[发明专利]以太网端口控制装置及方法

说明书

技术领域

本发明涉及以太网的数据处理技术，尤其涉及一种以太网端口控制装置及方法。

背景技术

美国电气电子工程师学会(IEEE)802.1x协议是基于客户端/服务器(Client/Server)的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问局域网(LAN)。在获得交换机或LAN提供的各种业务之前，802.1x协议对连接到交换机端口上的用户/设备进行认证和端口控制。在认证通过之前，802.1x协议只允许基于局域网的扩展认证协议(EAPoL)数据即认证报文通过设备连接的以太网端口；报文在认证通过以后，才可以顺利地通过以太网端口。这种控制方式被称为IEEE 802.1x协议的以太网端口控制。

目前实现IEEE 802.1x协议的以太网端口控制是通过硬件来完成的。如图1为现有的支持IEEE 802.1x协议的以太网端口控制装置的层次结构图。参见图1，所述物理链路层中包括以太交换芯片，用于以太网的数据交换和IEEE 802.1x协议的以太网端口控制，属于硬件；所述以太驱动层中包括以太驱动程序，用于驱动以太网协议，所述内核协议栈为应用层和以太驱动层之间各协议的总称，用于传输应用层和以太驱动层之间的交互信息，所述应用层用于运行各种上层应用程序；所述以太驱动层、内核协议栈、以及应用层中的各种应用程序由设备的中央处理器(CPU)运行，属于软件程序。

现有技术中，应用层的认证服务程序用于根据以太网中的客户端发送的认证报文对客户端的MAC地址和/或以太网交换端口信息进行前期认证，将报文认证参数设置在物理链路层的以太交换芯片的寄存器中，当以太交换芯片收到报文后，由该以太交换芯片实现IEEE 802.1x的以太网端口控制，也就是说，以太交换芯片根据寄存器中设置的报文认证参数决定是否接收并向CPU上传物理链路层所收到的报文，当收到未认证通过的报文时，以太交换芯片会直接丢弃该报文，而不上交给CPU处理。

但是，现有技术这种通过以太网交换芯片的硬件实现IEEE 802.1x协议以太网端口控制的方式有如下缺点：

IEEE802.1x认证协议对硬件有直接的依赖性，在设备应用IEEE802.1x认证协议的过程中需要硬件即以太网交换芯片来实现IEEE 802.1x协议以太网端口控制，不但硬件的成本高昂，而且扩展性差，在对端口控制方式进行升级或修改时往往需要更换整个以太网交换芯片。另一方面，有相当多的成本低廉的以太交换芯片却不支持这种IEEE 802.1x协议的以太网端口控制，因此所以阻碍了IEEE802.1x认证协议的广泛应用。

发明内容

有鉴于此，本发明的主要目的在于提供一种以太网端口控制装置及方法，降低实现以太网端口控制的硬件成本，提高扩展性。

本发明的技术方案是这样实现的：

一种以太网端口控制装置，包括：

物理链路层的以太交换芯片，用于将接收的报文传给以太驱动层；

以太驱动层的以太驱动程序，用于在收到来自以太交换芯片的报文后确定该报文的类型和源介质访问控制层MAC地址、以及接收该报文的以太交换芯片的端口，将所确定的信息输入端口控制模块，根据端口控制模块返回的信息决定是否接收该报文；

以太驱动层的端口控制模块，用于根据应用层的认证服务程序的配置命令设置报文认证参数，其中包括认证通过的MAC地址和/或端口认证信息；并根据所述以太驱动程序的输入信息和所述报文认证参数进行端口控制，所述端口控制包括：如果以太驱动程序所收到的报文的类型为认证报文，则通知以太驱动程序接收该报文并上传到上层的认证服务程序，如果是非认证报文，则判断该报文的MAC地址或接收该报文的以太交换芯片的端口是否为所述报文认证参数中设置的已认证通过的MAC地址或端口，如果是则通知以太驱动程序接收该报文并上传到相应的上层应用程序，否则丢弃该报文；

应用层的认证服务程序，用于根据以太驱动层上传的认证报文对MAC地址和/或端口信息进行认证，向端口控制模块发送设置报文认证参数的配置指令。

优选的，所述端口控制模块具体包括两个对外接口：

一个为供所述认证服务程序调用的报文认证参数的配置接口，其中包括用于存储所述报文认证参数的数据结构，所述认证服务程序通过该配置接口对该数据结构中的报文认证参数进行访问和修改；

另一个为供以太驱动程序调用的认证函数接口，用于根据所述以太驱动程序的输入信息和所述报文认证参数进行所述端口控制。

优选的，所述用于存储所述报文认证参数的数据结构为：Proc节点树。