【技术实现步骤摘要】
本专利技术涉及计算机网络通信领域,特别是指一种基于报文转发的NAT路由器接入 802. IX认证网络新方法。
技术介绍
宽带城域网和园区网广泛采用了 802. 1X(基于端口的网络访问控制)认证协议, 对网络用户进行接入控制,以提升网络安全性,便于网络管理。如图1所示,802. Ix认证体系包括三部分恳求者系统(Supplicant System)、认 证系统(AuthenticatorSystem)禾口认证月艮务器系统(Authentication Server System)。其 中的恳求者PAE(端口访问实体)和认证者PAE,也就是用户主机的802. IX认证客户端和交 换机的认证模块,它们使用EAPOL协议(以太网帧类型为0x888e)报文交互完成认证过程。802. IX通常与DHCP (动态主机配置协议)相结合,以实现IP地址自动分配,减少 网络管理员的工作负担。按照802. IX标准,只有通过了认证授权,受控端口才能打开,才能 触发DHCP客户端获取网络配置。如图2所示,典型的认证流程叙述如下用户主机的网卡连接认证交换机端口,主机上安装了 802. ...
【技术保护点】
【技术特征摘要】
一种基于报文转发的NAT路由器接入802.1X认证网络新方法,其特征在于,包括如下步骤1)在NAT路由器上安装802.1X报文转发模块,以及DHCP报文转发模块;2)为NAT路由器外网端口和发起认证请求的内网主机指定相同的网络地址;3)在NAT路由器内部协议栈使用内网端口IP地址,结合路由修正、代理ARP、网络地址转换等方法,解决外网端口与内网主机的地址重叠问题。2.根据权利要求1所述的方法,其特征在于,所述步骤1)中进一步包括802.IX报文转 发模块的功能是把内网的EAPOL报文转发到外网,把外网的EAPOL报文转发到内网;它的激 活条件,在IP地址利配置信息静态分配的情况下,是匹配外网端口 MAC地址的内网主机发 起认证请求,在IP地址和配置信息动态分配的情况下,是任意一台内网主机发起认证请求, 即发出EAPOL-Start报文;终止条件是发起认证请求的内网主机收到ΕΑΡ-Failure报文。3.根据权利要求1所述的方法,其特征在于,所述步骤1)中进一步包括802.IX报文 转发模块在激活状态下,从外网端口接收的EAPOL报文无条件需要转发,而判断一个由内 网产生的EAPOL报文需要转发的依据,是其来源MAC地址为发起认证请求的内网主机的MAC 地址。4.根据权利要求1所述的方法,其特征在于,所述步骤1)中进一步包括DHCP报文转发 模块的功能是把内网的DHCP报文转发到外网,把外网的DHCP报文转发到内网;它的激活条 件是,IP地址和配置信息动态分配且发起认证请求的内网主机收到EAP-Sucess报文,终止 条件是发起认证请求的内网主机收到ΕΑΡ-Failure报文。5.根据权利要求1所述的方法,其特征在于,所述步骤1)中进一步包括DHCP报文转发 模块在激活状态下,从外网...
【专利技术属性】
技术研发人员:许广林,许伟林,温武少,谢晓境,
申请(专利权)人:中山大学,
类型:发明
国别省市:81
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。