技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡接入控制技術(shù)領(lǐng)域，特別涉及一種網(wǎng)絡接入控制方法及接入控制裝置。?

背景技術(shù)

802.1X協(xié)議是一種基于端口的網(wǎng)絡接入控制協(xié)議(port?based?networkaccess?control?protocol)。“基于端口的網(wǎng)絡接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶設(shè)備進行認證和控制。連接在端口上的用戶設(shè)備如果能通過認證，就可以訪問局域網(wǎng)中的資源；如果不能通過認證，則無法訪問局域網(wǎng)中的資源。802.1X協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制在以太網(wǎng)中被廣泛應用，主要解決以太網(wǎng)內(nèi)認證和安全方面的問題。?

圖1為現(xiàn)有802.1X認證系統(tǒng)結(jié)構(gòu)圖，如圖1所示，現(xiàn)有802.1X認證系統(tǒng)為典型的Client/Server結(jié)構(gòu)，包括三個實體：客戶端(Client)、設(shè)備端(Device)和認證服務器(Server)。?

客戶端是被認證實體，一般為用戶終端設(shè)備，用于發(fā)起802.1X認證。?

設(shè)備端對所連接的客戶端進行認證。設(shè)備端通常為支持802.1X協(xié)議的網(wǎng)絡設(shè)備，通過局域網(wǎng)上的可擴展認證協(xié)議(EAPOL，ExtensibleAuthentication?Protocol?over?LAN)進行認證。它為客戶端提供接入局域網(wǎng)的端口，該端口可以是物理端口，也可以是邏輯端口。?

認證服務器是為設(shè)備端提供認證服務的實體。認證服務器用于實現(xiàn)對用戶進行認證、授權(quán)和計費，通常為遠程認證撥號用戶服務(RADIUS，RemoteAuthentication?Dial-In?User?Service)服務器。?

一般的使用情況下，對于單層交換網(wǎng)絡，設(shè)備端可以對與其直接相連的客戶端設(shè)備進行接入控制，限制用戶訪問網(wǎng)絡資源。?

而對于多層交換網(wǎng)絡，情況則有些復雜。圖2為典型的多層交換網(wǎng)絡結(jié)構(gòu)示意圖，如圖2所示，該網(wǎng)絡中包括認證服務器、邊緣交換設(shè)備、核心交換設(shè)備、客戶端1和客戶端2。其中，核心交換設(shè)備連接英特網(wǎng)(Internet)邊緣交換設(shè)備通過上行端口3與核心交換設(shè)備的下行端口4相連，客戶端1通過邊緣交換設(shè)備的下行端口1接入網(wǎng)絡，客戶端2通過邊緣交換設(shè)備的下行端口2接入網(wǎng)絡(本發(fā)明不涉及認證服務器與具體認證過程，因此認證服務器未示出)。當然，這里的核心交換設(shè)備是一個廣義的概念，實際可以包括多層的交換設(shè)備組成的核心交換設(shè)備網(wǎng)。?

在上述多層交換網(wǎng)絡中，為了方便用戶接入網(wǎng)絡，以及簡化網(wǎng)絡部署，一般不在邊緣交換設(shè)備部署802.1X認證，而僅在核心交換設(shè)備上部署802.1X認證。但此時網(wǎng)絡將完全喪失對客戶端接入和訪問底層網(wǎng)絡資源(邊緣交換設(shè)備上連接的網(wǎng)絡資源)的控制。?

另外，如果客戶端1要通過核心交換設(shè)備進行802.1X認證，則需要通過邊緣交換設(shè)備轉(zhuǎn)發(fā)用于與核心交換設(shè)備進行認證的認證報文。目前802.1X認證通常使用EAPOL協(xié)議，客戶端1接入下行端口1后，將通過下行端口1發(fā)送認證開始報文，邊緣交換設(shè)備通過上行端口3將認證開始報文轉(zhuǎn)發(fā)至核心交換設(shè)備的下行端口4，核心交換設(shè)備將通過邊緣交換設(shè)備向客戶端下發(fā)認證請求(EAP-Request)報文，認證請求報文通過邊緣交換設(shè)備的上行端口3轉(zhuǎn)發(fā)到下行端口2，從而發(fā)送給客戶端1；再經(jīng)過后續(xù)一系列認證報文交互，最終如果認證成功，則核心交換設(shè)備將下發(fā)認證成功(EAP-Success)報文，否則將下發(fā)認證失敗(EAP-Failure)報文。?

此時若客戶端2惡意仿冒核心交換設(shè)備向客戶端1發(fā)送上述3種認證報文，則會干擾客戶端1正常的認證過程，使客戶端1無法通過認證，或者使已經(jīng)認證通過的客戶端1下線。?

發(fā)明內(nèi)容

本發(fā)明實施例提供一種網(wǎng)絡接入控制方法，用于多層交換網(wǎng)絡，邊緣交換設(shè)備通過上行端口與核心交換設(shè)備相連，在核心交換設(shè)備上啟用網(wǎng)絡接入認證，邊緣交換設(shè)備上不啟用網(wǎng)絡接入認證時，也可以實現(xiàn)對客戶端的接入控制。?

本發(fā)明實施例提供一種網(wǎng)絡接入控制裝置，用于多層交換網(wǎng)絡，邊緣交換設(shè)備通過上行端口與核心交換設(shè)備相連，在核心交換設(shè)備上啟用網(wǎng)絡接入認證，邊緣交換設(shè)備上不啟用網(wǎng)絡接入認證時，也可以實現(xiàn)對客戶端的接入控制。?

為達到上述目的，本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的：?

一種網(wǎng)絡接入控制方法，用于多層交換網(wǎng)絡，邊緣交換設(shè)備通過上行端口與核心交換設(shè)備相連，在核心交換設(shè)備上啟用網(wǎng)絡接入認證，邊緣交換設(shè)備上不啟用網(wǎng)絡接入認證時，對客戶端通過邊緣交換設(shè)備的下行端口接入網(wǎng)絡進行控制；該方法包括：?