一種網絡分配方法、伺服器、網絡接入設備及系統與流程
2023-12-07 03:51:46
本發明涉及網絡技術領域,具體涉及一種網絡分配方法、伺服器、網絡接入設備及系統。
背景技術:
目前根據用網需求,將網絡劃分成多個網絡類型不同的子網絡(如可將一個網絡劃分成多個類型不同的VLAN),並設置各網絡類型的子網絡的訪問權限,從而根據用戶的訪問權限,將用戶分配至與其訪問權限對應的網絡類型的子網絡中,實現不同用戶的隔離訪問,成為一種新型的提升網絡安全的方式。如,企業網絡可根據企業自身的需求,將企業網絡劃分出如開發網、辦公網、行政網、體驗網等多個子網絡,開發網僅有企業產品開發權限的企業員工可訪問,辦公網可供全體的企業員工訪問,行政網僅供具有行政管理權限的企業員工訪問,體驗網可供非企業員工的訪客訪問。
在對訪問網絡的用戶進行網絡分配時,目前主要是在接入網絡的網絡接入設備(如交換機)處,綁定網絡接入設備的埠所對應的網絡類型;當用戶通過網絡接入設備的某一埠訪問網絡時,僅能訪問該埠所綁定的網絡類型所對應的子網絡;以企業網絡的網絡接入設備的埠1綁定開發網,埠2綁定體驗網為例,則用戶通過網絡接入設備的埠1訪問企業網絡時,僅可訪問到企業網絡的開發網,而訪問不到其他類型的子網絡;通過網絡接入設備的埠2訪問企業網絡時,僅可訪問到企業網絡的體驗網,而訪問不到其他類型的子網絡。
本發明的發明人在研究過程中發現,現有在網絡接入設備的埠綁定網絡類型的網絡分配方式,所存在的問題為:用戶接入網絡接入設備的某一埠時,只能分配至該埠所綁定的網絡類型對應的子網絡中,如果用戶需要更換訪問的網絡類型,則必須切換到所更換的網絡類型對應的網絡接入設備的埠上進行網絡接入;這就使得用戶在切換所訪問的網絡時,存在頻繁的 尋找網絡接入設備的對應埠的操作,導致用戶切換網絡時的操作極為麻煩。
技術實現要素:
有鑑於此,本發明實施例提供一種網絡分配方法、伺服器、網絡接入設備及系統,以解決現有網絡分配方式所存在的用戶切換網絡時的操作極為麻煩的問題。
為實現上述目的,本發明實施例提供如下技術方案:
一種網絡分配方法,應用於伺服器,所述方法包括:
在客戶端請求接入網絡時,獲取網絡接入設備所轉發的所述客戶端的唯一性標識;
根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
向所述網絡接入設備返回表徵所述目標網絡類型的信息,以便所述網絡接入設備根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
本發明實施例還提供一種網絡分配方法,應用於網絡接入設備,所述方法包括:
在客戶端請求接入網絡時,獲取所述客戶端的唯一性標識;
將所述唯一性標識轉發至伺服器,以便所述伺服器根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
接收所述伺服器發送的表徵所述目標網絡類型的信息;
根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
本發明實施例還提供一種伺服器,包括:
標識轉發獲取模塊,用於在客戶端請求接入網絡時,獲取網絡接入設備所轉發的所述客戶端的唯一性標識;
目標網絡類型確定模塊,用於根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
表徵信息發送模塊,用於向所述網絡接入設備返回表徵所述目標網絡類 型的信息,以便所述網絡接入設備根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
本發明實施例還提供一種網絡接入設備,包括:
標識獲取模塊,用於在客戶端請求接入網絡時,獲取所述客戶端的唯一性標識;
轉發模塊,用於將所述唯一性標識轉發至伺服器,以便所述伺服器根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
表徵信息接收模塊,用於接收所述伺服器發送的表徵所述目標網絡類型的信息;
分配模塊,用於根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
本發明實施例還提供一種網絡分配系統,包括:
網絡接入設備,用於在客戶端請求接入網絡時,獲取所述客戶端的唯一性標識,將所述唯一性標識轉發至伺服器,接收所述伺服器發送的表徵所述目標網絡類型的信息,並根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問;
伺服器,用於獲取網絡接入設備所轉發的所述客戶端的唯一性標識,根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型,向所述網絡接入設備返回表徵所述目標網絡類型的信息。
基於上述技術方案,本發明實施例提供的網絡分配方法中,網絡接入設備的各埠並未綁定子網絡,網絡接入設備可根據伺服器中設定的客戶端的唯一性標識所對應的網絡類型,動態的分配客戶端至相應的網絡類型對應的子網絡中進行網絡訪問;當客戶端需要切換網絡時,僅需更改伺服器中設定的該客戶端的唯一性標識所對應的網絡類型,而不需要變更客戶端所接入的網絡接入設備的埠,本發明實施例提供的網絡分配方法可使用戶較為便捷、簡單的切換所訪問的網絡類型。
附圖說明
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據提供的附圖獲得其他的附圖。
圖1為本發明實施例提供的網絡分配系統的結構示意圖;
圖2為本發明實施例提供的網絡分配方法的信令流程圖;
圖3為本發明實施例提供的網絡分配方法的另一信令流程圖;
圖4為本發明實施例提供的網絡分配方法的流程圖;
圖5為本發明實施例提供的網絡分配方法的另一流程圖;
圖6為本發明實施例提供的網絡分配方法的再一流程圖;
圖7為本發明實施例提供的網絡分配方法的又一流程圖;
圖8為本發明實施例提供的網絡分配方法的又另一流程圖;
圖9為本發明實施例提供的網絡分配方法的又再一流程圖;
圖10為本發明實施例提供的網絡分配方法的另又一流程圖;
圖11為本發明實施例提供的網絡分配方法的另再一流程圖;
圖12為本發明實施例提供的伺服器的結構框圖;
圖13為本發明實施例提供的表徵信息發送模塊的結構框圖;
圖14為本發明實施例提供的表徵信息發送模塊的另一結構框圖;
圖15為本發明實施例提供的網絡接入設備的結構框圖;
圖16為本發明實施例提供的表徵信息接收模塊的結構框圖;
圖17為本發明實施例提供的表徵信息接收模塊的另一結構框圖。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
圖1為本發明實施例提供的網絡分配系統的結構示意圖,參照圖1,該網絡分配系統可以包括:網絡接入設備1和伺服器2;網絡接入設備1為網絡接入 節點,可以選用交換機實現,顯然也可採用其他的具有網絡接入功能的設備實現;伺服器2為本發明實施例所設置的用於實現網絡分配判斷邏輯的設備,伺服器2可以為單臺伺服器,也可以為由多臺伺服器組成的伺服器群組;
基於圖1所示網絡分配系統,圖2示出了本發明實施例提供的網絡分配方法的信令流程圖,結合圖1和圖2所示,該流程可以包括:
步驟S10、網絡接入設備在客戶端請求接入網絡時,獲取所述客戶端的唯一性標識;
可選的,客戶端的唯一性標識可以是客戶端在向網絡接入設備發起網絡接入請求時攜帶;也可以是客戶端在向網絡接入設備發起網絡接入請求後,被網絡接入設備請求唯一性標識後再發送;
可選的,客戶端的唯一性標識可以為裝載客戶端的用戶設備的設備標識,也可以為客戶端所屬用戶的用戶標識等能夠唯一標識客戶端的標識;設備標識可以為MAC(Media Access Control,媒體訪問控制)地址等可以唯一標識用戶設備(用戶設備如用戶所使用的手機、電腦等)的標識,用戶標識可以為用戶名、身份證號碼,員工號碼等可以唯一標識用戶的標識。
步驟S11、網絡接入設備將所述唯一性標識轉發至伺服器;
步驟S12、所述伺服器根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
步驟S13、所述伺服器向所述網絡接入設備返回表徵所述目標網絡類型的信息;
步驟S14、所述網絡接入設備根據所述信息,將所述客戶端分配至與所述目標網絡類型對應的子網絡中進行網絡訪問。
可選的,表徵所述目標網絡類型的信息可以是所述目標網絡類型所對應的網絡標識;本發明實施例可在伺服器中設置各網絡類型的子網絡所對應的網絡標識,在確定所述客戶端的唯一性標識所對應的目標網絡類型後,可將所確定的目標網絡類型所對應的網絡標識返回至所述網絡接入設備,以便所述網絡接入設備將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問;如本發明實施例可在伺服器中對各網絡類型的子網絡進行編號,在確定所述客戶端的唯一性標識所對應的目標網絡類型後,可將所確定的目標網絡類型的子網絡的編號發送至網絡接入設備,以便網絡接入設備將所述客戶 端分配至該編號的子網絡中進行網絡訪問;
可選的,表徵所述目標網絡類型的信息可以直接是包含所述目標網絡類型的信息;本發明實施例也可在網絡接入設備處設置各網絡類型的子網絡所對應的網絡標識;伺服器在確定所述客戶端的唯一性標識所對應的目標網絡類型後,可直接向所述網絡接入設備返回所確定的目標網絡類型;網絡接入設備根據設定的各網絡類型的子網絡所對應的網絡標識,可確定出所述目標網絡類型的子網絡的網絡標識,將所述客戶端分配至該網絡標識對應的子網絡中進行網絡訪問。
可以看出,本發明實施例提供的網絡分配方法中,網絡接入設備的各埠並未綁定子網絡,網絡接入設備可根據伺服器中設定的客戶端的唯一性標識所對應的網絡類型,動態的分配客戶端至相應的網絡類型對應的子網絡中進行網絡訪問;當客戶端需要切換網絡時,僅需更改伺服器中設定的該客戶端的唯一性標識所對應的網絡類型,而不需要變更客戶端所接入的網絡接入設備的埠,本發明實施例提供的網絡分配方法可使用戶較為便捷、簡單的切換所訪問的網絡類型。
可選的,本發明實施例在客戶端接入網絡時,可對客戶端進行身份驗證,客戶端可向交換機發送的身份驗證信息中攜帶所述客戶端的唯一性標識,以便後續的網絡分配流程的進行。圖3示出了本發明實施例提供的網絡分配方法的另一信令流程圖,結合圖1和圖3所示,該流程可以包括:
步驟S20、網絡接入設備在客戶端請求接入網絡時,獲取所述客戶端的身份驗證信息,所述身份驗證信息包含所述客戶端的唯一性標識及身份信息;
可選的,在本發明實施例中,客戶端可在向網絡接入設備發起網絡接入請求的同時,向網絡接入設備發送包含所述客戶端的唯一性標識及身份信息的身份驗證信息;
可選的,在客戶端向網絡接入設備發送網絡接入請求後,網絡接入設備可向客戶端請求身份驗證信息,客戶端接收該請求後,可將包含所述客戶端的唯一性標識及身份信息的身份驗證信息發送至網絡接入設備。
可選的,身份信息可以是客戶端的用戶標識(如用戶名)及用戶密碼等驗證用戶身份的信息;若是唯一性標識採用用戶標識,則可直接使用身份信息中的用戶標識作為所述客戶端的唯一性標識使用;若是唯一性標識採用裝 載客戶端的用戶設備的設備標識,則在身份驗證信息中除包含身份信息外,還需包含設備標識,以通過身份驗證信息中包含的設備標識作為所述客戶端的唯一性標識使用。
步驟S21、所述網絡接入設備將所述身份驗證信息轉發至伺服器;
步驟S22、所述伺服器在根據所述身份信息驗證所述客戶端的身份合法後,根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
可選的,驗證所述客戶端的身份合法的方式可以是將身份驗證信息中的客戶端的用戶標識及用戶密碼進行匹配,若匹配成功,則可確定所述客戶端的身份合法,若匹配不成功,則可確定所述客戶端的身份非法;
在確定所述客戶端的身份合法後,可確定所述客戶端需分配至的子網絡的網絡類型,即根據伺服器中設定的唯一性標識與網絡類型的對應關係,確定所述身份驗證信息所包含的唯一性標識對應的目標網絡類型;
步驟S23、所述伺服器向所述網絡接入設備返回表徵所述目標網絡類型的信息;
步驟S24、所述網絡接入設備根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
可選的,本發明實施例所採用的身份驗證方式可以是MAB(MAC Authentication Bypass,MAC旁路認證)驗證,及dot1X驗證;
其中,MAB驗證是一種基於設備標識認證的免1X客戶端方式;dot1X是IEEE 802.1X的縮寫,是基於Client/Server的訪問控制和認證協議。
可選的,本發明實施例可將一個網絡劃分成網絡類型不同的多個VLAN(Virtual Local Area Network,虛擬區域網),並在伺服器中設置各個網絡類型的VLAN所對應的唯一性標識,進而在存在訪問網絡的客戶端時,伺服器可根據該客戶端的唯一性標識確定該客戶端需分配至的VLAN的目標網絡類型,從而使得網絡接入設備將該客戶端分配至該目標網絡類型對應的VLAN中進行網絡訪問。
下面以伺服器的角度,對本發明實施例提供的網絡分配方法進行介紹,下文描述的網絡分配方法可與上文描述的信令流程內容相互對應參照。
圖4為本發明實施例提供的網絡分配方法的流程圖,該網絡分配方法可應用於伺服器中;參照圖4,該方法可以包括:
步驟S100、在客戶端請求接入網絡時,獲取網絡接入設備所轉發的所述客戶端的唯一性標識;
步驟S110、根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
步驟S120、向所述網絡接入設備返回表徵所述目標網絡類型的信息,以便所述網絡接入設備根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
本發明實施例提供的網絡分配方法中,網絡接入設備的各埠並未綁定子網絡,網絡接入設備可根據伺服器中設定的客戶端的唯一性標識所對應的網絡類型,動態的分配客戶端至相應的網絡類型對應的子網絡中進行網絡訪問;當客戶端需要切換網絡時,僅需更改伺服器中設定的該客戶端的唯一性標識所對應的網絡類型,而不需要變更客戶端所接入的網絡接入設備的埠,本發明實施例提供的網絡分配方法可使用戶較為便捷、簡單的切換所訪問的網絡類型。
可選的,伺服器中可進一步設置各網絡類型的子網絡所對應的網絡標識,伺服器在確定所述唯一性標識所對應的目標網絡類型後,可進一步確定所述目標網絡類型所對應的網絡標識,從而將所述目標網絡類型所對應的網絡標識返回至所述網絡接入設備,以使的所述網絡接入設備可將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
對應的,圖5示出了本發明實施例提供的網絡分配方法的另一流程圖,參照圖5,該方法可以包括:
步驟S200、在客戶端請求接入網絡時,獲取網絡接入設備所轉發的所述客戶端的唯一性標識;
步驟S210、根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
步驟S220、根據網絡類型與子網絡的網絡標識的對應關係,確定所述目標網絡類型所對應的子網絡的網絡標識;
步驟S230、向所述網絡接入設備返回所述網絡標識,以便所述網絡接入 設備將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
可選的,本發明實施例也可在網絡接入設備處設置各網絡類型的子網絡所對應的網絡標識;伺服器在確定所述客戶端的唯一性標識所對應的目標網絡類型後,可直接將包含所述目標網絡類型的信息發送至網絡接入設備;以便網絡接入設備根據設定的各網絡類型的子網絡所對應的網絡標識,確定所述目標網絡類型對應的子網絡的網絡標識,使得網絡接入設備可將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
對應的,圖6示出了本發明實施例提供的網絡分配方法的再一流程圖,參照圖6,該方法可以包括:
步驟S300、在客戶端請求接入網絡時,獲取網絡接入設備所轉發的所述客戶端的唯一性標識;
步驟S310、根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
步驟S320、向所述網絡接入設備返回包含所述目標網絡類型的信息,以便所述網絡接入設備根據設定的網絡類型與子網絡的網絡標識的對應關係,確定所述目標網絡類型所對應的子網絡的網絡標識,使得所述網絡接入設備將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
可選的,客戶端可在向網絡接入設備發起網絡接入請求時,攜帶所述唯一性標識;網絡接入設備在獲取所述網絡接入請求後,可解析其中攜帶的唯一性標識,將該唯一性標識轉發至伺服器;
可選的,網絡接入設備也可在接收到客戶端發送的網絡接入請求後,向所述客戶端請求該客戶端的唯一性標識,從而在所述客戶端響應該請求後,接收所述客戶端發送的唯一性標識,進而網絡接入設備將接收的唯一性標識轉發至伺服器。
可選的,伺服器還可對所述客戶端進行身份驗證,只有在驗證所述客戶端的身份合法後,才確定可對所述客戶端進行網絡分配,進而確定所述客戶端的唯一性標識對應的目標網絡類型;具體的,所述客戶端可在請求接入網絡時,向網絡接入設備發送身份驗證信息,並在該身份驗證信息中包含所述客戶端的唯一性標識及身份信息;
對應的,圖7示出了本發明實施例提供的網絡分配方法的又一流程圖,參 照圖7,該方法可以包括:
步驟S400、在客戶端請求接入網絡時,獲取網絡接入設備所轉發的所述客戶端的身份驗證信息,所述身份驗證信息包含所述客戶端的唯一性標識及身份信息;
可選的,在本發明實施例中,客戶端可在向網絡接入設備發起網絡接入請求的同時,向網絡接入設備發送身份驗證信息,並在身份驗證信息中攜帶所述客戶端的唯一性標識及身份信息;
可選的,客戶端也可在向網絡接入設備發起網絡接入請求後,接收所述網絡接入設備發送的獲取身份驗證信息的請求,從而將包含所述客戶端的唯一性標識及身份信息的身份驗證信息發送至所述網絡接入設備;
步驟S410、所述伺服器在根據所述身份信息驗證所述客戶端的身份合法後,根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
步驟S420、所述伺服器向所述網絡接入設備返回表徵所述目標網絡類型的信息,以便所述網絡接入設備根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
可選的,身份信息可以包括所述客戶端的用戶標識及用戶密碼,若是選用用戶標識作為所述客戶端的唯一性標識,則伺服器可在驗證所述用戶標識及用戶密碼匹配後,根據設定的用戶標識與網絡類型的對應關係,確定所述用戶標識所對應的目標網絡類型;
如一企業員工A在請求接入企業網絡時,可通過企業員工A所使用的客戶端,向企業網絡的接入處的交換機發送員工A的用戶名(如員工編號等)及用戶密碼;交換機將員工A的用戶名及用戶密碼轉發至伺服器,伺服器驗證員工A的用戶名及用戶密碼匹配後,可將員工A的用戶名作為所述客戶端的唯一性標識使用;並根據伺服器中設定的用戶名及網絡類型的對應關係,確定員工A所對應的目標網絡類型,從而將表徵員工A的目標網絡類型的信息發送至交換機;交換機將員工A分配至與所述目標網絡類型對應的企業子網絡中進行訪問。
可選的,身份信息可以包括所述客戶端的用戶標識及用戶密碼,若是選用裝載所述客戶端的用戶設備的設備標識作為所述客戶端的唯一性標識,則 伺服器可在驗證所述用戶標識及用戶密碼匹配後,根據設定的設備標識與網絡類型的對應關係,確定所述設備標識所對應的目標網絡類型;
如一企業員工A在請求接入企業網絡時,可通過企業員工A所使用的客戶端,向企業網絡的接入處的交換機發送員工A的用戶名(如員工編號等)、用戶密碼、及企業員工A當前所使用的用戶設備的設備標識(如MAC地址);交換機將員工A的用戶名、用戶密碼及所述設備標識轉發至伺服器,伺服器驗證員工A的用戶名及用戶密碼匹配後,可將所述設備標識作為所述客戶端的唯一性標識使用;並根據伺服器中設定的設備標識及網絡類型的對應關係,確定員工A當前所使用的用戶設備的設備標識所對應的目標網絡類型,從而將表徵員工A的目標網絡類型的信息發送至交換機;交換機將員工A分配至與所述目標網絡類型對應的企業子網絡中進行訪問。
可選的,伺服器驗證所述客戶端的身份是否合法的方式可以選用MAB驗證,及dot1X驗證;本發明實施例可先採用MAB驗證方式,驗證所述客戶端的身份是否合法,若採用MAB驗證方式驗證所述客戶端的身份合法,則可根據設定的唯一性標識與網絡類型的對應關係,確定所述客戶端的唯一性標識所對應的目標網絡類型,若採用MAB驗證方式驗證所述客戶端的身份非法,則可採用dot1X驗證方式驗證客戶端的身份是否合法;若採用dot1X驗證方式驗證所述客戶端的身份合法,則可根據設定的唯一性標識與網絡類型的對應關係,確定所述客戶端的唯一性標識所對應的目標網絡類型,若採用dot1X驗證方式驗證所述客戶端的身份非法,則可拒絕所述客戶端的網絡接入。
可選的,由於網絡資源有限,本發明實施例提供的網絡分配方法可適用於所述客戶端採用有線接入網絡的方式,即在所述客戶端採用有線方式接入網絡時,可根據所述客戶端的唯一性標識,將所述客戶端分配至與所述唯一性標識對應的目標網絡類型的子網絡中進行網絡訪問;若所述客戶端採用無線方式接入網絡,則可直接將所述客戶端分配至設定的供無線方式訪問的子網絡中進行網絡訪問;
顯然,無論客戶端選用有線還是無線方式接入網絡,本發明實施例提供的網絡分配方法也可均適用。
可選的,伺服器可以為由多個伺服器組成的伺服器群組,該伺服器群組可以包括:驗證伺服器和數據緩存伺服器等;其中數據緩存伺服器主要用於 進行客戶端的唯一性標識及對應的網絡類型的存儲,進一步也可存儲各網絡類型的子網絡的網絡標識;驗證伺服器主要用於調取數據緩存伺服器中所存儲的對應關係,從而進行所述客戶端的唯一性標識所對應的目標網絡類型的確定,進一步也可確定所述目標網絡類型對應的子網絡的網絡標識,判斷所述客戶端的身份是否合法等。
採用本發明實施例提供的網絡分配方法,當客戶端需要切換網絡時,僅需更改伺服器中設定的該客戶端的唯一性標識所對應的網絡類型,而不需要變更客戶端所接入的網絡接入設備的埠,本發明實施例提供的網絡分配方法可使用戶較為便捷、簡單的切換所訪問的網絡類型。
下面以網絡接入設備的角度,對本發明實施例提供的網絡分配方法進行介紹,下文描述的網絡分配方法可與上文描述的信令流程內容相互對應參照。
圖8為本發明實施例提供的網絡分配方法的又另一流程圖,該網絡分配方法可應用於網絡接入設備,參照圖8,該方法可以包括:
步驟S500、在客戶端請求接入網絡時,獲取所述客戶端的唯一性標識;
步驟S510、將所述唯一性標識轉發至伺服器,以便所述伺服器根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
步驟S520、接收所述伺服器發送的表徵所述目標網絡類型的信息;
步驟S530、根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
可選的,伺服器中可進一步設置各網絡類型的子網絡所對應的網絡標識,伺服器在確定所述唯一性標識所對應的目標網絡類型後,可進一步確定所述目標網絡類型所對應的子網絡的網絡標識,從而將所述目標網絡類型所對應的子網絡的網絡標識返回至所述網絡接入設備,以使的所述網絡接入設備可將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
對應的,圖9示出了本發明實施例提供的網絡分配方法的又再一流程圖,該網絡分配方法可應用於網絡接入設備,參照圖9,該方法可以包括
步驟S600、在客戶端請求接入網絡時,獲取所述客戶端的唯一性標識;
步驟S610、將所述唯一性標識轉發至伺服器,以便所述伺服器根據設定 的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型,並使得所述伺服器根據網絡類型與子網絡的網絡標識的對應關係,確定所述目標網絡類型所對應的子網絡的網絡標識;
步驟S620、接收所述伺服器返回的所述網絡標識;
步驟S630、將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
可選的,本發明實施例也可在網絡接入設備處設置各網絡類型的子網絡所對應的網絡標識;伺服器在確定所述客戶端的唯一性標識所對應的目標網絡類型後,可直接將包含所述目標網絡類型的信息發送至網絡接入設備;以便網絡接入設備根據設定的各網絡類型的子網絡所對應的網絡標識,可確定所述目標網絡類型對應的子網絡的網絡標識,使得網絡接入設備可將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
對應的,圖10示出了本發明實施例提供的網絡分配方法的另又一流程圖,參照圖10,該方法可以包括:
步驟S700、在客戶端請求接入網絡時,獲取所述客戶端的唯一性標識;
步驟S710、將所述唯一性標識轉發至伺服器,以便所述伺服器根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
步驟S720、接收所述伺服器發送的包含所述目標網絡類型的信息;
步驟S730、根據設定的網絡類型與子網絡的網絡標識的對應關係,確定所述目標網絡類型所對應的子網絡的網絡標識;
步驟S740、將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
可選的,客戶端可在向網絡接入設備發起網絡接入請求時,攜帶所述唯一性標識;具體的,在客戶端請求接入網絡時,客戶端可向所述網絡接入設備發送網絡接入請求,並在該網絡接入請求中攜帶所述客戶端的唯一性標識,以使得所述網絡接入設備在客戶端請求接入網絡時,獲取到所述客戶端的唯一性標識。
可選的,網絡接入設備也可在接收到客戶端發送的網絡接入請求後,向所述客戶端請求該客戶端的唯一性標識,從而在所述客戶端響應該請求後, 接收所述客戶端發送的唯一性標識,進而網絡接入設備將接收的唯一性標識轉發至伺服器;具體的,在客戶端請求接入網絡時,客戶端可向所述網絡接入設備發送網絡接入請求,網絡接入設備獲取所述網絡接入請求後,可向所述客戶端請求所述客戶端的唯一性標識;所述客戶端響應該請求後,可將所述唯一性標識發送至所述網絡接入設備,以使得所述網絡接入設備在客戶端請求接入網絡時,獲取到所述客戶端的唯一性標識。
可選的,本發明實施例在客戶端接入網絡時,可對客戶端進行身份驗證;客戶端在請求接入網絡時,網絡接入設備可獲取所述客戶端的身份驗證信息,所述身份驗證信息包含所述客戶端的唯一性標識及身份信息;
對應的,圖11示出了本發明實施例提供的網絡分配方法的另再一流程圖,參照圖11,該方法可以包括:
步驟S800、在客戶端請求接入網絡時,獲取所述客戶端發送的身份驗證信息,所述身份驗證信息包含所述客戶端的唯一性標識及身份信息;
可選的,客戶端可在向網絡接入設備發起網絡接入請求的同時,向網絡接入設備發送身份驗證信息,並在身份驗證信息中攜帶所述客戶端的唯一性標識及身份信息;具體的,在客戶端請求接入網絡時,客戶端可向所述網絡接入設備發送網絡接入請求,並在該網絡接入請求中攜帶包含所述客戶端的唯一性標識及身份信息的身份驗證信息;
可選的,客戶端也可在向網絡接入設備發起網絡接入請求後,接收所述網絡接入設備發送的獲取身份驗證信息的請求,從而將包含所述客戶端的唯一性標識及身份信息的身份驗證信息發送至所述網絡接入設備;具體的,在客戶端請求接入網絡時,客戶端可向所述網絡接入設備發送網絡接入請求,網絡接入設備獲取所述網絡接入請求後,可向所述客戶端請求所述客戶端的身份驗證信息;所述客戶端響應該請求後,可將包含所述客戶端的唯一性標識及身份信息的身份驗證信息發送至所述網絡接入設備。
步驟S810、將所述身份驗證信息轉發至伺服器;
步驟S810、在所述伺服器根據所述身份信息驗證所述客戶端的身份合法,且根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型後,接收所述伺服器發送的表徵所述目標網絡類型的信息;
步驟S820、根據所述信息,將所述客戶端分配至所述目標網絡類型對應 的子網絡中進行網絡訪問。
下面對本發明實施例提供的一個應用例進行介紹,以具有多個不同網絡類型的VLAN的企業網絡為例;當員工A需要從開發網切換到行政網時,可在伺服器中更改員工A的工作電腦的MAC地址所對應的VLAN網絡類型,即可將員工A的工作電腦的MAC地址對應的VLAN網絡類型由開發網更改為行政網;
當員工A在其工位上(現有技術若切換訪問的網絡類型,則需要變更至具有與切換後的網絡類型相應埠的工位位置上進行網絡接入,而本發明實施例可在不變更工位位置的基礎上,實現切換所訪問的網絡類型),通過其使用的客戶端接入原有的交換機埠時,可向交換機提交員工A的員工用戶名、員工密碼、及工作電腦的MAC地址;
交換機將員工A的員工用戶名、員工密碼、及工作電腦的MAC地址轉發至伺服器;
伺服器驗證員工A的員工用戶名及員工密碼匹配後,可確定當前接入用戶合法,可根據設定的MAC地址對應的VLAN網絡類型,確定員工A的工作電腦的MAC地址對應的目標網絡類型為行政網;可選的,伺服器可先採用MAB驗證方式驗證員工A的身份是否合法,在驗證身份合法後,可進行後續目標網絡類型的確定,在驗證身份非法後,可再進一步採用dot1X驗證方式驗證員工A的身份是否合法;在採用dot1X驗證方式驗證身份合法後,可進行後續目標網絡類型的確定,在採用dot1X驗證方式驗證身份非法後,可直接拒絕員工A的訪問;
伺服器根據設定的VLAN網絡類型與VLAN網絡編號(網絡編號為網絡標識的一種可選形式)的對應關係,可確定行政網的VLAN網絡編號,並將該VLAN網絡編號轉發至交換機;
交換機可根據所述VLAN網絡編號,將員工A的工作電腦所發起的網絡訪問分配至行政網中,從而使得員工A可在行政網中實現網絡訪問。
可以看出,本發明實施例提供的網絡分配方法中,網絡接入設備的各埠並未綁定子網絡,網絡接入設備可根據伺服器中設定的客戶端的唯一性標識所對應的網絡類型,動態的分配客戶端至相應的網絡類型對應的子網絡中進行網絡訪問,用戶切換所訪問的網絡類型的方式較為便捷、簡單。
下面對本發明實施例提供的伺服器進行介紹,下文描述的伺服器可與上文以伺服器角度描述的網絡分配方法相互對應參照。
圖12為本發明實施例提供的伺服器的結構框圖,參照圖12,該伺服器可以包括:
標識轉發獲取模塊100,用於在客戶端請求接入網絡時,獲取網絡接入設備所轉發的所述客戶端的唯一性標識;
目標網絡類型確定模塊110,用於根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
表徵信息發送模塊120,用於向所述網絡接入設備返回表徵所述目標網絡類型的信息,以便所述網絡接入設備根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
可選的,所發送的表徵所述目標網絡類型的信息,可以為所述目標網絡類型所對應的子網絡的網絡標識;對應的,圖13示出了本發明實施例提供的表徵信息發送模塊120的一種可選結構,參照圖13,表徵信息發送模塊120可以包括:
網絡標識確定單元1201,用於根據網絡類型與子網絡的網絡標識的對應關係,確定所述目標網絡類型所對應的子網絡的網絡標識;
網絡標識發送單元1202,用於向所述網絡接入設備返回所述網絡標識,以便所述網絡接入設備將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
可選的,所發送的表徵所述目標網絡類型的信息,可以為包含所述目標網絡類型的信息;對應的,圖14示出了本發明實施例提供的表徵信息發送模塊120的另一種可選結構,參照圖14,表徵信息發送模塊120可以包括:
包含信息發送單元1211,用於向所述網絡接入設備返回包含所述目標網絡類型的信息,以便所述網絡接入設備根據設定的網絡類型與子網絡的網絡標識的對應關係,確定所述目標網絡類型所對應的子網絡的網絡標識,使得所述網絡接入設備將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
可選的,標識轉發獲取模塊100可具體用於獲取網絡接入設備所轉發的所 述客戶端的身份驗證信息,所述身份驗證信息包含所述客戶端的唯一性標識及身份信息;
對應的,目標網絡類型確定模塊110可具體用於在根據所述身份信息驗證所述客戶端的身份合法後,根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型。
可選的,所述身份信息可以包括所述客戶端的用戶標識及用戶密碼;在以所述用戶標識作為所述客戶端的唯一性標識時,目標網絡類型確定模塊110可在驗證所述用戶標識及用戶密碼匹配後,根據設定的用戶標識與網絡類型的對應關係,確定所述用戶標識所對應的目標網絡類型;
可選的,在以裝載所述客戶端的用戶設備的設備標識作為所述客戶端的唯一性標識時,目標網絡類型確定模塊110可在驗證所述用戶標識及用戶密碼匹配後,根據設定的設備標識與網絡類型的對應關係,確定所述設備標識所對應的目標網絡類型。
下面對本發明實施例提供的網絡接入設備進行介紹,下文描述的網絡接入設備可與上文以網絡接入設備角度描述的網絡分配方法相互對應參照。
圖15為本發明實施例提供的網絡接入設備的結構框圖,參照圖15,網絡接入設備可以包括:
標識獲取模塊200,用於在客戶端請求接入網絡時,獲取所述客戶端的唯一性標識;
轉發模塊210,用於將所述唯一性標識轉發至伺服器,以便所述伺服器根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型;
表徵信息接收模塊220,用於接收所述伺服器發送的表徵所述目標網絡類型的信息;
分配模塊230,用於根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問。
可選的,表徵所述目標網絡類型的信息可以為所述目標網絡類型所對應的子網絡的網絡標識;圖16示出了本發明實施例提供的表徵信息接收模塊220的一種可選結構,參照圖16,表徵信息接收模塊220可以包括:
標識接收單元2201,用於接收所述伺服器返回的與所述目標網絡類型所對應的子網絡的網絡標識;
可選的,伺服器可在確定所述目標網絡類型後,根據網絡類型與子網絡的網絡標識的對應關係,確定所述目標網絡類型所對應的子網絡的網絡標識,從而將所確定的網絡標識發送至網絡接入設備;
對應的,分配模塊230具體可用於將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
可選的,表徵所述目標網絡類型的信息可以為包含所述目標網絡類型的信息;圖17示出了本發明實施例提供的表徵信息接收模塊220的另一種可選結構,參照圖17,表徵信息接收模塊220可以包括:
包含信息接收單元2211,用於接收所述伺服器發送的包含所述目標網絡類型的信息;
對應的,分配模塊230具體可用於根據設定的網絡類型與子網絡的網絡標識的對應關係,確定所述目標網絡類型所對應的子網絡的網絡標識;將所述客戶端分配至所述網絡標識對應的子網絡中進行網絡訪問。
可選的,標識獲取模塊200具體可用於在客戶端請求接入網絡時,獲取所述客戶端發送的身份驗證信息,所述身份驗證信息包含所述客戶端的唯一性標識及身份信息;
對應的,轉發模塊210可將包含所述客戶端的唯一性標識及身份信息的身份驗證信息發送至伺服器,以便所述伺服器在根據所述身份信息驗證所述客戶端的身份合法後,根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型。
可選的,所述身份信息可以包括:所述客戶端的用戶標識及用戶密碼;對應的,表徵信息接收模塊220可在所述伺服器驗證所述用戶標識及用戶密碼匹配後,接收所述伺服器發送的表徵所述目標網絡類型的信息;
可選的,本發明實施例可以所述用戶標識作為所述客戶端的唯一性標識,對應的,所述目標網絡類型為所述用戶標識所對應的網絡類型;另一方面,本發明實施例也可以裝載所述客戶端的用戶設備的設備標識作為所述客戶端的唯一性標識,對應的,所述目標網絡類型為所述設備標識所對應的網絡類型。
本發明實施例還提供有一種網絡分配系統,下文描述的網絡分配系統可可與上文描述內容相互對應參照。
本發明實施例提供的網絡分配系統的結構可參照圖1所示,包括:網絡接入設備1和伺服器2;
其中,網絡接入設備1,用於在客戶端請求接入網絡時,獲取所述客戶端的唯一性標識,將所述唯一性標識轉發至伺服器,接收所述伺服器發送的表徵所述目標網絡類型的信息,並根據所述信息,將所述客戶端分配至所述目標網絡類型對應的子網絡中進行網絡訪問;
伺服器2,用於獲取網絡接入設備所轉發的所述客戶端的唯一性標識,根據設定的唯一性標識與網絡類型的對應關係,確定所述唯一性標識所對應的目標網絡類型,向所述網絡接入設備返回表徵所述目標網絡類型的信息。
可選的,網絡接入設備1和伺服器2的功能擴展可參照上文相應部分描述,此處不再贅述。
本發明實施例提供的網絡分配系統中,網絡接入設備的各埠並未綁定子網絡,網絡接入設備可根據伺服器中設定的客戶端的唯一性標識所對應的網絡類型,動態的分配客戶端至相應的網絡類型對應的子網絡中進行網絡訪問,用戶切換所訪問的網絡類型的方式較為便捷、簡單。
本說明書中各個實施例採用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似部分互相參見即可。對於實施例公開的裝置而言,由於其與實施例公開的方法相對應,所以描述的比較簡單,相關之處參見方法部分說明即可。
專業人員還可以進一步意識到,結合本文中所公開的實施例描述的各示例的單元及算法步驟,能夠以電子硬體、計算機軟體或者二者的結合來實現,為了清楚地說明硬體和軟體的可互換性,在上述說明中已經按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬體還是軟體方式來執行,取決於技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能,但是這種實現不應認為超出本發明的範圍。
結合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬體、處理器執行的軟體模塊,或者二者的結合來實施。軟體模塊可以置於隨機存儲器(RAM)、內存、只讀存儲器(ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬碟、可移動磁碟、CD-ROM、或技術領域內所公知的任意其它形式的存儲介質中。
對所公開的實施例的上述說明,使本領域專業技術人員能夠實現或使用本發明。對這些實施例的多種修改對本領域的專業技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發明的精神或範圍的情況下,在其它實施例中實現。因此,本發明將不會被限制於本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的範圍。