專利名稱:網(wǎng)絡(luò)層地址管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù),尤指一種網(wǎng)絡(luò)層地址管理方法。
背景技術(shù):
IEEE 802 LAN協(xié)議定義的局域網(wǎng)不提供接入認(rèn)證,一般來說,只要用戶可以接入局域網(wǎng)就可以訪問網(wǎng)絡(luò)上的設(shè)備或資源。但是對(duì)于如電信接入、寫字樓LAN以及移動(dòng)辦公等應(yīng)用場(chǎng)合,網(wǎng)絡(luò)管理者希望能對(duì)用戶的接入進(jìn)行控制和配置,為此產(chǎn)生了基于端口的網(wǎng)絡(luò)接入控制(Port Based Network AccessControl)需求,即IEEE 802.1X(以下簡(jiǎn)稱802.1X)協(xié)議。
從圖1可以看出,802.1X的體系結(jié)構(gòu)中包括用戶設(shè)備(Supplicant)1,LAN所連接的一端的實(shí)體(Entity),作為認(rèn)證請(qǐng)求者向認(rèn)證設(shè)備(Authenticator)發(fā)起請(qǐng)求,對(duì)其身份的合法性進(jìn)行檢驗(yàn);認(rèn)證設(shè)備2,響應(yīng)用戶設(shè)備1的認(rèn)證請(qǐng)求,包括兩個(gè)邏輯端口受控端口(Controlled Port)21和不受控端口(Uncontrolled Port)22;認(rèn)證服務(wù)器3,是指通過檢驗(yàn)用戶設(shè)備1發(fā)送來的身份標(biāo)識(shí),來判斷該請(qǐng)求者是否有權(quán)使用認(rèn)證設(shè)備2所提供的網(wǎng)絡(luò)服務(wù)。
通常,要訪問局域網(wǎng)/城域網(wǎng)4,首先用戶設(shè)備1要向認(rèn)證設(shè)備2發(fā)起認(rèn)證請(qǐng)求,不受控端口22始終處于雙向連通狀態(tài),主要用來傳遞EAPoL協(xié)議幀,可保證用戶設(shè)備1始終可以發(fā)出或接受;認(rèn)證授權(quán)時(shí),認(rèn)證設(shè)備2的受控端口21才被連通,用于傳遞網(wǎng)絡(luò)資源和服務(wù)。其中,EAPoL指局域網(wǎng)承載的EAP,而EAP指可擴(kuò)展認(rèn)證協(xié)議,全稱為PPP(點(diǎn)對(duì)點(diǎn)通信協(xié)議)可擴(kuò)展認(rèn)證協(xié)議(RFC2284)。在基于TCP/IP的網(wǎng)絡(luò)中,用戶設(shè)備只有獲得了網(wǎng)絡(luò)層地址(如IP地址)才能訪問網(wǎng)絡(luò)。
但是802.1X認(rèn)證授權(quán)只是給對(duì)應(yīng)的受控端口21授權(quán),并沒有提供管理網(wǎng)絡(luò)層地址的協(xié)議框架。
請(qǐng)參照?qǐng)D2所示,目前,為解決上述問題,用戶設(shè)備在通過認(rèn)證后發(fā)起DHCP請(qǐng)求,然后認(rèn)證設(shè)備提供DHCP(Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)中繼的功能,最后通過DHCP協(xié)議的交互過程從DHCP服務(wù)器獲得分配的IP地址?;蛘咧苯釉谡J(rèn)證設(shè)備上提供DHCP服務(wù)器的功能。這兩種方式本質(zhì)上是一致的。
交互過程以認(rèn)證設(shè)備為中繼包括以下步驟(1)用戶設(shè)備向DHCP服務(wù)器發(fā)送一個(gè)DHCPDISCOVER報(bào)文,表達(dá)網(wǎng)絡(luò)層地址租用要求;(2)DHCP服務(wù)器以DHCPOFFER報(bào)文響應(yīng)用戶設(shè)備的要求,該報(bào)文內(nèi)包括可用的網(wǎng)絡(luò)層地址和參數(shù)(3)用戶設(shè)備選定了某個(gè)目標(biāo)DHCP服務(wù)器(可能收到多個(gè)DHCP服務(wù)器發(fā)送的DHCPOFFER報(bào)文)后,廣播DHCPREQUEST包,用以通知選定的DHCP服務(wù)器和未選定的DHCP服務(wù)器;(4)如果選定的DHCP服務(wù)器是原來提供這個(gè)網(wǎng)絡(luò)層地址的參數(shù)的服務(wù)器,會(huì)認(rèn)出這些數(shù)據(jù)來,并以DHCPACK報(bào)文回應(yīng)同時(shí),下線時(shí),用戶設(shè)備發(fā)起DHCP釋放請(qǐng)求(DHCPRELEASE報(bào)文),以便DHCP服務(wù)器回收地址資源。這種實(shí)現(xiàn)方式,不管網(wǎng)絡(luò)規(guī)模如何,都需要在網(wǎng)絡(luò)中部署DHCP服務(wù)器。在一些中小型簡(jiǎn)單網(wǎng)絡(luò),特別是園區(qū)網(wǎng)中,增加了運(yùn)營(yíng)商的總擁有成本和管理復(fù)雜度。
發(fā)明內(nèi)容
本發(fā)明解決的問題是提供一種網(wǎng)絡(luò)層地址管理方法,降低網(wǎng)絡(luò)成本且部署網(wǎng)絡(luò)層地址容易。
為解決上述問題,本發(fā)明網(wǎng)絡(luò)層地址管理方法,包括以下流程認(rèn)證流程,認(rèn)證設(shè)備的邏輯端口授權(quán)給用戶設(shè)備,且認(rèn)證設(shè)備從認(rèn)證服務(wù)器獲得網(wǎng)絡(luò)層地址;地址分配流程,通過認(rèn)證設(shè)備和用戶設(shè)備間的交互攜帶有屬性類型為網(wǎng)絡(luò)層地址的EAP服務(wù)報(bào)文完成網(wǎng)絡(luò)層地址分配。
其中,地址分配流程包括以下步驟(1)用戶設(shè)備向認(rèn)證設(shè)備發(fā)送網(wǎng)絡(luò)層地址分配請(qǐng)求的EAP服務(wù)報(bào)文;(2)認(rèn)證設(shè)備向用戶設(shè)備發(fā)送網(wǎng)絡(luò)層地址分配確認(rèn)的EAP服務(wù)報(bào)文。
步驟(1)中,EAP服務(wù)報(bào)文屬性類型包括有請(qǐng)求、網(wǎng)絡(luò)層地址、網(wǎng)絡(luò)層地址掩碼、缺省網(wǎng)關(guān)、主域名解析服務(wù)器和備份域名解析服務(wù)器。
步驟(2)中EAP服務(wù)報(bào)文屬性類型包括有確認(rèn)、網(wǎng)絡(luò)層地址、網(wǎng)絡(luò)層地址掩碼、缺省網(wǎng)關(guān)、主域名解析服務(wù)器和備份域名解析服務(wù)器。
步驟(1)之前,還包括步驟a),認(rèn)證設(shè)備向用戶設(shè)備發(fā)送網(wǎng)絡(luò)層地址提供策略的EAP服務(wù)報(bào)文。步驟a)中EAP服務(wù)報(bào)文屬性類型為網(wǎng)絡(luò)層地址提供策略,根據(jù)其屬性值決定網(wǎng)絡(luò)層地址通過DHCP協(xié)議獲得還是通過EAP服務(wù)報(bào)文獲得,如果是通過EAP服務(wù)報(bào)文獲得則執(zhí)行步驟(1)。
另外,步驟(1)、(2)之間還包括以下步驟b)認(rèn)證設(shè)備解析來自步驟(1)中的EAP服務(wù)報(bào)文;c)判斷用戶設(shè)備網(wǎng)絡(luò)層地址是動(dòng)態(tài)獲取還是靜態(tài)設(shè)置;d)如果是動(dòng)態(tài)獲取則執(zhí)行步驟(2);e)如果是靜態(tài)設(shè)置則判斷當(dāng)前網(wǎng)絡(luò)層地址是否與認(rèn)證設(shè)備預(yù)分配的一致;f)如果一致則執(zhí)行步驟(2)。
步驟(2)之后還包括如下步驟用戶設(shè)備解析來自步驟(2)中的EAP服務(wù)報(bào)文,通過調(diào)用操作系統(tǒng)API接口設(shè)置網(wǎng)絡(luò)適配器。
此外,認(rèn)證流程中通過認(rèn)證服務(wù)器向認(rèn)證設(shè)備返回認(rèn)證接受報(bào)文中攜帶屬性類型為8的Framed-IP-Address獲得網(wǎng)絡(luò)層地址。
與現(xiàn)有技術(shù)相比,本發(fā)明通過與認(rèn)證服務(wù)器配合,具有以下優(yōu)點(diǎn)
首先,降低網(wǎng)絡(luò)運(yùn)營(yíng)商的成本。特別是中小規(guī)模的園區(qū)網(wǎng)運(yùn)營(yíng)商,有可能不需要提供專門的DHCP服務(wù)器,可以通過認(rèn)證服務(wù)器,提供用戶賬號(hào)和網(wǎng)絡(luò)層地址分配策略在802.1X認(rèn)證過程給用戶設(shè)備網(wǎng)絡(luò)層地址。
其次,部署更簡(jiǎn)單。與通過設(shè)置DHCP服務(wù)器來給用戶分配IP地址方式相比,本發(fā)明提供的方式省去了DHCP相關(guān)的設(shè)備和配置。
另外,通過在認(rèn)證服務(wù)器上直接把用戶賬號(hào)和網(wǎng)絡(luò)層地址關(guān)聯(lián)的方式,在一定程度上防止了網(wǎng)絡(luò)層地址盜用,從而使網(wǎng)絡(luò)層地址管理更加安全有效。
圖1是802.1X的體系結(jié)構(gòu)框圖。
圖2是現(xiàn)有技術(shù)中利用DHCP實(shí)現(xiàn)網(wǎng)絡(luò)層地址管理方法的流程圖。
圖3是PPP幀格式示意圖。
圖4是圖3中PPP幀應(yīng)用在本發(fā)明網(wǎng)絡(luò)層地址管理方法中信息域格式示意圖。
圖5是現(xiàn)有技術(shù)中PPP幀中代碼域取值示意圖。
圖6是本發(fā)明網(wǎng)絡(luò)層地址管理方法流程圖。
圖7是本發(fā)明網(wǎng)絡(luò)層地址管理方法部分詳細(xì)流程圖。
具體實(shí)施例方式
圖3是PPP幀格式示意圖。其中,F(xiàn)域標(biāo)識(shí)一PPP幀的開始及結(jié)束;FCS域?yàn)閹男r?yàn)域;表示幀內(nèi)容的為地址(Address)、控制(Control)、協(xié)議(Protocol)、信息(Information)域所包含的內(nèi)容。當(dāng)PPP幀(參見IETF RFC1661)中的Protocol域表明協(xié)議類型為C227(即表示協(xié)議為PPP可擴(kuò)展認(rèn)證協(xié)議)時(shí),在PPP幀的Information域中封裝且僅封裝一個(gè)PPP可擴(kuò)展認(rèn)證協(xié)議報(bào)文(本發(fā)明稱為EAP報(bào)文),傳輸時(shí)各域從左到右依次傳輸。本發(fā)明網(wǎng)絡(luò)層地址管理方法將EAP報(bào)文擴(kuò)展成EAP服務(wù)報(bào)文,也封裝在Information域中進(jìn)行傳輸其原理如下文描述。
Information域進(jìn)一步包括有代碼(Code)、標(biāo)識(shí)(Identifier)、長(zhǎng)度(Length)及數(shù)據(jù)(Data)域。所述Data域進(jìn)一步包括屬性類型(Type)域及屬性數(shù)據(jù)(Type-Data)域;屬性數(shù)據(jù)(Type-Data)域進(jìn)一步包括屬性值長(zhǎng)度(Value-Size)域、屬性值(Value)域及名稱(Name)域。請(qǐng)參照?qǐng)D4所示,這樣信息域則包括有以下域代碼、標(biāo)識(shí)、長(zhǎng)度、屬性類型、屬性值長(zhǎng)度、屬性值及名稱。
其中所述代碼表示報(bào)文的類型。現(xiàn)有技術(shù)中,請(qǐng)參照?qǐng)D5所示,代碼值為1表示EAP報(bào)文類型為請(qǐng)求報(bào)文;值為2表示EAP報(bào)文類型為應(yīng)答報(bào)文;值為3表示EAP報(bào)文類型為成功報(bào)文;值為4表示EAP報(bào)文類型為失敗報(bào)文。本發(fā)明網(wǎng)絡(luò)層地址管理方法中,擴(kuò)展一種報(bào)文類型為EAP服務(wù)報(bào)文的EAP報(bào)文,EAP服務(wù)報(bào)文的報(bào)文格式遵循EAP報(bào)文格式。相應(yīng)代碼的值表示該報(bào)文為EAP服務(wù)報(bào)文,其取值為除1-4外的任何值,如10。
標(biāo)識(shí),用于識(shí)別EAP報(bào)文(含EAP服務(wù)報(bào)文)。
長(zhǎng)度,為EAP報(bào)文的長(zhǎng)度(含EAP服務(wù)報(bào)文)。
屬性類型,表示EAP報(bào)文具體內(nèi)容的類型,具體到EAP服務(wù)報(bào)文中,則表示EAP服務(wù)報(bào)文具體內(nèi)容的類型,因?yàn)?-8已經(jīng)被國(guó)際標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)占用,Type域取值除1-8外的任何值。圖4中Type為Netwowk-Attr-Offer,表示網(wǎng)絡(luò)層地址提供策略)。
屬性值,表示EAP報(bào)文的具體屬性(具體到EAP服務(wù)報(bào)文中,則表示EAP服務(wù)報(bào)文的具體屬性),以圖4為例,Value表示Netwowk-Attr-Offer屬性值,例如用0表示網(wǎng)絡(luò)層地址通過DHCP協(xié)議獲取,1表示網(wǎng)絡(luò)層地址通過EAP服務(wù)報(bào)文獲取。
屬性值長(zhǎng)度,表示屬性值的長(zhǎng)度。
名稱,表示用戶的名字。
這樣,四種類型的EAP報(bào)文已經(jīng)在802.1X中以EAPOL的方式分別使用了。本發(fā)明主要通過擴(kuò)展另外一種EAP報(bào)文,稱為EAP服務(wù)報(bào)文(Service,代碼取值不同于1到4)和相應(yīng)的屬性類型(不同于現(xiàn)有協(xié)議定義的任何屬性類型取值(不同于1到8))來實(shí)現(xiàn)802.1X認(rèn)證過程中網(wǎng)絡(luò)層地址管理。EAP服務(wù)報(bào)文格式完全遵循RFC2284“PPP可擴(kuò)展認(rèn)證協(xié)議”。一個(gè)EAP服務(wù)報(bào)文可以包括多個(gè)屬性類型,當(dāng)然也可以只有一個(gè)屬性類型。
請(qǐng)參照?qǐng)D6所示,本發(fā)明網(wǎng)絡(luò)層地址管理方法基于802.1X的體系結(jié)構(gòu),認(rèn)證服務(wù)器(服務(wù)器以RADIUS為例)上,可以在配置用戶設(shè)備賬號(hào)的時(shí)候,指定待分配給用戶設(shè)備的網(wǎng)絡(luò)層地址;認(rèn)證設(shè)備上,可以給配置用戶網(wǎng)絡(luò)層地址分配策略以及網(wǎng)絡(luò)層地址掩碼,缺省網(wǎng)關(guān),主DNS和備用DNS服務(wù)器等網(wǎng)絡(luò)屬性。這樣認(rèn)證設(shè)備給用戶分配網(wǎng)絡(luò)層地址的內(nèi)容可以包括網(wǎng)絡(luò)層地址及網(wǎng)絡(luò)層地址掩碼、缺省網(wǎng)關(guān)、主DNS服務(wù)器、備份DNS服務(wù)器等網(wǎng)絡(luò)屬性信息。其中網(wǎng)絡(luò)層地址是認(rèn)證設(shè)備通過EAP服務(wù)報(bào)文從認(rèn)證服務(wù)器獲得的,其他信息配置在認(rèn)證設(shè)備上。網(wǎng)絡(luò)層地址及不同的網(wǎng)絡(luò)屬性信息對(duì)應(yīng)EAP服務(wù)報(bào)文不同的屬性類型。
本實(shí)施例中EAP服務(wù)報(bào)文使用到的屬性類型包括有Netwowk-Attr-Offer,網(wǎng)絡(luò)層地址提供策略,其相應(yīng)屬性值表示具體的提供策略,例如用0表示網(wǎng)絡(luò)層地址通過DHCP協(xié)議獲取,1表示網(wǎng)絡(luò)層地址通過EAP服務(wù)報(bào)文獲??;Netwowk-Attr-Request,網(wǎng)絡(luò)層地址分配請(qǐng)求;Network-Address,表示分配給用戶設(shè)備的網(wǎng)絡(luò)層地址,Network-Netmask,表示網(wǎng)絡(luò)層地址掩碼;Detault-Gateway,表示缺省網(wǎng)關(guān);Primary-DNS,表示主域名解析(DNS)服務(wù)器;Secondary-DNS,表示備用域名解析(DNS)服務(wù)器。
Netwowk-Attr-Ack,表示網(wǎng)絡(luò)層地址分配。
這樣,本發(fā)明網(wǎng)絡(luò)層地址管理方法包括以下流程認(rèn)證流程,認(rèn)證設(shè)備的邏輯端口授權(quán)給用戶設(shè)備,且認(rèn)證設(shè)備從認(rèn)證服務(wù)器獲得網(wǎng)絡(luò)層地址;地址分配流程,通過認(rèn)證設(shè)備和用戶設(shè)備間的交互攜帶有屬性類型為網(wǎng)絡(luò)層地址的EAP服務(wù)報(bào)文完成網(wǎng)絡(luò)層地址分配。
其中,認(rèn)證流程中通過認(rèn)證服務(wù)器向認(rèn)證設(shè)備返回認(rèn)證接受報(bào)文中攜帶屬性類型為8的Framed-IP-Address以獲得網(wǎng)絡(luò)層地址,認(rèn)證接受報(bào)文表示認(rèn)證成功。認(rèn)證成功說明用戶賬號(hào)是合法的,并給這個(gè)合法的用戶設(shè)備分配網(wǎng)絡(luò)層地址,因此用戶賬號(hào)和網(wǎng)絡(luò)層地址是關(guān)聯(lián)的。
認(rèn)證流程中包括以下步驟1)用戶設(shè)備向認(rèn)證設(shè)備發(fā)送EAPOL開始報(bào)文;2)認(rèn)證設(shè)備向用戶設(shè)備發(fā)送EAP請(qǐng)求報(bào)文;3)用戶設(shè)備向認(rèn)證設(shè)備發(fā)送EAP應(yīng)答報(bào)文;4)認(rèn)證設(shè)備向認(rèn)證服務(wù)器發(fā)送攜帶用戶識(shí)別信息的認(rèn)證請(qǐng)求報(bào)文;5)認(rèn)證服務(wù)器經(jīng)由認(rèn)證設(shè)備向用戶設(shè)備發(fā)送RADIUS MD5質(zhì)詢報(bào)文,所述RADIUS(Remote Authentication Dial In User Service)為遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù),而MD5(Message Digest 5)是一種加密算法;6)用戶設(shè)備經(jīng)由認(rèn)證設(shè)備向認(rèn)證服務(wù)器發(fā)送對(duì)MD5質(zhì)詢的應(yīng)答報(bào)文;7)認(rèn)證服務(wù)器向認(rèn)證設(shè)備發(fā)送認(rèn)證接受報(bào)文,攜帶屬性類型為8的Framed-IP-Address;認(rèn)證設(shè)備收到Access-Accept報(bào)文后,對(duì)報(bào)文進(jìn)行解析。如果報(bào)文中含有Framed-IP-Address(8)屬性,并且屬性值不是全F、全0和“0xFFFFFFFE”的單播IP地址,則被認(rèn)為是有效值。
8)認(rèn)證設(shè)備向用戶設(shè)備發(fā)送認(rèn)證成功報(bào)文,認(rèn)證設(shè)備邏輯端口被授權(quán)給用戶設(shè)備。
所述地址分配流程包括以下步驟9)設(shè)備向用戶設(shè)備發(fā)送網(wǎng)絡(luò)層地址提供策略的EAP服務(wù)報(bào)文(EAP-Service/Network-Attr-Offer報(bào)文)步驟9)中EAP服務(wù)報(bào)文屬性類型為網(wǎng)絡(luò)層地址提供策略。用戶設(shè)備收到EAP-Service/Network-Attr-Offer報(bào)文后,解析出Network-Attr-Offer值,用戶設(shè)備根據(jù)Network-Attr-Offer屬性值決定是網(wǎng)絡(luò)層地址通過EAP服務(wù)報(bào)文方式還是通過DHCP方式獲取。如果是通過EAP服務(wù)報(bào)文獲得則執(zhí)行步驟10),通過DHCP方式獲得網(wǎng)絡(luò)層地址的流程是現(xiàn)有技術(shù),不贅述。
10)用戶設(shè)備向認(rèn)證設(shè)備發(fā)送網(wǎng)絡(luò)層地址分配請(qǐng)求的EAP服務(wù)報(bào)文(EAP-Service/Network-Attr-Request報(bào)文)步驟10)中,EAP服務(wù)報(bào)文屬性類型包括有請(qǐng)求、網(wǎng)絡(luò)層地址、網(wǎng)絡(luò)層地址掩碼、缺省網(wǎng)關(guān)、主域名解析服務(wù)器和備份域名解析服務(wù)器。請(qǐng)參照?qǐng)D7認(rèn)證設(shè)備執(zhí)行以下步驟101)認(rèn)證設(shè)備解析來自步驟10)中的EAP服務(wù)報(bào)文;102)判斷用戶設(shè)備通過動(dòng)態(tài)獲取還是靜態(tài)設(shè)置來得到網(wǎng)絡(luò)層地址;如果是動(dòng)態(tài)獲取則執(zhí)行步驟11);103)如果是靜態(tài)設(shè)置則判斷當(dāng)前網(wǎng)絡(luò)層地址是否與認(rèn)證設(shè)備預(yù)分配的一致;如果一致則執(zhí)行步驟11);104)如果不一致則根據(jù)配置策略,可以記錄日志信息,或者切斷用戶鏈接等。
網(wǎng)絡(luò)層地址設(shè)置分為動(dòng)態(tài)獲取和靜態(tài)指定兩種方式。對(duì)于靜態(tài)設(shè)置而言,表明認(rèn)證之前用戶就已經(jīng)給自己的用戶設(shè)備(如PC)指定了一個(gè)網(wǎng)絡(luò)層地址,此時(shí)進(jìn)行認(rèn)證。但按照上面的流程,認(rèn)證設(shè)備會(huì)給用戶分配一個(gè)網(wǎng)絡(luò)層地址。用戶獲得分配給的網(wǎng)絡(luò)層地址后,把這兩個(gè)網(wǎng)絡(luò)層地址進(jìn)行比較,一致,則把發(fā)送給用戶設(shè)備Network-Attr-Ack報(bào)文。如果兩者不一致,則根據(jù)配置策略,可以記錄日志信息,或者切斷用戶鏈接等。
11)認(rèn)證設(shè)備向用戶設(shè)備發(fā)送網(wǎng)絡(luò)層地址分配確認(rèn)的EAP服務(wù)報(bào)文(EAP-Service/Network-Attr-Ack報(bào)文)步驟11)中EAP服務(wù)報(bào)文屬性類型包括有確認(rèn)、網(wǎng)絡(luò)層地址、地址掩碼、缺省網(wǎng)關(guān)、主DNS服務(wù)器和備份DNS服務(wù)器。
12)用戶設(shè)備解析來自步驟(3)中的EAP服務(wù)報(bào)文,通過調(diào)用操作系統(tǒng)API接口設(shè)置網(wǎng)絡(luò)適配器。
另外,同時(shí),在認(rèn)證設(shè)備發(fā)出EAP-Service/Network-Attr-Offer后,開啟地址分配超時(shí)定時(shí)器,等待用戶的EAP-Service/Network-Attr-Request報(bào)文。如果定時(shí)器超時(shí)仍未收到EAP服務(wù)報(bào)文,則系統(tǒng)重傳EAP-Service/Network-Attr-Offer,或者認(rèn)為用戶設(shè)備不支持,放棄通過EAP-Service下發(fā)網(wǎng)絡(luò)層地址和DNS服務(wù),或者超時(shí)切斷用戶鏈接。
綜上所述,本發(fā)明網(wǎng)絡(luò)層地址管理方法通過與認(rèn)證服務(wù)器配合,可以有如下優(yōu)點(diǎn)首先,降低網(wǎng)絡(luò)運(yùn)營(yíng)商的成本。特別是中小規(guī)模的園區(qū)網(wǎng)運(yùn)營(yíng)商,有可能不需要提供專門的DHCP服務(wù)器,可以通過認(rèn)證服務(wù)器,提供用戶賬號(hào)和網(wǎng)絡(luò)層地址分配策略在802.1X認(rèn)證過程給用戶設(shè)備網(wǎng)絡(luò)層地址。
其次,部署更簡(jiǎn)單。與通過設(shè)置DHCP服務(wù)器來給用戶分配IP地址方式相比,本發(fā)明提供的方式省去了DHCP相關(guān)的設(shè)備和配置。
另外,通過在認(rèn)證服務(wù)器上直接把用戶賬號(hào)和網(wǎng)絡(luò)層地址關(guān)聯(lián)的方式,在一定程度上防止了網(wǎng)絡(luò)層地址盜用,從而使網(wǎng)絡(luò)層地址管理更加安全有效。
權(quán)利要求
1.一種網(wǎng)絡(luò)層地址管理方法,其特征在于,包括以下流程認(rèn)證流程,認(rèn)證設(shè)備的邏輯端口授權(quán)給用戶設(shè)備,且認(rèn)證設(shè)備從認(rèn)證服務(wù)器獲得網(wǎng)絡(luò)層地址;地址分配流程,通過認(rèn)證設(shè)備和用戶設(shè)備間的交互攜帶有屬性類型為網(wǎng)絡(luò)層地址的EAP服務(wù)報(bào)文完成網(wǎng)絡(luò)層地址分配。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,地址分配流程包括以下步驟(1)用戶設(shè)備向認(rèn)證設(shè)備發(fā)送網(wǎng)絡(luò)層地址分配請(qǐng)求的EAP服務(wù)報(bào)文;(2)認(rèn)證設(shè)備向用戶設(shè)備發(fā)送網(wǎng)絡(luò)層地址分配確認(rèn)的EAP服務(wù)報(bào)文。
3.如權(quán)利要求2所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,步驟(1)中,EAP服務(wù)報(bào)文屬性類型包括有請(qǐng)求、網(wǎng)絡(luò)層地址、網(wǎng)絡(luò)層地址掩碼、缺省網(wǎng)關(guān)、主域名解析服務(wù)器和備份域名解析服務(wù)器。
4.如權(quán)利要求3所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,步驟(2)中EAP服務(wù)報(bào)文屬性類型包括有確認(rèn)、網(wǎng)絡(luò)層地址、網(wǎng)絡(luò)層地址掩碼、缺省網(wǎng)關(guān)、主域名解析服務(wù)器和備份域名解析服務(wù)器。
5.如權(quán)利要求4所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,所述EAP服務(wù)報(bào)文封裝在點(diǎn)對(duì)點(diǎn)協(xié)議幀的信息域中,該信息域進(jìn)一步包括以下域代碼,表示該報(bào)文為EAP服務(wù)報(bào)文;標(biāo)識(shí),用于識(shí)別EAP服務(wù)報(bào)文;長(zhǎng)度,表示EAP服務(wù)報(bào)文的長(zhǎng)度;屬性類型,表示EAP服務(wù)報(bào)文具體內(nèi)容的類型;屬性值,表示EAP服務(wù)報(bào)文的具體屬性;屬性值長(zhǎng)度,表示屬性值的長(zhǎng)度;名稱,表示用戶的名字。
6.如權(quán)利要求5所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,步驟(1)之前,還包括步驟a),認(rèn)證設(shè)備向用戶設(shè)備發(fā)送網(wǎng)絡(luò)層地址提供策略的EAP服務(wù)報(bào)文。
7.如權(quán)利要求6所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,步驟a)中EAP服務(wù)報(bào)文屬性類型為網(wǎng)絡(luò)層地址提供策略,根據(jù)其屬性值決定網(wǎng)絡(luò)層地址通過DHCP協(xié)議獲得還是通過EAP服務(wù)報(bào)文獲得,如果是通過EAP服務(wù)報(bào)文獲得則執(zhí)行步驟(1)。
8.如權(quán)利要求6所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,步驟(1)、(2)之間還包括以下步驟b)認(rèn)證設(shè)備解析來自步驟(1)中的EAP服務(wù)報(bào)文;c)判斷用戶設(shè)備網(wǎng)絡(luò)層地址是動(dòng)態(tài)獲取還是靜態(tài)設(shè)置;d)如果是動(dòng)態(tài)獲取則執(zhí)行步驟(2);e)如果是靜態(tài)設(shè)置則判斷當(dāng)前網(wǎng)絡(luò)層地址是否與認(rèn)證設(shè)備預(yù)分配的一致;f)如果一致則執(zhí)行步驟(2)。
9.如權(quán)利要求8所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,步驟(2)之后還包括如下步驟用戶設(shè)備解析來自步驟(2)中的EAP服務(wù)報(bào)文,通過調(diào)用操作系統(tǒng)API接口設(shè)置網(wǎng)絡(luò)適配器。
10.如權(quán)利要求1所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,認(rèn)證流程中通過認(rèn)證服務(wù)器向認(rèn)證設(shè)備返回認(rèn)證接受報(bào)文中攜帶屬性類型為8的Framed-IP-Address獲得網(wǎng)絡(luò)層地址。
11.如權(quán)利要求10所述的網(wǎng)絡(luò)層地址管理方法,其特征在于,認(rèn)證流程包括以下步驟11)用戶設(shè)備向認(rèn)證設(shè)備發(fā)送EAPOL開始報(bào)文;12)認(rèn)證設(shè)備向用戶設(shè)備發(fā)送EAP請(qǐng)求報(bào)文;13)用戶設(shè)備向認(rèn)證設(shè)備發(fā)送EAP應(yīng)答報(bào)文;14)認(rèn)證設(shè)備向認(rèn)證服務(wù)器發(fā)送攜帶用戶識(shí)別信息的認(rèn)證請(qǐng)求報(bào)文;15)認(rèn)證服務(wù)器經(jīng)由認(rèn)證設(shè)備向用戶設(shè)備發(fā)送RADIUS MD5質(zhì)詢報(bào)文;16)用戶設(shè)備經(jīng)由認(rèn)證設(shè)備向認(rèn)證服務(wù)器發(fā)送對(duì)MD5質(zhì)詢的應(yīng)答報(bào)文;17)認(rèn)證服務(wù)器向認(rèn)證設(shè)備發(fā)送認(rèn)證接受報(bào)文,攜帶屬性類型為8的Framed-IP-Address;18)認(rèn)證設(shè)備向用戶設(shè)備發(fā)送認(rèn)證成功報(bào)文,認(rèn)證設(shè)備邏輯端口被授權(quán)給用戶設(shè)備。
全文摘要
本發(fā)明公開一種網(wǎng)絡(luò)層地址管理方法,包括以下流程認(rèn)證流程,認(rèn)證設(shè)備的邏輯端口授權(quán)給用戶設(shè)備,且認(rèn)證設(shè)備從認(rèn)證服務(wù)器獲得網(wǎng)絡(luò)層地址;地址分配流程,通過認(rèn)證設(shè)備和用戶設(shè)備間的交互攜帶有屬性類型為網(wǎng)絡(luò)層地址的EAP服務(wù)報(bào)文完成網(wǎng)絡(luò)層地址分配。其中,地址分配流程包括以下步驟(1)用戶設(shè)備向認(rèn)證設(shè)備發(fā)送網(wǎng)絡(luò)層地址分配請(qǐng)求的EAP服務(wù)報(bào)文;(2)認(rèn)證設(shè)備向用戶設(shè)備發(fā)送網(wǎng)絡(luò)層地址分配確認(rèn)的EAP服務(wù)報(bào)文。本發(fā)明網(wǎng)絡(luò)層地址管理方法因不要求DHCP服務(wù)器而降低網(wǎng)絡(luò)運(yùn)營(yíng)商的成本。其次,因省去了DHCP相關(guān)的設(shè)備和配置而使網(wǎng)絡(luò)部署更為簡(jiǎn)單。
文檔編號(hào)H04L29/02GK1652535SQ20041000109
公開日2005年8月10日 申請(qǐng)日期2004年2月3日 優(yōu)先權(quán)日2004年2月3日
發(fā)明者劉刀桂, 王瑋 申請(qǐng)人:華為技術(shù)有限公司