本申请提供一种网络装置和方法,用于包括无线控制器AC和接入点AP的无线网络中,所述网络装置对收到的用户的第一报文进行检测其是否通过Portal认证,针对未通过认证的用户的MAC地址,将其MAC地址添加到第一VLAN的表项内,针对已通过认证的用户的MAC地址,将其MAC添加在第二VLAN的表项内;检查收到的所述用户报文的MAC地址所属的VLAN信息,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项。通过使用该方法,可以实现无线网络中集中认证本地转发的功效,用户设备无需改动配合,而控制装置的改动也很小,兼容性良好。
【技术实现步骤摘要】
一种集中认证本地转发的方法及控制装置
本申请涉及无线网络技术,尤其是涉及在无线网络中实现集中认证本地转发的方法及装置。
技术介绍
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。本地转发是指AC+FITAP架构的无线网络组网情况而言,用户的管理和控制帧,如802.11管理、控制报文和802.1x协议报文等,通过CAPWAP隧道传递给AC集中处理,以实现用户的认证、授权等,用户流量信息也通过CAPWAP隧道以管理帧的方式通报给AC,以实现计费、负载均衡等应用。用户的数据帧,包括802.11数据和来自有线的802.3数据报文,在AP本地进行解析、封装等处理,并直接由AP进行转发,实现数据的高速处理。本地转发对于部署WIFI意义重大,由于转发走AP,因此对于一台AC控制多大几百台AP部署成为可能。
技术实现思路
有鉴于此,本申请提供一种控制装置,用于包括无线控制器和AP的无线网络中,所述装置包括:安全认证模块,用于对收到的用户的第一报文进行检测其是否通过Portal认证;分配模块,针对未通过认证的用户的MAC地址,将其MAC地址添加到第一VLAN的表项内,针对已通过认证的用户的MAC地址,将其MAC添加在第二VLAN的表项内;处理模块,检查收到的所述用户报文的MAC地址所属的VLAN信息,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项。所述处理模块进一步用于检查收到的所述用户的第二报文的MAC地址所属的VLAN信息,如果是第一VLAN,则将其重定向至Portal服务器进行认证。所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表;所述第二VLAN的表项至少包括MAC+VLAN+端口转发表项。所述认证模块进一步用于在用户通过Portal认证后,删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表,并通知AP解除与所述用户的关联,以促使用户重新发起关联。本申请还提供一种集中认证本地转发的方法,所述方法应用于包括AC和AP的无线网络中,所述方法包括:对收到的用户的第一报文中的MAC地址进行检查起是否通过portal认证;针对未通过认证的用户的MAC地址,将其MAC地址添加到第一VLAN的表项内,针对已经通过认证的用户的MAC地址,将其地址添加到第二VLAN表项内;检查所述收到用户的报文携带的MAC地址所属的VLAN,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项;收到用户的第二报文,检查其MAC地址所属的VLAN信息,如果是第一VLAN,则将其重定向至Portal服务器进行认证。其中,所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表;所述第二VLAN的表项至少包括MAC+VLAN+端口转发表项。收到用户认证成功消息后,删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表,并通知AP解除与所述用户的关联,以促使用户重新发起关联。本方案利用了未通过认证的MAC地址添加到VLAN1中,通过认证的MAC地址则添加到VLAN2中的方法,实现了无线用户的Portal认证,并在认证成功后可以走AP本地转发,该技术方案对用户来说,完全无需改动,对网络设备来说,改动也很小,兼容性强。附图说明图1是本申请的装置的硬件示意图。图2是本申请的方法的流程图。图3是本申请的一个实施方式的流程图。具体实施方式在本地转发场景下,由于AP和AC之间为三层组网,Portal认证的HTTP报文为二层认证报文,不能通过三层转发,所以,Portal接入控制点无法部署在AC上,后续有厂家提出了集中认证本地转发的解决方案,用户使用Portal认证方式发送的报文都经过CAPWAP封装,发送给AC,实现由AC统一认证的功能,但由于采用CAPWAP隧道方式转发,而CAPWAP隧道带宽的限制,会直接影响用户的网络信息传输速率,产生数据传输延迟,导致用户体验变差。本申请提供一种实现集中认证本地转发的控制装置很好的解决了上述问题,所述控制装置用于包括AC和AP的无线网络中,如图1所示,该装置的基本硬件环境包括CPU、内存、非易失性存储器以及其他硬件,在逻辑上包括:安全认证模块,分配模块和处理模块,这些模块实际上为计算机程序模块由CPU加载至内存调用而形成的。请一并参考图2,所述装置在计算机调用时执行以下流程:步骤21安全认证模块对收到的用户报文中的MAC地址进行检查起是否通过portal认证。步骤22分配模块针对未通过认证的用户的MAC地址,将其MAC地址添加到第一VLAN的表项内,针对已经通过认证的用户的MAC地址,将其地址添加到第二VLAN表项内。步骤23处理模块检查所述收到用户的报文携带的MAC地址所属的VLAN,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项。其中,第一VLAN为集中转发VLAN,第二VLAN为本地转发VLAN,一般在集中转发VLAN上会配置Portal认证,即属于该VLAN的所有用户需要被强制进行PORTAL认证。在实际使用中,利用无线的集中认证本地转发的实现Portal认证的方案很多,但大多数方案对现有流程更改的地方很大,而本申请提供的技术方案在改动很小的基础上能够实现集中认证本地转发的良好效果。在本申请的一个实施例中,请参考图3,本实施例中的集中转发VLAN为VLAN1,本地转发VLAN为VLAN2。31)用户发送关联请求报文,AC报文携带的MAC地址进行MAC地址认证检查,检测该MAC地址没有通过Portal认证,将其加入集中转发VLAN1中。用户通过指定SSID选择无线网络,通过AP链路认证后,会向AP发送关联请求,AC收到AP转发过来的用户的关联请求报文,AC的安全认证模块对报文携带的MAC地址进行MAC地址认证,检测该MAC地址没有通过Portal认证。AC针对未通过认证的用户,将其MAC添加到的VLAN表项包括用户MAC+VLAN1的记录表和用户MAC+VLAN1+端口的转发表,所述用户MAC+VLAN的记录表用来查找转发表,因为在实际使用中,用户的MAC地址可能在转发表中对应多个VLAN,所以需要根据MAC+VLAN来确定唯一的转发表。AC针对通过认证的用户将其MAC添加到的VLAN表项至少包括用户MAC+VLAN2+端口的转发表,用户MAC+VLAN记录表在多个用户使用同一个本地转发VLAN转发的情况下,可以省略,在多个用户各自使用各自的本地转发VLAN转发时存在,并且,所述用户MAC+VLAN2+端口的转发表需要被下发到AP上,因此,在AC本地该表项虽然被下发但是在硬件中并不生效,后续用户的报文都走AP本地转发,其实施方式与现有技术相同,在此就不再赘述了。根据安全认证模块的检测结果,所述分配模块将没有通过认证的用户的MAC地址加到MAC+Vlan1的记录表中,后续强制用户在该V本文档来自技高网...
【技术保护点】
一种控制装置,用于包括无线控制器AC和接入点AP的无线网络中,其特征在于,所述装置包括:安全认证模块,用于对收到的用户的第一报文进行检测其是否通过Portal认证;分配模块,针对未通过认证的用户,将其MAC地址添加到第一VLAN的表项内,针对已通过认证的用户,将其MAC添加在第二VLAN的表项内;处理模块,检查收到的所述用户报文的MAC地址所属的VLAN信息,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项,其中,所述第一VLAN为集中转发VLAN,所述第二VLAN为本地转发VLAN。
【技术特征摘要】
1.一种控制装置,用于包括无线控制器AC和接入点AP的无线网络中,其特征在于,所述装置包括:安全认证模块,用于对收到的用户的第一报文进行检测其是否通过Portal认证;分配模块,针对关联AP时未通过认证的用户,将其MAC地址添加到第一VLAN的表项内,针对关联AP时已通过认证的用户,将其MAC添加在第二VLAN的表项内;处理模块,检查收到的所述用户报文的MAC地址所属的VLAN信息,如果是第一VLAN,不下发转发表,如果是第二VLAN,则向其关联的AP下发转发表项,其中,所述第一VLAN为集中转发VLAN,所述第二VLAN为本地转发VLAN;所述安全认证模块进一步用于在用户通过Portal认证后,通知AP解除与所述用户的关联,以促使用户重新发起关联。2.如权利要求1所述的装置,其特征在于,所述处理模块进一步用于检查收到的所述用户的第二报文的MAC地址所属的VLAN信息,如果是集中转发VLAN,则将其重定向至Portal服务器进行认证。3.如权利要求1所述的装置,其特征在于,所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表;所述第二VLAN的表项至少包括MAC+VLAN+端口转发表项。4.如权利要求1所述的装置,其特征在于,所述认证模块进一步用于在用户通过Portal认证后,删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表。5.一种集中认证本地转发的...
【专利技术属性】
技术研发人员:徐勇刚,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。