CN102437946B - 一种接入控制的方法、nas设备及认证服务器 - Google Patents
一种接入控制的方法、nas设备及认证服务器 Download PDFInfo
- Publication number
- CN102437946B CN102437946B CN201010500451.3A CN201010500451A CN102437946B CN 102437946 B CN102437946 B CN 102437946B CN 201010500451 A CN201010500451 A CN 201010500451A CN 102437946 B CN102437946 B CN 102437946B
- Authority
- CN
- China
- Prior art keywords
- address
- user
- ipv6
- ipv4
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种接入控制的方法、NAS设备及认证服务器,通过NAS设备接收认证服务器对所述用户认证通过后,返回的开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示,即指示是通过IPv4地址、还是IPv6地址、还是IPv4地址和IPv6地址接入网络,再通过NAS设备执行相应匹配规则的下发,实现了双协议栈主机接入网络的有效控制。
Description
技术领域
本发明涉及网络接入技术,尤指一种接入控制的方法、网络接入服务器(Network Access Server,NAS)设备及认证服务器。
背景技术
IPv4采用32位地址长度,只有大约43亿个地址,IPv4定义的有限地址空间将被耗尽,地址空间的不足必将影响互联网的进一步发展。为了扩大地址空间,拟通过IPv6重新定义地址空间。IPv6是下一版本的互联网协议,IPv6采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址,整个地球每平方米面积上可分配1000多个地址。
虽然,IPv6的优势能够对上述挑战直接或间接地做出贡献,恢复了原来因地址受限而失去的端到端连接功能,为互联网的普及与深化发展提供了基本条件。但是,现有的几乎每个网络及其连接设备都支持IPv4,因此要想一夜间完成从IPv4到IPv6的转换是不切实际的。需要从IPv4逐步向IPv6过渡。双协议栈技术就是其中的一个过渡方案。
IPv6和IPv4是功能相近的网络层协议,两者都基于相同的物理平台,而且加载于其上的传输层协议TCP和UDP又没有任何区别。双协议栈技术就是使一台主机同时支持IPv6和IPv4两种协议,这样,这台主机既能与支持IPv4协议的主机通信,又能与支持IPv6协议的主机通信,实现了较好的过渡。
但是,目前的网络接入控制方案均是针对IPv4的,现有技术中没有提供针对双协议栈客户端的网络接入控制方案。
发明内容
有鉴于此,本发明的主要目的在于提供一种接入控制的方法、NAS设备及认证服务器,应用本发明提供的技术方案能够有效的对双协议栈主机进行网络接入控制。
为达到上述目的,本发明的技术方案是这样实现的:
一种接入控制的方法,该方法包括:
网络接入服务器NAS设备接收入口Portal服务器发送的认证请求消息,将认证请求消息发送至认证服务器;
NAS设备接收认证服务器对所述用户认证通过后,返回的开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示;
NAS设备根据所述策略指示开放用户IPv4地址和/或IPv6地址的访问权限。
一种NAS设备,该NAS设备包括处理单元和控制单元;
所述处理单元,用于接收Portal服务器发送的认证请求消息,将认证请求消息发送至认证服务器;并接收认证服务器对所述用户认证通过后,返回的开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示;
所述控制单元,用于根据所述处理单元接收的策略指示开放用户IPv4地址和/或IPv6地址的访问权限。
本发明所提供的一种接入控制的方法、NAS设备及认证服务器,通过认证服务器控制用户接入网络的方式,NAS设备接收认证服务器对所述用户认证通过后,返回的开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示,即指示是通过IPv4地址、还是IPv6地址、还是IPv4地址和IPv6地址接入网络,再通过NAS设备执行相应匹配规则的下发,实现了双协议栈主机接入网络的有效控制。本发明的技术方案能够使双协议客户端根据网络的配置,实现了自身IPv4地址和IPv6地址实现灵活的接入。同时,本技术方案也能够实现客户端的一次认证通过后,对用户的多个IP地址进行控制的方案。
附图说明
图1为本发明方法的示例性流程图;
图2为本发明提供的NAS设备的结构图;
图3为本发明提供的认证服务器的结构图;
图4为本发明实施例一的流程图;
图5为本发明实施例二的流程图。
具体实施方式
在本部分的详细描述中,仅通过对实施本发明的发明者所预期的最佳方式的示例,示出并描述了本发明的较佳实施例。应意识到,可以在不背离本发明的前提下,就各个显而易见的方面对其进行修改。相应地,附图和说明书应被视为在本质上是示例性的,而不是限制性的。
参见图1,图1为本发明方法的示例性流程图。具体包括:在步骤101中,NAS设备接收入口(Portal)服务器发送的认证请求消息,将认证请求消息发送至认证服务器;在步骤102中,NAS设备接收认证服务器对所述用户认证通过后,返回的开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示;在步骤103中,NAS设备根据所述策略指示开放用户IPv4地址和/或IPv6地址的访问权限。
由图1所示的示例性流程图可知,本发明的技术方案通过认证服务器控制用户接入网络的方式,即是通过IPv4地址、还是IPv6地址、还是IPv4地址和IPv6地址接入网络,再通过NAS设备执行相应匹配规则的下发,实现了双协议栈主机接入网络的有效控制。
匹配规则的内容可以基于用户的MAC地址、用户的接入端口、或者用户的IP地址。
当基于MAC地址时,可以将所述MAC地址和IPv4特征标识作为匹配规则,表示允许该MAC地址对应的IPv4报文的收发。规则中描述的IPv4实际上定义了一种收发报文的类型,即只要是来自于该MAC地址的、IPv4报文都可以进行收发,也就是,当用户拥有多个IPv4地址,只要下发了这条规则,则该用户的所有IPv4地址对应的报文都可以收发。相对的,可以将所述MAC地址和IPv6特征标识作为匹配规则,表示允许该MAC地址对应的IPv6报文的收发。同时,规则中描述的IPv6也是定义了一种收发报文的类型,即只要是来自于该MAC地址的、IPv6报文都可以进行收发,也就是,当用户拥有多个IPv4地址,只要下发了这条规则,则该用户的所有IPv4地址对应的报文都可以收发。后面描述的基于用户的接入端口的匹配规则中的IPv4和IPv6也是定义了这种规则。这样,在允许开放用户的IPv4地址时,则获得所述用户的MAC地址,将所述MAC地址和IPv4特征标识作为匹配规则下发;在开放用户IPv6地址时,所述开放用户IPv6地址包括:获得所述用户的MAC地址,将所述MAC地址和IPv6特征标识作为匹配规则下发。
当基于用户的接入端口,可以将所述接入端口和IPv4特征标识作为匹配规则,表示允许该接入端口对应的IPv4报文的收发;相对的,可以将所述接入端口和IPv6特征标识作为匹配规则,表示允许该接入端口对应的IPv6报文的收发。这样,在开放用户IPv4地址时,获得所述用户的接入端口,将所获得的接入端口和IPv4特征标识作为匹配规则下发;在开放用户IPv6地址时,获得所述用户的接入端口,将所获得的接入端口和IPv6特征标识作为匹配规则下发。
上述所描述的IPv4特征标识和IPv6特征,表示的是能够区分IPv4协议和IPv6协议的任何标识,可以是:IPv4地址族号或IPv4版本号;以及对应的IPv6地址族号或IPv6版本号,或者任何自定义的标识。
当然,匹配规则还可以基于用户的IP地址。在这种情况下,可以直接将允许使用的IPv4和IPv6作为匹配规则下发。由于用户发送的认证请求消息仅会使用一个IP地址发送,因此单凭用户发送的认证请求消息,NAS设备还不能够确定用户所使用的所有IP地址,此时,可以从用户发送的认证请求消息中获得用户的MAC,由于MAC地址是唯一的,因此再根据MAC查找NAS设备上的地址解析协议(ARP,Address Resolution Protocol)和邻居发现(ND,Neighbor Discovery)表项,就能获得所需的多个IP地址。
具体的,在开放用户IPv4地址时,获得所述用户的MAC地址,通过查找NAS设备上的ARP表项获得该MAC地址对应的IPv4地址,将所述查找得到的IPv4地址作为匹配规则下发;在开放用户IPv6地址时,获得所述用户的MAC地址,通过查找NAS设备上的ND表项获得该MAC地址对应的IPv6地址,将所述查找得到的IPv6地址作为匹配规则下发。此处,当用户拥有多个IPv4地址和多个IPv6地址时,当认证服务器指示开放用户的IPv4地址,NAS设备则获得用户所有的IPv4地址,并作为匹配规则下发;当认证服务器指示开放用户的IPv6地址,NAS设备则获得用户所有的IPv6地址,并作为匹配规则下发。
由本发明的上述技术特征不难发现,通过本发明的技术方案,用户只需认证一次,就能够对其所有的IP地址进行接入控制。即,用户使用IPv4地址认证,通过本发明的技术方案能够实现对其IPv6地址的接入控制。当用户拥有多个IPv4地址和多个IPv6地址,用户只需使用其中的一个IP地址进行认证,本发明的技术方案就能够实现对其所有IP地址的接入控制,有效的实现了对双协议栈主机的接入控制。基于MAC地址和接入端口的技术手段,也可以实现相同的技术效果。
所述认证服务器可以为Radius服务器。当认证服务器为Radius服务器时,本发明的技术方案可以利用Radius消息中的扩展字段来指示是开放IPv4地址、还是IPv6地址,还是IPv4地址和IPv6地址。通过设置Radius消息中扩展字段的不同值分别对应开放IPv4地址策略指示、开放IPv6地址策略指示以及开放IPv4和IPv6地址策略指示。这样,NAS设备接收的策略指示就是Radius服务器返回的Radius消息,根据该Radius消息中扩展字段的不同值确定的指示。
所述认证服务器可以为轻型目录访问协议(Lightweight Directory AccessProtocol,LDAP)服务器。由于LDAP服务器主要用于查询,因此可以在LDAP服务器上设置IPv4策略组和IPv6策略组,并将用户加入其中一个或者两个组;其中,用户在IPv4策略组表示开放该用户IPv4地址的访问权限;用户在IPv6策略组表示开放该用户IPv6地址的访问权限;这样,NAS设备在所述认证请求消息对应的用户认证通过后,则进一步向所述LDAP服务器发送策略组查询请求;LDAP服务器则应请求返回的所述用户所属的策略组信息。
另外,参见图2,图2为本发明提供的一种NAS设备。
该NAS设备包括处理单元和控制单元。其中,所述处理单元,用于接收Portal服务器发送的认证请求消息,将认证请求消息发送至认证服务器;并接收认证服务器对所述用户认证通过后,返回的开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示;所述控制单元,用于根据所述处理单元接收的策略指示开放用户IPv4地址和/或IPv6地址的访问权限。
其中,所述控制单元,在开放用户IPv4地址时,获得所述用户的MAC地址,将所述MAC地址和IPv4特征标识作为匹配规则下发;在开放用户IPv6地址时,获得所述用户的MAC地址,将所述MAC地址和IPv6特征标识作为匹配规则下发。
其中,所述控制单元,在开放用户IPv4地址时,获得所述用户的接入端口,将所获得的接入端口和IPv4特征标识作为匹配规则下发;在开放用户IPv6地址时,获得所述用户的接入端口,将所获得的接入端口和IPv6特征标识作为匹配规则下发。
其中,所述IPv4特征标识为:IPv4地址族号或IPv4版本号;所述IPv6特征标识为:IPv6地址族号或IPv6版本号。
所述控制单元,在开放用户IPv4地址时,获得所述用户的MAC地址,通过查找NAS设备上的ARP表项获得该MAC地址对应的IPv4地址,将所述查找得到的IPv4地址作为匹配规则下发;在开放用户IPv6地址时,获得所述用户的MAC地址,通过查找NAS设备上的ND表项获得该MAC地址对应的IPv6地址,将所述查找得到的IPv6地址作为匹配规则下发。
另外,所述处理单元,在认证服务器为Radius服务器,并设置开放IPv4地址策略指示、开放IPv6地址策略指示以及开放IPv4和IPv6地址策略指示对应Radius消息中扩展字段不同值的情况下,所述接收的策略指示为:Radius服务器返回的Radius消息,该Radius消息中扩展字段值对应的指示。
所述处理单元,在认证服务器为轻型目录访问协议LDAP服务器;并LDAP服务器上设置IPv4策略组和IPv6策略组,将用户加入其中一个或者两个组的情况下,进一步用于在所述认证请求消息对应的用户认证通过后,向所述LDAP服务器发送策略组查询请求;相应的,所述NAS设备接收的策略指示为:LDAP服务器应请求返回的所述用户所属的策略组信息;其中,用户在IPv4策略组表示开放该用户IPv4地址的访问权限;用户在IPv6策略组表示开放该用户IPv6地址的访问权限。
参见图3,图3为本发明提供的一种认证服务器。
该认证服务器包括认证单元和操作单元。其中,所述认证单元,用于接收NAS设备发送的认证请求消息,对该认证请求消息对应的用户进行认证;所述操作单元,用于在认证单元对所述用户的认证通过后,向所述NAS设备返回开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示。
所述认证服务器为Radius服务器;所述操作单元,用于根据设置的Radius消息中扩展字段的不同值分别对应的开放IPv4地址策略指示、开放IPv6地址策略指示以及开放IPv4和IPv6地址策略指示,通过Radius消息中扩展字段的不同值向NAS设备返回策略指示。
所述认证服务器为轻型目录访问协议LDAP服务器;所述操作单元,用于保存设置的IPv4策略组和IPv6策略组,接收NAS设备发送的查询策略组的请求,应请求根据用户所属的策略组返回开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示;其中,用户在IPv4策略组表示开放该用户IPv4地址的访问权限;用户在IPv6策略组表示开放该用户IPv6地址的访问权限。
以下列举两个实施例对本发明的技术方案进行详细的说明。实施例一描述的是认证服务器为Radius服务器的情况,实施例二描述的是认证服务器为LDAP服务器的情况。
实施例一
对于Radius认证方式,由于Radius协议本身支持扩展属性功能,因此Radius服务器需要下发策略指示时,可以通过扩展一个Radius的私有属性来实现。具体的,扩展属性格式可以遵守RFC2865的26号属性的格式规定。26号属性包含6个字节。其中,扩展部分采用TLV格式,Type为一个字节,值为1;Length为一个字节,值为6;剩余4个字节为具体的控制策略的方式。可以通过设定不同的值标识不同的策略指示,0x0001标识指示开放该用户IPv4地址的权限,0x0002标识指示开放该用户IPv6地址的权限,0x0003标识指示开放该用户IPv4地址和IPv6地址的权限,其余值可以留待扩展。当用户通过Radius认证通过后,Radius服务器下发这个策略指示至NAS设备,NAS设备根据指示下发匹配规则。
参见图4,图4为实施例的流程图。具体如下:
在步骤401中,客户端向Portal服务器发送认证请求消息。
在步骤402中,Portal服务器向NAS设备转发从客户端收到的认证请求消息。
在步骤403中,NAS设备根据收到的认证请求消息向Radius服务器发送Radius认证请求消息。
在步骤404中,Radius服务器根据收到的Radius认证请求消息对该消息对应的用户进行认证;认证通过后,向NAS设备返回认证成功响应,其中携带策略指示。
其中的策略指示,就是指示开放当前用户IPv4地址、还是IPv6地址,或是IPv4地址和IPv6地址的指示。在本实施例中,如果指示开放IPv4地址,则扩展字段的值为0x0001;如果指示开放IPv6地址,则扩展字段的值为0x0002;如果指示开放IPv4地址和IPv6地址,则扩展字段的值为0x0003。
具体为用户下发何种的策略指示,可以根据预先为各用户设置的权限确定。
在步骤405中,NAS设备接收到Radius服务器返回的认证成功响应后,根据其中携带的策略指示,下发对应的匹配规则。
NAS设备选用的匹配规则可以是基于用户的MAC地址、也可以是用户的接入端口、或者是用户的IP地址,根据具体的需要确定。
当NAS设备选用的匹配规则是基于用户的MAC地址,则根据从收到的认证请求消息中获得用户的MAC。当收到的策略指示是开放用户的IPv4地址权限时,则可以下发MAC+0x0800的匹配规则,其中0x0800是IPv4地址族号;当收到的策略指示是开放用户的IPv6地址权限时,则可以下发MAC+0x086dd的匹配规则,其中0x086dd是IPv6地址族号;当收到的策略指示是开放用户的IPv4和IPv6地址权限时,则下发两条匹配规则,包括MAC+0x0800和MAC+0x086dd。之后,用户就可以根据NAS设备下发的策略访问网络。
在步骤406中,NAS设备向Portal服务器返回认证成功通知消息。
在步骤407中,Portal服务器向客户端返回用户上线通知消息。
另外,当用户下线时,NAS设备删除该用户对应的策略。
实施例二
对于LDAP认证方式,由于LDAP服务器仅支持查询方式,因此可以采用查询用户所属组的组信息的方式来实现策略控制。这样可以在LDAP服务器上设定两个策略组,分别为IPv4_policy_group,IPv6_policy_group,按照预先设置的策略将用户分别加入其中的一个或者两个组。具体策略的设置可以是根据用户优先级、用户开通业务的情况设置。在LDAP认证通过后,NAS设备可以向LDAP服务器发起查询组信息时,根据查询到的所属组信息来决定控制策略,如果用户属于IPv4_policy_group组则下发IPv4的匹配规则,如果用户属于IPv6_policy_group组则下发IPv6的匹配规则,如果用户同时属于IPv4_policy_group和IPv6_policy_group,则下发IPv4和IPv6的匹配规则。
参见图5,图5为实施例的流程图。具体如下:
在步骤501中,客户端向Portal服务器发送认证请求消息。
在步骤502中,Portal服务器向NAS设备转发从客户端收到的认证请求消息。
在步骤503中,NAS设备和LDAP服务器按照LDAP协议标准完成对认证请求消息对应的用户的身份认证。
在步骤504中,在当前用户的身份认证通过后,NAS设备向LDAP服务器发送策略组查询请求。
在步骤505中,LDAP服务器查询用户所在的策略组,将策略组的信息返回给NAS设备。
其中,如果开放当前用户IPv4地址的权限,则返回IPv4_policy_group的组信息;如果开放当前用户IPv6地址的权限,则返回IPv6_policy_group的组信息;如果既开放当前用户IPv4地址的权限,也开放当前用户IPv6地址的权限,则返回IPv4policy_group和IPv6_policy_group的组信息。
在步骤506中,NAS设备接收LDAP服务器返回的组信息,根据收到的组信息下发对应的匹配规则。
NAS设备选用的匹配规则可以是基于用户的MAC地址、也可以是用户的接入端口、或者是用户的IP地址,根据具体的需要确定。
当NAS设备选用的匹配规则是基于用户的MAC地址,则根据从收到的认证请求消息中获得用户的MAC。当收到的策略指示是开放用户的IPv4地址权限时,则可以下发MAC+0x0800的匹配规则,其中0x0800是IPv4地址族号;当收到的策略指示是开放用户的IPv6地址权限时,则可以下发MAC+0x086dd的匹配规则,其中0x086dd是IPv6地址族号;当收到的策略指示是开放用户的IPv4和IPv6地址权限时,则下发两条匹配规则,包括MAC+0x0800和MAC+0x086dd。之后,用户就可以根据NAS设备下发的策略访问网络。
在步骤507中,NAS设备向Portal服务器返回认证成功通知消息。
在步骤508中,Portal服务器向客户端返回用户上线通知消息。
另外,当用户下线时,NAS设备删除该用户对应的策略。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种接入控制的方法,其特征在于,该方法包括:
网络接入服务器NAS设备接收入口Portal服务器发送的认证请求消息,将认证请求消息发送至认证服务器;
NAS设备接收认证服务器对所述用户认证通过后,返回的开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示;
NAS设备根据所述策略指示开放用户IPv4地址和/或IPv6地址的访问权限;当开放用户IPv4地址时,获得所述用户的MAC地址,将所述MAC地址和IPv4特征标识作为匹配规则下发;或者,获得所述用户的接入端口,将所获得的接入端口和IPv4特征标识作为匹配规则下发;或者,获得所述用户的MAC地址,通过查找NAS设备上的地址解析协议ARP表项获得该MAC地址对应的IPv4地址,将所述查找得到的IPv4地址作为匹配规则下发;当开放用户IPv6地址时,获得所述用户的MAC地址,将所述MAC地址和IPv6特征标识作为匹配规则下发;或者,获得所述用户的接入端口,将所获得的接入端口和IPv6特征标识作为匹配规则下发;或者,获得所述用户的MAC地址,通过查找NAS设备上的邻居发现ND表项获得该MAC地址对应的IPv6地址,将所述查找得到的IPv6地址作为匹配规则下发。
2.根据权利要求1所述的方法,其特征在于,
所述IPv4特征标识为:IPv4地址族号或IPv4版本号;
所述IPv6特征标识为:IPv6地址族号或IPv6版本号。
3.根据权利要求1或2所述的方法,其特征在于,
所述认证服务器为Radius服务器;
该方法进一步包括:设置开放IPv4地址策略指示、开放IPv6地址策略指示以及开放IPv4和IPv6地址策略指示分别对应Radius消息中扩展字段的不同值;
所述NAS设备接收的策略指示为:Radius服务器返回的Radius消息,该Radius消息中扩展字段值对应的指示。
4.根据权利要求1或2所述的方法,其特征在于,
所述认证服务器为轻型目录访问协议LDAP服务器;
该方法进一步包括:在LDAP服务器上设置IPv4策略组和IPv6策略组,并将用户加入其中一个或者两个组;其中,用户在IPv4策略组表示开放该用户IPv4地址的访问权限;用户在IPv6策略组表示开放该用户IPv6地址的访问权限;
所述NAS设备在所述认证请求消息对应的用户认证通过后,进一步向所述LDAP服务器发送策略组查询请求;
所述NAS设备接收的策略指示为:LDAP服务器应请求返回的所述用户所属的策略组信息。
5.一种NAS设备,其特征在于,该NAS设备包括处理单元和控制单元;
所述处理单元,用于接收Portal服务器发送的认证请求消息,将认证请求消息发送至认证服务器;并接收认证服务器对所述用户认证通过后,返回的开放所述用户IPv4地址和/或IPv6地址访问权限的策略指示;
所述控制单元,用于根据所述处理单元接收的策略指示开放用户IPv4地址和/或IPv6地址的访问权限;当开放用户IPv4地址时,获得所述用户的MAC地址,将所述MAC地址和IPv4特征标识作为匹配规则下发;或者,获得所述用户的接入端口,将所获得的接入端口和IPv4特征标识作为匹配规则下发;或者,获得所述用户的MAC地址,通过查找NAS设备上的地址解析协议ARP表项获得该MAC地址对应的IPv4地址,将所述查找得到的IPv4地址作为匹配规则下发;当开放用户IPv6地址时,获得所述用户的MAC地址,将所述MAC地址和IPv6特征标识作为匹配规则下发;或者,获得所述用户的接入端口,将所获得的接入端口和IPv6特征标识作为匹配规则下发;或者,获得所述用户的MAC地址,通过查找NAS设备上的邻居发现ND表项获得该MAC地址对应的IPv6地址,将所述查找得到的IPv6地址作为匹配规则下发。
6.根据权利要求5所述的NAS设备,其特征在于,
所述IPv4特征标识为:IPv4地址族号或IPv4版本号;
所述IPv6特征标识为:IPv6地址族号或IPv6版本号。
7.根据权利要求5或6所述的NAS设备,其特征在于,
所述处理单元,在认证服务器为Radius服务器,并设置开放IPv4地址策略指示、开放IPv6地址策略指示以及开放IPv4和IPv6地址策略指示对应Radius消息中扩展字段不同值的情况下,所述接收的策略指示为:Radius服务器返回的Radius消息,该Radius消息中扩展字段值对应的指示。
8.根据权利要求5或6所述的NAS设备,其特征在于,
所述处理单元,在认证服务器为轻型目录访问协议LDAP服务器;并LDAP服务器上设置IPv4策略组和IPv6策略组,将用户加入其中一个或者两个组的情况下,进一步用于在所述认证请求消息对应的用户认证通过后,向所述LDAP服务器发送策略组查询请求;相应的,所述NAS设备接收的策略指示为:LDAP服务器应请求返回的所述用户所属的策略组信息;其中,用户在IPv4策略组表示开放该用户IPv4地址的访问权限;用户在IPv6策略组表示开放该用户IPv6地址的访问权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010500451.3A CN102437946B (zh) | 2010-09-29 | 2010-09-29 | 一种接入控制的方法、nas设备及认证服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010500451.3A CN102437946B (zh) | 2010-09-29 | 2010-09-29 | 一种接入控制的方法、nas设备及认证服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102437946A CN102437946A (zh) | 2012-05-02 |
CN102437946B true CN102437946B (zh) | 2014-08-20 |
Family
ID=45985829
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010500451.3A Active CN102437946B (zh) | 2010-09-29 | 2010-09-29 | 一种接入控制的方法、nas设备及认证服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102437946B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103220378B (zh) * | 2013-04-27 | 2015-12-02 | 杭州华三通信技术有限公司 | 一种统一认证用户ip的上报方法和设备 |
CN103428203B (zh) * | 2013-07-24 | 2016-06-29 | 福建星网锐捷网络有限公司 | 接入访问控制方法及设备 |
CN104580544B (zh) * | 2013-10-17 | 2018-10-30 | 中国电信股份有限公司 | 基于无线网络双协议的网络接入方法和*** |
CN106059802B (zh) * | 2016-05-25 | 2020-11-27 | 新华三技术有限公司 | 一种终端接入认证方法及装置 |
CN106302400A (zh) * | 2016-07-29 | 2017-01-04 | 锐捷网络股份有限公司 | 访问请求的处理方法及装置 |
CN107819791A (zh) * | 2017-12-11 | 2018-03-20 | 迈普通信技术股份有限公司 | 访客接入网络的认证方法、认证服务器和*** |
CN108718280B (zh) * | 2018-08-30 | 2021-05-25 | 新华三技术有限公司 | 一种报文转发方法及装置 |
CN111327599B (zh) * | 2020-01-21 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种认证过程的处理方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1416072A (zh) * | 2002-07-31 | 2003-05-07 | 华为技术有限公司 | 基于认证、计费、授权协议的门户认证实现方法 |
CN101547100A (zh) * | 2009-05-07 | 2009-09-30 | 杭州华三通信技术有限公司 | 组播接收控制方法及*** |
CN101741924A (zh) * | 2009-12-09 | 2010-06-16 | 赛尔网络有限公司 | 支持IPv4环境下可扩展IPv6接入的业务控制方法 |
-
2010
- 2010-09-29 CN CN201010500451.3A patent/CN102437946B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1416072A (zh) * | 2002-07-31 | 2003-05-07 | 华为技术有限公司 | 基于认证、计费、授权协议的门户认证实现方法 |
CN101547100A (zh) * | 2009-05-07 | 2009-09-30 | 杭州华三通信技术有限公司 | 组播接收控制方法及*** |
CN101741924A (zh) * | 2009-12-09 | 2010-06-16 | 赛尔网络有限公司 | 支持IPv4环境下可扩展IPv6接入的业务控制方法 |
Non-Patent Citations (2)
Title |
---|
基于LDAP技术的校园网统一身份认证***的设计与实现;谭胜兰;《东莞理工学院学报》;20090630;第16卷(第3期);正文第1节 * |
谭胜兰.基于LDAP技术的校园网统一身份认证***的设计与实现.《东莞理工学院学报》.2009,第16卷(第3期), |
Also Published As
Publication number | Publication date |
---|---|
CN102437946A (zh) | 2012-05-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102437946B (zh) | 一种接入控制的方法、nas设备及认证服务器 | |
CN107733670B (zh) | 一种转发策略配置方法和装置 | |
US8214537B2 (en) | Domain name system using dynamic DNS and global address management method for dynamic DNS server | |
CN102571591B (zh) | 实现标识网络通信的方法、边缘路由器及*** | |
EP2262185B1 (en) | Method and system for forwarding data among private networks | |
CN102045413B (zh) | 经过dht扩展的dns映射***及其实现dns安全的方法 | |
EP3720100A1 (en) | Service request processing method and device | |
CN102710811B (zh) | 实现dhcp地址安全分配的方法和交换机 | |
CN101212393B (zh) | 介质无关切换消息的传输方法、***及设备 | |
CN102171986B (zh) | 用于提供多个互联网接入的方法和网关 | |
US7228131B2 (en) | IPv6/IPv4 tunneling method | |
CN102111326A (zh) | 在二层隧道协议虚拟专用网实现移动的方法、***和装置 | |
CN102075904A (zh) | 一种防止漫游用户再次认证的方法和装置 | |
CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和*** | |
CN101616405A (zh) | 无线上网方法及无线路由器 | |
CN103441932A (zh) | 一种主机路由表项生成方法及设备 | |
CN105245629A (zh) | 基于dhcp的主机通信方法及装置 | |
US20120198091A1 (en) | Network system, control apparatus and network apparatus | |
CN102404293A (zh) | 一种双栈用户管理方法及宽带接入服务器 | |
CN100525318C (zh) | 通过接口标识符分配网络标识符的改进方法 | |
CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换***及方法 | |
CN102752413A (zh) | Dhcp服务器选择方法和网络设备 | |
CN102970387A (zh) | 一种域名解析方法、装置及*** | |
EP2127246B1 (en) | Automatic protocol switching | |
CN102571811A (zh) | 用户接入权限控制***和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |