专利名称:基于802.1x协议的网络接入设备管理方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种基于802.1X协议的网络接入设备管理方法。
背景技术:
IEEE 802 LAN(电气和电子工程师协会关于局域网的802号)协议定义的局域网不提供接入认证,只要用户能接入局域网控制交换机,如LanSwitch(局域网交换机),用户便可以访问局域网中的资源;但是对于如电信接入、写字楼局域网以及移动办公等应用,交换机提供者希望能对用户的接入进行控制;为此产生了IEEE 802.1X协议,简称802.1X协议,该协议是2001年6月IEEE标准化组织正式通过的基于端口的网络访问控制协议。
基于端口的网络接入控制是在网络交换机(即网络接入设备)的物理接入级对接入客户端进行认证和控制,所述的物理接入级指的是以太网交换或宽带接入交换机的端口;连接于端口上的用户如果能通过认证,就可以访问网络内的资源;如果不能通过认证,则无法访问网络内的资源。
802.1X协议所定义的基于端口的网络接入控制协议,其中端口可以是物理端口,也可以是逻辑端口;典型的应用方式有以太网交换机的一个物理端口连接一台客户端计算机,及IEEE 802.11协议定义的无线局域网接入方式。
802.1X协议的应用体系结构如图1所示,包括客户端、设备端和认证服务器;在用户接入层以太网交换机实现802.1X的设备端部分;802.1X的客户端通常安装在用户PC(个人计算机)中;802.1X的认证服务器通常驻留在运营商的AAA(计费、认证和授权)中心。802.1X的客户端与以太网交换机端之间运行IEEE 802.1X定义的EAPOL(基于局域网的扩展认证协议)协议;以太网交换机端与认证服务器间同样运行EAP(扩展认证协议)协议。以太网交换机端内部有受控端口和非受控端口;其中非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证随时接收和发送EAPOL协议帧;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务,且受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。
然而,在现有的网络接入环境中,802.1X认证系统中的网络接入设备(即以太网交换机)仅具备直接对用户PC进行认证的功能,而以太网交换机之间无法提供接入认证功能,即以太网交换机无法提供被认证功能。对于启动802.1X认证的以太网交换机所连接的用户,认证通过后可以通过中间以太网交换机访问对应的受控端口,但中间以太网交换机则无法访问对应的受控端口,即启动802.1X认证的以太网交换机对每个受控端口的所连接的设备端的MAC地址进行认证,没有认证通过则无法通过对应的受控端口访问网络;同样,与其连接的中间以太网交换机的MAC地址如果没有通过认证,则对应的受控端口无法打开;这样,网络中心管理员便无法通过telnet(远程登录)管理启动802.1X认证的以太网交换机所连接的以太网交换机。目前,网络中大量的以太网交换机设置于各个小区的各个楼道中,对以太网交换机的远程管理非常重要,但由于这些以太网交换机不具有认证功能,所以无法打开启动802.1X认证的以太网交换机对应的受控端口与其建立通信联系,远程管理自然无法实现,只能通过手工设置方式等异常繁杂的手段去管理分布在各个楼道的中间以太网交换机,给运营商对中间以太网交换机的管理带来了不便。
发明内容
本发明的目的是提供一种基于802.1X协议的网络接入设备远程管理方法,以方便网络运营商对网络中各网络接入设备进行远程管理。
本发明的目的是这样实现的一种基于802.1X协议的网络接入设备管理方法,包括a、网络接入设备启动后,向802.1x协议认证服务器进行认证请求;b、802.1X协议认证服务器将认证通过后的网络接入设备接入的受控端口打开;c、网络接入设备通过打开的受控端口与网络管理中心通信,实现对网络接入设备的管理。
执行所述的步骤a之前还包括在802.1X协议认证服务器进行网络接入设备访问权限的配置,即配置网络接入设备上行端口的访问权限。
所述的步骤a包括a1、网络接入设备启动后,自动向802.1x协议认证服务器发送EAP(扩展认证协议)认证请求报文;
a2、网络接入设备接收802.1X协议认证服务器的响应报文,并将网络接入设备信息发送给802.1X协议认证服务器,进行接入权限的认证;a3、网络接入设备接收802.1X协议认证服务器发来的认证结果报文,如果认证通过,则继续执行步骤b,否则,过程结束。
所述的网络接入设备信息包括网络接入设备的上行端口进行认证所采用的用户名和密码。
执行步骤a2、a3之前分别还包括网络接入设备根据接收的EAP报文中承载的MAC地址和报文类型确定该报文是发送给本网络接入设备,还是需要通过网络接入设备向外转发,如果该报文是发送给网络接入设备的EAP报文,则继续执行步骤a2或a3,如果该报文需要通过网络接入设备转发的EAP报文,则将报文正常转发。
所述的EAP报文用于标识EAP报文的类型值承载于报文的Code字段,该类型值包括1 Request(认证请求);2 Response(认证响应);3 Success(认证成功);4 Failure(认证失败)。
步骤a1所述的网络接入设备自动向802.1x协议认证服务器发送EAP认证请求报文为当下级网络接入设备直接与开启802.1X认证的网络接入设备相连时,下级网络接入设备通过端口UP事件触发,主动发组播EAP-Start(EAP)证开始)报文进行认证触发。
步骤a1所述的网络接入设备自动向802.1x协议认证服务器发送EAP认证请求报文为当下级网络接入设备不直接与开启802.1X认证的网络接入设备相连时,下级网络接入设备设置为定时主动发组播EAP-Start(EAP认证开始)报文进行认证触发,直到网络接入设备通过认证。
步骤a1所述的网络接入设备自动向802.1x协议认证服务器发送EAP认证请求报文为下级网络接入设备设置为主动发组播EAP-Start(EAP认证开始)报文进行认证触发。
所述的网络接入设备为以太网交换机。
由上述技术方案可以看出,本发明解决了现有技术中采用802.1X认证后网络接入设备(即以太网交换机)间的正常通信被限制而无法实现以太网交换机的远程管理、远程升级的问题。本发明通过在以太网交换机增加基于802.1X协议的客户端功能,使以太网交换机可以自动向具有认证服务功能的上级以太网交换机请求认证,并在上级以太网交换机确认下级以太网交换机的合法性后,打开上级以太网交换机对应的受控端口,使网络管理设备可以通过打开的受控端口实现对下级以太网交换机的远程管理。本发明的实现仅需要在认证服务器中进行通常的配置,而不需要修改已有的认证服务软件,减少了网络运营商实现本发明的投资;而且本发明为以太网交换机间主动认证,自动实现以太网交换机间互联,使网络运营商的管理较为方便。另外,本发明的实现可以使多种组网方式中网络运营商对网络接入设备的管理均十分方便。
图1为802.1X协议的应用体系结构图;图2为EAP报文结构示意图;图3为本发明的应用环境示意图;图4为以太网交换机间认证的过程示意图。
具体实施例方式
本发明的核心思想是基于802.1X协议将supplicant(客户端)功能引入到以网络接入设备的上行端口,如太网交换机的上行端口,使以太网交换机具有被认证的功能,为实现对网络接入设备的管理提供技术基础。即将以太网交换机的上行端口配置为supplicant端口;IEEE 802.1X标准中Supplicant主要是指用户PC或其他终端,将supplicant对象绑定到以太网交换机的上行端口,使以太网交换机的上行端口成为一个802.1X协议中的Supplicant,可以主动要求上级端口进行认证,并在认证通过后上级以太网交换机开启该以太网交换机对应的受控端口,使以太网交换机间的通信成为可能,以方便网管实现对下级以太网交换机的远程管理。
本发明中可以设置为令以太网交换机同时具有Authenticator(设备认证端)和Supplicant功能,即以太网交换机的下行端口开启802.1XAuthenticator功能,而上行端口开启802.1X Supplicant功能,由于以太网交换机的上行端口和下行端口均采用EAPOL(基于局域网的EAP)报文进行通信,并且以太网交换机接收的EAPOL报文均被捕获到以太网交换机的CPU进行处理,所以需要以太网交换机的CPU可以根据报文的类型值确定EAPOL报文的接收对象。
EAP是对PPP(点对点协议)的扩展,它是一种通用的认证协议,支持多种认证机制,例如MD5-challenge、TLS、smart cards、Kerberos、Public Key Encryption、One Time Passwords等加密算法所对应的认证机制。当PPP帧中的protocol(协议)域表明协议类型为PPP EAP时,在PPP数据链路层帧的Information(消息)域中封装且仅封装一个PPPEAP报文。EAP报文的格式如图2所示,传输时各域从左到右依次传输;其中Code(代码)域占用一个字节,用于标识EAP报文的类型,该域包含以下四种类型值1 Request(认证请求);2 Response(认证响应);3 Success(认证成功);4 Failure(认证失败);根据EAP报文中的Code域的类型值便可以准确分辨EAPOL报文接受对象是以太网交换机的Authenticator还是supplicant;即将目标地址为以太网交换机MAC地址的EAPOL报文作为协议报文统一由底层进行捕获,并上交给802.1X协议处理模块,802.1X协议处理模块根据Code域的类型值将报文转交给以太网交换机的Authenticator或supplicant进行解析处理;即以太网交换机的处理过程为将组播和单播的EAPOL报文上送到802.1X协议处理模块后,由802.1X协议处理模块根据Code域进行处理,对Response报文送Authenticator进行认证处理,对于Request、Success/Failure报文则发送给Supplicant处理,以获取以太网交换机作为Supplicant进行认证的认证结果。
本发明中实现被认证功能的下级以太网交换机的上行端口可以作如下配置端口UP事件触发认证即由相连的端口间物理连接的建立触发主动发组播EAP-Start报文进行认证触发,适用于下级以太网交换机直接与实现802.1X认证的以太网交换机相连的情况,当下级以太网交换机上电或重新建立连接时端口UP事件发生,则主动发送EAP-Star报文;配置命令触发将以太网交换机的上行端口配置为通过命令行主动发组播EAP-Start报文进行认证触发,这种设置方式适用于以各种不同方式与实现802.1X认证服务的以太网交换机相连的情况;定时触发将以太网交换机的上行端口设置为在没有通过认证前间隔一定时间主动发送组播EAP-Start报文,适用于下级以太网交换机不直接与实现802.1X认证服务的以太网交换机相连的情况,如下级以太网交换机通过中间以太网交换机与实现802.1X认证服务的以太网交换机连接时,则定时发送EAP-Start报文,直至认证通过为止。
本发明中被认证的下级以太网交换机触发认证后,如图4所示,上级以太网交换机的Authenticator根据EAP-Start报文中的MAC地址与下级以太网交换机的上行端口的supplicant对象进行802.1X正常认证,supplicant根据配置的用户名和密码与提供802.1X认证服务的Radius Server(远程认证服务器)进行认证交互,其中Radius Server可以设置于以太网交换机中,也可以外置于以太网交换机;请求认证的下级以太网交换机在认证通过后,上级以太网交换机为下级以太网交换机开启端口控制开关,即打开下级以太网交换机对应的受控端口,为下级以太网交换机开启通道,从而方便管理员通过telnet管理各下级以太网交换机,如图3所示。
权利要求
1.一种基于802.1X协议的网络接入设备管理方法,其特征在于包括a、网络接入设备启动后,向802.1x协议认证服务器进行认证请求;b、802.1X协议认证服务器将认证通过后的网络接入设备接入的受控端口打开;c、网络接入设备通过打开的受控端口与网络管理中心通信,实现对网络接入设备的管理。
2.根据权利要求1所述的基于802.1X协议的网络接入设备管理方法,其特征在于执行所述的步骤a之前还包括在802.1X协议认证服务器进行网络接入设备访问权限的配置,即配置网络接入设备上行端口的访问权限。
3.根据权利要求1所述的基于802.1X协议的网络接入设备管理方法,其特征在于所述的步骤a包括a1、网络接入设备启动后,自动向802.1x协议认证服务器发送EAP(扩展认证协议)认证请求报文;a2、网络接入设备接收802.1X协议认证服务器的响应报文,并将网络接入设备信息发送给802.1X协议认证服务器,进行接入权限的认证;a3、网络接入设备接收802.1X协议认证服务器发来的认证结果报文,如果认证通过,则继续执行步骤b,否则,过程结束。
4.根据权利要求3所述的基于802.1X协议的网络接入设备管理方法,其特征在于所述的网络接入设备信息包括网络接入设备的上行端口进行认证所采用的用户名和密码。
5.根据权利要求3所述的基于802.1X协议的网络接入设备管理方法,其特征在于执行步骤a2、a3之前分别还包括网络接入设备根据接收的EAP报文中承载的MAC地址和报文类型确定该报文是发送给本网络接入设备,还是需要通过网络接入设备向外转发,如果该报文是发送给网络接入设备的EAP报文,则继续执行步骤a2或a3,如果该报文需要通过网络接入设备转发的EAP报文,则将报文正常转发。
6.根据权利要求5所述的基于802.1X协议的网络接入设备管理方法,其特征在于所述的EAP报文用于标识EAP报文的类型值承载于报文的Code字段,该类型值包括1 Request(认证请求);2 Response(认证响应);3 Success(认证成功);4 Failure(认证失败)。
7.根据权利要求3所述的基于802.1X协议的网络接入设备管理方法,其特征在于步骤a1所述的网络接入设备自动向802.1x协议认证服务器发送EAP认证请求报文为当下级网络接入设备直接与开启802.1X认证的网络接入设备相连时,下级网络接入设备通过端口UP事件触发,主动发组播EAP-Start(EAP认证开始)报文进行认证触发。
8.根据权利要求3所述的基于802.1X协议的网络接入设备管理方法,其特征在于步骤a1所述的网络接入设备自动向802.1x协议认证服务器发送EAP认证请求报文为当下级网络接入设备不直接与开启802.1X认证的网络接入设备相连时,下级网络接入设备设置为定时主动发组播EAP-Start(EAP认证开始)报文进行认证触发,直到网络接入设备通过认证。
9.根据权利要求3所述的基于802.1X协议的网络接入设备管理方法,其特征在于步骤a1所述的网络接入设备自动向802.1x协议认证服务器发送EAP认证请求报文为下级网络接入设备设置为主动发组播EAP-Start(EAP认证开始)报文进行认证触发。
10.根据权利要求1所述的基于802.1X协议的网络接入设备管理方法,其特征在于所述的网络接入设备为以太网交换机。
全文摘要
本发明涉及一种基于802.1X协议的网络接入设备管理方法。该方法使得作为网络接入设备的以太网交换机启动后,可以自动向802.1x协议认证服务器进行认证请求,并由802.1X协议认证服务器将认证通过后的网络接入设备接入的受控端口打开;以方便网络接入设备通过打开的受控端口与网络管理中心通信,实现对网络接入设备的管理。本发明的实现不需要修改目前已实现的认证服务软件,减少了网络运营商实现本发明的投资;而且本发明为以太网交换机间主动认证,自动实现以太网交换机间互联,从而使网络运营商的管理更为方便。
文档编号H04L29/06GK1503518SQ02154609
公开日2004年6月9日 申请日期2002年11月26日 优先权日2002年11月26日
发明者罗汉军, 邹婷, 魏其礼, 汤杰成 申请人:华为技术有限公司