[发明专利]三层认证方法、装置及三层认证交换机

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种三层认证方法、装置及三层认证交换机。

背景技术

当前网络中，交换机主要应用在二层网络做分布式认证，用户认证后，通过下发ACL(Access Control List，访问控制列表)规则，绑定用户的源MAC(Media Access Control，介质访问控制)或者源MAC与源IP(Internet Protocol，网络协议)信息，作为认证与否的判断。在大二层网络环境中，交换机作为网关设备，开启集中式认证，该方案也是通过MAC地址表，判断地址表中是否存在用户的源MAC地址来标识用户是否已认证。

在现有的网络中，三层认证都是通过路由器等基于软件实现转发的设备来充当。现有技术中没有交换机充当三层认证设备，主要问题有两个：一方面，交换机充当三层认证设备，只能通过源IP来区分用户是否已认证，这个目前无成熟且可直接使用的芯片方案；另一方面，充当三层认证设备，通常出口是多个运营商(如联通、移动等)，不同的用户，购买的套餐不一样，有些用户购买的是联通套餐，有些用户购买的是移动套餐，那么这些不同的用户的流量也要走不同的线路，即需要根据源IP来选择出口，而目前交换机上的路由转发都是基于目的IP。如果需要基于源IP进行转发，那就要通过ACL来实现，强行匹配报文的源IP，然后重定向到某条线路，这样每个用户就要占一条ACL表项，而对于目前常用的芯片，通常主机路由表容量远大于ACL表容量，例如最多可以达到512K的容量，但ACL容量最多只有8K，但一个校园网中，用户一般都超过1万人，根本无法用ACL来实现。

综上所述，现有技术中交换机只能实现二层认证功能，无法有效实现三层认证功能。

发明内容

本发明提供一种三层认证方法、装置及三层认证交换机，用以解决现有技术中交换机只能实现二层认证功能，无法实现三层认证的问题。

本发明提供了一种三层认证方法，所述方法包括：

在第一端口接收用户发出的数据报文，根据数据报文的源IP地址匹配路由表，在匹配结果为所述用户发出的数据报文为待认证报文时，将所述数据报文在ACL表中进行匹配，根据匹配结果将数据报文发送至CPU进行认证处理；

所述ACL表中预先设置了将第一端口接收到的待认证报文转发至CPU的表项。

本发明还提供一种三层认证装置，所述装置包括：

匹配模块，用于在第一端口接收用户发出的数据报文，根据数据报文的源网络协议IP地址匹配路由表，在匹配结果为所述用户发出的数据报文为待认证报文时，将所述数据报文在访问控制列表ACL中进行匹配，根据匹配结果将数据报文发送至CPU进行认证处理；

ACL表设置模块，用于在ACL表中预先设置将第一端口接收到的待认证报文转发至CPU的表项。

本发明还提供一种三层认证交换机，所述交换机包括上述三层认证装置。

本发明的三层认证方法、装置及三层认证交换机，通过采用上述技术方案，在路由表中根据数据报文的源IP地址匹配路由表，并且在匹配结果为待认证报文时，将数据报文在ACL表中进行匹配，从而转发至CPU中进行认证处理的过程，解决了现有技术中交换机只能实现二层认证功能，无法有效实现三层认证的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为交换机充当三层认证设备的拓扑场景示意图；

图2为本发明实施例一提供的三层认证方法流程图；

图3为本发明实施例二提供的三层认证方法流程图；

图4为本发明实施例三提供的三层认证装置结构示意图；

图5为本发明实施例四提供的三层认证交换机结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。