特許6131484 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 華為技術有限公司の特許一覧

特許6131484ユーザ端末のアクセスを制御するための方法、装置、およびシステム

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3a
3b
3c
3d
3e
4
5
6a
6b
6c
7a
7b
7c

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6131484

(24)【登録日】2017年4月28日

(45)【発行日】2017年5月24日

(54)【発明の名称】ユーザ端末のアクセスを制御するための方法、装置、およびシステム

(51)【国際特許分類】

G06F 21/44 20130101AFI20170515BHJP

H04L 12/70 20130101ALI20170515BHJP

【ＦＩ】

G06F21/44

H04L12/70 100Z

【請求項の数】10

【全頁数】37

(21)【出願番号】特願2016-524665(P2016-524665)

(86)(22)【出願日】2014年7月1日

(65)【公表番号】特表2016-525748(P2016-525748A)

(43)【公表日】2016年8月25日

(86)【国際出願番号】CN2014081326

(87)【国際公開番号】WO2015003565

(87)【国際公開日】20150115

【審査請求日】2016年3月17日

(31)【優先権主張番号】201310286753.9

(32)【優先日】2013年7月9日

(33)【優先権主張国】CN

【早期審査対象出願】

(73)【特許権者】

【識別番号】503433420

【氏名又は名称】華為技術有限公司

【氏名又は名称原語表記】ＨＵＡＷＥＩＴＥＣＨＮＯＬＯＧＩＥＳＣＯ．，ＬＴＤ．

(74)【代理人】

【識別番号】100146835

【弁理士】

【氏名又は名称】佐伯義文

(74)【代理人】

【識別番号】100140534

【弁理士】

【氏名又は名称】木内敬二

(72)【発明者】

【氏名】▲孫▼ 兵

(72)【発明者】

【氏名】徐亦斌

(72)【発明者】

【氏名】唐 ▲鵬▼合

【審査官】青木重徳

(56)【参考文献】

【文献】特開２００８−２７８１３４（ＪＰ，Ａ）

【文献】特開２００２−３１４５７２（ＪＰ，Ａ）

【文献】特開２００６−０３３２０６（ＪＰ，Ａ）

【文献】特開２００５−２５２７１７（ＪＰ，Ａ）

【文献】特開２００８−０６０６９２（ＪＰ，Ａ）

【文献】特開２０１２−０８０４１８（ＪＰ，Ａ）

【文献】特開２００６−０６７０５７（ＪＰ，Ａ）

【文献】米国特許出願公開第２００８／０１０１２４０（ＵＳ，Ａ１）

【文献】那須野洋一ほか，これであなたも一人前スイッチ・ネットワークの作り方，日経ＮＥＴＷＯＲＫ，日本，日経ＢＰ社，２００５年９月２２日，第６６号，ｐ．１７０−１７５

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ２１／４４

Ｈ０４Ｌ１２／７０

(57)【特許請求の範囲】

【請求項1】

ユーザ端末のアクセスを制御するための方法であって、
コントローラにより、確立されたデータトンネルを介してアクセス・スイッチング・ノードによって送信された認証パケットを受信する（62）ステップと、
前記コントローラにより、前記認証パケットの送信元媒体アクセス制御（MAC）アドレスフィールド内のMACアドレスを獲得する（63）ステップと、
前記獲得されたMACアドレスに対応するユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定する（64）ステップであって、前記インターフェース識別子は、前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、ステップと、
前記コントローラにより、前記決定されたインターフェース識別子を、前記コントローラと前記アクセス・スイッチング・ノードとの間で確立された制御トンネルを介して前記アクセス・スイッチング・ノードへ送信し（65）、前記アクセス・スイッチング・ノードに、前記インターフェース識別子に対応するインターフェースを使用可能にするように命令するステップと、
を含む方法。

【請求項2】

前記アクセス認証が前記MACアドレスに対応するユーザ端末について実施される前に、ユーザ端末のMACアドレスとインターフェース識別子との間の前記対応関係は、次の方式、
前記コントローラにより、前記制御トンネルを介して前記アクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、および前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信することであって、前記ユーザ端末のMACアドレスおよび前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、前記ユーザ端末が前記アクセス・スイッチング・ノード上のインターフェースとの接続を確立し、前記接続されたインターフェースを介してパケットを送信するときに前記アクセス・スイッチング・ノードによって獲得される、前記受信することと、
前記ユーザ端末の前記受信されたMACアドレスおよび前記受信されたインターフェース識別子に従って、前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の対応関係を確立することと、
で決定される、請求項1に記載の方法。

【請求項3】

ユーザ端末のアクセスを制御するための方法であって、
媒体アクセス制御（MAC）学習機能が使用不可にされているとき、アクセス・スイッチング・ノードにより、前記アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信する（72）ステップと、
前記アクセス・スイッチング・ノードにより、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し（73）、前記受信された認証パケットから前記ユーザ端末のMACアドレスを獲得するステップと、
コントローラが前記ユーザ端末の前記受信されたMACアドレスと前記受信されたインターフェース識別子との間の対応関係を維持するように、前記アクセス・スイッチング・ノードにより、前記ユーザ端末の前記獲得されたMACアドレスおよび前記獲得されたインターフェース識別子を確立された制御トンネルを介して前記コントローラへ送信する（74）ステップと、
前記アクセス・スイッチング・ノードにより、前記制御トンネルを介して前記コントローラによって送信されたインターフェース識別子を受信する（75）ステップであって、前記インターフェース識別子は、前記コントローラが前記MACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後で前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の前記対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子である、ステップと、
前記アクセス・スイッチング・ノードにより、前記受信されたインターフェース識別子に従って、前記インターフェース識別子に対応するインターフェースを使用可能にするステップと
を含む方法。

【請求項4】

前記アクセス・スイッチング・ノードにより、前記MACアドレスに対応するユーザ端末の、前記制御トンネルを介して前記コントローラによって送信されたアクセス許可を受信するステップ、をさらに含み、
前記アクセス・スイッチング・ノードにより、前記受信されたインターフェース識別子に従って、前記インターフェース識別子に対応するインターフェースを使用可能にする前記ステップは、
前記インターフェースに接続されたユーザ端末を前記アクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、前記アクセス・スイッチング・ノード上の、前記インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するステップ
を含む、請求項3に記載の方法。

【請求項5】

前記アクセス・スイッチング・ノードにより、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、前記受信された認証パケットから前記ユーザ端末のMACアドレスを獲得する前記ステップは、
前記アクセス・スイッチング・ノードにより、プログラムコードに従って処理機能を実行することができる信号プロセッサを使用することによって、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、前記受信された認証パケットを前記アクセス・スイッチング・ノードの信号プロセッサへ伝送するステップと、
前記信号プロセッサにより、前記認証パケットの送信元MACアドレスフィールドから、前記認証パケットを送信するユーザ端末のMACアドレスを獲得するステップと、
を含む、請求項3または4に記載の方法。

【請求項6】

ユーザ端末のアクセスを制御するための装置であって、
確立されたデータトンネルを介して送信された認証パケットを受信し、前記受信された認証パケットを獲得モジュールへ伝送するように構成された受信モジュール（701）と、
前記受信モジュールによって伝送された認証パケットを獲得し、前記認証パケットの送信元媒体アクセス制御（MAC）アドレスフィールド内のMACアドレスを獲得し、前記獲得されたMACアドレスを認証モジュールへ伝送するように構成された前記獲得モジュール（702）と、
前記獲得モジュールによって伝送されたMACアドレスを受信し、前記MACアドレスに対応するユーザ端末についてアクセス認証を実施し、認証成功の結果を決定モジュールへ伝送するように構成された前記認証モジュール（703）と、
前記認証モジュールによって伝送された認証成功の結果を獲得し、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、前記インターフェース識別子を送信モジュールへ伝送するように構成された前記決定モジュールであって、前記インターフェース識別子は、前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、前記決定モジュール（704）と、
前記決定モジュールによって伝送されたインターフェース識別子を獲得し、前記決定されたインターフェース識別子を、コントローラと前記アクセス・スイッチング・ノードとの間で確立された制御トンネルを介して前記アクセス・スイッチング・ノードへ送信し、前記アクセス・スイッチング・ノードに、前記インターフェース識別子に対応するインターフェースを使用可能にするように命令するように構成された前記送信モジュール（705）と、
を含む装置。

【請求項7】

前記受信モジュールは、前記制御トンネルを介して前記アクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、および前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信するようにさらに構成され、前記ユーザ端末のMACアドレス、および前記ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、前記ユーザ端末が前記アクセス・スイッチング・ノード上のインターフェースとの接続を確立し、前記接続されたインターフェースを介してパケットを送信するときに前記アクセス・スイッチング・ノードによって獲得され、前記受信モジュールは、前記受信されたMACアドレスおよび前記受信されたインターフェース識別子を確立モジュールへ伝送するようにさらに構成され、
前記装置は、前記受信モジュールによって伝送されたMACアドレスおよびインターフェース識別子を獲得し、前記ユーザ端末の前記受信されたMACアドレスおよび前記受信されたインターフェース識別子に従って、前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の対応関係を確立するように構成された前記確立モジュールをさらに含む、請求項6に記載の装置。

【請求項8】

ユーザ端末のアクセスを制御するための装置であって、
媒体アクセス制御（MAC）学習機能が使用不可にされているとき、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信し、前記認証パケットを獲得モジュールへ伝送するように構成された受信モジュール（901）と、
前記受信モジュールによって伝送された認証パケットを受信し、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、前記受信された認証パケットから前記ユーザ端末のMACアドレスを獲得し、前記インターフェース識別子および前記MACアドレスを送信モジュールへ伝送するように構成された前記獲得モジュール（902）と、
コントローラが前記ユーザ端末の前記受信されたMACアドレスと前記受信されたインターフェース識別子との間の対応関係を維持するように、前記獲得モジュールによって伝送されたインターフェース識別子およびMACアドレスを受信し、前記ユーザ端末の前記獲得されたMACアドレスおよび前記獲得されたインターフェース識別子を、前記コントローラと前記アクセス・スイッチング・ノードとの間で確立された制御トンネルを介して前記コントローラへ送信するように構成された前記送信モジュール（903）と、
を含み、前記受信モジュール（901）は、前記制御トンネルを介して前記コントローラによって送信されたインターフェース識別子を受信し、前記インターフェース識別子を制御モジュールへ伝送するようにさらに構成され、前記インターフェース識別子は、前記コントローラが前記MACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後で前記ユーザ端末のMACアドレスと前記インターフェース識別子との間の前記対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子であり、前記装置は、
前記受信モジュールによって伝送されたインターフェース識別子を獲得し、前記受信されたインターフェース識別子に従って、前記インターフェース識別子に対応するインターフェースを使用可能にするように構成された前記制御モジュール（904）
を含む装置。

【請求項9】

前記受信モジュールは、前記MACアドレスに対応するユーザ端末の、前記制御トンネルを介して前記コントローラによって送信されたアクセス許可を受信し、前記アクセス許可を前記制御モジュールへ伝送するようにさらに構成され、
前記制御モジュールは、前記受信モジュールによって伝送されたアクセス許可を獲得し、前記インターフェースに接続されたユーザ端末を前記アクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、前記アクセス・スイッチング・ノード上の、前記インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するように特に構成された、請求項8に記載の装置。

【請求項10】

前記獲得モジュールは、プログラムコードに従って処理機能を実行することができる信号プロセッサを特に含み、前記認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、前記受信モジュールによって伝送された認証パケットを獲得するように構成され、前記信号プロセッサは、前記認証パケットの送信元MACアドレスフィールドから前記認証パケットを送信するユーザ端末のMACアドレスを獲得する、請求項8または9に記載の装置。

【発明の詳細な説明】

【技術分野】

【0001】

本出願は、2013年7月9日に中国特許庁に出願され、発明の名称を「ユーザ端末のアクセスを制御するための方法、装置、およびシステム」とする中国特許出願第201310286753.9号の優先権を主張し、その全体が参照によりここに組み込まれる。

【0002】

本発明は、通信技術の分野、詳細には、ユーザ端末のアクセスを制御するための方法、装置、およびシステムに関する。

【背景技術】

【0003】

通信システムにおいて、キャンパスネットワーク（英語：campus network、略してCAN）は、一般に、企業の構内のネットワークまたはイントラネット（英語：intranet）を指し、キャンパスネットワークの主な特徴は、キャンパスネットワーク上に配置されるルータ、ネットワークスイッチ等が管理団体（例えば、キャンパスネットワークの所有者）によって管理されることである。

【0004】

図1に示すように、キャンパスネットワークのネットワークアーキテクチャにおいて、キャンパスネットワークは、少なくとも1つのユーザ端末および少なくとも1つのネットワークスイッチを含む。一般に、ユーザ端末側に位置し、ユーザ端末に直接に接続されるネットワークスイッチを、アクセススイッチまたはアクセス・スイッチング・ノードと呼ぶことができる。一般に、ネットワーク側に位置し、アクセス・スイッチング・ノードに接続されるネットワークスイッチを、アグリゲーションスイッチまたはアグリゲーション・スイッチング・ノードと呼ぶことができる。アクセス・スイッチング・ノード上の各インターフェースはどのユーザ端末にも接続されていない場合があり、または少なくとも1つのユーザ端末に接続されている場合がある。ユーザ端末がアクセス・スイッチング・ノードに接続されるならば、そのユーザ端末は有線の方式でアクセス・スイッチング・ノードに接続することができる。アクセス・スイッチング・ノードの他方の側のインターフェースは、パケット伝送を実施するためにアグリゲーション・スイッチング・ノードに接続される。図1に示すキャンパスネットワークのネットワークアーキテクチャにおいて、ユーザ端末が有線の方式でアクセス・スイッチング・ノードへの接続に成功した後で、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているかどうか確認するために、パケット伝送の前に認証が実施される必要がある。ユーザ端末は、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているときのみ、アクセス・スイッチング・ノードへパケットを送信することができる。一般に、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスできるかどうか制御するために、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているかどうか確認するための認証を実施する2つの方式がある。

【0005】

第1の方式：アクセス・スイッチング・ノードは、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているかどうか確認するために認証を実施し、すなわち、アクセス・スイッチング・ノードは、ユーザ端末のアクセスについて認証を実施し、認証結果に従って、ユーザ端末がパケット伝送のためにキャンパスネットワークにアクセスすることを許可されているかどうか判定する。図1に示すキャンパスネットワークのネットワークアーキテクチャは一例として使用され、ここで、ユーザ端末1およびユーザ端末2は有線の方式でアクセス・スイッチング・ノード1に接続され、ユーザ端末3は有線の方式でアクセス・スイッチング・ノード2に接続され、アクセス・スイッチング・ノード1とアクセス・スイッチング・ノード2の両方はアグリゲーション・スイッチング・ノードに接続されている。具体的な実施において、アクセス・スイッチング・ノード1は、ユーザ端末1およびユーザ端末2がキャンパスネットワークにアクセスすることを許可されているかどうか確認するために認証を実施し、アクセス・スイッチング・ノード2は、ユーザ端末3がキャンパスネットワークにアクセスすることを許可されているかどうか確認するために認証を実施する。ユーザ端末1、ユーザ端末2、またはユーザ端末3は、認証が成功した場合のみ、パケット伝送のためにネットワークにアクセスすることができる。第1の方式が使用される場合には、システム内の各アクセス・スイッチング・ノードが、各アクセス・スイッチング・ノードに接続されたユーザ端末についてアクセス認証を実施する必要がある。しかし、一般に、システム内に多くのアクセス・スイッチング・ノードがあるため、第1の方式で使用されるネットワークアーキテクチャの複雑度は比較的高い。

【0006】

第2の方式：アグリゲーション・スイッチング・ノードはユーザ端末のアクセスについて認証を実施する。図1に示すシステムアーキテクチャにおいて、アグリゲーション・スイッチング・ノードは、アクセス・スイッチング・ノードに接続されているシステム内の任意のユーザ端末について認証を実施する。認証が成功したならば、アグリゲーション・スイッチング・ノードは、アクセス・スイッチング・ノードに接続されているすべてのユーザ端末がネットワークにアクセスすることを許可する。すなわち、この方式では、アクセス・スイッチング・ノードに接続された任意のユーザ端末についてアグリゲーション・スイッチング・ノードによって実施されたアクセス認証が成功した後で、そのアクセス・スイッチング・ノードに接続された別のユーザ端末はアクセス認証を必要とせず、そのアクセス・スイッチング・ノードを使用することによってパケット伝送のためにネットワークに直接に接続される。第2の方式が使用される場合には、単一のユーザ端末についての制御を実施することができず、セキュリティが不十分である。

【0007】

結論として、ユーザ端末のアクセスを制御するための一般的な方法の実施方式は比較的複雑であり、またはセキュリティが比較的不十分である。

【発明の概要】

【課題を解決するための手段】

【0008】

本発明は、ユーザ端末について実施されるアクセス認証の実施手順が簡略化される場合においてネットワークセキュリティを向上させることができる、ユーザ端末のアクセスを制御するための方法、装置、およびシステムを提供する。

【0009】

第1の態様によれば、ユーザ端末のアクセスを制御するための方法が提供され、本方法は、コントローラにより、確立されたデータトンネルを介してアクセス・スイッチング・ノードによって送信された認証パケットを受信するステップと、コントローラにより、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得するステップと、獲得されたMACアドレスに対応するユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定するステップであって、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、ステップと、コントローラにより、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令するステップと、を含む。

【0010】

第1の態様の第1の可能な実施方式において、アクセス認証がMACアドレスに対応するユーザ端末について実施される前に、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係は、次の方式、コントローラにより、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信することであって、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得される、前記受信することと、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立することと、で決定される。

【0011】

第2の態様によれば、ユーザ端末のアクセスを制御するための方法が提供され、本方法は、媒体アクセス制御（MAC）学習機能が使用不可にされているとき、アクセス・スイッチング・ノードにより、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信するステップと、アクセス・スイッチング・ノードにより、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得するステップと、コントローラがユーザ端末の受信されたMACアドレスと受信されたインターフェース識別子との間の対応関係を維持するように、アクセス・スイッチング・ノードにより、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立された制御トンネルを介してコントローラへ送信するステップと、アクセス・スイッチング・ノードにより、制御トンネルを介してコントローラによって送信されたインターフェース識別子を受信するステップであって、インターフェース識別子は、コントローラがMACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後でユーザ端末のMACアドレスとインターフェース識別子との間の対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子である、ステップと、アクセス・スイッチング・ノードにより、受信されたインターフェース識別子に従って、インターフェースに対応するインターフェースを使用可能にするステップと、を含む。

【0012】

第2の態様の第1の可能な実施方式において、本方法は、アクセス・スイッチング・ノードにより、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されたアクセス許可を受信するステップ、をさらに含み、アクセス・スイッチング・ノードにより、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするステップは、インターフェースに接続されたユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するステップ、を含む。

【0013】

第2の態様または第2の態様の第1の可能な実施方式を参照して、第2の態様の第2の可能な実施方式において、アクセス・スイッチング・ノードにより、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得するステップは、アクセス・スイッチング・ノードにより、プログラムコードに従って処理機能を実行することができる信号プロセッサを使用することによって、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、受信された認証パケットを、アクセス・スイッチング・ノードの信号プロセッサへ伝送するステップと、信号プロセッサにより、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得するステップと、を含む。

【0014】

第3の態様によれば、ユーザ端末のアクセスを制御するための装置が提供され、本装置は、確立されたデータトンネルを介して送信された認証パケットを受信し、受信された認証パケットを獲得モジュールへ伝送するように構成された受信モジュールと、受信モジュールによって伝送された認証パケットを獲得し、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、獲得されたMACアドレスを認証モジュールへ伝送するように構成された獲得モジュールと、獲得モジュールによって伝送されたMACアドレスを受信し、MACアドレスに対応するユーザ端末についてアクセス認証を実施し、認証成功の結果を決定モジュールへ伝送するように構成された認証モジュールと、認証モジュールによって伝送された認証成功の結果を獲得し、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、インターフェース識別子を送信モジュールへ伝送する決定モジュールであって、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、決定モジュールと、決定モジュールによって伝送されたインターフェース識別子を獲得し、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令するように構成された送信モジュールと、を含む。

【0015】

第3の態様の第1の可能な実施方式において、受信モジュールは、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信し、受信されたMACアドレスおよび受信されたインターフェース識別子を確立モジュールへ伝送するようにさらに構成され、ユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信したときにアクセス・スイッチング・ノードによって獲得され、本装置は、受信モジュールによって伝送されたMACアドレスおよびインターフェース識別子を獲得し、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立するように構成された確立モジュールをさらに含む。

【0016】

第4の態様によれば、ユーザ端末のアクセスを制御するための装置が提供され、本装置は、媒体アクセス制御（MAC）学習機能が使用不可にされているとき、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信し、認証パケットを獲得モジュールへ伝送するように構成された受信モジュールと、受信モジュールによって伝送された認証パケットを受信し、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得し、インターフェース識別子およびMACアドレスを送信モジュールへ伝送するように構成された獲得モジュールと、コントローラがユーザ端末の受信されたMACアドレスと受信されたインターフェース識別子との間の対応関係を維持するように、獲得モジュールによって伝送されたインターフェース識別子およびMACアドレスを受信し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してコントローラへ送信するように構成された送信モジュールと、を含み、受信モジュールは、制御トンネルを介してコントローラによって送信されたインターフェース識別子を受信し、インターフェース識別子を制御モジュールへ伝送するようにさらに構成され、インターフェース識別子は、コントローラがMACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後でユーザ端末のMACアドレスとインターフェース識別子との間の対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子であり、本装置は、受信モジュールによって伝送されたインターフェース識別子を獲得し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするように構成された制御モジュール、を含む。

【0017】

第4の態様の第1の可能な実施方式において、受信モジュールは、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されたアクセス許可を受信し、アクセス許可を制御モジュールへ伝送するようにさらに構成され、制御モジュールは、受信モジュールによって伝送されたアクセス許可を獲得し、インターフェースに接続されたユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するように特に構成される。

【0018】

第4の態様または第4の態様の第1の可能な実施方式を参照して、第4の態様の第2の可能な実施方式において、獲得モジュールは、信号プロセッサを特に含み、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、受信モジュールによって伝送された認証パケットを獲得するように構成され、信号プロセッサは、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得する。

【0019】

第5の態様によれば、ユーザ端末のアクセスを制御するためのシステムが提供され、本システムは、アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとを含み、アクセス・スイッチング・ノードは、媒体アクセス制御（MAC）学習機能が使用不可にされているとき、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信された認証パケットを受信し、認証パケットを、データトンネルを介してアグリゲーション・スイッチング・ノードへ送信し、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信し、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子を受信し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするように構成され、アグリゲーション・スイッチング・ノードは、確立されたデータトンネルを介してアクセス・スイッチング・ノードによって送信された認証パケットを受信し、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、獲得されたMACアドレスに対応するユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定するように構成され、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子であり、アグリゲーション・スイッチング・ノードは、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信するように構成される。

【0020】

第5の態様の第1の可能な実施方式において、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係は、次の方式、アグリゲーション・スイッチング・ノードにより、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信することであって、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得される、前記受信することと、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立することと、で決定される。

【0021】

第5の態様または第5の態様の第1の可能な実施方式を参照して、第5の態様の第2の可能な実施方式において、アクセス・スイッチング・ノードは、MACアドレスに対応するユーザ端末の、制御トンネルを介してアグリゲーション・スイッチング・ノードによって送信されたアクセス許可を受信し、インターフェースに接続されたユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するようにさらに構成される。

【0022】

第5の態様、第5の態様の第1の可能な実施方式、および第5の態様の第2の可能な実施方式のいずれか1つを参照して、第5の態様の第3の可能な実施方式において、アクセス・スイッチング・ノードは、アクセス・スイッチング・ノードの信号プロセッサを使用することによって、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、信号プロセッサが認証パケットの送信元MACアドレスフィールドから認証パケットを送信するユーザ端末のMACアドレスを獲得するように、受信された認証パケットをアクセス・スイッチング・ノードの信号プロセッサへ伝送するように特に構成される。

【0023】

本発明において提供される技術的解決策においては、ユーザ端末について実施されたアクセス認証が成功した後で、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子が、ユーザ端末のMACアドレスとインターフェース識別子との間の獲得された対応関係から決定され、決定されたインターフェース識別子は、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信され、アクセス・スイッチング・ノードは、インターフェース識別子に対応するインターフェースを使用可能にするように命令される。このようにして、アクセスネットワークおよびユーザ端末のネットワークアクセス許可を集中化された方式で制御することができ、システムアーキテクチャは比較的単純であり、実施することが容易であり、ネットワークセキュリティはさらに向上させることができる。

【図面の簡単な説明】

【0024】

【図1】ユーザ端末のアクセスを制御するためのシステムのネットワークアーキテクチャの概要の図である。

【図2】本発明の実施例１によるユーザ端末のアクセスを制御するための第1のシステムの構成の概要の構造図である。

【図3a】WLANシステムアーキテクチャにおけるCAPWAPプロトコルの適用を例示する概要の図である。

【図3b】データトンネルを介して伝送されるCAPWAPデータパケットの概要の構造図である。

【図3c】データトンネルを介して伝送されるCAPWAPデータパケットのヘッダの構成の概要の構造図である。

【図3d】制御トンネルを介して伝送されるCAPWAP制御パケットの概要の構造図である。

【図3e】制御トンネルを介して伝送されるCAPWAP制御パケットのヘッダの構成の概要の構造図である。

【図4】本発明の実施例１によるユーザ端末のアクセスを制御するための第2のシステムの構成の概要の構造図である。

【図5】本発明の実施例２によるユーザ端末のアクセスを制御するための方法のフローチャートである。

【図6a】本発明の実施例３によるユーザ端末のアクセスを制御するための方法のフローチャートであり、この方法はアグリゲーション・スイッチング・ノード側に適用される。

【図6b】本発明の実施例３によるユーザ端末のアクセスを制御するための装置の構成の概要の構造図である。

【図6c】本発明の実施例３によるネットワークスイッチの概要の構造図である。

【図7a】本発明の実施例３によるユーザ端末のアクセスを制御するための方法のフローチャートであり、この方法はアクセス・スイッチング・ノード側に適用される。

【図7b】本発明の実施例３によるユーザ端末のアクセスを制御するための装置の構成の概要の構造図である。

【図7c】本発明の実施例３によるネットワークスイッチの構成の概要の構造図である。

【発明を実施するための形態】

【0025】

ユーザ端末のアクセスを制御するための方法の実施方式は比較的複雑であり、またはセキュリティが比較的不十分であるという一般的な問題について、本発明の実施例において技術的解決策が提供される。この技術的解決策において、ユーザ端末について実施されたアクセス認証が成功した後で、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子が、ユーザ端末のMACアドレスとインターフェース識別子との間の獲得された対応関係から決定され、決定されたインターフェース識別子は、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信され、アクセス・スイッチング・ノードは、インターフェース識別子に対応するインターフェースを使用可能にするように命令される。このようにして、アクセスネットワークおよびユーザ端末のネットワークアクセス許可を集中化された方式で制御することができ、システムアーキテクチャは比較的単純であり、実施することが容易であり、ネットワークセキュリティはさらに向上させることができる。

【0026】

添付の図面を参照して、以下で、本発明における技術的解決策の重要な実施原理、具体的実施方式、および利点を詳細に説明する。

【0027】

本発明の実施例で提供される技術的解決策は、コントローラを使用することによって実施することができる。コントローラは、独立したネットワークデバイスとしてネットワーク上に配置することができ、または統合されたモジュールとしてネットワーク上に配置されたアグリゲーション・スイッチング・ノードに統合することができ、それぞれ以下で詳細が説明される。

【実施例1】

【0028】

本発明の実施例１は、ユーザ端末のアクセスを制御するためのシステムを提供する。本発明の実施例１で提供される技術的解決策を実施するために、コントローラは、統合されたモジュールとしてアグリゲーション・スイッチング・ノードに統合される。図2に示すように、本システムは、少なくとも1つのアクセス・スイッチング・ノードと、少なくとも1つのアグリゲーション・スイッチング・ノードとを含み、少なくとも1つのアクセス・スイッチング・ノードの各アクセス・スイッチング・ノードは、少なくとも1つのアグリゲーション・スイッチング・ノードのうちの1つのアグリゲーション・スイッチング・ノードに接続される。少なくとも1つのアクセス・スイッチング・ノードのうちの任意のアクセス・スイッチング・ノードは、有線の方式で少なくとも1つのユーザ端末に接続される場合があり、または、どのユーザ端末にも接続されない場合があり、すなわち、ユーザ端末へ接続するために使用されるインターフェースがアイドル状態にある。

【0029】

パケット伝送トンネルが、アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立される。アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間のパケット伝送トンネルは、事前設定の独自プロトコルに従って、または標準プロトコルを拡張することによって確立することができる。例えば、標準プロトコルは、無線アクセスポイントの制御およびプロビジョニング（英語：Control And Provisioning of Wireless Access Points、略してCAPWAP）プロトコルとすることができる。本発明の本実施例において、パケット伝送トンネルがCAPWAPプロトコルを拡張することによって確立されることは、詳細な説明のための例として使用される。拡張CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは、制御パケットを伝送するための制御トンネル、およびデータパケットを伝送するためのデータトンネルを含む。

【0030】

CAPWAPプロトコルは、無線通信環境に適用される標準プロトコルである。無線通信環境では、CAPWAPプロトコルは、アクセス制御（英語：access control、略してAC）ノードと無線アクセスポイント（英語：access point、略してAP）との間の相互動作のシナリオに適用される。図3aに示すように、CAPWAPプロトコルに基づく無線通信環境は、無線AP、ネットワークスイッチ、AC、およびユーザ端末を含む。無線APは無線の方式で少なくとも1つのユーザ端末に接続される。無線の方式でパケットを伝送するためのパケット伝送トンネルは、CAPWAPプロトコルに基づいて無線APとACとの間で確立される。CAPWAPプロトコルを使用することによって無線APとACとの間で確立された制御トンネルは、ACと無線APとの間で制御パケットを交換するために使用され、CAPWAPプロトコルを使用することによって無線APとACとの間で確立されたデータトンネルは、ユーザ端末によって送信されたデータパケットを搬送するために使用される。データトンネルを介して伝送されるデータパケットおよび制御トンネルを介して伝送される制御パケットは、暗号化されていない方式で伝送することができる。データグラムトランスポート層セキュリティ（英語：Datagram Transport Layer Security、略してDTLS）プロトコルは、データトンネルを介して伝送されるデータパケットのセキュリティ、および制御トンネルを介して伝送される制御パケットのそれを向上させるために、暗号化に使用することもできる。本発明の実施例１において、DTLSプロトコルが、データトンネルを介して伝送されるデータパケットおよび制御トンネルを介して伝送される制御パケットを暗号化するために使用されることは、データパケットの構造的な構成および制御パケットのそれをさらに説明するための例として使用される。

【0031】

CAPWAPプロトコルを使用することによって確立されたデータトンネルを介して伝送されるデータパケットの構成の概要の構造図が図3bに示されている。データトンネルを介して伝送されるデータパケットの構造的な構成において、データパケットは、IPアドレスヘッダ（図に示すIP Hdr）、ユーザ・データグラム・プロトコル（英語：User Datagram Protocol、略してUDP）ヘッダ（図に示すUDP Hdr）、DTLSヘッダ（図に示すDTLS Hdr）、CAPWAPパケットヘッダ（図に示すCAPWAP Hdr）、および無線ペイロード（英語：wireless payload）を含み、wireless payloadはデータを搬送するために使用される。具体的には、図3cに示すCAPWAP Hdrの構造的な構成において、CAPWAP Hdrはフィールド識別子、フィールドオフセット、任意選択の無線MACアドレスフィールド、または他の任意選択の無線情報を含む。

【0032】

図3dは、制御トンネルを介して伝送されるCAPWAP制御パケットの構成の概要の構造図である。制御トンネルを介して伝送されるCAPWAP制御パケットの構造において、CAPWAP制御パケットは、IPアドレスヘッダ（図に示すIP Hdr）、UDPヘッダ（図に示すUDP Hdr）、DTLSヘッダ（図に示すDTLS Hdr）、CAPWAPパケットヘッダ（図に示すCAPWAP Hdr）、制御パケットの機能を搬送するために使用される制御ヘッダ（英語：Control Header）フィールド、および制御パケットのコンテンツを搬送するために使用されるメッセージ要素（英語：Message Element）フィールドを含む。制御パケットのコンテンツを制御情報と呼ぶことができる。CAPWAP制御パケットの制御ヘッダの構造的な構成が図3eに示されている。message elementフィールドで搬送される制御情報は、異なるタイプのタイプ・長さ・値（英語：type-length-value、略してTLV）とすることができ、Tは制御情報のタイプであり、Lは制御情報の長さであり、Vは制御情報の値である。実際の実施において、TLVにおける制御情報の値は拡張することができ、すなわち、TLVには、複数の拡張TLVが制御情報の値Vにさらに含められることができ、これらの拡張TLVをレベル-2 TLVと呼ぶことができる。具体的には、message elementフィールドにおいて、TLVにおけるTの値が37であるならば、そのTLVは制御情報についてコンテンツ拡張を行うために使用される。本発明の実施例１で提供される技術的解決策においては、Tの値が37であるメッセージ要素にレベル-2 TLVを付加する方式が、制御メッセージについてコンテンツ拡張を行うために使用される。具体的には、Tの値が37であるメッセージ要素を37番のメッセージ要素と呼ぶことができ、37番のメッセージ要素の標準フォーマットが表1に示されている。

【0033】

【表1】

【0034】

表1において、ベンダ識別子フィールドの値は異なるデバイス製造者については同じではない。例えば、本発明の本実施例で提供される技術的解決策における詳細な説明のための例として値2011が使用され、この例が以下の説明において依然として使用される。

【0035】

37番のメッセージ要素の標準フォーマットは拡張され、メッセージ要素の拡張フォーマットが表2に示されている。

【0036】

【表2】

【0037】

標準CAPWAPプロトコルが、アクセス・スイッチング・ノードとアグリゲーション・スイッチング・ノードとの間でパケット伝送トンネルを確立するために拡張されることは、本発明の本実施例で提供される技術的解決策を詳細に説明するための例として使用される。拡張CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは、制御情報を伝送するための制御トンネル、およびデータ情報を伝送するためのデータトンネルを含む。図2に示すシステムアーキテクチャにおいては、伝送トンネルが、拡張CAPWAPプロトコルに基づいてアグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立される。アクセス・スイッチング・ノードが少なくとも1つのユーザ端末に接続されることは、詳細な説明のための例として使用される。アクセス・スイッチング・ノードはすべてのインターフェースのデータ転送を制御する。

【0038】

ユーザ端末がアクセス・スイッチング・ノード上のインターフェースに接続された後で、アクセス・スイッチング・ノードは、ユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、ユーザ端末によって送信された受信されたパケットからユーザ端末の媒体アクセス制御（英語：media access control、略してMAC）アドレスを獲得し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。アクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、事前設定することができ、または、アクセス・スイッチング・ノードのデバイス識別情報とインターフェースの通し番号（英語：sequence number）の組み合わせ形式とすることができる。例えば、アクセス・スイッチング・ノードのデバイス識別情報がIDであり、アクセス・スイッチング・ノードが全部で1から8まで番号が付いた8つのインターフェースを含むならば、アクセス・スイッチング・ノード上の8つのインターフェースのインターフェース識別子はID1、ID2、…、およびID8として表現することができる。アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信されたパケットを受信し、アクセス・スイッチング・ノードの信号プロセッサを使用することによって、パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、ユーザ端末のMACアドレスを獲得するために、信号プロセッサを使用することによって、受信されたパケットの送信元MACアドレスフィールドを抽出し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルに含まれる制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。

【0039】

アクセス・スイッチング・ノードの信号プロセッサは、中央処理ユニット（英語：central processing unit、略してCPU）、CPUとハードウェアチップの組み合わせ、ネットワークプロセッサ（英語：network processor、略してNP）、CPUとNPの組み合わせ、またはNPとハードウェアチップの組み合わせとすることができる。

【0040】

アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信し、ユーザ端末のMACアドレスおよびインターフェース識別子は、パケット伝送トンネルを介してアクセス・スイッチング・ノードによって送信され、アグリゲーション・スイッチング・ノードは、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を維持する。アグリゲーション・スイッチング・ノードによって維持されるユーザ端末のMACアドレスとインターフェース識別子との間の対応関係はバッファリング方式で記憶することができる。対応関係はある期間内記憶され、ユーザ端末について実施されるアクセス認証が完了した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係は削除することができる。

【0041】

アクセス・スイッチング・ノードはMAC学習（英語：MAC learning）機能を有する。MAC learningは、ネットワークスイッチが、ネットワーク上の別のデバイスのMACアドレスを学習して、宛先アドレスが当該MACアドレスであるパケットが送信されたインターフェースを識別することを可能にする。しかし、アグリゲーション・スイッチング・ノードがユーザ端末のアクセスについて制御を実施するときに、アクセス・スイッチング・ノードのMAC学習機能が使用不可にされていないならば、ユーザ端末は、認証されることなく、アクセス・スイッチング・ノードを使用することによってネットワークにアクセスすることができる。この場合には、ユーザ端末のアクセスを制御することができない。結果として、アグリゲーション・スイッチング・ノードがユーザ端末のアクセスを制御するシナリオにおいては、アクセス・スイッチング・ノードのMAC学習機能は使用不可にされる。MAC学習機能が使用不可にされる場合には、ユーザ端末はネットワークに直接にアクセスすることができず、アクセス・スイッチング・ノードは、ユーザ端末のMACアドレスに従って、ユーザ端末に接続されたインターフェースのインターフェース識別子を見つけることができない。したがって、本発明の本実施例では、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係がアグリゲーション・スイッチング・ノードによって維持される。ユーザ端末のアクセスについて制御を実施するプロセスの間に、アクセス・スイッチング・ノードは、MAC learning方式で、ユーザ端末のMACアドレスまたはユーザ端末に接続されたインターフェースのインターフェース識別子を獲得することができないが、アクセス・スイッチング・ノードは、CPUまたはNPのようなアクセス・スイッチング・ノードの信号プロセッサを使用することによって、ソフトウェア方式で、パケットを受信するインターフェースのインターフェース識別子を決定し、ユーザ端末によって送信されたパケットからユーザ端末のMACアドレスを学習することに成功し、ユーザ端末の学習されたMACアドレスを使用することによってユーザ端末のアクセスについて制御をさらに実施することができる。

【0042】

アクセス・スイッチング・ノードは、有線の方式でアクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信されたパケットを受信し、パケット伝送トンネルを確立するためのプロトコルに基づいてパケットをカプセル化し、次いで、カプセル化されたパケットを確立されたパケット伝送トンネルに基づいてアグリゲーション・スイッチング・ノードへ転送する。例えば、アクセス・スイッチング・ノードは、CAPWAPプロトコルに基づいて、ユーザ端末によって送信された受信されたパケットをカプセル化し、次いで、カプセル化されたパケットをアグリゲーション・スイッチング・ノードへ送信する。

【0043】

アグリゲーション・スイッチング・ノードは、ユーザ端末によって送信され、アクセス・スイッチング・ノードによって転送されるパケットを受信し、受信されたパケットをカプセル除去し、カプセル除去されたパケットに従って、パケットを送信するユーザ端末についてアクセス認証を実施する。例えば、アグリゲーション・スイッチング・ノードが、CAPWAPプロトコルに基づいてカプセル化され、CAPWAPプロトコルに基づいて確立されたパケット伝送トンネルを介して伝送されるパケットを受信したときには、アグリゲーション・スイッチング・ノードも、CAPWAPプロトコルに基づいて受信されたパケットをカプセル除去し、カプセル除去されたパケットに従って、パケットを送信するユーザ端末について認証を実施する。ユーザ端末についてアクセス認証の実施に成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、決定されたインターフェース識別子をアクセス・スイッチング・ノードへ送信する。

【0044】

任意選択で、ユーザ端末についてアクセス認証の実施に成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のアクセス許可をさらに決定し、ユーザ端末の決定されたアクセス許可を、決定されたインターフェース識別子と共にアクセス・スイッチング・ノードへ送信することができる。アクセス許可は、以下のアクセス許可のうちの1つまたは複数とすることができる。
第1のアクセス許可。これは仮想ローカル・エリア・ネットワーク（英語：virtual local area network、略してVLAN）にアクセスするためのユーザ端末の許可であり、例えば、ネットワークが複数のVLANを有するならば、この許可は、ユーザ端末がすべてのVLANにアクセスすることができるかどうか、または、ユーザ端末によって具体的にアクセスすることができるVLANを指し示す。
第2のアクセス許可。これはユーザ端末のアクセス制御リスト（英語：access control list、略してACL）を決定することである。

【0045】

アクセス・スイッチング・ノードは、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子を受信し、受信されたインターフェース識別子に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースを決定し、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施する。例えば、前述のステップは、アクセス・スイッチング・ノードが、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子に従って、受信されたインターフェース識別子に対応するインターフェースを使用可能にすることができ、インターフェースに接続されているユーザ端末にネットワークへアクセスすることを許可することを含み得る。

【0046】

任意選択で、アクセス・スイッチング・ノードは、受信されたインターフェース識別子に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースを決定し、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施し、または、インターフェースに接続されているユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更することができる。

【0047】

ユーザ端末によって送信されるパケットは、米国電気電子技術者協会（英語：Institute of Electrical and Electronics Engineers、略してIEEE）802.1xパケット、または、アドレス解決プロトコル（英語：Address Resolution Protocol、略してARP）パケットまたは動的ホスト設定プロトコル（英語：Dynamic Host Configuration Protocol、略してDHCP）パケットのような別のタイプのパケットとすることができる。以下は、本発明の実施例１で提供される技術的解決策を詳細に説明するための例としてIEEE 802.1xパケットを使用する。

【0048】

ユーザ端末についてのアクセス認証が、ユーザ端末によって送信されたIEEE 802.1xパケットに基づいて実施される。

【0049】

第1に、制御トンネルおよびデータトンネルを含むパケット伝送トンネルが、拡張CAPWAPプロトコルに基づいて、アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立される。

【0050】

CAPWAPプロトコルに基づいて、アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立されるパケット伝送トンネルは、制御トンネルおよびデータトンネルを含む。アクセス・スイッチング・ノードは、確立された制御トンネルを介してアグリゲーション・スイッチング・ノードへ、アクセス・スイッチング・ノードの属性情報を送信する。アクセス・スイッチング・ノードの属性情報は、アクセス・スイッチング・ノードの識別子、例えば、アクセス・スイッチング・ノードのMACアドレスを含み、これはSwitch MACと表現することができる。アクセス・スイッチング・ノードの属性情報は、アクセス・スイッチング・ノードのファームウェアのバージョン情報をさらに含むことができ、これはTYPE_SWITCH_VERSIONと表現することができる。この属性情報は、CAPWAP制御パケット内のメッセージ要素の中の37番のメッセージ要素を拡張することによって実施することができる。拡張された37番のメッセージ要素は、制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信される。制御トンネルを介して伝送される制御パケット内のmessage elementフィールドは制御情報を搬送するために使用され、message elementは異なるタイプのTLVとすることができる。message elementフィールドにおいて、TLVにおけるTの値が37であるならば、そのTLVは、制御情報についてコンテンツ拡張を行うために使用される。本発明の実施例１で提供される技術的解決策において、Tの値が37であるメッセージ要素にレベル-2 TLVを付加する方式が、制御メッセージについてコンテンツ拡張を行うために使用される。具体的には、Tの値が37であるメッセージ要素は37番のメッセージ要素と呼ぶことができ、37番のメッセージ要素の標準フォーマットは前述の表1に示されている。

【0051】

第2に、パケット伝送トンネルがCAPWAPプロトコルに基づいてアグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で確立された後で、アグリゲーション・スイッチング・ノードは、CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルと、Switch MACのようなアクセス・スイッチング・ノードの識別子との間の対応関係を維持する。

【0052】

例えば、アクセス・スイッチング・ノードの識別子はSwitch 23であると仮定すると、アグリゲーション・スイッチング・ノードと、識別子がSwitch 23であるアクセス・スイッチング・ノードとの間でパケット伝送トンネル1が確立された後で、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の対応関係を維持することができる。このようにして、識別子がSwitch 23であるアクセス・スイッチング・ノードが、続いて、確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへパケットを送信するときに、および、アグリゲーション・スイッチング・ノードがパケットを処理し、またはパケットに応答するときに、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の維持された対応関係から、パケット伝送チャネルを介してパケットを送信するデバイス、および応答情報がアクセス・スイッチング・ノードへ伝送されるパケット伝送チャネルを決定することができる。具体的には、アクセス・スイッチング・ノードの拡張CAPWAP制御パケット内の37番のメッセージ要素に含まれるコンテンツは表3に示すことができる。

【0053】

【表3】

【0054】

CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルについて、アグリゲーション・スイッチング・ノードは各アクセス・スイッチング・ノードを認証する方式をIEEE 802.1xを基にした認証に設定する。例示的に、アグリゲーション・スイッチング・ノードは、各アクセス・スイッチング・ノード上のインターフェースを認証する方式をIEEE 802.1xを基にした認証にさらに設定することができる。

【0055】

ユーザ端末とアクセス・スイッチング・ノード上のインターフェースとの間で接続が確立されるとき、アクセス・スイッチング・ノードは、ユーザ端末によって送信された802.1xパケットを受信し、802.1xパケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、ユーザ端末によって送信された受信された802.1xパケットからユーザ端末のMACアドレスを獲得する。アクセス・スイッチング・ノードは、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、CAPWAPプロトコルに基づいて確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは制御トンネルおよびデータトンネルを含み、制御トンネルはCAPWAP制御パケットを伝送するために使用することができ、データトンネルはCAPWAPデータパケットを伝送するために使用することができる。したがって、アクセス・スイッチング・ノードは、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。

【0056】

具体的には、アクセス・スイッチング・ノードは、拡張レベル-2 TLVに基づき、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子をアグリゲーション・スイッチング・ノードへ送信することができ、拡張レベル-2 TLVは表4に示されている。表4に示されているUSER_MACはユーザ端末のMACアドレスであり、interface indexはインターフェース識別子である。

【0057】

【表4】

【0058】

アクセス・スイッチング・ノードは、アクセス・スイッチング・ノードのインターフェース上で、ユーザ端末によって送信されたIEEE 802.1xパケットを取り込み、取り込まれたIEEE 802.1xパケットを、CAPWAPプロトコルに基づいて確立されたパケット伝送チャネルを介してアグリゲーション・スイッチング・ノードへ送信する。CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは制御トンネルおよびデータトンネルを含み、制御トンネルはCAPWAP制御パケットを伝送するために使用することができ、データトンネルはCAPWAPデータパケットを伝送するために使用することができる。CAPWAPプロトコルに基づいて、取り込まれたIEEE 802.1xパケットをカプセル化した後で、アクセス・スイッチング・ノードはカプセル化されたIEEE 802.1xパケットを、データトンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。

【0059】

アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスおよびインターフェース識別子を受信し、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を維持する。

【0060】

本発明の実施例１で提供される技術的解決策において、ユーザ端末のMACアドレス、および、アクセス・スイッチング・ノードのMACアドレスおよびインターフェース番号であるインターフェース識別子は、詳細な説明のための例として使用されること。図2に示すユーザ端末1およびアクセス・スイッチング・ノード1は詳細な説明のための例として使用される。ユーザ端末1の識別子はUE MAC1であり、アクセス・スイッチング・ノード1の識別子はAP MAC1であり、アクセス・スイッチング・ノード1は、1から8まで番号が付いた合計8つのアクセスインターフェースを提供すると仮定する。ユーザ端末1が第2のインターフェースに接続されるならば、インターフェースのインターフェース識別子はAP MAC1-2である。ユーザ端末1がアクセス・スイッチング・ノード1に接続されるときに、ユーザ端末1はパケットを送信し、アクセス・スイッチング・ノードは、ユーザ端末1に接続されたインターフェースのインターフェース識別子AP MAC1-2を獲得する。アクセス・スイッチング・ノード1はユーザ端末1によって送信されたパケットを取り込み、アクセス・スイッチング・ノード1の信号プロセッサを使用して取り込まれたパケットを解析して、パケット内のユーザ端末1の識別子UE MAC1を獲得し、獲得されたUE MAC1およびAP MAC1-2を、CAPWAP制御パケット内の37番のメッセージ要素を拡張することによって制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。例えば、アグリゲーション・スイッチング・ノードによって受信される端末の識別子およびインターフェース識別子が、それぞれ、UE MAC1およびAP MAC1-2であることは、詳細な説明のための例として使用される。アグリゲーション・スイッチング・ノードは、アクセス・スイッチング・ノードによって送信されるUE MAC1およびAP MAC1-2を受信し、UE MAC1とAP MAC1-2との間の対応関係を確立し、バッファする。

【0061】

アクセス・スイッチング・ノードは、ユーザ端末によって送信されたIEEE 802.1xパケットを受信し、CAPWAPプロトコルに基づいて受信されたIEEE 802.1xパケットをカプセル化し、次いで、カプセル化されたパケットを、データトンネルを介してアグリゲーション・スイッチング・ノードへ送信する。

【0062】

アグリゲーション・スイッチング・ノードは、CAPWAPプロトコルに基づいてカプセル化されたIEEE 802.1xパケットを受信し、CAPWAPプロトコルに基づいてカプセル化されている受信されたIEEE 802.1xパケットをカプセル除去し、カプセル除去されたIEEE802.1xパケットに従ってアクセス認証を実施する。

【0063】

任意選択で、アグリゲーション・スイッチング・ノードは、ユーザ端末の許可情報をさらに制限することができる。認証が成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のアクセス許可を決定する。

【0064】

アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、決定されたインターフェース識別子をアクセス・スイッチング・ノードへ送信する。

【0065】

任意選択で、アグリゲーション・スイッチング・ノードは、ユーザ端末の決定されたアクセス許可を、決定されたインターフェース識別子と共にアクセス・スイッチング・ノードへさらに送信することができる。

【0066】

ユーザ端末のMACアドレス、インターフェース識別子、およびユーザ端末のアクセス許可のような情報は、拡張レベル-2 TLVを使用することによってアグリゲーション・スイッチング・ノードによってアクセス・スイッチング・ノードへ送信され得る。拡張レベル-2 TLVは表5に示すことができる。表5のレベル-2 TLVのコンテンツ3フィールドについては、USER VLANがユーザ端末によってアクセスすることができるVLANを指し示すために使用され、レベル-2 TLVのコンテンツ4フィールドについては、ruleフィールドがユーザ端末のアクセス許可を指し示すために使用される。

【0067】

【表5】

【0068】

アクセス・スイッチング・ノードは、認証成功メッセージで搬送されたインターフェース識別子に従ってアクセス・スイッチング・ノード上の対応するインターフェースを決定し、インターフェースを使用可能にし、ユーザ端末がネットワークにアクセスすることを許可する。

【0069】

任意選択で、アクセス・スイッチング・ノードは、アグリゲーション・スイッチング・ノードによって送付された受信されたアクセス許可に従って、インターフェース識別子に対応するインターフェースをさらに制御して、ユーザ端末のアクセス許可について制御を実施することができる。

【0070】

本発明の本実施例で提供される前述の技術的解決策においては、パケット転送機能を有するアグリゲーション・スイッチング・ノードは詳細な説明のための例として使用される。具体的な実施において、システム内に独立して配置されたコントローラは、ユーザ端末のアクセスを制御するための技術的解決策を実施するためにさらに使用することができる。図4に示すシステムアーキテクチャは、独立して配置されている少なくとも1つのコントローラ（英語：controller）、少なくとも1つのアクセス・スイッチング・ノード、および少なくとも1つのパケット転送デバイスを含む。パケット転送デバイスはアグリゲーション・スイッチング・ノードとすることができる。コントローラは、アグリゲーション・スイッチング・ノードに直接に接続することができ、または配置されるルータを使用することによってアグリゲーション・スイッチング・ノードに接続することができる。少なくとも1つのアクセス・スイッチング・ノードの各アクセス・スイッチング・ノードは、少なくとも1つのアグリゲーション・スイッチング・ノードのうちの1つのアグリゲーション・スイッチング・ノードに接続される。少なくとも1つのアクセス・スイッチング・ノードのうちの任意のアクセス・スイッチング・ノードは、有線の方式で少なくとも1つのユーザ端末に接続される場合があり、またはどのユーザ端末にも接続されない場合があり、すなわち、ユーザ端末に接続するために使用されるインターフェースはアイドル状態にある。

【0071】

パケット伝送トンネルが、コントローラとアクセス・スイッチング・ノードとの間で確立される。コントローラとアクセス・スイッチング・ノードとの間のパケット伝送トンネルは、事前設定の独自プロトコルに従って、または標準プロトコルを拡張することによって確立することができる。標準プロトコルはCAPWAPプロトコルとすることができる。本発明の本実施例において、パケット伝送トンネルがCAPWAPプロトコルを拡張することによって確立されることは、詳細な説明のための例として使用される。拡張CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは、制御情報を伝送するための制御トンネル、およびデータ情報を伝送するためのデータトンネルを含む。

【0072】

パケット伝送トンネルがCAPWAPプロトコルに基づいて確立された後で、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースに接続され、パケットを送信するときに、アクセス・スイッチング・ノードは、パケットを受信するインターフェースのインターフェース識別子、すなわち、パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信されたパケットからユーザ端末のMACアドレスを獲得し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルを介してコントローラへ送信する。アクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、事前設定することができ、またはアクセス・スイッチング・ノードのデバイス識別情報とインターフェースの通し番号の組み合わせ形式とすることができる。

【0073】

アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信されたパケットを受信し、アクセス・スイッチング・ノードの信号プロセッサを使用することによって、パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、ユーザ端末のMACアドレスを獲得するために、信号プロセッサを使用することによって、受信されたパケットの送信元MACアドレスフィールドを抽出し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルに含まれる制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。

【0074】

アクセス・スイッチング・ノードの信号プロセッサは、CPU、CPUとハードウェアチップの組み合わせ、NP、CPUとNPの組み合わせ、またはNPとハードウェアチップの組み合わせとすることができる。

【0075】

コントローラは、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信し、ユーザ端末のMACアドレスおよびインターフェース識別子は、パケット伝送トンネルを介してアクセス・スイッチング・ノードによって送信され、コントローラは、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を維持する。コントローラによって維持されるユーザ端末のMACアドレスとインターフェース識別子との間の対応関係はバッファリング方式で記憶することができる。対応関係はある期間内記憶され、ユーザ端末について実施されるアクセス認証が完了した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係は削除することができる。

【0076】

アクセス・スイッチング・ノードは、有線の方式でアクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信されたパケットを受信し、パケット伝送トンネルを確立するために使用されるプロトコルに基づいてパケットをカプセル化し、次いで、確立されたパケット伝送トンネルを介してコントローラへカプセル化されたパケットを転送する。アクセス・スイッチング・ノードは、CAPWAPプロトコルに基づいて、ユーザ端末によって送信される受信されたパケットをカプセル化し、次いで、カプセル化されたパケットをコントローラへ送信する。

【0077】

コントローラは、ユーザ端末によって送信され、アクセス・スイッチング・ノードによって転送されるパケットを受信し、受信されたパケットをカプセル除去し、カプセル除去されたパケットに従って、パケットを送信するユーザ端末についてアクセス認証を実施する。例えば、コントローラが、CAPWAPプロトコルに基づいてカプセル化され、CAPWAPプロトコルに基づいて確立されたパケット伝送トンネルを介して伝送されるパケットを受信したときには、コントローラも、CAPWAPプロトコルに基づいて受信されたパケットをカプセル除去し、カプセル除去されたパケットに従って、パケットを送信するユーザ端末について認証を実施する。ユーザ端末についてアクセス認証の実施に成功した後で、コントローラは、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、決定されたインターフェース識別子をアクセス・スイッチング・ノードへ送信する。

【0078】

任意選択で、ユーザ端末についてアクセス認証の実施に成功した後で、コントローラは、ユーザ端末のアクセス許可をさらに決定し、ユーザ端末の決定されたアクセス許可を、決定されたインターフェース識別子と共にアクセス・スイッチング・ノードへ送信することができる。アクセス許可は、以下のアクセス許可のうちの1つまたは複数とすることができる。
第1のアクセス許可。これはVLANにアクセスするためのユーザ端末の許可であり、例えば、ネットワークが複数のVLANを有するならば、この許可は、ユーザ端末がすべてのVLANにアクセスすることができるかどうか、または、ユーザ端末によって具体的にアクセスすることができるVLANを指し示す。
第2のアクセス許可。これはユーザ端末のACLを決定することである。

【0079】

コントローラによって送信されたインターフェース識別子を受信するとき、アクセス・スイッチング・ノードは、受信されたインターフェース識別子に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースを決定し、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施する。

【0080】

例えば、前述のステップは、アクセス・スイッチング・ノードが、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子に従って、受信されたインターフェース識別子に対応するインターフェースを使用可能にすることができ、インターフェースに接続されているユーザ端末がネットワークにアクセスすることを許可することを含み得る。

【0081】

任意選択で、アクセス・スイッチング・ノードは、受信されたインターフェース識別子に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースをさらに決定し、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施することができ、または、インターフェースに接続されているユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更することができる。

【0082】

ユーザ端末によって送信されるパケットは、IEEE 802.1xパケット、または、ARPパケットまたはDHCPパケットのような別のタイプのパケットとすることができる。

【実施例2】

【0083】

図2に示すシステムアーキテクチャに基づき、本発明の実施例２はユーザ端末のアクセスを制御するための方法を提供する。図5に示すように、本方法の具体的な処理手順は以下のとおりである。

【0084】

ステップ51：アクセス・スイッチング・ノードとアグリゲーション・スイッチング・ノードとの間でパケット伝送トンネルを確立する。

【0085】

アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間のパケット伝送トンネルは、事前設定の独自プロトコルに従って、または標準プロトコルを拡張することによって確立することができる。例えば、標準プロトコルはCAPWAPプロトコルとすることができる。本発明の実施例２においては、パケット伝送トンネルがCAPWAPプロトコルを拡張することによって確立されることは、詳細な説明のための例として使用される。拡張CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは、制御情報を伝送するための制御トンネル、およびデータ情報を伝送するためのデータトンネルを含む。

【0086】

ステップ52：アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末のMACアドレス、およびユーザ端末に接続されたインターフェースのインターフェース識別子を獲得する。

【0087】

ユーザ端末は有線の方式でアクセス・スイッチング・ノード上のインターフェースに接続され、パケットを送信する。

【0088】

ユーザ端末がアクセス・スイッチング・ノード上のインターフェースに接続され、パケットを送信するときに、アクセス・スイッチング・ノードは、ユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、ユーザ端末によって送信されたパケットを取り込み、取り込まれたパケットからユーザ端末のMACアドレスを獲得し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。アクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、事前設定することができ、またはアクセス・スイッチング・ノードのデバイス識別情報とインターフェースの通し番号の組み合わせ形式とすることができる。アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信されたパケットを受信し、アクセス・スイッチング・ノードの信号プロセッサを使用することによって、パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、ユーザ端末のMACアドレスを獲得するために、信号プロセッサを使用することによって、受信されたパケットの送信元MACアドレスフィールドを抽出し、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立されたパケット伝送トンネルに含まれる制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。

【0089】

【0090】

ユーザ端末によって送信され、アクセス・スイッチング・ノードによって取り込まれるパケットは、IEEE 802.1xパケット、ARPパケット、またはDHCPパケットを含むことができる。

【0091】

ステップ53：アクセス・スイッチング・ノードは、獲得されたインターフェース識別子およびユーザ端末の獲得されたMACアドレスを、確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。

【0092】

CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは制御トンネルおよびデータトンネルを含み、制御トンネルは制御パケットを伝送するために使用することができ、データトンネルはデータパケットを伝送するために使用することができる。したがって、アクセス・スイッチング・ノードは、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。アクセス・スイッチング・ノードは、拡張レベル-2 TLVに基づき、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、アグリゲーション・スイッチング・ノードへ送信することができる。拡張レベル-2 TLVは前述の表4に記載されている。

【0093】

ステップ54：アグリゲーション・スイッチング・ノードは、アクセス・スイッチング・ノードによって送信されるユーザ端末のMACアドレスおよびインターフェース識別子を受信し、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を維持する。

【0094】

アグリゲーション・スイッチング・ノードによって維持されるユーザ端末のMACアドレスとインターフェース識別子との間の対応関係はバッファリング方式で記憶することができる。対応関係はある期間内記憶され、ユーザ端末について実施されるアクセス認証が完了した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係は削除することができる。

【0095】

ステップ55：アクセス・スイッチング・ノードは、アクセス・スイッチング・ノードのインターフェース上で、ユーザ端末によって送信されたパケットを取り込み、取り込まれたパケットを、CAPWAPプロトコルに基づいて確立されたパケット伝送チャネルを介してアグリゲーション・スイッチング・ノードへ送信する。

【0096】

CAPWAPプロトコルに基づいて確立されるパケット伝送トンネルは制御トンネルおよびデータトンネルを含み、制御トンネルは制御パケットを伝送するために使用することができ、データトンネルはデータパケットを伝送するために使用することができる。アクセス・スイッチング・ノードは、CAPWAPプロトコルに基づいて取り込まれたパケットをカプセル化し、次いで、カプセル化されたパケットを、データトンネルを介してアグリゲーション・スイッチング・ノードへ送信することができる。

【0097】

ステップ56：アグリゲーション・スイッチング・ノードは、パケット伝送トンネルを介して送信されるパケットを受信し、受信されたパケットをカプセル除去し、ユーザ端末のMACアドレスを獲得し、ユーザ端末についてアクセス認証を実施する。

【0098】

アグリゲーション・スイッチング・ノードは、CAPWAPプロトコルに基づいてカプセル化されたパケットを受信し、CAPWAPプロトコルに基づいてカプセル化されている受信されたパケットをカプセル除去し、カプセル除去されたパケットに従ってアクセス認証を実施する。

【0099】

ユーザ端末についてアクセス認証を実施する具体的な方式は、一般のアクセス認証のそれと同じであり、本発明の本実施例では詳細は再度説明されない。

【0100】

ステップ57：認証が成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、決定されたインターフェース識別子をユーザ端末へ送信する。

【0101】

任意選択で、ユーザ端末についてアクセス認証の実施に成功した後で、アグリゲーション・スイッチング・ノードは、ユーザ端末のアクセス許可をさらに決定し、ユーザ端末の決定されたアクセス許可を、決定されたインターフェース識別子と共にアクセス・スイッチング・ノードへ送信することができる。

【0102】

アグリゲーション・スイッチング・ノードによってアクセス・スイッチング・ノードへ送信される認証成功メッセージは、ユーザ端末のMACアドレス、インターフェース識別子、およびユーザ端末のアクセス許可のような情報を含むことができ、この情報は、拡張レベル-2 TLVを使用することによってアクセス・スイッチング・ノードへ送信することができる。拡張レベル-2 TLVは前述の表5に記載することができる。

【0103】

ステップ58：アクセス・スイッチング・ノードは、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子を受信し、インターフェース識別子に対応するインターフェースを使用可能にし、決定されたインターフェースを制御することによってユーザ端末のアクセスについて制御を実施する。

【0104】

例えば、アクセス・スイッチング・ノードは、アグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子に従って、受信されたインターフェース識別子に対応するインターフェースを使用可能にし、インターフェースに接続されているユーザ端末がパケット伝送のためにネットワークにアクセスすることを許可することができる。

【0105】

任意選択で、アクセス・スイッチング・ノードは、ユーザ端末に対応する、アグリゲーション・スイッチング・ノードによって送信されるアクセス許可をさらに受信し、ユーザ端末に接続されたインターフェースを制御することによって、ユーザ端末を、受信されたアクセス許可に従ってネットワークにアクセスするように制御することができる。

【0106】

【0107】

図5に示すユーザ端末のアクセスを制御するための方法のフローチャートおよび本発明の実施例２で提供されるユーザ端末のアクセスを制御するための前述の方法は、本発明の本実施例において説明される単なる好ましい実施方式である。具体的な実施において、前述の方法手順に従って代替の処理が行われることができる。

【実施例3】

【0108】

それに対応して、図2に示すシステムアーキテクチャに基づき、アグリゲーション・スイッチング・ノードについて、本発明の実施例は、ユーザ端末のアクセスを制御するための方法を提供する。図6aに示すように、本方法の具体的な処理手順は以下のとおりである。

【0109】

ステップ61：アグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間で、制御トンネルおよびデータトンネルを含むパケット伝送トンネルを確立する。

【0110】

アグリゲーション・スイッチング・ノードは、独自プロトコルに基づき、または標準プロトコルの拡張に基づき、アクセス・スイッチング・ノードとパケット伝送トンネルを確立することができる。本発明の実施例３においては、パケット伝送トンネルは、CAPWAPプロトコルの拡張に基づいて、コントローラとアクセス・スイッチング・ノードとの間で確立される。

【0111】

CAPWAPプロトコルに基づいてパケット伝送トンネルを確立するプロセスについては、実施例１の詳細な説明を参照されたく、本発明の実施例３では詳細は再度説明されない。

【0112】

CAPWAPプロトコルに基づいてアグリゲーション・スイッチング・ノードとアクセス・スイッチング・ノードとの間でパケット伝送トンネルを確立するプロセスの間、アグリゲーション・スイッチング・ノードは、確立されたパケット伝送トンネルとアクセス・スイッチング・ノードとの間の対応関係を維持する。例えば、アクセス・スイッチング・ノードの識別子はSwitch 23であると仮定すると、アグリゲーション・スイッチング・ノードと、識別子がSwitch 23であるアクセス・スイッチング・ノードとの間でパケット伝送トンネル1が確立された後で、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の対応関係を維持することができる。このようにして、続いて、識別子がSwitch 23であるアクセス・スイッチング・ノードが確立されたパケット伝送トンネルを介してアグリゲーション・スイッチング・ノードへパケットを送信するときに、および、アグリゲーション・スイッチング・ノードがパケットを処理し、またはパケットに応答するときに、アグリゲーション・スイッチング・ノードは、パケット伝送トンネル1とSwitch 23との間の維持された対応関係から、パケットを送信するデバイス、パケットが送信されるパケット伝送チャネル、パケットが伝送されることになるアクセス・スイッチング・ノード、および応答情報が伝送されることになるパケット伝送チャネルを決定することができる。

【0113】

ステップ62：アグリゲーション・スイッチング・ノードは、確立されたデータトンネルを介してアクセス・スイッチング・ノードによって送信された認証パケットを受信する。

【0114】

アクセス・スイッチング・ノードによって送信されるパケットは、アクセス・スイッチング・ノード上のインターフェースに接続されたユーザ端末によって送信され、アクセス・スイッチング・ノードによってインターフェース上で取り込まれるパケットである。取り込まれたパケットは、CAPWAPプロトコルに基づいてカプセル化された後で、アグリゲーション・スイッチング・ノードへ送信される。アクセス・スイッチング・ノードによって取り込まれるパケットは、802.1xパケット、ARPパケット、またはDHCPパケットとすることができる。

【0115】

ステップ63：アグリゲーション・スイッチング・ノードは、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、獲得されたMACアドレスに対応するユーザ端末についてアクセス認証を実施する。

【0116】

ステップ64：ユーザ端末について実施されたアクセス認証が成功した後で、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定する。

【0117】

ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノードのインターフェース識別子との間の対応関係は、次の方式、制御トンネルを介してアクセス・スイッチング・ノードによって送信されるユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信することであって、ユーザ端末のMACアドレスおよびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得される、前記受信することと、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立することと、で決定することができる。

【0118】

【0119】

具体的には、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係の確立については、実施例１および実施例２の詳細な説明を参照されたく、本発明の実施例３では詳細は再度説明されない。

【0120】

ステップ65：決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令する。

【0121】

任意選択で、ユーザ端末について実施されるアクセス認証は、ユーザ端末のアクセス許可を決定することをさらに含むことができる。アグリゲーション・スイッチング・ノードは、ユーザ端末の決定されたアクセス許可を、制御トンネルを介してアクセス・スイッチング・ノードへ送信して、アクセス・スイッチング・ノードに、アクセス許可に従って、インターフェース識別子を通過させるようにユーザ端末を制御するように命令する。

【0122】

それに対応して、本発明の実施例３は、ユーザ端末のアクセスを制御するための装置をさらに提供する。図6bに示すように、本装置は、
確立されたデータトンネルを介して送信された認証パケットを受信し、受信された認証パケットを獲得モジュール702へ伝送するように構成された受信モジュール701と、
受信モジュール701によって伝送された認証パケットを獲得し、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得し、獲得されたMACアドレスを認証モジュール703へ伝送するように構成された獲得モジュール702と、
獲得モジュール702によって伝送されたMACアドレスを受信し、MACアドレスに対応するユーザ端末についてアクセス認証を実施し、認証成功の結果を決定モジュール704へ伝送するように構成された認証モジュール703と、
認証モジュール703によって伝送された認証成功の結果を獲得し、ユーザ端末のMACアドレスとインターフェース識別子との間の維持された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定し、インターフェース識別子を送信モジュール705へ伝送するように構成された決定モジュール704であって、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子である、決定モジュール704と、
決定モジュール704によって伝送されたインターフェース識別子を獲得し、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令するように構成された送信モジュール705と、
を含む。

【0123】

前述の受信モジュール701は、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信するようにさらに構成され、ユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得され、受信モジュール701は、受信されたMACアドレスおよび受信されたインターフェース識別子を確立モジュール706へ伝送するようにさらに構成される。

【0124】

本装置は、受信モジュール705によって伝送されるMACアドレスおよびインターフェース識別子を獲得し、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立するように構成された確立モジュール706をさらに含む。

【0125】

それに対応して、本発明の実施例３はネットワークスイッチをさらに提供する。図6cに示すように、本ネットワークスイッチは、インターフェース801と、メモリ803と、信号プロセッサ804とを含む。

【0126】

インターフェース801は、確立されたデータトンネルを介して送信された認証パケットを受信し、受信された認証パケットを、バス802を介して信号プロセッサ804へ伝送するように構成される。

【0127】

インターフェース801は、有線インターフェースを提供するネットワーク・インターフェース・コントローラ（英語：network interface controller、略してNIC）、例えば、銅線インターフェースおよび／またはファイバインターフェースを提供することができるイーサネット（登録商標）NIC、無線インターフェースを提供するNIC、例えば、無線ローカル・エリア・ネットワーク（英語：wireless local area network、略してWLAN）NICのうちの1つまたは複数とすることができる。

【0128】

メモリ803は、プログラムコードを記憶し、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を記憶し、記憶されたプログラムコードを、バス802を介して信号プロセッサ804へ伝送するように構成される。

【0129】

メモリ803は、揮発性メモリ（英語：volatile memory）、例えば、ランダム・アクセス・メモリ（英語：random-access memory、略してRAM）、または、不揮発性メモリ（英語：non-volatile memory）、例えば、フラッシュメモリ（英語：flash memory）や、ハード・ディスク・ドライブ（英語：hard disk drive、略してHDD）、またはソリッドステートドライブ（英語：solid-state drive、略してSSD）、または前述のタイプのメモリの組み合わせとすることができる。

【0130】

信号プロセッサ804は、バス802を使用することによって、メモリ803に記憶されたプログラムコードを獲得し、獲得されたプログラムコードに従って、認証パケットの送信元MACアドレスフィールド内のMACアドレスを獲得すること、MACアドレスに対応するユーザ端末についてアクセス認証を実施すること、アクセス認証が成功した後で、メモリ803に記憶されているユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を獲得すること、ユーザ端末のMACアドレスとインターフェース識別子との間の獲得された対応関係から、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子を決定することを実行するように構成され、インターフェース識別子は、ユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子であり、信号プロセッサ804は、インターフェース識別子を、バス802を介してインターフェース801へ伝送することを実行するように構成される。

【0131】

信号プロセッサ804は、中央処理ユニット（英語：central processing unit、略してCPU）、CPUとハードウェアチップの組み合わせ、ネットワークプロセッサ（英語：network processor、略してNP）、CPUとNPの組み合わせ、またはNPとハードウェアチップの組み合わせとすることができる。

【0132】

前述のハードウェアチップは、次のチップ、特定用途向け集積回路（英語：application-specific integrated circuit、略してASIC）、フィールド・プログラマブル・ゲート・アレイ（英語：field-programmable gate array、略してFPGA）、および複合プログラマブル論理デバイス（英語：complex programmable logic device、略してCPLD）、のうちの1つまたは組み合わせとすることができる。

【0133】

前述のインターフェース801は、バス802を使用することによって、信号プロセッサ804によって伝送されたインターフェース識別子を獲得し、決定されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してアクセス・スイッチング・ノードへ送信し、アクセス・スイッチング・ノードに、インターフェース識別子に対応するインターフェースを使用可能にするように命令するようにさらに構成される。

【0134】

前述のインターフェース801はさらに、制御トンネルを介してアクセス・スイッチング・ノードによって送信されたユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子を受信するようにさらに構成され、ユーザ端末のMACアドレス、およびユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子は、ユーザ端末がアクセス・スイッチング・ノード上のインターフェースとの接続を確立し、接続されたインターフェースを介してパケットを送信するときにアクセス・スイッチング・ノードによって獲得され、インターフェース801は、受信されたMACアドレスおよび受信されたインターフェース識別子を、バスを介して信号プロセッサ804へ伝送するようにさらに構成される。

【0135】

信号プロセッサ804は、バス802を使用することによって、インターフェース801によって伝送されるMACアドレスおよびインターフェース識別子を獲得し、ユーザ端末の受信されたMACアドレスおよび受信されたインターフェース識別子に従って、ユーザ端末のMACアドレスとインターフェース識別子との間の対応関係を確立し、MACアドレスとインターフェース識別子との間の確立された対応関係を、バス802を介してメモリ803へ伝送するようにさらに構成される。

【0136】

それに対応して、図2に示すシステムアーキテクチャに基づき、アクセス・スイッチング・ノードについて、本発明の実施例３は、ユーザ端末のアクセスを制御するための方法を提供する。図7aに示すように、本方法の具体的な処理手順は以下のとおりである。

【0137】

ステップ71：アクセス・スイッチング・ノードとアグリゲーション・スイッチング・ノードとの間で、制御トンネルおよびデータトンネルを含むパケット伝送トンネルを確立する。

【0138】

【0139】

【0140】

【0141】

ステップ72：媒体制御アクセス（MAC）学習機能が使用不可にされているときに、アクセス・スイッチング・ノードは、アクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信された認証パケットを受信する。

【0142】

ステップ73：認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得する。

【0143】

アクセス・スイッチング・ノードは、プログラムコードに従って処理機能を実行することができる信号プロセッサを使用することによって、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、受信された認証パケットをアクセス・スイッチング・ノードの信号プロセッサへ伝送し、信号プロセッサは、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得する。

【0144】

ステップ74：ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、確立された制御トンネルを介してアグリゲーション・スイッチング・ノードへ送信する。

【0145】

ステップ75：制御トンネルを介してアグリゲーション・スイッチング・ノードによって送信されたインターフェース識別子を受信し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にする。

【0146】

インターフェース識別子は、アグリゲーション・スイッチング・ノードがユーザ端末についてアクセス認証の実施に成功した後で、ユーザ端末のMACアドレスとユーザ端末に接続されたアクセス・スイッチング・ノード上のインターフェースのインターフェース識別子との間の維持された対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子である。

【0147】

アグリゲーション・スイッチング・ノードにより、端末の識別子とインターフェース識別子との間の対応関係を確立する具体的な実施方式については、実施例１または実施例２の詳細な説明を参照されたく、本発明の実施例３では詳細は説明されない。

【0148】

任意選択で、アクセス・スイッチング・ノードは、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されるアクセス許可を受信し、インターフェースに接続されているユーザ端末を、アクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更する。

【0149】

それに対応して、本発明の実施例３は、ユーザ端末のアクセスを制御するための装置をさらに提供する。図7bに示すように、本装置は、
媒体アクセス制御（MAC）学習機能が使用不可にされているときに、アクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信された認証パケットを受信し、認証パケットを獲得モジュール902へ伝送するように構成された受信モジュール901と、
受信モジュール901によって伝送された認証パケットを受信し、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得し、インターフェース識別子およびMACアドレスを送信モジュール903へ伝送するように構成された獲得モジュール902と、
獲得モジュール902によって伝送されるインターフェース識別子およびMACアドレスを受信し、コントローラがユーザ端末の受信されたMACアドレスと受信されたインターフェース識別子との間の対応関係を維持するように、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を、コントローラとアクセス・スイッチング・ノードとの間で確立された制御トンネルを介してコントローラへ送信するように構成された送信モジュール903と
を含み、前述の受信モジュール901は、制御トンネルを介してコントローラによって送信されたインターフェース識別子を受信し、インターフェース識別子を制御モジュール904へ伝送するようにさらに構成され、インターフェース識別子は、コントローラがMACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後でユーザ端末のMACアドレスとインターフェース識別子との間の対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子であり、本装置は、
受信モジュール901によって伝送されたインターフェース識別子を獲得し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするように構成された制御モジュール904を含む。

【0150】

具体的には、前述の受信モジュール901は、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されるアクセス許可を受信し、アクセス許可を制御モジュールへ伝送するようにさらに構成され、制御モジュール904は、受信モジュール901によって伝送されたアクセス許可を獲得し、インターフェースに接続されているユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、アグリゲーション・スイッチング・ノードによって送信された受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するように具体的に構成される。

【0151】

具体的には、前述の獲得モジュール902は、信号プロセッサを具体的に含み、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、受信モジュールによって伝送された認証パケットを獲得するように構成され、信号プロセッサは、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得する。

【0152】

それに対応して、本発明の実施例３はネットワークスイッチをさらに提供する。図7cに示すように、本ネットワークスイッチは、インターフェース101と、信号プロセッサ103とを含む。

【0153】

インターフェース101は、媒体アクセス制御（MAC）学習機能が使用不可にされているときに、アクセス・スイッチング・ノード上のインターフェースに接続されているユーザ端末によって送信された認証パケットを受信し、認証パケットを、バス102を介して信号プロセッサ103へ伝送するように構成される。

【0154】

インターフェース101は、有線インターフェースを提供するNIC、例えば、銅線インターフェースおよび／またはファイバインターフェースを提供し得るイーサネット（登録商標）NICのうちの1つまたは複数とすることができる。

【0155】

信号プロセッサ103は、バス102を介して、インターフェース101によって伝送された認証パケットを受信し、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を獲得し、受信された認証パケットからユーザ端末のMACアドレスを獲得し、インターフェース識別子およびMACアドレスを、バス102を介してインターフェース101へ伝送するように構成される。

【0156】

信号プロセッサ103は、CPU、CPUとハードウェアチップの組み合わせ、NP、CPUとNPの組み合わせ、またはNPとハードウェアチップの組み合わせとすることができる。

【0157】

前述のハードウェアチップは、次のチップ、ASIC、FPGA、CPLDなど、のうちの1つまたは組み合わせとすることができる。

【0158】

任意選択で、信号プロセッサ103がCPUまたはCPUを含む構成要素の組み合わせである場合には、リレーがメモリをさらに含むことができ、メモリはプログラムコードを記憶するように構成される。信号プロセッサはメモリから記憶されたプログラムコードを獲得し、獲得されたプログラムコードに従って対応する処理を行う。

【0159】

メモリは、揮発性メモリ、例えばランダム・アクセス・メモリ、または不揮発性メモリ、例えばリード・オンリ・メモリ（英語：read-only memory、略してROM）、フラッシュメモリ、ハード・ディスク・ドライブ、またはソリッドステートドライブ、または前述のタイプのメモリの組み合わせとすることができる。

【0160】

前述のインターフェース101は、バス102を介して、信号プロセッサ103によって伝送されるインターフェース識別子およびMACアドレスを受信し、コントローラがユーザ端末の受信されたMACアドレスと受信されたインターフェース識別子との間の対応関係を維持するように、ユーザ端末の獲得されたMACアドレスおよび獲得されたインターフェース識別子を確立された制御トンネルを介してコントローラへ送信するようにさらに構成される。

【0161】

前述のインターフェース101は、制御トンネルを介してコントローラによって送信されたインターフェース識別子を受信するようにさらに構成され、インターフェース識別子を、バス102を介して信号プロセッサ103へ伝送し、インターフェース識別子は、コントローラがMACアドレスに対応するユーザ端末についてアクセス認証の実施に成功した後でユーザ端末のMACアドレスとインターフェース識別子との間の対応関係から決定され、認証に成功したユーザ端末のMACアドレスに対応するインターフェース識別子である。

【0162】

信号プロセッサ103は、バス102を使用することによって、インターフェース101によって伝送されたインターフェース識別子を獲得し、受信されたインターフェース識別子に従って、インターフェース識別子に対応するインターフェースを使用可能にするように構成される。

【0163】

具体的には、インターフェース101は、MACアドレスに対応するユーザ端末の、制御トンネルを介してコントローラによって送信されるアクセス許可を受信し、アクセス許可を、バス102を介して信号プロセッサ103へ伝送するようにさらに構成される。信号プロセッサ103は、バス102を介してインターフェース101によって伝送されたアクセス許可を獲得し、インターフェースに接続されているユーザ端末をアクセス許可に従ってネットワークにアクセスするように制御するために、受信されたアクセス許可に従って、アクセス・スイッチング・ノード上の、インターフェース識別子に対応するインターフェースのアクセス許可を設定または変更するように具体的に構成される。

【0164】

具体的には、前述の信号プロセッサ103は、認証パケットを送信するユーザ端末に接続されたインターフェースのインターフェース識別子を決定し、インターフェース101によって伝送された認証パケットを獲得するように構成され、信号プロセッサ103は、認証パケットの送信元MACアドレスフィールドから、認証パケットを送信するユーザ端末のMACアドレスを獲得する。

【0165】

本発明の前述の実施例で提供される技術的解決策においては、ユーザ端末の集中化された管理を実施すると同時にアクセス層においてユーザ端末のデータ転送機能を制御するために、アグリゲーション・スイッチング・ノード上でユーザ端末のアクセスについて集中化された制御を実施することができ、アクセス・スイッチング・ノード上で分散されたポリシー制御を実施することができる。このように、実施方式は比較的容易であり、システムアーキテクチャは比較的単純であり、ネットワークセキュリティはさらに向上させることができる。

【0166】

本発明の各実施例は、方法、装置（デバイス）、またはコンピュータプログラム製品として提供することができることをこの技術分野の当業者は理解すべきである。したがって、本発明は、ハードウェアのみの実施例、ソフトウェアのみの実施例、またはソフトウェアとハードウェアの組み合わせを用いた実施例の形態を使用することができる。さらに、本発明は、コンピュータ使用可能プログラムコードを含む（それに限らないが、ディスクメモリ、光リード・オンリ・メモリ、光メモリなどを含む）1つまたは複数のコンピュータ使用可能記憶媒体上に実装されたコンピュータプログラム製品の形態を使用することができる。

【0167】

本発明は、本発明の実施例による方法、装置（デバイス）、およびコンピュータプログラム製品のフローチャートおよび／またはブロック図を参照して説明されている。コンピュータプログラム命令は、フローチャートおよび／またはブロック図内の各手順および／または各ブロック、および、フローチャートおよび／またはブロック図内の手順および／またはブロックの組み合わせを実現するために使用することができることを理解すべきである。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、または任意の他のプログラマブルデータ処理デバイスのプロセッサがマシンを生成するために提供することができ、これにより、コンピュータまたは任意の他のプログラマブルデータ処理デバイスのプロセッサによって実行される命令は、フローチャート内の1つまたは複数の手順における、および／または、ブロック図内の1つまたは複数のブロックにおける指定された機能を実現するための装置を生成する。

【0168】

これらのコンピュータプログラム命令は、コンピュータまたは任意の他のプログラマブルデータ処理デバイスに特定の方式で動作するように命令することができるコンピュータ可読メモリに記憶することもでき、これにより、コンピュータ可読メモリに記憶された命令は命令装置を含む製品を生成する。命令装置は、フローチャート内の1つまたは複数の手順における、および／または、ブロック図内の1つまたは複数のブロックにおける特定の機能を実現する。

【0169】

これらのコンピュータプログラム命令は、コンピュータまたは別のプログラマブルデータ処理デバイスにロードすることもでき、これにより、一連の動作およびステップがコンピュータまたは別のプログラマブルデバイス上で行われ、それによってコンピュータ実装された処理を生成する。したがって、コンピュータまたは別のプログラマブルデバイス上で実行される命令は、フローチャート内の1つまたは複数の手順における、および／または、ブロック図内の1つまたは複数のブロックにおける特定の機能を実現するためのステップを提供する。

【0170】

本発明のいくつかの好ましい実施例を説明したが、この技術分野の当業者は、一旦、基本的な発明の概念を知ると、これらの実施例に変更および改変を加えることができる。したがって、続く特許請求の範囲は、好ましい実施例および本発明の範囲内にあるすべての変更および改変を包含するように解釈されることが意図される。

【符号の説明】

【0171】

101 インターフェース
102 バス
103 信号プロセッサ
701 受信モジュール
702 獲得モジュール
703 認証モジュール
704 決定モジュール
705 送信モジュール
706 確立モジュール
801 インターフェース
802 バス
803 メモリ
804 信号プロセッサ
901 受信モジュール
902 獲得モジュール
903 送信モジュール
904 制御モジュール

【図1】