JP2016525748A - ユーザ端末のアクセスを制御するための方法、装置、およびシステム - Google Patents

ユーザ端末のアクセスを制御するための方法、装置、およびシステム Download PDF

Info

Publication number
JP2016525748A
JP2016525748A JP2016524665A JP2016524665A JP2016525748A JP 2016525748 A JP2016525748 A JP 2016525748A JP 2016524665 A JP2016524665 A JP 2016524665A JP 2016524665 A JP2016524665 A JP 2016524665A JP 2016525748 A JP2016525748 A JP 2016525748A
Authority
JP
Japan
Prior art keywords
user terminal
interface
switching node
access
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016524665A
Other languages
English (en)
Other versions
JP6131484B2 (ja
JP2016525748A5 (ja
Inventor
兵 ▲孫▼
兵 ▲孫▼
亦斌 徐
亦斌 徐
▲鵬▼合 唐
▲鵬▼合 唐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2016525748A publication Critical patent/JP2016525748A/ja
Publication of JP2016525748A5 publication Critical patent/JP2016525748A5/ja
Application granted granted Critical
Publication of JP6131484B2 publication Critical patent/JP6131484B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、ユーザ端末のアクセスを制御するための方法、装置、およびシステムを開示し、本方法は、コントローラにより、確立されたデータトンネルを介してアクセス・スイッチング・ノードによって送信された認証パケットを受信するステップと、コントローラにより、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得するステップと、獲得されたMACアドレスに対応するユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定するステップであって、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、ステップと、コントローラにより、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令するステップと、を含む。このようにして、ユーザ端末について実施されるアクセス認証の実施手順が簡略化される場合のネットワークセキュリティを向上させることができる。

Description

本出願は、2013年7月9日に中国特許庁に出願され、発明の名称を「ユーザ端末のアクセスを制御するための方法、装置、およびシステム」とする中国特許出願第201310286753.9号の優先権を主張し、その全体が参照によりここに組み込まれる。
本発明は、通信技術の分野、詳細には、ユーザ端末のアクセスを制御するための方法、装置、およびシステムに関する。
通信システムにおいて、キャンパスネットワーク(英語:campus network、略してCAN)は、一般に、企業の構内のネットワークまたはイントラネット(英語:intranet)を指し、キャンパスネットワークの主な特徴は、キャンパスネットワーク上に配置されるルータ、ネットワークスイッチ等が管理団体(例えば、キャンパスネットワークの所有者)によって管理されることである。
図1に示すように、キャンパスネットワークのネットワークアーキテクチャにおいて、キャンパスネットワークは、少なくとも1つのユーザ端末および少なくとも1つのネットワークスイッチを含む。一般に、ユーザ端末側に位置し、ユーザ端末に直接に接続されるネットワークスイッチを、アクセススイッチまたはアクセス・スイッチング・ノードと呼ぶことができる。一般に、ネットワーク側に位置し、アクセス・スイッチング・ノードに接続されるネットワークスイッチを、アグリゲーションスイッチまたはアグリゲーション・スイッチング・ノードと呼ぶことができる。アクセス・スイッチング・ノード上の各インターフェースはどのユーザ端末にも接続されていない場合があり、または少なくとも1つのユーザ端末に接続されている場合がある。ユーザ端末がアクセス・スイッチング・ノードに接続されるならば、そのユーザ端末は有線の方式でアクセス・スイッチング・ノードに接続することができる。アクセス・スイッチング・ノードの他方の側のインターフェースは、パケット伝送を実施するためにアグリゲーション・スイッチング・ノードに接続される。図1に示すキャンパスネットワークのネットワークアーキテクチャにおいて、ユーザ端末が有線の方式でアクセス・スイッチング・ノードへの接続に成功した後で、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているかどうか確認するために、パケット伝送の前に認証が実施される必要がある。ユーザ端末は、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているときのみ、アクセス・スイッチング・ノードへパケットを送信することができる。一般に、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスできるかどうか制御するために、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているかどうか確認するための認証を実施する2つの方式がある。
第1の方式:アクセス・スイッチング・ノードは、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているかどうか確認するために認証を実施し、すなわち、アクセス・スイッチング・ノードは、ユーザ端末のアクセスについて認証を実施し、認証結果に従って、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているかどうか判定する。図1に示すキャンパスネットワークのネットワークアーキテクチャは一例として使用され、ここで、ユーザ端末1およびユーザ端末2は有線の方式でアクセス・スイッチング・ノード1に接続され、ユーザ端末3は有線の方式でアクセス・スイッチング・ノード2に接続され、アクセス・スイッチング・ノード1とアクセス・スイッチング・ノード2の両方はアグリゲーション・スイッチング・ノードに接続されている。具体的な実施において、アクセス・スイッチング・ノード1は、ユーザ端末1およびユーザ端末2がキャンパスネットワークにアクセスすることを許可されているかどうか確認するために認証を実施し、アクセス・スイッチング・ノード2は、ユーザ端末3がキャンパスネットワークにアクセスすることを許可されているかどうか確認するために認証を実施する。ユーザ端末1、ユーザ端末2、またはユーザ端末3は、認証が成功した場合のみ、パケット伝送のためにネットワークにアクセスすることができる。第1の方式が使用される場合には、システム内の各アクセス・スイッチング・ノードが、各アクセス・スイッチング・ノードに接続されたユーザ端末についてアクセス認証を実施する必要がある。しかし、一般に、システム内に多くのアクセス・スイッチング・ノードがあるため、第1の方式で使用されるネットワークアーキテクチャの複雑度は比較的高い。
第2の方式:アグリゲーション・スイッチング・ノードはユーザ端末のアクセスについて認証を実施する。図1に示すシステムアーキテクチャにおいて、アグリゲーション・スイッチング・ノードは、アクセス・スイッチング・ノードに接続されているシステム内の任意のユーザ端末について認証を実施する。認証が成功したならば、アグリゲーション・スイッチング・ノードは、アクセス・スイッチング・ノードに接続されているすべてのユーザ端末がネットワークにアクセスすることを許可する。すなわち、この方式では、アクセス・スイッチング・ノードに接続された任意のユーザ端末についてアグリゲーション・スイッチング・ノードによって実施されたアクセス認証が成功した後で、そのアクセス・スイッチング・ノードに接続された別のユーザ端末はアクセス認証を必要とせず、そのアクセス・スイッチング・ノードを使用することによってパケット伝送のためにネットワークに直接に接続される。第2の方式が使用される場合には、単一のユーザ端末についての制御を実施することができず、セキュリティが不十分である。
結論として、ユーザ端末のアクセスを制御するための一般的な方法の実施方式は比較的複雑であり、またはセキュリティが比較的不十分である。
本発明は、ユーザ端末について実施されるアクセス認証の実施手順が簡略化される場合においてネットワークセキュリティを向上させることができる、ユーザ端末のアクセスを制御するための方法、装置、およびシステムを提供する。
第1の態様によれば、ユーザ端末のアクセスを制御するための方法が提供され、本方法は、コントローラにより、確立されたデータトンネルを介してアクセス・スイッチング・ノードによって送信された認証パケットを受信するステップと、コントローラにより、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得するステップと、獲得されたMACアドレスに対応するユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定するステップであって、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、ステップと、コントローラにより、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令するステップと、を含む。
第1の態様の第1の可能な実施方式において、アクセス認証がMACアドレスに対応するユーザ端末について実施される前に、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係は、次の方式、コントローラにより、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信することであって、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得される、前記受信することと、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立することと、で決定される。
第2の態様によれば、ユーザ端末のアクセスを制御するための方法が提供され、本方法は、媒体アクセス制御(MAC)学習機能が使用不可にされているとき、アクセス・スイッチング・ノードにより、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信するステップと、アクセス・スイッチング・ノードにより、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得するステップと、コントローラがユーザ端末の受信されたMACアドレスと受信されたインターフェース識別子との間の対応関係を維持するように、アクセス・スイッチング・ノードにより、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立された制御トンネルを介してコントローラへ送信するステップと、アクセス・スイッチング・ノードにより、制御トンネルを介してコントローラによって送信されたインターフェース識別子を受信するステップであって、インターフェース識別子は、コントローラがMACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後でユーザ端末のMACアドレスとインターフェース識別子との間の対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子である、ステップと、アクセス・スイッチング・ノードにより、受信されたインターフェース識別子に従って、インターフェースに対応するインターフェースを使用可能にするステップと、を含む。
第2の態様の第1の可能な実施方式において、本方法は、アクセス・スイッチング・ノードにより、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されたアクセス許可を受信するステップ、をさらに含み、アクセス・スイッチング・ノードにより、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするステップは、インターフェースに接続されたユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するステップ、を含む。
第2の態様または第2の態様の第1の可能な実施方式を参照して、第2の態様の第2の可能な実施方式において、アクセス・スイッチング・ノードにより、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得するステップは、アクセス・スイッチング・ノードにより、プログラムコードに従って処理機能を実行することができる信号プロセッサを使用することによって、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、受信された認証パケットを、アクセス・スイッチング・ノードの信号プロセッサへ伝送するステップと、信号プロセッサにより、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得するステップと、を含む。
第3の態様によれば、ユーザ端末のアクセスを制御するための装置が提供され、本装置は、確立されたデータトンネルを介して送信された認証パケットを受信し、受信された認証パケットを獲得モジュールへ伝送するように構成された受信モジュールと、受信モジュールによって伝送された認証パケットを獲得し、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、獲得されたMACアドレスを認証モジュールへ伝送するように構成された獲得モジュールと、獲得モジュールによって伝送されたMACアドレスを受信し、MACアドレスに対応するユーザ端末についてアクセス認証を実施し、認証成功の結果を決定モジュールへ伝送するように構成された認証モジュールと、認証モジュールによって伝送された認証成功の結果を獲得し、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、インターフェース識別子を送信モジュールへ伝送する決定モジュールであって、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、決定モジュールと、決定モジュールによって伝送されたインターフェース識別子を獲得し、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令するように構成された送信モジュールと、を含む。
第3の態様の第1の可能な実施方式において、受信モジュールは、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信し、受信されたMACアドレスおよび受信されたインターフェース識別子を確立モジュールへ伝送するようにさらに構成され、ユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信したときにアクセス・スイッチング・ノードによって獲得され、本装置は、受信モジュールによって伝送されたMACアドレスおよびインターフェース識別子を獲得し、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立するように構成された確立モジュールをさらに含む。
第4の態様によれば、ユーザ端末のアクセスを制御するための装置が提供され、本装置は、媒体アクセス制御(MAC)学習機能が使用不可にされているとき、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信し、認証パケットを獲得モジュールへ伝送するように構成された受信モジュールと、受信モジュールによって伝送された認証パケットを受信し、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得し、インターフェース識別子およびMACアドレスを送信モジュールへ伝送するように構成された獲得モジュールと、コントローラがユーザ端末の受信されたMACアドレスと受信されたインターフェース識別子との間の対応関係を維持するように、獲得モジュールによって伝送されたインターフェース識別子およびMACアドレスを受信し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してコントローラへ送信するように構成された送信モジュールと、を含み、受信モジュールは、制御トンネルを介してコントローラによって送信されたインターフェース識別子を受信し、インターフェース識別子を制御モジュールへ伝送するようにさらに構成され、インターフェース識別子は、コントローラがMACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後でユーザ端末のMACアドレスとインターフェース識別子との間の対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子であり、本装置は、受信モジュールによって伝送されたインターフェース識別子を獲得し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするように構成された制御モジュール、を含む。
第4の態様の第1の可能な実施方式において、受信モジュールは、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されたアクセス許可を受信し、アクセス許可を制御モジュールへ伝送するようにさらに構成され、制御モジュールは、受信モジュールによって伝送されたアクセス許可を獲得し、インターフェースに接続されたユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するように特に構成される。
第4の態様または第4の態様の第1の可能な実施方式を参照して、第4の態様の第2の可能な実施方式において、獲得モジュールは、信号プロセッサを特に含み、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、受信モジュールによって伝送された認証パケットを獲得するように構成され、信号プロセッサは、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得する。
第5の態様によれば、ユーザ端末のアクセスを制御するためのシステムが提供され、本システムは、アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとを含み、アクセス・スイッチング・ノードは、媒体アクセス制御(MAC)学習機能が使用不可にされているとき、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信し、認証パケットを、データトンネルを介してアグリゲーション・スイッチング・ノードへ送信し、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信し、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子を受信し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするように構成され、アグリゲーション・スイッチング・ノードは、確立されたデータトンネルを介してアクセス・スイッチング・ノードによって送信された認証パケットを受信し、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、獲得されたMACアドレスに対応するユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定するように構成され、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子であり、アグリゲーション・スイッチング・ノードは、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信するように構成される。
第5の態様の第1の可能な実施方式において、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係は、次の方式、アグリゲーション・スイッチング・ノードにより、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信することであって、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得される、前記受信することと、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立することと、で決定される。
第5の態様または第5の態様の第1の可能な実施方式を参照して、第5の態様の第2の可能な実施方式において、アクセス・スイッチング・ノードは、MACアドレスに対応するユーザ端末の、制御トンネルを介してアグリゲーション・スイッチング・ノードによって送信されたアクセス許可を受信し、インターフェースに接続されたユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するようにさらに構成される。
第5の態様、第5の態様の第1の可能な実施方式、および第5の態様の第2の可能な実施方式のいずれか1つを参照して、第5の態様の第3の可能な実施方式において、アクセス・スイッチング・ノードは、アクセス・スイッチング・ノードの信号プロセッサを使用することによって、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、信号プロセッサが認証パケットの送信元MACアドレスフィールドから認証パケットを送信するユーザ端末のMACアドレスを獲得するように、受信された認証パケットをアクセス・スイッチング・ノードの信号プロセッサへ伝送するように特に構成される。
本発明において提供される技術的解決策においては、ユーザ端末について実施されたアクセス認証が成功した後で、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子が、ユーザ端末のMACアドレスとインターフェース識別子との間の獲得された対応関係から決定され、決定されたインターフェース識別子は、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信され、アクセス・スイッチング・ノードは、インターフェース識別子に対応するインターフェースを使用可能にするように命令される。このようにして、アクセスネットワークおよびユーザ端末のネットワークアクセス許可を集中化された方式で制御することができ、システムアーキテクチャは比較的単純であり、実施することが容易であり、ネットワークセキュリティはさらに向上させることができる。
ユーザ端末のアクセスを制御するためのシステムのネットワークアーキテクチャの概要の図である。 本発明の実施例1によるユーザ端末のアクセスを制御するための第1のシステムの構成の概要の構造図である。 WLANシステムアーキテクチャにおけるCAPWAPプロトコルの適用を例示する概要の図である。 データトンネルを介して伝送されるCAPWAPデータパケットの概要の構造図である。 データトンネルを介して伝送されるCAPWAPデータパケットのヘッダの構成の概要の構造図である。 制御トンネルを介して伝送されるCAPWAP制御パケットの概要の構造図である。 制御トンネルを介して伝送されるCAPWAP制御パケットのヘッダの構成の概要の構造図である。 本発明の実施例1によるユーザ端末のアクセスを制御するための第2のシステムの構成の概要の構造図である。 本発明の実施例2によるユーザ端末のアクセスを制御するための方法のフローチャートである。 本発明の実施例3によるユーザ端末のアクセスを制御するための方法のフローチャートであり、この方法はアグリゲーション・スイッチング・ノード側に適用される。 本発明の実施例3によるユーザ端末のアクセスを制御するための装置の構成の概要の構造図である。 本発明の実施例3によるネットワークスイッチの概要の構造図である。 本発明の実施例3によるユーザ端末のアクセスを制御するための方法のフローチャートであり、この方法はアクセス・スイッチング・ノード側に適用される。 本発明の実施例3によるユーザ端末のアクセスを制御するための装置の構成の概要の構造図である。 本発明の実施例3によるネットワークスイッチの構成の概要の構造図である。
ユーザ端末のアクセスを制御するための方法の実施方式は比較的複雑であり、またはセキュリティが比較的不十分であるという一般的な問題について、本発明の実施例において技術的解決策が提供される。この技術的解決策において、ユーザ端末について実施されたアクセス認証が成功した後で、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子が、ユーザ端末のMACアドレスとインターフェース識別子との間の獲得された対応関係から決定され、決定されたインターフェース識別子は、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信され、アクセス・スイッチング・ノードは、インターフェース識別子に対応するインターフェースを使用可能にするように命令される。このようにして、アクセスネットワークおよびユーザ端末のネットワークアクセス許可を集中化された方式で制御することができ、システムアーキテクチャは比較的単純であり、実施することが容易であり、ネットワークセキュリティはさらに向上させることができる。
添付の図面を参照して、以下で、本発明における技術的解決策の重要な実施原理、具体的実施方式、および利点を詳細に説明する。
本発明の実施例で提供される技術的解決策は、コントローラを使用することによって実施することができる。コントローラは、独立したネットワークデバイスとしてネットワーク上に配置することができ、または統合されたモジュールとしてネットワーク上に配置されたアグリゲーション・スイッチング・ノードに統合することができ、それぞれ以下で詳細が説明される。
本発明の実施例1は、ユーザ端末のアクセスを制御するためのシステムを提供する。本発明の実施例1で提供される技術的解決策を実施するために、コントローラは、統合されたモジュールとしてアグリゲーション・スイッチング・ノードに統合される。図2に示すように、本システムは、少なくとも1つのアクセス・スイッチング・ノードと、少なくとも1つのアグリゲーション・スイッチング・ノードとを含み、少なくとも1つのアクセス・スイッチング・ノードの各アクセス・スイッチング・ノードは、少なくとも1つのアグリゲーション・スイッチング・ノードのうちの1つのアグリゲーション・スイッチング・ノードに接続される。少なくとも1つのアクセス・スイッチング・ノードのうちの任意のアクセス・スイッチング・ノードは、有線の方式で少なくとも1つのユーザ端末に接続される場合があり、または、どのユーザ端末にも接続されない場合があり、すなわち、ユーザ端末へ接続するために使用されるインターフェースがアイドル状態にある。
パケット伝送トンネルが、アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立される。アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間のパケット伝送トンネルは、事前設定の独自プロトコルに従って、または標準プロトコルを拡張することによって確立することができる。例えば、標準プロトコルは、無線アクセスポイントの制御およびプロビジョニング(英語:Control And Provisioning of Wireless Access Points、略してCAPWAP)プロトコルとすることができる。本発明の本実施例において、パケット伝送トンネルがCAPWAPプロトコルを拡張することによって確立されることは、詳細な説明のための例として使用される。拡張CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは、制御パケットを伝送するための制御トンネル、およびデータパケットを伝送するためのデータトンネルを含む。
CAPWAPプロトコルは、無線通信環境に適用される標準プロトコルである。無線通信環境では、CAPWAPプロトコルは、アクセス制御(英語:access control、略してAC)ノードと無線アクセスポイント(英語:access point、略してAP)との間の相互動作のシナリオに適用される。図3aに示すように、CAPWAPプロトコルに基づく無線通信環境は、無線AP、ネットワークスイッチ、AC、およびユーザ端末を含む。無線APは無線の方式で少なくとも1つのユーザ端末に接続される。無線の方式でパケットを伝送するためのパケット伝送トンネルは、CAPWAPプロトコルに基づいて無線APとACとの間で確立される。CAPWAPプロトコルを使用することによって無線APとACとの間で確立された制御トンネルは、ACと無線APとの間で制御パケットを交換するために使用され、CAPWAPプロトコルを使用することによって無線APとACとの間で確立されたデータトンネルは、ユーザ端末によって送信されたデータパケットを搬送するために使用される。データトンネルを介して伝送されるデータパケットおよび制御トンネルを介して伝送される制御パケットは、暗号化されていない方式で伝送することができる。データグラムトランスポート層セキュリティ(英語:Datagram Transport Layer Security、略してDTLS)プロトコルは、データトンネルを介して伝送されるデータパケットのセキュリティ、および制御トンネルを介して伝送される制御パケットのそれを向上させるために、暗号化に使用することもできる。本発明の実施例1において、DTLSプロトコルが、データトンネルを介して伝送されるデータパケットおよび制御トンネルを介して伝送される制御パケットを暗号化するために使用されることは、データパケットの構造的な構成および制御パケットのそれをさらに説明するための例として使用される。
CAPWAPプロトコルを使用することによって確立されたデータトンネルを介して伝送されるデータパケットの構成の概要の構造図が図3bに示されている。データトンネルを介して伝送されるデータパケットの構造的な構成において、データパケットは、IPアドレスヘッダ(図に示すIP Hdr)、ユーザ・データグラム・プロトコル(英語:User Datagram Protocol、略してUDP)ヘッダ(図に示すUDP Hdr)、DTLSヘッダ(図に示すDTLS Hdr)、CAPWAPパケットヘッダ(図に示すCAPWAP Hdr)、および無線ペイロード(英語:wireless payload)を含み、wireless payloadはデータを搬送するために使用される。具体的には、図3cに示すCAPWAP Hdrの構造的な構成において、CAPWAP Hdrはフィールド識別子、フィールドオフセット、任意選択の無線MACアドレスフィールド、または他の任意選択の無線情報を含む。
図3dは、制御トンネルを介して伝送されるCAPWAP制御パケットの構成の概要の構造図である。制御トンネルを介して伝送されるCAPWAP制御パケットの構造において、CAPWAP制御パケットは、IPアドレスヘッダ(図に示すIP Hdr)、UDPヘッダ(図に示すUDP Hdr)、DTLSヘッダ(図に示すDTLS Hdr)、CAPWAPパケットヘッダ(図に示すCAPWAP Hdr)、制御パケットの機能を搬送するために使用される制御ヘッダ(英語:Control Header)フィールド、および制御パケットのコンテンツを搬送するために使用されるメッセージ要素(英語:Message Element)フィールドを含む。制御パケットのコンテンツを制御情報と呼ぶことができる。CAPWAP制御パケットの制御ヘッダの構造的な構成が図3eに示されている。message elementフィールドで搬送される制御情報は、異なるタイプのタイプ・長さ・値(英語:type-length-value、略してTLV)とすることができ、Tは制御情報のタイプであり、Lは制御情報の長さであり、Vは制御情報の値である。実際の実施において、TLVにおける制御情報の値は拡張することができ、すなわち、TLVには、複数の拡張TLVが制御情報の値Vにさらに含められることができ、これらの拡張TLVをレベル-2 TLVと呼ぶことができる。具体的には、message elementフィールドにおいて、TLVにおけるTの値が37であるならば、そのTLVは制御情報についてコンテンツ拡張を行うために使用される。本発明の実施例1で提供される技術的解決策においては、Tの値が37であるメッセージ要素にレベル-2 TLVを付加する方式が、制御メッセージについてコンテンツ拡張を行うために使用される。具体的には、Tの値が37であるメッセージ要素を37番のメッセージ要素と呼ぶことができ、37番のメッセージ要素の標準フォーマットが表1に示されている。
Figure 2016525748
表1において、ベンダ識別子フィールドの値は異なるデバイス製造者については同じではない。例えば、本発明の本実施例で提供される技術的解決策における詳細な説明のための例として値2011が使用され、この例が以下の説明において依然として使用される。
37番のメッセージ要素の標準フォーマットは拡張され、メッセージ要素の拡張フォーマットが表2に示されている。
Figure 2016525748
標準CAPWAPプロトコルが、アクセス・スイッチング・ノードとアグリゲーション・スイッチング・ノードとの間でパケット伝送トンネルを確立するために拡張されることは、本発明の本実施例で提供される技術的解決策を詳細に説明するための例として使用される。拡張CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは、制御情報を伝送するための制御トンネル、およびデータ情報を伝送するためのデータトンネルを含む。図2に示すシステムアーキテクチャにおいては、伝送トンネルが、拡張CAPWAPプロトコルに基づいてアグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立される。アクセス・スイッチング・ノードが少なくとも1つのユーザ端末に接続されることは、詳細な説明のための例として使用される。アクセス・スイッチング・ノードはすべてのインターフェースのデータ転送を制御する。
ユーザ端末がアクセス・スイッチング・ノード上のインターフェースに接続された後で、アクセス・スイッチング・ノードは、ユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、ユーザ端末によって送信された受信されたパケットからユーザ端末の媒体アクセス制御(英語:media access control、略してMAC)アドレスを獲得し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。アクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、事前設定することができ、または、アクセス・スイッチング・ノードのデバイス識別情報とインターフェースの通し番号(英語:sequence number)の組み合わせ形式とすることができる。例えば、アクセス・スイッチング・ノードのデバイス識別情報がIDであり、アクセス・スイッチング・ノードが全部で1から8まで番号が付いた8つのインターフェースを含むならば、アクセス・スイッチング・ノード上の8つのインターフェースのインターフェース識別子はID1、ID2、…、およびID8として表現することができる。アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信されたパケットを受信し、アクセス・スイッチング・ノードの信号プロセッサを使用することによって、パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、ユーザ端末のMACアドレスを獲得するために、信号プロセッサを使用することによって、受信されたパケットの送信元MACアドレスフィールドを抽出し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルに含まれる制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。
アクセス・スイッチング・ノードの信号プロセッサは、中央処理ユニット(英語:central processing unit、略してCPU)、CPUとハードウェアチップの組み合わせ、ネットワークプロセッサ(英語:network processor、略してNP)、CPUとNPの組み合わせ、またはNPとハードウェアチップの組み合わせとすることができる。
アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信し、ユーザ端末のMACアドレスおよびインターフェース識別子は、パケット伝送トンネルを介してアクセス・スイッチング・ノードによって送信され、アグリゲーション・スイッチング・ノードは、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を維持する。アグリゲーション・スイッチング・ノードによって維持されるユーザ端末のMACアドレスとインターフェース識別子との間の対応関係はバッファリング方式で記憶することができる。対応関係はある期間内記憶され、ユーザ端末について実施されるアクセス認証が完了した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係は削除することができる。
アクセス・スイッチング・ノードはMAC学習(英語:MAC learning)機能を有する。MAC learningは、ネットワークスイッチが、ネットワーク上の別のデバイスのMACアドレスを学習して、宛先アドレスが当該MACアドレスであるパケットが送信されたインターフェースを識別することを可能にする。しかし、アグリゲーション・スイッチング・ノードがユーザ端末のアクセスについて制御を実施するときに、アクセス・スイッチング・ノードのMAC学習機能が使用不可にされていないならば、ユーザ端末は、認証されることなく、アクセス・スイッチング・ノードを使用することによってネットワークにアクセスすることができる。この場合には、ユーザ端末のアクセスを制御することができない。結果として、アグリゲーション・スイッチング・ノードがユーザ端末のアクセスを制御するシナリオにおいては、アクセス・スイッチング・ノードのMAC学習機能は使用不可にされる。MAC学習機能が使用不可にされる場合には、ユーザ端末はネットワークに直接にアクセスすることができず、アクセス・スイッチング・ノードは、ユーザ端末のMACアドレスに従って、ユーザ端末に接続されたインターフェースのインターフェース識別子を見つけることができない。したがって、本発明の本実施例では、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係がアグリゲーション・スイッチング・ノードによって維持される。ユーザ端末のアクセスについて制御を実施するプロセスの間に、アクセス・スイッチング・ノードは、MAC learning方式で、ユーザ端末のMACアドレスまたはユーザ端末に接続されたインターフェースのインターフェース識別子を獲得することができないが、アクセス・スイッチング・ノードは、CPUまたはNPのようなアクセス・スイッチング・ノードの信号プロセッサを使用することによって、ソフトウェア方式で、パケットを受信するインターフェースのインターフェース識別子を決定し、ユーザ端末によって送信されたパケットからユーザ端末のMACアドレスを学習することに成功し、ユーザ端末の学習されたMACアドレスを使用することによってユーザ端末のアクセスについて制御をさらに実施することができる。
アクセス・スイッチング・ノードは、有線の方式でアクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信されたパケットを受信し、パケット伝送トンネルを確立するためのプロトコルに基づいてパケットをカプセル化し、次いで、カプセル化されたパケットを確立されたパケット伝送トンネルに基づいてアグリゲーション・スイッチング・ノードへ転送する。例えば、アクセス・スイッチング・ノードは、CAPWAPプロトコルに基づいて、ユーザ端末によって送信された受信されたパケットをカプセル化し、次いで、カプセル化されたパケットをアグリゲーション・スイッチング・ノードへ送信する。
アグリゲーション・スイッチング・ノードは、ユーザ端末によって送信され、アクセス・スイッチング・ノードによって転送されるパケットを受信し、受信されたパケットをカプセル除去し、カプセル除去されたパケットに従って、パケットを送信するユーザ端末についてアクセス認証を実施する。例えば、アグリゲーション・スイッチング・ノードが、CAPWAPプロトコルに基づいてカプセル化され、CAPWAPプロトコルに基づいて確立されたパケット伝送トンネルを介して伝送されるパケットを受信したときには、アグリゲーション・スイッチング・ノードも、CAPWAPプロトコルに基づいて受信されたパケットをカプセル除去し、カプセル除去されたパケットに従って、パケットを送信するユーザ端末について認証を実施する。ユーザ端末についてアクセス認証の実施に成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、決定されたインターフェース識別子をアクセス・スイッチング・ノードへ送信する。
任意選択で、ユーザ端末についてアクセス認証の実施に成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のアクセス許可をさらに決定し、ユーザ端末の決定されたアクセス許可を、決定されたインターフェース識別子と共にアクセス・スイッチング・ノードへ送信することができる。アクセス許可は、以下のアクセス許可のうちの1つまたは複数とすることができる。
第1のアクセス許可。これは仮想ローカル・エリア・ネットワーク(英語:virtual local area network、略してVLAN)にアクセスするためのユーザ端末の許可であり、例えば、ネットワークが複数のVLANを有するならば、この許可は、ユーザ端末がすべてのVLANにアクセスすることができるかどうか、または、ユーザ端末によって具体的にアクセスすることができるVLANを指し示す。
第2のアクセス許可。これはユーザ端末のアクセス制御リスト(英語:access control list、略してACL)を決定することである。
アクセス・スイッチング・ノードは、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子を受信し、受信されたインターフェース識別子に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースを決定し、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施する。例えば、前述のステップは、アクセス・スイッチング・ノードが、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子に従って、受信されたインターフェース識別子に対応するインターフェースを使用可能にすることができ、インターフェースに接続されているユーザ端末にネットワークへアクセスすることを許可することを含み得る。
任意選択で、アクセス・スイッチング・ノードは、受信されたインターフェース識別子に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースを決定し、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施し、または、インターフェースに接続されているユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更することができる。
ユーザ端末によって送信されるパケットは、米国電気電子技術者協会(英語:Institute of Electrical and Electronics Engineers、略してIEEE)802.1xパケット、または、アドレス解決プロトコル(英語:Address Resolution Protocol、略してARP)パケットまたは動的ホスト設定プロトコル(英語:Dynamic Host Configuration Protocol、略してDHCP)パケットのような別のタイプのパケットとすることができる。以下は、本発明の実施例1で提供される技術的解決策を詳細に説明するための例としてIEEE 802.1xパケットを使用する。
ユーザ端末についてのアクセス認証が、ユーザ端末によって送信されたIEEE 802.1xパケットに基づいて実施される。
第1に、制御トンネルおよびデータトンネルを含むパケット伝送トンネルが、拡張CAPWAPプロトコルに基づいて、アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立される。
CAPWAPプロトコルに基づいて、アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立されるパケット伝送トンネルは、制御トンネルおよびデータトンネルを含む。アクセス・スイッチング・ノードは、確立された制御トンネルを介してアグリゲーション・スイッチング・ノードへ、アクセス・スイッチング・ノードの属性情報を送信する。アクセス・スイッチング・ノードの属性情報は、アクセス・スイッチング・ノードの識別子、例えば、アクセス・スイッチング・ノードのMACアドレスを含み、これはSwitch MACと表現することができる。アクセス・スイッチング・ノードの属性情報は、アクセス・スイッチング・ノードのファームウェアのバージョン情報をさらに含むことができ、これはTYPE_SWITCH_VERSIONと表現することができる。この属性情報は、CAPWAP制御パケット内のメッセージ要素の中の37番のメッセージ要素を拡張することによって実施することができる。拡張された37番のメッセージ要素は、制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信される。制御トンネルを介して伝送される制御パケット内のmessage elementフィールドは制御情報を搬送するために使用され、message elementは異なるタイプのTLVとすることができる。message elementフィールドにおいて、TLVにおけるTの値が37であるならば、そのTLVは、制御情報についてコンテンツ拡張を行うために使用される。本発明の実施例1で提供される技術的解決策において、Tの値が37であるメッセージ要素にレベル-2 TLVを付加する方式が、制御メッセージについてコンテンツ拡張を行うために使用される。具体的には、Tの値が37であるメッセージ要素は37番のメッセージ要素と呼ぶことができ、37番のメッセージ要素の標準フォーマットは前述の表1に示されている。
第2に、パケット伝送トンネルがCAPWAPプロトコルに基づいてアグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立された後で、アグリゲーション・スイッチング・ノードは、CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルと、Switch MACのようなアクセス・スイッチング・ノードの識別子との間の対応関係を維持する。
例えば、アクセス・スイッチング・ノードの識別子はSwitch 23であると仮定すると、アグリゲーション・スイッチング・ノードと、識別子がSwitch 23であるアクセス・スイッチング・ノードとの間でパケット伝送トンネル1が確立された後で、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の対応関係を維持することができる。このようにして、識別子がSwitch 23であるアクセス・スイッチング・ノードが、続いて、確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへパケットを送信するときに、および、アグリゲーション・スイッチング・ノードがパケットを処理し、またはパケットに応答するときに、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の維持された対応関係から、パケット伝送チャネルを介してパケットを送信するデバイス、および応答情報がアクセス・スイッチング・ノードへ伝送されるパケット伝送チャネルを決定することができる。具体的には、アクセス・スイッチング・ノードの拡張CAPWAP制御パケット内の37番のメッセージ要素に含まれるコンテンツは表3に示すことができる。
Figure 2016525748
CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルについて、アグリゲーション・スイッチング・ノードは各アクセス・スイッチング・ノードを認証する方式をIEEE 802.1xを基にした認証に設定する。例示的に、アグリゲーション・スイッチング・ノードは、各アクセス・スイッチング・ノード上のインターフェースを認証する方式をIEEE 802.1xを基にした認証にさらに設定することができる。
ユーザ端末とアクセス・スイッチング・ノード上のインターフェースとの間で接続が確立されるとき、アクセス・スイッチング・ノードは、ユーザ端末によって送信された802.1xパケットを受信し、802.1xパケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、ユーザ端末によって送信された受信された802.1xパケットからユーザ端末のMACアドレスを獲得する。アクセス・スイッチング・ノードは、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、CAPWAPプロトコルに基づいて確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは制御トンネルおよびデータトンネルを含み、制御トンネルはCAPWAP制御パケットを伝送するために使用することができ、データトンネルはCAPWAPデータパケットを伝送するために使用することができる。したがって、アクセス・スイッチング・ノードは、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。
具体的には、アクセス・スイッチング・ノードは、拡張レベル-2 TLVに基づき、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子をアグリゲーション・スイッチング・ノードへ送信することができ、拡張レベル-2 TLVは表4に示されている。表4に示されているUSER_MACはユーザ端末のMACアドレスであり、interface indexはインターフェース識別子である。
Figure 2016525748
アクセス・スイッチング・ノードは、アクセス・スイッチング・ノードのインターフェース上で、ユーザ端末によって送信されたIEEE 802.1xパケットを取り込み、取り込まれたIEEE 802.1xパケットを、CAPWAPプロトコルに基づいて確立されたパケット伝送チャネルを介してアグリゲーション・スイッチング・ノードへ送信する。CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは制御トンネルおよびデータトンネルを含み、制御トンネルはCAPWAP制御パケットを伝送するために使用することができ、データトンネルはCAPWAPデータパケットを伝送するために使用することができる。CAPWAPプロトコルに基づいて、取り込まれたIEEE 802.1xパケットをカプセル化した後で、アクセス・スイッチング・ノードはカプセル化されたIEEE 802.1xパケットを、データトンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。
アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスおよびインターフェース識別子を受信し、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を維持する。
本発明の実施例1で提供される技術的解決策において、ユーザ端末のMACアドレス、および、アクセス・スイッチング・ノードのMACアドレスおよびインターフェース番号であるインターフェース識別子は、詳細な説明のための例として使用されること。図2に示すユーザ端末1およびアクセス・スイッチング・ノード1は詳細な説明のための例として使用される。ユーザ端末1の識別子はUE MAC1であり、アクセス・スイッチング・ノード1の識別子はAP MAC1であり、アクセス・スイッチング・ノード1は、1から8まで番号が付いた合計8つのアクセスインターフェースを提供すると仮定する。ユーザ端末1が第2のインターフェースに接続されるならば、インターフェースのインターフェース識別子はAP MAC1-2である。ユーザ端末1がアクセス・スイッチング・ノード1に接続されるときに、ユーザ端末1はパケットを送信し、アクセス・スイッチング・ノードは、ユーザ端末1に接続されたインターフェースのインターフェース識別子AP MAC1-2を獲得する。アクセス・スイッチング・ノード1はユーザ端末1によって送信されたパケットを取り込み、アクセス・スイッチング・ノード1の信号プロセッサを使用して取り込まれたパケットを解析して、パケット内のユーザ端末1の識別子UE MAC1を獲得し、獲得されたUE MAC1およびAP MAC1-2を、CAPWAP制御パケット内の37番のメッセージ要素を拡張することによって制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。例えば、アグリゲーション・スイッチング・ノードによって受信される端末の識別子およびインターフェース識別子が、それぞれ、UE MAC1およびAP MAC1-2であることは、詳細な説明のための例として使用される。アグリゲーション・スイッチング・ノードは、アクセス・スイッチング・ノードによって送信されるUE MAC1およびAP MAC1-2を受信し、UE MAC1とAP MAC1-2との間の対応関係を確立し、バッファする。
アクセス・スイッチング・ノードは、ユーザ端末によって送信されたIEEE 802.1xパケットを受信し、CAPWAPプロトコルに基づいて受信されたIEEE 802.1xパケットをカプセル化し、次いで、カプセル化されたパケットを、データトンネルを介してアグリゲーション・スイッチング・ノードへ送信する。
アグリゲーション・スイッチング・ノードは、CAPWAPプロトコルに基づいてカプセル化されたIEEE 802.1xパケットを受信し、CAPWAPプロトコルに基づいてカプセル化されている受信されたIEEE 802.1xパケットをカプセル除去し、カプセル除去されたIEEE802.1xパケットに従ってアクセス認証を実施する。
任意選択で、アグリゲーション・スイッチング・ノードは、ユーザ端末の許可情報をさらに制限することができる。認証が成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のアクセス許可を決定する。
アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、決定されたインターフェース識別子をアクセス・スイッチング・ノードへ送信する。
任意選択で、アグリゲーション・スイッチング・ノードは、ユーザ端末の決定されたアクセス許可を、決定されたインターフェース識別子と共にアクセス・スイッチング・ノードへさらに送信することができる。
ユーザ端末のMACアドレス、インターフェース識別子、およびユーザ端末のアクセス許可のような情報は、拡張レベル-2 TLVを使用することによってアグリゲーション・スイッチング・ノードによってアクセス・スイッチング・ノードへ送信され得る。拡張レベル-2 TLVは表5に示すことができる。表5のレベル-2 TLVのコンテンツ3フィールドについては、USER VLANがユーザ端末によってアクセスすることができるVLANを指し示すために使用され、レベル-2 TLVのコンテンツ4フィールドについては、ruleフィールドがユーザ端末のアクセス許可を指し示すために使用される。
Figure 2016525748
アクセス・スイッチング・ノードは、認証成功メッセージで搬送されたインターフェース識別子に従ってアクセス・スイッチング・ノード上の対応するインターフェースを決定し、インターフェースを使用可能にし、ユーザ端末がネットワークにアクセスすることを許可する。
任意選択で、アクセス・スイッチング・ノードは、アグリゲーション・スイッチング・ノードによって送付された受信されたアクセス許可に従って、インターフェース識別子に対応するインターフェースをさらに制御して、ユーザ端末のアクセス許可について制御を実施することができる。
本発明の本実施例で提供される前述の技術的解決策においては、パケット転送機能を有するアグリゲーション・スイッチング・ノードは詳細な説明のための例として使用される。具体的な実施において、システム内に独立して配置されたコントローラは、ユーザ端末のアクセスを制御するための技術的解決策を実施するためにさらに使用することができる。図4に示すシステムアーキテクチャは、独立して配置されている少なくとも1つのコントローラ(英語:controller)、少なくとも1つのアクセス・スイッチング・ノード、および少なくとも1つのパケット転送デバイスを含む。パケット転送デバイスはアグリゲーション・スイッチング・ノードとすることができる。コントローラは、アグリゲーション・スイッチング・ノードに直接に接続することができ、または配置されるルータを使用することによってアグリゲーション・スイッチング・ノードに接続することができる。少なくとも1つのアクセス・スイッチング・ノードの各アクセス・スイッチング・ノードは、少なくとも1つのアグリゲーション・スイッチング・ノードのうちの1つのアグリゲーション・スイッチング・ノードに接続される。少なくとも1つのアクセス・スイッチング・ノードのうちの任意のアクセス・スイッチング・ノードは、有線の方式で少なくとも1つのユーザ端末に接続される場合があり、またはどのユーザ端末にも接続されない場合があり、すなわち、ユーザ端末に接続するために使用されるインターフェースはアイドル状態にある。
パケット伝送トンネルが、コントローラとアクセス・スイッチング・ノードとの間で確立される。コントローラとアクセス・スイッチング・ノードとの間のパケット伝送トンネルは、事前設定の独自プロトコルに従って、または標準プロトコルを拡張することによって確立することができる。標準プロトコルはCAPWAPプロトコルとすることができる。本発明の本実施例において、パケット伝送トンネルがCAPWAPプロトコルを拡張することによって確立されることは、詳細な説明のための例として使用される。拡張CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは、制御情報を伝送するための制御トンネル、およびデータ情報を伝送するためのデータトンネルを含む。
パケット伝送トンネルがCAPWAPプロトコルに基づいて確立された後で、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースに接続され、パケットを送信するときに、アクセス・スイッチング・ノードは、パケットを受信するインターフェースのインターフェース識別子、すなわち、パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信されたパケットからユーザ端末のMACアドレスを獲得し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルを介してコントローラへ送信する。アクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、事前設定することができ、またはアクセス・スイッチング・ノードのデバイス識別情報とインターフェースの通し番号の組み合わせ形式とすることができる。
アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信されたパケットを受信し、アクセス・スイッチング・ノードの信号プロセッサを使用することによって、パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、ユーザ端末のMACアドレスを獲得するために、信号プロセッサを使用することによって、受信されたパケットの送信元MACアドレスフィールドを抽出し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルに含まれる制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。
アクセス・スイッチング・ノードの信号プロセッサは、CPU、CPUとハードウェアチップの組み合わせ、NP、CPUとNPの組み合わせ、またはNPとハードウェアチップの組み合わせとすることができる。
コントローラは、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信し、ユーザ端末のMACアドレスおよびインターフェース識別子は、パケット伝送トンネルを介してアクセス・スイッチング・ノードによって送信され、コントローラは、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を維持する。コントローラによって維持されるユーザ端末のMACアドレスとインターフェース識別子との間の対応関係はバッファリング方式で記憶することができる。対応関係はある期間内記憶され、ユーザ端末について実施されるアクセス認証が完了した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係は削除することができる。
アクセス・スイッチング・ノードは、有線の方式でアクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信されたパケットを受信し、パケット伝送トンネルを確立するために使用されるプロトコルに基づいてパケットをカプセル化し、次いで、確立されたパケット伝送トンネルを介してコントローラへカプセル化されたパケットを転送する。アクセス・スイッチング・ノードは、CAPWAPプロトコルに基づいて、ユーザ端末によって送信される受信されたパケットをカプセル化し、次いで、カプセル化されたパケットをコントローラへ送信する。
コントローラは、ユーザ端末によって送信され、アクセス・スイッチング・ノードによって転送されるパケットを受信し、受信されたパケットをカプセル除去し、カプセル除去されたパケットに従って、パケットを送信するユーザ端末についてアクセス認証を実施する。例えば、コントローラが、CAPWAPプロトコルに基づいてカプセル化され、CAPWAPプロトコルに基づいて確立されたパケット伝送トンネルを介して伝送されるパケットを受信したときには、コントローラも、CAPWAPプロトコルに基づいて受信されたパケットをカプセル除去し、カプセル除去されたパケットに従って、パケットを送信するユーザ端末について認証を実施する。ユーザ端末についてアクセス認証の実施に成功した後で、コントローラは、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、決定されたインターフェース識別子をアクセス・スイッチング・ノードへ送信する。
任意選択で、ユーザ端末についてアクセス認証の実施に成功した後で、コントローラは、ユーザ端末のアクセス許可をさらに決定し、ユーザ端末の決定されたアクセス許可を、決定されたインターフェース識別子と共にアクセス・スイッチング・ノードへ送信することができる。アクセス許可は、以下のアクセス許可のうちの1つまたは複数とすることができる。
第1のアクセス許可。これはVLANにアクセスするためのユーザ端末の許可であり、例えば、ネットワークが複数のVLANを有するならば、この許可は、ユーザ端末がすべてのVLANにアクセスすることができるかどうか、または、ユーザ端末によって具体的にアクセスすることができるVLANを指し示す。
第2のアクセス許可。これはユーザ端末のACLを決定することである。
コントローラによって送信されたインターフェース識別子を受信するとき、アクセス・スイッチング・ノードは、受信されたインターフェース識別子に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースを決定し、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施する。
例えば、前述のステップは、アクセス・スイッチング・ノードが、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子に従って、受信されたインターフェース識別子に対応するインターフェースを使用可能にすることができ、インターフェースに接続されているユーザ端末がネットワークにアクセスすることを許可することを含み得る。
任意選択で、アクセス・スイッチング・ノードは、受信されたインターフェース識別子に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースをさらに決定し、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施することができ、または、インターフェースに接続されているユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更することができる。
ユーザ端末によって送信されるパケットは、IEEE 802.1xパケット、または、ARPパケットまたはDHCPパケットのような別のタイプのパケットとすることができる。
図2に示すシステムアーキテクチャに基づき、本発明の実施例2はユーザ端末のアクセスを制御するための方法を提供する。図5に示すように、本方法の具体的な処理手順は以下のとおりである。
ステップ51:アクセス・スイッチング・ノードとアグリゲーション・スイッチング・ノードとの間でパケット伝送トンネルを確立する。
アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間のパケット伝送トンネルは、事前設定の独自プロトコルに従って、または標準プロトコルを拡張することによって確立することができる。例えば、標準プロトコルはCAPWAPプロトコルとすることができる。本発明の実施例2においては、パケット伝送トンネルがCAPWAPプロトコルを拡張することによって確立されることは、詳細な説明のための例として使用される。拡張CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは、制御情報を伝送するための制御トンネル、およびデータ情報を伝送するためのデータトンネルを含む。
ステップ52:アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末のMACアドレス、およびユーザ端末に接続されたインターフェースのインターフェース識別子を獲得する。
ユーザ端末は有線の方式でアクセス・スイッチング・ノード上のインターフェースに接続され、パケットを送信する。
ユーザ端末がアクセス・スイッチング・ノード上のインターフェースに接続され、パケットを送信するときに、アクセス・スイッチング・ノードは、ユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、ユーザ端末によって送信されたパケットを取り込み、取り込まれたパケットからユーザ端末のMACアドレスを獲得し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。アクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、事前設定することができ、またはアクセス・スイッチング・ノードのデバイス識別情報とインターフェースの通し番号の組み合わせ形式とすることができる。アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信されたパケットを受信し、アクセス・スイッチング・ノードの信号プロセッサを使用することによって、パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、ユーザ端末のMACアドレスを獲得するために、信号プロセッサを使用することによって、受信されたパケットの送信元MACアドレスフィールドを抽出し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルに含まれる制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。
アクセス・スイッチング・ノードの信号プロセッサは、CPU、CPUとハードウェアチップの組み合わせ、NP、CPUとNPの組み合わせ、またはNPとハードウェアチップの組み合わせとすることができる。
ユーザ端末によって送信され、アクセス・スイッチング・ノードによって取り込まれるパケットは、IEEE 802.1xパケット、ARPパケット、またはDHCPパケットを含むことができる。
ステップ53:アクセス・スイッチング・ノードは、獲得されたインターフェース識別子およびユーザ端末の獲得されたMACアドレスを、確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。
CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは制御トンネルおよびデータトンネルを含み、制御トンネルは制御パケットを伝送するために使用することができ、データトンネルはデータパケットを伝送するために使用することができる。したがって、アクセス・スイッチング・ノードは、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。アクセス・スイッチング・ノードは、拡張レベル-2 TLVに基づき、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、アグリゲーション・スイッチング・ノードへ送信することができる。拡張レベル-2 TLVは前述の表4に記載されている。
ステップ54:アグリゲーション・スイッチング・ノードは、アクセス・スイッチング・ノードによって送信されるユーザ端末のMACアドレスおよびインターフェース識別子を受信し、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を維持する。
アグリゲーション・スイッチング・ノードによって維持されるユーザ端末のMACアドレスとインターフェース識別子との間の対応関係はバッファリング方式で記憶することができる。対応関係はある期間内記憶され、ユーザ端末について実施されるアクセス認証が完了した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係は削除することができる。
ステップ55:アクセス・スイッチング・ノードは、アクセス・スイッチング・ノードのインターフェース上で、ユーザ端末によって送信されたパケットを取り込み、取り込まれたパケットを、CAPWAPプロトコルに基づいて確立されたパケット伝送チャネルを介してアグリゲーション・スイッチング・ノードへ送信する。
CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは制御トンネルおよびデータトンネルを含み、制御トンネルは制御パケットを伝送するために使用することができ、データトンネルはデータパケットを伝送するために使用することができる。アクセス・スイッチング・ノードは、CAPWAPプロトコルに基づいて取り込まれたパケットをカプセル化し、次いで、カプセル化されたパケットを、データトンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。
ステップ56:アグリゲーション・スイッチング・ノードは、パケット伝送トンネルを介して送信されるパケットを受信し、受信されたパケットをカプセル除去し、ユーザ端末のMACアドレスを獲得し、ユーザ端末についてアクセス認証を実施する。
アグリゲーション・スイッチング・ノードは、CAPWAPプロトコルに基づいてカプセル化されたパケットを受信し、CAPWAPプロトコルに基づいてカプセル化されている受信されたパケットをカプセル除去し、カプセル除去されたパケットに従ってアクセス認証を実施する。
ユーザ端末についてアクセス認証を実施する具体的な方式は、一般のアクセス認証のそれと同じであり、本発明の本実施例では詳細は再度説明されない。
ステップ57:認証が成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、決定されたインターフェース識別子をユーザ端末へ送信する。
任意選択で、ユーザ端末についてアクセス認証の実施に成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のアクセス許可をさらに決定し、ユーザ端末の決定されたアクセス許可を、決定されたインターフェース識別子と共にアクセス・スイッチング・ノードへ送信することができる。
アグリゲーション・スイッチング・ノードによってアクセス・スイッチング・ノードへ送信される認証成功メッセージは、ユーザ端末のMACアドレス、インターフェース識別子、およびユーザ端末のアクセス許可のような情報を含むことができ、この情報は、拡張レベル-2 TLVを使用することによってアクセス・スイッチング・ノードへ送信することができる。拡張レベル-2 TLVは前述の表5に記載することができる。
ステップ58:アクセス・スイッチング・ノードは、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子を受信し、インターフェース識別子に対応するインターフェースを使用可能にし、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施する。
例えば、アクセス・スイッチング・ノードは、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子に従って、受信されたインターフェース識別子に対応するインターフェースを使用可能にし、インターフェースに接続されているユーザ端末がパケット伝送のためにネットワークにアクセスすることを許可することができる。
任意選択で、アクセス・スイッチング・ノードは、ユーザ端末に対応する、アグリゲーション・スイッチング・ノードによって送信されるアクセス許可をさらに受信し、ユーザ端末に接続されたインターフェースを制御することによって、ユーザ端末を、受信されたアクセス許可に従ってネットワークにアクセスするように制御することができる。
ユーザ端末によって送信されるパケットは、IEEE 802.1xパケット、または、ARPパケットまたはDHCPパケットのような別のタイプのパケットとすることができる。
図5に示すユーザ端末のアクセスを制御するための方法のフローチャートおよび本発明の実施例2で提供されるユーザ端末のアクセスを制御するための前述の方法は、本発明の本実施例において説明される単なる好ましい実施方式である。具体的な実施において、前述の方法手順に従って代替の処理が行われることができる。
それに対応して、図2に示すシステムアーキテクチャに基づき、アグリゲーション・スイッチング・ノードについて、本発明の実施例は、ユーザ端末のアクセスを制御するための方法を提供する。図6aに示すように、本方法の具体的な処理手順は以下のとおりである。
ステップ61:アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で、制御トンネルおよびデータトンネルを含むパケット伝送トンネルを確立する。
アグリゲーション・スイッチング・ノードは、独自プロトコルに基づき、または標準プロトコルの拡張に基づき、アクセス・スイッチング・ノードとパケット伝送トンネルを確立することができる。本発明の実施例3においては、パケット伝送トンネルは、CAPWAPプロトコルの拡張に基づいて、コントローラとアクセス・スイッチング・ノードとの間で確立される。
CAPWAPプロトコルに基づいてパケット伝送トンネルを確立するプロセスについては、実施例1の詳細な説明を参照されたく、本発明の実施例3では詳細は再度説明されない。
CAPWAPプロトコルに基づいてアグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間でパケット伝送トンネルを確立するプロセスの間、アグリゲーション・スイッチング・ノードは、確立されたパケット伝送トンネルとアクセス・スイッチング・ノードとの間の対応関係を維持する。例えば、アクセス・スイッチング・ノードの識別子はSwitch 23であると仮定すると、アグリゲーション・スイッチング・ノードと、識別子がSwitch 23であるアクセス・スイッチング・ノードとの間でパケット伝送トンネル1が確立された後で、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の対応関係を維持することができる。このようにして、続いて、識別子がSwitch 23であるアクセス・スイッチング・ノードが確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへパケットを送信するときに、および、アグリゲーション・スイッチング・ノードがパケットを処理し、またはパケットに応答するときに、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の維持された対応関係から、パケットを送信するデバイス、パケットが送信されるパケット伝送チャネル、パケットが伝送されることになるアクセス・スイッチング・ノード、および応答情報が伝送されることになるパケット伝送チャネルを決定することができる。
ステップ62:アグリゲーション・スイッチング・ノードは、確立されたデータトンネルを介してアクセス・スイッチング・ノードによって送信された認証パケットを受信する。
アクセス・スイッチング・ノードによって送信されるパケットは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信され、アクセス・スイッチング・ノードによってインターフェース上で取り込まれるパケットである。取り込まれたパケットは、CAPWAPプロトコルに基づいてカプセル化された後で、アグリゲーション・スイッチング・ノードへ送信される。アクセス・スイッチング・ノードによって取り込まれるパケットは、802.1xパケット、ARPパケット、またはDHCPパケットとすることができる。
ステップ63:アグリゲーション・スイッチング・ノードは、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、獲得されたMACアドレスに対応するユーザ端末についてアクセス認証を実施する。
ステップ64:ユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定する。
ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノードのインターフェース識別子との間の対応関係は、次の方式、制御トンネルを介してアクセス・スイッチング・ノードによって送信されるユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信することであって、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得される、前記受信することと、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立することと、で決定することができる。
アグリゲーション・スイッチング・ノードによって維持されるユーザ端末のMACアドレスとインターフェース識別子との間の対応関係はバッファリング方式で記憶することができる。対応関係はある期間内記憶され、ユーザ端末について実施されるアクセス認証が完了した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係は削除することができる。
具体的には、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係の確立については、実施例1および実施例2の詳細な説明を参照されたく、本発明の実施例3では詳細は再度説明されない。
ステップ65:決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令する。
任意選択で、ユーザ端末について実施されるアクセス認証は、ユーザ端末のアクセス許可を決定することをさらに含むことができる。アグリゲーション・スイッチング・ノードは、ユーザ端末の決定されたアクセス許可を、制御トンネルを介してアクセス・スイッチング・ノードへ送信して、アクセス・スイッチング・ノードに、アクセス許可に従って、インターフェース識別子を通過させるようにユーザ端末を制御するように命令する。
それに対応して、本発明の実施例3は、ユーザ端末のアクセスを制御するための装置をさらに提供する。図6bに示すように、本装置は、
確立されたデータトンネルを介して送信された認証パケットを受信し、受信された認証パケットを獲得モジュール702へ伝送するように構成された受信モジュール701と、
受信モジュール701によって伝送された認証パケットを獲得し、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、獲得されたMACアドレスを認証モジュール703へ伝送するように構成された獲得モジュール702と、
獲得モジュール702によって伝送されたMACアドレスを受信し、MACアドレスに対応するユーザ端末についてアクセス認証を実施し、認証成功の結果を決定モジュール704へ伝送するように構成された認証モジュール703と、
認証モジュール703によって伝送された認証成功の結果を獲得し、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、インターフェース識別子を送信モジュール705へ伝送するように構成された決定モジュール704であって、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、決定モジュール704と、
決定モジュール704によって伝送されたインターフェース識別子を獲得し、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令するように構成された送信モジュール705と、
を含む。
前述の受信モジュール701は、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信するようにさらに構成され、ユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得され、受信モジュール701は、受信されたMACアドレスおよび受信されたインターフェース識別子を確立モジュール706へ伝送するようにさらに構成される。
本装置は、受信モジュール705によって伝送されるMACアドレスおよびインターフェース識別子を獲得し、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立するように構成された確立モジュール706をさらに含む。
それに対応して、本発明の実施例3はネットワークスイッチをさらに提供する。図6cに示すように、本ネットワークスイッチは、インターフェース801と、メモリ803と、信号プロセッサ804とを含む。
インターフェース801は、確立されたデータトンネルを介して送信された認証パケットを受信し、受信された認証パケットを、バス802を介して信号プロセッサ804へ伝送するように構成される。
インターフェース801は、有線インターフェースを提供するネットワーク・インターフェース・コントローラ(英語:network interface controller、略してNIC)、例えば、銅線インターフェースおよび/またはファイバインターフェースを提供することができるイーサネット(登録商標)NIC、無線インターフェースを提供するNIC、例えば、無線ローカル・エリア・ネットワーク(英語:wireless local area network、略してWLAN)NICのうちの1つまたは複数とすることができる。
メモリ803は、プログラムコードを記憶し、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を記憶し、記憶されたプログラムコードを、バス802を介して信号プロセッサ804へ伝送するように構成される。
メモリ803は、揮発性メモリ(英語:volatile memory)、例えば、ランダム・アクセス・メモリ(英語:random-access memory、略してRAM)、または、不揮発性メモリ(英語:non-volatile memory)、例えば、フラッシュメモリ(英語:flash memory)や、ハード・ディスク・ドライブ(英語:hard disk drive、略してHDD)、またはソリッドステートドライブ(英語:solid-state drive、略してSSD)、または前述のタイプのメモリの組み合わせとすることができる。
信号プロセッサ804は、バス802を使用することによって、メモリ803に記憶されたプログラムコードを獲得し、獲得されたプログラムコードに従って、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得すること、MACアドレスに対応するユーザ端末についてアクセス認証を実施すること、アクセス認証が成功した後で、メモリ803に記憶されているユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を獲得すること、ユーザ端末のMACアドレスとインターフェース識別子との間の獲得された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定することを実行するように構成され、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子であり、信号プロセッサ804は、インターフェース識別子を、バス802を介してインターフェース801へ伝送することを実行するように構成される。
信号プロセッサ804は、中央処理ユニット(英語:central processing unit、略してCPU)、CPUとハードウェアチップの組み合わせ、ネットワークプロセッサ(英語:network processor、略してNP)、CPUとNPの組み合わせ、またはNPとハードウェアチップの組み合わせとすることができる。
前述のハードウェアチップは、次のチップ、特定用途向け集積回路(英語:application-specific integrated circuit、略してASIC)、フィールド・プログラマブル・ゲート・アレイ(英語:field-programmable gate array、略してFPGA)、および複合プログラマブル論理デバイス(英語:complex programmable logic device、略してCPLD)、のうちの1つまたは組み合わせとすることができる。
前述のインターフェース801は、バス802を使用することによって、信号プロセッサ804によって伝送されたインターフェース識別子を獲得し、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令するようにさらに構成される。
前述のインターフェース801はさらに、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信するようにさらに構成され、ユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得され、インターフェース801は、受信されたMACアドレスおよび受信されたインターフェース識別子を、バスを介して信号プロセッサ804へ伝送するようにさらに構成される。
信号プロセッサ804は、バス802を使用することによって、インターフェース801によって伝送されるMACアドレスおよびインターフェース識別子を獲得し、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立し、MACアドレスとインターフェース識別子との間の確立された対応関係を、バス802を介してメモリ803へ伝送するようにさらに構成される。
それに対応して、図2に示すシステムアーキテクチャに基づき、アクセス・スイッチング・ノードについて、本発明の実施例3は、ユーザ端末のアクセスを制御するための方法を提供する。図7aに示すように、本方法の具体的な処理手順は以下のとおりである。
ステップ71:アクセス・スイッチング・ノードとアグリゲーション・スイッチング・ノードとの間で、制御トンネルおよびデータトンネルを含むパケット伝送トンネルを確立する。
アグリゲーション・スイッチング・ノードは、独自プロトコルに基づき、または標準プロトコルの拡張に基づき、アクセス・スイッチング・ノードとパケット伝送トンネルを確立することができる。本発明の実施例3においては、パケット伝送トンネルは、CAPWAPプロトコルの拡張に基づいて、コントローラとアクセス・スイッチング・ノードとの間で確立される。
CAPWAPプロトコルに基づいてパケット伝送トンネルを確立するプロセスについては、実施例1の詳細な説明を参照されたく、本発明の実施例3では詳細は再度説明されない。
CAPWAPプロトコルに基づいてアグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間でパケット伝送トンネルを確立するプロセスの間、アグリゲーション・スイッチング・ノードは、確立されたパケット伝送トンネルとアクセス・スイッチング・ノードとの間の対応関係を維持する。例えば、アクセス・スイッチング・ノードの識別子はSwitch 23であると仮定すると、アグリゲーション・スイッチング・ノードと、識別子がSwitch 23であるアクセス・スイッチング・ノードとの間でパケット伝送トンネル1が確立された後で、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の対応関係を維持することができる。このようにして、続いて、識別子がSwitch 23であるアクセス・スイッチング・ノードが確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへパケットを送信するときに、および、アグリゲーション・スイッチング・ノードがパケットを処理し、またはパケットに応答するときに、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の維持された対応関係から、パケットを送信するデバイス、パケットが送信されるパケット伝送チャネル、パケットが伝送されることになるアクセス・スイッチング・ノード、および応答情報が伝送されることになるパケット伝送チャネルを決定することができる。
ステップ72:媒体制御アクセス(MAC)学習機能が使用不可にされているときに、アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信された認証パケットを受信する。
ステップ73:認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得する。
アクセス・スイッチング・ノードは、プログラムコードに従って処理機能を実行することができる信号プロセッサを使用することによって、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、受信された認証パケットをアクセス・スイッチング・ノードの信号プロセッサへ伝送し、信号プロセッサは、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得する。
ステップ74:ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立された制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。
ステップ75:制御トンネルを介してアグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子を受信し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にする。
インターフェース識別子は、アグリゲーション・スイッチング・ノードがユーザ端末についてアクセス認証の実施に成功した後で、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子である。
アグリゲーション・スイッチング・ノードにより、端末の識別子とインターフェース識別子との間の対応関係を確立する具体的な実施方式については、実施例1または実施例2の詳細な説明を参照されたく、本発明の実施例3では詳細は説明されない。
任意選択で、アクセス・スイッチング・ノードは、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されるアクセス許可を受信し、インターフェースに接続されているユーザ端末を、アクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更する。
それに対応して、本発明の実施例3は、ユーザ端末のアクセスを制御するための装置をさらに提供する。図7bに示すように、本装置は、
媒体アクセス制御(MAC)学習機能が使用不可にされているときに、アクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信された認証パケットを受信し、認証パケットを獲得モジュール902へ伝送するように構成された受信モジュール901と、
受信モジュール901によって伝送された認証パケットを受信し、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得し、インターフェース識別子およびMACアドレスを送信モジュール903へ伝送するように構成された獲得モジュール902と、
獲得モジュール902によって伝送されるインターフェース識別子およびMACアドレスを受信し、コントローラがユーザ端末の受信されたMACアドレスと受信されたインターフェース識別子との間の対応関係を維持するように、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してコントローラへ送信するように構成された送信モジュール903と
を含み、前述の受信モジュール901は、制御トンネルを介してコントローラによって送信されたインターフェース識別子を受信し、インターフェース識別子を制御モジュール904へ伝送するようにさらに構成され、インターフェース識別子は、コントローラがMACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後でユーザ端末のMACアドレスとインターフェース識別子との間の対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子であり、本装置は、
受信モジュール901によって伝送されたインターフェース識別子を獲得し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするように構成された制御モジュール904を含む。
具体的には、前述の受信モジュール901は、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されるアクセス許可を受信し、アクセス許可を制御モジュールへ伝送するようにさらに構成され、制御モジュール904は、受信モジュール901によって伝送されたアクセス許可を獲得し、インターフェースに接続されているユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するように具体的に構成される。
具体的には、前述の獲得モジュール902は、信号プロセッサを具体的に含み、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、受信モジュールによって伝送された認証パケットを獲得するように構成され、信号プロセッサは、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得する。
それに対応して、本発明の実施例3はネットワークスイッチをさらに提供する。図7cに示すように、本ネットワークスイッチは、インターフェース101と、信号プロセッサ103とを含む。
インターフェース101は、媒体アクセス制御(MAC)学習機能が使用不可にされているときに、アクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信された認証パケットを受信し、認証パケットを、バス102を介して信号プロセッサ103へ伝送するように構成される。
インターフェース101は、有線インターフェースを提供するNIC、例えば、銅線インターフェースおよび/またはファイバインターフェースを提供し得るイーサネット(登録商標)NICのうちの1つまたは複数とすることができる。
信号プロセッサ103は、バス102を介して、インターフェース101によって伝送された認証パケットを受信し、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得し、インターフェース識別子およびMACアドレスを、バス102を介してインターフェース101へ伝送するように構成される。
信号プロセッサ103は、CPU、CPUとハードウェアチップの組み合わせ、NP、CPUとNPの組み合わせ、またはNPとハードウェアチップの組み合わせとすることができる。
前述のハードウェアチップは、次のチップ、ASIC、FPGA、CPLDなど、のうちの1つまたは組み合わせとすることができる。
任意選択で、信号プロセッサ103がCPUまたはCPUを含む構成要素の組み合わせである場合には、リレーがメモリをさらに含むことができ、メモリはプログラムコードを記憶するように構成される。信号プロセッサはメモリから記憶されたプログラムコードを獲得し、獲得されたプログラムコードに従って対応する処理を行う。
メモリは、揮発性メモリ、例えばランダム・アクセス・メモリ、または不揮発性メモリ、例えばリード・オンリ・メモリ(英語:read-only memory、略してROM)、フラッシュメモリ、ハード・ディスク・ドライブ、またはソリッドステートドライブ、または前述のタイプのメモリの組み合わせとすることができる。
前述のインターフェース101は、バス102を介して、信号プロセッサ103によって伝送されるインターフェース識別子およびMACアドレスを受信し、コントローラがユーザ端末の受信されたMACアドレスと受信されたインターフェース識別子との間の対応関係を維持するように、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を確立された制御トンネルを介してコントローラへ送信するようにさらに構成される。
前述のインターフェース101は、制御トンネルを介してコントローラによって送信されたインターフェース識別子を受信するようにさらに構成され、インターフェース識別子を、バス102を介して信号プロセッサ103へ伝送し、インターフェース識別子は、コントローラがMACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後でユーザ端末のMACアドレスとインターフェース識別子との間の対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子である。
信号プロセッサ103は、バス102を使用することによって、インターフェース101によって伝送されたインターフェース識別子を獲得し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするように構成される。
具体的には、インターフェース101は、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されるアクセス許可を受信し、アクセス許可を、バス102を介して信号プロセッサ103へ伝送するようにさらに構成される。信号プロセッサ103は、バス102を介してインターフェース101によって伝送されたアクセス許可を獲得し、インターフェースに接続されているユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するように具体的に構成される。
具体的には、前述の信号プロセッサ103は、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、インターフェース101によって伝送された認証パケットを獲得するように構成され、信号プロセッサ103は、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得する。
本発明の前述の実施例で提供される技術的解決策においては、ユーザ端末の集中化された管理を実施すると同時にアクセス層においてユーザ端末のデータ転送機能を制御するために、アグリゲーション・スイッチング・ノード上でユーザ端末のアクセスについて集中化された制御を実施することができ、アクセス・スイッチング・ノード上で分散されたポリシー制御を実施することができる。このように、実施方式は比較的容易であり、システムアーキテクチャは比較的単純であり、ネットワークセキュリティはさらに向上させることができる。
本発明の各実施例は、方法、装置(デバイス)、またはコンピュータプログラム製品として提供することができることをこの技術分野の当業者は理解すべきである。したがって、本発明は、ハードウェアのみの実施例、ソフトウェアのみの実施例、またはソフトウェアとハードウェアの組み合わせを用いた実施例の形態を使用することができる。さらに、本発明は、コンピュータ使用可能プログラムコードを含む(それに限らないが、ディスクメモリ、光リード・オンリ・メモリ、光メモリなどを含む)1つまたは複数のコンピュータ使用可能記憶媒体上に実装されたコンピュータプログラム製品の形態を使用することができる。
本発明は、本発明の実施例による方法、装置(デバイス)、およびコンピュータプログラム製品のフローチャートおよび/またはブロック図を参照して説明されている。コンピュータプログラム命令は、フローチャートおよび/またはブロック図内の各手順および/または各ブロック、および、フローチャートおよび/またはブロック図内の手順および/またはブロックの組み合わせを実現するために使用することができることを理解すべきである。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、または任意の他のプログラマブルデータ処理デバイスのプロセッサがマシンを生成するために提供することができ、これにより、コンピュータまたは任意の他のプログラマブルデータ処理デバイスのプロセッサによって実行される命令は、フローチャート内の1つまたは複数の手順における、および/または、ブロック図内の1つまたは複数のブロックにおける指定された機能を実現するための装置を生成する。
これらのコンピュータプログラム命令は、コンピュータまたは任意の他のプログラマブルデータ処理デバイスに特定の方式で動作するように命令することができるコンピュータ可読メモリに記憶することもでき、これにより、コンピュータ可読メモリに記憶された命令は命令装置を含む製品を生成する。命令装置は、フローチャート内の1つまたは複数の手順における、および/または、ブロック図内の1つまたは複数のブロックにおける特定の機能を実現する。
これらのコンピュータプログラム命令は、コンピュータまたは別のプログラマブルデータ処理デバイスにロードすることもでき、これにより、一連の動作およびステップがコンピュータまたは別のプログラマブルデバイス上で行われ、それによってコンピュータ実装された処理を生成する。したがって、コンピュータまたは別のプログラマブルデバイス上で実行される命令は、フローチャート内の1つまたは複数の手順における、および/または、ブロック図内の1つまたは複数のブロックにおける特定の機能を実現するためのステップを提供する。
本発明のいくつかの好ましい実施例を説明したが、この技術分野の当業者は、一旦、基本的な発明の概念を知ると、これらの実施例に変更および改変を加えることができる。したがって、続く特許請求の範囲は、好ましい実施例および本発明の範囲内にあるすべての変更および改変を包含するように解釈されることが意図される。
101 インターフェース
102 バス
103 信号プロセッサ
701 受信モジュール
702 獲得モジュール
703 認証モジュール
704 決定モジュール
705 送信モジュール
706 確立モジュール
801 インターフェース
802 バス
803 メモリ
804 信号プロセッサ
901 受信モジュール
902 獲得モジュール
903 送信モジュール
904 制御モジュール

Claims (18)

  1. ユーザ端末のアクセスを制御するための方法であって、
    コントローラにより、確立されたデータトンネルを介してアクセス・スイッチング・ノードによって送信された認証パケットを受信するステップと、
    前記コントローラにより、前記認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得するステップと、
    前記獲得されたMACアドレスに対応するユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定するステップであって、前記インターフェース識別子は、前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、ステップと、
    前記コントローラにより、前記決定されたインターフェース識別子を、前記コントローラと前記アクセス・スイッチング・ノードとの間で確立された制御トンネルを介して前記アクセス・スイッチング・ノードへ送信し、前記アクセス・スイッチング・ノードに、前記インターフェース識別子に対応するインターフェースを使用可能にするように命令するステップと、
    を含む方法。
  2. 前記アクセス認証が前記MACアドレスに対応するユーザ端末について実施される前に、ユーザ端末のMACアドレスとインターフェース識別子との間の前記対応関係は、次の方式、
    前記コントローラにより、前記制御トンネルを介して前記アクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、および前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信することであって、前記ユーザ端末のMACアドレスおよび前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、前記ユーザ端末が前記アクセス・スイッチング・ノード上のインターフェースとの接続を確立し、前記接続されたインターフェースを介してパケットを送信するときに前記アクセス・スイッチング・ノードによって獲得される、前記受信することと、
    前記コントローラにより、前記ユーザ端末の前記受信されたMACアドレスおよび前記受信されたインターフェース識別子に従って、前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の対応関係を確立することと、
    で決定される、請求項1に記載の方法。
  3. ユーザ端末のアクセスを制御するための方法であって、
    媒体アクセス制御(MAC)学習機能が使用不可にされているとき、アクセス・スイッチング・ノードにより、前記アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信するステップと、
    前記アクセス・スイッチング・ノードにより、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、前記受信された認証パケットから前記ユーザ端末のMACアドレスを獲得するステップと、
    コントローラが前記ユーザ端末の前記受信されたMACアドレスと前記受信されたインターフェース識別子との間の対応関係を維持するように、前記アクセス・スイッチング・ノードにより、前記ユーザ端末の前記獲得されたMACアドレスおよび前記獲得されたインターフェース識別子を確立された制御トンネルを介して前記コントローラへ送信するステップと、
    前記アクセス・スイッチング・ノードにより、前記制御トンネルを介して前記コントローラによって送信されたインターフェース識別子を受信するステップであって、前記インターフェース識別子は、前記コントローラが前記MACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後で前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の前記対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子である、ステップと、
    前記アクセス・スイッチング・ノードにより、前記受信されたインターフェース識別子に従って、前記インターフェース識別子に対応するインターフェースを使用可能にするステップと
    を含む方法。
  4. 前記アクセス・スイッチング・ノードにより、前記MACアドレスに対応するユーザ端末の、前記制御トンネルを介して前記コントローラによって送信されたアクセス許可を受信するステップ、をさらに含み、
    前記アクセス・スイッチング・ノードにより、前記受信されたインターフェース識別子に従って、前記インターフェース識別子に対応するインターフェースを使用可能にする前記ステップは、
    前記インターフェースに接続されたユーザ端末を前記アクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、前記アクセス・スイッチング・ノード上の、前記インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するステップ
    を含む、請求項3に記載の方法。
  5. 前記アクセス・スイッチング・ノードにより、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、前記受信された認証パケットから前記ユーザ端末のMACアドレスを獲得する前記ステップは、
    前記アクセス・スイッチング・ノードにより、プログラムコードに従って処理機能を実行することができる信号プロセッサを使用することによって、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、前記受信された認証パケットを前記アクセス・スイッチング・ノードの信号プロセッサへ伝送するステップと、
    前記信号プロセッサにより、前記認証パケットの送信元MACアドレスフィールドから、前記認証パケットを送信するユーザ端末のMACアドレスを獲得するステップと、
    を含む、請求項3または4に記載の方法。
  6. ユーザ端末のアクセスを制御するための装置であって、
    確立されたデータトンネルを介して送信された認証パケットを受信し、前記受信された認証パケットを獲得モジュールへ伝送するように構成された受信モジュールと、
    前記受信モジュールによって伝送された認証パケットを獲得し、前記認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、前記獲得されたMACアドレスを認証モジュールへ伝送するように構成された前記獲得モジュールと、
    前記獲得モジュールによって伝送されたMACアドレスを受信し、前記MACアドレスに対応するユーザ端末についてアクセス認証を実施し、認証成功の結果を決定モジュールへ伝送するように構成された前記認証モジュールと、
    前記認証モジュールによって伝送された認証成功の結果を獲得し、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、前記インターフェース識別子を送信モジュールへ伝送するように構成された前記決定モジュールであって、前記インターフェース識別子は、前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、前記決定モジュールと、
    前記決定モジュールによって伝送されたインターフェース識別子を獲得し、前記決定されたインターフェース識別子を、コントローラと前記アクセス・スイッチング・ノードとの間で確立された制御トンネルを介して前記アクセス・スイッチング・ノードへ送信し、前記アクセス・スイッチング・ノードに、前記インターフェース識別子に対応するインターフェースを使用可能にするように命令するように構成された前記送信モジュールと、
    を含む装置。
  7. 前記受信モジュールは、前記制御トンネルを介して前記アクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、および前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信するようにさらに構成され、前記ユーザ端末のMACアドレス、および前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、前記ユーザ端末が前記アクセス・スイッチング・ノード上のインターフェースとの接続を確立し、前記接続されたインターフェースを介してパケットを送信するときに前記アクセス・スイッチング・ノードによって獲得され、前記受信モジュールは、前記受信されたMACアドレスおよび前記受信されたインターフェース識別子を確立モジュールへ伝送するようにさらに構成され、
    前記装置は、前記受信モジュールによって伝送されたMACアドレスおよびインターフェース識別子を獲得し、前記ユーザ端末の前記受信されたMACアドレスおよび前記受信されたインターフェース識別子に従って、前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の対応関係を確立するように構成された前記確立モジュールをさらに含む、請求項6に記載の装置。
  8. ユーザ端末のアクセスを制御するための装置であって、
    媒体アクセス制御(MAC)学習機能が使用不可にされているとき、前記アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信し、前記認証パケットを獲得モジュールへ伝送するように構成された受信モジュールと、
    前記受信モジュールによって伝送された認証パケットを受信し、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、前記受信された認証パケットから前記ユーザ端末のMACアドレスを獲得し、前記インターフェース識別子および前記MACアドレスを送信モジュールへ伝送するように構成された前記獲得モジュールと、
    コントローラが前記ユーザ端末の前記受信されたMACアドレスと前記受信されたインターフェース識別子との間の対応関係を維持するように、前記獲得モジュールによって伝送されたインターフェース識別子およびMACアドレスを受信し、前記ユーザ端末の前記獲得されたMACアドレスおよび前記獲得されたインターフェース識別子を、前記コントローラと前記アクセス・スイッチング・ノードとの間で確立された制御トンネルを介して前記コントローラへ送信するように構成された前記送信モジュールと、
    を含み、前記受信モジュールは、前記制御トンネルを介して前記コントローラによって送信されたインターフェース識別子を受信し、前記インターフェース識別子を制御モジュールへ伝送するようにさらに構成され、前記インターフェース識別子は、前記コントローラが前記MACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後で前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の前記対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子であり、前記装置は、
    前記受信モジュールによって伝送されたインターフェース識別子を獲得し、前記受信されたインターフェース識別子に従って、前記インターフェース識別子に対応するインターフェースを使用可能にするように構成された前記制御モジュール
    を含む装置。
  9. 前記受信モジュールは、前記MACアドレスに対応するユーザ端末の、前記制御トンネルを介して前記コントローラによって送信されたアクセス許可を受信し、前記アクセス許可を前記制御モジュールへ伝送するようにさらに構成され、
    前記制御モジュールは、前記受信モジュールによって伝送されたアクセス許可を獲得し、前記インターフェースに接続されたユーザ端末を前記アクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、前記アクセス・スイッチング・ノード上の、前記インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するように特に構成された、請求項8に記載の装置。
  10. 前記獲得モジュールは、プログラムコードに従って処理機能を実行することができる信号プロセッサを特に含み、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、前記受信モジュールによって伝送された認証パケットを獲得するように構成され、前記信号プロセッサは、前記認証パケットの送信元MACアドレスフィールドから前記認証パケットを送信するユーザ端末のMACアドレスを獲得する、請求項8または9に記載の装置。
  11. アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとを含む、ユーザ端末のアクセスを制御するためのシステムであって、
    前記アクセス・スイッチング・ノードは、媒体アクセス制御(MAC)学習機能が使用不可にされているとき、前記アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信し、前記認証パケットを、データトンネルを介して前記アグリゲーション・スイッチング・ノードへ送信し、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、前記受信された認証パケットから前記ユーザ端末のMACアドレスを獲得し、前記ユーザ端末の前記獲得されたMACアドレスおよび前記獲得されたインターフェース識別子を、制御トンネルを介して前記アグリゲーション・スイッチング・ノードへ送信し、前記アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子を受信し、前記受信されたインターフェース識別子に従って、前記インターフェース識別子に対応するインターフェースを使用可能にするように構成され、
    前記アグリゲーション・スイッチング・ノードは、確立されたデータトンネルを介して前記アクセス・スイッチング・ノードによって送信された認証パケットを受信し、前記認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、前記獲得されたMACアドレスに対応するユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定するように構成され、前記インターフェース識別子は、前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子であり、前記アグリゲーション・スイッチング・ノードは、前記決定されたインターフェース識別子を、コントローラと前記アクセス・スイッチング・ノードとの間で確立された制御トンネルを介して前記アクセス・スイッチング・ノードへ送信するように構成された、システム。
  12. ユーザ端末のMACアドレスとインターフェース識別子との間の前記対応関係は、前記アグリゲーション・スイッチング・ノードによって、次の方式、前記アグリゲーション・スイッチング・ノードにより、前記制御トンネルを介して前記アクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、および前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信することであって、前記ユーザ端末のMACアドレスおよび前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、前記ユーザ端末が前記アクセス・スイッチング・ノード上のインターフェースとの接続を確立し、前記接続されたインターフェースを介してパケットを送信するときに前記アクセス・スイッチング・ノードによって獲得される、前記受信することと、前記ユーザ端末の前記受信されたMACアドレスおよび前記受信されたインターフェース識別子に従って、前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の対応関係を確立することと、で決定される、請求項11に記載のシステム。
  13. 前記アクセス・スイッチング・ノードは、前記MACアドレスに対応するユーザ端末の、前記制御トンネルを介して前記アグリゲーション・スイッチング・ノードによって送信されたアクセス許可を受信し、前記インターフェースに接続されたユーザ端末を前記アクセス許可に従ってネットワークにアクセスするように制御するために、前記アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、前記アクセス・スイッチング・ノード上の、前記インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するようにさらに構成された、請求項11または12に記載のシステム。
  14. 前記アクセス・スイッチング・ノードは、前記アクセス・スイッチング・ノードの信号プロセッサを使用することによって、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、前記信号プロセッサが前記認証パケットの送信元MACアドレスフィールドから前記認証パケットを送信するユーザ端末のMACアドレスを獲得するように、前記受信された認証パケットを、プログラムコードに従って処理機能を実行することができる信号プロセッサへ伝送するように特に構成された、請求項11から13のいずれか一項に記載のシステム。
  15. インターフェースと、メモリと、信号プロセッサとを含むネットワークスイッチであって、
    前記インターフェースは、確立されたデータトンネルを介して送信された認証パケットを受信し、前記受信された認証パケットを、バスを介して前記信号プロセッサへ伝送し、
    前記メモリは、プログラムコードを記憶し、ユーザ端末の媒体アクセス制御(MAC)アドレスとインターフェース識別子との間の対応関係を記憶し、前記記憶されたプログラムコードを、前記バスを介して前記信号プロセッサへ伝送し、
    前記信号プロセッサは、前記バスを使用することによって、前記メモリに記憶されたプログラムコードを獲得し、前記獲得されたプログラムコードに従って、前記認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得すること、前記MACアドレスに対応するユーザ端末についてアクセス認証を実施すること、前記アクセス認証が成功した後で、前記メモリに記憶されている前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の前記対応関係を獲得すること、前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の前記獲得された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定することを実行し、前記インターフェース識別子は、前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子であり、前記信号プロセッサは、前記インターフェース識別子を、前記バスを介して前記インターフェースへ伝送することを実行し、
    前記インターフェースは、前記バスを使用することによって、前記信号プロセッサによって伝送されたインターフェース識別子を獲得し、前記アクセス・スイッチング・ノードに、前記インターフェース識別子に対応するインターフェースを使用可能にするように命令するために、前記インターフェース識別子を、コントローラと前記アクセス・スイッチング・ノードとの間で確立された制御トンネルを介して前記アクセス・スイッチング・ノードへ送信する、ネットワークスイッチ。
  16. 前記インターフェースは、前記制御トンネルを介して前記アクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、および前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子をさらに受信し、前記ユーザ端末のMACアドレス、および前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、前記ユーザ端末が前記アクセス・スイッチング・ノード上のインターフェースとの接続を確立し、前記接続されたインターフェースを介してパケットを送信するときに前記アクセス・スイッチング・ノードによって獲得され、前記インターフェースは、前記受信されたMACアドレスおよび前記受信されたインターフェース識別子を、前記バスを介して前記信号プロセッサへ伝送し、
    前記信号プロセッサは、前記バスを使用することによって、前記インターフェースによって伝送されたユーザ端末のMACアドレスおよびインターフェース識別子をさらに獲得し、前記ユーザ端末のMACアドレスおよび前記インターフェース識別子に従って、前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の対応関係を確立し、前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の前記確立された対応関係を、前記バスを介して前記メモリへ伝送する、請求項15に記載のネットワークスイッチ。
  17. インターフェースと、信号プロセッサとを含むネットワークスイッチであって、
    媒体アクセス制御(MAC)学習機能が使用不可にされているとき、前記インターフェースは、前記インターフェースに接続されたユーザ端末によって送信された認証パケットを受信し、前記認証パケットを、バスを介して前記信号プロセッサへ伝送し、
    前記信号プロセッサは、前記バスを介して、前記インターフェースによって伝送された認証パケットを受信し、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、前記受信された認証パケットから前記ユーザ端末のMACアドレスを獲得し、前記インターフェース識別子および前記ユーザ端末のMACアドレスを、前記バスを介して前記インターフェースへ伝送し、
    前記インターフェースは、前記バスを介して、前記信号プロセッサによって伝送されたインターフェース識別子およびユーザ端末のMACアドレスを受信し、前記ユーザ端末の前記獲得されたMACアドレスおよび前記獲得されたインターフェース識別子を、確立された制御トンネルを介してコントローラへ送信し、前記バスを介して、前記制御トンネルを介して前記コントローラによって送信されたインターフェース識別子を受信し、前記インターフェース識別子を、前記バスを介して前記信号プロセッサへ伝送し、前記インターフェース識別子は、前記コントローラが前記MACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後で前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子であり、
    前記信号プロセッサは、前記バスを使用することによって、前記インターフェースによって伝送されたインターフェース識別子を獲得し、前記受信されたインターフェース識別子に従って、前記インターフェース識別子に対応するインターフェースを使用可能にする、ネットワークスイッチ。
  18. 前記インターフェースは、前記MACアドレスに対応するユーザ端末の、前記制御トンネルを介して前記コントローラによって送信されたアクセス許可をさらに受信し、前記アクセス許可を、前記バスを介して前記信号プロセッサへ伝送し、
    前記信号プロセッサが前記インターフェース識別子に対応するインターフェースを使用可能にすることは、前記バスを介して前記インターフェースによって伝送されたアクセス許可を獲得し、前記インターフェースに接続されたユーザ端末を前記アクセス許可に従ってネットワークにアクセスするように制御するために、前記受信されたアクセス許可に従って、前記インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更することを含む、請求項17に記載のネットワークスイッチ。
JP2016524665A 2013-07-09 2014-07-01 ユーザ端末のアクセスを制御するための方法、装置、およびシステム Active JP6131484B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310286753.9A CN104283858B (zh) 2013-07-09 2013-07-09 控制用户终端接入的方法、装置及系统
CN201310286753.9 2013-07-09
PCT/CN2014/081326 WO2015003565A1 (zh) 2013-07-09 2014-07-01 控制用户终端接入的方法、装置及系统

Publications (3)

Publication Number Publication Date
JP2016525748A true JP2016525748A (ja) 2016-08-25
JP2016525748A5 JP2016525748A5 (ja) 2017-03-16
JP6131484B2 JP6131484B2 (ja) 2017-05-24

Family

ID=52258343

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016524665A Active JP6131484B2 (ja) 2013-07-09 2014-07-01 ユーザ端末のアクセスを制御するための方法、装置、およびシステム

Country Status (7)

Country Link
US (1) US9825950B2 (ja)
EP (1) EP3001635B1 (ja)
JP (1) JP6131484B2 (ja)
KR (1) KR101768512B1 (ja)
CN (1) CN104283858B (ja)
ES (1) ES2634690T3 (ja)
WO (1) WO2015003565A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020509621A (ja) * 2016-11-29 2020-03-26 新華三技術有限公司New H3C Technologies Co., Ltd. パケット処理

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180013798A1 (en) * 2016-07-07 2018-01-11 Cisco Technology, Inc. Automatic link security
CN106131066B (zh) * 2016-08-26 2019-09-17 新华三技术有限公司 一种认证方法及装置
CN107844690A (zh) * 2016-09-20 2018-03-27 深圳市信锐网科技术有限公司 一种基于管理员权限对无线控制器的管理方法及装置
CN106953849B (zh) * 2017-02-28 2021-01-12 华为技术有限公司 一种基于IPv6地址的数据报文匹配方法及装置
US11063988B2 (en) 2018-02-04 2021-07-13 Portly, Inc. Scalable layered two-dimensional (2D) telecommunications network architecture
US11216424B2 (en) 2018-06-07 2022-01-04 Spatika Technologies Inc. Dynamically rendering an application programming interface for internet of things applications
US10666718B2 (en) * 2018-06-07 2020-05-26 Spatika Technologies Inc. Dynamic data transport between enterprise and business computing systems
EP4064617A4 (en) * 2019-12-25 2022-12-07 Huawei Technologies Co., Ltd. COMMUNICATION METHOD AND DEVICE
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
CN114237195A (zh) * 2021-11-09 2022-03-25 岚图汽车科技有限公司 一种obd排放诊断方法及相关设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002314572A (ja) * 2001-04-09 2002-10-25 Allied Tereshisu Kk 集合建築物
JP2005252717A (ja) * 2004-03-04 2005-09-15 Hitachi Ltd ネットワーク管理方法及びネットワーク管理サーバ
JP2006033206A (ja) * 2004-07-14 2006-02-02 Nec Corp 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JP2006067057A (ja) * 2004-08-25 2006-03-09 Furukawa Electric Co Ltd:The ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
JP2008060692A (ja) * 2006-08-29 2008-03-13 Hitachi Ltd 管理計算機、計算機システム及びスイッチ
US20080101240A1 (en) * 2006-10-26 2008-05-01 Cisco Technology, Inc. Apparatus and methods for authenticating voice and data devices on the same port
JP2008278134A (ja) * 2007-04-27 2008-11-13 Chuden Cti Co Ltd ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム
JP2012080418A (ja) * 2010-10-04 2012-04-19 Alaxala Networks Corp ネットワーク認証における端末接続状態管理

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070071016A1 (en) * 2005-09-29 2007-03-29 Avaya Technology Corp. Communicating station-originated data to a target access point via a distribution system
US20080072047A1 (en) * 2006-09-20 2008-03-20 Futurewei Technologies, Inc. Method and system for capwap intra-domain authentication using 802.11r
CN101217575B (zh) * 2008-01-18 2010-07-28 杭州华三通信技术有限公司 一种在用户终端认证过程中分配ip地址的方法及装置
FR2930100B1 (fr) * 2008-04-09 2010-05-07 Canon Kk Procede d'etablissement d'un chemin de communication dans un reseau etendu de communication, tetes de tunnel,produit programme d'ordinateur et moyen de stockage correspondants
CN101621802B (zh) * 2009-08-13 2012-02-08 杭州华三通信技术有限公司 一种无线网络中的入口认证方法、系统和装置
CN102209319B (zh) * 2010-03-30 2014-02-26 杭州华三通信技术有限公司 提高mesh网络中的接入控制器控制效率的方法及接入控制器
JP5350333B2 (ja) 2010-06-28 2013-11-27 アラクサラネットワークス株式会社 パケット中継装置及びネットワークシステム
CN101909059B (zh) * 2010-07-30 2014-07-30 北京星网锐捷网络技术有限公司 删除残留客户端信息的方法、系统及认证服务器
CN101980496A (zh) * 2010-10-13 2011-02-23 华为数字技术有限公司 报文处理方法和系统、交换机和接入服务器设备
KR101504173B1 (ko) * 2011-09-16 2015-03-23 주식회사 케이티 AC와 AP의 연동 기반의 WiFi 로밍에서의 과금 처리 방법 및 장치
US9667485B2 (en) * 2011-10-04 2017-05-30 Juniper Networks, Inc. Methods and apparatus for a self-organized layer-2 enterprise network architecture
US9407457B2 (en) * 2011-10-04 2016-08-02 Juniper Networks, Inc. Apparatuses for a wired/wireless network architecture
KR102006512B1 (ko) * 2011-11-04 2019-08-01 텔레폰악티에볼라겟엘엠에릭슨(펍) 피디엔 접속을 확립하고 또한 사용하기 위한 방법 및 장치
CN102572830B (zh) * 2012-01-19 2015-07-08 华为技术有限公司 终端接入认证的方法及用户端设备
CN102647715A (zh) * 2012-03-27 2012-08-22 华为技术有限公司 一种传递eap认证目的mac地址的方法
EP3531738B1 (en) * 2012-09-28 2021-06-02 Juniper Networks, Inc. Methods and apparatus for controlling wireless access points
US9231820B2 (en) * 2012-09-28 2016-01-05 Juniper Networks, Inc. Methods and apparatus for controlling wireless access points
CN103118064A (zh) * 2012-11-22 2013-05-22 杭州华三通信技术有限公司 一种Portal集中认证的方法和装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002314572A (ja) * 2001-04-09 2002-10-25 Allied Tereshisu Kk 集合建築物
JP2005252717A (ja) * 2004-03-04 2005-09-15 Hitachi Ltd ネットワーク管理方法及びネットワーク管理サーバ
JP2006033206A (ja) * 2004-07-14 2006-02-02 Nec Corp 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JP2006067057A (ja) * 2004-08-25 2006-03-09 Furukawa Electric Co Ltd:The ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
JP2008060692A (ja) * 2006-08-29 2008-03-13 Hitachi Ltd 管理計算機、計算機システム及びスイッチ
US20080101240A1 (en) * 2006-10-26 2008-05-01 Cisco Technology, Inc. Apparatus and methods for authenticating voice and data devices on the same port
JP2008278134A (ja) * 2007-04-27 2008-11-13 Chuden Cti Co Ltd ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム
JP2012080418A (ja) * 2010-10-04 2012-04-19 Alaxala Networks Corp ネットワーク認証における端末接続状態管理

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
那須野 洋一 ほか: "これであなたも一人前 スイッチ・ネットワークの作り方", 日経NETWORK, vol. 第66号, JPN6017009565, 22 September 2005 (2005-09-22), JP, pages 170 - 175, ISSN: 0003521779 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020509621A (ja) * 2016-11-29 2020-03-26 新華三技術有限公司New H3C Technologies Co., Ltd. パケット処理
US11463332B2 (en) 2016-11-29 2022-10-04 New H3C Technologies Co., Ltd. Processing packet
US11695658B2 (en) 2016-11-29 2023-07-04 New H3C Technologies Co., Ltd. Processing packet

Also Published As

Publication number Publication date
JP6131484B2 (ja) 2017-05-24
EP3001635A4 (en) 2016-04-06
WO2015003565A1 (zh) 2015-01-15
KR101768512B1 (ko) 2017-08-17
US9825950B2 (en) 2017-11-21
US20160127368A1 (en) 2016-05-05
EP3001635B1 (en) 2017-06-07
ES2634690T3 (es) 2017-09-28
KR20160020547A (ko) 2016-02-23
EP3001635A1 (en) 2016-03-30
CN104283858A (zh) 2015-01-14
CN104283858B (zh) 2018-02-13

Similar Documents

Publication Publication Date Title
JP6131484B2 (ja) ユーザ端末のアクセスを制御するための方法、装置、およびシステム
US10122574B2 (en) Methods and apparatus for a common control protocol for wired and wireless nodes
JP5050849B2 (ja) リモートアクセスシステム及びそのipアドレス割当方法
US8514828B1 (en) Home virtual local area network identification for roaming mobile clients
US9402271B2 (en) Converged wireless local area network
US10454710B2 (en) Virtual local area network mismatch detection in networks
US8990892B2 (en) Adapting extensible authentication protocol for layer 3 mesh networks
CN114124618B (zh) 一种报文传输方法及电子设备
EP4027593A1 (en) Tunnel configuration method, apparatus and system, and device and storage medium
JP2018527849A (ja) セルラアクセスネットワークにおけるネイティブでありブリッジされた通信のための装置、システムおよび方法
US9756148B2 (en) Dynamic host configuration protocol release on behalf of a user
CN107580768A (zh) 报文传输的方法、装置和系统
WO2019157968A1 (zh) 一种通信方法、装置及系统
US11296985B2 (en) Normalized lookup and forwarding for diverse virtual private networks
CN107547325B (zh) 报文转发方法及装置
JP5351333B2 (ja) 集中型wlanにおける無線ターミナルポイントによりwpiを実施する際のステーション切り替え方法及びシステム
US9787536B2 (en) Method and apparatus for configuring packet forwarding manner
US10674565B2 (en) Communication method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170209

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20170209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170228

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20170308

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170321

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170328

R150 Certificate of patent or registration of utility model

Ref document number: 6131484

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250