专利名称:促进异类认证以允许网络接入的制作方法
技术领域:
本公开一般涉及促进希望接入网络接入端口的客户端设备(和/或关联的客户端设备用户)的认证,具体地涉及考虑潜在的客户端设备(和/或关联的客户端设备用户) 的异类认证方法来促进客户端设备(和/或关联的客户端设备用户)的认证。
背景技术:
在企业数据网络中,已知的认证方法需要网络管理者选择并配置特定的认证方法 (即配置的认证方法),该方法被用在特定交换机或路由器的网络接入端口上。在一些实例 中,网络接入端口可以用一个默认的认证方法来配置以在客户端设备认证失败的情况下以 所配置的认证方法分类该客户端设备。这种已知认证方法的例子包括(但不限于)802. Ix 认证协议、媒体访问控制(MAC)认证协议、基于web的登录等。这需要人工确定和配置特定 的认证方法,这使得连接到网络接入端口的设备被限制成仅能够使用所配置的认证方法, 因为连至网络接入端口的客户端设备仅限于该配置的认证方法,并且只要与许多潜在认证 方法之一相容的客户端设备在网络中移动就需要大量的人工管理来支持异类认证方法。根据802. Ix认证协议,在交换机或路由器的网络接入端口的端口启动事件期间, 扩展认证协议(EAP)-请求/身份帧被发送到802. Ix组MAC地址以从连至该端口的请求者 请求开始认证。之后,EAP-请求/身份帧只被发送到在端口上发送数据业务的客户端设备 的指定MAC地址。如果该客户端设备是请求者(即与802. Ix相容的设备),则这会触发该 客户端设备认证的开始。如果该客户端设备是请求者,则它应当返回EAP-响应/身份帧以 开始认证。如果未收到EAP-响应/身份帧,则在若干次尝试之后,该客户端设备被认为是 非请求者并且默认地被阻止。这个场景示例性地说明了认证尝试连接到路由器或交换机的 网络接入端口的客户端设备仅限于一个认证方法所造成的缺点。类似的缺点对于非请求者 的认证方法也存在。因此,以允许自动地顺次应用几个不同的认证方法来识别出与客户端设备的认证 能力相容的一个认证方法的方式从而促进对客户端设备的认证是有利的、令人期望的且有 用的。
发明内容
本发明的实施例提供了创建将多个认证方法合并在一个配置内的一组策略,由此 使得多个客户端设备能够利用不同的认证方法连接到网络接入端口。具体地,本发明的实 施例提供了一种方法,通过该方法,交换机或路由器基于预先配置的一组策略来应用合适 的认证机制。这种策略的例子包括利用802. Ix认证协议的首次尝试认证,然后如果必要则 尝试利用MAC认证协议进行认证,接着如果必要则尝试利用基于web的登录(即认证)协 议进行认证。可选地,每个认证协议的组合都可以进行尝试。现有技术方案未能提供这种 先进且灵活的方法。因此,这个方案使得网络接入端口能够以允许移动用户(膝上型电脑 等)围绕网络基础设施移动并且通过重新配置网络接入端口而使用各种不同的认证方法的方式而被配置。除了认证功能之外,根据本发明的使用一组策略的促进认证功能(即混 合策略链)还提供了分类功能,该分类功能确定将成功认证过的特定客户端设备置于哪个 虚拟局域网(VLAN)中。通过这种方式,根据本发明的促进客户端设备认证提供了缩减的操 作开销和/或识别并认证网络上的设备的增加的能力,这二者都是高级网络安全组件的组 成部分。在本发明的一个实施例中,一个方法包括多个操作。一个操作是促进对试图连接 到网络单元端口的客户端设备的认证。促进认证包括确定该客户端设备是否被配置成利用 第一认证机制(例如认证协议)来认证,并且响应于确定了该客户端设备没有被配置成利 用该第一认证机制来认证,确定该客户端设备是否被配置成利用至少另一个认证机制来认 证。对于每个认证机制,一个操作是响应于该客户端设备成功认证而根据第一分类策略结 构为该客户端设备提供网络连通性,并且一个操作是响应于该客户端设备认证失败而根据 与该第一分类策略结构不同的第二分类策略结构为该客户端设备提供网络连通性。在本发明的另一个实施例中,提供了一组处理器可执行指令。该组处理器可执行 指令包括用于促进对试图连接到网络单元端口的客户端设备的认证的指令。促进认证包括 确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设 备没有被配置成利用该第一认证机制来认证,确定该客户端设备是否被配置成利用至少另 一个认证机制来认证。对于每个认证机制,提供了这样的指令响应于该客户端设备成功认 证而根据第一分类策略结构为该客户端设备提供网络连通性,并且响应于该客户端设备认 证失败而根据与该第一分类策略结构不同的第二分类策略结构为该客户端设备提供网络 连通性。在本发明的另一个实施例中,一种服务器被配置成促进对试图连接到网络单元端 口的客户端设备的认证,并且对于每个认证机制,该服务器还被配置成响应于该客户端设 备成功认证而根据第一分类策略结构为该客户端设备提供网络连通性,并且响应于该客户 端设备认证失败而根据与该第一分类策略结构不同的第二分类策略结构为该客户端设备 提供网络连通性。促进认证包括确定该客户端设备是否被配置成利用第一认证机制来认 证,并且响应于确定了该客户端设备没有被配置成利用该第一认证机制来认证,确定该客 户端设备是否被配置成利用至少另一个认证机制来认证。参考附图,通过阅读下面的描述,本发明的所述和其他目的、实施例、优点和/或 区别将变得显而易见。
图1是根据本发明一个实施例的用于促进客户端设备的端口分配的方法100的流 程图;图2是根据本发明一个实施例的用于通过第一分类策略结构提供网络连通性的 操作的流程图;图3是根据本发明一个实施例的用于通过第二分类策略结构提供网络连通性的 操作的流程图;图4是根据本发明一个实施例的通过默认分类策略结构提供网络连通性的操作 的流程图5示出了根据本发明的用于利用802. Ix认证来促进端口分配的方法;图6和7示出了根据本发明的用于利用MAC认证来促进端口分配的方法;图8和9示出了根据本发明的用于利用VLAN标识来促进端口分配的方法;图10和11示出了根据本发明的用于利用VLAN分类规则来促进端口分配的方法;图12和13示出了根据本发明的用于利用默认VLAN规则来促进端口分配的方法;图14和15是关于根据本发明的混合分类策略的第一实例的流程图;图16是关于根据本发明的混合分类策略的第二实例的流程图;图17是关于根据本发明的混合分类策略的第三实例的流程图;图18是关于根据本发明的混合分类策略的第四实例的流程图;图19是关于根据本发明的混合分类策略的第五实例的流程图;图20是关于根据本发明的混合分类策略的第六实例的流程图;图21是关于根据本发明的混合分类策略的第七实例的流程图。
具体实施例方式根据本发明的实施例,交换机或路由器的每个802. Ix端口都应当具有若干不同 的设备分类策略,该策略可以与802. Ix认证一起被配置。本发明的分类策略涉及一种用 于允许网络连通性的方法,其可以终止于在VLAN上学习到的客户端或被阻止接入端口的 客户端的MAC地址。策略不必针对所有设备而终止,在一些情况下,其他策略可以随后被应 用。根据本发明实施例的策略在指定了策略和策略实施顺序的链中被配置。该链中的第一 策略首先实施,并且如果它没有终止则实施第二策略,等等。策略链可以被看作包括多个原子策略的混合策略。存在两种混合策略,它们被配 置在802. Ix认证端口上请求者策略和非请求者策略。请求者策略应用于作为802. Ix客 户端(通常称作请求者)的客户端设备,而非请求者策略应用于所有其他设备(即非请求 者)。图1示出了根据本发明一个实施例的用于促进客户端设备的端口分配的方法00。方法100开始于确定需要进行客户端设备认证的操作102。在一个实施例中,客户端设 备认证包括用户认证。响应于这种确定,识别该客户端设备是802. Ix请求者,执行操作104 以促进该客户端设备的802. Ix认证。响应于该客户端设备成功通过802. Ix认证,执行操 作106以通过第一 802. Ix分类策略结构提供网络连通性。响应于该客户端设备的802. Ix 认证失败,执行操作108以通过与第一 802. Ix分类策略结构不同的第二 802. Ix分类策略 结构提供网络连通性。响应于确定该客户端设备不是802. Ix请求者,该客户端设备被配置成利用MAC认 证方法认证,这种MAC认证方法被应用于该客户端设备。为此,响应于该客户端设备成功通 过MAC认证,执行操作112以通过第一MAC分类策略结构提供网络连通性。响应于该客户端 设备的MAC认证失败,执行操作114以通过与该第一 MAC分类策略结构不同的第二 MAC分 类策略结构提供网络连通性。如果该客户端设备未被识别成802. Ix请求者并且MAC认证 方法没有被配置在策略中,则执行操作116以通过默认的分类策略结构提供网络连通性。本领域技术人员应当认识到,是否应用MAC认证方法的判决是一种配置参数,不 是基于像802. Ix认证那样的设备特性的动态判决。每个设备具有一个MAC地址,因此每个设备被配置成MAC认证。是否应用MAC认证是基于策略的预定配置的,即该客户端设备的管理者所建立的策略链。相应地,根据本发明,具有足以允许802. Ix认证的特征的设备在 这里被定义成针对802. Ix认证而配置的设备。本领域技术人员还应当理解,MAC认证不具 有成功和失败树。MAC认证可以具有针对未成功认证的MAC认证设备以及未认证设备(例 如其中MAC认证完全关闭)的策略分支。然而,这些分支是不同的并且相互排斥,以便一次 只能配置一个。因此,在方法112的背景下,通过MAC认证是指客户端设备成功认证这一条 件,这与成功跟随MAC认证分支的设备相反。参考图2,在一个实施例中,通过第一分类策略结构(例如802. Ix分类策略结构、 MAC分类策略结构等)提供网络连通性包括估计客户端设备信息(例如客户端设备类型、 配置参数等)的操作120,执行操作122以估计认证属性信息,执行操作124以根据认证属 性和客户端设备信息来选择连通性方法,并且执行操作126来实现所选择的连通性方法。 应当指出,所选择的连通性方法可以是唯一的连通性方法。参考图3,在一个实施例中,通 过第二分类策略结构(例如802. Ix分类策略结构、MAC分类策略结构等)提供网络连通 性包括执行估计客户端设备信息(例如客户端设备类型、配置参数等)的操作128,执行操 作130以根据客户端设备信息来选择连通性方法,并且执行操作132来实现所选择的连通 性方法。参考图4,在一个实施例中,通过默认分类策略结构提供网络连通性包括执行操作 134以通过已知的强制网络门户(captive portal)认证技术来促进客户端设备的认证。响 应于客户端设备成功通过该强制网络门户认证,执行操作136以通过第一强制网络门户分 类策略结构提供网络连通性。响应于该客户端设备的强制网络门户认证失败,执行操作138 以通过与该第一强制网络门户分类策略结构不同的第二强制网络门户分类策略结构提供 网络连通性。在本发明的至少一个实现中,强制网络门户策略可以是终端策略。在这种实现中, 强制网络门户策略不能后随有另一个策略。然而,这并不排除强制网络门户策略具有它自 己的认证分支和/或规则分类。此外,这里公开了根据本发明的促进认证和端口分配可以 包括致使一个认证实例后随有另一个认证实例这一功能性。例如,802. Ix认证可以后随有 通过强制网络门户的认证而MAC认证可以后随由通过强制网络门户的认证。根据本发明的 实施例,在802. Ix认证的端口上支持发送标记帧的客户端设备的分类。该支持仅针对非请 求者并且通过非请求者策略来处理。该非请求者策略必须能够处理标记帧和常规(未标 记)帧二者,以便每个非请求者原子策略都具有它自己的标记版本和常规(未标记)版本。 如下文所讨论的那样,这种策略处理是通过一组处理器可执行的指令来促进的,并且用户 不需要针对标记帧和未标记帧而分别具有各自的CLI (命令行接口)命令集。通常,标记帧按照该端口的策略而作为未标记帧被处理。在客户端设备的MAC地 址被分类之前,标记帧具有额外的检查以查看要学习的VLAN是否具有标记帧中的相同的 VLAN ID。如果两个VLAN不同,则该设备被阻止接入该端口。正如常规VLAN分类端口那样, 仅当标记帧的VLANID字段中指定的VLAN支持移动标签时,设备分类端口上的标记帧才被 看作匹配于VLAN分类规则。因此,标记帧的VLAN ID在本公开中被称作“标记VLAN”。关于如何使用标记帧而存在两种客户端设备。第一种一直发送标记帧至端口并且 根据本发明利用该端口上配置的非请求者策略的标记版本而被分类。第二种发送常规(未 标记)帧和标记帧二者。第二种客户端设备的例子是Alcatel Brand IP (互联网协议)电话,该电话如果是这样被配置的则首先发送常规帧然后发送标记帧。这种客户端设备可以 在它开始标记帧传输之前基于其常规帧而被分类。如下文详细讨论的那样,在一些情况下, 这种客户端设备随后将基于收到的标记帧而被重新分类。在本发明的一个实施例中,策略链中可以使用六个原子策略。这些原子策略是 802. Ix认证、MAC认证、VLAN分类规则、VLAN ID、默认VLAN和块(Block)。802. Ix认证和 MAC认证涉及由远程RADIUS服务器推动的认证并且仅能够分别应用于请求者和非请求者。 VLAN分类规则、VLAN ID、默认VLAN和块可以同时应用于请求者和非请求者。默认VLAN和 块是终端策略,这意味着在这两个策略之后没有其他策略可被应用。VLAN分类规则、VLAN ID、默认VLAN可以应用于两种不同的模式,即非严格模式和 严格模式,这取决于设备是否被认证。在严格模式中,禁止将客户端设备分类到认证的VLAN 中。相反,在非严格模式中,不存在这种限制,以便客户端设备可以被分类到认证的和非认 证的VLAN 二者中。MAC认证、VLAN分类规则、VLAN ID、默认VLAN可以用来分类发送常规 (未标记)帧的客户端设备以及发送标记帧的设备。因此,MAC认证帧可以被标记和不被标 记,而VLAN分类规则、VLAN ID、默认VLAN帧可以是非严格标记、非严格未标记、严格标记和 严格未标记。图5至13包括了不同原子策略及其各自的变型的指定方面的流程图。应当指出, 非终端策略的流程图具有导向下一个策略的扩展路径(即原始/前一策略的扩展)。非终 端策略的流程图可以具有多个扩展路径,但是通常具有单个扩展。特例是802. Ix认证和 MAC认证流程图,它们每个都具有两个扩展,即扩展至严格策略的第一扩展路径和扩展至非 严格策略的第二扩展路径。还应当指出,严格策略仅扩展至严格策略或块策略。类似地,非 严格策略仅扩展至非严格策略或块策略。特别参考图5,示出了用于利用802. Ix认证促进端口分配的方法200。802. Ix认 证只应用于请求者(即802. Ix客户端设备)。在块202,促进客户端设备的用户的802. Ix 认证。促进这种认证是通过802. Ix客户端(用户)与远程RADIUS服务器之间的EAP(扩 展认证协议)分组交换来完成的,其中交换机用作中继。该认证是MAC增强的802. Ix变 型,因为交换机将用户的MAC地址信息添加至每个EAP-响应/身份分组。该分组被封装在 RADIUS帧中并且MAC地址信息被设置于Calling-Station-IdRADIUS属性中。如果该认证未成功(块204),则使用链中的下一个策略(块206)。根据指定的结 构配置,该下一个策略必须是严格VLAN或块。在成功认证的情况下(块204),如果服务器 返回VLAN ID (块208)并且这个VLAN存在(块210),则在块212在这个VLAN上学习MAC 地址。如果返回的VLAN不存在(块210),则使用链上的下一个策略(块210),在该情况下, 该下一个策略必须是在认证失败的情况下。如果服务器未返回VLAN(块208),则应用链中 的下一个策略(块214),在该情况下,该下一个策略必须是非严格的。作为参考,图1的流 程图中存在三个扩展路径和两个扩展。图6和7示出了用于利用MAC认证促进端口分配的方法300,并且这种基于MAC的 认证只是非请求者策略。如802. Ix认证那样,在标记或未标记帧的情况下,MAC认证具有 两个扩展和一个终止的路径。这使之能够在设备已通过认证但未能被分类的情况下应用一 组策略,并且在该设备认证失败的情况下应用另一组策略。与802. Ix认证的情况相反,当 服务器知道该设备但不存在返回的VLAN时,该设备被认为已通过认证。
如图6所示,执行设备的静默(消极)认证(图6的块302)。这种认证是通过远 程RADIUS服务器执行的。交换机以RADIUS帧的形式发送MAC地址信息给服务器,该RADIUS 帧具有设于用户名和密码(即认证)属性中的MAC地址。首先参考确定通过未标记帧执 行认证的情况(图6的块304),如果认证未成功(图6的块306),则应用链中的下一个策 略(块308),在该情况下,该下一个策略必须是严格的或终端的。如果认证成功(图6的 块306),则服务器返回VLAN(图6的块312),并且这个VLAN存在(图6的块312),在这个 VLAN上学习该设备的MAC地址(图6的块314)。否则,当认证成功时,应用链中的下一个 策略(图6的块316),在该情况下,该下一个策略必须是非严格未标记策略或块策略。作为 参考,图6的流程图中存在三个扩展路径和两个扩展。仍参考图6和7,参考确定通过标记帧执行认证的情况(图6的块304),如果认证 未成功(图7的块306A),则应用链中的下一个策略(图7的块308A),在该情况下,该下一 个策略必须是严格的或终端的。如果认证成功(图7的块306A),则服务器返回VLAN(图 7的块310A),这个VLAN存在(图7的块312A)并且这个VLAN等于标记VLAN (图7的块 318),在这个VLAN上学习该设备的MAC地址(块314A)。如果认证成功(图7的块306A), 则服务器返回VLAN(图7的块310A),这个VLAN存在(图7的块312A)并且这个VLAN不等 于标记VLAN(图7的块318),阻止该设备的MAC地址(图7的块320)。当该设备成功认证 并且未返回VLAN(图7的块310A)时或当服务器返回VLAN(图7的块310)但该VLAN不存 在(图7的块312A)时,应用链中的下一个策略(块322),在该情况下,该下一个策略必须 是非严格的或终端的。作为参考,图7的流程图中存在四个扩展路径和两个扩展。图8和9示出了用于利用VLAN标识(ID)促进端口分配的方法400。VLAN ID是 非终端策略,其可应用于请求者(未标记帧)和非请求者(标记和未标记帧)二者。其使 得设备的MAC地址能够在任何VLAN上被学习,这因而添加了另一层灵活性。可以创建VLAN 以安排所有非请求者接入802. Ix认证的端口。这种VLAN称作访客VLAN。还可以创建VLAN 以安排所有认证失败的请求者(即失败的VLAN)。失败的VLAN必须是未认证的VLAN,以便 使用严格型的VLAN ID策略。这个策略在该背景下用作终端策略,因为它唯一的合法扩展 是块策略。此外,这个策略针对标记的和未标记的帧的行为是不同的并且也可以被实现成 严格的或非严格的。因此,存在四种VLAN ID策略非严格未标记、非严格标记、严格未标记 和严格标记。参考图8,设备的VLAN ID端口分类被确定成非严格的(块402)并且被确定为未 标记的(块404),这在这里称作非严格未标记VLAN ID策略。这种策略应用于请求者和非 请求者并且试图将发送未标记帧的设备分类到所选的VLAN中。如果所选VLAN存在(块 406),则该设备被分类到该VLAN中(块408)。否则,应用链中的下一个策略(块410)。作 为参考,图8的流程图的非严格未标记部分中存在一个扩展路径和一个扩展,并且该扩展 是至非严格未标记策略或块策略。仍参考图8,设备的VLAN ID端口分配被确定成非严格的(块402)并且被确定成 标记的(块404),其在这里称作非严格标记VLAN ID策略。这种策略应用于请求者和非请 求者并且行为上类似于非严格未标记VLANID策略的情况,除了所述设备必须是发送标记 帧的非请求者。因此,所选VLAN是否存在(块412)以及该VLAN是否与标记VLAN相同(块 414)均需要检查。如果检查结果是肯定的,则该设备被分类到所选VLAN中(块408)。否贝U,如果两个检查结果都是否定的,则认为该设备在标记VLAN是被阻止的(块416)。作为 参考,图8的流程图的非严格标记部分中存在两个扩展路径和一个扩展(图3)并且该扩展 是至非严格标记策略或块策略。 参考图8和9,设备VLAN ID被确定成严格的(图8的块402)并且被确定成为未 标记的(块404B),其在这里称作严格未标记VLAN ID策略。这个策略在行为上类似于上述 非严格未标记VLAN ID策略,除了 VLAN的存在不保证设备分类。如果所选VLAN存在(图 9的块406B)并且VLAN未认证(图9的块418),则该设备被分类到该VLAN中(图9的块 408B)。否则,如果该VLAN不存在或已认证,则应用链中的下一个策略(图9的块420)。作 为参考,图8和9的流程图的严格标记部分中存在两个扩展路径和一个扩展,并且该扩展是 至另一个严格未标记策略或块策略。参考图8和9,设备的VLAN ID端口分配被确定成严格的(图8的块402)并且被 确定成标记的(块404B),其在这里称作严格标记VLAN ID策略。这个策略在行为上类似于 上述非严格标记VLAN ID策略,除了 VLAN的存在不保证设备分类。因此,所选VLAN是否存 在(图9的块412B)、该VLAN是否被认证(图9的块422)以及该VLAN是否与标记VLAN相 同(图9的块414B),均需要检查。如果VLAN存在(图9的块412B)、未被认证(图9的块 422)并且与标记VLAN相同(图9的块414B),则该设备被分类到所选VLAN中(图9的块 408B)。否则,如果VLAN不存在(图9的块412B)、已认证(图9的块422)或与标记VLAN 不相同(图9的块414B),则认为该设备在标记VLAN上被阻止(图9的块424),在该情况 下该设备仅在VLAN未被认证的情况下被分类。作为参考,在图8和9的严格标记部分中存 在三个扩展路径和一个扩展并且该扩展是至另一个严格标记策略或块策略。图10和11示出了用于利用VLAN分类规则(也称作组移动性规则)促进端口分 类的方法500。VLAN分类规则策略是非终端策略,其具有四个类型非严格未标记、非严格 标记、严格未标记和严格标记。在常规VLAN分类端口中,DHCP (动态主机配置协议)规则 被用来将MAC分类至VLAN。对于根据本发明的设备分类,当应用端口的设备分类策略时,具 有匹配的DHCP规则并不被看作是具有匹配的VLAN分类规则并且因此在这种情况下将移至 链的下一个策略.参考图10,设备的VLAN分类端口分配被确定成非严格的(块502)并且被确定成 未标记的(块504),其在这里称作非严格未标记VLAN分配策略。这个策略处理发送未标 记帧的设备、请求者或非请求者并且使用VLAN分类规则(块506)以确定其分类。如果不 存在匹配的规则(块508),则应用链中的下一个策略(块510)。如果存在匹配的规则(块 508),则该设备被相应地分类(块512),例如通过学习VLAN上的MAC地址。如果该设备的 MAC地址匹配于这个规则,则该规则被跳过并且搜索继续进行。作为参考,图10的流程图的 非严格未标记部分中存在一个扩展路径和一个扩展,并且该扩展是至另一个非严格未标记 策略或块策略。仍参考图10,设备的VLAN分类端口分配被确定成非严格的(块502)并且被确定 成标记的(块504),其在这里称作非严格标记VLAN分类策略。该策略试图分类作为发送标 记帧的非请求者的设备。它不使用VLAN分类规则,但是简单地检查标记VLAN是否支持移 动标签(块514)。如果该标记VLAN支持移动标签,则如同存在匹配的VLAN分类规则那样 处理该设备以使得该设备被分类到该标记VLAN中(块516)。否则,认为该设备被阻止(块518)。作为参考,图10的流程图的非严格标记部分中存在一个扩展路径和一个扩展,并且 该扩展是至另一个非严格标记策略或块策略的。参考图10和11,设备的VLAN分类端口分配被确定成严格的(块502)并且被确定 成为标记的(块504C),其在这里称作严格未标记VLAN分类策略。该策略在行为上类似于非 严格未标记策略VLAN分类策略,因为它使用VLAN分类规则来分类设备(图11的块506)。 然而,它仅针对非请求者并且匹配的规则不保证该设备被分类。该设备仅在有关VLAN未被 认证的情况下被分类。如果不存在匹配的规则(图11的块508C)或VLAN已认证,则应用 链中的下一个策略(图11的块510C)。如果存在匹配的规则(图11的块508C)并且VLAN 未被认证(图11的块520),则该设备被相应地分类(图11的块512C),例如通过学习VLAN 上的MAC地址。作为参考,在图11的严格未标记部分中存在两个扩展路径和一个扩展,并 且该扩展是至另一个严格未标记策略或块策略的。
参考图10和11,设备的VLAN分类端口分配被确定成严格的(块502)并且被确 定成标记的(块504C),其在这里称作严格标记VLAN分类策略。这个策略在行为上类似于 非严格标记VLAN分类策略,因为它检查标记VLAN是否支持移动标签。然而,肯定的检查不 保证该设备会被分类。该设备仅在该标记VLAN未被认证的情况下被分类。它不使用VLAN 分类规则,但是简单地检查标记VLAN是否支持移动标签(图11的块514C)。如果该标记 VLAN支持移动标签(图11的块514C)并且标记VLAN未被认证(图11的块522),则如同存 在匹配的VLAN分类规则那样处理该设备,以便该设备被分类到该标记VLAN中(图11的块 516C)。否则,如果标记VLAN不支持移动标签(图11的块514C)或标记VLAN已认证(图 11的块522),则应用链中的下一个策略(图11的块524)。作为参考,图10和11的流程图 的严格标记部分中存在两个扩展路径和一个扩展,并且该扩展是至另一个严格未标记策略 或块策略的。仍参考VLAN分类端口分配,如上所述,存在首先发送常规帧稍后切换至标记帧的 设备。这种设备可以首先基于常规帧被分类然后基于标记帧被重新分类。重新分类的规则 如下a)标记VLAN必须支持移动标签;b)该设备最初通过VLAN分类规则策略被分类;c) 如果该设备之前被认证服务器认证则它将被分类到标签帧上的VLAN ;和d)如果该设备之 前未被认证则它只能在标记帧上的VLAN无法被认证的情况下被重新分类。图12和13示出了用于利用默认VLAN规则促进端口分类的方法600。默认VLAN 是将VLAN的MAC地址安排到端口的默认VLAN中的终端策略。由于端口的默认VLAN可以 是认证的VLAN,因此需要这个终端策略的严格版本。因此,策略分为四种非严格未标记、 非严格标记、严格未标记和严格标记。参考图12,设备的默认VLAN端口分配被确定成非严格的(块602)并且被确定成 未标记的(块604),其在这里称作非严格未标记默认VLAN策略。这个策略是应用于发送常 规(未标记)帧的请求者和非请求者的终端策略。它简单地将设备的MAC地址安排到端口 的默认VLAN中(块606)。参考图12,设备的默认VLAN端口分配备确定成非严格的(块602)并且被确定成 未标记的(块604),其在这里称作非严格未标记默认VLAN策略。这个策略是应用于发送常 规(未标记)帧的请求者和非请求者的终端策略。它简单地将设备的MAC地址置于端口的 默认VLAN中(块606)。
仍参考图12,设备的默认VLAN端口分配备确定成非严格的(块602)并且被确定 成未标记的(块604),其在这里称作非严格未标记默认VLAN策略。这个策略是应用于只发 送标记帧的请求者和非请求者的终端策略。如果该VLAN匹配于标记VLAN(块608),则设备 的MAC地址被置于端口的默认VLAN中(块610)。否则,该MAC地址被阻止(块612)。 参考图12和13,设备的默认VLAN端口分配被确定成严格的(块602)并且被确 定成未标记的(块604D),其在这里称作严格未标记默认VLAN策略。这个策略是应用于只 发送未标记帧的请求者和非请求者的终端策略。如果该VLAN不是认证的变型(图13的块 614),则它将设备的MAC地址置于端口的默认VLAN中(图13的块610D)。否则,该MAC地 址被阻止(图13的块612D)。参考图12和13,设备的默认VLAN端口分配被确定成严格的(块602)并且被确定 成标记的(块604D),其在这里称作严格标记默认VLAN策略。这个策略是应用于只发送标 记帧的非请求者的终端策略。如果该VLAN不是认证的变型(图13的块616)并且匹配于 标记VLAN(图13的块608D),则该设备的MAC地址被置于端口的默认VLAN中(图13的块 610D)。否则,如果该VLAN是认证的变型(图13的块616)或不匹配于标记VLAN(图13的 块608D),则该MAC地址被阻止(图13的块612D)。现在讨论根据本发明的用于实现端口分配的端口和策略配置,从而使得设备分类 策略可以用于专用端口上,该端口应当被配置成802. Ix认证的端口。这包括配置VLAN分 类以便该端口是移动的并且是802. Ix认证的。对于特定的系统级配置中的基于MAC的认 证特征是在认证授权和计费模块中完成的。这包括配置RADIUS服务器的列表以提供AAA 中的基于MAC的认证。这个列表可以与802. Ix认证的服务器的列表不同。注意,如果选择 将这两个列表配置为相同,则它们也可以是相同的。请求者和非请求者混合策略的配置是 在802. Ix处理器中完成的。关于策略配置,原子策略被并入链中以及可选地并入用于创建混合策略的树中。 在本发明的至少一个实施例中,有几个必须遵循的规则以适当地配置混合策略。这些规则 中的第一个是特定类型的原子策略在混合策略中只能出现一次(即不允许重复)。这些规 则中的第二个是严格的原子策略只能用另一个严格的原子策略或块策略来扩展。这些规则 中的第三个是非严格的原子策略只能用另一个非严格的策略或块策略来扩展。这些规则中 的第四个是标记的原子策略只能用另一个标记的原子策略或块策略来扩展。这些规则中的 第五个是未标记的原子策略只能用另一个未标记的源自策略或块策略来扩展。这些规则中 的第六个是混合策略必须终止。这些规则中的第七个是如果混合策略未终止则就不是默认 终端源自策略被添加的情况。这些规则中的第八个是混合策略中最多允许有三个VLAN ID 策略。应当指出,默认终端策略是块。还应当指出,出于上述规则1的目的,如果两个 VLAN ID策略涉及不同的VLAN则它们被认为是不同的。存在用于配置非请求者混合策略的附加规则。这些规则中的第一个是请求者原子 策略不能是非请求者混合策略的一部分。这些规则中的第二个是如果MAC认证是混合策略 链/树中的原子策略之一,则它必须是第一个策略。这些规则中的第三个是严格策略或块 策略是第一个策略。存在用于配置请求者混合策略的附加规则。这些规则中的第一个是非请求者原子策略不能是请求者混合策略的一部分。这些规则中的第二个是802. Ix认证策略必须是混合策略链中的第一个策略。这些规则中的第三个是严格VLAN ID策略必须后随块策略。现在讨论根据本发明的基本系统结构,除了添加了根据本发明的设备认证/分类 特征以外,设备认证功能性不改变。802. Ix端口中的认证过程以与现有802. Ix认证相同 的方式开始。在端口启动时,EAP-请求/身份帧被发送至802. 1组MAC地址以从连至该端 口的请求者请求开始认证。之后,EAP-请求/身份帧只被发送至在该端口上发送数据业 务的设备的指定MAC地址。如果设备是请求者,则这将触发认证的开始。该设备应当返回 EAP-响应/身份帧以开始认证。如果未收到EAP-响应/身份巾贞,则在若干次尝试之后,该 设备是非请求者并且默认地被阻止。这个行为现在可以更改成非请求者分类策略链可以在 端口上被配置。根据所配置的内容,该设备可以被置于MAC认证的或按照VLAN分类规则而 分类的被配置VLAN中。在MAC认证的情况下,设备的MAC地址被检查有效性以发现它是否 应当被学习并且在哪个VLAN上。(特别是针对基于MAC的认证所配置的)RADIUS服务器自 己执行认证。该服务器从交换机获取RADIU帧,其中该设备的MAC地址为用户名和密码二 者。这个功能性类似于一个或多个已知VLAN认证应用当前如何使用RADIUS服务器进行认 证。RADIUS不需要任何销售商指定的或标准的属性(其在当前不被支持)来按照本发明而 操作。如果设备的MAC地址是已知的并且RADIUS服务器返回VLAN并且VLAN存在,则在这 个VLAN上学习该MAC,由此该设备被授权以该端口上的业务。现在介绍请求者和非请求者混合分类策略的不同配置的不同实例。按照公开的内 容,本领域技术人员应当认识到,这些实例并非是详尽的或穷举的,许多在本公开和/或所 附权利要求范围内的实例在这里并未覆盖。此外,本领域技术人员应当认识到,它们是描述 如何实现各个功能性的实例,并且可以通过CLI的不同变型来实现相同或十分相似的功能 性。实例1命令是 802. Ix slot/port non-supplicant policy authentication passgroup-mobility default-vlan fail vlan 10 [block],其设定了非请求者的策略。该 策略以不同方式处理标记的和未标记的帧。在未标记的情况下,如图14所示,首先执行MAC认证。如果该设备通过认证但是 未被分类,则应用VLAN分类规则。如果没有匹配的规则,则该设备的MAC在默认VLAN上被 学习。如果该设备认证失败,则其MAC在VLAN 10上被学习,假设VLAN 10存在并且不是认 证的VLAN。否则阻止该设备的MAC。在标记的情况下,如图15所示,首先执行MAC认证。如果该设备通过认证并且VLAN 被返回,则该设备仅当该VLAN存在并匹配于标记VLAN时才被分类。如果这二者不匹配,则 该设备被阻止。如果没有VLAN被返回或返回的VLAN不存在,则该设备在标记VLAN支持移 动标签的情况下被分类至该标记VLAN中。这种情况是因为成功认证之后的策略是VLAN分 类并且使得标记VLAN支持移动标签等价于具有匹配规则。如果标记VLAN不支持移动标签, 则该设备的MAC在默认VLAN上被学习,假设它匹配与标记VLAN。如果这二者不匹配,则该 MAC被阻止。如果设备认证失败,则其MAC在VLAN 10上被学习(假设该VLAN 10存在), 匹配于标记VLAN并且不是认证的VLAN。否则该设备的MAC被阻止。实例2
命令是 802. Ix slot/port non-supplicant policy authentication vlan lOdefault-vlan,其设定了用于非请求者的策略。该策略以不同方式处理标记的和未标记 的帧。在未标记的情况下,如图16所示,首先执行MAC认证。如果该设备通过认证但是未 被分类,则其MAC在VLAN 10上被学习,假设VLAN 10存在。如果VLAN 10未被配置,则该 设备的MAC在端口的默认VLAN上被学习。如果该设备认证失败,则它被阻止。应当指出, 如果省略关键字“通过”和“失败”,则假设链涉及“通过”的情况,而对于“失败”的情况,假 设默认终端策略(块)。在标记的情况下(未具体显示),首先执行MAC认证。如果该设备通过认证并且VLAN被返回,则该设备仅当该VLAN存在并且匹配于标记VLAN时才被分类。如果这二者不 匹配,则该设备被阻止。如果没有返回VLAN或返回的VLAN不存在,则该设备被分类至VLAN 10中,假设VLAN 10存在且匹配于标记VLAN。如果这二者不匹配,则该设备被阻止。如果 该设备认证失败,则它被阻止。实例3命令是 802. Ix slot/port non-supplicant policy authentication fail vlanlOO default-vlan,其设定了用于非请求者的策略。首先执行MAC认证。该策略以不 同方式处理标记的和未标记的帧。在未标记的情况下,如图17所示,首先执行MAC认证。如果该设备通过认证但未 被分类,则其MAC被阻止。如果该设备认证失败,则其MAC在VLAN 100上被学习,假设VLAN 100存在并且不是认证的VLAN。否则,该设备的MAC在端口的默认VLAN不是认证的VLAN 的情况下在该默认VLAN上被学习。否则该设备的MAC被阻止。在标记的情况下(未具体显示),首先执行MAC认证。如果该设备通过认证并且 VLAN被返回,则该设备仅当该VLAN存在并且匹配于标记VLAN时才被分类。否则该设备被 阻止。如果设备认证失败,则其MAC在VLAN 100上被学习,假设VLAN 100存在、匹配于标 记VLAN并且不是认证的VLAN。否则该设备的MAC被阻止。实例 4命令是 802. Ix slot/port non-supplicant policy authentication pass vlanlO block fail group-mobility default-vlan,其设定了用于非请求者的策略。该策 略以不同方式处理标记的和未标记的帧。在未标记的情况下,如图18所示,首先执行MAC认证。如果该设备通过认证但未 被分类,则其MAC在VLAN 10上被学习,假设VLAN 10存在。如果该VLAN未被配置,则该设 备的MAC被阻止。如果该设备认证失败,则应用VLAN分类规则。如果没有匹配的规则,或 有关VLAN是认证的VLAN,则该设备的MAC在默认VLAN上被学习,假设该默认VLAN不是认 证的VLAN。否则阻止该设备的MAC。在标记的情况下(未具体显示),首先执行MAC认证。如果该设备通过认证并且 VLAN被返回,则该设备仅当该VLAN存在并且匹配于标记VLAN时才被分类。如果这二者不 匹配则该设备被阻止。如果没有返回VLAN或返回的VLAN不存在,则该设备被分类至VLAN 10中,假设VLAN 10存在并且匹配于标记VLAN。否则该设备被阻止。如果设备认证失败,则 它在标记VLAN不是认证的VLAN且支持移动标签的情况下被分类至该标记VLAN中。这种情 况是因为认证失败之后的策略是VLAN分类并且使得标记VLAN支持移动标签等价于具有匹配规则。如果标记VLAN不支持移动标签或是认证的VLAN,则该设备的MAC在默认VLAN上 被学习,假设该默认VLAN匹配于标记VLAN并且不是认证的VLAN。否则阻止该设备的MAC。实例 5
命令是 802. Ix slot/port non-supplicant policy authentication pass vlanlO block fail group-mobility vlan 43 default-vlan,其设定了用于非请求者的策 略。该策略以不同方式处理标记的和未标记的帧。在未标记的情况下,如图19所示,首先执行MAC认证,如果该设备通过认证但未 被分类,则其MAC在VLAN 10上被学习,假设VLAN 10存在。否则阻止该设备的MAC。如果 该设备认证失败,则应用VLAN分类规则。如果没有匹配的规则或有一个规则匹配但有关 VLAN是认证的VLAN,则设备的MAC在VLAN 43上被学习,假设VLAN 43存在并且不是认证 的VLAN。如果VLAN 43不存在或是认证的VLAN,则该MAC在默认VLAN上被学习,假设该默 认VLAN不是认证的VLAN。否则阻止该设备的MAC。这在图12的流程图中示出。在标记的情况下(未具体显示),首先执行MAC认证。如果该设备通过认证并且返 回VLAN,则该设备仅当该VLAN存在且匹配于标记VLAN时才被分类。如果这二者不匹配则 阻止该设备。如果没有返回VLAN或返回的VLAN不存在,则该设备被分类至VLAN 10中,假 设VLAN 10存在并且匹配于标记VLAN。否则阻止该设备。如果该设备认证失败,则它在标 记VLAN不是认证的VLAN且支持移动标签的情况下被分类至该标记VLAN中。这种情况是 因为认证失败之后的策略是VLAN分类并且使得标记VLAN支持移动标签等价于具有匹配规 贝IJ。如果标记VLAN不支持移动标签或是认证的VLAN,则在VLAN 43上学习该设备的MAC, 假设VLAN 43匹配于标记VLAN且不是认证的VLAN。否则阻止该设备的MAC。实例6命令是 802. Ix slot/port supplicant policy authenticationgroup-mobility default-vlan fail vlan 43 block,其设定了用于请求者的策略以便首先执行802. Ix认 证。然而,这个设置是强制性的,802. Ix认证先于任何策略。参考图20,如果该设备通过认 证但未被分类,则应用VLAN分类规则。如果没有匹配的规则,则该设备的MAC在默认VLAN 上被学习。如果该设备的认证失败,则它被分类到VLAN 43中,假设VLAN 43存在并且不是 认证的VLAN。否则阻止该设备。注意,VLAN 43在这里用作请求者的失败的VLAN。实例 7命令是 802. Ix slot/port supplicant policy authenticationgroup-mobility vlan 127 default-vlan,其设定了用于请求者的策略以便首先执行802. Ix认证。参考图 21,如果该设备通过认证但未被分类,则应用VLAN分类规则。如果没有匹配的规则,则该设 备的MAC在VLAN 127上被学习。如果VLAN 127不存在,则在端口的默认VLAN上学习该 MAC。否则阻止该设备的MAC。现在参考可由数据处理设备处理的指令。从本公开中应当理解,适于执行如这里 公开的端口分类功能性的方法、过程和/或操作是由计算机可读介质明确体现的,该介质 具有被配置为执行这种功能性的指令。在一个指定实施例中,该指令被明确地体现以执行 方法100以及上述原子策略和/或混合策略链中的任一个或多个。所述指令可由一个或多 个数据处理设备从存储设备(例如RAM、R0M、虚拟存储器、硬驱存储器等)、数据处理系统的 驱动单元(例如磁盘、光盘、盒式磁带等)可读取的设备中或这二者中访问。因此,根据本发明的计算机可读介质的实施例包括光盘、硬驱、RAM或具有适于执行根据本发明的端口分 配功能性的计算机程序(即指令)的其他类型的存储设备。 在前面的详细描述中,参考了构成本说明书一部分的附图,其中是作为可实施本 发明的说明性指定实施例来显示的。已经以充分的细节描述了这些实施例及其一些变型以 使得本领域技术人员能够实施本发明的实施例。应当理解,可以使用其他合适的实施例,并 且可以在不脱离本发明精神和范围的前提下实现逻辑的、机械的、化学的和电子的更改。为 避免不必要的细节,本说明书省略了一些本领域技术人员已知的信息。因此,前面的详细描 述并不旨在限于这里说明的指定形式,而是相反,其旨在覆盖可以合理地包含于所附权利 要求的精神和范围内的可选方案、修改和等价物。
权利要求
一种方法,包括促进尝试连接到网络单元的端口的客户端设备的认证,其中所述促进包括确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设备未被配置成利用该第一认证机制来认证而确定该客户端设备是否被配置成利用至少另一个认证机制来认证;对于所述认证机制中的每一个,响应于该客户端设备被成功认证而根据第一分类策略结构来为该客户端设备提供网络连通性;以及对于所述认证机制中的每一个,响应于该客户端设备未能成功认证而根据与所述第一分类策略结构不同的第二分类策略结构来为该客户端设备提供网络连通性。
2.根据权利要求1所述的方法,其中根据所述第一分类策略结构为所述客户端设备提供网络连通性包括根据接收自执行 所述认证的服务器的认证属性并且所述认证属性包含需要的信息,将该客户端设备分配给 第一逻辑端口接口和第一角色中的一个,和根据所述第二分类策略结构为所述客户端设备提供网络连通性包括响应于未从执行 所述认证的服务器接收到所述认证属性中的至少一个并且所述认证属性在从执行所述认 证的所述服务器被接收到之后被确定为不包含所述需要的信息,将所述客户端设备分配给 第二逻辑端口接口和第二角色中的一个。
3.根据权利要求1所述的方法,还包括响应于所述客户端设备利用所述认证机制中特定的一个被成功认证,将该客户端设备 分配给每个都被配置为允许第一级网络可接入性的逻辑端口接口和角色中的一个;以及响应于所述客户端设备未能利用所述认证机制中特定的一个被成功认证,将该客户端 设备分配给每个都被配置为允许与所述第一级网络可接入性不同的第二级网络可接入性 的逻辑端口接口和角色中的一个。
4.根据权利要求3所述的方法,其中将所述客户端设备分配给每个都被配置为允许第一级网络可接入性的所述逻辑端口 接口和所述角色中的一个,是根据接收自执行所述认证的服务器的认证属性并且响应于所 述认证属性包含需要的信息来执行的;以及将所述客户端设备分配给每个都被配置为允许与所述第一级网络可接入性不同的第 二级网络可接入性的所述逻辑端口接口和所述角色中的一个,是响应于未从执行所述认证 的所述服务器接收到所述认证属性中的至少一个并且所述认证属性在从执行所述认证的 所述服务器被接收之后被确定为不包含所述需要的信息来执行的。
5.根据权利要求1所述的方法,其中对于所述认证机制中的每一个,与所述客户端设备被成功认证相对应的所述第一分类 策略结构所允许的网络可接入性级别不同于与所述客户端设备未成功认证相对应的所述 第二分类策略结构所允许的网络可接入性级别。
6.根据权利要求1所述的方法,其中,促进所述客户端设备的认证包括确定所述客户端设备是否被配置为利用所述第一认证机制来认证;响应于所述客户端设备未被配置为利用所述第一认证机制来认证,确定该客户端设备 是否被配置为利用第二认证机制来认证;以及响应于该客户端设备被配置为利用所述第一认证机制或所述第二认证机制来认证,为 该客户端设备提供比与该客户端设备利用所述第一或第二认证机制被成功认证相对应的 网络连通性级别更低的网络连通性级别。
7.根据权利要求6所述的方法,其中根据所述第一分类策略结构为所述客户端设备提供网络连通性包括根据从执行所述 认证的服务器接收到的认证属性并且所述认证属性包括需要的信息,将该客户端设备分类 给第一逻辑端口接口和第一角色中的一个,以及根据所述第二分类策略结构为所述客户端设备提供网络连通性包括响应于未从执行 所述认证的所述服务器接收到所述认证属性中的至少一个并且所述认证属性在从执行所 述认证的所述服务器被接收之后被确定为不包含所述需要的信息,将所述客户端设备分配 给第二逻辑端口接口和第二角色中的一个。
8.根据权利要求7所述的方法,还包括将所述客户端设备分配给每个都被配置为允许第一级网络可接入性的所述逻辑端口 接口和所述角色中的一个,是根据接收自执行所述认证的服务器的认证属性并且响应于所 述认证属性包含需要的信息来执行的;以及将所述客户端设备分配给每个都被配置为允许与所述第一级网络可接入性不同的第 二级网络可接入性的所述逻辑端口接口和所述角色中的一个,是响应于未从执行所述认证 的所述服务器接收到所述认证属性中的至少一个并且所述认证属性在从执行所述认证的 所述服务器被接收之后被确定为不包含所述需要的信息来执行的。
9.根据权利要求1所述的方法,其中响应于确定了所述客户端设备被配置为利用所述认证机制中的一个认证机制来认证 并且通过所述一个认证机制来促进所述客户端设备的第一认证实例,促进所述客户端设备 的第二认证实例。
10.一组处理器可执行指令,包括用于促进尝试连接到网络单元的端口的客户端设备的认证的指令,其中所述促进包括 确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设 备未被配置成利用该第一认证机制来认证而确定该客户端设备是否被配置成利用至少另 一个认证机制来认证;对于所述认证机制中的每一个,用于响应于该客户端设备被成功认证而根据第一分类 策略结构来为该客户端设备提供网络连通性的指令;以及对于所述认证机制中的每一个,用于响应于该客户端设备未能成功认证而根据与所述 第一分类策略结构不同的第二分类策略结构来为该客户端设备提供网络连通性的指令。
11.一种服务器,其被配置为促进尝试连接到网络单元的端口的客户端设备的认证,其中所述促进包括确定该客户 端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设备未被配置 成利用该第一认证机制来认证而确定该客户端设备是否被配置成利用至少另一个认证机 制来认证;对于所述认证机制中的每一个,响应于该客户端设备被成功认证而根据第一分类策略 结构来为该客户端设备提供网络连通性;以及对于所述认证机制中的每一个,响应于该客户端设备未能成功认证而根据与所述第一分类策略结构不同的第二分类策略结构来为该客户端设备提供网络连通性。
全文摘要
一种包括用于促进尝试连接到网络单元端口的客户端设备的认证这一操作的方法。促进认证包括确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设备未被配置成利用该第一认证机制来认证而确定该客户端设备是否被配置成利用至少另一个认证机制来认证。对于所述认证机制中的每一个,提供了响应于该客户端设备被成功认证而根据第一分类策略结构来为该客户端设备提供网络连通性的操作,并且提供了响应于该客户端设备未能成功认证而根据与所述第一分类策略结构不同的第二分类策略结构来为该客户端设备提供网络连通性的操作。
文档编号H04L29/06GK101809968SQ200880108451
公开日2010年8月18日 申请日期2008年9月26日 优先权日2007年9月28日
发明者A·乔, M·古德温, M·尼科洛娃, V·韦尔默朗 申请人:阿尔卡特朗讯公司