CN1315293C - 分布式网络接入设备中握手机制的实现方法 - Google Patents
分布式网络接入设备中握手机制的实现方法 Download PDFInfo
- Publication number
- CN1315293C CN1315293C CNB021546118A CN02154611A CN1315293C CN 1315293 C CN1315293 C CN 1315293C CN B021546118 A CNB021546118 A CN B021546118A CN 02154611 A CN02154611 A CN 02154611A CN 1315293 C CN1315293 C CN 1315293C
- Authority
- CN
- China
- Prior art keywords
- interface board
- handshake
- message
- master control
- control borad
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种分布式网络接入设备中握手机制的实现方法。该方法为:分布式网络接入设备(如分布式以太网交换机)将需要发送给通过认证后的客户端的握手请求报文,越过板间通信的IPC(Inter-ProcessCommunication,进程间通讯)通道及接口板CPU(中央处理器),依次通过主控板转发模块和接口板转发模块直接转发;同时接收客户端返回的握手响应报文。本发明缓解了板间通信的压力,节省了IPC通道带宽资源,提高了整个系统的性能。同时,本发明还可以减轻接口板CPU的负荷,明显地提高其效率,以及整个网络通信系统稳定性。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种基于802.1X协议的分布式网络接入设备握手机制的实现方法。
背景技术
IEEE 802LAN(电气和电子工程师协会关于局域网的802号)协议定义的局域网不提供接入认证,只要用户能接入局域网控制交换机,如LanSwitch(局域网交换机),用户便可以访问局域网中的资源;但是对于如电信接入、写字楼局域网以及移动办公等应用,交换机提供者希望能对用户的接入进行控制;为此产生了IEEE 802.1X协议,简称802.1X协议,该协议是2001年6月IEEE标准化组织正式通过的基于端口的网络访问控制协议。
基于端口的网络接入控制是在网络交换机(即网络接入设备)的物理接入级对接入客户端进行认证和控制,所述的物理接入级指的是以太网交换或宽带接入交换机的端口;连接于端口上的用户如果能通过认证,就可以访问网络内的资源;如果不能通过认证,则无法访问网络内的资源。
目前,在有线宽带接入环境中,分布式以太网交换机的802.1X认证系统中主控板负责802.1X协议处理,接口板CPU(中央处理器)负责EAPOL(基于局域网的EAP)报文的接收、发送,以太网交换机端(Authenticator)采用“EAP-Request/Identity”报文作为握手请求报文,客户端(Supplicant)采用“EAP-Response/Identity‘作为握手应答报文。因此,在分布式以太网交换机中携带有端口号的EAPOL认证报文1和握手报文2(即握手请求报文)需要发送时,首先通过板间通信的IPC(Inter-Process Communication,进程间通讯)通道送到接口板CPU,由接口板CPU根据报文中的端口号通过接口板交换芯片将报文转发,EAPOL认证报文1和握手报文2(即握手响应报文)的接收过程为由接口板交换芯片接收报文,并通过接口板CPU为报文增加端口号信息后通过板间通信的IPC通道发送给主控板CPU进行处理,如图1所示,对于业务报文3则直接通过主控板交换芯片和接口板交换芯片接收/发送。
在网络通信中握手报文作为计费维持及用户是否异常断线的依据,必须准确维持,以提供精确的用户是否在线信息和计费信息,对于网络通信系统通常需要15s~20s进行一次握手,且分布式以太网交换机通常需要支持的在线用户数量为4K~80K个,由此可以看出,网络通信系统中握手报文的数目十分巨大,如果所有的EAPOL握手报文的交换均通过主控板和接口板的CPU及板间通信的IPC通道分别处理后进行转发,则频繁的握手报文将大大加重网络通信系统的负荷,尤其是分布式以太网交换机的接口板CPU性能不足及IPC通道带宽有限的情况下,将严重影响整个网络通信系统的工作效率。
发明内容
本发明的目的是提供一种分布式网络接入设备中握手机制的实现方法,从而避免频繁的握手报文加重网络接入设备的负担,以提高网络接设备的工作效率。
本发明的目的是这样实现的:一种分布式网络接入设备中握手机制的实现方法,分布式网络设备包括主控板和接口板,所述方法包括:
A、主控板CPU组建包含虚拟局域网标志的握手报文;
B、主控板将组建的握手报文发送给接口板;所述步骤B进一步包括:
B1、主控板CPU将组建的握手报文发送给主控板交换芯片;
B2、主控板交换芯片将所述握手报文越过板间通信的进程间通讯通道,直接发送给接口板交换芯片;
C、接口板直接转发握手报文至客户端;
D、网络设备接收客户端返回的握手响应报文。
所述步骤D包括:
D1、接口板交换芯片接收握手响应报文,并发送给接口板CPU;
D2、接口板CPU将握手响应报文增加端口号信息后,通过板间通信的IPC(进程间通信)通道发送给主控板CPU。
由上述技术方案可以看出,本发明对于认证通过后的握手报文采用直接由分布式网络接入设备的主控板进行发送的方式,缓解了板间通信的压力,板间通信采用IPC通道,带宽有限,而所有的协议报文都需要通过IPC通道送到主控板进行处理,本发明节省了IPC通道带宽资源,提高了整个网络通信系统的性能。同时,由于通过认证后所发送的握手报文不再通过接口板CPU及接口板交换芯片转发,而是作为一般业务报文通过VLAN(虚拟局域网)发送,即通过主控板交换芯片及接口板交换芯片直接转发,因此本发明还可以减轻接口板CPU的负荷,这样,对于有限的接口板CPU资源来说,本发明将明显地提高其效率,以及整个网络通信系统稳定性。另外,本发明的实现完全符合IEEE 802.1X标准和国家接入标准,具有较好的兼容性,不影响客户端现有软件的正常使用。
附图说明
图1为现有技术中分布式网络接入设备的认证和握手过程示意图;
图2为本发明中分布式网络接入设备的认证和握手过程示意图;
图3为本发明所述的方法的工作流程图。
具体实施方式
802.1X协议作为基于端口的接入认证协议,所有的处理均为基于端口操作的,在分布式网络接入设备中,协议的处理是在主控板完成,但协议报文的接收和发送均由接口板完成,即对于接收的报文由接口板CPU将端口信息增加到报文中再发送给主控板CPU进行处理,对于需要发送的报文由接口板CPU根据报文的端口号将其通过接口板交换芯片转发。
由于通过802.1X认证后用户PC(个人计算机)的MAC地址已存在所属VLAN中,从而使握手报文绕过接口板CPU,通过VLAN发送成为可能,VLAN发送是主控板和接口板的交换芯片直接转发,不需要经过接口板CPU处理,在大批量用户情况下缓解了板间通信的IPC通道的压力,同时还减少了接口板CPU负荷,大大地提高了网络通信系统效率。
如图2所示,由于握手报文的发送可以不根据端口号进行发送,因此,可以将握手请求报文5当作一般业务报文3通过VLAN(虚拟局域网)发送,即在组建报文时将握手请求报文5中增加VLAN Tag(虚拟局域网标志),然后由接口板的交换芯片直接转发,而不再通过接口板CPU对其进行转发处理,对于握手响应报文4的接收过程则与现有技术相同,不作任何修改。
本发明所述的分布式网络接入设备中握手机制的实现方法的具体实施方式参见图3,以分布式网络接入设备以太网交换机为例,对本发明作进一步阐述:
步骤31:以太网交换机的主控板CPU组建EAPOL握手请求报文5,报文中承载着VLAN Tag;
步骤32:主控板CPU将组建好的握手请求报文5发送给主控板交换芯片;主控板交换芯片可以直接与接口板交换芯片进行通信,实现报文的交互;
步骤33:主控板交换芯片将握手请求报文5越过板间通信的IPC通道直接发送给接口板交换芯片,接口板交换芯片负责报文的转发工作;
步骤34:接口板交换芯片直接将握手请求报文5转发出去;
步骤35:以太网交换机接收握手请求报文的响应报文,接收过程与现有技术相同。
至此,本发明在分布式网络接入设备(即以太网交换机)中实现了握手机制;而且本发明将握手报文的发送绕过了板间通信的IPC通道和接口板CPU,提高了网络通信系统的处理效率。
对于认证过程,则由于用户的MAC地址在以太网交换机上不存在,所以不能通过VLAN转发,当认证通过后用户的MAC地址已指派给相应的VLAN,supplicant对象不需要关系端口号,所以可以不通过接口板CPU处理。主控板和接口板交换芯片间的通信可以线速转发,效率非常高,所以可以节省一半的握手报文处理开销。
Claims (2)
1、一种分布式网络接入设备中握手机制的实现方法,分布式网络设备包括主控板和接口板,其特征在于,所述方法包括:
A、主控板CPU组建包含虚拟局域网标志的握手报文;
B、主控板将组建的握手报文发送给接口板,所述步骤B进一步包括;
B1、主控板CPU将组建的握手报文发送给主控板交换芯片;
B2、主控板交换芯片将所述握手报文越过板间通信的进程间通讯通道,直接发送给接口板交换芯片;
C、接口板直接转发握手报文至客户端;
D、网络设备接收客户端返回的握手响应报文。
2、如权利要求1所述的分布式网络接入设备中握手机制的实现方法,其特征在于,所述步骤D包括:
D1、接口板交换芯片接收握手响应报文,并发送给接口板CPU;
D2、接口板CPU将握手响应报文增加端口号信息后,通过板间通信的进程间通信IPC通道发送给主控板CPU。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021546118A CN1315293C (zh) | 2002-11-26 | 2002-11-26 | 分布式网络接入设备中握手机制的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021546118A CN1315293C (zh) | 2002-11-26 | 2002-11-26 | 分布式网络接入设备中握手机制的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1503520A CN1503520A (zh) | 2004-06-09 |
| CN1315293C true CN1315293C (zh) | 2007-05-09 |
Family
ID=34235529
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021546118A Expired - Lifetime CN1315293C (zh) | 2002-11-26 | 2002-11-26 | 分布式网络接入设备中握手机制的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1315293C (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159583B (zh) * | 2007-08-28 | 2010-07-14 | 华为技术有限公司 | 一种板间通信方法、系统及装置 |
| WO2010020151A1 (zh) | 2008-08-18 | 2010-02-25 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、装置和系统 |
| CN101350759B (zh) * | 2008-08-18 | 2011-04-13 | 成都市华为赛门铁克科技有限公司 | 一种报文处理方法、业务板、接口板及网络通信设备 |
| CN101860439A (zh) * | 2010-04-16 | 2010-10-13 | 中兴通讯股份有限公司 | 接口板、通信设备以及配置接口板的方法 |
| CN105553971B (zh) * | 2015-12-11 | 2019-06-14 | 福建星网锐捷网络有限公司 | 一种处理认证报文方法、装置及系统 |
| CN110417687B (zh) * | 2019-07-23 | 2021-07-23 | 杭州迪普信息技术有限公司 | 一种报文发送与接收方法及装置 |
| CN110891031B (zh) * | 2019-11-29 | 2021-01-01 | 新华三半导体技术有限公司 | 同步信息并行写入方法及网络设备 |
| CN113507431B (zh) * | 2021-05-17 | 2024-02-09 | 新华三信息安全技术有限公司 | 一种报文管理方法、装置、设备及机器可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1168763A2 (en) * | 2000-06-30 | 2002-01-02 | Microsoft Corporation | Systems and methods for delegated digest access authorization |
| JP2002094512A (ja) * | 2000-09-14 | 2002-03-29 | Toshiba Corp | 障害検出方法およびインタフェースユニットおよびセル交換ユニット |
| CN1350237A (zh) * | 2000-10-20 | 2002-05-22 | 民生科技股份有限公司 | 电脑通信网络及其中的以太网络交换器 |
| CN1356806A (zh) * | 2001-12-31 | 2002-07-03 | 刘军民 | 实现局域网虚通道传送的数据转发方法 |
-
2002
- 2002-11-26 CN CNB021546118A patent/CN1315293C/zh not_active Expired - Lifetime
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1168763A2 (en) * | 2000-06-30 | 2002-01-02 | Microsoft Corporation | Systems and methods for delegated digest access authorization |
| JP2002094512A (ja) * | 2000-09-14 | 2002-03-29 | Toshiba Corp | 障害検出方法およびインタフェースユニットおよびセル交換ユニット |
| CN1350237A (zh) * | 2000-10-20 | 2002-05-22 | 民生科技股份有限公司 | 电脑通信网络及其中的以太网络交换器 |
| CN1356806A (zh) * | 2001-12-31 | 2002-07-03 | 刘军民 | 实现局域网虚通道传送的数据转发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1503520A (zh) | 2004-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9473469B2 (en) | Method and system for establishing a communications pipe between a personal security device and a remote computer system | |
| US9438574B2 (en) | Client/server authentication over Fibre channel | |
| EP1655921A1 (en) | Apparatus and method for authenticating user for network access in communication system | |
| US7716730B1 (en) | Cryptographic offload using TNICs | |
| EP1501256A2 (en) | System and method for automatic negotiation of a security protocol | |
| EP1280300A3 (en) | Method of establishing a secure data connection | |
| US6883094B2 (en) | Communication device for monitoring datalink layer information and outputting data based on communication request information type | |
| CN1726483A (zh) | 通信系统中的认证 | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| CN1315293C (zh) | 分布式网络接入设备中握手机制的实现方法 | |
| US20020169967A1 (en) | Method and apparatus for multiple token access to thin client architecture session | |
| CN100352203C (zh) | 控制宽带网络用户接入网络的方法 | |
| CN113904856B (zh) | 认证方法、交换机和认证系统 | |
| CN109495431A (zh) | 接入控制方法、装置和系统、以及交换机 | |
| US7325065B1 (en) | Identifying unauthorized communication systems using a system-specific identifier | |
| US8676998B2 (en) | Reverse network authentication for nonstandard threat profiles | |
| CN1235382C (zh) | 一种基于802.1x协议的客户端认证方法 | |
| CN201657327U (zh) | 一种移动设备与安全接入网关间密钥交换协商系统 | |
| CN107770219A (zh) | 一种视窗窗口的共享方法、网关服务器和系统 | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| CN1223155C (zh) | 一种基于集群管理的802.1x通信实现方法 | |
| US8607058B2 (en) | Port access control in a shared link environment | |
| CN1688124A (zh) | 基于端口技术和认证协议的无线网络接入控制方法 | |
| CN1503518A (zh) | 基于802.1x协议的网络接入设备管理方法 | |
| CN1274124C (zh) | 一种802.1x认证的实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20070509 |