CN103118064A - 一种Portal集中认证的方法和装置 - Google Patents
一种Portal集中认证的方法和装置 Download PDFInfo
- Publication number
- CN103118064A CN103118064A CN2012104828074A CN201210482807A CN103118064A CN 103118064 A CN103118064 A CN 103118064A CN 2012104828074 A CN2012104828074 A CN 2012104828074A CN 201210482807 A CN201210482807 A CN 201210482807A CN 103118064 A CN103118064 A CN 103118064A
- Authority
- CN
- China
- Prior art keywords
- sta
- fit
- address
- authentication
- portal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种Portal集中认证的方法和装置,利用Fit AP基于流的转发模式,当STA认证未通过时,给该未认证的STA分配私网IP地址,并缺省采用集中转发模式,把所有的用户数据集中发送到AC处理,AC相应接口上使能Portal认证,按照正常的Portal流程处理。在STA的Portal认证通过后,AC通过CAPWAP隧道下发该认证后的STA的MAC地址,并下发指令给Fit AP开启针对该STA的本地转发功能,同时,下发指令给Fit AP断开该STA之前的无线连接,由该STA重新发起DHCP请求获取公网IP地址。通过本发明,不仅可以实现在现有WLAN网络中当存在Fit AP本地转发情形下的AC集中Portal认证问题,而且同时解决Portal用户认证前占用公网IP地址的问题。
Description
技术领域
本发明涉及WLAN(无线局域网)技术领域,特别涉及一种在WLAN网络中存在Fit AP本地转发情形时进行Portal集中认证的方法和装置。
背景技术
在目前的WLAN无线网络中,集中式无线局域网由于其管理性强和适用于大规模部署的优点得到越来越广泛的应用。在集中式无线局域网中,AC与Fit AP之间可以通过专有的协议隧道进行连接,常用的是无线接入点控制与供应(CAPWAP,Controlling and Provisioning of Wireless Access Point)协议,通过CAPWAP隧道可以进行Fit AP和AC之间数据的传输和配置管理。
在传统的集中式无线局域网中,Portal认证通过AC发送至Portal服务器进行,在用户Portal认证通过后,由AC进行该用户的移动终端(STA)的数据转发,集中式无线局域网的现有认证架构如图1所示。
但随着无线通信技术的不断发展,AC的性能已经逐渐无法满足各FitAP下的用户数据转发的需求。在此背景下,Fit AP本地转发技术应运而生,即AP和STA仍通过CAPWAP隧道由AC进行管理,但STA的数据则通过与其连接的Fit AP进行转发,不再通过CAPWAP隧道集中由AC进行转发。
然而,Portal认证是基于Web的一种认证技术,没有客户端,用户在Portal认证过程中与Portal服务器间的交互报文对Fit AP来说,都是数据报文,Fit AP无法将用户的认证报文区分出来并单独通过CAPWAP隧道发送给AC。在此情形下如果要实现用户的Portal认证,需要在与Fit AP二层可达的地方额外增设Portal服务器,如图2所示。如此会导致组网成本增加,增加了网络设备使用者的负担;另外,现有技术在用户未经过Portal认证前就分配出本地转发的公网IP地址,当用户认证不成功时也会导致公网IP地址资源的浪费。
发明内容
有鉴于此,本发明提供了一种Portal集中认证的方法、***和装置。采用本发明,不仅可以实现现有在WLAN网络中当存在Fit AP本地转发情形下通过AC进行Portal集中认证的问题,而且同时解决用户Portal集中认证前占用公网IP地址的问题。
本发明目的是通过如下方案来实现的:
一种无线网络中的入口Portal认证方法,所述方法应用于存在有Fit AP本地转发的WLAN网络中,所述WLAN网络中包括有AC、Fit AP、STA、DHCP服务器以及Portal认证服务器,所述方法包括如下步骤:
步骤301:在STA与Fit AP关联成功后,所述STA状态为未认证,该STA所有流量经AC转发,且STA从DHCP服务器上获取私网IP地址;
步骤302:当STA发起任意的http访问请求后,AC强制STA到Portal服务器上进行Portal认证;
步骤303:如果认证通过,AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能,同时,AC通过CAPWAP下发指令给AP,断开该STA之前建立的无线关联,STA通过AP本地转发,从本地DHCP服务器上重新获取公网IP地址。
进一步地,所述STA在步骤303中获取公网IP地址后,AC通过CAPWAP隧道接收来自Fit AP发送过来的STA的公网IP地址,且所述AC进一步通知Portal服务器将该STA的IP地址变更。
进一步地,AC获知该STA退出认证后,删除该在线STA,并通过CAPWAP隧道发送配置消息指示Fit AP关闭针对该STA的本地转发功能,随后,该STA的所有数据报文将仍然通过AC集中转发。
进一步地,步骤301具体为:
所述STA与Fit AP关联成功后,向Fit AP发送动态主机配置协议DHCP请求报文;
FIT AP在接收到该STA的DHCP请求报文后,首先对该STA的MAC地址进行“未认证”标记,并将所述DHCP请求报文通过CAPWAP隧道发送给所述AC;
AC接收到DHCP请求报文后,发现该STA的MAC地址打有“未认证”标记,将该DHCP请求报文转发至与其连接的用以分配私网IP地址的DHCP服务器;
所述AC将所述DHCP服务器返回的所述STA的私网IP地址通过CAPWAP隧道发送给所述Fit AP,再进一步由Fit AP发送给STA。
进一步地,步骤303具体为:
AC接收到来自Portal服务器的认证成功的响应后,AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能;
AC通过CAPWAP进一步下发指令给Fit AP,断开该STA之前建立的无线关联;
STA在发现之前建立的无线关联被断开后,AC再次连接该AP,并发起DHCP请求,Fit AP发现该STA的MAC地址打有“已认证”标记,所述Fit AP对该DHCP请求进行本地转发,从本地DHCP服务器上重新获取公网IP地址,STA的所有数据报文不再经CAPWAP送到AC。
进一步地,AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能具体是通过向Fit AP发送开启针对该STA的本地转发功能的配置消息来实现,其中,AC向Fit AP发送的配置消息中可以包括该STA的MAC地址、该STA在后续的Fit AP本地转发时使用的网关IP地址、本地转发的VLAN编号以及该用户的限速策略信息。
进一步地,FIT AP在接收到所述AC发过来的开启针对该STA的本地转发功能的配置信息后,针对该STA的MAC地址使能本地转发功能。
本发明同时提供一种Portal集中认证***,所述***中存在Fit AP本地转发的情形,所述***包括有AC、Fit AP、STA、DHCP服务器以及Portal认证服务器,其中,
Fit AP,在所述STA关联成功但未认证时,将接收到的STA的认证请求通过CAPWAP隧道发送给AC;并在所述STA认证通过后,接收来自AC的开启针对该STA的本地转发功能的指示,开启针对STA的本地转发功能;在接收到AC发送来的关闭针对该STA的本地转发功能的指示后,关闭针对STA的本地转发功能;
AC,用于将接收到的认证请求发送给Portal服务器,在获知Portal服务器针对STA的认证成功后,通过CAPWAP隧道向Fit AP发送认证通过的STA的MAC地址,并发送开启针对该STA的本地转发功能的指示;在获知STA退出认证后,删除该在线STA,通过CAPWAP隧道向Fit AP发送关闭针对该STA的本地转发功能的指示,该STA的所有数据报文将仍然通过AC集中转发;
DHCP服务器,在STA的Portal认证通过前,依所述STA的DHCP请求为该STA分配私网IP地址;在该STA的Portal认证通过后,分配给该通过认证的STA公网IP地址;
Portal服务器,用于接收到认证请求后,对STA进行认证,并在所述STA获取公网IP地址后,接收来自AC转发过来的该STA的公网IP地址并对原先该STA的IP地址进行变更。
进一步地,所述STA在认证通过后,AC还将通过CAPWAP下发指令给AP,断开该STA之前建立的无线关联,随后,STA发起DHCP请求,通过FitAP本地转发,从本地DHCP服务器上重新获取公网IP地址。
进一步地,所述AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能,具体是通过:
向Fit AP发送开启针对该STA的本地转发功能的配置消息来实现,其中,AC向Fit AP发送的配置消息中可以包括该STA的MAC地址、该STA在后续的Fit AP本地转发时使用的网关IP地址、本地转发的VLAN编号以及该用户的限速策略信息。
进一步地,FIT AP在接收到所述AC发过来的开启针对该STA的本地转发功能的配置信息后,针对该STA的MAC地址使能本地转发功能。
进一步地,所述STA获取私网IP地址,具体为:
所述STA与Fit AP关联成功后,向Fit AP发送动态主机配置协议DHCP请求报文;
FIT AP在接收到该STA的DHCP请求报文后,首先对该STA的MAC地址进行“未认证”标记,并将所述DHCP请求报文通过CAPWAP隧道发送给所述AC;
AC接收到DHCP请求报文后,发现该STA的MAC地址打有“未认证”标记,将该DHCP请求报文转发至与其连接的用以分配私网IP地址的DHCP服务器;
所述AC将所述DHCP服务器返回的所述STA的私网IP地址通过CAPWAP隧道发送给所述Fit AP,再进一步由Fit AP发送给STA。
本发明还提供一种Portal集中认证的装置,应用于存在有Fit AP本地转发的WLAN网络中,所述WLAN网络中包括有AC、Fit AP、STA、DHCP服务器以及Portal认证服务器,所述装置为AC,包括:报文收发单元、指示单元以及DHCP报文转发单元,其中:
报文收发单元,用于通过CAPWAP隧道接收到AP发送来的STA的认证请求后,将该认证请求发送给Portal服务器,并在STA认证通过后,接收来自FitAP发送来的该STA的公网IP地址;
指示单元,用于在获知STA认证通过后,通过CAPWAP隧道向Fit AP认证通过的STA的MAC地址,并发送开启针对该STA的本地转发功能的指示,在获知STA退出后,通过CAPWAP隧道向AP发送关闭针对STA的本地转发功能;
DHCP报文转发单元,用于在STA的Portal认证通过前,接收所述STA的DHCP请求并将之转发至私有IP地址的DHCP服务器,并将该DHCP服务器分配的私网IP地址转发给STA;在该STA的Portal认证通过后,将报文收发单元接收的该通过认证的STA公网IP地址转发给DHCP服务器对原先该STA的IP地址进行变更。
进一步地,所述指示单元通过CAPWAP隧道向Fit AP发送开启针对该STA的本地转发功能的指示,具体是通过:
向Fit AP发送开启针对该STA的本地转发功能的配置消息来实现,其中,AC向Fit AP发送的配置消息中可以包括该STA的MAC地址、该STA在后续的Fit AP本地转发时使用的网关IP地址、本地转发的VLAN编号以及该用户的限速策略信息。
进一步地,所述指示单元在所述STA认证通过后,进一步向Fit AP发送断开该STA无线连接的指示,所述STA在发现之前建立的无线关联被断开后,再次发起DHCP请求,Fit AP发现该STA的MAC地址打有“已认证”标记,所述Fit AP对该DHCP请求进行本地转发,从本地DHCP服务器上重新获取公网IP地址。
与现有的技术相比较,本发明通过利用现有WLAN网络中Fit AP基于流的转发模式,当用户认证未通过时,缺省采用集中转发模式,把所有的用户数据集中送到AC处理,AC相应接口上使能Portal认证,按照正常的Portal流程处理。用户在AC上Portal认证通过后,AC通过CAPWAP隧道下发指令到Fit AP,由AP控制对该用户采用本地转发方式。通过本发明,不仅可以实现在现有WLAN网络中当存在Fit AP本地转发情形下的AC集中Portal认证问题,而且同时解决Portal用户认证前占用公网IP地址的问题。
附图说明
图1为集中式无线组网的现有认证架构图。
图2为现有技术中AP本地转发情况下的认证架构图。
图3为本发明实施例提供的Portal集中认证方法流程图。
图4为本发明实施例提供的Portal集中认证详细实现方法流程图。
图5为本发明实施例提供的Portal集中认证装置示意图。
具体实施方式
为了实现本发明目的,本发明采用的核心思想为:利用现有WLAN网络中Fit AP基于流的转发模式,当STA认证未通过时,给该未认证的STA分配私网IP地址,并缺省采用集中转发模式,把所有的用户数据集中发送到AC处理,AC相应接口上使能Portal认证,按照正常的Portal流程处理。在STA的Portal认证通过后,AC通过CAPWAP隧道下发该认证后的STA的MAC地址,并下发指令给Fit AP开启针对该STA的本地转发功能,同时,下发指令给Fit AP断开该STA之前的无线连接,由该STA重新发起DHCP请求获取公网IP地址。通过本发明,不仅可以实现在现有WLAN网络中当存在Fit AP本地转发情形下的AC集中Portal认证问题,而且同时解决Portal用户认证前占用公网IP地址的问题。
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
如图3所示,为本发明所提供的Portal集中认证方法流程示意图。所述方法应用于存在有Fit AP本地转发的WLAN网络中,所述WLAN网络中包括有AC、Fit AP、STA、DHCP服务器以及Portal认证服务器。所述方法包括如下步骤:
步骤301:在STA与Fit AP关联成功后,所述STA状态为未认证,该STA所有流量经AC转发,且STA从DHCP服务器上获取私网IP地址。
当STA与Fit AP无线关联成功后,Fit AP会发现该STA没有任何IP地址设定,就会发送一个携带该STA的MAC地址的DHCP请求报文,该DHCP请求报文的源地址会为0.0.0.0,而目的地址则为255.255.255.255。
FIT AP在接收到该STA的DHCP请求报文后,首先对该STA的MAC地址进行“未认证”标记。在本发明实施例里,由于Fit AP在该STA认证通过前不会开启本地转发功能,因此,Fit AP会将STA发送来的所有报文都通过CAPWAP隧道发送给AC。在AC接收到DHCP请求报文后,对该DHCP请求报文进行DHCP中继(DHCP Relay)操作,转发至与其连接的外置DHCP服务器,用以分配该STA的私网IP地址。需要说明的是,当AC充当DHCP服务器时,则所述AC直接为所述STA分配私网IP地址。
DHCP服务器收到由AC转发过来的STA的DHCP请求报文,为该STA分配私网IP地址,并确定该STA在后续的AP本地转发时使用的用户网关IP地址,将这些IP地址信息发送给AC。AC收到DHCP转发过来的STA私网IP和用户网关IP地址后,仍通过AC的DHCP Relay功能将DHCP服务器回复的这些IP地址信息通过CAPWAP隧道发送给关联该STA的FitAP,再进一步由Fit AP发送给STA。
经过上述步骤后,STA便获取到DHCP分配的私网IP地址。并且,AC上会保存STA的私网IP地址和MAC地址之间对应关系的ARP表项。AP上会存储该STA的IP地址、MAC地址以及该STA对应的用户网关IP地址之间的对应关系。由于此私网IP地址只是在Portal认证过程中临时使用,较佳地,所述DHCP租约时间应设置为较短的周期,优选地,设置为30秒。
步骤302:当STA发起任意的http访问请求后,AC强制STA到Portal服务器上进行Portal认证,如果认证通过,进行步骤303,否则进行步骤305。
当STA发起任意的http访问请求后,由于该STA尚没有通过认证,FitAP接收到该HTTP请求报文后,仍会将该HTTP请求报文通过CAPWAP隧道发送至AC。AC收到Fit AP转发来的STA的http访问请求后,由于AC尚并不存在用户网关的MAC地址信息,因此,需要预先在该AC上配置该STA网关的ARP表项,即网关IP地址与MAC地址之间的对应关系。AC接收到Http请求报文后,将网关的MAC地址通过CAPWAP隧道发送给FitAP,再由Fit AP发送给STA。此时,Fit AP和STA都会存储该STA网关的ARP表项。同时,AC还伪造TCP协议报文向STA发送响应报文,告知需要进行Portal认证以及对应Portal服务器的IP地址。
接着,STA发送Portal认证请求,Fit AP通过CAPWAP隧道将认证请求发送给AC,由于该认证请求中的目的地址为Portal服务器的IP地址,AC在接收到认证请求后,根据其上存储ARP表项,找到STA与网关间的IP地址对应关系,完成该Portal认证请求报文中公私网IP地址的NAT转换,然后由AC将该Portal认证请求转发至向Portal服务器。
Portal服务器接收到STA的Portal认证请求后,对该用户进行认证,AC在获知Portal服务器针对该STA的认证成功后,进行步骤303,否则进行步骤305。
步骤303:AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能,同时,AC通过CAPWAP下发指令给AP,断开该STA之前建立的无线关联,STA通过AP本地转发功能,从本地DHCP服务器上重新获取公网IP地址,随后,STA的所有数据报文不再经CAPWAP送到AC。
Portal服务器在STA的Portal认证通过后,告知AC认证成功,并向AC发送该STA认证成功的响应。其中,告知AC认证成功可以通过向AC发送认证成功消息的方式实现,该方式是Portal认证已有的标准方式。
AC接收到来自Portal服务器的认证成功的响应后,通过CAPWAP隧道向FIT AP发送认证通过的STA的MAC地址,并向Fit AP发送开启针对该STA的本地转发功能的指示。其中所述指示具体是通过AC向Fit AP发送针对该STA的本地转发功能的配置消息来实现。具体地,AC向Fit AP发送的配置消息中可以包括该STA的MAC地址、该STA在后续的Fit AP本地转发时使用的网关IP地址、本地转发的VLAN编号以及该用户的限速策略等信息。
Fit AP在接收到该配置消息后,针对该STA的MAC地址使能本地转发功能。随后,当Fit AP在接收到STA发送的报文后,基于STA的MAC进行流匹配,首先判断是否针对该STA开启了本地转发功能,如果是,则对该报文进行本地转发,否则,通过CAPWAP隧道将该报文发送至AC。
进一步地,所述AC在所述STA认证通过后,还将通过CAPWAP下发断开该STA之前建立的无线关联的指令给Fit AP,所述Fit AP在接收到该指令后断开原先STA与Fit AP间的无线连接。所述STA发现自身与Fit AP间的无线连接被断开后,所述STA会重新与Fit AP进行无线关联,并在无线关联成功后,再次发起DHCP请求,FIT AP在接收到该STA的DHCP请求报文后,由于Fit AP此时已开通本地转发功能,STA的请求通过AP本地转发,从本地DHCP服务器上重新获取公网IP地址。
所述STA在获取公网IP地址后,Fit AP将进一步把该STA的公网IP地址通过CAPWAP隧道发送给AC,所述AC收到该STA的公网IP地址后,通知Portal服务器将该STA的IP地址变更,以便后续所述STA退出后,所述AC能及时地通知Fit AP关闭本地转发功能。
进一步地,当STA的DHCP租约到期,所述STA将重新发起DHCP请求,以便再次获取IP地址,在所述STA发起DHCP请求后,所述FIT AP开始进行DHCP SNOOPING监听,并在监听到DHCP服务器重新分配的公网IP地址后,重新上报该STA的新IP地址信息到AC。随后AC在发送的计费请求报文中携带该STA的新IP地址,通过AAA服务器进行更新,所述STA在获取新分配的IP地址后继续进行正常访问网络。
步骤304:AC获知该STA退出认证后,删除该在线STA,并通过CAPWAP隧道发送配置消息指示Fit AP关闭针对该STA的本地转发功能,随后,该STA的所有数据报文将仍然通过AC集中转发。
STA退出一般存在几种情况:
其一是,用户下线,STA会向Portal服务器发送认证退出请求报文,Portal服务器接收到该退出请求报文后,通知AC该STA退出认证,AC删除存储的该STA的相关ARP表项;
其二,STA关机,Portal服务器和STA之间会周期性地发送心跳报文,如果Portal服务器在设定时间内没有收到STA的心跳报文,则认为STA故障,Portal服务器通知AC该STA退出认证,AC删除存储的该STA的相关ARP表项;
其三、当AC获知已认证的STA在DHCP租约到期后,重新获取公网IP地址失败。具体地,AC可以通过CAPWAP隧道定期到Fit AP上查询在线STA的DHCP租约情况来实现。其中查询周期根据具体需要配置,在本发明实施例中,优选地,设置为3分钟。例如:当发现某在线STA在三个检测周期内没有获得新的IP地址,则删除AC上的该在线STA列表,并通知AAA和Portal服务器删除该STA列表,同时,通知FIT AP强制该STA下线。
当用户退出认证后,删除该在线STA,并通过CAPWAP隧道发送配置消息指示Fit AP关闭针对该STA的本地转发功能。随后,这样,该STA在下次上线时,该STA的所有数据报文将仍按照图3所示流程通过AC集中转发。
步骤305:本流程结束
当STA在Portal认证未通过前续约失败或者STA本身Portal认证失败,则本流程结束。
具体地,如果STA在Portal认证未通过前续约失败或者STA本身Portal认证失败。AC在获知这些信息后,便不会向Fit AP发送开启针对该STA的本地转发功能的配置消息,则针对该STA则不会实现数据的本地转发,从而达到Portal集中认证的目的。
通过如上说明可知,STA在认证成功后,Fit AP根据接收到的AC发送的配置消息开启针对该STA的本地转发功能,并在STA获取公网IP地址后,通过AC完成Portal服务器上该STA私网IP地址到公网IP地址的替换,因此,后续针对该STA的报文,不仅可以通过AP的本地转发功能来进行转发,而且在所述STA退出认证后,所述AC能及时通知Fit AP关闭本地转发功能。
依据上述本发明方法,本发明同时提供一种Portal集中认证***,所述***中存在Fit AP本地转发的情形,所述***包括有AC、Fit AP、STA、DHCP服务器以及Portal认证服务器,其中,
Fit AP,在所述STA关联成功但未认证时,将接收到的STA的认证请求通过CAPWAP隧道发送给AC;并在所述STA认证通过后,接收来自AC的开启针对该STA的本地转发功能的指示,开启针对STA的本地转发功能;在接收到AC发送来的关闭针对该STA的本地转发功能的指示后,关闭针对STA的本地转发功能;
AC,用于将接收到的认证请求发送给Portal服务器,在获知Portal服务器针对STA的认证成功后,通过CAPWAP隧道向Fit AP发送认证通过的STA的MAC地址,并发送开启针对该STA的本地转发功能的指示;在获知STA退出认证后,删除该在线STA,通过CAPWAP隧道向Fit AP发送关闭针对该STA的本地转发功能的指示,该STA的所有数据报文将仍然通过AC集中转发;
DHCP服务器,在STA的Portal认证通过前,依所述STA的DHCP请求为该STA分配私网IP地址;在该STA的Portal认证通过后,分配给该通过认证的STA公网IP地址;
Portal服务器,用于接收到认证请求后,对STA进行认证,并在所述STA获取公网IP地址后,接收来自AC转发过来的该STA的公网IP地址并对原先该STA的IP地址进行变更。
进一步地,所述STA在认证通过后,AC还将通过CAPWAP下发指令给AP,断开该STA之前建立的无线关联,随后,STA发起DHCP请求,通过FitAP本地转发,从本地DHCP服务器上重新获取公网IP地址。
进一步地,所述AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能,具体是通过:
向Fit AP发送开启针对该STA的本地转发功能的配置消息来实现,其中,AC向Fit AP发送的配置消息中可以包括该STA的MAC地址、该STA在后续的Fit AP本地转发时使用的网关IP地址、本地转发的VLAN编号以及该用户的限速策略信息。
进一步地,FIT AP在接收到所述AC发过来的开启针对该STA的本地转发功能的配置信息后,针对该STA的MAC地址使能本地转发功能,随后,STA的所有数据报文不再经CAPWAP送到AC。
进一步地,所述STA获取私网IP地址,具体为:
所述STA与Fit AP关联成功后,向Fit AP发送动态主机配置协议DHCP请求报文;
FIT AP在接收到该STA的DHCP请求报文后,首先对该STA的MAC地址进行“未认证”标记,并将所述DHCP请求报文通过CAPWAP隧道发送给所述AC;
AC接收到DHCP请求报文后,发现该STA的MAC地址打有“未认证”标记,将该DHCP请求报文转发至与其连接的用以分配私网IP地址的DHCP服务器;
所述AC将所述DHCP服务器返回的所述STA的私网IP地址通过CAPWAP隧道发送给所述Fit AP,再进一步由Fit AP发送给STA。
本发明还提供一种Portal集中认证的装置,应用于存在有Fit AP本地转发的WLAN网络中,所述WLAN网络中包括有AC、Fit AP、STA、DHCP服务器以及Portal认证服务器,所述装置为AC,包括:报文收发单元、指示单元以及DHCP报文转发单元,其中:
报文收发单元,用于通过CAPWAP隧道接收到AP发送来的STA的认证请求后,将该认证请求发送给Portal服务器,并在STA认证通过后,接收来自FitAP发送来的该STA的公网IP地址;
指示单元,用于在获知STA认证通过后,通过CAPWAP隧道向Fit AP认证通过的STA的MAC地址,并发送开启针对该STA的本地转发功能的指示,在获知STA退出后,通过CAPWAP隧道向AP发送关闭针对STA的本地转发功能;
DHCP报文转发单元,用于在STA的Portal认证通过前,接收所述STA的DHCP请求并将之转发至私有IP地址的DHCP服务器,并将该DHCP服务器分配的私网IP地址转发给STA;在该STA的Portal认证通过后,将报文收发单元接收的该通过认证的STA公网IP地址转发给DHCP服务器对原先该STA的IP地址进行变更。
进一步地,所述指示单元通过CAPWAP隧道向Fit AP发送开启针对该STA的本地转发功能的指示,具体是通过:
向Fit AP发送开启针对该STA的本地转发功能的配置消息来实现,其中,AC向Fit AP发送的配置消息中可以包括该STA的MAC地址、该STA在后续的Fit AP本地转发时使用的网关IP地址、本地转发的VLAN编号以及该用户的限速策略信息。
进一步地,所述指示单元在所述STA认证通过后,进一步向Fit AP发送断开该STA无线连接的指示,所述STA在发现之前建立的无线关联被断开后,再次发起DHCP请求,Fit AP发现该STA的MAC地址打有“已认证”标记,所述Fit AP对该DHCP请求进行本地转发,从本地DHCP服务器上重新获取公网IP地址。
由以上描述可以看出,本发明提供的方法、***和装置中,AP将STA的认证请求通过CAPWAP隧道发送给AC,由AC转发给Portal服务器,并且AC在获知Portal服务器针对该STA认证成功后,通过CAPWAP隧道发送配置消息指示AP开启针对该STA的本地转发功能;在获知STA退出认证后,通过CAPWAP隧道发送配置消息指示AP关闭针对该STA的本地转发功能。也就是说,在认证通过之前,认证请求集中发送至AC,在认证通过之后,由AC配置AP开启通过认证的STA的本地转发功能。通过本发明可以利用已有网络认证架构实现AP本地转发情况下的Portal认证,无需额外增加认证设备,节约组网成本。
另外,本发明中,AP仅需要在认证之前和认证过程中,将接收到的所有报文都转发到AC进行集中处理,在认证成功完成之后,便开启了本地转发功能,在AP本地完成通过认证的STA的报文转发,从而减轻了AC的性能负担。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (15)
1.一种无线网络中的入口Portal认证方法,所述方法应用于存在有FitAP本地转发的WLAN网络中,所述WLAN网络中包括有AC、Fit AP、STA、DHCP服务器以及Portal认证服务器,其特征在于,所述方法包括如下步骤:
步骤301:在STA与Fit AP关联成功后,所述STA状态为未认证,该STA所有流量经AC转发,且STA从DHCP服务器上获取私网IP地址;
步骤302:当STA发起任意的http访问请求后,AC强制STA到Portal服务器上进行Portal认证;
步骤303:如果认证通过,AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能,同时,AC通过CAPWAP下发指令给AP,断开该STA之前建立的无线关联,STA通过AP本地转发,从本地DHCP服务器上重新获取公网IP地址。
2.如权利要求1所述的方法,其特征在于,所述STA在步骤303中获取公网IP地址后,AC通过CAPWAP隧道接收来自Fit AP发送过来的STA的公网IP地址,并通知Portal服务器将该STA的IP地址变更。
3.如权利要求1所述的方法,其特征在于,AC获知该STA退出认证后,删除该在线STA,并通过CAPWAP隧道发送配置消息指示Fit AP关闭针对该STA的本地转发功能,随后,该STA的所有数据报文将仍然通过AC集中转发。
4.如权利要求1所述的方法,其特征在于,步骤301具体为:
所述STA与Fit AP关联成功后,向Fit AP发送动态主机配置协议DHCP请求报文;
FIT AP在接收到该STA的DHCP请求报文后,首先对该STA的MAC地址进行“未认证”标记,并将所述DHCP请求报文通过CAPWAP隧道发送给所述AC;
AC接收到DHCP请求报文后,将该DHCP请求报文转发至与其连接的用以分配私网IP地址的DHCP服务器;
所述AC将所述DHCP服务器返回的所述STA的私网IP地址通过CAPWAP隧道发送给所述Fit AP,再进一步由Fit AP发送给STA。
5.如权利要求1所述的方法,其特征在于,步骤303具体为:
AC接收到来自Portal服务器的认证成功的响应后,AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能;
AC通过CAPWAP进一步下发指令给Fit AP,断开该STA之前建立的无线关联;
STA在发现之前建立的无线关联被断开后,AC再次连接该AP,并发起DHCP请求,Fit AP发现该STA的MAC地址打有“已认证”标记,所述Fit AP对该DHCP请求进行本地转发,从本地DHCP服务器上重新获取公网IP地址,STA的所有数据报文不再经CAPWAP送到AC。
6.如权利要求1或5所述的方法,其特征在于,AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能,具体是通过:
向Fit AP发送开启针对该STA的本地转发功能的配置消息来实现,其中,AC向Fit AP发送的配置消息中包括该STA的MAC地址、该STA在后续的Fit AP本地转发时使用的网关IP地址、本地转发的VLAN编号以及该用户的限速策略信息。
7.如权利要求6所述的方法,其特征在于,FIT AP在接收到所述AC发过来的开启针对该STA的本地转发功能的配置信息后,针对该STA的MAC地址使能本地转发功能。
8.一种Portal集中认证***,所述***中存在Fit AP本地转发的情形,所述***包括有AC、Fit AP、STA、DHCP服务器以及Portal认证服务器,其特征在于,
Fit AP,在所述STA关联成功但未认证时,将接收到的STA的认证请求通过CAPWAP隧道发送给AC;并在所述STA认证通过后,接收来自AC的开启针对该STA的本地转发功能的指示,开启针对STA的本地转发功能;在接收到AC发送来的关闭针对该STA的本地转发功能的指示后,关闭针对STA的本地转发功能;
AC,用于将接收到的认证请求发送给Portal服务器,在获知Portal服务器针对STA的认证成功后,通过CAPWAP隧道向Fit AP发送认证通过的STA的MAC地址,并发送开启针对该STA的本地转发功能的指示;在获知STA退出认证后,删除该在线STA,通过CAPWAP隧道向Fit AP发送关闭针对该STA的本地转发功能的指示,该STA的所有数据报文将仍然通过AC集中转发;
DHCP服务器,在STA的Portal认证通过前,依所述STA的DHCP请求为该STA分配私网IP地址;在该STA的Portal认证通过后,分配给该通过认证的STA公网IP地址;
Portal服务器,用于接收到认证请求后,对STA进行认证,并在所述STA获取公网IP地址后,接收来自AC转发过来的该STA的公网IP地址并对原先该STA的IP地址进行变更。
9.如权利要求8所述的***,其特征在于,所述STA在认证通过后,AC还将通过CAPWAP下发指令给Fit AP,断开该STA之前建立的无线关联,随后,STA发起DHCP请求,通过FitAP本地转发,从本地DHCP服务器上重新获取公网IP地址,随后,STA的所有数据报文不再经CAPWAP送到AC。
10.如权利要求8所述的***,其特征在于,所述AC通过CAPWAP隧道通知FIT AP认证通过的STA的MAC地址,并指示AP开启针对该STA的本地转发功能,具体是通过:
向Fit AP发送开启针对该STA的本地转发功能的配置消息来实现,其中,AC向Fit AP发送的配置消息中包括该STA的MAC地址、该STA在后续的Fit AP本地转发时使用的网关IP地址、本地转发的VLAN编号以及该用户的限速策略信息。
11.如权利要求8所述的***,其特征在于,FIT AP在接收到所述AC发过来的开启针对该STA的本地转发功能的配置信息后,针对该STA的MAC地址使能本地转发功能。
12.如权利要求8所述的***,其特征在于,所述STA获取私网IP地址,具体为:
所述STA与Fit AP关联成功后,向Fit AP发送动态主机配置协议DHCP请求报文;
FIT AP在接收到该STA的DHCP请求报文后,首先对该STA的MAC地址进行“未认证”标记,并将所述DHCP请求报文通过CAPWAP隧道发送给所述AC;
AC接收到DHCP请求报文后,将该DHCP请求报文转发至与其连接的用以分配私网IP地址的DHCP服务器;
所述AC将所述DHCP服务器返回的所述STA的私网IP地址通过CAPWAP隧道发送给所述Fit AP,再进一步由Fit AP发送给STA。
13.一种Portal集中认证的装置,应用于存在有FitAP本地转发的WLAN网络中,所述WLAN网络中包括有AC、FitAP、STA、DHCP服务器以及Portal认证服务器,所述装置为AC,包括:报文收发单元、指示单元以及DHCP报文转发单元,其特征在于:
报文收发单元,用于通过CAPWAP隧道接收到Fit AP发送来的STA的认证请求后,将该认证请求发送给Portal服务器,并在STA认证通过后,接收来自Fit AP发送来的该STA的公网IP地址;
指示单元,用于在获知STA认证通过后,通过CAPWAP隧道向Fit AP认证通过的STA的MAC地址,并发送开启针对该STA的本地转发功能的指示,在获知STA退出后,通过CAPWAP隧道向AP发送关闭针对STA的本地转发功能;
DHCP报文转发单元,用于在STA的Portal认证通过前,接收所述STA的DHCP请求并将之转发至私有IP地址的DHCP服务器,并将该DHCP服务器分配的私网IP地址转发给STA;在该STA的Portal认证通过后,将报文收发单元接收的该通过认证的STA公网IP地址转发给DHCP服务器对原先该STA的IP地址进行变更。
14.如权利要求13所述的装置,其特征在于,所述指示单元通过CAPWAP隧道向Fit AP发送开启针对该STA的本地转发功能的指示,具体是通过:
向Fit AP发送开启针对该STA的本地转发功能的配置消息来实现,其中,AC向Fit AP发送的配置消息中包括该STA的MAC地址、该STA在后续的FitAP本地转发时使用的网关IP地址、本地转发的VLAN编号以及该用户的限速策略信息。
15.如权利要求13所述的装置,其特征在于,所述指示单元在所述STA认证通过后,进一步向Fit AP发送断开该STA无线连接的指示,所述STA在发现之前建立的无线关联被断开后,再次发起DHCP请求,Fit AP发现该STA的MAC地址打有“已认证”标记,所述Fit AP对该DHCP请求进行本地转发,从本地DHCP服务器上重新获取公网IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104828074A CN103118064A (zh) | 2012-11-22 | 2012-11-22 | 一种Portal集中认证的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104828074A CN103118064A (zh) | 2012-11-22 | 2012-11-22 | 一种Portal集中认证的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103118064A true CN103118064A (zh) | 2013-05-22 |
Family
ID=48416334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104828074A Pending CN103118064A (zh) | 2012-11-22 | 2012-11-22 | 一种Portal集中认证的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103118064A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283858A (zh) * | 2013-07-09 | 2015-01-14 | 华为技术有限公司 | 控制用户终端接入的方法、装置及*** |
| CN104516775A (zh) * | 2014-09-05 | 2015-04-15 | 深圳市华讯方舟科技有限公司 | 基于多核、多线程实现ap和sta的接入方法 |
| CN104780168A (zh) * | 2015-03-30 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种Portal认证的方法和设备 |
| CN104811439A (zh) * | 2015-03-30 | 2015-07-29 | 杭州华三通信技术有限公司 | 一种Portal认证的方法和设备 |
| CN104811489A (zh) * | 2015-04-14 | 2015-07-29 | 深圳市华讯方舟科技有限公司 | 一种页面重定向方法及装置 |
| CN105471596A (zh) * | 2014-08-04 | 2016-04-06 | 杭州华三通信技术有限公司 | 网络管理的方法和装置 |
| CN107809496A (zh) * | 2016-09-09 | 2018-03-16 | 新华三技术有限公司 | 网络访问控制方法和装置 |
| CN108011742A (zh) * | 2017-02-17 | 2018-05-08 | 湖北亘华工科有限公司 | 一种wlan数据集中转发切换本地转发的设备及方法 |
| CN108235318A (zh) * | 2016-12-22 | 2018-06-29 | 华为技术有限公司 | 一种降低终端接入时延的方法及装置 |
| CN108601022A (zh) * | 2018-03-30 | 2018-09-28 | 新华三技术有限公司 | 一种门户认证方法及装置 |
| CN108718280A (zh) * | 2018-08-30 | 2018-10-30 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN110278558A (zh) * | 2019-07-25 | 2019-09-24 | 迈普通信技术股份有限公司 | 报文的交互方法及wlan*** |
| CN110839050A (zh) * | 2018-08-16 | 2020-02-25 | 中国电信股份有限公司 | 用于检测用户下线的方法、***和无线接入点 |
| CN113784379A (zh) * | 2021-09-13 | 2021-12-10 | 新华三技术有限公司 | 网络管理的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101621802A (zh) * | 2009-08-13 | 2010-01-06 | 杭州华三通信技术有限公司 | 一种无线网络中的入口认证方法、***和装置 |
| CN101711031A (zh) * | 2009-12-23 | 2010-05-19 | 杭州华三通信技术有限公司 | 一种本地转发中的Portal认证方法和接入控制器 |
| CN102244866A (zh) * | 2011-08-18 | 2011-11-16 | 杭州华三通信技术有限公司 | 门户认证方法及接入控制器 |
| CN102572005A (zh) * | 2011-11-23 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种ip地址分配方法和设备 |
-
2012
- 2012-11-22 CN CN2012104828074A patent/CN103118064A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101621802A (zh) * | 2009-08-13 | 2010-01-06 | 杭州华三通信技术有限公司 | 一种无线网络中的入口认证方法、***和装置 |
| CN101711031A (zh) * | 2009-12-23 | 2010-05-19 | 杭州华三通信技术有限公司 | 一种本地转发中的Portal认证方法和接入控制器 |
| CN102244866A (zh) * | 2011-08-18 | 2011-11-16 | 杭州华三通信技术有限公司 | 门户认证方法及接入控制器 |
| CN102572005A (zh) * | 2011-11-23 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种ip地址分配方法和设备 |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283858A (zh) * | 2013-07-09 | 2015-01-14 | 华为技术有限公司 | 控制用户终端接入的方法、装置及*** |
| CN104283858B (zh) * | 2013-07-09 | 2018-02-13 | 华为技术有限公司 | 控制用户终端接入的方法、装置及*** |
| US9825950B2 (en) | 2013-07-09 | 2017-11-21 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for controlling access of user terminal |
| CN105471596A (zh) * | 2014-08-04 | 2016-04-06 | 杭州华三通信技术有限公司 | 网络管理的方法和装置 |
| CN104516775A (zh) * | 2014-09-05 | 2015-04-15 | 深圳市华讯方舟科技有限公司 | 基于多核、多线程实现ap和sta的接入方法 |
| CN104811439A (zh) * | 2015-03-30 | 2015-07-29 | 杭州华三通信技术有限公司 | 一种Portal认证的方法和设备 |
| CN104780168A (zh) * | 2015-03-30 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种Portal认证的方法和设备 |
| CN104811439B (zh) * | 2015-03-30 | 2018-08-24 | 新华三技术有限公司 | 一种Portal认证的方法和设备 |
| CN104811489A (zh) * | 2015-04-14 | 2015-07-29 | 深圳市华讯方舟科技有限公司 | 一种页面重定向方法及装置 |
| CN104811489B (zh) * | 2015-04-14 | 2018-02-13 | 华讯方舟科技有限公司 | 一种页面重定向方法及装置 |
| CN107809496B (zh) * | 2016-09-09 | 2020-05-12 | 新华三技术有限公司 | 网络访问控制方法和装置 |
| CN107809496A (zh) * | 2016-09-09 | 2018-03-16 | 新华三技术有限公司 | 网络访问控制方法和装置 |
| US11159524B2 (en) | 2016-09-09 | 2021-10-26 | New H3C Technologies Co., Ltd. | Network access control |
| CN108235318A (zh) * | 2016-12-22 | 2018-06-29 | 华为技术有限公司 | 一种降低终端接入时延的方法及装置 |
| CN108011742A (zh) * | 2017-02-17 | 2018-05-08 | 湖北亘华工科有限公司 | 一种wlan数据集中转发切换本地转发的设备及方法 |
| CN108601022B (zh) * | 2018-03-30 | 2021-05-14 | 新华三技术有限公司 | 一种门户认证方法及装置 |
| CN108601022A (zh) * | 2018-03-30 | 2018-09-28 | 新华三技术有限公司 | 一种门户认证方法及装置 |
| CN110839050A (zh) * | 2018-08-16 | 2020-02-25 | 中国电信股份有限公司 | 用于检测用户下线的方法、***和无线接入点 |
| CN108718280A (zh) * | 2018-08-30 | 2018-10-30 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN110278558A (zh) * | 2019-07-25 | 2019-09-24 | 迈普通信技术股份有限公司 | 报文的交互方法及wlan*** |
| CN113784379A (zh) * | 2021-09-13 | 2021-12-10 | 新华三技术有限公司 | 网络管理的方法及装置 |
| CN113784379B (zh) * | 2021-09-13 | 2023-05-26 | 新华三技术有限公司 | 网络管理的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103118064A (zh) | 一种Portal集中认证的方法和装置 | |
| CN101621802B (zh) | 一种无线网络中的入口认证方法、***和装置 | |
| US8842830B2 (en) | Method and apparatus for sending a key on a wireless local area network | |
| WO2015127852A1 (zh) | 无线局域网隧道建立方法、装置及接入网*** | |
| AU2014261983B2 (en) | Communication managing method and communication system | |
| WO2013107136A1 (zh) | 终端接入认证的方法及用户端设备 | |
| EP2797379A1 (en) | Repeating method of wireless repeating device, and wireless repeating device | |
| US10250581B2 (en) | Client, server, radius capability negotiation method and system between client and server | |
| CN103117902B (zh) | 一种IPoE下用户下线自动检测***和方法 | |
| WO2019157968A1 (zh) | 一种通信方法、装置及*** | |
| CN202285423U (zh) | 智能机顶盒 | |
| CN108966363B (zh) | 一种连接建立方法及装置 | |
| CN105471983A (zh) | 一种建立物联通讯的方法及*** | |
| US9485217B2 (en) | Method for configuring network nodes of a telecommunications network, telecommunications network, program and computer program product | |
| JP6459099B2 (ja) | 受動光ネットワークにおける端末装置を管理するための方法、装置、およびシステム | |
| CN103384365A (zh) | 一种网络接入方法、业务处理方法、***及设备 | |
| CN102215515B (zh) | 一种数据处理方法及通信***以及相关设备 | |
| CN103595712A (zh) | 一种Web认证方法、装置及*** | |
| CN102244620A (zh) | 一种确定网关与设备关联关系的方法和*** | |
| CN107645556B (zh) | 一种实现sdn转控分离的宽带接入与保活方法及装置 | |
| EP3059907B1 (en) | Network packet forwarding method and device | |
| TWI511496B (zh) | 無線通訊系統與管理方法 | |
| EP3220584A1 (en) | Wifi sharing method and system, home gateway and wireless local area network gateway | |
| CN112188301B (zh) | 通信方法、装置、***、终端以及计算机可读存储介质 | |
| CN101296113B (zh) | 网元设备、网管***及网元设备注册接入网管***的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130522 |