本发明专利技术提供认证报文处理方法及装置,该方法应用在网络设备上,网络设备上维护ACL,ACL中包含客户端设备的标识及优先级的对应关系,该方法包括:当认证报文速率超过认证报文处理阈值时,向端口配置ACL;当接收到客户端设备发送的认证报文时,通过认证报文中的客户端设备的标识与端口ACL进行匹配,当匹配到客户端设备的标识时,为认证报文标记与客户端设备的标识对应的优先级,当未匹配到客户端设备的标识时,丢弃认证报文;按照优先级从高到低的顺序对认证报文进行认证处理。本发明专利技术可以在解决认证报文拥塞的同时,保证部分客户端设备通过上线认证访问互联网。
【技术实现步骤摘要】
一种认证报文处理方法及装置
本专利技术涉及网络通信
,尤其涉及一种认证报文处理方法及装置。
技术介绍
802.1x协议是基于Client/Server(客户端/服务器)的访问控制和认证协议,用于限制未经授权的客户端设备访问互联网。当用户要通过客户端设备访问互联网时,由客户端设备向网络设备发送认证报文,网络设备将认证报文封装后发送给RADIUS(RemoteAuthenticationDialInUserService,远程用户拨号认证系统)服务器,当RADIUS服务器对客户端设备认证通过后,允许用户访问互联网。在上述客户端设备与网络设备交互过程中,当网络设备的端口接收到多个客户端设备发送的认证报文时,将认证报文按照接收的先后顺序发送到CPU(CentralProcessingUnit,中央处理器)处理,但是,当网络设备受到802.1x协议报文攻击时,会造成报文拥塞,导致长时间无法进行认证。现有技术为了防止报文拥塞,可以缓存预设数量的协议报文供CPU处理,而超过预设数量的协议报文直接丢弃,但是,由于直接丢弃的协议报文中可能包含正常的认证报文,因此导致部分正常客户端设备无法通过认证访问互联网。
技术实现思路
本专利技术提供一种认证报文处理方法及装置,以解决现有技术中因为网络设备发生协议报文拥塞,导致部分正常客户端设备无法通过认证访问互联网的问题。根据本专利技术实施例的第一方面,提供一种认证报文处理方法,所述方法应用在通过与客户端设备交互实现接入网络认证的网络设备上,所述网络设备上维护访问控制列表ACL,所述ACL中包含客户端设备的标识及优先级的对应关系,所述方法包括:当认证报文速率超过认证报文处理阈值时,向端口配置所述ACL;当接收到客户端设备发送的认证报文时,通过所述认证报文中的客户端设备的标识与端口ACL进行匹配,当匹配到所述客户端设备的标识时,为所述认证报文标记与所述客户端设备的标识对应的优先级,当未匹配到所述客户端设备的标识时,丢弃所述认证报文;按照优先级从高到低的顺序对所述认证报文进行认证处理。根据本专利技术实施例的第二方面,提供一种报文处理装置,所述装置应用在通过与客户端设备交互实现接入网络认证的网络设备上,所述装置包括:维护单元,用于维护ACL,所述ACL中包含客户端设备的标识及优先级的对应关系;配置单元,用于当认证报文速率超过认证报文处理阈值时,向端口配置所述ACL;匹配单元,用于当接收到客户端设备发送的认证报文时,通过所述认证报文中的客户端设备的标识与端口ACL进行匹配,当匹配到所述客户端设备的标识时,为所述认证报文标记与所述客户端设备的标识对应的优先级,当未匹配到所述客户端设备的标识时,丢弃所述认证报文;处理单元,用于按照优先级从高到低的顺序对所述认证报文进行认证处理。本专利技术实施例中,在网络设备上维护包含客户端设备的标识与优先级的对应关系的ACL,当发生认证报文拥塞时,通过向端口配置ACL,从而可以根据所接收认证报文与ACL的匹配结果对认证报文进行认证处理。应用本专利技术实施例,可以将认证通过的客户端设备的标识保存在ACL中,以便在认证报文拥塞时,控制部分客户端设备的认证报文通过匹配ACL优先发送到CPU,而其它认证报文则会因匹配不到ACL而丢弃,从而在解决认证报文拥塞的同时,保证部分客户端设备通过上线认证访问互联网。附图说明图1是为本专利技术802.1x接入认证组网示意图;图2是本专利技术认证报文处理方法的一个实施例流程图;图3是本专利技术认证报文处理方法的另一个实施例流程图;图4是本专利技术一种实施方式中认证报文处理装置运行的硬件环境架构图;图5是本专利技术认证报文处理装置的逻辑示意图。具体实施方式参见图1,为本专利技术802.1x接入认证组网示意图:802.1x协议用于实现无线局域网内客户端设备的接入认证,参见图1,当局域网内的用户需要访问Internet时,在客户端设备上开启802.1x客户端程序,用户输入用户名和密码,客户端设备向网络设备发起连接请求,该连接请求可以为客户端设备发送的作为认证报文的802.1x协议报文,例如,EAPOL(ExtensibleAuthenticationProtocolOverLAN,基于局域网的扩展认证协议)-start报文,网络设备对认证报文进行封装处理后,发送至RADIUS服务器,当RADIUS服务器认证通过后,网络设备允许客户端设备访问Internet(互联网)。现有技术中,当网络设备的端口接收到认证报文时,将认证报文发送到CPU进行处理,当网络设备受到802.1x协议报文攻击时,CPU的报文处理负担将加重,形成报文拥塞,从而无法对正常的认证报文进行认证处理,导致客户端设备难以接入网络。本专利技术中在网络设备上为进行接入网络认证的客户端设备维护ACL(AccessControlList,访问控制列表),通过在ACL中记录优先级,以便在网络设备受到802.1x协议报文攻击时,可以通过匹配ACL,按照用户优先级从高到低的顺序对认证报文进行处理,从而保证正常客户端设备通过上线认证访问互联网。需要说明的是,本专利技术实施例以802.1协议认证场景为例进行描述,对于基于其他协议的认证接入场景也可以采用本专利技术实施例实现,对此本专利技术实施例不进行限制。参见图2,为本专利技术认证报文处理方法的一个实施例流程图,该实施例描述了网络设备通过ACL对认证报文进行处理的过程:步骤201:网络设备上维护ACL,该ACL中包含客户端设备的标识及优先级的对应关系。本实施例中,客户端设备的标识以客户端设备的MAC地址为例进行描述。其中,网络设备维护的ACL中可以包含至少一类下述ACL表项:通过管理员手动配置的静态配置表项,和根据客户端设备的认证通过次数学习的动态学习表项。其中,静态配置表项中可以包括:管理员手动配置的客户端设备的MAC地址,以及对应的第一优先级。该静态配置表项中的MAC地址可以为VIP(VeryImportantPerson,重要用户)用户认证时使用的客户端设备的MAC地址,管理员可以直接在ACL中为该客户端设备配置具有最高优先级的ACL表项,该ACL表项中包括该客户端设备的MAC地址,以及对应最高的第一优先级。本实施例中,静态配置表项可以不设置老化时间,以保证网络设备受到802.1x协议报文攻击时,可以优先对VIP用户的客户端设备发送的认证报文进行处理。其中,动态学习表项中可以包括:已认证通过的客户端设备的MAC地址,认证通过次数,以及根据认证通过次数确定的优先级。对于已经认证通过的客户端设备,网络设备为其维护动态学习表项,并可以为该动态学习表项设置老化时间,该表项中除了包含客户端设备的MAC地址外,还包含在老化时间内的认证通过次数,以及根据认证通过次数动态调整的优先级。例如,可以设置升级阈值对优先级进行动态调整,当认证通过次数未超过升级阈值时,设置优先级为低于第一优先级的第二优先级,当认证通过次数超过升级阈值时,将第二优先级调整为第一优先级,以保证认证通过次数越多的客户端设备可以获得越高的优先级,以便在网络设备接收认证报文达到一定数量时,该客户端设备的认证报文可以优先得到处理。步骤202:检测认证报文速率是否超过认证报文处理阈值,若是,则执行步骤203;否则,执行步骤209。不同网络设备对认本文档来自技高网...
【技术保护点】
一种认证报文处理方法,其特征在于,所述方法应用在通过与客户端设备交互实现接入网络认证的网络设备上,所述网络设备上维护访问控制列表ACL,所述ACL中包含客户端设备的标识及优先级的对应关系,所述方法包括:当认证报文速率超过认证报文处理阈值时,向端口配置所述ACL;当接收到客户端设备发送的认证报文时,通过所述认证报文中的客户端设备的标识与端口ACL进行匹配,当匹配到所述客户端设备的标识时,为所述认证报文标记与所述客户端设备的标识对应的优先级,当未匹配到所述客户端设备的标识时,丢弃所述认证报文;按照优先级从高到低的顺序对所述认证报文进行认证处理。
【技术特征摘要】
1.一种认证报文处理方法,其特征在于,所述方法应用在通过与客户端设备交互实现接入网络认证的网络设备上,所述网络设备上维护访问控制列表ACL,所述ACL中包含客户端设备的标识及优先级的对应关系,所述方法包括:当认证报文速率超过认证报文处理阈值时,向端口配置所述ACL;当接收到客户端设备发送的认证报文时,通过所述认证报文中的客户端设备的标识与端口ACL进行匹配,当匹配到所述客户端设备的标识时,为所述认证报文标记与所述客户端设备的标识对应的优先级,当未匹配到所述客户端设备的标识时,丢弃所述认证报文;按照优先级从高到低的顺序对所述认证报文进行认证处理。2.根据权利要求1所述的方法,其特征在于,所述ACL包括动态学习表项,所述动态学习表项的学习过程包括:当客户端设备认证通过时,若所述ACL中没有所述客户端设备对应的动态学习表项,则添加对应的动态学习表项,所述动态学习表项中写入所述客户端设备的标识,认证通过次数1,以及第二优先级;若所述ACL中存在所述客户端设备对应的动态学习表项,则将所述认证通过次数加1,并判断所述认证通过次数是否超过升级阈值,若是,则将所述第二优先级调整为第一优先级,否则,维持所述第二优先级不变;其中,所述第一优先级高于所述第二优先级。3.根据权利要求2所述的方法,其特征在于,所述ACL还包括:静态配置表项;其中,所述静态配置表项包括:静态配置的客户端设备的标识以及对应的第一优先级。4.根据权利要求1所述的方法,其特征在于,所述向端口配置所述ACL后,所述方法还包括:当在第一时间检测到所述认证报文速率不超过所述认证报文处理阈值时,判断从所述第一时间开始的预设检测周期内,所述认证报文速率是否持续不超过所述认证报文处理阈值,若是,则删除所述端口的ACL。5.根据权利要求1至4任一所述的方法,其特征在于,所述方法基于802.1x协议实现接入网络认证,所述标识为MAC地址;所述认证报文速率超过认证报文处理阈值具体包括:802.1x协议报文的报文速率超过认证报文处理阈值。6.一种认证报文处理装置,其特征在于...
【专利技术属性】
技术研发人员:刘汉清,田浩博,高平利,杜鑫,刘娟,梁力文,李云涛,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。