CN1486025A - PPPoE二层透传端口用户名绑定检查的方法 - Google Patents
PPPoE二层透传端口用户名绑定检查的方法 Download PDFInfo
- Publication number
- CN1486025A CN1486025A CNA031538169A CN03153816A CN1486025A CN 1486025 A CN1486025 A CN 1486025A CN A031538169 A CNA031538169 A CN A031538169A CN 03153816 A CN03153816 A CN 03153816A CN 1486025 A CN1486025 A CN 1486025A
- Authority
- CN
- China
- Prior art keywords
- pppoe
- stream
- authentication
- user name
- cpu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种PPPoE二层透传端口用户名绑定检查的方法。利用三层交换芯片具有的流分类功能,按照PPP协议会话阶段携带认证用户账号认证数据包区别于其它PPPoE数据包的特征字段,从PPPoE数据包中过滤出包含认证用户名的认证报文送到CPU,由CPU进行端口号用户名绑定检查并作后续处理。在接入交换机配置PPPoE二层透传模式下实现了用户名端口号绑定检查。可以降低运营商采购成本,防止用户账号被盗用,增强宽带网络安全性。可广泛应用于网络通信领域。
Description
技术领域:
本发明属于接入交换机对宽带用户账号进行有效管理的的相关领域,尤其涉及一种PPPoE(Pointer To Pointer Protocol Over Ehternet,以太网上的点到点协议)二层透传端口用户名绑定检查的方法。
背景技术:
目前,宽带接入交换机给用户提供宽带上网功能获得大规模商业应用,在很多运营网络上对用户上网的控制方式是采用PPP(点到点协议)认证来验证用户账号合法性和计费功能。
PPP认证可以直接由接入交换机内嵌的BAS(宽带认证服务器)在本地提供认证服务,也可以通过将PPPoE数据包透传到远程BAS服务器方式认证。宽带用户上网需要在PPP认证客户端输入用户名和密码,客户端和服务器通信协商认证模式和认证参数,在服务器上检查此用户账号是否合法,如果合法则认证通过,用户可以上网,否则认证失败,接入交换机拒绝该用户上网。
这种认证方式由宽带认证服务器对用户账号的合法性进行检查,认证服务器不需要知道一个合法用户的认证报文从接入交换机的哪个端口进来,也就是说,只要用户账号合法,不管是从接入交换机的哪一个端口进行的认证,该账号的用户主机被认证服务器允许上网并启动计费。这样在接入交换机上配置在指定端口上的用户账号也可以从别的端口进行认证上网,从而可能造成合法用户账号在别的端口上被非法盗用问题,合法用户账号在认证服务器上的计费时间额外增加,用户权益受到侵犯。
要提高网络系统安全性,防止这种用户账号被盗用现象,可以在接入交换机上进行端口用户名绑定来实现。在PPP认证过程中检查用户名与当前端口的绑定关系,符合绑定规则则认证成功,否则失败。
含有用户名的数据包在PPP协商的授权阶段由认证客户端向认证服务器发出。如果组网方式为在本地由接入交换机提供PPP认证服务,则PPP认证过程所有的数据包都送到接入交换机的CPU处理,CPU从包含用户名的认证数据包中取出用户名,验证用户账号的合法性,同时进行端口号用户名绑定检查,达到控制用户账号合法使用目的;如果组网方式为本地接入交换机配置PPPoE二层透传到BAS上进行认证,那么PPPoE数据包不经过接入交换机的CPU处理,直接被转发出去,此时无法实现对用户名端口号绑定检查。
发明内容:
本发明的目的在于提供一种在接入交换机配置PPPoE二层透传模式下实现用户名端口号绑定检查的方法。
本发明的PPPoE二层透传模式下实现用户名端口号绑定检查的方法,其步骤包括:
1、根据数据报文的Ethertype、PPP Protocol(PPP协议)和Code(标识)三个特征字段设置接入交换机芯片的流选择表和流表项;
2、接入交换机的端口接收到PPPoE数据包以后,根据目的MAC(BAS服务器MAC地址)或芯片提供的数据包进流表功能,使所有的PPPoE数据包进入流表;
3、进入流表的PPPoE数据包按照流选择表的设置取出特征字段并计算Hash值(哈希值,由选定的字段根据在芯片中设定好的哈希算法计算得出,作为流表中流表项的索引值),然后和Hash值指向的流表项匹配,包含认证用户账号的PAP Authentication报文(密码认证协议认证报文)或CHAP Response报文(挑战性握手认证协议响应报文)(PPP支持两种认证授权协议:PAP(Password Authentication Protocol密码认证协议)和CHAP(Challenge HandAuthentication Protocol挑战性握手认证协议)被匹配,并送到CPU处理;
4、CPU解析上述PAP Authentication或CHAP Response报文,从中取出认证用户名,并根据数据包中的源MAC地址获取对应端口号;
5、根据设定的检查规则进行用户名端口绑定检查;如果检查通过,CPU转发该认证报文到宽带认证服务器认证;不通过则丢弃,认证服务器收不到该报文,认证最终失败。
系统配置PPPoE二层透传模式,实质就是配置接入交换机所有的PPP认证用户端口和宽带认证服务器连接的上行端口在同一个二层VLAN内,从端口进来的PPPoE数据包根据交换芯片的MAC表查找以太帧的目的MAC后转发出去实现透传。
由于是二层VLAN,数据包不会被转发到CPU处理,而要在接入交换机上实现端口号和用户账号绑定检查,必须让包含用户名的PAP Authentication报文或CHAP Response报文送到CPU,这也是本发明实现的关键之处。
本发明实现的基本原理是利用三层交换芯片具有的流分类功能,按照PPP协议会话阶段(PPP Session阶段)携带认证用户账号认证数据包区别于其它PPPoE数据包的特征字段,从PPPoE数据包中过滤出包含认证用户名的认证报文送到CPU,由CPU进行端口号用户名绑定检查并作后续处理。
实现PPPoE二层透传模式下对用户名端口号绑定检查,可以生产厂家和运营商都带来很多好处,有很大意义:
1、接入交换机硬件结构采用二层交换+三层上行扩展板卡,降低生产成本,从而降低运营商采购成本,大规模应用效益显著。
2、在接入增加用户账号合法性检查,防止用户账号被盗用问题,增强宽带网络安全性。
附图说明:
通过PPPoE认证报文进行端口号用户名绑定检查流程图
具体实施方式:
本发明的接入交换机配置PPPoE二层透传模式,用户PPP认证客户端到宽带认证服务器(BAS)上进行PPP认证时,检查端口用户名绑定的合法性。
本发明首先配置流选择表和流表项。PPP的PAP和CHAP包传递认证参数和用户账号,是PPP Session阶段的数据包,分别有不同的PPP协议号,在协议号后面有Code标识字段,Code标识在每个阶段不同的包有不同的含义,含有认证用户账号的PAP Autentication和CHAP Response报文分别有对应的Code值。因此从一个数据报中选取三个特征字段:Ethertype、PPP Protocol和Code,根据这三个特征字段设置流选择表和流表项,就可以从PPPoE数据包中取出携带认证用户账号的认证报文。
目前PPP认证支持PAP和CHAP两种认证方式,在流表中需要过滤出来送到CPU处理的认证报文的三个关键匹配特征字段分别如下:
PAP:
Ethernet Type:PPP Session Stage
PPP protocol: PAP
PPP Code: Authentication packet
CHAP:
Ethernet Type:PPP Session Stage
PPP protocol: CHAP
PPP Code: Response Packet
然后PPPoE数据包从端口接收到以后,根据目的MAC(BAS服务器MAC地址)或芯片提供的数据包进流表功能,让所有的PPPoE数据包进入流表;
接着进入流表的PPPoE数据包按照流选择表的设置取出特征字段并计算Hash值,然后和Hash值指向的流表项匹配,包含认证用户账号的PAPAuthentication或CHAP Response报文被匹配并送到CPU处理;
然后CPU解析PAP Authentication或CHAP Response报文,从中取出认证用户名,并根据源MAC地址获取对应端口号;
最后,根据调用端口号用户名绑定检查程序,设定的检查规则进行用户名端口绑定检查;如果检查通过,CPU转发该认证报文到宽带认证服务器认证;不通过则丢弃,认证服务器收不到该报文,认证最终失败。将PPPoE数据包进流表。
以下是一具体实施例:
按照本发明的技术方案,以一支持PPPoE二层透传功能的接入交换机为例,该交换机提供用作用户PPP认证接入交换机,上行端口连接宽带认证服务器BAS。
假定该交换机端口2:1接用户端口,认证用户名是test,上行端口0:2接认证服务器。配置用户端口2:1和上行端口0:2在同一个二层VLAN内。不配置绑定检查时,该交换机的交换芯片直接根据二层MAC表和VLAN表转发PPP认证客户端和认证服务器发出的PPPoE数据包。
通过该交换机的命令行输入命令启用PPPoE二层透传端口号用户名绑定检查功能,启用该命令后完成两个操作:
1、初始化交换芯片的流选择表和流表项。
从数据包起始位置处计算Ethertype、PPP protocol和PPP code三个特征字段的偏移位置。流选择表和流表项依据这三个字段设置。
PAP:
Ethernet Type:0x8864
PPP protocol: 0xC023
PPP Code: 0x1
CHAP:
Ethernet Type:0x8864
PPP protocol: 0xC223
PPP Code: 0x2
2、配置交换芯片端口发送所有进入的PPPoE数据包到流分类单元处理。
通过命令配置端口2:1绑定用户名test。
用户主机上PPP认证客户端发出的PPPoE数据包从端口2:1上来,该交换机的交换芯片对该PPPoE数据包不再是直接在二层转发,而是送到流分类单元做进一步处理:按照流选择表选择特征字段,计算Hash值,匹配具有特征字段的流表项,PAP Authentication和CHAP Response包匹配送到CPU处理,不匹配则转发出去。
CPU收包流程发现已经启用绑定检查功能,则进入绑定检查流程,在该流程中获取用户账号test和端口号2:1,调用绑定检查函数按照既定的绑定规则进行检查,发现用户账号test和端口号2:1符合绑定规则,则根据目的MAC转发到端口0:2,到认证服务器进一步验证;否则不通过,丢弃认证报文,认证失败。
通过命令配置端口2:1绑定用户名ppp或用户名test绑定到端口2:2等不符合端口用户名绑定规则情况,2:1端口用户PPPoE二层透传认证失败。
通过命令停止使用该绑定检查功能,设置PPPoE数据包不转发到流分类单元即可。
这样在该交换机上就实现了PPPoE二层透传用户名绑定检查功能。
Claims (4)
1、PPPoE二层透传模式下实现用户名端口号绑定检查的方法,其步骤包括:
1)根据数据报文的三个特征字段Ethertype、PPP Protocol、Code设置接入交换机芯片的流表;
2)接入交换机芯片端口接收到的所有PPPoE数据包进入流表;
3)按照流表的设置在进入流表的PPPoE数据包中找出匹配的数据报文,送到CPU处理;
4)CPU解析匹配的数据报文,从中取出认证用户名,并根据源MAC地址获取对应端口号;
5)CPU根据预定的检查规则进行用户名端口绑定检查;如果检查通过,CPU转发该认证报文到宽带认证服务器认证;不通过则丢弃,认证服务器收不到该报文,认证最终失败。
2、如权利要求1所述的PPPoE二层透传模式下实现用户名端口号绑定检查的方法,其特征在于所述设置流表包括设置流选择表和流表项。
3、如权利要求2所述的PPPoE二层透传模式下实现用户名端口号绑定检查的方法,其特征在于进入流表的PPPoE数据包按照流选择表的设置取出特征字段并计算Hash值,然后和Hash值指向的流表项匹配,包含认证用户账号的密码认证协议认证报文或挑战性握手认证协议响应报文被匹配并送到CPU处理。
4、如权利要求1所述的PPPoE二层透传模式下实现用户名端口号绑定检查的方法,其特征在于接入交换机端口接收到的PPPoE数据包根据目的MAC地址或芯片提供的数据包进流表功能进入流表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA031538169A CN1486025A (zh) | 2003-08-22 | 2003-08-22 | PPPoE二层透传端口用户名绑定检查的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA031538169A CN1486025A (zh) | 2003-08-22 | 2003-08-22 | PPPoE二层透传端口用户名绑定检查的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1486025A true CN1486025A (zh) | 2004-03-31 |
Family
ID=34156760
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA031538169A Pending CN1486025A (zh) | 2003-08-22 | 2003-08-22 | PPPoE二层透传端口用户名绑定检查的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1486025A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100372331C (zh) * | 2005-12-12 | 2008-02-27 | 华为技术有限公司 | 一种过滤数据的方法及系统 |
| CN100465927C (zh) * | 2005-11-02 | 2009-03-04 | 盛科网络有限公司 | 实现cpu数据传输的网络交换系统及cpu数据传输的方法 |
| CN101014026B (zh) * | 2006-12-18 | 2010-05-19 | 联创科技(南京)有限公司 | 动态自适应Radius系统通用软网关的实现方法 |
| CN1780294B (zh) * | 2004-11-26 | 2010-07-07 | 中兴通讯股份有限公司 | 基于以太网上的点到点协议实现虚拟专网的方法 |
| CN102055762A (zh) * | 2010-12-03 | 2011-05-11 | 中国联合网络通信集团有限公司 | 宽带网络接入方法和系统、dslam及bras |
| CN1988500B (zh) * | 2005-12-19 | 2011-05-11 | 北京三星通信技术研究有限公司 | 分布式带宽管理方法 |
| WO2011063562A1 (zh) * | 2009-11-26 | 2011-06-03 | 华为技术有限公司 | 用户拨号认证方法、系统和设备 |
| CN101702687B (zh) * | 2009-11-27 | 2011-12-14 | 北京傲天动联技术有限公司 | 利用具有交换机架构的装置作为宽带接入服务器的方法 |
| CN101355483B (zh) * | 2008-08-27 | 2012-02-22 | 成都市华为赛门铁克科技有限公司 | 一种多网口发送数据包的方法和设备 |
| CN104125191A (zh) * | 2013-04-23 | 2014-10-29 | 华为技术有限公司 | 基于以太网的点对点协议的处理方法、设备和系统 |
| CN102647406B (zh) * | 2004-10-12 | 2015-04-01 | 瞻博网络公司 | 用于高度可实现性应用的智能集成网络安全设备 |
| CN105391634A (zh) * | 2015-12-08 | 2016-03-09 | 福建星网锐捷网络有限公司 | 一种报文处理方法、装置及交换机 |
| CN107689881A (zh) * | 2016-08-04 | 2018-02-13 | 新华三技术有限公司 | 报文处理方法以及装置 |
| CN112511527A (zh) * | 2020-11-26 | 2021-03-16 | 杭州迪普科技股份有限公司 | 报文传输方法及装置 |
-
2003
- 2003-08-22 CN CNA031538169A patent/CN1486025A/zh active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102647406B (zh) * | 2004-10-12 | 2015-04-01 | 瞻博网络公司 | 用于高度可实现性应用的智能集成网络安全设备 |
| CN1780294B (zh) * | 2004-11-26 | 2010-07-07 | 中兴通讯股份有限公司 | 基于以太网上的点到点协议实现虚拟专网的方法 |
| CN100465927C (zh) * | 2005-11-02 | 2009-03-04 | 盛科网络有限公司 | 实现cpu数据传输的网络交换系统及cpu数据传输的方法 |
| CN100372331C (zh) * | 2005-12-12 | 2008-02-27 | 华为技术有限公司 | 一种过滤数据的方法及系统 |
| CN1988500B (zh) * | 2005-12-19 | 2011-05-11 | 北京三星通信技术研究有限公司 | 分布式带宽管理方法 |
| CN101014026B (zh) * | 2006-12-18 | 2010-05-19 | 联创科技(南京)有限公司 | 动态自适应Radius系统通用软网关的实现方法 |
| CN101355483B (zh) * | 2008-08-27 | 2012-02-22 | 成都市华为赛门铁克科技有限公司 | 一种多网口发送数据包的方法和设备 |
| CN102257790B (zh) * | 2009-11-26 | 2014-12-10 | 华为技术有限公司 | 用户拨号认证方法、系统和设备 |
| WO2011063562A1 (zh) * | 2009-11-26 | 2011-06-03 | 华为技术有限公司 | 用户拨号认证方法、系统和设备 |
| CN101702687B (zh) * | 2009-11-27 | 2011-12-14 | 北京傲天动联技术有限公司 | 利用具有交换机架构的装置作为宽带接入服务器的方法 |
| CN102055762A (zh) * | 2010-12-03 | 2011-05-11 | 中国联合网络通信集团有限公司 | 宽带网络接入方法和系统、dslam及bras |
| CN104125191A (zh) * | 2013-04-23 | 2014-10-29 | 华为技术有限公司 | 基于以太网的点对点协议的处理方法、设备和系统 |
| CN104125191B (zh) * | 2013-04-23 | 2017-09-26 | 华为技术有限公司 | 基于以太网的点对点协议的处理方法、设备和系统 |
| CN105391634A (zh) * | 2015-12-08 | 2016-03-09 | 福建星网锐捷网络有限公司 | 一种报文处理方法、装置及交换机 |
| CN105391634B (zh) * | 2015-12-08 | 2018-11-09 | 福建星网锐捷网络有限公司 | 一种报文处理方法、装置及交换机 |
| CN107689881A (zh) * | 2016-08-04 | 2018-02-13 | 新华三技术有限公司 | 报文处理方法以及装置 |
| CN112511527A (zh) * | 2020-11-26 | 2021-03-16 | 杭州迪普科技股份有限公司 | 报文传输方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| CN1486025A (zh) | PPPoE二层透传端口用户名绑定检查的方法 | |
| CN101557406B (zh) | 一种用户终端的认证方法、装置及系统 | |
| CN101518023B (zh) | 用于对同一端口的语音和数字设备进行认证的设备和方法 | |
| CN1266891C (zh) | 无线局域网中用户接入授权的方法 | |
| CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| CN101110847B (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
| CN1929483A (zh) | IPv6接入网真实源地址访问的准入控制方法 | |
| CN1252961C (zh) | 一种对组播业务进行认证的方法 | |
| WO2012075873A1 (zh) | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 | |
| JP2004180316A (ja) | 802.1xプロトコルベースマルチキャスト制御方法 | |
| CN1471259A (zh) | 用户认证系统和用户认证方法 | |
| CN1889577A (zh) | 一种基于dhcp扩展属性的ip地址分配方法 | |
| CN1937499A (zh) | 基于域名的统一身份标识和认证方法 | |
| CN1523811A (zh) | 用户连接因特网时认证网络访问的用户的方法和系统 | |
| CN101068183A (zh) | 网络准入控制方法及网络准入控制系统 | |
| CN1665189A (zh) | 授权接入数据通信网络的方法和相关设备 | |
| CN101888389A (zh) | 一种实现icp联盟统一认证的方法和系统 | |
| CN101330494A (zh) | 一种基于可信认证网关实现计算机终端安全准入的方法 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| WO2008034355A1 (fr) | Procédé, dispositif et système d'authentification de service réseau | |
| CN1725687A (zh) | 一种安全认证方法 | |
| CN101554016B (zh) | 在菊链连接设备中支持802.1x的装置和方法 | |
| CN101656760A (zh) | 一种地址分配方法和一种接入控制设备 | |
| CN1176540C (zh) | 以太网接入设备中实现多种用户类型混合接入的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |