CN107332649B - 802.1x客户端下线方法及802.1x系统 - Google Patents
802.1x客户端下线方法及802.1x系统 Download PDFInfo
- Publication number
- CN107332649B CN107332649B CN201710508829.6A CN201710508829A CN107332649B CN 107332649 B CN107332649 B CN 107332649B CN 201710508829 A CN201710508829 A CN 201710508829A CN 107332649 B CN107332649 B CN 107332649B
- Authority
- CN
- China
- Prior art keywords
- offline
- client
- message
- equipment end
- arp message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/12—Arrangements for detecting or preventing errors in the information received by using return channel
- H04L1/16—Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
- H04L1/18—Automatic repetition systems, e.g. Van Duuren systems
- H04L1/1867—Arrangements specially adapted for the transmitter end
- H04L1/188—Time-out mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/12—Arrangements for detecting or preventing errors in the information received by using return channel
- H04L1/16—Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
- H04L1/1607—Details of the supervisory signal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Abstract
本申请公开一种802.1X客户端下线方法及802.1X系统,涉及通信网络技术领域,可以解决802.1X客户端下线可靠性较差的技术问题。所述方法包括:在客户端向设备端发送802.1X下线报文之后,客户端向设备端发送下线检测ARP报文;设备端根据下线检测ARP报文携带的客户端MAC地址,查找客户端MAC地址对应的用户状态;若用户状态为下线状态,则设备端向客户端发送下线响应ARP报文;若客户端在下线重试定时器超时前接收到设备端发送的下线响应ARP报文,则客户端将客户端状态更新为下线状态,否则客户端再次向设备端发送802.1X下线报文并重新进行检测。本申请提供的方案适用于802.1X客户端下线流程控制。
Description
技术领域
本申请涉及通信网络技术领域,尤其涉及一种802.1X客户端下线方法及802.1X系统。
背景技术
现有的支持802.1X协议的网络,通常包括客户端、设备端和认证授权计费(Authentication Authorization Accounting,AAA)服务器。下线时,客户端根据用户输入的下线指令,将客户端状态设置为下线状态,并向设备端发送下线报文;设备端根据下线报文,向AAA服务器发送停止计费请求,以便AAA服务器停止为该用户计费;设备端接收到AAA服务器发送的下线成功消息后,关闭为该客户端提供上网服务的端口。
然而,若由于诸如网络拥塞等原因,设备端没有收到客户端发送的下线报文,则会导致用户自认为已经下线,而事实上设备端并未关闭为该用户提供上网服务的端口,且AAA服务器仍然为该用户计费的情况,客户端下线的可靠性较差。
发明内容
本申请提供一种802.1X客户端下线方法及802.1X系统,用于解决802.1X客户端下线可靠性较差的问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供了一种802.1X客户端下线方法,该方法包括:
客户端根据用户下线指令向设备端发送802.1X下线报文后,向设备端发送下线检测ARP报文,并启动下线重试定时器,下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,设备端虚拟IP地址与客户端IP地址位于同一网段;
设备端接收到客户端发送的下线检测ARP报文后,查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态;
若用户状态为下线状态,则设备端向客户端发送下线响应ARP报文,下线响应ARP报文包括设备端虚拟IP地址;
若客户端在下线重试定时器超时前接收到设备端发送的下线响应ARP报文,则客户端将客户端状态更新为下线状态;
若客户端在下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则客户端再次向设备端发送802.1X下线报文。
第二方面,本申请提供了一种802.1X客户端下线方法,该方法包括:
客户端根据用户下线指令向设备端发送802.1X下线报文后,向设备端发送下线检测ARP报文,并启动下线重试定时器,下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,设备端虚拟IP地址与客户端IP地址位于同一网段;
若客户端在下线重试定时器超时前接收到设备端发送的下线响应ARP报文,则客户端将客户端状态更新为下线状态,下线响应ARP报文包括设备端虚拟IP地址;
若客户端在下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则客户端再次向设备端发送802.1X下线报文。
第三方面,本申请提供了一种802.1X客户端下线方法,该方法包括:
设备端接收到客户端发送的下线检测ARP报文后,查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态,下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,设备端虚拟IP地址与客户端IP地址位于同一网段;
若用户状态为下线状态,则设备端向客户端发送下线响应ARP报文,下线响应ARP报文包括设备端虚拟IP地址。
第四方面,本申请提供了一种802.1X客户端,包括:
处理模块,用于根据用户下线指令生成802.1X下线报文;
报文收发模块,用于向设备端发送802.1X下线报文;
报文收发模块,还用于向设备端发送下线检测ARP报文,下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,设备端虚拟IP地址与客户端IP地址位于同一网段;
处理模块,还用于启动下线重试定时器;
报文收发模块,还用于接收设备端发送的下线响应ARP报文,下线响应ARP报文包括设备端虚拟IP地址;
处理模块,还用于下线重试定时器超时前,若报文收发模块接收到设备端发送的下线响应ARP报文,则将客户端状态更新为下线状态;
报文收发模块,还用于所述处理模块在判断下线重试定时器超时后,若未接收到下线响应ARP报文,则再次向设备端发送802.1X下线报文。
第五方面,本申请提供了一种802.1X设备端,包括:
报文收发模块,用于接收客户端发送的下线检测ARP报文,下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,设备端虚拟IP地址与客户端IP地址位于同一网段;
处理模块,用于查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态;
报文收发模块,还用于若所述处理模块判断用户状态为下线状态,则向客户端发送下线响应ARP报文,下线响应ARP报文包括设备端虚拟IP地址。
第六方面,本申请提供了一种802.1X系统,包括如第四方面提供的客户端和如第五方面提供的设备端。
本申请实施例提供的802.1X客户端下线方法及802.1X系统,在客户端根据用户下线指令向设备端发送802.1X下线报文之后,客户端向设备端发送携带有设备端虚拟IP地址和客户端MAC地址的下线检测ARP报文;若下线检测ARP报文携带的设备端虚拟IP地址与设备端预设虚拟IP地址相等,则设备端查找客户端MAC地址对应的用户状态;若客户端在下线重试定时器超时前接收到设备端发送的下线响应ARP报文,则客户端将客户端状态更新为下线状态,否则客户端再次向设备端发送802.1X下线报文并重新进行检测。
由此可见,与现有技术相比,本申请实施例提供的802.1X客户端下线方法及802.1X系统,能够通过收发下线检测ARP报文和下线响应ARP报文,在客户端与设备端之间形成下线状态的查询/响应握手机制和802.1X下线报文重传机制,使得客户端在发起下线请求之后可以主动获知下线是否成功,以及在下线失败时向设备端再次发送802.1X下线报文,避免了用户已将客户端状态设置为下线状态,而实际上客户端并未下线的情况,提高了802.1X客户端下线的可靠性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种802.1X客户端下线方法的流程图;
图2为本申请实施例提供的另一种802.1X客户端下线方法的流程图;
图3为本申请实施例提供的另一种802.1X客户端下线方法的流程图;
图4为本申请实施例提供的另一种802.1X客户端下线方法的流程图;
图5为本申请实施例提供的另一种802.1X客户端下线方法的流程图;
图6为本申请实施例提供的另一种802.1X客户端下线方法的流程图;
图7为本申请实施例提供的一种802.1X客户端的结构示意图;
图8为本申请实施例提供的一种802.1X设备端的结构示意图;
图9为本申请实施例提供的一种802.1X系统的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种802.1X客户端下线方法,如图1所示,该方法包括:
步骤101、客户端根据用户下线指令向设备端发送802.1X下线报文。
其中,客户端用于为用户提供接入支持802.1X协议的网络接口的电子设备,包括个人计算机(Personal Computer,PC)、智能手机、平板电脑和个人数字助理(PersonalDigital Assistant,PDA)等。下线指令是指,用户通过客户端提供的诸如命令行或图形用户界面(Graphics User Interface,GUI)等人机接口输入的下线命令或操作,例如用户点击上网登录GUI界面中的用户注销按钮或退出按钮。
需要说明的是,在现有技术中,客户端状态通常包括下线状态和在线状态,前者表示客户端未接入网络(未认证通过),后者表示客户端已经接入网络(已认证通过)。与现有技术不同,在本申请实施例中,当客户端接收到下线指令后,并不会立即将客户端状态设置为下线状态。
其中,802.1X下线报文是指客户端向设备端发送的下线请求报文,在IEEE802.1X标准中为EAPOL-Logoff报文;当设备端接收到802.1X下线报文之后,设备端在本地资源中查找客户端MAC地址对应的用户信息后向AAA服务器发送停止计费请求;AAA服务器接收到设备端发送的停止计费请求后停止为该用户计费,并将停止计费成功的信息发送给设备端,以便设备端关闭为客户端提供网络服务的接口,并将用户状态更新为下线状态。
步骤102、客户端向设备端发送下线检测ARP报文。
其中,下线检测ARP报文包括客户端媒体接入控制MAC地址和设备端虚拟互联网IP地址,其中,设备端虚拟IP地址与客户端IP地址位于同一网段。
与现有技术不同,在本申请实施例中,在客户端发送下线报文之后,客户端还会向设备端发送下线检测ARP报文,以查询客户端是否成功下线。
需要说明的是,客户端MAC地址具有唯一性,例如可以是客户端网卡的MAC地址,用于设备端识别接收到的下线检测ARP报文是哪台客户端发送的。
另一点需要说明的是,设备端虚拟IP地址是在客户端上线之前,由网络管理员根据客户端IP地址预设的,且与客户端IP地址位于同一网段。当客户端上线成功之后,客户端接收设备端发送的EAP-Notification报文后解析出虚拟IP地址后,存储在客户端,用于后续填充在客户端向设备端发送的下线检测ARP报文中。其中,EAP-Notification发送802.1X虚拟IP地址的内容为802.1X设备端和802.1X客户端软件事先约定的实现,典型实现举例如下:802.1X设备端按照“#VIRTUAL-IPv4#192.168.0.1”发送管理员配置的802.1X虚拟IP地址给802.1X客户端。
步骤103、客户端启动下线重试定时器。
步骤104、设备端接收到客户端发送的下线检测ARP报文后,查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态。
其中,设备端接收到下线检测ARP报文中携带的设备端虚拟IP地址与设备端预设虚拟IP地址相同,表明设备端接收到的ARP报文为下线检测ARP报文。当设备端确认接收到下线检测ARP报文之后,根据下线检测ARP报文中携带的客户端MAC地址,确定用户状态。例如,以下线检测ARP报文中携带的客户端MAC地址为查询条件,在设备端本地资源中查询下线检测ARP报文中携带的客户端MAC地址对应的用户状态。
需要说明的是,用户状态是指通过客户端接入网络的用户账号的状态,包括在线状态(认证通过)和下线状态(未认证通过),前者表示该用户账号已经通过AAA服务器的身份认证,为合法的授权用户,可以访问网络,同时AAA服务器也会为该用户账号计费,后者是指该用户账号没有通过AAA服务器的认证,可能为非法用户,或者该用户账号正在认证过程中,或者该用户账号已经下线,因此不能访问网络,所以AAA服务器不会为该用户账号计费。
需要注意的是,客户端MAC地址与通过该客户端接入网络的用户状态是一一对应的。
步骤105、若用户状态为下线状态,则设备端向客户端发送下线响应ARP报文。
其中,下线响应ARP报文包括设备端虚拟IP地址。
该用户状态为下线状态,表示该用户已下线成功,则设备端向客户端发送下线响应ARP报文,通知客户端该用户已下线成功。
步骤106、若客户端在下线重试定时器超时前接收到设备端发送的下线响应ARP报文,则客户端将客户端状态更新为下线状态。
其中,客户端接收到设备端发送的下线响应ARP报文是指,客户端接收到的ARP报文中携带的设备端虚拟IP地址与客户端存储的设备端虚拟IP地址相同,表示该客户端已下线成功,客户端可以据此将客户端状态更新为下线状态。
需要说明的是,无论下线检测ARP报文,还是下线响应ARP报文,均以设备端虚拟IP地址作为标识,从而与其他ARP报文进行区分。
此外,需要说明的是,下线重试定时器超时是指,下线重试定时器的数值大于或等于重试预设时间。其中,重试预设时间可以根据网络的实际运行状态,由客户端自动设定或由用户通过设备端提供的接口手动设定,本申请对此不作限定。
步骤107、若客户端在下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则客户端再次向设备端发送802.1X下线报文,并重复步骤102至步骤107。
其中,下线重试定时器超时后客户端未收到设备端发送的下线响应ARP报文,表示下线操作失败。下线操作失败可以包括以下几种情况:设备端没有收到下线检测ARP报文,或者设备端收到了下线检测ARP报文,但AAA服务器没有收到设备端发送的停止计费请求,或者客户端没有在下线重试定时器超时前收到设备端发送的下线响应ARP报文。
本申请实施例提供的802.1X客户端下线方法,在客户端根据用户下线指令向设备端发送802.1X下线报文之后,客户端向设备端发送携带有设备端虚拟IP地址和客户端MAC地址的下线检测ARP报文;若下线检测ARP报文携带的设备端虚拟IP地址与设备端预设虚拟IP地址相等,则设备端查找客户端MAC地址对应的用户状态;若客户端在下线重试定时器超时前接收到设备端发送的下线响应ARP报文,则客户端将客户端状态更新为下线状态,否则客户端再次向设备端发送802.1X下线报文并重新进行检测。
由此可见,与现有技术相比,本申请实施例提供的802.1X客户端下线方法,能够通过收发下线检测ARP报文和下线响应ARP报文,在客户端与设备端之间形成下线状态的查询/响应握手机制和802.1X下线报文重传机制,使得客户端在发起下线请求之后可以主动获知下线是否成功,以及在下线失败时向设备端再次发送802.1X下线报文,避免了用户已将客户端状态更新为下线状态,而实际上该客户端并未下线的情况,提高了802.1X客户端下线的可靠性。
在如图1所示的实现方式的基础上,还可以实现为如图2所示的实现方式,在执行步骤101客户端根据用户下线指令向设备端发送802.1X下线报文之前,还可以执行步骤201:
步骤201、客户端将下线重试计数器清零。
以及,步骤107若客户端在下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则客户端再次向设备端发送802.1X下线报文,具体包括步骤202和步骤203:
步骤202、若客户端在下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则将下线重试计数器加1。
其中,下线重试计数器用于统计客户端发送了下线报文,但未能在下线重试定时器超时前接收到设备端发送的下线响应ARP报文的次数,即下线失败的次数。
步骤203、若下线重试计数器的数值小于预设次数,则客户端再次向设备端发送802.1X下线报文,并重复执行步骤102至步骤203。
其中,预设次数可以根据实际的网络运行情况设定。例如,可以将预设次数设置为3次,当下线重试计数器的数值大于或等于3时,客户端不再尝试下线,避免一直占用客户端资源而影响客户端处理其他业务。
为了进一步提高下线的可靠性,在如图2所示的实现方式的基础上,还可以实现为如图3所示的实现方式,步骤203若下线重试计数器的数值小于预设次数,则客户端再次向设备端发送802.1X下线报文,具体可以实现为步骤301:
步骤301、若下线重试计数器的数值大于或等于预设次数,且客户端预设下线策略为强制,则客户端再次向设备端发送802.1X下线报文,并重复执行步骤102至步骤301。
需要说明的是,若客户端预设下线策略为强制,客户端会一直向设备端发送下线报文,直到下线成功或用户取消下线为止。
为了避免客户端一直发送下线报文占用过多的客户端系统资源和网络资源,在如图2所示的实现方式的基础上,还可以实现为如图4所示的实现方式,在执行步骤202若客户端在下线重试定时器超时后未接收到下线响应ARP报文,则将下线重试计数器加1之后,还可以执行步骤401:
步骤401、若下线重试计数器的数值大于或等于预设次数,且客户端预设下线策略为告警,则客户端结束下线过程,输出告警信息。
其中,告警信息包括文字、声音、图片、灯光中的至少一种,用于提示用户下线失败,以便采取诸如拨打客服电话等必要措施降低额外的上网费用,尊重了用户的知情权,降低了用户使用网络的成本。例如,可以在客户端显示屏上显示“下线失败,请联系客服”等字样,以提示用户。
在如图1至图4所示的实现方式的基础上,以图1为例,还可以实现为如图5所示的实现方式,在执行步骤104设备端接收到客户端发送的下线检测ARP报文后,查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态之后,还可以执行步骤501至步骤503:
步骤501、若用户状态为在线状态,则设备端启动下线超时定时器。
其中,用户状态为在线状态,表示设备端打开了为客户端提供网络服务的端口,且AAA服务器正在为用户计费。
步骤502、下线超时定时器超时前,若用户状态更新为下线状态,则设备端向客户端发送下线响应ARP报文。
若下线超时定时器超时前用户状态更新为下线状态,则表示AAA服务器已经停止为该用户计费,则设备端需要在向客户端发送下线响应ARP报文之后,关闭为客户端提供网络服务的端口。
步骤503、设备端清除下线超时定时器。
在如图5所示的实现方式的基础上,还可以实现为如图6所示的实现方式,在执行步骤501若用户状态为在线状态,则设备端启动下线超时定时器之后,且在执行步骤503设备端清除下线超时定时器之前,还可以执行步骤601:
步骤601、下线超时定时器超时后,若用户状态仍然为在线状态,则设备端丢弃接收到的下线检测ARP报文。
若下线超时定时器超时后用户状态仍然为在线状态,则表示AAA服务器没有停止为该用户计费,或者AAA服务器没有收到设备端发送的停止计费请求,即可以认为客户端下线失败,或者设备端接收到的下线检测ARP报文为垃圾报文,为了避免继续占用设备端的资源,设备端丢弃接收到的下线检测ARP报文。
本申请实施例提供了一种802.1X客户端70,如图7所示,用于实现如图1所示的方法流程,该客户端70包括:
处理模块71,用于根据用户下线指令生成802.1X下线报文;
报文收发模块72,用于向设备端发送802.1X下线报文;
报文收发模块72,还用于向设备端发送下线检测ARP报文,下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,设备端虚拟IP地址与客户端IP地址位于同一网段;
处理模块71,还用于启动下线重试定时器;
处理模块71,还用于若下线重试定时器超时前,报文收发模块72接收到设备端发送的下线响应ARP报文,则将客户端状态更新为下线状态,下线响应ARP报文包括设备端虚拟IP地址;
报文收发模块72,还用于若下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则再次向设备端发送802.1X下线报文。
本申请实施例提供的802.1X客户端70,在报文收发模块72根据用户下线指令向设备端发送802.1X下线报文之后,报文收发模块72向设备端发送携带有设备端虚拟IP地址和客户端MAC地址的下线检测ARP报文;若报文收发模块72在下线重试定时器超时前接收到设备端发送的下线响应ARP报文,则处理模块71将客户端状态更新为下线状态,否则报文收发模块72再次向设备端发送802.1X下线报文并重新进行检测。
由此可见,与现有技术相比,本申请实施例提供的802.1X客户端70,能够与设备端相配合,通过收发下线检测ARP报文和下线响应ARP报文,在客户端70与设备端之间形成下线状态的查询/响应握手机制和802.1X下线报文重传机制,使得客户端70在发起下线请求之后可以主动获知下线是否成功,以及在下线失败时向设备端再次发送802.1X下线报文,避免了用户已将客户端状态设置为下线状态,而实际上客户端70并未下线的情况,提高了802.1X客户端下线的可靠性。
在如图7所示的实现方式的基础上,还可以实现为如图7所示的另一种实现方式,用于实现如图2所示的方法流程,其中,
处理模块71,还用于将下线重试计数器清零;
处理模块71,还用于若下线重试定时器超时后,报文收发模块72未接收到设备端发送的下线响应ARP报文,则将下线重试计数器加1;
报文收发模块72,还用于若处理模块71判断下线重试计数器的数值小于预设次数,则再次向设备端发送802.1X下线报文。
在如图7所示的实现方式的基础上,还可以实现为如图7所示的另一种实现方式,用于实现如图3或图4所示的方法流程,其中,
报文收发模块72,还用于若处理模块71判断下线重试计数器的数值大于或等于预设次数,且客户端预设下线策略为强制,则再次向设备端发送802.1X下线报文;
处理模块71,还用于若下线重试计数器的数值大于或等于预设次数,且客户端预设下线策略为告警,则结束下线过程,输出告警信息。
本申请实施例提供了一种802.1X设备端80,如图8所示,用于实现如图1所示的方法流程,该设备端80包括:
报文收发模块82,用于接收客户端发送的下线检测ARP报文,下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,设备端虚拟IP地址与客户端IP地址位于同一网段;
处理模块81,用于查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态;
报文收发模块82,还用于若处理模块71判断用户状态为下线状态,则向客户端发送下线响应ARP报文,下线响应ARP报文包括设备端虚拟IP地址。
本申请实施例提供的802.1X设备端80,能够在报文收发模块82接收到客户端70发送的下线检测ARP报文后,处理模块81查找下线检测ARP报文携带的客户端MAC地址对应的用户状态;若用户状态为下线状态,则报文收发模块82向客户端70发送下线响应ARP报文,以便客户端70根据下线响应ARP报文,将客户端状态更新为下线状态。
由此可见,与现有技术相比,本申请实施例提供的802.1X设备端80,能够与客户端70配合,通过收发下线检测ARP报文和下线响应ARP报文,在客户端70与设备端80之间形成下线状态的查询/响应握手机制和802.1X下线报文重传机制,使得客户端70在发起下线请求之后可以主动获知下线是否成功,以便在下线失败时向设备端80再次发送802.1X下线报文,避免了用户已将客户端70状态设置为下线状态,而实际上客户端70并未下线的情况,提高了802.1X客户端下线的可靠性。
在如图8所示的实现方式的基础上,还可以实现为如图8所示的另一种实现方式,用于实现如图5所示的方法流程,其中,
处理模块81,还用于若用户状态为在线状态,则启动下线超时定时器;
报文收发模块82,还用于处理模块81在下线超时定时器超时前,若判断用户状态更新为下线状态,则向客户端发送下线响应ARP报文;
处理模块81,还用于清除下线超时定时器。
在如图8所示的实现方式的基础上,还可以实现为如图8所示的另一种实现方式,用于实现如图6所示的方法流程,其中,
处理模块81,还用于下线超时定时器超时后,若用户状态仍然为在线状态,则丢弃接收到的下线检测ARP报文,并清除下线超时定时器。
如图9所示,本申请实施例提供了一种802.1X系统90,包括如图7所示的客户端70和如图8所示设备端80。
本申请实施例提供的802.1X系统90,包括客户端70和设备端80,在客户端70根据用户下线指令向设备端80发送802.1X下线报文之后,客户端70向设备端80发送携带有设备端虚拟IP地址和客户端MAC地址的下线检测ARP报文;若下线检测ARP报文携带的设备端虚拟IP地址与设备端预设虚拟IP地址相等,则设备端80查找客户端MAC地址对应的用户状态;若客户端70在下线重试定时器超时前接收到设备端80发送的下线响应ARP报文,则客户端70将客户端状态更新为下线状态,否则客户端70再次向设备端80发送802.1X下线报文并重新进行检测。
由此可见,与现有技术相比,本申请实施例提供的802.1X系统90,能够通过下线检测ARP报文和下线响应ARP报文携带的设备端虚拟IP地址,在客户端70与设备端80之间形成下线状态的查询/响应握手机制和802.1X下线报文重传机制,使得客户端70在发起下线请求之后可以主动获知下线是否成功,以及在下线失败时向设备端80再次发送802.1X下线报文,避免了用户已将客户端状态更新为下线状态,而实际上该客户端70并未下线的情况,提高了802.1X客户端下线的可靠性。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种802.1X客户端下线方法,其特征在于,所述方法包括:
客户端根据用户下线指令向设备端发送802.1X下线报文后,向设备端发送下线检测ARP报文,并启动下线重试定时器,所述下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,所述设备端虚拟IP地址与客户端IP地址位于同一网段;
设备端接收到客户端发送的下线检测ARP报文后,查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态;
若用户状态为下线状态,则设备端向客户端发送下线响应ARP报文,所述下线响应ARP报文包括设备端虚拟IP地址;
若客户端在下线重试定时器超时前接收到设备端发送的下线响应ARP报文,则客户端将客户端状态更新为下线状态;
若客户端在下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则客户端再次向设备端发送802.1X下线报文。
2.一种802.1X客户端下线方法,其特征在于,所述方法包括:
客户端根据用户下线指令向设备端发送802.1X下线报文后,向设备端发送下线检测ARP报文,并启动下线重试定时器,所述下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,所述设备端虚拟IP地址与客户端IP地址位于同一网段;
若客户端在下线重试定时器超时前接收到设备端发送的下线响应ARP报文,则客户端将客户端状态更新为下线状态,所述下线响应ARP报文包括设备端虚拟IP地址;
若客户端在下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则客户端再次向设备端发送802.1X下线报文。
3.根据权利要求2所述的方法,其特征在于,
客户端根据用户下线指令向设备端发送802.1X下线报文前,所述方法还包括:将下线重试计数器清零,
若客户端在下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则客户端再次向设备端发送802.1X下线报文,具体包括:
若客户端在下线重试定时器超时后未接收到设备端发送的下线响应ARP报文,则将下线重试计数器加1;
若下线重试计数器的数值小于预设次数,则客户端再次向设备端发送802.1X下线报文。
4.根据权利要求3所述的方法,其特征在于,将下线重试计数器加1后,所述方法还包括:
若下线重试计数器的数值大于或等于预设次数,且客户端预设下线策略为强制,则客户端再次向设备端发送802.1X下线报文;或者
若下线重试计数器的数值大于或等于预设次数,且客户端预设下线策略为告警,则客户端结束下线过程,输出告警信息。
5.一种802.1X客户端下线方法,其特征在于,所述方法包括:
设备端接收到客户端发送的下线检测ARP报文后,查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态,所述下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,所述设备端虚拟IP地址与客户端IP地址位于同一网段;
若用户状态为下线状态,则设备端向客户端发送下线响应ARP报文,所述下线响应ARP报文包括设备端虚拟IP地址。
6.根据权利要求5所述的方法,其特征在于,查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态后,所述方法还包括:
若用户状态为在线状态,则设备端启动下线超时定时器;
下线超时定时器超时前,若用户状态更新为下线状态,则设备端向客户端发送下线响应ARP报文,并清除下线超时定时器。
7.根据权利要求6所述的方法,其特征在于,设备端启动下线超时定时器之后,所述方法还包括:
下线超时定时器超时后,若用户状态仍然为在线状态,则设备端丢弃接收到的下线检测ARP报文,并清除下线超时定时器。
8.根据权利要求5至7中任意一项所述的方法,其特征在于,设备端虚拟IP地址是在设备端预配置的,且在客户端上线成功时由设备端通过EAP-Notification报文下发给客户端。
9.一种802.1X客户端,其特征在于,包括:
处理模块,用于根据用户下线指令生成802.1X下线报文;
报文收发模块,用于向设备端发送802.1X下线报文;
所述报文收发模块,还用于向设备端发送下线检测ARP报文,所述下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,所述设备端虚拟IP地址与客户端IP地址位于同一网段;
所述处理模块,还用于启动下线重试定时器;
所述报文收发模块,还用于接收设备端发送的下线响应ARP报文,所述下线响应ARP报文包括设备端虚拟IP地址;
所述处理模块,还用于下线重试定时器超时前,若所述报文收发模块接收到设备端发送的下线响应ARP报文,则将客户端状态更新为下线状态;
所述报文收发模块,还用于所述处理模块判断下线重试定时器超时后,若未接收到下线响应ARP报文,则再次向设备端发送802.1X下线报文。
10.根据权利要求9所述的客户端,其特征在于,
所述处理模块,还用于将下线重试计数器清零;
所述处理模块,还用于若判断下线重试定时器超时后,所述报文收发模块未接收到设备端发送的下线响应ARP报文,则将下线重试计数器加1;
所述报文收发模块,还用于若所述处理模块判断下线重试计数器的数值小于预设次数,则再次向设备端发送802.1X下线报文。
11.根据权利要求10所述的客户端,其特征在于,
所述报文收发模块,还用于若所述处理模块判断下线重试计数器的数值大于或等于预设次数,且客户端预设下线策略为强制,则再次向设备端发送802.1X下线报文;
所述处理模块,还用于若下线重试计数器的数值大于或等于预设次数,且客户端预设下线策略为告警,则结束下线过程,输出告警信息。
12.一种802.1X设备端,其特征在于,包括:
报文收发模块,用于接收客户端发送的下线检测ARP报文,所述下线检测ARP报文包括客户端MAC地址和设备端虚拟IP地址,所述设备端虚拟IP地址与客户端IP地址位于同一网段;
处理模块,用于查找下线检测ARP报文中携带的客户端MAC地址对应的用户状态;
所述报文收发模块,还用于若所述处理模块判断用户状态为下线状态,则向客户端发送下线响应ARP报文,所述下线响应ARP报文包括设备端虚拟IP地址。
13.根据权利要求12所述的设备端,其特征在于,
所述处理模块,还用于若判断用户状态为在线状态,则启动下线超时定时器;
所述报文收发模块,还用于所述处理模块在下线超时定时器超时前,若判断用户状态更新为下线状态,则向客户端发送下线响应ARP报文;
所述处理模块,还用于清除下线超时定时器。
14.根据权利要求13所述的设备端,其特征在于,
所述处理模块,还用于下线超时定时器超时后,若用户状态仍然为在线状态,则丢弃接收到的下线检测ARP报文,并清除下线超时定时器。
15.一种802.1X系统,其特征在于,所述系统包括如权利要求9至11任一项所述的客户端和如权利要求12至14任一项所述的设备端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710508829.6A CN107332649B (zh) | 2017-06-28 | 2017-06-28 | 802.1x客户端下线方法及802.1x系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710508829.6A CN107332649B (zh) | 2017-06-28 | 2017-06-28 | 802.1x客户端下线方法及802.1x系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107332649A CN107332649A (zh) | 2017-11-07 |
| CN107332649B true CN107332649B (zh) | 2020-05-08 |
Family
ID=60198896
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710508829.6A Active CN107332649B (zh) | 2017-06-28 | 2017-06-28 | 802.1x客户端下线方法及802.1x系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107332649B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109547223A (zh) * | 2018-11-15 | 2019-03-29 | 北京首信科技股份有限公司 | 电信iptv网络中信息处理的方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571366A (zh) * | 2003-07-23 | 2005-01-26 | 华为技术有限公司 | 监测用户连接状态的方法 |
| CN101917437A (zh) * | 2010-08-20 | 2010-12-15 | 迈普通信技术股份有限公司 | 基于sip的用户离线检测方法以及sip用户状态检测系统 |
| WO2011084010A2 (en) * | 2010-01-08 | 2011-07-14 | Lg Electronics Inc. | Method for performing offline indication of machine type communication device in mobile communication system |
| CN103139750A (zh) * | 2011-12-02 | 2013-06-05 | 中国移动通信集团上海有限公司 | 用户下线的处理系统、方法及认证服务器、接入控制器 |
| CN105592037A (zh) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种mac地址认证方法和装置 |
-
2017
- 2017-06-28 CN CN201710508829.6A patent/CN107332649B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571366A (zh) * | 2003-07-23 | 2005-01-26 | 华为技术有限公司 | 监测用户连接状态的方法 |
| WO2011084010A2 (en) * | 2010-01-08 | 2011-07-14 | Lg Electronics Inc. | Method for performing offline indication of machine type communication device in mobile communication system |
| CN101917437A (zh) * | 2010-08-20 | 2010-12-15 | 迈普通信技术股份有限公司 | 基于sip的用户离线检测方法以及sip用户状态检测系统 |
| CN103139750A (zh) * | 2011-12-02 | 2013-06-05 | 中国移动通信集团上海有限公司 | 用户下线的处理系统、方法及认证服务器、接入控制器 |
| CN105592037A (zh) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种mac地址认证方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 浅谈802.1X认证;ishuzebobo;《浅谈802.1X认证》;20160525;第六节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107332649A (zh) | 2017-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9240946B2 (en) | Message restriction for diameter servers | |
| US8607320B2 (en) | Systems, methods and computer-readable media for regulating remote access to a data network | |
| CN105635084B (zh) | 终端认证装置及方法 | |
| EP1502463B1 (en) | Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network | |
| CN107241336B (zh) | 身份验证方法和装置 | |
| US8514845B2 (en) | Usage of physical layer information in combination with signaling and media parameters | |
| CN108471369B (zh) | 一种网络拨号方法、装置及存储介质 | |
| EP2337320A1 (en) | A method, an apparatus, a proxy server and a terminal for filtering the spam call | |
| WO2015007231A1 (zh) | 一种恶意url的鉴定方法及装置 | |
| CN107547321B (zh) | 报文处理方法、装置、相关电子设备及可读存储介质 | |
| CN104113548A (zh) | 一种认证报文处理方法及装置 | |
| CN107204873A (zh) | 一种切换目标域名解析服务器的方法及相关设备 | |
| CN105721511A (zh) | 一种移动终端的身份验证方法 | |
| CN113271299B (zh) | 一种登录方法和服务器 | |
| CN113194353A (zh) | 一种无线投屏方法、设备、介质及产品 | |
| US10104543B2 (en) | Protection against illegitimate link termination in a wireless network | |
| CN106330948A (zh) | 一种报文控制方法及装置 | |
| CN107332649B (zh) | 802.1x客户端下线方法及802.1x系统 | |
| CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
| CN106878270A (zh) | 基于portal协议的增强型接入控制设备 | |
| WO2020043098A1 (zh) | 建立设备表项 | |
| CN102624724B (zh) | 安全网关及利用网关安全登录服务器的方法 | |
| CN112637373A (zh) | 一种保持哑终端在线的方法及设备 | |
| EP3313039A1 (en) | Home gateway, communication management method and communication system thereof | |
| CN112423299A (zh) | 一种基于身份认证进行无线接入的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 610041 15-24 floor, 1 1 Tianfu street, Chengdu high tech Zone, Sichuan Patentee after: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. Address before: 610041 16 Hing Hing Road, Chengdu high tech Development Zone, Sichuan, China 16 Patentee before: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 610041 nine Xing Xing Road 16, hi tech Zone, Sichuan, Chengdu Patentee after: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. Address before: 610041 15-24 floor, 1 1 Tianfu street, Chengdu high tech Zone, Sichuan Patentee before: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. |