專利名稱：在菊鏈連接設備中支持802.1x的裝置和方法
技術領域：
本發(fā)明涉及包括用于執(zhí)行在此描述的各種操作的程序指令、狀態(tài)信息等的 機器可讀介質。機器可讀介質的示例包括但不限于諸如硬盤、軟盤和磁 帶之類的磁介質；諸如CD-ROM光盤和DVD之類的光介質；諸如光磁軟 盤(floptical disk)之類的磁光介質；以及專門被配置來存儲和執(zhí)行程序指 令的硬件設備，例如只讀存儲器(ROM)設備和隨機存取存儲器 (RAM)。本發(fā)明還可以在通過諸如空中電波、光線路、電子線路等傳輸 的載波中實現(xiàn)。程序指令的示例包括諸如由編譯器產生的機器碼以及包 含可由計算機使用解釋程序執(zhí)行的更高級代碼的文件。
本發(fā)明的特定實施例在維持安全機制的同時，允許多于單個的設備具 有通過單個物理接入控制端口的網絡接入(例如，LAN接入)?？梢栽试S 一個設備對每個VLAN或域進行認證。因此，可以通過單個端口完成對每 個VLAN或域的過濾。
雖然為了清楚地理解而以某個細節(jié)描述了前面的發(fā)明，但是顯然可以在所附權利要求的范圍內實施某些改變和修改。例如，雖然將認證描述為 授權單個設備接入單個域，但是當然單個設備也可以被授權接入多個不同 域或者多個設備可以被授權接入同一域。因此，要把本實施例考慮為說明 性的而非限制性的，并且本發(fā)明不被限制為在此給出的細節(jié)，而是可以在 所附權利要求的范圍和等同物內進行修改。
權利要求
1.一種方法，包括接收用于對經由網絡設備的特定接入端口接入第一網絡域的第一設備或用戶進行認證的一個或多個第一認證分組，其中，所述特定接入端口被配置來控制嘗試進入一個或多個網絡域的分組的接入；當所述第一設備或用戶被授權接入第一域時，在所述第一設備和所述第一域之間形成第一綁定，其中，所述第一綁定指定允許所述第一設備接入所述第一域，并且所述第一綁定與所述網絡設備的所述特定接入端口相關聯(lián)；當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁定匹配時，允許所述進入分組接入所述第一域；以及當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁定不匹配時，阻止所述進入分組接入所述第一域。
2. 如權利要求1所述的方法，還包括接收用于對經由所述網絡設備的所述特定接入端口接入第二網絡域的 第二設備或用戶進行認證的一個或多個第二認證分組；當所述第二設備或用戶被授權接入第二域時，在所述第二設備和所述 第二域之間形成第二綁定，其中，所述第二綁定指定允許所述第二設備接 入所述第二域并且所述第二綁定與所述網絡設備的所述特定接入端口相關 聯(lián)；當接收到嘗試進入所述第二域的分組并且進入分組與所述第二綁定匹 配時，允許所述進入分組接入所述第二域；以及當接收到嘗試進入所述第二域的分組并且進入分組與所述第二綁定不 匹配時，阻止所述進入分組接入所述第二域。
3. 如權利要求2所述的方法，其中，所述第一域是第一虛擬局域網 (VLAN)并且所述第二域是第二 VLAN。
4. 如權利請求3所述的方法，其中，所述第一設備耦合到所述特定接入端口和所述第二設備，并且其中所述第二設備經由所述第一設備與所述 特定網絡接口通信。
5. 如權利請求3所述的方法，其中，所述第一綁定在所述第一設備的 媒體訪問地址(MAC)和所述第一 VLAN之間，并且其中所述第二綁定 在所述第二設備的媒體訪問地址(MAC)和所述第二VLAN之間。
6. 如權利要求2-5的任一項所述的方法，其中，使用802.1X協(xié)議來發(fā) 送所述第一和第二認證分組以及進入分組。
7. 如權利要求3-5的任一項所述的方法，其中，所述第一VLAN被配 置用于語音流量，并且所述第二 VLAN被配置用于數(shù)據(jù)流量。
8. 如權利要求2-7的任一項所述的方法，其中，所述第一設備是因特 網協(xié)議(IP)電話并且所述第二設備是個人計算機(PC)。
9. 如權利要求1-8的任一項所述的方法，其中，當確定正使用所述第 一設備的未授權用戶被授權接入所述第一域時，所述第一設備被授權接入 所述第一域。
10. 如權利要求1-8的任一項所述的方法，還包括阻止未被所述第一 綁定或指定接入特定域的任何其它綁定指定的任何設備接入任何域。
11. 一種裝置，包括 一個或多個處理器；一個或多個存儲器，其中，至少一個處理器和存儲器適于接收用于對經由網絡設備的特定接入端口接入第一網絡域的第一設備或用戶進行認證的一個或多個第一認證分組，其中，所述特定接入端口被配置來控制嘗試進入一個或多個網絡域的分組的接入；當所述第一設備或用戶被授權接入第一域時，在所述第一設備和所述第一域之間形成第一綁定，其中，所述第一綁定指定允許所述第一設備接入所述第一域，并且所述第一綁定與所述網絡設備的所述特定接入端口相關聯(lián)；當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁定匹配時，允許所述進入分組接入所述第一域；以及當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁 定不匹配時，阻止所述進入分組接入所述第一域。
12. 如權利要求11所述的裝置，其中，所述至少一個處理器和存儲器 還適于接收用于對經由所述網絡設備的所述特定接入端口接入第二網絡域的 第二設備或用戶進行認證的一個或多個第二認證分組；當所述第二設備或用戶被授權接入第二域時，在所述第二設備和所述 第二域之間形成第二綁定，其中，所述第二綁定指定允許所述第二設備接 入所述第二域并且所述第二綁定與所述網絡設備的所述特定接入端口相關 聯(lián)；當接收到嘗試進入所述第二域的分組并且進入分組與所述第二綁定匹 配時，允許所述進入分組接入所述第二域；以及當接收到嘗試進入所述第二域的分組并且進入分組與所述第二綁定不 匹配時，阻止所述進入分組接入所述第二域。
13. 如權利要求12所述的裝置，其中，所述第一域是第一虛擬局域網 (VLAN)并且所述第二域是第二 VLAN。
14. 如權利要求12所述的裝置，其中，所述第一設備耦合到所述特定 接入端口和所述第二設備，并且其中所述第二設備經由所述第一設備與所 述特定網絡接口通信。
15. 如權利要求12所述的裝置，其中，所述第一綁定在所述第一設備 的媒體訪問地址(MAC)和所述第一 VLAN之間，并且其中所述第二綁 定在所述第二設備的媒體訪問地址(MAC)和所述第二VLAN之間。
16. 如權利要求12-15所述的裝置，其中，使用802.1X協(xié)議來發(fā)送所 述第一和第二認證分組以及進入分組。
17. 如權利要求13-15所述的裝置，其中，所述第一 VLAN被配置用 于語音流量，并且所述第二VLAN被配置用于數(shù)據(jù)流量。
18. 如權利要求12-17所述的裝置，其中，所述第一設備是因特網協(xié)議 (IP)電話并且所述第二設備是個人計算機(PC)。
19. 如權利要求11-18所述的裝置，其中，當確定正使用所述第一設備 的未授權用戶被授權接入所述第一域時，所述第一設備被授權接入所述第一域。
20. 如權利要求11-18所述的裝置，其中，所述至少一個處理器和存儲器還適于阻止未被所述第一綁定或指定接入特定域的任何其它綁定指定的任何設備接入任何域。
21. —種裝置，包括用于接收用于對經由網絡設備的特定接入端口接入第一網絡域的第一 設備或用戶進行認證的一個或多個第一認證分組的裝置，其中，所述特定 接入端口被配置來控制嘗試進入一個或多個網絡域的分組的接入；用于當所述第一設備或用戶被授權接入第一域時在所述第一設備和所 述第一域之間形成第一綁定的裝置，其中，所述第一綁定指定所述第一設 備允許接入所述第一域，并且所述第一綁定與所述網絡設備的所述特定接 入端口相關聯(lián)；用于當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁定匹配時允許所述進入分組接入所述第一域的裝置；以及用于當接收到嘗試進入所述第一域的分組并且進入分組與所述第一綁 定不匹配時阻止所述進入分組接入所述第一域的裝置。
全文摘要
公開了對通過接入控制端口接入網絡的設備進行認證的裝置和方法。例如通過接入控制端口接收用于對經網絡設備的特定接入端口(102)接入第一網絡域的第一設備(104，106)或用戶進行認證的一個或多個第一認證分組。特定接入端口配置來控制嘗試進入一個或多個網絡域的分組的接入。當授權第一設備或用戶接入第一域時，在第一設備和第一域間形成第一綁定(110，112)。第一綁定指定允許第一設備接入第一域并且第一綁定與網絡設備的特定接入端口相關聯(lián)。當接收到嘗試進入第一域的分組并且進入分組與第一綁定匹配時，允許進入分組接入第一域(608)。相反，當接收到嘗試進入第一域的分組并且進入分組與第一綁定不匹配時，阻止進入分組接入第一域(612)。
文檔編號H04L12/28GK101554016SQ200780027315
公開日2009年10月7日 申請日期2007年7月30日 優(yōu)先權日2006年8月1日
發(fā)明者喬治·奧蘭·穆爾, 伊恩·傅, 思恩娜·D·梅爾特, 蘇珊·M·索特爾, 詹森·D·弗瑞澤 申請人:思科技術公司