CN1866900A - 向通信设备提供通信接入的装置和相关的方法 - Google Patents
向通信设备提供通信接入的装置和相关的方法 Download PDFInfo
- Publication number
- CN1866900A CN1866900A CN 200610072353 CN200610072353A CN1866900A CN 1866900 A CN1866900 A CN 1866900A CN 200610072353 CN200610072353 CN 200610072353 CN 200610072353 A CN200610072353 A CN 200610072353A CN 1866900 A CN1866900 A CN 1866900A
- Authority
- CN
- China
- Prior art keywords
- client device
- equipment
- communication
- vlan
- determiner
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
一种装置以及相关的方法,用于可选择地向连接到通信网络中的网络接入端口的通信设备提供接入。当通信设备在接入端口处连接的时候,检测器检测该连接。确定器确定通信设备是否具有802.1x功能。如果设备不具有802.1x功能,则将设备分配给选定的非安全VLAN并通过这种方式通信。
Description
相关申请的交叉参考
本申请要求美国临时专利申请号60/681,342的优先权,该临时专利申请名称为“Providing Dedicated VLAN Access for Non 802.1x CapableDevices to Co-Exist with 802.1x Clients on an 802.1x EnabledAuthentication Network Access Port”,在2005年5月16日提出,在此通过参考将其内容并入。
技术领域
本发明主要涉及到能够和通信网络连接的通信设备——例如IP(因特网协议)电话——的认证。更特殊的是,本发明涉及以下设备以及相关的方法,通过该设备和方法为不具有802.1x功能的设备在连接到通信网络的可进行802.1x认证的端口时提供了专用的VLAN(虚拟局域网)接入。具有802.1x功能的设备和不具有802.1x功能的设备都使用一个网络接入点,即可进行802.1x认证的端口。避免了为不同类型的设备提供单独的接入端口的需要。
背景技术
电话通信遍布整个现代社会。接入提供电话通信的通信网络,并且立即利用该通信网络进行通信对于许多人是一个实际的需求。语音的和非语音的数据通过提供电话通信的不同类型的通信网络而传送。
用于提供电话通信的通信系统的网络已经在世界上有人居住部分的绝大部分中使用。用户通过使用电话的或者其他的和网络连接的通信站点进行电话通信。而且,经过独立的网络间适当的相互连接,可以在多组位于完全不同的地点的电话站点之间通过这些相互连接的通信网络实现电话通信。
历史上传统的电话网络一直使用电路交换的通信技术。在使用电路交换通信技术的时候,会在作为进行电话通信会话各方的电话站点之间形成电路交换的连接。专用的也就是电路交换的信道会分配给电话站点,由此在相互之间进行数据通信。专用的连接将一直保持,而不考虑在通信站点之间的数据通信的数量或者规律。这样,由于维持专用的连接有时候会使利用电话通信网络通信容量的效率很低,所以电路交换的电话通信网络的通信容量相当低。
最近,利用为共享信道通信提供的包交换通信技术的通信网络得到了应用。典型地,包格式的数据在通信站点之间进行通信,这些通信站点连接到提供包交换通信的通信网络或者形成该通信网络的一部分。开发并标准化了多种包格式方案。一种协议方案——称作因特网协议(IP)——得到了广泛的接受并且许多通信设备都具有构建用于对IP格式的数据进行格式化和发送、接收、传输以及操作的装置。
另外,通信标准的IEEE 802族的一系列操作规范定义了操作协议和程序,通过这些操作协议和程序,符合相关的IEEE标准802的要求的通信设备可操作地用于保证其在按照这样的标准工作的通信网络中的可操作性。认证程序和协议在操作规范中列出的协议之中。执行认证协议对通信设备进行认证以便接入通信网络或者和其他的通信设备进行通信。
许多传统的个人计算机是固定地构建为符合802.1x的,除具有其他功能以外,能够在连接到可进行IEEE 802.1x认证的端口的时候,按照IEEE 802.1x认证程序被认证或者执行认证。
但是能够连接到这样的通信网络的IP(因特网协议)电话通常不符合IEEE 802.1x协议,特别是那些涉及到认证程序的协议。因此,不能使用IEEE 802.1x认证来认证典型的IP电话。共处的IP电话和个人计算机通常需要分别连接到通信网络不同的接入端口。也就是说,通常地,连接到通信网络的IP电话必须连接到的网络接入端口和个人计算机可以连接的可进行802.1x认证的端口不同。
如果可以提供一种方式,通过该方式允许IP电话和个人计算机连接到相同的网络接入端口——也就是,可进行802.1x认证的端口——就可以不再需要提供传统的到不同的接入端口的连接。
根据这种涉及到可以连接到通信网络的通信设备的背景信息,得到了本发明的重大改进。
发明内容
因此,本发明有利地提供装置及其相关的方法,用于可连接到通信网络的通信设备(例如IP电话)。
通过本发明的一个实施方式的操作,一种方式为不具有802.1x功能的设备——例如IP电话——在连接到通信网络的可进行802.1x认证的端口的时候提供了专用的VLAN(虚拟局域网)接入。
IP电话(或者其他不具有802.1x功能的通信设备)和个人计算机(或者其他具有802.1x功能的设备)共享相同的网络接入端口。
在本发明的一个方面中,能够实现802.1x认证的通信设备和那些不能够实现802.1x认证程序的通信设备在同一时间都能够连接到相同的物理端口,并能够通过该端口取得网络接入。不具有802.1x功能的通信设备经网络确定为不具有802.1x功能,并且作为对该确定的响应,通信设备传送的数据被分类到特定的虚拟网络。
在本发明的另一个方面中,网络监控通信设备(例如IP电话)到网络接入端口的连接。通过检测通信设备的标识来检测该设备的连接。通过例如媒体访问控制(MAC)地址,通信设备被唯一地识别。通信设备的MAC地址的确定可决定通信设备和通信网络的连接。
在本发明的另一方面中,根据通信设备和通信网络的连接的检测,然后确定通信设备是否为具有802.1x功能的设备。通过向由其唯一的标识识别的通信设备发送轮询请求做出确定。轮询请求例如为EAPOL(可扩展认证协议)请求/识别帧。如果通信设备为具有802.1x功能的设备,则通信设备响应于轮询请求。相反地,在通信设备为不具有802.1x功能的设备的情况中,则设备不响应轮询请求。
当确定通信设备为具有802.1x功能的设备的时候,执行传统的802.1x认证程序认证通信设备。相反地,在确定通信设备为不具有802.1x功能的设备的情况中,例如通过该设备不响应于由通信网络发送到通信设备的请求,不发送EAPOL响应/识别帧,则不试图进行认证程序或者执行认证程序。
当检测到和通信网络连接的通信设备被确定为是不具有802.1x功能的设备的时候,通信量——也就是通信设备传送的数据——取而代之,由选定的VLAN分类并被允许和选定的VLAN的设备通信。
可以如下多种方式中的任一种选择该选定的VLAN,例如通过用户配置VLAN,由群组移动规则(group-mobility-rules)进行选择,或者被选定为非安全VLAN。如果通信设备是不具有802.1x功能的设备,则选定的VLAN限定为非安全VLAN。
由此,不要求不同的网络接入端口分别支持具有802.1x功能和不具有802.1x功能的设备。
因此,在这些和其他方面中,提供了用于使客户端设备能接入选定的虚拟局域网的装置和相关的方法。检测客户端设备到可进行认证的端口的连接。然后,确定客户端设备是否能够按照选定的认证协议进行认证。接下来,当确定客户端设备不能够按照选定的认证协议进行认证的时候,将客户端设备分配给选定的虚拟局域网。
本发明的更完整的说明及其范围可以从下面简要概括的附图、下面的本发明的目前优选的实施方式的详细说明以及附带的权利要求中获得。
附图说明
图1图示的是电话网络的功能框图,本发明的一个实施方式可以在该电话网络中操作。
图2图示的是代表在图1示出的电话网络的操作中产生的消息的序列流程图,该电话网络按照本发明的一个实施方式操作。
图3图示的是和图2中示出的相似的序列流程图,但代表其他的本发明的实施方式的操作。
图4图示的是代表本发明的一个实施方式的操作方法的方法流程图。
具体实施方式
首先参照图1,总体上以10示出的电话网络提供了通信设备之间的电话通信,图中示出了其中的三个通信设备,设备12、14和16。在通信网络的操作期间,数据在通信设备之间传送,例如,在通信设备12和通信设备16之间或者在通信设备14和通信设备16之间。当被插入或者连接到接入端口——例如接入端口18和22中的一个——的时候,这些设备可以连接到通信网络并成为其一部份。
接入端口18和22都是可进行802.1x认证的端口并且被配置为允许具有802.1x功能和不具有802.1x功能的通信设备对其进行连接。这里,通信设备12代表不具有802.1x功能的设备,而设备14代表具有802.1x功能的设备。也就是说,由于设备14具有802.1x功能,该设备作为一个请求者。而且,更特别地,在示例的实现方式中,不具有802.1x功能的设备包括IP(因特网协议)电话,而设备14为个人计算机,例如按照MicrosoftTM Windows XPTM或者Windows 2000TM操作系统或者其他具有802.1x功能的操作系统运行的个人计算机。另外,按照其他的不具有802.1x功能的操作系统运行的个人计算机可以安装802.1x客户端软件使该个人计算机具有802.1x功能。设备14也代表这种类型的计算机配置。
通信网络包括多种功能实体,包括802.1x认证服务器26。通信网络还包括交换实体28。
认证服务器26操作实现或者执行通信设备的认证,这些通信设备在数据由通信设备传送或者传送到通信设备的通信会话中将作为通信方。认证的执行符合传统的IEEE 802.1x程序。
交换实体28实现多种交换操作,并且在示例的实现方式中作为AlcatelTM OS7000TM交换机实现。由交换实体实现的交换功能控制通信网络中的各种操作并提供通信设备之间的包交换连接以便它们之间传送数据。
在通信网络中可定义多种虚拟局域网(VLAN)。可定义的VLAN包括安全VLAN和非安全VLAN,包括例如用户定义VLAN和群组移动规则配置的VLAN。VLAN都能够以传统的方式进行配置和重配置。
如前面提到的,具有802.1x功能的设备和不具有802.1x功能的设备通常必须分别接入不同的网络接入端口,如果这些不同的设备共处一地则需要物理位置来保持这些单独的接入端口。本发明的一个实施方式提供了一种方式,通过该方式可允许VLAN在连接到可进行802.1x认证的端口的时候接入不具有802.1x功能的设备。不具有802.1x功能的设备和具有802.1x功能的设备能够共存并同时连接到同一个可进行802.1x认证的端口。结合图1中示出的图示,也就是说,设备12和14可以一起连接到端口18。
按照本发明的一个实施方式,交换实体28包括装置40。在这里示出的装置40由能够以任何需要的方式——包括能够由处理电路执行的算法——实现的功能实体组成。
在示例的实现方式中,装置40包括设备检测器44、确定器48、认证器50和分配器/分类引擎52。
检测器44操作用于检测通信设备在网络接入端口处——例如网络接入端口18处——的连接。检测器操作用于通过MAC(媒体访问控制)地址在网络接入端口处检测设备的连接,MAC地址唯一地标识该设备并且能由检测器根据设备在接入端口处的连接确定。
一旦在网络接入端口处检测到设备,确定器就确定了通信设备形成的设备的类型。也就是说,确定器操作用于确定该设备是不具有802.1x功能的设备还是具有802.1x功能的设备。在示例的实现方式中,确定器通过发送EAP(可扩展认证协议)请求/识别帧给被检测的通信设备做出该确定,例如通过将此帧寻址到设备的MAC地址做出该确定。
一经产生,请求/识别帧就被发送到网络接入端口和与之连接的通信设备。具有802.1x功能的设备能够检测到这个帧并作为响应,产生EAP响应/识别帧。相反的,非802.1x设备不能够回答此轮询请求,也就是请求/识别帧。由此确定器通过确定通信设备是否返回EAP响应/识别帧作为轮询请求的响应来确定通信设备的类型。在一种实现方式中,在没有检测到轮询请求的起始响应的情况中,产生额外的一个或多个的轮询请求,从而更好地保证设备——如果具有802.1x功能——即使错过了其中一个请求仍能做出响应。
当检测到EAPOL起始帧,或者其他轮询响应的时候,确定器通知认证器50。认证器收集关于设备14形成的请求者的信息并将信息提供给认证服务器26。执行认证程序以便对具有802.1x功能的设备进行认证,而且一旦设备通过认证,则为其提供接入以便以传统的方式通过通信网络进行通信,在传统的方式下任何被认证的设备一经认证即被允许。在一种实现方式中,认证服务器26还会对802.1x设备被授权接入进行通信的VLAN进行选择。
相反的,如果确定器确定通信设备为不具有802.1x功能的设备,则不调用认证器的认证程序从而认证失败。取而代之的是,提供确定器的指示给分配器/分类引擎52,而分配器/分类引擎52操作用于向不具有802.1x功能的设备分配到选定的VLAN的接入。选定的VLAN包括例如用户配置VLAN 54,或者由网络的群组移动规则配置的群组移动规则配置VLAN 56,或者其他非安全VLAN 58。非安全VLAN区别于安全VLAN 62的是其中的通信设备除非已经成功通过认证否则不被授权接入安全VLAN。
在示例的实现方式中,其中不具有802.1x功能的设备是IP电话,由于通常IP电话不能通过802.1x认证,因此IP电话只能被授权接入非安全VLAN。并且,在示例的实现方式中,其中设备14是具有802.1x功能的个人计算机,该个人计算机被授权接入安全VLAN。
图2图示的是总体以64示出的序列流程图,代表在图1中示出的电话网络在不具有802.1x功能的设备连接到网络接入端口18处的时候的操作。
方框66指示的是执行监控以检测通信设备12到网络接入端口的连接。如方框68指示,例如通过插入连接,通信设备12连接到接入端口。方框72指示在接入端口处检测通信设备的连接。
其后,如线段76指示,发送EAPOL请求/识别帧到通信设备连接到的接入端口。因为通信设备是不具有802.1x功能的,因此不会产生响应于轮询请求的回复。如方框78指示,在适当的时间段届满后,如方框82指示,交换实体将通信设备的通信分配到选定的VLAN。选定的VLAN是非安全VLAN。
图3图示的是消息的序列图,和在图2中示出的相似,但是在这里代表通信设备14连接到接入端口18处的时候的网络的操作。再一次地,分别执行监控操作66、连接操作68和检测操作72。并且,根据通信设备14的MAC地址的检测,发送EAP请求/识别帧到通信设备连接的接入端口。
因为通信设备14具有802.1x功能,如线段96指示的,该设备产生EAPOL响应/识别帧作为轮询请求的响应。其后,如方框102指示,执行认证程序,而且一旦通过认证,如方框104指示,就向通信设备分配到VLAN的接入。由于通信设备通过了认证,因此通信设备被授权接入的VLAN包括安全VLAN。
图4图示的是以112总体示出的方法的流程图,代表本发明的一个实施方式的操作的方法。该方法使客户端设备能够接入选定的虚拟局域网。
首先,如方框114指示,检测客户端设备和可进行认证的端口的连接。
然后,如方框116指示,确定客户端设备是否能够按照选定的认证协议进行认证。以及,如方框118指示,当确定客户端设备不能够按照选定的认证协议进行认证的时候,将客户端设备分配给选定的虚拟局域网。
由此,根据本发明的一个实施方式的操作,提供了一种方式,其允许不具有802.1x功能的设备连接到可进行802.1x认证的端口并被授权接入,以便通过选定的非安全VLAN进行通信。从而避免了通常为不具有802.1x功能的设备和具有802.1x功能的设备提供不同的接入端口的需要。
前面的说明是实现本发明的优选的实例,而本发明的范围不限于此说明。本发明的范围由下面的权利要求限定。
Claims (10)
1.一种使客户端设备能够接入选定的虚拟局域网的方法,所述方法包括如下操作:
检测所述客户端设备和可进行认证的端口的连接;
确定所述客户端设备是否能够按照选定的认证协议被认证;以及
当确定所述客户端设备不能够按照所述选定的认证协议被认证的时候,将所述客户端设备分配给所述选定的虚拟局域网。
2.用于使客户端设备接入选定的虚拟局域网的装置,所述装置包括:
设备检测器,配置为用于检测所述客户端设备和可进行认证的端口的连接;
确定器,响应于所述设备检测器对所述客户端设备的所述连接的检测进行操作,所述确定器配置为用于确定所述客户端设备是否能够按照选定的认证协议被认证;以及
分配器,配置为用于当所述确定器确定所述客户端设备不能够按照所述选定的认证协议被认证的时候,将所述客户端设备分配给所述选定的虚拟局域网。
3.权利要求2中的所述装置,其中所述设备检测器通过检测所述客户端设备的媒体访问控制层标识符来检测所述客户端设备到可进行认证的端口的连接。
4.权利要求2中的所述装置,其中所述确定器包括轮询请求发生器,其被配置为用于产生并发送轮询请求到所述客户端设备。
5.权利要求4中所述的装置,其中由所述轮询请求发生器产生的所述轮询请求包括EAP(可扩展认证协议)请求/识别帧。
6.权利要求4中所述的装置,其中所述确定器还包括响应检测器,其被配置为用于检测客户端产生的对轮询请求的响应。
7.权利要求6中所述的装置,其中在所述响应检测器没有检测到客户端产生的对所述轮询请求的响应的情况下,所述确定器确定所述客户端设备不能够按照所述选定的认证协议被认证。
8.权利要求2中的所述装置,其中所述分配器配置为用于将所述客户端设备分配给用户配置的虚拟局域网。
9.权利要求2中的所述装置,其中所述客户端设备包括IP(因特网协议)电话,并且其中所述检测器检测所述客户端设备连接到的所述可进行认证的端口包括可进行802.1x认证的端口。
10.一种电话网络交换装置,用于可选择地使客户端设备能够接入选定的虚拟局域网,所述装置包括:
检测器,配置为用于检测所述客户端设备在可进行802.1x认证的端口处的连接;
启动确定器,响应于所述检测器对所述客户端设备的所述连接的检测进行操作,所述启动确定器配置为用于确定所述客户端设备是否能够按照选定的认证协议被认证;以及
通信分配器,配置为响应于所述启动确定器做出的确定,可选择地将所述用户设备的通信连接分配给选定的虚拟局域网。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US68134205P | 2005-05-16 | 2005-05-16 | |
US60/681,342 | 2005-05-16 | ||
US11/288,680 | 2005-11-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1866900A true CN1866900A (zh) | 2006-11-22 |
Family
ID=37425790
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200610072353 Pending CN1866900A (zh) | 2005-05-16 | 2006-04-14 | 向通信设备提供通信接入的装置和相关的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1866900A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9918353B2 (en) | 2013-02-19 | 2018-03-13 | Zte Corporation | 802.1X access session keepalive method, device, and system |
-
2006
- 2006-04-14 CN CN 200610072353 patent/CN1866900A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9918353B2 (en) | 2013-02-19 | 2018-03-13 | Zte Corporation | 802.1X access session keepalive method, device, and system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1266893C (zh) | 保证用户匿名的方法及其无线局域网系统 | |
KR101438243B1 (ko) | Sim 기반 인증방법 | |
US20020042883A1 (en) | Method and system for controlling access by clients to servers over an internet protocol network | |
KR100690762B1 (ko) | 다수의 번호를 이용한 이동 통신 단말기의 통화 방법 및시스템 | |
KR101432042B1 (ko) | Vpn에 의한 은닉 통신 방법과 그 시스템, 그 프로그램 및 그 프로그램의 기록 매체 | |
US7451479B2 (en) | Network apparatus with secure IPSec mechanism and method for operating the same | |
EP2285041A1 (en) | Communication establishing method, system and device | |
US20040168049A1 (en) | Method for encrypting data of an access virtual private network (VPN) | |
EP1946528B1 (en) | Method and apparatus to provide cryptographic identity assertion for the pstn | |
CN1406034A (zh) | 无线数据通信中具有中继功能的电子装置 | |
CN1277373C (zh) | 网络通信系统中用户位置信息的传递方法 | |
US8010994B2 (en) | Apparatus, and associated method, for providing communication access to a communication device at a network access port | |
CN101051967A (zh) | 用户网络中用户设备的通信系统及其方法 | |
JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
JP2001036561A (ja) | Tcp/ipネットワークシステム | |
JP5380786B2 (ja) | ネットワークシステム | |
US9112843B2 (en) | Method and system for subscriber to log in internet content provider (ICP) website in identity/location separation network and login device thereof | |
KR100819942B1 (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
CN1527557A (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
EP1694024A1 (en) | Network apparatus and method for providing secure port-based VPN communications | |
CN1866900A (zh) | 向通信设备提供通信接入的装置和相关的方法 | |
CN101656738B (zh) | 一种对接入网络的终端进行验证的方法和装置 | |
US20030154408A1 (en) | Method and apparatus for secured unified public communication network based on IP and common channel signaling | |
KR20170038568A (ko) | Sdn 컨트롤러 및 sdn 컨트롤러에서의 스위치 식별 방법 | |
CN1225871C (zh) | 一种无线局域网内加密密钥的分发方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |