CN104717216B - 一种网络接入控制方法、装置及核心设备 - Google Patents
一种网络接入控制方法、装置及核心设备 Download PDFInfo
- Publication number
- CN104717216B CN104717216B CN201510108952.XA CN201510108952A CN104717216B CN 104717216 B CN104717216 B CN 104717216B CN 201510108952 A CN201510108952 A CN 201510108952A CN 104717216 B CN104717216 B CN 104717216B
- Authority
- CN
- China
- Prior art keywords
- list item
- user terminal
- message packet
- vlan
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络接入控制方法、装置及核心设备,包括:核心设备获取用户终端的消息报文;将消息报文中的虚拟局域网标识与预存的用户认证表项中与用户终端标识对应的虚拟局域网标识进行比较,该用户认证表项中保存用户终端标识与接入网络的虚拟局域网标识的对应关系;当该消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用该消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,并允许该用户终端接入网络。采用本发明实施例提供的方案,减轻了认证服务器的负荷,同时也提高了认证服务器的系统性能,使得用户终端在变更场所时实现了无缝接入网络。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种网络接入控制方法、装置及核心设备。
背景技术
随着移动终端等智能设备越来越普及,移动用户上网的安全问题越来越受到运营商、企事业及各高校的关注。而且由于用户群密集且活跃,对网络接入方式和安全要求越来越高。
身份认证是建设安全可信网络的前提条件,因此在用户接入网络时,需要对用户进行接入认证。用户终端在接入网络时,通过网络的接入层、汇聚层和核心层,用户接入控制在接入层上完成。为了方便管理,目前大多数高校和企业网络将接入控制上移至核心设备,如图1所示,每台接入设备可以接入N个用户,每台汇聚设备可以接入M台接入设备,核心设备可以接入H台汇聚设备,核心设备对接入的用户终端进行身份验证。由于使用移动终端的用户的办公场所并不固定,例如,如图1所示,移动终端最初位于区域A接入网络,当移动终端移动到区域B或者区域C时,移动终端需要从区域B或者C的接入设备接入网络,重新进行身份认证。
现有的由于工作场所变更使得上网重新认证的接入控制方式为:用户由区域A移动到区域B时,由于核心设备接收到不同接入设备发送的报文,对用户在区域B发送的报文进行拦截,需要对发送该报文的用户终端进行接入认证。用户在区域B重新发送认证请求报文,核心设备将认证请求报文发送给认证服务器,对该用户重新进行认证。由于核心设备对区域A变换到区域B时,需要对该用户终端重新进行一次认证,当在上网高峰时期,发生多个用户频繁变更工作场所时,认证服务器的负荷加重,降低了服务器的系统性能,认证处理效率低。并且在用户由区域A切换到区域B的过程中,重新认证会使得用户终端有一段时间未接入网络,造成上网延时,用户体验差。
发明内容
本发明实施例提供一种网络接入控制方法、装置及核心设备,用以解决现有技术中存在的由于工作场所变更重新接入网络进行认证导致的认证服务器负荷重、系统性能低、认证处理效率低的问题。
本发明实施例提供一种网络接入控制方法,包括:
核心设备获取用户终端的消息报文;
将所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识进行比较,所述用户认证表项中保存用户终端标识与接入网络的虚拟局域网标识的对应关系;
当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用所述消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,并允许所述用户终端接入网络。
通过本发明实施例提供的上述方法,由于核心设备通过将预存的用户认证表项中的虚拟局域网标识与消息报文中的虚拟局域网标识进行比较,根据消息报文中的虚拟局域网的变化情况,能够判断用户终端所在场所是否发生变化,对于属于场所变更的用户终端,接入网络时无需重新认证,减轻了认证服务器的负荷,同时也提高了认证服务器的系统性能和认证处理效率,使得用户终端在变更场所时实现了无缝接入网络。
进一步的,将所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识进行比较,具体包括:
在预存的用户认证表项中查找与所述用户终端标识对应的用户认证表项信息;
将所述消息报文中的虚拟局域网标识与查找到的所述用户认证表项信息中的虚拟局域网标识进行比较。
进一步的,所述虚拟局域网标识包括内部虚拟局域网标识和外部虚拟局域网标识;
当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用所述消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,具体包括:
当所述消息报文中的内部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识不相同,所述消息报文中的外部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识相同时,使用所述消息报文中的内部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识;或者
当所述消息报文中的外部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识不相同,所述消息报文中的内部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识相同时,使用所述消息报文中的外部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识;或者
当所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识都不相同时,使用所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识。
进一步的,上述方法,还包括:
当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识相同时,转发所述消息报文。
本发明实施例还提供了一种网络接入控制装置,包括:
获取单元,用于获取用户终端的消息报文;
比较单元,用于将所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识进行比较,所述用户认证表项中保存用户终端标识与接入网络的虚拟局域网标识的对应关系;
替换单元,用于当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用所述消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,并允许所述用户终端接入网络。
通过本发明实施例提供的装置,由于通过将预存的用户认证表项中的虚拟局域网标识与消息报文中的虚拟局域网标识进行比较,根据消息报文中的虚拟局域网的变化情况,能够判断用户终端所在场所是否发生变化,对于属于场所变更的用户终端,接入网络时无需重新认证,减轻了认证服务器的负荷,同时也提高了认证服务器的系统性能和认证处理效率,使得用户终端在变更场所时实现了无缝接入网络。
进一步的,所述比较单元,具体用于在预存的用户认证表项中查找与所述用户终端对应的用户认证表项信息,所述用户认证表项信息为已认证过的用户终端的信息;将所述消息报文中的虚拟局域网标识与查找到的所述用户认证表项信息中的虚拟局域网标识进行比较。
进一步的,所述虚拟局域网标识包括内部虚拟局域网标识和外部虚拟局域网标识;
所述替换单元,具体用于当所述消息报文中的内部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识不相同,所述消息报文中的外部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识相同时,使用所述消息报文中的内部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识;或者
当所述消息报文中的外部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识不相同,所述消息报文中的内部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识相同时,使用所述消息报文中的外部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识;或者
当所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识都不相同时,使用所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识。
进一步的,上述装置,还包括:
转发单元,用于当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识相同时,转发所述消息报文。
本发明实施例还提供了一种核心设备,包括:
上述网络接入控制装置。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为用户终端接入网络的网络部署示意图;
图2为本发明实施例提供的网络接入控制方法的流程图;
图3为本发明实施例1提供的网络接入控制方法的流程图;
图4为本发明实施例2提供的网络接入控制装置的结构示意图。
具体实施方式
为了给出工作场所变更情况下提高认证服务器的系统性能,降低认证服务器负荷的实现方案,本发明实施例提供了一种网络接入控制方法、装置及核心设备,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明实施例提供一种网络接入控制方法,如图2所示,包括:
步骤201、核心设备获取用户终端的消息报文。
步骤202、将该消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识进行比较,该用户认证表项中保存用户终端标识与接入网络的虚拟局域网标识的对应关系。
步骤203、当该消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用该消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,并允许该用户终端接入网络。
本发明实施例中,用户终端接入网络的网络部署示意图如图1所示,当用户终端所在的场所发生变更时,例如,用户终端在区域A移动到区域B时,用户终端通过区域B的接入设备A2发送消息报文时,该消息报文经汇聚设备B1上报给核心设备,核心设备通过将消息报文中的虚拟局域网标识与预存的用户表项中与该用户终端标识对应的虚拟局域网标识比较,确定是否需要将消息报文发送给认证服务器进行认证。因为用户终端所在的场所发生变更时发送给核心设备的消息报文不需要发送给认证服务器,那么上报给核心设备的所有消息报文不需要全部由认证服务器进行认证,从而能够降低认证服务器的负荷,提高系统性能和认证处理效率。
下面结合附图,用具体实施例对本发明提供的方法及装置和相应系统进行详细描述。
实施例1:
图3为本发明实施例1提供的网络接入控制方法的流程图,具体包括如下处理步骤:
步骤301、核心设备获取用户终端的消息报文。
本步骤中,用户终端的消息报文由接入设备、汇聚设备发送给核心设备。
步骤302、确定该消息报文中是否存在内部虚拟局域网标识(IVID,Innert VLANID)和外部虚拟局域网标识(OVID,Out VLAN ID),如果否,进入步骤303,如果是,进入步骤304。
其中,IVID是网络的接入设备所属的虚拟局域网标识,OVID是汇聚设备所属的虚拟局域网标识。接入设备可以为24口交换机,每个端口分配一个独立的VLAN。
步骤303、将该消息报文由转发面的快转模块转发。
本步骤中,当该消息报文中不存在IVID和OVID时,该消息报文可以是正常工作时的业务报文,可以根据该消息报文的目的IP地址和目的MAC地址转发该消息报文。
步骤304、在预存的用户认证表项中查找是否存在该消息报文中的IVID、OVID、用户终端的MAC地址对应的用户认证表项信息,如果否,进入步骤305,如果是,进入步骤306。
该用户认证表项中保存用户终端标识与接入网络的IVID、OVID的对应关系,还可以保存用户终端的IP地址和MAC地址。其中,该用户认证表项信息为已认证过的用户终端的相关信息,例如:用户终端对应的IVID、OVID、MAC地址信息。
具体的,可以在预存的用户认证表项中查找与该用户终端标识对应的用户认证表项信息,并在查找的该用户终端标识对应的用户认证表项信息中查找是否存在该消息报文中的IVID、OVID、用户终端的MAC地址对应的用户认证表项信息,如果否,进入步骤305,如果是,进入步骤306。
本步骤中,用户终端的MAC地址可以在预存的MAC表项中查找,其中,MAC表项中保存用户终端的IVID、OVID与MAC地址的对应关系。具体的,当在MAC表项中未查找到用户终端的MAC地址时,核心设备的MAC模块学习该消息报文中的IVID、OVID和MAC地址,生成与该用户终端对应的一个新的MAC表项([OVID][IVID]+MAC)。
步骤305、将该消息报文上报给认证服务器进行认证。
本步骤中,当未查找到用户认证表项信息时,说明是新的用户接入网络,将该消息报文报文上报给认证服务器,由认证服务器采用现有的认证方式对该用户终端进行认证。
步骤306、确定该消息报文中的IVID、OVID与用户认证表项信息中的IVID、OVID是否相同,如果是,进入步骤307,如果否,进入步骤308。
具体的,负责管理、整合用户认证表项信息的安全控制中心(SCC,Security-control-center)可以将生成的用户认证表项信息[IVID][OVID]通告给ARP模块,ARP模块根据用户认证表项信息[IVID][OVID]生成对应的ARP表项[IVID][OVID]并设置到硬件芯片中,在硬件芯片中是将IVID对应设置为类型标识(Class ID),形成Class ID与各用户终端的IVID的映射关系。核心设备在比较消息报文中的IVID、OVID与用户认证表项信息中的IVID、OVID时,可以先将消息报文中的IVID与Class ID进行比较,并根据Class ID与IVID的映射关系,确定消息报文中的IVID与用户认证表项中的IVID是否相同。
步骤307、将该消息报文由转发面的快转模块转发。
本步骤中,当该消息报文中的IVID、OVID与用户认证表项信息中的IVID、OVID相同时,说明该用户终端所在的场所并未发生变化。
步骤308、使用消息报文中的IVID和OVID,替换用户认证表项中该用户终端对应的IVID和OVID,并转发该消息报文。
本步骤中,该消息报文中的IVID、OVID与用户认证表项信息中的IVID、OVID不同时,共有三种情况:1)消息报文中的IVID与用户认证表项信息中的IVID相同,消息报文中的OVID与用户认证表项信息中的OVID不同;2)消息报文中的IVID与用户认证表项信息中的IVID不同,消息报文中的OVID与用户认证表项信息中的OVID相同;3)消息报文中的IVID、OVID分别与用户认证表项信息中的IVID、OVID都不同。
按照如图1所示的网络部署,用户终端在A区域工作,当用户终端由区域A移动到区域C,用户终端在区域A、C分别通过接入设备的IVID=1端口接入,那么,用户终端的场所变更属于第1)种情况。使用消息报文中的OVID替换用户认证表项中该用户终端对应的OVID。
当用户终端所在的场所由区域A移动到区域B,用户终端在区域A通过接入设备的IVID=1的端口接入,在区域B通过接入设备的IVID=25的端口接入,则用户终端的场所变更属于第2)种情况。使用消息报文中的IVID替换用户认证表项中该用户终端对应的IVID。
当用户终端所在的场由区域B移动到区域C时,用户终端在区域B通过接入设备的IVID=25的端口接入,在区域C通过接入设备的IVID=1的端口接入,则用户终端的场所变更属于第3)种情况。使用消息报文中的IVID、OVID分别替换用户认证表项中该用户终端对应的IVID、OVID。
本发明实施例中,对于工作场所发生变更的情况,还可以避免现有技术中由于场所变更导致的重复收费问题,结合图1进行说明:现有技术中用户终端在区域A内接入网络正常工作,当该用户终端移动到区域B时,此时该用户终端的收费时段未满,在区域B接入网络需要重新认证,因此重新开始计费
通过本发明实施例提供的上述方法,由于核心设备通过将预存的用户认证表项中的虚拟局域网标识与消息报文中的虚拟局域网标识进行比较,根据消息报文中的虚拟局域网的变化情况,能够判断用户终端所在场所是否发生变化,对于属于场所变更的用户终端,接入网络时无需重新认证,减轻了认证服务器的负荷,同时也提高了认证服务器的系统性能和认证处理效率,使得用户终端在变更场所时实现了无缝接入网络。
实施例2:
基于同一发明构思,根据本发明上述实施例提供的网络接入控制方法,相应地,本发明实施例2还提供了一种网络接入控制装置,其结构示意图如图4所示,具体包括:
获取单元401,用于获取用户终端的消息报文;
比较单元402,用于将所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识进行比较,所述用户认证表项中保存用户终端标识与接入网络的虚拟局域网标识的对应关系;
替换单元403,用于当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用所述消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,并允许所述用户终端接入网络。
进一步的,比较单元402,具体用于在预存的用户认证表项中查找与所述用户终端对应的用户认证表项信息,所述用户认证表项信息为已认证过的用户终端的信息;将所述消息报文中的虚拟局域网标识与查找到的所述用户认证表项信息中的虚拟局域网标识进行比较。
进一步的,所述虚拟局域网标识包括内部虚拟局域网标识和外部虚拟局域网标识;
所述替换单元403,具体用于当所述消息报文中的内部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识不相同,所述消息报文中的外部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识相同时,使用所述消息报文中的内部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识;或者
当所述消息报文中的外部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识不相同,所述消息报文中的内部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识相同时,使用所述消息报文中的外部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识;或者
当所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识都不相同时,使用所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识。
进一步的,上述装置,还包括:
转发单元404,用于当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识相同时,转发所述消息报文。
本发明实施例2还提供了一种核心设备,包括:
本发明实施例2中提供的上述网络接入控制装置。
上述各单元的功能可对应于图2或图3所示流程中的相应处理步骤,在此不再赘述。
综上所述,本发明实施例提供的方案,包括:核心设备获取用户终端的消息报文;将该消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识进行比较,该用户认证表项中保存用户终端标识与接入网络的虚拟局域网标识的对应关系;当该消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用该消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,并允许该用户终端接入网络。采用本发明实施例提供的方案,减轻了认证服务器的负荷,同时也提高了认证服务器的系统性能和认证处理效率,使得用户终端在变更场所时实现了无缝接入网络。
本申请的实施例所提供的网络接入控制装置可通过计算机程序实现。本领域技术人员应该能够理解,上述的模块划分方式仅是众多模块划分方式中的一种,如果划分为其他模块或不划分模块,只要网络接入控制装置具有上述功能,都应该在本申请的保护范围之内。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (7)
1.一种网络接入控制方法,其特征在于,包括:
核心设备获取用户终端的消息报文;
将所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识进行比较,所述用户认证表项中保存用户终端标识与接入网络的虚拟局域网标识的对应关系;
当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用所述消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,并允许所述用户终端接入网络;
所述虚拟局域网标识包括内部虚拟局域网标识和外部虚拟局域网标识;
当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用所述消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,具体包括:
当所述消息报文中的内部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识不相同,所述消息报文中的外部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识相同时,使用所述消息报文中的内部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识;或者
当所述消息报文中的外部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识不相同,所述消息报文中的内部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识相同时,使用所述消息报文中的外部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识;或者
当所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识都不相同时,使用所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识。
2.如权利要求1所述的方法,其特征在于,将所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识进行比较,具体包括:
在预存的用户认证表项中查找与所述用户终端标识对应的用户认证表项信息;
将所述消息报文中的虚拟局域网标识与查找到的所述用户认证表项信息中的虚拟局域网标识进行比较。
3.如权利要求1所述的方法,其特征在于,还包括:
当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识相同时,转发所述消息报文。
4.一种网络接入控制装置,其特征在于,包括:
获取单元,用于获取用户终端的消息报文;
比较单元,用于将所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识进行比较,所述用户认证表项中保存用户终端标识与接入网络的虚拟局域网标识的对应关系;
替换单元,用于当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识不相同时,使用所述消息报文中的虚拟局域网标识替换预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识,并允许所述用户终端接入网络;
所述虚拟局域网标识包括内部虚拟局域网标识和外部虚拟局域网标识;
所述替换单元,具体用于当所述消息报文中的内部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识不相同,所述消息报文中的外部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识相同时,使用所述消息报文中的内部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识;或者
当所述消息报文中的外部虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识不相同,所述消息报文中的内部虚拟局域网与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识相同时,使用所述消息报文中的外部虚拟局域网替换预存的用户认证表项中与该用户终端标识对应的外部虚拟局域网标识;或者
当所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别与预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识都不相同时,使用所述消息报文中的内部虚拟局域网标识、外部虚拟局域网标识分别替换预存的用户认证表项中与该用户终端标识对应的内部虚拟局域网标识、外部虚拟局域网标识。
5.如权利要求4所述的装置,其特征在于,所述比较单元,具体用于在预存的用户认证表项中查找与所述用户终端对应的用户认证表项信息,所述用户认证表项信息为已认证过的用户终端的信息;将所述消息报文中的虚拟局域网标识与查找到的所述用户认证表项信息中的虚拟局域网标识进行比较。
6.如权利要求4所述的装置,其特征在于,还包括:
转发单元,用于当所述消息报文中的虚拟局域网标识与预存的用户认证表项中与该用户终端标识对应的虚拟局域网标识相同时,转发所述消息报文。
7.一种核心设备,其特征在于,包括:
如权利要求4-6任一所述的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510108952.XA CN104717216B (zh) | 2015-03-12 | 2015-03-12 | 一种网络接入控制方法、装置及核心设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510108952.XA CN104717216B (zh) | 2015-03-12 | 2015-03-12 | 一种网络接入控制方法、装置及核心设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104717216A CN104717216A (zh) | 2015-06-17 |
| CN104717216B true CN104717216B (zh) | 2018-09-07 |
Family
ID=53416178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510108952.XA Active CN104717216B (zh) | 2015-03-12 | 2015-03-12 | 一种网络接入控制方法、装置及核心设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104717216B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107317792B (zh) * | 2016-03-30 | 2020-10-30 | 阿里巴巴集团控股有限公司 | 一种实现虚拟专有网络中访问控制的方法与设备 |
| CN113329404B (zh) * | 2021-05-27 | 2022-11-22 | 中国联合网络通信集团有限公司 | 网络接入方法和装置 |
| CN114938295B (zh) * | 2022-05-10 | 2024-04-23 | 北京北信源软件股份有限公司 | 主动安全网络及构建方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101980496A (zh) * | 2010-10-13 | 2011-02-23 | 华为数字技术有限公司 | 报文处理方法和系统、交换机和接入服务器设备 |
| CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
| EP2506613A2 (en) * | 2009-11-26 | 2012-10-03 | Samsung SDS Co. Ltd. | System and method for managing ipv6 address and access policy |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3895146B2 (ja) * | 2001-10-22 | 2007-03-22 | 富士通株式会社 | サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム |
| CN102075904B (zh) * | 2010-12-24 | 2015-02-11 | 杭州华三通信技术有限公司 | 一种防止漫游用户再次认证的方法和装置 |
| CN104333552B (zh) * | 2014-11-04 | 2017-11-24 | 福建星网锐捷网络有限公司 | 一种认证确定方法及接入设备 |
-
2015
- 2015-03-12 CN CN201510108952.XA patent/CN104717216B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2506613A2 (en) * | 2009-11-26 | 2012-10-03 | Samsung SDS Co. Ltd. | System and method for managing ipv6 address and access policy |
| CN101980496A (zh) * | 2010-10-13 | 2011-02-23 | 华为数字技术有限公司 | 报文处理方法和系统、交换机和接入服务器设备 |
| CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104717216A (zh) | 2015-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2760174A1 (en) | Virtual private cloud access authentication method and related apparatus | |
| CN105577723B (zh) | 虚拟化网络中实现负载分担的方法和装置 | |
| CN108616431A (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
| EP3310025B1 (en) | User migration | |
| US9722923B2 (en) | Method operating in a fixed access network and UEs | |
| CN101692652B (zh) | 一种防止聚合链路中流量中断的方法及装置 | |
| CN104780088A (zh) | 一种业务报文的传输方法和设备 | |
| CN103118149B (zh) | 同一租户内服务器间的通信控制方法及网络设备 | |
| US20190020656A1 (en) | Virtual address for controller in a controller cluster | |
| US8855113B2 (en) | Link state identifier collision handling | |
| CN108259632B (zh) | 一种cgn实现方法及装置 | |
| CN105634956A (zh) | 一种报文转发方法、装置和系统 | |
| CN104320502B (zh) | 终端网关ip地址分配方法、数据传输的方法、mme及系统 | |
| US11146464B2 (en) | Systems and methods for enabling inter-agent multicast domain name system client roaming in wide area network | |
| CN105939240A (zh) | 负载均衡方法及装置 | |
| CN104717216B (zh) | 一种网络接入控制方法、装置及核心设备 | |
| CN110311866A (zh) | 一种快速转发报文的方法及装置 | |
| US20210126942A1 (en) | Email security in a multi-tenant email service | |
| JP2020511873A (ja) | Macアドレス同期 | |
| CN107634907B (zh) | 一种二层虚拟专用网络l2vpn的数据转发方法和装置 | |
| US10728171B2 (en) | Governing bare metal guests | |
| CN106209634B (zh) | 地址映射关系的学习方法及装置 | |
| Takiguchi et al. | A new application‐level link aggregation and its implementation on Android terminals | |
| KR101308649B1 (ko) | 가상 네트워크 할당 시스템 및 방법 | |
| US11909763B2 (en) | BGP blackhole and hijack mitigation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |