專利名稱:一種無線網絡中的入口認證方法、系統和裝置的制作方法
技術領域:
本發明涉及無線局域網(WLAN)技術領域,特別涉及一種無線網絡中 的入口認證方法、系統和裝置。
背景技術:
在目前的無線網絡中,集中式無線局域網由于其管理性強和適用于大規 模部署的優點得到越來越廣泛的應用。在集中式無線局域網中,AC與AP 之間可以通過專有的協議隧道進行連接,常用的是無線接入點控制與供應 (CAPWAP , Controlling and Provisioning of Wireless Access Point)協議, 通過CAPWAP隧道可以進行AP和AC之間數據的傳輸和配置管理。
在傳統集中式無線局域網中,入口 (Portal)認證通過AC發送至Portal 服務器進行,在用戶的Portal認證通過后,由AC進行該用戶的移動終端 (STA)的數據的轉發,集中式無線局域網的現有認證架構如圖l所示。
但隨著無線通信技術的不斷發展,AC的性能已經逐漸無法滿足各AP 下的用戶數據轉發,因此,本地轉發技術應運而生,即AP和STA仍通過 CAPWAP隧道由AC進行管理,但STA的數據則通過與其連接的AP進行 轉發,不再通過CAPWAP隧道集中由AC進行轉發。由于數據不再通過AC, 因此,無法通過現有的認證架構實現用戶的Portal認證,而需要在與AP二 層可達的地方額外增設Portal服務器,如圖2所示。這樣,在采用AP本地 轉發的情況下,就無法直接利用已有的網絡架構,而不得不增加組網的設備 數量,進而增加了成本。
發明內容
有鑒于此,本發明提供了一種無線網絡中的Portal認證方法、系統和裝置,以便于利用已有網絡認證架構實現AP本地轉發情況下的Portal認證, 不額外增加認證設備,節約組網成本。
一種無線網絡中的Portal iU正方法,該方法包括
A、 AP接收到STA的認證請求后,通過CAPWAP隧道將該認證請求發送 給AC;
B、 所述AC將所述認證請求發送給Portal服務器,在獲知所述Portal服務 器針對所述STA的認證成功后,通過所述CAPWAP隧道發送配置消息指示所 述AP開啟針對所述STA的本地轉發功能;
C、 所述AC獲知所述STA退出認證后,通過所述CAPWAP隧道發送配置 消息指示所迷AP關閉針對所述STA的本地轉發功能。
一種AP,該AP包括4艮文收發單元和功能配置單元;
所述報文收發單元,用于接收到STA的認證請求后,通過CAPWAP隧道 將該認證請求發送給AC;接收AC通過CAPWAP隧道發送的配置消息;在所 述功能配置單元開啟了針對所述STA的本地轉發功能后,采用本地轉發的方式 對所述STA進行報文轉發;
所述功能配置單元,用于在所述報文收發單元接收到指示開啟針對所述 STA的本地轉發功能的配置消息時,開啟針對所述STA的本地轉發功能;在所 述報文收發單元接收到指示關閉針對所述STA的本地轉發功能的配置消息時, 關閉針對所述STA的本地轉發功能。
一種AC,該AC包括報文收發單元、認證確定單元和管理配置單元;
所述報文收發單元,用于通過CAPWAP隧道接收到AP發送來的STA的認 證請求后,將該認證請求發送給Portal服務器;
所述認證確定單元,用于在獲知所述Portal服務器針對所述STA的認證成 功后,向所迷管理配置單元發送第一配置通知;在獲知所述STA退出認證后, 向所述管理配置單元發送第二配置通知;
所述管理配置單元,用于接收到所述第一配置通知后,通過所述CAPWAP
隧道發送配置消息指示所述AP開啟針對所述STA的本地轉發功能;接收到所述第二配置通知后,通過所述CAPWAP隧道發送配置消息指示所述AP關閉針 對所述STA的本地轉發功能。
一種無線網絡中的入口 Portal認證系統,該系統包括AP、 AC和Portal 服務器;
所述AP,用于接收到STA的認證請求后,通過CAPWAP隧道將該認證請 求發送給所述AC;接收到第一配置消息后,開啟針對所述STA的本地轉發功 能;接收到第二配置消息后,關閉針對所述STA的本地轉發功能;
所述AC,用于將接收到的所述認證請求發送給所述Portal服務器,在獲知 所述Portal服務器針對所述STA的認證成功后,通過所述CAPWAP隧道向所 述AP發送第一配置消息;獲知所述STA退出認證后,通過所述CAPWAP隧 道向所述AP發送第二配置消息;
所述Portal服務器,用于接收到所述認證請求后,對所迷STA進行認證。
由以上技術方案可以看出,本發明提供的方法、系統和裝置中,AP將 STA的認證請求通過CAPWAP隧道發送給AC,由AC轉發給Portal服務器, 并且AC在獲知Portal服務器針對該STA認證成功后,通過CAPWAP隧道 發送配置消息指示AP開啟針對該STA的本地轉發功能;在獲知STA退出 認證后,通過CAPWAP隧道發送配置消息指示AP關閉針對該STA的本地 轉發功能。也就是說,在認證通過之前,認證請求集中發送至AC,在i人證 通過之后,由AC配置AP開啟通過認證的STA的本地轉發功能。通過本發 明可以利用已有網絡認證架構實現AP本地轉發情況下的Portal認證,無需 額外增加認證設備,節約組網成本。
圖1為集中式無線組網的現有認證架構圖2為現有技術中AP本地轉發情況下的認證架構圖3為本發明實施例提供的主要方法流程圖;圖4為本發明實施例提供的詳細方法流程圖5為本發明實施例一中的DHCP報文流向示意圖6為本發明實施例一中的認證報文流向示意圖7為本發明實施例二提供的詳細方法流程圖8為本發明實施例提供的AP結構示意圖9為本發明實施例提供的AC結構示意圖。
具體實施例方式
為了使本發明的目的、技術方案和優點更加清楚,下面結合附圖和具體 實施例對本發明進行詳細描述。
本發明所提供的方法可以如圖3所示,主要包括以下步驟
步驟301: AP接收到STA的認證請求后,通過CAPWAP隧道將該認 證請求發送給AC。
步驟302: AC將該認證請求轉發給Portal服務器,在獲知Portal服務 器針對該STA的認證成功后,通過CAPWAP隧道發送配置消息指示AP開 啟針對該STA的本地轉發功能。
步驟303: AC獲知該STA退出認證后,通過CAPWAP隧道發送配置 消息指示AP關閉針對該STA的本地轉發功能。
實施例一
圖4為本發明實施例一提供的詳細方法流程圖,在該流程中仍使用如圖 1所示的現有認證架構來實現AP本地轉發情況下的認證,在該方法中,在 AP上配置STAiU正通過前關閉本地轉發功能,且默i人開啟下行本地轉發功 能。如圖4所示,該方法可以包括以下步驟
步驟401: STA連接到AP后,發送動態主機配置協議(DHCP)請求 報文。
在STA初始連接到AP后,會發現該STA沒有任何IP地址設定,就會
12發送一個攜帶該STA的MAC地址的DHCP請求報文,該DHCP請求報文 的源地址會為0.0.0.0,而目的地址則為255.255.255.255。
步驟402: AP通過與AC之間的CAPWAP隧道將DHCP請求報文發送 給AC,由AC轉發給DHCP服務器。
由于AP在用戶認證通過前不開啟本地轉發功能,因此,AP會將STA 發送來的所有報文都通過CAPWAP隧道發送給AC。在AC接收到DHCP 請求報文后,對該DHCP請求報文進行DHCP中繼(DHCP Relay)操作, 轉發至與其連接的DHCP服務器。
步驟403: DHCP服務器為該STA分配IP地址,并確定該STA在后續 的AP本地轉發時使用的用戶網關IP地址,將這些IP地址信息發送給AC。
步驟404: AC將該IP地址信息通過CAPWAP隧道發送給AP,再由 AP發送給STA。
本步驟中,仍通過AC的DHCP Relay功能將DHCP服務器回復的IP 地址信息通過CAPWAP隧道發送給AP,再進一步由AP發送給STA。
經過上述步驟后,STA便獲取到分配的IP地址,并且,AC上會保存 STA的IP地址和MAC地址之間對應關系的ARP表項。AP上會存儲該STA 的IP地址、MAC地址以及該STA對應的用戶網關IP地址之間的對應關系, 在開啟針對該STA的本地轉發功能后,使用該對應關系進行本地轉發時使 用。
上述DHCP請求過程的才艮文流向可以如圖5所示。
步驟405: STA發送目的IP地址為用戶網關IP地址的HTTP請求4艮文, AP接收到該HTTP ^貪求才艮文后通過CAPWAP隧道發送至AC。
用戶打開Internet上的超文本傳輸協議(HTTP)頁面后,由于該用戶尚 沒有通過認證,會觸發認證過程的開始。首先會發送目的IP地址為用戶網 關IP地址的HTTP請求報文來獲取用戶網關的MAC地址,以便進行后續的 二層轉發。AP接收到該HTTP請求報文后,仍會將該HTTP請求報文通過 CAPWAP隧道發送至AC。步驟406: AC接收到該HTTP請求報文后,利用預先配置的ARP表項 代替用戶網關通過CAPWAP隧道向STA進行ARP應答。
由于AC尚并不存在用戶網關的MAC地址信息,因此,需要預先在該 AC上配置各用戶網關的ARP表項,即IP地址與MAC地址之間的對應關系, 并在AC上配置用戶網關的ARP代答功能。AC接收到HTTP請求報文后, 將用戶網關的MAC地址通過CAPWAP隧道發送給AP,再由AP發送給 STA。 AP和STA都會存儲該用戶網關的ARP表項。
步驟407: STA發送認證請求,AP通過CAPWAP隧道將認證請求發送 給AC, AC接收到該認i正請求后將該認證請求重定向至Portal服務器。
通常,該認證請求中的目的地址為用戶網關的地址,AC在接收到認證 請求后,會向STA回復HTTP重定向告知Portal服務器的IP地址。STA根 據該HTTP重定向,重新發送認證請求,由AC將該認證請求轉發至向Portal 服務器。
需要說明的是,如果用戶直接使用登錄頁面,也可以不執行步驟405和 406,直接執行步驟407發送認證請求,并在步驟407中進行ARP應答。
步驟408: Portal服務器接收到認證請求后,對該用戶進行認證,認證 通過后,告知AC認證成功,并向STA發送認證成功響應。
其中,告知AC認i正成功可以通過向AC發送認證成功消息的方式實現, 該方式是Portal iU正已有的標準方式。
該認證成功響應的目的IP地址為STA的IP地址。向STA發送的i人證 成功響應首先發送至中央路由器,由于STA的IP地址是用戶網關的IP地址 所在網段下的IP地址,因此,中央路由器會將該認證成功響應發送至用戶 網關。
用戶網關接收到該認證成功響應后,會向其所連接的所有AP廣4番包含 該STA的IP地址的ARP請求,由于AP默認開啟了下行的本地轉發功能, 因此,與該STA連接的AP接收到該ARP請求后,會代替STA進行ARP 應答,告知該用戶網關該STA的MAC地址,用戶網關存儲該STA的IP地址和MAC地址的ARP表項,并利用該表項進行后續的報文轉發。用戶網關 利用該ARP表項將認證成功響應發送給AP,由AP轉發給STA。
需要說明的是,中央路由器為AC與Portal服務器之間的路由器或路由 器網絡的統稱。
步驟409: AC獲知認證成功后,向AP發送開啟針對該STA的上行本 地轉發功能的配置消息,AP接收到該配置消息后,開啟針對該STA的上行 本地轉發功能。
AC向AP發送的配置消息中可以包括該STA的MAC地址信息,AP接 收到該配置消息后,針對該STA的MAC地址使能上行本地轉發。
AP在接收到STA發送的報文后,可以首先判斷是否針對該STA開啟 了上行本地轉發功能,如果是,則對該報文進行本地轉發,否則,通過 CAPWAP隧道將該凈艮文發送至AC。
也就是說,STA認證成功后,AP便會開啟針對該STA的上行本地轉發 功能,且該AP已經具有下行本地轉發功能,因此,后續針對該STA的沖艮文, 便可以通過AP的本地轉發功能來進行轉發,而不必集中發送至AC進行轉 發。
如果認證失敗,則Protal服務器會告知AC認證失敗,并向STA發送 認證失敗響應,該認證失敗響應的轉發路徑與認證成功響應相同。AC獲知 認證失敗后d更不會向AP發送開啟針對該STA的上行本地轉發功能的配置 消息,則針對該STA則不會實現上行數據的本地轉發,從而達到Portal認 i正的目的。
Portal認證過程,即步驟407至409的報文流向可以如圖6所示。 如果用戶退出"i人證,則可以繼續扭J亍以下步驟
步驟410:用戶退出認證時,按照現有Portal退出認證流程執行,即Portal 服務器向AC告知該用戶的STA退出登錄。AC通過CAPWAP隧道向AP 發送關閉針對該STA的上行本地轉發功能的配置消息。
用戶退出認證可能存在兩種情況其一是,用戶下線,STA會向Portal服務器發送認證退出請求報文,Portal服務器接收到該退出請求報文后,通 知AC該STA退出認證,AC刪除存儲的該STA的相關ARP表項;其二, STA關機,Portal服務器和STA之間會周期性地發送心跳報文,如果Portal 服務器在設定時間內沒有收到STA的心跳報文,則認為STA故障,Portal 服務器通知AC該STA退出認證,AC刪除存儲的該STA的相關ARP表項。
當用戶退出認證后,AC會相應地通知AP關閉針對該STA的上行本地 轉發功能。這樣,該STA在下次上線時,仍按照圖4所示流程執行完整的 i^i正流程來開啟AP4十對該STA的本地轉發。
實施例一在認證報文的交互過程中采用的是不對稱路徑,這是通過在 AP上默認開啟針對STA的下行本地轉發功能實現的。除此之外,還可以在 認證報文的交互過程中始終采用對稱;洛徑,這樣無需默認開啟針對該STA 的下行本地轉發功能,而在認證成功后在同時開啟針對該STA的上行和下 行本地轉發功能,下面在實施例二中對這種情況進行詳細描述。
實施例二
圖7為本發明實施例二提供的詳細方法流程圖,同樣,在該流程中仍使 用如圖1所示的現有認證架構來實現AP本地轉發情況下的認證,如圖7所 示,該方法可以包括以下步驟
步驟701-707與步驟401-407相同,不再贅述。
在該實施例中,AP在初始時默認關閉STA的上行和下行本地轉發功能。 步驟708: Portal服務器接收到認證請求后,對該用戶進行認證,認證
通過后,向STA發送認證成功響應。
該i人i正成功響應的目的IP地址為該STA的IP地址。
在該實施例中,由于AP初始時關閉STA的下行本地轉發功能,因此,
認證成功響應仍然需要通過AC轉發給STA,而不能通過用戶網關來進行認
證成功響應的下行發送。此時,可以在AC上啟動諸如開i文式最短^各徑優先 (OSPF)的動態路由協議,AC將收集到的該STA的主機明細路由發送至
中央路由器,使得該中央路由器在接收到Protal服務器的認證成功響應后,
16根據主機該STA的主機明細路由將該認證成功響應發送給AC。
假設STA和用戶網關所在網段為10.0.0.0, STA具體的IP地址為 10.0.0.10,用戶網關的IP地址為10.0.0.1,如果AC不將主機明細路由發送 至中央路由器,則中央路由器僅知曉STA在用戶網關所在網段中,因此, 會將認證成功響應發送至用戶網關;如果AC將主才幾明細^各由即10.0.0.10 對應的路由發送至中央路由器,則中央路由器會選擇將該認證成功響應按照 主機明細3各由進行發送,即發送給AC。
步驟709: AC接收到認證成功響應后,將該認證成功響應通過CAPWAP 隧道發送給AP,并通過CAPWAP隧道向AP發送開啟針對該STA的上行 和下行本地轉發功能的配置消息。
步驟710: AP將接收到的認證成功響應發送給STA,并按照接收到的 配置消息開啟針對該STA的上行和下行本地轉發功能。
步驟711:用戶退出認證時,按照現有Portal退出認證流程執行,AC 獲知該用戶的STA退出登錄時,AC通過CAPWAP隧道向AP發送關閉針 對該STA的上行和下行本地轉發功能的配置消息,并通知中央路由器刪除 該STA的主才幾明細^各由。
在該實施例二中,需要中央路由器及時更新來自AC的STA的主機路 由,這相比較實施例一對組網中的路由器具有一定性能要求。
以上是對本發明所提供的方法進行的詳細描述,下面對本發明所提供的 系統和裝置進行詳細描述。
本發明所提供的Portal認證系統可以如圖1所示的架構,只是某些設備的 功能發生了變更,該系統可以包括AP、 AC和Portal服務器。
AP,用于接收到STA的認證請求后,通過CAPWAP隧道將該認證請求發 送給AC;接收到第一配置消息后,開啟針對STA的本地轉發功能;接收到第 二配置消息后,關閉針對STA的本地轉發功能。
AC,用于將接收到的認證請求發送給Portal服務器,在獲知Portal服務器 針對STA的認證成功后,通過CAPWAP隧道向AP發送第一配置消息;獲知STA退出認證后,通過CAPWAP隧道向AP發送第二配置消息。 Portal服務器,用于接收到認證請求后,對STA進行認證。 由于通常在STA與AP建立連接后且進行認證之前,需要進行DHCP過程,
因此,該系統還可以包括DHCP服務器。
AP,還用于接收STA在連接到該AP后發送的DHCP請求才艮文,并將該
DHCP請求凈艮文通過CAPWAP隧道發送給AC;將接收到的STA的IP地址和
STA的用戶網關IP地址轉發給STA,并存儲STA的IP地址、STA的MAC地
址和用戶網關IP地址之間的對應關系。
AC,還用于將接收到的DHCP報文發送給DHCP服務器;將DHCP服務AP。
DHCP服務器,用于接收到DHCP報文后,為STA分配IP地址,并將分 配的STA的IP地址和STA的用戶網關IP地址返回給AC。
另外,AC還可以用于利用預先配置的包含用戶網關的IP地址和MAC地 址的ARP表項,進行針對用戶網關的ARP應答。
該系統還可以包括用戶網關以及在Portal服務器和AC之間的中央路由 器。對于具體的認證成功響應回復過程,可以采用以下兩種方式
第一種方式
AP初始默認開啟針對STA的下行本地轉發功能,關閉針對STA的上行本 地轉發功能;接收到第一配置消息后,開啟針對STA的上行本地轉發功能,接 收到第二配置消息后,關閉針對STA的上行本地轉發功能。
Portal服務器,還可以用于在針對STA認證成功后,向AC發送認i正成功 消息,并發送目的IP地址為STA的IP地址的iU正成功響應。
AC接收到認證成功消息后,獲知Portal服務器針對STA的認證成功。
中央路由器,用于接收到認證成功響應后,將iU正成功響應發送給用戶網關。
用戶網關,用于將接收到的認證成功響應經由AP發送給STA。第二種方式
AC利用預先啟動的動態路由協議,將收集到的STA的主機明細路由發送 至中央路由器。
Portal服務器,還可以用于在針對STA認證成功后,發送目的IP地址為STA 的IP ;也址的iU正成功響應。
中央路由器,用于根據STA的主機明細路由,將Portal服務器發送的認證 成功響應發送給AC。
AC接收到認證成功響應后獲知Portal服務器針對STA的認證成功,并通 過CAPWAP隧道將認證成功響應發送給AP;獲知STA退出認證后,通知中央 路由器刪除STA的主機明細路由。
AP,還用于將接收到的認證成功響應發送給STA;接收到第一配置消 息后,開啟針對STA的上行和下行本地轉發功能;接收到第二配置消息后, 關閉針對STA的上行和下行本地轉發功能。
圖8為本發明實施例提供的AP結構示意圖,如圖8所示,該AP可以包括 報文收發單元801和功能配置單元802。
報文收發單元801,用于接收到STA的認證請求后,通過CAPWAP隧道將 該認證請求發送給AC;接收AC通過CAPWAP隧道發送的配置消息;在功能 配置單元802開啟了針對STA的本地轉發功能后,采用本地轉發的方式對STA 進行報文轉發。
功能配置單元802,用于在報文收發單元801接收到指示開啟針對STA的 本地轉發功能的配置消息時,開啟針對STA的本地轉發功能;在報文收發單元 801接收到指示關閉針對STA的本地轉發功能的配置消息時,關閉針對STA的 本地轉發功能。
另外,報文收發單元801,還可以用于將接收到的DHCP請求才艮文通過 CAPWAP隧道發送給AC;通過CAPWAP隧道接收AC發送的STA的IP地址 和STA的用戶網關IP地址,將該STA的IP地址和用戶網關IP地址轉發給STA, 并存儲STA的IP地址、STA的MAC地址和用戶網關IP地址之間的對應關系。
19針對上述的兩種i人證的方式,AP也可以采用以下兩種結構
閉針對STA的上行本地轉發功能;在報文收發單元801接收到指示開啟針對 STA的本地轉發功能的配置消息時,開啟針對STA的上行本地轉發功能;在報 文收發單元801接收到指示關閉針對STA的本地轉發功能的配置消息時,關閉 針對STA的上行本地轉發功能。
報文轉發單元801 ,還用于接收到Portal服務器經由中央路由器和用戶網關 發送來的認證成功響應后,將該認證成功響應發送給STA。
此時,該AP還可以包括ARP代答單元803。
報文收發單元801,還用于接收到用戶網關的ARP請求后,將該ARP請求 發送給ARP代答單元803;將ARP代答單元803提供的ARP響應發送給用戶 網關。
ARP代答單元803,用于判斷ARP請求中包含的IP地址是否為自身所連 接STA的IP地址,如果是,則將該IP地址對應的STA的MAC地址包含在 ARP響應中提供給報文收發單元801 。
其二、功能配置單元802在報文收發單元801接收到指示開啟針對STA的 本地轉發功能的配置消息時,開啟針對STA的上行和下行本地轉發功能;在報 文收發單元801接收到指示關閉針對STA的本地轉發功能的配置消息時,關閉 針對STA的上行和下行本地轉發功能。
才艮文轉發單元801,還用于接收到Portal服務器經由AC發送來的iU正成功 響應后,將該認證成功響應發送給STA。
圖9為本發明實施例提供的AC結構示意圖,如圖9所示,該AC可以包 括報文收發單元901、認證確定單元902和管理配置單元903。
報文收發單元901 ,用于通過CAPWAP隧道接收到AP發送來的STA的認 證請求后,將該認證請求發送給Portal服務器。
認證確定單元902,用于在獲知Portal服務器針對STA的認證成功后,向 管理配置單元903發送第一配置通知;在獲知STA退出認i正后,向管理配置單元903發送第二配置通知。
管理配置單元903,用于接收到第一配置通知后,通過CAPWAP隧道發送 配置消息指示AP開啟針對STA的本地轉發功能;接收到第二配置通知后,通 過CAPWAP隧道發送配置消息指示AP關閉針對STA的本地轉發功能。
另外,該AC還可以包括ARP代答單元904,用于才艮據預先配置在該AC 上的包含用戶網關的IP地址和MAC地址的ARP表項,進4亍針對用戶網關的 ARP應答。
同樣針對上述的兩種認證響應回復方式,AC也可以存在以下兩種結構
其一、當AP初始默認開啟針對STA的下行本地轉發功能,關閉針對STA 的上行本地轉發功能時,認證確定單元902在才艮文收發單元901接收到Portal 服務器發送的認證成功消息后,獲知Portal服務器針對STA的認證成功。
其二、該AC還可以包括路由發送單元905,用于利用預先在該AC上啟 動的動態路由協議,將收集到的STA的主機明細路由發送至中央路由器;在認 證確定單元902獲知STA退出認證后,通知中央3各由器刪除STA的主才幾明細 路由;其中,中央路由器為Portal服務器和AC之間的路由器或路由器網絡。
認證確定單元902在報文收發單元901接收到Portal服務器發送的認證成 功響應后,獲知Portal服務器針對STA的認證成功。
報文收發單元卯l,還用于接收到認證成功響應后,將認證成功響應通 過CAPWAP隧道發送給AP。
由以上描述可以看出,本發明提供的方法、系統和裝置中,AP將STA 的認證請求通過CAPWAP隧道發送給AC,由AC轉發給Portal服務器,并 且AC在獲知Portal服務器針對該STA認證成功后,通過CAPWAP隧道發 送配置消息指示AP開啟針對該STA的本地轉發功能;在獲知STA退出認 證后,通過CAPWAP隧道發送配置消息指示AP關閉針對該STA的本地轉 發功能。也就是說,在認證通過之前,認i正請求集中發送至AC,在認證通 過之后,由AC配置AP開啟通過認證的STA的本地轉發功能。通過本發明 可以利用已有網絡認證架構實現AP本地轉發情況下的Portal認證,無需額外增加認證設備,節約組網成本。
另外,本發明中,AP僅需要在認證之前和認證過程中,將接收到的所 有報文都轉發到AC進行集中處理,在認證成功完成之后,便開啟了本地轉 發功能,在AP本地完成通過認證的STA的報文轉發,從而減輕了 AC的性 能負擔。
以上所述僅為本發明的較佳實施例而已,并不用以限制本發明,凡在本 發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在 本發明保護的范圍之內。
權利要求
1、一種無線網絡中的入口Portal認證方法,其特征在于,該方法包括A、無線接入點AP接收到移動終端STA的認證請求后,通過無線接入點控制與供應協議CAPWAP隧道將該認證請求發送給接入控制器AC;B、所述AC將所述認證請求發送給Portal服務器,在獲知所述Portal服務器針對所述STA的認證成功后,通過所述CAPWAP隧道發送配置消息指示所述AP開啟針對所述STA的本地轉發功能;C、所述AC獲知所述STA退出認證后,通過所述CAPWAP隧道發送配置消息指示所述AP關閉針對所述STA的本地轉發功能。
2、 根據權利要求1所述的方法,其特征在于,在所迷步驟A之前還包括 Dl 、所述STA連接到所述AP后,發送動態主機配置協議DHCP請求報文; D2、所述AP將所述DHCP請求纟艮文通過CAPWAP隧道發送給所述AC,并由所述AC發送至DHCP服務器;的用戶網關IP地址通過CAPWAP隧道發送癥合所述AP;D4、所述AP將所述STA的IP地址和所述用戶網關IP地址轉發給所述STA, 并存儲所述STA的IP地址、STA的MAC地址和用戶網關IP地址之間的對應 關系。
3、 根據權利要求2所述的方法,其特征在于,該方法還包括預先在所述 AC上配置包含用戶網關的IP地址和MAC地址的ARP表項,利用該ARP表 項進行針對所述用戶網關的ARP應答。
4、 才艮據權利要求1或3任一權項所述的方法,其特征在于,AP初始默認 開啟針對所述STA的下行本地轉發功能,關閉針對所述STA的上行本地轉發 功能;步驟B中獲知所述Portal服務器針對所述STA的認證成功包括所述Portal 服務器在針對所述STA認證成功后,向所述AC發送認證成功消息,并發送目的IP地址為STA的IP地址的認證成功響應;中央路由器將所述認證成功響應 發送給用戶網關,由所述用戶網關將該認證成功響應經由所述AP發送給所述 STA;其中,所述中央路由器為所述Portal服務器和所述AC之間的路由器或路 由器網絡。
5、 根據權利要求4所述的方法,其特征在于,由所述用戶網關將該iU正成 功響應經由所述AP發送給所述STA包括所述用戶網關接收到所述認證成功響應后,向與該用戶網關連接的AP廣 播包含所述STA的IP地址的ARP請求;與所述STA連接的AP接收到所述ARP請求后,向所述用戶網關回復包含 所述STA的MAC地址的ARP響應;所述用戶網關接收到所述ARP響應后,存儲包含所述STA的IP地址和 MAC地址的ARP表項,并利用該ARP表項發送所述認證成功響應。
6、 根據權利要求4所述的方法,其特征在于,步驟B中所述開啟針對所述 STA的本地轉發功能為開啟針對所述STA的上行本地轉發功能;步驟C中所述關閉針對所述STA的本地轉發功能為關閉針對所述STA 的上行本地轉發功能。
7、 根據權利要求1至3任一權項所述的方法,其特征在于,該方法還包括 預先在所述AC上啟動動態路由協議,AC將收集到的所述STA的主機明細路 由發送至中央路由器;步驟B中獲知所述Portal服務器針對所述STA的認證成功包括所述Portal 服務器在針對所述STA認證成功后,發送目的IP地址為STA的IP地址的認證 成功響應;中央路由器根據所述STA的主機明細路由將所述認證成功響應發送 給所述AC;其中,所述中央路由器為所述Portal服務器和所述AC之間的路由 器或路由器網絡;所述AC通過所述CAPWAP隧道將所述i人證成功響應發送給 所述AP,由所述AP發送給所述STA。
8、 根據權利要求7所述的方法,其特征在于,步驟B中所述開啟針對所述 STA的本地轉發功能為開啟針對所述STA的上行和下4于本地轉發功能;步驟C中所述關閉針對所述STA的本地轉發功能為關閉針對所述STA 的上行和下行本地轉發功能;所述步驟C還包括所述AC通知所述中央路由器刪除所述STA的主機明 細^各由。
9、 一種AP,其特征在于,該AP包括才艮文收發單元和功能配置單元; 所述報文收發單元,用于接收到STA的認證請求后,通過CAPWAP隧道將該認證請求發送給AC;接收AC通過CAPWAP隧道發送的配置消息;在所 述功能配置單元開啟了針對所述STA的本地轉發功能后,采用本地轉發的方式 對所述STA進行報文轉發;所述功能配置單元,用于在所述報文收發單元接收到指示開啟針對所述 STA的本地轉發功能的配置消息時,開啟針對所述STA的本地轉發功能;在所 述報文收發單元接收到指示關閉針對所述STA的本地轉發功能的配置消息時, 關閉針對所述STA的本地轉發功能。
10、 根據權利要求9所述的AP,其特征在于,所述報文收發單元,還用于 將接收到的DHCP請求報文通過CAPWAP隧道發送給所述AC;通過CAPWAP 隧道接收AC發送的所述STA的IP地址和STA的用戶網關IP地址,將該所述 STA的IP地址和所述用戶網關IP地址轉發給所述STA,并存儲所述STA的IP 地址、STA的MAC地址和用戶網關IP地址之間的對應關系。
11、 根據權利要求9或10所述的AP,其特征在于,所述功能配置單元初 始默認開啟針對所述STA的下行本地轉發功能,關閉針對所述STA的上行本 地轉發功能;在所述^^艮文收發單元接收到指示開啟針對所述STA的本地轉發功 能的配置消息時,開啟針對所述STA的上行本地轉發功能;在所述報文收發單 元接收到指示關閉針對所述STA的本地轉發功能的配置消息時,關閉針對所述 STA的上行本地轉發功能。所述報文轉發單元,還用于接收到Portal服務器經由中央路由器和用戶網 關發送來的認證成功響應后,將該認證成功響應發送給所述STA。
12、 根據權利要求11所述的AP,其特征在于,該AP還包括ARP代答單元;所述報文收發單元,還用于接收到所述用戶網關的ARP請求后,將該ARP 請求發送給ARP代答單元;將所述ARP代答單元提供的ARP響應發送給所述 用戶網關;所述ARP代答單元,用于判斷所述ARP請求中包含的IP地址是否為自身 所連接STA的IP地址,如果是,則將該IP地址對應的STA的MAC地址包含 在ARP響應中提供給所述報文收發單元。
13、 根據權利要求9或10所述的AP,其特征在于,所述功能配置單元在 所述報文收發單元接收到指示開啟針對所述STA的本地轉發功能的配置消息 時,開啟針對所述STA的上行和下行本地轉發功能;在所述報文收發單元接收 到指示關閉針對所述STA的本地轉發功能的配置消息時,關閉針對所述STA 的上行和下行本地轉發功能。所述報文轉發單元,還用于接收到Portal服務器經由所述AC發送來的認 證成功響應后,將該認證成功響應發送給所述STA。
14、 一種AC,其特征在于,該AC包括才艮文收發單元、i人證確定單元和 管理配置單元;所述報文收發單元,用于通過CAPWAP隧道接收到AP發送來的STA的認 證請求后,將該認i正請求發送給Portal服務器;所述認證確定單元,用于在獲知所述Portal服務器針對所述STA的認證成 功后,向所述管理配置單元發送第一配置通知;在獲知所述STA退出認證后, 向所述管理配置單元發送第二配置通知;所述管理配置單元,用于接收到所述第一配置通知后,通過所述CAPWAP 隧道發送配置消息指示所述AP開啟針對所述STA的本地轉發功能;接收到所 述第二配置通知后,通過所述CAPWAP隧道發送配置消息指示所述AP關閉針 對所述STA的本地轉發功能。
15、 根據權利要求14所述的AC,其特征在于,該AC還包括ARP代答 單元,用于根據預先配置在該AC上的包含用戶網關的IP地址和MAC地址的ARP表項,進行針對所述用戶網關的ARP應答。
16、 根據權利要求14或15所述的AC,其特征在于,當所述AP初始默認 開啟針對所述STA的下行本地轉發功能,關閉針對所述STA的上行本地轉發 功能時,所述認證確定單元在所述報文收發單元接收到所述Portal服務器發送 的認證成功消息后,獲知所述Portal服務器針對所述STA的認證成功。
17、 根據權利要求14或15所述的AC,其特征在于,該AC還包括路由 發送單元,用于利用預先在該AC上啟動的動態路由協議,將收集到的所述STA 的主機明細路由發送至中央路由器;在所述認證確定單元獲知所述STA退出認 證后,通知所述中央路由器刪除所述STA的主機明細路由;其中,所述中央路 由器為所述Portal服務器和所述AC之間的路由器或路由器網絡;所述i/v證確定單元在所述^^文收發單元接收到所述Portal服務器發送的認 證成功響應后,獲知所述Portal服務器針對所述STA的認i正成功;所述報文收發單元,還用于接收到所述認證成功響應后,將所述認證成功 響應通過所述CAPWAP隧道發送給所述AP。
18、 一種無線網絡中的入口 Portal認證系統,其特征在于,該系統包括 AP、 AC和Portal服務器;所述AP,用于接收到STA的認證請求后,通過CAPWAP隧道將該認證請 求發送給所述AC;接收到第一配置消息后,開啟針對所述STA的本地轉發功 能;接收到第二配置消息后,關閉針對所述STA的本地轉發功能;所述AC,用于將接收到的所述認證請求發送給所述Portal服務器,在獲知 所述Portal服務器針對所述STA的認證成功后,通過所述CAPWAP隧道向所 述AP發送第一配置消息;獲知所述STA退出認證后,通過所述CAPWAP隧 道向所述AP發送第二配置消息;所述Portal服務器,用于接收到所述認證請求后,對所述STA進行認證。
19、 根據權利要求18所述的系統,其特征在于,該系統還包括DHCP月l務器;所述AP,還用于接收所述STA在連接到該AP后發送的DHCP請求凈艮文,并將該DHCP請求凈艮文通過CAPWAP隧道發送給所述AC;將4妻收到的STA 的IP地址和STA的用戶網關IP地址轉發給所述STA,并存儲所述STA的IP 地址、STA的MAC地址和用戶網關IP地址之間的對應關系;所述AC,還用于將接收到的DHCP報文發送給DHCP服務器;將所述DHCP 服務器返回的STA的IP地址和STA的用戶網關IP地址通過CAPWAP隧道發 送給所述AP;所述DHCP服務器,用于接收到所述DHCP報文后,為所述STA分配IP 地址,并將分配的STA的IP地址和STA的用戶網關IP地址返回給所述AC。
20、 根據權利要求19所述的系統,其特征在于,所述AC,還用于利用預 先配置的包含用戶網關的IP地址和MAC地址的ARP表項,進4亍針對所述用 戶網關的ARP應答。
21、 根據權利要求18至20任一權項所述的系統,其特征在于,該系統還 包括用戶網關以及在所述Portal服務器和所述AC之間的中央路由器;所述AP初始默認開啟針對所述STA的下行本地轉發功能,關閉針對所述 STA的上行本地轉發功能;接收到所述第一配置消息后,開啟針對所述STA的 上行本地轉發功能,接收到所述第二配置消息后,關閉針對所述STA的上行本 地轉發功能;所述Portal服務器,還用于在針對所述STA認證成功后,向所述AC發送 認證成功消息,并發送目的IP地址為STA的IP地址的認證成功響應;所述AC接收到所述認證成功消息后,獲知所述Portal服務器針對所述STA 的iU正成功;中央路由器,用于接收到所述認證成功響應后,將所述認證成功響應發送 給用戶網關;所述用戶網關,用于將接收到的所述認證成功響應經由所述AP發送給所 述STA。
22、 根據權利要求18至20任一權項所述的系統,其特征在于,該系統還 包括用戶網關以及在所述Portal服務器和所述AC之間的中央路由器;所述AC,還用于利用預先啟動的動態路由協議,將收集到的所述STA的 主機明細路由發送至所述中央路由器;所述Portal服務器,還用于在針對所述STA認證成功后,發送目的IP地址 為STA的IP地址的認證成功響應;所述中央路由器,用于根據所述STA的主機明細路由,將所述Portal服務 器發送的認證成功響應發送給所述AC;所述AC接收到所述認證成功響應后獲知所述Portal服務器針對所述STA 的認證成功,并通過所述CAPWAP隧道將所述認證成功響應發送給所述AP; 獲知所述STA退出認證后,通知所述中央路由器刪除所述STA的主機明細路 由;所述AP,還用于將接收到的所述認證成功響應發送給所述STA;接收到所 述第一配置消息后,開啟針對所述STA的上行和下行本地轉發功能;接收到所 述第二配置消息后,關閉針對所述STA的上行和下行本地轉發功能。
全文摘要
本發明提供了一種無線網絡中的入口(Portal)認證的方法、系統和裝置,其中方法包括無線接入點(AP)接收到移動終端(STA)的認證請求后,通過無線接入點控制與供應協議(CAPWAP)隧道將該認證請求發送給接入控制器(AC),由AC轉發給Portal服務器;AC在獲知Portal服務器針對該STA認證成功后,通過CAPWAP隧道發送配置消息指示AP開啟針對該STA的本地轉發功能;在獲知STA退出認證后,通過CAPWAP隧道發送配置消息指示AP關閉針對該STA的本地轉發功能。本發明可以利用已有網絡認證架構實現AP本地轉發情況下的Portal認證,無需額外增加認證設備,節約組網成本。
文檔編號H04W12/06GK101621802SQ200910091230
公開日2010年1月6日 申請日期2009年8月13日 優先權日2009年8月13日
發明者王君菠, 玄 趙 申請人:杭州華三通信技術有限公司