CN103442358B - 一种集中认证本地转发的方法及控制装置 - Google Patents
一种集中认证本地转发的方法及控制装置 Download PDFInfo
- Publication number
- CN103442358B CN103442358B CN201310390546.8A CN201310390546A CN103442358B CN 103442358 B CN103442358 B CN 103442358B CN 201310390546 A CN201310390546 A CN 201310390546A CN 103442358 B CN103442358 B CN 103442358B
- Authority
- CN
- China
- Prior art keywords
- vlan
- user
- mac
- message
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种网络装置和方法,用于包括无线控制器AC和接入点AP的无线网络中,所述网络装置对收到的用户的第一报文进行检测其是否通过Portal认证,针对未通过认证的用户的MAC地址,将其MAC地址添加到第一VLAN的表项内,针对已通过认证的用户的MAC地址,将其MAC添加在第二VLAN的表项内;检查收到的所述用户报文的MAC地址所属的VLAN信息,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项。通过使用该方法,可以实现无线网络中集中认证本地转发的功效,用户设备无需改动配合,而控制装置的改动也很小,兼容性良好。
Description
技术领域
本申请涉及无线网络技术,尤其是涉及在无线网络中实现集中认证本地转发的方法及装置。
背景技术
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
本地转发是指AC+FITAP架构的无线网络组网情况而言,用户的管理和控制帧,如802.11管理、控制报文和802.1x协议报文等,通过CAPWAP隧道传递给AC集中处理,以实现用户的认证、授权等,用户流量信息也通过CAPWAP隧道以管理帧的方式通报给AC,以实现计费、负载均衡等应用。用户的数据帧,包括802.11数据和来自有线的802.3数据报文,在AP本地进行解析、封装等处理,并直接由AP进行转发,实现数据的高速处理。
本地转发对于部署WIFI意义重大,由于转发走AP,因此对于一台AC控制多大几百台AP部署成为可能。
发明内容
有鉴于此,本申请提供一种控制装置,用于包括无线控制器和AP的无线网络中,所述装置包括:安全认证模块,用于对收到的用户的第一报文进行检测其是否通过Portal认证;分配模块,针对未通过认证的用户的MAC地址,将其MAC地址添加到第一VLAN的表项内,针对已通过认证的用户的MAC地址,将其MAC添加在第二VLAN的表项内;处理模块,检查收到的所述用户报文的MAC地址所属的VLAN信息,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项。
所述处理模块进一步用于检查收到的所述用户的第二报文的MAC地址所属的VLAN信息,如果是第一VLAN,则将其重定向至Portal服务器进行认证。
所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表;所述第二VLAN的表项至少包括MAC+VLAN+端口转发表项。
所述认证模块进一步用于在用户通过Portal认证后,删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表,并通知AP解除与所述用户的关联,以促使用户重新发起关联。
本申请还提供一种集中认证本地转发的方法,所述方法应用于包括AC和AP的无线网络中,所述方法包括:
对收到的用户的第一报文中的MAC地址进行检查起是否通过portal认证;
针对未通过认证的用户的MAC地址,将其MAC地址添加到第一VLAN的表项内,针对已经通过认证的用户的MAC地址,将其地址添加到第二VLAN表项内;
检查所述收到用户的报文携带的MAC地址所属的VLAN,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项;
收到用户的第二报文,检查其MAC地址所属的VLAN信息,如果是第一VLAN,则将其重定向至Portal服务器进行认证。
其中,所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表;所述第二VLAN的表项至少包括MAC+VLAN+端口转发表项。
收到用户认证成功消息后,删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表,并通知AP解除与所述用户的关联,以促使用户重新发起关联。
本方案利用了未通过认证的MAC地址添加到VLAN1中,通过认证的MAC地址则添加到VLAN2中的方法,实现了无线用户的Portal认证,并在认证成功后可以走AP本地转发,该技术方案对用户来说,完全无需改动,对网络设备来说,改动也很小,兼容性强。
附图说明
图1是本申请的装置的硬件示意图。
图2是本申请的方法的流程图。
图3是本申请的一个实施方式的流程图。
具体实施方式
在本地转发场景下,由于AP和AC之间为三层组网,Portal认证的HTTP报文为二层认证报文,不能通过三层转发,所以,Portal接入控制点无法部署在AC上,后续有厂家提出了集中认证本地转发的解决方案,用户使用Portal认证方式发送的报文都经过CAPWAP封装,发送给AC,实现由AC统一认证的功能,但由于采用CAPWAP隧道方式转发,而CAPWAP隧道带宽的限制,会直接影响用户的网络信息传输速率,产生数据传输延迟,导致用户体验变差。
本申请提供一种实现集中认证本地转发的控制装置很好的解决了上述问题,所述控制装置用于包括AC和AP的无线网络中,如图1所示,该装置的基本硬件环境包括CPU、内存、非易失性存储器以及其他硬件,在逻辑上包括:安全认证模块,分配模块和处理模块,这些模块实际上为计算机程序模块由CPU加载至内存调用而形成的。请一并参考图2,所述装置在计算机调用时执行以下流程:
步骤21安全认证模块对收到的用户报文中的MAC地址进行检查起是否通过portal认证。
步骤22分配模块针对未通过认证的用户的MAC地址,将其MAC地址添加到第一VLAN的表项内,针对已经通过认证的用户的MAC地址,将其地址添加到第二VLAN表项内。
步骤23处理模块检查所述收到用户的报文携带的MAC地址所属的VLAN,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项。其中,第一VLAN为集中转发VLAN,第二VLAN为本地转发VLAN,一般在集中转发VLAN上会配置Portal认证,即属于该VLAN的所有用户需要被强制进行PORTAL认证。
在实际使用中,利用无线的集中认证本地转发的实现Portal认证的方案很多,但大多数方案对现有流程更改的地方很大,而本申请提供的技术方案在改动很小的基础上能够实现集中认证本地转发的良好效果。在本申请的一个实施例中,请参考图3,本实施例中的集中转发VLAN为VLAN1,本地转发VLAN为VLAN2。
31)用户发送关联请求报文,AC报文携带的MAC地址进行MAC地址认证检查,检测该MAC地址没有通过Portal认证,将其加入集中转发VLAN1中。
用户通过指定SSID选择无线网络,通过AP链路认证后,会向AP发送关联请求,AC收到AP转发过来的用户的关联请求报文,AC的安全认证模块对报文携带的MAC地址进行MAC地址认证,检测该MAC地址没有通过Portal认证。
AC针对未通过认证的用户,将其MAC添加到的VLAN表项包括用户MAC+VLAN1的记录表和用户MAC+VLAN1+端口的转发表,所述用户MAC+VLAN的记录表用来查找转发表,因为在实际使用中,用户的MAC地址可能在转发表中对应多个VLAN,所以需要根据MAC+VLAN来确定唯一的转发表。
AC针对通过认证的用户将其MAC添加到的VLAN表项至少包括用户MAC+VLAN2+端口的转发表,用户MAC+VLAN记录表在多个用户使用同一个本地转发VLAN转发的情况下,可以省略,在多个用户各自使用各自的本地转发VLAN转发时存在,并且,所述用户MAC+VLAN2+端口的转发表需要被下发到AP上,因此,在AC本地该表项虽然被下发但是在硬件中并不生效,后续用户的报文都走AP本地转发,其实施方式与现有技术相同,在此就不再赘述了。
根据安全认证模块的检测结果,所述分配模块将没有通过认证的用户的MAC地址加到MAC+Vlan1的记录表中,后续强制用户在该VLAN1内转发,并同时下发包含用户MAC+VLAN1+端口信息的转发表项。此用户为首次上线,并没有进行过安全认证,用户本身在报文中会携带着VLAN2tag原本被分配的VLAN tag,此为用户自身携带的VLAN tag,一般默认为本地转发VLAN的tag,当然也可以为其他的VLAN tag。由于是首次登陆,尚未通过认证,用户的MAC被分配在集中转发VLAN1内,后续属于所述用户的报文将会被强制在VLAN1内转发,,AC的处理模块检查该MAC地址对应的VLAN信息不是本地转发表项中的VLAN2,所以,不向其关联的AP下发转发表项。
32)用户发送Http请求报文,AC将其重定向至Portal Server,进行Portal认证。
AC已经为未通过认证的用户建立了对应的MAC+VLAN的记录表和转发表后,又收到了所述用户的后续报文,AC的处理模块会继续检查其MAC地址所属的VLAN信息,确定是第一VLAN后,即集中转发VLAN,则将所述报文重定向至Portal服务器进行认证,这里的集中转发VLAN上启用了Portal,定义了所有的属于所述VLAN的用户都需要强制进行Portal认证。
用户访问网页发送HTTP请求报文,由于AP在本地没有找到对应的转发表项,则将该HTTP请求报文直接发送到AC处理。AC收到用户的HTTP请求报文后,发现用户报文对应的MAC地址属于集中转发VLAN1,由于VLAN1上开启了Portal认证,所有属于VLAN1的MAC地址都需要被重定向至Portal Server上进行认证,所以,用户的HTTP请求报文被重定向到PortalServer。
33)用户访问Portal Server提供的认证页面,输入用户名和密码信息。
34)Portal Server接收到该信息,向AC发起用户认证请求,AC往Radius Server发起用户认证请求。
35)Radius Server回应认证成功消息。
36)AC收到认证成功消息,告诉Portal Server认证成功。
37)Portal Server通知客户端认证成功。
38)AC收到认证成功消息后,通知认证模块删除Vlan1记录表和转发表中用户的MAC地址,并解除AP与所述用户的关联,以促使用户重新与所述AP关联。
39)用户重新进行关联AP,AP将关联请求报文发送给AC处理。
40)经过AC的安全认证模块对所述认证报文进行MAC地址认证,认证模块检查该MAC地址用户Portal认证通过,则通知处理模块将所述MAC地址添加到VLAN2,因MAC地址对应的VLAN信息和本地转发配置的VLAN一致,所以,AC将对应的转发表下发给AP。
41)AP添加用户本地转发信息。AP收到用户的报文,查看转发表项已经存在,直接进行转发;如果没有转发表项,则重复前面的流程,在此不做赘述。
本方案未通过认证的MAC地址添加到VLAN1的表项中,通过认证的MAC地址则添加到VLAN2表项中,实现了无线用户的Portal认证,并在认证成功后可以走AP本地转发,该技术方案对用户来说,所有的改进都是透明的,用户设备上无需任何改动,而对控制装置来说,改动也很小,兼容性强。以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (9)
1.一种控制装置,用于包括无线控制器AC和接入点AP的无线网络中,其特征在于,所述装置包括:安全认证模块,用于对收到的用户的第一报文进行检测其是否通过Portal认证;分配模块,针对关联AP时未通过认证的用户,将其MAC地址添加到第一VLAN的表项内,针对关联AP时已通过认证的用户,将其MAC添加在第二VLAN的表项内;处理模块,检查收到的所述用户报文的MAC地址所属的VLAN信息,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项,其中,所述第一VLAN为集中转发VLAN,所述第二VLAN为本地转发VLAN;
所述安全认证模块进一步用于在用户通过Portal认证后,通知AP解除与所述用户的关联,以促使用户重新发起关联。
2.如权利要求1所述的装置,其特征在于,所述处理模块进一步用于检查收到的所述用户的第二报文的MAC地址所属的VLAN信息,如果是集中转发VLAN,则将其重定向至Portal服务器进行认证。
3.如权利要求1所述的装置,其特征在于,所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表;所述第二VLAN的表项至少包括MAC+VLAN+端口转发表项。
4.如权利要求1所述的装置,其特征在于,所述认证模块进一步用于在用户通过Portal认证后,删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表。
5.一种集中认证本地转发的方法,所述方法应用于包括AC和AP的无线网络中,其特征在于,所述方法包括:
对收到的用户的第一报文中的MAC地址进行检查起是否通过portal认证;
针对关联AP时未通过认证的用户,将其MAC地址添加到第一VLAN的表项内,针对关联AP时已经通过认证的用户,将其地址添加到第二VLAN表项内;
检查所述收到用户的报文携带的MAC地址所属的VLAN,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项,其中,所述第一VLAN为集中转发VLAN,所述第二VLAN为本地转发VLAN;
所述方法进一步包括:收到用户认证成功消息后,通知AP解除与所述用户的关联,以促使用户重新发起关联。
6.如权利要求5所述的方法,其特征在于,所述方法进一步包括:
收到用户的第二报文,检查其MAC地址所属的VLAN信息,如果是集中转发VLAN,则将其重定向至Portal服务器进行认证。
7.如权利要求5所述的方法,其特征在于,所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表;所述第二VLAN的表项至少包括MAC+VLAN+端口转发表项。
8.如权利要求7所述的方法,其特征在于,所述方法进一步包括:
收到用户认证成功消息后,删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表。
9.如权利要求6所述的方法,其特征在于,所述第一报文为用户的关联报文,所述第二报文为HTTP报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310390546.8A CN103442358B (zh) | 2013-08-30 | 2013-08-30 | 一种集中认证本地转发的方法及控制装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310390546.8A CN103442358B (zh) | 2013-08-30 | 2013-08-30 | 一种集中认证本地转发的方法及控制装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103442358A CN103442358A (zh) | 2013-12-11 |
| CN103442358B true CN103442358B (zh) | 2017-01-18 |
Family
ID=49696011
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310390546.8A Active CN103442358B (zh) | 2013-08-30 | 2013-08-30 | 一种集中认证本地转发的方法及控制装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103442358B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270364B (zh) * | 2014-09-30 | 2018-01-12 | 新华三技术有限公司 | 一种超文本传输协议报文处理方法和装置 |
| CN104811439B (zh) * | 2015-03-30 | 2018-08-24 | 新华三技术有限公司 | 一种Portal认证的方法和设备 |
| CN105162608A (zh) * | 2015-10-13 | 2015-12-16 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的物理地址旁路认证方法及装置 |
| CN105764056B (zh) * | 2016-04-13 | 2020-04-24 | 趣增信息科技(上海)有限公司 | 一种用于公共wifi接入的web认证系统及方法 |
| CN106060072B (zh) * | 2016-06-30 | 2019-09-06 | 新华三技术有限公司 | 认证方法以及装置 |
| CN107360077A (zh) * | 2017-06-14 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | Vlanid分配方法和vlan实现方法、云控制器及无线接入点 |
| CN108259454B (zh) * | 2017-06-22 | 2020-12-04 | 新华三技术有限公司 | 一种Portal认证方法和装置 |
| CN108601022B (zh) * | 2018-03-30 | 2021-05-14 | 新华三技术有限公司 | 一种门户认证方法及装置 |
| CN114302393A (zh) * | 2021-11-17 | 2022-04-08 | 锐捷网络股份有限公司 | 基于认证的通信控制方法、装置、设备及系统 |
| CN116390155B (zh) * | 2023-06-02 | 2023-08-25 | 新华三技术有限公司 | 一种报文收发控制方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616137A (zh) * | 2008-06-26 | 2009-12-30 | 中兴通讯股份有限公司 | 主机安全接入方法、隔离方法及安全接入和隔离的系统 |
| CN101711031A (zh) * | 2009-12-23 | 2010-05-19 | 杭州华三通信技术有限公司 | 一种本地转发中的Portal认证方法和接入控制器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8104072B2 (en) * | 2006-10-26 | 2012-01-24 | Cisco Technology, Inc. | Apparatus and methods for authenticating voice and data devices on the same port |
-
2013
- 2013-08-30 CN CN201310390546.8A patent/CN103442358B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616137A (zh) * | 2008-06-26 | 2009-12-30 | 中兴通讯股份有限公司 | 主机安全接入方法、隔离方法及安全接入和隔离的系统 |
| CN101711031A (zh) * | 2009-12-23 | 2010-05-19 | 杭州华三通信技术有限公司 | 一种本地转发中的Portal认证方法和接入控制器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103442358A (zh) | 2013-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103442358B (zh) | 一种集中认证本地转发的方法及控制装置 | |
| US10097546B2 (en) | Authentication of a user device using traffic flow information | |
| EP3800934A1 (en) | Method for routing internet of things service | |
| US9537868B2 (en) | Communication management and policy-based data routing | |
| WO2017177691A1 (zh) | 一种入口认证方法和系统 | |
| US20140188676A1 (en) | Automated configuration for network appliances | |
| US20170078880A1 (en) | Cloud-based friend onboarding for wi-fi network communication authentication | |
| US11019560B2 (en) | Selective cloud-based SSID (service set identifier) steering for allowing different levels of access for wireless network friends when onboarding on Wi-Fi networks | |
| CN104580116B (zh) | 一种安全策略的管理方法和设备 | |
| CN102710659B (zh) | 一种无线接入设备及自动认证的方法 | |
| CN105474574A (zh) | 使用设备标识符进行认证的系统和方法 | |
| CN104104516A (zh) | 一种Portal认证方法和设备 | |
| CN105873055B (zh) | 一种无线网络接入认证方法及装置 | |
| CN103796278A (zh) | 移动终端无线网络接入控制方法 | |
| US20170201533A1 (en) | Mobile aware intrusion detection system | |
| EP3206422A1 (en) | Method and device for creating subscription resource | |
| CN107508822A (zh) | 访问控制方法及装置 | |
| EP3457657B1 (en) | Access control method and system, and switch | |
| KR102171348B1 (ko) | 어플리케이션 검출 방법 및 장치 | |
| CN106060072A (zh) | 认证方法以及装置 | |
| US10390217B2 (en) | Wireless configuration of wireless distribution system (WDS) Wi-Fi range extenders using non-Wi-Fi-wireless communication channels | |
| JP6153168B2 (ja) | 接続認証方法、そのシステムおよび端末 | |
| US11792033B2 (en) | Restricting control of an output resource advertising services openly over a wireless network for playing media | |
| KR101284584B1 (ko) | 시그널링 트래픽 관리 시스템 및 그 방법 | |
| US9544837B2 (en) | Communication management and targeted message delivery |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |