用于对同一端口的语音和数字设备进行认证的设备和方法

专利名称：用于对同一端口的语音和数字设备进行认证的设备和方法
技术领域：
本申请涉及基于点的网络接入控制。更具体地，涉及对经由接入控制
端口附接到局域网(LAN)的设备的认证和授权，以便提供该网络的接 入。
背景技术：
LAN可以被建立以允许未经授权的设备附接到LAN基础设施或者未 经授权的用户尝试通过附接到LAN的设备而接入LAN。例如，商业企业 可以允许外部来访者连接到该企业的LAN。当未经授权的用户或者设备使 得尝试LAN连接时，接入可以被限制，以使得仅仅特定的经过授权的用 户和/或设备才可以利用LAN提供的特定服务。也就是，当为未经授权的 用户和设备提供LAN连接时，通常会实施某些形式的网络接入控制。
802.1X协议描述了一种用于提供网络接入控制的机制，并且该协议在 2004年7月22日的IEEE P802.1X-REV/D11的"用于局域和城域网的 DRAFT标准-基于端口的接入控制(修订版)"中被描述，上述文献通过 引用以其全部内容被结合于此。IEEE 802.1X协议描述了一种基于端口的 网络接入控制，其利用了 IEEE 802.1X局域网(LAN)基础设施的物理接 入特性，以便提供一种对附接到具有点对点连接特性的LAN端口的设备 进行认证和授权并且在认证和授权处理失败的情况中防止接入该端口的方 式。802.1X协议当前假定一个端口插入单个设备，因此每个端口仅仅支持 一个请求者。


本发明是通过示例而不是通过限制来说明的。
图1示出可以实施本发明的域授权实施例的网络部分。图2A示出在图1的中间设备和接入端口之间交换的示例消息。
图2B示出根据本发明的一个实施例的用于不管设备利用了还是没有 利用认证协议都授权设备接入语音域或VLAN的处理。
图2C示出根据本发明的一个实施例的用于不管设备利用了还是没有 利用认证协议都授权设备接入数据域或VLAN的处理。
图3是示出根据本发明的一个实施例的认证过程的流程图。
图4是示出根据本发明具体实施方式
的数据结构的一个示例，该数据 结构指示每个VLAN中的一个或多个设备相对于特定接入控制端口的接入 控制。
图5示出用于基于图4的数据结构提供对多个设备的端口接入控制的 机制。
图6是示出根据本发明一个示例实施例的端口接入控制过程的流程图。
图7示出适用于实施本发明的实施例的示例交换机。
具体实施例方式
现在将对本发明的具体实施例做出详细说明。本实施例的示例是通过 结合附图示出的。虽然本发明将是结合具体实施例描述的，但是应当理 解，并不是要将本发明限制为一个实施例。相反，本发明覆盖了替代、修 改和等同物，只要它们包括在由所附权利要求定义的本发明的精神和范围 内即可。在下面的描述中，提出了许多具体细节，以提供对本发明的全面 理解。本发明可以在没有这些具体细节中的一些或全部的情况中实施。在 其他实例中，没有详细描述已知的处理操作，以便不对本发明造成不必要 的模糊。
概述
在一个实施例中，公开了一种方法。从第一设备接收不指定域的第一 非域分组。将第一认证分组发送到第一设备，以便从而尝试第一认证处 理，第一认证处理用于允许第一设备经由特定接入端口接入网络。如果第 一设备不能参与第一认证处理，则执行下面的操作(i )如果第一设备
12或者第一设备的用户被授权接入语音第一域，则形成第一设备的身份和第 一域之间的第一绑定，其中，第一绑定指定第一设备被允许接入第一域；
(ii )如果第一设备或者第一设备的用户被授权接入语音第一域并且如果 第一设备被确定为是语音型设备并且如果第一设备还不知道第一域，则形 成第一设备的身份和数据第二域之间的第二绑定，其中第二绑定指定第一
设备被允许接入第二域；(iii)如果第一设备或者第一设备的用户被授权 接入数据第二域，则形成第一设备的身份和第二域之间的第三绑定，其中 第三绑定指定第一设备被允许接入第二域；以及(iv)如果从第一设备接 收到指定第一域的第一域分组，如果存在第二绑定的话则移除第二绑定。 如果第一设备能够参与第一认证处理，则仅在对第一设备认证处理成功时 才执行操作(i )到(iii)。在其他实施例中，本发明涉及具有一个或多 个处理器以及一个或多个存储器的设备，其中这些处理器和存储器中的至 少一个适用于执行上面描述的方法操作。
具体示例实施例
总的来说，本发明的示例实施例允许授权特定设备或用户接入特定网 络以便绑定到具体域或VLAN (虚拟局域网)。当授权被绑到域时，若干 设备能够经过认证而通过网络接入设备(例如，接入交换机)的单个物理 端口 ，并且还基于他们各自的独立授权结果仅仅被给予对他们被授权接入 的一个或多个域或VLAN的接入。
在单个端口中依赖于域或VLAN的授权的技术可以以任何适当的方式 来实施，并且依赖于由特定网络接入设备正在利用的特定协议和/或应用。 图1示出可以实施本发明的域授权实施例的网络部分100。在此配置中， 两个设备被链串(chained)在一起并且其中一个设备耦合到网络设备的接 入端口 102，诸如接入交换机(未示出)。例如，端点设备或个人计算机 (PC) 106被耦合到中间设备或VoIP (基于语音的因特网协议)电话 104， VoIP电话104耦合到接入端口 102。当然，PC 106可以用作中间设 备，而不是IP电话104。 一般而言，任何类型的设备都可以用作中间设备 或端点设备。替代地，如果通过接入端口 102提供不止两个域或VLAN，或者如果设备中的一些被授权使用一些相同的域，则也可以预期到不止两 个被链串的设备。还预期到其他配置，诸如多个设备以环状、星状或者星 状总线(startbus)图案耦合，或者并行与接入端口耦合，或者一个或多个 设备使用无线端口接入。最后，虽然VoIP电话被用于说明本发明的某些
方面，但是任何适当的VoIP设备(诸如IP电话或IP调制解调器)也可以
用于实施本发明的各个实施例。
在所示出的示例中，接入端口 102被配置为确定一个或多个设备要接 入的域或VLAN，所述一个或多个设备使用了或者没有使用认证协议，所 述协议诸如是协议802.1X或者任何其他适当的认证协议。参与802.1X认 证处理的设备被称作"请求者"和"认证者"，并且这些术语的使用不意 味着将本发明的范围限制为此特定协议。请求者一般从认证者获得或尝试 获取许可，以便获取对特定网络(诸如局域网)的接入。在本发明的实施 例中，请求者可以从认证者寻求以便能够接入网络的许可，从而使设备被 授权接入特定域或VLAN。在所示出的示例中，接入端口 102可以用作认 证者，而设备104和106中的每个可被分别配置为用作获取对两个单独 VLAN (语音VLAN和数据VLAN)的接入的请求者。设备104和106中 的一个或者两者可以不兼容802.1X认证协议。如果设备不兼容802.1X认 证协议，则接入端口还可操作用于授权这样的设备获取对特定域或VLAN 的接入。例如，如果设备104和106中的一个或两者兼容802.1X，则接入 端口可以授权其中一个设备接入语音VLAN，授权其他设备接入另外的数 据VLAN。
兼容802.1X认证的设备
首先将概括描述本发明的一个示例应用，其中802.1X认证处理由设备 104和106二者来实施。在本示例中，将以高水平来描述如应用于802.1X 认证兼容设备的本发明的示例实施例，下面描述示例实施方式的协议。在 所示出的示例中，VoIP电话104可以通过实施802.1请求来向语音VLAN 1认证。在电话已经向网络认证之前或者之后，该电话还可以提供对下游 设备的"直通"连接。下游设备还可以通过实施802.1来向数据VLAN 2认证。在本示例中，端点设备106具有媒体访问控制(MAC)地址 "MAC B"，中间设备104具有MAC地址"MACA"。中间设备104向 接入端口 102认证以获取对语音VLAN 1的接入，而端点设备106向接入 端口 102认证，以获取对数据VLAN 2的接入。在中间设备104的认证期 间，可以在MACA和VLAN1之间形成绑定1，该绑定1具有绑定110的 形式。类似地，对于对端点设备106的认证，可以在MAC B和VLAN 2 之间形成绑定(绑定2， 112)。这两个绑定可以结合到一起成为访问控制 列表(ACL) 、 MAC地址表格或者指定可将绑定丢弃或转发的任何适当 的数据结构。对设备104和106 二者的认证可以由认证、授权和计费 (AAA)服务器108根据预先配置在接入端口 102中或配置在网络设备 (例如交换机)中以便端口 102可访问的网络接入策略114来进行授权。 可以任何适当的方式来实现在同一接入端口对两个不同设备进行认证 以进入两个不同VLAN。例如，请求者可以直接或者间接请求关于某个 VLAN的认证。在直接请求中，请求者发送接入具体VLAN的请求。也就 是，该请求包括指定请求设备正尝试接入的VLAN的字段。在间接请求 中，请求者不指定为其寻求授权的VLAN，并且请求者的VLAN被根据请 求者的身份(例如MAC地址)而预先配置在AAA服务器或者接入端口 中。后面的示例在请求者不在认证期间指定VLAN的当前802.1X协议的 实施例中运作良好。
图2A示出在图1的中间设备104和接入端口 102之间交换的示例消 息。在本示例中，802.1X消息在中间设备104的认证期间被交换，并且在 此交换中，接入端口 102被配置为通过接入端口来许可请求者接入VLAN 1。对于端点设备104的认证，可以发生类似的消息交换，中间设备104 在端点设备104和接入端口之间传递此消息。
消息交换一般发生在请求者端口接入实体(PAE)(例如端点设备或 中间设备)以及认证PAE (例如接入端口)之间。在这样的认证过程中应 用于802.1X分组的分组格式被称为"LAN中的可扩展认证协议 (EAP)"或者EAPOL。当然，还可以预期到其他认证格式。
在请求者和认证者之间的EAPOL消息交换中，可以由请求者或者认
15证者发起这样的交换。在本实施例中，请求者(例如中间设备104)通过
向接入端口或认证者102发送EAPOL-开始分组来发起交换。如图所示， 认证者102然后发送EAPOL-请求身份分组以获得请求者的身份。请求者 在EAPOL响应身份分组中向认证者返回请求者的身份。此外，EAPOL-请 求分组和EAPOL-响应分组可以在请求者和认证实体之间交换以对客户端 进行认证和授权。
在EAPOL消息交换期间，认证者可以以任何适当的方式来确定请求 者是否被授权接入特定VLAN。例如，接入端口 102可以被配置有指示哪 个请求设备被授权接入哪个VLAN的信息或者可以从任何适当的源得到这 样的信息。在所示出的实施例中，接入端口或认证者102向AAA服务器 108发送请求者的凭证信息，并且然后接收指示请求者/MAC A被授权接 入VLAN 1的信息。也就是，请求者的MAC地址被与VLAN匹配。当 然，与请求者相关的任何其他标识信息都可以与特定VLAN匹配。然后可 以形成请求者(例如MACA)和授权VLAN之间的绑定。相反，如果请 求者没有针对任何VLAN而被授权，则AAA服务器108可以指示请求者 没有被授权并且不形成用于请求者的绑定。
AAA服务器还可以指示请求者(或者不具有802.1X能力的设备)是 否是语音设备(例如，通过发送指定语音型设备的字符串)。当请求者是 语音设备时，还可以确定请求者是否知道其自己的语音VLAN。请求者可 以通过之前利用交换机参与发现处理(诸如CDP (思科发现协议))或 LLDP-MED (链路层发现协议-媒体端点发现的处理)来得知其自己的语音 VLAN。因此，交换机可以被配置有关于已经发现其自己的VLAN的设备 的信息。如果作为语音设备的请求者没有参与VLAN或域发现处理以确定 其语音VLAN，则在请求者知道其语音VLAN之前可以临时形成请求者和 数据VLAN 2之间的第三绑定111以便请求者使用，如在这里进一步所说 明的。当请求者不知道其VLAN时，其分组没有被贴标签并且不指定 VLAN。未贴标签的分组在默认情况下可以被发送给数据VLAN。因此， 此第三绑定111可以被语音请求者用于在数据VLAN 2中传送未贴标签的 分组(例如，与动态主机配置协议或者DHCP服务器)，以便从而确定其
16语音VLAN 1。如果请求者在认证之前已经发现其自己的语音VLAN，则 不需要创建第三绑定，因为请求者可以利用其语音VLAN 1对其分组贴标 签并且不必要使其分组不贴标签。
中间设备104还可以配置为利用802.1X多播地址将分组地址转发给端 点设备(或者链串到端点设备的任何其他设备)并且转发给中间设备的内 部管理端口。请求者设备一般可以将它们的EAPOL消息发送到802.1X多 播地址。然而，在发起EAPOL-请求身份消息之后，由请求者发送的消息 可以被发送给请求者的单播地址，因为802.1X协议可以不提供寻址计划 并且可以假定单个认证/请求者对之间的点对点连接。
非兼容802.1X认证的设备
现在将概述802.IX认证处理不是由设备104和106中的一个或二者实 施的情况。在非兼容的情况中，设备中的一个或者二者可以实施除802.1X 以外的另一认证协议，或者设备中的一个或者二者可以不实施任何类型的 认证协议。此外，特定的接入端口可以(直接或者间接地由AAA服务 器)配置为授权任何数量或类型的设备接入任何数量和类型的域或 VLAN。
参考图1， VoIP电话104和/或端点设备106可以以任何适当的顺序被 授权接入特定域或VLAN。如果VoIP电话104没有发现其自己的语音 VLAN，则在接入端口 (例如从AAA服务器)确定电话104被授权接入 VLAN 1并且设备104是语音设备之后，可以临时形成电话104和数据 VLAN 2之间的第三绑定111。第三绑定可以形成以使VOIP电话104可以 经由数据VLAN 2与一个或多个服务器(例如，动态主机配置协议 (DHCP)服务器)通信来获得其授权域或VLAN (例如VLAN 1)。接 入端口可以在电话104和语音VLAN 1之间形成第一绑定110以外形成此 第三绑定，虽然在电话104开始使用语音VLAN 1之前，对于语音VLAN 1的第一绑定110的形成可能被延迟。形成用于非兼容(以及兼容)设备 的绑定(例如110、 lll和112)可以采用任何适当的格式，诸如下面参考 图4描述的格式。
在获得其自己的VLAN (例如，语音VLAN 1)之前，VoIP电话104可以发送未贴标签的分组，未贴标签的分组不指定其尝试接入的VLAN。在某些配置中，在默认情况下，这些未贴标签的分组将被导向数据
VLAN，例如VLAN 2。在VoIP电话104获得其VLAN 1后，其然后发送指定此获得的VLAN 1的分组。当接入端口接收到来自VoIP电话104的指定语音VLAN 1的第一分组并且电话104己经被授权利用VLAN 1时，VoIP电话104和数据VLAN 2之间的第三绑定如果没有移除的话则可以被移除，并且然后可以形成对于语音VLAN 1的第一绑定。第一绑定110可以已经与第三绑定111同时形成，以使得不会对VoIP电话104使用该第一绑定IIO造成任何过渡延迟。
如果端点设备106还被确定为不与802.1X兼容并且端点设备106还被确定为被授权接入数据VLAN 1，则形成端点设备106和VLAN 1之间的第二绑定112。如上所述，在802.1X部分中，接入端口然后可以允许端点根据此第二绑定112来接入VLAN 1 。
图2B和图2C示出根据本发明的一个实施例的用于不管设备利用了还是没有利用认证协议都确定设备是否被授权接入特定域或VLAN的处理。虽然本发明的技术可以以任何适当的顺序对设备进行授权，但是在本示例中，首先在图2B中802.1X非兼容VoIP电话104被授权，并且然后在图2C中802.1X非兼容PC设备被授权。虽然可以利用任何适当的语音设备(诸如IP电话或者基于语音的IP调制解调器)，但是VoIP电话104被用于说明本发明的技术。参考图2B，在操作(1)中，VoIP电话104最初向接入端口发出未贴标签的分组，该分组被交换机阻止。例如，VoIP电话104向DHCP服务器252发送DHCP请求以获得IP地址。作为另一示例，VoIP电话104尝试发起不与802.1X兼容的认证处理。
在操作(2)中，交换机102然后尝试与VoIP电话104进行EAPOL消息交换。此外，如果电话具有802.1X能力，则使用EAPOL消息交换来执行认证，如下面参考图3描述的。此处也可以尝试802.1X以外的其他认证过程，也如进一步在图3中所描述的。如果电话不具有802.1X能力，则在操作(2)中，交换机从VoIP电话收集身份信息，诸如MAC地址。身份信息的收集可以以任何适当的方式来完成，诸如从接收自VoIP电话的未贴标签的分组中获得身份信息。在操作(3)中，交换机然后将此VoIP电话104的身份信息(例如，MAC A)传送给AAA服务器108，以确定此身份对于特定VLAN或域是否被授权。如果电话对于特定VLAN被授权，则在操作(4)中，AAA服务器108返回关于电话被授权使用哪个VLAN的信息并且还可以返回授权设备是IP电话(或语音设备)的指示。否则，AAA服务器指示设备104没有被授权接入任何VLAN或域，并且对此设备104的授权处理可以结束。
如果VoIP电话104已经被授权接入语音VLAN 1，在操作(4)中，交换机还可以添加电话和数据VLAN 2之间的绑定以及电话和语音VLANl之间的绑定。问时，在操作(5)中，例如，电话104继续发送未贴标签的流量(例如，DHCP分组)，这些流量现在被授权通过数据VLAN 1中的接入端口 102而去往DHCP服务器108。在操作(6)中，包含IP地址信息和VLAN标识符的DHCP响应被中继到电话。在操作(7)中，电话104现在可以开始利用在DHCP响应中接收的相同语音VLAN来对其分组贴标签。在操作(8)中， 一旦语音VLAN开始接收到来自授权电话的已贴标签的分组，则接入端口然后可以移除用于数据VLAN 2和电话104的绑定条目，并且还可以添加用于电话104和语音VLAN2的绑定条目。替代地，对于语音VLAN 1的绑定可以随着操作(8)中数据VLAN 1的移除而创建，而不是在操作(4)中创建语音绑定。然而，数据和语音绑定优选地一起形成，以从语音设备能够在语音VLAN中开始发送分组时为其提供无影响的过渡。否则，在语音VLAN被创建之前，可以丢弃在语音VLAN中发送的分组。
图2C示出8202.1X非兼容设备通过接入端口接入数据VLAN的授权过程。PC设备106被用于说明本发明的示例技术。然而，这些技术可以应用于利用数据VLAN的任何适当类型的设备，诸如打印机、传真设备，等等。如图所示，在操作(1)中，PC 106最初发出未贴标签的分组(例如，DHCP请求)，该分组被交换机阻止。在操作(2)中，交换机尝试与PC 106进行ECPOL消息交换。如果PC具有802.1X能力，则利用EAPOL消息交换执行认证(例如，参见图3)。如果PC丕兼容802.1X,则在操作(2)中交换机收集PC的身份信息并且然后在操作(3)中将PC的身份
信息传送给AAA服务器108，以确定该身份对于特定VLAN是否被授权。在操作(4)中，AAA服务器然后返回关于PC被授权使用哪个VLAN (如果有这样的VLAN的话)的信息。在本示例中，数据VLAN 1被返回。在操作(4)中，交换机还添加PC (例如MAC B)和数据VLAN之间的绑定条目。
当PC发送未贴标签的分组以及利用数据VLAN已贴标签的分组时，PC和数据VLAN之间的绑定对该PC起作用。因此，PC可以继续发送未贴标签的DHCP (或者其他未贴标签的分组)流量，此流量现在通过接入端口进入数据VLAN 2而去往DHCP服务器。PC还可以将指定数据VLAN 2的已贴标签分组发送到相同的数据VLAN 2 (例如，在PC从DHCP服务器获得VLAN 1之后)。
图3是示出根据本发明的一个实施例的认证过程300的流程图。此认证过程300可以重复用于任何数量的请求者，并且也可以重复用于同一个请求者。也就是，接入端口可以配置为定期对每个授权设备进行再次认证。参考图3，在操作302中，发起对特定请求者的认证。认证者或者接入控制端口或者请求者可发起此处理。例如，当设备耦合到接入端口并且被使能时，被使能的设备可以向接入控制端口通知其被使能。响应于此使能，认证者可以通过发送例如EAPOL请求身份分组来发起认证处理。此外，可以在设备发送未贴标签的分组并且接入端口尝试EAPOL消息交换之后发起图3的过程300，其中，EAPOL消息交换之后可以被设备响应。替代地，新使能的设备在启动或者被使能(例如，通过发送EAPOL-开始)后可以发起802.1认证。如果设备不兼容802.1X,则替代的认证处理可以改为发起与请求者交换任何适当类型的凭证。
然后在操作304中确定请求者是否被授权接入特定VLAN。例如，认证者从AAA服务器获得指示请求者对于特定VLAN是否被授权的信息。在AAA服务器(或者接入控制端口)被预先配置的一个示例中，IP电话设备被与语音VLAN进行匹配，同时PC设备被与数据VLAN进行匹配。如果请求者对于特定VLAN没有被授权，则认证过程可以结束。替代地，可以提前阻止请求者通过接入端口接入所有可利用的VLAN。在一个实施
例中，接入端口被预先配置为阻止所有设备接入或进入所有VLAN，直到 特定请求者经过认证为止。
当确定特定请求者对于特定VLAN已经被授权，还在操作306中确定 对当前请求者的认证是否成功。例如，除了针对特定VLAN对请求者进行 授权以外，认证者还执行任何适当的认证或者凭证有效确认过程，诸如口 令或证书验证。当然，可以在所有其他凭证已经经过认证或者在对其他凭 证进行认证期间或者之后的任意点发生请求者对某个VLAN的认证。如果 认证不成功，则过程可以结束。
如果认证成功，可以在操作308中形成请求者的身份和授权VLAN之 间的绑定。然后，可以在操作312中确定请求者是否是语音设备以及是否 知道语音VLAN。可以以任何适当的方式确定请求者是否是语音设备，例 如，通过从AAA服务器接收的指示特定设备是否是语音设备的信息。设 备可以以任何适当的方式获得其授权VLAN，例如设备可以配置有其授权 VLAN或者经由协议CDP (思科发现协议)或LLDP-MED (链路层发现 协议-媒体端点发现)来配置。当例如在设备和交换机之间发生发现处理 时，关于哪些设备已经被执行发现的信息被保留并可被交换机访问。因 此，交换机然后可以通过评估发现信息是否被维护用于请求者来确定请求 者知道其语音VLAN。当请求者是语音设备并且不知道其语音VLAN时， 还在操作314中形成此请求者的身份和数据VLAN (例如VLAN 2)之间 的绑定。否则，跳过该操作。在操作310中，授权指示符然后被与这样的 一个或多个绑定相关联，之后过程结束。任何类型的关联结构都可用于指 示特定认证请求者现在被授权通过特定接入控制端口接入特定VLAN。图 4示出根据本发明的具体实施方式
的用于指示每个VLAN中的一个或多个 设备相对于特定接入控制端口的接入控制的数据结构的一个示例。此数据 结构用于过滤进入分组，以使得特定设备能够接入指定VLAN，同时阻止 其它进入分组。这样的数据结构可以以任何适当的方式来实现，例如通过 软件或硬件实现，诸如三进制CAM (内容可寻址存储器)或者TCAM， 或者MAC地址表格。
21如每个条目所示，图4的数据结构包括条目标识符402、端口标识符 404、源MAC地址406、 VLAN标识符408以及动作410，动作410指定 要对具有指定的MAC地址和VLAN的分组执行的动作。在图4的示例 中，用于端口 1的"N"指定的条目可以指定由任意VLAN的任意MAC 地址标识的任意进入分组被丢弃。在图1、 2和5中的中间设备和端点设 备进行认证以便分别接入VLAN 1和2之后，条目N-l被创建用于端口 1，指定具有MAC A的设备被允许接入VALN。类似地，条目N-2被创建 用于端口l，指定具有MACB的设备被允许接入VLAN2。
可能存在这样的情形在特定设备经过认证之前，来自该设备的分组 已经被交换机处理。例如，当设备不兼容802.1X时，交换机可能在发现 处理期间或者当非兼容设备向交换机发送未贴标签的分组时从非兼容设备 收集凭证信息(例如，MAC地址)。这样，来自这样的设备的分组将不 会被丢弃，而是被发送给交换机中的处理以便针对此设备收集凭证和发起 认证。 一旦交换机已经从设备收集到凭证信息，诸如设备的MAC地址， 则在形成用于此设备的绑定之前可以丢弃该设备的分组。
图5示出用于基于图4的数据结构提供对多个设备的端口接入控制的 机制。图6是示出根据本发明的一个示例实施例的端口接入控制过程的流 程图，并且图5和图6将被一起描述来阐明本发明的实施例。首先，在操 作602中，接入控制端口 (诸如端口 102)接收进入分组。也就是，设备 (诸如中间设备104或端点设备106)正尝试通过接入端口 102接入 VLAN。例如，IP电话104或PC 106可以尝试通过接入端口 12与VLAN 中的另一 IP电话或PC通信。
进入分组中的一些包含包括分组要被运送到哪个VLAN的标签(例 如，802.1Q)，同时其它分组将保留未贴标签。虽然在这里使用802.1P/Q 作为示例标签解决方案，但是，分组可以被贴标签以指定使用任何适当协 议的VLAN。在所示出的示例中，端点设备(诸如PC)可以不知道 802.1P/Q标签。然而，此标签允许网络基础设施为通过网络的不同类型的 流量路由和提供质量服务(QoS)。因此，端点设备可以发送未贴标签的 分组。交换机或网络设备的接入端口 (接收这些未贴标签的分组)然后可以添加802.1P/Q标签。此添加的标签包括用于接收分组的端口的本地
VALN。通常，可以利用本地VLAN来以逐个端口的方式配置交换机。在 特定端口接收的任何未贴标签的分组然后可以被贴标签以包括此接收端口 的本地VLAN。
参考图6，在接收到进入分组之后，在操作604中，可以确定分组是 否指定了该分组要被运动到哪个VLAN (例如，在802.1P/Q标签中)。设 备可以以任何适当的方式来获取其授权VLAN，例如设备可以被配置有其 授权VLAN或者通过协议CDP (思科发现协议)或LLDP-MED (链路层 发现协议-媒体端点发现)来配置。如果在分组中没有指定VLAN，则在操 作610中，具有本地VLAN的标签可以被添加到所接收的分组中。如果 VLAN被指定或者标签被添加，则然后可以在操作606中确定是否存在被 识别用于分组的源(例如发送设备的MAC地址)和VLAN的绑定匹配。 如果发现绑定匹配，然后在操作607中确定该匹配的绑定是否与授权指示 符相关联。如果不存在绑定匹配或者发现绑定匹配不具有授权指示符，则 在操作612中阻止分组接入在分组中指定的VLAN。结果，分组被阻止接 入与接入端口相关联的任何网络。否则，在操作608中，分组被允许仅仅 接入在分组中指定的VLAN。如果分组的VLAN是语音分组并且存在用于 此分组的发送者的数据VLAN绑定，则在操作614中移除数据VLAN。可 以针对正尝试进入接入端口的VLAN的任何数量的接收分组重复过程 600。
在图5的示例中，接入端口与MAC A和VLAN 1之间的绑定110以 及MAC B和VLAN 2之间的绑定2相关联。具有这样的绑定或ACL布 置，仅仅来自中间设备(MAC A)的指定VLAN 1的分组(例如，VoIP 分组)被允许接入VLAN 1。相反，来自中间设备(MAC A)的指定不同 VLAN (例如，VLAN 2或VLAN n)或者来自中间设备(MAC B)的指 定VLAN 2以外的VLAN (例如VLAN n)的分组被阻止。来自中间设备 (MAC B)的指定VLAN 1的分组也被阻止。
类似地，仅仅来自设备106 (MAC B)的指定VLAN 2的分组被允许 接入VLAN 2。相反，来自端点设备106 (MACB)的指定不同VLAN(例如VLAN 1或VLAN n)或者来自端点设备104 (MAC A)的指定 VLAN 1以外的VLAN (例如VLAN n)的分组被阻止，并且来自中间设 备104 (MAC A)的指定VLAN 2的分组也被阻止。
在两种情况中，来自端点设备104 (MAC A)的未贴标签的分组(例 如，如果设备不支持802.1X)也被阻止接入VLAN 1和2。然而，当 VLAN2被配置作为接入端口的相关联本地VLAN时(如图所示)，来自 端点设备106 (MAC B)的未贴标签的分组将被接受并置于VLAN 2中。 另外，在临时形成中间电话设备104和数据VLAN 2之间的绑定期间，来 自电话104的未贴标签的分组被运送到数据VLAN 2中。
一般而言，用于实施本发明的技术可以在软件和/或硬件中实现。例 如，这些技术可以在操作系统核心中、在独立的用户处理中、在绑定到网 络应用的图书馆分组中、在特殊构建的机器中或者在网络接口卡中实施。 在本发明的具体实施例中，本发明的技术以诸如操作系统的软件或者以运 行操作系统的应用来实现。
本发明的软件或者软件/硬件混合的分组处理系统优选地在通用可编程 机器中执行，此通用可编程机器由存储在存储器中的计算机程序有选择地 激活或者重新配置。这样的可编程机器可以是涉及用于处理网络流量的网 络设备。这样的网络设备通常具有多个网络接口，这些网络接口例如包括 帧中继和ISDN接口。这样的网络设备的具体示例包括路由器和交换机。 例如，本发明的认证系统可以被具体配置为诸如可从加利福尼亚州的圣何 塞的思科系统公司得到的Catalyst 6500、 4900、 4500、 3750、 3560或者 Express 500系列的交换机。下面给出的描述将呈现出这些机器中的一些的 一般结构。在替代实施例中，系统可以在诸如个人计算机或工作台之类的 通用网络主机中实现。此外，本发明可以至少部分地在用于网络设备或者 通用计算设备的卡(例如，接口卡)中实现。
现在参考图7，适用于实施本发明的实施例的交换机IO包括主中央处 理单元(CPU) 62、接口 68和总线15 (例如，PCI总线)。当在适当的 软件或固件的控制下动作时，CPU 62负责诸如交换和/或路由计算和网络 管理的任务。优选地，在包括操作系统(例如，思科系统公司的因特网操作系统(IOS ))的软件的控制下完成所有这些功能。CPU 62可以包括
一个或多个处理器，诸如来自Motorola族微处理器或MIPS族微处理器的 处理器。在替代实施例中，处理器63被具体设计为用于控制交换机10的 操作的硬件。在具体实施例中，存储器61 (诸如非易失性RAM和/或 ROM)还形成CPU 62的部分。然而，存在许多不同的存储器被耦合到系 统的方式。存储器块61可用于各种用途，诸如，创建和/或存储数据、对 指令进行编程，等等。
接口 68通常被提供作为接口卡(有时被称为"线路卡")。 一般而 言，它们控制在网络中发送和接收分组或分组段，并且有时与交换机10 一起支持所使用的其它外围设备。在这些接口中，它们可以被提供为以太 网接口、帧中继接口、线缆接口、 DSL接口、标记环接口，等等。另外， 可以提供各种非常高速的接口，诸如快速以太网接口、吉比特以太网接 口、 ATM接口、 HSSI接口、 POS接口、 FDDI接口，等等。 一般而言，这 些接口可以包括适用于与适当介质通信的端口。在一些情况中，它们还可 以包括独立的处理器，并且在一些场合中包括易失性RAM。独立的处理 器可以控制诸如分组交换和/或路由。媒体控制和管理之类的通信增强任 务。通过提供用于通信增强任务的单独的处理器，这些接口使得主微处理 器62能够有效地执行交换和/或路由计算、网络诊断、安全功能，等等。
虽然在图7中所示地系统是本发明的一个具体交换机，但并不意味着 其是可以实现本发明的唯一的交换机结构。例如，常常使用具有单个处理 器的结构，单个处理器用于处理计算以及交换和/或路由计算等。此外，其 它类型的接口和介质也可以与此交换机一起使用。
不管网络设备的配置如何，其可以采用一个或多个存储器或者存储器 模块(例如，存储器块65)，这些存储器或存储器模块被配置用于存储用 于通用网络操作和/或这里所述的创造性技术的数据、程序指令。程序指令 例如可以控制操作系统和/或一个或多个应用的操作。存储器或多个存储器 还可以配置用于存储VSAN信息、ACL信息、设备是否是VoIP电话的指 示符等。
因为这样的信息和程序指令可以被用来执行这里所述的系统/方法，所以本发明涉及包括程序指令、状态信息等的机器可读介质以便执行这里所
述的各种操作。机器可读介质包括但不限于诸如硬盘、软盘和磁带的磁介 质；诸如CD-ROM盘和DVD的光介质；诸如可光读盘的磁光介质；以及 具体配置用于存储和执行程序指令的硬件设备，诸如只读存储器设备
(ROM)和随机存取存储器(RAM)。本发明还用在在适当介质(诸如 无线电波、光缆线路、电线等)中传播的载波中。程序指令的示例既包括 机器代码(由编译器产生的)，也包括包含由计算机利用翻译器执行的较 高级代码的文件。
本发明的特定实施例在保持安全机制的同时能够使得不止一个设备通 过单个物理接入控制端口进行网络接入(例如LAN接入)。可以基于每 个VLAN或域的方式对设备进行授权。因此，可以通过单个端口基于每个 VLAN或域的方式实现过滤。此外，本发明的实施例不依赖于设备正在执 行的用于获取对域的接入的特定协议(诸如802.1X或CDP或LLDP-MED)。然而，当设备执行802.1X时，802.1X认证处理可以与基于域的 授权处理结合在一起。此外，可以以任何顺序产生多个设备的授权，例 如，中间设备不必在端点设备之前被授权。
本发明的实施例还可以确保现有特征，诸如Guest-VLAN和Auth-Fail VLAN继续被支持用于数据设备，语音设备继续被认证。Guest-VLAN被 用于认证失败的不具有802.1X能力的设备，结果端口被移动到Guest-VLAN 中，Guest-VLAN对于主机来说是网络的猜忌用户的安全子集。 Guest-VLAN可以继续得到支持。Auth-Fail VLAN被用于认证失败的具有 802.1X能力的设备，类似于Guest-VLAN。
虽然为了清楚理解的目的在前面稍微详细地描述了本发明，但是很明 显在所附权利要求地范围内可以实行某些改变和修改。例如，虽然认证被 表述为授权单个设备接入单个域，但是单个设备可以被授权接入多个不同 地域或者多个设备可以被授权接入相同的域。因此，本发明的实施例被认 为是说明性而非限制性的，并且本发明不限于这里给出的具体细节，而是 可以在所附权利要求的等同物的范围内进行修改。
权利要求
1.一种方法，包括从第一设备接收不指定域的第一非域分组，其中，所述第一非域分组包括与所述第一设备相关联的标识符；将第一认证分组发送给所述第一设备，从而尝试第一认证处理，所述第一认证处理允许所述第一设备经由网络设备的特定接入端口接入网络；如果确定所述第一设备不能参与所述第一认证处理，则执行下面的操作(i)如果所述第一设备或者所述第一设备的用户被授权接入分配用于语音的第一域，则形成所述第一设备的身份和所述第一域之间的第一绑定，其中，所述第一绑定指定所述第一设备被允许接入所述第一域，并且所述第一绑定与所述网络设备的所述特定接入端口相关联；(ii)如果所述第一设备或者所述第一设备的用户被授权接入分配用于语音的所述第一域并且如果所述第一设备被确定为是语音型设备并且如果所述第一设备还不知道所述第一域，则形成所述第一设备的身份和分配用于数据的第二域之间的第二绑定，其中所述第二绑定指定所述第一设备被允许接入所述第二域，并且所述第二绑定与所述网络设备的所述特定接入端口相关联；(iii)如果所述第一设备或者所述第一设备的用户被授权接入分配用于数据的所述第二域，则形成所述第一设备的身份和所述第二域之间的第三绑定，其中所述第三绑定指定所述第一设备被允许接入所述第二域，并且所述第三绑定与所述网络设备的所述特定接入端口相关联；以及(iv)如果从所述第一设备接收到指定所述第一域的第一域分组，那么如果存在所述第二绑定的话则移除所述第二绑定；以及如果确定所述第一设备能够参与所述第一认证处理，则仅在对所述第一设备的认证处理成功的情况下才执行操作(i)到(iii)。
2.根据权利要求1所述的方法，还包括通过以下操作来确定所述第一设备是否是语音设备收集来自所述第一设备的标识符，将所述第一设备的标识符发送给授权服务器，并且响应于所述第一设备的标识符从所述授 权服务器接收关于所述第一设备是否是语音型设备的指示。
3. 根据权利要求1所述的方法，其中，所述认证处理使用802.1X协议。
4. 根据权利要求2所述的方法，还包括响应于将所述第一设备的标识 符发送给所述授权服务器，从所述授权服务器接收关于所述第一设备被授 权接入哪个域的指示。
5. 根据权利要求1所述的方法，还包括如果接收到正尝试进入所述第一域的第一域分组并且如果存在所述第 一绑定的话所述第一域分组与所述第一绑定相匹配，则允许所述第一域分组接入所述第一域；如果接收到正尝试进入所述第一域的第一域分组，但是所述第一域分 组与所述第一绑定不匹配或者不存在所述第一绑定，则阻止所述第一域分 组接入所述第一域；如果接收到正尝试进入所述第二域的第一域分组并且如果存在所述第 二绑定或所述第三绑定的话所述第一域分组与所述第二绑定或所述第三绑 定相匹配，则允许所述第一域分组接入所述第二域；以及如果接收到正尝试进入所述第二域的第一域分组，但是所述第一域分 组与所述第二绑定或所述第三绑定不匹配或者不存在所述第二绑定或所述 第三绑定，则阻止所述第一域分组接入所述第二域。
6. 根据权利要求1所述的方法，还包括从第二设备接收不指定域的第二非域分组，其中，所述第二非域分组 包括与所述第二设备相关联的标识符；将第二认证分组发送给所述第二设备，从而尝试第二认证处理，所述 第二认证处理允许所述第二设备经由所述网络设备的所述特定接入端口而 接入网络；如果确定所述第二设备不能参与所述第二认证处理，则执行下面的操作(v)如果所述第二设备或者所述第二设备的用户被授权接入分配用于语音的所述第一域，则形成所述第二设备的身份和所述第一域之间的第 四绑定，其中，所述第四绑定指定所述第二设备被允许接入所述第一域， 并且所述第四绑定与所述网络设备的所述特定接入端口相关联；(Vi )如果所述第二设备或者所述第二设备的用户被授权接入分配用 于语音的所述第一域并且如果所述第二设备被确定为是语音型设备并且如 果所述第二设备还不知道所述第一域，则形成所述第二设备的身份和分配 用于数据的所述第二域之间的第五绑定，其中所述第五绑定指定所述第二 设备被允许接入所述第二域，并且所述第五绑定与所述网络设备的所述特 定接入端口相关联；(vii) 如果所述第二设备或者所述第二设备的用户被授权接入分配用 于数据的所述第二域，则形成所述第二设备的身份和所述第二域之间的第 六绑定，其中所述第六绑定指定所述第二设备被允许接入所述第二域，并 且所述第六绑定与所述网络设备的所述特定接入端口相关联；以及(viii) 如果从所述第二设备接收到指定所述第一域的第二域分组，那 么如果存在所述第五绑定的话则移除所述第五绑定；以及如果确定所述第二设备能够参与所述第二认证处理，则仅在对所述第 二设备的所述第二认证处理成功的情况下才执行操作(v)到(viii)。
7. 根据权利要求6所述的方法，其中，所述操作(i )至ij (iii)与所 述操作(v)到(viii)基本是并行执行的。
8. 根据权利要求6所述的方法，其中，所述操作(i )到(iii)是在 所述操作(v)到(viii)之前或之后执行的。
9. 根据权利要求6所述的方法，其中，所述第二认证处理使用802.1X 协议。
10. 根据权利要求6所述的方法，还包括如果接收到正尝试进入所述第一域的第二域分组并且如果存在所述第 四绑定的话所述第二域分组与所述第四绑定相匹配，则允许所述第二域分 组接入所述第一域；如果接收到正尝试进入所述第一域的第二域分组，但是所述第二域分 组与所述第四绑定不匹配或者不存在所述第四绑定，则阻止所述第二域分组接入所述第一域；如果接收到正尝试进入所述第二域的第二域分组并且如果存在所述第 五绑定或所述第六绑定的话所述第二域分组与所述第五绑定或所述第六绑 定相匹配，则允许所述第二域分组接入所述第二域；以及如果接收到正尝试进入所述第二域的第二域分组，但是所述第二域分 组与所述第五绑定或所述第六绑定不匹配或者不存在所述第五绑定或所述 第六绑定，则阻止所述第二域分组接入所述第二域。
11. 根据权利要求l所述的方法，其中，所述第一域是第一虛拟局域网 (VLAN)，所述第二域是第二VLAN。
12. 根据权利要求6所述的方法，其中，所述第一设备以链串布置的方 式耦合到所述特定接入端口和所述第二设备，并且其中，所述第二设备经 由所述第一设备与所述特定接入端口通信。
13. 根据权利要求1所述的方法，其中，当正在利用所述第一设备的未 经授权的用户被确定授权接入所述第一域时，所述第一设备被授权接入所 述第一域。
14. 根据权利要求1所述的方法，还包括阻止任何设备接入没有由指定 接入特定域的任何绑定所指定的任何域。
15. —种设备，包括一个或多个处理器；一个或多个存储器，其中，所述处理器和所述存储器中的至少一个适 用于从第一设备接收不指定域的第一非域分组，其中，所述第一非域分组包括与所述第一设备相关联的标识符；将第一认证分组发送给所述第一设备，从而尝试第一认证处理，所述 第一认证处理允许所述第一设备经由网络设备的特定接入端口而接入网 络；如果确定所述第一设备不能参与所述第一认证处理，则执行下面的操作(i)如果所述第一设备或者所述第一设备的用户被授权接入分配用于语音的第一域，则形成所述第一设备的身份和所述第一域之间的第一绑 定，其中，所述第一绑定指定所述第一设备被允许接入所述第一域，并且 所述第一绑定与所述网络设备的所述特定接入端口相关联；(ii) 如果所述第一设备或者所述第一设备的用户被授权接入分配用 于语音的所述第一域并且如果所述第一设备被确定为是语音型设备并且如 果所述第一设备还不知道所述第一域，则形成所述第一设备的身份和分配 用于数据的第二域之间的第二绑定，其中所述第二绑定指定所述第一设备 被允许接入所述第二域，并且所述第二绑定与所述网络设备的所述特定接入端口相关联；(iii) 如果所述第一设备或者所述第一设备的用户被授权接入分配用 于数据的所述第二域，则形成所述第一设备的身份和所述第二域之间的第 三绑定，其中所述第三绑定指定所述第一设备被允许接入所述第二域，并 且所述第三绑定与所述网络设备的所述特定接入端口相关联；以及(iv) 如果从所述第一设备接收到指定所述第一域的第一域分组，那 么如果存在所述第二绑定的话则移除所述第二绑定；以及如果确定所述第一设备能够参与所述第一认证处理，则仅在对所述第 一设备的认证处理成功的情况下才执行操作(i )到(iii)。
16. 根据权利要求15所述的设备，其中，所述处理器和所述存储器中 的至少一个还适用于通过以下操作来确定所述第一设备是否是语音设备收集来自所述第一设备的标识符，将所述第一设备的标识符发送给授权服 务器，并且响应于所述第一设备的标识符从所述授权服务器接收关于所述 第一设备是否是语音型设备的指示。
17. 根据权利要求15所述的设备，其中，所述认证处理使用802.1X协议。
18. 根据权利要求17所述的方法，其中，所述处理器和所述存储器中 的至少一个还适用于响应于将所述第一设备的MAC地址发送给所述授权 服务器，从所述授权服务器接收关于所述第一设备被授权接入哪个域的指 示。
19. 根据权利要求15所述的设备，其中，所述处理器和所述存储器中的至少一个还适用于如果接收到正尝试进入所述第一域的第一域分组并且如果存在所述第 一绑定的话所述第一域分组与所述第一绑定相匹配，则允许所述第一域分 组接入所述第一域；如果接收到正尝试进入所述第一域的第一域分组，但是所述第一域分 组与所述第一绑定不匹配或者不存在所述第一绑定，则阻止所述第一域分 组接入所述第一域；如果接收到正尝试进入所述第二域的第一域分组并且如果存在所述第 二绑定或所述第三绑定的话所述第一域分组与所述第二绑定或所述第三绑 定相匹配，则允许所述第一域分组接入所述第二域；以及如果接收到正尝试进入所述第二域的第一域分组，但是所述第一域分组与所述第二绑定或所述第三绑定不匹配或者不存在所述第二绑定或所述第三绑定，则阻止所述第一域分组接入所述第二域。
20.根据权利要求15所述的设备，其中，所述处理器和所述存储器中 的至少一个还适用于从第二设备接收不指定域的第二非域分组，其中，所述第二非域分组 包括与所述第二设备相关联的标识符；将第二认证分组发送给所述第二设备，从而尝试第二认证处理，所述 第二认证处理允许所述第二设备经由所述网络设备的所述特定接入端口而 接入网络；如果确定所述第二设备不能参与所述第二认证处理，则执行下面的操作(V )如果所述第二设备或者所述第二设备的用户被授权接入分配用 于语音的所述第一域，则形成所述第二设备的身份和所述第一域之间的第 四绑定，其中，所述第四绑定指定所述第二设备被允许接入所述第一域， 并且所述第四绑定与所述网络设备的所述特定接入端口相关联；(vi)如果所述第二设备或者所述第二设备的用户被授权接入分配用 于语音的所述第一域并且如果所述第二设备被确定为是语音型设备并且如 果所述第二设备还不知道所述第一域，则形成所述第二设备的身份和分配用于数据的所述第二域之间的第五绑定，其中所述第五绑定指定所述第二 设备被允许接入所述第二域，并且所述第五绑定与所述网络设备的所述特 定接入端口相关联；(Vii)如果所述第二设备或者所述第二设备的用户被授权接入分配用 于数据的所述第二域，则形成所述第二设备的身份和所述第二域之间的第 六绑定，其中所述第六绑定指定所述第二设备被允许接入所述第二域，并 且所述第六绑定与所述网络设备的所述特定接入端口相关联；以及(Viii)如果从所述第二设备接收到指定所述第一域的第二域分组，那 么如果存在所述第五绑定的话则移除所述第五绑定；以及如果确定所述第二设备能够参与所述第二认证处理，则仅在对所述第 二设备的所述第二认证处理成功的情况下才执行操作(V)到(Vl)。
21. 根据权利要求20所述的设备，其中，所述操作(i )到(iii)与 所述操作(v)到(viii)基本是并行执行的。
22. 根据权利要求20所述的设备，其中，所述第二认证处理使用 802.1X协议。
23. 根据权利要求20所述的设备，其中，所述处理器和所述存储器中 的至少一个还适用于如果接收到正尝试进入所述第一域的第二域分组并且如果存在所述第 四绑定的话所述第二域分组与所述第四绑定相匹配，则允许所述第二域分 组接入所述第一域；如果接收到正尝试进入所述第一域的第二域分组，但是所述第二域分 组与所述第四绑定不匹配或者不存在所述第四绑定，则阻止所述第二域分 组接入所述第一域；如果接收到正尝试进入所述第二域的第二域分组并且如果存在所述第 五绑定或所述第六绑定的话所述第二域分组与所述第五绑定或所述第六绑 定相匹配，则允许所述第二域分组接入所述第二域；以及如果接收到正尝试进入所述第二域的第二域分组，但是所述第二域分 组与所述第五绑定或所述第六绑定不匹配或者不存在所述第五绑定或所述 第六绑定，则阻止所述第二域分组接入所述第二域。
24. 根据权利要求15所述的设备，其中，所述第一域是第一虚拟局域网(VLAN)，所述第二域是第二VLAN。
25. 根据权利要求20所述的设备，其中，所述第一设备以链串布置的 方式耦合到所述特定接入端口和所述第二设备，并且其中，所述第二设备 经由所述第一设备与所述特定接入端口通信。
26. 根据权利要求15所述的设备，其中，当正在利用所述第一设备的 未经授权的用户被确定授权接入所述第一域时，所述第一设备被授权接入 所述第一域。
27. 根据权利要求15所述的设备，其中，所述处理器和所述存储器中 的至少一个还适用于阻止任何设备接入没有由指定接入特定域的任何绑定 所指定的任何域。
28. —种设备，包括用于从第一设备接收不指定域的第一非域分组的装置，其中，所述第 一非域分组包括与所述第一设备相关联的标识符；用于将第一认证分组发送给所述第一设备，从而尝试第一认证处理的 装置，所述第一认证处理允许所述第一设备经由网络设备的特定接入端口 而接入网络；用于如果确定所述第一设备不能参与所述第一认证处理，则执行下面 的操作的装置(i)如果所述第一设备或者所述第一设备的用户被授权接入分配用 于语音的第一域，则形成所述第一设备的身份和所述第一域之间的第一绑 定，其中，所述第一绑定指定所述第一设备被允许接入所述第一域，并且 所述第一绑定与所述网络设备的所述特定接入端口相关联；(ii )如果所述第一设备或者所述第一设备的用户被授权接入分配用 于语音的所述第一域并且如果所述第一设备被确定为是语音型设备并且如 果所述第一设备还不知道所述第一域，则形成所述第一设备的身份和分配 用于数据的第二域之间的第二绑定，其中所述第二绑定指定所述第一设备 被允许接入所述第二域，并且所述第二绑定与所述网络设备的所述特定接 入端口相关联；如果所述第一设备或者所述第一设备的用户被授权接入分配用 于数据的所述第二域，则形成所述第一设备的身份和所述第二域之间的第 三绑定，其中所述第三绑定指定所述第一设备被允许接入所述第二域，并 且所述第三绑定与所述网络设备的所述特定接入端口相关联；以及(iv)如果从所述第一设备接收到指定所述第一域的第一域分组，那 么如果存在所述第二绑定的话则移除所述第二绑定；以及用于只有在对所述第一设备的认证处理成功的情况下才执行操作(i )至'J (iii)的装置。
全文摘要
在一个实施例中，公开了一种方法。从第一设备接收不指定域的第一非域分组。将第一认证分组发送到第一设备，从而尝试第一认证处理，第一认证处理用于允许第一设备经由特定接入端口接入网络。如果第一设备不能参与第一认证处理，则执行下面的操作(i)如果第一设备或者第一设备的用户被授权接入语音第一域，则形成第一设备的身份和第一域之间的第一绑定，其中，第一绑定指定第一设备被允许接入第一域；(ii)如果第一设备或者第一设备的用户被授权接入语音第一域并且如果第一设备被确定为是语音型设备并且如果第一设备还不知道第一域，则形成第一设备的身份和数据第二域之间的第二绑定，其中第二绑定指定第一设备被允许接入第二域；(iii)如果第一设备或者第一设备的用户被授权接入数据第二域，则形成第一设备的身份和第二域之间的第三绑定，其中第三绑定指定第一设备被允许接入第二域；以及(iv)如果从第一设备接收到指定第一域的第一域分组，那么如果存在第二绑定的话则移除第二绑定。如果第一设备能够参与第一认证处理，则仅在对第一设备的认证处理成功的情况下才执行操作(i)到(iii)。
文档编号H04L29/06GK101518023SQ200780035086
公开日2009年8月26日 申请日期2007年10月25日 优先权日2006年10月26日
发明者曼迪普·罗海拉, 阿姆罗·A·尤尼斯 申请人:思科技术公司