[发明专利]一种本地转发中的Portal认证方法和接入控制器

说明书

技术领域

本发明涉及通讯技术领域，尤其涉及一种本地转发中的Portal认证方法和接入控制器。 

背景技术

现有的WALN(Wireless Local Area Network，无线局域网)中，多台无线接入点AP(Access Point，接入点)通过AC(Access Controller，接入控制器)集中控制。对于无线集中式管理架构中的AP，由于把Station(客户端)上线管理、密钥协商/更新、数据转发等操作交给AC实现，因此称为FIT AP。其中AC与FITAP之间的数据传输使用LWAPP(Light Weight Access PointProtocol，轻量接入点协议)隧道，其组网示意图如图1所示。LWAPP隧道的建立使AP在数据转发时不必考虑与AC之间复杂的路由关系，使AC与AP之间的联系变得简单。 

现有技术中，Portal认证作为一种常用的认证方式，通常也称为Web认证。未认证用户上网时，支持Portal认证的设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。 

在AP所使用的射频技术发展到11n以后，现有AC的性能已经无法满足对AP转发进入AC的所有用户流量进行管理，在这种情况下，出现了本地转发技术，即用户流量不再需要通过FIT AP封装发送给AC、由AC进行集中转发，而是由FIT AP直接进行本地转发。本地转发是一种在AP上完成客户端之间数据交互的转发模式。在集中式WLAN架构中，AP会将客户端的数据报文透传给AC，由AC集中处理。随着客户端速率的不断提高，AC的转发压力也随之增大。采用本地转发后，AP直接转发客户端的数据，AC不再参与数据转发，大大减轻了AC的负担。 

AP上线管理、密钥协商/更新等管理工作仍然在AC进行，只是把报文转发功能转移到了AP实现。Client用户在AC上线时，AC判断用户链路协商通过，向AP下发本地转发控制消息。AP接受后续的Client的数据业务报文时，判断本地记录了Client的本地转发标记，则数据业务报文直接在本地转发。 

在认证方式上，用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。 

Portal认证作为一种三层认证，必须配置在路由口上。在二层业务进入三层转发时，Portal认证模块在三层转发流程中生效。Portal认证协议主要应用于基于WEB的宽带接入认证系统中，完成用户的认证和授权。整个Portal认证过程涉及到了认证客户端(Portal Client)，认证服务器端(Portal Server)，BAS(Broadband Access Server，宽带接入服务器)和AAA(Authentication/Authorization/Accounting，验证/授权/计费)服务器。逻辑框架如图2所示。 

Portal对流量的控制可以分为以下集中情况： 

路由器三层口：Portal基于三层路由器接口配置。在无用户认证时，Portal向该接口下发了“deny all“过滤规则，所有报文都不能被接口收发。如果有用户认证成功，则Portal向该接口下发了“permit用户IP”的规则，该用户流量可以通过； 

支持VLAN三层转发的二层设备：Portal基于VLAN三层虚接口配置。在无用户认证时，Portal向该VLAN(Virtual Local Area Network，虚拟局域网)下的所有二层物理端口下发了“deny all“过滤规则，所有报文都不能被接口收发。如果有用户认证成功，则Portal向该VLAN下的所有二层物理端口下发了“permit用户IP”的规则，该用户流量可以从该VLAN所属的任何二层物理口成功接入； 

现有技术中AC-FIT AP Portal认证的组网示意图如图3所示；现有技术中 AP本地转发的示意图如图4所示。