CN1505329A - 数据帧转发方法 - Google Patents
数据帧转发方法 Download PDFInfo
- Publication number
- CN1505329A CN1505329A CNA021509948A CN02150994A CN1505329A CN 1505329 A CN1505329 A CN 1505329A CN A021509948 A CNA021509948 A CN A021509948A CN 02150994 A CN02150994 A CN 02150994A CN 1505329 A CN1505329 A CN 1505329A
- Authority
- CN
- China
- Prior art keywords
- frame
- eapol
- client
- address
- data frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
一种数据帧转发方法,客户端向AP发送EAPOL帧时,将该APMAC地址作为目的MAC置于传输EAPOL帧中发送出去;系统中每一个AP对收到的数据帧进行检测,如目的地址不是本AP,则转发该数据帧;如目的地址为本AP则判断数据帧类型是否为EAPOL,如是则该数据帧的目的地址改成EAPOL的组播MAC地址再发送出去;系统中的AC在接收到组播的EAPOL数据帧时,对客户端身份进行验证后向客户端发送EAPOL数据帧携带客户端的MAC地址作为目的MAC地址。由于在AP上代理将点对点的EAPOL数据帧转化为组播帧,解决了EAPOL数据帧发给AP后不能转发给AC认证的问题,实现简单,且不影响EAPOL数据帧的传输。
Description
技术领域
本发明涉及计算机网络通信领域,具体涉及TCP/IP协议族的通信系统中数据帧的收发处理方法,更具体地说,涉及一种WLAN系统中AP代理EAPOL数据帧转发方法。
背景技术
在现有的WLAN系统中,用户通常采用基于802.1x机制的EAP(Extensible Authentication Protocol)-MD5或EAP-SIM的方式接入网络。在以上两种方式的用户接入流程中,客户端与认证点之间以EAPOL(EAP Over LAN)报文的格式进行消息交互。协议分配给客户端和认证点使用的组播MAC地址是01-80-C2-00-00-03。根据802.1x协议规定,如果认证点的MAC地址对客户端是已知的,则客户端传输所有的EAPOL帧携带认证点的MAC地址作为目的地址;反之亦然。如果认证点的MAC地址对客户端是未知的,则客户端传输所有的EAPOL包携带组播MAC地址作为目的MAC地址;反之亦然。
在实际认证过程中,可以采用两种不同的认证系统结构:一种是以AC(Access Controller)作为WLAN用户接入认证点,一种是以AP(Access Point)作为WLAN用户接入认证点。以AP作为WLAN用户接入认证点的系统是一个只有接入层和核心层的二层网络,而以AC作为WLAN用户接入认证点的系统是一个包括接入层、汇聚层和核心层的三层网络。比较而言,以AC作为WLAN用户接入认证点的三层网络更利于系统中业务的控制。
但在以AC作为WLAN用户接入认证点的系统中,客户端和认证点之间的数据帧必须经过AP进行转发。由于客户端向AC发起认证时,已经从网卡上获取了与之连接的AP的MAC地址,这样客户端把AP当作认证点,向AP发送EAPOL包,并使用该AP的MAC地址作为目的MAC地址进行点对点的发送。当该EAPOL包到达AP后,就认为已经到达了数据帧的终结点,就不会再向AC转发了,这样就无法完成认证过程。
发明内容
本发明要解决的技术问题是,提供一种认证过程中的数据帧转接方法,可以应用于以AC作为WLAN用户接入认证点的系统中,克服在以AC作为WLAN用户接入认证点的系统中由于EAPOL帧经过AP不能转发给AC的缺点,顺利完成整个认证过程,按照本发明提出的经过AP代理转发EAPOL帧的方法,可以将EAPOL帧发送到AC进行认证,完成整个认证过程。
本发明上述技术问题这样解决,构造一种AP代理EAPOL数据帧转发方法,包括以下步骤:
客户端向任何一个AP发送EAPOL帧时,将该AP的MAC地址作为目的MAC置于传输EAPOL帧中发送出去;
系统中每一个AP对收到的数据帧进行检测,如果目的地址不是本AP,则将该数据帧进行转发;如果目的地址为本AP则判断该数据帧的类型是否为EAPOL,如果是则该数据帧的目的地址改成EAPOL的组播MAC地址01-80-C2-00-00-03再发送出去;
系统中的AC在接收到组播的EAPOL数据帧时,对客户端身份进行验证完后向客户端发送EAPOL数据帧携带客户端的MAC地址作为目的MAC地址。
在上述方法中,所述判断数据帧的类型是否为EAPOL是通过检测以太帧的协议类型是否为888E来实现的。
实施本发明提供的上述转发方法,具有以下有益效果:1)通过采取这种在AP上代理将点对点的EAPOL数据帧转化为组播帧的方法,解决了EAPOL数据帧发给AP后不能转发给AC认证的问题;2)AP代理转发EAPOL数据帧的方法简单,易于实现;3)对于从AC传输给客户端的EAPOL数据帧,由于这时AC已经从发送过来的EAPOL帧中获取了客户端的MAC地址,EAPOL数据帧携带客户端的MAC地址作为目的MAC地址发送,AP接收到后直接转发给客户端,不会影响EAPOL数据帧的传输。
附图说明
图1是本发明中以AC作为WLAN用户接入认证点的认证系统结构示意图。
图2是按照本发明方法在客户端和AC之间数据帧交互的流程示意图。
图3是利用本发明方法进行数据帧转发过程中数据帧格式变化情况:其中(a)是客户端发给AP的EAPOL数据帧格式示意图;(b)是AP发给AC的EAPOL数据格式示意图;(c)是AC发给客户端的EAPOL数据帧格式示意图。
具体实施方式
本发明以AC作为WLAN用户接入认证点的认证系统结构,如图1所示,其中:WLAN用户终端101安装有802.11b无线网卡和EAP-MD5或EAP-SIM客户端软件;WLAN接入点(AP)102用于WLAN用户的无线接入;WLAN业务用户接入认证点和业务控制点(AC)103作为WLAN业务用户接入认证点,完成对WLAN用户的认证;RADIUS用户认证服务器104用于完成基于EAP-MD5方式的用户认证;该认证服务器也可以采用WLAN SIM认证服务器(AS),用于完成基于SIM卡的用户认证。
客户端与认证点之间以EAPOL报文的格式进行消息交互,认证点和认证服务器之间以EAP over RADIUS数据帧进行消息交互。客户端和认证点AC发送的EAPOL帧都必须经过AP转发。在整个WLAN用户认证过程中,可以由客户端首先发起认证请求,也可以由认证点向客户端发起认证。此处假设客户端的MAC地址为01-01-01-01-01-01,与之连接的AP的MAC地址为02-02-02-02-02-02,认证点AC的MAC地址为03-03-03-03-03-03。认证过程中客户端、AP与AC之间的数据帧交互流程如图2所示。图3示出该实施例中传输数据帧格式,其中,假设客户端的MAC地址为01-01-01-01-01-01,AP的MAC地址为02-02-02-02-02-02,AC的MAC的MAC地址为03-03-03-03-03-03。
具体流程如下:
1.在客户端发起认证请求的过程中,由于网卡能够扫描到可以与之通信的所有AP,并能获取这些AP的MAC地址,当客户选择与某个AP(MAC地址为02-02-02-02-02-02)通信时,传输的EAPOL帧携带该AP的MAC地址作为目的MAC地址。数据帧格式如图3(a)中客户端发给AP的EAPOL数据帧。
2.只有MAC地址为02-02-02-02-02-02的AP才会接收到该EAPOL数据帧。AP对数据帧进行检验。如果发现数据帧的类型为EAPOL,即以太帧的协议类型为888E,则将该数据帧的目的地址改成EAPOL的组播MAC地址01-80-C2-00-00-03再转发出去。数据帧格式如图3(b)中AP发给AC的EAPOL数据帧。
3.AC接收到组播的EAPOL数据帧后开始对客户端进行认证,向客户端传输EAPOL帧,此时的EAPOL帧应该携带01-01-01-01-01-01作为目的MAC地址,携带03-03-03-03-03-03作为源MAC地址。数据帧格式如图3(c)中AC发给客户端的EAPOL数据帧。
4.AP接收到该数据帧就会将它直接转发。数据帧格式如图3(c)中AC发给客户端的EAPOL数据帧AC的MAC地址。
Claims (2)
1、一种数据帧转发方法,其特征在于,包括以下步骤:
客户端向任何一个AP发送EAPOL帧时,将该AP的MAC地址作为目的MAC置于传输EAPOL帧中发送出去;
系统中每一个AP对收到的数据帧进行检测,如果目的地址不是本AP,则将该数据帧进行转发;如果目的地址为本AP则判断该数据帧的类型是否为EAPOL,如果是则该数据帧的目的地址改成EAPOL的组播MAC地址01-80-C2-00-00-03再发送出去;
系统中的AC在接收到组播的EAPOL数据帧时,对客户端身份进行验证完后向客户端发送EAPOL数据帧携带客户端的MAC地址作为目的MAC地址。
2、根据权利要求1所述方法,其特征在于,所述判断数据帧的类型是否为EAPOL是通过检测以太帧的协议类型是否为888E来实现的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021509948A CN1317859C (zh) | 2002-11-28 | 2002-11-28 | 数据帧传送方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021509948A CN1317859C (zh) | 2002-11-28 | 2002-11-28 | 数据帧传送方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1505329A true CN1505329A (zh) | 2004-06-16 |
| CN1317859C CN1317859C (zh) | 2007-05-23 |
Family
ID=34234197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021509948A Expired - Lifetime CN1317859C (zh) | 2002-11-28 | 2002-11-28 | 数据帧传送方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1317859C (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7937436B2 (en) | 2006-05-24 | 2011-05-03 | International Business Machines Corporation | Validating routing of client requests to appropriate servers hosting specific stateful web service instances |
| CN102137401A (zh) * | 2010-12-09 | 2011-07-27 | 华为技术有限公司 | 无线局域网集中式802.1x认证方法及装置和系统 |
| WO2013178017A1 (zh) * | 2012-05-28 | 2013-12-05 | 中国移动通信集团公司 | 无线局域网中认证信息处理方法及相关设备、计算机程序及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3570310B2 (ja) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| CN1137561C (zh) * | 2001-02-20 | 2004-02-04 | 智捷科技股份有限公司 | 无线网络的信号传递方法 |
-
2002
- 2002-11-28 CN CNB021509948A patent/CN1317859C/zh not_active Expired - Lifetime
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7937436B2 (en) | 2006-05-24 | 2011-05-03 | International Business Machines Corporation | Validating routing of client requests to appropriate servers hosting specific stateful web service instances |
| CN101079901B (zh) * | 2006-05-24 | 2013-03-06 | 国际商业机器公司 | 验证客户端请求已被路由传送到适当的服务器的方法和装置 |
| CN102137401A (zh) * | 2010-12-09 | 2011-07-27 | 华为技术有限公司 | 无线局域网集中式802.1x认证方法及装置和系统 |
| US9071968B2 (en) | 2010-12-09 | 2015-06-30 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for centralized 802.1X authentication in wireless local area network |
| CN102137401B (zh) * | 2010-12-09 | 2018-07-20 | 华为技术有限公司 | 无线局域网集中式802.1x认证方法及装置和系统 |
| WO2013178017A1 (zh) * | 2012-05-28 | 2013-12-05 | 中国移动通信集团公司 | 无线局域网中认证信息处理方法及相关设备、计算机程序及存储介质 |
| CN103458405A (zh) * | 2012-05-28 | 2013-12-18 | 中国移动通信集团公司 | 无线局域网中认证信息处理方法及相关网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1317859C (zh) | 2007-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3845086B2 (ja) | 制御されたマルチキャストのシステム及び実行方法 | |
| US8069475B2 (en) | Distributed authentication functionality | |
| CN104580116B (zh) | 一种安全策略的管理方法和设备 | |
| EP1610525A2 (en) | Wireless printing system and method | |
| EP1424829A3 (en) | Native Wi-Fi architecture for 802.11 networks | |
| CN1989723A (zh) | 用于使用块确认增加数据吞吐量的系统和方法 | |
| WO2002011391A2 (en) | System for distributed network authentication and access control | |
| CN109088735B (zh) | 一种基于智能家居的安全认证方法 | |
| CN100370776C (zh) | 局域网终端实现多用户接入的系统及方法 | |
| JP2003510902A (ja) | 広域ネットワークの同期化 | |
| CN102333311B (zh) | 无线局域网用户接入控制方法和系统 | |
| CN101527907B (zh) | 无线局域网接入认证方法及无线局域网系统 | |
| CN1317859C (zh) | 数据帧传送方法 | |
| EP2115567A1 (en) | Method and device for dual authentication of a networking device and a supplicant device | |
| TW200937911A (en) | System for transmitting and receiving wireless area network packets | |
| US20070294758A1 (en) | Method for Registering a Mobile Communication Terminal in a Local Area Network | |
| JP2003198557A (ja) | ネットワーク及びそれに用いる無線lan認証方法 | |
| JP3535440B2 (ja) | フレーム転送方法 | |
| CN100459536C (zh) | 用于wlan会话控制的方法和网络 | |
| EP1593230B1 (en) | Terminating a session in a network | |
| CN101516091A (zh) | 一种基于端口的无线局域网接入控制系统及方法 | |
| CN1315293C (zh) | 分布式网络接入设备中握手机制的实现方法 | |
| JP3809365B2 (ja) | ネットワークシステム、無線端末装置、及び無線中継装置 | |
| CN101707612B (zh) | 报文的认证处理方法及装置、认证服务器 | |
| CN1688124A (zh) | 基于端口技术和认证协议的无线网络接入控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20070523 |