專利名稱:一種橋接設(shè)備轉(zhuǎn)發(fā)802.1x認(rèn)證報(bào)文的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及802.1X報(bào)文的傳輸���,特別是指一種橋接設(shè)備轉(zhuǎn)發(fā)802.1X認(rèn)證報(bào)文至與客戶端橋接相連的設(shè)備端����,觸發(fā)并完成802.1X認(rèn)證的方法��。
背景技術(shù):
IEEE 802.1X協(xié)議是一種基于端口的訪問控制協(xié)議(Port based networkaccess control protocol)����,是一種基于以太網(wǎng)技術(shù)的認(rèn)證協(xié)議�。802.1X以其協(xié)議安全�、實(shí)現(xiàn)簡(jiǎn)單的特點(diǎn)與其它認(rèn)證協(xié)議一起,給使用不對(duì)稱數(shù)字用戶線路(ADSL)�����、甚高速數(shù)字用戶線路(VDSL)�����、局域網(wǎng)(LAN)����、無線局域網(wǎng)(WLAN)等多種寬帶接入方式的用戶提供了豐富的認(rèn)證方式。
IEEE 802.1X系統(tǒng)的體系結(jié)構(gòu)及信息交換關(guān)系如圖1所示����,802.1X系統(tǒng)共有三個(gè)實(shí)體客戶端系統(tǒng)(Supplicant System)��、設(shè)備端系統(tǒng)(AuthenticatorSystem)�、認(rèn)證服務(wù)器系統(tǒng)(Authentication Server System)。在客戶端系統(tǒng)中進(jìn)一步包括客戶端端口狀態(tài)實(shí)體(PAE)����,在設(shè)備端系統(tǒng)中進(jìn)一步包括設(shè)備端系統(tǒng)提供的服務(wù)和設(shè)備端端口狀態(tài)實(shí)體�����,在認(rèn)證服務(wù)器系統(tǒng)中進(jìn)一步包括認(rèn)證服務(wù)器����;該認(rèn)證服務(wù)器與設(shè)備端的端口狀態(tài)實(shí)體相連��,通過擴(kuò)展認(rèn)證協(xié)議(EAP)來交換設(shè)備端和認(rèn)證服務(wù)器間的認(rèn)證信息�,客戶端的端口狀態(tài)實(shí)體直接連到局域網(wǎng)(LAN)上,設(shè)備端的服務(wù)和端口狀態(tài)實(shí)體分別通過受控端口(ControlledPort)和非受控端口連接于局域網(wǎng)上���,客戶端和設(shè)備端通過客戶端和設(shè)備端間的認(rèn)證協(xié)議(EAPoL)進(jìn)行通信����。其中���,Controlled Port負(fù)責(zé)控制網(wǎng)絡(luò)資源和業(yè)務(wù)的訪問��。
設(shè)備端系統(tǒng)通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備�����,如圖1所示��,設(shè)備端系統(tǒng)的內(nèi)部有兩個(gè)虛端口受控端口(Controlled Port)和非受控端口(Uncontrolled Port)�����,該非受控端口始終處于雙向連通狀態(tài)�����,主要用來傳遞EAPoL協(xié)議幀�����,可保證客戶端隨時(shí)發(fā)出EAPoL協(xié)議幀或接受認(rèn)證����;而受控端口只有在認(rèn)證通過,即授權(quán)的狀態(tài)下才打開�����,用于傳遞網(wǎng)絡(luò)資源和服務(wù)����,也就是說�����,在認(rèn)證未通過時(shí)該受控端口為未授權(quán)端口。受控端口可配置為雙向受控���、僅輸入受控兩種方式�,以適應(yīng)不同應(yīng)用環(huán)境的需要�。比如圖1中設(shè)備端系統(tǒng)的受控端口處于未認(rèn)證、未授權(quán)狀態(tài)�,此客戶端無法訪問設(shè)備端系統(tǒng)提供的服務(wù)。
802.1X系統(tǒng)中的認(rèn)證過程是由設(shè)備端接收客戶端的認(rèn)證信息�����,再將這些信息轉(zhuǎn)發(fā)給對(duì)應(yīng)的認(rèn)證服務(wù)器上進(jìn)行認(rèn)證�����。802.1X認(rèn)證通通常使用EAP認(rèn)證方式����,常用的EAP認(rèn)證方式有MD5、TLS�、OTP、SIM等等����?�;趫D1所示的結(jié)構(gòu)��,以EAP-MD5認(rèn)證方式為例�����,參見圖2所示�,其中��,接入服務(wù)器為設(shè)備端��,RADIUS服務(wù)器為認(rèn)證服務(wù)器����,實(shí)現(xiàn)802.1X認(rèn)證的過程具體包括以下步驟步驟201在客戶端與接入服務(wù)器之間建立好物理連接后,客戶端向接入服務(wù)器發(fā)送認(rèn)證起始報(bào)文EAPoL-Start���,觸發(fā)802.1X的認(rèn)證流程���。這里���,如果客戶端是動(dòng)態(tài)分配地址的���,認(rèn)證起始報(bào)文也可能是DHCP請(qǐng)求報(bào)文�����;如果客戶端是手工配置地址的����,認(rèn)證起始報(bào)文還可能是ARP請(qǐng)求報(bào)文���。
步驟202接入服務(wù)器收到認(rèn)證起始報(bào)文后����,向客戶端發(fā)送請(qǐng)求用戶名報(bào)文EAP-Request[Identity]�,請(qǐng)求用戶名。
步驟203客戶端回應(yīng)一個(gè)響應(yīng)用戶名報(bào)文EAP-Response[Identity]給接入服務(wù)器��,其中包括用戶名�。
步驟204接入服務(wù)器以EAPoR(EAP over RADIUS)的報(bào)文格式向RADIUS服務(wù)器發(fā)送接入請(qǐng)求報(bào)文Access-Request,將客戶端發(fā)給接入服務(wù)器的EAP-Response[Identity]報(bào)文透?jìng)鹘oRADIUS服務(wù)器���。
步驟205~206RADIUS服務(wù)器收到用戶名后�����,產(chǎn)生一個(gè)128bit的密鑰Challenge�;然后,發(fā)給接入服務(wù)器一個(gè)接入密碼請(qǐng)求報(bào)文Access-Challenge�����,其中含有請(qǐng)求用戶密碼報(bào)文EAP-Request[MD5 Challenge]和Challenge��。
步驟207接入服務(wù)器收到后��,發(fā)EAP-Request[MD5 Challenge]給客戶端��,將Challenge值發(fā)給客戶端����,并向客戶端進(jìn)行MD5質(zhì)詢。
步驟208客戶端收到EAP-Request[MD5 Challenge]報(bào)文后�,將用戶密碼和Challenge值做MD5算法后得到加密密碼,在響應(yīng)用戶密碼報(bào)文EAP-Response[MD5 Challenge]中發(fā)給接入服務(wù)器����。
步驟209接入服務(wù)器再將加密密碼通過Access-Request報(bào)文送到RADIUS服務(wù)器,由RADIUS服務(wù)器進(jìn)行認(rèn)證。
步驟210RADIUS服務(wù)器根據(jù)用戶信息判斷該用戶是否合法��,然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入服務(wù)器�。如果成功��,攜帶協(xié)商參數(shù)以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)���。
步驟211~212接入服務(wù)器根據(jù)認(rèn)證結(jié)果�����,給客戶端回應(yīng)認(rèn)證成功/失敗報(bào)文EAP-Success/EAP-Failure����,通知用戶認(rèn)證結(jié)果�。如果認(rèn)證失敗,則結(jié)束此流程�����;否則�����,如果客戶端是動(dòng)態(tài)分配地址的則通過DHCP進(jìn)行地址分配,然后進(jìn)行授權(quán)��、計(jì)費(fèi)等后續(xù)流程��。
在客戶端和設(shè)備端之間實(shí)現(xiàn)信息交互時(shí)�,按照802.1X標(biāo)準(zhǔn)規(guī)定當(dāng)客戶端知道設(shè)備端時(shí),使用設(shè)備端的單播介質(zhì)訪問控制(MAC)地址發(fā)送EAPoL報(bào)文����;當(dāng)客戶端不知道設(shè)備端時(shí),使用多播MAC地址01-80-C2-00-00-03組地址發(fā)送EAPoL報(bào)文���。而該多播MAC地址01-80-C2-00-00-03屬于802.1D標(biāo)準(zhǔn)中所規(guī)定的不能被橋所中繼的MAC地址�����,因此��,802.1X標(biāo)準(zhǔn)建議802.1X認(rèn)證一般在最接近用戶的設(shè)備上實(shí)現(xiàn)���,即在802.1X認(rèn)證前不經(jīng)過橋接設(shè)備。
圖3所示為常用的以太網(wǎng)組網(wǎng)方式��,其中����,可采用有線以太網(wǎng)技術(shù)���,每臺(tái)個(gè)人計(jì)算機(jī)(PC)中的網(wǎng)卡和以太網(wǎng)交換機(jī)(LAN Switch)通過網(wǎng)線相連,一個(gè)LAN Switch可同時(shí)連接多個(gè)PC機(jī)�����,LAN Switch通過以太網(wǎng)線路接到核心網(wǎng)中���,所說的核心網(wǎng)可以是企業(yè)局域網(wǎng)、城域網(wǎng)等等����;也可采用無線局域網(wǎng)技術(shù),利用每臺(tái)PC機(jī)中的無線網(wǎng)卡與無線接入點(diǎn)(AP)相連��,一個(gè)AP可同時(shí)連接多個(gè)PC機(jī)��,同樣�����,AP也通過以太網(wǎng)線路接到核心網(wǎng)中���。
圖3只是以太網(wǎng)組網(wǎng)的一個(gè)具體實(shí)例�,在實(shí)際組網(wǎng)中,可有多種組網(wǎng)結(jié)構(gòu)�。對(duì)于有線連接方式,PC機(jī)可以直接接在LAN Switch上�����,也可以通過HUB���、LANSwitch等設(shè)備級(jí)聯(lián)到LAN Switch上����,還可以通過VDSL和VDSL交換機(jī)(VDSLSwitch)相連�,其中在VDSL線路中傳遞的是以太網(wǎng)格式的報(bào)文。在無線局域網(wǎng)中���,可使用但不限于802.11�、802.11a���、802.11b���、802.11g等無線以太網(wǎng)協(xié)議來連接PC機(jī)和AP���,PC機(jī)也可以通過ADSL設(shè)備連接到網(wǎng)絡(luò)中?��?梢?��,PC機(jī)可以通過但不限于LAN Switch、AP�����、VDSL���、ADSL等方式接入網(wǎng)絡(luò),并且通過網(wǎng)絡(luò)中的認(rèn)證服務(wù)器����,如RADIUS服務(wù)器,對(duì)其進(jìn)行合法性認(rèn)證����,來驗(yàn)證當(dāng)前用戶的身份是否合法,是否允許其接入網(wǎng)絡(luò)����。
基于以上所述的以太網(wǎng)組網(wǎng)結(jié)構(gòu)����,按802.1X標(biāo)準(zhǔn)的建議�����,802.1X認(rèn)證就應(yīng)該在LAN Switch和AP上實(shí)現(xiàn)����。在LAN Switch和AP上實(shí)現(xiàn)對(duì)小規(guī)模網(wǎng)絡(luò)中用戶的認(rèn)證完全沒有問題,但對(duì)于規(guī)模龐大的大型網(wǎng)絡(luò)��,如圖4所示的中大型企業(yè)網(wǎng)或運(yùn)營(yíng)商網(wǎng)絡(luò)��,在圖4中��,PC機(jī)通過網(wǎng)卡或無線網(wǎng)卡分別與LANSwitch或AP相連����,LAN Switch或AP再通過以太網(wǎng)線路連接在接入控制設(shè)備上,這里所說的接入控制設(shè)備包括但不限于具有用戶管理功能的LAN Switch��、或路由器���、或?qū)尤粨Q機(jī)(L3)���、或?qū)拵Ы尤敕?wù)器(BAS)等等���,若干個(gè)接入控制設(shè)備形成邊緣匯聚層。
在圖4所示的網(wǎng)絡(luò)中���,如果在所有最接近用戶的設(shè)備上實(shí)現(xiàn)認(rèn)證�,由于這類設(shè)備的數(shù)量太大���,設(shè)備成本����、運(yùn)營(yíng)維護(hù)費(fèi)用將會(huì)非常巨大����,因此�����,此種情況下一般是在網(wǎng)絡(luò)的邊緣匯聚層中進(jìn)行認(rèn)證���。換句話說就是�����,對(duì)于802.1X認(rèn)證而言�����,如果在邊緣匯聚層中進(jìn)行802.1X認(rèn)證���,圖4中的PC機(jī)相當(dāng)于客戶端�,邊緣匯聚層中的接入控制設(shè)備相當(dāng)于設(shè)備端���,那么�����,客戶端向設(shè)備端傳送的802.1X認(rèn)證報(bào)文需要經(jīng)過橋接設(shè)備轉(zhuǎn)發(fā)�����。
由于在每個(gè)橋接設(shè)備�����,如交換機(jī)的底層都設(shè)置有MAC地址表�,該表中規(guī)定了對(duì)經(jīng)過本設(shè)備的、MAC地址不同的傳輸報(bào)文應(yīng)該如何處理��。因此��,目前客戶端與設(shè)備端之間的橋接設(shè)備�����,也就是最接近用戶的設(shè)備與接入控制設(shè)備之間的所有橋接設(shè)備��,對(duì)所接收到報(bào)文的處理過程是這樣的橋接設(shè)備收到新的報(bào)文后�����,先查詢底層的MAC地址表�����,該表中給出了對(duì)于每個(gè)或每組目標(biāo)MAC地址的處理方式�,如果判斷出該新報(bào)文的目標(biāo)組地址為01-80-C2-00-00-03組地址����,則將該新報(bào)文由本設(shè)備的上層實(shí)體進(jìn)行處理�����,而不傳送給下一層設(shè)備����。
根據(jù)802.1D和802.1X標(biāo)準(zhǔn)的規(guī)定����,用于802.1X認(rèn)證的多播報(bào)文正是采用該多播MAC地址發(fā)送���,那么�����,按照上述處理過程��,802.1X認(rèn)證報(bào)文將無法透過客戶端與設(shè)備端之間的所有橋接設(shè)備�����,因此也無法轉(zhuǎn)發(fā)到接入控制設(shè)備上���,進(jìn)而不能觸發(fā)接入控制設(shè)備上的802.1X認(rèn)證���,所以,現(xiàn)有的運(yùn)營(yíng)網(wǎng)絡(luò)中無法開展802.1X認(rèn)證業(yè)務(wù)��。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的主要目的在于提供一種橋接設(shè)備轉(zhuǎn)發(fā)802.1X認(rèn)證報(bào)文的方法�����,使得802.1X認(rèn)證報(bào)文能通過所有橋接設(shè)備轉(zhuǎn)發(fā)�,進(jìn)而在與客戶端橋接相連的設(shè)備端上觸發(fā)802.1X認(rèn)證�,使運(yùn)營(yíng)網(wǎng)絡(luò)能夠開展802.1X認(rèn)證業(yè)務(wù)。
為達(dá)到上述目的���,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種橋接設(shè)備轉(zhuǎn)發(fā)802.1X認(rèn)證報(bào)文的方法�,當(dāng)需要進(jìn)行802.1X認(rèn)證的802.1X客戶端經(jīng)過橋接設(shè)備向其對(duì)應(yīng)的設(shè)備端發(fā)送802.1X認(rèn)證報(bào)文時(shí)�,關(guān)鍵在于,對(duì)于不支持802.1X認(rèn)證報(bào)文透?jìng)鞯臉蚪釉O(shè)備�����,該方法包括當(dāng)前橋接設(shè)備接收到每個(gè)經(jīng)過自身的報(bào)文后���,先判斷當(dāng)前報(bào)文是否為802.1X認(rèn)證報(bào)文�,如果不是��,則根據(jù)橋接設(shè)備中已有的底層MAC地址表內(nèi)設(shè)置的處理方式對(duì)當(dāng)前報(bào)文進(jìn)行處理���;否則��,橋接設(shè)備根據(jù)配置參數(shù)設(shè)定的報(bào)文轉(zhuǎn)換方式�����,對(duì)當(dāng)前的802.1X認(rèn)證報(bào)文進(jìn)行轉(zhuǎn)換處理�����,然后將經(jīng)過轉(zhuǎn)換處理的報(bào)文發(fā)送至下一層設(shè)備�。
上述過程中��,所述橋接設(shè)備根據(jù)配置參數(shù)設(shè)定方式對(duì)802.1X認(rèn)證報(bào)文進(jìn)行轉(zhuǎn)換處理進(jìn)一步包括橋接設(shè)備根據(jù)配置參數(shù)判斷當(dāng)前所采用的報(bào)文轉(zhuǎn)換方式�����,如果為改變報(bào)文處理流程方式,則橋接設(shè)備將對(duì)當(dāng)前802.1X認(rèn)證報(bào)文的處理方式改為透?jìng)鳟?dāng)前報(bào)文�����;如果為轉(zhuǎn)換報(bào)文傳輸?shù)刂贩绞?����,則橋接設(shè)備根據(jù)配置參數(shù)將傳輸當(dāng)前802.1X認(rèn)證報(bào)文的介質(zhì)訪問控制(MAC)地址替換為指定的多播MAC地址�。
所述橋接設(shè)備將802.1X認(rèn)證報(bào)文處理方式改為透?jìng)魇菢蚪釉O(shè)備將自身底層MAC地址表中對(duì)發(fā)送802.1X認(rèn)證報(bào)文的01-80-C2-00-00-03組地址的處理方式改為透?jìng)鳟?dāng)前報(bào)文?�;蚴?�,橋接設(shè)備將自身上層實(shí)體中預(yù)先設(shè)定的對(duì)802.1X認(rèn)證報(bào)文的傳輸方式改為透?jìng)鳟?dāng)前報(bào)文�����。
所述橋接設(shè)備替換當(dāng)前傳輸802.1X認(rèn)證報(bào)文MAC地址為將當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址替換為01-80-C2-00-00-00到01-80-C2-00-00-0F組地址以外的任意一個(gè)多播MAC地址�。該替換地址可為01-80-C2-00-00-20到01-80-C2-00-00-2F組地址中的任意一個(gè)。
或是����,將當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址替換為廣播MAC地址。該方法進(jìn)一步包括在802.1X認(rèn)證報(bào)文中設(shè)置一個(gè)控制802.1X認(rèn)證報(bào)文廣播范圍的虛擬局域網(wǎng)標(biāo)識(shí)�。該方法還包括在橋接設(shè)備所屬的網(wǎng)絡(luò)中�,采用生成樹協(xié)議(STP)對(duì)802.1X認(rèn)證報(bào)文的傳輸進(jìn)行管理�。
或是,將當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址替換為能導(dǎo)致廣播方式的單播MAC地址��。
或是�����,將當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址替換為當(dāng)前橋接設(shè)備與設(shè)備端通過協(xié)議交互協(xié)商確定的設(shè)備端單播MAC地址���。其中,當(dāng)前橋接設(shè)備可通過動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)與設(shè)備端交互協(xié)商確定設(shè)備端單播MAC地址����。
上述方法進(jìn)一步包括通過配置命令、或開關(guān)控制����、或兩者的組合確定每個(gè)橋接設(shè)備當(dāng)前要替換的傳輸802.1X認(rèn)證報(bào)文的MAC地址。
因此�����,本發(fā)明所提供的橋接設(shè)備轉(zhuǎn)發(fā)802.1X認(rèn)證報(bào)文的方法�����,在客戶端與設(shè)備端之間的橋接設(shè)備上,通過各種方式轉(zhuǎn)換傳送802.1X認(rèn)證報(bào)文的MAC地址���,或改變對(duì)現(xiàn)有MAC多播地址傳送802.1X認(rèn)證報(bào)文的處理方式�����,使802.1X認(rèn)證報(bào)文能由所經(jīng)過的橋接設(shè)備轉(zhuǎn)發(fā)�,從而使客戶端發(fā)送的802.1X認(rèn)證報(bào)文能夠透過橋接設(shè)備在設(shè)備端觸發(fā)并進(jìn)一步完成802.1X認(rèn)證過程�����,如此��,可支持在現(xiàn)有運(yùn)營(yíng)網(wǎng)絡(luò)中開展802.1X認(rèn)證業(yè)務(wù)�,為用戶提供更多更好、質(zhì)量更高的服務(wù)���。同時(shí)����,這種方法使802.1X認(rèn)證在邊緣匯聚層上實(shí)現(xiàn)成為可能���,進(jìn)而可降低設(shè)備成本���,減少網(wǎng)絡(luò)的運(yùn)營(yíng)和維護(hù)費(fèi)用�。
圖1為802.1X系統(tǒng)的體系結(jié)構(gòu)及信息交換關(guān)系示意圖����;圖2為802.1X系統(tǒng)中EAP-MD5認(rèn)證過程的信令交互示意圖;圖3為常用小型以太網(wǎng)組網(wǎng)方式的結(jié)構(gòu)示意圖�;圖4為常用大型企業(yè)網(wǎng)或運(yùn)營(yíng)網(wǎng)絡(luò)的組網(wǎng)結(jié)構(gòu)示意圖����;圖5為本發(fā)明實(shí)現(xiàn)的流程圖。
具體實(shí)施例方式
本發(fā)明的核心思想就是當(dāng)客戶端與設(shè)備端通過橋接設(shè)備相連時(shí)���,由橋接設(shè)備將所有802.1X認(rèn)證報(bào)文的MAC地址轉(zhuǎn)換為所有橋接設(shè)備能轉(zhuǎn)發(fā)的MAC地址�����,該橋接設(shè)備可根據(jù)自身對(duì)報(bào)文的處理過程或802.1X認(rèn)證報(bào)文的傳輸過程�����,對(duì)所收到的802.1X認(rèn)證報(bào)文的MAC地址進(jìn)行相應(yīng)的轉(zhuǎn)換���,然后再將轉(zhuǎn)換后的802.1X認(rèn)證報(bào)文向下一層設(shè)備發(fā)送����。在此過程中����,如果當(dāng)前的橋接設(shè)備支持802.1X認(rèn)證,則要關(guān)閉該設(shè)備的802.1X認(rèn)證功能�����,并由該設(shè)備將802.1X認(rèn)證報(bào)文轉(zhuǎn)發(fā)給下一層設(shè)備����。
因?yàn)榭蛻舳伺c設(shè)備端之間可能存在多個(gè)橋接設(shè)備,且有的橋接設(shè)備本身具有透?jìng)?02.1X認(rèn)證報(bào)文能力���,那么��,本發(fā)明所指的完成報(bào)文轉(zhuǎn)換的橋接設(shè)備將分為三種情況1)客戶端與設(shè)備端之間的所有橋接設(shè)備都進(jìn)行802.1X報(bào)文轉(zhuǎn)換操作����;2)客戶端與設(shè)備端之間不具備透?jìng)?02.1X認(rèn)證報(bào)文能力的橋接設(shè)備都進(jìn)行802.1X報(bào)文轉(zhuǎn)換操作;3)由與客戶端相連的第一個(gè)不能透?jìng)?02.1X認(rèn)證報(bào)文的橋接設(shè)備完成802.1X報(bào)文轉(zhuǎn)換操作����,其余后續(xù)的橋接設(shè)備直接轉(zhuǎn)發(fā)已轉(zhuǎn)換的報(bào)文。在第二和第三種情況下���,具體哪個(gè)橋接設(shè)備需要進(jìn)行報(bào)文轉(zhuǎn)換操作是由系統(tǒng)通過配置命令或配置參數(shù)設(shè)定���,且該配置可以動(dòng)態(tài)更新。
對(duì)于每個(gè)橋接設(shè)備而言�,根據(jù)報(bào)文在橋接設(shè)備中的處理過程和發(fā)送特點(diǎn),具體的報(bào)文轉(zhuǎn)換又可以包括兩種實(shí)現(xiàn)方式1)通過改變橋接設(shè)備內(nèi)部的報(bào)文處理過程來實(shí)現(xiàn)�����;2)通過改變當(dāng)前802.1X認(rèn)證報(bào)文的傳輸MAC地址來實(shí)現(xiàn)�����。
對(duì)于第一種方式����,具體有兩種實(shí)現(xiàn)方案1)改變底層MAC地址表中的配置���,即將表中01-80-C2-00-00-03組地址對(duì)應(yīng)的處理方式由本機(jī)上層實(shí)體處理改為透?jìng)鳟?dāng)前報(bào)文�����,即直接向下一層設(shè)備轉(zhuǎn)發(fā)���,那么��,當(dāng)橋接設(shè)備收到新報(bào)文查詢MAC地址表時(shí)����,就會(huì)根據(jù)MAC地址表中規(guī)定的處理方式�,直接將該802.1X認(rèn)證報(bào)文轉(zhuǎn)發(fā)給下一層設(shè)備。
2)改變當(dāng)前橋接設(shè)備中上層實(shí)體的處理���,具體地說就是預(yù)先在上層實(shí)體中設(shè)定對(duì)于01-80-C2-00-00-03組地址的802.1X認(rèn)證報(bào)文進(jìn)行透?jìng)魈幚?��,即直接向下一層設(shè)備轉(zhuǎn)發(fā),那么����,當(dāng)前橋接設(shè)備收到新報(bào)文后,查詢MAC地址表�,根據(jù)表中規(guī)定的處理方式���,將該新報(bào)文發(fā)送給本設(shè)備的上層實(shí)體進(jìn)行處理,上層實(shí)體根據(jù)預(yù)先的設(shè)定即將該802.1X認(rèn)證報(bào)文向下一層設(shè)備轉(zhuǎn)發(fā)��。
對(duì)于第二種方式���,具體有四種實(shí)現(xiàn)方案a)直接將傳輸802.1X認(rèn)證報(bào)文的多播地址轉(zhuǎn)換為01-80-C2-00-00-00到01-80-C2-00-00-0F以外的多播地址����,在可選用為轉(zhuǎn)換MAC地址的多播地址中也包括01-80-C2-00-00-20到01-80-C2-00-00-2F的多播組地址�。
b)將傳輸802.1X認(rèn)證報(bào)文的多播MAC地址轉(zhuǎn)換為廣播MAC地址,因?yàn)樵谝蕴W(wǎng)中�����,廣播地址可以透?jìng)鬟^所有的交換機(jī)�����,到達(dá)接入控制設(shè)備�����。
在本方案中��,由于使用廣播地址可能形成廣播報(bào)文�,可能會(huì)產(chǎn)生廣播風(fēng)暴。為了避免廣播風(fēng)暴的產(chǎn)生�����,可在802.1X規(guī)定的報(bào)文格式基礎(chǔ)上����,增加一個(gè)虛擬局域網(wǎng)標(biāo)識(shí)(VLAN tag),使當(dāng)前的802.1X認(rèn)證報(bào)文只在指定的VLAN中廣播�,而不會(huì)廣播到整個(gè)以太網(wǎng)絡(luò)中。另外�����,如果橋接設(shè)備所屬的網(wǎng)絡(luò)����,比如由交換機(jī)組成的網(wǎng)絡(luò)中存在環(huán)網(wǎng),則采用生成樹協(xié)議(STP)對(duì)網(wǎng)絡(luò)中的報(bào)文傳輸進(jìn)行管理��,以防止802.1X認(rèn)證報(bào)文出現(xiàn)環(huán)路��。
c)將傳輸802.1X認(rèn)證報(bào)文的多播地址轉(zhuǎn)換為一個(gè)可能導(dǎo)致廣播的單播地址�,因?yàn)樵谝蕴W(wǎng)中�����,如果以太網(wǎng)交換機(jī)收到一個(gè)單播MAC地址報(bào)文后����,發(fā)現(xiàn)本交換機(jī)上沒有對(duì)應(yīng)該單播目的MAC地址的信息�����,則向非本端口或非本VLAN廣播此單播報(bào)文����,該類單播地址被視為可能導(dǎo)致廣播的單播地址?����?梢灶A(yù)先確定一個(gè)導(dǎo)致廣播的單播地址���,也可以先設(shè)定一段可能導(dǎo)致廣播的單播地址范圍���,每次從該范圍內(nèi)任選一個(gè)來傳輸802.1X認(rèn)證報(bào)文�����。
d)由于有明確單播MAC地址為目的地址的報(bào)文可直接透?jìng)髦聊康脑O(shè)備上,因此����,可預(yù)先通過橋接設(shè)備和設(shè)備端之間的協(xié)商確定要轉(zhuǎn)換的MAC地址,該配置協(xié)商可通過某種已有協(xié)議或新協(xié)議在802.1X認(rèn)證前進(jìn)行��,也就是說���,先通過某種選定的協(xié)議進(jìn)行認(rèn)證前的交互���,使得橋接設(shè)備能先獲得設(shè)備端的MAC地址,然后�����,橋接設(shè)備直接將當(dāng)前發(fā)送802.1X認(rèn)證報(bào)文的MAC地址轉(zhuǎn)換為所獲取的單播MAC地址����,這里所述的可用協(xié)議包括但不限于動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)。
對(duì)于上述六種報(bào)文轉(zhuǎn)換方式����,具體采用何種方式以及選用哪個(gè)目的MAC地址可通過配置命令在橋接設(shè)備上預(yù)先設(shè)定���,然后,橋接設(shè)備在按確定好的方式和配置好的目的MAC地址轉(zhuǎn)發(fā)802.1X認(rèn)證報(bào)文���,這樣就可使802.1X認(rèn)證報(bào)文一直透?jìng)鞯浇尤肟刂圃O(shè)備�,觸發(fā)接入控制設(shè)備上的802.1X認(rèn)證�,并完成802.1X認(rèn)證流程。這里����,報(bào)文的轉(zhuǎn)換處理可由硬件功能、或CPU�、或配置數(shù)據(jù)庫(kù)中的信息單獨(dú)實(shí)現(xiàn);或由硬件功能和配置數(shù)據(jù)庫(kù)中信息配合完成����;或由CPU和配置數(shù)據(jù)庫(kù)中信息配合完成。
在實(shí)際應(yīng)用過程中���,如果客戶端與設(shè)備端之間有多個(gè)橋接設(shè)備需要完成報(bào)文轉(zhuǎn)換操作��,那么�,每個(gè)橋接設(shè)備可任意的選用其中一種實(shí)現(xiàn)方案,多個(gè)橋接設(shè)備可以使用相同的實(shí)現(xiàn)方案�,或分別使用不同的實(shí)現(xiàn)方案都可以,只要能完成客戶端到設(shè)備端802.1X認(rèn)證報(bào)文的轉(zhuǎn)發(fā)即可�。另外����,在整個(gè)認(rèn)證過程中,同一橋接設(shè)備在802.1X初始認(rèn)證過程和重認(rèn)證過程中也可分別使用不同的報(bào)文轉(zhuǎn)換方案�。其中,每個(gè)橋接設(shè)備采用何種報(bào)文轉(zhuǎn)換的實(shí)現(xiàn)方案可通過配置命令�����、或開關(guān)控制���、或兩者的組合來設(shè)定���。
基于上述分析,當(dāng)某個(gè)需要進(jìn)行802.1X認(rèn)證的客戶端經(jīng)過橋接設(shè)備向其對(duì)應(yīng)的設(shè)備端發(fā)送認(rèn)證報(bào)文時(shí)���,如圖5中步驟501~步驟508所示���,本發(fā)明中某個(gè)橋接設(shè)備轉(zhuǎn)發(fā)802.1X認(rèn)證報(bào)文的基本實(shí)現(xiàn)過程是這樣的當(dāng)前橋接設(shè)備接收到每個(gè)經(jīng)過自身的報(bào)文后,先判斷當(dāng)前報(bào)文是否為802.1X認(rèn)證報(bào)文�,如果不是���,則根據(jù)橋接設(shè)備中已有的底層MAC地址表內(nèi)設(shè)置的處理方式對(duì)當(dāng)前報(bào)文進(jìn)行處理;否則���,橋接設(shè)備根據(jù)配置參數(shù)判斷使用何種報(bào)文轉(zhuǎn)換方式�����,如果是改變報(bào)文處理過程�����,則橋接設(shè)備將自身底層MAC地址表或上層實(shí)體對(duì)802.1X認(rèn)證報(bào)文的處理方式改為透?jìng)?����,然后將?dāng)前收到的802.1X認(rèn)證報(bào)文直接發(fā)送至下一層設(shè)備�����;如果是轉(zhuǎn)換報(bào)文的傳輸?shù)刂?,則再根據(jù)配置參數(shù)將傳輸當(dāng)前802.1X認(rèn)證報(bào)文的MAC地址替換為指定的多播MAC地址���,然后將經(jīng)過MAC地址轉(zhuǎn)換的報(bào)文發(fā)送至下一層設(shè)備���。比如交換機(jī)對(duì)當(dāng)前的802.1X認(rèn)證報(bào)文按指定方式進(jìn)行轉(zhuǎn)換�����,然后將轉(zhuǎn)換后的報(bào)文轉(zhuǎn)發(fā)給接入控制設(shè)備。
其中���,橋接設(shè)備接收?qǐng)?bào)文后�����,可由其內(nèi)部的特定用途集成電路(ASIC)直接處理�����,也可以由其內(nèi)部的ASIC轉(zhuǎn)發(fā)給CPU��,由CPU對(duì)報(bào)文進(jìn)行處理����。這里所述的處理就是指對(duì)普通的接收?qǐng)?bào)文按現(xiàn)有技術(shù)的處理過程完成相應(yīng)的操作����;對(duì)所接收到的802.1X認(rèn)證報(bào)文���,按設(shè)定的轉(zhuǎn)換方式進(jìn)行報(bào)文轉(zhuǎn)換后轉(zhuǎn)發(fā)給下一層設(shè)備。同樣���,轉(zhuǎn)換后的報(bào)文可由橋接設(shè)備內(nèi)部的ASIC發(fā)送��,也可以由CPU發(fā)送��。
以上所述�,僅為本發(fā)明的較佳實(shí)施例而已�����,并非用來限定本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1.一種橋接設(shè)備轉(zhuǎn)發(fā)802.1X認(rèn)證報(bào)文的方法,當(dāng)需要進(jìn)行802.1X認(rèn)證的802.1X客戶端經(jīng)過橋接設(shè)備向其對(duì)應(yīng)的設(shè)備端發(fā)送802.1X認(rèn)證報(bào)文時(shí)����,其特征在于,對(duì)于不支持802.1X認(rèn)證報(bào)文透?jìng)鞯臉蚪釉O(shè)備���,該方法包括當(dāng)前橋接設(shè)備接收到每個(gè)經(jīng)過自身的報(bào)文后���,先判斷當(dāng)前報(bào)文是否為802.1X認(rèn)證報(bào)文�,如果不是�,則根據(jù)橋接設(shè)備中已有的底層MAC地址表內(nèi)設(shè)置的處理方式對(duì)當(dāng)前報(bào)文進(jìn)行處理;否則��,橋接設(shè)備根據(jù)配置參數(shù)設(shè)定的報(bào)文轉(zhuǎn)換方式���,對(duì)當(dāng)前的802.1X認(rèn)證報(bào)文進(jìn)行轉(zhuǎn)換處理����,然后將經(jīng)過轉(zhuǎn)換處理的報(bào)文發(fā)送至下一層設(shè)備�����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述橋接設(shè)備根據(jù)配置參數(shù)設(shè)定的報(bào)文轉(zhuǎn)換方式對(duì)802.1X認(rèn)證報(bào)文進(jìn)行轉(zhuǎn)換處理進(jìn)一步包括橋接設(shè)備根據(jù)配置參數(shù)判斷當(dāng)前所采用的報(bào)文轉(zhuǎn)換方式,如果為改變報(bào)文處理流程方式���,則橋接設(shè)備將對(duì)當(dāng)前802.1X認(rèn)證報(bào)文的處理方式改為透?jìng)鳟?dāng)前報(bào)文�����;如果為轉(zhuǎn)換報(bào)文傳輸?shù)刂贩绞?����,則橋接設(shè)備根據(jù)配置參數(shù)將傳輸當(dāng)前802.1X認(rèn)證報(bào)文的介質(zhì)訪問控制(MAC)地址替換為指定的多播MAC地址����。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于�����,所述橋接設(shè)備將802.1X認(rèn)證報(bào)文處理方式改為透?jìng)魇菢蚪釉O(shè)備將自身底層MAC地址表中對(duì)發(fā)送802.1X認(rèn)證報(bào)文的01-80-C2-00-00-03組地址的處理方式改為透?jìng)鳟?dāng)前報(bào)文��。
4.根據(jù)權(quán)利要求2所述的方法���,其特征在于�����,所述橋接設(shè)備將802.1X認(rèn)證報(bào)文處理方式改為透?jìng)魇菢蚪釉O(shè)備將自身上層實(shí)體中預(yù)先設(shè)定的對(duì)802.1X認(rèn)證報(bào)文的傳輸方式改為透?jìng)鳟?dāng)前報(bào)文��。
5.根據(jù)權(quán)利要求2所述的方法���,其特征在于�����,所述橋接設(shè)備替換當(dāng)前傳輸802.1X認(rèn)證報(bào)文MAC地址為將當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址替換為01-80-C2-00-00-00到01-80-C2-00-00-0F組地址以外的任意一個(gè)多播MAC地址�����。
6.根據(jù)權(quán)利要求5所述的方法���,其特征在于,所述橋接設(shè)備替換當(dāng)前傳輸802.1X認(rèn)證報(bào)文MAC地址為將當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址替換為01-80-C2-00-00-20到01-80-C2-00-00-2F組地址中的任意一個(gè)�。
7.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,所述橋接設(shè)備替換當(dāng)前傳輸802.1X認(rèn)證報(bào)文MAC地址為將當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址替換為廣播MAC地址����。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于該方法進(jìn)一步包括在802.1X認(rèn)證報(bào)文中設(shè)置一個(gè)控制802.1X認(rèn)證報(bào)文廣播范圍的虛擬局域網(wǎng)標(biāo)識(shí)����。
9.根據(jù)權(quán)利要求7所述的方法,其特征在于該方法進(jìn)一步包括在橋接設(shè)備所屬的網(wǎng)絡(luò)中�����,采用生成樹協(xié)議(STP)對(duì)802.1X認(rèn)證報(bào)文的傳輸進(jìn)行管理�。
10.根據(jù)權(quán)利要求2所述的方法,其特征在于��,所述橋接設(shè)備替換當(dāng)前傳輸802.1X認(rèn)證報(bào)文MAC地址為將當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址替換為能導(dǎo)致廣播方式的單播MAC地址�。
11.根據(jù)權(quán)利要求2所述的方法,其特征在于���,所述橋接設(shè)備替換當(dāng)前傳輸802.1X認(rèn)證報(bào)文MAC地址為將當(dāng)前傳輸802.1X認(rèn)證報(bào)文的MAC地址替換為當(dāng)前橋接設(shè)備與設(shè)備端通過協(xié)議交互協(xié)商確定的設(shè)備端單播MAC地址��。
12.根據(jù)權(quán)利要求11所述的方法��,其特征在于所述當(dāng)前橋接設(shè)備通過動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)與設(shè)備端交互協(xié)商確定設(shè)備端單播MAC地址��。
13.根據(jù)權(quán)利要求2所述的方法����,其特征在于該方法進(jìn)一步包括通過配置命令、或開關(guān)控制�、或兩者的組合確定每個(gè)橋接設(shè)備當(dāng)前要替換的傳輸802.1X認(rèn)證報(bào)文的MAC地址。
全文摘要
本發(fā)明公開了一種橋接設(shè)備轉(zhuǎn)發(fā)802.1X認(rèn)證報(bào)文的方法�����,當(dāng)需要進(jìn)行802.1X認(rèn)證的802.1X客戶端經(jīng)過橋接設(shè)備向其對(duì)應(yīng)的設(shè)備端發(fā)送802.1X認(rèn)證報(bào)文時(shí)�����,關(guān)鍵是�,對(duì)于不支持802.1X認(rèn)證報(bào)文透?jìng)鞯臉蚪釉O(shè)備,該方法包括當(dāng)前橋接設(shè)備接收到每個(gè)經(jīng)過自身的報(bào)文后����,先判斷當(dāng)前報(bào)文是否為802.1X認(rèn)證報(bào)文,如果不是�,則根據(jù)橋接設(shè)備中已有的底層MAC地址表內(nèi)設(shè)置的處理方式對(duì)當(dāng)前報(bào)文進(jìn)行處理;否則�����,橋接設(shè)備根據(jù)配置參數(shù)設(shè)定的報(bào)文轉(zhuǎn)換方式�����,對(duì)當(dāng)前的802.1X認(rèn)證報(bào)文進(jìn)行轉(zhuǎn)換處理���,然后將經(jīng)過轉(zhuǎn)換處理的報(bào)文發(fā)送至下一層設(shè)備�����。采用該方法可使802.1X認(rèn)證報(bào)文在所有橋接設(shè)備上轉(zhuǎn)發(fā)���,進(jìn)而在與客戶端橋接相連的設(shè)備端上觸發(fā)802.1X認(rèn)證,使運(yùn)營(yíng)網(wǎng)絡(luò)能夠開展802.1X認(rèn)證業(yè)務(wù)����,且降低設(shè)備成本和運(yùn)營(yíng)維護(hù)費(fèi)用。
文檔編號(hào)H04L12/24GK1549547SQ03123598
公開日2004年11月24日 申請(qǐng)日期2003年5月19日 優(yōu)先權(quán)日2003年5月19日
發(fā)明者金濤, 沈?qū)巼?guó), 孔濤, 李晨, 金 濤 申請(qǐng)人:華為技術(shù)有限公司