一种集中认证本地转发的方法及控制装置制造方法

一种集中认证本地转发的方法及控制装置制造方法
【专利摘要】本申请提供一种网络装置和方法，用于包括无线控制器AC和接入点AP的无线网络中，所述网络装置对收到的用户的第一报文进行检测其是否通过Portal认证，针对未通过认证的用户的MAC地址，将其MAC地址添加到第一VLAN的表项内，针对已通过认证的用户的MAC地址，将其MAC添加在第二VLAN的表项内；检查收到的所述用户报文的MAC地址所属的VLAN信息，如果是第一VLAN，不下发转发表，如果是第二VLAN，则向其关联的AP下发转发表项。通过使用该方法，可以实现无线网络中集中认证本地转发的功效，用户设备无需改动配合，而控制装置的改动也很小，兼容性良好。
【专利说明】一种集中认证本地转发的方法及控制装置
【技术领域】
[0001]本申请涉及无线网络技术，尤其是涉及在无线网络中实现集中认证本地转发的方法及装置。
【背景技术】
[0002]Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。Portal业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
[0003]本地转发是指AC+FITAP架构的无线网络组网情况而言，用户的管理和控制帧，如802.11管理、控制报文和802.1x协议报文等，通过CAPWAP隧道传递给AC集中处理，以实现用户的认证、授权等，用户流量信息也通过CAPWAP隧道以管理帧的方式通报给AC，以实现计费、负载均衡等应用。用户的数据帧，包括802.11数据和来自有线的802.3数据报文，在AP本地进行解析、封装等处理，并直接由AP进行转发，实现数据的高速处理。
[0004]本地转发对于部署WIFI意义重大，由于转发走AP，因此对于一台AC控制多大几百台AP部署成为可能。

【发明内容】

[0005]有鉴于此，本申请提供一种控制装置，用于包括无线控制器和AP的无线网络中，所述装置包括:安全认证模块，用于对收到的用户的第一报文进行检测其是否通过Portal认证；分配模块，针对未通过认证的用户的MAC地址，将其MAC地址添加到第一 VLAN的表项内，针对已通过认证的用户的MAC地址，将其MAC添加在第二 VLAN的表项内；处理模块，检查收到的所述用户报文的MAC地址所属的VLAN信息，如果是第一 VLAN，不下发转发表，如果是第二 VLAN，则向其关联的AP下发转发表项。
[0006]所述处理模块进一步用于检查收到的所述用户的第二报文的MAC地址所属的VLAN信息，如果是第一 VLAN，则将其重定向至Portal服务器进行认证。
[0007]所述第一 VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表；所述第二 VLAN的表项至少包括MAC+VLAN+端口转发表项。
[0008]所述认证模块进一步用于在用户通过Portal认证后，删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表，并通知AP解除与所述用户的关联，以促使用户重新发起关联。
[0009]本申请还提供一种集中认证本地转发的方法，所述方法应用于包括AC和AP的无线网络中，所述方法包括:
[0010]对收到的用户的第一报文中的MAC地址进行检查起是否通过portal认证；
[0011 ] 针对未通过认证的用户的MAC地址，将其MAC地址添加到第一 VLAN的表项内，针对已经通过认证的用户的MAC地址，将其地址添加到第二 VLAN表项内；[0012]检查所述收到用户的报文携带的MAC地址所属的VLAN，如果是第一 VLAN，不下发转发表，如果是第二 VLAN，则向其关联的AP下发转发表项；
[0013]收到用户的第二报文，检查其MAC地址所属的VLAN信息，如果是第一 VLAN，则将其重定向至Portal服务器进行认证。
[0014]其中，所述第一 VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表；所述第二 VLAN的表项至少包括MAC+VLAN+端口转发表项。
[0015]收到用户认证成功消息后，删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表，并通知AP解除与所述用户的关联，以促使用户重新发起关联。
[0016]本方案利用了未通过认证的MAC地址添加到VLANl中，通过认证的MAC地址则添加到VLAN2中的方法，实现了无线用户的Portal认证，并在认证成功后可以走AP本地转发，该技术方案对用户来说，完全无需改动，对网络设备来说，改动也很小，兼容性强。
【专利附图】

【附图说明】
[0017]图1是本申请的装置的硬件示意图。
[0018]图2是本申请的方法的流程图。
[0019]图3是本申请的一个实施方式的流程图。
【具体实施方式】
[0020]在本地转发场景下，由于AP和AC之间为三层组网，Portal认证的HTTP报文为二层认证报文，不能通过三层转发，所以，Portal接入控制点无法部署在AC上，后续有厂家提出了集中认证本地转发的解决方案，用户使用Portal认证方式发送的报文都经过CAPWAP封装，发送给AC，实现由AC统一认证的功能，但由于采用CAPWAP隧道方式转发，而CAPWAP隧道带宽的限制，会直接影响用户的网络信息传输速率，产生数据传输延迟，导致用户体验变差。
[0021]本申请提供一种实现集中认证本地转发的控制装置很好的解决了上述问题，所述控制装置用于包括AC和AP的无线网络中，如图1所示，该装置的基本硬件环境包括CPU、内存、非易失性存储器以及其他硬件，在逻辑上包括:安全认证模块，分配模块和处理模块，这些模块实际上为计算机程序模块由CPU加载至内存调用而形成的。请一并参考图2，所述装置在计算机调用时执行以下流程:
[0022]步骤21安全认证模块对收到的用户报文中的MAC地址进行检查起是否通过portal 认证。
[0023]步骤22分配模块针对未通过认证的用户的MAC地址，将其MAC地址添加到第一VLAN的表项内，针对已经通过认证的用户的MAC地址，将其地址添加到第二 VLAN表项内。
[0024]步骤23处理模块检查所述收到用户的报文携带的MAC地址所属的VLAN，如果是第一 VLAN,不下发转发表，如果是第二 VLAN，则向其关联的AP下发转发表项。其中，第一 VLAN为集中转发VLAN，第二 VLAN为本地转发VLAN，一般在集中转发VLAN上会配置Portal认证，即属于该VLAN的所有用户需要被强制进行PORTAL认证。
[0025]在实际使用中，利用无线的集中认证本地转发的实现Portal认证的方案很多，但大多数方案对现有流程更改的地方很大，而本申请提供的技术方案在改动很小的基础上能够实现集中认证本地转发的良好效果。在本申请的一个实施例中，请参考图3，本实施例中的集中转发VLAN为VLANl，本地转发VLAN为VLAN2。
[0026]31)用户发送关联请求报文，AC报文携带的MAC地址进行MAC地址认证检查，检测该MAC地址没有通过Portal认证，将其加入集中转发VLANl中。
[0027]用户通过指定SSID选择无线网络，通过AP链路认证后，会向AP发送关联请求，AC收到AP转发过来的用户的关联请求报文，AC的安全认证模块对报文携带的MAC地址进行MAC地址认证，检测该MAC地址没有通过Portal认证。
[0028]AC针对未通过认证的用户，将其MAC添加到的VLAN表项包括用户MAC+VLAN1的记录表和用户MAC+VLAN1+端口的转发表，所述用户MAC+VLAN的记录表用来查找转发表，因为在实际使用中，用户的MAC地址可能在转发表中对应多个VLAN，所以需要根据MAC+VLAN来确定唯一的转发表。
[0029]AC针对通过认证的用户将其MAC添加到的VLAN表项至少包括用户MAC+VLAN2+端口的转发表，用户MAC+VLAN记录表在多个用户使用同一个本地转发VLAN转发的情况下，可以省略，在多个用户各自使用各自的本地转发VLAN转发时存在，并且，所述用户MAC+VLAN2+端口的转发表需要被下发到AP上，因此，在AC本地该表项虽然被下发但是在硬件中并不生效，后续用户的报文都走AP本地转发，其实施方式与现有技术相同，在此就不再赘述了。
[0030]根据安全认证模块的检测结果，所述分配模块将没有通过认证的用户的MAC地址加到MAC+Vlanl的记录表中，后续强制用户在该VLANl内转发，并同时下发包含用户MAC+VLAN1+端口信息的转发表项。此用户为首次上线，并没有进行过安全认证，用户本身在报文中会携带着VLAN2tag原本被分配的VLAN tag，此为用户自身携带的VLAN tag，一般默认为本地转发VLAN的tag，当然也可以为其他的VLAN tag。由于是首次登陆，尚未通过认证，用户的MAC被分配在集中转发VLANl内，后续属于所述用户的报文将会被强制在VLANl内转发，,AC的处理模块检查该MAC地址对应的VLAN信息不是本地转发表项中的VLAN2，所以，不向其关联的AP下发转发表项。
[0031]32)用户发送Http请求报文,AC将其重定向至Portal Server,进行Portal认证。
[0032]AC已经为未通过认证的用户建立了对应的MAC+VLAN的记录表和转发表后，又收到了所述用户的后续报文，AC的处理模块会继续检查其MAC地址所属的VLAN信息，确定是第一 VLAN后，即集中转发VLAN，则将所述报文重定向至Portal服务器进行认证，这里的集中转发VLAN上启用了 Portal，定义了所有的属于所述VLAN的用户都需要强制进行Portal认证。
[0033]用户访问网页发送HTTP请求报文，由于AP在本地没有找到对应的转发表项，则将该HTTP请求报文直接发送到AC处理。AC收到用户的HTTP请求报文后，发现用户报文对应的MAC地址属于集中转发VLAN1，由于VLANl上开启了 Portal认证，所有属于VLANl的MAC地址都需要被重定向至Portal Server上进行认证,所以,用户的HTTP请求报文被重定向到 Portal Server。
[0034]33)用户访问Portal Server提供的认证页面,输入用户名和密码信息。
[0035]34)Portal Server接收到该信息，向AC发起用户认证请求,AC往Radius Server发起用户认证请求。[0036]35) Radius Server回应认证成功消息。
[0037]36) AC收到认证成功消息,告诉Portal Server认证成功。
[0038]37) Portal Server通知客户端认证成功。
[0039]38) AC收到认证成功消息后，通知认证模块删除Vlanl记录表和转发表中用户的MAC地址，并解除AP与所述用户的关联，以促使用户重新与所述AP关联。
[0040]39)用户重新进行关联AP，AP将关联请求报文发送给AC处理。
[0041 ] 40)经过AC的安全认证模块对所述认证报文进行MAC地址认证，认证模块检查该MAC地址用户Portal认证通过，则通知处理模块将所述MAC地址添加到VLAN2，因MAC地址对应的VLAN信息和本地转发配置的VLAN —致，所以，AC将对应的转发表下发给AP。
[0042]41 )AP添加用户本地转发信息。AP收到用户的报文，查看转发表项已经存在，直接进行转发；如果没有转发表项，则重复前面的流程，在此不做赘述。
[0043]本方案未通过认证的MAC地址添加到VLANl的表项中，通过认证的MAC地址则添加到VLAN2表项中，实现了无线用户的Portal认证,并在认证成功后可以走AP本地转发，该技术方案对用户来说，所有的改进都是透明的，用户设备上无需任何改动，而对控制装置来说，改动也很小，兼容性强。以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。
【权利要求】
1.一种控制装置，用于包括无线控制器AC和接入点AP的无线网络中，其特征在于，所述装置包括:安全认证模块，用于对收到的用户的第一报文进行检测其是否通过Portal认证；分配模块，针对未通过认证的用户，将其MAC地址添加到第一 VLAN的表项内，针对已通过认证的用户，将其MAC添加在第二 VLAN的表项内；处理模块，检查收到的所述用户报文的MAC地址所属的VLAN信息，如果是第一 VLAN，不下发转发表，如果是第二 VLAN，则向其关联的AP下发转发表项，其中，所述第一 VLAN为集中转发VLAN，所述第二 VLAN为本地转发VLAN0
2.如权利要求1所述的装置，其特征在于，所述处理模块进一步用于检查收到的所述用户的第二报文的MAC地址所属的VLAN信息，如果是集中转发VLAN，则将其重定向至Portal服务器进行认证。
3.如权利要求1所述的装置，其特征在于，所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表；所述第二 VLAN的表项至少包括MAC+VLAN+端口转发表项。
4.如权利要求1所述的装置，其特征在于，所述认证模块进一步用于在用户通过Portal认证后，删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表，并通知AP解除与所述用户的关联，以促使用户重新发起关联。
5.一种集中认证本地转发的方法，所述方法应用于包括AC和AP的无线网络中，其特征在于，所述方法包括: 对收到的用户的第一报文中的MAC地址进行检查起是否通过portal认证； 针对未通过认证的用户，将其MAC地址添加到第一 VLAN的表项内，针对已经通过认证的用户，将其地址添加到第二 VLAN表项内； 检查所述收到用户的报文携带的MAC地址所属的VLAN，如果是第一 VLAN，不下发转发表，如果是第二 VLAN，则向其关联的AP下发转发表项，其中，所述第一 VLAN为集中转发VLAN,所述第二 VLAN为本地转发VLAN。
6.如权利要求5所述的方法，其特征在于，所述方法进一步包括: 收到用户的第二报文，检查其MAC地址所属的VLAN信息，如果是集中转发VLAN，则将其重定向至Portal服务器进行认证。
7.如权利要求5所述的方法，其特征在于，所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表；所述第二 VLAN的表项至少包括MAC+VLAN+端口转发表项。
8.如权利要求7所述的方法，其特征在于，所述方法进一步包括: 收到用户认证成功消息后，删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表，并通知AP解除与所述用户的关联，以促使用户重新发起关联。
9.如权利要求5所述的方法，其特征在于，所述第一报文为用户的关联报文，所述第二报文为HTTP报文。
【文档编号】H04W12/06GK103442358SQ201310390546
【公开日】2013年12月11日 申请日期:2013年8月30日 优先权日:2013年8月30日
【发明者】徐勇刚 申请人:杭州华三通信技术有限公司