专利名称:一种网络接入控制方法及接入控制装置的制作方法
技术领域:
本发明涉及网络接入控制技术领域,特别涉及一种网络接入控制方法及 接入控制装置。
背景技术:
802.IX协议是一种基于端口的网络接入控制协议(port based network access control protocol)。"基于端口的网络接入控制"是指在局域网接入 设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用 户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证, 则无法访问局域网中的资源。802.IX协议作为局域网端口的一个普通接入 控制机制在以太网中^皮广泛应用,主要解决以太网内认证和安全方面的问 题。图1为现有802.1X认证系统结构图,如图1所示,现有802.1X认证系 统为典型的Client/Server结构,包括三个实体客户端(Client)、设备端 (Device)和认证服务器(Server)。客户端是被认证实体, 一般为用户终端设备,用于发起802.1X认证。设备端对所连4妻的客户端进行认证。设备端通常为支持802.1X协i义的 网络设备,通过局域网上的可扩展认证协议(EAPOL , Extensible Authentication Protocol over LAN )进行认证。它为客户端提供接入局域网的 端口,该端口可以是物理端口 ,也可以是逻辑端口 。认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用 户进行认证、授权和计费,通常为远程认证拨号用户服务(RADIUS, Remote Authentication Dial-In User Service )月良务器。4一般的使用情况下,对于单层交换网络,设备端可以对与其直接相连的 客户端设备进行接入控制,限制用户访问网络资源。
而对于多层交换网络,情况则有些复杂。图2为典型的多层交换网络结
构示意图,如图2所示,该网络中包括认证服务器、边缘交换设备、核心交 换设备、客户端1和客户端2。其中,核心交换设备连接英特网(Internet) 边缘交换设备通过上行端口 3与核心交换设备的下行端口 4相连,客户端1 通过边缘交换设备的下行端口 1接入网络,客户端2通过边缘交换设备的下 行端口 2接入网络(本发明不涉及认证服务器与具体认证过程,因此认证服 务器未示出)。当然,这里的核心交换设备是一个广义的概念,实际可以包 括多层的交换设备组成的核心交换设备网。
在上述多层交换网络中,为了方便用户接入网络,以及简化网络部署, 一般不在边缘交换设备部署802.1X认证,而仅在核心交换设备上部署 802.IX认证。但此时网络将完全丧失对客户端接入和访问底层网络资源(边 缘交换设备上连接的网络资源)的控制。
另外,如果客户端1要通过核心交换设备进行802.1X认证,则需要通 过边缘交换设备转发用于与核心交换设备进行认证的认证报文。目前802.1X 认证通常使用EAPOL协i义,客户端1接入下行端口 1后,将通过下行端口 1发送认证开始报文,边缘交换设备通过上行端口 3将认证开始报文转发至 核心交换设备的下行端口 4,核心交换设备将通过边缘交换设备向客户端下 发认证请求(EAP-R叫uest)报文,认证请求报文通过边缘交换设备的上行 端口 3转发到下行端口 2,从而发送给客户端1;再经过后续一系列认证4良 文交互,最终如果认证成功,则核心交换设备将下发认证成功(EAP-Success) 报文,否则将下发认证失败(EAP-Failure ) 4艮文。
此时若客户端2恶意仿冒核心交换设备向客户端1发送上述3种认证报 文,则会干扰客户端l正常的认证过程,〗吏客户端1无法通过认证,或者使 已经认证通过的客户端1下线。
发明内容
本发明实施例提供一种网络接入控制方法,用于多层交换网络,边缘交 换设备通过上行端口与核心交换设备相连,在核心交换设备上启用网络接入 认证,边缘交换设备上不启用网络接入认证时,也可以实现对客户端的接入控制。
本发明实施例提供一种网络接入控制装置,用于多层交换网络,边缘交 换设备通过上行端口与核心交换设备相连,在核心交换设备上启用网络接入 认证,边缘交换设备上不启用网络接入认证时,也可以实现对客户端的4妾入控制。
为达到上述目的,本发明的技术方案具体是这样实现的
一种网络接入控制方法,用于多层交换网络,边缘交换设备通过上行端 口与核心交换设备相连,在核心交换设备上启用网络接入认证,边缘交换设 备上不启用网络接入认证时,对客户端通过边缘交换设备的下连接口接入网 络进行控制;该方法包括
对边缘交换设备的下行端口收发的报文进行侦听,若在所述下行端口侦 听到认证成功报文,则允许所述下行端口收发全部报文,否则仅允许所述下 行端口收发认证报文。
一种网络接入控制装置,用于多层交换网络,边缘交换设备通过上行端 口与核心交换设备相连,在核心交换设备上启用网络接入认证,边缘交换设 备上不启用网络接入认证时,对客户端通过边缘交换设备的下连接口接入网 络进行控制,该装置包括
侦听模块,与所述下连接口相连,用于对边缘交换设备的下行端口收发 的报文进行侦听;
端口控制模块,与所述侦听模块和所述下行端口相连,用于控制端口允 许收发的报文,若所述侦听模块在所述下行端口侦听到认证成功报文,则允 许所述下行端口收发全部才艮文,否则仅允许所述下4于端口收发认证报文。由上述的技术方案可见,本发明的这种通过对边缘交换设备的下行端口收发的报文进行侦听,若在所述下行端口侦听到认证成功报文,则允许所述下行端口收发全部报文,否则仅允许所述下行端口收发认证报文。对于多层交换网络,边缘交换设备通过上行端口与核心交换设备相连的情况下,在核心交换设备上启用网络接入认证,边缘交换设备上不启用网络接入认证时,也可以实现对客户端的接入控制。另外,通过在非信任端口接收到认证请求
EAP-Request净艮文,认证成功EAP-Success冲艮文和^人证失败EAP-Failure 4艮文中的任意一种报文时,不进行转发,而是直接丢弃,避免了恶意客户端对正常客户端认证过程的千扰,进一步增强了网络的安全性。
图1为现有802.1X认证系统结构图2为典型的多层交换网络结构示意图3为本发明实施例的网络接入控制方法流程图4为本发明实施例的网络接入控制装置结构示意图。
具体实施例方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
本发明主要是通过对边缘交换设备的下行端口收发的报文进行侦听,实现对下联接口的控制,若在所述下行端口侦听到认证成功报文,则允许所述下行端口收发全部报文,否则仅允许所述下行端口收发认证报文。通过这种控制方法,即使仅在核心交换设备上启用网络接入认证,而边缘交换设备上不启用网络接入认证,也可以实现对客户端通过边缘交换设备的下连接口接入网络的动作进行控制,提高网络的安全性。
本发明实施例的网络接入控制方法应用于图2所示的多层交换网络中,多层交换网络中各个设备之间的连接关系同背景技术中对图2的描述,这里
7不再赘述,其中,边缘交换设备上不启用网络接入认证,核心交换设备的下 行端口 4启用网络接入认证。此时,本发明实施例的网络接入控制方法可以
参见图3。
图3为本发明实施例的网络接入控制方法流程图,如图3所示,该流程 包括如下步骤
步骤301,对边缘交换设备的下行端口收发的报文进行侦听。 步骤302,判断是否侦听到认证成功报文,是则执行步骤303,否则执 行步骤304。
步骤303,允许下行端口收发全部4艮文。 步骤304,仅允许下行端口收发认证4艮文。
这里仅允许下行端口收发认证报文是指下行端口仅被允许收发认证报 文而不能收发其它任何报文。另外,如果侦听到认证成功报文,将下行端口 设置为允许收发全部报文后,又进一步侦听到认证失败报文,则可将下行端 口重新设置为仅允许收发认证报文的状态。
其中认证报文可以是802.IX认证净艮文,包括认证开始(EAPoL-Start) 报文、认证请求(EAP-Request)报文、认证响应(EAP-Response )报文、 认证成功(EAP-Success )报文,和认i正失败(EAP-Failure )报文等。步骤 301中如果认证成功,将侦听到EAP-Success报文,如果认证失败,将侦听 到EAP-Failure报文。当然,根据不同的认证协议,具体的认证报文可能是 不同的。
通过上述流程,即使边缘交换设备上没有启用网络接入认证,也可以强 制客户端通过核心交换设备上启用的网络接入认证后才能访问网络资源,.实 现了对客户端接入的控制。
另外,步骤304中仅允许所述下行端口收发认证报文,其具体收发认证 报文的方式可以是将所述下行端口接收到的来自客户端的认证报文向上行 端口转发,将所述上行端口接收到的来自核心交换设备的认证报文向下行端 口转发。例如将端口 1侦听到的客户端1的认证报文通过端口 3转发给核心交换设备,对于从端口 3收到的核心交换设备的认证报文,则通过端口 l送 达客户端l。而对于认证l艮文以外的其它报文,可以緩存处理,待认证后转 发,也可以直接丟弃。
为进一步防止边缘交换设备下行端口上的其它设备仿冒核心交换设备 向正常进行网络接入认证的客户端发送仿冒的认证报文,在上述实施例的基
础上,还可以进一步对下行端口进行限制。根据802.1X协议,协议4艮文中 的EAP-Request报文、EAP-Success报文和EAP-Failure报文规定是由开启认 证功能的交换设备发送给接入用户的,恶意客户端可能通过这三种报文对正 常认证过程进行干扰。因此,在下行端口接收到来自非核心交换设备发送的 认证请求EAP-Request 4艮文,认证成功EAP-Success净艮文和认证失败 EAP-Failure报文中的任意一种报文时,不进行转发,而是直接丢弃,即可 防止恶意客户端对正常客户端的攻击。
具体可以通过端口配置实现控制,例如配置上行端口 3为信任端口,下 行端口 2为非信任端口 ,对于信任端口允许接收并转发上述的EAP-Request 报文、EAP-Success报文和EAP-Failure报文三种认证报文,而非信任端口 (端口 2)上收到这三种认证报文会被直接丢弃,这样即使客户端2是恶意 客户端,也无法通过下行端口 2对客户端1进行攻击。
模块,在网络交换设备中开启该功能模块后,即启用上述流程,例如固化的 功能模块称为IX Sno叩ing,在边缘交换设备上,可以针对单独的下行端口 启用IX Snooping进行控制,也可以对所有下行端口启用IX Snooping进行控制。
为实现上述方法,本发明还设计了一种网络接入控制装置,用于如图2所 示的多层交换网络,边缘交换设备通过上行端口与核心交换设备相连,在核心 交换设备上启用网络接入认证,边缘交换设备上不启用网络接入认证时,对客 户端通过边缘交换设备的下连接口接入网络进行控制。
图4为本发明实施例的网络接入控制装置结构示意图,如图4所示,该装置包括
侦听模块401,与边缘交换设备的下连接口 405相连,用于对下行端口 404 收发的报文进行侦听;
端口控制模块402,与所述侦听模块401和下行端口 404相连,用于控制 下行端口 404允许收发的4艮文,若所述侦听4莫块401在下行端口 404侦听到认 证成功报文,则允许下行端口 404收发全部报文,否则仅允许下行端口 404收 发认证报文。
较佳地,所述端口控制模块402可以进一步与边缘交换设备的上行端口 405 相连,用于将下行端口 404接收到的来自客户端的认证报文向上行端口 405转 发,将上行端口 405接收到的来自核心交换设备的认证报文向下行端口 404转 发,送至下^f亍端口 404上连"l妻的客户端。
较佳地,该装置可以进一步包括报文丟弃模块403,与侦听模块401和下 行端口 404分别相连,用于根据所述侦听模块401的侦听结果对报文进行丢弃, 具体是丢弃所述下行端口 404接收到的除认证报文以外的其他所有报文。
另外,为进一步防止边缘交换设备下行端口上的其它设备仿冒核心交换 设备向正常进行网络接入认证的客户端发送仿冒的认证报文,所述网络接入 控制装置可以进一步包括信任端口配置模块406,所述信任端口配置模块 406与所述上4亍端口 405和所述下行端口 404分别相连,用于将上行端口 405 或下行端口 404设置为信任端口,未设置为信任端口的上行端口或下行端口 则为非信任端口 。只有信任端口可以转发收到的认证请求EAP-R叫uest报文、 认证成功EAP-Success报文和认证失败EAP-Failure报文,非信任端口收到 上述三种报文时将被所述述报文丢弃模块403丢弃。
此时,所述报文丢弃模块403,可以进一步与所述上行端口 405相连, 用于丢弃所述非信任端口接收到的认证请求EAP-R叫uest报文,认证成功 EAP-Success 4艮文和i人i正失败EAP-Failure报文。
本实施例中的网络接入控制装置可以集成在边缘交换设备中,也可以是 一个独立的设备。其各模块实现的具体功能可以参考方法实施例,这里就不
10再赘述了。
由上述的实施例可见,本发明通过对边缘交换设备的下行端口收发的报 文进行侦听,若在所述下行端口侦听到认证成功报文,则允许所述下行端口 收发全部报文,否则仅允许所述下行端口收发认证报文。对于多层交换网络, 边缘交换设备通过上行端口与核心交换设备相连的情况下,在核心交换设备 上启用网络接入认证,边缘交换设备上不启用网络接入认证时,也可以实现
对客户端的接入控制。另外,通过在非信任端口接收到认证请求EAP-Request 报文,认证成功EAP-Success报文和认证失败EAP-Failure报文中的任意一 种报文时,不进行转发,而是直接丢弃,避免了恶意客户端对正常客户端认 证过程的干扰,增强了网络的安全性。
所应理解的是,以上所述仅为本发明的较佳实施方式而已,并不用于限 定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等 同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1、一种网络接入控制方法,用于多层交换网络,边缘交换设备通过上行端口与核心交换设备相连,在核心交换设备上启用网络接入认证,边缘交换设备上不启用网络接入认证时,对客户端通过边缘交换设备的下连接口接入网络进行控制,其特征在于,该方法包括对边缘交换设备的下行端口收发的报文进行侦听,若在所述下行端口侦听到认证成功报文,则允许所述下行端口收发全部报文,否则仅允许所述下行端口收发认证报文。
2、 如权利要求1所述的网络接入控制方法,其特征在于,所述仅允许下行 端口收发认证报文包括将所述下行端口接收到的来自客户端的认证报文向上 行端口转发,将所述上行端口接收到的来自核心交换设备的认证报文向下行端口转发。
3、 如权利要求2所述的网络接入控制方法,其特征在于,所述允许所述下 行端口收发认证报文进一步包括丢弃认证报文以外的其它所有报文。
4、 如权利要求l、 2或3所述的网络接入控制方法,其特征在于,所述认 证报文为802.1X认证报文。
5、 如权利要求4所述的网络接入控制方法,其特征在于,该方法进一步包 括当所述下行端口接收到来自非核心交换设备的认证请求EAP-R叫uest报文、 认证成功EAP-Success报文和认证失败EAP-Failure报文时,直接丢弃,不进行 转发。
6、 一种网络接入控制装置,用于多层交换网络,边缘交换设备通过上行端 口与核心交换设备相连,在核心交换设备上启用网络接入认证,边缘交换设备 上不启用网络接入认证时,对客户端通过边缘交换设备的下连接口接入网络进 行控制,其特征在于,该装置包括侦听才莫块,与所述下连接口相连,用于对边缘交换设备的下行端口收发的 才艮文进行侦听;端口控制模块,与所述侦听模块和所述下行端口相连,用于控制端口允许收发的报文,若所述侦听模块在所述下行端口侦听到认证成功报文,则允许所 述下行端口收发全部报文,否则仅允许所述下行端口收发认证报文。
7、 如权利要求6所述的网络接入控制装置,其特征在于,所述端口控制模 块进一步与所述上行端口相连,用于将所述下行端口接收到的来自客户端的认 证报文向上行端口转发,将所述上行端口接收到的来自核心交换设备的认证报 文向下行端口转发。
8、 如权利要求7所述的网络接入控制装置,其特征在于,该装置进一步包 括报文丢弃模块,与所述侦听模块和所述下行端口分别相连,用于根据所述侦 听模块的侦听结果,丟弃所述下行端口接收到的除认证报文以外的其他所有报 文。
9、 如权利要求8所述的网络接入控制装置,其特征在于,该装置进一步包 括信任端口配置模块,所述信任端口配置模块与所述上行端口和下行端口分 别相连,用于将所述上行端口或下行端口设置为信任端口,未设置为信任端口 的上行端口或下行端口则为非信任端口 ;所述报文丢弃模块,进一步与所述上行端口相连,用于丢弃所述非信任端 口接收到的认证请求EAP-R叫uesU良文,认证成功EAP-Success 4艮文和认证失 败EAP-Failure报文。
10、 如权利要求6 9中任一项权利要求所述的网络接入控制装置,其特征 在于,该装置集成于边缘交换设备中或为一独立设备。
全文摘要
本发明公开了一种网络接入控制方法,用于多层交换网络,边缘交换设备通过上行端口与核心交换设备相连,在核心交换设备上启用网络接入认证,边缘交换设备上不启用网络接入认证时,对客户端通过边缘交换设备的下连接口接入网络进行控制。该方法对边缘交换设备的下行端口收发的报文进行侦听,若在所述下行端口侦听到认证成功报文,则允许所述下行端口收发全部报文,否则仅允许所述下行端口收发认证报文。对于多层交换网络,边缘交换设备通过上行端口与核心交换设备相连的情况下,在核心交换设备上启用网络接入认证,边缘交换设备上不启用网络接入认证时,也可以实现对客户端的接入控制。
文档编号H04L12/56GK101534250SQ20091008238
公开日2009年9月16日 申请日期2009年4月15日 优先权日2009年4月15日
发明者朱国平, 柴永富 申请人:杭州华三通信技术有限公司