CN1558634A - IEEE 802.1x认证中基于用户的控制方法 - Google Patents

IEEE 802.1x认证中基于用户的控制方法 Download PDF

Info

Publication number
CN1558634A
CN1558634A CNA2004100008438A CN200410000843A CN1558634A CN 1558634 A CN1558634 A CN 1558634A CN A2004100008438 A CNA2004100008438 A CN A2004100008438A CN 200410000843 A CN200410000843 A CN 200410000843A CN 1558634 A CN1558634 A CN 1558634A
Authority
CN
China
Prior art keywords
port
user
authentication
ieee
control method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2004100008438A
Other languages
English (en)
Inventor
高旭东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Harbour Networks Holdings Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbour Networks Holdings Ltd filed Critical Harbour Networks Holdings Ltd
Priority to CNA2004100008438A priority Critical patent/CN1558634A/zh
Publication of CN1558634A publication Critical patent/CN1558634A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种IEEE 802.1x认证中基于用户的控制方法,属于计算机网络通信领域。该方法包括:当在某一端口使能802.1x认证功能后,对该端口进行相关的初始化,用户在此端口上认证通过后,在此端口上设置一个基于该用户的逻辑端口。在IEEE 802.1x认证中,针对同一物理端口上的不同用户,由于设置了基于用户的逻辑端口,某个用户认证通过后,逻辑端口仅向该用户开放,其业务报文可以正常通过该物理端口;对未能认证通过的用户,此物理端口对他们的业务报文仍然是关闭的,他们的业务报文会被丢弃。

Description

IEEE 802.1x认证中基于用户的控制方法
所属技术领域
本发明属于计算机网络通信领域,具体涉及在IEEE 802.1x认证中,实现基于用户分别开放逻辑端口的方法。
背景技术
IEEE 802.1x称为基于端口的访问控制协议(Port based network access controlprotocol),该协议在利用IEEE 802 LAN的优势基础上提供了对连接到局域网的设备或用户进行认证和授权的一种手段。
802.1x协议源于IEEE 802.11无线以太网,设计的初衷是为无线局域网提供点对点物理或逻辑端口的接入认证,因此,将其引入宽带以太网后,不可避免地存在着一定的局限性。最突出的一个问题就是802.1x认证技术的操作对象是端口,作为一种基于端口的网络接入控制技术,802.1x协议只关注LAN端口的开关,通过认证时,LAN端口打开,否则端口处于关闭状态。合法用户在该端口认证通过后,端口处于打开状态,此时其它用户通过该端口时,不需认证即可接入网络。这种方式应用于无线LAN接入认证并无不妥之处,因为在无线LAN中,认证之后建立起来的信道(端口)被独占,不存在被其它用户再次使用之虞。而相对于共享信道的以太网而言,这一特性却存在着很大的安全隐患,可能出现端口打开之后,其它用户无需认证就可自由接入、导致无法控制非法接入的问题。
因此,对IEEE 802.1x协议急需解决针对用户的控制能力问题。
发明内容
本发明克服上述IEEE 802.1x认证中未对用户进行控制的缺陷,提出了一种IEEE 802.1x认证中基于用户的控制方法,能够实现在同一物理端口上,基于认证用户开放相应的逻辑端口,避免了一个用户认证通过后,端口对任何用户都开放的安全隐患。
本发明的技术内容:一种IEEE 802.1x认证中基于用户的控制方法,包括:
(1)当在某一端口使能802.1x认证功能后,对该端口进行相关的初始化;
(2)用户在此端口上认证通过后,在此端口上设置一个基于该用户的逻辑端口。
在交换机的某个端口使能802.1x认证功能,进行如下初始化工作:
(1)清除此端口上的所有FDB表项;
(2)将此端口所接收的以太网类型为0x888e的认证报文送CPU处理;
(3)将此端口的源MAC地址学习功能设置为不学习、不转发、不送CPU处理,此时所有出现在此端口的业务报文在源MAC地址学习过程中会被丢弃。
某个用户认证通过后,在此端口上设置一条基于该用户MAC地址的静态FDB表项,即在此端口上设置一个基于该用户的逻辑端口。
本发明的技术效果:在IEEE 802.1x认证中,针对同一物理端口上的不同用户,由于设置了基于用户的逻辑端口,某个用户认证通过后,其逻辑端口仅向该用户开放,其业务报文可以正常通过该物理端口;对未能认证通过的用户,此物理端口对他们的业务报文仍然是关闭的,他们的业务报文会被丢弃。
具体实施方式
本发明IEEE 802.1x认证中基于用户的控制方法:
首先,在交换机的某个端口使能802.1x认证功能,进行如下初始化工作:
(1)清除此端口的FDB表项;
(2)将此端口所接收的以太网类型为0x888e的认证报文送CPU处理;
(3)将此端口的源MAC地址学习功能设置为不学习、不转发、不送CPU处理,此时所有出现在此端口的业务报文在源MAC地址学习过程中会被丢弃。
某个用户认证通过后,在此端口上设置一个基于该用户的逻辑端口,这个逻辑端口仅仅向该用户开放。具体实现方法是:在该端口上设置一条该用户MAC地址的静态FDB表项,该表项不会被老化掉,此后该用户的业务报文(以此MAC地址为源地址的报文)不需进行源MAC地址学习,因而不会在源MAC地址学习过程中被丢弃,其业务报文可以进行正常的二层、三层转发;
此时对其它未通过认证的用户而言,因为此端口的FDB表中尚未建立针对这些用户MAC地址的FDB表项,这些用户的业务报文进入交换机后,仍需进行源MAC地址学习而丢弃,这样就实现了此物理端口对非认证用户的关闭。

Claims (3)

1.一种IEEE 802.1x认证中基于用户的控制方法,其特征在于:
(1)当在某一端口使能802.1x认证功能后,对该端口进行相关的初始化;
(2)用户在此端口上认证通过后,在此端口上设置一个基于该用户的逻辑端口。
2.如权利要求1所述的IEEE 802.1x认证中基于用户的控制方法,其特征在于:所述步骤1包括:
(1)清除此端口上的所有FDB表项;
(2)设置将此端口所接收的以太网类型为0x888e的认证报文送CPU处理;
(3)将此端口的源MAC地址学习功能设置为不学习、不转发、不送CPU处理。
3.如权利要求2所述的IEEE 802.1x认证中基于用户的控制方法,其特征在于:所述步骤2包括:用户在此端口上认证通过后,在该端口上设置一条基于用户MAC地址的静态FDB表项。
CNA2004100008438A 2004-01-17 2004-01-17 IEEE 802.1x认证中基于用户的控制方法 Pending CN1558634A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNA2004100008438A CN1558634A (zh) 2004-01-17 2004-01-17 IEEE 802.1x认证中基于用户的控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2004100008438A CN1558634A (zh) 2004-01-17 2004-01-17 IEEE 802.1x认证中基于用户的控制方法

Publications (1)

Publication Number Publication Date
CN1558634A true CN1558634A (zh) 2004-12-29

Family

ID=34350519

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2004100008438A Pending CN1558634A (zh) 2004-01-17 2004-01-17 IEEE 802.1x认证中基于用户的控制方法

Country Status (1)

Country Link
CN (1) CN1558634A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022340B (zh) * 2007-03-30 2010-11-24 武汉烽火网络有限责任公司 实现城域以太网交换机接入安全的智能控制方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022340B (zh) * 2007-03-30 2010-11-24 武汉烽火网络有限责任公司 实现城域以太网交换机接入安全的智能控制方法

Similar Documents

Publication Publication Date Title
US9088437B2 (en) Method and device for processing source role information
CN100512109C (zh) 验证接入主机安全性的访问认证系统和方法
EP1858195B1 (en) A peer-to-peer access control method based on ports
US7886354B2 (en) Method and apparatus for local area networks
EP1825652B1 (en) Method and system for including network security information in a frame
CN101150406B (zh) 基于802.1x协议的网络设备认证方法及系统及相关装置
CN101102188B (zh) 一种移动接入虚拟局域网的方法与系统
CN101022340B (zh) 实现城域以太网交换机接入安全的智能控制方法
CN102255918A (zh) 一种基于DHCP Option 82的用户接入权限控制方法
CN103763102B (zh) 一种基于消息推送的wifi安全管理系统及管理方法
US20060195900A1 (en) Network apparatus with secure IPSec mechanism and method for operating the same
CN101605130B (zh) 心跳握手方法及系统
CN105978810A (zh) 基于sdn的用户认证方法及系统
CN202652534U (zh) 移动终端安全接入平台
CN109040124A (zh) 用于交换机的处理报文的方法和装置
US10560437B2 (en) Security in mixed networks
CN1558634A (zh) IEEE 802.1x认证中基于用户的控制方法
CN100471167C (zh) 无线接入宽带用户的管理方法及其装置
CN103944886B (zh) 一种端口安全的实现方法及系统
CN101110845A (zh) 通过媒体接入控制地址学习控制设备接入以太网的方法
CN101631078A (zh) 一种端点准入防御中的报文控制方法及接入设备
TWM637648U (zh) 保管箱即時監控系統
CN111541663A (zh) 一种基于国家密码标准的链路交换加密系统
EP1694024A1 (en) Network apparatus and method for providing secure port-based VPN communications
CN112838993A (zh) 一种实现mac vlan动态下发的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: HUAWEI TECHNOLOGY CO., LTD.

Free format text: FORMER OWNER: GANGWAN NETWORK CO., LTD.

Effective date: 20060922

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20060922

Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Applicant after: Huawei Technologies Co., Ltd.

Address before: 100089, No. 21 West Third Ring Road, Beijing, Haidian District, Long Ling Building, 13 floor

Applicant before: Harbour Networks Holdings Limited

C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication