CN104144095A - 终端认证方法及交换机 - Google Patents
终端认证方法及交换机 Download PDFInfo
- Publication number
- CN104144095A CN104144095A CN201410388955.9A CN201410388955A CN104144095A CN 104144095 A CN104144095 A CN 104144095A CN 201410388955 A CN201410388955 A CN 201410388955A CN 104144095 A CN104144095 A CN 104144095A
- Authority
- CN
- China
- Prior art keywords
- terminal
- information
- mac address
- vlan
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供一种终端认证方法及交换机,该方法包括:交换机接收终端发送的未认证报文,根据未认证报文获取所述终端的第一网络信息;根据第一网络信息中终端的MAC地址在交换机的MAC信息表中查找包括所述MAC地址的表项,若查找则所述交换机确定所述终端为已认证终端;判断所述第一网络信息中的所述终端所接入的超级VLAN信息是否属于预设迁移组,若是,则更新所述MAC信息表中包括所述MAC地址的表项,所述终端继续作为已认证终端。本发明实施例实现了减少了重认证的发生,大大减小了交换机的压力,另外,采用MAC信息表存储认证信息可以大大提高认证信息的容量。
Description
技术领域
本发明涉及通信技术,尤其涉及一种终端认证方法及交换机。
背景技术
虚拟局域网(Virtual Local Area Network,简称VLAN)是在一个物理网络上划分出来的逻辑网络,效果和普通局域网一样。其中。第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其它VLAN之中,如果一个端口所连接的主机想要和其它不在同一个VLAN的主机通讯,则必须要通过一个三层设备,其中,该三层设备可以是交换机。超级VLAN(superVLAN)是将一个网段的互联网协议(InternetProtocol,简称IP)地址分给不同的子VLAN(subVLAN),这些subVLAN同属于一个superVLAN,其中一个superVLAN中的每个subVLAN之间都是独立的广播域,不同subVLAN之间二层相互隔离,当subVLAN内的用户需要进行三层通信时,需要使用superVLAN的虚接口的IP地址作为网关地址。
现有技术中,终端接入superVLAN时需要进行认证,superVLAN中的交换机会记录认证信息,例如终端的媒体介入控制层(Media AccessControl,简称MAC)地址、IP地址等。
但是现有技术中,这些认证信息是存储在交换机的交换芯片上的,而交换芯片作为硬件芯片,其存储空间有限,例如访问控制实体(accesscontrol entry,简称ACE)芯片,最多只能认证2048个用户。在此基础上,扁平化的superVLAN中只采用一个交换机来集中处理终端认证,于是交换芯片的有限空间大大导致了认证信息容量受限,并且扁平化的superVLAN中的终端迁移频繁,从而导致频繁的重认证,使现有交换机波动较大。
发明内容
本发明提供一种终端认证方法及交换机,用于解决现有技术中认证容量受限以及终端迁移造成的频繁重认证的问题。
本发明实施例第一方面提供一种终端认证方法,包括:
交换机接收终端发送的未认证报文,根据所述未认证报文获取所述终端的第一网络信息,其中,所述第一网络信息包括:所述终端的媒体介入控制层MAC地址、所述终端的互联网协议IP地址和所述终端所接入的超级虚拟局域网VLAN信息;
所述交换机根据所述终端的MAC地址在所述交换机的MAC信息表中查找包括所述MAC地址的表项;
若查找到包括所述MAC地址的表项,则所述交换机确定所述终端为已认证终端;
所述交换机判断所述第一网络信息中的所述终端所接入的超级VLAN信息是否属于预设迁移组,若是,则更新所述MAC信息表中包括所述MAC地址的表项,所述终端继续作为已认证终端,所述预设迁移组包括属于所述预设迁移组的超级VLAN信息;
其中,所述MAC信息表包括:终端的MAC地址、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录。
本发明实施例第二方面提供一种交换机,包括:
接收模块,用于接收终端发送的未认证报文,根据所述未认证报文获取所述终端的第一网络信息,其中,所述第一网络信息包括:所述终端的媒体介入控制层MAC地址、所述终端的互联网协议IP地址和所述终端所接入的超级虚拟局域网VLAN信息;
查找模块,用于根据所述终端的MAC地址在所述交换机的MAC信息表中查找包括所述MAC地址的表项;若查找到包括所述MAC地址的表项,则确定所述终端为已认证终端;
判断模块,用于判断所述第一网络信息中的所述终端所接入的超级VLAN信息是否属于预设迁移组,若是,则更新所述MAC信息表中包括所述MAC地址的表项,所述终端继续作为已认证终端,所述预设迁移组包括属于所述预设迁移组的超级VLAN信息;
其中,所述MAC信息表包括:终端的MAC地址、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录。
本发明实施例中,交换机接收到终端发送的未认证报文后,根据该未认证报文获取终端的第一网络信息,并进一步根据第一网络信息确定该终端是否为已认证终端,且该终端所接入的超级VLAN信息是否属于预设迁移组,在该终端为已认证终端且该终端所接入的超级VLAN信息属于预设迁移组的情况下,可以直接更新存储认证信息的MAC信息表,而无需该终端重新认证,这样实现了,终端迁移时,只要MAC地址不变且超级VLAN、子VLAN、该终端接入所述子VLAN的端口属于预设迁移组就无需再重认证,大大减小了交换机的压力,另外,采用MAC信息表存储认证信息可以大大提高认证信息的容量,解决了扁平化超级VLAN中认证容量受限的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的终端认证方法实施例一的流程示意图;
图2为本发明提供的终端认证方法实施例二的预设迁移组示意图;
图3为本发明提供的交换机实施例一的结构示意图;
图4为本发明提供的交换机实施例二的结构示意图;
图5为本发明提供的交换机实施例三的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种基于扁平化超级VLAN的终端认证方法和装置,具体实施例如下文所述。
图1为本发明提供的终端认证方法实施例一的流程示意图,在该实施例中执行主体为交换机,如图1所示,该实施例可以包括:
S101、交换机接收终端发送的未认证报文,根据该未认证报文获取该终端第一网络信息。
在步骤S101中,所述未认证报文可以是终端发送的任意报文,该未认证报文可能是上述终端发生迁移后发送的。第一网络信息包括:该终端的MAC地址、该终端的IP地址和该终端所接入的超级VLAN信息。
其中,该第一网络信息中有终端不变的标识信息,例如终端的MAC地址,以及可能随着终端接入的VLAN发生变化的信息,例如,该终端所接入的超级VLAN信息。
该终端所接入的超级VLAN信息可以包括:该终端所接入超级VLAN的标识、该终端所接入子VLAN的标识以及该终端接入子VLAN的端口号。
进一步地,superVLAN的标识可以是superVLAN的身份标识(Identity,简称ID),subVLAN的标识可以是subVLAN的ID。
需要说明的是,上述终端的MAC地址、该终端的IP地址、该终端所接入的子VLAN的标识可以直接携带在上述未认证报文中,交换机根据子VLAN的标识以及交换机中存储的子VLAN和超级VLAN、端口号的映射关系就可以确定上述终端所接入的超级VLAN的标识、终端接入上述subVLAN的端口号。
S102、交换机根据上述终端的MAC地址在上述交换机的MAC信息表中查找包括上述MAC地址的表项。
交换机采用MAC信息表记录认证终端的相关信息,该MAC信息表根据终端的认证情况创建,并且该MAC信息表可以根据终端迁移情况进行更新。
例如,MAC信息表包括:终端的MAC地址、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录。
可选的,具体建立MAC信息表时,还可以包括序列号和用户名,一般地,一个终端的用户名是唯一的,序列号用于标识MAC信息表中不同的表项。可参照表1的形式构造MAC信息表,
表1
S103、若查找到包括上述MAC地址的表项,则上述交换机确定上述终端为已认证终端。若没有查找到,则上述终端需要重新进行认证。
本实施例中,采用MAC信息表记录终端认证信息,相对于现有技术中将认证信息记录在硬件芯片上大大提高了认证信息的可存储容量。
一般地,已认证终端发生迁移包括如下情况:1)认证所在的子VLAN发生变化。2)认证所在的超级VLAN发生变化。3)认证的端口发送变化。当然也可以是上述三种情况的任意组合变化。
本发明实施例中,对于已认证终端发生迁移后,只要该终端的MAC地址没有变化,可以在上述MAC信息表中查找到,就仍然认为该终端为已认证终端。
需要说明的是,本发明实施例中所说的认证可以是电气和电子工程师协会(Institute of Electrical and Electronics Engineers,简称IEEE)802.1x认证,也可以是网页(web)认证。
S104、交换机判断上述第一网络信息中的该终端所接入的超级VLAN信息是否属于预设迁移组,若是,则更新上述MAC信息表中包括上述MAC地址的表项,该终端继续作为已认证终端。
即可以根据终端当前的网络信息更新该表项中除MAC地址以外其它的信息。
如果上述该终端所接入的超级VLAN信息不属于预设迁移组,则上述终端需要重新进行认证。
预设迁移组可以是具体实施时根据具体需要配置的用于判定迁移后的VLAN信息是否合法的信息,其中存储有合法的超级VLAN的相关信息。
图2为本发明提供的终端认证方法实施例二的预设迁移组示意图,如图2所示,该预设迁移组包括属于该预设迁移组的超级VLAN信息,具体地,该预设迁移组中可以包括属于该预设迁移组的超级VLAN的标识、子VLAN的标识、端口号。参照图2,在该预设迁移组中包括3个superVLAN,每个superVLAN包括3个subVLAN,其中一个subVLAN只能属于一个superVLAN,例如subVLAN11只能属于superVLAN1,不可能属于superVLAN2或superVLAN3,而一个端口可以属于不同的subVLAN、或不同的superVLAN。
根据上述第一网络信息中该终端所接入的超级VLAN的标识、该终端所接入的子VLAN的标识、该终端接入子VLAN的的端口号,可以确定该终端当前所接入的超级VLAN、子VLAN、该终端接入所述子VLAN的端口是否属于预设迁移组。
本实施例中,交换机接收到终端发送的未认证报文后,根据该未认证报文获取终端的第一网络信息,并进一步根据第一网络信息确定该终端是否为已认证终端,且该终端所接入的超级VLAN信息是否属于预设迁移组,在该终端为已认证终端且该终端所接入的超级VLAN信息属于预设迁移组的情况下,可以直接更新存储认证信息的MAC信息表,而无需该终端重新认证,这样实现了,终端迁移时,只要MAC地址不变且该终端接入的超级VLAN、子VLAN、该终端接入所述子VLAN的端口属于预设迁移组就无需再重认证,大大减小了交换机的压力。
另外,本实施例中,采用MAC信息表存储认证信息可以大大提高认证信息的容量,解决了扁平化超级VLAN中认证容量受限的问题。
在另一种实施例中,本发明实施例提供的方法还可以包括:交换机接收终端发送的认证报文,该交换机根据认证报文获取该终端的第二网络信息,将该终端的第二网络信息添加到上述交换机的MAC信息表中。
该实施例可以用于未接入交换机的终端首次接入交换机时,进行认证,并且建立MAC信息表的过程。也可以用于图1中的终端建立MAC信息表的过程中。
与前述第一网络信息类似,该第二网络信息可以包括:该终端的MAC地址、该终端的IP地址和该终端所接入的超级VLAN信息。
需要说明的是,第一网络信息和第二网络信息包含的参数类型一样,只是如果终端发生了迁移的话,具体的参数内容会不同。例如,终端所接入的超级VLAN的标识内容会变化。
交换机在该终端完成认证后,将上述MAC信息表中该终端对应的静态MAC地址标识设置为第一标识,该第一标识用于指示该终端在上述MAC信息表中对应的表项在该终端下线后进行删除。一般地,静态MAC地址标识可设置为true或false,其中,设置为“true”时,对应的表项在上述终端下线后才删除;设置为“false”时,对应的表项会在达到老化时间时被删除,此时,上述第一标识为“true”。这样,如果终端完成认证,就可以保证只要终端不下线,MAC信息表中就一直保存该终端的认证相关信息,避免老化时间后,又要对该终端进行重认证。这样还可以提高交换机中认证信息的存储量。
需要说明的是,上述交换机接收认证报文可以是交换机接收终端发送的认证请求,通过报文协议字段标识判断该认证请求为认证报文。
在另一种可能的实施例中,上述交换机接收上述终端发送的认证报文之后,该交换机获取该终端的IP地址,并将该终端的IP地址添加到该交换机的地址解析协议(Address Resolution Protocol,简称ARP)信息表中。该ARP信息表用于存储认证终端的相关信息,可以根据终端的认证情况创建,并且该ARP信息表可以根据终端迁移情况进行更新,具体可以包括:终端的MAC地址、终端的IP地址、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录。具体地,终端所接入的超级VLAN信息可以包括:该终端所接入超级VLAN的标识、该终端所接入子VLAN的标识以及该终端接入子VLAN的端口号,ARP信息表可以构造为表2所示的形式,
表2
需要说明的是,如果终端的IP地址是通过动态主机配置协议(DynamicHost Configuration Protocol,简称DHCP)获取的,则交换机可以直接将终端通过DHCP获取的IP地址添加到ARP信息表中。
如果终端的IP地址是静态配置的,且上述认证为web认证,则交换机可以通过web认证过程中终端发送的超文本传输协议(Hypertext transferprotocol,简称HTTP)报文中提取终端的IP地址;如果终端的IP地址是静态配置的,且上述认证为802.1x认证,交换机可以通过学习终端的ARP信息来获取终端的IP地址。
交换机在该终端完成认证后,将上述ARP信息表中该终端对应的静态MAC地址标识设置为第二标识,该第二标识用于指示该终端在上述ARP信息表中对应的表项在上述终端认证下线后进行删除。与前述MAC信息表类似,一般地,静态MAC地址标识可设置为true或false,其中,设置为“true”时,对应的表项在上述终端下线后才删除;设置为“false”时,对应的表项会在达到老化时间时被删除,此时,上述第二标识为“true”。
相应地,在上述实施例的基础上,交换机在根据上述网络信息判断终端属于预设迁移组之后,交换机更新上述ARP信息表中包括上述MAC地址的表项。即更新对应表项中除该MAC地址以外的其它信息。
另外,上述更新上述ARP信息表中包括上述MAC地址的表项之后,交换机根据该ARP信息表,获取预设时间段内该ARP信息表中终端迁移记录发生变化的表项,并根据这些终端迁移记录发送变化的表项构造终端迁移表,交换机将该终端迁移表发送给远端鉴权拨号用户服务(Remote AuthenticationDial In User Service,简称Radius)服务器,以使Radius服务器可以根据终端迁移表中的信息更新自身存储的相关信息。
其中,终端迁移表包括:终端迁移后终端所述接入的超级VLAN信息以及该终端的MAC地址、该终端的IP地址。具体地,假设,预设时间段内,终端1、终端2、终端3发生了迁移,终端迁移表可以如表3所示,
表3
Radius服务器收到该终端迁移表后,对比该Radius服务器中已认证在线的终端记录,对发生迁移的终端根据上述终端迁移表修改其中的信息,同时通过Radius协议向交换机返回迁移成功的消息。
如果Radius服务器收到该终端迁移表后,在已认证在线的终端中没有匹配到终端迁移表中的终端,则返回迁移失败消息。
交换机如果收到迁移成功的消息,则会继续保持迁移成功的终端的认证信息,即不会删除上述MAC信息表、ARP信息表中对应的表项;交换机如果收到迁移失败消息,则会删除上述MAC信息表、ARP信息表中对应的表项,这样可以确保交换机和Radius服务器中认证信息一致。
举例说明上述实施例,预设迁移组以图2所示迁移组为例,假设用户名为“test”的终端进行802.1x认证,交换机根据认证报文获取该终端的网络信息,在认证完成后,MAC信息表中该终端对应的表项如表4所示,
表4
可以看出终端当前接入的超级VLAN为supervlan1,接入的子VLAN为subvlan11,接入该子VLAN的端口号为port1。
假设该终端通过DHCP获取的IP地址为1.1.1.2,于是认证完成后,交换机中ARP信息表中该终端对应的表项如表5所示,
表5
之后,该终端发生了迁移,通过其他接入点重新上网,此时该终端通过DHCP获取的IP地址变为了1.1.2.2。交换机接收该终端发送的任意报文,并从该报文中获取该终端当前的网络信息,获取该终端的MAC地址“000-000-000-001”,根据在MAC地址在MAC信息表中查找包含该MAC地址的表项,查找到表4中序号为1的表项,说明该终端是已认证终端。进而判断当前该终端接入的超级VLAN的标识、接入的子VLAN的标识、接入子VLAN的端口号是否属于图2所示的迁移组。当前终端接入的超级VLAN迁移到了supervlan3,接入的子VLAN迁移到subvlan32,接入该子VLAN的端口号为port2,其中supervlan3、subvlan32、port2属于图2所示的预设迁移组。于是交换机更新上述表4、表5中该终端对应的表项,更新后的MAC信息表、ARP信息表分别如表6、表7所示,
表6
表7
预设时间内,交换机发现ARP信息表中该终端对应的表项中“迁移记录”发送了变化,构造如表8所示的终端迁移表,通过Radius协议发送给Radius服务器。当然,一般地,交换机会把预设时间内多个发送迁移的终端信息一起添加在终端迁移表中,统一发给Radius服务器。
表8
Radius服务器收到上述终端迁移表后,直接根据终端迁移表中的内容修订Radius服务器原来存储的用户信息,并向交换机返回认证成功信息。如果Radius服务器没有查找到该用户,则返回认证失败信息。
图3为本发明提供的交换机实施例一的结构示意图,如图3所示,该交换机包括:接收模块301、查找模块302和判断模块303。其中:
接收模块301,用于接收终端发送的未认证报文,根据所述未认证报文获取所述终端的第一网络信息,其中,所述第一网络信息包括:所述终端的媒体介入控制层MAC地址、所述终端的互联网协议IP地址和所述终端所接入的超级虚拟局域网VLAN信息。
查找模块302,用于根据所述终端的MAC地址在所述交换机的MAC信息表中查找包括所述MAC地址的表项;若查找到包括所述MAC地址的表项,则确定所述终端为已认证终端。
判断模块303,用于判断所述第一网络信息中的所述终端所接入的超级VLAN信息是否属于预设迁移组,若是,则更新所述MAC信息表中包括所述MAC地址的表项,所述终端继续作为已认证终端,所述预设迁移组包括属于所述预设迁移组的超级VLAN信息。
具体地,该预设迁移组中可以包括属于该预设迁移组的超级VLAN的标识、子VLAN的标识、端口号。
其中,所述MAC信息表包括:终端的MAC地址、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录。
图4为本发明提供的交换机实施例二的结构示意图,在图3的基础上,该交换机还可以包括:获取模块401和处理模块402。具体地:
上述接收模块301,还用于接收所述终端发送的认证报文。
获取模块401,用于根据所述认证报文获取所述终端的第二网络信息,将所述终端所述第二网络信息添加到所述交换机的MAC信息表中,其中,所述第二网络信息包括:所述终端的MAC地址、所述终端的IP地址和所述终端所接入的超级VLAN信息。
处理模块402,用于在所述终端完成认证后,将所述MAC信息表中所述终端对应的静态MAC地址标识设置为第一标识,所述第一标识用于指示所述终端在所述MAC信息表中对应的表项在所述终端认证下线后进行删除。
进一步地,获取模块401,还用于获取所述终端的IP地址,并将所述终端的IP地址添加到所述交换机中的地址解析协议ARP信息表中,其中,所述ARP信息表包括:终端的MAC地址、终端的IP地址、终端所接入超级VLAN的标识、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录。
处理模块402,还用于在所述终端完成认证后,将所述ARP信息表中所述终端对应的静态MAC地址标识设置为第二标识,所述第二标识用于指示所述终端在所述ARP信息表中对应的表项在所述终端认证下线后进行删除。
更进一步地,上述判断模块303,还用于在根据所述网络信息判断所述终端属于预设迁移组之后,更新所述ARP信息表中包括所述MAC地址的表项。
图5为本发明提供的交换机实施例三的结构示意图,在图4的基础上,该交换机还可以包括:建表模块501和发送模块502。具体地,
上述获取模块401,还用于根据所述ARP信息表,获取预设时间段内所述ARP信息表中所述终端迁移记录发生变化的表项。
建表模块501,用于根据所述终端迁移记录发生变化的表项构造终端迁移表,其中所述终端迁移表中包括终端迁移后所述终端所接入的超级VLAN信息以及所述终端的MAC地址、所述终端的IP地址。
发送模块502,用于将所述终端迁移表发送给远端鉴权拨号用户服务Radius服务器。
在上述实施例的基础上,所述终端所接入超级VLAN信息包括:所述终端所接入超级VLAN的标识、所述终端所接入子VLAN的标识、所述终端接入子VLAN的端口号。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (12)
1.一种终端认证方法,其特征在于,包括:
交换机接收终端发送的未认证报文,根据所述未认证报文获取所述终端的第一网络信息,其中,所述第一网络信息包括:所述终端的媒体介入控制层MAC地址、所述终端的互联网协议IP地址和所述终端所接入的超级虚拟局域网VLAN信息;
所述交换机根据所述终端的MAC地址在所述交换机的MAC信息表中查找包括所述MAC地址的表项;
若查找到包括所述MAC地址的表项,则所述交换机确定所述终端为已认证终端;
所述交换机判断所述第一网络信息中的所述终端所接入的超级VLAN信息是否属于预设迁移组,若是,则更新所述MAC信息表中包括所述MAC地址的表项,所述终端继续作为已认证终端,所述预设迁移组包括属于所述预设迁移组的超级VLAN信息;
其中,所述MAC信息表包括:终端的MAC地址、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录。
2.根据权利要求1所述的方法,其特征在于,还包括:
交换机接收所述终端发送的认证报文;
所述交换机根据所述认证报文获取所述终端的第二网络信息,将所述终端所述第二网络信息添加到所述交换机的MAC信息表中,其中,所述第二网络信息包括:所述终端的MAC地址、所述终端的IP地址和所述终端所接入的超级VLAN信息;
所述交换机在所述终端完成认证后,将所述MAC信息表中所述终端对应的静态MAC地址标识设置为第一标识,所述第一标识用于指示所述终端在所述MAC信息表中对应的表项在所述终端认证下线后进行删除。
3.根据权利要求2所述的方法,其特征在于,所述交换机接收所述终端发送的认证报文之后,还包括:
所述交换机获取所述终端的IP地址,并将所述终端的IP地址添加到所述交换机中的地址解析协议ARP信息表中,其中,所述ARP信息表包括:终端的MAC地址、终端的IP地址、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录;
所述交换机在所述终端完成认证后,将所述ARP信息表中所述终端对应的静态MAC地址标识设置为第二标识,所述第二标识用于指示所述终端在所述ARP信息表中对应的表项在所述终端认证下线后进行删除。
4.根据权利要求3所述的方法,其特征在于,所述交换机根据所述网络信息判断所述终端属于预设迁移组之后,还包括:
所述交换机更新所述ARP信息表中包括所述MAC地址的表项。
5.根据权利要求4所述的方法,其特征在于,所述更新所述ARP信息表中包括所述MAC地址的表项之后,还包括:
所述交换机根据所述ARP信息表,获取预设时间段内所述ARP信息表中所述终端迁移记录发生变化的表项;
所述交换机根据所述终端迁移记录发生变化的表项构造终端迁移表,其中所述终端迁移表中包括终端迁移后所述终端所接入的超级VLAN信息以及所述终端的MAC地址、所述终端的IP地址;
所述交换机将所述终端迁移表发送给远端鉴权拨号用户服务Radius服务器。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述终端所接入超级VLAN信息包括:所述终端所接入超级VLAN的标识、所述终端所接入子VLAN的标识、所述终端接入子VLAN的端口号。
7.一种交换机,其特征在于,包括:
接收模块,用于接收终端发送的未认证报文,根据所述未认证报文获取所述终端的第一网络信息,其中,所述第一网络信息包括:所述终端的媒体介入控制层MAC地址、所述终端的互联网协议IP地址和所述终端所接入的超级虚拟局域网VLAN信息;
查找模块,用于根据所述终端的MAC地址在所述交换机的MAC信息表中查找包括所述MAC地址的表项;若查找到包括所述MAC地址的表项,则确定所述终端为已认证终端;
判断模块,用于判断所述第一网络信息中的所述终端所接入的超级VLAN信息是否属于预设迁移组,若是,则更新所述MAC信息表中包括所述MAC地址的表项,所述终端继续作为已认证终端,所述预设迁移组包括属于所述预设迁移组的超级VLAN信息;
其中,所述MAC信息表包括:终端的MAC地址、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录。
8.根据权利要求7所述的交换机,其特征在于,还包括:获取模块和处理模块;
所述接收模块,还用于接收所述终端发送的认证报文;
所述获取模块,用于根据所述认证报文获取所述终端的第二网络信息,将所述终端所述第二网络信息添加到所述交换机的MAC信息表中,其中,所述第二网络信息包括:所述终端的MAC地址、所述终端的IP地址和所述终端所接入的超级VLAN信息;
所述处理模块,用于在所述终端完成认证后,将所述MAC信息表中所述终端对应的静态MAC地址标识设置为第一标识,所述第一标识用于指示所述终端在所述MAC信息表中对应的表项在所述终端认证下线后进行删除。
9.根据权利要求8所述的交换机,其特征在于,所述获取模块,还用于获取所述终端的IP地址,并将所述终端的IP地址添加到所述交换机中的地址解析协议ARP信息表中,其中,所述ARP信息表包括:终端的MAC地址、终端的IP地址、终端所接入超级VLAN的标识、终端所接入的超级VLAN信息、静态MAC地址标识、终端迁移记录;
所述处理模块,还用于在所述终端完成认证后,将所述ARP信息表中所述终端对应的静态MAC地址标识设置为第二标识,所述第二标识用于指示所述终端在所述ARP信息表中对应的表项在所述终端认证下线后进行删除。
10.根据权利要求9所述的交换机,其特征在于,所述判断模块,还用于在根据所述网络信息判断所述终端属于预设迁移组之后,更新所述ARP信息表中包括所述MAC地址的表项。
11.根据权利要求10所述的交换机,其特征在于,还包括:建表模块和发送模块;
所述获取模块,还用于根据所述ARP信息表,获取预设时间段内所述ARP信息表中所述终端迁移记录发生变化的表项;
所述建表模块,用于根据所述终端迁移记录发生变化的表项构造终端迁移表,其中所述终端迁移表中包括终端迁移后所述终端所接入的超级VLAN信息以及所述终端的MAC地址、所述终端的IP地址;
所述发送模块,用于将所述终端迁移表发送给远端鉴权拨号用户服务Radius服务器。
12.根据权利要求7-11任一项所述的交换机,其特征在于,所述终端所接入超级VLAN信息包括:所述终端所接入超级VLAN的标识、所述终端所接入子VLAN的标识、所述终端接入子VLAN的端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410388955.9A CN104144095B (zh) | 2014-08-08 | 2014-08-08 | 终端认证方法及交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410388955.9A CN104144095B (zh) | 2014-08-08 | 2014-08-08 | 终端认证方法及交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104144095A true CN104144095A (zh) | 2014-11-12 |
| CN104144095B CN104144095B (zh) | 2018-03-06 |
Family
ID=51853164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410388955.9A Active CN104144095B (zh) | 2014-08-08 | 2014-08-08 | 终端认证方法及交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104144095B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743867A (zh) * | 2014-12-12 | 2016-07-06 | 华为技术有限公司 | 一种网络权限联动控制方法和设备 |
| CN105939519A (zh) * | 2015-08-27 | 2016-09-14 | 杭州迪普科技有限公司 | 一种认证方法及装置 |
| CN108418806A (zh) * | 2018-02-05 | 2018-08-17 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
| CN109327462A (zh) * | 2018-11-14 | 2019-02-12 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
| CN110035082A (zh) * | 2019-04-15 | 2019-07-19 | 北京北信源信息安全技术有限公司 | 一种交换机准入认证方法、交换机及系统 |
| WO2020094102A1 (zh) * | 2018-11-08 | 2020-05-14 | 中兴通讯股份有限公司 | 一种认证方法、认证服务器、认证终端及认证设备 |
| CN112187740A (zh) * | 2020-09-14 | 2021-01-05 | 锐捷网络股份有限公司 | 一种网络接入控制方法、装置、电子设备及存储介质 |
| CN112688940A (zh) * | 2020-12-23 | 2021-04-20 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN114244695A (zh) * | 2021-12-31 | 2022-03-25 | 普联技术有限公司 | 隔离网络的终端上线配置方法、装置及网络管理系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070044141A1 (en) * | 2005-08-18 | 2007-02-22 | Hong Kong Applied Science And Technology Research Institute Co. Ltd. | Authentic device admission scheme for a secure communication network, especially a secure IP telephony network |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN103067348A (zh) * | 2011-10-20 | 2013-04-24 | 安美世纪(北京)科技有限公司 | 一种酒店公共网络有线/无线统一认证漫游方法 |
-
2014
- 2014-08-08 CN CN201410388955.9A patent/CN104144095B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070044141A1 (en) * | 2005-08-18 | 2007-02-22 | Hong Kong Applied Science And Technology Research Institute Co. Ltd. | Authentic device admission scheme for a secure communication network, especially a secure IP telephony network |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN103067348A (zh) * | 2011-10-20 | 2013-04-24 | 安美世纪(北京)科技有限公司 | 一种酒店公共网络有线/无线统一认证漫游方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743867B (zh) * | 2014-12-12 | 2019-03-19 | 华为技术有限公司 | 一种网络权限联动控制方法和设备 |
| CN105743867A (zh) * | 2014-12-12 | 2016-07-06 | 华为技术有限公司 | 一种网络权限联动控制方法和设备 |
| CN105939519A (zh) * | 2015-08-27 | 2016-09-14 | 杭州迪普科技有限公司 | 一种认证方法及装置 |
| CN105939519B (zh) * | 2015-08-27 | 2019-07-09 | 杭州迪普科技股份有限公司 | 一种认证方法及装置 |
| CN108418806B (zh) * | 2018-02-05 | 2021-09-24 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
| CN108418806A (zh) * | 2018-02-05 | 2018-08-17 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
| WO2020094102A1 (zh) * | 2018-11-08 | 2020-05-14 | 中兴通讯股份有限公司 | 一种认证方法、认证服务器、认证终端及认证设备 |
| CN111163039A (zh) * | 2018-11-08 | 2020-05-15 | 中兴通讯股份有限公司 | 一种认证方法、认证服务器、认证终端及认证设备 |
| CN111163039B (zh) * | 2018-11-08 | 2023-03-10 | 中兴通讯股份有限公司 | 一种认证方法、认证服务器、认证终端及认证设备 |
| CN109327462A (zh) * | 2018-11-14 | 2019-02-12 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
| CN110035082A (zh) * | 2019-04-15 | 2019-07-19 | 北京北信源信息安全技术有限公司 | 一种交换机准入认证方法、交换机及系统 |
| WO2020210925A1 (zh) * | 2019-04-15 | 2020-10-22 | 北京北信源软件股份有限公司 | 一种交换机准入认证方法、交换机及系统 |
| CN112187740A (zh) * | 2020-09-14 | 2021-01-05 | 锐捷网络股份有限公司 | 一种网络接入控制方法、装置、电子设备及存储介质 |
| CN112187740B (zh) * | 2020-09-14 | 2022-09-16 | 锐捷网络股份有限公司 | 一种网络接入控制方法、装置、电子设备及存储介质 |
| CN112688940A (zh) * | 2020-12-23 | 2021-04-20 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN114244695A (zh) * | 2021-12-31 | 2022-03-25 | 普联技术有限公司 | 隔离网络的终端上线配置方法、装置及网络管理系统 |
| CN114244695B (zh) * | 2021-12-31 | 2024-03-19 | 普联技术有限公司 | 隔离网络的终端上线配置方法、装置及网络管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104144095B (zh) | 2018-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104144095A (zh) | 终端认证方法及交换机 | |
| US10944744B2 (en) | Verifying terminal device | |
| CN101668017B (zh) | 一种认证方法和设备 | |
| US20160269410A1 (en) | Method, system and device for network authorization based on no password or random password | |
| CN103475751B (zh) | 一种ip地址切换的方法及装置 | |
| CN102710777A (zh) | 广告推送方法和系统、以及广告推送器 | |
| US20160277929A1 (en) | Network access control | |
| US20140096214A1 (en) | Radius policy multiple authenticator support | |
| CN111654485B (zh) | 一种客户端的认证方法以及设备 | |
| CN101764808A (zh) | 自动登录的认证处理方法、服务器和系统 | |
| CN106686592B (zh) | 一种带有认证的网络接入方法及系统 | |
| CN105208560A (zh) | 一种WiFi免认证登陆方法、装置及系统 | |
| CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
| US20130086634A1 (en) | Grouping Multiple Network Addresses of a Subscriber into a Single Communication Session | |
| CN109451503A (zh) | 一种离线用户认证状态维护方法及系统 | |
| US11743258B2 (en) | Access authenticating | |
| CN103684861A (zh) | 网络配置的处理方法和装置以及通信系统 | |
| CN104519551B (zh) | WiFi网络DHCP协商的方法和客户端 | |
| CN109379339B (zh) | 一种Portal认证方法及装置 | |
| US20150373027A1 (en) | Managing access to a network | |
| CN105873046B (zh) | 一种用于管理无线接入点的方法和设备 | |
| CN108306875B (zh) | 一种控制有线终端接入的方法及装置 | |
| CN116719868A (zh) | 网络资产的识别方法、装置及设备 | |
| CN107295504B (zh) | 一种Wi-Fi保护设置的控制方法和网关设备 | |
| CN101656722A (zh) | 动态主机配置协议窥探绑定信息的生成方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS Co.,Ltd. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |