本申請公開了一種接入控制方法、裝置和系統以及交換機，屬于網絡技術領域。所述接入控制方法包括：認證設備接收接入設備發送的報文，所述報文包括虛擬局域網VLAN標識；認證設備根據所述VLAN標識和預先配置的對應關系采用所述VLAN標識對應的認證方式對發送所述報文的終端設備進行認證，其中，所述對應關系包括多個VLAN標識到至少兩種認證方式的映射。本申請通過根據VLAN標識來確定終端設備的認證方式，使得不同的VLAN中的終端設備可以采用不同的認證方式，接入方式靈活。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種接入控制方法、裝置和系統、以及交換機。

背景技術

通過身份認證后終端設備才能訪問網絡。常見的身份認證方式包括電氣電子工程師學會(英文：Institute of Electrical and Electronics Engineers，IEEE)802.1X認證、媒體接入控制(英文：Media Access Control，MAC)認證和強制門戶(英文：captiveportal)認證(又稱網頁(英文：web)認證)。其中，IEEE 802.1X認證需要終端設備先安裝客戶端軟件，然后采用客戶端軟件發起認證流程。MAC認證是基于MAC地址的，使用白名單內的MAC地址的終端設備通過MAC認證。而強制門戶認證基于終端設備發送的超文本傳輸協議(英文：Hyper Text Transport Protocol，HTTP)請求或超文本傳輸協議安全(英文：HyperText Transfer Protocol over Secure Socket Layer，HTTPS)。

目前的認證方式的選擇基于認證設備的物理端口或者虛擬局域網接口，認證方式單一。

發明內容

為了解決認證設備認證方式單一的問題，本申請提供了一種接入控制方法、裝置和系統、以及交換機。所述技術方案如下：

第一方面，提供了一種接入控制方法，所述方法包括：認證設備接收接入設備發送的報文，所述報文包括虛擬局域網(英文：virtual local area network，VLAN)標識；認證設備根據所述報文中的VLAN標識和預先配置的對應關系采用所述VLAN標識對應的認證方式對發送所述報文的終端設備進行認證，其中，所述對應關系包括多個VLAN標識到至少兩種認證方式的映射。

根據VLAN標識來確定屬于不同VLAN的終端設備的認證方式，使得不同的VLAN中的終端設備可以采用不同的認證方式，接入方式更加靈活。

可選地，所述對應關系還可以包括所述認證設備的與所述接入設備連接的端口到所述多個VLAN標識的映射。相應地，所述認證設備根據所述VLAN標識和預先配置的對應關系采用所述VLAN標識對應的認證方式對發送所述報文的終端設備進行認證，包括：當所述報文是從所述端口接收到的時，所述認證設備采用所述VLAN標識對應的認證方式對發送所述報文的終端設備進行認證。在不同的端口可以針對不同的VLAN配置不同的認證方式，配置更為靈活。

在第一方面的一種可能的實現方式中，所述認證設備采用所述VLAN標識對應的認證方式對發送所述報文的終端設備進行認證，包括：當所述VLAN標識對應的認證方式為MAC認證且所述報文為第一指定類型的報文時，認證設備發起媒體接入控制MAC認證。其中，第一指定類型的報文可以包括地址解析協議(英文：Address Resolution Protocol，ARP)報文、動態主機配置協議(英文：Dynamic Host Configuration Protocol，DHCP)報文等。

在第一方面的另一種可能的實現方式中，所述認證設備采用所述VLAN標識對應的認證方式對發送所述報文的終端設備進行認證，包括：當所述VLAN標識對應的認證方式為強制門戶認證且所述報文為第二指定類型的報文時，認證設備發起強制門戶認證。其中，第二指定類型的報文可以為HTTP請求報文或HTTPS請求報文。

可選地，該方法還可以包括：認證設備獲取并保存所述對應關系。