于,所述对应关系还包括所述认证设备的与所述接入设备连接的端口到所述多个VLAN标识的映射;所述处理器当所述报文是从所述端口接收到的时,采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证。
9.一种接入控制系统,其特征在于,所述系统包括:
接入设备,用于接收终端设备发送的报文,并为所述报文添加VLAN标识,所述VLAN标识为所述终端设备所属的VLAN的标识;
认证设备,用于根据所述VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证,其中,所述对应关系包括多个VLAN标识到至少两种认证方式的映射。
10.根据权利要求9所述的接入控制系统,其特征在于,所述对应关系还包括所述认证设备的与所述接入设备连接的端口到所述多个VLAN标识的映射;所述认证设备用于当所述报文是从所述端口接收到的时,采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证。
11.根据权利要求9或10所述的接入控制系统,其特征在于,所述系统还包括:
服务器,用于与所述认证设备配合,对所述终端设备进行认证。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710822104.4A CN109495431B (zh) | 2017-09-13 | 2017-09-13 | 接入控制方法、装置和系统、以及交换机 |
| EP18194005.7A EP3457657B1 (en) | 2017-09-13 | 2018-09-12 | Access control method and system, and switch |
| US16/129,333 US10917406B2 (en) | 2017-09-13 | 2018-09-12 | Access control method and system, and switch |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710822104.4A CN109495431B (zh) | 2017-09-13 | 2017-09-13 | 接入控制方法、装置和系统、以及交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109495431A true CN109495431A (zh) | 2019-03-19 |
| CN109495431B CN109495431B (zh) | 2021-04-20 |
Family
ID=64100538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710822104.4A Active CN109495431B (zh) | 2017-09-13 | 2017-09-13 | 接入控制方法、装置和系统、以及交换机 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10917406B2 (zh) |
| EP (1) | EP3457657B1 (zh) |
| CN (1) | CN109495431B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600913A (zh) * | 2020-07-22 | 2020-08-28 | 南京赛宁信息技术有限公司 | 一种网络靶场攻防场景真实设备自适应接入方法与系统 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11201864B2 (en) * | 2019-06-03 | 2021-12-14 | Hewlett Packard Enterprise Development Lp | Vendor agnostic captive portal authentication |
| TWI821633B (zh) * | 2021-01-22 | 2023-11-11 | 飛泓科技股份有限公司 | 網路終端設備隔離認證方法 |
| CN114531303B (zh) * | 2022-04-24 | 2022-07-12 | 北京天维信通科技有限公司 | 一种服务器端口隐藏方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416248A (zh) * | 2002-04-02 | 2003-05-07 | 华为技术有限公司 | 以太网接入设备中实现多种用户类型混合接入的方法 |
| CN1486032A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 基于虚拟局域网的网络接入控制方法及装置 |
| US20090307751A1 (en) * | 2008-05-09 | 2009-12-10 | Broadcom Corporation | Preserving security assocation in macsec protected network through vlan mapping |
| CN102377568A (zh) * | 2010-08-24 | 2012-03-14 | 巴比禄股份有限公司 | 网络中继装置及帧的中继的控制方法 |
| US8443187B1 (en) * | 2007-04-12 | 2013-05-14 | Marvell International Ltd. | Authentication of computing devices in server based on mapping between port identifier and MAC address that allows actions-per-group instead of just actions-per-single device |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8528071B1 (en) * | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
| JP4173866B2 (ja) * | 2005-02-21 | 2008-10-29 | 富士通株式会社 | 通信装置 |
| US20080028445A1 (en) * | 2006-07-31 | 2008-01-31 | Fortinet, Inc. | Use of authentication information to make routing decisions |
| JP4909875B2 (ja) * | 2007-11-27 | 2012-04-04 | アラクサラネットワークス株式会社 | パケット中継装置 |
| US20130121321A1 (en) | 2009-01-26 | 2013-05-16 | Floyd Backes | Vlan tagging in wlans |
| US9197600B2 (en) * | 2011-09-29 | 2015-11-24 | Israel L'Heureux | Smart router |
| US9294920B2 (en) * | 2013-09-21 | 2016-03-22 | Avaya Inc. | Captive portal systems, methods, and devices |
| CN105101195B (zh) * | 2014-04-30 | 2018-11-30 | 华为技术有限公司 | 网络准入的控制方法及装置 |
| US9473495B2 (en) * | 2014-09-30 | 2016-10-18 | Avaya Inc. | User authentication for proxy-configured clients in captive portal environments |
-
2017
- 2017-09-13 CN CN201710822104.4A patent/CN109495431B/zh active Active
-
2018
- 2018-09-12 US US16/129,333 patent/US10917406B2/en active Active
- 2018-09-12 EP EP18194005.7A patent/EP3457657B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416248A (zh) * | 2002-04-02 | 2003-05-07 | 华为技术有限公司 | 以太网接入设备中实现多种用户类型混合接入的方法 |
| CN1486032A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 基于虚拟局域网的网络接入控制方法及装置 |
| US8443187B1 (en) * | 2007-04-12 | 2013-05-14 | Marvell International Ltd. | Authentication of computing devices in server based on mapping between port identifier and MAC address that allows actions-per-group instead of just actions-per-single device |
| US20090307751A1 (en) * | 2008-05-09 | 2009-12-10 | Broadcom Corporation | Preserving security assocation in macsec protected network through vlan mapping |
| CN102377568A (zh) * | 2010-08-24 | 2012-03-14 | 巴比禄股份有限公司 | 网络中继装置及帧的中继的控制方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600913A (zh) * | 2020-07-22 | 2020-08-28 | 南京赛宁信息技术有限公司 | 一种网络靶场攻防场景真实设备自适应接入方法与系统 |
| CN111600913B (zh) * | 2020-07-22 | 2020-11-24 | 南京赛宁信息技术有限公司 | 一种网络靶场攻防场景真实设备自适应接入方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3457657A1 (en) | 2019-03-20 |
| EP3457657B1 (en) | 2020-12-30 |
| US20190081946A1 (en) | 2019-03-14 |
| US10917406B2 (en) | 2021-02-09 |
| CN109495431B (zh) | 2021-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8910300B2 (en) | Secure tunneling platform system and method | |
| JP6255091B2 (ja) | プライベートデータを保護するセキュアプロキシ | |
| US9729514B2 (en) | Method and system of a secure access gateway | |
| JP6619894B2 (ja) | アクセス制御 | |
| US8189600B2 (en) | Method for IP routing when using dynamic VLANs with web based authentication | |
| AU2015381737B2 (en) | Multi-tunneling virtual network adapter | |
| CN110365701B (zh) | 客户终端设备的管理方法、装置、计算设备及存储介质 | |
| CN109495431A (zh) | 接入控制方法、装置和系统、以及交换机 | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US10785205B2 (en) | Computer readable storage media for legacy integration and methods and systems for utilizing same | |
| WO2021218886A1 (zh) | Vxlan接入认证方法以及vtep设备 | |
| CN106878139A (zh) | 基于802.1x协议的认证逃生方法及装置 | |
| EP3560166B1 (en) | Network authorization in web-based or single sign-on authentication environments | |
| CN110401641A (zh) | 用户认证方法、装置、电子设备 | |
| WO2015131524A1 (zh) | 远程访问服务器的方法及web服务器 | |
| US9678772B2 (en) | System, method, and computer-readable medium | |
| CN110943962B (zh) | 一种认证方法、网络设备和认证服务器以及转发设备 | |
| US11888898B2 (en) | Network configuration security using encrypted transport | |
| JP2018067327A (ja) | プライベートデータを保護するセキュアプロキシ | |
| CN116915585B (zh) | 软件定义的广域网组网方法、装置、电子设备及存储介质 | |
| Frank | Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance | |
| JP6270383B2 (ja) | アクセス制御装置、アクセス制御方法、及びプログラム | |
| Bugyei et al. | Managing network infrastructure with a small business server | |
| JP2016046625A (ja) | 通信中継装置、情報処理方法、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |