接入控制方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种接入控制方法及装置。

背景技术

802.1x协议是一种基于端口的网络接入控制协议，即在局域网接入设备的端口上对所接入的终端设备进行认证，以便控制终端设备对网络资源的访问。

如图1所示，图1为现有动态控制802.1x接入方式的应用场景组网示意图。在图1中，接入设备通常为交换机，其端口1、端口2、端口3开启802.1x接入控制功能。各终端设备通过802.1x认证后，方可访问网络资源。

对于PC类型的终端设备(PC1、PC2、PC3)，其自身支持802.1x客户端功能，可独立与接入设备、RADIUS服务器完成802.1x认证过程，并授权访问网络资源。由于端口1、端口2可通过集线器或交换机等方式下挂多个PC类型的终端设备，因此，需要采用基于MAC的接入控制方式(mac-based)接入控制方式。通过MAC地址，控制不同终端设备的网络访问权限。

对于打印机和摄像头类型的终端设备，其自身不支持802.1x客户端功能，无法独立与接入设备、RADIUS服务器完成802.1x认证过程。此时，在该类型终端与接入设备间增加一个支持802.1x客户端功能的交换机(图1中的可信交换机)，并在可信交换机上开启802.1x客户端功能，使可信交换机通过接入设备、RADIUS服务器的802.1x认证。为了使可信交换机通过802.1x认证后，其下挂的打印机、摄像头等可信终端设备也能访问相同的网络资源，需要将端口3的接入控制方式设置为基于端口的接入控制方式(port-based)。如此，可信交换机下挂的所有终端设备的流量经过端口3时均将被放行。

对于终端设备接入位置固定且已提前规划的场景，端口1、端口2、端口3的接入控制方式可在先进行配置，无需动态变更。但是，对于终端设备的类型经常变化，或者，部署接入设备的时候还不确定端口接入的终端设备的类型，在端口每次接入终端设备时，将可能更改端口的接入控制方式，导致配置变更频繁、网络管理运维不便。

发明内容

有鉴于此，本申请提供了一种接入控制方法及装置，用以解决现有接入设备端口接入终端设备时，可能更改端口的接入控制方式配置，导致配置变更频繁、网络管理运维不便的问题。

第一方面，本申请提供了一种接入控制方法，所述方法应用于接入设备，网络设备通过第一端口接入所述接入设备，所述接入设备向认证服务器发起对所述网络设备的认证，所述方法包括：

当所述认证服务器确定所述网络设备为合法设备时，接收所述认证服务器发送的认证通过报文，所述认证通过报文包括端口授权属性；

若所述第一端口的当前接入控制方式与所述端口授权属性指示的第一接入控制方式不同，则将所述当前接入控制方式变更为所述第一接入控制方式；

当通过所述第一端口接收到业务报文时，根据所述第一接入控制方式，放行所述业务报文；

其中，所述业务报文为与所述网络设备连接的第一用户终端发送。

第二方面，本申请提供了一种接入控制方法，所述方法应用于认证服务器，网络设备通过第一端口接入接入设备，所述接入设备向所述认证服务器发起对网络设备的认证，所述方法包括：

当确定所述网络设备为合法设备时，获取所述网络设备对应的端口授权属性；

向所述接入设备发送认证通过报文，所述认证通过报文包括所述端口授权属性，以使得所述接入设备确定所述第一端口的当前接入控制方式与所述端口授权属性指示的第一接入控制方式不同时，将所述当前接入控制方式变更为所述第一接入控制方式。

第三方面，本申请提供了一种接入控制装置，所述装置应用于接入设备，网络设备通过第一端口接入所述接入设备，所述接入设备向认证服务器发起对所述网络设备的认证，所述装置包括：

接收单元，用于当所述认证服务器确定所述网络设备为合法设备时，接收所述认证服务器发送的认证通过报文，所述认证通过报文包括端口授权属性；

变更单元，用于若所述第一端口的当前接入控制方式与所述端口授权属性指示的第一接入控制方式不同，则将所述当前接入控制方式变更为所述第一接入控制方式；

发送单元，用于当通过所述第一端口接收到业务报文时，根据所述第一接入控制方式，放行所述业务报文；

其中，所述业务报文为与所述网络设备连接的第一用户终端发送。

第四方面，本申请提供了一种接入控制装置，所述装置应用于认证服务器，网络设备通过第一端口接入接入设备，所述接入设备向所述认证服务器发起对网络设备的认证，所述装置包括：

获取单元，用于当确定所述网络设备为合法设备时，获取所述网络设备对应的端口授权属性；

发送单元，用于向所述接入设备发送认证通过报文，所述认证通过报文包括所述端口授权属性，以使得所述接入设备确定所述第一端口的当前接入控制方式与所述端口授权属性指示的第一接入控制方式不同时，将所述当前接入控制方式变更为所述第一接入控制方式。

第五方面，本申请提供了一种网络设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使执行本申请第一方面所提供的方法。

第六方面，本申请提供了一种网络设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使执行本申请第二方面所提供的方法。

因此，应用本申请提供的接入控制方法及装置，当认证服务器确定网络设备为合法设备时，接入设备接收认证服务器发送的认证通过报文，该认证通过报文包括端口授权属性；若第一端口的当前接入控制方式与端口授权属性指示的第一接入控制方式不同，则接入设备将当前接入控制方式变更为第一接入控制方式；当通过第一端口接收到业务报文时，根据第一接入控制方式，接入设备放行业务报文；其中，业务报文为与网络设备连接的第一用户终端发送。

如此，认证服务器通过认证通过报文，向接入设备指示端口的接入控制方式。接入设备根据指示变更端口的当前接入控制方式后，对接收到的业务报文直接放行。实现了对接入设备的端口进行动态控制，解决了现有接入设备端口接入终端设备时，可能更改端口的接入控制方式配置，导致配置变更频繁、网络管理运维不便的问题。

附图说明

图1为现有动态控制802.1x接入方式的应用场景组网示意图；

图2为本申请实施例提供的一种接入控制方法的流程图；

图3为本申请实施例提供的另一种接入控制方法的流程图；

图4为本申请实施例提供的客户端、控制器、网关转发业务报文的信令图；

图5为本申请实施例提供的一种接入控制装置结构图；

图6为本申请实施例提供的另一种接入控制装置结构图；

图7为本申请实施例提供的网络设备硬件结构体。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请实施例提供的一种接入控制方法进行详细地说明。参见图2，图2为本申请实施例提供的一种接入控制方法的流程图。该方法应用于接入设备，本申请实施例提供的接入控制方法可包括如下所示步骤。

步骤210、当所述认证服务器确定所述网络设备为合法设备时，接收所述认证服务器发送的认证通过报文，所述认证通过报文包括端口授权属性；

具体地，接入设备包括第一端口，网络设备通过第一端口接入接入设备。接入设备向认证服务器发起对网络设备的认证。

在本申请实施例中，网络设备可具体为交换机。该交换机支持802.1x客户端功能，可独立与接入设备、认证服务器完成802.1x认证过程。

可以理解的是，网络设备接入接入设后，网络设备、接入设备以及认证服务器可按照现有802.1x协议定义的认证过程进行认证，具体的认证过程在后续实施例中进行说明，在此不再复述。

认证服务器在认证过程中，确定网络设备为合法设备后，生成认证通过报文，该认证通过报文包括端口授权属性。认证服务器生成认证通过报文的过程在后续实施例中进行说明，在此不再复述。

可选地，上述认证通过报文包括属性(Attribute)字段，属性字段为类型长度值(英文：Type、Length、Value，简称：TLV)三元组的结构。其中，类型(Type)：表示属性的类型；长度(Length)：表示属性(包括类型、长度和属性值)的长度，单位为字节；属性值(Value)：表示属性的信息，其格式和内容由类型决定。

在本申请实施例中，可通过上述属性字段承载端口授权属性。该属性的类型为210，属性值为port-control-method＝portbased。该属性用于表示下发的端口接入控制方式为port-based。

当然，属性字段也可承载多个子属性，每一个子属性也采用TLV三元组的结构。其中，类型(Type)：表示子属性的类型；长度(Length)：表示子属性(包括类型、长度和属性值)的长度，单位为字节；属性值(Value)：表示子属性的信息，其格式和内容由类型决定。

在本申请实施例中，若属性字段承载多个子属性，则可通过一个子属性承载端口授权属性。该子属性的类型为210，属性值为port-control-method＝portbased。该子属性用于表示下发的端口接入控制方式为port-based。

步骤220、若所述第一端口的当前接入控制方式与所述端口授权属性指示的第一接入控制方式不同，则将所述当前接入控制方式变更为所述第一接入控制方式；

具体地，根据步骤210的描述，接入设备从认证通过报文中获取端口授权属性后，判断第一端口的当前接入控制方式是否与端口授权属性指示的第一接入控制方式不同。

若不同，则接入设备将第一端口的当前接入控制方式变更为第一接入控制方式。

在本申请实施例中，第一接入控制方式具体为port-based。第一端口的当前接入控制方式为第二接入控制方式，第二接入控制方式具体为mac-based。

可选地，接入设备确定第一端口的当前接入控制方式与第一接入控制方式不同后，接入设备识别是否存在第二用户终端通过第一端口上线；若存在，则接入设备将第二用户终端进行下线处理；接入设备重启第一端口学习MAC地址功能。

需要说明的是，接入设备在出厂时，其包括的各端口均采用缺省配置的方式，该缺省配置的方式为第二接入控制方式，即mac-based。在mac-based方式下，为了阻断未认证授权的设备访问网络，是禁止端口学习用户终端的MAC地址。

步骤230、当通过所述第一端口接收到业务报文时，根据所述第一接入控制方式，放行所述业务报文。

具体地，根据步骤220的描述，接入设备将第一端口的当前接入控制方式变更为第一接入控制方式后，监听第一端口是否接收到业务报文。若通过第一端口接收到业务报文，则根据第一端口当前配置的第一接入控制方式，接入设备直接放行业务报文，而不再对发送业务报文的第一用户终端进行认证处理。

在本申请实施例中，第一用户终端接入网络设备，并通过网络设备访问网络资源。第一用户终端可具体为不支持802.1x客户端功能的设备，例如，PC、打印机、摄像头等等。

可选地，在本申请实施例中，还包括第一用户终端下线、网络设备下线后，接入设备再次变更第一端口的接入控制方式的过程。

具体地，与网络设备连接的全部第一用户终端下线，或者，网络设备下线，接入设备再次将第一端口的接入控制方式从第一接入控制方式变更为第二接入控制方式。此时，第一端口的接入控制方式恢复为mac-based。

第一用户终端、网络设备可主动发送下线报文，以通知接入设备下线；或者，第一用户终端、网络设备故障、异常后，在预设时间内且多次未向接入设备发送应答报文，接入设备强制第一用户终端、网络设备下线。

需要说明的是，在上述实施例中，支持802.1x客户端功能的用户终端(例如，PC、打印机、摄像头等等)也可直接通过第一端口接入接入设备，也即是用户终端不通过网络设备接入接入设备。用户终端直接与接入设备连接时，用户终端可执行上述实施例中网络设备所执行的过程，在此不再复述。而不支持802.1x客户端功能的用户终端均需通过网络设备接入接入设备，在接入设备将第一端口的接入控制方式变更后，接入设备接收到用户终端发送的业务报文后，不再对用户终端启动认证过程，而是直接放行业务报文。

在上述实施例中，网络设备也可不限定于交换机，也可为服务器、路由器等等。

因此，应用本申请提供的接入控制方法，当认证服务器确定网络设备为合法设备时，接入设备接收认证服务器发送的认证通过报文，该认证通过报文包括端口授权属性；若第一端口的当前接入控制方式与端口授权属性指示的第一接入控制方式不同，则接入设备将当前接入控制方式变更为第一接入控制方式；当通过第一端口接收到业务报文时，根据第一接入控制方式，接入设备放行业务报文；其中，业务报文为与网络设备连接的第一用户终端发送。

如此，认证服务器通过认证通过报文，向接入设备指示端口的接入控制方式。接入设备根据指示变更端口的当前接入控制方式后，对接收到的业务报文直接放行。实现了对接入设备的端口进行动态控制，解决了现有接入设备端口接入终端设备时，可能更改端口的接入控制方式配置，导致配置变更频繁、网络管理运维不便的问题。

下面对本申请实施例提供的另一种接入控制方法进行详细地说明。参见图3，图3为本申请实施例提供的另一种接入控制方法的流程图。该方法应用于认证服务器，该认证服务器可具体为RADIUS服务器、AAA服务器。本申请实施例提供的接入控制方法可包括如下所示步骤。

步骤310、当确定所述网络设备为合法设备时，获取所述网络设备对应的端口授权属性；

具体地，网络设备通过第一端口接入接入设备后，接入设备向认证服务器发起对网络设备的认证。

认证服务器在认证过程中，确定网络设备为合法设备后，认证服务器从本地获取网络设备对应的端口授权属性。

可选地，认证服务器内已生成用户表，该用户表内包括多个用户表项。每个用户表项内存储用户信息以及端口授权属性。认证服务器确定网络设备为合法设备后，通过网络设备对应的用户信息，从用户表中获取匹配的用户表项，并从用户表项中获取端口授权属性。

步骤320、向所述接入设备发送认证通过报文，所述认证通过报文包括所述端口授权属性，以使得所述接入设备确定所述第一端口的当前接入控制方式与所述端口授权属性指示的第一接入控制方式不同时，将所述当前接入控制方式变更为所述第一接入控制方式。

具体地，根据步骤310的描述，认证服务器获取到端口授权属性后，生成认证通过报文，该认证通过报文包括端口授权属性。

可选地，认证通过报文包括属性(Attribute)字段，属性字段为类型长度值(英文：Type、Length、Value，简称：TLV)三元组的结构。其中，类型(Type)：表示属性的类型；长度(Length)：表示属性(包括类型、长度和属性值)的长度，单位为字节；属性值(Value)：表示属性的信息，其格式和内容由类型决定。

在本申请实施例中，可通过上述属性字段承载端口授权属性。该属性的类型为210，属性值为port-control-method＝portbased。该属性用于表示下发的端口接入控制方式为port-based。

当然，属性字段也可承载多个子属性，每一个子属性也采用TLV三元组的结构。其中，类型(Type)：表示子属性的类型；长度(Length)：表示子属性(包括类型、长度和属性值)的长度，单位为字节；属性值(Value)：表示子属性的信息，其格式和内容由类型决定。

在本申请实施例中，若属性字段承载多个子属性，则可通过一个子属性承载端口授权属性。该子属性的类型为210，属性值为port-control-method＝portbased。该子属性用于表示下发的端口接入控制方式为port-based。

可以理解的是，网络设备接入接入设后，网络设备、接入设备以及认证服务器可按照现有802.1x协议定义的认证过程进行认证，具体的认证过程在后续实施例中进行说明，在此不再复述。

认证服务器向接入设备发送认证通过报文。接入设备接收到认证通过报文后，从中获取端口授权属性。接入设备执行前述实施例中的步骤210-步骤230，在此不再复述。

可选地，在本申请实施例中，还包括认证服务器在本地生成用户表的过程。

具体地，用户可通过命令行的方式，向认证服务器输入配置指令，该配置指令包括网络设备的用户信息，用户信息包括用户名以及密码。认证服务器接收到配置指令后，从中获取用户名以及密码。

根据用户名，认证服务器确定网络设备的类型，并在用户名下为网络设备配置端口授权属性。

认证服务器生成网络设备的用户表项，该用户表项包括用户信息以及端口授权属性。认证服务器将用户表项存储在用户表中。

在本申请实施例中，上述用户信息具体为指示用户身份特征的信息。前述以用户名为例进行说明，在实际应用中，用户信息也可具体为网络设备的MAC地址、IP地址。

下面对本申请实施例提供的接入控制方法进行详细地说明。参见图4，图4为本申请实施例提供的动态控制802.1x接入控制方法处理流程信令图。

步骤400、认证服务器为交换机配置端口授权属性。

具体地，用户可通过命令行的方式，向认证服务器输入配置指令，该配置指令包括网络设备的用户信息，用户信息包括用户名以及密码。认证服务器接收到配置指令后，从中获取用户名以及密码。

根据用户名，认证服务器确定网络设备的类型为交换机，并在用户名下为交换机配置端口授权属性。该交换机的类型不同于目前组网内用于实现L2转发的交换机，该交换机的类型用于指示为可信交换机。

认证服务器生成交换机的用户表项，该用户表项包括用户信息以及端口授权属性。认证服务器将用户表项存储在用户表中。

在本申请实施例中，上述用户信息具体为指示用户身份特征的信息。前述以用户名为例进行说明，在实际应用中，用户信息也可具体为交换机的MAC地址、IP地址。

在本申请实施例中，认证服务器为交换机配置的端口授权属性为port-based。此时，该交换机可称之为可信交换机。认证服务器以RADIUS服务器为例进行说明。

步骤401、交换机向接入设备发送认证请求帧。

具体地，当交换机接入接入设备的第一端口时，其启动自身的802.1x客户端。交换机在802.1x客户端中输入用户名以及密码，并发起连接请求。此时，802.1x客户端向接入设备的第一端口发送认证请求帧(EAPOL-Start)，开始启动一次认证过程。

可以理解的是802.1x系统使用可扩展认证协议(英文：ExtensibleAuthentication Protocol，简称：EAP)来实现客户端、设备端和认证服务器之间认证信息的交互。

EAP是一种C/S模式的认证框架，可支持多种认证方法。例如，MD5-Challenge、可扩展认证协议-传输层安全(英文：Extensible Authentication Protocol-Transport LayerSecurity，简称：EAP-TLS)、受保护的扩展认证协议(英文：Protected ExtensibleAuthentication Protocol，简称：PEAP)等。在客户端与设备端之间，EAP报文使用局域网上的可扩展认证协议(英文：Extensible Authentication Protocol over LAN，简称：EAPOL)封装格式承载于数据帧中传递。在设备端与认证服务器之间，EAP报文的交互包括EAP中继和EAP终结两种处理机制。

本申请实施例中，以EAP中继方式为例进行说明，EAP终结方式过程类似，在此不再复述。

步骤402、接入设备向交换机发送EAP请求报文。

具体地，接入设备接收到认证请求帧后，向交换机发送一个Identity类型的EAP请求报文(EAP-Request/Identity)，该EAP请求报文用于请求交换机的802.1x客户端发送输入的用户名。

可以理解的是，交换机通过第一端口接入接入设备，因为，在后续的交互过程中，两端均通过第一端口接收、发送报文。

步骤403、交换机向接入设备发送EAP响应报文。

具体地，交换机接收到EAP请求报文后，802.1x客户端响应该EAP请求报文，将用户名通过Identity类型的EAP响应报文(EAP-Response/Identity)发送至接入设备。

步骤404、接入设备向认证服务器发送RADIUS接入请求报文。

具体地，接入设备接收到EAP响应报文后，将802.1x客户端发送的EAP响应报文包括的EAP报文封装在RADIUS接入请求报文(RADIUS Access-Request)中。接入设备向认证服务器发送RADIUS接入请求报文，并由认证服务器进行认证处理。

步骤405、认证服务器向接入设备发送RADIUS接入接受报文。

具体地，认证服务器接收到RADIUS接入请求报文后，从中获取用户名。认证服务器将用户名与本地用户表进行对比，获取匹配的用户表项。从用户表项中，认证服务器获取用户名对应的密码。认证服务器用随机生成的一个MD5Challenge对密码进行加密处理，同时将MD5 Challenge通过RADIUS Access-Challenge报文发送至接入设备。

接入设备将认证服务器送的MD5 Challenge转发至交换机。

交换机接收到MD5 Challenge后，802.1x客户端响应RADIUS Access-Challenge报文。802.1x客户端利用MD5 Challenge对密码进行加密处理，生成EAP-Response/MD5Challenge报文，并发送至接入设备。

接入设备将此EAP-Response/MD5 Challenge报文封装在RADIUS接入请求报文(RADIUS Access-Request)中，并发送至认证服务器。

认证服务器将接收到的已加密的密码与本地经过加密运算后的密码进行对比。若相同，则认证服务器确定交换机为合法设备。认证服务器再次从用户表项中获取交换机对应的端口授权属性，即port-based。

认证服务器生成接入接受报文(RADIUS Access-Accept)，该接入接受报文包括端口授权属性，该属性的类型为210，属性值为port-control-method＝portbased。

认证服务器向接入设备发送接入接受报文。

步骤406、接入设备从RADIUS接入接受报文中获取端口授权属性。

步骤407、接入设备将当前接入控制方式变更为port-based。

具体地，接入设备判断第一端口的当前接入控制方式是否与端口授权属性指示的第一接入控制方式不同。

若不同，则接入设备将第一端口的当前接入控制方式变更为第一接入控制方式。

在本申请实施例中，第一接入控制方式具体为port-based。第一端口的当前接入控制方式为第二接入控制方式，第二接入控制方式具体为mac-based。

接入设备确定第一端口的当前接入控制方式与第一接入控制方式不同后，接入设备识别是否存在其他用户终端通过第一端口上线；若存在，则接入设备将其他用户终端进行下线处理(即强制下线处理)；接入设备重启第一端口学习MAC地址功能。

需要说明的是，接入设备包括的各端口可采用缺省配置的方式，该缺省配置的方式为第二接入控制方式，即mac-based。在mac-based方式下，为了阻断未认证授权的设备访问网络，是禁止端口学习设备的MAC地址。

步骤408、接入设备向交换机发送认证成功帧。

具体地，接入设备变更第一端口的当前接入控制方式为port-based后，接入设备生成认证成功帧(EAP-Success)。

步骤409、打印机接入网络，向交换机发送业务报文。

步骤410、交换机向接入设备发送业务报文。

具体地，交换机接收到打印机发送的业务报文后，向接入设备的第一端口转发业务报文。

步骤411、接入设备放行业务报文。

具体地，通过第一端口，接入设备接收到业务报文后，学习业务报文包括的源MAC地址，并且，由于是通过第一端口接收到的业务报文，接入设备放行业务报文，不再对源MAC地址指示的打印机发起认证过程。

需要说明的是，在上述实施例中，以打印机为例进行说明，在实际应用中，也可为PC、摄像头等等。接入设备也不限定具体类型，也可以为服务器、路由器、交换机等等。管理人员可按需对各类符合条件的用户终端授权“port-control-method＝portbased”属性，以实现将接入设备的端口的接入控制方式修改为“port-based”的目的。

上述用户信息具体为指示用户身份特征的信息。前述以用户名为例进行说明，在实际应用中，用户信息也可具体为交换机的MAC地址、IP地址。与交换机连接的打印机下线，或者，交换机下线，接入设备再次将第一端口的接入控制方式从port-based变更为mac-based。

需要说明的是，在实际组网中，还可将认证服务器与网络控制器集成联。当认证服务器检测出类型为可信交换机的网络设备接入时，则认证服务器向网络控制器发送一通知消息，该通知消息用于使网络控制器通过Netconf配置通道向接入设备下发携带端口授权属性的配置指令，接入设备通过配置指令变更第一端口的接入控制方式。

上述过程，依赖组网中必须部署控制器设备，且网络控制器与认证服务器能够联动，实现相对复杂且部署不方便。

基于同一发明构思，本申请实施例还提供了接入控制方法对应的接入控制装置。参见图5，图5为本申请实施例提供的一种通接入控制装置，所述装置应用于接入设备，网络设备通过第一端口接入所述接入设备，所述接入设备向认证服务器发起对所述网络设备的认证，所述装置包括：

接收单元510，用于当所述认证服务器确定所述网络设备为合法设备时，接收所述认证服务器发送的认证通过报文，所述认证通过报文包括端口授权属性；

变更单元520，用于若所述第一端口的当前接入控制方式与所述端口授权属性指示的第一接入控制方式不同，则将所述当前接入控制方式变更为所述第一接入控制方式；

发送单元530，用于当通过所述第一端口接收到业务报文时，根据所述第一接入控制方式，放行所述业务报文；

其中，所述业务报文为与所述网络设备连接的第一用户终端发送。

可选地，所述装置还包括：

识别单元(图中未示出)，用于识别是否存在第二用户终端通过所述第一端口上线；

处理单元(图中未示出)，用于若存在，则将所述第二用户终端进行下线处理；

重启单元(图中未示出)，用于重启所述第一端口学习MAC地址功能。

可选地，所述当前接入控制方式为第二接入控制方式；所述变更单元520还用于，若与所述网络设备连接的全部第一用户终端下线或者所述网络设备下线，则将所述第一端口的接入控制方式从所述第一接入控制方式变更为所述第二接入控制方式。

可选地，所述认证通过报文包括属性字段，所述属性字段为TLV格式，所述TLV格式承载所述端口授权属性。

基于同一发明构思，本申请实施例还提供了接入控制方法对应的接入控制装置。参见图6，图6为本申请实施例提供的另一种接入控制装置，所述装置应用于认证服务器，网络设备通过第一端口接入接入设备，所述接入设备向所述认证服务器发起对网络设备的认证，所述装置包括：

获取单元610，用于当确定所述网络设备为合法设备时，获取所述网络设备对应的端口授权属性；

发送单元620，用于向所述接入设备发送认证通过报文，所述认证通过报文包括所述端口授权属性，以使得所述接入设备确定所述第一端口的当前接入控制方式与所述端口授权属性指示的第一接入控制方式不同时，将所述当前接入控制方式变更为所述第一接入控制方式。

可选地，所述装置还包括：

接收单元(图中未示出)，用于接收用户输入的配置指令，所述配置指令包括所述网络设备的用户信息，所述用户信息包括用户名；

配置单元(图中未示出)，用于根据所述用户名，在所述用户名下为所述网络设备配置所述端口授权属性；

生成单元(图中未示出)，用于生成所述网络设备的用户表项，所述用户表项包括所述用户信息以及所述端口授权属性。

可选地，所述认证通过报文包括属性字段，所述属性字段为TLV格式，所述TLV格式承载所述端口授权属性。

因此，应用本申请提供的接入控制方法及装置，当认证服务器确定网络设备为合法设备时，接入设备接收认证服务器发送的认证通过报文，该认证通过报文包括端口授权属性；若第一端口的当前接入控制方式与端口授权属性指示的第一接入控制方式不同，则接入设备将当前接入控制方式变更为第一接入控制方式；当通过第一端口接收到业务报文时，根据第一接入控制方式，接入设备放行业务报文；其中，业务报文为与网络设备连接的第一用户终端发送。

如此，认证服务器通过认证通过报文，向接入设备指示端口的接入控制方式。接入设备根据指示变更端口的当前接入控制方式后，对接收到的业务报文直接放行。实现了对接入设备的端口进行动态控制，解决了现有接入设备端口接入终端设备时，可能更改端口的接入控制方式配置，导致配置变更频繁、网络管理运维不便的问题。

基于同一发明构思，本申请实施例还提供了一种网络设备，如图7所示，包括处理器710、收发器720和机器可读存储介质730，机器可读存储介质730存储有能够被处理器710执行的机器可执行指令，处理器710被机器可执行指令促使执行本申请实施例所提供的接入控制方法。前述图5、图6所示的接入控制装置，可采用如图7所示的网络设备硬件结构实现。

上述计算机可读存储介质730可以包括随机存取存储器(英文：Random AccessMemory，简称：RAM)，也可以包括非易失性存储器(英文：Non-volatile Memory，简称：NVM)，例如至少一个磁盘存储器。可选的，计算机可读存储介质730还可以是至少一个位于远离前述处理器710的存储装置。

上述处理器710可以是通用处理器，包括中央处理器(英文：Central ProcessingUnit，简称：CPU)、网络处理器(英文：Network Processor，简称：NP)等；还可以是数字信号处理器(英文：Digital Signal Processor，简称：DSP)、专用集成电路(英文：ApplicationSpecific Integrated Circuit，简称：ASIC)、现场可编程门阵列(英文：Field-Programmable Gate Array，简称：FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本申请实施例中，处理器710通过读取机器可读存储介质730中存储的机器可执行指令，被机器可执行指令促使能够实现处理器710自身以及调用收发器720执行前述本申请实施例描述的接入控制方法。

另外，本申请实施例提供了一种机器可读存储介质730，机器可读存储介质730存储有机器可执行指令，在被处理器710调用和执行时，机器可执行指令促使处理器710自身以及调用收发器720执行前述本申请实施例描述的接入控制方法。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

对于接入控制装置以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。