专利名称:一种802.1x控制以太网端口权限的方法
技术领域:
本发明涉及802.1X的通信技术,特别是指一种802.1X控制以太网端口权限的方法。
背景技术:
在以太网交换机中通过接入控制设备,即通常所说的设备端(Authenticator),实现控制用户接入网络资源的权限有三种途径基于以太网端口、基于客户机介质访问控制(MAC)地址、基于客户机所在虚拟局域网(VLAN)。下面详细说明基于以太网端口控制用户的访问权限。
以太网的每个物理端口被分为受控和非受控两种逻辑状态。受控端口是指通过该端口接入网络的网络资源访问权限受到Authenticator的控制;非受控端口是指通过该端口接入网络的资源访问权限不受Authenticator的控制。
对于受控端口而言,当有用户接入设备,即通常所说的客户端(Supplicant),通过该端口接入网络资源时,需要通过Authenticator的认证,并根据认证结果控制用户待接入端口为授权/非授权状态。其中,授权状态是指允许下挂的所有客户机拥有该端口的权限为该端口处于非受控端口状态时的相同权限;未授权状态是指不允许下挂的所有客户机通过该端口访问任何网络资源。
以太网中生成树协议(STP,Spanning Tree Protocol)的功能是防止交换机网络中产生数据死循环,而导致网络瘫痪。因此,它规定以太网端口有五种状态禁止状态(Disabled)、阻塞状态(Blocking)、监听状态(Listening)、学习状态(Learning)和通行状态(Forwarding)。当某个端口被设置为Forwarding状态时,允许该端口收发任何报文;当某个端口被设置Blocking状态时,不允许该端口通过任何数据报文。STP协议的作用就是通过设置端口状态来控制该端口是否允许有业务数据报文通过。
通常,802.1X协议可以借用STP协议所规定的端口状态来控制用户的访问权限,比如将某个以太网受控端口的状态设置为Forwarding时,该受控端口为授权状态,用户可通过该端口对网络资源进行访问;将某个以太网受控端口的状态设置为Blocking时,该受控端口为非授权状态,用户不能通过该端口访问网络资源。
在以太网交换机中,端口为Forwarding状态时,用户可以进一步设置该端口是否允许动态学习MAC地址。此外,每个端口都维护一个转发表,该转发表中的关键元素是MAC地址,交换机根据是否存在某个MAC地址决定是否将目的地址为该MAC地址的数据报文从此端口发送出去。因此,用户通常会设置Forwarding状态的端口为允许动态学习MAC地址。
但是,上述方案存在以下缺陷1)由于STP协议是从保证网络环境正常运作的角度来设置端口的状态,而802.1X协议是从端口的访问权限角度来设置端口的状态,因此,802.1X协议与STP协议可同时对同一端口的状态进行不同的设置,而802.1X协议与STP协议又各自有独立的运行机制,不具备协同工作的条件,这必然会相互影响,而使双方均无法正常工作。
2)当802.1X将受控端口设置为未授权状态时该端口为Blocking状态,在该状态下,除桥协议数据单元(BPDUs)之外的任何报文都不允许通过,使原本在端口未被授权时应该通过的报文而无法通过了,影响了交换机的其它功能,如利用动态主机配置协议(DHCP)触发802.1X的认证功能;网内交换机级连管理功能等。
发明内容
有鉴于此,本发明提供一种802.1X控制以太网端口权限的方法,在不影响STP协议正常工作以及以太网交换机其它功能的前提下,实现对以太网端口访问权限的控制。
为达到上述目的本发明的技术方案是这样实现的一种802.1 X控制以太网端口权限的方法,每个以太网端口维护一个转发表,交换机根据该端口所维护转发表中的介质访问控制(MAC)地址决定是否从该端口发送指定目的地址的数据报文,该方法还包括以下步骤判断当前用户待接入端口是否为受控端口,如果是,则通过设置该待接入端口的属性为是否允许动态学习MAC地址,控制该待接入端口是否授权;否则,按照系统默认配置设置该端口是否允许动态学习MAC地址。
较佳地,通过设置该待接入端口的属性为允许动态学习MAC地址,控制该待接入端口状态为授权。
较佳地,通过设置该待接入端口的属性为不允许动态学习MAC地址,并清空该待接入端口所维护的转发表中所有已动态学习到的MAC地址,控制该待接入端口状态为非授权。
较佳地,所述默认配置是允许该端口动态学习MAC地址。
较佳地,用户接入设备通过当前用户待接入端口接入网络时,该方法进一步包括接入控制设备对用户接入设备进行认证,并判断是否通过认证,如果通过,则设置该待接入端口的属性为允许动态学习MAC地址,否则,设置该待接入端口的属性为不允许动态学习MAC地址。
较佳地,当用户接入设备下线时,该方法进一步包括设置该待接入端口的属性为不允许动态学习MAC地址。
较佳地,该方法进一步包括,清空该待接入端口所维护转发表中所有已动态学习到的MAC地址。
应用本发明,通过控制受控端口是否允许动态学习MAC地址,实现对受控端口的授权/未授权状态的控制,而不影响其它不允许动态学习MAC地址时交换机所具备的特性。同时,应用本发明不必关心STP中所规定的端口状态,无论STP协议模块如何设置端口状态,802.1X协议模块都可以独立工作,而不影响STP协议的正常功能。
具体实施例方式
为使本发明的目的、技术方案及优点更加清楚明白,以下对本发明做进一步详细说明。
本发明的思路是802.1X协议通过设置受控端口是否允许动态学习MAC地址,而使该受控端口处于授权或非授权状态,进而达到用户接入设备通过该端口可否访问网络资源的目的。MAC地址通常分为两大类一类是动态MAC地址,是通过芯片自动学习得到的,该类地址在转发表中维护一段时间后会被自动删除,即老化;另一类是静态MAC地址,是通过程序或手工配置得到的,该类地址在转发表中不会老化。
用户通过某个端口是否有权访问网络资源,取决该端口是否非受控,在端口已受控的前提下,通过该端口是否有权访问网络资源取决于Authenticator对该端口是否授权。也就是说,只有在该端口不受控或受控但被授权的情况下,用户才能够通过该端口访问网络资源。上述对应关系如表1所示
表1本实施例的具体控制方式如下如果将端口设置为受控端口,即该端口接受Authenticator的控制时,进行如下操作将该受控端口设置为未授权状态1、清空该端口所维护的转发表中已经动态学习到的所有MAC地址;2、设置该端口不允许动态学习MAC地址。
当Supplicant请求接入网络并通过Authenticator的认证时,Authenticator将该受控端口设置为授权状态,即设置该受控端口允许学习MAC地址。
当Supplicant下线时,Authenticator设置该端口不允许动态学习MAC地址,并清空该端口所维护的转发表中已动态学习到的MAC地址。
如果将端口设置为非受控端口,即停止Authenticator对该端口的控制时,则按照系统默认配置设置该端口是否允许动态学习MAC地址。通常,默认配置是允许动态学习MAC地址。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种802.1X控制以太网端口权限的方法,每个以太网端口维护一个转发表,交换机根据该端口所维护转发表中的介质访问控制(MAC)地址决定是否从该端口发送指定目的地址的数据报文,其特征在于该方法还包括以下步骤判断当前用户待接入端口是否为受控端口,如果是,则通过设置该待接入端口的属性为是否允许动态学习MAC地址,控制该待接入端口是否授权;否则,按照系统默认配置设置该端口是否允许动态学习MAC地址。
2.根据权利要求1所述的方法,其特征在于,通过设置该待接入端口的属性为允许动态学习MAC地址,控制该待接入端口状态为授权。
3.根据权利要求1所述的方法,其特征在于,通过设置该待接入端口的属性为不允许动态学习MAC地址,并清空该待接入端口所维护的转发表中所有已动态学习到的MAC地址,控制该待接入端口状态为非授权。
4.根据权利要求1所述的方法,其特征在于,所述默认配置是允许该端口动态学习MAC地址。
5.根据权利要求1所述的方法,其特征在于,用户接入设备通过当前用户待接入端口接入网络时,该方法进一步包括接入控制设备对用户接入设备进行认证,并判断是否通过认证,如果通过,则设置该待接入端口的属性为允许动态学习MAC地址,否则,设置该待接入端口的属性为不允许动态学习MAC地址。
6.根据权利要求5所述的方法,其特征在于,当用户接入设备下线时,该方法进一步包括设置该待接入端口的属性为不允许动态学习MAC地址。
7.根据权利要求6所述的方法,其特征在于该方法进一步包括,清空该待接入端口所维护转发表中所有已动态学习到的MAC地址。
全文摘要
本发明提供了一种802.1X控制以太网端口权限的方法,每个以太网端口维护一个转发表,交换机根据该端口所维护转发表中的介质访问控制(MAC)地址决定是否从该端口发送指定目的地址的数据报文,该方法还包括以下步骤判断当前用户待接入端口是否为受控端口,如果是,则通过设置该待接入端口的属性为是否允许动态学习MAC地址,控制该待接入端口是否授权;否则,按照系统默认配置设置该端口是否允许动态学习MAC地址。应用本发明,通过控制端口是否允许学习MAC地址,而达到控制用户接入权限的目的,避免了802.1X协议与STP协议的相互影响,而且应用本发明不影响其他不允许MAC地址学习时交换机所具备的特性。
文档编号H04L12/24GK1522000SQ03102410
公开日2004年8月18日 申请日期2003年1月27日 优先权日2003年1月27日
发明者魏其礼, 罗汉军, 邹婷, 汤杰成 申请人:华为技术有限公司