CN101518023B - 用于对同一端口的语音和数字设备进行认证的设备和方法 - Google Patents
用于对同一端口的语音和数字设备进行认证的设备和方法 Download PDFInfo
- Publication number
- CN101518023B CN101518023B CN200780035086XA CN200780035086A CN101518023B CN 101518023 B CN101518023 B CN 101518023B CN 200780035086X A CN200780035086X A CN 200780035086XA CN 200780035086 A CN200780035086 A CN 200780035086A CN 101518023 B CN101518023 B CN 101518023B
- Authority
- CN
- China
- Prior art keywords
- equipment
- territory
- binding
- access
- grouping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000009739 binding Methods 0.000 claims abstract description 153
- 230000027455 binding Effects 0.000 claims abstract description 153
- 238000012545 processing Methods 0.000 claims description 45
- 238000013475 authorization Methods 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 8
- 230000000295 complement effect Effects 0.000 claims 8
- 230000008569 process Effects 0.000 abstract description 26
- 230000015654 memory Effects 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 9
- 238000012795 verification Methods 0.000 description 7
- 230000008878 coupling Effects 0.000 description 6
- 238000010168 coupling process Methods 0.000 description 6
- 238000005859 coupling reaction Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 235000000421 Lepidium meyenii Nutrition 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000003054 catalyst Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 235000012902 lepidium meyenii Nutrition 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
在一个实施例中,公开了一种方法。从第一设备接收不指定域的第一非域分组。将第一认证分组发送到第一设备,从而尝试第一认证处理,第一认证处理用于允许第一设备经由特定接入端口接入网络。如果第一设备不能参与第一认证处理,则执行下面的操作:(i)如果第一设备或者第一设备的用户被授权接入语音第一域,则形成第一设备的身份和第一域之间的第一绑定,其中,第一绑定指定第一设备被允许接入第一域;(ii)如果第一设备或者第一设备的用户被授权接入语音第一域并且如果第一设备被确定为是语音型设备并且如果第一设备还不知道第一域,则形成第一设备的身份和数据第二域之间的第二绑定,其中第二绑定指定第一设备被允许接入第二域;(iii)如果第一设备或者第一设备的用户被授权接入数据第二域,则形成第一设备的身份和第二域之间的第三绑定,其中第三绑定指定第一设备被允许接入第二域;以及(iv)如果从第一设备接收到指定第一域的第一域分组,那么如果存在第二绑定的话则移除第二绑定。如果第一设备能够参与第一认证处理,则仅在对第一设备的认证处理成功的情况下才执行操作(i)到(iii)。
Description
技术领域
本申请涉及基于点的网络接入控制。更具体地,涉及对经由接入控制端口附接到局域网(LAN)的设备的认证和授权,以便提供该网络的接入。
背景技术
LAN可以被建立以允许未经授权的设备附接到LAN基础设施或者未经授权的用户尝试通过附接到LAN的设备而接入LAN。例如,商业企业可以允许外部来访者连接到该企业的LAN。当未经授权的用户或者设备使得尝试LAN连接时,接入可以被限制,以使得仅仅特定的经过授权的用户和/或设备才可以利用LAN提供的特定服务。也就是,当为未经授权的用户和设备提供LAN连接时,通常会实施某些形式的网络接入控制。
802.1X协议描述了一种用于提供网络接入控制的机制,并且该协议在2004年7月22日的IEEE P802.1X-REV/D11的“用于局域和城域网的DRAFT标准-基于端口的接入控制(修订版)”中被描述,上述文献通过引用以其全部内容被结合于此。IEEE 802.1X协议描述了一种基于端口的网络接入控制,其利用了IEEE 802.1X局域网(LAN)基础设施的物理接入特性,以便提供一种对附接到具有点对点连接特性的LAN端口的设备进行认证和授权并且在认证和授权处理失败的情况中防止接入该端口的方式。802.1X协议当前假定一个端口插入单个设备,因此每个端口仅仅支持一个请求者。
附图说明
本发明是通过示例而不是通过限制来说明的。
图1示出可以实施本发明的域授权实施例的网络部分。
图2A示出在图1的中间设备和接入端口之间交换的示例消息。
图2B示出根据本发明的一个实施例的用于不管设备利用了还是没有利用认证协议都授权设备接入语音域或VLAN的处理。
图2C示出根据本发明的一个实施例的用于不管设备利用了还是没有利用认证协议都授权设备接入数据域或VLAN的处理。
图3是示出根据本发明的一个实施例的认证过程的流程图。
图4是示出根据本发明具体实施方式的数据结构的一个示例,该数据结构指示每个VLAN中的一个或多个设备相对于特定接入控制端口的接入控制。
图5示出用于基于图4的数据结构提供对多个设备的端口接入控制的机制。
图6是示出根据本发明一个示例实施例的端口接入控制过程的流程图。
图7示出适用于实施本发明的实施例的示例交换机。
具体实施方式
现在将对本发明的具体实施例做出详细说明。本实施例的示例是通过结合附图示出的。虽然本发明将是结合具体实施例描述的,但是应当理解,并不是要将本发明限制为一个实施例。相反,本发明覆盖了替代、修改和等同物,只要它们包括在由所附权利要求定义的本发明的精神和范围内即可。在下面的描述中,提出了许多具体细节,以提供对本发明的全面理解。本发明可以在没有这些具体细节中的一些或全部的情况中实施。在其他实例中,没有详细描述已知的处理操作,以便不对本发明造成不必要的模糊。
概述
在一个实施例中,公开了一种方法。从第一设备接收不指定域的第一非域分组。将第一认证分组发送到第一设备,以便从而尝试第一认证处理,第一认证处理用于允许第一设备经由特定接入端口接入网络。如果第一设备不能参与第一认证处理,则执行下面的操作:(i)如果第一设备或者第一设备的用户被授权接入语音第一域,则形成第一设备的身份和第一域之间的第一绑定,其中,第一绑定指定第一设备被允许接入第一域;(ii)如果第一设备或者第一设备的用户被授权接入语音第一域并且如果第一设备被确定为是语音型设备并且如果第一设备还不知道第一域,则形成第一设备的身份和数据第二域之间的第二绑定,其中第二绑定指定第一设备被允许接入第二域;(iii)如果第一设备或者第一设备的用户被授权接入数据第二域,则形成第一设备的身份和第二域之间的第三绑定,其中第三绑定指定第一设备被允许接入第二域;以及(iv)如果从第一设备接收到指定第一域的第一域分组,如果存在第二绑定的话则移除第二绑定。如果第一设备能够参与第一认证处理,则仅在对第一设备认证处理成功时才执行操作(i)到(iii)。在其他实施例中,本发明涉及具有一个或多个处理器以及一个或多个存储器的设备,其中这些处理器和存储器中的至少一个适用于执行上面描述的方法操作。
具体示例实施例
总的来说,本发明的示例实施例允许授权特定设备或用户接入特定网络以便绑定到具体域或VLAN(虚拟局域网)。当授权被绑到域时,若干设备能够经过认证而通过网络接入设备(例如,接入交换机)的单个物理端口,并且还基于他们各自的独立授权结果仅仅被给予对他们被授权接入的一个或多个域或VLAN的接入。
在单个端口中依赖于域或VLAN的授权的技术可以以任何适当的方式来实施,并且依赖于由特定网络接入设备正在利用的特定协议和/或应用。图1示出可以实施本发明的域授权实施例的网络部分100。在此配置中,两个设备被链串(chained)在一起并且其中一个设备耦合到网络设备的接入端口102,诸如接入交换机(未示出)。例如,端点设备或个人计算机(PC)106被耦合到中间设备或VoIP(基于语音的因特网协议)电话104,VoIP电话104耦合到接入端口102。当然,PC 106可以用作中间设备,而不是IP电话104。一般而言,任何类型的设备都可以用作中间设备或端点设备。替代地,如果通过接入端口102提供不止两个域或VLAN,或者如果设备中的一些被授权使用一些相同的域,则也可以预期到不止两个被链串的设备。还预期到其他配置,诸如多个设备以环状、星状或者星状总线(start bus)图案耦合,或者并行与接入端口耦合,或者一个或多个设备使用无线端口接入。最后,虽然VoIP电话被用于说明本发明的某些方面,但是任何适当的VoIP设备(诸如IP电话或IP调制解调器)也可以用于实施本发明的各个实施例。
在所示出的示例中,接入端口102被配置为确定一个或多个设备要接入的域或VLAN,所述一个或多个设备使用了或者没有使用认证协议,所述协议诸如是协议802.1X或者任何其他适当的认证协议。参与802.1X认证处理的设备被称作“请求者”和“认证者”,并且这些术语的使用不意味着将本发明的范围限制为此特定协议。请求者一般从认证者获得或尝试获取许可,以便获取对特定网络(诸如局域网)的接入。在本发明的实施例中,请求者可以从认证者寻求以便能够接入网络的许可,从而使设备被授权接入特定域或VLAN。在所示出的示例中,接入端口102可以用作认证者,而设备104和106中的每个可被分别配置为用作获取对两个单独VLAN(语音VLAN和数据VLAN)的接入的请求者。设备104和106中的一个或者两者可以不兼容802.1X认证协议。如果设备不兼容802.1X认证协议,则接入端口还可操作用于授权这样的设备获取对特定域或VLAN的接入。例如,如果设备104和106中的一个或两者兼容802.1X,则接入端口可以授权其中一个设备接入语音VLAN,授权其他设备接入另外的数据VLAN。
兼容802.1X认证的设备
首先将概括描述本发明的一个示例应用,其中802.1X认证处理由设备104和106二者来实施。在本示例中,将以高水平来描述如应用于802.1X认证兼容设备的本发明的示例实施例,下面描述示例实施方式的协议。在所示出的示例中,VoIP电话104可以通过实施802.1请求来向语音VLAN1认证。在电话已经向网络认证之前或者之后,该电话还可以提供对下游设备的“直通”连接。下游设备还可以通过实施802.1来向数据VLAN 2认证。在本示例中,端点设备106具有媒体访问控制(MAC)地址“MAC B”,中间设备104具有MAC地址“MAC A”。中间设备104向接入端口102认证以获取对语音VLAN 1的接入,而端点设备106向接入端口102认证,以获取对数据VLAN 2的接入。在中间设备104的认证期间,可以在MAC A和VLAN 1之间形成绑定1,该绑定1具有绑定110的形式。类似地,对于对端点设备106的认证,可以在MAC B和VLAN 2之间形成绑定(绑定2,112)。这两个绑定可以结合到一起成为访问控制列表(ACL)、MAC地址表格或者指定可将绑定丢弃或转发的任何适当的数据结构。对设备104和106二者的认证可以由认证、授权和计费(AAA)服务器108根据预先配置在接入端口102中或配置在网络设备(例如交换机)中以便端口102可访问的网络接入策略114来进行授权。
可以任何适当的方式来实现在同一接入端口对两个不同设备进行认证以进入两个不同VLAN。例如,请求者可以直接或者间接请求关于某个VLAN的认证。在直接请求中,请求者发送接入具体VLAN的请求。也就是,该请求包括指定请求设备正尝试接入的VLAN的字段。在间接请求中,请求者不指定为其寻求授权的VLAN,并且请求者的VLAN被根据请求者的身份(例如MAC地址)而预先配置在AAA服务器或者接入端口中。后面的示例在请求者不在认证期间指定VLAN的当前802.1X协议的实施例中运作良好。
图2A示出在图1的中间设备104和接入端口102之间交换的示例消息。在本示例中,802.1X消息在中间设备104的认证期间被交换,并且在此交换中,接入端口102被配置为通过接入端口来许可请求者接入VLAN1。对于端点设备104的认证,可以发生类似的消息交换,中间设备104在端点设备104和接入端口之间传递此消息。
消息交换一般发生在请求者端口接入实体(PAE)(例如端点设备或中间设备)以及认证PAE(例如接入端口)之间。在这样的认证过程中应用于802.1X分组的分组格式被称为“LAN中的可扩展认证协议(EAP)”或者EAPOL。当然,还可以预期到其他认证格式。
在请求者和认证者之间的EAPOL消息交换中,可以由请求者或者认证者发起这样的交换。在本实施例中,请求者(例如中间设备104)通过向接入端口或认证者102发送EAPOL-开始分组来发起交换。如图所示,认证者102然后发送EAPOL-请求身份分组以获得请求者的身份。请求者在EAPOL响应身份分组中向认证者返回请求者的身份。此外,EAPOL-请求分组和EAPOL-响应分组可以在请求者和认证实体之间交换以对客户端进行认证和授权。
在EAPOL消息交换期间,认证者可以以任何适当的方式来确定请求者是否被授权接入特定VLAN。例如,接入端口102可以被配置有指示哪个请求设备被授权接入哪个VLAN的信息或者可以从任何适当的源得到这样的信息。在所示出的实施例中,接入端口或认证者102向AAA服务器108发送请求者的凭证信息,并且然后接收指示请求者/MAC A被授权接入VLAN 1的信息。也就是,请求者的MAC地址被与VLAN匹配。当然,与请求者相关的任何其他标识信息都可以与特定VLAN匹配。然后可以形成请求者(例如MACA)和授权VLAN之间的绑定。相反,如果请求者没有针对任何VLAN而被授权,则AAA服务器108可以指示请求者没有被授权并且不形成用于请求者的绑定。
AAA服务器还可以指示请求者(或者不具有802.1X能力的设备)是否是语音设备(例如,通过发送指定语音型设备的字符串)。当请求者是语音设备时,还可以确定请求者是否知道其自己的语音VLAN。请求者可以通过之前利用交换机参与发现处理(诸如CDP(思科发现协议))或LLDP-MED(链路层发现协议-媒体端点发现的处理)来得知其自己的语音VLAN。因此,交换机可以被配置有关于已经发现其自己的VLAN的设备的信息。如果作为语音设备的请求者没有参与VLAN或域发现处理以确定其语音VLAN,则在请求者知道其语音VLAN之前可以临时形成请求者和数据VLAN 2之间的第三绑定111以便请求者使用,如在这里进一步所说明的。当请求者不知道其VLAN时,其分组没有被贴标签并且不指定VLAN。未贴标签的分组在默认情况下可以被发送给数据VLAN。因此,此第三绑定111可以被语音请求者用于在数据VLAN 2中传送未贴标签的分组(例如,与动态主机配置协议或者DHCP服务器),以便从而确定其语音VLAN 1。如果请求者在认证之前已经发现其自己的语音VLAN,则不需要创建第三绑定,因为请求者可以利用其语音VLAN 1对其分组贴标签并且不必要使其分组不贴标签。
中间设备104还可以配置为利用802.1X多播地址将分组地址转发给端点设备(或者链串到端点设备的任何其他设备)并且转发给中间设备的内部管理端口。请求者设备一般可以将它们的EAPOL消息发送到802.1X多播地址。然而,在发起EAPOL-请求身份消息之后,由请求者发送的消息可以被发送给请求者的单播地址,因为802.1X协议可以不提供寻址计划并且可以假定单个认证/请求者对之间的点对点连接。
非兼容802.1X认证的设备
现在将概述802.1X认证处理不是由设备104和106中的一个或二者实施的情况。在非兼容的情况中,设备中的一个或者二者可以实施除802.1X以外的另一认证协议,或者设备中的一个或者二者可以不实施任何类型的认证协议。此外,特定的接入端口可以(直接或者间接地由AAA服务器)配置为授权任何数量或类型的设备接入任何数量和类型的域或VLAN。
参考图1,VoIP电话104和/或端点设备106可以以任何适当的顺序被授权接入特定域或VLAN。如果VoIP电话104没有发现其自己的语音VLAN,则在接入端口(例如从AAA服务器)确定电话104被授权接入VLAN 1并且设备104是语音设备之后,可以临时形成电话104和数据VLAN 2之间的第三绑定111。第三绑定可以形成以使VOIP电话104可以经由数据VLAN 2与一个或多个服务器(例如,动态主机配置协议(DHCP)服务器)通信来获得其授权域或VLAN(例如VLAN 1)。接入端口可以在电话104和语音VLAN 1之间形成第一绑定110以外形成此第三绑定,虽然在电话104开始使用语音VLAN 1之前,对于语音VLAN1的第一绑定110的形成可能被延迟。形成用于非兼容(以及兼容)设备的绑定(例如110、111和112)可以采用任何适当的格式,诸如下面参考图4描述的格式。
在获得其自己的VLAN(例如,语音VLAN 1)之前,VoIP电话104可以发送未贴标签的分组,未贴标签的分组不指定其尝试接入的VLAN。在某些配置中,在默认情况下,这些未贴标签的分组将被导向数据VLAN,例如VLAN 2。在VoIP电话104获得其VLAN 1后,其然后发送指定此获得的VLAN 1的分组。当接入端口接收到来自VoIP电话104的指定语音VLAN 1的第一分组并且电话104已经被授权利用VLAN 1时,VoIP电话104和数据VLAN 2之间的第三绑定如果没有移除的话则可以被移除,并且然后可以形成对于语音VLAN 1的第一绑定。第一绑定110可以已经与第三绑定111同时形成,以使得不会对VoIP电话104使用该第一绑定110造成任何过渡延迟。
如果端点设备106还被确定为不与802.1X兼容并且端点设备106还被确定为被授权接入数据VLAN 1,则形成端点设备106和VLAN 1之间的第二绑定112。如上所述,在802.1X部分中,接入端口然后可以允许端点根据此第二绑定112来接入VLAN 1。
图2B和图2C示出根据本发明的一个实施例的用于不管设备利用了还是没有利用认证协议都确定设备是否被授权接入特定域或VLAN的处理。虽然本发明的技术可以以任何适当的顺序对设备进行授权,但是在本示例中,首先在图2B中802.1X非兼容VoIP电话104被授权,并且然后在图2C中802.1X非兼容PC设备被授权。虽然可以利用任何适当的语音设备(诸如IP电话或者基于语音的IP调制解调器),但是VoIP电话104被用于说明本发明的技术。参考图2B,在操作(1)中,VoIP电话104最初向接入端口发出未贴标签的分组,该分组被交换机阻止。例如,VoIP电话104向DHCP服务器252发送DHCP请求以获得IP地址。作为另一示例,VoIP电话104尝试发起不与802.1X兼容的认证处理。
在操作(2)中,交换机102然后尝试与VoIP电话104进行EAPOL消息交换。此外,如果电话具有802.1X能力,则使用EAPOL消息交换来执行认证,如下面参考图3描述的。此处也可以尝试802.1X以外的其他认证过程,也如进一步在图3中所描述的。如果电话不具有802.1X能力,则在操作(2)中,交换机从VoIP电话收集身份信息,诸如MAC地址。身份信息的收集可以以任何适当的方式来完成,诸如从接收自VoIP电话的未贴标签的分组中获得身份信息。在操作(3)中,交换机然后将此VoIP电话104的身份信息(例如,MAC A)传送给AAA服务器108,以确定此身份对于特定VLAN或域是否被授权。如果电话对于特定VLAN被授权,则在操作(4)中,AAA服务器108返回关于电话被授权使用哪个VLAN的信息并且还可以返回授权设备是IP电话(或语音设备)的指示。否则,AAA服务器指示设备104没有被授权接入任何VLAN或域,并且对此设备104的授权处理可以结束。
如果VoIP电话104已经被授权接入语音VLAN 1,在操作(4)中,交换机还可以添加电话和数据VLAN 2之间的绑定以及电话和语音VLAN1之间的绑定。同时,在操作(5)中,例如,电话104继续发送未贴标签的流量(例如,DHCP分组),这些流量现在被授权通过数据VLAN 1中的接入端口102而去往DHCP服务器108。在操作(6)中,包含IP地址信息和VLAN标识符的DHCP响应被中继到电话。在操作(7)中,电话104现在可以开始利用在DHCP响应中接收的相同语音VLAN来对其分组贴标签。在操作(8)中,一旦语音VLAN开始接收到来自授权电话的已贴标签的分组,则接入端口然后可以移除用于数据VLAN 2和电话104的绑定条目,并且还可以添加用于电话104和语音VLAN 2的绑定条目。替代地,对于语音VLAN 1的绑定可以随着操作(8)中数据VLAN 1的移除而创建,而不是在操作(4)中创建语音绑定。然而,数据和语音绑定优选地一起形成,以从语音设备能够在语音VLAN中开始发送分组时为其提供无影响的过渡。否则,在语音VLAN被创建之前,可以丢弃在语音VLAN中发送的分组。
图2C示出8202.1X非兼容设备通过接入端口接入数据VLAN的授权过程。PC设备106被用于说明本发明的示例技术。然而,这些技术可以应用于利用数据VLAN的任何适当类型的设备,诸如打印机、传真设备,等等。如图所示,在操作(1)中,PC 106最初发出未贴标签的分组(例如,DHCP请求),该分组被交换机阻止。在操作(2)中,交换机尝试与PC 106进行ECPOL消息交换。如果PC具有802.1X能力,则利用EAPOL消息交换执行认证(例如,参见图3)。如果PC不兼容802.1X,则在操作(2)中交换机收集PC的身份信息并且然后在操作(3)中将PC的身份信息传送给AAA服务器108,以确定该身份对于特定VLAN是否被授权。在操作(4)中,AAA服务器然后返回关于PC被授权使用哪个VLAN(如果有这样的VLAN的话)的信息。在本示例中,数据VLAN 1被返回。在操作(4)中,交换机还添加PC(例如MAC B)和数据VLAN之间的绑定条目。
当PC发送未贴标签的分组以及利用数据VLAN已贴标签的分组时,PC和数据VLAN之间的绑定对该PC起作用。因此,PC可以继续发送未贴标签的DHCP(或者其他未贴标签的分组)流量,此流量现在通过接入端口进入数据VLAN 2而去往DHCP服务器。PC还可以将指定数据VLAN 2的已贴标签分组发送到相同的数据VLAN 2(例如,在PC从DHCP服务器获得VLAN 1之后)。
图3是示出根据本发明的一个实施例的认证过程300的流程图。此认证过程300可以重复用于任何数量的请求者,并且也可以重复用于同一个请求者。也就是,接入端口可以配置为定期对每个授权设备进行再次认证。参考图3,在操作302中,发起对特定请求者的认证。认证者或者接入控制端口或者请求者可发起此处理。例如,当设备耦合到接入端口并且被使能时,被使能的设备可以向接入控制端口通知其被使能。响应于此使能,认证者可以通过发送例如EAPOL请求身份分组来发起认证处理。此外,可以在设备发送未贴标签的分组并且接入端口尝试EAPOL消息交换之后发起图3的过程300,其中,EAPOL消息交换之后可以被设备响应。替代地,新使能的设备在启动或者被使能(例如,通过发送EAPOL-开始)后可以发起802.1认证。如果设备不兼容802.1X,则替代的认证处理可以改为发起与请求者交换任何适当类型的凭证。
然后在操作304中确定请求者是否被授权接入特定VLAN。例如,认证者从AAA服务器获得指示请求者对于特定VLAN是否被授权的信息。在AAA服务器(或者接入控制端口)被预先配置的一个示例中,IP电话设备被与语音VLAN进行匹配,同时PC设备被与数据VLAN进行匹配。如果请求者对于特定VLAN没有被授权,则认证过程可以结束。替代地,可以提前阻止请求者通过接入端口接入所有可利用的VLAN。在一个实施例中,接入端口被预先配置为阻止所有设备接入或进入所有VLAN,直到特定请求者经过认证为止。
当确定特定请求者对于特定VLAN已经被授权,还在操作306中确定对当前请求者的认证是否成功。例如,除了针对特定VLAN对请求者进行授权以外,认证者还执行任何适当的认证或者凭证有效确认过程,诸如口令或证书验证。当然,可以在所有其他凭证已经经过认证或者在对其他凭证进行认证期间或者之后的任意点发生请求者对某个VLAN的认证。如果认证不成功,则过程可以结束。
如果认证成功,可以在操作308中形成请求者的身份和授权VLAN之间的绑定。然后,可以在操作312中确定请求者是否是语音设备以及是否知道语音VLAN。可以以任何适当的方式确定请求者是否是语音设备,例如,通过从AAA服务器接收的指示特定设备是否是语音设备的信息。设备可以以任何适当的方式获得其授权VLAN,例如设备可以配置有其授权VLAN或者经由协议CDP(思科发现协议)或LLDP-MED(链路层发现协议-媒体端点发现)来配置。当例如在设备和交换机之间发生发现处理时,关于哪些设备已经被执行发现的信息被保留并可被交换机访问。因此,交换机然后可以通过评估发现信息是否被维护用于请求者来确定请求者知道其语音VLAN。当请求者是语音设备并且不知道其语音VLAN时,还在操作314中形成此请求者的身份和数据VLAN(例如VLAN 2)之间的绑定。否则,跳过该操作。在操作310中,授权指示符然后被与这样的一个或多个绑定相关联,之后过程结束。任何类型的关联结构都可用于指示特定认证请求者现在被授权通过特定接入控制端口接入特定VLAN。图4示出根据本发明的具体实施方式的用于指示每个VLAN中的一个或多个设备相对于特定接入控制端口的接入控制的数据结构的一个示例。此数据结构用于过滤进入分组,以使得特定设备能够接入指定VLAN,同时阻止其它进入分组。这样的数据结构可以以任何适当的方式来实现,例如通过软件或硬件实现,诸如三进制CAM(内容可寻址存储器)或者TCAM,或者MAC地址表格。
如每个条目所示,图4的数据结构包括条目标识符402、端口标识符404、源MAC地址406、VLAN标识符408以及动作410,动作410指定要对具有指定的MAC地址和VLAN的分组执行的动作。在图4的示例中,用于端口1的“N”指定的条目可以指定由任意VLAN的任意MAC地址标识的任意进入分组被丢弃。在图1、2和5中的中间设备和端点设备进行认证以便分别接入VLAN 1和2之后,条目N-1被创建用于端口1,指定具有MAC A的设备被允许接入VALN。类似地,条目N-2被创建用于端口1,指定具有MAC B的设备被允许接入VLAN 2。
可能存在这样的情形:在特定设备经过认证之前,来自该设备的分组已经被交换机处理。例如,当设备不兼容802.1X时,交换机可能在发现处理期间或者当非兼容设备向交换机发送未贴标签的分组时从非兼容设备收集凭证信息(例如,MAC地址)。这样,来自这样的设备的分组将不会被丢弃,而是被发送给交换机中的处理以便针对此设备收集凭证和发起认证。一旦交换机已经从设备收集到凭证信息,诸如设备的MAC地址,则在形成用于此设备的绑定之前可以丢弃该设备的分组。
图5示出用于基于图4的数据结构提供对多个设备的端口接入控制的机制。图6是示出根据本发明的一个示例实施例的端口接入控制过程的流程图,并且图5和图6将被一起描述来阐明本发明的实施例。首先,在操作602中,接入控制端口(诸如端口102)接收进入分组。也就是,设备(诸如中间设备104或端点设备106)正尝试通过接入端口102接入VLAN。例如,IP电话104或PC 106可以尝试通过接入端口12与VLAN中的另一IP电话或PC通信。
进入分组中的一些包含包括分组要被运送到哪个VLAN的标签(例如,802.1Q),同时其它分组将保留未贴标签。虽然在这里使用802.1P/Q作为示例标签解决方案,但是,分组可以被贴标签以指定使用任何适当协议的VLAN。在所示出的示例中,端点设备(诸如PC)可以不知道802.1P/Q标签。然而,此标签允许网络基础设施为通过网络的不同类型的流量路由和提供质量服务(QoS)。因此,端点设备可以发送未贴标签的分组。交换机或网络设备的接入端口(接收这些未贴标签的分组)然后可以添加802.1P/Q标签。此添加的标签包括用于接收分组的端口的本地VALN。通常,可以利用本地VLAN来以逐个端口的方式配置交换机。在特定端口接收的任何未贴标签的分组然后可以被贴标签以包括此接收端口的本地VLAN。
参考图6,在接收到进入分组之后,在操作604中,可以确定分组是否指定了该分组要被运动到哪个VLAN(例如,在802.1P/Q标签中)。设备可以以任何适当的方式来获取其授权VLAN,例如设备可以被配置有其授权VLAN或者通过协议CDP(思科发现协议)或LLDP-MED(链路层发现协议-媒体端点发现)来配置。如果在分组中没有指定VLAN,则在操作610中,具有本地VLAN的标签可以被添加到所接收的分组中。如果VLAN被指定或者标签被添加,则然后可以在操作606中确定是否存在被识别用于分组的源(例如发送设备的MAC地址)和VLAN的绑定匹配。如果发现绑定匹配,然后在操作607中确定该匹配的绑定是否与授权指示符相关联。如果不存在绑定匹配或者发现绑定匹配不具有授权指示符,则在操作612中阻止分组接入在分组中指定的VLAN。结果,分组被阻止接入与接入端口相关联的任何网络。否则,在操作608中,分组被允许仅仅接入在分组中指定的VLAN。如果分组的VLAN是语音分组并且存在用于此分组的发送者的数据VLAN绑定,则在操作614中移除数据VLAN。可以针对正尝试进入接入端口的VLAN的任何数量的接收分组重复过程600。
在图5的示例中,接入端口与MAC A和VLAN 1之间的绑定110以及MAC B和VLAN 2之间的绑定2相关联。具有这样的绑定或ACL布置,仅仅来自中间设备(MAC A)的指定VLAN 1的分组(例如,VoIP分组)被允许接入VLAN 1。相反,来自中间设备(MAC A)的指定不同VLAN(例如,VLAN 2或VLAN n)或者来自中间设备(MAC B)的指定VLAN 2以外的VLAN(例如VLAN n)的分组被阻止。来自中间设备(MAC B)的指定VLAN 1的分组也被阻止。
类似地,仅仅来自设备106(MAC B)的指定VLAN 2的分组被允许接入VLAN 2。相反,来自端点设备106(MAC B)的指定不同VLAN(例如VLAN 1或VLAN n)或者来自端点设备104(MAC A)的指定VLAN 1以外的VLAN(例如VLAN n)的分组被阻止,并且来自中间设备104(MAC A)的指定VLAN 2的分组也被阻止。
在两种情况中,来自端点设备104(MAC A)的未贴标签的分组(例如,如果设备不支持802.1X)也被阻止接入VLAN 1和2。然而,当VLAN 2被配置作为接入端口的相关联本地VLAN时(如图所示),来自端点设备106(MAC B)的未贴标签的分组将被接受并置于VLAN 2中。另外,在临时形成中间电话设备104和数据VLAN 2之间的绑定期间,来自电话104的未贴标签的分组被运送到数据VLAN 2中。
一般而言,用于实施本发明的技术可以在软件和/或硬件中实现。例如,这些技术可以在操作系统核心中、在独立的用户处理中、在绑定到网络应用的图书馆分组中、在特殊构建的机器中或者在网络接口卡中实施。在本发明的具体实施例中,本发明的技术以诸如操作系统的软件或者以运行操作系统的应用来实现。
本发明的软件或者软件/硬件混合的分组处理系统优选地在通用可编程机器中执行,此通用可编程机器由存储在存储器中的计算机程序有选择地激活或者重新配置。这样的可编程机器可以是涉及用于处理网络流量的网络设备。这样的网络设备通常具有多个网络接口,这些网络接口例如包括帧中继和ISDN接口。这样的网络设备的具体示例包括路由器和交换机。例如,本发明的认证系统可以被具体配置为诸如可从加利福尼亚州的圣何塞的思科系统公司得到的Catalyst 6500、4900、4500、3750、3560或者Express 500系列的交换机。下面给出的描述将呈现出这些机器中的一些的一般结构。在替代实施例中,系统可以在诸如个人计算机或工作台之类的通用网络主机中实现。此外,本发明可以至少部分地在用于网络设备或者通用计算设备的卡(例如,接口卡)中实现。
现在参考图7,适用于实施本发明的实施例的交换机10包括主中央处理单元(CPU)62、接口68和总线15(例如,PCI总线)。当在适当的软件或固件的控制下动作时,CPU 62负责诸如交换和/或路由计算和网络管理的任务。优选地,在包括操作系统(例如,思科系统公司的因特网操作系统
)的软件的控制下完成所有这些功能。CPU 62可以包括一个或多个处理器,诸如来自Motorola族微处理器或MIPS族微处理器的处理器。在替代实施例中,处理器63被具体设计为用于控制交换机10的操作的硬件。在具体实施例中,存储器61(诸如非易失性RAM和/或ROM)还形成CPU 62的部分。然而,存在许多不同的存储器被耦合到系统的方式。存储器块61可用于各种用途,诸如,创建和/或存储数据、对指令进行编程,等等。
接口68通常被提供作为接口卡(有时被称为“线路卡”)。一般而言,它们控制在网络中发送和接收分组或分组段,并且有时与交换机10一起支持所使用的其它外围设备。在这些接口中,它们可以被提供为以太网接口、帧中继接口、线缆接口、DSL接口、标记环接口,等等。另外,可以提供各种非常高速的接口,诸如快速以太网接口、吉比特以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口,等等。一般而言,这些接口可以包括适用于与适当介质通信的端口。在一些情况中,它们还可以包括独立的处理器,并且在一些场合中包括易失性RAM。独立的处理器可以控制诸如分组交换和/或路由。媒体控制和管理之类的通信增强任务。通过提供用于通信增强任务的单独的处理器,这些接口使得主微处理器62能够有效地执行交换和/或路由计算、网络诊断、安全功能,等等。
虽然在图7中所示地系统是本发明的一个具体交换机,但并不意味着其是可以实现本发明的唯一的交换机结构。例如,常常使用具有单个处理器的结构,单个处理器用于处理计算以及交换和/或路由计算等。此外,其它类型的接口和介质也可以与此交换机一起使用。
不管网络设备的配置如何,其可以采用一个或多个存储器或者存储器模块(例如,存储器块65),这些存储器或存储器模块被配置用于存储用于通用网络操作和/或这里所述的创造性技术的数据、程序指令。程序指令例如可以控制操作系统和/或一个或多个应用的操作。存储器或多个存储器还可以配置用于存储VSAN信息、ACL信息、设备是否是VoIP电话的指示符等。
因为这样的信息和程序指令可以被用来执行这里所述的系统/方法,所以本发明涉及包括程序指令、状态信息等的机器可读介质以便执行这里所述的各种操作。机器可读介质包括但不限于诸如硬盘、软盘和磁带的磁介质;诸如CD-ROM盘和DVD的光介质;诸如可光读盘的磁光介质;以及具体配置用于存储和执行程序指令的硬件设备,诸如只读存储器设备(ROM)和随机存取存储器(RAM)。本发明还用在在适当介质(诸如无线电波、光缆线路、电线等)中传播的载波中。程序指令的示例既包括机器代码(由编译器产生的),也包括包含由计算机利用翻译器执行的较高级代码的文件。
本发明的特定实施例在保持安全机制的同时能够使得不止一个设备通过单个物理接入控制端口进行网络接入(例如LAN接入)。可以基于每个VLAN或域的方式对设备进行授权。因此,可以通过单个端口基于每个VLAN或域的方式实现过滤。此外,本发明的实施例不依赖于设备正在执行的用于获取对域的接入的特定协议(诸如802.1X或CDP或LLDP-MED)。然而,当设备执行802.1X时,802.1X认证处理可以与基于域的授权处理结合在一起。此外,可以以任何顺序产生多个设备的授权,例如,中间设备不必在端点设备之前被授权。
本发明的实施例还可以确保现有特征,诸如Guest-VLAN和Auth-FailVLAN继续被支持用于数据设备,语音设备继续被认证。Guest-VLAN被用于认证失败的不具有802.1X能力的设备,结果端口被移动到Guest-VLAN中,Guest-VLAN对于主机来说是网络的猜忌用户的安全子集。Guest-VLAN可以继续得到支持。Auth-Fail VLAN被用于认证失败的具有802.1X能力的设备,类似于Guest-VLAN。
虽然为了清楚理解的目的在前面稍微详细地描述了本发明,但是很明显在所附权利要求地范围内可以实行某些改变和修改。例如,虽然认证被表述为授权单个设备接入单个域,但是单个设备可以被授权接入多个不同地域或者多个设备可以被授权接入相同的域。因此,本发明的实施例被认为是说明性而非限制性的,并且本发明不限于这里给出的具体细节,而是可以在所附权利要求的等同物的范围内进行修改。
Claims (27)
1.一种对同一端口的语音和数字设备进行认证的方法,包括:
从第一设备接收不指定域的第一非域分组,其中,所述第一非域分组包括与所述第一设备相关联的标识符;
将第一认证分组发送给所述第一设备,从而尝试第一认证处理,所述第一认证处理允许所述第一设备经由网络设备的特定接入端口接入网络;
如果确定所述第一设备不能参与所述第一认证处理,则执行下面的操作(i)至(iv),如果确定所述第一设备能够参与所述第一认证处理并且仅在对所述第一设备的认证处理成功的情况下才执行下面的操作(i)至(iii):
(i)如果所述第一设备或者所述第一设备的用户被授权接入分配用于语音的第一域,则形成所述第一设备的身份和所述第一域之间的第一绑定,其中,所述第一绑定指定所述第一设备被允许接入所述第一域,并且所述第一绑定与所述网络设备的所述特定接入端口相关联;
(ii)如果所述第一设备或者所述第一设备的用户被授权接入分配用于语音的所述第一域并且如果所述第一设备被确定为是语音型设备并且如果所述第一设备还不知道所述第一域,则形成所述第一设备的身份和分配用于数据的第二域之间的第二绑定,其中所述第二绑定指定所述第一设备被允许接入所述第二域,并且所述第二绑定与所述网络设备的所述特定接入端口相关联;
(iii)如果所述第一设备或者所述第一设备的用户被授权接入分配用于数据的所述第二域,则形成所述第一设备的身份和所述第二域之间的第三绑定,其中所述第三绑定指定所述第一设备被允许接入所述第二域,并且所述第三绑定与所述网络设备的所述特定接入端口相关联;以及
(iv)如果从所述第一设备接收到指定所述第一域的第一域分组,那么如果存在所述第二绑定的话则移除所述第二绑定。
2.根据权利要求1所述的方法,还包括通过以下操作来确定所述第一设备是否是语音设备:收集来自所述第一设备的标识符,将所述第一设备的标识符发送给授权服务器,并且响应于所述第一设备的标识符从所述授权服务器接收关于所述第一设备是否是语音型设备的指示。
3.根据权利要求1所述的方法,其中,所述第一认证处理使用802.1X协议。
4.根据权利要求2所述的方法,还包括响应于将所述第一设备的标识符发送给所述授权服务器,从所述授权服务器接收关于所述第一设备被授权接入哪个域的指示。
5.根据权利要求1所述的方法,还包括:
如果接收到正尝试进入所述第一域的第一域分组,并且如果存在所述第一绑定的话所述第一域分组与所述第一绑定相匹配,则允许所述第一域分组接入所述第一域;
如果接收到正尝试进入所述第一域的第一域分组,但是所述第一域分组与所述第一绑定不匹配或者不存在所述第一绑定,则阻止所述第一域分组接入所述第一域;
如果接收到正尝试进入所述第二域的第一域分组,并且如果存在所述第二绑定或所述第三绑定的话所述第一域分组与所述第二绑定或所述第三绑定相匹配,则允许所述第一域分组接入所述第二域;以及
如果接收到正尝试进入所述第二域的第一域分组,但是所述第一域分组与所述第二绑定或所述第三绑定不匹配或者不存在所述第二绑定或所述第三绑定,则阻止所述第一域分组接入所述第二域。
6.根据权利要求1所述的方法,还包括:
从第二设备接收不指定域的第二非域分组,其中,所述第二非域分组包括与所述第二设备相关联的标识符;
将第二认证分组发送给所述第二设备,从而尝试第二认证处理,所述第二认证处理允许所述第二设备经由所述网络设备的所述特定接入端口而接入网络;
如果确定所述第二设备不能参与所述第二认证处理,则执行下面的操作(v)至(viii),如果确定所述第二设备能够参与所述第二认证处理并且仅在对所述第二设备的所述第二认证处理成功的情况下才执行下面的操作(v)到(vii):
(v)如果所述第二设备或者所述第二设备的用户被授权接入分配用于语音的所述第一域,则形成所述第二设备的身份和所述第一域之间的第四绑定,其中,所述第四绑定指定所述第二设备被允许接入所述第一域,并且所述第四绑定与所述网络设备的所述特定接入端口相关联;
(vi)如果所述第二设备或者所述第二设备的用户被授权接入分配用于语音的所述第一域并且如果所述第二设备被确定为是语音型设备并且如果所述第二设备还不知道所述第一域,则形成所述第二设备的身份和分配用于数据的所述第二域之间的第五绑定,其中所述第五绑定指定所述第二设备被允许接入所述第二域,并且所述第五绑定与所述网络设备的所述特定接入端口相关联;
(vii)如果所述第二设备或者所述第二设备的用户被授权接入分配用于数据的所述第二域,则形成所述第二设备的身份和所述第二域之间的第六绑定,其中所述第六绑定指定所述第二设备被允许接入所述第二域,并且所述第六绑定与所述网络设备的所述特定接入端口相关联;以及
(viii)如果从所述第二设备接收到指定所述第一域的第二域分组,那么如果存在所述第五绑定的话则移除所述第五绑定。
7.根据权利要求6所述的方法,其中,所述操作(i)到(iv)与所述操作(v)到(viii)是并行执行的。
8.根据权利要求6所述的方法,其中,所述操作(i)到(iv)是在所述操作(v)到(viii)之前或之后执行的。
9.根据权利要求6所述的方法,其中,所述第二认证处理使用802.1X协议。
10.根据权利要求6所述的方法,还包括:
如果接收到正尝试进入所述第一域的第二域分组,并且如果存在所述第四绑定的话所述第二域分组与所述第四绑定相匹配,则允许所述第二域分组接入所述第一域;
如果接收到正尝试进入所述第一域的第二域分组,但是所述第二域分组与所述第四绑定不匹配或者不存在所述第四绑定,则阻止所述第二域分组接入所述第一域;
如果接收到正尝试进入所述第二域的第二域分组,并且如果存在所述第五绑定或所述第六绑定的话所述第二域分组与所述第五绑定或所述第六绑定相匹配,则允许所述第二域分组接入所述第二域;以及
如果接收到正尝试进入所述第二域的第二域分组,但是所述第二域分组与所述第五绑定或所述第六绑定不匹配或者不存在所述第五绑定或所述第六绑定,则阻止所述第二域分组接入所述第二域。
11.根据权利要求1所述的方法,其中,所述第一域是第一虚拟局域网(VLAN),所述第二域是第二VLAN。
12.根据权利要求6所述的方法,其中,所述第一设备以链串布置的方式耦合到所述特定接入端口和所述第二设备,并且其中,所述第二设备经由所述第一设备与所述特定接入端口通信。
13.根据权利要求1所述的方法,其中,当正在利用所述第一设备的未经授权的用户被确定授权接入所述第一域时,所述第一设备被授权接入所述第一域。
14.根据权利要求1所述的方法,还包括阻止任何设备接入没有由指定接入特定域的任何绑定所指定的任何域。
15.一种用于对同一端口的语音和数字设备进行认证的设备,包括:
用于从第一设备接收不指定域的第一非域分组的装置,其中,所述第一非域分组包括与所述第一设备相关联的标识符;
用于将第一认证分组发送给所述第一设备,从而尝试第一认证处理的装置,所述第一认证处理允许所述第一设备经由网络设备的特定接入端口而接入网络;
用于如果确定所述第一设备不能参与所述第一认证处理,则执行下面的操作(i)至(iv),并且如果确定所述第一设备能够参与所述第一认证处理并且只有在对所述第一设备的认证处理成功的情况下才执行下面的操作操作(i)到(iii)的装置:
(i)如果所述第一设备或者所述第一设备的用户被授权接入分配用于语音的第一域,则形成所述第一设备的身份和所述第一域之间的第一绑定,其中,所述第一绑定指定所述第一设备被允许接入所述第一域,并且所述第一绑定与所述网络设备的所述特定接入端口相关联;
(ii)如果所述第一设备或者所述第一设备的用户被授权接入分配用于语音的所述第一域并且如果所述第一设备被确定为是语音型设备并且如果所述第一设备还不知道所述第一域,则形成所述第一设备的身份和分配用于数据的第二域之间的第二绑定,其中所述第二绑定指定所述第一设备被允许接入所述第二域,并且所述第二绑定与所述网络设备的所述特定接入端口相关联;
(iii)如果所述第一设备或者所述第一设备的用户被授权接入分配用于数据的所述第二域,则形成所述第一设备的身份和所述第二域之间的第三绑定,其中所述第三绑定指定所述第一设备被允许接入所述第二域,并且所述第三绑定与所述网络设备的所述特定接入端口相关联;以及
(iv)如果从所述第一设备接收到指定所述第一域的第一域分组,那么如果存在所述第二绑定的话则移除所述第二绑定。
16.根据权利要求15所述的设备,其中,还包括用于通过以下操作来确定所述第一设备是否是语音设备的装置:收集来自所述第一设备的标识符,将所述第一设备的标识符发送给授权服务器,并且响应于所述第一设备的标识符从所述授权服务器接收关于所述第一设备是否是语音型设备的指示。
17.根据权利要求15所述的设备,其中,所述第一认证处理使用802.1X协议。
18.根据权利要求17所述的设备,其中,还包括用于响应于将所述第一设备的MAC地址发送给所述授权服务器,从所述授权服务器接收关于所述第一设备被授权接入哪个域的指示的装置。
19.根据权利要求15所述的设备,其中,还包括用于执行如下操作的装置:
如果接收到正尝试进入所述第一域的第一域分组,并且如果存在所述第一绑定的话所述第一域分组与所述第一绑定相匹配,则允许所述第一域分组接入所述第一域;
如果接收到正尝试进入所述第一域的第一域分组,但是所述第一域分组与所述第一绑定不匹配或者不存在所述第一绑定,则阻止所述第一域分组接入所述第一域;
如果接收到正尝试进入所述第二域的第一域分组,并且如果存在所述第二绑定或所述第三绑定的话所述第一域分组与所述第二绑定或所述第三绑定相匹配,则允许所述第一域分组接入所述第二域;以及
如果接收到正尝试进入所述第二域的第一域分组,但是所述第一域分组与所述第二绑定或所述第三绑定不匹配或者不存在所述第二绑定或所述第三绑定,则阻止所述第一域分组接入所述第二域。
20.根据权利要求15所述的设备,其中,还包括:
用于从第二设备接收不指定域的第二非域分组的装置,其中,所述第二非域分组包括与所述第二设备相关联的标识符;
用于将第二认证分组发送给所述第二设备,从而尝试第二认证处理的装置,所述第二认证处理允许所述第二设备经由所述网络设备的所述特定接入端口而接入网络;
用于如果确定所述第二设备不能参与所述第二认证处理,则执行下面的操作(v)至(viii),如果确定所述第二设备能够参与所述第二认证处理并且仅在对所述第二设备的所述第二认证处理成功的情况下才执行操作(v)到(vii)的装置:
(v)如果所述第二设备或者所述第二设备的用户被授权接入分配用于语音的所述第一域,则形成所述第二设备的身份和所述第一域之间的第四绑定,其中,所述第四绑定指定所述第二设备被允许接入所述第一域,并且所述第四绑定与所述网络设备的所述特定接入端口相关联;
(vi)如果所述第二设备或者所述第二设备的用户被授权接入分配用于语音的所述第一域并且如果所述第二设备被确定为是语音型设备并且如果所述第二设备还不知道所述第一域,则形成所述第二设备的身份和分配用于数据的所述第二域之间的第五绑定,其中所述第五绑定指定所述第二设备被允许接入所述第二域,并且所述第五绑定与所述网络设备的所述特定接入端口相关联;
(vii)如果所述第二设备或者所述第二设备的用户被授权接入分配用于数据的所述第二域,则形成所述第二设备的身份和所述第二域之间的第六绑定,其中所述第六绑定指定所述第二设备被允许接入所述第二域,并且所述第六绑定与所述网络设备的所述特定接入端口相关联;以及
(viii)如果从所述第二设备接收到指定所述第一域的第二域分组,那么如果存在所述第五绑定的话则移除所述第五绑定。
21.根据权利要求20所述的设备,其中,所述操作(i)到(iv)与所述操作(v)到(viii)是并行执行的。
22.根据权利要求20所述的设备,其中,所述第二认证处理使用802.1X协议。
23.根据权利要求20所述的设备,其中,还包括用于执行如下操作的装置:
如果接收到正尝试进入所述第一域的第二域分组,并且如果存在所述第四绑定的话所述第二域分组与所述第四绑定相匹配,则允许所述第二域分组接入所述第一域;
如果接收到正尝试进入所述第一域的第二域分组,但是所述第二域分组与所述第四绑定不匹配或者不存在所述第四绑定,则阻止所述第二域分组接入所述第一域;
如果接收到正尝试进入所述第二域的第二域分组,并且如果存在所述第五绑定或所述第六绑定的话所述第二域分组与所述第五绑定或所述第六绑定相匹配,则允许所述第二域分组接入所述第二域;以及
如果接收到正尝试进入所述第二域的第二域分组,但是所述第二域分组与所述第五绑定或所述第六绑定不匹配或者不存在所述第五绑定或所述第六绑定,则阻止所述第二域分组接入所述第二域。
24.根据权利要求15所述的设备,其中,所述第一域是第一虚拟局域网(VLAN),所述第二域是第二VLAN。
25.根据权利要求20所述的设备,其中,所述第一设备以链串布置的方式耦合到所述特定接入端口和所述第二设备,并且其中,所述第二设备经由所述第一设备与所述特定接入端口通信。
26.根据权利要求15所述的设备,其中,当正在利用所述第一设备的未经授权的用户被确定授权接入所述第一域时,所述第一设备被授权接入所述第一域。
27.根据权利要求15所述的设备,其中,还包括用于阻止任何设备接入没有由指定接入特定域的任何绑定所指定的任何域的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/553,430 US8104072B2 (en) | 2006-10-26 | 2006-10-26 | Apparatus and methods for authenticating voice and data devices on the same port |
| US11/553,430 | 2006-10-26 | ||
| PCT/US2007/082491 WO2008070330A2 (en) | 2006-10-26 | 2007-10-25 | Apparatus and methods for authenticating voice and data devices on the same port |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101518023A CN101518023A (zh) | 2009-08-26 |
| CN101518023B true CN101518023B (zh) | 2013-03-06 |
Family
ID=39329967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780035086XA Expired - Fee Related CN101518023B (zh) | 2006-10-26 | 2007-10-25 | 用于对同一端口的语音和数字设备进行认证的设备和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8104072B2 (zh) |
| EP (1) | EP2090063B1 (zh) |
| CN (1) | CN101518023B (zh) |
| WO (1) | WO2008070330A2 (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8751647B1 (en) * | 2001-06-30 | 2014-06-10 | Extreme Networks | Method and apparatus for network login authorization |
| US8272037B2 (en) * | 2003-03-14 | 2012-09-18 | Thomson Licensing | Flexible WLAN access point architecture capable of accommodating different user devices |
| US8775571B2 (en) * | 2005-06-07 | 2014-07-08 | Extreme Networks, Inc. | Methods, systems, and computer program products for dynamic network access device port and user device configuration for implementing device-based and user-based policies |
| US8751649B2 (en) * | 2005-06-07 | 2014-06-10 | Extreme Networks | Port management system |
| US8849983B2 (en) * | 2006-03-16 | 2014-09-30 | Futurewei Technologies, Inc. | Method and system for updating and retrieving state information for mobile nodes in a communication network |
| US20080134296A1 (en) * | 2006-11-30 | 2008-06-05 | Ofer Amitai | System and method of network authorization by scoring |
| US8279874B1 (en) | 2007-03-30 | 2012-10-02 | Extreme Networks, Inc. | Self-configuring network |
| US8838831B2 (en) * | 2007-05-01 | 2014-09-16 | Cisco Technology, Inc. | Populating location wiremap databases |
| US8966075B1 (en) * | 2007-07-02 | 2015-02-24 | Pulse Secure, Llc | Accessing a policy server from multiple layer two networks |
| US20100146599A1 (en) * | 2008-12-10 | 2010-06-10 | Broadcom Corporation | Client-based guest vlan |
| US8380819B2 (en) * | 2009-05-14 | 2013-02-19 | Avaya Inc. | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network |
| JP5334693B2 (ja) * | 2009-06-04 | 2013-11-06 | アライドテレシスホールディングス株式会社 | ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器 |
| US8576727B2 (en) * | 2010-04-23 | 2013-11-05 | Broadcom Corporation | System and method for unique identifier exchange during auto-negotiation |
| US8990891B1 (en) | 2011-04-19 | 2015-03-24 | Pulse Secure, Llc | Provisioning layer two network access for mobile devices |
| JP5838320B2 (ja) * | 2011-04-28 | 2016-01-06 | パナソニックIpマネジメント株式会社 | 通信装置、認証装置、通信方法、および認証方法 |
| CN102223278B (zh) * | 2011-05-17 | 2015-06-24 | 中兴通讯股份有限公司 | 一种在非以太链路上启用lldp功能的实现方法及系统 |
| CN102957678B (zh) * | 2011-08-26 | 2016-04-06 | 北京华为数字技术有限公司 | 认证ip电话机和协商语音域的方法、系统以及设备 |
| US9215234B2 (en) | 2012-01-24 | 2015-12-15 | Hewlett Packard Enterprise Development Lp | Security actions based on client identity databases |
| US9148400B2 (en) * | 2012-04-12 | 2015-09-29 | Hewlett-Packard Development Company, L.P. | Automatic detection of an end node behind a phone on a computer network |
| CN102932792B (zh) * | 2012-11-14 | 2016-06-15 | 邦讯技术股份有限公司 | 一种实现无线网络云的方法及控制器 |
| CN103259944B (zh) * | 2013-05-10 | 2015-04-22 | 国家电网公司 | 一种ip软交换系统与不同内网交换机的配置方法 |
| CN104283858B (zh) * | 2013-07-09 | 2018-02-13 | 华为技术有限公司 | 控制用户终端接入的方法、装置及系统 |
| CN103368967A (zh) * | 2013-07-17 | 2013-10-23 | 杭州华三通信技术有限公司 | 一种ip电话的安全接入方法和设备 |
| CN103442358B (zh) * | 2013-08-30 | 2017-01-18 | 杭州华三通信技术有限公司 | 一种集中认证本地转发的方法及控制装置 |
| US9531591B2 (en) | 2014-03-23 | 2016-12-27 | Avaya Inc. | Configuration of networks using switch device access of remote server |
| US10142342B2 (en) * | 2014-03-23 | 2018-11-27 | Extreme Networks, Inc. | Authentication of client devices in networks |
| US9749353B1 (en) | 2015-03-16 | 2017-08-29 | Wells Fargo Bank, N.A. | Predictive modeling for anti-malware solutions |
| US9794265B1 (en) * | 2015-03-16 | 2017-10-17 | Wells Fargo Bank, N.A. | Authentication and authorization without the use of supplicants |
| CN104717380B (zh) * | 2015-04-09 | 2017-06-27 | 迈普通信技术股份有限公司 | 交换机、语音设备、ip电话系统及语音设备部署方法 |
| US10123205B2 (en) * | 2015-06-01 | 2018-11-06 | Huawei Technologies Co., Ltd. | Admission of a session to a virtual network service |
| US10819685B2 (en) | 2018-03-02 | 2020-10-27 | Futurewei Technologies, Inc. | Lightweight secure autonomic control plane |
| US11863983B2 (en) | 2018-08-20 | 2024-01-02 | Apple Inc. | Provisioning of VLAN IDs in 5G systems |
| CN109347841B (zh) * | 2018-10-26 | 2021-08-10 | 深圳市元征科技股份有限公司 | Mac地址认证方法、装置、终端、服务器及存储介质 |
| EP3700139A1 (en) * | 2019-02-25 | 2020-08-26 | Nokia Solutions and Networks Oy | Proxy supplicant on gpon access device |
| CN110769482B (zh) * | 2019-09-16 | 2022-03-01 | 浙江大华技术股份有限公司 | 无线设备进行网络连接的方法、装置和无线路由器设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006001647A1 (en) * | 2004-06-24 | 2006-01-05 | Exers Technologies. Inc. | Network integrated management system |
| EP1628458A1 (de) * | 2004-08-19 | 2006-02-22 | Siemens Aktiengesellschaft | Verfahren zur Vermittlung von IP-Paketen zwischen Kundennetzen und IP-Provider-Netzen über ein Zugangsnetz |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7187678B2 (en) * | 2001-08-13 | 2007-03-06 | At&T Labs, Inc. | Authentication for use of high speed network resources |
| EP1313294A1 (en) * | 2001-11-12 | 2003-05-21 | Alcatel | Method for allocating a non-data device to a voice vlan |
| US7421503B1 (en) * | 2003-01-17 | 2008-09-02 | Cisco Technology, Inc. | Method and apparatus for providing multiple authentication types using an authentication protocol that supports a single type |
| US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
| US20050246529A1 (en) * | 2004-04-30 | 2005-11-03 | Microsoft Corporation | Isolated persistent identity storage for authentication of computing devies |
| US7810138B2 (en) * | 2005-01-26 | 2010-10-05 | Mcafee, Inc. | Enabling dynamic authentication with different protocols on the same port for a switch |
| GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
| US8010994B2 (en) * | 2005-05-16 | 2011-08-30 | Alcatel Lucent | Apparatus, and associated method, for providing communication access to a communication device at a network access port |
| JP2007267139A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | 認証vlan管理装置 |
-
2006
- 2006-10-26 US US11/553,430 patent/US8104072B2/en not_active Expired - Fee Related
-
2007
- 2007-10-25 EP EP07871236.1A patent/EP2090063B1/en not_active Not-in-force
- 2007-10-25 CN CN200780035086XA patent/CN101518023B/zh not_active Expired - Fee Related
- 2007-10-25 WO PCT/US2007/082491 patent/WO2008070330A2/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006001647A1 (en) * | 2004-06-24 | 2006-01-05 | Exers Technologies. Inc. | Network integrated management system |
| EP1628458A1 (de) * | 2004-08-19 | 2006-02-22 | Siemens Aktiengesellschaft | Verfahren zur Vermittlung von IP-Paketen zwischen Kundennetzen und IP-Provider-Netzen über ein Zugangsnetz |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101518023A (zh) | 2009-08-26 |
| WO2008070330A2 (en) | 2008-06-12 |
| WO2008070330A3 (en) | 2009-01-15 |
| US8104072B2 (en) | 2012-01-24 |
| EP2090063B1 (en) | 2019-10-09 |
| EP2090063A2 (en) | 2009-08-19 |
| US20080101240A1 (en) | 2008-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101518023B (zh) | 用于对同一端口的语音和数字设备进行认证的设备和方法 | |
| CN100563248C (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| CN1655504B (zh) | 基于端口的对等访问控制方法 | |
| CN101964800B (zh) | 一种在ssl vpn中对数字证书用户认证的方法 | |
| CN101554016B (zh) | 在菊链连接设备中支持802.1x的装置和方法 | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| JP2005516544A (ja) | 制御されたマルチキャストのシステム及び実行方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| RU99125838A (ru) | Устройство и способ индивидуализации чип-карт | |
| US20040168049A1 (en) | Method for encrypting data of an access virtual private network (VPN) | |
| CN101087236B (zh) | Vpn接入方法和设备 | |
| CN107872445A (zh) | 接入认证方法、设备和认证系统 | |
| CN112784310A (zh) | 证书的管理方法、证书授权中心、管理节点及车联网终端 | |
| CN102333099B (zh) | 一种安全控制方法和设备 | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| CN101166093A (zh) | 一种认证方法和系统 | |
| WO2012163159A1 (zh) | 实现企业网aaa服务器与公网aaa服务器合一的方法及装置 | |
| CN200941622Y (zh) | 一种网络认证授权系统及使用的交换机 | |
| CN103401751B (zh) | 因特网安全协议隧道建立方法和装置 | |
| CN112671708A (zh) | 认证方法及系统、portal服务器、安全策略服务器 | |
| CN102316119B (zh) | 一种安全控制方法和设备 | |
| CN111404794B (zh) | 一种基于虚拟化的can总线网络共享的系统及方法 | |
| CN112350982B (zh) | 一种资源鉴权方法和装置 | |
| JP2004524601A (ja) | データネットワークに基づくシステム | |
| CN102088453A (zh) | 一种控制主机接入的方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130306 Termination date: 20211025 |