CN106358188A - 一种链路切换方法、装置及系统 - Google Patents
一种链路切换方法、装置及系统 Download PDFInfo
- Publication number
- CN106358188A CN106358188A CN201610741809.9A CN201610741809A CN106358188A CN 106358188 A CN106358188 A CN 106358188A CN 201610741809 A CN201610741809 A CN 201610741809A CN 106358188 A CN106358188 A CN 106358188A
- Authority
- CN
- China
- Prior art keywords
- authentication
- equipment
- certificate server
- link
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/04—Arrangements for maintaining operational condition
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种链路切换方法、装置及系统。该链路切换方法包括开启所述第二认证服务器设备被生成树协议阻塞的服务器认证端口的认证功能,并关闭所述服务器认证端口的MAC地址学习功能;获取所述认证客户端设备发送的认证报文;依据所述认证报文对所述认证客户端设备进行认证;当所述认证客户端设备通过认证时,打开所述服务器认证端口的MAC地址学习功能和报文转发功能,关闭该服务器认证端口主动下发MAC地址表的功能。本发明能够有效缩短链路切换的时间,提高数据转发的有效性和可靠性。
Description
技术领域
本发明涉及数据通信技术领域,具体而言,涉及一种链路切换方法、装置及系统。
背景技术
随着当前接入层安全技术的发展,对于接入层设备安全接入认证方法提出了严格要求。在接入层设备安全接入认证系统中存在以下三种角色:认证客户端设备、认证服务器设备和AAA服务器。现有技术中,认证服务器设备的交换端口开启802.1x认证功能后,该交换端口关闭MAC地址学习功能,将该交换端口接收到的二层转发报文丢弃,即所有的二层转发报文进入交换端口后既不学习MAC地址表,也不会被转发。当认证客户端设备的接入端口启用认证客户端设备功能后,该接入端口会主动发起设备认证请求,经过标准的802.1x认证流程交互后,若认证成功,则认证服务器设备该接入端口的802.1x认证状态设置为认证通过状态,打开MAC地址表学习能力,使得接收到的报文能够进行正常的二层转发。在当前设备间的安全认证在认证通过后,如果出现设备或者链路的切换,由于需要进行认证,无法实现快速收敛,从而导致报文丢弃现象的发生。
发明内容
本发明提供了一种链路切换方法、装置及系统,旨在有效缩短链路切换的时间,提高数据转发的有效性和可靠性。
第一方面,本发明实施例提供的一种链路切换方法,应用于链路切换系统中的认证服务器设备,所述链路切换系统包括认证客户端设备、第一认证服务器设备和第二认证服务器设备,所述第一认证服务器设备与认证客户端设备之间的链路处于数据转发状态,所述第二认证服务器设备与认证客户端设备之间的链路处于数据阻塞状态,所述链路切换方法包括:
开启所述第二认证服务器设备被生成树协议阻塞的服务器认证端口的认证功能,并关闭所述服务器认证端口的MAC地址学习功能;
获取所述认证客户端设备发送的认证报文;
依据所述认证报文对所述认证客户端设备进行认证;
当所述认证客户端设备通过认证时,打开所述服务器认证端口的MAC地址学习功能和报文转发功能,关闭该服务器认证端口主动下发MAC地址表的功能。
优选地,所述链路切换方法还包括:
在所述认证客户端设备和所述第一认证服务器设备之间的链路发生故障时,生成树协议将所述第二认证服务器设备中被阻塞的所述服务器认证端口从数据阻塞状态切换为数据转发状态,打开所述服务器认证端口主动下发MAC地址表的功能。
优选地,所述获取所述认证客户端设备发送的认证报文的步骤,包括:
在所述服务器认证端口被生成树协议阻塞的情况下,从所述服务器认证端口捕获所述认证客户端设备发送的认证报文后,依据预先在交换芯片中设置的访问控制列表表项,将所述认证报文发送到认证协议。
第二方面,本发明实施例提供的一种链路切换方法,应用于链路切换系统中的认证客户端设备,所述链路切换系统包括认证客户端设备、第一认证服务器设备和第二认证服务器设备,所述第一认证服务器设备与认证客户端设备之间的链路处于数据转发状态,所述第二认证服务器设备与认证客户端设备之间的链路处于数据阻塞状态,所述链路切换方法包括:
开启所述认证客户端设备被生成树协议阻塞的接入认证端口的认证功能,并关闭所述接入认证端口的MAC地址学习功能;
获取所述第二认证服务器设备发送的认证报文;
依据所述认证报文判断所述认证客户端设备是否通过认证;
当所述认证客户端设备通过认证时,打开所述接入认证端口的MAC地址学习功能和报文转发功能,关闭该接入认证端口的主动下发MAC地址表的功能。
优选地,所述链路切换方法还包括:
在所述认证客户端设备和所述第一认证服务器设备之间的链路发生故障时,生成树协议将所述认证客户端设备中被阻塞的所述接入认证端口从数据阻塞状态切换为数据转发状态,打开所述接入认证端口主动下发MAC地址表的功能。
优选地,所述获取所述第二认证服务器设备发送的认证报文的步骤,包括:
在所述接入认证端口被生成树协议阻塞的情况下,从所述接入认证端口捕获所述第二认证服务器设备发送的认证报文后,依据预先在交换芯片中设置的访问控制列表表项,将所述认证报文发送到认证协议。
第三方面,本发明实施例提供的一种链路切换装置,应用于链路切换系统中的认证服务器设备,所述链路切换系统包括认证客户端设备、第一认证服务器设备和第二认证服务器设备,所述第一认证服务器设备与认证客户端设备之间的链路处于数据转发状态,所述第二认证服务器设备与认证客户端设备之间的链路处于数据阻塞状态,所述链路切换装置包括:
配置模块,用于开启所述第二认证服务器设备被生成树协议阻塞的服务器认证端口的认证功能,并关闭所述认证服务器设备端口的MAC地址学习功能;
认证报文获取模块,用于获取所述认证客户端设备向所述服务器认证端口发送的认证报文,并发送给认证协议模块;
所述认证协议模块,用于依据所述认证报文对所述认证客户端设备进行认证;
所述配置模块,还用于当所述认证客户端设备通过认证时,打开所述服务器认证端口的MAC地址学习功能和报文转发功能,关闭该服务器认证端口主动下发MAC地址表的功能。
优选地,所述链路切换装置还包括:
生成树协议模块,用于在所述认证客户端设备和所述第一认证服务器设备之间的链路发生故障时,将所述第二认证服务器设备中被阻塞的服务器认证端口从数据阻塞状态切换为数据转发状态,打开所述服务器认证端口主动下发MAC地址表的功能。
优选地,所述认证报文获取模块,具体用于:
在所述服务器认证端口被生成树协议阻塞的情况下,从所述服务器认证端口捕获所述认证客户端设备发送的认证报文后,依据预先在交换芯片中设置的访问控制列表表项,将所述认证报文发送到所述认证协议模块。
第四方面,本发明实施例提供的链路切换装置,应用于链路切换系统中的认证客户端设备,所述链路切换系统包括认证客户端设备、第一认证服务器设备和第二认证服务器设备,所述第一认证服务器设备与认证客户端设备之间的链路处于数据转发状态,所述第二认证服务器设备与认证客户端设备之间的链路处于数据阻塞状态,所述链路切换装置包括:
配置模块,用于开启所述认证客户端设备被生成树协议阻塞的接入认证端口的认证功能,并关闭所述接入认证端口的MAC地址学习功能;
认证报文获取模块,用于获取所述第二认证服务器设备发送的认证报文,并发送给认证协议模块;
所述认证协议模块,用于依据所述认证报文,对所述认证客户端设备进行认证;
所述配置模块,还用于当所述认证客户端设备通过认证时,打开所述接入认证端口的MAC地址学习功能和报文转发功能,关闭所述接入认证端口主动下发MAC地址表的功能。
优选地,所述链路切换装置还包括:
生成树协议模块,用于在所述认证客户端设备和所述第一认证服务器设备之间的链路发生故障时,将所述认证客户端设备中被阻塞的接入认证端口从数据阻塞状态切换为数据转发状态,打开所述接入认证端口主动下发MAC地址表的功能。
优选地,所述认证报文获取模块,具体用于:
在所述接入认证端口被生成树协议阻塞的情况下,从所述接入认证端口捕获所述第二认证服务器设备发送的认证报文后,依据预先在交换芯片中设置的访问控制列表表项,将所述认证报文发送到所述认证协议模块。
本发明实施例提供的一种链路切换方法、装置及系统,将认证客户端设备提前在被生成树协议阻塞的认证服务器设备端口进行认证,在主链路出现故障时,能够保证认证客户端设备快速切换到备用链路进行数据流量的转发,从而有效缩短链路切换的时间,提高数据转发的有效性和可靠性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应该看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本发明实施方式提供的一种链路切换系统的应用环境示意图。
图2是本发明实施方式提供的第二认证服务器设备和认证客户端设备的组成框图。
图3是本发明实施方式提供的一种链路切换装置的功能模块框图。
图4是本发明实施方式提供的一种链路切换方法的流程图。
图5是本发明实施方式提供的另一种链路切换方法的流程图。
图中标记分别为:
链路切换系统100;
认证客户端设备110,第一认证服务器设备120,第二认证服务器设备130;
链路切换装置131,存储器132,存储控制器133,处理器134;
配置模块1311,认证报文获取模块1312,认证协议模块1313,生成树协议模块1314。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
如图1所示,是本发明实施例提供的一种链路切换系统100的应用环境示意图。该链路切换系统100包括认证客户端设备110、第一认证服务器设备120和第二认证服务器设备130。所述认证客户端设备110、第一认证服务器设备120和第二认证服务器设备130可以进行交互。所述第一认证服务器设备120与认证客户端设备110之间的链路处于数据转发(Forward)状态,所述第二认证服务器设备130与认证客户端设备110之间的链路处于数据阻塞(Block)状态。本实施例中,所述认证客户端设备110的数量可以是一个或一个以上,图中为了方便说明仅示出了一个认证客户端设备。所述第一认证服务器设备120与第二认证服务器设备130可以是具有相同结构的服务器。本实施例中,引入“第一”和“第二”的概念仅仅是为了区分认证客户端设备110与不同服务器之间的链路连接状态。例如,当认证客户端设备110与其中一个服务器的链路处于Forward状态时,该服务器则对应为第一认证服务器设备120,另一个服务器则为第二认证服务器设备130。而当认证客户端设备110与该服务器的链路处于Block状态时,该服务器则对应为第二认证服务器设备130,另一个服务器则对应为第一认证服务器设备120。也就是说,本实施例所述的第一认证服务器设备120和第二认证服务器设备130只是一个相对概念而非绝对概念。所述认证客户端设备110通过网络与所述第一认证服务器设备120、第二认证服务器设备130进行通信连接,以进行数据通信或信令交互。
如图2所示,是所述第二认证服务器设备130和认证客户端设备110的方框示意图。所述第二认证服务器设备130和认证客户端设备110均包括链路切换装置131、存储器132、存储控制器133及处理器134。
所述存储器132、存储控制器133、处理器134各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述链路切换装置131包括至少一个可以软件或固件(firmware)的形式存储于所述存储器132中或固化在所述第二认证服务器设备130和认证客户端设备110中的操作系统(operating system,OS)中的软件功能模块。所述处理器134用于执行存储器132中存储的可执行模块,例如所述链路切换系统100包括的软件功能模块或计算机程序。
其中,所述存储器132可以是,但不限于,随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(ProgrammableRead-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。其中,存储器132用于存储程序,所述处理器134在接收到执行指令后,执行所述程序,前述本发明实施例中的任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器134中,或者由处理器134实现。
处理器134可能是一种集成电路芯片,具有信号处理的能力。上述的处理器134可以是通用处理器,包括处理器(Central Processing Unit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
如图3所示,是链路切换装置131的功能模块框图。其中,所述链路切换装置131可以包括配置模块1311、认证报文获取模块1312、认证协议模块1313和生成树协议模块1314。
下面结合图4和图5对上述各功能模块进行详细描述。
如图4所示,是本发明实施方式提供的一种链路切换方法的流程图。该方法包括以下步骤。
步骤S101:开启所述第二认证服务器设备130被生成树协议阻塞的服务器认证端口的认证功能,并关闭所述服务器认证端口的MAC地址学习功能。本实施例中,该步骤S101可由所述配置模块1311执行。
本实施例中,由于所述认证客户端设备110是通过与第一认证服务器设备120之间的链路进行数据流量转发,相应地,所述第二认证服务器设备130的服务器认证端口则处于被生成树协议阻塞的状态。为了在所述认证客户端设备110与第一认证服务器设备120之间的链路出现故障时,能够快速切换到与第二认证服务器设备130之间的链路进行数据流量转发,减少丢包现象。本实施例中,所述第二认证服务器设备130首先开启所述被生成树协议阻塞的服务器认证端口的认证功能对所述认证客户端设备110进行认证,并关闭所述服务器认证端口的MAC地址学习功能,使得进入所述第二认证服务器设备130的服务器认证端口中的查找MAC地址表失败的报文被丢弃。所述生成树协议可以是,但不限于,多生成树协议(MSTP)。该多生成树协议是IEEE802.1s中定义的一种新型生成树协议。
步骤S102:获取所述认证客户端设备110发送的认证报文。本实施例中,该步骤S102可由所述认证报文获取模块1312执行。
其中,所述认证客户端设备110通过第二认证服务器设备130和认证客户端设备110之间的链路向所述服务器认证端口发送认证报文。所述认证报文中包括身份验证请求和认证客户端设备110的身份信息,例如账号和密码等。
步骤S103:依据所述认证报文对所述认证客户端设备进行认证。本实施例中,该步骤S103可由所述认证协议模块1313执行。
其中,所述第二认证服务器设备130获得所述认证客户端设备110发送的认证报文后并对该认证报文进行解析,从而对所述认证客户端设备110进行认证。本实施例中,所述认证客户端设备110可以基于EAP协议向所述被生成树协议阻塞的服务器认证端口发送所述认证报文。其中,该EAP协议为可扩展身份验证协议,任意身份验证机制都可以通过远程访问连接进行身份验证。另外,对所述认证报文进行解析采用的是802.1x协议。其中,802.1x协议是基于C/S模式的访问控制和认证协议。其认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对认证客户端设备110的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包。本实施例中,可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持。同时,可以映射不同的用户认证等级到不同的VLAN。可以使交换端口和无线LAN具有安全的认证接入功能。
步骤S104:当所述认证客户端设备110通过认证时,打开所述服务器认证端口的MAC地址学习功能和报文转发功能,关闭该服务器认证端口主动下发MAC地址表的功能。本实施例中,该步骤S104可由所述配置模块1311执行。
其中,当所述认证客户端设备110通过所述第二认证服务器设备130的认证时,所述第二认证服务器设备130打开所述服务器认证端口的MAC地址学习功能和报文转发功能。并关闭该服务器认证端口主动下发MAC地址表的功能。所述第二认证服务器设备130实现了在服务器认证端口处于阻塞状态的情况下,对所述认证客户端设备110完成了提前认证。另外,当所述认证客户端设备110未通过所述第二认证服务器设备130的认证时,所述第二认证服务器设备130结束认证流程,并返回执行步骤S102。
S105:在所述认证客户端设备110和所述第一认证服务器设备120之间的链路发生故障时,生成树协议将所述第二认证服务器设备130中被阻塞的所述服务器认证端口从数据阻塞状态切换为数据转发状态,打开该服务器认证端口主动下发MAC地址表的功能。本实施例中,该步骤S105可由所述生成树协议模块1314执行。
其中,所述认证客户端设备110和所述第一认证服务器设备120之间的链路发生故障可以包括所述认证客户端设备110与所述第一认证服务器设备120之间的链路断开、所述第一认证服务器设备120的服务器认证端口停机或所述认证客户端设备110的端口停机等情况。当所述认证客户端设备110和所述第一认证服务器设备120之间的链路发生故障时,多生成树协议会主动感知网络拓扑结构的变化,所述第二认证服务器设备130将被生成树协议阻塞的服务器认证端口从数据阻塞状态切换为数据转发状态。并打开该服务器认证端口主动下发MAC地址表的功能。使得所述认证客户端设备110切换到与所述第二认证服务器设备130之间的链路进行数据的转发。
进一步地,所述认证报文获取模块1312还用于在所述服务器认证端口被生成树协议阻塞的情况下,从所述服务器认证端口捕获所述认证客户端设备110发送的认证报文后,依据预先在交换芯片中设置的访问控制列表(Access Control List,ACL)表项,将所述认证报文发送到认证协议。具体地,所述处理器134调用所述第二认证服务器设备130的AAA(Authentication、Authorization、Accounting,验证、授权和记账)认证服务模块对接收到的认证报文进行处理,并基于802.1x协议对所述认证客户端设备110进行身份认证。认证通过的认证客户端设备110可以在所述第二认证服务器设备130的服务器认证端口由阻塞端口切换为转发端口后直接允许其进行数据转发。
如图5所示,是本发明实施方式提供的另一种链路切换方法的流程图。该方法包括以下步骤。
步骤S201:开启所述第二认证服务器设备130被生成树协议阻塞的接入认证端口的认证功能,并关闭所述服务器认证端口的MAC地址学习功能。本实施例中,该步骤S201可由所述配置模块1311执行。
本实施例中,由于所述认证客户端设备110是通过与第一认证服务器设备120之间的链路进行数据流量转发,相应地,与所述第二认证服务器设备130对应的所述认证客户端设备110的接入认证端口则处于被生成树协议阻塞的状态。为了在所述认证客户端设备110与第一认证服务器设备120之间的链路出现故障时,能够快速切换到与第二认证服务器设备130之间的链路进行数据流量转发,减少丢包现象。本实施例中,所述认证客户端设备110首先开启所述被生成树协议阻塞的接入认证端口的认证功能,使得所述第二认证服务器设备130对所述认证客户端设备110进行认证,并关闭所述接入认证端口的MAC地址学习功能,使得进入所述认证客户端设备110的接入认证端口中的查找MAC地址表失败的报文被丢弃。所述生成树协议可以是,但不限于,多生成树协议(MSTP)。该多生成树协议是IEEE802.1s中定义的一种新型生成树协议。
步骤S202:获取所述第二认证服务器设备130发送的认证报文。本实施例中,该步骤S202可由所述认证报文获取模块1312执行。
其中,所述认证客户端设备110通过第二认证服务器设备130和认证客户端设备110之间的链路向所述接入认证端口发送认证报文。所述认证报文中包括身份验证请求和认证客户端设备110的身份信息,例如账号和密码等。
步骤S203:依据所述认证报文判断所述认证客户端设备110是否通过认证。本实施例中,该步骤S203可由所述认证协议模块1313执行。
其中,所述认证客户端设备110获得所述第二认证服务器设备130发送的认证报文后,对该认证报文进行解析,从而对所述认证客户端设备110进行认证。本实施例中,所述第二认证服务器设备130可以基于EAP协议向所述被生成树协议阻塞的接入认证端口发送所述认证报文。其中,该EAP协议为可扩展身份验证协议,任意身份验证机制都可以通过远程访问连接进行身份验证。另外,对所述认证报文进行解析采用的是802.1x协议。其中,802.1x协议是基于C/S模式的访问控制和认证协议。其认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对认证客户端设备110的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包。本实施例中,可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持。同时,可以映射不同的用户认证等级到不同的VLAN。可以使交换端口和无线LAN具有安全的认证接入功能。
步骤S204:当所述认证客户端设备110通过认证时,打开所述接入认证端口的MAC地址学习功能和报文转发功能,关闭该接入认证端口主动下发MAC地址表的功能。本实施例中,该步骤S204可由所述配置模块1311执行。
其中,当所述认证客户端设备110通过所述第二认证服务器设备130的认证时,所述认证客户端设备110打开所述接入认证端口的MAC地址学习功能和报文转发功能。并关闭该接入认证端口主动下发MAC地址表的功能。所述第二认证服务器设备130实现了在接入认证端口处于阻塞状态的情况下,对所述认证客户端设备110完成了提前认证。另外,当所述认证客户端设备110未通过所述第二认证服务器设备130的认证时,所述第二认证服务器设备130结束认证流程,并返回执行步骤S202。
步骤S205:在所述认证客户端设备110和所述第一认证服务器设备120之间的链路发生故障时,生成树协议将所述第二认证服务器设备130中被阻塞的所述接入认证端口从数据阻塞状态切换为数据转发状态,打开该接入认证端口主动下发MAC地址表的功能。本实施例中,该步骤S205可由所述生成树协议模块1314执行。
其中,所述认证客户端设备110和所述第一认证服务器设备120之间的链路发生故障可以包括所述认证客户端设备110与所述第一认证服务器设备120之间的链路断开、所述第一认证服务器设备120的服务器认证端口停机或所述认证客户端设备110的接入认证端口停机等情况。当所述认证客户端设备110和所述第一认证服务器设备120之间的链路发生故障时,多生成树协议会主动感知网络拓扑结构的变化,所述认证客户端设备110将被生成树协议阻塞的接入认证端口从数据阻塞状态切换为数据转发状态。并打开该接入认证端口主动下发MAC地址表的功能。使得所述认证客户端设备110切换到与所述第二认证服务器设备130之间的链路进行数据的转发。
进一步地,所述认证报文获取模块1312还用于在所述接入认证端口被生成树协议阻塞的情况下,从所述接入认证端口捕获所述第二认证服务器设备130发送的认证报文后,依据预先在交换芯片中设置的访问控制列表(Access Control List,ACL)表项,将所述认证报文发送到认证协议。具体地,所述处理器134调用所述认证客户端设备110的AAA(Authentication、Authorization、Accounting,验证、授权和记账)认证服务模块对接收到的认证报文进行处理,并基于802.1x协议对所述认证客户端设备110进行身份认证。认证通过的认证客户端设备110可以在与所述第二认证服务器设备130相对应的接入认证端口由阻塞端口切换为转发端口后直接允许其进行数据转发。
本发明实施例提供的一种接入认证设备的链路切换方法、装置及系统,将认证客户端设备提前在被生成树协议阻塞的认证服务器设备端口进行认证,在主链路出现故障时,能够保证认证客户端设备快速切换到备用链路进行数据流量的转发,从而能够有效缩短链路切换的时间,提高数据转发的有效性和可靠性。
需要说明的是,在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (12)
1.一种链路切换方法,应用于链路切换系统中的认证服务器设备,所述链路切换系统包括认证客户端设备、第一认证服务器设备和第二认证服务器设备,所述第一认证服务器设备与认证客户端设备之间的链路处于数据转发状态,所述第二认证服务器设备与认证客户端设备之间的链路处于数据阻塞状态,其特征在于,所述链路切换方法包括:
开启所述第二认证服务器设备被生成树协议阻塞的服务器认证端口的认证功能,并关闭所述服务器认证端口的MAC地址学习功能;
获取所述认证客户端设备发送的认证报文;
依据所述认证报文对所述认证客户端设备进行认证;
当所述认证客户端设备通过认证时,打开所述服务器认证端口的MAC地址学习功能和报文转发功能,关闭该服务器认证端口主动下发MAC地址表的功能。
2.根据权利要求1所述的链路切换方法,其特征在于,所述链路切换方法还包括:
在所述认证客户端设备和所述第一认证服务器设备之间的链路发生故障时,生成树协议将所述第二认证服务器设备中被阻塞的所述服务器认证端口从数据阻塞状态切换为数据转发状态,打开所述服务器认证端口主动下发MAC地址表的功能。
3.根据权利要求1或2所述的链路切换方法,其特征在于,所述获取所述认证客户端设备发送的认证报文的步骤,包括:
在所述服务器认证端口被生成树协议阻塞的情况下,从所述服务器认证端口捕获所述认证客户端设备发送的认证报文后,依据预先在交换芯片中设置的访问控制列表表项,将所述认证报文发送到认证协议。
4.一种链路切换方法,应用于链路切换系统中的认证客户端设备,所述链路切换系统包括认证客户端设备、第一认证服务器设备和第二认证服务器设备,所述第一认证服务器设备与认证客户端设备之间的链路处于数据转发状态,所述第二认证服务器设备与认证客户端设备之间的链路处于数据阻塞状态,其特征在于,所述链路切换方法包括:
开启所述认证客户端设备被生成树协议阻塞的接入认证端口的认证功能,并关闭所述接入认证端口的MAC地址学习功能;
获取所述第二认证服务器设备发送的认证报文;
依据所述认证报文判断所述认证客户端设备是否通过认证;
当所述认证客户端设备通过认证时,打开所述接入认证端口的MAC地址学习功能和报文转发功能,关闭该接入认证端口的主动下发MAC地址表的功能。
5.根据权利要求4所述的链路切换方法,其特征在于,所述链路切换方法还包括:
在所述认证客户端设备和所述第一认证服务器设备之间的链路发生故障时,生成树协议将所述认证客户端设备中被阻塞的所述接入认证端口从数据阻塞状态切换为数据转发状态,打开所述接入认证端口主动下发MAC地址表的功能。
6.根据权利要求4或5所述的链路切换方法,其特征在于,所述获取所述第二认证服务器设备发送的认证报文的步骤,包括:
在所述接入认证端口被生成树协议阻塞的情况下,从所述接入认证端口捕获所述第二认证服务器设备发送的认证报文后,依据预先在交换芯片中设置的访问控制列表表项,将所述认证报文发送到认证协议。
7.一种链路切换装置,应用于链路切换系统中的认证服务器设备,所述链路切换系统包括认证客户端设备、第一认证服务器设备和第二认证服务器设备,所述第一认证服务器设备与认证客户端设备之间的链路处于数据转发状态,所述第二认证服务器设备与认证客户端设备之间的链路处于数据阻塞状态,其特征在于,所述链路切换装置包括:
配置模块,用于开启所述第二认证服务器设备被生成树协议阻塞的服务器认证端口的认证功能,并关闭所述认证服务器设备端口的MAC地址学习功能;
认证报文获取模块,用于获取所述认证客户端设备向所述服务器认证端口发送的认证报文,并发送给认证协议模块;
所述认证协议模块,用于依据所述认证报文对所述认证客户端设备进行认证;
所述配置模块,还用于当所述认证客户端设备通过认证时,打开所述服务器认证端口的MAC地址学习功能和报文转发功能,关闭该服务器认证端口主动下发MAC地址表的功能。
8.根据权利要求7所述的链路切换装置,其特征在于,所述链路切换装置还包括:
生成树协议模块,用于在所述认证客户端设备和所述第一认证服务器设备之间的链路发生故障时,生成树协议将所述第二认证服务器设备中被阻塞的所述服务器认证端口从数据阻塞状态切换为数据转发状态,打开所述服务器认证端口主动下发MAC地址表的功能。
9.根据权利要求7所述的链路切换装置,其特征在于,所述认证报文获取模块,具体用于:
在所述服务器认证端口被生成树协议阻塞的情况下,从所述服务器认证端口捕获所述认证客户端设备发送的认证报文后,依据预先在交换芯片中设置的访问控制列表表项,将所述认证报文发送到所述认证协议模块。
10.一种链路切换装置,其特征在于,应用于链路切换系统中的认证客户端设备,所述链路切换系统包括认证客户端设备、第一认证服务器设备和第二认证服务器设备,所述第一认证服务器设备与认证客户端设备之间的链路处于数据转发状态,所述第二认证服务器设备与认证客户端设备之间的链路处于数据阻塞状态,其特征在于,所述链路切换装置包括:
配置模块,用于开启所述认证客户端设备被生成树协议阻塞的接入认证端口的认证功能,并关闭所述接入认证端口的MAC地址学习功能;
认证报文获取模块,用于获取所述第二认证服务器设备发送的认证报文,并发送给认证协议模块;
所述认证协议模块,用于依据所述认证报文,对所述认证客户端设备进行认证;
所述配置模块,还用于当所述认证客户端设备通过认证时,打开所述接入认证端口的MAC地址学习功能和报文转发功能,关闭所述接入认证端口主动下发MAC地址表的功能。
11.根据权利要求10所述的链路切换装置,其特征在于,所述链路切换装置还包括:
生成树协议模块,用于在所述认证客户端设备和所述第一认证服务器设备之间的链路发生故障时,将所述认证客户端设备中被阻塞的接入认证端口从数据阻塞状态切换为数据转发状态,打开所述接入认证端口主动下发MAC地址表的功能。
12.根据权利要求10或11所述的链路切换装置,其特征在于,所述认证报文获取模块,具体用于:
在所述接入认证端口被生成树协议阻塞的情况下,从所述接入认证端口捕获所述第二认证服务器设备发送的认证报文后,依据预先在交换芯片中设置的访问控制列表表项,将所述认证报文发送到所述认证协议模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610741809.9A CN106358188B (zh) | 2016-08-26 | 2016-08-26 | 一种链路切换方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610741809.9A CN106358188B (zh) | 2016-08-26 | 2016-08-26 | 一种链路切换方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106358188A true CN106358188A (zh) | 2017-01-25 |
| CN106358188B CN106358188B (zh) | 2019-06-14 |
Family
ID=57855353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610741809.9A Active CN106358188B (zh) | 2016-08-26 | 2016-08-26 | 一种链路切换方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106358188B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113098751A (zh) * | 2021-03-23 | 2021-07-09 | 新华三软件有限公司 | 一种路径切换方法及设备 |
| CN115085963A (zh) * | 2021-03-16 | 2022-09-20 | 西门子股份公司 | 认证自动化系统的通信网络中的节点 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050286510A1 (en) * | 2004-06-25 | 2005-12-29 | Jun Nakajima | Packet transfer apparatus |
| CN102082733A (zh) * | 2011-02-25 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种Portal系统的接入方法和Portal系统 |
| CN104410990A (zh) * | 2014-11-14 | 2015-03-11 | 迈普通信技术股份有限公司 | 实现接入认证服务器切换的方法和系统 |
| CN104506353A (zh) * | 2014-12-23 | 2015-04-08 | 北京奇虎科技有限公司 | 一种鉴证管理方法、设备及系统 |
| CN105430016A (zh) * | 2015-12-30 | 2016-03-23 | 迈普通信技术股份有限公司 | 一种网络接入认证方法及系统 |
-
2016
- 2016-08-26 CN CN201610741809.9A patent/CN106358188B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050286510A1 (en) * | 2004-06-25 | 2005-12-29 | Jun Nakajima | Packet transfer apparatus |
| CN102082733A (zh) * | 2011-02-25 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种Portal系统的接入方法和Portal系统 |
| CN104410990A (zh) * | 2014-11-14 | 2015-03-11 | 迈普通信技术股份有限公司 | 实现接入认证服务器切换的方法和系统 |
| CN104506353A (zh) * | 2014-12-23 | 2015-04-08 | 北京奇虎科技有限公司 | 一种鉴证管理方法、设备及系统 |
| CN105430016A (zh) * | 2015-12-30 | 2016-03-23 | 迈普通信技术股份有限公司 | 一种网络接入认证方法及系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115085963A (zh) * | 2021-03-16 | 2022-09-20 | 西门子股份公司 | 认证自动化系统的通信网络中的节点 |
| US11863544B2 (en) | 2021-03-16 | 2024-01-02 | Siemens Aktiengesellschaft | Authenticating a node in a communication network of an automation installation |
| CN115085963B (zh) * | 2021-03-16 | 2024-04-19 | 西门子股份公司 | 认证自动化系统的通信网络中的节点 |
| CN113098751A (zh) * | 2021-03-23 | 2021-07-09 | 新华三软件有限公司 | 一种路径切换方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106358188B (zh) | 2019-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10609550B2 (en) | Multi-device monitoring and control using intelligent device channel sharing | |
| CN104639624B (zh) | 一种实现移动终端远程控制门禁的方法和装置 | |
| CN100499554C (zh) | 网络准入控制方法及网络准入控制系统 | |
| CN102469078B (zh) | 一种参与校园网运营的实现方法及系统 | |
| CN110337799A (zh) | 具有车辆内部的数据网络的机动车以及运行机动车的方法 | |
| CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
| CN101771619A (zh) | 实现一体化安全服务的网络系统 | |
| CN107864162A (zh) | 融合网关双系统及其通信安全保护方法 | |
| WO2021068453A1 (zh) | 一种基于报文置换的电网调度远方操作安全许可方法 | |
| CN102820990A (zh) | 业务保护的切换方法及装置 | |
| CN110383280A (zh) | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 | |
| CN103067216B (zh) | 跨安全区的反向通信方法、装置及系统 | |
| CN107277058A (zh) | 一种基于bfd协议的接口认证方法及系统 | |
| CN109495448A (zh) | 基于核电应急控制的信息安全系统 | |
| CN107257300A (zh) | 一种无线备份的4g接入设备、系统及其方法 | |
| CN106358188A (zh) | 一种链路切换方法、装置及系统 | |
| CN104468347B (zh) | 网络数据自环回的控制方法及装置 | |
| CN103916271B (zh) | 用于pon系统中切换多种onu认证方式的方法及装置 | |
| CN102123071A (zh) | 数据报文分类处理的实现方法、网络、终端及互通服务节点 | |
| CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 | |
| CN106941424A (zh) | 一种基于ttdp协议的冗余切换方法及设备 | |
| CN101714990B (zh) | 一种网络安全防护集成系统及其控制方法 | |
| CN108712398A (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| CN115022256A (zh) | 一种用于电力通信调度终端接入的双重管控方法及系统 | |
| CN111585972B (zh) | 面向网闸的安全防护方法、装置及网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |