CN106453409B - 一种报文处理方法及接入设备 - Google Patents
一种报文处理方法及接入设备 Download PDFInfo
- Publication number
- CN106453409B CN106453409B CN201611066139.1A CN201611066139A CN106453409B CN 106453409 B CN106453409 B CN 106453409B CN 201611066139 A CN201611066139 A CN 201611066139A CN 106453409 B CN106453409 B CN 106453409B
- Authority
- CN
- China
- Prior art keywords
- message
- client
- mac address
- source
- forwarding table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/252—Store and forward routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明的实施例公开一种报文处理方法及接入设备,涉及通信领域,能够降低报文处理过程中对ACL芯片的依赖程度,从而降低ACL芯片中ACL条目数量受限对网络业务的影响。该方法,包括:接入设备使能Portal认证功能的受控端口;配置受控端口的ACL规则以及MAC地址转发表规则,其中ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,以及允许目的IP为Portal服务器IP的报文通过;MAC地址转发表规则包含将所有源地址未知的报文重定向到接入设备的CPU;通过受控端口接收客户端发送的报文,并依据ACL规则以及MAC地址转发表规则处理接收到的报文。本发明的实施例用于报文处理。
Description
技术领域
本发明的实施例涉及通信领域,尤其涉及一种报文处理方法及接入设备。
背景技术
随着网络技术的不断发展,信息安全问题也日益突出。信息作为一种重要的资源,对任何个人、企业和国家都具有十分重要的意义,如何确保网络中信息的安全已经成为全社会关注的问题。一个网络,如果对接入的用户不进行合法性检查,任何用户只要能接入网络交换机,就可以随意访问网络中的任何资源,毫无安全性可言。为了解决这一问题,通常采用部署使用了B/S(Browser/Server,浏览器/服务器模式)架构(如图1所示)的Portal(门户入口)认证接入方法来确保网络中授权的资源只能被授权的用户访问,其中B/S架构包括客户端、接入设备、Portal服务器、认证服务器以及与认证服务器连接的用户数据库,客户端通过接入设备访问网络资源。Portal认证,也被称为Web(浏览器)认证,是根据Portal协议使用浏览器进行网络接入认证的方法,其通常实现方式参照图2所示,包括如下步骤:
s201.接入设备在使能了Portal认证的受控端口上设置截取客户端访问网络的HTTP请求等规则到ACL芯片。
s202.客户端通过浏览器发起访问网络的HTTP请求。
s203.接入设备通过截取客户端访问网络的HTTP请求,并通知客户端将其重定向到预配置的Portal服务器。
s204.客户端根据重定向命令通过浏览器向Portal服务器发送访问网络的HTTP请求。
s205.客户端的浏览器获取登录页面。
s206.客户端通过登录页面向Portal服务器提交认证凭证。
所述认证凭证包括用户名和密码,或者是用户证书。
s207.Portal服务器将客户端提交的认证凭证以及相关信息(Portal协议没有包括客户端源MAC地址)通过Portal协议发送给接入设备。
s208.接入设备对Portal服务器提交的用户名及密码进行认证(可使用AAA机制进行远程认证,也可使用本地数据库进行认证)。
s209.认证通过后,接入设备设置允许客户端IP地址(Portal协议没有客户端MAC地址)访问网络的规则到ACL芯片。
s210.接入设备告知Portal服务器认证通过。
s211.Portal服务器推送认证通过页面至客户端的浏览器。
s212.客户端访问网络。
使用B/S架构的Portal认证网络接入方法不需要客户端专门安装客户端程序就可使用,具有使用方便、部署简单等优点。如图2所示,现有Portal认证接入方案的整个过程依赖于ACL芯片:
在步骤s201中,使能了Portal认证的端口上需要设置ACL规则,典型的设置如表1所示,该ACL规则既能保证客户端能访问Portal服务器,同时又让访问其它网络的HTTP请求会被截取送往CPU后进行HTTP重定向。
表1
步骤s209中,需要给认证通过的客户端设置ACL规则(表2中添加规则A03),允许其访问网络,典型的设置如表2所示,该ACL硬件设置既能保证认证通过的客户端能自由访问网络,同时让未认证通过的客户端能按照正常流程进行认证。
表2
上述现有Portal认证接入方案具有实现简单、不易出错等优点,但整个认证接入过程依赖于ACL芯片的ACL规则,而当前流行的交换芯片的ACL条目有限(通常为几千条),这样控制客户端接入网络时导致客户端接入数量受限,此外或影响其它必须依赖ACL芯片的业务正常运行。
发明内容
本发明的实施例提供一种报文处理方法及接入设备,能够降低报文处理过程中对ACL芯片的依赖程度,从而降低ACL芯片中ACL条目数量受限对网络业务的影响。
第一方面、提供一种报文处理方法,包括:
接入设备使能Portal认证功能的受控端口;
所述接入设备配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,以及允许目的IP为Portal服务器IP的报文通过;所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU;
所述接入设备通过所述受控端口接收客户端发送的报文,并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文。
第二方面、提供一种接入设备,包括:
端口处理单元、用于使能Portal认证功能的受控端口;
芯片配置单元,用于配置所述处理单元使能的受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,以及允许目的IP为Portal服务器IP的报文通过;所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU;
报文处理单元,用于通过所述受控端口接收客户端发送的报文,并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文。
在上述方案中,接入设备在使能Portal认证功能的受控端口后;能够配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU;之后接入设备通过所述受控端口接收客户端发送的报文,并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文,由于本发明的实施例提供的方案能够同时使用MAC地址转发表规则配合ACL规则提供的规则对受控端口接收到的报文进行处理,避免了如现有技术中仅使用ACL规则对受控端口接收到的报文进行处理,因此能够降低报文处理过程中对ACL芯片的依赖程度,从而降低ACL芯片中ACL条目数量受限对网络业务的影响。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术提供的一种B/S架构图;
图2为现有技术提供的一种Portal认证方法的流程图;
图3为本发明的实施例提供的一种报文处理方法的流程图;
图4为本发明的另一实施例提供的一种报文处理方法的流程图;
图5为本发明的实施例提供的一种接入设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例描述的系统架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
本发明的实施例使用的技术术语包括如下:
MAC地址转发表是交换芯片内部用于快速定位报文转发端口的芯片逻辑,相对便宜且表项较多(当前流行芯片的FDB表项为十万条以上)。FDB也被称作MAC地址转发表,其表项是由终端的MAC地址、与终端相连的交换机端口及该端口所属VLAN ID组成。交换机接收到数据报文时,会将报文的目的MAC地址与设备中保存的MAC地址表项进行匹配,并将报文按匹配表项指定的端口转发出去。
ACL(Access Control List,访问控制列表)是交换芯片内部用于指定匹配条件的报文的转发行为的芯片逻辑,相对昂贵且表项较少(当前流行芯片的ACL表项数为几千条)。一个ACL由一系列的规则组成,每条规则都是一个允许、拒绝或其它动作的语句,声明了报文的匹配条件及行为。
Portal协议:一种接入认证协议。Portal协议运行在UDP(User DatagramProtocol的简称,用户数据报协议)协议之上,用作Portal服务器和接入设备之间交互认证信息。
Portal认证:根据Portal协议,使用浏览器进行网络接入认证的方法。
本发明的基本原理为:使用MAC地址转发表规则配合ACL规则提供的规则对受控端口接收到的报文进行处理,避免了如现有技术中仅使用ACL规则对受控端口接收到的报文进行处理,因此能够降低报文处理过程中对ACL芯片的依赖程度,从而降低ACL芯片中ACL条目数量受限对网络业务的影响。
下面结合具体实施例对上述方法进行详细描述。参照图3所示,本发明的实施例提供的报文处理方法,包括如下步骤:
101、接入设备使能Portal认证功能的受控端口。
102、接入设备配置所述受控端口的ACL规则以及MAC地址转发表规则。
其中ACL规则包含允许ARP(Address Resolution Protocol,地址解析协议)报文、DNS(Domain Name System,域名系统)报文以及DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)报文通过,以及允许目的IP为Portal服务器IP的报文通过;MAC地址转发表规则包含将所有源地址未知的报文重定向到接入设备的CPU。
103、接入设备通过受控端口接收客户端发送的报文,并依据ACL规则以及MAC地址转发表规则处理接收到的报文。
在上述方案中,接入设备在使能Portal认证功能的受控端口后;能够配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU;之后接入设备通过所述受控端口接收客户端发送的报文,并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文,由于本发明的实施例提供的方案能够同时使用MAC地址转发表规则配合ACL规则提供的规则对受控端口接收到的报文进行处理,避免了如现有技术中仅使用ACL规则对受控端口接收到的报文进行处理,因此能够降低报文处理过程中对ACL芯片的依赖程度,从而降低ACL芯片中ACL条目数量受限对网络业务的影响。
具体的采用本发明的实施例提供的报文处理方法进行Portal认证具体包括以下步骤:
201、接入设备使能Portal认证功能的受控端口。
202、接入设备配置受控端口的ACL规则以及MAC地址转发表规则,其中ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,以及允许目的IP为Portal服务器IP的报文通过;MAC地址转发表规则包含将所有源地址未知的报文重定向到接入设备的CPU。
具体的ACL规则以及MAC地址转发表规则如下表3所示:
此外在步骤202中还需要进一步的清除芯片上的所有动态MAC地址转发表的表项,以使得芯片处于一种初始状态。
在客户端具有网络访问需求时,执行如下步骤:
203、客户端向接入设备的受控端口发送报文。
步骤203中,该报文可以为网络访问请求但不限于HTTP(HyperText TransferProtocol,超文本传输协议)连接请求,其中对于接入设备通过受控端口接收到的第一个报文来说,由于之前并未接收到任何报文,并且由于步骤202中清除了所有动态MAC地址转发表的表项,因此该报文必然是源地址未知的报文,这样接入设备依据ACL规则以及MAC地址转发表规则处理接收到的报文时会将该源地址未知的报文重定向到接入设备的CPU。
204、接入设备通过CPU在数据库查询源地址未知的报文的客户端。
205、当数据库包含源地址未知的报文的客户端时,接入设备依据源地址未知的报文的报文类型对源地址未知的报文进行处理。
具体的参照图4所示,步骤205中接入设备依据报文类型,将允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过并允许步骤210-219认证通过的报文通过;对目的IP非Portal服务器的报文(例如HTTP请求)截送至接入设备的CPU并对目的IP非Portal服务器执行步骤209进行认证,对于其他报文直接丢弃。
206、当数据库不包含源地址未知的报文的客户端时,接入设备获取源地址未知的报文的用户数据。
其中用户数据包括接收端口、VLAN ID(Virtual Local Area Network identity,虚拟局域网身份)、源MAC(Media Access Control,媒体访问控制)地址以及源IP地址,此外在数据库中创建源地址未知的报文的客户端的数据库表项,以便于对Portal服务器针对此客户端发起认证的Portal协议报文进行匹配。
207、接入设备重配置ACL规则以及MAC地址转发表规则。
其中重配置的ACL规则中包含允许ARP报文、DNS报文以及DHCP报文通过,以及允许目的IP为Portal服务器IP的报文通过、匹配源MAC地址的所有HTTP报文重定向到接入设备的CPU、丢弃源MAC地址的客户端的其他报文;重配置的MAC地址转发表规则中包含将所有源地址未知的报文重定向到接入设备的CPU、允许源MAC地址的报文通过。
具体的ACL规则以及MAC地址转发表规则如下表4所示:
表4
步骤207之后,对于接入设备通过受控端口再次接收客户端发送的报文。进行如下处理,其中接入设备接收到的报文可以为网络访问请求但不限于HTTP连接请求,在步骤207中设置表4后,根据重配置的ACL规则以及重配置的MAC地址转发表规则对报文进行处理,由于在FDB中设置了允许源MAC地址报文通过的规则B02,接入设备在接收到报文后会配合表4中的ACL规则按图4进行如下处理:
1)如果是DHCP报文、DNS报文或ARP报文,因匹配表4中的规则A01被允许通过。
2)如果是访问Portal服务器的HTTP请求,因匹配表4中的规则A02而被允许通过,客户端直接获取到可以提交认证凭证(通常为用户名和密码)的登录页面。
3)如果是访问非Portal服务器的HTTP请求,因匹配表4中的规则A03后被重定向到接入设备的CPU进行处理,CPU会通知客户端的浏览器该HTTP请求需要重定向到预配置的Portal服务器;客户端浏览器根据重定向命令自动访问Portal服务器并获取到登录页面,即跳转至步骤208。
4)其它报文因匹配表4中的规则A04而被丢弃。
208、接入设备通过CPU通知客户端将源MAC地址的所有HTTP报文重定向至Portal服务器。
209、客户端将HTTP报文发送至Portal服务器。
210、Portal服务器反馈登陆界面至客户端。
211、客户端向Portal服务器提交认证凭证。
212、Portal服务器将认证凭证通过Portal协议报文发送至接入设备。
213、接入设备解析Portal协议报文,并根据源IP地址查找客户端数据库,若客户端数据库中不存在源IP地址对应的客户端,则丢弃Portal协议报文。
214、若客户端数据库中存在源IP地址对应的客户端,则接入设备从Portal协议中解析出认证凭证(通常为用户和密码)后根据配置的策略认证凭证进行认证。
步骤214中,可使用AAA(Authentication、Authorization、Accounting,验证、授权和记账)机制进行远程认证,也可使用本地用户数据库进行认证。之后根据认证结果跳转至步骤215。
215、若认证结果为通过认证,接入设备则更新ACL规则,其中更新后的ACL规则包括允许ARP报文、DNS报文以及DHCP报文通过,以及允许目的IP为Portal服务器IP的报文通过。
具体的步骤215为,删除表4中的规则A03及A04,认证通过时,接入设备的ACL规则(删除规则A03和A04)和MAC地址转发表规则设置如表5所示。
表5
216、若认证结果为不通过认证,接入设备更新ACL规则以及MAC地址转发表规则。
其中更新后的ACL规则包括允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;更新后的MAC地址转发表规则包含将所有源地址未知的报文重定向到接入设备的CPU,丢弃认证结果为不通过认证的源MAC地址的报文。
具体的步骤216中,如果认证失败,则删除表4中的规则A03、A04及B02,同时在MAC地址转发表规则中添加表6中的规则B03,并按预配置启动静默定时器,此时客户端的报文按表6中的规则B03丢弃。静默定时器超时前,接入设备的ACL规则(删除规则A03和A04)和MAC地址转发表规则(删除规则B02,添加规则B03)设置如表6所示。
表6
217、接入设备通过Portal应答报文向Portal服务器反馈所述认证结果;
218、Portal服务器通过HTTP应答报文向客户端推送所述认证结果;
219、客户端根据所述认证结果访问网络。
如果认证通过,则报文按照表5中的规则B02进行转发;如果认证失败,则报文按照表6中的规则B03丢弃。认证通过的用户主动或被动下线后,接入设备会删除步骤206中创建的对应客户端的数据库表项并删除表5中的规则B02后,客户端重新按照表3中的芯片设置可再发起认证;针对认证失败的用户,静默定时器超时后,接入设备会删除步骤206中创建的对应客户端的数据库表项并删除表6中的规则B03后,客户端按照表3中的芯片设置可再发起认证。
在上述方案中,接入设备在使能Portal认证功能的受控端口后;能够配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU;之后接入设备通过所述受控端口接收客户端发送的报文,并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文,由于本发明的实施例提供的方案能够同时使用MAC地址转发表规则配合ACL规则提供的规则对受控端口接收到的报文进行处理,避免了如现有技术中仅使用ACL规则对受控端口接收到的报文进行处理,因此能够降低报文处理过程中对ACL芯片的依赖程度,从而降低ACL芯片中ACL条目数量受限对网络业务的影响。此外,在现有技术中一个IP地址认证通过后,其他使用该IP地址的客户端无须认证通过也可以接入网络,这对网络信息安全造成隐患,而本申请中是基于源MAC地址进行的认证,相对于现有技术客户端认证过程中使用了更小的粒度,由于不可能存在两台客户端使用同一MAC地址因此提高了网络信息的安全性。
参照图5所示,本发明的实施例提供一种接入设备,用于实施上述的报文处理方法,包括:
端口处理单元51、用于使能Portal认证功能的受控端口;
芯片配置单元52,用于配置所述端口处理单元51使能的受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,以及允许目的IP为Portal服务器IP的报文通过;所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU;
报文处理单元53,用于通过所述受控端口接收客户端发送的报文,并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文。
进一步的,所述报文处理单元53具体用于依据所述ACL规则以及MAC地址转发表规则通过CPU获取所述报文获取源地址未知的报文;
所述报文处理单元53还用于所述接入设备通过CPU在数据库查询所述源地址未知的报文的客户端;当所述数据库包含所述源地址未知的报文的客户端时,依据所述源地址未知的报文的报文类型对所述源地址未知的报文进行处理。
可选的当所述数据库不包含所述源地址未知的报文的客户端时,所述报文处理单元53还用于获取所述源地址未知的报文的用户数据,其中所述用户数据包括接收端口、VLAN ID、源MAC地址以及源IP地址;
所述芯片配置单元52还用于重配置所述ACL规则以及所述MAC地址转发表规则,其中重配置的ACL规则中包含允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过、匹配所述源MAC地址的所有HTTP报文重定向到所述接入设备的CPU、丢弃所述源MAC地址的客户端的其他报文;重配置的MAC地址转发表规则中包含将所有源地址未知的报文重定向到所述接入设备的CPU、允许所述源MAC地址的报文通过。
可选的,所述报文处理单元53还用于通过CPU通知客户端将所述源MAC地址的所有HTTP报文重定向至Portal服务器;所述报文处理单元还用于接收所述Portal服务器通过Portal协议报文发送的所述客户端的认证凭证;所述报文处理单元53还用于解析所述Portal协议报文,并根据所述源IP地址查找客户端数据库,若所述客户端数据库中不存在所述源IP地址对应的客户端,则丢弃所述Portal协议报文。
可选的,若所述客户端数据库中存在所述源IP地址对应的客户端,则所述所述报文处理单元还用于对所述认证凭证进行认证;若认证结果为通过认证,则所述芯片配置单元52还用于更新所述ACL规则,其中更新后的ACL规则包括允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;若认证结果为不通过认证,所述所述芯片配置单元52还用于更新所述ACL规则以及MAC地址转发表规则,其中更新后的ACL规则包括允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;更新后的MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU,丢弃认证结果为不通过认证的源MAC地址的报文;所述报文处理单元53还用于通过Portal应答报文向Portal服务器反馈所述认证结果;以便于Portal服务器通过HTTP应答报文向客户端推送所述认证结果,所述客户端根据所述认证结果访问网络。
在上述方案中,接入设备在使能Portal认证功能的受控端口后;能够配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU;之后接入设备通过所述受控端口接收客户端发送的报文,并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文,由于本发明的实施例提供的方案能够同时使用MAC地址转发表规则配合ACL规则提供的规则对受控端口接收到的报文进行处理,避免了如现有技术中仅使用ACL规则对受控端口接收到的报文进行处理,因此能够降低报文处理过程中对ACL芯片的依赖程度,从而降低ACL芯片中ACL条目数量受限对网络业务的影响。此外,在现有技术中一个IP地址认证通过后,其他使用该IP地址的客户端无须认证通过也可以接入网络,这对网络信息安全造成隐患,而本申请中是基于源MAC地址进行的认证,相对于现有技术客户端认证过程中使用了更小的粒度,由于不可能存在两台客户端使用同一MAC地址因此提高了网络信息的安全性。
此外,还提供一种计算可读媒体(或介质),包括在被执行时进行上述实施例中的方法的操作的计算机可读指令。
另外,还提供一种计算机程序产品,包括上述计算机可读媒体(或介质)。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:read-only memory,英文简称:ROM)、随机存取存储器(英文全称:random access memory,英文简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (8)
1.一种报文处理方法,其特征在于,
接入设备使能Portal认证功能的受控端口;
所述接入设备配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,以及允许目的IP为Portal服务器IP的报文通过;所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU;
所述接入设备通过所述受控端口接收客户端发送的报文,并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文;
其中,所述接入设备通过CPU在数据库查询所述源地址未知的报文的客户端;
当所述数据库不包含所述源地址未知的报文的客户端时,所述接入设备获取所述源地址未知的报文的用户数据,其中所述用户数据包括接收端口、VLAN ID、源MAC地址以及源IP地址;
所述接入设备重配置所述ACL规则以及所述MAC地址转发表规则,其中重配置的ACL规则中包含允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过、匹配所述源MAC地址的所有HTTP报文重定向到所述接入设备的CPU、丢弃所述源MAC地址的客户端的其他报文;重配置的MAC地址转发表规则中包含将所有源地址未知的报文重定向到所述接入设备的CPU、允许所述源MAC地址的报文通过。
2.根据权利要求1所述的方法,其特征在于,所述接入设备依据所述ACL规则以及MAC地址转发表规则处理接收到的报文,包括:所述接入设备依据所述ACL规则以及MAC地址转发表规则通过CPU获取源地址未知的报文;
所述方法还包括:
当所述数据库包含所述源地址未知的报文的客户端时,依据所述源地址未知的报文的报文类型对所述源地址未知的报文进行处理。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接入设备通过CPU通知客户端将所述源MAC地址的所有HTTP报文重定向至Portal服务器;
所述客户端向所述Portal服务器提交认证凭证;
所述Portal服务器将所述认证凭证通过Portal协议报文发送至所述接入设备;
所述接入设备解析所述Portal协议报文,并根据所述源IP地址查找客户端数据库,若所述客户端数据库中不存在所述源IP地址对应的客户端,则丢弃所述Portal协议报文。
4.根据权利要求3所述的方法,其特征在于,若所述客户端数据库中存在所述源IP地址对应的客户端,则所述接入设备对所述认证凭证进行认证;
若认证结果为通过认证,所述接入设备则更新所述ACL规则,其中更新后的ACL规则包括允许ARP报文、DNS报文、DHCP报文通过以及允许目的IP为Portal服务器IP的报文通过;
若认证结果为不通过认证,所述接入设备更新所述ACL规则以及MAC地址转发表规则,其中更新后的ACL规则包括允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;更新后的MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU,丢弃认证结果为不通过认证的源MAC地址的报文;
所述接入设备通过Portal应答报文向Portal服务器反馈所述认证结果;
Portal服务器通过HTTP应答报文向客户端推送所述认证结果;
所述客户端根据所述认证结果访问网络。
5.一种接入设备,其特征在于,包括:
端口处理单元、用于使能Portal认证功能的受控端口;
芯片配置单元,用于配置所述端口处理单元使能的受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,以及允许目的IP为Portal服务器IP的报文通过;所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU;
报文处理单元,用于通过所述受控端口接收客户端发送的报文,并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文;
其中,所述报文处理单元,还用于所述接入设备通过CPU在数据库查询所述源地址未知的报文的客户端;
所述报文处理单元,还用于当所述数据库不包含所述源地址未知的报文的客户端时,获取所述源地址未知的报文的用户数据并生成客户端数据库表项,其中所述用户数据包括接收端口、VLAN ID、源MAC地址以及源IP地址;
所述芯片配置单元,还用于重配置所述ACL规则以及所述MAC地址转发表规则,其中重配置的ACL规则中包含允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过、匹配所述源MAC地址的所有HTTP报文重定向到所述接入设备的CPU、丢弃所述源MAC地址的客户端的其他报文;重配置的MAC地址转发表规则中包含将所有源地址未知的报文重定向到所述接入设备的CPU、允许所述源MAC地址的报文通过。
6.根据权利要求5所述的接入设备,其特征在于,所述报文处理单元具体用于依据所述ACL规则以及MAC地址转发表规则通过CPU获取所述报文获取源地址未知的报文;
所述报文处理单元还用于当所述数据库包含所述源地址未知的报文的客户端时,依据所述源地址未知的报文的报文类型对所述源地址未知的报文进行处理。
7.根据权利要求6所述的接入设备,其特征在于,
所述报文处理单元还用于通过CPU通知客户端将所述源MAC地址的所有HTTP报文重定向至Portal服务器;所述报文处理单元还用于接收所述Portal服务器通过Portal协议报文发送的所述客户端的认证凭证;所述报文处理单元还用于解析所述Portal协议报文,并根据所述Portal协议报文的源IP地址查找客户端数据库,若所述客户端数据库中不存在所述源IP地址对应的客户端,则丢弃所述Portal协议报文。
8.根据权利要求7所述的接入设备,其特征在于,若所述客户端数据库中存在所述源IP地址对应的客户端,则从所述Portal协议报文中解析出认证凭证进行本地或远程认证;若认证结果为通过认证,则所述芯片配置单元还用于更新所述ACL规则,其中更新后的ACL规则包括允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;若认证结果为不通过认证,所述芯片配置单元还用于更新所述ACL规则以及MAC地址转发表规则,其中更新后的ACL规则包括允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过;更新后的MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU,丢弃认证结果为不通过认证的源MAC地址的报文;所述报文处理单元还用于通过Portal应答报文向Portal服务器反馈所述认证结果;以便于Portal服务器通过HTTP应答报文向客户端推送所述认证结果,所述客户端根据所述认证结果访问网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611066139.1A CN106453409B (zh) | 2016-11-28 | 2016-11-28 | 一种报文处理方法及接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611066139.1A CN106453409B (zh) | 2016-11-28 | 2016-11-28 | 一种报文处理方法及接入设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106453409A CN106453409A (zh) | 2017-02-22 |
| CN106453409B true CN106453409B (zh) | 2019-12-10 |
Family
ID=58219698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611066139.1A Active CN106453409B (zh) | 2016-11-28 | 2016-11-28 | 一种报文处理方法及接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106453409B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106998327A (zh) * | 2017-03-24 | 2017-08-01 | 新华三技术有限公司 | 一种接入控制方法和装置 |
| CN107197461B (zh) * | 2017-06-09 | 2020-06-12 | 上海寰创通信科技股份有限公司 | 一种基于Linux系统的ipv6报文重定向方法 |
| CN107800715B (zh) * | 2017-11-13 | 2019-12-10 | 迈普通信技术股份有限公司 | 一种Portal认证方法及接入设备 |
| CN108156092B (zh) * | 2017-12-05 | 2021-07-23 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
| CN109005119B (zh) * | 2018-09-29 | 2021-02-09 | 新华三技术有限公司合肥分公司 | 一种设置mac地址认证下线检测时间的方法及交换机 |
| CN112866114B (zh) * | 2020-12-31 | 2022-12-13 | 锐捷网络股份有限公司 | 组播报文的处理方法及装置 |
| CN113132241B (zh) * | 2021-05-07 | 2022-05-24 | 杭州迪普信息技术有限公司 | Acl模板动态配置方法及装置 |
| CN113765901A (zh) * | 2021-08-25 | 2021-12-07 | 紫光云(南京)数字技术有限公司 | 一种修改acl规则的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102843440A (zh) * | 2011-06-24 | 2012-12-26 | 中兴通讯股份有限公司 | 一种防止媒体访问控制地址漂移的方法及网络处理设备 |
| CN104601465A (zh) * | 2015-01-05 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种vrrp报文的处理方法和设备 |
| CN105207945A (zh) * | 2015-08-24 | 2015-12-30 | 上海斐讯数据通信技术有限公司 | 一种基于二、三层报文地址的端口镜像方法 |
| CN105721466A (zh) * | 2016-02-16 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 一种基于portal认证的网络管理系统及其方法 |
| CN105991641A (zh) * | 2015-08-06 | 2016-10-05 | 杭州迪普科技有限公司 | 一种Portal认证方法及装置 |
| CN106131066A (zh) * | 2016-08-26 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种认证方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8738690B2 (en) * | 2012-10-10 | 2014-05-27 | Cisco Technology, Inc. | System and method for implementing network service level agreements (SLAs) |
-
2016
- 2016-11-28 CN CN201611066139.1A patent/CN106453409B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102843440A (zh) * | 2011-06-24 | 2012-12-26 | 中兴通讯股份有限公司 | 一种防止媒体访问控制地址漂移的方法及网络处理设备 |
| CN104601465A (zh) * | 2015-01-05 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种vrrp报文的处理方法和设备 |
| CN105991641A (zh) * | 2015-08-06 | 2016-10-05 | 杭州迪普科技有限公司 | 一种Portal认证方法及装置 |
| CN105207945A (zh) * | 2015-08-24 | 2015-12-30 | 上海斐讯数据通信技术有限公司 | 一种基于二、三层报文地址的端口镜像方法 |
| CN105721466A (zh) * | 2016-02-16 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 一种基于portal认证的网络管理系统及其方法 |
| CN106131066A (zh) * | 2016-08-26 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106453409A (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106453409B (zh) | 一种报文处理方法及接入设备 | |
| US10419418B2 (en) | Device fingerprint based authentication | |
| CN108616490B (zh) | 一种网络访问控制方法、装置及系统 | |
| US10742595B2 (en) | Fully qualified domain name-based traffic control for virtual private network access control | |
| US9774633B2 (en) | Distributed application awareness | |
| CN110311929B (zh) | 一种访问控制方法、装置及电子设备和存储介质 | |
| US9578005B2 (en) | Authentication server enhancements | |
| US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
| US9215234B2 (en) | Security actions based on client identity databases | |
| US20130111024A1 (en) | Dynamic Walled Garden | |
| US20120173727A1 (en) | Internet Access Control Apparatus, Method and Gateway Thereof | |
| US10917406B2 (en) | Access control method and system, and switch | |
| EP2997711B1 (en) | Providing single sign-on for wireless devices | |
| US20130086634A1 (en) | Grouping Multiple Network Addresses of a Subscriber into a Single Communication Session | |
| CN109379339B (zh) | 一种Portal认证方法及装置 | |
| US8910250B2 (en) | User notifications during computing network access | |
| CN108259420B (zh) | 一种报文处理方法及装置 | |
| US9319416B2 (en) | Priority based radius authentication | |
| TW201721498A (zh) | 具安全與功能擴充性的有線區域網路使用者管理系統及方法 | |
| JP6314500B2 (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
| CN105704105B (zh) | 一种认证方法及接入设备 | |
| Cisco | M through R Commands | |
| Frank et al. | Securing smart homes with openflow | |
| CN113098825B (zh) | 一种基于扩展802.1x的接入认证方法及系统 | |
| US20150180871A1 (en) | Flexible and generalized authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 610041 15-24 floor, 1 1 Tianfu street, Chengdu high tech Zone, Sichuan Patentee after: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. Address before: 610041 16 Hing Hing Road, Chengdu high tech Development Zone, Sichuan, China 16 Patentee before: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 610041 nine Xing Xing Road 16, hi tech Zone, Sichuan, Chengdu Patentee after: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. Address before: 610041 15-24 floor, 1 1 Tianfu street, Chengdu high tech Zone, Sichuan Patentee before: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. |