本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種認(rèn)證方法及裝置。

背景技術(shù)：

MAC(Media Access Control，媒體訪問控制)+Portal(門戶)認(rèn)證方式為當(dāng)前較為流行的一種認(rèn)證方式，其主要實現(xiàn)原理為：

當(dāng)用戶終端第一次上線時(即有新的MAC地址上線)時，在接入交換機上觸發(fā)MAC認(rèn)證，控制器為用戶終端分配一個guest(訪客)VLAN(Virtual Local Area Network，虛擬局域網(wǎng))，并返回Portal頁面的URL(Uniform Resoure Locator:統(tǒng)一資源定位器)；用戶終端在guest VLAN中發(fā)起DHCP(Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議)獲取guest IP(Internet Protocol，互聯(lián)網(wǎng)協(xié)議)地址，用戶終端獲取到guest IP地址后，會被重定向到Portal頁面，進(jìn)行用戶名和密碼認(rèn)證；認(rèn)證通過后，控制器完成MAC地址+用戶名+密碼的綁定，并控制接入交換機上連接該用戶終端的端口進(jìn)行down(關(guān)閉)，然后重新UP(開啟)；接入交換機端口重新UP后，會重新觸發(fā)用戶終端的MAC地址的認(rèn)證，用戶終端重新申請新的IP地址，并可正常上網(wǎng)。

然而實踐發(fā)現(xiàn)，上述認(rèn)證方案中，認(rèn)證點在接入交換機，即需要在接入交換機完成認(rèn)證，但是，目前接入交換機存在許多不同的型號，部分型號的接入交換機可能會不支持上述認(rèn)證方案，進(jìn)而造成上述認(rèn)證方案的應(yīng)用具有較大局限性。

技術(shù)實現(xiàn)要素：

本發(fā)明提供一種認(rèn)證方法及裝置，以解決現(xiàn)有MAC+portal認(rèn)證方案中認(rèn)證點在接入交換機上的實現(xiàn)方式中可能會由于部分接入交換機的型號或功能限制，導(dǎo)致方案應(yīng)用局限性較大的問題。

根據(jù)本發(fā)明實施例的第一方面，提供一種認(rèn)證方法，應(yīng)用于控制器，該方法包括：

當(dāng)接收到匯聚交換機發(fā)送的針對目標(biāo)用戶終端的媒體訪問控制MAC認(rèn)證觸發(fā)請求時，對所述目標(biāo)用戶終端進(jìn)行MAC認(rèn)證；

當(dāng)對所述目標(biāo)用戶終端MAC認(rèn)證完成，且接收到所述匯聚交換機發(fā)送的所述目標(biāo)用戶終端的MAC地址以及所述目標(biāo)用戶終端所屬的目標(biāo)虛擬局域網(wǎng)VLAN時，根據(jù)所述目標(biāo)VLAN以及預(yù)先存儲的VLAN與接入交換機的端口的對應(yīng)關(guān)系，確定目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口，并控制所述目標(biāo)接入交換機的目標(biāo)端口關(guān)閉后重新開啟；

當(dāng)再次接收到所述匯聚交換機發(fā)送的攜帶有所述目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，且確定所述目標(biāo)用戶終端的MAC地址已認(rèn)證通過時，允許所述目標(biāo)用戶終端進(jìn)行網(wǎng)絡(luò)訪問。

根據(jù)本發(fā)明實施例的第二方面，提供一種認(rèn)證方法，應(yīng)用于匯聚交換機，所述方法包括：

當(dāng)檢測到目標(biāo)用戶終端初次上線時，向控制器發(fā)送媒體訪問控制MAC認(rèn)證觸發(fā)請求，所述MAC認(rèn)證觸發(fā)請求中攜帶有所述匯聚交換機的IP地址、所述匯聚交換機上連接所述目標(biāo)用戶終端的端口號以及所述目標(biāo)用戶終端的MAC地址；

當(dāng)所述目標(biāo)用戶終端MAC認(rèn)證完成時，將所述目標(biāo)用戶終端的MAC地址以及所述目標(biāo)用戶終端所屬的目標(biāo)虛擬局域網(wǎng)VLAN發(fā)送給所述控制器，以使所述控制器根據(jù)所述目標(biāo)VLAN以及預(yù)先存儲的VLAN與接入交換機的端口的對應(yīng)關(guān)系，確定所述目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口，并控制所述目標(biāo)接入交換機的目標(biāo)端口關(guān)閉后重新開啟；

當(dāng)檢測到所述目標(biāo)用戶終端再次上線時，再次向所述控制器發(fā)送攜帶所述目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，以使所述控制器確定所述目標(biāo)用戶終端的MAC地址已認(rèn)證通過后，允許所述目標(biāo)用戶終端進(jìn)行網(wǎng)絡(luò)訪問。

根據(jù)本發(fā)明實施例的第三方面，提供一種認(rèn)證裝置，應(yīng)用于控制器，包括：

接收單元，用于接收匯聚交換機發(fā)送的針對目標(biāo)用戶終端的媒體訪問控制MAC認(rèn)證觸發(fā)請求；

認(rèn)證單元，用于對所述目標(biāo)用戶終端進(jìn)行MAC認(rèn)證；

確定單元，用于當(dāng)所述認(rèn)證單元對所述目標(biāo)用戶終端MAC認(rèn)證完成，且所述接收單元接收到所述匯聚交換機發(fā)送的所述目標(biāo)用戶終端的MAC地址以及所述目標(biāo)用戶終端所屬的目標(biāo)虛擬局域網(wǎng)VLAN時，根據(jù)所述目標(biāo)VLAN以及預(yù)先存儲的VLAN與接入交換機的端口的對應(yīng)關(guān)系，確定目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口；

控制單元，用于控制所述目標(biāo)接入交換機的目標(biāo)端口關(guān)閉后重新開啟。

處理單元，還用于當(dāng)所述接收單元再次接收到所述匯聚交換機發(fā)送的攜帶有所述目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，且所述認(rèn)證單元確定所述目標(biāo)用戶終端的MAC地址已認(rèn)證通過時，允許所述目標(biāo)用戶終端進(jìn)行網(wǎng)絡(luò)訪問。

根據(jù)本發(fā)明實施例的第四方面，提供一種認(rèn)證裝置，應(yīng)用于匯聚交換機，包括：

檢測單元，用于檢測用戶終端上線；

發(fā)送單元，用于當(dāng)所述檢測單元檢測到目標(biāo)用戶終端初次上線時，向控制器發(fā)送媒體訪問控制MAC認(rèn)證觸發(fā)請求，所述MAC認(rèn)證觸發(fā)請求中攜帶有所述匯聚交換機的IP地址、所述匯聚交換機上連接所述目標(biāo)用戶終端的端口號以及所述目標(biāo)用戶終端的MAC地址；

所述發(fā)送單元，還用于當(dāng)所述目標(biāo)用戶終端MAC認(rèn)證完成時，將所述目標(biāo)用戶終端的MAC地址以及所述目標(biāo)用戶終端所屬的目標(biāo)虛擬局域網(wǎng)VLAN發(fā)送給所述控制器，以使所述控制器根據(jù)所述目標(biāo)VLAN以及預(yù)先存儲的VLAN與接入交換機的端口的對應(yīng)關(guān)系，確定所述目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口，并控制所述目標(biāo)接入交換機的目標(biāo)端口關(guān)閉后重新開啟；

所述發(fā)送單元，還用于當(dāng)所述檢測單元檢測到所述目標(biāo)用戶終端再次上線時，再次向所述控制器發(fā)送攜帶所述目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，以使所述控制器確定所述目標(biāo)用戶終端的MAC地址已認(rèn)證通過后，允許所述目標(biāo)用戶終端進(jìn)行網(wǎng)絡(luò)訪問。

應(yīng)用本發(fā)明實施例，通過預(yù)先設(shè)置并存儲接入交換機端口與VLAN的映射關(guān)系，當(dāng)目標(biāo)用戶終端MAC認(rèn)證完成時，匯聚交換機將目標(biāo)用戶終端的MAC地址和目標(biāo)用戶終端所屬的VLAN發(fā)送給控制器，由控制器根據(jù)目標(biāo)用戶終端所屬的VLAN確定目標(biāo)用戶終端所接入的目標(biāo)接入交換機上的目標(biāo)端口，并控制該目標(biāo)端口進(jìn)行down，然后重新UP；當(dāng)匯聚交換機檢測到目標(biāo)用戶終端再次上線時，再次向控制器發(fā)送攜帶目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，以使控制器確定目標(biāo)用戶終端的MAC地址已認(rèn)證通過后，將目標(biāo)用戶終端的數(shù)據(jù)流量映射到目標(biāo)用戶終端的MAC地址對應(yīng)的業(yè)務(wù)VXLAN，與現(xiàn)有MAC+portal認(rèn)證方案相比，認(rèn)證點上移到匯聚交換機，不受接入交換機型號或功能限制，提高了方案的適用性。

附圖說明

圖1是本發(fā)明實施例提供的一種認(rèn)證方法的流程示意圖；

圖2是本發(fā)明實施例提供的另一種認(rèn)證方法的流程示意圖；

圖3是本發(fā)明實施例提供的一種具體應(yīng)用場景的架構(gòu)示意圖；

圖4是本發(fā)明實施例提供的一種認(rèn)證裝置的結(jié)構(gòu)示意圖；

圖5是本發(fā)明實施例提供的一種認(rèn)證裝置的結(jié)構(gòu)示意圖。

具體實施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案，并使本發(fā)明實施例的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明實施例中技術(shù)方案作進(jìn)一步詳細(xì)的說明。

請參見圖1，圖1為本發(fā)明實施例提供的一種認(rèn)證方法的流程示意圖，其中，該認(rèn)證方法可以應(yīng)用于匯聚交換機，如圖1所示，該認(rèn)證方法可以包括以下步驟：

需要說明的是，在本發(fā)明實施例中，步驟101～步驟103的執(zhí)行主體可以為匯聚交換機或匯聚交換機的處理器，如CPU(Center Process Unit，中央處理單元)，為便于描述，以下以步驟101～步驟103的執(zhí)行主體為匯聚交換機為例進(jìn)行說明。

步驟101、當(dāng)檢測到目標(biāo)用戶終端初次上線時，向控制器發(fā)送MAC認(rèn)證觸發(fā)請求，該MAC認(rèn)證觸發(fā)請求中攜帶有匯聚交換機的IP地址、匯聚交換機上連接目標(biāo)用戶終端的端口號以及目標(biāo)用戶終端的MAC地址。

本發(fā)明實施例中，目標(biāo)用戶終端并不特指某一固定的用戶終端，而是可以指代任一需要進(jìn)行認(rèn)證的用戶終端，本發(fā)明實施例后續(xù)不再復(fù)述。

本發(fā)明實施例中，考慮到現(xiàn)有MAC+Portal認(rèn)證方案中認(rèn)證點在接入交換機上，而現(xiàn)有組網(wǎng)中接入交換機的數(shù)量較多，可能會存在很多不同型號或功能的接入交換機，而不同型號或功能的接入交換機對認(rèn)證功能的支持情況不一樣，導(dǎo)致認(rèn)證管理難度較大，因而，在本發(fā)明實施中，可以將認(rèn)證點設(shè)置在匯聚交換機上，使認(rèn)證控制權(quán)上移，更加集中的進(jìn)行控制管理，不受接入交換機型號或功能影響，降低認(rèn)證管理難度。

相應(yīng)地，在本發(fā)明實施例中，當(dāng)匯聚交換機檢測到目標(biāo)用戶終端初次上線時，匯聚交換機可以將自身的IP地址、匯聚交換機上連接目標(biāo)用戶終端的端口號以及目標(biāo)用戶終端的MAC地址攜帶在MAC認(rèn)證觸發(fā)請求中發(fā)送給控制器，以觸發(fā)控制器對目標(biāo)用戶終端進(jìn)行MAC認(rèn)證。

值得說明的是，在實際組網(wǎng)中，用戶終端可以通過接入交換機接入網(wǎng)絡(luò)(在該情況下，匯聚交換機上連接目標(biāo)用戶終端的端口號為匯聚交換機與目標(biāo)用戶終端所接入的接入交換機連接的端口號)，或者，用戶終端也可以通過直接通過匯聚交換機接入網(wǎng)絡(luò)(在該情況下，匯聚交換機連接目標(biāo)用戶終端的端口號為匯聚交換機與目標(biāo)用戶終端連接的端口號)，在本發(fā)明實施例中，若未特殊說明，MAC認(rèn)證觸發(fā)請求中攜帶的匯聚交換機上連接目標(biāo)用戶終端的端口號是指匯聚交換機與目標(biāo)用戶終端所接入的接入交換機連接的端口號。

本發(fā)明實施例中，控制器接收到匯聚交換機發(fā)送的MAC認(rèn)證觸發(fā)請求時，需要對目標(biāo)用戶終端進(jìn)行MAC認(rèn)證，其具體實現(xiàn)可以參見圖2所示方法流程中的相關(guān)描述，本發(fā)明實施例在此不做贅述。

步驟102、當(dāng)目標(biāo)用戶終端MAC認(rèn)證完成時，將目標(biāo)用戶終端的MAC地址以及目標(biāo)用戶終端所屬的目標(biāo)虛擬局域網(wǎng)VLAN發(fā)送給控制器，以使控制器根據(jù)該目標(biāo)VLAN以及預(yù)先存儲的VLAN與接入交換機的端口的對應(yīng)關(guān)系，確定目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口，并控制目標(biāo)接入交換機的目標(biāo)端口關(guān)閉后重新開啟。

本發(fā)明實施例中，為了使控制器能夠定位用戶終端在接入交換機上的端口位置，可以預(yù)先為接入交換機的各端口設(shè)置對應(yīng)的VLAN，并將接入交換機端口號與VLAN的對應(yīng)關(guān)系存儲在控制器或網(wǎng)關(guān)系統(tǒng)。

相應(yīng)地，在本發(fā)明實施例中，當(dāng)目標(biāo)用戶終端MAC認(rèn)證完成時，匯聚交換機可以獲取目標(biāo)用戶終端所屬的VLAN(本文中稱為目標(biāo)VLAN)，并將目標(biāo)用戶終端的MAC地址以及該目標(biāo)VLAN發(fā)送給控制器。

其中，控制器接收到該匯聚交換機發(fā)送的目標(biāo)用戶終端的MAC地址以及目標(biāo)VLAN時，可以根據(jù)該目標(biāo)VLAN查詢預(yù)先存儲的VLAN與接入交換機端口號的對應(yīng)關(guān)系，確定該目標(biāo)VLAN對應(yīng)的接入交換機(本文中稱為目標(biāo)接入交換機，即目標(biāo)用戶終端所接入的接入交換機)的端口(本文中稱為目標(biāo)端口，即目標(biāo)接入交換機上連接目標(biāo)用戶終端的端口)。

控制器確定目標(biāo)用戶終端在目標(biāo)接入交換機上的目標(biāo)端口后，可以通過MIB(Management Information Base，管理信息庫)或其它控制協(xié)議控制該端口，當(dāng)控制器確定對目標(biāo)用戶終端的MAC地址的認(rèn)證通過時，控制器可以控制該目標(biāo)接入交換機上的目標(biāo)端口Down，以控制目標(biāo)接入交換機去關(guān)聯(lián)目標(biāo)用戶終端，然后，再控制該目標(biāo)接入交換機上的目標(biāo)端口重新UP，以使目標(biāo)用戶終端重新上線。

步驟103、當(dāng)檢測到目標(biāo)用戶終端再次上線時，再次向控制器發(fā)送攜帶有目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，以使控制器確定目標(biāo)用戶終端的MAC地址已認(rèn)證通過后，允許目標(biāo)用戶終端進(jìn)行網(wǎng)絡(luò)訪問。

本發(fā)明實施例中，當(dāng)匯聚交換機檢測到目標(biāo)用戶終端再次上線時，匯聚交換機可以再次向控制器發(fā)送攜帶有目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求；控制器接收到該MAC認(rèn)證觸發(fā)請求之后，判斷該MAC認(rèn)證觸發(fā)請求中攜帶的目標(biāo)用戶終端的MAC地址已認(rèn)證通過，允許所述目標(biāo)用戶終端進(jìn)行網(wǎng)絡(luò)訪問。

具體地，控制器可以將根據(jù)目標(biāo)用戶終端的MAC地址、目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口以及目標(biāo)端口對應(yīng)的VLAN將目標(biāo)用戶終端的數(shù)據(jù)流量映射到目標(biāo)用戶終端的MAC地址對應(yīng)的業(yè)務(wù)VXLAN(Virtual Extensible Local Area Network，虛擬可擴展局域網(wǎng))，即允許所述目標(biāo)端口進(jìn)入的源MAC地址為所述目標(biāo)用戶終端的MAC地址，且攜帶的VLAN ID為所述目標(biāo)端口對應(yīng)的VLAN ID的數(shù)據(jù)流量在該業(yè)務(wù)VXLAN內(nèi)通過，避免目標(biāo)用戶終端每次進(jìn)行網(wǎng)絡(luò)訪問時均需要進(jìn)行portal認(rèn)證。

其中，在本發(fā)明實施例中，可以預(yù)先為各MAC地址分配相應(yīng)的業(yè)務(wù)VXLAN，從而，當(dāng)控制器確定目標(biāo)用戶終端的MAC地址已認(rèn)證通過時，可以根據(jù)該目標(biāo)用戶終端的MAC地址查詢MAC地址與業(yè)務(wù)VXLAN的對應(yīng)關(guān)系，進(jìn)而確定目標(biāo)用戶終端的MAC地址對應(yīng)的業(yè)務(wù)VXLAN。

本發(fā)明實施例中，目標(biāo)用戶終端重新上線(即目標(biāo)接入交換機上的目標(biāo)端口Down后重新UP)時，目標(biāo)用戶終端可以在業(yè)務(wù)VXLAN中重新進(jìn)行DHCP申請，獲取到新的IP地址后，用戶即可正常上網(wǎng)。

請參見圖2，為本發(fā)明實施例提供的另一種認(rèn)證方法的流程示意圖，其中，該認(rèn)證方法可以應(yīng)用于控制器，如圖2所示，該認(rèn)證方法可以包括以下步驟：

需要說明的是，在本發(fā)明實施例中，步驟201～步驟203的執(zhí)行主體可以為控制器或控制器的處理器，如CPU，為便于描述，以下以步驟201～步驟203的執(zhí)行主體為控制器為例進(jìn)行說明。

步驟201、當(dāng)接收到匯聚交換機發(fā)送的針對目標(biāo)用戶終端的MAC認(rèn)證觸發(fā)請求時，對目標(biāo)用戶終端進(jìn)行MAC認(rèn)證。

本發(fā)明實施例中，當(dāng)匯聚交換機檢測到目標(biāo)用戶終端初次上線時，匯聚交換機可以將自身的IP地址、匯聚交換機上連接目標(biāo)用戶終端的端口號以及目標(biāo)用戶終端的MAC地址攜帶在MAC認(rèn)證觸發(fā)請求中發(fā)送給控制器，以觸發(fā)控制器對目標(biāo)用戶終端進(jìn)行MAC認(rèn)證。

當(dāng)控制器接收到匯聚交換機發(fā)送的針對目標(biāo)用戶終端的MAC認(rèn)證觸發(fā)請求時，對該目標(biāo)用戶終端進(jìn)行MAC認(rèn)證。

本發(fā)明實施例中，控制器對目標(biāo)用戶終端進(jìn)行MAC認(rèn)證，可以包括：

將目標(biāo)用戶終端重定向到portal頁面，并接收目標(biāo)用戶終端通過該portal頁面提交的用戶名和密碼；

當(dāng)根據(jù)該目標(biāo)用戶終端通過該portal頁面提交的用戶名和密碼認(rèn)證通過時，確認(rèn)該目標(biāo)用戶終端的MAC地址認(rèn)證通過，并生成目標(biāo)用戶終端的MAC地址、用戶名和密碼三者的綁定關(guān)系。

具體地，在本發(fā)明實施例中，控制器接收到匯聚交換機發(fā)送的MAC認(rèn)證觸發(fā)請求時，可以為目標(biāo)用戶終端分配一個guest VXLAN，以使目標(biāo)用戶終端在該guest VXLAN中發(fā)起DHCP請求，以獲取guest IP地址；此外，控制器還需要向目標(biāo)用戶終端返回portal頁面的URL，以使目標(biāo)用戶終端獲取到guest IP地址后，可以被重定向到portal頁面。

目標(biāo)用戶終端被重定向到portal頁面之后，用戶可以在該portal頁面中輸入用戶名和密碼以進(jìn)行認(rèn)證。

若控制器對目標(biāo)用戶終端通過該portal頁面提交的用戶名和密碼認(rèn)證通過，則控制器可以認(rèn)為目標(biāo)用戶終端的MAC認(rèn)證通過，并生成目標(biāo)用戶終端的MAC地址+用戶名+密碼的綁定關(guān)系。

步驟202、當(dāng)對目標(biāo)用戶終端MAC認(rèn)證完成，且接收到匯聚交換機發(fā)送的目標(biāo)用戶終端的MAC地址以及目標(biāo)用戶終端所屬的目標(biāo)VLAN時，根據(jù)該目標(biāo)VLAN以及預(yù)先存儲的VLAN與接入交換機的端口的對應(yīng)關(guān)系，確定目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口，并控制該目標(biāo)接入交換機的目標(biāo)端口關(guān)閉后重新開啟。

本發(fā)明實施例中，控制器對目標(biāo)用戶終端MAC認(rèn)證通過后，可以向匯聚交換機發(fā)送通知消息。

匯聚交換機確定目標(biāo)用戶終端MAC認(rèn)證通過后，可以將目標(biāo)用戶終端的MAC地址以及目標(biāo)用戶終端所屬的VLAN(本文中稱為目標(biāo)VLAN)信息發(fā)送給控制器。

控制器接收到匯聚交換機發(fā)送的目標(biāo)用戶終端的MAC地址以及目標(biāo)用戶終端所屬的目標(biāo)VLAN時，控制器可以根據(jù)目標(biāo)用戶終端所屬的目標(biāo)VLAN查詢預(yù)先存儲的VLAN與接入交換機端口的對應(yīng)關(guān)系，以確定目標(biāo)VLAN對應(yīng)的接入交換機(本文中稱為目標(biāo)接入交換機)的端口(本文中稱為目標(biāo)端口)，即確定目標(biāo)用戶終端所接入的接入交換機的端口。

控制器確定了目標(biāo)用戶終端所接入的接入交換機的端口(即目標(biāo)接入交換機的目標(biāo)端口)之后，可以控制先控制該目標(biāo)接入交換機的目標(biāo)端口down，使目標(biāo)接入交換機去關(guān)聯(lián)目標(biāo)用戶終端，從而目標(biāo)用戶終端將處于下線狀態(tài)；然后，控制器可以再控制目標(biāo)接入交換機的目標(biāo)端口重新UP，從而，目標(biāo)用戶終端將重新上線。

目標(biāo)用戶終端重新上線后，將再次進(jìn)行MAC認(rèn)證；匯聚交換機檢測到目標(biāo)用戶終端重新上線后，可以再次向控制器發(fā)送攜帶有目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，以觸發(fā)控制器對目標(biāo)用戶終端再次進(jìn)行MAC認(rèn)證。。

步驟203、當(dāng)再次接收到匯聚交換機發(fā)送的攜帶有目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，且確定目標(biāo)用戶終端的MAC地址已認(rèn)證通過時，允許目標(biāo)用戶終端進(jìn)行網(wǎng)絡(luò)訪問。

本發(fā)明實施例中，當(dāng)控制器再次接收到匯聚交換機發(fā)送的攜帶有目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求時，控制器可以先判斷該目標(biāo)用戶終端的MAC地址是否已經(jīng)認(rèn)證通過；若該目標(biāo)用戶終端的MAC地址已認(rèn)證通過，則不需要再次進(jìn)行用戶名和密碼的認(rèn)證。

作為一種可選的實施方式，控制器可以根據(jù)目標(biāo)用戶終端的MAC地址查詢自身維護(hù)的MAC地址、用戶名以及密碼三者的綁定關(guān)系，若存在與目標(biāo)用戶終端的MAC地址綁定的用戶名和密碼，則確定目標(biāo)用戶終端的MAC地址已認(rèn)證通過。

本發(fā)明實施例中，控制器確定目標(biāo)用戶終端的MAC地址已認(rèn)證通過后，可以根據(jù)目標(biāo)用戶終端的MAC地址查詢預(yù)先存儲的MAC地址與業(yè)務(wù)VXLAN的對應(yīng)關(guān)系，以確定目標(biāo)用戶終端的MAC地址對應(yīng)的業(yè)務(wù)VXLAN，并根據(jù)目標(biāo)用戶終端的MAC地址、目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口以及目標(biāo)端口對應(yīng)的VLAN將目標(biāo)用戶終端的數(shù)據(jù)流量映射到目標(biāo)用戶終端的MAC地址對應(yīng)的業(yè)務(wù)VXLAN(Virtual Extensible Local Area Network，虛擬可擴展局域網(wǎng))，即允許所述目標(biāo)端口進(jìn)入的源MAC地址為所述目標(biāo)用戶終端的MAC地址，且攜帶的VLAN ID為所述目標(biāo)端口對應(yīng)的VLAN ID的數(shù)據(jù)流量在該業(yè)務(wù)VXLAN內(nèi)通過，避免目標(biāo)用戶終端每次進(jìn)行網(wǎng)絡(luò)訪問時均需要進(jìn)行portal認(rèn)證。

本發(fā)明實施例中，目標(biāo)用戶終端重新上線(即目標(biāo)接入交換機上的目標(biāo)端口Down后重新UP)時，目標(biāo)用戶終端可以在業(yè)務(wù)VXLAN中重新進(jìn)行DHCP申請，獲取到新的IP地址后，用戶即可正常上網(wǎng)。

值得說明的是，在本發(fā)明實施例中，雖然上述方法流程中均以用戶終端通過接入交換機接入網(wǎng)絡(luò)的場景為例進(jìn)行描述，但是本發(fā)明實施例中通過匯聚交換機進(jìn)行認(rèn)證的方案并不限于該場景，即用戶終端直接通過匯聚交換機接入網(wǎng)絡(luò)的場景中，也可以通過匯聚交換機進(jìn)行認(rèn)證，在該場景中，控制器控制端口down/UP時，控制的端口為匯聚交換機上連接用戶終端的端口，其它實現(xiàn)與上述方法流程中的實現(xiàn)相類似，本發(fā)明實施例在此不做贅述。

為了使本領(lǐng)域技術(shù)人員更好地理解本發(fā)明實施例提供的技術(shù)方案，下面結(jié)合具體應(yīng)用場景對本發(fā)明實施例提供的技術(shù)方案進(jìn)行說明。

請參見圖3，為本發(fā)明實施例提供的一種具體應(yīng)用場景的架構(gòu)示意圖，如圖3所示，該組網(wǎng)中包括控制器、匯聚交換機、接入交換機以及用戶終端，且該組網(wǎng)整網(wǎng)支持VXLAN Overlay(一種無狀態(tài)網(wǎng)絡(luò)技術(shù))其中，用戶終端可以通過接入交換機接入網(wǎng)絡(luò)，也可以直接通過匯聚交換機接入網(wǎng)絡(luò)。

基于該應(yīng)用場景，對通過接入交換機接入網(wǎng)絡(luò)的用戶終端B1進(jìn)行認(rèn)證的具體流程可以如下：

0、為每個接入交換機的端口設(shè)置一個VLAN，并將接入交換機端口號與VLAN的對應(yīng)關(guān)系存儲在控制器或網(wǎng)關(guān)系統(tǒng)；為每個MAC地址分配對應(yīng)的業(yè)務(wù)VXLAN，并在控制器或網(wǎng)關(guān)系統(tǒng)中存儲MAC地址與業(yè)務(wù)VXLAN的對應(yīng)關(guān)系；

1、用戶終端B1首次上線，匯聚交換機檢測到用戶終端B1上線，將匯聚交換機的IP地址、匯聚交換機上連接用戶終端B1的端口號以及用戶終端B1的MAC地址上報給控制器，由控制器記錄對應(yīng)的表格(各表項中可以包括匯聚交換機的IP地址、匯聚交換機上連接用戶終端的端口號以及用戶終端的MAC地址)；

2、控制器給用戶終端B1下發(fā)guest VXLAN，將用戶終端B1的數(shù)據(jù)流量映射到guest VXLAN，并向用戶終端B1返回portal頁面的URL；

3、用戶終端B1在guest VXLAN中發(fā)起DHCP請求獲取guest IP地址；

4、用戶終端B1獲取到guest IP地址后被重定向到portal頁面，由用戶輸入用戶名+密碼進(jìn)行認(rèn)證；當(dāng)控制器確定用戶終端B1在portal頁面提交的用戶名+密碼認(rèn)證通過時，生成用戶終端B1的MAC地址+用戶名+密碼的綁定關(guān)系；

5、當(dāng)匯聚交換機確定用戶終端B1的MAC認(rèn)證通過后，將用戶終端B1的MAC地址以及用戶終端B1所屬的VLAN發(fā)送給控制器；控制器根據(jù)用戶終端B1所屬的VLAN，查詢預(yù)先存儲的接入交換機端口與VLAN的對應(yīng)關(guān)系，確定用戶終端B1所接入的接入交換機的端口(假設(shè)為端口B1)；控制器可以通過MIB或其它控制器協(xié)議控制該端口在用戶終端B1認(rèn)證通過后進(jìn)行down，然后重新UP；

6、端口B1重新UP后會重新觸發(fā)認(rèn)證，匯聚交換機檢測到用戶終端B1再次上線后，將用戶終端B1的MAC地址發(fā)送給控制器，控制器判斷用戶終端B1的MAC地址已通過認(rèn)證，則不需要用戶終端B1再次提交用戶名和密碼進(jìn)行認(rèn)證，進(jìn)而，控制器可以根據(jù)用戶終端B1的MAC地址、端口B1以及端口B1對應(yīng)的VLAN將用戶終端B1的用戶數(shù)據(jù)流量映射到用戶終端B1對應(yīng)的業(yè)務(wù)VXLAN；

7、用戶終端B1在對應(yīng)的業(yè)務(wù)VXLAN發(fā)起DHCP請求，以獲取新的IP地址，并在獲取到新的IP地址后即可正常上網(wǎng)。

通過以上描述可以看出，在本發(fā)明實施例提供的技術(shù)方案中，通過預(yù)先設(shè)置并存儲接入交換機端口與VLAN的映射關(guān)系，當(dāng)目標(biāo)用戶終端MAC認(rèn)證完成時，匯聚交換機將目標(biāo)用戶終端的MAC地址和目標(biāo)用戶終端所屬的VLAN發(fā)送給控制器，由控制器根據(jù)目標(biāo)用戶終端所屬的VLAN確定目標(biāo)用戶終端所接入的目標(biāo)接入交換機上的目標(biāo)端口，并控制該目標(biāo)端口進(jìn)行down，然后重新UP；當(dāng)匯聚交換機檢測到目標(biāo)用戶終端再次上線時，再次向控制器發(fā)送攜帶目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，以使控制器確定目標(biāo)用戶終端的MAC地址已認(rèn)證通過后，將目標(biāo)用戶終端的數(shù)據(jù)流量映射到目標(biāo)用戶終端的MAC地址對應(yīng)的業(yè)務(wù)VXLAN，與現(xiàn)有MAC+portal認(rèn)證方案相比，認(rèn)證點上移到匯聚交換機，不受接入交換機型號或功能限制，提高了方案的適用性。

請參見圖4，為本發(fā)明實施例提供的一種認(rèn)證裝置的結(jié)構(gòu)示意圖，其中，所述裝置可以應(yīng)用于上述方法實施例中的控制器，如圖4所示，該認(rèn)證裝置可以包括：

接收單元410，用于接收匯聚交換機發(fā)送的針對目標(biāo)用戶終端的媒體訪問控制MAC認(rèn)證觸發(fā)請求；

認(rèn)證單元420，用于對所述目標(biāo)用戶終端進(jìn)行MAC認(rèn)證；

確定單元430，用于當(dāng)所述認(rèn)證單元420對所述目標(biāo)用戶終端MAC認(rèn)證完成，且所述接收單元410接收到所述匯聚交換機發(fā)送的所述目標(biāo)用戶終端的MAC地址以及所述目標(biāo)用戶終端所屬的目標(biāo)虛擬局域網(wǎng)VLAN時，根據(jù)所述目標(biāo)VLAN以及預(yù)先存儲的VLAN與接入交換機的端口的對應(yīng)關(guān)系，確定目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口；

控制單元440，用于控制所述目標(biāo)接入交換機的目標(biāo)端口關(guān)閉后重新開啟。

處理單元450，還用于當(dāng)所述接收單元410再次接收到所述匯聚交換機發(fā)送的攜帶有所述目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，且所述認(rèn)證單元420確定所述目標(biāo)用戶終端的MAC地址已認(rèn)證通過時，允許所述目標(biāo)用戶終端進(jìn)行網(wǎng)絡(luò)訪問。

在可選實施例中，所述認(rèn)證單元420，具體用于將所述目標(biāo)用戶終端重定向到portal頁面，并接收所述目標(biāo)用戶終端通過所述portal頁面提交的用戶名和密碼；當(dāng)根據(jù)所述目標(biāo)用戶終端通過所述portal頁面提交的用戶名和密碼認(rèn)證通過時，確認(rèn)所述目標(biāo)用戶終端的MAC地址認(rèn)證通過，并生成目標(biāo)用戶終端的MAC地址、用戶名和密碼三者的綁定關(guān)系。

在可選實施例中，所述認(rèn)證單元420，具體用于當(dāng)根據(jù)所述目標(biāo)用戶終端的MAC地址，查詢到與所述目標(biāo)終端的MAC地址綁定的用戶名和密碼時，確定所述目標(biāo)終端的MAC地址已認(rèn)證通過。

在可選實施例中，所述匯聚交換機上連接所述目標(biāo)用戶終端的端口號為所述匯聚交換機與所述目標(biāo)用戶終端所接入的目標(biāo)接入交換機連接的端口號。

請參見圖5，為本發(fā)明實施例提供的一種認(rèn)證裝置的結(jié)構(gòu)示意圖，其中，所述裝置可以應(yīng)用于上述方法實施例中的匯聚交換機，如圖5所示，該認(rèn)證裝置可以包括：

檢測單元510，用于檢測用戶終端上線；

發(fā)送單元520，用于當(dāng)所述檢測單元510檢測到目標(biāo)用戶終端初次上線時，向控制器發(fā)送媒體訪問控制MAC認(rèn)證觸發(fā)請求，所述MAC認(rèn)證觸發(fā)請求中攜帶有所述匯聚交換機的IP地址、所述匯聚交換機上連接所述目標(biāo)用戶終端的端口號以及所述目標(biāo)用戶終端的MAC地址；

所述發(fā)送單元520，還用于當(dāng)所述目標(biāo)用戶終端MAC認(rèn)證完成時，將所述目標(biāo)用戶終端的MAC地址以及所述目標(biāo)用戶終端所屬的目標(biāo)虛擬局域網(wǎng)VLAN發(fā)送給所述控制器，以使所述控制器根據(jù)所述目標(biāo)VLAN以及預(yù)先存儲的VLAN與接入交換機的端口的對應(yīng)關(guān)系，確定所述目標(biāo)用戶終端接入的目標(biāo)接入交換機的目標(biāo)端口，并控制所述目標(biāo)接入交換機的目標(biāo)端口關(guān)閉后重新開啟；

所述發(fā)送單元520，還用于當(dāng)所述檢測單元檢測到所述目標(biāo)用戶終端再次上線時，再次向所述控制器發(fā)送攜帶所述目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，以使所述控制器確定所述目標(biāo)用戶終端的MAC地址已認(rèn)證通過后，允許所述目標(biāo)用戶終端進(jìn)行網(wǎng)絡(luò)訪問。

在可選實施例中，所述匯聚交換機上連接所述目標(biāo)用戶終端的端口號為所述匯聚交換機與所述目標(biāo)用戶終端所接入的目標(biāo)接入交換機連接的端口號。

上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實現(xiàn)過程，在此不再贅述。

對于裝置實施例而言，由于其基本對應(yīng)于方法實施例，所以相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本發(fā)明方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。

由上述實施例可見，通過預(yù)先設(shè)置并存儲接入交換機端口與VLAN的映射關(guān)系，當(dāng)目標(biāo)用戶終端MAC認(rèn)證完成時，匯聚交換機將目標(biāo)用戶終端的MAC地址和目標(biāo)用戶終端所屬的VLAN發(fā)送給控制器，由控制器根據(jù)目標(biāo)用戶終端所屬的VLAN確定目標(biāo)用戶終端所接入的目標(biāo)接入交換機上的目標(biāo)端口，并控制該目標(biāo)端口進(jìn)行down，然后重新UP；當(dāng)匯聚交換機檢測到目標(biāo)用戶終端再次上線時，再次向控制器發(fā)送攜帶目標(biāo)用戶終端的MAC地址的MAC認(rèn)證觸發(fā)請求，以使控制器確定目標(biāo)用戶終端的MAC地址已認(rèn)證通過后，將目標(biāo)用戶終端的數(shù)據(jù)流量映射到目標(biāo)用戶終端的MAC地址對應(yīng)的業(yè)務(wù)VXLAN，與現(xiàn)有MAC+portal認(rèn)證方案相比，認(rèn)證點上移到匯聚交換機，不受接入交換機型號或功能限制，提高了方案的適用性。

本領(lǐng)域技術(shù)人員在考慮說明書及實踐這里公開的發(fā)明后，將容易想到本發(fā)明的其它實施方案。本申請旨在涵蓋本發(fā)明的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本發(fā)明的一般性原理并包括本發(fā)明未公開的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實施例僅被視為示例性的，本發(fā)明的真正范圍和精神由下面的權(quán)利要求指出。

應(yīng)當(dāng)理解的是，本發(fā)明并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)，并且可以在不脫離其范圍進(jìn)行各種修改和改變。本發(fā)明的范圍僅由所附的權(quán)利要求來限制。