CN101252587A - 用户终端的接入鉴权方法和设备 - Google Patents
用户终端的接入鉴权方法和设备 Download PDFInfo
- Publication number
- CN101252587A CN101252587A CNA2008100937697A CN200810093769A CN101252587A CN 101252587 A CN101252587 A CN 101252587A CN A2008100937697 A CNA2008100937697 A CN A2008100937697A CN 200810093769 A CN200810093769 A CN 200810093769A CN 101252587 A CN101252587 A CN 101252587A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- vlan label
- layer vlan
- server
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种用户终端的接入鉴权方法和设备。该方法包括以下步骤:在交换机上配置各个用户终端所唯一对应的两层VLAN标签;所述交换机接收到来自用户终端的DHCP协议报文时,根据所述配置获取与所述用户终端唯一对应的两层VLAN标签;所述交换机将所述获取到的两层VLAN标签封装在所述DHCP协议报文中并向DHCP服务器发送,用于对所述用户终端的接入鉴权。通过使用本发明,使用DHCP Option 82和QinQ相结合的方法,使得DHCP服务器的地址分配策略更加灵活,与现有技术相比节约了信令传输所需的资源,简化了配置信息。另外,通过对两层VLAN标签的鉴权,进一步提高了网络的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种用户终端的接入鉴权方法和设备。
背景技术
DHCP(Dynamic Dost Configuration Protocol,动态主机配置协议)作为一种动态分配IP(Internet Protocol,因特网协议)地址的协议,广泛应用于各种IP网络中。为了解决在不安全的网络环境下出现的因IP地址欺骗、MAC(Medium Access Control,媒体接入控制)地址欺骗、恶意分配IP地址以致IP资源匮乏等问题,现有技术中规定了中继代理信息选项即Option 82。用户终端发出的DHCP地址请求报文在通过接入交换机时,接入交换机会在DHCP选项中添加VLAN(Virtual Local Area Network,虚拟局域网标识)ID、交换机端口号等信息,并发给DHCP服务器。这样DHCP服务器就可以通过VLANID、交换机端口号等信息和用户信息关联,并在记录下这些关联以解决前面提到的安全问题。
综上所述,为了解决接入安全的问题,需要在接入交换机或汇聚交换机支持DHCP Option 82功能。现有技术中用户终端通过接入交换机和汇聚交换机接入网络的组网示意图如图1所示。
DHCP Option 82选项在现有技术中已有定义,但是并没有明确Option 82的具体内容和格式。目前对LAN交换机常见的Option 82内容为“交换机名+接入端口号+接入VLAN号”,通过这几个信息组成的字符串可以唯一确定用户接入的物理位置。在DHCP服务器上将从用户的DHCP报文中获取的Option 82与预设的数据库中内容进行比对,若有匹配的字符串,则认为用户接入合法并分配IP地址。该匹配的动作可以由DHCP服务器或AAA(Authentication/Authorization/Accounting,认证/授权/计费)服务器完成。
现有技术中的缺点在于:DHCP Option 82中的内容较多,字符串很长,在部署和维护中都很不方便,容易发生错误。
发明内容
本发明提供一种用户终端的接入鉴权方法,用于通过DHCP Option 82和QinQ方法的结合实现更加灵活完善的用户终端接入鉴权方法。
为达到上述目的,本发明提供一种用户终端的接入鉴权方法,包括以下步骤:
在交换机上配置各个用户终端所唯一对应的两层VLAN标签;
所述交换机接收到来自用户终端的DHCP协议报文时,根据所述配置获取与所述用户终端唯一对应的两层VLAN标签;
所述交换机将所述获取到的两层VLAN标签封装在所述DHCP协议报文中并向DHCP服务器发送,用于对所述用户终端的接入鉴权。
其中,所述在交换机上配置各个用户终端所唯一对应的两层VLAN标签的步骤具体包括:
根据用户终端的接入位置,配置各个用户终端所唯一对应的两层VLAN标签。
其中,所述交换机根据所述配置获取与所述用户终端唯一对应的两层VLAN标签的步骤具体为:
接入交换机接收到来自用户终端的DHCP协议报文时,根据所述用户终端的接入位置以及所述配置,获取与所述用户终端对应的内层VLAN标签并通知汇聚交换机;
所述汇聚交换机获取与所述用户终端对应的内层VLAN标签,并根据所述用户终端的接入位置以及所述配置,获取与所述用户终端对应的外层VLAN标签,从而获取到与所述用户终端唯一对应的两层VLAN标签。
其中,所述两层VLAN标签封装在所述DHCP协议报文的Option 82选项中。
其中,还包括:
DHCP服务器接收汇聚交换机发送的携带两层VLAN标签的DHCP协议报文,获取所述两层VLAN标签;
所述两层VLAN标签的鉴权通过时,所述DHCP服务器为所述用户终端分配地址。
其中,所述两层VLAN标签的鉴权具体为:
配置用户终端与两层VLAN标签的对应关系;
根据所述对应关系,获取与发送所述DHCP协议报文的用户终端对应的两层VLAN标签;
根据所述与用户终端对应的两层VLAN标签,判断所述DHCP协议报文中携带的两层VLAN标签是否合法,若合法则鉴权通过,否则鉴权失败。
其中,对所述两层VLAN标签的鉴权由所述DHCP服务器或网络中的鉴权服务器进行。
其中,所述为用户终端分配地址后,还包括步骤:
所述DHCP服务器记录为所述用户终端分配的IP地址、所述用户终端的MAC地址、以及两层VLAN标签的对应关系。
本发明还提供一种交换机设备,用于用户终端的接入鉴权,包括:
配置单元,用于配置各个用户终端所唯一对应的两层VLAN标签;
VLAN标签获取单元,用于接收到来自用户终端的DHCP协议报文时,根据所述配置单元的配置获取与所述用户终端唯一对应的两层VLAN标签;
VLAN标签封装单元,用于将所述VLAN标签获取单元获取到的两层VLAN标签封装在所述DHCP协议报文中;
报文发送单元,用于将所述VLAN标签封装单元封装后的DHCP协议报文向DHCP服务器发送,用于对所述用户终端的接入鉴权。
其中,所述VLAN标签获取单元进一步包括:
内层VLAN标签获取子单元,用于获取接入交换机根据所述用户终端的接入位置为所述用户终端分配的内层VLAN标签;
外层VLAN标签获取子单元,用于根据所述用户终端的接入位置,以及所述配置单元的配置,获取与所述用户终端对应的外层VLAN标签。
本发明还提供一种DHCP服务器,用于用户终端的接入鉴权,包括:
服务器报文接收单元,用于接收汇聚交换机发送的携带两层VLAN标签的DHCP协议报文;
服务器VLAN标签获取单元,用于获取所述DHCP协议报文中的两层VLAN标签;
服务器鉴权结果获取单元,用于获取对所述服务器VLAN标签获取单元获取的两层VLAN标签的鉴权结果;
服务器地址分配单元,用于当所述服务器鉴权单元获取的结果为所述两层VLAN标签的鉴权通过时,所述DHCP服务器为所述用户终端分配地址。
其中,还包括:
服务器配置单元,用于配置各个用户终端所唯一对应的两层VLAN标签;
服务器鉴权单元,用于根据所述服务器配置单元配置的与用户终端对应的两层VLAN标签,判断所述服务器VLAN标签获取单元获取的两层VLAN标签是否合法,若合法则鉴权通过,否则鉴权失败,并将鉴权结果通知所述服务器鉴权结果获取单元。
本发明还提供一种鉴权服务器,包括:
接收单元,用于接收DHCP服务器从用户终端的DHCP协议报文中携带的两层VLAN标签;
配置单元,用于配置各个用户终端所唯一对应的两层VLAN标签;
鉴权单元,用于根据所述配置单元配置的与用户终端对应的两层VLAN标签,判断所述接收单元接收的两层VLAN标签是否合法,若合法则鉴权通过,否则鉴权失败,并将鉴权结果通知所述DHCP服务器。
与现有技术相比,本发明具有以下优点:
通过DHCP Option 82和QinQ相结合的方法,使得DHCP服务器的地址分配策略更加灵活,与现有技术相比节约了信令传输所需的资源,简化了配置信息。另外,通过对两层VLAN标签的鉴权,进一步提高了网络的安全性。
附图说明
图1是现有技术中用户终端通过接入交换机和汇聚交换机接入网络的组网示意图;
图2是本发明中用户终端的接入鉴权方法的流程图;
图3A和图3B是本发明应用场景中的网络结构示意图;
图4是本发明应用场景中用户终端的接入鉴权方法的流程图;
图5是本发明中汇聚交换设备的结构示意图;
图6是本发明中DHCP服务器的结构示意图;
图7是本发明中鉴权服务器的结构示意图。
具体实施方式
现有技术中,如果一个汇聚交换机下接入的每个用户的VLAN各不相同,则由于协议的限制,整个汇聚交换机最多支持4K的用户接入,这显然不能满足运营商的要求。为了突破VLAN标签数量的限制,现有技术中提供了一种QinQ技术,在原有的802.1Q报文的基础上又增加一层802.1Q标签。具体的,通过由汇聚交换机上在原有的标签基础上再增加一个外层VLAN标签,在理论上就可以支持4K×4K个用户。在实际部署中,每一个汇聚交换机的端口可以独享4K VLAN标签,内层标签代表用户,外层标签代表用户接入的小区位置、业务类别或者其它信息,这样就实现对用户的精确标识。
本发明提供一种用户终端的接入鉴权方法,其核心思想在于:在DHCPOption 82中携带由两层VLAN标签表征的用户信息用于网络侧的接入鉴权,通过DHCP Option 82和QinQ方法的结合,实现更加灵活完善的用户终端接入鉴权方法。
如图2所示,为本发明中一种用户终端的接入鉴权方法的流程图,包括以下步骤:
步骤s201、在交换机上配置各个用户终端所唯一对应的两层VLAN标签。
具体的,可以根据用户终端的接入位置,配置各个用户终端所唯一对应的两层VLAN标签。该接入位置包括:用户终端所接入的接入交换机、用户终端在接入交换机上对应的端口、用户终端所接入的接入交换机在汇聚交换机上对应的端口等。
步骤s202、交换机接收到来自用户终端的DHCP协议报文时,根据所述配置获取与所述用户终端唯一对应的两层VLAN标签。
具体的,两层VLAN标签包括内层VLAN标签和外层VLAN标签。内层VLAN标签可以由接入交换机获取:接入交换机接收到来自用户终端的DHCP协议报文时,根据所述用户终端的接入位置以及所述配置,获取与所述用户终端对应的内层VLAN标签并通知汇聚交换机。外层VLAN标签由汇聚交换机获取:汇聚交换机获取与所述用户终端对应的内层VLAN标签,并根据所述用户终端的接入位置以及所述配置,获取与所述用户终端对应的外层VLAN标签,从而获取到与所述用户终端唯一对应的两层VLAN标签。
步骤s203、交换机将获取到的两层VLAN标签封装在DHCP协议报文中并向DHCP服务器发送,用于对所述用户终端的接入鉴权。
步骤s204、DHCP服务器接收到DHCP协议报文后,从报文中解析得到两层VLAN标签,获取对该两层VLAN标签的鉴权结果。
具体的,该鉴权具体为:配置用户终端与两层VLAN标签的对应关系;根据所述对应关系,获取与发送所述DHCP协议报文的用户终端对应的两层VLAN标签;根据所述与用户终端对应的两层VLAN标签,判断所述DHCP协议报文中携带的两层VLAN标签是否合法,若合法则鉴权通过,否则鉴权失败。
步骤s205、当对两层VLAN标签的鉴权通过时,DHCP服务器为用户终端分配IP地址,否则不为用户终端分配IP地址。
具体的,该对两层VLAN标签的鉴权步骤可以在DHCP服务器本地实现,也可以在网络中与DHCP服务器连接的鉴权服务器实现。当由鉴权服务器实现时,鉴权服务器根据两层VLAN标签对用户终端的合法性进行判断,如果合法则通知DHCP服务器为用户终端分配IP地址,否则通知DHCP服务器不为用户终端分配IP地址。
上述为合法的用户终端分配IP地址后,还包括以下步骤:
步骤s206、DHCP服务器记录用户的MAC地址、IP地址以及两层VLAN的对应关系。通过该步骤可以防止恶意欺骗、恶意分配IP地址等问题。
以下结合具体的应用场景,描述本发明的具体实施方式。
以图3A所描述的组网示意图为例:网络中存在汇聚交换机,汇聚交换机下存在三台接入交换机,分别为通过Port 1接入的接入交换机1(Switch 1)和接入交换机2(Switch 2),以及通过Port 2接入的接入交换机3(Switch 3)。接入交换机1的端口Port 1下接入了用户终端1,端口Port 2下接入了用户终端2;接入交换机2的端口Port 1下接入了用户终端3,端口Port 2下接入了用户终端4;接入交换机3的端口Port 1下接入了用户终端5,端口Port 2下接入了用户终端6。
在规划网络的过程中,对于内层VLAN标签:
(1)在接入交换机1上将从Port 1接入的用户终端1配置为属于VLAN1,将从Port 2接入的用户终端2配置属于VLAN 2。
(2)在接入交换机2上将从Port 1接入的用户终端3配置为属于VLAN1,将从Port 2接入的用户终端4配置属于VLAN 2。
(3)在接入交换机3上将从Port 1接入的用户终端5配置为属于VLAN1,将从Port 2接入的用户终端6配置属于VLAN 2。
在规划网络的过程中,对于外层VLAN标签:
汇聚交换机对于从不同接口接入的接入交换机、以及从同一接口接入的不同接入交换机通过外层VLAN标签进行区分,具体的:(1)在汇聚交换机上将从接入交换机1接收到的报文的外层VLAN标签配置为1;(2)在汇聚交换机上将从接入交换机2接收到的报文的外层VLAN标签配置为2;(3)在汇聚交换机上将从接入交换机3接收到的报文的外层VLAN标签配置为3。
上述内层VLAN标签以及外层VLAN规划示意如下表1所示。
表1:用户终端以及对应的两层VLAN标签
接入交换机以及端口 | 汇聚交换机以及端口 | 内层VLAN标签 | 外层VLAN标签 |
用户终端1 | 接入交换机1/Port 1 | 汇聚交换机/Port 1 | 1 | 1 |
用户终端2 | 接入交换机1/Port 2 | 汇聚交换机/Port 1 | 2 | 1 |
用户终端3 | 接入交换机2/Port 1 | 汇聚交换机/Port 1 | 1 | 2 |
用户终端4 | 接入交换机2/Port 2 | 汇聚交换机/Port 1 | 2 | 2 |
用户终端5 | 接入交换机3/Port 1 | 汇聚交换机/Port 2 | 1 | 3 |
用户终端6 | 接入交换机3/Port 2 | 汇聚交换机/Port 2 | 2 | 3 |
通过上述内层VLAN标签以及外层VLAN规划,使得对于网络中的每一用户终端,都可以通过两层VLAN标签进行区分。
除了上述图3A所示的组网示意图外,还可以使用其他内层VLAN标签以及外层VLAN的规划方式,例如以图3B所示的场景为例:网络中存在汇聚交换机,汇聚交换机下存在三台接入交换机,分别为通过Port 1接入的接入交换机1(Switch 1)和接入交换机2(Switch 2),以及通过Port 2接入的接入交换机3(Switch 3)。接入交换机1的端口Port 1下接入了用户终端1,端口Port 2下接入了用户终端2;接入交换机2的端口Port 1下接入了用户终端3,端口Port 2下接入了用户终端4;接入交换机3的端口Port 1下接入了用户终端5,端口Port 2下接入了用户终端6。
在规划网络的过程中,对于内层VLAN标签:
(1)在接入交换机1上将从Port 1接入的用户终端1配置为属于VLAN1,将从Port 2接入的用户终端2配置属于VLAN 2。
(2)在接入交换机2上将从Port 1接入的用户终端3配置为属于VLAN3,将从Port 2接入的用户终端4配置属于VLAN 4。
(3)在接入交换机3上将从Port 1接入的用户终端5配置为属于VLAN1,将从Port 2接入的用户终端6配置属于VLAN 2。
在规划网络的过程中,对于外层VLAN标签:
汇聚交换机对于从不同接口接入的接入交换机通过外层VLAN标签进行区分,具体的:(1)在汇聚交换机上将从接入交换机1、以及接入交换机2接收到的报文的外层VLAN标签配置为1;(2)在汇聚交换机上将从接入交换机3接收到的报文的外层VLAN标签配置为3。
上述内层VLAN标签以及外层VLAN规划示意如下表2所示。
表2:用户终端以及对应的两层VLAN标签
接入交换机以及端口 | 汇聚交换机以及端口 | 内层VLAN标签 | 外层VLAN标签 | |
用户终端1 | 接入交换机1/Port 1 | 汇聚交换机/Port 1 | 1 | 1 |
用户终端2 | 接入交换机1/Port 2 | 汇聚交换机/Port 1 | 2 | 1 |
用户终端3 | 接入交换机2/Port 1 | 汇聚交换机/Port 1 | 3 | 1 |
用户终端4 | 接入交换机2/Port 2 | 汇聚交换机/Port 1 | 4 | 1 |
用户终端5 | 接入交换机3/Port 1 | 汇聚交换机/Port 2 | 1 | 3 |
用户终端6 | 接入交换机3/Port 2 | 汇聚交换机/Port 2 | 2 | 3 |
通过上述内层VLAN标签以及外层VLAN规划,使得对于网络中的每一用户终端,都可以通过两层VLAN标签进行区分。
上述图3A与图3B所描述的组网示意图只是本发明方法的应用举例,对于其他组网方式以及规划方式,在此不进行限定。只要能将不用的用户终端通过两层VLAN标签区分即可。
以图3A中所示的应用场景中的用户终端1为例,用户终端1接入网络时发送DHCP请求报文的过程,使用现有技术中的方法时,用户终端1发出的DHCP请求报文在通过接入交换机1时,支持中继代理信息选项即Option 82的接入交换机1会在用户终端1发送的DHCP协议报文中添加Option 82选项,添加的内容具体为“交换机名+接入端口号+接入VLAN号”,在本场景中包括Switch 1(长度为若干字符)、接入端口号为Port 1(长度为2字符)、接入VLAN为VLAN 1(长度为4字符)。汇聚交换机将接入交换机发送的DHCP请求报文发送给DHCP服务器,DHCP服务器或鉴权服务器对该Option 82选项中的内容进行匹配,判断该用户终端是否为合法的接入用户。
同样以图3A中所示的应用场景中的用户终端1为例,用户终端1接入网络时发送DHCP请求报文,使用本发明中的方法时,如图4所示,包括以下步骤:
步骤s401、用户终端1发送DHCP请求报文。
步骤s402、接入交换机1根据预先配置的VLAN,为接收到的DHCP请求报文设置VLAN ID为VLAN 1,并向汇聚交换机转发。
具体的,接入交换机1判断用户终端1从端口Port 1接入,则将用户终端设置为VLAN 1。
步骤s403、汇聚交换机根据预先配置的用户终端与两层VLAN标签的对应关系,确定用户的外层VLAN,这里确定外层VLAN标签为1,并将两层VLAN标签封装到DHCP请求报文的Option 82选项中转发给DHCP服务器。
具体的,需要预先在汇聚交换机上对用户终端与两层VLAN标签的对应关系进行配置,使得对于每一用户终端都存在唯一对应的两层VLAN标签。例如对于通过接入交换机1的端口Port 1接入的用户终端,外层VLAN标签设置为1;对于通过接入交换机1的端口Port 2接入的用户终端,外层VLAN标签设置为2等。对于接入交换机分配了相同的内层VLAN的多个用户终端,可以通过外层VLAN标签进行区分,从而实现通过两层VLAN标签唯一标识每一用户终端。
步骤s404、DHCP服务器接收到DHCP请求报文后,解析得到两层VLAN标签。
步骤s405、DHCP服务器将两层VLAN标签发送到鉴权服务器。
步骤s406、鉴权服务器对两层VLAN标签的合法性进行判断,如果合法则通知DHCP服务器为用户终端分配IP地址,否则通知DHCP服务器不为用户终端分配IP地址。
具体的,鉴权服务器上预先存储有每一用户终端及其唯一对应的两层VLAN标签。例如通过接入交换机1的端口Port 1接入的用户终端,内层VLAN标签应当为1,外层VLAN标签也应当为1。则鉴权服务器对DHCP服务器上报的两层VLAN标签信息与预先存储的对应关系进行比较,当为用户终端分配的两层VLAN标签信息与预先存储的与该用户终端对应的两层VLAN标签一致时,判断为用户终端分配的两层VLAN标签信息合法,否则判断为不合法。
该合法性判断还可以用于以下需要对特定端口下的用户终端的数量进行控制的接入鉴权方案。以控制每个端口下只能接入一台用户终端为例,当鉴权服务器使用两层VLAN标签信息判断从特定端口接入的一用户终端为合法接入时,通知DHCP服务器为该用户终端分配IP地址。在接收到DHCP服务器将该分配的IP地址回收之前,对于仍从该特定端口接收到的DHCP请求报文,判断为不合法请求而进行拒绝,从而实现了对从特定端口接入的用户终端数量的控制。
步骤s407、为用户终端分配IP地址后,DHCP服务器记录用户终端的MAC地址、IP地址以及两层VLAN的对应关系。
具体的,通过该步骤可以防止恶意欺骗、恶意分配IP地址等问题。例如,同一端口下的用户终端通过伪造MAC地址等方法大量请求DHCP服务器分配IP地址时,根据上述MAC地址、IP地址以及两层VLAN标签的对应关系,可以通过两层VLAN标签确定已经向该端口下的用户终端分配了IP地址,从而拒绝该端口下的其他IP地址分配请求。
与上述使用现有技术中的方法的场景相比,本发明提供的方法使用QinQ的两层VLAN标签技术,以两层VLAN标签替代Option 82中原有的“交换机名+接入端口号+接入VLAN号”,最多只需要8个字符即可表示,节省了信令传输所需的资源,简化了网络侧的配置复杂程度,为网络侧的运行和维护带来便捷。
本发明的还提供一种用户终端的接入鉴权系统,包括汇聚交换设备、DHCP服务器、以及鉴权服务器。
具体的,该汇聚交换设备的结构如图5所示,包括:
配置单元11,用于配置各个用户终端所唯一对应的两层VLAN标签;
VLAN标签获取单元12,用于接收到来自用户终端的DHCP协议报文时,根据配置单元11的配置获取与所述用户终端唯一对应的两层VLAN标签。该VLAN标签获取单元12进一步包括:内层VLAN标签获取子单元121,用于获取接入交换机根据所述用户终端的接入位置为所述用户终端分配的内层VLAN标签;外层VLAN标签获取子单元122,用手根据所述用户终端的接入位置,以及配置单元11的配置,获取与所述用户终端对应的外层VLAN标签。
VLAN标签封装单元13,用于将VLAN标签获取单元12获取到的两层VLAN标签封装在所述DHCP协议报文中。
报文发送单元14,用于将VLAN标签封装单元13封装后的DHCP协议报文向DHCP服务器发送,用于对所述用户终端的接入鉴权。
具体的,该DHCP服务器的结构如图6所示,包括:
服务器报文接收单元21,用于接收汇聚交换机发送的携带两层VLAN标签的DHCP协议报文;
服务器VLAN标签获取单元22,用于获取所述DHCP协议报文中的两层VLAN标签;
服务器鉴权结果获取单元23,用于获取对服务器VLAN标签获取单元22获取的两层VLAN标签的鉴权结果;该鉴权结果可以为DHCP服务器本身鉴权后提供的,也可能是网络中的鉴权服务器提供的。
服务器地址分配单元24,用于当服务器鉴权结果获取单元23获取的结果为所述两层VLAN标签的鉴权通过时,所述DHCP服务器为所述用户终端分配地址。
当DHCP服务器具备鉴权功能时,还包括:
服务器配置单元25,用于各个用户终端所唯一对应的两层VLAN标签;
服务器鉴权单元26,用于根据服务器配置单元25配置的与用户终端对应的两层VLAN标签,判断所述服务器VLAN标签获取单元获取的两层VLAN标签是否合法,若合法则鉴权通过,否则鉴权失败,并将鉴权结果通知所述服务器鉴权结果获取单元。
具体的,当网络中存在鉴权服务器用于对两层VLAN标签进行鉴权时,如图7所示,该鉴权服务器包括:
接收单元31,用于接收DHCP服务器从用户终端的DHCP协议报文中携带的两层VLAN标签;
配置单元32,用于配置各个用户终端所唯一对应的两层VLAN标签;
鉴权单元33,用于根据配置单元配置32的与用户终端对应的两层VLAN标签,判断接收单元31接收的两层VLAN标签是否合法,若合法则鉴权通过,否则鉴权失败,并将鉴权结果通知所述DHCP服务器。
本发明提供的上述方法和设备中,通过DHCP Option 82和QinQ相结合的方法,使得DHCP服务器的地址分配策略更加灵活,与现有技术相比节约了信令传输所需的资源,简化了配置信息。另外,通过对两层VLAN标签的鉴权,进一步提高了网络的安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台设备执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (13)
1、一种用户终端的接入鉴权方法,其特征在于,包括以下步骤:
在交换机上配置各个用户终端所唯一对应的两层VLAN标签;
所述交换机接收到来自用户终端的DHCP协议报文时,根据所述配置获取与所述用户终端唯一对应的两层VLAN标签;
所述交换机将所述获取到的两层VLAN标签封装在所述DHCP协议报文中并向DHCP服务器发送,用于对所述用户终端的接入鉴权。
2、如权利要求1所述用户终端的接入鉴权方法,其特征在于,所述在交换机上配置各个用户终端所唯一对应的两层VLAN标签的步骤具体包括:
根据用户终端的接入位置,配置各个用户终端所唯一对应的两层VLAN标签。
3、如权利要求2所述用户终端的接入鉴权方法,其特征在于,所述交换机根据所述配置获取与所述用户终端唯一对应的两层VLAN标签的步骤具体为:
接入交换机接收到来自用户终端的DHCP协议报文时,根据所述用户终端的接入位置以及所述配置,获取与所述用户终端对应的内层VLAN标签并通知汇聚交换机;
所述汇聚交换机获取与所述用户终端对应的内层VLAN标签,并根据所述用户终端的接入位置以及所述配置,获取与所述用户终端对应的外层VLAN标签,从而获取到与所述用户终端唯一对应的两层VLAN标签。
4、如权利要求1至3中任一项所述用户终端的接入鉴权方法,其特征在于,所述两层VLAN标签封装在所述DHCP协议报文的Option 82选项中。
5、如权利要求1所述用户终端的接入鉴权方法,其特征在于,还包括:
DHCP服务器接收汇聚交换机发送的携带两层VLAN标签的DHCP协议报文,获取所述两层VLAN标签;
所述两层VLAN标签的鉴权通过时,所述DHCP服务器为所述用户终端分配地址。
6、如权利要求5所述用户终端的接入鉴权方法,其特征在于,所述两层VLAN标签的鉴权具体为:
配置用户终端与两层VLAN标签的对应关系;
根据所述对应关系,获取与发送所述DHCP协议报文的用户终端对应的两层VLAN标签;
根据所述与用户终端对应的两层VLAN标签,判断所述DHCP协议报文中携带的两层VLAN标签是否合法,若合法则鉴权通过,否则鉴权失败。
7、如权利要求5或6所述用户终端的接入鉴权方法,其特征在于,对所述两层VLAN标签的鉴权由所述DHCP服务器或网络中的鉴权服务器进行。
8、如权利要求5所述用户终端的接入鉴权方法,其特征在于,所述为用户终端分配地址后,还包括步骤:
所述DHCP服务器记录为所述用户终端分配的IP地址、所述用户终端的MAC地址、以及两层VLAN标签的对应关系。
9、一种交换机设备,用于用户终端的接入鉴权,其特征在于,包括:
配置单元,用于配置各个用户终端所唯一对应的两层VLAN标签;
VLAN标签获取单元,用于接收到来自用户终端的DHCP协议报文时,根据所述配置单元的配置获取与所述用户终端唯一对应的两层VLAN标签;
VLAN标签封装单元,用于将所述VLAN标签获取单元获取到的两层VLAN标签封装在所述DHCP协议报文中;
报文发送单元,用于将所述VLAN标签封装单元封装后的DHCP协议报文向DHCP服务器发送,用于对所述用户终端的接入鉴权。
10、如权利要求9所述交换机设备,其特色在于,所述VLAN标签获取单元进一步包括:
内层VLAN标签获取子单元,用于获取接入交换机根据所述用户终端的接入位置为所述用户终端分配的内层VLAN标签;
外层VLAN标签获取子单元,用于根据所述用户终端的接入位置,以及所述配置单元的配置,获取与所述用户终端对应的外层VLAN标签。
11、一种DHCP服务器,用于用户终端的接入鉴权,其特征在于,包括:
服务器报文接收单元,用于接收汇聚交换机发送的携带两层VLAN标签的DHCP协议报文;
服务器VLAN标签获取单元,用于获取所述DHCP协议报文中的两层VLAN标签;
服务器鉴权结果获取单元,用于获取对所述服务器VLAN标签获取单元获取的两层VLAN标签的鉴权结果;
服务器地址分配单元,用于当所述服务器鉴权单元获取的结果为所述两层VLAN标签的鉴权通过时,所述DHCP服务器为所述用户终端分配地址。
12、如权利要求11所述DHCP服务器,其特征在于,还包括:
服务器配置单元,用于配置各个用户终端所唯一对应的两层VLAN标签;
服务器鉴权单元,用于根据所述服务器配置单元配置的与用户终端对应的两层VLAN标签,判断所述服务器VLAN标签获取单元获取的两层VLAN标签是否合法,若合法则鉴权通过,否则鉴权失败,并将鉴权结果通知所述服务器鉴权结果获取单元。
13、一种鉴权服务器,其特征在于,包括:
接收单元,用于接收DHCP服务器从用户终端的DHCP协议报文中携带的两层VLAN标签;
配置单元,用于配置各个用户终端所唯一对应的两层VLAN标签;
鉴权单元,用于根据所述配置单元配置的与用户终端对应的两层VLAN标签,判断所述接收单元接收的两层VLAN标签是否合法,若合法则鉴权通过,否则鉴权失败,并将鉴权结果通知所述DHCP服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100937697A CN101252587B (zh) | 2008-04-18 | 2008-04-18 | 用户终端的接入鉴权方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100937697A CN101252587B (zh) | 2008-04-18 | 2008-04-18 | 用户终端的接入鉴权方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101252587A true CN101252587A (zh) | 2008-08-27 |
CN101252587B CN101252587B (zh) | 2011-04-13 |
Family
ID=39955771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100937697A Expired - Fee Related CN101252587B (zh) | 2008-04-18 | 2008-04-18 | 用户终端的接入鉴权方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101252587B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010048775A1 (zh) * | 2008-10-29 | 2010-05-06 | 中国科学院声学研究所 | 以太网业务运营中的业务和用户一体化管理方法及系统 |
CN102318322A (zh) * | 2011-07-28 | 2012-01-11 | 华为技术有限公司 | Mac地址分配方法和设备 |
WO2012016531A1 (zh) * | 2010-08-06 | 2012-02-09 | 北京乾唐视联网络科技有限公司 | 一种接入网设备的入网方法及系统 |
CN103024079A (zh) * | 2012-12-31 | 2013-04-03 | 华为技术有限公司 | 获取服务器资源信息的方法、资源池管理系统和服务器 |
CN103095654A (zh) * | 2011-10-31 | 2013-05-08 | 华为技术有限公司 | 配置虚拟局域网vlan信息的方法、无线接入点和网络控制点 |
WO2014000194A1 (zh) * | 2012-06-27 | 2014-01-03 | 华为技术有限公司 | 一种会话建立方法及装置 |
CN106131066A (zh) * | 2016-08-26 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种认证方法及装置 |
CN108183910A (zh) * | 2018-01-02 | 2018-06-19 | 新华三技术有限公司 | Onu设备认证方法、olt设备及onu设备认证系统 |
WO2020206849A1 (zh) * | 2019-04-09 | 2020-10-15 | 烽火通信科技股份有限公司 | 一种处理带vlan tag的dhcp数据的方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1167227C (zh) * | 2001-10-31 | 2004-09-15 | 华为技术有限公司 | 光纤同轴混合接入网中的虚拟局域网接入方法 |
CN1838627B (zh) * | 2005-03-22 | 2010-04-28 | 杭州华三通信技术有限公司 | 一种实现QinQ接入的方法 |
CN101098289A (zh) * | 2006-06-29 | 2008-01-02 | 中兴通讯股份有限公司 | 一种基于双vlan的传递用户端口信息的方法 |
-
2008
- 2008-04-18 CN CN2008100937697A patent/CN101252587B/zh not_active Expired - Fee Related
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010048775A1 (zh) * | 2008-10-29 | 2010-05-06 | 中国科学院声学研究所 | 以太网业务运营中的业务和用户一体化管理方法及系统 |
CN101651670B (zh) * | 2008-10-29 | 2012-08-15 | 中国科学院声学研究所 | 以太网业务运营中的业务和用户一体化管理方法及系统 |
US9154404B2 (en) | 2010-08-06 | 2015-10-06 | Beijing Qiantang Network Technology Company, Ltd. | Method and system of accessing network for access network device |
WO2012016531A1 (zh) * | 2010-08-06 | 2012-02-09 | 北京乾唐视联网络科技有限公司 | 一种接入网设备的入网方法及系统 |
CN102377634A (zh) * | 2010-08-06 | 2012-03-14 | 北京乾唐视联网络科技有限公司 | 一种接入网设备的入网方法及系统 |
CN102377634B (zh) * | 2010-08-06 | 2014-02-05 | 北京乾唐视联网络科技有限公司 | 一种接入网设备的入网方法及系统 |
CN102318322B (zh) * | 2011-07-28 | 2013-10-09 | 华为技术有限公司 | Mac地址分配方法和设备 |
WO2012109849A1 (zh) * | 2011-07-28 | 2012-08-23 | 华为技术有限公司 | Mac地址分配方法和设备 |
CN102318322A (zh) * | 2011-07-28 | 2012-01-11 | 华为技术有限公司 | Mac地址分配方法和设备 |
CN103095654A (zh) * | 2011-10-31 | 2013-05-08 | 华为技术有限公司 | 配置虚拟局域网vlan信息的方法、无线接入点和网络控制点 |
WO2014000194A1 (zh) * | 2012-06-27 | 2014-01-03 | 华为技术有限公司 | 一种会话建立方法及装置 |
US10367658B2 (en) | 2012-06-27 | 2019-07-30 | Huawei Technologies Co., Ltd. | Wireless network session establishment method and apparatus utilizing a virtual local area network label |
CN103024079A (zh) * | 2012-12-31 | 2013-04-03 | 华为技术有限公司 | 获取服务器资源信息的方法、资源池管理系统和服务器 |
WO2014101514A1 (zh) * | 2012-12-31 | 2014-07-03 | 华为技术有限公司 | 获取服务器资源信息的方法、资源池管理系统和服务器 |
CN103024079B (zh) * | 2012-12-31 | 2015-09-30 | 华为技术有限公司 | 获取服务器资源信息的方法、资源池管理系统和服务器 |
CN106131066A (zh) * | 2016-08-26 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种认证方法及装置 |
CN106131066B (zh) * | 2016-08-26 | 2019-09-17 | 新华三技术有限公司 | 一种认证方法及装置 |
CN108183910A (zh) * | 2018-01-02 | 2018-06-19 | 新华三技术有限公司 | Onu设备认证方法、olt设备及onu设备认证系统 |
WO2020206849A1 (zh) * | 2019-04-09 | 2020-10-15 | 烽火通信科技股份有限公司 | 一种处理带vlan tag的dhcp数据的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101252587B (zh) | 2011-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101252587B (zh) | 用户终端的接入鉴权方法和设备 | |
US8094666B2 (en) | Mapping an original MAC address of a terminal to a unique locally administrated virtual MAC address | |
CN100388739C (zh) | 实现dhcp地址安全分配的方法及系统 | |
CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
CN101288272B (zh) | 隧道化安全性群组 | |
CN101247396B (zh) | 一种分配ip地址的方法、装置及系统 | |
EP1936883B1 (en) | Service provisioning method and system thereof | |
CN101110847B (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
CN101179603B (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
CN101488976B (zh) | 一种ip地址分配方法、网络设备和认证服务器 | |
CN101501670B (zh) | 线缆调制解调器初始化中的早期认证 | |
CN101222354A (zh) | 一种智能终端管理方法 | |
CN101958822A (zh) | 加密通信系统及网关装置 | |
CN102143136B (zh) | 接入业务批发网络的方法、设备、服务器和系统 | |
CN101834864B (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
CN101662511A (zh) | 网络地址分配方法及dhcp服务器、接入系统及方法 | |
CN101621433B (zh) | 接入设备的配置方法、装置及系统 | |
CN107770010A (zh) | 一种基于OpenFlow的家庭组网方法和家庭组网系统 | |
CN108418907A (zh) | Ip地址分配方法及装置 | |
CN102480476A (zh) | 一种基于dhcp协议扩展的多业务访问方法 | |
CN101808038A (zh) | 一种vpn实例的划分方法和设备 | |
KR20070031154A (ko) | 동적으로 네트워크 자원의 연결 상태 정보를 획득할 수있는 방법 및 네트워크 접속 서비스 제공 시스템 | |
CN102035724A (zh) | 一种实现报文转发的方法、装置和系统 | |
CN100477609C (zh) | 实现网络专线接入的方法 | |
CN101415032B (zh) | 三层专线接入方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110413 Termination date: 20200418 |