ES2634690T3 - Método, dispositivo y sistema para controlar el acceso a un terminal de usuario - Google Patents

Método, dispositivo y sistema para controlar el acceso a un terminal de usuario Download PDF

Info

Publication number
ES2634690T3
ES2634690T3 ES14822073.4T ES14822073T ES2634690T3 ES 2634690 T3 ES2634690 T3 ES 2634690T3 ES 14822073 T ES14822073 T ES 14822073T ES 2634690 T3 ES2634690 T3 ES 2634690T3
Authority
ES
Spain
Prior art keywords
user terminal
access
switching node
interface
interface identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14822073.4T
Other languages
English (en)
Inventor
Bing Sun
Yibin Xu
Penghe TANG
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2634690T3 publication Critical patent/ES2634690T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método para controlar el acceso de un terminal de usuario, que comprende: recibir (62), por un controlador, un paquete de autenticación enviado por un nodo de conmutación de acceso por intermedio de un túnel de datos establecido; obtener (63), por el controlador, una dirección de control de acceso al soporte, MAC, en un campo de dirección MAC origen del paquete de autenticación; después de que se ponga en práctica, de forma satisfactoria, una autenticación de acceso en un terminal de usuario correspondiente a la dirección MAC obtenida, determinar (64), a partir de una correspondencia mantenida entre una dirección MAC de un terminal de usuario y un identificador de interfaz, un identificador de interfaz correspondiente a la dirección MAC del terminal de usuario satisfactoriamente autenticado, en donde el identificador de interfaz es un identificador de interfaz de una interfaz en el nodo de conmutación de acceso conectado al terminal de usuario; y enviar (65), por el controlador, el identificador de interfaz determinado al nodo de conmutación de acceso por intermedio de un túnel de control establecido entre el controlador y el nodo de conmutación de acceso, y dar instrucciones al nodo de conmutación de acceso para permitir la activación de la interfaz correspondiente al identificador de interfaz.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodo, dispositivo y sistema para controlar el acceso a un terminal de usuario CAMPO DE LA INVENCION
La presente invencion se refiere al campo de tecnolog^as de comunicaciones y en particular, a un metodo, un aparato y un sistema para controlar el acceso de un terminal de usuario.
ANTECEDENTES DE LA INVENCION
En un sistema de comunicaciones, una red de campo (en ingles: campus network, CAN en forma abreviada) se refiere, en general a una red de un campus o una intrared (en ingles: intranet) de una empresa, y una caractenstica principal de la red de campus es que un enrutador, un conmutador de red y un dispositivo similar dispuesto en la red de campus se gestiona por una organizacion de gestion (a modo de ejemplo, un propietario de la red de campus).
Segun se ilustra en la Figura 1, en una arquitectura de red de una red de campus, la red de campus incluye al menos un terminal de usuario y al menos un conmutador de red. En general, un conmutador de red que esta situado en un lado del terminal de usuario y esta directamente conectado a un terminal de usuario puede denominarse como un conmutador de acceso a un nodo de conmutacion de acceso. En terminos generales, un conmutador de red que esta situado en un lado de la red y esta conectado a un nodo de conmutacion de acceso puede denominarse un conmutador de agregacion o un nodo de conmutacion de agregacion. Cada interfaz en cada nodo de conmutacion de acceso puede no estar conectada a cualquier terminal de usuario, o puede conectarse a al menos un terminal de usuario. Si un terminal de usuario esta conectado a un nodo de conmutacion de acceso, el terminal de usuario puede estar conectado al nodo de conmutacion de acceso en una manera cableada. Una interfaz en el otro lado del nodo de conmutacion de acceso esta conectada a un nodo de conmutacion de agregacion, para realizar una transmision de paquetes. En la arquitectura de red de la red de campus ilustrada en la Figura 1, despues de que un terminal de usuario este satisfactoriamente conectado a un nodo de conmutacion de acceso en una manera cableada, necesita realizarse una autenticacion antes de la transmision del paquete para comprobar si al terminal de usuario le esta permitido acceder a la red de campus para transmision de paquetes. El terminal de usuario puede enviar un paquete al nodo de conmutacion de acceso solamente cuando al terminal de usuario le este permitido acceder a la red de campus para la transmision de paquetes. En terminos generales, existen dos maneras de realizar la autenticacion para comprobar si a un terminal de usuario le esta permitido acceder a una red de campus para la transmision de paquetes, para controlar si el terminal de usuario puede acceder, o no, a la red de campus para la transmision de paquetes.
Una primera manera consiste en: un nodo de conmutacion de acceso realiza la autenticacion comprobar si a un terminal de usuario le esta permitido acceder a una red de campus para la transmision de paquetes, es decir, el nodo de conmutacion de acceso realiza una autenticacion sobre el acceso del terminal de usuario, y determina, en conformidad con un resultado de resultado, si al terminal de usuario le esta permitido, o no, acceder a la red de campus para la transmision de paquetes. La arquitectura de red de la red de campus ilustrada en la Figura 1, se utiliza, a modo de ejemplo, en donde un terminal de usuario 1 y un terminal de usuario 2 estan conectados a un nodo de conmutacion de acceso 1 en una manera cableada, un terminal de usuario 3 esta conectado a un nodo de conmutacion de acceso 2 en una manera cableada, y ambos, el nodo de conmutacion de acceso 1 y el nodo de conmutacion de acceso 2 estan conectados a un nodo de conmutacion de agregacion. En una puesta en practica espedfica, el nodo de conmutacion de acceso 1 realiza la autenticacion para comprobar si al terminal de usuario 1 y al terminal de usuario 2 les esta permitido acceder a la red de campus, y el nodo de conmutacion de acceso 2 realiza la autenticacion para comprobar si al terminal de usuario 3 le esta permitido acceder a la red de campus. El terminal de usuario 1, el terminal de usuario 2 o el terminal de usuario 3 pueden acceder a la red para transmision de paquetes solamente en un caso en el que sea satisfactoria la autenticacion. En un caso en el que se utilice la primera manera, cada nodo de conmutacion de acceso en un sistema necesita poner en practica una autenticacion de acceso sobre un terminal de usuario conectado al nodo de conmutacion de acceso. Sin embargo, en general, puesto que existen numerosos nodos de comunicacion de acceso en el sistema, la complejidad de la arquitectura de red utilizada en la primera manera es relativamente alta.
Una segunda manera consiste en: un nodo de conmutacion de agregacion realiza una autenticacion sobre el acceso de un terminal de usuario. En la arquitectura del sistema ilustrada en la Figura 1, el nodo de conmutacion de agregacion realiza la autenticacion sobre cualquier terminal de usuario en el sistema que esta conectado a un nodo de conmutacion de acceso. Si la autenticacion es satisfactoria, el nodo de conmutacion de agregacion permite a todos los terminales de usuario que esten conectados al nodo de conmutacion de acceso, acceder a la red. Es decir, en esta manera, despues de que se realice la autenticacion de acceso por el nodo de conmutacion de agregacion sobre cualquier terminal de usuario conectado al nodo de conmutacion de acceso de forma satisfactoria, otro terminal de usuario conectado al nodo de conmutacion de acceso no requiere la autenticacion del acceso pero esta directamente conectado a la red para la transmision de paquetes utilizando el nodo de conmutacion de acceso. En un caso en el que se utiliza la segunda manera, el control sobre un terminal de usuario unico no se puede realizar y la seguridad es deficiente.
5
10
15
20
25
30
35
40
45
50
55
60
65
En conclusion, una manera de puesta en practica de un metodo comun para controlar el acceso de un terminal de usuario es relativamente completa o la seguridad es relativamente deficiente.
El documento CN 101 980 496 A da a conocer un metodo de autenticacion que implica la informacion del puerto de acceso. La informacion del puerto de acceso se utiliza para generar informacion de aprendizaje de MAC.
El documento de Cheswick et. al: “Firewalls y seguridad de Internet - 2a edicion” en: “USA”, 1 de enero de 2003, Addison Wesley, XP055253011, da a conocer tuneles de red VPN entre dispositivos.
SUMARIO DE LA INVENCION
La presente invencion da a conocer un metodo, un aparato y un sistema para controlar el acceso de un terminal de usuario, que puede mejorar la seguridad de la red en un caso en el que un procedimiento de puesta en practica de la autenticacion del acceso realizado en un terminal de usuario esta simplificado.
De conformidad con un primer aspecto de la idea inventiva, se da a conocer un metodo para controlar el acceso de un terminal de usuario, en donde el metodo incluye: recibir, por un controlador, un paquete de autenticacion enviado por un nodo de conmutacion de acceso por intermedio de un tunel de datos establecido; obtener, por el controlador, una direccion MAC en un campo de direccion MAC origen del paquete de autenticacion; despues de una autenticacion del acceso se realice en un terminal de usuario correspondiente a la direccion MAC obtenida de forma satisfactoria, determinar, a partir de una correspondencia mantenida entre una direccion MAC de un terminal de usuario y un identificador de interfaz, un identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado, en donde el identificador de interfaz es un identificador de interfaz de una interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario; y enviar, por el controlador, el identificador de interfaz determinado al nodo de conmutacion de acceso por intermedio de un tunel de control establecido entre el lado y el nodo de conmutacion de acceso, y dar instrucciones al nodo de conmutacion de acceso para activar la interfaz correspondiente al identificador de interfaz.
En una primera manera de puesta en practica posible del primer aspecto de la idea inventiva, antes de se realice la autenticacion de acceso en el terminal de usuario correspondiente a la direccion MAC, se determina la correspondencia entre una direccion MAC de un terminal de usuario y un identificador de interfaz en la manera siguiente: recibir, por el controlador, la direccion MAC del terminal de usuario enviada por el nodo de conmutacion de acceso por intermedio del tunel de control, y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, en donde la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario se obtiene por el nodo de conmutacion de acceso cuando el terminal de usuario establece una conexion con la interfaz en el nodo de conmutacion de acceso, y envfa un paquete por intermedio de la interfaz conectada; y establecer una correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz en conformidad con la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido.
En conformidad con un segundo aspecto de la idea inventiva, se da a conocer un metodo para controlar el acceso de un terminal de usuario, en donde el metodo incluye: cuando se desactiva una funcion de aprendizaje de control de acceso al soporte MAC, recibir, por un nodo de conmutacion de acceso, un paquete de autenticacion enviado por un terminal de usuario que esta conectado a una interfaz en el nodo de conmutacion de acceso; obtener, por el nodo de conmutacion de acceso, un identificador de interfaz de la interfaz conectada al terminal de usuario y envfa el paquete de autenticacion, y obtener una direccion MAC del terminal de usuario a partir del paquete de autenticacion recibido; enviar, por el nodo de conmutacion de acceso, la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido a un controlador por intermedio de un tunel de control establecido, de modo que el controlador mantenga una correspondencia entre la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido; recibir, por el nodo de conmutacion de acceso, el identificador de interfaz enviado por el controlador por intermedio del tunel de control, en donde el identificador de interfaz es un identificador de interfaz que se determina a partir de la correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz despues de que el controlador realice satisfactoriamente una autenticacion de acceso en el terminal de usuario correspondiente a la direccion MAC, y esta en correspondencia con la direccion MAC del terminal de usuario satisfactoriamente autenticado; y activar, por el nodo de conmutacion de acceso en conformidad con el identificador de interfaz recibido, la interfaz correspondiente a dicha interfaz.
En una primera posible manera de puesta en practica del segundo aspecto de la idea inventiva, el metodo incluye, ademas: recibir, por el nodo de conmutacion de acceso, un permiso de acceso que es del terminal de usuario correspondiente a la direccion MAC y se envfa por el controlador por intermedio del tunel de control; y la activacion, por el nodo de conmutacion de acceso en conformidad con el identificador de interfaz recibido, la interfaz correspondiente al identificador de interfaz incluye: configurar o modificar, en conformidad con un permiso de acceso recibido enviado por un nodo de conmutacion de agregacion, el permiso de acceso de la interfaz que esta en un nodo de conmutacion de acceso y corresponde al identificador de interfaz, para controlar el terminal de usuario, que esta conectado a la interfaz, para acceder a un red de conformidad con el permiso de acceso.
5
10
15
20
25
30
35
40
45
50
55
60
65
Con referencia al segundo aspecto de la idea inventiva o la primera manera de puesta en practica posible del segundo aspecto, en una segunda manera de puesta en practica posible del segundo aspecto, la obtencion, por el nodo de conmutacion de acceso, de un identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y obtener una direccion MAC del terminal de usuario a partir del paquete de autenticacion recibido incluye: determinar, por el nodo de conmutacion de acceso utilizando un procesador de senal que es capaz de realizar una funcion de procesamiento en conformidad con un codigo de programa, el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y transmitir el paquete de autenticacion recibido al procesador de senal del nodo de conmutacion de acceso; y obtener, por el procesador de senal, a partir de un campo de direccion MAC origen del paquete de autenticacion, la direccion MAC del terminal de usuario que envfa el paquete de autenticacion.
En conformidad con un tercer aspecto de la idea inventiva, se da a conocer un aparato para controlar el acceso de un terminal de usuario, en donde el aparato incluye: un modulo de recepcion, configurado para: recibir un paquete de autenticacion enviado por intermedio de un tunel de datos establecido, y transmitir el paquete de autenticacion recibido a un modulo de obtencion; el modulo de obtencion, configurado para: obtener el paquete de autenticacion transmitido por el modulo de recepcion, obtener una direccion MAC en un campo de direccion de MAC origen del paquete de autenticacion y transmitir la direccion MAC obtenida a un modulo de autenticacion; el modulo de autenticacion, configurado para: recibir la direccion MAC transmitida por el modulo de obtencion, realizar la autenticacion de acceso sobre un terminal de usuario correspondiente a la direccion MAC, y transmitir un resultado de la autenticacion satisfactoria a un modulo de determinacion; el modulo de determinacion, configurado para: obtener el resultado de autenticacion satisfactoria transmitido por el modulo de autenticacion; determinar, a partir de una correspondencia mantenida entre la direccion MAC de un terminal de usuario y un identificador de interfaz, un identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado, en donde el identificador de interfaz es un identificador de interfaz de una interfaz en un nodo de conmutacion de acceso conectado al terminal de usuario; y transmitir el identificador de interfaz a un modulo de envfo; y el modulo de envfo, configurado para: obtener el identificador de interfaz transmitido por el modulo de determinacion, enviar el identificador de interfaz determinado a un nodo de conmutacion de acceso por intermedio de un tunel de control establecido entre el controlador y el nodo de conmutacion de acceso, y dar instrucciones al nodo de conmutacion de acceso para activar la interfaz correspondiente a al identificador de interfaz.
En una primera manera de puesta en practica posible del tercer aspecto de la idea inventiva, el modulo de recepcion esta configurado, ademas, para: recibir la direccion MAC del terminal de usuario enviada por el nodo de conmutacion de acceso por intermedio del tunel de control, y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectada al terminal de usuario, en donde la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario se obtienen por el nodo de conmutacion de acceso cuando el terminal de usuario establece una conexion con la interfaz en el nodo de conmutacion de acceso, y enviar un paquete por intermedio de la interfaz conectada; y transmitir la direccion MAC recibida y el identificador de interfaz recibido a un modulo de establecimiento; y el aparato comprende, ademas, el modulo de establecimiento, configurado para: obtener la direccion MAC y el identificador de interfaz que se transmiten por el modulo de recepcion, y establecer una correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz en conformidad con la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido.
En conformidad con un cuarto aspecto de la idea inventiva, se da a conocer un aparato de controlar el acceso de un terminal de usuario, en donde el aparato incluye: un modulo de recepcion, configurado para: cuando se desactiva una funcion de aprendizaje de control de acceso al soporte MAC, recibir un paquete de autenticacion enviado por un terminal de usuario que esta conectado a una interfaz en el nodo de conmutacion de acceso, y transmitir el paquete de autenticacion a un modulo de obtencion; el modulo de obtencion, configurado para: recibir el paquete de autenticacion transmitido por el modulo de recepcion, obtener un identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, obtener una direccion MAC del terminal de usuario a partir del paquete de autenticacion recibido y transmitir el identificador de interfaz y la direccion MAC a un modulo de envfo; el modulo de envfo, configurado para: recibir el identificador de interfaz y la direccion MAC que se transmiten por el modulo de obtencion, y enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido a un controlador por intermedio de un tunel de control establecido entre el controlador y el nodo de conmutacion de acceso, de modo que el controlador mantenga una correspondencia entre la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido, en donde el modulo recepcion esta configurado, ademas, para: recibir el identificador de interfaz enviado por el controlador por intermedio del tunel de control, y transmitir el identificador de interfaz a un modulo de control, en donde el identificador de interfaz es un identificador de interfaz que se determina a partir de la correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz despues de que el controlador realice de forma satisfactoria la autenticacion de acceso del terminal de usuario correspondiente a la direccion MAC, y esta en correspondencia con la direccion MAC del terminal de usuario satisfactoriamente autenticado; y el modulo de control, configurado para: obtener el identificador de interfaz transmitido por el modulo de recepcion y activar, en funcion del identificador de interfaz recibido, la interfaz correspondiente al identificador de interfaz.
5
10
15
20
25
30
35
40
45
50
55
60
65
En una primera manera de puesta en practica posible del cuarto aspecto de la idea inventiva, el modulo de recepcion esta configurado, ademas, para: recibir un permiso de acceso que es del terminal de usuario correspondiente a la direccion MAC y se envfa por el controlador por intermedio del tunel de control, y transmitir el permiso de control al modulo de control; y el modulo de control esta configurado espedficamente para: obtener el permiso de acceso transmitido por el modulo de recepcion y configurar o modificar, en conformidad con un permiso de acceso recibido enviado por un nodo de conmutacion de agregacion, el permiso de acceso de la interfaz que esta en el nodo de conmutacion de acceso y correspondiente al identificador de interfaz, para controlar el terminal de usuario, que esta conectado a la interfaz, para acceder a una red de conformidad con el permiso de acceso.
Con referencia al cuarto aspecto o la primera manera de puesta en practica posible del cuarto aspecto de la idea inventiva, en una segunda manera de puesta en practica posible del cuarto aspecto, el modulo de obtencion incluye espedficamente un procesador de serial, y esta configurado para: determinar el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y obtener el paquete de autenticacion transmitido por el modulo de recepcion; y el procesador de serial obtiene, a partir de un campo de direccion MAC origen del paquete de autenticacion, la direccion MAC del terminal de usuario que envfa el paquete de autenticacion.
En las soluciones tecnicas dadas a conocer en la presente invencion, despues de la realizacion satisfactoria de la autenticacion de acceso en un terminal de usuario, un identificador de interfaz correspondiente a una direccion MAC del terminal de usuario satisfactoriamente autenticado se determina a partir de una correspondencia obtenida entre una direccion MAC de un terminal de usuario y un identificador de interfaz, el identificador de interfaz determinado se envfa a un nodo de conmutacion de acceso por intermedio de un tunel de control establecido entre el controlador y el nodo de conmutacion de acceso, y el nodo de conmutacion de acceso da instrucciones para activar una interfaz correspondiente al identificador de interfaz. De este modo, las redes de acceso y los permisos de acceso de redes de terminales de usuario pueden controlarse de una manera centralizada, una arquitectura del sistema es relativamente simple y es facil de ponerse en practica, y la seguridad de la red puede mejorarse todavfa mas.
BREVE DESCRIPCION DE LOS DIBUJOS
La Figura 1 es un diagrama esquematico de una arquitectura de red de un sistema parar controlar el acceso de un terminal de usuario;
La Figura 2 es un diagrama estructural esquematico de composicion de un primer sistema para controlar el acceso de un terminal de usuario en conformidad con la forma de realizacion 1 de la presente invencion;
La Figura 3a es un diagrama esquematico que ilustra una aplicacion del protocolo CAPWAP en una arquitectura de sistema WLAN;
La Figura 3b es un diagrama estructural esquematico de un paquete de datos CAPWAP transmitido por intermedio de un tunel de datos;
La Figura 3c es un diagrama estructural esquematico de composicion de una cabecera de un paquete de datos CAPWAP transmitido por intermedio de un tunel de datos;
La Figura 3d es un diagrama estructural esquematico de un paquete de control CAPWAP transmitido por intermedio de un tunel de control;
La Figura 3e es un diagrama estructural esquematico de composicion de una cabecera de un paquete de control CAPWAP transmitido por intermedio de un tunel de control;
La Figura 4 es un diagrama estructural esquematico de composicion de un segundo sistema para controlar el acceso de un terminal de usuario en conformidad con la forma de realizacion 1 de la presente invencion;
La Figura 5 es un diagrama de flujo de un metodo para controlar el acceso de un terminal de usuario en conformidad con la forma de realizacion 2 de la presente invencion;
La Figura 6a es un diagrama de flujo de un metodo para controlar el acceso de un terminal de usuario en conformidad con la forma de realizacion 3 de la presente invencion, en donde el metodo se aplica a un lado del nodo de conmutacion de agregacion;
La Figura 6b es un diagrama estructural esquematico de composicion de un aparato para controlar el acceso de un terminal de usuario en conformidad con la forma de realizacion 3 de la presente invencion;
La Figura 6c es un diagrama estructural esquematico de un conmutador de red en conformidad con la forma de realizacion 3 de la presente invencion;
5
10
15
20
25
30
35
40
45
50
55
60
65
La Figura 7a es un diagrama de flujo de un metodo para controlar el acceso de un terminal de usuario en conformidad con la forma de realizacion 3 de la presente invencion, en donde el metodo se aplica a un lado del nodo de conmutacion de acceso;
La Figura 7b es un diagrama estructural esquematico de composicion de un aparato para controlar el acceso de un terminal de usuario en conformidad con la forma de realizacion 3 de la presente invencion; y
La Figura 7c es un diagrama estructural esquematico de composicion de un conmutador de red en conformidad con la forma de realizacion 3 de la presente invencion.
DESCRIPCION DETALLADA DE LAS FORMAS DE REALIZACION
Para un problema comun de que una manera de puesta en practica de un metodo para controlar el acceso de un terminal de usuario es relativamente complejo o la seguridad es relativamente deficiente, se proporcionan soluciones tecnicas en formas de realizacion de la presente invencion. En las soluciones tecnicas, despues de realizada una autenticacion de acceso en un terminal de usuario de forma satisfactoria, un identificador de interfaz correspondiente a una direccion MAC del terminal de usuario satisfactoriamente autenticado se determina a partir de una correspondencia obtenida entre una direccion MAC de un terminal de usuario y un identificador de interfaz, el identificador de interfaz determinado se envfa a un nodo de conmutacion de acceso por intermedio de un tunel de control establecido entre el controlador y el nodo de conmutacion de acceso, y el nodo de conmutacion de acceso recibe instrucciones para activar una interfaz correspondiente al identificador de interfaz. De este modo, las redes de acceso y los permisos de acceso de red de terminales de usuario pueden controlarse de una manera centralizada, una arquitectura de sistema es relativamente simple y facil de poner en practica, y se puede mejorar todavfa mas la seguridad de la red.
Con referencia a los dibujos adjuntos, a continuacion se describe, en detalle, los principios de puesta en practica claves, las maneras de puesta en practica espedficas y las ventajas de las soluciones tecnicas en la presente invencion.
Las soluciones tecnicas dadas a conocer en las formas de realizacion de la presente invencion pueden ponerse en practica utilizando un controlador. El controlador puede disponerse en una red como un dispositivo de red independiente, o puede integrarse, como un modulo integrado, en un nodo de conmutacion de agregacion dispuesto en una red, y sus detalles se describen a continuacion respectivamente.
Forma de realizacion 1
La forma de realizacion 1 de la presente invencion da a conocer un sistema para controlar el acceso de un terminal de usuario. Un controlador esta integrado en un nodo de conmutacion de agregacion como un modulo de integrado, para poner en practica las soluciones tecnicas dadas a conocer en la forma de realizacion 1 de la presente invencion. Segun se ilustra en la Figura 2, el sistema incluye al menos un nodo de conmutacion de acceso y al menos un nodo de conmutacion de agregacion, en donde cada nodo de conmutacion de acceso del al menos un nodo de conmutacion de acceso esta conectado a un nodo de conmutacion de agregacion del al menos un nodo de conmutacion de agregacion. Cualquier nodo de conmutacion de acceso del al menos un nodo de conmutacion de acceso puede conectarse a al menos un terminal de usuario en una manera cableada, o puede no conectarse a cualquier terminal de usuario, es decir, una interfaz utilizada para conectar a un terminal de usuario esta en un estado inactivo.
Un tunel de transmision de paquetes se establece entre un nodo de conmutacion de agregacion y un nodo de conmutacion de acceso. El tunel de transmision de paquetes entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso puede establecerse de conformidad con un protocolo propietario prestablecido o extendiendo un protocolo estandar. A modo de ejemplo, el protocolo estandar puede ser el protocolo de Control y Aprovisionamiento de Puntos de Acceso Inalambricos (en ingles: Control And Provisioning of Wireless Access Points, CAPWAP en forma abreviada). En esta forma de realizacion de la presente invencion, en la que un tunel de transmision de paquetes se establece extendiendo el protocolo CAPWAP tal como se utiliza como un ejemplo para la descripcion detallada. El tunel de transmision de paquetes que se establece sobre la base del protocolo CAPWAP extendido incluye un tunel de control para transmitir un paquete de control y un tunel de datos para transmitir un paquete de datos.
El protocolo CAPWAP es un protocolo estandar aplicado a un entorno de comunicaciones inalambricas. En el entorno de comunicaciones inalambricas, el protocolo CAPWAP se aplica a un escenario operativo de interfuncionamiento entre un nodo de acceso de control (en ingles: access control, AC en forma abreviada) y un punto de acceso inalambrico (en ingles: access point, AP en forma abreviada). Segun se ilustra en la Figura 3a, el entorno de comunicaciones inalambricas sobre la base del protocolo CAPWAP incluye un punto de acceso AP inalambrico, un conmutador de red, un control de acceso AC y un terminal de usuario. El punto de acceso AP inalambrico esta conectado a al menos un terminal de usuario en una manera inalambrica. El tunel de transmision de paquetes para transmitir un paquete en una manera inalambrica se establece entre el punto de acceso AP
5
10
15
20
25
30
35
40
45
50
55
inalambrico y el AC sobre la base del protocolo CAPWAP. El tunel de control establecido entre el punto de acceso AP inalambrico y el control AC utilizando el protocolo CAPWAP se utiliza para intercambiar un paquete de control entre el AC y el AP inalambrico; y el tunel de datos establecido el AP inalambrico y el AC utilizando el protocolo CAPWAP se utiliza para transmitir un paquete de datos enviado por un terminal de usuario. El paquete de datos transmitido por intermedio del tunel de datos y el paquete de control transmitido por intermedio del tunel de control, pueden transmitirse en una manera no encriptada. El protocolo de Seguridad de Capa de Transporte de Datagrama (en ingles: Datagram Transport Layer Security, DTLS) puede utilizarse tambien para encriptacion, para mejorar la seguridad del paquete de datos transmitido por intermedio del tunel de datos y la del paquete de control transmitido por el intermedio del tunel de control. En la forma de realizacion 1 de la presente invencion, en donde el protocolo DTLS se utiliza para encriptar el paquete de datos transmitido por intermedio del tunel de datos y el paquete de control transmitido por el intermedio del tunel de control se utiliza a modo de ejemplo, para describir, todavfa mas, la composicion estructural del paquete de datos y la del paquete de control.
El diagrama estructural esquematico de composicion del paquete de datos transmitido por intermedio del tunel de datos establecido utilizando el protocolo CAPWAP se ilustra en la Figura 3b. En la composicion estructural del paquete de datos transmitidos por intermedio del tunel de datos, el paquete de datos incluye una cabecera de direccion IP (IP Hdr en forma abreviada en el diagrama), una cabecera de Protocolo de Datagrama del Usuario (en ingles: User Datagram Protocol, UDP en forma abreviada), (UDP Hdr ilustrada en el diagrama), una cabecera DTLS (DTLS Hdr ilustrada en el diagrama), una cabecera de paquete CAPWAP (CAPWAP Hdr ilustrada en el diagrama) y una carga util inalambrica (en ingles: Wireless payload), en donde la carga util inalambrica se utiliza para transmitir datos. Mas concretamente, en la composicion estructural de la cabecera CAPWAP Hdr ilustrada en la Figura 3c, la cabecera CAPWAP Hdr incluye un identificador de campo, un desplazamiento de campo, un campo de direccion MAC inalambrico opcional u otra informacion inalambrica opcional.
La Figura 3d es un diagrama estructural esquematico de composicion de un paquete de control CAPWAP transmitido por intermedio del tunel de control. En una estructura del paquete de control CAPWAP transmitido por intermedio del tunel de control, el paquete de control CAPWAP incluye una cabecera de direccion IP (IP Hdr ilustrada en el diagrama), una cabecera UDP (UDP Hdr ilustrada en el diagrama), una cabecera DTLS (DTLS Hdr ilustrada en el diagrama), una cabecera de paquete CAPWAP (CAPWAP Hdr ilustrada en el diagrama), un campo de cabecera de control (en ingles: Control Header) que se utiliza para transmitir una funcion del paquete de control y un campo de elemento de mensaje (en ingles: Message Element) utilizado para transmitir el contenido del paquete de control. El contenido del paquete de control puede denominarse como informacion de control. La composicion estructural de una cabecera de control del paquete de control CAPWAP se ilustra en la Figura 3e. La informacion de control transmitida en el campo de elemento de mensaje puede ser valores de longitud tipo (en ingles: type-length- value, TLV en forma abreviada) de diferentes tipos, en donde T es un tipo de la informacion de control, L es una longitud de la informacion de control y V es un valor de la informacion de control. En una puesta en practica real, el valor de la informacion de control en el TLV puede extenderse, es decir, en un TLV, pueden incluirse, ademas, multiples TLVs extendidos incluidos en el valor V de la informacion de control, y estos TLVs extendidos pueden denominarse TLVs de nivel 2. Mas concretamente, en el campo de elemento de mensaje, si un valor de T en el TLV es 37, el TLV se utiliza para realizar una extension del contenido en la informacion de control. En las soluciones tecnicas dadas a conocer en la forma de realizacion 1 de la presente invencion, una manera de anadir un TLV de nivel 2 al elemento de mensaje en el que el valor de T es 37 se utiliza para realizar una extension del contenido en el mensaje de control. Mas concretamente, el elemento de mensaje en el que el valor de T es 37 puede denominarse como elemento de mensaje n° 37, en donde un formato estandar del elemento de mensaje n° 37 se ilustra en la tabla 1.
Tabla 1
Tipo de elemento de mensaje: 37, informacion definida por un proveedor de dispositivos, 2 bytes Longitud del elemento de mensaje: 2 bytes
Identificador del proveedor: valores que no son los mismos para diferentes fabricantes de dispositivos, 4 bytes
ID de elemento: 2 bytes Datos
En la tabla 1, los valores del campo de identificador del proveedor no son los mismos para diferentes fabricantes de dispositivos. A modo de ejemplo, un valor 2011 se utiliza como un ejemplo para la descripcion detallada en las soluciones tecnicas dadas a conocer en esta forma de realizacion de la presente invencion y el ejemplo se utiliza tambien en la descripcion siguiente.
El formato estandar del elemento de mensaje n° 37 se extiende, y un formato extendido del elemento de mensaje se ilustra en la tabla 2.
5
10
15
20
25
30
35
40
45
50
Tabla 2
Tipo de elemento de mensaje: 37, informacion definida por un proveedor de dispositivos, 2 bytes Longitud del elemento de mensaje: 2 bytes Identificador del proveedor: un valor de 2011, 4 bytes Tipo 1 de TLV nivel 2: 2 bytes Longitud 1 del TLV de nivel 2: 2 bytes Contenido 1 del TLV de nivel 2: ampliado Tipo 2 del TLV de nivel 2: 2 bytes Longitud 2 del TLV de nivel 2: 2 bytes Contenido 2 del TLV de nivel 2: ampliado
El hecho de que el protocolo CAPWAP estandar se extienda para establecer un tunel de transmision de paquetes entre un nodo de conmutacion de acceso y un nodo de conmutacion de agregacion se utiliza, a modo de ejemplo, para describir en detalle las soluciones tecnicas dadas a conocer en esta forma de realizacion de la presente invencion. El tunel de transmision de paquetes que se establece sobre la base del protocolo CAPWAP extendido incluye un tunel de control para transmitir informacion de control y un tunel de datos para transmitir informacion de datos. En una arquitectura de sistema ilustrada en la Figura 2, se establece el tunel de transmision entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso sobre la base del protocolo CAPWAP extendido. El hecho de que el nodo de conmutacion de acceso este conectado a al menos un terminal de usuario se utiliza, a modo de ejemplo, para la descripcion detallada. El nodo de conmutacion de acceso controla el reenvfo de datos de todas las interfaces.
Despues de que un terminal de usuario se conecte a una interfaz en el nodo de conmutacion de acceso, el nodo de conmutacion de acceso obtiene un identificador de interfaz de la interfaz conectada al terminal de usuario, obtiene una direccion de control de acceso al soporte (en ingles: media access control, MAC en forma abreviada) del terminal de usuario a partir del paquete recibido enviado por el terminal de usuario y envfa la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion por intermedio del tunel de transmision de paquetes establecido. El identificador de interfaz de la interfaz en el nodo de conmutacion de acceso puede preestablecerse, o puede ser una forma de combinacion de una identidad de dispositivo del nodo de conmutacion de acceso y un numero de secuencia (en ingles: sequence number) de la interfaz. A modo de ejemplo, si la identidad de dispositivo del nodo de conmutacion de acceso es ID, y el nodo de conmutacion de acceso incluye totalmente ocho interfaces numeradas de 1 a 8, los identificadores de interfaz de las ocho interfaces en el nodo de conmutacion de acceso pueden representarse como ID1, ID2, ... e ID8. El nodo de conmutacion de acceso puede recibir un paquete enviado por el terminal de usuario conectado a la vez en el nodo de conmutacion de acceso; determina, utilizando un procesador de serial del nodo de conmutacion de acceso, el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete; extrae un campo de direccion MAC origen del paquete recibido utilizando el procesador de serial del nodo de conmutacion de acceso, para obtener la direccion MAC del terminal de usuario; y enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion por intermedio del tunel de control que esta incluido en el tunel de transmision de paquetes establecido.
El procesador de serial del nodo de conmutacion de acceso puede ser una unidad central de procesamiento (en ingles: central processing unit, CPU en forma abreviada), una combinacion de una unidad CPU y un circuito integrado de hardware, un procesador de red (en ingles: network processor, NP en forma abreviada), una combinacion de una unidad CPU y un procesador NP o una combinacion de un procesador NP y un circuito integrado de hardware. El nodo de conmutacion de agregacion recibe la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, en donde la direccion MAC del terminal de usuario y el identificador de interfaz se envfan por el nodo de conmutacion de acceso por intermedio del tunel de transmision de paquetes; y mantiene una correspondencia entre la direccion MAC del terminal de usuario en funcion de la direccion MAC recibida y el identificador de interfaz recibido. La correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz que se mantiene por el nodo de conmutacion de agregacion puede memorizarse en una manera de memorizacion intermedia. La correspondencia se memoriza dentro de un penodo de tiempo; despues de completarse la autenticacion de acceso realizada en el terminal de usuario, puede suprimirse la correspondencia mantenida entre la direccion MAC del terminal de usuario y el identificador de interfaz.
El nodo de conmutacion de acceso tiene una funcion de aprendizaje de MAC (en ingles: MAC learning). La funcion de aprendizaje de MAC permite a un conmutador de red tener conocimiento de la direccion MAC de otro dispositivo
5
10
15
20
25
30
35
40
45
50
55
60
65
en una red, para identificar una interfaz a partir de la cual se envfa un paquete cuya direccion de destino sea la direccion MAC. Sin embargo, cuando el nodo de conmutacion de agregacion realiza el control sobre el acceso del terminal de usuario, si la funcion de aprendizaje de MAC del nodo de conmutacion de acceso no esta desactiva, el terminal de usuario puede acceder, sin ser autenticado, a una red utilizando el nodo de conmutacion de acceso. En este caso, no se puede controlar el acceso del terminal de usuario. En consecuencia, en un escenario operativo en el que el nodo de conmutacion de agregacion controla el acceso del terminal de usuario, la funcion de aprendizaje de MAC del nodo de conmutacion de acceso esta desactivada. En un caso en el que se desactiva la funcion de aprendizaje de MAC, el terminal de usuario no puede acceder directamente a una red y el nodo de conmutacion de acceso no puede encontrar, en funcion de la direccion MAC del terminal de usuario, el identificador de interfaz de la interfaz conectada al terminal de usuario. Por lo tanto, en esta forma de realizacion de la presente invencion, la correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz se mantiene por el nodo de conmutacion de agregacion. Durante un proceso de puesta en practica del control sobre el acceso del terminal de usuario, aunque el nodo de conmutacion de acceso no pueda obtener, en una manera de aprendizaje de MAC, la direccion MAC del terminal de usuario o el identificador de interfaz de la interfaz conectada al terminal de usuario, el nodo de conmutacion de acceso puede determinar, utilizando un procesador de serial del nodo de conmutacion de acceso tal como una unidad CPU o un NP y en una manera de software, el identificador de interfaz de la interfaz que recibe el paquete, aprende satisfactoriamente la direccion MAC del terminal de usuario a partir del paquete enviado por el terminal de usuario y realiza, ademas, el control sobre el acceso del terminal de usuario utilizando la direccion MAC aprendida del terminal de usuario.
El nodo de conmutacion de acceso recibe el paquete enviado por el terminal de usuario que esta conectado a la interfaz en el nodo de conmutacion de acceso en una manera cableada; encapsula el paquete sobre la base del protocolo para establecer el tunel de transmision de paquetes; y luego, reenvfa el paquete encapsulado al nodo de conmutacion de agregacion sobre la base del tunel de transmision de paquetes establecido. A modo de ejemplo, el nodo de conmutacion de acceso encapsula, sobre la base del protocolo CAPWAP, el paquete recibido enviado por el terminal de usuario, y luego, envfa el paquete encapsulado al nodo de conmutacion de agregacion.
El nodo de conmutacion de agregacion recibe el paquete que se envfa por el terminal de usuario y reenviado por el nodo de conmutacion de acceso, desencapsula el paquete recibido y pone en practica, en funcion del paquete desencapsulado, la autenticacion de acceso del terminal de usuario que envfa el paquete. A modo de ejemplo, cuando el nodo de conmutacion de agregacion recibe el paquete que esta encapsulado sobre la base del protocolo CAPWAP y se transmite por intermedio del tunel de transmision de paquetes establecido en funcion del protocolo CAPWAP, el nodo de conmutacion de agregacion desencapsula tambien el paquete recibido sobre la base del protocolo CAPWAP y realiza, en conformidad con el paquete desencapsulado, la autenticacion sobre el terminal de usuario que envfa el paquete. Despues de realizar satisfactoriamente la autenticacion de acceso en el terminal de usuario, el nodo de conmutacion de agregacion determina, a partir de la correspondencia mantenida entre la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, el identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado, y envfa el identificador de interfaz determinado al nodo de conmutacion de acceso.
De modo opcional, despues de realizar satisfactoriamente la autenticacion de acceso sobre el terminal de usuario, el nodo de conmutacion de agregacion puede determinar, ademas, un permiso de acceso del terminal de usuario, y enviar el permiso de acceso determinado del terminal de usuario al nodo de conmutacion de acceso junto con el identificador de interfaz determinado. El permiso de acceso puede ser uno o mas de los permisos de acceso siguientes:
un primer permiso de acceso, que es un permiso del terminal de usuario para acceder a una red de area local virtual (en ingles: virtual local area network, VLAN en forma abreviada), a modo de ejemplo, si una red tiene multiples redes VLANs, el permiso indica si el terminal de usuario puede acceder a todas las redes VLANs o las redes VLANs que puedan ser espedficamente objeto de acceso por el terminal de usuario; y
un segundo permiso de acceso, que consiste en determinar una lista de control de accesos (en ingles: access control list, aCl en forma abreviada) del terminal de usuario.
El nodo de conmutacion de acceso recibe el identificador de interfaz enviado por el nodo de conmutacion de agregacion, determina, en conformidad con el identificador de interfaz recibido, la interfaz que esta en el nodo de conmutacion de acceso y corresponde al identificador de interfaz, y pone en practica el control sobre el acceso del terminal de usuario controlando la interfaz determinada. A modo de ejemplo, la etapa anterior puede incluir que el nodo de conmutacion de acceso puede activar, en funcion del identificador de interfaz enviado por el nodo de conmutacion de agregacion, la interfaz correspondiente al identificador de interfaz recibido, y permitir al terminal de usuario, que esta conectado a la interfaz, acceder a una red.
De modo opcional, el nodo de conmutacion de agregacion determina, en conformidad con el identificador de interfaz recibido, la interfaz que esta en el nodo de conmutacion de acceso y que corresponde al identificador de interfaz, y realiza el control sobre el acceso del terminal de usuario controlando la interfaz determinada; o puede configurar o
5
10
15
20
25
30
35
40
45
50
55
modificar, en conformidad con el permiso de acceso recibido enviado por el nodo de conmutacion de agregacion, un permiso de acceso de la interfaz que esta en el nodo de conmutacion de acceso y que corresponde al identificador de interfaz, para controlar el terminal de usuario, que esta conectado a la interfaz, para acceder a una red en conformidad con el permiso de acceso.
El paquete enviado por el terminal de usuario puede ser un paquete 802.1x del Instituto de Ingenieros Electricos y Electronicos (en ingles: Institute of Electrical and Electronics Engineers, IEEE en forma abreviada) u otro tipo de paquete tal como un paquete de Protocolo de Resolucion de Direccion (en ingles: Address Resolution Protocol, ARP en forma abreviada) o un paquete de Protocolo de Configuracion de Host Dinamico (en ingles: Dynamic Host Configuration Protocol, DHCP en forma abreviada). A continuacion se utiliza un paquete IEEE 802.1x a modo de ejemplo para describir, en detalle, las soluciones tecnicas dadas a conocer en la forma de realizacion 1 de la presente invencion.
La autenticacion de acceso del terminal de usuario se pone en practica sobre la base del paquete IEEE 802.1x enviado por el terminal de usuario.
En primer lugar, el tunel de transmision de paquetes que incluye el tunel de control y el tunel de datos se establece a este respecto, sobre la base del protocolo CAPWAP extendido, entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso. El tunel de transmision de paquetes que se establece, sobre la base del protocolo CAPWAP, entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso incluye el tunel de control y el tunel de datos. El nodo de conmutacion de acceso envfa informacion de atributo del nodo de conmutacion de acceso al nodo de conmutacion de agregacion por intermedio del tunel de control establecido. La informacion de atributos del nodo de conmutacion de acceso incluye un identificador del nodo de conmutacion de acceso, a modo de ejemplo, una direccion MAC del nodo de conmutacion de acceso, que puede representarse como un conmutador MAC. La informacion de atributos del nodo de conmutacion de acceso puede incluir, ademas, informacion de version de firmware del nodo de conmutacion de acceso, que puede representarse como TYPE_SWITCH_VERSION. La informacion de atributos puede ponerse en practica extendiendo el elemento de mensaje n° 37 entre los elementos de mensaje en el paquete de control CAPWAP. El elemento de mensaje n° 37 extendido se envfa al nodo de conmutacion de agregacion por intermedio del tunel de control. Un campo de elemento de mensaje en el paquete de control transmitido por intermedio del tunel de control se utiliza para transmitir informacion de control, en donde el elemento de mensaje puede ser TLVs de diferentes tipos. En el campo de elemento de mensaje, si un valor de T en el TLV es 37, el TLV se utiliza para realizar una extension del contenido sobre la informacion de control. En las soluciones tecnicas dadas a conocer en la forma de realizacion 1 de la presente invencion, una manera de anadir un nivel 2 TLV al elemento de mensaje en el que se utiliza el valor de T es 37 para realizar la extension de contenido en el mensaje de control. Mas concretamente, el elemento de mensaje en el que el valor de T es 37 puede denominarse como un elemento de mensaje n° 37, en donde un formato estandar del elemento de mensaje n° 37 se ilustra en la tabla 1 anterior.
En segundo lugar, despues de que se establezca el tunel de transmision de paquetes entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso sobre la base del protocolo CAPWAP, el nodo de conmutacion de agregacion mantiene una correspondencia entre el tunel de transmision de paquetes, que se establece sobre la base del protocolo CAPWAP y un identificador del nodo de conmutacion de acceso tal como Switch MAC.
A modo de ejemplo, si se supone que el identificador del nodo de conmutacion de acceso es Switch 23, despues de que se establezca un tunel de transmision de paquetes 1 entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso cuyo identificador es Switch 23, el nodo de conmutacion de agregacion puede mantener una correspondencia entre el tunel de transmision de paquetes 1 y el Switch 23. De este modo, cuando el nodo de conmutacion de acceso cuyo identificador es Switch 23 envfa un paquete al nodo de conmutacion de agregacion por intermedio del tunel de transmision de paquetes establecido posteriormente, y cuando el nodo de conmutacion de agregacion procesa o responde al paquete, el nodo de conmutacion de agregacion puede determinar, a partir de la correspondencia mantenida entre el tunel de transmision de paquetes 1 y Switch 23, un dispositivo que envfa el paquete por intermedio del canal de transmision de paquetes, y un canal de transmision de paquetes por intermedio del que se transmite informacion de respuesta al nodo de conmutacion de acceso. Mas concretamente, el contenido incluido en el elemento de mensaje n° 37 en el paquete de control CAPWAP extendido del nodo de conmutacion de acceso puede ser segun se ilustra en la tabla 3.
Tabla 3
Tipo de elemento de mensaje: 37, 2 bytes Longitud de elemento de mensaje: 2 bytes Identificador del proveedor: un valor de 2011, 4 bytes Tipo 1 de nivel 2 TLV: TYPE_SWITCH_MAC, 2 bytes Longitud 1 de nivel 2 TLV: 0x06, 2 bytes
5
10
15
20
25
30
35
40
45
Contenido 1 de nivel 2 TLV: Switch MAC Longitud 2 de nivel 2 TLV: 0x04, 2 bytes Contenido 2 de nivel 2 TLV: version Switch
Para el tunel de transmision de paquetes que se establece sobre la base del protocolo CAPWAP, el nodo de conmutacion de agregacion establece una manera de autenticacion de cada nodo de conmutacion de acceso para la autenticacion basada en IEEE 802.1x. A modo de ejemplo, el nodo de conmutacion de agregacion puede establecer, ademas, una manera de autenticacion de una interfaz en cada nodo de conmutacion de acceso segun la autenticacion basada en la norma IEEE 802.1x.
Cuando se establece una conexion entre el terminal de usuario y la interfaz en el nodo de conmutacion de agregacion, el nodo de conmutacion de acceso recibe el paquete 802.1x enviado por el terminal de usuario, obtiene el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete 802.1x y obtiene la direccion MAC del terminal de usuario a partir del paquete 802.1x recibido enviado por el terminal de usuario. El nodo de conmutacion de acceso envfa la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion por intermedio del tunel de transmision paquetes establecido sobre la base del protocolo CAPWAP. El tunel de transmision de paquetes que se establece sobre la base del protocolo CAPWAP incluye el tunel de control y el tunel de datos, en donde el tunel de control puede utilizarse para transmitir el paquete de control CAPWAP y el tunel de datos puede utilizarse para transmitir el paquete de datos CAPWAP. De este modo, el nodo de conmutacion de acceso puede enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion por intermedio del tunel de control.
Mas concretamente, el nodo de conmutacion de acceso puede enviar, sobre la base del TLV de nivel 2 extendido, la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion, en donde el nivel 2 de TLV extendido se ilustra en la tabla 4. USER_MAC ilustrado en la tabla 4 es la direccion MAC del terminal de usuario, y el mdice de interfaz es el identificador de interfaz.
Tabla 4
Tipo de elemento de mensaje: 37, 2 bytes Longitud de elemento de mensaje: 2 bytes Identificador del proveedor: un valor de 2011, 4 bytes Tipo 1 de TLV nivel 2: TYPE_USER_MAC, 2 bytes Longitud 1 de nivel 2 TLV: 0x06, 2 bytes Contenido 1 de nivel 2 TLV: USER MAC Tipo 2 de nivel 2 TLV: TYPE_USER_SWITCH-IF, 2 bytes Longitud 2 de nivel 2 TLV: 0x04, 2 bytes Contenido 2 de nivel 2 TLV: mdice de interfaz
El nodo de conmutacion de acceso captura, en la interfaz del nodo de conmutacion de acceso, el paquete 802.1x de IEEE enviado por el terminal de usuario, envfa el paquete IEEE 802.1x capturado al nodo de conmutacion de agregacion por intermedio del canal de transmision de paquetes establecido sobre la base del protocolo CAPWAP. El tunel de transmision de paquetes que se establece sobre la base del protocolo CAPWAP incluye el tunel de control y el tunel de datos, en donde el tunel de control puede utilizarse para transmitir el paquete de control CAPWAP y el tunel de datos puede utilizarse para transmitir el paquete de datos CAPWAP. Despues de la encapsulacion del paquete IEEE 802.1x capturado sobre la base del protocolo CAPWAP, el nodo de conmutacion de acceso puede enviar el paquete IEEE 802.1x encapsulado al nodo de conmutacion de agregacion por intermedio del tunel de datos.
El nodo de conmutacion de agregacion recibe la direccion MAC del terminal de usuario y el identificador de interfaz y mantiene la correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz.
En las soluciones tecnicas dadas a conocer en la forma de realizacion 1 de la presente invencion, el hecho de que una direccion MAC del terminal de usuario y un identificador de interfaz que es una direccion MAC y un numero de interfaz del nodo de conmutacion de acceso, se utilicen a modo de ejemplo para la descripcion detallada. Un terminal de usuario 1 y un nodo de conmutacion de acceso 1 ilustrados en la Figura 2 se utilizan, a modo de ejemplo, para una descripcion detallada. Se supone que un identificador del terminal de usuario 1 es UE MAC1, un identificador del nodo de conmutacion de acceso 1 es AP MAC1 y el nodo de conmutacion de acceso 1 proporciona un total de ocho interfaces de acceso numeradas desde 1 a 8. Si el terminal de usuario 1 esta conectado a la
5
10
15
20
25
30
35
40
segunda interfaz, el identificador de interfaz de la interfaz es AP MAC1-2. Cuando el terminal de usuario 1 esta conectado al nodo de conmutacion de acceso 1, el terminal de usuario 1 envfa un paquete, y el nodo de conmutacion de acceso obtiene el identificador de interfaz AP MAC1-2 de la interfaz conectada al terminal de usuario 1. El nodo de conmutacion de acceso 1 captura el paquete enviado por el terminal de usuario 1, utiliza un procesador de senal del nodo de conmutacion de acceso 1 para analizar el paquete capturado, para obtener el identificador UE MAC1 del terminal de usuario 1 en el paquete y envfa el UE MAC1 obtenido y AP MAC1-2 al nodo de conmutacion de agregacion por intermedio del tunel de control extendiendo el elemento de mensaje n° 37 en el paquete de control CAPWAP. A modo de ejemplo, el hecho de que el identificador del terminal y el identificador de interfaz que se reciben por el nodo de conmutacion de agregacion sean respectivamente UE MAC1 y AP MAC1-2 se utiliza a modo de ejemplo para la descripcion detallada. El nodo de conmutacion de agregacion recibe UE MAC1 y AP MAC1-2 que se envfan por el nodo de conmutacion de acceso, y establece y memoriza una correspondencia entre UE MAC1 y AP MAC1-2.
El nodo de conmutacion de acceso recibe el paquete IEEE 802.1x enviado por el terminal de usuario, encapsula el paquete IEEE 802.1x recibido sobre la base del protocolo CAPWAP y luego, envfa el paquete encapsulado al nodo de conmutacion de agregacion por intermedio del tunel de datos.
El nodo de conmutacion de agregacion recibe el paquete IEEE 802.1x que esta encapsulado sobre la base del protocolo CAPWAP, desencapsula el paquete IEEE 802.1x recibido que esta encapsulado sobre la base del protocolo CAPWAP, y realiza una autenticacion de acceso en conformidad con el paquete IEEE 802.1x desencapsulado.
De modo opcional, el nodo de conmutacion de agregacion puede limitar, ademas, la informacion de permiso del terminal de usuario. Despues de que una autenticacion satisfactoria, el nodo de conmutacion de agregacion determina el permiso de acceso del terminal de usuario. El nodo de conmutacion de agregacion determina, a partir de la correspondencia mantenida entre la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, un identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado, y envfa el identificador de interfaz determinado al nodo de conmutacion de acceso.
De modo opcional, el nodo de conmutacion de agregacion puede enviar, ademas, el permiso de acceso determinado del terminal de usuario al nodo de conmutacion de acceso junto con el identificador de interfaz determinado.
Informacion tal como la direccion MAC del terminal de usuario, el identificador de interfaz y el permiso de acceso del terminal de usuario pueden enviarse por el nodo de conmutacion de agregacion al nodo de conmutacion de acceso utilizando el nivel 2 de TLV extendido. El nivel 2 de TLV extendido puede ser segun se ilustra en la tabla 5. Para un contenido 3 del campo de nivel 2 de TLV en la tabla 5, se utiliza USER VLAN para indicar una red VLAN a la que puede accederse por el terminal de usuario; para un contenido 4 del campo de nivel 2 de TLV, se utiliza un campo de reglas para indicar el permiso de acceso del terminal de usuario.
Tabla 5
Tipo de elemento de mensaje: 37, 2 bytes Longitud de elemento de mensaje: 2 bytes Identificador del proveedor: un valor de 2011, 4 bytes Tipo 1 de nivel 2 TLV: TYPE_USER_MAC, 2 bytes Longitud 1 de nivel 2 TLV: 0x06, 2 bytes Contenido 1 de nivel 2 TLV: USER MAC Tipo 2 de nivel 2 TLV: TYPE_USER_SWITCH_IF, 2 bytes Longitud 2 de nivel 2 TLV: 0x04, 2 bytes Contenido 2 de nivel 2 TLV: mdice de interfaz Tipo 3 de nivel 2 TLV: TYPE_USER_VLAN, 2 bytes Longitud 3 de nivel 2 TLV: 0x02, 2 bytes Contenido 3 de nivel 2 TLV: USER VLAN Tipo 4 de nivel 2 TLV: TYPE_USER_ACL, 2 bytes Longitud 4 de nivel 2 TLV: ampliado, 2 bytes Contenido 4 de nivel 2 TLV: informacion de reglas
5
10
15
20
25
30
35
40
45
50
55
60
65
El nodo de conmutacion de acceso determina una interfaz correspondiente en el nodo de conmutacion de acceso en conformidad con el identificador de interfaz transmitido en el mensaje de autenticacion satisfactoria, activa la interfaz y permite al terminal de usuario acceder a una red.
De modo opcional, el nodo de conmutacion de acceso puede controlar, ademas, en conformidad con el permiso de acceso recibido entregado por el nodo de conmutacion de agregacion, la interfaz correspondiente al identificador de interfaz, para realizar el control sobre el permiso de acceso del terminal de usuario.
En las soluciones tecnicas anteriores dadas a conocer en esta forma de realizacion de la presente invencion, el nodo de conmutacion de agregacion que tiene una funcion de reenvfo de paquetes se utiliza a modo de ejemplo para una descripcion detallada. En la puesta en practica espedfica, el controlador dispuesto independientemente en el sistema puede utilizarse, ademas, para poner en practica las soluciones tecnicas para controlar el acceso del terminal de usuario. Una arquitectura de sistema ilustrada en la Figura 4 incluye al menos un controlador (en ingles: controller) que esta dispuesto independientemente, al menos un nodo de conmutacion de acceso y al menos un dispositivo de reenvfo de paquetes. El dispositivo de reenvfo de paquetes puede ser un nodo de conmutacion de agregacion. El controlador puede conectarse directamente al nodo de conmutacion de agregacion o puede conectarse al nodo de conmutacion de agregacion utilizando un enrutador que esta dispuesto a este respecto. Cada nodo de conmutacion de acceso del al menos un nodo de conmutacion de acceso esta conectado a un nodo de conmutacion de agregacion del al menos un nodo de conmutacion de agregacion. Cualquier nodo de conmutacion de acceso del al menos un nodo de conmutacion de acceso puede conectarse a al menos un terminal de usuario en una manera cableada, o puede no conectarse a ningun terminal de usuario, es decir, una interfaz utilizada para conexion a un terminal de usuario esta en un estado inactivo.
Un tunel de transmision de paquetes se establece entre el controlador y el nodo de conmutacion de acceso. El tunel de transmision de paquetes entre el controlador el nodo de conmutacion de acceso puede establecerse en conformidad con un protocolo propietario prestablecido o extendido un protocolo estandar. El protocolo estandar puede ser el protocolo CAPWAP. En esta forma de realizacion de la presente invencion, el hecho de que un tunel de transmision de paquetes se establezca extendiendo el protocolo CAPWAP se utiliza a modo de ejemplo para una descripcion detallada. El tunel de transmision de paquetes que se establece sobre la base del protocolo CAPWAP extendido incluye un tunel de control para transmitir informacion de control y tunel de datos para transmitir informacion de datos.
Despues de que se establezca el tunel de transmision de paquetes sobre la base del protocolo CAPWAP, cuando un terminal de usuario esta conectado a una interfaz en el nodo de conmutacion de acceso y envfa un paquete, el nodo de conmutacion de acceso obtiene un identificador de interfaz de la interfaz que recibe el paquete, es decir, un identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete; obtiene una direccion MAC del terminal de usuario a partir del paquete recibido; y envfa la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al controlador por intermedio del tunel de transmision de paquetes establecido. El identificador de interfaz de la interfaz en el nodo de conmutacion de acceso puede preestablecerse o puede ser una forma de combinacion de una identidad de dispositivo del nodo de conmutacion de acceso y un numero de secuencia de la interfaz.
El nodo de conmutacion de acceso puede recibir un paquete enviado por el terminal de usuario conectado a la interfaz en el nodo de conmutacion de acceso; determinar, utilizando un procesador de serial del nodo de conmutacion de acceso, el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete, extraer un campo de direccion MAC origen del paquete recibido utilizando el procesador de serial, para obtener la direccion MAC del terminal de usuario; y enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion por intermedio del tunel de control que esta incluido en el tunel de transmision de paquetes establecido.
El procesador de serial del nodo de conmutacion de acceso puede ser una unidad CPU, una combinacion de una unidad CPU y un circuito integrado de hardware, un NP, una combinacion de una unidad CPU y un NP o una combinacion de un NP y un circuito integrado de hardware.
El controlador recibe la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, en donde la direccion MAC del terminal de usuario y el identificador de interfaz se envfan por el nodo de conmutacion de acceso por intermedio del tunel del transmision de paquetes, y mantiene una correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz en conformidad con la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido. La correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz que se mantiene por el controlador puede memorizarse en una manera de memorizacion intermedia. La correspondencia se memoriza dentro de un penodo de tiempo; despues de que este terminada la autenticacion del acceso realiza en el terminal de usuario, puede suprimirse la correspondencia mantenida entre la direccion MAC del terminal de usuario y el identificador de interfaz.
El nodo de conmutacion de acceso recibe el paquete enviado por el terminal de usuario que esta conectado a la
5
10
15
20
25
30
35
40
45
50
55
60
65
interfaz en el nodo de conmutacion de acceso en una manera cableada; encapsula el paquete sobre la base del protocolo que se utiliza para establecer el tunel de transmision de paquetes; y luego, reenvfa el paquete encapsulado al controlador por intermedio del tunel de transmision de paquetes establecido. El nodo de conmutacion de acceso encapsula, sobre la base del protocolo CAPWAP, el paquete recibido que se envfa por el terminal de usuario y luego, envfa el paquete encapsulado al controlador.
El controlador recibe el paquete que se envfa por el terminal de usuario y reenviado por el nodo de conmutacion de acceso, desencapsula el paquete recibido y pone en practica, en conformidad con el paquete desencapsulado, la autenticacion de acceso en el terminal de usuario que envfa el paquete. A modo de ejemplo, cuando el controlador recibe el paquete que esta encapsulado sobre la base del protocolo CAPWAP y se transmite por intermedio del tunel de transmision de paquetes establecido sobre la base del protocolo CAPWAP, el controlador desencapsula tambien el paquete recibido sobre la base del protocolo CAPWAP, y realiza, en conformidad con el paquete desencapsulado, la autenticacion sobre el terminal de usuario que envfa el paquete. Despues de la realizacion satisfactoria de la autenticacion de acceso en el terminal de usuario, el controlador determina, a partir de la correspondencia mantenida entre la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, el identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado y envfa el identificador de interfaz determinado al nodo de conmutacion de acceso.
De modo opcional, despues de la realizacion satisfactoria de la autenticacion de acceso en el terminal de usuario, el controlador puede determinar, ademas, un permiso de acceso del terminal de usuario y enviar el permiso de acceso determinado del terminal de usuario al nodo de conmutacion de acceso junto con el identificador de interfaz determinado. El permiso de acceso puede ser uno o mas de los permisos de acceso siguientes:
un primer permiso de acceso, que es un permiso del terminal de usuario para acceder a una red VLAN; a modo de ejemplo, si una red tiene multiples redes VLANs, el permiso indica si el terminal de usuario puede acceder a todas las redes VLANs o las redes VLANs que puedan ser espedficamente objeto de acceso por el terminal de usuario; y
un segundo permiso de acceso, que consiste en determinar una lista ACL del terminal de usuario.
Cuando se recibe el identificador de interfaz enviado por el controlador, el nodo de conmutacion de acceso determina, en conformidad con el identificador de interfaz recibido, la interfaz que esta en el nodo de conmutacion de acceso y que corresponde al identificador de interfaz, y realiza el control sobre el acceso del terminal de usuario controlando la interfaz determinada.
A modo de ejemplo, la etapa anterior puede incluir que el nodo de conmutacion de acceso pueda activar, en conformidad con el identificador de interfaz enviado por el nodo de conmutacion de agregacion, la interfaz correspondiente al identificador de interfaz recibido, y permitir al terminal de usuario, que esta conectado a la interfaz, acceder a una red.
De modo opcional, el nodo de conmutacion de acceso puede determinar, ademas, en funcion del identificador de interfaz recibido, la interfaz que esta en el nodo de conmutacion de acceso y que corresponde al identificador de interfaz, y realizar el control sobre el acceso del terminal de usuario controlando la interfaz determinada; o puede configurar o modificar, de conformidad con el permiso de acceso recibido enviado por el nodo de conmutacion de agregacion, un permiso de acceso de la que esta en el nodo de conmutacion de acceso y que corresponde al identificador de interfaz, para controlar el terminal de usuario, que esta conectado a la interfaz, para acceder a una red de conformidad con el permiso de acceso. El paquete enviado por el terminal de usuario puede ser un paquete IEEE 802.1x u otro tipo de paquete tal como un paquete ARP o un paquete DHCP.
Forma de realizacion 2
Sobre la base de la arquitectura del sistema ilustrada en la Figura 2, la forma de realizacion 2 de la presente invencion da a conocer un metodo para controlar el acceso de un terminal de usuario. Segun se ilustra en la Figura 5, un procedimiento de procesamiento espedfico del metodo es como sigue:
Etapa 51: Establecer un tunel de transmision de paquetes entre un nodo de conmutacion de acceso y un nodo de conmutacion de agregacion.
El tunel de transmision de paquetes entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso puede establecerse en conformidad con un protocolo propietario prestablecido o extendiendo un protocolo estandar. A modo de ejemplo, el protocolo estandar puede ser un protocolo CAPWAP. En la forma de realizacion 2 de la presente invencion, el hecho de que el tunel de transmision de paquetes se establezca extendiendo el protocolo CAPWAP se utiliza, a modo de ejemplo, para una descripcion detallada. El tunel de transmision de paquetes que se establece sobre la base del protocolo CAPWAP extendido incluye un tunel de control para transmitir informacion de control y un tunel de datos para transmitir informacion de datos.
5
10
15
20
25
30
35
40
45
50
55
60
65
Etapa 52: El nodo de conmutacion de acceso obtiene una direccion MAC de un terminal de usuario conectado a una interfaz en el nodo de conmutacion de acceso y un identificador de interfaz de la interfaz conectada al terminal de usuario.
El terminal de usuario esta conectado a la interfaz en el nodo de conmutacion de acceso en una manera cableada, y envfa un paquete.
Cuando el terminal de usuario esta conectado a la interfaz en el nodo de conmutacion de acceso y envfa un paquete, el nodo de conmutacion de acceso obtiene el identificador de interfaz de la interfaz conectada al terminal de usuario, captura el paquete enviado por el terminal de usuario, obtiene la direccion MAC del terminal de usuario a partir del paquete capturado, y envfa la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion por intermedio del tunel de transmision de paquetes establecido. El identificador de interfaz de la interfaz en el nodo de conmutacion de acceso puede preestablecerse, o puede ser una forma de combinacion de una identidad de dispositivo del nodo de conmutacion de acceso y un numero de secuencia de la interfaz. El nodo de conmutacion de acceso puede recibir un paquete enviado por el terminal de usuario conectado a la interfaz en el nodo de conmutacion de acceso; determinar, utilizando un procesador de serial del nodo de conmutacion de acceso, el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete; extraer un campo de direccion MAC origen del paquete recibido utilizando el procesador de serial, para obtener la direccion MAC del terminal de usuario; y enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion por intermedio del tunel de control que esta incluido en el tunel de transmision de paquetes establecido.
El procesador de serial del nodo de conmutacion de acceso puede ser una unidad CPU, una combinacion de una CPU y un circuito integrado de hardware, un NP, una combinacion de una CPU y un NP, o una combinacion de un NP y un circuito integrado de hardware.
El paquete que se envfa por el terminal de usuario y se captura por el nodo de conmutacion de acceso puede incluir paquete IEEE 802.1x, un paquete ARP o un paquete DHCP.
Etapa 53: El nodo de conmutacion de acceso envfa el identificador de interfaz obtenido y la direccion MAC obtenida del terminal de usuario al nodo de conmutacion de agregacion por intermedio del tunel de transmision de paquetes establecido.
El tunel de transmision de paquetes que se establece sobre la base del protocolo CAPWAP incluye el tunel de control y el tunel de datos, en donde el tunel de control puede utilizarse para transmitir un paquete de control y el tunel de datos puede utilizarse para transmitir un paquete de datos. De este modo, el nodo de conmutacion de acceso puede enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion por intermedio del tunel de control. El nodo de conmutacion de acceso puede enviar, sobre la base del nivel 2 de TLV extendido, la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion. El nivel 2 de TLV extendido se describe en la tabla 4 anterior.
Etapa 54: El nodo de conmutacion de agregacion recibe la direccion MAC del terminal de usuario y el identificador de interfaz que se envfa por el nodo de conmutacion de acceso, y mantiene una correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz.
La correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz que se mantiene por el nodo de conmutacion de agregacion puede memorizarse en una manera de memorizacion intermedia. La correspondencia se memoriza dentro de un penodo de tiempo; despues de que se termine la autenticacion de acceso realizada en el terminal de usuario, puede suprimirse la correspondencia mantenida entre la direccion MAC del terminal de usuario y el identificador de interfaz.
Etapa 55: El nodo de conmutacion de acceso captura, en la interfaz del nodo de conmutacion de acceso, un paquete enviado por el terminal de usuario y envfa el paquete capturado al nodo de conmutacion de agregacion por intermedio del canal de transmision de paquetes establecido sobre la base del protocolo CAPWAP.
El tunel de transmision de paquetes que se establece sobre la base del protocolo CAPWAP incluye el tunel de control y el tunel de datos, en donde el tunel de control puede utilizarse para transmitir un paquete de control y el tunel de datos puede utilizarse para transmitir un paquete de datos. El nodo de conmutacion de acceso puede encapsular el paquete capturado sobre la base del protocolo CAPWAP y luego, enviar el paquete encapsulado al nodo de conmutacion de agregacion por intermedio del tunel de datos.
Etapa 56: El nodo de conmutacion de agregacion recibe el paquete que se envfa por intermedio del tunel de transmision de paquetes, desencapsula el paquete recibido, obtiene la direccion MAC del terminal de usuario y realiza la autenticacion de acceso en el terminal de usuario.
5
10
15
20
25
30
35
40
45
50
55
60
65
El nodo de conmutacion de agregacion recibe el paquete encapsulado sobre la base del protocolo CAPWAP, desencapsula el paquete recibido que esta encapsulado sobre la base del protocolo CAPWAP y realiza la autenticacion de acceso en conformidad con el paquete desencapsulado.
Una manera espedfica de puesta en practica de la autenticacion de acceso en el terminal es la misma que la autenticacion de acceso comun y sus detalles no se describen de nuevo en esta forma de realizacion de la presente invencion.
Etapa 57: Despues de una autenticacion satisfactoria, el nodo de conmutacion de agregacion determina, a partir de la correspondencia mantenida entre la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, el identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado y envfa el identificador de interfaz determinado al terminal de usuario.
De modo opcional, despues de la realizacion satisfactoria de la autenticacion de acceso sobre el terminal de usuario, el nodo de conmutacion de agregacion puede determinar, ademas, un permiso de acceso del terminal de usuario y envfa el permiso de acceso determinado del terminal de usuario al nodo de conmutacion de acceso junto con el identificador de interfaz determinado.
Un mensaje de autenticacion satisfactoria enviado por el nodo de conmutacion de agregacion al nodo de conmutacion de acceso puede incluir informacion tal como la direccion MAC del terminal de usuario, el identificador de interfaz y el permiso de acceso del terminal de usuario y la informacion puede enviarse al nodo de conmutacion de acceso utilizando el nivel 2 de TLV extendido. El nivel 2 de TLV extendido puede ser segun se describio en la tabla 5 anterior.
Etapa 58: El nodo de conmutacion de acceso recibe el identificador de interfaz enviado por el nodo de conmutacion de agregacion, activa la interfaz correspondiente al identificador de interfaz y realiza el control sobre el acceso del terminal de usuario controlando la interfaz determinada.
A modo de ejemplo, el nodo de conmutacion de acceso puede activar, en conformidad con el identificador de interfaz enviado por el nodo de conmutacion de agregacion, la interfaz correspondiente al identificador de interfaz recibido, y permitir al terminal de usuario, que esta conectado a la interfaz, acceder a una red para la transmision de paquetes.
De modo opcional, el nodo de conmutacion de acceso puede recibir, ademas, el permiso de acceso que esta en correspondencia con el terminal de usuario y se envfa por el nodo de conmutacion de agregacion; y realizar el control, controlando la interfaz conectada al terminal de usuario, el terminal de usuario para acceder a una red en conformidad con el permiso de acceso recibido.
El paquete enviado por el terminal de usuario puede ser un paquete IEEE 802.1x u otro tipo de paquete tal como un paquete ARP o un paquete DHCP.
El diagrama de flujo del metodo para controlar el acceso de un terminal de usuario ilustrado en la Figura 5 y el metodo anterior para controlar el acceso de un terminal de usuario dado a conocer en la forma de realizacion 2 de la presente invencion son simplemente maneras de puesta en practica preferidas descritas en esta forma de realizacion de la presente invencion. En una puesta en practica espedfica, puede realizarse un procesamiento alternativo en conformidad con el procedimiento del metodo anterior.
Forma de realizacion 3
En consecuencia, sobre la base de la arquitectura de sistema ilustrada en la Figura 2 y para un nodo de conmutacion de agregacion, una forma de realizacion de la presente invencion da a conocer un metodo para controlar el acceso de un terminal de usuario. Segun se ilustra en la Figura 6a, un procedimiento de procesamiento espedfico del metodo es como sigue:
Etapa 61: Establecer, entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso, un tunel de transmision de paquetes que incluye un tunel de control y un tunel de datos.
El nodo de conmutacion de agregacion puede establecer el tunel de transmision de paquetes con el nodo de conmutacion de acceso sobre la base de un protocolo propietario o sobre la base de la extension de un protocolo estandar. En la forma de realizacion 3 de la presente invencion, el tunel de transmision de paquetes se establece entre el controlador y el nodo de conmutacion de acceso sobre la base de la extension del protocolo CAPWAP.
Para un proceso de establecer el tunel de transmision de paquetes sobre la base del protocolo CAPWAP, puede hacerse referencia a la descripcion detallada en la forma de realizacion 1 y por ello, los detalles no se describen de nuevo en la forma de realizacion 3 de la presente invencion.
5
10
15
20
25
30
35
40
45
50
55
60
65
Durante un proceso de establecimiento del tunel de transmision de paquetes entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso sobre la base del protocolo CAPWAP, el nodo de conmutacion de agregacion mantiene una correspondencia entre el tunel de transmision de paquetes establecido y el nodo de conmutacion de acceso. A modo de ejemplo, se supone que el identificador del nodo de conmutacion de acceso es Switch 23, despues de que se establezca el tunel de transmision de paquetes 1 establecido entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso cuyo identificador es Switch 23, el nodo de conmutacion de agregacion puede mantener una correspondencia entre el tunel de transmision de paquetes 1 y Switch 23. De este modo, cuando el nodo de conmutacion de acceso cuyo identificador es Switch 23 envfa un paquete al nodo de conmutacion de agregacion por intermedio del tunel de transmision de paquetes establecido con posterioridad, y cuando el nodo de conmutacion de agregacion procesa o responde al paquete, el nodo de conmutacion de agregacion puede determinar, a partir de la correspondencia mantenida entre el tunel de transmision de paquetes 1 y Switch 23, un dispositivo que envfa el paquete, un canal de transmision de paquetes por el que se envfa el paquete, un nodo de conmutacion de acceso al que ha de transmitirse el paquete y un canal de transmision de paquetes por intermedio del cual se transmitira la informacion de respuesta.
Etapa 62: El nodo de conmutacion de agregacion recibe un paquete de autenticacion enviado por el nodo de conmutacion de acceso por intermedio del tunel de datos establecido.
El paquete enviado por el nodo de conmutacion de acceso es un paquete que se envfa por el terminal de usuario conectado a una interfaz en el nodo de conmutacion de acceso y se captura en la interfaz por el nodo de conmutacion de acceso. El paquete capturado se envfa al nodo de conmutacion de agregacion despues de ser encapsulado sobre la base del protocolo CAPWAP. El paquete capturado por el nodo de conmutacion de acceso puede ser un paquete 802.1x, un paquete ARP o un paquete DHCP.
Etapa 63: El nodo de conmutacion de agregacion obtiene una direccion MAC en un campo de direccion MAC origen del paquete de autenticacion y realiza la autenticacion de acceso en un terminal de usuario que corresponde a la direccion MAC obtenida.
Etapa 64: Despues de que se realice la autenticacion de acceso satisfactoriamente en el terminal de usuario, a partir de una correspondencia mantenida entre una direccion MAC de un terminal de usuario y un identificador de interfaz, un identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado.
Una correspondencia entre una direccion MAC de un terminal de usuario y un identificador de interfaz del nodo de conmutacion de acceso conectado al terminal de usuario puede determinarse en la manera siguiente: recibir la direccion MAC del terminal de usuario que se envfa por el nodo de conmutacion de acceso por intermedio del tunel de control y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, en donde la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario se obtiene por el nodo de conmutacion de acceso cuando el terminal de usuario establece una conexion con la interfaz en el nodo de conmutacion de acceso, y envfa un paquete por intermedio de la interfaz conectada; y establecer una correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz en conformidad con la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido.
La correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz que se mantiene por el nodo de conmutacion de agregacion puede memorizarse en una manera de memorizacion instantanea. La correspondencia se memoriza dentro de un penodo de tiempo; despues de que la autenticacion de acceso realizada en el terminal de usuario este completa, se puede suprimir la correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz. Mas concretamente, para el establecimiento de la correspondencia entre una direccion MAC de un terminal de usuario y un identificador de interfaz, puede hacerse referencia a la descripcion detallada en la forma de realizacion 1 y la forma de realizacion 2, y los detalles no se describen, de nuevo, en la forma de realizacion 3 de la presente invencion.
Etapa 65: Enviar el identificador de interfaz determinado al nodo de conmutacion de acceso por intermedio del tunel de control establecido entre el controlador y el nodo de conmutacion de acceso y dar instrucciones al nodo de conmutacion de acceso para activar la interfaz que corresponde al identificador de interfaz.
De modo opcional, la autenticacion de acceso realizada en el terminal de usuario puede incluir, ademas, la determinacion de un permiso de acceso del terminal de usuario. El nodo de conmutacion de agregacion envfa el permiso de acceso determinado del terminal de usuario al nodo de conmutacion de acceso por intermedio del tunel de control, da instrucciones al nodo de conmutacion de acceso para controlar, en conformidad con el permiso de acceso, el terminal de usuario para pasar a traves del identificador de interfaz.
En correspondencia, la forma de realizacion 3 de la presente invencion da a conocer, ademas, un aparato para controlar el acceso de un terminal de usuario. Segun se ilustra en la Figura 6b, el aparato incluye:
5
10
15
20
25
30
35
40
45
50
55
60
65
un modulo de recepcion 701, configurado para: recibir un paquete de autenticacion enviado por intermedio de un tunel de datos establecido y transmitir el paquete de autenticacion recibido a un modulo de obtencion 702;
el modulo de obtencion 702, configurado para: obtener el paquete de autenticacion transmitido por el modulo de recepcion 701, obtener una direccion MAC en un campo de direccion MAC origen del paquete de autenticacion, y transmitir la direccion MAC obtenida a un modulo de autenticacion 703;
el modulo de autenticacion 703, configurado para: recibir la direccion MAC transmitida por el modulo de obtencion 702, realizar la autenticacion de acceso sobre el terminal de usuario que corresponde a la direccion MAC y transmitir un resultado de la autenticacion satisfactoria a un modulo de determinacion 704;
el modulo de determinacion 704, configurado para: obtener el resultado de la autenticacion satisfactoria que se transmite por el modulo de autenticacion 703, determinar, a partir de una correspondencia mantenida entre una direccion MAC de un terminal de usuario y un identificador de interfaz, un identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado, en donde el identificador de interfaz es un identificador de interfaz de una interfaz en un nodo de conmutacion de acceso conectado al terminal de usuario; y transmitir el identificador de interfaz a un modulo de envfo 705; y
el modulo de envfo 705, configurado para: obtener el identificador de interfaz transmitido por el modulo de determinacion 704, enviar el identificador de interfaz determinado al nodo de conmutacion de acceso por intermedio de un tunel de control establecido entre el controlador y el nodo de conmutacion de acceso y dar instrucciones al nodo de conmutacion de acceso para activar la interfaz correspondiente al identificador de interfaz.
El modulo de recepcion anterior 701 esta configurado, ademas, para: recibir la direccion MAC del terminal de usuario enviada por el nodo de conmutacion de acceso por intermedio del tunel de control y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso que se conecta al terminal de usuario, en donde la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario se obtienen por el nodo de conmutacion de acceso cuando el terminal de usuario establece una conexion con la interfaz en el nodo de conmutacion de acceso, y envfa un paquete por intermedio de la interfaz conectada; y transmitir la direccion MAC recibida en el identificador de interfaz recibido a un modulo de establecimiento 706.
El aparato comprende, ademas, el modulo de establecimiento 706, configurado para: obtener la direccion MAC y el identificador de interfaz que se transmiten por el modulo de recepcion 705, y establecer una correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz en conformidad con la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido.
En correspondencia, la forma de realizacion 3 de la presente invencion da a conocer, ademas, un conmutador de red. Segun se ilustra en la Figura 6c, el conmutador de red incluye: una interfaz 801, una memoria 803 y un procesador de serial 804.
La interfaz 801 esta configurada para: recibir un paquete de autenticacion enviado por intermedio de tunel de datos establecido y transmitir el paquete de autenticacion recibido al procesador de serial 804 por intermedio de un bus de conexion 802.
La interfaz 801 puede ser una o mas de entre: un controlador de interfaz de red (en ingles: network interface controller, NIC en forma abreviada) que proporciona una interfaz cableada, a modo de ejemplo, un NIC de Ethernet que puede proporcionar una interfaz cableada de cobre y/o una interfaz de fibra; un NlC que proporciona una interfaz inalambrica, a modo de ejemplo, un NIC de red de area local inalambrica (en ingles: wireless local area network, WLAN en forma abreviada).
La memoria 803 esta configurada para: memorizar un codigo de programa y memorizar una correspondencia entre una direccion MAC de un terminal de usuario y un identificador de interfaz, y transmitir el codigo de programa memorizado al procesador de serial 804 por intermedio del bus de conexion 802.
La memoria 803 puede ser una memoria volatil (en ingles: volatile memory), a modo de ejemplo, una memoria de acceso aleatorio (en ingles: random-access memory, RAM en forma abreviada); o una memoria no volatil (en ingles: non-volatile memory), a modo de ejemplo, una memoria instantanea (en ingles: flash memory), una unidad de disco duro (en ingles: hardware disk drive, HDD en forma abreviada) o una unidad de estado solido (en ingles: solid-state drive, SSD en forma abreviada) o una combinacion de memorias de los tipos anteriores.
El procesador de serial 804 esta configurado para: obtener, utilizando el bus 802, el codigo de programa memorizado en la memoria 803 y ejecutar lo que sigue de conformidad con el codigo de programa obtenido: obtener la direccion MAC en un campo de direccion MAC origen del paquete de autenticacion; realizar una autenticacion de acceso sobre el terminal de usuario correspondiente a la direccion MAC; despues de una autenticacion satisfactoria de acceso, obtener la correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz
5
10
15
20
25
30
35
40
45
50
55
60
65
que se memorizan en la memoria 803; determinar, a partir de la correspondencia obtenida entre la direccion MAC del terminal de usuario y el identificador de interfaz, un identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado, en donde el identificador de interfaz es un identificador de interfaz de la interfaz en un nodo de conmutacion de acceso conectado al terminal de usuario; y transmitir el identificador de interfaz a la interfaz 801 por intermedio del bus de conexion 802.
El procesador de senal 804 puede ser una unidad central de procesamiento (en ingles: central processing unit, CPU en forma abreviada), una combinacion de una unidad CPU y un circuito integrado de hardware, un procesador de red (en ingles: network processor, NP en forma abreviada), una combinacion de una CPU y un NP o una combinacion de un NP y un circuito integrado de hardware.
El circuito integrado de hardware anterior puede ser uno o una combinacion de los circuitos integrados siguientes: un circuito integrado espedfico de la aplicacion (en ingles: application-specific integrated circuit, ASIC en forma abreviada), un conjunto matricial de puertas electronicas programables in situ (en ingles: field-programmable gate array, FPGA en forma abreviada) y un dispositivo logico programable complejo (en ingles: complex programmable logic device, CPLD en forma abreviada).
La interfaz anterior 801 esta configurada, ademas, para: obtener, utilizando el bus 802, el identificador de interfaz transmitido por el procesador de senal 804, enviar el identificador de interfaz determinado al nodo de conmutacion de acceso por intermedio del tunel de control establecido entre el controlador y el nodo de conmutacion de acceso, y dar instrucciones al nodo de conmutacion de acceso para activar la interfaz correspondiente al identificador de interfaz.
La interfaz anterior 801 esta configurada, ademas, para: recibir la direccion MAC del terminal de usuario enviada por el nodo de conmutacion de acceso por intermedio del tunel de control, y el identificador de interfaz de una interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, en donde la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario se obtienen por el nodo de conmutacion de acceso cuando el terminal de usuario establece una conexion con la interfaz en el nodo de conmutacion de acceso, y envfa un paquete por intermedio de la interfaz conectada; y transmitir la direccion MAC recibida y el identificador de interfaz recibido al procesador de senal 804 por el intermedio del bus de conexion.
El procesador de senal 804 esta configurado, ademas, para: obtener, utilizando el bus de conexion 802, la direccion MAC y el identificador de interfaz que se transmiten por la interfaz 801; establecer una correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz en conformidad con la direccion MAC del terminal de usuario y el identificador de interfaz recibido; y transmitir la correspondencia establecida entre la direccion MAC y el identificador de interfaz a la memoria 803 por intermedio del bus 802.
En correspondencia, sobre la base de la arquitectura del sistema ilustrada en la Figura 2 y para un nodo de conmutacion de acceso, la forma de realizacion 3 de la presente invencion da a conocer un metodo para controlar el acceso de un terminal de usuario. Segun se ilustra en la Figura 7a, un procedimiento de procesamiento espedfico del metodo es como sigue:
Etapa 71: Establecer, entre el nodo de conmutacion de acceso y un nodo de conmutacion de agregacion, un tunel de transmision de paquetes que incluye un tunel de control y un tunel de datos.
El nodo de conmutacion de agregacion puede establecer el tunel de transmision de paquetes con el nodo de conmutacion de acceso sobre la base de un protocolo propietario o sobre la base de la extension de protocolo estandar. En la forma de realizacion 3 de la presente invencion, el tunel de transmision de paquetes se establece entre el controlador y el nodo de conmutacion de acceso sobre la base de la extension del protocolo CAPWAP.
Para un proceso de establecer el tunel de transmision de paquetes sobre la base del protocolo CAPWAP, puede hacerse referencia a la descripcion detallada en la forma de realizacion 1 y los detalles no se describen de nuevo en la forma de realizacion 3 de la presente invencion.
Durante un proceso de establecimiento del tunel de transmision de paquetes entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso sobre la base del protocolo CAPWAP, el nodo de conmutacion de agregacion mantiene una correspondencia entre el tunel de transmision de paquetes establecido y el nodo de conmutacion de acceso. A modo de ejemplo, se supone que el identificador del nodo de conmutacion de acceso es Switch 23, despues de que se establezca un tunel de transmision de paquetes 1 entre el nodo de conmutacion de agregacion y el nodo de conmutacion de acceso cuyo identificador es Switch 23, el nodo de conmutacion de agregacion puede mantener una correspondencia entre el tunel de transmision de paquetes 1 y Switch 23. De este modo, cuando el nodo de conmutacion de acceso cuyo identificador es Switch 23 envfa un paquete al nodo de conmutacion de agregacion por intermedio del tunel de transmision de paquetes establecido con posterioridad, y cuando el nodo de conmutacion de agregacion procesa o responde al paquete, el nodo de conmutacion de agregacion puede determinar, a partir de la correspondencia mantenida entre el tunel de transmision de paquetes 1
5
10
15
20
25
30
35
40
45
50
55
60
65
y Switch 23, un dispositivo que envfa el paquete, un canal de transmision de paquetes a traves del cual se envfa el paquete, un nodo de conmutacion de acceso al que ha de transmitirse el paquete y un canal de transmision de paquetes por intermedio del cual se transmitira la informacion de respuesta.
Etapa 72: Cuando se desactiva una funcion de aprendizaje de control de acceso al soporte MAC, el nodo de conmutacion de acceso recibe un paquete de autenticacion enviado por un terminal de usuario que esta conectado a una interfaz en el nodo de conmutacion de acceso.
Etapa 73: Obtener un identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y obtener una direccion MAC del terminal de usuario a partir del paquete de autenticacion recibido.
El nodo de conmutacion de acceso determina, utilizando un procesador de senal que es capaz de realizar una funcion de procesamiento de conformidad con un codigo de programa, el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y transmite el paquete de autenticacion recibido al procesador de senal del nodo de conmutacion de acceso; y el procesador de senal obtiene, a partir de un campo de direccion MAC origen del paquete de autenticacion, la direccion MAC del terminal de usuario que envfa el paquete de autenticacion.
Etapa 74: Enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido al nodo de conmutacion de agregacion por intermedio del tunel de control establecido.
Etapa 75: Recibir el identificador de interfaz enviado por el nodo de conmutacion de agregacion por intermedio del tunel de control y activar, en conformidad con el identificador de interfaz recibido, la interfaz correspondiente al identificador de interfaz.
El identificador de interfaz es un identificador de interfaz que esta determinado, despues de que el nodo de conmutacion de agregacion realice satisfactoriamente la autenticacion de acceso en el terminal de usuario, a partir de la correspondencia mantenida entre la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario y que corresponde a la direccion MAC del terminal de usuario satisfactoriamente autenticado.
Para una manera de puesta en practica espedfica de establecer, por el nodo de conmutacion de agregacion, la correspondencia entre el identificador del terminal y el identificador de interfaz, puede hacerse referencia a la descripcion detallada en la forma de realizacion 1 o la forma de realizacion 2, y los detalles no se describen de nuevo en la forma de realizacion 3 de la presente invencion.
De modo opcional, el nodo de conmutacion de acceso recibe un permiso de acceso que es del terminal de usuario correspondiente a la direccion MAC y se envfa por el controlador por intermedio del tunel de control; y configura o modifica, en conformidad con el permiso de acceso recibido enviado por el nodo de conmutacion de agregacion, el permiso de acceso de la interfaz que esta en el nodo de conmutacion de acceso y esta en correspondencia con el identificador de interfaz, para controlar el terminal de usuario, que esta conectado a la interfaz, para acceder a una red en conformidad con el permiso de acceso.
En correspondencia, la forma de realizacion 3 de la presente invencion da a conocer, ademas, un aparato para controlar el acceso de un terminal de usuario. Segun se ilustra en la Figura 7b, el aparato incluye:
un modulo de recepcion 901, configurado para: cuando se desactiva una funcion de aprendizaje de control de acceso al soporte MAC, recibir un paquete de autenticacion enviado por un terminal de usuario que esta conectado a una interfaz en el nodo de conmutacion de acceso, y transmitir el paquete de autenticacion a un modulo de obtencion 902;
el modulo de obtencion 902, configurado para: recibir el paquete de autenticacion transmitido por el modulo de recepcion 901, obtener un identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, obtener una direccion MAC del terminal de usuario a partir del paquete de autenticacion recibido y transmitir el identificador de interfaz y la direccion MAC a un modulo de envfo 903;
el modulo de envfo 903, configurado para: recibir el identificador de interfaz y la direccion MAC que se transmiten por el modulo de obtencion 902 y enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido a un controlador por intermedio de un tunel de control establecido entre el controlador y el nodo de conmutacion de acceso, de modo que el controlador mantenga una correspondencia entre la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido; en donde
el modulo de recepcion anterior 901, esta configurado, ademas, para: recibir el identificador de interfaz enviado por el controlador por intermedio del tunel de control y transmitir el identificador de interfaz a un modulo de control 904, en donde el identificador de interfaz es un identificador de interfaz que se determina a partir de la correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz despues de que el controlador realice, de
5
10
15
20
25
30
35
40
45
50
55
60
65
forma satisfactoria, la autenticacion de acceso en el terminal de usuario que corresponde a la direccion MAC y que corresponde a la direccion MAC del terminal de usuario satisfactoriamente autenticado; y
el modulo de control 904, configurado para: obtener el identificador de interfaz transmitido por el modulo de recepcion 901 y activar, en conformidad con el identificador de interfaz recibido, la interfaz correspondiente al identificador de interfaz.
Mas concretamente, el modulo de recepcion anterior 901 esta configurado, ademas, para: recibir un permiso de acceso que es del terminal de usuario correspondiente a la direccion MAC y se envfa por el controlador por intermedio del tunel de control, y transmitir el permiso de acceso al modulo de control; y el modulo de control 904 esta espedficamente configurado para: obtener el permiso de acceso transmitido por el modulo de recepcion 901, y configurar o modificar, en conformidad con un permiso de acceso recibido enviado por un nodo de conmutacion de agregacion, el permiso de acceso de la interfaz que esta en el nodo de conmutacion de acceso y que corresponde al identificador de interfaz, para controlar el terminal de usuario, que se conecta a la interfaz, para acceder a una red en conformidad con el permiso de acceso.
Mas concretamente, el modulo de obtencion anterior 902 incluye concretamente un procesador de serial, y esta configurado para: determinar el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y obtener el paquete de autenticacion transmitido por el modulo de recepcion; y el procesador de senal obtiene, a partir de un campo de direccion MAC origen del paquete de autenticacion, la direccion MAC del terminal de usuario que envfa el paquete de autenticacion.
En correspondencia, la forma de realizacion 3 de la presente invencion da a conocer, ademas, un conmutador de red. Segun se ilustra en la Figura 7c, el conmutador de red incluye: una interfaz 101 y un procesador de senal 103.
La interfaz 101 esta configurada para: cuando se desactiva una funcion de aprendizaje de control de acceso al soporte MAC, recibir un paquete de autenticacion enviado por un terminal de usuario que esta conectado a una interfaz en el nodo de conmutacion de acceso, y transmitir el paquete de autenticacion al procesador de senal 103 por intermedio de un bus 102.
La interfaz 101 puede ser una o mas de entre: un NIC que proporciona una interfaz cableada, a modo de ejemplo, un NIC de Ethernet que puede proporcionar una interfaz cableada de cobre y/o una interfaz de fibra.
El procesador de senal 103 esta configurado para: recibir, por intermedio del bus 102, el paquete de autenticacion transmitido por la interfaz 101, obtener un identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el mensaje de autenticacion, obtener una direccion MAC del terminal de usuario a partir del paquete de autenticacion recibido y transmitir el identificador de interfaz y la direccion MAC a la interfaz 101 por intermedio del bus 102.
El procesador de senal 103 puede ser una unidad CPU, una combinacion de una CPU y un circuito integrado de hardware, un NP, una combinacion de una CPU y un NP o una combinacion de un NP y un circuito integrado de hardware.
El circuito integrado de hardware anterior puede ser uno o una combinacion de los circuitos integrados siguientes: ASIC, FPGA, CPLD y similares.
De modo opcional, en un caso en el que el procesador de senal 103 es una unidad CPU o una combinacion de componentes que incluyen una CPU, un dispositivo de retransmision puede incluir, ademas, una memoria, en donde la memoria esta configurada para memorizar un codigo de programa. El procesador de senal obtiene el codigo de programa memorizado a partir de la memoria y realiza el procesamiento correspondiente en funcion del codigo de programa obtenido.
La memoria puede ser una memoria volatil, a modo de ejemplo, una memoria de acceso aleatorio; o una memoria no volatil, a modo de ejemplo, una memoria de solamente lectura (en ingles: read-only memory, ROM en forma abreviada), una memoria instantanea, una unidad de disco duro o una unidad de estado solido; o una combinacion de las memorias de los tipos anteriores.
La interfaz anterior 101 esta configurada, ademas, para: recibir, por intermedio del bus 102, el identificador de interfaz y la direccion MAC que se transmiten por el procesador de senal 103 y enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido a un controlador por intermedio de un tunel de control establecido, de modo que el controlador mantenga una correspondencia entre la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido.
La interfaz anterior 101 esta configurada, ademas, para: recibir el identificador de interfaz enviado por el controlador por intermedio del tunel de control, y transmitir el identificador de interfaz al procesador de senal 103 por intermedio del bus 102, en donde el identificador de interfaz es un identificador de interfaz que se determina a partir de la
5
10
15
20
25
30
35
40
45
50
55
60
65
correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz despues de que el controlador realice, de forma satisfactoria, la autenticacion de acceso del terminal de usuario correspondiente a la direccion MAC y corresponde a la direccion MAC del terminal de usuario satisfactoriamente autenticado.
El procesador de senal 103 esta configurado para: obtener, utilizando el bus 102, el identificador de interfaz transmitido por la interfaz 101 y activar, en conformidad con el identificador de interfaz recibido, la interfaz correspondiente al identificador de interfaz.
Mas concretamente, la interfaz 101 esta configurada, ademas, para: recibir un permiso de acceso que es del terminal de usuario correspondiente a la direccion MAC y se envfa por el controlador por intermedio del tunel de control, y transmitir el permiso de acceso al procesador de senal 103 por intermedio del bus 102. El procesador de senal 103 esta espedficamente configurado para: obtener el permiso de acceso transmitido por la interfaz 101 por intermedio del bus 102 y configurar o modificar, en conformidad con el permiso de acceso recibido, el permiso de acceso de la interfaz que esta en el nodo de conmutacion de acceso y que corresponde al identificador de interfaz, para controlar el terminal de usuario, que esta conectado a la interfaz, para acceder a una red en conformidad con el permiso de acceso.
Mas concretamente, el procesador de senal anterior 103 esta configurado para: determinar el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y obtener el paquete de autenticacion transmitido por la interfaz 101; y el procesador de senal 103 obtiene, a partir del campo de direccion MAC origen del paquete de autenticacion, la direccion MAC del terminal de usuario que envfa el paquete de autenticacion.
En las soluciones tecnicas dadas a conocer en las formas de realizacion de la presente invencion, un control centralizado sobre el acceso de terminales de usuario puede realizarse en un nodo de conmutacion de agregacion y el control de polftica distribuido puede realizarse en un nodo de conmutacion de acceso, para controlar las funciones de reenvfo de datos de terminales de usuario en una capa de acceso mientras se realiza una gestion centralizada de los terminales de usuario. De este modo, una manera de puesta en practica es relativamente facil, una arquitectura de sistema es relativamente simple y la seguridad de la red se puede mejorar todavfa mas.
Un experto en esta tecnica debe entender que las formas de realizacion de la presente invencion pueden proporcionarse como un metodo, un aparato (dispositivo) o un producto de programa informatico. Por lo tanto, la presente invencion puede utilizar una forma de realizacion solamente de hardware, solamente de software o formas de realizacion con una combinacion de software y hardware. Ademas, la presente invencion puede utilizar una forma de un producto de programa informatico que se pone en practica en uno o mas soportes de memorizacion utilizables por ordenador (incluyendo, sin limitacion, una memoria de disco, una memoria de solamente lectura optica, una memoria optica y similares) que incluyen un codigo de programa utilizable por ordenador.
La presente invencion se describe con referencia a los diagramas de flujo y/o diagramas de bloque del metodo, el aparato (dispositivo) y el producto de programa informatico en conformidad con las formas de realizacion de la presente invencion. Debe entenderse que las instrucciones del programa informatico pueden utilizarse para realizar cada procedimiento y/o cada bloque en los diagramas de flujo y/o los diagramas de bloques y una combinacion de un procedimiento y/o un bloque en los diagramas de flujo y/o los diagramas de bloques. Estas instrucciones de programa informatico pueden proporcionarse para un ordenador de uso general, un ordenador especializado, un procesador incorporado o un procesador de cualquier otro dispositivo de procesamiento de datos programable para generar una maquina, de modo que las instrucciones ejecutadas por un ordenador o un procesador de cualquier otro dispositivo de procesamiento de datos programable generan un aparato para realizar una funcion especificada en uno o mas procedimientos en los diagramas de flujo y/o en uno o mas bloques en los diagramas de bloques.
Las instrucciones de programa informatico pueden memorizarse tambien en una memoria legible por ordenador que puede dar instrucciones al ordenador o a cualquier dispositivo de procesamiento de datos programable para trabajar de una manera espedfica, de modo que las instrucciones memorizadas en la memoria legible por ordenador generen un artefacto informatico que incluya un aparato de instruccion. El aparato de instruccion realiza una funcion espedfica en uno o mas procedimientos en los diagramas de flujo y/o en uno o mas bloques en los diagramas de bloques.
Estas instrucciones de programa informatico pueden cargarse tambien en un ordenador u otro dispositivo de procesamiento de datos programable, de modo que una serie de operaciones y etapas se realicen en el ordenador o el otro dispositivo programable, con lo que se genera un procesamiento realizado por ordenador. En consecuencia, las instrucciones ejecutadas en el ordenador o el otro dispositivo programable proporcionan etapas para realizar una funcion espedfica en uno o mas procedimientos en los diagramas de flujo y/o en uno o mas bloques en los diagramas de bloques.
Aunque algunas formas de realizacion preferidas de la presente invencion han sido descritas, los expertos en esta tecnica pueden realizar cambios y modificaciones a estas formas de realizacion una vez que asimilen el concepto inventivo basico. Por lo tanto, las siguientes reivindicaciones estan previstas para interpretarse como que cubren las
formas de realizacion preferidas y todos los cambios y modificaciones que caigan dentro del alcance de la presente invencion.

Claims (10)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Un metodo para controlar el acceso de un terminal de usuario, que comprende:
    recibir (62), por un controlador, un paquete de autenticacion enviado por un nodo de conmutacion de acceso por intermedio de un tunel de datos establecido;
    obtener (63), por el controlador, una direccion de control de acceso al soporte, MAC, en un campo de direccion MAC origen del paquete de autenticacion;
    despues de que se ponga en practica, de forma satisfactoria, una autenticacion de acceso en un terminal de usuario correspondiente a la direccion MAC obtenida, determinar (64), a partir de una correspondencia mantenida entre una direccion MAC de un terminal de usuario y un identificador de interfaz, un identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado, en donde el identificador de interfaz es un identificador de interfaz de una interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario; y
    enviar (65), por el controlador, el identificador de interfaz determinado al nodo de conmutacion de acceso por intermedio de un tunel de control establecido entre el controlador y el nodo de conmutacion de acceso, y dar instrucciones al nodo de conmutacion de acceso para permitir la activacion de la interfaz correspondiente al identificador de interfaz.
  2. 2. El metodo segun la reivindicacion 1, antes de que se ponga en practica la autenticacion de acceso en el terminal de usuario correspondiente a la direccion MAC, la correspondencia entre una direccion MAC de un terminal de usuario y un identificador de interfaz se determina en la manera siguiente:
    recibir, por el controlador, la direccion MAC del terminal de usuario enviada por el nodo de conmutacion de acceso por intermedio del tunel de control, y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, en donde la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario se obtiene por el nodo de conmutacion de acceso cuando el terminal de usuario establece una conexion con la interfaz en el nodo de conmutacion de acceso, y enviar un paquete por intermedio de la interfaz conectada; y
    establecer una correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz en conformidad con la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido.
  3. 3. Un metodo para controlar el acceso de un terminal de usuario, que comprende:
    cuando se desactiva una funcion de aprendizaje de control de acceso al soporte, MAC, recibir (72) por un nodo de conmutacion de acceso, un paquete de autenticacion enviado por un terminal de usuario que esta conectado a una interfaz en el nodo de conmutacion de acceso;
    obtener (73), por el nodo de conmutacion de acceso, un identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y obtener una direccion MAC del terminal de usuario a partir del paquete de autenticacion recibido;
    enviar (74), por el nodo de conmutacion de acceso, la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido a un controlador por intermedio de un tunel de control establecido, de modo que el controlador mantenga una correspondencia entre la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido;
    recibir (75), por el nodo de conmutacion de acceso, el identificador de interfaz enviado por el controlador por intermedio del tunel de control, en donde el identificador de interfaz es un identificador de interfaz que se determina a partir de la correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz despues de que el controlador ponga en practica, de forma satisfactoria, la autenticacion de acceso en el terminal de usuario correspondiente a la direccion MAC, y esta en correspondencia con la direccion MAC del terminal de usuario satisfactoriamente autenticado; y
    activar, por el nodo de conmutacion de acceso en conformidad con el identificador de interfaz recibido, la interfaz correspondiente al identificador de interfaz.
  4. 4. El metodo segun la reivindicacion 3, que comprende, ademas: recibir, por el nodo de conmutacion de agregacion, un permiso de acceso que es del terminal de usuario correspondiente a la direccion MAC y se envfa por el controlador por intermedio del tunel de control; y
    la activacion por el nodo de conmutacion de acceso, de conformidad con el identificador de interfaz recibido, de la interfaz correspondiente al identificador de interfaz comprende:
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    configurar o modificar, en conformidad con un permiso de acceso recibido enviado por el nodo de conmutacion de agregacion, el permiso de acceso de la interfaz que esta en el nodo de conmutacion de acceso y correspondiente al identificador de interfaz, para controlar el terminal de usuario, que esta conectado a la interfaz, para acceder a una red en funcion del permiso de acceso.
  5. 5. El metodo segun la reivindicacion 3 o 4, en donde la obtencion, por el nodo de conmutacion de acceso, de un identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y la obtencion de una direccion MAC del terminal de usuario a partir del paquete de autenticacion recibido, comprende:
    determinar, por el nodo de conmutacion de acceso utilizando un procesador de senal que es capaz de realizar una funcion de procesamiento en conformidad con un codigo de programa, el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y transmitir el paquete de autenticacion recibido al procesador de senal del nodo de conmutacion de acceso; y obtener, por el procesador de senal a partir de un campo de direccion MAC origen del paquete de autenticacion, la direccion MAC del terminal de usuario que envfa el paquete de autenticacion.
  6. 6. Un aparato para controlar el acceso de un terminal de usuario, que comprende:
    un modulo de recepcion (701), configurado para: recibir un paquete de autenticacion enviado por intermedio de un tunel de datos establecido, y transmitir el paquete de autenticacion recibido a un modulo de obtencion;
    el modulo de obtencion (702) configurado para: obtener el paquete de autenticacion transmitido por el modulo de recepcion, obtener una direccion de control de acceso al soporte, MAC, en un campo de direccion MAC origen del paquete de autenticacion, y transmitir la direccion MAC obtenida a un modulo de autenticacion;
    el modulo de autenticacion (703), configurado para: recibir la direccion MAC transmitida por el modulo de obtencion, poner en practica la autenticacion de acceso sobre un terminal de usuario correspondiente a la direccion MAC y transmitir un resultado de autenticacion satisfactoria a un modulo de determinacion;
    el modulo de determinacion (704), configurado para: obtener el resultado de la realizacion satisfactoria de la autenticacion transmitido por el modulo de autenticacion; determinar, a partir de una correspondencia mantenida entre una direccion MAC de un terminal de usuario y un identificador de interfaz, un identificador de interfaz correspondiente a la direccion MAC del terminal de usuario satisfactoriamente autenticado, en donde el identificador de interfaz es un identificador de interfaz de un interfaz de un nodo de conmutacion de acceso conectado al terminal de usuario; y transmitir el identificador de interfaz a un modulo de envfo; y
    el modulo de envfo (705), configurado para: obtener el identificador de interfaz transmitido por el modulo de determinacion, enviar el identificador de interfaz determinado al nodo de conmutacion de acceso por intermedio de un tunel de control establecido entre el controlador y el nodo de conmutacion de acceso, y dar instrucciones al nodo de conmutacion de acceso para activar la interfaz correspondiente a la identificador de interfaz.
  7. 7. El aparato segun la reivindicacion 6, en donde:
    el modulo de recepcion esta configurado, ademas, para: recibir la direccion MAC del terminal de usuario enviada por el nodo de conmutacion de acceso por intermedio del tunel de control, y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario, en donde la direccion MAC del terminal de usuario y el identificador de interfaz de la interfaz en el nodo de conmutacion de acceso conectado al terminal de usuario se obtienen por el nodo de conmutacion de acceso cuando el terminal de usuario establece una conexion con la interfaz en el nodo de conmutacion de acceso, y envfa un paquete por intermedio de la interfaz conectada, y transmitir la direccion MAC recibida y el identificador de interfaz recibido a un modulo de establecimiento; y
    el aparato comprende, ademas, el modulo de establecimiento, configurado para: obtener la direccion MAC y el identificador de interfaz que se transmiten por el modulo de recepcion, y establecer una correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz en conformidad con la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido.
  8. 8. Un aparato para controlar el acceso de un terminal de usuario, que comprende:
    un modulo de recepcion (901), configurado para: cuando se desactiva una funcion de aprendizaje de control de acceso al soporte, MAC, recibir un paquete de autenticacion enviado por un terminal de usuario que esta conectado a una interfaz en un nodo de conmutacion de acceso, y transmitir el paquete de autenticacion a un modulo de obtencion;
    el modulo de obtencion (902), configurado para: recibir el paquete de autenticacion transmitido por el modulo de recepcion, obtener un identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete
    5
    10
    15
    20
    25
    30
    35
    de autenticacion, obtener una direccion MAC del terminal de usuario a partir del paquete de autenticacion recibido y transmitir el identificador de interfaz y la direccion MAC a un modulo de envfo;
    el modulo de envfo (903), configurado para: recibir el identificador de interfaz y la direccion MAC que se transmiten por el modulo de obtencion, y enviar la direccion MAC obtenida del terminal de usuario y el identificador de interfaz obtenido a un controlador por intermedio de un tunel de control establecido entre el controlador y el nodo de conmutacion de acceso, de modo que el controlador mantenga una correspondencia entre la direccion MAC recibida del terminal de usuario y el identificador de interfaz recibido; en donde
    el modulo de recepcion (901) esta configurado, ademas, para: recibir el identificador de interfaz enviado por el controlador por intermedio del tunel de control, y transmitir el identificador de interfaz a un modulo de control, en donde el identificador de interfaz es un identificador de interfaz que se determina a partir de la correspondencia entre la direccion MAC del terminal de usuario y el identificador de interfaz despues de que el controlador realice, de forma satisfactoria, la autenticacion de acceso en el terminal de usuario correspondiente a la direccion MAC, y esta en correspondencia con la direccion MAC del terminal de usuario satisfactoriamente autenticado; y
    el modulo de control (904) configurado para: obtener el identificador de interfaz transmitido por el modulo de
    recepcion, y activar, en conformidad con el identificador de interfaz recibido, la interfaz correspondiente al
    identificador de interfaz.
  9. 9. El aparato segun la reivindicacion 8, en donde el modulo de recepcion esta configurado, ademas, para: recibir un permiso de acceso que es del terminal de usuario que es correspondiente a la direccion MAC y se envfa por el controlador por intermedio del tunel de control, y transmitir el permiso de acceso al modulo de control; y
    el modulo de control esta espedficamente configurado para: obtener el permiso de acceso transmitido por el modulo de recepcion, y configurar o modificar, en conformidad con un permiso de acceso recibido enviado por un nodo de conmutacion de agregacion, el permiso de acceso de la interfaz que esta en el nodo de conmutacion de acceso y correspondiente al identificador de interfaz, para controlar el terminal de usuario, que esta conectado a la interfaz, para tener acceso a una red de conformidad con el permiso de acceso.
  10. 10. El aparato segun la reivindicacion 8 o 9, en donde el modulo de obtencion comprende espedficamente un
    procesador de serial que es capaz de realizar una funcion de procesamiento en conformidad con un codigo de
    programa, y esta configurado para: determinar el identificador de interfaz de la interfaz conectada al terminal de usuario que envfa el paquete de autenticacion, y obtener el paquete de autenticacion transmitido por el modulo de recepcion; y el procesador de serial obtiene, a partir de un campo de direccion de MAC origen del paquete de autenticacion, la direccion MAC del terminal de usuario que envfa el paquete de autenticacion.
ES14822073.4T 2013-07-09 2014-07-01 Método, dispositivo y sistema para controlar el acceso a un terminal de usuario Active ES2634690T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310286753 2013-07-09
CN201310286753.9A CN104283858B (zh) 2013-07-09 2013-07-09 控制用户终端接入的方法、装置及系统
PCT/CN2014/081326 WO2015003565A1 (zh) 2013-07-09 2014-07-01 控制用户终端接入的方法、装置及系统

Publications (1)

Publication Number Publication Date
ES2634690T3 true ES2634690T3 (es) 2017-09-28

Family

ID=52258343

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14822073.4T Active ES2634690T3 (es) 2013-07-09 2014-07-01 Método, dispositivo y sistema para controlar el acceso a un terminal de usuario

Country Status (7)

Country Link
US (1) US9825950B2 (es)
EP (1) EP3001635B1 (es)
JP (1) JP6131484B2 (es)
KR (1) KR101768512B1 (es)
CN (1) CN104283858B (es)
ES (1) ES2634690T3 (es)
WO (1) WO2015003565A1 (es)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180013798A1 (en) * 2016-07-07 2018-01-11 Cisco Technology, Inc. Automatic link security
CN106131066B (zh) * 2016-08-26 2019-09-17 新华三技术有限公司 一种认证方法及装置
CN107844690A (zh) * 2016-09-20 2018-03-27 深圳市信锐网科技术有限公司 一种基于管理员权限对无线控制器的管理方法及装置
CN108123887B (zh) 2016-11-29 2020-01-03 新华三技术有限公司 一种报文处理方法及装置
CN106953849B (zh) * 2017-02-28 2021-01-12 华为技术有限公司 一种基于IPv6地址的数据报文匹配方法及装置
US11063988B2 (en) * 2018-02-04 2021-07-13 Portly, Inc. Scalable layered two-dimensional (2D) telecommunications network architecture
US10666718B2 (en) * 2018-06-07 2020-05-26 Spatika Technologies Inc. Dynamic data transport between enterprise and business computing systems
US11216424B2 (en) 2018-06-07 2022-01-04 Spatika Technologies Inc. Dynamically rendering an application programming interface for internet of things applications
CN114846774B (zh) * 2019-12-25 2023-07-11 华为技术有限公司 一种通信方法及装置
JP7282113B2 (ja) * 2021-02-10 2023-05-26 株式会社日立製作所 ユーザのリソースへのアクセスを制御するシステム及び方法
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
CN114237195A (zh) * 2021-11-09 2022-03-25 岚图汽车科技有限公司 一种obd排放诊断方法及相关设备

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3474548B2 (ja) * 2001-04-09 2003-12-08 アライドテレシス株式会社 集合建築物
JP2005252717A (ja) * 2004-03-04 2005-09-15 Hitachi Ltd ネットワーク管理方法及びネットワーク管理サーバ
JP4920878B2 (ja) * 2004-07-14 2012-04-18 日本電気株式会社 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JP2006067057A (ja) * 2004-08-25 2006-03-09 Furukawa Electric Co Ltd:The ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
US20070071016A1 (en) * 2005-09-29 2007-03-29 Avaya Technology Corp. Communicating station-originated data to a target access point via a distribution system
JP4714111B2 (ja) * 2006-08-29 2011-06-29 株式会社日立製作所 管理計算機、計算機システム及びスイッチ
US20080072047A1 (en) * 2006-09-20 2008-03-20 Futurewei Technologies, Inc. Method and system for capwap intra-domain authentication using 802.11r
US8104072B2 (en) * 2006-10-26 2012-01-24 Cisco Technology, Inc. Apparatus and methods for authenticating voice and data devices on the same port
JP2008278134A (ja) * 2007-04-27 2008-11-13 Chuden Cti Co Ltd ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム
CN101217575B (zh) * 2008-01-18 2010-07-28 杭州华三通信技术有限公司 一种在用户终端认证过程中分配ip地址的方法及装置
FR2930100B1 (fr) * 2008-04-09 2010-05-07 Canon Kk Procede d'etablissement d'un chemin de communication dans un reseau etendu de communication, tetes de tunnel,produit programme d'ordinateur et moyen de stockage correspondants
CN101621802B (zh) * 2009-08-13 2012-02-08 杭州华三通信技术有限公司 一种无线网络中的入口认证方法、系统和装置
CN102209319B (zh) * 2010-03-30 2014-02-26 杭州华三通信技术有限公司 提高mesh网络中的接入控制器控制效率的方法及接入控制器
JP5350333B2 (ja) 2010-06-28 2013-11-27 アラクサラネットワークス株式会社 パケット中継装置及びネットワークシステム
CN101909059B (zh) * 2010-07-30 2014-07-30 北京星网锐捷网络技术有限公司 删除残留客户端信息的方法、系统及认证服务器
JP5364671B2 (ja) * 2010-10-04 2013-12-11 アラクサラネットワークス株式会社 ネットワーク認証における端末接続状態管理
CN101980496A (zh) * 2010-10-13 2011-02-23 华为数字技术有限公司 报文处理方法和系统、交换机和接入服务器设备
KR101504173B1 (ko) * 2011-09-16 2015-03-23 주식회사 케이티 AC와 AP의 연동 기반의 WiFi 로밍에서의 과금 처리 방법 및 장치
US9407457B2 (en) * 2011-10-04 2016-08-02 Juniper Networks, Inc. Apparatuses for a wired/wireless network architecture
US9667485B2 (en) * 2011-10-04 2017-05-30 Juniper Networks, Inc. Methods and apparatus for a self-organized layer-2 enterprise network architecture
EP2777356B1 (en) * 2011-11-04 2019-07-24 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for establishing and using pdn connections and corresponding program and storage medium
CN102572830B (zh) * 2012-01-19 2015-07-08 华为技术有限公司 终端接入认证的方法及用户端设备
CN102647715A (zh) * 2012-03-27 2012-08-22 华为技术有限公司 一种传递eap认证目的mac地址的方法
US9231820B2 (en) * 2012-09-28 2016-01-05 Juniper Networks, Inc. Methods and apparatus for controlling wireless access points
EP3897027B1 (en) * 2012-09-28 2024-02-14 Juniper Networks, Inc. Methods and apparatus for controlling wireless access points
CN103118064A (zh) * 2012-11-22 2013-05-22 杭州华三通信技术有限公司 一种Portal集中认证的方法和装置

Also Published As

Publication number Publication date
JP6131484B2 (ja) 2017-05-24
CN104283858A (zh) 2015-01-14
EP3001635A1 (en) 2016-03-30
CN104283858B (zh) 2018-02-13
WO2015003565A1 (zh) 2015-01-15
KR20160020547A (ko) 2016-02-23
EP3001635B1 (en) 2017-06-07
US20160127368A1 (en) 2016-05-05
EP3001635A4 (en) 2016-04-06
JP2016525748A (ja) 2016-08-25
US9825950B2 (en) 2017-11-21
KR101768512B1 (ko) 2017-08-17

Similar Documents

Publication Publication Date Title
ES2634690T3 (es) Método, dispositivo y sistema para controlar el acceso a un terminal de usuario
US20210321257A1 (en) Unified authentication for integrated small cell and wi-fi networks
BR112019009600A2 (pt) modelo de plano de usuário para acesso não 3gpp à rede núcleo de quinta geração
CN107800602B (zh) 一种报文处理方法、设备及系统
JP5050849B2 (ja) リモートアクセスシステム及びそのipアドレス割当方法
US9674030B2 (en) Methods and apparatus for a common control protocol for wired and wireless nodes
ES2561663T3 (es) Método y sistema para gestionar dispositivos de red de distribuidores y fabricantes genéricos
BR112015016050B1 (pt) Sistemas e métodos para acessar uma rede
US11296985B2 (en) Normalized lookup and forwarding for diverse virtual private networks
CN104579954B (zh) 报文跨域转发方法、装置及通信设备
CN108028793A (zh) 用于蜂窝接入网络中本地桥接通信的装置、系统和方法
CN107547325B (zh) 报文转发方法及装置
ES2804676T3 (es) Método para implementar un túnel de GRE, un punto de acceso y una puerta de enlace
US9787536B2 (en) Method and apparatus for configuring packet forwarding manner
WO2018214947A1 (zh) 一种通信方法及装置
CN113746715B (zh) 实现二层报文跨三层传输的方法及装置
ES2670013T3 (es) Procedimiento de control y aparato para admisión de red
JP2011077887A (ja) パケット転送システム、パケット転送方法、通信装置及びパケット転送プログラム
CN113098856B (zh) 一种透明模式下的虚拟专用网络vpn实现方法及安全设备
KR102280854B1 (ko) Ip 모빌리티 지원 방법 및 ip 모빌리티 제공 시스템
US20220417831A1 (en) Method and device for protecting a local area network comprising a network switch to which a station is connected by cable connection
JP2016019205A (ja) トンネルエンドポイント装置、dhcpサーバ、インタフェースの自動設定方法及びプログラム
Csivre et al. Configuring IPsec-Based Security for Virtualized Networks
JP2005012424A (ja) 管理装置及び通信システム