一种AC+AP模式的旁路认证方法及系统技术方案

本发明专利技术公开了一种AC+AP模式的旁路认证方法及系统，属于通信领域，在AC端内部设置第一认证模式，在AP端设置第二认证模式，开启所述第一认证模式，则运行第二认证模式，并让所述第一认证模式处于认证准备状态；所述AP端接收终端的认证探测报文并通过所述第二认证模式对认证探测报文进行第二认证；所述AC端通过虚拟interface接口接收在所述第二认证模式下认证通过的认证探测报文，并解除第一认证模式的认证准备状态，开启第一认证；所述第一认证结束后完成旁路认证过程。本发明专利技术通过AC+AP共同完成认证，避免了WIFI认证模块不能使用的情况，可以在旁路模式下正常使用认证功能，不用新增认证服务器，减少了部署成本和管理成本，在AC端即可完成所用管理。在AC端即可完成所用管理。在AC端即可完成所用管理。

【技术实现步骤摘要】
一种AC+AP模式的旁路认证方法及系统


[0001]本专利技术涉及通信领域，尤其涉及一种AC+AP模式的旁路认证方法及系统。

技术介绍

[0002]在实际的网络部署环境中，存在AC旁路部署的情况，即AC控制器只参与AP的控制，不参与数据转发。在当前情况下，AC控制器上的WIFI认证功能因为不参与数据转发，从而WIFI认证功不能使用，只能增加一个认证服务器来实现WIFI认证的功能。原来的WIFI认证是依靠AC控制器上内核的NETFILTER模块，利用NETFILTER模块的NAT功能实现数据的重定向，从而达到重定向页面，实现认证功能的作用。
[0003]在AC旁路部署的情况下，由于AC不参与数据转发，获取不到认证所需的数据，认证功能也就不能生效，要使用认证功能只能添加一个认证服务器在网络系统中。

技术实现思路

[0004]本专利技术的目的在于克服现有技术中在旁路部署模式下，无线访问控制器不参与流量转发，导致无线访问控制器提供的WIFI认证功能不能使用的情况，提供了一种AC+AP模式的旁路认证方法及系统。
[0005]本专利技术的目的是通过以下技术方案来实现的：主要提供一种AC+AP模式的旁路认证方法,所述方法包括：在AC端内部设置第一认证模式，在AP端设置第二认证模式；开启所述第一认证模式，则运行第二认证模式，并让所述第一认证模式处于认证准备状态；所述认证准备状态为AC端通过内置的虚拟interface接口对AP端进行数据监听，等待接收AP端发来的报文；所述AP端接收终端发来的认证探测报文并通过所述第二认证模式对认证探测报文进行第二认证；所述AC端通过虚拟interface接口接收在所述第二认证模式下认证通过的认证探测报文，并解除第一认证模式的认证准备状态，开启第一认证；所述第一认证结束后完成旁路认证过程。
[0006]提供一种AC+AP模式的旁路认证方法,所述方法包括：AC端开启认证，同时下发认证开启的消息给AP端，并通过虚拟interface接口监听AP端转发的认证探测报文；AC端判断所述认证探测报文是否需要认证，若不需要认证，直接返回所述终端的IP地址给AP端，并让所述AP端放行所述终端的数据；若需要认证，则判断需要进行的认证类型；AC端根据所述认证类型向所述终端发送认证页面；AC端根据所述终端在认证页面输入的情况，判断是否认证成功，若认证成功，所述AC端记录终端的IP地址，并将所述终端的IP地址发送给AP端，同时让所述AP端放行所述终
端的数据。
[0007]提供一种AC+AP模式的旁路认证方法,所述方法包括：AP端接收AC端下发的认证开启的消息，开启认证；AP端接收终端发送来的认证探测报文，并判断当前认证探测报文是否需要认证，若不需要认证，则放行所述终端的数据；若需要认证，则将所述认证探测报文重定向到AC端的虚拟interface接口进行认证；若认证成功，则所述AP端接收终端的IP地址，并放行所述终端的数据。
[0008]作为一选项，一种AC+AP模式的旁路认证方法,所述AC端判断所述认证探测报文是否需要认证，包括：所述AC端配置认证的地址范围，若所述认证探测报文的IP地址在配置的地址范围内，则需要进行认证，否则不需要认证。
[0009]作为一选项，一种AC+AP模式的旁路认证方法,所述虚拟interface接口的IP地址为192.168.239.11，并针对HTTP和HTTPS绑定不同的端口来处理数据：所述HTTP绑定2060端口，所述HTTPS绑定8443端口。
[0010]作为一选项，一种AC+AP模式的旁路认证方法,所述AP端判断当前认证探测报文是否需要认证，包括：在AP端创建一个以IP地址为索引的hash表，将所述认证探测报文携带的源IP地址与所述hash表中的IP地址做匹配，匹配通过则需要认证，否则不需要认证。
[0011]作为一选项，一种AC+AP模式的旁路认证方法,所述将所述认证探测报文重定向到AC端的虚拟interface接口进行认证，包括：AP端修改匹配通过的认证探测报文的目的IP地址和端口号，并将修改后的认证探测报发送给AC端：80端口的HTTP数据修改为目的IP 192.168.239.11，端口号修改为2060，443端口的HTTPS数据修改目的IP为192.168.239.11，端口号修改为8443。
[0012]本专利技术还提供一种AC+AP模式的旁路认证系统，所述系统包括AC端、AP端、终端、三层交换机以及出口路由器，所述AC端通过LAN口连接三层交换机，所述AP端通过上联口连接到三层交换机；所述三层交换机还与所述出口路由器连接；所述AC端内部设有一个单独使用的虚拟interface接口，并通过所述虚拟interface接口监听AP端转发的认证探测报文；所述AC端还包括一个认证开关；所述AP端设有一个认证模块，所述认证模块与所述虚拟interface接口连接。
[0013]作为一选项，一种AC+AP模式的旁路认证系统，所述认证模块中包括一个以IP地址为索引的hash表。
[0014]作为一选项，一种AC+AP模式的旁路认证系统，所述三层交换机通过划分VLAN来区分终端上网数据和需要认证的数据，所述AP端的IP地址由AC端分配，所述终端的IP地址由所述三层交换机分配。
[0015]需要进一步说明的是，上述各选项对应的技术特征可以相互组合或替换构成新的技术方案。
[0016]与现有技术相比，本专利技术有益效果是：
（1）本专利技术分别在AC端和AP端部署认证模式，通过AC+AP共同完成认证，避免了WIFI认证模块不能使用的情况，可以在旁路模式下正常使用认证功能，不用新增认证服务器，减少了部署成本和管理成本，在AC端即可完成所用管理。
[0017]（2）AC端增加的是虚拟interface接口，通过虚拟interface接口的IP地址和端口绑定为一个类似认证服务器的机构，不涉及到AC端上的VLAN配置。
[0018]（3）通过IP地址范围来判断是否需要认证，不依赖VLAN；认证成功后直接把终端IP地址发送给AP端，AP端直接使用该IP地址就可以进行行对终端数据的放行，较传统认证方法更为简单有效。
[0019]（4）增加了对HTTPS的处理，利用监听端口的方式，可以同时处理80和443端口的数据，修改报文的目的IP和端口，不涉及到报文实际内容的修改，就不会存在HTTPS报文无法处理的情况，有更好的兼容性。
附图说明
[0020]图1为本专利技术一种AC+AP模式的旁路认证方法的流程图；图2为本专利技术一种AC+AP模式的旁路认证系统示意图。
具体实施方式
[0021]下面结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0022]此外，下面所描述的本专利技术不同实施方式中所涉及的技本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种AC+AP模式的旁路认证方法,其特征在于，所述方法包括：在AC端内部设置第一认证模式，在AP端设置第二认证模式；开启所述第一认证模式，则运行第二认证模式，并让所述第一认证模式处于认证准备状态；所述认证准备状态为AC端通过内置的虚拟interface接口对AP端进行数据监听，等待接收AP端发来的报文；所述AP端接收终端发来的认证探测报文并通过所述第二认证模式对认证探测报文进行第二认证；所述AC端通过虚拟interface接口接收在所述第二认证模式下认证通过的认证探测报文，并解除第一认证模式的认证准备状态，开启第一认证；所述第一认证结束后完成旁路认证过程。2.一种AC+AP模式的旁路认证方法,其特征在于，所述方法包括：AC端开启认证，同时下发认证开启的消息给AP端，并通过虚拟interface接口监听AP端转发的认证探测报文；AC端判断所述认证探测报文是否需要认证，若不需要认证，直接返回所述终端的IP地址给AP端，并让所述AP端放行所述终端的数据；若需要认证，则判断需要进行的认证类型；AC端根据所述认证类型向所述终端发送认证页面；AC端根据所述终端在认证页面输入的情况，判断是否认证成功，若认证成功，所述AC端记录终端的IP地址，并将所述终端的IP地址发送给AP端，同时让所述AP端放行所述终端的数据。3.一种AC+AP模式的旁路认证方法,其特征在于，所述方法包括：AP端接收AC端下发的认证开启的消息，开启认证；AP端接收终端发送来的认证探测报文，并判断当前认证探测报文是否需要认证，若不需要认证，则放行所述终端的数据；若需要认证，则将所述认证探测报文重定向到AC端的虚拟interface接口进行认证；若认证成功，则所述AP端接收终端的IP地址，并放行所述终端的数据。4.根据权利要求2所述的一种AC+AP模式的旁路认证方法,其特征在于，所述AC端判断所述认证探测报文是否需要认证，包括：所述AC端配置认证的地址范围，若所述认证探测报文的IP地址在配置的地址范围内，则需要进行认证，否则不需要认证。5.根据权利要求2所述的一...

【专利技术属性】
技术研发人员：吴梦非，杨涛，郭立，彭琮，赵品富，肖雯，
申请(专利权)人：武汉思创易控科技有限公司，
类型：发明
国别省市：