CN100342695C - 一种802.1x控制以太网端口权限的方法 - Google Patents
一种802.1x控制以太网端口权限的方法 Download PDFInfo
- Publication number
- CN100342695C CN100342695C CNB031024106A CN03102410A CN100342695C CN 100342695 C CN100342695 C CN 100342695C CN B031024106 A CNB031024106 A CN B031024106A CN 03102410 A CN03102410 A CN 03102410A CN 100342695 C CN100342695 C CN 100342695C
- Authority
- CN
- China
- Prior art keywords
- port
- accessed
- mac address
- dynamic learning
- allowing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种802.1X控制以太网端口权限的方法,每个以太网端口维护一个转发表,交换机根据该端口所维护转发表中的介质访问控制MAC地址决定是否从该端口发送指定目的地址的数据报文,该方法还包括以下步骤:判断当前用户待接入端口是否为受控端口,如果是受控端口,则通过设置该待接入端口的属性为允许或不允许动态学习MAC地址,控制该待接入端口是否授权;否则,按照系统默认配置设置该端口是否允许动态学习MAC地址。应用本发明,通过控制端口是否允许学习MAC地址,而达到控制用户接入权限的目的,避免了802.1X协议与STP协议的相互影响,而且应用本发明不影响其他不允许MAC地址学习时交换机所具备的特性。
Description
技术领域
本发明涉及802.1X的通信技术,特别是指一种802.1X控制以太网端口权限的方法。
背景技术
在以太网交换机中通过接入控制设备,即通常所说的设备端(Authenticator),实现控制用户接入网络资源的权限有三种途径:基于以太网端口、基于客户机介质访问控制(MAC)地址、基于客户机所在虚拟局域网(VLAN)。下面详细说明基于以太网端口控制用户的访问权限。
以太网的每个物理端口被分为受控和非受控两种逻辑状态。受控端口是指通过该端口接入网络的网络资源访问权限受到Authenticator的控制;非受控端口是指通过该端口接入网络的资源访问权限不受Authenticator的控制。
对于受控端口而言,当有用户接入设备,即通常所说的客户端(Supplicant),通过该端口接入网络资源时,需要通过Authenticator的认证,并根据认证结果控制用户待接入端口为授权/非授权状态。其中,授权状态是指允许下挂的所有客户机拥有该端口的权限为该端口处于非受控端口状态时的相同权限;非授权状态是指不允许下挂的所有客户机通过该端口访问任何网络资源。
以太网中生成树协议(STP,Spanning Tree Protocol)的功能是防止交换机网络中产生数据死循环,而导致网络瘫痪。因此,它规定以太网端口有五种状态:禁止状态(Disabled)、阻塞状态(Blocking)、监听状态(Listening)、学习状态(Learning)和通行状态(Forwarding)。当某个端口被设置为Forwarding状态时,允许该端口收发任何报文;当某个端口被设置Blocking状态时,不允许该端口通过任何数据报文。STP协议的作用就是通过设置端口状态来控制该端口是否允许有业务数据报文通过。
通常,802.1X协议可以借用STP协议所规定的端口状态来控制用户的访问权限,比如:将某个以太网受控端口的状态设置为Forwarding时,该受控端口为授权状态,用户可通过该端口对网络资源进行访问;将某个以太网受控端口的状态设置为Blocking时,该受控端口为非授权状态,用户不能通过该端口访问网络资源。
在以太网交换机中,端口为Forwarding状态时,用户可以进一步设置该端口是否允许动态学习MAC地址。此外,每个端口都维护一个转发表,该转发表中的关键元素是MAC地址,交换机根据是否存在某个MAC地址决定是否将目的地址为该MAC地址的数据报文从此端口发送出去。因此,用户通常会设置Forwarding状态的端口为允许动态学习MAC地址。
但是,上述方案存在以下缺陷:
1)由于STP协议是从保证网络环境正常运作的角度来设置端口的状态,而802.1X协议是从端口的访问权限角度来设置端口的状态,因此,802.1X协议与STP协议可同时对同一端口的状态进行不同的设置,而802.1X协议与STP协议又各自有独立的运行机制,不具备协同工作的条件,这必然会相互影响,而使双方均无法正常工作。
2)当802.1X将受控端口设置为非授权状态时该端口为Blocking状态,在该状态下,除桥协议数据单元(BPDUs)之外的任何报文都不允许通过,使原本在端口未被授权时应该通过的报文而无法通过了,影响了交换机的其它功能,如利用动态主机配置协议(DHCP)触发802.1X的认证功能;网内交换机级连管理功能等。
发明内容
有鉴于此,本发明提供一种802.1X控制以太网端口权限的方法,在不影响STP协议正常工作以及以太网交换机其它功能的前提下,实现对以太网端口访问权限的控制。
为达到上述目的本发明的技术方案是这样实现的:
一种802.1X控制以太网端口权限的方法,每个以太网端口维护一个转发表,交换机根据该端口所维护转发表中的介质访问控制MAC地址决定是否从该端口发送指定目的地址的数据报文,该方法还包括以下步骤:判断当前用户待接入端口是否为受控端口,如果是受控端口,则通过设置该待接入端口的属性为允许或不允许动态学习MAC地址,控制该待接入端口是否授权;否则,按照系统默认配置设置该端口是否允许动态学习MAC地址。
较佳地,通过设置该待接入端口的属性为允许动态学习MAC地址,控制该待接入端口状态为授权。
较佳地,通过设置该待接入端口的属性为不允许动态学习MAC地址,并清空该待接入端口所维护的转发表中所有已动态学习到的MAC地址,控制该待接入端口状态为非授权。
较佳地,所述默认配置是允许该端口动态学习MAC地址。
较佳地,所述设置该待接入端口的属性为允许或不允许动态学习MAC地址为:用户接入设备通过当前用户待接入端口接入网络时,接入控制设备对用户接入设备进行认证,并判断是否通过认证,如果通过,则设置该待接入端口的属性为允许动态学习MAC地址,否则,设置该待接入端口的属性为不允许动态学习MAC地址。
较佳地,当用户接入设备下线时,该方法进一步包括:设置该待接入端口的属性为不允许动态学习MAC地址。
较佳地,该方法进一步包括,清空该待接入端口所维护转发表中所有已动态学习到的MAC地址。
应用本发明,通过控制受控端口是否允许动态学习MAC地址,实现对受控端口的授权/非授权状态的控制,而不影响其它不允许动态学习MAC地址时交换机所具备的特性。同时,应用本发明不必关心STP中所规定的端口状态,无论STP协议模块如何设置端口状态,802.1X协议模块都可以独立工作,而不影响STP协议的正常功能。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下对本发明做进一步详细说明。
本发明的思路是:802.1X协议通过设置受控端口是否允许动态学习MAC地址,而使该受控端口处于授权或非授权状态,进而达到用户接入设备通过该端口可否访问网络资源的目的。MAC地址通常分为两大类:一类是动态MAC地址,是通过芯片自动学习得到的,该类地址在转发表中维护一段时间后会被自动删除,即老化;另一类是静态MAC地址,是通过程序或手工配置得到的,该类地址在转发表中不会老化。
用户通过某个端口是否有权访问网络资源,取决该端口是否非受控,在端口已受控的前提下,通过该端口是否有权访问网络资源取决于Authenticator对该端口是否授权。也就是说,只有在该端口不受控或受控但被授权的情况下,用户才能够通过该端口访问网络资源。上述对应关系如表1所示:
| 端口受控类型 | 端口授权状态 | 是否允许访问网络资源 |
| 非受控 | ---------- | 允许 |
| 受控 | 授权 | 允许 |
| 非授权 | 不允许 |
表1
本实施例的具体控制方式如下:
如果将端口设置为受控端口,即该端口接受Authenticator的控制时,进行如下操作将该受控端口设置为非授权状态:
1、清空该端口所维护的转发表中已经动态学习到的所有MAC地址;
2、设置该端口不允许动态学习MAC地址。
当Supplicant请求接入网络并通过Authenticator的认证时,Authenticator将该受控端口设置为授权状态,即设置该受控端口允许学习MAC地址。
当Supplicant下线时,Authenticator设置该端口不允许动态学习MAC地址,并清空该端口所维护的转发表中已动态学习到的MAC地址。
如果将端口设置为非受控端口,即停止Authenticator对该端口的控制时,则按照系统默认配置设置该端口是否允许动态学习MAC地址。通常,默认配置是允许动态学习MAC地址。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1、一种802.1X控制以太网端口权限的方法,每个以太网端口维护一个转发表,交换机根据该端口所维护转发表中的介质访问控制MAC地址决定是否从该端口发送指定目的地址的数据报文,其特征在于该方法还包括以下步骤:判断当前用户待接入端口是否为受控端口,如果是受控端口,则通过设置该待接入端口的属性为允许或不允许动态学习MAC地址,控制该待接入端口是否授权;否则,按照系统默认配置设置该端口是否允许动态学习MAC地址。
2、根据权利要求1所述的方法,其特征在于,通过设置该待接入端口的属性为允许动态学习MAC地址,控制该待接入端口状态为授权。
3、根据权利要求1所述的方法,其特征在于,通过设置该待接入端口的属性为不允许动态学习MAC地址,并清空该待接入端口所维护的转发表中所有已动态学习到的MAC地址,控制该待接入端口状态为非授权。
4、根据权利要求1所述的方法,其特征在于,所述默认配置是允许该端口动态学习MAC地址。
5、根据权利要求1所述的方法,其特征在于,所述设置该待接入端口的属性为允许或不允许动态学习MAC地址为:用户接入设备通过当前用户待接入端口接入网络时,接入控制设备对用户接入设备进行认证,并判断是否通过认证,如果通过,则设置该待接入端口的属性为允许动态学习MAC地址,否则,设置该待接入端口的属性为不允许动态学习MAC地址。
6、根据权利要求5所述的方法,其特征在于,当用户接入设备下线时,该方法进一步包括:设置该待接入端口的属性为不允许动态学习MAC地址。
7、根据权利要求6所述的方法,其特征在于该方法进一步包括,清空该待接入端口所维护转发表中所有已动态学习到的MAC地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031024106A CN100342695C (zh) | 2003-01-27 | 2003-01-27 | 一种802.1x控制以太网端口权限的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031024106A CN100342695C (zh) | 2003-01-27 | 2003-01-27 | 一种802.1x控制以太网端口权限的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1522000A CN1522000A (zh) | 2004-08-18 |
| CN100342695C true CN100342695C (zh) | 2007-10-10 |
Family
ID=34281709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031024106A Expired - Lifetime CN100342695C (zh) | 2003-01-27 | 2003-01-27 | 一种802.1x控制以太网端口权限的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100342695C (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101453401B (zh) * | 2005-06-16 | 2010-12-08 | 华为技术有限公司 | 以太网桥设备及mac地址学习方法和数据报文传输方法 |
| CN100459571C (zh) * | 2005-06-16 | 2009-02-04 | 华为技术有限公司 | 以太网桥设备及mac地址学习方法和数据报文传输方法 |
| CN102075410A (zh) * | 2009-11-20 | 2011-05-25 | 杭州华三通信技术有限公司 | 一种堆叠设备中的端口镜像方法和装置 |
| CN102571603B (zh) * | 2012-02-14 | 2014-12-17 | 成都欣点科技有限公司 | 以太网端口控制装置及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6041042A (en) * | 1997-05-27 | 2000-03-21 | Cabletron Systems, Inc. | Remote port mirroring system and method thereof |
| CN1250294A (zh) * | 1999-07-27 | 2000-04-12 | 邮电部武汉邮电科学研究院 | 以太网与同步数字体系或同步光网络融合的适配方法 |
| WO2001039538A1 (en) * | 1999-11-23 | 2001-05-31 | Nokia Corporation | Transfer of security association during a mobile terminal handover |
-
2003
- 2003-01-27 CN CNB031024106A patent/CN100342695C/zh not_active Expired - Lifetime
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6041042A (en) * | 1997-05-27 | 2000-03-21 | Cabletron Systems, Inc. | Remote port mirroring system and method thereof |
| CN1250294A (zh) * | 1999-07-27 | 2000-04-12 | 邮电部武汉邮电科学研究院 | 以太网与同步数字体系或同步光网络融合的适配方法 |
| WO2001039538A1 (en) * | 1999-11-23 | 2001-05-31 | Nokia Corporation | Transfer of security association during a mobile terminal handover |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1522000A (zh) | 2004-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
| US6622220B2 (en) | Security-enhanced network attached storage device | |
| JP7534067B2 (ja) | プロセス制御スイッチの中毒防止 | |
| US7451483B2 (en) | VLAN router with firewall supporting multiple security layers | |
| KR100437169B1 (ko) | 네트워크 트래픽 흐름 제어 시스템 | |
| US20040193906A1 (en) | Network service security | |
| US20130086266A1 (en) | Apparatus and method for applying network policy at a network device | |
| WO2006095438A1 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| CN104158767B (zh) | 一种网络准入装置及方法 | |
| US20060168654A1 (en) | Authentication of remote host via closed ports | |
| KR100863313B1 (ko) | 에이알피 스푸핑 자동 차단 장치 및 방법 | |
| CN110830447A (zh) | 一种spa单包授权的方法及装置 | |
| CN100438427C (zh) | 网络控制方法和设备 | |
| EP2754266B1 (en) | Authentication sharing in a firewall cluster | |
| CN108833362B (zh) | 一种设备接入权限控制方法、装置及系统 | |
| CN100342695C (zh) | 一种802.1x控制以太网端口权限的方法 | |
| Odi et al. | The proposed roles of VLAN and inter-VLAN routing in effective distribution of network services in Ebonyi State University | |
| CN1571349A (zh) | 基于媒体接入控制地址的网络接入控制方法 | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Traffic Filters |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20071010 |