CN101860551B - 一种单接入端口下多用户的认证方法与系统 - Google Patents
一种单接入端口下多用户的认证方法与系统 Download PDFInfo
- Publication number
- CN101860551B CN101860551B CN201010209646.2A CN201010209646A CN101860551B CN 101860551 B CN101860551 B CN 101860551B CN 201010209646 A CN201010209646 A CN 201010209646A CN 101860551 B CN101860551 B CN 101860551B
- Authority
- CN
- China
- Prior art keywords
- vlan
- message
- authentication
- mac
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种单接入端口下多用户的认证方法及系统,基于MAC地址并根据认证状态而划分VLAN,即针对每一个源MAC地址所对应的用户,可根据其不同的认证状态而使其处于不同的VLAN中,该用户没有认证通过时,包括没有进行认证、认证失败、或认证成功后又下线,该MAC地址发出的数据流量被划分入未认证VLAN,其可以与未认证VLAN中的其它设备通信;如果通过认证,该MAC地址发出的数据流量被划分入认证后VLAN,其可以与认证后VLAN中的其它设备通信,实现了一个接入端口下接多个用户时实现Auto VLAN及Guest VLAN功能,能很好的满足一些特定的实际应用需求。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种在接入层交换机单端口下支持多用户的认证实现方法及系统。
背景技术
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE 802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANSwitch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.1x就是IEEELAN/WAN委员会为了解决基于端口的网络接入控制(Port-Based NetworkAccess Control)而定义的一个标准,该标准目前已经在无线局域网和以太网中被广泛应用。
“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
在实际应用中802.1x下又衍生出了Auto Vlan与Guest Vlan。
Auto VLAN特性可以使RADIUS服务器根据用户信息和用户接入设备信息来动态改变接入端口所属的VLAN。当802.1x用户在服务器上通过认证时,RADIUS服务器会把授权信息传送给设备端。当交换机接收到下发的AutoVLAN信息后,当前Access端口离开用户配置的VLAN并加入Auto VLAN中。
Auto VLAN并不改变端口的配置,也不影响端口的配置。但是,Auto VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是Auto VLAN,用户配置的VLAN在用户下线后生效。
Guest VLAN特性用来允许未认证用户访问某些特定资源。
用户认证端口在通过802.1x认证之前属于一个缺省VLAN(即GuestVLAN),用户访问该VLAN内的资源不需要认证,但此时不能够访问其他网络资源;认证成功后,端口离开Guest VLAN,用户可以访问其他的网络资源。
用户在Guest VLAN中可以获取802.1x客户端软件,升级客户端,或执行其他一些应用升级程序(例如防病毒软件、操作系统补丁程序等)。如果因为没有专用的认证客户端或者客户端版本过低等原因,导致在一定的时间内端口上无客户端认证成功,接入设备会把该端口加入到Guest VLAN。
开启802.1x特性并正确配置Guest VLAN后,当设备从某一端口发送触发认证报文(EAP-Request/Identity)超过设定的最大次数而没有收到客户端的任何回应报文时,与Auto VLAN类似,该端口将被加入到Guest VLAN内。此时Guest VLAN中端口下的用户发起认证,如果认证失败,该端口将会仍然处在Guest VLAN内;如果认证成功,分为以下两种情况:
1.认证服务器下发一个Auto VLAN,这时端口离开Guest VLAN,加入下发的Auto VLAN中。用户下线后,端口会被重新划分到所配置的GuestVlan内。
2.认证服务器不下发VLAN,这时端口离开Guest VLAN,加入配置的VLAN中。用户下线后,端口会被重新划分到所配置的Guest VLAN内。
Auto VLAN与Guest VLAN技术实质上都是使用户在认证前后处于不同的VLAN中,以达到安全以及允许未认证用户访问某些特定资源的目的。但是,目前市场上交换机推出的基于802.1x的Auto VLAN与Guest VLAN的认证方式都是基于端口的,在该种认证方式下,如果该端口被认证通过,则该端口下的所有数据均会被划分到认证后VLAN中,如果该端口没有认证通过,则该端口下的所有数据均会被划分到端口所在VLAN(未认证VLAN)中。但是,如果一个接入端口下接多个用户,则不能分别对每个用户实现划分未认证VLAN与认证后VLAN,从而不能实现Auto VLAN及Guest VLAN功能,不能很好的满足一些特定的实际应用需求。
发明内容
本发明是针对现有技术中存在的上述问题而做出的,其目的是提供一种基于MAC地址的802.1x认证的动态VLAN功能。该方法可以对同一端口下接的多个用户分别根据认证状态划分到未认证VLAN与认证后VLAN。
本发明通过以下方案实现上述目的:
一种单接入端口下多用户的认证方法,包括以下步骤:
从用户设备接收报文,进行缓存,根据端口的VLAN属性设置确定报文的VLAN ID;
根据报文的源MAC地址对已有表项进行查找,如果查找到对应的表项,则根据该表项所指定的VLAN修改报文的VLAN ID为认证后VLAN,反之,不进行操作;
根据报文的特征,判断该报文是否为协议报文,如果该报文为协议报文,送到CPU进行处理或触发认证,否则把该报文在指定VLAN内进行转发处理。
CPU进行处理或触发认证时,如果被认证通过,则MAC地址对应的所有数据均会被划分到认证后VLAN中,如果没有认证通过,则MAC地址对应的所有数据均会被划分到端口所在的未认证VLAN中。
根据触发认证方式的不同,所述报文包括EAPOL报文或者触发自动认证的报文,当用户自己安装802.1x客户端并进行认证时,协议报文为EAPOL报文,当用户不安装802.1x客户端,而发出第一个报文时,可将该报文当做协议报文,收到该报文后,由CPU根据报文的源MAC地址自动发起认证。
当发起认证后,CPU与认证服务器交互认证成功后,CPU根据该MAC地址与认证后的VLAN ID,自动添加MAC对应的VLAN表项。
并同时提供一种可实现单接入端口下多用户的认证方法的系统,其特征在于包括:
用户侧接收发送处理模块:从用户设备接收报文,进行缓存,并根据端口的VLAN属性设置确定报文的VLAN ID;并将端口所在VLAN与认证后VLAN中的报文转发给用户设备;
MAC VLAN模块:根据报文的源MAC地址对已有表项进行查找,如果找到,根据该MAC地址对应的VLAN ID设置修改报文的VLAN ID,如果查找不到,则保留报文原有的VLAN;
协议处理模块:对报文进行协议分析;
中央处理器CPU:根据协议分析结果进行触发认证过程或转发动作,认证通过后,向MAC VLAN模块下发该MAC对应的VLAN表项;
网络侧接收发送处理模块:从MAC VLAN模块接收报文,将报文转发给外部认证设备,并将来自外部认证设备的报文转发给MAC VLAN模块。
作为一种实现方式,所述MAC VLAN模块采用支持MAC VLAN特性的芯片,如BCM 5650x。
作为另一种实现方式,,所述MAC VLAN模块采用规则处理模块可以修改VID的芯片,如Marvell 98DX107,通过调整其规则处理模块来实现其功能。
本发明提供了一种基于MAC地址的根据认证状态而划分VLAN的方法及系统,针对每一个源MAC地址所对应的用户,可根据其不同的认证状态而使其处于不同的VLAN中,该用户没有认证通过时,包括没有进行认证、认证失败、或认证成功后又下线,该MAC地址发出的数据流量被划分入未认证VLAN,其可以与未认证VLAN中的其它设备通信;如果通过认证,该MAC地址发出的数据流量被划分入认证后VLAN,其可以与认证后VLAN中的其它设备通信,实现了一个接入端口下接多个用户时实现Auto VLAN及Guest VLAN功能,能很好的满足一些特定的实际应用需求。
附图说明
下面根据实施例和附图对本发明作进一步详细说明。
图1是本发明实施例所述方法的报文处理流程框图;
图2是实现本发明所述方法的系统组成结构图;
具体实施方式
图1、图2给了本发明所述方法的报文处理流程框图及实现本发明所述方法的系统组成结构图。以下结合其系统说明本方法的实现过程:
该认证系统组成包括:用户侧接收发送处理模块202、MAC VLAN模块203、协议处理模块204、中央处理器CPU205、网络侧接收发送处理模块206。
用户侧接收发送处理模块202的功能是:从用户设备201接收报文,进行缓存,并根据端口的VLAN属性设置确定报文的VLAN ID,并将端口所在VLAN与认证后VLAN中的报文转发给用户设备。
MAC VLAN模块203的功能是:根据报文的MAC地址对已有表项进行查找,如果找到,根据该MAC地址对应的VLAN ID设置修改报文的VLAN ID,如果查找不到,则保留报文原有的VLAN。
协议处理模块204的功能是:对报文进行协议分析,根据分析结果进行送中央处理器CPU205或转发动作。该模块的主要作用是触发认证过程。认证通过后,中央处理器CPU205向MAC VLAN模块203下发该MAC对应的VLAN表项。
网络侧接收发送处理模块206的功能是:从MAC VLAN模块203接收报文,将报文转发给外部认证设备,并将来自外部认证设备的报文转发给MACVLAN模块203。
其具体认证过程如下:
首先,在步骤S101,用户侧接收处理模块202接收到来自用户设备的报文并进行缓存;
在步骤S102,它根据端口所在的VLAN属性(未认证VLAN)确定报文的VLAN ID,然后把报文交送给MAC VLAN模块203;
在接收到报文之后,在步骤S103,MAC VLAN模块203根据报文的源MAC地址,查找MAC对应的VLAN表项;
在步骤S104中,如果查找到对应的表项,则在步骤S105中根据该表项所指定的VLAN修改报文的VLAN ID(认证后VLAN),反之,不进行操作;
接下来,报文被送到协议处理模块204,在步骤S106中,协议处理模块204判断该报文是否为协议报文,如果该报文为协议报文,执行步骤S108,被送到中央处理器CPU205进行处理或触发认证,否则执行步骤S107,协议处理模块204把该报文发送至网络侧接收发送处理模块206在指定VLAN内进行转发处理。
另外在上述步骤S108中,根据触发认证方式的不同,协议报文包括了EAPOL报文或者触发自动认证的报文;当用户自己安装802.1x客户端并进行认证时,协议报文为EAPOL报文,当用户不安装802.1x客户端,而发出第一个报文时,可将该报文当做协议报文,收到该报文后,由中央处理器CPU205根据报文的源MAC地址自动发起认证。在上述步骤S108中,当发起认证后,中央处理器CPU205与认证服务器交互认证成功后,CPU根据该MAC地址与认证后的VLAN ID,自动添加MAC对应的VLAN表项。
系统中涉及到的MAC VLAN模块203,在实际实现时可根据交换芯片的特点采用两种方式实现。对于支持MAC VLAN特性的芯片,如BCM 5650x,可以直接使用芯片的MAC VLAN功能实现。对于不支持MAC VLAN特性而其规则处理模块可以修改VID的芯片,如Marvell 98DX107,可以使用其规则处理模块,匹配报文的MAC地址,动作为设置VLAN ID,来实现该功能。
应该注意,虽然以上是参考具体实施方式对本发明进行说明的,但这并不意味是对本发明的限制,本发明的保护范围是由所附权利要求而不是具体实施方式来限定的。
Claims (5)
1.一种接入层交换机单接入端口下多用户的认证方法,其特征在于包括以下步骤:
从用户设备接收报文,进行缓存,根据端口的VLAN属性设置确定报文的VLANID,所述端口的VLAN属性为未认证VLAN;
根据报文的源MAC地址对已有表项进行查找,如果查找到对应的表项,则根据该表项所指定的VLAN修改报文的VLAN ID为认证后VLAN ID,反之,不进行操作;
根据报文的特征,判断该报文是否为协议报文,如果该报文为协议报文,送到CPU进行处理或触发认证,否则把该报文在指定VLAN内进行转发处理;
其中,CPU进行处理或触发认证时,如果被认证通过,则该源MAC地址对应的所有数据均会被划分到认证后VLAN中,如果没有认证通过,则该源MAC地址对应的所有数据均会被划分到端口所在的未认证VLAN中;
CPU与认证服务器交互认证成功后,CPU根据该源MAC地址与认证后的VLANID,自动添加该源MAC地址对应的VLAN表项。
2.根据权利要求1所述的接入层交换机单接入端口下多用户的认证方法,其特征在于:根据触发认证方式的不同,所述报文包括EAPOL报文或者触发自动认证的报文,当用户自己安装802.1x客户端并进行认证时,协议报文为EAPOL报文,当用户不安装802.1x客户端,而发出第一个报文时,可将该报文当做协议报文,收到该报文后,由CPU根据报文的源MAC地址自动发起认证。
3.一种可实现接入层交换机单接入端口下多用户的认证方法的系统,其特征在于包括:
用户侧接收发送处理模块:从用户设备接收报文,进行缓存,并根据端口的VLAN属性设置确定报文的VLAN ID;并将端口所在VLAN与认证后VLAN中的报文转发给用户设备,所述端口的VLAN属性为未认证VLAN;
MAC VLAN模块:根据报文的源MAC地址对已有表项进行查找,如果找到,根据该源MAC地址对应的VLAN ID设置修改报文的VLAN ID为认证后VLAN ID,如果查找不到,则保留报文原有的VLAN;
协议处理模块:对报文进行协议分析;
中央处理器CPU:如果该报文为协议报文,送到CPU进行处理或触发认证,否则把该报文在指定VLAN内进行转发处理,认证通过后,向MAC VLAN模块下发该源MAC地址对应的VLAN表项;CPU进行处理或触发认证时,如果被认证通过,则该源MAC地址对应的所有数据均会被划分到认证后VLAN中,如果没有认证通过,则该源MAC地址对应的所有数据均会被划分到端口所在的未认证VLAN中;CPU与认证服务器交互认证成功后,CPU根据该源MAC地址与认证后的VLANID,自动添加该源MAC地址对应的VLAN表项;
网络侧接收发送处理模块:从MAC VLAN模块接收报文,将报文转发给外部认证设备,并将来自外部认证设备的报文转发给MAC VLAN模块。
4.根据权利要求3所述的可实现接入层交换机单接入端口下多用户的认证方法的系统,其特征在于:所述MAC VLAN模块采用支持MAC VLAN特性的芯片实现。
5.根据权利要求3所述的可实现接入层交换机单接入端口下多用户的认证方法的系统,其特征在于:对于不支持MAC VLAN特性而其规则处理模块可以修改VLAN ID的芯片,使用其规则处理模块,匹配报文的MAC地址,动作为设置VLAN ID,来实现所述MAC VLAN模块的功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010209646.2A CN101860551B (zh) | 2010-06-25 | 2010-06-25 | 一种单接入端口下多用户的认证方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010209646.2A CN101860551B (zh) | 2010-06-25 | 2010-06-25 | 一种单接入端口下多用户的认证方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101860551A CN101860551A (zh) | 2010-10-13 |
| CN101860551B true CN101860551B (zh) | 2014-11-26 |
Family
ID=42946209
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010209646.2A Active CN101860551B (zh) | 2010-06-25 | 2010-06-25 | 一种单接入端口下多用户的认证方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101860551B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
| CN103795708A (zh) * | 2013-12-27 | 2014-05-14 | 北京天融信软件有限公司 | 终端准入方法及系统 |
| DE102015002574B4 (de) * | 2015-02-27 | 2018-06-21 | Audi Ag | Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung |
| CN105610737B (zh) * | 2016-01-25 | 2019-02-15 | 盛科网络(苏州)有限公司 | 基于OpenFlow的hairpin交换机实现方法及hairpin交换机系统 |
| CN106230683B (zh) * | 2016-07-29 | 2019-06-21 | 北京北信源软件股份有限公司 | 一种联动认证动态vlan切换的方法及系统 |
| CN107547336B (zh) * | 2017-05-15 | 2020-11-06 | 新华三技术有限公司 | 一种认证端口加入授权vlan的方法及装置 |
| CN109327462B (zh) * | 2018-11-14 | 2020-10-27 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197785A (zh) * | 2008-01-04 | 2008-06-11 | 杭州华三通信技术有限公司 | 一种mac认证方法和设备 |
| CN101631078A (zh) * | 2009-08-24 | 2010-01-20 | 杭州华三通信技术有限公司 | 一种端点准入防御中的报文控制方法及接入设备 |
| CN101702687A (zh) * | 2009-11-27 | 2010-05-05 | 北京傲天动联技术有限公司 | 利用具有交换机架构的装置作为宽带接入服务器的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1228943C (zh) * | 2001-11-22 | 2005-11-23 | 中兴通讯股份有限公司 | 一种以太网宽带接入系统的用户认证管理方法 |
-
2010
- 2010-06-25 CN CN201010209646.2A patent/CN101860551B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197785A (zh) * | 2008-01-04 | 2008-06-11 | 杭州华三通信技术有限公司 | 一种mac认证方法和设备 |
| CN101631078A (zh) * | 2009-08-24 | 2010-01-20 | 杭州华三通信技术有限公司 | 一种端点准入防御中的报文控制方法及接入设备 |
| CN101702687A (zh) * | 2009-11-27 | 2010-05-05 | 北京傲天动联技术有限公司 | 利用具有交换机架构的装置作为宽带接入服务器的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101860551A (zh) | 2010-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101860551B (zh) | 一种单接入端口下多用户的认证方法与系统 | |
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| US20180063714A1 (en) | Zero-touch onboarding in a network | |
| WO2015101125A1 (zh) | 网络接入控制方法和设备 | |
| CN105915550B (zh) | 一种基于SDN的Portal/Radius认证方法 | |
| CN109413649B (zh) | 一种接入认证方法及装置 | |
| CN102075904A (zh) | 一种防止漫游用户再次认证的方法和装置 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN101197785A (zh) | 一种mac认证方法和设备 | |
| US20120054359A1 (en) | Network Relay Device and Frame Relaying Control Method | |
| US20120054358A1 (en) | Network Relay Device and Frame Relaying Control Method | |
| CN108738019B (zh) | 融合网络中的用户认证方法及装置 | |
| CN102185840B (zh) | 一种认证方法、设备及系统 | |
| US20160065575A1 (en) | Communication Managing Method and Communication System | |
| CN113556274B (zh) | 终端接入认证的方法、装置、系统、控制器及设备 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| US10917406B2 (en) | Access control method and system, and switch | |
| CN102571811A (zh) | 用户接入权限控制系统和方法 | |
| CN102215515B (zh) | 一种数据处理方法及通信系统以及相关设备 | |
| JP2012049588A (ja) | ネットワーク中継装置 | |
| WO2017147745A1 (zh) | 一种对接入点ap的认证方法、系统及相关设备 | |
| CN110401716B (zh) | 边缘节点之间的通信方法及系统 | |
| CN102195952B (zh) | 触发802.1x认证的方法及设备端 | |
| CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
| WO2008080353A1 (fr) | Procédé d'exploitation de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de réseau wlan (wapi) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |