CN101594696A - 用于接入控制器发现的信任检查方法 - Google Patents
用于接入控制器发现的信任检查方法 Download PDFInfo
- Publication number
- CN101594696A CN101594696A CNA2009101575753A CN200910157575A CN101594696A CN 101594696 A CN101594696 A CN 101594696A CN A2009101575753 A CNA2009101575753 A CN A2009101575753A CN 200910157575 A CN200910157575 A CN 200910157575A CN 101594696 A CN101594696 A CN 101594696A
- Authority
- CN
- China
- Prior art keywords
- access controller
- address
- trust
- nominator
- find
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了一种用于接入控制器发现的信任检查方法,包括:发现接入控制器;向所述接入控制器发送单播发现请求消息,该发现请求消息中携带扩展发现类型消息元素;由所述接入控制器解析所述发现请求消息中携带的扩展发现类型消息元素,从而得到发现类型和推荐者的IP地址;根据得到的发现类型,将推荐者的IP地址与存储在所述接入控制器中的信任列表进行检查判断。
Description
技术领域
本发明涉及无线局域网(WLAN)接入点控制与供应(CAPWAP)协议,更具体地讲,涉及接入控制器(AC)发现的信任检查机制。
背景技术
WLAN提供了一种局域网的无线连接服务,由于能够提供高速的无线数据接入,WLAN是流行的无线接入方式。WLAN通常采用集中式AC-AP(接入控制器-接入点)架构。其中,AC提供WLAN网络的集中管理,AP则通过和AC建立链接加入WLAN网络后提供无线接入服务。CAPWAP协议是一种使接入控制器(AC)能够管理接入点(AP)的协议。AP上电后需要先寻找AC。也就是,在AP接入AC之前,需要先让AP知道AC的IP地址,这里的AP发现AC的机制就是AC发现。目前CAPWAP协议支持四种发现机制:静态发现、动态主机分配协议(DHCP)发现、域名系统(DNS)发现、CAPWAP发现。下面将参照图1对上述四种发现机制进行描述。
在图1的系统中涉及接入点AP、两个接入控制器AC(AC-1和AC-2)、DHCP服务器和DNS服务器。下面分别对上述四种发现机制进行描述。静态发现,即在AP上静态配置AC的IP地址。AP启动后,读取配置文件得到AC地址。DHCP发现是在DHCP服务器上将DHCP Option43(DHCP选项43)选项配置为AC地址,当AP通过DHCP服务器申请AC的地址时,DHCP服务器在回应AP的地址请求消息的应答消息中携带此选项,AP通过解析DHCP Option43选项得到AC地址(详细流程参考RFC5417)。DNS发现是在DNS服务器上配置一条DNS记录,地址为AC地址,域名为指定域名;此域名固化在AP固件程序中,AP启动后解析此域名即可得到AC地址。CAPWAP发现是通过CAPWAP协议的发现机制,通过“AC IPv4 List(AC IPv4列表)”或“AC IPv6 List(AC IPv6列表)”消息元素得到AC地址(详细流程参考RFC5415)。对于上述发现机制的具体流程在图1中给出。
如图1所示,步骤(1)和(2)表示DHCP发现过程。在步骤(1)中,AP向DHCP服务器申请DHCP地址,随后在步骤(2),DHCP服务器在回应AP的地址请求消息的应答消息中携带DHCP Option43,AP通过解析DHCPOption43选项得到接入控制器1AC-1的IP地址。
步骤(1’)和(2’)为DNS发现过程。在步骤(1’),AP向DNS服务器发送DNS请求,要求解析域名;AP通过解析DNS服务器的回应消息,得到接入控制器1AC-1的IP地址。
步骤(1”)和(2”)为CAPWAP发现过程。在步骤(1”),接入点AP向AC-2发送发现请求消息,在步骤(2”)接入点AP从AC-2接收到发现响应,解析“AC IPv4 List”或“AC IPv6 List”得到接入控制器1AC-1的IP地址。
一般情况下,AP按照静态发现、DHCP发现、DNS发现、CAPWAP发现顺序尝试AC发现,前一种发现失败则尝试后一种发现,如果最后CAPWAP发现也失败,则AC发现失败。
在AC发现成功后,AP执行注册过程。如图1中的步骤(3)和(4)所示,在步骤(3),AP向接入控制器1AC-1发送发现请求消息,在该发现请求消息中携带发现类型(discovery type),在接收到AP发送的发现请求消息后,接入控制器1AC-1通过分析发现类型可知道AP如何发现自己;然后在步骤(4),接入控制器1AC-1回应发现请求。下面将描述发现类型的消息元素(参考RFC 5415章节4.6.21),其格式在图2中示出。如图2所示,现有的发现类型的消息元素包括消息类型字段。其含义如下:
发现类型为0表示未知。
发现类型为1表示AP是通过静态发现得到的AC地址。
发现类型为2表示AP是通过DHCP发现得到的AC地址。
发现类型为3表示AP是通过DNS发现得到的AC地址。
发现类型为4表示AP是通过CAPWAP发现得到的AC地址。
AC通过分析发现类型可以知道AP是如何发现自己的,可以进一步根据策略选择是否允许AP接入。比如:AC默认只允许静态发现或DHCP发现,而AP通过DNS发现得到AC地址,AP注册时携带发现类型为3,如果AC检查发现类型不是1或2,则拒绝AP注册。
然而,在目前的AC发现机制中,DHCP发现、DNS发现、CAPWAP发现都没有信任机制,不能进行信任检查。在DHCP发现中,AP通过DHCP服务器得到AC地址,而AC不能确定这个DHCP服务器是否合法;在DNS发现中,AP通过DNS服务器得到AC地址,而AC不能确定这个DNS服务器是否合法;同样,在CAPWAP发现中,AP通过一个AC得到另一AC地址,而另一AC不能确定这个AC是否合法。这里所说是否合法,是指这些服务器是否能与AC自己配套,是否是在网络规划中设计好的。比如,网络中部署了两套设备,每套都有独立的AC、DNS服务器、DHCP服务器;可能因为网络规划错误或者配置错误,DNS-1服务器上配置了AC-2的地址(实际应该配置为AC-1的地址),那么本应接入AC-1的AP就会接入AC-2。因此,需要为AC发现提供一种信任检查机制。
发明内容
为了实现本发明的目的,提供一种用于接入控制器发现的信任检查方法,包括:发现接入控制器;向所述接入控制器发送单播发现请求消息,该发现请求消息中携带扩展发现类型消息元素;由所述接入控制器解析所述发现请求消息中携带的扩展发现类型消息元素,从而得到发现类型和推荐者的IP地址;根据得到的发现类型,将推荐者的IP地址与存储在所述接入控制器中的信任列表进行检查判断。
如果检查判断出推荐者的IP地址与存储在所述接入控制器中的信任列表匹配,则允许接入点接入所述接入控制器。所述信任列表中存储所述接入控制器信任的推荐者的IP地址。所述扩展发现类型消息元素包括发现类型字段和IP地址字段,所述IP地址为推荐者的IP地址。
存储在该接入控制器中的信任列表包括接入控制器信任列表、DHCP服务器信任列表、DNS服务器信任列表,在接入控制器信任列表中配置该接入控制器信任的接入控制器的IP地址,该接入控制器允许配置的信任接入控制器将接入点推荐给自己;在DHCP服务器信任列表中配置该接入控制器信任的DHCP服务器IP地址,该接入控制器允许配置的信任DHCP服务器将接入点推荐给自己;在DNS服务器信任列表中配置该接入控制器信任的DNS服务器IP地址,该接入控制器允许配置的信任DNS服务器将接入点推荐给自己。
该接入控制器根据得到的发现类型将推荐者的IP地址与存储在接入控制器中的信任列表进行匹配的步骤包括:如果发现类型为2,则将推荐者的IP地址与DHCP服务器信任列表进行检查判断;如果发现类型为3,则将推荐者的IP地址与DNS服务器信任列表进行检查判断;如果发现类型为4,则将推荐者的IP地址与接入控制器信任列表进行检查判断。
附图说明
图1是四种AC发现的方法的流程图;
图2是现有发现类型的消息元素的格式的示图;
图3是根据本发明的扩展发现类型消息元素的格式的示图;
图4是根据本发明的在AC发现成功后AP执行注册过程的流程图。
具体实施方式
图4是根据本发明的在AC发现成功后AP执行注册过程的流程图。
本发明通过在AC上增加各种信任列表来实现信任检查。例如,根据AC的IP地址发现的类型(例如,CAPWAP发现、DHCP发现、DNS发现),可在AC上增加AC信任列表、DHCP服务器信任列表、DNS服务器信任列表,它们表示该AC能够信任的AC、DHCP服务器和DNS服务器的列表。此外,这里的信任列表可以理解为一个本地或远程数据库,用户可以自己配置该信任列表和向信任列表添加IP地址。AC运行时可以自动读取该信任列表,查看某个IP地址是否在信任列表中。
例如,在AC信任列表中配置该AC信任的AC的IP地址,AC允许配置的“信任的AC”通过“AC IPv4 List”或“AC IPv6 List”消息元素将AP推荐给自己。
DHCP服务器信任列表中配置该AC信任的DHCP服务器IP地址,AC允许配置的自己信任的DHCP服务器通过DHCP Option43选项将AP推荐给自己。
DNS服务器信任列表中配置该AC信任的DNS服务器IP地址,AC允许配置自己的信任的DNS服务器通过DNS解析将AP推荐给自己。
以上信任列表添加的IP地址是在网络规划时预先定义的。
AP通过AC发现得到该AC的IP地址后,向该AC执行注册过程。具体地讲,在步骤S41,AP向AC发送单播发现请求(Discovery Request)消息,在该发现请求消息中携带根据本发明的扩展发现类型(Discovery Type)消息元素,其中IP地址为推荐者的IP地址。下面将参照图3对根据本发明的扩展发现类型消息元素的格式进行详细描述。
如图3所示,发现类型消息元素包括发现类型字段和IP地址字段。其含义如下:
发现类型为0或1时,不携带IP地址。
发现类型为2、3、4时携带IP地址。
发现类型为2时IP地址为推荐者DHCP服务器地址。
发现类型为3时IP地址为推荐者DNS服务器地址。
发现类型为4时IP地址为推荐者AC地址。
如果AP通过DHCP发现得到AC的IP地址,那么AP能够知道推荐者DHCP服务器的IP地址。
如果AP通过DNS发现得到AC的IP地址,那么AP能够知道推荐者DNS服务器的IP地址。
如果AP通过CAPWAP发现得到AC的IP地址,那么AP能够知道推荐者AC的IP地址。
然后,在步骤S42,在AC接收到AP的单播发现请求后,AC解析该发现请求消息中携带的扩展发现类型消息元素,从而得到发现类型和推荐者IP地址。在步骤S43,AC根据解析的发现类型将推荐者IP地址与存储在AC中的信任列表进行匹配,如果匹配成功,则允许AP接入。
例如,如果发现类型为2,且推荐者IP地址与DHCP服务器信任列表匹配,则允许AP接入,回应发现响应;否则拒绝接入,不回应发现响应。
如果发现类型为3,且推荐者IP地址与DNS服务器信任列表匹配,则允许AP接入,回应发现响应;否则拒绝接入,不回应发现响应。
如果发现类型为4,且推荐者IP地址与AC信任列表匹配,则允许AP接入,回应;否则拒绝接入,不回应。
以上所说推荐者的IP与信任列表匹配,是指信任列表中存在一个IP地址与推荐者的IP地址相同。
通过本发明,可以避免因为推荐者配置错误或者恶意推荐者导致AP接入错误的AC。
尽管已经参照本发明的实施例显示和描述了本发明,但是本领域的技术人员应该理解,在不脱离由权利要求限定的本发明的精神和范围的情况下,可以对其进行形式和细节上的各种改变。
Claims (6)
1、一种用于接入控制器发现的信任检查方法,包括:
发现接入控制器;
向所述接入控制器发送单播发现请求消息,该发现请求消息中携带扩展发现类型消息元素;
由所述接入控制器解析所述发现请求消息中携带的扩展发现类型消息元素,从而得到发现类型和推荐者的IP地址;
根据得到的发现类型,将推荐者的IP地址与存储在所述接入控制器中的信任列表进行检查判断。
2、如权利要求1所述的用于接入控制器发现的信任检查方法,其特征在于如果检查判断出推荐者的IP地址与存储在所述接入控制器中的信任列表匹配,则允许接入点接入所述接入控制器。
3、如权利要求2所述的用于接入控制器发现的信任检查方法,其特征在于所述信任列表中存储所述接入控制器信任的推荐者的IP地址。
4、如权利要求1所述的用于接入控制器发现的信任检查方法,其特征在于所述扩展发现类型消息元素包括发现类型字段和IP地址字段,所述IP地址为推荐者的IP地址。
5、如权利要求1所述的用于接入控制器发现的信任检查方法,其特征在于所述存储在该接入控制器中的信任列表包括接入控制器信任列表、DHCP服务器信任列表和DNS服务器信任列表,在接入控制器信任列表中配置该接入控制器信任的接入控制器的IP地址,该接入控制器允许配置的信任接入控制器将接入点推荐给自己;在DHCP服务器信任列表中配置该接入控制器信任的DHCP服务器IP地址,该接入控制器允许配置的信任DHCP服务器将接入点推荐给自己;在DNS服务器信任列表中配置该接入控制器信任的DNS服务器IP地址,该接入控制器允许配置的信任DNS服务器将接入点推荐给自己。
6、如权利要求5所述的用于接入控制器发现的信任检查方法,其特征在于根据得到的发现类型将推荐者的IP地址与存储在接入控制器中的信任列表进行匹配的步骤包括:
如果发现类型为2,则将推荐者的IP地址与DHCP服务器信任列表进行检查判断;
如果发现类型为3,则将推荐者的IP地址与DNS服务器信任列表进行检查判断;
如果发现类型为4,则将推荐者的IP地址与接入控制器信任列表进行检查判断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101575753A CN101594696B (zh) | 2009-07-14 | 2009-07-14 | 用于接入控制器发现的信任检查方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101575753A CN101594696B (zh) | 2009-07-14 | 2009-07-14 | 用于接入控制器发现的信任检查方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101594696A true CN101594696A (zh) | 2009-12-02 |
| CN101594696B CN101594696B (zh) | 2011-01-05 |
Family
ID=41409061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101575753A Active CN101594696B (zh) | 2009-07-14 | 2009-07-14 | 用于接入控制器发现的信任检查方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101594696B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105120508A (zh) * | 2015-09-23 | 2015-12-02 | 苏州汉明科技有限公司 | 一种ap自动获取上线位置的方法及系统 |
| CN107612741A (zh) * | 2017-09-30 | 2018-01-19 | 迈普通信技术股份有限公司 | 信息处理方法、装置及系统 |
-
2009
- 2009-07-14 CN CN2009101575753A patent/CN101594696B/zh active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105120508A (zh) * | 2015-09-23 | 2015-12-02 | 苏州汉明科技有限公司 | 一种ap自动获取上线位置的方法及系统 |
| CN107612741A (zh) * | 2017-09-30 | 2018-01-19 | 迈普通信技术股份有限公司 | 信息处理方法、装置及系统 |
| CN107612741B (zh) * | 2017-09-30 | 2021-04-16 | 迈普通信技术股份有限公司 | 信息处理方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101594696B (zh) | 2011-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11811899B2 (en) | IPv4/IPv6 bridge | |
| US8767737B2 (en) | Data center network system and packet forwarding method thereof | |
| US8812723B2 (en) | Assignment of network addresses | |
| JP4487150B2 (ja) | 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム | |
| US8161135B2 (en) | Device identification number based name service | |
| JP2007208317A (ja) | ドメインネームシステム | |
| WO2013185731A2 (zh) | 一种自动管理IPv6地址冲突的方法及系统 | |
| US20170279764A1 (en) | Communication control apparatus, method, and recording medium for dhcp | |
| US7289471B2 (en) | Mobile router, position management server, mobile network management system, and mobile network management method | |
| US8605736B2 (en) | Method, system and apparatus for heterogeneous addressing mapping | |
| WO2019052057A1 (zh) | 一种路由器固件升级方法及系统 | |
| JP2006129355A (ja) | 情報処理装置、データ伝送システム、データ伝送方法、および該データ伝送方法を情報処理装置に対して実行させるためのプログラム | |
| US20030126241A1 (en) | Registration agent system, network system and program therefor | |
| US20070223397A1 (en) | Network configuration | |
| JP2010283553A (ja) | 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム | |
| US10243920B1 (en) | Internet protocol address reassignment between virtual machine instances | |
| CN101594696B (zh) | 用于接入控制器发现的信任检查方法 | |
| CN102761425B (zh) | 计费方法及装置 | |
| JP2011097461A (ja) | 機器管理装置、機器管理システム、機器管理方法、機器管理プログラム、及びそのプログラムを記録した記録媒体 | |
| JP2010193015A (ja) | 通信装置およびその通信方法 | |
| KR20070047033A (ko) | Eap-tlv 메시지를 이용한 공중 무선랜 서비스 접속프로그램의 버전 관리 및 갱신 방법 | |
| JP4425710B2 (ja) | IPv6通信を行うための方法およびシステム、並びに媒体 | |
| US20120106411A1 (en) | Portable router | |
| JP7060823B2 (ja) | 通信システム、通信装置およびプログラム | |
| JP2005197793A (ja) | ネットワークアドレス割当装置、ネットワークアドレス割当方法およびネットワークアドレス割当プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: BEIJING AUTELAN TECHNOLOGY CO., LTD. Free format text: FORMER NAME: AUTELAN TECHNOLOGY INC. |
|
| CP03 | Change of name, title or address |
Address after: 100193 Beijing city Haidian District Dongbeiwang West Road No. 8 Zhongguancun Software Park Building 5 Building 2 layer Hanvon Technology Patentee after: BEIJING AUTELAN TECHNOLOGY Co.,Ltd. Address before: 100084, 2B-517, bright city, No. 1, Nongda South Road, Beijing, Haidian District Patentee before: Beijing AUTELAN Technology Co.,Ltd. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 100193, No. 1, building three, zone 9, Zhongguancun Software Park, 8 West Wang Xi Road, Beijing, Haidian District Patentee after: Beijing AUTELAN Technology Co.,Ltd. Address before: 100193 Beijing city Haidian District Dongbeiwang West Road No. 8 Zhongguancun Software Park Building 5 Building 2 layer Hanvon Technology Patentee before: BEIJING AUTELAN TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20151126 Address after: 100085 Beijing, East Road, No. 1, building on the north side of the building, room 313, room 3 Patentee after: Beijing Hua Xinaotian network technology Co.,Ltd. Address before: 100193, No. 1, building three, zone 9, Zhongguancun Software Park, 8 West Wang Xi Road, Beijing, Haidian District Patentee before: Beijing AUTELAN Technology Co.,Ltd. |