CN1225870C - 基于虚拟局域网的网络接入控制方法及装置 - Google Patents
基于虚拟局域网的网络接入控制方法及装置 Download PDFInfo
- Publication number
- CN1225870C CN1225870C CN02131783.6A CN02131783A CN1225870C CN 1225870 C CN1225870 C CN 1225870C CN 02131783 A CN02131783 A CN 02131783A CN 1225870 C CN1225870 C CN 1225870C
- Authority
- CN
- China
- Prior art keywords
- user
- access
- eap
- vlan
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于虚拟局域网的网络接入控制方法及装置。所述的方法为:在局域网的用户接入设备上对端口的接入权限进行配置,用户接入局域网时,用户接入设备查看用户接入所应用的端口的接入权限配置情况;根据用户接入的端口的接入权限配置情况,对该用户进行局域网的网络接入控制。所述的装置包括:用户接入设备、接入控制设备及接入认证服务器,用户通过用户接入设备接入网络,并通过接入控制设备及接入认证服务器进行网络接入认证。本发明便于对局域网接入用户进行管理,有效地控制未通过认证的用户访问局域网内的资源。同时可保护IP地址资源免遭非法用户的攻击。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种基于虚拟局域网的网络接入控制方法及装置。
背景技术
目前的以太网主要是IEEE802.3(电气与电子工程师学会802.3标准)定义的10Bast-T网络,即线速率为10Mbps的网络;常用的以太网技术主要是IEEE802.3定义的MAC(媒体接入控制)技术,使用CSMA/CD(具有检测功能的载波检测多址)媒体控制协议。基于CSMA/CD媒体控制协议的网络,由于冲突和重发现象的存在,导致以太网的实际流通量很难超过线速率2.5Mbps。而且,该有限的带宽还要由连接到同一个局域网上的所有客户共享的,对于每个客户机的可用带宽就更低了。
其中,现有的交换型局域网与传统的共享媒体的局域网相比,性能有了很大的提高。而且,随着局域网交换成本的迅速下降,为VLAN(虚拟局域网)的实现提供了基础。VLAN为路由器提供了一种可供选择的解决方案,VLAN中仍然需要路由器,仍然存在着广播流量。但是,将交换技术和虚拟局域网技术相结合后,虽然网段中的用户可以尽可能的少,甚至可以只有一个用户,而广播域则可以大到包含1000个以上的用户。
目前的局域网技术无法提供接入认证,通常只需要用户能接入局域网控制设备,如LanSwitch(以太网交换机),用户就可以访问局域网中的设备或资源。不能对接入用户进行控制,便很难保障局域网内用户的安全;而且,大量未经过认证的用户接入网络还将导致各用户的可用网络资源太少,无法保证用户正常使用网络。
例如,IEEE 802 LAN协议定义的局域网便不提供接入认证,只要用户连接到局域网中,就能通过DHCP(动态主机配置协议)服务器获得IP(互联网协议)地址。即使有很多接入用户并没有准备访问网络,也同样占用了IP地址资源,这样很容易造成IP地址池的枯竭,而且局域网也很容易遭受攻击导致IP地址池的枯竭,从而使用户无法正常使用网络。因此,对于如电信接入、写字楼LAN(局域网)以及移动办公等应用,设备提供者希望能对用户的接入进行控制和配置。
发明内容
本发明的目的是提供一种基于虚拟局域网的网络接入控制方法及装置,该方法可以有效地控制接入局域网的用户数量,并对其进行管理,同时可防止局域网遭受攻击。
本发明的目的是这样实现的:基于虚拟局域网的网络接入控制方法,包括:
a、在局域网的接入控制设备上对端口的接入权限进行配置;
b、用户接入局域网时,接入控制设备查看用户接入所应用的端口的接入权限配置情况;
c、根据用户接入的端口的接入权限配置情况,对该用户进行局域网的网络接入控制。
步骤c中所述的对该用户进行局域网的网络接入控制为:基于EAP(扩展认证协议)实现对该用户进行局域网的网络接入控制。
所述的端口为VLAN(虚拟局域网)中的逻辑端口。
所述的对端口的接入权限进行配置包括三种情况:
逻辑端口的强关控制:对用户的接入请求直接拒绝,即禁止该用户接入VLAN;
逻辑端口的强开控制:对用户的接入请求直接确认,即允许该用户接入VLAN;
逻辑端口的自动控制:对用户的接入请求进行EAP认证,根据认证的结果确定该用户是否可以接入VLAN。
所述的步骤b为:
b1、用户接入局域网,并向接入控制设备发送DHCP(动态主机配置协议)请求报文;
b2、接入控制设备查看用户接入所应用的端口的接入权限配置情况。
或者所述的步骤b为用户直接发起EAP认证过程,并根据认证的结果确定该用户是否可以接入VLAN。
所述的步骤c包括:
c1、接入控制设备判断用户接入的端口的接入权限是否为强关控制,如果是,则执行步骤c2,否则,执行步骤C3;
c2、接入控制设备直接向用户返回DHCP拒绝报文,即禁止该用户接入VLAN;
c3、建立表项,并判断用户接入的端口接入权限是否为强开控制,如果是,则执行步骤c4,否则,用户接入的端口的接入权限为自动控制,执行步骤c5;
c4、接入控制设备直接向用户返回DHCP确认报文,即允许该用户直接接入VLAN;
c5、启动该用户的EAP认证过程,并根据认证的结果确定用户是否可以接入VLAN。
所述的步骤c5包括:
c51、接入控制设备根据接收的EAPOL-Start报文,向用户发送EAP-Request/Identity(EAP认证的身份请求)报文;
c52、接入控制设备将接收的EAP-Response/Identity(EAP认证的身份响应)报文透传到接入认证服务器;
c53、接入控制设备透传接入认证服务器发送的EAP-Request/MD5Challenge(EAP认证的口令请求)报文给用户;
c54、接入控制设备将接收的EAP-Response/Password(EAP认证的口令响应)报文透传到接入认证服务器;
c55、接入控制设备根据接入认证服务器返回的认证结果报文判断用户是否通过EAP认证,如果通过,则允许该用户接入VLAN,否则禁止该用户接入VLAN。
所述的步骤c55包括:
c551、用户接入设备在设定的时间段内是否收到EAP认证结果报文,如果接收到,则执行步骤c552,否则,执行步骤c553;
c552、判断接收到的EAP认证结果报文是否为EAP-Success(EAP认证通过)报文,如果是,则用户通过EAP认证,否则,执行步骤c553;
c553、用户未通过EAP认证。
基于虚拟局域网的网络接入控制装置,包括:
用户接入设备:提供各种用户接入局域网的方式;
接入控制设备:提供用户接入设备接入局域网的端口,对用户接入设备进行认证和接入权限的控制;
接入控制服务器:保存着用户的EAP认证信息,用于配合接入控制设备判断用户的EAP认证是否可以通过。
所述的接入控制设备与用户接入设备通信的端口包括:
受控端口:用户通过EAP认证后打开的端口;
非受控端口:始终处于打开状态的端口,使用户接入设备可以发出或接受认证。
所述的接入控制设备为VLAN用户接入设备,所提供的用户接入局域网的端口为逻辑端口,即是基于VLAN控制网络接入。
由上述技术方案可以看出,本发明采用了通过EAP(扩展认证协议)实现基于端口的网络接入控制技术,还提供了基于VLAN中逻辑端口的网络接入控制技术。从而方便对局域网接入用户进行管理,有效地控制未通过认证的用户访问局域网内的资源。同时,本发明的实施使用户接入网络时,只有通过认证后才可以获得IP地址,保护了IP地址资源免遭非法用户的攻击。另外,基于VLAN的网络接入控制方法,扩展了IEEE 802.1x协议,加强了基于该协议的局域网对接入用户控制。
附图说明
图1为本发明所述的方法的流程图;
图2为本发明所述的装置的结构图;
图3为本发明所述的方法中的EAP认证过程流程图。
具体实施方式
本发明所述的方法的具体实施方式如下,参见图1:
步骤1:首先,需要在接入控制设备中对各个端口的接入权限进行配置,以实现接入端口不同的用户,其接入权限也各不相同;具体配置方法可以根据拥有该用户接入设备的网络运营商的运营需求,接入控制的端口可以是物理端口,也可以是逻辑端口,以VLAN的用户接入设备为例,采用VLAN标记接入用户的逻辑端口,通过对不同的逻辑端口的网络接入进行控制,以实现对不同VLAN用户的网络接入进行控制,用户接入设备可以将其各个逻辑端口分别设置为:
逻辑端口的强关控制:对用户接入时发出的DHCP(动态主机配置协议)请求报文直接返回拒绝报文,即禁止该用户接入VLAN;
逻辑端口的强开控制:对用户接入时发出的DHCP请求报文直接返回确认报文,即不经过EAP认证便允许该用户接入VLAN,并且此后的流程和传统的VLAN接入一样;对于由强开控制的逻辑端口接入的用户,可以应用传统的绑定认证和WEB认证方式对各用户进行区别;
逻辑端口的自动控制:对用户接入时发出的DHCP请求报文,需要进行EAP认证后,再根据认证的结果确定该用户是否可以接入VLAN,并回复用户相应的报文;
步骤2:当用户通过某一端口接入局域网时,接入控制设备查看该端口的接入权限配置情况;
当用户通过接入控制设备的某一逻辑端口接入VLAN时,则VLAN接入控制设备首先查看该逻辑端口的权限配置为强关控制,还是为强开控制,或者是自动控制;
步骤3:根据查看的结果对接入的用户实现接入控制;
对于由强关控制的逻辑端口接入的用户,禁止接入局域网;
对于由强开控制的逻辑端口接入的用户,直接允许接入局域网;
对于由自动控制的逻辑端口接入的用户,则需要通过EAP认证后,方可接入局域网。
基于端口的网络接入控制是在LAN(局域网)设备的端口对接入设备进行认证和控制。连接在该类端口上的用户设备如果能通过认证,就可以访问LAN内的资源;如果不能通过认证,则无法访问LAN内的资源,相当于物理上断开连接。
IEEE 802.1x定义了基于端口的网络接入控制协议,所以本发明所述的装置如图2所示,包括:Supplicant(用户接入设备)、Authenticator(接入控制设备)和Authentication Sever(认证服务器)。
Supplicant与Authenticator间运行IEEE 802.1x定义的EAPOL(基于局域网的扩展认证协议);Authenticator与Authentication Sever间同样运行EAP协议,EAP帧中封装了认证数据,将该协议承载在其他高层次协议中,如Radius,以便穿越复杂的网络到达Authentication Server,即EAP Relay(EAP中继)。
Authenticator内部包括受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证Supplicant始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和提供网络服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。
基于上述本发明所述的装置,对于接入VLAN的用户的EAP认证过程参见图2,即当用户接入VLAN所应用的逻辑端口的权限设置为自动控制时,将启动用户的EAP认证过程:
1、Supplicant向Authenticator发送EAPOL-Start(开始EAP认证)报文;
2、Supplicant根据接收Authenticator发来的EAP-Request/Identity(EAP认证的身份请求)报文,向Authentication Sever发送EAP-Response/Identity(EAP认证的身份响应)报文;
3、Supplicant根据接收的EAP-Request/MD5 Challenge(EAP认证的口令请求)报文,向Authentication Sever发送EAP-Response/Password(EAP认证的口令响应)报文;
4、Authenticator接收Authentication Sever发来的认证结果报文,判断用户是否通过EAP认证,如果通过,则允许该用户接入VLAN,否则,禁止该用户接入VLAN;
Authenticator判断用户是否通过EAP认证的过程为:判断Authenticator在设定的时间段内是否收到EAP认证结果报文,如果接收到,则继续判断接收到的EAP认证结果报文是否为EAP-Success(EAP认证通过)报文,如果是,则用户通过EAP认证,否则,用户未通过EAP认证。
当用户通过EAP认证成功后,发起DHCP请求申请IP地址,这样,用户便通过了EAP认证并成功接入VLAN。
用户的EAP认证过程也可以由接入控制设备首先发起,用户直接向接入控制设备发DHCP请求报文申请IP地址,接入控制设备对用户接入的逻辑端口配置进行检查,如果逻辑端口的接入权限为自动控制,则向用户发送EAP-Request/Identity报文进行EAP认证,相应的EAP认证的流程和上述2至4的过程相同。
Claims (6)
1、一种基于虚拟局域网的网络接入控制方法,其特征在于包括:
a、在局域网的接入控制设备上对端口的接入权限进行配置;
b、用户接入局域网时,接入控制设备查看用户接入所应用的端口的接入权限配置情况;
c、根据用户接入的端口的接入权限配置情况,对该用户进行局域网的网络接入控制,
所述用户接入的端口为虚拟局域网VLAN中的逻辑端口;
所述的对该用户进行局域网的网络接入控制为,基于扩展认证协议EAP实现对该用户进行局域网的网络接入控制;
所述的对端口的接入权限进行配置包括三种情况:
逻辑端口的强关控制:对用户的接入请求直接拒绝,即禁止该用户接入VLAN;
逻辑端口的强开控制:对用户的接入请求直接确认,即允许该用户接入虚拟局域网VLAN;
逻辑端口的自动控制:对用户的接入请求进行EAP认证,根据认证的结果确定该用户是否可以接入虚拟局域网VLAN。
2、根据权利要求1所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤b为:
b1、用户接入局域网,并向接入控制设备发送动态主机配置协议DHCP请求报文;
b2、接入控制设备查看用户接入所应用的端口的接入权限配置情况。
3、根据权利要求1所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤b为:
b3、用户接入局域网,并向接入控制设备发送开始EAP认证EAPOL-Start报文;
b4、接入控制设备查看用户接入所应用的端口的接入权限配置情况。
4、根据权利要求2所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤c包括:
c1、接入控制设备判断用户接入的端口的接入权限是否为强关控制,如果是,则执行步骤c2,否则,执行步骤C3;
c2、接入控制设备直接向用户返回动态主机配置协议DHCP拒绝报文,即禁止该用户接入VLAN;
c3、建立表项,并判断用户接入的端口接入权限是否为强开控制,如果是,则执行步骤c4,否则,用户接入的端口的接入权限为自动控制,执行步骤c5;
c4、接入控制设备直接向用户返回动态主机配置协议DHCP确认报文,即允许该用户直接接入VLAN;
c5、启动该用户的EAP认证过程,并根据认证的结果确定用户是否可以接入VLAN。
5、根据权利要求4所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤c5包括:
c51、接入控制设备根据接收的EAPOL-Start报文,向用户发送EAP认证的身份请求EAP-Request/Identity报文;
c52、接入控制设备将接收的EAP认证的身份响应EAP-Response/Identity报文透传到接入认证服务器;
c53、接入控制设备透传接入认证服务器发送的EAP认证的口令请求EAP-Request/MD5 Challenge报文给用户;
c54、接入控制设备将接收的EAP认证的口令响应EAP-Response/Password报文透传到接入认证服务器;
c55、接入控制设备根据接入认证服务器返回的认证结果报文判断用户是否通过EAP认证,如果通过,则执行步骤c56,否则,执行步骤c57;
c56、允许该用户接入VLAN;
c57、禁止该用户接入VLAN。
6、根据权利要求5所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤c55包括:
c551、用户接入设备在设定的时间段内是否收到EAP认证结果报文,如果接收到,则执行步骤c552,否则,执行步骤c553;
c552、判断接收到的EAP认证结果报文是否为EAP认证通过EAP-Success报文,如果是,则用户通过EAP认证,否则,执行步骤c553;
c553、用户未通过EAP认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02131783.6A CN1225870C (zh) | 2002-09-23 | 2002-09-23 | 基于虚拟局域网的网络接入控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02131783.6A CN1225870C (zh) | 2002-09-23 | 2002-09-23 | 基于虚拟局域网的网络接入控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1486032A CN1486032A (zh) | 2004-03-31 |
| CN1225870C true CN1225870C (zh) | 2005-11-02 |
Family
ID=34145034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN02131783.6A Expired - Lifetime CN1225870C (zh) | 2002-09-23 | 2002-09-23 | 基于虚拟局域网的网络接入控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1225870C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009074082A1 (fr) * | 2007-12-03 | 2009-06-18 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif de contrôle d'accès |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1984032B (zh) * | 2006-05-09 | 2010-06-02 | 华为技术有限公司 | 网络接入设备中控制用户接入的方法及其系统 |
| US7886339B2 (en) * | 2007-01-20 | 2011-02-08 | International Business Machines Corporation | Radius security origin check |
| CN101227374B (zh) * | 2007-12-21 | 2012-03-28 | 中国移动通信集团北京有限公司 | 一种实现即拍即传业务的方法、系统及装置 |
| TWI384825B (zh) | 2009-04-17 | 2013-02-01 | Ralink Technology Corp | 選擇存取點之方法與裝置 |
| CN102045307B (zh) * | 2009-10-10 | 2014-08-13 | 中兴通讯股份有限公司 | 一种网络设备管理的方法及相应的网络系统 |
| CN108366083B (zh) * | 2017-07-03 | 2021-02-26 | 新华三技术有限公司 | 防止用户网络访问中断的方法和装置 |
| CN109495431B (zh) | 2017-09-13 | 2021-04-20 | 华为技术有限公司 | 接入控制方法、装置和系统、以及交换机 |
| CN110191041B (zh) * | 2019-05-05 | 2021-03-23 | 杭州迪普科技股份有限公司 | 局域网的设备的管理方法和装置 |
-
2002
- 2002-09-23 CN CN02131783.6A patent/CN1225870C/zh not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009074082A1 (fr) * | 2007-12-03 | 2009-06-18 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif de contrôle d'accès |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1486032A (zh) | 2004-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2090063B1 (en) | Apparatus and methods for authenticating voice and data devices on the same port | |
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| CN1186906C (zh) | 无线局域网安全接入控制方法 | |
| US7568107B1 (en) | Method and system for auto discovery of authenticator for network login | |
| CN1845491A (zh) | 802.1x的接入认证方法 | |
| CN101136746A (zh) | 一种认证方法及系统 | |
| CN101068183A (zh) | 网络准入控制方法及网络准入控制系统 | |
| CN1925399A (zh) | 分布式认证功能性 | |
| CN1722661A (zh) | 认证系统、网络线路级联器、认证方法和认证程序 | |
| WO2010003354A1 (zh) | 认证服务器及虚拟专用网的移动通信终端接入控制方法 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| CN1142662C (zh) | 同时支持基于不同设备网络接入认证的方法 | |
| CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
| US7539189B2 (en) | Apparatus and methods for supporting 802.1X in daisy chained devices | |
| CN102185840A (zh) | 一种认证方法、设备及系统 | |
| WO2010000157A1 (zh) | 接入设备的配置方法、装置及系统 | |
| EP1244265A2 (en) | Integrated policy implementation service for communication network | |
| CN1527557A (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| KR100819942B1 (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
| CN1852222A (zh) | 无线接入宽带用户的管理方法及其装置 | |
| CN101516091A (zh) | 一种基于端口的无线局域网接入控制系统及方法 | |
| CN1266889C (zh) | 基于802.1x协议的网络接入设备管理方法 | |
| CN1658553A (zh) | 一种采用公开密钥密码算法加密模式的强鉴别方法 | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| CN102710422B (zh) | 一种避免认证阻塞的节点认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20051102 |