基于报文转发的nat路由器接入802.1x认证网络新方法

文档序号:7763048阅读:518来源:国知局
专利名称:基于报文转发的nat路由器接入802.1x认证网络新方法
技术领域
本发明涉及计算机网络通信领域,特别是指一种基于报文转发的NAT路由器接入 802. IX认证网络新方法。
背景技术
宽带城域网和园区网广泛采用了 802. 1X(基于端口的网络访问控制)认证协议, 对网络用户进行接入控制,以提升网络安全性,便于网络管理。如图1所示,802. Ix认证体系包括三部分恳求者系统(Supplicant System)、认 证系统(AuthenticatorSystem)禾口认证月艮务器系统(Authentication Server System)。其 中的恳求者PAE(端口访问实体)和认证者PAE,也就是用户主机的802. IX认证客户端和交 换机的认证模块,它们使用EAPOL协议(以太网帧类型为0x888e)报文交互完成认证过程。802. IX通常与DHCP (动态主机配置协议)相结合,以实现IP地址自动分配,减少 网络管理员的工作负担。按照802. IX标准,只有通过了认证授权,受控端口才能打开,才能 触发DHCP客户端获取网络配置。如图2所示,典型的认证流程叙述如下用户主机的网卡连接认证交换机端口,主机上安装了 802. IX认证客户端,以及 DHCP客户端。一、认证过程1,802. IX客户端向认证交换机发送EAPOL-Start报文,开始802. IX认证;2、认证交换机向用户主机发送EAP-Request/Identity报文,请求用户名;3,802. IX客户端向认征交换机发送EAP-Response/Identity报文,其中包含用户 名;4、认证交换机向用户主机发送EAP-Request/MD5-ChalIenge报文,请求密码;5,802. IX客户端向认证交换机发送EAP-Response/MD5-Challenge报文,其中包 含密码;6、认证通过,认证交换机向用户主机发送ΕΑΡ-Success报文;二、DHCP分配过程此时受控端口被打开,可以传送DHCP报文。1、DHCP客户端广播DHCP-Discover报文,请求DHCP服务;2、DHCP服务器向用户主机发送DHCP-Offer报文,提供可用网络地址;3、DHCP客户端向DHCP服务器发送DHCP-Request报文,申请网络地址;4、DHCP服务器向用户主机发送DHCP-ACK报文,确认网络地址分配;5, DHCP客户端为网络端口配置网络参数;6、用户主机的802. IX客户端提示成功接入网络。三、在线保持此时用户主机通过认证,已经接入网络,认证交换机与用户主机之 间定期进行在线确认。1、认证交换机向用户主机发送EAP-Request/Identity报文;2,802. IX客户端向认证交换机发送EAP-Response/Identity报文。
四、DHCP续租此时用户主机地址租约过期,请求续约。1、DHCP客户端向DHCP服务器发送DHCP-Request报文;2、DHCP服务器同意续租,向用户主机发送DHCP-ACK报文;3、DHCP客户端续租成功。五、断开网络此时用户主机准备断开网络服务。1、DHCP客户端向DHCP服务器发送DHCP-Release报文,释放IP地址;2、802. IX客户端向认证交换机发送EAPOL-Logof f报文;3、认证交换机向用户主机发送ΕΑΡ-Failure报文;4、用户主机的802. IX客户端提示下线成功。熟悉了如上的IEEE 802. IX认证流程之后,便可以为NAT路由器设计802. IX客户 端程序,让它作为用户主机接入要求802. IX认证的网络。如图3所示,NAT路由器使用网 络地址转换技术,把多个内部IP地址转换为一个外部IP地址,在IP地址有限的情况下可 为多台主机提供网络服务。然而,并非所有网络设备都完全符合IEEE 802. IX标准。为了满足更多需求,网络 设备厂商通常在802. IX标准协议的基础上进行了扩展。当然,这些扩展协议仍然保持标准 已定义的特征,比如认证报文部是EAPOL类型以太网巾贞,EAPOL-Start报文发起认证请求, ΕΑΡ-Failure报文表示认证失败。他们的扩展方法,主要是在认证报文末端附加客户端版本 信息、主机网络配置信息,或者自行设计未定义EAP类型的在线保持报文。这实质上是对终 端用户的认征客户端、MAC地址、IP配置信息进行了绑定。因此,用户只有在主机上安装了 专用客户端程序,设置了正确的网络配置信息,才能接入网络。在NAT路由器上安装各种专用认证客户端显然是不可行的,因为NAT路由器通常 是嵌入式设备,与普通桌面计算机系统有很大差异。

发明内容
因此,本发明就是针对上述问题而提出的,其目的是提供一种使NAT路由器利用 内网主机的认证客户端,兼容各种802. IX扩展协议,通过接入认证,并进行NAT网络扩展的方法。本发明整体架构如图4所示,包括如下步骤—、设计802. IX报文转发模块解决NAT路由器缺少专用认证客户端的问题。本发明包含一个802. IX报文转发模块,如图5所示,通过转发内网主机的EAPOL 报文,使NAT路由器具备一个PAE,通过802. IX认证。802. IX报文转发模块的功能是把内网的EAPOL报文转发到外网,把外网的EAPOL 报文转发到内网。它的激活条件,在IP地址和配置信息静态分配的情况下,是匹配外网端 口 MAC地址的内网主机发起认证请求,在IP地址和配置信息动态分配的情况下,是任意一 台内网主机发起认证请求,即发出EAPOL-Start报文;终止条件是发起认证请求的内网主 机收到ΕΑΡ-Failure报文。802. IX报文转发模块在激活状态下,从外网端口接收的EAPOL报文无条件需要转 发,而判断一个由内网产生的EAPOL报文需要转发的依据,是其来源MAC地址为发起认证请 求的内网主机的MAC地址。
二、设计DHCP报文转发模块解决IP地址动态分配的问题。发起认证请求的内网主机必须获得外网IP地址,因为在线保持报文可能附加网 络配置信息。在IP地址和配置信息静态分配的情况下,网络配置由手工完成;然而,在IP 地址和配置信息动态分配的情况下,内网主机无法请求外网DHCP服务来获取配置信息。因此,本发明还包括一个DHCP报文转发模块。如图5所示。DHCP报文转发模块的功能是把内网的DHCP报文转发到外网,把外网的DHCP报文 转发到内网。它的激活条件是,IP地址和配置信息动态分配且发起认证请求的内网主机收 到ΕΑΡ-Success报文,终止条件是发起认证请求的内网主机收到ΕΑΡ-Failure报文。DHCP报文转发模块在激活状态下,从外网端口接收的DHCP报文无条件需要转发; 而判断一个由内网产生的DHCP报文需要转发的依据,是其来源MAC地址为发起认证请求的 内网主机的MAC地址。当802. IX报文转发模块被激活时,暂停内网DHCP服务器对发起认证请求的内网 主机的服务;当802. IX报文转发模块被终止时,恢复内网DHCP服务器对所有内网主机的服务。三、使用重叠地址解决逻辑端口绑定的问题。通过了 802. IX认证,并不意味着交换机物理端口被完全打开。在工程实施中,往 往对交换机端口、MAC地址和IP地址进行绑定,称为“逻辑端口绑定”。在这种情况下,通过报文转发,仅仅能通过802. IX接入认证,却不能使用NAT路由 器访问网络,因为它的外网端口的网络配置不相同。因此,本发明还包括,NAT路由器外网端口和发起认证请求的内网主机使用重叠网 络地址,包括MAC地址、IP地址及其它配置信息。在IP地址和配置信息静态分配的情况下,在认证请求发起之前,为NAT路由器外 网端口指定MAC地址、IP地址和配置信息。发起认证请求的内网主机也设置相同的网络地址。在IP地址和配置信息动态分配的情况下,当802. IX报文转发模块被激活时,将发 起认证请求的内网主机的MAC地址指定为NAT路由器外网端口的MAC地址,当发起认证请 求的内网主机收到DHCP-ACK报文时,为NAT路由器外网端口指定对应的IP地址和配置信息。四、结合多种方法解决重叠地址造成的网络访问问题。采用重叠地址方案后,又产生了新的网络问题。例如本应到达重叠地址的内网主 机的网络封包,因为目的地址与外网端口相同,将被NAT路由器上层协议栈获得并丢弃;重 叠地址的内网主机欲与同一子网的主机和网关通信,在内网发出ARP请求询问MAC地址,也 不会有任何回应。要解决第一个问题,需要让NAT路由器的协议栈绑定内网端口 IP地址,而非外网 端口 IP地址,把外网端口 IP地址分配给重叠地址的内网主机。要解决第二个问题,需要使用代理ARP。正常情况下,网络端口拥有一个IP地址, 它就会回应询问这个IP地址对应的MAC地址的ARP请求。而代理ARP的含义是,网络端口 收到一个与所在子网所有主机无关的ARP请求,仍以自己的MAC地址来回应。之后,重叠地 址的内网主机可以发出IP报文,通过路由器到达正确的位置。由代理ARP的含义可以看出,它不会影响网络端口所在子网的通信。具体做法是,外网端口获得新的网络配置后,修正NAT路由器的路由表,把目的IP 是外网端口 IP的封包转发到内网,给内部生成的IP封包绑定内网端口 IP地址;启用内网 端口代理ARP,响应重叠地址的内网主机的外网网段ARP请求。如图4所示,NAT路由器内 部、发起认证请求的内网主机及其他内网主机,分别使用内网端口 IP地址,与外网端口重 叠的IP地址,普通内网IP地址发起网络连接,均通过NAT (网络地址转换)机制访问网络;采用本发明的方法,有多个益处NAT路由器利用内网主机的认证客户端,通过转 发报文便完成认证,无需内置客户端程序;只要改变内网主机的认证客户端程序,便可接入 不同的802. IX认证网络;整个认证过程对发起认证的内网主机是透明的,无须用户端的复 杂配置,灵活方便。


图1是IEEE 802. IX认证系统架构2是典型802. 1X+DHCP接入认证序列3是NAT路由器工作示意4是本发明整体架构5是本发明涉及的报文转发示意图
具体实施例方式为了清楚说明本发明的技术方案,下面给出实施例并结合附图详细说明。某园区网络中,采用一种扩展的基于EAP-MD5方式的802. IX认证协议,IP地址为 DHCP动态分配。用户主机通过NAT路由器接入网络,网络结构如图3所示。NAT路由器WAN 口与认 证交换机连接,多个LAN 口与多台用户主机连接;NAT路由器内网DHCP服务器为LAN 口连 接的用户主机分配了内网IP地址;用户主机上安装了 802. IX认证客户端程序。一、认证过程1、其中一台内网主机的认证客户端向NAT路由器发送EAPOL-Start报文,发起认 证请求;2,802. IX报文转发模块被激活。将发起认证请求的内网主机的MAC地址指定为 NAT路由器外网端口的MAC地址,暂停内网DHCP服务器对此MAC地址的服务;3、转发模块将EAPOL-Start报文转发至认证交换机;4、认证交换机向NAT路由器发送EAP-Request/Identity报文,请求用户名;5、转发模块将EAP-Request/Identity报文转发至用户主机;6、认证客户端向NAT路由器发送EAP-Response/Identity报文,其中包含用户 名;7、转发模块将EAP-Response/Identity报文转发至认证交换机;8、认证交换机向NAT路由器发送EAP-Request/MD5_ChalIenge报文,请求密码;9、转发模块将EAP-Request/MD5-ChalIenge报文转发至用户主机;10、认证客户端向NAT路由器发送EAP-Response/MD5-ChalIenge报文,其中包含密码;11、转发模块将EAP-Response/MD5-ChalIenge报文转发至认证交换机;12、认证通过,认证交换机向NAT路由器发送EAP-Success报文;13、转发模块将EAP-Success报文转发至用户主机,DHCP转发模块被激活;二、DHCP分配过程此时受控端口被打开,可以传送DHCP报文。1、DHCP客户端广播DHCP-Discover报文,请求DHCP服务;2、内网DHCP服务器不响应,转发模块将DHCP-Discover报文转发至外网;3、DHCP服务器向NAT路由器发送DHCP-Offer报文,提供可用网络地址;4、转发模块将DHCP-Offer报文转发至用户主机;5、DHCP客户端向NAT路由器发送DHCP-Request报文,申请网络地址;6、转发模块将DHCP-Request报文转发至DHCP服务器;7、DHCP服务器向NAT路由器发送DHCP-ACK报文,确认网络地址分配;8、依据DHCP-ACK报文,为NAT路由器外网端口设置IP地址、子网掩码、默认网关、 DNS服务器等网络参数;9、修正NAT路由器的路由表,把目的IP是外网端口 IP的封包转发到内网,给内部 生成的IP封包绑定内网端口 IP地址;10、启用内网端口代理ARP,响应重叠地址的内网主机的外网网段ARP请求;11、转发模块将DHCP-ACK报文转发至用户主机;12, DHCP客户端为用户主机网络端口配置网络参数;13、用户主机的802. IX客户端提示成功接入网络;14、其他内网主机的IP地址不变,现可通过NAT路由器访问网络。三、在线保持此时NAT路由器通过认证,已经接入网络,认证系统与NAT路由器之 间定期进行在线确认。1、认证系统向NAT路由器发送EAP-Request/Identity报文;2、转发模块将EAP-Request/Identity报文转发至用户主机;3、认证客户端向NAT路由器发送EAP-Response/Identity报文;4、转发模块将EAP-Response/Identity报文转发至认征交换机;四、DHCP续租1、DHCP客户端向NAT路由器发送DHCP-Request报文;2、DHCP转发模块将DHCP-Request报文转发至DHCP服务器;3、DHCP服务器同意续租,向用户主机发送DHCP-ACK报文;4、DHCP转发模块将DHCP-ACK报文转发至用户主机;5、DHCP客户端续租成功。五、断开网络此时NAT路由器准备断开网络服务。UDHCP客户端向NAT路由器发送DHCP-Release报文;2、转发模块将DHCP-Release报文转发至DHCP服务器;3、认证客户端向NAT路由器发送EAPOL-Logoff报文;4、转发模块将EAPOL-LogofT报文转发至认证交换机;5、认证交换机向NAT路由器发送ΕΑΡ-Failure报文;
6、转发模块将ΕΑΡ-Failure报文转发至用户主机;7,802. IX报文转发模块和DHCP报文转发模块破终止,恢复内网DHCP服务器对所 有内网主机的服务;8、用户主机的802. IX客户端提示下线成功。应该注意的是,虽然以上是参考具体实施方式
对本发明进行说明的,但这并不意 味着是对本发明的限制。本领域的普通技术人员应该明白,可以在上述说明的基础上对本 发明做出多种修改和变换。因此本发明的保护范围是由所附权利要求而不是具体实施方式
来限定的。
权利要求
一种基于报文转发的NAT路由器接入802.1X认证网络新方法,其特征在于,包括如下步骤1)在NAT路由器上安装802.1X报文转发模块,以及DHCP报文转发模块;2)为NAT路由器外网端口和发起认证请求的内网主机指定相同的网络地址;3)在NAT路由器内部协议栈使用内网端口IP地址,结合路由修正、代理ARP、网络地址转换等方法,解决外网端口与内网主机的地址重叠问题。
2.根据权利要求1所述的方法,其特征在于,所述步骤1)中进一步包括802.IX报文转 发模块的功能是把内网的EAPOL报文转发到外网,把外网的EAPOL报文转发到内网;它的激 活条件,在IP地址利配置信息静态分配的情况下,是匹配外网端口 MAC地址的内网主机发 起认证请求,在IP地址和配置信息动态分配的情况下,是任意一台内网主机发起认证请求, 即发出EAPOL-Start报文;终止条件是发起认证请求的内网主机收到ΕΑΡ-Failure报文。
3.根据权利要求1所述的方法,其特征在于,所述步骤1)中进一步包括802.IX报文 转发模块在激活状态下,从外网端口接收的EAPOL报文无条件需要转发,而判断一个由内 网产生的EAPOL报文需要转发的依据,是其来源MAC地址为发起认证请求的内网主机的MAC 地址。
4.根据权利要求1所述的方法,其特征在于,所述步骤1)中进一步包括DHCP报文转发 模块的功能是把内网的DHCP报文转发到外网,把外网的DHCP报文转发到内网;它的激活条 件是,IP地址和配置信息动态分配且发起认证请求的内网主机收到EAP-Sucess报文,终止 条件是发起认证请求的内网主机收到ΕΑΡ-Failure报文。
5.根据权利要求1所述的方法,其特征在于,所述步骤1)中进一步包括DHCP报文转发 模块在激活状态下,从外网端口接收的DHCP报文无条件需要转发;而判断一个由内网产生 的DHCP报文需要转发的依据,是其来源MAC地址为发起认证请求的内网主机的MAC地址。
6.根据权利要求1所述的方法,其特征在于,所述步骤1)中进一步包括在IP地址和配 置信息动态分配的情况下,当802. IX报文转发模块被激活时,暂停内网DHCP服务器对发起 认证请求的内网主机的服务;当802. IX报文转发模块被终止时,恢复内网DHCP服务器对所 有内网主机的服务。
7.根据权利要求1所述的方法,其特征在于,所述步骤2)中进一步包括,在IP地址和 配置信息静态分配的情况下,在认证请求发起之前,为NAT路由器外网端口指定MAC地址、 IP地址和配置信息;发起认证请求的内网主机也设置相同的网络地址。
8.根据权利要求1所述的方法,其特征在于,所述步骤2)中进一步包括,在IP地址 和配置信息动态分配的情况下,当802. IX报文转发模块被激活时,将发起认证请求的内网 主机的MAC地址指定为NAT路由器外网端口的MAC地址,当发起认证请求的内网主机收到 DHCP-ACK报文时,为NAT路由器外网端口指定对应的IP地址和配置信息。
9.根据权利要求1所述的方法,其特征在于,所述步骤3)中进一步包括为NAT路由器 外网端口指定了新的IP地址和配置信息后,修正NAT路由器的路由表,把目的IP地址是外 网端口 IP地址的网络封包转发到内网,为内部协议栈生成的IP封包绑定内网端口 IP地 址;启用内网端口代理ARP,响应重叠地址的内网主机的外网网段ARP请求;NAT路由器内 部、发起认证请求的内网主机及其他内网主机,分别使用内网端口 IP地址,与外网端口重 叠的IP地址,普通内网IP地址发起网络连接,均通过NAT (网络地址转换)机制访问网络。
全文摘要
本发明涉及计算机网络通信领域,是一种基于报文转发的NAT路由器接入802.1X认证网络新方法。包括在NAT路由器上安装802.1X报文转发模块以及DHCP报文转发模块;为NAT路由器外网端口和发起认证请求的内网主机指定重叠网络地址;NAT路由器在报文转发模块和内网主机认证客户端的支持下通过802.1X认证;在NAT路由器内部协议栈使用内网端口IP地址,解决地址重叠问题。本发明可使NAT路由器利用内网主机的认证客户端程序,接入各种需要802.1X扩展协议认证的网络并进行NAT网络扩展,具有重要的现实意义和广泛的应用前景。
文档编号H04L29/12GK101977147SQ20101051873
公开日2011年2月16日 申请日期2010年10月25日 优先权日2010年10月25日
发明者温武少, 许伟林, 许广林, 谢晓境 申请人:中山大学
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1