CN102255874B - 一种安全接入方法及汇聚设备 - Google Patents
一种安全接入方法及汇聚设备 Download PDFInfo
- Publication number
- CN102255874B CN102255874B CN201010181515.8A CN201010181515A CN102255874B CN 102255874 B CN102255874 B CN 102255874B CN 201010181515 A CN201010181515 A CN 201010181515A CN 102255874 B CN102255874 B CN 102255874B
- Authority
- CN
- China
- Prior art keywords
- nas
- message
- agg
- dhcpv6
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种安全接入方法和AGG,其中方法包括:A、AGG预先为NAS的安全级别设置对应的IPv6地址/前缀以及ACL过滤规则;B、AGG向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀,并在连接所述NAS的端口下发所述NAS的安全级别对应ACL过滤规则;C、用户设备采用所述IPv6地址/前缀,通过NAS向所述AGG发送报文;AGG接收所述报文,在接收所述报文的端口上采用步骤B中下发的ACL过滤规则对所述报文进行过滤。本发明能够保证混合组网中安全区域的安全性。
Description
技术领域
本发明涉及安全接入技术领域,尤其涉及一种安全接入方法及汇聚设备(AGG,aggregate)。
背景技术
目前,IPv6地址的自动配置方式包括两类:RFC4862规定的邻居发现(ND,Neighbor Discovery)无状态地址自动配置(SLAAC,Stateless AddressAutoconfiguration)和RFC3513规定的IPv6动态主机配置协议(DHCPv6,Dynamic Hosting Configuration Protocol)有状态地址配置。
上述两种技术均具备安全控制功能,其中,ND无状态地址自动配置技术的安全功能称为ND监听(ND Snooping)功能,DHCPv6有状态地址配置技术的安全功能称为DHCPv6Snooping功能。ND Snooping能够检查用户的合法性,防止仿冒用户的攻击;DHCPv6Snooping能够不仅能够检查用户的合法性,防止仿冒用户的攻击,还能够保证用户从合法的DHCP服务器获取IPv6地址。可见,DHCPv6Snooping功能比ND Snooping功能的安全性更强。
现有技术中,如果在网络接入设备(NAS)上部署ND Snooping功能或DHCPSnooping功能,可以完善地保证接入用户的安全,防止仿冒用户的攻击。在实际网络中,由于NAS往往是逐步更新的,经常出现部分NAS已部署ND Snooping功能或DHCP Snooping功能、而另一部分NAS尚未部署ND Snooping功能或DHCP Snooping功能的情况。这种情况下,在同一VLAN内既存在支持接入安全的NAS设备(以下简称SECNAS)、又存在不支持接入安全的NAS设备(以下简称NSECNAS)。如图1为现有技术中的混合组网结构示意图。在图1所示的组网中,所有的SECNAS及与其连接的用户设备构成安全区域(SEC AREA),所有的NSECNAS及与其连接的用户设备构成非安全区域(NSEC AREA)。SECNAS能够对连接在其上的用户设备进行安全接入,保证只有合法的用户设备才能被接入;而NSECNAS无法对连接在其上的用户设备进行安全接入,这些用户设备就可以随意访问网络,有可能攻击其它用户设备。可见,在支持安全接入的SECNAS和不支持安全接入的NSECNAS的混合组网中,无法保证安全区域的安全性,连接在SECNAS上的用户设备也可能被攻击。
发明内容
本发明提供了一种安全接入方法,能够保证SECNAS和NSECNAS的混合组网中安全区域的安全性。
本发明还提出一种AGG,能够保证SECNAS和NSECNAS的混合组网中安全区域的安全性。
本发明的技术方案是这样实现的:
一种安全接入方法,所述方法应用于包括用户设备、AGG和多个不同安全级别的NAS的混合组网所述方法包括:
A、AGG预先为NAS的安全级别设置对应的IPv6地址/前缀以及访问控制列表ACL过滤规则;
B、AGG向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀,并在连接所述NAS的端口下发所述NAS的安全级别对应ACL过滤规则;
C、用户设备采用所述IPv6地址/前缀,通过NAS向所述AGG发送报文;AGG接收所述报文,在接收所述报文的端口上采用步骤B中下发的ACL过滤规则对所述报文进行过滤。
一种AGG,包括:
预设模块,用于预先为NAS的安全级别设置对应的IPv6地址/前缀以及ACL过滤规则;
地址下发模块,用于向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀;
ACL下发模块,用于向连接NAS的端口下发所述NAS的安全级别对应ACL过滤规则;
安全接入模块,用于接收NAS转发的报文,在所述接收报文的端口上采用ACL过滤规则对所述报文进行过滤。
可见,本发明提出的安全接入方法和AGG,通过在AGG设备上对同一链路内的SECNAS和NSECNAS分别公布不同的IPv6地址/前缀,并在后续的转发过程中,对NAS的接入端口应用相应的访问控制列表(ACL,AccessControl List)过滤规则,从而将SECNAS和NSECNAS的区域分隔开,保证SECNAS区域的安全性,使得NSECNAS区域的安全威胁只局限在NSECNAS区域内。
附图说明
图1为现有技术中的混合组网结构示意图;
图2为本发明提出的安全接入方法流程图;
图3为本发明实施例扩展字段的结构示意图;
图4为本发明实施例发送安全级RA消息,采用ND无状态地址自动配置方式进行地址配置的流程图;
图5为本发明实施例发送普通级RA消息,采用ND无状态地址自动配置方式进行地址配置的流程图;
图6为本发明实施例AGG作为DHCPv6中继设备时,发送安全级RA消息,采用DHCPv6有状态地址配置方式进行地址配置的流程图;
图7为本发明实施例AGG作为DHCPv6服务器时,发送安全级RA消息,采用DHCPv6有状态地址配置方式进行地址配置的流程图;
图8为本发明实施例AGG作为DHCPv6中继设备时,发送普通级RA消息,采用DHCPv6有状态地址配置方式进行地址配置的流程图;
图9为本发明实施例AGG作为DHCPv6服务器时,发送普通级RA消息,采用DHCPv6有状态地址配置方式进行地址配置的流程图。
具体实施方式
本发明提出一种安全接入方法,应用于图1所示的混合组网中,如图2为本发明提出的安全接入方法流程图,该方法包括:
步骤201:AGG预先为NAS的安全级别设置对应的IPv6地址/前缀以及ACL过滤规则;
步骤202:AGG向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀,并在连接所述NAS的端口下发所述NAS的安全级别对应ACL过滤规则;
步骤203:用户设备采用所述IPv6地址/前缀,通过NAS向所述AGG发送报文;AGG接收所述报文,在接收所述报文的端口上采用步骤202中下发的ACL过滤规则对所述报文进行过滤。
在图1所示的混合组网中,NAS的安全级别包括安全和不安全,安全NAS为SECNAS,不安全NAS为NSECNAS。为了实现本发明,需要预先进行设备预配置,具体包括:
1)将路由通告(RA,Router Advertisement)消息设置为两级:安全级和普通级,分别设置在AGG的各个端口上:
在现有技术中,RA消息包括IPv6前缀、O标记、M标记;可选包括RA消息的源IPv6地址和源MAC地址,将作为各接入用户设备的网关IPv6地址和MAC使用。
本发明可以将RA消息分为两个级别:安全级和普通级。安全级RA消息只分配给SECNAS设备下挂接的用户设备,普通级RA消息则主要分配给NSECNAS下挂接的用户。两者的区别可能有前缀/地址分配方式等。
M标记可以用来表示进行地址配置的方式,例如,当M=1时,表示采用DHCPv6有状态地址配置方式进行地址配置;当M=0时,表示采用ND无状态地址自动配置方式进行地址配置。
2)SECNAS设备和AGG设备同时配置扩展字段(如Authentication字段):
为了使AGG设备识别出SECNAS和NSECNAS,SECNAS在接收到用户设备发送的路由请求(RS,Router Solicitation)消息后,可以在该RS消息中添加Authentication字段,用于表明自身为SECNAS,之后将所述包含Authentication字段的RS消息转发至AGG;AGG根据该Authentication字段,识别出该NAS为SECNAS;
如图3为本发明实施例扩展字段的结构示意图。其中,类型(Type)字段可以为8bit,其值使用互联网数字分配机构(INAN)未定义的数值254,也可以配置为其他数值,代表其后携带的内容是Authentication字段。长度(Length)字段可以为8bit,表示整个扩展字段的长度。
NSECNAS不具备添加扩展字段的功能,当NSECNAS接收到用户设备发送的RS消息时,将所述RS消息直接转发至AGG;AGG根据所述RS消息,识别出该NAS为NSECNAS。
3)当AGG作为DHCPv6服务器时,将DHCPv6安全级别分为安全级和普通级,分别配置AGG设备的每个端口上。两者的区别可以是地址/前缀,或者地址前缀配置方式。安全级DHCPv6对应安全级的IPv6地址/前缀,普通级DHCPv6对应普通级的IPv6地址/前缀。
当AGG作为DHCPv6中继设备时,将DHCPv6安全级别分为安全级和普通级,分别配置AGG设备的每个端口上,分别设置安全级DHCPv6对应的端口MAC和普通级DHCPv6对应的端口MAC。配置两个Interface-id选项,其内容为:安全级DHCPv6对应的端口MAC和普通级DHCPv6对应的端口MAC(两个不同级别的端口MAC,预先要配置在AGG设备和DHCPv6服务器上),以便DHCPv6服务器根据这个选项来决定分配哪个级别的地址。
上述预配置完成之后,就可以向不同安全级别的NAS挂接的用户设备下发对应的IPv6地址/前缀,并向连接NAS的端口下发对应的ACL过滤规则。下发的过程分为两步:第一步,根据NAS的安全级别,AGG向NAS下发不同级别的RA消息,要求NAS下挂接的用户设备采用DHCPv6有状态地址配置或ND无状态地址自动配置方式进行地址配置;第二步,配置地址及下发ACL过滤规则。
上述第一步中,AGG首先需获知NAS的安全级别,之后才能向NAS发送RA消息,AGG发送RA消息的方式有两种:
1)针对AGG所接入的SECNAS、NSECNAS设备,分别手工配置对应端口上的RA消息,下发不同的前缀等地址配置相关信息
在所述AGG连接SECNAS的端口上配置安全级RA消息,在所述AGG连接NSECNAS的端口上配置普通级RA消息。
2)针对用户,动态下发端口的配置:
SECNAS接收用户设备发送的RS消息时,在所述RS消息中添加表明自身为SECNAS的扩展字段(Authentication),将所述包含扩展字段的RS消息转发至AGG;AGG根据所述包含扩展字段的RS消息,识别出该NAS为SECNAS,在其端口上进行相应的设置,然后回应对应的安全级RA消息。
NSECNAS不具备增加扩展字段的功能,当接收到用户设备发送的RS消息时,直接转发该RS消息;AGG根据该RS消息,识别出该NAS为NSECNAS,在其端口上进行相应的设置,然后回应对应的普通级RA消息。
上述第一步完成之后,继续进行第二步,即配置地址及下发ACL过滤规则。
上述步骤202中,所述AGG向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀可以包括:
AGG向安全NAS发送安全级RA消息;所述安全NAS将所述安全级RA消息转发至其挂接的用户设备,要求所述用户设备采用DHCPv6有状态地址配置方式进行地址配置;所述AGG采用DHCPv6有状态地址配置方式为用户设备分配安全NAS对应的IPv6地址;
或者,AGG向安全NAS发送安全级RA消息,所述安全级RA消息携带安全NAS对应的IPv6前缀;所述安全NAS将所述安全级RA消息转发至其挂接的用户设备,要求所述用户设备采用ND无状态地址自动配置进行地址配置;所述用户设备根据所述安全NAS对应的IPv6前缀和自身的接口ID,自动配置自身的IPv6地址;
或者,AGG向不安全NAS发送普通级RA消息;所述不安全NAS将所述普通级RA消息转发至其挂接的用户设备,要求所述用户设备采用DHCPv6有状态地址配置方式进行地址配置;所述AGG采用DHCPv6有状态地址配置方式为用户设备分配不安全NAS对应的IPv6地址;
或者,AGG向不安全NAS发送普通级RA消息,所述普通级RA消息携带不安全NAS对应的IPv6前缀;所述不安全NAS将所述普通级RA消息转发至其挂接的用户设备,要求所述用户设备采用ND无状态地址自动配置进行地址配置;所述用户设备根据所述不安全NAS对应的IPv6前缀和自身的接口ID,自动配置自身的IPv6地址。
如果上述RA消息要求NAS挂接的用户设备采用ND无状态地址自动配置方式进行地址配置,该RA消息还携带该NAS的安全级别对应的IPv6前缀;用户设备根据IPv6前缀本机接口ID,自动配置本机的IPv6地址。
如果上述RA消息要求NAS挂接的用户设备采用DHCPv6有状态地址配置方式进行地址配置,此时需要AGG要对DHCPv6过程进行干预。具体过程如下:
当ACG作为DHCPv6服务器时,依据端口的DHCPv6安全级别,分别采用不同的前缀/地址池:安全级DHCPv6对应安全级的IPv6前缀/地址池,普通级DHCPv6对应普通级的IPv6前缀/地址池。进而在相应端口的处理DHCPv6请求时,分配不同的IPv6前缀/地址,以及对应的其它IPv6网络参数。
当AGG作为DHCPv6中继设备时,则在转发时分别添加Interface-id选项,其内容为:普通级DHCPv6对应的端口MAC或安全级DHCPv6对应的端口MAC(两个不同级别的端口MAC,预先要配置在AGG和DHCPv6服务器中)。然后DHCPv6服务器根据这个Interface-id选项来决定分配哪个级别的IPv6地址/前缀,以及对应的其它网络参数。
如图4为本发明实施例发送安全级RA消息,采用ND无状态地址自动配置方式进行地址配置的流程图,包括:
步骤401:用户设备向SECNAS发送RS消息。
步骤402:SECNAS在该RS消息中添加Authentication字段,将添加Authentication字段后的RS消息发送至AGG。
步骤403:AGG接收该RS消息,判断出发送该RS消息的NAS设备为SECNAS,向SECNAS回复安全级RA消息,该RA消息中的M标记取值为0。并且携带为SECNAS分配的IPv6前缀。并且,AGG在连接该SECNAS的端口下发SECNAS对应的ACL过滤规则。
步骤404:SECNAS将该安全级RA消息转发至其下挂接的用户设备。
步骤405:用户设备按照该安全级RA消息的要求,利用其携带的IPv6前缀及自身接口ID,采用ND无状态地址自动配置进行地址配置。
如图5为本发明实施例发送普通级RA消息,采用ND无状态地址自动配置方式进行地址配置的流程图,包括:
步骤501:用户设备向NSECNAS发送RS消息。
步骤502:NSECNAS将该RS消息直接转发至AGG,该RS消息不含Authentication字段。
步骤503:AGG接收该RS消息,判断出发送该RS消息的NAS设备为NSECNAS,向NSECNAS回复普通级RA消息,该普通级RA消息中的M标记取值为0,并且携带为NSECNAS分配的IPv6前缀。并且,AGG在连接该NSECNAS的端口下发NSECNAS对应的ACL过滤规则。
步骤504:NSECNAS将该普通级RA消息转发至其下挂接的用户设备。
步骤505:用户设备按照该普通级RA消息的要求,利用其携带的IPv6前缀及自身接口ID,采用ND无状态地址自动配置进行地址配置。
如图6为本发明实施例AGG作为DHCPv6中继设备时,发送安全级RA消息,采用DHCPv6有状态地址配置方式进行地址配置的流程图,包括:
步骤601:用户设备向SECNAS发送RS消息。
步骤602:SECNAS在该RS消息中添加Authentication字段,将添加Authentication字段后的RS消息发送至AGG。
步骤603:AGG接收该RS消息,判断出发送该RS消息的NAS设备为SECNAS,向SECNAS回复安全级RA消息,该安全级RA消息中的M标记取值为1。
步骤604:SECNAS将该安全级RA消息转发至其下挂接的用户设备。
步骤605:用户设备向SECNAS发送DHCP请求(DHCP Solicit)消息,SECNAS将该DHCP Solicit消息转发至AGG。
步骤606:AGG接收到来自SECNAS的DHCP Solicit消息,根据连接该SECNAS的端口的DHCP安全级别,在该DHCP Solicit消息中添加对应安全级别的端口MAC,将添加后的DHCP Solicit消息转发至DHCPv6服务器。在本实施例中,添加Interface-id选项,并将Interface-id选项取值为安全的端口MAC。
步骤607:DHCPv6服务器根据DHCP Solicit消息中的端口MAC为SECNAS分配对应的IPv6前缀/地址,将该IPv6前缀/地址反馈至AGG。在本实施例中,DHCPv6服务器分配安全的IPv6地址。
步骤608:AGG接收该安全的IPv6地址,将该安全的IPv6地址下发至SECNAS下挂的用户设备,并且,AGG在连接该SECNAS的端口上下发SECNAS对应的ACL过滤规则。
如图7为本发明实施例AGG作为DHCPv6服务器时,发送安全级RA消息,采用DHCPv6有状态地址配置方式进行地址配置的流程图,包括:
步骤701:用户设备向SECNAS发送RS消息。
步骤702:SECNAS在该RS消息中添加Authentication字段,将添加Authentication字段后的RS消息发送至AGG。
步骤703:AGG接收该RS消息,判断出发送该RS消息的NAS设备为SECNAS,向SECNAS回复安全级RA消息,该安全级RA消息中的M标记取值为1。
步骤704:SECNAS将该安全级RA消息转发至其下挂接的用户设备。
步骤705:用户设备向SECNAS发送DHCP请求(DHCP Solicit)消息,SECNAS将该DHCP Solicit消息转发至AGG。
步骤706:AGG接收到来自SECNAS的DHCP Solicit消息,根据接收端口的DHCPv6安全级别,为该SECNAS分配对应的IPv6前缀/地址,将该IPv6前缀/地址通过SECNAS下发至其下挂的用户设备。在本实施例中,AGG分配安全的IPv6地址。并且,AGG在连接该SECNAS的端口上下发SECNAS对应的ACL过滤规则。
如图8为本发明实施例AGG作为DHCPv6中继设备时,发送普通级RA消息,采用DHCPv6有状态地址配置方式进行地址配置的流程图,包括:
步骤801:用户设备向NSECNAS发送RS消息。
步骤802:NSECNAS将该RS消息直接转发至AGG,该RS消息不合Authentication字段。
步骤803:AGG接收该RS消息,判断出发送该RS消息的NAS设备为NSECNAS,向NSECNAS回复普通级RA消息,该普通级RA消息中的M标记取值为1。
步骤804:NSECNAS将该普通级RA消息转发至其下挂接的用户设备。
步骤805:用户设备向NSECNAS发送DHCP请求(DHCP Solicit)消息,NSECNAS将该DHCP Solicit消息转发至AGG。
步骤806:AGG接收到来自NSECNAS的DHCP Solicit消息,根据连接该NSECNAS的端口的DHCP安全级别,在该DHCP Solicit消息中添加对应安全级别的端口MAC,将添加后的DHCP Solicit消息转发至DHCPv6服务器。在本实施例中,添加Interface-id选项,并将Interface-id选项取值为不安全的端口MAC。
步骤807:DHCPv6服务器根据DHCP Solicit消息中的端口MAC为NSECNAS分配对应的IPv6前缀/地址,将该IPv6前缀/地址反馈至AGG。在本实施例中,DHCPv6服务器分配不安全的IPv6地址。
步骤808:AGG接收该不安全的IPv6地址,将该不安全的IPv6地址下发至NSECNAS下挂的用户设备,并且,AGG在连接该NSECNAS的端口上下发NSECNAS对应的ACL过滤规则。
如图9为本发明实施例AGG作为DHCPv6服务器时,发送普通级RA消息,采用DHCPv6有状态地址配置方式进行地址配置的流程图,包括:
步骤901:用户设备向NSECNAS发送RS消息。
步骤902:NSECNAS将该RS消息直接转发至AGG,该RS消息不含Authentication字段。
步骤903:AGG接收该RS消息,判断出发送该RS消息的NAS设备为NSECNAS,向NSECNAS回复普通级RA消息,该普通级RA消息中的M标记取值为1。
步骤904:NSECNAS将该普通级RA消息转发至其下挂接的用户设备。
步骤905:用户设备向NSECNAS发送DHCP请求(DHCP Solicit)消息,NSECNAS将该DHCP Solicit消息转发至AGG。
步骤906:AGG接收到来自NSECNAS的DHCP Solicit消息,根据接收端口的DHCPv6安全级别,为该NSECNAS分配对应的IPv6前缀/地址,将该IPv6前缀/地址通过NSECNAS下发至其下挂的用户设备。在本实施例中,AGG分配不安全的IPv6地址。并且,AGG在连接该NSECNAS的端口上下发NSECNAS对应的ACL过滤规则。
通过上述过程,AGG将不同安全级别的NAS设备对应的IPv6地址/前缀下发至NAS设备下挂接的用户设备,并且AGG在对应端口上下发了此IPv6地址/前缀的ACL过滤规则,即源地址过滤ACL;只有源地址匹配已分配IPv6地址/前缀的报文才可能被AGG设备接收,从而使得SECNAS和NSECNAS相对隔离,SECNAS的安全性可以得到保证。ACL过滤规则具体可以为:
1)在使用ND无状态地址自动配置方式的情况下,过滤条件为使用RA消息中的IPv6地址前缀对后续报文进行过滤。可选添加RA消息所对应的网关地址,即检查报文目的地址的MAC是否为RA消息的源MAC地址。过滤动作可以包括符合则允许通过,否则丢弃等。对于普通级RA消息包含的IPv6地址前缀,可以通过限制其允许访问的网站,以保证网络的安全性。
2)在使用DHCPv6有状态地址配置方式的情况下,分配了IPv6地址后,下发ACL过滤规则,可以是完全地址的过滤规则,也可以是前缀部分的过滤规则。可选添加RA消息所对应的网关地址,即检查数据报文目的地址的IPv6地址和MAC是否为RA公告的地址,如果不是则丢弃。过滤动作可以包括符合则允许通过,否则丢弃等。对于普通级DHCPv6分配地址对应的前缀,可以通过限制其允许访问的网站,以保证网络的安全性。
本发明还提出一种AGG设备,如图7为本发明实施例AGG设备的结构示意图,该AGG设备可以包括:
预设模块701,用于预先为NAS的安全级别设置对应的IPv6地址/前缀以及ACL过滤规则;
地址下发模块702,用于向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀;
ACL下发模块703,用于向连接NAS的端口下发所述NAS的安全级别对应ACL过滤规则;
安全接入模块704,用于接收NAS转发的报文,在所述接收报文的端口上采用ACL过滤规则对所述报文进行过滤。
上述AGG中,地址下发模块702可以用于向安全NAS发送安全级RA消息,要求所述安全NAS挂接的用户设备采用DHCPv6有状态地址配置方式进行地址配置;还用于采用DHCPv6有状态地址配置方式为所述安全NAS挂接的用户设备分配安全NAS对应的IPv6地址;
或者,地址下发模块702,可以用于向安全NAS发送安全级RA消息,所述安全级RA消息携带安全NAS对应的IPv6前缀,要求所述安全NAS挂接的用户设备采用ND无状态地址自动配置进行地址配置;
或者,所述地址下发模块702,可以用于向不安全NAS发送普通级RA消息,要求所述不安全NAS挂接的用户设备采用DHCPv6有状态地址配置方式进行地址配置;还用于采用DHCPv6有状态地址配置方式为所述不安全NAS挂接的用户设备分配不安全NAS对应的IPv6地址;
或者,所述地址下发模块702,可以用于向不安全NAS发送普通级RA消息,所述普通级RA消息携带不安全NAS对应的IPv6前缀,要求所述不安全NAS挂接的用户设备采用ND无状态地址自动配置进行地址配置。
上述AGG中,地址下发模块702采用DHCPv6有状态地址配置方式为用户设备分配IPv6地址可以包括:
当所述AGG作为DHCPv6服务器时,当所述AGG接收到来自NAS的DHCPv6请求时,根据接收端口的DHCPv6安全级别为所述NAS分配对应的IPv6地址/前缀,将所述IPv6地址/前缀通过所述NAS下发至用户设备。
或者,当所述AGG作为DHCPv6中继设备时,当所述AGG接收到来自NAS的DHCPv6请求时,根据连接所述NAS的端口的DHCPv6安全级别,在所述DHCPv6请求中添加对应安全级别的端口MAC,将添加端口MAC后的DHCPv6请求转发至DHCPv6服务器;接收DHCPv6服务器为所述NAS分配的IPv6地址/前缀,将所述IPv6地址/前缀下发至所述NAS挂接的用户设备
综上可见,本发明提出的安全接入方法和AGG,应用于同时包括SECNAS和NSECNAS的混合组网中,在AGG设备上对同一链路内的SECNAS和NSECNAS分别公布不同的IPv6地址/前缀,并在端口上下发不同的ACL过滤规则;在后续的转发过程中,AGG设备的端口应用不同的ACL过滤规则对NAS发送的报文进行过滤,从而将SECNAS和NSECNAS的区域分隔开,保证SECNAS区域的安全性,使得NSECNAS区域的安全威胁只局限在NSECNAS区域内。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (11)
1.一种安全接入方法,所述方法应用于包括用户设备、汇聚设备AGG和多个不同安全级别的网络接入设备NAS的混合组网,其特征在于,所述方法包括:
A、AGG预先为NAS的安全级别设置对应的IPv6地址/前缀以及访问控制列表ACL过滤规则;
B、AGG向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀,并在连接所述NAS的端口下发所述NAS的安全级别对应ACL过滤规则;
C、用户设备采用所述IPv6地址/前缀,通过NAS向所述AGG发送报文;AGG接收所述报文,在接收所述报文的端口上采用步骤B中下发的ACL过滤规则对所述报文进行过滤。
2.根据权利要求1所述的方法,其特征在于,所述NAS的安全级别包括安全和不安全;
所述步骤B之前进一步包括:
B0、AGG预先设置NAS安全级别对应的路由通告RA消息级别;其中,安全NAS对应安全级RA消息,不安全NAS对应普通级RA消息。
3.根据权利要求2所述的方法,其特征在于,所述步骤B0之后、并在所述步骤B之前进一步包括:
在所述AGG连接安全NAS的端口上配置安全级RA消息,在所述AGG连接不安全NAS的端口上配置普通级RA消息。
4.根据权利要求2所述的方法,其特征在于,所述步骤B0之后、并在所述步骤B之前进一步包括:
当安全NAS接收用户设备发送的路由请求RS消息时,在所述RS消息中添加表明自身为安全NAS的扩展字段,将所述包含扩展字段的RS消息转发至AGG;AGG根据所述包含扩展字段的RS消息,识别出该NAS为安全NAS;
或者,当不安全NAS接收用户设备发送的RS消息时,将所述RS消息直接转发至AGG;AGG根据所述RS消息,识别出该NAS为不安全NAS。
5.根据权利要求2、3或4所述的方法,其特征在于,步骤B中所述AGG向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀包括:
AGG向安全NAS发送安全级RA消息;所述安全NAS将所述安全级RA消息转发至其挂接的用户设备,要求所述用户设备采用IPv6动态主机配置协议DHCPv6有状态地址配置方式进行地址配置;所述AGG采用DHCPv6有状态地址配置方式为用户设备分配安全NAS对应的IPv6地址;
或者,AGG向安全NAS发送安全级RA消息,所述安全级RA消息携带安全NAS对应的IPv6前缀;所述安全NAS将所述安全级RA消息转发至其挂接的用户设备,要求所述用户设备采用邻居发现ND无状态地址自动配置进行地址配置;所述用户设备根据所述安全NAS对应的IPv6前缀和自身的接口ID,自动配置自身的IPv6地址;
或者,AGG向不安全NAS发送普通级RA消息;所述不安全NAS将所述普通级RA消息转发至其挂接的用户设备,要求所述用户设备采用DHCPv6有状态地址配置方式进行地址配置;所述AGG采用DHCPv6有状态地址配置方式为用户设备分配不安全NAS对应的IPv6地址;
或者,AGG向不安全NAS发送普通级RA消息,所述普通级RA消息携带不安全NAS对应的IPv6前缀;所述不安全NAS将所述普通级RA消息转发至其挂接的用户设备,要求所述用户设备采用ND无状态地址自动配置进行地址配置;所述用户设备根据所述不安全NAS对应的IPv6前缀和自身的接口ID,自动配置自身的IPv6地址。
6.根据权利要求5所述的方法,其特征在于,所述AGG采用DHCPv6有状态地址配置方式为用户设备分配IPv6地址包括:
当所述AGG作为DHCPv6服务器时,预先为AGG连接NAS的端口设置DHCPv6安全级别,所述DHCPv6安全级别包括安全级DHCPv6和普通级DHCPv6;设置DHCPv6安全级别对应的IPv6地址/前缀,其中,安全级DHCPv6对应安全级的IPv6地址/前缀,普通级DHCPv6对应普通级的IPv6地址/前缀;
当所述AGG接收到来自NAS的DHCPv6请求时,根据接收端口的DHCPv6安全级别为所述NAS分配对应的IPv6地址/前缀,将所述IPv6地址/前缀通过所述NAS下发至用户设备。
7.根据权利要求5所述的方法,其特征在于,所述AGG采用DHCPv6有状态地址配置方式为用户设备分配IPv6地址包括:
当所述AGG作为DHCPv6中继设备时,预先为AGG连接NAS的端口设置DHCPv6安全级别,所述DHCPv6安全级别包括安全级DHCPv6和普通级DHCPv6;分别设置安全级DHCPv6对应的端口MAC和普通级DHCPv6对应的端口MAC;
当所述AGG接收到来自NAS的DHCPv6请求时,根据连接所述NAS的端口的DHCPv6安全级别,在所述DHCPv6请求中添加对应安全级别的端口MAC,将添加端口MAC后的DHCPv6请求转发至DHCPv6服务器;所述DHCPv6服务器根据所述端口MAC为NAS分配对应的IPv6地址/前缀,将所述IPv6地址/前缀下发至NAS挂接的用户设备。
8.一种汇聚设备AGG,其特征在于,所述AGG应用于包含多个不同安全级别的网络接入设备NAS的混合组网,所述AGG包括:
预设模块,用于预先为NAS的安全级别设置对应的IPv6地址/前缀以及ACL过滤规则;
地址下发模块,用于向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀;
ACL下发模块,用于向连接NAS的端口下发所述NAS的安全级别对应ACL过滤规则;
安全接入模块,用于接收NAS转发的报文,在所述接收报文的端口上采用ACL过滤规则对所述报文进行过滤。
9.根据权利要求8所述的AGG,其特征在于,所述地址下发模块,用于向安全NAS发送安全级RA消息,要求所述安全NAS挂接的用户设备采用DHCPv6有状态地址配置方式进行地址配置;还用于采用DHCPv6有状态地址配置方式为所述安全NAS挂接的用户设备分配安全NAS对应的IPv6地址;
或者,地址下发模块,用于向安全NAS发送安全级RA消息,所述安全级RA消息携带安全NAS对应的IPv6前缀,要求所述安全NAS挂接的用户设备采用ND无状态地址自动配置进行地址配置;
或者,所述地址下发模块,用于向不安全NAS发送普通级RA消息,要求所述不安全NAS挂接的用户设备采用DHCPv6有状态地址配置方式进行地址配置;还用于采用DHCPv6有状态地址配置方式为所述不安全NAS挂接的用户设备分配不安全NAS对应的IPv6地址;
或者,所述地址下发模块,用于向不安全NAS发送普通级RA消息,所述普通级RA消息携带不安全NAS对应的IPv6前缀,要求所述不安全NAS挂接的用户设备采用ND无状态地址自动配置进行地址配置。
10.根据权利要求9所述的AGG,其特征在于,所述地址下发模块采用DHCPv6有状态地址配置方式为用户设备分配IPv6地址包括:
当所述AGG作为DHCPv6服务器时,当所述AGG接收到来自NAS的DHCPv6请求时,根据接收端口的DHCPv6安全级别为所述NAS分配对应的IPv6地址/前缀,将所述IPv6地址/前缀通过所述NAS下发至用户设备。
11.根据权利要求9所述的AGG,其特征在于,所述地址下发模块采用DHCPv6有状态地址配置方式为用户设备分配IPv6地址包括:
当所述AGG作为DHCPv6中继设备时,当所述AGG接收到来自NAS的DHCPv6请求时,根据连接所述NAS的端口的DHCPv6安全级别,在所述DHCPv6请求中添加对应安全级别的端口MAC,将添加端口MAC后的DHCPv6请求转发至DHCPv6服务器;接收DHCPv6服务器为所述NAS分配的IPv6地址/前缀,将所述IPv6地址/前缀下发至所述NAS挂接的用户设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010181515.8A CN102255874B (zh) | 2010-05-19 | 2010-05-19 | 一种安全接入方法及汇聚设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010181515.8A CN102255874B (zh) | 2010-05-19 | 2010-05-19 | 一种安全接入方法及汇聚设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102255874A CN102255874A (zh) | 2011-11-23 |
| CN102255874B true CN102255874B (zh) | 2014-03-12 |
Family
ID=44982875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010181515.8A Active CN102255874B (zh) | 2010-05-19 | 2010-05-19 | 一种安全接入方法及汇聚设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102255874B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105636035A (zh) * | 2015-03-30 | 2016-06-01 | 西安酷派软件科技有限公司 | 网络接入方法、网络接入装置和终端 |
| CN106888450B (zh) * | 2016-11-09 | 2019-01-08 | 中国移动通信有限公司研究院 | 信息处理方法及装置 |
| WO2020132984A1 (zh) * | 2018-12-26 | 2020-07-02 | 华为技术有限公司 | 一种IPv6地址的配置方法及路由设备 |
| CN112702311B (zh) * | 2020-11-30 | 2022-10-14 | 锐捷网络股份有限公司 | 一种基于端口的报文过滤方法和装置 |
| CN113114795B (zh) * | 2021-03-30 | 2022-07-08 | 烽火通信科技股份有限公司 | 一种IPv6地址分配方法及系统 |
| CN117439898B (zh) * | 2023-12-22 | 2024-03-12 | 深圳万物安全科技有限公司 | 网络设备识别方法、网络设备识别设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572712A (zh) * | 2009-06-09 | 2009-11-04 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
| CN101656725A (zh) * | 2009-09-24 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种实现安全接入的方法和一种接入设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4704247B2 (ja) * | 2006-03-03 | 2011-06-15 | 株式会社リコー | ネットワーク機器 |
| US8228798B2 (en) * | 2006-06-28 | 2012-07-24 | Cisco Technology, Inc. | QoS-aware service flow mapping in mobile wireless all IP networks |
-
2010
- 2010-05-19 CN CN201010181515.8A patent/CN102255874B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572712A (zh) * | 2009-06-09 | 2009-11-04 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
| CN101656725A (zh) * | 2009-09-24 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种实现安全接入的方法和一种接入设备 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2007-235853A 2007.09.13 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102255874A (zh) | 2011-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102255874B (zh) | 一种安全接入方法及汇聚设备 | |
| US8875233B2 (en) | Isolation VLAN for layer two access networks | |
| US9112725B2 (en) | Dynamic VLAN IP network entry | |
| US20030069990A1 (en) | Router discovery protocol on a mobile internet protocol based network | |
| US20180019945A1 (en) | Role based router functionality | |
| US8862705B2 (en) | Secure DHCP processing for layer two access networks | |
| CN101179603B (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
| CN104935572B (zh) | 多层级权限管理方法及装置 | |
| US9083705B2 (en) | Identifying NATed devices for device-specific traffic flow steering | |
| Singh et al. | Basic requirements for IPv6 customer edge routers | |
| EP3432550B1 (en) | Acceleration proxy device, acceleration proxy method and content management system | |
| JP2008547295A (ja) | 2種類の装置を管理する装置及び方法 | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| CN101662423A (zh) | 单一地址反向传输路径转发的实现方法及装置 | |
| CN101321102A (zh) | Dhcp服务器的检测方法与接入设备 | |
| CN102377669A (zh) | 发送报文的方法及交换机 | |
| CN102594834B (zh) | 网络攻击的防御方法及装置、网络设备 | |
| CN102571811A (zh) | 用户接入权限控制系统和方法 | |
| JP2007150633A (ja) | 無線lanアクセスポイント、これを用いたipアドレスの管理方法並びに管理プログラム | |
| EP1423949B2 (en) | Router discovery protocol on a mobile internet protocol based network | |
| CN112468475B (zh) | 一种接入子网源地址验证方法及系统 | |
| CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
| CN101945143A (zh) | 一种在混合组网下防止报文地址欺骗的方法及装置 | |
| CN116389345A (zh) | 分段路由策略的传输方法及装置、网络传输系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |