專利名稱:用于共享介質(zhì)的802.1x認(rèn)證技術(shù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及網(wǎng)絡(luò)通信��,更具體而言��,涉及用于通過(guò)中間網(wǎng)絡(luò)節(jié) 點(diǎn)中的共享介質(zhì)端口來(lái)控制網(wǎng)絡(luò)通信的技術(shù)。
背景技術(shù):
##"教/^#吝是用于在諸如計(jì)算機(jī)這樣的節(jié)點(diǎn)之間傳輸數(shù)據(jù)的互連的子 網(wǎng)的地理上分布的集合�。網(wǎng)絡(luò)的拓?fù)溆梢话阌赏ㄟ^(guò)一個(gè)或多個(gè)中間節(jié)點(diǎn)彼 此通信的客戶端節(jié)點(diǎn)的布置所限定。這里所使用的著:戶ii節(jié)點(diǎn)是被配置為 發(fā)起或者端接經(jīng)由網(wǎng)絡(luò)的通信的終端站節(jié)點(diǎn)����。相反,^/每節(jié)點(diǎn)是幫助在客 戶端節(jié)點(diǎn)之間路由數(shù)據(jù)的網(wǎng)絡(luò)節(jié)點(diǎn)����。節(jié)點(diǎn)之間的通信一般是通過(guò)根據(jù)預(yù)定 義的協(xié)議交換離散數(shù)據(jù)分組來(lái)實(shí)現(xiàn)的���。在這個(gè)上下文中�����,坊'議由限定節(jié)點(diǎn) 如何彼此交互的一組規(guī)則構(gòu)成��。每個(gè)數(shù)據(jù)分組一般包括前附有至少一個(gè)網(wǎng)絡(luò)頭部的(由至少一個(gè)網(wǎng)絡(luò) 頭部封裝的)"有效載荷"數(shù)據(jù)����,所述網(wǎng)絡(luò)頭部是根據(jù)網(wǎng)絡(luò)通信協(xié)議來(lái)格 式化的���。網(wǎng)絡(luò)頭部包括使得客戶端節(jié)點(diǎn)和中間節(jié)點(diǎn)能夠通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)高 效地路由分組的信息���。通常�,分組的網(wǎng)絡(luò)頭部至少包括數(shù)據(jù)鏈路(第2 層)頭部和互聯(lián)網(wǎng)絡(luò)(第3層)頭部��,如開放系統(tǒng)互連(OSI)參考模型 所述��。OSI參考模型一般在1999年9月出版的由Radia Perlman所著的標(biāo) 題為"/wtercwmecrio朋Secowd五力"o""的參考書的第1.1節(jié)中更詳細(xì)描 述����,這里通過(guò)引用將其結(jié)合進(jìn)來(lái),就好像在此處完整闡述了一樣���。數(shù)據(jù)鏈路頭部提供用于經(jīng)由特定物理鏈路(即通信介質(zhì))傳輸分組的 信息�����,所述物理鏈路例如是點(diǎn)到點(diǎn)鏈路���、以太網(wǎng)鏈路、無(wú)線鏈路����、光鏈路 等等。為此,數(shù)據(jù)鏈路頭部可以指定由物理鏈路連接的一對(duì)"源"和"目 的地"網(wǎng)絡(luò)接口��。廁《多禁"包含用于將網(wǎng)絡(luò)節(jié)點(diǎn)耦合到一個(gè)或多個(gè)物理層 的機(jī)械���、電氣和信令電路和邏輯���。 一般,網(wǎng)絡(luò)接口可以包含連接到不同通 信介質(zhì)的一個(gè)或多個(gè)端口�。這里所使用的i,"是一個(gè)物理接口,物理鏈路通過(guò)該物理接口附接到網(wǎng)絡(luò)接口��。網(wǎng)絡(luò)接口通常與被稱為媒體訪問(wèn)控制 (MAC)地址的硬件特定地址相關(guān)聯(lián)��。因此�����,數(shù)據(jù)鏈路頭部中的源和目的地網(wǎng)絡(luò)接口一般被存儲(chǔ)為源和目的地MAC地址�����。數(shù)據(jù)鏈路頭部還可以存儲(chǔ)用于管理經(jīng)由物理鏈路的數(shù)據(jù)傳輸?shù)牧骺刂?���、幀同步和差錯(cuò)檢查信息?��;ヂ?lián)網(wǎng)絡(luò)頭部提供限定分組經(jīng)過(guò)計(jì)算機(jī)網(wǎng)絡(luò)的邏輯路徑(或"虛擬電 路")的信息�����。值得注意的是�,路徑可以跨過(guò)多個(gè)物理鏈路���?��;ヂ?lián)網(wǎng)絡(luò)頭 部可以根據(jù)因特網(wǎng)協(xié)議(IP)來(lái)格式化,該協(xié)議指定邏輯路徑的端點(diǎn)處的 源和目的地節(jié)點(diǎn)的IP地址���。從而���,分組可以沿著其邏輯路徑從一個(gè)節(jié)點(diǎn) "跳"到另一個(gè)節(jié)點(diǎn),直到它到達(dá)被分配給分組的互聯(lián)網(wǎng)絡(luò)頭部中存儲(chǔ)的 目的地IP地址的客戶端節(jié)點(diǎn)。在每一跳之后,可以根據(jù)需要更新分組的數(shù)據(jù)鏈路頭部中的源和目的地MAC地址����。但是�����,當(dāng)分組在網(wǎng)絡(luò)中的鏈路之 間傳送時(shí)���,源和目的地IP地址一般保持不變��?�?蛻舳斯?jié)點(diǎn)可以被配置成經(jīng)由各種類型的網(wǎng)絡(luò)進(jìn)行通信����,所述網(wǎng)絡(luò)可 以在從局域網(wǎng)(LAN)到廣域網(wǎng)(WAN)的范圍中變化�����。LAN —般經(jīng)由 位于同一個(gè)總的物理位置(例如家中或辦公建筑物中)的專用私有通信鏈 路連接客戶端節(jié)點(diǎn)���。WAN —般經(jīng)由諸如公共載波電話線這樣的長(zhǎng)途通信 鏈路連接大量地理上分散的節(jié)點(diǎn)。因特網(wǎng)是WAN的一個(gè)示例����,其連接全 世界的不同網(wǎng)絡(luò),從而提供各種網(wǎng)絡(luò)中包含的節(jié)點(diǎn)之間的全球通信�。多個(gè)LAN和WAN可以由諸如路由器或交換機(jī)之類的中間節(jié)點(diǎn)互連, 以擴(kuò)展計(jì)算機(jī)網(wǎng)絡(luò)的有效"尺寸"并增大進(jìn)行通信的節(jié)點(diǎn)的數(shù)目。例如�����, 一個(gè)或多個(gè)中間節(jié)點(diǎn)可以被用于將屬于特定組織(或"企業(yè)")的LAN 擴(kuò)展到超過(guò)該組織的地理邊界�。中間節(jié)點(diǎn)使得例如在家庭辦公室工作的經(jīng) 授權(quán)的遠(yuǎn)程辦公者能夠遠(yuǎn)程地連接到企業(yè)LAN。在示例性情況下����,遠(yuǎn)程辦公者建立與本地中間節(jié)點(diǎn)的通信會(huì)話,而本地中間節(jié)點(diǎn)又建立與企業(yè)網(wǎng)絡(luò) 中的遠(yuǎn)程中間節(jié)點(diǎn)的通信會(huì)話����。 一旦以這種方式相連接,遠(yuǎn)程辦公者就可 以訪問(wèn)企業(yè)網(wǎng)絡(luò)中提供的資源和服務(wù)�����,就好像他/她在物理上位于該組織中 一樣��。由于本地和遠(yuǎn)程中間節(jié)點(diǎn)可能經(jīng)由諸如因特網(wǎng)這樣的非受信公共網(wǎng)絡(luò)
耦合����,因此節(jié)點(diǎn)可以被配置成利用經(jīng)由公共網(wǎng)絡(luò)實(shí)現(xiàn)的更安全的"受信" 子網(wǎng)來(lái)進(jìn)行通信。受信子網(wǎng)采用經(jīng)由更大的����、"非受信"公共網(wǎng)絡(luò)發(fā)送的 以密碼方式確保安全的通信�。從效果來(lái)說(shuō)�,受信子網(wǎng)充當(dāng)保護(hù)中間節(jié)點(diǎn)之 間傳輸?shù)臄?shù)據(jù)的虛擬"隧道"。例如���,虛擬專用網(wǎng)絡(luò)(VPN)可以被中間 節(jié)點(diǎn)用來(lái)確保它們傳輸?shù)臄?shù)據(jù)的私密性��。為此��,當(dāng)數(shù)據(jù)分組在中間節(jié)點(diǎn)之 一處"進(jìn)入"VPN隧道時(shí)�����,它們可以被加密�����,而當(dāng)它們?cè)诹硪恢虚g節(jié)點(diǎn)處 "離開"時(shí)��,可以被解密��。用于封裝通過(guò)VPN隧道的通信的傳統(tǒng)的隧道協(xié)議,例如第2層隧道協(xié)議(LT2P)�����、點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)和IP安 全性(IPSec)協(xié)議,是本領(lǐng)域中已知的����。雖然VPN隧道可以被構(gòu)造成經(jīng)由非受信網(wǎng)絡(luò)安全地傳送數(shù)據(jù),但是 遠(yuǎn)程用戶(即遠(yuǎn)程辦公者)在被授予對(duì)隧道的訪問(wèn)權(quán)限之前一般應(yīng)當(dāng)被認(rèn) 證���。通過(guò)以這種方式要求用戶認(rèn)證�����,保護(hù)企業(yè)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的用戶獲 得對(duì)企業(yè)的VPN隧道(即"企業(yè)VPN")的訪問(wèn)權(quán)限�����。用戶認(rèn)證一般是 在耦合到企業(yè)VPN的中間節(jié)點(diǎn)端口處實(shí)現(xiàn)的����。該端口假定以下兩個(gè)可能 的狀態(tài)之一"開放"或"關(guān)閉"�����。最初�����,端口的狀態(tài)是關(guān)閉,從而防止 客戶端節(jié)點(diǎn)訪問(wèn)企業(yè)VPN���。但是����,在用戶在該端口處被認(rèn)證之后����,端口變 為開放狀態(tài)。開放端口使得經(jīng)認(rèn)證的用戶能夠訪問(wèn)企業(yè)VPN�����。除了提供對(duì) VPN隧道的訪問(wèn)之外�����,開放端口還可以提供通過(guò)處于關(guān)閉狀態(tài)的端口無(wú)法 提供的其他專門的服務(wù)�,例如增強(qiáng)的服務(wù)質(zhì)量。一種用于實(shí)現(xiàn)這種類型的傳統(tǒng)的基于端口的安全性的流行技術(shù)在2001 年7月發(fā)表的標(biāo)題為"尸oW-6os^/A^mwvl^cc^s Ow^ro/"的電氣和電子工 程師學(xué)會(huì)(IEEE)標(biāo)準(zhǔn)IEEE Std 802.1X-2001中有所描述����,這里通過(guò)引用 將其結(jié)合進(jìn)來(lái)��,就好像在此處完整闡述了一樣。在該標(biāo)準(zhǔn)中��,客戶端節(jié)點(diǎn) 在客戶端節(jié)點(diǎn)端口處執(zhí)行"請(qǐng)求者(supplicant)"端口訪問(wèn)實(shí)體 (PAE)���,中間節(jié)點(diǎn)在耦合到客戶端節(jié)點(diǎn)端口的中間節(jié)點(diǎn)端口處執(zhí)行"認(rèn) 證者(authenticator) " PAE�����。請(qǐng)求者和認(rèn)證者PAE被配置為發(fā)送和接收 根據(jù)802.1X標(biāo)準(zhǔn)格式化的數(shù)據(jù)分組����。中間節(jié)點(diǎn)的端口最初處于不受控狀態(tài)(即"關(guān)閉"狀態(tài))�,從而該端 口處的所有客戶端節(jié)點(diǎn)通信都被定向到認(rèn)證者PAE??蛻舳斯?jié)點(diǎn)處的請(qǐng)求者PAE生成802.1X認(rèn)證請(qǐng)求,以將中間節(jié)點(diǎn)的端口更改為受控狀態(tài)(即 "開放"狀態(tài))�����。按照802.1X標(biāo)準(zhǔn)����,根據(jù)可擴(kuò)展認(rèn)證協(xié)議(EAP)對(duì)請(qǐng)求 進(jìn)行格式化���,并將該請(qǐng)求封裝在傳統(tǒng)的IEEE 802數(shù)據(jù)幀中。EAP協(xié)議在 1998年3月發(fā)表的標(biāo)題為£^畫協(xié)顛/ze威cariow尸,otoco/ (^P"�����, 的請(qǐng)求注釋(RFC) 2284中更詳細(xì)描述�����,IEEE 802標(biāo)準(zhǔn)在2002年2月發(fā) 表的標(biāo)題為"卵2 5"她t/anZ/or丄oca/ Me/ra/ o/"a"爿rea iVefvvor紋'(9wrv/ew朋d爿rcA/te"Mre"的IEEE Std 802-2001中總地描述�,這里通過(guò)引 用將兩者都結(jié)合進(jìn)來(lái),就好像在此處完整闡述了一樣����。有利地,EAP協(xié)議 是能夠支持各種不同認(rèn)證技術(shù)的通用協(xié)議�����。從而��,請(qǐng)求者PAE可以根據(jù)任 何與EAP協(xié)議一致的認(rèn)證方法來(lái)生成802.1X認(rèn)證請(qǐng)求��。當(dāng)客戶端節(jié)點(diǎn)和 中間節(jié)點(diǎn)經(jīng)由共享的LAN網(wǎng)段相連接時(shí),請(qǐng)求者PAE將請(qǐng)求格式化為基 于LAN的EAP (EAPOL)分組�,并將其轉(zhuǎn)發(fā)到中間節(jié)點(diǎn)。在中間節(jié)點(diǎn)處�����,EAPOL分組被認(rèn)證者PAE所接收�,認(rèn)證者PAE處理 分組并將請(qǐng)求轉(zhuǎn)發(fā)到適當(dāng)?shù)恼J(rèn)證服務(wù)���,例如遠(yuǎn)程認(rèn)證撥入用戶服務(wù) (RADIUS)����。如果必要的話�����,在將請(qǐng)求轉(zhuǎn)發(fā)到認(rèn)證服務(wù)之前����,認(rèn)證者 PAE可以例如根據(jù)基于RADIUS的EAP協(xié)議來(lái)對(duì)請(qǐng)求進(jìn)行重格式化?���;?于RADIUS的EAP協(xié)議在2000年6月發(fā)表的標(biāo)題為"7MD/OS 的RFC 2869中更詳細(xì)描述,這里通過(guò)引用將其結(jié)合進(jìn)來(lái),就 好像在此處完整闡述了 一樣���。一旦接收到請(qǐng)求����,認(rèn)證服務(wù)提供認(rèn)證���、授予和計(jì)費(fèi)(AAA)功能����,以 確定客戶端節(jié)點(diǎn)處的用戶是否可以在中間節(jié)點(diǎn)的端口處被認(rèn)證���。AAA過(guò)程 是根據(jù)由用戶的EAP請(qǐng)求指定的認(rèn)證方法來(lái)執(zhí)行的�����。因此����,AAA過(guò)程可 以要求在認(rèn)證服務(wù)和客戶端節(jié)點(diǎn)之間執(zhí)行詢問(wèn)-響應(yīng)交換序列���。 一旦完成這 些過(guò)程�,認(rèn)證服務(wù)就將用戶的認(rèn)證狀態(tài)通知給認(rèn)證者PAE。如果用戶被認(rèn) 證�,則認(rèn)證者PAE將中間節(jié)點(diǎn)端口的狀態(tài)更改為受控,從而使得用戶能夠 訪問(wèn)企業(yè)VPN和其他中間節(jié)點(diǎn)服務(wù)����。否則,中間節(jié)點(diǎn)的端口保持在不受 控狀態(tài)中����。這個(gè)802.1X認(rèn)證過(guò)程一般被周期性地重復(fù),以核實(shí)中間節(jié)點(diǎn) 端口處用戶的認(rèn)證狀態(tài)沒(méi)有變化�����,例如從已認(rèn)證變?yōu)槲凑J(rèn)證����。雖然上述802.1X認(rèn)證過(guò)程對(duì)于耦合到單獨(dú)的客戶端節(jié)點(diǎn)的中間節(jié)點(diǎn)端口來(lái)說(shuō)性能良好����,但是當(dāng)多個(gè)客戶端節(jié)點(diǎn)耦合到中間節(jié)點(diǎn)中的共享介質(zhì) 端口時(shí),它就適應(yīng)得不太好了�����。這里所使用的,^"^h^艚"是將網(wǎng)絡(luò)接口 連接到與多個(gè)其他網(wǎng)絡(luò)接口相耦合的一個(gè)或多個(gè)物理鏈路的物理接口。例 如�����,共享介質(zhì)端口可以包括集成的集線器或交換機(jī)��,通過(guò)該集線器或交換 機(jī)��,端口連接到多個(gè)遠(yuǎn)程網(wǎng)絡(luò)接口����。或者�,端口可以連接到將端口耦合到 多個(gè)遠(yuǎn)程網(wǎng)絡(luò)接口的"下游"集線器或交換機(jī)。例如��,在家中工作的遠(yuǎn)程 辦公者可以通過(guò)"家庭"(即本地)中間節(jié)點(diǎn)中的共享介質(zhì)端口來(lái)訪問(wèn)企 業(yè)VPN�。同時(shí),在家中的不同計(jì)算機(jī)工作的一個(gè)或多個(gè)家庭成員可以通過(guò) 同一共享介質(zhì)端口建立不同的網(wǎng)絡(luò)連接�。當(dāng)經(jīng)授權(quán)和未經(jīng)授權(quán)的用戶都通過(guò)被配置成執(zhí)行基于端口的網(wǎng)絡(luò)訪問(wèn)控制(例如802.1X認(rèn)證)的共享介質(zhì)端口通信時(shí),常常會(huì)出現(xiàn)網(wǎng)絡(luò)安全 性問(wèn)題����。如前所述, 一旦用戶在端口處被認(rèn)證�����,共享介質(zhì)端口就從未經(jīng)授 權(quán)狀態(tài)轉(zhuǎn)變到經(jīng)授權(quán)狀態(tài)。因此�����,只要用戶在耦合到共享介質(zhì)端口的一個(gè) 客戶端節(jié)點(diǎn)處被授權(quán)�,耦合到該端口的另一個(gè)客戶端節(jié)點(diǎn)處的未經(jīng)授權(quán)的 用戶就可以獲得對(duì)中間節(jié)點(diǎn)的服務(wù)的未經(jīng)授權(quán)的訪問(wèn)權(quán)限。在這種情況 下���,網(wǎng)絡(luò)安全性可能會(huì)受到耦合到經(jīng)授權(quán)的端口的未經(jīng)授權(quán)的用戶的危 害�����。當(dāng)接入點(diǎn)(AP)連接到共享介質(zhì)端口時(shí),這個(gè)問(wèn)題更為嚴(yán)重��,這是因 為AP可以充當(dāng)數(shù)目可能很大的作為無(wú)線客戶端節(jié)點(diǎn)的未經(jīng)授權(quán)的用戶的 網(wǎng)關(guān)��。不幸的是��,IEEE 802.1X標(biāo)準(zhǔn)并沒(méi)有針對(duì)解決共享介質(zhì)端口處的這 種安全性漏洞的可能性�����。以前,上述安全性問(wèn)題已經(jīng)通過(guò)在耦合到共享介質(zhì)端口的客戶端節(jié)點(diǎn) 內(nèi)采用網(wǎng)絡(luò)訪問(wèn)控制來(lái)針對(duì)解決��?����?蛻舳斯?jié)點(diǎn)被配置成用于即使端口已經(jīng) 處于經(jīng)授權(quán)狀態(tài)中�,也確定它們各自的用戶是否被授權(quán)通過(guò)共享介質(zhì)端口 訪問(wèn)受信子網(wǎng)(例如企業(yè)VPN)。例如����,組織可以安裝允許的客戶端節(jié)點(diǎn) 的列表,從而只有在該列表上的那些客戶端節(jié)點(diǎn)才能被準(zhǔn)予訪問(wèn)組織的企 業(yè)VPN����。雖然這種解決方案本質(zhì)上擴(kuò)展了傳統(tǒng)的用于連接到共享介質(zhì)端口 的客戶端節(jié)點(diǎn)的基于端口的網(wǎng)絡(luò)訪問(wèn)控制,但是該解決方案具有許多重大 缺陷����。首先,維護(hù)和分發(fā)更新后的授權(quán)客戶端節(jié)點(diǎn)列表對(duì)于大型組織來(lái)說(shuō)是 一項(xiàng)艱巨的任務(wù)����。在組織例如向其遠(yuǎn)程辦公者發(fā)布大量客戶端節(jié)點(diǎn)的情況 下,更新后的列表的分發(fā)可能非常難以及時(shí)開展���。此外���,由于經(jīng)授權(quán)的客 戶端節(jié)點(diǎn)可能會(huì)以相對(duì)較高的頻率加入或離開組織���,因此在維護(hù)這種列表 時(shí)消耗的時(shí)間和資源可能高得令人望而卻步。第二��,由于對(duì)企業(yè)VPN的 訪問(wèn)控制是在數(shù)目可能很大的客戶端節(jié)點(diǎn)中實(shí)現(xiàn)的���,因此每個(gè)客戶端節(jié)點(diǎn) 都可能成為VPN的網(wǎng)絡(luò)安全性受到危害的點(diǎn)�����。從而�,在大量客戶端節(jié)點(diǎn) 中配置和維護(hù)安全性措施也可能消耗過(guò)多的時(shí)間和資源�。此外,允許基于 客戶端節(jié)點(diǎn)訪問(wèn)并在該節(jié)點(diǎn)上不認(rèn)證用戶����。即�����,經(jīng)授權(quán)的客戶端節(jié)點(diǎn)可能 受未經(jīng)授權(quán)的用戶的控制。因此�,需要在共享介質(zhì)端口處提供一種更高效和安全的認(rèn)證技術(shù)。該技術(shù)應(yīng)當(dāng)與傳統(tǒng)的基于端口的安全性(例如802.1X認(rèn)證)相兼容���,并且應(yīng)當(dāng)提供高水平的網(wǎng)絡(luò)安全性��。此外��,該技術(shù)不應(yīng)當(dāng)消耗過(guò)多的時(shí)間和資 源來(lái)部署大量客戶端節(jié)點(diǎn)��。還希望該技術(shù)不依賴于耦合到共享介質(zhì)端口的 個(gè)體客戶端節(jié)點(diǎn)中實(shí)現(xiàn)的安全性措施��。發(fā)明內(nèi)容本發(fā)明提供了一種用于在諸如路由器這樣的中間節(jié)點(diǎn)中的共享介質(zhì)端 口上安全地實(shí)現(xiàn)基于端口的認(rèn)證的技術(shù)�����。為此�,本發(fā)明提供了增強(qiáng)的基于 端口的網(wǎng)絡(luò)訪問(wèn)控制���,其包括共享介質(zhì)端口處的基于客戶端的控制�。與先 前的實(shí)現(xiàn)方式不同�,并非一旦多個(gè)客戶端節(jié)點(diǎn)中的任何一個(gè)處的用戶被子 網(wǎng)認(rèn)證,端口就準(zhǔn)許這些客戶端節(jié)點(diǎn)訪問(wèn)受信子網(wǎng)�。相反��,針對(duì)嘗試通過(guò) 共享介質(zhì)端口訪問(wèn)受信子網(wǎng)的每個(gè)客戶端節(jié)點(diǎn)執(zhí)行基于端口的認(rèn)證�����。這 樣����,就不會(huì)發(fā)生在一個(gè)客戶端節(jié)點(diǎn)處的用戶已被受信子網(wǎng)認(rèn)證之后�,"附 帶著"經(jīng)過(guò)共享介質(zhì)端口的未被認(rèn)證的客戶端節(jié)點(diǎn)危害對(duì)受信子網(wǎng)的訪問(wèn) 的情況。根據(jù)示例性實(shí)施例�,該技術(shù)增強(qiáng)了由IEEE 802.1X認(rèn)證標(biāo)準(zhǔn)指定的基 于端口的網(wǎng)絡(luò)訪問(wèn)控制,以將共享介質(zhì)端口劃分成多個(gè)邏輯子接口�����。每個(gè) 子接口專用于向客戶端節(jié)點(diǎn)提供對(duì)各自的網(wǎng)絡(luò)或子網(wǎng)的訪問(wèn)��。例如�,第一 客戶端節(jié)點(diǎn)可以通過(guò)第一子接口訪問(wèn)受信子網(wǎng),例如虛擬專用網(wǎng)絡(luò)�����,第二 客戶端節(jié)點(diǎn)可以通過(guò)實(shí)現(xiàn)在同一端口上的第二子接口訪問(wèn)非受信網(wǎng)絡(luò)��,例 如因特網(wǎng)�。在這種情況下,第一和第二子接口是分別針對(duì)受信子網(wǎng)和非受 信網(wǎng)絡(luò)以不同方式配置的�。例如,第一和第二子接口可以與使子接口彼此 相區(qū)分的不同的因特網(wǎng)協(xié)議(IP)地址或虛擬局域網(wǎng)標(biāo)識(shí)符相關(guān)聯(lián)��。此外�����,在示例性實(shí)施例中�����,在共享介質(zhì)端口處采用了媒體訪問(wèn)控制 (MAC)過(guò)濾器���,以確定哪些客戶端節(jié)點(diǎn)被準(zhǔn)予訪問(wèn)端口的每個(gè)邏輯子接口�����。本發(fā)明的這個(gè)方面確保了即使在端口采用802.1X的基于端口的網(wǎng)絡(luò) 訪問(wèn)的情況下�,MAC過(guò)濾器也會(huì)按逐客戶端的方式限制經(jīng)由端口的子接 口的網(wǎng)絡(luò)訪問(wèn)����。具體而言��,過(guò)濾器存儲(chǔ)客戶端節(jié)點(diǎn)MAC地址的列表��,其 中每個(gè)地址與各自的子接口和"認(rèn)證狀態(tài)"(例如已認(rèn)證���、未認(rèn)證或未 知)相關(guān)聯(lián)?����;诳蛻舳斯?jié)點(diǎn)的MAC地址的值����,中間網(wǎng)絡(luò)節(jié)點(diǎn)可以利用 MAC過(guò)濾器來(lái)識(shí)別客戶端節(jié)點(diǎn)可以訪問(wèn)哪些(如果有的話)邏輯子接 口 ,以及客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由這些子接口進(jìn)行通信�����。在操作中�����,MAC過(guò)濾器是在中間網(wǎng)絡(luò)節(jié)點(diǎn)的每個(gè)共享介質(zhì)端口處 "動(dòng)態(tài)"地創(chuàng)建的��;§卩,直到客戶端節(jié)點(diǎn)向共享介質(zhì)端口的邏輯子接口之 一發(fā)送802.1X認(rèn)證請(qǐng)求之后�����,才在共享介質(zhì)端口處創(chuàng)建MAC過(guò)濾器�。響 應(yīng)于接收到該請(qǐng)求��,在中間網(wǎng)絡(luò)節(jié)點(diǎn)中執(zhí)行的操作系統(tǒng)自動(dòng)地在共享介質(zhì) 端口處創(chuàng)建MAC過(guò)濾器��。認(rèn)證請(qǐng)求包括客戶端節(jié)點(diǎn)的MAC地址等等���, 該MAC地址是由MAC過(guò)濾器所"學(xué)習(xí)"到的����。在這個(gè)上下文中����,過(guò)濾 器通過(guò)存儲(chǔ)MAC地址并使其與接收到802.1X請(qǐng)求的子接口相關(guān)聯(lián),來(lái)學(xué) 習(xí)MAC地址��。然后該請(qǐng)求從共享介質(zhì)端口被轉(zhuǎn)發(fā)到適當(dāng)?shù)恼J(rèn)證服務(wù)�����,該 認(rèn)證服務(wù)返回對(duì)客戶端節(jié)點(diǎn)的關(guān)于訪問(wèn)與子接口相關(guān)聯(lián)的網(wǎng)絡(luò)或子網(wǎng)的認(rèn) 證狀態(tài)的指示?�?蛻舳斯?jié)點(diǎn)的認(rèn)證狀態(tài)被存儲(chǔ)在MAC過(guò)濾器中�����,并且可 以被返回給客戶端節(jié)點(diǎn)��。當(dāng)在共享介質(zhì)端口處接收到后續(xù)的802.1X請(qǐng)求 時(shí)����,MAC過(guò)濾器被更新,以包括新的客戶端節(jié)點(diǎn)MAC地址和/或認(rèn)證狀 態(tài)��。作為說(shuō)明��,如果客戶端節(jié)點(diǎn)在子接口上的認(rèn)證失敗預(yù)定多次(例如2 次)�����,則"警告"消息經(jīng)由與子接口相關(guān)聯(lián)的網(wǎng)絡(luò)或子網(wǎng)被發(fā)送��,以指示 客戶端節(jié)點(diǎn)可能正在試圖危害網(wǎng)絡(luò)�����。當(dāng)MAC過(guò)濾器指示客戶端節(jié)點(diǎn)未被認(rèn)證以在該子接口上進(jìn)行通信
時(shí),從客戶端節(jié)點(diǎn)接收到的數(shù)據(jù)分組或者被邏輯子接口 "丟棄"��,或者被 重定向到更適當(dāng)?shù)淖咏涌?�。?dāng)分組被重定向到更適當(dāng)?shù)淖咏涌跁r(shí)�����,經(jīng)認(rèn)證 的用戶可以訪問(wèn)受信子網(wǎng)���,未經(jīng)認(rèn)證的用戶可以訪問(wèn)另一個(gè)子網(wǎng),例如授 予它們?cè)L問(wèn)因特網(wǎng)的權(quán)限�����。這樣一來(lái)����,就可以在經(jīng)認(rèn)證的和未經(jīng)認(rèn)證的用 戶之間對(duì)共享介質(zhì)端口進(jìn)行安全的共享。這類使用的示例是遠(yuǎn)程工作者擁 有對(duì)企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限����,而遠(yuǎn)程工作者的家庭成員使用同一中間節(jié)點(diǎn)來(lái) 訪問(wèn)因特網(wǎng)。此外��,如果經(jīng)由網(wǎng)絡(luò)或子網(wǎng)接收到的數(shù)據(jù)分組被尋址到未在該網(wǎng)絡(luò)或 子網(wǎng)上認(rèn)證的客戶端節(jié)點(diǎn),則該分組被丟棄��。在示例性實(shí)施例中�����,中間網(wǎng) 絡(luò)節(jié)點(diǎn)中的一個(gè)或多個(gè)路由選擇表被配置成使客戶端節(jié)點(diǎn)IP地址與中間網(wǎng) 絡(luò)節(jié)點(diǎn)中的子接口相互聯(lián)系�����。因此���,在接收到的數(shù)據(jù)分組通過(guò)路由選擇表 與子接口關(guān)聯(lián)起來(lái)以后���,與該子接口相關(guān)聯(lián)的MAC過(guò)濾器可被用于確定 所尋址的客戶端節(jié)點(diǎn)是否被認(rèn)證以接收該數(shù)據(jù)分組。如果是的話���,則分組被轉(zhuǎn)發(fā)到該客戶端節(jié)點(diǎn)��;否則它在子接口處被丟棄�。此外�����,在示例性實(shí)施例中,在共享介質(zhì)端口處可以采用IP過(guò)濾器�。IP 過(guò)濾器存儲(chǔ)與連接到端口的客戶端節(jié)點(diǎn)相對(duì)應(yīng)的IP地址的列表。根據(jù)該實(shí)施例���,IP過(guò)濾器與MAC過(guò)濾器協(xié)同工作���,以實(shí)質(zhì)上忽略由MAC過(guò)濾器 所規(guī)定的某些訪問(wèn)限制。即��,雖然共享介質(zhì)端口處的MAC過(guò)濾器可能不 準(zhǔn)許在不同子接口上被認(rèn)證的客戶端節(jié)點(diǎn)彼此通信����,但是IP過(guò)濾器可能會(huì) 準(zhǔn)許�����。結(jié)果�����,其IP地址被存儲(chǔ)在IP過(guò)濾器中的客戶端節(jié)點(diǎn)可以經(jīng)由共享 介質(zhì)端口彼此通信�,而不論在MAC過(guò)濾器中存儲(chǔ)的它們的認(rèn)證狀態(tài)如 何。有利的是�,本發(fā)明的技術(shù)增強(qiáng)了被配置為執(zhí)行基于端口 (例如 802.1X)認(rèn)證的共享介質(zhì)端口上的網(wǎng)絡(luò)訪問(wèn)安全性����。該技術(shù)阻止未經(jīng)授權(quán) (即"欺騙性")的客戶端節(jié)點(diǎn)通過(guò)共享介質(zhì)端口訪問(wèn)受信子網(wǎng)����,即使先 前的客戶端節(jié)點(diǎn)已經(jīng)通過(guò)該端口的認(rèn)證也是如此。雖然經(jīng)由子接口對(duì)受信 子網(wǎng)的訪問(wèn)可能會(huì)僅限于經(jīng)認(rèn)證的客戶端節(jié)點(diǎn)��,但是該技術(shù)仍允許未經(jīng)認(rèn) 證的客戶端節(jié)點(diǎn)經(jīng)由共享介質(zhì)端口的其他子接口進(jìn)行通信����。這樣一來(lái),在 共享介質(zhì)端口處而不是像先前那樣在每個(gè)客戶端節(jié)點(diǎn)處實(shí)現(xiàn)了對(duì)受信子網(wǎng)的安全訪問(wèn)����。
通過(guò)結(jié)合附圖參考以下描述,將更好地理解本發(fā)明的以上和其他優(yōu) 點(diǎn)�����,附圖中類似的標(biāo)號(hào)是指相同的或功能相似的元件��,其中圖1是示例性網(wǎng)絡(luò)配置的示意性框圖�����,在該配置中,家庭網(wǎng)絡(luò)中的中 間節(jié)點(diǎn)通過(guò)虛擬專用網(wǎng)絡(luò)耦合到企業(yè)網(wǎng)絡(luò)中的中間節(jié)點(diǎn)����;圖2是可用于圖1的家庭網(wǎng)絡(luò)中的示例性中間節(jié)點(diǎn)的示意性框圖;圖3是耦合到可用于在圖2的中間節(jié)點(diǎn)中實(shí)現(xiàn)本發(fā)明的示例性共享介 質(zhì)端口的客戶端節(jié)點(diǎn)的示意性框圖����;圖4是可以在圖3的客戶端節(jié)點(diǎn)和共享介質(zhì)端口之間傳輸?shù)氖纠?802.1X認(rèn)證請(qǐng)求的示意性框圖;圖5是可用在圖3的共享介質(zhì)端口處的示例性媒體訪問(wèn)控制(MAC) 過(guò)濾器的示意性框圖��;圖6是示出用于更新圖5的MAC過(guò)濾器的內(nèi)容的步驟序列的流程圖��;圖7是示出用于確定在共享介質(zhì)端口的邏輯子接口處接收到的分組是 否可以經(jīng)由與子接口相關(guān)聯(lián)的網(wǎng)絡(luò)或子網(wǎng)轉(zhuǎn)發(fā)的步驟序列的流程圖�����;圖8是可用于圖2的中間節(jié)點(diǎn)中的路由選擇表的示例性條目的示意性 框圖�;圖9是示出用于確定在圖2的中間節(jié)點(diǎn)處接收到的分組是否可以通過(guò) 共享介質(zhì)端口被轉(zhuǎn)發(fā)到分組所尋址的目的地客戶端節(jié)點(diǎn)的步驟序列的流程 圖��;圖IO是可用于圖2的中間節(jié)點(diǎn)中的示例性IP過(guò)濾器的示意性框圖����; 圖11是示例性共享介質(zhì)端口的示意性框圖,根據(jù)本發(fā)明,在該共享介質(zhì)端口處可以實(shí)現(xiàn)圖IO的IP過(guò)濾器�����;以及圖12是示出用于確定在共享介質(zhì)端口的邏輯子接口處接收到的分組是否可以被轉(zhuǎn)發(fā)到其所尋址的目的地客戶端節(jié)點(diǎn)的步驟序列的流程圖�����。
具體實(shí)施方式
A.網(wǎng)絡(luò)環(huán)境本發(fā)明提供了一種用于在諸如路由器�����、交換機(jī)���、網(wǎng)橋之類的中間節(jié)點(diǎn) 中的共享介質(zhì)端口上安全地實(shí)現(xiàn)基于端口的認(rèn)證的技術(shù)�。圖1示出示例性 網(wǎng)絡(luò)配置�����,其包括根據(jù)本發(fā)明的技術(shù)可以采用的中間節(jié)點(diǎn)200���。具體而言�,"家庭"計(jì)算機(jī)網(wǎng)絡(luò)100通過(guò)在中間節(jié)點(diǎn)200處建立的虛擬專用網(wǎng)絡(luò) 155 (VPN)耦合到遠(yuǎn)程"企業(yè)"網(wǎng)絡(luò)160�。 VPN從效果上而言創(chuàng)建了穿 過(guò)諸如因特網(wǎng)150這樣的非受信網(wǎng)絡(luò)的安全通信"隧道"。在這個(gè)上下文 中,企業(yè)網(wǎng)絡(luò)是在組織(例如商行)內(nèi)實(shí)現(xiàn)的���。另一方面��,家庭網(wǎng)絡(luò)由被 準(zhǔn)予遠(yuǎn)程地訪問(wèn)企業(yè)網(wǎng)絡(luò)中的資源的遠(yuǎn)程辦公者等實(shí)現(xiàn)����。家庭網(wǎng)絡(luò)100可以包括多個(gè)互連的客戶端節(jié)點(diǎn)110��,其中某些客戶端 節(jié)點(diǎn)被準(zhǔn)予訪問(wèn)企業(yè)VPN 155 (即"企業(yè)"客戶端節(jié)點(diǎn))��,而其他客戶端 節(jié)點(diǎn)未被準(zhǔn)予訪問(wèn)企業(yè)VPN 155 (即"非企業(yè)"客戶端節(jié)點(diǎn))����。客戶端節(jié) 點(diǎn)可以是發(fā)起和/或端接經(jīng)由家庭局域網(wǎng)(LAN) 140的通信的計(jì)算機(jī)系統(tǒng) 或其他設(shè)備�����。例如�����,客戶端節(jié)點(diǎn)110可以是個(gè)人計(jì)算機(jī)����、網(wǎng)絡(luò)打印機(jī)、因 特網(wǎng)協(xié)議(IP)電話(或其他IP語(yǔ)音設(shè)備)等等��?��?蛻舳斯?jié)點(diǎn)110中的一 個(gè)或多個(gè)可以通過(guò)接入點(diǎn)(AP) 120來(lái)訪問(wèn)家庭LAN 140�����。 g卩�,無(wú)線客戶 端節(jié)點(diǎn)將數(shù)據(jù)分組130傳輸?shù)紸P���,而AP又對(duì)分組進(jìn)行重格式化并經(jīng)由 LAN 140發(fā)送分組�。每個(gè)經(jīng)由家庭LAN傳送的分組130 —般包括限定分 組經(jīng)過(guò)網(wǎng)絡(luò)的路徑的數(shù)據(jù)鏈路(第2層)和互聯(lián)網(wǎng)絡(luò)(第3層)頭部���。數(shù)據(jù)分組130可以從客戶端節(jié)點(diǎn)110被發(fā)送到中間節(jié)點(diǎn)200��。在接收 到分組之后�,中間節(jié)點(diǎn)200可以處理分組�,以確定分組的發(fā)端(即 "源")客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由企業(yè)VPN 155通信。如果是的話��, 則可以根據(jù)企業(yè)VPN內(nèi)使用的隧道協(xié)議對(duì)分組進(jìn)行重格式化。經(jīng)重格式 化的分組130隨后被轉(zhuǎn)發(fā)到VPN隧道的另一 "端"處的遠(yuǎn)程中間節(jié)點(diǎn) 195����。中間節(jié)點(diǎn)195通過(guò)企業(yè)LAN 170耦合到企業(yè)網(wǎng)絡(luò)160中的其他網(wǎng)絡(luò)節(jié) 點(diǎn)。例如����,LAN 170將中間節(jié)點(diǎn)195連接到認(rèn)證服務(wù)器180和服務(wù)器節(jié)點(diǎn) 190。在接收到來(lái)自企業(yè)VPN 155的分組130之后���,中間節(jié)點(diǎn)195經(jīng)由 LAN 170將分組轉(zhuǎn)發(fā)到分組所尋址的網(wǎng)絡(luò)節(jié)點(diǎn)���。當(dāng)企業(yè)網(wǎng)絡(luò)160中的網(wǎng)絡(luò) 節(jié)點(diǎn)向家庭網(wǎng)絡(luò)100中的客戶端節(jié)點(diǎn)110發(fā)送數(shù)據(jù)分組130時(shí),這個(gè)過(guò)程 可以顛倒過(guò)來(lái)����。更具體而言,分組可以經(jīng)由企業(yè)LAN 170被轉(zhuǎn)發(fā)到中間節(jié) 點(diǎn)195����,通過(guò)企業(yè)VPN 155去到中間節(jié)點(diǎn)200,并且經(jīng)由家庭LAN 140去 到客戶端節(jié)點(diǎn)110��。圖2是中間節(jié)點(diǎn)200的示意性框圖�。中間節(jié)點(diǎn)實(shí)現(xiàn)模塊化的且可縮放 的體系結(jié)構(gòu),其例如幫助在網(wǎng)絡(luò)100內(nèi)將節(jié)點(diǎn)用作邊緣設(shè)備��。例如�����,節(jié)點(diǎn) 200可以實(shí)現(xiàn)為可從Cisco Systems, Inc.獲得的1700系列路由器�。作為說(shuō) 明,中間節(jié)點(diǎn)200包括網(wǎng)絡(luò)處理引擎210�,其耦合到多個(gè)端口,例如共享 介質(zhì)端口 300和端口 260���。端口 300和端口 260 —般駐留在中間節(jié)點(diǎn)200中的一個(gè)或多個(gè)網(wǎng)絡(luò)接 口卡(NIC)上����,其中每個(gè)NIC被分配以唯一的媒體訪問(wèn)控制(MAC)地 址����。端口 260包括使得中間節(jié)點(diǎn)200能夠例如經(jīng)由耦合到因特網(wǎng)150的點(diǎn) 到點(diǎn)鏈路、以太網(wǎng)鏈路���、光鏈路��、無(wú)線鏈路或其他物理鏈路來(lái)進(jìn)行通信的 機(jī)械�����、電氣和信令電路���。相反�,共享介質(zhì)端口 300提供使得節(jié)點(diǎn)200能夠 經(jīng)由耦合到多個(gè)客戶端節(jié)點(diǎn)110的一個(gè)或多個(gè)物理鏈路進(jìn)行通信的機(jī)械��、 電氣和信令電路�����。例如���,端口 300可以包括集成的集線器或交換機(jī)�����,或者 可以附接到家庭LAN 140中的"下游"集線器或交換機(jī)��。每個(gè)端口 300和 端口 260 —般與不同的網(wǎng)絡(luò)配置相關(guān)聯(lián)�。例如��,端口可以與不同的IP配 置����、虛擬局域網(wǎng)(VLAN)配置���、認(rèn)證協(xié)議等等相關(guān)聯(lián)��。網(wǎng)絡(luò)處理引擎210是包括結(jié)合在典型中間節(jié)點(diǎn)內(nèi)的功能的基于處理器 系統(tǒng)���。即�����,該引擎包括經(jīng)由系統(tǒng)控制器216耦合到系統(tǒng)存儲(chǔ)器220的處理 器212 (以及緩存214)�����。存儲(chǔ)器220可以包括可以由處理器212尋址的 動(dòng)態(tài)隨機(jī)訪問(wèn)存儲(chǔ)器(DRAM)和/或同步DRAM (SDRAM)存儲(chǔ)單元��, 用于存儲(chǔ)諸如端口訪問(wèn)實(shí)體(PAE)這樣的軟件應(yīng)用240以及諸如路由選 擇表250��、 MAC過(guò)濾器500���、 IP過(guò)濾器1000之類的數(shù)據(jù)結(jié)構(gòu)。網(wǎng)絡(luò)操作 系統(tǒng)230的某些部分一般駐留于存儲(chǔ)器220中并且被處理器212執(zhí)行�,它 通過(guò)調(diào)用支持在中間節(jié)點(diǎn)上執(zhí)行的軟件進(jìn)程的網(wǎng)絡(luò)操作等來(lái)功能性地組織 中間節(jié)點(diǎn)200��。 Cisco Systems, Inc.的IOSTM操作系統(tǒng)是網(wǎng)絡(luò)操作系統(tǒng)230
的一個(gè)示例�����。本領(lǐng)域的技術(shù)人員將會(huì)清楚���,其他存儲(chǔ)裝置,包括各種計(jì)算 機(jī)可讀介質(zhì)��,可以被用于存儲(chǔ)和執(zhí)行與中間節(jié)點(diǎn)的操作有關(guān)的程序指令�����。 B.增強(qiáng)的基于端口的認(rèn)證根據(jù)示例性實(shí)施例��,共享介質(zhì)端口可以被劃分成多個(gè)邏輯子接口���。每 個(gè)子接口專用于向客戶端節(jié)點(diǎn)提供對(duì)各自的網(wǎng)絡(luò)或子網(wǎng)的訪問(wèn)��。此外��,在 示例性實(shí)施例中��,在共享介質(zhì)端口處采用了媒體訪問(wèn)控制(MAC)過(guò)濾器 來(lái)確定哪些客戶端節(jié)點(diǎn)被準(zhǔn)予訪問(wèn)端口的每個(gè)邏輯子接口�����。本發(fā)明這個(gè)方面確保了即使在端口采用諸如802.1X認(rèn)證這樣的基于端口的網(wǎng)絡(luò)訪問(wèn)控 制的情況下�,MAC過(guò)濾器也會(huì)按逐客戶端的方式限制經(jīng)由端口的子接口 的網(wǎng)絡(luò)訪問(wèn)。圖3示出中間節(jié)點(diǎn)200的共享介質(zhì)端口 300�。共享介質(zhì)端口被劃分成 兩個(gè)示例性的邏輯子接口受信子接口 340和非受信子接口 350.每個(gè)子接 口與可以通過(guò)共享介質(zhì)端口訪問(wèn)的不同的網(wǎng)絡(luò)或子網(wǎng)相關(guān)聯(lián)。例如��,尋址 到受信子接口 340的通信被定向到企業(yè)VPN 155;尋址到非受信子接口 350的通信被定向到因特網(wǎng)150�。雖然只示出了兩個(gè)邏輯子接口 340和 350�,但是本領(lǐng)域的技術(shù)人員將會(huì)意識(shí)到共享介質(zhì)端口 300可以被劃分成 任意數(shù)目的不同的受信(即限于經(jīng)授權(quán)的用戶和設(shè)備)和非受信子接口。每個(gè)邏輯子接口 340和350與對(duì)應(yīng)于其各自的網(wǎng)絡(luò)或子網(wǎng)的不同網(wǎng)絡(luò) 配置相關(guān)聯(lián)�����。更具體而言�����,子接口可以與使子接口彼此相區(qū)分的不同的IP 地址空間(例如根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議分配)�、VLAN標(biāo)識(shí)符等相關(guān)聯(lián)。 例如�,如果在共享介質(zhì)端口 300處接收到的數(shù)據(jù)分組被尋址到企業(yè)網(wǎng)絡(luò) 160中的網(wǎng)絡(luò)節(jié)點(diǎn)并且分組的發(fā)送者被授權(quán)訪問(wèn)所尋址的節(jié)點(diǎn),則該分組 可以與受信子接口 340相關(guān)聯(lián)。更一般而言�,分組可以按各種方式與受信 子接口相關(guān)聯(lián),這些方式例如是基于分組的目的地IP地址���、分組的源 MAC地址�����、接收分組的網(wǎng)絡(luò)接口等等����。如果分組不與受信子接口 340相 關(guān)聯(lián)����,則接受到的分組就與非受信子接口 350相關(guān)聯(lián)。在示例性實(shí)施例中���,共享介質(zhì)端口 300被配置成實(shí)現(xiàn)IEEE 802.1X的 基于端口的網(wǎng)絡(luò)訪問(wèn)控制���。如圖所示,共享介質(zhì)端口經(jīng)由家庭LAN 140耦 合到客戶端節(jié)點(diǎn)110中的端口 310���?���?蛻舳斯?jié)點(diǎn)執(zhí)行與客戶端節(jié)點(diǎn)端口
310相關(guān)聯(lián)的請(qǐng)求者PAE 320,中間節(jié)點(diǎn)200執(zhí)行與共享介質(zhì)端口 300相 關(guān)聯(lián)的認(rèn)證者PAE 330����。當(dāng)客戶端節(jié)點(diǎn)嘗試在共享介質(zhì)端口處被認(rèn)證以例 如獲得對(duì)受信子接口 340的訪問(wèn)權(quán)限時(shí),請(qǐng)求者PAE 320向認(rèn)證者PAE 330發(fā)送包含802.1X認(rèn)證請(qǐng)求的數(shù)據(jù)分組400��。該請(qǐng)求優(yōu)選被格式化為基 于LAN的EAP (EAPOL)的數(shù)據(jù)分組�。圖4示出示例性EAPOL分組400的內(nèi)容。該分組是傳統(tǒng)的802.3以太 網(wǎng)幀�����,其包括目的地MAC字段410�、源MAC字段420���、以太網(wǎng)類型字段 430�、數(shù)據(jù)部分480和循環(huán)冗余校驗(yàn)(CRC)字段490等���。值得注意的 是���,該以太網(wǎng)幀還可以包括其他數(shù)據(jù)鏈路信息,例如鏈路層控制(LLC) 和子網(wǎng)訪問(wèn)協(xié)議(SNAP)信息,這取決于家庭LAN140的配置��。由于分組400從客戶端節(jié)點(diǎn)端口 310被發(fā)送到共享介質(zhì)端口 300��,因 此源MAC字段420存儲(chǔ)客戶端節(jié)點(diǎn)端口的MAC地址�,而目的地MAC字 段410存儲(chǔ)共享介質(zhì)端口的MAC地址。優(yōu)選地����,兩個(gè)MAC地址都是唯 一地標(biāo)識(shí)與端口 310和300相關(guān)聯(lián)的網(wǎng)絡(luò)接口的48位地址值。以太網(wǎng)類型 字段430存儲(chǔ)指示數(shù)據(jù)部分480中包含的數(shù)據(jù)的類型的值���。例如��,等于十 六進(jìn)制值0x888E的以太網(wǎng)類型字段可以指示數(shù)據(jù)部分480包括從一個(gè) PAE發(fā)送到另一個(gè)的EAP分組470�。數(shù)據(jù)部分480可以包括附在EAP分組470之前的附加的網(wǎng)絡(luò)頭部����,例 如IP頭部440。 IP頭部包括目的地IP字段450和源IP字段460等等��,其 中目的地IP字段450和源IP字段460共同限定經(jīng)過(guò)計(jì)算機(jī)網(wǎng)絡(luò)的邏輯路 徑�。具體而言,分組是在被分配以源IP地址440的第一網(wǎng)絡(luò)節(jié)點(diǎn)處生成 的���,并且被尋址到被分配以目的地IP地址450的第二網(wǎng)絡(luò)節(jié)點(diǎn)����。在這種情 況下,第一網(wǎng)絡(luò)節(jié)點(diǎn)生成被轉(zhuǎn)發(fā)到第二網(wǎng)絡(luò)節(jié)點(diǎn)的EAP分組470�����。 EAP分 組可以包括標(biāo)識(shí)相應(yīng)的認(rèn)證協(xié)議的認(rèn)證請(qǐng)求�,所述協(xié)議例如是詢問(wèn)握手認(rèn) 證協(xié)議(CHAP)、傳輸層安全性(TLS)�����、 一次口令(OTP)等等�����。CRC 字段490存儲(chǔ)數(shù)據(jù)完整性校驗(yàn)值����,該值可以用于在經(jīng)由物理鏈路接收到分 組之后檢測(cè)和/或校正分組400中的差錯(cuò)����。一般�����,認(rèn)證者PAE 330被配置成掃描在共享介質(zhì)端口 300處接收到數(shù) 據(jù)分組以確定分組是否包含802.1X認(rèn)證請(qǐng)求�����。例如���,存儲(chǔ)在以太網(wǎng)類型
字段430中的預(yù)定的值(例如0x888E)可以將分組標(biāo)識(shí)為802.1X請(qǐng)求。 如果認(rèn)證者PAE 330確定接收到的分組包含802.1X請(qǐng)求��,則認(rèn)證者PAE 330可以從接收到的分組中提取EAP認(rèn)證請(qǐng)求470���,并且如果必要的話���, 還可以在將請(qǐng)求轉(zhuǎn)發(fā)到諸如認(rèn)證服務(wù)器180這樣的適當(dāng)?shù)恼J(rèn)證服務(wù)之前對(duì) 其進(jìn)行重格式化。雖然示例性認(rèn)證服務(wù)器180位于企業(yè)網(wǎng)絡(luò)160中�����,但是 也可以設(shè)想認(rèn)證者PAE可以將請(qǐng)求轉(zhuǎn)發(fā)到位于企業(yè)網(wǎng)絡(luò)"外部"的認(rèn)證服 務(wù)�����。在這種實(shí)施例中,認(rèn)證者PAE 330可以經(jīng)由因特網(wǎng)150而不是經(jīng)由企 業(yè)VPN 155路由EAP認(rèn)證請(qǐng)求���。在接收到802.1X請(qǐng)求之后�,認(rèn)證服務(wù)器180與認(rèn)證者PAE 330和請(qǐng) 求者PAE 320協(xié)同工作���,以確定客戶端節(jié)點(diǎn)例如在受信子接口 340處的認(rèn) 證狀態(tài)��。為此�����,認(rèn)證服務(wù)器可以經(jīng)由請(qǐng)求者和認(rèn)證者PAE與客戶端節(jié)點(diǎn) (或客戶端節(jié)點(diǎn)處的用戶)進(jìn)行一系列詢問(wèn)-響應(yīng)交換���。作為說(shuō)明,在認(rèn)證 過(guò)程結(jié)束時(shí)�����,認(rèn)證服務(wù)器180將客戶端節(jié)點(diǎn)分配到受信子接口處的三種可 能的認(rèn)證狀態(tài)之一已認(rèn)證�、未認(rèn)證或未知���。認(rèn)證過(guò)程的結(jié)果被返回給認(rèn) 證者PAE 330�。認(rèn)證者PAE隨后可以通知客戶端節(jié)點(diǎn)其在受信子接口 340 處的認(rèn)證狀態(tài)。共享介質(zhì)端口 300在與共享介質(zhì)端口 300相關(guān)聯(lián)的MAC過(guò)濾器500 中存儲(chǔ)客戶端節(jié)點(diǎn)的認(rèn)證狀態(tài)��。MAC過(guò)濾器識(shí)別邏輯子接口 340和350中 的哪個(gè)(如果有的話)可以被客戶端節(jié)點(diǎn)110訪問(wèn)以及客戶端節(jié)點(diǎn)是否被 認(rèn)證以經(jīng)由這些子接口通信��。當(dāng)EAPOL分組400最初在共享介質(zhì)端口 300 處被接收到時(shí)�����,網(wǎng)絡(luò)操作系統(tǒng)230被配置成從分組的數(shù)據(jù)鏈路頭部信息中 解析分組的源MAC地址420�。操作系統(tǒng)還識(shí)別分組所尋址的子接口,該 子接口例如由分組的VLAN標(biāo)識(shí)符����、目的地IP地址450等等所指示。然 后解析出的MAC地址420及其所尋址的子接口被存儲(chǔ)在MAC過(guò)濾器500 中的適當(dāng)?shù)臈l目中�����。如果MAC過(guò)濾器尚未被創(chuàng)建在例如存儲(chǔ)器220中�, 則網(wǎng)絡(luò)操作系統(tǒng)230可以被配置成響應(yīng)于在共享介質(zhì)端口處接收到分組 400而"動(dòng)態(tài)"地創(chuàng)建過(guò)濾器。圖5示出共享介質(zhì)端口 300處可以采用的示例性MAC過(guò)濾器500��。 MAC過(guò)濾器500存儲(chǔ)客戶端節(jié)點(diǎn)MAC地址510的列表����,其中每個(gè)地址與
各自的子接口 520和認(rèn)證狀態(tài)530 (例如已認(rèn)證���、未認(rèn)證或未知)相關(guān) 聯(lián)。優(yōu)選地���,過(guò)濾器被組織成散列表��。即��,可以通過(guò)基于對(duì)解析出的 MAC地址420應(yīng)用散列函數(shù)(例如消息摘要5 (MD5)函數(shù))的結(jié)果來(lái)索 引過(guò)濾器����,從而來(lái)定位MAC過(guò)濾器500中的條目����。MAC過(guò)濾器500示出 兩個(gè)示例性條目,其對(duì)應(yīng)于具有分配到MAC地址MAC1和MAC2的網(wǎng)絡(luò) 接口的客戶端節(jié)點(diǎn)IIO����。如圖所示,與MAC1和MAC2相關(guān)聯(lián)的客戶端節(jié) 點(diǎn)被認(rèn)證以經(jīng)由受信子接口 340通信�����。注意,由于客戶端節(jié)點(diǎn)可以被授權(quán) 以通過(guò)不止一個(gè)子接口進(jìn)行通信����,因此MAC過(guò)濾器500可以包含與相同 的MAC地址510 (例如MAC1或MAC2)相關(guān)聯(lián)的多個(gè)條目�。在示例性實(shí)施例中,MAC過(guò)濾器500不存儲(chǔ)與連接到AP 120的無(wú)線 客戶端節(jié)點(diǎn)IIO相對(duì)應(yīng)的MAC地址510�。具體而言,當(dāng)至少一個(gè)連接到 AP的客戶端節(jié)點(diǎn)被認(rèn)證以通過(guò)受信子接口 340進(jìn)行通信時(shí)���,雖然其他連 接到AP的客戶端節(jié)點(diǎn)未被認(rèn)證����,但網(wǎng)絡(luò)安全性也可能受到危害�。因此, AP 120優(yōu)選耦合到中間節(jié)點(diǎn)200中的端口 260�,而不是耦合到共享介質(zhì)端 口 300。 一般����,AP 120實(shí)現(xiàn)其自己的安全性措施(例如網(wǎng)絡(luò)訪問(wèn)控制), 以確保未經(jīng)授權(quán)的無(wú)線客戶端節(jié)點(diǎn)無(wú)法通過(guò)AP訪問(wèn)家庭LAN 140�。有利地,網(wǎng)絡(luò)操作系統(tǒng)230可以使用MAC過(guò)濾器500��,以實(shí)質(zhì)上按 逐客戶端的方式將共享介質(zhì)端口 300從不受控狀態(tài)切換到受控狀態(tài)。具體 而言���,如果在端口 300處接收到來(lái)自在分組所尋址的子接口處被認(rèn)證的客 戶端節(jié)點(diǎn)的分組130����,則端口 300被設(shè)置到受控狀態(tài)�����。否則共享介質(zhì)端口 被設(shè)置到不受控狀態(tài)����。例如,假定在不受控狀態(tài)中�����,共享介質(zhì)端口所接收 的分組被定向到非受信子接口 350���,而在受控狀態(tài)中�����,分組被定向到受信 子接口 340����。在這種情況下,當(dāng)在共享介質(zhì)端口 300處接收到分組400 時(shí)��,操作系統(tǒng)230解析分組的源MAC地址420��,并且索引MAC過(guò)濾器 500中的適當(dāng)條目���。如果MAC過(guò)濾器條目指示分組的發(fā)送者在受信子接 口 340處被認(rèn)證,則操作系統(tǒng)將共享介質(zhì)端口設(shè)置到受控狀態(tài)�����。另一方 面����,如果發(fā)送者未被認(rèn)證,則分組可以被丟棄����,或者被重定向到在該處發(fā) 送者被認(rèn)證的子接口。如果發(fā)送者的認(rèn)證狀態(tài)未知�����,則分組優(yōu)選被丟棄。當(dāng)在共享介質(zhì)端口 300處接收到隨后的802.1X請(qǐng)求時(shí)��,MAC過(guò)濾器
500可以被動(dòng)態(tài)地更新��,以包括新的客戶端節(jié)點(diǎn)MAC地址510和/或認(rèn)證 狀態(tài)530����。例如,如果從其認(rèn)證狀態(tài)尚未被記錄在過(guò)濾器中的客戶端節(jié)點(diǎn) 接收到認(rèn)證請(qǐng)求400�����,則新的MAC地址510和認(rèn)證狀態(tài)530可以被添加到 MAC過(guò)濾器中��。此外�����,存儲(chǔ)在過(guò)濾器中的認(rèn)證狀態(tài)530可以由于重新認(rèn) 證客戶端節(jié)點(diǎn)而被更新���。即�,在802.1X重新認(rèn)證過(guò)程之后�,認(rèn)證服務(wù)器 180可以確定客戶端節(jié)點(diǎn)在受信子接口 340處的認(rèn)證狀態(tài)已經(jīng)改變,例如 從己認(rèn)證變?yōu)槲凑J(rèn)證���,從而認(rèn)證者PAE 330可以相應(yīng)地修改MAC過(guò)濾器 500��。
作為說(shuō)明�,如果認(rèn)證服務(wù)器180例如在受信子接口 340處對(duì)客戶端節(jié) 點(diǎn)IIO的認(rèn)證失敗了預(yù)定多次(例如2次),則網(wǎng)絡(luò)操作系統(tǒng)230可經(jīng)由 企業(yè)VPN 155發(fā)送"警告"消息����,以指示客戶端節(jié)點(diǎn)可以正在嘗試危害企 業(yè)網(wǎng)絡(luò)160的安全性。該警告也可以由其他事件觸發(fā)���,例如客戶端節(jié)點(diǎn)的 認(rèn)證狀態(tài)的改變,例如從已認(rèn)證變?yōu)槲凑J(rèn)證�。警告消息可以根據(jù)簡(jiǎn)單網(wǎng)絡(luò) 管理協(xié)議(SNMP)等來(lái)格式化。在SNMP警告消息的情況下���,可能的安 全性漏洞也可以被記錄在802.1X管理信息庫(kù)(MIB)中存儲(chǔ)的安全性"對(duì) 象"中�,該802.1X管理信息庫(kù)被實(shí)現(xiàn)在中間節(jié)點(diǎn)200處�����。在1999年4月 發(fā)表的標(biāo)題為"爿w j/r/n'tec似"/or Dascn'Z^wg Mtmageme;^ FrameMwVb"的RFC 2571中更詳細(xì)地描述了 SNMP協(xié)議���,這里通過(guò)引用 將其結(jié)合進(jìn)來(lái)����,就好像在此處完整闡述了一樣。響應(yīng)于接收到警告消息�����, 企業(yè)網(wǎng)絡(luò)160中的網(wǎng)絡(luò)節(jié)點(diǎn)可以實(shí)現(xiàn)增加的安全性措施�,例如訪問(wèn)控制列 表(ACL) 、 口令等等��。
圖6示出用于更新MAC過(guò)濾器500的內(nèi)容的步驟序列�。序列開始于 步驟600處,并進(jìn)行到步驟610���,在該步驟中���,在共享介質(zhì)端口 300處接 收到802.1X認(rèn)證請(qǐng)求。在這里�,假定從未經(jīng)授權(quán)的客戶端節(jié)點(diǎn)110接收到 的分組被定向到共享介質(zhì)端口的非受信子接口 350,而從經(jīng)授權(quán)的客戶端 節(jié)點(diǎn)接收到的分組被定向到受信子接口 340��。因此�����,在共享介質(zhì)端口 300 處接收到的802.1X請(qǐng)求隱含地對(duì)應(yīng)于客戶端節(jié)點(diǎn)對(duì)受信子接口 340處的認(rèn) 證的請(qǐng)求。
在步驟620處�����,從802.1X請(qǐng)求中解析出客戶端節(jié)點(diǎn)的MAC地址420����,并將其存儲(chǔ)在MAC過(guò)濾器500中的適當(dāng)條目處。例如�,可以基于對(duì) 解析出的MAC地址420應(yīng)用散列函數(shù)的結(jié)果來(lái)索引MAC過(guò)濾器條目。 MAC過(guò)濾器條目還可以存儲(chǔ)對(duì)客戶端節(jié)點(diǎn)嘗試在該處被認(rèn)證的子接口(例如受信子接口 340)的指示��。接下來(lái)�,在步驟630處,與共享介質(zhì)端 口 300相關(guān)聯(lián)的認(rèn)證者PAE 330將接收到的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到企業(yè)網(wǎng)絡(luò)的認(rèn) 證服務(wù)器180���。在執(zhí)行預(yù)定的認(rèn)證過(guò)程之后(例如客戶端節(jié)點(diǎn)的802.1X請(qǐng) 求中所指定的認(rèn)證過(guò)程),認(rèn)證服務(wù)器180將客戶端節(jié)點(diǎn)的認(rèn)證狀態(tài)返回 給認(rèn)證者PAE 330����。在步驟640處,認(rèn)證者PAE將返回的認(rèn)證狀態(tài)存儲(chǔ)在 與客戶端節(jié)點(diǎn)相關(guān)聯(lián)的MAC過(guò)濾器條目中�。序列結(jié)束于步驟650處。圖7是示出用于確定在共享介質(zhì)端口 300的邏輯子接口處接收到的分 組130是否可以經(jīng)由與子接口相關(guān)聯(lián)的網(wǎng)絡(luò)或子網(wǎng)被轉(zhuǎn)發(fā)的步驟序列的流 程圖��。序列開始于步驟700處,并且進(jìn)行到步驟710�,在該步驟中,在共 享介質(zhì)端口處接收到分組130����。作為說(shuō)明,如果接收到的分組包含企業(yè)網(wǎng) 絡(luò)160的分配的IP空間內(nèi)的目的地IP地址450并且分組的目的地地址與 其源MAC地址420形成有效的組合����,則該分組與受信子接口 340相關(guān) 聯(lián)。更具體而言���,在步驟715處�,如果IP地址和MAC地址被確定為有效 組合�����,則序列前進(jìn)到步驟720��。否則�,在步驟730處,分組被"丟棄"(即不被轉(zhuǎn)發(fā))或被重定向到不同的子接口��;序列結(jié)束于步驟760處。例 如�,如果接收到的分組不與受信子接口 340相關(guān)聯(lián),則分組可以與非受信 子接口 350相關(guān)聯(lián)�����,并且經(jīng)由因特網(wǎng)150被轉(zhuǎn)發(fā)����。
如果接收到的分組與受信子接口 340相關(guān)聯(lián),貝U���,在步驟720處�,網(wǎng) 絡(luò)操作系統(tǒng)230確定分組的源MAC地址420是否被存儲(chǔ)在MAC過(guò)濾器 500中���。步驟730處���,如果源MAC地址未被存儲(chǔ)在過(guò)濾器500中,則分組 被丟棄����;然后,序列結(jié)束于步驟760處?����;蛘?���,在步驟730處,分組可以 被重定向到非受信子接口���,并經(jīng)由因特網(wǎng)150被轉(zhuǎn)發(fā)����。當(dāng)在步驟720處 MAC過(guò)濾器條目匹配源MAC地址420時(shí)����,序列進(jìn)行到步驟740,在該步 驟中�����,操作系統(tǒng)230基于匹配的MAC過(guò)濾器條目的內(nèi)容來(lái)確定客戶端節(jié) 點(diǎn)是否被認(rèn)證以經(jīng)由受信子接口 340進(jìn)行通信�����。如果存儲(chǔ)在匹配過(guò)濾器條 目中的認(rèn)證狀態(tài)530指示客戶端節(jié)點(diǎn)未在受信子接口處被認(rèn)證���,則序列返 回步驟730��。另一方面�����,如果客戶端節(jié)點(diǎn)已被認(rèn)證�,則在步驟750處,接 收到的分組經(jīng)由企業(yè)VPN 155被轉(zhuǎn)發(fā)�����。序列結(jié)束于步驟760處��。根據(jù)示例性實(shí)施例���,中間節(jié)點(diǎn)200可以被配置成在從"外部"網(wǎng)絡(luò)節(jié) 點(diǎn)(即不位于家庭網(wǎng)絡(luò)100中的網(wǎng)絡(luò)節(jié)點(diǎn))接收到的數(shù)據(jù)分組130被尋址 到未被授權(quán)接收這些分組的客戶端節(jié)點(diǎn)的情況下丟棄這些分組��。例如�����,如 果從企業(yè)VPN 155接收到的數(shù)據(jù)分組130被尋址到家庭網(wǎng)絡(luò)100中的非企 業(yè)客戶端節(jié)點(diǎn)110����,則中間節(jié)點(diǎn)200可以丟棄該分組����。為此,中間節(jié)點(diǎn)可 以存儲(chǔ)一個(gè)或多個(gè)路由選擇表250��,這些路由選擇表被配置成將某些客戶 端節(jié)點(diǎn)IP地址"綁定"到邏輯子接口�。寬泛地說(shuō),網(wǎng)絡(luò)操作系統(tǒng)230被配 置成基于例如存儲(chǔ)在存儲(chǔ)器220中的已知位置的適當(dāng)?shù)穆酚蛇x擇表250的 內(nèi)容來(lái)路由接收到的數(shù)據(jù)分組�����。如果路由選擇表指示接收到的分組將要被 路由到中間節(jié)點(diǎn)中的共享介質(zhì)端口�,則路由選擇表250還可以指定分組被 路由到的特定子接口。然后��,與子接口相關(guān)聯(lián)的MAC過(guò)濾器500可以被 用于確定分組所尋址的客戶端節(jié)點(diǎn)是否在子接口處被認(rèn)證���。如果是的話����, 則分組被轉(zhuǎn)發(fā)到客戶端節(jié)點(diǎn)�。否則,分組被丟棄�。圖8示出存儲(chǔ)用于對(duì)在中間節(jié)點(diǎn)200處接收到的分組130進(jìn)行路由的 信息的示例性路由選擇表?xiàng)l目800�。條目800包含多個(gè)字段�,它們分別存 儲(chǔ)IP地址810、端口 820�、子接口 830、下一跳地址840和其他路由信息 850等等�����。IP地址810是一般為32位長(zhǎng)的值�,它代表分配給特定網(wǎng)絡(luò)節(jié)點(diǎn) 的網(wǎng)絡(luò)地址。端口 820存儲(chǔ)標(biāo)識(shí)耦合到(直接地或間接地)被分配以IP地 址810的節(jié)點(diǎn)的中間節(jié)點(diǎn)端口的值��。如果端口 820是共享介質(zhì)端口�����,則子 接口 830可以存儲(chǔ)指示在該共享介質(zhì)端口處實(shí)現(xiàn)的邏輯子接口的值����。下一 跳地址840存儲(chǔ)網(wǎng)絡(luò)操作系統(tǒng)230可以將接收到的分組130轉(zhuǎn)發(fā)到的網(wǎng)絡(luò) 節(jié)點(diǎn)的IP地址。路由選擇信息850存儲(chǔ)可以輔助網(wǎng)絡(luò)處理引擎210執(zhí)行路 由選擇操作的其他信息�����,例如標(biāo)志�����、老化信息、狀態(tài)信息等等��。圖9示出當(dāng)在中間節(jié)點(diǎn)200處接收到例如來(lái)自因特網(wǎng)150的分組130 時(shí)可以執(zhí)行的步驟序列�。在這里���,假定接收到的分組被尋址到耦合到共享 介質(zhì)端口 300的客戶端節(jié)點(diǎn)110�。序列開始于步驟900處����,并且前進(jìn)到步 驟910,在該步驟中����,在中間節(jié)點(diǎn)200處接收到分組。接下來(lái)����,在步驟 920處,網(wǎng)絡(luò)操作系統(tǒng)230定位分組的IP頭部440中的目的地IP地址 450�。然后操作系統(tǒng)定位適當(dāng)?shù)穆酚蛇x擇表250,該路由選擇表例如位于存 儲(chǔ)器220中的己知位置處��。操作系統(tǒng)基于分組的目的地IP地址450的值索 引路由選擇表中的條目800。除其他以外����,被索引出的條目還標(biāo)識(shí)分組可 以被路由到的端口 820,并且還可以標(biāo)識(shí)端口 820處的特定子接口 830���。 出于說(shuō)明目的�,假定端口 820對(duì)應(yīng)于共享介質(zhì)端口 300�����,并且子接口 830 對(duì)應(yīng)于受信子接口 340��。.在步驟930處��,網(wǎng)絡(luò)操作系統(tǒng)230定位與端口 820 (即共享介質(zhì)端口 300)相關(guān)聯(lián)的MAC過(guò)濾器500����。在步驟940處,網(wǎng)絡(luò)操作系統(tǒng)230還將 目的地IP地址450映射到相應(yīng)的客戶端節(jié)點(diǎn)MAC地址�����。假定該映射尚未 被存儲(chǔ)在中間節(jié)點(diǎn)200中����,操作系統(tǒng)可以經(jīng)由其網(wǎng)絡(luò)接口廣播地址解析協(xié) 議(ARP)請(qǐng)求�。作為響應(yīng)����,被分配以目的地IP地址450的客戶端節(jié)點(diǎn)將 其MAC地址返回給中間節(jié)點(diǎn)200。在1982年11月發(fā)表的標(biāo)題為 "五說(shuō)erw^ A/Ae^ 尸ratoco/"的RFC 826中更詳細(xì)地描述了ARP協(xié)議���,這里通過(guò)引用將其結(jié)合進(jìn)來(lái),就好像在此處完整闡述了一樣��。 但是��,本領(lǐng)域的技術(shù)人員將會(huì)意識(shí)到��,也可以利用其他技術(shù)來(lái)執(zhí)行IP地址 到MAC地址轉(zhuǎn)換����。接下來(lái),在步驟950處���,從客戶端節(jié)點(diǎn)接收到的MAC地址被散列��, 并且所得到的散列值被用于索引MAC過(guò)濾器500中的條目�����。如果無(wú)法定 位到MAC過(guò)濾器中的匹配條目�,則在步驟970處,分組在中間節(jié)點(diǎn)200 處被丟棄����,并且序列結(jié)束于步驟990處?���;蛘撸绻赡艿脑?��,分組130 可以被重定向到共享介質(zhì)端口上的更適當(dāng)?shù)淖咏涌?�。但是��,如果MAC過(guò) 濾器500包含匹配接收到的MAC地址的條目�,則在步驟960處�����,操作系 統(tǒng)230識(shí)別存儲(chǔ)在MAC過(guò)濾器條目中的MAC地址的相應(yīng)的認(rèn)證狀態(tài) 530。在步驟980處��,如果分組130所尋址的節(jié)點(diǎn)已被認(rèn)證����,則分組被轉(zhuǎn) 發(fā)到該節(jié)點(diǎn)。否則���,在步驟970處�,分組被丟棄或者被重新分類到更適當(dāng) 的子接口���。序列結(jié)束于步驟990處。此外�����,在該示例性實(shí)施例中���,在共享介質(zhì)端口 300處可以采用IP過(guò)濾 器1000��。 IP過(guò)濾器存儲(chǔ)與連接到共享介質(zhì)端口的客戶端節(jié)點(diǎn)110相對(duì)應(yīng)的
IP地址的列表��?���?梢砸远喾N方式來(lái)組織IP過(guò)濾器,這些方式例如是散列表�����、鏈接的列表���、基于樹的結(jié)構(gòu)等等�。IP過(guò)濾器1000與MAC過(guò)濾器500 協(xié)同工作�,以實(shí)質(zhì)上忽略MAC過(guò)濾器所規(guī)定的某些訪問(wèn)限制。g卩���,雖然 MAC過(guò)濾器一般不準(zhǔn)許在不同子接口上認(rèn)證的客戶端節(jié)點(diǎn)彼此通信�,但 是IP過(guò)濾器卻可能準(zhǔn)許����。結(jié)果,其IP地址被存儲(chǔ)在IP過(guò)濾器中的客戶端 節(jié)點(diǎn)可以經(jīng)由共享介質(zhì)端口彼此通信�,而不論MAC過(guò)濾器中存儲(chǔ)的它們 認(rèn)證狀態(tài)如何。圖IO示出連接到共享介質(zhì)端口 300的企業(yè)客戶端節(jié)點(diǎn)IIO和非企業(yè)客 戶端節(jié)點(diǎn)110����。作為說(shuō)明,從企業(yè)客戶端節(jié)點(diǎn)發(fā)送的數(shù)據(jù)分組130被定向 到受信子接口 340。另一方面��,非企業(yè)客戶端節(jié)點(diǎn)將數(shù)據(jù)分組130傳輸?shù)?非受信子接口 350����。假定企業(yè)客戶端節(jié)點(diǎn)(例如遠(yuǎn)程辦公者)希望通過(guò)中 間節(jié)點(diǎn)200中的共享介質(zhì)端口 300向非企業(yè)客戶端節(jié)點(diǎn)(例如本地打印 機(jī))發(fā)送分組130。中間節(jié)點(diǎn)存儲(chǔ)IP過(guò)濾器1000���,該IP過(guò)濾器包含分配 給被授權(quán)通過(guò)共享介質(zhì)端口直接通信的客戶端節(jié)點(diǎn)的IP地址的列表�。當(dāng)在 中間節(jié)點(diǎn)200處接收到分組130時(shí)�����,網(wǎng)絡(luò)操作系統(tǒng)230確定該分組是否包 含與存儲(chǔ)在IP過(guò)濾器中的IP地址相匹配的目的地IP地址450�����。如果是的 話��,則操作系統(tǒng)將分組轉(zhuǎn)發(fā)到其所尋址的客戶端節(jié)點(diǎn)��,而不論存儲(chǔ)在 MAC過(guò)濾器500中的與分組相關(guān)聯(lián)的認(rèn)證狀態(tài)530如何����。圖11示出包括IP過(guò)濾器1000的共享介質(zhì)端口 300的示意性框圖。當(dāng) 在共享介質(zhì)端口處接收到分組130時(shí)�,將分組的源MAC地址420與MAC 過(guò)濾器500中的條目相比較。此外�����,可以將分組的目的地地址450與IP過(guò) 濾器1000中的條目相比較����。如果目的地地址450匹配IP過(guò)濾器中條目, 則接收到的分組被轉(zhuǎn)發(fā)到其所尋址的目的地節(jié)點(diǎn)����,而不論存儲(chǔ)在MAC過(guò) 濾器中與源MAC地址420相關(guān)聯(lián)的認(rèn)證狀態(tài)530如何。這樣一來(lái)�,IP過(guò) 濾器1000可以忽略由MAC過(guò)濾器500施加的可能的網(wǎng)絡(luò)訪問(wèn)限制。圖12示出用于轉(zhuǎn)發(fā)在共享介質(zhì)端口 300處接收到的分組130的步驟序 列��。序列開始于步驟1200處�����,并且進(jìn)行到步驟1210��,在該步驟中���,在共 享介質(zhì)端口中接收到來(lái)自家庭LAN 140中的第一客戶端節(jié)點(diǎn)110的分組 130�����。該分組可以包含源和目的地MAC地址410和420�,以及源和目的地
IP地址460和450。在示例性實(shí)施例中���,如果接收到的分組的目的地IP地 址450被包括在企業(yè)網(wǎng)絡(luò)160的分配的IP空間中�,并且其目的地IP地址 與其源MAC地址420形成有效的組合���,則該分組與受信子接口 340相關(guān) 聯(lián)����。具體而言����,在步驟1215處,如果IP地址和MAC地址被確定為有效 組合�,則序列前進(jìn)到步驟1220�����。否則,在步驟1250處�,分組被"丟棄" (即不被轉(zhuǎn)發(fā))或被重定向到不同的子接口;序列結(jié)束于步驟1280處�����。 例如�,如果接收到的分組不與受信子接口 340相關(guān)聯(lián),則分組可以與非受 信子接口 350相關(guān)聯(lián)����,并且經(jīng)由因特網(wǎng)150被轉(zhuǎn)發(fā)。在步驟1220處�,網(wǎng)絡(luò)操作系統(tǒng)230確定目的地IP地址450是否與存 儲(chǔ)在IP過(guò)濾器1000中的IP地址相匹配。如果是的話���,則在步驟1230處 分組被轉(zhuǎn)發(fā)到家庭LAN 140中其所尋址的節(jié)點(diǎn)�����,并且序列結(jié)束于步驟 1280處���。如果在IP過(guò)濾器1000未定位到分組的目的地IP地址450,則序 列前進(jìn)到步驟1240。在步驟1240處����,網(wǎng)絡(luò)操作系統(tǒng)230確定分組的源 MAC地址420是否被存儲(chǔ)在MAC過(guò)濾器500中���。如果不是,則在步驟 1250處分組被丟棄�����,并且序列結(jié)束于步驟1280處��?���;蛘撸诓襟E1250 處��,在適當(dāng)時(shí)分組可以被重定向到非受信子接口并且經(jīng)由因特網(wǎng)150被轉(zhuǎn) 發(fā)��。如果MAC地址420與MAC過(guò)濾器500中的條目相匹配��,則在步驟 1260處���,操作系統(tǒng)230基于存儲(chǔ)在匹配的MAC過(guò)濾器條目中的認(rèn)證狀態(tài) 530來(lái)確定客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由受信子接口 340進(jìn)行通信�。如果 客戶端節(jié)點(diǎn)未被認(rèn)證����,則序列返回步驟1250。否則���,在步驟1270處�����,接 收到的分組130經(jīng)由企業(yè)VPN 155被轉(zhuǎn)發(fā)�。序列結(jié)束于步驟1280處�����。C.結(jié)論以上是對(duì)本發(fā)明的示例性實(shí)施例的詳細(xì)描述��。在不脫離本發(fā)明的精神 和范圍的情況下���,可以進(jìn)行各種修改和添加��。例如�,受信子接口 340可以 被配置成實(shí)現(xiàn)傳統(tǒng)的分割隧道技術(shù)����。因此����,定向到受信子接口 340的分組 不僅可以通過(guò)企業(yè)VPN 155被路由�����,還可以被直接路由到因特網(wǎng)150�。從 而,分割隧道技術(shù)可以降低定向到網(wǎng)絡(luò)160的網(wǎng)絡(luò)流量的量�����,從而降低企 業(yè)160的"網(wǎng)關(guān)"服務(wù)器處(例如中間節(jié)點(diǎn)195處)的帶寬消耗����。雖然示例性實(shí)施例描述了共享介質(zhì)端口 300處的基于端口的網(wǎng)絡(luò)訪問(wèn)
控制技術(shù),但是該技術(shù)可以更一般性地應(yīng)用于任何在多個(gè)子接口處采用網(wǎng) 絡(luò)訪問(wèn)控制的端口���。此外���,雖然示例性實(shí)施例描述了共享介質(zhì)端口處的單 個(gè)MAC過(guò)濾器500,但是也可以設(shè)想�����,對(duì)于共享介質(zhì)端口上每個(gè)邏輯子接口,可以有單獨(dú)的MAC過(guò)濾器與其相關(guān)聯(lián)�����?��?梢悦鞔_地設(shè)想,本發(fā)明的教導(dǎo)可以實(shí)現(xiàn)為軟件��,包括具有在計(jì)算機(jī) 上執(zhí)行的程序指令的計(jì)算機(jī)可讀介質(zhì)�����、硬件��、固件或其組合����。因此,應(yīng)當(dāng) 以示例的方式來(lái)理解這些描述����,而不應(yīng)當(dāng)將其用于限制本發(fā)明的范圍。
權(quán)利要求
1.一種用于實(shí)現(xiàn)中間節(jié)點(diǎn)的共享介質(zhì)端口處的基于端口的網(wǎng)絡(luò)訪問(wèn)控制的方法,所述共享介質(zhì)端口耦合到多個(gè)客戶端節(jié)點(diǎn)����,所述方法包括將所述共享介質(zhì)端口劃分成多個(gè)邏輯子接口,每個(gè)邏輯子接口專用于提供對(duì)可通過(guò)所述中間節(jié)點(diǎn)訪問(wèn)的不同網(wǎng)絡(luò)或子網(wǎng)的訪問(wèn)��;在所述共享介質(zhì)端口處接收來(lái)自第一客戶端節(jié)點(diǎn)的數(shù)據(jù)分組�;將接收到的數(shù)據(jù)分組與所述多個(gè)邏輯子接口中的第一邏輯子接口相關(guān)聯(lián);確定所述第一客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信����;以及如果確定所述第一客戶端節(jié)點(diǎn)被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信,則經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)轉(zhuǎn)發(fā)所述接收到的數(shù)據(jù)分組���。
2. 根據(jù)權(quán)利要求1所述的方法��,還包括如果確定所述第一客戶端節(jié)點(diǎn)未被認(rèn)證以經(jīng)由所述第一邏輯子接口的 專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信�����,則執(zhí)行至少以下之一丟棄所述接收到的數(shù)據(jù) 分組或?qū)⑺鼋邮盏降臄?shù)據(jù)分組重新分類到不同的邏輯子接口�����。
3. 根據(jù)權(quán)利要求1所述的方法���,其中所述第一邏輯子接口的專用網(wǎng)絡(luò) 或子網(wǎng)是虛擬專用網(wǎng)絡(luò)(VPN)�。
4. 根據(jù)權(quán)利要求1所述的方法����,其中所述多個(gè)邏輯子接口中的邏輯子 接口專用于提供對(duì)因特網(wǎng)的訪問(wèn)。
5. 根據(jù)權(quán)利要求1所述的方法����,其中所述確定所述第一客戶端節(jié)點(diǎn)是 否被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信的步驟還 包括從所述接收到的數(shù)據(jù)分組中解析出源媒體訪問(wèn)控制(MAC)地址���; 基于所述解析出的源MAC地址的值索引與所述共享介質(zhì)端口相關(guān)聯(lián) 的MAC過(guò)濾器中的條目�;識(shí)別存儲(chǔ)在被索引出的MAC過(guò)濾器條目中的認(rèn)證狀態(tài)���;以及 基于存儲(chǔ)在所述被索引出的MAC過(guò)濾器條目中的所述認(rèn)證狀態(tài)確定 所述第一客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或 子網(wǎng)進(jìn)行通信���。
6. 根據(jù)權(quán)利要求5所述的方法,其中所述MAC過(guò)濾器被組織成散列表����。
7. 根據(jù)權(quán)利要求1所述的方法,還包括從所述接收到的數(shù)據(jù)分組中解析出目的地因特網(wǎng)協(xié)議(IP)地址�����; 將解析出的目的地IP地址與存儲(chǔ)在與所述共享介質(zhì)端口相關(guān)聯(lián)的IP過(guò)濾器中的一個(gè)或多個(gè)IP地址相比較;以及如果所述解析出的目的地IP地址與存儲(chǔ)在所述IP過(guò)濾器中的IP地址相匹配�,則即使確定所述第一客戶端節(jié)點(diǎn)未被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信,也經(jīng)由所述網(wǎng)絡(luò)或子網(wǎng)轉(zhuǎn)發(fā)所述接收到的數(shù)據(jù)分組�����。
8. 根據(jù)權(quán)利要求1所述的方法����,其中所述將接收到的數(shù)據(jù)分組與所述 第一邏輯子接口相關(guān)聯(lián)的步驟還包括定位被配置成存儲(chǔ)路由選擇信息的路由選擇表中與所述接收到的數(shù)據(jù) 分組相關(guān)聯(lián)的條目;以及基于所述路由選擇表?xiàng)l目的內(nèi)容將所述接收到的數(shù)據(jù)分組與所述第一 邏輯子接口相關(guān)聯(lián)�����。
9. 根據(jù)權(quán)利要求1所述的方法����,還包括在所述共享介質(zhì)端口處接收來(lái)自所述第一客戶端節(jié)點(diǎn)的認(rèn)證請(qǐng)求;響應(yīng)于接收到所述認(rèn)證請(qǐng)求�����,如果與所述共享介質(zhì)端口相關(guān)聯(lián)的 MAC過(guò)濾器尚未被創(chuàng)建�����,則創(chuàng)建該MAC過(guò)濾器;將存儲(chǔ)在接收到的認(rèn)證請(qǐng)求中的源MAC地址復(fù)制到所述MAC過(guò)濾 器中的適當(dāng)條目中�;將所述接收到的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到認(rèn)證服務(wù);接收來(lái)自所述認(rèn)證服務(wù)的響應(yīng)�����,該響應(yīng)標(biāo)識(shí)與所述第一客戶端節(jié)點(diǎn)相 關(guān)聯(lián)的認(rèn)證狀態(tài)��;以及將所述認(rèn)證狀態(tài)存儲(chǔ)到與所述源MAC地址被復(fù)制到其中的MAC過(guò) 濾器條目相同的MAC過(guò)濾器條目中�����。
10. 根據(jù)權(quán)利要求9所述的方法�����,其中所述將源MAC地址復(fù)制到適當(dāng) 的MAC過(guò)濾器條目中的步驟還包括基于對(duì)所述源MAC地址應(yīng)用散列函數(shù)的結(jié)果索引所述MAC過(guò)濾器 中的條目�����;以及將所述源MAC地址存儲(chǔ)在被索引出的MAC過(guò)濾器條目中�����。
11. 根據(jù)權(quán)利要求9所述的方法�,其中所述接收到的認(rèn)證請(qǐng)求是 802.1X認(rèn)證請(qǐng)求。
12. 根據(jù)權(quán)利要求9所述的方法��,還包括在所述第一客戶端節(jié)點(diǎn)在所述共享介質(zhì)端口處進(jìn)行的認(rèn)證失敗預(yù)定次 數(shù)之后��,經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)發(fā)送警告消息����。
13. 根據(jù)權(quán)利要求9所述的方法,還包括在所述第一客戶端節(jié)點(diǎn)的認(rèn)證狀態(tài)從已認(rèn)證狀態(tài)變?yōu)槲凑J(rèn)證狀態(tài)或未 知狀態(tài)之后�,經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)發(fā)送警告消息。
14. 一種用于實(shí)現(xiàn)包含多個(gè)客戶端節(jié)點(diǎn)的網(wǎng)絡(luò)中的基于端口的網(wǎng)絡(luò)訪問(wèn)控制的中間節(jié)點(diǎn)�,該中間節(jié)點(diǎn)包括 處理器;共享介質(zhì)端口�����,其用于接收來(lái)自所述多個(gè)客戶端節(jié)點(diǎn)中的第一客戶端 節(jié)點(diǎn)的數(shù)據(jù)分組��;以及存儲(chǔ)器��,其適合于存儲(chǔ)供所述處理器執(zhí)行的指令��,所述指令中的至少 一部分限定被配置成執(zhí)行以下步驟的網(wǎng)絡(luò)操作系統(tǒng)-將所述共享介質(zhì)端口劃分成多個(gè)邏輯子接口 ����,每個(gè)邏輯子接 口專用于提供對(duì)可通過(guò)所述中間節(jié)點(diǎn)訪問(wèn)的不同網(wǎng)絡(luò)或子網(wǎng)的訪 問(wèn)�;將從所述第一客戶端節(jié)點(diǎn)接收到的數(shù)據(jù)分組與所述多個(gè)邏輯 子接口中的第一邏輯子接口相關(guān)聯(lián)���;確定所述第一客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由所述第一邏輯子 接口向其提供專用訪問(wèn)的網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信����;以及如果確定所述第一客戶端節(jié)點(diǎn)被認(rèn)證以經(jīng)由所述第一邏輯子 接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信�,則經(jīng)由所述網(wǎng)絡(luò)或子網(wǎng)轉(zhuǎn)發(fā)所 述接收到的數(shù)據(jù)分組。
15. 根據(jù)權(quán)利要求14所述的中間節(jié)點(diǎn)�,其中所述存儲(chǔ)器還適合于存儲(chǔ)包含一個(gè)或多個(gè)條目的MAC過(guò)濾器,所述條目被配置成至少存儲(chǔ)MAC地址和認(rèn)證狀態(tài)�,并且所述網(wǎng)絡(luò)操作系統(tǒng)還被配置成執(zhí)行以下步驟在所述共享介質(zhì)端口處接收來(lái)自所述第一客戶端節(jié)點(diǎn)的認(rèn)證請(qǐng)求;將存儲(chǔ)在接收到的認(rèn)證請(qǐng)求中的源MAC地址復(fù)制到所述MAC過(guò) 濾器中的適當(dāng)條目中����;將所述接收到的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到認(rèn)證服務(wù)��;接收來(lái)自所述認(rèn)證服務(wù)的響應(yīng)����,該響應(yīng)標(biāo)識(shí)與所述第一客戶端節(jié) 點(diǎn)相關(guān)聯(lián)的認(rèn)證狀態(tài);以及將所述認(rèn)證狀態(tài)存儲(chǔ)到與所述源MAC地址被復(fù)制到其中的MAC 過(guò)濾器條目相同的MAC過(guò)濾器條目中���。
16. 根據(jù)權(quán)利要求14所述的中間節(jié)點(diǎn)���,其中 所述存儲(chǔ)器還適合于存儲(chǔ)包含IP地址列表的IP過(guò)濾器�����,并且 所述網(wǎng)絡(luò)操作系統(tǒng)還被配置成執(zhí)行以下步驟從所述接收到的數(shù)據(jù)分組中解析出目的地IP地址��; 將解析出的目的地IP地址與存儲(chǔ)在與所述共享介質(zhì)端口相關(guān)聯(lián)的IP過(guò)濾器中的一個(gè)或多個(gè)IP地址相比較�����;以及如果所述解析出的目的地IP地址與存儲(chǔ)在所述IP過(guò)濾器中的IP地址相匹配��,則即使確定所述第一客戶端節(jié)點(diǎn)未被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信��,也經(jīng)由所述網(wǎng)絡(luò)或子網(wǎng)轉(zhuǎn)發(fā)所述接收到的數(shù)據(jù)分組����。
17.根據(jù)權(quán)利要求14所述的中間節(jié)點(diǎn)���,其中所述存儲(chǔ)器還適合于存儲(chǔ)包含一個(gè)或多個(gè)條目的MAC過(guò)濾器���,所述 條目被配置成至少存儲(chǔ)MAC地址和認(rèn)證狀態(tài)����,并且 所述網(wǎng)絡(luò)操作系統(tǒng)還被配置成執(zhí)行以下步驟從所述接收到的數(shù)據(jù)分組中解析出源MAC地址�����;基于所述解析出的源MAC地址的值索引與所述共享介質(zhì)端口相關(guān)聯(lián)的MAC過(guò)濾器中的條目�;識(shí)別存儲(chǔ)在被索引出的MAC過(guò)濾器條目中的認(rèn)證狀態(tài);以及 基于存儲(chǔ)在所述被索引出的MAC過(guò)濾器條目中的所述認(rèn)證狀態(tài)確定所述第一客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信��。
18. —種實(shí)現(xiàn)共享介質(zhì)端口處的基于端口的網(wǎng)絡(luò)訪問(wèn)控制的裝置�����,所述共享介質(zhì)端口耦合到多個(gè)客戶端節(jié)點(diǎn)���,所述裝置包括用于將所述共享介質(zhì)端口劃分成多個(gè)邏輯子接口的裝置����,每個(gè)邏輯子 接口專用于提供對(duì)可通過(guò)所述中間節(jié)點(diǎn)訪問(wèn)的不同網(wǎng)絡(luò)或子網(wǎng)的訪問(wèn)����; 用于在所述共享介質(zhì)端口處接收來(lái)自第一客戶端節(jié)點(diǎn)的數(shù)據(jù)分組的裝置�����;用于將接收到的數(shù)據(jù)分組與所述多個(gè)邏輯子接口中的第一邏輯子接口 相關(guān)聯(lián)的裝置;用于確定所述第一客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由所述第一邏輯子接口 的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信的裝置����;以及用于經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)轉(zhuǎn)發(fā)所述接收到的數(shù) 據(jù)分組的裝置。
19. 根據(jù)權(quán)利要求18所述的裝置����,其中所述用于確定所述第一客戶端 節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信的 裝置還包括用于從所述接收到的數(shù)據(jù)分組中解析出源MAC地址的裝置; 用于基于所述解析出的源MAC地址的值索引與所述共享介質(zhì)端口相 關(guān)聯(lián)的MAC過(guò)濾器中的條目的裝置�����;用于識(shí)別存儲(chǔ)在被索引出的MAC過(guò)濾器條目中的認(rèn)證狀態(tài)的裝置�;以及用于基于存儲(chǔ)在所述被索引出的MAC過(guò)濾器條目中的所述認(rèn)證狀態(tài) 確定所述第一客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信的裝置。
20. 根據(jù)權(quán)利要求18所述的裝置����,還包括用于從所述接收到的數(shù)據(jù)分組中解析出目的地IP地址的裝置; 用于將解析出的目的地IP地址與存儲(chǔ)在與所述共享介質(zhì)端口相關(guān)聯(lián)的IP過(guò)濾器中的一個(gè)或多個(gè)IP地址相比較的裝置���;以及用于即使在確定所述第一客戶端節(jié)點(diǎn)未被認(rèn)證以經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信的情況下���,也經(jīng)由所述網(wǎng)絡(luò)或子網(wǎng)轉(zhuǎn)發(fā)所述接收到的數(shù)據(jù)分組的裝置���。
21. 根據(jù)權(quán)利要求18所述的裝置,其中所述用于將接收到的數(shù)據(jù)分組 與所述第 一邏輯子接口相關(guān)聯(lián)的裝置還包括用于定位被配置成存儲(chǔ)路由選擇信息的路由選擇表中與所述接收到的 數(shù)據(jù)分組相關(guān)聯(lián)的條目的裝置�;以及用于基于所述路由選擇表?xiàng)l目的內(nèi)容將所述接收到的數(shù)據(jù)分組與所述 第一邏輯子接口相關(guān)聯(lián)的裝置。
22. 根據(jù)權(quán)利要求18所述的裝置�,還包括用于在所述共享介質(zhì)端口處接收來(lái)自所述第一客戶端節(jié)點(diǎn)的認(rèn)證請(qǐng)求的裝置;用于在與所述共享介質(zhì)端口相關(guān)聯(lián)的MAC過(guò)濾器尚未被創(chuàng)建的情況 下創(chuàng)建該MAC過(guò)濾器的裝置���;用于將存儲(chǔ)在接收到的認(rèn)證請(qǐng)求中的源MAC地址復(fù)制到所述MAC 過(guò)濾器中的適當(dāng)條目中的裝置���;用于將所述接收到的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到認(rèn)證服務(wù)的裝置;用于接收來(lái)自所述認(rèn)證服務(wù)的響應(yīng)的裝置����,該響應(yīng)標(biāo)識(shí)與所述第一客 戶端節(jié)點(diǎn)相關(guān)聯(lián)的認(rèn)證狀態(tài);以及用于將所述認(rèn)證狀態(tài)存儲(chǔ)到與所述源MAC地址被復(fù)制到其中的MAC 過(guò)濾器條目相同的MAC過(guò)濾器條目中的裝置�����。
23. 根據(jù)權(quán)利要求22所述的裝置�,其中所述接收到的認(rèn)證請(qǐng)求是 802.1X認(rèn)證請(qǐng)求。
24. —種計(jì)算機(jī)可讀介質(zhì)��,包括供處理器執(zhí)行的指令,所述指令用于 一種實(shí)現(xiàn)中間節(jié)點(diǎn)中的共享介質(zhì)端口處的基于端口的網(wǎng)絡(luò)訪問(wèn)控制的方 法���,所述共享介質(zhì)端口耦合到多個(gè)客戶端節(jié)點(diǎn),所述方法包括以下步驟將所述共享介質(zhì)端口劃分成多個(gè)邏輯子接口 ���,每個(gè)邏輯子接口專用于 提供對(duì)可通過(guò)所述中間節(jié)點(diǎn)訪問(wèn)的不同網(wǎng)絡(luò)或子網(wǎng)的訪問(wèn)�����;在所述共享介質(zhì)端口處接收來(lái)自第一客戶端節(jié)點(diǎn)的數(shù)據(jù)分組���;將接收到的數(shù)據(jù)分組與所述多個(gè)邏輯子接口中的第一邏輯子接口相關(guān)聯(lián);確定所述第一客戶端節(jié)點(diǎn)是否被認(rèn)證以經(jīng)由所述第一邏輯子接口的專 用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信���;以及如果確定所述第一客戶端節(jié)點(diǎn)被認(rèn)證以經(jīng)由所述第一邏輯子接口的專 用網(wǎng)絡(luò)或子網(wǎng)進(jìn)行通信����,則經(jīng)由所述第一邏輯子接口的專用網(wǎng)絡(luò)或子網(wǎng)轉(zhuǎn) 發(fā)所述接收到的數(shù)據(jù)分組����。
全文摘要
本發(fā)明提供了一種用于在諸如路由器這樣的中間節(jié)點(diǎn)中的共享介質(zhì)端口上安全地實(shí)現(xiàn)基于端口的認(rèn)證的技術(shù)。為此�����,本發(fā)明提供了增強(qiáng)的基于端口的網(wǎng)絡(luò)訪問(wèn)控制,其包括共享介質(zhì)端口處的基于客戶端的控制���。與先前的實(shí)現(xiàn)方式不同��,并非一旦多個(gè)客戶端節(jié)點(diǎn)中的任何一個(gè)處的用戶被子網(wǎng)認(rèn)證����,端口就準(zhǔn)許這些客戶端節(jié)點(diǎn)訪問(wèn)受信子網(wǎng)��。相反�,針對(duì)嘗試通過(guò)共享介質(zhì)端口訪問(wèn)受信子網(wǎng)的每個(gè)客戶端節(jié)點(diǎn)執(zhí)行基于端口的認(rèn)證。這樣��,就不會(huì)發(fā)生在一個(gè)客戶端節(jié)點(diǎn)處的用戶已被受信子網(wǎng)認(rèn)證之后�,“附帶著”經(jīng)過(guò)共享介質(zhì)端口的未被認(rèn)證的客戶端節(jié)點(diǎn)危害對(duì)受信子網(wǎng)的訪問(wèn)的情況。
文檔編號(hào)G06F7/58GK101128796SQ200480033008
公開日2008年2月20日 申請(qǐng)日期2004年11月30日 優(yōu)先權(quán)日2003年12月4日
發(fā)明者布雷恩·弗朗西斯·科克斯, 布魯斯·麥克馬拉多, 溫卡特斯瓦拉·勞·亞拉戈達(dá) 申請(qǐng)人:思科技術(shù)公司