本发明专利技术提供了无线认证方法及网络设备,包括:接收AC发送的域配置信息;在自身所属区域内组播发送P-MAP探测报文;若预设时间内接收到P-MAP通告报文,切换为NAP并返回P-MAP通告响应报文;若预设时间内未接收到P-MAP通告报文,也未接收到自身所属区域内其他AP发送的P-MAP探测报文,则将自身状态切换为P-MAP;按照无线终端发送的HTTP请求报文,通过P-MAP与认证服务器进行认证。本发明专利技术实施例解决了AC单点故障或AC与AP链路不稳定导致整网无法认证的问题,提高稳定性。
【技术实现步骤摘要】
本专利技术涉及无线网络领域,尤其涉及一种无线认证方法及网络设备。
技术介绍
无线局域网(WLAN)包括两种WLAN架构,一种是胖无线接入点(AccessPoint,AP) 架构,一种是瘦AP架构。胖AP架构是以胖AP为核心的分布式结构,对AP实行逐一管理, 无法进行整网流量、射频和用户分配的全局管理,因此市场应用较少,无法适用大型的网络 覆盖需求。瘦AP架构是由无线网络控制器(AccessController,AC)通过有线网络集中控 制下联的所有AP,实现了对无线网络的集中规划和部署,AC完成了对所有AP的集中管理, 包括对无线用户的安全准入控制。 在WLAN的瘦AP结构中,AC作为WLAN的核心设备,承担着下属所有AP的报文处理, 也是整个无线网络的单点故障点,即AC出现故障或者AC和AP间的链路故障导致CAPWAP 隧道断开,其管理的所有AP也会全部失效,无线网络则无法继续对外提供服务。 目前WLAN网络的接入认证过程,通常需要涉及到认证客户端、认证设备、认证服 务器。在实际WLAN中,分别对应为:无线客户端(STA)、AP/AC、认证服务器;其中,认证客户 端,安装于用户终端设备上的客户端系统,可以为HTTP协议的浏览器,上网时将发出HTTP 请求;认证设备,在网络拓扑中通常为接入层设备,如在WLAN网络中为AP或AC,通常与用 户终端设备直接相连,启动WEB认证,主要完成WLAN用户的接入、接入控制、计费信息采集 以及数据业务管理和转发控制;认证服务器,可以为Portal/Radius服务器,Portal服务器 提供WEB服务的强制Portal功能,WLAN用户通过WEB浏览器发起HTTP请求,将需要认证设 备强制定向到Portal服务器,由Portal服务器提供免费门户服务和基于WEB认证的界面。 Radius服务器提供Radius认证功能,接收认证客户端,与认证设备交互认证客户端的认 证信息,对WLAN用户进行认证,并将认证结果通知接入设备,同时提供计费功能,Portal/ Radius服务器可以分开设置在两个物理设备,也可以集成为一个物理设备,本专利技术中,为方 便描述,在附图中将Portal/Radius服务器进行了集成显示。 以Portal认证为例,其是一种基于端口对用户访问网络的权限进行控制的认证 方法,在无线网络中,Portal认证基于WLAN端口进行访问控制。未进行Portal认证的用 户进行上网时,接入认证设备会强制用户登录到特定的站点来免费访问该特定站点中的服 务;但是当用户需要访问互联网中未在该站点中的其他服务时,必须在认证服务器进行身 份认证,只有身份认证通过后,接入认证设备才允许用户访问互联网资源。 图1示出了WLAN用户进行认证的流程,包括:SI,WLAN用户终端通过终端浏览器,发送HTTP请求报文(HTTPRequest user-url)至AC/AP;S2,AC/AP接收到HTTPRequestuser-url后,响应HTTPRedirect(重定向报文) 给WLAN用户终端,WLAN用户终端向Portal服务器转发该HTTPRequestPortal-url;S3,Portal服务器接收到HTTPRequestPortal-url后,反馈响应报文(HTTP ResponsePortal-url)给WLAN用户终端; S4,WLAN用户终端接收到响应报文后,发送自身用户名&密码(HTTPPost Portal-url)给Portal服务器; S5,Portal服务器发送认证请求报文(REQ-Auth)给AC/AP; S6,AC/AP发送认证接入请求(Access-Request)至Radius服务器进行身份验证; S7,Radius服务器反馈身份验证结果Access-Accept或Access-Re ject至AC/AP ; S8,AC/AP发送认证响应报文(ACK_Auth)给Portal服务器告知认证结果; S9,Portal服务器根据ACK_Auth报文推送认证结果页面(HTTPResponse Portal-url)给WLAN用户终端; S10,若Portal服务器收到ACK_Auth报文表示认证成功,则发送AFF_ACK_ Auth(认证成功响应确认报文)至AC/AP,对收到的认证成功响应报文进行确认; S11,若WLAN用户终端认证失败,则当前流程结束,若成功,则AC/AP发送计费请求 (Accounting-Request)至Radius服务器进行计费; S12,Radius服务器反馈计费响应(Accounting-Response)至AC/AP。 由图1可知,在WLAN中,认证设备可以是AP/AC,为了描述方面,将以AC作为认证 设备的认证方式统称为"集中认证",以AP作为认证设备的认证方式统称为"本地认证"。然 而,在瘦AP结构中,一个网络中往往包含数百上千台AP,若单纯采用本地认证方式,则需要 在认证服务器上配置所有AP的信息,认证服务器需要呈现所有AP的信息,且若有新的AP 加入网络时,则需要在服务器新增新AP的配置,增加了认证服务器的配置和管理复杂度。 因此通常选用本地认证和集中认证相结合的方式进行认证,具体实现为:利用RIPT(边缘 感知功能),判断AC和AP之间的隧道连接是否正常,当处于连接模式时,使用AC作为认证 设备进行集中认证,由AC与认证服务器之间进行认证报文交互;当判断AC与AP之间的隧 道断开时,则使用该AP作为认证设备进行本地认证,由AP与认证服务器之间进行认证报文 交互。 但是上述方案存在如下问题:(1)当AC与AP之间链路正常,可AC与服务器之间 链路异常时,该AC下的认证客户端仍旧无法进行认证;(2)因为使用到AP本地认证方式, 需要预先在认证服务器配置所有AP的信息,认证服务器的配置管理较为复杂。
技术实现思路
本专利技术的实施例提供了一种无线认证方法及网络设备,能够降低无线认证的复杂 度,提尚稳定性。 本专利技术提供了如下方案: 一种无线认证方法,所述方法包括: 接收AC发送的域配置信息;所述域配置信息包括区域标识(Domain-ID)和代理认 证主接入点(P-MAP)的IP地址(NAS-IP); 在自身所属区域内组播发送P-MAP探测报文,所述P-MAP探测报文包括自身所属 区域的Domain-ID、本地IP地址LIP及MAC; 若预设时间内接收到P-MAP通告报文,将自身状态切换为普通无线接入点NAP并 返回P-MAP通告响应报文,所述P-MAP通告响应报文包括自身所属区域的Domain-ID、LIP 及MAC; 若预设时间内接收到自身所属区域内其他AP发送的P-MAP探测报文,根据所述 P-MAP探测报文确定所述其他AP不符合预设P-MAP条件时,则继续在自身所属区域内组播 发送P-MAP探测报文,否则停止在自身所属区域内组播发送P-MAP探测报文; 若预设时间内未接收到P-MAP通告报文,也未接收到自身所属区域内其他AP发送 的P-MAP探测报文,则将自身状态切换为P-MAP; 按照无线终端发送的HTTP请求报文,通过P-MAP与认证服务器进行认证;其中,所 述HTTP请求报文中本文档来自技高网...
【技术保护点】
一种无线认证方法,其特征在于,所述方法包括:接收无线控制器AC发送的域配置信息;所述域配置信息包括区域标识Domain‑ID和代理认证主接入点P‑MAP的IP地址NAS‑IP;在自身所属区域内组播发送P‑MAP探测报文,所述P‑MAP探测报文包括自身所属区域的Domain‑ID、本地IP地址LIP及MAC;若预设时间内接收到P‑MAP通告报文,将自身状态切换为普通无线接入点NAP并返回P‑MAP通告响应报文,所述P‑MAP通告响应报文包括自身所属区域的Domain‑ID、LIP及MAC;若预设时间内接收到自身所属区域内其他AP发送的P‑MAP探测报文,根据所述P‑MAP探测报文确定所述其他AP不符合预设P‑MAP条件时,则继续在自身所属区域内组播发送P‑MAP探测报文,否则停止在自身所属区域内组播发送P‑MAP探测报文;若预设时间内未接收到P‑MAP通告报文,也未接收到自身所属区域内其他AP发送的P‑MAP探测报文,则将自身状态切换为P‑MAP;按照无线终端发送的HTTP请求报文,通过P‑MAP与认证服务器进行认证;其中,所述HTTP请求报文中携带自身所属区域的NAS‑IP以及无线终端所关联AP的MAC。...
【技术特征摘要】
【专利技术属性】
技术研发人员:张碧仙,
申请(专利权)人:北京星网锐捷网络技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。