专利名称:基于简单网络协议的接入认证方法及装置的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种基于简单网络协议接入认证方法及装置。
背景技术:
虚拟局域网(Virtual Local Area Network,简称为VLAN)是一种将局域网设备从 逻辑上划分成多个网段(也可以认为是更小的局域网),从而实现虚拟工作组(单元)的数 据交换技术。VLAN这一新兴技术主要应用于交换机和路由器中。采用VLAN技术具有以下优点(1)端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。 因此一个物理的交换机可以当作多个逻辑的交换机使用。(2)网络的安全。不同VLAN不能直接通信,杜绝了广播信息的不安全性。(3)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以 了。VLAN技术在交换机上的实现方法,可以大致划分为以下几类(1)基于端口的 VLAN ; (2)基于媒体接入控制(Media AccessControl,简称为MAC)地址的VLAN ; (3)基于 网络层协议的VLAN ; (4)根据IP组播的VLAN ; (5)按策略划分的VLAN ; (6)按用户定义、非 用户授权划分的VLAN。其中,对于基于MAC地址的VLAN而言,划分VLAN的方法是根据每 个主机的MAC地址来划分,即对每个MAC地址的主机都配置该主机属于哪个组,实现的机制 就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLAN MAC的地址。该方式 的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的 成员身份。通过该划分的机制的最大优点就是当用户物理位置移动时,即从一个交换机换 到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口。目前,终端设备常用的接入认证方式主要是通过PPPoE拨号进行认证,因此需要 在终端设备上实现PPPoE拨号功能,增加终端设备的软件复杂度。此外,目前的终端设备接 入常常被限制在固定网络设备端口上,不方便终端设备移机到别的地方使用。因此,需要提 供一种基于简单网络协议的MAC地址认证方案。
发明内容
针对相关技术中在终端设备上实现PPPoE拨号功能,增加了终端设备的软件复杂 度。并且终端设备接入常常被限制在固定网络设备端口上,不方便终端设备移机到别的地 方使用的问题而提出本发明,为此,本发明的主要目的在于提供一种改进的基于简单网络 协议的接入认证方法及装置,以解决上述问题至少之一。根据本发明的一个方面,提供了一种基于简单网络协议的接入认证方法。根据本发明的基于简单网络协议的接入认证方法包括网络设备获取终端设备的 预先配置的认证管理虚拟局域网(VLAN)、媒体接入控制(MAC)地址以及与终端设备相连接的网络设备的端口号;网络设备确定认证管理VLAN与网络设备配置的认证管理VLAN相同, 则判断MAC地址是否在端口号对应的端口上取得接入认证;如果否,网络设备向网管系统 上报认证请求以获取终端设备的接入认证,其中,认证请求携带有MAC地址及端口号的信 肩、ο根据本发明的另一方面,提供了一种基于简单网络协议的接入认证装置。根据本发明的基于简单网络协议的接入认证装置包括获取单元、判断单元、发送 单元,其中,获取单元,用于获取终端设备的预先配置的认证管理虚拟局域网VLAN、媒体接 入控制MAC地址以及与终端设备相连接的网络设备的端口号;判断单元,用于判断认证管 理VLAN与网络设备配置的认证管理VLAN是否相同,并判断MAC地址是否在端口号对应的 端口上取得接入认证;发送单元,用于向网管系统上报认证请求以获取终端设备的接入认 证,其中,认证请求携带有MAC地址及端口号的信息。通过本发明,仅需要终端设备提供MAC地址,由网络设备负责完成其余的认证过 程,终端设备不需要处理认证协议,解决了相关技术中由于在终端设备上实现PPPoE拨号 功能,增加了终端设备的软件复杂度的问题,同时也解决了终端设备接入常常被限制在固 定网络设备端口上,不方便终端设备移机到别的地方使用的问题,进而可以降低终端设备 复杂度,并简化认证过程。并且网络设备采用SNMP作为认证协议,也可以不实现PPPoE功 能,从而降低了网络设备的复杂度。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1为根据本发明实施例的网络架构图;图2为根据本发明实施例的基于简单网络协议的接入认证方法的流程图;图3为根据本发明优选实施例的定时扫描MAC地址学习表的流程图;图4为根据本发明优选实施例的判断MAC地址是否需要发送认证Trap的流程图;图5为根据本发明优选实施例的基于简单网络协议的接入认证方法的流程图;图6为根据本发明实施例的接入认证装置的结构框图;图7为根据本发明优选实施例的基于简单网络协议的接入认证装置的结构框图。
具体实施例方式功能概述本发明实施例提供了一种基于简单网络协议的接入认证方案,首先在终端设备上 预先配置好认证管理VLAN,连接到网络设备;将网络设备上各用户端口以Tag方式加入到 认证管理VLAN中(网络设备上的认证管理VLAN和终端设备上的认证管理VLAN—致);网 络设备上配置好MAC地址池特征码;之后网络设备上定时扫描MAC地址学习表,得到MAC地 址、VLAN和用户端口号。进行如下判断操作判断VLAN是否等于认证管理VLAN,如果不等于,不需要做进一步处理。否则,判断MAC地址是否符合MAC地址池特征码,如果不符合,不 需要做进一步处理。否则,判断MAC地址是否在此用户端口上认证成功,如果已经认证成 功,不需要做进一步处理。否则,网络设备上通过SNMP向网管系统上报基于简单网络协议 的接入认证请求Trap信息,信息内容包括MAC地址、用户端口号;之后网管系统接收到网络 设备发送的SNMP认证请求Trap,进行认证,如果认证通过,返回认证结果到网络设备。网络 设备接收到网管系统返回的认证通过结果,处理过程如下如果此MAC地址已经在其他的 用户端口认证成功,将原来认证成功的用户端口从业务VLAN中删除。并将新的用户端口加 入业务VLAN,并保存认证成功标记。之后,如果需要终端设备进行拆机,处理过程如下网 管系统下发终端设备拆机消息到网络设备;网络设备将用户端口从业务VLAN中删除,清除 认证成功标记。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相 互组合。下面将参考附图并结合实施例来详细说明本发明。方法实施例根据本发明实施例,首先提供了一种基于简单网络协议的接入认证方法。首先结合图1对本发明提供的网络架构进行描述。图1为根据本发明实施例的网 络架构图。如图1所示,根据本发明实施例的网络包括网管系统、一个或多个网络设备(图 中示出两个)、一个或多个终端设备(图中所示每个网络设备下接两个终端设备),其中,网 络设备下接终端设备,网络设备通过其他网络连接到网管系统。每个网络设备用户端口下 可以挂接一个终端设备。优选地,上述网络设备为将终端设备接入网管系统的接入设备,例如,F822、9806等。图2为根据本发明实施例的基于简单网络协议的接入认证方法的流程图。如 图2所示,根据本发明实施例的基于简单网络协议的接入认证方法包括以下处理(步骤 S201-步骤 S205)步骤S201 网络设备获取终端设备的预先配置的认证管理VLAN、媒体接入控制 (Media Access Control,简称为MAC)地址以及与终端设备相连接的网络设备的端口号;优选地,上述网络设备获取预先配置的认证管理VLAN、MAC地址以及与终端设备 相连接的网络设备的端口号包括以下处理(1)网络设备获取预先配置的认证管理VLAN;(2)网络设备根据认证管理VLAN按照预定时间间隔在预先存储的MAC地址学习表 中查找,获取MAC地址及端口号。其中,上述步骤(2)在MAC地址学习表中查询过程可以参见图3。图3为根据本发 明优选实施例的定时扫描MAC地址学习表的流程图。如图3所示,该流程主要包括以下处 理(步骤S3Ol-步骤S3O9)步骤S301 获取配置的认证管理VLAN值。其中,终端设备通过认证管理VLAN向网络设备发送数据包,该数据包携带有终端 设备的源地址,目的地址,以及认证管理VLAN的信息。在具体实施过程中,网络设备的底层获取该数据包,获取认证管理VLAN的信息, 并学习到MAC地址,并将MAC地址存储在MAC地址学习表中,CPU定时扫描MAC地址学习表,并逐项获取MAC地址,并进行相应的处理。步骤S303 根据认证管理VLAN查询MAC地址学习表。过滤掉那些VLAN值不等于 认证管理VLAN的MAC地址表项,只获得在认证管理VLAN中学习到的MAC地址表项。步骤S305 判断查询的MAC地址表是否有表项。步骤S307 获取此MAC地址表项端口号、MAC地址,判断是否需要发送接入认证请 求信息Trap,具体参照图4及其说明。步骤S309 指向下一个MAC地址表项。在执行完步骤S309之后,一次扫描结束,网络设备将对下一个MAC地址表项进行 接入认证处理。步骤S203 网络设备确定认证管理VLAN与网络设备配置的认证管理VLAN相同, 则判断MAC地址是否在端口号对应的端口上取得接入认证;优选地,在网络设备确定认证管理VLAN与网络设备配置的认证管理VLAN相同之 后,还可以包括以下处理网络设备判断MAC地址是否符合MAC地址池特征码,其中,MAC地 址池特征码被预先配置在网络设备上。例如,在网络设备上配置的MAC地址池特征码支持00-D0-D0-4E-XX-52这样 的XX通配符,可以实现MAC地址过滤,不满足特征码的MAC地址学习条目将会被过滤 掉,降低网管系统的认证负载。00-D0-D0-4E-D7-52的MAC地址不会被过滤掉,但是 00-D0-4E-D0-D7-52的MAC地址则会被过滤掉。其中,判断MAC地址是否需要发送认证Trap的流程可以参见图4,图4为根据本发 明优选实施例的判断MAC地址是否需要发送认证Trap的流程图。如图4所示,该流程包括 以下处理(步骤S401-步骤S407)步骤S401 获取当前MAC地址表项的MAC地址和端口号。步骤S403 判断MAC地址是否匹配MAC地址池特征码。步骤S405 判断是否和前期认证成功的MAC地址一致,即判断MAC地址是否已经 在此端口上认证成功。步骤S407 发送接入认证请求信息Trap。优选地,网络设备发送认证请求,可以使用但不限于SNMP-Trap报文,不需要专门 的额外的协议处理(如PPPoE协议)。步骤S205 如果否,网络设备向网管系统上报认证请求以获取终端设备的接入认 证,其中,认证请求携带有MAC地址及端口号的信息。在具体实施过程中,在网络设备向网管系统上报认证请求以获取终端设备的接入 认证之后,还包括以下处理(1)网络设备接收来自于网管系统的认证通过消息;(2)网络设备判断MAC地址是否在除端口号对应的端口外的其他端口上认证成 功;(3)如果是,网络设备在业务VLAN中删除其他端口,并将端口号对应的端口加入 到业务VLAN中。优选地,在网络设备将端口号对应的端口加入到业务VLAN中之后,当网管系统要 求终端设备拆机时(例如,允许用户通过该终端设备上网的时限已到),可以包括以下处理(1)网络设备接收来自于网管系统下发的拆机消息,其中,拆机消息用于指示网络 设备将终端设备从端口号对应的端口上进行拆除;(2)网络设备将端口号对应的端口从业务VLAN中删除。图5为根据本发明优选实施例的基于简单网络协议的接入认证方法的流程图。如 图5所示,根据本发明优选实施例的基于简单网络协议的基于简单网络协议的接入认证方 法包括以下处理(步骤S501-步骤S515)步骤S501 将网络设备的各用户端口以Tag方式加入到认证管理VLAN中。步骤S503 配置MAC地址池特征码。步骤S505 通知定时器开始定时扫描。网络设备开始定时扫描MAC地址学习表, 进而触发后续的认证过程。步骤S507 上报接入认证请求信息Trap。终端设备通过认证管理VLAN发出带Tag 的数据包,网络设备上就可以学习到终端设备的MAC地址,通过一些判断处理后,发送终端 设备接入认证请求信息Trap。发送信息采用SNMP协议Trap类型封装,主要包括以下信息 端口号、MAC地址。步骤S509 返回认证通过消息。网管系统接收到网络设备发送的接入认证请求信 息Trap,进行认证,如果认证成功,发送认证通过消息到网络设备。步骤S511 将端口加入业务VLAN。认证通过之后,将端口加入业务VLAN,如果此 MAC地址在别的端口认证通过,将原端口从业务VLAN中删除。步骤S513 下发终端设备拆机消息。如果需要对终端设备拆机,网管系统下发拆 机消息到网络设备。步骤S515 将端口从业务VLAN中删除。通过上述实施例,提供了一种基于简单网络协议的接入认证方法,只需要终端设 备提供MAC地址,其余的认证过程网络设备负责完成,终端设备不需要处理认证协议,因而 降低了终端设备复杂度,并简化认证过程。同样网络设备采用SNMP作为认证协议,也可以 不实现PPPoE功能,降低网络设备的复杂度。此外,依据终端设备的MAC地址进行接入认 证,能够实现一个终端设备可以在任何允许的网络设备下接入使用。为降低网管系统MAC 地址认证的负载,还可以在网络设备上配置使用了 MAC地址池特征码,由网络设备根据MAC 地址池特征码对学习到的MAC地址进行过滤,只上报满足特征码的MAC地址的接入请求认 证Trap报文。因此可以降低网管系统的认证负载。装置实施例根据本发明实施例,还提供了一种基于简单网络协议的接入认证装置。图6为根据本发明实施例的基于简单网络协议的接入认证装置的结构框图。图7 为根据本发明优选实施例的基于简单网络协议的接入认证装置的结构框图。如图6所示, 根据本发明实施例的基于简单网络协议的接入认证装置包括获取单元1、判断单元2、发 送单元3,以下结合图7进行描述。其中,获取单元1,用于获取终端设备的预先配置的认证管理VLAN、MAC地址以及 与终端设备相连接的网络设备的端口号;优选地,如图7所示,获取单元1还可以进一步包括获取模块10、查询模块12,其中,获取模块10,用于获取预先配置的认证管理VLAN ;查询模块12,用于根据认证管理VLAN 按照预定时间间隔在预先存储的MAC地址学习表中查找,获取MAC地址及端口号。判断单元2,与获取单元1相连接,用于判断认证管理VLAN与网络设备配置的认证 管理VLAN是否相同,并判断MAC地址是否在端口号对应的端口上取得接入认证;优选地,判断单元2,还用于判断MAC地址是否符合MAC地址池特征码,其中,MAC 地址池特征码被预先配置在网络设备上。发送单元3,与判断单元2相连接,用于向网管系统上报认证请求以获取终端设备 的接入认证,其中,认证请求携带有MAC地址及端口号的信息。优选地,上述装置还可以包括接收单元4、处理单元5,其中,接收单元4,用于接 收来自于网管系统的认证通过消息;处理单元5,用于在业务VLAN中删除其他端口,并将端 口号对应的端口加入到业务VLAN中。则判断单元,还用于还用于判断MAC地址是否在除端 口号对应的端口外的其他端口上认证成功。优选地,上述接收单元4,还用于接收来自于网管系统下发的拆机消息,其中,拆机 消息用于指示网络设备将终端设备从端口号对应的端口上进行拆除;处理单元5,还用于 将端口号对应的端口从业务VLAN中删除。上述各单元及各模块相互结合的工作方式可以参见图2至图5中的描述,此处不 再赘述。通过上述实施例,提供了一种基于简单网络协议的接入认证装置(即上面提到的 网络设备),该接入认证装置只需要学习到终端设备的MAC地址即可以进行认证处理,能够 实现一个终端设备可以在任何允许的接入认证装置下接入使用。综上所述,通过本发明的上述实施例,提供的接入认证方案,终端设备只需要通过 认证管理VLAN发送数据包,网络设备即可学习到终端设备的MAC地址,终端设备不需要进 行专门的认证处理(例如使用PPPoE协议认证,终端设备上需要实现PPPoE协议),网络设 备发送认证请求,使用SNMP-Trap报文,不需要专门的额外的协议处理(如PPPoE协议),因 此可以降低终端设备的复杂性。网管系统认证时,通过MAC地址进行,因此一个终端设备可 以连接到任意的网络设备上的任意用户端口中,均可接入使用。并且,还可以在网络设备上 配置的MAC地址池特征码,可以实现MAC地址过滤,不满足特征码的MAC地址学习条目将会 被过滤掉,从而可以降低网管系统的认证负载。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于简单网络协议的接入认证方法,其特征在于,包括网络设备获取终端设备的预先配置的认证管理虚拟局域网VLAN、媒体接入控制MAC地 址以及与所述终端设备相连接的所述网络设备的端口号;所述网络设备确定所述认证管理VLAN与所述网络设备配置的认证管理VLAN相同,则 判断所述MAC地址是否在所述端口号对应的端口上取得接入认证;如果否,所述网络设备向网管系统上报认证请求以获取所述终端设备的接入认证,其 中,所述认证请求携带有所述MAC地址及所述端口号的信息。
2.根据权利要求1所述的方法,其特征在于,所述网络设备获取预先配置的认证管理 VLAN、MAC地址以及与所述终端设备相连接的所述网络设备的端口号包括所述网络设备获取预先配置的所述认证管理VLAN ;所述网络设备根据所述认证管理VLAN按照预定时间间隔在预先存储的MAC地址学习 表中查找,获取所述MAC地址及所述端口号。
3.根据权利要求1所述的方法,其特征在于,所述网络设备确定所述认证管理VLAN与 所述网络设备配置的认证管理VLAN相同之后,所述方法还包括所述网络设备判断所述MAC地址是否符合MAC地址池特征码,其中,所述MAC地址池特 征码被预先配置在所述网络设备上。
4.根据权利要求1至3中任一项所述的方法,其特征在于,在所述网络设备向网管系统 上报认证请求以获取所述终端设备的接入认证之后,所述方法还包括所述网络设备接收来自于所述网管系统的认证通过消息;所述网络设备判断所述MAC地址是否在除所述端口号对应的端口外的其他端口上认 证成功;如果是,所述网络设备在业务VLAN中删除所述其他端口,并将所述端口号对应的端口 加入到所述业务VLAN中。
5.根据权利要求4所述的方法,其特征在于,在所述网络设备将所述端口号对应的端 口加入到所述业务VLAN中之后,所述方法还包括所述网络设备接收来自于所述网管系统下发的拆机消息,其中,所述拆机消息用于指 示所述网络设备将所述终端设备从所述端口号对应的端口上进行拆除;所述网络设备将所述端口号对应的端口从业务VLAN中删除。
6.一种基于简单网络协议的接入认证装置,其特征在于,包括获取单元,用于获取终端设备的预先配置的认证管理虚拟局域网VLAN、媒体接入控制 MAC地址以及与所述终端设备相连接的所述网络设备的端口号;判断单元,用于判断所述认证管理VLAN与所述网络设备配置的认证管理VLAN是否相 同,并判断所述MAC地址是否在所述端口号对应的端口上取得接入认证;发送单元,用于向网管系统上报认证请求以获取所述终端设备的接入认证,其中,所述 认证请求携带有所述MAC地址及所述端口号的信息。
7.根据权利要求6所述的装置,其特征在于,所述获取单元包括获取模块,用于获取预先配置的所述认证管理VLAN ;查询模块,用于根据所述认证管理VLAN按照预定时间间隔在预先存储的MAC地址学习 表中查找,获取所述MAC地址及所述端口号。
8.根据权利要求7所述的装置,其特征在于,所述判断单元,还用于判断所述MAC地址是否符合MAC地址池特征码,其中,所述MAC 地址池特征码被预先配置在所述网络设备上。
9.根据权利要求6至8中任一项所述的装置,其特征在于, 所述装置还包括接收单元、处理单元,其中,接收单元,用于接收来自于所述网管系统的认证通过消息;处理单元,用于在业务VLAN中删除所述其他端口,并将所述端口号对应的端口加入到 所述业务VLAN中;则所述判断单元,还用于判断所述MAC地址是否在除所述端口号对应的端口外的其他 端口上认证成功。
10.根据权利要求9所述的装置,其特征在于,所述接收单元,还用于接收来自于所述网管系统下发的拆机消息,其中,所述拆机消息 用于指示所述网络设备将所述终端设备从所述端口号对应的端口上进行拆除; 所述处理单元,还用于将所述端口号对应的端口从业务VLAN中删除。
全文摘要
本发明公开了一种基于简单网络协议的接入认证方法及装置,在上述方法中,网络设备获取终端设备的预先配置的认证管理虚拟局域网VLAN、媒体接入控制MAC地址以及与终端设备相连接的网络设备的端口号;网络设备确定认证管理VLAN与网络设备配置的认证管理VLAN相同,则判断MAC地址是否在端口号对应的端口上取得接入认证;如果否,网络设备向网管系统上报认证请求以获取终端设备的接入认证,其中,认证请求携带有MAC地址及端口号的信息。根据本发明提供的技术方案,可以降低终端设备复杂度,并简化认证过程。并且网络设备采用SNMP作为认证协议,也可以不实现PPPoE功能,从而降低了网络设备的复杂度。
文档编号H04L12/24GK102006267SQ20091016898
公开日2011年4月6日 申请日期2009年9月3日 优先权日2009年9月3日
发明者胡晓磊 申请人:中兴通讯股份有限公司