CN108259420B - 一种报文处理方法及装置 - Google Patents

一种报文处理方法及装置 Download PDF

Info

Publication number
CN108259420B
CN108259420B CN201611240171.7A CN201611240171A CN108259420B CN 108259420 B CN108259420 B CN 108259420B CN 201611240171 A CN201611240171 A CN 201611240171A CN 108259420 B CN108259420 B CN 108259420B
Authority
CN
China
Prior art keywords
user
access
authentication
message
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611240171.7A
Other languages
English (en)
Other versions
CN108259420A (zh
Inventor
吉帅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Maipu Communication Technology Co Ltd
Original Assignee
Maipu Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Maipu Communication Technology Co Ltd filed Critical Maipu Communication Technology Co Ltd
Priority to CN201611240171.7A priority Critical patent/CN108259420B/zh
Publication of CN108259420A publication Critical patent/CN108259420A/zh
Application granted granted Critical
Publication of CN108259420B publication Critical patent/CN108259420B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开一种报文处理方法及装置,涉及通信领域,能够通过一个受控端口实现对802.1X和Portal接入用户发送的协议报文的认证,降低了接入设备端口资源的浪费。包括:确认协议报文的用户为接入类型未知,配置受控端口的ACL规则以及MAC地址转发表规则,ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;MAC地址转发表规则包含配置模式为CPU学习模式,所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过。本发明的实施例用于协议报文认证。

Description

一种报文处理方法及装置
技术领域
本发明的实施例涉及通信领域,尤其涉及一种报文处理方法及装置。
背景技术
为了确保网络和信息安全,网络部署时通常需要考虑对接入网络的用户进行合法性验证。当前,对接入网络的用户进行合法性验证的主流方法有802.1X认证和Portal认证。其中,802.1X认证是IEEE提出的通过使用专门的802.1X接入用户的客户端接入网络的认证方案;Portal认证,也被称为Web认证,是一种基于定制的Portal协议使用浏览器进行网络接入认证的方法。在一个固有的网络环境中,单一的802.1X认证或Portal认证已经无法满足要求,实际应用通常需要在一个网络环境中同时部署802.1X认证和Portal认证。图1所示为现有典型实现的需要同时部署802.1X认证和Portal认证的场景:其中,图1中Portal接入用户通过浏览器接入接入设备的Portal受控端口,802.1X用户通过客户端接入接入设备的802.1X受控端口,接入设备连接认证服务器、网络以及Portal服务器,认证服务器可与用户数据库进行数据交互。
由于802.1X协议和Portal协议的差异性,802.1X认证和Portal认证不能同时在一个端口上使能,所以网络管理员需要事先在接入设备上将需要进行802.1X认证的一个端口设置为802.1X受控端口,将需要进行Portal认证的另外一个端口设置为Portal受控端口,接入到受控端口上的用户在未经过合法性验证前不能访问网络。802.1X受控端口通过独立控制芯片的转发逻辑来控制该端口下的用户是否能接入网络。该端口下的用户使用专门的802.1X接入用户的客户端发起的认证,认证通过后被允许接入网络。Portal受控端口通过独立控制芯片的转发逻辑来控制该端口下的用户是否能接入网络。该端口下的用户使用浏览器发起认证,认证通过后被允许接入网络。
如图1所示,通过在接入设备的不同端口上分别开启802.1X认证和Portal认证的方法能满足同时部署802.1X认证和Portal认证的需求。其中,现有部署之所以需要在不同的端口上分别开启802.1X认证和Portal认证,是由于802.1X认证和Portal认证存在设置芯片的冲突。
而现有技术中,需要同时使用802.1X认证和Portal认证的场景中,通过把802.1X接入用户和Portal接入用户接入不同端口的部署方式可实现同一个接入设备上同时接收802.1X接入用户和Portal接入用户的接入认证。但是这样部署和实现存在如下问题:
网络管理员需要记住接入设备受控端口的接入方式,对欲接入网络的用户需要事先确定其接入网络的方式,否则将Portal接入用户接入到802.1X受控端口将直接导致无法发起任何认证且用户得不到任何提示,反之亦然。而将802.1X接入用户和Portal接入用户分别接入到各自对应受控端口进行认证的方式最少需要占用两个端口,浪费了接入设备端口资源。
发明内容
本发明的实施例提供一种报文处理方法及装置,能够实现通过一个受控端口实现对802.1X接入用户和Portal接入用户发送的协议报文的认证,降低了接入设备端口资源的浪费。
第一方面、提供一种报文处理方法,包括:
获取接入设备的受控端口接收的协议报文,其中所述受控端口为同时启用802.1X认证以及Portal认证的混合受控端口;
若根据接入用户管理表确认所述协议报文的用户为接入类型未知的用户,则配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过;
依据所述ACL规则以及MAC地址转发表规则处理接收到的协议报文。
第二方面,提供一种报文处理装置,包括:
端口控制单元,用于获取接入设备的受控端口接收的协议报文,其中所述受控端口为同时启用802.1X认证以及Portal认证的混合受控端口;
芯片配置单元,用于若所述端口控制单元根据接入用户管理表确认所述协议报文的用户为接入类型未知的用户,则配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过;
报文处理单元,用于依据所述ACL规则以及MAC地址转发表规则处理接收到的协议报文。
在上述方案中,报文处理装置能够获取接入设备的受控端口接收的协议报文,其中受控端口为同时启用802.1X认证以及Portal认证的混合受控端口;若根据接入用户管理表确认所述协议报文的用户为接入类型未知的用户,则配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过;依据所述ACL规则以及MAC地址转发表规则处理接收到的协议报文。由于通过一个受控端口实现对802.1X接入用户和Portal接入用户发送的协议报文的认证,因此降低了接入设备端口资源的浪费。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为技术提供的一种同时部署802.1X认证和Portal认证的场景示意图;
图2为本发明实施例提供的一种同时部署802.1X认证和Portal认证的场景示意图;
图3为本发明实施例提供的一种报文处理装置的功能结构示意图;
图4为本发明的实施例提供的一种报文处理方法的第一步的流程示意图;
图5为本发明的实施例提供的一种报文处理方法的第二步的流程示意图;
图6为本发明的实施例提供的一种报文处理方法的第三步的流程示意图;
图7为本发明的实施例提供的一种报文处理装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例描述的***架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着***架构的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
本发明的实施例使用的技术术语包括如下:
MAC地址转发表是交换芯片内部用于快速定位报文转发端口的芯片逻辑,相对便宜且表项较多(例如:当前流行芯片的MAC地址转发表表项为十万条以上)。MAC地址转发表的表项是由终端的MAC地址、与终端相连的交换机端口及该端口所属VLAN ID组成。交换机接收到数据报文时,会将报文的目的MAC地址与设备中保存的MAC地址表项进行匹配,并将报文按匹配表项指定的端口转发出去。
ACL(Access Control List,访问控制列表)是交换芯片内部用于指定匹配条件的报文的转发行为的芯片逻辑,相对昂贵且表项较少(当前流行芯片的ACL表项数为几千条)。一个ACL由一系列的规则组成,每条规则都是一个允许、拒绝或其它动作的语句,声明了报文的匹配条件及行为。
Portal协议:一种接入认证协议。Portal协议运行在UDP(User DatagramProtocol的简称,用户数据报协议)协议之上,用作Portal服务器和接入设备之间交互认证信息。
Portal认证:根据Portal协议,使用浏览器进行网络接入认证的方法。
802.1X认证:基于IEEE 802.1X协议的接入认证方法。
本发明的基本原理为:将接入设备上的受控端口设置为混合受控端口后允许在接入设备的同一个受控端口上同时启用802.1X认证和Portal认证,通过根据用户和接入设备的报文交互动态地确认用户的接入类型,达到同一端口上可同时接入802.1X接入用户和Portal接入用户的目的。
参照图2所示,本发明的实施例提供一种同时部署802.1X认证和Portal认证的场景。其中,图2中Portal接入用户通过浏览器接入接入设备的混合受控端口,802.1X用户通过客户端接入接入设备的混合受控端口,接入设备连接认证服务器、网络以及Portal服务器,认证服务器可与用户数据库进行数据交互。本发明的实施例提供的报文处理装置可以为接入设备本身,或者设置于接入设备的功能实体。其中,具体如图3所示,报文处理装置具体包括芯片资源管理功能和报文接收\分发功能;其中芯片资源管理功能包括端口芯片设置和用户芯片设置;报文处理装置的芯片资源管理功能和报文接收\分发功能基于存储的认证管理表实现。
具体地,第一:认证管理表维护两个软件数据表:认证配置管理表和接入用户管理表。其中认证配置管理表负责记录802.1X认证和Portal认证的开启和关闭状态及相关配置信息;接入用户管理表记录接入用户的信息,包括:源MAC地址、VLAN、端口号、802.1X和Portal的认证状态等。认证管理表中的表项给芯片资源管理和报文接收、分发子功能提供处理依据。
第二:芯片资源管理功能对认证功能(Portal认证和/或802.1X认证)提供两个接口(802.1X芯片设置接口和Portal芯片设置接口)进行芯片设置,包括端口芯片设置子功能和用户芯片设置子功能。端口芯片设置子功能在认证功能开启和关闭时调用,调用时认证功能需要提供端口号、认证功能ID、认证功能启用状态等参数;而用户芯片设置子功能在认证功能的接入用户状态(认证中、认证通过、认证失败)有变化时调用,调用时认证功能需要提供用户MAC地址、接入端口、用户当前状态等参数。芯片资源管理功能负责接收认证功能的芯片设置请求(例如端口芯片设置请求和用户芯片设置请求),将认证功能的芯片的设置请求经过处理后,通过下层驱动提供的接口设置到芯片后将结果更新到认证管理表中。
第三:报文接收\分发功能负责从下层驱动接收用户的报文,通过认证管理表中的记录仲裁判断后,将报文分至对应的认证功能进行认证。
下面结合具体实施例对上述方法进行详细描述。本发明的实施例包括三个过程:第一步为:启用认证功能时,芯片资源的管理;第二步:混合受控端口上协议报文的接收和分发;第三步:混合受控端口上用户的认证。
第一步:启用认证功能时,芯片资源的管理参照图4所示,具体包括如下步骤:
101、获取对受控端口的端口芯片设置请求,其中端口芯片设置请求用于请求启用认证后配置受控端口的芯片设置规则。
当网络管理员启用某一认证功能(如:Portal认证和/或802.1X认证)时,调用芯片资源管理功能提供的端口芯片设置子功能(提供端口号、认证模块ID、认证模块启用状态等参数)设置芯片,端口芯片设置请求具体可以包括端口号、认证功能ID、认证功能启用状态等参数。
102、读取认证配置管理表,判断受控端口上是否已启用认证。
如果该受控端口上并未启用其它认证,直接跳转到步骤104,否则跳转到步骤103。
103、若受控端口上已启用认证,则删除受控端口上认证未通过的用户。
由于删除了受控端口上认证未通过的用户,可以让这些用户有机会使用新启用的认证方法进行认证。
104、若受控端口上未启用认证,则根据端口芯片设置请求更新认证配置管理表;根据更新的认证配置管理表,若受控端口仅启用802.1X认证,则跳转至步骤105进行802.1X认证的受控端口的芯片设置;若受控端口仅启用Portal认证,则跳转至步骤106进行Portal认证的受控端口的芯片设置;若受控端口同时启用802.1X认证以及Portal认证,则跳转至步骤107进行混合认证的受控端口的芯片设置。
105、将受控端口的芯片设置为802.1X受控端口认证规则。
具体的,按表1对受控端口进行芯片设置,后续所有用户只能以802.1X方式接入,认证流程与现有技术的802.1X受控端口完全一致。
表1
Figure GDA0003223048350000071
106、将受控端口的芯片设置为Portal受控端口认证规则。
具体的,按表2对受控端口进行芯片设置,后续所有用户只能以Portal方式接入,认证流程与现有Portal受控端口完全一致。
表2
Figure GDA0003223048350000081
107、将受控端口的芯片设置为混合受控端口认证规则。
其中,混合受控端口认证规则包括初始的ACL规则以及初始的MAC地址转发表规则,其中初始的ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU;初始的MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU。具体的,混合受控端口芯片设置如表3所示。按表3设置芯片后,无论是802.1X接入用户还是Portal接入用户,其第一个访问网络的协议报文会因匹配表3中规则Y01被送到接入设备的CPU进行处理。
表3
Figure GDA0003223048350000082
Figure GDA0003223048350000091
网络管理员启用任何一个认证功能后,芯片资源管理功能都需要向下层驱动注册协议报文接收处理函数,下层驱动接收到的协议报文都会交由报文接收\分发功能进行处理。设置芯片后,认证管理模块会将网络管理员启用的认证功能的信息保存到认证配置管理表中,供芯片资源管理功能、报文接收\分发功能后续使用。
第二步:混合受控端口上协议报文的接收和分发,具体包括如下步骤:
在用户未接入之前,混合受控端口并不能确定用户需要使用的认证方式,所以用户到达接入设备的第一个协议报文都会因源MAC地址未知匹配表3中的规则Y01送到接入设备的CPU进行处理。送往CPU的报文都会被芯片资源管理功能向下层驱动注册的协议报文接收处理函数接收后进入报文接收\分发功能进行处理,报文接收\分发功能获取接入设备的受控端口接收的协议报文的流程如图5所示,包括如下步骤:
201.确认接入设备的受控端口接收的所述协议报文的认证类型。
其中步骤201中,协议报文类型可以分为802.1X报文(以太类型为0x888E的报文)和其它类型的报文。针对802.1X报文跳转到步骤202处理;而其它报文类型跳转到步骤203进行处理。
202.若确定协议报文为802.1X报文,且在接入用户管理表中协议报文的用户的接入类型标记为Portal接入用户,则丢弃协议报文,其中接入用户管理表包含用户的源MAC地址与用户的接入类型的对应关系。
具体地,步骤202中针中对802.1X报文,报文接收\分发功能先根据用户关键信息(如用户源MAC地址)查找接入用户管理表,如果该用户已经标记为Portal接入用户(标记用户为Portal接入用户的条件为接收到Portal认证提交用户名的Portal协议报文),则说明该用户已经发起Portal认证,不能再发起802.1X认证,直接丢弃接收到的802.1X报文。如果未找到该用户或该用户未被标记为Portal接入用户(即被标记为802.1X接入用户的用户或接入类型未知的用户)则跳转到步骤204继续处理。
203、若确定协议报文为非802.1X报文,且在接入用户管理表中所述协议报文的用户的接入类型标记为802.1X接入用户,则跳转至步骤206;
针对非802.1X协议报文的其它报文,报文接收\分发功能先根据用户关键信息(用户源MAC地址)查找接入用户管理表,如果该用户已经标记为802.1X接入用户(标记用户为802.1X接入用户的条件为接收到802.1X认证提交用户名的802.1X协议报文,又被称为EAP-Response/Identity报文),则说明该用户已经发起802.1X认证,不能再发起Portal认证,跳转到步骤206处理报文;如果该用户未被标记为Portal接入用户(标记为802.1X接入用户的用户或接入类型未知的用户)则跳转到步骤205继续处理。
204.若确定协议报文为802.1X报文,且在接入用户管理表未找到协议报文的用户,则将协议报文的用户标记为接入类型未知的用户更新至接入用户管理表;同时若在接入用户管理表中协议报文的用户的接入类型标记为802.1X接入用户,则将协议报文发送至802.1X认证处理。
根据接收到的802.1X协议报文添加或更新接入用户管理表中的表项,如果是新添加用户,则标记用户接入类型为“未知”;更新已存在的接入用户不影响用户的接入类型。后续802.1X协议报文送往802.1X认证处理进行处理,802.1X认证处理过程对报文的处理及认证过程与原有802.1X受控端口上的流程一致,802.1X认证处理过程结束后会将报文处理或认证的结果通过芯片资源管理功能的用户芯片设置子功能存储。
205、若确定协议报文为非802.1X报文,且在接入用户管理表未找到协议报文的用户,则将协议报文的用户标记为接入类型未知的用户更新至接入用户管理表;同时若在接入用户管理表中协议报文的用户的接入类型标记为Portal接入用户,则将协议报文发送至Portal认证处理。
根据接收到的非802.1X协议报文添加或更新接入用户管理表中的表项,如果是新添加用户,则标记用户接入类型为“未知”;更新已存在的接入用户不影响用户的接入类型。该报文被送往Portal认证处理进行处理,Portal认证处理对报文的处理与原有Portal受控端口上的流程一致,不同的是Portal认证处理进行处理后会将报文处理或认证的结果通过芯片资源管理功能的用户芯片设置子功能存储。
206、判断协议报文的用户是否为认证通过的用户;若确定协议报文的用户为认证通过的用户则允许协议报文通过,若确定协议报文的用户为认证未通过的用户则丢弃协议报文。
第三步,对于混合受控端口上用户的认证参照图7所示,在通过第二步获取接入设备的受控端口接收的协议报文后,具体包括如下步骤:
301、根据接入用户管理表确认协议报文的用户的接入类型。
报文接收\分发功能基于接收到的协议报文,根据协议报文的源MAC地址查找接入用户管理表,如果未找到,则该源MAC地址的用户被确认为新接入用户。针对新接入用户会使用协议报文的源MAC地址等信息创建接入用户管理表表项。接入用户管理表表项中的用户的接入类型会被标记为如下三种类型:未知、802.1X接入用户,Portal接入用户。其中无论是802.1X报文还是其它报文新创建的用户的接入类型都会被标记为“未知”,接入类型被标记为“未知”的用户可能发起802.1X认证,也可能发起Portal认证;802.1X认证接收到客户端提交用户名的802.1X协议报文(以被称为EAP-Response/Identity报文)时会调用芯片资源管理功能中用户芯片设置子功能设置用户接入类型为“802.1X接入用户”,接入用户的类型第一次被标记为“802.1X接入用户”时会主动删除Portal认证中的认证状态机。用户被标记为“802.1X接入用户”后,报文接收\分发功能不会将此用户的协议报文分发到Portal认证进行认证;Portal认证接收到Portal服务器向接入设备提交用户名的协议报文后时会调用芯片资源管理功能中用户芯片设置子功能设置用户接入类型为“Portal接入用户”。用户被标记为“Portal接入用户”后,报文接收\分发功能不会将此用户的报文分发到802.1X认证进行认证。
302、若根据接入用户管理表确认协议报文的用户为接入类型未知的用户,则配置受控端口的ACL规则以及MAC地址转发表规则,其中ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过。
如前所述,接入用户管理表中的用户类型未确定前,用户的接入类型会标记为“未知”,接入类型未知的用户的芯片设置如表4所示。经过表4的芯片设置后,接入类型未知的用户既可以发起802.1X认证也可以发起Portal认证。
表4
Figure GDA0003223048350000121
Figure GDA0003223048350000131
303、若确定协议报文为802.1X报文,且协议报文的用户为802.1X接入用户;则重配置受控端口的ACL规则以及MAC地址转发表规则,其中重配置的ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU;重配置的所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,丢弃源MAC地址为802.1X接入用户的报文。
802.1X认证接收到携带用户名的802.1X协议报文后,会调用芯片资源管理功能中用户芯片设置子功能设置用户接入类型为802.1X接入用户,用户接入类型从“未知”切换为“802.1X接入用户”时,芯片资源管理功能会删除Portal接入用户的认证状态机,通过芯片设置确保该用户只能进行802.1X认证。
未认证通过前的802.1X接入用户的芯片设置如表5所示。经过表5的芯片设置后,用户只能发起802.1X认证,不能发起Portal认证。802.1X报文通过表5中的规则X03重定向到CPU进行802.1X认证,其它报文通过表5中的规则Y02丢弃。
表5
Figure GDA0003223048350000132
认证通过后的802.1X接入用户的芯片设置如表6所示。认证通过的用户通过表6中规则Y02被允许访问网络。
表6
Figure GDA0003223048350000141
接入类型为802.1X的用户下线时,只需要删除表6中的规则Y02即可。
304、若确定协议报文为Portal报文,且协议报文的用户为Portal接入用户;则重配置受控端口的ACL规则以及MAC地址转发表规则,其中重配置的所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为Portal接入用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为Portal接入用户的其他所有报文;重配置的MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为Portal接入用户的报文通过。
Portal认证接收到携带用户名的Portal协议报文后,会调用芯片资源管理功能中用户芯片设置子功能设置用户接入类型为Portal接入用户。用户接入类型从“未知”切换为“Portal接入用户”时,芯片资源管理功能会删除802.1X接入用户的认证状态机,后续通过报文接收\分发功能丢弃802.1X报文确保用户只能进行Portal认证。
未认证通过前的Portal接入用户的芯片设置如表4所示,即接入类型设置为Portal接入用户的芯片设置与接入类型未知时保持一致(需要保持重定向802.1X报文到CPU的规则X03的原因是使其它用户可以发起802.1X认证)。当报文接收\分发功能接收到802.1X报文时,能过接入用户管理表检测到用户接入类型为Portal接入用户时,则丢弃802.1X报文,确保用户只能发进行Portal认证。
认证通过的Portal接入用户的芯片设置如表7所示。认证通过的用户通过表7中的规则Y02被允许访问网络。
表7
Figure GDA0003223048350000151
接入类型为Portal的用户下线时,只需要删除表7中的规则Y02即可。
305、依据ACL规则以及MAC地址转发表规则处理接收到的协议报文。
在上述方案中,报文处理装置能够获取接入设备的受控端口接收的协议报文,其中受控端口为同时启用802.1X认证以及Portal认证的混合受控端口;若根据接入用户管理表确认所述协议报文的用户为接入类型未知的用户,则配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过;依据所述ACL规则以及MAC地址转发表规则处理接收到的协议报文。由于通过一个受控端口实现对802.1X接入用户和Portal接入用户发送的协议报文的认证,因此降低了接入设备端口资源的浪费。
参照图7所示,本发明的实施例提供一种报文处理装置,用于实施上述的方法实施例提供的报文处理方法,包括:
端口控制单元71,用于获取接入设备的受控端口接收的协议报文,其中所述受控端口为同时启用802.1X认证以及Portal认证的混合受控端口;
芯片配置单元72,用于若所述端口控制单元71根据接入用户管理表确认所述协议报文的用户为接入类型未知的用户,则配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过;
报文处理单元73,用于依据所述ACL规则以及MAC地址转发表规则处理接收到的协议报文。
其中,所述芯片配置单元72,还用于若所述端口控制单元71确定所述协议报文为802.1X报文,且所述协议报文的用户为802.1X接入用户;则重配置所述受控端口的ACL规则以及MAC地址转发表规则,其中重配置的所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU;重配置的所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,丢弃源MAC地址为的802.1X接入用户的报文。
芯片配置单元72,还用于若所述端口控制单元71确定所述协议报文为Portal报文,且所述协议报文的用户为Portal接入用户;则重配置所述受控端口的ACL规则以及MAC地址转发表规则,其中重配置的所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为Portal接入用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为Portal接入用户的其他所有报文;重配置的所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为Portal接入用户的报文通过。
端口控制单元71还用于获取对所述受控端口的端口芯片设置请求,其中所述端口芯片设置请求用于请求启用认证后配置所述受控端口的芯片设置规则;读取认证配置管理表,判断所述受控端口上是否已启用认证;若所述受控端口上已启用认证,则删除所述受控端口上认证未通过的用户;若所述受控端口上未启用认证,则根据所述端口芯片设置请求更新所述认证配置管理表;根据更新的认证配置管理表,若所述受控端口仅启用802.1X认证,则将所述受控端口的芯片设置为802.1X受控端口认证规则;若所述受控端口仅启用Portal认证,则将所述受控端口的芯片设置为Portal受控端口认证规则;若所述受控端口同时启用802.1X认证以及Portal认证,则将所述受控端口的芯片设置为混合受控端口认证规则,其中所述混合受控端口认证规则包括初始的ACL规则以及初始的MAC地址转发表规则,其中所述初始的ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU;所述初始的MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU。
端口控制单元71具体用于获取接入设备的受控端口接收的协议报文;根据所述协议报文的认证类型查找接入用户管理表,其中所述接入用户管理表包含用户的源MAC地址与用户的接入类型的对应关系;若确定所述协议报文为802.1X报文,且在所述接入用户管理表中所述协议报文的用户的接入类型标记为Portal接入用户,则丢弃所述协议报文;若确定所述协议报文为802.1X报文,且在所述接入用户管理表未找到所述协议报文的用户,则将所述协议报文的用户标记为接入类型未知的用户更新至所述接入用户管理表;同时若在所述接入用户管理表中所述协议报文的用户的接入类型标记为802.1X接入用户,则将所述协议报文发送至802.1X认证处理;若确定所述协议报文为非802.1X报文,且在所述接入用户管理表未找到所述协议报文的用户,则将所述协议报文的用户标记为接入类型未知的用户更新至所述接入用户管理表;同时若在所述接入用户管理表中所述协议报文的用户的接入类型标记为Portal接入用户,则将所述协议报文发送至Portal认证处理;若确定所述协议报文为非802.1X报文,且在所述接入用户管理表中所述协议报文的用户的接入类型标记为802.1X接入用户,则判断所述协议报文的用户是否为认证通过的用户;若确定所述协议报文的用户为认证通过的用户则允许所述协议报文通过,若确定所述协议报文的用户为认证未通过的用户则丢弃所述协议报文。
在上述方案中,报文处理装置能够获取接入设备的受控端口接收的协议报文,其中受控端口为同时启用802.1X认证以及Portal认证的混合受控端口;若根据接入用户管理表确认所述协议报文的用户为接入类型未知的用户,则配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过;依据所述ACL规则以及MAC地址转发表规则处理接收到的协议报文。由于通过一个受控端口实现对802.1X接入用户和Portal接入用户发送的协议报文的认证,因此降低了接入设备端口资源的浪费。
此外,还提供一种计算可读媒体(或介质),包括在被执行时进行上述实施例中的方法的操作的计算机可读指令。
另外,还提供一种计算机程序产品,包括上述计算机可读媒体(或介质)。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:read-only memory,英文简称:ROM)、随机存取存储器(英文全称:random access memory,英文简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种报文处理方法,其特征在于,包括:
获取接入设备的受控端口接收的协议报文,其中所述受控端口为同时启用802.1X认证以及Portal认证的混合受控端口;
若根据接入用户管理表确认所述协议报文的用户为接入类型未知的用户,则配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过;
依据所述ACL规则以及MAC地址转发表规则处理接收到的协议报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若确定所述协议报文为802.1X报文,且所述协议报文的用户为802.1X接入用户;
则重配置所述受控端口的ACL规则以及MAC地址转发表规则,其中重配置的所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU;重配置的所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,丢弃源MAC地址为802.1X接入用户的报文。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若确定所述协议报文为Portal报文,且所述协议报文的用户为Portal接入用户;
则重配置所述受控端口的ACL规则以及MAC地址转发表规则,其中重配置的所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为Portal接入用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为Portal接入用户的其他所有报文;重配置的所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为Portal接入用户的报文通过。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述获取接入设备的受控端口接收的协议报文前,所述方法还包括:
获取对所述受控端口的端口芯片设置请求,其中所述端口芯片设置请求用于请求启用认证后配置所述受控端口的芯片设置规则;
读取认证配置管理表,判断所述受控端口上是否已启用认证;
若所述受控端口上已启用认证,则删除所述受控端口上认证未通过的用户;
若所述受控端口上未启用认证,则根据所述端口芯片设置请求更新所述认证配置管理表;
根据更新的认证配置管理表,若所述受控端口仅启用802.1X认证,则将所述受控端口的芯片设置为802.1X受控端口认证规则;
若所述受控端口仅启用Portal认证,则将所述受控端口的芯片设置为Portal受控端口认证规则;
若所述受控端口同时启用802.1X认证以及Portal认证,则将所述受控端口的芯片设置为混合受控端口认证规则,其中所述混合受控端口认证规则包括初始的ACL规则以及初始的MAC地址转发表规则,其中所述初始的ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU;所述初始的MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU。
5.根据权利要求1所述的方法,其特征在于,获取接入设备的受控端口接收的协议报文包括:
确认接入设备的受控端口接收的所述协议报文的认证类型;
若确定所述协议报文为802.1X报文,且在所述接入用户管理表中所述协议报文的用户的接入类型标记为Portal接入用户,则丢弃所述协议报文,其中所述接入用户管理表包含用户的源MAC地址与用户的接入类型的对应关系;
若确定所述协议报文为802.1X报文,且在所述接入用户管理表未找到所述协议报文的用户,则将所述协议报文的用户标记为接入类型未知的用户更新至所述接入用户管理表;同时若在所述接入用户管理表中所述协议报文的用户的接入类型标记为802.1X接入用户,则将所述协议报文发送至802.1X认证处理;
若确定所述协议报文为非802.1X报文,且在所述接入用户管理表未找到所述协议报文的用户,则将所述协议报文的用户标记为接入类型未知的用户并更新至所述接入用户管理表;同时若在所述接入用户管理表中所述协议报文的用户的接入类型标记为Portal接入用户,则将所述协议报文发送至Portal认证处理;
若确定所述协议报文为非802.1X报文,且在所述接入用户管理表中所述协议报文的用户的接入类型标记为802.1X接入用户,则判断所述协议报文的用户是否为认证通过的用户;
若确定所述协议报文的用户为认证通过的用户则允许所述协议报文通过,若确定所述协议报文的用户为认证未通过的用户则丢弃所述协议报文。
6.一种报文处理装置,其特征在于,包括:
端口控制单元,用于获取接入设备的受控端口接收的协议报文,其中所述受控端口为同时启用802.1X认证以及Portal认证的混合受控端口;
芯片配置单元,用于若所述端口控制单元根据接入用户管理表确认所述协议报文的用户为接入类型未知的用户,则配置所述受控端口的ACL规则以及MAC地址转发表规则,其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文;所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为接入类型未知的用户的报文通过;
报文处理单元,用于依据所述ACL规则以及MAC地址转发表规则处理接收到的协议报文。
7.根据权利要求6所述的报文处理装置,其特征在于,所述芯片配置单元,还用于若所述端口控制单元确定所述协议报文为802.1X报文,且所述协议报文的用户为802.1X接入用户;则重配置所述受控端口的ACL规则以及MAC地址转发表规则,其中重配置的所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU;重配置的所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,丢弃源MAC地址为的802.1X接入用户的报文。
8.根据权利要求6所述的报文处理装置,其特征在于,芯片配置单元,还用于若所述端口控制单元确定所述协议报文为Portal报文,且所述协议报文的用户为Portal接入用户;则重配置所述受控端口的ACL规则以及MAC地址转发表规则,其中重配置的所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU,源MAC地址为Portal接入用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为Portal接入用户的其他所有报文;重配置的所述MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU,允许源MAC地址为Portal接入用户的报文通过。
9.根据权利要求6-8任一项所述的报文处理装置,其特征在于,端口控制单元还用于获取对所述受控端口的端口芯片设置请求,其中所述端口芯片设置请求用于请求启用认证后配置所述受控端口的芯片设置规则;读取认证配置管理表,判断所述受控端口上是否已启用认证;若所述受控端口上已启用认证,则删除所述受控端口上认证未通过的用户;若所述受控端口上未启用认证,则根据所述端口芯片设置请求更新所述认证配置管理表;根据更新的认证配置管理表,若所述受控端口仅启用802.1X认证,则将所述受控端口的芯片设置为802.1X受控端口认证规则;若所述受控端口仅启用Portal认证,则将所述受控端口的芯片设置为Portal受控端口认证规则;若所述受控端口同时启用802.1X认证以及Portal认证,则将所述受控端口的芯片设置为混合受控端口认证规则,其中所述混合受控端口认证规则包括初始的ACL规则以及初始的MAC地址转发表规则,其中所述初始的ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过,允许目的IP为Portal服务器IP的报文通过,802.1X报文重定向到CPU;所述初始的MAC地址转发表规则包含配置模式为CPU学习模式并且所有源MAC地址未知的报文重定向到CPU。
10.根据权利要求9所述的报文处理装置,其特征在于,端口控制单元具体用于获取接入设备的受控端口接收的协议报文;根据所述协议报文的认证类型查找接入用户管理表,其中所述接入用户管理表包含用户的源MAC地址与用户的接入类型的对应关系;若确定所述协议报文为802.1X报文,且在所述接入用户管理表中所述协议报文的用户的接入类型标记为Portal接入用户,则丢弃所述协议报文;若确定所述协议报文为802.1X报文,且在所述接入用户管理表未找到所述协议报文的用户,则将所述协议报文的用户标记为接入类型未知的用户更新至所述接入用户管理表;同时若在所述接入用户管理表中所述协议报文的用户的接入类型标记为802.1X接入用户,则将所述协议报文发送至802.1X认证处理;若确定所述协议报文为非802.1X报文,且在所述接入用户管理表未找到所述协议报文的用户,则将所述协议报文的用户标记为接入类型未知的用户更新至所述接入用户管理表;同时若在所述接入用户管理表中所述协议报文的用户的接入类型标记为Portal接入用户,则将所述协议报文发送至Portal认证处理;若确定所述协议报文为非802.1X报文,且在所述接入用户管理表中所述协议报文的用户的接入类型标记为802.1X接入用户,则判断所述协议报文的用户是否为认证通过的用户;若确定所述协议报文的用户为认证通过的用户则允许所述协议报文通过,若确定所述协议报文的用户为认证未通过的用户则丢弃所述协议报文。
CN201611240171.7A 2016-12-28 2016-12-28 一种报文处理方法及装置 Active CN108259420B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611240171.7A CN108259420B (zh) 2016-12-28 2016-12-28 一种报文处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611240171.7A CN108259420B (zh) 2016-12-28 2016-12-28 一种报文处理方法及装置

Publications (2)

Publication Number Publication Date
CN108259420A CN108259420A (zh) 2018-07-06
CN108259420B true CN108259420B (zh) 2021-10-08

Family

ID=62720623

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611240171.7A Active CN108259420B (zh) 2016-12-28 2016-12-28 一种报文处理方法及装置

Country Status (1)

Country Link
CN (1) CN108259420B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110198317A (zh) * 2019-05-31 2019-09-03 烽火通信科技股份有限公司 一种基于端口的Portal认证方法及***
CN113098877A (zh) * 2021-04-02 2021-07-09 博为科技有限公司 一种接入认证方法、装置、设备和介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1505331A (zh) * 2002-12-04 2004-06-16 华为技术有限公司 实现基于端口认证和基于传输层认证兼容的方法
CN102843440A (zh) * 2011-06-24 2012-12-26 中兴通讯股份有限公司 一种防止媒体访问控制地址漂移的方法及网络处理设备
CN103457953A (zh) * 2013-09-11 2013-12-18 重庆大学 端口安全接入方式下防802.1x协议攻击的处理机制

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7810138B2 (en) * 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1505331A (zh) * 2002-12-04 2004-06-16 华为技术有限公司 实现基于端口认证和基于传输层认证兼容的方法
CN102843440A (zh) * 2011-06-24 2012-12-26 中兴通讯股份有限公司 一种防止媒体访问控制地址漂移的方法及网络处理设备
CN103457953A (zh) * 2013-09-11 2013-12-18 重庆大学 端口安全接入方式下防802.1x协议攻击的处理机制

Also Published As

Publication number Publication date
CN108259420A (zh) 2018-07-06

Similar Documents

Publication Publication Date Title
US10986094B2 (en) Systems and methods for cloud based unified service discovery and secure availability
US9774633B2 (en) Distributed application awareness
JP6648308B2 (ja) パケット伝送
CN108616490B (zh) 一种网络访问控制方法、装置及***
CN110311929B (zh) 一种访问控制方法、装置及电子设备和存储介质
CN106453409B (zh) 一种报文处理方法及接入设备
EP3410648B1 (en) Method, device and system for access control
US8605582B2 (en) IP network system and its access control method, IP address distributing device, and IP address distributing method
CN101465856B (zh) 一种对用户进行访问控制的方法和***
US9215234B2 (en) Security actions based on client identity databases
EP3461072B1 (en) Access control in a vxlan
US20080209071A1 (en) Network relay method, network relay apparatus, and network relay program
US8190755B1 (en) Method and apparatus for host authentication in a network implementing network access control
US20160352731A1 (en) Network access control at controller
US11302451B2 (en) Internet of things connectivity device and method
US20170155645A1 (en) User Identity Differentiated DNS Resolution
CN102075537A (zh) 一种实现虚拟机间数据传输的方法和***
US8887237B2 (en) Multimode authentication
US10917406B2 (en) Access control method and system, and switch
CN108259420B (zh) 一种报文处理方法及装置
CN102447709A (zh) 基于DHCP和802.1x接入权限控制方法及***
CN108076500B (zh) 局域网管理的方法、装置及计算机可读存储介质
US11451516B1 (en) Device isolation service
CN108076164B (zh) 访问控制方法及装置
CN113098825B (zh) 一种基于扩展802.1x的接入认证方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant