一种桥接设备透传802.1X认证报文的方法 【技术领域】
本发明涉及一种认证报文的传输,特别是指一种客户端通过其与设备端之间的桥接设备透传802.1X认证报文,触发并完成802.1X认证的方法。
背景技术
IEEE 802.1X协议是一种基于端口的访问控制协议(Port based networkaccess control protocol),是一种基于以太网技术的认证协议。802.1X以其协议安全、实现简单的特点与其它认证协议一起,给使用不对称数字用户线路(ADSL)、甚高速数字用户线路(VDSL)、局域网(LAN)、无线局域网(WLAN)等多种宽带接入方式的用户提供了丰富的认证方式。
IEEE 802.1X系统的体系结构及信息交换关系如图1所示,802.1X系统共有三个实体:客户端系统(Supplicant System)、设备端系统(AuthenticatorSystem)、认证服务器系统(Authentication Server System)。在客户端系统中进一步包括客户端端口状态实体(PAE),在设备端系统中进一步包括设备端系统提供的服务和设备端端口状态实体,在认证服务器系统中进一步包括认证服务器;该认证服务器与设备端的端口状态实体相连,通过扩展认证协议(EAP)来交换设备端和认证服务器间的认证信息,客户端的端口状态实体直接连到局域网(LAN)上,设备端的服务和端口状态实体分别通过受控端口(ControlledPort)和非受控端口连接于局域网上,客户端和设备端通过客户端和设备端间的认证协议(EAPoL)进行通信。其中,Controlled Port负责控制网络资源和业务的访问。
设备端系统通常为支持802.1X协议的网络设备,如图1所示,设备端系统的内部有两个虚端口:受控端口(Controlled Port)和非受控端口(Uncontrolled Port),该非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可保证客户端随时发出EAPoL协议帧或接受认证;而受控端口只有在认证通过,即授权的状态下才打开,用于传递网络资源和服务,也就是说,在认证未通过时该受控端口为未授权端口。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同应用环境的需要。比如:图1中设备端系统的受控端口处于未认证、未授权状态,此客户端无法访问设备端系统提供地服务。
802.1X系统中的认证过程是由设备端接收客户端的认证信息,再将这些信息转发给对应的认证服务器上进行认证。802.1X认证通常使用EAP认证方式,常用的EAP认证方式有MD5、TLS、OTP、SIM等等。基于图1所示的结构,以EAP-MD5认证方式为例,参见图2所示,其中,接入服务器为设备端,RADIUS服务器为认证服务器,实现802.1X认证的过程具体包括以下步骤:
步骤201:在客户端与接入服务器之间建立好物理连接后,客户端向接入服务器发送认证起始报文EAPoL-Start,触发802.1X的认证流程。这里,如果客户端是动态分配地址的,认证起始报文也可能是DHCP请求报文;如果客户端是手工配置地址的,认证起始报文还可能是ARP请求报文。
步骤202:接入服务器收到认证起始报文后,向客户端发送请求用户名报文EAPoL-Request[Identity],请求用户名。
步骤203:客户端回应一个响应用户名报文EAPoL-Response[Identity]给接入服务器,其中包括用户名。
步骤204:接入服务器以EAPoR(EAP over RADIUS)的报文格式向RADIUS服务器发送接入请求报文Access-Request,将客户端发给接入服务器的EAPoL-Response[Identity]报文透传给RADIUS服务器。
步骤205~206:RADIUS服务器收到用户名后,产生一个128bit的密钥Challenge;然后,发给接入服务器一个接入密码请求报文Access-Challenge,其中含有请求用户密码报文EAP-Request[MD5 Challenge]和Challenge。
步骤207:接入服务器收到后,发EAP-Request[MD5 Challenge]给客户端,将Challenge值发给客户端,并向客户端进行MD5质询。
步骤208:客户端收到EAP-Request[MD5 Challenge]报文后,将用户密码和Challenge值做MD5算法后得到加密密码,在响应用户密码报文EAPoL-Response[MD5 Challenge]中发给接入服务器。
步骤209:接入服务器再将加密密码通过Access-Request报文送到RADIUS服务器,由RADIUS服务器进行认证。
步骤210:RADIUS服务器根据用户信息判断该用户是否合法,然后回应认证成功/失败报文到接入服务器。如果成功,携带协商参数以及用户的相关业务属性给用户授权。
步骤211~212:接入服务器根据认证结果,给客户端回应认证成功/失败报文EAP-Success/EAP-Failure,通知用户认证结果。如果认证失败,则结束此流程;否则,如果客户端是动态分配地址的则通过DHCP进行地址分配,然后进行授权、计费等后续流程。
在客户端和设备端之间实现信息交互时,按照802.1X标准规定:当客户端知道设备端时,使用设备端的单播介质访问控制(MAC)地址发送EAPoL报文;当客户端不知道设备端时,使用多播MAC地址01-80-C2-00-00-03组地址发送EAPoL报文。而该多播MAC地址01-80-C2-00-00-03属于802.1D标准中所规定的不能被桥所中继的MAC地址,因此,802.1X标准建议:802.1X认证一般在最接近用户的设备上实现,即在802.1X认证前不经过桥接设备。
图3所示为常用的以太网组网方式,其中,可采用有线以太网技术,每台个人计算机(PC)中的网卡和以太网交换机(LAN Switch)通过网线相连,一个LAN Switch可同时连接多个PC机,LAN Switch通过以太网线路接到核心网中,所说的核心网可以是企业局域网、城域网等等;也可采用无线局域网技术,利用每台PC机中的无线网卡与无线接入点(AP)相连,一个AP可同时连接多个PC机,同样,AP也通过以太网线路接到核心网中。
图3只是以太网组网的一个具体实例,在实际组网中,可有多种组网结构。对于有线连接方式,PC机可以直接接在LAN Switch上,也可以通过HUB、LANSwitch等设备级联到LAN Switch上,还可以通过VDSL和VDSL交换机(VDSLSwitch)相连,其中在VDSL线路中传递的是以太网格式的报文。在无线局域网中,可使用但不限于802.11、802.11a、802.11b、802.11g等无线以太网协议来连接PC机和AP,PC机也可以通过ADSL设备连接到网络中。可见,PC机可以通过但不限于LAN Switch、AP、VDSL、ADSL等方式接入网络,并且通过网络中的认证服务器,如RADIUS服务器,对其进行合法性认证,来验证当前用户的身份是否合法,是否允许其接入网络。
基于以上所述的以太网组网结构,按802.1X标准的建议,802.1X认证就应该在LAN Switch和AP上实现。在LAN Switch和AP上实现对小规模网络中用户的认证完全没有问题,但对于规模庞大的大型网络,如图4所示的中大型企业网或运营商网络,在图4中,PC机通过网卡或无线网卡分别与LANSwitch或AP相连,LAN Switch或AP再通过以太网线路连接在接入控制设备上,这里所说的接入控制设备包括但不限于具有用户管理功能的LAN Switch、或路由器、或层三交换机(L3)、或宽带接入服务器(BAS)等等,若干个接入控制设备形成边缘汇聚层。
在图4所示的网络中,如果在所有最接近用户的设备上实现认证,由于这类设备的数量太大,设备成本、运营维护费用将会非常巨大,因此,此种情况下一般是在网络的边缘汇聚层中进行认证。换句话说就是,对于802.1X认证而言,如果在边缘汇聚层中进行802.1X认证,图4中的PC机相当于客户端,边缘汇聚层中的接入控制设备相当于设备端,客户端向设备端传送的802.1X认证报文需要经过桥接设备,而按照802.1D和802.1X标准的规定,用于用户认证的多播报文又无法透过客户端与设备端之间的所有以太网桥接设备,因此无法传送到接入控制设备上,进而不能触发接入控制设备上的802.1X认证,所以,现有的运营网络中无法开展802.1X认证业务。
【发明内容】
有鉴于此,本发明的主要目的在于提供一种桥接设备透传802.1X认证报文的方法,使其能在所有以太网桥接设备上透传802.1X认证报文,并在与客户端桥接相连的设备端上触发802.1X认证,进而使运营网络能够开展802.1X认证业务,且降低设备成本和运营维护费用。
为达到上述目的,本发明的技术方案是这样实现的:
一种桥接设备透传802.1X认证报文的方法,当需要进行802.1X认证的802.1X客户端经过桥接设备向其对应的设备端发送802.1X认证报文时,该方法包括:
桥接设备收到每个报文后,先判断当前报文是否为802.1X认证报文,如果是,则桥接设备将该802.1X认证报文透传过本设备,转发至下一层网络设备;否则,桥接设备根据自身底层存储的MAC地址表中设置的处理方式对当前报文进行处理。
其中,所述桥接设备透传802.1X认证报文进一步包括:预先设置桥接设备底层MAC地址表中对发送802.1X认证报文的01-80-C2-00-00-03组地址的处理方式为透传当前报文;桥接设备收到新报文后,判断出当前报文为802.1X认证报文后,则根据底层MAC地址表中设置的处理方式透传该认证报文至下一层网络设备。
所述桥接设备透传802.1X认证报文进一步包括:在桥接设备上层实体中预先设定对802.1X认证报文进行透传处理;桥接设备收到新报文后,根据底层MAC地址表中设置的处理方式将当前报文送至上层实体进行处理,上层实体判断出当前报文为802.1X认证报文后,则透传该认证报文至下一层网络设备。
所述桥接设备透传802.1X认证报文是:802.1X客户端用桥接设备支持透传的、01-80-C2-00-00-00到01-80-C2-00-00-0F组地址以外的任意一个多播MAC地址,发送经过桥接设备到802.1X设备端的802.1X认证报文。其中,802.1X客户端可用01-80-C2-00-00-20到01-80-C2-00-00-2F组地址中的任意一个发送经过桥接设备到802.1X设备端的802.1X认证报文。
所述桥接设备透传802.1X认证报文是:802.1X客户端以桥接设备支持透传的广播地址方式发送经过桥接设备到802.1X设备端的802.1X认证报文。该方法进一步包括:在802.1X报文中设置一个控制802.1X认证报文广播范围的虚拟局域网标识。该方法还可进一步包括:在桥接设备所属的网络中,采用生成树协议(STP)对802.1X报文的传输进行管理。
所述桥接设备透传802.1X认证报文是:802.1X客户端用能导致广播方式的单播MAC地址发送经过桥接设备到802.1X设备端的802.1X认证报文。
所述桥接设备透传802.1X认证报文是:在802.1X认证前,802.1X客户端通过协议交互获取802.1X设备端的单播MAC地址,以所获得的单播MAC地址作为目的地址,802.1X客户端经过桥接设备向802.1X设备端传输802.1X认证报文。其中,802.1X客户端通过动态主机配置协议(DHCP)交互获取设备端的单播MAC地址。
该方法进一步包括:802.1X客户端通过配置命令、或开关控制、或两者的组合确定经过桥接设备向对应的设备端发送802.1X认证报文的MAC地址。
因此,本发明所提供的桥接设备透传802.1X认证报文的方法,针对客户端不知道设备端的情况,通过采用各种方式改变传送802.1X认证报文的MAC地址,或改变对现有MAC多播地址传送802.1X认证报文的处理方式,使802.1X认证报文能在客户端与设备端之间的桥接设备上透传,从而使客户端发送的802.1X认证报文能够透过桥接设备在设备端触发并进一步完成802.1X认证过程,如此,可支持在现有运营网络中开展802.1X认证业务,为用户提供更多更好、质量更高的服务。同时,这种方法使802.1X认证在边缘汇聚层上实现成为可能,进而可降低设备成本,减少网络的运营和维护费用。
【附图说明】
图1为802.1X系统的体系结构及信息交换关系示意图;
图2为802.1X系统中EAP-MD5认证过程的信令交互示意图;
图3为常用小型以太网组网方式的结构示意图;
图4为常用大型企业网或运营网络的组网结构示意图;
图5为本发明实现的流程图。
【具体实施方式】
由于在每个桥接设备,如交换机的底层都设置有MAC地址表,该表中规定了对经过不同MAC地址传输的报文应该如何处理,因此,本发明的核心思想就是:在客户端不知道设备端的情况下,采用桥接设备能够做透传处理的MAC地址从客户端向设备端传输涉及802.1X认证的所有报文。
当某个需要进行802.1X认证的客户端经过桥接设备向其对应的设备端发送认证报文时,可根据桥接设备对报文的处理过程以及802.1X认证报文的传输过程,采用各种方式对传输802.1X认证报文的MAC地址进行相应的改变。如图5中步骤501~步骤504所示,本发明的基本实现过程是:
桥接设备接收到每个经过自身的报文后,先判断该当前报文是否为802.1X认证报文,如果不是,则根据桥接设备中已有的底层MAC地址表内设置的处理方式对当前报文进行处理;否则,在本设备内对当前报文做透传处理,即直接转发给下一层网络设备,比如:交换机直接将802.1X认证报文透传给接入控制设备。
下面结合具体实施例对本发明再作进一步详细的说明。
实施例一:
目前,客户端与设备端之间的桥接设备,也就是最接近用户的设备与接入控制设备之间的所有以太网桥接设备,对802.1X认证报文的处理过程是这样的:桥接设备收到新的报文后,先查询底层的MAC地址表,该表中给出了对于每个或每组目标MAC地址的处理方式,如果判断出该新报文的目标组地址为01-80-C2-00-00-03组地址,则将该新报文由本设备的上层实体进行处理,而不传送给下一层设备。
因此,本实施例是改变桥接设备的内部处理过程,具体有两种实现方案:
1)改变底层MAC地址表中的配置,即将表中01-80-C2-00-00-03组地址对应的处理方式由本机上层实体处理改为透传当前报文,即直接向下一层设备转发,那么,当桥接设备收到新报文查询MAC地址表时,就会根据MAC地址表中规定的处理方式,直接将该802.1X认证报文透传给下一层设备。
2)改变当前桥接设备中上层实体的处理,具体地说就是:预先在上层实体中设定对于01-80-C2-00-00-03组地址的802.1X认证报文进行透传处理,即直接向下一层设备转发,那么,当前桥接设备收到新报文后,查询MAC地址表,根据表中规定的处理方式,将该新报文发送给本设备的上层实体进行处理,上层实体根据预先的设定即将该802.1X认证报文向下一层设备转发。
在本实施例中,如果当前的桥接设备支持802.1X认证,则要关闭本设备的802.1X认证功能,同时将802.1X认证报文透传给下一层设备。
实施例二:
由于在802.1X及802.1D标准中只规定:从01-80-C2-00-00-00到01-80-C2-00-00-0F之间的多播地址所传输的帧不能被桥所中继。因此,可直接采用上述规定以外的多播地址来传输客户端通过桥接设备到设备端的802.1X认证报文,在所选用的多播地址中也包括01-80-C2-00-00-20到01-80-C2-00-00-2F的组地址,虽然这些地址在802.1D标准中也有特殊规定。
如此,当桥接设备收到802.1X认证报文后,查询底层的MAC地址表,发现当前传输802.1X认证报文的MAC地址对应的处理方式是向下一层设备透传,则立即将当前的802.1X认证报文透传过本设备,一直透传到接入控制设备上,从而触发接入控制设备上的802.1X认证,并完成802.1X认证流程。
实施例三:
由于在以太网中,广播地址可以透传过所有的交换机,到达接入控制设备,因此,可将传输802.1X认证报文的多播MAC地址改变为广播MAC地址,这样802.1X认证报文利用广播地址传输后,用户的802.1X认证报文就可以从最接近用户的设备开始通过所有以太网桥接设备,一直透传到接入控制设备,从而触发接入控制设备上的802.1X认证,并完成802.1X认证流程。
在本实施例中,由于使用广播地址可能形成广播报文,可能会产生广播风暴。为了避免广播风暴的产生,可在802.1X规定的报文格式基础上,增加一个虚拟局域网标识(VLAN tag),使当前的802.1X认证报文只在指定的VLAN中广播,而不会广播到整个以太网络中。另外,如果桥接设备所属的网络,比如由交换机组成的网络中存在环网,则采用生成树协议(STP)对网络中的报文传输进行管理,以防止802.1X报文出现环路。
实施例四:
在以太网中,以太网协议有规定:当以太网交换机收到一个单播MAC地址报文后,如果发现本交换机上没有对应该单播目的MAC地址的信息,则向非本端口或非本VLAN广播此单播报文。因此,该类单播地址被视为可能导致广播的单播地址。
本实施例即是采用这种单播地址来传输客户端通过桥接设备到设备端的802.1X认证报文,可以直接设定一个可能导致广播的单播地址来传输802.1X认证报文,也可以先设定一段可能导致广播的单播地址范围,每次从该范围内任选一个来传输802.1X认证报文。这样,交换机收到该802.1X认证报文后,查看自身的MAC地址表,发现没有该单播MAC地址的信息,即以广播方式将当前的802.1X认证报文透传过本交换机,一直透传到接入控制设备,从而触发接入控制设备上的802.1X认证,并完成802.1X认证流程。
实施例五:
由于有明确单播MAC地址为目的地址的报文可直接透传至目的设备上,因此,本实施例采用在802.1X客户端预先配置设备端,也就是接入控制设备单播MAC地址的方式,使客户端发送的802.1X认证报文能通过桥接设备直接发送至设备端上,即一直透传到接入控制设备,从而触发接入控制设备上的802.1X认证,并完成802.1X认证流程。
本实施例中,对设备端单播MAC地址的配置可通过某种已有协议或新协议在802.1X认证前,进行配置协商,也就是说,先通过此种选定的协议进行认证前的交互,使得客户端能够先获得设备端的MAC地址,然后,客户端以所获取的单播MAC地址作为目的地址发送802.1X认证报文,这样就可使802.1X认证报文一直透传到接入控制设备,触发接入控制设备上的802.1X认证,并完成802.1X认证流程,这里所述的可用协议包括但不限于动态主机配置协议(DHCP)。
当然,设备端的单播MAC地址也可以通过配置命令在客户端预先由人工配置,然后,客户端再以配置好的单播MAC地址作为目的地址发送802.1X认证报文,这样就可使802.1X认证报文一直透传到接入控制设备,触发接入控制设备上的802.1X认证,并完成802.1X认证流程。
在实际应用过程中,上述五个实施例中所述的方案可根据组网情况任意选择一种或采用多种方案的组合,所述的方案组合是指同时在不同的桥接设备上使用不同的透传方案,或是在同一桥接设备的802.1X初始认证过程和重认证过程中使用不同的透传方案。其中,每种方案可通过配置命令、或开关控制、或两者的组合来实现。
以上所述,仅为本发明的较佳实施例而已,并非用来限定本发明的保护范围。