专利名称:分布式网络接入设备中握手机制的实现方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种基于802.1X协议的分布式网络接入设备握手机制的实现方法。
背景技术:
IEEE 802 LAN(电气和电子工程师协会关于局域网的802号)协议定义的局域网不提供接入认证,只要用户能接入局域网控制交换机,如LanSwitch(局域网交换机),用户便可以访问局域网中的资源;但是对于如电信接入、写字楼局域网以及移动办公等应用,交换机提供者希望能对用户的接入进行控制;为此产生了IEEE 802.1X协议,简称802.1X协议,该协议是2001年6月IEEE标准化组织正式通过的基于端口的网络访问控制协议。
基于端口的网络接入控制是在网络交换机(即网络接入设备)的物理接入级对接入客户端进行认证和控制,所述的物理接入级指的是以太网交换或宽带接入交换机的端口;连接于端口上的用户如果能通过认证,就可以访问网络内的资源;如果不能通过认证,则无法访问网络内的资源。
目前,在有线宽带接入环境中,分布式以太网交换机的802.1X认证系统中主控板负责802.1X协议处理,接口板CPU(中央处理器)负责EAPOL(基于局域网的EAP)报文的接收、发送,以太网交换机端(Authenticator)采用“EAP-Request/Identity”报文作为握手请求报文,客户端(Supplicant)采用“EAP-Response/Identity‘作为握手应答报文。因此,在分布式以太网交换机中携带有端口号的EAPOL认证报文1和握手报文2(即握手请求报文)需要发送时,首先通过板间通信的IPC(Inter-Process Communication,进程间通讯)通道送到接口板CPU,由接口板CPU根据报文中的端口号通过接口板交换芯片将报文转发,EAPOL认证报文1和握手报文2(即握手响应报文)的接收过程为由接口板交换芯片接收报文,并通过接口板CPU为报文增加端口号信息后通过板间通信的IPC通道发送给主控板CPU进行处理,如图1所示,对于业务报文3则直接通过主控板交换芯片和接口板交换芯片接收/发送。
在网络通信中握手报文作为计费维持及用户是否异常断线的依据,必须准确维持,以提供精确的用户是否在线信息和计费信息,对于网络通信系统通常需要15s~20s进行一次握手,且分布式以太网交换机通常需要支持的在线用户数量为4K~80K个,由此可以看出,网络通信系统中握手报文的数目十分巨大,如果所有的EAPOL握手报文的交换均通过主控板和接口板的CPU及板间通信的IPC通道分别处理后进行转发,则频繁的握手报文将大大加重网络通信系统的负荷,尤其是分布式以太网交换机的接口板CPU性能不足及IPC通道带宽有限的情况下,将严重影响整个网络通信系统的工作效率。
发明内容
本发明的目的是提供一种分布式网络接入设备中握手机制的实现方法,从而避免频繁的握手报文加重网络接入设备的负担,以提高网络接设备的工作效率。
本发明的目的是这样实现的一种分布式网络接入设备中握手机制的实现方法为分布式网络接入设备将需要发送给通过认证后的客户端的握手请求报文,依次通过主控板转发模块和接口板转发模块直接转发,并接收客户端返回的握手响应报文。
所述的分布式网络接入设备为分布式以太网交换机,且所述的主控板转发模块为主控板交换芯片,所述的接口板转发模块为接口板交换芯片。
该方法进一步包括a、在分布式以太网交换机的主控板中组建针对通过认证后的客户端握手请求报文,并发送给接口板的交换芯片,报文中承载着VLAN Tag(虚拟局域网标志);b、分布式以太网交换机的接口板交换芯片根据报文中承载的VLANTag直接将握手请求报文转发出去;c、分布式以太网交换机接收客户端返回的握手响应报文。
所述的步骤a包括a1、分布式以太网交换机的主控板CPU(中央处理器)组建握手请求报文,并发送给主控板交换芯片;
a2、主控板交换芯片将握手请求报文越过板间通信的IPC(Inter-Process Communication,进程间通讯)通道直接发送给接口板的交换芯片。
所述的步骤c包括c1、以太网交换机的接口板交换芯片接收握手响应报文,并发送给接口板CPU;c2、接口板CPU将握手响应报文中增加端口号信息后通过板间通信的IPC通道发送给主控板CPU进行处理。
由上述技术方案可以看出,本发明对于认证通过后的握手报文采用直接由分布式网络接入设备的主控板进行发送的方式,缓解了板间通信的压力,板间通信采用IPC通道,带宽有限,而所有的协议报文都需要通过IPC通道送到主控板进行处理,本发明节省了IPC通道带宽资源,提高了整个网络通信系统的性能。同时,由于通过认证后所发送的握手报文不再通过接口板CPU及接口板交换芯片转发,而是作为一般业务报文通过VLAN(虚拟局域网)发送,即通过主控板交换芯片及接口板交换芯片直接转发,因此本发明还可以减轻接口板CPU的负荷,这样,对于有限的接口板CPU资源来说,本发明将明显地提高其效率,以及整个网络通信系统稳定性。另外,本发明的实现完全符合IEEE 802.1X标准和国家接入标准,具有较好的兼容性,不影响客户端现有软件的正常使用。
图1为现有技术中分布式网络接入设备的认证和握手过程示意图;
图2为本发明中分布式网络接入设备的认证和握手过程示意图;图3为本发明所述的方法的工作流程图。
具体实施例方式
802.1X协议作为基于端口的接入认证协议,所有的处理均为基于端口操作的,在分布式网络接入设备中,协议的处理是在主控板完成,但协议报文的接收和发送均由接口板完成,即对于接收的报文由接口板CPU将端口信息增加到报文中再发送给主控板CPU进行处理,对于需要发送的报文由接口板CPU根据报文的端口号将其通过接口板交换芯片转发。
由于通过802.1X认证后用户PC(个人计算机)的MAC地址已存在所属VLAN中,从而使握手报文绕过接口板CPU,通过VLAN发送成为可能,VLAN发送是主控板和接口板的交换芯片直接转发,不需要经过接口板CPU处理,在大批量用户情况下缓解了板间通信的IPC通道的压力,同时还减少了接口板CPU负荷,大大地提高了网络通信系统效率。
如图2所示,由于握手报文的发送可以不根据端口号进行发送,因此,可以将握手请求报文5当作一般业务报文3通过VLAN(虚拟局域网)发送,即在组建报文时将握手请求报文5中增加VLAN Tag(虚拟局域网标志),然后由接口板的交换芯片直接转发,而不再通过接口板CPU对其进行转发处理,对于握手响应报文4的接收过程则与现有技术相同,不作任何修改。
本发明所述的分布式网络接入设备中握手机制的实现方法的具体实施方式
参见图3,以分布式网络接入设备以太网交换机为例,对本发明作进一步阐述步骤31以太网交换机的主控板CPU组建EAPOL握手请求报文5,报文中承载着VLAN Tag;步骤32主控板CPU将组建好的握手请求报文5发送给主控板交换芯片;主控板交换芯片可以直接与接口板交换芯片进行通信,实现报文的交互;步骤33主控板交换芯片将握手请求报文5越过板间通信的IPC通道直接发送给接口板交换芯片,接口板交换芯片负责报文的转发工作;步骤34接口板交换芯片直接将握手请求报文5转发出去;步骤35以太网交换机接收握手请求报文的响应报文,接收过程与现有技术相同。
至此,本发明在分布式网络接入设备(即以太网交换机)中实现了握手机制;而且本发明将握手报文的发送绕过了板间通信的IPC通道和接口板CPU,提高了网络通信系统的处理效率。
对于认证过程,则由于用户的MAC地址在以太网交换机上不存在,所以不能通过VLAN转发,当认证通过后用户的MAC地址已指派给相应的VLAN,supplicant对象不需要关系端口号,所以可以不通过接口板CPU处理。主控板和接口板交换芯片间的通信可以线速转发,效率非常高,所以可以节省一半的握手报文处理开销。
权利要求
1.一种分布式网络接入设备中握手机制的实现方法,其特征在于分布式网络接入设备将需要发送给通过认证后的客户端的握手请求报文,依次通过主控板转发模块和接口板转发模块直接转发,并接收客户端返回的握手响应报文。
2.根据权利要求1所述的分布式网络接入设备中握手机制的实现方法,其特征在于所述的分布式网络接入设备为分布式以太网交换机,且所述的主控板转发模块为主控板交换芯片,所述的接口板转发模块为接口板交换芯片。
3.根据权利要求2所述的分布式网络接入设备中握手机制的实现方法,其特征在于该方法进一步包括a、在分布式以太网交换机的主控板中组建针对通过认证后的客户端握手请求报文,并发送给接口板的交换芯片,报文中承载着VLAN Tag(虚拟局域网标志);b、分布式以太网交换机的接口板交换芯片根据报文中承载的VLANTag直接将握手请求报文转发出去;c、分布式以太网交换机接收客户端返回的握手响应报文。
4.根据权利要求3所述的分布式网络接入设备中握手机制的实现方法,其特征在于所述的步骤a包括a1、分布式以太网交换机的主控板CPU(中央处理器)组建握手请求报文,并发送给主控板交换芯片;a2、主主控板交换芯片将握手请求报文越过板间通信的IPC(Inter-Process Communication,进程间通讯)通道直接发送给接口板的交换芯片。
5.根据权利要求3所述的分布式网络接入设备中握手机制的实现方法,其特征在于所述的步骤c包括c1、以太网交换机的接口板交换芯片接收握手响应报文,并发送给接口板CPU;c2、接口板CPU将握手响应报文中增加端口号信息后通过板间通信的IPC通道发送给主控板CPU进行处理。
全文摘要
本发明涉及一种分布式网络接入设备中握手机制的实现方法。该方法为分布式网络接入设备(如分布式以太网交换机)将需要发送给通过认证后的客户端的握手请求报文,越过板间通信的IPC(Inter-ProcessCommunication,进程间通讯)通道及接口板CPU(中央处理器),依次通过主控板转发模块和接口板转发模块直接转发;同时接收客户端返回的握手响应报文。本发明缓解了板间通信的压力,节省了IPC通道带宽资源,提高了整个系统的性能。同时,本发明还可以减轻接口板CPU的负荷,明显地提高其效率,以及整个网络通信系统稳定性。
文档编号H04L12/28GK1503520SQ0215461
公开日2004年6月9日 申请日期2002年11月26日 优先权日2002年11月26日
发明者罗汉军, 朱国平, 刘刀桂, 魏其礼, 邹婷, 汤杰成 申请人:华为技术有限公司