[发明专利]三层认证方法、装置及三层认证交换机

权利要求书

1.一种三层认证方法，其特征在于，所述方法包括：

在第一端口接收用户发出的数据报文，根据数据报文的源网络协议IP地址匹配路由表，在匹配结果为所述用户发出的数据报文为待认证报文时，将所述数据报文在访问控制列表ACL中进行匹配，根据匹配结果将数据报文发送至中央处理器CPU进行认证处理；

所述ACL表中预先设置了将第一端口接收到的待认证报文转发至CPU的表项。

2.根据权利要求1所述的方法，其特征在于，在第一端口接收用户发出的数据报文之前，还包括：

在第一端口开启三层认证功能，并开启单播逆向路径转发URPF检查，以使第一端口接收到的数据报文在路由表中进行源IP地址匹配。

3.根据权利要求2所述的方法，其特征在于，所述在第一端口接收用户发出的数据报文的步骤之前还包括：

将路由表中非32位掩码且出口为第一端口对应路由表项的classid修改成非0的值。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

认证成功后，在路由表中下发与所述用户源IP地址唯一匹配的路由表项；

在第一端口接收所述用户后续发出的数据报文，通过匹配所述用户源IP地址唯一匹配的路由表项，将该数据报文转发至ACL表中进行匹配，根据匹配结果将数据报文转发出去；

所述ACL表中预先设置了将指定类别数据报文转发出去的表项，所述指定类别数据报文为：与所述用户发出的数据报文具有相同分类的数据报文。

5.根据权利要求4所述的方法，其特征在于，所述根据匹配结果将数据报文转发出去，具体包括：

根据匹配结果将该数据报文通过指定端口转发出去；

所述ACL表中预先设置了将指定类别数据报文转发出去的表项，具体包括：

ACL表中预先设置了将指定类别数据报文转发至指定端口的表项。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

将与所述用户源IP地址唯一匹配的路由表项中的classid值设置为指定值，所述指定值用于标识指定类别数据报文；

所述ACL表中预先设置了将指定类别数据报文转发至指定端口的表项，具体包括：

所述ACL表中预先设置了匹配classid为指定值的转发策略为：转发至指定端口。

7.一种三层认证装置，其特征在于，所述装置包括：

匹配模块，用于在第一端口接收用户发出的数据报文，根据数据报文的源网络协议IP地址匹配路由表，在匹配结果为所述用户发出的数据报文为待认证报文时，将所述数据报文在访问控制列表ACL中进行匹配，根据匹配结果将数据报文发送至CPU进行认证处理；

ACL表设置模块，用于在ACL表中预先设置将第一端口接收到的待认证报文转发至CPU的表项。

8.根据权利要求7所述的装置，其特征在于，还包括：

预设置模块，用于在第一端口接收用户发出的数据报文之前，在第一端口开启三层认证功能，并开启单播逆向路径转发URPF检查，以使第一端口接收到的数据报文在路由表中进行源IP地址匹配。

9.根据权利要求8所述的装置，其特征在于，还包括：

路由表设置模块，用于将路由表中非32位掩码且出口为第一端口对应路由表项的classid修改成非0的值。

10.根据权利要求7-9任一项所述的装置，其特征在于，

所述路由表设置模块还用于在认证成功后，在路由表中下发与所述用户源IP地址唯一匹配的路由表项；

所述匹配模块还用于在第一端口接收所述用户后续发出的数据报文，通过匹配所述用户源IP地址唯一匹配的路由表项，将该数据报文转发至ACL表中进行匹配，根据匹配结果将数据报文转发出去；

所述ACL表设置模块还用于在ACL表中预先设置将指定类别数据报文转发出去的表项，所述指定类别数据报文为：与所述用户发出的数据报文具有相同分类的数据报文。