CN105591929A - 轻量级双协议栈组网下的认证方法及装置 - Google Patents

轻量级双协议栈组网下的认证方法及装置 Download PDF

Info

Publication number
CN105591929A
CN105591929A CN201510712376.XA CN201510712376A CN105591929A CN 105591929 A CN105591929 A CN 105591929A CN 201510712376 A CN201510712376 A CN 201510712376A CN 105591929 A CN105591929 A CN 105591929A
Authority
CN
China
Prior art keywords
ipv6
ipv4
address
source
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510712376.XA
Other languages
English (en)
Other versions
CN105591929B (zh
Inventor
郗二军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201510712376.XA priority Critical patent/CN105591929B/zh
Publication of CN105591929A publication Critical patent/CN105591929A/zh
Application granted granted Critical
Publication of CN105591929B publication Critical patent/CN105591929B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提出轻量级双协议栈组网下的认证方法及装置。方法包括:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文,创建DS-lite表项;根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机;若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。本申请实现了双栈主机只需进行IPv4认证,就可同时访问IPv4和IPv6公网。

Description

轻量级双协议栈组网下的认证方法及装置
技术领域
本申请涉及认证技术领域,尤其涉及DS-Lite(DualStackLite,轻量级双协议栈)组网下的认证方法及装置。
背景技术
DS-Lite技术综合了IPv4overIPv6隧道技术和NAT(NetworkAddressTranslation,网络地址转换)技术,利用隧道技术实现通过IPv6网络连接隔离的IPv4网络,利用NAT技术实现不同的用户网络共享相同的IPv4地址空间,减缓IPv4地址的耗尽速度。
图1为DS-List组网示意图,其中:
B4(BasicBridgingBroadband,基本桥接宽带)设备位于用户网络侧、用来连接ISP(InternetServiceProvider,互联网服务提供商)网络,通常为用户网络的网关;
AFTR(AddressFamilyTransitionRouter,地址族转换路由器)是ISP网络中的设备,是DS-Lite隧道的核心设备。AFTR同时作为DS-Lite隧道端点和NAT网关设备。
B4设备作为DS-Lite隧道的一个端点,负责将用户网络的IPv4报文封装成IPv6报文发送给AFTR;AFTR对IPv6报文进行解封装,将解封装后的用户网络报文的源IPv4地址(私网地址)转换为公网地址,并将转换后的报文发送给目的IPv4主机。AFTR进行NAT转换时,同时记录NAT映射关系和TunnelID(隧道标识),以便实现不同B4设备连接的用户网络地址可以重叠。也有部分双栈主机,通过软件实现了与B4设备对应的隧道加、解封装功能,可直接与AFTR建立DS-lite隧道,可同时访问IPv4公网和IPv6公网。
AFTR通常也被部署为运营商对用户的接入设备,用户主机通过portal(门户)等接入协议接入运营商网络。在DS-lite应用中,AFTR的隧道接口部署portal认证业务,IPv4主机的portal认证请求报文经过隧道加封装后,通过IPv6网络传输到AFTR,在AFTR的隧道接口解封装并进行portal业务处理,认证通过后portal业务根据主机的IPv4地址生成在线用户。而双栈主机通过IPv4的portal认证后若访问IPv6公网还需要再进行IPv6的portal认证。
发明内容
本申请实施例提供DS-lite组网下的认证方法及装置。
本申请的技术方案是这样实现的:
一种DS-lite组网下的认证方法,该方法包括:
接收来自用户网络的封装了IPv4认证请求报文的IPv6报文,创建DS-lite表项;
根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机;
若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
一种DS-lite组网下的认证装置,该装置包括:
DS-lite表项创建模块:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文创建DS-lite表项;
探测模块:根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机,若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
认证处理模块:当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
可见,本申请实施例中,DS-lite组网下的双栈主机只需进行一次IPv4认证就能同时访问IPv4和IPv6公网。
附图说明
图1为DS-List组网示意图;
图2为本申请一实施例提供的DS-lite组网下的认证方法流程图;
图3为本申请实施例提供的DS-lite组网下双栈主机的Portal认证方法流程图;
图4为本申请实施例提供的DS-lite组网下IPv4主机的portal认证方法流程图;
图5为本申请实施例提供的DS-lite组网下的认证下线方法流程图;
图6为本申请应用示例的DS-lite组网图;
图7为本申请实施例提供的DS-lite组网下的认证装置的组成示意图。
具体实施方式
申请人对现有的DS-lite组网下的认证方法进行分析,发现存在如下问题:
双栈主机在通过IPv4认证后,若要访问IPv6公网还需再进行IPv6认证。
图2为本申请一实施例提供的DS-lite组网下的认证方法流程图,其具体步骤如下:
步骤201:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文,创建DS-lite表项。
步骤202:根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机。
步骤203:若所述用户主机检测出为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系。
步骤204:当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
需要说明的是,这里所说的认证不限于portal认证,也包括IPoE(InternetProtocoloverEthernet)认证等以IP地址作为用户标识的认证方式,在本申请中仅以portal认证为例进行描述。
一种实施例中,步骤202中,所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址;
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若未收到封装有所述IPv4报文的IPv6探测响应报文,则确认所述用户主机为双栈主机。
一种实施例中,步骤202中,所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址,且,所述IPv4报文中的生存时间TTL值为1;
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若接收到回应Echo应答报文,则确认所述用户主机为双栈主机。
一种实施例中,步骤204中,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
一种实施例中,步骤204中,所述确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证之后进一步包括:
当所述源IPv4地址下线时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
一种实施例中,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项直接确认所述源IPv4地址关联的所述源IPv6地址下线。
Portal认证通常也称为Web认证,即通过Web页面接收用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。通过认证的用户形成在线用户表项,在线用户表项的主要内容有:
1)用户名:IPv4主机或双栈主机用于认证的账号名;
2)IP地址:IPv4portal认证时为主机的IPv4地址,IPv6portal认证时为主机的IPv6地址;
3)认证接口:在DS-lite应用中,IPv4portal业务部署在AFTR的隧道接口,IPv6portal业务部署在AFTR的隧道接口指定的隧道源接口。
DS-lite是一种无协议自动隧道,DS-lite隧道总是B4设备或双栈主机主动访问IPv4公网时触发建立,AFTR收到经过隧道加封装的报文后自动记录DS-lite表项,后续报文通过该DS-lite表项进行加、解封装,DS-lite表项的主要内容有:
1)TunnelID:TunnelID是DS-lite表项的key(密钥),由AFTR自己计算生成,AFTR一般将TunnelID存于IP快转表项或NAT表项中,公网的响应报文从IP快转表项或NAT表项中取得该TunnelID并根据它找到对应的DS-lite表项,才能进行隧道加封装处理;
2)源IPv6地址:B4设备或双栈主机的IPv6地址,AFTR从所收到的隧道封装报文的IPv6报文头获得IPv6源地址;
3)Tunnel接口:进行加、解封装的逻辑接口,一个能正常生效的Tunnel接口需指定一个实际物理接口作为隧道的源接口,实际的物理接口具有IPv6地址,Tunnel接口本身具有IPv4地址。
以下以Portal认证为例,对本申请进行进一步详细说明:
图3为本申请实施例提供的DS-lite组网下双栈主机的Portal认证方法流程图,其具体步骤如下:
步骤300:预先在DS-lite组网内的双栈主机的portal客户端上配置IPv4portal认证服务器的地址。
步骤301:双栈主机启动,接收用户输入的用户名和密码,将该用户名和密码封装在IPv4portal认证请求报文中,对该IPv4portal认证请求报文进行隧道封装,隧道头的源地址为双栈主机的IPv6地址,隧道头的目的地址为配置在双栈主机上的AFTR的隧道源接口的IPv6地址,将封装得到的IPv6报文发送出去。
步骤302:AFTR接收该IPv6报文,根据该IPv6报文的隧道头的源地址,即双栈主机的IPv6地址,未查找到对应的DS-lite表项,则创建DS-lite表项,对该报文进行隧道解封装,缓存解封装后得到的IPv4portal认证请求报文。
DS-Lite表项的内容包括:
1)tunnelID,由AFTR计算生成;
2)源IPv6地址,即AFTR接收的IPv6报文的隧道头的源地址,即双栈主机的IPv6地址;
3)tunnel接口名称,即AFTR接收的IPv6报文的隧道头的目的地址绑定的tunnel接口的名称;
4)正式化flag,这里flag=0,表示该DS-Lite表项还未生效;
5)对端IPv4地址:空。
步骤303:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为步骤302接收到的IPv6报文的隧道头的目的地址,探测报文的外层隧道头的目的地址为步骤302接收到的IPv6报文的隧道头的源地址,探测报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址和目的地址都是步骤302接收到的IPv6报文的隧道头的目的地址绑定的tunnel接口的IPv4地址,并启动等待响应定时器。
步骤304:双栈主机接收该探测报文,对该探测报文进行隧道解封装,得到ICMPv4报文,发现ICMPv4报文的目的地址并不是自己的地址,则丢弃该ICMPv4报文。
步骤305:AFTR在等待响应定时器超时时,未收到封装了上述ICMPv4报文的探测报文,则确认对端为双栈主机,将步骤302创建的DS-lite表项中的正式化flag设置为1,并根据步骤302缓存的IPv4portal认证请求报文的源IPv4地址,将该DS-lite表项中的对端IPv4地址设置为该IPv4portal认证请求报文的源IPv4地址,将该IPv4portal认证请求报文转发给IPv4Portal认证服务器。
在实际应用中,步骤303~305也可替换为:
步骤303:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为步骤302接收到的IPv6报文的隧道头的目的地址,探测报文的外层隧道头的目的地址为步骤302接收到的IPv6报文的隧道头的源地址,报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址为步骤302接收到的IPv6报文的隧道头的目的地址绑定的tunnel接口的IPv4地址,该ICMPv4报文的目的地址为步骤302接收到的IPv6报文封装的IPv4portal认证请求报文的源地址(即双栈主机的IPv4地址),并启动等待响应定时器。
步骤304:双栈主机接收该探测报文,对该探测报文进行隧道解封装,得到ICMPv4报文,将ICMPv4报文中的TTL值减1,发现ICMPv4报文的目的地址是自己的地址,则构造echoreply(回应应答)ICMPv4报文,对echoreplyICMPv4报文进行DS-Lite隧道封装后发送出去。
步骤305:AFTR在等待响应定时器超时时,收到封装了echoreplyICMPv4报文的IPv6报文,则确认对端为双栈主机,将步骤302创建的DS-lite表项中的正式化flag设置为1,并根据步骤302缓存的IPv4portal认证请求报文的源IPv4地址,将该DS-lite表项中的对端IPv4地址设置为该IPv4portal认证请求报文的源IPv4地址,将该IPv4portal认证请求报文转发给IPv4Portal认证服务器。
步骤306:AFTR接收来自IPv4portal认证服务器的portal认证通过报文,在自身添加IPv4在线用户表项,该IPv4在线用户表项的主要内容有:
1)用户名,即双栈主机的用户名,携带在portal认证通过报文中;
2)IPv4地址,即双栈主机的IPv4地址,携带在portal认证通过报文中;
3)认证接口名称,即portal认证请求报文的隧道头的目的IPv6地址绑定的tunnel接口的名称,通常,在步骤302中,AFTR会保存portal认证请求报文外层隧道头的目的IPv6地址绑定的tunnel接口的名称、portal认证请求报文携带的用户名和主机IPv4地址(即portal认证请求报文的源IPv4地址)的对应关系,本步骤中,AFTR可根据portal认证通过报文中的用户名和双栈主机的IPv4地址查找到该对应关系,从而获得认证接口名称。
步骤307:AFTR判断IPv4在线用户表项中的认证接口名称对应的接口是否为DS-lite隧道接口,若是,执行步骤308;否则,结束本流程。
步骤308:AFTR判断IPv4在线用户表项中的认证接口名称对应的接口的源接口是否使能了IPv6portal业务,若是,执行步骤309;否则,结束本流程。
