CN111628968B - 认证方法、装置、认证系统以及网络设备 - Google Patents

认证方法、装置、认证系统以及网络设备 Download PDF

Info

Publication number
CN111628968B
CN111628968B CN202010329003.5A CN202010329003A CN111628968B CN 111628968 B CN111628968 B CN 111628968B CN 202010329003 A CN202010329003 A CN 202010329003A CN 111628968 B CN111628968 B CN 111628968B
Authority
CN
China
Prior art keywords
terminal
address
authentication
module
data message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010329003.5A
Other languages
English (en)
Other versions
CN111628968A (zh
Inventor
宋玉兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd Hefei Branch
Original Assignee
New H3C Technologies Co Ltd Hefei Branch
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd Hefei Branch filed Critical New H3C Technologies Co Ltd Hefei Branch
Priority to CN202010329003.5A priority Critical patent/CN111628968B/zh
Publication of CN111628968A publication Critical patent/CN111628968A/zh
Application granted granted Critical
Publication of CN111628968B publication Critical patent/CN111628968B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种认证方法、装置、认证系统以及网络设备,其中认证方法中,内网的三层网关与用于准出的BRAS之间的设备配置运行EVPN协议,内网的三层网关通过EVPN的路由协议将终端的MAC地址与IP地址之间的对应关系发送至准出BRAS,从而使得终端在使用一个IP地址进行认证之后,再接收到该终端发送的数据报文时,无需再触发准出BRAS对终端的认证。

Description

认证方法、装置、认证系统以及网络设备
技术领域
本公开涉及网络通信技术,特别涉及一种认证方法、装置、认证系统以及网络设备。
背景技术
在目前的Internet网络中,存在着IPv4、IPv6双栈协议的广泛使用,具体的是Internet网络中既有基于IPv4的网络服务,又提供IPv6的网络服务。用户主机同时获取IPv4或者IPv6地址,用户主机通过DHCP(动态主机设置协议)获取IPv4地址,通过无状态地址分配SLAAC(Stateless address autoconfiguration,缩写为SLAAC)或者DHCPv6获取IPv6地址,而针对IPv6,由于安卓系统不支持DHCP6,因此很多在校园网的应用场景中,一般都使用了SLAAC的地址分配方式,而SLAAC的使用会导致终端的IPv6地址存在多个,且随着时间的进行,地址不停变化。这样在校园网跨三层准出场景中,用于做准出控制的宽带接入服务器BRAS(Broadband Remote Access Server,缩写为BRAS)设备并不能获得终端的mac地址,只能获得IP地址,即使是同一个终端,其准出使用的IP地址的跳变,会导致准出数据报文不停在BRAS上触发认证,导致该场景无法部署和使用。
发明内容
本公开提供了一种认证方法以及装置、网络设备以及认证系统,用于解决的现有技术中IP地址跳变导致的BRAS不停的进行认证的问题。
为例实现上述目的,本公开的实施例采用如下技术方案:
第一方面,本公开的实施例提供一种认证方法,该方法包括:
接收到终端发送的数据报文时,触发对终端的认证,其中,所述数据报文中包括终端对应的用户使用的IP地址;
通过与内网的三层网关扩散的EVPN路由信息获取终端的MAC地址与IP地址之间的对应关系,所述对应关系的IP地址包括终端对应分配的其他IP地址;
当确定终端通过认证之后,在接收到终端使用其他IP地址发送的数据报文时,不触发对该终端的认证。
可选的,该方法中,所述通过内网的三层网关扩散的EVPN路由信息获取终端的MAC地址与IP地址之间的对应关系,包括:
接收所述三层网关通过EVPN二类路由上送的终端的地址解析协议ARP表项和/或邻居发现ND表项。
可选的,触发对终端的认证包括:触发IPOE认证;则在获取终端的MAC地址与IP地址之间的对应关系之后,所述方法还包括:根据上述对应关系中的IP地址生成IPOE会话,以在接收到的数据报文的IP地址存在对应的IPOE会话时,不触发对该终端的认证。
可选的,触发对终端的认证认证包括:触发portal认证;则在获取终端的MAC地址与IP地址之间的对应关系之后,所述方法还包括:根据所述对应关系将所述终端的MAC地址对应的IP地址加入到允许通过的IP地址列表中,以在接收到的数据报文的IP地址为允许通过的IP地址列表中的IP地址时,不触发对该终端的认证。
第二方面,本公开的实施例提供一种认证装置,该装置包括:接收模块、认证模块、获取模块;
接收模块,用于接收到终端发送的数据报文,触发认证模块对终端的认证,其中,所述数据报文中包括终端对应的用户使用的IP地址;
获取模块,用于通过与内网的三层网关扩散的EVPN路由信息获取终端的MAC地址与IP地址之间的对应关系,所述对应关系的IP地址包括终端对应分配的其他IP地址;
认证模块用于在确定终端通过认证之后,在接收到终端使用其他IP地址发送的数据报文时,不触发对该终端的认证。
可选的,所述获取模块具体用于接收所述三层网关通过EVPN二类路由上送的终端的地址解析协议ARP表项和/或邻居发现ND表项。
可选的,认证模块具体包括IPOE认证模块;IPOE认证模块用于在获取终端的MAC地址与IP地址之间的对应关系之后,根据上述对应关系中的IP地址生成IPOE会话,以在接收到的数据报文的IP地址存在对应的IPOE会话时,不触发对该终端的认证。
可选的,所述认证模块具体包括portal认证模块;Portal认证模块用于在获取终端的MAC地址与IP地址之间的对应关系之后,根据所述对应关系将所述终端的MAC地址对应的IP地址加入到允许通过的IP地址列表中,以在接收到的数据报文的IP地址为允许通过的IP地址列表中的IP地址时,不触发对该终端的认证。
第三方面,本公开的实施例提供一种网络设备,该网络设备可以用于执行上述第一方面所提供的任一方法。
第四方面,本公开提供一种认证系统,所述系统包括上述第二方面所提供的认证装置和三层网关,所述三层网关在获取到终端的MAC与IP地址的对应关系之后,将所述对应关系通过EVPN二类路由上送给所述认证装置。
本公开所述提供的认证方法、装置中,内网的三层网关与用于准出的BRAS之间的设备配置运行EVPN协议,内网的三层网关通过EVPN的路由协议将终端的MAC地址与IP地址之间的对应关系发送至准出BRAS,从而使得终端在使用一个IP地址进行认证之后,再接收到该终端发送的数据报文时,无需再触发准出BRAS对终端的认证。
附图说明
图1为相关技术中提供的一种认证方法的组网示意图;
图2为本公开一实施例提供的一种认证方法的流程示意图;
图3为本公开又一实施例提供的认证装置的结构示意图;
图4为本公开又一实施例提供的网络设备的结构示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
在描述本公开的方法之前,先对本公开中涉及到的基本概念简介如下:
准入与准出,就是在客户端进入网络的环节进行访问控制的,叫网络准入控制;在客户端外出网络的环节(一般指的是访问互联网)进行访问控制的,叫网络准出控制。
BRAS:在教育网出口处,一般会加专门的BRAS设备,作为出口网关,用于准出认证,流量计费,带宽限速,多出口选路等等功能。
以太网虚拟专用网络EVPN(Ethernet Virtual Private Network,缩写为EVPN)二类路由:即type2类型路由,针对终端的IP地址IPv4地址,该路由可以进行终端的地址解析协议ARP(Address Resolution Protocol,缩写为ARP)的通告,此时的MAC/IP路由也称为ARP类型路由;针对终端的IP地址为IPv6地址,该路由可以进行终端的邻居发现ND(Neighbor Discovery)表项的扩散,此时的MAC/IP路由也称为ND类型路由。
虽然终端的IP地址不停的变化,但是终端的MAC地址是固定不变的,因此对于准出BRAS,可以通过获取终端的MAC地址,以及该MAC地址对应的多个IP地址。从而在进行认证时在该MAC对应的一个IP地址通过认证之后,其他的IP地址免认证,从而解决现有技术中IP地址变化而导致的触发在BRAS上不停认证的问题。
为了解决上述问题,一种可实施的方式为,在如图1所示的组网中,BRAS设备用于与RADIUS(Remote Authentication Dial In User Service,缩写为RADIUS)SERVER配合做准出认证,准出认证通过后,内网设备可以访问外网资源,一般来说准出需要计费,图1中的RADIUS服务器对用户的准出进行计费、授权等服务;三层网关可以理解为内网的三层网关,与控制器配合用于做用户的准入认证,准入认证通过后,内网设备可以互相访问内网的资源。终端在上线时,控制器可以获取到终端设备的IP地址和MAC地址的信息,并通过内置RADIUS模块对用户的准入进行认证授权,一般来说,由于内网设备访问内网资源不需要计费,因此内置RADIUS模块对准入的用户(即内网设备访问内网资源)只做准入的认证授权,而一般不会进行计费。
在终端设备进行认证时,内网的三层网关获取到终端设备的IP地址以及MAC地址,并将终端的IP地址和MAC地址上送给控制器。控制器可以将上线终端的IP地址和MAC地址的对应关系发送给用于准出的远程用户拨号认证系统服务器RADIUS(RemoteAuthentication Dial In User Service,缩写为RADIUS),准出的RADIUS服务器与用于准出的BRAS联动,通过上述对应关系设置BRAS上的允许认证通过的IP地址列表,该IP地址列表中包括了已经上线过的终端对应的多个IP地址的信息。从而,在终端进行认证时,实现一个IP地址做认证,多个IP地址免认证的效果。
本公开还提供一种认证方法,如图1所示,内网的三层网关与用于准出的BRAS之间的设备配置运行EVPN协议,内网的三层网关通过EVPN的路由协议将终端的MAC地址与IP地址之间的对应关系发送至准出BRAS,从而使得终端在使用一个IP地址进行认证之后,再接收到该终端发送的数据报文时,无需再触发准出BRAS对终端的认证。
具体的,图2为本公开提供的认证方法的流程示意图,如图2所示,该认证方法可以应用于用于准出的BRAS,该方法包括:
步骤202,接收到终端发送的数据报文时,触发对终端的认证,其中,所述数据报文中包括终端对应的用户使用的IP地址。
本公开中所指的IP地址均为源IP地址。
其中,对于触发的认证类型可以根据配置的协议的不同而不同,例如可以为portal认证,也可以为IPOE(IP over Ethernet)认证。
认证的过程可以与现有技术相同,本公开在此不再赘述。
步骤204,通过与内网的三层网关扩散的EVPN路由信息获取终端的MAC地址与IP地址之间的对应关系,所述对应关系的IP地址包括终端对应分配的其他IP地址。
其中,步骤204的执行顺序与其他步骤之间的先后顺序并不加以限定。
一般来说,三层网关可以通过ARP表项学习终端的MAC地址和IPv4地址之间的对应关系;或者通过ND表项学习所述终端的MAC地址和IPv6地址之间的对应关系。三层网关只要在获取到终端的MAC地址及IP地址之间的对应关系就可以通过EVPN二类路由将该对应关系发送给BRAS。因此对于BRAS获取到对应关系的时机并不加以限定。上述对应关系可以是ARP表项或者ND表项。
BRAS根据三层网关上送的ARP表项和ND表项可以确定终端的MAC地址和IP地址之间的对应关系,该对应关系可以如表1所示:
表1
终端的MAC地址 IPv4 IPv6-1 IPv6-2 IPv6-3
MAC1 AA BB CC DD
终端对应的其他IP地址指的是除了本次即步骤202触发认证过程中所使用的IP地址之外、终端被分配的IP地址。例如,若步骤202中采用IPv4地址进行认证,则后续BRAS接收到终端使用IPv6-1、IPv6-2、IPv6-3作为源IP地址发送的数据报文时,则无需触发认证,直接对数据报文进行放行即可。
当然,上述对应关系中还可以包括步骤202中终端对应的用户使用的IP地址。
步骤206,当确定终端通过认证之后,在接收到终端使用其他IP地址发送的数据报文时,不触发对该终端的认证。
对于portal认证,portal服务器会将终端是否认证通过的结果发送至BRAS;对于IPOE认证,RADIUS服务器会将终端是否认证的结果发送至BRAS。由此,BRAS可以确定终端是否认证通过。
在BRAS确定终端对应的用户使用的IP地址通过认证之后,则在接收到终端使用其他IP地址发送的数据报文时,不再触发步骤202中触发对终端的认证的流程。由此达到了终端在使用一个IP地址进行认证之后,再接收到该终端发送的数据报文时,无需再触发准出BRAS对终端的认证的效果。尤其当内网的IPv6SLAAC地址发生变化时,三层网关通过EVPN实时同步ND表项至BRAS,BRAS可以刷新该终端MAC对应的IP地址的对应关系,同时该对应关系可以联动portal模块,直接将该MAC地址对应的其他IP地址添加到portal模块对应的permit列表中放行,这样实现后续通过SLAAC分配的IPv6地址在BRAS上的免认证。
可选的,由于BRAS触发终端的认证类型可以为portal认证,或者也可以为IPOE认证,相应的,在步骤204之后,可以包括以下两种实施方式:
实施方式一:认证类型为portal认证,则在获取终端的MAC地址与IP地址之间的对应关系之后,所述方法还包括:
根据上述对应关系将终端的MAC地址对应的IP地址加入到允许通过的IP地址列表中,以在接收到的数据报文的IP地址为允许通过的IP地址列表中的IP地址时,不触发对该终端的认证。
当内网的数据报文,不管是IPv4源地址还是IPv6源地址,发送到BRAS时,触发跨三层portal认证,认证通过之后,BRAS作为portal网关,除了将触发认证的IP地址加入permit列表(允许通过的IP地址列表)中之外,还将该IP地址所对应MAC地址关联的其他IP地址也一次性下发到permit列表中。Permit列表可以如表2所示。例如,若步骤202中触发认证的IP地址为AA,则BRAS除了将AA添加至permit列表中之外,还会根据对应关系将其他的IP地址BB、CC、DD也添加至permit列表。
从而BRAS接收到终端使用其他IP地址作为源IP地址的数据报文时,BRAS确定终端对应使用的其他IP地址在permit列表中,从而不再触发对该终端的认证。
表2
Permit AA
Permit BB
Permit CC
Permit DD
实施方式二:认证类型为IPOE认证,则在获取终端的MAC地址与IP地址之间的对应关系之后,所述方法还包括:
根据上述对应关系中的IP地址生成IPOE会话,以在接收到的数据报文的IP地址存在对应的IPOE会话时,不触发对该终端的认证。
在认证类型为IPOE认证时,当步骤202中用户使用的IP地址建立了对应的IPOE会话之后,则BRAS根据步骤204中获取的MAC地址与IP地址之间的对应关系联动生成该MAC地址对应的其他IP地址的IPOE会话。当BRAS接收到的数据报文的源IP地址对应存在IPOE会话时,则无需触发对该终端的认证。
本公开所提供的认证方法中,由于EVPN路由协议大多数的厂商也都支持,因此兼容性好,便于推广和部署实施。同时本公开的方法可以支持IPv4和IPv6双协议栈。同时也能支持portal和IPOE认证。
实施例二
本公开还提供一种认证装置,图3为本公开又一实施例提供的认证装置的结构示意图。接收模块510、认证模块520、获取模块530。
接收模块510,用于接收到终端发送的数据报文,触发认证模块对终端的认证,其中,所述数据报文中包括终端对应的用户使用的IP地址;
获取模块530,用于通过与内网的三层网关扩散的EVPN路由信息获取终端的MAC地址与IP地址之间的对应关系,所述对应关系的IP地址包括终端对应分配的其他IP地址;
认证模块520用于在确定终端通过认证之后,在接收到终端使用其他IP地址发送的数据报文时,不触发对该终端的认证。
可选的,所述获取模块530具体用于接收所述三层网关通过EVPN二类路由上送的终端的地址解析协议ARP表项和/或邻居发现ND表项。
可选的,认证模块520具体包括IPOE认证模块;IPOE认证模块5201用于在获取终端的MAC地址与IP地址之间的对应关系之后,根据上述对应关系中的IP地址生成IPOE会话,以在接收到的数据报文的IP地址存在对应的IPOE会话时,不触发对该终端的认证。
或者,所述认证模块还可以包括portal认证模块;Portal认证模块用于在获取终端的MAC地址与IP地址之间的对应关系之后,根据所述对应关系将所述终端的MAC地址对应的IP地址加入到允许通过的IP地址列表中,以在接收到的数据报文的IP地址为允许通过的IP地址列表中的IP地址时,不触发对该终端的认证。
本公开还提供一种认证系统,该认证系统可以包括本公开实施例二中提供的认证装置和三层网关,该三层网关可以在获取到终端的MAC与IP地址的对应关系之后,将所述对应关系通过EVPN二类路由上送给所述认证装置。
本公开还提供一种网络设备60,图4为本公开另一实施例提供的网络设备的结构示意图,如图4所示,该网络设备60包括处理器601和存储器602,所述存储器602用于存储程序指令,所述处理器601用于调用所述存储器中的存储的程序指令,当所述处理器601执行所述存储器602存储的程序指令时,用于执行上述实施例一中的方法。
在本公开所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本公开的实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个可读存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本公开的较佳实施例而已,并不用以限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本公开保护的范围之内。

Claims (10)

1.一种认证方法,其特征在于,应用于宽带接入服务器BRAS,所述方法包括:
接收到终端发送的数据报文时,触发对终端的认证,其中,所述数据报文中包括终端对应的用户使用的IP地址;
通过与内网的三层网关扩散的EVPN路由信息获取终端的MAC地址与IP地址之间的对应关系,所述对应关系中的IP地址包括终端对应分配的其他IP地址;
当确定终端通过认证之后,在接收到终端使用所述其他IP地址发送的数据报文时,不触发对该终端的认证。
2.根据权利要求1所述的方法,其特征在于,所述通过内网的三层网关扩散的EVPN路由信息获取终端的MAC地址与IP地址之间的对应关系,包括:
接收所述三层网关通过EVPN二类路由上送的终端的地址解析协议ARP表项和/或邻居发现ND表项。
3.根据权利要求1所述的方法,其特征在于,触发对终端的认证包括:触发IPOE认证;
则在获取终端的MAC地址与IP地址之间的对应关系之后,所述方法还包括:
根据上述对应关系中的IP地址生成IPOE会话,以在接收到的数据报文的IP地址存在对应的IPOE会话时,不触发对该终端的认证。
4.根据权利要求1所述的方法,其特征在于,触发对终端的认证包括:触发portal认证;
则在获取终端的MAC地址与IP地址之间的对应关系之后,所述方法还包括:
根据所述对应关系将所述终端的MAC地址对应的IP地址加入到允许通过的IP地址列表中,以在接收到的数据报文的IP地址为允许通过的IP地址列表中的IP地址时,不触发对该终端的认证。
5.一种认证装置,其特征在于,所述装置包括:接收模块、获取模块、认证模块;
接收模块,用于接收到终端发送的数据报文,触发认证模块对终端的认证,其中,所述数据报文中包括终端对应的用户使用的IP地址;
获取模块,用于通过与内网的三层网关扩散的EVPN路由信息获取终端的MAC地址与IP地址之间的对应关系,所述对应关系的IP地址包括终端对应分配的其他IP地址;
认证模块用于在确定终端通过认证之后,在接收到终端使用其他IP地址发送的数据报文时,不触发对该终端的认证。
6.根据权利要求5所述的装置,其特征在于,所述获取模块具体用于接收所述三层网关通过EVPN二类路由上送的终端的地址解析协议ARP表项和/或邻居发现ND表项。
7.根据权利要求5所述的装置,其特征在于,认证模块具体包括IPOE认证模块;
IPOE认证模块用于在获取终端的MAC地址与IP地址之间的对应关系之后,根据上述对应关系中的IP地址生成IPOE会话,以在接收到的数据报文的IP地址存在对应的IPOE会话时,不触发对该终端的认证。
8.根据权利要求5所述的装置,其特征在于,所述认证模块具体包括portal认证模块;
Portal认证模块用于在获取终端的MAC地址与IP地址之间的对应关系之后,根据所述对应关系将所述终端的MAC地址对应的IP地址加入到允许通过的IP地址列表中,以在接收到的数据报文的IP地址为允许通过的IP地址列表中的IP地址时,不触发对该终端的认证。
9.一种认证系统,其特征在于,所述系统包括权利要求5-8任一项所述的认证装置和三层网关,所述三层网关在获取到终端的MAC与IP地址的对应关系之后,将所述对应关系通过EVPN二类路由上送给所述认证装置。
10.一种网络设备,其特征在于,包括:处理器和存储器,所述存储器用于存储程序指令,所述处理器用于调用所述存储器中的存储的程序指令,当所述处理器执行所述存储器存储的程序指令时,用于执行上述权利要求1-4任一项所述的认证方法。
CN202010329003.5A 2020-04-23 2020-04-23 认证方法、装置、认证系统以及网络设备 Active CN111628968B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010329003.5A CN111628968B (zh) 2020-04-23 2020-04-23 认证方法、装置、认证系统以及网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010329003.5A CN111628968B (zh) 2020-04-23 2020-04-23 认证方法、装置、认证系统以及网络设备

Publications (2)

Publication Number Publication Date
CN111628968A CN111628968A (zh) 2020-09-04
CN111628968B true CN111628968B (zh) 2022-07-12

Family

ID=72273186

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010329003.5A Active CN111628968B (zh) 2020-04-23 2020-04-23 认证方法、装置、认证系统以及网络设备

Country Status (1)

Country Link
CN (1) CN111628968B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113453226B (zh) * 2021-06-29 2023-12-26 新华三大数据技术有限公司 一种双栈用户准出认证方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012010235A (ja) * 2010-06-28 2012-01-12 Alaxala Networks Corp パケット中継装置及びネットワークシステム
CN104468619A (zh) * 2014-12-26 2015-03-25 杭州华三通信技术有限公司 一种实现双栈web认证的方法和认证网关
CN105704104A (zh) * 2014-11-27 2016-06-22 华为技术有限公司 一种认证方法及接入设备
EP3065342A1 (en) * 2015-03-05 2016-09-07 Juniper Networks, Inc. Update of mac routes in evpn single-active topology
CN107483480A (zh) * 2017-09-11 2017-12-15 杭州迪普科技股份有限公司 一种地址的处理方法及装置
CN107547565A (zh) * 2017-09-28 2018-01-05 新华三技术有限公司 一种网络接入认证方法及装置
CN110995886A (zh) * 2019-12-12 2020-04-10 新华三大数据技术有限公司 网络地址的管理方法、装置、电子设备及介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012010235A (ja) * 2010-06-28 2012-01-12 Alaxala Networks Corp パケット中継装置及びネットワークシステム
CN105704104A (zh) * 2014-11-27 2016-06-22 华为技术有限公司 一种认证方法及接入设备
CN104468619A (zh) * 2014-12-26 2015-03-25 杭州华三通信技术有限公司 一种实现双栈web认证的方法和认证网关
EP3065342A1 (en) * 2015-03-05 2016-09-07 Juniper Networks, Inc. Update of mac routes in evpn single-active topology
CN107483480A (zh) * 2017-09-11 2017-12-15 杭州迪普科技股份有限公司 一种地址的处理方法及装置
CN107547565A (zh) * 2017-09-28 2018-01-05 新华三技术有限公司 一种网络接入认证方法及装置
CN110995886A (zh) * 2019-12-12 2020-04-10 新华三大数据技术有限公司 网络地址的管理方法、装置、电子设备及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李军.基于IPv6的用户认证模型.《计算机工程》.2005,(第13期), *

Also Published As

Publication number Publication date
CN111628968A (zh) 2020-09-04

Similar Documents

Publication Publication Date Title
US10057167B2 (en) Identifying end-stations on private networks
CN103580980B (zh) 虚拟网络自动发现和自动配置的方法及其装置
US10033736B2 (en) Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding
US20140092899A1 (en) Network address translation for application of subscriber-aware services
US9083705B2 (en) Identifying NATed devices for device-specific traffic flow steering
CN102136938B (zh) 向cgn设备提供用户信息的方法及装置
CN106302353B (zh) 身份认证方法、身份认证系统和相关设备
CN100471148C (zh) 用于建立网络的装置和方法
CN104601743A (zh) 基于以太的IP转发IPoE双栈用户接入控制方法和设备
US8005080B2 (en) IPv6 address configuration method in wireless mobile network and apparatus therefor
CN111628968B (zh) 认证方法、装置、认证系统以及网络设备
JP2001326696A (ja) アクセス制御方法
CN108600225B (zh) 一种认证方法及装置
JP3994412B2 (ja) ネットワークシステム、網内識別子の設定方法、ネットワーク接続点、網内識別子の設定プログラム、及び記録媒体
CN111327599A (zh) 一种认证过程的处理方法及装置
CN102761425A (zh) 计费方法及装置
CN113098825B (zh) 一种基于扩展802.1x的接入认证方法及系统
EP3407553A1 (en) Pppoe message transmission method and pppoe server
CN113518032B (zh) 基于SRv6的用户可信标识携带方法及系统
CN112532502A (zh) 网络系统、网络操作中心、网络设备以及存储介质
CN107547324B (zh) 一种mac地址下发方法、装置、设备及机器可读存储介质
US20200007496A1 (en) Server apparatus, client apparatus and method for communication based on network address mutation
CN113453226B (zh) 一种双栈用户准出认证方法及装置
CN112714133B (zh) 一种适用于DHCPv6服务端的防ND攻击方法与装置
US20240039763A1 (en) Separate pfcp session model for network access by residential gateways

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant