CN113556274A - 终端接入认证的方法、装置、系统、控制器及设备 - Google Patents
终端接入认证的方法、装置、系统、控制器及设备 Download PDFInfo
- Publication number
- CN113556274A CN113556274A CN202110819618.0A CN202110819618A CN113556274A CN 113556274 A CN113556274 A CN 113556274A CN 202110819618 A CN202110819618 A CN 202110819618A CN 113556274 A CN113556274 A CN 113556274A
- Authority
- CN
- China
- Prior art keywords
- access
- abnormal terminal
- target
- authentication
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种终端接入认证的方法、装置、系统、控制器及设备,涉及通信技术领域。该方法通过SDN控制器识别连接这些未进行接入认证的异常终端设备的目标接入端口,将目标接入端口加入到预先规划的VLAN组中,VLAN组中包含异常终端设备所属的目标VLAN,这样接入设备在向异常终端设备发送ARP广播报文时,会携带有该目标VLAN标识,从而可通过目标接入端口发送ARP广播报文,进而使得异常终端设备可以对ARP广播报文进行响应,以自动触发异常终端设备的接入认证,这样SDN控制器即可在接入认证时获取到异常终端设备的相关信息,并对其进行业务规划。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种终端接入认证的方法、装置、系统、控制器及设备。
背景技术
由于传统园区网络无法安全控制接入网络的设备,不能满足用户需求,所以各个通信厂商提供了基于软件定义网络(Software Defined Network,SDN)理念的下一代园区网解决方案,通过SDN控制器的业务规划能力来简化繁琐的网络设备配置维护工作,通过对终端进行接入认证管理来应对海量终端管理难、安全不受控的问题。
SDN园区网解决方案中,业务规划都是为终端服务,确保无需管理员介入,终端在任意位置接入都能有预期的体验。业务规划服务的主要流程为:网络和策略不是提前配置在接入设备上,而是通过在SDN控制器上规划并随终端上线动态划入;此流程需要SDN控制器通过终端的接入认证流程采集到终端的相关信息,才能做到业务和策略随行。
但在客户网络中,普遍存在一些类型的哑终端(如网络打印机、摄像头等)默认会处于休眠状态,不会有任何网络流量上传,这就使得这些哑终端不会主动触发接入认证,SDN控制器就无法获得终端的相关信息,导致业务和策略不能正常生效到终端。目前针对该问题未有相应的解决方案。
发明内容
本申请实施例的目的在于提供一种终端接入认证的方法、装置、系统、控制器及设备,用以改善现有技术中一些哑终端不会主动触发接入认证,使得SDN控制器无法获得这些终端的相关信息进而无法对这些终端进行业务规划的问题。
第一方面,本申请实施例提供了一种终端接入认证的方法,应用于SDN控制器,SDN控制器与接入设备建立网络连接,所述接入设备的各个接入端口开启认证功能并用于连接终端设备,所述方法包括:
确定连接异常终端设备的目标接入端口,所述异常终端设备是指连接到所述目标接入端口后、未进行接入认证的终端设备;
将所述目标接入端口加入预先规划的VLAN组中;其中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,使得所述接入设备将携带有所述目标VLAN标识的ARP广播报文能转发到所述目标接入端口,并通过所述目标接入端口转发给所述异常终端设备,以使所述异常终端设备能接收到所述ARP广播报文并对所述ARP广播报文进行响应,进而触发所述异常终端设备进行接入认证。
在上述实现过程中,通过SDN控制器识别连接这些未进行接入认证的异常终端设备的目标接入端口,将目标接入端口加入到预先规划的VLAN组中,VLAN组中包括异常终端设备所属的目标VLAN,这样接入设备在向异常终端设备发送ARP广播报文时,会携带有该目标VLAN标识,从而可通过目标接入端口发送ARP广播报文,进而使得异常终端设备可以对ARP广播报文进行响应,以自动触发异常终端设备的接入认证,这样SDN控制器即可在接入认证时获取到异常终端设备的相关信息,并对其进行业务规划。
可选地,所述确定连接异常终端设备的目标接入端口,包括:
获取各个接入端口的物理状态;
检测所述物理状态为上电状态的接入端口是否有发送认证请求报文;
若否,则确定所述接入端口为连接异常终端设备的目标接入端口。
在上述实现过程中,SDN控制器通过监控接入端口的物理状态来间接识别网络中的异常终端设备,进而可以对其所连接的目标接入端口进行相应的配置,以实现触发异常终端设备的接入认证的目的。
可选地,所述检测所述物理状态为上电状态的接入端口是否有发送认证请求报文,包括:
检测所述物理状态为上电状态的接入端口是否在预设时间段内有发送认证请求报文。这样可以避免对一些短时间不能主动触发接入认证的终端设备也认为是异常终端设备,使得SDN控制器也需要对这些终端设备进行接入认证的触发,浪费SDN控制器的处理资源的问题。
可选地,所述将所述目标接入端口加入预先规划的VLAN组中之后,还包括:
接收所述接入设备发送的认证请求报文,所述认证请求报文为所述接入设备接收到所述异常终端设备对所述ARP广播报文的响应报文后发送的,所述认证请求报文中携带有所述异常终端设备的设备信息;
根据所述设备信息对所述异常终端设备进行接入认证。这样SDN控制器即可及时获得异常终端设备的设备信息,进而及时对其进行接入认证后实现业务规划。
可选地,所述根据所述设备信息对所述异常终端设备进行接入认证之后,还包括:
在对所述异常终端设备进行接入认证通过后,将所述异常终端设备加入到所述目标VLAN中,并将所述目标接入端口从所述VLAN组中移除。从而可对异常终端设备进行正常的业务规划。
第二方面,本申请实施例提供了一种终端接入认证的方法,应用于接入设备,所述接入设备与SDN控制器建立网络连接,所述接入设备的各个接入端口开启认证功能并用于连接终端设备,所述方法包括:
获取发送给异常终端设备的ARP广播报文,其中,所述异常终端设备是指连接到目标接入端口后、未进行接入认证的终端设备,且所述SDN控制器预先将连接所述异常终端设备的目标接入端口加入到预先规划的VLAN组中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,所述ARP广播报文中携带有所述目标VLAN标识;
通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备,以使所述异常终端设备在接收到所述ARP广播报文后进行响应,进而触发所述异常终端设备进行接入认证。
在上述实现过程中,通过接入设备在进行报文转发时,发送ARP广播报文学习异常终端设备的设备信息,从而可以触发异常终端设备的接入认证,以便于SDN控制器能够获得异常终端设备的设备信息,并对其进行业务规划。
可选地,所述通过所述目标接入端口发送ARP广播报文给所述异常终端设备之后,包括:
接收所述异常终端设备对所述ARP广播报文的响应报文;
从所述响应报文中获取所述异常终端设备的设备信息;
向所述SDN控制器发送认证请求报文,以使所述SDN控制器对所述异常终端设备进行接入认证,所述认证请求报文携带有所述设备信息。
第三方面,本申请实施例提供一种网络系统,所述网络系统包括SDN控制器和接入设备,所述接入设备与所述SDN控制器建立网络连接,所述接入设备的各个接入端口用于连接终端设备;
所述SDN控制器,用于确定连接异常终端设备的目标接入端口,所述异常终端设备是指连接到所述目标接入端口后、未进行接入认证的终端设备;
所述SDN控制器,用于将所述目标接入端口加入预先规划的VLAN组中,其中,所述VLAN组中包含所述异常终端设备所属的目标VLAN;
所述接入设备,用于获取发送给所述异常终端设备的ARP广播报文,所述ARP广播报文中携带有所述目标VLAN标识;
所述接入设备,用于通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备,以使所述异常终端设备在接收到所述ARP广播报文后对所述ARP广播报文进行响应,进而触发所述异常终端设备进行接入认证。
第四方面,本申请实施例提供一种终端接入认证的装置,运行于SDN控制器,所述SDN控制器连接接入设备,所述接入设备的各个接入端口用于连接终端设备,所述装置包括:
端口确定模块,用于确定连接异常终端设备的目标接入端口,所述异常终端设备是指连接到所述目标接入端口后、未进行接入认证的终端设备;
配置模块,用于将所述目标接入端口加入预先规划的VLAN组中;其中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,使得所述接入设备将携带有所述目标VLAN标识的ARP广播报文能转发到所述目标接入端口,并通过所述目标接入端口转发给所述异常终端设备,以使所述异常终端设备能接收到所述ARP广播报文并对所述ARP广播报文进行响应,进而触发所述异常终端设备进行接入认证。
第五方面,本申请实施例提供一种终端接入认证的装置,运行于于接入设备,所述接入设备与SDN控制器连接,所述接入设备的各个接入端口用于连接终端设备,所述装置包括:
报文接收模块,用获取发送给异常终端设备的ARP广播报文,其中,所述异常终端设备是指连接到目标接入端口后、未进行接入认证的终端设备,且所述SDN控制器预先将连接所述异常终端设备的目标接入端口加入到预先规划的VLAN组中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,所述ARP广播报文中携带有所述目标VLAN标识;
报文发送模块,用于通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备,以使所述异常终端设备在接收到所述ARP广播报文后进行响应,进而触发所述异常终端设备进行接入认证。
第六方面,本申请实施例提供一种SDN控制器,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第七方面,本申请实施例提供一种接入设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第二方面提供的所述方法中的步骤。
第八方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面或第二方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络系统的结构示意图;
图2为本申请实施例提供的一种SDN控制器的结构示意图;
图3为本申请实施例提供的一种接入设备的结构示意图;
图4为本申请实施例提供的一种终端接入认证的方法的流程图;
图5为本申请实施例提供的一种终端接入认证的方法的交互流程图;
图6为本申请实施例提供的另一种终端接入认证的方法的流程图;
图7为本申请实施例提供的一种终端接入认证的装置的结构框图;
图8为本申请实施例提供的另一种终端接入认证的装置的结构框图;
图9为本申请实施例提供的一种用于执行终端接入认证的方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本申请实施例提供一种终端接入认证的方法,通过SDN控制器确定网络中的连接异常终端设备的目标接入端口,然后将目标接入端口加入到对应的VLAN组中,VLAN组中包括异常终端设备所属的目标VLAN,这样接入设备在向异常终端设备发送ARP广播报文时,会携带有该目标VLAN标识,从而可通过目标接入端口发送ARP广播报文,使得接入设备即使不知道异常终端设备的设备信息也可将ARP广播报文发送给异常终端设备,进而使得异常终端设备可以对ARP广播报文进行响应,自动触发异常终端设备的接入认证。并且,也可使得SDN控制器能够及时获得异常终端设备的相关信息,以便于及时为异常终端设备进行业务规划。
下面先对整体的网络系统进行简单介绍。请参照图1,图1为本申请实施例提供的一种网络系统100的结构示意图,该网络系统包括SDN控制器110,SDN控制器110与接入设备120建立网络连接,接入设备120的各个接入端口用于连接终端设备。
所述SDN控制器110,用于确定连接异常终端设备的目标接入端口,所述异常终端设备是指连接到所述目标接入端口后、未进行接入认证的终端设备;
所述SDN控制器110,用于将所述目标接入端口加入预先规划的VLAN组中,其中,所述VLAN组中包含所述异常终端设备所属的目标VLAN;
所述接入设备120,用于获取发送给所述异常终端设备的ARP广播报文,所述ARP广播报文中携带有所述目标VLAN标识;
所述接入设备120,用于通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备,以使所述异常终端设备在接收到所述ARP广播报文后对所述ARP广播报文进行响应,进而触发所述异常终端设备进行接入认证。
其中,接入设备120可以为交换机、路由器等设备,如图2所示,接入设备120可以包括有接入认证单元(为了区分,这里可称为第一接入认证单元122)、访问控制单元124、状态变化通知单元126。
第一接入认证单元122可用于支持标准的802.1X、Radius认证,802.1X协议是基于Client/Server的访问控制和认证协议,它可以限制未经授权的用户/设备通过接入端口访问局域网(Local Area Networks,LAN)/无线局域网(Wireless Local Area Networks,WLAN)。在获得交换机或LAN提供的各种业务之前,802.1x认证可对连接到接入端口上的用户/设备进行认证。在认证通过之前,802.1x协议只允许EAPOL(基于局域网的扩展认证协议)数据通过接入端口;认证通过以后,正常的数据可以顺利地通过以太网端口。Radius协议是一种AAA协议,是一个能够处理用户访问请求的服务器程序,提供认证授权以及记账服务,主要目的是管理用户访问网络服务器,对具有访问权限的用户提供服务。
第一接入认证单元122可以在接入设备120上开启802.1x认证或Radius认证,终端设备在连接到接入设备120后,可通过发起流量请求来触发认证,在认证时,其账户密码可以为终端设备的MAC地址。
访问控制单元124,用于根据终端设备的MAC地址控制终端设备的访问权限,如对于未进行接入认证的终端设备,不具备访问权限,对接入认证后的终端设备,可以配置其对不同网络服务的访问权限,这些访问权限的配置可以由SDN控制器110下发到接入设备120上。
状态变化通知单元126,用于将接入设备120的一些状态变化(如接入端口UP、接入端口Down等状态)通过Syslog、SNMP Trap、Netconf notify等通道发送到SDN控制器110。
如图3所示,SDN控制器110可以包括接入认证单元(为了区分,这里可称为第二接入认证单元112)、状态感知单元114和业务网络规划单元116。
第二接入认证单元112,用于支持标准的Radius认证,支持解析Radius协议报文中的终端设备的MAC地址、终端设备的IP地址、接入设备120的IP地址、接入设备120的MAC地址、认证账户、密码等信息;还可以根据业务网络规划单元116查询终端设备所属的虚拟局域网(Virtual Local Area Network,VLAN),并通过Radius认证将终端设备所属的VLAN发送给接入设备120,接入设备120将连接终端设备的接入端口加入到该VLAN中。
状态感知单元114,用于检测网络中的异常终端设备,具体方式是通过监听接入设备120的所有接入端口的物理状态感知终端设备的上电行为,并可根据终端接入认证情况识别上电后长期未发起认证请求的异常终端设备。
业务网络规划单元116,用于支持对网络做整体规划,包括网段划分、VLAN划分等,支持终端设备加入相应的VLAN,如异常终端设备加入到某个VLAN后,该异常终端设备所连接的接入端口则加入到该VLAN中,从而保障该VLAN的ARP广播报文能够通过接入端口到达异常终端设备。并控制接入设备120开启“允许端口转发到未接入认证终端的下行流量”,以保障对应VLAN内的所有ARP广播报文都能经过该接入端口达到异常终端设备,在有对该异常终端设备的请求时,通过ARP广播报文诱发异常终端设备单播应答产生流量,触发接入认证。
具体地,业务网络规划单元116可以根据终端设备的类型、接入位置、接入时间等维度来为终端设备规划业务网络(包括网段、VLAN),终端设备正常认证上线后,SDN控制器可根据终端设备的上线信息、业务网络规划信息动态获取终端设备所属的VLAN,并向接入设备下发终端设备的MAC地址和VLAN的配置,用以实现终端设备任意接入网络随行。
为终端设备进行业务网络规划的示例如下:
研发区域办公PC终端设备规划到业务网络1(网段192.168.100.0/24,VLAN 100);财务区域办公PC终端设备规划到业务网络2(网段192.168.200.0/24,VLAN 200);所有区域办公PC终端设备在下班时间规划到业务网络3(网段193.168.100.0/24,VLAN 300);打印机终端设备规划到业务网络4(网段194.168.100.0/24,VLAN 400);IP电话终端设备规划到业务网络5(网段195.168.100.0/24,VLAN 500)。
其中,研发区域、财务区域属于接入位置维度,具体可以根据接入设备所在区域做关系映射实现。上班时间、下班时间属于接入时间维度。PC、打印机、IP电话等属于终端设备的类型维度。
下面结合方法实施例详细介绍具体的实现过程。
请参照图4,图4为本申请实施例提供的一种终端接入认证的方法的流程图,该方法包括如下步骤:
步骤S110:确定连接异常终端设备的目标接入端口。
其中,可以预先对接入设备进行相应的配置,如对接入设备上的各个接入端口开启基于Radius的MAC认证,即开启了认证功能,MAC认证是指终端设备在连接到接入设备后,接入设备可以获取终端设备的MAC地址,作为终端设备接入网络的凭证,并发送到Radius服务器进行校验。MAC认证是一种基于接入端口和MAC地址对用户的网络访问权限进行控制的认证方法,其不需要用户安装任何客户端软件,接入设备在启动了MAC认证后,在接入端口上首次检测到终端设备的MAC地址时,启动对该终端设备的认证操作,认证过程的账户、密码均可以为终端设备的MAC地址,这样不需要用户手动输入账户和密码,减少了用户的操作。
接入设备在开启基于Radius的MAC认证之后,对于其所连接的终端设备进行监测,若终端设备有上行流量发送的需求,则某些终端设备会主动向接入设备发送报文,接入设备接收到该报文后,从中获取终端设备的MAC地址,然后向SDN控制器发送认证请求报文,认证请求报文中携带有终端设备的MAC地址,从而SDN控制器可对终端设备进行接入认证,然后将该终端设备加入到对应的业务VLAN中,以实现对该终端设备的业务规划。
而对于某些异常终端设备,如打印机、摄像头等,这些终端设备可称为哑终端,即这些终端设备不会主动发送上行流量,只有在接收到请求时才会被动发送上行流量,所以,若这些异常终端设备很长时间没有接收到请求,这些异常终端设备则触发不了接入认证(也就是说,因为这些异常终端设备未进行接入认证,所以接入端口不会转发业务报文给异常终端设备,异常终端设备就不能收到请求流量,也就不会有响应流量,进而触发不了接入认证),而SDN控制器就无法对这些异常终端设备进行网络业务规划。在现有方案中,SDN控制器无法感知到这些终端的相关信息,导致业务和策略不能生效到终端,进而导致终端无法被访问到也不能被唤醒,也触发不了终端的接入认证,所以这些终端会一直处于休眠状态。或者,对于某些终端设备,虽然这些终端设备可以主动发送上行流量来触发接入认证,但是若是这些终端设备没有业务需求时,也无法尽快发送上行流量,进而也无法很快进行主动触发接入认证。
所以,本申请在于识别这些终端,并采用对应的方法触发这些终端进行接入认证。也就是说,本申请中的异常终端设备可以是指连接到接入设备后、未进行接入认证的终端设备。
由于SDN控制器在终端设备接入认证之前无法获得终端设备的相关信息,进而导致SDN控制器无法对这些终端设备进行网络规划。所以,SDN控制器为了使得这些终端设备自动触发接入认证,可以先识别出网络中的这些异常终端设备,然后通过本申请的方法自动触发这些异常终端设备进行接入认证。
SDN控制器可以通过确定连接这些异常终端设备的接入端口,识别出这些异常终端设备,本申请实施例中将连接异常终端设备的接入端口称为目标接入端口,异常终端设备为多个时,目标接入端口也为多个。
步骤S120:将所述目标接入端口加入预先规划的VLAN组中。
由于SDN控制器没有异常终端设备的相关信息,所以为了对这些异常终端设备进行区别,可以将识别出的这些连接异常终端设备的目标接入端口加入到预先规划的VLAN组中。可以理解地,VLAN组可以是指专门为这些不会主动发送上行流量的异常终端设备所划分的,即VLAN组中包含有各个异常终端设备所属的目标VLAN,例如,可以预先划分一些VLAN以供网络中的打印机、摄像头这些哑终端使用,如划分的VLAN组包括VLAN1-VLAN10(在具体业务规划时,可以为这些哑终端分配具体的目标VLAN,如为某个打印机分配VLAN7)。SDN控制器中还可以提前规划业务网络(包括子网、掩码、网关、VLAN等信息),这些业务网络以供不同业务的终端设备使用,即在SDN控制器获取到各个终端设备的信息时,可以基于规划好的业务网络对各个终端设备进行网络规划。
如上述示例,可以理解地,本申请实施例中的VLAN组可以为VLAN1-VLAN10,将目标接入端口加入VLAN组,可以理解为是将目标接入端口的端口号加入到VLAN1-VLAN10共10个VLAN中。例如,目标接入端口包括端口1、端口2和端口3,则可分别将端口1加入到VLAN1-VLAN10的10个VLAN中、将端口2加入到VLAN1-VLAN10的10个VLAN中、将端口3加入到VLAN1-VLAN10的10个VLAN中,此时这三个端口均加入到多个VLAN。
SDN控制器在将目标接入端口加入到VLAN组中,然后可通过命令的方式下发给接入设备,使得接入设备接执行命令中的配置,以供后续转发报文使用。
后续若其他终端对异常终端设备进行访问,发送的报文经过接入设备进行转发,其他终端发送给异常终端设备的报文中携带的目的IP地址是异常终端设备的IP地址,而由于接入设备上未存储有异常终端设备的MAC地址,所以接入设备为了学习到异常终端设备的MAC地址,会发送ARP广播报文进行地址学习,接入设备则可通过目的IP地址查找到对应的目标VLAN,然后将目标VALN标识携带在ARP广播报文中进行发送。由于将目标接入端口加入到预先规划的VLAN组中,VLAN组中包括目的IP地址对应的目标VLAN,所以携带目标VALN标识的ARP广播报文可以转发到连接异常终端设备的目标接入端口。如上述示例,若目的IP地址对应的目标VLAN为VLAN1,由于将目标接入端口的端口号加入到VLAN1-VLAN10共10个VLAN中,所以VLAN1的所有接入端口,如包括端口1、端口2、端口3。则接入设备可将ARP广播报文分别通过VLAN1中的三个端口发送出去,即ARP广播报文可从目标接入端口发送出去,这样各个异常终端设备均会接收到该ARP广播报文。
异常终端设备接收到ARP广播报文后,从ARP广播报文中获取对应的目的IP地址,若目的IP地址与自身的IP地址匹配,则对该ARP广播报文进行响应,如可向接入设备发送对应的响应报文,这样就可以触发异常终端设备向接入设备发送上行流量,进而可触发异常终端设备进行接入认证。
需要说明的是,上述接入设备发送的ARP广播报文可以是接入设备为了学习到终端设备的地址信息而生成的,也可以是其他业务终端发起的,即其他业务终端发送给终端设备的ARP广播报文,接入设备接收到其他终端发送给异常终端设备的ARP广播报文,然后对其进行转发。
在上述实现过程中,通过SDN控制器识别连接这些未进行接入认证的异常终端设备的目标接入端口,将目标接入端口加入到对应的VLAN组中,VLAN组中包含异常终端设备所属的目标VLAN,这样接入设备在向异常终端设备发送ARP广播报文时,会携带有该目标VLAN标识,从而可通过目标接入端口发送ARP广播报文,进而使得异常终端设备可以对ARP广播报文进行响应,以自动触发异常终端设备的接入认证,这样SDN控制器即可在接入认证时获取到异常终端设备的相关信息,并对其进行业务规划。
在上述实施例的基础上,为了使得SDN控制器能够识别到网络中的异常终端设备,接入设备可以开启通过Syslog、SNMP Trap或Netconf notify上报信息等方式的功能,进而接入设备可以通过这些方式上报接入端口UP、接入端口Down的状态变化信息。
下面可结合图5对本申请的方法进行理解,图5为具体的交互过程示意图。初始阶段,需要入网的终端设备(包括哑终端)通过物理网络连接接入设备上的接入端口,并上电。接入设备上电后,可以将各个接入端口的物理状态通过Syslog、SNMP Trap或Netconfnotify等方式发送给SDN控制器的状态感知单元,各个接入端口的物理状态包端口UP(上电建立连接)、端口Down(连接断开)等,这样SDN控制器即可获得各个接入端口的物理状态,然后可检测物理状态为上电状态的接入端口是否有发送认证请求报文,若否,则确定该接入端口为连接异常终端设备的目标接入端口。
例如,SDN控制器在接收到接入设备上报的接入端口的物理状态后,对于物理状态为端口UP的接入端口,可以检测是否获得过这些接入端口发送的认证请求报文,认证请求报文是指对终端设备的接入认证的请求报文。所以会携带有接入端口的地址信息,如端口号或IP地址等信息,所以,SDN控制器在接收到认证请求报文后,对该认证请求报文进行相应处理,内部会存储处理记录,SDN控制器可通过查找记录确定是否已接收到某个接入端口发送的认证请求报文。
若没有收到对应的认证请求报文,则确定该接入端口没有发送,表示该接入端口所连接的终端设备没有触发接入认证,该终端设备为异常终端设备,该接入端口即为目标接入端口。
在上述实现过程中,SDN控制器通过监控接入端口的物理状态来间接识别网络中的异常终端设备,进而可以对其所连接的目标接入端口进行相应的配置,以实现触发异常终端设备的接入认证的目的。
在上述实施例的基础上,而一些正常的可以自动发送上行流量的终端设备(如非哑终端)本来可以自动触发接入认证,只是没有在与接入设备连接后立马进行接入认证,若是对于这些终端设备也按照本申请的方式进行处理,即也认为这些终端设备是异常终端设备,那对这些终端设备再进行本申请的接入认证,显然会造成一些无用处理,增加SDN控制器的处理负担。所以,为了减少SDN控制器的处理负担,SDN控制器还可以检测物理状态为上电状态的接入端口是否在预设时间段内有发送认证请求报文。
例如,SDN控制器在获取到接入设备发送的各个接入端口的物理状态后,启动一定时器,在经过预设时间段后,若上电状态的接入端口还未发送认证请求报文(即图5中一个时间窗后终端仍未接入),则认为该接入端口所连接的终端设备为异常终端设备,而在预设时间段内已经发送过认证请求报文,则不是异常终端设备。其中,预设时间段可以根据实际需求灵活设置,这样可以避免将一些在短时间内没有主动发送认证请求报文的终端设备认为是异常终端设备。
在上述实施例的基础上,SDN控制器在感知到连接异常终端设备的目标接入端口后,将该目标接入端口加入预先规划的VLAN组,如SDN控制器可以通过Netconf或者CLI(Command-Line Interface,命令行界面)命令将接入端口加入到预先规划的VLAN组。如SDN控制器识别到接入端口1为连接异常终端设备的目标接入端口,则将端口1加入到VLAN组(VLAN1-VLAN10)的每个VLAN中。然后SDN控制器可通过Netconf或者CLI命令控制接入设备开启“允许目标接入端口转发到未接入认证的终端设备的下行流量”,这样,发送到目标VLAN的ARP广播报文都能经过目标接入端口发送到对应的异常终端设备,从而可以触发异常终端设备的接入认证。
若在网络中有真实业务需要访问异常终端设备时,接入设备或其他业务终端会向异常终端设备发送ARP广播报文,如若某个业务终端想要访问接入端口1所连接的异常终端设备1,则可向异常终端设备1发送业务报文,业务报文中携带有异常终端设备1对应的目的地址,如IP地址,接入设备获取到该业务报文后,从业务报文中的目的地址查找对应的目标VLAN,如接入设备通过查找转发表获得VLAN(因为每个VLAN划分有对应的IP地址段),如获得的目标VLAN为VLAN1,此时目标接入端口已经加入到预先规划的VLAN组的所有VLAN中。
若该异常终端设备1没有进行接入认证,则接入设备的转发表中未存储有异常终端设备1的MAC地址,所以接入设备为了将业务报文转发给异常终端设备1,会发起ARP广播报文,此时的ARP广播报文中携带有VLAN1的标识,如果和异常终端设备1连接的目标接入端口为接入端口1,则由于目标接入端口已经加入到预先规划的VLAN组的所有VLAN中,所以接入端口1能够收到该ARP广播报文,并通过接入端口1发送ARP广播报文给异常终端设备1。异常终端设备1发现ARP广播报文中的IP地址与自身的IP地址相同,则对该ARP广播报文进行响应,进而触发该异常终端设备1的接入认证,其他异常终端设备可以将该ARP广播报文进行丢弃而不做处理。
可以理解地,为了使得异常终端设备2和异常终端设备3均能够触发接入认证,除了异常终端设备2和异常终端设备3等待有流量请求后触发接入认证的方式外,接入设备还可以在向异常终端设备1发送ARP广播报文后,查找ARP表,获取异常终端设备1所在的IP网段(因为通常如多个打印机会分配在同一个IP网段,多个摄像头也会分配在同一个IP网段),所以,异常终端设备2和异常终端设备3可能和异常终端设备1在同一个IP网段下。然后接入设备可通过轮询的方式依次在ARP广播报文中添加该IP网段下的IP地址,例如,若该IP网段下包括有20个IP地址,则接入设备每次生成一个ARP广播报文,然后在其中添加一个IP地址,发送给各个异常终端设备,然后判断是否能接收到某个异常终端设备的响应,若能,则就能触发该异常终端设备的接入认证,若不能,则接入设备继续生成ARP广播报文,然后在其中添加下一个IP地址后广播出去,按照该方式即可在ARP广播报文中携带不同的IP地址,进而来试探各个异常终端设备的IP地址是否和ARP广播报文中的IP地址一致,若一致,则能够触发异常终端设备进行响应,进而触发异常终端设备的接入认证。这样其他异常终端设备则可无需再等等有业务请求到来时才进行接入认证,而是没有业务请求到来时也可以进行接入认证。
其中,异常终端设备获得ARP广播报文后,对ARP广播报文进行响应,向接入设备发送对应的响应报文,接入设备的第一接入认证单元可从响应报文中获取异常终端设备的设备信息,如MAC地址,然后将其封装到认证请求报文(该认证请求报文为Radius认证请求(Access-Request)报文)中,并发送给SDN控制器的第二接入认证单元,认证请求报文中携带有设备信息,以及认证所需的账户和密码(账户和密码都可以为异常终端设备的MAC地址)。
这样SDN控制器即可接收接入设备发送的认证请求报文,然后根据认证请求报文中携带的设备信息对异常终端设备进行接入认证。
例如,SDN控制器提取认证请求报文中的账户、密码等信息,然后根据预先配置的接入授权策略对异常终端设备进行认证,如根据MAC地址判断该异常终端设备是否能接入对应的业务网络,如接入某个VLAN。
若SDN控制器在对异常终端设备进行接入认证通过后,可向接入设备发送Radius接受准入(Access-Accept)报文,并在报文属性中携带准入授权策略匹配的VLAN,完成对异常终端设备的准入授权处理。
接入设备在接收到Radius接受准入(Access-Accept)报文后,表示异常终端设备的接入认证通过,则放行该异常终端的MAC地址的网络访问权限,将所述异常终端设备加入到所述目标VLAN中,并将目标接入端口从VLAN组的各个VLAN中移除。
请参照图6,图6为本申请实施例提供的另一种终端接入认证的方法,该方法应用于接入设备,包括如下步骤:
步骤S210:获取发送给异常终端设备的ARP广播报文。所述异常终端设备是指连接到目标接入端口后、未进行接入认证的终端设备。
其中,所述SDN控制器预先将连接所述异常终端设备的目标接入端口加入到预先规划的VLAN组中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,所述ARP广播报文中携带有所述目标VLAN标识。
步骤S220:通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备,以使所述异常终端设备在接收到所述ARP广播报文后进行响应,进而触发所述异常终端设备进行接入认证。
在上述实现过程中,通过接入设备在进行报文转发时,获取ARP广播报文学习异常终端设备的设备信息,从而可以触发异常终端设备的接入认证,以便于SDN控制器能够获得异常终端设备的设备信息,并对其进行业务规划。
可选地,所述通过所述目标接入端口发送ARP广播报文给所述异常终端设备之后,包括:
接收所述异常终端设备对所述ARP广播报文的响应报文;
从所述响应报文中获取所述异常终端设备的设备信息;
向所述SDN控制器发送认证请求报文,以使所述SDN控制器对所述异常终端设备进行接入认证,所述认证请求报文携带有所述设备信息。
可以理解地,该方法实施例的具体实现过程可参照上述实施例的相关描述,为避免重复,此处适当省略详细描述。
请参照图7,图7为本申请实施例提供的一种终端接入认证的装置200的结构框图,该装置200运行于上述的SDN控制器,该装置200可以是SDN控制器上的模块、程序段或代码。应理解,该装置200与上述图4方法实施例对应,能够执行图4方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
端口确定模块210,用于确定连接异常终端设备的目标接入端口,所述异常终端设备是指连接到所述目标接入端口后、未进行接入认证的终端设备;
配置模块220,用于将所述目标接入端口加入预先规划的VLAN组中;其中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,使得所述接入设备将携带有所述目标VLAN标识的ARP广播报文能转发到所述目标接入端口,并通过所述目标接入端口转发给所述异常终端设备,以使所述异常终端设备能接收到所述ARP广播报文并对所述ARP广播报文进行响应,进而触发所述异常终端设备进行接入认证。
可选地,所述端口确定模块210,用于获取各个接入端口的物理状态;检测所述物理状态为上电状态的接入端口是否有发送认证请求报文;若否,则确定所述接入端口为连接异常终端设备的目标接入端口。
可选地,所述端口确定模块210,用于检测所述物理状态为上电状态的接入端口是否在预设时间段内有发送认证请求报文。
可选地,所述装置200还包括:
认证模块,用于接收所述接入设备发送的认证请求报文,所述认证请求报文为所述接入设备接收到所述异常终端设备对所述ARP广播报文的响应报文后发送的,所述认证请求报文中携带有所述异常终端设备的设备信息;根据所述设备信息对所述异常终端设备进行接入认证。
可选地,所述认证模块,用于在对所述异常终端设备进行接入认证通过后,将所述异常终端设备加入到所述目标VLAN中,并将所述目标接入端口从所述VLAN组中移除。
请参照图8,图8为本申请实施例提供的另一种终端接入认证的装置300的结构框图,该装置300运行于上述的接入设备,该装置300可以是接入设备上的模块、程序段或代码。应理解,该装置300与上述图6方法实施例对应,能够执行图6方法实施例涉及的各个步骤,该装置300具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置300包括:
报文接收模块310,用于获取发送给异常终端设备的ARP广播报文,其中,所述异常终端设备是指连接到目标接入端口后、未进行接入认证的终端设备,且所述SDN控制器预先将连接所述异常终端设备的目标接入端口加入到预先规划的VLAN组中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,所述ARP广播报文中携带有所述目标VLAN标识;
报文发送模块320,用于通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备,以使所述异常终端设备在接收到所述ARP广播报文后进行响应,进而触发所述异常终端设备进行接入认证。
可选地,所述装置300还包括:
认证报文发送模块,用于接收所述异常终端设备对所述ARP广播报文的响应报文;从所述响应报文中获取所述异常终端设备的设备信息;向所述SDN控制器发送认证请求报文,以使所述SDN控制器对所述异常终端设备进行接入认证,所述认证请求报文携带有所述设备信息。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图9,图9为本申请实施例提供的一种用于执行终端接入认证的方法的电子设备的结构示意图,该电子设备可以为SDN控制器或接入设备,所述电子设备可以包括:至少一个处理器410,例如CPU,至少一个通信接口420,至少一个存储器430和至少一个通信总线440。其中,通信总线440用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口420用于与其他节点设备进行信令或数据的通信。存储器430可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器430可选的还可以是至少一个位于远离前述处理器的存储装置。存储器430中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器410执行时,电子设备执行上述图4或图6所示方法过程。
可以理解,图9所示的结构仅为示意,所述电子设备还可包括比图9中所示更多或者更少的组件,或者具有与图9所示不同的配置。图9中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,执行如图4或图6所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:确定连接异常终端设备的目标接入端口,所述异常终端设备是指连接到所述目标接入端口后、未进行接入认证的终端设备;将所述目标接入端口加入预先规划的VLAN组中;其中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,使得所述接入设备将携带有所述目标VLAN标识的ARP广播报文能转发到所述目标接入端口,并通过所述目标接入端口转发给所述异常终端设备,以使所述异常终端设备能接收到所述ARP广播报文并对所述ARP广播报文进行响应,进而触发所述异常终端设备进行接入认证。
综上所述,本申请实施例提供一种终端接入认证的方法、装置、系统、控制器及设备,通过SDN控制器识别连接这些未进行接入认证的异常终端设备的目标接入端口,将目标接入端口加入到预先规划的VLAN组中,VLAN组中包含异常终端设备所属的目标VLAN,这样接入设备在向异常终端设备发送ARP广播报文时,会携带有该目标VLAN标识,从而可通过目标接入端口发送ARP广播报文,进而使得异常终端设备可以对ARP广播报文进行响应,以自动触发异常终端设备的接入认证,这样SDN控制器即可在接入认证时获取到异常终端设备的相关信息,并对其进行业务规划。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (12)
1.一种终端接入认证的方法,其特征在于,应用于SDN控制器,所述SDN控制器与接入设备建立网络连接,所述接入设备的各个接入端口开启认证功能并用于连接终端设备,所述方法包括:
确定连接异常终端设备的目标接入端口,所述异常终端设备是指连接到所述目标接入端口后、未进行接入认证的终端设备;
将所述目标接入端口加入预先规划的VLAN组中;其中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,使得所述接入设备将携带有所述目标VLAN标识的ARP广播报文能转发到所述目标接入端口,并通过所述目标接入端口转发给所述异常终端设备,以使所述异常终端设备能接收到所述ARP广播报文并对所述ARP广播报文进行响应,进而触发所述异常终端设备进行接入认证。
2.根据权利要求1所述的方法,其特征在于,所述确定连接异常终端设备的目标接入端口,包括:
获取各个接入端口的物理状态;
检测所述物理状态为上电状态的接入端口是否有发送认证请求报文;
若否,则确定所述接入端口为连接异常终端设备的目标接入端口。
3.根据权利要求2所述的方法,其特征在于,所述检测所述物理状态为上电状态的接入端口是否有发送认证请求报文,包括:
检测所述物理状态为上电状态的接入端口是否在预设时间段内有发送认证请求报文。
4.根据权利要求1所述的方法,其特征在于,所述将所述目标接入端口加入预先规划的VLAN组中之后,还包括:
接收所述接入设备发送的认证请求报文,所述认证请求报文为所述接入设备接收到所述异常终端设备对所述ARP广播报文的响应报文后发送的,所述认证请求报文中携带有所述异常终端设备的设备信息;
根据所述设备信息对所述异常终端设备进行接入认证。
5.根据权利要求4所述的方法,其特征在于,所述根据所述设备信息对所述异常终端设备进行接入认证之后,还包括:
在对所述异常终端设备进行接入认证通过后,将所述异常终端设备加入到所述目标VLAN中,并将所述目标接入端口从所述VLAN组中移除。
6.一种终端接入认证的方法,其特征在于,应用于接入设备,所述接入设备与SDN控制器建立网络连接,所述接入设备的各个接入端口开启认证功能并用于连接终端设备,所述方法包括:
获取发送给异常终端设备的ARP广播报文,其中,所述异常终端设备是指连接到目标接入端口后、未进行接入认证的终端设备,且所述SDN控制器预先将连接所述异常终端设备的目标接入端口加入到预先规划的VLAN组中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,所述ARP广播报文中携带有所述目标VLAN标识;
通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备,以使所述异常终端设备在接收到所述ARP广播报文后进行响应,进而触发所述异常终端设备进行接入认证。
7.根据权利要求6所述的方法,其特征在于,所述通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备之后,包括:
接收所述异常终端设备对所述ARP广播报文的响应报文;
从所述响应报文中获取所述异常终端设备的设备信息;
向所述SDN控制器发送认证请求报文,以使所述SDN控制器对所述异常终端设备进行接入认证,所述认证请求报文携带有所述设备信息。
8.一种网络系统,其特征在于,所述网络系统包括SDN控制器和接入设备,所述接入设备与所述SDN控制器建立网络连接,所述接入设备的各个接入端口用于连接终端设备;
所述SDN控制器,用于确定连接异常终端设备的目标接入端口,所述异常终端设备是指连接到所述目标接入端口后、未进行接入认证的终端设备;
所述SDN控制器,用于将所述目标接入端口加入预先规划的VLAN组中,其中,所述VLAN组中包含所述异常终端设备所属的目标VLAN;
所述接入设备,用于获取发送给所述异常终端设备的ARP广播报文,所述ARP广播报文中携带有所述目标VLAN标识;
所述接入设备,用于通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备,以使所述异常终端设备在接收到所述ARP广播报文后对所述ARP广播报文进行响应,进而触发所述异常终端设备进行接入认证。
9.一种终端接入认证的装置,其特征在于,运行于SDN控制器,所述SDN控制器连接接入设备,所述接入设备的各个接入端口用于连接终端设备,所述装置包括:
端口确定模块,用于确定连接异常终端设备的目标接入端口,所述异常终端设备是指连接到所述目标接入端口后、未进行接入认证的终端设备;
配置模块,用于将所述目标接入端口加入预先规划的VLAN组中;其中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,使得所述接入设备将携带有所述目标VLAN标识的ARP广播报文能转发到所述目标接入端口,并通过所述目标接入端口转发给所述异常终端设备,以使所述异常终端设备能接收到所述ARP广播报文并对所述ARP广播报文进行响应,进而触发所述异常终端设备进行接入认证。
10.一种终端接入认证的装置,其特征在于,运行于于接入设备,所述接入设备与SDN控制器建立网络连接,所述接入设备的各个接入端口用于连接终端设备,所述装置包括:
报文接收模块,用于获取发送给异常终端设备的ARP广播报文,其中,所述异常终端设备是指连接到目标接入端口后、未进行接入认证的终端设备,且所述SDN控制器预先将连接所述异常终端设备的目标接入端口加入到预先规划的VLAN组中,所述VLAN组中包含所述异常终端设备所属的目标VLAN,所述ARP广播报文中携带有所述目标VLAN标识;
报文发送模块,用于通过所述目标接入端口将所述ARP广播报文发送给所述异常终端设备,以使所述异常终端设备在接收到所述ARP广播报文后进行响应,进而触发所述异常终端设备进行接入认证。
11.一种SDN控制器,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-5任一所述的方法。
12.一种接入设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求6或7所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110819618.0A CN113556274B (zh) | 2021-07-20 | 2021-07-20 | 终端接入认证的方法、装置、系统、控制器及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110819618.0A CN113556274B (zh) | 2021-07-20 | 2021-07-20 | 终端接入认证的方法、装置、系统、控制器及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113556274A true CN113556274A (zh) | 2021-10-26 |
CN113556274B CN113556274B (zh) | 2022-05-17 |
Family
ID=78103564
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110819618.0A Active CN113556274B (zh) | 2021-07-20 | 2021-07-20 | 终端接入认证的方法、装置、系统、控制器及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113556274B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114513399A (zh) * | 2021-12-31 | 2022-05-17 | 锐捷网络股份有限公司 | 设备识别方法、装置和计算机可读存储介质及电子设备 |
CN114826668A (zh) * | 2022-03-23 | 2022-07-29 | 浪潮思科网络科技有限公司 | 一种采集在线终端信息的方法、设备、存储介质 |
CN115001804A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
CN115277400A (zh) * | 2022-07-15 | 2022-11-01 | 浪潮思科网络科技有限公司 | 一种基于园区网环境的终端入网方法、设备及介质 |
CN115941777A (zh) * | 2022-11-25 | 2023-04-07 | 深圳市信锐网科技术有限公司 | 设备上线使用方法、出口管理设备、目标设备及相关装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040250117A1 (en) * | 2003-04-29 | 2004-12-09 | Congdon Paul T. | Method and apparatus for access security services |
CN104378226A (zh) * | 2013-08-16 | 2015-02-25 | 上海未来宽带技术股份有限公司 | 基于每用户每业务每vlan的配置管理缆桥终端的方法 |
CN111654485A (zh) * | 2020-05-26 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种客户端的认证方法以及设备 |
US20220014519A1 (en) * | 2020-07-07 | 2022-01-13 | Arista Networks, Inc. | Authentication of passive devices |
-
2021
- 2021-07-20 CN CN202110819618.0A patent/CN113556274B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040250117A1 (en) * | 2003-04-29 | 2004-12-09 | Congdon Paul T. | Method and apparatus for access security services |
CN104378226A (zh) * | 2013-08-16 | 2015-02-25 | 上海未来宽带技术股份有限公司 | 基于每用户每业务每vlan的配置管理缆桥终端的方法 |
CN111654485A (zh) * | 2020-05-26 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种客户端的认证方法以及设备 |
US20220014519A1 (en) * | 2020-07-07 | 2022-01-13 | Arista Networks, Inc. | Authentication of passive devices |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114513399A (zh) * | 2021-12-31 | 2022-05-17 | 锐捷网络股份有限公司 | 设备识别方法、装置和计算机可读存储介质及电子设备 |
CN114826668A (zh) * | 2022-03-23 | 2022-07-29 | 浪潮思科网络科技有限公司 | 一种采集在线终端信息的方法、设备、存储介质 |
CN114826668B (zh) * | 2022-03-23 | 2024-05-14 | 浪潮思科网络科技有限公司 | 一种采集在线终端信息的方法、设备、存储介质 |
CN115001804A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
CN115001804B (zh) * | 2022-05-30 | 2023-11-10 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
CN115277400A (zh) * | 2022-07-15 | 2022-11-01 | 浪潮思科网络科技有限公司 | 一种基于园区网环境的终端入网方法、设备及介质 |
CN115941777A (zh) * | 2022-11-25 | 2023-04-07 | 深圳市信锐网科技术有限公司 | 设备上线使用方法、出口管理设备、目标设备及相关装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113556274B (zh) | 2022-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113556274B (zh) | 终端接入认证的方法、装置、系统、控制器及设备 | |
US10212160B2 (en) | Preserving an authentication state by maintaining a virtual local area network (VLAN) association | |
US11374857B2 (en) | Network device management method and apparatus, and system for indicating a network device to perform management operation | |
JP3845086B2 (ja) | 制御されたマルチキャストのシステム及び実行方法 | |
US6907470B2 (en) | Communication apparatus for routing or discarding a packet sent from a user terminal | |
EP2955874A2 (en) | Link discovery method and device | |
CN105915550B (zh) | 一种基于SDN的Portal/Radius认证方法 | |
CN106789527B (zh) | 一种专线网络接入的方法及系统 | |
US11258794B2 (en) | Device category based authentication | |
EP3817285B1 (en) | Method and device for monitoring forwarding table entry | |
EP2981130A1 (en) | Communication managing method and communication system | |
CN107078946A (zh) | 业务流处理策略的处理方法、装置和系统 | |
CN108966363B (zh) | 一种连接建立方法及装置 | |
CN101188510A (zh) | 地址集中控制的方法、设备及系统 | |
US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
CN109495431B (zh) | 接入控制方法、装置和系统、以及交换机 | |
CN112751947B (zh) | 通信系统及方法 | |
US20230156477A1 (en) | Methods and systems for allowing device to send and receive data | |
CN112134775B (zh) | 一种交换机环路检测方法和装置 | |
CN108712398B (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
CN115051970B (zh) | 一种控制用户上线的方法、装置、转发面网元及介质 | |
CN112751701A (zh) | 批量发现网络地址转换装置后面的装置 | |
US20220255932A1 (en) | Methods and systems for allowing device to send and receive data | |
CN108667832B (zh) | 基于配置信息的认证方法、服务器、交换机和存储介质 | |
CN113556337A (zh) | 终端地址识别方法、网络系统、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |