一种报文处理方法及接入设备技术

本发明专利技术的实施例公开一种报文处理方法及接入设备，涉及通信领域，能够降低报文处理过程中对ACL芯片的依赖程度，从而降低ACL芯片中ACL条目数量受限对网络业务的影响。该方法，包括：接入设备使能Portal认证功能的受控端口；配置受控端口的ACL规则以及MAC地址转发表规则，其中ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过，以及允许目的IP为Portal服务器IP的报文通过；MAC地址转发表规则包含将所有源地址未知的报文重定向到接入设备的CPU；通过受控端口接收客户端发送的报文，并依据ACL规则以及MAC地址转发表规则处理接收到的报文。本发明专利技术的实施例用于报文处理。

【技术实现步骤摘要】

本专利技术的实施例涉及通信领域，尤其涉及一种报文处理方法及接入设备。
技术介绍
随着网络技术的不断发展，信息安全问题也日益突出。信息作为一种重要的资源，对任何个人、企业和国家都具有十分重要的意义，如何确保网络中信息的安全已经成为全社会关注的问题。一个网络，如果对接入的用户不进行合法性检查，任何用户只要能接入网络交换机，就可以随意访问网络中的任何资源，毫无安全性可言。为了解决这一问题，通常采用部署使用了B/S(Browser/Server，浏览器/服务器模式)架构(如图1所示)的Portal(门户入口)认证接入方法来确保网络中授权的资源只能被授权的用户访问，其中B/S架构包括客户端、接入设备、Portal服务器、认证服务器以及与认证服务器连接的用户数据库，客户端通过接入设备访问网络资源。Portal认证，也被称为Web(浏览器)认证，是根据Portal协议使用浏览器进行网络接入认证的方法，其通常实现方式参照图2所示，包括如下步骤：s201.接入设备在使能了Portal认证的受控端口上设置截取客户端访问网络的HTTP请求等规则到ACL芯片。s202.客户端通过浏览器发起访问网络的HTTP请求。s203.接入设备通过截取客户端访问网络的HTTP请求，并通知客户端将其重定向到预配置的Portal服务器。s204.客户端根据重定向命令通过浏览器向Portal服务器发送访问网络的HTTP请求。s205.客户端的浏览器获取登录页面。s206.客户端通过登录页面向Portal服务器提交认证凭证。所述认证凭证包括用户名和密码，或者是用户证书。s207.Portal服务器将客户端提交的认证凭证以及相关信息(Portal协议没有包括客户端源MAC地址)通过Portal协议发送给接入设备。s208.接入设备对Portal服务器提交的用户名及密码进行认证(可使用AAA机制进行远程认证，也可使用本地数据库进行认证)。s209.认证通过后，接入设备设置允许客户端IP地址(Portal协议没有客户端MAC地址)访问网络的规则到ACL芯片。s210.接入设备告知Portal服务器认证通过。s211.Portal服务器推送认证通过页面至客户端的浏览器。s212.客户端访问网络。使用B/S架构的Portal认证网络接入方法不需要客户端专门安装客户端程序就可使用，具有使用方便、部署简单等优点。如图2所示，现有Portal认证接入方案的整个过程依赖于ACL芯片：在步骤s201中，使能了Portal认证的端口上需要设置ACL规则，典型的设置如表1所示，该ACL规则既能保证客户端能访问Portal服务器，同时又让访问其它网络的HTTP请求会被截取送往CPU后进行HTTP重定向。表1步骤s209中，需要给认证通过的客户端设置ACL规则(表2中添加规则A03)，允许其访问网络，典型的设置如表2所示，该ACL硬件设置既能保证认证通过的客户端能自由访问网络，同时让未认证通过的客户端能按照正常流程进行认证。表2上述现有Portal认证接入方案具有实现简单、不易出错等优点，但整个认证接入过程依赖于ACL芯片的ACL规则，而当前流行的交换芯片的ACL条目有限(通常为几千条)，这样控制客户端接入网络时导致客户端接入数量受限，此外或影响其它必须依赖ACL芯片的业务正常运行。
技术实现思路
本专利技术的实施例提供一种报文处理方法及接入设备，能够降低报文处理过程中对ACL芯片的依赖程度，从而降低ACL芯片中ACL条目数量受限对网络业务的影响。第一方面、提供一种报文处理方法，包括：接入设备使能Portal认证功能的受控端口；所述接入设备配置所述受控端口的ACL规则以及MAC地址转发表规则，其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过，以及允许目的IP为Portal服务器IP的报文通过；所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU；所述接入设备通过所述受控端口接收客户端发送的报文，并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文。第二方面、提供一种接入设备，包括：端口处理单元、用于使能Portal认证功能的受控端口；芯片配置单元，用于配置所述处理单元使能的受控端口的ACL规则以及MAC地址转发表规则，其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过，以及允许目的IP为Portal服务器IP的报文通过；所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU；报文处理单元，用于通过所述受控端口接收客户端发送的报文，并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文。在上述方案中，接入设备在使能Portal认证功能的受控端口后；能够配置所述受控端口的ACL规则以及MAC地址转发表规则，其中所述ACL规则包含允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过；所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU；之后接入设备通过所述受控端口接收客户端发送的报文，并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文，由于本专利技术的实施例提供的方案能够同时使用MAC地址转发表规则配合ACL规则提供的规则对受控端口接收到的报文进行处理，避免了如现有技术中仅使用ACL规则对受控端口接收到的报文进行处理，因此能够降低报文处理过程中对ACL芯片的依赖程度，从而降低ACL芯片中ACL条目数量受限对网络业务的影响。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为现有技术提供的一种B/S架构图；图2为现有技术提供的一种Portal认证方法的流程图；图3为本专利技术的实施例提供的一种报文处理方法的流程图；图4为本专利技术的另一实施例提供的一种报文处理方法的流程图；图5为本专利技术的实施例提供的一种接入设备的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例描述的系统架构以及业务场景是为了更加清楚的说明本专利技术实施例的技术方案，并不构成对于本专利技术实施例提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本专利技术实施例提供的技术方案对于类似的技术问题，同样适用。本专利技术的实施例使用的技术术语包括如下：MAC地址转发表是交换芯片内部用于快速定位报文转发端口的芯片逻辑，相对便宜且表项较多(当前流行芯片的FDB表项为十万条以上)。FDB也被称作MAC地址转发表，其表项是由终端的MAC地址、与终端相连的交换机端口及该端口所属VLANID组成。交换机接收到数据报文时，会将报文的目的MAC地址与设备中保存的MAC地址表项进行匹配，并将报文按本文档来自技高网...

【技术保护点】
一种报文处理方法，其特征在于，接入设备使能Portal认证功能的受控端口；所述接入设备配置所述受控端口的ACL规则以及MAC地址转发表规则，其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过，以及允许目的IP为Portal服务器IP的报文通过；所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU；所述接入设备通过所述受控端口接收客户端发送的报文，并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文。

【技术特征摘要】
1.一种报文处理方法，其特征在于，接入设备使能Portal认证功能的受控端口；所述接入设备配置所述受控端口的ACL规则以及MAC地址转发表规则，其中所述ACL规则包含允许ARP报文、DNS报文以及DHCP报文通过，以及允许目的IP为Portal服务器IP的报文通过；所述MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU；所述接入设备通过所述受控端口接收客户端发送的报文，并依据所述ACL规则以及MAC地址转发表规则处理接收到的报文。2.根据权利要求1所述的方法，其特征在于，所述接入设备依据所述ACL规则以及MAC地址转发表规则处理接收到的报文，包括：所述接入设备依据所述ACL规则以及MAC地址转发表规则通过CPU获取源地址未知的报文；所述方法还包括：所述接入设备通过CPU在数据库查询所述源地址未知的报文的客户端；当所述数据库包含所述源地址未知的报文的客户端时，依据所述源地址未知的报文的报文类型对所述源地址未知的报文进行处理。3.根据权利要求2所述的方法，其特征在于，当所述数据库不包含所述源地址未知的报文的客户端时，所述方法还包括：所述接入设备获取所述源地址未知的报文的用户数据，其中所述用户数据包括接收端口、VLANID、源MAC地址以及源IP地址；所述接入设备重配置所述ACL规则以及所述MAC地址转发表规则，其中重配置的ACL规则中包含允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过、匹配所述源MAC地址的所有HTTP报文重定向到所述接入设备的CPU、丢弃所述源MAC地址的客户端的其他报文；重配置的MAC地址转发表规则中包含将所有源地址未知的报文重定向到所述接入设备的CPU、允许所述源MAC地址的报文通过。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：接入设备通过CPU通知客户端将所述源MAC地址的所有HTTP报文重定向至Portal服务器；所述客户端向所述Portal服务器提交认证凭证；所述Portal服务器将所述认证凭证通过Portal协议报文发送至所述接入设备；所述接入设备解析所述Portal协议报文，并根据所述源IP地址查找客户端数据库，若所述客户端数据库中不存在所述源IP地址对应的客户端，则丢弃所述Portal协议报文。5.根据权利要求4所述的方法，其特征在于，若所述客户端数据库中存在所述源IP地址对应的客户端，则所述接入设备对所述认证凭证进行认证；若认证结果为通过认证，所述接入设备则更新所述ACL规则，其中更新后的ACL规则包括允许ARP报文、DNS报文、DHCP报文通过以及允许目的IP为Portal服务器IP的报文通过；若认证结果为不通过认证，所述接入设备更新所述ACL规则以及MAC地址转发表规则，其中更新后的ACL规则包括允许ARP报文、DNS报文、DHCP报文通过、以及允许目的IP为Portal服务器IP的报文通过；更新后的MAC地址转发表规则包含将所有源地址未知的报文重定向到所述接入设备的CPU，丢弃认证结果为不通过认证的源MAC地址的报文；所述接入设备通过Portal应答报文向Portal服务器反馈所述认证结果；Portal服务器通过HTTP应答报文向客户端推送所述认证结果；所述客户端根据所述认证结果访问网络。6.一种接入设备，其特征在于，包括：端口处理单元、用...

【专利技术属性】
技术研发人员：吉帅，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川;51