CN102244863A - 基于802.lx的接入认证方法、接入设备及汇聚设备 - Google Patents
基于802.lx的接入认证方法、接入设备及汇聚设备 Download PDFInfo
- Publication number
- CN102244863A CN102244863A CN2010101713402A CN201010171340A CN102244863A CN 102244863 A CN102244863 A CN 102244863A CN 2010101713402 A CN2010101713402 A CN 2010101713402A CN 201010171340 A CN201010171340 A CN 201010171340A CN 102244863 A CN102244863 A CN 102244863A
- Authority
- CN
- China
- Prior art keywords
- port
- message
- sign
- access device
- convergence device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000002776 aggregation Effects 0.000 title abstract description 9
- 238000004220 aggregation Methods 0.000 title abstract description 9
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000004891 communication Methods 0.000 description 14
- 239000002699 waste material Substances 0.000 description 11
- 238000012423 maintenance Methods 0.000 description 9
- 238000007726 management method Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 9
- 238000013475 authorization Methods 0.000 description 7
- 238000005538 encapsulation Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000012856 packing Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例公开了一种基于802.1x的接入认证方法、接入设备及汇聚设备,在接入设备侧,所述方法包括:通过第一端口接收客户设备的上行报文;判断所述上行报文是否为认证报文;当所述上行报文为认证报文时,将所述上行报文向汇聚设备发送;当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收所述汇聚设备发送的端口控制消息;根据所述端口控制消息获取所述第一端口的标识;设置所述第一端口为非受控状态,允许进入所述第一端口的业务报文通过。本发明适用于移动承载网中基于802.1x的接入认证。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种基于802.1x的接入认证方法、接入设备及汇聚设备。
背景技术
LTE(Long Term Evelution,长期演进)是继2G/3G技术后未来移动通信的主要演进方向。LTE系统采用两层扁平网络架构,包括eNodeB(基站)和aGW(接入网关)两个主要网元。
移动回传网络是移动承载网的重要组成部分,为基站和接入网关之间的通信提供承载支持。移动回传网络呈现逐级汇聚的结构,不同的场景下具体的汇聚级数可能不一致。以四级移动回传网络为例,如图1所示,在基站同物理位置部署一个CSG(Cell Site Gateway,基站侧网关设备),然后由AGN-L(Low levelAggregate Node,低级汇聚节点)通过环或链对若干CSG进行汇聚,由AGN-H(Highlevel Aggregate Node,高级汇聚节点)通过环或链对若干AGN-L进行汇聚,最后由MASG(Mobile Aggregation Site Gateway,移动汇聚侧网关)将全部的网络流量汇聚到aGW。
当基站接入移动承载网络时,需要对基站进行基于IEEE(Institute ofElectrical and Electronics Engineers,电气电子工程师学会)802.1x的接入认证。在基于802.1x的接入认证系统中,包括认证申请者、认证者和认证服务器,在上行方向,认证者将来自认证申请者并封装在EAPoL(EAP Over LAN)报文中的EAP(Extensible Authentication Protocol,扩展认证协议)报文恢复,并封装后承载在高层协议上转交认证服务器进行处理;在下行方向上,认证者将来自认证服务器的EAP报文从高层协议中解封装后,封装到EAPoL报文中发送给认证申请者,从而实现认证申请者和认证服务器之间基于802.1x的接入交互。认证服务器集中位于网络内部,可根据预先配置的用户数据进行认证检查,发出认证授权。
在现有技术中,认证者通常采用两种方式实现:
方式1:认证者的全部功能由CSG实现。此时,CSG具备EAP解析与封装、AAA(authentication,authorization and accounting,认证、授权与计费)协议、UDP(User Datagram Protocol,用户数据报协议)和IP(Internet Protocol,互联网协议)等处理能力,网络需要在CSG和认证服务器之间有IP路由可达性,同时要求CSG及以上网络设备都具备IP转发能力。AAA协议可以是RADIUS(Remote Authentication Dial In User Service,远端拨入用户验证服务)协议或Diameter(直径)协议。
采用方式1进行接入认证时,CSG的实现较复杂,由于CSG在LTE承载网中是海量的,CSG复杂的功能带来这种海量设备更频繁的配置、升级和故障管理操作,增加了维护难度和成本。
方式2:认证者的全部功能由AGN(例如AGN-L或AGN-H)实现。此时,与基站同地址部署的CSG只需要实现简单的透传功能,将连接基站的端口与到达AGN的逻辑管道绑定,CSG不参与报文认证和相应的处理。对端口的控制,改为AGN对端口对应的逻辑管道开闭的控制。
采用方式2进行接入认证时,由于CSG与AGN之间的通信链路不受认证授权控制,认证申请者的报文可以畅通无阻地到达AGN,造成AGN与CSG之间的通信带宽资源的浪费,也存在一定的安全隐患。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:
在进行基于802.1x的接入认证时,当认证者的全部功能由CSG实现时,增加了CSG的复杂度;当认证者的全部功能由AGN实现时,容易造成带宽资源的浪费和安全隐患。
发明内容
本发明的实施例提供一种基于802.1x的接入认证方法、接入设备及汇聚设备,能够在降低接入设备复杂度的同时避免带宽资源的浪费和安全隐患。
本发明实施例采用的技术方案为:
一种基于802.1x的接入认证方法,包括:
通过第一端口接收客户设备的上行报文;
判断所述上行报文是否为认证报文;
当所述上行报文为认证报文时,将所述上行报文向汇聚设备发送;
当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收所述汇聚设备发送的端口控制消息;
根据所述端口控制消息获取所述第一端口的标识;
设置所述第一端口为非受控状态,允许进入所述第一端口的业务报文通过。
一种基于802.1x的接入认证方法,包括:
接收接入设备发送的认证报文,所述认证报文由客户设备通过所述接入设备的第一端口发送至所述接入设备;
向认证服务器发送认证请求消息,与所述认证服务器共同完成对所述客户设备的认证;
当接收到所述认证服务器发送的客户设备认证通过消息时,向所述接入设备发送端口控制消息,以使所述接入设备设置所述第一端口为非受控状态。
一种接入设备,包括:
第一接收模块,用于通过第一端口接收客户设备的上行报文;
判断模块,用于判断所述上行报文是否为认证报文;
第一发送模块,用于当所述上行报文为认证报文时,将所述上行报文向汇聚设备发送;
第二接收模块,用于当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收所述汇聚设备发送的端口控制消息;
获取模块,用于根据所述端口控制消息获取所述第一端口的标识;
设置模块,用于设置所述第一端口为非受控状态,允许进入所述第一端口的业务报文通过。
一种汇聚设备,包括:
第三接收模块,用于接收接入设备发送的认证报文,所述认证报文由客户设备通过所述接入设备的第一端口发送至所述接入设备;
认证模块,用于向认证服务器发送认证请求消息,与所述认证服务器共同完成对所述客户设备的认证;
第二发送模块,用于当接收到所述认证服务器发送的客户设备认证通过消息时,向所述接入设备发送端口控制消息,以使所述接入设备设置所述第一端口为非受控状态。
本发明实施例基于802.1x的接入认证方法、接入设备及汇聚设备,接入设备对来自客户设备的上行报文进行识别,将客户设备的认证报文发送至汇聚设备,当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收汇聚设备发送的端口控制消息,对端口的状态进行设置,控制业务报文通过。与现有技术相比,将接入控制与认证分离开,接入设备完成对应客户设备的接入控制,汇聚设备统一完成认证,从而可以降低接入设备的复杂度,降低接入网维护成本,支持大规模接入网络,此外,还可以避免网络带宽的浪费以及可能存在的安全隐患。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为移动回传网络结构图;
图2为本发明实施例一提供的方法流程图;
图3为本发明实施例二提供的方法流程图;
图4a为本发明实施例三提供的方法的实现结构图;
图4b为本发明实施例三提供的方法流程图;
图5a为本发明实施例四提供的方法的实现结构图;
图5b为本发明实施例四提供的方法流程图;
图6a、图6b为本发明实施例五提供的方法的实现结构图;
图6c为本发明实施例五提供的方法流程图;
图7a、图7b、图7c、图7d为本发明实施例六提供的接入设备结构示意图;
图8a、图8b、图8c、图8d为本发明实施例七提供的汇聚设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明作详细说明。
实施例一
本实施例提供一种基于802.1x的接入认证方法,如图2所示,在接入设备侧,所述方法包括:
201、接入设备通过第一端口接收客户设备的上行报文;
202、判断所述上行报文是否为认证报文;
203、当所述上行报文为认证报文时,将所述上行报文向汇聚设备发送;
204、当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收所述汇聚设备发送的端口控制消息;
205、根据所述端口控制消息获取所述第一端口的标识;
206、设置所述第一端口为非受控状态,允许进入所述第一端口的业务报文通过。
本发明实施例基于802.1x的接入认证方法,接入设备对来自客户设备的上行报文进行识别,将客户设备的认证报文发送至汇聚设备,当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收汇聚设备发送的端口控制消息,对端口的状态进行设置,控制业务报文通过。与现有技术相比,将接入控制与认证分离开,接入设备完成对应客户设备的接入控制,汇聚设备统一完成认证,从而可以降低接入设备的复杂度,降低接入网维护成本,支持大规模接入网络,此外,还可以避免网络带宽的浪费以及可能存在的安全隐患。
实施例二
本实施例提供一种基于802.1x的接入认证方法,如图3所示,在汇聚设备侧,所述方法包括:
301、汇聚设备接收接入设备发送的认证报文,所述认证报文由客户设备通过所述接入设备的第一端口发送至所述接入设备;
302、向认证服务器发送认证请求消息,与所述认证服务器共同完成对所述客户设备的认证;
303、当接收到所述认证服务器发送的客户设备认证通过消息时,向所述接入设备发送端口控制消息,以使所述接入设备设置所述第一端口为非受控状态。
本发明实施例基于802.1x的接入认证方法,汇聚设备接收接入设备发送的认证报文,向认证服务器发送认证请求消息,与所述认证服务器共同完成对客户设备的认证,当接收到所述认证服务器发送的客户设备认证通过消息时,向所述接入设备发送端口控制消息,以便接入设备对端口的状态进行设置,控制业务报文通过。与现有技术相比,将接入控制与认证分离开,接入设备完成对应客户设备的接入控制,汇聚设备统一完成认证,从而可以降低接入设备的复杂度,降低接入网维护成本,支持大规模接入网络,此外,还可以避免网络带宽的浪费以及可能存在的安全隐患。
实施例三
本实施例提供一种基于802.1x的接入认证方法,在本实施例中,不对802.1x协议进行扩展,使用第三方协议来传送端口控制消息;对于从CSG上的同一个物理端口或逻辑端口进入的认证报文和业务报文,采用同一条业务通道传送。
在本实施例中,如图4a所示,CSG有两个客户侧端口port1和port2,分别连接基站eNB1和eNB2,在CSG上设置有分别与端口port1和port2连接的识别与控制单元1和识别与控制单元2,负责在端口认证通过前,执行端口受控状态的控制,即允许认证报文和某些控制报文通过,但阻止业务报文通过。针对每个业务通道,在汇聚设备上设置有分离单元,负责将特定控制报文,如802.1x报文从业务报文流中分离出来,送到对应的主控单元处理。主控单元上对应每个端口有一个会话,完成802.1x协议处理,并实现Radius协议客户端与认证服务器之间的认证交互。
在CSG中设置有第三方协议模块C,在汇聚设备中设置有第三方协议模块S,这两个模块通过第三方协议交互,完成CSG侧端口管理控制。
CSG与汇聚设备之间通过多条业务通道相连,所述业务通道包括连接所述CSG的端口并到达或经过所述汇聚设备的物理或逻辑通信通道;CSG与汇聚设备之间还有一条控制通道,所述控制通道可以是CSG与汇聚设备之间的物理或逻辑通信通道;所述物理通道和逻辑通信通道可以是多协议标签交换(Multi-Protocol Label Switching,MPLS)网络的LSP(Label Switching Path,标签交换路径),或者是PW(Pseudo Wire,伪线),也可以是以太网络的VLAN(Virtual LAN,虚拟局域网)标识的管道。所述物理通道和逻辑通信通道对应的端口可以采用“端口+VLAN”进行标识。
在本实施例中,CSG与汇聚设备之间的业务通道和控制通道为PW,PW12连接port1到汇聚设备,PW22连接port2到汇聚设备。CSG与汇聚设备之间的C-PW连接第三方协议模块C与第三方协议模块S,用于传送第三方协议报文。
如图4b所示,所述方法包括:
401、eNB1通过端口port1向识别与控制单元1发送上行报文,识别与控制单元1根据该上行报文的以太网类型值对该上行报文进行识别,若识别出该上行报文为业务报文,则禁止该上行报文通过;若识别出该上行报文为认证报文,例如EAPoL-Start报文,则执行步骤402。
具体地,当所述上行报文的以太网类型值802.1x协议标识0x88-8e时,识别与控制单元1识别出该上行报文为认证报文。后续步骤中,当报文经过CSG时,识别与控制单元1以类似方式识别出EAP Response/Identity等报文为认证报文,不再赘述。
402、识别与控制单元1允许该认证报文通过,并将该认证报文送到一条对应于端口port1的业务通道PW12上;在汇聚设备上,分离单元1将该认证报文检测出来,送到主控单元1。
当识别与控制单元1接收到其它认证报文,例如EAP Response/Identity报文、EAP Response/MD5-Challenge报文等,也执行相同的动作。
其中,PW是目前在IETF基于MPLS定义的一种多业务传送通道技术,形式采用MPLS label,提供PWE3(Pseudo Wire Emulation Edge-to-Edge)业务。当然,也可以采用其它的多业务传送通道技术,例如:MPLS LSP,Ethernet Vlan,ATM(Asynchronous Transfer Mode,异步传输模式)或PVC(Permanent virtualcircuit,永久虚电路)等。
当PW建立时,网管配置或者CSG自动生成端口、VLAN与PW之间的对应关系表,将该对应关系表作为配置与状态信息存储在CSG中。端口与PW有一一对应的关系,某些情况下,一个端口可以对应多个VLAN,此时端口+VLAN与PW有一一对应的关系,端口+VLAN和PW的组合对应从客户侧端口到网络侧端口传送的一种业务报文。例如LTE业务承载情况,CSG上一个连接eNB1的物理端口port1可以分别有三对VLAN和PW,分别传送S1、OM、X2业务报文。因此一个PW可以找到唯一对应的端口,第三方协议模块C从配置与状态信息中可以获取对应于PW12的端口为port1。
403a、主控单元1向eNB1发送EAP Request/Identity报文,要求eNB1提供认证信息,例如用户名。
403b、eNB1根据主控单元1的请求回应EAP Response/Identity,其中包括eNB1的认证信息。
403c、主控单元1以EAP Over RADIUS的报文格式向认证服务器发送RADIUSAccess-Request报文。
其中,所述RADIUS Access-Request报文中包括eNB1发送给主控单元1的EAPResponse/Identity报文,以便将eNB1的认证信息提交认证服务器。
403d、认证服务器产生一个128bit的随机码即挑战码(Challenge),以EAPOver RADIUS的报文格式向主控单元1发送RADIUS Access-Challenge报文。
其中,所述RADIUS Access-Challenge报文中包括EAPRequest/MD5-Challenge。
403e、主控单元1对所述RADIUS Access-Challenge报文进行解封装,获取EAP Request/MD5-Challenge,将EAP Request/MD5-Challenge发送给eNB1,要求eNB1将自己的密码(Password)用该MD5-Challenge做MD5算法,生成Challenged Password。
403f、eNB1收到EAP Request/MD5-Challenge报文后,将自己的密码和接收到的随机码做MD5算法,产生对应的Challenged Password,向主控单元1回应EAPResponse/Challenged Password;
403g、主控单元1将包含Challenged Password的EAPResponse/MD5-Challenge以EAP Over RADIUS的报文格式向认证服务器发送RADIUS Access-Request报文;
403h、认证服务器根据eNB1对应的保存在认证服务器本地的密码,以及前面提供的MD5-Challenge做MD5算法,判断用户是否合法,如果确定认证成功,则以EAP Over RADIUS的报文格式向主控单元1回应RADIUS Access-Accept,认证成功。
404、主控单元1得知认证成功,向第三方协议模块S发送信号,所述信号中携带PW12的标识,说明对应PW12的远端端口认证通过。
405、第三方协议模块S通过C-PW向第三方协议模块C发送端口控制消息,所述端口控制消息中携带PW12标识。
其中,第三方协议模块S向第三方协议模块C发送端口控制消息时采用第三方协议,该第三方协议可以基于ANCP(Access Node Control Protocol,接入点控制协议)扩展实现。并采用RFC3292定义的Port Management消息格式,在ANCP中实现受控端口的打开/关闭控制。在原有定义的Port Management消息格式上,增加Extention value,如表1所示。
表1
在表1中,Message type设置值采用Port Management(32)消息,在Function域中需要定义两个新的值:
1、设置端口为非受控状态。此命令执行后,允许对应端口接收所有控制和业务报文;
2、设置端口为受控状态。此命令执行后,只允许对应端口接收某些控制报文,如802.1x认证报文,表示允许802.1x报文通过。本实施例中端口初始状态设置为受控状态。
表1中的Port值是在CSG中唯一标识一个端口。在步骤404中,需要携带PW12的标识传送到CSG,PW12的标识放在Extention value中传递,Extention value的格式如表2a所示,TLV格式如表2b所示。
表2a
表2b
如表2b所示,在ANCP中定义TLV(Type/Length/Value,类型/长度/值)扩展Access-Aggregation-Circuit-ID-PW-Binary,用一个新的Type值表示。可以装入FEC(Forward Equivalence Class,转发等价类)128或FEC129等PW格式,PW格式可参考RFC4447中的规定,在此不再详细说明。
从汇聚设备到CSG之间的接入网络可能没有IP转发能力,但是ANCP报文是需要基于IP转发的。在本实施例中,封装有ANCP报文的IP报文可以封装在C-PW中进行传送。进一步的,ANCP报文还可以不需要进行IP封装,而直接将ANCP报文封装在C-PW中。具体封装格式参见表3a、表3b、表3c中所示的三种方式。
表3a
| Ethernet header(DA,SA,Type) |
| LSP label |
| C-PW label(s=1) |
| Gach(rfc 5586) |
| Ethernet header(DA,SA,Type) |
| IP |
| ANCP ex |
表3b
| Ethernet header(DA,SA,Type) |
| LSP label |
| C-PW label(s=1) |
| Gach(rfc 5586) |
| Ethernet header(DA,SA,Type) |
| ANCP ex |
表3c
| Ethernet header(DA,SA,Type) |
| LSP label |
| C-PW label(s=1) |
| Gach(rfc 5586) |
| ANCP ex |
当采用上述ANCP协议扩展实现时,所述端口控制消息为Port Management消息,Function取值为“设置端口为非受控状态”。
406、第三方协议模块C从CSG中存储的配置与状态信息中查询到对应于PW12的端口为port1。
407、第三方协议模块C向识别与控制单元1发送信号,设置port1为非受控状态。
408、第三方协议模块C通过C-PW向第三方协议模块S返回成功的响应消息。
基于ANCP实现时,仍采用Port Management消息,在result中设置“success”即可。
409、第三方协议模块S向主控单元1返回成功的响应消息。
410、主控单元1通过PW12向eNB1发送EAP success报文。
至此,认证过程完成,识别与控制单元1可以允许由port1进入的业务报文通过。
可选的,如果在汇聚设备中配置有CSG的端口与PW的关系表,则步骤404-406可以由如下步骤替换:
S1、主控单元1识别出认证通过后,通过本地配置的CSG端口与PW的关系表,查找到CSG对应端口,通知第三方协议模块S对应的端口标识,第三方协议模块S通过C-PW向第三方协议模块C发送端口控制消息,该端口控制消息中携带端口标识。
以上第三方协议以ANCP为例进行说明,当然,本发明实施例也可以使用其它第三方协议,如基于应用于PON接入设备ONU控制协议(0MCI)的通用扩展G-OMCI(Generic ONU Management Control Interface)协议。基于标签分发协议LDP(Label Distribution Protocol)的改进协议,或其它新定义的第三方协议。
在本实施例中,所述汇聚设备可以为网络内部的AGN,或者移动承载连接移动核心网RNC/aGW的MASG。
本发明实施例基于802.1x的接入认证方法,CSG对来自eNB1的上行报文进行识别,将eNB1的认证报文发送至汇聚设备,当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收汇聚设备发送的端口控制消息,CSG对端口的状态进行设置,控制业务报文通过。与现有技术相比,将接入控制与认证分离开,CSG完成对应eNB1的接入控制,汇聚设备统一完成认证,从而可以降低接入设备的复杂度,降低接入网维护成本,支持大规模接入网络,此外,还可以避免网络带宽的浪费以及可能存在的安全隐患。
实施例四
本实施例提供一种基于802.1x的接入认证方法,在本实施例中,不对802.1x协议进行扩展,使用第三方协议来传送端口控制消息;认证报文采用单独的控制通道传送。
在本实施例中,如图5a所示,所有的802.1x协议控制报文以及第三方协议报文采用统一的控制通道,即图4a中的C-PW管道封装。在CSG侧,有一个复用模块MUX-C,执行复用和解复用功能,对上行报文封装端口信息,对下行报文识别端口信息,然后将802.1x报文或第三方协议报文分别送到端口或第三方协议模块C;在汇聚设备侧,有一个复用模块MUX-S,执行复用和解复用功能,对下行报文封装端口信息,对上行报文识别端口信息及协议类型;采用第三方协议传送的报文可以采用一个统一的端口号,例如v-port,然后将802.1x报文或第三方协议报文分别送到端口或第三方协议模块S。
如图5b所示,所述方法包括:
501、eNB1通过端口port1向识别与控制单元1发送上行报文,识别与控制单元1根据该上行报文的以太网类型值对该上行报文进行识别,若识别出该上行报文为业务报文,则禁止该上行报文通过;若识别出该上行报文为认证报文,例如EAPoL-Start报文,则执行步骤502。
具体地,当所述上行报文的以太网类型值0x88-8e时,识别与控制单元1识别出该上行报文为认证报文。
502、识别与控制单元1允许该上行报文通过,MUX-C将port1的值与所述上行报文一起封装,发送到单独通道C-PW上;在汇聚设备上,MUX-S根据port label识别出该上行报文为认证报文,将认证报文及携带的port1信息发送到主控单元1。
其中,所述port1的具体封装位置为标签栈的栈底,即port label位置,具体封装协议栈如表4所示,表中从上到下显示了在CSG到汇聚设备之间的网络中从外到内的封装信息。
表4
503a-503h、与步骤403a-403h相同,在此不再赘述。
504、主控单元1得知认证成功,向第三方协议模块S发送信号,所述信号中携带port1的标识,说明端口port1认证通过。
505、第三方协议模块S通过C-PW向第三方协议模块C发送端口控制消息,所述端口控制消息中携带port1的标识。
当采用实施例三中所述的ANCP协议扩展实现时,所述端口控制消息为PortManagement消息,Function取值为“设置端口为非受控状态”。
506-509、与步骤407-410相同,在此不再赘述。
至此,认证过程完成,识别与控制单元1可以允许由port1进入的业务报文通过。
本发明实施例基于802.1x的接入认证方法,CSG对来自eNB1的上行报文进行识别,将eNB1的认证报文发送至汇聚设备进行认证,当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收汇聚设备发送的端口控制消息,CSG对端口的状态进行设置,控制业务报文通过。与现有技术相比,将接入控制与认证分离开,CSG完成对应eNB1的接入控制,汇聚设备统一完成认证,从而可以降低接入设备的复杂度,降低接入网维护成本,支持大规模接入网络,此外,还可以避免网络带宽的浪费以及可能存在的安全隐患。
实施例五
本实施例提供一种基于802.1x的接入认证方法,在本实施例中,以移动承载网为例,通过对802.1x协议进行扩展来承载传送同步通信和远程控制通信。
如图6a所示,扩展后的802.1x协议会话可以封装承载在专用默认的C-PW中;或者,如图6b所示,扩展后的802.1x协议会话也可以与业务报文封装承载在相同的PW中。
如表5所示为基于802.1x协议的通用报文格式,在本实施例中,对802.1xEAPoL报文类型标记以及802.1x EAPoL报文数据载荷进行扩展。
表5
1、当扩展后的报文类型标记为0x06时,指示的报文类型为:EAPoL下行远程控制及其可选上行确认回复;
对应地,报文数据载荷=0x01-01-MAC时表明虚拟端口受控逻辑端口允许MAC地址注册;
报文数据载荷=0x01-02-MAC时表明虚拟端口受控逻辑端口允许MAC地址注销;
报文数据载荷=0x02-01-MAC时表明虚拟端口非受控逻辑端口禁止MAC地址注册;
报文数据载荷=0x02-02-MAC时表明虚拟端口非受控逻辑端口禁止MAC地址注销;
报文数据载荷=0x03-01时表明物理端口受控逻辑端口远程授权控制允许;
报文数据载荷=0x03-02时表明物理端口受控逻辑端口远程授权控制禁止;
报文数据载荷=0x71-01时表明远程确认(ACK);
报文数据载荷=0x71-02时表明远程确认(NAK)。
2、当扩展后的报文类型标记为0x07时,指示的报文类型为:EAPoL上行本地事件通知及其下行确认回复;
对应地,报文数据载荷=0x11-01时表明物理端口发生Down事件(接口拔出等);
报文数据载荷=0x11-02表明物理端口发生Up事件(接口插入等);
报文数据载荷=0xF1-01表明事件/状态信息同步确认。
CSG与汇聚设备之间根据上述扩展后的802.1x协议进行通信。当然,以上仅为对802.1x协议进行扩展的一个实施例,也可以采用其它扩展方式。
如图6c所示,所述方法包括:
601、CSG检测到连接基站设备的端口上发生Up事件。
其中,所述端口可以为物理端口,或者物理端口下对应特定用户MAC地址的虚拟端口;所述物理端口以“端口号”进行定义,所述虚拟端口以“端口号+用户MAC地址”进行定义。
具体地,所述Up事件可以为端口上发生设备插入操作,对应地,下面所述的Down事件可以为端口上发生设备拔出事件。
602、CSG通过上行同步消息将该Up事件上报给汇聚设备。
其中,所述汇聚设备可以为网络内部的AGN,或者移动承载连接移动核心网RNC/aGW的MASG。
603a、汇聚设备向基站设备发送EAP Request/Identity报文,要求基站设备提供认证信息,例如用户名。
603b、基站设备根据汇聚设备的请求回应EAP Response/Identity,其中包括基站设备的认证信息。
603c、汇聚设备以EAP Over RADIUS的报文格式向认证服务器发送RADIUSAccess-Request报文。
其中,所述RADIUS Access-Request报文中包括基站设备发送给汇聚设备的EAP Response/Identity报文,以便将基站设备的认证信息提交认证服务器。
603d、认证服务器产生一个128bit的随机码即挑战码(Challenge),以EAPOver RADIUS的报文格式向汇聚设备发送RADIUS Access-Challenge报文。
其中,所述RADIUS Access-Challenge报文中包括EAP-Request/MD5-Challenge。
603e、汇聚设备对所述RADIUS Access-Challenge报文进行解封装,获取EAPRequest/MD5-Challenge,将EAP Request/MD5-Challenge发送给基站设备,要求基站设备将自己的密码(Password)用该MD5-Challenge做MD5算法,生成Challenged Password。
603f、基站设备收到EAP Request/MD5-Challenge报文后,将自己的密码和接收到的随机码做MD5算法,产生对应的Challenged Password,向汇聚设备回应EAP Response/Challenged Password;
603g、汇聚设备将包含Challenged Password的EAPResponse/MD5-Challenge以EAP Over RADIUS的报文格式向认证服务器发送RADIUS Access-Request报文;
603h、认证服务器根据基站设备对应的保存在认证服务器本地的密码,以及前面提供的MD5-Challenge做MD5算法,判断用户是否合法,如果确定认证成功,则以EAP Over RADIUS的报文格式向汇聚设备回应RADIUS Access-Accept,认证成功。
603i、汇聚设备根据认证结果,向基站设备回应EAP Success报文,通知用户认证成功。
604、汇聚设备中对应的认证PAE完成处理,输出对逻辑受控端口的控制指令并由显式的远程授权控制指令表达,例如远程授权控制允许报文,送达CSG的受控单元。该指令中可以包括相应的端口信息。而当扩展后的802.1x协议会话与业务报文封装承载在相同的PW中时,因为业务报文封装承载的PW与端口有对应关系,该指令中也可以不需要包括端口信息。
605、CSG上的受控单元解析指令并执行允许控制,允许进入该端口的业务报文通过。
进一步的,所述方法还可以包括:
606、CSG检测到端口上发生Down事件。
其中,所述Down事件可以由基站设备发出EAPoL Logoff消息触发,申请离线。
607、CSG通过上行同步消息将该Down事件上报给汇聚设备。
其中,对于该Down事件,端口的禁止操作不存在异议,CSG可以直接将该端口进行禁止控制,这是本地可选操作。
608、汇聚设备收到该Down事件,将事件信息记录到远程配置和状态信息数据中,事件随后进一步送达汇聚设备中的认证PAE,触发认证PAE的处理和状态机迁移。
609、汇聚设备中的认证PAE完成处理,输出对逻辑受控端口的控制指令并由显式的远程授权控制指令表达,例如远程授权控制禁止报文,送达CSG上的受控单元。
610、CSG上的受控单元解析指令并执行禁止控制,禁止进入该端口的业务报文通过。
本发明实施例基于802.1x的接入认证方法,当CSG的端口上发生Up事件时,CSG触发汇聚设备对该端口进行认证,当认证通过时,CSG接收汇聚设备发送控制指令,并对该控制指令进行解析,执行端口的允许控制;当CSG的端口上发生Down事件时,CSG触发汇聚设备取消对该端口的认证通过状态。与现有技术相比,将接入控制与认证分离开,接入设备完成对应基站的接入控制,汇聚设备统一完成认证,从而可以降低接入设备的复杂度,降低接入网维护成本,支持大规模接入网络,此外,还可以避免网络带宽的浪费以及可能存在的安全隐患。
实施例六
本实施例提供一种接入设备,如图7a所示,所述接入设备70包括:
第一接收模块701,用于通过第一端口接收客户设备71发送的上行报文;
判断模块702,用于判断所述上行报文是否为认证报文;
第一发送模块703,用于当所述上行报文为认证报文时,将所述上行报文向汇聚设备72发送;
第二接收模块704,用于当所述汇聚设备72从认证服务器接收到客户设备认证通过消息时,接收所述汇聚设备72发送的端口控制消息;
获取模块705,用于根据所述端口控制消息获取所述第一端口的标识;
设置模块706,用于设置所述第一端口为非受控状态,允许进入所述第一端口的业务报文通过。
进一步的,如图7b、图7c所示,所述第一发送模块703可以包括:
第一发送单元7031,用于通过与所述第一端口对应的业务通道将所述上行报文向汇聚设备72发送。
如图7b所示,所述第二接收模块704可以包括:
第一接收单元7041,用于接收所述汇聚设备72通过控制通道发送的端口控制消息,所述端口控制消息中携带所述业务通道的标识;
所述获取模块705可以包括:
第一查询单元7051,用于根据所述端口控制消息中携带的所述业务通道的标识,查询与所述业务通道对应的第一端口的标识。
如图7c所示,所述第二接收模块704可以包括:
第二接收单元7042,用于接收所述汇聚设备72通过控制通道发送的端口控制消息,所述端口控制消息中携带所述第一端口的标识,所述第一端口的标识是由所述汇聚设备72根据所述业务通道的标识查询得到的。
可选的,如图7d所示,所述第一发送模块703可以包括:
第二发送单元7032,用于将所述第一端口的标识与所述上行报文一起封装,通过控制通道向汇聚设备72发送;
其中,所述第一端口的标识置于标签栈的栈底,与所述上行报文一起封装。
所述第二接收模块704可以包括:
第三接收单元7043,用于接收所述汇聚设备72通过所述控制通道发送的端口控制消息,所述端口控制消息中携带所述第一端口的标识。
其中,所述控制通道包括接入设备与汇聚设备之间的物理或逻辑通信通道;所述业务通道包括连接所述第一端口并到达或经过汇聚设备的物理或逻辑通信通道;所述物理通道和逻辑通信通道可以是MPLS网络的LSP或PW,也可以是以太网络的VLAN标识的管道。所述物理通道对应的端口采用“端口号”进行标识,所述逻辑通信通道对应的端口采用“端口号+MAC地址”进行标识。
本发明实施例接入设备,接入设备对来自基站的上行报文进行识别,将来自基站的认证报文发送至汇聚设备进行认证,当所述汇聚设备对所述基站认证通过时,接入设备对端口的状态进行设置,控制业务报文通过。与现有技术相比,将接入控制与认证分离开,接入设备完成对应基站的接入控制,汇聚设备统一完成认证,从而可以降低接入设备的复杂度,降低接入网维护成本,支持大规模接入网络,此外,还可以避免网络带宽的浪费以及可能存在的安全隐患。
实施例七
本实施例提供一种汇聚设备,如图8a所示,所述汇聚设备80包括:
第三接收模块801,用于接收接入设备81发送的认证报文,所述认证报文由客户设备83通过所述接入设备81的第一端口发送至所述接入设备81;
认证模块802,用于向认证服务器82发送认证请求消息,与所述认证服务器82共同完成对所述客户设备83的认证;
第二发送模块803,用于当接收到所述认证服务器82发送的客户设备认证通过消息时,向所述接入设备81发送端口控制消息,以使所述接入设备设置所述第一端口为非受控状态。
进一步的,如图8b、图8c所示,所述第三接收模块801可以包括:
第一分离单元8011,用于通过与所述第一端口对应的业务通道接收并分离出所述认证报文。
如图8b所示,所述第二发送模块803可以包括:
第三发送单元8031,用于通过控制通道向所述接入设备82发送端口控制消息,所述端口控制消息中携带所述业务通道的标识。
如图8c所示,所述第二发送模块803可以包括:
第二查询单元8032,用于根据所述业务通道的标识查询对应的第一端口的标识;
第四发送单元8033,用于通过控制通道向所述接入设备82发送端口控制消息,所述端口控制消息中携带所述第一端口的标识。
可选的,如图8d所示,所述第三接收模块801可以包括:
第二分离单元8012,用于通过控制通道接收并分离出所述接入设备81发送的认证报文,与所述认证报文一起封装有所述第一端口的标识;
所述第二发送模块803可以包括:
第五发送单元8034,用于通过所述控制通道向所述接入设备81发送端口控制消息,所述端口控制消息中携带所述第一端口的标识。
本发明实施例汇聚设备,汇聚设备接收接入设备发送的认证报文,根据所述认证报文对基站进行认证,当认证通过时,向所述接入设备发送端口控制消息,以便接入设备对端口的状态进行设置,控制业务报文通过。与现有技术相比,将接入控制与认证分离开,接入设备完成对应基站的接入控制,汇聚设备统一完成认证,从而可以降低接入设备的复杂度,降低接入网维护成本,支持大规模接入网络,此外,还可以避免网络带宽的浪费以及可能存在的安全隐患。
本发明实施例提供的接入设备及汇聚设备可以实现上述提供的方法实施例。本发明实施例提供的基于802.1x的接入认证方法、接入设备及汇聚设备可以适用于移动承载网中基于802.1x的接入认证,但不仅限于此。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (20)
1.一种基于802.1x的接入认证方法,其特征在于,包括:
通过第一端口接收客户设备的上行报文;
判断所述上行报文是否为认证报文;
当所述上行报文为认证报文时,将所述上行报文向汇聚设备发送;
当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收所述汇聚设备发送的端口控制消息;
根据所述端口控制消息获取所述第一端口的标识;
设置所述第一端口为非受控状态,允许进入所述第一端口的业务报文通过。
2.根据权利要求1所述的方法,其特征在于,所述将所述上行报文向汇聚设备发送包括:
通过与所述第一端口对应的业务通道将所述上行报文向汇聚设备发送。
3.根据权利要求2所述的方法,其特征在于,所述接收所述汇聚设备发送的端口控制消息包括:
接收所述汇聚设备通过控制通道发送的端口控制消息,所述端口控制消息中携带所述业务通道的标识;
所述根据所述端口控制消息获取所述第一端口的标识包括:
根据所述端口控制消息中携带的所述业务通道的标识,查询与所述业务通道对应的第一端口的标识。
4.根据权利要求2所述的方法,其特征在于,所述接收所述汇聚设备发送的端口控制消息包括:
接收所述汇聚设备通过控制通道发送的端口控制消息,所述端口控制消息中携带所述第一端口的标识,所述第一端口的标识是由所述汇聚设备根据所述业务通道的标识查询得到的。
5.根据权利要求1所述的方法,其特征在于,所述将所述上行报文向汇聚设备发送包括:
将所述第一端口的标识与所述上行报文一起封装,通过控制通道向汇聚设备发送;
所述接收所述汇聚设备发送的端口控制消息包括:
接收所述汇聚设备通过所述控制通道发送的端口控制消息,所述端口控制消息中携带所述第一端口的标识。
6.一种基于802.1x的接入认证方法,其特征在于,包括:
接收接入设备发送的认证报文,所述认证报文由客户设备通过所述接入设备的第一端口发送至所述接入设备;
向认证服务器发送认证请求消息,与所述认证服务器共同完成对所述客户设备的认证;
当接收到所述认证服务器发送的客户设备认证通过消息时,向所述接入设备发送端口控制消息,以使所述接入设备设置所述第一端口为非受控状态。
7.根据权利要求6所述的方法,其特征在于,所述接收接入设备发送的认证报文包括:
通过与所述第一端口对应的业务通道接收并分离出所述认证报文。
8.根据权利要求7所述的方法,其特征在于,所述向所述接入设备发送端口控制消息包括:
通过控制通道向所述接入设备发送端口控制消息,所述端口控制消息中携带所述业务通道的标识。
9.根据权利要求7所述的方法,其特征在于,所述向所述接入设备发送端口控制消息包括:
根据所述业务通道的标识查询对应的第一端口的标识;
通过控制通道向所述接入设备发送端口控制消息,所述端口控制消息中携带所述第一端口的标识。
10.根据权利要求6所述的方法,其特征在于,所述接收接入设备发送的认证报文包括:
通过控制通道接收并分离出所述接入设备发送的认证报文,与所述认证报文一起封装有所述第一端口的标识;
所述向所述接入设备发送端口控制消息包括:
通过所述控制通道向所述接入设备发送端口控制消息,所述端口控制消息中携带所述第一端口的标识。
11.一种接入设备,其特征在于,包括:
第一接收模块,用于通过第一端口接收客户设备的上行报文;
判断模块,用于判断所述上行报文是否为认证报文;
第一发送模块,用于当所述上行报文为认证报文时,将所述上行报文向汇聚设备发送;
第二接收模块,用于当所述汇聚设备从认证服务器接收到客户设备认证通过消息时,接收所述汇聚设备发送的端口控制消息;
获取模块,用于根据所述端口控制消息获取所述第一端口的标识;
设置模块,用于设置所述第一端口为非受控状态,允许进入所述第一端口的业务报文通过。
12.根据权利要求11所述的接入设备,其特征在于,所述第一发送模块包括:
第一发送单元,用于通过与所述第一端口对应的业务通道将所述上行报文向汇聚设备发送。
13.根据权利要求12所述的接入设备,其特征在于,所述第二接收模块包括:
第一接收单元,用于接收所述汇聚设备通过控制通道发送的端口控制消息,所述端口控制消息中携带所述业务通道的标识;
所述获取模块包括:
第一查询单元,用于根据所述端口控制消息中携带的所述业务通道的标识,查询与所述业务通道对应的第一端口的标识。
14.根据权利要求12所述的接入设备,其特征在于,所述第二接收模块包括:
第二接收单元,用于接收所述汇聚设备通过控制通道发送的端口控制消息,所述端口控制消息中携带所述第一端口的标识,所述第一端口的标识是由所述汇聚设备根据所述业务通道的标识查询得到的。
15.根据权利要求11所述的接入设备,其特征在于,所述第一发送模块包括:
第二发送单元,用于将所述第一端口的标识与所述上行报文一起封装,通过控制通道向汇聚设备发送;
所述第二接收模块包括:
第三接收单元,用于接收所述汇聚设备通过所述控制通道发送的端口控制消息,所述端口控制消息中携带所述第一端口的标识。
16.一种汇聚设备,其特征在于,包括:
第三接收模块,用于接收接入设备发送的认证报文,所述认证报文为由客户设备通过所述接入设备的第一端口发送至所述接入设备;
认证模块,用于向认证服务器发送认证请求消息,与所述认证服务器共同完成对所述客户设备的认证;
第二发送模块,用于当接收到所述认证服务器发送的客户设备认证通过消息时,向所述接入设备发送端口控制消息,以使所述接入设备设置所述第一端口为非受控状态。
17.根据权利要求16所述的汇聚设备,其特征在于,所述第三接收模块包括:
第一分离单元,用于通过与所述第一端口对应的业务通道接收并分离出所述认证报文。
18.根据权利要求17所述的汇聚设备,其特征在于,所述第二发送模块包括:
第三发送单元,用于通过控制通道向所述接入设备发送端口控制消息,所述端口控制消息中携带所述业务通道的标识。
19.根据权利要求17所述的汇聚设备,其特征在于,所述第二发送模块包括:
第二查询单元,用于根据所述业务通道的标识查询对应的第一端口的标识;
第四发送单元,用于通过控制通道向所述接入设备发送端口控制消息,所述端口控制消息中携带所述第一端口的标识。
20.根据权利要求16所述的汇聚设备,其特征在于,所述第三接收模块包括:
第二分离单元,用于通过控制通道接收并分离出所述接入设备发送的认证报文,与所述认证报文一起封装有所述第一端口的标识;
所述第二发送模块包括:
第五发送单元,用于通过所述控制通道向所述接入设备发送端口控制消息,所述端口控制消息中携带所述第一端口的标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010171340.2A CN102244863B (zh) | 2010-05-13 | 2010-05-13 | 基于802.lx的接入认证方法、接入设备及汇聚设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010171340.2A CN102244863B (zh) | 2010-05-13 | 2010-05-13 | 基于802.lx的接入认证方法、接入设备及汇聚设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102244863A true CN102244863A (zh) | 2011-11-16 |
| CN102244863B CN102244863B (zh) | 2015-05-27 |
Family
ID=44962626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010171340.2A Expired - Fee Related CN102244863B (zh) | 2010-05-13 | 2010-05-13 | 基于802.lx的接入认证方法、接入设备及汇聚设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102244863B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571603A (zh) * | 2012-02-14 | 2012-07-11 | 成都欣点科技有限公司 | 以太网端口控制装置及方法 |
| CN103249091A (zh) * | 2013-04-08 | 2013-08-14 | 华为技术有限公司 | 一种HQoS控制方法、RSG及HQoS控制系统 |
| WO2014040235A1 (zh) * | 2012-09-12 | 2014-03-20 | 华为技术有限公司 | 移动回传网络中的通信方法、设备和系统 |
| CN104219146A (zh) * | 2013-06-04 | 2014-12-17 | 上海贝尔股份有限公司 | 接入网中基于ancp配置标签的方法和装置 |
| CN105592095A (zh) * | 2015-12-31 | 2016-05-18 | 迈普通信技术股份有限公司 | 一种网络接入认证方法及接入认证设备 |
| CN114024756A (zh) * | 2021-11-09 | 2022-02-08 | 迈普通信技术股份有限公司 | 接入认证方法、装置、电子设备及计算机可读存储介质 |
| WO2024021408A1 (zh) * | 2022-07-26 | 2024-02-01 | 浙江中控技术股份有限公司 | 一种控制设备准入的方法、装置及相关产品 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1484412A (zh) * | 2002-09-20 | 2004-03-24 | 华为技术有限公司 | 一种基于集群管理的802.1x通信实现方法 |
| CN1527557A (zh) * | 2003-03-04 | 2004-09-08 | 华为技术有限公司 | 一种桥接设备透传802.1x认证报文的方法 |
| CN101102188A (zh) * | 2006-07-07 | 2008-01-09 | 华为技术有限公司 | 一种移动接入虚拟局域网的方法与系统 |
-
2010
- 2010-05-13 CN CN201010171340.2A patent/CN102244863B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1484412A (zh) * | 2002-09-20 | 2004-03-24 | 华为技术有限公司 | 一种基于集群管理的802.1x通信实现方法 |
| CN1527557A (zh) * | 2003-03-04 | 2004-09-08 | 华为技术有限公司 | 一种桥接设备透传802.1x认证报文的方法 |
| CN101102188A (zh) * | 2006-07-07 | 2008-01-09 | 华为技术有限公司 | 一种移动接入虚拟局域网的方法与系统 |
Non-Patent Citations (1)
| Title |
|---|
| 汪欣: ""EPON网络管理系统的设计与OAM协议的软件实现"", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》, no. 12, 31 December 2006 (2006-12-31) * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571603B (zh) * | 2012-02-14 | 2014-12-17 | 成都欣点科技有限公司 | 以太网端口控制装置及方法 |
| CN102571603A (zh) * | 2012-02-14 | 2012-07-11 | 成都欣点科技有限公司 | 以太网端口控制装置及方法 |
| WO2014040235A1 (zh) * | 2012-09-12 | 2014-03-20 | 华为技术有限公司 | 移动回传网络中的通信方法、设备和系统 |
| CN103249091B (zh) * | 2013-04-08 | 2016-03-02 | 华为技术有限公司 | 一种HQoS控制方法、RSG及HQoS控制系统 |
| WO2014166271A1 (zh) * | 2013-04-08 | 2014-10-16 | 华为技术有限公司 | 一种HQoS控制方法、RSG及HQoS控制系统 |
| CN103249091A (zh) * | 2013-04-08 | 2013-08-14 | 华为技术有限公司 | 一种HQoS控制方法、RSG及HQoS控制系统 |
| US9992706B2 (en) | 2013-04-08 | 2018-06-05 | Huawei Technologies Co., Ltd. | HQoS control method, RSG and HQoS control system |
| CN104219146A (zh) * | 2013-06-04 | 2014-12-17 | 上海贝尔股份有限公司 | 接入网中基于ancp配置标签的方法和装置 |
| CN104219146B (zh) * | 2013-06-04 | 2018-09-04 | 上海诺基亚贝尔股份有限公司 | 接入网中基于ancp配置标签的方法和装置 |
| CN105592095A (zh) * | 2015-12-31 | 2016-05-18 | 迈普通信技术股份有限公司 | 一种网络接入认证方法及接入认证设备 |
| CN105592095B (zh) * | 2015-12-31 | 2018-09-18 | 迈普通信技术股份有限公司 | 一种网络接入认证方法及接入认证设备 |
| CN114024756A (zh) * | 2021-11-09 | 2022-02-08 | 迈普通信技术股份有限公司 | 接入认证方法、装置、电子设备及计算机可读存储介质 |
| CN114024756B (zh) * | 2021-11-09 | 2024-04-09 | 迈普通信技术股份有限公司 | 接入认证方法、装置、电子设备及计算机可读存储介质 |
| WO2024021408A1 (zh) * | 2022-07-26 | 2024-02-01 | 浙江中控技术股份有限公司 | 一种控制设备准入的方法、装置及相关产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102244863B (zh) | 2015-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102490909B1 (ko) | 광대역 네트워크 게이트웨이와 5세대 코어 간의 상호작용 | |
| CN102244863B (zh) | 基于802.lx的接入认证方法、接入设备及汇聚设备 | |
| CN101426004A (zh) | 三层会话的接入方法、系统及设备 | |
| US10615991B2 (en) | Providing hybrid network connectivity to at least one client device being connected to a telecommunications network using a customer premises equipment device or functionality | |
| EP1764975B1 (en) | Distributed authentication functionality | |
| CN107547383A (zh) | 路径检测方法及装置 | |
| KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
| CN103036809A (zh) | 用于具有有效链路利用的可伸缩网络的方法和装置 | |
| CN103036784A (zh) | 用于自组织二层企业网络架构的方法和装置 | |
| CN101110745A (zh) | 衔接二层网络和三层网络的方法、装置和系统 | |
| CN104541483B (zh) | 用于连接性故障时为家庭网络启用重新路由的方法和系统 | |
| CN107241454B (zh) | 一种实现地址管理的方法、装置、aaa服务器及sdn控制器 | |
| CN101257420A (zh) | 一种点对点协议接入方法、系统及接入节点设备 | |
| EP2720419A1 (en) | Method and system for reducing packet loss in a service protection scheme | |
| EP3583751B1 (en) | Method for an improved deployment and use of network nodes of a switching fabric of a data center or within a central office point of delivery of a broadband access network of a telecommunications network | |
| CN102984070A (zh) | 一种以太网无编号接口实现数据转发方法 | |
| CN108141743A (zh) | 用于电信网络与至少一个用户装备之间的至少一个通信交换的改进的处置的方法、电信网络、用户装备、系统、程序和计算机程序产品 | |
| CN107743095A (zh) | 报文转发方法和装置 | |
| CN100466590C (zh) | 一种V_Switch透传数据实现负荷分担的方法 | |
| CN108616877A (zh) | 一种小型基站的通信方法、系统及设备 | |
| CN111683307B (zh) | 一种olt多级交换下业务接入的方法及系统 | |
| CN101931582B (zh) | 一种实现以太网二层伪线仿真业务的方法及装置 | |
| Dedecker et al. | Network virtualization as an integrated solution for emergency communication | |
| CN102045198B (zh) | 固网多协议标签交换虚拟专用网络备份传输方法和系统 | |
| JP3936319B2 (ja) | 疎通確認方法、データ中継装置、データ中継システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150527 |