专利名称:一种mac认证方法和设备的制作方法
技术领域:
本发明涉及网络技术领域,尤其涉及一种MAC认证方法和设备。
背景技术:
MAC (Medium Access Control,媒体4妻入控制)认证是一种基于端口和 MAC地址对用户的网络访问权限进行控制的方法,用户不需要任何客户端软 件进行配合,交换机在首次检测到此用户的MAC地址以后,启动对此用户的 认证。发起认证后,把用户的MAC地址作为用户名传给RADIUS (Remote Authentication Dial In User Service,远程用户拨号iU正系统)Client,然后由 RADIUS Client通过RADIUS协议报文同RADIUS Server进行交互,最终由 Sever完成对此MAC用户的认证。在添加MAC认i正用户时,可以用两种方 式配置 一种是指定用户名和密码都是用户的MAC地址(格式为 HH-HH-HH-HH-HH-HH);另一种是由用户配置固定的用户名和密码,此时不 论用户的MAC地址为何值,交换机都会使用配置好的用户名和密码向 RADIUS Server发起认证。某个MAC地址的用户设备如果能通过认证,软件 就把此MAC地址刷新到相应的Port上,即添加到二层转发表中,然后此用 户就可以访问LAN (Local Area Network,局域网)内的资源;如果不能通过 认证,则无法访问LAN内的资源,相当于物理上断开连接。
控制系统包括接入认证接口部分、认证连接管理部分-ACM ( Access Control Module访问控制才莫块)模块、RADIUS协议接口部分-RADIUS客户 端、本地用户服务器部分,各部分间关系如图l所示。
端口安全规定了在交换机产品上基于端口和MAC地址的安全端口机制。 这种机制通过检测数据帧中的MAC地址来控制经由交换机端口对网络的访 问。
当安全机制开启后,如果端口或者MAC地址未经认证成功,那么端口发
送或接受的数据帧将被过滤或者只能进行受限的访问。认证成功的MAC将被 保存在MAC地址表中。被认ii4t权的MAC地址可以是管理员配置的永久性 地址,也可以是经由某种认证机制产生的,后者只能是动态的,当用户认证 失败或下线时后会^^皮删除。
现有技术中提供了一种MAC地址认证方法,如图2所示。具体的,添加 接入层交换机,通过该交换机把需要认证的用户终端单独接入,该二层交换 机上连到汇聚层交换机的端口进行MAC认证。以图2所示的情况为例,新增 接入层交换机A-2,需认证的用户终端PC4和PC5单独从该交换机接入,上 行到汇聚层交换机的端口 P2和P4具备MAC认证功能,对通过A-2接入的 用户终端进行验证。
使用该方法时,存在的问题如下添加接入层交换机的方法增加了成本 和网络复杂度,而且一旦汇聚层交换机的端口配置MAC认证功能后其他用户 将无法使用此端口,只能通过另外增加端口的方法解决。该方法将极大的增 加网管的工作量,也提高了故障发生的几率。
发明内容
本发明解决的问题是提供一种MAC认证方法,以实现认证过程中对接入 的用户终端的细致划分与管理。
为达到上述目的,本发明提供一种MAC认证方法,包括以下步骤
认证设备的认证端口接收到交换设备发送的报文时,获取发送所述报文 的终端的源MAC地址以及所属的VLAN;
所述认证设备才艮据发送所述才艮文的终端的源MAC地址、所属的VLAN 以及预设的VLAN属性,对所述报文进行处理。
其中,所述认证设备的认证端口接收到交换设备发送的报文前,还包括 步骤配置所述认证设备以及所述交换设备,
所述配置具体为
配置所述认证设备上与所述交换设备连接的端口为具有MAC认证功能 的认证端口;
划分所述交换设备下不同终端所属的VLAN,将不同的VLAN配置为不 需认证的非认证VLAN或需要认证的认证VLAN,并将所述交换i殳备下的 VLAN信息通知所述认证设备。
其中,所述交换设备发送报文具体为
所述交换设备接收到终端发送的报文;
所述交换设备获取发送所述报文的终端所属的VLAN,并在所述4艮文中 添加所述VLAN的标识;
所述交换设备向所述认证设备发送所述携带VLAN标识的报文。
其中,所述认证设备获取发送报文的终端所属的VLAN的步骤具体为
所述认证设备根据所述报文中携带的VLAN的标识,获取发送所述报文 的终端所属的VLAN。
其中,所述认证设备发送报文的终端的源MAC地址、所属的VLAN以 及预设的VLAN属性,对报文进行处理的步骤具体包括
对于来自所述非认证VLAN内终端的报文,判断所述报文是否为需要 CPU处理的协议报文,若是则发送给CPU,否则进行转发处理。
其中,所述认证设备根据发送报文的终端的源MAC地址、所属的VLAN 以及预设的VLAN属性,对报文进行处理的步骤具体包括
对于来自所述认证VLAN内终端的报文,判断所述报文是否为需要CPU 处理的协议纟艮文;
对于需要CPU处理的协议报文,直接发送给CPU;对于不需要CPU处
否则进行MAC认证,对于iU正通过的MAC地址添加到MAC地址转发表项 中,否则添加到静默MAC表项中并丟弃所述报文。
对于需要CPU处理的协议报文,直接发送给CPU;
对于不需要CPU处理的报文,当所述源MAC地址存在于MAC地址转 发表项中时直接进行转发,否则进行MAC认证,对于认证通过的MAC地址 添加到MAC地址转发表项中,否则添加到静默MAC表项中并丢弃所述报文。
本发明还提供一种MAC认证系统,包括
交换设备,用于将来自不同VLAN的报文发送到所述认证设备; 认证设备,用于在接收到所述交换设备发送的报文时,根据发送所述报
文的终端的源MAC地址、所属的VLAN以及预设的VLAN属性,对所述报
文进行处理。
其中,所述交换设备进一步包括
VLAN配置单元,用于划分本设备下不同终端所属的VLAN,将不同的 VLAN配置为不需认证的非认证VLAN或需要认证的认证VLAN,并将所述 VLAN信息通知所述认证设备;
VLAN获取单元,用于在接收到报文时,根据所述VLAN配置单元的配 置,获取发送所述报文的终端所属的VLAN;
标识添加单元,用于根据所述VLAN获取单元获取到的发送报文的终端 所属的VLAN,在才艮文中添加所述VLAN的标识;
报文发送单元,用于将所述标识添加单元进行加标识处理后的报文向所 述认证设备发送。
其中,所述认证设备进一步包括
端口配置单元,用于将本设备的端口配置为具有MAC认证功能的认证端 口 ,且对与本设备连接的所述交换设备下各VLAN的信息进行预先配置;
判断单元,用于在接收到所述交换设备发送的报文时,获取发送所述报 文的终端的源MAC地址以及所属的VLAN;
处理单元,用于根据所述端口配置单元的配置、以及所述判断单元获取 发送报文的终端的源MAC地址以及所属的VLAN,对所述才艮文进行处理。
其中,所述认证设备为汇聚层交换设备,所述交换设备为接入层交换设备。
与现有^^支术相比,本发明具有以下优点
实现了 MAC认证中对上网的用户终端的细致划分,使得不需要认证的用 户终端也可以通过认证端口接入,大大增强了组网的灵活性,节约了成本, 减少了网络管理和维护的工作量。
图1是现有技术中MAC认证系统的结构示意图2是现有技术中通过增加接入层交换机进行MAC认证的组网示意图3是本发明的MAC认i正方法的流程图4是本发明的MAC认证方法的另 一流程图5是本发明的MAC认证方法的一应用场景示意图6是本发明的MAC认证系统的结构示意图。
具体实施例方式
本发明的核心思想在于将认证设备端的认i正端口下的VLAN划分为两种 虚VLAN,认证VLAN和非认证VLAN。其中,对于来自认证VLAN中的终端 的报文,在未经过MAC认证的非授权状态下禁止发送任何报文,在经过MAC 认证的授权状态下可以传递报文;对于来自非认证VLAN中终端的报文,始终 允许通过。
如图3所示,本发明的一种MAC认证方法包括以下步骤 步骤s301 、配置认证设备及其认证端口 。
具体的,配置认证设备具有MAC认证功能,配置其端口为具有MAC认证 功能的iU正端口。
步骤s302、配置认证端口下的VLAN。
配置认证端口下的VLAN,认证端口还进一步与交换设备连接,交换设备 下不同类型的用户终端属于不同的VLAN, VLAN分为两种认证VLAN和非 认证VLAN。其中,将不需要进行认证即可上网的用户终端划分到非认证 VLAN, —般用户终端划分到认证VLAN。具体的,在端口下发ACL (Access Control List,接入控制列表),该ACL的内容可以包括匹配VLAN TAG + 未知单播报文,对于匹配的报文被重定向进行认证VLAN流程;对于不匹配的 报文进行非认证VLAN流程正常转发。此配置下发后根据设备的不同可以软处 理实现或硬件实现。硬件实现如下交换芯片通过设置寄存器,使端口内认 证VLAN内的未知单播报文直接发送到CPU,这样就节省了 ACL资源。
步骤s303、认证设备接收交换设备发送的报文,判断发送报文的终端所属 的VLAN以及发送才艮文的源MAC地址。
步骤s304、认证设备才艮据发送才艮文的终端所属的VLAN以及发送报文的 源MACi也址,对净艮文进4亍处理。
具体的,认证设备的认证端口接收到来自认证VLAN的终端发送的报文 时,处理原则如下收到来自认证VLAN的需要CPU处理的协议报文时,直 接发送给CPU;收到来自认证VLAN的不需要CPU处理的报文时,根据本 地的MAC表项进行处理,该处理过程在下文进行详细描述。
具体的,认证设备的认证端口接收到来自非认证VLAN的终端发送的报 文时,处理原则如下收到来自非认证VLAN的报文后,首先对发送给报文 的终端的MAC地址进行学习,之后判断该报文是否为需要CPU处理的协议 报文,若是则发送给CPU;否则进行转发处理。
以下对上述步骤s301 s304的认证方法进行详细描述,如图4所示,该 认证方法包括如下步骤
步骤s401、配置认证设备,在认证i殳备的全局和端口下配置MAC认i正 功能。
步骤s402、配置认i正端口下的认证VLAN和非认证VLAN。 认证端口还进一步与交换设备连接,交换设备下不同类型的用户终端属 于不同的VLAN,使所有来自非认证VLAN的报文即使源MAC未知,也要 学习该MAC并进行处理,对于来自认证VLAN的报文,进行MAC认证并处理。
步骤s403、认证端口接收到报文时,判断其是否来自认证VLAN。来自 非认证VLAN时,进行步骤s404;否则来自认证VLAN,进行步骤s408。 步骤s404 、认证端口进行MAC地址的学习。
步骤s405、认证端口判断该报文是否需要上送CPU,对于需要上送CPU 处理的协议报文,进行步骤s405,否则进行步骤s407。 步骤s406、将报文上送CPU进行处理并结束。
步骤s407、对报文进行转发处理并结束,该转发处理包括正常的MAC 表项匹配处理和不匹配广4番处理等。
步骤s408、认证端口判断该报文是否需要上送CPU,对于需要上送CPU 处理的协议报文,进行步骤s409,否则进行步骤s410。 步骤s409、将报文上送CPU进行处理并结束。
步骤s410、认证端口判断该报文的源MAC地址是否已经存在于MAC转 发表项中,是则进行步骤s407,否则进行步骤s411。
步骤s411、认证端口判断该报文的源MAC地址是否已经存在于静默 MAC表项中,是则进行步骤s412,否则进行步骤s413。
步骤s412、丟弃该"R文并结束。
步骤s413、认证端口对该4艮文的源MAC地址进行认证,认证成功时进 行步骤s415,否则进行步骤s414。
步骤s414、将该报文的源MAC地址添加到静默MAC表项,并进行步骤 s411。
步骤s415、将该报文的源MAC地址添加到MAC转发表项。 步骤s416、对报文进行转发处理并结束。
以下结合一个具体的组网场景,对本发明的实施方式作进一步的说明。 如图5所示,网络中的接入层交换机A-1以及A-2下部署用户终端PC,接入 层交换机无MAC认证功能,其通过双归属上行到汇聚层交换机B-l和B-2, 由汇聚层交换才几进行MAC认证。目前的应用组网中,普遍使用该组网方式。 与接入层交换机连接的各用户终端中,PC1、 PC2和PC3为特殊用户(如固 定用户),其不需要MAC认证即可接入网络;对于PC4和PC5(如移动用户), 需要在MAC认证后才能接入网络。
对于上述组网场景,按照本发明提供的方法,对网络中的设备进行如下 配置
在接入层交换机A-1上将不需要MAC认证即可上网的特殊用户PC1与 PC2划分到VLAN100, PC3划分到VLAN200;其他一般用户可以根据需要 进行划分,这里假设将PC4与PC5划分到VLANIO。对于与汇聚层交换机连 接的上行接口,配置为对上行到汇聚层交换机的报文进行加标识(TAG)处 理,使用该标识作为报文所属VLAN的标识。例如对于来自PC4或PC5的报 文,在报文中加入标识VLAN10;再例如对于来自PC1与PC2的报文,在报 文中加入标识VLAN亂
在汇聚层交换机B-l和B-2上配置MAC认i正功能,其端口 Pl和P3分别 为具有MAC认证功能的端口 ,配置VLAN100和VLAN200为非认证VLAN, 无需特别进行配置。另夕卜,配置VLAN10为认证VLAN。
以下列举〗吏用本发明的方法时对一些典型情况的处理方式 (1 )非认证VLAN中的用户如PC1试图直接访问外部网络
接入层交换机A-1接收到来自PC1的报文,获取该报文的发送方所属的 VLAN后,将该报文加标识VLAN100并通过与汇聚层交换机连接的上行接口 向汇聚层交换机B-1发送。
汇聚层交换机B-l的认证端口 Pl接收该才艮文,才艮据标识VLAN100判断 该才艮文为来自非认证VLAN,正常转发该才艮文或将该报文上送到CPU处理。
(2 )认证VLAN中的用户PC4试图直接访问外部网络
接入层交换机A-1接收到来自PC4的报文,获取该报文的发送方所属的 VLAN后,将该才艮文加标识VLAN10并通过与汇聚层交换机连4妄的上行接口 向汇聚层交换机B-1发送。
汇聚层交换机B-l的认证端口 Pl接收该才艮文,才艮据标识VLAN10判断该 报文为来自认证VLAN,且发送该报文的PC4的MAC地址在MAC转发表项 中不存在,则发起MAC认证,假设RADIUS服务器端口存在此MAC地址, 则MAC认证通过,PC4可以访问外部网络。
(3)认证VLAN中的用户PC5试图直接访问外部网络
接入层交换机A-l接收到来自PC5的报文,获取该报文的发送方所属的 VLAN后,将该报文加标识VLAN10并通过与汇聚层交换机连接的上行接口 向汇聚层交换机B-1发送。
汇聚层交换机B-l的认证端口 Pl接收该报文,根据标识VLAN10判断该 报文为来自认证VLAN,且发送该才艮文的PC5的MAC地址在MAC转发表项 中不存在,则发起MAC认证,假设RADIUS服务器端口不存在此MAC地址,
则MAC iU正失败,PC5无法访问外部网络。。
通过使用上述认证方法,实现了 MAC认证中对上网的用户终端的细致划 分,使得不需要认证的用户终端可以通过认证端口直接接入,大大增强了组 网的灵活性,节约了成本,减少了网络管理和维护的工作量。
本发明还提供了一种认证系统,包括认证设备和交换设备,以认证设备 为汇聚层交换设备、交换设备为接入层交换设备为例。该认证系统的结构如 图6所示,包括接入层交换设备10和汇聚层交换设备20。其中,接入层交换 设备10用于根据预先设定的VLAN,将来自不同VLAN的用户终端的报文进 行加标识处理并发送到汇聚层交换设备20;汇聚层交换设备20用于在接收到 接入层交换设备10发送的报文时,通过报文中的标识获取其所属VLAN,然 后根据预先配置的VLAN信息判断其来自认证VLAN或非认证VLAN,从而 根据报文所属VLAN以及发送该报文的源MAC地址对报文进行处理。
具体的,接入层交换设备IO进一步包括VLAN配置单元ll、 VLAN获 取单元12、标识添加单元13以及报文发送单元14。
VLAN配置单元11,用于对与本接入层交换机连接的用户终端所属的 VLAN进行配置,其中,将不需要进行认证的特殊用户终端划分为一个或多 个VLAN,称为非认证VLAN; —般的用户终端所在的VLAN称为认证VLAN。 其中,上述认证VLAN与非认证VLAN的信息预先也在汇聚层交换设备20 进行了配置。
VLAN获取单元12、与VLAN配置单元11连接,用于在接收到用户终 端发送的报文时,根据VLAN配置单元ll的配置,获取发送该报文的用户终 端所属的VLAN。
标识添加单元13,与VLAN获取单元12连接,用于根据VLAN获取单 元12获取到的发送报文的用户终端所属的VLAN,在报文中添加标识以作为 该报文的发送终端所属的VLAN的标识。
净艮文发送单元14,与标识添加单元13连接,用于将标识添加单元13进 行加标识处理后的^t艮文向汇聚层交换i殳备20发送。
具体的,汇聚层交换设备20进一步包括端口配置单元21、判断单元 22以及处理单元23。
端口配置单元21,用于对汇聚层交换设备的端口进行配置,配置后的端 口为认证端口,具有MAC认证功能,且对接入层交换设备10下各VLAN属 于认证VLAN或非认证VLAN的信息进行了预先配置。
判断单元22,用于在接收到接入层交换设备10发送的报文时,获取报文 携带的VLAN标识以及该报文的源MAC地址,根据该标识判断报文的发送 终端属于iU正VLAN或非iU正VLAN。
处理单元23,与判断单元22和端口配置单元21连接,用于根据判断单 元22获取的才艮文的源MAC地址、才艮文的发送终端属于认i正VLAN或非"i人证 VLAN、以及端口配置单元21中对VLAN的配置,对报文进行相应的处理, 该处理包括(1)对于来自非认证VLAN的报文处理原则如下收到来自非 认证VLAN的报文后,首先对发送给报文的终端的MAC地址进行学习,之 后判断该报文是否为需要CPU处理的协议报文,若是则发送给CPU;否则进 行转发处理。(2)对于来自认证VLAN的报文处理原则如下对于需要CPU 处理的协议报文,直接发送给CPU;对于不需要CPU处理的报文,根据本地 的MAC表项进行处理,该处理具体为当报文的源MAC地址存在于MAC 地址转发表项中时直接进行转发,否则进行MAC认证,对于认证通过的MAC 地址添加到MAC地址转发表项中,否则添加到静默MAC表项中并丟弃该报 文。
通过4吏用上述认证系统和设备,实现了 MAC认i正中对上网的用户终端的 细致划分,使得不需要认证的用户终端可以通过认证端口直接接入,大大增 强了组网的灵活性,节约了成本,减少了网络管理和维护的工作量。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件, 但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案 本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来, 该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台设备执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种MAC认证方法,其特征在于,包括以下步骤认证设备的认证端口接收到交换设备发送的报文时,获取发送所述报文的终端的源MAC地址以及所属的VLAN;所述认证设备根据发送所述报文的终端的源MAC地址、所属的VLAN以及预设的VLAN属性,对所述报文进行处理。
2、 如权利要求1所述MAC认证方法,其特征在于,所述认证设备的认 证端口接收到交换设备发送的报文前,还包括步骤配置所述认证设备以及所述交换设备,所述配置具体为配置所述认证设备上与所述交换设备连接的端口为具有MAC认证功能 的认证端口;划分所述交换设备下不同终端所属的VLAN,将不同的VLAN配置为不 需认证的非认证VLAN或需要认证的认证VLAN,并将所述交换设备下的 VLAN信息通知所述认证设备。
3、 如权利要求1所述MAC认证方法,其特征在于,所述交换设备发送 报文具体为所述交换设备接收到终端发送的报文;所述交换设备获取发送所述报文的终端所属的VLAN,并在所述报文中 添加所述VLAN的标识;所述交换设备向所述认证设备发送所述携带VLAN标识的报文。
4、 如权利要求3所述MAC认证方法,其特征在于,所述认证设备获取 发送报文的终端所属的VLAN的步骤具体为所述认证设备根据所述报文中携带的VLAN的标识,获取发送所述才艮文 的终端所属的VLAN。
5、 如权利要求1至4中任一项所述MAC认证方法,其特征在于,所述 认证设备发送报文的终端的源MAC地址、所属的VLAN以及预设的VLAN 属性,对报文进行处理的步骤具体包括对于来自所述非认证VLAN内终端的报文,判断所述报文是否为需要 CPU处理的协议报文,若是则发送给CPU,否则进行转发处理。
6、 如权利要1至4所述MAC认证方法,其特征在于,所述认证设备根 据发送净艮文的终端的源MAC地址、所属的VLAN以及预i殳的VLAN属性, 对报文进行处理的步骤具体包括对于来自所述认证VLAN内终端的报文,判断所述报文是否为需要CPU 处理的协议报文,对于需要CPU处理的协议报文,直接发送给CPU;对于不需要CPU处否则进4于MAC认证,对于i人i正通过的MAC地址添加到MAC地址转发表项 中,否则添加到静默MAC表项中并丢弃所述报文。
7、 一种MAC认证系统,其特征在于,包括交换设备,用于将来自不同VLAN的报文发送到所述认证设备; 认证设备,用于在接收到所述交换设备发送的报文时,根据发送所述报文的终端的源MAC地址、所属的VLAN以及预设的VLAN属性,对所述才艮文进行处理。
8、 如权利要求7所述MAC认证系统,其特征在于,所述交换设备进一 步包括VLAN配置单元,用于划分本设备下不同终端所属的VLAN,将不同的 VLAN配置为不需认证的非认证VLAN或需要认证的认证VLAN,并将所述 VLAN信息通知所述认证设备;VLAN获取单元,用于在接收到报文时,根据所述VLAN配置单元的配 置,获取发送所述报文的终端所属的VLAN;标识添加单元,用于根据所述VLAN获取单元获取到的发送报文的终端 所属的VLAN,在净艮文中添加所述VLAN的标识;报文发送单元,用于将所述标识添加单元进行加标识处理后的报文向所 述认证设备发送。
9、 如权利要求8所述MAC认证系统,其特征在于,所述认证设备进一 步包括端口配置单元,用于将本设备的端口配置为具有MAC认证功能的认证端 口 ,且对与本设备连接的所述交换设备下各VLAN的信息进行预先配置;判断单元,用于在接收到所述交换设备发送的报文时,获取发送所述报 文的终端的源MAC地址以及所属的VLAN;处理单元,用于才艮据所述端口配置单元的配置、以及所述判断单元获取 发送净艮文的终端的源MAC地址以及所属的VLAN,对所述才艮文进行处理。
10、如权利要求7所述MAC认证系统,其特征在于,所述认证设备为汇 聚层交换设备,所述交换设备为接入层交换设备。
全文摘要
本发明公开了一种MAC认证方法,包括以下步骤认证设备的认证端口接收到交换设备发送的报文时,获取发送所述报文的终端的源MAC地址以及所属的VLAN;所述认证设备根据发送所述报文的终端的源MAC地址、所属的VLAN以及预设的VLAN属性,对所述报文进行处理。本发明还公开了一种用于MAC认证的系统。通过使用本发明,实现了MAC认证中对上网的用户终端的细致划分,使得不需要认证的用户终端也可以通过认证端口接入,大大增强了组网的灵活性,节约了成本,减少了网络管理和维护的工作量。
文档编号H04L12/56GK101197785SQ200810000040
公开日2008年6月11日 申请日期2008年1月4日 优先权日2008年1月4日
发明者郭振华 申请人:杭州华三通信技术有限公司