終端認證方法及交換的制造方法
【專利摘要】本發(fā)明提供一種終端認證方法及交換機，該方法包括：交換機接收終端發(fā)送的未認證報文，根據(jù)未認證報文獲取所述終端的第一網(wǎng)絡(luò)信息；根據(jù)第一網(wǎng)絡(luò)信息中終端的MAC地址在交換機的MAC信息表中查找包括所述MAC地址的表項，若查找則所述交換機確定所述終端為已認證終端；判斷所述第一網(wǎng)絡(luò)信息中的所述終端所接入的超級VLAN信息是否屬于預(yù)設(shè)遷移組，若是，則更新所述MAC信息表中包括所述MAC地址的表項，所述終端繼續(xù)作為已認證終端。本發(fā)明實施例實現(xiàn)了減少了重認證的發(fā)生，大大減小了交換機的壓力，另外，采用MAC信息表存儲認證信息可以大大提高認證信息的容量。
【專利說明】終端認證方法及交換機

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信技術(shù)，尤其涉及一種終端認證方法及交換機。

【背景技術(shù)】
[0002] 虛擬局域網(wǎng)（Virtual Local Area Network,簡稱VLAN)是在一個物理網(wǎng)絡(luò)上劃分 出來的邏輯網(wǎng)絡(luò)，效果和普通局域網(wǎng)一樣。其中。第二層的單播、廣播和多播幀在一個VLAN 內(nèi)轉(zhuǎn)發(fā)、擴散，而不會直接進入其它VLAN之中，如果一個端口所連接的主機想要和其它不 在同一個VLAN的主機通訊，則必須要通過一個三層設(shè)備，其中，該三層設(shè)備可以是交換機。 超級VLAN(superVLAN)是將一個網(wǎng)段的互聯(lián)網(wǎng)協(xié)議（Internet Protocol,簡稱IP)地址分 給不同的子VLAN (sub VLAN)，這些sub VLAN同屬于一個superVLAN，其中一個superVLAN中 的每個subVLAN之間都是獨立的廣播域，不同subVLAN之間二層相互隔離，當subVLAN內(nèi)的 用戶需要進行三層通信時，需要使用superVLAN的虛接口的IP地址作為網(wǎng)關(guān)地址。
[0003] 現(xiàn)有技術(shù)中，終端接入superVLAN時需要進行認證，superVLAN中的交換機會記錄 認證信息，例如終端的媒體介入控制層（Media Access Control,簡稱MAC)地址、IP地址 等。
[0004] 但是現(xiàn)有技術(shù)中，這些認證信息是存儲在交換機的交換芯片上的，而交換芯片作 為硬件芯片，其存儲空間有限，例如訪問控制實體（access control entry,簡稱ACE)芯片， 最多只能認證2048個用戶。在此基礎(chǔ)上，扁平化的superVLAN中只采用一個交換機來集 中處理終端認證，于是交換芯片的有限空間大大導(dǎo)致了認證信息容量受限，并且扁平化的 superVLAN中的終端遷移頻繁，從而導(dǎo)致頻繁的重認證，使現(xiàn)有交換機波動較大。


【發(fā)明內(nèi)容】

[0005] 本發(fā)明提供一種終端認證方法及交換機，用于解決現(xiàn)有技術(shù)中認證容量受限以及 終端遷移造成的頻繁重認證的問題。
[0006] 本發(fā)明實施例第一方面提供一種終端認證方法，包括：
[0007] 交換機接收終端發(fā)送的未認證報文，根據(jù)所述未認證報文獲取所述終端的第一網(wǎng) 絡(luò)信息，其中，所述第一網(wǎng)絡(luò)信息包括：所述終端的媒體介入控制層MAC地址、所述終端的 互聯(lián)網(wǎng)協(xié)議IP地址和所述終端所接入的超級虛擬局域網(wǎng)VLAN信息；
[0008] 所述交換機根據(jù)所述終端的MAC地址在所述交換機的MAC信息表中查找包括所述 MAC地址的表項；
[0009] 若查找到包括所述MAC地址的表項，則所述交換機確定所述終端為已認證終端；
[0010] 所述交換機判斷所述第一網(wǎng)絡(luò)信息中的所述終端所接入的超級VLAN信息是否屬 于預(yù)設(shè)遷移組，若是，則更新所述MAC信息表中包括所述MAC地址的表項，所述終端繼續(xù)作 為已認證終端，所述預(yù)設(shè)遷移組包括屬于所述預(yù)設(shè)遷移組的超級VLAN信息；
[0011] 其中，所述MAC信息表包括：終端的MAC地址、終端所接入的超級VLAN信息、靜態(tài) MAC地址標識、終端遷移記錄。
[0012] 本發(fā)明實施例第二方面提供一種交換機，包括：
[0013] 接收模塊，用于接收終端發(fā)送的未認證報文，根據(jù)所述未認證報文獲取所述終端 的第一網(wǎng)絡(luò)信息，其中，所述第一網(wǎng)絡(luò)信息包括：所述終端的媒體介入控制層MAC地址、所 述終端的互聯(lián)網(wǎng)協(xié)議IP地址和所述終端所接入的超級虛擬局域網(wǎng)VLAN信息；
[0014] 查找模塊，用于根據(jù)所述終端的MAC地址在所述交換機的MAC信息表中查找包括 所述MAC地址的表項；若查找到包括所述MAC地址的表項，則確定所述終端為已認證終端；
[0015] 判斷模塊，用于判斷所述第一網(wǎng)絡(luò)信息中的所述終端所接入的超級VLAN信息是 否屬于預(yù)設(shè)遷移組，若是，則更新所述MAC信息表中包括所述MAC地址的表項，所述終端繼 續(xù)作為已認證終端，所述預(yù)設(shè)遷移組包括屬于所述預(yù)設(shè)遷移組的超級VLAN信息；
[0016] 其中，所述MAC信息表包括：終端的MAC地址、終端所接入的超級VLAN信息、靜態(tài) MAC地址標識、終端遷移記錄。
[0017] 本發(fā)明實施例中，交換機接收到終端發(fā)送的未認證報文后，根據(jù)該未認證報文獲 取終端的第一網(wǎng)絡(luò)信息，并進一步根據(jù)第一網(wǎng)絡(luò)信息確定該終端是否為已認證終端，且該 終端所接入的超級VLAN信息是否屬于預(yù)設(shè)遷移組，在該終端為已認證終端且該終端所接 入的超級VLAN信息屬于預(yù)設(shè)遷移組的情況下，可以直接更新存儲認證信息的MAC信息表， 而無需該終端重新認證，這樣實現(xiàn)了，終端遷移時，只要MAC地址不變且超級VLAN、子VLAN、 該終端接入所述子VLAN的端口屬于預(yù)設(shè)遷移組就無需再重認證，大大減小了交換機的壓 力，另外，采用MAC信息表存儲認證信息可以大大提高認證信息的容量，解決了扁平化超級 VLAN中認證容量受限的問題。

【專利附圖】

【附圖說明】
[0018] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā) 明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以 根據(jù)這些附圖獲得其他的附圖。
[0019] 圖1為本發(fā)明提供的終端認證方法實施例一的流程示意圖；
[0020] 圖2為本發(fā)明提供的終端認證方法實施例二的預(yù)設(shè)遷移組示意圖；
[0021] 圖3為本發(fā)明提供的交換機實施例一的結(jié)構(gòu)示意圖；
[0022] 圖4為本發(fā)明提供的交換機實施例二的結(jié)構(gòu)示意圖；
[0023] 圖5為本發(fā)明提供的交換機實施例三的結(jié)構(gòu)示意圖。

【具體實施方式】
[0024] 為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例 中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例是 本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員 在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。
[0025] 本發(fā)明提供一種基于扁平化超級VLAN的終端認證方法和裝置，具體實施例如下 文所述。
[0026] 圖1為本發(fā)明提供的終端認證方法實施例一的流程示意圖，在該實施例中執(zhí)行主 體為交換機，如圖1所示，該實施例可以包括：
[0027] S101、交換機接收終端發(fā)送的未認證報文，根據(jù)該未認證報文獲取該終端第一網(wǎng) 絡(luò)信息。
[0028] 在步驟S101中，所述未認證報文可以是終端發(fā)送的任意報文，該未認證報文可能 是上述終端發(fā)生遷移后發(fā)送的。第一網(wǎng)絡(luò)信息包括：該終端的MAC地址、該終端的IP地址 和該終端所接入的超級VLAN信息。
[0029] 其中，該第一網(wǎng)絡(luò)信息中有終端不變的標識信息，例如終端的MAC地址，以及可能 隨著終端接入的VLAN發(fā)生變化的信息，例如，該終端所接入的超級VLAN信息。
[0030] 該終端所接入的超級VLAN信息可以包括：該終端所接入超級VLAN的標識、該終端 所接入子VLAN的標識以及該終端接入子VLAN的端口號。
[0031] 進一步地，superVLAN的標識可以是superVLAN的身份標識（Identity,簡稱ID)， sub VLAN的標識可以是sub VLAN的ID。
[0032] 需要說明的是，上述終端的MAC地址、該終端的IP地址、該終端所接入的子VLAN 的標識可以直接攜帶在上述未認證報文中，交換機根據(jù)子VLAN的標識以及交換機中存儲 的子VLAN和超級VLAN、端口號的映射關(guān)系就可以確定上述終端所接入的超級VLAN的標識、 終端接入上述sub VLAN的端口號。
[0033] S102、交換機根據(jù)上述終端的MAC地址在上述交換機的MAC信息表中查找包括上 述MAC地址的表項。
[0034] 交換機采用MAC信息表記錄認證終端的相關(guān)信息，該MAC信息表根據(jù)終端的認證 情況創(chuàng)建，并且該MAC信息表可以根據(jù)終端遷移情況進行更新。
[0035] 例如，MAC信息表包括：終端的MAC地址、終端所接入的超級VLAN信息、靜態(tài)MAC 地址標識、終端遷移記錄。
[0036] 可選的，具體建立MAC信息表時，還可以包括序列號和用戶名，一般地，一個終端 的用戶名是唯一的，序列號用于標識MAC信息表中不同的表項?？蓞⒄毡?的形式構(gòu)造 MAC 信息表，
[0037] 表 1
[0038]

【權(quán)利要求】
1. 一種終端認證方法，其特征在于，包括： 交換機接收終端發(fā)送的未認證報文，根據(jù)所述未認證報文獲取所述終端的第一網(wǎng)絡(luò)信 息，其中，所述第一網(wǎng)絡(luò)信息包括：所述終端的媒體介入控制層MAC地址、所述終端的互聯(lián) 網(wǎng)協(xié)議IP地址和所述終端所接入的超級虛擬局域網(wǎng)VLAN信息； 所述交換機根據(jù)所述終端的MAC地址在所述交換機的MAC信息表中查找包括所述MAC 地址的表項； 若查找到包括所述MAC地址的表項，則所述交換機確定所述終端為已認證終端； 所述交換機判斷所述第一網(wǎng)絡(luò)信息中的所述終端所接入的超級VLAN信息是否屬于預(yù) 設(shè)遷移組，若是，則更新所述MAC信息表中包括所述MAC地址的表項，所述終端繼續(xù)作為已 認證終端，所述預(yù)設(shè)遷移組包括屬于所述預(yù)設(shè)遷移組的超級VLAN信息； 其中，所述MAC信息表包括：終端的MAC地址、終端所接入的超級VLAN信息、靜態(tài)MAC 地址標識、終端遷移記錄。
2. 根據(jù)權(quán)利要求1所述的方法，其特征在于，還包括： 交換機接收所述終端發(fā)送的認證報文； 所述交換機根據(jù)所述認證報文獲取所述終端的第二網(wǎng)絡(luò)信息，將所述終端所述第二網(wǎng) 絡(luò)信息添加到所述交換機的MAC信息表中，其中，所述第二網(wǎng)絡(luò)信息包括：所述終端的MAC 地址、所述終端的IP地址和所述終端所接入的超級VLAN信息； 所述交換機在所述終端完成認證后，將所述MAC信息表中所述終端對應(yīng)的靜態(tài)MAC地 址標識設(shè)置為第一標識，所述第一標識用于指示所述終端在所述MAC信息表中對應(yīng)的表項 在所述終端認證下線后進行刪除。
3. 根據(jù)權(quán)利要求2所述的方法，其特征在于，所述交換機接收所述終端發(fā)送的認證報 文之后，還包括： 所述交換機獲取所述終端的IP地址，并將所述終端的IP地址添加到所述交換機中的 地址解析協(xié)議ARP信息表中，其中，所述ARP信息表包括：終端的MAC地址、終端的IP地址、 終端所接入的超級VLAN信息、靜態(tài)MAC地址標識、終端遷移記錄； 所述交換機在所述終端完成認證后，將所述ARP信息表中所述終端對應(yīng)的靜態(tài)MAC地 址標識設(shè)置為第二標識，所述第二標識用于指示所述終端在所述ARP信息表中對應(yīng)的表項 在所述終端認證下線后進行刪除。
4. 根據(jù)權(quán)利要求3所述的方法，其特征在于，所述交換機根據(jù)所述網(wǎng)絡(luò)信息判斷所述 終端屬于預(yù)設(shè)遷移組之后，還包括： 所述交換機更新所述ARP信息表中包括所述MAC地址的表項。
5. 根據(jù)權(quán)利要求4所述的方法，其特征在于，所述更新所述ARP信息表中包括所述MAC 地址的表項之后，還包括： 所述交換機根據(jù)所述ARP信息表，獲取預(yù)設(shè)時間段內(nèi)所述ARP信息表中所述終端遷移 記錄發(fā)生變化的表項； 所述交換機根據(jù)所述終端遷移記錄發(fā)生變化的表項構(gòu)造終端遷移表，其中所述終端遷 移表中包括終端遷移后所述終端所接入的超級VLAN信息以及所述終端的MAC地址、所述終 端的IP地址； 所述交換機將所述終端遷移表發(fā)送給遠端鑒權(quán)撥號用戶服務(wù)Radius服務(wù)器。
6. 根據(jù)權(quán)利要求1-5任一項所述的方法，其特征在于，所述終端所接入超級VLAN信息 包括：所述終端所接入超級VLAN的標識、所述終端所接入子VLAN的標識、所述終端接入子 VLAN的端口號。
7. -種交換機，其特征在于，包括： 接收模塊，用于接收終端發(fā)送的未認證報文，根據(jù)所述未認證報文獲取所述終端的第 一網(wǎng)絡(luò)信息，其中，所述第一網(wǎng)絡(luò)信息包括：所述終端的媒體介入控制層MAC地址、所述終 端的互聯(lián)網(wǎng)協(xié)議IP地址和所述終端所接入的超級虛擬局域網(wǎng)VLAN信息； 查找模塊，用于根據(jù)所述終端的MAC地址在所述交換機的MAC信息表中查找包括所述 MAC地址的表項；若查找到包括所述MAC地址的表項，則確定所述終端為已認證終端； 判斷模塊，用于判斷所述第一網(wǎng)絡(luò)信息中的所述終端所接入的超級VLAN信息是否屬 于預(yù)設(shè)遷移組，若是，則更新所述MAC信息表中包括所述MAC地址的表項，所述終端繼續(xù)作 為已認證終端，所述預(yù)設(shè)遷移組包括屬于所述預(yù)設(shè)遷移組的超級VLAN信息； 其中，所述MAC信息表包括：終端的MAC地址、終端所接入的超級VLAN信息、靜態(tài)MAC 地址標識、終端遷移記錄。
8. 根據(jù)權(quán)利要求7所述的交換機，其特征在于，還包括：獲取模塊和處理模塊； 所述接收模塊，還用于接收所述終端發(fā)送的認證報文； 所述獲取模塊，用于根據(jù)所述認證報文獲取所述終端的第二網(wǎng)絡(luò)信息，將所述終端所 述第二網(wǎng)絡(luò)信息添加到所述交換機的MAC信息表中，其中，所述第二網(wǎng)絡(luò)信息包括：所述終 端的MAC地址、所述終端的IP地址和所述終端所接入的超級VLAN信息； 所述處理模塊，用于在所述終端完成認證后，將所述MAC信息表中所述終端對應(yīng)的靜 態(tài)MAC地址標識設(shè)置為第一標識，所述第一標識用于指示所述終端在所述MAC信息表中對 應(yīng)的表項在所述終端認證下線后進行刪除。
9. 根據(jù)權(quán)利要求8所述的交換機，其特征在于，所述獲取模塊，還用于獲取所述終端的 IP地址，并將所述終端的IP地址添加到所述交換機中的地址解析協(xié)議ARP信息表中，其中， 所述ARP信息表包括：終端的MAC地址、終端的IP地址、終端所接入超級VLAN的標識、終端 所接入的超級VLAN信息、靜態(tài)MAC地址標識、終端遷移記錄； 所述處理模塊，還用于在所述終端完成認證后，將所述ARP信息表中所述終端對應(yīng)的 靜態(tài)MAC地址標識設(shè)置為第二標識，所述第二標識用于指示所述終端在所述ARP信息表中 對應(yīng)的表項在所述終端認證下線后進行刪除。
10. 根據(jù)權(quán)利要求9所述的交換機，其特征在于，所述判斷模塊，還用于在根據(jù)所述網(wǎng) 絡(luò)信息判斷所述終端屬于預(yù)設(shè)遷移組之后，更新所述ARP信息表中包括所述MAC地址的表 項。
11. 根據(jù)權(quán)利要求10所述的交換機，其特征在于，還包括：建表模塊和發(fā)送模塊； 所述獲取模塊，還用于根據(jù)所述ARP信息表，獲取預(yù)設(shè)時間段內(nèi)所述ARP信息表中所述 終端遷移記錄發(fā)生變化的表項； 所述建表模塊，用于根據(jù)所述終端遷移記錄發(fā)生變化的表項構(gòu)造終端遷移表，其中所 述終端遷移表中包括終端遷移后所述終端所接入的超級VLAN信息以及所述終端的MAC地 址、所述終端的IP地址； 所述發(fā)送模塊，用于將所述終端遷移表發(fā)送給遠端鑒權(quán)撥號用戶服務(wù)Radius服務(wù)器。
12.根據(jù)權(quán)利要求7-11任一項所述的交換機，其特征在于，所述終端所接入超級VLAN 信息包括：所述終端所接入超級VLAN的標識、所述終端所接入子VLAN的標識、所述終端接 入子VLAN的端口號。
【文檔編號】H04L29/12GK104144095SQ201410388955
【公開日】2014年11月12日 申請日期:2014年8月8日 優(yōu)先權(quán)日:2014年8月8日
【發(fā)明者】楊敬民 申請人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司