CN104283858B - 控制用户终端接入的方法、装置及系统 - Google Patents
控制用户终端接入的方法、装置及系统 Download PDFInfo
- Publication number
- CN104283858B CN104283858B CN201310286753.9A CN201310286753A CN104283858B CN 104283858 B CN104283858 B CN 104283858B CN 201310286753 A CN201310286753 A CN 201310286753A CN 104283858 B CN104283858 B CN 104283858B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- switching node
- interface
- access
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Abstract
本发明公开了一种控制用户终端接入的方法、装置及系统,该方法包括:控制器接收接入交换节点通过建立的数据隧道发来的认证报文;所述控制器获得所述认证报文的源MAC地址字段中的MAC地址;并对所述获得MAC地址对应的用户终端进行接入认证通过后,在维护用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,所述接口标识是用户终端所连接的接入交换节点上接口的接口标识;所述控制器将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。能够在简化对用户终端接入认证的实施流程的情况下,提高网络的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种控制用户终端接入的方法、装置及系统。
背景技术
在通信系统中,园区网(英文:campus network,缩写:CAN)一般是指大学的校园网或者是企业的内部网络(英文:Intranet),其主要特点是园区网中设置的路由器、网络交换机等由一个管理机构(例如园区网的拥有者)来进行管理。
如图1所示,在园区网的网络架构中,其结构组成包含至少一个用户终端、至少一个网络交换机。其中,位于用户终端侧的,通常情况下和用户终端直接连接的网络交换机可以称之为接入交换机或者接入交换节点。位于网络侧的,通常情况下和接入交换节点连接的网络交换机可以称之为汇聚交换机或汇聚交换节点。接入交换节点的各接口可以不连接任何用户终端,或者可以连接至少一个用户终端。如果用户终端和接入交换节点连接,则可以通过有线的方式和接入交换节点连接。接入交换节点的另一侧接口和汇聚交换节点连接,从而实现报文的传输。如图1所示的园区网的网络架构,用户终端和接入交换节点通过有线的方式连接成功后,在传输报文之前,需要对是否允许该用户终端接入园区网络进行报文传输进行认证,当允许用户终端接入园区网络传输报文的时候,该用户终端才可以向接入交换节点发送报文。通常情况下,有下述两种方式来实现对是否允许该用户终端接入园区网络进行报文传输进行认证,从而控制用户终端是否可以接入园区网,进行报文传输:
第一种方式:由接入交换节点实现是否允许该用户终端接入园区网络进行报文传输进行认证,即由接入交换节点实现对用户终端的接入进行认证,根据认证结果确定是否允许用户终端接入园区网络进行报文传输。以图1所示的园区网的网络架构为例,用户终端1和用户终端2通过有线的方式和接入交换节点1连接,用户终端3通过有线的方式和接入交换节点2连接,接入交换节点1和接入交换节点2均和汇聚交换节点连接。具体实施时,由接入交换节点1对是否允许用户终端1和用户终端2接入园区网络进行认证,接入交换节点2对是否允许用户终端3接入园区网络进行认证,只有在认证通过的情况下,用户终端1、用户终端2或者用户终端3才可以接入网络进行报文传输。在采用第一种方式的情况下,系统中包含的所有接入交换节点都需要实现对连接到自身的用户终端进行接入认证。而在通常情况下,系统中因为接入交换节点数量较多,采用第一种方式的网络架构的复杂度较高。
第二种方式,由汇聚交换节点实现对用户终端接入的进行认证。如图1所示的系统架构,汇聚交换节点对系统中的任意一个和接入交换节点连接的用户终端进行认证,若认证通过,则允许和该接入交换节点连接的所有用户终端均可以接入网络。即在该种方式下,当汇聚交换节点对和接入交换节点连接的任意一个用户终端的接入认证通过之后,其它和该接入交换节点连接的用户终端不需要再进行接入认证,而是直接通过接入交换节点接入网络,进行报文的传输。在采用第二种方式的情况下,无法对单个用户终端进行控制,安全性较差。
综上所述,通常的控制用户终端接入的方法,实现方式较为复杂或者安全性较差。
发明内容
本发明提供了一种控制用户终端接入的方法、装置及系统,能够在简化对用户终端接入认证的实施流程的情况下,提高网络的安全性。
第一方面,提供了一种控制用户终端接入的方法,包括:控制器接收接入交换节点通过建立的数据隧道发来的认证报文;所述控制器获得所述认证报文的源MAC地址字段中的MAC地址;并对所述MAC地址对应的用户终端进行接入认证通过后,在维护用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,所述接口标识是用户终端所连接的接入交换节点上接口的接口标识;所述控制器将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。
在第一方面的第一种可能的实现方式中,在对所述MAC地址对应的用户终端进行接入认证之前,采用下述方式确定用户终端的MAC地址和接口标识的对应关系:控制器接收接入交换节点基于所述控制隧道发来的用户终端的MAC地址,和所述用户终端所连接的接入交换节点接口的接口标识,其中所述用户终端的MAC地址和所述用户终端所连接的接入交换节点上接口的接口标识是接入交换节点在用户终端和所述接入交换节点上的接口建立连接,并通过连接的接口发送报文时获得的;以及根据接收到的用户终端的MAC地址和接口标识,建立用户终端的MAC地址和所述接口标识之间的对应关系。
第二方面,提供了一种控制用户终端接入的方法,包括:接入交换节点在媒体接入控制MAC学习功能关闭时,接收和所述接入交换节点上接口连接的用户终端发送的认证报文;所述接入交换节点获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址;所述接入交换节点将获得的用户终端的MAC地址和接口标识通过建立的控制隧道发送给控制器,所述控制器维护接收到的用户终端的MAC地址和接口标识的对应关系;以及所述接入交换节点接收控制器通过控制隧道发送的接口标识,所述接口标识是所述控制器对所述MAC地址对应的用户终端进行接入认证通过后,在用户终端的MAC地址和接口标识的对应关系中,确定出的与认证通过的用户终端的MAC地址对应的接口标识;所述接入交换节点根据接收到的接口标识,开启所述接口标识对应的接口。
在第二方面的第一种可能的实现方式中,还包括:接入交换节点接收所述控制器通过控制隧道发送的和所述MAC地址对应的用户终端的接入权限;所述接入交换节点根据接收到的接口标识,开启所述接口标识对应的接口,包括:按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述接入交换节点获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址,包括:所述接入交换节点通过能够按照程序代码执行处理功能的信号处理器,确定发送认证报文的用户终端连接的接口的接口标识;并将接收到的认证报文传输给自身的信号处理器,信号处理器在所述认证报文的源MAC地址字段中获得发送所述认证报文的用户终端的MAC地址。
第三方面,提供了一种控制用户终端接入的装置,包括:接收模块,用于接收通过建立的数据隧道发来的认证报文,并将接收的认证报文传输给获得模块;获得模块,用于获得接收模块传输的认证报文,获得所述认证报文的源MAC地址字段中的MAC地址,并将获得的MAC地址传输给认证模块;认证模块,用于接收所述获得模块传输的MAC地址,并对所述MAC地址对应的用户终端进行接入认证,并将认证通过的结果传输给确定模块;确定模块,用于获得所述认证模块传输的认证通过的结果,在维护用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,所述接口标识是用户终端所连接的接入交换节点上接口的接口标识,并将所述接口标识传输给发送模块;发送模块,用于获得所述确定模块传输的接口标识,将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。
在第三方面的第一种可能的实现方式中,所述接收模块,还用于接收接入交换节点基于所述控制隧道发来的用户终端的MAC地址,和所述用户终端所连接的接入交换节点接口的接口标识,其中所述用户终端的MAC地址和所述用户终端所连接的接入交换节点上接口的接口标识是接入交换节点在用户终端和所述接入交换节点上的接口建立连接,并通过连接的接口发送报文时获得的,并将接收到的MAC地址和接口标识传输给建立模块;所述装置还包括建立模块,用于获得所述接收模块传输的MAC地址和接口标识,根据接收到的用户终端的MAC地址和接口标识,建立用户终端的MAC地址和所述接口标识之间的对应关系。
第四方面,提供了一种控制用户终端接入的装置,包括:接收模块,用于在媒体接入控制MAC学习功能关闭时,接收和所述接入交换节点上接口连接的用户终端发送的认证报文,并将所述认证报文传输给获得模块;所述获得模块,用于接收所述接收模块传输的认证报文,获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址,将所述接口标识和MAC地址传输给发送模块;发送模块,用于接收所述获得模块传输的接口标识和MAC地址,将获得的用户终端的MAC地址和接口标识通过和所述接入交换节点之间建立的控制隧道发送给控制器,所述控制器维护接收到的用户终端的MAC地址和接口标识的对应关系;所述接收模块,还用于接收控制器通过所述控制隧道发送的接口标识,并将所述接口标识传输给控制模块,所述接口标识是所述控制器对所述MAC地址对应的用户终端进行接入认证通过后,在用户终端的MAC地址和接口标识的对应关系中,确定出的与认证通过的用户终端的MAC地址对应的接口标识;控制模块,用于获得所述接收模块传输的接口标识,根据接收到的接口标识,开启所述接口标识对应的接口。
在第四方面的第一种可能的实现方式中,所述接口模块,还用于接收所述控制器通过控制隧道发送的和所述MAC地址对应的用户终端的接入权限,并将所述接入权限传输给所述控制模块;所述控制模块,具体用于获得所述接收模块传输的接入权限,按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述获得模块,具体包括信号处理器,用于确定发送认证报文的用户终端连接的接口的接口标识;并获得接收模块传输的认证报文,所述信号处理器在所述认证报文的源MAC地址字段中获得发送所述认证报文的用户终端的MAC地址。
第五方面,提供了一种控制用户终端接入的系统,包括汇聚交换节点和接入交换节点,其中:所述接入交换节点,用于在媒体接入控制MAC学习功能关闭时,接收和所述接入交换节点上接口连接的用户终端发送的认证报文,将所述认证报文通过数据隧道发送给所述汇聚交换节点;以及获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址,将获得的用户终端的MAC地址和接口标识通过控制隧道发送给汇聚交换节点;以及接收所述汇聚交换节点发送的接口标识,根据接收到的接口标识,开启所述接口标识对应的接口。所述汇聚交换节点,用于接收接入交换节点通过建立的数据隧道发来的认证报文,获得所述认证报文的源MAC地址字段中的MAC地址;并对所述MAC地址对应的用户终端进行接入认证通过后,在维护用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,所述接口标识是用户终端所连接的接入交换节点上接口的接口标识;以及将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点。
在第五方面的第一种可能的实现方式中,所述汇聚交换节点采用下述方式确定用户终端的MAC地址和接口标识的对应关系:汇聚交换节点接收接入交换节点基于所述控制隧道发来的用户终端的MAC地址,和所述用户终端所连接的接入交换节点接口的接口标识,其中所述用户终端的MAC地址和所述用户终端所连接的接入交换节点上接口的接口标识是接入交换节点在用户终端和所述接入交换节点上的接口建立连接,并通过连接的接口发送报文时获得的;以及根据接收到的用户终端的MAC地址和接口标识,建立用户终端的MAC地址和所述接口标识之间的对应关系。
结合第五方面或第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,所述接入交换节点,还用于接收所述汇聚交换节点通过控制隧道发送的和所述MAC地址对应的用户终端的接入权限;并按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
结合第五方面,第五方面的第一种可能的实现方式和第五方面的第二种可能的实现方式中的一种,在第五方面的第三种可能的实现方式中,所述接入交换节点具体用于通过自身的信号处理器,确定发送认证报文的用户终端连接的接口的接口标识;并将接收到的认证报文传输给自身的信号处理器,信号处理器在所述认证报文的源MAC地址字段中获得发送所述认证报文的用户终端的MAC地址。
本发明提出的技术方案中,通过对用户终端进行接入认证通过后,在获得的用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。从而能够对每个用户终端的接入网络,以及接入网络的权限进行集中控制,系统架构比较简单,比较易于实现,并且能够较好地提高网络的安全性。
附图说明
图1为控制用户终端接入的系统网络架构示意图;
图2为本发明实施例一中,提出的第一种控制用户终端接入的系统结构组成示意图;
图3a为CAPWAP协议在WLAN系统架构下应用示意图;
图3b为在数据隧道中传输的CAPWAP数据报文的结构示意图;
图3c为在数据隧道中传输的CAPWAP数据报文的头结构组成示意图;
图3d为在控制隧道中传输的CAPWAP控制报文的结构示意图;
图3e为在控制隧道中传输的CAPWAP控制报文的头结构组成示意图;
图4为本发明实施例一中,提出的第二种控制用户终端接入的系统结构组成示意图;
图5为本发明实施例二中,提出的控制用户终端接入的方法流程图;
图6a为本发明实施例三中,提出的应用在汇聚交换节点侧的控制用户终端接入的方法流程图;
图6b为本发明实施例三中,提出的控制用户终端接入的装置结构组成示意图;
图6c为本发明实施例三中,提出的网络交换机结构组成示意图;
图7a为本发明实施例三中,提出的应用在接入交换节点侧的控制用户终端接入的方法流程图;
图7b为本发明实施例三中,提出的控制用户终端接入的装置结构组成示意图;
图7c为本发明实施例三中,提出的网络交换机结构组成示意图。
具体实施方式
针对通常情况下存在的控制用户终端接入的方法,实现方式较为复杂或者安全性较差的问题,本发明提出的技术方案中,通过对用户终端进行接入认证通过后,在获得的用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。从而能够对每个用户终端的接入网络,以及接入网络的权限进行集中控制,系统架构比较简单,比较易于实现,并且能够较好地提高网络的安全性。
下面将结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。
本发明各实施例提出的技术方案,可以通过控制器来实现。其中控制器可以作为一个独立的网络设备设置在网络中,也可以作为一个集成模块,集成在网络中设置的汇聚交换节点中,下面分别进行阐述。
实施例一
本发明实施例一提出一种控制用户终端接入的系统,将控制器作为一个集成模块集成在汇聚交换节点中,来实现本发明实施例一提出的技术方案。如图2所示,包括至少一个接入交换节点和至少一个汇聚交换节点,至少一个接入交换节点中的每个接入交换节点都与至少一个汇聚交换节点中的一个汇聚交换节点连接。至少一个接入交换节点中的任意一个接入交换节点,可以和至少一个用户终端通过有线的方式连接,也可以不与任何一个用户终端连接,即和用户终端连接的接口处于空置状态。
汇聚交换节点和接入交换节点之间建立报文传输隧道。汇聚交换节点和接入交换节点之间可以按照预置的私有协议或者通过扩展标准协议来建立报文传输隧道。例如,标准协议可以是无线接入点控制(英文:Control And Provisioning of Wireless AccessPoints,缩写:CAPWAP)协议。本发明实施例以扩展CAPWAP协议来建立报文传输隧道为例进行详细阐述。基于扩展CAPWAP协议建立的报文传输隧道,包括传输控制报文的控制隧道,以及包括传输数据报文的数据隧道。
CAPWAP协议是应用在无线通信环境中的标准协议,在无线通信环境中,CAPWAP协议使用在接入控制(英文:access control,缩写:AC)节点和无线接入点(英文:accesspoint,缩写:AP)的对接场景中。如图3a所示,在基于CAPWAP协议的无线通信环境中,包括无线AP、网络交换机、AC,和用户终端。无线AP通过无线的方式和至少一个用户终端连接。无线AP和AC之间基于CAPWAP协议建立通过无线方式传输报文的报文传输隧道。无线AP和AC之间通过CAPWAP协议建立的控制隧道,用于AC和无线AP之间交互控制报文,无线AP和AC之间通过CAPWAP协议建立的数据隧道,用于承载用户终端发送的数据报文。其中,数据隧道传输的数据报文,以及控制隧道中传输的控制报文,可以用不加密的方式传输,为了增加数据隧道传输的数据报文的安全性,以及控制隧道传输的控制报文的安全性,也可以采用数据安全传输层(英文:Datagram Transport Layer Security,缩写:DTLS)协议进行加密。本发明实施例一以采用DTLS协议对数据隧道中传输的数据报文和控制隧道中传输的控制报文进行加密为例,来进一步阐述数据报文的结构组成以及控制报文的结构组成。
在通过CAPWAP协议建立的数据隧道中传输的数据报文的结构组成示意图如图3b所示。在数据隧道中传输的数据报文的结构组成中,包括IP地址头(图中所示的IP Hdr),用户数据报协议(英文:User Datagram Protocol,缩写:UDP)头(图中所示的UDP Hdr),DTLS头(图中所示的DTLS Hdr),CAPWAP报文头(图中所示的CAPWAP Hdr)和无线净荷(英文:wireless payload),其中wireless payload用于承载数据。具体地,CAPWAP Hdr结构组成如图3c所示,字段标识、字段偏移,还包括可选的无线MAC地址字段或者其他无线信息。
如图3d所示的是在控制隧道中传输的CAPWAP控制报文结构组成示意图。在控制隧道中传输的CAPWAP控制报文结构中,包括IP地址头(图中所示的IP Hdr)、UDP头(图中所示的UDP Hdr),DTLS头(图中所示的DTLS Hdr),CAPWAP报文头(图中所示的CAPWAP Hdr),用于承载控制报文作用的控制头(英文:control header)字段,以及包括用于承载控制报文的内容的消息元素(英文:message element)字段。其中,控制报文的内容可以称之为控制信息。CAPWAP控制报文的控制头结构组成如图3e所示,在message element字段承载的控制信息,可以是不同类型的类型长度值(英文:type-length-value,缩写:TLV)。T为控制信息的类型,L为控制信息的长度,V为控制信息的值。具体实施中,可以对TLV中的控制信息的值进行扩展,即在一个TLV中,对于控制信息的值V中还可以包含多个扩展的TLV,该些扩展的TLV可以称之为二级TLV。具体地,message element字段中,如果TLV中的T的值为37,则该TLV用于对控制信息进行内容扩展。本发明实施例一提出的技术方案采用在T的值为37的消息元素中增加二级TLV的方式对控制消息的内容进行扩展。具体地,T的值为37的消息元素可以称之为37号消息元素,其中37号消息元素的标准格式如下述表1所示。
表1
| 消息元素类型:37,设备厂商自定义信息,2字节 |
| 消息元素长度:2字节 |
| 厂商标识:设备生产厂商不同取值也不完全相同,4字节 |
| 元素ID:2字节 |
| 数据 |
在上述表1中,厂商标识字段中,根据不同的设备生产厂商,取值也不完全相同,例如本发明实施例提出的技术方案中,以取值为2011为例来进行详细阐述,并在后文的阐述中,将继续沿用该示例。
对37号消息元素的标准格式进行扩展,扩展后的消息元素格式如下述表2所示。
表2
本发明实施例提出的技术方案中,接入交换节点和汇聚交换节点之间,将以扩展标准CAPWAP协议建立报文传输隧道为例来进行方案的详细阐述。基于扩展CAPWAP协议建立的报文传输隧道,包括传输控制信息的控制隧道,以及包括传输数据信息的数据隧道。如图2所示的系统架构,汇聚交换节点和接入交换节点之间基于扩展CAPWAP协议建立传输隧道。以接入交换节点连接至少一个用户终端为例来进行详细阐述。接入交换节点控制所有接口的数据转发。
接入交换节点在用户终端和接入交换节点上的接口连接后,接入交换节点获得用户终端连接的接口的接口标识,并在接收到的用户终端发送的报文中获得用户终端的媒体接入控制(英文:media access control,缩写:MAC)地址,将获得的用户终端的MAC地址和接口标识基于建立的报文传输隧道发送给汇聚交换节点。其中,接入交换节点上接口的接口标识可以是预先配置的,也可以接入交换节点的设备标识和接口的顺序编号(英文:sequence number)的组合形式。例如,接入交换节点的设备标识为ID,接入交换节点共包括8个接口,分别编号为1~8,则接入交换节点的8个接口的接口标识可以表示为:ID1、ID2……ID8等。接入交换节点可以接收和该接入交换节点的接口连接的用户终端发送的报文,通过自身的信号处理器确定发送报文的用户终端连接的接口的接口标识,以及通过信号处理器提取接收到的报文中的源MAC地址字段,以获得用户终端的MAC地址,将获得的用终端的MAC地址和接口标识,通过建立的报文传输隧道中包括的控制隧道发送给汇聚交换节点。
接入交换节点中的信号处理器可以是中央处理器(英文:centralprocessingunit,缩写:CPU),或者是CPU和硬件芯片的组合还可以是网络处理器(英文:network processor,缩写:NP)。或者是CPU和NP的组合,或者是NP和硬件芯片的组合。
汇聚交换节点接收接入交换节点基于报文传输隧道发来的用户终端的MAC地址,和该用户终端所连接的接入交换节点接口的接口标识,根据接收到的用户终端的MAC地址和接口标识,维护用户终端的MAC地址和接口标识之间的对应关系。汇聚交换节点维护的用户终端的MAC地址和接口标识之间的对应关系,可以采用缓存的方式存储,在一段时间内,对该对应关系进行存储,在对该用户终端的接入认证完成之后,可以删除维护的用户终端的MAC地址和接口标识之间的对应关系。
接入交换节点本身具备MAC学习(英文:MAC learning)功能。MAC learning允许网络交换机学习网络中其它设备的MAC地址,以便于识别从哪个接口发送目的地址为该MAC地址的报文。但是在由汇聚交换节点实现对用户终端的接入进行控制的时候,如果接入交换节点的MAC学习功能不关闭,则用户终端无需认证通过即可通过接入交换节点接入网络,无法实现对用户终端的接入进行控制。所以在由汇聚交换节点对用户终端的接入进行控制的场景中,接入交换节点的MAC学习功能关闭,在MAC学习功能关闭的情况下,用户终端无法直接接入网络,接入交换节点也无法直接根据用户终端的MAC地址查找到该用户终端所接入的接口的接口标识。因此,本发明实施例由汇聚交换节点来维护用户终端的MAC地址和接口标识的对应关系,在实现对用户终端的接入进行控制的过程中,虽然接入交换节点无法通过MAC learning的方式获得用户终端的MAC地址,以及获得该用户终端所连接的接口的接口标识,但是接入交换节点可以通过自身的信号处理器,如CPU或NP等,通过软件的方式,确定接收报文的接口的接口标识,并从用户终端发送的报文中成功获知用户终端的MAC地址,进而通过获知的用户终端的MAC地址实现对用户终端的接入进行控制。
接入交换节点接收通过有线方式和该接入交换节点的接口连接的用户终端发送的报文,将报文基于建立报文传输隧道的协议进行封装后,基于建立的报文传输隧道转发给汇聚交换节点。例如,接入交换节点将接收到的用户终端发送的报文,基于CAPWAP协议进行封装后发送给汇聚交换节点。
汇聚交换节点接收到接入交换节点转发的用户终端发送的报文,对接收到的报文进行解封装,根据解封装后的报文,对发送该报文的用户终端进行接入认证。例如,汇聚交换节点接收到基于CAPWAP协议封装,并通过基于CAPWAP协议建立的报文传输隧道传输的报文时,同样基于CAPWAP协议对接收到的报文进行解封装,并根据解封装后的报文对发送该报文的用户终端进行认证。汇聚交换节点对用户终端进行接入认证通过之后,在维护的用户终端的MAC地址和用户终端所连接的接入交换节点接口的接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,将确定出的接口标识发送给接入交换节点。
可选地,汇聚交换节点对用户终端进行接入认证通过之后,进而还可以确定该用户终端的接入权限,并将确定出的该用户终端的接入权限一并发送给接入交换节点。其中,接入权限可以是下述中一个或多个:
第一种接入权限:用户终端访问虚拟局域网(英文:Virtual Local AreaNetwork,缩写:VLAN)的权限。例如如果网络中存在多个VLAN,用户终端是否可以访问全部VLAN,或者用户终端具体可以访问哪些VLAN。
第二种接入权限:确定用户终端的访问控制列表(英文:access control list,缩写:ACL)。
接入交换节点接收到汇聚交换节点发来的接口标识,按照接收到的接口标识,确定出该接入交换节点上与接口标识对应的接口,通过控制确定出的接口实现对用户终端的接入进行控制。例如,上述步骤可以包括,接入交换节点可以按照汇聚交换节点发送的接口标识,开启接收到的接口标识对应的接口,允许和该接口连接的用户终端接入网络。
可选地,接入交换节点按照接收到的接口标识,确定出该接入交换节点上与接口标识对应的接口,通过控制确定出的接口实现对用户终端的接入进行控制,还可以包括按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
用户终端发送的报文可以是电气和电子工程师协会(英文:Institute ofElectrical and Electronics Engineers,缩写:IEEE)802.1x报文,也可以是其它类型的报文如地址解析协议(英文:Address Resolution Protocol,缩写:ARP)报文、动态主机配置协议(英文:Dynamic Host Configuration Protocol,缩写:DHCP)报文等。下面以IEEE802.1x报文为例,来详细阐述本发明实施例一上述提出的技术方案:
基于用户终端发送的IEEE 802.1x报文来实现用户终端的接入认证。
首先,汇聚交换节点和接入交换节点之间基于扩展的CAPWAP协议建立包含控制隧道和数据隧道的报文传输隧道。
汇聚交换节点和接入交换节点之间基于CAPWAP协议建立的报文传输隧道包括控制隧道和数据隧道。接入交换节点将自身的属性信息通过建立的控制隧道发送给汇聚交换节点。接入交换节点的属性信息包括接入交换节点的标识,如接入交换节点的MAC地址,可以通过switch MAC表示。接入交换节点的属性信息还可以包括接入交换节点自身的固件版本信息,可以通过TYPE_SWITCH_VERSION表示。这些属性信息可以通过扩展CAPWAP控制报文中的消息元素的37号消息元素来实现。扩展后的37号消息元素通过控制隧道发送给汇聚交换节点。其中,在控制隧道中传输的控制报文的message element字段用于承载控制信息,message element可以是不同类型的TLV。message element字段中,如果TLV中的T的值为37,则该TLV用于对控制信息进行内容扩展。本发明实施例一提出的技术方案采用在T的值为37的消息元素中增加二级TLV的方式对控制消息的内容进行扩展。具体地,T的值为37的消息元素可以称之为37号消息元素,其中37号消息元素的标准格式如上述表1所示。
其次,汇聚交换节点基于CAPWAP协议和接入交换节点之间建立报文传输隧道后,汇聚交换节点会维护基于CAPWAP协议建立的报文传输隧道和接入交换节点的标识如Switch MAC之间的对应关系。
例如,假设接入交换节点的标识为Switch 23,在汇聚交换节点和标识为Switch23的接入交换节点之间建立报文传输隧道1后,可以维护报文传输隧道1和Switch 23的对应关系,这样,后续标识为Switch 23的接入交换节点通过建立的报文传输隧道向汇聚交换节点发送报文时,汇聚交换节点在进行处理或者响应的时候,可以在预先维护的报文传输隧道1和Switch 23的对应关系中,确定出是谁通过报文传输通道发来的报文,以及响应信息应该通过哪条报文传输通道传输给接入交换节点。具体地,接入交换节点在扩展CAPWAP控制报文中的37号消息元素中包含的内容可以如下述表3所示。
表3
汇聚交换节点针对基于CAPWAP协议建立的报文传输隧道,配置各个接入交换节点的认证方式为基于IEEE 802.1x认证。较佳地,还可以配置各个接入交换节点的接口的认证方式为基于IEEE 802.1x认证。
在用户终端和接入交换节点的接口建立连接时,接入交换节点接收用户终端发送的802.1x报文,获得发送802.1x报文的用户终端所连接的接口的接口标识,并在接收到的用户终端发送的802.1x报文中,获得该用户终端的MAC地址。将获得的用户终端的MAC地址和接口标识通过基于CAPWAP协议建立的报文传输隧道发送给汇聚交换节点。由于基于CAPWAP协议建立的报文传输隧道包括控制隧道和数据隧道,控制隧道可以用于传输CAPWAP控制报文,数据隧道用户传输CAPWAP数据报文,则接入交换节点可以将获得的用户终端的MAC地址和接口标识通过控制隧道发送给汇聚交换节点。
具体地,接入交换节点可以将获得的用户终端的MAC地址和接口标识基于扩展的二级TLV发送给汇聚交换节点,则扩展的二级TLV如下表4所示。表4中所示的USER MAC为用户终端的MAC地址,interface index为接口标识。
表4
接入交换节点在自身的接口,截获用户终端发送的IEEE 802.1x报文,将截获的IEEE 802.1x报文通过基于CAPWAP协议建立的报文传输通道发送给汇聚交换节点,由于基于CAPWAP协议建立的报文传输隧道包括控制隧道和数据隧道,控制隧道可以用于传输CAPWAP控制报文,数据隧道用户传输CAPWAP数据报文。则接入交换节点可以将截获的IEEE802.1x报文基于CAPWAP协议进行封装后,通过数据隧道发送给汇聚交换节点。
汇聚交换节点接收到用户终端的MAC地址和接口标识,维护用户终端的MAC地址和接口标识的对应关系。
本发明实施例一提出的技术方案中,以用户终端的MAC地址、接口标识以接入交换节点的MAC地址+接口编号为例来进行详细阐述。以图2所示用户终端1和接入交换节点1为例来进行详细阐述。假设,用户终端1的标识为UE MAC1,接入交换节点1的标识为AP MAC1,接入交换节点1一共提供8个接入接口,分别编号为1~8。用户终端1和第2个接口连接,则该接口的接口标识为AP MAC1-2。则用户终端1和接入交换节点1连接时,用户终端1发送报文,接入交换节点获得用户终端1连接的接口的接口标识AP MAC1-2。接入交换节点1通过截获的用户终端1发送的报文,并通过自身的信号处理器对截获的报文进行分析,获得报文中用户终端1的标识UE MAC1,以及通过对CAPWAP控制报文中37号消息元素的扩展,将获得的UEMAC1和AP MAC1-2通过控制隧道发送给汇聚交换节点。例如,以汇聚交换节点接收到的终端标识为UE MAC1和接口标识为AP MAC1-2为例来进行详细阐述。汇聚交换节点接收到接入交换节点发来的UE MAC1和AP MAC1-2,建立二者之间的对应关系并缓存。
接入交换节点接收到用户终端发送的IEEE 802.1x报文,将接收到的IEEE 802.1x报文基于CAPWAP协议封装后,通过数据隧道发送给汇聚交换节点。
汇聚交换节点接收到基于CAPWAP协议封装的IEEE 802.1x报文,对将接收到的基于CAPWAP协议封装的IEEE 802.1x报文进行解封装,根据解封装后得到的IEEE 802.1x报文进行接入认证。
可选地,汇聚交换节点还可以对该用户终端的权限信息进行限定。在认证成功后,确定该用户终端的接入权限。
汇聚交换节点在维护的用户终端的MAC地址和用户终端所连接的接入交换节点接口的接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,将确定出的接口标识发送给接入交换节点。
可选地,汇聚交换节点还可以将确定出的用户终端的接入权限一并发送给接入交换节点。
其中,汇聚交换节点发送给接入交换节点的用户终端的MAC地址、接口标识以及该用户终端的接入权限等信息,可以通过扩展的二级TLV发送给接入交换节点。扩展的二级TLV可以如下述表5所示。表5中的二级TLV内容3字段,USER VLAN用于表示该用户终端可以访问的VLAN,二级TLV内容4字段,rule字段用于表示针对该用户终端的接入权限。
表5
接入交换节点按照认证通过消息中携带的接口标识,确定出该接入交换节点上相应的接口,开启该接口,允许用户终端接入网络。
可选地,接入交换节点还可以按照接收到的汇聚交换节点下发的接入权限,控制接口标识对应的接口,实现对用户终端的接入权限进行控制。
本发明实施例上述提出的技术方案中,是以具备报文转发功能的汇聚交换节点为例来进行详细阐述的,具体实施中,还可以通过系统中独立设置的控制其来实现控制用户终端接入的技术方案。如图4所示的系统架构,包含至少一个独立设置的控制器(英文:controller)、至少一个接入交换节点,以及至少一个报文转发设备。报文转发设备可以是汇聚交换节点。控制器可以和汇聚交换节点直接连接,也可以通过设置的路由器连接。至少一个接入交换节点中的每个接入交换节点都与至少一个汇聚交换节点中的一个汇聚交换节点连接。至少一个接入交换节点中的任意一个接入交换节点,可以和至少一个用户终端通过有线的方式连接,也可以不与任何一个用户终端连接,即和用户终端连接的接口处于空置状态。
控制器和接入交换节点之间建立报文传输隧道。控制器和接入交换节点之间可以按照预置的私有协议或者通过扩展标准协议来建立报文传输隧道。标准协议可以是CAPWAP协议。本发明实施例以扩展CAPWAP协议来建立报文传输隧道为例进行详细阐述。基于扩展CAPWAP协议建立的报文传输隧道,包括传输控制信息的控制隧道,以及包括传输数据信息的数据隧道。
基于CAPWAP协议建立报文传输隧道之后,接入交换节点在用户终端连接和接入交换节点上的接口连接并发送报文时,接入交换节点获得确定接收报文的接口的接口标识,即发送报文的用户终端所连接的接口的接口标识,并在接收到的报文中获得用户终端的MAC地址,将获得的用户终端的MAC地址和接口标识基于建立的报文传输隧道发送给控制器。其中,接入交换节点上接口的接口标识可以是预先配置的,也可以接入交换节点的设备标识和接口的顺序编号的组合形式。
接入交换节点可以接收和该接入交换节点的接口连接的用户终端发送的报文,通过自身的信号处理器确定发送报文的用户终端连接的接口的接口标识,以及通过信号处理器提取接收到的报文中的源MAC地址字段,以获得用户终端的MAC地址,将获得的用终端的MAC地址和接口标识,通过建立的报文传输隧道中包括的控制隧道发送给汇聚交换节点。
接入交换节点中的信号处理器可以是CPU,或者是CPU和硬件芯片的组合还可以是NP。或者是CPU和NP的组合,或者是NP和硬件芯片的组合。
控制器接收接入交换节点基于报文传输隧道发来的用户终端的MAC地址,和该用户终端所连接的接入交换节点接口的接口标识,根据接收到的用户终端的MAC地址和接口标识,维护用户终端的MAC地址和接口标识之间的对应关系。控制器维护的用户终端的MAC地址和接口标识之间的对应关系,可以采用缓存的方式存储,在一段时间内,对该对应关系进行存储,在对该用户终端的接入认证完成之后,可以删除维护的用户终端的MAC地址和接口标识之间的对应关系。
接入交换节点接收通过有线方式和该接入交换节点的接口连接的用户终端发送的报文,将报文基于建立报文传输隧道的协议进行封装后,基于建立的报文传输隧道转发给控制器。接入交换节点将接收到的用户终端发送的报文,基于CAPWAP协议进行封装后发送给控制器。
控制器接收到接入交换节点转发的用户终端发送的报文,对接收到的报文进行解封装,根据解封装后的报文,对发送该报文的用户终端进行接入认证。例如,控制器接收到基于CAPWAP协议封装,并通过基于CAPWAP协议建立的报文传输隧道传输的报文时,同样基于CAPWAP协议对接收到的报文进行解封装,并根据解封装后的报文对发送该报文的用户终端进行认证。控制器对用户终端进行接入认证通过之后,在维护的用户终端的MAC地址和用户终端所连接的接入交换节点接口的接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,将确定出的接口标识发送给接入交换节点。
可选地,控制器对用户终端进行接入认证通过之后,进而还可以确定该用户终端的接入权限,并将确定出的该用户终端的接入权限一并发送给接入交换节点。其中,接入权限可以是下述中一个或多个:
第一种接入权限:用户终端访问VLAN的权限。例如如果网络中存在多个VLAN,用户终端是否可以访问全部VLAN,或者用户终端具体可以访问哪些VLAN。
第二种接入权限:确定用户终端的ACL。
接入交换节点接收到控制器发来的接口标识时,按照接收到的接口标识,确定出该接入交换节点上与接口标识对应的接口,通过控制确定出的接口实现对用户终端的接入进行控制。
例如,上述步骤可以包括,接入交换节点可以按照汇聚交换节点发送的接口标识,开启接收到的接口标识对应的接口,允许和该接口连接的用户终端接入网络。
可选地,接入交换节点还可以按照接收到的接口标识,确定出该接入交换节点上与接口标识对应的接口,通过控制确定出的接口实现对用户终端的接入进行控制,还可以包括按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
其中,用户终端发送的报文可以是IEEE 802.1x报文,也可以是其它类型的报文如ARP报文、DHCP报文等。
实施例二
基于上述图2所示的系统架构,本发明实施例二提出一种控制用户终端接入的方法,如图5所示,其具体处理流程如下述:
步骤51,接入交换节点和汇聚交换节点之间建立报文传输隧道。
汇聚交换节点和接入交换节点之间可以按照预置的私有协议或者通过扩展标准协议来建立报文传输隧道。例如,标准协议可以是CAPWAP协议。本发明实施例二以扩展CAPWAP协议来建立报文传输隧道为例进行详细阐述。基于扩展CAPWAP协议建立的报文传输隧道,包括传输控制信息的控制隧道,以及包括传输数据信息的数据隧道。
步骤52,接入交换节点获得通过该接入交换节点上的接口连接的用户终端的MAC地址和用户终端连接的接口的接口标识。
用户终端通过有线的连接方式和接入交换节点的接口连接并发送报文,
接入交换节点在用户终端连接和接入交换节点上的接口连接并发送报文时,接入交换节点获得用户终端连接的接口的接口标识,并截获用户终端发送的报文,在截获到的报文中获得用户终端的MAC地址,将获得的用户终端的MAC地址和接口标识基于建立的报文传输隧道发送给汇聚交换节点。其中,接入交换节点上接口的接口标识可以是预先配置的,也可以接入交换节点的设备标识和接口的顺序编号的组合形式。接入交换节点可以接收和该接入交换节点的接口连接的用户终端发送的报文,通过自身的信号处理器确定发送报文的用户终端连接的接口的接口标识,以及通过信号处理器提取接收到的报文中的源MAC地址字段,以获得用户终端的MAC地址,将获得的用终端的MAC地址和接口标识,通过建立的报文传输隧道中包括的控制隧道发送给汇聚交换节点。
接入交换节点中的信号处理器可以是CPU,或者是CPU和硬件芯片的组合还可以是NP。或者是CPU和NP的组合,或者是NP和硬件芯片的组合。
其中,接入交换节点截获的用户终端发送的报文可以包括IEEE 802.1x报文、ARP报文、或DHCP报文。
步骤53,接入交换节点将获得的接口标识和用户终端的MAC地址基于建立的报文传输隧道发送给汇聚交换节点。
由于基于CAPWAP协议建立的报文传输隧道包括控制隧道和数据隧道,控制隧道可以用于传输控制报文,数据隧道用户传输数据报文,则接入交换节点可以将获得的用户终端的MAC地址和接口标识通过控制隧道发送给汇聚交换节点。接入交换节点可以将获得的用户终端的MAC地址和接口标识基于扩展的二级TLV发送给汇聚交换节点,则扩展的二级TLV如上述表4所示。
步骤54,汇聚交换节点接收接入交换节点发送的用户终端的MAC地址和接口标识,维护用户终端的MAC地址和接口标识的对应关系。
汇聚交换节点维护的用户终端的MAC地址和接口标识之间的对应关系,可以采用缓存的方式存储,在一段时间内,对该对应关系进行存储,在对该用户终端的接入认证完成之后,可以删除维护的用户终端的MAC地址和接口标识之间的对应关系。
步骤55,接入交换节点在自身的接口,截获用户终端发送的报文,将截获的报文通过基于CAPWAP协议建立的报文传输通道发送给汇聚交换节点。
由于基于CAPWAP协议建立的报文传输隧道包括控制隧道和数据隧道,控制隧道可以用于传输控制报文,数据隧道用户传输数据报文。则接入交换节点可以将截获的报文基于CAPWAP协议进行封装后,通过数据隧道发送给汇聚交换节点。
步骤56,汇聚交换节点接收到基于报文传输隧道发来的报文,对接收到的报文进行解封装,获得用户终端的MAC地址,并对用户终端进行接入认证。
汇聚交换节点接收到基于CAPWAP协议封装的报文,对接收到的基于CAPWAP协议封装的报文进行解封装,根据解封装后得到的报文进行接入认证。
对用户终端进行接入认证的具体实施方式与通常的接入认证相同,本发明实施例不再详细赘述。
步骤57,在认证通过后,汇聚交换节点在维护的用户终端的MAC地址和用户终端所连接的接入交换节点接口的接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,将确定出的接口标识发送给接入交换节点。
可选地,汇聚交换节点对用户终端进行接入认证通过之后,进而还可以确定该用户终端的接入权限,并将确定出的该用户终端的接入权限一并发送给接入交换节点。
其中,汇聚交换节点发送给接入交换节点的认证通过消息中,可以包含用户终端的MAC地址、接口标识以及该用户终端的接入权限等信息,该些信息可以通过扩展的二级TLV发送给接入交换节点。扩展的二级TLV可以如上述表5所示。
步骤58,接入交换节点接收到汇聚交换节点发来的接口标识,开启所述接口标识对应的接口,通过控制确定出的接口实现对用户终端的接入进行控制。
例如,接入交换节点可以按照汇聚交换节点发送的接口标识,开启接收到的接口标识对应的接口,允许和该接口连接的用户终端接入网络进行报文传输。
可选地,接入交换节点还可以接收汇聚交换节点发送的对应该用户终端的接入权限,通过控制用户终端接入的接口,控制用户终端按照接收到的接入权限接入网络。
用户终端发送的报文可以是IEEE 802.1x报文,也可以是其它类型的报文如ARP报文、DHCP报文等。
图5所示的控制用户终端接入的方法流程图,以及本发明实施例二上述提出的控制用户终端接入的方法,仅是本发明实施例阐述的一种较佳地实施方式,在具体实施中,可以根据上述方法流程进行变型处理。
实施例三
相应地,基于图2所示的系统架构中,对于汇聚交换节点,本发明实施例提出一种控制用户终端接入的方法,如图6a所示,其具体处理流程如下述:
步骤61,汇聚交换节点和接入交换节点之间建立包含控制隧道和数据隧道的报文传输隧道。
汇聚交换节点可以基于私有协议或者基于对标准协议的扩展,来实现和接入交换节点之间建立报文传输隧道。本发明实施例三这里以基于CAPWAP协议的扩展,来建立和接入交换节点之间的报文传输隧道。
其中基于CAPWAP协议建立报文传输隧道的过程请参见上述实施例一中的详细阐述,本发明实施例三中不再赘述。
在汇聚交换节点基于CAPWAP协议建立和接入交换节点之间的报文传输隧道的过程中,汇聚交换节点会维护建立的报文传输隧道和接入交换节点之间的对应关系。例如,假设接入交换节点的标识为Switch 23,在汇聚交换节点和标识为Switch 23的接入交换节点之间建立报文传输隧道1后,可以维护报文传输隧道1和Switch 23的对应关系,这样,后续标识为Switch 23的接入交换节点通过建立的报文传输隧道向汇聚交换节点发送报文时,汇聚交换节点在进行处理或者响应的时候,可以在预先维护的报文传输隧道1和Switch 23的对应关系中,确定出是谁、通过哪条报文传输通道发来的报文,响应信息应该通过哪条报文传输通道传输给哪个接入交换节点。
步骤62,汇聚交换节点接收接入交换节点发过建立的数据隧道发来的认证报文。
接入交换节点发送的报文是由接入交换节点在自身的接口上截获的和该接口连接的用户终端发送的报文。该截获的报文基于CAPWAP协议进行封装后发送给汇聚交换节点。其中,接入交换节点截获的报文可以是802.1x报文、ARP报文或者是DHCP报文。
步骤63,汇聚交换节点获得认证报文的源MAC地址字段中的MAC地址,并对MAC地址对应的用户终端进行接入认证。
步骤64,对用户终端进行接入认证通过后,在维护的用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识。
可以采用下述方式确定用户终端的MAC地址和用户终端连接接入交换节点的接口标识之间的对应关系:接收接入交换节点基于所述控制隧道发来的用户终端的MAC地址,和所述用户终端所连接的接入交换节点接口的接口标识,其中所述用户终端的MAC地址和所述用户终端所连接的接入交换节点上接口的接口标识是接入交换节点在用户终端和所述接入交换节点上的接口建立连接,并通过连接的接口发送报文时获得的;以及根据接收到的用户终端的MAC地址和接口标识,建立用户终端的MAC地址和所述接口标识之间的对应关系。
汇聚交换节点维护的用户终端的MAC地址和接口标识之间的对应关系,可以采用缓存的方式在一段时间内,对该对应关系进行存储,在对该用户终端的接入认证完成后,可以删除该用户终端的MAC地址和接口标识之间的对应关系。
具体地,建立用户终端的MAC地址和接口标识的对应关系请参见上述实施一和实施例二中的详细阐述,本发明实施例三这里不再赘述。
步骤65,将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。
可选地,对用户终端的接入认证还包括确定该用户终端的接入权限。汇聚交换节点将确定出的用户终端的接入权限通过控制隧道发送给接入交换节点,指示接入交换节点按照接入权限控制用户终端通过接口标识。
相应地,本发明实施例三还提出一种控制用户终端接入的装置,如图6b所示,包括:
接收模块701,用于接收通过建立的数据隧道发来的认证报文,并将接收的认证报文传输给获得模块702。
获得模块702,用于获得接收模块701传输的认证报文,获得所述认证报文的源MAC地址字段中的MAC地址,并将获得的MAC地址传输给认证模块703。
认证模块703,用于接收所述获得模块702传输的MAC地址,并对所述MAC地址对应的用户终端进行接入认证,并将认证通过的结果传输给确定模块704。
确定模块704,用于获得所述认证模块703传输的认证通过的结果,在维护用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,所述接口标识是用户终端所连接的接入交换节点上接口的接口标识,并将所述接口标识传输给发送模块705。
发送模块705,用于获得确定模块704传输的接口标识,将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。
其中,上述接收模块701,还用于接收接入交换节点基于所述控制隧道发来的用户终端的MAC地址,和所述用户终端所连接的接入交换节点接口的接口标识,其中所述用户终端的MAC地址和所述用户终端所连接的接入交换节点上接口的接口标识是接入交换节点在用户终端和所述接入交换节点上的接口建立连接,并通过连接的接口发送报文时获得的,并将接收到的MAC地址和接口标识传输给建立模块706。
所述装置还包括建立模块706,用于获得所述接收模块705传输的MAC地址和接口标识,根据接收到的用户终端的MAC地址和接口标识,建立用户终端的MAC地址和所述接口标识之间的对应关系。
相应地,本发明实施例三还提出一种网络交换机,如图6c所示,包括:
接口801,用于接收通过建立的数据隧道发来的认证报文,并将接收的认证报文通过总线802传输给信号处理器804。
接口801可以为以下一种或多种:提供有线接口的网络接口控制器(英文:networkinterface controller,缩写:NIC),例如以太网NIC,该以太网NIC可以提供铜线和/或光纤接口;提供无线接口的NIC,例如无线局域网(英文:wireless local area network,缩写:WLAN)NIC。
存储器803,用于存储程序代码,以及存储用户终端的MAC地址和接口标识的对应关系,并将存储的程序代码通过总线802传输给信号处理器804。
存储器803,可以是易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);或者非易失性存储器(英文:non-volatilememory),例如快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);或者上述种类的存储器的组合。
信号处理器804,用于通过总线802获得存储器803中存储的程序代码,并按照获得的程序代码执行:获得所述认证报文的源MAC地址字段中的MAC地址,并将获得的MAC地址,并对所述MAC地址对应的用户终端进行接入认证,在接入认证通过后,获得存储器803中存储的用户终端的MAC地址和接口标识的对应关系,获得的用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,所述接口标识是用户终端所连接的接入交换节点上接口的接口标识,并将所述接口标识通过总线802传输给接口801。
信号处理器804可以是中央处理器(英文:central processing unit,缩写:CPU),或者是CPU和硬件芯片的组合。信号处理器804还可以是网络处理器(英文:networkprocessor,缩写:NP)。或者是CPU和NP的组合,或者是NP和硬件芯片的组合。
上述硬件芯片可以是以下一种或多种的组合:专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),复杂可编程逻辑器件(英文:complexprogrammable logic device,缩写:CPLD)。
上述接口801,还用于通过总线802获得信号处理器804传输的接口标识,将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。
其中,上述接口801,还用于通过总线802接收接入交换节点基于所述控制隧道发来的用户终端的MAC地址,和所述用户终端所连接的接入交换节点接口的接口标识,其中所述用户终端的MAC地址和所述用户终端所连接的接入交换节点上接口的接口标识是接入交换节点在用户终端和所述接入交换节点上的接口建立连接,并通过连接的接口发送报文时获得的,并将接收到的MAC地址和接口标识通过总线传输给信号处理器804。
信号处理器804,还用于通过总线802获得接口801传输的MAC地址和接口标识,根据接收到的用户终端的MAC地址和接口标识,建立用户终端的MAC地址和所述接口标识之间的对应关系。并将建立的MAC地址和所述接口标识之间的对应关系通过总线802传输给存储器803。
相应地,基于图2所示的系统架构中,对于接入交换节点,本发明实施例三提出一种控制用户终端接入的方法,如图7a所示,其具体处理流程如下述:
步骤71,接入交换节点和汇聚交换节点之间建立包含控制隧道和数据隧道的报文传输隧道。
汇聚交换节点可以基于私有协议或者基于对标准协议的扩展,来实现和接入交换节点之间建立报文传输隧道。本发明实施例三这里以基于CAPWAP协议的扩展,来建立和接入交换节点之间的报文传输隧道。
其中基于CAPWAP协议建立报文传输隧道的过程请参见上述实施例一中的详细阐述,本发明实施例三不再赘述。
在汇聚交换节点基于CAPWAP协议建立和接入交换节点之间的报文传输隧道的过程中,汇聚交换节点会维护建立的报文传输隧道和接入交换节点之间的对应关系。例如,假设接入交换节点的标识为Switch 23,在汇聚交换节点和标识为Switch 23的接入交换节点之间建立报文传输隧道1后,可以维护报文传输隧道1和Switch 23的对应关系,这样,后续标识为Switch 23的接入交换节点通过建立的报文传输隧道向汇聚交换节点发送报文时,汇聚交换节点在进行处理或者响应的时候,可以在预先维护的报文传输隧道1和Switch 23的对应关系中,确定出是谁、通过哪条报文传输通道发来的报文,响应信息应该通过哪条报文传输通道传输给哪个接入交换节点。
步骤72,接入交换节点在媒体接入控制MAC学习功能关闭时,接收和接入交换节点上接口连接的用户终端发送的认证报文。
步骤73,获得发送认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址。
接入交换节点通过能够按照程序代码执行处理功能的信号处理器,确定发送认证报文的用户终端连接的接口的接口标识;并将接收到的认证报文传输给自身的信号处理器,信号处理器在认证报文的源MAC地址字段中获得发送所述认证报文的用户终端的MAC地址。
步骤74,将获得的用户终端的MAC地址和接口标识通过建立的控制隧道发送给汇聚交换节点。
步骤75,接收汇聚交换节点通过控制隧道发送的接口标识,根据接收到的接口标识,开启接口标识对应的接口。
接口标识是汇聚交换节点对用户终端接入认证通过后,在维护的用户终端的MAC地址和用户终端所连接的接入交换节点接口的接口标识的对应关系中,确定的与认证通过的用户终端的MAC地址对应的接口标识。
其中,汇聚交换节点建立终端标识和接口标识之间的对应关系的具体实施方式请参见上述实施例一或实施例二中的详细阐述,本发明实施例三不再赘述。
可选地,接入交换节点接收所述控制器通过控制隧道发送的和所述MAC地址对应的用户终端的接入权限;按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
相应地,本发明实施例三还提出一种控制用户终端接入的装置,如图7b所示,包括:
接收模块901,用于在媒体接入控制MAC学习功能关闭时,接收和所述接入交换节点上接口连接的用户终端发送的认证报文,并将所述认证报文传输给获得模块902。
获得模块902,用于接收所述接收模块901传输的认证报文,获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址,将所述接口标识和MAC地址传输给发送模块903;
发送模块903,用于接收所述获得模块902传输的接口标识和MAC地址,将获得的用户终端的MAC地址和接口标识通过和所述接入交换节点之间建立的控制隧道发送给控制器,所述控制器维护接收到的用户终端的MAC地址和接口标识的对应关系;
上述接收模块901,还用于接收控制器通过所述控制隧道发送的接口标识,并将所述接口标识传输给控制模块904,所述接口标识是所述控制器对所述MAC地址对应的用户终端进行接入认证通过后,在用户终端的MAC地址和接口标识的对应关系中,确定出的与认证通过的用户终端的MAC地址对应的接口标识;
控制模块904,用于获得所述接收模块901传输的接口标识,根据接收到的接口标识,开启所述接口标识对应的接口。
具体地,上述接收模块901,还用于接收所述控制器通过控制隧道发送的和所述MAC地址对应的用户终端的接入权限,并将所述接入权限传输给所述控制模块;控制模块904,具体用于获得所述接收模块901传输的接入权限,按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
具体地,上述获得模块902,具体包括信号处理器,用于确定发送认证报文的用户终端连接的接口的接口标识;并获得接收模块传输的认证报文,所述信号处理器在所述认证报文的源MAC地址字段中获得发送所述认证报文的用户终端的MAC地址。
相应地,本发明实施例三还提出一种网络交换机,如图7c所示,包括:
接口101,用于在媒体接入控制MAC学习功能关闭时,接收和所述接入交换节点上接口连接的用户终端发送的认证报文,并将所述认证报文通过总线102传输给信号处理器103。
接口101可以为以下一种或多种:提供有线接口的NIC,例如以太网NIC,该以太网NIC可以提供铜线和/或光纤接口。
信号处理器103,用于通过总线102接收所述接口101传输的认证报文,获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址,将所述接口标识和MAC地址通过总线102传输给接口101。
信号处理器103可以是CPU,或者是CPU和硬件芯片的组合。信号处理器103还可以是NP。或者是CPU和NP的组合,或者是NP和硬件芯片的组合。
上述硬件芯片可以是以下一种或多种的组合:ASIC,FPGA,CPLD等。
可选地,在信号处理器103为CPU或者包括CPU的组合的情况下,中继还可以包括存储器,存储器用于存储程序代码,所处信号处理器从存储器中获得存储的程序代码,按照获得的程序代理执行相应地处理。
存储器可以是易失性存储器,例如随机存取存储器;或者非易失性存储器,例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器,硬盘或固态硬盘,或者上述种类的存储器的组合。
上述接口101,还用于通过总线102接收所述信号处理器103传输的接口标识和MAC地址,将获得的用户终端的MAC地址和接口标识通过和建立的控制隧道发送给控制器,所述控制器维护接收到的用户终端的MAC地址和接口标识的对应关系。
上述接口101,还用于通过总线102接收控制器通过所述控制隧道发送的接口标识,并将所述接口标识通过总线102传输给信号处理器103,所述接口标识是所述控制器对所述MAC地址对应的用户终端进行接入认证通过后,在用户终端的MAC地址和接口标识的对应关系中,确定出的与认证通过的用户终端的MAC地址对应的接口标识;
信号处理器103,用于通过总线102获得接口101传输的接口标识,根据接收到的接口标识,开启所述接口标识对应的接口。
具体地,上述接口101,还用于通过总线102接收所述控制器通过控制隧道发送的和所述MAC地址对应的用户终端的接入权限,并将所述接入权限通过总线102传输给所述信号处理器103。信号处理器103,具体用于获得接口101通过总线102传输的接入权限,按照接收到的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
具体地,上述信号处理器103,用于确定发送认证报文的用户终端连接的接口的接口标识;并获得接口101传输的认证报文,所述信号处理器103在所述认证报文的源MAC地址字段中获得发送所述认证报文的用户终端的MAC地址。
本发明上述各实施例中提出的技术方案中,能够在汇聚交换节点中实现对对每个用户终端的接入进行集中控制,在接入交换节点上实现分布式策略控制,实现集中管理用户终端的同时控制接入层的用户终端的数据转发功能,实现方式比较易于实现,系统架构比较简单,并且能够较好地提高网络的安全性。
本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光盘只读存储器、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
Claims (14)
1.一种控制用户终端接入的方法,其特征在于,包括:
控制器接收接入交换节点通过建立的数据隧道发来的认证报文;
所述控制器获得所述认证报文的源MAC地址字段中的MAC地址;并
对所述MAC地址对应的用户终端进行接入认证通过后,在维护用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,所述接口标识是用户终端所连接的接入交换节点上接口的接口标识;
所述控制器将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。
2.如权利要求1所述的方法,其特征在于,在对所述MAC地址对应的用户终端进行接入认证之前,采用下述方式确定用户终端的MAC地址和接口标识的对应关系:
控制器接收接入交换节点基于所述控制隧道发来的用户终端的MAC地址,和所述用户终端所连接的接入交换节点接口的接口标识,其中所述用户终端的MAC地址和所述用户终端所连接的接入交换节点上接口的接口标识是接入交换节点在用户终端和所述接入交换节点上的接口建立连接,并通过连接的接口发送报文时获得的;以及
根据接收到的用户终端的MAC地址和接口标识,建立用户终端的MAC地址和所述接口标识之间的对应关系。
3.一种控制用户终端接入的方法,其特征在于,包括:
接入交换节点在媒体接入控制MAC学习功能关闭时,接收和所述接入交换节点上接口连接的用户终端发送的认证报文;
所述接入交换节点获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址;
所述接入交换节点将获得的用户终端的MAC地址和接口标识通过建立的控制隧道发送给控制器,所述控制器维护接收到的用户终端的MAC地址和接口标识的对应关系;以及
所述接入交换节点接收控制器通过控制隧道发送的接口标识,所述接口标识是所述控制器对所述MAC地址对应的用户终端进行接入认证通过后,在用户终端的MAC地址和接口标识的对应关系中,确定出的与认证通过的用户终端的MAC地址对应的接口标识;
所述接入交换节点根据接收到的接口标识,开启所述接口标识对应的接口。
4.如权利要求3所述的方法,其特征在于,还包括:接入交换节点接收所述控制器通过控制隧道发送的和所述MAC地址对应的用户终端的接入权限;
所述接入交换节点根据接收到的接口标识,开启所述接口标识对应的接口,包括:
按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
5.如权利要求3或4所述的方法,其特征在于,所述接入交换节点获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址,包括:
所述接入交换节点通过能够按照程序代码执行处理功能的信号处理器,确定发送认证报文的用户终端连接的接口的接口标识;并将接收到的认证报文传输给自身的信号处理器,信号处理器在所述认证报文的源MAC地址字段中获得发送所述认证报文的用户终端的MAC地址。
6.一种控制用户终端接入的装置,其特征在于,包括:
接收模块,用于接收通过建立的数据隧道发来的认证报文,并将接收的认证报文传输给获得模块;
获得模块,用于获得接收模块传输的认证报文,获得所述认证报文的源MAC地址字段中的MAC地址,并将获得的MAC地址传输给认证模块;
认证模块,用于接收所述获得模块传输的MAC地址,并对所述MAC地址对应的用户终端进行接入认证,并将认证通过的结果传输给确定模块;
确定模块,用于获得所述认证模块传输的认证通过的结果,在维护用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,所述接口标识是用户终端所连接的接入交换节点上接口的接口标识,并将所述接口标识传输给发送模块;
发送模块,用于获得所述确定模块传输的接口标识,将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点,指示接入交换节点开启所述接口标识对应的接口。
7.如权利要求6所述的装置,其特征在于,
所述接收模块,还用于接收接入交换节点基于所述控制隧道发来的用户终端的MAC地址,和所述用户终端所连接的接入交换节点接口的接口标识,其中所述用户终端的MAC地址和所述用户终端所连接的接入交换节点上接口的接口标识是接入交换节点在用户终端和所述接入交换节点上的接口建立连接,并通过连接的接口发送报文时获得的,并将接收到的MAC地址和接口标识传输给建立模块;
所述装置还包括建立模块,用于获得所述接收模块传输的MAC地址和接口标识,根据接收到的用户终端的MAC地址和接口标识,建立用户终端的MAC地址和所述接口标识之间的对应关系。
8.一种控制用户终端接入的装置,其特征在于,包括:
接收模块,用于在媒体接入控制MAC学习功能关闭时,接收和接入交换节点上接口连接的用户终端发送的认证报文,并将所述认证报文传输给获得模块;
所述获得模块,用于接收所述接收模块传输的认证报文,获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址,将所述接口标识和MAC地址传输给发送模块;
发送模块,用于接收所述获得模块传输的接口标识和MAC地址,将获得的用户终端的MAC地址和接口标识通过和所述接入交换节点之间建立的控制隧道发送给控制器,所述控制器维护接收到的用户终端的MAC地址和接口标识的对应关系;
所述接收模块,还用于接收控制器通过所述控制隧道发送的接口标识,并将所述接口标识传输给控制模块,所述接口标识是所述控制器对所述MAC地址对应的用户终端进行接入认证通过后,在用户终端的MAC地址和接口标识的对应关系中,确定出的与认证通过的用户终端的MAC地址对应的接口标识;
控制模块,用于获得所述接收模块传输的接口标识,根据接收到的接口标识,开启所述接口标识对应的接口。
9.如权利要求8所述的装置,其特征在于,所述接收模块,还用于接收所述控制器通过控制隧道发送的和所述MAC地址对应的用户终端的接入权限,并将所述接入权限传输给所述控制模块;
所述控制模块,具体用于获得所述接收模块传输的接入权限,按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
10.如权利要求8或9所述的装置,其特征在于,所述获得模块,具体包括能够按照程序代码执行处理功能的信号处理器,用于确定发送认证报文的用户终端连接的接口的接口标识;并获得接收模块传输的认证报文,所述信号处理器在所述认证报文的源MAC地址字段中获得发送所述认证报文的用户终端的MAC地址。
11.一种控制用户终端接入的系统,其特征在于,包括汇聚交换节点和接入交换节点,其中:
所述接入交换节点,用于在媒体接入控制MAC学习功能关闭时,接收和所述接入交换节点上接口连接的用户终端发送的认证报文,将所述认证报文通过数据隧道发送给所述汇聚交换节点;以及获得发送所述认证报文的用户终端连接接口的接口标识,并在接收到的认证报文中获得所述用户终端的MAC地址,将获得的用户终端的MAC地址和接口标识通过控制隧道发送给汇聚交换节点;以及接收所述汇聚交换节点发送的接口标识,根据接收到的接口标识,开启所述接口标识对应的接口;
所述汇聚交换节点,用于接收接入交换节点通过建立的数据隧道发来的认证报文,获得所述认证报文的源MAC地址字段中的MAC地址;并对所述获得MAC地址对应的用户终端进行接入认证通过后,在维护用户终端的MAC地址和接口标识的对应关系中,确定与认证通过的用户终端的MAC地址对应的接口标识,所述接口标识是用户终端所连接的接入交换节点上接口的接口标识;以及将确定出的接口标识通过与接入交换节点之间建立的控制隧道发送给接入交换节点。
12.如权利要求11所述的系统,其特征在于,所述汇聚交换节点采用下述方式确定用户终端的MAC地址和接口标识的对应关系:汇聚交换节点接收接入交换节点基于所述控制隧道发来的用户终端的MAC地址,和所述用户终端所连接的接入交换节点接口的接口标识,其中所述用户终端的MAC地址和所述用户终端所连接的接入交换节点上接口的接口标识是接入交换节点在用户终端和所述接入交换节点上的接口建立连接,并通过连接的接口发送报文时获得的;以及根据接收到的用户终端的MAC地址和接口标识,建立用户终端的MAC地址和所述接口标识之间的对应关系。
13.如权利要求11或12所述的系统,其特征在于,所述接入交换节点,还用于接收所述汇聚交换节点通过控制隧道发送的和所述MAC地址对应的用户终端的接入权限;并按照接收到的由汇聚交换节点发送的接入权限,配置或修改该接入交换节点上与接口标识对应的接口的接入权限,以控制与该接口连接的用户终端按照该接入权限接入网络。
14.如权利要求11所述的系统,其特征在于,所述接入交换节点具体用于通过自身的信号处理器,确定发送认证报文的用户终端连接的接口的接口标识;并将接收到的认证报文传输给能够按照程序代码执行处理功能的信号处理器,信号处理器在所述认证报文的源MAC地址字段中获得发送所述认证报文的用户终端的MAC地址。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310286753.9A CN104283858B (zh) | 2013-07-09 | 2013-07-09 | 控制用户终端接入的方法、装置及系统 |
| JP2016524665A JP6131484B2 (ja) | 2013-07-09 | 2014-07-01 | ユーザ端末のアクセスを制御するための方法、装置、およびシステム |
| EP14822073.4A EP3001635B1 (en) | 2013-07-09 | 2014-07-01 | Method, device and system for controlling access of user terminal |
| ES14822073.4T ES2634690T3 (es) | 2013-07-09 | 2014-07-01 | Método, dispositivo y sistema para controlar el acceso a un terminal de usuario |
| KR1020167001224A KR101768512B1 (ko) | 2013-07-09 | 2014-07-01 | 사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템 |
| PCT/CN2014/081326 WO2015003565A1 (zh) | 2013-07-09 | 2014-07-01 | 控制用户终端接入的方法、装置及系统 |
| US14/991,555 US9825950B2 (en) | 2013-07-09 | 2016-01-08 | Method, apparatus, and system for controlling access of user terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310286753.9A CN104283858B (zh) | 2013-07-09 | 2013-07-09 | 控制用户终端接入的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104283858A CN104283858A (zh) | 2015-01-14 |
| CN104283858B true CN104283858B (zh) | 2018-02-13 |
Family
ID=52258343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310286753.9A Active CN104283858B (zh) | 2013-07-09 | 2013-07-09 | 控制用户终端接入的方法、装置及系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9825950B2 (zh) |
| EP (1) | EP3001635B1 (zh) |
| JP (1) | JP6131484B2 (zh) |
| KR (1) | KR101768512B1 (zh) |
| CN (1) | CN104283858B (zh) |
| ES (1) | ES2634690T3 (zh) |
| WO (1) | WO2015003565A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180013798A1 (en) * | 2016-07-07 | 2018-01-11 | Cisco Technology, Inc. | Automatic link security |
| CN106131066B (zh) * | 2016-08-26 | 2019-09-17 | 新华三技术有限公司 | 一种认证方法及装置 |
| CN107844690A (zh) * | 2016-09-20 | 2018-03-27 | 深圳市信锐网科技术有限公司 | 一种基于管理员权限对无线控制器的管理方法及装置 |
| CN108123887B (zh) | 2016-11-29 | 2020-01-03 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN106953849B (zh) * | 2017-02-28 | 2021-01-12 | 华为技术有限公司 | 一种基于IPv6地址的数据报文匹配方法及装置 |
| US11063988B2 (en) * | 2018-02-04 | 2021-07-13 | Portly, Inc. | Scalable layered two-dimensional (2D) telecommunications network architecture |
| US10666718B2 (en) * | 2018-06-07 | 2020-05-26 | Spatika Technologies Inc. | Dynamic data transport between enterprise and business computing systems |
| US11216424B2 (en) | 2018-06-07 | 2022-01-04 | Spatika Technologies Inc. | Dynamically rendering an application programming interface for internet of things applications |
| WO2021128100A1 (zh) * | 2019-12-25 | 2021-07-01 | 华为技术有限公司 | 一种通信方法及装置 |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
| CN114237195A (zh) * | 2021-11-09 | 2022-03-25 | 岚图汽车科技有限公司 | 一种obd排放诊断方法及相关设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008034357A1 (en) * | 2006-09-20 | 2008-03-27 | Huawei Technologies Co., Ltd. | Method and system for capwap intradomain authentication using 802.11r |
| CN101621802A (zh) * | 2009-08-13 | 2010-01-06 | 杭州华三通信技术有限公司 | 一种无线网络中的入口认证方法、系统和装置 |
| CN101980496A (zh) * | 2010-10-13 | 2011-02-23 | 华为数字技术有限公司 | 报文处理方法和系统、交换机和接入服务器设备 |
| CN102209319A (zh) * | 2010-03-30 | 2011-10-05 | 杭州华三通信技术有限公司 | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 |
| CN102572830A (zh) * | 2012-01-19 | 2012-07-11 | 华为技术有限公司 | 终端接入认证的方法及用户端设备 |
| CN102647715A (zh) * | 2012-03-27 | 2012-08-22 | 华为技术有限公司 | 一种传递eap认证目的mac地址的方法 |
| WO2013039277A1 (ko) * | 2011-09-16 | 2013-03-21 | 주식회사 케이티 | AC와 AP의 연동 기반의 WiFi 로밍에서의 과금 처리 방법 및 장치 |
| CN103118064A (zh) * | 2012-11-22 | 2013-05-22 | 杭州华三通信技术有限公司 | 一种Portal集中认证的方法和装置 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3474548B2 (ja) * | 2001-04-09 | 2003-12-08 | アライドテレシス株式会社 | 集合建築物 |
| JP2005252717A (ja) * | 2004-03-04 | 2005-09-15 | Hitachi Ltd | ネットワーク管理方法及びネットワーク管理サーバ |
| JP4920878B2 (ja) * | 2004-07-14 | 2012-04-18 | 日本電気株式会社 | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム |
| JP2006067057A (ja) * | 2004-08-25 | 2006-03-09 | Furukawa Electric Co Ltd:The | ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント |
| US20070071016A1 (en) * | 2005-09-29 | 2007-03-29 | Avaya Technology Corp. | Communicating station-originated data to a target access point via a distribution system |
| JP4714111B2 (ja) * | 2006-08-29 | 2011-06-29 | 株式会社日立製作所 | 管理計算機、計算機システム及びスイッチ |
| US8104072B2 (en) * | 2006-10-26 | 2012-01-24 | Cisco Technology, Inc. | Apparatus and methods for authenticating voice and data devices on the same port |
| JP2008278134A (ja) * | 2007-04-27 | 2008-11-13 | Chuden Cti Co Ltd | ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム |
| CN101217575B (zh) * | 2008-01-18 | 2010-07-28 | 杭州华三通信技术有限公司 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
| FR2930100B1 (fr) * | 2008-04-09 | 2010-05-07 | Canon Kk | Procede d'etablissement d'un chemin de communication dans un reseau etendu de communication, tetes de tunnel,produit programme d'ordinateur et moyen de stockage correspondants |
| JP5350333B2 (ja) | 2010-06-28 | 2013-11-27 | アラクサラネットワークス株式会社 | パケット中継装置及びネットワークシステム |
| CN101909059B (zh) * | 2010-07-30 | 2014-07-30 | 北京星网锐捷网络技术有限公司 | 删除残留客户端信息的方法、系统及认证服务器 |
| JP5364671B2 (ja) * | 2010-10-04 | 2013-12-11 | アラクサラネットワークス株式会社 | ネットワーク認証における端末接続状態管理 |
| US9407457B2 (en) * | 2011-10-04 | 2016-08-02 | Juniper Networks, Inc. | Apparatuses for a wired/wireless network architecture |
| US9667485B2 (en) * | 2011-10-04 | 2017-05-30 | Juniper Networks, Inc. | Methods and apparatus for a self-organized layer-2 enterprise network architecture |
| KR102006512B1 (ko) * | 2011-11-04 | 2019-08-01 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 피디엔 접속을 확립하고 또한 사용하기 위한 방법 및 장치 |
| US9674030B2 (en) * | 2012-09-28 | 2017-06-06 | Juniper Networks, Inc. | Methods and apparatus for a common control protocol for wired and wireless nodes |
| CN108601043B (zh) * | 2012-09-28 | 2022-01-14 | 瞻博网络公司 | 用于控制无线接入点的方法和设备 |
-
2013
- 2013-07-09 CN CN201310286753.9A patent/CN104283858B/zh active Active
-
2014
- 2014-07-01 JP JP2016524665A patent/JP6131484B2/ja active Active
- 2014-07-01 ES ES14822073.4T patent/ES2634690T3/es active Active
- 2014-07-01 EP EP14822073.4A patent/EP3001635B1/en active Active
- 2014-07-01 KR KR1020167001224A patent/KR101768512B1/ko active IP Right Grant
- 2014-07-01 WO PCT/CN2014/081326 patent/WO2015003565A1/zh active Application Filing
-
2016
- 2016-01-08 US US14/991,555 patent/US9825950B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008034357A1 (en) * | 2006-09-20 | 2008-03-27 | Huawei Technologies Co., Ltd. | Method and system for capwap intradomain authentication using 802.11r |
| CN101621802A (zh) * | 2009-08-13 | 2010-01-06 | 杭州华三通信技术有限公司 | 一种无线网络中的入口认证方法、系统和装置 |
| CN102209319A (zh) * | 2010-03-30 | 2011-10-05 | 杭州华三通信技术有限公司 | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 |
| CN101980496A (zh) * | 2010-10-13 | 2011-02-23 | 华为数字技术有限公司 | 报文处理方法和系统、交换机和接入服务器设备 |
| WO2013039277A1 (ko) * | 2011-09-16 | 2013-03-21 | 주식회사 케이티 | AC와 AP의 연동 기반의 WiFi 로밍에서의 과금 처리 방법 및 장치 |
| CN102572830A (zh) * | 2012-01-19 | 2012-07-11 | 华为技术有限公司 | 终端接入认证的方法及用户端设备 |
| CN102647715A (zh) * | 2012-03-27 | 2012-08-22 | 华为技术有限公司 | 一种传递eap认证目的mac地址的方法 |
| CN103118064A (zh) * | 2012-11-22 | 2013-05-22 | 杭州华三通信技术有限公司 | 一种Portal集中认证的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6131484B2 (ja) | 2017-05-24 |
| KR20160020547A (ko) | 2016-02-23 |
| EP3001635A4 (en) | 2016-04-06 |
| US20160127368A1 (en) | 2016-05-05 |
| US9825950B2 (en) | 2017-11-21 |
| CN104283858A (zh) | 2015-01-14 |
| EP3001635A1 (en) | 2016-03-30 |
| WO2015003565A1 (zh) | 2015-01-15 |
| KR101768512B1 (ko) | 2017-08-17 |
| JP2016525748A (ja) | 2016-08-25 |
| EP3001635B1 (en) | 2017-06-07 |
| ES2634690T3 (es) | 2017-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104283858B (zh) | 控制用户终端接入的方法、装置及系统 | |
| CN103747499B (zh) | 用于针对有线和无线节点的公共控制协议的方法和设备 | |
| CN104639414B (zh) | 一种报文转发方法和设备 | |
| CN103747470B (zh) | 用于控制无线接入点的方法和设备 | |
| CN101682569B (zh) | 用于在固定网络架构中漫游Wi-Fi接入的PANA | |
| CN104125191B (zh) | 基于以太网的点对点协议的处理方法、设备和系统 | |
| CN102137401B (zh) | 无线局域网集中式802.1x认证方法及装置和系统 | |
| CN103262486B (zh) | 用于在转发引擎中应用客户端关联的策略的方法和装置 | |
| CN110650076B (zh) | Vxlan的实现方法,网络设备和通信系统 | |
| CN106992917A (zh) | 报文转发方法和装置 | |
| CN107241454B (zh) | 一种实现地址管理的方法、装置、aaa服务器及sdn控制器 | |
| CN110650075B (zh) | 基于vxlan的组策略实现方法、网络设备和组策略实现系统 | |
| CN104767696B (zh) | Sdn化的接入网中控制用户接入的方法及装置 | |
| CN107104872A (zh) | 接入控制方法、装置及系统 | |
| CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
| US11606334B2 (en) | Communication security apparatus, control method, and storage medium storing a program | |
| CN107820262A (zh) | 参数配置方法、装置及系统 | |
| CN105324961B (zh) | Gre隧道实现方法、接入点和网关 | |
| CN107743095A (zh) | 报文转发方法和装置 | |
| CN105101274B (zh) | 报文转发方式的配置方法和装置 | |
| CN108141743A (zh) | 用于电信网络与至少一个用户装备之间的至少一个通信交换的改进的处置的方法、电信网络、用户装备、系统、程序和计算机程序产品 | |
| CN108259453A (zh) | 一种报文转发方法及装置 | |
| CN104158743B (zh) | 分布式路由器的报文跨卡转发方法及装置 | |
| CN103763676B (zh) | Ap与ac间的通信方法和设备 | |
| CN105101337B (zh) | 信息发送方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |