[发明专利]一种集中认证本地转发的方法及控制装置

说明书

技术领域

本申请涉及无线网络技术，尤其是涉及在无线网络中实现集中认证本地转发的方法及装置。

背景技术

Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。Portal业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

本地转发是指AC+FITAP架构的无线网络组网情况而言,用户的管理和控制帧，如802.11管理、控制报文和802.1x协议报文等，通过CAPWAP隧道传递给AC集中处理，以实现用户的认证、授权等，用户流量信息也通过CAPWAP隧道以管理帧的方式通报给AC，以实现计费、负载均衡等应用。用户的数据帧，包括802.11数据和来自有线的802.3数据报文，在AP本地进行解析、封装等处理，并直接由AP进行转发，实现数据的高速处理。

本地转发对于部署WIFI意义重大,由于转发走AP，因此对于一台AC控制多大几百台AP部署成为可能。

发明内容

有鉴于此，本申请提供一种控制装置，用于包括无线控制器和AP的无线网络中，所述装置包括：安全认证模块，用于对收到的用户的第一报文进行检测其是否通过Portal认证；分配模块，针对未通过认证的用户的MAC地址，将其MAC地址添加到第一VLAN的表项内，针对已通过认证的用户的MAC地址，将其MAC添加在第二VLAN的表项内；处理模块，检查收到的所述用户报文的MAC地址所属的VLAN信息，如果是第一VLAN，不下发转发表，如果是第二VLAN，则向其关联的AP下发转发表项。

所述处理模块进一步用于检查收到的所述用户的第二报文的MAC地址所属的VLAN信息，如果是第一VLAN，则将其重定向至Portal服务器进行认证。

所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表；所述第二VLAN的表项至少包括MAC+VLAN+端口转发表项。

所述认证模块进一步用于在用户通过Portal认证后，删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表，并通知AP解除与所述用户的关联，以促使用户重新发起关联。

本申请还提供一种集中认证本地转发的方法，所述方法应用于包括AC和AP的无线网络中，所述方法包括：

对收到的用户的第一报文中的MAC地址进行检查起是否通过portal认证；

针对未通过认证的用户的MAC地址，将其MAC地址添加到第一VLAN的表项内，针对已经通过认证的用户的MAC地址，将其地址添加到第二VLAN表项内；

检查所述收到用户的报文携带的MAC地址所属的VLAN，如果是第一VLAN，不下发转发表，如果是第二VLAN，则向其关联的AP下发转发表项；

收到用户的第二报文，检查其MAC地址所属的VLAN信息，如果是第一VLAN，则将其重定向至Portal服务器进行认证。

其中，所述第一VLAN的表项包括MAC+VLAN的记录表和MAC+VLAN+端口的转发表；所述第二VLAN的表项至少包括MAC+VLAN+端口转发表项。

收到用户认证成功消息后，删除用户的MAC对应的MAC+VLAN的记录表和MAC+VLAN+端口的转发表，并通知AP解除与所述用户的关联，以促使用户重新发起关联。

本方案利用了未通过认证的MAC地址添加到VLAN1中，通过认证的MAC地址则添加到VLAN2中的方法，实现了无线用户的Portal认证，并在认证成功后可以走AP本地转发，该技术方案对用户来说，完全无需改动，对网络设备来说，改动也很小，兼容性强。

附图说明

图1是本申请的装置的硬件示意图。

图2是本申请的方法的流程图。

图3是本申请的一个实施方式的流程图。

具体实施方式

在本地转发场景下，由于AP和AC之间为三层组网，Portal认证的HTTP报文为二层认证报文，不能通过三层转发，所以，Portal接入控制点无法部署在AC上，后续有厂家提出了集中认证本地转发的解决方案，用户使用Portal认证方式发送的报文都经过CAPWAP封装，发送给AC，实现由AC统一认证的功能，但由于采用CAPWAP隧道方式转发，而CAPWAP隧道带宽的限制，会直接影响用户的网络信息传输速率，产生数据传输延迟，导致用户体验变差。