KR101768512B1 - 사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템 - Google Patents

사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템 Download PDF

Info

Publication number
KR101768512B1
KR101768512B1 KR1020167001224A KR20167001224A KR101768512B1 KR 101768512 B1 KR101768512 B1 KR 101768512B1 KR 1020167001224 A KR1020167001224 A KR 1020167001224A KR 20167001224 A KR20167001224 A KR 20167001224A KR 101768512 B1 KR101768512 B1 KR 101768512B1
Authority
KR
South Korea
Prior art keywords
user terminal
access
interface
switching node
mac address
Prior art date
Application number
KR1020167001224A
Other languages
English (en)
Other versions
KR20160020547A (ko
Inventor
빙 선
이빈 수
펑헤 탕
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20160020547A publication Critical patent/KR20160020547A/ko
Application granted granted Critical
Publication of KR101768512B1 publication Critical patent/KR101768512B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템을 개시한다. 상기 방법은, 컨트롤러가, 구축된 데이터 터널을 통해 액세스 스위칭 노드에 의해 송신된 인증 패킷을 수신하는 단계; 상기 컨트롤러가, 상기 인증 패킷의 소스 MAC 어드레스 필드에서 MAC 어드레스를 획득하는 단계; 상기 획득된 MAC 어드레스에 대응하는 사용자 단말기에 대해 수행된 액세스 인증이 성공한 후에, 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 유지된 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정하는 단계 - 상기 인터페이스 식별자는 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자임 -; 및 상기 컨트롤러가, 상기 결정된 인터페이스 식별자를 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 액세스 스위칭 노드에게 송신하고, 상기 액세스 스위칭 노드에게 상기 인터페이스 식별자에 대응하는 상기 인터페이스를 활성화하도록 지시하는 단계를 포함한다. 이 방식으로, 사용자 단말기에 대해 구현된 액세스 인증의 구현 절차가 단순화된 경우에 있어서, 네트워크 보안이 향상될 수 있다.

Description

사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템{METHOD, APPARATUS AND SYSTEM FOR CONTROLLING ACCESS OF USER TERMINAL}
본 출원은 상기 중국특허청에 2013년 7월 9일에 접수되고 발명의 명칭이 "METHOD, APPARATUS, AND SYSTEM FOR CONTROLLING ACCESS OF USER TERMINAL"인 중국특허출원 No. 201310286753.9에 대한 우선권을 주장하는 바이며, 상기 문헌의 내용은 본 명세서에 원용되어 포함된다.
본 발명은 통신 기술 분야에 관한 것으로, 특히 사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템에 관한 것이다.
통신 시스템에서, 캠퍼스 네트워크(campus network, CAN)는 일반적으로 캠퍼스 또는 기업의 인트라넷(intranet)의 네트워크를 지칭하고, 상기 캠퍼스 네트워크의 주요 특징은 상기 캠퍼스 네트워크에 배치된 라우터 및 네트워크 스위치 등이 관리 조직(예를 들어, 캠퍼스 네트워크의 소유주)에 의해 관리된다는 것이다.
도 1에 도시된 바와 같이, 캠퍼스 네트워크의 네트워크 아키텍쳐에서, 상기 캠퍼스 네트워크는 적어도 하나의 사용자 단말기와 적어도 하나의 네트워크 스위치를 포함한다. 일반적으로, 사용자 단말기 측에 위치하고 사용자 단말기에 직접 연결된 네트워크 스위치는 액세스 스위치 또는 액세스 스위칭 노드라고 한다. 일반적으로, 네트워크 측에 위치하고 액세스 스위칭 노드에 연결된 네트워크 스위치는 집성 스위치(aggregation switch) 또는 집성 스위칭 노드(aggregation switching node)라고 한다. 액세스 스위칭 노드 상의 각 인터페이스는 임의의 사용자 단말기에 연결되거나, 또는 적어도 하나의 사용자 단말기에 연결될 수 있다. 사용자 단말기가 액세스 스위칭 노드에 연결되면, 상기 사용자 단말기는 상기 액세스 스위칭 노드에 유선으로 연결될 수 있다. 상기 액세스 스위칭 노드의 다른쪽 인터페이스는 집성 스위칭 노드로 연결되어 패킷 전송을 구현한다. 도 1에 도시된 상기 캠퍼스 네트워크의 네트워크 아키텍쳐에서, 사용자 단말기가 성공적으로 액세스 스위칭 노드에 유선으로 연결된 후에, 상기 사용자 단말기가 패킷 전송을 위해 상기 캠퍼스 네트워크에 액세스(access)가 허용되는지 여부를 확인하기 위해, 패킷 전송 전에 인증을 수행할 필요가 있다. 상기 사용자 단말기는, 상기 사용자 단말기가 패킷 전송을 위해 상기 캠퍼스 네트워크에 액세스가 허용되는 경우에만, 패킷을 상기 액세스 스위칭 노드에게 송신할 수 있다. 일반적으로, 사용자 단말기가 패킷 전송을 위해 캠퍼스 네트워크에 액세스가 허용되는지 여부를 확인하기 위하여 두가지 인증을 수행하는 방식이 존재하여 상기 사용자 단말기가 패킷 전송을 위해 상기 캠퍼스 네트워크에 액세스가 허용되는지 여부를 제어한다.
첫번째 방식에서는, 액세스 스위칭 노드가 사용자 단말기가 패킷 전송을 위해 캠퍼스 네트워크에 액세스가 허용되는지 여부를 확인하기 위하여 인증을 수행한다. 즉, 상기 액세스 스위칭 노드가 상기 사용자 단말기의 액세스에 대해 인증을 수행하고, 인증 결과에 따라서, 상기 사용자 단말기가 패킷 전송을 위해 상기 캠퍼스 네트워크에 액세스가 허용되는지 여부를 결정한다. 도 1에 도시된 상기 캠퍼스 네트워크의 네트워크 아키텍쳐는 예로서 사용된다. 여기서, 사용자 단말기 1 및 사용자 단말기 2는 액세스 스위칭 노드 1에 유선으로 연결되고, 사용자 단말기 3은 액세스 스위칭 노드 2에 유선으로 연결되며, 상기 액세스 스위칭 노드 1과 상기 액세스 스위칭 노드 2는 둘 다 집성 스위칭 노드에 연결된다. 특정한 구현에서, 상기 액세스 스위칭 노드 1은 상기 사용자 단말기 1과 상기 사용자 단말기 2가 상기 캠퍼스 네트워크에 액세스가 허용되는지 여부를 확인하기 위하여 인증을 수행하고, 상기 액세스 스위칭 노드 2는 상기 사용자 단말기 3이 상기 캠퍼스 네트워크에 액세스가 허용되는지 여부를 확인하기 위하여 인증을 수행한다. 상기 사용자 단말기 1, 상기 사용자 단말기 2 또는 상기 사용자 단말기 3은 상기 인증이 성공하는 경우에만 패킷 전송을 위해 상기 네트워크에 액세스할 수 있다. 상기 첫번째 방식이 사용되는 경우에 있어서, 시스템에서 액세스 스위칭 노드는 각각의 상기 액세스 스위칭 노드에 연결된 사용자 단말기에 대한 액세스 인증을 수행할 필요가 있다. 하지만, 일반적으로, 상기 시스템에는 많은 액세스 스위칭 노드가 있기 때문에, 상기 첫번째 방식에 사용된 상기 네트워크 아키텍쳐의 복잡성은 비교적 높다.
두번째 방식에서는, 집성 스위칭 노드가 사용자 단말기의 액세스에 대한 인증을 수행한다. 도 1에 도시된 상기 시스템 아키텍쳐에서, 상기 집성 스위칭 노드가 상기 시스템에서의 액세스 스위칭 노드에 연결된 임의의 사용자 단말기에 대한 인증을 수행한다. 상기 인증이 성공하면, 상기 집성 스위칭 노드는, 상기 액세스 스위칭 노드에 연결된 모든 사용자 단말기에게 상기 네트워크에 액세스하도록 허용한다. 즉, 이 방식에서는, 상기 집성 스위칭 노드가 상기 액세스 스위칭 노드에 연결된 임의의 사용자 단말기에 대해 수행한 상기 액세스 인증이 성공한 후에, 상기 액세스 스위칭 노드에 연결된 다른 사용자 단말기는 액세스 인증을 요구하지 않고 패킷 전송을 위해 상기 액세스 스위칭 노드를 이용함으로써 상기 네트워크에 직접 연결된다. 상기 두번째 방식이 사용되는 경우에 있어서, 개별 사용자 단말기에 대한 제어는 수행될 수 없고, 보안은 취약하다.
결론적으로, 사용자 단말기의 액세스를 제어하는 일반적인 방법의 구현 방식은 비교적 복잡하거나, 또는 보안이 비교적 취약하다.
본 발명은 사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템을 제공하며, 이는 사용자 단말기에 대해 구현된 액세스 인증의 구현 절차가 단순화된 경우에 있어서 네트워크 보안을 향상시킬 수 있다.
일 측면에 따라서, 사용자 단말기의 액세스를 제어하는 방법이 제공된다. 상기 방법은 컨트롤러가, 액세스 스위칭 노드에 의해 송신된 인증 패킷을 구축된 데이터 터널을 통해 수신하는 단계; 상기 컨트롤러가, 상기 인증 패킷의 소스 MAC 어드레스 필드에서 MAC 어드레스를 획득하는 단계; 상기 획득된 MAC 어드레스에 대응하는 사용자 단말기에 대해 구현된 액세스 인증이 성공한 후에, 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 유지된 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정하는 단계 - 상기 인터페이스 식별자는 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자임 -; 및 상기 컨트롤러가 상기 결정된 인터페이스 식별자를 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 액세스 스위칭 노드에게 송신하고 상기 액세스 스위칭 노드에게 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하도록 지시하는 단계를 포함한다.
상기 제1 측면의 제1 가능한 구현 방식에서, 상기 액세스 인증이 상기 MAC 어드레스에 대응하는 상기 사용자 단말기에 대해 수행되기 전에, 상기 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 대응관계는, 상기 컨트롤러가, 상기 제어 터널를 통해 상기 액세스 스위칭 노드에 의해 송신된 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 수신하는 단계 - 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는, 상기 사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스와의 연결을 구축하여 상기 연결된 인터페이스를 통하여 패킷을 송신할 때, 상기 액세스 스위칭 노드에 의해 획득됨 -; 및 상기 사용자 단말기의 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 구축하는 단계에 의해 결정된다.
제2 측면에 따라서, 사용자 단말기의 액세스를 제어하는 방법이 제공된다. 상기 방법은, 미디어 액세스 콘트롤 MAC 학습 기능이 비활성화된 경우, 액세스 스위칭 노드가, 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 사용자 단말기에 의해 송신된 인증 패킷을 수신하는 단계; 상기 액세스 스위칭 노드가, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하고 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하는 단계; 상기 액세스 스위칭 노드가, 상기 컨트롤러가 상기 사용자 단말기의 수신된 MAC 어드레스와 상기 수신된 인터페이스 식별자 간의 대응관계를 유지하도록, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 확립된 제어 터널을 통해 컨트롤러에게 송신하는 단계; 상기 액세스 스위칭 노드가, 상기 컨트롤러에 의해 송신된 상기 인터페이스 식별자를 상기 제어 터널을 통해 수신하는 단계 - 상기 인터페이스 식별자는, 상기 컨트롤러가 상기 MAC 어드레스에 대응하는 상기 사용자 단말기에 대해 액세스 인증을 성공적으로 수행한 후, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계로부터 결정되고 성공적으로 인증된 상기 사용자 단말기의 MAC 어드레스에 해당됨 -; 및 상기 액세스 스위칭 노드가, 상기 수신된 인터페이스 식별자에 따라 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하는 단계를 포함한다.
상기 제2 측면의 제1 가능한 구현 방식에서, 상기 방법은 상기 액세스 스위칭 노드가 상기 MAC 어드레스에 대응하는 상기 사용자 단말기의 액세스 허용으로서 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 액세스 허용을 수신하는 단계를 더 포함하고, 상기 액세스 스위칭 노드가 상기 수신된 인터페이스 식별자에 따라 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하는 단계는, 집성 스위칭 노드에 의해 송신된 수신된 액세스 허용에 따라서, 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 상기 액세스 허용을 구성하거나 변경하여, 상기 액세스 허용에 따라 네트워크에 액세스하도록 상기 인터페이스에 연결된 사용자 단말기를 제어하는 단계를 포함한다.
상기 제2 측면 또는 상기 제2 측면의 제1 가능한 구현 방식을 참조하면, 상기 제2 측면의 제2 가능한 구현 방식에서, 상기 액세스 스위칭 노드가 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하는 단계 및 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하는 단계는, 상기 액세스 스위칭 노드가 프로그램 코드에 따라서 프로세싱 기능을 수행할 수 있는 시그널 프로세서를 이용하여, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하고 상기 수신된 인증 패킷을 상기 액세스 스위칭 노드의 시그널 프로세서에게 전송하는 단계; 및 상기 시그널 프로세서가, 상기 인증 패킷의 소스 MAC 어드레스 필드로부터 상기 인증 패킷을 송신한 상기 사용자 단말기의 MAC 어드레스를 획득하는 단계를 포함한다.
제3 측면에 따라서, 사용자 단말기의 액세스를 제어하기 위한 장치가 제공된다. 상기 장치는, 구축된 데이터 터널을 통해 송신된 인증 패킷을 수신하고 상기 수신된 인증 패킷을 획득 모듈에게 전송하도록 구성된 수신 모듈; 상기 수신 모듈에 의해 전송된 상기 인증 패킷을 획득하고, 상기 인증 패킷의 소스 MAC 어드레스 필드에서 MAC 어드레스를 획득하며, 상기 획득된 MAC 어드레스를 인증 모듈에게 전송하도록 구성된 상기 획득 모듈; 상기 획득 모듈에 의해 전송된 상기 MAC 어드레스를 수신하고, 상기 MAC 어드레스에 대응하는 사용자 단말기에 대해 액세스 인증을 수행하며, 인증 성공의 결과를 결정 모듈에게 전송하도록 구성된 상기 인증 모듈; 상기 인증 모듈에 의해 전송된 상기 인증 성공의 결과를 획득하고, 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 유지된 대응관계로부터 성공적으로 인증된 상기 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정하며, 상기 인터페이스 식별자를 송신 모듈에게 전송하도록 구성된 상기 결정 모듈 - 상기 인터페이스 식별자는 상기 사용자 단말기에 연결된 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자임 -; 및 상기 결정 모듈에 의해 전송된 상기 인터페이스 식별자를 획득하고, 컨트롤러와 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 결정된 인터페이스 식별자를 상기 액세스 스위칭 노드에게 송신하며, 상기 액세스 스위칭 노드에게 상기 인터페이스 식별자에 대응하는 인터페이스 활성화를 지시하도록 구성된 상기 송신 모듈을 포함한다.
상기 제3 측면의 제1 가능한 구현 방식에서, 상기 수신 모듈은 추가적으로, 상기 제어 터널을 통해 상기 액세스 스위칭 노드에 의해 송신된 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 수신하고, 상기 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자을 구축 모듈에게 전송하도록 구성되고, 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는, 상기 사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스와의 연결을 구축하여 상기 연결된 인터페이스를 통하여 패킷을 송신할 때 상기 액세스 스위칭 노드에 의해 획득되며, 상기 장치는, 상기 수신 모듈에 의해 전송된 상기 MAC 어드레스 및 상기 인터페이스 식별자를 획득하고, 상기 사용자 단말기의 상기 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라서 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 구축하도록 구성된다.
제4 측면에 따라서, 사용자 단말기의 액세스를 제어하기 위한 장치가 제공된다. 상기장치는, 미디어 액세스 콘트롤 MAC 학습 기능이 비활성화된 경우, 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 사용자 단말기에 의해 송신된 인증 패킷을 수신하고 상기 인증 패킷을 획득 모듈에게 전송하도록 구성된 수신 모듈; 상기 수신 모듈에 의해 전송된 상기 인증 패킷을 수신하고, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 상기 인터페이스의 인터페이스 식별자를 획득하며, 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하고, 상기 인터페이스 식별자 및 상기 MAC 어드레스를 송신 모듈에게 전송하도록 구성된 상기 획득 모듈; 상기 획득 모듈에 의해 전송된 상기 인터페이스 식별자 및 상기 MAC 어드레스를 수신하고, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 컨트롤러와 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 컨트롤러에게 전송함으로써, 상기 컨트롤러가 상기 사용자 단말기의 상기 수신된 MAC 어드레스와 상기 수신된 인터페이스 식별자 간의 대응관계를 유지도록 구성된 상기 송신 모듈 - 여기서, 상기 수신 모듈은 추가적으로, 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 상기 인터페이스 식별자를 수신하고 상기 인터페이스 식별자를 제어 모듈에게 전송하도록 구성되고, 상기 인터페이스 식별자는 상기 컨트롤러가 상기 MAC 어드레스에 대응하는 상기 사용자 단말기에 대한 액세스 인증을 성공적으로 수행한 후에 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 대응관계로부터 결정되고 상기 성공적으로 인증된 사용자 단말기의 상기 MAC 어드레스에 해당하는 식별자임 -; 및 상기 수신 모듈에 의해 전송된 상기 인터페이스 식별자를 획득하고, 상기 수신된 인터페이스 식별자에 따라서 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하도록 구성된 제어 모듈을 포함한다.
상기 제4 측면의 제1 가능한 구현 방식에서, 상기 수신 모듈은 추가적으로, 상기 MAC 어드레스에 대응하는 상기 사용자 단말기의 액세스 허용으로서 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 액세스 허용을 수신하고 상기 액세스 허용을 상기 제어 모듈에게 전송하도록 구성되고, 상기 제어 모듈은 구체적으로, 상기 수신 모듈에 의해 전송된 상기 액세스 허용을 획득하고, 집성 스위칭 노드에 의해 송신된 수신된 액세스 허용에 따라, 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 상기 액세스 허용을 구성하거나 변경하여, 상기 액세스 허용에 따라 네트워크에 액세스하도록 상기 인터페이스에 연결된 사용자 단말기를 제어하도록 구성된다.
상기 제4 측면 또는 상기 제4 측면의 제1 가능한 구현 방식을 참조하면, 상기 제4 측면의 제2 가능한 구현 방식에서, 상기 획득 모듈은 구체적으로, 프로그램 코드에 따라서 프로세싱 기능을 수행할 수 있는 시그널 프로세서를 포함하며, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하고 상기 수신 모듈에 의해 전송된 상기 인증 패킷을 획득하도록 구성되며, 상기 시그널 프로세서는 상기 인증 패킷의 소스 MAC 어드레스 필드로부터 상기 인증 패킷을 송신한 상기 사용자 단말기의 MAC 어드레스를 획득한다.
제5 측면에 따라서, 사용자 단말기의 액세스를 제어하기 위한 시스템이 제공되고, 상기 시스템은 집성 스위칭 노드 및 액세스 스위칭 노드를 포함하고, 상기 액세스 스위칭 노드는, 미디어 액세스 콘트롤 MAC 학습 기능이 비활성화된 경우, 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 사용자 단말기에 의해 송신된 인증 패킷을 수신하고 상기 인증 패킷을 데이터 터널을 통해 상기 집성 스위칭 노드에게 송신하며, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하고 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하며 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 제어 터널을 통해 상기 집성 스위칭 노드에게 송신하고, 상기 집성 스위칭 노드에 의해 송신된 인터페이스 식별자를 수신하고 상기 수신된 인터페이스 식별자에 따라 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하도록 구성되고, 상기 집성 스위칭 노드는, 상기 액세스 스위칭 노드에 의해 송신된 상기 인증 패킷을 상기 구축된 데이터 터널을 통해 수신하고 상기 인증 패킷의 소스 MAC 어드레스 필드에서 상기 MAC 어드레스를 획득하며, 상기 획득된 MAC 어드레스에 대응하는 상기 사용자 단말기에 대해 수행된 액세스 인증이 성공한 후에, 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 유지된 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정하고 - 여기서, 상기 인터페이스 식별자는 상기 사용자 단말기에 연결된 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자임 -, 상기 결정된 인터페이스 식별자를 컨트롤러와 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 액세스 스위칭 노드에게 송신하도록 구성된다.
상기 제5 측면의 제1 가능한 구현 방식에서, 상기 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 대응관계는, 상기 집성 스위칭 노드에 의해, 상기 집성 스위칭 노드가, 상기 액세스 스위칭 노드에 의해 송신된 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 상기 제어 터널를 통하여 수신하는 과정 - 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는 상기 사용자 단말기가 상기 액세스 스위칭 노드 상의 상기 인터페이스와의 연결을 구축하여 상기 연결된 인터페이스를 통하여 패킷을 송신할 때, 상기 액세스 스위칭 노드에 의해 획득됨 -; 및 상기 사용자 단말기의 상기 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라서 상기 사용자 단말기의 상기 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 구축하는 과정에 의해 결정된다.
상기 제5 측면 또는 상기 제5 측면의 제1 가능한 구현 방식을 참조하면, 상기 제5 측면의 제2 가능한 구현 방식에서, 상기 액세스 스위칭 노드는 추가적으로, 상기 MAC 어드레스에 대응하는 상기 사용자 단말기의 액세스 허용으로서 상기 집성 스위칭 노드가 상기 제어 터널을 통해 송신된 액세스 허용을 수신하고, 상기 액세스 허용에 따른 네트워크에 접근하기 위해 상기 인터페이스에 연결되는 상기 사용자 단말기를 제어하기 위하여, 상기 집성 스위칭 노드에 의해 송신된 상기 수신된 액세스 허용에 따라, 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 액세스 허용을 구성하거나 변경하여, 상기 액세스 허용에 따라 네트워크에 액세스하도록 상기 인터페이스에 연결된 사용자 단말기를 제어하도록 구성된다.
상기 제5 측면, 상기 제5 측면의 제1 가능한 구현 방식 및 상기 제5 측면의 제2 가능한 구현 방식 중 어느 하나를 참조하면, 상기 제5 측면의 제3 가능한 구현 방식에서, 상기 액세스 스위칭 노드는 구체적으로, 상기 액세스 스위칭 노드의 시그널 프로세서를 이용하여 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하고, 상기 시그널 프로세서가 상기 인증 패킷의 상기 소스 MAC 어드레스 필드로부터 상기 인증 패킷을 송신한 상기 사용자 단말기의 MAC 어드레스를 획득할 수 있도록, 상기 수신된 인증 패킷을 시그널 프로세서로 전송하도록 구성된다.
본 발명에서 제공된 상기 기술적인 해결방법에서, 사용자 단말기에 대해 구현된 액세스 인증이 성공한 후에, 성공적으로 인증된 상기 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자는 획득된 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 대응관계로부터 결정되고, 상기 결정된 인터페이스 식별자는 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 액세스 스위칭 노드에게 송신되며, 상기 액세스 스위칭 노드는 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하도록 지시된다. 이 방식으로, 사용자 단말기의 액세스 네트워크 및 네트워크 액세스 허용은 집중화된 방식으로 제어될 수 있고, 시스템 아키텍쳐는 비교적 단순하고 구현이 용이하며, 네트워크 보안은 더 향상될 수 있다.
도 1은 사용자 단말기의 액세스를 제어하기 위한 시스템의 네트워크 아키텍쳐의 구성도이다.
도 2는 본 발명의 실시예 1에 따른 사용자 단말기의 액세스를 제어하기 위한 제1 시스템의 구성의 개략적인 구조도이다.
도 3a는 WLAN 시스템 아키텍쳐에서의 CAPWAP 프로토콜의 적용을 나타내는 구성도이다.
도 3b는 데이터 터널을 통해 전송된 CAPWAP 데이터 패킷의 개략적인 구조도이다.
도 3c는 데이터 터널을 통해 전송된 CAPWAP 데이터 패킷의 헤더의 구성의 개략적인 구조도이다.
도 3d는 제어 터널을 통해 전송된 CAPWAP 제어 패킷의 개략적인 구조도이다.
도 3e는 제어 터널을 통해 전송된 CAPWAP 제어 패킷의 헤더의 구성의 개략적인 구조도이다.
도 4는 본 발명의 실시예 1에 따른 사용자 단말기의 액세스를 제어하기 위한 제2 시스템의 구성의 개략적인 구조도이다.
도 5는 본 발명의 실시예 2에 따른 사용자 단말기의 액세스를 제어하는 방법의 플로우 차트이다.
도 6a는 본 발명의 실시예 3에 따른 사용자 단말기의 액세스를 제어하기 위한 방법으로서 집성 스위칭 노드 측에 적용되는 방법의 플로우 차트이다.
도 6b는 본 발명의 실시예 3에 따른 사용자 단말기의 액세스를 제어하기 위한 장치의 구성의 개략적인 구조도이다.
도 6c는 본 발명의 실시예 3에 따른 네트워크 스위치의 개략적인 구조도이다.
도 7a는 본 발명의 실시예 3에 따른 사용자 단말기의 액세스를 제어하기 위한 방법으로서 액세스 스위칭 노드 측에 적용되는 방법의 플로우 차트이다.
도 7b는 본 발명의 실시예 3에 따른 사용자 단말기의 액세스를 제어하기 위한 장치의 구성의 개략적인 구조도이다.
도 7c는 본 발명의 실시예 3에 따른 네트워크 스위치의 구성의 개략적인 구조도이다.
사용자 단말기의 액세스를 제어하는 방법의 구현 방식은 비교적 복잡하거나 보안이 비교적 취약하다는 공통적인 문제점에 대하여, 본 발명의 실시예에서 기술적인 해결방법이 제공된다. 상기 기술적인 해결방법에서, 사용자 단말기에 대해 구현된 액세스 인증이 성공한 후에, 성공적으로 인증된 상기 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자는 획득된 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 대응관계로부터 결정되고, 상기 결정된 인터페이스 식별자는 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 액세스 스위칭 노드에게 송신되며, 상기 액세스 스위칭 노드는 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하도록 지시된다. 이 방식으로, 사용자 단말기의 액세스 네트워크 및 네트워크 액세스 허용은 집중화된 방식으로 제어될 수 있고, 시스템 아키텍쳐는 비교적 단순하고 구현이 용이하며, 네트워크 보안은 더 향상될 수 있다.
상기 첨부한 도면들을 참조하여, 다음에서는 본 발명에서의 상기 기술적인 해결방법의 중요한 구현 원칙, 특정한 구현 방식 및 혜택을 상세히 설명한다.
상기 본 발명의 실시예에서 제공된 상기 기술적인 해결방법은 컨트롤러를 이용하여 구현될 수 있다. 상기 컨트롤러는 독립적인 네트워크 디바이스로서 네트워크에 배치되거나 또는 통합 모듈로서 네트워크 상에 배치된 집성(aggregation) 스위칭 노드 내에 통합될 수 있고, 세부 사항은 각각 다음에서 설명한다.
(실시예 1)
본 발명의 실시예 1은 사용자 단말기의 액세스를 제어하기 위한 시스템을 제공한다. 컨트롤러는 본 발명의 실시예 1에 제공된 기술적인 해결방법을 구현하기 위하여 통합 모듈로서 집성 스위칭 노드 내에 통합된다. 도 2에 도시된 바와 같이, 상기 시스템은 적어도 하나의 액세스 스위칭 노드 및 적어도 하나의 집성 스위칭 노드를 포함하고, 상기 적어도 하나의 액세스 스위칭 노드 각각은 상기 적어도 하나의 집성 스위칭 노드 중 하나의 집성 스위칭 노드로 연결된다. 상기 적어도 하나의 액세스 스위칭 노드 중 어떤 액세스 스위칭 노드는 적어도 하나의 사용자 단말기에 유선으로 연결될 수 있거나, 또는 임의의 사용자 단말기에 연결되지 않을 수, 즉 사용자 단말기에 연결하기 위해 사용되는 인터페이스는 아이들 상태에 있을 수 있다.
패킷 전송 터널은 집성 스위칭 노드와 액세스 스위칭 노드 간에 구축된다. 상기 집성 스위칭 노드와 상기 액세스 스위칭 노드 간의 상기 패킷 전송 터널은 미리 정해진 전용 프로토콜에 따라서 구축되거나 표준 프로토콜을 확장함으로써 구축될 수 있다. 예를 들어, 상기 표준 프로토콜은 무선 액세스 포인트(Wireless Access Point, WAP)의 제어 및 프로비저닝(Control And Provisioning of Wireless Access Points) 프로토콜일 수 있다. 본 발명의 이 실시예에 있어서, 패킷 전송 터널이 상기 CAPWAP 프로토콜을 확장함으로써 구축된다는 것은 상세한 설명을 위한 예로서 사용될 수 있다. 상기 확장된 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널은 제어 패킷을 전송하기 위한 제어 터널과 데이터 패킷을 전송하기 위한 데이터 터널을 포함한다.
상기 CAPWAP 프로토콜은 무선 통신 환경에 적용된 표준 프로토콜이다. 상기 무선 통신 환경에서, 상기 CAPWAP 프로토콜은 액세스 콘트롤(Access Control, AC) 노드 및 무선 액세스 포인트(Access Point, AP) 간의 상호 연동 시나리오에 적용될 수 있다. 도 3a에 도시한 바와 같이, 상기 CAPWAP 프로토콜에 기반한 상기 무선 통신 환경은 무선 AP, 네트워크 스위치, AC 및 사용자 단말기를 포함한다. 상기 무선 AP는 적어도 하나의 사용자 단말기에 무선으로 연결될 수 있다. 패킷을 무선으로 전송하기 위한 상기 패킷 전송 터널은 상기 CAPWAP 프로토콜에 기반하여 상기 무선 AP와 상기 AC 간에 구축될 수 있다. 상기 CAPWAP 프로토콜을 사용하여 상기 무선 AP와 상기 AC 간에 구축된 상기 제어 터널은 상기 AC와 상기 무선 AP 간에 제어 패킷을 교환하기 위해 사용되고, 상기 CAPWAP 프로토콜을 사용하여 상기 무선 AP와 상기 AC 간에 구축된 상기 데이터 터널은 사용자 단말기에 의해 송신된 데이터 패킷을 전송하기 위해 사용된다. 상기 데이터 터널을 통해 전송된 상기 데이터 패킷과 상기 제어 터널을 통해 전송된 상기 제어 패킷은 비암호화 방식으로 전송될 수 있다. 데이터그램 트랜스포트 레이어 시큐리티(Datagram Transport Layer Security DTLS) 프로토콜은, 또한 암호화를 위해 사용되어 상기 데이터 터널을 통해 전송된 상기 데이터 패킷 및 상기 제어 터널을 통해 전송된 상기 제어 패킷의 보안을 향상시킬 수 있다. 본 발명의 실시예 1에서, 상기 DTLS 프로토콜이 상기 데이터 터널을 통해 전송된 상기 데이터 패킷과 상기 제어 터널을 통해 전송된 상기 제어 패킷을 암호화하기 위해 사용된다는 것은 상기 데이터 패킷의 구조적 구성 및 상기 제어 패킷의 구조적 구성을 추가적으로 설명하기 위한 예로서 사용된다.
상기 CAPWAP 프로토콜을 사용하여 구축된 상기 데이터 터널을 통해 전송된 상기 데이터 패킷의 구성의 개략적인 구조도가 도 3b에 도시되어 있다. 상기 데이터 터널을 통해 전송된 상기 데이터 패킷의 상기 구조적인 구성에서, 상기 데이터 패킷은 IP 어드레스 헤더(상기 도표에서 IP Hdr로 도시), 유저 데이터그램 프로토콜(User Datagram Protocol, UDP) 헤더(상기 도표에서 UDP Hdr로 도시), DTLS 헤더(상기 도표에서 DTLS Hdr로 도시), CAPWAP 패킷 헤더(상기 도표에서 CAPWAP Hdr로 도시) 및 데이터를 전송하는데 사용되는 무선 페이로드(wireless payload)를 포함한다. 구체적으로, 도 3c에 도시된 상기 CAPWAP Hdr의 구조적인 구성에서, 상기 CAPWAP Hdr는 필드 식별자, 필드 오프셋, 선택적인 무선 MAC 어드레스 필드 또는 다른 선택적인 무선 정보를 포함한다.
도 3d는 상기 제어 터널을 통해 전송된 CAPWAP 제어 패킷의 구성의 개략적인 구조도이다 . 상기 제어 터널을 통해 전송된 상기 CAPWAP 제어 패킷의 구조에서, 상기 CAPWAP 제어 패킷은 IP 어드레스 헤더(상기 도표에 IP Hdr로 도시), UDP 헤더(상기 도표에서 UDP Hdr로 도시), DTLS 헤더(상기 도표에서 DTLS Hdr로 도시), CAPWAP 패킷 헤더(상기 도표에서 CAPWAP Hdr로 도시), 상기 제어 패킷의 기능을 전달하는 콘트롤 헤더(Control Header) 필드 및 상기 제어 패킷의 컨텐츠를 전달하는 메시지 엘리먼트(Message Element) 필드를 포함한다. 상기 제어 패킷의 컨텐츠는 제어 정보라고 한다. 상기 CAPWAP 제어 패킷의 콘트롤 헤더의 구조적인 조성은 도 3e에 도시되어 있다. 상기 메시지 엘리먼트 내에 전달되는 상기 제어 정보 필드는 서로 다른 타입의 타입-길이-값(Type-Length-Value, TLV)일 수 있고, 여기서 T는 상기 제어 정보의 타입이고, L은 상기 제어 정보의 길이이며, V는 상기 제어 정보의 값이다. 실제 구현에 있어서, 상기 TLV에서 상기 제어 정보의 값은 확장될 수 있다. 즉, TLV 내에서, 복수의 확장된 TLV는 상기 제어 정보의 값에 더 포함될 수 있고, 이러한 확장된 TLV는 레벨-2 TLV라고 한다. 구체적으로, 상기 메시지 엘리먼트 필드에서, 상기 TLV에서의 T의 값이 37이면, 상기 TLV는 상기 제어 정보에 대한 컨텐츠 확장을 수행하기 위해 사용된다. 상기 본 발명의 실시예 1에 제공된 기술적인 해결방법에서, 상기 T의 값이 37인 레벨-2 TLV를 상기 메시지 엘리먼트에 추가하는 방식은 상기 제어 메시지에 대한 컨텐츠 확장을 수행하기 위해 사용된다. 구체적으로, T의 값이 37인 상기 메시지 엘리먼트는 No. 37 메시지 엘리먼트라고 한다. 여기서, 상기 No. 37 메시지 엘리먼트의 표준 포맷은 표 1에 나타내었다.
메시지 엘리먼트의 타입: 37, 디바이스 벤더에 의해 정의된 정보, 2 바이트
메시지 엘리먼트의 길이: 2 바이트
벤더 식별자: 다른 디바이스 제조사들에 대해 값이 같지 않음, 4 바이트
엘리먼트 ID: 2 바이트
데이터
표 1에서, 상기 벤더 식별자 필드의 값은 서로 다른 디바이스 제조사들에 대해 같지 않다. 예를 들어, 값 2011이 본 발명의 이 실시예에서 제공된 상기 기술적인 해결방법에서 상세한 설명을 위한 예로서 사용되고, 상기 예는 다음의 설명에서 여전히 사용된다.
상기 No. 37 메시지 엘리먼트의 표준 포맷은 확장되고, 상기 메시지 엘리먼트의 확장된 포맷을 표 2에 나타내었다.
메시지 엘리먼트의 타입: 37, 디바이스 벤더에 의해 정의된 정보, 2 바이트
메시지 엘리먼트의 길이: 2 바이트
벤더 식별자: 2011의 값, 4 바이트
레벨-2 TLV의 타입: 2 바이트
레벨-2 TLV의 길이 1: 2 바이트
레벨-2 TLV의 컨텐츠 1: 확장됨
레벨-2 TLV의 유형 2: 2 바이트
레벨-2 TLV의 길이 2: 2 바이트
레벨-2 TLV의 컨텐츠 2: 확장됨
.......
상기 표준 CAPWAP 프로토콜이 액세스 스위칭 노드와 집성 스위칭 노드 간의 패킷 전송 터널을 구축하기 위하여 확장된다는 것은 본 발명의 이 실시예에서 제공된 상기 기술적인 해결방법을 상세히 설명하기 위한 예로서 사용된다. 상기 확장된 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널은 제어 정보 전송을 위한 제어 터널 및 데이터 정보 전송을 위한 데이터 터널을 포함한다. 도 2에 도시된 시스템 아키텍쳐에서, 상기 전송 터널은 상기 확장된 CAPWAP 프로토콜에 기반하여 상기 집성 스위칭 노드와 상기 액세스 스위칭 노드 간에 구축된다. 상기 액세스 스위칭 노드가 적어도 하나의 사용자 단말기에 연결된다는 것은 상세한 설명을 위한 예로서 사용된다. 상기 액세스 스위칭 노드는 모든 인터페이스의 데이터 포워딩(forwarding)을 제어한다.
사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 후에, 상기 액세스 스위칭 노드는, 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하고, 상기 사용자 단말기에 의해 송신된 수신된 패킷으로부터 상기 사용자 단말기의 미디어 액세스 콘트롤(Media Access Control, MAC) 어드레스를 얻으며, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 구축된 패킷 전송 터널을 통해 상기 집성 스위칭 노드에게 송신한다. 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는 미리 설정되거나, 또는 상기 액세스 스위칭 노드의 디바이스 아이덴티티(identity)와 상기 인터페이스의 시퀀스 번호(sequence number)의 결합 형태일 수 있다. 예를 들어, 상기 액세스 스위칭 노드의 상기 디바이스 아이덴티티가 ID이고, 상기 액세스 스위칭 노드가 전체적으로 1부터 8까지 번호가 매겨진 8개의 인터페이스들을 포함한다면, 상기 액세스 스위칭 노드 상의 상기 8개의 인터페이스의 인터페이스 식별자는 ID1, ID2, ... , 및 ID8로 나타낼 수 있다. 상기 액세스 스위칭 노드는, 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 상기 사용자 단말기에 의해 송신된 패킷을 수신하고, 상기 액세스 스위칭 노드의 시그널 프로세서를 이용하여 상기 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하며, 상기 시그널 프로세서를 이용하여 상기 사용자 단말기의 MAC 어드레스를 얻기 위해 상기 수신된 패킷의 소스 MAC 어드레스 필드를 추출하고, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 구축된 패킷 전송 터널에 포함된 상기 제어 터널을 통해 상기 집성 스위칭 노드에게 송신할 수 있다.
상기 액세스 스위칭 노드의 시그널 프로세서는 중앙처리장치(Central Processing Unit, CPU), CPU와 하드웨어 칩의 조합, 네트워크 프로세서(Network Processor, NP), CPU와 NP의 조합 또는 NP와 하드웨어 칩의 조합일 수 있다.
상기 집성 스위칭 노드는, 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 수신하고, - 여기서, 상기 사용자 단말기의 MAC 어드레스 및 상기 인터페이스 식별자가 상기 액세스 스위칭 노드에 의해 상기 패킷 전송 터널을 통해 송신됨 -, 상기 사용자 단말기의 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 유지한다. 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 집성 스위칭 노드에 의해 유지되는 상기 대응관계는 버퍼링 방식으로 저장될 수 있다. 상기 대응관계는 일정 기간 이내로 저장된다. 상기 사용자 단말기에 대해 실행된 액세스 인증이 완료된 후, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 유지된 대응관계는 삭제될 수 있다.
상기 액세스 스위칭 노드는 MAC 학습(MAC learning) 기능을 갖는다. MAC 학습은, 목적지 어드레스가 상기 MAC 어드레스인 패킷이 송신된 인터페이스를 식별하기 위해, 네트워크 스위치에게 네트워크 상의 디바이스의 MAC 어드레스를 학습하도록 허용한다. 하지만, 상기 집성 스위칭 노드가 상기 사용자 단말기의 액세스에 대한 제어를 실행할 때, 상기 액세스 스위칭 노드의 MAC 학습 기능이 비활성화 되지 않았다면, 상기 사용자 단말기는 인증받지 않고도 상기 액세스 스위칭 노드를 이용하여 네트워크를 액세스할 수 있다. 이 경우에, 상기 사용자 단말기의 액세스를 제어할 수 없다. 결과적으로, 상기 집성 스위칭 노드가 상기 사용자 단말기의 액세스를 제어하는 시나리오에서, 상기 액세스 스위칭 노드의 MAC 학습 기능은 비활성화된다. 상기 MAC 학습 기능이 비활성화 된 경우에서, 상기 사용자 단말기는 네트워크를 직접적으로 액세스할 수 없고, 상기 액세스 스위칭 노드는 상기 사용자 단말기의 MAC 어드레스에 따라 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 찾을 수 없다. 따라서, 본 발명의 이 실시예에서, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 대응관계는 상기 집성 스위칭 노드에 의해 유지된다. 상기 사용자 단말기의 액세스에 대한 제어를 수행하는 프로세스 동안, 상기 액세스 스위칭 노드는 상기 사용자 단말기의 MAC 어드레스 또는 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 MAC 학습 방식으로 획득할 수 없으나, 상기 액세스 스위칭 노드는 CPU 또는 NP와 같은 상기 액세스 스위칭 노드의 시그널 프로세서를 이용하고 소프트웨어 방식으로, 상기 패킷을 수신하는 상기 인터페이스의 인터페이스 식별자를 결정하고, 상기 사용자 단말기에 의해 송신된 상기 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 성공적으로 학습하며, 상기 사용자 단말기의 학습된 MAC 어드레스를 이용하여 상기 사용자 단말기의 액세스에 대한 제어를 더 수행할 수 있다.
상기 액세스 스위칭 노드는, 상기 액세스 스위칭 노드 상의 인터페이스에 유선으로 연결된 상기 사용자 단말기에 의해 송신된 상기 패킷을 수신하고, 상기 패킷 전송 터널을 구축하기 위한 상기 프로토콜에 기반하여 상기 패킷을 캡슐화하며, 그리고 나서 상기 구축된 패킷 전송 터널에 기반하여 상기 캡슐화된 패킷을 상기 집성 스위칭 노드에게 전송한다. 예를 들어, 상기 액세스 스위칭 노드는, 상기 사용자 단말기에 의해 송신된 수신된 패킷을 상기 CAPWAP 프로토콜에 기반하여 캡슐화하고, 그 다음에 상기 캡슐화된 패킷을 상기 집성 스위칭 노드에게 송신한다.
상기 집성 스위칭 노드는, 상기 사용자 단말기에 의해 송신된 패킷으로서 상기 액세스 스위칭 노드에 의해 포워딩된 상기 패킷을 수신하고, 상기 수신된 패킷을 역캡슐화하며, 상기 역캡슐화된 패킷에 따라 액세스 상기 패킷을 송신한 상기 사용자 단말기에 대한 인증을 수행한다. 예를 들어, 상기 집성 스위칭 노드가 상기 CAPWAP 프로토콜에 기반하여 캡슐화되고 상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널을 통해 전송된 상기 패킷을 수신할 때, 상기 집성 스위칭 노드는 상기 수신된 패킷을 상기 CAPWAP 프로토콜에 기반하여 또한 역캡슐화하고, 상기 역캡슐화된 패킷에 따라 상기 패킷을 송신한 상기 사용자 단말기에 대한 인증을 수행한다. 상기 사용자 단말기에 대해 성공적으로 인증을 수행한 후에, 상기 집성 스위칭 노드는, 상기 사용자 단말기의 MAC 어드레스와 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자 간의 상기 유지된 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 상기 인터페이스 식별자를 결정하고, 상기 결정된 인터페이스 식별자를 상기 액세스 스위칭 노드에게 송신한다.
선택적으로, 상기 사용자 단말기에 대한 상기 액세스 인증을 성공적으로 수행한 후, 상기 집성 스위칭 노드는 추가적으로, 상기 사용자 단말기의 액세스 허용을 결정하고, 상기 사용자 단말기의 결정된 액세스 허용을 상기 결정된 인터페이스 식별자와 함께 상기 액세스 스위칭 노드에게 송신한다. 상기 액세스 허용은
가상 근거리 통신망(Virtual Local Area Network, VLAN)를 액세스하기 위한 상기 사용자 단말기의 허용으로서의 제1 액세스 허용 - 예를 들어, 네트워크가 복수의 VLAN을 가지면, 상기 허용은 상기 사용자 단말기가 상기 모든 VLAN 또는 상기 사용자 단말기에 의하여 구체적으로 액세스되는 VLAN을 액세스할 수 있는지 여부를 나타냄 -; 및
상기 사용자 단말기의 액세스 콘트롤 목록(Access Control List, ACL)을 결정하는 것으로서의 제2 액세스 허용 중 하나 이상일 수 있다.
상기 액세스 스위칭 노드는, 상기 집성 스위칭 노드에 의해 송신된 상기 인터페이스 식별자를 수신하고, 상기 수신된 인터페이스 식별자에 따라 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스를 결정하고, 상기 결정된 인터페이스를 제어함으로써 상기 사용자 단말기의 액세스에 대한 제어를 수행한다. 예를 들어, 전술한 단계는, 상기 액세스 스위칭 노드가 상기 집성 스위칭 노드에 의해 송신된 상기 인터페이스 식별자에 따라 상기 수신된 인터페이스 식별자에 대응하는 상기 인터페이스를 활성화하여 상기 인터페이스에 연결된 상기 사용자 단말기에게 네트워크를 액세스하도록 허용하는 것을 포함할 수 있다.
선택적으로, 상기 액세스 스위칭 노드가, 상기 수신된 인터페이스 식별자에 따라 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스를 결정하고 상기 결정된 인터페이스를 제어함으로써 상기 사용자 단말기의 액세스에 대한 제어를 수행하거나, 또는 상기 집성 스위칭 노드에 의해 송신된 상기 수신된 액세스 허용에 따라 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 액세스 허용을 구성하거나 변경하여 상기 액세스 허용에 따라 상기 인터페이스에 연결되는 상기 사용자 단말기를 네트워크에 액세스하도록 제어할 수 있다.
상기 사용자 단말기에 의해 송신된 상기 패킷은 전기 전자 기술자 협회(Institute of Electrical and Electronics Engineers, IEEE) 802.1x 패킷, 또는 주소 결정 프로토콜(Address Resolution Protocol, ARP) 패킷과 같은 다른 유형의 패킷, 또는 동적 호스트 구성 프로토콜(Dynamic Host Configuration Protocol, DHCP) 일 수 있다. 다음에서는 상기 본 발명의 실시예 1에 제공된 기술적인 해결방법을 상세히 설명하기 위하여, IEEE 802.1x 패킷을 예로서 사용한다.
상기 사용자 단말기에 대한 액세스 인증은 상기 사용자 단말기에 의해 송신된 상기 IEEE 802.1x 패킷에 기반하여 수행될 수 있다.
먼저, 상기 제어 터널 및 상기 데이터 터널을 포함하는 상기 패킷 전송 터널이, 상기 확장된 CAPWAP 프로토콜에 기반하여 상기 집성 스위칭 노드와 상기 액세스 스위칭 노드 간에 구축된다.
상기 CAPWAP 프로토콜에 기반하여 상기 집성 스위칭 노드와 상기 액세스 스위칭 노드 간에 구축된 상기 패킷 전송 터널은, 상기 제어 터널과 상기 데이터 터널을 포함한다. 상기 액세스 스위칭 노드는 상기 액세스 스위칭 노드의 속성 정보를 상기 구축된 제어 터널을 통해 상기 집성 스위칭 노드에게 송신한다. 상기 액세스 스위칭 노드의 상기 속성 정보는 상기 액세스 스위칭 노드의 식별자, 예를 들어, 스위치 MAC으로서 표현되는 상기 액세스 스위칭 노드의 MAC 어드레스을 포함한다. 상기 액세스 스위칭 노드의 상기 속성 정보는 TYPE_SWITCH_VERSION으로서 표현될 수 있는 상기 액세스 스위칭 노드의 펌웨어의 버전 정보를 더 포함할 수 있다. 상기 속성 정보는 상기 CAPWAP 제어 패킷에서의 메시지 엘리먼트 중 상기 No. 37 메시지 엘리먼트를 확장함으로써 구현될 수 있다. 상기 확장된 No. 37 메시지 엘리먼트는 상기 제어 터널을 통해 상기 집성 스위칭 노드에게 송신된다. 상기 제어 터널을 통해 전송된 상기 제어 패킷에서의 메시지 엘리먼트 필드는 제어 정보를 나르기 위해 사용된다. 여기서, 상기 메시지 엘리먼트는 서로 다른 타입의 TLV일수 있다. 상기 메시지 엘리먼트 필드에서, 상기 TLV에서의 T의 값이 37이면, 상기 TLV는 상기 제어 정보에 대한 컨텐츠 확장을 수행하기 위해 사용된다. 상기 본 발명의 실시예 1에 제공된 기술적인 해결방법에서, 상기 T의 값이 37인 레벨-2 TLV를 상기 메시지 엘리먼트에 추가하는 방식은 상기 제어 메시지에 대한 컨텐츠 확장을 수행하기 위해 사용된다. 구체적으로, T의 값이 37인 상기 메시지 엘리먼트는 No. 37 메시지 엘리먼트라고 한다. 여기서, 상기 No. 37 메시지 엘리먼트의 표준 포맷은 상술한 표 1에 도시되어 있다.
두번째로, 상기 패킷 전송 터널이 상기 CAPWAP 프로토콜에 기반하여 상기 집성 스위칭 노드와 상기 액세스 스위칭 노드 간에 구축된 후에, 상기 집성 스위칭 노드는 상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널과 스위치 MAC과 같은 상기 액세스 스위칭 노드의 식별자 간의 대응관계를 유지한다.
예를 들어, 상기 액세스 스위칭 노드의 식별자가 스위치 23이라고 가정하면, 패킷 전송 터널 1이 상기 집성 스위칭 노드와 식별자가 스위치 23인 상기 액세스 스위칭 노드 간에 구축된 후에, 상기 집성 스위칭 노드는 상기 패킷 전송 터널 1과 스위치 23 간의 대응관계를 유지할 수 있다. 이와 같은 방식으로, 식별자가 스위치 23인 상기 액세스 스위칭 노드가 구축된 패킷 전송 터널을 통해 패킷을 나중에 상기 집성 스위칭 노드에게 보낼 때, 및 상기 집성 스위칭 노드가 상기 패킷을 처리하거나 상기 패킷에 응답할 때, 상기 집성 스위칭 노드는, 상기 패킷 전송 터널 1과 상기 스위치 23 간의 상기 유지된 대응관계로부터 상기 패킷을 상기 패킷 전송 채널을 통해 송신하는 디바이스와 응답 정보가 상기 액세스 스위칭 노드에게 전송되는 패킷 전송 채널을 결정할 수 있다. 구체적으로, 상기 액세스 스위칭 노드의 확장된 CAPWAP 제어 패킷에서의 상기 No. 37 메시지 엘리먼트 내에 포함된 컨텐츠는 표 3에 나타낼 수 있다.
메시지 엘리먼트의 타입: 37, 2 바이트
메시지 엘리먼트의 길이: 2 바이트
벤더 식별자: 2011의 값, 4 바이트
레벨-2 TLV의 타입: TYPE_스위치_MAC, 2 바이트
레벨-2 TLV의 길이 1: 0x06, 2 바이트
레벨-2 TLV의 컨텐츠 1: 스위치 MAC
레벨-2 TLV의 길이 2: 0x04, 2 바이트
레벨-2 TLV의 컨텐츠 2: 스위치 버전
상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널에 대하여, 상기 집성 스위칭 노드는 각 액세스 스위칭 노드를 인증하는 방식을 IEEE 802.1x-기반 인증으로 설정한다. 예시적으로, 상기 집성 스위칭 노드는 각 액세스 스위칭 노드 상의 인터페이스를 인증하는 방식을 IEEE 802.1x-기반 인증으로 추가로 설정할 수 있다.
상기 사용자 단말기와 상기 액세스 스위칭 노드 상의 인터페이스 간에 연결이 구축될 때, 상기 액세스 스위칭 노드는 상기 사용자 단말기에 의해 송신된 상기 802.1x 패킷을 수신하고, 상기 802.1x 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하며, 상기 사용자 단말기에 의해 송신된 상기 수신된 802.1x 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득한다. 상기 액세스 스위칭 노드는, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널을 통해 상기 집성 스위칭 노드에게 송신한다. 상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널은, 상기 제어 터널과 상기 데이터 터널을 포함한다. 여기서, 상기 제어 터널은 상기 CAPWAP 제어 패킷을 전송하기 위해 사용될 수 있고, 상기 데이터 터널은 상기 CAPWAP 데이터 패킷을 전송하기 위해 사용될 수 있다. 따라서, 상기 액세스 스위칭 노드는 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 제어 터널을 통해 상기 집성 스위칭 노드에게 송신할 수 있다.
구체적으로, 상기 액세스 스위칭 노드는, 확장된 레벨-2 TLV에 기초하여 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 집성 스위칭 노드에게 송신할 수 있다. 여기서, 상기 확장된 레벨-2 TLV는 표 4에 도시되어 있다. 표 4에 도시된 USER_MAC은 상기 사용자 단말기의 MAC 어드레스이고, 인터페이스 인덱스는 상기 인터페이스 식별자이다.
메시지 엘리먼트의 타입: 37, 2 바이트
메시지 엘리먼트의 길이: 2 바이트
벤더 식별자: 2011의 값, 4 바이트
레벨-2 TLV의 타입: TYPE_USER_MAC, 2 바이트
레벨-2 TLV의 길이 1: 0x06, 2 바이트
레벨-2 TLV의 컨텐츠 1: USER MAC
레벨-2 TLV의 유형 2: TYPE_USER_스위치_IF, 2 바이트
레벨-2 TLV의 길이 2: 0x04, 2 바이트
레벨-2 TLV의 컨텐츠 2: 인터페이스 인덱스
상기 액세스 스위칭 노드는, 상기 사용자 단말기에 의해 송신된 상기 IEEE 802.1x 패킷을 상기 액세스 스위칭 노드의 인터페이스에서 캡쳐하고, 상기 캡쳐된 IEEE 802.1x 패킷을 상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 채널을 통해 상기 집성 스위칭 노드에게 송신한다. 상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널은, 상기 제어 터널과 상기 데이터 터널을 포함한다. 여기서, 상기 제어 터널은 상기 CAPWAP 제어 패킷을 전송하기 위해 사용될 수 있고, 상기 데이터 터널은 상기 CAPWAP 데이터 패킷을 전송하기 위해 사용될 수 있다. 상기 캡쳐된 IEEE 802.1x 패킷을 상기 CAPWAP 프로토콜에 기반하여 캡슐화 한 후, 상기 액세스 스위칭 노드는 상기 캡슐화된 IEEE 802.1x 패킷을 상기 데이터 터널을 통해 상기 집성 스위칭 노드에게 송신할 수 있다.
상기 집성 스위칭 노드는 상기 사용자 단말기의 MAC 어드레스 및 상기 인터페이스 식별자를 수신하고, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 대응관계를 유지한다.
상기 본 발명의 실시예 1에 제공된 기술적인 해결방법에서, 상기 사용자 단말기의 MAC 어드레스, MAC 어드레스인 인터페이스 식별자 및 상기 액세스 스위칭 노드의 인터페이스 번호는 상세한 설명을 위한 예로서 사용된다. 도 2에 도시된 사용자 단말기 1 과 액세스 스위칭 노드 1은 상세한 설명을 위한 예로서 사용된다. 상기 사용자 단말기 1의 식별자는 UE MAC1이고, 상기 액세스 스위칭 노드의 식별자 1은 AP MAC1이며, 상기 액세스 스위칭 노드 1은 1부터 8까지 번호가 매겨진 총 8개의 액세스 인터페이스를 제공한다. 상기 사용자 단말기 1이 상기 제2 인터페이스에 연결되면, 상기 인터페이스의 인터페이스 식별자는 AP MAC1-2이다. 상기 사용자 단말기 1이 상기 액세스 스위칭 노드 1에 연결된 경우, 상기 사용자 단말기 1은 패킷을 송신하고, 상기 액세스 스위칭 노드는 상기 사용자 단말기 1에 연결된 상기 인터페이스의 인터페이스 식별자 AP MAC1-2를 획득한다. 상기 액세스 스위칭 노드 1은 상기 사용자 단말기에 의해 송신된 상기 패킷 1을 캡쳐하고, 상기 액세스 스위칭 노드의 시그널 프로세서 1을 이용하여 상기 캡쳐된 패킷을 분석하여 상기 패킷에서 상기 사용자 단말기 1의 식별자 UE MAC1을 획득하며, 상기 CAPWAP 제어 패킷에서 상기 No. 37 메시지 엘리먼트를 확장함으로써 상기 획득된 UE MAC1와 AP MAC1-2를 상기 제어 터널을 통해 상기 집성 스위칭 노드에게 송신한다. 예를 들어, 상기 단말기의 식별자와 상기 집성 스위칭 노드에 의해 수신된 상기 인터페이스 식별자가 각각 UE MAC1과 AP MAC1-2라는 것은, 상세한 설명을 위한 예로서 사용된다. 상기 집성 스위칭 노드는 상기 액세스 스위칭 노드에 의해 송신된 UE MAC1와 AP MAC1-2를 수신하고, UE MAC1와 AP MAC1-2 간의 대응관계를 구축하고 버퍼링한다.
상기 액세스 스위칭 노드는, 상기 사용자 단말기에 의해 송신된 상기 IEEE 802.1x 패킷을 수신하고, 상기 수신된 IEEE 802.1x 패킷을 상기 CAPWAP 프로토콜에 기반하여 캡슐화하며, 그리고 나서 상기 캡슐화된 패킷을 상기 데이터 터널을 통해 상기 집성 스위칭 노드에게 송신한다.
상기 집성 스위칭 노드는 상기 CAPWAP 프로토콜에 기반하여 캡슐화된 상기 IEEE 802.1x 패킷을 수신하고, 상기 CAPWAP 프로토콜에 기반하여 캡슐화된 상기 수신된 IEEE 802.1x 패킷을 역캡슐화하며, 상기 역캡슐화된 IEEE 802.1x 패킷에 따라 액세스 인증을 수행한다.
선택적으로, 상기 집성 스위칭 노드는 상기 사용자 단말기의 허용 정보를 추가로 제한할 수 있다. 인증이 성공한 후에, 상기 집성 스위칭 노드는 상기 사용자 단말기의 액세스 허용을 결정한다.
상기 집성 스위칭 노드는, 상기 사용자 단말기의 MAC 어드레스와 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자 간의 유지된 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정하고, 상기 결정된 인터페이스 식별자를 상기 액세스 스위칭 노드에게 송신한다.
선택적으로, 상기 집성 스위칭 노드는 상기 사용자 단말기의 결정된 액세스 허용을 상기 결정된 인터페이스 식별자와 함께 상기 액세스 스위칭 노드에게 추가로 송신할 수 있다.
상기 사용자 단말기의 MAC 어드레스, 상기 인터페이스 식별자 및 상기 사용자 단말기의 액세스 허용과 같은 정보는, 상기 확장된 레벨-2 TLV를 이용함으로써 상기 집성 스위칭 노드에 의해 상기 액세스 스위칭 노드에게 송신될 수 있다. 상기 확장된 레벨-2 TLV는 표 5에 도시되어 있다. 표 5에서 레벨-2 TLV 필드의 컨텐츠 35에 대해, USER VLAN이 상기 사용자 단말기에 의하여 액세스될 수 있는 VLAN을 나타내기 위해 사용된다. 레벨-2 TLV 필드의 컨텐츠 4에 대해, 규칙 필드가 상기 사용자 단말기의 액세스 허용을 나타내기 위해 사용된다.
메시지 엘리먼트의 타입: 37, 2 바이트
메시지 엘리먼트의 길이: 2 바이트
벤더 식별자: 2011의 값, 4 바이트
레벨-2 TLV의 타입: TYPE_USER_MAC, 2 바이트
레벨-2 TLV의 길이 1: 0x06, 2 바이트
레벨-2 TLV의 컨텐츠 1: USER MAC
레벨-2 TLV의 유형 2: TYPE_USER_스위치_IF, 2 바이트
레벨-2 TLV의 길이 2: 0x04, 2 바이트
레벨-2 TLV의 컨텐츠 2: 인터페이스 인덱스
레벨-2 TLV의 타입 3: TYPE_USER_VLAN, 2 바이트
레벨-2 TLV의 길이 3: 0x02, 2 바이트
레벨-2 TLV의 컨텐츠 3: USER VLAN
레벨-2 TLV의 타입 4: TYPE_USER_ACL, 2 바이트
레벨-2 TLV의 길이 4: 확장, 2 바이트
레벨-2 TLV의 컨텐츠 4: 규칙 정보
.......
상기 액세스 스위칭 노드는, 인증 성공 메시지에 전송된 상기 인터페이스 식별자에 따라 상기 액세스 스위칭 노드 상의 대응하는 인터페이스를 결정하고, 상기 인터페이스를 활성화하며, 상기 사용자 단말기에게 네트워크에 액세스하도록 허용한다.
선택적으로, 상기 액세스 스위칭 노드는, 상기 집성 스위칭 노드에 의해 송신된 상기 수신된 액세스 허용에 따라 상기 인터페이스 식별자에 대응하는 인터페이스를 제어하여 상기 사용자 단말기의 액세스 허용에 대한 제어를 추가로 수행할 수 있다.
본 발명의 이 실시예에서 제공된 상술한 기술적인 해결방법에서, 패킷 포워딩 기능을 갖는 상기 집성 스위칭 노드는 상세한 설명을 위한 예로서 사용될 수 있다. 특정한 구현에서, 상기 시스템에서 독립적으로 배치된 상기 컨트롤러는, 상기 사용자 단말기의 액세스를 제어하기 위하여 상기 기술적인 해결방법을 수행하도록 추가적으로 사용될 수 있다. 도 4에 도시된 시스템 아키텍쳐는 독립적으로 배치된 적어도 하나의 컨트롤러, 적어도 하나의 액세스 스위칭 노드 및 적어도 하나의 패킷 포워딩 디바이스를 포함한다. 상기 패킷 포워딩 디바이스는 집성 스위칭 노드일 수 있다. 상기 컨트롤러는 상기 집성 스위칭 노드에 직접 연결되거나, 또는 배치된 라우터를 이용하여 상기 집성 스위칭 노드에 연결될 수 있다 상기 적어도 하나의 액세스 스위칭 노드 각각은 상기 적어도 하나의 집성 스위칭 노드 중 하나에 연결된다. 상기 적어도 하나의 액세스 스위칭 노드 중 어떤 액세스 스위칭 노드는 적어도 하나의 사용자 단말기에 유선으로 연결될 수 있거나, 또는 임의의 사용자 단말기에 연결되지 않을 수, 즉, 사용자 단말기에 연결하기 위해 사용되는 인터페이스는 미사용 상태(idle state)일 수 있다.
패킷 전송 터널은 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된다. 상기 컨트롤러와 상기 액세스 스위칭 노드 간의 상기 패킷 전송 터널은 미리 정해진 전용 프로토콜에 따라서 구축되거나 표준 프로토콜을 확장함으로써 구축될 수 있다. 상기 표준 프로토콜은 상기 CAPWAP 프로토콜일 수 있다. 본 발명의 이 실시예에 있어서, 패킷 전송 터널이 상기 CAPWAP 프로토콜을 확장함으로써 구축된다는 것은 상세한 설명을 위한 예로서 사용될 수 있다. 상기 확장된 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널은 제어 정보 전송을 위한 제어 터널 및 데이터 정보 전송을 위한 데이터 터널을 포함한다.
상기 패킷 전송 터널이 상기 CAPWAP 프로토콜에 기반하여 구축된 후에, 사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스에 연결되어 패킷을 송신할 때, 상기 액세스 스위칭 노드는, 상기 패킷을 수신한 상기 인터페이스의 인터페이스 식별자, 즉 상기 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하고, 상기 수신된 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하며, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 구축된 패킷 전송 터널을 통해 상기 컨트롤러에게 송신한다. 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는 미리 설정되거나, 또는 상기 액세스 스위칭 노드의 디바이스 아이덴티티와 상기 인터페이스의 시퀀스 번호의 결합 형태일 수 있다.
상기 액세스 스위칭 노드는, 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 상기 사용자 단말기에 의해 송신된 패킷을 수신하고, 상기 액세스 스위칭 노드의 시그널 프로세서를 이용하여 상기 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하며, 상기 시그널 프로세서를 이용하여 상기 사용자 단말기의 MAC 어드레스를 얻기 위해 상기 수신된 패킷의 소스 MAC 어드레스 필드를 추출하고, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 구축된 패킷 전송 터널에 포함된 상기 제어 터널을 통해 상기 집성 스위칭 노드에게 송신할 수 있다.
상기 액세스 스위칭 노드의 시그널 프로세서는 CPU, CPU와 하드웨어 칩의 조합, NP, CPU와 NP의 조합 또는 NP와 하드웨어 칩의 조합일 수 있다.
상기 컨트롤러는, 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 수신하고 - 여기서, 상기 사용자 단말기의 MAC 어드레스 및 상기 인터페이스 식별자는 상기 액세스 스위칭 노드에 의해 상기 패킷 전송 터널을 통해 송신됨 -, 상기 사용자 단말기의 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 유지한다. 상기 컨트롤러에 의해 유지되는 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 대응관계는 버퍼링 방식으로 저장될 수 있다. 상기 대응관계는 일정 기간 이내로 저장된다. 상기 사용자 단말기에 대해 실행된 액세스 인증이 완료된 후, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 유지된 대응관계는 삭제될 수 있다.
상기 액세스 스위칭 노드는, 상기 액세스 스위칭 노드 상의 인터페이스에 유선으로 연결된 상기 사용자 단말기에 의해 송신된 상기 패킷을 수신하고, 상기 패킷 전송 터널을 구축하기 위해 사용되는 상기 프로토콜에 기반하여 상기 패킷을 캡슐화하며, 상기 캡슐화된 패킷을 상기 구축된 패킷 전송 터널을 통해 상기 컨트롤러에게 전송한다. 상기 액세스 스위칭 노드는, 상기 사용자 단말기에 의해 송신된 상기 수신된 패킷을 상기 CAPWAP 프로토콜에 기반하여 캡슐화하고, 상기 캡슐화된 패킷을 상기 컨트롤러에게 송신한다.
상기 컨트롤러는, 상기 사용자 단말기에 의해 송신된 패킷으로서 상기 액세스 스위칭 노드에 의해 포워딩된 상기 패킷을 수신하고, 상기 수신된 패킷을 역캡슐화하며, 상기 역캡슐화된 패킷에 따라 액세스 상기 패킷을 송신한 상기 사용자 단말기에 대한 인증을 수행한다. 예를 들어, 상기 컨트롤러가, 상기 CAPWAP 프로토콜에 기반하여 캡슐화된 패킷으로서 상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널을 통해 전송된 상기 패킷을 수신하는 경우, 상기 컨트롤러는 상기 수신된 패킷을 상기 CAPWAP 프로토콜에 기반하여 또한 역캡슐화하고, 상기 역캡슐화된 패킷에 따라 상기 패킷을 송신한 상기 사용자 단말기에 대한 인증을 수행한다. 상기 컨트롤러는, 상기 사용자 단말기에 대해 성공적으로 인증을 수행한 후에, 상기 사용자 단말기의 MAC 어드레스와 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자 간의 상기 유지된 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 상기 인터페이스 식별자를 결정하고, 상기 결정된 인터페이스 식별자를 상기 액세스 스위칭 노드에게 송신한다.
선택적으로, 상기 컨트롤러는 상기 사용자 단말기에 대한 상기 액세스 인증을 성공적으로 수행한 후, 상기 사용자 단말기의 액세스 허용을 결정하고, 상기 사용자 단말기의 결정된 액세스 허용을 상기 결정된 인터페이스 식별자와 함께 상기 액세스 스위칭 노드에게 추가로 송신할 수 있다. 상기 액세스 허용은
VLAN을 액세스하기 위한 상기 사용자 단말기의 허용인 제1 액세스 허용 - 예를 들어, 네트워크가 복수의 VLAN을 가지면, 상기 허용은 상기 사용자 단말기가 상기 모든 VLAN 또는 상기 사용자 단말기에 의하여 구체적으로 액세스되는 VLAN을 액세스할 수 있는지 여부를 나타냄 -; 및
상기 사용자 단말기의 ACL을 결정하는 제2 액세스 허용 중 하나 이상일 수 있다.
상기 컨트롤러에 의해 송신된 상기 인터페이스 식별자를 수신할 때, 상기 액세스 스위칭 노드가, 상기 수신된 인터페이스 식별자에 따라 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스를 결정하고, 상기 결정된 인터페이스를 제어함으로써 상기 사용자 단말기의 액세스에 대한 제어를 수행한다.
예를 들어, 전술한 단계는, 상기 액세스 스위칭 노드가 상기 수신된 인터페이스 식별자에 대응하는 상기 인터페이스를 상기 집성 스위칭 노드에 의해 송신된 상기 인터페이스 식별자에 따라 활성화하는 것을 포함하고, 상기 인터페이스에 연결된 상기 사용자 단말기에게 네트워크를 액세스하도록 허용한다.
선택적으로, 상기 액세스 스위칭 노드는, 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스를 상기 수신된 인터페이스 식별자에 따라 추가로 결정하고 상기 결정된 인터페이스를 제어함으로써 상기 사용자 단말기의 액세스에 대한 제어를 수행하거나, 또는 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 액세스 허용을 상기 집성 스위칭 노드에 의해 송신된 상기 수신된 액세스 허용에 따라 구성하거나 변경하여, 상기 인터페이스에 연결되는 상기 사용자 단말기에게 상기 액세스 허용에 따라 네트워크에 액세스하도록 제어할 수 있다.
상기 사용자 단말기에 의해 송신된 상기 패킷은 IEEE 802.1x 패킷이거나, 또는 ARP 패킷 또는 DHCP 패킷과 같은 다른 유형의 패킷일 수 있다.
(실시예 2)
상기 도 2에 도시된 시스템 아키텍쳐에 기초하여, 본 발명의 실시예 2는 사용자 단말기의 액세스를 제어하는 방법을 제공한다. 도 5에 도시된 바와 같이, 상기 방법의 특정한 프로세싱 절차는 다음과 같다:
단계 51: 액세스 스위칭 노드와 집성 스위칭 노드 간의 패킷 전송 터널 구축한다.
상기 집성 스위칭 노드와 상기 액세스 스위칭 노드 간의 상기 패킷 전송 터널은 미리 정해진 전용 프로토콜에 따라서 구축되거나 표준 프로토콜을 확장함으로써 구축될 수 있다. 예를 들어, 상기 표준 프로토콜은 상기 CAPWAP 프로토콜일 수 있다. 본 발명의 실시예 2에서, 패킷 전송 터널이 상기 CAPWAP 프로토콜을 확장함으로써 구축된다는 것은 상세한 설명을 위한 예로서 사용된다. 상기 확장된 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널은 제어 정보 전송을 위한 제어 터널 및 데이터 정보 전송을 위한 데이터 터널을 포함한다.
단계 52: 상기 액세스 스위칭 노드는 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 사용자 단말기의 MAC 어드레스와 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득한다.
상기 사용자 단말기는 상기 액세스 스위칭 노드 상의 인터페이스에 유선으로 연결되고, 패킷을 송신한다.
상기 액세스 스위칭 노드는, 상기 사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스에 연결되어 패킷을 송신할 때, 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하고, 상기 사용자 단말기에 의해 송신된 상기 패킷을 캡쳐하며, 상기 캡쳐된 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하고, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 구축된 패킷 전송 터널을 통해 상기 집성 스위칭 노드에게 송신한다. 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는 미리 설정되거나, 또는 상기 액세스 스위칭 노드의 디바이스 아이덴티티와 상기 인터페이스의 시퀀스 번호의 결합 형태일 수 있다. 상기 액세스 스위칭 노드는, 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 상기 사용자 단말기에 의해 송신된 패킷을 수신하고, 상기 액세스 스위칭 노드의 시그널 프로세서를 이용하여 상기 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하며, 상기 시그널 프로세서를 이용하여 상기 사용자 단말기의 MAC 어드레스를 얻기 위하여 상기 수신된 패킷의 소스 MAC 어드레스 필드를 추출하고, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 구축된 패킷 전송 터널에 포함된 상기 제어 터널을 통해 상기 집성 스위칭 노드에게 송신할 수 있다.
상기 액세스 스위칭 노드의 시그널 프로세서는 CPU, CPU와 하드웨어 칩의 조합, NP, CPU와 NP의 조합 또는 NP와 하드웨어 칩의 조합일 수 있다.
상기 사용자 단말기에 의해 송신된 상기 패킷으로서 상기 액세스 스위칭 노드에 의해 캡쳐된 상기 패킷은 IEEE 802.1x 패킷, ARP 패킷 또는 DHCP 패킷을 포함할 수 있다.
단계 53: 상기 액세스 스위칭 노드는 상기 획득된 인터페이스 식별자 및 상기 사용자 단말기의 획득된 MAC 어드레스를 상기 구축된 패킷 전송 터널을 통해 상기 집성 스위칭 노드에게 송신한다.
상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널은, 상기 제어 터널과 상기 데이터 터널을 포함한다. 여기서, 상기 제어 터널은 제어 패킷을 전송하기 위해 사용될 수 있고, 상기 데이터 터널은 데이터 패킷을 전송하기 위해 사용될 수 있다. 따라서, 상기 액세스 스위칭 노드는 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 제어 터널을 통해 상기 집성 스위칭 노드에게 송신할 수 있다. 상기 액세스 스위칭 노드는, 확장된 레벨-2 TLV에 기초하여 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 집성 스위칭 노드에게 송신할 수 있다. 상기 확장된 레벨-2 TLV는 상술한 표 4에 도시된다.
단계 54: 상기 집성 스위칭 노드는, 상기 액세스 스위칭 노드에 의해 송신된 상기 사용자 단말기의 MAC 어드레스 및 상기 인터페이스 식별자를 수신하고, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 유지한다.
상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 집성 스위칭 노드에 의해 유지되는 상기 대응관계는 버퍼링 방식으로 저장될 수 있다. 상기 대응관계는 일정 기간 이내로 저장된다. 상기 사용자 단말기에 대해 실행된 액세스 인증이 완료된 후, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 유지된 대응관계는 삭제될 수 있다.
단계 55: 상기 액세스 스위칭 노드는, 상기 사용자 단말기에 의해 송신된 패킷을 상기 액세스 스위칭 노드의 인터페이스 상에서 캡쳐하고, 상기 캡쳐된 패킷을 상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 채널을 통해 상기 집성 스위칭 노드에게 송신한다.
상기 CAPWAP 프로토콜에 기반하여 구축된 상기 패킷 전송 터널은, 상기 제어 터널과 상기 데이터 터널을 포함한다. 여기서, 상기 제어 터널은 제어 패킷을 전송하기 위해 사용될 수 있고, 상기 데이터 터널은 데이터 패킷을 전송하기 위해 사용될 수 있다. 상기 액세스 스위칭 노드는, 상기 CAPWAP 프로토콜에 기반하여 상기 캡쳐된 패킷을 캡슐화하고, 상기 캡슐화된 패킷을 상기 데이터 터널을 통해 상기 집성 스위칭 노드에게 송신한다.
단계 56: 상기 집성 스위칭 노드는, 상기 패킷 전송 터널을 통해 송신된 상기 패킷을 수신하고, 상기 수신된 패킷을 역캡슐화하며, 상기 사용자 단말기의 MAC 어드레스를 획득하고, 상기 사용자 단말기에 대한 액세스 인증을 수행한다.
상기 집성 스위칭 노드는, 상기 CAPWAP 프로토콜에 기반하여 캡슐화된 상기 패킷을 수신하고, 상기 CAPWAP 프로토콜에 기반하여 캡슐화된 상기 수신된 패킷을 역캡슐화하며, 상기 역캡슐화된 패킷에 따라 액세스 인증을 수행한다.
상기 사용자 단말기에 대한 액세스 인증을 수행하는 특정한 방식은 일반적인 액세스 인증 방식과 동일하고, 세부사항은 본 발명의 이 실시예에서 다시 설명하지 않는다.
단계 57: 상기 집성 스위칭 노드는, 인증이 성공한 후에, 상기 사용자 단말기의 MAC 어드레스와 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자 간의 유지된 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 상기 인터페이스 식별자를 결정하고, 상기 결정된 인터페이스 식별자를 상기 사용자 단말기에게 송신한다.
선택적으로, 상기 집성 스위칭 노드는 추가적으로, 상기 사용자 단말기에 대한 상기 액세스 인증을 성공적으로 수행한 후, 상기 사용자 단말기의 액세스 허용을 결정하고, 상기 사용자 단말기의 결정된 액세스 허용을 상기 결정된 인터페이스 식별자와 함께 상기 액세스 스위칭 노드에게 송신한다 .
상기 집성 스위칭 노드에 의해 상기 액세스 스위칭 노드에게 송신된 인증 성공 메시지는 상기 사용자 단말기의 MAC 어드레스, 상기 인터페이스 식별자 및 상기 사용자 단말기의 액세스 허용과 같은 정보를 포함할 수 있고, 상기 정보는 상기 확장된 레벨-2 TLV를 이용하여 상기 액세스 스위칭 노드에게 송신될 수 있다. 상기 확장된 레벨-2 TLV는 상술한 표 5에서 설명될 수 있다.
단계 58: 상기 액세스 스위칭 노드는, 상기 집성 스위칭 노드에 의해 송신된 상기 인터페이스 식별자를 수신하고, 상기 인터페이스 식별자에 대응하는 상기 인터페이스를 활성화하며, 상기 결정된 인터페이스를 제어함으로써 상기 사용자 단말기의 액세스에 대한 제어를 수행한다.
예를 들어, 상기 액세스 스위칭 노드는, 상기 수신된 인터페이스 식별자에 대응하는 상기 인터페이스를 상기 집성 스위칭 노드에 의해 송신된 상기 인터페이스 식별자에 따라 활성화하고, 상기 인터페이스에 연결된 상기 사용자 단말기에게 패킷 전송을 위해 네트워크를 액세스하도록 할 수 있다.
선택적으로, 상기 액세스 스위칭 노드는, 상기 사용자 단말기에 대응하는 상기 액세스 허용으로서 상기 집성 스위칭 노드에 의해 송신된 상기 액세스 허용을 추가로 수신하고, 상기 사용자 단말기에 연결된 상기 인터페이스 제어함으로써 상기 사용자 단말기에게 상기 수신된 액세스 허용에 따라 네트워크를 액세스하도록 제어한다 .
상기 사용자 단말기에 의해 송신된 상기 패킷은 IEEE 802.1x 패킷이거나, 또는 ARP 패킷 또는 DHCP 패킷과 같은 다른 유형의 패킷일 수 있다.
도 5에 도시된 상기 사용자 단말기의 액세스를 제어하는 상기 방법의 플로우 차트 및 본 발명의 실시예 2에 제공된 사용자 단말기의 액세스를 제어하는 상술한 방법은 단지 본 발명의 이 실시예에서 선호되는 구현 방식일 뿐이다. 특정한 구현에서, 대체 프로세싱이 상술한 방법 절차에 따라 실시될 수 있다.
(실시예 3)
이에 대응하여, 도 2에 도시된 시스템 아키텍쳐로서 집성 스위칭 노드를 위한 상기 시스템 아키텍쳐에 기초하여, 본 발명의 일 실시예는 사용자 단말기의 액세스를 제어하는 방법을 제공한다. 도 6a에 도시돤 바와 같이, 상기 방법의 특정한 프로세싱 절차는 다음과 같다:
단계 61: 상기 집성 스위칭 노드 및 액세스 스위칭 노드 간에 제어 터널 및 데이터 터널을 포함하는 패킷 전송 터널을 구축한다.
상기 집성 스위칭 노드는, 전용 프로토콜 또는 표준 프로토콜의 확장에 기반하여 상기 액세스 스위칭 노드와 상기 패킷 전송 터널을 구축할 수 있다. 본 발명의 실시예 3에서, 상기 패킷 전송 터널은 상기 CAPWAP 프로토콜의 확장에 기반하여 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된다.
상기 CAPWAP 프로토콜에 기반하여 상기 패킷 전송 터널을 구축하는 절차에 대해, 실시예 1에서의 상기 상세한 설명을 참조하고, 세부사항은 본 발명의 실시예 3에서 다시 설명하지 않는다.
상기 CAPWAP 프로토콜에 기반하여 상기 집성 스위칭 노드와 상기 액세스 스위칭 노드 간에 상기 패킷 전송 터널을 구축하는 절차 동안, 상기 집성 스위칭 노드는 상기 구축된 패킷 전송 터널과 상기 액세스 스위칭 노드 간의 대응관계를 유지한다. 예를 들어, 상기 액세스 스위칭 노드의 식별자는 스위치 23이라고 가정하면, 패킷 전송 터널 1이 상기 집성 스위칭 노드와 식별자가 스위치 23인 상기 액세스 스위칭 노드 간에 구축된 후에, 상기 집성 스위칭 노드는 상기 패킷 전송 터널 1과 스위치 23 간의 대응관계를 유지할 수 있다. 이 방식으로, 식별자가 스위치 23인 상기 액세스 스위칭 노드가 패킷을 나중에 상기 구축된 패킷 전송 터널을 통해 상기 집성 스위칭 노드에게 보낼 때, 및 상기 집성 스위칭 노드가 상기 패킷을 처리하거나 상기 패킷에 응답할 때, 상기 집성 스위칭 노드는, 상기 패킷 전송 터널 1과 상기 스위치 23 간의 상기 유지된 대응관계로부터 상기 패킷을 송신한 디바이스, 상기 패킷이 송신된 패킷 전송 채널, 상기 패킷이 전송될 액세스 스위칭 노드 및 응답 정보가 전송될 패킷 전송 채널을 결정할 수 있다.
단계 62: 상기 집성 스위칭 노드는 상기 구축된 데이터 터널을 통해 상기 액세스 스위칭 노드에 의해 송신된 인증 패킷을 수신한다.
상기 액세스 스위칭 노드에 의해 송신된 상기 패킷은, 상기 액세스 스위칭 노드 상의 인터페이스에 연결되고 상기 사용자 단말기에 의해 송신되며 상기 인터페이스 상에서 상기 액세스 스위칭 노드에 의해 캡쳐된 패킷이다. 상기 캡쳐된 패킷은, 상기 CAPWAP 프로토콜에 기반하여 캡슐화된 후에, 상기 집성 스위칭 노드에게 송신된다. 상기 액세스 스위칭 노드에 의해 캡쳐된 상기 패킷은 802.1x 패킷, ARP 패킷 또는 DHCP 패킷일 수 있다.
단계 63: 상기 집성 스위칭 노드는 상기 인증 패킷의 소스 MAC 어드레스 필드에서 MAC 어드레스를 획득하고, 상기 획득된 MAC 어드레스에 대응하는 사용자 단말기에 대한 액세스 인증을 수행한다.
단계 64: 상기 사용자 단말기에 대해 실행된 액세스 인증이 성공한 후에, 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 유지된 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정한다.
상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드의 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 대응관계는, 상기 액세스 스위칭 노드에 의해 상기 제어 터널을 통해 송신된 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 수신하는 단계 - 상기 사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스와의 연결을 구축하여 상기 연결된 인터페이스를 통하여 패킷을 송신할 때, 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는 상기 액세스 스위칭 노드에 의해 획득됨 -; 및 상기 사용자 단말기의 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 구축하는 단계에 의해 결정될 수 있다.
상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 집성 스위칭 노드에 의해 유지되는 상기 대응관계는 버퍼링 방식으로 저장될 수 있다. 상기 대응관계는 일정 기간 이내로 저장된다. 상기 사용자 단말기에 대해 실행된 액세스 인증이 완료된 후, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 유지된 대응관계는 삭제될 수 있다.
구체적으로, 상기 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 대응관계의 구축에 대해, 실시예 1 및 실시예 2에서 상기 상세한 설명을 참조하고, 세부사항은 본 발명의 실시예 3에서 다시 설명하지 않는다.
단계 65: 상기 결정된 인터페이스 식별자를 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 액세스 스위칭 노드에게 송신하고, 상기 액세스 스위칭 노드에게 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하도록 지시한다.
선택적으로, 상기 사용자 단말기에 대해 실행된 상기 액세스 인증은 상기 사용자 단말기의 액세스 허용을 결정하는 단계를 더 포함할 수 있다. 상기 집성 스위칭 노드는, 상기 사용자 단말기의 결정된 액세스 허용을 상기 제어 터널을 통해 상기 액세스 스위칭 노드에게 송신하여 상기 액세스 스위칭 노드에게 상기 액세스 허용에 따라 상기 사용자 단말기를 제어하도록 지시하여 상기 인터페이스 식별자를 통과킨다.
이에 대응하여, 본 발명의 실시예 3은 추가적으로, 사용자 단말기의 액세스를 제어하기 위한 장치를 제공한다. 도 6b에 도시된 바와 같이, 상기 장치는, 구축된 데이터 터널을 통해 송신된 인증 패킷을 수신하고 상기 수신된 인증 패킷을 획득 모듈(702)에게 전송하도록 구성된 수신 모듈(701); 상기 수신 모듈(701)에 의해 전송된 상기 인증 패킷을 획득하고 상기 인증 패킷의 소스 MAC 어드레스 필드에서 MAC 어드레스를 획득하며 상기 획득된 MAC 어드레스를 인증 모듈(703)에게 전송하도록 구성된 상기 획득 모듈(702); 상기 획득 모듈(702)에 의해 전송된 상기 MAC 어드레스를 수신하고 상기 MAC 어드레스에 대응하는 사용자 단말기에 대해 액세스 인증을 수행하며 인증 성공의 결과를 결정 모듈(704)에게 전송하도록 구성된 상기 인증 모듈(703); 상기 인증 모듈(703)에 의해 전송된 상기 인증 성공의 결과를 획득하고 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 유지된 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정하며 상기 인터페이스 식별자를 송신 모듈(705)에게 전송하도록 구성된 상기 결정 모듈(704) - 상기 인터페이스 식별자는 상기 사용자 단말기에 연결된 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자임 -; 및 상기 결정 모듈(704)에 의해 전송된 상기 인터페이스 식별자를 수신하고, 상기 결정된 인터페이스 식별자를 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 액세스 스위칭 노드에게 송신하고, 상기 액세스 스위칭 노드에게 상기 인터페이스 식별자에 대응하는 인터페이스 활성화를 지시하도록 구성된 상기 송신 모듈(705)을 포함한다.
상술한 수신 모듈(701)은 추가적으로, 상기 제어 터널를 통해 상기 액세스 스위칭 노드에 의해 송신된 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 수신하고 상기 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자를 구축 모듈(706)에게 전송하도록 추가로 구성된다. 여기서, 상기 사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스와의 연결을 구축하여 상기 연결된 인터페이스를 통하여 패킷을 송신할 때, 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는 상기 액세스 스위칭 노드에 의해 획득된다.
상기 장치는, 상기 수신 모듈(705)에 의해 전송된 상기 MAC 어드레스 및 상기 인터페이스 식별자를 획득하고 상기 사용자 단말기의 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 구축하도록 구성된 상기 구축 모듈(706)을 더 포함한다.
이에 대응하여, 본 발명의 실시예 3은 추가적으로, 네트워크 스위치를 제공한다. 도 6c에 도시된 바와 같이, 상기 네트워크 스위치는 인터페이스(801), 메모리(803) 및 시그널 프로세서(804)를 포함한다.
상기 인터페이스(801)는 구축된 데이터 터널을 통해 송신된 인증 패킷을 수신하고 상기 수신된 인증 패킷을 버스(802)를 통해 상기 시그널 프로세서(804)에게 전송하도록 구성된다.
상기 인터페이스(801)는 유선 인터페이스를 제공하는 네트워크 인터페이스 컨트롤러(Network Interface Controller, NIC), 예를 들어, 구리선(copper wire) 인터페이스 및/또는 파이버(fiber) 인터페이스를 제공하는 이더넷 NIC, 무선 인터페이스를 제공하는 NIC, 예를 들어, 무선랜 네트워크(wireless local area network, WLAN) NIC 중 하나 이상일 수 있다.
상기 메모리(803)는, 프로그램 코드를 저장하고 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 대응관계를 저장하며 상기 저장된 프로그램 코드를 상기 버스(802)를 통해 상기 시그널 프로세서(804)에게 전송하도록 구성된다.
상기 메모리(803)는 휘발성 메모리(volatile memory), 예를 들어, 랜덤 액세스 메모리(Random-Access Memory, RAM), 또는 비휘발성 메모리(non-volatile memory), 예를 들어, 플래쉬 메모리(flash memory), 하드 디스크 드라이브(hard disk drive, HDD) 또는 솔리드 스테이트 드라이브(solid-state drive, SSD), 또는 상술한 타입의 메모리의 조합일 수 있다.
상기 시그널 프로세서(804)는, 상기 버스(802)를 이용하여 상기 메모리(803)에 저장된 상기 프로그램 코드를 획득하고, 상기 획득된 프로그램 코드에 따라 상기 인증 패킷의 소스 MAC 어드레스 필드에서 상기 MAC 어드레스를 획득하는 과정; 상기 MAC 어드레스에 대응하는 상기 사용자 단말기 상에서 액세스 인증을 수행하는 과정; 상기 액세스 인증이 성공한 후에, 상기 메모리(803)에 저장된 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 획득하는 과정; 상기 사용자 단말기의 획득된 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계로부터, 상기 성공적으로 인증된 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정하는 과정 - 상기 인터페이스 식별자는 상기 사용자 단말기에 연결된 액세스 스위칭 노드 상의 상기 인터페이스의 인터페이스 식별자임 -; 및 상기 인터페이스 식별자를 상기 버스(802)를 통해 상기 인터페이스(801)에게 전송하는 과정를 수행하도록 구성된다.
상기 시그널 프로세서(804)는 중앙처리장치(Central Processing Unit, CPU), CPU와 하드웨어 칩의 조합, 네트워크 프로세서(Network Processor, NP), CPU와 NP의 조합 또는 NP와 하드웨어 칩의 조합일 수 있다.
상술한 하드웨어 칩은 주문형 반도체(application-specific integrated circuit, ASIC), 필드 프로그램 가능 게이트 어레이(field-programmable gate array, FPGA) 및 복합 프로그래머블 논리 소자(complex programmable logic device, CPLD) 중 하나 또는 칩의 조합일 수 있다.
상술한 인터페이스(801)는 추가적으로, 상기 버스(802)를 이용하여 상기 시그널 프로세서(804)에 의해 전송된 상기 인터페이스 식별자를 획득하고, 상기 결정된 인터페이스 식별자를 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 액세스 스위칭 노드에게 송신하며, 상기 액세스 스위칭 노드에게 상기 인터페이스 식별자에 대응하는 인터페이스 활성화를 지시하도록 구성되어 있다.
상술한 인터페이스(801)는 추가적으로, 상기 제어 터널를 통해 상기 액세스 스위칭 노드에 의해 송신된 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 수신하고, 상기 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자를 상기 버스를 통해 상기 시그널 프로세서(804)에게 전송하도록 구성된다. 여기서, 상기 사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스와의 연결을 구축하여 상기 연결된 인터페이스를 통하여 패킷을 송신할 때, 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는 상기 액세스 스위칭 노드에 의해 획득된다.
상기 시그널 프로세서(804)는 추가적으로, 상기 버스(802)를 이용하여 상기 인터페이스(801)에 의해 전송된 상기 MAC 어드레스와 상기 인터페이스 식별자를 획득하고, 상기 사용자 단말기의 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 구축하며, 상기 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 구축된 대응관계를 상기 버스(802)를 통해 상기 메모리(803)에게 전송하도록 구성되어 있다.
이에 대응하여, 상기 도 2에 도시된 시스템 아키텍쳐로서 액세스 스위칭 노드를 위한 상기 시스템 아키텍쳐에 기초하여, 본 발명의 실시예 3은 사용자 단말기의 액세스를 제어하는 방법을 제공한다. 도 7a에 도시된 바와 같이, 상기 방법의 특정한 프로세싱 절차는 다음과 같다:
단계 71: 상기 액세스 스위칭 노드와 집성 스위칭 노드 간에 제어 터널과 데이터 터널을 포함하는 패킷 전송 터널을 구축한다.
상기 집성 스위칭 노드는 전용 프로토콜 또는 표준 프로토콜의 확장에 기반하여 상기 액세스 스위칭 노드와 상기 패킷 전송 터널을 구축할 수 있다. 본 발명의 실시예 3에서, 상기 패킷 전송 터널은 상기 CAPWAP 프로토콜의 확장에 기반하여 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된다.
상기 CAPWAP 프로토콜에 기반하여 상기 패킷 전송 터널을 구축하는 절차에 대해, 실시예 1에서의 상기 상세한 설명을 참조하고, 세부사항은 본 발명의 실시예 3에서 다시 설명하지 않는다.
상기 CAPWAP 프로토콜에 기반하여 상기 집성 스위칭 노드와 상기 액세스 스위칭 노드 간에 상기 패킷 전송 터널을 구축하는 절차 중에, 상기 집성 스위칭 노드는 상기 구축된 패킷 전송 터널과 상기 액세스 스위칭 노드 간의 대응관계를 유지한다. 예를 들어, 상기 액세스 스위칭 노드의 식별자는 스위치 23이고, 패킷 전송 터널 1이 상기 집성 스위칭 노드와 식별자가 스위치 23인 상기 액세스 스위칭 노드 간에 구축된 후에, 상기 집성 스위칭 노드가 상기 패킷 전송 터널 1과 스위치 23 간의 대응관계를 유지한다고 가정한다. 이 방식으로, 식별자가 스위치 23인 상기 액세스 스위칭 노드가 패킷을 나중에 상기 구축된 패킷 전송 터널을 통해 상기 집성 스위칭 노드에게 보낼 때, 및 상기 집성 스위칭 노드가 상기 패킷을 처리하거나 상기 패킷에 응답할 때, 상기 집성 스위칭 노드는, 상기 패킷 전송 터널 1과 상기 스위치 23 간의 상기 유지된 대응관계로부터 상기 패킷을 송신한 디바이스, 상기 패킷이 송신된 패킷 전송 채널, 상기 패킷이 전송될 액세스 스위칭 노드 및 응답 정보가 전송될 패킷 전송 채널을 결정할 수 있다
단계 72: 미디어 콘트롤 액세스 MAC 학습 기능이 비활성화될 때, 상기 액세스 스위칭 노드는 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 사용자 단말기에 의해 송신된 인증 패킷을 수신한다.
단계 73: 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자, 및 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득한다.
상기 액세스 스위칭 노드는, 프로그램 코드에 따라서 프로세싱 기능을 수행할 수 있는 시그널 프로세서를 이용하여 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하고, 상기 수신된 인증 패킷을 상기 액세스 스위칭 노드의 시그널 프로세서에게 전송하며, 상기 시그널 프로세서는 상기 인증 패킷의 소스 MAC 어드레스 필드로부터 상기 인증 패킷을 송신한 상기 사용자 단말기의 MAC 어드레스를 획득한다.
단계 74: 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 확립된 제어 터널을 통해 상기 집성 스위칭 노드에게 송신한다.
단계 75: 상기 집성 스위칭 노드에 의해 송신된 상기 인터페이스 식별자를 상기 제어 터널을 통해 수신하고, 상기 수신된 인터페이스 식별자에 따라 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화한다.
상기 인터페이스 식별자는, 상기 집성 스위칭 노드가 성공적으로 상기 사용자 단말기에 대한 액세스 인증을 수행한 후에, 상기 사용자 단말기의 MAC 어드레스와 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자 간의 유지된 대응관계로부터 결정되며, 성공적으로 인증된 상기 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자이다.
상기 집성 스위칭 노드에 의해, 상기 단말기의 식별자와 상기 인터페이스 식별자 간의 대응관계를 구축하는 특정한 구현 방식에 대해, 실시예 1 또는 실시예 2에서 상기 상세한 설명을 참조하고, 세부사항은 본 발명의 실시예 3에서 설명하지 않는다.
선택적으로, 상기 액세스 스위칭 노드는, 상기 MAC 어드레스에 대응하는 상기 사용자 단말기의 액세스 허용으로서 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 액세스 허용을 수신하고, 상기 집성 스위칭 노드에 의해 수신된 액세스 허용에 따라 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 상기 액세스 허용을 구성하거나 변경하여, 상기 인터페이스에 연결되는 상기 사용자 단말기를 상기 액세스 허용에 따라 네트워크에 액세스하도록 제어한다.
이에 대응하여, 본 발명의 실시예 3은 추가적으로, 사용자 단말기의 액세스를 제어하기 위한 장치를 제공한다. 도 7b에 도시된 바와 같이, 상기 장치는
미디어 액세스 콘트롤 MAC 학습 기능이 비활성화된 경우, 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 사용자 단말기에 의해 송신된 인증 패킷을 수신하고 상기 인증 패킷을 획득 모듈(902)에게 전송하도록 구성된 수신 모듈(901);
상기 수신 모듈(901)에 의해 전송된 상기 인증 패킷을 수신하고, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하며, 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하고, 상기 인터페이스 식별자 및 상기 MAC 어드레스를 송신 모듈(903)에 전송하도록 구성된 획득모듈(902);
상기 컨트롤러가 상기 사용자 단말기의 수신된 MAC 어드레스와 상기 수신된 인터페이스 식별자 간의 대응관계를 유지하도록, 상기 획득 모듈에 의해 전송된 상기 인터페이스 식별자(902) 및 상기 MAC 어드레스를 수신하고, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 컨트롤러로 전송하도록 구성된 상기 송신 모듈(903) - 여기서,
상술한 수신 모듈(901)은 추가적으로, 상기 컨트롤러에 의해 송신된 상기 인터페이스 식별자를 상기 제어 터널을 통해 수신하고 상기 인터페이스 식별자를 제어 모듈(904)에게 전송하도록 구성되고, 상기 인터페이스 식별자는, 상기 컨트롤러가 상기 MAC 어드레스에 대응하는 상기 사용자 단말기 상에서 액세스 인증을 성공적으로 수행한 후, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 대응관계로부터 결정되고 성공적으로 인증된 상기 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자임 -; 및
상기 수신 모듈(901)에 의해 전송된 상기 인터페이스 식별자를 획득하고, 상기 수신된 인터페이스 식별자에 따라 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하도록 구성된 상기 제어 모듈(904)을 포함한다.
구체적으로, 상술한 수신 모듈(901)은 추가적으로, 상기 MAC 어드레스에 대응하는 상기 사용자 단말기의 액세스 허용으로서 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 액세스 허용을 수신하고, 상기 액세스 허용을 상기 제어 모듈에 전송하도록 구성되고, 상기 제어 모듈(904)은 구체적으로, 상기 수신 모듈(901)에 의해 전송된 상기 액세스 허용을 수신하고, 집성 스위칭 노드에 의해 송신된 수신된 액세스 허용에 따라서 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 상기 액세스 허용을 설정하거나 변경하여, 상기 인터페이스에 연결되는 상기 사용자 단말기를 상기 액세스 허용에 따라 네트워크에 액세스를 제어하도록 구성된다.
구체적으로, 상술한 획득 모듈(902)은 구체적으로 시그널 프로세서를 포함하고, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하고 상기 수신 모듈에 의해 전송된 상기 인증 패킷을 획득하도록 구성되며, 상기 시그널 프로세서는 상기 인증 패킷의 소스 MAC 어드레스 필드로부터 상기 인증 패킷을 송신한 상기 사용자 단말기의 MAC 어드레스를 획득한다
이에 대응하여, 본 발명의 실시예 3은 네트워크 스위치를 더 제공한다. 도 7c에 도시된 바와 같이, 상기 네트워크 스위치는 인터페이스(101)와 시그널 프로세서(103)를 포함한다.
상기 인터페이스(101)는, 미디어 액세스 콘트롤 MAC 학습 기능이 비활성화된 경우, 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 사용자 단말기에 의해 송신된 인증 패킷을 수신하고, 상기 인증 패킷을 버스(102)를 통해 상기 시그널 프로세서(103)에게 전송하도록 구성된다.
상기 인터페이스(101)는 유선 인터페이스를 제공하는 NIC, 예를 들어, 구리선 인터페이스 및/또는 파이버 인터페이스를 제공하는 이더넷 NIC 중 하나 이상일 수 있다.
상기 시그널 프로세서(103)는, 상기 버스(102)를 통하여 상기 인터페이스(101)가 보낸 상기 인증 패킷을 수신하고, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하며, 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하고, 상기 인터페이스 식별자 및 상기 MAC 어드레스를 상기 버스(102)를 통해 상기 인터페이스(101)에게 전송하도록 구성된다.
상기 시그널 프로세서(103)는 CPU, CPU와 하드웨어 칩의 조합, NP, CPU와 NP의 조합 또는 NP와 하드웨어 칩의 조합일 수 있다.
상술한 하드웨어 칩은 하나의 칩 또는 ASIC, FPGA 및 CPLD 등의 조합일 수 있다.
선택적으로, 상기 시그널 프로세서(103)가 CPU 또는 CPU를 포함하는 컴포넌트들의 조합인 경우, 릴레이는 프로그램 코드를 저장하도록 구성된 메모리를 더 포함할 수 있다. 상기 시그널 프로세서는 상기 메모리로부터 상기 저장된 프로그램 코드 획득하고, 상기 획득된 프로그램 코드에 따라 대응하는 프로세싱을 수행한다.
상기 메모리는 휘발성 메모리, 예를 들어 랜덤 액세스 메모리(RAM)이거나, 또는 비휘발성 메모리, 예를 들어, 고정 기억 장치(Read-Only Memory, ROM), 플래쉬 메모리, 하드 디스크 드라이브 또는 솔리드 스테이트 드라이브, 또는 상술한 타입의 메모리의 조합일 수 있다.
상술한 인터페이스(101)는 추가적으로, 상기 컨트롤러가 상기 사용자 단말기의 수신된 MAC 어드레스와 상기 수신된 인터페이스 식별자 간의 대응관계를 유지하도록, 상기 시그널 프로세서(103)에 의해 전송된 상기 인터페이스 식별자 및 상기 MAC 어드레스를 상기 버스(102)를 통해 수신하고, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 확립된 제어 터널을 통해 컨트롤러에게 송신하도록 구성된다.
상술한 인터페이스(101)는 추가적으로, 상기 컨트롤러에 의해 송신된 상기 인터페이스 식별자를 상기 제어 터널을 통해 수신하고, 상기 인터페이스 식별자를 상기 버스(102)를 통해 상기 시그널 프로세서(103)에게 전송하도록 구성된다. 여기서, 상기 인터페이스 식별자는, 상기 컨트롤러가 상기 MAC 어드레스에 대응하는 상기 사용자 단말기 상에서 액세스 인증을 성공적으로 수행한 후, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 대응관계로부터 결정되고 성공적으로 인증된 상기 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자다.
상기 시그널 프로세서(103)는, 상기 버스(102)를 이용하여 상기 인터페이스(101)에 의해 전송된 상기 인터페이스 식별자를 획득하고, 상기 수신된 인터페이스 식별자에 따라 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하도록 구성된다.
구체적으로, 상술한 시그널 프로세서(103)는 구체적으로, 상기 MAC 어드레스에 대응하는 상기 사용자 단말기의 액세스 허용으로서 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 액세스 허용을 수신하고, 상기 액세스 허용을 상기 버스(102)를 통해 상기 시그널 프로세서(103)에게 전송하도록 구성된다. 상기 시그널 프로세서(103)는 구체적으로, 상기 버스(102)를 통해 상기 인터페이스(101)에 의해 전송된 상기 액세스 허용을 획득하고, 수신된 액세스 허용에 따라 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 상기 액세스 허용을 구성 또는 변경하여, 상기 인터페이스에 연결되는 상기 사용자 단말기를 상기 액세스 허용에 따라 네트워크에 액세스를 제어하도록 구성된다.
구체적으로, 상술한 시그널 프로세서(103)는, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하고 상기 인터페이스(101)가 보낸 상기 인증 패킷을 획득하도록 구성되고, 상기 시그널 프로세서(103)는 상기 인증 패킷의 소스 MAC 어드레스 필드로부터 상기 인증 패킷을 송신한 상기 사용자 단말기의 MAC 어드레스를 획득한다.
상술한 본 발명의 실시예에서 제공된 상기 기술적인 해결방법에서, 상기 사용자 단말기들의 집중화된 제어를 구현하면서 액세스 레이어에서 사용자 단말기의 데이터 포워딩 기능을 제어하기 위하여, 사용자 단말기의 액세스에 대한 집중화된 제어(centralized control)가 집성 스위칭 노드 상에서 구현될 수 있고, 분산된 정책 제어가 액세스 스위칭 노드 상에서 구현될 수 있다. 이와 같은 방식으로, 구현 방식은 비교적 쉽고, 시스템 아키텍쳐는 비교적 단순하며, 네트워크 보안은 더 향상될 수 있다.
당업자라면 상기 본 발명의 실시예가 방법, 디바이스 또는 컴퓨터 프로그램 제품으로 제공될 수 있다는 것을 이해할 수 있을 것이다. 따라서, 본 발명은 하드웨어만의 실시예, 소프트웨어만의 실시예 또는 소프트웨어와 하드웨어의 조합을 갖는 실시예의 형태를 사용할 수 있다. 게다가, 본 발명은 컴퓨터에서 사용가능한 프로그램 코드를 포함하는 하나 이상의 컴퓨터에서 사용가능한 저장매체(디스크 메모리, 광 ROM 및 광메모리(optical memory) 등을 포함하지만 이에 제한되지 않음)에서 실행되는 컴퓨터 프로그램 제품의 형태일 수 있다.
본 발명은 상기 본 발명의 실시예에 따라 상기 방법의 플로우 차트 및/또는 블록도, 상기 장치(디바이스) 및 상기 컴퓨터 프로그램 제품을 참조하여 설명된다. 컴퓨터 프로그램 명령은, 상기 플로우 차트에서 및/또는 상기 블록도에서 그리고 상기 플로우 차트 및/또는 블록도에서 블록의 조합에서, 각 절차 및/또는 각 블록을 실행하는데 사용될 수 있다고 이해되어야 한다. 어떤 다른 프로그램 가능한 데이터 프로세싱 디바이스의 컴퓨터 또는 프로세서에 의해 수행되는 상기 명령이, 상기 플로우 차트에서 및/또는 상기 블록도에서의 하나 이상의 블록에서 하나 이상의 절차에서 특정 기능을 수행하기 위한 장치를 생성하도록, 이러한 컴퓨터 프로그램 명령은 범용 컴퓨터, 전용 컴퓨터, 임베디드 프로세서 또는 어떤 다른 프로그램 가능한 데이터 프로세싱 디바이스의 프로세서를 위해 제공될 수 있다.
상기 컴퓨터로 판독가능한 메모리에 저장된 상기 명령이 명령 장치를 포함하는 인공물을 생성하도록, 이러한 컴퓨터 프로그램 명령은 상기 컴퓨터 또는 어떤 다른 프로그램 가능한 데이터 프로세싱 디바이스에게 특정한 방식으로 작동하도록 지시하는 컴퓨터로 판독가능한 메모리에 또한 저장될 수 있다. 상기 명령 장치는 상기 플로우 차트에서 및/또는 상기 블록도에서의 하나 이상의 블록에서 하나 이상의 절차에서 특정한 기능을 수행한다.
이러한 컴퓨터 프로그램 명령은 컴퓨터 또는 다른 프로그램 가능한 데이터 프로세싱 디바이스에 또한 로딩되어, 일련의 오퍼레이션과 단계가 상기 컴퓨터 또는 상기 다른 프로그램 가능한 디바이스에서 수행되어 컴퓨터-실행 프로세싱을 발생시킨다. 따라서, 상기 컴퓨터 또는 상기 다른 프로그램 가능한 디바이스에서 실행되는 상기 명령은 상기 플로우 차트에서 및/또는 상기 블록도에서의 하나 이상의 블록에서 하나 이상의 절차에서 특정한 기능을 수행하기 위한 단계를 제공한다.
본 발명의 일부 바람직한 실시예가 설명되었지만, 기본적인 발명 개념을 학습하면, 당업자라면 이러한 실시예 변경 및 수정을 할 수 있다. 따라서, 다음의 청구 범위는 본 발명의 범위 내에 있는 바람직한 실시예와 모든 변경 및 수정을 포함하는 것으로 해석되도록 의도된다.

Claims (18)

  1. 사용자 단말기의 액세스를 제어하는 방법으로서,
    컨트롤러가, 구축된 데이터 터널을 통해 액세스 스위칭 노드에 의해 송신된 인증 패킷을 수신하는 단계;
    상기 컨트롤러가, 상기 인증 패킷의 소스 MAC(Media Access Control) 어드레스 필드에서 MAC 어드레스를 획득하는 단계;
    상기 획득된 MAC 어드레스에 대응하는 사용자 단말기에 대해 수행된 액세스 인증이 성공한 후에, 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 유지된 대응관계로부터, 성공적으로 인증된 상기 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정하는 단계 - 상기 인터페이스 식별자는 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자임 -; 및
    상기 컨트롤러가, 상기 결정된 인터페이스 식별자를 상기 컨트롤러와 상기 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 액세스 스위칭 노드에게 송신하고, 상기 액세스 스위칭 노드에게 상기 인터페이스 식별자에 대응하는 상기 인터페이스를 활성화하도록 지시하는 단계
    를 포함하는 사용자 단말기의 액세스를 제어하는 방법.
  2. 제1항에 있어서,
    상기 액세스 인증이 상기 MAC 어드레스에 대응하는 상기 사용자 단말기에 대해 수행되기 전에, 상기 사용자 단말기의 MAC 어드레스와 인터페이스 식별자간의 대응관계가,
    상기 컨트롤러가, 상기 제어 터널을 통해 상기 액세스 스위칭 노드에 의해 송신된 상기 사용자 단말기의 MAC 어드레스, 및 상기 사용자 단말기에 연결된 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 수신하는 단계 - 상기 사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스와의 연결을 구축하여 상기 연결된 인터페이스를 통하여 패킷을 송신할 때, 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자가 상기 액세스 스위칭 노드에 의해 획득됨 - ; 및
    상기 사용자 단말기의 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 구축하는 단계
    에 의해 결정되는, 사용자 단말기의 액세스를 제어하는 방법.
  3. 사용자 단말기의 액세스를 제어하는 방법으로서,
    액세스 스위칭 노드가, MAC(Media Access Control) 학습 기능이 비활성화된 경우, 상기 액세스 스위칭 노드 상의 인터페이스에 연결된 사용자 단말기에 의해 송신된 인증 패킷을 수신하는 단계;
    상기 액세스 스위칭 노드가, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하고 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하는 단계;
    상기 액세스 스위칭 노드가, 컨트롤러가 상기 사용자 단말기의 수신된 MAC 어드레스와 상기 수신된 인터페이스 식별자 간의 대응관계를 유지할 수 있도록, 상기 사용자 단말기의 획득된 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 구축된 제어 터널을 통해 상기 컨트롤러에게 송신하는 단계;
    상기 액세스 스위칭 노드가, 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 상기 인터페이스 식별자를 수신하는 단계 - 상기 인터페이스 식별자는, 상기 컨트롤러가 상기 MAC 어드레스에 대응하는 사용자 단말기에 대한 액세스 인증을 성공적으로 수행한 후에, 상기 사용자 단말기의 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계로부터 결정되고 상기 성공적으로 인증된 사용자 단말기의 상기 MAC 어드레스에 대응하는 인터페이스 식별자임 -; 및
    상기 액세스 스위칭 노드가, 상기 수신된 인터페이스 식별자에 따라 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하는 단계
    를 포함하는 사용자 단말기의 액세스를 제어하는 방법.
  4. 제3항에 있어서,
    상기 액세스 스위칭 노드가, 상기 MAC 어드레스에 대응하는 상기 사용자 단말기의 액세스 허용으로서 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 액세스 허용을 수신하는 단계를 더 포함하고,
    상기 액세스 스위칭 노드가, 상기 수신된 인터페이스 식별자에 따라 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하는 단계는,
    수신된 상기 액세스 허용에 따라서, 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 액세스 허용을 구성하거나 변경하여, 상기 인터페이스의 액세스 허용에 따라 네트워크에 액세스하도록 상기 인터페이스에 연결된 사용자 단말기를 제어하는 단계
    를 포함하는, 사용자 단말기의 액세스를 제어하는 방법.
  5. 제3항 또는 제4항에 있어서,
    상기 액세스 스위칭 노드가, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 획득하고 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하는 단계는,
    상기 액세스 스위칭 노드가, 프로그램 코드에 따라서 프로세싱 기능을 수행할 수 있는 시그널 프로세서(signal processor)를 이용하여, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하고 상기 수신된 인증 패킷을 상기 액세스 스위칭 노드의 시그널 프로세서에게 전송하는 단계; 및
    상기 시그널 프로세서가, 상기 인증 패킷의 소스 MAC 어드레스 필드로부터 상기 인증 패킷을 송신한 상기 사용자 단말기의 MAC 어드레스를 획득하는 단계
    를 포함하는, 사용자 단말기의 액세스를 제어하는 방법.
  6. 사용자 단말기의 액세스를 제어하기 위한 장치로서,
    구축된 데이터 터널을 통해 송신된 인증 패킷을 수신하고 상기 수신된 인증 패킷을 획득 모듈에게 전송하도록 구성된 수신 모듈;
    상기 수신 모듈에 의해 전송된 상기 인증 패킷을 획득하고, 상기 인증 패킷의 소스 MAC(Media Access Control) 어드레스 필드에서 MAC 어드레스를 획득하며, 상기 획득된 MAC 어드레스를 인증 모듈에게 전송하도록 구성된 상기 획득 모듈;
    상기 획득 모듈에 의해 전송된 상기 MAC 어드레스를 수신하고, 상기 MAC 어드레스에 대응하는 사용자 단말기에 대해 액세스 인증을 수행하며, 인증 성공의 결과를 결정 모듈에게 전송하도록 구성된 상기 인증 모듈;
    상기 인증 모듈에 의해 전송된 상기 인증 성공의 결과를 획득하고, 사용자 단말기의 MAC 어드레스와 인터페이스 식별자 간의 유지된 대응관계로부터 성공적으로 인증된 상기 사용자 단말기의 MAC 어드레스에 대응하는 인터페이스 식별자를 결정하며, 상기 인터페이스 식별자를 송신 모듈에게 전송하도록 구성된 상기 결정 모듈 - 상기 인터페이스 식별자는 상기 사용자 단말기에 연결된 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자임 -; 및
    상기 결정 모듈에 의해 전송된 상기 인터페이스 식별자를 획득하고, 컨트롤러와 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 결정된 인터페이스 식별자를 상기 액세스 스위칭 노드에게 송신하며, 상기 액세스 스위칭 노드에게 상기 인터페이스 식별자에 대응하는 인터페이스를 활성화하게끔 지시하도록 구성된 상기 송신 모듈
    을 포함하는 사용자 단말기의 액세스를 제어하기 위한 장치.
  7. 제6항에 있어서,
    상기 수신 모듈은 추가적으로, 상기 제어 터널을 통해 상기 액세스 스위칭 노드에 의해 송신된 상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 상기 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자를 수신하고, 상기 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자를 구축 모듈에게 전송하도록 구성되고,
    상기 사용자 단말기의 MAC 어드레스 및 상기 사용자 단말기에 연결된 액세스 스위칭 노드 상의 인터페이스의 인터페이스 식별자는, 상기 사용자 단말기가 상기 액세스 스위칭 노드 상의 인터페이스와의 연결을 구축하여 상기 연결된 인터페이스를 통하여 패킷을 송신할 때 상기 액세스 스위칭 노드에 의해 획득되며,
    상기 사용자 단말기의 액세스를 제어하기 위한 장치가, 상기 수신 모듈에 의해 전송된 상기 MAC 어드레스 및 상기 인터페이스 식별자를 획득하고, 상기 사용자 단말기의 상기 수신된 MAC 어드레스 및 상기 수신된 인터페이스 식별자에 따라서 상기 사용자 단말기의 상기 MAC 어드레스와 상기 인터페이스 식별자 간의 대응관계를 구축하도록 구성된 상기 구축 모듈을 더 포함하는,
    사용자 단말기의 액세스를 제어하기 위한 장치.
  8. 사용자 단말기의 액세스를 제어하기 위한 장치로서,
    MAC(Media Access Control) 학습 기능이 비활성화된 경우, 액세스 스위칭 노드 상의 인터페이스에 연결된 사용자 단말기에 의해 송신된 인증 패킷을 수신하고 상기 인증 패킷을 획득 모듈에게 전송하도록 구성된 수신 모듈;
    상기 수신 모듈에 의해 전송된 상기 인증 패킷을 수신하고, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 상기 인터페이스의 인터페이스 식별자를 획득하며, 상기 수신된 인증 패킷으로부터 상기 사용자 단말기의 MAC 어드레스를 획득하고, 상기 인터페이스 식별자 및 상기 MAC 어드레스를 송신 모듈에게 전송하도록 구성된 상기 획득 모듈;
    상기 획득 모듈에 의해 전송된 상기 인터페이스 식별자 및 상기 MAC 어드레스를 수신하고, 컨트롤러가 상기 사용자 단말기의 상기 수신된 MAC 어드레스와 상기 수신된 인터페이스 식별자 간의 대응관계를 유지할 수 있도록, 상기 획득된 상기 사용자 단말기의 MAC 어드레스 및 상기 획득된 인터페이스 식별자를 상기 컨트롤러와 액세스 스위칭 노드 간에 구축된 제어 터널을 통해 상기 컨트롤러에게 전송하도록 구성된, 상기 송신 모듈 - 여기서, 상기 수신 모듈은 추가적으로, 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 상기 인터페이스 식별자를 수신하고 상기 인터페이스 식별자를 제어 모듈에게 전송하도록 구성되고, 상기 인터페이스 식별자는, 상기 컨트롤러가 상기 MAC 어드레스에 대응하는 상기 사용자 단말기에 대한 액세스 인증을 성공적으로 수행한 후에 상기 사용자 단말기의 상기 MAC 어드레스와 상기 인터페이스 식별자 간의 상기 대응관계로부터 결정되고 상기 성공적으로 인증된 사용자 단말기의 상기 MAC 어드레스에 대응하는 식별자임 -; 및
    상기 수신 모듈에 의해 전송된 상기 인터페이스 식별자를 획득하고, 상기 수신된 인터페이스 식별자에 따라서 상기 인터페이스 식별자에 대응하는 상기 인터페이스를 활성화하도록 구성된 상기 제어 모듈
    을 포함하는 단말기의 액세스를 제어하기 위한 장치.
  9. 제8항에 있어서,
    상기 수신 모듈은 추가적으로, 상기 MAC 어드레스에 대응하는 상기 사용자 단말기의 액세스 허용으로서 상기 제어 터널을 통해 상기 컨트롤러에 의해 송신된 액세스 허용을 수신하고 상기 액세스 허용을 상기 제어 모듈에게 전송하도록 구성되고,
    상기 제어 모듈은 구체적으로, 상기 수신 모듈에 의해 전송된 상기 액세스 허용을 획득하고, 수신된 상기 액세스 허용에 따라, 상기 액세스 스위칭 노드 상의 인터페이스로서 상기 인터페이스 식별자에 대응하는 인터페이스의 액세스 허용을 구성하거나 변경하여, 상기 인터페이스의 액세스 허용에 따라 네트워크에 액세스하도록 상기 인터페이스에 연결된 사용자 단말기를 제어하도록 구성된,
    단말기의 액세스를 제어하기 위한 장치.
  10. 제8항 또는 제9항에 있어서,
    상기 획득 모듈은 구체적으로, 프로그램 코드에 따라서 프로세싱 기능을 수행할 수 있는 시그널 프로세서를 포함하며, 상기 인증 패킷을 송신한 상기 사용자 단말기에 연결된 인터페이스의 인터페이스 식별자를 결정하고 상기 수신 모듈에 의해 전송된 상기 인증 패킷을 획득하도록 구성되며, 상기 시그널 프로세서는 상기 인증 패킷의 소스 MAC 어드레스 필드로부터 상기 인증 패킷을 송신한 상기 사용자 단말기의 상기 MAC 어드레스를 획득하는, 단말기의 액세스를 제어하기 위한 장치.
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
KR1020167001224A 2013-07-09 2014-07-01 사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템 KR101768512B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310286753.9A CN104283858B (zh) 2013-07-09 2013-07-09 控制用户终端接入的方法、装置及系统
CN201310286753.9 2013-07-09
PCT/CN2014/081326 WO2015003565A1 (zh) 2013-07-09 2014-07-01 控制用户终端接入的方法、装置及系统

Publications (2)

Publication Number Publication Date
KR20160020547A KR20160020547A (ko) 2016-02-23
KR101768512B1 true KR101768512B1 (ko) 2017-08-17

Family

ID=52258343

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167001224A KR101768512B1 (ko) 2013-07-09 2014-07-01 사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템

Country Status (7)

Country Link
US (1) US9825950B2 (ko)
EP (1) EP3001635B1 (ko)
JP (1) JP6131484B2 (ko)
KR (1) KR101768512B1 (ko)
CN (1) CN104283858B (ko)
ES (1) ES2634690T3 (ko)
WO (1) WO2015003565A1 (ko)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180013798A1 (en) * 2016-07-07 2018-01-11 Cisco Technology, Inc. Automatic link security
CN106131066B (zh) * 2016-08-26 2019-09-17 新华三技术有限公司 一种认证方法及装置
CN107844690A (zh) * 2016-09-20 2018-03-27 深圳市信锐网科技术有限公司 一种基于管理员权限对无线控制器的管理方法及装置
CN108123887B (zh) * 2016-11-29 2020-01-03 新华三技术有限公司 一种报文处理方法及装置
CN106953849B (zh) * 2017-02-28 2021-01-12 华为技术有限公司 一种基于IPv6地址的数据报文匹配方法及装置
US11063988B2 (en) 2018-02-04 2021-07-13 Portly, Inc. Scalable layered two-dimensional (2D) telecommunications network architecture
US10666718B2 (en) * 2018-06-07 2020-05-26 Spatika Technologies Inc. Dynamic data transport between enterprise and business computing systems
US11216424B2 (en) 2018-06-07 2022-01-04 Spatika Technologies Inc. Dynamically rendering an application programming interface for internet of things applications
EP4064617A4 (en) * 2019-12-25 2022-12-07 Huawei Technologies Co., Ltd. COMMUNICATION METHOD AND DEVICE
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
CN114237195A (zh) * 2021-11-09 2022-03-25 岚图汽车科技有限公司 一种obd排放诊断方法及相关设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101980496A (zh) 2010-10-13 2011-02-23 华为数字技术有限公司 报文处理方法和系统、交换机和接入服务器设备
JP2012010235A (ja) 2010-06-28 2012-01-12 Alaxala Networks Corp パケット中継装置及びネットワークシステム

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3474548B2 (ja) * 2001-04-09 2003-12-08 アライドテレシス株式会社 集合建築物
JP2005252717A (ja) * 2004-03-04 2005-09-15 Hitachi Ltd ネットワーク管理方法及びネットワーク管理サーバ
JP4920878B2 (ja) * 2004-07-14 2012-04-18 日本電気株式会社 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JP2006067057A (ja) * 2004-08-25 2006-03-09 Furukawa Electric Co Ltd:The ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
US20070071016A1 (en) * 2005-09-29 2007-03-29 Avaya Technology Corp. Communicating station-originated data to a target access point via a distribution system
JP4714111B2 (ja) * 2006-08-29 2011-06-29 株式会社日立製作所 管理計算機、計算機システム及びスイッチ
US20080072047A1 (en) * 2006-09-20 2008-03-20 Futurewei Technologies, Inc. Method and system for capwap intra-domain authentication using 802.11r
US8104072B2 (en) * 2006-10-26 2012-01-24 Cisco Technology, Inc. Apparatus and methods for authenticating voice and data devices on the same port
JP2008278134A (ja) * 2007-04-27 2008-11-13 Chuden Cti Co Ltd ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム
CN101217575B (zh) * 2008-01-18 2010-07-28 杭州华三通信技术有限公司 一种在用户终端认证过程中分配ip地址的方法及装置
FR2930100B1 (fr) * 2008-04-09 2010-05-07 Canon Kk Procede d'etablissement d'un chemin de communication dans un reseau etendu de communication, tetes de tunnel,produit programme d'ordinateur et moyen de stockage correspondants
CN101621802B (zh) * 2009-08-13 2012-02-08 杭州华三通信技术有限公司 一种无线网络中的入口认证方法、系统和装置
CN102209319B (zh) * 2010-03-30 2014-02-26 杭州华三通信技术有限公司 提高mesh网络中的接入控制器控制效率的方法及接入控制器
CN101909059B (zh) * 2010-07-30 2014-07-30 北京星网锐捷网络技术有限公司 删除残留客户端信息的方法、系统及认证服务器
JP5364671B2 (ja) * 2010-10-04 2013-12-11 アラクサラネットワークス株式会社 ネットワーク認証における端末接続状態管理
KR101504173B1 (ko) * 2011-09-16 2015-03-23 주식회사 케이티 AC와 AP의 연동 기반의 WiFi 로밍에서의 과금 처리 방법 및 장치
US9667485B2 (en) * 2011-10-04 2017-05-30 Juniper Networks, Inc. Methods and apparatus for a self-organized layer-2 enterprise network architecture
US9407457B2 (en) * 2011-10-04 2016-08-02 Juniper Networks, Inc. Apparatuses for a wired/wireless network architecture
KR102006512B1 (ko) * 2011-11-04 2019-08-01 텔레폰악티에볼라겟엘엠에릭슨(펍) 피디엔 접속을 확립하고 또한 사용하기 위한 방법 및 장치
CN102572830B (zh) * 2012-01-19 2015-07-08 华为技术有限公司 终端接入认证的方法及用户端设备
CN102647715A (zh) * 2012-03-27 2012-08-22 华为技术有限公司 一种传递eap认证目的mac地址的方法
US9231820B2 (en) * 2012-09-28 2016-01-05 Juniper Networks, Inc. Methods and apparatus for controlling wireless access points
EP3531738B1 (en) * 2012-09-28 2021-06-02 Juniper Networks, Inc. Methods and apparatus for controlling wireless access points
CN103118064A (zh) * 2012-11-22 2013-05-22 杭州华三通信技术有限公司 一种Portal集中认证的方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012010235A (ja) 2010-06-28 2012-01-12 Alaxala Networks Corp パケット中継装置及びネットワークシステム
CN101980496A (zh) 2010-10-13 2011-02-23 华为数字技术有限公司 报文处理方法和系统、交换机和接入服务器设备

Also Published As

Publication number Publication date
WO2015003565A1 (zh) 2015-01-15
CN104283858B (zh) 2018-02-13
EP3001635B1 (en) 2017-06-07
KR20160020547A (ko) 2016-02-23
ES2634690T3 (es) 2017-09-28
US20160127368A1 (en) 2016-05-05
JP2016525748A (ja) 2016-08-25
EP3001635A1 (en) 2016-03-30
CN104283858A (zh) 2015-01-14
JP6131484B2 (ja) 2017-05-24
EP3001635A4 (en) 2016-04-06
US9825950B2 (en) 2017-11-21

Similar Documents

Publication Publication Date Title
KR101768512B1 (ko) 사용자 단말기의 액세스를 제어하기 위한 방법, 장치 및 시스템
JP6928143B2 (ja) 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ
JP6882255B2 (ja) ネットワークセキュリティアーキテクチャ
EP3091696B1 (en) Method and device for implementing virtual machine communication
JP5050849B2 (ja) リモートアクセスシステム及びそのipアドレス割当方法
EP3396902B1 (en) Enhancing communication in the control plane of a vxlan
CN110650076B (zh) Vxlan的实现方法,网络设备和通信系统
US8514828B1 (en) Home virtual local area network identification for roaming mobile clients
US9402271B2 (en) Converged wireless local area network
US10448246B2 (en) Network re-convergence point
US20180254919A1 (en) Apparatus, system and methods for native bridged communication in cellular access network
EP4027593A1 (en) Tunnel configuration method, apparatus and system, and device and storage medium
CN107580768A (zh) 报文传输的方法、装置和系统
US11296985B2 (en) Normalized lookup and forwarding for diverse virtual private networks
US20160080318A1 (en) Dynamic host configuration protocol release on behalf of a user
US20230048013A1 (en) Vxlan access authentication method and vtep device
US9787536B2 (en) Method and apparatus for configuring packet forwarding manner
US20140173124A1 (en) Method and System for Causing a Client Device to Renew a Dynamic IP Address
JP5351333B2 (ja) 集中型wlanにおける無線ターミナルポイントによりwpiを実施する際のステーション切り替え方法及びシステム
CN111163463A (zh) 一种无线设备接入路由器的方法、装置、设备和存储介质
ES2670013T3 (es) Procedimiento de control y aparato para admisión de red
CN109041275B (zh) 数据传输方法、装置及无线接入点

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant