CN115002748A - 一种地址配置方法、系统及网络设备 - Google Patents
一种地址配置方法、系统及网络设备 Download PDFInfo
- Publication number
- CN115002748A CN115002748A CN202210625931.5A CN202210625931A CN115002748A CN 115002748 A CN115002748 A CN 115002748A CN 202210625931 A CN202210625931 A CN 202210625931A CN 115002748 A CN115002748 A CN 115002748A
- Authority
- CN
- China
- Prior art keywords
- user equipment
- target user
- address configuration
- address
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 90
- 238000012795 verification Methods 0.000 claims abstract description 22
- 230000007246 mechanism Effects 0.000 claims abstract description 14
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 claims abstract description 8
- 208000027066 STING-associated vasculopathy with onset in infancy Diseases 0.000 claims abstract 6
- 230000008569 process Effects 0.000 claims description 23
- 230000006870 function Effects 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006855 networking Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及一种地址配置方法、系统及网络设备,其中,该方法包括:获取已完成身份验证的目标用户设备适用的地址配置方式;根据获取结果,确定与目标用户设备的地址配置方式匹配的预设无线网络;将匹配的预设无线网络及其支持的SAVI方式告知接入设备,以通过接入设备将目标用户设备分配至匹配的预设无线网络,完成目标用户设备相应的地址分配和SAVI验证;其中,预设无线网络均由同一SSID划分;就此根据不同用户设备的能力来匹配相应的IPv6地址获取方式,同时使得SAVI支持对不同用户设备设置相应的绑定表建立机制;就此满足了所有用户场景,特别是对于已经部署的存量网络;而且,也无需部署2个SSID以使得用户在使用中进行切换,提高了用户体验。
Description
技术领域
本发明属于区块链技术领域,尤其涉及一种地址配置方法、系统及网络设备。
背景技术
随着无线终端数量的大量增加,IPv6在无线网络下的应用更加广泛。但不同种类的无线终端,对IPv6获取地址机制的支持情况有所不同。苹果终端、普通PC以及笔记本电脑支持通过DHCPv6方式或SLAAC方式获取IPv6地址;而安卓终端目前仅支持SLAAC方式生成IPv6地址。不同的IPv6地址获取机制的支持情况给IPv6无线网络服务提供带来了困难,服务提供商难以提供统一的无线接入。
当前业界常用的方式是通过开启两个SSID解决。如:SSID1用于支持DHCPv6获取IPv6地址,该SSID下的SAVI监听DHCPv6过程形成绑定表;SSID2用于支持通过SLAAC方式生成IPv6地址,该SSID下SAVI仅支持基于ND过程形成绑定表。这种方式的不足主要有两点:1)无法满足所有用户场景,特别是对于已经部署的存量网络,需要做网络规划的改造;2)部署2个SSID需要用户在使用中进行切换,影响用户体验。
发明内容
基于此,有必要针对上述技术问题,提供一种地址配置方法、系统及网络设备,以根据不同用户设备特性来匹配相应的IPv6地址获取方式,同时使得SAVI支持对不同用户设备设置相应的绑定表建立机制。
本发明第一方面提供了一种地址配置方法,所述方法包括:获取已完成身份验证的目标用户设备适用的地址配置方式;根据获取结果,确定与所述目标用户设备的地址配置方式匹配的预设无线网络;将匹配的预设无线网络及其支持的SAVI方式告知接入设备,以通过所述接入设备将所述目标用户设备分配至匹配的所述预设无线网络,完成所述目标用户设备相应的地址分配和SAVI验证;
其中,所述预设无线网络的数量设置为至少两个,均由同一SSID划分,且每个所述预设无线网络均配置有相应的地址配置机制以适配不同用户设备的地址配置方式且均支持开启相应的SAVI验证功能。
可选的,获取已完成身份验证的目标用户设备适用的地址配置方式,包括:获取所述目标用户设备进行身份认证时的设备属性信息;基于所述设备属性信息确定所述目标用户设备的设备类型;基于所述设备类型,确定所述目标用户设备适用的地址配置方式。
可选的,获取所述目标用户设备进行身份认证时的设备属性信息,包括:与接入设备进行交互,以获取所述目标用户设备进行身份认证时的设备属性信息。
可选的,获取所述目标用户设备进行身份认证时的设备属性信息,包括:监听所述目标用户设备的身份认证过程,以获知所述目标用户设备对应的设备属性信息。
可选的,基于所述设备属性信息确定所述目标用户设备的设备类型,包括:基于所述目标用户设备对应的设备属性信息,查询预设特征数据库,以识别出所述用户设备的设备类型;其中,所述预设特征数据库记录有所述设备属性信息及设备类型的对应关系。
可选的,将所述目标用户设备所匹配的预设无线网络发送至接入设备,包括:将所述目标用户设备所匹配的预设无线网络嵌入认证服务器反馈至接入设备的报文中。
可选的,所述设备属性信息包括:由MAC地址以及身份信息构建的绑定项、或对MAC地址进行唯一性标识的标识性字段。
根据本申请实施例的第二方面,提供了一种地址配置系统,所述系统包括:认证服务器,用于执行上述的地址配置方法的步骤。
根据本申请实施例的第三方面,提供了一种地址配置系统,所述系统包括:认证服务器;身份判别服务器,通信连接于所述认证服务器及接入设备,用于执行上述的地址配置方法的步骤。
根据本申请实施例的第四方面,提供了一种网络设备,其特征在于,包括处理器和存储器;所述存储器用于存储计算机指令,所述处理器用于运行所述存储器存储的计算机指令,以实现上述的地址配置方法的步骤。
根据本申请实施例的第五方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的地址配置方法的步骤。
本发明有益效果如下:先通过用户设备的设备类型来确定相应的地址配置方式,然后按照地址配置方式将用户设备与预先由同一SSSID划分所得的网络进行匹配,从而根据不同用户设备的能力来匹配相应的IPv6地址获取方式,同时使得SAVI支持对不同用户设备设置相应的绑定表建立机制;就此满足了所有用户场景,特别是对于已经部署的存量网络;而且,也无需部署2个SSID以使得用户在使用中进行切换,提高了用户体验。
附图说明
图1为一个实施例中一种地址配置方法的结构示意图(一);
图2为一个实施例中一种地址配置方法的应用环境图(二);
图3为一个实施例中一种地址配置系统的网络拓扑图(一);
图4为一个实施例中一种地址配置系统的网络拓扑图(二)。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
图1为一个实施例中一种地址配置方法的结构示意图(一);图2为一个实施例中一种地址配置方法的应用环境图(二);图3为一个实施例中一种地址配置系统的网络拓扑图(一);图4为一个实施例中一种地址配置系统的网络拓扑图(二)。
IPv6(Internet Protocol version 6,互联网协议版本6),有两种地址自动配置方式:采用DHCPv6(Dynamic Host Configure Protocol for IPv6,支持IPv6的动态主机配置协议)协议对主机进行有状态地址配置,以及采用ND(Neighbor Discovery,邻居发现)协议对主机进行SLAAC(Stateless Address Autoconfiguration,无状态地址配置)。
DHCPv6是动态主机配置协议(DHCP)的IPv6版本。DHCPv6典型组网中通常包括:DHCPv6客户端和DHCPv6服务器。在有状态地址配置过程中,DHCPv6服务器分配一个完整的IPv6地址给DHCPv6客户端,并且存储IPv6地址和DHCPv6客户端的绑定关系,从而增强了网络的可管理性。
SLAAC是IPv6的重要特色功能之一。SLAAC采用为IPv6开发的ND协议对主机的IPv6地址进行自动配置。当主机上线后,主机会发送RS(Router Solicit,路由器请求)消息给路由器,请求地址配置;路由器收到RS消息后发送RA(Router Advertisement,路由器通告)消息给主机,其中携带有用来进行地址自动配置的前缀等信息;主机收到RA消息后,获得地址前缀信息,还有地址相关的参数信息,根据SLAAC规定的方法自动生成IPv6地址。
802.1x协议是基于Client/Server的访问控制和认证协议,其可以限制未经授权的用户/设备通过端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证,在通过认证之前,802.1x只允许基于局域网的扩展认证协议(EAPOL)数据通过设备连接的交换机端口,认证通过以后,正常的数据可以顺利地通过以太网端口。
SSID(Service Set Identifier,服务集标识),SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。
值得注意的是,在无线网络场景下,接入设备包括无线访问接入点AP(WirelessAccess Point)与无线控制器AC(Wireless Access Point Controller)。而且,该无线AP(下文中的AP)及无线AC(下文中的AC)均具备SAVI(Source Add ressValidationImprovements,源址合法性检验)功能,AC在SAVI功能开启状态下监听IP地址配置过程。
根据图1-3可知,本发明第一实施例公开了一种地址配置方法,其中,该方法适用于认证服务器。
本申请的部署场景为无线网络,无线网络中部署有业务AC、AP、认证服务器(如:AAA认证服务器)以及DHCP服务器组件,其中AP和AC需要支持并开启源地址验证功能(SAVI),建立IP地址和MAC地址的绑定。SAVI功能目前已经被主流设备厂商所支持。
具体的,该方法包括:
S201:获取已完成身份验证的目标用户设备适用的地址配置方式;
其中,该地址配置方式包括但不限于:动态主机配置协议DHCP方式或无状态地址配置SLAAC方式。其中,身份认证包括但不限于802.1X认证或Portal认证。认证服务器获取已完成身份验证的目标用户设备适用的地址配置方式。
其中,该目标用户设备为此处涉及的用户设备中的一员。而且,该用户设备均为无线客户终端,每个用户设备适用的地址配置方式可全部相同,也可仅部分相同但其余不同。
认证服务器获取已完成身份验证的目标用户设备适用的地址配置方式。
具体的,在另一实施例中,针对上述步骤S201,其包括以下步骤:
S2011:认证服务器获取所述目标用户设备进行身份认证时的设备属性信息;
其中,该设备属性信息包括但不限于:由MAC地址以及身份信息构建的绑定项。
具体的,认证服务器基于目标用户设备在进行身份验证时AC记录的MAC地址及身份信息获取该目标用户设备进行身份认证时的设备属性信息;
S2012:认证服务器基于所述设备属性信息确定所述目标用户设备的设备类型;
在另一实施例中,认证服务器基于MAC地址及身份信息确定所述目标用户设备的设备类型;如:确定出目标用户设备为苹果终端、普通PC、笔记本电脑、或安卓终端。
S2013:认证服务器基于所述设备类型,确定所述目标用户设备适用的地址配置方式。
如:确定出目标用户设备为苹果终端、普通PC以及笔记本电脑时,则可以确定目标用户设备支持通过DHCPv6方式或SLAAC方式获取IPv6地址;确定出目标用户设备为安卓终端时,则确定目标用户设备仅支持SLAAC方式生成IPv6地址。
具体的,针对上述步骤S201或步骤S2011-S2013,其为:在组网过程中,统一SSID下划设不同的VLAN,其中部分VLAN支持DHCPv6方式,并开启DHCPv6 SAVI,另一部分VLAN支持SLAAC方式,开启SLAAC下的SAVI。无线客户端进行认证后,认证服务器根据所述目标用户设备进行身份认证时AC记录的MAC地址及身份信息确定目标用户设备适用的地址配置方式(如:IPv6地址获取方式)。
S202:根据获取结果,确定与所述目标用户设备匹配的预设无线网络;
在获得目标用户设备适用的地址配置方式后,认证服务器基于该地址配置方式确定该目标用户设备所匹配的预设无线网络。
如:若该目标用户设备支持的地址配置方式为DHCPv6地址配置方式,则可以确定该目标用户设备应匹配的为支持DHCPv6方式对应的预设无线网络VLAN;若该目标用户设备支持的地址配置方式为SLAAC地址配置方式,则可以确定该目标用户设备应匹配的为支持SLAAC方式对应的预设无线网络VLAN。
当然,在另一实施例中,因为如果用户设备支持通过DHCPv6方式获取IPv6地址,则该用户设备也可通过SLAAC方式获取IPv6地址,故在本实施例中,若该目标用户设备支持的地址配置方式为DHCPv6地址配置方式,则可以确定该目标用户设备应匹配的为支持DHCPv6方式或SLAAC方式对应的预设无线网络VLAN;若该目标用户设备支持的地址配置方式为SLAAC地址配置方式,则可以确定该目标用户设备应匹配的为支持SLAAC方式对应的预设无线网络VLAN。
在另一实施例中,针对上述的预设无线网络VLAN,其数量设置为至少两个,在组网过程中,均由统一SSID划设所得的不同VLAN,每个预设无线网络VLAN均配置有相应的地址配置机制以适配不同用户设备的地址配置方式且均支持开启相应的SAVI验证功能。
当然,在通过各种技术手段仍无法准确判断用户设备地址获取方式的情况下,可以将用户设备所匹配的VLAN确定为支持SLAAC地址分配方式的VLAN。
S203:将匹配的预设无线网络及其支持的SAVI方式告知接入设备,以通过所述接入设备将所述目标用户设备分配至匹配的所述预设无线网络,完成所述目标用户设备相应的地址分配和SAVI验证;
在确定目标用户设备所匹配的VLAN后,认证服务器将该目标用户设备所匹配的VLAN以及支持的SAVI验证方式告知接入设备,由该接入设备将该目标用户设备添加到所告知的匹配VLAN中,而且,由通过该接入设备实现SAVI验证,从而完成目标用户设备相应的地址分配和SAVI验证;在另一实施例中,还通过该接入设备记录该接入设备所接收的告知内容或VLAN分配结果。
具体的,在无线网络场景下,接入设备包括无线访问接入点AP(Wireless AccessPoint)与无线控制器AC(Wireless Access Point Controller)。而且,该AP及AC均具备SAVI(Source Add ress ValidationImprovements,源址合法性检验)功能。故在另一实施例中,在确定目标用户设备所匹配的VLAN后,认证服务器将该目标用户设备所匹配的VLAN以及其支持的SAVI验证方式告知接入设备后,由AC将该目标用户设备添加到该VLAN中,并由AC告知AP该VLAN下的SAVI监听绑定方式(DHCPv6或SLAAC),从而完成目标用户设备相应的地址分配和SAVI验证。
如:若认证服务器在确定目标用户设备所匹配的为DHCPv6方式对应的预设无线网络VLAN后,认证服务器则将该目标用户设备所匹配的VLAN及相应的SAVI验证方式告知接入设备,接着由AC将该目标用户设备添加到该VLAN中,并由AC告知AP该VLAN下的SAVI监听绑定方式为DHCPv6 SAVI,从而完成目标用户设备相应的地址分配和SAVI验证;若认证服务器在确定目标用户设备所匹配的为SLAAC方式对应的预设无线网络VLAN后,认证服务器则将该目标用户设备所匹配的VLAN及相应的SAVI验证方式告知接入设备,接着由AC将该目标用户设备添加到该VLAN中,即:目标用户设备在接入该匹配的VLAN(该VLAN设置了SAVI)之后就自动进行SAVI验证;此外,并且由AC告知AP该VLAN下的SAVI监听绑定方式为SLAAC SAVI,从而完成目标用户设备相应的地址分配和SAVI验证。
此外,在另一实施例中,用户在获取地址的过程中,由AP/AC建立地址、MAC地址的绑定表;在后续用户发送流量的过程中,AP/AC根据该绑定表过滤用户的伪造流量。
就此,先通过用户设备的设备类型来确定相应的地址配置方式,然后按照地址配置方式将用户设备与预先由同一SSSID划分所得的网络进行匹配,从而根据不同用户设备的能力来匹配相应的IPv6地址获取方式,同时使得SAVI支持对不同用户设备设置相应的绑定表建立机制;就此满足了所有用户场景,特别是对于已经部署的存量网络;而且,也无需部署2个SSID以使得用户在使用中进行切换,提高了用户体验。
根据图1、2及4可知,本发明第二实施例公开了一种地址配置方法,其中,该方法适用于身份判别服务器。即:本发明设立新的身份判别服务器和识别算法来实现更精细的用户设备类型判断。
本申请的部署场景为无线网络,无线网络中部署有业务AC、AP、认证服务器(如:AAA认证服务器)、DHCP服务器组件以及身份判别服务器,其中AP和AC需要支持并开启源地址验证功能(SAVI),建立IP地址和MAC地址的绑定。SAVI功能目前已经被主流设备厂商所支持。
具体的,该方法包括:
S301:获取已完成身份验证的目标用户设备适用的地址配置方式;
其中,该地址配置方式包括但不限于:动态主机配置协议DHCP方式或无状态地址配置SLAAC方式。其中,身份认证包括但不限于802.1X认证或Portal认证。身份判别服务器获取已完成身份验证的目标用户设备适用的地址配置方式。
其中,该目标用户设备为此处涉及的用户设备中的一员。而且,该用户设备均为无线客户终端,每个用户设备适用的地址配置方式可全部相同,也可仅部分相同但其余不同。
具体的,在另一实施例中,针对上述步骤S301,其包括以下步骤:
S3011:身份判别服务器获取所述目标用户设备进行身份认证时的设备属性信息;
具体的,身份判别服务器与接入设备进行交互,以获取所述目标用户设备进行身份认证时的设备属性信息。即:身份判别服务器与接入设备进行交互,以获取所述目标用户设备进行身份认证时对MAC地址进行唯一性标识的标识性字段。
或,身份判别服务器监听所述目标用户设备的身份认证过程,以获知所述目标用户设备对应的设备属性信息。即:身份判别服务器监听所述目标用户设备的身份认证过程,以获取所述目标用户设备进行身份认证时对MAC地址进行唯一性标识的标识性字段。
其中,该设备属性信息包括对MAC地址进行唯一性标识的标识性字段,具体的,该标识性字段包括但不限于:DHCP option或HTTP Agent字段。
S3012:身份判别服务器基于所述设备属性信息确定所述目标用户设备的设备类型;
在另一实施例中,身份判别服务器基于对MAC地址进行唯一性标识的标识性字段,查询预设特征数据库,以识别出所述用户设备的设备类型;其中,所述预设特征数据库记录有所述设备属性信息及设备类型的对应关系。如:身份判别服务器基于对MAC地址进行唯一性标识的标识性字段查询预设特征数据库,从而查询出目标用户设备为苹果终端、普通PC、笔记本电脑、或安卓终端。
S3013:身份判别服务器基于所述设备类型,确定所述目标用户设备适用的地址配置方式。
如:确定出目标用户设备为苹果终端、普通PC以及笔记本电脑时,则可以确定目标用户设备支持通过DHCPv6方式或SLAAC方式获取IPv6地址;确定出目标用户设备为安卓终端时,则确定目标用户设备仅支持SLAAC方式生成IPv6地址。
具体的,针对上述步骤S301或步骤S3011-S3013,其为:在组网过程中,统一SSID下划设不同的VLAN,其中部分VLAN支持DHCPv6方式,并开启DHCPv6 SAVI,另一部分VLAN支持SLAAC方式,开启SLAAC下的SAVI。无线客户端进行认证后,身份判别服务器与接入设备进行交互,以获取所述目标用户设备进行身份认证时对MAC地址进行唯一性标识的标识性字段。身份判别服务器基于该标识性字段查询预设特征数据库,以识别出所述用户设备的设备类型,并基于查询结果确定该目标用户设备支持的地址配置方式(如:IPv6地址获取方式)。
或,针对上述步骤S201或步骤S2011-S2013,其为:在组网过程中,统一SSID下划设不同的VLAN,其中部分VLAN支持DHCPv6方式,并开启DHCPv6 SAVI,另一部分VLAN支持SLAAC方式,开启SLAAC下的SAVI。无线客户端进行认证后,身份判别服务器监听所述目标用户设备的身份认证过程,以获取所述目标用户设备进行身份认证时对MAC地址进行唯一性标识的标识性字段,身份判别服务器基于该标识性字段查询预设特征数据库,以识别出所述用户设备的设备类型,并基于查询结果确定该目标用户设备支持的地址配置方式(如:IPv6地址获取方式)。
S302:根据获取结果,确定与所述目标用户设备匹配的预设无线网络;
在获得目标用户设备适用的地址配置方式后,身份判别服务器基于该地址配置方式确定该目标用户设备所匹配的预设无线网络。
具体的,身份判别服务器确定应将支持地址配置方式为DHCPv6、SLAAC的目标用户设备加入DHCPv6方式对应的预设无线网络VLAN,将仅支持SLAAC方式的目标用户设备加入SLAAC方式对应的预设无线网络VLAN,即:身份判别服务器确定支持地址配置方式为DHCPv6、SLAAC的目标用户设备应匹配DHCPv6方式对应的预设无线网络VLAN,支持SLAAC方式的目标用户设备应匹配SLAAC方式对应的预设无线网络VLAN。
在另一实施例中,针对上述的预设无线网络VLAN,其数量设置为至少两个,在组网过程中,均由统一SSID划设所得的不同VLAN,每个预设无线网络VLAN均配置有相应的地址配置机制以适配不同用户设备的地址配置方式且均支持开启相应的SAVI验证功能。
当然,在通过各种技术手段仍无法准确判断用户设备地址获取方式的情况下,可以将用户设备所匹配的VLAN确定为支持SLAAC地址分配方式的VLAN。
S303:将匹配的预设无线网络及其支持的SAVI方式嵌入认证服务器反馈至接入设备的报文中以告知接入设备,从而通过所述接入设备将所述目标用户设备分配至匹配的所述预设无线网络,完成所述目标用户设备相应的地址分配和SAVI验证;
身份判别服务器将所述目标用户设备所匹配的预设无线网络嵌入认证服务器反馈至接入设备的报文中,然后由该接入设备与目标用户设备进行交互通信,从而通知该目标用户设备进行相应的地址分配和SAVI验证。其中,该报文包括但不限于:DHCPv4报文、DHCPv6报文、ND报文。
具体的,在确定目标用户设备所匹配的VLAN后,身份判别服务器将该目标用户设备所匹配的VLAN以及支持的SAVI验证方式嵌入认证服务器反馈至接入设备的报文中,从而告知接入设备,由该接入设备将该目标用户设备添加到所告知的匹配VLAN中,而且,由通过该接入设备实现SAVI验证,从而完成目标用户设备相应的地址分配和SAVI验证;在另一实施例中,还通过该接入设备记录该接入设备所接收的告知内容或VLAN分配结果。
具体的,在无线网络场景下,接入设备包括无线访问接入点AP(Wireless AccessPoint)与无线控制器AC(Wireless Access Point Controller)。而且,该AP及AC均具备SAVI(Source Add ress ValidationImprovements,源址合法性检验)功能。故在另一实施例中,在确定目标用户设备所匹配的VLAN后,身份判别服务器将该目标用户设备所匹配的VLAN以及其支持的SAVI验证方式通过嵌入认证服务器反馈至接入设备的报文中以告知接入设备后,接着由AC将该目标用户设备添加到该VLAN中,并由AC告知AP该VLAN下的SAVI监听绑定方式(DHCPv6或SLAAC),从而完成目标用户设备相应的地址分配和SAVI验证。
如:若身份判别服务器在确定目标用户设备所匹配的为DHCPv6方式对应的预设无线网络VLAN后,身份判别服务器则将该目标用户设备所匹配的VLAN及相应的SAVI验证方式通过嵌入认证服务器反馈至接入设备的报文中以告知接入设备,接着由AC将该目标用户设备添加到该VLAN中,并由AC告知AP该VLAN下的SAVI监听绑定方式为DHCPv6 SAVI,从而完成目标用户设备相应的地址分配和SAVI验证;若身份判别服务器在确定目标用户设备所匹配的为SLAAC方式对应的预设无线网络VLAN后,身份判别服务器则将该目标用户设备所匹配的VLAN及相应的SAVI验证方式通过嵌入认证服务器反馈至接入设备的报文中以告知接入设备,接着由AC将该目标用户设备添加到该VLAN中,并由AC告知AP该VLAN下的SAVI监听绑定方式为SLAAC SAVI,从而完成目标用户设备相应的地址分配和SAVI验证。
就此,先通过用户设备的设备类型来确定相应的地址配置方式,然后按照地址配置方式将用户设备与预先由同一SSSID划分所得的网络进行匹配,从而根据不同用户设备的能力来匹配相应的IPv6地址获取方式,同时使得SAVI支持对不同用户设备设置相应的绑定表建立机制;就此满足了所有用户场景,特别是对于已经部署的存量网络;而且,也无需部署2个SSID以使得用户在使用中进行切换,提高了用户体验。
当然,在另一实施例中,认证服务器也可用于实现上述第二实施例所涉及的一种地址配置方法;在另一实施例中,上述身份判别服务器也可用于实现上述第一实施例所涉及的一种地址配置方法。
本发明第三实施例公开了一种地址配置方法,具体的,根据图2所示,本实施例的部署场景为无线网络,无线网络中部署有业务AC、AP、认证服务器(如:AAA认证服务器)以及DHCP服务器组件,其中AP和AC需要支持并开启源地址验证功能(SAVI),建立IP地址和MAC地址的绑定。SAVI功能目前已经被主流设备厂商所支持,该场景是具有普遍意义的。
具体的,在无线网络SSID下划设不同VLAN,在不同的VLAN中分别部署DHCPv6和SLAAC两种地址分配方式,并分别开启DHCPv6 SAVI和SLAAC SAVI。
本实施例通过对用户设备(前述的目标用户设备)的设备特征(前述的设备属性信息)进行识别,从而对用户设备的设备类型进行区分;基于分配结果,将用户设备其分配至对应的VLAN从而进行相应的地址分配和SAVI过程。
具体的,本实施例的部署场景为无线网络,无线网络中部署有业务AC、AP、认证服务器(802.1X认证或Portal认证等方式)以及DHCP服务器组件,其中AC与AP需要支持源地址验证功能(SAVI)。
在此基础上,本实施例需要修改认证服务器、AC和AP逻辑,新增设备特征识别流程,进行用户设备的VLAN归类和相应的SAVI功能。本实施例的流程包括:
1.在组网过程中,统一SSID下划设不同的VLAN。如:统一SSID下划设两种不同的VLAN,一种VLAN支持DHCPv6方式,并开启DHCPv6 SAVI;另一种VLAN支持SLAAC方式,开启SLAAC下的SAVI。
2.无线客户端进行认证后,认证服务器基于用户设备对应的MAC地址、用户名等身份信息,对用户设备的设备类型进行特征查询,查询该客户端支持的IPv6地址获取方式,并将支持地址获取方式为DHCPv6、SLAAC的终端设备加入DHCPv6方式对应的VLAN,仅支持获取方式为SLAAC的终端设备加入SLAAC方式对应的VLAN。
3.收到SAVI验证请求响应后,AC对用户设备分配至对应的VLAN进行记录,同时通知AP该客户端所属VLAN对应的SAVI类型。
4.AC/AP会根据所属VLAN对用户获取地址过程进行监听,形成相应的SAVI表项。
其中,本实施例以802.1X认证为例进行功能阐述,但事实上本实施例对认证方式和地址分配方式并不进行限定。其他认证方式如Portal认证等也可部署于本实施例所记载的技术方案中,但需要注意的是,本实施例要求的SAVI需要确保MAC地址的唯一性,因此在Portal认证场景下需要引入MAC认证等机制。
而由于动态MAC机制的引入,只使用MAC地址难以有效判断设备类型。因此,本实施例还可以通过设立新的身份判别服务器和识别算法来实现更精细的用户设备类型判断,比如通过对DHCP option或HTTP Agent字段进行判断,并设立特征数据库(前述的预设特征数据)进行长期的更新,以降低误判率。虽然识别算法有不同,但是通过引入用户设备的设备特征识别机制以将用户设备其分配入相应的无线网络的逻辑是相同的。具体实现方式有多种,如:1)AC在检测到新设备接入后,与身份判别服务器进行交互用户设备的相关属性信息(如MAC地址等),从而获知用户设备匹配的VLAN;2)通过设立认证代理的方式,使身份判别服务器监听到用户设备的身份认证过程,从而获知用户设备的MAC地址、用户名等信息,并将匹配到的VLAN结果嵌入认证服务器返回的报文中,从而可以在不增加AC交互流程、不修改认证服务器逻辑的情况下实现基于用户设备的地址配置方式匹配相应二点VLAN。3)当然,在通过各种技术手段仍无法准确判断用户设备地址获取方式的情况下,可以将用户设备划入按SLAAC地址分配方式的VLAN。
本发明第四实施例公开了一种地址配置系统,所述系统包括:认证服务器(如:AAA认证服务器),用于执行上述的地址配置方法的步骤。
本实施例中的一种地址配置系统所涉及的名词及实现原理具体可以参照上述任一实施例涉及的一种地址配置方法,在此不再赘述。
本发明第五实施例公开了一种地址配置系统,所述系统包括:认证服务器(如:AAA认证服务器);身份判别服务器,通信连接于所述认证服务器及接入设备,用于执行上述的地址配置方法的步骤。
本实施例中的一种地址配置系统所涉及的名词及实现原理具体可以参照上述任一实施例涉及的一种地址配置方法,在此不再赘述。
本发明第六实施例公开了一种网络设备,该设备可以是服务器。该设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该设备的处理器用于提供计算和控制能力。该设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该设备的数据库用于存储相关数据。该设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述任一实施例涉及的一种地址配置方法。
在另一个实施例中,提供了一种网络设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述任一实施例涉及的一种地址配置方法。
本实施例中的一种网络设备所涉及的名词及实现原理具体可以参照上述任一实施例涉及的一种地址配置方法,在此不再赘述。
本发明第七实施例公开了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一实施例涉及的一种地址配置方法。
本实施例中的一种计算机可读存储介质所涉及的名词及实现原理具体可以参照上述任一实施例涉及的一种地址配置方法,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种地址配置方法,其特征在于,所述方法包括:
获取已完成身份验证的目标用户设备适用的地址配置方式;
根据获取结果,确定与所述目标用户设备的地址配置方式匹配的预设无线网络;
将匹配的预设无线网络及其支持的SAVI方式告知接入设备,以通过所述接入设备将所述目标用户设备分配至匹配的所述预设无线网络,完成所述目标用户设备相应的地址分配和SAVI验证;
其中,所述预设无线网络的数量设置为至少两个,均由同一SSID划分,且每个所述预设无线网络均配置有相应的地址配置机制以适配不同用户设备的地址配置方式且均支持开启相应的SAVI验证功能。
2.根据权利要求1所述的方法,其特征在于,获取已完成身份验证的目标用户设备适用的地址配置方式,包括:
获取所述目标用户设备进行身份认证时的设备属性信息;
基于所述设备属性信息确定所述目标用户设备的设备类型;
基于所述设备类型,确定所述目标用户设备适用的地址配置方式。
3.根据权利要求2所述的方法,其特征在于,获取所述目标用户设备进行身份认证时的设备属性信息,包括:
与接入设备进行交互,以获取所述目标用户设备进行身份认证时的设备属性信息。
4.根据权利要求2所述的方法,其特征在于,获取所述目标用户设备进行身份认证时的设备属性信息,包括:
监听所述目标用户设备的身份认证过程,以获知所述目标用户设备对应的设备属性信息。
5.根据权利要求2所述的方法,其特征在于,基于所述设备属性信息确定所述目标用户设备的设备类型,包括:
基于所述目标用户设备对应的设备属性信息,查询预设特征数据库,以识别出所述用户设备的设备类型;其中,所述预设特征数据库记录有所述设备属性信息及设备类型的对应关系。
6.根据权利要求1所述的方法,其特征在于,将所述目标用户设备所匹配的预设无线网络发送至接入设备,包括:
将所述目标用户设备所匹配的预设无线网络嵌入认证服务器反馈至接入设备的报文中。
7.根据权利要求2所述的方法,其特征在于,所述设备属性信息包括:由MAC地址以及身份信息构建的绑定项、或对MAC地址进行唯一性标识的标识性字段。
8.一种地址配置系统,其特征在于,所述系统包括:
认证服务器,用于执行权利要求1-7任一项所述的地址配置方法的步骤。
9.一种地址配置系统,其特征在于,所述系统包括:
认证服务器;
身份判别服务器,通信连接于所述认证服务器及接入设备,用于执行权利要求1-7任一项所述的地址配置方法的步骤。
10.一种网络设备,其特征在于,包括处理器和存储器;所述存储器用于存储计算机指令,所述处理器用于运行所述存储器存储的计算机指令,以实现如权利要求1至7中任一项所述的地址配置方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210625931.5A CN115002748B (zh) | 2022-06-02 | 2022-06-02 | 一种地址配置方法、系统及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210625931.5A CN115002748B (zh) | 2022-06-02 | 2022-06-02 | 一种地址配置方法、系统及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115002748A true CN115002748A (zh) | 2022-09-02 |
| CN115002748B CN115002748B (zh) | 2024-02-02 |
Family
ID=83031530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210625931.5A Active CN115002748B (zh) | 2022-06-02 | 2022-06-02 | 一种地址配置方法、系统及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115002748B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080260149A1 (en) * | 2007-04-20 | 2008-10-23 | Gehrmann Christian M | Method and System for Mobile Device Credentialing |
| US20160119316A1 (en) * | 2013-09-30 | 2016-04-28 | Beijing Zhigu Rui Tuo Tech Co., Ltd. | Wireless network authentication method and wireless network authentication apparatus |
| CN107294961A (zh) * | 2017-06-09 | 2017-10-24 | 华南理工大学 | 一种用户真实信息安全认证系统和方法 |
| CN108881308A (zh) * | 2018-08-09 | 2018-11-23 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 一种用户终端及其认证方法、系统、介质 |
| CN111740961A (zh) * | 2020-05-26 | 2020-10-02 | 北京华三通信技术有限公司 | 通信方法及装置 |
| CN112910863A (zh) * | 2021-01-19 | 2021-06-04 | 清华大学 | 一种网络溯源方法及系统 |
-
2022
- 2022-06-02 CN CN202210625931.5A patent/CN115002748B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080260149A1 (en) * | 2007-04-20 | 2008-10-23 | Gehrmann Christian M | Method and System for Mobile Device Credentialing |
| US20160119316A1 (en) * | 2013-09-30 | 2016-04-28 | Beijing Zhigu Rui Tuo Tech Co., Ltd. | Wireless network authentication method and wireless network authentication apparatus |
| CN107294961A (zh) * | 2017-06-09 | 2017-10-24 | 华南理工大学 | 一种用户真实信息安全认证系统和方法 |
| CN108881308A (zh) * | 2018-08-09 | 2018-11-23 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 一种用户终端及其认证方法、系统、介质 |
| CN111740961A (zh) * | 2020-05-26 | 2020-10-02 | 北京华三通信技术有限公司 | 通信方法及装置 |
| CN112910863A (zh) * | 2021-01-19 | 2021-06-04 | 清华大学 | 一种网络溯源方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115002748B (zh) | 2024-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438303B2 (en) | Client device address assignment following authentication | |
| US9756052B2 (en) | Method and apparatus for dual stack access | |
| US20100223655A1 (en) | Method, System, and Apparatus for DHCP Authentication | |
| US10218671B2 (en) | Dynamic media access control address allocation and leasing for wireless network | |
| CN105472048B (zh) | 一种地址分配方法、信息聚合方法及相关设备 | |
| CN101895587B (zh) | 防止用户私自修改ip地址的方法、装置和系统 | |
| US20140282920A1 (en) | Dynamically selecting a dhcp server for a client terminal | |
| US9015346B2 (en) | Identification of a private device in a public network | |
| EP2928141A1 (en) | Ipv6 address tracing method, device, and system | |
| US7289471B2 (en) | Mobile router, position management server, mobile network management system, and mobile network management method | |
| US20090024732A1 (en) | Apparatus for prefix control and apparatus for prefix choice | |
| CN104601743A (zh) | 基于以太的IP转发IPoE双栈用户接入控制方法和设备 | |
| CN101184099A (zh) | 基于动态主机配置协议接入认证的二次ip地址分配方法 | |
| CN112714027A (zh) | 物联网终端设备接入网关的方法和系统 | |
| WO2013071803A1 (en) | Vendor information of wireless network devices | |
| JP2013504235A (ja) | セキュアデバイスがターゲットサーバのipアドレスを解決する方法 | |
| CN114422474B (zh) | 基于RADIUS服务器的用户IPv6地址生成方法 | |
| CN117376318A (zh) | Dhcp配置文件的生成方法、装置、设备及介质 | |
| CN115002748B (zh) | 一种地址配置方法、系统及网络设备 | |
| US20030088673A1 (en) | Automatic allocation of subnet identifiers in a network | |
| CN111163463A (zh) | 一种无线设备接入路由器的方法、装置、设备和存储介质 | |
| CN106878986B (zh) | 一种用户隔离方法及装置 | |
| CN108076164B (zh) | 访问控制方法及装置 | |
| CN115001826B (zh) | 一种入网控制方法、装置、网络设备和存储介质 | |
| CN101204028A (zh) | 在cdma 2000网络中用于节省连接时间的快速数据链路连接方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |