一種基于pppoe的內外網統一認證的方法和裝置的制造方法
【專利摘要】本申請供一種基于PPPOE的內外網統一認證的方法,應用于接入服務器側,所述方法包括:當接收到客戶端發起的PPPOE認證時,向第一認證服務器發送認證請求報文;其中,所述認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,并在認證通過后,將所述認證請求報文透傳至所述第二認證服務器,由第二認證服務器繼續認證;接收第一認證服務器返回的認證通過報文,判斷所述認證通過報文是否攜帶為所述接入客戶端分配的公網IP;如果是,將該公網IP分配給所述接入客戶端。應用本申請的實施例,校園網用戶只需要通過一次認證,就能訪問校園網內網和外部互聯網資源,從而使校園網用戶更加方便地訪問外部互聯網資源。
【專利說明】
_種基于PPPOE的內外網統一認證的方法和裝置
技術領域
[0001]本申請涉及網絡通信技術領域,特別設計一種基于PPPOE的內外網統一認證的方法和裝置。
【背景技術】
[0002]校園網是一個寬帶、具有交互功能的局域網絡,因此用戶訪問校園網時,就像訪問互聯網時一樣,都需要進行用戶認證。目前,校園網用戶需要區分內外網用戶,大部分校園網采用二次認證的方式區分內外網用戶。校園網用戶訪問校園網時,需要使用內網的接入認證方式進行認證,比如802.1X接入認證;當校園網用戶訪問外網時,需要內網接入認證成功后,才能使用外網接入認證方式進行認證,比如Portal接入認證。
[0003]校園網用戶要訪問外網時,需要通過兩次接入認證,先要進行內網認證,內網認證成功后才能訪問外網,因此,內網用戶訪問外部互聯網資源很不方便。
【發明內容】
[0004]有鑒于此,本申請提供一種基于PPP0E(pointto point protocol overEthernet,以太網上的點到點協議)的內外網統一認證的方法和裝置,使內網用戶更加方便地訪問外部互聯網資源。
[0005]具體地,本申請是通過如下技術方案實現的:
[0006]一種基于PPPOE的內外網統一認證的方法,應用于接入服務器,所述接入服務器連與接入客戶端、防火墻、第一認證服務器分別相連,其中,所述防火墻用于隔離內網和外網;所述第一認證服務器與第二認證服務器相連,包括:
[0007]當接收到客戶端發起的PPPOE認證時,向第一認證服務器發送認證請求報文;其中,所述認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,并在認證通過后,將所述認證請求報文透傳至所述第二認證服務器,由第二認證服務器繼續認證;
[0008]接收第一認證服務器返回的認證通過報文,判斷所述認證通過報文是否攜帶為所述接入客戶端分配的公網IP;如果是,將該公網IP分配給所述接入客戶端。
[0009]一種基于PPPOE的內外網統一認證的方法,應用于第一認證服務器,所述第一認證服務器與第二認證服務器、接入服務器分別相連,其中,所述接入服務器與接入客戶端、防火墻分別相連;所述防火墻用于隔離內網和外網,包括:
[0010]接收接入服務器發送的認證請求報文;所述認證請求報文攜帶用戶認證信息;
[0011]對所述用戶認證信息進行認證;
[0012]當認證通過后,將所述認證請求報文透傳至所述第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證;
[0013]當第二認證服務器針對所述用戶認證信息認證通過后,向接入服務器發送認證通過報文;該認證通過報文攜帶為所述接入客戶端分配的公網IP,以使所述接入服務器將所述公網IP分配給所述接入客戶端。
[0014]一種基于PPPOE的內外網統一認證的裝置,應用于接入服務器,所述接入服務器連與接入客戶端、防火墻、第一認證服務器分別相連,其中,所述防火墻用于隔離內網和外網;所述第一認證服務器與第二認證服務器相連,所述裝置包括:
[0015]發送單元,用于當接收到客戶端發起的PPPOE認證時,向第一認證服務器發送認證請求報文;其中,所述認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,并在認證通過后,將所述認證請求報文透傳至所述第二認證服務器,由第二認證服務器繼續認證;
[0016]接收單元,用于接收第一認證服務器返回的認證通過報文,判斷所述認證通過報文是否攜帶為所述接入客戶端分配的公網IP;如果是,將該公網IP分配給所述接入客戶端。
[0017]一種基于PPPOE的內外網統一認證的裝置,應用于第一認證服務器,所述第一認證服務器與第二認證服務器、接入服務器分別相連,其中,所述接入服務器與接入客戶端、防火墻分別相連;所述防火墻用于隔離內網和外網,所述裝置包括:
[0018]接收單元,用于接收接入服務器發送的認證請求報文;所述認證請求報文攜帶用戶認證信息;
[0019]認證單元,用于對所述用戶認證信息進行認證;
[0020]透傳單元,用于當認證通過后,將所述認證請求報文透傳至所述第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證;
[0021]發送單元,用于當第二認證服務器針對所述用戶認證信息認證通過后,向接入服務器發送認證通過報文;該認證通過報文攜帶為所述接入客戶端分配的公網IP,以使所述接入服務器將所述公網IP分配給所述接入客戶端。
[0022]由以上本申請提供的技術方案可見,所述接入服務器與接入客戶端、防火墻、第一認證服務器分別相連,其中,所述防火墻用于隔離內網和外網;所述第一認證服務器與第二認證服務器相連。接入服務器在接收到客戶端發起的PPPOE認證時,可以向第一認證服務器發送認證請求報文,其中該認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,當第一認證服務器認證通過后,可以將所述認證請求報文透傳至第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證。當第二認證服務器針對所述用戶認證信息認證通過后,第一認證服務器向接入服務器發送認證通過報文;該認證通過報文攜帶為所述接入客戶端分配的公網IP,以由所述接入服務器將所述公網IP分配給所述接入客戶端,使得接入客戶端同時取得內網和外網的訪問權限,從而實現了內網用戶只需要通過一次認證,就能同時訪問內網和外部互聯網資源,從而使內網用戶更加方便地訪問外部互聯網資源。
【附圖說明】
[0023]圖1為本申請示出的相關技術中校園網用戶通過兩次認證解決內外網認證的方法的組網架構圖;
[0024]圖2為本申請示出的相關技術中基于PPPOE協議進行接入認證的流程圖;
[0025]圖3為本申請示出的一種基于PPPOE的內外網統一認證的方法的組網架構圖;
[0026]圖4為本申請示出的一種基于PPPOE的內外網統一認證的方法的流程圖;
[0027]圖5為本申請示出的另一種基于PPPOE的內外網統一認證的方法的流程圖;
[0028]圖6為本申請示出的另一種基于PPPOE的內外網統一認證的方法的流程圖;
[0029 ]圖7為本申請示出的一種基于PPPOE的內外網統一認證的裝置;
[0030]圖8為本申請示出的另一種基于PPPOE的內外網統一認證的裝置。
【具體實施方式】
[0031]這里將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反,它們僅是與如所附權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。
[0032]在本申請使用的術語是僅僅出于描述特定實施例的目的,而非旨在限制本申請。在本申請和所附權利要求書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項目的任何或所有可能組合。
[0033]應當理解,盡管在本申請可能采用術語第一、第二、第三等來描述各種信息,但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如,在不脫離本申請范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。
[0034]請參見圖1,圖1為本申請示出的相關技術中內網用戶通過兩次認證解決內外網認證的方法的組網架構圖。
[0035]在圖1示出的組網連接中,客戶端為PC(Personal Computer,個人計算機),認證接入設備I通過防火墻連接校內網,認證接入設備2通過防火墻連接外部互聯網。認證接入設備I和認證接入設備2均通過交換機與認證服務器連接,認證服務器中保存著所有用戶的信息。認證接入設備I開啟802.1x認證,作為第一次認證設備,給用戶授權訪問內網;認證接入設備2開啟Portal認證,作為第二次認證設備,給用戶授權訪問外部互聯網。
[0036]在實際應用中,客戶端向認證接入設備I發送認證請求報文,該認證請求報文攜帶用戶認證信息。認證接入設備I接收到認證請求報文后,將攜帶用戶認證信息的認證請求報文通過交換機,發送到認證服務器。認證服務器對接收到的認證請求報文進行解析,獲取用戶認證信息,并與服務器本地保存的用戶認證信息進行校驗。校驗通過后,認證服務器返回給認證接入設備I認證通過報文,否則返回給認證接入設備I認證失敗報文。認證接入設備I認證通過后,將基于本地預設的私網地址池未所述接入客戶端分配私網IP,以使用戶通過該私網IP能訪問內部網絡資源,但不能訪問外互聯網資源,以上過程即為內網用戶的第一次認證。
[0037]用戶通過第一次認證后,即擁有訪問內部網絡資源的權限,用戶想要訪問外部互聯網時,認證接入設備I會向認證接入設備2繼續發送認證請求報文,所述認證請求報文攜帶用戶認證信息。認證接入設備2接收到所述認證請求報文后,將該認證請求報文通過交換機發送給認證服務器,認證服務器對該報文進行解析,獲取用戶認證信息,并與服務器本地保存的用戶認證信息進行校驗。校驗通過后,認證服務器返回給認證接入設備2認證通過報文,否則返回給認證接入設備2認證失敗報文。認證服務器認證通過后,認證接入設備2將基于本地預設的公網IP地址池未所述接入客戶端分配公網IP,以使用戶通過該公網IP既能訪問內部網絡資源,又能訪問外部互聯網資源,以上過程即為內網用戶的第二次認證。
[0038]一方面,內網用戶通過兩次認證解決內外網認證的方法需要裝設兩臺認證接入設備,多一臺認證設備,數據就要多傳輸一次,傳輸過程中會產生丟包情況,數據成功傳輸的效率就會下降,進而直接導致用戶認證的成功率下降。
[0039]另一方面,內網用戶訪問外網時,需要經過兩次認證,相比于一次認證,兩次認證需要花費更多的時間,因此用戶需要等待更多的時間才能認證成功,從而導致內網用戶訪問外部互聯網資源時很不方便。
[0040]為了解決上述問題,本發明實施例提供了一種基于PPPOE的內外網統一認證的方法,通過對組網連接方式的改進,引入兩臺不同的認證服務器,通過第一認證服務器將認證請求報文透傳至第二認證服務器,實現一次認證請求同時完成內外和外網的認證。
[0041]請參見圖2,圖2為本申請示出的相關技術中基于PPPOE協議進行接入認證的流程圖。
[0042]本申請是基于PPPOE接入方式認證的基礎上,解決內外網統一認證的方法。在圖2中,PPPOE接入方式認證分為三個階段分別為發現階段、會話階段和終止階段。每個階段的具體過程如下:
[0043]I )、發現階段:
[0044]步驟201:ΡΡΡ0Ε客戶端向PPPOE服務器發送一個PADI廣播報文。
[0045]其中,ΡΡΡ0Ε客戶端發送的是一個廣播報文,因此所述PPPOE客戶端和PPPOE服務器必須得在同一個局域網中。
[0046]步驟202: PPPOE服務器接收到PADI廣播報文之后,向PPPOE客戶端發送一個PADO報文。
[0047]其中,上述PADO報文以單播的方式發送給PPPOE客戶端。
[0048]步驟203: PPPOE客戶端接收到PPPOE服務器發送的PADO報文之后,向PPPOE服務器發送一個PADR報文。
[0049]其中,當PPPOE客戶端所在的局域網中有多臺PPPOE服務器,由于PPPOE客戶端發送的是PADI廣播報文,因此,PPPOE客戶端會接收到對應于不同的PPPOE服務器的多個PADO報文。對應于此情況,PPPOE客戶端會選擇第一個接收到的PADO報文對應的服務器作為自己的接入服務器,并向該服務器發送一個PADR報文。
[0050]步驟204: PPPOE服務器接收到PADR報文之后,會生成一個Sess1n-1D,并向PPPOE客戶端發送一個攜帶有該Sess1n-1D的PADS報文。
[0051 ]其中,上述Sess1n-1D將包含在之后的PPPOE客戶端和服務器之間所有信息交換報文中,用來表示特定的會話,從而在以太網上建立起一條PPP鏈路。
[0052]2)、會話階段:
[0053]步驟205:在LCP(Link Control Protocol,鏈路控制協議)階段,PPPOE客戶端與PPPOE服務器協商最大接受報文長度和認證方法。
[0054]其中,上述LCP階段是指會話階段的三個階段中第一個階段,會話階段又分為三個階段,分別為LCP階段,認證階段和NCP(Network Control Protocol,網絡控制協議)階段。當PPPOE客戶端和PPPOE服務器完成協商后,PPPOE客戶端和服務器會定時向對端發送LCPEcho Request報文探測鏈路狀態,如果沒有收到對端回應的LCP Echo Response報文,鏈路中斷,關閉PPPOE會話。
[0055]步驟206:在認證階段,PPPOE客戶端和服務器進行認證方式的選擇。
[0056]其中,認證方式包含兩種,分別為CHAP(ChallengeHandshake Authenticat1nProtocol,質詢應答握手認證協議)和PAP(Password Authenticat1n Protocol,密碼認證協議),具體選擇哪種認證方式,可以由LCP協商確定。接入服務器可以基于協商出的認證方式,接收客戶端發送的登陸名以及密碼等用戶認證信息,并將所述用戶認證信息分別提交至內網和外網服務器進行認證。
[0057]步驟207:在NCP階段(即認證完成之后),ΡΡΡ0Ε服務器基于IPCP(InternetProtocol Control Protocol,互聯網協議控制協議)協議為PPPOE客戶端分配IP和DNS地址。例如,外網認證服務器認證通過后,可以向接入服務器返回為接入客戶端分配的公網IP,在這種情況下,接入服務器可以將該公網IP分配給接入客戶端。如果內網認證服務器認證通過,可以向接入服務器返回為接入客戶端分配的私網IP,在這種情況下,接入服務器可以將該私網IP分配給接入客戶端。
[0058]3)、終止階段:
[0059]步驟208:ΡΡΡ0Ε客戶端和服務器向對端發送PADT報文終結PPPOE會話。
[0060]其中,PPPOE會話建立以后,客戶端和服務器都可以向對端發送PADT報文來終結會話,而且PADT數據包可以在會話建立以后的任意時刻發送。在發送或者接收到PADT報文后,將不允許再使用該會話發送PPP流量。
[0061]請參見圖3,圖3為本申請示出的一種基于PPPOE的內外網統一認證的方法的組網架構圖。
[0062]以下以上述內網為校園網為例,并結合校園網接入認證的應用場景進行詳細描述,當然以校園網接入認證的應用場景為例僅為示例性的,在實際應用中,也可以適用于其它應用場景。
[0063 ]在圖3示出的組網連接中,接入客戶端可以包括PC、移動終端等;接入客戶端可以與接入服務器連接,該接入服務器可以為BARS(Broadband Remote Access Server,寬帶接入服務器),接入服務器與接入客戶端、第一認證服務器、防火墻分別相連;所述防火墻用于隔離校園網內網和外部互聯網;所述第一認證服務器與第二認證服務器相連。
[0064]其中,接入服務器可以為PPPOE服務器,用戶可以通過接入客戶端向接入服務器發起PPPOE認證。所述第一認證服務器與第二認證服務器均可以為RAD IUS (RemoteAuthenticat1n Dial in User Service)月艮務器。
[0065]所述第一認證服務器,用于對用戶進行內網認證,當認證通過后,該用戶將取得訪問內網資源的權限。在其本地保存有校園網內網用戶的用戶認證信息,所述用戶認證信息,包括用戶名,密碼等。
[0066]當接收到接入服務器發送的認證請求報文時,對所述認證請求報文進行解析,并獲取所述用戶認證信息,根據獲取的用戶認證信息與本地保存的用戶認證信息,進行校驗,即對獲取的用戶認證信息進行認證。
[0067]所述第二認證服務器,用于對用戶進行外網認證,當認證通過后,該用戶將取得訪問外網資源的權限。在其本地保存外網用戶的用戶認證信息,所述用戶認證信息,包括用戶名,密碼等。
[0068]當第二認證服務器接收到第一認證服務器透傳的認證請求報文時,對所述認證請求報文進行解析,并獲取所述用戶認證信息,根據獲取的用戶認證信息與本地保存的用戶認證信息,進行校驗,即對獲取的用戶認證信息進行認證,認證通過后,基于本地預設的公網IP地址池為所述接入客戶端分配公網IP。
[0069]其中,在示出的一種實施方式中,第一認證服務器本地可以預先設置一個公網IP地址池。當第一認證服務器接收到第二認證服務器發出的認證通過報文后,可以通過該地址池為接入客戶端分配公網IP。
[0070]在示出的另一種實施方式中,該公網IP地址池,也可以設置在第二認證服務器上,當第二認證服務器對用戶認證信息認證通過后,可以通過該地址池為接入客戶端分配公網IP,然后將該公網IP攜帶在認證通過報文中返回給第一認證服務器。
[0071]所述接入服務器,用于在接收到用戶發起的PPPOE認證時,基于RADIUS協議向相應的認證服務器發送認證請求報文,并根據認證結果為接入客戶端分配IP。
[0072]當接入服務器接收到接入客戶端發送的認證請求報文時,該認證請求報文攜帶用戶認證信息,并向第一認證服務器發送所述認證請求報文。當接收到第一認證服務器發送的認證通過報文,所述認證通過報文攜帶有公網IP時,將該公網IP分配給接入客戶端,所述認證通過報文不攜帶有公網IP時,可以基于本地預設的私網IP地址池為所述接入客戶端分配私網IP。
[0073]所述防火墻,用于對校園網內網和互聯網之間進行信息隔離,防止了用戶信息的泄露。
[0074]在本例中,可以利用圖3所示出的組網架構,通過一次認證即可完成針對用戶的內網和外網認證。接入服務器在接收到接入客戶端發送的認證請求報文時,可以將該認證請求報文發送至第一認證服務器進行內網認證,第一認證服務器可以解析認證請求報文獲取其中的用戶認證信息,對該用戶認證信息進行認證。當認證通過后,該用戶已可以取得內網訪問權限,第一認證服務器可以將該認證請求報文透傳至第二認證服務器繼續進行外網認證,第二認證服務器對該認證請求報文中的用戶認證信息進行認證。
[0075]一方面,當公網IP地址池預設在第二服務器側時,當第二認證服務器認證通過后,將基于其本地預設的公網IP地址池為所述接入客戶端分配公網IP,并將攜帶有該公網IP的認證通過報文返回給第一認證服務器,接入服務器將會接收到第一認證服務器轉發的攜帶該公網IP的認證通過報文。
[0076]另一方面,如果公網IP地址池預設在第一服務器側,當第一認證服務器將接收到第二認證服務器發送的不攜帶公網IP的認證通過報文后,第一認證服務器將基于其本地預設的公網IP地址池為所述接入客戶端分配公網IP,并將攜帶該公網IP的認證通過報文發送給接入服務器。
[0077]接入服務器接收到攜帶為所述接入客戶端分配的公網IP的認證通過報文后,將該公網IP分配給接入客戶端,這種情況下,用戶同時取得內網和外網的訪問權限,從而用戶通過一次認證,即可完成內網和外網的認證,取得內網和外網的訪問權限。
[0078]請參見圖4,圖4為本申請示出的一種基于PPPOE的內外網統一認證的方法的流程圖,應用于接入服務器側,本實施例是在圖3示出的組網架構的基礎上實現的,具體執行以下步驟:
[0079]步驟401:當接收到客戶端發起的PPPOE認證時,向第一認證服務器發送認證請求報文;其中,所述認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,并在認證通過后,將所述認證請求報文透傳至所述第二認證服務器,由第二認證服務器繼續認證;
[0080]在本例中,接入客戶端仍然可以基于PPPOE協議向接入服務器發起PPPOE認證,具體的認證方式不再贅述。
[0081 ] 其中,在基于RADIUS協議進行認證的場景中,上述認證請求報文可以是RADIUS協議中的Access-Request報文。
[0082]上述用戶認證信息包含用戶名,密碼等相關用戶信息。
[0083]上述第一認證服務器,在其本地保存有校園網內網用戶的用戶認證信息。當接收到接入服務器發送的認證請求報文時,對所述認證請求報文進行解析,并獲取其中的用戶認證信息,根據獲取的用戶認證信息與本地保存的用戶認證信息,進行校驗,即對獲取的用戶認證信息進行認證。
[0084]上述第二認證服務器,在其本地保存外網用戶的用戶認證信息。當第二認證服務器接收到第一認證服務器透傳的認證請求報文時,對所述認證請求報文進行解析,獲取其中的用戶認證信息,根據獲取的用戶認證信息與本地保存的用戶認證信息,進行校驗,即對獲取的用戶認證信息進行認證。
[0085]在本實施例中,第一認證服務器接收到接入服務器發送的認證請求報文后,對所述認證請求報文進行解析,獲取該認證請求報文中攜帶的用戶認證信息,根據獲取到的用戶認證信息與第一認證服務器本地保存的用戶認證信息,進行校驗,如果校驗通過,即認證通過。
[0086]當第一認證服務器認證通過后,用戶已取得內網訪問權限,在這種情況下,第一認證服務器可以將該認證請求報文透傳至第二認證服務器,以由第二認證服務器對所述認證請求報文繼續進行外網認證。
[0087]如果第二認證服務器認證失敗,第二認證服務器可以向第一認證服務器返回一個認證失敗報文。其中,在基于RADIUS協議進行認證的場景中,上述認證失敗報文可以是RADIUS 協議中的 Access-Re ject 報文。
[0088]接入服務器接收到第一認證服務器返回的認證失敗報文后,可以通過接入客戶端的用戶界面向用戶輸出一個接入失敗的提示消息。例如,這個提示消息可以是一條“用戶名或者密碼不正確”的文本提示消息。
[0089]在示出的一種實施方式中,當公網IP地址池預設在第二認證服務器上時,如果第二認證服務器認證通過,第二認證服務器可以通過其本地的公網IP地址池為接入客戶端分配一個公網IP,并將攜帶該公網IP的認證通過報文,返回給第一認證服務器。
[0090]其中,在基于RADIUS協議進行認證的場景中,上述認證通過報文可以是RADIUS協議中的Access-Accept報文。
[0091]在示出的另一種實施方式中,當公網IP地址池預設在第一認證服務器上時,如果第二認證服務器認證通過,第二認證服務器將返回給第一認證服務器一個認證通過報文。第一認證服務器接收到該認證通過報文后,可以通過其本地的公網IP地址池為接入客戶端分配一個公網IP。
[0092]其中,在基于RADIUS協議進行認證的場景中,上述認證通過報文可以是RADIUS協議中的Access-Accept報文。
[0093]步驟402:接收第一認證服務器返回的認證通過報文,判斷所述認證通過報文是否攜帶為所述接入客戶端分配的公網IP;如果是,將該公網IP分配給所述接入客戶端。
[0094]在本實施例中,接入服務器接收到第一認證服務器發送的認證通過報文后,對該認證通過報文進行解析,判斷該認證通過報文是否攜帶公網IP。
[0095]當該認證通過報文攜帶公網IP,此時表明第二認證服務器也認證通過,在這種情況下,用戶可以同時取得內網和外網的訪問權限。
[0096]其中,一方面,當公網IP地址池設置在第二認證服務器側時,該認證通過報文是由第一認證服務器轉發的,該認證通過報文中攜帶的公網IP是由第二認證服務器通過其本地的公網IP地址池為所述接入客戶端分配的;
[0097]另一方面,當公網IP地址池設置在第一認證服務器側時,該認證通過報文是由第一認證服務器為所述接入客戶端分配完公網IP后,將該公網IP攜帶在該認證通過報文后發送給接入服務器的。
[0098]當然,如果該認證通過報文未攜帶公網IP,此時表明第二認證服務器認證失敗,用戶只取得內網訪問的權限(僅第一認證服務器認證通過),不具有外網訪問的權限。在這種情況下,接入服務器將通過其本地設置的私網IP地址池為所述接入客戶端分配私網IP。
[0099]在本例中,當接入服務器接收到第一認證服務器發送的認證失敗報文時,此時表明第一認證服務器和第二認證服務器均為認證成功,用戶無法取得同時訪問內網和外網的訪問權限。在這種情況下,接入服務器可以通過接入客戶端向用戶輸出接入失敗的提示消息;其中,該提示消息可以是一條“用戶名或者密碼不正確”的文本提示消息。
[0100]由以上本申請提供的技術方案可見,所述接入服務器與接入客戶端、防火墻、第一認證服務器分別相連,其中,所述防火墻用于隔離內網和外網;所述第一認證服務器與第二認證服務器相連。接入服務器在接收到客戶端發起的PPPOE認證時,可以向第一認證服務器發送認證請求報文,其中該認證請求報文攜帶用戶認證信息,接入服務器通過接收接入客戶端發送的認證請求報文,所述認證請求報文攜帶用戶認證信息;并將所述認證請求報文發送至第一認證服務器,以使第一認證服務器對所述用戶認證信息進行認證,當第一認證服務器認證通過后,將所述認證請求報文透傳至第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證。
[0101]一方面,如果公網IP地址池預設在第二服務器側,當第二認證服務器認證通過后,將基于其本地預設的公網IP地址池為所述接入客戶端分配公網IP,并將攜帶有該公網IP的認證通過報文返回給第一認證服務器,接入服務器將會接收到第一認證服務器轉發的攜帶該公網IP的認證通過報文。
[0102]另一方面,如果公網IP地址池預設在第一服務器側,當第一認證服務器將接收到第二認證服務器發送的不攜帶公網IP的認證通過報文后,第一認證服務器將基于其本地預設的公網IP地址池為所述接入客戶端分配公網IP,并將攜帶該公網IP的認證通過報文發送給接入服務器。
[0103]接入服務器接收到攜帶公網IP的認證通過報文后,將該公網IP分配給接入客戶端,在這種情況下,用戶可以同時取得內網和外網的訪問權限,從而實現了內網用戶只需要通過一次認證,就能同時訪問內網和外部互聯網資源,使內網用戶更加方便地訪問外部互聯網資源。
[0104]請參見圖5,圖5為本申請示出的一種基于PPPOE的內外網統一認證的方法的流程圖,應用于第一認證服務器側,本實施例是在圖3示出的組網架構的基礎上實現的,具體執行以下步驟:
[0105]步驟501:接收接入服務器發送的認證請求報文;所述認證請求報文攜帶用戶認證
?目息O
[0106]在本例中,接入客戶端仍然可以基于PPPOE協議向接入服務器發起PPPOE認證,具體的認證方式不再贅述。
[0107]其中,在基于RADIUS協議進行認證的場景中,上述認證請求報文可以是RADIUS協議中的Access-Request報文。
[0108]上述用戶認證信息包含用戶名,密碼等相關用戶信息。
[0109]上述第一認證服務器,在其本地保存有校園網內網用戶的用戶認證信息。當接收到接入服務器發送的認證請求報文時,對所述認證請求報文進行解析,并獲取其中的用戶認證信息,根據獲取的用戶認證信息與本地保存的用戶認證信息,進行校驗,即對獲取的用戶認證信息進行認證。
[0110]上述第二認證服務器,在其本地保存外網用戶的用戶認證信息。當第二認證服務器接收到第一認證服務器透傳的認證請求報文時,對所述認證請求報文進行解析,獲取其中的用戶認證信息,根據獲取的用戶認證信息與本地保存的用戶認證信息,進行校驗,即對獲取的用戶認證信息進行認證。
[0111]步驟502:對所述用戶認證信息進行認證。
[0112]在本實施例中,第一認證服務器接收到接入服務器發送的認證請求報文后,對所述認證請求報文進行解析,獲取該認證請求報文中攜帶的用戶認證信息,根據獲取到的用戶認證信息與第一認證服務器本地保存的用戶認證信息,進行校驗,如果校驗通過,即認證通過。
[0113]當第一認證服務器認證通過后,此時用戶取得內網訪問權限,在這種情況下,第一認證服務器可以將該認證請求報文透傳至第二認證服務器,以由第二認證服務器對所述認證請求報文繼續進行外網認證。如果第二認證服務器認證失敗,第二認證服務器可以向第一認證服務器返回一個認證失敗報文。其中,在基于RADIUS協議進行認證的場景中,上述認證失敗報文可以是RADIUS協議中的Access-Re ject報文。
[0114]接入服務器接收到第一認證服務器返回的認證失敗報文后,可以通過接入客戶端的用戶界面向用戶輸出一個接入失敗的提示消息。例如,這個提示消息可以是一條“用戶名或者密碼不正確”的文本提示消息。
[0115]步驟503:當認證通過后,將所述認證請求報文透傳至所述第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證。
[0116]在示出的一種實施方式中,當公網IP地址池預設在第二認證服務器上時,如果第二認證服務器認證通過,第二認證服務器可以通過其本地的公網IP地址池為接入客戶端分配一個公網IP,并將攜帶該公網IP的認證通過報文,返回給第一認證服務器。其中,在基于RADIUS協議進行認證的場景中,上述認證通過報文可以是RADIUS協議中的Access-Accept報文。
[0117]在示出的另一種實施方式中,當公網IP地址池預設在第一認證服務器上時,如果第二認證服務器認證通過,第二認證服務器將返回給第一認證服務器一個認證通過報文。第一認證服務器接收到該認證通過報文后,可以通過其本地的公網IP地址池為接入客戶端分配一個公網IP。其中,在基于RADIUS協議進行認證的場景中,上述認證通過報文可以是RADIUS 協議中的 Access-Accept 報文。
[0118]步驟504:當第二認證服務器針對所述用戶認證信息認證通過后,向接入服務器發送認證通過報文;該認證通過報文攜帶為所述接入客戶端分配的公網IP,以使所述接入服務器將所述公網IP分配給所述接入客戶端。
[0119]在本實施例中,第一認證服務器接收到第二認證服務器房的認證通過報文,此時表明第二認證服務器認證通過。表明此時用戶取得內網和外網的訪問權限。第一認證服務器會向接入服務器發送認證通過報文。
[0120]如果公網IP地址池設置在第二認證服務器側,該認證通過報文是由第一認證服務器轉發的,該認證通過報文中攜帶的公網IP是由第二認證服務器通過其本地的公網IP地址池為所述接入客戶端分配的;如果公網IP地址池設置在第一認證服務器側,該認證通過報文是由第一認證服務器為所述接入客戶端分配完公網IP后,將該公網IP攜帶在該認證通過報文后發送給接入服務器的。
[0121]當第一認證服務器接收到第二認證服務器發送的認證失敗報文,此時表明第二認證服務器認證失敗,在這種情況下,用戶取得內網的訪問權限,但不具有外網訪問的權限。第一認證服務器將向接入服務器發送不攜帶公網IP的認證通過報文,以使接入服務器基于其本地的私網IP地址池為所述接入客戶端分配私網IP。
[0122]當然,第一認證服務器向接入服務器發送認證失敗報文時,此時表明第一認證服務器認證失敗,在這種情況下,用戶不具有訪問內網和外網的訪問權限。接入服務器將通過接入客戶端向用戶輸出接入失敗的提示消息,該提示消息可以是一條“用戶名或者密碼不正確”的文本提示消息。
[0123]由以上本申請提供的技術方案可見,所述接入服務器與接入客戶端、防火墻、第一認證服務器分別相連,其中,所述防火墻用于隔離內網和外網;所述第一認證服務器與第二認證服務器相連。接入服務器在接收到客戶端發起的PPPOE認證時,可以向第一認證服務器發送認證請求報文,其中該認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,當第一認證服務器認證通過后,將所述認證請求報文透傳至第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證。
[0124]一方面,如果公網IP地址池預設在第二服務器側,當第二認證服務器認證通過后,將基于其本地預設的公網IP地址池為所述接入客戶端分配公網IP,并將攜帶有該公網IP的認證通過報文返回給第一認證服務器,接入服務器將會接收到第一認證服務器轉發的攜帶該公網IP的認證通過報文。
[0125]另一方面,如果公網IP地址池預設在第一服務器側,當第一認證服務器將接收到第二認證服務器發送的不攜帶公網IP的認證通過報文后,第一認證服務器將基于其本地預設的公網IP地址池為所述接入客戶端分配公網IP,并將攜帶該公網IP的認證通過報文發送給接入服務器。
[0126]接入服務器接收到攜帶為所述接入客戶端分配的公網IP的認證通過報文后,將該公網IP分配給接入客戶端,在這種情況下,用戶同時取得內網和外網的訪問權限。實現了內網用戶只需要通過一次認證,就能同時訪問內網和外部互聯網資源,從而使內網用戶更加方便地訪問外部互聯網資源。
[0127]請參見圖6,圖6為本申請示出的一種基于PPPOE的內外網統一認證的方法的流程圖,應用于接入服務器側和第一認證服務器,本實施例是在圖3示出的組網架構的基礎上實現的,其中,接入服務器側和第一認證服務器進行交互,具體執行以下步驟::
[0128]步驟601:接入客戶端向接入服務器發送認證請求報文。
[0129]在本例中,接入客戶端仍然可以基于PPPOE協議向接入服務器發起PPPOE認證,具體的認證方式不再贅述。
[0130]其中,在基于RADIUS協議進行認證的場景中,上述認證請求報文可以是RADIUS協議中的Access-Request報文。
[0131]上述用戶認證信息包含用戶名,密碼等相關用戶信息。
[0132]步驟602:接入服務器接收到所述認證請求報文后,將該認證請求報文發送給第一認證服務器。
[0133]上述第一認證服務器,在其本地保存有校園網內網用戶的用戶認證信息。當接收到接入服務器發送的認證請求報文時,對所述認證請求報文進行解析,并獲取其中的用戶認證信息,根據獲取的用戶認證信息與本地保存的用戶認證信息,進行校驗,即對獲取的用戶認證信息進行認證。
[0134]步驟603:第一認證服務器對接入服務器發送的認證請求報文進行解析,獲取該認證請求報文攜帶的用戶認證信息。
[0135]步驟604:第一認證服務器對所述用戶認證信息進行認證。
[0136]步驟605:第一認證服務器判斷認證是否通過。
[0137]步驟606:第一認證服務器認證失敗,則向接入服務器發送認證失敗報文。
[0138]步驟607:第一認證服務器認證通過,則將所述認證請求報文透傳至第二認證服務器。
[0139]上述第二認證服務器,在其本地保存外網用戶的用戶認證信息。當第二認證服務器接收到第一認證服務器透傳的認證請求報文時,對所述認證請求報文進行解析,獲取其中的用戶認證信息,根據獲取的用戶認證信息與本地保存的用戶認證信息,進行校驗,即對獲取的用戶認證信息進行認證。
[0140]上述五個步驟中,第一認證服務器接收到接入服務器發送的認證請求報文后,對所述認證請求報文進行解析,獲取該認證請求報文中攜帶的用戶認證信息,根據獲取到的用戶認證信息與第一認證服務器本地保存的用戶認證信息,進行校驗,如果校驗通過,即認證通過。
[0141]當第一認證服務器認證通過后,此時用戶已取得內網訪問權限,在這種情況下,第一認證服務器可以將該認證請求報文透傳至第二認證服務器,以由第二認證服務器對所述認證請求報文繼續進行外網認證。如果第二認證服務器認證失敗,第二認證服務器可以向第一認證服務器返回一個認證失敗報文。其中,在基于RADIUS協議進行認證的場景中,上述認證失敗報文可以是RADIUS協議中的Access-Re ject報文。
[0142]接入服務器接收到第一認證服務器返回的認證失敗報文后,可以通過接入客戶端的用戶界面向用戶輸出一個接入失敗的提示消息。例如,這個提示消息可以是一條“用戶名或者密碼不正確”的文本提示消息。
[0143]步驟608:第二認證服務器接收到第一認證服務器透傳的認證請求報文后,對所述認證請求報文進行解析,獲取該認證請求報文攜帶的用戶認證信息。
[0144]步驟609:第二認證服務器獲得用戶認證信息后,對所述用戶認證信息進行認證。
[0145]步驟610:第二認證服務器判斷認證是否通過。
[0146]步驟611:第二認證服務器認證未通過,則向所述第一認證服務器發送不含有公網IP的報文。
[0147]步驟612:第二認證服務器認證通過,則向第一認證服務器發送攜帶公網IP的報文。
[0148]步驟613:第一認證服務器接收到第二認證服務器發送的不含有公網IP的報文后,向接入服務器發送不含有公網IP的認證通過報文。
[0149]步驟614:第一認證服務器接收到第二認證服務器發送的攜帶公網IP的報文后,向接入服務器發送所述攜帶公網IP的認證通過報文。
[0150]上述步驟613和步驟614在一個實施例中只會執行一次,根據步驟610的判斷結果,當執行步驟611,則只會執行步驟613,當執行步驟612,則只會執行步驟614.
[0151]結合上述幾個步驟分析,在示出的一種實施方式中,當公網IP地址池預設在第二認證服務器上時,如果第二認證服務器認證通過,第二認證服務器可以通過其本地的公網IP地址池為接入客戶端分配一個公網IP,并將攜帶該公網IP的認證通過報文,返回給第一認證服務器。其中,在基于RADIUS協議進行認證的場景中,上述認證通過報文可以是RADIUS協議中的Access-Accept報文。本實施例示出的方式為公網IP地址池設置在第二認證服務器上。
[0152]在示出的另一種實施方式中,當公網IP地址池預設在第一認證服務器上時,如果第二認證服務器認證通過,第二認證服務器將返回給第一認證服務器一個認證通過報文。第一認證服務器接收到該認證通過報文后,可以通過其本地的公網IP地址池為接入客戶端分配一個公網IP。其中,在基于RADIUS協議進行認證的場景中,上述認證通過報文可以是RADIUS 協議中的 Access-Accept 報文
[0153]步驟615:接入服務器接收到第一認證服務器發送的不含有公網IP的認證通過報文后,分配給客戶端私網IP。
[0154]步驟616:接入服務器接收到第一認證服務器發送的公網IP后,將該公網IP發送給客戶端。
[0155]其中,步驟615和步驟616在一個實施例中只會執行一次,當執行步驟613,則只會執行615,當執行步驟614,貝Ij只會執行步驟616。
[0156]結合上述幾個步驟分析,接入服務器接收到第一認證服務器發送的認證通過報文后,對該認證通過報文進行解析,判斷該認證通過報文是否攜帶公網IP。
[0157]當該認證通過報文攜帶公網IP,此時表明第二認證服務器認證通過,在這種情況下,用戶取得了內網和外網的訪問權限。當公網IP地址池設置在第二認證服務器側時,該認證通過報文是由第一認證服務器轉發的,該認證通過報文中攜帶的公網IP是由第二認證服務器通過其本地的公網IP地址池為所述接入客戶端分配的;當公網IP地址池設置在第一認證服務器側時,該認證通過報文是由第一認證服務器為所述接入客戶端分配完公網IP后,將該公網IP攜帶在該認證通過報文后發送給接入服務器的。
[0158]當該認證通過報文未攜帶公網IP,此時表明第二認證服務器認證失敗,在種情況下,用戶取得了內網訪問的權限,但不具有外網訪問的權限。此時,接入服務器將通過其本地設置的私網IP地址池為所述接入客戶端分配私網IP。
[0159]當接入服務器接收到第一認證服務器的認證失敗報文,此時表明用戶不具有訪問內網和外網的訪問權限。接入服務器將通過接入客戶端向用戶輸出接入失敗的提示消息,該提示消息可以是一條“用戶名或者密碼不正確”的文本提示消息。
[0160]由以上本申請提供的技術方案可見,所述接入服務器與接入客戶端、防火墻、第一認證服務器分別相連,其中,所述防火墻用于隔離內網和外網;所述第一認證服務器與第二認證服務器相連。接入服務器在接收到客戶端發起的PPPOE認證時,可以向第一認證服務器發送認證請求報文,其中該認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,當第一認證服務器認證通過后,將所述認證請求報文透傳至第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證。
[0161 ] 一方面,當公網IP地址池預設在第二服務器側時,當第二認證服務器認證通過后,將基于其本地預設的公網IP地址池為所述接入客戶端分配公網IP,并將攜帶有該公網IP的認證通過報文返回給第一認證服務器,接入服務器將會接收到第一認證服務器轉發的攜帶該公網IP的認證通過報文。
[0162]另一方面,當公網IP地址池預設在第一服務器側時,當第一認證服務器將接收到第二認證服務器發送的不攜帶公網IP的認證通過報文后,第一認證服務器將基于其本地預設的公網IP地址池為所述接入客戶端分配公網IP,并將攜帶該公網IP的認證通過報文發送給接入服務器。
[0163]接入服務器接收到攜帶為所述接入客戶端分配的公網IP的認證通過報文后,將該公網IP分配給接入客戶端,此時,用戶同時具有內網和外網的訪問權限。實現了內網用戶只需要通過一次認證,就能同時訪問內網和外部互聯網資源,從而使內網用戶更加方便地訪問外部互聯網資源。
[0164]請參考圖7,圖7為本申請示出的一種基于PPPOE的內外網統一認證的裝置,應用于接入服務器側,本實施例是在圖3示出的組網架構的基礎上實現的,該裝置包括:發送單元710,接收單元720。
[0165]其中,發送單元710,用于當接收到客戶端發起的PPPOE認證時,向第一認證服務器發送認證請求報文;其中,所述認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,并在認證通過后,將所述認證請求報文透傳至所述第二認證服務器,由第二認證服務器繼續認證;接收單元720,用于接收第一認證服務器返回的認證通過報文,判斷所述認證通過報文是否攜帶為所述接入客戶端分配的公網IP;如果是,將該公網IP分配給所述接入客戶端。
[0166]在本實施例中,所述接收單元720,具體用于當接收到所述第一認證服務器發送的認證失敗報文時,確定所述第一認證服務器針對所述用戶認證信息認證失敗,通過所述接入客戶端向用戶輸出接入失敗的提示消息。如果所述認證通過報文未攜帶為所述接入客戶端分配的公網IP,確定所述第二認證服務器針對所述用戶認證信息認證失敗,則基于本地預設的私網IP地址池為所述接入客戶端分配私網IP。
[0167]請參見圖8,圖8為本申請示出的一種基于PPPOE的內外網統一認證的裝置,應用于第一認證服務器側,本實施例是在圖3示出的組網架構的基礎上實現的,該裝置包括:接收單元810,認證單元820,透傳單元830,發送單元840。
[0168]其中,接收單元810,用于接收接入服務器發送的認證請求報文;所述認證請求報文攜帶用戶認證信息;認證單元820,用于對所述用戶認證信息進行認證;透傳單元830,用于當認證通過后,將所述認證請求報文透傳至所述第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證;發送單元840,用于當接收到所述第二認證服務器發送的認證通過報文后,將該認證通過報文轉發至所述接入服務器;其中,所述認證通過報文攜帶為所述接入客戶端分配的公網IP,以使所述接入服務器將所述公網IP分配給所述接入客戶端。
[0169]在本實施例中,所述發送單元840,具體用于當接收到所述第二認證服務器發送的認證失敗報文后,向所述接入服務器發送認證通過報文;其中,所述認證通過報文不攜帶所述公網IP,以使所述接入服務器在接收到該認證通過報文后,為所述接入客戶端分配私網IPo
[0170]上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程,在此不再贅述。
[0171]對于裝置實施例而言,由于其基本對應于方法實施例,所以相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本申請方案的目的。本領域普通技術人員在不付出創造性勞動的情況下,即可以理解并實施。
[0172]以上所述僅為本申請的較佳實施例而已,并不用以限制本申請,凡在本申請的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本申請保護的范圍之內。
【主權項】
1.一種基于PPPOE的內外網統一認證的方法,應用于接入服務器,其特征在于,所述接入服務器連與接入客戶端、防火墻、第一認證服務器分別相連,其中,所述防火墻用于隔離內網和外網;所述第一認證服務器與第二認證服務器相連,包括: 當接收到客戶端發起的PPPOE認證時,向第一認證服務器發送認證請求報文;其中,所述認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,并在認證通過后,將所述認證請求報文透傳至所述第二認證服務器,由第二認證服務器繼續認證; 接收第一認證服務器返回的認證通過報文,判斷所述認證通過報文是否攜帶為所述接入客戶端分配的公網IP;如果是,將該公網IP分配給所述接入客戶端。2.根據權利要求1所述的方法,其特征在于,所述方法還包括: 當接收到所述第一認證服務器發送的認證失敗報文時,確定所述第一認證服務器針對所述用戶認證信息認證失敗,通過所述接入客戶端向用戶輸出接入失敗的提示消息。3.根據權利要求1所述的方法,其特征在于,所述方法還包括: 如果所述認證通過報文未攜帶為所述接入客戶端分配的公網IP,確定所述第二認證服務器針對所述用戶認證信息認證失敗,則基于本地預設的私網IP地址池為所述接入客戶端分配私網IP。4.一種基于PPPOE的內外網統一認證的方法,應用于第一認證服務器,其特征在于,所述第一認證服務器與第二認證服務器、接入服務器分別相連,其中,所述接入服務器與接入客戶端、防火墻分別相連;所述防火墻用于隔離內網和外網,包括: 接收接入服務器發送的認證請求報文;所述認證請求報文攜帶用戶認證信息; 對所述用戶認證信息進行認證; 當認證通過后,將所述認證請求報文透傳至所述第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證; 當第二認證服務器針對所述用戶認證信息認證通過后,向接入服務器發送認證通過報文;該認證通過報文攜帶為所述接入客戶端分配的公網IP,以使所述接入服務器將所述公網IP分配給所述接入客戶端。5.根據權利要求4所述的方法,其特征在于,所述方法還包括: 當接收到所述第二認證服務器發送的認證失敗報文后,向所述接入服務器發送認證通過報文;其中,所述認證通過報文不攜帶所述公網IP,以使所述接入服務器在接收到該認證通過報文后,為所述接入客戶端分配私網IP。6.—種基于PPPOE的內外網統一認證的裝置,應用于接入服務器,其特征在于,所述接入服務器連與接入客戶端、防火墻、第一認證服務器分別相連,其中,所述防火墻用于隔離內網和外網;所述第一認證服務器與第二認證服務器相連,所述裝置包括: 發送單元,用于當接收到客戶端發起的PPPOE認證時,向第一認證服務器發送認證請求報文;其中,所述認證請求報文攜帶用戶認證信息,以使第一認證服務器對所述用戶認證信息進行認證,并在認證通過后,將所述認證請求報文透傳至所述第二認證服務器,由第二認證服務器繼續認證; 接收單元,用于接收第一認證服務器返回的認證通過報文,判斷所述認證通過報文是否攜帶為所述接入客戶端分配的公網IP;如果是,將該公網IP分配給接入客戶端。7.根據權利要求6所述的裝置,其特征在于,包括: 所述接收單元具體用于: 當接收到所述第一認證服務器發送的認證失敗報文時,確定所述第一認證服務器針對所述用戶認證信息認證失敗,通過所述接入客戶端向用戶輸出接入失敗的提示消息。8.根據權利要求6所述的裝置,其特征在于,包括: 所述接收單元進一步用于: 如果所述認證通過報文未攜帶為所述接入客戶端分配的公網IP,確定所述第二認證服務器針對所述用戶認證信息認證失敗,則基于本地預設的私網IP地址池為所述接入客戶端分配私網IP。9.一種基于PPPOE的內外網統一認證的裝置,應用于第一認證服務器,其特征在于,所述第一認證服務器與第二認證服務器、接入服務器分別相連,其中,所述接入服務器與接入客戶端、防火墻分別相連;所述防火墻用于隔離內網和外網,所述裝置包括: 接收單元,用于接收接入服務器發送的認證請求報文;所述認證請求報文攜帶用戶認證信息; 認證單元,用于對所述用戶認證信息進行認證; 透傳單元,用于當認證通過后,將所述認證請求報文透傳至所述第二認證服務器,以由第二認證服務器對所述用戶認證信息繼續認證; 發送單元,用于當第二認證服務器針對所述用戶認證信息認證通過后,向接入服務器發送認證通過報文;該認證通過報文攜帶為所述接入客戶端分配的公網IP,以使所述接入服務器將所述公網IP分配給所述接入客戶端。10.根據權利要求9所述的裝置,其特征在于,包括: 所述轉發單元具體用于: 當接收到所述第二認證服務器發送的認證失敗報文后,向所述接入服務器發送認證通過報文;其中,所述認證通過報文不攜帶所述公網IP,以使所述接入服務器在接收到該認證通過報文后,為所述接入客戶端分配私網IP。
【文檔編號】H04L29/06GK106027565SQ201610538487
【公開日】2016年10月12日
【申請日】2016年7月7日
【發明人】魏紹乾, 仇俊杰
【申請人】杭州迪普科技有限公司