[发明专利]一种报文处理方法及装置

说明书

本发明实施例公开一种报文处理方法及装置，涉及通信领域，能够通过一个受控端口实现对802.1X和Portal接入用户发送的协议报文的认证，降低了接入设备端口资源的浪费。包括：确认协议报文的用户为接入类型未知，配置受控端口的ACL规则以及MAC地址转发表规则，ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过，允许目的IP为Portal服务器IP的报文通过，802.1X报文重定向到CPU，源MAC地址为接入类型未知的用户的所有HTTP报文重定向到CPU以及丢弃源MAC地址为接入类型未知的用户的其他所有报文；MAC地址转发表规则包含配置模式为CPU学习模式，所有源MAC地址未知的报文重定向到CPU，允许源MAC地址为接入类型未知的用户的报文通过。本发明的实施例用于协议报文认证。

技术领域

本发明的实施例涉及通信领域，尤其涉及一种报文处理方法及装置。

背景技术

为了确保网络和信息安全，网络部署时通常需要考虑对接入网络的用户进行合法性验证。当前，对接入网络的用户进行合法性验证的主流方法有802.1X认证和Portal认证。其中，802.1X认证是IEEE提出的通过使用专门的802.1X接入用户的客户端接入网络的认证方案；Portal认证，也被称为Web认证，是一种基于定制的Portal协议使用浏览器进行网络接入认证的方法。在一个固有的网络环境中，单一的802.1X认证或Portal认证已经无法满足要求，实际应用通常需要在一个网络环境中同时部署802.1X认证和Portal认证。图1所示为现有典型实现的需要同时部署802.1X认证和Portal认证的场景：其中，图1中Portal接入用户通过浏览器接入接入设备的Portal受控端口，802.1X用户通过客户端接入接入设备的802.1X受控端口，接入设备连接认证服务器、网络以及Portal服务器，认证服务器可与用户数据库进行数据交互。

由于802.1X协议和Portal协议的差异性，802.1X认证和Portal认证不能同时在一个端口上使能，所以网络管理员需要事先在接入设备上将需要进行802.1X认证的一个端口设置为802.1X受控端口，将需要进行Portal认证的另外一个端口设置为Portal受控端口，接入到受控端口上的用户在未经过合法性验证前不能访问网络。802.1X受控端口通过独立控制芯片的转发逻辑来控制该端口下的用户是否能接入网络。该端口下的用户使用专门的802.1X接入用户的客户端发起的认证，认证通过后被允许接入网络。Portal受控端口通过独立控制芯片的转发逻辑来控制该端口下的用户是否能接入网络。该端口下的用户使用浏览器发起认证，认证通过后被允许接入网络。

如图1所示，通过在接入设备的不同端口上分别开启802.1X认证和Portal认证的方法能满足同时部署802.1X认证和Portal认证的需求。其中，现有部署之所以需要在不同的端口上分别开启802.1X认证和Portal认证，是由于802.1X认证和Portal认证存在设置芯片的冲突。

而现有技术中，需要同时使用802.1X认证和Portal认证的场景中，通过把802.1X接入用户和Portal接入用户接入不同端口的部署方式可实现同一个接入设备上同时接收802.1X接入用户和Portal接入用户的接入认证。但是这样部署和实现存在如下问题：

网络管理员需要记住接入设备受控端口的接入方式，对欲接入网络的用户需要事先确定其接入网络的方式，否则将Portal接入用户接入到802.1X受控端口将直接导致无法发起任何认证且用户得不到任何提示，反之亦然。而将802.1X接入用户和Portal接入用户分别接入到各自对应受控端口进行认证的方式最少需要占用两个端口，浪费了接入设备端口资源。

发明内容

本发明的实施例提供一种报文处理方法及装置，能够实现通过一个受控端口实现对802.1X接入用户和Portal接入用户发送的协议报文的认证，降低了接入设备端口资源的浪费。

第一方面、提供一种报文处理方法，包括：