CN108259454B - 一种Portal认证方法和装置 - Google Patents

Abstract

本申请提供一种Portal认证方法和装置，该方法包括：接收用户设备发送的网络访问请求，其中携带用户设备的MAC地址；若第一ACL中不存在与所述MAC地址匹配的ACL表项，第二ACL中不存在与所述MAC地址匹配的ACL表项，判断是否对用户设备进行Portal认证；如果是，根据所述MAC地址对用户设备进行Portal认证；如果否，拒绝根据所述MAC地址对用户设备进行Portal认证。通过本申请的技术方案，可以提高汇聚层设备和认证服务器的处理性能，节约汇聚层设备和认证服务器的CPU资源、内存资源和带宽资源。

Description

一种Portal认证方法和装置

技术领域

本申请涉及通信技术领域，尤其涉及一种Portal认证方法和装置。

背景技术

Portal(入口)认证也称为Web(网页)认证，即通过Portal页面接受用户输入的用户名和密码，对用户进行身份认证，达到对用户访问进行控制的目的。

在Portal认证过程中，NAS(Network Access Server，网络接入服务器)在接收到用户设备的网络访问请求时，若用户设备还没有进行认证，则NAS向认证服务器发送认证请求。认证服务器在接收到该认证请求后，将Portal认证页面的URL(Uniform ResourceLocator，统一资源定位符)信息发送给NAS。NAS根据该URL信息将用户设备重定向到Portal认证页面，由用户在该Portal认证页面输入用户名和密码，且用户设备向NAS发送携带用户名和密码的Portal认证请求。NAS在接收到该Portal认证请求后，可以将该Portal认证请求发送给认证服务器，而认证服务器可以利用Portal认证请求中携带的用户名、密码对用户设备进行认证，在用户设备认证成功时，就可以允许用户设备访问网络。

在上述方式下，针对未认证成功的用户设备，NAS每次收到用户设备的网络访问请求时，都会向认证服务器发送认证请求。这样，如果攻击者伪造大量网络访问请求，NAS会针对每个网络访问请求生成一个认证请求，并向认证服务器发送认证请求。上述方式会导致NAS处理大量网络访问请求，并发送大量认证请求，降低NAS的处理性能，占用NAS的大量CPU(Central Processing Unit，中央处理器)资源、内存资源和带宽资源。认证服务器也需要处理大量认证请求，降低认证服务器的处理性能，占用认证服务器的大量CPU资源、内存资源。

发明内容

本申请提供一种Portal认证方法，所述方法包括：

接收用户设备发送的网络访问请求，所述网络访问请求携带所述用户设备的MAC地址；

若第一ACL中不存在与所述MAC地址匹配的ACL表项，第二ACL中不存在与所述MAC地址匹配的ACL表项，则判断是否对所述用户设备进行Portal认证；第一ACL中的ACL表项用于记录能够访问网络资源的MAC地址，第二ACL中的ACL表项用于记录需要重定向到Portal认证页面的MAC地址；

如果是，则根据所述MAC地址对所述用户设备进行Portal认证；

如果否，则拒绝根据所述MAC地址对所述用户设备进行Portal认证。

本申请提供一种Portal认证装置，所述装置包括：

接收模块，用于接收用户设备发送的网络访问请求，其中，所述网络访问请求携带所述用户设备的MAC地址；

判断模块，用于当第一ACL中不存在与所述MAC地址匹配的ACL表项，且第二ACL中不存在与所述MAC地址匹配的ACL表项时，则判断是否对所述用户设备进行Portal认证；其中，所述第一ACL中的ACL表项用于记录能够访问网络资源的MAC地址，所述第二ACL中的ACL表项用于记录需要重定向到Portal认证页面的MAC地址；

处理模块，用于当判断结果为是时，则根据所述MAC地址对所述用户设备进行Portal认证；当判断结果为否时，则拒绝根据所述MAC地址对所述用户设备进行Portal认证。

基于上述技术方案，本申请实施例中，汇聚层设备可以在用户设备发送首个网络访问请求时，就判断是否对用户设备进行Portal认证，如果否，则拒绝对用户设备进行Portal认证。这样，如果攻击者伪造大量网络访问请求，则可以避免汇聚层设备为每个网络访问请求生成一个认证请求，并减少汇聚层设备向认证服务器发送的认证请求数量，从而可以提高汇聚层设备和认证服务器的处理性能，节约汇聚层设备和认证服务器的CPU资源、内存资源和带宽资源。

附图说明

为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中所记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。

图1是VXLAN的一个组网示意图；

图2是基于MAC地址的Portal认证方式的示意图；

图3是本申请一种实施方式中的Portal认证方法的流程图；

图4是本申请一种实施方式中的应用场景示意图；

图5是本申请一种实施方式中的Portal认证装置的结构图；

图6是本申请一种实施方式中的汇聚层设备的硬件结构图。

具体实施方式

在本申请使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请实施例和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

参见图1所示，为VXLAN(Virtual eXtensible Local Area Network，可扩展虚拟局域网络)的一个组网示意图。在一个例子中，用户设备(如用户设备111、用户设备112、用户设备113和用户设备114等)可以是PC(Personal Computer，个人计算机)、移动终端、笔记本电脑、终端设备等；接入层设备(如接入层设备121、接入层设备122、接入层设备123和接入层设备124等)可以是接入层交换机、AC(Access Controller，接入控制器)、AP(AccessPoint，接入点)等；汇聚层设备(如汇聚层设备131和汇聚层设备132等)可以是NAS、BRAS(Broadband Remote Access Server，宽带远程接入服务器)、汇聚层交换机、汇聚层路由器等；核心层设备(如核心层设备141和核心层设备142等)可以是核心层交换机、核心层路由器等；认证服务器可以是Portal服务器、RADIUS(Remote Authentication Dial In UserService，远程用户拨号认证系统)服务器、AAA(Authentication AuthorizationAccounting，认证授权计费)服务器等。

参见图1所示，VXLAN组网中还可以包括出口设备151。

参见图1所示，汇聚层设备作为VXLAN网络的边缘设备，可以被称为VTEP(VXLANTunneling End Point，VXLAN隧道端点)设备，汇聚层设备与核心层设备、汇聚层设备与认证服务器的报文传输，均通过VXLAN隧道实现，对此VXLAN隧道建立过程不做赘述。例如，汇聚层设备131与认证服务器之间建立有VXLAN隧道1，VXLAN隧道1的VXLAN标识是VXLAN100。这样，汇聚层设备131向认证服务器发送报文时，先为报文封装VXLAN隧道头，该VXLAN隧道头携带VXLAN100，并通过VXLAN隧道1将报文发送给认证服务器。

在这种组网场景下，为实现对用户设备的认证，可以采用基于MAC(Media AccessControl，介质访问控制)地址的Portal认证方式。以用户设备111的认证过程为例，参见图2所示，为基于MAC地址的Portal认证方式的示意图。

步骤201，用户设备111发送网络访问请求，如访问某网站的请求。

步骤202，汇聚层设备131在接收到网络访问请求时，通过该网络访问请求携带的MAC地址A(即用户设备111的MAC地址)查询第一ACL(Access Control List，访问控制列表)。若第一ACL中不存在与MAC地址A匹配的ACL表项，则通过MAC地址A查询第二ACL，若第二ACL中不存在与MAC地址A匹配的ACL表项，则确定用户设备111还未进行认证，向认证服务器发送认证请求。

其中，第一ACL、第二ACL中存储的内容和功能，将在后续过程介绍。

其中，汇聚层设备131在向认证服务器发送认证请求时，生成携带MAC地址A的认证请求，并为该认证请求封装VXLAN隧道头，该VXLAN隧道头携带VXLAN100，并通过VXLAN隧道1将认证请求发送给认证服务器。

步骤203，认证服务器在接收到认证请求后，解封装VXLAN隧道头，从解封装后的认证请求中解析MAC地址A，确定MAC地址A需要进行Portal认证。

步骤204，认证服务器向汇聚层设备131发送针对该认证请求的响应消息，该响应消息携带第一授权VSI(Virtual Switch Instance，虚拟交换实例)、ACL策略、MAC地址A和URL信息。其中，该ACL策略用于指示将MAC地址A的网络访问请求重定向到该URL信息对应的Portal认证页面。第一授权VSI与VXLAN隧道1对应，表示允许通过VXLAN隧道1发送MAC地址A的报文。

其中，认证服务器在向汇聚层设备131发送响应消息时，还可以为该响应消息封装VXLAN隧道头，该VXLAN隧道头携带VXLAN100，并通过VXLAN隧道1将响应消息发送给汇聚层设备131，对此封装和发送过程不再赘述。

步骤205，汇聚层设备131在接收到响应消息后，解封装VXLAN隧道头，并从解封装后的响应消息中解析出第一授权VSI、ACL策略、MAC地址A和URL信息。然后，汇聚层设备131还可以根据该ACL策略，在第二ACL(第二ACL中的ACL表项用于记录需要重定向到Portal认证页面的MAC地址)中添加ACL表项1，该ACL表项1包括MAC地址A和URL信息，且该ACL表项1用于将针对MAC地址A的网络访问请求，重定向到该URL信息对应的Portal认证页面。此外，汇聚层设备131还可以记录MAC地址A与第一授权VSI的对应关系，且由于第一授权VSI与VXLAN隧道1对应，因此，允许汇聚层设备131通过VXLAN隧道1发送MAC地址A的报文。

步骤206，用户设备111再次发送网络访问请求时，汇聚层设备131接收到网络访问请求时，通过网络访问请求携带的MAC地址A查询第一ACL。若第一ACL中不存在与MAC地址A匹配的ACL表项，则通过MAC地址A查询第二ACL，由于第二ACL中已经存在与MAC地址A匹配的ACL表项1，因此根据ACL表项1将网络访问请求重定向到该URL信息对应的Portal认证页面。

步骤207，用户在Portal认证页面输入身份信息(如用户名和密码等)，且用户设备111向汇聚层设备131发送携带该身份信息的Portal认证请求。

步骤208，汇聚层设备131在接收到Portal认证请求后，为Portal认证请求封装VXLAN隧道头，通过VXLAN隧道1将Portal认证请求发送给认证服务器。

其中，汇聚层设备131为Portal认证请求封装VXLAN隧道头，通过VXLAN隧道1将Portal认证请求发送给认证服务器之前，还查询VXLAN隧道1对应的第一授权VSI是否对应有Portal认证请求的源MAC地址。如果是，才为Portal认证请求封装VXLAN隧道头，并通过VXLAN隧道1将Portal认证请求发送给认证服务器。如果否，则丢弃Portal认证请求。由于第一授权VSI对应有Portal认证请求的源MAC地址(即MAC地址A)，因此可以为Portal认证请求封装VXLAN隧道头，通过VXLAN隧道1将Portal认证请求发送给认证服务器。

步骤208与步骤202的区别在于：在步骤202中，是汇聚层设备131生成认证请求，而不是转发用户设备的认证请求，因此，汇聚层设备131可以直接为认证请求封装VXLAN隧道头，并通过VXLAN隧道1将Portal认证请求发送给认证服务器，而不需要查询第一授权VSI是否对应有认证请求的源MAC地址。在步骤208中，是汇聚层设备131转发用户设备的Portal认证请求，因此，汇聚层设备131需要查询第一授权VSI是否对应有Portal认证请求的源MAC地址。

步骤209，认证服务器在接收到Portal认证请求后，解封装VXLAN隧道头，从解封装后的Portal认证请求中解析出MAC地址A和身份信息，并利用该身份信息对用户设备111进行认证。若认证成功，则标记MAC地址A已经认证成功；若认证失败，则拒绝用户设备111访问网络，对此过程不再赘述。

步骤210，若用户设备111认证成功，则认证服务器向汇聚层设备131发送下线消息，该下线消息携带MAC地址A。其中，该下线消息可以封装有VXLAN隧道头，且认证服务器通过VXLAN隧道1将下线消息发送给汇聚层设备131。

步骤211，汇聚层设备131在接收到下线消息后，解封装VXLAN隧道头，并从解封装后的下线消息中得到MAC地址A，并从第二ACL中删除与MAC地址A对应的ACL表项1，并删除MAC地址A与第一授权VSI的对应关系。

步骤212，用户设备111再次发送网络访问请求时，汇聚层设备131接收到网络访问请求时，通过网络访问请求携带的MAC地址A查询第一ACL。若第一ACL中不存在与MAC地址A匹配的ACL表项，则通过MAC地址A查询第二ACL，若第二ACL中不存在与MAC地址A匹配的ACL表项，则向认证服务器发送携带MAC地址A的认证请求。其中，该认证请求可以封装有VXLAN隧道头，且汇聚层设备131可以通过VXLAN隧道1发送该认证请求。

步骤213，认证服务器在接收到认证请求后，解封装VXLAN隧道头，从解封装后的认证请求中解析出MAC地址A，由于MAC地址A已经被标记为认证成功，因此MAC地址A不需要进行Portal认证，并向汇聚层设备131发送响应消息，该响应消息携带ACL策略、MAC地址A和第二授权VSI。该响应消息封装有VXLAN隧道头，且认证服务器通过VXLAN隧道1发送该响应消息。

其中，该ACL策略用于指示MAC地址A可以访问网络资源。该第二授权VSI可以与VXLAN隧道对应，用于表示允许通过该VXLAN隧道发送MAC地址A的报文；该VXLAN隧道是用于访问Internet的VXLAN隧道，如汇聚层设备131与核心层设备141之间的VXLAN隧道等，对此不做限制。

步骤214，汇聚层设备131在收到响应消息后，解封装VXLAN隧道头，从解封装后的响应消息中解析出ACL策略、MAC地址A和第二授权VSI，根据该ACL策略在第一ACL(该第一ACL中的ACL表项用于记录能够访问网络资源的MAC地址)中添加ACL表项2，该ACL表项2包括MAC地址A，且ACL表项2用于指示MAC地址A可以访问网络资源。此外，汇聚层设备131还可以记录MAC地址A与第二授权VSI的对应关系，且由于第二授权VSI与某个VXLAN隧道(如汇聚层设备131与核心层设备141之间的VXLAN隧道等)对应，因此，允许汇聚层设备131通过该VXLAN隧道发送MAC地址A的报文。

步骤215，用户设备111再次发送网络访问请求时，汇聚层设备131接收到网络访问请求时，通过该网络访问请求携带的MAC地址A查询第一ACL。由于第一ACL中已经存在与MAC地址A匹配的ACL表项2，因此，允许网络访问请求通过，并使用网络访问请求的源MAC地址对应的第二授权VSI对应的VXLAN隧道发送网络访问请求。至此，用户设备111成功上线，访问网络资源。

由于每个MAC地址的Portal认证过程，都会触发执行上述步骤201-步骤215，若攻击者伪造大量MAC地址发送网络访问请求，则会降低汇聚层设备和认证服务器的处理性能，并占用大量的CPU资源、内存资源和带宽资源。

针对上述发现，本申请实施例中提出一种Portal认证方法，该方法可以应用于汇聚层设备，汇聚层设备在接收到网络访问请求时，若该网络访问请求是用户设备发送的首个网络访问请求，则汇聚层设备不是直接对用户设备进行Portal认证，而是先判断是否对用户设备进行Portal认证，如果否，则汇聚层设备拒绝对用户设备进行Portal认证。这样，就不会触发执行上述步骤201-步骤215，从而节约汇聚层设备和认证服务器的CPU资源、内存资源和带宽资源。

参见图3所示，为该Portal认证方法的流程图，该方法可以应用于汇聚层设备，如NAS、BRAS、汇聚层交换机、汇聚层路由器等，该方法可以包括：

步骤301，接收用户设备发送的网络访问请求，该网络访问请求携带该用户设备的MAC地址，即该网络访问请求的源MAC地址是用户设备的MAC地址。

步骤302，若第一ACL中不存在与该MAC地址匹配的ACL表项，且第二ACL中不存在与该MAC地址匹配的ACL表项，则判断是否对该用户设备进行Portal认证。如果是，则可以执行步骤303；如果否，则可以执行步骤304。

在一个例子中，若第一ACL中不存在与该MAC地址匹配的ACL表项，且第二ACL中不存在与该MAC地址匹配的ACL表项，则汇聚层设备不是直接对用户设备进行Portal认证，而是先判断是否对该用户设备进行Portal认证。

此外，若第二ACL中存在与该MAC地址匹配的ACL表项，则说明这个网络访问请求不是用户设备发送的首个网络访问请求，参见图2所示的流程，汇聚层设备可以从步骤206开始，执行上述Portal认证过程，在此不再赘述。

此外，若第一ACL中存在与该MAC地址匹配的ACL表项，则说明这个网络访问请求不是用户设备发送的首个网络访问请求，参见图2所示的流程，汇聚层设备执行步骤215，即允许网络访问请求通过，使得用户设备访问网络资源。

在一个例子中，第一ACL中的ACL表项用于记录能够访问网络资源的MAC地址，第二ACL中的ACL表项用于记录需要重定向到Portal认证页面的MAC地址。参见步骤205所示，第二ACL中的ACL表项用于记录MAC地址和URL信息，且该ACL表项用于将针对该MAC地址的网络访问请求，重定向到该URL信息对应的Portal认证页面。参见步骤214所示，第一ACL中的ACL表项用于记录MAC地址，且该ACL表项用于指示该MAC地址可以访问网络资源。

步骤303，根据该MAC地址对用户设备进行Portal认证。其中，针对“根据MAC地址对用户设备进行Portal认证”的过程，可以采用步骤201-步骤215实现，当然，也可以采用其它方式对用户设备进行Portal认证，对此不做限制。

步骤304，拒绝根据该MAC地址对用户设备进行Portal认证，即直接丢弃该网络访问请求，而不再根据该MAC地址对用户设备进行Portal认证。

基于上述技术方案，本申请实施例中，汇聚层设备可以在用户设备发送首个网络访问请求时，就判断是否对用户设备进行Portal认证，如果否，则拒绝对用户设备进行Portal认证。这样，如果攻击者伪造大量网络访问请求，则可以避免汇聚层设备为每个网络访问请求生成一个认证请求，并减少汇聚层设备向认证服务器发送的认证请求数量，从而可以提高汇聚层设备和认证服务器的处理性能，节约汇聚层设备和认证服务器的CPU资源、内存资源和带宽资源。

针对“判断是否对该用户设备进行Portal认证”的过程，可以包括但不限于：

方式一、获取网络访问请求的目的MAC地址；若该目的MAC地址是组播MAC地址或者广播MAC地址，确定不对用户设备进行Portal认证；若目的MAC地址不是组播MAC地址和广播MAC地址，则确定对用户设备进行Portal认证。

其中，对于合法的网络访问请求，其MAC地址是单播MAC地址，因此，当收到的网络访问请求的目的MAC地址是组播MAC地址或者广播MAC地址时，确定该网络访问请求是非法的网络访问请求，因此，确定不对用户设备进行Portal认证，而是直接丢弃该网络访问请求，避免这个非法的网络访问请求的处理过程，占用汇聚层设备和认证服务器的CPU资源、内存资源和带宽资源。

方式二、若用户设备的MAC地址位于攻击MAC区间，则可以确定不对用户设备进行Portal认证；若用户设备的MAC地址不位于攻击MAC区间，则可以确定对用户设备进行Portal认证。在一个例子中，该攻击MAC区间的确定方式可以包括但不限于如下方式：若通过同一个接口，接收到源MAC地址为连续的网络访问请求，则可以根据这些连续的源MAC地址确定出攻击MAC区间。

在实际应用中，目前的一个攻击方式可以是：攻击者连续发送源MAC地址为00-00-00-00-00-01至00-00-00-ff-ff-ff(从00-00-00-00-00-01到00-00-00-ff-ff-ff升序，或者从00-00-00-ff-ff-ff到00-00-00-00-00-01降序)，且VLAN(Virtual Local AreaNetwork，虚拟局域网)为2的网络访问请求，然后，攻击者连续发送源MAC地址为00-00-00-00-00-01至00-00-00-ff-ff-ff，且VLAN为3的网络访问请求，然后，攻击者连续发送源MAC地址为00-00-00-00-00-01至00-00-00-ff-ff-ff，且VLAN为4的网络访问请求，以此类推，攻击者不断的发送攻击报文。

在此情况下，由于合法用户不会发送源MAC地址连续的大量网络访问请求，即源MAC地址连续的大量网络访问请求是攻击者发送，因此，若通过同一个接口，接收到源MAC地址为连续的大量网络访问请求(如源MAC地址为00-00-00-00-00-01至00-00-00-ff-ff-ff的网络访问请求)，则可以根据这些连续的源MAC地址确定出攻击MAC区间，如00-00-00-00-00-01至00-00-00-ff-ff-ff。

这样，当接收到的网络访问请求的源MAC地址位于攻击MAC区间时，就可以确定该网络访问请求是非法的网络访问请求，因此，确定不对用户设备进行Portal认证，而是直接丢弃该网络访问请求，避免这个非法的网络访问请求的处理过程，占用汇聚层设备和认证服务器的CPU资源、内存资源和带宽资源。

方式三、根据第二ACL中的ACL表项数量确定是否对用户设备进行Portal认证，以下结合两个具体的实现方式，对此确定过程进行详细说明。

参见步骤205，第二ACL中的ACL表项用于记录MAC地址和URL信息，用于将针对MAC地址的网络访问请求，重定向到URL信息对应的Portal认证页面。也就是说，ACL表项中的MAC地址正在执行Portal认证，因此，可以基于第二ACL中的ACL表项数量，确定正在执行Portal认证的MAC地址数量。

在一个例子中，为了控制正在执行Portal认证的MAC地址数量，则可以根据经验设置上限值和下限值，对此设置方式不做限制，只要下限值小于上限值即可。例如，通过分析正在执行Portal认证的MAC地址数量对汇聚层设备性能的影响，确定性能较优和性能较差的MAC地址数量。如MAC地址数量大于1000个时，汇聚层设备的性能较差，如CPU使用率大于90％，内存使用率大于90％，MAC地址数量小于500个时，汇聚层设备的性能较优，如CPU使用率小于50％，内存使用率小于50％，这样，可以将上限值设置为1000，将下限值设置为500。

其中，第二ACL的初始状态为第一状态(如正常状态)，且第一状态表示当前允许新的MAC地址执行Portal认证。当第二ACL的状态被修改为第二状态(如降级状态)时，则表示当前不允许新的MAC地址执行Portal认证。

其中，在第一状态下，当第二ACL中的ACL表项数量大于上限值时，则汇聚层设备可以将状态修改为第二状态；在第二状态下，当第二ACL中的ACL表项数量小于下限值时，则汇聚层设备可以将状态修改为第一状态。

综上所述，汇聚层设备在接收到网络访问请求，并从该网络访问请求中解析出用户设备的MAC地址后，可以先确定第二ACL的状态。若所述状态是第一状态，则汇聚层设备可以确定对所述用户设备进行Portal认证；若所述状态是第二状态，则汇聚层设备可以确定不对所述用户设备进行Portal认证。

在另一个例子中，为了控制正在执行Portal认证的MAC地址数量，则可以根据经验设置上限值，对此设置方式不做限制。例如，通过分析正在执行Portal认证的MAC地址数量对汇聚层设备性能的影响，确定性能较差的MAC地址数量。如MAC地址数量大于1000个时，汇聚层设备的性能较差，如CPU使用率大于80％，内存使用率大于80％。这样，可以将上限值设置为1000。

其中，汇聚层设备在接收到网络访问请求，并从该网络访问请求中解析出用户设备的MAC地址后，可以先查询第二ACL中的ACL表项数量。若第二ACL中的ACL表项数量大于上限值，则确定不对用户设备进行Portal认证；若第二ACL中的ACL表项数量不大于上限值，则确定对用户设备进行Portal认证。

上述两个方式的区别在于：针对第一种实现方式，当第二ACL中的ACL表项数量大于1000后，就将第一状态修改为第二状态，不再对新的MAC地址执行Portal认证，直到ACL表项数量小于500，才将第二状态修改为第一状态，并对新的MAC地址执行Portal认证。针对第二种实现方式，当第二ACL中的ACL表项数量大于1000后，不再对新的MAC地址执行Portal认证，到ACL表项数量小于1000后，对新MAC地址执行Portal认证，当第二ACL中的ACL表项数量又大于1000后，不再对新的MAC地址执行Portal认证，以此类推。

在一个例子中，针对第二ACL中的ACL表项数量增加的过程，可以包括：在对MAC地址执行Portal认证的过程中，当执行到步骤205时，就可以在第二ACL中添加一个ACL表项，使得第二ACL中的ACL表项数量增加。

在一个例子中，针对第二ACL中的ACL表项数量减少的过程，可以包括：在对MAC地址执行Portal认证的过程中，若是针对合法用户的Portal认证，当执行到步骤211时，就可以从第二ACL中删除一个ACL表项，使得第二ACL中的ACL表项数量减少。若是针对非法用户的Portal认证，由于在执行到步骤207时，非法用户不会在Portal认证页面输入身份信息，因此，第二ACL中的ACL表项会由于老化而被删除，从而使得第二ACL中的ACL表项数量减少。

其中，在将ACL表项添加到第二ACL时，还可以为该ACL表项设置检测定时器；在该检测定时器超时时，就可以从第二ACL中删除该ACL表项。

基于上述方式，通过控制正在执行Portal认证的MAC地址数量，可以避免汇聚层设备的性能太差，避免汇聚层设备的性能出现瓶颈，保证业务体验。

方式四、根据第一ACL中的ACL表项数量确定是否对用户设备进行Portal认证，以下结合两个具体的实现方式，对此确定过程进行详细说明。

参见步骤214，第一ACL中的ACL表项用于记录MAC地址，且该ACL表项用于指示该MAC地址可以访问网络资源。也就是说，该ACL表项中的MAC地址是已经成功认证的MAC地址，因此，可以基于第一ACL中的ACL表项数量，确定出已经成功认证的MAC地址数量，这些MAC地址可以访问网络资源。

在一个例子中，为了控制访问网络资源的MAC地址数量，则可以根据经验设置上限值和下限值，对此设置方式不做限制，只要下限值小于上限值即可。例如，通过分析已经成功认证的MAC地址数量对汇聚层设备性能的影响，确定性能较优和性能较差的MAC地址数量。如MAC地址数量大于2000个时，性能较差，MAC地址数量小于1000个时，性能较优，则可以将上限值设置为2000，并将下限值设置为1000。又例如，假设汇聚层设备最多支持1800个用户同时在线，则可以将上限值设置为1800，并将下限值设置为比1800小的值，如1200。

其中，第一ACL的初始状态可以为第三状态(如正常状态)，且该第三状态表示当前允许新的用户设备上线。此外，当第一ACL的状态被修改为第四状态(如降级状态)时，则可以用表示当前不允许新的用户设备上线。

其中，在第三状态下，当第一ACL中的ACL表项数量大于上限值时，则汇聚层设备可以将状态修改为第四状态；在第四状态下，当第一ACL中的ACL表项数量小于下限值时，则汇聚层设备可以将状态修改为第三状态。

综上所述，汇聚层设备在接收到网络访问请求，并从该网络访问请求中解析出用户设备的MAC地址后，可以先确定第一ACL的状态。若所述状态是第三状态，则汇聚层设备可以确定对所述用户设备进行Portal认证；若所述状态是第四状态，则汇聚层设备可以确定不对所述用户设备进行Portal认证。

在另一个例子中，为了控制访问网络资源的MAC地址数量，则可以根据经验设置上限值，对此设置方式不做限制。例如，通过分析已经认证成功的MAC地址数量对汇聚层设备性能的影响，确定性能较差的MAC地址数量。如当MAC地址数量大于1500个时，汇聚层设备的性能较差，则可以将上限值设置为1500。

其中，汇聚层设备在接收到网络访问请求，并从该网络访问请求中解析出用户设备的MAC地址后，可以先查询第一ACL中的ACL表项数量。若第一ACL中的ACL表项数量大于上限值，则确定不对用户设备进行Portal认证；若第一ACL中的ACL表项数量不大于上限值，则确定对用户设备进行Portal认证。

上述两个方式的区别在于：针对第一种实现方式，当第一ACL中的ACL表项数量大于2000后，就将第三状态修改为第四状态，不再对新的MAC地址执行Portal认证，直到ACL表项数量小于1000，才将第四状态修改为第三状态，并对新的MAC地址执行Portal认证。针对第二种实现方式，当第一ACL中的ACL表项数量大于1500后，不再对新的MAC地址执行Portal认证，到ACL表项数量小于1500后，重新对新的MAC地址执行Portal认证，当ACL表项数量又大于1500后，又不再对新的MAC地址执行Portal认证，以此类推。

在一个例子中，针对第一ACL中的ACL表项数量增加的过程，可以包括：在对MAC地址执行Portal认证的过程中，当执行到步骤214时，就可以在第一ACL中添加一个ACL表项，从而使得第一ACL中的ACL表项数量增加。

在一个例子中，针对第一ACL中的ACL表项数量减少的过程，可以包括：当用户设备下线(如正常下线或者异常下线)时，就可以从第一ACL中删除该用户设备对应的ACL表项，使得第一ACL中的ACL表项数量减少。

基于上述方式，通过控制已经成功上线的MAC地址数量，可以避免汇聚层设备的性能太差，避免汇聚层设备的性能出现瓶颈，保证业务体验。

方式五、若用户设备的MAC地址是静默MAC地址，则确定不对用户设备进行Portal认证；若用户设备的MAC地址不是静默MAC地址，则确定对用户设备进行Portal认证。其中，静默MAC地址的确定方式可以包括：为第二ACL中的ACL表项设置检测定时器；在检测定时器超时时，则从第二ACL中删除ACL表项，并将该ACL表项中记录的MAC地址设置为静默MAC地址。

在步骤205中，在将ACL表项添加到第二ACL时，还可以为该ACL表项设置检测定时器。针对合法用户的Portal认证，在检测定时器超时之前，在步骤211中，该ACL表项会被正常删除，该ACL表项中的MAC地址不是静默MAC地址。针对非法用户的Portal认证，由于在执行到步骤207时，非法用户不会在Portal认证页面输入身份信息，因此，在检测定时器超时之前，该ACL表项不会被正常删除，而是在检测定时器超时时，该ACL表项会被异常删除(即检测定时器超时所导致的删除)，该ACL表项中的MAC地址是静默MAC地址。

在一个例子中，当某个MAC地址被设置为静默MAC地址的时间达到预设时间时，还可以取消静默MAC地址的设置，即不再是静默MAC地址。

基于上述方式，可以通过检测定时器的超时情况，从第二ACL中识别出非法用户的MAC地址，并将非法用户的MAC地址设置为静默MAC地址，基于此，当接收到的网络访问请求的源MAC地址是静默MAC地址时，就可以确定出该网络访问请求是非法的网络访问请求，因此，确定不对用户设备进行Portal认证，而是直接丢弃该网络访问请求，避免这个非法的网络访问请求的处理过程，占用汇聚层设备和认证服务器的CPU资源、内存资源和带宽资源。

在一个例子中，针对方式二和方式五，可以确定出非法用户的MAC地址，后续将其称为攻击MAC地址，在此情况下，为了快速定位出攻击MAC地址的攻击路径，以使网管人员根据该攻击路径进行管理，还可以采用如下步骤：

从上述攻击MAC区间中选取攻击MAC地址或者将上述静默MAC地址确定为攻击MAC地址，并通过该攻击MAC地址对应的攻击接口向下游设备发送携带该攻击MAC地址的检测报文；以使下游设备返回针对该检测报文的响应报文，并向本设备的下游设备继续转发该检测报文，以此类推；其中，所述响应报文可以携带如下内容：该下游设备的MAC地址、该下游设备上的接收到该检测报文的接口、该下游设备上的与该攻击MAC地址对应的攻击接口。

进一步的，可以接收每个下游设备返回的针对该检测报文的响应报文，并根据该响应报文中携带的信息确定该攻击MAC地址对应的攻击路径。

其中，针对“从上述攻击MAC区间中选取攻击MAC地址”的过程，由于攻击MAC区间中的大量MAC地址都是针对同一个攻击设备的，因此，可以从攻击MAC区间中选取一个攻击MAC地址，在基于这个攻击MAC地址确定出攻击路径后，该攻击路径也就是攻击MAC区间中的每个MAC地址的攻击路径。

其中，针对“将上述静默MAC地址确定为攻击MAC地址”的过程，也就是说，静默MAC地址就是攻击MAC地址。因此，当静默MAC地址为一个时，攻击MAC地址为一个，当静默MAC地址为多个时，攻击MAC地址为多个。

以下结合图4所示的应用场景，对上述过程进行详细说明。如图4所示，设备41和设备42是汇聚层设备40的下游设备(即汇聚层设备40的接口401与设备41的接口413连接，汇聚层设备40的接口402与设备42连接)；设备43和设备44是设备41的下游设备(即设备41的接口411与设备43的接口433连接，设备41的接口412与设备44连接)，也是汇聚层设备40的下游设备；设备45和设备46是设备43的下游设备(即设备43的接口431与设备45的接口452连接，设备43的接口432与设备46连接)，也是设备41的下游设备，还是汇聚层设备40的下游设备。攻击者连接到设备45的接口451。

假设汇聚层设备40选取出的攻击MAC地址是MAC地址A，且MAC地址A是从接口401上线的，则攻击接口是接口401。基于此，汇聚层设备40可以通过接口401向下游设备(即设备41)发送一个检测报文(例如：SNMP(Simple Network Management Protocol，简单网络管理协议)报文或者LLDP(Link Layer Discovery Protocol，链路层发现协议)报文等)，该检测报文可以携带MAC地址A、汇聚层设备40的MAC地址。其中，该检测报文可以包括但不限于第一字段、第二字段；所述第一字段表示攻击MAC地址，用于承载MAC地址A；所述第二字段表示本机MAC，用于承载汇聚层设备40的MAC地址。

设备41通过接口413接收到检测报文后，从检测报文中解析出MAC地址A、汇聚层设备40的MAC地址。然后，设备41确定检测报文的接收接口，即接口413；确定MAC地址A的攻击接口，即接口411。然后，设备41利用汇聚层设备40的MAC地址向汇聚层设备40发送响应报文。其中，该响应报文可以包括第一字段、第二字段、第三字段和第四字段；所述第一字段表示攻击MAC地址，用于承载MAC地址A；所述第二字段表示本机MAC，用于承载设备41的MAC地址；所述第三字段表示本机的攻击接口，用于承载接口411；所述第四字段表示与对端攻击接口连接的接口，用于承载接口413。设备41通过攻击接口(接口411)向下游设备(即设备43)转发该检测报文，该检测报文的第一字段承载MAC地址A，第二字段承载汇聚层设备40的MAC地址。

设备43接收到检测报文后，其处理与设备41的处理类似，在此不再赘述。

设备45通过接口452接收到检测报文后，从检测报文中解析出MAC地址A、汇聚层设备40的MAC地址。然后，确定检测报文的接收接口，即接口452；确定MAC地址A的攻击接口，即接口451。设备45利用汇聚层设备40的MAC地址向汇聚层设备40发送响应报文，该响应报文可以包括第一字段、第二字段、第三字段和第四字段；所述第一字段表示攻击MAC地址，用于承载MAC地址A；所述第二字段表示本机MAC，用于承载设备45的MAC地址；所述第三字段表示本机的攻击接口，用于承载接口451；所述第四字段表示与对端攻击接口连接的接口，用于承载接口452。然后，设备45通过攻击接口(接口451)向下游设备转发该检测报文，由于下游设备是攻击者，因此不会处理该检测报文。

经过上述处理，汇聚层设备40可以从设备41、设备43、设备45接收到响应报文，并从这些响应报文中解析出设备41、设备43、设备45的信息，并根据设备41、设备43、设备45的信息确定该MAC地址A的攻击路径。

例如，MAC地址A的攻击路径可以是：汇聚层设备40的MAC地址、接口401(汇聚层设备40的攻击接口)、接口413(设备41上与接口401连接的接口)、设备41的MAC地址、接口411(设备41的攻击接口)、接口433(设备43上与接口411连接的接口)、设备43的MAC地址、接口431(设备43的攻击接口)、接口452(设备45上与接口431连接的接口)、设备45的MAC地址、接口451(设备45的攻击接口)。至此确定出MAC地址A的攻击路径。

在上述实施例中，攻击接口的确定方式可以是：以汇聚层设备40确定MAC地址A的攻击接口是接口411为例，汇聚层设备40通过接口411接收到源MAC地址是MAC地址A的报文时，可以在MAC转发表中记录MAC地址A与接口411的对应关系，这样，可以基于MAC转发表查询出MAC地址A的攻击接口。

基于与上述方法同样的申请构思，本申请实施例还提出一种Portal认证装置，可以应用于汇聚层设备，如图5所示，为该装置的结构图，该装置包括：

接收模块501，用于接收用户设备发送的网络访问请求，所述网络访问请求携带所述用户设备的MAC地址；判断模块502，用于当第一ACL中不存在与所述MAC地址匹配的ACL表项，且第二ACL中不存在与所述MAC地址匹配的ACL表项时，判断是否对所述用户设备进行Portal认证；其中，所述第一ACL中的ACL表项用于记录能够访问网络资源的MAC地址，所述第二ACL中的ACL表项用于记录需要重定向到Portal认证页面的MAC地址；处理模块503，用于当判断结果为是时，根据所述MAC地址对所述用户设备进行Portal认证；当判断结果为否时，拒绝根据所述MAC地址对所述用户设备进行Portal认证。

在判断是否对所述用户设备进行Portal认证的过程中，所述判断模块502，具体用于：获取所述网络访问请求的目的MAC地址；若所述目的MAC地址是组播MAC地址或者广播MAC地址，则确定不对所述用户设备进行Portal认证；否则，确定对所述用户设备进行Portal认证；或者，

若所述用户设备的MAC地址位于攻击MAC区间，则确定不对所述用户设备进行Portal认证；否则，确定对所述用户设备进行Portal认证；其中，所述攻击MAC区间的确定方式为：若通过同一接口，接收到源MAC地址为连续的网络访问请求，则根据连续的源MAC地址确定攻击MAC区间；或者，

确定第二ACL的状态；若所述状态是第一状态，确定对所述用户设备进行Portal认证；若所述状态是第二状态，确定不对所述用户设备进行Portal认证；其中，所述第二ACL的初始状态为第一状态，在第一状态下，当所述第二ACL中的ACL表项数量大于上限值时，则将状态修改为第二状态；在第二状态下，当所述第二ACL中的ACL表项数量小于下限值时，则将状态修改为第一状态；所述上限值大于所述下限值；或者，

确定第一ACL的状态；若所述状态是第三状态，确定对所述用户设备进行Portal认证；若所述状态是第四状态，确定不对所述用户设备进行Portal认证；其中，所述第一ACL的初始状态为第三状态，在第三状态下，当所述第一ACL中的ACL表项数量大于上限值时，则将状态修改为第四状态；在第四状态下，当所述第一ACL中的ACL表项数量小于下限值时，则将状态修改为第三状态；所述上限值大于所述下限值；或者，

若所述用户设备的MAC地址是静默MAC地址，则确定不对所述用户设备进行Portal认证；否则，确定对所述用户设备进行Portal认证；其中，静默MAC地址的确定方式为：为第二ACL中的ACL表项设置检测定时器；在所述检测定时器超时时，则从所述第二ACL中删除所述ACL表项，并将所述ACL表项中记录的MAC地址设置为静默MAC地址。

在一个例子中，所述Portal认证装置还可以包括(在图中未体现)：

定位模块，用于从所述攻击MAC区间中选取攻击MAC地址或者将所述静默MAC地址确定为攻击MAC地址，并通过所述攻击MAC地址对应的攻击接口向下游设备发送携带所述攻击MAC地址的检测报文，以使所述下游设备返回针对所述检测报文的响应报文，并向本设备的下游设备继续转发所述检测报文；所述响应报文携带所述下游设备的MAC地址、所述下游设备上的接收到所述检测报文的接口、所述下游设备上的与所述攻击MAC地址对应的攻击接口；

接收每个下游设备返回的针对所述检测报文的响应报文，并根据所述响应报文中携带的信息确定所述攻击MAC地址对应的攻击路径。

本申请实施例提供的汇聚层设备，从硬件层面而言，其硬件架构示意图具体可以参见图6。包括：机器可读存储介质和处理器，其中：

机器可读存储介质：存储指令代码。

处理器：与机器可读存储介质通信，读取和执行机器可读存储介质中存储的所述指令代码，实现本申请上述示例公开的Portal认证生成操作。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种Portal认证方法，其特征在于，所述方法包括：

接收用户设备发送的网络访问请求，所述网络访问请求携带所述用户设备的MAC地址；

若第一ACL中不存在与所述MAC地址匹配的ACL表项，第二ACL中不存在与所述MAC地址匹配的ACL表项，则判断是否对所述用户设备进行Portal认证；第一ACL中的ACL表项用于记录能够访问网络资源的MAC地址，第二ACL中的ACL表项用于记录需要重定向到Portal认证页面的MAC地址；其中，若第一ACL中存在与所述MAC地址匹配的ACL表项，则所述网络访问请求不是用户设备发送的首个网络访问请求；若第二ACL中存在与所述MAC地址匹配的ACL表项，则所述网络访问请求不是用户设备发送的首个网络访问请求；

如果是，则根据所述MAC地址对所述用户设备进行Portal认证；

如果否，则拒绝根据所述MAC地址对所述用户设备进行Portal认证。

2.根据权利要求1所述的方法，其特征在于，

所述判断是否对所述用户设备进行Portal认证的过程，具体包括：

获取所述网络访问请求的目的MAC地址；

若所述目的MAC地址是组播MAC地址或者广播MAC地址，则确定不对所述用户设备进行Portal认证；否则，确定对所述用户设备进行Portal认证。

3.根据权利要求1所述的方法，其特征在于，

所述判断是否对所述用户设备进行Portal认证的过程，具体包括：

若所述用户设备的MAC地址位于攻击MAC区间，则确定不对所述用户设备进行Portal认证；否则，确定对所述用户设备进行Portal认证；

其中，攻击MAC区间的确定方式为：若通过同一接口，接收到源MAC地址为连续的网络访问请求，则根据连续的源MAC地址确定攻击MAC区间。

4.根据权利要求1所述的方法，其特征在于，

所述判断是否对所述用户设备进行Portal认证的过程，具体包括：

确定第二ACL的状态；若所述状态是第一状态，确定对所述用户设备进行Portal认证；若所述状态是第二状态，确定不对所述用户设备进行Portal认证；

其中，所述第二ACL的初始状态为第一状态，在第一状态下，当所述第二ACL中的ACL表项数量大于上限值时，则将状态修改为第二状态；在第二状态下，当所述第二ACL中的ACL表项数量小于下限值时，则将状态修改为第一状态；所述上限值大于所述下限值。

5.根据权利要求1所述的方法，其特征在于，

所述判断是否对所述用户设备进行Portal认证的过程，具体包括：

确定第一ACL的状态；若所述状态是第三状态，确定对所述用户设备进行Portal认证；若所述状态是第四状态，确定不对所述用户设备进行Portal认证；

其中，所述第一ACL的初始状态为第三状态，在第三状态下，当所述第一ACL中的ACL表项数量大于上限值时，则将状态修改为第四状态；在第四状态下，当所述第一ACL中的ACL表项数量小于下限值时，则将状态修改为第三状态；所述上限值大于所述下限值。

6.根据权利要求1所述的方法，其特征在于，

所述判断是否对所述用户设备进行Portal认证的过程，具体包括：

若所述用户设备的MAC地址是静默MAC地址，则确定不对所述用户设备进行Portal认证；否则，确定对所述用户设备进行Portal认证；

其中，静默MAC地址的确定方式为：为第二ACL中的ACL表项设置检测定时器；在所述检测定时器超时时，则从所述第二ACL中删除所述ACL表项，并将所述ACL表项中记录的MAC地址设置为静默MAC地址。

7.根据权利要求3或6所述的方法，其特征在于，所述方法还包括：

从攻击MAC区间中选取攻击MAC地址或者将静默MAC地址确定为攻击MAC地址，并通过所述攻击MAC地址对应的攻击接口向下游设备发送携带所述攻击MAC地址的检测报文，以使所述下游设备返回针对所述检测报文的响应报文，并向本设备的下游设备继续转发所述检测报文；其中，所述响应报文携带所述下游设备的MAC地址、所述下游设备上的接收到所述检测报文的接口、所述下游设备上的与所述攻击MAC地址对应的攻击接口；

接收每个下游设备返回的针对所述检测报文的响应报文，并根据所述响应报文中携带的信息确定所述攻击MAC地址对应的攻击路径。

8.一种Portal认证装置，其特征在于，所述装置包括：

接收模块，用于接收用户设备发送的网络访问请求，其中，所述网络访问请求携带所述用户设备的MAC地址；

判断模块，用于当第一ACL中不存在与所述MAC地址匹配的ACL表项，且第二ACL中不存在与所述MAC地址匹配的ACL表项时，则判断是否对所述用户设备进行Portal认证；其中，所述第一ACL中的ACL表项用于记录能够访问网络资源的MAC地址，所述第二ACL中的ACL表项用于记录需要重定向到Portal认证页面的MAC地址；其中，若第一ACL中存在与所述MAC地址匹配的ACL表项，则所述网络访问请求不是用户设备发送的首个网络访问请求；若第二ACL中存在与所述MAC地址匹配的ACL表项，则所述网络访问请求不是用户设备发送的首个网络访问请求；

处理模块，用于当判断结果为是时，则根据所述MAC地址对所述用户设备进行Portal认证；当判断结果为否时，则拒绝根据所述MAC地址对所述用户设备进行Portal认证。

9.根据权利要求8所述的装置，其特征在于，在判断是否对所述用户设备进行Portal认证的过程中，所述判断模块，具体用于：

获取所述网络访问请求的目的MAC地址；若所述目的MAC地址是组播MAC地址或者广播MAC地址，则确定不对所述用户设备进行Portal认证；否则，确定对所述用户设备进行Portal认证；或者，

若所述用户设备的MAC地址位于攻击MAC区间，则确定不对所述用户设备进行Portal认证；否则，确定对所述用户设备进行Portal认证；其中，所述攻击MAC区间的确定方式为：若通过同一接口，接收到源MAC地址为连续的网络访问请求，则根据连续的源MAC地址确定攻击MAC区间；或者，

确定第二ACL的状态；若所述状态是第一状态，确定对所述用户设备进行Portal认证；若所述状态是第二状态，确定不对所述用户设备进行Portal认证；其中，所述第二ACL的初始状态为第一状态，在第一状态下，当所述第二ACL中的ACL表项数量大于上限值时，则将状态修改为第二状态；在第二状态下，当所述第二ACL中的ACL表项数量小于下限值时，则将状态修改为第一状态；所述上限值大于所述下限值；或者，

确定第一ACL的状态；若所述状态是第三状态，确定对所述用户设备进行Portal认证；若所述状态是第四状态，确定不对所述用户设备进行Portal认证；其中，所述第一ACL的初始状态为第三状态，在第三状态下，当所述第一ACL中的ACL表项数量大于上限值时，则将状态修改为第四状态；在第四状态下，当所述第一ACL中的ACL表项数量小于下限值时，则将状态修改为第三状态；所述上限值大于所述下限值；或者，

若所述用户设备的MAC地址是静默MAC地址，则确定不对所述用户设备进行Portal认证；否则，确定对所述用户设备进行Portal认证；其中，静默MAC地址的确定方式为：为第二ACL中的ACL表项设置检测定时器；在所述检测定时器超时时，则从所述第二ACL中删除所述ACL表项，并将所述ACL表项中记录的MAC地址设置为静默MAC地址。

10.根据权利要求9所述的装置，其特征在于，还包括：

定位模块，用于从所述攻击MAC区间中选取攻击MAC地址或者将所述静默MAC地址确定为攻击MAC地址，并通过所述攻击MAC地址对应的攻击接口向下游设备发送携带所述攻击MAC地址的检测报文，以使下游设备返回针对所述检测报文的响应报文，并向本设备的下游设备继续转发所述检测报文；所述响应报文携带所述下游设备的MAC地址、所述下游设备上的接收到所述检测报文的接口、所述下游设备上的与所述攻击MAC地址对应的攻击接口；

接收每个下游设备返回的针对所述检测报文的响应报文，并根据所述响应报文中携带的信息确定所述攻击MAC地址对应的攻击路径。

Images