CN103368967A - 一种ip电话的安全接入方法和设备 - Google Patents
一种ip电话的安全接入方法和设备 Download PDFInfo
- Publication number
- CN103368967A CN103368967A CN2013103045936A CN201310304593A CN103368967A CN 103368967 A CN103368967 A CN 103368967A CN 2013103045936 A CN2013103045936 A CN 2013103045936A CN 201310304593 A CN201310304593 A CN 201310304593A CN 103368967 A CN103368967 A CN 103368967A
- Authority
- CN
- China
- Prior art keywords
- phone
- voice vlan
- vlan
- message
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种IP电话的安全接入方法和设备,该方法包括:接入设备在收到第一报文后,如果确定发送所述第一报文的是IP电话,则利用所述第一报文中携带的源MAC地址判断所述IP电话是否通过认证;如果是,则所述接入设备在收到所述第一报文的端口配置Voice VLAN以及QoS参数,并通过第二报文将所述Voice VLAN发送给所述IP电话;所述接入设备在通过所述端口收到来自所述IP电话的语音数据包时,如果确定所述语音数据包对应于所述端口上配置的Voice VLAN,则按照所述端口上配置的QoS参数发送所述语音数据包。本发明实施例中,提供IP电话的安全认证,提高网络的安全性,保证正常的语音通信。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种IP电话的安全接入方法和设备。
背景技术
IP(Internet Protocol,网络互连协议)电话是指使用VoIP(Voice over InternetProtocol,基于IP的语音)技术传输语音的电话。其中,IP电话在收到外部声音之后,将外部声音转换成语音数据包,并通过数据网络将该语音数据包传递到目的IP电话,并由目的IP电话将该语音数据包还原成原始声音。
如图1所示,为IP电话接入网络的示意图,IP电话与PC(Personal Computer,个人计算机)通过接入设备,例如交换机或NAS(Network Access Server,网络接入服务器)等,接入网络,且IP电话串接在PC与接入设备之间。
现有技术中,对于IP电话,接入设备为该IP电话提供专门的语音VLAN(Virtual Local Area Network,虚拟局域网),即Voice VLAN;IP电话通过VoiceVLAN进行语音数据包的传输,接入设备在收到Voice VLAN的语音数据包后,不对该语音数据包进行认证,直接通过数据网络发送该语音数据包。
但是,在上述方式中,由于接入设备不对Voice VLAN的语音数据包进行认证,容易使Voice VLAN受到恶意用户的流量攻击,例如恶意用户可以构造大量携带有Voice VLAN Tag(标签)的语音数据包,从而导致严重的安全隐患,影响网络的安全性。进一步的,接入设备在转发大量携带有Voice VLANTag的语音数据包时,会占用Voice VLAN的带宽,影响正常的语音通信。
发明内容
本发明实施例提供一种IP电话的安全接入方法和设备,以提供IP电话的安全认证,提高网络的安全性,并保证正常的语音通信。
为了达到上述目的,本发明实施例提供一种IP电话的安全接入方法,应用于包括IP电话、接入设备和认证服务器的网络中,该方法包括以下步骤:
所述接入设备在收到用于自动识别IP电话的第一报文后,如果确定发送所述第一报文的是IP电话,则利用所述第一报文中携带的源介质访问控制MAC地址判断所述IP电话是否通过所述认证服务器的认证;
如果所述IP电话通过认证,则所述接入设备在收到所述第一报文的端口配置语音虚拟局域网Voice VLAN以及服务质量QoS参数,并通过用于通知Voice VLAN的第二报文将所述Voice VLAN发送给所述IP电话;
所述接入设备在通过所述端口收到来自所述IP电话的语音数据包时,如果确定所述语音数据包对应于所述端口上配置的Voice VLAN,则按照所述端口上配置的QoS参数发送所述语音数据包。
所述接入设备利用所述第一报文中携带的源介质访问控制MAC地址判断所述IP电话是否通过所述认证服务器的认证,具体包括:
所述接入设备在所述IP电话通过所述认证服务器的认证时,如果确定本接入设备的端口上配置了Voice VLAN功能,则记录通过认证的IP电话的MAC地址与该MAC地址通过认证的对应关系;
所述接入设备利用所述第一报文中携带的源MAC地址查询所述对应关系,如果所述对应关系中记录有所述第一报文中携带的源MAC地址,则确定所述IP电话通过所述认证服务器的认证。
所述接入设备在收到所述第一报文的端口配置语音虚拟局域网VoiceVLAN,具体包括:当所述端口对应有专属Voice VLAN时,所述接入设备在所述端口上配置所述专属Voice VLAN;或者,当所述端口未对应有专属VoiceVLAN时,所述接入设备在所述端口上配置全局Voice VLAN。
所述接入设备在收到所述第一报文的端口配置Voice VLAN之后,所述方法还包括:所述接入设备在转发芯片的MAC表项中下发所述IP电话的MAC地址与所述Voice VLAN,以使所述转发芯片在收到对应于所述IP电话的MAC地址与所述Voice VLAN的语音数据包后,能够放行所述语音数据包。
所述接入设备确定所述语音数据包对应于所述端口上配置的VoiceVLAN,具体包括:当所述IP电话采用带VLAN标签tag的处理模式发送语音数据包时,所述接入设备利用所述语音数据包中携带的Voice VLAN tag确定所述语音数据包对应于所述端口上配置的Voice VLAN;或者,
所述接入设备在收到所述第一报文的端口配置Voice VLAN之后,配置所述IP电话的MAC地址与所述Voice VLAN的对应关系;当所述IP电话采用不带VLAN tag的处理模式发送语音数据包时,所述接入设备通过所述对应关系查询所述语音数据包中携带的源MAC地址所对应的Voice VLAN,并确定查询到的Voice VLAN对应于所述端口上配置的Voice VLAN。
本发明实施例提供一种接入设备,应用于包括IP电话、所述接入设备和认证服务器的网络中,所述接入设备,具体包括:
报文收发模块,用于接收来自所述IP电话的用于自动识别IP电话的第一报文;
LLDP模块,用于在收到用于自动识别IP电话的第一报文后,确定发送所述第一报文的是IP电话,并将发送所述第一报文的是IP电话的信息通知给语音虚拟局域网Voice VLAN模块;
认证模块,用于利用所述第一报文中携带的源介质访问控制MAC地址判断所述IP电话是否通过所述认证服务器的认证,在通过认证时,将所述IP电话通过认证的信息通知给Voice VLAN模块;
Voice VLAN模块,用于当发送所述第一报文的是IP电话,且所述IP电话通过所述认证服务器的认证时,在收到所述第一报文的端口配置VoiceVLAN以及服务质量QoS参数,并通过用于通知Voice VLAN的第二报文将所述Voice VLAN发送给所述IP电话;在通过所述端口收到来自所述IP电话的语音数据包时,如果确定所述语音数据包对应于所述端口上配置的VoiceVLAN,则按照所述端口上配置的QoS参数发送所述语音数据包。
所述认证模块,具体用于在所述IP电话通过所述认证服务器的认证时,如果确定本接入设备的端口上配置了Voice VLAN功能,则记录通过认证的IP电话的MAC地址与该MAC地址通过认证的对应关系;利用所述第一报文中携带的源MAC地址查询所述对应关系,如果所述对应关系中记录有所述第一报文中携带的源MAC地址,则确定所述IP电话通过所述认证服务器的认证。
所述Voice VLAN模块,具体用于当所述端口对应有专属Voice VLAN时,在所述端口上配置所述专属Voice VLAN;或者,当所述端口未对应有专属Voice VLAN时,在所述端口上配置全局Voice VLAN。
所述Voice VLAN模块,还用于在收到所述第一报文的端口配置VoiceVLAN之后,在转发芯片的MAC表项中下发所述IP电话的MAC地址与所述Voice VLAN,以使所述转发芯片在收到对应于所述IP电话的MAC地址与所述Voice VLAN的语音数据包后,能够放行所述语音数据包。
所述Voice VLAN模块,具体用于当所述IP电话采用带VLAN标签tag的处理模式发送语音数据包时,利用所述语音数据包中携带的Voice VLAN tag确定所述语音数据包对应于所述端口上配置的Voice VLAN;或者,
在收到所述第一报文的端口配置Voice VLAN之后,配置所述IP电话的MAC地址与所述Voice VLAN的对应关系;当所述IP电话采用不带VLAN tag的处理模式发送语音数据包时,通过所述对应关系查询所述语音数据包中携带的源MAC地址所对应的Voice VLAN,并确定查询到的Voice VLAN对应于所述端口上配置的Voice VLAN。
与现有技术相比,本发明实施例至少具有以下优点:本发明实施例中,在IP电话通过认证服务器的认证之后,接入设备才会在IP电话接入的端口上配置Voice VLAN和QoS(Quality of Service,服务质量)参数,并将Voice VLAN通知给IP电话,从而提供IP电话的安全认证,降低IP电话安全接入对组网的要求,并提高网络的安全性,保证正常的语音通信。
附图说明
图1是现有技术中IP电话接入网络的示意图;
图2是本发明实施例中IP电话接入网络的示意图;
图3是本发明实施例提供的一种IP电话的安全接入方法流程示意图;
图4是本发明实施例提供的一种接入设备的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种IP电话的安全接入方法,如图2所示,为本发明实施例中IP电话接入网络的示意图,该IP电话的安全接入方法应用于至少包括IP电话、接入设备(即交换机或NAS)和认证服务器的网络中,此外,该网络中还可包括PC和VoIP网关,IP电话与PC通过接入设备的同一端口接入网络,且IP电话串接在PC与接入设备之间。
本发明实施例中,接入设备上使能LLDP(Link Layer Discovery Protocol,链路层发现协议)功能以及802.1x认证功能,且接入设备的端口上需要配置Voice VLAN功能。所述LLDP协议功能也可由其它能够自动识别IP电话的协议功能来替代,为了方便描述,后续以使能LLDP功能为例进行说明。所述802.1x认证功能即在IP电话和PC接入的端口使用基于MAC(Media AccessControl,介质访问控制)地址的802.1x认证功能。
在上述应用场景下,如图3所示,该安全接入方法包括以下步骤:
步骤301,接入设备接收用于自动识别IP电话的报文,并确定发送该报文的是IP电话。其中,该用于自动识别IP电话的报文可以是LLDP报文,后续均以LLDP报文为例进行说明。进一步的,该LLDP报文中会携带设备类型的TLV(Type Length Value,类型长度值),基于设备类型的TLV,接入设备确定发送LLDP报文的是IP电话。
具体的,IP电话在上电之后,需要向接入设备发送LLDP报文,且接入设备在收到该LLDP报文之后,可以基于该LLDP报文中所携带的设备类型的TLV,直接识别出发送该LLDP报文的是IP电话。
步骤302,接入设备利用LLDP报文中携带的源MAC地址(即IP电话的MAC地址)获取该IP电话的认证状态。
本发明实施例中,可以根据实际情况选择认证方式,为了方便描述,后续以802.1x认证为例进行说明。在802.1x认证方式下,认证状态为802.1x认证状态。其中,IP电话的802.1x认证状态具体为:IP电话通过认证服务器的802.1x认证或者IP电话未通过认证服务器的802.1x认证。
在802.1x认证过程中,由IP电话使用者输入用户名与密码等信息或者采用IP电话内预置的用户名与密码等信息,且由于IP电话内置了802.1x认证客户端,因此可以通过IP电话内置的802.1x认证客户端发送携带用户名与密码等信息的802.1x认证请求;接入设备在收到来自IP电话的802.1x认证请求时,通过与认证服务器进行交互,以对该IP电话进行802.1x认证,本发明实施例中以该IP电话通过认证服务器的802.1x认证为例进行说明。
进一步的,接入设备在获知IP电话通过认证服务器的802.1x认证时,如果确定本接入设备的端口上配置了Voice VLAN功能,则记录通过802.1x认证的IP电话的MAC地址与该MAC地址通过802.1x认证的对应关系,如:接入设备下发802.1x认证通过表项,该802.1x认证通过表项中记录了通过802.1x认证的IP电话的MAC地址。基于此对应关系,接入设备利用LLDP报文中携带的源MAC地址(即IP电话的MAC地址)查询该对应关系;如果该对应关系中记录有LLDP报文中携带的源MAC地址,则确定IP电话通过认证服务器的802.1x认证,即此时IP电话的802.1x认证状态具体为IP电话通过认证服务器的802.1x认证;如果该对应关系中没有记录LLDP报文中携带的源MAC地址,则确定IP电话未通过认证服务器的802.1x认证,即此时IP电话的802.1x认证状态具体为IP电话未通过认证服务器的802.1x认证。
需要注意的是,IP电话的802.1x认证过程与LLDP报文发送过程并没有先后顺序关系。IP电话的802.1x认证过程可以在LLDP报文发送过程之前执行,IP电话的802.1x认证过程也可以在LLDP报文发送过程之后执行。
假设IP电话的802.1x认证过程在LLDP报文发送过程之前执行,则在IP电话的802.1x认证过程中,接入设备会记录通过802.1x认证的IP电话的MAC地址与该MAC地址通过802.1x认证的对应关系。在之后的LLDP报文发送过程中,接入设备识别出发送该LLDP报文的是IP电话后,直接利用LLDP报文中携带的源MAC地址(即IP电话的MAC地址)查询802.1x认证过程中维护的对应关系,以获取IP电话的802.1x认证状态;此时802.1x认证过程中维护的对应关系中记录有LLDP报文中携带的源MAC地址,因此IP电话的802.1x认证状态为IP电话通过认证服务器的802.1x认证。
假设IP电话的802.1x认证过程在LLDP报文发送过程之后执行,在LLDP报文发送过程中,接入设备识别出发送LLDP报文的是IP电话后,利用LLDP报文中携带的源MAC地址(即IP电话的MAC地址)查询802.1x认证过程中维护的对应关系,以获取IP电话的802.1x认证状态;此时802.1x认证过程中维护的对应关系中没有记录LLDP报文中携带的源MAC地址,因此IP电话的802.1x认证状态为IP电话未通过认证服务器的802.1x认证。之后,接入设备需要等待一段时间,一直等到IP电话的802.1x认证过程结束,此时能够确定IP电话的802.1x认证状态为IP电话通过认证服务器的802.1x认证。
步骤303,接入设备判断IP电话的802.1x认证状态是否为IP电话通过认证服务器的802.1x认证;如果是,则执行步骤304;如果否,则再等待一段时间(等待IP电话的802.1x认证过程结束)后,继续执行步骤302。
其中,当IP电话的802.1x认证状态具体为IP电话通过认证服务器的802.1x认证时,则判断结果为是;当IP电话的802.1x认证状态具体为IP电话未通过认证服务器的802.1x认证时,则判断结果为否。
步骤304,接入设备在收到LLDP报文的端口配置Voice VLAN以及QoS参数(即QoS保障),并通过LLDP报文将Voice VLAN发送给IP电话。
其中,该LLDP报文为用于通知Voice VLAN的LLDP报文。
在本发明实施例的具体实现方式中,接入设备在收到LLDP报文的端口配置Voice VLAN,具体包括但不限于如下方式:当端口对应有专属VoiceVLAN时,接入设备在该端口上配置专属Voice VLAN;或者,当端口未对应有专属Voice VLAN时,接入设备在该端口上配置全局Voice VLAN。
本发明实施例的一种优选实施方式中,接入设备在收到LLDP报文的端口配置Voice VLAN之后,接入设备还可以在本接入设备的转发芯片的MAC表项中下发IP电话的MAC地址与Voice VLAN(即在端口上配置的VoiceVLAN),以使转发芯片在收到对应于该IP电话的MAC地址与Voice VLAN的语音数据包后,能够放行语音数据包,即放开对来自该IP电话的语音数据包的限制,不再需要对来自该IP电话的语音数据包进行相关认证处理。
步骤305,接入设备在通过端口(即收到LLDP报文的端口,为IP电话连接的端口)收到来自IP电话的语音数据包时,如果确定语音数据包对应于端口上配置的Voice VLAN,则按照端口上配置的QoS参数发送语音数据包。
本发明实施例中,IP电话可以采用带VLAN tag的处理模式发送语音数据包或者采用不带VLAN tag的处理模式发送语音数据包;基于此,接入设备确定语音数据包对应于端口上配置的Voice VLAN,具体包括但不限于:
情况一、针对IP电话采用带VLAN tag的处理模式发送语音数据包的情况,来自IP电话的语音数据包中会携带Voice VLAN tag;基于此,接入设备在收到来自IP电话的语音数据包时,可以直接利用语音数据包中携带的VoiceVLAN tag确定该语音数据包对应于端口上配置的Voice VLAN。
情况二、针对IP电话采用不带VLAN tag的处理模式发送语音数据包的情况,接入设备在收到LLDP报文的端口配置Voice VLAN之后,还需要配置IP电话的MAC地址与Voice VLAN的对应关系;此外,来自IP电话的语音数据包中不会携带Voice VLAN tag;基于此,接入设备在收到来自IP电话的语音数据包时,通过对应关系(即IP电话的MAC地址与Voice VLAN的对应关系)查询该语音数据包中携带的源MAC地址所对应的Voice VLAN,并确定查询到的Voice VLAN对应于端口上配置的Voice VLAN。
本发明实施例中,接入设备在通过LLDP报文将Voice VLAN发送给IP电话时,还可以通过该LLDP报文将端口上配置的QoS参数发送给IP电话。
IP电话在向接入设备发送语音数据包时,可以利用该QoS参数修改语音数据包中的UP(用户优先级)和/或DSCP(Differentiated Services Code Point,差分服务代码点),此时接入设备在收到语音数据包后,可以不对语音数据包中的UP和/或DSCP进行修改。此外,IP电话在向接入设备发送语音数据包时,可以不修改语音数据包中的UP和/或DSCP,此时接入设备在收到语音数据包后,需要利用QoS参数对语音数据包中的UP和/或DSCP进行修改。
综上所述,本发明实施例中,在IP电话通过认证服务器的802.1x认证之后,接入设备才会在IP电话接入的端口上配置Voice VLAN和QoS参数,并将Voice VLAN通知给IP电话,从而提供IP电话的安全认证,降低IP电话安全接入对组网的要求,并提高网络的安全性,保证正常的语音通信。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种接入设备,应用于包括IP电话、所述接入设备和认证服务器的网络中,如图4所示,所述接入设备,具体包括:
报文收发模块11,用于接收来自所述IP电话的用于自动识别IP电话的第一报文;
LLDP模块12,用于在收到自动识别IP电话的第一报文后,确定发送所述第一报文的是IP电话,并将发送所述第一报文的是IP电话的信息通知给语音虚拟局域网Voice VLAN模块14;
认证模块13,用于利用所述第一报文中携带的源介质访问控制MAC地址判断所述IP电话是否通过所述认证服务器的认证,在通过认证时,将所述IP电话通过认证的信息通知给Voice VLAN模块14;
Voice VLAN模块14,用于当发送所述第一报文的是IP电话,且所述IP电话通过所述认证服务器的认证时,在收到所述第一报文的端口配置VoiceVLAN以及服务质量QoS参数,并通过用于通知Voice VLAN的第二报文将所述Voice VLAN发送给所述IP电话;在通过所述端口收到来自所述IP电话的语音数据包时,如果确定所述语音数据包对应于所述端口上配置的VoiceVLAN,则按照所述端口上配置的QoS参数发送所述语音数据包。
所述认证模块13,具体用于在所述IP电话通过所述认证服务器的认证时,如果确定本接入设备的端口上配置了Voice VLAN功能,则记录通过认证的IP电话的MAC地址与该MAC地址通过认证的对应关系;利用所述第一报文中携带的源MAC地址查询所述对应关系,如果所述对应关系中记录有所述第一报文中携带的源MAC地址,则确定所述IP电话通过所述认证服务器的认证。
所述Voice VLAN模块14,具体用于当所述端口对应有专属Voice VLAN时,在所述端口上配置所述专属Voice VLAN;或者,当所述端口未对应有专属Voice VLAN时,在所述端口上配置全局Voice VLAN。
所述Voice VLAN模块14,还用于在收到所述第一报文的端口配置VoiceVLAN之后,在转发芯片的MAC表项中下发所述IP电话的MAC地址与所述Voice VLAN,以使所述转发芯片在收到对应于所述IP电话的MAC地址与所述Voice VLAN的语音数据包后,能够放行所述语音数据包。
所述Voice VLAN模块14,具体用于当所述IP电话采用带VLAN标签tag的处理模式发送语音数据包时,利用所述语音数据包中携带的Voice VLANtag确定所述语音数据包对应于所述端口上配置的Voice VLAN;或者,
在收到所述第一报文的端口配置Voice VLAN之后,配置所述IP电话的MAC地址与所述Voice VLAN的对应关系;当所述IP电话采用不带VLAN tag的处理模式发送语音数据包时,通过所述对应关系查询所述语音数据包中携带的源MAC地址所对应的Voice VLAN,并确定查询到的Voice VLAN对应于所述端口上配置的Voice VLAN。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种IP电话的安全接入方法,应用于包括IP电话、接入设备和认证服务器的网络中,其特征在于,该方法包括以下步骤:
所述接入设备在收到用于自动识别IP电话的第一报文后,如果确定发送所述第一报文的是IP电话,则利用所述第一报文中携带的源介质访问控制MAC地址判断所述IP电话是否通过所述认证服务器的认证;
如果所述IP电话通过认证,则所述接入设备在收到所述第一报文的端口配置语音虚拟局域网Voice VLAN以及服务质量QoS参数,并通过用于通知Voice VLAN的第二报文将所述Voice VLAN发送给所述IP电话;
所述接入设备在通过所述端口收到来自所述IP电话的语音数据包时,如果确定所述语音数据包对应于所述端口上配置的Voice VLAN,则按照所述端口上配置的QoS参数发送所述语音数据包。
2.如权利要求1所述的方法,其特征在于,所述接入设备利用所述第一报文中携带的源介质访问控制MAC地址判断所述IP电话是否通过所述认证服务器的认证,具体包括:
所述接入设备在所述IP电话通过所述认证服务器的认证时,如果确定本接入设备的端口上配置了Voice VLAN功能,则记录通过认证的IP电话的MAC地址与该MAC地址通过认证的对应关系;
所述接入设备利用所述第一报文中携带的源MAC地址查询所述对应关系,如果所述对应关系中记录有所述第一报文中携带的源MAC地址,则确定所述IP电话通过所述认证服务器的认证。
3.如权利要求1所述的方法,其特征在于,所述接入设备在收到所述第一报文的端口配置语音虚拟局域网Voice VLAN,具体包括:
当所述端口对应有专属Voice VLAN时,所述接入设备在所述端口上配置所述专属Voice VLAN;或者,当所述端口未对应有专属Voice VLAN时,所述接入设备在所述端口上配置全局Voice VLAN。
4.如权利要求1或3所述的方法,其特征在于,所述接入设备在收到所述第一报文的端口配置Voice VLAN之后,所述方法还包括:
所述接入设备在转发芯片的MAC表项中下发所述IP电话的MAC地址与所述Voice VLAN,以使所述转发芯片在收到对应于所述IP电话的MAC地址与所述Voice VLAN的语音数据包后,能够放行所述语音数据包。
5.如权利要求1所述的方法,其特征在于,所述接入设备确定所述语音数据包对应于所述端口上配置的Voice VLAN,具体包括:
当所述IP电话采用带VLAN标签tag的处理模式发送语音数据包时,所述接入设备利用所述语音数据包中携带的Voice VLAN tag确定所述语音数据包对应于所述端口上配置的Voice VLAN;或者,
所述接入设备在收到所述第一报文的端口配置Voice VLAN之后,配置所述IP电话的MAC地址与所述Voice VLAN的对应关系;当所述IP电话采用不带VLAN tag的处理模式发送语音数据包时,所述接入设备通过所述对应关系查询所述语音数据包中携带的源MAC地址所对应的Voice VLAN,并确定查询到的Voice VLAN对应于所述端口上配置的Voice VLAN。
6.一种接入设备,应用于包括IP电话、所述接入设备和认证服务器的网络中,其特征在于,所述接入设备,具体包括:
报文收发模块,用于接收来自所述IP电话的用于自动识别IP电话的第一报文;
LLDP模块,用于在收到自动识别IP电话的第一报文后,确定发送所述第一报文的是IP电话,并将发送所述第一报文的是IP电话的信息通知给语音虚拟局域网Voice VLAN模块;
认证模块,用于利用所述第一报文中携带的源介质访问控制MAC地址判断所述IP电话是否通过所述认证服务器的认证,在通过认证时,将所述IP电话通过认证的信息通知给Voice VLAN模块;
Voice VLAN模块,用于当发送所述第一报文的是IP电话,且所述IP电话通过所述认证服务器的认证时,在收到所述第一报文的端口配置VoiceVLAN以及服务质量QoS参数,并通过用于通知Voice VLAN的第二报文将所述Voice VLAN发送给所述IP电话;在通过所述端口收到来自所述IP电话的语音数据包时,如果确定所述语音数据包对应于所述端口上配置的VoiceVLAN,则按照所述端口上配置的QoS参数发送所述语音数据包。
7.如权利要求6所述的接入设备,其特征在于,
所述认证模块,具体用于在所述IP电话通过所述认证服务器的认证时,如果确定本接入设备的端口上配置了Voice VLAN功能,则记录通过认证的IP电话的MAC地址与该MAC地址通过认证的对应关系;利用所述第一报文中携带的源MAC地址查询所述对应关系,如果所述对应关系中记录有所述第一报文中携带的源MAC地址,则确定所述IP电话通过所述认证服务器的认证。
8.如权利要求6所述的接入设备,其特征在于,
所述Voice VLAN模块,具体用于当所述端口对应有专属Voice VLAN时,在所述端口上配置所述专属Voice VLAN;或者,当所述端口未对应有专属Voice VLAN时,在所述端口上配置全局Voice VLAN。
9.如权利要求6或8所述的接入设备,其特征在于,
所述Voice VLAN模块,还用于在收到所述第一报文的端口配置VoiceVLAN之后,在转发芯片的MAC表项中下发所述IP电话的MAC地址与所述Voice VLAN,以使所述转发芯片在收到对应于所述IP电话的MAC地址与所述Voice VLAN的语音数据包后,能够放行所述语音数据包。
10.如权利要求6所述的接入设备,其特征在于,
所述Voice VLAN模块,具体用于当所述IP电话采用带VLAN标签tag的处理模式发送语音数据包时,利用所述语音数据包中携带的Voice VLAN tag确定所述语音数据包对应于所述端口上配置的Voice VLAN;或者,
在收到所述第一报文的端口配置Voice VLAN之后,配置所述IP电话的MAC地址与所述Voice VLAN的对应关系;当所述IP电话采用不带VLAN tag的处理模式发送语音数据包时,通过所述对应关系查询所述语音数据包中携带的源MAC地址所对应的Voice VLAN,并确定查询到的Voice VLAN对应于所述端口上配置的Voice VLAN。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103045936A CN103368967A (zh) | 2013-07-17 | 2013-07-17 | 一种ip电话的安全接入方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103045936A CN103368967A (zh) | 2013-07-17 | 2013-07-17 | 一种ip电话的安全接入方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103368967A true CN103368967A (zh) | 2013-10-23 |
Family
ID=49369504
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013103045936A Pending CN103368967A (zh) | 2013-07-17 | 2013-07-17 | 一种ip电话的安全接入方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103368967A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717380A (zh) * | 2015-04-09 | 2015-06-17 | 迈普通信技术股份有限公司 | 交换机、语音设备、ip电话系统及语音设备部署方法 |
| CN106790232A (zh) * | 2017-01-18 | 2017-05-31 | 上海市共进通信技术有限公司 | 通过lldp报文实现voip语音业务的方法及系统 |
| CN112350961A (zh) * | 2020-11-11 | 2021-02-09 | 迈普通信技术股份有限公司 | 报文处理方法、装置、电子设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340496A (zh) * | 2007-07-02 | 2009-01-07 | 阿尔卡特朗讯 | 分发地理定位信息的方法 |
| CN101518023A (zh) * | 2006-10-26 | 2009-08-26 | 思科技术公司 | 用于对同一端口的语音和数字设备进行认证的设备和方法 |
| CN102238066A (zh) * | 2010-04-27 | 2011-11-09 | 杭州华三通信技术有限公司 | 实时上报流量的方法、媒体终端及系统 |
| CN102957678A (zh) * | 2011-08-26 | 2013-03-06 | 华为数字技术有限公司 | 认证ip电话机和协商语音域的方法、系统以及设备 |
| CN103179014A (zh) * | 2013-04-10 | 2013-06-26 | 杭州华三通信技术有限公司 | Lldp报文的处理方法及装置 |
-
2013
- 2013-07-17 CN CN2013103045936A patent/CN103368967A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101518023A (zh) * | 2006-10-26 | 2009-08-26 | 思科技术公司 | 用于对同一端口的语音和数字设备进行认证的设备和方法 |
| CN101340496A (zh) * | 2007-07-02 | 2009-01-07 | 阿尔卡特朗讯 | 分发地理定位信息的方法 |
| CN102238066A (zh) * | 2010-04-27 | 2011-11-09 | 杭州华三通信技术有限公司 | 实时上报流量的方法、媒体终端及系统 |
| CN102957678A (zh) * | 2011-08-26 | 2013-03-06 | 华为数字技术有限公司 | 认证ip电话机和协商语音域的方法、系统以及设备 |
| CN103179014A (zh) * | 2013-04-10 | 2013-06-26 | 杭州华三通信技术有限公司 | Lldp报文的处理方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717380A (zh) * | 2015-04-09 | 2015-06-17 | 迈普通信技术股份有限公司 | 交换机、语音设备、ip电话系统及语音设备部署方法 |
| CN104717380B (zh) * | 2015-04-09 | 2017-06-27 | 迈普通信技术股份有限公司 | 交换机、语音设备、ip电话系统及语音设备部署方法 |
| CN106790232A (zh) * | 2017-01-18 | 2017-05-31 | 上海市共进通信技术有限公司 | 通过lldp报文实现voip语音业务的方法及系统 |
| CN106790232B (zh) * | 2017-01-18 | 2021-02-26 | 上海市共进通信技术有限公司 | 通过lldp报文实现voip语音业务的方法及系统 |
| CN112350961A (zh) * | 2020-11-11 | 2021-02-09 | 迈普通信技术股份有限公司 | 报文处理方法、装置、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| US8799998B2 (en) | Methods for controlling a traffic of an authentication server | |
| CN105635084B (zh) | 终端认证装置及方法 | |
| US20090217353A1 (en) | Method, system and device for network access control supporting quarantine mode | |
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| CN104580116B (zh) | 一种安全策略的管理方法和设备 | |
| CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| US10491414B1 (en) | System and method of providing a controlled interface between devices | |
| CN103067416A (zh) | 一种虚拟私云接入认证方法及相关装置 | |
| CN101873332B (zh) | 一种基于代理服务器的web认证方法和设备 | |
| US10848460B2 (en) | System and method of providing a controlled interface between devices | |
| CN105592047B (zh) | 一种业务报文的传输方法和装置 | |
| CN108900484B (zh) | 一种访问权限信息的生成方法和装置 | |
| JP2007068161A (ja) | 分散型認証機能 | |
| US20140161121A1 (en) | Method, System and Device for Authenticating IP Phone and Negotiating Voice Domain | |
| CN107508822A (zh) | 访问控制方法及装置 | |
| CN104113548A (zh) | 一种认证报文处理方法及装置 | |
| CN113037761B (zh) | 登录请求的验证方法及装置、存储介质、电子设备 | |
| CN104811439A (zh) | 一种Portal认证的方法和设备 | |
| CN105516061A (zh) | 远程访问服务器的方法及web服务器 | |
| CN114205815A (zh) | 一种5g专网认证控制的方法和系统 | |
| CN102638472B (zh) | 一种Portal认证方法和设备 | |
| CN103368967A (zh) | 一种ip电话的安全接入方法和设备 | |
| CN109495431A (zh) | 接入控制方法、装置和系统、以及交换机 | |
| US20240089178A1 (en) | Network service processing method, system, and gateway device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131023 |
|
| WD01 | Invention patent application deemed withdrawn after publication |