專利名稱:一種接入方法和接入設備的制作方法
技術領域:
本發(fā)明涉及接入認證技術領域�����,特別涉及一種接入方法和接入設備����。
背景技術:
在現有的IPv4/IPv6網絡組網中,簡單地使用802. IX協議提供對客戶端的接入 認證�。如圖1為現有的802. IX認證系統(tǒng)結構示意圖,該認證系統(tǒng)包括客戶端�,接入設備 和認證服務器;其中�����,客戶端必須支持局域網上的可擴展認證協議(EAPol,Extensible Authentication Protocol over LAN)����;接入設備是位于局域網一端的網絡設備,對所連接 的客戶端進行認證�����,接入設備通常支持802. IX協議�����,為客戶端提供接入局域網的端口 ’認 證服務器是為接入設備提供認證服務的實體����,用于實現對客戶端的認證���、授權和計費��,認證 服務器通常為遠程認證撥號認證服務器(RADIUS��,Remote AuthenticationDial-In User Service)?����,F有的IPv4/IPv6網絡組網中�,有些使用802. IX認證協議進行接入認證,這種方 式只能簡單地基于端口信息對客戶端進行認證和控制��,網絡管理員不能知道接入客戶端的 IPv4/IPv6地址�����,也不能使用客戶端的IPv4/IPv6地址對客戶端進行接入控制��。對于不使用802. IX認證協議進行接入認證的IPv4/IPv6網絡組網���,接入設備希望 能夠針對接入用戶的源IP地址進行接入認證����,以便監(jiān)控所有轉發(fā)報文�����,杜絕偽造源IP地址 攻擊�����。采用這種認證方式的前提是接入設備能夠獲取到客戶端的IP地址,這就要求網絡必 須使用動態(tài)主機配置協議(DHCP����,Dynamic Host Configuration Protocol)地址分配方式 為客戶端分配IP地址;然而����,在實際IPv4/IPv6網絡組網中,還有很多客戶端的IP地址不 是采用DHCP地址分配方式分配的���,對于這部分客戶端,接入設備無法獲取其IP地址�����,也就 無法基于IP地址對客戶端進行接入控制�����。綜上可見�����,在現有技術中��,無法基于IP地址對客戶端進行接入控制,防止偽造源 地址攻擊�����。
發(fā)明內容
本發(fā)明提出一種接入方法��,用于基于IP地址對客戶端進行接入控制����,防止偽造源 地址攻擊。本發(fā)明還提出一種接入設備�����,用于基于IP地址對客戶端進行接入控制�,防止偽造 源地址攻擊。本發(fā)明的技術方案是這樣實現的一種接入方法�,包括當接入設備學習到客戶端的IP地址時,啟動鄰居學習功能�����,在鄰居學習的過程中 將來自所述客戶端的報文暫時轉發(fā)或丟棄�����;當接入設備采用鄰居學習功能學習到所述客戶端的物理信息與所述IP地址存在 實際的對應關系時,將來自所述客戶端的報文轉發(fā)���,允許所述客戶端接入��。
一種接入設備�����,包括CPU和轉發(fā)處理器�,其中CPU包括源地址學習模塊和指令發(fā)送 模塊�;所述源地址學習模塊,用于學習客戶端的IP地址��;還用于采用鄰居學習功能��,學 習客戶端的物理地址與IP地址是否存在實際的對應關系�;所述指令發(fā)送模塊�,用于當源地址學習模塊學習到客戶端的IP地址時,向轉發(fā)處 理器發(fā)送第一指令���,所述第一指令為將來自所述客戶端的報文暫時轉發(fā)或丟棄���;還用于 當源地址學習模塊學習到客戶端的物理地址與IP地址存在實際的對應關系時����,向轉發(fā)處 理器發(fā)送第二指示�,所述第二指示為將來自所述客戶端的報文轉發(fā);所述轉發(fā)處理器�����,用于按照所述第一指示�,將來自客戶端的報文暫時轉發(fā)或丟棄; 還用于按照所述第二指示�����,將來自客戶端的報文轉發(fā)�。綜上可見,本發(fā)明提出的方法和接入設備��,能夠方便地獲得客戶端的多個IP地 址����,基于IP地址對客戶端進行接入控制,從而有效防止客戶端進行偽造源地址攻擊����。此外���, 啟動鄰居學習功能過程中,在接入設備尚未確定客戶端是否偽造了 IP地址時���,可以暫時將 來自該客戶端的報文轉發(fā)或丟棄���,避免數據沖突。
圖1為現有的802. IX認證系統(tǒng)結構示意圖����;圖2為本發(fā)明接入方法的實現流程圖;圖3為本發(fā)明實施例接入方法的實現流程圖����;圖4為本發(fā)明實施例接入設備的結構示意圖。
具體實施例方式本發(fā)明提出一種接入方法����,應用于包括圖1所示的接入認證系統(tǒng)����,本發(fā)明主要對 系統(tǒng)中的接入設備進行改進,從而實現對客戶端基于IP地址的接入控制����,以下具體實施例 中將對接入設備及其功能作詳細描述�����。參見圖2���,圖2為本發(fā)明接入方法的實現流程圖。包括步驟201 當接入設備學習到客戶端的IP地址時�����,啟動鄰居學習功能�,在鄰居學習 的過程中將來自所述客戶端的報文暫時轉發(fā)或丟棄;步驟202 當接入設備采用鄰居學習功能學習到所述客戶端的物理信息與所述IP 地址存在實際的對應關系時�����,將來自所述客戶端的報文轉發(fā)�,允許所述客戶端接入。上述方法還可以進一步包括步驟203 當接入設備采用鄰居學習功能學習到所述客戶端的物理地址與所述IP 地址不存在實際的對應關系時����,將來自所述客戶端的報文丟棄,不允許所述客戶端接入。上述過程中����,對報文的轉發(fā)和丟棄等處理是通過在接入設備中生成一系列訪問控 制列表(ACL,Access Control List)���,并利用這些ACL實現的�。接入設備包括CPU和轉發(fā)處理器�,為了實現上述流程,本發(fā)明采用的接入設備在 CPU中設置源地址學習模塊���,用于學習客戶端的IP地址并進行鄰居學習功能���。以下舉具體 的實施例詳細介紹參見圖3,圖3為本發(fā)明實施例接入方法的實現流程圖�,在本實施例中,將本發(fā)明提出的接入方法與現有的802. IlX認證協議結合進行舉例(當然���,本發(fā)明也可以與其他的 認證協議����,如PORTAL�����、MAC地址認證協議結合����,或者不與現有的認證協議結合)。本實施例 包括 步驟301 接入設備接收來自客戶端1的報文��,對客戶端1的802. IlX認證通過后���, 位于接入設備的CPU中的源地址學習模塊將客戶端1的物理信息(包括接入端口號�����、VLAN 標識�����、MAC地址中的一項或多項)與客戶端1的名稱綁定起來�,形成客戶端信息表中的一個 表項�,將該表項的狀態(tài)設置為AUTH,表示接入設備已經通過了對客戶端1的接入認證�,但尚 未學習到客戶端1的IP地址。參見表1��,表1為接入設備對客戶端1的接入認證通過后,源 地址學習模塊初始建立的客戶端信息表����。
權利要求
1.一種接入方法,所述方法應用于包括客戶端和接入設備的接入認證系統(tǒng)���,其特征在 于���,所述方法包括當接入設備學習到客戶端的IP地址時,啟動鄰居學習功能����,在鄰居學習的過程中將來 自所述客戶端的報文暫時轉發(fā)或丟棄;當接入設備采用鄰居學習功能學習到所述客戶端的物理信息與所述IP地址存在實際 的對應關系時���,將來自所述客戶端的報文轉發(fā)�����,允許所述客戶端接入��。
2.根據權利要求1所述的方法��,其特征在于����,所述方法進一步包括當接入設備采用鄰居學習功能學習到所述客戶端的物理地址與所述IP地址不存在實 際的對應關系時,將來自所述客戶端的報文丟棄����,不允許所述客戶端接入�����。
3.根據所述權利要求1或2所述的方法���,其特征在于�,所述方法進一步包括 所述客戶端配置新的IP地址后�����,所述接入設備重新執(zhí)行所述學習客戶端IP地址的步馬聚O
4.根據權利要求2所述的方法��,其特征在于�,所述接入設備包括CPU和轉發(fā)處理器,所 述CPU中設置源地址學習模塊�����;所述接入設備學習客戶端的IP地址之前,進一步包括當接入設備對客戶端的認證通過時�����,源地址學習模塊建立客戶端信息表����,所述客戶端 信息表中包含該客戶端的物理信息;CPU根據所述客戶端信息表設置ACLl JfACLl下發(fā)至轉發(fā)處理器����;所述ACLl為將滿 足所述客戶端物理信息的報文上送至CPU ;轉發(fā)處理器接收報文�,將所述報文與ACLl進行匹配,當匹配成功時���,將來自所述客戶 端的報文上送至CPU�����。
5.根據權利要求4所述的方法�,其特征在于���,所述接入設備學習客戶端的IP地址及啟 動鄰居學習功能的過程包括CPU接收轉發(fā)處理器上送的來自所述客戶端的報文�����,源地址 學習模塊從該報文中提取該客戶端的IP地址���;當客戶端信息表中不存在該IP地址時����,啟動 鄰居學習功能�;所述在鄰居學習的過程中將來自所述客戶端的報文暫時轉發(fā)或丟棄的方式為 CPU根據客戶端信息表設置ACL3��,并設置ACL3的存續(xù)時間�,將ACL3下發(fā)至轉發(fā)處理 器;所述ACL3為將滿足所述客戶端物理信息和IP地址的報文轉發(fā)或丟棄�;所述轉發(fā)處理器接收到來自客戶端的報文時,在所述存續(xù)時間內將所述報文與ACL3 進行匹配�����,當匹配成功時�����,將來自該客戶端的報文轉發(fā)或丟棄���。
6.根據權利要求5所述的方法�,其特征在于,所述接入設備學習到所述客戶端的物理 信息與IP地址存在實際的對應關系時����,進一步將所述客戶端的IP地址填充入客戶端信息 表,填充后的客戶端信息表包含所述客戶端的物理信息與IP地址的對應關系�����。
7.根據權利要求6所述的方法�����,其特征在于�,所述接入設備將來自所述客戶端的報文 轉發(fā)的方式為CPU根據所述填充后的客戶端信息表設置ACL4,將ACL4下發(fā)至轉發(fā)處理器���;所述ACL4 為將滿足所述客戶端物理信息和IP地址的報文轉發(fā)����;所述轉發(fā)處理器接收到來自客戶端的報文時���,將所述報文與ACL4進行匹配����,當匹配成 功時,將來自該客戶端的報文轉發(fā)�。
8.根據權利要求6所述的方法,其特征在于����,所述接入設備采用鄰居學習功能學習到 所述客戶端的物理地址與IP地址不存在實際的對應關系的過程包括源地址學習模塊學習到客戶端的IP地址后,查找所述填充后的客戶端信息表�����,判斷所 述IP地址對應的物理信息與所述客戶端實際的物理信息是否相同��,如果不相同����,則表示所 述客戶端的物理信息與IP地址不存在實際的對應關系�。
9.根據權利要求8所述的方法,其特征在于�,所述當學習到客戶端的物理地址與IP地 址不存在實際的對應關系時接入設備將來自所述客戶端的報文丟棄的步驟包括CPU根據客戶端信息表設置ACL2,將所述ACL2下發(fā)至轉發(fā)處理器����;所述ACL2為將滿 足所述客戶端物理信息和IP地址的報文丟棄�;轉發(fā)處理器接收報文�����,將所述報文與ACL2進行匹配���,當匹配成功時�,將來自所述客戶 端的報文丟棄�。
10.—種接入設備,其特征在于���,所述接入設備包括CPU和轉發(fā)處理器�����,其中CPU包括源 地址學習模塊和指令發(fā)送模塊�����;所述源地址學習模塊����,用于學習客戶端的IP地址;還用于采用鄰居學習功能��,學習客 戶端的物理地址與IP地址是否存在實際的對應關系�����;所述指令發(fā)送模塊�����,用于當源地址學習模塊學習到客戶端的IP地址時�,向轉發(fā)處理器 發(fā)送第一指令,所述第一指令為將來自所述客戶端的報文暫時轉發(fā)或丟棄��;還用于當源 地址學習模塊學習到客戶端的物理地址與IP地址存在實際的對應關系時�����,向轉發(fā)處理器 發(fā)送第二指示�����,所述第二指示為將來自所述客戶端的報文轉發(fā)����;所述轉發(fā)處理器,用于按照所述第一指示���,將來自客戶端的報文暫時轉發(fā)或丟棄�����;還用 于按照所述第二指示�,將來自所述客戶端的報文轉發(fā)��。
11.根據權利要求10所述的接入設備����,其特征在于,所述指令發(fā)送模塊還用于�����,當源地 址學習模塊學習到客戶端的物理地址與IP地址不存在實際的對應關系時���,向轉發(fā)處理器 發(fā)送第三指示���,所述第三指示為將來自所述客戶端的報文丟棄;所述轉發(fā)處理器����,還用于按照所述第三指示��,將來自所述客戶端的報文丟棄����。
12.根據權利要求10或11所述的接入設備��,其特征在于��,所述源地址學習模塊還用于��,當接入設備對客戶端的認證通過時�����,建立客戶端信息表�, 包含該客戶端的物理信息;所述源地址學習模塊采用轉發(fā)處理器上送的客戶端的報文學習 所述客戶端的IP地址�����;所述指令發(fā)送模塊�����,還用于在源地址學習模塊學習客戶端的IP地址之前��,根據所述客 戶端信息表設置ACLl JfACLl下發(fā)至轉發(fā)處理器���;所述ACLl為將滿足所述客戶端物理信 息的報文上送至源地址學習模塊�;所述轉發(fā)處理器���,還用于根據所述ACL1���,將滿足客戶端物理信息的報文上送至源地址 學習模塊。
13.根據權利要求10所述的接入設備����,其特征在于,所述指令發(fā)送模塊發(fā)送的第一指 令包括ACL3��,所述指令發(fā)送模塊還設置ACL3的存續(xù)時間��;所述ACL3為將滿足客戶端物理信息和IP地址的報文轉發(fā)或丟棄�;所述轉發(fā)處理器,用于按照所述ACL3�����,在ACL3的存續(xù)時間內將滿足客戶端物理信息和 IP地址的報文轉發(fā)或丟棄。
14.根據權利要求10所述的接入設備����,其特征在于,所述指令發(fā)送模塊發(fā)送的第二指 令包括ACL4 ��;所述ACL4為將滿足客戶端物理信息和IP地址的報文轉發(fā)�;所述轉發(fā)處理器,用于按照所述ACL4��,將滿足客戶端物理信息和IP地址的報文轉發(fā)�����。
15.根據權利要求11所述的接入設備���,其特征在于���,所述指令發(fā)送模塊發(fā)送的第三指 令包括ACL2 ;所述ACL2為將滿足客戶端物理信息和IP地址的報文丟棄�;所述轉發(fā)處理器,用于按照所述ACL2��,將滿足客戶端物理信息和IP地址的報文丟棄�����。
全文摘要
本發(fā)明提出一種接入方法和接入設備��,其中方法包括當接入設備學習到客戶端的IP地址時�,啟動鄰居學習功能,在鄰居學習的過程中將來自所述客戶端的報文暫時轉發(fā)或丟棄����;當接入設備采用鄰居學習功能學習到所述客戶端的物理信息與所述IP地址存在實際的對應關系時,將來自所述客戶端的報文轉發(fā)���,允許所述客戶端接入��。本發(fā)明能夠基于IP地址對客戶端進行接入控制�����,防止偽造源地址攻擊����。
文檔編號H04L12/56GK102136985SQ20101010379
公開日2011年7月27日 申請日期2010年1月22日 優(yōu)先權日2010年1月22日
發(fā)明者林濤 申請人:杭州華三通信技術有限公司