專(zhuān)利名稱(chēng):一種橋接設(shè)備透?jìng)?02.1x認(rèn)證報(bào)文的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種認(rèn)證報(bào)文的傳輸��,特別是指一種客戶(hù)端通過(guò)其與設(shè)備端之間的橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文��,觸發(fā)并完成802.1X認(rèn)證的方法����。
背景技術(shù):
IEEE 802.1X協(xié)議是一種基于端口的訪問(wèn)控制協(xié)議(Port based networkaccess control protocol),是一種基于以太網(wǎng)技術(shù)的認(rèn)證協(xié)議�����。802.1X以其協(xié)議安全��、實(shí)現(xiàn)簡(jiǎn)單的特點(diǎn)與其它認(rèn)證協(xié)議一起��,給使用不對(duì)稱(chēng)數(shù)字用戶(hù)線路(ADSL)、甚高速數(shù)字用戶(hù)線路(VDSL)�����、局域網(wǎng)(LAN)�����、無(wú)線局域網(wǎng)(WLAN)等多種寬帶接入方式的用戶(hù)提供了豐富的認(rèn)證方式�����。
IEEE 802.1X系統(tǒng)的體系結(jié)構(gòu)及信息交換關(guān)系如圖1所示�,802.1X系統(tǒng)共有三個(gè)實(shí)體客戶(hù)端系統(tǒng)(Supplicant System)、設(shè)備端系統(tǒng)(AuthenticatorSystem)��、認(rèn)證服務(wù)器系統(tǒng)(Authentication Server System)���。在客戶(hù)端系統(tǒng)中進(jìn)一步包括客戶(hù)端端口狀態(tài)實(shí)體(PAE)�����,在設(shè)備端系統(tǒng)中進(jìn)一步包括設(shè)備端系統(tǒng)提供的服務(wù)和設(shè)備端端口狀態(tài)實(shí)體,在認(rèn)證服務(wù)器系統(tǒng)中進(jìn)一步包括認(rèn)證服務(wù)器�;該認(rèn)證服務(wù)器與設(shè)備端的端口狀態(tài)實(shí)體相連��,通過(guò)擴(kuò)展認(rèn)證協(xié)議(EAP)來(lái)交換設(shè)備端和認(rèn)證服務(wù)器間的認(rèn)證信息��,客戶(hù)端的端口狀態(tài)實(shí)體直接連到局域網(wǎng)(LAN)上�,設(shè)備端的服務(wù)和端口狀態(tài)實(shí)體分別通過(guò)受控端口(ControlledPort)和非受控端口連接于局域網(wǎng)上��,客戶(hù)端和設(shè)備端通過(guò)客戶(hù)端和設(shè)備端間的認(rèn)證協(xié)議(EAPoL)進(jìn)行通信����。其中,Controlled Port負(fù)責(zé)控制網(wǎng)絡(luò)資源和業(yè)務(wù)的訪問(wèn)�。
設(shè)備端系統(tǒng)通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備,如圖1所示�,設(shè)備端系統(tǒng)的內(nèi)部有兩個(gè)虛端口受控端口(Controlled Port)和非受控端口(Uncontrolled Port),該非受控端口始終處于雙向連通狀態(tài)���,主要用來(lái)傳遞EAPoL協(xié)議幀��,可保證客戶(hù)端隨時(shí)發(fā)出EAPoL協(xié)議幀或接受認(rèn)證�����;而受控端口只有在認(rèn)證通過(guò)����,即授權(quán)的狀態(tài)下才打開(kāi),用于傳遞網(wǎng)絡(luò)資源和服務(wù)���,也就是說(shuō)����,在認(rèn)證未通過(guò)時(shí)該受控端口為未授權(quán)端口��。受控端口可配置為雙向受控����、僅輸入受控兩種方式,以適應(yīng)不同應(yīng)用環(huán)境的需要�。比如圖1中設(shè)備端系統(tǒng)的受控端口處于未認(rèn)證、未授權(quán)狀態(tài)����,此客戶(hù)端無(wú)法訪問(wèn)設(shè)備端系統(tǒng)提供的服務(wù)。
802.1X系統(tǒng)中的認(rèn)證過(guò)程是由設(shè)備端接收客戶(hù)端的認(rèn)證信息��,再將這些信息轉(zhuǎn)發(fā)給對(duì)應(yīng)的認(rèn)證服務(wù)器上進(jìn)行認(rèn)證���。802.1X認(rèn)證通常使用EAP認(rèn)證方式�����,常用的EAP認(rèn)證方式有MD5����、TLS�、OTP、SIM等等�����?��;趫D1所示的結(jié)構(gòu)�����,以EAP-MD5認(rèn)證方式為例���,參見(jiàn)圖2所示,其中��,接入服務(wù)器為設(shè)備端�����,RADIUS服務(wù)器為認(rèn)證服務(wù)器,實(shí)現(xiàn)802.1X認(rèn)證的過(guò)程具體包括以下步驟步驟201在客戶(hù)端與接入服務(wù)器之間建立好物理連接后���,客戶(hù)端向接入服務(wù)器發(fā)送認(rèn)證起始報(bào)文EAPoL-Start�����,觸發(fā)802.1X的認(rèn)證流程����。這里��,如果客戶(hù)端是動(dòng)態(tài)分配地址的��,認(rèn)證起始報(bào)文也可能是DHCP請(qǐng)求報(bào)文�����;如果客戶(hù)端是手工配置地址的�,認(rèn)證起始報(bào)文還可能是ARP請(qǐng)求報(bào)文。
步驟202接入服務(wù)器收到認(rèn)證起始報(bào)文后�,向客戶(hù)端發(fā)送請(qǐng)求用戶(hù)名報(bào)文EAPoL-Request[Identity],請(qǐng)求用戶(hù)名����。
步驟203客戶(hù)端回應(yīng)一個(gè)響應(yīng)用戶(hù)名報(bào)文EAPoL-Response[Identity]給接入服務(wù)器�,其中包括用戶(hù)名��。
步驟204接入服務(wù)器以EAPoR(EAP over RADIUS)的報(bào)文格式向RADIUS服務(wù)器發(fā)送接入請(qǐng)求報(bào)文Access-Request����,將客戶(hù)端發(fā)給接入服務(wù)器的EAPoL-Response[Identity]報(bào)文透?jìng)鹘oRADIUS服務(wù)器�����。
步驟205~206RADIUS服務(wù)器收到用戶(hù)名后�����,產(chǎn)生一個(gè)128bit的密鑰Challenge����;然后,發(fā)給接入服務(wù)器一個(gè)接入密碼請(qǐng)求報(bào)文Access-Challenge��,其中含有請(qǐng)求用戶(hù)密碼報(bào)文EAP-Request[MD5 Challenge]和Challenge���。
步驟207接入服務(wù)器收到后����,發(fā)EAP-Request[MD5 Challenge]給客戶(hù)端,將Challenge值發(fā)給客戶(hù)端�����,并向客戶(hù)端進(jìn)行MD5質(zhì)詢(xún)�����。
步驟208客戶(hù)端收到EAP-Request[MD5 Challenge]報(bào)文后�����,將用戶(hù)密碼和Challenge值做MD5算法后得到加密密碼�,在響應(yīng)用戶(hù)密碼報(bào)文EAPoL-Response[MD5 Challenge]中發(fā)給接入服務(wù)器。
步驟209接入服務(wù)器再將加密密碼通過(guò)Access-Request報(bào)文送到RADIUS服務(wù)器�,由RADIUS服務(wù)器進(jìn)行認(rèn)證。
步驟210RADIUS服務(wù)器根據(jù)用戶(hù)信息判斷該用戶(hù)是否合法���,然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入服務(wù)器��。如果成功���,攜帶協(xié)商參數(shù)以及用戶(hù)的相關(guān)業(yè)務(wù)屬性給用戶(hù)授權(quán)����。
步驟211~212接入服務(wù)器根據(jù)認(rèn)證結(jié)果����,給客戶(hù)端回應(yīng)認(rèn)證成功/失敗報(bào)文EAP-Success/EAP-Failure,通知用戶(hù)認(rèn)證結(jié)果�����。如果認(rèn)證失敗��,則結(jié)束此流程����;否則���,如果客戶(hù)端是動(dòng)態(tài)分配地址的則通過(guò)DHCP進(jìn)行地址分配����,然后進(jìn)行授權(quán)���、計(jì)費(fèi)等后續(xù)流程����。
在客戶(hù)端和設(shè)備端之間實(shí)現(xiàn)信息交互時(shí),按照802.1X標(biāo)準(zhǔn)規(guī)定當(dāng)客戶(hù)端知道設(shè)備端時(shí)��,使用設(shè)備端的單播介質(zhì)訪問(wèn)控制(MAC)地址發(fā)送EAPoL報(bào)文����;當(dāng)客戶(hù)端不知道設(shè)備端時(shí),使用多播MAC地址01-80-C2-00-00-03組地址發(fā)送EAPoL報(bào)文�����。而該多播MAC地址01-80-C2-00-00-03屬于802.1D標(biāo)準(zhǔn)中所規(guī)定的不能被橋所中繼的MAC地址��,因此���,802.1X標(biāo)準(zhǔn)建議802.1X認(rèn)證一般在最接近用戶(hù)的設(shè)備上實(shí)現(xiàn)��,即在802.1X認(rèn)證前不經(jīng)過(guò)橋接設(shè)備����。
圖3所示為常用的以太網(wǎng)組網(wǎng)方式�,其中,可采用有線以太網(wǎng)技術(shù)�����,每臺(tái)個(gè)人計(jì)算機(jī)(PC)中的網(wǎng)卡和以太網(wǎng)交換機(jī)(LAN Switch)通過(guò)網(wǎng)線相連,一個(gè)LAN Switch可同時(shí)連接多個(gè)PC機(jī)�����,LAN Switch通過(guò)以太網(wǎng)線路接到核心網(wǎng)中���,所說(shuō)的核心網(wǎng)可以是企業(yè)局域網(wǎng)����、城域網(wǎng)等等�����;也可采用無(wú)線局域網(wǎng)技術(shù)�����,利用每臺(tái)PC機(jī)中的無(wú)線網(wǎng)卡與無(wú)線接入點(diǎn)(AP)相連����,一個(gè)AP可同時(shí)連接多個(gè)PC機(jī)�����,同樣,AP也通過(guò)以太網(wǎng)線路接到核心網(wǎng)中�����。
圖3只是以太網(wǎng)組網(wǎng)的一個(gè)具體實(shí)例��,在實(shí)際組網(wǎng)中����,可有多種組網(wǎng)結(jié)構(gòu)。對(duì)于有線連接方式����,PC機(jī)可以直接接在LAN Switch上,也可以通過(guò)HUB��、LANSwitch等設(shè)備級(jí)聯(lián)到LAN Switch上����,還可以通過(guò)VDSL和VDSL交換機(jī)(VDSLSwitch)相連,其中在VDSL線路中傳遞的是以太網(wǎng)格式的報(bào)文�����。在無(wú)線局域網(wǎng)中,可使用但不限于802.11�、802.11a、802.11b���、802.11g等無(wú)線以太網(wǎng)協(xié)議來(lái)連接PC機(jī)和AP�����,PC機(jī)也可以通過(guò)ADSL設(shè)備連接到網(wǎng)絡(luò)中�?���?梢?jiàn),PC機(jī)可以通過(guò)但不限于LAN Switch�����、AP��、VDSL����、ADSL等方式接入網(wǎng)絡(luò)��,并且通過(guò)網(wǎng)絡(luò)中的認(rèn)證服務(wù)器,如RADIUS服務(wù)器����,對(duì)其進(jìn)行合法性認(rèn)證,來(lái)驗(yàn)證當(dāng)前用戶(hù)的身份是否合法����,是否允許其接入網(wǎng)絡(luò)。
基于以上所述的以太網(wǎng)組網(wǎng)結(jié)構(gòu)��,按802.1X標(biāo)準(zhǔn)的建議��,802.1X認(rèn)證就應(yīng)該在LAN Switch和AP上實(shí)現(xiàn)����。在LAN Switch和AP上實(shí)現(xiàn)對(duì)小規(guī)模網(wǎng)絡(luò)中用戶(hù)的認(rèn)證完全沒(méi)有問(wèn)題,但對(duì)于規(guī)模龐大的大型網(wǎng)絡(luò)����,如圖4所示的中大型企業(yè)網(wǎng)或運(yùn)營(yíng)商網(wǎng)絡(luò),在圖4中�,PC機(jī)通過(guò)網(wǎng)卡或無(wú)線網(wǎng)卡分別與LANSwitch或AP相連,LAN Switch或AP再通過(guò)以太網(wǎng)線路連接在接入控制設(shè)備上�����,這里所說(shuō)的接入控制設(shè)備包括但不限于具有用戶(hù)管理功能的LAN Switch、或路由器��、或?qū)尤粨Q機(jī)(L3)��、或?qū)拵Ы尤敕?wù)器(BAS)等等�����,若干個(gè)接入控制設(shè)備形成邊緣匯聚層���。
在圖4所示的網(wǎng)絡(luò)中��,如果在所有最接近用戶(hù)的設(shè)備上實(shí)現(xiàn)認(rèn)證��,由于這類(lèi)設(shè)備的數(shù)量太大���,設(shè)備成本、運(yùn)營(yíng)維護(hù)費(fèi)用將會(huì)非常巨大��,因此�����,此種情況下一般是在網(wǎng)絡(luò)的邊緣匯聚層中進(jìn)行認(rèn)證�����。換句話說(shuō)就是����,對(duì)于802.1X認(rèn)證而言,如果在邊緣匯聚層中進(jìn)行802.1X認(rèn)證��,圖4中的PC機(jī)相當(dāng)于客戶(hù)端�,邊緣匯聚層中的接入控制設(shè)備相當(dāng)于設(shè)備端,客戶(hù)端向設(shè)備端傳送的802.1X認(rèn)證報(bào)文需要經(jīng)過(guò)橋接設(shè)備�,而按照802.1D和802.1X標(biāo)準(zhǔn)的規(guī)定,用于用戶(hù)認(rèn)證的多播報(bào)文又無(wú)法透過(guò)客戶(hù)端與設(shè)備端之間的所有以太網(wǎng)橋接設(shè)備����,因此無(wú)法傳送到接入控制設(shè)備上,進(jìn)而不能觸發(fā)接入控制設(shè)備上的802.1X認(rèn)證��,所以�����,現(xiàn)有的運(yùn)營(yíng)網(wǎng)絡(luò)中無(wú)法開(kāi)展802.1X認(rèn)證業(yè)務(wù)�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文的方法,使其能在所有以太網(wǎng)橋接設(shè)備上透?jìng)?02.1X認(rèn)證報(bào)文����,并在與客戶(hù)端橋接相連的設(shè)備端上觸發(fā)802.1X認(rèn)證,進(jìn)而使運(yùn)營(yíng)網(wǎng)絡(luò)能夠開(kāi)展802.1X認(rèn)證業(yè)務(wù)�,且降低設(shè)備成本和運(yùn)營(yíng)維護(hù)費(fèi)用。
為達(dá)到上述目的�����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文的方法�,當(dāng)需要進(jìn)行802.1X認(rèn)證的802.1X客戶(hù)端經(jīng)過(guò)橋接設(shè)備向其對(duì)應(yīng)的設(shè)備端發(fā)送802.1X認(rèn)證報(bào)文時(shí),該方法包括橋接設(shè)備收到每個(gè)報(bào)文后�,先判斷當(dāng)前報(bào)文是否為802.1X認(rèn)證報(bào)文,如果是����,則橋接設(shè)備將該802.1X認(rèn)證報(bào)文透?jìng)鬟^(guò)本設(shè)備,轉(zhuǎn)發(fā)至下一層網(wǎng)絡(luò)設(shè)備�����;否則��,橋接設(shè)備根據(jù)自身底層存儲(chǔ)的MAC地址表中設(shè)置的處理方式對(duì)當(dāng)前報(bào)文進(jìn)行處理�����。
其中����,所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文進(jìn)一步包括預(yù)先設(shè)置橋接設(shè)備底層MAC地址表中對(duì)發(fā)送802.1X認(rèn)證報(bào)文的01-80-C2-00-00-03組地址的處理方式為透?jìng)鳟?dāng)前報(bào)文;橋接設(shè)備收到新報(bào)文后����,判斷出當(dāng)前報(bào)文為802.1X認(rèn)證報(bào)文后,則根據(jù)底層MAC地址表中設(shè)置的處理方式透?jìng)髟撜J(rèn)證報(bào)文至下一層網(wǎng)絡(luò)設(shè)備��。
所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文進(jìn)一步包括在橋接設(shè)備上層實(shí)體中預(yù)先設(shè)定對(duì)802.1X認(rèn)證報(bào)文進(jìn)行透?jìng)魈幚?���;橋接設(shè)備收到新報(bào)文后,根據(jù)底層MAC地址表中設(shè)置的處理方式將當(dāng)前報(bào)文送至上層實(shí)體進(jìn)行處理��,上層實(shí)體判斷出當(dāng)前報(bào)文為802.1X認(rèn)證報(bào)文后,則透?jìng)髟撜J(rèn)證報(bào)文至下一層網(wǎng)絡(luò)設(shè)備���。
所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文是802.1X客戶(hù)端用橋接設(shè)備支持透?jìng)鞯摹?1-80-C2-00-00-00到01-80-C2-00-00-0F組地址以外的任意一個(gè)多播MAC地址,發(fā)送經(jīng)過(guò)橋接設(shè)備到802.1X設(shè)備端的802.1X認(rèn)證報(bào)文�����。其中,802.1X客戶(hù)端可用01-80-C2-00-00-20到01-80-C2-00-00-2F組地址中的任意一個(gè)發(fā)送經(jīng)過(guò)橋接設(shè)備到802.1X設(shè)備端的802.1X認(rèn)證報(bào)文��。
所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文是802.1X客戶(hù)端以橋接設(shè)備支持透?jìng)鞯膹V播地址方式發(fā)送經(jīng)過(guò)橋接設(shè)備到802.1X設(shè)備端的802.1X認(rèn)證報(bào)文���。該方法進(jìn)一步包括在802.1X報(bào)文中設(shè)置一個(gè)控制802.1X認(rèn)證報(bào)文廣播范圍的虛擬局域網(wǎng)標(biāo)識(shí)�����。該方法還可進(jìn)一步包括在橋接設(shè)備所屬的網(wǎng)絡(luò)中�����,采用生成樹(shù)協(xié)議(STP)對(duì)802.1X報(bào)文的傳輸進(jìn)行管理�����。
所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文是802.1X客戶(hù)端用能導(dǎo)致廣播方式的單播MAC地址發(fā)送經(jīng)過(guò)橋接設(shè)備到802.1X設(shè)備端的802.1X認(rèn)證報(bào)文�����。
所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文是在802.1X認(rèn)證前�����,802.1X客戶(hù)端通過(guò)協(xié)議交互獲取802.1X設(shè)備端的單播MAC地址�,以所獲得的單播MAC地址作為目的地址,802.1X客戶(hù)端經(jīng)過(guò)橋接設(shè)備向802.1X設(shè)備端傳輸802.1X認(rèn)證報(bào)文���。其中���,802.1X客戶(hù)端通過(guò)動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)交互獲取設(shè)備端的單播MAC地址��。
該方法進(jìn)一步包括802.1X客戶(hù)端通過(guò)配置命令����、或開(kāi)關(guān)控制、或兩者的組合確定經(jīng)過(guò)橋接設(shè)備向?qū)?yīng)的設(shè)備端發(fā)送802.1X認(rèn)證報(bào)文的MAC地址��。
因此��,本發(fā)明所提供的橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文的方法��,針對(duì)客戶(hù)端不知道設(shè)備端的情況��,通過(guò)采用各種方式改變傳送802.1X認(rèn)證報(bào)文的MAC地址����,或改變對(duì)現(xiàn)有MAC多播地址傳送802.1X認(rèn)證報(bào)文的處理方式,使802.1X認(rèn)證報(bào)文能在客戶(hù)端與設(shè)備端之間的橋接設(shè)備上透?jìng)?,從而使客?hù)端發(fā)送的802.1X認(rèn)證報(bào)文能夠透過(guò)橋接設(shè)備在設(shè)備端觸發(fā)并進(jìn)一步完成802.1X認(rèn)證過(guò)程�,如此�����,可支持在現(xiàn)有運(yùn)營(yíng)網(wǎng)絡(luò)中開(kāi)展802.1X認(rèn)證業(yè)務(wù)����,為用戶(hù)提供更多更好、質(zhì)量更高的服務(wù)�����。同時(shí)��,這種方法使802.1X認(rèn)證在邊緣匯聚層上實(shí)現(xiàn)成為可能�����,進(jìn)而可降低設(shè)備成本�����,減少網(wǎng)絡(luò)的運(yùn)營(yíng)和維護(hù)費(fèi)用����。
圖1為802.1X系統(tǒng)的體系結(jié)構(gòu)及信息交換關(guān)系示意圖����;圖2為802.1X系統(tǒng)中EAP-MD5認(rèn)證過(guò)程的信令交互示意圖�;
圖3為常用小型以太網(wǎng)組網(wǎng)方式的結(jié)構(gòu)示意圖;圖4為常用大型企業(yè)網(wǎng)或運(yùn)營(yíng)網(wǎng)絡(luò)的組網(wǎng)結(jié)構(gòu)示意圖��;圖5為本發(fā)明實(shí)現(xiàn)的流程圖�����。
具體實(shí)施例方式
由于在每個(gè)橋接設(shè)備�����,如交換機(jī)的底層都設(shè)置有MAC地址表�����,該表中規(guī)定了對(duì)經(jīng)過(guò)不同MAC地址傳輸?shù)膱?bào)文應(yīng)該如何處理����,因此����,本發(fā)明的核心思想就是在客戶(hù)端不知道設(shè)備端的情況下�����,采用橋接設(shè)備能夠做透?jìng)魈幚淼腗AC地址從客戶(hù)端向設(shè)備端傳輸涉及802.1X認(rèn)證的所有報(bào)文�����。
當(dāng)某個(gè)需要進(jìn)行802.1X認(rèn)證的客戶(hù)端經(jīng)過(guò)橋接設(shè)備向其對(duì)應(yīng)的設(shè)備端發(fā)送認(rèn)證報(bào)文時(shí)��,可根據(jù)橋接設(shè)備對(duì)報(bào)文的處理過(guò)程以及802.1X認(rèn)證報(bào)文的傳輸過(guò)程����,采用各種方式對(duì)傳輸802.1X認(rèn)證報(bào)文的MAC地址進(jìn)行相應(yīng)的改變����。如圖5中步驟501~步驟504所示,本發(fā)明的基本實(shí)現(xiàn)過(guò)程是橋接設(shè)備接收到每個(gè)經(jīng)過(guò)自身的報(bào)文后���,先判斷該當(dāng)前報(bào)文是否為802.1X認(rèn)證報(bào)文�,如果不是����,則根據(jù)橋接設(shè)備中已有的底層MAC地址表內(nèi)設(shè)置的處理方式對(duì)當(dāng)前報(bào)文進(jìn)行處理;否則,在本設(shè)備內(nèi)對(duì)當(dāng)前報(bào)文做透?jìng)魈幚?����,即直接轉(zhuǎn)發(fā)給下一層網(wǎng)絡(luò)設(shè)備�,比如交換機(jī)直接將802.1X認(rèn)證報(bào)文透?jìng)鹘o接入控制設(shè)備。
下面結(jié)合具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說(shuō)明��。
實(shí)施例一目前���,客戶(hù)端與設(shè)備端之間的橋接設(shè)備�,也就是最接近用戶(hù)的設(shè)備與接入控制設(shè)備之間的所有以太網(wǎng)橋接設(shè)備�,對(duì)802.1X認(rèn)證報(bào)文的處理過(guò)程是這樣的橋接設(shè)備收到新的報(bào)文后,先查詢(xún)底層的MAC地址表����,該表中給出了對(duì)于每個(gè)或每組目標(biāo)MAC地址的處理方式��,如果判斷出該新報(bào)文的目標(biāo)組地址為01-80-C2-00-00-03組地址���,則將該新報(bào)文由本設(shè)備的上層實(shí)體進(jìn)行處理��,而不傳送給下一層設(shè)備�。
因此,本實(shí)施例是改變橋接設(shè)備的內(nèi)部處理過(guò)程�,具體有兩種實(shí)現(xiàn)方案1)改變底層MAC地址表中的配置,即將表中01-80-C2-00-00-03組地址對(duì)應(yīng)的處理方式由本機(jī)上層實(shí)體處理改為透?jìng)鳟?dāng)前報(bào)文��,即直接向下一層設(shè)備轉(zhuǎn)發(fā)��,那么���,當(dāng)橋接設(shè)備收到新報(bào)文查詢(xún)MAC地址表時(shí)�,就會(huì)根據(jù)MAC地址表中規(guī)定的處理方式��,直接將該802.1X認(rèn)證報(bào)文透?jìng)鹘o下一層設(shè)備�。
2)改變當(dāng)前橋接設(shè)備中上層實(shí)體的處理,具體地說(shuō)就是預(yù)先在上層實(shí)體中設(shè)定對(duì)于01-80-C2-00-00-03組地址的802.1X認(rèn)證報(bào)文進(jìn)行透?jìng)魈幚?�,即直接向下一層設(shè)備轉(zhuǎn)發(fā)�����,那么��,當(dāng)前橋接設(shè)備收到新報(bào)文后����,查詢(xún)MAC地址表�����,根據(jù)表中規(guī)定的處理方式����,將該新報(bào)文發(fā)送給本設(shè)備的上層實(shí)體進(jìn)行處理�����,上層實(shí)體根據(jù)預(yù)先的設(shè)定即將該802.1X認(rèn)證報(bào)文向下一層設(shè)備轉(zhuǎn)發(fā)�����。
在本實(shí)施例中�����,如果當(dāng)前的橋接設(shè)備支持802.1X認(rèn)證���,則要關(guān)閉本設(shè)備的802.1X認(rèn)證功能,同時(shí)將802.1X認(rèn)證報(bào)文透?jìng)鹘o下一層設(shè)備��。
實(shí)施例二由于在802.1X及802.1D標(biāo)準(zhǔn)中只規(guī)定從01-80-C2-00-00-00到01-80-C2-00-00-0F之間的多播地址所傳輸?shù)膸荒鼙粯蛩欣^�����。因此,可直接采用上述規(guī)定以外的多播地址來(lái)傳輸客戶(hù)端通過(guò)橋接設(shè)備到設(shè)備端的802.1X認(rèn)證報(bào)文���,在所選用的多播地址中也包括01-80-C2-00-00-20到01-80-C2-00-00-2F的組地址�,雖然這些地址在802.1D標(biāo)準(zhǔn)中也有特殊規(guī)定��。
如此��,當(dāng)橋接設(shè)備收到802.1X認(rèn)證報(bào)文后�,查詢(xún)底層的MAC地址表,發(fā)現(xiàn)當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址對(duì)應(yīng)的處理方式是向下一層設(shè)備透?jìng)?����,則立即將當(dāng)前的802.1X認(rèn)證報(bào)文透?jìng)鬟^(guò)本設(shè)備�,一直透?jìng)鞯浇尤肟刂圃O(shè)備上,從而觸發(fā)接入控制設(shè)備上的802.1X認(rèn)證����,并完成802.1X認(rèn)證流程。
實(shí)施例三由于在以太網(wǎng)中���,廣播地址可以透?jìng)鬟^(guò)所有的交換機(jī)���,到達(dá)接入控制設(shè)備��,因此�,可將傳輸802.1X認(rèn)證報(bào)文的多播MAC地址改變?yōu)閺V播MAC地址���,這樣802.1X認(rèn)證報(bào)文利用廣播地址傳輸后�,用戶(hù)的802.1X認(rèn)證報(bào)文就可以從最接近用戶(hù)的設(shè)備開(kāi)始通過(guò)所有以太網(wǎng)橋接設(shè)備���,一直透?jìng)鞯浇尤肟刂圃O(shè)備���,從而觸發(fā)接入控制設(shè)備上的802.1X認(rèn)證,并完成802.1X認(rèn)證流程�����。
在本實(shí)施例中�����,由于使用廣播地址可能形成廣播報(bào)文�,可能會(huì)產(chǎn)生廣播風(fēng)暴�。為了避免廣播風(fēng)暴的產(chǎn)生���,可在802.1X規(guī)定的報(bào)文格式基礎(chǔ)上,增加一個(gè)虛擬局域網(wǎng)標(biāo)識(shí)(VLAN tag)��,使當(dāng)前的802.1X認(rèn)證報(bào)文只在指定的VLAN中廣播��,而不會(huì)廣播到整個(gè)以太網(wǎng)絡(luò)中�。另外,如果橋接設(shè)備所屬的網(wǎng)絡(luò)�,比如由交換機(jī)組成的網(wǎng)絡(luò)中存在環(huán)網(wǎng),則采用生成樹(shù)協(xié)議(STP)對(duì)網(wǎng)絡(luò)中的報(bào)文傳輸進(jìn)行管理���,以防止802.1X報(bào)文出現(xiàn)環(huán)路�����。
實(shí)施例四在以太網(wǎng)中����,以太網(wǎng)協(xié)議有規(guī)定當(dāng)以太網(wǎng)交換機(jī)收到一個(gè)單播MAC地址報(bào)文后�����,如果發(fā)現(xiàn)本交換機(jī)上沒(méi)有對(duì)應(yīng)該單播目的MAC地址的信息��,則向非本端口或非本VLAN廣播此單播報(bào)文。因此�,該類(lèi)單播地址被視為可能導(dǎo)致廣播的單播地址。
本實(shí)施例即是采用這種單播地址來(lái)傳輸客戶(hù)端通過(guò)橋接設(shè)備到設(shè)備端的802.1X認(rèn)證報(bào)文��,可以直接設(shè)定一個(gè)可能導(dǎo)致廣播的單播地址來(lái)傳輸802.1X認(rèn)證報(bào)文����,也可以先設(shè)定一段可能導(dǎo)致廣播的單播地址范圍,每次從該范圍內(nèi)任選一個(gè)來(lái)傳輸802.1X認(rèn)證報(bào)文�����。這樣��,交換機(jī)收到該802.1X認(rèn)證報(bào)文后����,查看自身的MAC地址表,發(fā)現(xiàn)沒(méi)有該單播MAC地址的信息���,即以廣播方式將當(dāng)前的802.1X認(rèn)證報(bào)文透?jìng)鬟^(guò)本交換機(jī)��,一直透?jìng)鞯浇尤肟刂圃O(shè)備�,從而觸發(fā)接入控制設(shè)備上的802.1X認(rèn)證,并完成802.1X認(rèn)證流程�����。
實(shí)施例五由于有明確單播MAC地址為目的地址的報(bào)文可直接透?jìng)髦聊康脑O(shè)備上�,因此��,本實(shí)施例采用在802.1X客戶(hù)端預(yù)先配置設(shè)備端����,也就是接入控制設(shè)備單播MAC地址的方式,使客戶(hù)端發(fā)送的802.1X認(rèn)證報(bào)文能通過(guò)橋接設(shè)備直接發(fā)送至設(shè)備端上����,即一直透?jìng)鞯浇尤肟刂圃O(shè)備,從而觸發(fā)接入控制設(shè)備上的802.1X認(rèn)證��,并完成802.1X認(rèn)證流程���。
本實(shí)施例中�,對(duì)設(shè)備端單播MAC地址的配置可通過(guò)某種已有協(xié)議或新協(xié)議在802.1X認(rèn)證前��,進(jìn)行配置協(xié)商�����,也就是說(shuō),先通過(guò)此種選定的協(xié)議進(jìn)行認(rèn)證前的交互�,使得客戶(hù)端能夠先獲得設(shè)備端的MAC地址,然后���,客戶(hù)端以所獲取的單播MAC地址作為目的地址發(fā)送802.1X認(rèn)證報(bào)文�,這樣就可使802.1X認(rèn)證報(bào)文一直透?jìng)鞯浇尤肟刂圃O(shè)備���,觸發(fā)接入控制設(shè)備上的802.1X認(rèn)證�����,并完成802.1X認(rèn)證流程�,這里所述的可用協(xié)議包括但不限于動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)�。
當(dāng)然,設(shè)備端的單播MAC地址也可以通過(guò)配置命令在客戶(hù)端預(yù)先由人工配置����,然后,客戶(hù)端再以配置好的單播MAC地址作為目的地址發(fā)送802.1X認(rèn)證報(bào)文��,這樣就可使802.1X認(rèn)證報(bào)文一直透?jìng)鞯浇尤肟刂圃O(shè)備�,觸發(fā)接入控制設(shè)備上的802.1X認(rèn)證,并完成802.1X認(rèn)證流程。
在實(shí)際應(yīng)用過(guò)程中�,上述五個(gè)實(shí)施例中所述的方案可根據(jù)組網(wǎng)情況任意選擇一種或采用多種方案的組合,所述的方案組合是指同時(shí)在不同的橋接設(shè)備上使用不同的透?jìng)鞣桨?���,或是在同一橋接設(shè)備的802.1X初始認(rèn)證過(guò)程和重認(rèn)證過(guò)程中使用不同的透?jìng)鞣桨浮F渲?,每種方案可通過(guò)配置命令��、或開(kāi)關(guān)控制��、或兩者的組合來(lái)實(shí)現(xiàn)�。
以上所述,僅為本發(fā)明的較佳實(shí)施例而已�����,并非用來(lái)限定本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1.一種橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文的方法,當(dāng)需要進(jìn)行802.1X認(rèn)證的802.1X客戶(hù)端經(jīng)過(guò)橋接設(shè)備向其對(duì)應(yīng)的設(shè)備端發(fā)送802.1X認(rèn)證報(bào)文時(shí)����,其特征在于該方法包括橋接設(shè)備收到每個(gè)報(bào)文后,先判斷當(dāng)前報(bào)文是否為802.1X認(rèn)證報(bào)文�,如果是,則橋接設(shè)備將該802.1X認(rèn)證報(bào)文透?jìng)鬟^(guò)本設(shè)備,轉(zhuǎn)發(fā)至下一層網(wǎng)絡(luò)設(shè)備�;否則,橋接設(shè)備根據(jù)自身底層存儲(chǔ)的MAC地址表中設(shè)置的處理方式對(duì)當(dāng)前報(bào)文進(jìn)行處理�����。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文進(jìn)一步包括預(yù)先設(shè)置橋接設(shè)備底層MAC地址表中對(duì)發(fā)送802.1X認(rèn)證報(bào)文的01-80-C2-00-00-03組地址的處理方式為透?jìng)鳟?dāng)前報(bào)文�����;橋接設(shè)備收到新報(bào)文后����,判斷出當(dāng)前報(bào)文為802.1X認(rèn)證報(bào)文后,則根據(jù)底層MAC地址表中設(shè)置的處理方式透?jìng)髟撜J(rèn)證報(bào)文至下一層網(wǎng)絡(luò)設(shè)備�����。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文進(jìn)一步包括在橋接設(shè)備上層實(shí)體中預(yù)先設(shè)定對(duì)802.1X認(rèn)證報(bào)文進(jìn)行透?jìng)魈幚?�;橋接設(shè)備收到新報(bào)文后,根據(jù)底層MAC地址表中設(shè)置的處理方式將當(dāng)前報(bào)文送至上層實(shí)體進(jìn)行處理��,上層實(shí)體判斷出當(dāng)前報(bào)文為802.1X認(rèn)證報(bào)文后����,則透?jìng)髟撜J(rèn)證報(bào)文至下一層網(wǎng)絡(luò)設(shè)備。
4.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文是802.1X客戶(hù)端用橋接設(shè)備支持透?jìng)鞯摹?1-80-C2-00-00-00到01-80-C2-00-00-0F組地址以外的任意一個(gè)多播MAC地址����,發(fā)送經(jīng)過(guò)橋接設(shè)備到802.1X設(shè)備端的802.1X認(rèn)證報(bào)文�����。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于��,所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文是802.1X客戶(hù)端用01-80-C2-00-00-20到01-80-C2-00-00-2F組地址中的任意一個(gè)發(fā)送經(jīng)過(guò)橋接設(shè)備到802.1X設(shè)備端的802.1X認(rèn)證報(bào)文�。
6.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文是802.1X客戶(hù)端以橋接設(shè)備支持透?jìng)鞯膹V播地址方式發(fā)送經(jīng)過(guò)橋接設(shè)備到802.1X設(shè)備端的802.1X認(rèn)證報(bào)文��。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于該方法進(jìn)一步包括在802.1X報(bào)文中設(shè)置一個(gè)控制802.1X認(rèn)證報(bào)文廣播范圍的虛擬局域網(wǎng)標(biāo)識(shí)。
8.根據(jù)權(quán)利要求6所述的方法����,其特征在于該方法進(jìn)一步包括在橋接設(shè)備所屬的網(wǎng)絡(luò)中,采用生成樹(shù)協(xié)議(STP)對(duì)802.1X報(bào)文的傳輸進(jìn)行管理�����。
9.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文是802.1X客戶(hù)端用能導(dǎo)致廣播方式的單播MAC地址發(fā)送經(jīng)過(guò)橋接設(shè)備到802.1X設(shè)備端的802.1X認(rèn)證報(bào)文��。
10.根據(jù)權(quán)利要求1所述的方法�,其特征在于����,所述橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文是在802.1X認(rèn)證前���,802.1X客戶(hù)端通過(guò)協(xié)議交互獲取802.1X設(shè)備端的單播MAC地址,以所獲得的單播MAC地址作為目的地址���,802.1X客戶(hù)端經(jīng)過(guò)橋接設(shè)備向802.1X設(shè)備端傳輸802.1X認(rèn)證報(bào)文�����。
11.根據(jù)權(quán)利要求10所述的方法�,其特征在于802.1X客戶(hù)端通過(guò)動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)交互獲取設(shè)備端的單播MAC地址�。
12.根據(jù)權(quán)利要求1所述的方法,其特征在于該方法進(jìn)一步包括802.1X客戶(hù)端通過(guò)配置命令����、或開(kāi)關(guān)控制��、或兩者的組合確定經(jīng)過(guò)橋接設(shè)備向?qū)?yīng)的設(shè)備端發(fā)送802.1X認(rèn)證報(bào)文的MAC地址�����。
全文摘要
本發(fā)明公開(kāi)了一種橋接設(shè)備透?jìng)?02.1X認(rèn)證報(bào)文的方法�,當(dāng)需要進(jìn)行802.1X認(rèn)證的802.1X客戶(hù)端經(jīng)過(guò)橋接設(shè)備向其對(duì)應(yīng)的設(shè)備端發(fā)送802.1X認(rèn)證報(bào)文時(shí),該方法包括橋接設(shè)備收到每個(gè)報(bào)文后�,先判斷當(dāng)前報(bào)文是否為802.1X認(rèn)證報(bào)文���,如果是,則橋接設(shè)備將該802.1X認(rèn)證報(bào)文透?jìng)鬟^(guò)本設(shè)備����,轉(zhuǎn)發(fā)至下一層網(wǎng)絡(luò)設(shè)備;否則��,橋接設(shè)備根據(jù)自身底層存儲(chǔ)的MAC地址表中設(shè)置的處理方式對(duì)當(dāng)前報(bào)文進(jìn)行處理����。采用該方法可使802.1X認(rèn)證報(bào)文在所有以太網(wǎng)橋接設(shè)備上透?jìng)鳎⒃谂c客戶(hù)端橋接相連的設(shè)備端上觸發(fā)802.1X認(rèn)證���,進(jìn)而使運(yùn)營(yíng)網(wǎng)絡(luò)能夠開(kāi)展802.1X認(rèn)證業(yè)務(wù)�,且降低設(shè)備成本和運(yùn)營(yíng)維護(hù)費(fèi)用�。
文檔編號(hào)H04L29/06GK1527557SQ0310498
公開(kāi)日2004年9月8日 申請(qǐng)日期2003年3月4日 優(yōu)先權(quán)日2003年3月4日
發(fā)明者金濤, 沈?qū)巼?guó), 張雪江, 陸震, 龔鈞, 金 濤 申請(qǐng)人:華為技術(shù)有限公司