CN100356725C - 一种网络设备的管理方法 - Google Patents
一种网络设备的管理方法 Download PDFInfo
- Publication number
- CN100356725C CN100356725C CNB021603316A CN02160331A CN100356725C CN 100356725 C CN100356725 C CN 100356725C CN B021603316 A CNB021603316 A CN B021603316A CN 02160331 A CN02160331 A CN 02160331A CN 100356725 C CN100356725 C CN 100356725C
- Authority
- CN
- China
- Prior art keywords
- equipment
- certified
- authenticating device
- response message
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种网络设备的管理方法,属网络通信技术领域。本方法首先在认证设备上建立旁路MAC地址表格;认证设备向被认证设备发送认证请求报文,被认证设备接收到上述报文后,向认证设备发送一个应答报文,应答报文中含有被认证设备的桥MAC地址,同时将认证请求报文向下层被认证设备转发;重复该过程,直到第n层被认证设备接收到认证请求报文,并向认证设备发送应答报文;认证设备接收到所有下层被认证设备的应答报文后,将每层被认证设备的桥MAC地址等填入上述旁路MAC地址表格中;上层设备根据旁路MAC地址表实现对网络设备的管理。本发明的方法,使网络具有自维护性、适应性和可扩展性。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种网络设备的管理方法。
背景技术
目前,在已有的数据网络中,例如以太网交换网络,大多采用IEEE802.1X协议(以下简称802.1X)对用户进行认证。但是对大多数基于802.1X的认证设备,由于同时实现被认证者角色和认证者角色功能的复杂性等原因,一般只实现作为认证者角色的功能。这样就会导致网络上层设备无法通过生效的802.1X认证的端口采用远程登录(以下简称Telnet)和简单网络管理协议(以下简称SNMP)等对下层设备进行管理。从管理的角度看,也就是802.1X与Telnet和SNMP等不能同时共存。
发明内容
本发明的目的是提出一种网络设备的管理方法,使经过认证设备与下层被认证设备之间的通信不会因为802.1X协议而中断,从而解决已有技术中802.1X与Telnet和SNMP等不能协调工作的问题。
本发明提出的网络设备的管理方法,包括以下各步骤:
1、当认证设备初始化时,在认证设备上建立被认证设备的旁路MAC地址表格;
2、认证设备通过本设备上的所有生效的802.1X端口向被认证设备发送认证请求报文;
3、一层被认证设备接收到上述报文后,通过本设备的接收端口向认证设备发送一个应答报文,应答报文中含有本层被认证设备的桥MAC地址,另外将来自认证设备的认证请求报文通过本设备的除接收端口以外的其它端口向二层被认证设备转发;
4、二层被认证设备接收到中继过来的认证请求报文后,通过本设备的接收端口向认证设备发送一个应答报文,上述应答报文中含有本层被认证设备的桥MAC地址,另外将中继过来的认证请求报文通过本设备的除接收端口以外的其它端口向三层被认证设备转发;
5、其他被认证设备同步骤4,直到第n层被认证设备接收到认证请求报文,并向认证设备发送应答报文;
6、认证设备接收到所有下层被认证设备的应答报文后,将每层被认证设备的桥MAC地址填入上述旁路MAC地址表格中;
7、根据旁路MAC地址表,上层设备实现对网络设备的管理。
上述方法中,认证设备和被认证设备为以太网交换机、路由器或无线接入访问点中的任何一种。
上述方法中认证设备是定时通过本设备上的所有生效的802.1X端口向被认证设备发送认证请求报文的。
上述方法中请求认证报文的目的地址为“01-80-C2-00-00-0A”。
上述方法中,被认证设备向认证设备发送的应答报文为单播报文或多播报文。
上述方法中,应答报文中还可以含有被认证设备与虚拟局域网接口对应的MAC地址,被认证设备与虚拟局域网接口对应的MAC地址有一个或多个。
上述方法中,二层被认证设备通过本设备的接收端口向认证设备发送应答报文的过程为:二层被认证设备将上述应答报文发送一层被认证设备,一层被认证设备再将上述应答报文转发给认证设备。
上述方法中,认证设备连续多次向被认证设备发出认证请求报文后,若无应答,则在旁路MAC地址表中将与该被认证设备相对应的MAC地址删除。
本发明提出的网络设备的管理方法,在认证设备生效的802.1X的端口上建立下层被认证设备的MAC地址表,使经过认证设备与下层被认证设备之间的通信不会因为802.1X协议而中断。本发明方法的优点是:在开启认证的端口上,可以使认证协议(如802.1X)与网络管理协议共存;通过在认证设备上运行状态机对旁路MAC的动态维护,使网络具有自维护性;本方法的实现与802.1X协议状态机没有任何关系,从而具有更好的适应性和可扩展性。
附图说明
图1是本发明方法的流程框图。
具体实施方式
本发明提出的网络设备的管理方法,其流程框图如图1所示,包括以下各步骤:
1、当认证设备初始化时,在认证设备上建立被认证设备的旁路MAC地址表格;
2、认证设备通过本设备上的所有生效的802.1X端口向被认证设备发送认证请求报文;
3、一层被认证设备接收到上述报文后,通过本设备的接收端口向认证设备发送一个应答报文,应答报文中含有本层被认证设备的桥MAC地址,另外将来自认证设备的认证请求报文通过本设备的除接收端口以外的其它端口向二层被认证设备转发;
4、二层被认证设备接收到中继过来的认证请求报文后,通过本设备的接收端口向认证设备发送一个应答报文,上述应答报文中含有本层被认证设备的桥MAC地址,另外将中继过来的认证请求报文通过本设备的除接收端口以外的其它端口向三层被认证设备转发;
5、其他被认证设备同步骤4,直到第n层被认证设备接收到认证请求报文,并向认证设备发送应答报文;
6、认证设备接收到所有下层被认证设备的应答报文后,将每层被认证设备的桥MAC地址填入上述旁路MAC地址表格中;
7、根据旁路MAC地址表,上层设备实现对网络设备的管理。
上述方法中,认证设备和被认证设备为以太网交换机、路由器或无线接入访问点中的任何一种。
上述方法中认证设备是定时通过本设备上的所有生效的802.1X端口向被认证设备发送认证请求报文的,定时的时间间隔可以为5~60秒。在网络没有稳定之前,将把时间间隔取小值,这样使网络更快稳定;网络稳定之后,时间间隔取大值,可以减少网络负担。
上述方法中,被认证设备向认证设备发送的应答报文为单播报文或多播报文。单播报文较多播报文而言,可以减少网络负担;但是如果单播报文不能很好地到达认证设备,则使用多播报文。
上述方法中,认证设备连续多次向被认证设备发出认证请求报文后,若无应答,则在旁路MAC地址表中将与该被认证设备相对应的MAC地址删除。
上述方法中,认证设备向被认证设备发送的生效的的目的地址可以为“01-80-C2-00-00-0A”,也可以为其它格式的目的地址。
上述方法中,二层被认证设备通过本设备的接收端口向认证设备发送应答报文的过程为:二层被认证设备将上述应答报文发送一层被认证设备,一层被认证设备再将上述应答报文转发给认证设备。
上述方法中,应答报文中还可以含有被认证设备与虚拟局域网接口对应的MAC地址,其中,被认证设备与虚拟局域网接口对应的MAC地址有一个或多个,这是因为有些情况下,要通过多个虚拟网接口对下层设备进行管理,则应把多个虚拟网接口对应的MAC地址都包含在应答报文中。
上述方法中,认证设备连续多次,例如三次,向被认证设备发出认证请求报文后,若无应答,则在旁路MAC地址表中将与该被认证设备相对应的MAC地址删除。认证设备对Bypass MAC维护的这种老化机制,可以支持网络的动态管理。
本发明的MAC地址表中的地址,可以是被认证设备的桥MAC地址和虚拟局域网(以下简称VLAN)接口对应的MAC地址等。对于802.1X协议来说,只有通过认证的用户,其MAC地址才被认为是合法的。本发明通过建立的被认证设备MAC地址表,相当于在生效的802.1X的端口上为下层被认证设备设置了一条旁路,因此设备特征MAC地址亦可称为旁路MAC地址。
认证设备上开启认证的端口向其下挂的成员设备发送特定BPDU报文(Bridge Protocol Data Unit,桥接协议数据单元),成员交换机接收到该报文后,发送一个携带自身标识MAC(对以太网交换机是指桥MAC)地址,有时候也可以带有管理接口MAC地址的应答报文,同时向其它成员透传该报文。认证设备把被认证设备的标识MAC(亦可称之为BypassMAC)以静态方式写入其开启认证端口,从而使以指定设备MAC为源MAC的报文能够透传。图1中,认证交换机(指以太网交换机,下同)上使802.1X协议生效,通过Telnet和SNMP等可以管理其下挂的交换机,具体过程为:
1、认证设备向本设备上的所有生效的802.1X端口发送目的地址为“01-80-C2-00-00-0A”(可根据需要修改该地址)的请求报文。
2、一层被认证设备收到来自认证设备的请求报文后,向接收该请求报文的端口应答一个包含自身桥MAC和管理VLAN接口对应的MAC地址的应答报文。
3、同时,一层被认证设备把来自认证设备的请求报文向其生效的802.1X的其它端口转发,这一过程称为中继。
4、二层被认证设备收到一层被认证设备中继过来的请求报文,同理,把包含自身桥MAC和管理VLAN接口MAC的应答报文发给一层被认证设备。
5、一层被认证设备把二层被认证设备的应答报文转发给认证设备。一般来说,该过程是设备自动完成的,不需软件控制。
6、认证设备收到来自一层和二层被认证设备的的应答报文后,把其桥MAC和管理VLAN接口MAC加入旁路MAC地址表。
为了保证网络安全,认证请求报文和应答报文可以在管理VLAN中通信。并且确保普通用户不能访问管理VLAN。这样是为了防止用户仿冒被认证设备向认证设备发应答报文而取得网络访问权限。
请求报文和应答报文通过分别包含请求报文ID和应答报文ID。只有两者一致时,应答报文才被认为是有效的;否则,属于无效应答报文。
Claims (4)
1、一种网络设备的管理方法,其特征在于该方法包括以下各步骤:
(1)当认证设备初始化时,在认证设备上建立被认证设备的旁路MAC地址表格;
(2)认证设备通过本设备上的所有生效的802.1X端口向被认证设备发送认证请求报文;
(3)一层被认证设备接收到上述报文后,通过本设备的接收端口向认证设备发送应答报文,上述应答报文中含有本层被认证设备的桥MAC地址,另外将来自认证设备的认证请求报文通过本设备的除接收端口以外的其它端口向二层被认证设备转发;
(4)二层被认证设备接收到中继过来的认证请求报文后,通过本设备的接收端口向认证设备发送应答报文,上述应答报文中包括有本层被认证设备的桥MAC地址,另外将中继过来的认证请求报文通过本设备的除接收端口以外的其它端口向三层被认证设备转发;
(5)其他被认证设备同步骤(4),直到第n层被认证设备接收到认证请求报文,并向认证设备发送应答报文;
(6)认证设备接收到所有下层被认证设备的应答报文后,将每层被认证设备的桥MAC地址填入上述旁路MAC地址表格中;
(7)根据旁路MAC地址表,上层设备实现对网络设备的管理。
2、如权利要求1所述的方法,其特征在于其中所述的认证设备和被认证设备为以太网交换机、路由器或无线接入访问点中的任何一种。
3、如权利要求1所述的方法,其特征在于步骤(2)中认证设备是定时通过本设备上的所有生效的802.1X端口向被认证设备发送认证请求报文的。
4、如权利要求1所述的方法,其特征在于其中所述的认证请求报文的目的地址为“01-80-C2-00-00-0A”。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021603316A CN100356725C (zh) | 2002-12-26 | 2002-12-26 | 一种网络设备的管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021603316A CN100356725C (zh) | 2002-12-26 | 2002-12-26 | 一种网络设备的管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1510868A CN1510868A (zh) | 2004-07-07 |
| CN100356725C true CN100356725C (zh) | 2007-12-19 |
Family
ID=34237841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021603316A Expired - Fee Related CN100356725C (zh) | 2002-12-26 | 2002-12-26 | 一种网络设备的管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100356725C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100444557C (zh) * | 2005-12-27 | 2008-12-17 | 杭州华三通信技术有限公司 | 一种定位二层网络中目的设备的方法 |
| US9083565B2 (en) | 2006-09-25 | 2015-07-14 | Hangzhou H3C Technologies Co., Ltd. | Network apparatus and method for communication between different components |
| EP2051446B1 (en) * | 2007-06-13 | 2018-12-05 | Panasonic Corporation | Method of resolving duplicate mac addresses, network device managing system, server, and information device |
| CN101150457B (zh) * | 2007-10-25 | 2010-06-16 | 中兴通讯股份有限公司 | 以太网的媒体访问控制地址表容量的测试方法 |
| CN102195952B (zh) * | 2010-03-17 | 2015-05-13 | 杭州华三通信技术有限公司 | 触发802.1x认证的方法及设备端 |
| CN102185864B (zh) * | 2011-05-13 | 2014-12-24 | 北京星网锐捷网络技术有限公司 | 安全认证策略配置方法、装置及*** |
| CN104506370B (zh) * | 2014-12-31 | 2018-05-08 | 新华三技术有限公司 | 无网管***管理方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1331534A (zh) * | 2000-06-26 | 2002-01-16 | 三星电子株式会社 | 通过互联网提供无线应用协议服务的***和方法 |
| WO2002060127A2 (en) * | 2001-01-26 | 2002-08-01 | International Business Machines Corporation | Distributed multicast caching technique |
-
2002
- 2002-12-26 CN CNB021603316A patent/CN100356725C/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1331534A (zh) * | 2000-06-26 | 2002-01-16 | 三星电子株式会社 | 通过互联网提供无线应用协议服务的***和方法 |
| WO2002060127A2 (en) * | 2001-01-26 | 2002-08-01 | International Business Machines Corporation | Distributed multicast caching technique |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1510868A (zh) | 2004-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101706008B1 (ko) | 통신 실패에 따라서 분산된 릴레이 제어 프로토콜 〔drcp〕 동작을 지원하기 위한 방법 및 시스템 | |
| CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
| CN100583773C (zh) | 以网络层元件控制数据链路层元件的方法及装置 | |
| JP4190421B2 (ja) | パーソナル仮想ブリッジ・ローカル・エリア・ネットワーク | |
| CN100512109C (zh) | 验证接入主机安全性的访问认证***和方法 | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN107800602A (zh) | 一种报文处理方法、设备及*** | |
| CN104601566B (zh) | 认证方法以及装置 | |
| CN101478485B (zh) | 局域网访问控制的方法以及网关设备 | |
| US20030147405A1 (en) | Protecting the filtering database in virtual bridges | |
| CN107277058A (zh) | 一种基于bfd协议的接口认证方法及*** | |
| ES2302977T3 (es) | Procedimiento de configuracion automatica de un equipo de telefono sobre ip y/o de datos, sistema y equipo que lo implementan. | |
| CN100356725C (zh) | 一种网络设备的管理方法 | |
| CN106027491A (zh) | 基于隔离ip地址的独立链路式通信处理方法和*** | |
| CN104539539A (zh) | 一种 ac 设备多业务板数据转发方法 | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| Convery | Hacking layer 2: Fun with Ethernet switches | |
| CN1486032A (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
| CN100477609C (zh) | 实现网络专线接入的方法 | |
| CN108712398A (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| Cisco | sh_a_c | |
| Cisco | Cisco IOS Commands | |
| Cisco | Cisco IOS Commands | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | sh_a_c |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CI03 | Correction of invention patent |
Correction item: Claims Correct: Add claim Book Second False: Lack of claim Book Second Number: 51 Volume: 23 |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: RIGHT-CLAIMING DOCUMENT; FROM: LACK OF RIGHT-CLAIMING DOCUMENT PAGE TWO TO: ADD RIGHT-CLAIMING DOCUMENT PAGE TWO |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20071219 Termination date: 20151226 |
|
| EXPY | Termination of patent right or utility model |