專利名稱:一種接入方法和接入設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及接入認(rèn)證技術(shù)領(lǐng)域�����,特別涉及一種接入方法和接入設(shè)備��。
背景技術(shù):
在現(xiàn)有的IPv4/IPv6網(wǎng)絡(luò)組網(wǎng)中�,簡(jiǎn)單地使用802. IX協(xié)議提供對(duì)客戶端的接入 認(rèn)證�。如圖1為現(xiàn)有的802. IX認(rèn)證系統(tǒng)結(jié)構(gòu)示意圖��,該認(rèn)證系統(tǒng)包括客戶端���,接入設(shè)備 和認(rèn)證服務(wù)器;其中�����,客戶端必須支持局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議(EAPol���,Extensible Authentication Protocol over LAN)���;接入設(shè)備是位于局域網(wǎng)一端的網(wǎng)絡(luò)設(shè)備,對(duì)所連接 的客戶端進(jìn)行認(rèn)證���,接入設(shè)備通常支持802. IX協(xié)議,為客戶端提供接入局域網(wǎng)的端口 ’認(rèn) 證服務(wù)器是為接入設(shè)備提供認(rèn)證服務(wù)的實(shí)體��,用于實(shí)現(xiàn)對(duì)客戶端的認(rèn)證����、授權(quán)和計(jì)費(fèi),認(rèn)證 服務(wù)器通常為遠(yuǎn)程認(rèn)證撥號(hào)認(rèn)證服務(wù)器(RADIUS����,Remote AuthenticationDial-In User Service)?,F(xiàn)有的IPv4/IPv6網(wǎng)絡(luò)組網(wǎng)中�,有些使用802. IX認(rèn)證協(xié)議進(jìn)行接入認(rèn)證,這種方 式只能簡(jiǎn)單地基于端口信息對(duì)客戶端進(jìn)行認(rèn)證和控制�,網(wǎng)絡(luò)管理員不能知道接入客戶端的 IPv4/IPv6地址,也不能使用客戶端的IPv4/IPv6地址對(duì)客戶端進(jìn)行接入控制�����。對(duì)于不使用802. IX認(rèn)證協(xié)議進(jìn)行接入認(rèn)證的IPv4/IPv6網(wǎng)絡(luò)組網(wǎng)���,接入設(shè)備希望 能夠針對(duì)接入用戶的源IP地址進(jìn)行接入認(rèn)證�����,以便監(jiān)控所有轉(zhuǎn)發(fā)報(bào)文�����,杜絕偽造源IP地址 攻擊��。采用這種認(rèn)證方式的前提是接入設(shè)備能夠獲取到客戶端的IP地址��,這就要求網(wǎng)絡(luò)必 須使用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP�,Dynamic Host Configuration Protocol)地址分配方式 為客戶端分配IP地址;然而�,在實(shí)際IPv4/IPv6網(wǎng)絡(luò)組網(wǎng)中,還有很多客戶端的IP地址不 是采用DHCP地址分配方式分配的����,對(duì)于這部分客戶端,接入設(shè)備無法獲取其IP地址��,也就 無法基于IP地址對(duì)客戶端進(jìn)行接入控制��。綜上可見�,在現(xiàn)有技術(shù)中,無法基于IP地址對(duì)客戶端進(jìn)行接入控制���,防止偽造源 地址攻擊��。
發(fā)明內(nèi)容
本發(fā)明提出一種接入方法�,用于基于IP地址對(duì)客戶端進(jìn)行接入控制�����,防止偽造源 地址攻擊���。本發(fā)明還提出一種接入設(shè)備��,用于基于IP地址對(duì)客戶端進(jìn)行接入控制��,防止偽造 源地址攻擊�。本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種接入方法��,包括當(dāng)接入設(shè)備學(xué)習(xí)到客戶端的IP地址時(shí)���,啟動(dòng)鄰居學(xué)習(xí)功能��,在鄰居學(xué)習(xí)的過程中 將來自所述客戶端的報(bào)文暫時(shí)轉(zhuǎn)發(fā)或丟棄�����;當(dāng)接入設(shè)備采用鄰居學(xué)習(xí)功能學(xué)習(xí)到所述客戶端的物理信息與所述IP地址存在 實(shí)際的對(duì)應(yīng)關(guān)系時(shí)����,將來自所述客戶端的報(bào)文轉(zhuǎn)發(fā)�����,允許所述客戶端接入�。
一種接入設(shè)備,包括CPU和轉(zhuǎn)發(fā)處理器�,其中CPU包括源地址學(xué)習(xí)模塊和指令發(fā)送 模塊��;所述源地址學(xué)習(xí)模塊�����,用于學(xué)習(xí)客戶端的IP地址�����;還用于采用鄰居學(xué)習(xí)功能���,學(xué) 習(xí)客戶端的物理地址與IP地址是否存在實(shí)際的對(duì)應(yīng)關(guān)系;所述指令發(fā)送模塊�,用于當(dāng)源地址學(xué)習(xí)模塊學(xué)習(xí)到客戶端的IP地址時(shí),向轉(zhuǎn)發(fā)處 理器發(fā)送第一指令�����,所述第一指令為將來自所述客戶端的報(bào)文暫時(shí)轉(zhuǎn)發(fā)或丟棄����;還用于 當(dāng)源地址學(xué)習(xí)模塊學(xué)習(xí)到客戶端的物理地址與IP地址存在實(shí)際的對(duì)應(yīng)關(guān)系時(shí),向轉(zhuǎn)發(fā)處 理器發(fā)送第二指示���,所述第二指示為將來自所述客戶端的報(bào)文轉(zhuǎn)發(fā)��;所述轉(zhuǎn)發(fā)處理器�,用于按照所述第一指示��,將來自客戶端的報(bào)文暫時(shí)轉(zhuǎn)發(fā)或丟棄���; 還用于按照所述第二指示���,將來自客戶端的報(bào)文轉(zhuǎn)發(fā)。綜上可見��,本發(fā)明提出的方法和接入設(shè)備��,能夠方便地獲得客戶端的多個(gè)IP地 址�����,基于IP地址對(duì)客戶端進(jìn)行接入控制��,從而有效防止客戶端進(jìn)行偽造源地址攻擊�。此外, 啟動(dòng)鄰居學(xué)習(xí)功能過程中��,在接入設(shè)備尚未確定客戶端是否偽造了 IP地址時(shí),可以暫時(shí)將 來自該客戶端的報(bào)文轉(zhuǎn)發(fā)或丟棄�,避免數(shù)據(jù)沖突。
圖1為現(xiàn)有的802. IX認(rèn)證系統(tǒng)結(jié)構(gòu)示意圖����;圖2為本發(fā)明接入方法的實(shí)現(xiàn)流程圖;圖3為本發(fā)明實(shí)施例接入方法的實(shí)現(xiàn)流程圖���;圖4為本發(fā)明實(shí)施例接入設(shè)備的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式本發(fā)明提出一種接入方法���,應(yīng)用于包括圖1所示的接入認(rèn)證系統(tǒng),本發(fā)明主要對(duì) 系統(tǒng)中的接入設(shè)備進(jìn)行改進(jìn)���,從而實(shí)現(xiàn)對(duì)客戶端基于IP地址的接入控制����,以下具體實(shí)施例 中將對(duì)接入設(shè)備及其功能作詳細(xì)描述��。參見圖2����,圖2為本發(fā)明接入方法的實(shí)現(xiàn)流程圖��。包括步驟201 當(dāng)接入設(shè)備學(xué)習(xí)到客戶端的IP地址時(shí)�,啟動(dòng)鄰居學(xué)習(xí)功能��,在鄰居學(xué)習(xí) 的過程中將來自所述客戶端的報(bào)文暫時(shí)轉(zhuǎn)發(fā)或丟棄����;步驟202 當(dāng)接入設(shè)備采用鄰居學(xué)習(xí)功能學(xué)習(xí)到所述客戶端的物理信息與所述IP 地址存在實(shí)際的對(duì)應(yīng)關(guān)系時(shí)���,將來自所述客戶端的報(bào)文轉(zhuǎn)發(fā)�����,允許所述客戶端接入��。上述方法還可以進(jìn)一步包括步驟203 當(dāng)接入設(shè)備采用鄰居學(xué)習(xí)功能學(xué)習(xí)到所述客戶端的物理地址與所述IP 地址不存在實(shí)際的對(duì)應(yīng)關(guān)系時(shí)��,將來自所述客戶端的報(bào)文丟棄��,不允許所述客戶端接入��。上述過程中���,對(duì)報(bào)文的轉(zhuǎn)發(fā)和丟棄等處理是通過在接入設(shè)備中生成一系列訪問控 制列表(ACL,Access Control List),并利用這些ACL實(shí)現(xiàn)的�。接入設(shè)備包括CPU和轉(zhuǎn)發(fā)處理器,為了實(shí)現(xiàn)上述流程�����,本發(fā)明采用的接入設(shè)備在 CPU中設(shè)置源地址學(xué)習(xí)模塊��,用于學(xué)習(xí)客戶端的IP地址并進(jìn)行鄰居學(xué)習(xí)功能�����。以下舉具體 的實(shí)施例詳細(xì)介紹參見圖3�����,圖3為本發(fā)明實(shí)施例接入方法的實(shí)現(xiàn)流程圖����,在本實(shí)施例中,將本發(fā)明提出的接入方法與現(xiàn)有的802. IlX認(rèn)證協(xié)議結(jié)合進(jìn)行舉例(當(dāng)然�,本發(fā)明也可以與其他的 認(rèn)證協(xié)議,如PORTAL���、MAC地址認(rèn)證協(xié)議結(jié)合�,或者不與現(xiàn)有的認(rèn)證協(xié)議結(jié)合)。本實(shí)施例 包括 步驟301 接入設(shè)備接收來自客戶端1的報(bào)文��,對(duì)客戶端1的802. IlX認(rèn)證通過后�, 位于接入設(shè)備的CPU中的源地址學(xué)習(xí)模塊將客戶端1的物理信息(包括接入端口號(hào)、VLAN 標(biāo)識(shí)�����、MAC地址中的一項(xiàng)或多項(xiàng))與客戶端1的名稱綁定起來��,形成客戶端信息表中的一個(gè) 表項(xiàng)�����,將該表項(xiàng)的狀態(tài)設(shè)置為AUTH�����,表示接入設(shè)備已經(jīng)通過了對(duì)客戶端1的接入認(rèn)證���,但尚 未學(xué)習(xí)到客戶端1的IP地址。參見表1��,表1為接入設(shè)備對(duì)客戶端1的接入認(rèn)證通過后��,源 地址學(xué)習(xí)模塊初始建立的客戶端信息表。
權(quán)利要求
1.一種接入方法���,所述方法應(yīng)用于包括客戶端和接入設(shè)備的接入認(rèn)證系統(tǒng)�,其特征在 于�����,所述方法包括當(dāng)接入設(shè)備學(xué)習(xí)到客戶端的IP地址時(shí)����,啟動(dòng)鄰居學(xué)習(xí)功能,在鄰居學(xué)習(xí)的過程中將來 自所述客戶端的報(bào)文暫時(shí)轉(zhuǎn)發(fā)或丟棄����;當(dāng)接入設(shè)備采用鄰居學(xué)習(xí)功能學(xué)習(xí)到所述客戶端的物理信息與所述IP地址存在實(shí)際 的對(duì)應(yīng)關(guān)系時(shí),將來自所述客戶端的報(bào)文轉(zhuǎn)發(fā)���,允許所述客戶端接入���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述方法進(jìn)一步包括當(dāng)接入設(shè)備采用鄰居學(xué)習(xí)功能學(xué)習(xí)到所述客戶端的物理地址與所述IP地址不存在實(shí) 際的對(duì)應(yīng)關(guān)系時(shí)��,將來自所述客戶端的報(bào)文丟棄��,不允許所述客戶端接入�����。
3.根據(jù)所述權(quán)利要求1或2所述的方法���,其特征在于�����,所述方法進(jìn)一步包括 所述客戶端配置新的IP地址后,所述接入設(shè)備重新執(zhí)行所述學(xué)習(xí)客戶端IP地址的步馬聚O
4.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述接入設(shè)備包括CPU和轉(zhuǎn)發(fā)處理器��,所 述CPU中設(shè)置源地址學(xué)習(xí)模塊�;所述接入設(shè)備學(xué)習(xí)客戶端的IP地址之前,進(jìn)一步包括當(dāng)接入設(shè)備對(duì)客戶端的認(rèn)證通過時(shí)����,源地址學(xué)習(xí)模塊建立客戶端信息表,所述客戶端 信息表中包含該客戶端的物理信息�;CPU根據(jù)所述客戶端信息表設(shè)置ACLl JfACLl下發(fā)至轉(zhuǎn)發(fā)處理器�;所述ACLl為將滿 足所述客戶端物理信息的報(bào)文上送至CPU ���;轉(zhuǎn)發(fā)處理器接收?qǐng)?bào)文���,將所述報(bào)文與ACLl進(jìn)行匹配,當(dāng)匹配成功時(shí)�����,將來自所述客戶 端的報(bào)文上送至CPU��。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于,所述接入設(shè)備學(xué)習(xí)客戶端的IP地址及啟 動(dòng)鄰居學(xué)習(xí)功能的過程包括CPU接收轉(zhuǎn)發(fā)處理器上送的來自所述客戶端的報(bào)文��,源地址 學(xué)習(xí)模塊從該報(bào)文中提取該客戶端的IP地址��;當(dāng)客戶端信息表中不存在該IP地址時(shí)�����,啟動(dòng) 鄰居學(xué)習(xí)功能�����;所述在鄰居學(xué)習(xí)的過程中將來自所述客戶端的報(bào)文暫時(shí)轉(zhuǎn)發(fā)或丟棄的方式為 CPU根據(jù)客戶端信息表設(shè)置ACL3,并設(shè)置ACL3的存續(xù)時(shí)間�,將ACL3下發(fā)至轉(zhuǎn)發(fā)處理 器;所述ACL3為將滿足所述客戶端物理信息和IP地址的報(bào)文轉(zhuǎn)發(fā)或丟棄���;所述轉(zhuǎn)發(fā)處理器接收到來自客戶端的報(bào)文時(shí)���,在所述存續(xù)時(shí)間內(nèi)將所述報(bào)文與ACL3 進(jìn)行匹配,當(dāng)匹配成功時(shí)�,將來自該客戶端的報(bào)文轉(zhuǎn)發(fā)或丟棄。
6.根據(jù)權(quán)利要求5所述的方法�,其特征在于,所述接入設(shè)備學(xué)習(xí)到所述客戶端的物理 信息與IP地址存在實(shí)際的對(duì)應(yīng)關(guān)系時(shí)����,進(jìn)一步將所述客戶端的IP地址填充入客戶端信息 表,填充后的客戶端信息表包含所述客戶端的物理信息與IP地址的對(duì)應(yīng)關(guān)系���。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于�,所述接入設(shè)備將來自所述客戶端的報(bào)文 轉(zhuǎn)發(fā)的方式為CPU根據(jù)所述填充后的客戶端信息表設(shè)置ACL4,將ACL4下發(fā)至轉(zhuǎn)發(fā)處理器��;所述ACL4 為將滿足所述客戶端物理信息和IP地址的報(bào)文轉(zhuǎn)發(fā)��;所述轉(zhuǎn)發(fā)處理器接收到來自客戶端的報(bào)文時(shí),將所述報(bào)文與ACL4進(jìn)行匹配���,當(dāng)匹配成 功時(shí)���,將來自該客戶端的報(bào)文轉(zhuǎn)發(fā)。
8.根據(jù)權(quán)利要求6所述的方法����,其特征在于,所述接入設(shè)備采用鄰居學(xué)習(xí)功能學(xué)習(xí)到 所述客戶端的物理地址與IP地址不存在實(shí)際的對(duì)應(yīng)關(guān)系的過程包括源地址學(xué)習(xí)模塊學(xué)習(xí)到客戶端的IP地址后�,查找所述填充后的客戶端信息表,判斷所 述IP地址對(duì)應(yīng)的物理信息與所述客戶端實(shí)際的物理信息是否相同��,如果不相同��,則表示所 述客戶端的物理信息與IP地址不存在實(shí)際的對(duì)應(yīng)關(guān)系����。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于���,所述當(dāng)學(xué)習(xí)到客戶端的物理地址與IP地 址不存在實(shí)際的對(duì)應(yīng)關(guān)系時(shí)接入設(shè)備將來自所述客戶端的報(bào)文丟棄的步驟包括CPU根據(jù)客戶端信息表設(shè)置ACL2�,將所述ACL2下發(fā)至轉(zhuǎn)發(fā)處理器;所述ACL2為將滿 足所述客戶端物理信息和IP地址的報(bào)文丟棄�����;轉(zhuǎn)發(fā)處理器接收?qǐng)?bào)文�����,將所述報(bào)文與ACL2進(jìn)行匹配�,當(dāng)匹配成功時(shí),將來自所述客戶 端的報(bào)文丟棄���。
10.—種接入設(shè)備�,其特征在于�����,所述接入設(shè)備包括CPU和轉(zhuǎn)發(fā)處理器�����,其中CPU包括源 地址學(xué)習(xí)模塊和指令發(fā)送模塊��;所述源地址學(xué)習(xí)模塊���,用于學(xué)習(xí)客戶端的IP地址���;還用于采用鄰居學(xué)習(xí)功能,學(xué)習(xí)客 戶端的物理地址與IP地址是否存在實(shí)際的對(duì)應(yīng)關(guān)系����;所述指令發(fā)送模塊,用于當(dāng)源地址學(xué)習(xí)模塊學(xué)習(xí)到客戶端的IP地址時(shí)�,向轉(zhuǎn)發(fā)處理器 發(fā)送第一指令,所述第一指令為將來自所述客戶端的報(bào)文暫時(shí)轉(zhuǎn)發(fā)或丟棄�;還用于當(dāng)源 地址學(xué)習(xí)模塊學(xué)習(xí)到客戶端的物理地址與IP地址存在實(shí)際的對(duì)應(yīng)關(guān)系時(shí),向轉(zhuǎn)發(fā)處理器 發(fā)送第二指示�,所述第二指示為將來自所述客戶端的報(bào)文轉(zhuǎn)發(fā);所述轉(zhuǎn)發(fā)處理器�����,用于按照所述第一指示�����,將來自客戶端的報(bào)文暫時(shí)轉(zhuǎn)發(fā)或丟棄�����;還用 于按照所述第二指示,將來自所述客戶端的報(bào)文轉(zhuǎn)發(fā)���。
11.根據(jù)權(quán)利要求10所述的接入設(shè)備�����,其特征在于�,所述指令發(fā)送模塊還用于���,當(dāng)源地 址學(xué)習(xí)模塊學(xué)習(xí)到客戶端的物理地址與IP地址不存在實(shí)際的對(duì)應(yīng)關(guān)系時(shí)�,向轉(zhuǎn)發(fā)處理器 發(fā)送第三指示����,所述第三指示為將來自所述客戶端的報(bào)文丟棄;所述轉(zhuǎn)發(fā)處理器����,還用于按照所述第三指示,將來自所述客戶端的報(bào)文丟棄��。
12.根據(jù)權(quán)利要求10或11所述的接入設(shè)備���,其特征在于�,所述源地址學(xué)習(xí)模塊還用于,當(dāng)接入設(shè)備對(duì)客戶端的認(rèn)證通過時(shí)�,建立客戶端信息表��, 包含該客戶端的物理信息��;所述源地址學(xué)習(xí)模塊采用轉(zhuǎn)發(fā)處理器上送的客戶端的報(bào)文學(xué)習(xí) 所述客戶端的IP地址�����;所述指令發(fā)送模塊�,還用于在源地址學(xué)習(xí)模塊學(xué)習(xí)客戶端的IP地址之前,根據(jù)所述客 戶端信息表設(shè)置ACLl JfACLl下發(fā)至轉(zhuǎn)發(fā)處理器����;所述ACLl為將滿足所述客戶端物理信 息的報(bào)文上送至源地址學(xué)習(xí)模塊;所述轉(zhuǎn)發(fā)處理器��,還用于根據(jù)所述ACL1��,將滿足客戶端物理信息的報(bào)文上送至源地址 學(xué)習(xí)模塊���。
13.根據(jù)權(quán)利要求10所述的接入設(shè)備��,其特征在于���,所述指令發(fā)送模塊發(fā)送的第一指 令包括ACL3�����,所述指令發(fā)送模塊還設(shè)置ACL3的存續(xù)時(shí)間�����;所述ACL3為將滿足客戶端物理信息和IP地址的報(bào)文轉(zhuǎn)發(fā)或丟棄���;所述轉(zhuǎn)發(fā)處理器,用于按照所述ACL3�,在ACL3的存續(xù)時(shí)間內(nèi)將滿足客戶端物理信息和 IP地址的報(bào)文轉(zhuǎn)發(fā)或丟棄。
14.根據(jù)權(quán)利要求10所述的接入設(shè)備��,其特征在于�,所述指令發(fā)送模塊發(fā)送的第二指 令包括ACL4 ;所述ACL4為將滿足客戶端物理信息和IP地址的報(bào)文轉(zhuǎn)發(fā)��;所述轉(zhuǎn)發(fā)處理器����,用于按照所述ACL4,將滿足客戶端物理信息和IP地址的報(bào)文轉(zhuǎn)發(fā)�����。
15.根據(jù)權(quán)利要求11所述的接入設(shè)備,其特征在于��,所述指令發(fā)送模塊發(fā)送的第三指 令包括ACL2 ��;所述ACL2為將滿足客戶端物理信息和IP地址的報(bào)文丟棄���;所述轉(zhuǎn)發(fā)處理器,用于按照所述ACL2����,將滿足客戶端物理信息和IP地址的報(bào)文丟棄。
全文摘要
本發(fā)明提出一種接入方法和接入設(shè)備����,其中方法包括當(dāng)接入設(shè)備學(xué)習(xí)到客戶端的IP地址時(shí),啟動(dòng)鄰居學(xué)習(xí)功能�,在鄰居學(xué)習(xí)的過程中將來自所述客戶端的報(bào)文暫時(shí)轉(zhuǎn)發(fā)或丟棄;當(dāng)接入設(shè)備采用鄰居學(xué)習(xí)功能學(xué)習(xí)到所述客戶端的物理信息與所述IP地址存在實(shí)際的對(duì)應(yīng)關(guān)系時(shí)���,將來自所述客戶端的報(bào)文轉(zhuǎn)發(fā)���,允許所述客戶端接入�����。本發(fā)明能夠基于IP地址對(duì)客戶端進(jìn)行接入控制��,防止偽造源地址攻擊����。
文檔編號(hào)H04L12/56GK102136985SQ20101010379
公開日2011年7月27日 申請(qǐng)日期2010年1月22日 優(yōu)先權(quán)日2010年1月22日
發(fā)明者林濤 申請(qǐng)人:杭州華三通信技術(shù)有限公司