步骤309:AFTR根据IPv4在线用户表项中的IPv4地址,查找到对应的DS-lite表项,根据该DS-lite表项中的源IPv6地址以及IPv4在线用户表项中的用户名和认证接口名称,在自身添加IPv6在线用户表项,该IPv6在线用户表项的主要内容有:
1)用户名,即IPv4在线用户表项中的用户名;
2)IPv6地址,即DS-lite表项中的源IPv6地址;
3)tunnel源接口名称,即IPv4在线用户表项中的认证接口名称对应接口的源接口的名称。
图4为本申请实施例提供的DS-lite组网下IPv4主机的portal认证方法流程图,其具体步骤如下:
步骤400:预先在DS-lite组网内的IPv4主机的portal客户端上配置IPv4portal认证服务器的地址。
步骤401:IPv4主机启动,接收用户输入的用户名和密码,将该用户名和密码封装在IPv4portal认证请求报文中发送出去。
步骤402:B4设备接收该IPv4portal认证请求报文,对该报文进行隧道封装,隧道头的源地址为B4设备的IPv6地址,隧道头的目的地址为配置在B4设备上的AFTR的隧道源接口的IPv6地址。
步骤403:AFTR接收该IPv6报文,根据该IPv6报文的隧道头的源地址,即B4设备的IPv6地址,未查找到对应的DS-lite表项,则创建DS-lite表项,对该IPv6报文进行隧道解封装,缓存解封装后得到的IPv4portal认证请求报文。
DS-Lite表项的内容包括:
1)tunnelID,由AFTR计算生成;
2)IPv6源地址,即AFTR接收的报文的隧道头的源地址,即B4设备的IPv6地址;
3)tunnel接口名称,即AFTR接收的报文的隧道头的目的地址绑定的tunnel接口的名称;
4)正式化flag,这里flag=0,表示该DS-Lite表项还未生效;
5)对端IPv4地址:空。
步骤404:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为步骤403接收到的报文的隧道头的目的地址,探测报文的外层隧道头的目的地址为步骤403接收到的报文的隧道头的源地址,探测报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址和目的地址都是步骤403接收到的报文的隧道头的目的地址绑定的tunnel接口的IPv4地址,并启动等待响应定时器。
步骤405:B4设备接收该探测报文,对该探测报文进行隧道解封装,得到ICMPv4报文,根据ICMPv4报文的目的地址查找自身的转发表项,得到路由出接口,发现路由出接口为隧道接口,则对该ICMPv4报文进行隧道封装,封装的隧道头的目的地址为AFTR的隧道源接口的IPv6地址,将封装后得到的探测报文发送出去。
步骤406:AFTR在等待响应定时器超时前,接收到该探测报文,则确认对端(即返回该探测报文的)为B4设备,将步骤403创建的DS-lite表项中的正式化flag设置为1,将步骤403缓存的IPv4portal认证请求报文转发给IPv4portal认证服务器。
在实际应用中,步骤403~405也可替换为:
步骤403:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为步骤402接收到的IPv6报文的隧道头的目的地址,探测报文的外层隧道头的目的地址为步骤402接收到的IPv6报文的隧道头的源地址,报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址为步骤402接收到的IPv6报文的隧道头的目的地址绑定的tunnel接口的IPv4地址,该ICMPv4报文的目的地址为步骤402接收到的IPv6报文封装的IPv4portal认证请求报文的源地址(即IPv4主机的IPv4地址),并启动等待响应定时器。
步骤404:B4设备接收该探测报文,对该探测报文进行隧道解封装,得到ICMPv4报文,将ICMPv4报文中的TTL值减1后发现TTL=0,且发现ICMPv4报文的目的地址不是自己的地址,则构造TTL超时差错ICMPv4报文,对TTL超时差错ICMPv4报文进行DS-Lite隧道封装后发送出去。
步骤405:AFTR在等待响应定时器超时时,收到封装了TTL超时差错ICMPv4报文的IPv6报文,则确认对端为B4设备,将步骤403创建的DS-lite表项中的正式化flag设置为1,将步骤403缓存的IPv4portal认证请求报文转发给IPv4portal认证服务器。
步骤407:AFTR接收来自IPv4portal认证服务器的portal认证通过报文,在自身添加IPv4在线用户表项,该IPv4在线用户表项的主要内容有:
1)用户名,即IPv4主机的用户名,携带在portal认证通过报文中;
2)IPv4地址,即IPv4主机的IPv4地址,携带在portal认证通过报文中;
3)认证接口名称,即portal认证请求报文外层隧道头的目的IPv6地址绑定的tunnel接口的名称。
步骤408:AFTR判断IPv4在线用户表项中的认证接口名称对应的接口是否为DS-lite隧道接口,若是,执行步骤409;否则,结束本流程。
步骤409:AFTR判断IPv4在线用户表项中的认证接口名称对应的接口的源接口是否使能了IPv6portal业务,若是,执行步骤410;否则,结束本流程。
步骤410:AFTR根据IPv4在线用户表项中的IPv4地址,未查找到对应的DS-lite表项,则结束本流程。
图5为本申请实施例提供的DS-lite组网下的认证下线方法流程图,其具体步骤如下:
步骤501:AFTR发现自身的一IPv4在线用户表项删除。
步骤502:AFTR判断该IPv4在线用户表项中的认证接口名称对应接口是否为DS-lite隧道接口,若是,执行步骤503;否则,结束本流程。
步骤503:AFTR判断该IPv4在线用户表项中的认证接口名称对应接口的源接口是否使能了IPv6portal业务,若是,执行步骤504;否则,结束本流程。
步骤504:AFTR根据该IPv4在线用户表项中的IPv4地址查找对应的DS-lite表项,判断是否查找到,若是,执行步骤505;否则,结束本流程。
步骤505:AFTR根据该DS-lite表项中的源IPv6地址查找到对应的IPv6在线用户表项,删除该IPv6在线用户表项。
以下给出本申请的应用示例:
如图6所示的DS-Lite组网,其中:
HostA为双栈主机,其IPv4地址为10.1.0.15,其IPv6地址为3010::15;
HostB为IPv4主机,其IPv4地址为10.0.0.13;
B4设备的IPv6地址为3010::13;
AFTR的Tunnel接口的IPv4地址为10.0.0.1,该Tunnel接口的源接口的IPv6地址为3010::1;
其中,HostA设置有portal客户端,在该客户端上配置了IPv4portal认证服务器的地址;HostB上也设置有portal客户端,在该客户端也配置了IPv4portal认证服务器的地址;AFTR的隧道源接口3010::1上使能了IPv6portal业务。
HostA的portal认证过程如下:
步骤01:HostA启动,接收用户输入的用户名和密码,将该用户名和密码封装在IPv4portal认证请求报文中,对该IPv4portal认证请求报文进行隧道封装,隧道头的源地址为HostA的IPv6地址:3010::15,隧道头的目的地址为配置在HostA上的AFTR的隧道源接口的IPv6地址:3010::1,将封装完的报文发送出去。
步骤02:AFTR接收该报文,根据该报文的隧道头的源地址:3010::15,未查找到对应的DS-lite表项,则创建DS-lite表项,对该报文进行隧道解封装,缓存解封装后得到的IPv4portal认证请求报文。
DS-lite表项的内容包括:
1)tunnelID,由AFTR计算生成;
2)源IPv6地址,即AFTR接收的报文的隧道头的源地址,即HostA的IPv6地址:3010::15;
3)tunnel接口名称,即AFTR接收的报文的隧道头的目的地址3010::1绑定的tunnel接口的名称;
4)正式化flag,这里flag=0,表示该DS-Lite表项还未生效;
5)对端IPv4地址:空。
步骤03:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为3010::1,目的地址为3010::15,报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址和目的地址都是AFTR的隧道源接口3010::1绑定的tunnel接口的IPv4地址:10.0.0.1,并启动等待响应定时器。
步骤04:HostA接收该探测报文,对该报文进行隧道解封装,得到ICMPv4报文,发现ICMPv4报文的目的地址并不是自己的地址,则丢弃该ICMPv4报文。
步骤05:AFTR在等待响应定时器超时后,未收到封装了源地址和目的地址都为10.0.0.1的ICMPv4报文的探测报文,则确认对端为双栈主机,将步骤02创建的DS-lite表项中的正式化flag设置为1,并根据步骤02缓存的IPv4portal认证请求报文的源IPv4地址:10.1.0.15,将该DS-lite表项中的对端IPv4地址设置为10.1.0.15,将该IPv4portal认证请求报文转发给IPv4portal认证服务器。
经过本步骤后,DS-lite表项的主要内容如下:
1)tunnelID,与步骤02的DS-lite表项相同;
2)源IPv6地址,与步骤02的DS-lite表项相同,为3010::15;
3)tunnel接口名称,与步骤02的DS-lite表项相同;
4)正式化flag=1,表示该DS-Lite表项生效;
5)对端IPv4地址,即HostA的IPv4地址:10.1.0.15。
步骤06:AFTR接收来自IPv4portal认证服务器的portal认证通过报文,在自身添加IPv4在线用户表项,该IPv4在线用户表项的主要内容有:
1)用户名,即HostA的用户名,携带在portal认证通过报文中;
2)IPv4地址,即HostA的IPv4地址:10.1.0.15,携带在portal认证通过报文中;
3)认证接口名称,即AFTR的隧道源接口3010::1绑定的tunnel接口的名称。
步骤07:AFTR确认IPv4在线用户表项中的认证接口名称对应的接口为DS-lite隧道接口,且确认IPv4在线用户表项中的认证接口名称对应的接口的源接口使能了IPv6portal业务,则根据IPv4在线用户表项中的IPv4地址:10.1.0.15,查找到对应的DS-lite表项,根据该DS-lite表项中的源IPv6地址以及DS-lite表项中的用户名和认证接口名称,在自身添加IPv6在线用户表项,该IPv6在线用户表项的主要内容有:
1)用户名,与IPv4在线用户表项相同,为HostA的用户名;
2)IPv6地址,即DS-lite表项中的源IPv6地址,为3010::15;
3)tunnel源接口名称,即IPv4在线用户表项中的认证接口名称对应接口的源接口的名称。
HostB的portal认证过程如下:
步骤01:HostB启动,接收用户输入的用户名和密码,将该用户名和密码封装在IPv4portal认证请求报文中发送出去。
步骤02:B4设备接收该IPv4portal认证请求报文,对该报文进行隧道封装,隧道头的源地址为B4设备的IPv6地址:3010::13,隧道头的目的地址为配置在B4设备上的AFTR的隧道源接口的IPv6地址:3010::1。
步骤03:AFTR接收该报文,根据该报文的隧道头的源地址,即B4设备的IPv6地址:3010::13,未查找到对应的DS-lite表项,则创建DS-lite表项,对该报文进行隧道解封装,缓存解封装后得到的IPv4portal认证请求报文。
DS-Lite表项的内容包括:
1)tunnelID,由AFTR计算生成;
2)IPv6源地址,即AFT接收的报文的隧道头的源地址,即B4设备的IPv6地址:3010::13;
3)tunnel接口名称,即AFTR接收的报文的隧道头的目的地址:3010::1绑定的tunnel接口的名称;
4)正式化flag,这里flag=0,表示该DS-Lite表项还未生效;
5)对端IPv4地址:空。
步骤04:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为:3010::1,目的地址为:3010::13,报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址和目的地址都是AFTR的隧道源接口3010::1绑定的tunnel接口的IPv4地址:10.0.0.1,并启动等待响应定时器。
步骤05:B4设备接收该探测报文,对该报文进行隧道解封装,得到ICMPv4报文,根据ICMPv4报文的目的地址10.0.0.1查找自身的转发表项,得到路由出接口,发现路由出接口为隧道接口,则对该ICMPv4进行隧道封装,封装的隧道头的目的地址为AFTR的隧道源接口的IPv6地址3010::1,将封装得到的探测报文发送出去。
步骤06:AFTR在等待响应定时器超时前,接收到该探测报文,则确认对端(即返回该探测报文的)为B4设备,将步骤03创建的DS-lite表项中的正式化flag设置为1,将步骤03缓存的IPv4portal认证请求报文转发给IPv4portal认证服务器。
步骤07:AFTR接收来自IPv4portal认证服务器的portal认证通过报文,在自身添加IPv4在线用户表项,该IPv4在线用户表项的主要内容有:
1)用户名,即HostB的用户名,携带在portal认证通过报文中;
2)IPv4地址,即HostB的IPv4地址:10.0.0.13,携带在portal认证通过报文中;
3)认证接口名称,即portal认证请求报文外层隧道头的目的IPv6地址:3010::1绑定的tunnel接口的名称。
步骤08:AFTR确认IPv4在线用户表项中的认证接口名称对应的接口为DS-lite隧道接口,且确认IPv4在线用户表项中的认证接口名称对应的接口的源接口使能了IPv6portal业务,则根据IPv4在线用户表项中的IPv4地址:10.0.0.13未查找到对应的DS-lite表项,则结束本流程。
图7为本申请实施例提供的DS-lite组网下的认证装置的组成示意图,该装置位于AFTR上,该装置主要包括:DS-lite表项创建模块、探测模块和认证处理模块,其中:
DS-lite表项创建模块:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文创建DS-lite表项。
探测模块:根据DS-lite表项创建模块接收的所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机,若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系。
认证处理模块:当发现DS-lite表项创建模块接收的所述IPv6报文封装的所述IPv4认证请求报文的源IPv4地址通过认证时,根据DS-lite表项创建模块创建的所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
一种实施例中,所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址;
所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若未收到封装有所述IPv4报文的IPv6探测响应报文,则确认所述用户主机为双栈主机。
一种实施例中,探测模块发送的所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址,且,所述IPv4报文中的TTL值为1;
探测模块检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若接收到回应Echo应答报文,则确认所述用户主机为双栈主机。
一种实施例中,认证处理模块根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
一种实施例中,认证处理模块确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证之后进一步包括:
当所述源IPv4地址下线时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
一种实施例中,认证处理模块根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (12)

1.一种轻量级双协议栈DS-lite组网下的认证方法,其特征在于,该方法包括:
接收来自用户网络的封装了IPv4认证请求报文的IPv6报文,创建DS-lite表项;
根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机;
若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
2.根据权利要求1所述的方法,其特征在于,
所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址;
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若未收到封装有所述IPv4报文的IPv6探测响应报文,则确认所述用户主机为双栈主机。
3.根据权利要求1所述的方法,其特征在于,
所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址,且,所述IPv4报文中的生存时间TTL值为1;
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若接收到回应Echo应答报文,则确认所述用户主机为双栈主机。
4.根据权利要求1所述的方法,其特征在于,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
5.根据权利要求1所述的方法,其特征在于,所述确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证之后进一步包括:
当所述源IPv4地址下线时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
6.根据权利要求5所述的方法,其特征在于,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项直接确认所述源IPv4地址关联的所述源IPv6地址下线。
7.一种轻量级双协议栈DS-lite组网下的认证装置,其特征在于,该装置包括:
DS-lite表项创建模块:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文创建DS-lite表项;
探测模块:根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机,若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
认证处理模块:当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
8.根据权利要求7所述的装置,其特征在于,
所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址;
所述探测模块检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若未收到封装有所述IPv4报文的IPv6探测响应报文,则确认所述用户主机为双栈主机。
9.根据权利要求7所述的装置,其特征在于,
所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址,且,所述IPv4报文中的生存时间TTL值为1;
所述探测模块检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若接收到回应Echo应答报文,则确认所述用户主机为双栈主机。
10.根据权利要求7所述的装置,其特征在于,
所述认证处理模块根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则所述根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
11.根据权利要求7所述的装置,其特征在于,
所述认证处理模块确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证之后进一步包括:
当所述源IPv4地址下线时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
12.根据权利要求11所述的装置,其特征在于,
所述认证处理模块根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
CN201510712376.XA 2015-10-28 2015-10-28 轻量级双协议栈组网下的认证方法及装置 Active CN105591929B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510712376.XA CN105591929B (zh) 2015-10-28 2015-10-28 轻量级双协议栈组网下的认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510712376.XA CN105591929B (zh) 2015-10-28 2015-10-28 轻量级双协议栈组网下的认证方法及装置

Publications (2)

Publication Number Publication Date
CN105591929A true CN105591929A (zh) 2016-05-18
CN105591929B CN105591929B (zh) 2019-10-08

Family

ID=55931164

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510712376.XA Active CN105591929B (zh) 2015-10-28 2015-10-28 轻量级双协议栈组网下的认证方法及装置

Country Status (1)

Country Link
CN (1) CN105591929B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110086689A (zh) * 2019-04-22 2019-08-02 杭州迪普科技股份有限公司 一种双栈bfd检测方法以及***
CN111224854A (zh) * 2018-11-27 2020-06-02 北京华为数字技术有限公司 一种工作模式的选择方法、客户端前端设备及存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101719939A (zh) * 2009-12-09 2010-06-02 赛尔网络有限公司 IPv6/IPv4双协议栈主机网络接入认证方法
CN101848195A (zh) * 2009-03-27 2010-09-29 华为技术有限公司 轻量级双栈协商处理方法与装置、通信设备与通信***
CN102123153A (zh) * 2011-03-17 2011-07-13 深圳市深信服电子科技有限公司 IPv4与IPv6双栈主机的认证方法、装置及***
CN102325145A (zh) * 2011-10-21 2012-01-18 杭州华三通信技术有限公司 一种对双栈用户进行访问控制的方法和设备
CN102340509A (zh) * 2011-10-24 2012-02-01 杭州华三通信技术有限公司 对双栈用户进行访问控制的方法和设备
CN102404293A (zh) * 2010-09-15 2012-04-04 中兴通讯股份有限公司 一种双栈用户管理方法及宽带接入服务器
CN102801685A (zh) * 2011-05-23 2012-11-28 中兴通讯股份有限公司 一种Web认证方法及***
CN103220149A (zh) * 2013-04-07 2013-07-24 杭州华三通信技术有限公司 一种Portal认证方法和设备
CN104468619A (zh) * 2014-12-26 2015-03-25 杭州华三通信技术有限公司 一种实现双栈web认证的方法和认证网关
CN104601743A (zh) * 2015-02-11 2015-05-06 杭州华三通信技术有限公司 基于以太的IP转发IPoE双栈用户接入控制方法和设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101848195A (zh) * 2009-03-27 2010-09-29 华为技术有限公司 轻量级双栈协商处理方法与装置、通信设备与通信***
CN101719939A (zh) * 2009-12-09 2010-06-02 赛尔网络有限公司 IPv6/IPv4双协议栈主机网络接入认证方法
CN102404293A (zh) * 2010-09-15 2012-04-04 中兴通讯股份有限公司 一种双栈用户管理方法及宽带接入服务器
CN102123153A (zh) * 2011-03-17 2011-07-13 深圳市深信服电子科技有限公司 IPv4与IPv6双栈主机的认证方法、装置及***
CN102801685A (zh) * 2011-05-23 2012-11-28 中兴通讯股份有限公司 一种Web认证方法及***
CN102325145A (zh) * 2011-10-21 2012-01-18 杭州华三通信技术有限公司 一种对双栈用户进行访问控制的方法和设备
CN102340509A (zh) * 2011-10-24 2012-02-01 杭州华三通信技术有限公司 对双栈用户进行访问控制的方法和设备
CN103220149A (zh) * 2013-04-07 2013-07-24 杭州华三通信技术有限公司 一种Portal认证方法和设备
CN104468619A (zh) * 2014-12-26 2015-03-25 杭州华三通信技术有限公司 一种实现双栈web认证的方法和认证网关
CN104601743A (zh) * 2015-02-11 2015-05-06 杭州华三通信技术有限公司 基于以太的IP转发IPoE双栈用户接入控制方法和设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111224854A (zh) * 2018-11-27 2020-06-02 北京华为数字技术有限公司 一种工作模式的选择方法、客户端前端设备及存储介质
CN111224854B (zh) * 2018-11-27 2021-09-07 北京华为数字技术有限公司 一种工作模式的选择方法、客户端前端设备及存储介质
CN110086689A (zh) * 2019-04-22 2019-08-02 杭州迪普科技股份有限公司 一种双栈bfd检测方法以及***
CN110086689B (zh) * 2019-04-22 2020-12-29 杭州迪普科技股份有限公司 一种双栈bfd检测方法以及***

Also Published As

Publication number Publication date
CN105591929B (zh) 2019-10-08

Similar Documents

Publication Publication Date Title
WO2017054757A1 (zh) 宽带接入
CN106899500B (zh) 一种跨虚拟可扩展局域网的报文处理方法及装置
WO2016202269A2 (zh) 数据报文转发
CN103188351B (zh) IPv6环境下IPSec VPN通信业务处理方法与***
CN106603491A (zh) 基于https协议的Portal认证方法及路由器
CN103379009B (zh) 基于数据链路层的ssl vpn通信方法
CN101272403B (zh) 实现dhcp用户业务批发的方法、***和设备
CN103812960A (zh) 用于订户感知服务的应用的网络地址转换
KR101201546B1 (ko) Gtp를 사용하는 모바일 환경에서의 ip 스푸핑 탐지 장치 및 방법
CN101815106B (zh) 动态gre隧道建立的方法和设备
CN101426004A (zh) 三层会话的接入方法、***及设备
JP2019515608A (ja) アクセス制御
JPWO2007141840A1 (ja) 中継ネットワークシステム及び端末アダプタ装置
CN104993993B (zh) 一种报文处理方法、设备和***
CN109412927B (zh) 一种多vpn数据传输方法、装置及网络设备
CN106878259B (zh) 一种报文转发方法及装置
CN105099921A (zh) 一种基于用户的快速业务处理方法以及装置
CN107733764B (zh) 虚拟可扩展局域网隧道的建立方法、***以及相关设备
CN109246016B (zh) 跨vxlan的报文处理方法和装置
CN105591929A (zh) 轻量级双协议栈组网下的认证方法及装置
CN103067411A (zh) 防止DS-Lite组网中的DoS攻击方法和装置
CN107743095A (zh) 报文转发方法和装置
CN101605093A (zh) 利用IP Option实现信息透传的方法
CN100490393C (zh) 一种访问客户网络管理平台的方法
CN101753525A (zh) 实现dhcp用户业务批发的方法、***和设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant