专利名称:一种基于认证信息分配ip地址的方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其是涉及一种在用户认证时基于认证信息分配不同网段IP地址的方法以及实现该方法的装置。
背景技术:
随着互联网日益发展,企业用户的网络规模也越来越大,用户需求和网络应用也日益增加,网络出口逐渐成为了企业网访问外网速度的瓶颈。为解决访问外网的速度问题,通常采用多ISP出口的解决方案,例如同时接入中国电信和中国移动提供的网络出口。网络用户访问外网资源有着不同的需求,如一部分用户仅需访问某个ISP,另一部分网络用户可以访问其他ISP或所有ISP等。因此,如何通过规划设计网络地址和出口策略整合各ISP网络资源,满足网络用户需求的多样性,最大程度的发挥多ISP接入的优势,是一个值得研究和待解决的问题。同时,多出口的负载平衡也要求对网络用户进行出口策略规划。目前对于出口策略多采用基于源地址或目的地址策略路由,基于目的地址可以考虑对于双出口或者多出口的选择通过下发ACL来进行目的地址阻断,例如若访问的目的地址是中国移动的网段,则选择通过中国移动的出口,否则通过中国电信的网络出口。但是当大量用户访问相同的目的网络地址时,会造成出口的负载极其不平衡,因此,基于目的地址的办法并不能很好的解决问题。基于源地址和策略路由的方式进行控制能解决上述问题,策略路由比传统路由更加灵活,它使网络管理者不但能够根据目的地址,而且能够根据报文大小或IP源地址等因素来选择转发路径,还可以根据不同的优先级来选择转发路径。如图I所示,图中实线连接的主机经过策略路由仅访问ISP2,虚线连接的主机经过策略路由仅访问ISP1。但是,目前为网络用户分配的公网IP地址相当有限,特别是在采用802. IX以及网页认证(Portal认证)等认证方式时,只能为用户分配一个网段的外网访问地址,对于路由器来说无法根据源地址采用策略路由实现用户的多出口需求。
发明内容
本发明的目的是解决认证中不能为用户分配不同网段IP地址的问题,提出一种基于认证信息分配IP的方法和装置,为用户分配多个网段的IP地址,从而支持策略路由根据源地址实现用户的多出口需求。本发明提供了一种基于认证信息分配IP地址的方法,采用动态主机设置协议DHCP为用户分配IP地址,在用户接入的接口上配置多个不同网段的网关地址,包括步骤A、配置认证地址网关并根据用户的认证信息配置对应的地址网段网关;B、接收用户认证请求,将认证请求重定向到认证服务器,与认证服务器交互对用户进行认证并记录用户的认证信息和认证状态信息;C、接收DHCP请求,查询用户认证是否通过,若认证通过则将与用户认证信息对应的地址网段网关加入到DHCP请求中,与DHCP服务器交互为用户分配对应网段的IP地址,若认证未通过,则将认证地址网关加入到DHCP请求中,与DHCP服务器交互为用户分配认证地址网段内的IP地址。所述配置用户的认证信息对应的地址网段网关是指在用户接入的物理接口上或三层VLAN接口上配置。配置所述认证地址网关地址为主地址,其他地址网段网关地址为子地址。进一步地,所述步骤A, B之间进一步包括在所述用户接入的接口上使能DHCP中继;在收到用户的DHCP discover信息后,则将所述主地址加入到DHCPdiscover报文 中转发到DHCP服务器,使所述DHCP服务器为用户分配认证网段的地址,以便用户接入认证服务器进行认证。进一步地,所述认证服务器为门户Portal服务器。具体认证方式可以是Portal认证或802. IX认证或DHCP Optionin认证,本发明不限于采用哪种认证方式,可以广泛应用于上述的认证场合。同时在采用Portal认证时,还需要与Raduis服务器配合,Porral服务器在接收到用户的用户名和密码后,将用户输入的用户名和密码组装成认证请求报文发往Raduis服务器进行认证,Raduis服务器将认证应答发送到Porral服务器完成认证。进一步地,所述认证信息是域名信息或地理位置信息。用户进行认证时携带的认证信息包括但不限于域名信息或地理位置信息,从而按照用户的认证信息为用户分配不同网段的IP源地址,从而为后续策略路由奠定了基础,也便于后续为不同的用户提供针对的个性化服务。本发明还提供了一种基于认证信息分配IP地址的装置,应用于采用动态主机设置协议DHCP为用户分配IP地址,所述装置包括接口单元,与所述接口单元相连的认证单元和DHCP单元;其中,所述接口单元,配置有用户认证信息对应的地址网段网关及认证地址网关,接收用户的接入请求并将接入请求重定向到认证单元,记录用户的认证信息和认证状态信息; 认证单元,用于接收所述接口单元重定向的用户接入请求,通过与认证服务器进行交互对用户进行认证;DHCP单元,用于接收所述接口单元转发的DHCP请求,向接口单元发送查询信息,将所述接口单元反馈的网关加入到DHCP请求中,与DHCP服务器交互为用户分配IP地址。所述接口单元为用户接入的三层物理接口或三层WLAN接口,所述接口单元配置的认证地址网关为主地址,其他地址网段网关地址为子地址,所述接口单元进一步用于接收DHCP单元的查询信息,查看用户认证是否通过,若认证通过则将用户认证信息对应的地址网段网关反馈给DHCP单元,若认证未通过则将认证地址网关反馈给DHCP单元。所述DHCP单元为DHCP中继,在接收到用户的DHCP discover信息后,则将所述主地址加入到DHCP discover报文中转发到DHCP服务器,使所述DHCP服务器为用户分配认证网段的地址,以便用户接入认证服务器进行认证。所述基于认证信息分配IP地址的装置认证接口单元可以内置认证服务器,也可以外接认证服务器,实现方式灵活。所述DHCP单元可以是内置DHCP服务器,或者是DHCP中继,外接DHCP服务器来实现地址分配。通过本发明基于认证信息分配IP地址的方法,可以在Portal认证时为用户基于认证信息分配IP地址,进而为用户分配不同网段的源地址,从而可以实现在出口路由器上基于源地址策略路由的出口选择,可以有效规划出口策略,保证网络出口的稳定性。本发明的方法能在不同的网络出口,使用不同的安全策略,如防火墙,NAT等,还可以进行计费。本发明基于认证信息分配IP地址的装置可以设置于汇聚层交换机内部,也可以单独作为一个独立的装置来提供基于认证信息的IP地址服务,为策略路由的实现奠定了基础,也便于后续为不同的用户提供针对的个性化服务。
图I为策略路由的示意图;图2为本发明用户接入互联网的组网结构图;图3为本发明基于认证信息分配IP地址的方法流程图;图4为本发明基于认证信息分配IP地址的装置组成示意图。
具体实施例方式下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。如图2所示,用户I,用户2通过L2交换机S2接入汇聚层交换机SI,SI与DHCP服务器,Portal服务器及RADIUS服务器相连,为用户提供Portal认证和DHCP地址分配;路由器Rl通过网络出口一和网络出口二分别与外网ISPl和ISP2连接。用户通过Portal认证后,通过路由器Rl接入外网,路由器Rl根据用户的源IP地址,进行策略路由,选择网络出口一或网络出口二与外网连接。需要说明的是,本实施例以Porral认证方式为例来具体阐述本发明,采用802. IX或DHCP Optioin认证方式具有同样的技术效果。同时,Portal服务器在接收到用户的用户名和密码后,将用户输入的用户名和密码组装成认证请求报文发往汇聚层交换机SI,通过汇聚层交换机SI与RADIUS服务器交互进行认证,汇聚层交换机SI将认证应答发送到Portal服务器完成认证。本实施例方法流程中关于认证的过程不再累述,统一简称为Portal 认证。本实施例的Portal服务器,DHCP服务器均可以设置在汇聚层交换机内,也可以外接,关于Portal认证和DHCP地址分配的现有技术,这里不再赘述。具体地,本发明基于认证信息分配IP地址的方法流程如图3所示,包括步骤步骤301、配置认证地址网关,并根据用户的认证信息配置对应的地址网段网关。本实施例中采用的认证信息是用户的域名(Domain),假设用户I的域名为domainA,用户2的域名为domainB, domainA对应的网关为202. 168. I. I, domainB对应的网关为 202. 168. 2. I。在使能Porral的接口上配置用户的Domain映射到不同的地址网段网关portal domain-map domain domainA gateway 202.168.I.I ;Portal domain-map domain domainB gateway 202.168.2.I ;
需要说明的是,本发明采用不同的认证信息,例如用户地理位置信息(VLAN,ATM的PVC等信息),也可以达到同样技术效果,这里不再赘述。具体地,这里的使能Portal的接口可以是三层物理接口,也可以是三层VLAN 口,将用户认证信息对应的地址网段网关地址和认证地址网关地址配置到使能Porral的接口上,其中认证地址网关地址配置为主地址,其他地址网段网关地址配置为子地址。本实施例在用户接入汇聚交换机SI认证通过前,为用户分配认证地址网段地址,通常采用的是私网IP地址,用于用户认证;认证通过后,为用户分配的认证信息对应的地址网段IP地址,通常是公网IP地址,用于用户访问公网。本实施例中采用公网IP地址或私网IP地址为例来进行说明,不限于具体分配的地址网段。现有技术中使能Porral的接口可以配置主地址和子地址,一般情况下主地址为公网IP地址网段网关地址,子地址为私网IP地址网关地址,但是本发明需要根据认证信息配置多个不同公网IP地址网段网关,因此将私网IP地址网关配置为主地址,而将多个不同 的公网IP地址网段网关配置为子地址。公网IP地址网关网段网关用来为用户认证通过后分配公网IP地址,私网IP地址网关用于为用户认证前分配私网IP地址。步骤302、接收DHCP发现报文,进行响应。具体地,如图2所示,用户I接入交换机S2,用户I会主动以广播方式发起DHCP发现(DHCP discover)报文,设置于汇聚层交换机SI的DHCP中继(DHCP Relay)在收到用户的DHCP discover信息后,则将使能Porral的接口主地址(即私网IP地址网关)加入到DHCPdiscover报文中转发到DHCP服务器,DHCP服务器进行响应,发送DHCP提供(DHCP offer)报文,用户在收到DHCP offer后,发起DHCP请求(DHCP request), DHCP Relay转发DHCP服务器与用户之间的交互信息,为用户分配私网IP地址,以便用户接入Portal服务器进行认证。为用户2分配私网IP地址的方式与用户I相同。本发明接收用户DHCP发现报文,通过DHCP Relay转发,与DHCP服务器交互为用户分配私网IP地址为现有技术方法,在本发明中不再赘述。可见,本实施例基于私网IP地址网段,domainA的网段,domainB的网段,三个网段分别配置一相应的网关,具体分配地址时都是通过DHCP进行分配的,只是DHCP Relay在接收到DHCP请求时,首先选择网段的网关时,根据用户的认证状态和认证信息选择相应的网关。未认证,选择私网IP地址网关,认证通过后,根据认证信息不同,选用对应的公网IP地址网段网关。步骤303、将用户接入请求指向认证服务器,用户输入用户名和密码,进行认证,记录用户的认证信息和认证状态信息。具体地,用户分配到私网IP地址后,其访问网页的请求被指向到Portal服务器,Portal服务器在接收到用户的用户名和密码后,将用户输入的用户名和密码组装成认证请求报文发往汇聚层交换机SI,通过汇聚层交换机SI与RADIUS服务器交互进行认证,汇聚层交换机SI将认证应答发送到Portal服务器完成认证。本实施例中用户的认证信息为域名信息,用户I对应的域名为domainA,用户2对应的域名为domainB。使能Portal的接口记录用户的认证信息及认证是否通过的状态信
肩、O步骤304、接收DHCP请求,调用使能Portal的接口,查看用户认证是否通过,若认证通过则进入步骤305,否则进入步骤306。具体地,如果用户已经认证通过,贝U发起DHCP请求。对于DHCP Relay来说,当接收到DHCP请求后,向使能Portal的接口查询用户是否认证通过及对应的网关。步骤305、如果认证通过,使能Portal的接口反馈用户认证信息对应的公网IP地址网段网关,为用户分配公网IP地址。具体地,如果用户通过认证,使能Portal的接口将用户认证信息对应的网关信息返回给DHCP Relay,DHCP Relay将网关信息加入到DHCP请求中,向DHCP server发起DHCP请求,DHCP Server为用户分配此网关对应网段的公网IP地址。具体地,如果是用户1,其域名信息为domainA,则对应的网关地址为 202. 168. I. 1,DHCP Relay使用此网关,向DHCP服务器发起DHCP请求,DHCP服务器为用户I分配IP地址,假设分配的IP地址为202. 168. I. 5 ;如果是用户2,其域名信息为domainB,则对应的网关地址为202. 168. 2. 1,DHCPRelay使用此网关,向DHCP服务器发起DHCP请求,DHCP服务器为用户2分配IP地址,假设分配的IP地址为202. 168. 2. 5 ;步骤306、如果认证未通过,使能Portal的接口反馈私网IP地址网关,为用户分配私网IP地址。具体地,如果用户未认证通过,DHCP Relay则将私网IP地址网关加入到DHCP请求中,向DHCP服务器请求地址,DHCP服务器为用户分配私网IP地址。而对于Portal服务器,对于认证未通过的用户则返回认证失败信息,拒绝用户的接入,这不是本发明的重点,这里不再累述。通过以上步骤,用户通过Portal实现了认证,并根据域名的不同分配了不同网段的公网IP地址。需要说明的是,本实施例采用根据域名不同来对应不同的网关,同样的采用用户的位置信息,也可以对应不同的网关,并分配不同网段的公网IP地址。当用户采用不同网段的公网IP地址接入路由器R1,路由器根据用户分配的公网IP地址,即可以采用策略路由的方法为用户选择不同的网络出口,从而实现了路由器根据用户源地址的策略路由。具体地,设置用户源地址在网段202. 168. I. 0-202. 168. I. 254内的用户内经过网络出口 I接入外网ISPl ;设置用户源地址在网段202. 168. 2. 0-202. 168. 2. 254内的用户内经过网络出口 2接入外网ISP2。本发明还提出了一种基于认证信息分配IP地址的装置,如图4所示,包括接口单元401,认证单元402和DHCP单元403。其中,所述接口单元401,配置有用户认证信息对应的地址网段网关及认证地址网关,接收用户的接入请求并将接入请求重定向到认证单元402,记录用户的认证信息和认证状态信息;认证单元402,用于接收所述接口单元401重定向的用户接入请求,通过与认证服务器进行交互对用户进行认证;DHCP单元403,用于接收所述接口单元401转发的DHCP请求,向接口单元401发送查询信息,将所述接口单元401反馈的网关加入到DHCP请求中,与DHCP服务器交互为用户分配IP地址。
所述接口单元401配置的认证地址网关地址为主地址,其他地址网段网关地址为子地址,所述接口单元401进一步用于接收DHCP单元403的查询信息,查看用户认证是否通过,若认证通过则将用户认证信息对应的地址网段网关反馈给DHCP单元403,若认证未通过则将认证地址网关反馈给DHCP单元403。本实施例中接口单元401为使能Portal的接口,DHCP单元403为DHCPRelay,通过外接Portal服务器、Raduis服务器和DHCP服务器实现用户的认证和IP地址分配。具体地,在使能Portal的接口上配置私网IP地址网关,以及与domainA和domainB对应的公网IP地址网段网关,用户接入时,DHCP中继转发DHCPDiscover,与DHCP服务器交互为用户分配私网IP地址,进行Portal认证,认证通过后,用户发起DHCP请求,DHCP Relay将用户域名对应的网段网关地址加入到DHCP请求中转发给DHCP服务器,DHCP服务器为用户分配该网段网关对应的网段的公网IP地址,从而为基于认证信息为用户分配不同的网段的IP地址,而后续路由器根据用户的源IP地址,即可以采用策略路由的方法为用户选择不同的网络出口。
需要说明的是,DHCP服务器和Portal服务器都可以内置到本发明的装置中,具有同样的技术效果,不影响本发明技术方案的实现。 以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种基于认证信息分配IP地址的方法,米用动态主机设置协议DHCP为用户分配IP地址,其特征在于,在用户接入的接口上配置多个不同网段的网关地址,包括步骤 A配置认证地址网关,并根据用户的认证信息配置对应的地址网段网关; B接收用户认证请求,将认证请求重定向到认证服务器,与认证服务器交互对用户进行认证并记录用户的认证信息和认证状态信息; C接收DHCP请求,查询用户认证是否通过,若认证通过则将与用户认证信息对应的地址网段网关加入到DHCP请求中,与DHCP服务器交互为用户分配对应网段的IP地址,若认证未通过,则将认证地址网关加入到DHCP请求中,与DHCP服务器交互为用户分配认证地址网段内的IP地址。
2.如权利要求I所述的分配IP地址的方法,其特征在于,所述配置用户的认证信息对应的地址网段网关是指在用户接入的三层物理接口上或三层VLAN接口上配置。
3.如权利要求I所述的分配IP地址的方法,其特征在于,配置所述认证地址网关地址为主地址,其他地址网段网关地址为子地址。
4.如权利要求3所述的分配IP地址的方法,其特征在于,所述方法在步骤A,B之间进一步包括 在所述用户接入的接口上使能DHCP中继; 在收到用户的DHCP discover信息后,则将所述主地址加入到DHCPdiscover报文中转发到DHCP服务器,使所述DHCP服务器为用户分配认证网段的地址,以便用户接入认证服务器进行认证。
5.如权利要求1-4任一权利要求所述的分配IP地址的方法,其特征在于,所述认证服务器为Portal服务器,所述认证信息是域名信息或地理位置信息。
6.一种基于认证信息分配IP地址的装置,用于采用动态主机设置协议DHCP为用户分配IP地址,其特征在于,所述装置包括接口单元,与所述接口单元相连的认证单元和DHCP单元; 其中,所述接口单元,配置有用户认证信息对应的地址网段网关及认证地址网关,接收用户的接入请求并将接入请求重定向到认证单元,记录用户的认证信息和认证状态信息; 认证单元,用于接收所述接口单元重定向的用户接入请求,通过与认证服务器进行交互对用户进行认证; DHCP单元,用于接收所述接口单元转发的DHCP请求,向接口单元发送查询信息,将所述接口单元反馈的网关加入到DHCP请求中,与DHCP服务器交互为用户分配IP地址。
7.如权利要求6所述的基于认证信息分配IP地址的装置,其特征在于,所述认证接口单元为用户接入的三层物理接口或三层VLAN接口。
8.如权利要求6所述的基于认证信息分配IP地址的装置,其特征在于,所述接口单元配置的认证地址网关地址为主地址,其他地址网段网关地址为子地址,所述接口单元还用于接收DHCP单元的查询信息,查看用户认证是否通过,若认证通过则将用户认证信息对应的地址网段网关反馈给DHCP单元,若认证未通过则将认证地址网关反馈给DHCP单元。
9.如权利要求8所述的基于认证信息分配IP地址的装置,其特征在于,所述DHCP单元为DHCP中继,在接收到用户的DHCP discover信息后,则将所述主地址加入到DHCPdiscover报文中转发到DHCP服务器,使所述DHCP服务器为用户分配认证网段的地址,以便用户接入认证服务器进行认证。
10.如权利要求6-9任一权利要求所述的基于认证信息分配IP地址的装置,其特征在于,所述认证服务器为Portal服务器,所述认证信息是域名信息或地理位置信息。
全文摘要
本发明公开了一种基于认证信息分配IP地址的方法,通过建立用户认证信息与不同网段网关的对应关系,在用户接入认证后发起DHCP请求时,将对应用户认证信息的网段网关加载到DHCP请求中,从而为用户分配相应网段的IP地址,实现了不同用户认证信息分配不同的IP地址。本发明还公开了实现该方法的装置,包括控制单元,认证接口单元与DHCP单元,其中认证接口单元配置了基于认证信息的不同网段网关地址,DHCP单元在接收到DHCP请求后查询认证接口单元,根据用户认证信息对应的不同网段为用户分配不同的网段的IP地址,可以有效规划出口策略,保证网络出口的稳定性,并能在不同的网络出口为用户提供个性化的服务。
文档编号H04L29/06GK102694821SQ20121019894
公开日2012年9月26日 申请日期2012年6月15日 优先权日2012年6月15日
发明者杨银柱, 柴永富 申请人:杭州华三通信技术有限公司