[go: up one dir, main page]

JP6799676B2 - ネットワークアクセスの制御 - Google Patents

ネットワークアクセスの制御 Download PDF

Info

Publication number
JP6799676B2
JP6799676B2 JP2019512920A JP2019512920A JP6799676B2 JP 6799676 B2 JP6799676 B2 JP 6799676B2 JP 2019512920 A JP2019512920 A JP 2019512920A JP 2019512920 A JP2019512920 A JP 2019512920A JP 6799676 B2 JP6799676 B2 JP 6799676B2
Authority
JP
Japan
Prior art keywords
terminal
address
service
nas
role
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019512920A
Other languages
English (en)
Other versions
JP2019530318A (ja
Inventor
玉兵 宋
玉兵 宋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Publication of JP2019530318A publication Critical patent/JP2019530318A/ja
Application granted granted Critical
Publication of JP6799676B2 publication Critical patent/JP6799676B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5084Providing for device mobility
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

関連出願への相互参照
本開示は2016年9月9日に提出された、出願番号が201610813220.5であり、発明の名称が「ネットワークアクセスの制御方法および装置」である中国特許出願に基づき優先権を主張し、該出願の全ての内容をここに援用する。
仮想拡張可能なローカルエリアネットワーク(VxLAN:Virtual Extensible Local Area Network)において、サービスロールに基づくアドレス割り当て方式を使用して端末に対してインターネットプロトコル(Internet Protocol、IP)アドレスを割り当てるプロセスは、IPネットワークセグメントとサービスロールの対応関係を予め定義し、サービスロールをIPネットワークセグメントに対応させる。端末のアカウント情報に応じて端末のサービスロールを決定し、端末のために当該サービスロールに対応するIPネットワークセグメント内のアドレスを要求する。そのうち、サービスロールはサービスVxLANまたはサービス仮想ローカルエリアネットワーク(Virtual Local Area Network、VLAN)であってもよい。
VxLANにおいて端末のIPアドレスが端末に追従し、かつVxLANにおける制御プレーンとデータプレーンとが分離されているため、現在に既存のポータル(portal)認証をVxLANに適用することはできない。
図1は本開示の例で提供されるMAC Portal認証のプロセスの模式図である。 図2は本開示の例で提供されるネットワークアクセスの制御方法のプロセスの模式図である。 図3は本開示の例で提供される端末が初めてオンラインで登録するプロセスの模式図である。 図4は本開示の例で提供される端末がRADIUS Serverに登録した後のオンラインプロセスの模式図である。 図5は本開示の例で提供されるNASのハードウェア構成の模式図である。 図6は本開示の例で提供されるネットワークアクセスを制御するロジックの構成模式図である。
以下、本開示の例における図面を参照して、本開示における技術案を明確かつ完全に説明する。無論、説明された例示は本開示の一部の実施例だけであり、全ての例示ではない。本開示における例に基づいて、当業者にとって進歩性の労働を行わないことを前提として得られるすべての他の例は、何れも本開示が特許請求する範囲に入る。
サービスロールに基づくアドレス割り当て方式で端末に対してIPアドレスを割り当てることにより、端末がどこに移動するかにかかわらず、端末が属するサービスロールが変わらない限り、端末のIPアドレスを調整する必要がないため、端末のIPアドレスが端末に追従する技術的効果を得ることができる。
VxLANにおいて端末のIPアドレスが端末に追従し、かつVxLANにおける制御プレーンとデータプレーンとが分離されているため、ポータル(portal)認証をVxLANに適用することはできない。これにより、どのようにVxLANにおける端末に対してネットワークアクセスの制御を行うかということは、緊急に解決すべく技術的な問題である。
Portal認証と区別するために、本開示の例では、VxLANにおけるネットワークアクセスの制御を実現するための方法を単にメディアアクセス制御(Media Access Control、MAC)portal認証と称する。
図1を参照すると、図1は本開示の例で提供されるMAC Portal認証のフローチャートである。MAC Portal認証は、リモート認証ダイヤルインユーザーサービス(RADIUS:Remote Authentication Dial In User Service)サーバ(Server)と、ネットワークアタッチトサーバ(NAS:Network Attached Server)と、端末との間のインタラクションによって実行される。したがって、本開示の例ではRADIUS Serverと、NASと、端末との間のインタラクションのみについて主に説明し、その他はここで詳述しない。
一つの実施例として、本開示の例では、RADIUS Serverは具体的にエンドユーザインテリジェントアクセス(EIA:End user Intelligent Access)コンポーネントであってもよく、NASは具体的にEVPNにおける幹(Spine)ー枝(Leaf)階層構成のLeafデバイスであってもよいし、または無線アクセスコントローラ(AC:Access Controller)などであってもよい。
図1の例で開示されたMAC Portal認証は以下のステップを含む。
ステップ101において、端末は、初めてオンラインになった後にパケットをNASに送信する。
端末はオンラインになった後に、実際のサービス要求に応じてパケットを送信する。ここで、パケットは、データパケットであってもよいし、プロトコルパケットであってもよいが、本開示の例に限定されるものではない。端末によって送信されたパケットの送信元MACアドレスは、端末のMACアドレスである。
ステップ102において、NASは、端末によって送信されたパケットを受信し、端末にマッチするセッションエントリがローカルに格納されていないと判断した場合に、端末のMACアドレスをRADIUS Serverに送信する。
本開示の例では、端末のMACアドレスは、アクセス要求(Access request)に付けられてRADIUS Serverに送信される。
ステップ102において、端末にマッチしたセッションエントリは以下のように記述する。
ステップ103において、RADIUS Serverは、NASによって送信された端末のMACアドレスを受信し、端末のMACアドレスに対応する端末アカウント情報がローカルに格納されていないと判断した場合に、設定された一時的なロールとPortal認証ページのURLをNASに送信する。
一例として、ここで、設定された一時的なロールと、Portal認証ページのURLとをアクセス応答(Access accept)に付けてNASに送信する。
上記ステップ103において、RADIUS Serverは、端末のMACアドレスに対応する端末アカウント情報がローカルに存在しないと判断した場合に、端末が初めてオンラインになると決定する。本開示の例では、RADIUS Serverは、初めてオンラインになる端末に対して一時的なロールを統一的に予め設定し、初めてオンラインになる端末がその設定された一時的なロールでネットワークアクセスを行うことのみを許可する。一つの例として、設定された一時的なロールとは、VLANまたはVxLANを意味する。説明の便宜上、本開示の例では、設定された一時的なロールをゲスト(Guest)VLAN/VxLANと統一的に呼ぶ。
ステップ104において、NASは、RADIUS Serverによって送信されたGuest VLAN/VxLANと、Portal認証ページのURLとを受信し、ローカルで端末にマッチするセッションエントリを作成する。
一つの例として、本ステップ104において、作成されたセッションエントリは例えば端末MACアドレスなどの端末情報を少なくとも含む。
一つの例として、本ステップ104において、受信されたGuest VLAN/VxLANと、Portal認証ページのURLとを、作成されたセッションエントリに記録する。
ステップ105において、端末は、サービス要求に応じてIPアドレスを要求すると、動的ホスト構成プロトコル(Dynamic Host Configuration Protocol、DHCP)要求をNASに送信し、IPアドレスを要求するようにする。
ステップ106において、NASは、DHCP要求を受信し、端末のために一時的なロールに対応するIPネットワークセグメント内でIPアドレス(一時的なIPアドレスとして記録する)を要求して、この一時的なIPアドレスを端末に通知する。
ステップ106において、NASは、DHCPサーバとインタラクションすることによって、端末への一時的なIPアドレスを要求する。
ステップ107において、端末は、一時的なIPアドレスを受信し、その一時的なIPアドレスに基づいてハイパーテキスト転送プロトコル(HyperText Transfer Protocol、HTTP)パケットを送信する。
本ステップ107において、HTTPパケットの送信元IPアドレスは、一時的なIPアドレスである。
ステップ108において、NASは、端末によって送信されたHTTPパケットを捕獲(capture)し、Portal認証ページにアクセスするように、HTTPリダイレクト処理方式に従って端末を制御する。
一つの例として、HTTPリダイレクト処理方式は、具体的に以下のとおりである。NASプロキシHTTP serverは、端末にリダイレクトメッセージを応答し、そのアクセスされるウェブアドレスが上記Portal認証ページのURLになったことを端末に通知し、端末は、リダイレクトメッセージを受信した後に、そのアクセスされるウェブアドレスをPortal認証ページのURLに変更してHTTP要求を再び送信し、NASは、端末によって再び送信されたHTTP要求を二回目に受信した後に、このHTTP要求をportal serverに送信し、portal serverによってPortal認証ページを端末に返し、最終にPortal認証ページにアクセスするように端末を制御する目的を達成する。ここでのportal serverはRADIUS Serverと統合するサーバであってもよく、またはRADIUS Serverとは独立するサーバであってもよい。
ステップ109において、端末は、ユーザによってPortal認証ページに入力された認証情報を受信して、この認証情報をRADIUS Serverに送信する。
このステップ109において、認証情報は端末アカウント情報と、パスワードなどであってもよい。
ステップ110において、RADIUS Serverは、ユーザによってPortal認証ページに入力された認証情報に基づいて認証を行い、認証が成功すると、端末のMACアドレスと端末アカウント情報との対応関係をローカルで記録し、NASにオフラインメッセージ(例えば許可変更(Change Of Authorization、COA)メッセージ)を送信して、この端末を強制的にオフラインにするようにNASをトリガーする。
ステップ111において、NASは、RADIUS ServerからのCOAメッセージを受信し、端末が無線端末であるか有線端末であるかを識別する。無線端末である場合、上記セッションエントリを削除することによって端末を強制的にオフラインにし、有線端末である場合、強制的に端末をオフラインにして上記セッションエントリを削除するように、ローカルで端末に接続されるポートをダウン(Down)状態にする。
ステップ111によって、最終に無線端末をオフラインにする。無線端末について、オフラインにされた後に、再びオンラインになる。端末がオンラインになると、以下のステップ112を実行する。
ステップ111によって、最終に有線端末をオフラインにする。NASは、該有線端末を再びオンラインにすることを指示するように、このポートをアップ(UP)状態にする。有線端末が再びオンラインになると、以下のステップ112を実行する。
端末が無線端末であるか有線端末であるかにかかわらず、端末は、オフラインになった後に、要求した一時的なIPアドレスを解放していないことは注意すべきである。
ステップ112から113の手順は、上記のステップ101から102の手順と同様であるため、ここでは繰り返し説明しない。
ステップ114において、RADIUS Serverは、NASによって送信された端末のMACアドレスを受信し、端末のMACアドレスに対応する端末アカウント情報がローカルに存在すると判断した場合、この端末アカウント情報に基づいて端末が属するサービスロールを決定して、サービスロールをNASに送信する。
ここでいうサービスロールは上記一時的なロールとは異なる。サービスロールは、端末アカウント情報によって決定される。一つの例として、端末アカウントに基づいて端末が属するサービスロールを決定することを容易にするために、各端末アカウント情報とサービスロールとの対応関係をRADIUS Serverに予め設定する。これにより、ステップ114において端末アカウント情報に基づいて端末が属するサービスロールを決定することは、具体的に、端末アカウント情報をキーワードとして、そのキーワードを含む対応関係をローカルの対応関係から検索し、検索された対応関係におけるサービスロールを、端末が属するサービスロールとして決定する。一つの例として、ここでのサービスロールは、適用されたサービスVLANまたは適用されたサービスVxLANであってもよい。本開示の例では、説明の便宜上、サービスロールを統一的にサービスVLAN/VxLANと呼ぶ。
ステップ115において、NASは、RADIUS Serverによって送信されたサービスロールを受信して、端末にマッチしたセッションエントリをローカルに記録する。
一つの例として、NASは、受信されたサービスロールを上記セッションエントリに記録する。
ステップ116において、端末はDHCP要求を送信する。
有線端末について、この有線端末に接続されたNASのポートがダウン状態からUP状態に変更されて、再びオンラインになると、自動的にDHCP要求を送信する。
無線端末について、この無線端末が再びオンラインになると、通常、DHCP要求を送信するが、DHCP要求を送信することが100%に保証できない。DHCP要求を送信しない場合、端末が常に上記一時的なIPアドレスを使用することになり、以下のサービスIPアドレスに変更することができない。
ステップ117において、NASは、端末からのDHCP要求を受信し、端末のためにサービスロールに対応するIPネットワークセグメント内で対応するIPアドレス(サービスIPアドレスとして記録する)を要求して、このサービスIPアドレスを端末に通知する。
NASがその要求されたサービスIPアドレスを端末に通知すると、端末は、サービスIPアドレスに基づいて正常にネットワークアクセスを行う。
ここまで、図1に示すプロセスが終了する。
図1に示すプロセスから見ると、端末が最終に正常にネットワークアクセスを行うことを実現するために、端末のIPアドレスが一時的なIPアドレスからサービスIPアドレスに変更する必要がある。
しかし、有線端末の場合、上記IPアドレスの変更を実現するために、ステップ113で説明したように、NASは、当該端末に接続されたポートをダウン(Down)状態にする必要があるが、Down状態になるポートに以下の問題が生じる。即ち、有線端末がNASと直接接続されない(例えば、NASがハブ(HUB)とカスケード(cascade)接続している)場合は、端末に接続されたNASの下りポートのみをダウン状態にし(以下、単にダウンイベントと称する)、且つNASと端末とが別のネットワークデバイスによって隔てられているので、端末のネットワークカードが上記ダウンイベントを検知することなく、ポートが正常に動作していると見なす。この場合で、端末は、自発的にDHCP要求を送信せずに、依然として一時的なIPアドレスを使用して動作しているため、上記IPアドレスの変更を実行できなく、通常ネットワークアクセスを行うことができなくなる。
無線端末の場合は、ステップ112で説明したように強制にオフラインにされた後、ステップ118で説明したように通常、DHCP要求を送信するが、100%送信することが保証できない。ある状況でDHCP要求を自発的に送信しないと、端末が依然として一時的なIPアドレスを使用して動作することになり、上記IPアドレスの変更を実現できなく、端末が通常ネットワークアクセスを行うことができなくなる。
これにより、本開示の例は上記MAC Portal認証を最適化し、最適化されたMAC Portal認証はMAC Portal Plus認証と略称される。図2を参照すると、図2は本開示の例で提供されるMAC Portal Plus認証のプロセスである。
図2の例で開示されたネットワークアクセスの制御方法は以下のステップを含む。
ステップ201において、NASは、端末が最初にオンラインになると、端末の一時的なロールを取得し、端末のIPアドレス要求を受信した時に、端末のために一時的なIPアドレスを要求して、一時的なIPアドレスに基づいてportal認証を行うように端末を制御し、一時的なIPアドレスが一時的なロールに対応するIPネットワークセグメントに属し、一時的なIPアドレスのリースが設定された最短リースである。
ステップ202において、NASは、Portal認証が成功すると、取得されたオフライン通知に応じて強制的に端末をオフラインにする。
ステップ203において、NASは、端末が二回目にオンラインになると、端末のサービスロールを取得し、一時的なIPアドレスのリースが切れた時に端末によって送信されたIPアドレス要求を受信すると、端末のためにサービスIPアドレスを要求して、サービスIPアドレスに基づいてネットワークアクセスを行うように端末を制御し、サービスIPアドレスが、サービスロールに対応するIPネットワークセグメントに属する。
端末が2回目にオンラインになり、かつ当該一時的なIPアドレスのリースが切れると、端末はIPアドレス要求を送信することが分かる。上述したように、一時的なIPアドレスのリースが最短リースとして設定されているので、これは、端末が間もなくサービスIPアドレスを要求するためのIPアドレス要求を送信することにより、端末IPアドレスを一時的なIPアドレスからサービスIPアドレスに迅速に切り替える目的を実現できることを意味する。
ここまで、図2に示すプロセスが終了する。
図2に示すプロセスからわかるように、MAC Portal認証と比べると、MAC Portal Plus認証には以下の利点がある。
MAC Portal Plus認証では、端末が初めてオンラインになる時に、端末のために要求した一時的なIPアドレスは設定された最短リースのIPアドレスである。例えば、最短リースの期間は、数十秒から1分に設定する。最短リースを有する一時的なIPアドレスによって、IPアドレスの変更操作を開始させるように端末をトリガーすることができる。端末が有線端末であっても、NASは、端末に接続されたポートをダウン状態にすることによって、IPアドレスの変更操作を開始させるように端末をトリガーすることがない。そして、端末が最短リース方式で開始するIPアドレスの変更操作は、一度しか実行されない。さらに、MAC Portal Plus認証では、最短リースを有する一時的なIPアドレスは、一時的なIPアドレスからサービスIPアドレスに変更する操作を実行するように端末をトリガすることができるため、アプリケーションの適応性(HUBカスケードのシナリオに適用されることができ、無線端末が自発的にDHCP要求を送信しないという問題も解決できる。)を高める。
以上説明したMAC Portal Plus認証では、上述のように、IPアドレスの変更は、最短リース方式で一回のみ行い、本開示の例では、このIPアドレスの変更プロセスを登録プロセスとして記載する。任意の端末にとっても一回のみ登録する必要がある。すなわち、任意の端末に対しても、一時的なIPアドレスからサービスIPアドレスへの変更操作を一回のみ実行すればよく、ユーザーエクスペリエンスを向上する。
これに基づいて、以下で図2に示すプロセスを、端末が初めてオンラインになるプロセスと、端末が登録を完成した後にオンラインになるプロセスとの二つのプロセスに細分してさらに詳しく説明する。
図3を参照すると、図3は本開示の例で提供される端末が初めてオンラインになる登録プロセスの図である。図3に示すように、当該プロセスは以下のステップを含む。
ステップ301において、端末は、初めてオンラインになった後にパケットを送信する。
ステップ302において、NASは、端末によって送信されたパケットを受信し、端末にマッチするセッションエントリがローカルに格納されていないと判断した場合に、端末のMACアドレスをRADIUS Serverに送信する。
本開示の例では、端末のMACアドレスは、アクセス要求(Access request)に付けられてRADIUS Serverに送信される。
ステップ303において、RADIUS Serverは、NASによって送信された端末のMACアドレスを受信し、端末のMACアドレスに対応する登録情報がローカルに格納されていないと判断した場合に、設定された一時的なロール(Guest VLAN/VxLAN)と、Portal認証ページのURLをNASに送信する。
RADIUS Serverは、端末のMACアドレスに応じて、端末MACアドレスに対応する登録情報がローカルに格納されていないと判断した場合に、端末が初めてオンラインになって登録を開始させると決定する。
一例として、設定された一時的なロール(Guest VLAN/VxLAN)と、Portal認証ページのURLとをアクセス応答(Access accept)に付けられてNASに送信される。
一例として、本ステップ303においても、第一のアクセス制御リスト(Access Control List、ACL)を、設定された一時的なロール(Guest VLAN/VxLAN)及びPortal認証ページのURLとともにAccess acceptに付けてNASに送信する。本開示の例では、第一のACLは、NASがこの一時的なロールに基づいて端末によって送信されたDHCPパケットおよびHTTP要求のみを受け入れ、他のパケットを拒否(deny)するために使用され、端末がHTTPアクセスのみを行い、またはDHCPに基づいてIPアドレスを要求するように強制する。
ステップ304において、NASは、RADIUS Serverによって送信されたGuest VLAN/VxLANと、Portal認証ページのURLを受信し、ローカルで端末にマッチするセッションエントリを作成する。
一つの例として、本ステップ304では、作成されたセッションエントリが例えば端末MACアドレスなどの端末情報を少なくとも含む。
一つの例として、本ステップ304では、受信されたGuest VLAN/VxLANと、Portal認証ページのURLを、作成されたセッションエントリに記録する。
ステップ305において、端末は、IPアドレスを要求するようにDHCP要求を送信する。
本ステップ305では、端末は、IPアドレスを要求するように、自身のサービス要求に応じてDHCP要求を送信する。
ステップ306において、NASは、当該端末からのDHCP要求を受信し、端末のために一時的なロールに対応するIPネットワークセグメント内で対応するIPアドレス(一時的なIPアドレスとして記録する)を要求して、この一時的なIPアドレスを端末に通知する。
以上説明した第一のACLによれば、NASは、DHCP Serverによって端末に対して一時的なIPアドレスを割り当てるように、最終にDHCP要求をDHCP Serverに送信する。もちろん、本開示の一例として、第一のACLを使用せず、他の方式を使用してもよく、最終的にDHCP Serverによって端末に対して一時的なIPアドレスを割り当てるように、DHCP要求をDHCP Serverに送信する。
本ステップ306では、一時的なIPアドレスのリースは設定された最短リースであり、例えば1分である。
ステップ307において、端末は、一時的なIPアドレスを受信し、一時的なIPアドレスを基づいてHTTPパケットを送信する。
本ステップ307では、HTTPパケットの送信元IPアドレスは、一時的なIPアドレスである。
ステップ308において、NASは、HTTPパケットを捕獲し、当該端末がPortal認証ページにアクセスするように、HTTPリダイレクト処理を実行する。
以上説明した第一のACLとHTTPリダイレクト処理方式によれば、最終に当該端末がPortal認証ページにアクセスするようにする。もちろん、本開示の一例として、上記第一のACLを使用せず、他の方式とHTTPリダイレクト処理方式を使用してもよく、最終に当該端末がPortal認証ページにアクセスするようにする。
ステップ309において、端末は、ユーザによってPortal認証ページに入力された認証情報を受信して、この認証情報をRADIUS Serverに送信する。
このステップ309において、認証情報は端末アカウント情報とパスワードなどであってもよい。
ステップ304からステップ309に、ステップ202においてNASが一時的なIPアドレスに基づいてPortal認証を行うように端末を制御する具体的な実施態様を含んでいる。
ステップ310において、RADIUS Serverは、ユーザーによってPortal認証ページに入力された認証情報に基づいて認証を行い、認証が成功すると、ステップ311を実行する。
ユーザーによってPortal認証ページに入力された認証情報がRADIUS Serverの認証をパスすると、端末がRADIUS Serverへの登録に成功したことを意味する。
ステップ311において、RADIUS Serverは、ローカルに端末のMACアドレスに対応する登録情報(登録情報は、端末アカウント情報と端末のMACアドレスとの対応関係を含む)を記録し、オフライン通知をNASに送信し、端末に対応する無感知マーカー(no−perception marker)を有効に設定して、無感知マーカーに対応するタイマを起動し、タイマーが切れたときに無感知マーカーを無効に更新する。
上記ステップ303において第一のACLをNASに送信すると、本ステップ311では、RADIUS Serverはさらに第一のACL削除通知をNASに送信する。
ステップ312において、NASは、オフライン通知を受信し、端末を強制的にオフラインにするように、オフライン通知に基づいてセッションエントリを削除する。
MAC Portal Plus認証では、NASは、端末がオフラインになるたびに、端末にマッチしたセッションエントリを削除する。
ステップ311では、さらに第一のACL削除通知をNASに送信すると、本ステップ312では、NASはさらに第一のACL削除通知を受信して、第一のACL削除通知に基づいて第一のACLを削除することは注意すべきである。
ここまで、図3に示すプロセスが終了する。
図3に示すプロセスでは、端末がRADIUS Serverに登録された後、端末のMACアドレスに対応する登録情報(具体的に、端末MACアドレスと端末アカウント情報との対応関係)はRADIUS Serverに長期格納され、無感知マーカーが無効であるかどうかによって削除されることがない。端末が二回目にオンラインになると、RADIUS Serverに当該登録情報を長期に格納しているため、RADIUS Serverは、端末のサービスロールを直接に割り当てることになる。詳細は、以下の図4で説明する。
図4を参照すると、図4は本開示の例で提供される端末がRADIUS Serverに登録した後のオンラインプロセスの図である。図4に示すように、当該プロセスは以下のステップを含む。
ステップ401において、端末は、再びオンラインになった後にパケットを送信する。
ステップ402において、NASは、端末によって送信されたパケットを受信し、端末にマッチするセッションエントリがローカルに格納されていないと判断した場合に、端末のMACアドレスをRADIUS Serverに送信する。
本開示の例では、端末のMACアドレスは、アクセス要求(Access request)に付けられてRADIUS Serverに送信される。
ステップ403において、RADIUS Serverは、NASによって送信された端末のMACアドレスを受信し、端末のMACアドレスに対応する登録情報がローカルに格納されていると判断した場合に、この登録情報における端末アカウント情報に基づいて端末が属するサービスロールを決定する。
上記のように、当該サービスロールは、端末が属するサービスVLANまたはサービスVxLANである。
ステップ404において、RADIUS Serverは、端末に対応する無感知マーカーが有効であるかどうかを判断し、YESである場合、ステップ405を実行し、NOである場合、ステップ407を実行する。
ステップ405において、RADIUS Serverは決定されたサービスロールをNASに送信する。
本ステップ405は、RADIUS Serverによってロカールに端末にマッチした登録情報が存在し、かつ端末に対応する無感知マーカーが有効であると判断した時に実行される。
ステップ403からステップ405に、ステップ203においてNASが端末のサービスロールを取得する具体的な実施態様を含んでいる。
ステップ406において、NASは、RADIUS Serverによって送信されたサービスロール受信し、端末にマッチするセッションエントリを作成し、端末からのDHCP要求を受信すると、端末のためにサービスロールに対応するIPネットワークセグメント内で対応するIPアドレス(サービスIPアドレスとして記載する)を要求して、このサービスIPアドレスを端末に通知する。
一つの例で、受信されたDHCP要求は、一時的なIPアドレスのリースが切れたときに端末によって送信されたDHCP要求であってもよい。
一つの例で、端末は、一時的なIPアドレスのリースが切れたときにサービスIPアドレスを取得するようにDHCP要求を送信して、このサービスIPアドレスに基づいてネットワークアクセスを行う。該端末からのパケットを長時間に受信していない場合、NASは、この端末をオフラインにするように、この端末のセッションエントリを削除する。当該端末が再びオンラインになると、端末は、新しいサービスIPアドレスを要求するように、DHCP要求を送信する。この時、受信されたDHCP要求は、サービス要求に応じて端末によって送信されたDHCP要求であってもよい。
例えば、サービスIPアドレスを取得した後、当該端末はシャットダウンされる。長期間にわたって端末からのパケットを受信していないため、NASは、この端末をオフラインにするように、この端末のセッションエントリを削除する。当該端末の電源がオンになると、シャットダウンされる前に取得したサービスIPアドレスが格納されないので、この端末は、当該NASが端末のために新しいIPアドレスを要求するように、DHCP要求をNASに送信する。
ステップ406において、端末によって送信されたDHCP要求を受信していないと、NASはサービスロール内でアクセスさせるように端末を制御し、そのうち、端末は、サービスロール内でネットワークアクセスを行う時に、要求されたサービスIPアドレスを使用する。
一つの例では、端末は、DHCP要求をDHCPリレー(Relay)に送信することができ、DHCP Relayによってこの端末のためにDHCPサーバにサービスIPアドレスを要求する。そのうち、このDHCP Relayは、NASと同じ物理デバイス、または異なる物理デバイスに位置することができるが、本願はこれを限定するものではない。
一つの例として、NASは、受信されたサービスロールを端末にマッチしたセッションエントリに記録する。
NASがその要求したサービスIPアドレスを端末に通知すると、端末は、サービスIPアドレスに基づいてHTTPパケットを送信する。HTTPパケットの送信元IPアドレスは、上記のサービスIPアドレスである。最終に、端末はサービスIPアドレスに基づいて通常ネットワークアクセスを行う。
ステップ407において、RADIUS Serverはサービスロールと、Portal認証ページのURLをNASに送信する。
本ステップ407は、RADIUS Serverによって、ロカールに端末MACアドレスに対応する登録情報が格納されており、かつ端末に対応する無感知マーカーが無効であると判断した時に実行される。
一つの例として、RADIUS Serverは、第二のACLを上記のサービスロール及びPortal認証ページのURLとともにAccess acceptに付けてNASに送信する。第二のACLは、NASがサービスロールに基づいて端末によって送信されたDHCPパケットおよびHTTP要求のみを受け入れ、他のパケットを拒否(deny)するために使用され、端末がHTTPアクセスのみを行い、またはDHCPに基づいてIPアドレスを要求するように強制する。
ステップ408において、NASは、RADIUS Serverによって送信されたサービスロールと、Portal認証ページのURLを受信して、端末にマッチするセッションエントリを作成し、端末からのDHCP要求を受信すると、端末のためにサービスロールに対応するIPネットワークセグメント内で対応するIPアドレス(サービスIPアドレスとして記載する)を要求して端末に通知する。
一つの例で、端末は、一時的なIPアドレスのリースが切れたときにサービスIPアドレスを取得するようにDHCP要求を送信して、このサービスIPアドレスに基づいてネットワークアクセスを行う。長時間にわたって端末からのパケットを受信していない場合、NASは、この端末をオフラインにするように、この端末のセッションエントリを削除する。当該端末が再びオンラインになると、端末は、新しいサービスIPアドレスを要求するように、DHCP要求を送信する。この時、受信されたDHCP要求は、サービス要求に応じて端末によって送信されたDHCP要求であってもよい。
例えば、サービスIPアドレスを取得した後、当該端末はシャットダウンされる。長期間にわたって端末からのパケットを受信していないため、NASは、この端末をオフラインにするように、この端末のセッションエントリを削除する。当該端末の電源がオンになると、シャットダウンされる前に取得したサービスIPアドレスが格納されないので、この端末は、当該NASが端末のために新しいIPアドレスを要求するように、DHCP要求をNASに送信する。
ステップ408では、端末によって送信されたDHCP要求を受信していないと、NASはサービスロール内でアクセスさせるように前記端末を制御し、そのうち、前記端末は、前記サービスロール内でネットワークアクセスを行う時に、その要求されたサービスIPアドレスを使用する。
一つの例では、端末は、DHCP要求をDHCPリレー(Relay)に送信することができ、DHCP Relayはこの端末のためにサービスIPアドレスを要求する。そのうち、DHCP Relayは、NASと同じ物理デバイス、または異なる物理デバイスに位置することができるが、本願はこれを限定するものではない。
NASがその要求されたサービスIPアドレスを端末に通知すると、端末は、サービスIPアドレスに基づいてHTTPパケットを送信する。HTTPパケットの送信元IPアドレスは、上記のサービスIPアドレスである。
ステップ409において、NASは、端末によってサービスIPアドレスに基づいて送信されたHTTPパケットを捕獲し、当該端末がPortal認証ページにアクセスするように、HTTPリダイレクト処理を実行する。
以上説明した第二のACLとHTTPリダイレクト処理方式によれば、最終に端末がPortal認証ページにアクセスするようにする。もちろん、本開示の一例として、上記第二のACLを使用せず、他の方式とHTTPリダイレクト処理方式を使用して、最終に端末がPortal認証ページにアクセスすることもできる。
ステップ410において、端末は、ユーザーによってPortal認証ページに入力された認証情報を受信する。
ステップ408からステップ410に、NASがサービスIPアドレスに基づいてPortal認証を行うように端末を制御する具体的な実施態様を含んでいる。
ステップ411において、RADIUS Serverは、ユーザーによってPortal認証ページに入力された認証情報に基づいて認証を行い、認証が成功すると、ステップ412を実行する。
ステップ412において、RADIUS Serverは、NASにオフライン通知を送信して、端末に対応する無感知マーカーを有効にして、無感知マーカーに対応するタイマを起動させ、タイマが切れた時に、無感知マーカーを無効に更新する。
上記ステップ407では第二のACLがNASに送信されると、本ステップ412ではRADIUS Serverはさらに第二のACL削除通知をNASに送信する。
ステップ413において、NASは、オフライン通知を受信し、端末を強制的にオフラインにして再びオンラインにするように、オフライン通知に基づいて上記セッションエントリを削除する。
本開示の例では、NASは、端末がオフラインになるたびに、端末にマッチしたセッションエントリを削除する。
MAC Portal Plus認証では、端末は、ステップ413の後で、かつ再びオンラインになる時に、上記ステップ401から413を実行する。
ステップ412では第二のACL削除通知がNASに送信されると、本ステップ413では、NASは第二のACL削除通知を受信して、第二のACL削除通知に基づいて第二のACLを削除する。
ここまで、図4に示すプロセスが終了する。
上記図3と図4の説明では、オフライン通知は、上記のCOAメッセージであってもよいし、カスタム(custom)通知であってもよいが、これは本開示の例に限定されない。
上記に説明したように、MAC Portal Plus認証では、端末がRADIUS Serverに登録した後、RADIUS Serverは、端末の登録情報(具体的には、端末のMACアドレスと端末アカウントの間のバインディング関係)を長時間格納し、無感知マーカーが無効になることによって登録情報が削除されることがない。例えば、端末は、初めてオンラインになると、一時的なIPアドレスを取得し、そして、短リースによって数十秒または1分後に一時的なIPアドレスをサービスIPアドレスに変更し、その後、端末は、一時的なIPアドレスをサービスIPアドレスに変更する操作を実行しなく、上記の一時的なIPアドレスを要求するプロセスを実行しなくなり、効率が大幅に向上する。
以上、本開示の例で提供される方法について説明した。以下、本開示の例で提供される装置について説明する。
図5を参照すると、図5は本開示の例で提供されるNASのハードウェア構成の図である。当該NAS50はプロセッサー51と機械読み取り可能な記憶媒体52を含む。そのうち、プロセッサー51と機械読み取り可能な記憶媒体52とは、システムバス53を介して通信する。そして、プロセッサ51は、機械読み取り可能な記憶媒体52に格納された、ネットワークアクセス制御ロジック60に対応する機械実行可能な命令を読み出して実行することによって、上記したネットワークアクセスを制御する方法を実行することができる。
本文で言及される機械読み取り可能な記憶媒体52は、任意の電子、磁気、光学、または他の物理的記憶装置でよく、実行可能な命令、データなどの情報を含む、または格納することができる。たとえば、前記機械読み取り可能な記憶媒体52はRAM(Random Access Memory、ランダムアクセスメモリ)、揮発性メモリ、不揮発性メモリ、フラッシュメモリ、ストレージドライブ(ハードディスクドライブなど)、ソリッドステートディスク、任意のタイプのメモリディスク(光ディスク、DVDなど)、または類似の記憶媒体、またはそれらの組み合わせであってもよい。
図6を参照すると、機能的に分割されると、前記ネットワークアクセス制御ロジック60は、
端末が最初にオンラインになると、端末の臨時ロールを取得し、端末の第一のIPアドレス要求を受信した時に、端末のために一時的なIPアドレスを要求し、前記一時的なIPアドレスに基づいてportal認証を行うように端末を制御するための端末初回オンライン処理モジュール601であって、前記一時的なIPアドレスは、一時的なロールに対応するIPネットワークセグメントに属し、前記一時的なIPアドレスのリースは設定された最短リースである端末初回オンライン処理モジュール601と、
前記portal認証が成功すると、取得されたオフライン通知に応じて強制的に端末をオフラインにするためのオフラインモジュール604と、
端末のサービスロールを取得し、前記一時的なIPアドレスのリースが切れた時に端末によって送信された第二のIPアドレス要求を受信した時に、端末のために第一のサービスIPアドレスを要求し、端末が前記第一のサービスIPアドレスに基づいてネットワークアクセスを行うように制御するための端末二回目オンライン処理モジュール602であって、前記第一のサービスIPアドレスは、前記サービスロールに対応するIPネットワークセグメントに属する端末二回目オンライン処理モジュール602と、を含む。
一つの例では、前記端末が最初にオンラインになる時に、前記端末初回オンライン処理モジュール601は、前記端末が最初にオンラインになったときに、前記端末のMACアドレスをRADIUS Serverに送信することと、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されていないと決定された時に前記RADIUS Serverによって送信される一時的なロールを受信することに用いられるものであり、そのうち、前記登録情報に、端末のMACアドレスおよびその対応する端末アカウント情報を記録している。
一つの例では、端末が二回目にオンラインになる時に、前記端末二回目オンライン処理モジュール602は、端末が二回目にオンラインになったときに、端末のMACアドレスをRADIUS Serverに送信することと、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録され、かつ記録された前記端末に対応する無感知マーカーが有効であると決定した時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールを受信することに用いられるものであり、前記登録情報に、端末のMACアドレスおよびその対応する端末アカウント情報を記録している。
一つの例では、前記端末二回目オンライン処理モジュール602は、さらに、前記端末が再びオンラインになる時に、前記NASが前記端末のMACアドレスをRADIUS Serverに送信することと、前記NASが、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録され、かつ記録された前記端末に対応する無感知マーカーが無効であると決定された時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールおよびportal認証URLを受信することと、前記端末によって送信された第三のIPアドレス要求を受信した時に、前記NASが前記端末のために第二のサービスIPアドレスを要求することに用いられるものであり、そのうち、前記第二のIPアドレスが前記サービスロールに対応するIPネットワークセグメントに属する。
前記オフラインモジュール604は、さらに、第二のサービスIPアドレスに基づいてportal認証を行うように前記端末を制御し、前記portal認証が成功すると、前記NASは取得したオフライン通知に応じて、端末を再びオンラインにするように、端末を強制的にオフラインにする。
一つの例では、当該ロジックは、さらに、
前記端末が再びオンラインになる時に、端末のサービスロールを取得し、前記サービスロール内でネットワークアクセスを行うように端末を制御し、前記端末が前記サービスロール内でネットワークアクセスを行う時に、要求した第二のサービスIPアドレスを用いる、制御モジュール603を含む。
一つの例では、端末二回目オンライン処理モジュール602は、さらに、前記端末が再びオンラインになる時に、前記端末のMACアドレスをRADIUS Serverに送信することと、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録され、かつ記録された前記端末に対応する無感知マーカーが有効であると決定された時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールを受信することと、端末によって送信された第三のIPアドレス要求を受信した時に、前記NASが端末のために第二のサービスIPアドレスを要求することに用いられるものであり、そのうち、前記第二のIPアドレスが前記サービスロールに対応するIPネットワークセグメントに属する。
前記制御モジュール603は、さらに、前記NASがサービスロール内でネットワークアクセスを行うように前記端末を制御することに用いられるものであり、そのうち、前記端末が前記サービスロール内でネットワークアクセスを行う時に、要求された第二のサービスIPアドレスを使用する。
一つの例では、portal認証が成功すると、前記無感知マーカーが有効に設置され、かつ前記無感知マーカーに対応するタイマを起動させる。前記タイマが切れた時に、前記無感知マーカーを無効に変更する。
一つの例で、前記オフラインモジュール604は、前記portal認証が成功すると、RADIUS Serverによって送信されたオフライン通知を受信することと、前記オフライン通知に応じて、記録された前記端末のセッションエントリを削除して、端末を強制的にオフラインにすることに用いられるものである。
ここまで、図6に示すロジックの構成の説明が終了する。
装置の実施例について、基本的に方法の実施例に対応するので、関連する部分は方法の実施例における説明の部分を参照すればよい。上記の装置の実施例は例示的なものだけであり、そのうち、前記のように分離的な部品として記載されたモジュールは物理的に分離してもしなくてもよく、モジュールとして示された部品は物理モジュールであってもよいし、物理モジュールでなくてもよい。、即ち、1箇所に設置されてもよく、また複数のネットワークユニットに分散されることもできる。本実施例の方案の目的を実現するために、実際のニーズに応じてモジュールの一部または全部を選択することができる。当業者は創造的な作業をすることなく、理解して実施することができる。
この明細書では、「第一」および「第二」などのような関係用語は、実体または操作を他の実体または操作と区別するためにのみ使用されるものであり、これらの実体また操作の間にこのような実際の関係また順序が存在することを必ずしも要求または暗示するわけではない。用語「備える」、「含む」またはその任意の他の変形は、非排他的な包含を含むことによって、一連の要素を備えるプロセス、方法、物品または機器が、これらの要素だけでなく、明示的に列挙されていないほかの要素や、このようなプロセス、方法、物品または機器に固有される要素も備えることを意図している。より多くの制限がない場合、「…を備える」という句によって限定される要素は、前記要素を備えるプロセス、方法、物品または機器に別の同じ要素が存在することを排除するものではない。
以上、本開示実施例で提供される方法および装置について詳しく説明した。本文において具体的な例を用いて本開示の原理および実施形態に対して説明したが、上記の実施例の説明は、本開示の方法およびその発想を理解することに用いられるだけであり、また、当業者にとっては、本開示の思想に従って、具体的な実施形態および適用範囲にいくつかの変更がある。つまり、本開示の内容は、本開示を限定するものと理解されるべきではない。

Claims (15)

  1. ネットワークアクセスの制御方法であって、
    端末が初めてオンラインになる時に、ネットワークアタッチトサーバNASは、端末の一時的なロールを取得し、端末の第一のネットワークプロトコルIPアドレス要求を受信した時に、前記端末の代わりにDHCPサーバに一時的なIPアドレスを要求して前記一時的なIPアドレスを前記端末に通知し、前記一時的なIPアドレスに基づいてportal認証を行うように端末を制御し、前記一時的なIPアドレスが前記一時的なロールに対応するIPネットワークセグメントに属し、前記一時的なIPアドレスのリースが設定された所定のリース時間であって、1分を超えないものであることと、
    前記portal認証が成功すると、前記NASは、取得したオフライン通知に応じて端末を強制的にオフラインにすることと、
    前記端末が二回目にオンラインになる時に、前記NASは、端末のサービスロールを取得し、前記一時的なIPアドレスのリースが切れた時に端末によって送信された第二のIPアドレス要求を受信した時に、前記端末の代わりに前記DHCPサーバに第一のサービスIPアドレスを要求して前記第一のサービスIPアドレスを前記端末に通知し、前記第一のサービスIPアドレスに基づいてネットワークアクセスを行うように端末を制御し、前記第一のサービスIPアドレスが前記サービスロールに対応するIPネットワークセグメントに属することと、
    を含み、
    前記一時的なロール及び前記サービスロールがVLAN又はVxLANであるネットワークアクセスの制御方法。
  2. 前記端末が最初にオンラインになる時に、端末の一時的なロールを取得することは、
    前記端末が最初にオンラインになる時に、前記NASは、前記端末のメディアアクセス制御MACアドレスをリモート認証ダイヤルアップユーザーサービスRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されていないと決定された時に前記RADIUS Serverによって送信される一時的なロールを受信し、前記登録情報に、前記端末のMACアドレスおよびその対応する端末アカウント情報を記録していることと、
    を含む請求項1に記載のネットワークアクセスの制御方法。
  3. 前記端末が二回目にオンラインになる時に、端末のサービスロールを取得することは、
    前記端末が二回目にオンラインになる時に、前記NASは、前記端末のMACアドレスをRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されており、かつ記録された前記端末に対応する無感知マーカーが有効であると決定された時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールを受信し、前記登録情報に、前記端末のMACアドレスおよびその対応する端末アカウント情報を記録していることと、
    を含む請求項1に記載のネットワークアクセスの制御方法。
  4. 前記端末が再びオンラインになる時に、前記NASは、前記端末のMACアドレスをRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されており、かつ記録された前記端末に対応する無感知マーカーが無効であると決定された時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールおよびportal認証ユニフォームリソースロケータURLを受信することと、
    前記端末によって送信された第三のIPアドレス要求を受信した時に、前記NASは前記端末の代わりに前記DHCPサーバに第二のサービスIPアドレスを要求して第二のサービスIPアドレスを前記端末に通知し、前記第二のサービスIPアドレスが前記サービスロールに対応するIPネットワークセグメントに属することと、
    前記NASは、前記第二のサービスIPアドレスに基づいて前記portal認証を行うように前記端末を制御し、前記portal認証が成功すると、前記端末を再びオンラインにするように、取得したオフライン通知に応じて強制的に前記端末をオフラインにすることと、
    をさらに含む請求項1に記載のネットワークアクセスの制御方法。
  5. 前記端末が再びオンラインになる時に、さらに、
    前記NASは、前記端末のサービスロールを取得し、前記サービスロール内でネットワークアクセスを行うように前記端末を制御し、前記端末が前記サービスロール内でネットワークアクセスを行う時に、要求した第二のサービスIPアドレスを使用すること、
    を含む請求項4に記載のネットワークアクセスの制御方法。
  6. 前記端末が再びオンラインになる時に、前記NASは、前記端末のMACアドレスをRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されており、かつ記録された前記端末に対応する無感知マーカーが有効であると決定された時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールを受信することと、
    前記端末によって送信された第三のIPアドレス要求を受信した時に、前記NASは前記端末の代わりに前記DHCPサーバに第二のサービスIPアドレスを要求して前記第二のサービスIPアドレスを前記端末に通知し、前記第二のサービスIPアドレスが前記サービスロールに対応するIPネットワークセグメントに属することと、
    前記NASは、サービスロール内でアクセスを行うように前記端末を制御し、前記端末が前記サービスロール内でネットワークアクセスを行う時に、要求した第二のサービスIPアドレスを使用することと、
    をさらに含む請求項1に記載のネットワークアクセスの制御方法。
  7. プロセッサーと、前記プロセッサーによって実行可能な機器実行可能命令を格納している機械読み取り可能な記憶媒体とを含むネットワークアタッチトサーバNASであって、前記機器実行可能命令によって、前記プロセッサーに、
    端末が初めてオンラインになる時に、ネットワークアタッチトサーバNASは、端末の一時的なロールを取得し、端末の第一のネットワークプロトコルIPアドレス要求を受信した時に、前記端末の代わりにDHCPサーバに一時的なIPアドレスを要求して前記一時的なIPアドレスを前記端末に通知し、前記一時的なIPアドレスに基づいてportal認証を行うように端末を制御し、前記一時的なIPアドレスが前記一時的なロールに対応するIPネットワークセグメントに属し、前記一時的なIPアドレスのリースが設定された所定のリース時間であって、1分を超えないものであることと、
    前記portal認証が成功すると、前記NASは取得したオフライン通知に応じて端末を強制的にオフラインにすることと、
    前記端末が二回目にオンラインになる時に、前記NASは、端末のサービスロールを取得し、前記一時的なIPアドレスのリースが切れた時に端末によって送信された第二のIPアドレス要求を受信した時に、前記端末の代わりに前記DHCPサーバに第一のサービスIPアドレスを要求して前記第一のサービスIPアドレスを前記端末に通知し、前記第一のサービスIPアドレスに基づいてネットワークアクセスを行うように端末を制御し、前記第一のサービスIPアドレスは前記サービスロールに対応するIPネットワークセグメントに属することと、
    を実行させ
    前記一時的なロール及び前記サービスロールがVLAN又はVxLANであるネットワークアタッチトサーバNAS。
  8. 前記機器実行可能命令によって、前記プロセッサーに、
    前記端末が最初にオンラインになる時に、前記NASは、前記端末のメディアアクセス制御MACアドレスをリモート認証ダイヤルアップユーザーシステムRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されていないと決定された時に前記RADIUS Serverによって送信される一時的なロールを受信し、前記登録情報に、前記端末のMACアドレスおよびその対応する端末アカウント情報を記録していることと、
    を実行させる請求項7に記載のネットワークアタッチトサーバNAS。
  9. 前記機器実行可能命令によって、前記プロセッサーに、
    前記端末が二回目にオンラインになる時に、前記NASは、前記端末のMACアドレスをRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されており、かつ記録された前記端末に対応する無感知マーカーが有効であると決定された時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールを受信し、前記登録情報に、前記端末のMACアドレスおよびその対応する端末アカウント情報を記録していることと、
    を実行させる請求項7に記載のネットワークアタッチトサーバNAS。
  10. 前記機器実行可能命令によって、前記プロセッサーにさらに、
    前記端末が再びオンラインになる時に、前記NASは、前記端末のMACアドレスをRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されており、かつ記録された前記端末に対応する無感知マーカーが無効であると決定された時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールおよびportal認証ユニフォームリソースロケータURLを受信することと、
    前記端末によって送信された第三のIPアドレス要求を受信した時に、前記NASは前記端末の代わりに前記DHCPサーバに第二のサービスIPアドレスを要求して前記第二のサービスIPアドレスを前記端末に通知し、前記第二のサービスIPアドレスが前記サービスロールに対応するIPネットワークセグメントに属することと、
    前記NASは、前記第二のサービスIPアドレスに基づいて前記portal認証を行うように前記端末を制御し、前記portal認証が成功すると、前記NASは、前記端末を再びオンラインにするように、取得したオフライン通知に応じて強制的に前記端末をオフラインにすることと、
    を実行させる請求項7に記載のネットワークアタッチトサーバNAS。
  11. 前記機器実行可能命令によって、前記プロセッサーにさらに、
    前記NASは、前記端末のサービスロールを取得し、前記サービスロール内でネットワークアクセスを行うように前記端末を制御し、前記端末が前記サービスロール内でネットワークアクセスを行う時に、要求した第二のサービスIPアドレスを使用すること
    を実行させる請求項10に記載のネットワークアタッチトサーバNAS。
  12. 前記機器実行可能命令によって、前記プロセッサーに、さらに、
    前記端末が再びオンラインになる時に、前記NASは、前記端末のMACアドレスをRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されており、かつ記録された前記端末に対応する無感知マーカーが有効であると決定された時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールを受信することと、
    前記端末によって送信された第三のIPアドレス要求を受信した時に、前記NASは前記端末の代わりに前記DHCPサーバに第二のサービスIPアドレスを要求して前記第二のサービスIPアドレスを前記端末に通知し、前記第二のサービスIPアドレスが前記サービスロールに対応するIPネットワークセグメントに属することと、
    前記NASは、サービスロール内でアクセスを行うように前記端末を制御し、前記端末が前記サービスロール内でネットワークアクセスを行う時に、要求した第二のサービスIPアドレスを使用することと、
    を実行させる請求項7に記載のネットワークアタッチトサーバNAS。
  13. 機器実行可能命令を格納している機械読み取り可能な記憶媒体であって、
    ネットワークアタッチトサーバNASのプロセッサーによって呼び出されて実行される時に、前記機器実行可能命令は、前記プロセッサーに、
    端末が初めてオンラインになる時に、ネットワークアタッチトサーバNASは、端末の一時的なロールを取得し、端末の第一のネットワークプロトコルIPアドレス要求を受信した時に、前記端末の代わりにDHCPサーバに一時的なIPアドレスを要求して前記一時的なIPアドレスを前記端末に通知し、前記一時的なIPアドレスに基づいてportal認証を行うように端末を制御し、前記一時的なIPアドレスが前記一時的なロールに対応するIPネットワークセグメントに属し、前記一時的なIPアドレスのリースが設定された所定のリース時間であって、1分を超えないものであることと、
    前記portal認証が成功すると、前記NASは取得したオフライン通知に応じて端末を強制的にオフラインにすることと、
    前記端末が二回目にオンラインになる時に、前記NASは、端末のサービスロールを取得し、前記一時的なIPアドレスのリースが切れた時に端末によって送信された第二のIPアドレス要求を受信した時に、前記端末の代わりに前記DHCPサーバに第一のサービスIPアドレスを要求して前記第一のサービスIPアドレスを前記端末に通知し、前記第一のサービスIPアドレスに基づいてネットワークアクセスを行うように端末を制御し、前記第一のサービスIPアドレスが前記サービスロールに対応するIPネットワークセグメントに属することと、
    を実行させ
    前記一時的なロール及び前記サービスロールがVLAN又はVxLANである機械読み取り可能な記憶媒体。
  14. 前記機器実行可能命令は前記プロセッサーに、
    前記端末が最初にオンラインになる時に、前記NASは、前記端末のメディアアクセス制御MACアドレスをリモート認証ダイヤルアップユーザーシステムRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されていないと決定された時に前記RADIUS Serverによって送信される一時的なロールを受信し、前記登録情報に、前記端末のMACアドレスおよびその対応する端末アカウント情報を記録していることと、
    を実行させる請求項13に記載の機械読み取り可能な記憶媒体。
  15. 前記機器実行可能命令は、前記プロセッサーに、
    前記端末が二回目にオンラインになる時に、前記NASは、前記端末のMACアドレスをRADIUS Serverに送信することと、
    前記NASは、前記RADIUS Serverによって、前記MACアドレスに対応する登録情報が記録されており、かつ記録された前記端末に対応する無感知マーカーが有効であると決定された時に、前記RADIUS Serverによって送信される前記MACアドレスにマッチしたサービスロールを受信し、前記登録情報に、前記端末のMACアドレスおよびその対応する端末アカウント情報を記録していることと、
    を実行させる請求項13に記載の機械読み取り可能な記憶媒体。
JP2019512920A 2016-09-09 2017-09-08 ネットワークアクセスの制御 Active JP6799676B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610813220.5A CN107809496B (zh) 2016-09-09 2016-09-09 网络访问控制方法和装置
CN201610813220.5 2016-09-09
PCT/CN2017/101071 WO2018045994A1 (zh) 2016-09-09 2017-09-08 网络访问控制

Publications (2)

Publication Number Publication Date
JP2019530318A JP2019530318A (ja) 2019-10-17
JP6799676B2 true JP6799676B2 (ja) 2020-12-16

Family

ID=61561347

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019512920A Active JP6799676B2 (ja) 2016-09-09 2017-09-08 ネットワークアクセスの制御

Country Status (5)

Country Link
US (1) US11159524B2 (ja)
EP (1) EP3512181B1 (ja)
JP (1) JP6799676B2 (ja)
CN (1) CN107809496B (ja)
WO (1) WO2018045994A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11063940B2 (en) * 2018-04-27 2021-07-13 Hewlett Packard Enterprise Development Lp Switch authentication
CN110012032B (zh) * 2019-04-28 2021-11-23 新华三技术有限公司 一种用户认证方法和装置
CN110049548B (zh) * 2019-04-28 2022-03-01 新华三技术有限公司 一种ap的注册方法、装置、设备及存储介质
CN111107142B (zh) * 2019-12-16 2022-07-01 新华三大数据技术有限公司 业务访问方法和装置
US12113770B2 (en) * 2020-01-08 2024-10-08 Cisco Technology, Inc. DHCP snooping with host mobility
CN112804377B (zh) * 2021-04-08 2021-07-06 紫光恒越技术有限公司 数据查询方法、电子设备、服务器、存储设备和网关设备
CN113904847B (zh) * 2021-10-09 2022-07-15 天翼物联科技有限公司 物联网卡的云平台绑定方法、系统、设备及介质
CN114244695B (zh) * 2021-12-31 2024-03-19 普联技术有限公司 隔离网络的终端上线配置方法、装置及网络管理系统

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7310671B1 (en) * 2000-02-10 2007-12-18 Paradyne Corporation System and method for a trouble shooting portal to allow temporary management access to a communication device
EP1468540B1 (en) * 2001-12-21 2007-06-13 International Business Machines Corporation Method and system for secure handling of electronic business transactions on the internet
JP3766338B2 (ja) 2002-03-15 2006-04-12 日本電信電話株式会社 認証アクセス制御システム、認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録した記録媒体
JP2003338814A (ja) * 2002-05-20 2003-11-28 Canon Inc 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP3925303B2 (ja) 2002-05-22 2007-06-06 日本電気株式会社 レイヤ2認証システム及び方法
JP2005286558A (ja) 2004-03-29 2005-10-13 Hitachi Cable Ltd 端末認証システム
CN100349433C (zh) * 2004-06-11 2007-11-14 华为技术有限公司 为用户终端分配接入地址的方法
US7505421B2 (en) * 2005-03-29 2009-03-17 Research In Motion Limited Methods and apparatus for use in establishing session initiation protocol communications for virtual private networking
JP2010093585A (ja) 2008-10-08 2010-04-22 Fujitsu Ltd ネットワーク接続制御プログラム及び方法、ネットワーク接続プログラム及び方法、認証装置
JP5180853B2 (ja) 2009-01-20 2013-04-10 アラクサラネットワークス株式会社 認証システム
CN102244866B (zh) * 2011-08-18 2016-01-20 杭州华三通信技术有限公司 门户认证方法及接入控制器
GB2494891B (en) 2011-09-21 2018-12-05 The Cloud Networks Ltd User authentication in a network access system
CN102572005A (zh) * 2011-11-23 2012-07-11 杭州华三通信技术有限公司 一种ip地址分配方法和设备
CN103220374B (zh) * 2012-01-20 2016-12-07 华为技术有限公司 一种客户端接入网络的方法、装置
US8893258B2 (en) * 2012-06-11 2014-11-18 Cisco Technology, Inc. System and method for identity based authentication in a distributed virtual switch network environment
WO2014028614A2 (en) * 2012-08-14 2014-02-20 Benu Networks, Inc. Ip address allocation
EP2901664B1 (en) 2012-09-25 2018-02-14 Thomson Licensing Reducing core network traffic caused by migrant users
US8910261B2 (en) * 2012-09-28 2014-12-09 Alcatel Lucent Radius policy multiple authenticator support
CN103118064A (zh) * 2012-11-22 2013-05-22 杭州华三通信技术有限公司 一种Portal集中认证的方法和装置
JP5921460B2 (ja) * 2013-02-20 2016-05-24 アラクサラネットワークス株式会社 認証方法、転送装置及び認証サーバ
CN103475751B (zh) * 2013-09-18 2016-08-10 杭州华三通信技术有限公司 一种ip地址切换的方法及装置
EP3117687B1 (en) * 2014-03-12 2017-11-15 British Telecommunications Public Limited Company Wireless access gateway
CN105323325A (zh) 2014-06-27 2016-02-10 中兴通讯股份有限公司 一种身份位置分离网络中的地址分配方法及接入服务节点
US9712489B2 (en) * 2014-07-29 2017-07-18 Aruba Networks, Inc. Client device address assignment following authentication
JP6358947B2 (ja) 2014-12-19 2018-07-18 エイチ・シー・ネットワークス株式会社 認証システム
CN104618522B (zh) 2014-12-22 2018-09-25 迈普通信技术股份有限公司 终端ip地址自动更新的方法及以太网接入设备
US10306468B2 (en) * 2016-06-29 2019-05-28 T-Mobile Usa, Inc. Internet protocol multimedia system session resurrection

Also Published As

Publication number Publication date
US11159524B2 (en) 2021-10-26
JP2019530318A (ja) 2019-10-17
EP3512181A1 (en) 2019-07-17
WO2018045994A1 (zh) 2018-03-15
EP3512181A4 (en) 2019-08-21
EP3512181B1 (en) 2021-08-04
CN107809496B (zh) 2020-05-12
US20190182249A1 (en) 2019-06-13
CN107809496A (zh) 2018-03-16

Similar Documents

Publication Publication Date Title
JP6799676B2 (ja) ネットワークアクセスの制御
US9846591B2 (en) Method, device and system for migrating configuration information during live migration of virtual machine
EP2745542B1 (en) Portal authentication method and access controller
CN101442516B (zh) 一种dhcp认证的方法、系统和装置
EP3342128B1 (en) Verifying source addresses associated with a terminal
WO2013097067A1 (zh) 一种虚拟机迁移后实现通信的方法、设备和系统
WO2015000313A1 (en) Access terminal
JP2005128731A (ja) 記憶装置を複数の計算機で共用する計算機システム
US8887237B2 (en) Multimode authentication
EP3855695B1 (en) Access authentication
WO2015196755A1 (zh) 一种身份位置分离网络中的地址分配方法及接入服务节点
JP2006309698A5 (ja)
JP2008186238A (ja) 電源管理方法、管理システム、クライアントサーバシステム、電源制御画面の表示方法及び表示システム
KR100959977B1 (ko) 네트웍 인터페이스를 이용한 네트웍 설정 장치,방법 및 기록매체
US20160072969A1 (en) Information processing system, license server, communication relay device, non-transitory readable recording medium and data restoration method
KR101628534B1 (ko) 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법
JP2017017631A (ja) パケット伝送装置、通信ネットワークシステム、及び、アドレス割当確認方法
KR100942719B1 (ko) 동적 호스트 설정 프로토콜 스누핑 기능을 구비한 장치
JP2010176616A (ja) ネットワーク接続ストレージとipアドレス設定方法
JP2006020089A (ja) 端末装置、vpn接続制御方法、及び、プログラム
KR101611841B1 (ko) 내부망 연결 관리장치를 이용한 컴퓨터 전원 관리방법
KR100946162B1 (ko) 동적 호스트 설정 프로토콜 서버
CN114760287A (zh) Wifi路由器缓冲下载的方法和设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190308

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200423

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200526

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200916

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20200916

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200928

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20200929

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201120

R150 Certificate of patent or registration of utility model

Ref document number: 6799676

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250