CN108076459A - 网络接入控制方法、相关设备及系统 - Google Patents
网络接入控制方法、相关设备及系统 Download PDFInfo
- Publication number
- CN108076459A CN108076459A CN201610982342.7A CN201610982342A CN108076459A CN 108076459 A CN108076459 A CN 108076459A CN 201610982342 A CN201610982342 A CN 201610982342A CN 108076459 A CN108076459 A CN 108076459A
- Authority
- CN
- China
- Prior art keywords
- authentication mode
- message
- controlled ports
- business
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种网络接入控制方法、相关设备及系统,该方法预先设置网络设备中的受控端口所对应的业务类型的优先级,以及预先在认证服务器中设置可以被授权的业务类型的优先级;然后,在网络接入控制的认证过程中,针对执行不同业务类型的用户,只有认证通过,且所执行的业务类型的优先级与授权状态的受控端口一致的用户,才可以接入网络,确保不同业务之间互不干扰,实现了增强不同业务之间隔离性的目的,且相对于仅对于一个用户进行认证,实现了大大增加网络接入安全性的目的,且针对每个用户进行认证,则实现了降低网络部署复杂度的目的。
Description
技术领域
本发明涉及通信技术领域,更具体的说,涉及一种网络接入控制方法、相关设备及系统。
背景技术
目前,网络接入控制系统如图1所示,一般由客户端A、网络设备B和认证服务器C构成。网络设备B为客户端A提供接入局域网的端口,认证服务器C为网络设备B提供认证服务,其中,网络设备B中的认证系统(Authenticator)内部设置有受控端口和非受控端口;受控端口根据认证服务器C的认证结果,当处于授权状态下时,受控端口处于双向连通状态,可以接受正常的数据流通过。
在客户端进行网络接入的过程中,现有技术虽然提供了多种认证方式,但是,或多或少都存在一些问题,如基于PORT(受控端口)的认证方式,仅一个用户认证通过,该端口上的所有用户都不需要认证,存在客户端的安全性和隔离性差的问题;基于MAC(MediaAccess Control,介质访问控制)地址的认证方式,则该受控端口下的所有用户都需要单独进行认证,存在网络部署复杂,且不同业务之间的隔离性较差的问题;以及基于VLAN(Virtual Local Area Network,虚拟局域网)的认证方式,当VLAN内的某一用户通过认证,该VLAN内的不同业务用户的数据流量均可以转发,存在不同业务之间的隔离性较差的问题。
由上述可知,基于现有技术提供的网络接入的认证方式中,存在客户端安全性差、网络部署复杂以及不同业务间的隔离性差的问题。
发明内容
有鉴于此,本发明提供一种网络接入控制方法、相关设备及系统,目的在于解决现有技术在网络接入的认证方式中存在的客户端安全性差、网络部署复杂以及不同业务之间的隔离性差的问题。
为解决上述技术问题,本发明采用了如下技术方案:
本发明的第一方面提供了一种网络接入控制方法,适用于网络设备,该网络接入控制方法包括:
获取客户端发送的认证请求,并基于认证请求向客户端下发用户名信息请求;
接收并基于客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,将认证消息发送至认证服务器;网络接入认证方式至少包括,指示网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
接收认证服务器在通过用户名信息验证后,基于网络接入认证方式反馈的授权报文,授权报文包括预先扩展的认证方式字段,认证方式字段至少包括指示可以授权的受控端口对应优先级的用户业务授权信息;
基于授权报文,标记对应的受控端口为授权状态,使业务类型的优先级与受控端口一致的用户接入网络。
在本发明公开的网络接入控制方法中,通过基于业务进行认证,只有认证通过的业务才可以接入网络,使不同业务之间互不干扰,实现了增强不同业务之间隔离性的目的,且相对于仅对一个用户进行认证,实现了大大增加网络接入安全性的目的,针对每个用户进行认证,则实现了降低网络部署复杂度的目的。
在本发明第一方面提供的第一种实现方式中,还包括:
预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分;
配置受控端口的网络接入认证方式为业务认证方式。
基于上述网络接入控制方法的第一种实现方式,预先设置网络设备中的受控端口所对应的业务类型的优先级,以及预先在认证服务器中设置可以被授权的业务类型的优先级;在网络接入控制的认证过程中,针对执行不同业务类型的用户,只有认证通过,且所执行的业务类型的优先级与授权状态的受控端口一致的用户,才可以接入网络,确保不同业务之间互不干扰。
在本发明第一方面提供的第二种实现方式中,还包括:
对受控端口进行MAC认证配置,更新受控端口的网络接入认证方式为MAC和业务双重认证方式;
相应的,基于客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,包括:
基于客户端反馈的用户名信息,以及预先设置的MAC和业务双重认证方式生成认证消息;
或者,
对受控端口进行VLAN认证配置,更新受控端口的网络接入认证方式为VLAN和业务双重认证方式;
相应的,基于客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,包括:
基于客户端反馈的用户名信息,以及预先设置的VLAN和业务双重认证方式生成认证消息。
基于上述网络接入控制方法的第二种实现方式,将MAC认证和业务认证结合之后执行网络接入,或者将VLAN认证和业务认证结合之后执行网络接入,两种方式同样采用了业务认证的方式,因此,同样可以使不同业务之间互不干扰,能够实现增强不同业务之间隔离性的目的。
本发明的第二方面提供了一种网络设备,包括:
请求模块,用于获取客户端发送的认证请求,并基于认证请求向客户端下发用户名信息请求;
认证消息生成模块,用于接收并基于客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,将认证消息发送至认证服务器;网络接入认证方式至少包括,指示网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
第一接收模块,用于接收认证服务器在通过用户名信息验证后,基于网络接入认证方式反馈的授权报文,授权报文包括预先扩展的认证方式字段,认证方式字段至少包括指示可以授权的受控端口对应优先级的用户业务授权信息;
接入控制模块,用于基于授权报文,标记对应的受控端口为授权状态,使业务类型的优先级与受控端口一致的用户接入网络。
在本发明第二方面提供的第一种实现方式中,还包括:
第一预配置模块,用于预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,并配置受控端口的网络接入认证方式为业务认证方式;或者,预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,并配置受控端口的网络接入认证方式为MAC和业务双重认证方式;或者,预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,并配置受控端口的网络接入认证方式为VLAN和业务双重认证方式。
本发明的第三方面提供了一种网络接入控制方法,适用于认证服务器,网络接入控制方法包括:
接收网络设备转发的认证消息,认证消息携带有用户名信息和网络设备的网络接入认证方式,网络接入认证方式至少包括,指示网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
对所述用户名信息进行验证;
若验证通过,则基于网络接入认证方式,向网络设备反馈预先扩展有认证方式字段的授权报文,认证方式字段中至少包括指示可以授权的受控端口对应优先级的用户业务授权信息。
在本发明第三方面提供的第一种实现方式中,还包括:
预先扩展授权报文的RADIUS属性字段,将用户业务授权信息作为认证方式字段添加至RADIUS属性字段中。
在本发明第三方面提供的第二种实现方式中,还包括:
预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和MAC信息作为认证方式字段添加至RADIUS属性字段中;
或者,
预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和VLAN信息作为认证方式字段添加至RADIUS属性字段中。
本发明的第四方面提供了一种认证服务器,包括:
第二接收模块,用于接收网络设备转发的认证消息,认证消息携带有用户名信息和网络设备的网络接入认证方式,网络接入认证方式包括,指示网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
验证模块,用于对用户名信息进行验证;
反馈模块,用于若验证通过,则基于网络接入认证方式,向网络设备反馈预先扩展有认证方式字段的授权报文,认证方式字段中至少包括指示可以授权的受控端口对应优先级的用户业务授权信息。
在本发明第一四方面提供的第一种实现方式中,还包括:
第二预配置模块,用于预先扩展授权报文的RADIUS属性字段,将用户业务授权信息作为认证方式字段添加至RADIUS属性字段中;或者,预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和MAC信息作为认证方式字段添加至RADIUS属性字段中;或者,预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和VLAN信息作为认证方式字段添加至RADIUS属性字段中。
本发明的第五方面提供了一种网络接入控制系统,包括:客户端,本发明第二方面提供的一种网络设备,以及本发明第四方面提供的一种认证服务器。
本发明提供的网络接入控制技术方案,采用预先设置网络设备中的受控端口所对应的业务类型的优先级,以及预先在认证服务器中设置可以被授权的业务类型的优先级;然后,在网络接入控制的认证过程中,针对执行不同业务类型的用户,只有认证通过,且所执行的业务类型的优先级与授权状态的受控端口一致的用户,才可以接入网络,确保不同业务之间互不干扰,实现了增强不同业务之间隔离性的目的。并且相对于仅对于一个用户进行认证,实现了大大增加网络接入安全性的目的,且相对于每个用户进行认证,则实现了降低网络部署复杂度的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为现有的网络接入控制系统的结构示意图;
图2为本发明实施例公开的一种网络接入控制方法的流程示意图;
图3为本发明示例一公开的一种网络接入控制方法的流程示意图;
图4为本发明实施例二公开的一种网络接入控制方法的流程示意图;
图5为本发明实施例二公开的一种网络接入控制方法的流程示意图;
图6为本发明实施例三公开的一种网络设备的结构示意图;
图7为本发明实施例三公开的一种认证服务器的结构示意图。
具体实施方式
当前网络接入控制系统,其结构如图1所示,一般由客户端A、网络设备B和认证服务器C构成;其中,客户端A位于局域网段一端,通过链路与网络设备B连接,该客户端A支持EAPOL(Extensible Authentication Protocol over LANs,局域网上的可扩展认证协议),一般为用户终端设备,用户可以通过启动客户端软件发起IEEE 802.1x标准认证,其中,IEEE 802.1x标准定义了基于端口的网络访问控制。
网络设备B用于对所连接的客户端A进行认证;网络设备B通常为支持802.1x协议的网络设备,其为客户端A提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口;
认证服务器C为网络设备B提供认证服务,用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
在网络设备B的认证系统Authenticator内部设置有受控端口Controlled Port和非受控端口Uncontrolled Port;
受控端口Controlled Port根据认证服务器的认证结果,分为未授权状态和授权状态;其中,处于授权状态下的受控端口Controlled Port处于双向连通状态,可以接受正常的数据流通过;处于未授权状态下的受控端口Controlled Port则不允许任何数据通过;
非受控端口Uncontrolled Port则始终处于双向连通状态,通过EAPOL报文,确保客户端始终能够发出或接收认证报文。
由背景技术可知,在客户端进行网络接入的过程中,现有技术所提供的认证方式存在客户端安全性差、网络部署复杂以及不同业务间的隔离性差的问题。因此,本发明提供了一种新的网络接入控制方式,在客户端通过IEEE802.1x接入网络时,仅针对用户当前接入端口上的业务类型进行认证,并在该业务类型通过认证后,使对应该业务类型的数据流量进行转发;
由此,本发明采用基于业务进行认证的网络接入控制的技术方案,能够实现降低网络部署的复杂度,方便用户使用的目的;同时,还实现了针对不同业务类型之间采用独立认证,使不同业务之间也互不干扰,增强了不同业务间的隔离性的目的;同时,还实现了大大提高网络接入安全性的目的。
需要说明的是,在执行本发明公开的基于业务进行认证的网络接入控制方案时,需要先对现有的网络设备和认证服务器进行预先配置;
对网络设备的预先配置为:将网络设备的所有受控端口的IEEE 802.1x认证方式均配置为业务认证方式,具体的配置方式,可以基于端口进行一一配置,也可以采用全局配置方式对所有受控端口进行配置;
所配置的业务认证方式中的用户业务类型可以根据IEEE 802.1p(LAN Layer2QoS/CoS Protocol for Traffic Prioritization,有关流量优先级LAN第二层QoS/CoS协议)的优先级进行区分,目前IEEE 802.1p根据不同的业务场景,由高至低对业务类型进行优先级的区分,具体可以区分为:
最高优先级7,应用于网络管理和关键性网络流量;例如,RIP(RoutingInformation Protocol,路由信息协议)和OSPF(Open Shortest Path First,开放最短路径优先)协议的路由表更新;
优先级6和优先级5,应用于delay-sensitive(延迟敏感)应用程序,分别对应交互式语音和视频;
优先级4至优先级1,应用于controlled-load(受控负载)应用程序、streamingmultimedia(流式多媒体)、business-critical traffic(关键性业务流量);例如,SAP(session announcement protocol,会话通知协议)数据和后台流量;
优先级0是默认值,应用于在没有设置其它优先级值的情况下自动启用。
对认证服务器的预先配置为:在认证服务器上配置用户业务授权信息,该用户业务授权信息指在业务认证方式下,用户可以被授权的业务的IEEE802.1p优先级,即那些IEEE 802.1p优先级对应的受控端口可以被授权。
具体为,在发送的授权报文中扩展RADIUS报文属性字段;即,在业务认证的过程中,接收到网络设备发送的认证方式为业务认证方式,且通过对网络设备发送的用户名信息和对应密码的验证,则向网络设备发送授权报文,并在该授权报文的RADIUS属性字段中新增认证方式字段;其中,新增认证方式字段中的信息即为用户业务授权信息。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图2所示,为本发明实施例一提供的一种网络接入控制方法的流程示意图。该网络接入控制方法适用于网络接入控制系统中的网络设备,在本实施例中,通过基于业务进行认证,只有认证通过的业务才可以接入网络,使不同业务之间互不干扰,实现了增强不同业务之间隔离性的目的,且相对于仅对一个用户进行认证,实现了大大增加网络接入安全性的目的,针对每个用户进行认证,则实现了降低网络部署复杂度的目的。
在执行该网络接入控制方法时,如图2所示,先执行步骤S100和步骤S101,对网络设备和认证服务器进行预先设置;然后,再执行步骤S102~步骤S110,对接入网络的业务进行业务认证,从而完成对网络接入的控制,具体执行包括:
S100:网络设备在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,配置受控端口的网络接入认证方式为业务认证;
在步骤S100中,该业务认证为根据IEEE 802.1p优先级对业务类型进行划分,配置受控端口的认证方式为业务认证方式,即将业务类型的优先级与转发该业务类型的受控端口对应配置,得到利用优先级进行区分的受控端口;该配置的过程可以基于一个受控端口进行配置,也可以对所有受控端口进行配置;
S101:认证服务器配置对应业务认证方式的用户业务授权信息;
在步骤S101中,该用户业务授权信息指在业务认证方式下,用户可以被授权的业务的IEEE 802.1p优先级;具体的,将该用户业务授权信息配置于向网络设备发送的授权报文中;该授权报文对RADIUS报文的属性字段进行了扩展,该用户业务授权信息则以认证方式字段,添加至RADIUS报文的属性字段中;
上述步骤S100和步骤S101并无先后执行顺序,且并不需要每次在进行网络接入时都进行设置;
基于上述网络设备和认证服务器的配置之后,当用户基于客户端进行网络接入时,具体的网络接入中的认证过程为:
S102:客户端向网络设备发送认证请求;
在步骤S102中,客户端在用户基于IEEE 802.1x客户端程序输入用户名root和对应密码之后,向网络设备发送认证请求;
S103:网络设备接收该认证请求,并基于该认证请求向客户端下发用户名信息请求;
S104:客户端响应该用户名信息请求,并基于该用户名信息请求向该网络设备发送用户名信息;
S105:网络设备接收该用户名信息,并向认证服务器发送认证消息,所述认证消息包括该用户名信息和业务认证方式,该用户名信息包括用户名及该用户名对应的密码;
在步骤S105中,网络设备在接收到该用户名信息之后,基于该用户名信息中的用户名和该用户名对应的密码,以及当前网络设备所采用的认证方式生成认证消息;如在本实施例中,当前网络设备所采用的认证方式为业务认证;
因此,在执行步骤S105过程中,向认证服务器发送的认证消息中包含,申请接入网络的用户名,该用户名对应的密码和业务认证方式;
S106:认证服务器接收该认证消息,基于该认证消息确定当前的认证方式为业务认证方式,并对该认证消息中携带的用户名信息及其对应的密码进行验证,若验证通过,则执行S107;
在步骤S106中,详细的验证过程可以参考RFC(标准协议)中的详细认证流程,在本发明实施例中不再进行赘述;
S107:认证服务器基于业务认证方式,向网络设备发送授权报文,该授权报文中携带有用户业务授权信息;
在步骤S107中,认证服务器基于该认证消息中携带的业务认证方式,将添加有预先配置的用户业务授权信息的授权报文发送至网络设备;
另一方面,若验证该用户名所对应的用户及其对应的密码,未通过;此时,认证服务器向网络设备反馈相应的验证未通过的报文;
S108:网络设备接收该授权报文,将该授权报文反馈给客户端,并根据该授权报文所携带的用户业务授权信息修改受控端口授权表,将对应该用户业务授权信息中的相应优先级的授权标记设置为授权状态;
在步骤S108中,网络设备在接收到授权报文后,根据该授权报文中携带的用户业务授权信息,确定那些优先级对应的受控端口可以被授权,然后,修改受控端口授权表,将可以授权的受控端口的授权标记设置为授权;通过该设置,可以使授权标记为授权的受控端口转发相同业务类型的数据流量;
S109:客户端使业务类型的优先级与授权状态的受控端口一致的用户,通过该处于授权状态的受控端口接入网络;
在步骤S109中,若在客户端向网络设备发送认证请求报文的用户,其所执行的业务类型的优先级与处于授权状态的受控端口一致,则该业务类型的数据流量可以通过该处于授权状态的受控端口进行转发,即该用户可以通过该处于授权状态的受控端口接入、访问网络;而用户的其他业务类型所对应的受控端口处于非授权状态,则其他业务类型的数据流量则不可以进行转发,也可以在该处于授权状态的受控端口上进行转发。
S110:当执行该业务类型的用户请求下线之后,网络设备将该业务类型对应的受控端口的授权标记设置为非授权状态。
本发明实施例中,基于上述采用业务认证的方式进行网络接入的控制,在客户端通过IEEE 802.1x接入网络时,预先设置网络设备中的受控端口所对应的业务类型的优先级,以及预先在认证服务器中设置可以被授权的业务类型的优先级;然后,在网络接入控制的认证过程中,针对执行不同业务类型的用户,只有认证通过,且所执行的业务类型的优先级与授权状态的受控端口一致的用户,才可以接入网络,确保不同业务之间互不干扰,实现了增强不同业务之间隔离性的目的,且相对于仅对于一个用户进行认证,实现了大大增加网络接入安全性的目的,且针对每个用户进行认证,则实现了降低网络部署复杂度的目的。
示例一
基于上述本发明实施例一公开的网络接入控制方法,以对一个受控端口进行配置的具体应用场景为例,当网络设备的PORT1受控端口IEEE 802.1p优先级预先设置为Priority1和Priority2;认证服务器预先配置的用户业务授权信息指示可以授权的业务的优先级为Priority1;
当前用户可以使用的业务类型为语音业务和流媒体业务时,通过IEEE 802.1p优先级对用户的业务类型进行区分,将用户的语音业务的优先级设置为Priority1(优先级1),将用户的流媒体业务的优先级设置为Priority2(优先级2);也就是说,优先级为Priority1的PORT1受控端口对应转发语音业务的数据流量,优先级为Priority2的PORT1受控端口对应转发流媒体业务的数据流量,具体网络接入控制方法的过程如图3所示,主要包括如下步骤:
S200:用户通过客户端向网络设备发送认证请求报文;
在步骤S200中,用户通过客户端中的IEEE 802.1x客户端程序,输入用户名root和对应密码之后,该IEEE802.1x客户端程序向网络设备发送认证请求报文;
S201:网络设备接收并基于客户端发送的认证请求报文,向客户端下发用户名请求;
在步骤S201中,网络设备向客户端下发的用户名请求,是请求客户端将请求进行认证的用户的用户名,及其对应的密码发送给网络设备;
S202:客户端响应该用户名请求,并将该用户输入的用户名及其对应的密码发送给网络设备;
S203:网络设备接收该用户名及其对应的密码,基于该用户名及其对应的密码,以及预先设置的业务认证方式生成认证消息,并将该认证消息转发给认证服务器;
S204:认证服务器接收该认证消息,并对该认证消息中携带的用户名及其对应的密码进行验证,若验证通过,则执行S205;
S205:认证服务器基于该认证消息中携带的业务认证方式,向网络设备发送携带有Priority1的授权报文;该授权报文的RADIUS报文的属性字段中新增认证方式字段为Priority1;
在步骤S205中,认证服务器基于网络设备发送的认证消息中携带的业务认证方式,确定当前为业务认证方式,则将预先设置可以授权的业务的优先级为Priority1作为RADIUS报文的属性字段中新增认证方式字段,生成携带有Priority1的授权报文发送给网络设备;
S206:网络设备接收该授权报文,基于该授权报文将PORT1受控端口优先级为Priority1的授权标记设置为授权,并将该授权报文反馈给客户端;
在步骤S206中,网络设备基于该授权报文中携带的Priority1信息,对受控端口授权表进行修改,将PORT1受控端口优先级为Priority1的授权标记设置为授权,而将PORT1受控端口优先级为Priority2的授权标记设置为非授权;具体的受控端口授权表如表1所示:
表1:网络设备的受控端口授权表
受控端口 | Priority | 授权标记 |
PORT1 | Priority1 | 授权 |
PORT1 | Priority2 | 非授权 |
S207:客户端接收该授权报文,确定可以进行数据流量转发的是语音业务,则通过优先级为Priority1的PORT1受控端口将该语音业务的用户接入网络;
在步骤S207中,语音业务的用户可以通过优先级为Priority1的PORT1受控端口转发语音业务的数据流量,而其他处于非授权状态的业务,如流媒体业务,则不能转发相应的数据流量;
S208,网络设备在该语音业务的用户下线后,将对应的受控端口的授权标记设置为非授权。
本发明实施例,通过上述公开的网路接入控制方法,针对不同业务类型之间进行独立认证,使不同业务之间互不干扰,增强不同业务之间的隔离性,同时,相对于现有技术中采用一个用户的认证方式,实现了大大提高了网络接入安全性的问题,相对于现有技术中采用每个用户的认证方式,实现了降低网络部署复杂度,方便用户使用的目的。
实施例二
基于上述本发明实施例公开的网络接入控制方法,其在网络接入控制的过程中所采用的认证方式为业务认证,除采用业务认证方式之外,本发明实施例二还公开了结合MAC认证方式的网络接入控制,以及结合VLAN认证方式的网络接入控制;
当采用业务认证和MAC认证进行结合时,具体结合上述本发明实施例一所公开的网络接入控制方法,仅对两者之间的区别进行说明,其他执行步骤的原理一致,可以参见上述本发明实施例一中的描述,这里不再赘述:
在执行步骤S100进行网络设备的预先设置时,网络设备在受控端口通过IEEE802.1p优先级对用户的业务类型进行划分,并结合MAC认证,配置受控端口的网络接入认证方式为MAC认证和业务认证方式;
也就是说,在受控端口中的任意一个端口将同时配置一个MAC地址(又称硬件地址)和业务优先级;
以本发明实施例一中的示例一为例,网络设备将用户的语音业务的MAC地址配置为MAC1,并对应PORT1受控端口,将用户的多媒体业务的MAC地址配置为MAC2,并对应PORT1受控端口;则基于上述示例一,语音业务对应的PORT1受控端口的认证方式为:MAC1+Priority1;多媒体业务对应的PORT1受控端口的认证方式为:MAC2+Priority2;
在执行步骤S101进行认证服务器的预先设置时,对应该MAC认证方式,同样对RADIUS报文的属性字段进行扩展,增加认证方式字段,并同时将对应业务认证方式的用户业务授权信息和该MAC地址作为认证方式字段,添加至RADIUS报文的属性字段中;
在验证通过执行步骤S107向网络设备发送授权报文的过程中,该授权报文中将携带执行步骤S101预先设置的用户业务授权信息和MAC地址;
在执行步骤S108的过程中,网络设备根据接收到的授权报文中携带的用户业务授权信息和MAC地址,修改受控端口授权表,设置相应的受控端口的授权标记为授权,从而执行相应的MAC地址上,相应的业务类型的数据流量在该处于授权状态的受控端口上转发;
以本发明实施例一中的示例一为例,具体修改后的受控端口授权表如表2所示:
表2:MAC认证+业务认证的受控端口授权表
受控端口 | MAC | Priority | 授权标记 |
PORT1 | MAC1 | Priority1 | 授权 |
PORT1 | MAC2 | Priority2 | 非授权 |
通过上述本发明实施例二公开的结合MAC认证和业务认证的网络接入控制方法,同样采用了业务认证的方式,因此,同样可以使不同业务之间互不干扰,能够实现增强不同业务之间隔离性的目的。
当采用业务认证和VLAN认证进行结合时,具体结合上述本发明实施例一所公开的网络接入控制方法,仅对两者之间的区别进行说明,其他执行步骤的原理一致,可以参见上述本发明实施例一中的描述,这里不再赘述:
在执行步骤S100进行网络设备的预先设置时,网络设备在受控端口通过IEEE802.1p优先级对用户的业务类型进行划分,并结合VLAN认证,配置受控端口的网络接入认证方式为VLAN认证和业务认证;
也就是说,在受控端口中的任意一个端口将同时配置一个VLAN和业务优先级;
以本发明实施例一中的示例一为例,网络设备将用户的语音业务的VLAN配置为VLAN1,并对应PORT1受控端口,将用户的多媒体业务的VLAN配置为VLAN2,并对应PORT1受控端口;则基于上述示例一,语音业务对应的PORT1受控端口的认证方式为:VLAN1+Priority1;多媒体业务对应的PORT1受控端口的认证方式为:VLAN2+Priority2;
在执行步骤S101进行认证服务器的预先设置时,对应该VLAN认证方式,同样对RADIUS报文的属性字段进行扩展,增加认证方式字段,并同时将对应业务认证方式的用户业务授权信息和该VLAN信息作为认证方式字段,添加至RADIUS报文的属性字段中;
在验证通过执行步骤S107向网络设备发送授权报文的过程中,该授权报文中将携带执行步骤S101预先设置的用户业务授权信息和VLAN信息;
在执行步骤S108的过程中,网络设备根据接收到的授权报文中携带的用户业务授权信息和VLAN,修改受控端口授权表,设置相应的受控端口的授权标记为授权,从而执行相应的VLAN内,相应的业务类型的数据流量在该处于授权状态的受控端口上转发;
以本发明实施例一中的示例一为例,具体修改后的受控端口授权表如表3所示:
表3:VLAN认证+业务认证的受控端口授权表
受控端口 | VLAN | Priority | 授权标记 |
PORT1 | VLAN1 | Priority1 | 授权 |
PORT1 | VLAN2 | Priority2 | 非授权 |
通过上述本发明实施例二公开的结合VLAN认证和业务认证的网络接入控制方法,同样采用了业务认证的方式,因此,同样可以使不同业务之间互不干扰,能够实现增强不同业务之间隔离性的目的。
结合上述本发明实施例公开的多种网络接入控制方法,均需要网络设备和认证服务器协同工作,且需要预先对该网络设备和认证服务器进行认证方式的设置,在本发明上述实施例公开的网络接入控制方法中,针对网络设备一端的具体操作,如图4所示,主要包括如下步骤:
S301:网络设备获取客户端发送的认证请求,并基于该认证请求向所述客户端下发用户名信息请求;
S302:网络设备接收并基于客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,将该认证消息发送至认证服务器;
其中,根据预先设置的网络接入认证方式不同,该网络接入认证方式中所包含的内容也有所不同;
例如,可以仅包括业务认证方式,也可以包括MAC和业务双重认证方式,也可以包括VLAN和业务双重认证方式;
需要说明的是,该网络接入认证方式中一定要包含业务认证方式,该业务认证方式用于指示网络设备的受控端口与业务类型的优先级之间的匹配关系;由此,确保不同业务之间互不干扰,能够实现增强不同业务之间隔离性的目的;
S303:网络设备接收认证服务器在通过用户名信息验证后,基于网络接入认证方式反馈的授权报文;
该授权报文包括预先扩展的认证方式字段,该认证方式字段至少包括用户业务授权信息,该用户业务授权信息用于指示可以授权的受控端口对应的优先级;
S304:网络设备基于接收到的授权报文,标记对应的受控端口为授权状态,使业务类型的优先级与该受控端口一致的用户接入网络:;
也就是说,可以通过修改受控端口的受控端口授权表,标记该受控端口为授权状态,并在该授权状态的受控端口转发指定业务类型的数据流量,而其他业务类型则不可以通过该受控端口进行转发。
进一步的,当执行该业务类型的用户下线后,网络设备将对应的受控端口的授权标记设置为非授权。通过该种方式,在用户下线后,也不会对其他业务产生任何影响,确保不同业务之间互不干扰,能够实现增强不同业务之间隔离性的目的。
在本发明上述实施例公开的网络接入控制方法中,针对认证服务器一端的具体操作,如图5所示,主要包括如下步骤:
S401:认证服务器接收网络设备发送的认证消息;
该认证消息携带有用户名信息和网络设备的网络接入认证方式,该网络接入认证方式至少包括业务认证方式,该业务认证方式用于指示网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
针对该业务认证方式的配置由网络设备完成;
S402:认证服务器对该认证消息中的用户名信息进行验证;
S403:若验证通过,则认证服务器基于该认证消息中的网络接入认证方式,向网络设备反馈预先扩展有认证方式字段的授权报文;
该预先扩展的认证方式字段预先添加至授权报文的RADIUS属性字段中,根据预先扩展的内容不同,该认证方式字段中可以包含的内容也有所不同;
例如,可以将用户业务授权信息作为认证方式字段添加至所述RADIUS属性字段中,也可以将用户业务授权信息和MAC信息作为认证方式字段添加至所述RADIUS属性字段中,也可以将用户业务授权信息和VLAN信息作为认证方式字段添加至所述RADIUS属性字段中;
需要说明的是,该该认证方式字段中一定包含有用户业务授权信息,该用户业务授权信息用于指示可以授权的受控端口对应的优先级。由此,在网络设备基于认证服务器反馈的授权报文,修改受控端口授权表时,必然要考虑该受控端口对应的业务类型的优先级,从而确保不同业务之间互不干扰,能够实现增强不同业务之间隔离性的目的。
实施例三
基于上述本发明实施例一和实施例二公开的网络接入控制方法,本发明实施例三还对应公开了可以执行上述网络接入控制方法的网络设备、认证服务器,以及网络接入控制系统;以下针对网络设备、认证服务器和网络接入控制系统进行具体说明,其中,具有相同或相似功能的模块或单元,则采用“第一”“第二”等进行标记和区别;
如图6所示,为本发明实施例三公开的一种网络设备10的结构示意图,主要包括:
请求模块11,用于获取客户端发送的认证请求,并基于所述认证请求向所述客户端下发用户名信息请求;
认证消息生成模块12,用于接收并基于所述客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,将所述认证消息发送至认证服务器;所述网络接入认证方式至少包括,指示所述网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
第一接收模块13,用于接收所述认证服务器在通过所述用户名信息验证后,基于所述网络接入认证方式反馈的授权报文,所述授权报文包括预先扩展的认证方式字段,所述认证方式字段至少包括指示可以授权的所述受控端口对应优先级的用户业务授权信息;
接入控制模块14,用于基于所述授权报文,标记对应的受控端口为授权状态,使所述业务类型的优先级与所述受控端口一致的用户接入网络。
在本发明实施例三公开的网络设备中,还包括:
第一预配置模块15,用于预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,并配置所述受控端口的网络接入认证方式为业务认证方式;或者,预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,并配置所述受控端口的网络接入认证方式为MAC和业务双重认证方式;或者,预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,并配置所述受控端口的网络接入认证方式为VLAN和业务双重认证方式。
如图7所示,为本发明实施例三公开的一种认证服务器20的结构示意图,主要包括:
第二接收模块21,用于接收网络设备转发的认证消息,所述认证消息携带有用户名信息和所述网络设备的网络接入认证方式,所述网络接入认证方式包括,指示所述网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
验证模块22,用于对所述用户名信息进行验证;
反馈模块23,用于若验证通过,则基于所述网络接入认证方式,向所述网络设备反馈预先扩展有认证方式字段的授权报文,所述认证方式字段中至少包括指示可以授权的所述受控端口对应优先级的用户业务授权信息。
在本发明实施例三公开的认证服务器中,还包括:
第二预配置模块24,用于预先扩展授权报文的RADIUS属性字段,将用户业务授权信息作为认证方式字段添加至所述RADIUS属性字段中;或者,预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和MAC信息作为认证方式字段添加至所述RADIUS属性字段中;或者,预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和VLAN信息作为认证方式字段添加至所述RADIUS属性字段中。
结合本发明实施例公开的网络接入控制方法,本发明实施例所公开的网络设备和认证服务器也可以直接用硬件、处理器执行的存储器,或者二者的结合来实施。
因此,本发明还对应上述本发明实施例公开的另一种网络设备;该网络设备包括第一存储器,以及通过总线与第一存储器连接的第一处理器;
以及,另一种认证服务器,该认证服务器包括第二存储器,以及通过总线与第二存储器连接的第二处理器;
该第一存储器和第二存储器具有存储介质,该第一存储器的存储介质中存储有网络设备执行网络接入控制的操作流程,该第二存储器的存储介质中存储有认证服务器执行网络接入控制的操作流程;
该操作流程可以包括程序代码,该程序代码可以包括一系列按照一定顺序排列的操作指令。处理器可以是一个中央处理器CPU,或者是特定集成电路,或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储器,例如至少一个磁盘存储器。
在执行网络接入控制的过程中,该网络设备中的第一处理器则调用并执行第一存储器中存储的网络接入控制的操作流程,该认证服务器中的第二处理器则调用并执行第二存储器中存储的网络接入控制的操作流程。
本发明实施例三公开的网络接入控制系统包含客户端,以及本发明实施例三公开的网络设备和认证服务器,具体执行过程可参考本发明实施例一公开的网络接入控制方法。
需要说明的是,上述本发明实施例三公开的执行网络接入控制方法的网络设备和认证服务器,各自所包含的各个模块所涉及到的具体操作,可以参见上述本发明实施例公开的网络接入控制方法中的相应部分,这里不再赘述。
综上所述,本发明实施例采用基于业务进行认证的网络接入控制的技术方案,能够实现降低网络部署的复杂度,方便用户使用的目的;同时,还实现了针对不同业务类型之间采用独立认证,使不同业务之间也互不干扰,增强了不同业务间的隔离性的目的;同时,还实现了大大提高网络接入安全性的目的。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种网络接入控制方法,其特征在于,适用于网络设备,所述网络接入控制方法包括:
获取客户端发送的认证请求,并基于所述认证请求向所述客户端下发用户名信息请求;
接收并基于所述客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,将所述认证消息发送至认证服务器;所述网络接入认证方式至少包括,指示所述网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
接收所述认证服务器在通过所述用户名信息验证后,基于所述网络接入认证方式反馈的授权报文,所述授权报文包括预先扩展的认证方式字段,所述认证方式字段至少包括指示可以授权的所述受控端口对应优先级的用户业务授权信息;
基于所述授权报文,标记对应的所述受控端口为授权状态,使所述业务类型的优先级与所述受控端口一致的用户接入网络。
2.根据权利要求1所述的方法,其特征在于,还包括:
预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分;
配置所述受控端口的网络接入认证方式为业务认证方式。
3.根据权利要求2所述的方法,其特征在于,还包括:
对所述受控端口进行MAC认证配置,更新所述受控端口的网络接入认证方式为MAC和业务双重认证方式;
相应的,所述基于所述客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,包括:
基于所述客户端反馈的用户名信息,以及预先设置的MAC和业务双重认证方式生成认证消息;
或者,
对所述受控端口进行VLAN认证配置,更新所述受控端口的网络接入认证方式为VLAN和业务双重认证方式;
相应的,所述基于所述客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,包括:
基于所述客户端反馈的用户名信息,以及预先设置的VLAN和业务双重认证方式生成认证消息。
4.一种网络设备,其特征在于,包括:
请求模块,用于获取客户端发送的认证请求,并基于所述认证请求向所述客户端下发用户名信息请求;
认证消息生成模块,用于接收并基于所述客户端反馈的用户名信息,以及预先设置的网络接入认证方式生成认证消息,将所述认证消息发送至认证服务器;所述网络接入认证方式至少包括,指示所述网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
第一接收模块,用于接收所述认证服务器在通过所述用户名信息验证后,基于所述网络接入认证方式反馈的授权报文,所述授权报文包括预先扩展的认证方式字段,所述认证方式字段至少包括指示可以授权的所述受控端口对应优先级的用户业务授权信息;
接入控制模块,用于基于所述授权报文,标记对应的受控端口为授权状态,使所述业务类型的优先级与所述受控端口一致的用户接入网络。
5.根据权利要求4所述的网络设备,其特征在于,还包括:
第一预配置模块,用于预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,并配置所述受控端口的网络接入认证方式为业务认证方式;或者,预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,并配置所述受控端口的网络接入认证方式为MAC和业务双重认证方式;或者,预先在受控端口通过IEEE 802.1p优先级对用户的业务类型进行划分,并配置所述受控端口的网络接入认证方式为VLAN和业务双重认证方式。
6.一种网络接入控制方法,其特征在于,适用于认证服务器,所述网络接入控制方法包括:
接收网络设备转发的认证消息,所述认证消息携带有用户名信息和所述网络设备的网络接入认证方式,所述网络接入认证方式至少包括,指示所述网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
对所述用户名信息进行验证;
若验证通过,则基于所述网络接入认证方式,向所述网络设备反馈预先扩展有认证方式字段的授权报文,所述认证方式字段中至少包括指示可以授权的所述受控端口对应优先级的用户业务授权信息。
7.根据权利要求6所述的方法,其特征在于,还包括:
预先扩展授权报文的RADIUS属性字段,将用户业务授权信息作为认证方式字段添加至所述RADIUS属性字段中。
8.根据权利要求6所述的方法,其特征在于,还包括:
预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和MAC信息作为认证方式字段添加至所述RADIUS属性字段中;
或者,
预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和VLAN信息作为认证方式字段添加至所述RADIUS属性字段中。
9.一种认证服务器,其特征在于,包括:
第二接收模块,用于接收网络设备转发的认证消息,所述认证消息携带有用户名信息和所述网络设备的网络接入认证方式,所述网络接入认证方式包括,指示所述网络设备的受控端口与业务类型的优先级之间匹配关系的业务认证方式;
验证模块,用于对所述用户名信息进行验证;
反馈模块,用于若验证通过,则基于所述网络接入认证方式,向所述网络设备反馈预先扩展有认证方式字段的授权报文,所述认证方式字段中至少包括指示可以授权的所述受控端口对应优先级的用户业务授权信息。
10.根据权利要求9所述的认证服务器,其特征在于,还包括:
第二预配置模块,用于预先扩展授权报文的RADIUS属性字段,将用户业务授权信息作为认证方式字段添加至所述RADIUS属性字段中;或者,预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和MAC信息作为认证方式字段添加至所述RADIUS属性字段中;或者,预先扩展授权报文的RADIUS属性字段,将用户业务授权信息和VLAN信息作为认证方式字段添加至所述RADIUS属性字段中。
11.一种网络接入控制系统,其特征在于,包括:客户端,权利要求4或5所述的网络设备,以及权利要求9或10所述的认证服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610982342.7A CN108076459B (zh) | 2016-11-08 | 2016-11-08 | 网络接入控制方法、相关设备及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610982342.7A CN108076459B (zh) | 2016-11-08 | 2016-11-08 | 网络接入控制方法、相关设备及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108076459A true CN108076459A (zh) | 2018-05-25 |
CN108076459B CN108076459B (zh) | 2021-02-12 |
Family
ID=62154052
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610982342.7A Active CN108076459B (zh) | 2016-11-08 | 2016-11-08 | 网络接入控制方法、相关设备及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108076459B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131276A (zh) * | 2019-12-27 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
CN113612787A (zh) * | 2021-08-10 | 2021-11-05 | 浪潮思科网络科技有限公司 | 一种终端认证方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1419363A (zh) * | 2002-11-26 | 2003-05-21 | 华为技术有限公司 | 基于802.1x协议的组播控制方法 |
CN1484412A (zh) * | 2002-09-20 | 2004-03-24 | 华为技术有限公司 | 一种基于集群管理的802.1x通信实现方法 |
CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
CN101064672A (zh) * | 2006-04-24 | 2007-10-31 | 华为技术有限公司 | 一种接入设备及其带宽控制方法 |
CN101399718A (zh) * | 2007-09-29 | 2009-04-01 | 上海贝尔阿尔卡特股份有限公司 | 接入网络中控制用户设备接入组播业务的方法和装置 |
CN101516091A (zh) * | 2009-03-27 | 2009-08-26 | 刘建 | 一种基于端口的无线局域网接入控制系统及方法 |
US20160248682A1 (en) * | 2015-02-24 | 2016-08-25 | Qualcomm Incorporated | Efficient policy enforcement using network tokens for services - user-plane approach |
-
2016
- 2016-11-08 CN CN201610982342.7A patent/CN108076459B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1484412A (zh) * | 2002-09-20 | 2004-03-24 | 华为技术有限公司 | 一种基于集群管理的802.1x通信实现方法 |
CN1419363A (zh) * | 2002-11-26 | 2003-05-21 | 华为技术有限公司 | 基于802.1x协议的组播控制方法 |
CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
CN101064672A (zh) * | 2006-04-24 | 2007-10-31 | 华为技术有限公司 | 一种接入设备及其带宽控制方法 |
CN101399718A (zh) * | 2007-09-29 | 2009-04-01 | 上海贝尔阿尔卡特股份有限公司 | 接入网络中控制用户设备接入组播业务的方法和装置 |
CN101516091A (zh) * | 2009-03-27 | 2009-08-26 | 刘建 | 一种基于端口的无线局域网接入控制系统及方法 |
US20160248682A1 (en) * | 2015-02-24 | 2016-08-25 | Qualcomm Incorporated | Efficient policy enforcement using network tokens for services - user-plane approach |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131276A (zh) * | 2019-12-27 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
CN111131276B (zh) * | 2019-12-27 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
CN113612787A (zh) * | 2021-08-10 | 2021-11-05 | 浪潮思科网络科技有限公司 | 一种终端认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108076459B (zh) | 2021-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10015046B2 (en) | Methods and apparatus for a self-organized layer-2 enterprise network architecture | |
EP3267653B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
EP2624525B1 (en) | Method, apparatus and virtual private network system for issuing routing information | |
US7389534B1 (en) | Method and apparatus for establishing virtual private network tunnels in a wireless network | |
CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
EP1886447B1 (en) | System and method for authentication of sp ethernet aggregation networks | |
US7447166B1 (en) | Method to distribute IEEE 802.1X authenticated users among multiple broadcast domains | |
US20090172174A1 (en) | System and method for multi-service access | |
US7630386B2 (en) | Method for providing broadband communication service | |
CN107995052A (zh) | 用于针对有线和无线节点的公共控制协议的方法和设备 | |
US8914520B2 (en) | System and method for providing enterprise integration in a network environment | |
WO2008031351A1 (fr) | Procédé, système d'authentification, système, demandeur et authentificateur | |
CN107241454A (zh) | 一种实现地址管理的方法、装置、aaa服务器及sdn控制器 | |
WO2018196587A1 (zh) | 融合网络中的用户认证方法及装置 | |
WO2010045833A1 (zh) | 无线服务网络中报文的处理方法、系统和设备 | |
JP2016531464A (ja) | 通信ネットワークにおけるセキュアサービス管理 | |
WO2014067334A1 (zh) | 数据报文的管理方法、装置及系统 | |
CN108076459A (zh) | 网络接入控制方法、相关设备及系统 | |
JP2013542623A (ja) | 拒否された加入者局によって消費されるリソースの制限 | |
WO2011147334A1 (zh) | 提供虚拟私有网业务的方法、设备和系统 | |
CN112437355B (zh) | 三层组播的实现方法及系统 | |
CN100477609C (zh) | 实现网络专线接入的方法 | |
JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
Pepelnjak | Mpls And Vpn Architectures (Volume Ii) | |
WO2016101437A1 (zh) | 一种业务割接方法、装置及宽带接入服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |