CN107819776B - 一种报文处理方法及设备 - Google Patents
一种报文处理方法及设备 Download PDFInfo
- Publication number
- CN107819776B CN107819776B CN201711144107.3A CN201711144107A CN107819776B CN 107819776 B CN107819776 B CN 107819776B CN 201711144107 A CN201711144107 A CN 201711144107A CN 107819776 B CN107819776 B CN 107819776B
- Authority
- CN
- China
- Prior art keywords
- distributed gateway
- network
- distributed
- message
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种报文处理方法及设备,用于提升认证交换机的存储容量。所述方法应用于认证设备中,所述认证设备包括MAC地址不同的至少一个分布式网关;所述方法包括:认证设备中的第一分布式网关接收分流设备发送的网络访问报文;所述网络访问报文中携带的目的MAC地址与所述第一分布式网关的MAC地址相同;所述第一分布式网关确定所述网络访问报文对应的第一终端是否为已认证终端;若所述第一分布式网关确定所述第一终端为已认证终端,则为所述网络访问报文匹配默认路由,并将所述网络访问报文发送给所述分流设备,以使得所述分流设备能够将所述网络访问报文发送至外网;其中,所述默认路由指向所述分流设备。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种报文处理方法及设备。
背景技术
目前,在终端连接入一个局域网(Local Area Network,LAN)时,需要对终端进行认证,认证的过程可以通过核心交换机来完成。其中,核心交换机中存储了终端的认证信息,认证信息可以包括终端的媒体访问控制(Media Access Control,MAC)地址、互联网协议(Internet Protocol,IP)地址等,进而核心交换机可以根据存储的认证信息确定终端是否是已认证终端,当终端完成认证后,才可以对LAN进行使用。
但是,目前的核心交换机中存储的认证信息都是进行全局存储,即核心交换机中只包括单张板卡,那么该核心交换机所能够存储的认证信息的容量则是与单张板卡的容量是相同的,这样,当终端数量很多时,单张板卡的核心交换机显然无法满足终端的认证要求。目前,可以通过升级板卡的容量的方法来提升核心交换机的容量,但这种方法显然还具有很大的局限性,依然无法满足一些大容量用户场景的需求。
发明内容
本发明实施例提供一种报文处理方法及设备,用于提升认证交换机的存储容量。
第一方面,提供一种报文处理方法,所述方法应用于认证设备中的第一分布式网关,所述认证设备包括MAC地址不同的至少一个分布式网关,所述第一分布式网关为所述至少一个分布式网关中的任意一个分布式网关;所述方法包括:
接收分流设备发送的网络访问报文;所述网络访问报文携带的目的MAC地址与所述第一分布式网关的MAC地址相同;
确定所述网络访问报文对应的第一终端是否为已认证终端;
若确定所述第一终端为已认证终端,则为所述网络访问报文匹配默认路由,并将所述网络访问报文发送给所述分流设备,以使得所述分流设备能够将所述网络访问报文发送至外网;其中,所述默认路由指向所述分流设备。
在一种可能的实施方式中,在将所述网络访问报文发送给所述分流设备之后,所述方法还包括:
接收分流设备发送的网络应答报文;所述至少一个分布式网关中各个分布式网关关联的互联网协议IP地址网段不同,所述网络应答报文携带的目的IP地址位于所述第一分布式网关关联的IP地址网段之内;
根据所述网络应答报文携带的目的IP地址匹配所述第一终端的路由表项,并将所述网络应答报文发送给所述分流设备。
在一种可能的实施方式中,在通过第一分布式网关接收分流设备发送的网络访问报文之前,所述方法还包括:
接收所述分流设备发送的动态主机配置协议DHCP请求报文;
确定所述DHCP请求报文携带的虚拟局域网标识ID是否能够映射到所述第一分布式网关;
若确定所述虚拟局域网ID能够映射到所述第一分布式网关,则放行所述DHCP请求报文;若确定所述虚拟局域网ID不能够映射到所述第一分布式网关,则过滤所述DHCP请求报文。
在一种可能的实施方式中,在接收分流设备发送的网络访问报文之前,所述方法还包括:
接收所述分流设备发送的地址解析协议ARP请求报文;
确定所述ARP请求报文携带的目的IP地址是否位于所述第一分布式网关自身关联的IP地址网段之内;
若确定所述ARP请求报文携带的目的IP地址位于所述第一分布式网关自身关联的IP地址网段之内,则所述第一分布式网关放行所述ARP请求报文;若确定所述ARP请求报文携带的目的IP地址不位于所述第一分布式网关自身关联的IP地址网段之内,则过滤所述ARP请求报文。
在一种可能的实施方式中,所述方法还包括:
若确定所述第一终端不是已认证终端,则将所述网络访问报文发送给认证加速设备;
接收所述认证加速设备返回的处理后的网络访问报文;所述处理后的网络访问报文携带用于通知所述第一终端进行认证的统一资源定位符URL重定向信息;
将所述处理后的网络访问报文发送给所述分流设备。
在一种可能的实施方式中,所述认证设备包括的任意两个分布式网关之间不能进行通信,且所述认证设备包括的任意一个分布式网关只对携带的目的IP地址位于与所述任意一个分布式网关关联的IP地址网段内的报文中的MAC地址和/或IP地址进行保存。
第二方面,提供一种报文处理方法,应用在分流设备中,该方法包括:
接收第一终端发送到认证设备的网络访问报文;其中,所述认证设备包括MAC地址不同的至少一个分布式网关;
根据所述网络访问报文携带的目的MAC地址从所述至少一个分布式网关中确定处理所述网络访问报文的第一分布式网关;所述网络访问报文携带的目的MAC地址与所述第一分布式网关的MAC地址相同;
将所述网络访问报文发送给所述第一分布式网关。
在一种可能的实施方式中,在将所述网络访问报文发送给所述第一分布式网关之后,所述方法还包括:
接收外网返回的网络应答报文;
从所述至少一个分布式网关中确定与所述网络应答报文携带的目的IP地址对应的所述第一分布式网关;其中,所述至少一个分布式网关中各个分布式网关关联的IP地址网段不同,所述网络应答报文携带的目的IP地址位于所述第一分布式网关关联的IP地址网段之内;
将所述网络应答报文发送给所述第一分布式网关。
在一种可能的实施方式中,所述方法还包括:
接收所述第一终端发送的DHCP请求报文、ARP单播请求报文或者ARP广播请求报文;
将所述DHCP请求报文或者所述ARP广播请求报文发送给所述认证设备包括的每个分布式网关;或者,将所述ARP单播报文发送给所述第一分布式网关,所述ARP单播报文携带的目的MAC地址为所述第一分布式网关的MAC地址。
第三方面,提供一种分布式网关,所述分布式网关设置在认证设备中,所述认证设备包括MAC地址不同的至少一个分布式网关,包括:
第一接收单元用于,接收分流设备发送的网络访问报文;所述网络访问报文携带的目的MAC地址与所述分布式网关的MAC地址相同;
第一确定单元用于,确定所述网络访问报文对应的第一终端是否为已认证终端;
第一发送单元用于,若所述第一确定单元确定所述第一终端为已认证终端,则为所述网络访问报文匹配默认路由,并将所述网络访问报文发送给所述分流设备,以使得所述分流设备能够将所述网络访问报文发送至外网;其中,所述默认路由指向所述分流设备。
在一种可能的实施方式中,所述第一接收单元还用于,接收分流设备发送的网络应答报文;所述至少一个分布式网关中各个分布式网关关联的IP地址网段不同,所述网络应答报文携带的目的IP地址位于所述分布式网关关联的IP地址网段之内;
所述第一发送单元还用于,根据所述网络应答报文携带的目的IP地址匹配所述第一终端的路由表项,并将所述网络应答报文发送给所述分流设备。
在一种可能的实施方式中,所述分布式网关还包括第一执行单元,其中:
所述第一接收单元还用于,接收所述分流设备发送的DHCP请求报文;
所述第一确定单元还用于,确定所述DHCP请求报文携带的虚拟局域网ID是否能够映射到所述分布式网关;
所述第一执行单元用于,若确定所述虚拟局域网ID能够映射到所述分布式网关,则放行所述DHCP请求报文;若确定所述虚拟局域网ID不能够映射到所述分布式网关,则过滤所述DHCP请求报文。
在一种可能的实施方式中,所述分布式网关还包括第二执行单元,其中:所述第一接收单元还用于,接收所述分流设备发送的ARP请求报文;
所述第一确定单元还用于,确定所述ARP请求报文携带的目的IP地址是否位于所述分布式网关自身关联的IP地址网段之内;
所述第二执行单元还用于,若确定所述ARP请求报文中携带的目的IP地址位于所述分布式网关自身关联的IP地址网段之内,则放行所述ARP请求报文;若确定所述ARP请求报文携带的目的IP地址不位于所述分布式网关自身关联的IP地址网段之内,则过滤所述ARP请求报文。
在一种可能的实施方式中,所述第一发送单元还用于,若所述第一确定单元确定所述第一终端不是已认证终端,将所述网络访问报文发送给认证加速设备;
所述第一接收单元还用于,接收所述认证加速设备返回的处理后的网络访问报文;所述处理后的网络访问报文携带用于通知所述第一终端进行认证的URL重定向信息;
所述第一发送单元还用于,将所述处理后的网络访问报文发送给所述分流设备。
在一种可能的实施方式中,所述认证设备包括的任意两个分布式网关之间不能进行通信,且所述认证设备包括的任意一个分布式网关只对携带的目的IP地址位于与所述任意一个分布式网关关联的IP地址网段内的报文中的MAC地址和/或IP地址进行保存。
第四方面,提供一种分流设备,该设备包括:
第二接收单元用于,用接收第一终端发送给认证设备的网络访问报文;其中,所述认证设备包括MAC地址不同的至少一个分布式网关;
第二确定单元用于,根据所述网络访问报文携带的目的MAC地址从所述至少一个分布式网关中确定处理所述网络访问报文的第一分布式网关;所述网络访问报文携带的目的MAC地址与所述第一分布式网关的MAC地址相同;
第二发送单元用于,将所述网络访问报文发送给所述第一分布式网关。
在一种可能的实施方式中,所述第二接收单元还用于,接收外网返回的网络应答报文;
所述第二确定单元还用于,从所述至少一个分布式网关中确定与所述网络应答报文携带的目的IP地址对应的所述第一分布式网关;其中,所述至少一个分布式网关中各个分布式网关关联的IP地址网段不同,所述网络应答报文携带的目的IP地址位于所述第一分布式网关关联的IP地址网段之内;
所述第二发送单元还用于,将所述网络应答报文发送给所述第一分布式网关。
在一种可能的实施方式中,所述第二接收单元还用于,接收所述第一终端发送给所述认证设备的DHCP请求报文、ARP单播请求报文或者ARP广播请求报文;
所述第二接收单元还用于,将所述DHCP请求报文或者所述ARP广播请求报文发送给所述认证设备包括的每个分布式网关;或者,将所述ARP单播报文发送给所述第一分布式网关,所述ARP单播报文携带的目的MAC地址为所述第一分布式网关的MAC地址。
第五方面,提供一种计算机装置,所述装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面和第二方面提供的报文处理方法的步骤。
第六方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面和第二方面提供的报文处理方法的步骤。
在本发明实施例中,用于确定终端是否为已认证终端的认证设备可以包括多个分布式网关,每个分布式网关还可以包括一个或者多个线卡,每个线卡都可以用来存储终端的认证信息等,其中,不同分布式网关的MAC地址不同,报文中携带的目的MAC地址与多个分布式网关中的一个分布式网关相同,那么在一个分布式网关只会处理与该网关的MAC地址相同的终端的报文,这样,不同的分布式网关存储不同的认证信息,并且只处理与其MAC地址相同的终端的报文,进行实现分布式存储和认证的效果,以提高认证设备的存储容量。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的应用场景图;
图2为本发明实施例提供的报文处理方法的流程示意图;
图3为本发明实施例提供的分流设备和认证设备的连接示意图;
图4为本发明实施例提供的分布式网关的一种结构示意图;
图5为本发明实施例提供的分流设备的一种结构示意图;
图6为本发明实施例提供的计算机装置的一种结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
下面介绍本发明实施例的技术背景。
目前,核心交换机中存储的认证信息都是进行全局存储,即核心交换机中只包括单张板卡,那么该核心交换机所能够存储的认证信息的容量则是与单张板卡的容量是相同的,这样,当终端数量很多时,单张板卡的核心交换机显然无法满足终端的认证要求。目前,可以通过升级板卡的容量的方法来提升核心交换机的容量,但这种方法显然还具有很大的局限性,依然无法满足一些大容量用户场景的需求。
鉴于此,本发明实施例提供一种报文处理方法,在该方法中,用于确定终端是否为已认证终端的认证设备可以包括多个分布式网关,每个分布式网关还可以包括一个或者多个线卡,每个线卡都可以用来存储终端的认证信息等,其中,不同分布式网关的MAC地址不同,报文中携带的MAC地址与多个分布式网关中的一个分布式网关相同,那么在一个分布式网关只会处理与该网关的MAC地址相同的终端的报文,这样,不同的分布式网关存储不同的认证信息,并且只处理与其MAC地址相同的终端的报文,进行实现分布式存储和认证的效果,以提高认证设备的存储容量。
下面结合附图介绍本发明实施例提供的技术方案。
请参见图1,为本发明实施例的应用场景图。其中,个人计算机(personalcomputer,PC)1和PC2为通过有线方式访问网络的设备,PC3和PC4为通过无线方式访问网络的设备。PC1和PC2通过接入设备1与汇聚设备1通信连接,汇聚设备1与分流设备通信连接,PC3和PC4通过接入设备2与汇聚设备2通信连接,汇聚设备2与分流设备通信连接,分流设备还与认证设备通信连接,认证设备与认证加速设备通信连接。在下面的描述中,将具体对每一部分的功能作用进行具体的描述。
请参见图2,本发明一实施例提供一种报文处理方法,该方法可以通过本发明实施例提供的认证设备来实现。在下面的方法流程描述中,将该方法应用到如图1所示的应用场景中,因此以下的描述中还会涉及到分流设备等设备的方法描述。其中,分流设备和认证设备为本发明实施例的核心设备,分流设备负责将终端和外网的报文转发到认证设备,协助认证设备完成认证过程。
S201:分流设备接收第一终端发送给认证设备的动态主机配置协议(DynamicHost Configuration Protocol,DHCP)请求报文。
本发明实施例中,第一终端例如可以是图1中所述的PC1~PC4中的任一设备,当然,还可以是可以为用户提供网络服务的其他的可能的电子设备,例如手机、笔记本、IPAD等,本发明实施例对此不做限制。汇聚设备也可以是汇聚设备1或者汇聚设备2,当然,图1中汇聚设备的数量仅用于示意,在实际应用中,汇聚设备的数量可以不限于两个。
在终端刚接入网络时,例如当终端刚开机或者刚连接上网线时,此时终端上并没有任何的IP地址设定,因此终端则会向网络广播DHCP请求报文,以请求为其分配IP地址。
在终端广播DHCP请求报文之后,DHCP请求报文首先会到达接入设备,例如图1所示的PC1或者PC2广播DHCP请求报文之后,DHCP请求报文会到达接入设备1;PC3或者PC4广播DHCP请求报文之后,DHCP请求报文会到达接入设备2。而当接入设备接收到DHCP请求报文之后,则会将DHCP请求报文转发给汇聚设备,进而通过汇聚设备将DHCP请求报文发送给分流设备。
本发明实施例中,分流设备和汇聚设备可以通过二层接口相连,二层接口例如可以是trunk口。
S202:分流设备将DHCP请求报文发送给认证设备包括的每一个分布式网关,认证设备通过每一个分布式网关接收分流设备发送的DHCP请求报文。
本发明实施例中,认证设备可以包括至少一个分布式网关,每一个分布式网关还可以包括至少一张线卡,每一张线卡都可以用于存储认证信息、路由表项等,从而达到扩容的效果。认证设备包括的分布式网关通常设置在一个机箱内,当然,在某些场景下,例如在采用虚拟交换单元(Virtual Switching Unit,VSU)技术的网络系统中,认证设备包括的分布式网关除了可以设置在同一个机箱内,也可以实际需求设置在不同的机箱内。
本发明实施例中,为了方便认证设备中多个分布式网关的管理,也使得各个分布式网关能够达到分布式存储和认证的效果,可以为每一个分布式网关关联超级(Super)虚拟局域网(Virtual Local Area Network,VLAN)的一个IP地址,并将这个IP地址作为分布式网关的IP地址。由于还可以为Super VLAN配置多个子IP地址,因此实质上每个分布式网关关联的IP地址是一个IP地址网段。这样,只有目的IP地址位于分布式网关关联的IP地址网段内的报文才会由该分布式网关进行处理,而没有位于关联的IP地址网段内的报文则该分布式网关会直接过滤。具体的,只有目的IP地址位于分布式网关关联的IP地址网段内的报文才会进行MAC地址的学习,而位于其他IP地址网段的报文则不进行MAC地址的学习,从而达到MAC降噪和MAC表项分布式存储的效果。同时,只有目的IP地址位于分布式网关关联的IP地址网段内的报文才会进行ARP表项的学习,而位于其他IP地址网段的报文则不进行ARP表项的学习,从而达到ARP降噪和ARP表项分布式存储的效果。
本发明实施例中,在创建分布式网关时,认证设备会为每一个分布式网关配置默认的MAC地址,不同的分布式网关的MAC地址不同。当然,这个MAC地址也可以配置为支持修改,也就是说在认证设备为该分布式网关分配默认的MAC地址之后,后续还可以对该MAC地址进行修改。为了方便清楚分布式网关的MAC地址,可以在背板上预留各个分布式网关的MAC地址,例如可以在各个分布式网关的安装之处预留与其对应的MAC地址。
本发明实施例中,还会为分布式网关设置默认路由,例如设置的默认路由可以是指向分流设备,即将报文转发给分流设备。
本发明实施例中,分流设备在接收到了DHCP请求报文之后,会将DHCP请求报文转发给认证设备。具体的,由于DHCP请求报文中未携带分布式网关的MAC地址,所以分流设备无法根据MAC地址确定将该DHCP请求报文发送给特定的分布式网关,因此,分流设备会通过泛洪的方式,将该DHCP请求报文发送给分流设备包括的每一个分布式网关。相应的,认证设备中的每一个分布式网关都会接收到该DHCP请求报文。
请参见图3,为本发明实施例的分流设备和认证设备的连接示意图。认证设备包括N个分布式网关,即分布式网关1~分布式网关n,每一个分布式网关通过两个聚合口(Aggregate Port,AP)与分流设备连接,其中,分流设备上,这两个AP中的一个AP为二层AP,另一个AP为三层AP。例如分流设备通过二层AP1和三层AP1与分布式网关1连接,其余分布式网关与分布式网关1类似。二层AP用于转发二层的报文流,例如二层AP可以配置为trunk口;三层AP用于转发三层的报文流,例如三层AP可以配置为access口,且上述二层AP的trunk口需要退出该三层AP的access口所属的vlan。
具体的,由于汇聚设备和分流设备通过二层口连接,那么从汇聚设备发送来的报文流则是二层的报文流,那么分流设备将通过与分布式网关连接的二层AP将DHCP请求报文发送给各个分布式网关。
本发明实施例中,当认证设备中包括多个分布式网关时,分流设备和认证设备则会通过多个AP进行连接,而不同的分布式网关之间还存在着默认的报文流环路,因此为了避免不同分布式网关之间的报文混淆,因此还可以在认证设备上设置不同分布式网关之间禁止通信。具体的,在将分布式网关的线卡加入其中一个分布式网关时,可已设置将该线卡与其他分布式网关的线卡的背板相互隔离,从而禁止不同分布式网关的通信。当然,同一个分布式网关内的线卡之间则不需要设置禁止通信。
S203:认证设备中的第一分布式网关将DHCP响应报文发送给分流设备,分流设备接收DHCP响应报文。
本发明实施例中,可以为每个分布式网关创建一个DHCP地址池,通过终端接入的VLAN的ID来关联地址池。终端默认只能从与该终端接入的VLAN关联的地址池中获取IP地址。当然,为了防止某个地址池的终端的IP地址申请数量超过一定阈值时,终端无法获取IP地址,进而影响用户的使用体验的情况,还可以设置在当某一地址池的终端的IP地址申请数量超过一定阈值(例如5W)时,则将新来的DHCP请求报文均衡到其他地址池。
在认证设备的每一个分布式网关收到DHCP请求报文之后,每一个分布式网关都会获取DHCP请求报文中VLAN ID,VLAN ID为发送DHCP请求报文的第一终端所接入的VLAN的ID,且每一个分布式网关还会通过映射匹配算法确定是否能够映射到该分布式网关,如果能够映射到该分布式网关,则该分布式网关放行DHCP请求报文,并响应该DHCP请求报文,为第一终端分配IP地址;如果不能够映射到该分布式网关,则该分布式网关过滤该DHCP请求报文,也就是说,最终只会有一个分布式网关会放行该DHCP请求报文。其中,映射匹配算法具体为在分布式网关根据获取的VLAN ID与当前有效的分布式网关数量求取余数,再将余数与分布式网关的序号进行对比,若是余数与分布式网关的序号相同,则确定第一终端所在的VLAN能够映射到该分布式网关,反之,若不同,则确定第一终端所在的VLAN不能够映射到该分布式网关,且,一个VLAN只能映射到一个分布式网关。有效的分布式网关是指已经创建成功且包括至少一张正常工作的线卡的网关。
在认证设备中的第一分布式网关对DHCP请求报文进行处理之后,则会生成反馈给第一终端DHCP响应报文,第一分布式网关可以将该DHCP响应报文发送给分流设备,相应的,分流设备可以接收该DHCP响应报文。其中,DHCP响应报文中携带了第一分布式网关为第一终端分配的IP地址。
S204:分流设备将DHCP响应报文通过汇聚设备发送给第一终端。
具体的,分流设备可以通过泛洪的方式,将DHCP响应报文发送给所有的汇聚设备,每一个汇聚设备接收DHCP响应报文后,都会根据DHCP响应报文中携带的VLAN ID确定该DHCP响应报文是否是发送给与自己连接的终端,若是,则放行DHCP响应报文,若不是,则过滤DHCP响应报文。汇聚设备放行DHCP响应报文之后,则可以通过与之连接的接入设备发送给相应的第一终端。
S205:分流设备接收第一终端发送给认证设备的ARP请求报文。
S206:分流设备向认证设备发送ARP请求报文,认证设备接收ARP请求报文。
当第一终端通过DHCP请求报文获取IP地址之后,但是第一终端还不知道与其对应的分布式网关的MAC地址,因此第一终端可以通过向分布式网关发送ARP请求报文,请求获取与第一终端对应的分布式网关的MAC地址。其中,ARP请求报文包括ARP单播请求报文和ARP广播请求报文,且上述所说的为ARP广播报文,ARP单播报文在后面会有具体描述。
具体的,第一终端发送的ARP请求报文与DHCP请求报文的传输路径相同,即:ARP请求报文通过接入设备到达汇聚设备,再通过汇聚设备转发给分流设备,由于当前ARP请求报文中也并未携带分布式网关的MAC地址,所以分流设备无法根据MAC地址确定将该ARP请求报文发送给特定的分布式网关,因此,分流设备会通过泛洪的方式,将该ARP请求报文发送给认证设备包括的每一个分布式网关。相应的,认证设备中的每一个分布式网关都会接收到该ARP请求报文。其中,分流设备也可以通过与分布式网关连接的二层AP将ARP请求报文发送给各个分布式网关。
在认证设备的每一个分布式网关收到ARP请求报文之后,则每一个分布式网关都可以根据ARP降噪功能,过滤其它分布式网关的ARP请求报文。具体的,由于此时的第一终端已经拥有IP地址,因此,分布式网关则可以通过确定ARP请求报文中携带的目的IP地址是否位于该分布式网关关联的IP地址网段中,进而确定是否放行该ARP请求报文。具体的,当ARP请求报文中携带的目的IP地址位于该分布式网关关联的IP地址网段中,则放行ARP请求报文;当ARP请求报文中携带的目的IP地址未位于该分布式网关关联的IP地址网段中,则过滤ARP请求报文,也就是说,最终只会有一个分布式网关会放行该ARP请求报文。
S207:认证设备中的第一分布式网关将ARP响应报文发送给分流设备,分流设备接收ARP响应报文。
在认证设备中的第一分布式网关对ARP请求报文进行处理之后,则会生成ARP响应报文,第一分布式网关将该ARP响应报文发送给分流设备,相应的,分流设备可以接收该ARP响应报文。其中,ARP响应报文中携带了第一分布式网关的MAC地址。具体的,可以通过在第一分布式网关线卡内核将源MAC地址从系统的三层MAC地址替换为第一分布式网关的MAC地址,从而使得终端所能感知到的就是第一分布式网关的MAC地址。
S208:分流设备将ARP响应报文通过汇聚设备发送给第一终端。
具体的,分流设备可以通过泛洪的方式,将ARP响应报文发送给所有的汇聚设备,每一个汇聚设备接收ARP响应报文后,都会根据ARP响应报文中携带的VLAN ID确定该ARP响应报文是否是发送给与自己连接的终端,若是,则放行ARP响应报文,若不是,则过滤ARP响应报文。汇聚设备放行ARP响应报文之后,则可以通过与之连接的接入设备发送给相应的第一终端。
本发明实施中,其中,步骤S201~S208为第一终端初始接入网络时执行的步骤,为了使得说明书的叙述顺序更为合理,将初始接入的步骤先进行了介绍,但有必要声明的是,步骤S201~S208在初始接入完成之后,在后续的网络访问过程中,通常不会再执行,因此,步骤S201~S208并不是本发明实施例必须执行的步骤。
其中,若是分流设备接收到的是ARP单播请求报文,由于ARP单播请求报文中已经携带了与分布式网关相同的MAC地址,因此分流设备在收到ARP单播请求报文之后,则会直接根据目的MAC地址确定与该目的MAC地址相同的分布式网关,然后再将该ARP单播请求报文转发给相同的分布式网关。
S209:分流设备接收第一终端访问外网的网络访问报文。
当第一终端需要访问外部网络(后称外网)时,同样需要将网络访问报文通过接入设备发送给汇聚设备,再通过汇聚设备发送给分流设备。
本发明实施例中,由于认证设备通过设置多个分布式网关容量得以提升,但是分流设备的容量还是有限的,因此在终端数量较多的场景下,基于对分流设备存储容量的有限性的考虑,还需要关闭分流设备的MAC地址学习功能。同时,由于分流设备和汇聚设备之间还需要对管理报文进行学习,管理报文是指通过管理账号登录系统对各设备的状态进行查看和管理时发送的报文,因此不能通过直接关闭分流设备的端口的MAC地址学习功能来达到上述目的。具体的,分流设备与汇聚设备之间的端口可以通过安全模块设置关闭MAC地址学习功能,并且同时设置管理VLAN例外,即管理VLAN的报文可以进行MAC地址学习,且允许管理VLAN的地址学习的优先级高于普通VLAN的地址学习,其他普通VLAN的报文的地址则不进行学习。
S210:分流设备将网络访问报文发送给认证设备中的第一分布式网关,认证设备通过第一分布式网关接收网络访问报文。
本发明实施例中,由于此时的第一终端已经拥有自己的网络信息,即IP地址和分布式网关的MAC地址,因此分流设备可以根据网络访问报文中携带的目的MAC地址确定与第一终端相同的第一分布式网关,再通过二层AP将网络访问报文发送给第一分布式网关。其中,目的MAC地址即可以是第一分布式网关的MAC地址。
S211:第一分布式网关确定网络访问报文相同的第一终端是否为已认证终端。
第一分布式网关通过网络访问报文可以知道发送该网络访问报文的第一终端的信息,进而可以根据第一终端的信息确定第一终端是否是已认证终端。
S212:若第一分布式网关确定第一终端为已认证终端,则第一分布式网关为所述网络访问报文匹配默认路由,以将网络访问报文发送给分流设备,分流设备接收网络访问报文。
具体的,当第一分布式网关确定第一终端为已认证终端之后,则不需要提醒第一终端进行认证,也就是说可以将该网络访问报文发送给外网,使得用户可以顺利进行网络访问。因此,此时第一分布式网关会通过网络访问报文携带的目的IP地址触发默认路由,其中,默认路由指向分流设备,即第一分布式网关会将网络访问报文转发给分流设备。由于此时第一分布式网关是通过目的IP地址触发的默认路由,因此第一分布式网关在将网络访问报文转发给分流设备时,会通过三层AP口进行发送。
当第一分布式网关确定第一终端不是已认证终端时,则会将第一终端的网络访问报文引流到认证加速设备。具体的,认证设备中可以设置用于执行认证操作的管理板卡,但是由于当前认证设备基于分布式网关的扩容之后,若是都通过管理板卡来进行认证的话,管理板卡的负担过大,因此,本发明实施例通过添加一个或者多个认证加速线卡组成的认证加速设备,该认证加速设备则用于对未认证终端的报文进行处理,其中,每一张认证加速线卡可以选用支持10Wpps http报文性能,或者支持5W pps https和5W pps http性能。认证设备中的分布式网关可以通过AP口与认证加速设备的认证加速线卡相连,并通过AP口的负载均衡功能将未认证的报文均衡到各个认证加速线卡进行处理。本发明实施例中,认证加速设备可以是外接于认证设备,也可以是设置在认证设备的机箱之内。
认证加速线卡接收到网络访问报文之后,则会将该网络访问报文的目的MAC地址和源MAC地址进行互换,目的IP地址和源IP地址进行互换,以及在该报文中添加用于通知第一终端进行认证的统一资源定位符(Uniform Resource Locator,URL)重定向信息。再将该报文返回至认证设备,由于目的MAC地址和源MAC,以及目的IP地址和源IP地址都进行了互换,因此认证设备接收到认证加速设备返回的网络访问报文之后,则会将该报文发送给第一终端,当然,认证设备无法直接发送给第一终端,还需要通过分流设备和汇聚设备等设备转发至第一终端。该网络访问报文到达第一终端之后,具体则表现为为第一终端呈现认证页面,以提示第一终端进行认证。
S213:分流设备将网络访问报文发送给外网。
分流设备接收认证设备发送的网络访问报文之后,则可以根据网络访问报文匹配路由,进行转发到相应的出口设备,进而通过出口设备转发到外网。
S214:分流设备接收外网返回的网络应答报文。
当外网对网络访问报文进行响应之后,则会通过出口设备将外网的网络应答报文返回至分流设备。具体的,出口设备通过与分流设备相连的三层AP口将网络应答报文发送给分流设备。
S215:分流设备将网络应答报文转发给认证设备,认证设备接收网络应答报文。
在分流设备接收到外网返回的网络应答报文之后,分流设备可以根据网络应答报文中携带的目的IP地址确定该IP地址位于哪个分布式网关关联的IP地址网段之内,进而发送给对应的分布式网关。具体的,分流设备可以通过目的IP地址匹配分布式网关关联的IP地址网段的路由,其中,该路由例如可以是静态路由,或者可以是策略路由(Policy BasedRoute,PBR)方式的,进而转发到对应的分布式网关。由于上述网络应答报文是对第一终端发送的网络访问报文的响应,因此在分流设备匹配路由之后,则会将网络应答报文转发给第一分布式网关。由于此时分流设备通过IP地址触发路由,因此分流设备可以通过三层AP口将网络应答报文发送给第一分布式网关。
S216:认证设备匹配第一终端的路由表项。
认证设备中的第一分布式网关接收到网络应答报文之后,可以根据目的IP地址匹配到第一终端的路由表项。
S217:认证设备将网络应答报文发送给分流设备,分流设备接收网络应答报文。
认证设备在匹配第一终端的路由表项之后,则会将网络应答报文转发给分流设备,进而通过分流设备发送到第一终端。具体的,认证设备中的第一分布式网关可以通过二层AP口将网络应答报文发送给分流设备。
S218:分流设备将网络应答报文通过汇聚设备发送给第一终端。
分流设备接收到网络应答报文之后,由于分流设备中没有进行MAC地址学习,因此分流设备还会通过泛洪的方式,将网络应答报文发送给所有的汇聚设备,进而汇聚设备会根据报文中携带的第一终端接入的VLAN的ID对报文进行过滤,进而发送给第一终端,以完成整个网络访问的交互过程。
综上所述,在本发明实施例中,用于确定终端是否为已认证终端的认证设备可以包括多个分布式网关,每个分布式网关还可以包括一个或者多个线卡,每个线卡都可以用来存储终端的认证信息等,其中,不同分布式网关的MAC地址不同,报文中携带的MAC地址与多个分布式网关中的一个分布式网关相同,那么在一个分布式网关只会处理与该网关的MAC地址相同的终端的报文,这样,不同的分布式网关存储不同的认证信息,并且只处理与其MAC地址相同的终端的报文,进行实现分布式存储和认证的效果,以提高认证设备的存储容量。
下面结合附图介绍本发明实施例提供的设备。
请参见图4,本发明一实施例提供一种分布式网关40,分布式网关设置在认证设备中,认证设备包括MAC地址不同的至少一个分布式网关,该分布式网关40包括:
第一接收单元401用于,接收分流设备发送的网络访问报文;网络访问报文携带的目的MAC地址与分布式网关的MAC地址相同;
第一确定单元402用于,确定网络访问报文对应的第一终端是否为已认证终端;
第一发送单元403用于,若第一确定单元402确定第一终端为已认证终端,则为网络访问报文匹配默认路由,并将网络访问报文发送给分流设备,以使得分流设备能够将网络访问报文发送至外网;其中,默认路由指向分流设备。
在一种可能的实施方式中,
第一接收单元401还用于,接收分流设备发送的网络应答报文;至少一个分布式网关中各个分布式网关关联的IP地址网段不同,网络应答报文携带的目的IP地址位于分布式网关关联的IP地址网段之内;
第一发送单元403还用于,根据网络应答报文携带的目的IP地址匹配第一终端的路由表项,并将网络应答报文发送给分流设备。
在一种可能的实施方式中,该分布式网关还包括第一执行单元404,其中:
第一接收单元401还用于,接收分流设备发送的DHCP请求报文;
第一确定单元402还用于,确定DHCP请求报文携带的虚拟局域网ID是否能够映射到该分布式网关;
第一执行单元404用于,若确定虚拟局域网ID能够映射到该分布式网关,则放行DHCP请求报文;若确定所述虚拟局域网ID不能够映射到该分布式网关,则过滤DHCP请求报文。
在一种可能的实施方式中,该分布式网关还包括第二执行单元405,其中:
第一接收单元401还用于,接收分流设备发送的ARP请求报文;
第一确定单元402还用于,确定ARP请求报文携带的目的IP地址是否位于分布式网关自身关联的IP地址网段之内;
第二执行单元405还用于,若确定ARP请求报文中携带的目的IP地址位于该分布式网关自身关联的IP地址网段之内,则放行ARP请求报文;若确定所述ARP请求报文携带的目的IP地址不位于该分布式网关自身关联的IP地址网段之内,则过滤ARP请求报文。
在一种可能的实施方式中,
第一发送单元403还用于,若第一确定单元402确定第一终端不是已认证终端,将网络访问报文发送给认证加速设备;
第一接收单元401还用于,接收认证加速设备返回的处理后的网络访问报文;处理后的网络访问报文携带用于通知第一终端进行认证的URL重定向信息;
第一发送单元403还用于,将处理后的网络访问报文发送给分流设备。
在一种可能的实施方式中,认证设备包括的任意两个分布式网关之间不能进行通信,且认证设备包括的任意一个分布式网关只对携带的目的IP地址位于与任意一个分布式网关关联的IP地址网段内的报文中的MAC地址和/或IP地址进行保存。
该分布式网关40可以用于执行图2所示的实施例所提供的方法,例如该设备为前所述认证设备中的第一分布式网关。因此,对于该分布式网关的各功能模块所能够实现的功能等可参考图2所示的实施例的描述,不多赘述。其中,由于第一执行单元404和第二执行单元405不是必选的功能模块,因此在图4中以虚线示出。
请参见图5,本发明一实施例提供一种分流设备50,该设备包括:
第二接收单元501用于,接收第一终端发送给认证设备的网络访问报文;其中,认证设备包括MAC地址不同的至少一个分布式网关;
第二确定单元502用于,根据网络访问报文携带的目的MAC地址从至少一个分布式网关中确定处理网络访问报文的第一分布式网关;网络访问报文携带的目的MAC地址与第一分布式网关的MAC地址相同;
第二发送单元503用于,将网络访问报文发送给第一分布式网关。
在一种可能的实施方式中,
第二接收单元501还用于,接收外网返回的网络应答报文;
第二确定单元502还用于,从至少一个分布式网关中确定与网络应答报文携带的目的IP地址对应的第一分布式网关;其中,至少一个分布式网关中各个分布式网关关联的IP地址网段不同,网络应答报文携带的目的IP地址位于第一分布式网关关联的IP地址网段之内;
第二发送单元503还用于,将网络应答报文发送给第一分布式网关。
在一种可能的实施方式中,
第二接收单元501还用于,接收第一终端发送给认证设备的DHCP请求报文、ARP单播请求报文或者ARP广播请求报文;
第二接收单元501还用于,将DHCP请求报文或者ARP广播请求报文发送给认证设备包括的每个分布式网关;或者,将ARP单播报文发送给第一分布式网关,ARP单播报文携带的目的MAC地址为第一分布式网关的MAC地址。
该分流设备50可以用于执行图2所示的实施例所提供的方法,例如该设备为前所述认证设备中的分流设备。因此,对于该分流设备50的各功能模块所能够实现的功能等可参考图2所示的实施例的描述,不多赘述。
本发明实施例还提供一种认证设备,该设备包括至少一个分布式网关,例如至少一个分布式网关可以为图2所示的实施例中的第一分布式网关,因此对于该设备所能实现的功能也可以参考图2所示的实施例的描述,不多赘述。
本发明实施例还提供一种核心交换机,该核心交换机包括认证设备和分流设备,分流设备和认证设备所能实现的功能在图2所示的实施例中已进行具体描述,因此在此不再赘述。
本发明实施例还提供一种通信系统,该通信系统包括终端、认证设备和分流设备,其中,终端例如可以为图2所示的实施例中的第一终端,分流设备和认证设备例如也可以为图2所示的实施例中的分流设备和认证设备,因此对于该通信系统能够实现的功能可以参考图2所示的实施例的描述,不多赘述。
请参见图6,本发明一实施例还提供一种计算机装置,该计算机装置包括处理器601,处理器601用于执行存储器中存储的计算机程序时实现本发明实施例提供的报文处理方法的步骤。
可选的,处理器601具体可以是中央处理器、特定应用集成电路(英文:Application Specific Integrated Circuit,简称:ASIC),可以是一个或多个用于控制程序执行的集成电路,可以是使用现场可编程门阵列(英文:Field Programmable GateArray,简称:FPGA)开发的硬件电路,可以是基带处理器。
可选的,处理器601可以包括至少一个处理核心。
可选的,该计算机装置还包括存储器602,存储器602可以包括只读存储器(英文:Read Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)和磁盘存储器。存储器602用于存储处理器601运行时所需的数据。存储器602的数量为一个或多个。其中,存储器602在图6中一并示出,但需要知道的是存储器602不是必选的功能模块,因此在图6中以虚线示出。
本发明一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例提供的报文处理方法的步骤。
在本发明实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性或其它的形式。
在本发明实施例中的各功能单元可以集成在一个处理单元中,或者各个单元也可以均是独立的物理模块。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备,例如可以是个人计算机,服务器,或者网络设备等,或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus flash drive)、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以对本申请的技术方案进行了详细介绍,但以上实施例的说明只是用于帮助理解本发明实施例的方法,不应理解为对本发明实施例的限制。本技术领域的技术人员可轻易想到的变化或替换,都应涵盖在本发明实施例的保护范围之内。
Claims (20)
1.一种报文处理方法,其特征在于,所述方法应用于认证设备中的第一分布式网关,所述认证设备包括媒体访问控制MAC地址不同的至少一个分布式网关,所述第一分布式网关为所述至少一个分布式网关中的任意一个分布式网关;所述方法包括:
接收分流设备发送的网络访问报文;所述网络访问报文携带的目的MAC地址与所述第一分布式网关的MAC地址相同;
确定所述网络访问报文对应的第一终端是否为已认证终端;
若确定所述第一终端为已认证终端,则为所述网络访问报文匹配默认路由,并将所述网络访问报文发送给所述分流设备,以使得所述分流设备能够将所述网络访问报文发送至外网;其中,所述默认路由指向所述分流设备;
其中,所述认证设备包括的任意两个分布式网关之间不能进行通信;所述认证设备包括的至少一个分布式网关设置在一个机箱内,每一个分布式网关通过两个聚合口AP与所述分流设备连接,其中,所述分流设备上,所述两个AP中的一个AP为二层AP,另一个AP为三层AP;且所述每一个分布式网关包括至少一张线卡,每一张线卡用于存储认证信息、路由表项。
2.如权利要求1所述的方法,其特征在于,在将所述网络访问报文发送给所述分流设备之后,所述方法还包括:
接收分流设备发送的网络应答报文;所述至少一个分布式网关中各个分布式网关关联的互联网协议IP地址网段不同,所述网络应答报文携带的目的IP地址位于所述第一分布式网关关联的IP地址网段之内;
根据所述网络应答报文携带的目的IP地址匹配所述第一终端的路由表项,并将所述网络应答报文发送给所述分流设备。
3.如权利要求1所述的方法,其特征在于,在通过第一分布式网关接收分流设备发送的网络访问报文之前,所述方法还包括:
接收所述分流设备发送的动态主机配置协议DHCP请求报文;
确定所述DHCP请求报文携带的虚拟局域网标识ID是否能够映射到所述第一分布式网关;
若确定所述虚拟局域网ID能够映射到所述第一分布式网关,则放行所述DHCP请求报文;若确定所述虚拟局域网ID不能够映射到所述第一分布式网关,则过滤所述DHCP请求报文。
4.如权利要求1所述的方法,其特征在于,在接收分流设备发送的网络访问报文之前,所述方法还包括:
接收所述分流设备发送的地址解析协议ARP请求报文;
确定所述ARP请求报文携带的目的IP地址是否位于所述第一分布式网关自身关联的IP地址网段之内;
若确定所述ARP请求报文携带的目的IP地址位于所述第一分布式网关自身关联的IP地址网段之内,则所述第一分布式网关放行所述ARP请求报文;若确定所述ARP请求报文携带的目的IP地址不位于所述第一分布式网关自身关联的IP地址网段之内,则过滤所述ARP请求报文。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
若确定所述第一终端不是已认证终端,则将所述网络访问报文发送给认证加速设备;
接收所述认证加速设备返回的处理后的网络访问报文;所述处理后的网络访问报文携带用于通知所述第一终端进行认证的统一资源定位符URL重定向信息;
将所述处理后的网络访问报文发送给所述分流设备。
6.如权利要求1~5任一所述的方法,其特征在于,所述认证设备包括的任意一个分布式网关只对携带的目的IP地址位于与所述任意一个分布式网关关联的IP地址网段内的报文中的MAC地址和/或IP地址进行保存。
7.一种报文处理方法,应用在分流设备中,其特征在于,包括:
接收第一终端发送到认证设备的网络访问报文;其中,所述认证设备包括MAC地址不同的至少一个分布式网关;
根据所述网络访问报文携带的目的MAC地址从所述至少一个分布式网关中确定处理所述网络访问报文的第一分布式网关;所述网络访问报文携带的目的MAC地址与所述第一分布式网关的MAC地址相同;
将所述网络访问报文发送给所述第一分布式网关;
其中,所述认证设备包括的任意两个分布式网关之间不能进行通信;所述认证设备包括的至少一个分布式网关设置在一个机箱内,每一个分布式网关通过两个聚合口AP与所述分流设备连接,其中,所述分流设备上,所述两个AP中的一个AP为二层AP,另一个AP为三层AP;且所述每一个分布式网关包括至少一张线卡,每一张线卡用于存储认证信息、路由表项。
8.如权利要求7所述的方法,其特征在于,在将所述网络访问报文发送给所述第一分布式网关之后,所述方法还包括:
接收外网返回的网络应答报文;
从所述至少一个分布式网关中确定与所述网络应答报文携带的目的IP地址对应的所述第一分布式网关;其中,所述至少一个分布式网关中各个分布式网关关联的IP地址网段不同,所述网络应答报文携带的目的IP地址位于所述第一分布式网关关联的IP地址网段之内;
将所述网络应答报文发送给所述第一分布式网关。
9.如权利要求7或8所述的方法,其特征在于,所述方法还包括:
接收所述第一终端发送的DHCP请求报文、ARP单播请求报文或者ARP广播请求报文;
将所述DHCP请求报文或者所述ARP广播请求报文发送给所述认证设备包括的每个分布式网关;或者,将所述ARP单播报文发送给所述第一分布式网关,所述ARP单播报文携带的目的MAC地址为所述第一分布式网关的MAC地址。
10.一种分布式网关,其特征在于,所述分布式网关设置在认证设备中,所述认证设备包括MAC地址不同的至少一个分布式网关,包括:
第一接收单元用于,接收分流设备发送的网络访问报文;所述网络访问报文携带的目的MAC地址与所述分布式网关的MAC地址相同;
第一确定单元用于,确定所述网络访问报文对应的第一终端是否为已认证终端;
第一发送单元用于,若所述第一确定单元确定所述第一终端为已认证终端,则为所述网络访问报文匹配默认路由,并将所述网络访问报文发送给所述分流设备,以使得所述分流设备能够将所述网络访问报文发送至外网;其中,所述默认路由指向所述分流设备;
其中,所述认证设备包括的任意两个分布式网关之间不能进行通信;所述认证设备包括的至少一个分布式网关设置在一个机箱内,每一个分布式网关通过两个聚合口AP与所述分流设备连接,其中,所述分流设备上,所述两个AP中的一个AP为二层AP,另一个AP为三层AP;且所述每一个分布式网关包括至少一张线卡,每一张线卡用于存储认证信息、路由表项。
11.如权利要求10所述的分布式网关,其特征在于,
所述第一接收单元还用于,接收分流设备发送的网络应答报文;所述至少一个分布式网关中各个分布式网关关联的IP地址网段不同,所述网络应答报文携带的目的IP地址位于所述分布式网关关联的IP地址网段之内;
所述第一发送单元还用于,根据所述网络应答报文携带的目的IP地址匹配所述第一终端的路由表项,并将所述网络应答报文发送给所述分流设备。
12.如权利要求10所述的分布式网关,其特征在于,所述分布式网关还包括第一执行单元,其中:
所述第一接收单元还用于,接收所述分流设备发送的DHCP请求报文;
所述第一确定单元还用于,确定所述DHCP请求报文携带的虚拟局域网ID是否能够映射到所述分布式网关;
所述第一执行单元用于,若确定所述虚拟局域网ID能够映射到所述分布式网关,则放行所述DHCP请求报文;若确定所述虚拟局域网ID不能够映射到所述分布式网关,则过滤所述DHCP请求报文。
13.如权利要求10所述的分布式网关,其特征在于,所述分布式网关还包括第二执行单元,其中:
所述第一接收单元还用于,接收所述分流设备发送的ARP请求报文;
所述第一确定单元还用于,确定所述ARP请求报文携带的目的IP地址是否位于所述分布式网关自身关联的IP地址网段之内;
所述第二执行单元用于,若确定所述ARP请求报文中携带的目的IP地址位于所述分布式网关自身关联的IP地址网段之内,则放行所述ARP请求报文;若确定所述ARP请求报文携带的目的IP地址不位于所述分布式网关自身关联的IP地址网段之内,则过滤所述ARP请求报文。
14.如权利要求10所述的分布式网关,其特征在于,
所述第一发送单元还用于,若所述第一确定单元确定所述第一终端不是已认证终端,将所述网络访问报文发送给认证加速设备;
所述第一接收单元还用于,接收所述认证加速设备返回的处理后的网络访问报文;所述处理后的网络访问报文携带用于通知所述第一终端进行认证的URL重定向信息;
所述第一发送单元还用于,将所述处理后的网络访问报文发送给所述分流设备。
15.如权利要求10~14任一所述的分布式网关,其特征在于,所述认证设备包括的任意一个分布式网关只对携带的目的IP地址位于与所述任意一个分布式网关关联的IP地址网段内的报文中的MAC地址和/或IP地址进行保存。
16.一种分流设备,其特征在于,包括:
第二接收单元用于,用接收第一终端发送给认证设备的网络访问报文;其中,所述认证设备包括MAC地址不同的至少一个分布式网关;
第二确定单元用于,根据所述网络访问报文携带的目的MAC地址从所述至少一个分布式网关中确定处理所述网络访问报文的第一分布式网关;所述网络访问报文携带的目的MAC地址与所述第一分布式网关的MAC地址相同;
第二发送单元用于,将所述网络访问报文发送给所述第一分布式网关;
其中,所述认证设备包括的任意两个分布式网关之间不能进行通信;所述认证设备包括的至少一个分布式网关设置在一个机箱内,每一个分布式网关通过两个聚合口AP与所述分流设备连接,其中,所述分流设备上,所述两个AP中的一个AP为二层AP,另一个AP为三层AP;且所述每一个分布式网关包括至少一张线卡,每一张线卡用于存储认证信息、路由表项。
17.如权利要求16所述的设备,其特征在于,
所述第二接收单元还用于,接收外网返回的网络应答报文;
所述第二确定单元还用于,从所述至少一个分布式网关中确定与所述网络应答报文携带的目的IP地址对应的所述第一分布式网关;其中,所述至少一个分布式网关中各个分布式网关关联的IP地址网段不同,所述网络应答报文携带的目的IP地址位于所述第一分布式网关关联的IP地址网段之内;
所述第二发送单元还用于,将所述网络应答报文发送给所述第一分布式网关。
18.如权利要求16或17所述的设备,其特征在于,
所述第二接收单元还用于,接收所述第一终端发送给所述认证设备的DHCP请求报文、ARP单播请求报文或者ARP广播请求报文;
所述第二发送单元还用于,将所述DHCP请求报文或者所述ARP广播请求报文发送给所述认证设备包括的每个分布式网关;或者,将所述ARP单播报文发送给所述第一分布式网关,所述ARP单播报文携带的目的MAC地址为所述第一分布式网关的MAC地址。
19.一种计算机装置,其特征在于,所述装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-9中任一项所述方法的步骤。
20.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-9中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711144107.3A CN107819776B (zh) | 2017-11-17 | 2017-11-17 | 一种报文处理方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711144107.3A CN107819776B (zh) | 2017-11-17 | 2017-11-17 | 一种报文处理方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107819776A CN107819776A (zh) | 2018-03-20 |
| CN107819776B true CN107819776B (zh) | 2021-01-15 |
Family
ID=61609389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711144107.3A Active CN107819776B (zh) | 2017-11-17 | 2017-11-17 | 一种报文处理方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819776B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737432B (zh) * | 2018-05-28 | 2020-09-15 | 深圳职业技术学院 | IoT场景下基于混淆的分布式认证方法、装置及系统 |
| CN110708293B (zh) * | 2019-09-11 | 2021-11-19 | 中国联合网络通信集团有限公司 | 多媒体业务的分流方法和装置 |
| CN112532524B (zh) * | 2020-11-24 | 2022-12-13 | 锐捷网络股份有限公司 | 一种报文处理方法及装置 |
| CN113626736B (zh) * | 2021-08-10 | 2023-11-17 | 迈普通信技术股份有限公司 | Url特征学习方法、装置、电子设备及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060498A (zh) * | 2007-06-22 | 2007-10-24 | 杭州华三通信技术有限公司 | 实现网关Mac绑定的方法、组件、网关和二层交换机 |
| CN101170515A (zh) * | 2007-12-04 | 2008-04-30 | 华为技术有限公司 | 一种处理报文的方法、系统和网关设备 |
| CN101562542A (zh) * | 2009-05-21 | 2009-10-21 | 杭州华三通信技术有限公司 | 免费arp请求的响应方法和网关设备 |
| CN102025593A (zh) * | 2009-09-21 | 2011-04-20 | 中国移动通信集团公司 | 分布式用户接入系统及方法 |
| CN102201963A (zh) * | 2010-03-22 | 2011-09-28 | 杭州华三通信技术有限公司 | 媒体接入控制强制转发方法及功能单元 |
| CN102665216A (zh) * | 2012-05-03 | 2012-09-12 | 杭州热望信息技术有限公司 | 一种可扩展的分布式wlan网络用户认证方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8811393B2 (en) * | 2010-10-04 | 2014-08-19 | Cisco Technology, Inc. | IP address version interworking in communication networks |
-
2017
- 2017-11-17 CN CN201711144107.3A patent/CN107819776B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060498A (zh) * | 2007-06-22 | 2007-10-24 | 杭州华三通信技术有限公司 | 实现网关Mac绑定的方法、组件、网关和二层交换机 |
| CN101170515A (zh) * | 2007-12-04 | 2008-04-30 | 华为技术有限公司 | 一种处理报文的方法、系统和网关设备 |
| CN101562542A (zh) * | 2009-05-21 | 2009-10-21 | 杭州华三通信技术有限公司 | 免费arp请求的响应方法和网关设备 |
| CN102025593A (zh) * | 2009-09-21 | 2011-04-20 | 中国移动通信集团公司 | 分布式用户接入系统及方法 |
| CN102201963A (zh) * | 2010-03-22 | 2011-09-28 | 杭州华三通信技术有限公司 | 媒体接入控制强制转发方法及功能单元 |
| CN102665216A (zh) * | 2012-05-03 | 2012-09-12 | 杭州热望信息技术有限公司 | 一种可扩展的分布式wlan网络用户认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107819776A (zh) | 2018-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10320838B2 (en) | Technologies for preventing man-in-the-middle attacks in software defined networks | |
| US11025631B2 (en) | Network access control | |
| CN107819776B (zh) | 一种报文处理方法及设备 | |
| US10063470B2 (en) | Data center network system based on software-defined network and packet forwarding method, address resolution method, routing controller thereof | |
| EP3461072B1 (en) | Access control in a vxlan | |
| US9515985B2 (en) | Platform for private internet protocol (IP) cloud services | |
| EP3499815A1 (en) | Packet transmission | |
| US20150124823A1 (en) | Tenant dhcp in an overlay network | |
| CN106559292A (zh) | 一种宽带接入方法和装置 | |
| CN114070723B (zh) | 裸金属服务器的虚拟网络配置方法、系统及智能网卡 | |
| CN107666419B (zh) | 一种虚拟宽带接入方法、控制器和系统 | |
| CN114338606B (zh) | 一种公有云的网络配置方法及相关设备 | |
| CN108574613B (zh) | Sdn数据中心的二层互通方法及装置 | |
| CN107517129B (zh) | 一种基于OpenStack配置设备上行接口的方法和装置 | |
| CN108390809B (zh) | 一种基于vf混杂模式的桥接方法及其系统 | |
| CN115604272B (zh) | 负载均衡方法、装置、系统及系统创建方法及设备和介质 | |
| US10439877B2 (en) | Systems and methods for enabling wide area multicast domain name system | |
| CN111953599B (zh) | 一种终端权限控制方法、装置、电子设备及存储介质 | |
| CN107634907B (zh) | 一种二层虚拟专用网络l2vpn的数据转发方法和装置 | |
| CN113507425A (zh) | 一种Overlay组播方法、装置及设备 | |
| WO2015147793A1 (en) | Transmitting network traffic in accordance with network traffic rules | |
| EP3627774A1 (en) | Forwarding of video-on-demand stream | |
| CN107046568B (zh) | 一种认证方法和装置 | |
| CN112994941B (zh) | 抗DDoS云主机的部署方法、装置以及抗DDoS攻击防护系统 | |
| CN110830594B (zh) | 一种扩展云手机ip地址的方法、系统、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |