[发明专利]接入控制方法、装置和系统、以及交换机

说明书

本申请公开了一种接入控制方法、装置和系统以及交换机，属于网络技术领域。所述接入控制方法包括：认证设备接收接入设备发送的报文，所述报文包括虚拟局域网VLAN标识；认证设备根据所述VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证，其中，所述对应关系包括多个VLAN标识到至少两种认证方式的映射。本申请通过根据VLAN标识来确定终端设备的认证方式，使得不同的VLAN中的终端设备可以采用不同的认证方式，接入方式灵活。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种接入控制方法、装置和系统、以及交换机。

背景技术

通过身份认证后终端设备才能访问网络。常见的身份认证方式包括电气电子工程师学会(英文：Institute of Electrical and Electronics Engineers，IEEE)802.1X认证、媒体接入控制(英文：Media Access Control，MAC)认证和强制门户(英文：captiveportal)认证(又称网页(英文：web)认证)。其中，IEEE 802.1X认证需要终端设备先安装客户端软件，然后采用客户端软件发起认证流程。MAC认证是基于MAC地址的，使用白名单内的MAC地址的终端设备通过MAC认证。而强制门户认证基于终端设备发送的超文本传输协议(英文：Hyper Text Transport Protocol，HTTP)请求或超文本传输协议安全(英文：HyperText Transfer Protocol over Secure Socket Layer，HTTPS)。

目前的认证方式的选择基于认证设备的物理端口或者虚拟局域网接口，认证方式单一。

发明内容

为了解决认证设备认证方式单一的问题，本申请提供了一种接入控制方法、装置和系统、以及交换机。所述技术方案如下：

第一方面，提供了一种接入控制方法，所述方法包括：认证设备接收接入设备发送的报文，所述报文包括虚拟局域网(英文：virtual local area network，VLAN)标识；认证设备根据所述报文中的VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证，其中，所述对应关系包括多个VLAN标识到至少两种认证方式的映射。

根据VLAN标识来确定属于不同VLAN的终端设备的认证方式，使得不同的VLAN中的终端设备可以采用不同的认证方式，接入方式更加灵活。

可选地，所述对应关系还可以包括所述认证设备的与所述接入设备连接的端口到所述多个VLAN标识的映射。相应地，所述认证设备根据所述VLAN标识和预先配置的对应关系采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证，包括：当所述报文是从所述端口接收到的时，所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证。在不同的端口可以针对不同的VLAN配置不同的认证方式，配置更为灵活。

在第一方面的一种可能的实现方式中，所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证，包括：当所述VLAN标识对应的认证方式为MAC认证且所述报文为第一指定类型的报文时，认证设备发起媒体接入控制MAC认证。其中，第一指定类型的报文可以包括地址解析协议(英文：Address Resolution Protocol，ARP)报文、动态主机配置协议(英文：Dynamic Host Configuration Protocol，DHCP)报文等。

在第一方面的另一种可能的实现方式中，所述认证设备采用所述VLAN标识对应的认证方式对发送所述报文的终端设备进行认证，包括：当所述VLAN标识对应的认证方式为强制门户认证且所述报文为第二指定类型的报文时，认证设备发起强制门户认证。其中，第二指定类型的报文可以为HTTP请求报文或HTTPS请求报文。

可选地，该方法还可以包括：认证设备获取并保存所述对应关系。