| 发明名称 | 用于实现基于端口的网络访问控制的方法和装置 | ||
| 摘要 | 本发明提供了一种用于在诸如路由器这样的中间节点中的共享介质端口上安全地实现基于端口的认证的技术。为此,本发明提供了增强的基于端口的网络访问控制,其包括共享介质端口处的基于客户端的控制。与先前的实现方式不同,并非一旦多个客户端节点中的任何一个处的用户被子网认证,端口就准许这些客户端节点访问受信子网。相反,针对尝试通过共享介质端口访问受信子网的每个客户端节点执行基于端口的认证。这样,就不会发生在一个客户端节点处的用户已被受信子网认证之后,“附带着”经过共享介质端口的未被认证的客户端节点危害对受信子网的访问的情况。 | ||
| 申请公布号 | CN100594476C | 申请公布日期 | 2010.03.17 |
| 申请号 | CN200480033008.2 | 申请日期 | 2004.11.30 |
| 申请人 | 思科技术公司 | 发明人 | 布雷恩·弗朗西斯·科克斯;布鲁斯·麦克马拉多;温卡特斯瓦拉·劳·亚拉戈达 |
| 分类号 | G06F7/04(2006.01)I;G06F17/30(2006.01)I;G06F7/58(2006.01)I;H04L9/00(2006.01)I;G06F15/16(2006.01)I | 主分类号 | G06F7/04(2006.01)I |
| 代理机构 | 北京东方亿思知识产权代理有限责任公司 | 代理人 | 王 怡 |
| 主权项 | 1.一种用于实现中间节点的共享介质端口处的基于端口的网络访问控制的方法,所述共享介质端口耦合到多个客户端节点,所述方法包括:将所述共享介质端口划分成多个逻辑子接口,每个逻辑子接口专用于提供对可通过所述中间节点访问的不同网络或子网的访问;在所述共享介质端口处接收来自第一客户端节点的数据分组;将接收到的数据分组与所述多个逻辑子接口中的第一逻辑子接口相关联;从所述接收到的数据分组中解析出源媒体访问控制地址;基于解析出的源媒体访问控制地址的值索引与所述共享介质端口相关联的媒体访问控制过滤器中的条目;识别存储在被索引出的媒体访问控制过滤器条目中的认证状态;以及基于存储在所述被索引出的媒体访问控制过滤器条目中的所述认证状态确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口的专用网络或子网进行通信;以及如果确定所述第一客户端节点被认证以经由所述第一逻辑子接口的专用网络或子网进行通信,则经由所述第一逻辑子接口的专用网络或子网转发所述接收到的数据分组。 | ||
| 地址 | 美国加利福尼亚州 | ||