專利名稱:一種mac認證方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種MAC認證方法和設(shè)備��。
背景技術(shù):
MAC (Medium Access Control,媒體4妻入控制)認證是一種基于端口和 MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進行控制的方法��,用戶不需要任何客戶端軟 件進行配合��,交換機在首次檢測到此用戶的MAC地址以后�����,啟動對此用戶的 認證�����。發(fā)起認證后����,把用戶的MAC地址作為用戶名傳給RADIUS (Remote Authentication Dial In User Service,遠程用戶撥號iU正系統(tǒng))Client,然后由 RADIUS Client通過RADIUS協(xié)議報文同RADIUS Server進行交互��,最終由 Sever完成對此MAC用戶的認證�����。在添加MAC認i正用戶時,可以用兩種方 式配置 一種是指定用戶名和密碼都是用戶的MAC地址(格式為 HH-HH-HH-HH-HH-HH);另一種是由用戶配置固定的用戶名和密碼��,此時不 論用戶的MAC地址為何值��,交換機都會使用配置好的用戶名和密碼向 RADIUS Server發(fā)起認證��。某個MAC地址的用戶設(shè)備如果能通過認證����,軟件 就把此MAC地址刷新到相應的Port上,即添加到二層轉(zhuǎn)發(fā)表中��,然后此用 戶就可以訪問LAN (Local Area Network,局域網(wǎng))內(nèi)的資源�����;如果不能通過 認證���,則無法訪問LAN內(nèi)的資源���,相當于物理上斷開連接�����。
控制系統(tǒng)包括接入認證接口部分�、認證連接管理部分-ACM ( Access Control Module訪問控制才莫塊)模塊�����、RADIUS協(xié)議接口部分-RADIUS客戶 端����、本地用戶服務器部分,各部分間關(guān)系如圖l所示�。
端口安全規(guī)定了在交換機產(chǎn)品上基于端口和MAC地址的安全端口機制。 這種機制通過檢測數(shù)據(jù)幀中的MAC地址來控制經(jīng)由交換機端口對網(wǎng)絡(luò)的訪 問����。
當安全機制開啟后,如果端口或者MAC地址未經(jīng)認證成功��,那么端口發(fā)
送或接受的數(shù)據(jù)幀將被過濾或者只能進行受限的訪問��。認證成功的MAC將被 保存在MAC地址表中。被認ii4t權(quán)的MAC地址可以是管理員配置的永久性 地址��,也可以是經(jīng)由某種認證機制產(chǎn)生的�,后者只能是動態(tài)的,當用戶認證 失敗或下線時后會^^皮刪除�����。
現(xiàn)有技術(shù)中提供了一種MAC地址認證方法�,如圖2所示���。具體的�,添加 接入層交換機�,通過該交換機把需要認證的用戶終端單獨接入,該二層交換 機上連到匯聚層交換機的端口進行MAC認證�。以圖2所示的情況為例,新增 接入層交換機A-2����,需認證的用戶終端PC4和PC5單獨從該交換機接入,上 行到匯聚層交換機的端口 P2和P4具備MAC認證功能���,對通過A-2接入的 用戶終端進行驗證�。
使用該方法時,存在的問題如下添加接入層交換機的方法增加了成本 和網(wǎng)絡(luò)復雜度�,而且一旦匯聚層交換機的端口配置MAC認證功能后其他用戶 將無法使用此端口,只能通過另外增加端口的方法解決�����。該方法將極大的增 加網(wǎng)管的工作量�����,也提高了故障發(fā)生的幾率��。
發(fā)明內(nèi)容
本發(fā)明解決的問題是提供一種MAC認證方法�����,以實現(xiàn)認證過程中對接入 的用戶終端的細致劃分與管理���。
為達到上述目的�����,本發(fā)明提供一種MAC認證方法��,包括以下步驟
認證設(shè)備的認證端口接收到交換設(shè)備發(fā)送的報文時����,獲取發(fā)送所述報文 的終端的源MAC地址以及所屬的VLAN;
所述認證設(shè)備才艮據(jù)發(fā)送所述才艮文的終端的源MAC地址、所屬的VLAN 以及預設(shè)的VLAN屬性����,對所述報文進行處理。
其中�����,所述認證設(shè)備的認證端口接收到交換設(shè)備發(fā)送的報文前��,還包括 步驟配置所述認證設(shè)備以及所述交換設(shè)備���,
所述配置具體為
配置所述認證設(shè)備上與所述交換設(shè)備連接的端口為具有MAC認證功能 的認證端口;
劃分所述交換設(shè)備下不同終端所屬的VLAN,將不同的VLAN配置為不 需認證的非認證VLAN或需要認證的認證VLAN,并將所述交換i殳備下的 VLAN信息通知所述認證設(shè)備��。
其中�,所述交換設(shè)備發(fā)送報文具體為
所述交換設(shè)備接收到終端發(fā)送的報文;
所述交換設(shè)備獲取發(fā)送所述報文的終端所屬的VLAN�����,并在所述4艮文中 添加所述VLAN的標識�����;
所述交換設(shè)備向所述認證設(shè)備發(fā)送所述攜帶VLAN標識的報文。
其中��,所述認證設(shè)備獲取發(fā)送報文的終端所屬的VLAN的步驟具體為
所述認證設(shè)備根據(jù)所述報文中攜帶的VLAN的標識�,獲取發(fā)送所述報文 的終端所屬的VLAN。
其中����,所述認證設(shè)備發(fā)送報文的終端的源MAC地址、所屬的VLAN以 及預設(shè)的VLAN屬性��,對報文進行處理的步驟具體包括
對于來自所述非認證VLAN內(nèi)終端的報文�����,判斷所述報文是否為需要 CPU處理的協(xié)議報文�,若是則發(fā)送給CPU,否則進行轉(zhuǎn)發(fā)處理���。
其中�����,所述認證設(shè)備根據(jù)發(fā)送報文的終端的源MAC地址���、所屬的VLAN 以及預設(shè)的VLAN屬性��,對報文進行處理的步驟具體包括
對于來自所述認證VLAN內(nèi)終端的報文��,判斷所述報文是否為需要CPU 處理的協(xié)議纟艮文���;
對于需要CPU處理的協(xié)議報文,直接發(fā)送給CPU;對于不需要CPU處
否則進行MAC認證�,對于iU正通過的MAC地址添加到MAC地址轉(zhuǎn)發(fā)表項 中,否則添加到靜默MAC表項中并丟棄所述報文����。
對于需要CPU處理的協(xié)議報文,直接發(fā)送給CPU;
對于不需要CPU處理的報文����,當所述源MAC地址存在于MAC地址轉(zhuǎn) 發(fā)表項中時直接進行轉(zhuǎn)發(fā)�,否則進行MAC認證,對于認證通過的MAC地址 添加到MAC地址轉(zhuǎn)發(fā)表項中�����,否則添加到靜默MAC表項中并丟棄所述報文�����。
本發(fā)明還提供一種MAC認證系統(tǒng),包括
交換設(shè)備�����,用于將來自不同VLAN的報文發(fā)送到所述認證設(shè)備���; 認證設(shè)備��,用于在接收到所述交換設(shè)備發(fā)送的報文時���,根據(jù)發(fā)送所述報
文的終端的源MAC地址、所屬的VLAN以及預設(shè)的VLAN屬性�����,對所述報
文進行處理����。
其中,所述交換設(shè)備進一步包括
VLAN配置單元����,用于劃分本設(shè)備下不同終端所屬的VLAN����,將不同的 VLAN配置為不需認證的非認證VLAN或需要認證的認證VLAN,并將所述 VLAN信息通知所述認證設(shè)備�;
VLAN獲取單元,用于在接收到報文時����,根據(jù)所述VLAN配置單元的配 置,獲取發(fā)送所述報文的終端所屬的VLAN;
標識添加單元�����,用于根據(jù)所述VLAN獲取單元獲取到的發(fā)送報文的終端 所屬的VLAN,在才艮文中添加所述VLAN的標識���;
報文發(fā)送單元����,用于將所述標識添加單元進行加標識處理后的報文向所 述認證設(shè)備發(fā)送���。
其中,所述認證設(shè)備進一步包括
端口配置單元���,用于將本設(shè)備的端口配置為具有MAC認證功能的認證端 口 ���,且對與本設(shè)備連接的所述交換設(shè)備下各VLAN的信息進行預先配置����;
判斷單元����,用于在接收到所述交換設(shè)備發(fā)送的報文時,獲取發(fā)送所述報 文的終端的源MAC地址以及所屬的VLAN;
處理單元����,用于根據(jù)所述端口配置單元的配置、以及所述判斷單元獲取 發(fā)送報文的終端的源MAC地址以及所屬的VLAN,對所述才艮文進行處理�。
其中,所述認證設(shè)備為匯聚層交換設(shè)備�,所述交換設(shè)備為接入層交換設(shè)備。
與現(xiàn)有^^支術(shù)相比����,本發(fā)明具有以下優(yōu)點
實現(xiàn)了 MAC認證中對上網(wǎng)的用戶終端的細致劃分,使得不需要認證的用 戶終端也可以通過認證端口接入��,大大增強了組網(wǎng)的靈活性����,節(jié)約了成本��, 減少了網(wǎng)絡(luò)管理和維護的工作量��。
圖1是現(xiàn)有技術(shù)中MAC認證系統(tǒng)的結(jié)構(gòu)示意圖2是現(xiàn)有技術(shù)中通過增加接入層交換機進行MAC認證的組網(wǎng)示意圖3是本發(fā)明的MAC認i正方法的流程圖4是本發(fā)明的MAC認證方法的另 一流程圖5是本發(fā)明的MAC認證方法的一應用場景示意圖6是本發(fā)明的MAC認證系統(tǒng)的結(jié)構(gòu)示意圖�����。
具體實施例方式
本發(fā)明的核心思想在于將認證設(shè)備端的認i正端口下的VLAN劃分為兩種 虛VLAN���,認證VLAN和非認證VLAN。其中���,對于來自認證VLAN中的終端 的報文���,在未經(jīng)過MAC認證的非授權(quán)狀態(tài)下禁止發(fā)送任何報文,在經(jīng)過MAC 認證的授權(quán)狀態(tài)下可以傳遞報文�;對于來自非認證VLAN中終端的報文,始終 允許通過���。
如圖3所示����,本發(fā)明的一種MAC認證方法包括以下步驟 步驟s301 ���、配置認證設(shè)備及其認證端口 ��。
具體的�,配置認證設(shè)備具有MAC認證功能��,配置其端口為具有MAC認證 功能的iU正端口���。
步驟s302��、配置認證端口下的VLAN����。
配置認證端口下的VLAN��,認證端口還進一步與交換設(shè)備連接��,交換設(shè)備 下不同類型的用戶終端屬于不同的VLAN, VLAN分為兩種認證VLAN和非 認證VLAN���。其中�����,將不需要進行認證即可上網(wǎng)的用戶終端劃分到非認證 VLAN, —般用戶終端劃分到認證VLAN�。具體的,在端口下發(fā)ACL (Access Control List����,接入控制列表),該ACL的內(nèi)容可以包括匹配VLAN TAG + 未知單播報文���,對于匹配的報文被重定向進行認證VLAN流程���;對于不匹配的 報文進行非認證VLAN流程正常轉(zhuǎn)發(fā)。此配置下發(fā)后根據(jù)設(shè)備的不同可以軟處 理實現(xiàn)或硬件實現(xiàn)�����。硬件實現(xiàn)如下交換芯片通過設(shè)置寄存器�,使端口內(nèi)認 證VLAN內(nèi)的未知單播報文直接發(fā)送到CPU,這樣就節(jié)省了 ACL資源�。
步驟s303、認證設(shè)備接收交換設(shè)備發(fā)送的報文�����,判斷發(fā)送報文的終端所屬 的VLAN以及發(fā)送才艮文的源MAC地址�����。
步驟s304、認證設(shè)備才艮據(jù)發(fā)送才艮文的終端所屬的VLAN以及發(fā)送報文的 源MACi也址����,對凈艮文進4亍處理��。
具體的��,認證設(shè)備的認證端口接收到來自認證VLAN的終端發(fā)送的報文 時���,處理原則如下收到來自認證VLAN的需要CPU處理的協(xié)議報文時�����,直 接發(fā)送給CPU;收到來自認證VLAN的不需要CPU處理的報文時�����,根據(jù)本 地的MAC表項進行處理�,該處理過程在下文進行詳細描述��。
具體的�,認證設(shè)備的認證端口接收到來自非認證VLAN的終端發(fā)送的報 文時,處理原則如下收到來自非認證VLAN的報文后,首先對發(fā)送給報文 的終端的MAC地址進行學習�����,之后判斷該報文是否為需要CPU處理的協(xié)議 報文�,若是則發(fā)送給CPU;否則進行轉(zhuǎn)發(fā)處理。
以下對上述步驟s301 s304的認證方法進行詳細描述�,如圖4所示,該 認證方法包括如下步驟
步驟s401��、配置認證設(shè)備�,在認證i殳備的全局和端口下配置MAC認i正 功能。
步驟s402��、配置認i正端口下的認證VLAN和非認證VLAN��。 認證端口還進一步與交換設(shè)備連接���,交換設(shè)備下不同類型的用戶終端屬 于不同的VLAN�,使所有來自非認證VLAN的報文即使源MAC未知�,也要 學習該MAC并進行處理,對于來自認證VLAN的報文�,進行MAC認證并處理。
步驟s403���、認證端口接收到報文時��,判斷其是否來自認證VLAN��。來自 非認證VLAN時��,進行步驟s404;否則來自認證VLAN,進行步驟s408�����。 步驟s404 �、認證端口進行MAC地址的學習���。
步驟s405�、認證端口判斷該報文是否需要上送CPU���,對于需要上送CPU 處理的協(xié)議報文��,進行步驟s405�,否則進行步驟s407���。 步驟s406�、將報文上送CPU進行處理并結(jié)束。
步驟s407�、對報文進行轉(zhuǎn)發(fā)處理并結(jié)束,該轉(zhuǎn)發(fā)處理包括正常的MAC 表項匹配處理和不匹配廣4番處理等����。
步驟s408、認證端口判斷該報文是否需要上送CPU��,對于需要上送CPU 處理的協(xié)議報文��,進行步驟s409,否則進行步驟s410�����。 步驟s409�、將報文上送CPU進行處理并結(jié)束。
步驟s410��、認證端口判斷該報文的源MAC地址是否已經(jīng)存在于MAC轉(zhuǎn) 發(fā)表項中��,是則進行步驟s407�,否則進行步驟s411。
步驟s411�、認證端口判斷該報文的源MAC地址是否已經(jīng)存在于靜默 MAC表項中,是則進行步驟s412,否則進行步驟s413����。
步驟s412����、丟棄該"R文并結(jié)束����。
步驟s413、認證端口對該4艮文的源MAC地址進行認證��,認證成功時進 行步驟s415���,否則進行步驟s414。
步驟s414�、將該報文的源MAC地址添加到靜默MAC表項,并進行步驟 s411��。
步驟s415�、將該報文的源MAC地址添加到MAC轉(zhuǎn)發(fā)表項。 步驟s416��、對報文進行轉(zhuǎn)發(fā)處理并結(jié)束���。
以下結(jié)合一個具體的組網(wǎng)場景���,對本發(fā)明的實施方式作進一步的說明����。 如圖5所示����,網(wǎng)絡(luò)中的接入層交換機A-1以及A-2下部署用戶終端PC,接入 層交換機無MAC認證功能,其通過雙歸屬上行到匯聚層交換機B-l和B-2����, 由匯聚層交換才幾進行MAC認證。目前的應用組網(wǎng)中���,普遍使用該組網(wǎng)方式�。 與接入層交換機連接的各用戶終端中����,PC1、 PC2和PC3為特殊用戶(如固 定用戶)����,其不需要MAC認證即可接入網(wǎng)絡(luò);對于PC4和PC5(如移動用戶)�����, 需要在MAC認證后才能接入網(wǎng)絡(luò)。
對于上述組網(wǎng)場景�,按照本發(fā)明提供的方法,對網(wǎng)絡(luò)中的設(shè)備進行如下 配置
在接入層交換機A-1上將不需要MAC認證即可上網(wǎng)的特殊用戶PC1與 PC2劃分到VLAN100, PC3劃分到VLAN200;其他一般用戶可以根據(jù)需要 進行劃分��,這里假設(shè)將PC4與PC5劃分到VLANIO���。對于與匯聚層交換機連 接的上行接口�����,配置為對上行到匯聚層交換機的報文進行加標識(TAG)處 理����,使用該標識作為報文所屬VLAN的標識�。例如對于來自PC4或PC5的報 文����,在報文中加入標識VLAN10;再例如對于來自PC1與PC2的報文,在報 文中加入標識VLAN亂
在匯聚層交換機B-l和B-2上配置MAC認i正功能��,其端口 Pl和P3分別 為具有MAC認證功能的端口 �,配置VLAN100和VLAN200為非認證VLAN����, 無需特別進行配置����。另夕卜,配置VLAN10為認證VLAN�。
以下列舉〗吏用本發(fā)明的方法時對一些典型情況的處理方式 (1 )非認證VLAN中的用戶如PC1試圖直接訪問外部網(wǎng)絡(luò)
接入層交換機A-1接收到來自PC1的報文,獲取該報文的發(fā)送方所屬的 VLAN后�����,將該報文加標識VLAN100并通過與匯聚層交換機連接的上行接口 向匯聚層交換機B-1發(fā)送����。
匯聚層交換機B-l的認證端口 Pl接收該才艮文,才艮據(jù)標識VLAN100判斷 該才艮文為來自非認證VLAN�����,正常轉(zhuǎn)發(fā)該才艮文或?qū)⒃搱笪纳纤偷紺PU處理�����。
(2 )認證VLAN中的用戶PC4試圖直接訪問外部網(wǎng)絡(luò)
接入層交換機A-1接收到來自PC4的報文,獲取該報文的發(fā)送方所屬的 VLAN后���,將該才艮文加標識VLAN10并通過與匯聚層交換機連4妄的上行接口 向匯聚層交換機B-1發(fā)送�����。
匯聚層交換機B-l的認證端口 Pl接收該才艮文��,才艮據(jù)標識VLAN10判斷該 報文為來自認證VLAN�����,且發(fā)送該報文的PC4的MAC地址在MAC轉(zhuǎn)發(fā)表項 中不存在�,則發(fā)起MAC認證����,假設(shè)RADIUS服務器端口存在此MAC地址, 則MAC認證通過�����,PC4可以訪問外部網(wǎng)絡(luò)�。
(3)認證VLAN中的用戶PC5試圖直接訪問外部網(wǎng)絡(luò)
接入層交換機A-l接收到來自PC5的報文����,獲取該報文的發(fā)送方所屬的 VLAN后�����,將該報文加標識VLAN10并通過與匯聚層交換機連接的上行接口 向匯聚層交換機B-1發(fā)送�����。
匯聚層交換機B-l的認證端口 Pl接收該報文�,根據(jù)標識VLAN10判斷該 報文為來自認證VLAN���,且發(fā)送該才艮文的PC5的MAC地址在MAC轉(zhuǎn)發(fā)表項 中不存在���,則發(fā)起MAC認證,假設(shè)RADIUS服務器端口不存在此MAC地址��,
則MAC iU正失敗�,PC5無法訪問外部網(wǎng)絡(luò)。����。
通過使用上述認證方法,實現(xiàn)了 MAC認證中對上網(wǎng)的用戶終端的細致劃 分����,使得不需要認證的用戶終端可以通過認證端口直接接入���,大大增強了組 網(wǎng)的靈活性,節(jié)約了成本�����,減少了網(wǎng)絡(luò)管理和維護的工作量����。
本發(fā)明還提供了一種認證系統(tǒng),包括認證設(shè)備和交換設(shè)備���,以認證設(shè)備 為匯聚層交換設(shè)備���、交換設(shè)備為接入層交換設(shè)備為例。該認證系統(tǒng)的結(jié)構(gòu)如 圖6所示�����,包括接入層交換設(shè)備10和匯聚層交換設(shè)備20�����。其中,接入層交換 設(shè)備10用于根據(jù)預先設(shè)定的VLAN�,將來自不同VLAN的用戶終端的報文進 行加標識處理并發(fā)送到匯聚層交換設(shè)備20;匯聚層交換設(shè)備20用于在接收到 接入層交換設(shè)備10發(fā)送的報文時�����,通過報文中的標識獲取其所屬VLAN,然 后根據(jù)預先配置的VLAN信息判斷其來自認證VLAN或非認證VLAN��,從而 根據(jù)報文所屬VLAN以及發(fā)送該報文的源MAC地址對報文進行處理�。
具體的,接入層交換設(shè)備IO進一步包括VLAN配置單元ll����、 VLAN獲 取單元12、標識添加單元13以及報文發(fā)送單元14�。
VLAN配置單元11,用于對與本接入層交換機連接的用戶終端所屬的 VLAN進行配置����,其中,將不需要進行認證的特殊用戶終端劃分為一個或多 個VLAN,稱為非認證VLAN; —般的用戶終端所在的VLAN稱為認證VLAN�。 其中,上述認證VLAN與非認證VLAN的信息預先也在匯聚層交換設(shè)備20 進行了配置����。
VLAN獲取單元12���、與VLAN配置單元11連接,用于在接收到用戶終 端發(fā)送的報文時���,根據(jù)VLAN配置單元ll的配置��,獲取發(fā)送該報文的用戶終 端所屬的VLAN��。
標識添加單元13,與VLAN獲取單元12連接���,用于根據(jù)VLAN獲取單 元12獲取到的發(fā)送報文的用戶終端所屬的VLAN,在報文中添加標識以作為 該報文的發(fā)送終端所屬的VLAN的標識。
凈艮文發(fā)送單元14����,與標識添加單元13連接,用于將標識添加單元13進 行加標識處理后的^t艮文向匯聚層交換i殳備20發(fā)送���。
具體的�,匯聚層交換設(shè)備20進一步包括端口配置單元21����、判斷單元 22以及處理單元23。
端口配置單元21��,用于對匯聚層交換設(shè)備的端口進行配置,配置后的端 口為認證端口�����,具有MAC認證功能�����,且對接入層交換設(shè)備10下各VLAN屬 于認證VLAN或非認證VLAN的信息進行了預先配置��。
判斷單元22�����,用于在接收到接入層交換設(shè)備10發(fā)送的報文時�,獲取報文 攜帶的VLAN標識以及該報文的源MAC地址���,根據(jù)該標識判斷報文的發(fā)送 終端屬于iU正VLAN或非iU正VLAN���。
處理單元23,與判斷單元22和端口配置單元21連接���,用于根據(jù)判斷單 元22獲取的才艮文的源MAC地址���、才艮文的發(fā)送終端屬于認i正VLAN或非"i人證 VLAN����、以及端口配置單元21中對VLAN的配置���,對報文進行相應的處理���, 該處理包括(1)對于來自非認證VLAN的報文處理原則如下收到來自非 認證VLAN的報文后,首先對發(fā)送給報文的終端的MAC地址進行學習�,之 后判斷該報文是否為需要CPU處理的協(xié)議報文,若是則發(fā)送給CPU;否則進 行轉(zhuǎn)發(fā)處理��。(2)對于來自認證VLAN的報文處理原則如下對于需要CPU 處理的協(xié)議報文����,直接發(fā)送給CPU;對于不需要CPU處理的報文,根據(jù)本地 的MAC表項進行處理���,該處理具體為當報文的源MAC地址存在于MAC 地址轉(zhuǎn)發(fā)表項中時直接進行轉(zhuǎn)發(fā)�,否則進行MAC認證���,對于認證通過的MAC 地址添加到MAC地址轉(zhuǎn)發(fā)表項中��,否則添加到靜默MAC表項中并丟棄該報 文����。
通過4吏用上述認證系統(tǒng)和設(shè)備,實現(xiàn)了 MAC認i正中對上網(wǎng)的用戶終端的 細致劃分��,使得不需要認證的用戶終端可以通過認證端口直接接入�,大大增 強了組網(wǎng)的靈活性,節(jié)約了成本�,減少了網(wǎng)絡(luò)管理和維護的工作量�。
通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)�,當然也可以通過硬件, 但很多情況下前者是更佳的實施方式�。基于這樣的理解��,本發(fā)明的技術(shù)方案 本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�����, 該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中���,包括若干指令用以使得一臺設(shè)備執(zhí)行本發(fā)明各個實施例所述的方法�。
以上公開的僅為本發(fā)明的幾個具體實施例,但是�,本發(fā)明并非局限于此, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應落入本發(fā)明的保護范圍。
權(quán)利要求
1�����、一種MAC認證方法��,其特征在于�����,包括以下步驟認證設(shè)備的認證端口接收到交換設(shè)備發(fā)送的報文時�,獲取發(fā)送所述報文的終端的源MAC地址以及所屬的VLAN;所述認證設(shè)備根據(jù)發(fā)送所述報文的終端的源MAC地址�、所屬的VLAN以及預設(shè)的VLAN屬性,對所述報文進行處理�。
2、 如權(quán)利要求1所述MAC認證方法�,其特征在于,所述認證設(shè)備的認 證端口接收到交換設(shè)備發(fā)送的報文前��,還包括步驟配置所述認證設(shè)備以及所述交換設(shè)備��,所述配置具體為配置所述認證設(shè)備上與所述交換設(shè)備連接的端口為具有MAC認證功能 的認證端口;劃分所述交換設(shè)備下不同終端所屬的VLAN,將不同的VLAN配置為不 需認證的非認證VLAN或需要認證的認證VLAN���,并將所述交換設(shè)備下的 VLAN信息通知所述認證設(shè)備�����。
3�、 如權(quán)利要求1所述MAC認證方法��,其特征在于���,所述交換設(shè)備發(fā)送 報文具體為所述交換設(shè)備接收到終端發(fā)送的報文��;所述交換設(shè)備獲取發(fā)送所述報文的終端所屬的VLAN,并在所述報文中 添加所述VLAN的標識;所述交換設(shè)備向所述認證設(shè)備發(fā)送所述攜帶VLAN標識的報文���。
4�����、 如權(quán)利要求3所述MAC認證方法�����,其特征在于���,所述認證設(shè)備獲取 發(fā)送報文的終端所屬的VLAN的步驟具體為所述認證設(shè)備根據(jù)所述報文中攜帶的VLAN的標識�,獲取發(fā)送所述才艮文 的終端所屬的VLAN����。
5、 如權(quán)利要求1至4中任一項所述MAC認證方法�����,其特征在于����,所述 認證設(shè)備發(fā)送報文的終端的源MAC地址、所屬的VLAN以及預設(shè)的VLAN 屬性���,對報文進行處理的步驟具體包括對于來自所述非認證VLAN內(nèi)終端的報文��,判斷所述報文是否為需要 CPU處理的協(xié)議報文��,若是則發(fā)送給CPU����,否則進行轉(zhuǎn)發(fā)處理。
6�、 如權(quán)利要1至4所述MAC認證方法,其特征在于���,所述認證設(shè)備根 據(jù)發(fā)送凈艮文的終端的源MAC地址�����、所屬的VLAN以及預i殳的VLAN屬性���, 對報文進行處理的步驟具體包括對于來自所述認證VLAN內(nèi)終端的報文,判斷所述報文是否為需要CPU 處理的協(xié)議報文��,對于需要CPU處理的協(xié)議報文�����,直接發(fā)送給CPU;對于不需要CPU處否則進4于MAC認證�,對于i人i正通過的MAC地址添加到MAC地址轉(zhuǎn)發(fā)表項 中����,否則添加到靜默MAC表項中并丟棄所述報文。
7����、 一種MAC認證系統(tǒng)�����,其特征在于��,包括交換設(shè)備�����,用于將來自不同VLAN的報文發(fā)送到所述認證設(shè)備����; 認證設(shè)備����,用于在接收到所述交換設(shè)備發(fā)送的報文時,根據(jù)發(fā)送所述報文的終端的源MAC地址��、所屬的VLAN以及預設(shè)的VLAN屬性�,對所述才艮文進行處理。
8���、 如權(quán)利要求7所述MAC認證系統(tǒng)�����,其特征在于����,所述交換設(shè)備進一 步包括VLAN配置單元,用于劃分本設(shè)備下不同終端所屬的VLAN,將不同的 VLAN配置為不需認證的非認證VLAN或需要認證的認證VLAN�����,并將所述 VLAN信息通知所述認證設(shè)備�����;VLAN獲取單元�����,用于在接收到報文時��,根據(jù)所述VLAN配置單元的配 置��,獲取發(fā)送所述報文的終端所屬的VLAN;標識添加單元�����,用于根據(jù)所述VLAN獲取單元獲取到的發(fā)送報文的終端 所屬的VLAN,在凈艮文中添加所述VLAN的標識���;報文發(fā)送單元�,用于將所述標識添加單元進行加標識處理后的報文向所 述認證設(shè)備發(fā)送�。
9、 如權(quán)利要求8所述MAC認證系統(tǒng)�����,其特征在于�,所述認證設(shè)備進一 步包括端口配置單元,用于將本設(shè)備的端口配置為具有MAC認證功能的認證端 口 ��,且對與本設(shè)備連接的所述交換設(shè)備下各VLAN的信息進行預先配置��;判斷單元�,用于在接收到所述交換設(shè)備發(fā)送的報文時,獲取發(fā)送所述報 文的終端的源MAC地址以及所屬的VLAN;處理單元��,用于才艮據(jù)所述端口配置單元的配置��、以及所述判斷單元獲取 發(fā)送凈艮文的終端的源MAC地址以及所屬的VLAN,對所述才艮文進行處理��。
10�、如權(quán)利要求7所述MAC認證系統(tǒng)�����,其特征在于���,所述認證設(shè)備為匯 聚層交換設(shè)備,所述交換設(shè)備為接入層交換設(shè)備��。
全文摘要
本發(fā)明公開了一種MAC認證方法�����,包括以下步驟認證設(shè)備的認證端口接收到交換設(shè)備發(fā)送的報文時�,獲取發(fā)送所述報文的終端的源MAC地址以及所屬的VLAN;所述認證設(shè)備根據(jù)發(fā)送所述報文的終端的源MAC地址�、所屬的VLAN以及預設(shè)的VLAN屬性,對所述報文進行處理�。本發(fā)明還公開了一種用于MAC認證的系統(tǒng)。通過使用本發(fā)明��,實現(xiàn)了MAC認證中對上網(wǎng)的用戶終端的細致劃分�,使得不需要認證的用戶終端也可以通過認證端口接入,大大增強了組網(wǎng)的靈活性����,節(jié)約了成本�����,減少了網(wǎng)絡(luò)管理和維護的工作量。
文檔編號H04L12/56GK101197785SQ200810000040
公開日2008年6月11日 申請日期2008年1月4日 優(yōu)先權(quán)日2008年1月4日
發(fā)明者郭振華 申請人:杭州華三通信技術(shù)有限公司