技術領域

本發明涉及以太網的數據處理技術，尤其涉及一種以太網端口控制裝置及方法。

背景技術

美國電氣電子工程師學會(IEEE)802.1x協議是基于客戶端/服務器(Client/Server)的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(access?port)訪問局域網(LAN)。在獲得交換機或LAN提供的各種業務之前，802.1x協議對連接到交換機端口上的用戶/設備進行認證和端口控制。在認證通過之前，802.1x協議只允許基于局域網的擴展認證協議(EAPoL)數據即認證報文通過設備連接的以太網端口；報文在認證通過以后，才可以順利地通過以太網端口。這種控制方式被稱為IEEE?802.1x協議的以太網端口控制。

目前實現IEEE?802.1x協議的以太網端口控制是通過硬件來完成的。如圖1為現有的支持IEEE?802.1x協議的以太網端口控制裝置的層次結構圖。參見圖1，所述物理鏈路層中包括以太交換芯片，用于以太網的數據交換和IEEE?802.1x協議的以太網端口控制，屬于硬件；所述以太驅動層中包括以太驅動程序，用于驅動以太網協議，所述內核協議棧為應用層和以太驅動層之間各協議的總稱，用于傳輸應用層和以太驅動層之間的交互信息，所述應用層用于運行各種上層應用程序；所述以太驅動層、內核協議棧、以及應用層中的各種應用程序由設備的中央處理器(CPU)運行，屬于軟件程序。

現有技術中，應用層的認證服務程序用于根據以太網中的客戶端發送的認證報文對客戶端的MAC地址和/或以太網交換端口信息進行前期認證，將報文認證參數設置在物理鏈路層的以太交換芯片的寄存器中，當以太交換芯片收到報文后，由該以太交換芯片實現IEEE?802.1x的以太網端口控制，也就是說，以太交換芯片根據寄存器中設置的報文認證參數決定是否接收并向CPU上傳物理鏈路層所收到的報文，當收到未認證通過的報文時，以太交換芯片會直接丟棄該報文，而不上交給CPU處理。

但是，現有技術這種通過以太網交換芯片的硬件實現IEEE?802.1x協議以太網端口控制的方式有如下缺點：

IEEE802.1x認證協議對硬件有直接的依賴性，在設備應用IEEE802.1x認證協議的過程中需要硬件即以太網交換芯片來實現IEEE?802.1x協議以太網端口控制，不但硬件的成本高昂，而且擴展性差，在對端口控制方式進行升級或修改時往往需要更換整個以太網交換芯片。另一方面，有相當多的成本低廉的以太交換芯片卻不支持這種IEEE?802.1x協議的以太網端口控制，因此所以阻礙了IEEE802.1x認證協議的廣泛應用。

發明內容

有鑒于此，本發明的主要目的在于提供一種以太網端口控制裝置及方法，降低實現以太網端口控制的硬件成本，提高擴展性。

本發明的技術方案是這樣實現的：

一種以太網端口控制裝置，包括：

物理鏈路層的以太交換芯片，用于將接收的報文傳給以太驅動層；

以太驅動層的以太驅動程序，用于在收到來自以太交換芯片的報文后確定該報文的類型和源介質訪問控制層MAC地址、以及接收該報文的以太交換芯片的端口，將所確定的信息輸入端口控制模塊，根據端口控制模塊返回的信息決定是否接收該報文；

以太驅動層的端口控制模塊，用于根據應用層的認證服務程序的配置命令設置報文認證參數，其中包括認證通過的MAC地址和/或端口認證信息；并根據所述以太驅動程序的輸入信息和所述報文認證參數進行端口控制，所述端口控制包括：如果以太驅動程序所收到的報文的類型為認證報文，則通知以太驅動程序接收該報文并上傳到上層的認證服務程序，如果是非認證報文，則判斷該報文的MAC地址或接收該報文的以太交換芯片的端口是否為所述報文認證參數中設置的已認證通過的MAC地址或端口，如果是則通知以太驅動程序接收該報文并上傳到相應的上層應用程序，否則丟棄該報文；

應用層的認證服務程序，用于根據以太驅動層上傳的認證報文對MAC地址和/或端口信息進行認證，向端口控制模塊發送設置報文認證參數的配置指令。

優選的，所述端口控制模塊具體包括兩個對外接口：

一個為供所述認證服務程序調用的報文認證參數的配置接口，其中包括用于存儲所述報文認證參數的數據結構，所述認證服務程序通過該配置接口對該數據結構中的報文認證參數進行訪問和修改；

另一個為供以太驅動程序調用的認證函數接口，用于根據所述以太驅動程序的輸入信息和所述報文認證參數進行所述端口控制。

優選的，所述用于存儲所述報文認證參數的數據結構為：Proc節點樹。