CN114978567A - 微分支部署中的认证链接 - Google Patents
微分支部署中的认证链接 Download PDFInfo
- Publication number
- CN114978567A CN114978567A CN202111244720.9A CN202111244720A CN114978567A CN 114978567 A CN114978567 A CN 114978567A CN 202111244720 A CN202111244720 A CN 202111244720A CN 114978567 A CN114978567 A CN 114978567A
- Authority
- CN
- China
- Prior art keywords
- downstream
- micro
- aps
- authentication
- gap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
- H04W48/12—Access restriction or access information delivery, e.g. discovery data delivery using downlink control channel
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开的实施例涉及微分支部署中的认证链接。提供了用于微分支部署中的认证链接和防火墙优化的系统和方法,该微分支部署包括多个链式接入点(AP)和网关AP。微分支部署的拓扑可以通过增强的分层信标确定。基于所确定的拓扑,认证链被开发,通过该认证链,关联至多个链式AP中的AP的客户端设备可以被认证并且许可访问AP。在认证客户端设备时,防火墙优化被执行,以仅在客户端设备所关联的AP处实现访问控制规则。
Description
背景技术
软件定义广域网(SDWAN)是使用软件定义联网(SDN)的原理来互连广域网(WAN)的站点的网络拓扑,诸如将业务管理的控制层与数据转发层分离。SDWAN支持通过网络功能虚拟化(NFV)的基础设施整合。通过在更常见和更便宜的“商品”硬件上使用虚拟机来虚拟化网络功能,NFV减少了将网络功能添加到WAN的管理开销和硬件成本。
附图说明
根据一个或多个各种实施例,本公开参照以下附图详细描述。这些附图被提供仅用于说明的目的,并且仅描绘典型或示例实施例。
图1图示了本文公开的技术的实施例可以被应用的包括微分支部署的示例网络。
图2图示了微分支部署中的接入点菊花链接的示例。
图3图示了与常规拓扑发现相比根据一个实施例的微分支部署拓扑发现的示例。
图4图示了与常规认证相比根据一个实施例的自动认证代理链接的示例。
图5图示了根据一个实施例的防火墙优化的示例。
图6A至图6B是根据一个实施例的用于微分支拓扑发现的示例计算组件或设备的框图。
图6C是根据一个实施例的用于防火墙优化的示例计算组件或设备的框图。
图7是可以被用于实现本公开中描述的实施例的各种特征的示例计算组件。
附图不是详尽的,并且不将本公开限制为所公开的精确形式。
具体实施方式
各种实施例涉及微分支部署中的认证链接的系统和方法,其能够解决菊花链接网络拓扑中的多个防火墙的问题,例如其中AP可以被菊花链接/串联连接。首先,即时接入点(IAP)(例如无控制器AP)分层信标机制能够被增强,以发现微分支部署的分支父子网络拓扑树。其次,关于该拓扑的信息能够被用于构建认证代理链。当客户端设备连接至微分支部署网络时,从叶AP到网关AP(GAP)的该认证代理链能够被自动触发。第三,并且作为这种代理链接过程的结果,微分支部署中的每个AP能够正确供应客户端设备入口和防火墙策略,同时避免重复认证事务并且优化总体业务流处理时间。
应该注意的是,本文使用的术语“优化”、“最优”等能够被用于表示尽可能有效或完美地制造或实现性能。然而,正如本领域的普通技术人员阅读该文档将认识到的那样,完美总是无法被实现。因此,这些术语还能够涵盖在给定情况下尽可能好或有效地制造或实现性能,或者制造或实现比使用其他设置或参数能够实现的性能更好的性能。
软件定义广域网(SDWAN)允许网络管理员通过广域网(WAN)将分支位置连接至核心站点。软件定义联网(SDN)的使用将网络业务决策与网络内的各种设备(诸如路由器、交换机、网桥和其他常见网络设备)去耦。这种去耦本质上将每个联网设备变成简单的分组转发设备。SDWAN基于客户端策略(例如QoS要求、带宽等)设置通过每个网络设备的潜在业务路径,以将SDWAN内的分支位置连接至核心站点或数据中心,其通过控制信道被提供给每个网络设备。网络设备不是在数据被接收到时决定如何路由业务,而是仅执行由SDWAN管理员标识的路由。
如上面暗指的,SDWAN的使用支持了跨WAN的网络服务的虚拟化。通过在更常见和更便宜的“商品”硬件上使用虚拟机虚拟化网络功能,而不是专有的专用硬件(传统上需要),网络功能虚拟化(NFV)减少了向WAN添加网络功能的管理开销和硬件成本。例如,如路由、负载平衡和防火墙等功能可以作为托管在数据中心处和/或云中的虚拟机(VM)操作。然而,NFV专注于虚拟化功能,而不关心数据分组如何被路由到运行网络功能的虚拟机。SDWAN与NFV组合提供了更全面实现的虚拟网络,其中SDWAN为从分支位置到托管NFV虚拟机的核心站点或数据中心的业务流提供路由策略。分支用户能够通过SDWAN来利用这些资源,从而减少对昂贵的专有硬件的依赖,并减少WAN的分支站点处所需的计算硬件量。
SDWAN可以通过创建虚拟覆盖来实现,该虚拟覆盖与运输无关并且抽象化底层私有或公共网络连接。仅举数例,这些网络连接可以包括多协议标签交换(MPLS)、互联网宽带、光纤、无线或长期演进(LTE)。在一些示例中,虚拟私有网络(VPN)隧道在WAN站点之间创建,以允许跨可能易受攻击且不安全的公共链接(例如互联网链接)进行私有、安全的互连。客户端可以维护现有的WAN链接,并且使用这些隧道来实现覆盖SDWAN,以通过使用包括这些隧道的已标识路由将WAN业务引导至其他WAN站点或从其他WAN站点引导WAN业务来优化带宽。因此,SDWAN可以被用于集中整个WAN的网络控制。远程用户(诸如分支用户)能够利用托管在数据中心和/或云处的资源在网络内运行应用。
作为实际示例,传统的分支部署支持针对各种类型的商业操作跨越不同地理位置的客户端连接性要求。位于远程地理位置的站点充当分支机构,而总部或总公司充当数据中心,其托管网络资源以存储、管理和分布数据。总公司还托管集中式虚拟私有网络(VPN)管理系统,以聚合来自远程分支站点的业务。SDWAN有助于将多个局域网连接至中央企业网络或相距遥远的数据中心。
针对微分支部署,不需要专用网关设备。相反,单个网关AP(GAP)能够被用作面向WAN的网关。附加AP可以在GAP的“下方”添加,以扩展微分支部署中的无线覆盖范围。AP能够指代允许诸如客户端设备、站(STA)等无线兼容设备连接至有线网络的网络设备。因此,AP本质上充当从现有有线网络到无线客户端设备社区的扩展机制。应该理解的是,网关通常是指具有网络地址转换(NAT)路由和动态主机控制协议(DHCP)服务器能力的AP。
在微分支部署中,GAP“拥有”公共IP地址,提供网关/网关类似的功能性(例如DHCP、NAT、路由等能力),并且还可以托管VPN客户端,以基于微分支的需要向远程(例如总公司)数据中心或(多个)其他云服务提供安全连接性。微分支部署的GAP与任何附加AP之间的配置通常不同,因为它们在微分支部署中的相应角色不同。
在详细描述所公开的系统和方法的实施例之前,描述示例微分支部署网络是有用的,利用该示例微分支部署网络,所公开的系统和方法可以在各种应用中实现。图1图示了包括微分支部署的网络100的一个示例。在该示例中,网络100可以包括数据中心102,单AP微分支部署120和多AP微分支部署130被操作地连接至该数据中心102。而且,网络100的一部分是供应系统,例如基于云的零接触供应系统/服务114。如上面提到的,诸如WAN 112等SDWAN允许网络100的各种元件/实体被互连。应该注意的是,本文描述的实施例可以参考SDWAN的使用,或者可以描述SDWAN的上下文中的特征/功能性。然而,本公开的实施例不被限于SDWAN,而是考虑在传统WAN中/在传统WAN上下文中使用。
如上面暗指的,数据中心102可以代表企业总公司。数据中心102可以包括控制器或核心交换机104,DHCP服务器106和策略管理平台108被操作地连接至该控制器或核心交换机104。应该理解的是,取决于数据中心102和远程分支(在该示例中为微分支120、130)之间的连接是如何实现的,元件104的功能性可能不同。一些虚拟LAN可能是第3层路由的,在这种情况下,VPN集中器可以将业务流发送给核心交换机,例如能够是高速核心交换机的核心交换机104。核心交换机104然后可以将流的分组路由到必需的后续跳。备选地,在层2连接的虚拟LAN的上下文中,VPN集中器可以简单地将GRE分组(下面描述的)路由到控制器,在这种情况下,该控制器将是也充当控制器的元件104。
如本领域技术人员将理解的,DHCP服务器106能够指代将IP地址和其他网络参数动态分配给网络上的每个设备的网络元件。策略管理平台108可以被实现为将诸如客户端设备等设备安全/正确地连接至网络。例如,策略管理平台108可以提供新设备导流程,许可对网络的不同级别的访问,维护网络安全性等。
如图1进一步图示的,数据中心102经由覆盖隧道116A连接至微分支120。如上面提到的,VPN隧道能够在站点之间建立,在这种情况下是数据中心102和微分支120,以创建SDWAN覆盖网络。具体地,覆盖隧道116A可以将微分支120的AP 122连接至前端网关110,该前端网关110可以充当VPN集中器和覆盖终止器(使用例如通用路由封装(GRE)隧道协议)以终止VPN隧道,在该实例中为覆盖隧道116A,从而提供从微分支120到数据中心102中的路由。类似地,微分支130(与微分支120相比是多AP微分支,包括根AP 132和叶AP134A至134C)可以经由覆盖隧道116B被操作地连接至数据中心102。
微分支120是单AP微分支,其中一个或多个客户端设备(诸如客户端设备124A至124E)可以关联至AP,例如AP 122(无线地或经由有线连接),以允许与数据中心102的连接性。微分支130是多AP微分支,其中在该示例中,多个AP 134A至134C被操作地连接至根AP132,通过该根AP 132,与数据中心102的连接性可以被实现。微分支130可以包括一个或多个客户端设备,例如客户端设备138A至138C,该客户端设备中的每个客户端设备可以直接关联至根AP 132或AP 134A至134C中的一个AP。在该示例中,微分支130还可以包括非管理型交换机136,附加客户端设备(例如客户端设备138D至138E)连接至该非管理型交换机136。
现在参照图2,另一微分支部署200被图示,其中微分支部署200相对于其AP具有菊花链拓扑/层次结构。如上面提到的,在微分支部署(诸如微分支部署200)中,不需要专用网关。相反,GAP(例如GAP 202)充当面向WAN的网关,并且在该示例中,可以经由GAP 202的WAN端口203通过以太网连接(Eth-0)连接。第一AP(AP 210)可以被操作地连接至GAP 202,继而,第二AP(AP 220)可以被操作地连接至AP 210,即,AP 210和220被菊花链接至GAP 202。
如图2所图示的,两个客户端设备204和206(例如膝上型计算机、电话、打印机或其他计算设备)可以被无线地关联至GAP 202。在该示例中,GAP 202可以被配置为作为多个虚拟AP(VAP)操作。本领域技术人员可以理解,VAP在单个物理AP上模拟多个AP。每个VAP可能具有自身唯一的服务集ID(SSID),从而将WLAN分割为多个广播域。安全性能够被定制/配置,以控制无线客户端设备访问。在该示例中,当客户端设备204连接至GAP 202时,它可以被指定为特定的用户角色。应该理解的是,网络中的每个客户端设备(例如微分支部署200可以被操作地连接至的网络100(图1))都与用户角色相关联。该用户角色确定了客户端设备的网络权限、重新认证的频率、适用的带宽合同等。在该示例中,客户端设备204(从GAP202的角度来看)与用户角色(角色A)相关联。在GAP 202(角色B)的眼中,关联至GAP 202的第二客户端设备(即,客户端设备206)可以具有它自身的关联用户角色。
相对于微分支部署200的AP 210,客户端设备212(其同样能够是膝上型计算机、电话、其他用户/客户端设备等)可以被关联至在AP210上配置的VAP(VAP-X)。从AP 210的角度来看,客户端设备212可以与用户角色(角色A)相关联。然而,假设AP 210被连接至GAP202/在其“下方”,从GAP 202的角度来看,客户端设备212可以与用户角色(角色D)相关联。应该理解的是,用户角色能够基于网络配置以多种方式分配。在一些实施例中,所分配的用户角色能够指代静态角色(与端口组合),使得被连接至相同端口/VAP的所有客户端设备可以被分配有相同的用户角色。备选地,用户角色得出可以被使用,其能够基于客户端设备属性,诸如MAC地址、连接端口等。而且,应该理解的是,用户角色能够指代策略容器,其中通常,不同的策略可以为不同的角色配置,尽管可以为不同的用户角色配置相同的策略。通常,不同的用户角色可以被分配给AP、有线客户端设备和无线客户端设备。这次,另一客户端设备216可以通过以太网连接被关联至AP210,并且能够被分配有用户角色(角色D)。又一客户端设备222可以被关联至AP 220的VAP(VAP-X),并且可以被分配有自身的用户角色(角色A)。
假设AP 220通过AP 210被菊花链接至GAP 202,AP 210还可以将用户角色分配给客户端设备222,在该示例中为角色D(如客户端设备216)。将链向上移动到GAP 202,GAP202“看到”关联至AP 210和220的每个客户端设备,因此可以为这些客户端设备中的每个客户端设备分配特定的用户角色,在这种情况下为客户端设备216(关联至AP 210)、角色D。GAP 202还可以为客户端设备222(关联至AP 220)分配用户角色,即,角色D。能够了解的是,权限(例如防火墙策略)在所有AP(GAP 202、AP 210、AP 220)之间可能不一定一致。还应该了解,AP 220、AP 210和GAP 220通过有线连接(例如以太网)连接,并且分配给与菊花链AP相关联的那些客户端设备的相应用户角色由Eth-X服务器服务(能够服务于自身连接的有线客户端设备以及由下行AP服务的任何其他有线/无线客户端。VAP-X服务器通常只为连接至VAP端口的无线客户端设备服务。
常规来说,为了解决这种防火墙不一致性,网络管理员能够移除有线(Eth-X)端口的端口访问控制列表(ACL)策略。例如,网络管理员能够将所有有线端口配置为在可信模式下操作,或配置“permit-all”端口ACL以允许这些有线端口的防火墙过程。然而,尽管防火墙不一致性被解决,但以这种方式配置有线端口可能会给网络带来潜在的安全性风险。例如,攻击者可能会将客户端设备(诸如膝上型计算机)连接至菊花链AP的有线端口中的一个有线端口。由于有线端口在可信模式下操作,或者允许防火墙过程被绕过而不对客户端设备执行认证,攻击者将能够访问微分支部署网络200。这反过来又允许攻击者全网访问到总公司网络(例如图1的数据中心110)以及其他分支网络(例如微分支网络120、130(图1))。
用于避免防火墙不一致性的另一常规机制是链接认证并使用角色得出,例如使用Radius认证。例如,当客户端设备222连接至AP(例如AP 220)时,Radius认证能够在所连接的无线SSID(VAP-X)上立即触发,并且用户角色(例如角色A)能够被得出。当客户端设备222的(多个)分组到达“上层”AP(此处为AP 210)时,Radius认证能够在AP 210的有线端口(Eth-X)上为相同的客户端设备(客户端设备222)再次触发。因此,相同的用户角色能够被得出,并且被应用于AP 210的有线端口。当客户端设备222的分组到达GAP 202时,相同的认证和用户角色得出可能会发生。尽管防火墙处理在AP(和GAP)之间保持一致,但冗余认证事务被引入,并且额外的流处理时间被产生。
在典型的SDWAN/WAN分支部署中,专用网关设备代表面向WAN的网关。作为用户配置的一部分,启用认证代理(诸如这种网关设备上的Radius代理)能够涉及每个SSID/端口被映射到网关设备。因此,AP知道网关是认证代理设备。当客户端设备连接至AP时,该AP向网关设备发送认证请求,该网关设备进而经由认证代理对后端认证服务器实行认证。当认证响应从认证服务器返回时,网关设备和AP都能够确定从认证代理分配的用户角色。
然而,即使在这种场景中,问题也可能会出现。针对覆盖情况,这些客户端设备将落入覆盖vlan列表,网关设备将设置数据路径用户入口,并将得出的用户角色应用于网关数据路径。应该理解的是,在该上下文中的覆盖能够指代使用隧道(例如GRE隧道)在AP和网关设备之间发送客户端设备业务。然而,相同的用户角色未由AP使用(再次导致防火墙不一致性)。因此,管理员需要为AP的SSID/有线端口配置文件配置单独的用户角色,这与认证和用户角色得出过程不同。虽然这种方法解决了冗余/重复认证事务的问题,但它仍然引入了额外的管理工作,更不用说管理员必须非常清楚需要由网关设备和AP配置和执行的那些策略。
针对底层情况,那些客户端不会落入覆盖vlan列表,网关不设置数据路径用户入口,并且没有用户角色将被应用于网关数据路径。在该上下文中的底层能够指代微分支部署中直接桥接的业务(无GRE隧道),因此,微分支部署中的所有AP将在微分支部署中看到相同的客户端设备,即,在微分支内没有覆盖。相反,用户入口将位于AP数据路径中,并且得出的用户角色将由AP应用。虽然这在AP距离网关仅一跳时就足够了,但在通过AP的有线端口链接AP的情况下,未能在这些有线端口上应用ACL策略将再次导致安全性风险。如果认证和用户角色得出针对每个有线端口配置,则重复认证事务和额外的流处理时间将再次成为菊花链AP中的一个问题。如先前讨论的,与典型的分支部署不同,在微分支部署中,没有专用网关,只有GAP。
如上面提到的,各种实施例最终涉及仅将ACL规则应用于客户端设备被直接连接/关联至的AP。到微分支部署的GAP的链接路径中的其他AP不需要应用任何规则,以避免冗余的认证和用户规则得出过程。这些其他AP只需要知道特定客户端设备被关联/连接至叶AP,使得在从客户端设备接收业务/分组时,关于认证/用户规则得出的常规处理/操作能够被忽略或以其他方式绕过。应该注意的是,各种实施例不依赖于云服务/基于云的功能性。实现这种独立性的第一步骤涉及发现微分支部署的分支父子拓扑。
当AP根据“AP配置服务”操作配置时,唯一的“分支密钥”也将从云推送到分支内的所有AP。在微分支的情况下,“微分支网关AP”标志将从云AP配置服务推送到微分支部署的GAP,例如GAP 202(图2)。该微分支网关AP标志将被保存在存储器单元中,例如GAP的闪存。根据一个实施例,该微分支网关AP(或简称为GAP)标志能够被用于指示该特定GAP是微分支的“IAP主机”。在GAP被设置为“IAP主机”之后,就能够开始常规的IAP分层发现过程。
即,GAP可以经由通过其所有有线端口周期性地广播(例如每秒)的分层信标来周期性地宣布其出现。该分层信标能够是类似于网桥协议数据单元(BPDU)的层2(L2)广播数据分组,即,由网桥彼此传输的消息,以支持跨越树拓扑的确定。在消息内,称为“根IP”的字段包括GAP的管理IP地址。
参照图3,并且根据当下行AP(例如AP 210)在操作302中从GAP 202接收到分层信标消息时的常规分层信标过程300,AP(例如AP 210)意识到网络中存在具有GAP的IP地址的根AP。换言之,AP210开始意识到GAP 202的存在。下行AP(在该示例中为AP 210)然后可以在操作304中向根AP(在该示例中为GAP 202)发送分层确认(ACK),其中该ACK包含称为“AP_IP”的字段。即,AP 210将AP_IP地址设置为其IP地址。通过这种方式,根AP(即,GAP 202)将获知下行AP的IP地址,即,AP 210的IP地址。如果任何下行AP由于某种原因死亡或重启,则这种下行AP将无法将分层ACK传输回GAP。因此,GAP能够从其AP数据库移除该AP,仅保留在微分支部署内活动的那些下行AP。
类似地,当由AP 220在操作302中从根AP(即,GAP 202)接收到分层信标时,它也可以通过将分层ACK传输回GAP 202来响应分层信标,该分层ACK包括其在操作306中的分层ACK的AP_IP字段内的IP地址。因此,微分支部署的GAP能够获知微分支部署网络中的所有AP。同样地,微分支部署中的子AP能够获知其根AP/GAP。例如,在分支图像升级场景中,由于根AP知道其下行AP的IP地址,因此根AP能够收集关于下行AP的更多信息,例如AP类型信息。然后,根AP可以选择直接下载所有需要的AP图像,或指示一些AP从远程图像服务器下载升级图像。
虽然上述发现机制允许下行AP获知微分支部署的根AP,但下行AP不一定知道哪个上行AP是其“确切”/直接的父AP。因此,各种实施例提供对常规IAP分层发现过程或机制的增强。具体地,并且除了分层信标中已经包括的“根IP”字段之外,除了已经包括作为分层信标的一部分的“根IP”字段之外,“AP_IP”字段也被添加到分层信标。从云接收的分支密钥AP能够在AP之间用于预共享密钥(PSK)认证以及三重数据加密标准(3DES)加密,从而为拓扑发现过程提供更高的安全性。
作为向由GAP广播的分层信标添加“AP_IP”字段的结果,GAP可以开始发送其周期性分层信标,设置“根IP”和“AP_IP”字段以匹配其自身的管理IP地址。再次参照图3,增强的分层发现过程310被图示。作为示例,当AP 210在操作312中从其上行端口接收分层信标时,AP 210意识到在其微分支部署网络中存在父AP,并且该父AP也是微分支部署网络的根AP。通过通过相同的上行端口向GAP 202传输分层ACK,AP 210然后可以在操作314中响应分层信标。通过这种方式,GAP 202获知在其微分支部署网络中存在分支AP,即,下行AP210。
在操作316中,AP 210将通过改变“AP_IP”字段来修改从GAP 202接收的原始分层信标,以反映其自身的IP地址(而不是GAP 202的IP地址),然后可以将(新的)修改分层信标发送给其所有下行有线端口。当AP 220从其上行端口接收到该修改分层信标时,AP 220获知GAP 202是微分支部署网络的根AP,而AP 210是AP 220的父AP。在操作318中,AP 220然后可以经由它从AP 210接收修改分层信标的上行端口向GAP 202发送其自身的分层ACK。由于菊花链拓扑,由AP 220传输的分层ACK在到达GAP 202的途中到达AP 210。此时,AP 210将获知它具有子AP,即,AP 220。AP 210然后可以将分层ACK从AP 220中继到GAP 202。此时,GAP202将获知被连接至其下行有线端口的另一分支AP(AP 220)的存在。
应该理解的是,取决于微分支部署中有多少AP从根AP/GAP接收分层信标,以及有多少AP用它们相应的分层ACK响应,上述过程/方法能够重复。因为分层信标被周期性地发送,例如每秒,微分支拓扑可以被连续地发现/确定和更新。应该注意的是,仅当分层信标从/经由AP的上行端口接收时,分层信标才应该被考虑。因此,从/经由AP的下行端口接收的任何信标将被丢弃/忽略。类似地,仅当分层ACK从AP的下行端口接收时才应该被考虑,并且从/经由AP的上行端口接收到的任何分层ACK消息都将被丢弃/忽略。如果该方案未被遵循,则AP将无法区分上行/父AP或GAP和下行/子AP。
也如上面提到的,实现仅将ACL规则应用于客户端设备被直接连接/关联的AP而无需冗余认证/用户规则得出的目标的第二步骤涉及使用微分支部署拓扑构建认证代理链。通过这种方式,当客户端设备连接至微分支部署网络时,从叶AP到网关AP(GAP)的该认证代理链能够被自动触发。
如上面暗指的,并且如图4所图示的,在AP被菊花链接的微分支部署中的客户端设备的常规认证方法400涉及从由客户端设备分组/业务遍历的每个AP到相同认证服务器的认证请求。例如,在从关联至AP 220的客户端设备(未在图4中示出)接收到分组时,认证通过请求来自远程认证服务器的认证(例如来自远程Radius服务器的Radius认证)来触发。当该分组遍历AP 210时,认证再次使用远程Radius服务器来触发,并且如此,直到通过GAP202。然而,这导致冗余认证操作被触发。
相反,并且根据一个实施例,常规认证能够用由方法410反映的自动认证代理链接代替。如图4所图示的,AP中的认证客户端(例如Radius客户端)被配置或设置为向关联至AP的任何客户端设备发起访问请求消息,例如Radius访问请求,并与对应的认证服务器(例如Radius服务器)交换认证消息/分组。偏离常规认证,Radius访问请求所指向的认证服务器被指向该AP的父AP。例如,AP 220将其认证服务器设置为其父AP(AP 220通过上面讨论的微分支部署拓扑发现机制发现/获知)。进而,AP 210将其认证服务器设置为其父AP,在该示例中为根AP/GAP 202(再次通过上述拓扑发现机制发现)。在GAP 202处,认证服务器针对Radius访问请求最终被处理到的实际Radius服务器。应该理解的是,在GAP 202处,网络管理员将设置“真实”认证服务器,因为GAP 202没有上行/父AP。换言之,父AP充当代理认证服务器(代理链),认证访问请求通过它被中继,直到实际的认证服务器被到达为止。
例如,借助于微分支拓扑发现过程,AP 220可以被确定为AP 210的子AP(其父AP)。AP 210可以在内部设置或指定某些信息,由此AP 220被添加或输入到认证/Radius接受列表中,使得它能够接受来自AP 220的任何认证/Radius访问请求。AP 210还可以设置或指定GAP202是认证/Radius服务器,使得当AP 210从AP 220接收到认证/Radius访问请求时,该请求可以被代理到GAP 202。在相反方向上,当GAP 202接收到参照相同的客户端设备MAC地址的认证/Radius访问响应时,GAP 202知道认证/Radius访问响应与认证/Radius客户端(在这种情况下为AP 210)相关。因此,GAP 202可以向AP 210发送/转发认证/Radius访问响应。AP 210通过向其认证/Radius客户端(AP220)发送/转发认证/Radius访问响应来进行实物操作。
如上面提到的,实现防火墙策略一致性的第三步骤涉及防火墙优化,其中只有客户端设备被指向连接/关联的AP强制执行与分配给客户端设备的用户角色相对应的特权/规则。现在参照图示了防火墙优化方法500的图5,客户端设备222可以尝试从WLAN SSID或有线端口连接至AP,例如AP 220。例如,考虑到客户端设备222尝试经由WLAN SSID连接至AP220。充当认证客户端(例如Radius客户端)的AP 220构造访问请求消息,例如AP 220发送到其父AP(在这种情况下为AP210)的Radius访问请求。再次,发现微分支部署树拓扑导致微分支部署中的每个AP获知/发现其父/子AP(如果有的话)。访问请求消息(例如Radius访问请求)可以包括以下信息:User-Name<=>用户名;Calling-Station-Id<=>客户端设备MAC地址;Network-Profile<=>SSID配置文件名称或有线端口配置文件名称;NAS-Port-Type<=>获得有线/无线类型信息。应该理解的是,网络配置文件指的是包含SSID名称或有线端口配置文件名称的新的供应商特定属性(VSA)。该信息帮助GAP(例如GAP 202)为客户端设备222正尝试连接到的SSID找到正确的认证服务器,例如Radius服务器。当AP 210(充当Radius代理)接收到该Radius访问请求时,AP 210将访问请求发送给GAP 202。结果是认证(例如Radius)请求链504。GAP 202译码Radius访问请求,获知请求消息中所包括的“SSID配置文件名称”,然后使用该名称来确定访问请求消息应该被转发到的正确Radius服务器(由网络管理员配置)。
如果认证服务器被配置,则GAP 202将向该认证服务器发送访问请求消息。GAP202将期望接收访问接受或拒绝响应,例如Radius访问接受或Radius访问拒绝响应。在GAP202接收到预期的认证响应后,GAP 202将认证响应发送给AP 210。应该注意的是,如果认证服务器暂时不可达或GAP 202无法找到该特定访问请求消息的认证服务器,则GAP 202将通过直接向AP 210发送认证访问接受响应来使用回退模式。GAP 202还能够设置到数据路径的可信用户入口(具有客户端设备222的MAC地址)。这可以确保来自客户端设备222的其他数据分组不会触发GAP 202上的认证过程。而且,GAP 202不会将得出的用户角色应用于GAP202的数据路径,使得来自客户端设备222的那些数据分组不会不受GAP 202的防火墙限制。
否则,当相同的响应到达AP 210时,AP 210将效仿。即,AP 210可以向AP 220发送认证访问接受响应,以及设置对AP 210的数据路径的可信用户入口。该可信用户入口(具有客户端设备222的MAC地址)再次确保客户端设备222不需要进一步的认证。同样地,AP 210不会将得出的用户角色应用于其数据路径,使得客户端设备222不会受到AP 210的防火墙限制。
当AP 220接收到认证访问响应时,AP 220消耗响应消息,因为它是客户端设备222的认证客户端。结果是认证响应链506。AP 220由此可以结束认证链接过程,并且建立正常/不可信数据路径用户入口,其能够基于操作508中的认证(Radius)VSA用得出的用户角色应用。在回退模式被使用的情况下,由于GAP 202不会发送任何VSA用于角色得出,AP 220可以简单地为该SSID/有线端口应用默认的认证后用户角色。应该理解的是,在认证/Radius响应中,字段被用于指示AP应该将哪个用户角色应用于特定客户端设备/用户。例如,网络管理员可以使用字符串,诸如在实际认证服务器处指定的“客人”。因此,当AP 220接收到认证访问响应时,它对有效负载进行译码,并且知道将“客人”用户角色应用于特定客户端设备的期望。AP 220可以搜索其本地配置,以确定为客人用户角色配置了什么。在大多数实例中,配置中已经具有用户角色,但如果用户角色未被配置,则默认用户角色能够被用于特定的SSID/有线端口。
应该说明的是,如果AP的SSID/有线端口被配置为OPEN或PSK,则MAC认证能够针对该SSID/有线端口自动启用。这将触发相同的认证相同的链接过程。然而,由于GAP 202无法基于“网络配置文件”信息找到有效的认证服务器,因此它将使用上述回退模式来向下行AP(例如AP 210和220)发送认证响应。应该注意的是,本文描述的实施例参考了Radius认证。Radius认证只是可以被使用的一种可能的认证机制/系统。其他实施例考虑使用除Radius之外的其他认证机制,例如LDAP、TACACS+、XTACACS等。
图6A是根据一个实施例的用于执行微分支拓扑发现的示例计算组件或设备600的框图。计算组件600可以是例如控制器、处理器或能够处理数据并实现GAP的功能性的任何其他类似计算组件。在图6A的示例实现中,计算组件600包括硬件处理器602和机器可读存储介质604。
硬件处理器602可以是一个或多个中央处理单元(CPU)、基于半导体的微处理器和/或适合于取回和执行存储在机器可读存储介质404中的指令的其他硬件设备。硬件处理器602可以获取、译码和执行指令,诸如指令606至610,以控制用于建立连接、同步和发布路由/状态的过程或操作。作为取回和执行指令的替代或补充,硬件处理器602可以包括一个或多个电子电路,该电子电路包括用于执行一个或多个指令的功能性的电子组件,诸如现场可编程门阵列(FPGA)、专用集成电路(ASIC)或其他电子电路。
机器可读存储介质(诸如机器可读存储介质604)可以是包含或存储可执行指令的任何电子、磁性、光学或其他物理存储设备。因此,机器可读存储介质604可以是例如随机存取存储器(RAM)、非易失性RAM(NVRAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。在一些实施例中,机器可读存储介质404可以是非瞬态存储介质,其中术语“非瞬态”不涵盖瞬态传播信号。如下面详细描述的,机器可读存储介质604可以用可执行指令编码,例如指令606至608。
硬件处理器602可以执行指令606,以广播将GAP标识为根AP的分层信标。应该理解的是,一些实施例中的计算组件600可以是微分支部署中的GAP。如上面提到的,作为微分支部署的GAP,除了root_IP标识符/指示符之外,分层信标过程还可以通过向分层信标添加AP_IP标识符/指示符来适配。即,AP_IP和root_IP标识符/指示符被设置为反映GAP的管理IP地址。
接收分层信标的下行AP意识到父AP的存在,在这种情况下为GAP,其也是微分支部署的根AP。该下行AP可以用分层确认来响应分层信标。通过这种方式,GAP获知子AP或下行分支AP的存在。该下行分支AP然后可以通过改变AP_IP标识符/指示符来修改最初接收的分层信标,以反映下行分支AP自身的IP地址,并将该修改分层信标发送给它的下行有线端口,以广播到微分支部署中的其他下行AP。即,硬件处理器602可以执行指令608,以从一个或多个下行AP接收指示一个或多个下行AP的存在的分层确认,其中分层确认响应于通过一个或多个下行AP中的每个下行AP中继的分层信标的迭代修改版本。尽管一些实施例在多个下行AP的上下文中描述,但是客户端设备可以连接/关联至单个下行AP,并且可以由GAP(例如以太网下行端口)进行防火墙限制。因此,本文描述的实施例也可以适用于包括单个下行AP的拓扑。
应该理解的是,GAP也在其下行有线端口上广播分层信标,并且任何下行分支AP在其相应的上行有线端口上接收原始或修改的(多个)分层信标。该过程能够继续,直到微分支拓扑从GAP和微分支部署中的任何AP的角度发现为止。
图6B是根据一个实施例的用于执行微分支AP拓扑发现的示例计算组件或设备610的框图。计算组件610可以是例如控制器、处理器或能够处理数据并实现AP的功能性的任何其他类似计算组件。即,图6B从下行AP的角度图示了微分支AP拓扑发现。在图6B的示例实现中,计算组件610包括硬件处理器612和机器可读存储介质614,其可以是例如硬件处理器602和机器可读存储介质604的其他实施例。
硬件处理器612可以执行指令616,以接收将GAP标识为AP的根AP的分层信标。如上所述,分层信标不仅包括root_IP标识符,还包括AP-IP标识符,其中GAP被反映在root_IP和AP_IP标识符中。
硬件处理器612可以执行指令618,以响应于分层信标来将分层确认例如传输回GAP或其直接父AP。硬件处理器612可以执行指令620,以修改分层信标以反映AP自身的IP地址,并将修改后的分层信标广播到一个或多个下行AP。硬件处理器612可以执行指令622,以将从一个或多个下行AP接收到的分层确认中继到GAP。通过这种方式,分层信标在它通过每个下行AP时进行迭代修改,并且每个下行AP意识到GAP(经由root_IP标识符标识)及其相应的父AP(经由迭代修改的分层信标标识),修改在通过微分支部署中的AP中的每个AP的过程期间针对不断变化的AP_IP标识符而产生。在GAP处接收的每个分层确认还通知其下行分支AP中的每个下行分支AP的GAP。
图6C是根据一个实施例的用于执行防火墙优化的示例计算组件或设备630的框图。计算组件630可以是例如控制器、处理器或能够处理数据并实现AP的功能性的任何其他类似计算组件。在图6C的示例实现中,计算组件630包括硬件处理器632和机器可读存储介质634,其可以是例如硬件处理器602和机器可读存储介质604的其他实施例。
硬件处理器632可以执行指令636,以对客户端设备发起认证访问请求。应该理解的是,计算组件可以是客户端设备被关联至的微分支部署的下行AP。如上面提到的,认证代理链可以被建立,其中微分支部署中的每个下行AP都指向认证服务器(用于接收认证访问请求),该认证服务器被定义为生成/传输认证访问请求的AP的父AP。换言之,作为子AP的父级的每个AP都充当认证代理,直到认证代理链中的父级为GAP为止。然后,GAP可以指向实际认证服务器,以执行客户端设备认证。因此,硬件处理器632可以执行指令638,以将认证访问请求传输给父AP,认证访问请求被指向定义为父AP的认证服务器代理。
硬件处理器632可以执行指令640,以接收认证访问响应,该认证访问响应由实际认证服务器生成,该实际认证服务器通过定义为认证服务器代理的父AP中继。即,在实际认证服务器(针对微分支部署中的AP代理)处理认证访问请求时,认证访问响应能够类似地通过AP向下中继,直到它到达传输认证访问请求的AP为止。如上面相对于图5描述的,微分支部署的GAP可以设置可信用户入口,以禁止在除客户端设备被关联至的AP之外的任何AP处对从客户端设备接收的数据分组进行防火墙限制,从而避免防火墙策略的冗余应用。
如上面提到的,各种实施例以增强的方式(即,通过在由GAP广播的分层信标中包括AP_IP标识符)利用现有的IAP分层信标机制,使得微分支部署的GAP/AP拓扑可以被确定。所确定的拓扑允许跨微分支部署自动构建认证代理链。当客户端设备连接至微分支部署中的任何AP时,这些客户端设备将根据认证代理链进行认证。通过这种方式,认证只在客户端所连接的AP上触发,从而避免冗余的认证事务。防火墙只在客户端连接的AP上执行,避免上述多重防火墙问题,并且提高流处理时间。附加地,使用例如Radius认证,单个用户角色能够被得出,并且被应用于所连接的AP,从而否定需要网络管理员跨多个设备协调其防火墙策略,从而简化管理工作。因此,硬件处理器可以执行指令642,以基于认证访问响应为客户端设备应用用户角色。
图7描绘了本文描述的各种实施例可以被实现的示例计算机系统700的框图。计算机系统700包括总线702或用于传递信息的其他通信机制、与总线702耦合以用于处理信息的一个或多个硬件处理器704。(多个)硬件处理器704可以例如是一个或多个通用微处理器。
计算机系统700还包括耦合至总线702的存储器单元,诸如主存储器706,诸如随机存取存储器(RAM)、缓存和/或其他动态存储设备,用于存储信息和要由处理器704执行的指令。主存储器706也可以被用于在要由处理器704执行的指令的执行期间存储临时变量或其他中间信息。当被存储在处理器704可访问的存储介质中时,这种指令使计算机系统700成为专用机器,该专用机器被定制为执行在这些指令中指定的操作。
计算机系统700还包括耦合至总线702的只读存储器(ROM)708或其他静态存储设备,用于存储静态信息和处理器704的指令。诸如磁盘、光盘或USB拇指驱动器(闪存驱动器)等存储设备710被提供并耦合至总线702,用于存储信息和指令。
通常,如本文使用的,词语“引擎”、“组件”、“系统”、“数据库”等能够指代在硬件或固件中实施的逻辑,或者指代软件指令的集合,可能具有入口和出口点,以诸如例如Java、C或C++等编程语言编写。软件模块可以被编译并链接到可执行程序中,安装在动态链接库中或者可以用解释编程语言(诸如例如BASIC、Perl或Python)编写。要了解,软件组件可以从其他组件或者从它们自身可调用,和/或可以响应于检测到的事件或中断而调用。被配置用于在计算设备上执行的软件组件可以被设置在计算机可读介质上,诸如压缩盘、数字视频盘、闪存驱动器、磁盘或者任何其他有形介质,或者作为数字下载提供(并且最初可以以在执行之前需要安装、解压或解密的压缩或可安装格式存储)。这种软件代码可以部分或完全地被存储在执行计算设备的存储器设备上,以由计算设备执行。软件指令可以被嵌入在固件中,诸如EPROM。要进一步了解的是,硬件组件可以包括连接的逻辑单元,诸如门和触发器,和/或可以包括可编程单元,诸如可编程门阵列或处理器。
计算机系统700可以使用定制的硬连线逻辑、一个或多个ASIC或FPGA、固件和/或程序逻辑来实现本文描述的技术,该程序逻辑与计算机系统组合使计算机系统700成为专用机器,或者将其编程为专用机器。根据一个实施例,响应于(多个)处理器704执行主存储器706中所包含的一个或多个指令的一个或多个序列,本文的技术由计算机系统700执行。这种指令可以从诸如存储设备710等另一存储介质被读取到主存储器706中。主存储器706中所包含的指令序列的执行使(多个)处理器704执行本文描述的过程步骤。在替代实施例中,硬连线电路系统可以代替软件指令或者与其组合使用。
本文使用的术语“非瞬态介质”和类似术语指的是存储数据和/或指令的任何介质,该指令使机器以具体方式操作。这种非瞬态介质可以包括非易失性介质和/或易失性介质。非易失性介质包括例如光盘或磁盘,诸如存储设备710。易失性介质包括动态存储器,诸如主存储器706。非瞬态介质的常见形式例如包括软盘、柔性盘、硬盘、固态驱动器、磁带或任何其他磁性数据存储介质、CD-ROM、任何其他光学数据存储介质、具有孔图案的任何物理介质、RAM、PROM和EPROM、闪存EPROM、NVRAM、任何其他存储器芯片或磁带盒及其联网版本。
非瞬态介质不同于传输介质,但是可以与传输介质结合使用。传输介质参与在非瞬态介质之间传送信息。例如,传输介质包括同轴电缆、铜线和光纤,包括构成总线702的电线。传输介质还能够采用声波或光波的形式,诸如在无线电波和红外数据通信期间生成的那些。
计算机系统700还包括耦合至总线702的通信接口718。网络接口718提供与被连接至一个或多个本地网络的一个或多个网络链路的双向数据通信耦合。例如,通信接口718可以是集成服务数字网络(ISDN)卡、电缆调制解调器、卫星调制解调器或用于提供与对应类型的电话线的数据通信连接的调制解调器。作为另一示例,网络接口718可以是局域网(LAN)卡,以提供与兼容LAN(或与WAN通信的WAN组件)的数据通信连接。无线链路也可以被实现。在任何这种实现中,通信接口718发送和接收电信号、电磁信号或光学信号,其携带表示各种类型的信息的数字数据流。
网络链路通常通过一个或多个网络向其他数据设备提供数据通信。例如,网络链路可以通过本地网络提供与主机或由互联网服务提供方(ISP)操作的数据设备的连接。ISP进而通过现在通常称为“互联网”的全球分组数据通信网络来提供数据通信服务。本地网络和互联网都使用携带数字数据流的电信号、电磁信号或光学信号。通过各种网络的信号以及在网络链路上并且通过通信接口718的信号(将数字数据携带到计算机系统700并且从计算机系统700携带数字数据)是示例形式的传输介质。
计算机系统700能够通过(多个)网络、网络链路和通信接口718发送消息,并且接收包括程序代码的数据。在互联网示例中,服务器可以通过互联网、ISP、本地网络和通信接口718来传输所请求的应用程序的代码。
如本文使用的,术语“或者”可以以包括性或排他性意义解释。而且,单数形式的资源、操作或结构的描述不应被读取为排除复数形式。除非另有具体规定或者在上下文内以其他方式理解为使用,否则条件语言(诸如“能够”、“可以”、“可能”或“可以”等)通常旨在传达某些实施例包括而其他实施例不包括某些特征、元素和/或步骤。除非另有明确规定,否则本文档中使用的术语和短语及其变型应被解释为开放式而非限制性的。作为前述内容的示例,术语“包括”应被读取为表示“包括但不限于”等。术语“示例”被用于提供所讨论项目的示例性实例,而不是其详尽或限制性列表。术语“一”或“一个”应被读取为表示“至少一个”、“一个或多个”等。存在扩展词和短语(诸如“一个或多个”、“至少”、“但不限于”或者一些实例中的其他类似短语)不应被读取为意味着在可能不存在这种扩展短语的实例中打算或需要较窄的情况。
Claims (20)
1.一种方法,包括:
从网关接入点GAP广播分层信标,所述分层信标将所述GAP标识为微分支部署网络的根接入点AP;
在所述GAP处,从一个或多个下行AP接收分层信标确认,所述分层信标确认指示在所述微分支部署网络中所述一个或多个下行AP的存在,其中所述分层确认响应于通过所述一个或多个下行AP中的每个下行AP被中继的迭代修改版本的所述分层信标;以及
基于接收到的所述分层信标确认,发现所述微分支部署网络的拓扑。
2.根据权利要求1所述的方法,其中所述一个或多个下行AP被实现为经由所述一个或多个下行AP的相应有线端口被操作地串联连接的链式AP。
3.根据权利要求2所述的方法,其中对所述分层信标的所述广播和对所述迭代修改版本的所述分层信标的中继发生在所述GAP的有线下行端口和所述一个或多个下行AP的相应下行端口上,并且其中对所述分层信标和所述迭代修改版本的所述分层信标的接收发生在所述一个或多个下行AP的相应上行端口上。
4.根据权利要求1所述的方法,其中所述分层信标包括层2广播数据分组,所述层2广播数据分组包括根互联网协议ROOT_IP字段和AP_IP字段,所述根互联网协议ROOT_IP字段和所述AP_IP字段中的每个字段均反映所述GAP在其迭代修改之前的管理IP地址。
5.根据权利要求4所述的方法,其中所述迭代修改版本的所述分层信标包括经修改的AP_IP字段,所述经修改的AP_IP字段反映所述多个下行AP中的接收下行AP的IP地址。
6.一种方法,包括:
在微分支部署网络的下行接入点AP处接收分层信标,所述分层信标将网关AP GAP标识为所述微分支部署网络的根AP;
响应于接收到的所述分层信标,从所述下行AP传输分层确认;
在所述下行AP处,修改所述分层信标以反映所述下行AP自身的IP地址,并且将经修改的所述分层信标广播给所述微分支部署网络的一个或多个附加下行AP;
将从所述一个或多个附加下行AP接收的分层确认从所述下行AP中继给所述GAP;以及
由所述下行AP基于接收到的所述分层信标和接收到的所述分层确认来发现所述微分支部署网络的拓扑。
7.根据权利要求6所述的方法,其中所述下行AP和所述一个或多个附加下行AP被实现为经由其相应有线端口被操作地串联连接的链式AP。
8.根据权利要求7所述的方法,其中对经修改的所述分层信标的广播发生在所述下行AP的有线下行端口上,对接收到的所述分层确认的所述中继发生在所述下行AP的有线上行端口上,并且其中对来自所述GAP的所述分层信标的接收发生在所述下行AP的有线上行端口上。
9.根据权利要求6所述的方法,其中所述分层信标包括层2广播数据分组,所述层2广播数据分组包括根互联网协议ROOT_IP字段和AP_IP字段,所述根互联网协议ROOT_IP字段和所述AP_IP字段中的每个字段均反映所述GAP的管理IP地址。
10.根据权利要求9所述的方法,其中经修改的所述分层信标包括经修改的AP_IP字段,所述经修改的AP_IP字段反映所述下行AP的IP地址。
11.一种方法,包括:
由微分支部署网络的下行接入点AP发起针对被关联到所述下行AP的客户端设备的认证访问请求;
从所述下行AP将所述认证访问请求传输给父AP,所述认证访问请求被导向被限定为所述父AP的认证服务器代理;
在所述下行AP处接收认证访问响应,所述认证访问响应由实际认证服务器生成,所述实际认证服务器通过被限定为所述认证服务器代理的所述父AP而被中继;以及
基于所述认证访问响应来应用针对所述客户端设备的用户角色。
12.根据权利要求11所述的方法,其中所述用户角色从所述认证访问响应的有效负载得出,并且对所述用户角色的应用仅发生在所述客户端设备被关联到的所述下行AP处。
13.根据权利要求12所述的方法,还包括:在被操作地实现为所述微分支部署网络的根AP的所述微分支部署网络的网关AP处,利用被关联的所述客户端设备的介质访问控制MAC地址建立可信用户入口,使得从被关联的所述客户端设备接收的附加数据分组不触发所述GAP处的认证。
14.根据权利要求13所述的方法,还包括:在所述父AP处,利用被关联的所述客户端设备的介质访问控制MAC地址建立可信用户入口,使得从被关联的所述客户端设备接收的附加数据分组不触发所述父AP处的认证。
15.根据权利要求14所述的方法,其中仅在所述下行AP处对所述用户角色的应用包括:在所述下行AP处,建立不可信数据路径用户入口。
16.根据权利要求15所述的方法,其中仅在所述下行AP处对所述用户角色的应用还包括:利用得出的用户角色应用所述不可信数据路径用户。
17.根据权利要求16所述的方法,其中所述认证访问请求包括所述下行AP的服务集标识符SSID或有线端口简档名称中的一项,所述服务集标识符SSID或所述有线端口简档名称标识服务于被关联的所述客户端设备的所述实际认证服务器。
18.根据权利要求16所述的方法,其中得出的所述用户角色基于所述SSID或所述有线端口简档名称中的一项。
19.根据权利要求13所述的方法,还包括:在对针对被关联的所述客户端设备的所述认证访问请求的发起之前,确定所述微分支部署网络的拓扑,以发现所述微分支部署网络中的多个AP中的哪个AP包括所述GAP。
20.根据权利要求19所述的方法,还包括:在对针对被关联的所述客户端设备的所述认证访问请求的发起之前,确定所述微分支部署网络的所述拓扑,以发现所述微分支部署网络中的所述多个AP中的哪个AP包括所述下行AP的所述父AP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411153349.9A CN118972137A (zh) | 2021-02-22 | 2021-10-26 | 微分支部署中的认证链接 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/182,058 US11792718B2 (en) | 2021-02-22 | 2021-02-22 | Authentication chaining in micro branch deployment |
| US17/182,058 | 2021-02-22 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202411153349.9A Division CN118972137A (zh) | 2021-02-22 | 2021-10-26 | 微分支部署中的认证链接 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978567A true CN114978567A (zh) | 2022-08-30 |
| CN114978567B CN114978567B (zh) | 2025-04-15 |
Family
ID=82702088
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202411153349.9A Pending CN118972137A (zh) | 2021-02-22 | 2021-10-26 | 微分支部署中的认证链接 |
| CN202111244720.9A Active CN114978567B (zh) | 2021-02-22 | 2021-10-26 | 一种用于拓扑发现的方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202411153349.9A Pending CN118972137A (zh) | 2021-02-22 | 2021-10-26 | 微分支部署中的认证链接 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11792718B2 (zh) |
| CN (2) | CN118972137A (zh) |
| DE (1) | DE102021127234B8 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI788154B (zh) * | 2021-12-22 | 2022-12-21 | 啟碁科技股份有限公司 | 網狀網路的拓撲路徑取得方法及其系統 |
| US12531907B2 (en) * | 2022-11-10 | 2026-01-20 | At&T Intellectual Property I, L.P. | Software-defined wide area network self-service for service assurance |
| US12284224B1 (en) * | 2023-10-03 | 2025-04-22 | strongDM, Inc. | Virtualized permission and security enforcement |
| TWI869084B (zh) * | 2023-11-30 | 2025-01-01 | 四零四科技股份有限公司 | 更新網路拓撲的方法及控制節點 |
| US12242599B1 (en) | 2024-09-27 | 2025-03-04 | strongDM, Inc. | Fine-grained security policy enforcement for applications |
| US12348519B1 (en) | 2025-02-07 | 2025-07-01 | strongDM, Inc. | Evaluating security policies in aggregate |
| US12432242B1 (en) | 2025-03-28 | 2025-09-30 | strongDM, Inc. | Anomaly detection in managed networks |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120158979A1 (en) * | 2010-12-17 | 2012-06-21 | Samsung Electronics Co. Ltd. | Method and apparatus for controlling access to access point in mobile terminal |
| CN109451497A (zh) * | 2018-11-23 | 2019-03-08 | Oppo广东移动通信有限公司 | 无线网络连接方法及装置、电子设备、存储介质 |
| US20190332824A1 (en) * | 2018-04-28 | 2019-10-31 | Hewlett Packard Enterprise Development Lp | Handling wireless client devices associated with a role indicating a stolen device |
| US20200389869A1 (en) * | 2019-06-04 | 2020-12-10 | Qualcomm Incorporated | Uplink broadcast service in a wireless local area network (wlan) |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040185845A1 (en) | 2003-02-28 | 2004-09-23 | Microsoft Corporation | Access point to access point range extension |
| US8102814B2 (en) | 2006-11-14 | 2012-01-24 | Cisco Technology, Inc. | Access point profile for a mesh access point in a wireless mesh network |
| US20150373639A1 (en) | 2014-06-20 | 2015-12-24 | Qualcomm Incorporated | SYSTEMS AND METHODS FOR POWER SAVING VIA ENHANCED SCANNING AND BEACONING FOR CO-LOCATED APs AND ASSOCIATED STAs |
| GB2554953B (en) * | 2016-10-17 | 2021-01-27 | Global Reach Tech Inc | Improvements in and relating to network communications |
| WO2018185547A1 (en) | 2017-01-20 | 2018-10-11 | Airties Kablosuz Iletisim Sanayi Ve Dis Ticaret A.S. | System and method for setting mesh networks with a generic gateway node |
| US11229023B2 (en) * | 2017-04-21 | 2022-01-18 | Netgear, Inc. | Secure communication in network access points |
| US10924343B1 (en) * | 2019-01-22 | 2021-02-16 | Amazon Technologies, Inc. | Event propagation and action coordination in a mesh network |
| US11595393B2 (en) * | 2020-03-31 | 2023-02-28 | Juniper Networks, Inc. | Role-based access control policy auto generation |
-
2021
- 2021-02-22 US US17/182,058 patent/US11792718B2/en active Active
- 2021-10-20 DE DE102021127234.3A patent/DE102021127234B8/de active Active
- 2021-10-26 CN CN202411153349.9A patent/CN118972137A/zh active Pending
- 2021-10-26 CN CN202111244720.9A patent/CN114978567B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120158979A1 (en) * | 2010-12-17 | 2012-06-21 | Samsung Electronics Co. Ltd. | Method and apparatus for controlling access to access point in mobile terminal |
| US20190332824A1 (en) * | 2018-04-28 | 2019-10-31 | Hewlett Packard Enterprise Development Lp | Handling wireless client devices associated with a role indicating a stolen device |
| CN109451497A (zh) * | 2018-11-23 | 2019-03-08 | Oppo广东移动通信有限公司 | 无线网络连接方法及装置、电子设备、存储介质 |
| US20200389869A1 (en) * | 2019-06-04 | 2020-12-10 | Qualcomm Incorporated | Uplink broadcast service in a wireless local area network (wlan) |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978567B (zh) | 2025-04-15 |
| CN118972137A (zh) | 2024-11-15 |
| DE102021127234B8 (de) | 2025-10-16 |
| DE102021127234B4 (de) | 2025-07-10 |
| US20220272614A1 (en) | 2022-08-25 |
| DE102021127234A1 (de) | 2022-08-25 |
| US11792718B2 (en) | 2023-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114978567B (zh) | 一种用于拓扑发现的方法 | |
| US10015046B2 (en) | Methods and apparatus for a self-organized layer-2 enterprise network architecture | |
| US10122574B2 (en) | Methods and apparatus for a common control protocol for wired and wireless nodes | |
| US7035281B1 (en) | Wireless provisioning device | |
| CN116319516A (zh) | 安全sd-wan端口信息分发 | |
| US20170180428A1 (en) | Policy-based configuration of internet protocol security for a virtual private network | |
| WO2016019838A1 (en) | Network management | |
| CN115606154A (zh) | 边界网关协议(BGP)控制的软件定义广域网(SD-WAN)中的互联网协议安全(IPsec)简化 | |
| CN101501663A (zh) | 一种安全地部署网络设备的方法 | |
| CN108092893A (zh) | 一种专线开通方法及装置 | |
| CN116235473A (zh) | 不同虚拟专用网络的规范化查找和转发 | |
| WO2016180020A1 (zh) | 一种报文处理方法、设备和系统 | |
| US12267239B2 (en) | System and method for automatic appliance configuration and operability | |
| US20250247327A1 (en) | Software-Defined Wide Area Networking (SD-WAN) Customer Equipment (CE) Node Traffic Steering within a Segment Routing (SR) over Internet Protocol Version 6 (SRV6) Network | |
| CN114338784A (zh) | 一种业务处理方法、装置和存储介质 | |
| CN112769670B (zh) | 一种vpn数据安全访问控制方法及系统 | |
| US12432555B2 (en) | Multi AP microbranch deployment configuration based on optimized packet forwarding | |
| KR20230021506A (ko) | 사용자 정의 기반의 가상 네트워크 설정 방법 | |
| US11811556B2 (en) | Methods and systems for network traffic management | |
| US11924182B2 (en) | ISO layer-two connectivity using ISO layer-three tunneling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |