专利名称:基于虚拟局域网的网络接入控制方法及装置的制作方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种基于虚拟局域网的网络接入控制方法及装置。
背景技术:
目前的以太网主要是IEEE802.3(电气与电子工程师学会802.3标准)定义的10Bast-T网络,即线速率为10Mbps的网络;常用的以太网技术主要是IEEE802.3定义的MAC(媒体接入控制)技术,使用CSMA/CD(具有检测功能的载波检测多址)媒体控制协议。基于CSMA/CD媒体控制协议的网络,由于冲突和重发现象的存在,导致以太网的实际流通量很难超过线速率2.5Mbps。而且,该有限的带宽还要由连接到同一个局域网上的所有客户共享的,对于每个客户机的可用带宽就更低了。
其中,现有的交换型局域网与传统的共享媒体的局域网相比,性能有了很大的提高。而且,随着局域网交换成本的迅速下降,为VLAN(虚拟局域网)的实现提供了基础。VLAN为路由器提供了一种可供选择的解决方案,VLAN中仍然需要路由器,仍然存在着广播流量。但是,将交换技术和虚拟局域网技术相结合后,虽然网段中的用户可以尽可能的少,甚至可以只有一个用户,而广播域则可以大到包含1000个以上的用户。
目前的局域网技术无法提供接入认证,通常只需要用户能接入局域网控制设备,如LanSwitch(以太网交换机),用户就可以访问局域网中的设备或资源。不能对接入用户进行控制,便很难保障局域网内用户的安全;而且,大量未经过认证的用户接入网络还将导致各用户的可用网络资源太少,无法保证用户正常使用网络。
例如,IEEE 802 LAN协议定义的局域网便不提供接入认证,只要用户连接到局域网中,就能通过DHCP(动态主机配置协议)服务器获得IP(互联网协议)地址。即使有很多接入用户并没有准备访问网络,也同样占用了IP地址资源,这样很容易造成IP地址池的枯竭,而且局域网也很容易遭受攻击导致IP地址池的枯竭,从而使用户无法正常使用网络。因此,对于如电信接入、写字楼LAN(局域网)以及移动办公等应用,设备提供者希望能对用户的接入进行控制和配置。
发明内容
本发明的目的是提供一种基于虚拟局域网的网络接入控制方法及装置,该方法可以有效地控制接入局域网的用户数量,并对其进行管理,同时可防止局域网遭受攻击。
本发明的目的是这样实现的基于虚拟局域网的网络接入控制方法,包括a、在局域网的接入控制设备上对端口的接入权限进行配置;b、用户接入局域网时,接入控制设备查看用户接入所应用的端口的接入权限配置情况;c、根据用户接入的端口的接入权限配置情况,对该用户进行局域网的网络接入控制。
步骤c中所述的对该用户进行局域网的网络接入控制为基于EAP(扩展认证协议)实现对该用户进行局域网的网络接入控制。
所述的端口为VLAN(虚拟局域网)中的逻辑端口。
所述的对端口的接入权限进行配置包括三种情况逻辑端口的强关控制对用户的接入请求直接拒绝,即禁止该用户接入VLAN;逻辑端口的强开控制对用户的接入请求直接确认,即允许该用户接入VLAN;逻辑端口的自动控制对用户的接入请求进行EAP认证,根据认证的结果确定该用户是否可以接入VLAN。
所述的步骤b为b1、用户接入局域网,并向接入控制设备发送DHCP(动态主机配置协议)请求报文;b2、接入控制设备查看用户接入所应用的端口的接入权限配置情况。
或者所述的步骤b为用户直接发起EAP认证过程,并根据认证的结果确定该用户是否可以接入VLAN。
所述的步骤c包括c1、接入控制设备判断用户接入的端口的接入权限是否为强关控制,如果是,则执行步骤c2,否则,执行步骤C3;c2、接入控制设备直接向用户返回DHCP拒绝报文,即禁止该用户接入VLAN;
c3、建立表项,并判断用户接入的端口接入权限是否为强开控制,如果是,则执行步骤c4,否则,用户接入的端口的接入权限为自动控制,执行步骤c5;c4、接入控制设备直接向用户返回DHCP确认报文,即允许该用户直接接入VLAN;c5、启动该用户的EAP认证过程,并根据认证的结果确定用户是否可以接入VLAN。
所述的步骤c5包括c51、接入控制设备根据接收的EAPOL-Start报文,向用户发送EAP-Request/Identity(EAP认证的身份请求)报文;c52、接入控制设备将接收的EAP-Response/Identity(EAP认证的身份响应)报文透传到接入认证服务器;c53、接入控制设备透传接入认证服务器发送的EAP-Request/MD5Challenge(EAP认证的口令请求)报文给用户;c54、接入控制设备将接收的EAP-Response/Password(EAP认证的口令响应)报文透传到接入认证服务器;c55、接入控制设备根据接入认证服务器返回的认证结果报文判断用户是否通过EAP认证,如果通过,则允许该用户接入VLAN,否则禁止该用户接入VLAN。
所述的步骤c55包括c551、用户接入设备在设定的时间段内是否收到EAP认证结果报文,如果接收到,则执行步骤c552,否则,执行步骤c553;
c552、判断接收到的EAP认证结果报文是否为EAP-Success(EAP认证通过)报文,如果是,则用户通过EAP认证,否则,执行步骤c553;c553、用户未通过EAP认证。
基于虚拟局域网的网络接入控制装置,包括用户接入设备提供各种用户接入局域网的方式;接入控制设备提供用户接入设备接入局域网的端口,对用户接入设备进行认证和接入权限的控制;接入控制服务器保存着用户的EAP认证信息,用于配合接入控制设备判断用户的EAP认证是否可以通过。
所述的接入控制设备与用户接入设备通信的端口包括受控端口用户通过EAP认证后打开的端口;非受控端口始终处于打开状态的端口,使用户接入设备可以发出或接受认证。
所述的接入控制设备为VLAN用户接入设备,所提供的用户接入局域网的端口为逻辑端口,即是基于VLAN控制网络接入。
由上述技术方案可以看出,本发明采用了通过EAP(扩展认证协议)实现基于端口的网络接入控制技术,还提供了基于VLAN中逻辑端口的网络接入控制技术。从而方便对局域网接入用户进行管理,有效地控制未通过认证的用户访问局域网内的资源。同时,本发明的实施使用户接入网络时,只有通过认证后才可以获得IP地址,保护了IP地址资源免遭非法用户的攻击。另外,基于VLAN的网络接入控制方法,扩展了IEEE 802.1x协议,加强了基于该协议的局域网对接入用户控制。
图1为本发明所述的方法的流程图;图2为本发明所述的装置的结构图;图3为本发明所述的方法中的EAP认证过程流程图。
具体实施例方式
本发明所述的方法的具体实施方式
如下,参见图1步骤1首先,需要在接入控制设备中对各个端口的接入权限进行配置,以实现接入端口不同的用户,其接入权限也各不相同;具体配置方法可以根据拥有该用户接入设备的网络运营商的运营需求,接入控制的端口可以是物理端口,也可以是逻辑端口,以VLAN的用户接入设备为例,采用VLAN标记接入用户的逻辑端口,通过对不同的逻辑端口的网络接入进行控制,以实现对不同VLAN用户的网络接入进行控制,用户接入设备可以将其各个逻辑端口分别设置为逻辑端口的强关控制对用户接入时发出的DHCP(动态主机配置协议)请求报文直接返回拒绝报文,即禁止该用户接入VLAN;逻辑端口的强开控制对用户接入时发出的DHCP请求报文直接返回确认报文,即不经过EAP认证便允许该用户接入VLAN,并且此后的流程和传统的VLAN接入一样;对于由强开控制的逻辑端口接入的用户,可以应用传统的绑定认证和WEB认证方式对各用户进行区别;逻辑端口的自动控制对用户接入时发出的DHCP请求报文,需要进行EAP认证后,再根据认证的结果确定该用户是否可以接入VLAN,并回复用户相应的报文;
步骤2当用户通过某一端口接入局域网时,接入控制设备查看该端口的接入权限配置情况;当用户通过接入控制设备的某一逻辑端口接入VLAN时,则VLAN接入控制设备首先查看该逻辑端口的权限配置为强关控制,还是为强开控制,或者是自动控制;步骤3根据查看的结果对接入的用户实现接入控制;对于由强关控制的逻辑端口接入的用户,禁止接入局域网;对于由强开控制的逻辑端口接入的用户,直接允许接入局域网;对于由自动控制的逻辑端口接入的用户,则需要通过EAP认证后,方可接入局域网。
基于端口的网络接入控制是在LAN(局域网)设备的端口对接入设备进行认证和控制。连接在该类端口上的用户设备如果能通过认证,就可以访问LAN内的资源;如果不能通过认证,则无法访问LAN内的资源,相当于物理上断开连接。
IEEE 802.1x定义了基于端口的网络接入控制协议,所以本发明所述的装置如图2所示,包括Supplicant(用户接入设备)、Authenticator(接入控制设备)和Authentication Sever(认证服务器)。
Supplicant与Authenticator间运行IEEE 802.1x定义的EAPOL(基于局域网的扩展认证协议);Authenticator与Authentication Sever间同样运行EAP协议,EAP帧中封装了认证数据,将该协议承载在其他高层次协议中,如Radius,以便穿越复杂的网络到达Authentication Server,即EAP Relay(EAP中继)。
Authenticator内部包括受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证Supplicant始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和提供网络服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。
基于上述本发明所述的装置,对于接入VLAN的用户的EAP认证过程参见图2,即当用户接入VLAN所应用的逻辑端口的权限设置为自动控制时,将启动用户的EAP认证过程1、Supplicant向Authenticator发送EAPOL-Start(开始EAP认证)报文;2、Supplicant根据接收Authenticator发来的EAP-Request/Identity(EAP认证的身份请求)报文,向Authentication Sever发送EAP-Response/Identity(EAP认证的身份响应)报文;3、Supplicant根据接收的EAP-Request/MD5 Challenge(EAP认证的口令请求)报文,向Authentication Sever发送EAP-Response/Password(EAP认证的口令响应)报文;4、Authenticator接收Authentication Sever发来的认证结果报文,判断用户是否通过EAP认证,如果通过,则允许该用户接入VLAN,否则,禁止该用户接入VLAN;Authenticator判断用户是否通过EAP认证的过程为判断Authenticator在设定的时间段内是否收到EAP认证结果报文,如果接收到,则继续判断接收到的EAP认证结果报文是否为EAP-Success(EAP认证通过)报文,如果是,则用户通过EAP认证,否则,用户未通过EAP认证。
当用户通过EAP认证成功后,发起DHCP请求申请IP地址,,这样,用户便通过了EAP认证并成功接入VLAN。
用户的EAP认证过程也可以由接入控制设备首先发起,用户直接向接入控制设备发DHCP请求报文申请IP地址,接入控制设备对用户接入的逻辑端口配置进行检查,如果逻辑端口的接入权限为自动控制,则向用户发送EAP-Request/Identity报文进行EAP认证,相应的EAP认证的流程和上述2至4的过程相同。
权利要求
1.一种基于虚拟局域网的网络接入控制方法,其特征在于包括a、在局域网的接入控制设备上对端口的接入权限进行配置;b、用户接入局域网时,接入控制设备查看用户接入所应用的端口的接入权限配置情况;c、根据用户接入的端口的接入权限配置情况,对该用户进行局域网的网络接入控制。
2.根据权利要求1所述的基于虚拟局域网的网络接入控制方法,其特征在于步骤c中所述的对该用户进行局域网的网络接入控制为基于EAP(扩展认证协议)实现对该用户进行局域网的网络接入控制。
3.根据权利要求2所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的端口为VLAN(虚拟局域网)中的逻辑端口。
4.根据权利要求3所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的对端口的接入权限进行配置包括三种情况逻辑端口的强关控制对用户的接入请求直接拒绝,即禁止该用户接入VLAN;逻辑端口的强开控制对用户的接入请求直接确认,即允许该用户接入VLAN;逻辑端口的自动控制对用户的接入请求进行EAP认证,根据认证的结果确定该用户是否可以接入VLAN。
5.根据权利要求4所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤b为b1、用户接入局域网,并向接入控制设备发送DHCP(动态主机配置协议)请求报文;b2、接入控制设备查看用户接入所应用的端口的接入权限配置情况。
6.根据权利要求5所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤c包括c1、接入控制设备判断用户接入的端口的接入权限是否为强关控制,如果是,则执行步骤c2,否则,执行步骤C3;c2、接入控制设备直接向用户返回DHCP拒绝报文,即禁止该用户接入VLAN;c3、建立表项,并判断用户接入的端口接入权限是否为强开控制,如果是,则执行步骤c4,否则,用户接入的端口的接入权限为自动控制,执行步骤c5;c4、接入控制设备直接向用户返回DHCP确认报文,即允许该用户直接接入VLAN;c5、启动该用户的EAP认证过程,并根据认证的结果确定用户是否可以接入VLAN。
7.根据权利要求4所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤b为用户直接发起EAP认证过程,并根据认证的结果确定用户是否可以接入VLAN。
8.根据权利要求6或7所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤c5包括c51、接入控制设备根据接收的EAPOL-Start报文,向用户发送EAP-Request/Identity(EAP认证的身份请求)报文;c52、接入控制设备将接收的EAP-Response/Identity(EAP认证的身份响应)报文透传到接入认证服务器;c53、接入控制设备透传接入认证服务器发送的EAP-Request/MD5Challenge(EAP认证的口令请求)报文给用户;c54、接入控制设备将接收的EAP-Response/Password(EAP认证的口令响应)报文透传到接入认证服务器;c55、接入控制设备根据接入认证服务器返回的认证结果报文判断用户是否通过EAP认证,如果通过,则允许该用户接入VLAN,否则禁止该用户接入VLAN。
9.根据权利要求8所述的基于虚拟局域网的网络接入控制方法,其特征在于所述的步骤c55包括c551、用户接入设备在设定的时间段内是否收到EAP认证结果报文,如果接收到,则执行步骤c552,否则,执行步骤c553;c552、判断接收到的EAP认证结果报文是否为EAP-Success(EAP认证通过)报文,如果是,则用户通过EAP认证,否则,执行步骤c553;c553、用户未通过EAP认证。
10.一种基于虚拟局域网的网络接入控制装置,其特征在于包括用户接入设备提供各种用户接入局域网的方式;接入控制设备提供用户接入设备接入局域网的端口,对用户接入设备进行认证和接入权限的控制;接入控制服务器保存着用户的EAP认证信息,用于配合接入控制设备判断用户的EAP认证是否可以通过。
11.根据权利要求10所述的基于虚拟局域网的网络接入控制装置,其特征在于所述的接入控制设备与用户接入设备通信的端口包括受控端口用户通过EAP认证后打开的端口;非受控端口始终处于打开状态的端口,使用户接入设备可以发出或接受认证。
12.根据权利要求10所述的基于虚拟局域网的网络接入控制装置,其特征在于所述的接入控制设备为VLAN用户接入设备,所提供的用户接入局域网的端口为逻辑端口,即是基于VLAN控制网络接入。
全文摘要
本发明涉及一种基于虚拟局域网的网络接入控制方法及装置。所述的方法为在局域网的用户接入设备上对端口的接入权限进行配置,用户接入局域网时,用户接入设备查看用户接入所应用的端口的接入权限配置情况;根据用户接入的端口的接入权限配置情况,对该用户进行局域网的网络接入控制。所述的装置包括用户接入设备、接入控制设备及接入认证服务器,用户通过用户接入设备接入网络,并通过接入控制设备及接入认证服务器进行网络接入认证。本发明便于对局域网接入用户进行管理,有效地控制未通过认证的用户访问局域网内的资源。同时可保护IP地址资源免遭非法用户的攻击。
文档编号H04L9/32GK1486032SQ0213178
公开日2004年3月31日 申请日期2002年9月23日 优先权日2002年9月23日
发明者沈宁国, 宋强, 金涛, 吴局业, 徐岗 申请人:华为技术有限公司