一种基于Linux系统的ipv6报文重定向方法技术方案

本发明专利技术提供一种基于Linux系统的ipv6报文重定向方法，包括：采用无线终端发送一请求认证报文；采用无线访问控制模块接收请求认证报文并判断无线终端是否已通过认证：若是，则放行请求认证报文；若否，则查找重定向查找表中是否存在请求认证报文的源地址和源网络端口：若是，则更新重定向查找表，将请求认证报文的目的地址更改为无线访问控制模块的网络地址及将目的端口更改为无线访问控制模块的portal监听端口，放行报文；若否，则将请求认证报文的源地址和源网络端口记录到重定向查找表中及将请求认证报文的目的地址和目的网络端口记录到重定向查找表中。本发明专利技术的有益效果：能够满足多用户同时查表时，转发性能不下降且减少HASH冲突。

A IPv6 message redirection method based on Linux system

The invention provides a IPv6 packet redirection method based on Linux system includes: the wireless terminal sends a request message authentication; using wireless access control module receives the request message and judging whether the wireless terminal authentication has been certified by: if so, releasing the authentication request message; if not, the lookup table to find the existence of redirection request authentication the message of the source address and source port network: if, then update the redirection lookup table, the destination address will request packet authentication for wireless access control module to change the network address and destination port change for the wireless access control module of the portal port, the release of the message; if not, the request is the source address and message authentication the source network to the destination address and port records to record the network port lookup table and redirect the request message to re authentication To find table. The invention has the advantages that the forwarding performance can not be decreased and the HASH conflict can be reduced when multiple users are simultaneously look-up tables.

【技术实现步骤摘要】

本专利技术涉及网络安全接入
，尤其涉及一种基于Linux系统的ipv6报文重定向方法。
技术介绍
WLAN指应用无线通信技术将计算机设备互联起来，构成可以互相通信和实现资源共享的网络体系。它具有灵活性和移动性，安装便捷和易于扩展等优点。WLAN用户连接到网络的方式有Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。当用户试图通过HTTP访问其他外网时，其接入设备就将用户强制重定向至门户网站进行认证，输入用户名和密码进行认证，在认证通过后才可以使用互联网资源。IPv6技术在WLAN网络中已经开始逐步部署与应用。如何保证IPv6用户安全地接入WLAN网络是无线网络应用面临的新问题。Ipv6协议没有网络地址转换(NetworkAddressTranslation，NAT)功能，实际无线访问控制(WirelessAccessPointController，AC)业务中，需要对未认证的ipv6用户报文进行重定向(Redirect)，以便完成认证。现有技术中，会在linux操作系统的内核模块中维护一张ipv6的重定向地址表，当大量ipv6用户同时查表，可能会造成转发性能有所下降；同时，该重定向地址表即重定向HASH表，使用IP+端口的二元组作为HASH关键字，在多用户情况下，HASH冲突概率较大。
技术实现思路
针对现有技术中存在的问题，本专利技术提供了一种满足多用户同时查表时，转发性能不下降且减少HASH冲突的基于Linux系统的ipv6报文重定向方法。本专利技术采用如下技术方案：一种基于Linux系统的ipv6报文重定向方法，预先设定一重定向查找表，所述重定向查找表中包括多个数组元素，每个所述数组元素中包括一个网络地址以及对应的一个网络端口；所述ipv6报文重定向方法中还包括一上行数据传输方法，所述上行数据传输方法具体包括：步骤Sa1、采用无线终端发送一请求认证报文；步骤Sa2、采用远程连接所述无线终端的无线访问控制模块接收所述请求认证报文并判断所述无线终端是否已通过认证：若判断结果为是，则所述无线访问控制模块放行所述请求认证报文以完成重定向；若判断结果为否，则转步骤Sa3；步骤Sa3、所述无线访问控制模块查找所述重定向查找表中是否存在有所述数组元素包括所述请求认证报文的源地址和源网络端口：若判断结果为是，则转步骤Sa4；若判断结果为否，则所述无线访问控制模块将所述请求认证报文的源地址和源网络端口形成的所述数组元素记录到所述重定向查找表中，以及将所述请求认证报文的目的地址和目的网络端口形成的所述数组元素记录到所述重定向查找表中；步骤Sa4、所述无线访问控制模块更新所述重定向查找表，随后将所述请求认证报文的目的地址更改为所述无线访问控制模块的网络地址，以及将所述请求认证报文的目的端口更改为所述无线访问控制模块的portal监听端口，随后放行所述请求认证报文以完成重定向。优选的，所述步骤Sa3中，所述无线访问控制模块将所述请求认证报文的源地址和源网络端口形成的所述数组元素记录到所述重定向查找表中，以及将所述请求认证报文的目的地址和目的网络端口形成的所述数组元素记录到所述重定向查找表中后，启动一定时器。优选的，所述步骤Sa4中，所述无线访问控制模块更新所述重定向查找表后，重设所述定时器，随后将所述请求认证报文的目的地址更改为所述无线访问控制模块的网络地址，以及将所述请求认证报文的目的端口更改为所述无线访问控制模块的portal监听端口，随后放行所述请求认证报文以完成重定向。优选的，所述步骤Sa4中，在放行所述请求认证报文之前，所述无线访问控制模块还对所述请求认证报文执行报文验证操作，并在所述请求认证报文通过验证后再放行所述请求认证报文。优选的，在执行所述步骤Sa4后，所述无线访问控制模块将所述请求认证报文发送至远程连接的一Portal服务器进行报文认证；所述Portal服务器在接收所述请求认证报文后经过认证并向所述无线访问控制模块反馈一对应的认证报文。优选的，还包括一下行数据发送方法；所述下行数据发送方法具体包括：步骤Sb1、所述无线访问控制模块接收所述Portal服务器下发的所述认证报文；步骤Sb2、所述无线访问控制模块反向查找所述重定向查找表并判断所述重定向查找表中是否存在有所述数组元素包括所述认证报文的目的地址和目的网络端口：若判断结果为是，则所述无线访问控制模块根据所述重定向表中查找得到的所述数组元素，将所述认证报文的源地址修改为所述数组元素中的所述网络地址，以及将所述认证报文的源网络端口修改为所述数组元素中的所述网络端口，以完成重定向；若判断结果为否，则所述无线访问控制模块放行所述认证报文以完成重定向。优选的，在放行所述认证报文之前，所述无线访问控制模块还对所述认证报文执行报文验证操作，并在所述认证报文通过验证后再放行所述认证报文。优选的，所述无线访问控制模块为无线访问控制器。本专利技术的有益效果是：通过配置一定规则配合第三方的工具作为无线访问控制模块来针对ipv6进行特殊配置处理，无线访问控制模块与内核模块耦合度很低，无论内核版本如何演进，无线访问控制模块都可以适配；无线访问控制模块可以灵活配置有关ipv6业务相关功能，无线访问控制模块完全独立开发实现，灵活度比较高，不依赖任何第三方软件和工具，能够满足多用户同时查表时，转发性能不下降且减少HASH冲突。附图说明图1为本专利技术的一种优选实施例中，上行数据发送方法的流程图；图2为本专利技术的一种优选实施例中，下行数据发送方法的流程图。具体实施方式需要说明的是，在不冲突的情况下，下述技术方案，技术特征之间可以相互组合。下面结合附图对本专利技术的具体实施方式作进一步的说明：如图1所示，一种基于Linux系统的ipv6报文重定向方法，预先设定一重定向查找表，上述重定向查找表中包括多个数组元素，每个上述数组元素中包括一个网络地址以及对应的一个网络端口；上述ipv6报文重定向方法中还包括一上行数据传输方法，上述上行数据传输方法具体包括：步骤Sa1、采用无线终端发送一请求认证报文；步骤Sa2、采用远程连接上述无线终端的无线访问控制模块接收上述请求认证报文并判断上述无线终端是否已通过认证：若判断结果为是，则上述无线访问控制模块放行上述请求认证报文以完成重定向；若判断结果为否，则转步骤Sa3；步骤Sa3、上述无线访问控制模块查找上述重定向查找表中是否存在有上述数组元素包括上述请求认证报文的源地址和源网络端口：若判断结果为是，则转步骤Sa4；若判断结果为否，则上述无线访问控制模块将上述请求认证报文的源地址和源网络端口形成的上述数组元素记录到上述重定向查找表中，以及将上述请求认证报文的目的地址和目的网络端口形成的上述数组元素记录到上述重定向查找表中；步骤Sa4、上述无线访问控制模块更新上述重定向查找表，随后将上述请求认证报文的目的地址更改为上述无线访问控制模块的网络地址，以及将上述请求认证报文的目的端口更改为上述无线访问控制模块的portal监听端口，随后放行上述请求认证报文以完成重定向。在本实施例中，无线访问控制模块收到无线终端ipv6http报文(请求认证报文)，判定认证状态，已认证，放行。未认证，则继续下一步；未认证的ipv6报文，用源IP和源网络端本文档来自技高网...

【技术保护点】
一种基于Linux系统的ipv6报文重定向方法，其特征在于，预先设定一重定向查找表，所述重定向查找表中包括多个数组元素，每个所述数组元素中包括一个网络地址以及对应的一个网络端口；所述ipv6报文重定向方法中还包括一上行数据传输方法，所述上行数据传输方法具体包括：步骤Sa1、采用无线终端发送一请求认证报文；步骤Sa2、采用远程连接所述无线终端的无线访问控制模块接收所述请求认证报文并判断所述无线终端是否已通过认证：若判断结果为是，则所述无线访问控制模块放行所述请求认证报文以完成重定向；若判断结果为否，则转步骤Sa3；步骤Sa3、所述无线访问控制模块查找所述重定向查找表中是否存在有所述数组元素包括所述请求认证报文的源地址和源网络端口：若判断结果为是，则转步骤Sa4；若判断结果为否，则所述无线访问控制模块将所述请求认证报文的源地址和源网络端口形成的所述数组元素记录到所述重定向查找表中，以及将所述请求认证报文的目的地址和目的网络端口形成的所述数组元素记录到所述重定向查找表中；步骤Sa4、所述无线访问控制模块更新所述重定向查找表，随后将所述请求认证报文的目的地址更改为所述无线访问控制模块的网络地址，以及将所述请求认证报文的目的端口更改为所述无线访问控制模块的portal监听端口，随后放行所述请求认证报文以完成重定向。...

【技术特征摘要】
1.一种基于Linux系统的ipv6报文重定向方法，其特征在于，预先设定一重定向查找表，所述重定向查找表中包括多个数组元素，每个所述数组元素中包括一个网络地址以及对应的一个网络端口；所述ipv6报文重定向方法中还包括一上行数据传输方法，所述上行数据传输方法具体包括：步骤Sa1、采用无线终端发送一请求认证报文；步骤Sa2、采用远程连接所述无线终端的无线访问控制模块接收所述请求认证报文并判断所述无线终端是否已通过认证：若判断结果为是，则所述无线访问控制模块放行所述请求认证报文以完成重定向；若判断结果为否，则转步骤Sa3；步骤Sa3、所述无线访问控制模块查找所述重定向查找表中是否存在有所述数组元素包括所述请求认证报文的源地址和源网络端口：若判断结果为是，则转步骤Sa4；若判断结果为否，则所述无线访问控制模块将所述请求认证报文的源地址和源网络端口形成的所述数组元素记录到所述重定向查找表中，以及将所述请求认证报文的目的地址和目的网络端口形成的所述数组元素记录到所述重定向查找表中；步骤Sa4、所述无线访问控制模块更新所述重定向查找表，随后将所述请求认证报文的目的地址更改为所述无线访问控制模块的网络地址，以及将所述请求认证报文的目的端口更改为所述无线访问控制模块的portal监听端口，随后放行所述请求认证报文以完成重定向。2.根据权利要求1所述的ipv6报文重定向方法，其特征在于，所述步骤Sa4中，在放行所述请求认证报文之前，所述无线访问控制模块还对所述请求认证报...

【专利技术属性】
技术研发人员：郝东东，
申请(专利权)人：上海寰创通信科技股份有限公司，
类型：发明
国别省市：上海;31