[发明专利]测试网络设备的方法、系统及装置

说明书

技术领域

本发明涉及网络通信设备测试技术，尤其涉及一种测试网络设备的方法、系统及装置。

背景技术

传统的以太网技术允许未经授权的用户，直接通过连接到局域网(LAN)的设备进入网络，免费使用网络资源。但是随着以太网技术的广泛应用，网络运营商的网络资源并非免费提供给用户使用，用户需要支付相应的费用才能获得使用相应网络资源的使用权限。在这种情况下，对网络使用权限安全认证的需求就提到了议事日程上。美国电气电子工程师学会(Institute of Electrical andElectronics Engineers，IEEE)802委员会制定的LAN标准IEEE802.1x协议正是在这样的背景下提出的。IEEE802.1x协议也称为基于端口的网络访问控制协议(Port-Based Network Access Control Protocol)。

在IEEE802.1x协议中，连接用户的网络设备的作用非常重要。以下简要介绍IEEE802.1x协议的基本原理。

IEEE802.1x协议标准定义了一种基于“客户端—服务器”(Client-Server)模式实现限制未认证用户对网络的访问。用户要访问网络必须先通过服务器的认证。没有通过服务器认证的用户无法访问网络。

如图1所示，IEEE802.1x标准认证体系由恳请者(supplicant)、认证者(authenticator)和认证服务器(authentication server)三部分构成，在实际认证过程中，三部分分别对应为：工作站(Client)、网络设备(network access server，NAS)和认证服务器(Radius-Server)。

其中，具有恳请者功能的为用户，如工作站、客户端或个人电脑(PersonalComputer，PC)，请求对网络的访问，并对认证者的认证信息报文进行应答。在实际认证过程中，用户向网络运营商交纳一定的费用，网络运营商则向用户提供一个认证用的用户标识和认证密码，并给用户提供一个用于认证的客户端软件，该软件安装在用户的PC上。用户想使用网络资源时，必须先打开认证客户端软件，使用提供的用户标识和认证密码进行认证。

具有认证者功能的为连接用户，且实现IEEE802.1x协议的网络设备。该网络设备可以是交换机或路由器。具有认证者功能的网络设备有两种类型的端口：受控端口(controlled Port)和非受控端口(uncontrolled Port)。其中连接受控端口的用户只有通过认证才能访问网络；而连接非受控端口的用户无须认证就可以直接访问网络。通过将非受控端口连接认证服务器，以保证服务器与网络设备的正常通讯；把最终用户连接在受控端口上，便可以实现对用户的控制。用户还未认证前，连接该用户的网络设备的受控端口不允许任何数据通过，但认证报文除外，该用户认证后，认证服务器将认证结果通知网络设备。网络设备通过向用户要求认证信息，核实服务器端的认证信息，如果认证通过，网络设备就将连接该用户的受控端口打开，允许数据通过，此时该用户就可以访问网络；如果用户认证没有通过，网络设备保持连接该用户的受控端口为关闭，这样该用户就无法访问网络。网络设备除了具有认证功能外，还具有服务器客户端(Remote Authentication Dial In User Service Client，RADIUS Client)的功能，因而网络设备也被称为网络访问服务器(Network Access Server，NAS)，即将从用户收到的回应封装成RADIUS格式的报文并转发给Radius-Server，同时把从Radius-Server收到的信息解释出来并转发给用户。

认证服务器通常为RADIUS服务器，认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户的认证信息，例如用户标识、密认证码、用户认证PC的介质访问控制(MediaAccess Control，MAC)地址、用户认证PC的互联网协议(Internet Protocol，IP)地址等信息，其中每个用户具有唯一的用户标识，该用户标识可以为用户名或用户邮箱。并且一台认证服务器可以对多台认证者提供认证服务，实现对用户的集中管理。