本发明专利技术公开了触发802.1X认证的方法及设备端。方法包括:配置有802.1X功能的设备端接收客户端发来的报文,若发现该报文的源MAC地址不存在于自身保存的MAC地址转发表中,则向客户端发送单播报文,以触发客户端发起802.1X认证,认证成功,将客户端的MAC地址增加到所述MAC地址转发表中。本发明专利技术使得各种组网情况下的802.1X客户端都能发起802.1X认证,并提高了用户体验。
【技术实现步骤摘要】
本专利技术涉及802. IX认证
,具体涉及触发802. IX认证的方法及设备端。
技术介绍
目前,电子电气工程师协会(IEEE, Institute of Electrical and ElectronicsEngineers) 802 Jwj M / Γ ^ M (LAN/WAN, Local Area Network/Wide AreaNetwork)委员会为解决无线局域网网络安全问题,提出了 802. IX协议。后来,802. IX 协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。802. IX协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。802. IX系统为典型的客户端/服务器(Client/Server)结构,图1给出了 802. IX 认证系统的体系结构图,如图1所示,该系统共包括三个实体客户端(Client)、设备端 (Device)和认证服务器(Server)。其中客户端是位于局域网段一端的一个实体,由链路另一端的实体对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802. IX认证。客户端必 M^WJni^M±WηΤ ΓMlAilEt^il (EAPOL, Extensible Authentication Protocol over LAN)。设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802. IX协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为远程认证拨号用户服务(RADIUS,RemoteAuthentication Dial-In User Service)服务器。在一般的使用环境中,客户端是通过EAPOL开始(EAPOL-Mart)报文来触发认证, 但是目前有些客户端无法支持主动发送EAPOL-Mart报文来触发认证,这造成了 802. IX应用上的一个严重障碍。为了解决该问题,目前有如下几种解决方法一、设备端通过单一的协议报文来触发802. IX认证。这种方式下,设备端定时向客户端发送特定的协议报文,客户端收到该协议报文,向设备端响应一个 EAPOL-ResponeID报文,设备端收到该EAPOL-ResponeID报文,向RADIUS服务器发起针对该客户端的认证。方法二、设备端通过定时发送多播报文来触发802. IX认证。这种方式下,设备端定时发送多播报文,客户端接收到该多播报文,则向设备端响应一个EAPOL-ResponelD报文,设备端收到该EAPOL-ResponelD报文,向RADIUS服务器发起针对该客户端的认证。上述两种方法都具有各自的局限性,其中,方法一只适用于单一的组网方式,如 若设备端采用动态主机配置协议(DHCP,Dynamic HostConfiguration Protocol)报文来触发客户端发起802. IX认证,则这种方式只适用于动态获取地址的客户端,而不适用于具有静态IP地址的客户端。方法二则由于设备端发送的报文为多播报文,这样会导致接入到设备端的所有客户端和其它接入设备都会收到该报文,从而使得无需进行认证的终端和设备也会收到该报文,如图2为现有的采用多播报文触发802. IX认证的一个组网示例图,其中,交换机为设备端,PC3是高级别用户,不需要进行认证,但是PC3仍会收到交换机发来的多播报文,这样,在PC3的Windows客户端开启时,就会弹出需要输入用户名的窗口,让用户觉得突兀,降低了用户体验。
技术实现思路
本专利技术提供触发802. IX认证的方法及设备端,以使得在各种组网情况下,802. IX 客户端都能发起802. IX认证,并提高用户体验。本专利技术的技术方案是这样实现的一种触发802. IX认证的方法,该方法包括配置有802. IX功能的设备端接收客户端发来的报文,若发现该报文的源媒体接入控制MAC地址不存在于自身保存的MAC地址转发表中,则向客户端发送单播报文,以触发客户端发起802. IX认证,认证成功,将客户端的MAC地址增加到所述MAC地址转发表中。预先在配置有802. IX功能的设备端的MAC地址转发表中配置不需进行认证的客户端的MAC地址。所述设备端接收客户端发来的报文之后进一步包括设备端发现该报文不为 802. IX协议报文,且报文的源MAC地址存在于自身保存的MAC地址转发表中,则直接转发该报文。所述设备端发现该报文的源MAC地址不存在于自身保存的MAC地址转发表中的同时,进一步包括设备端判断该报文的源MAC地址是否存在于自身建立的临时表项中,若是,不作后续处理;否则,将该报文的源MAC地址增加到所述临时表项中,并执行所述向客户端发送单播报文的动作;且,所述认证成功之后进一步包括设备端将所述客户端的MAC地址从所述临时表项中删除。所述设备端向客户端发送单播报文的同时,进一步包括设备端启动一个等待定时器;且,若在等待定时器超时时,设备端未接收到客户端的响应报文,则重复向客户端发送所述单播报文同时重启等待定时器,若重发预定次数的单播报文后,仍未在等待定时器超时前接收到客户端的响应报文,则认为该客户端不支持802. IX认证,从临时表项中删除该客户端的MAC地址。所述单播报文为单播EAPOL-RequestID报文。一种设备端,该设备端配置有802. IX功能,该设备端包括驱动模块,接收客户端发来的报文,若发现该报文的源MAC地址不存在于MAC地址转发表中,则将该报文上报给上层模块;上层模块,接收驱动模块发来的报文,向报文的源MAC地址对应的客户端发送单播报文,以触发客户端发起802. IX认证,认证成功,将客户端的MAC地址增加到MAC地址转发表中。所述设备端进一步包括配置模块,预先在MAC地址转发表中配置不需进行认证的客户端的MAC地址。所述驱动模块包括第一模块,接收客户端发来的报文,判断该报文是否为802. IX协议报文,若是,直接将该报文上报到上层模块;否则,将该报文发送给第二模块;第二模块,接收第一模块发来的报文,判断该报文的源MAC地址是否存在于MAC地址转发表中,若是,直接转发该报文;否则,将该报文上报到上层模块。所述上层模块包括第三模块,接收驱动模块发来的报文,判断该报文的源MAC地址是否存在于自身建立的临时表项中,若是,不作后续处理;否则,将该报文的源MAC地址增加到所述临时表项中,同时,将该报文发送给第四模块;第四模块,接收第三模块发来的报文,向报文的源MAC地址对应的客户端发送单播报文,以触发客户端发起802. IX认证,认证成功,将客户端的MAC地址从所述临时表项中删除,同时将客户端的MAC地址增加到MAC地址转发表中。所述第四模块进一步用于,在向客户端发送单播报文的同时,启动一个等待定时器;若在等待定时器超时时,未接收到客户端的响应报文,则重复向本文档来自技高网...
【技术保护点】
1.一种触发802.1X认证的方法,其特征在于,该方法包括:配置有802.1X功能的设备端接收客户端发来的报文,若发现该报文的源媒体接入控制MAC地址不存在于自身保存的MAC地址转发表中,则向客户端发送单播报文,以触发客户端发起802.1X认证,认证成功,将客户端的MAC地址增加到所述MAC地址转发表中。
【技术特征摘要】
1.一种触发802. IX认证的方法,其特征在于,该方法包括配置有802. IX功能的设备端接收客户端发来的报文,若发现该报文的源媒体接入控制MAC地址不存在于自身保存的MAC地址转发表中,则向客户端发送单播报文,以触发客户端发起802. IX认证,认证成功,将客户端的MAC地址增加到所述MAC地址转发表中。2.如权利要求1所述的方法,其特征在于,预先在配置有802.IX功能的设备端的MAC 地址转发表中配置不需进行认证的客户端的MAC地址。3.如权利要求1或2所述的方法,其特征在于,所述设备端接收客户端发来的报文之后进一步包括设备端发现该报文不为802. IX协议报文,且报文的源MAC地址存在于自身保存的MAC地址转发表中,则直接转发该报文。4.如权利要求1或2所述的方法,其特征在于,所述设备端发现该报文的源MAC地址不存在于自身保存的MAC地址转发表中的同时,进一步包括设备端判断该报文的源MAC地址是否存在于自身建立的临时表项中,若是,不作后续处理;否则,将该报文的源MAC地址增加到所述临时表项中,并执行所述向客户端发送单播报文的动作;且,所述认证成功之后进一步包括设备端将所述客户端的MAC地址从所述临时表项中删除。5.如权利要求4所述的方法,其特征在于,所述设备端向客户端发送单播报文的同时, 进一步包括设备端启动一个等待定时器;且,若在等待定时器超时时,设备端未接收到客户端的响应报文,则重复向客户端发送所述单播报文同时重启等待定时器,若重发预定次数的单播报文后,仍未在等待定时器超时前接收到客户端的响应报文,则认为该客户端不支持802. IX认证,从临时表项中删除该客户端的MAC地址。6.如权利要求1或2所述的方法,其特征在于,所述单播报文为单播EAPOL-RequestID 报文。7.一种设备端,该设备端配置有802. IX功能,其特征在于,该设备端包括驱动模块,...
【专利技术属性】
技术研发人员:徐勇刚,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:86
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。