CN105591929A - 轻量级双协议栈组网下的认证方法及装置 - Google Patents
轻量级双协议栈组网下的认证方法及装置 Download PDFInfo
- Publication number
- CN105591929A CN105591929A CN201510712376.XA CN201510712376A CN105591929A CN 105591929 A CN105591929 A CN 105591929A CN 201510712376 A CN201510712376 A CN 201510712376A CN 105591929 A CN105591929 A CN 105591929A
- Authority
- CN
- China
- Prior art keywords
- ipv6
- ipv4
- address
- source
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提出轻量级双协议栈组网下的认证方法及装置。方法包括:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文,创建DS-lite表项;根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机;若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。本申请实现了双栈主机只需进行IPv4认证,就可同时访问IPv4和IPv6公网。
Description
技术领域
本申请涉及认证技术领域,尤其涉及DS-Lite(DualStackLite,轻量级双协议栈)组网下的认证方法及装置。
背景技术
DS-Lite技术综合了IPv4overIPv6隧道技术和NAT(NetworkAddressTranslation,网络地址转换)技术,利用隧道技术实现通过IPv6网络连接隔离的IPv4网络,利用NAT技术实现不同的用户网络共享相同的IPv4地址空间,减缓IPv4地址的耗尽速度。
图1为DS-List组网示意图,其中:
B4(BasicBridgingBroadband,基本桥接宽带)设备位于用户网络侧、用来连接ISP(InternetServiceProvider,互联网服务提供商)网络,通常为用户网络的网关;
AFTR(AddressFamilyTransitionRouter,地址族转换路由器)是ISP网络中的设备,是DS-Lite隧道的核心设备。AFTR同时作为DS-Lite隧道端点和NAT网关设备。
B4设备作为DS-Lite隧道的一个端点,负责将用户网络的IPv4报文封装成IPv6报文发送给AFTR;AFTR对IPv6报文进行解封装,将解封装后的用户网络报文的源IPv4地址(私网地址)转换为公网地址,并将转换后的报文发送给目的IPv4主机。AFTR进行NAT转换时,同时记录NAT映射关系和TunnelID(隧道标识),以便实现不同B4设备连接的用户网络地址可以重叠。也有部分双栈主机,通过软件实现了与B4设备对应的隧道加、解封装功能,可直接与AFTR建立DS-lite隧道,可同时访问IPv4公网和IPv6公网。
AFTR通常也被部署为运营商对用户的接入设备,用户主机通过portal(门户)等接入协议接入运营商网络。在DS-lite应用中,AFTR的隧道接口部署portal认证业务,IPv4主机的portal认证请求报文经过隧道加封装后,通过IPv6网络传输到AFTR,在AFTR的隧道接口解封装并进行portal业务处理,认证通过后portal业务根据主机的IPv4地址生成在线用户。而双栈主机通过IPv4的portal认证后若访问IPv6公网还需要再进行IPv6的portal认证。
发明内容
本申请实施例提供DS-lite组网下的认证方法及装置。
本申请的技术方案是这样实现的:
一种DS-lite组网下的认证方法,该方法包括:
接收来自用户网络的封装了IPv4认证请求报文的IPv6报文,创建DS-lite表项;
根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机;
若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
一种DS-lite组网下的认证装置,该装置包括:
DS-lite表项创建模块:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文创建DS-lite表项;
探测模块:根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机,若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
认证处理模块:当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
可见,本申请实施例中,DS-lite组网下的双栈主机只需进行一次IPv4认证就能同时访问IPv4和IPv6公网。
附图说明
图1为DS-List组网示意图;
图2为本申请一实施例提供的DS-lite组网下的认证方法流程图;
图3为本申请实施例提供的DS-lite组网下双栈主机的Portal认证方法流程图;
图4为本申请实施例提供的DS-lite组网下IPv4主机的portal认证方法流程图;
图5为本申请实施例提供的DS-lite组网下的认证下线方法流程图;
图6为本申请应用示例的DS-lite组网图;
图7为本申请实施例提供的DS-lite组网下的认证装置的组成示意图。
具体实施方式
申请人对现有的DS-lite组网下的认证方法进行分析,发现存在如下问题:
双栈主机在通过IPv4认证后,若要访问IPv6公网还需再进行IPv6认证。
图2为本申请一实施例提供的DS-lite组网下的认证方法流程图,其具体步骤如下:
步骤201:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文,创建DS-lite表项。
步骤202:根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机。
步骤203:若所述用户主机检测出为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系。
步骤204:当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
需要说明的是,这里所说的认证不限于portal认证,也包括IPoE(InternetProtocoloverEthernet)认证等以IP地址作为用户标识的认证方式,在本申请中仅以portal认证为例进行描述。
一种实施例中,步骤202中,所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址;
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若未收到封装有所述IPv4报文的IPv6探测响应报文,则确认所述用户主机为双栈主机。
一种实施例中,步骤202中,所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址,且,所述IPv4报文中的生存时间TTL值为1;
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若接收到回应Echo应答报文,则确认所述用户主机为双栈主机。
一种实施例中,步骤204中,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
一种实施例中,步骤204中,所述确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证之后进一步包括:
当所述源IPv4地址下线时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
一种实施例中,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项直接确认所述源IPv4地址关联的所述源IPv6地址下线。
Portal认证通常也称为Web认证,即通过Web页面接收用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。通过认证的用户形成在线用户表项,在线用户表项的主要内容有:
1)用户名:IPv4主机或双栈主机用于认证的账号名;
2)IP地址:IPv4portal认证时为主机的IPv4地址,IPv6portal认证时为主机的IPv6地址;
3)认证接口:在DS-lite应用中,IPv4portal业务部署在AFTR的隧道接口,IPv6portal业务部署在AFTR的隧道接口指定的隧道源接口。
DS-lite是一种无协议自动隧道,DS-lite隧道总是B4设备或双栈主机主动访问IPv4公网时触发建立,AFTR收到经过隧道加封装的报文后自动记录DS-lite表项,后续报文通过该DS-lite表项进行加、解封装,DS-lite表项的主要内容有:
1)TunnelID:TunnelID是DS-lite表项的key(密钥),由AFTR自己计算生成,AFTR一般将TunnelID存于IP快转表项或NAT表项中,公网的响应报文从IP快转表项或NAT表项中取得该TunnelID并根据它找到对应的DS-lite表项,才能进行隧道加封装处理;
2)源IPv6地址:B4设备或双栈主机的IPv6地址,AFTR从所收到的隧道封装报文的IPv6报文头获得IPv6源地址;
3)Tunnel接口:进行加、解封装的逻辑接口,一个能正常生效的Tunnel接口需指定一个实际物理接口作为隧道的源接口,实际的物理接口具有IPv6地址,Tunnel接口本身具有IPv4地址。
以下以Portal认证为例,对本申请进行进一步详细说明:
图3为本申请实施例提供的DS-lite组网下双栈主机的Portal认证方法流程图,其具体步骤如下:
步骤300:预先在DS-lite组网内的双栈主机的portal客户端上配置IPv4portal认证服务器的地址。
步骤301:双栈主机启动,接收用户输入的用户名和密码,将该用户名和密码封装在IPv4portal认证请求报文中,对该IPv4portal认证请求报文进行隧道封装,隧道头的源地址为双栈主机的IPv6地址,隧道头的目的地址为配置在双栈主机上的AFTR的隧道源接口的IPv6地址,将封装得到的IPv6报文发送出去。
步骤302:AFTR接收该IPv6报文,根据该IPv6报文的隧道头的源地址,即双栈主机的IPv6地址,未查找到对应的DS-lite表项,则创建DS-lite表项,对该报文进行隧道解封装,缓存解封装后得到的IPv4portal认证请求报文。
DS-Lite表项的内容包括:
1)tunnelID,由AFTR计算生成;
2)源IPv6地址,即AFTR接收的IPv6报文的隧道头的源地址,即双栈主机的IPv6地址;
3)tunnel接口名称,即AFTR接收的IPv6报文的隧道头的目的地址绑定的tunnel接口的名称;
4)正式化flag,这里flag=0,表示该DS-Lite表项还未生效;
5)对端IPv4地址:空。
步骤303:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为步骤302接收到的IPv6报文的隧道头的目的地址,探测报文的外层隧道头的目的地址为步骤302接收到的IPv6报文的隧道头的源地址,探测报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址和目的地址都是步骤302接收到的IPv6报文的隧道头的目的地址绑定的tunnel接口的IPv4地址,并启动等待响应定时器。
步骤304:双栈主机接收该探测报文,对该探测报文进行隧道解封装,得到ICMPv4报文,发现ICMPv4报文的目的地址并不是自己的地址,则丢弃该ICMPv4报文。
步骤305:AFTR在等待响应定时器超时时,未收到封装了上述ICMPv4报文的探测报文,则确认对端为双栈主机,将步骤302创建的DS-lite表项中的正式化flag设置为1,并根据步骤302缓存的IPv4portal认证请求报文的源IPv4地址,将该DS-lite表项中的对端IPv4地址设置为该IPv4portal认证请求报文的源IPv4地址,将该IPv4portal认证请求报文转发给IPv4Portal认证服务器。
在实际应用中,步骤303~305也可替换为:
步骤303:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为步骤302接收到的IPv6报文的隧道头的目的地址,探测报文的外层隧道头的目的地址为步骤302接收到的IPv6报文的隧道头的源地址,报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址为步骤302接收到的IPv6报文的隧道头的目的地址绑定的tunnel接口的IPv4地址,该ICMPv4报文的目的地址为步骤302接收到的IPv6报文封装的IPv4portal认证请求报文的源地址(即双栈主机的IPv4地址),并启动等待响应定时器。
步骤304:双栈主机接收该探测报文,对该探测报文进行隧道解封装,得到ICMPv4报文,将ICMPv4报文中的TTL值减1,发现ICMPv4报文的目的地址是自己的地址,则构造echoreply(回应应答)ICMPv4报文,对echoreplyICMPv4报文进行DS-Lite隧道封装后发送出去。
步骤305:AFTR在等待响应定时器超时时,收到封装了echoreplyICMPv4报文的IPv6报文,则确认对端为双栈主机,将步骤302创建的DS-lite表项中的正式化flag设置为1,并根据步骤302缓存的IPv4portal认证请求报文的源IPv4地址,将该DS-lite表项中的对端IPv4地址设置为该IPv4portal认证请求报文的源IPv4地址,将该IPv4portal认证请求报文转发给IPv4Portal认证服务器。
步骤306:AFTR接收来自IPv4portal认证服务器的portal认证通过报文,在自身添加IPv4在线用户表项,该IPv4在线用户表项的主要内容有:
1)用户名,即双栈主机的用户名,携带在portal认证通过报文中;
2)IPv4地址,即双栈主机的IPv4地址,携带在portal认证通过报文中;
3)认证接口名称,即portal认证请求报文的隧道头的目的IPv6地址绑定的tunnel接口的名称,通常,在步骤302中,AFTR会保存portal认证请求报文外层隧道头的目的IPv6地址绑定的tunnel接口的名称、portal认证请求报文携带的用户名和主机IPv4地址(即portal认证请求报文的源IPv4地址)的对应关系,本步骤中,AFTR可根据portal认证通过报文中的用户名和双栈主机的IPv4地址查找到该对应关系,从而获得认证接口名称。
步骤307:AFTR判断IPv4在线用户表项中的认证接口名称对应的接口是否为DS-lite隧道接口,若是,执行步骤308;否则,结束本流程。
步骤308:AFTR判断IPv4在线用户表项中的认证接口名称对应的接口的源接口是否使能了IPv6portal业务,若是,执行步骤309;否则,结束本流程。
步骤309:AFTR根据IPv4在线用户表项中的IPv4地址,查找到对应的DS-lite表项,根据该DS-lite表项中的源IPv6地址以及IPv4在线用户表项中的用户名和认证接口名称,在自身添加IPv6在线用户表项,该IPv6在线用户表项的主要内容有:
1)用户名,即IPv4在线用户表项中的用户名;
2)IPv6地址,即DS-lite表项中的源IPv6地址;
3)tunnel源接口名称,即IPv4在线用户表项中的认证接口名称对应接口的源接口的名称。
图4为本申请实施例提供的DS-lite组网下IPv4主机的portal认证方法流程图,其具体步骤如下:
步骤400:预先在DS-lite组网内的IPv4主机的portal客户端上配置IPv4portal认证服务器的地址。
步骤401:IPv4主机启动,接收用户输入的用户名和密码,将该用户名和密码封装在IPv4portal认证请求报文中发送出去。
步骤402:B4设备接收该IPv4portal认证请求报文,对该报文进行隧道封装,隧道头的源地址为B4设备的IPv6地址,隧道头的目的地址为配置在B4设备上的AFTR的隧道源接口的IPv6地址。
步骤403:AFTR接收该IPv6报文,根据该IPv6报文的隧道头的源地址,即B4设备的IPv6地址,未查找到对应的DS-lite表项,则创建DS-lite表项,对该IPv6报文进行隧道解封装,缓存解封装后得到的IPv4portal认证请求报文。
DS-Lite表项的内容包括:
1)tunnelID,由AFTR计算生成;
2)IPv6源地址,即AFTR接收的报文的隧道头的源地址,即B4设备的IPv6地址;
3)tunnel接口名称,即AFTR接收的报文的隧道头的目的地址绑定的tunnel接口的名称;
4)正式化flag,这里flag=0,表示该DS-Lite表项还未生效;
5)对端IPv4地址:空。
步骤404:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为步骤403接收到的报文的隧道头的目的地址,探测报文的外层隧道头的目的地址为步骤403接收到的报文的隧道头的源地址,探测报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址和目的地址都是步骤403接收到的报文的隧道头的目的地址绑定的tunnel接口的IPv4地址,并启动等待响应定时器。
步骤405:B4设备接收该探测报文,对该探测报文进行隧道解封装,得到ICMPv4报文,根据ICMPv4报文的目的地址查找自身的转发表项,得到路由出接口,发现路由出接口为隧道接口,则对该ICMPv4报文进行隧道封装,封装的隧道头的目的地址为AFTR的隧道源接口的IPv6地址,将封装后得到的探测报文发送出去。
步骤406:AFTR在等待响应定时器超时前,接收到该探测报文,则确认对端(即返回该探测报文的)为B4设备,将步骤403创建的DS-lite表项中的正式化flag设置为1,将步骤403缓存的IPv4portal认证请求报文转发给IPv4portal认证服务器。
在实际应用中,步骤403~405也可替换为:
步骤403:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为步骤402接收到的IPv6报文的隧道头的目的地址,探测报文的外层隧道头的目的地址为步骤402接收到的IPv6报文的隧道头的源地址,报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址为步骤402接收到的IPv6报文的隧道头的目的地址绑定的tunnel接口的IPv4地址,该ICMPv4报文的目的地址为步骤402接收到的IPv6报文封装的IPv4portal认证请求报文的源地址(即IPv4主机的IPv4地址),并启动等待响应定时器。
步骤404:B4设备接收该探测报文,对该探测报文进行隧道解封装,得到ICMPv4报文,将ICMPv4报文中的TTL值减1后发现TTL=0,且发现ICMPv4报文的目的地址不是自己的地址,则构造TTL超时差错ICMPv4报文,对TTL超时差错ICMPv4报文进行DS-Lite隧道封装后发送出去。
步骤405:AFTR在等待响应定时器超时时,收到封装了TTL超时差错ICMPv4报文的IPv6报文,则确认对端为B4设备,将步骤403创建的DS-lite表项中的正式化flag设置为1,将步骤403缓存的IPv4portal认证请求报文转发给IPv4portal认证服务器。
步骤407:AFTR接收来自IPv4portal认证服务器的portal认证通过报文,在自身添加IPv4在线用户表项,该IPv4在线用户表项的主要内容有:
1)用户名,即IPv4主机的用户名,携带在portal认证通过报文中;
2)IPv4地址,即IPv4主机的IPv4地址,携带在portal认证通过报文中;
3)认证接口名称,即portal认证请求报文外层隧道头的目的IPv6地址绑定的tunnel接口的名称。
步骤408:AFTR判断IPv4在线用户表项中的认证接口名称对应的接口是否为DS-lite隧道接口,若是,执行步骤409;否则,结束本流程。
步骤409:AFTR判断IPv4在线用户表项中的认证接口名称对应的接口的源接口是否使能了IPv6portal业务,若是,执行步骤410;否则,结束本流程。
步骤410:AFTR根据IPv4在线用户表项中的IPv4地址,未查找到对应的DS-lite表项,则结束本流程。
图5为本申请实施例提供的DS-lite组网下的认证下线方法流程图,其具体步骤如下:
步骤501:AFTR发现自身的一IPv4在线用户表项删除。
步骤502:AFTR判断该IPv4在线用户表项中的认证接口名称对应接口是否为DS-lite隧道接口,若是,执行步骤503;否则,结束本流程。
步骤503:AFTR判断该IPv4在线用户表项中的认证接口名称对应接口的源接口是否使能了IPv6portal业务,若是,执行步骤504;否则,结束本流程。
步骤504:AFTR根据该IPv4在线用户表项中的IPv4地址查找对应的DS-lite表项,判断是否查找到,若是,执行步骤505;否则,结束本流程。
步骤505:AFTR根据该DS-lite表项中的源IPv6地址查找到对应的IPv6在线用户表项,删除该IPv6在线用户表项。
以下给出本申请的应用示例:
如图6所示的DS-Lite组网,其中:
HostA为双栈主机,其IPv4地址为10.1.0.15,其IPv6地址为3010::15;
HostB为IPv4主机,其IPv4地址为10.0.0.13;
B4设备的IPv6地址为3010::13;
AFTR的Tunnel接口的IPv4地址为10.0.0.1,该Tunnel接口的源接口的IPv6地址为3010::1;
其中,HostA设置有portal客户端,在该客户端上配置了IPv4portal认证服务器的地址;HostB上也设置有portal客户端,在该客户端也配置了IPv4portal认证服务器的地址;AFTR的隧道源接口3010::1上使能了IPv6portal业务。
HostA的portal认证过程如下:
步骤01:HostA启动,接收用户输入的用户名和密码,将该用户名和密码封装在IPv4portal认证请求报文中,对该IPv4portal认证请求报文进行隧道封装,隧道头的源地址为HostA的IPv6地址:3010::15,隧道头的目的地址为配置在HostA上的AFTR的隧道源接口的IPv6地址:3010::1,将封装完的报文发送出去。
步骤02:AFTR接收该报文,根据该报文的隧道头的源地址:3010::15,未查找到对应的DS-lite表项,则创建DS-lite表项,对该报文进行隧道解封装,缓存解封装后得到的IPv4portal认证请求报文。
DS-lite表项的内容包括:
1)tunnelID,由AFTR计算生成;
2)源IPv6地址,即AFTR接收的报文的隧道头的源地址,即HostA的IPv6地址:3010::15;
3)tunnel接口名称,即AFTR接收的报文的隧道头的目的地址3010::1绑定的tunnel接口的名称;
4)正式化flag,这里flag=0,表示该DS-Lite表项还未生效;
5)对端IPv4地址:空。
步骤03:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为3010::1,目的地址为3010::15,报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址和目的地址都是AFTR的隧道源接口3010::1绑定的tunnel接口的IPv4地址:10.0.0.1,并启动等待响应定时器。
步骤04:HostA接收该探测报文,对该报文进行隧道解封装,得到ICMPv4报文,发现ICMPv4报文的目的地址并不是自己的地址,则丢弃该ICMPv4报文。
步骤05:AFTR在等待响应定时器超时后,未收到封装了源地址和目的地址都为10.0.0.1的ICMPv4报文的探测报文,则确认对端为双栈主机,将步骤02创建的DS-lite表项中的正式化flag设置为1,并根据步骤02缓存的IPv4portal认证请求报文的源IPv4地址:10.1.0.15,将该DS-lite表项中的对端IPv4地址设置为10.1.0.15,将该IPv4portal认证请求报文转发给IPv4portal认证服务器。
经过本步骤后,DS-lite表项的主要内容如下:
1)tunnelID,与步骤02的DS-lite表项相同;
2)源IPv6地址,与步骤02的DS-lite表项相同,为3010::15;
3)tunnel接口名称,与步骤02的DS-lite表项相同;
4)正式化flag=1,表示该DS-Lite表项生效;
5)对端IPv4地址,即HostA的IPv4地址:10.1.0.15。
步骤06:AFTR接收来自IPv4portal认证服务器的portal认证通过报文,在自身添加IPv4在线用户表项,该IPv4在线用户表项的主要内容有:
1)用户名,即HostA的用户名,携带在portal认证通过报文中;
2)IPv4地址,即HostA的IPv4地址:10.1.0.15,携带在portal认证通过报文中;
3)认证接口名称,即AFTR的隧道源接口3010::1绑定的tunnel接口的名称。
步骤07:AFTR确认IPv4在线用户表项中的认证接口名称对应的接口为DS-lite隧道接口,且确认IPv4在线用户表项中的认证接口名称对应的接口的源接口使能了IPv6portal业务,则根据IPv4在线用户表项中的IPv4地址:10.1.0.15,查找到对应的DS-lite表项,根据该DS-lite表项中的源IPv6地址以及DS-lite表项中的用户名和认证接口名称,在自身添加IPv6在线用户表项,该IPv6在线用户表项的主要内容有:
1)用户名,与IPv4在线用户表项相同,为HostA的用户名;
2)IPv6地址,即DS-lite表项中的源IPv6地址,为3010::15;
3)tunnel源接口名称,即IPv4在线用户表项中的认证接口名称对应接口的源接口的名称。
HostB的portal认证过程如下:
步骤01:HostB启动,接收用户输入的用户名和密码,将该用户名和密码封装在IPv4portal认证请求报文中发送出去。
步骤02:B4设备接收该IPv4portal认证请求报文,对该报文进行隧道封装,隧道头的源地址为B4设备的IPv6地址:3010::13,隧道头的目的地址为配置在B4设备上的AFTR的隧道源接口的IPv6地址:3010::1。
步骤03:AFTR接收该报文,根据该报文的隧道头的源地址,即B4设备的IPv6地址:3010::13,未查找到对应的DS-lite表项,则创建DS-lite表项,对该报文进行隧道解封装,缓存解封装后得到的IPv4portal认证请求报文。
DS-Lite表项的内容包括:
1)tunnelID,由AFTR计算生成;
2)IPv6源地址,即AFT接收的报文的隧道头的源地址,即B4设备的IPv6地址:3010::13;
3)tunnel接口名称,即AFTR接收的报文的隧道头的目的地址:3010::1绑定的tunnel接口的名称;
4)正式化flag,这里flag=0,表示该DS-Lite表项还未生效;
5)对端IPv4地址:空。
步骤04:AFTR发送IPv6探测报文,探测报文的外层隧道头的源地址为:3010::1,目的地址为:3010::13,报文的数据部分为一个ICMPv4报文,该ICMPv4报文的源地址和目的地址都是AFTR的隧道源接口3010::1绑定的tunnel接口的IPv4地址:10.0.0.1,并启动等待响应定时器。
步骤05:B4设备接收该探测报文,对该报文进行隧道解封装,得到ICMPv4报文,根据ICMPv4报文的目的地址10.0.0.1查找自身的转发表项,得到路由出接口,发现路由出接口为隧道接口,则对该ICMPv4进行隧道封装,封装的隧道头的目的地址为AFTR的隧道源接口的IPv6地址3010::1,将封装得到的探测报文发送出去。
步骤06:AFTR在等待响应定时器超时前,接收到该探测报文,则确认对端(即返回该探测报文的)为B4设备,将步骤03创建的DS-lite表项中的正式化flag设置为1,将步骤03缓存的IPv4portal认证请求报文转发给IPv4portal认证服务器。
步骤07:AFTR接收来自IPv4portal认证服务器的portal认证通过报文,在自身添加IPv4在线用户表项,该IPv4在线用户表项的主要内容有:
1)用户名,即HostB的用户名,携带在portal认证通过报文中;
2)IPv4地址,即HostB的IPv4地址:10.0.0.13,携带在portal认证通过报文中;
3)认证接口名称,即portal认证请求报文外层隧道头的目的IPv6地址:3010::1绑定的tunnel接口的名称。
步骤08:AFTR确认IPv4在线用户表项中的认证接口名称对应的接口为DS-lite隧道接口,且确认IPv4在线用户表项中的认证接口名称对应的接口的源接口使能了IPv6portal业务,则根据IPv4在线用户表项中的IPv4地址:10.0.0.13未查找到对应的DS-lite表项,则结束本流程。
图7为本申请实施例提供的DS-lite组网下的认证装置的组成示意图,该装置位于AFTR上,该装置主要包括:DS-lite表项创建模块、探测模块和认证处理模块,其中:
DS-lite表项创建模块:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文创建DS-lite表项。
探测模块:根据DS-lite表项创建模块接收的所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机,若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系。
认证处理模块:当发现DS-lite表项创建模块接收的所述IPv6报文封装的所述IPv4认证请求报文的源IPv4地址通过认证时,根据DS-lite表项创建模块创建的所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
一种实施例中,所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址;
所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若未收到封装有所述IPv4报文的IPv6探测响应报文,则确认所述用户主机为双栈主机。
一种实施例中,探测模块发送的所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址,且,所述IPv4报文中的TTL值为1;
探测模块检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若接收到回应Echo应答报文,则确认所述用户主机为双栈主机。
一种实施例中,认证处理模块根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
一种实施例中,认证处理模块确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证之后进一步包括:
当所述源IPv4地址下线时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
一种实施例中,认证处理模块根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种轻量级双协议栈DS-lite组网下的认证方法,其特征在于,该方法包括:
接收来自用户网络的封装了IPv4认证请求报文的IPv6报文,创建DS-lite表项;
根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机;
若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
2.根据权利要求1所述的方法,其特征在于,
所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址;
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若未收到封装有所述IPv4报文的IPv6探测响应报文,则确认所述用户主机为双栈主机。
3.根据权利要求1所述的方法,其特征在于,
所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址,且,所述IPv4报文中的生存时间TTL值为1;
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若接收到回应Echo应答报文,则确认所述用户主机为双栈主机。
4.根据权利要求1所述的方法,其特征在于,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
5.根据权利要求1所述的方法,其特征在于,所述确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证之后进一步包括:
当所述源IPv4地址下线时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
6.根据权利要求5所述的方法,其特征在于,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项直接确认所述源IPv4地址关联的所述源IPv6地址下线。
7.一种轻量级双协议栈DS-lite组网下的认证装置,其特征在于,该装置包括:
DS-lite表项创建模块:接收来自用户网络的封装了IPv4认证请求报文的IPv6报文创建DS-lite表项;
探测模块:根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机,若检测出所述用户主机为双栈主机,则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
认证处理模块:当所述源IPv4地址通过认证时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
8.根据权利要求7所述的装置,其特征在于,
所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址;
所述探测模块检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若未收到封装有所述IPv4报文的IPv6探测响应报文,则确认所述用户主机为双栈主机。
9.根据权利要求7所述的装置,其特征在于,
所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址,且,所述IPv4报文中的生存时间TTL值为1;
所述探测模块检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
若接收到回应Echo应答报文,则确认所述用户主机为双栈主机。
10.根据权利要求7所述的装置,其特征在于,
所述认证处理模块根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则所述根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
11.根据权利要求7所述的装置,其特征在于,
所述认证处理模块确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证之后进一步包括:
当所述源IPv4地址下线时,根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
12.根据权利要求11所述的装置,其特征在于,
所述认证处理模块根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线,包括:
判断所述源IPv4地址对应的认证接口是否为隧道接口;
若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了IPv6认证业务;
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务,则根据所述DS-lite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510712376.XA CN105591929B (zh) | 2015-10-28 | 2015-10-28 | 轻量级双协议栈组网下的认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510712376.XA CN105591929B (zh) | 2015-10-28 | 2015-10-28 | 轻量级双协议栈组网下的认证方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105591929A true CN105591929A (zh) | 2016-05-18 |
CN105591929B CN105591929B (zh) | 2019-10-08 |
Family
ID=55931164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510712376.XA Active CN105591929B (zh) | 2015-10-28 | 2015-10-28 | 轻量级双协议栈组网下的认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105591929B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110086689A (zh) * | 2019-04-22 | 2019-08-02 | 杭州迪普科技股份有限公司 | 一种双栈bfd检测方法以及*** |
CN111224854A (zh) * | 2018-11-27 | 2020-06-02 | 北京华为数字技术有限公司 | 一种工作模式的选择方法、客户端前端设备及存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101719939A (zh) * | 2009-12-09 | 2010-06-02 | 赛尔网络有限公司 | IPv6/IPv4双协议栈主机网络接入认证方法 |
CN101848195A (zh) * | 2009-03-27 | 2010-09-29 | 华为技术有限公司 | 轻量级双栈协商处理方法与装置、通信设备与通信*** |
CN102123153A (zh) * | 2011-03-17 | 2011-07-13 | 深圳市深信服电子科技有限公司 | IPv4与IPv6双栈主机的认证方法、装置及*** |
CN102325145A (zh) * | 2011-10-21 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种对双栈用户进行访问控制的方法和设备 |
CN102340509A (zh) * | 2011-10-24 | 2012-02-01 | 杭州华三通信技术有限公司 | 对双栈用户进行访问控制的方法和设备 |
CN102404293A (zh) * | 2010-09-15 | 2012-04-04 | 中兴通讯股份有限公司 | 一种双栈用户管理方法及宽带接入服务器 |
CN102801685A (zh) * | 2011-05-23 | 2012-11-28 | 中兴通讯股份有限公司 | 一种Web认证方法及*** |
CN103220149A (zh) * | 2013-04-07 | 2013-07-24 | 杭州华三通信技术有限公司 | 一种Portal认证方法和设备 |
CN104468619A (zh) * | 2014-12-26 | 2015-03-25 | 杭州华三通信技术有限公司 | 一种实现双栈web认证的方法和认证网关 |
CN104601743A (zh) * | 2015-02-11 | 2015-05-06 | 杭州华三通信技术有限公司 | 基于以太的IP转发IPoE双栈用户接入控制方法和设备 |
-
2015
- 2015-10-28 CN CN201510712376.XA patent/CN105591929B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101848195A (zh) * | 2009-03-27 | 2010-09-29 | 华为技术有限公司 | 轻量级双栈协商处理方法与装置、通信设备与通信*** |
CN101719939A (zh) * | 2009-12-09 | 2010-06-02 | 赛尔网络有限公司 | IPv6/IPv4双协议栈主机网络接入认证方法 |
CN102404293A (zh) * | 2010-09-15 | 2012-04-04 | 中兴通讯股份有限公司 | 一种双栈用户管理方法及宽带接入服务器 |
CN102123153A (zh) * | 2011-03-17 | 2011-07-13 | 深圳市深信服电子科技有限公司 | IPv4与IPv6双栈主机的认证方法、装置及*** |
CN102801685A (zh) * | 2011-05-23 | 2012-11-28 | 中兴通讯股份有限公司 | 一种Web认证方法及*** |
CN102325145A (zh) * | 2011-10-21 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种对双栈用户进行访问控制的方法和设备 |
CN102340509A (zh) * | 2011-10-24 | 2012-02-01 | 杭州华三通信技术有限公司 | 对双栈用户进行访问控制的方法和设备 |
CN103220149A (zh) * | 2013-04-07 | 2013-07-24 | 杭州华三通信技术有限公司 | 一种Portal认证方法和设备 |
CN104468619A (zh) * | 2014-12-26 | 2015-03-25 | 杭州华三通信技术有限公司 | 一种实现双栈web认证的方法和认证网关 |
CN104601743A (zh) * | 2015-02-11 | 2015-05-06 | 杭州华三通信技术有限公司 | 基于以太的IP转发IPoE双栈用户接入控制方法和设备 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111224854A (zh) * | 2018-11-27 | 2020-06-02 | 北京华为数字技术有限公司 | 一种工作模式的选择方法、客户端前端设备及存储介质 |
CN111224854B (zh) * | 2018-11-27 | 2021-09-07 | 北京华为数字技术有限公司 | 一种工作模式的选择方法、客户端前端设备及存储介质 |
CN110086689A (zh) * | 2019-04-22 | 2019-08-02 | 杭州迪普科技股份有限公司 | 一种双栈bfd检测方法以及*** |
CN110086689B (zh) * | 2019-04-22 | 2020-12-29 | 杭州迪普科技股份有限公司 | 一种双栈bfd检测方法以及*** |
Also Published As
Publication number | Publication date |
---|---|
CN105591929B (zh) | 2019-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2017054757A1 (zh) | 宽带接入 | |
CN106899500B (zh) | 一种跨虚拟可扩展局域网的报文处理方法及装置 | |
WO2016202269A2 (zh) | 数据报文转发 | |
CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与*** | |
CN106603491A (zh) | 基于https协议的Portal认证方法及路由器 | |
CN103379009B (zh) | 基于数据链路层的ssl vpn通信方法 | |
CN101272403B (zh) | 实现dhcp用户业务批发的方法、***和设备 | |
CN103812960A (zh) | 用于订户感知服务的应用的网络地址转换 | |
KR101201546B1 (ko) | Gtp를 사용하는 모바일 환경에서의 ip 스푸핑 탐지 장치 및 방법 | |
CN101815106B (zh) | 动态gre隧道建立的方法和设备 | |
CN101426004A (zh) | 三层会话的接入方法、***及设备 | |
JP2019515608A (ja) | アクセス制御 | |
JPWO2007141840A1 (ja) | 中継ネットワークシステム及び端末アダプタ装置 | |
CN104993993B (zh) | 一种报文处理方法、设备和*** | |
CN109412927B (zh) | 一种多vpn数据传输方法、装置及网络设备 | |
CN106878259B (zh) | 一种报文转发方法及装置 | |
CN105099921A (zh) | 一种基于用户的快速业务处理方法以及装置 | |
CN107733764B (zh) | 虚拟可扩展局域网隧道的建立方法、***以及相关设备 | |
CN109246016B (zh) | 跨vxlan的报文处理方法和装置 | |
CN105591929A (zh) | 轻量级双协议栈组网下的认证方法及装置 | |
CN103067411A (zh) | 防止DS-Lite组网中的DoS攻击方法和装置 | |
CN107743095A (zh) | 报文转发方法和装置 | |
CN101605093A (zh) | 利用IP Option实现信息透传的方法 | |
CN100490393C (zh) | 一种访问客户网络管理平台的方法 | |
CN101753525A (zh) | 实现dhcp用户业务批发的方法、***和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |