專利名稱：一種網(wǎng)絡(luò)設(shè)備的管理方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)設(shè)備的管理方法。
背景技術(shù)：
目前，在已有的數(shù)據(jù)網(wǎng)絡(luò)中，例如以太網(wǎng)交換網(wǎng)絡(luò)，大多采用IEEE802.1X協(xié)議(以下簡(jiǎn)稱802.1X)對(duì)用戶進(jìn)行認(rèn)證。但是對(duì)大多數(shù)基于802.1X的認(rèn)證設(shè)備，由于同時(shí)實(shí)現(xiàn)被認(rèn)證者角色和認(rèn)證者角色功能的復(fù)雜性等原因，一般只實(shí)現(xiàn)作為認(rèn)證者角色的功能。這樣就會(huì)導(dǎo)致網(wǎng)絡(luò)上層設(shè)備無法通過使能802.1X認(rèn)證的端口采用遠(yuǎn)程登錄(以下簡(jiǎn)稱Telnet)和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(以下簡(jiǎn)稱SNMP)等對(duì)下層設(shè)備進(jìn)行管理。從管理的角度看，也就是802.1X與Telnet和SNMP等不能同時(shí)共存。

發(fā)明內(nèi)容
本發(fā)明的目的是提出一種網(wǎng)絡(luò)設(shè)備的管理方法，使經(jīng)過認(rèn)證設(shè)備與下層被認(rèn)證設(shè)備之間的通信不會(huì)因?yàn)?02.1X協(xié)議而中斷，從而解決已有技術(shù)中802.1X與Telnet和SNMP等不能協(xié)調(diào)工作的問題。
本發(fā)明提出的網(wǎng)絡(luò)設(shè)備的管理方法，包括以下各步驟1、當(dāng)認(rèn)證設(shè)備初始化時(shí)，在認(rèn)證設(shè)備上建立被認(rèn)證設(shè)備的旁路MAC地址表格；2、認(rèn)證設(shè)備通過本設(shè)備上的所有使能802.1X端口向被認(rèn)證設(shè)備發(fā)送認(rèn)證請(qǐng)求報(bào)文；3、一層被認(rèn)證設(shè)備接收到上述報(bào)文后，通過本設(shè)備的接收端口向認(rèn)證設(shè)備發(fā)送一個(gè)應(yīng)答報(bào)文，應(yīng)答報(bào)文中含有本層被認(rèn)證設(shè)備的橋MAC地址，另外將來自認(rèn)證設(shè)備的認(rèn)證請(qǐng)求報(bào)文通過本設(shè)備的除接收端口以外的其它端口向二層被認(rèn)證設(shè)備轉(zhuǎn)發(fā)；4、二層被認(rèn)證設(shè)備接收到中繼過來的認(rèn)證請(qǐng)求報(bào)文后，通過本設(shè)備的接收端口向認(rèn)證設(shè)備發(fā)送一個(gè)應(yīng)答報(bào)文，上述應(yīng)答報(bào)文中含有本層被認(rèn)證設(shè)備的橋MAC地址，另外將中繼過來的認(rèn)證請(qǐng)求報(bào)文通過本設(shè)備的除接收端口以外的其它端口向三層被認(rèn)證設(shè)備轉(zhuǎn)發(fā)；5、其他被認(rèn)證設(shè)備同步驟4，直到第n層被認(rèn)證設(shè)備接收到認(rèn)證請(qǐng)求報(bào)文，并向認(rèn)證設(shè)備發(fā)送應(yīng)答報(bào)文；6、認(rèn)證設(shè)備接收到所有下層被認(rèn)證設(shè)備的應(yīng)答報(bào)文后，將每層被認(rèn)證設(shè)備的橋MAC地址填入上述旁路MAC地址表格中；7、根據(jù)旁路MAC地址表，上層設(shè)備實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理。
上述方法中，認(rèn)證設(shè)備和被認(rèn)證設(shè)備為以太網(wǎng)交換機(jī)、路由器或無線接入訪問點(diǎn)中的任何一種。
上述方法中認(rèn)證設(shè)備是定時(shí)通過本設(shè)備上的所有使能802.1X端口向被認(rèn)證設(shè)備發(fā)送認(rèn)證請(qǐng)求報(bào)文的。
上述方法中請(qǐng)求認(rèn)證報(bào)文的目的地址為“01-80-C2-00-00-0A”。
上述方法中，被認(rèn)證設(shè)備向認(rèn)證設(shè)備發(fā)送的應(yīng)答報(bào)文為單播報(bào)文或多播報(bào)文。
上述方法中，應(yīng)答報(bào)文中還可以含有被認(rèn)證設(shè)備與虛擬局域網(wǎng)接口對(duì)應(yīng)的MAC地址，被認(rèn)證設(shè)備與虛擬局域網(wǎng)接口對(duì)應(yīng)的MAC地址有一個(gè)或多個(gè)。
上述方法中，二層被認(rèn)證設(shè)備通過本設(shè)備的接收端口向認(rèn)證設(shè)備發(fā)送應(yīng)答報(bào)文的過程為二層被認(rèn)證設(shè)備將上述應(yīng)答報(bào)文發(fā)送一層被認(rèn)證設(shè)備，一層被認(rèn)證設(shè)備再將上述應(yīng)答報(bào)文轉(zhuǎn)發(fā)給認(rèn)證設(shè)備。
上述方法中，認(rèn)證設(shè)備連續(xù)多次向被認(rèn)證設(shè)備發(fā)出認(rèn)證請(qǐng)求報(bào)文后，若無應(yīng)答，則在旁路MAC地址表中將與該被認(rèn)證設(shè)備相對(duì)應(yīng)的MAC地址刪除。
本發(fā)明提出的網(wǎng)絡(luò)設(shè)備的管理方法，在認(rèn)證設(shè)備使能802.1X的端口上建立下層被認(rèn)證設(shè)備的MAC地址表，使經(jīng)過認(rèn)證設(shè)備與下層被認(rèn)證設(shè)備之間的通信不會(huì)因?yàn)?02.1X協(xié)議而中斷。本發(fā)明方法的優(yōu)點(diǎn)是在開啟認(rèn)證的端口上，可以使認(rèn)證協(xié)議(如802.1X)與網(wǎng)絡(luò)管理協(xié)議共存；通過在認(rèn)證設(shè)備上運(yùn)行狀態(tài)機(jī)對(duì)旁路MAC的動(dòng)態(tài)維護(hù)，使網(wǎng)絡(luò)具有自維護(hù)性；本方法的實(shí)現(xiàn)與802.1X協(xié)議狀態(tài)機(jī)沒有任何關(guān)系，從而具有更好的適應(yīng)性和可擴(kuò)展性。


圖1是本發(fā)明方法的流程框圖。
具體實(shí)施例方式
本發(fā)明提出的網(wǎng)絡(luò)設(shè)備的管理方法，其流程框圖如圖1所示，包括以下各步驟1、當(dāng)認(rèn)證設(shè)備初始化時(shí)，在認(rèn)證設(shè)備上建立被認(rèn)證設(shè)備的旁路MAC地址表格；2、認(rèn)證設(shè)備通過本設(shè)備上的所有使能802.1X端口向被認(rèn)證設(shè)備發(fā)送認(rèn)證請(qǐng)求報(bào)文；3、一層被認(rèn)證設(shè)備接收到上述報(bào)文后，通過本設(shè)備的接收端口向認(rèn)證設(shè)備發(fā)送一個(gè)應(yīng)答報(bào)文，應(yīng)答報(bào)文中含有本層被認(rèn)證設(shè)備的橋MAC地址，另外將來自認(rèn)證設(shè)備的認(rèn)證請(qǐng)求報(bào)文通過本設(shè)備的除接收端口以外的其它端口向二層被認(rèn)證設(shè)備轉(zhuǎn)發(fā)；4、二層被認(rèn)證設(shè)備接收到中繼過來的認(rèn)證請(qǐng)求報(bào)文后，通過本設(shè)備的接收端口向認(rèn)證設(shè)備發(fā)送一個(gè)應(yīng)答報(bào)文，上述應(yīng)答報(bào)文中含有本層被認(rèn)證設(shè)備的橋MAC地址，另外將中繼過來的認(rèn)證請(qǐng)求報(bào)文通過本設(shè)備的除接收端口以外的其它端口向三層被認(rèn)證設(shè)備轉(zhuǎn)發(fā)；5、其他被認(rèn)證設(shè)備同步驟4，直到第n層被認(rèn)證設(shè)備接收到認(rèn)證請(qǐng)求報(bào)文，并向認(rèn)證設(shè)備發(fā)送應(yīng)答報(bào)文；
6、認(rèn)證設(shè)備接收到所有下層被認(rèn)證設(shè)備的應(yīng)答報(bào)文后，將每層被認(rèn)證設(shè)備的橋MAC地址填入上述旁路MAC地址表格中；7、根據(jù)旁路MAC地址表，上層設(shè)備實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理。
上述方法中，認(rèn)證設(shè)備和被認(rèn)證設(shè)備為以太網(wǎng)交換機(jī)、路由器或無線接入訪問點(diǎn)中的任何一種。
上述方法中認(rèn)證設(shè)備是定時(shí)通過本設(shè)備上的所有使能802.1X端口向被認(rèn)證設(shè)備發(fā)送認(rèn)證請(qǐng)求報(bào)文的，定時(shí)的時(shí)間間隔可以為5～60秒。在網(wǎng)絡(luò)沒有穩(wěn)定之前，將把時(shí)間間隔取小值，這樣使網(wǎng)絡(luò)更快穩(wěn)定；網(wǎng)絡(luò)穩(wěn)定之后，時(shí)間間隔取大值，可以減少網(wǎng)絡(luò)負(fù)擔(dān)。
上述方法中，被認(rèn)證設(shè)備向認(rèn)證設(shè)備發(fā)送的應(yīng)答報(bào)文為單播報(bào)文或多播報(bào)文。單播報(bào)文較多播報(bào)文而言，可以減少網(wǎng)絡(luò)負(fù)擔(dān)；但是如果單播報(bào)文不能很好地到達(dá)認(rèn)證設(shè)備，則使用多播報(bào)文。
上述方法中，認(rèn)證設(shè)備連續(xù)多次向被認(rèn)證設(shè)備發(fā)出認(rèn)證請(qǐng)求報(bào)文后，若無應(yīng)答，則在旁路MAC地址表中將與該被認(rèn)證設(shè)備相對(duì)應(yīng)的MAC地址刪除。
上述方法中，認(rèn)證設(shè)備向被認(rèn)證設(shè)備發(fā)送的請(qǐng)求報(bào)認(rèn)證文的目的地址可以為“01-80-C2-00-00-0A”，也可以為其它格式的目的地址。
上述方法中，二層被認(rèn)證設(shè)備通過本設(shè)備的接收端口向認(rèn)證設(shè)備發(fā)送應(yīng)答報(bào)文的過程為二層被認(rèn)證設(shè)備將上述應(yīng)答報(bào)文發(fā)送一層被認(rèn)證設(shè)備，一層被認(rèn)證設(shè)備再將上述應(yīng)答報(bào)文轉(zhuǎn)發(fā)給認(rèn)證設(shè)備。
上述方法中，應(yīng)答報(bào)文中還可以含有被認(rèn)證設(shè)備與虛擬局域網(wǎng)接口對(duì)應(yīng)的MAC地址，其中，被認(rèn)證設(shè)備與虛擬局域網(wǎng)接口對(duì)應(yīng)的MAC地址有一個(gè)或多個(gè)，這是因?yàn)橛行┣闆r下，要通過多個(gè)虛擬網(wǎng)接口對(duì)下層設(shè)備進(jìn)行管理，則應(yīng)把多個(gè)虛擬網(wǎng)接口對(duì)應(yīng)的MAC地址都包含在應(yīng)答報(bào)文中。
上述方法中，認(rèn)證設(shè)備連續(xù)多次，例如三次，向被認(rèn)證設(shè)備發(fā)出認(rèn)證請(qǐng)求報(bào)文后，若無應(yīng)答，則在旁路MAC地址表中將與該被認(rèn)證設(shè)備相對(duì)應(yīng)的MAC地址刪除。認(rèn)證設(shè)備對(duì)Bypass MAC維護(hù)的這種老化機(jī)制，可以支持網(wǎng)絡(luò)的動(dòng)態(tài)管理。
本發(fā)明的MAC地址表中的地址，可以是被認(rèn)證設(shè)備的橋MAC地址和虛擬局域網(wǎng)(以下簡(jiǎn)稱VLAN)接口對(duì)應(yīng)的MAC地址等。對(duì)于802.1X協(xié)議來說，只有通過認(rèn)證的用戶，其MAC地址才被認(rèn)為是合法的。本發(fā)明通過建立的被認(rèn)證設(shè)備MAC地址表，相當(dāng)于在使能802.1X的端口上為下層被認(rèn)證設(shè)備設(shè)置了一條旁路，因此設(shè)備特征MAC地址亦可稱為旁路MAC地址。
認(rèn)證設(shè)備上開啟認(rèn)證的端口向其下掛的成員設(shè)備發(fā)送特定BPDU報(bào)文(Bridge Protocol Data Unit，橋接協(xié)議數(shù)據(jù)單元)，成員交換機(jī)接收到該報(bào)文后，發(fā)送一個(gè)攜帶自身標(biāo)識(shí)MAC(對(duì)以太網(wǎng)交換機(jī)是指橋MAC)地址，有時(shí)候也可以帶有管理接口MAC地址的應(yīng)答報(bào)文，同時(shí)向其它成員透?jìng)髟搱?bào)文。認(rèn)證設(shè)備把被認(rèn)證設(shè)備的標(biāo)識(shí)MAC(亦可稱之為BypassMAC)以靜態(tài)方式寫入其開啟認(rèn)證端口，從而使以指定設(shè)備MAC為源MAC的報(bào)文能夠透?jìng)?。圖1中，認(rèn)證交換機(jī)(指以太網(wǎng)交換機(jī)，下同)上使能802.1X協(xié)議，通過Telnet和SNMP等可以管理其下掛的交換機(jī)，具體過程為1、認(rèn)證設(shè)備向本設(shè)備上的所有使能802.1X端口發(fā)送目的地址為“01-80-C2-00-00-0A”(可根據(jù)需要修改該地址)的請(qǐng)求報(bào)文。
2、一層被認(rèn)證設(shè)備收到來自認(rèn)證設(shè)備的請(qǐng)求報(bào)文后，向接收該請(qǐng)求報(bào)文的端口應(yīng)答一個(gè)包含自身橋MAC和管理VLAN接口對(duì)應(yīng)的MAC地址的應(yīng)答報(bào)文。
3、同時(shí)，一層被認(rèn)證設(shè)備把來自認(rèn)證設(shè)備的請(qǐng)求報(bào)文向其使能802.1X的其它端口轉(zhuǎn)發(fā)，這一過程稱為中繼。
4、二層被認(rèn)證設(shè)備收到一層被認(rèn)證設(shè)備中繼過來的請(qǐng)求報(bào)文，同理，把包含自身橋MAC和管理VLAN接口MAC的應(yīng)答報(bào)文發(fā)給一層被認(rèn)證設(shè)備。
5、一層被認(rèn)證設(shè)備把二層被認(rèn)證設(shè)備的應(yīng)答報(bào)文轉(zhuǎn)發(fā)給認(rèn)證設(shè)備。一般來說，該過程是設(shè)備自動(dòng)完成的，不需軟件控制。
6、認(rèn)證設(shè)備收到來自一層和二層被認(rèn)證設(shè)備的的應(yīng)答報(bào)文后，把其橋MAC和管理VLAN接口MAC加入旁路MAC地址表。
為了保證網(wǎng)絡(luò)安全，認(rèn)證請(qǐng)求報(bào)文和應(yīng)答報(bào)文可以在管理VLAN中通信。并且確保普通用戶不能訪問管理VLAN。這樣是為了防止用戶仿冒被認(rèn)證設(shè)備向認(rèn)證設(shè)備發(fā)應(yīng)答報(bào)文而取得網(wǎng)絡(luò)訪問權(quán)限。
請(qǐng)求報(bào)文和應(yīng)答報(bào)文通過分別包含請(qǐng)求報(bào)文ID和應(yīng)答報(bào)文ID。只有兩者一致時(shí)，應(yīng)答報(bào)文才被認(rèn)為是有效的；否則，屬于無效應(yīng)答報(bào)文。
權(quán)利要求
1.一種網(wǎng)絡(luò)設(shè)備的管理方法，其特征在于該方法包括以下各步驟(1)當(dāng)認(rèn)證設(shè)備初始化時(shí)，在認(rèn)證設(shè)備上建立被認(rèn)證設(shè)備的旁路MAC地址表格；(2)認(rèn)證設(shè)備通過本設(shè)備上的所有使能802.1X端口向被認(rèn)證設(shè)備發(fā)送認(rèn)證請(qǐng)求報(bào)文；(3)一層被認(rèn)證設(shè)備接收到上述報(bào)文后，通過本設(shè)備的接收端口向認(rèn)證設(shè)備發(fā)送應(yīng)答報(bào)文，上述應(yīng)答報(bào)文中含有本層被認(rèn)證設(shè)備的橋MAC地址，另外將來自認(rèn)證設(shè)備的認(rèn)證請(qǐng)求報(bào)文通過本設(shè)備的除接收端口以外的其它端口向二層被認(rèn)證設(shè)備轉(zhuǎn)發(fā)；(4)二層被認(rèn)證設(shè)備接收到中繼過來的認(rèn)證請(qǐng)求報(bào)文后，通過本設(shè)備的接收端口向認(rèn)證設(shè)備發(fā)送應(yīng)答報(bào)文，上述應(yīng)答報(bào)文中包括有本層被認(rèn)證設(shè)備的橋MAC地址，另外將中繼過來的認(rèn)證請(qǐng)求報(bào)文通過本設(shè)備的除接收端口以外的其它端口向三層被認(rèn)證設(shè)備轉(zhuǎn)發(fā)；(5)其他被認(rèn)證設(shè)備同步驟(4)，直到第n層被認(rèn)證設(shè)備接收到認(rèn)證請(qǐng)求報(bào)文，并向認(rèn)證設(shè)備發(fā)送應(yīng)答報(bào)文；(6)認(rèn)證設(shè)備接收到所有下層被認(rèn)證設(shè)備的應(yīng)答報(bào)文后，將每層被認(rèn)證設(shè)備的橋MAC地址填入上述旁路MAC地址表格中；(7)根據(jù)旁路MAC地址表，上層設(shè)備實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理。
2.如權(quán)利要求1所述的方法，其特征在于其中所述的認(rèn)證設(shè)備和被認(rèn)證設(shè)備為以太網(wǎng)交換機(jī)、路由器或無線接入訪問點(diǎn)中的任何一種。
3.如權(quán)利要求1所述的方法，其特征在于步驟(2)中認(rèn)證設(shè)備是定時(shí)通過本設(shè)備上的所有使能802.1X端口向被認(rèn)證設(shè)備發(fā)送認(rèn)證請(qǐng)求報(bào)文的。
4.如權(quán)利要求1所述的方法，其特征在于其中所述的請(qǐng)求報(bào)認(rèn)證文的目的地址為“01-80-C2-00-00-0A”。
5.如權(quán)利要求1所述的方法，其特征在于所述的應(yīng)答報(bào)文為單播報(bào)文或多播報(bào)文。
6.如權(quán)利要求1所述的方法，其特征在于步驟(4)所述二層被認(rèn)證設(shè)備通過本設(shè)備的接收端口向認(rèn)證設(shè)備發(fā)送應(yīng)答報(bào)文進(jìn)一步地包括如下步驟二層被認(rèn)證設(shè)備將上述應(yīng)答報(bào)文發(fā)送給一層被認(rèn)證設(shè)備，一層被認(rèn)證設(shè)備再將上述應(yīng)答報(bào)文轉(zhuǎn)發(fā)給認(rèn)證設(shè)備。
7.如權(quán)利要求1所述的方法，其特征在于所述的應(yīng)答報(bào)文中還含有被認(rèn)證設(shè)備與虛擬局域網(wǎng)接口對(duì)應(yīng)的MAC地址。
8.如權(quán)利要求7所述的方法，其特征在于所述的被認(rèn)證設(shè)備與虛擬局域網(wǎng)接口對(duì)應(yīng)的MAC地址有一個(gè)或多個(gè)。
9.如權(quán)利要求1所述的方法，其特征在于所述方法還進(jìn)一步地包括如下步驟認(rèn)證設(shè)備連續(xù)多次向被認(rèn)證設(shè)備發(fā)出認(rèn)證請(qǐng)求報(bào)文后，若無應(yīng)答，則在旁路MAC地址表中將與該被認(rèn)證設(shè)備相對(duì)應(yīng)的MAC地址刪除。
10.如權(quán)利要求1所述的方法，其特征在于其中的請(qǐng)求報(bào)文和應(yīng)答報(bào)文在管理私有虛擬網(wǎng)中進(jìn)行通信。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)設(shè)備的管理方法，屬網(wǎng)絡(luò)通信技術(shù)領(lǐng)域。本方法首先在認(rèn)證設(shè)備上建立旁路MAC地址表格；認(rèn)證設(shè)備向被認(rèn)證設(shè)備發(fā)送認(rèn)證請(qǐng)求報(bào)文，被認(rèn)證設(shè)備接收到上述報(bào)文后，向認(rèn)證設(shè)備發(fā)送一個(gè)應(yīng)答報(bào)文，應(yīng)答報(bào)文中含有被認(rèn)證設(shè)備的橋MAC地址，同時(shí)將認(rèn)證請(qǐng)求報(bào)文向下層被認(rèn)證設(shè)備轉(zhuǎn)發(fā)；重復(fù)該過程，直到第n層被認(rèn)證設(shè)備接收到認(rèn)證請(qǐng)求報(bào)文，并向認(rèn)證設(shè)備發(fā)送應(yīng)答報(bào)文；認(rèn)證設(shè)備接收到所有下層被認(rèn)證設(shè)備的應(yīng)答報(bào)文后，將每層被認(rèn)證設(shè)備的橋MAC地址等填入上述旁路MAC地址表格中；上層設(shè)備根據(jù)旁路MAC地址表實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理。本發(fā)明的方法，使網(wǎng)絡(luò)具有自維護(hù)性、適應(yīng)性和可擴(kuò)展性。
文檔編號(hào)H04L12/26GK1510868SQ0216033
公開日2004年7月7日 申請(qǐng)日期2002年12月26日 優(yōu)先權(quán)日2002年12月26日
發(fā)明者劉刀桂, 楊利明 申請(qǐng)人:華為技術(shù)有限公司