国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看 

  • 

    • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>

      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>
      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>
      




      
      
      
          
      
            
      
                
      
                    
      
                        
      
                            
      
                                基于軟件定義網(wǎng)絡的物理地址旁路認證方法及裝置的制造方法
                            
      
                            
      文檔序號:8945584閱讀:567來源:國知局
      
                            
                        
      
                        
      
                        
      
                            基于軟件定義網(wǎng)絡的物理地址旁路認證方法及裝置的制造方法
      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明涉及網(wǎng)絡認證領(lǐng)域,尤其涉及一種基于SDN(軟件定義網(wǎng)絡,Software Defined Network)的 MAB (物理地址旁路認證,MAC Authentication Bypass)認證方法及 裝置。
      【背景技術(shù)】
      [0002] 在實際網(wǎng)絡中存在一些無法安裝認證客戶端的設備,例如打印機、PDA設備等。由 于這些設備無法安裝認證客戶端,無法進行802. Ix認證,因此它們需要使用MAB認證來安 全訪問網(wǎng)絡中的資源。
      [0003] 圖1為傳統(tǒng)的MAB認證方式的示意圖。傳統(tǒng)的MAB認證設備只支持RADIUS (遠程 用戶服務撥號認證,Remote Authentication Dial In User Service)方式。具體地,如圖 1所示,當一些無法安裝認證客戶端的設備(例如,個人計算機PCl和PC2、打印機等)需要 使用MB認證方式來安全訪問網(wǎng)絡中的資源時,它們通過至少一個交換機(例如,交換機1 和2)來傳遞數(shù)據(jù)到RADIUS服務器(以及更新服務器、因特網(wǎng))來進行認證,并且其中每個 交換機中包含多個以太網(wǎng)端口規(guī)則(例如,以太網(wǎng)1/0/1、以太網(wǎng)1/0/2、以太網(wǎng)1/0/3、以太 網(wǎng)1/0/4等)。在傳統(tǒng)的MAB認證方式中,使用MAB用戶的MAC地址作為認證的用戶名和密 碼,或使用固定的用戶名和密碼進行認證(即,無論MAB用戶的MAC地址如何變化,所有用 戶均使用在設備上預先配置的用戶名和密碼進行認證)。
      [0004] 然而,這種傳統(tǒng)方式是分布式的、缺乏控制器的集中控制,MAB認證的配置任務需 要基于每個交換機(例如,交換機1和2)。如果構(gòu)建的網(wǎng)絡非常龐大(例如,交換機數(shù)量過 多),配置工作將會非常復雜并且容易出錯(例如,需應用不同的以太網(wǎng)端口規(guī)則)。其次, 傳統(tǒng)的MB認證需要RADIUS服務器,整個組網(wǎng)復雜,缺乏靈活性。
      [0005] 因此,需要一種改進的MAB認證方式及裝置來提供更簡單、靈活的組網(wǎng)認證方式。

      【發(fā)明內(nèi)容】

      [0006] 本發(fā)明的主要目的在于提供更簡單、靈活的組網(wǎng)認證方式。
      [0007] 為實現(xiàn)上述目的,本發(fā)明提供一種基于軟件定義網(wǎng)絡的物理地址旁路認證方法, 在軟件定義網(wǎng)絡交換機和軟件定義網(wǎng)絡控制器上執(zhí)行,所述方法包括:由所述軟件定義網(wǎng) 絡交換機上報自己的物理地址信息和端口信息給所述軟件定義網(wǎng)絡控制器;在所述軟件定 義網(wǎng)絡控制器上配置物理地址旁路認證技術(shù);由所述軟件定義網(wǎng)絡交換機上報未匹配流表 的報文;以及由所述軟件定義網(wǎng)絡控制器根據(jù)所述匹配的認證結(jié)果來下發(fā)流表。
      [0008] 進一步地,所述方法還包括:由所述軟件定義網(wǎng)絡交換機初始化開放流通道;以 及由所述軟件定義網(wǎng)絡交換機通過私有的實驗者報文來上報所述自己的物理地址和端口 信息給所述軟件定義網(wǎng)絡控制器。
      [0009] 進一步地,所述方法還包括:在所述報文進入軟件定義網(wǎng)絡之后,查詢所述流表; 判斷所述報文是否匹配所述流表,如果匹配,則所述報文根據(jù)所述流表進行正常轉(zhuǎn)發(fā),如果 不匹配,則所述報文將被送往所述軟件定義網(wǎng)絡控制器進行處理;以及進一步匹配所述報 文與物理地址旁路認證策略,如果匹配,則所述軟件定義網(wǎng)絡控制器下發(fā)流表并轉(zhuǎn)發(fā)報文, 如果不匹配,則丟棄所述報文。
      [0010] 進一步地,所述方法還包括:當所述軟件定義網(wǎng)絡控制器從所述軟件定義網(wǎng)絡交 換機接收到收入封包報文時,從所述收入封包報文中提取原始報文的源物理地址、對應交 換機的物理地址和端口;以及由所述軟件定義網(wǎng)絡控制器基于所述軟件定義網(wǎng)絡交換機 和端口來判斷物理地址旁路認證開關(guān)的狀態(tài),如果所述物理地址旁路認證開關(guān)的狀態(tài)為關(guān) 閉,則所述軟件定義網(wǎng)絡控制器下發(fā)流表并轉(zhuǎn)發(fā)報文,如果所述物理地址旁路認證開關(guān)的 狀態(tài)為打開,則由所述軟件定義網(wǎng)絡控制器進一步判斷物理地址旁路認證方式,其中如果 所述物理地址旁路認證方式為旁路,則所述軟件定義網(wǎng)絡控制器下發(fā)流表并轉(zhuǎn)發(fā)報文,如 果所述物理地址旁路認證方式為交換機物理地址方式,則將所述軟件定義網(wǎng)絡交換機的物 理地址作為用戶名和密碼并進行物理地址旁路驗證,如果所述物理地址旁路認證方式為用 戶物理地址方式,則將所述物理地址旁路用戶的物理地址作為用戶名和密碼并進行物理地 址旁路驗證,當所述物理地址旁路驗證通過時,所述軟件定義網(wǎng)絡控制器下發(fā)流表并轉(zhuǎn)發(fā) 報文,所述軟件定義網(wǎng)絡交換機轉(zhuǎn)發(fā)所述報文流。
      [0011] 進一步地,所述軟件定義網(wǎng)絡交換機和所述軟件定義網(wǎng)絡控制器都支持流表定義 的擴展,其中匹配字段為入端口和數(shù)據(jù)流的源物理地址,動作字段為轉(zhuǎn)發(fā)所述數(shù)據(jù)流。
      [0012] 本發(fā)明還提供一種基于軟件定義網(wǎng)絡的物理地址旁路認證裝置,所述物理地址旁 路認證裝置包括軟件定義網(wǎng)絡交換機和軟件定義網(wǎng)絡控制器,其特征在于:所述軟件定義 網(wǎng)絡交換機配置為上報自己的物理地址信息和端口信息給所述軟件定義網(wǎng)絡控制器;所述 軟件定義網(wǎng)絡控制器配置為配置物理地址旁路認證技術(shù);所述軟件定義網(wǎng)絡交換機還配置 為上報未匹配流表的報文;以及所述軟件定義網(wǎng)絡控制器還配置為根據(jù)所述匹配的認證結(jié) 果來下發(fā)流表。
      [0013] 進一步地,所述軟件定義網(wǎng)絡交換機還配置為初始化開放流通道,并且通過私有 的實驗者報文來上報所述自己的物理地址和端口信息給所述軟件定義網(wǎng)絡控制器。
      [0014] 進一步地,所述軟件定義網(wǎng)絡交換機還配置為:在所述報文進入軟件定義網(wǎng)絡之 后,查詢所述流表;判斷所述報文是否匹配所述流表,如果匹配,則所述報文根據(jù)所述流表 進行正常轉(zhuǎn)發(fā),如果不匹配,則所述報文將被送往所述軟件定義網(wǎng)絡控制器進行處理;以及 進一步匹配所述報文與物理地址旁路認證策略,如果匹配,則所述軟件定義網(wǎng)絡控制器下 發(fā)流表并轉(zhuǎn)發(fā)報文,如果不匹配,則丟棄所述報文。
      [0015] 進一步地,所述軟件定義網(wǎng)絡控制器還配置為:當所述軟件定義網(wǎng)絡控制器從所 述軟件定義網(wǎng)絡交換機接收到收入封包報文時,從所述收入封包報文中提取原始報文的源 物理地址、對應交換機的物理地址和端口;以及基于所述軟件定義網(wǎng)絡交換機和端口來判 斷物理地址旁路認證開關(guān)的狀態(tài),如果所述物理地址旁路認證開關(guān)的狀態(tài)為關(guān)閉,則下發(fā) 流表并轉(zhuǎn)發(fā)報文,如果所述物理地址旁路認證開關(guān)的狀態(tài)為打開,則進一步判斷物理地址 旁路認證方式,其中如果所述物理地址旁路認證方式為旁路,則所述軟件定義網(wǎng)絡控制器 下發(fā)流表并轉(zhuǎn)發(fā)報文,如果所述物理地址旁路認證方式為交換機物理地址方式,則將所述 軟件定義網(wǎng)絡交換機的物理地址作為用戶名和密碼并進行物理地址旁路驗證,如果所述物 理地址旁路認證方式為用戶物理地址方式,則將所述物理地址旁路用戶的物理地址作為用 戶名和密碼并進行物理地址旁路驗證,當所述物理地址旁路驗證通過時,所述軟件定義網(wǎng) 絡控制器下發(fā)流表并轉(zhuǎn)發(fā)報文,所述軟件定義網(wǎng)絡交換機轉(zhuǎn)發(fā)所述報文流。
      [0016] 進一步地,所述軟件定義網(wǎng)絡交換機和所述軟件定義網(wǎng)絡控制器都支持流表定義 的擴展,其中匹配字段為入端口和數(shù)據(jù)流的源物理地址,動作字段為轉(zhuǎn)發(fā)所述數(shù)據(jù)流。
      [0017] 本發(fā)明所提供的基于軟件定義網(wǎng)絡的物理地址旁路認證方法及裝置將所有物理 地址旁路認證配置任務序列都集中在軟件定義網(wǎng)絡控制器上,因此配置工作非常集中并且 修改方便,組網(wǎng)更加簡單、靈活。
      【附圖說明】
      [0018] 圖1為傳統(tǒng)的MAB認證方式的示意圖;
      [0019] 圖2為本發(fā)明實施例提供的一種基于SDN的MAB認證方式的示意圖;
      [0020] 圖3為本發(fā)明實施例提供的一種基于SDN的MAB認證方法的流程圖;
      [0021] 圖4為本發(fā)明實施例提供的一種SDN交換機上報方法的流程圖;
      [0022] 圖5為本發(fā)明實施例提供的一種私有實驗者報文的示意圖;
      [0023] 圖6為本發(fā)明實施例提供的一種SDN交換機的處理流程的示意圖;
                        
      
                        
      
                        
      
                            
                        
      

                        
                            
                    
      
                    
      當前第1頁1 2 3 
      
                    


                     
                        
                        
                    

                
      

                
                
      
                    
      
                        網(wǎng)友詢問留言
                        已有0條留言
                    
      
                    
      
                        
      
                            
                            
        

                                								

						

      • 還沒有人留言評論。精彩留言會獲得點贊!
        • 


                            
      
                        
      
                        
      
                         1