一种认证确定方法及接入设备技术

本发明专利技术实施例提供了一种认证确定方法及接入设备，包括：当AC接收到第一终端的网络访问请求报文时，确定是否存在基于第一终端的MAC地址建立的映射表；当存在时，判断接收上述报文的第一端口及其所属第一vlan与确定的映射表记录的第二端口及其所属第二vlan是否为同一vlan的同一端口；若否，通过第一端口发送以上述报文的源IP地址为目的IP地址的第一探测请求报文，以及通过第二端口发送以映射表记录的IP地址为目的地址的第二探测请求报文；根据是否接收到第一探测响应报文，以及第二探测响应报文的结果，确定对第一终端进行的认证。本发明专利技术提供的认证确定方法更加合理。本发明专利技术涉及通信技术领域。

【技术实现步骤摘要】
一种认证确定方法及接入设备
本专利技术涉及通信
，尤其涉及一种认证确定方法及接入设备。
技术介绍
Portal在英语中有“入口 ”的意思,一般将Portal认证网站称为门户网站。Portal认证通常也被称为网络Web认证。与802.1x认证方式相比，Web认证具有较强的易用性。用户不需要安装认证客户端，只需要在终端上使用浏览器，输入用户名和密码，即可完成认证，实现访问控制。图1为现有技术中无线Web认证的典型组网方式示意图。 如图1所示，现有技术中无线Web认证的典型组网方式包括五个基本角色:STA、接入点(AP, Access Point)、接入控制器(AC, Access Controller) > Portal 服务器，Radius服务器。其中，STA可以为终端设备，终端设备上安装有运行超文本传输协议(HTTP，HyperText Transfer Protocol)的浏览器,用户上网时可以发出HTTP请求；AP为接入点，用于使终端设备接入网络；AC为无线控制器，用于实现用户强制Portal、业务控制，接收Portal服务器Server发起的认证请求，完成用户认证功能；Portal服务器可以为门户网站，用于推送认证页面，接收无线局域网(WLAN, Wireless Local Area Network)用户的认证信息，向AC发起用户认证请求以及用户下线通知；Radius服务器用于终端设备接入认证，计费，授权实体。 现有技术中，Web认证流程大致如下:在AC上将某个热点配置Web认证，该热点的STA获取AP的网际协议(IP，Internet Protocol)地址后，打开浏览器访问某个网站，AC将STA发送的报文拦截，并假冒该网站与STA进行三次握手，握手成功后，若AC接收到该STA发送的http请求request报文,并且该报文中含有获得get或头head字段,则AC向该STA回复http302报文，将STA重定向至Portal服务器，STA根据重定向地址访问Portal服务器，并接收Portal服务器推送的登录页面，STA将用户名和密码发送给Portal服务器，Portal服务器根据接收的用户名和密码使Radius服务器对STA进行认证，在认证成功之后，AC将该STA置为上线，允许该STA的IP报文通过，在Portal服务器侧，将认证成功的STA的MAC地址以及认证时使用的用户名和密码对应保存。 当STA关闭网页之后再重新打开网页时，由于STA已经经过了 Web认证，此时可以不进行Web认证，而进行接入认证，大致流程概括如下-AC发现http流量，根据发送http请求的STA的MAC地址，查询该MAC地址是否绑定且不在黑名单，当确定该MAC地址已经绑定且不在黑名单时，将MAC地址发送给Portal服务器发起对STA的认证，Portal服务器将与MAC地址绑定的用户名和密码发送给AC，AC将接收到的用户名和密码发送给Radius服务器，使Radius服务器对STA进行认证。 但是，目前市面上存在很多不符合MAC地址唯一性要求的终端，这些终端的MAC地址可能重复,现有技术中这类终端接入通过AC访问的网络时，AC会根据该终端的MAC地址确定对该终端进行Web认证或者接入认证，而如果与该终端具有相同MAC地址的授权用户已经登录，该未授权用户会将已登录授权用户踢下线。
技术实现思路
本专利技术实施例提供了一种认证确定方法及接入设备，用以解决现有技术中AC确定需要对终端进行的认证时确定方法不合理的问题。 基于上述问题，本专利技术实施例提供的一种认证确定方法，包括: 当接入控制器AC接收到第一终端发送的网络访问请求报文时，确定是否存在基于所述第一终端的媒体访问控制(MAC, Media Access Control)地址建立的映射表， 其中，所述映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属虚拟局域网(vlan, virtual local areanetwork)、以及该映射表对应终端发送数据包的源IP地址； 当确定存在基于所述第一终端的MAC地址建立的映射表时，判断接收所述网络访问请求报文的第一端口及第一端口所属第一 vlan与确定的映射表记录的第二端口及第二端口所属第二 vlan是否为同一 vlan的同一端口 ； 当判断结果为否时，通过所述第一端口发送以所述网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文，以及通过所述第二端口发送以所述映射表记录的IP地址为目的地址的第二探测请求报文； 根据是否接收到所述第一探测请求报文对应的第一探测响应报文，以及所述第二探测请求报文对应的第二探测响应报文的结果，确定对所述第一终端进行的认证。 本专利技术实施例提供的一种接入控制器，包括: 接收模块，用于当接收到第一终端发送的网络访问请求报文时，确定是否存在基于所述第一终端的MAC地址建立的映射表， 其中，所述映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属vlan、以及该映射表对应终端发送数据包的源IP地址； 判断模块，用于当所述接收模块确定出存在基于所述第一终端的MAC地址建立的映射表时，判断接收所述网络访问请求报文的第一端口及第一端口所属第一 vlan与确定的映射表记录的第二端口及第二端口所属第二 vlan是否为同一 vlan的同一端口 ； 发送模块，用于当所述判断模块的判断结果为否时，通过所述第一端口发送以所述网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文，以及通过所述第二端口发送以所述映射表记录的IP地址为目的地址的第二探测请求报文； 确定模块，用于根据所述接收模块是否接收到所述第一探测请求报文对应的第一探测响应报文，以及所述第二探测请求报文对应的第二探测响应报文的结果，确定对所述第一终端进行的认证。 本专利技术实施例的有益效果包括: 本专利技术实施例提供的一种认证确定方法及接入设备，包括:当AC接收到第一终端的网络访问请求报文时，确定是否存在基于第一终端的MAC地址建立的映射表，其中，映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属vlan、以及该映射表对应终端发送数据包的源IP地址；当确定存在基于第一终端的MAC地址建立的映射表时，判断接收网络访问请求报文的第一端口及第一端口所属第一 vlan与确定的映射表记录的第二端口及第二端口所属第二 vlan是否为同一 vlan的同一端口 ；当判断结果为否时，通过第一端口发送以网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文，以及通过第二端口发送以映射表记录的IP地址为目的地址的第二探测请求报文；根据是否接收到第一探测请求报文对应的第一探测响应报文，以及第二探测请求报文对应的第二探测响应报文的结果，确定对第一终端进行的认证。本专利技术实施例提供的一种认证确定方法，当AC接收到第一终端发送的网络访问请求，并根据第一终端的MAC地址查找到基于该MAC地址建立的映射表时，不会直接将该映射表确定为第一终端对应的映射表，而是将本文档来自技高网...

【技术保护点】
一种认证确定方法，其特征在于，包括：当接入控制器AC接收到第一终端发送的网络访问请求报文时，确定是否存在基于所述第一终端的媒体访问控制MAC地址建立的映射表，其中，所述映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属虚拟局域网vlan、以及该映射表对应终端发送数据包的源网际协议IP地址；当确定存在基于所述第一终端的MAC地址建立的映射表时，判断接收所述网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口；当判断结果为否时，通过所述第一端口发送以所述网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文，以及通过所述第二端口发送以所述映射表记录的IP地址为目的地址的第二探测请求报文；根据是否接收到所述第一探测请求报文对应的第一探测响应报文，以及所述第二探测请求报文对应的第二探测响应报文的结果，确定对所述第一终端进行的认证。

【技术特征摘要】
1.一种认证确定方法，其特征在于，包括: 当接入控制器AC接收到第一终端发送的网络访问请求报文时，确定是否存在基于所述第一终端的媒体访问控制MAC地址建立的映射表， 其中，所述映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属虚拟局域网vlan、以及该映射表对应终端发送数据包的源网际协议IP地址； 当确定存在基于所述第一终端的MAC地址建立的映射表时，判断接收所述网络访问请求报文的第一端口及第一端口所属第一 vlan与确定的映射表记录的第二端口及第二端口所属第二 vlan是否为同一 vlan的同一端口 ； 当判断结果为否时，通过所述第一端口发送以所述网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文，以及通过所述第二端口发送以所述映射表记录的IP地址为目的地址的第二探测请求报文； 根据是否接收到所述第一探测请求报文对应的第一探测响应报文，以及所述第二探测请求报文对应的第二探测响应报文的结果，确定对所述第一终端进行的认证。2.如权利要求1所述的方法，其特征在于，根据是否接收到所述第一探测请求报文对应的第一探测响应报文，以及所述第二探测请求报文对应的第二探测响应报文的结果，确定对所述第一终端进行的认证，具体包括: 当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文，且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文，且所述第一探测响应报文与所述第二探测响应报文的源IP地址不同时，确定所述第一终端与所述映射表记录的MAC地址对应的第二终端为具有相同MAC地址的不同终端，确定对所述第一终端进行Web认证。3.如权利要求2所述的方法，其特征在于，在所述第一终端通过Web认证之后，还包括: 为所述第一终端建立映射表； 其中，所述第一终端的映射表中对应记录有所述第一终端的MAC地址、所述第一端口、所述第一 vlan、以及所述网络访问请求报文的源IP地址。4.如权利要求1-3任一项所述的方法，其特征在于，预先设置一个尚未启用的端口为广播端口，并使广播端口与具有相同MAC地址的不同映射表中的各端口构成端口广播组； 当接收到网络侧发送的需要转发给终端的报文时，还包括: 当根据接收的报文的目的IP地址确定该接收的报文的目的MAC地址为重复的MAC地址时，将接收到的报文重定向到所述广播端口 ； 通过所述广播端口将接收到的报文广播给所述端口广播组中除所述广播端口之外的端口，使所述端口广播组中除所述广播端口之外的端口将接收到的广播报文发送出去。5.如权利要求1所述的方法，其特征在于，根据是否接收到所述第一探测请求报文对应的第一探测响应报文，以及所述第二探测请求报文对应的第二探测响应报文的结果，确定对所述第一终端进行的认证，具体包括: 当在所述第一端口未接收到所述第一探测请求报文对应的第一探测响应报文，且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文时，确定所述网络访问请求报文为非法报文，将确定的非法报文丢弃； 当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文，且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文，且所述第一探测响应报文与第二探测响应报文的源IP地址相同时，确定所述网络访问请求报文为非法报文，将确定的非法报文丢弃； 当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文，且在所述第二端口未接收到所述第二探测请求报文对应的第二探测响应报文时，确定所述第一终端发生了迁移，确定对所述第一终端进行接入认证。6.如权利要求1_3、5任一项所述的方法，其特征在于，当确定出对所述第一终端进行的认证为接入认证时，还包括:采用如下方法对所述第一终端进行接入认证: 将所述第一终端的MAC地址、所述第一端口、所述第一 vlan、以及所述第一终端的IP地址携带于接入认证请求，发送给Radius服务器， 其中，所述Radius服务器用于当记录的所述第一终端的MAC地址及IP地址所标识的用户名和密码通过Web认证时，向AC回复表征接入认证成功的接入认证响应，以及当所述接入认证请求中携带的所述第一端口和/或所述第一 vlan与所述Radius服务器中对应的记录不同时，使用所述接入认证请求中携带的所述第一端口和/或所述第一 vlan将对应的记录更新； 当所述第一终端的MAC地址及IP地址所标识的用户名和密码组已经通过Web认证时，接收表征...

【专利技术属性】
技术研发人员：杨敬民，
申请(专利权)人：福建星网锐捷网络有限公司，
类型：发明
国别省市：福建;35