CN106131066A - 一种认证方法及装置 - Google Patents
一种认证方法及装置 Download PDFInfo
- Publication number
- CN106131066A CN106131066A CN201610734459.3A CN201610734459A CN106131066A CN 106131066 A CN106131066 A CN 106131066A CN 201610734459 A CN201610734459 A CN 201610734459A CN 106131066 A CN106131066 A CN 106131066A
- Authority
- CN
- China
- Prior art keywords
- terminal user
- target terminal
- certification
- described target
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种认证方法及装置,所述方法包括:当接收到汇聚交换机发送的针对目标用户终端的媒体访问控制MAC认证触发请求时,对目标用户终端进行MAC认证;当对目标用户终端MAC认证完成,且接收到汇聚交换机发送的目标用户终端的MAC地址以及目标用户终端所属的目标虚拟局域网VLAN时,根据目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定目标用户终端接入的目标接入交换机的目标端口,并控制目标接入交换机的目标端口关闭后重新开启;当再次接收到汇聚交换机发送的携带有目标用户终端的MAC地址的MAC认证触发请求,且确定目标用户终端的MAC地址已认证通过时,允许目标用户终端进行网络访问。应用本发明实施例可以提高认证方案的适用性。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种认证方法及装置。
背景技术
MAC(Media Access Control,媒体访问控制)+Portal(门户)认证方式为当前较为流行的一种认证方式,其主要实现原理为:
当用户终端第一次上线时(即有新的MAC地址上线)时,在接入交换机上触发MAC认证,控制器为用户终端分配一个guest(访客)VLAN(Virtual Local Area Network,虚拟局域网),并返回Portal页面的URL(Uniform Resoure Locator:统一资源定位器);用户终端在guest VLAN中发起DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)获取guest IP(Internet Protocol,互联网协议)地址,用户终端获取到guest IP地址后,会被重定向到Portal页面,进行用户名和密码认证;认证通过后,控制器完成MAC地址+用户名+密码的绑定,并控制接入交换机上连接该用户终端的端口进行down(关闭),然后重新UP(开启);接入交换机端口重新UP后,会重新触发用户终端的MAC地址的认证,用户终端重新申请新的IP地址,并可正常上网。
然而实践发现,上述认证方案中,认证点在接入交换机,即需要在接入交换机完成认证,但是,目前接入交换机存在许多不同的型号,部分型号的接入交换机可能会不支持上述认证方案,进而造成上述认证方案的应用具有较大局限性。
发明内容
本发明提供一种认证方法及装置,以解决现有MAC+portal认证方案中认证点在接入交换机上的实现方式中可能会由于部分接入交换机的型号或功能限制,导致方案应用局限性较大的问题。
根据本发明实施例的第一方面,提供一种认证方法,应用于控制器,该方法包括:
当接收到汇聚交换机发送的针对目标用户终端的媒体访问控制MAC认证触发请求时,对所述目标用户终端进行MAC认证;
当对所述目标用户终端MAC认证完成,且接收到所述汇聚交换机发送的所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN时,根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定目标用户终端接入的目标接入交换机的目标端口,并控制所述目标接入交换机的目标端口关闭后重新开启;
当再次接收到所述汇聚交换机发送的携带有所述目标用户终端的MAC地址的MAC认证触发请求,且确定所述目标用户终端的MAC地址已认证通过时,允许所述目标用户终端进行网络访问。
根据本发明实施例的第二方面,提供一种认证方法,应用于汇聚交换机,所述方法包括:
当检测到目标用户终端初次上线时,向控制器发送媒体访问控制MAC认证触发请求,所述MAC认证触发请求中携带有所述汇聚交换机的IP地址、所述汇聚交换机上连接所述目标用户终端的端口号以及所述目标用户终端的MAC地址;
当所述目标用户终端MAC认证完成时,将所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN发送给所述控制器,以使所述控制器根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定所述目标用户终端接入的目标接入交换机的目标端口,并控制所述目标接入交换机的目标端口关闭后重新开启;
当检测到所述目标用户终端再次上线时,再次向所述控制器发送携带所述目标用户终端的MAC地址的MAC认证触发请求,以使所述控制器确定所述目标用户终端的MAC地址已认证通过后,允许所述目标用户终端进行网络访问。
根据本发明实施例的第三方面,提供一种认证装置,应用于控制器,包括:
接收单元,用于接收汇聚交换机发送的针对目标用户终端的媒体访问控制MAC认证触发请求;
认证单元,用于对所述目标用户终端进行MAC认证;
确定单元,用于当所述认证单元对所述目标用户终端MAC认证完成,且所述接收单元接收到所述汇聚交换机发送的所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN时,根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定目标用户终端接入的目标接入交换机的目标端口;
控制单元,用于控制所述目标接入交换机的目标端口关闭后重新开启。
处理单元,还用于当所述接收单元再次接收到所述汇聚交换机发送的携带有所述目标用户终端的MAC地址的MAC认证触发请求,且所述认证单元确定所述目标用户终端的MAC地址已认证通过时,允许所述目标用户终端进行网络访问。
根据本发明实施例的第四方面,提供一种认证装置,应用于汇聚交换机,包括:
检测单元,用于检测用户终端上线;
发送单元,用于当所述检测单元检测到目标用户终端初次上线时,向控制器发送媒体访问控制MAC认证触发请求,所述MAC认证触发请求中携带有所述汇聚交换机的IP地址、所述汇聚交换机上连接所述目标用户终端的端口号以及所述目标用户终端的MAC地址;
所述发送单元,还用于当所述目标用户终端MAC认证完成时,将所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN发送给所述控制器,以使所述控制器根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定所述目标用户终端接入的目标接入交换机的目标端口,并控制所述目标接入交换机的目标端口关闭后重新开启;
所述发送单元,还用于当所述检测单元检测到所述目标用户终端再次上线时,再次向所述控制器发送携带所述目标用户终端的MAC地址的MAC认证触发请求,以使所述控制器确定所述目标用户终端的MAC地址已认证通过后,允许所述目标用户终端进行网络访问。
应用本发明实施例,通过预先设置并存储接入交换机端口与VLAN的映射关系,当目标用户终端MAC认证完成时,汇聚交换机将目标用户终端的MAC地址和目标用户终端所属的VLAN发送给控制器,由控制器根据目标用户终端所属的VLAN确定目标用户终端所接入的目标接入交换机上的目标端口,并控制该目标端口进行down,然后重新UP;当汇聚交换机检测到目标用户终端再次上线时,再次向控制器发送携带目标用户终端的MAC地址的MAC认证触发请求,以使控制器确定目标用户终端的MAC地址已认证通过后,将目标用户终端的数据流量映射到目标用户终端的MAC地址对应的业务VXLAN,与现有MAC+portal认证方案相比,认证点上移到汇聚交换机,不受接入交换机型号或功能限制,提高了方案的适用性。
附图说明
图1是本发明实施例提供的一种认证方法的流程示意图;
图2是本发明实施例提供的另一种认证方法的流程示意图;
图3是本发明实施例提供的一种具体应用场景的架构示意图;
图4是本发明实施例提供的一种认证装置的结构示意图;
图5是本发明实施例提供的一种认证装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
请参见图1,图1为本发明实施例提供的一种认证方法的流程示意图,其中,该认证方法可以应用于汇聚交换机,如图1所示,该认证方法可以包括以下步骤:
需要说明的是,在本发明实施例中,步骤101~步骤103的执行主体可以为汇聚交换机或汇聚交换机的处理器,如CPU(Center Process Unit,中央处理单元),为便于描述,以下以步骤101~步骤103的执行主体为汇聚交换机为例进行说明。
步骤101、当检测到目标用户终端初次上线时,向控制器发送MAC认证触发请求,该MAC认证触发请求中携带有汇聚交换机的IP地址、汇聚交换机上连接目标用户终端的端口号以及目标用户终端的MAC地址。
本发明实施例中,目标用户终端并不特指某一固定的用户终端,而是可以指代任一需要进行认证的用户终端,本发明实施例后续不再复述。
本发明实施例中,考虑到现有MAC+Portal认证方案中认证点在接入交换机上,而现有组网中接入交换机的数量较多,可能会存在很多不同型号或功能的接入交换机,而不同型号或功能的接入交换机对认证功能的支持情况不一样,导致认证管理难度较大,因而,在本发明实施中,可以将认证点设置在汇聚交换机上,使认证控制权上移,更加集中的进行控制管理,不受接入交换机型号或功能影响,降低认证管理难度。
相应地,在本发明实施例中,当汇聚交换机检测到目标用户终端初次上线时,汇聚交换机可以将自身的IP地址、汇聚交换机上连接目标用户终端的端口号以及目标用户终端的MAC地址携带在MAC认证触发请求中发送给控制器,以触发控制器对目标用户终端进行MAC认证。
值得说明的是,在实际组网中,用户终端可以通过接入交换机接入网络(在该情况下,汇聚交换机上连接目标用户终端的端口号为汇聚交换机与目标用户终端所接入的接入交换机连接的端口号),或者,用户终端也可以通过直接通过汇聚交换机接入网络(在该情况下,汇聚交换机连接目标用户终端的端口号为汇聚交换机与目标用户终端连接的端口号),在本发明实施例中,若未特殊说明,MAC认证触发请求中携带的汇聚交换机上连接目标用户终端的端口号是指汇聚交换机与目标用户终端所接入的接入交换机连接的端口号。
本发明实施例中,控制器接收到汇聚交换机发送的MAC认证触发请求时,需要对目标用户终端进行MAC认证,其具体实现可以参见图2所示方法流程中的相关描述,本发明实施例在此不做赘述。
步骤102、当目标用户终端MAC认证完成时,将目标用户终端的MAC地址以及目标用户终端所属的目标虚拟局域网VLAN发送给控制器,以使控制器根据该目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定目标用户终端接入的目标接入交换机的目标端口,并控制目标接入交换机的目标端口关闭后重新开启。
本发明实施例中,为了使控制器能够定位用户终端在接入交换机上的端口位置,可以预先为接入交换机的各端口设置对应的VLAN,并将接入交换机端口号与VLAN的对应关系存储在控制器或网关系统。
相应地,在本发明实施例中,当目标用户终端MAC认证完成时,汇聚交换机可以获取目标用户终端所属的VLAN(本文中称为目标VLAN),并将目标用户终端的MAC地址以及该目标VLAN发送给控制器。
其中,控制器接收到该汇聚交换机发送的目标用户终端的MAC地址以及目标VLAN时,可以根据该目标VLAN查询预先存储的VLAN与接入交换机端口号的对应关系,确定该目标VLAN对应的接入交换机(本文中称为目标接入交换机,即目标用户终端所接入的接入交换机)的端口(本文中称为目标端口,即目标接入交换机上连接目标用户终端的端口)。
控制器确定目标用户终端在目标接入交换机上的目标端口后,可以通过MIB(Management Information Base,管理信息库)或其它控制协议控制该端口,当控制器确定对目标用户终端的MAC地址的认证通过时,控制器可以控制该目标接入交换机上的目标端口Down,以控制目标接入交换机去关联目标用户终端,然后,再控制该目标接入交换机上的目标端口重新UP,以使目标用户终端重新上线。
步骤103、当检测到目标用户终端再次上线时,再次向控制器发送携带有目标用户终端的MAC地址的MAC认证触发请求,以使控制器确定目标用户终端的MAC地址已认证通过后,允许目标用户终端进行网络访问。
本发明实施例中,当汇聚交换机检测到目标用户终端再次上线时,汇聚交换机可以再次向控制器发送携带有目标用户终端的MAC地址的MAC认证触发请求;控制器接收到该MAC认证触发请求之后,判断该MAC认证触发请求中携带的目标用户终端的MAC地址已认证通过,允许所述目标用户终端进行网络访问。
具体地,控制器可以将根据目标用户终端的MAC地址、目标用户终端接入的目标接入交换机的目标端口以及目标端口对应的VLAN将目标用户终端的数据流量映射到目标用户终端的MAC地址对应的业务VXLAN(Virtual Extensible Local Area Network,虚拟可扩展局域网),即允许所述目标端口进入的源MAC地址为所述目标用户终端的MAC地址,且携带的VLAN ID为所述目标端口对应的VLAN ID的数据流量在该业务VXLAN内通过,避免目标用户终端每次进行网络访问时均需要进行portal认证。
其中,在本发明实施例中,可以预先为各MAC地址分配相应的业务VXLAN,从而,当控制器确定目标用户终端的MAC地址已认证通过时,可以根据该目标用户终端的MAC地址查询MAC地址与业务VXLAN的对应关系,进而确定目标用户终端的MAC地址对应的业务VXLAN。
本发明实施例中,目标用户终端重新上线(即目标接入交换机上的目标端口Down后重新UP)时,目标用户终端可以在业务VXLAN中重新进行DHCP申请,获取到新的IP地址后,用户即可正常上网。
请参见图2,为本发明实施例提供的另一种认证方法的流程示意图,其中,该认证方法可以应用于控制器,如图2所示,该认证方法可以包括以下步骤:
需要说明的是,在本发明实施例中,步骤201~步骤203的执行主体可以为控制器或控制器的处理器,如CPU,为便于描述,以下以步骤201~步骤203的执行主体为控制器为例进行说明。
步骤201、当接收到汇聚交换机发送的针对目标用户终端的MAC认证触发请求时,对目标用户终端进行MAC认证。
本发明实施例中,当汇聚交换机检测到目标用户终端初次上线时,汇聚交换机可以将自身的IP地址、汇聚交换机上连接目标用户终端的端口号以及目标用户终端的MAC地址携带在MAC认证触发请求中发送给控制器,以触发控制器对目标用户终端进行MAC认证。
当控制器接收到汇聚交换机发送的针对目标用户终端的MAC认证触发请求时,对该目标用户终端进行MAC认证。
本发明实施例中,控制器对目标用户终端进行MAC认证,可以包括:
将目标用户终端重定向到portal页面,并接收目标用户终端通过该portal页面提交的用户名和密码;
当根据该目标用户终端通过该portal页面提交的用户名和密码认证通过时,确认该目标用户终端的MAC地址认证通过,并生成目标用户终端的MAC地址、用户名和密码三者的绑定关系。
具体地,在本发明实施例中,控制器接收到汇聚交换机发送的MAC认证触发请求时,可以为目标用户终端分配一个guest VXLAN,以使目标用户终端在该guest VXLAN中发起DHCP请求,以获取guest IP地址;此外,控制器还需要向目标用户终端返回portal页面的URL,以使目标用户终端获取到guest IP地址后,可以被重定向到portal页面。
目标用户终端被重定向到portal页面之后,用户可以在该portal页面中输入用户名和密码以进行认证。
若控制器对目标用户终端通过该portal页面提交的用户名和密码认证通过,则控制器可以认为目标用户终端的MAC认证通过,并生成目标用户终端的MAC地址+用户名+密码的绑定关系。
步骤202、当对目标用户终端MAC认证完成,且接收到汇聚交换机发送的目标用户终端的MAC地址以及目标用户终端所属的目标VLAN时,根据该目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定目标用户终端接入的目标接入交换机的目标端口,并控制该目标接入交换机的目标端口关闭后重新开启。
本发明实施例中,控制器对目标用户终端MAC认证通过后,可以向汇聚交换机发送通知消息。
汇聚交换机确定目标用户终端MAC认证通过后,可以将目标用户终端的MAC地址以及目标用户终端所属的VLAN(本文中称为目标VLAN)信息发送给控制器。
控制器接收到汇聚交换机发送的目标用户终端的MAC地址以及目标用户终端所属的目标VLAN时,控制器可以根据目标用户终端所属的目标VLAN查询预先存储的VLAN与接入交换机端口的对应关系,以确定目标VLAN对应的接入交换机(本文中称为目标接入交换机)的端口(本文中称为目标端口),即确定目标用户终端所接入的接入交换机的端口。
控制器确定了目标用户终端所接入的接入交换机的端口(即目标接入交换机的目标端口)之后,可以控制先控制该目标接入交换机的目标端口down,使目标接入交换机去关联目标用户终端,从而目标用户终端将处于下线状态;然后,控制器可以再控制目标接入交换机的目标端口重新UP,从而,目标用户终端将重新上线。
目标用户终端重新上线后,将再次进行MAC认证;汇聚交换机检测到目标用户终端重新上线后,可以再次向控制器发送携带有目标用户终端的MAC地址的MAC认证触发请求,以触发控制器对目标用户终端再次进行MAC认证。。
步骤203、当再次接收到汇聚交换机发送的携带有目标用户终端的MAC地址的MAC认证触发请求,且确定目标用户终端的MAC地址已认证通过时,允许目标用户终端进行网络访问。
本发明实施例中,当控制器再次接收到汇聚交换机发送的携带有目标用户终端的MAC地址的MAC认证触发请求时,控制器可以先判断该目标用户终端的MAC地址是否已经认证通过;若该目标用户终端的MAC地址已认证通过,则不需要再次进行用户名和密码的认证。
作为一种可选的实施方式,控制器可以根据目标用户终端的MAC地址查询自身维护的MAC地址、用户名以及密码三者的绑定关系,若存在与目标用户终端的MAC地址绑定的用户名和密码,则确定目标用户终端的MAC地址已认证通过。
本发明实施例中,控制器确定目标用户终端的MAC地址已认证通过后,可以根据目标用户终端的MAC地址查询预先存储的MAC地址与业务VXLAN的对应关系,以确定目标用户终端的MAC地址对应的业务VXLAN,并根据目标用户终端的MAC地址、目标用户终端接入的目标接入交换机的目标端口以及目标端口对应的VLAN将目标用户终端的数据流量映射到目标用户终端的MAC地址对应的业务VXLAN(Virtual Extensible Local Area Network,虚拟可扩展局域网),即允许所述目标端口进入的源MAC地址为所述目标用户终端的MAC地址,且携带的VLAN ID为所述目标端口对应的VLAN ID的数据流量在该业务VXLAN内通过,避免目标用户终端每次进行网络访问时均需要进行portal认证。
本发明实施例中,目标用户终端重新上线(即目标接入交换机上的目标端口Down后重新UP)时,目标用户终端可以在业务VXLAN中重新进行DHCP申请,获取到新的IP地址后,用户即可正常上网。
值得说明的是,在本发明实施例中,虽然上述方法流程中均以用户终端通过接入交换机接入网络的场景为例进行描述,但是本发明实施例中通过汇聚交换机进行认证的方案并不限于该场景,即用户终端直接通过汇聚交换机接入网络的场景中,也可以通过汇聚交换机进行认证,在该场景中,控制器控制端口down/UP时,控制的端口为汇聚交换机上连接用户终端的端口,其它实现与上述方法流程中的实现相类似,本发明实施例在此不做赘述。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面结合具体应用场景对本发明实施例提供的技术方案进行说明。
请参见图3,为本发明实施例提供的一种具体应用场景的架构示意图,如图3所示,该组网中包括控制器、汇聚交换机、接入交换机以及用户终端,且该组网整网支持VXLANOverlay(一种无状态网络技术)其中,用户终端可以通过接入交换机接入网络,也可以直接通过汇聚交换机接入网络。
基于该应用场景,对通过接入交换机接入网络的用户终端B1进行认证的具体流程可以如下:
0、为每个接入交换机的端口设置一个VLAN,并将接入交换机端口号与VLAN的对应关系存储在控制器或网关系统;为每个MAC地址分配对应的业务VXLAN,并在控制器或网关系统中存储MAC地址与业务VXLAN的对应关系;
1、用户终端B1首次上线,汇聚交换机检测到用户终端B1上线,将汇聚交换机的IP地址、汇聚交换机上连接用户终端B1的端口号以及用户终端B1的MAC地址上报给控制器,由控制器记录对应的表格(各表项中可以包括汇聚交换机的IP地址、汇聚交换机上连接用户终端的端口号以及用户终端的MAC地址);
2、控制器给用户终端B1下发guest VXLAN,将用户终端B1的数据流量映射到guestVXLAN,并向用户终端B1返回portal页面的URL;
3、用户终端B1在guest VXLAN中发起DHCP请求获取guest IP地址;
4、用户终端B1获取到guest IP地址后被重定向到portal页面,由用户输入用户名+密码进行认证;当控制器确定用户终端B1在portal页面提交的用户名+密码认证通过时,生成用户终端B1的MAC地址+用户名+密码的绑定关系;
5、当汇聚交换机确定用户终端B1的MAC认证通过后,将用户终端B1的MAC地址以及用户终端B1所属的VLAN发送给控制器;控制器根据用户终端B1所属的VLAN,查询预先存储的接入交换机端口与VLAN的对应关系,确定用户终端B1所接入的接入交换机的端口(假设为端口B1);控制器可以通过MIB或其它控制器协议控制该端口在用户终端B1认证通过后进行down,然后重新UP;
6、端口B1重新UP后会重新触发认证,汇聚交换机检测到用户终端B1再次上线后,将用户终端B1的MAC地址发送给控制器,控制器判断用户终端B1的MAC地址已通过认证,则不需要用户终端B1再次提交用户名和密码进行认证,进而,控制器可以根据用户终端B1的MAC地址、端口B1以及端口B1对应的VLAN将用户终端B1的用户数据流量映射到用户终端B1对应的业务VXLAN;
7、用户终端B1在对应的业务VXLAN发起DHCP请求,以获取新的IP地址,并在获取到新的IP地址后即可正常上网。
通过以上描述可以看出,在本发明实施例提供的技术方案中,通过预先设置并存储接入交换机端口与VLAN的映射关系,当目标用户终端MAC认证完成时,汇聚交换机将目标用户终端的MAC地址和目标用户终端所属的VLAN发送给控制器,由控制器根据目标用户终端所属的VLAN确定目标用户终端所接入的目标接入交换机上的目标端口,并控制该目标端口进行down,然后重新UP;当汇聚交换机检测到目标用户终端再次上线时,再次向控制器发送携带目标用户终端的MAC地址的MAC认证触发请求,以使控制器确定目标用户终端的MAC地址已认证通过后,将目标用户终端的数据流量映射到目标用户终端的MAC地址对应的业务VXLAN,与现有MAC+portal认证方案相比,认证点上移到汇聚交换机,不受接入交换机型号或功能限制,提高了方案的适用性。
请参见图4,为本发明实施例提供的一种认证装置的结构示意图,其中,所述装置可以应用于上述方法实施例中的控制器,如图4所示,该认证装置可以包括:
接收单元410,用于接收汇聚交换机发送的针对目标用户终端的媒体访问控制MAC认证触发请求;
认证单元420,用于对所述目标用户终端进行MAC认证;
确定单元430,用于当所述认证单元420对所述目标用户终端MAC认证完成,且所述接收单元410接收到所述汇聚交换机发送的所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN时,根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定目标用户终端接入的目标接入交换机的目标端口;
控制单元440,用于控制所述目标接入交换机的目标端口关闭后重新开启。
处理单元450,还用于当所述接收单元410再次接收到所述汇聚交换机发送的携带有所述目标用户终端的MAC地址的MAC认证触发请求,且所述认证单元420确定所述目标用户终端的MAC地址已认证通过时,允许所述目标用户终端进行网络访问。
在可选实施例中,所述认证单元420,具体用于将所述目标用户终端重定向到portal页面,并接收所述目标用户终端通过所述portal页面提交的用户名和密码;当根据所述目标用户终端通过所述portal页面提交的用户名和密码认证通过时,确认所述目标用户终端的MAC地址认证通过,并生成目标用户终端的MAC地址、用户名和密码三者的绑定关系。
在可选实施例中,所述认证单元420,具体用于当根据所述目标用户终端的MAC地址,查询到与所述目标终端的MAC地址绑定的用户名和密码时,确定所述目标终端的MAC地址已认证通过。
在可选实施例中,所述汇聚交换机上连接所述目标用户终端的端口号为所述汇聚交换机与所述目标用户终端所接入的目标接入交换机连接的端口号。
请参见图5,为本发明实施例提供的一种认证装置的结构示意图,其中,所述装置可以应用于上述方法实施例中的汇聚交换机,如图5所示,该认证装置可以包括:
检测单元510,用于检测用户终端上线;
发送单元520,用于当所述检测单元510检测到目标用户终端初次上线时,向控制器发送媒体访问控制MAC认证触发请求,所述MAC认证触发请求中携带有所述汇聚交换机的IP地址、所述汇聚交换机上连接所述目标用户终端的端口号以及所述目标用户终端的MAC地址;
所述发送单元520,还用于当所述目标用户终端MAC认证完成时,将所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN发送给所述控制器,以使所述控制器根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定所述目标用户终端接入的目标接入交换机的目标端口,并控制所述目标接入交换机的目标端口关闭后重新开启;
所述发送单元520,还用于当所述检测单元检测到所述目标用户终端再次上线时,再次向所述控制器发送携带所述目标用户终端的MAC地址的MAC认证触发请求,以使所述控制器确定所述目标用户终端的MAC地址已认证通过后,允许所述目标用户终端进行网络访问。
在可选实施例中,所述汇聚交换机上连接所述目标用户终端的端口号为所述汇聚交换机与所述目标用户终端所接入的目标接入交换机连接的端口号。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,通过预先设置并存储接入交换机端口与VLAN的映射关系,当目标用户终端MAC认证完成时,汇聚交换机将目标用户终端的MAC地址和目标用户终端所属的VLAN发送给控制器,由控制器根据目标用户终端所属的VLAN确定目标用户终端所接入的目标接入交换机上的目标端口,并控制该目标端口进行down,然后重新UP;当汇聚交换机检测到目标用户终端再次上线时,再次向控制器发送携带目标用户终端的MAC地址的MAC认证触发请求,以使控制器确定目标用户终端的MAC地址已认证通过后,将目标用户终端的数据流量映射到目标用户终端的MAC地址对应的业务VXLAN,与现有MAC+portal认证方案相比,认证点上移到汇聚交换机,不受接入交换机型号或功能限制,提高了方案的适用性。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (12)
1.一种认证方法,应用于控制器,其特征在于,所述方法包括:
当接收到汇聚交换机发送的针对目标用户终端的媒体访问控制MAC认证触发请求时,对所述目标用户终端进行MAC认证;所述MAC认证触发请求携带有所述汇聚交换机的IP地址、所述汇聚交换机上连接所述目标用户终端的端口号以及所述目标用户终端的MAC地址;
当对所述目标用户终端MAC认证完成,且接收到所述汇聚交换机发送的所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN时,根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定目标用户终端接入的目标接入交换机的目标端口,并控制所述目标接入交换机的目标端口关闭后重新开启;
当再次接收到所述汇聚交换机发送的携带有所述目标用户终端的MAC地址的MAC认证触发请求,且确定所述目标用户终端的MAC地址已认证通过时,允许所述目标用户终端进行网络访问。
2.根据权利要求1所述的方法,其特征在于,所述对目标用户终端进行MAC认证,包括:
将所述目标用户终端重定向到portal页面,并接收所述目标用户终端通过所述portal页面提交的用户名和密码;
当根据所述目标用户终端通过所述portal页面提交的用户名和密码认证通过时,确认所述目标用户终端的MAC地址认证通过,并生成目标用户终端的MAC地址、用户名和密码三者的绑定关系。
3.根据权利要求2所述的方法,其特征在于,所述确定所述目标用户终端的MAC地址已认证通过,包括:
当根据所述目标用户终端的MAC地址,查询到与所述目标终端的MAC地址绑定的用户名和密码时,确定所述目标终端的MAC地址已认证通过。
4.根据权利要求1所述的方法,其特征在于,所述汇聚交换机上连接所述目标用户终端的端口号为所述汇聚交换机与所述目标用户终端所接入的目标接入交换机连接的端口号。
5.一种认证方法,应用于汇聚交换机,其特征在于,所述方法包括:
当检测到目标用户终端初次上线时,向控制器发送媒体访问控制MAC认证触发请求,所述MAC认证触发请求中携带有所述汇聚交换机的IP地址、所述汇聚交换机上连接所述目标用户终端的端口号以及所述目标用户终端的MAC地址;
当所述目标用户终端MAC认证完成时,将所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN发送给所述控制器,以使所述控制器根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定所述目标用户终端接入的目标接入交换机的目标端口,并控制所述目标接入交换机的目标端口关闭后重新开启;
当检测到所述目标用户终端再次上线时,再次向所述控制器发送携带所述目标用户终端的MAC地址的MAC认证触发请求,以使所述控制器确定所述目标用户终端的MAC地址已认证通过后,允许所述目标用户终端进行网络访问。
6.根据权利要求5所述的方法,其特征在于,所述汇聚交换机上连接所述目标用户终端的端口号为所述汇聚交换机与所述目标用户终端所接入的目标接入交换机连接的端口号。
7.一种认证装置,应用于控制器,其特征在于,包括:
接收单元,用于接收汇聚交换机发送的针对目标用户终端的媒体访问控制MAC认证触发请求;
认证单元,用于对所述目标用户终端进行MAC认证;
确定单元,用于当所述认证单元对所述目标用户终端MAC认证完成,且所述接收单元接收到所述汇聚交换机发送的所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN时,根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定目标用户终端接入的目标接入交换机的目标端口;
控制单元,用于控制所述目标接入交换机的目标端口关闭后重新开启。
处理单元,还用于当所述接收单元再次接收到所述汇聚交换机发送的携带有所述目标用户终端的MAC地址的MAC认证触发请求,且所述认证单元确定所述目标用户终端的MAC地址已认证通过时,允许所述目标用户终端进行网络访问。
8.根据权利要求7所述的装置,其特征在于,
所述认证单元,具体用于将所述目标用户终端重定向到portal页面,并接收所述目标用户终端通过所述portal页面提交的用户名和密码;当根据所述目标用户终端通过所述portal页面提交的用户名和密码认证通过时,确认所述目标用户终端的MAC地址认证通过,并生成目标用户终端的MAC地址、用户名和密码三者的绑定关系。
9.根据权利要求8所述的装置,其特征在于,
所述认证单元,具体用于当根据所述目标用户终端的MAC地址,查询到与所述目标终端的MAC地址绑定的用户名和密码时,确定所述目标终端的MAC地址已认证通过。
10.根据权利要求7所述的装置,其特征在于,所述汇聚交换机上连接所述目标用户终端的端口号为所述汇聚交换机与所述目标用户终端所接入的目标接入交换机连接的端口号。
11.一种认证装置,应用于汇聚交换机,其特征在于,包括:
检测单元,用于检测用户终端上线;
发送单元,用于当所述检测单元检测到目标用户终端初次上线时,向控制器发送媒体访问控制MAC认证触发请求,所述MAC认证触发请求中携带有所述汇聚交换机的IP地址、所述汇聚交换机上连接所述目标用户终端的端口号以及所述目标用户终端的MAC地址;
所述发送单元,还用于当所述目标用户终端MAC认证完成时,将所述目标用户终端的MAC地址以及所述目标用户终端所属的目标虚拟局域网VLAN发送给所述控制器,以使所述控制器根据所述目标VLAN以及预先存储的VLAN与接入交换机的端口的对应关系,确定所述目标用户终端接入的目标接入交换机的目标端口,并控制所述目标接入交换机的目标端口关闭后重新开启;
所述发送单元,还用于当所述检测单元检测到所述目标用户终端再次上线时,再次向所述控制器发送携带所述目标用户终端的MAC地址的MAC认证触发请求,以使所述控制器确定所述目标用户终端的MAC地址已认证通过后,允许所述目标用户终端进行网络访问。
12.根据权利要求11所述的装置,其特征在于,所述汇聚交换机上连接所述目标用户终端的端口号为所述汇聚交换机与所述目标用户终端所接入的目标接入交换机连接的端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610734459.3A CN106131066B (zh) | 2016-08-26 | 2016-08-26 | 一种认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610734459.3A CN106131066B (zh) | 2016-08-26 | 2016-08-26 | 一种认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106131066A true CN106131066A (zh) | 2016-11-16 |
| CN106131066B CN106131066B (zh) | 2019-09-17 |
Family
ID=57274537
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610734459.3A Active CN106131066B (zh) | 2016-08-26 | 2016-08-26 | 一种认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106131066B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453409A (zh) * | 2016-11-28 | 2017-02-22 | 迈普通信技术股份有限公司 | 一种报文处理方法及接入设备 |
| CN107360077A (zh) * | 2017-06-14 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | Vlanid分配方法和vlan实现方法、云控制器及无线接入点 |
| CN107493297A (zh) * | 2017-09-08 | 2017-12-19 | 安徽皖通邮电股份有限公司 | 一种VxLAN隧道接入认证的方法 |
| CN109327462A (zh) * | 2018-11-14 | 2019-02-12 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
| CN109617972A (zh) * | 2018-12-17 | 2019-04-12 | 新华三技术有限公司 | 一种连接建立方法、装置、电子设备及存储介质 |
| CN110602130A (zh) * | 2019-09-24 | 2019-12-20 | 中盈优创资讯科技有限公司 | 终端认证系统及方法、设备端、认证服务器 |
| CN114244695A (zh) * | 2021-12-31 | 2022-03-25 | 普联技术有限公司 | 隔离网络的终端上线配置方法、装置及网络管理系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070071016A1 (en) * | 2005-09-29 | 2007-03-29 | Avaya Technology Corp. | Communicating station-originated data to a target access point via a distribution system |
| WO2008034357A1 (en) * | 2006-09-20 | 2008-03-27 | Huawei Technologies Co., Ltd. | Method and system for capwap intradomain authentication using 802.11r |
| CN101252587A (zh) * | 2008-04-18 | 2008-08-27 | 杭州华三通信技术有限公司 | 用户终端的接入鉴权方法和设备 |
| CN101980496A (zh) * | 2010-10-13 | 2011-02-23 | 华为数字技术有限公司 | 报文处理方法和系统、交换机和接入服务器设备 |
| CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
| CN102447710A (zh) * | 2012-01-17 | 2012-05-09 | 神州数码网络(北京)有限公司 | 一种用户访问权限控制方法及系统 |
| CN102572830A (zh) * | 2012-01-19 | 2012-07-11 | 华为技术有限公司 | 终端接入认证的方法及用户端设备 |
| CN102571811A (zh) * | 2012-02-09 | 2012-07-11 | 神州数码网络(北京)有限公司 | 用户接入权限控制系统和方法 |
| CN103476023A (zh) * | 2013-09-11 | 2013-12-25 | 福建星网锐捷网络有限公司 | 接入点设备的配置方法、接入控制器及通信系统 |
| CN104283858A (zh) * | 2013-07-09 | 2015-01-14 | 华为技术有限公司 | 控制用户终端接入的方法、装置及系统 |
-
2016
- 2016-08-26 CN CN201610734459.3A patent/CN106131066B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070071016A1 (en) * | 2005-09-29 | 2007-03-29 | Avaya Technology Corp. | Communicating station-originated data to a target access point via a distribution system |
| WO2008034357A1 (en) * | 2006-09-20 | 2008-03-27 | Huawei Technologies Co., Ltd. | Method and system for capwap intradomain authentication using 802.11r |
| CN101252587A (zh) * | 2008-04-18 | 2008-08-27 | 杭州华三通信技术有限公司 | 用户终端的接入鉴权方法和设备 |
| CN101980496A (zh) * | 2010-10-13 | 2011-02-23 | 华为数字技术有限公司 | 报文处理方法和系统、交换机和接入服务器设备 |
| CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
| CN102447710A (zh) * | 2012-01-17 | 2012-05-09 | 神州数码网络(北京)有限公司 | 一种用户访问权限控制方法及系统 |
| CN102572830A (zh) * | 2012-01-19 | 2012-07-11 | 华为技术有限公司 | 终端接入认证的方法及用户端设备 |
| CN102571811A (zh) * | 2012-02-09 | 2012-07-11 | 神州数码网络(北京)有限公司 | 用户接入权限控制系统和方法 |
| CN104283858A (zh) * | 2013-07-09 | 2015-01-14 | 华为技术有限公司 | 控制用户终端接入的方法、装置及系统 |
| CN103476023A (zh) * | 2013-09-11 | 2013-12-25 | 福建星网锐捷网络有限公司 | 接入点设备的配置方法、接入控制器及通信系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453409A (zh) * | 2016-11-28 | 2017-02-22 | 迈普通信技术股份有限公司 | 一种报文处理方法及接入设备 |
| CN106453409B (zh) * | 2016-11-28 | 2019-12-10 | 迈普通信技术股份有限公司 | 一种报文处理方法及接入设备 |
| CN107360077A (zh) * | 2017-06-14 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | Vlanid分配方法和vlan实现方法、云控制器及无线接入点 |
| CN107493297A (zh) * | 2017-09-08 | 2017-12-19 | 安徽皖通邮电股份有限公司 | 一种VxLAN隧道接入认证的方法 |
| CN109327462A (zh) * | 2018-11-14 | 2019-02-12 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
| CN109617972A (zh) * | 2018-12-17 | 2019-04-12 | 新华三技术有限公司 | 一种连接建立方法、装置、电子设备及存储介质 |
| CN110602130A (zh) * | 2019-09-24 | 2019-12-20 | 中盈优创资讯科技有限公司 | 终端认证系统及方法、设备端、认证服务器 |
| CN114244695A (zh) * | 2021-12-31 | 2022-03-25 | 普联技术有限公司 | 隔离网络的终端上线配置方法、装置及网络管理系统 |
| CN114244695B (zh) * | 2021-12-31 | 2024-03-19 | 普联技术有限公司 | 隔离网络的终端上线配置方法、装置及网络管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106131066B (zh) | 2019-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106131066A (zh) | 一种认证方法及装置 | |
| CN104506510B (zh) | 用于设备认证的方法、装置及认证服务系统 | |
| CN106533883B (zh) | 一种网络专线的建立方法、装置及系统 | |
| EP1998506B1 (en) | Method for controlling the connection of a virtual network | |
| CN113950816A (zh) | 使用边车代理机构提供多云微服务网关的系统和方法 | |
| CN101588390B (zh) | 提高集中认证服务系统业务黏性的方法及负载均衡设备 | |
| CN103596066B (zh) | 一种数据处理方法及装置 | |
| CN105516171B (zh) | 基于认证服务集群的Portal保活系统及方法、认证系统及方法 | |
| CN101668017B (zh) | 一种认证方法和设备 | |
| CN105591819A (zh) | 配置网络设备的方法及装置 | |
| CN104160680A (zh) | 用于透明代理缓存的欺骗技术 | |
| CN108092984A (zh) | 一种应用客户端的授权方法、装置及设备 | |
| CN106656911A (zh) | 一种Portal认证方法、接入设备和管理服务器 | |
| KR20130010690A (ko) | 송신장치 및 수신장치와 그 장치의 동작 방법 | |
| CN102055816A (zh) | 一种通信方法、业务服务器、中间设备、终端及通信系统 | |
| CN101582856A (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| US20170149916A1 (en) | Page Push Method, Device and Server, and Centralized Network Management Controller | |
| CN103997479B (zh) | 一种非对称服务ip代理方法和设备 | |
| CN105592062A (zh) | 一种保持ip地址不变的方法及装置 | |
| CN111711556B (zh) | 虚拟专用网络的选路方法、装置、系统、设备及存储介质 | |
| CN105592180A (zh) | 一种Portal认证的方法和装置 | |
| CN108377499A (zh) | 一种网络接入方法、路由设备和终端 | |
| CN107734046A (zh) | 远程操作数据库的方法、服务端、客户端和系统 | |
| CN106302861A (zh) | 一种地址分配方法及装置 | |
| CA3040804C (en) | Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |