專利名稱:在菊鏈連接設(shè)備中支持802.1x的裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及包括用于執(zhí)行在此描述的各種操作的程序指令、狀態(tài)信息等的 機器可讀介質(zhì)����。機器可讀介質(zhì)的示例包括但不限于諸如硬盤、軟盤和磁 帶之類的磁介質(zhì)���;諸如CD-ROM光盤和DVD之類的光介質(zhì);諸如光磁軟 盤(floptical disk)之類的磁光介質(zhì)���;以及專門被配置來存儲和執(zhí)行程序指 令的硬件設(shè)備�����,例如只讀存儲器(ROM)設(shè)備和隨機存取存儲器 (RAM)���。本發(fā)明還可以在通過諸如空中電波���、光線路、電子線路等傳輸 的載波中實現(xiàn)����。程序指令的示例包括諸如由編譯器產(chǎn)生的機器碼以及包 含可由計算機使用解釋程序執(zhí)行的更高級代碼的文件。
本發(fā)明的特定實施例在維持安全機制的同時���,允許多于單個的設(shè)備具 有通過單個物理接入控制端口的網(wǎng)絡(luò)接入(例如��,LAN接入)�����?����?梢栽试S 一個設(shè)備對每個VLAN或域進行認證��。因此�,可以通過單個端口完成對每 個VLAN或域的過濾。
雖然為了清楚地理解而以某個細節(jié)描述了前面的發(fā)明�,但是顯然可以在所附權(quán)利要求的范圍內(nèi)實施某些改變和修改。例如���,雖然將認證描述為 授權(quán)單個設(shè)備接入單個域��,但是當然單個設(shè)備也可以被授權(quán)接入多個不同 域或者多個設(shè)備可以被授權(quán)接入同一域�����。因此��,要把本實施例考慮為說明 性的而非限制性的�����,并且本發(fā)明不被限制為在此給出的細節(jié)�,而是可以在 所附權(quán)利要求的范圍和等同物內(nèi)進行修改����。
權(quán)利要求
1.一種方法��,包括接收用于對經(jīng)由網(wǎng)絡(luò)設(shè)備的特定接入端口接入第一網(wǎng)絡(luò)域的第一設(shè)備或用戶進行認證的一個或多個第一認證分組,其中�����,所述特定接入端口被配置來控制嘗試進入一個或多個網(wǎng)絡(luò)域的分組的接入�����;當所述第一設(shè)備或用戶被授權(quán)接入第一域時�,在所述第一設(shè)備和所述第一域之間形成第一綁定,其中�����,所述第一綁定指定允許所述第一設(shè)備接入所述第一域����,并且所述第一綁定與所述網(wǎng)絡(luò)設(shè)備的所述特定接入端口相關(guān)聯(lián);當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁定匹配時���,允許所述進入分組接入所述第一域�;以及當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁定不匹配時,阻止所述進入分組接入所述第一域�����。
2. 如權(quán)利要求1所述的方法�,還包括接收用于對經(jīng)由所述網(wǎng)絡(luò)設(shè)備的所述特定接入端口接入第二網(wǎng)絡(luò)域的 第二設(shè)備或用戶進行認證的一個或多個第二認證分組;當所述第二設(shè)備或用戶被授權(quán)接入第二域時��,在所述第二設(shè)備和所述 第二域之間形成第二綁定����,其中,所述第二綁定指定允許所述第二設(shè)備接 入所述第二域并且所述第二綁定與所述網(wǎng)絡(luò)設(shè)備的所述特定接入端口相關(guān) 聯(lián)����;當接收到嘗試進入所述第二域的分組并且進入分組與所述第二綁定匹 配時,允許所述進入分組接入所述第二域�����;以及當接收到嘗試進入所述第二域的分組并且進入分組與所述第二綁定不 匹配時��,阻止所述進入分組接入所述第二域����。
3. 如權(quán)利要求2所述的方法,其中,所述第一域是第一虛擬局域網(wǎng) (VLAN)并且所述第二域是第二 VLAN��。
4. 如權(quán)利請求3所述的方法�,其中,所述第一設(shè)備耦合到所述特定接入端口和所述第二設(shè)備�����,并且其中所述第二設(shè)備經(jīng)由所述第一設(shè)備與所述 特定網(wǎng)絡(luò)接口通信����。
5. 如權(quán)利請求3所述的方法��,其中����,所述第一綁定在所述第一設(shè)備的 媒體訪問地址(MAC)和所述第一 VLAN之間,并且其中所述第二綁定 在所述第二設(shè)備的媒體訪問地址(MAC)和所述第二VLAN之間�����。
6. 如權(quán)利要求2-5的任一項所述的方法���,其中���,使用802.1X協(xié)議來發(fā) 送所述第一和第二認證分組以及進入分組��。
7. 如權(quán)利要求3-5的任一項所述的方法��,其中�,所述第一VLAN被配 置用于語音流量��,并且所述第二 VLAN被配置用于數(shù)據(jù)流量����。
8. 如權(quán)利要求2-7的任一項所述的方法,其中��,所述第一設(shè)備是因特 網(wǎng)協(xié)議(IP)電話并且所述第二設(shè)備是個人計算機(PC)�����。
9. 如權(quán)利要求1-8的任一項所述的方法���,其中�����,當確定正使用所述第 一設(shè)備的未授權(quán)用戶被授權(quán)接入所述第一域時��,所述第一設(shè)備被授權(quán)接入 所述第一域�。
10. 如權(quán)利要求1-8的任一項所述的方法,還包括阻止未被所述第一 綁定或指定接入特定域的任何其它綁定指定的任何設(shè)備接入任何域�。
11. 一種裝置,包括 一個或多個處理器���;一個或多個存儲器�,其中���,至少一個處理器和存儲器適于接收用于對經(jīng)由網(wǎng)絡(luò)設(shè)備的特定接入端口接入第一網(wǎng)絡(luò)域的第一設(shè)備或用戶進行認證的一個或多個第一認證分組,其中�����,所述特定接入端口被配置來控制嘗試進入一個或多個網(wǎng)絡(luò)域的分組的接入����;當所述第一設(shè)備或用戶被授權(quán)接入第一域時,在所述第一設(shè)備和所述第一域之間形成第一綁定����,其中,所述第一綁定指定允許所述第一設(shè)備接入所述第一域�����,并且所述第一綁定與所述網(wǎng)絡(luò)設(shè)備的所述特定接入端口相關(guān)聯(lián);當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁定匹配時����,允許所述進入分組接入所述第一域;以及當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁 定不匹配時�����,阻止所述進入分組接入所述第一域����。
12. 如權(quán)利要求11所述的裝置,其中��,所述至少一個處理器和存儲器 還適于接收用于對經(jīng)由所述網(wǎng)絡(luò)設(shè)備的所述特定接入端口接入第二網(wǎng)絡(luò)域的 第二設(shè)備或用戶進行認證的一個或多個第二認證分組�;當所述第二設(shè)備或用戶被授權(quán)接入第二域時,在所述第二設(shè)備和所述 第二域之間形成第二綁定����,其中,所述第二綁定指定允許所述第二設(shè)備接 入所述第二域并且所述第二綁定與所述網(wǎng)絡(luò)設(shè)備的所述特定接入端口相關(guān) 聯(lián)�;當接收到嘗試進入所述第二域的分組并且進入分組與所述第二綁定匹 配時,允許所述進入分組接入所述第二域����;以及當接收到嘗試進入所述第二域的分組并且進入分組與所述第二綁定不 匹配時���,阻止所述進入分組接入所述第二域。
13. 如權(quán)利要求12所述的裝置���,其中�����,所述第一域是第一虛擬局域網(wǎng) (VLAN)并且所述第二域是第二 VLAN�����。
14. 如權(quán)利要求12所述的裝置,其中�����,所述第一設(shè)備耦合到所述特定 接入端口和所述第二設(shè)備���,并且其中所述第二設(shè)備經(jīng)由所述第一設(shè)備與所 述特定網(wǎng)絡(luò)接口通信�����。
15. 如權(quán)利要求12所述的裝置���,其中���,所述第一綁定在所述第一設(shè)備 的媒體訪問地址(MAC)和所述第一 VLAN之間,并且其中所述第二綁 定在所述第二設(shè)備的媒體訪問地址(MAC)和所述第二VLAN之間�。
16. 如權(quán)利要求12-15所述的裝置,其中�,使用802.1X協(xié)議來發(fā)送所 述第一和第二認證分組以及進入分組。
17. 如權(quán)利要求13-15所述的裝置�����,其中����,所述第一 VLAN被配置用 于語音流量,并且所述第二VLAN被配置用于數(shù)據(jù)流量�。
18. 如權(quán)利要求12-17所述的裝置,其中�,所述第一設(shè)備是因特網(wǎng)協(xié)議 (IP)電話并且所述第二設(shè)備是個人計算機(PC)。
19. 如權(quán)利要求11-18所述的裝置����,其中���,當確定正使用所述第一設(shè)備 的未授權(quán)用戶被授權(quán)接入所述第一域時,所述第一設(shè)備被授權(quán)接入所述第一域��。
20. 如權(quán)利要求11-18所述的裝置���,其中���,所述至少一個處理器和存儲器還適于阻止未被所述第一綁定或指定接入特定域的任何其它綁定指定的任何設(shè)備接入任何域。
21. —種裝置��,包括用于接收用于對經(jīng)由網(wǎng)絡(luò)設(shè)備的特定接入端口接入第一網(wǎng)絡(luò)域的第一 設(shè)備或用戶進行認證的一個或多個第一認證分組的裝置��,其中�����,所述特定 接入端口被配置來控制嘗試進入一個或多個網(wǎng)絡(luò)域的分組的接入��;用于當所述第一設(shè)備或用戶被授權(quán)接入第一域時在所述第一設(shè)備和所 述第一域之間形成第一綁定的裝置��,其中�����,所述第一綁定指定所述第一設(shè) 備允許接入所述第一域���,并且所述第一綁定與所述網(wǎng)絡(luò)設(shè)備的所述特定接 入端口相關(guān)聯(lián)���;用于當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁定匹配時允許所述進入分組接入所述第一域的裝置;以及用于當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁 定不匹配時阻止所述進入分組接入所述第一域的裝置���。
全文摘要
公開了對通過接入控制端口接入網(wǎng)絡(luò)的設(shè)備進行認證的裝置和方法����。例如通過接入控制端口接收用于對經(jīng)網(wǎng)絡(luò)設(shè)備的特定接入端口(102)接入第一網(wǎng)絡(luò)域的第一設(shè)備(104����,106)或用戶進行認證的一個或多個第一認證分組。特定接入端口配置來控制嘗試進入一個或多個網(wǎng)絡(luò)域的分組的接入���。當授權(quán)第一設(shè)備或用戶接入第一域時��,在第一設(shè)備和第一域間形成第一綁定(110���,112)。第一綁定指定允許第一設(shè)備接入第一域并且第一綁定與網(wǎng)絡(luò)設(shè)備的特定接入端口相關(guān)聯(lián)。當接收到嘗試進入第一域的分組并且進入分組與第一綁定匹配時��,允許進入分組接入第一域(608)�。相反,當接收到嘗試進入第一域的分組并且進入分組與第一綁定不匹配時�����,阻止進入分組接入第一域(612)����。
文檔編號H04L12/28GK101554016SQ200780027315
公開日2009年10月7日 申請日期2007年7月30日 優(yōu)先權(quán)日2006年8月1日
發(fā)明者喬治·奧蘭·穆爾, 伊恩·傅, 思恩娜·D·梅爾特, 蘇珊·M·索特爾, 詹森·D·弗瑞澤 申請人:思科技術(shù)公司