专利名称:一种radius报文的处理方法及网络接入设备的制作方法
技术领域:
本发明涉及通信领域,具体来说,涉及一种RADIUS报文的处理方法及网络接入设备。
背景技术:
RADIUS (Remote Authentication Dial In User Service,远程用户拨号认证系统)是一种 AAA (Authentication、Authorization、Accounting,验证、授权和记账)类型的网络应用协议,用于认证、授权和计费等功能。该协议实现了对于用户接入的远程控制。虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP包封装在IP包中发送。在商用环境中,需要保证RADIUS 报文的热备,即使一条链路出现故障,也不影响用户的接入认证和授权等功能。而目前没有 RADIUS客户端报文的热备技术,现有技术只能实现RADIUS客户端报文的冷备技术,该技术缺陷在于当链路出现故障时,终端只能发起新的呼叫,之前已经发出RADIUS请求报文无法返回,会造成用户上线超时失败,还会造成RADIUS服务器用户状态的不一致的问题。
发明内容
本发明要解决的技术问题是提供一种RADIUS报文的处理方法及网络接入设备, 以实现RADIUS报文的热备功能。为了解决上述技术问题,本发明提供了一种远程用户拨号认证系统(RADIUS)报文的处理方法,包括第一设备根据虚拟路由器冗余协议接收客户端的接入请求;第一设备向RADIUS服务器发送接入请求报文。进一步地,上述方法还具有下面特点还包括第一设备接收所述RADIUS服务器的接入响应报文;根据所述接入响应报文携带的目的端口对所述接入响应报文进行处理。进一步地,上述方法还具有下面特点所述根据所述接入响应报文携带的目的端口信息对所述接入响应报文进行处理包括第一设备判断所述目的端口是否与本地配置的端口一致,若一致,则对所述接入响应报文进行解析,若不一致,则将所述接入响应报文转发给第二设备,其中,第一设备与第二设备的配置有相同的虚拟地址和不同的端口信息。进一步地,上述方法还具有下面特点所述向RADIUS服务器发送接入请求报文之前,还包括
将所述接入请求报文中的源地址填写为所述虚拟地址,将所述接入请求报文中的源端口填写为本地预先配置的端口信息。为了解决上述问题,本发明还提供了一种网络接入设备,包括接收模块,用于根据虚拟路由器冗余协议接收客户端的接入请求;发送模块,用于向RADIUS服务器发送接入请求报文。进一步地,上述网络接入设备还具有下面特点还包括处理模块,所述接收模块,还用于接收所述RADIUS服务器的接入响应报文;所述处理模块,用于根据所述接入响应报文携带的目的端口对所述接入响应报文进行处理。进一步地,上述网络接入设备还具有下面特点所述处理模块包括判断单元,用于判断所述目的端口是否与本地配置的端口一致;解析单元,用于在所述判断单元判断一致的情况下,对所述接入响应报文进行解析;转发单元,用于在所述判断单元判断不一致的情况下,将所述接入响应报文转发给特定的网络接入设备;其中,所述网络接入设备与所述特定的网络接入设备的配置有相同的虚拟地址和不同的端口信息。进一步地,上述网络接入设备还具有下面特点所述发送模块,向RADIUS服务器发送接入请求报文之前还用于,将所述接入请求报文中的源地址填写为所述虚拟地址,将所述接入请求报文中的源端口填写为本地预先配
置的端口信息。进一步地,上述网络接入设备还具有下面特点还包括,配置模块,用于将连接客户端的端口配置为启用虚拟路由器冗余协议的属性,将连接客户端的端口与上行端口绑定;配置一虚拟地址和端口信息。综上,本发明提供一种RADIUS报文的处理方法及网络接入设备,以实现RADIUS报文的热备功能,即使其中一台设备或某个端口出现故障,也不影响用RADIUS方式对用户进行接入控制。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中图I为本发明实施例的网络接入设备的示意图;图2为本发明实施例的RADIUS报文的处理方法的流程图;图3为本发明实施例的网络示意图;图4为本发明另一实施例的RADIUS报文的处理方法的流程图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。图I为本发明实施例的网络接入设备的示意图,如图I所示,本实施例的网络接入设备包括接收模块,用于根据虚拟路由器冗余协议接收客户端的接入请求;发送模块,用于向RADIUS服务器发送接入请求报文。其中,本实施例的网络接入设备还可以包括处理模块,所述接收模块,还用于接收所述RADIUS服务器的接入响应报文;所述处理模块,用于根据所述接入响应报文携带的目的端口对所述接入响应报文进行处理。其中,所述处理模块包括判断单元,用于判断所述目的端口是否与本地配置的端口一致;解析单元,用于在所述判断单元判断一致的情况下,对所述接入响应报文进行解析;转发单元,用于在所述判断单元判断不一致的情况下,将所述接入响应报文转发给特定的网络接入设备;其中,所述网络接入设备与所述特定的网络接入设备的配置有相同的虚拟地址和不同的端口信息。其中,所述发送模块向RADIUS服务器发送接入请求报文之前还用于,将所述接入请求报文中的源地址填写为所述虚拟地址,将所述接入请求报文中的源端口填写为本地预先配置的端口信息。本实施例的网络接入设备还可以包括配置模块,用于将连接客户端的端口配置为启用虚拟路由器冗余协议的属性,将连接客户端的端口与上行端口绑定;配置一虚拟地址和端口信息。图2为本发明实施例的RADIUS报文的处理方法的流程图,如图2所示,本实施例的方法包括下面步骤S10、第一设备根据虚拟路由器冗余协议接收客户端的接入请求;S20、第一设备向RADIUS服务器发送接入请求报文。还可以包括下面步骤S30、第一设备接收所述RADIUS服务器的接入响应报文,根据所述接入响应报文携带的目的端口对所述接入响应报文进行处理。下面以一具体实施例对本发明的方法进行详细的说明。图3为本发明实施例的网络示意图,如图3所示,两台设备NAS(网络接入服务器) A和NAS B用作热备,以实现链路A、B以及链路D、E中任意一条发生故障,业务不受影响。首先,配置设备NAS A和NAS B的连接链路D和链路E的端口启用VRRP,并分别与连接链路A和链路B的上行端口绑定(即链路D的端口与链路B的上行端口绑定,链路 E的端口与链路A的上行端口绑定);在设备NAS A和NAS B上分别配置相同的RADIUS报文虚拟源地址和不同的端口范围(两台设备的源端口不能相同)。NAS A和NAS B配置同一个虚拟地址,连接链路D和链路E的端口采用VRRP协议, VRRP关联设备上行端口 当链路A处于down (不可用)的状态时,则链路D主用状态;当链路B处于down的状态时,则链路E主用状态。路由器上做路由优选,到NAS A和NAS B的虚拟地址发往优选路由。在路由器上配置链路A和链路B根据COST (费用)不同,选择其中一条为优选路由。NAS A和NAS B上行的RADIUS报文的源地址填写为该虚拟地址,由路由器下行的 RADIUS发往优选路由(例如链路A),NAS A检查RADIUS报文不属于自身处理,则通过链路 C转发到NAS B, NAS B完成接入处理。图4为本发明另一实施例的RADIUS报文的处理方法的流程图,如图4所示,包括下面步骤步骤101、当用户侧发起接入请求时,客户端根据VRRP协议,将接入请求发送到主用的设备端口(例如,设备NAS A);步骤102、设备NAS A经链路A发送RADIUS请求报文,RADIUS报文中源地址和源端口填写为步骤102中虚拟源地址和源端口的值;步骤103、RADIUS服务器返回的RADIUS响应报文,路由器将RADIUS响应报文发往优选路由(例如,链路A),优选路由是通过COST动态计算出来的,COST小的路由才是优先路由,故障链路所在的路由COST无穷大;步骤104、设备NAS A接收到RADIUS响应报文,将RADIUS响应报文携带的目的端口与步骤102中配置的端口值进行比较,如果一致,则直接处理接入请求,根据RADIUS响应报文决定是否允许用户的接入请求;如果不一致,则转向步骤105 ;步骤105、设备NAS A通过链路C将RADIUS响应报文转发至设备NAS B,由设备 NAS B处理接入请求,根据RADIUS响应报文决定是否允许用户的接入请求。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。以上仅为本发明的优选实施例,当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种远程用户拨号认证系统(RADIUS)报文的处理方法,包括第一设备根据虚拟路由器冗余协议接收客户端的接入请求;第一设备向RADIUS服务器发送接入请求报文。
2.如权利要求I所述的方法,其特征在于还包括第一设备接收所述RADIUS服务器的接入响应报文;根据所述接入响应报文携带的目的端口对所述接入响应报文进行处理。
3.如权利要求2所述的方法,其特征在于所述根据所述接入响应报文携带的目的端口信息对所述接入响应报文进行处理包括第一设备判断所述目的端口是否与本地配置的端口一致,若一致,则对所述接入响应报文进行解析,若不一致,则将所述接入响应报文转发给第二设备,其中,第一设备与第二设备的配置有相同的虚拟地址和不同的端口信息。
4.如权利要求1-3任一项所述的方法,其特征在于所述向RADIUS服务器发送接入请求报文之前,还包括将所述接入请求报文中的源地址填写为所述虚拟地址,将所述接入请求报文中的源端口填写为本地预先配置的端口信息。
5.一种网络接入设备,包括接收模块,用于根据虚拟路由器冗余协议接收客户端的接入请求;发送模块,用于向RADIUS服务器发送接入请求报文。
6.如权利要求5所述的网络接入设备,其特征在于还包括处理模块,所述接收模块,还用于接收所述RADIUS服务器的接入响应报文;所述处理模块,用于根据所述接入响应报文携带的目的端口对所述接入响应报文进行处理。
7.如权利要求6所述的网络接入设备,其特征在于所述处理模块包括判断单元,用于判断所述目的端口是否与本地配置的端口一致;解析单元,用于在所述判断单元判断一致的情况下,对所述接入响应报文进行解析; 转发单元,用于在所述判断单元判断不一致的情况下,将所述接入响应报文转发给特定的网络接入设备;其中,所述网络接入设备与所述特定的网络接入设备的配置有相同的虚拟地址和不同的端口信息。
8.如权利要求5所述的装置,其特征在于所述发送模块,向RADIUS服务器发送接入请求报文之前还用于,将所述接入请求报文中的源地址填写为所述虚拟地址,将所述接入请求报文中的源端口填写为本地预先配置的端口信息。
9.如权利要求5-8任一项所述的网络接入设备,其特征在于还包括,配置模块,用于将连接客户端的端口配置为启用虚拟路由器冗余协议的属性,将连接客户端的端口与上行端口绑定;配置一虚拟地址和端口信息。
全文摘要
本发明提供了一种RADIUS报文的处理方法及网络接入设备,该方法包括第一设备根据虚拟路由器冗余协议接收客户端的接入请求;第一设备向RADIUS服务器发送接入请求报文。根据本发明可以实现RADIUS报文的热备功能,即使其中一台设备或某个端口出现故障,也不影响用RADIUS方式对用户进行接入控制。
文档编号H04L12/56GK102594684SQ20121003708
公开日2012年7月18日 申请日期2012年2月17日 优先权日2011年11月28日
发明者林华云, 靳康 申请人:中兴通讯股份有限公司