CN102136985A - 一种接入方法和接入设备 - Google Patents
一种接入方法和接入设备 Download PDFInfo
- Publication number
- CN102136985A CN102136985A CN2010101037950A CN201010103795A CN102136985A CN 102136985 A CN102136985 A CN 102136985A CN 2010101037950 A CN2010101037950 A CN 2010101037950A CN 201010103795 A CN201010103795 A CN 201010103795A CN 102136985 A CN102136985 A CN 102136985A
- Authority
- CN
- China
- Prior art keywords
- client
- address
- message
- access device
- physical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种接入方法和接入设备,其中方法包括:当接入设备学习到客户端的IP地址时,启动邻居学习功能,在邻居学习的过程中将来自所述客户端的报文暂时转发或丢弃;当接入设备采用邻居学习功能学习到所述客户端的物理信息与所述IP地址存在实际的对应关系时,将来自所述客户端的报文转发,允许所述客户端接入。本发明能够基于IP地址对客户端进行接入控制,防止伪造源地址攻击。
Description
技术领域
本发明涉及接入认证技术领域,特别涉及一种接入方法和接入设备。
背景技术
在现有的IPv4/IPv6网络组网中,简单地使用802.1X协议提供对客户端的接入认证。如图1为现有的802.1X认证***结构示意图,该认证***包括客户端,接入设备和认证服务器;其中,客户端必须支持局域网上的可扩展认证协议(EAPol,Extensible Authentication Protocol over LAN);接入设备是位于局域网一端的网络设备,对所连接的客户端进行认证,接入设备通常支持802.1X协议,为客户端提供接入局域网的端口;认证服务器是为接入设备提供认证服务的实体,用于实现对客户端的认证、授权和计费,认证服务器通常为远程认证拨号认证服务器(RADIUS,Remote AuthenticationDial-In User Service)。
现有的IPv4/IPv6网络组网中,有些使用802.1X认证协议进行接入认证,这种方式只能简单地基于端口信息对客户端进行认证和控制,网络管理员不能知道接入客户端的IPv4/IPv6地址,也不能使用客户端的IPv4/IPv6地址对客户端进行接入控制。
对于不使用802.1X认证协议进行接入认证的IPv4/IPv6网络组网,接入设备希望能够针对接入用户的源IP地址进行接入认证,以便监控所有转发报文,杜绝伪造源IP地址攻击。采用这种认证方式的前提是接入设备能够获取到客户端的IP地址,这就要求网络必须使用动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)地址分配方式为客户端分配IP地址;然而,在实际IPv4/IPv6网络组网中,还有很多客户端的IP地址不是采用DHCP地址分配方式分配的,对于这部分客户端,接入设备无法获取其IP地址,也就无法基于IP地址对客户端进行接入控制。
综上可见,在现有技术中,无法基于IP地址对客户端进行接入控制,防止伪造源地址攻击。
发明内容
本发明提出一种接入方法,用于基于IP地址对客户端进行接入控制,防止伪造源地址攻击。
本发明还提出一种接入设备,用于基于IP地址对客户端进行接入控制,防止伪造源地址攻击。
本发明的技术方案是这样实现的:
一种接入方法,包括:
当接入设备学习到客户端的IP地址时,启动邻居学习功能,在邻居学习的过程中将来自所述客户端的报文暂时转发或丢弃;
当接入设备采用邻居学习功能学习到所述客户端的物理信息与所述IP地址存在实际的对应关系时,将来自所述客户端的报文转发,允许所述客户端接入。
一种接入设备,包括CPU和转发处理器,其中CPU包括源地址学习模块和指令发送模块;
所述源地址学习模块,用于学习客户端的IP地址;还用于采用邻居学习功能,学习客户端的物理地址与IP地址是否存在实际的对应关系;
所述指令发送模块,用于当源地址学习模块学习到客户端的IP地址时,向转发处理器发送第一指令,所述第一指令为:将来自所述客户端的报文暂时转发或丢弃;还用于当源地址学习模块学习到客户端的物理地址与IP地址存在实际的对应关系时,向转发处理器发送第二指示,所述第二指示为:将来自所述客户端的报文转发;
所述转发处理器,用于按照所述第一指示,将来自客户端的报文暂时转发或丢弃;还用于按照所述第二指示,将来自客户端的报文转发。
综上可见,本发明提出的方法和接入设备,能够方便地获得客户端的多个IP地址,基于IP地址对客户端进行接入控制,从而有效防止客户端进行伪造源地址攻击。此外,启动邻居学习功能过程中,在接入设备尚未确定客户端是否伪造了IP地址时,可以暂时将来自该客户端的报文转发或丢弃,避免数据冲突。
附图说明
图1为现有的802.1X认证***结构示意图;
图2为本发明接入方法的实现流程图;
图3为本发明实施例接入方法的实现流程图;
图4为本发明实施例接入设备的结构示意图。
具体实施方式
本发明提出一种接入方法,应用于包括图1所示的接入认证***,本发明主要对***中的接入设备进行改进,从而实现对客户端基于IP地址的接入控制,以下具体实施例中将对接入设备及其功能作详细描述。
参见图2,图2为本发明接入方法的实现流程图。包括:
步骤201:当接入设备学习到客户端的IP地址时,启动邻居学习功能,在邻居学习的过程中将来自所述客户端的报文暂时转发或丢弃;
步骤202:当接入设备采用邻居学习功能学习到所述客户端的物理信息与所述IP地址存在实际的对应关系时,将来自所述客户端的报文转发,允许所述客户端接入。
上述方法还可以进一步包括:
步骤203:当接入设备采用邻居学习功能学习到所述客户端的物理地址与所述IP地址不存在实际的对应关系时,将来自所述客户端的报文丢弃,不允许所述客户端接入。
上述过程中,对报文的转发和丢弃等处理是通过在接入设备中生成一系列访问控制列表(ACL,Access Control List),并利用这些ACL实现的。
接入设备包括CPU和转发处理器,为了实现上述流程,本发明采用的接入设备在CPU中设置源地址学习模块,用于学习客户端的IP地址并进行邻居学习功能。以下举具体的实施例详细介绍:
参见图3,图3为本发明实施例接入方法的实现流程图,在本实施例中,将本发明提出的接入方法与现有的802.11X认证协议结合进行举例(当然,本发明也可以与其他的认证协议,如PORTAL、MAC地址认证协议结合,或者不与现有的认证协议结合)。本实施例包括:
步骤301:接入设备接收来自客户端1的报文,对客户端1的802.11X认证通过后,位于接入设备的CPU中的源地址学习模块将客户端1的物理信息(包括接入端口号、VLAN标识、MAC地址中的一项或多项)与客户端1的名称绑定起来,形成客户端信息表中的一个表项,将该表项的状态设置为AUTH,表示接入设备已经通过了对客户端1的接入认证,但尚未学习到客户端1的IP地址。参见表1,表1为接入设备对客户端1的接入认证通过后,源地址学习模块初始建立的客户端信息表。
客户端名称 | IPv4地址 | IPv6链路本地地址 | IPv6全球地址 | MAC地址 | VLAN标识 | 端口号 | 状态 |
客户端1 | LA1 | VLAN1 | P1 | AUTH | |||
客户端2 |
表1——初始的客户端信息表
步骤302:根据表1中的客户端信息表,CPU设置ACL1,将ACL1下发给转发处理器。ACL1的内容如表2所示:
匹配内容 | 处理动作 |
源MAC地址=LA1;VLAN标识=VLAN1;端口号=P1; | 上送CPU |
表2——ACL1
ACL1的含义为:要求转发处理器将满足该匹配内容的报文,也就是将所有来自客户端1的所有报文上送至CPU。
步骤303:接入设备中的转发处理器接收报文,当该报文满足ACL1的匹配内容,也就是该报文来自于客户端1时,转发处理器执行ACL1的处理动作,即:将该报文上送至CPU。
步骤302和步骤303的作用是,当对客户端1的认证通过后,将客户端1发送的报文上送至CPU,供CPU中的源地址学习模块学习客户端1的IP地址。
步骤304:CPU接收该报文,CPU中的源地址学习模块提取该报文的源地址IP1(也就是发送该报文的客户端的IP地址),查找表1所示的用户信息表,判断客户端信息表中是否存在IP1,如果不存在,则执行步骤305;如果存在,则执行步骤311;
步骤305:判断是否需要对该客户端进行IP地址认证,如果需要,则执行步骤306;如果不需要,则执行步骤308。
步骤306:接入设备通过认证协议与服务器沟通,检查该IP1的合法性,如果不合法,则执行步骤307;如果合法,则执行步骤308。
步骤307:CPU根据客户端信息表以及步骤304中提取出的源地址IP1,设置ACL2,将ACL2下发给转发处理器,并且将ACL2置于之前下发的ACL1之前。ACL2的内容如表3所示:
匹配内容 | 处理动作 |
源MAC地址=LA1;VLAN标识=VLAN1;端口号=P1;源IP地址=IP1 | 丢弃或转发 |
表3——ACL2
本步骤完成之后,结束当前流程。
另外,可以将ACL2的存续时间设置为SOURCE_DENYTIME(默认为5分钟),避免占用过多资源。
后续的,接入设备接收到来自客户端1的报文后,转发处理器首先将该报文与ACL2进行匹配,如果该报文的相关信息满足ACL2的匹配内容,则说明该报文不合法,直接丢弃或转发该报文(此处报文不合法仍然要进行转发的原因是,由于尚未启动邻居地址学习功能判断出客户端1伪造了IP地址,因此可以暂时将来自客户端1的报文转发);如果不满足,则继续将该报文与ACL1进行匹配,之后结束本实施例流程。
步骤308:CPU根据用户信息表以及步骤304中提取出的源地址IP1,设置ACL3,将ACL3下发给转发处理器,并且将ACL3置于之前下发的ACL1之前。同时立即启动邻居学习功能,即执行步骤309。
ACL3的内容如表4所示:
匹配内容 | 处理动作 |
源MAC地址=LA1;VLAN标识=VLAN1;端口号=P1;源IP地址=IP1 | 丢弃或转发 |
表4A——CL3
另外,可以将ACL3的存续时间设置为LEARN_TIME(默认为5秒钟)。可见,ACL3是存续时间极短的暂时性的接入控制列表,当接入设备学习到某一客户端的IP地址,并在启动针对该IP地址的邻居学习功能之前,接入设备并不知道该客户端使用的该IP地址是否合法;此时使用ACL3,将这段时间内收到的该来自客户端的报文全部丢弃或暂时转发,可以防止过多的报文冲击。
步骤309:源地址学习模块启动ARP或ND邻居地址学习功能,探测发送源IP地址为IP1的报文的客户端的真实地址是否为IP1,如果是,说明该客户端就是此IP1的使用者,并未伪造源地址。源地址学习模块将IP1填充入用户信息表,并将该表项的状态设置为SOURCELEARNED,表示已经学习到该客户端的IP地址(即IP1)。参见表5,表5为学习到IP地址后的用户信息表。
用户名 | IPv4地址 | IPv6链路本地地址 | IPv6全球地址 | MAC地址 | VLAN标识 | 端口号 | 状态 |
客户端1 | IP1 | LA1 | VLAN1 | P1 | SOURCELEARNED |
表5——学习到IP地址后的用户信息表
在本实施例中,以客户端1的IP地址为IPv4地址例进行举例,对于IPv6地址,本发明同样适用。
步骤310:根据步骤309中学习到IP地址后的用户信息表,CPU设置ACL4,将ACL4下发给转发处理器,并且将ACL4置于之前下发的ACL1之前。在下发ACL4后,如果转发处理器中同时还存在ACL2和ACL3,则可以将ACL2和ACL3删除。
ACL4的内容如表6所示:
匹配内容 | 处理动作 |
源MAC地址=LA1;VLAN标识=VLAN1;端口号=P1;源IP地址=IP1 | 转发 |
表6——ACL4
本步骤完成之后,结束当前流程。
后续的,接入设备接收到来自客户端的报文后,转发处理器首先将该报文与ACL4进行匹配,如果该报文的相关信息满足ACL4的匹配内容,则说明该报文合法,直接转发报文;如果不满足,则继续将该报文与ACL1进行匹配。
步骤311:(接上述步骤304,当CPU接收到源地址为IP1的报文,且用户信息表中存在IP1时,表示之前源地址学习模块已经学习到某客户端的IP地址为IP1。)CPU判断该报文实际的接入端口号、VLAN标识、MAC地址等信息与用户信息表中IP1对应的端口号、VLAN标识、MAC地址等信息是否一致,如果一致,说明已经学习到IP1,并且发送该报文的客户端并未伪造源地址,则执行步骤312;如果不一致,说明已经学习到IP1,但发送该报文的客户端伪造了源地址,则执行步骤313;
步骤312:CPU将报文下发至转发处理器,由转发处理器进行转发。本步骤完成之后,结束当前流程。
步骤313:CPU丢弃该报文,向转发处理器下发ACL2’,并且将ACL2’置于之前下发的ACL1之前。ACL2’的内容如表7所示:
匹配内容 | 处理动作 |
源MAC地址=LA1;VLAN标识=VLAN1;端口号=P1;源IP地址=IP1 | 丢弃 |
表7——ACL2’
后续地,接入设备收到来自客户端1的报文时,转发处理器首先将该报文与ACL2’进行匹配,如果该报文的相关信息满足ACL2’的匹配内容,则说明客户端1伪造了IP地址,直接丢弃该报文。
上述过程中,所述的客户端发送的报文是指通过认证后的首个IP报文,也包括ARP/ND等报文;对这些报文进行解析从而获得源IP地址的操作依照现有的相关协议标准完成。
通过上述过程,接入设备完成了对客户端基于IP地址的接入控制。并且在进行邻居学习期间,由于尚未确定客户端是否伪造了源地址,接入设备可以采用临时性的ACL(即ACL3),对来自该客户端的报文暂时转发或丢弃,从而避免数据冲击。另外,采用学习到的IP地址,接入设备可以方便地对客户端进行IP地址查看和管理,包括根据IP地址进行过滤等;同时,网络中的网关服务器也可以利用接入设备学习到的IP地址对接入用户的IP地址进行查看、管理和授权。
本发明还提出一种接入设备,参见图4,图4为本发明实施例接入设备的结构示意图,接入设备与客户端相连,接入设备包括CPU 410和转发处理器420,其中所述CPU 410包括源地址学习模块411和指令发送模块412;
其中,源地址学习模块411,可以用于学习客户端的IP地址;还可以用于采用邻居学习功能,学习客户端的物理地址与IP地址是否存在实际的对应关系;
指令发送模块412,可以用于当源地址学习模块411学习到客户端的IP地址时,向转发处理器420发送第一指令,所述第一指令为:将来自所述客户端的报文暂时转发或丢弃;还可以用于当源地址学习模块411学习到客户端的物理地址与IP地址存在实际的对应关系时,向转发处理器420发送第二指示,所述第二指示为:将来自所述客户端的报文转发;
转发处理器420,可以用于按照第一指示,将来自客户端的报文暂时转发或丢弃;还可以用于按照第二指示,将来自所述客户端的报文转发。
上述指令发送模块412还可以用于,当源地址学习模块411学习到客户端的物理地址与IP地址不存在实际的对应关系时,向转发处理器420发送第三指示,所述第三指示为:将来自所述客户端的报文丢弃;
上述转发处理器,还可以用于按照第三指示,将来自所述客户端的报文丢弃。
上述源地址学习模块411还可以用于,当接入设备对客户端的认证通过时,建立客户端信息表,包含该客户端的物理信息;源地址学习模块采用转发处理器上送的客户端的报文学习所述客户端的IP地址;
上述指令发送模块412,还可以用于在源地址学习模块学习客户端的IP地址之前,根据所述客户端信息表设置ACL1,将ACL1下发至转发处理器;所述ACL1为:将满足所述客户端物理信息的报文上送至源地址学习模块;
上述转发处理器420,还用于根据所述ACL1,将满足客户端物理信息的报文上送至源地址学习模块411。
上述指令发送模块412发送的第一指令包括ACL3,指令发送模块412还设置ACL3的存续时间;所述ACL3为:将满足客户端物理信息和IP地址的报文转发或丢弃;
上述转发处理器420,可以按照所述ACL3,在ACL3的存续时间内将满足客户端物理信息和IP地址的报文转发或丢弃。
上述指令发送模块412发送的第二指令包括ACL4;ACL4为:将满足客户端物理信息和IP地址的报文转发;
上述转发处理器420,可以按照所述ACL4,将满足客户端物理信息和IP地址的报文转发。
上述指令发送模块412发送的第三指令包括ACL2;ACL2为:将满足客户端物理信息和IP地址的报文丢弃;
上述转发处理器420,可以按照所述ACL2,将满足客户端物理信息和IP地址的报文丢弃。
综上所述,本发明提出的接入方法和接入设备,可以方便地获得客户端的多个IP地址,并基于IP地址对客户端进行接入控制,有效防止客户端的源地址伪造攻击。本发明通过一系列ACL,实现对报文的传输处理;在获取IP地址期间,可以通过ACL规则避免数据冲突。本发明可以实施在接入层,还可以实施在网络中的汇聚层等其他需要对用户源IP地址进行监控的场景。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (15)
1.一种接入方法,所述方法应用于包括客户端和接入设备的接入认证***,其特征在于,所述方法包括:
当接入设备学习到客户端的IP地址时,启动邻居学习功能,在邻居学习的过程中将来自所述客户端的报文暂时转发或丢弃;
当接入设备采用邻居学习功能学习到所述客户端的物理信息与所述IP地址存在实际的对应关系时,将来自所述客户端的报文转发,允许所述客户端接入。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
当接入设备采用邻居学习功能学习到所述客户端的物理地址与所述IP地址不存在实际的对应关系时,将来自所述客户端的报文丢弃,不允许所述客户端接入。
3.根据所述权利要求1或2所述的方法,其特征在于,所述方法进一步包括:
所述客户端配置新的IP地址后,所述接入设备重新执行所述学习客户端IP地址的步骤。
4.根据权利要求2所述的方法,其特征在于,所述接入设备包括CPU和转发处理器,所述CPU中设置源地址学习模块;
所述接入设备学习客户端的IP地址之前,进一步包括:
当接入设备对客户端的认证通过时,源地址学习模块建立客户端信息表,所述客户端信息表中包含该客户端的物理信息;
CPU根据所述客户端信息表设置ACL1,将ACL1下发至转发处理器;所述ACL1为:将满足所述客户端物理信息的报文上送至CPU;
转发处理器接收报文,将所述报文与ACL1进行匹配,当匹配成功时,将来自所述客户端的报文上送至CPU。
5.根据权利要求4所述的方法,其特征在于,所述接入设备学习客户端的IP地址及启动邻居学习功能的过程包括:CPU接收转发处理器上送的来自所述客户端的报文,源地址学习模块从该报文中提取该客户端的IP地址;当客户端信息表中不存在该IP地址时,启动邻居学习功能;
所述在邻居学习的过程中将来自所述客户端的报文暂时转发或丢弃的方式为:
CPU根据客户端信息表设置ACL3,并设置ACL3的存续时间,将ACL3下发至转发处理器;所述ACL3为:将满足所述客户端物理信息和IP地址的报文转发或丢弃;
所述转发处理器接收到来自客户端的报文时,在所述存续时间内将所述报文与ACL3进行匹配,当匹配成功时,将来自该客户端的报文转发或丢弃。
6.根据权利要求5所述的方法,其特征在于,所述接入设备学习到所述客户端的物理信息与IP地址存在实际的对应关系时,进一步将所述客户端的IP地址填充入客户端信息表,填充后的客户端信息表包含所述客户端的物理信息与IP地址的对应关系。
7.根据权利要求6所述的方法,其特征在于,所述接入设备将来自所述客户端的报文转发的方式为:
CPU根据所述填充后的客户端信息表设置ACL4,将ACL4下发至转发处理器;所述ACL4为:将满足所述客户端物理信息和IP地址的报文转发;
所述转发处理器接收到来自客户端的报文时,将所述报文与ACL4进行匹配,当匹配成功时,将来自该客户端的报文转发。
8.根据权利要求6所述的方法,其特征在于,所述接入设备采用邻居学习功能学习到所述客户端的物理地址与IP地址不存在实际的对应关系的过程包括:
源地址学习模块学习到客户端的IP地址后,查找所述填充后的客户端信息表,判断所述IP地址对应的物理信息与所述客户端实际的物理信息是否相同,如果不相同,则表示所述客户端的物理信息与IP地址不存在实际的对应关系。
9.根据权利要求8所述的方法,其特征在于,所述当学习到客户端的物理地址与IP地址不存在实际的对应关系时接入设备将来自所述客户端的报文丢弃的步骤包括:
CPU根据客户端信息表设置ACL2,将所述ACL2下发至转发处理器;所述ACL2为:将满足所述客户端物理信息和IP地址的报文丢弃;
转发处理器接收报文,将所述报文与ACL2进行匹配,当匹配成功时,将来自所述客户端的报文丢弃。
10.一种接入设备,其特征在于,所述接入设备包括CPU和转发处理器,其中CPU包括源地址学习模块和指令发送模块;
所述源地址学习模块,用于学习客户端的IP地址;还用于采用邻居学习功能,学习客户端的物理地址与IP地址是否存在实际的对应关系;
所述指令发送模块,用于当源地址学习模块学习到客户端的IP地址时,向转发处理器发送第一指令,所述第一指令为:将来自所述客户端的报文暂时转发或丢弃;还用于当源地址学习模块学习到客户端的物理地址与IP地址存在实际的对应关系时,向转发处理器发送第二指示,所述第二指示为:将来自所述客户端的报文转发;
所述转发处理器,用于按照所述第一指示,将来自客户端的报文暂时转发或丢弃;还用于按照所述第二指示,将来自所述客户端的报文转发。
11.根据权利要求10所述的接入设备,其特征在于,所述指令发送模块还用于,当源地址学习模块学习到客户端的物理地址与IP地址不存在实际的对应关系时,向转发处理器发送第三指示,所述第三指示为:将来自所述客户端的报文丢弃;
所述转发处理器,还用于按照所述第三指示,将来自所述客户端的报文丢弃。
12.根据权利要求10或11所述的接入设备,其特征在于,
所述源地址学习模块还用于,当接入设备对客户端的认证通过时,建立客户端信息表,包含该客户端的物理信息;所述源地址学习模块采用转发处理器上送的客户端的报文学习所述客户端的IP地址;
所述指令发送模块,还用于在源地址学习模块学习客户端的IP地址之前,根据所述客户端信息表设置ACL1,将ACL1下发至转发处理器;所述ACL1为:将满足所述客户端物理信息的报文上送至源地址学习模块;
所述转发处理器,还用于根据所述ACL1,将满足客户端物理信息的报文上送至源地址学习模块。
13.根据权利要求10所述的接入设备,其特征在于,所述指令发送模块发送的第一指令包括ACL3,所述指令发送模块还设置ACL3的存续时间;
所述ACL3为:将满足客户端物理信息和IP地址的报文转发或丢弃;
所述转发处理器,用于按照所述ACL3,在ACL3的存续时间内将满足客户端物理信息和IP地址的报文转发或丢弃。
14.根据权利要求10所述的接入设备,其特征在于,所述指令发送模块发送的第二指令包括ACL4;
所述ACL4为:将满足客户端物理信息和IP地址的报文转发;
所述转发处理器,用于按照所述ACL4,将满足客户端物理信息和IP地址的报文转发。
15.根据权利要求11所述的接入设备,其特征在于,所述指令发送模块发送的第三指令包括ACL2;
所述ACL2为:将满足客户端物理信息和IP地址的报文丢弃;
所述转发处理器,用于按照所述ACL2,将满足客户端物理信息和IP地址的报文丢弃。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010103795.0A CN102136985B (zh) | 2010-01-22 | 2010-01-22 | 一种接入方法和接入设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010103795.0A CN102136985B (zh) | 2010-01-22 | 2010-01-22 | 一种接入方法和接入设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102136985A true CN102136985A (zh) | 2011-07-27 |
CN102136985B CN102136985B (zh) | 2014-04-16 |
Family
ID=44296645
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010103795.0A Active CN102136985B (zh) | 2010-01-22 | 2010-01-22 | 一种接入方法和接入设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102136985B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106254269A (zh) * | 2016-08-18 | 2016-12-21 | 杭州迪普科技有限公司 | 一种报文转发方法及装置 |
CN106842915A (zh) * | 2016-12-22 | 2017-06-13 | 首都师范大学 | 一种用于机器人分布式控制***的形式建模方法及装置 |
WO2017219322A1 (zh) * | 2016-06-23 | 2017-12-28 | 华为技术有限公司 | 用于可见光通信的接入方法、装置、设备及*** |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030169713A1 (en) * | 2001-12-12 | 2003-09-11 | Hui Luo | Zero-configuration secure mobility networking technique with web-base authentication interface for large WLAN networks |
CN1630256A (zh) * | 2003-12-16 | 2005-06-22 | 华为技术有限公司 | 一种在上网过程中防止ip地址盗用的实现方法 |
US20060114872A1 (en) * | 2004-12-01 | 2006-06-01 | Canon Kabushiki Kaisha | Wireless control apparatus, system, control method, and program |
CN1829190A (zh) * | 2005-03-01 | 2006-09-06 | 杭州华为三康技术有限公司 | 一种分布式arp实现方法 |
CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
CN101212398A (zh) * | 2006-12-29 | 2008-07-02 | 王立刚 | 一种接入***及方法 |
CN101309197A (zh) * | 2007-05-18 | 2008-11-19 | 华为技术有限公司 | 网络***及接入节点设备、ip边缘设备和接入控制方法 |
CN101345743A (zh) * | 2007-07-09 | 2009-01-14 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其*** |
CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
CN101621525A (zh) * | 2009-08-05 | 2010-01-06 | 杭州华三通信技术有限公司 | 合法表项的处理方法和设备 |
CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
-
2010
- 2010-01-22 CN CN201010103795.0A patent/CN102136985B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030169713A1 (en) * | 2001-12-12 | 2003-09-11 | Hui Luo | Zero-configuration secure mobility networking technique with web-base authentication interface for large WLAN networks |
CN1630256A (zh) * | 2003-12-16 | 2005-06-22 | 华为技术有限公司 | 一种在上网过程中防止ip地址盗用的实现方法 |
US20060114872A1 (en) * | 2004-12-01 | 2006-06-01 | Canon Kabushiki Kaisha | Wireless control apparatus, system, control method, and program |
CN1829190A (zh) * | 2005-03-01 | 2006-09-06 | 杭州华为三康技术有限公司 | 一种分布式arp实现方法 |
CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
CN101212398A (zh) * | 2006-12-29 | 2008-07-02 | 王立刚 | 一种接入***及方法 |
CN101309197A (zh) * | 2007-05-18 | 2008-11-19 | 华为技术有限公司 | 网络***及接入节点设备、ip边缘设备和接入控制方法 |
CN101345743A (zh) * | 2007-07-09 | 2009-01-14 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其*** |
CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
CN101621525A (zh) * | 2009-08-05 | 2010-01-06 | 杭州华三通信技术有限公司 | 合法表项的处理方法和设备 |
CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017219322A1 (zh) * | 2016-06-23 | 2017-12-28 | 华为技术有限公司 | 用于可见光通信的接入方法、装置、设备及*** |
US10623098B2 (en) | 2016-06-23 | 2020-04-14 | Huawei Technologies Co., Ltd. | Access method, apparatus, device, and system for visible light communication |
CN106254269A (zh) * | 2016-08-18 | 2016-12-21 | 杭州迪普科技有限公司 | 一种报文转发方法及装置 |
CN106254269B (zh) * | 2016-08-18 | 2019-08-06 | 杭州迪普科技股份有限公司 | 一种报文转发方法及装置 |
CN106842915A (zh) * | 2016-12-22 | 2017-06-13 | 首都师范大学 | 一种用于机器人分布式控制***的形式建模方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102136985B (zh) | 2014-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101127600B (zh) | 一种用户接入认证的方法 | |
CN101635628B (zh) | 一种防止arp攻击的方法及装置 | |
CN102244651B (zh) | 防止非法邻居发现协议报文攻击的方法和接入设备 | |
CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
CA2419853A1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
CN106376003A (zh) | 检测无线局域网连接及无线局域网数据发送方法及其装置 | |
CN102437946B (zh) | 一种接入控制的方法、nas设备及认证服务器 | |
CN102946385B (zh) | 一种防止伪造释放报文进行攻击的方法和设备 | |
CN102404346A (zh) | 一种互联网用户访问权限的控制方法及*** | |
CN104618522B (zh) | 终端ip地址自动更新的方法及以太网接入设备 | |
CN101808097B (zh) | 一种防arp攻击方法和设备 | |
KR20130005973A (ko) | 네트워크 보안시스템 및 네트워크 보안방법 | |
CN112910863A (zh) | 一种网络溯源方法及*** | |
JP2002124952A (ja) | 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム | |
CN114422474A (zh) | 基于RADIUS服务器的用户IPv6地址生成方法 | |
CN104581977B (zh) | Wlan用户管理方法、装置及*** | |
US20110055571A1 (en) | Method and system for preventing lower-layer level attacks in a network | |
CN102136985B (zh) | 一种接入方法和接入设备 | |
CN105188057B (zh) | 一种提高网络接入认证安全的方法及*** | |
CN102447709A (zh) | 基于DHCP和802.1x接入权限控制方法及*** | |
CN102447710B (zh) | 一种用户访问权限控制方法及*** | |
CN101945053A (zh) | 一种报文的发送方法和装置 | |
CN114710388B (zh) | 一种校园网安全***及网络监护*** | |
KR20080040256A (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
CN106330654B (zh) | 一种基于wpa2-psk的虚拟局域网之间的无线数据传输方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |