三層認證方法����、裝置及三層認證交換機的制作方法
【技術領域】
[0001] 本發(fā)明涉及通信技術領域,尤其涉及一種三層認證方法��、裝置及三層認證交換機��。
【背景技術】
[0002] 當前網(wǎng)絡中��,交換機主要應用在二層網(wǎng)絡做分布式認證��,用戶認證后,通過下 發(fā)ACL(AccessControlList�����,訪問控制列表)規(guī)則���,綁定用戶的源MAC(MediaAccess Control,介質訪問控制)或者源MAC與源IP(InternetProtocol���,網(wǎng)絡協(xié)議)信息�����,作為認 證與否的判斷��。在大二層網(wǎng)絡環(huán)境中���,交換機作為網(wǎng)關設備���,開啟集中式認證,該方案也是 通過MAC地址表�����,判斷地址表中是否存在用戶的源MAC地址來標識用戶是否已認證�。
[0003] 在現(xiàn)有的網(wǎng)絡中,三層認證都是通過路由器等基于軟件實現(xiàn)轉發(fā)的設備來充當�。 現(xiàn)有技術中沒有交換機充當三層認證設備,主要問題有兩個:一方面�����,交換機充當三層認證 設備�,只能通過源IP來區(qū)分用戶是否已認證,這個目前無成熟且可直接使用的芯片方案���; 另一方面���,充當三層認證設備��,通常出口是多個運營商(如聯(lián)通、移動等)��,不同的用戶�,購 買的套餐不一樣,有些用戶購買的是聯(lián)通套餐��,有些用戶購買的是移動套餐����,那么這些不同 的用戶的流量也要走不同的線路,即需要根據(jù)源IP來選擇出口�,而目前交換機上的路由轉 發(fā)都是基于目的IP。如果需要基于源IP進行轉發(fā)�,那就要通過ACL來實現(xiàn),強行匹配報文 的源IP����,然后重定向到某條線路,這樣每個用戶就要占一條ACL表項��,而對于目前常用的芯 片��,通常主機路由表容量遠大于ACL表容量,例如最多可以達到512K的容量��,但ACL容量最 多只有8K���,但一個校園網(wǎng)中�����,用戶一般都超過1萬人���,根本無法用ACL來實現(xiàn)。
[0004] 綜上所述�,現(xiàn)有技術中交換機只能實現(xiàn)二層認證功能,無法有效實現(xiàn)三層認證功 能��。
【發(fā)明內容】
[0005] 本發(fā)明提供一種三層認證方法����、裝置及三層認證交換機,用以解決現(xiàn)有技術中交 換機只能實現(xiàn)二層認證功能���,無法實現(xiàn)三層認證的問題�����。
[0006] 本發(fā)明提供了一種三層認證方法��,所述方法包括:
[0007] 在第一端口接收用戶發(fā)出的數(shù)據(jù)報文��,根據(jù)數(shù)據(jù)報文的源IP地址匹配路由表�,在 匹配結果為所述用戶發(fā)出的數(shù)據(jù)報文為待認證報文時,將所述數(shù)據(jù)報文在ACL表中進行匹 配��,根據(jù)匹配結果將數(shù)據(jù)報文發(fā)送至CPU進行認證處理����;
[0008] 所述ACL表中預先設置了將第一端口接收到的待認證報文轉發(fā)至CPU的表項��。
[0009] 本發(fā)明還提供一種三層認證裝置��,所述裝置包括:
[0010] 匹配模塊����,用于在第一端口接收用戶發(fā)出的數(shù)據(jù)報文,根據(jù)數(shù)據(jù)報文的源網(wǎng)絡協(xié) 議IP地址匹配路由表��,在匹配結果為所述用戶發(fā)出的數(shù)據(jù)報文為待認證報文時�,將所述數(shù) 據(jù)報文在訪問控制列表ACL中進行匹配,根據(jù)匹配結果將數(shù)據(jù)報文發(fā)送至CPU進行認證處 理�����;
[0011]ACL表設置模塊,用于在ACL表中預先設置將第一端口接收到的待認證報文轉發(fā) 至CPU的表項�。
[0012] 本發(fā)明還提供一種三層認證交換機,所述交換機包括上述三層認證裝置�����。
[0013] 本發(fā)明的三層認證方法�����、裝置及三層認證交換機��,通過采用上述技術方案��,在路由 表中根據(jù)數(shù)據(jù)報文的源IP地址匹配路由表�����,并且在匹配結果為待認證報文時�����,將數(shù)據(jù)報文 在ACL表中進行匹配,從而轉發(fā)至CPU中進行認證處理的過程�����,解決了現(xiàn)有技術中交換機只 能實現(xiàn)二層認證功能�,無法有效實現(xiàn)三層認證的問題。
【附圖說明】
[0014] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案�,下面將對實施例或現(xiàn) 有技術描述中所需要使用的附圖作一簡單地介紹,顯而易見地����,下面描述中的附圖是本發(fā) 明的一些實施例,對于本領域普通技術人員來講����,在不付出創(chuàng)造性勞動性的前提下�,還可以 根據(jù)這些附圖獲得其他的附圖。
[0015] 圖1為交換機充當三層認證設備的拓撲場景示意圖��;
[0016] 圖2為本發(fā)明實施例一提供的三層認證方法流程圖���;
[0017] 圖3為本發(fā)明實施例二提供的三層認證方法流程圖�;
[0018] 圖4為本發(fā)明實施例三提供的三層認證裝置結構示意圖���;
[0019] 圖5為本發(fā)明實施例四提供的三層認證交換機結構示意圖�����。
【具體實施方式】
[0020] 為使本發(fā)明實施例的目的����、技術方案和優(yōu)點更加清楚,下面將結合本發(fā)明實施例 中的附圖�����,對本發(fā)明實施例中的技術方案進行清楚���、完整地描述���,顯然,所描述的實施例是 本發(fā)明一部分實施例�,而不是全部的實施例?��;诒景l(fā)明中的實施例�,本領域普通技術人員 在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護的范圍。
[0021] 交換機要實現(xiàn)三層認證功能����,則需要實現(xiàn)基于報文的源IP地址判斷用戶是否已 認證,以及在認證成功后基于源IP地址進行選路���,交換機充當三層認證設備的拓撲場景如 圖1所示���,其中交換機對內連接不同區(qū)域的網(wǎng)關設備,網(wǎng)關設備下連接了不同的用戶�����,交換 機對外連接不同的運營商網(wǎng)絡���,不同的用戶均可以在交換機上實現(xiàn)三層認證,認證成功后�, 用戶的數(shù)據(jù)報文可以根據(jù)需求轉發(fā)到不同的運營商網(wǎng)絡中,需要說明的是���,圖1僅給出了 本發(fā)明技術方案的一個拓撲示例����,并不限制本發(fā)明應用的場景范圍,例如交換機并非一定 通過網(wǎng)關設備連接用戶終端��,其對外連接的網(wǎng)絡也不限于各運營商網(wǎng)絡等情形����。
[0022] 圖2為本發(fā)明實施例一提供的三層認證方法流程圖,具體包括以下步驟:
[0023] 101�,在第一端口接收用戶發(fā)出的數(shù)據(jù)報文,根據(jù)數(shù)據(jù)報文的源IP地址匹配路由 表���;
[0024] 201��,在匹配結果為所述用戶發(fā)出的數(shù)據(jù)報文為待認證報文時����,將所述數(shù)據(jù)報文在 ACL表中進行匹配����,根據(jù)匹配結果將數(shù)據(jù)報文發(fā)送至CPU進行認證處理;
[0025] ACL表中預先設置了將第一端口接收到的待認證報文轉發(fā)至CPU的表項�。
[0026] 為了能夠讓數(shù)據(jù)報文在交換機的路由表中可以進行源IP地址匹配,可以在實際 接收數(shù)據(jù)報文之前先對交換機進行預先的設置�����,
[0027] 因此進一步可選的,在第一端口接收用戶發(fā)出的數(shù)據(jù)報文之前���,還包括:
[0028] 在第一端口開啟三層認證功能��,并開啟URPF(UnicastReversePath Forwarding����,單播逆向路徑轉發(fā))檢查�,以使第一端口接收到的數(shù)據(jù)報文在路由表中進行 源IP地址匹配。
[0029] URPF的主要功能是用于防止基于源IP地址欺騙的網(wǎng)絡攻擊行為��,接口一旦使能 URPF功能��,當該接口收到數(shù)據(jù)報文時����,首先會對數(shù)據(jù)報文的源IP地址進行合法性檢查,對 于檢查通過的報文���,才會進一步查找去往目的I