CN101599834B - 一种认证部署方法和一种管理设备 - Google Patents
一种认证部署方法和一种管理设备 Download PDFInfo
- Publication number
- CN101599834B CN101599834B CN2009100889876A CN200910088987A CN101599834B CN 101599834 B CN101599834 B CN 101599834B CN 2009100889876 A CN2009100889876 A CN 2009100889876A CN 200910088987 A CN200910088987 A CN 200910088987A CN 101599834 B CN101599834 B CN 101599834B
- Authority
- CN
- China
- Prior art keywords
- equipment
- authentication
- message
- mandatory member
- radius
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种认证部署方法,包括:管理设备上嵌入RADIUS认证业务模块;所述RADIUS认证业务模块通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作。本发明还公开了一种管理设备。本发明的技术方案,大大减少了802.1x认证的前期部署的工作量。
Description
技术领域
本发明涉及网络通信技术领域,尤指一种认证部署方法和一种管理设备。
背景技术
在数据通信网络中,对于接入用户的身份识别、网络准入和管理通常采用802.1x协议实现。802.1x协议在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制,连接在端口上的用户设备如果能够通过认证,就可以访问局域网中的资源,如果不能通过认证,则无法访问局域网中的资源。
图1是现有技术中的802.1x认证的流程图。如图1所示,包括以下步骤:
步骤101,当用户有访问网络的需求时打开客户端设备上的802.1x客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求,此时,客户端设备向接入设备发送请求认证的EAPOL-Start报文。
步骤102,接入设备收到EAPOL-Start报文后,向客户端设备发送EAP-Request/Identity报文,要求客户端设备发送用户输入的用户名。
步骤103,客户端设备将用户名信息通过EAP-Response/Identity报文发送给接入设备,接入设备将该报文的内容封装成RADIUS Access-Request报文发送给RADIUS认证服务器。这里RADIUS为远程用户拨号认证服务(Remote Authentication Dial In User Service)的缩写。
步骤104,RADIUS认证服务器收到用户名信息后,与数据库中的用户名表对比,找到该用户名对应的密码信息,用随机生成的加密字对密码信息进行加密处理,同时将加密字通过RADIUS Access-Challenge报文发送给接入设备,由接入设备封装成EAP-Request/MD5Challenge报文转发和客户端设备。
步骤105,客户端设备收到加密字后,用该加密字对密码进行加密处理,将加密处理结果通过EAP-Response/MD5 Challenge报文发送给接入设备,由接入设备封装成RADIUS Access-Request报文发送给RADIUS认证服务器。
步骤106,RADIUS认证服务器将收到加密处理结果与本地的在步骤104中得到的加密处理结果进行比较,如果相同,则认为用户为合法用户,向接入设备返回表示认证通过的RADIUS Access-Accept报文,由接入设备封装成EAP-Success报文发送给客户端设备。
步骤107,接入设备收到认证通过消息后将客户端设备接入的端口改为授权状态,允许用户通过该端口访问网络。在此期间,接入设备通常定期向客户端设备发送握手报文的方式,对用户的在线情况进行检测。在缺省情况下,连续两次握手报文没有得到客户端设备的应答,则接入设备会让用户下线,防止用户因异常情况下线时接入设备无法感知。
步骤108,客户端设备也可以发送EAPOL-Logoff报文给接入设备,主动要求下线。接入设备把端口状态从授权状态改为未授权状态,并向客户端设备发送EAP-Failure报文
为了安全起见,上述流程中的一些交互报文需要进行加密,加密所用的密码称为报文交互密码。
为了实现上述802.1x认证,需要在接入设备和RADIUS服务器上进行大量的前期部署工作,包括:
1、在RADIUS服务器上启动802.1x认证;
2、在RADIUS服务器上配置报文交互密码;
3、在接入设备上配置RADIUS服务器地址;
4、在接入设备上配置报文交互密码;
5、在接入设备端口和全局启动802.1x认证。
在现有技术中,上述部署过程采用手工输入命令行的方式进行配置,一台设备一般需要大约20条左右的配置命令,且配置错误的情况极高,并且需要到物理位置不同的RADIUS服务器和多个接入设备上分别进行配置,工作量非常大。
为了解决上述802.1x认证的前期部署工作量大的问题,本申请的发明人想到了利用的现有的嵌入式网络管理平台来解决问题,为此,以下对嵌入式网络管理技术进行简要说明。
嵌入式网络管理是一种基于集群协议的嵌入式网络设备拓扑管理方法,将基于集群协议收集到网络设备信息和网络设备之间的连接关系以图形的方式显示出来。与传统的网络管理软件不同,嵌入式网络管理是网络设备直接内嵌了网络拓扑信息和图形信息,无须专用服务器或者安装任何外部软件即可实现网络管理。
图2是现有技术中的嵌入式网络管理系统界面的示意图。如图2所示,不同网络设备(交换机或路由器)被定义为管理设备或成员设备,其中管理设备内嵌了WEB服务组件,所有的拓扑收集以及显示工作都由管理设备完成,该图2即为由管理设备称为的拓扑图;成员设备负责上报自己的设备信息以及邻居连接情况。管理设备与成员设备之间通过集群协议进行通信,通信方式包括:管理设备向成员设备发送查询信息,成员设备将相应的信息上报为管理设备;管理设备向成员设备发送命令,成员设备根据命令执行相应的操作;管理设备向成员设备发送配置参数等。
集群协议实际上是一个协议族,由集群(Cluster)协议、邻居发现协议(NDP,Neighbor Discovery Protocol)和邻居拓扑发现协议(NTDP,NeighborTopology Discovery Protocol)组成,主要用户网络拓扑自动发现,同时还具有基本命令传递功能。其中,Cluster协议用于建立集群和维护集群,而NDP和NTDP运行于集群中的每个网络设备(包括管理设备和成员设备)中;网络设备通过NDP收集自己的邻居信息,包括邻居设备的软件版本、主机名、MAC地址和端口名称等信息;网络设备通过NTDP收集指定跳数范围内的设备信息以及各个设备的连接信息。各个成员设备通过NDP和NTDP收集邻居信息和邻居拓扑信息并上报给管理设备,因此管理可以了解整网的拓扑信息,生成网络拓扑图。集群通过上述三个协议来对集群内部的设备进行配置和管理。
图3是现有的集群协议报文的格式示意图。参见图3,集群协议报文中的各个字段的含义如下:
目的MAC地址(DA_MAC):占用6字节,缺省为IEEE保留的组播MAC地址01-80-C2-00-00-0A;
源MAC地址(SA_MAC):占用6字节;
协议类型(Protocol Type):占用2字节,必须为0×88A7;
报文类型(Packet Type):占用4字节,其值定义如下:
0×00010000:Cluster报文;
0×00020000:成员远程控制(MRC)报文,在管理设备控制成员设备时使用;
0×00030000:NDP报文;
0×00040000:NTDP报文;
净载荷(Payload):报文类型不同,报文净载荷也不同;
校验字(FCS):占用4字节,以太网二层帧的校验字。
可以看出,三种协议的报文以及MRC报文通过报文类型字段进行区分。下面介绍当图3所示的集群协议报文为MRC报文时(即报文类型字段为0×00020000时),其净载荷(Payload)字段的构成,如图4所示。
图4是现有的MRC报文的净载荷部分的构成示意图。参见图4,MRC报文中的净载荷部分的各个组成字段的含义如下:
成员MAC地址(Member MAC):占用6字节,是被控制的成员设备的MAC地址,接收到报文的设备通过检测Member MAC域是否与自身的MAC地址相同,来确定是否由本机处理;
TLL:占用1字节,是报文在网络中传播的拓扑跳数;
管理设备MAC地址(Cmder MAC):占用6字节,是集群中的管理设备的MAC地址;
类型(Type):占用1字节,是报文类型。
长度(Length):占用4字节,命令参数的有效长度;
命令参数(Parameter):长度由Length确定,最大长度为100字节;
最大跳数(Max Hop):占用4字节,报文在网络中传播的最大拓扑跳数;
保留时间(Survive Time):占用4字节,更改管理集群管理VLAN的信息保留时间;
扩展长度(Extend Length):占用4字节,扩展MRC报文部分的长度。
发明内容
本发明提供了一种认证部署方法,该方法大大减少了802.1x认证的前期部署的工作量。
本发明还提供了一种管理设备,该设备大大减少了802.1x认证的前期部署的工作量。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明公开了一种认证部署方法,该方法适用于应用基于集群协议的嵌入式网络管理技术的网络,该网络包括管理设备和多个成员设备,管理设备上嵌入了RADIUS认证业务模块,该方法包括:
所述RADIUS认证业务模块通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作。
本发明公开了一种管理设备,该管理设备包括:RADIUS认证业务模块,用于通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作。
由上述技术方案可见,本发明这种在管理设备上部署RADIUS认证业务模块,该RADIUS认证业务模块通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作的技术方案,由于可以在管理设备上由RADIUS认证业务模块统一完成管理设备以及成员设备(接入设备)上802.1x的认证部署工作,而不需要到物理位置不同的管理设备和成员设备上分别手工完成部署工作,因此大大减少了802.1x认证的前期部署的工作量。
附图说明
图1是现有技术中的802.1x认证的流程图;
图2是现有技术中的嵌入式网络管理系统界面的示意图;
图3是现有的集群协议报文的格式示意图;
图4是现有的MRC报文的净载荷部分的构成示意图;
图5是本发明实施例中的认证部署方法的图形示意图;
图6是本发明实施例中的表示下发/响应命令的MRC报文的格式示意图;
图7是本发明实施例中的“接入管理”标签的界面示意图;
图8是本发明实施例一种管理设备的组成结构框图。
具体实施方式
本发明的核心思想是:在管理设备上嵌入实现RADIUS认证服务器功能的RADIUS认证业务模块,该RADIUS认证业务模块利用基于集群协议的嵌入式网络管理系统的平台,通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作。
图5是本发明实施例中的认证部署方法的图形示意图。如图5所示,实现RADIUS认证服务器功能的RADIUS认证业务模块被部署在管理设备中。这样,在图5所示的网络拓扑中,管理设备承担RADIUS认证服务器的角色,则处于边缘(拓扑中的叶子节点)的成员设备则为接入设备,例如成员设备C、D和E均可作为接入设备。
在图5中,RADIUS认证业务模块由于完成RADIUS认证服务器的功能,因此能够处理其他成员设备发送过来的RADIUS认证请求。此外,RADIUS认证业务模块预先通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作。这里,RADIUS认证业务模块通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成802.1x认证部署主要包括:传递认证参数以及下发命令。其中,传递认证参数主要包括:下发RADIUS认证IP地址,协商交互报文密码、认证密钥、认证报文重传次数与时间间隔等;下发命令主要包括:启动/关闭指定成员设备802.1x全局认证,启动/关闭指定成员设备指定端口的802.1x认证,以及启动/关闭指定成员设备802.1x握手。
为了实现上述的传递认证参数以及下发命令,在本发明中对现有的集群协议报文进行了扩展,具体介绍如下:
(1)对MRC报文进行扩展实现认证参数的传递
在图4中给出了现有的MRC报文的净载荷部分的组成结构,其中现有的“类型(Type)”字段的具体定义如下:
序号 类型说明
0×00 重启设备
0×01 重启设备并清除配置
0×02 设置端口为tagged方式
0×03 设置端口为untagged方式
0×04 修改BPDU报文的目的MAC地址
0×05 通告更改成员的集群管理VLAN
0×06 待更改的管理VLAN与成员上其他VLAN冲突回复报文
0×07 更改成员的集群管理VLAN失败回复报文
0×08 TELENT登录失败报文
0×23 保留未定义。
在本发明中正是利用该保留的0×23类型,将其定义为“认证参数交互”,即类型为0×23的MRC报文是传递认证参数的报文。其中,在图4所示的结构中的命令参数(Parameter)字段中的传递认证参数,而长度(Length)字段保留其含义不变。在命令参数(Parameter)字段中的传递认证参数时也可以采用“类型(Type)-长度(Length)-值(Value)”的形式。在本发明的一个实施例中,可能需要传递的参数内容如表1所示:
类型 | 长度 | 值(内容) |
0 | 0 | 保留 |
1 | 4 | 设置主认证RADIUS服务器的IP地址 |
2 | 1 | 设置主认证RADIUS服务器认证端口 |
3 | 4 | 设置从认证RADIUS服务器的IP地址 |
4 | 1 | 设置从认证RADIUS服务器认证端口 |
5 | 4 | 设置主计费RADIUS服务器的IP地址 |
6 | 1 | 设置主计费RADIUS服务器的计费端口 |
7 | 4 | 设置从计费RADIUS服务器的IP地址 |
8 | 1 | 设置从计费RADIUS服务器的计费端口 |
9 | 2 | 设置系统向RADIUS服务器重发报文的时间间隔 |
10 | 1 | 设置系统向RADIUS服务器重发报文的次数 |
11 | 4 | 设置系统认证预共享密钥 |
12 | 4 | 设置系统计费预共享密钥 |
13 | 1 | 设置端口认证模式 |
14~255 | 0 | 保留 |
表1
在表1中,关于认证/计费RADIUS服务器的主从之分是现有技术中的概念,本实施例中,只是将现有的可能需要传递的认证参数罗列在表1中。
(2)对MRC报文进行扩展实现命令的下发
现有MRC报文中提供了通用的命令执行和命令相应报文,参见图4,现有协议中规定:类型(Type)字段为0×30的MRC报文是通用命令下发执行报文;类型字段为0×31的MRC报文为通用命令执行响应报文。
图6是本发明实施例中的表示下发/响应命令的MRC报文的格式示意图。参见图6,在本发明实施例中:当MRC报文的类型字段设置为0×30,命令参数字段设置为“Dot1x”时,该MRC报文是下发“启动/关闭指定成员设备802.1x全局认证”命令的报文;当MRC报文的类型字段设置为0×30,命令参数字段设置为“Dot1x interface Ethernet x/x”时,该MRC是下发“启动/关闭指定成员设备指定端口的802.1x认证”命令的报文;当MRC报文的类型字段设置为0×30,命令参数字段设置为“Dot1x handshake”时,该MRC是下发“启动/关闭指定成员设备802.1x握手”命令的报文;当MRC报文的类型字段设置为0×31,命令参数字段设置为“OK”或“NOK”时,该MRC报文是表示“命令执行成功”或“命令执行失败”的响应报文。
以下参照图5,并以用户认证接入设备为成员设备E为例对本发明的方案进行说明,主要包括:
1、RADIUS认证业务模块在被使能后收集管理设备自身的不同IP地址配置情况,形成如表2所示的认证IP信息表,并接收各个成员设备通过集群协议上报的各个成员设备的IP地址;这里RADIUS认证业务模块被使能具体是管理员在管理设备上启动了802.1x认证。
VLAN | 端口 | IP地址 |
VLAN1 | 端口1 | IP1 |
...... | ...... | ...... |
表2
2、RADIUS认证业务模块确定需要进行802.1x认证的成员设备E以及成员设备E上的认证端口时,搜索网络拓扑信息,查找到成员设备E上的认证端口从本管理设备的哪个端口接入,这里假设为从管理设备的端口1接入,然后从如表1所示的认证IP信息表中查找出与该端口1对应的IP地址IP1,则该IP1即为成员设备E进行802.1x认证时的RADIUS认证IP地址,即对于成员设备E来说,IP1就是RADIUS认证服务器的IP地址。这里,RADIUS认证业务模块确认需要进行802.1x认证的成员设备E以及成员设备E上的认证端口,具体是管理员在管理设备的网络管理系统界面上启动了成员设备E以及其上的认证端口的802.1x认证。
3、RADIUS认证业务模块通过向成员设备E发送如图6所示的类型为0×30的MRC报文,命令成员设备E启动802.1x全局认证以及在成员设备E的指定认证端口上启动802.1x认证,该命令可以分两次发送。此时,成员设备E根据命令在自身的全局启动802.1x认证,并在自身的指定认证端口上启动802.1x认证。
4、RADIUS认证业务模块通过类型为0×23的MRC报文将自身的RADIUS认证IP地址IP1下发给成员设备E。
5、RADIUS认证业务模块与成员设备E通过类型为0×23的MRC报文协商交互报文密码、认证密钥、认证报文重传次数与时间间隔,完成各自的配置工作。
6、前期的认证配置工作完成,可以进行802.1x认证。
在上述配置过程中,RADIUS认证业务模块是在接收到用户通过网络管理系统界面传递的指令后,通过集群协议与作为用户认证接入设备的指定成员设备进行通信,根据所述用户指令完成管理设备以及所述指定成员设备上的802.1x认证部署工作的。因此,对于用户来说,只需要在管理设备上通过嵌入式网络管理系统界面传递指令给RADIUS认证业务模块即可。
下面给出本发明实施例中的用户(如网络管理员)通过在管理设备的嵌入式网络管理系统界面传递指令给RADIUS认证业务模块,从而实现802.1x认证部署的流程,包括以下步骤:
步骤1,用户使用任意PC终端,输入地址即可登录到管理设备上,管路设备向用户呈现类似于图1所示的网络拓扑图。
步骤2,用户切换到如图7所示的“接入管理”标签,点击页面上的“启动认证中心”按钮,此时管理设备上的RADIUS认证业务模块被使能,RADIUS认证业务模根据集群协议收集到的网络拓扑查找边缘设备,记录这些边缘设备上报的IP地址,并收集管理设备自身的IP地址信息,生成如表1所示的认证IP信息表。图7是本发明实施例中的“接入管理”标签的界面示意图。
步骤3,用户在如图7所示的网络拓扑上点击某个边缘设备,如成员设备E,在成员设备E的设备面板上选择启动某个指定端口的802.1x认证,则RADIUS认证业务模块就会查找认证IP信息表获得相应的RADIUS认证IP地址,通过集群协议向成员设备E下发该RADIUS认证IP地址,向成员设备E下发在指定端口上启动802.1x认证以及全局启动802.1x认证的控制命令。
步骤4,成员设备E将所接收到RADIUS认证IP地址配置为RADIUS认证服务器的IP地址。
步骤5,成员设备E启动协商过程,通过集群协议与管理设备上的RADIUS认证业务模块协商交互报文密码、认证密钥、认证报文重传次数与时间间隔,并完整各自的配置工作。
步骤6,协商完成后,成员设备E在自身的指定端口上启动802.1x认证,以及在自身的全局启动802.1x认证。
通过上述实施例可以看出,在根据本发明的技术方案实现802.1x前期部署时,用于只需要在管理设备上输入命令(点击相应的按钮)即可。
基于上述实施例给出本发明中的一种管理设备的组成结构框图。
图8是本发明实施例一种管理设备的组成结构框图。如图8所示,该管理设备包括:RADIUS认证业务模块801,用于通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作。
如图8所示,RADIUS认证业务模块801包括:部署子模块802和集群通信子模块803,其中:
集群通信子模块803,用于采用集群协议与指定成员设备进行通信;
部署子模块802,用于在被使能后通过集群通信子模块803接收指定成员设备上报的该指定成员设备的IP地址;用于通过集群通信子模块803将RADIUS认证IP地址下发给所述指定成员设备;用于通过集群通信子模块803与所述指定成员设备协商交互报文密码、认证密钥、认证报文重传次数与时间间隔;用于通过集群通信子模块803向指定成员设备下发控制命令,使得指定成员设备根据控制命令在自身的指定认证端口上启动802.1x认证。
在图8中,部署子模块802,进一步用于在被使能后收集管理设备自身的不同端口上的不同IP地址信息,生成认证IP信息表;在确定作为用户认证接入设备的指定成员设备以及该指定成员设备上的指定认证端口时,根据网络拓扑信息查找出该指定认证端口在管理设备上的接入端口,并根据该接入端口查找认证IP信息表获得RADIUS认证IP地址。
在图8中,集群通信子模块803,用于通过类型字段为0×23的成员远程控制MRC报文将RADIUS认证IP地址下发给所述指定成员设备,其中,RADIUS认证IP地址携带在MRC报文的命令参数字段中;用于通过类型字段为0×23的MRC报文向指定成员设备传递所协商的交互报文密码、认证密钥、认证报文重传次数与时间间隔,其中,所协商的交互报文密码、认证密钥、认证报文重传次数与时间间隔携带在MRC报文的命令参数字段中;用于通过类型字段为0×30的MRC报文向所述指定成员设备下发控制命令,其中,控制命令信息携带在MRC报文的命令参数字段中。
在图8中,RADIUS认证业务模块801,用于在接收到用户通过网络管理系统界面传递的指令后,通过集群协议与作为用户认证接入设备的指定成员设备进行通信,根据所述用户指令完成管理设备以及所述指定成员设备上的802.1x认证部署工作。
综上所述,本发明这种在管理设备上部署RADIUS认证业务模块,该RADIUS认证业务模块通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作的技术方案,由于可以在管理设备上由RADIUS认证业务模块统一完成管理设备以及成员设备(接入设备)上802.1x的认证部署工作,而不需要到物理位置不同的管理设备和成员设备上分别手工完成部署工作,因此大大减少了802.1x认证的前期部署的工作量。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种认证部署方法,该方法适用于应用基于集群协议的嵌入式网络管理技术的网络,该网络包括管理设备和多个成员设备,其特征在于,管理设备上嵌入了远程用户拨号认证服务RADIUS认证业务模块,该方法包括:
所述RADIUS认证业务模块通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作;
其中,所述RADIUS认证业务模块通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作包括:
RADIUS认证业务模块在被使能后接收指定成员设备通过集群协议上报的该指定成员设备的IP地址;
RADIUS认证业务模块通过集群协议将自身的RADIUS认证IP地址下发给所述指定成员设备;
RADIUS认证业务模块通过集群协议与所述指定成员设备协商交互报文密码、认证密钥、认证报文重传次数与时间间隔;
RADIUS认证业务模块通过集群协议向指定成员设备下发控制命令,使得指定成员设备根据控制命令在自身的指定认证端口上启动802.1x认证;
RADIUS认证业务模块在被使能后收集管理设备自身的不同端口上的不同IP地址信息,生成认证IP信息表;
RADIUS认证业务模块在确定作为用户认证接入设备的指定成员设备以及该指定成员设备上的指定认证端口时,根据网络拓扑信息查找出该指定认证端口在管理设备上的接入端口,并根据该接入端口查找认证IP信息表获得RADIUS认证IP地址。
2.如权利要求1所述的方法,其特征在于,
所述RADIUS认证业务模块通过集群协议将自身的RADIUS认证IP地址下发给所述指定成员设备包括:RADIUS认证业务模块通过类型字段为0x23的成员远程控制MRC报文将RADIUS认证IP地址下发给所述指定成员设备;其中RADIUS认证IP地址携带在MRC报文的命令参数字段中;
所述RADIUS认证业务模块通过集群协议与所述指定成员设备协商交互报文密码、认证密钥、认证报文重传次数与时间间隔包括:RADIUS认证业务模块与所述指定成员设备通过类型字段为0x23的MRC报文传递所协商的交互报文密码、认证密钥、认证报文重传次数与时间间隔;其中,所协商的交互报文密码、认证密钥、认证报文重传次数与时间间隔携带在MRC报文的命令参数字段中;
所述RADIUS认证业务模块通过集群协议向指定成员设备下发控制命令包括:RADIUS认证业务模块通过类型字段为0x30的MRC报文向所述指定成员设备下发控制命令;其中控制命令信息携带在MRC报文的命令参数字段中。
3.如权利要求1所述的方法,其特征在于,所述RADIUS认证业务模块是在接收到用户通过网络管理系统界面传递的指令后,通过集群协议与作为用户认证接入设备的指定成员设备进行通信,根据所述用户指令完成管理设备以及所述指定成员设备上的802.1x认证部署工作的。
4.一种管理设备,其特征在于,该管理设备包括:RADIUS认证业务模块,用于通过集群协议与作为用户认证接入设备的指定成员设备进行通信,完成管理设备以及所述指定成员设备上的802.1x认证部署工作;
所述RADIUS认证业务模块包括:部署子模块和集群通信子模块,其中,
集群通信子模块,用于采用集群协议与指定成员设备进行通信;
部署子模块,用于在被使能后通过集群通信子模块接收指定成员设备上报的该指定成员设备的IP地址;用于通过集群通信子模块将RADIUS认证IP地址下发给所述指定成员设备;用于通过集群通信子模块与所述指定成员设备协商交互报文密码、认证密钥、认证报文重传次数与时间间隔;用于通过集群通信子模块向指定成员设备下发控制命令,使得指定成员设备根据控制命令在自身的指定认证端口上启动802.1x认证;在被使能后收集管理设备自身的不同端口上的不同IP地址信息,生成认证IP信息表;在确定作为用户认证接入设备的指定成员设备以及该指定成员设备上的指定认证端口时,根据网络拓扑信息查找出该指定认证端口在管理设备上的接入端口,并根据该接入端口查找认证IP信息表获得RADIUS认证IP地址。
5.如权利要求4所述的管理设备,其特征在于,
所述集群通信子模块,用于通过类型字段为0x23的成员远程控制MRC报文将RADIUS认证IP地址下发给所述指定成员设备,其中,RADIUS认证IP地址携带在MRC报文的命令参数字段中;用于通过类型字段为0x23的MRC报文向指定成员设备传递所协商的交互报文密码、认证密钥、认证报文重传次数与时间间隔,其中,所协商的交互报文密码、认证密钥、认证报文重传次数与时间间隔携带在MRC报文的命令参数字段中;用于通过类型字段为0x30的MRC报文向所述指定成员设备下发控制命令,其中,控制命令信息携带在MRC报文的命令参数字段中。
6.如权利要求5所述的管理设备,其特征在于,
所述RADIUS认证业务模块,用于在接收到用户通过网络管理系统界面传递的指令后,通过集群协议与作为用户认证接入设备的指定成员设备进行通信,根据所述用户指令完成管理设备以及所述指定成员设备上的802.1x认证部署工作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100889876A CN101599834B (zh) | 2009-07-15 | 2009-07-15 | 一种认证部署方法和一种管理设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100889876A CN101599834B (zh) | 2009-07-15 | 2009-07-15 | 一种认证部署方法和一种管理设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101599834A CN101599834A (zh) | 2009-12-09 |
CN101599834B true CN101599834B (zh) | 2011-06-01 |
Family
ID=41421101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100889876A Active CN101599834B (zh) | 2009-07-15 | 2009-07-15 | 一种认证部署方法和一种管理设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101599834B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111289B (zh) * | 2009-12-23 | 2013-06-26 | 杭州华三通信技术有限公司 | 一种认证部署方法和设备 |
CN102137401B (zh) | 2010-12-09 | 2018-07-20 | 华为技术有限公司 | 无线局域网集中式802.1x认证方法及装置和系统 |
CN102594822B (zh) * | 2012-02-20 | 2014-12-10 | 南京邮电大学 | 一种基于安全套接层的安全的网络电话的实现方法 |
CN103281206A (zh) * | 2013-05-29 | 2013-09-04 | 新浪网技术(中国)有限公司 | 一种连接关系的确定系统、方法及装置 |
CN104518927A (zh) * | 2014-12-15 | 2015-04-15 | 清华大学 | 数据中心网络中错误连线的检测方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101022360A (zh) * | 2007-03-16 | 2007-08-22 | 北京工业大学 | 一种基于ieee 802.1x协议的局域网安全管理方法 |
CN101388796A (zh) * | 2008-10-29 | 2009-03-18 | 北京星网锐捷网络技术有限公司 | 信息发送处理方法、通信设备与通信系统 |
-
2009
- 2009-07-15 CN CN2009100889876A patent/CN101599834B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101022360A (zh) * | 2007-03-16 | 2007-08-22 | 北京工业大学 | 一种基于ieee 802.1x协议的局域网安全管理方法 |
CN101388796A (zh) * | 2008-10-29 | 2009-03-18 | 北京星网锐捷网络技术有限公司 | 信息发送处理方法、通信设备与通信系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101599834A (zh) | 2009-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7342906B1 (en) | Distributed wireless network security system | |
CN102137395B (zh) | 配置接入设备的方法、装置及系统 | |
CN101102188B (zh) | 一种移动接入虚拟局域网的方法与系统 | |
US9191378B2 (en) | Communication apparatus and communication method | |
CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
CN100437550C (zh) | 一种以太网认证接入的方法 | |
US20140075505A1 (en) | System and method for routing selected network traffic to a remote network security device in a network environment | |
CN101288063B (zh) | 无线设备发现和配置 | |
CN1319337C (zh) | 基于以太网认证系统的认证方法 | |
CN101695022B (zh) | 一种服务质量管理方法及装置 | |
CN101087236B (zh) | Vpn接入方法和设备 | |
CN101478485B (zh) | 局域网访问控制的方法以及网关设备 | |
CN101599834B (zh) | 一种认证部署方法和一种管理设备 | |
CN103179100A (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
CN102665216A (zh) | 一种可扩展的分布式wlan网络用户认证方法 | |
CN102035703A (zh) | 一种家庭无线网络及其实现方法 | |
CN104604295B (zh) | 用于在无线通信系统中由服务器管理终端对资源的访问权限的方法及其设备 | |
CN102111289B (zh) | 一种认证部署方法和设备 | |
KR101795598B1 (ko) | 네트워크 설정 방법, 그에 따른 서버 장치, 및 그에 따른 네트워크 시스템 | |
CN102075504B (zh) | 一种实现二层门户认证的方法、系统及门户服务器 | |
WO2012041029A1 (zh) | 一种服务器处理业务的方法及装置 | |
CN101977147B (zh) | 基于报文转发的nat路由器接入802.1x认证网络新方法 | |
CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
KR20120044381A (ko) | 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치 | |
CN1223155C (zh) | 一种基于集群管理的802.1x通信实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |