基於802.1x協議的網絡接入設備管理方法

2023-07-04 02:50:06

專利名稱：基於802.1x協議的網絡接入設備管理方法
技術領域：
本發明涉及網絡通信技術領域，尤其涉及一種基於802.1X協議的網絡接入設備管理方法。
背景技術：
IEEE 802 LAN(電氣和電子工程師協會關於區域網的802號)協議定義的區域網不提供接入認證，只要用戶能接入區域網控制交換機，如LanSwitch(區域網交換機)，用戶便可以訪問區域網中的資源；但是對於如電信接入、寫字樓區域網以及移動辦公等應用，交換機提供者希望能對用戶的接入進行控制；為此產生了IEEE 802.1X協議，簡稱802.1X協議，該協議是2001年6月IEEE標準化組織正式通過的基於埠的網絡訪問控制協議。
基於埠的網絡接入控制是在網絡交換機(即網絡接入設備)的物理接入級對接入客戶端進行認證和控制，所述的物理接入級指的是乙太網交換或寬帶接入交換機的埠；連接於埠上的用戶如果能通過認證，就可以訪問網絡內的資源；如果不能通過認證，則無法訪問網絡內的資源。
802.1X協議所定義的基於埠的網絡接入控制協議，其中埠可以是物理埠，也可以是邏輯埠；典型的應用方式有乙太網交換機的一個物理埠連接一臺客戶端計算機，及IEEE 802.11協議定義的無線區域網接入方式。
802.1X協議的應用體系結構如圖1所示，包括客戶端、設備端和認證伺服器；在用戶接入層乙太網交換機實現802.1X的設備端部分；802.1X的客戶端通常安裝在用戶PC(個人計算機)中；802.1X的認證伺服器通常駐留在運營商的AAA(計費、認證和授權)中心。802.1X的客戶端與乙太網交換機端之間運行IEEE 802.1X定義的EAPOL(基於區域網的擴展認證協議)協議；乙太網交換機端與認證伺服器間同樣運行EAP(擴展認證協議)協議。乙太網交換機端內部有受控埠和非受控埠；其中非受控埠始終處於雙向連通狀態，主要用來傳遞EAPOL協議幀，可保證隨時接收和發送EAPOL協議幀；受控埠只有在認證通過的狀態下才打開，用於傳遞網絡資源和服務，且受控埠可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用環境。
然而，在現有的網絡接入環境中，802.1X認證系統中的網絡接入設備(即乙太網交換機)僅具備直接對用戶PC進行認證的功能，而乙太網交換機之間無法提供接入認證功能，即乙太網交換機無法提供被認證功能。對於啟動802.1X認證的乙太網交換機所連接的用戶，認證通過後可以通過中間乙太網交換機訪問對應的受控埠，但中間乙太網交換機則無法訪問對應的受控埠，即啟動802.1X認證的乙太網交換機對每個受控埠的所連接的設備端的MAC地址進行認證，沒有認證通過則無法通過對應的受控埠訪問網絡；同樣，與其連接的中間乙太網交換機的MAC地址如果沒有通過認證，則對應的受控埠無法打開；這樣，網絡中心管理員便無法通過telnet(遠程登錄)管理啟動802.1X認證的乙太網交換機所連接的乙太網交換機。目前，網絡中大量的乙太網交換機設置於各個小區的各個樓道中，對乙太網交換機的遠程管理非常重要，但由於這些乙太網交換機不具有認證功能，所以無法打開啟動802.1X認證的乙太網交換機對應的受控埠與其建立通信聯繫，遠程管理自然無法實現，只能通過手工設置方式等異常繁雜的手段去管理分布在各個樓道的中間乙太網交換機，給運營商對中間乙太網交換機的管理帶來了不便。

發明內容
本發明的目的是提供一種基於802.1X協議的網絡接入設備遠程管理方法，以方便網絡運營商對網絡中各網絡接入設備進行遠程管理。
本發明的目的是這樣實現的一種基於802.1X協議的網絡接入設備管理方法，包括a、網絡接入設備啟動後，向802.1x協議認證伺服器進行認證請求；b、802.1X協議認證伺服器將認證通過後的網絡接入設備接入的受控埠打開；c、網絡接入設備通過打開的受控埠與網絡管理中心通信，實現對網絡接入設備的管理。
執行所述的步驟a之前還包括在802.1X協議認證伺服器進行網絡接入設備訪問權限的配置，即配置網絡接入設備上行埠的訪問權限。
所述的步驟a包括a1、網絡接入設備啟動後，自動向802.1x協議認證伺服器發送EAP(擴展認證協議)認證請求報文；
a2、網絡接入設備接收802.1X協議認證伺服器的響應報文，並將網絡接入設備信息發送給802.1X協議認證伺服器，進行接入權限的認證；a3、網絡接入設備接收802.1X協議認證伺服器發來的認證結果報文，如果認證通過，則繼續執行步驟b，否則，過程結束。
所述的網絡接入設備信息包括網絡接入設備的上行埠進行認證所採用的用戶名和密碼。
執行步驟a2、a3之前分別還包括網絡接入設備根據接收的EAP報文中承載的MAC地址和報文類型確定該報文是發送給本網絡接入設備，還是需要通過網絡接入設備向外轉發，如果該報文是發送給網絡接入設備的EAP報文，則繼續執行步驟a2或a3，如果該報文需要通過網絡接入設備轉發的EAP報文，則將報文正常轉發。
所述的EAP報文用於標識EAP報文的類型值承載於報文的Code欄位，該類型值包括1 Request(認證請求)；2 Response(認證響應)；3 Success(認證成功)；4 Failure(認證失敗)。
步驟a1所述的網絡接入設備自動向802.1x協議認證伺服器發送EAP認證請求報文為當下級網絡接入設備直接與開啟802.1X認證的網絡接入設備相連時，下級網絡接入設備通過埠UP事件觸發，主動發組播EAP-Start(EAP)證開始)報文進行認證觸發。
步驟a1所述的網絡接入設備自動向802.1x協議認證伺服器發送EAP認證請求報文為當下級網絡接入設備不直接與開啟802.1X認證的網絡接入設備相連時，下級網絡接入設備設置為定時主動發組播EAP-Start(EAP認證開始)報文進行認證觸發，直到網絡接入設備通過認證。
步驟a1所述的網絡接入設備自動向802.1x協議認證伺服器發送EAP認證請求報文為下級網絡接入設備設置為主動發組播EAP-Start(EAP認證開始)報文進行認證觸發。
所述的網絡接入設備為乙太網交換機。
由上述技術方案可以看出，本發明解決了現有技術中採用802.1X認證後網絡接入設備(即乙太網交換機)間的正常通信被限制而無法實現乙太網交換機的遠程管理、遠程升級的問題。本發明通過在乙太網交換機增加基於802.1X協議的客戶端功能，使乙太網交換機可以自動向具有認證服務功能的上級乙太網交換機請求認證，並在上級乙太網交換機確認下級乙太網交換機的合法性後，打開上級乙太網交換機對應的受控埠，使網絡管理設備可以通過打開的受控埠實現對下級乙太網交換機的遠程管理。本發明的實現僅需要在認證伺服器中進行通常的配置，而不需要修改已有的認證服務軟體，減少了網絡運營商實現本發明的投資；而且本發明為乙太網交換機間主動認證，自動實現乙太網交換機間互聯，使網絡運營商的管理較為方便。另外，本發明的實現可以使多種組網方式中網絡運營商對網絡接入設備的管理均十分方便。


圖1為802.1X協議的應用體系結構圖；圖2為EAP報文結構示意圖；圖3為本發明的應用環境示意圖；圖4為乙太網交換機間認證的過程示意圖。
具體實施例方式
本發明的核心思想是基於802.1X協議將supplicant(客戶端)功能引入到以網絡接入設備的上行埠，如太網交換機的上行埠，使乙太網交換機具有被認證的功能，為實現對網絡接入設備的管理提供技術基礎。即將乙太網交換機的上行埠配置為supplicant埠；IEEE 802.1X標準中Supplicant主要是指用戶PC或其他終端，將supplicant對象綁定到乙太網交換機的上行埠，使乙太網交換機的上行埠成為一個802.1X協議中的Supplicant，可以主動要求上級埠進行認證，並在認證通過後上級乙太網交換機開啟該乙太網交換機對應的受控埠，使乙太網交換機間的通信成為可能，以方便網管實現對下級乙太網交換機的遠程管理。
本發明中可以設置為令乙太網交換機同時具有Authenticator(設備認證端)和Supplicant功能，即乙太網交換機的下行埠開啟802.1XAuthenticator功能，而上行埠開啟802.1X Supplicant功能，由於乙太網交換機的上行埠和下行埠均採用EAPOL(基於區域網的EAP)報文進行通信，並且乙太網交換機接收的EAPOL報文均被捕獲到乙太網交換機的CPU進行處理，所以需要乙太網交換機的CPU可以根據報文的類型值確定EAPOL報文的接收對象。
EAP是對PPP(點對點協議)的擴展，它是一種通用的認證協議，支持多種認證機制，例如MD5-challenge、TLS、smart cards、Kerberos、Public Key Encryption、One Time Passwords等加密算法所對應的認證機制。當PPP幀中的protocol(協議)域表明協議類型為PPP EAP時，在PPP數據鏈路層幀的Information(消息)域中封裝且僅封裝一個PPPEAP報文。EAP報文的格式如圖2所示，傳輸時各域從左到右依次傳輸；其中Code(代碼)域佔用一個字節，用於標識EAP報文的類型，該域包含以下四種類型值1 Request(認證請求)；2 Response(認證響應)；3 Success(認證成功)；4 Failure(認證失敗)；根據EAP報文中的Code域的類型值便可以準確分辨EAPOL報文接受對象是乙太網交換機的Authenticator還是supplicant；即將目標地址為乙太網交換機MAC地址的EAPOL報文作為協議報文統一由底層進行捕獲，並上交給802.1X協議處理模塊，802.1X協議處理模塊根據Code域的類型值將報文轉交給乙太網交換機的Authenticator或supplicant進行解析處理；即乙太網交換機的處理過程為將組播和單播的EAPOL報文上送到802.1X協議處理模塊後，由802.1X協議處理模塊根據Code域進行處理，對Response報文送Authenticator進行認證處理，對於Request、Success/Failure報文則發送給Supplicant處理，以獲取乙太網交換機作為Supplicant進行認證的認證結果。
本發明中實現被認證功能的下級乙太網交換機的上行埠可以作如下配置埠UP事件觸發認證即由相連的埠間物理連接的建立觸發主動發組播EAP-Start報文進行認證觸發，適用於下級乙太網交換機直接與實現802.1X認證的乙太網交換機相連的情況，當下級乙太網交換機上電或重新建立連接時埠UP事件發生，則主動發送EAP-Star報文；配置命令觸發將乙太網交換機的上行埠配置為通過命令行主動發組播EAP-Start報文進行認證觸發，這種設置方式適用於以各種不同方式與實現802.1X認證服務的乙太網交換機相連的情況；定時觸發將乙太網交換機的上行埠設置為在沒有通過認證前間隔一定時間主動發送組播EAP-Start報文，適用於下級乙太網交換機不直接與實現802.1X認證服務的乙太網交換機相連的情況，如下級乙太網交換機通過中間乙太網交換機與實現802.1X認證服務的乙太網交換機連接時，則定時發送EAP-Start報文，直至認證通過為止。
本發明中被認證的下級乙太網交換機觸發認證後，如圖4所示，上級乙太網交換機的Authenticator根據EAP-Start報文中的MAC地址與下級乙太網交換機的上行埠的supplicant對象進行802.1X正常認證，supplicant根據配置的用戶名和密碼與提供802.1X認證服務的Radius Server(遠程認證伺服器)進行認證交互，其中Radius Server可以設置於乙太網交換機中，也可以外置於乙太網交換機；請求認證的下級乙太網交換機在認證通過後，上級乙太網交換機為下級乙太網交換機開啟埠控制開關，即打開下級乙太網交換機對應的受控埠，為下級乙太網交換機開啟通道，從而方便管理員通過telnet管理各下級乙太網交換機，如圖3所示。
權利要求
1.一種基於802.1X協議的網絡接入設備管理方法，其特徵在於包括a、網絡接入設備啟動後，向802.1x協議認證伺服器進行認證請求；b、802.1X協議認證伺服器將認證通過後的網絡接入設備接入的受控埠打開；c、網絡接入設備通過打開的受控埠與網絡管理中心通信，實現對網絡接入設備的管理。
2.根據權利要求1所述的基於802.1X協議的網絡接入設備管理方法，其特徵在於執行所述的步驟a之前還包括在802.1X協議認證伺服器進行網絡接入設備訪問權限的配置，即配置網絡接入設備上行埠的訪問權限。
3.根據權利要求1所述的基於802.1X協議的網絡接入設備管理方法，其特徵在於所述的步驟a包括a1、網絡接入設備啟動後，自動向802.1x協議認證伺服器發送EAP(擴展認證協議)認證請求報文；a2、網絡接入設備接收802.1X協議認證伺服器的響應報文，並將網絡接入設備信息發送給802.1X協議認證伺服器，進行接入權限的認證；a3、網絡接入設備接收802.1X協議認證伺服器發來的認證結果報文，如果認證通過，則繼續執行步驟b，否則，過程結束。
4.根據權利要求3所述的基於802.1X協議的網絡接入設備管理方法，其特徵在於所述的網絡接入設備信息包括網絡接入設備的上行埠進行認證所採用的用戶名和密碼。
5.根據權利要求3所述的基於802.1X協議的網絡接入設備管理方法，其特徵在於執行步驟a2、a3之前分別還包括網絡接入設備根據接收的EAP報文中承載的MAC地址和報文類型確定該報文是發送給本網絡接入設備，還是需要通過網絡接入設備向外轉發，如果該報文是發送給網絡接入設備的EAP報文，則繼續執行步驟a2或a3，如果該報文需要通過網絡接入設備轉發的EAP報文，則將報文正常轉發。
6.根據權利要求5所述的基於802.1X協議的網絡接入設備管理方法，其特徵在於所述的EAP報文用於標識EAP報文的類型值承載於報文的Code欄位，該類型值包括1 Request(認證請求)；2 Response(認證響應)；3 Success(認證成功)；4 Failure(認證失敗)。
7.根據權利要求3所述的基於802.1X協議的網絡接入設備管理方法，其特徵在於步驟a1所述的網絡接入設備自動向802.1x協議認證伺服器發送EAP認證請求報文為當下級網絡接入設備直接與開啟802.1X認證的網絡接入設備相連時，下級網絡接入設備通過埠UP事件觸發，主動發組播EAP-Start(EAP認證開始)報文進行認證觸發。
8.根據權利要求3所述的基於802.1X協議的網絡接入設備管理方法，其特徵在於步驟a1所述的網絡接入設備自動向802.1x協議認證伺服器發送EAP認證請求報文為當下級網絡接入設備不直接與開啟802.1X認證的網絡接入設備相連時，下級網絡接入設備設置為定時主動發組播EAP-Start(EAP認證開始)報文進行認證觸發，直到網絡接入設備通過認證。
9.根據權利要求3所述的基於802.1X協議的網絡接入設備管理方法，其特徵在於步驟a1所述的網絡接入設備自動向802.1x協議認證伺服器發送EAP認證請求報文為下級網絡接入設備設置為主動發組播EAP-Start(EAP認證開始)報文進行認證觸發。
10.根據權利要求1所述的基於802.1X協議的網絡接入設備管理方法，其特徵在於所述的網絡接入設備為乙太網交換機。
全文摘要
本發明涉及一種基於802.1X協議的網絡接入設備管理方法。該方法使得作為網絡接入設備的乙太網交換機啟動後，可以自動向802.1x協議認證伺服器進行認證請求，並由802.1X協議認證伺服器將認證通過後的網絡接入設備接入的受控埠打開；以方便網絡接入設備通過打開的受控埠與網絡管理中心通信，實現對網絡接入設備的管理。本發明的實現不需要修改目前已實現的認證服務軟體，減少了網絡運營商實現本發明的投資；而且本發明為乙太網交換機間主動認證，自動實現乙太網交換機間互聯，從而使網絡運營商的管理更為方便。
文檔編號H04L29/06GK1503518SQ02154609
公開日2004年6月9日 申請日期2002年11月26日 優先權日2002年11月26日
發明者羅漢軍, 鄒婷, 魏其禮, 湯傑成 申請人:華為技術有限公司