[发明专利]动态为用户调配VLAN的方法和装置

说明书

技术领域

本申请涉及网络通信技术，特别涉及动态为用户调配虚拟局域网（VLAN，Virtual Local Area Network）的方法和装置。

背景技术

802.1X协议是为解决无线局域网网络安全问题而提出的。后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制协议（port based network access control protocol）。其中，“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

802.1X系统为典型的Client/Server结构，如图1所示，包括三个实体：客户端（Client）、接入设备（Device）和认证服务器（Server）。

其中，客户端是位于局域网段一端的一个实体，连接至接入设备，由接入设备进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。客户端支持局域网上的可扩展认证协议（EAPOL，Extensible Authentication Protocol over LAN）。

接入设备是位于局域网段另一端的另一个实体，对所连接的客户端进行认证。接入设备端为支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。

认证服务器是为接入设备提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费，通常为远程认证拨号用户服务（RADIUS，Remote Authentication Dial-In User Service）服务器，以下均以认证服务器为RADIUS服务器为例进行描述。

以上对802.1X系统进行了描述，下面对802.1X系统的认证过程进行描述：

目前，802.1X系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。这两种认证方式都以客户端主动发起认证为例，下面仅以EAP中继方式为例描述认证过程：

参见图2，图2为802.1X认证系统的EAP中继方式认证流程图。如图2所示，该流程可包括：

当用户有访问网络需求时客户端发起连接请求比如EAPOL-Start报文。也即，通过客户端发出连接请求比如EAPOL-Start报文给接入设备，开始启动一次认证过程。

接入设备收到连接请求如EAPOL-Start报文后，将发出一个用于要求客户端发送用户名的请求报文比如EAP-Request/Identity报文。

客户端响应接入设备发出的请求报文，将用户名信息通过数据帧比如EAP-Response/Identity报文发送给接入设备。

接入设备将客户端发送的数据帧，将用户名信息通过数据帧比如EAP-Response/Identity报文经过封包处理为RADIUS Access-Request报文并送给RADIUS服务器。

RADIUS服务器从收到的RADIUS Access-Request报文中提取用户名信息，将该用户名信息与数据库中的用户名表对比，找到该用户名对应的密码信息，用随机生成的一个加密字对该密码信息进行加密处理，同时也将此加密字携带在EAP-Request/MD5Challenge报文，并对该EAP-Request/MD5Challenge报文封包处理为RADIUS Access-Challenge报文发送给接入设备端。

接入设备接收到RADIUS Access-Challenge报文后，将该RADIUSAccess-Challenge报文中的EAP-Request/MD5Challenge报文发送至客户端。

客户端收到由接入设备传来的EAP-Request/MD5Challenge报文后，用该EAP-Request/MD5Challenge报文携带的加密字对本地记录的密码信息进行加密处理（此种加密算法通常是不可逆的），并携带在EAP-Response/MD5Challenge报文，通过接入设备传给RADIUS服务器。