三层认证方法、装置及三层认证交换机的制作方法
【技术领域】
[0001] 本发明涉及通信技术领域,尤其涉及一种三层认证方法、装置及三层认证交换机。
【背景技术】
[0002] 当前网络中,交换机主要应用在二层网络做分布式认证,用户认证后,通过下 发ACL(AccessControlList,访问控制列表)规则,绑定用户的源MAC(MediaAccess Control,介质访问控制)或者源MAC与源IP(InternetProtocol,网络协议)信息,作为认 证与否的判断。在大二层网络环境中,交换机作为网关设备,开启集中式认证,该方案也是 通过MAC地址表,判断地址表中是否存在用户的源MAC地址来标识用户是否已认证。
[0003] 在现有的网络中,三层认证都是通过路由器等基于软件实现转发的设备来充当。 现有技术中没有交换机充当三层认证设备,主要问题有两个:一方面,交换机充当三层认证 设备,只能通过源IP来区分用户是否已认证,这个目前无成熟且可直接使用的芯片方案; 另一方面,充当三层认证设备,通常出口是多个运营商(如联通、移动等),不同的用户,购 买的套餐不一样,有些用户购买的是联通套餐,有些用户购买的是移动套餐,那么这些不同 的用户的流量也要走不同的线路,即需要根据源IP来选择出口,而目前交换机上的路由转 发都是基于目的IP。如果需要基于源IP进行转发,那就要通过ACL来实现,强行匹配报文 的源IP,然后重定向到某条线路,这样每个用户就要占一条ACL表项,而对于目前常用的芯 片,通常主机路由表容量远大于ACL表容量,例如最多可以达到512K的容量,但ACL容量最 多只有8K,但一个校园网中,用户一般都超过1万人,根本无法用ACL来实现。
[0004] 综上所述,现有技术中交换机只能实现二层认证功能,无法有效实现三层认证功 能。
【发明内容】
[0005] 本发明提供一种三层认证方法、装置及三层认证交换机,用以解决现有技术中交 换机只能实现二层认证功能,无法实现三层认证的问题。
[0006] 本发明提供了一种三层认证方法,所述方法包括:
[0007] 在第一端口接收用户发出的数据报文,根据数据报文的源IP地址匹配路由表,在 匹配结果为所述用户发出的数据报文为待认证报文时,将所述数据报文在ACL表中进行匹 配,根据匹配结果将数据报文发送至CPU进行认证处理;
[0008] 所述ACL表中预先设置了将第一端口接收到的待认证报文转发至CPU的表项。
[0009] 本发明还提供一种三层认证装置,所述装置包括:
[0010] 匹配模块,用于在第一端口接收用户发出的数据报文,根据数据报文的源网络协 议IP地址匹配路由表,在匹配结果为所述用户发出的数据报文为待认证报文时,将所述数 据报文在访问控制列表ACL中进行匹配,根据匹配结果将数据报文发送至CPU进行认证处 理;
[0011]ACL表设置模块,用于在ACL表中预先设置将第一端口接收到的待认证报文转发 至CPU的表项。
[0012] 本发明还提供一种三层认证交换机,所述交换机包括上述三层认证装置。
[0013] 本发明的三层认证方法、装置及三层认证交换机,通过采用上述技术方案,在路由 表中根据数据报文的源IP地址匹配路由表,并且在匹配结果为待认证报文时,将数据报文 在ACL表中进行匹配,从而转发至CPU中进行认证处理的过程,解决了现有技术中交换机只 能实现二层认证功能,无法有效实现三层认证的问题。
【附图说明】
[0014] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以 根据这些附图获得其他的附图。
[0015] 图1为交换机充当三层认证设备的拓扑场景示意图;
[0016] 图2为本发明实施例一提供的三层认证方法流程图;
[0017] 图3为本发明实施例二提供的三层认证方法流程图;
[0018] 图4为本发明实施例三提供的三层认证装置结构示意图;
[0019] 图5为本发明实施例四提供的三层认证交换机结构示意图。
【具体实施方式】
[0020] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0021] 交换机要实现三层认证功能,则需要实现基于报文的源IP地址判断用户是否已 认证,以及在认证成功后基于源IP地址进行选路,交换机充当三层认证设备的拓扑场景如 图1所示,其中交换机对内连接不同区域的网关设备,网关设备下连接了不同的用户,交换 机对外连接不同的运营商网络,不同的用户均可以在交换机上实现三层认证,认证成功后, 用户的数据报文可以根据需求转发到不同的运营商网络中,需要说明的是,图1仅给出了 本发明技术方案的一个拓扑示例,并不限制本发明应用的场景范围,例如交换机并非一定 通过网关设备连接用户终端,其对外连接的网络也不限于各运营商网络等情形。
[0022] 图2为本发明实施例一提供的三层认证方法流程图,具体包括以下步骤:
[0023] 101,在第一端口接收用户发出的数据报文,根据数据报文的源IP地址匹配路由 表;
[0024] 201,在匹配结果为所述用户发出的数据报文为待认证报文时,将所述数据报文在 ACL表中进行匹配,根据匹配结果将数据报文发送至CPU进行认证处理;
[0025] ACL表中预先设置了将第一端口接收到的待认证报文转发至CPU的表项。
[0026] 为了能够让数据报文在交换机的路由表中可以进行源IP地址匹配,可以在实际 接收数据报文之前先对交换机进行预先的设置,
[0027] 因此进一步可选的,在第一端口接收用户发出的数据报文之前,还包括:
[0028] 在第一端口开启三层认证功能,并开启URPF(UnicastReversePath Forwarding,单播逆向路径转发)检查,以使第一端口接收到的数据报文在路由表中进行 源IP地址匹配。
[0029] URPF的主要功能是用于防止基于源IP地址欺骗的网络攻击行为,接口一旦使能 URPF功能,当该接口收到数据报文时,首先会对数据报文的源IP地址进行合法性检查,对 于检查通过的报文,才会进一步查找去往目的I