[发明专利]一种客户端的认证方法以及设备

说明书

本申请提供了一种客户端的认证方法以及设备，该设备获取未认证的客户端的网络地址、硬件地址和连接端口；在地址映射软件表中记录客户端的地址映射软件表项，以使来自客户端的网络地址的三层报文在地址映射硬件表查找失败而无法通过单播反向路径转发检查；该设备还向客户端通知虚拟局域网的网关的临时硬件地址；将客户端发往网关的临时硬件地址的报文发送至入口网络服务器进行认证。

技术领域

本申请涉及通信技术，具体地讲是一种客户端的认证方法以及设备。

背景技术

Portal(入口)认证系统中，客户端向DHCP(Dynamic Host ConfigurationProtocol，动态主机配置协议)服务器请求地址以及网关IP地址。客户端获得设备IP地址和网关IP地址之后，向网关发送访问网址的协议报文时，接入设备将未通过认证的客户端的所有HTTP/HTTPS请求都重定向到Portal Web服务器进行认证。在认证过程中，客户端通过认证协议报文与Portal认证服务器、AAA服务器交互，完成身份认证/授权/计费的功能。

为了避免未通过认证的客户端访问网址或发送数据报文，接入设备的各端口设置四类接入控制表项(ACL，Access Control List)：

第一类认证重定向表项，将网段(例如VLAN100)通过端口(例如port1)收到的所有HTTP/HTTPS报文重定向至Portal Web服务器进行认证。

第二类认证报文允许表项，允许网段(VLAN100)内通过端口(port1)收到的所有目的IP地址是Portal Web服务器的网络地址(IPv4或IP6地址)的认证报文；

第三类未认证过滤表项，过滤网段(VLAN100)通过端口(例如Port1)收到的所有报文。

第四类已认证用户访问表项：允许网段(VLAN100)通过端口(Port1)收到的已认证IP(IPv4地址或IPv6地址)报文可以访问网络，即认证客户端认证成功后，接入设备下发第四类ACL规则，允许该客户端正常上网。

但是现有认证的缺点在于，新增一个已认证客户端，就需要新增一个第四类已认证用户访问表项，从而通过每个第四类表项单独允许每个已认证客户端的三层报文的转发。但是接入设备的ACL表项的数目有限，当不同VLAN的已认证客户端都增加时，接入设备的ACL表项资源不足，无法转发已认证客户端的三层报文。

发明内容

本申请目的在于提供一种客户端认证方法以及设备，能够对未通过认证的客户端进行单播反向路径转发检查。

为实现上述目的，本申请提供了一种客户端认证方法，其中该方法包括：

获取未认证的客户端的网络地址、硬件地址和连接端口；

在地址映射软件表中记录客户端的地址映射软件表项，以使来自客户端的网络地址的三层报文在地址映射硬件表查找失败而无法通过单播反向路径转发检查；其中，地址映射软件表项记录客户端的网络地址、硬件地址和连接端口；向客户端通知虚拟局域网的网关的临时硬件地址；将客户端发往网关的临时硬件地址的报文发送至入口网络服务器进行认证。

为实现上述目的，本申请还提供了一种客户端认证设备，其中该设备包括：中继模块，用于获取未认证的客户端的网络地址、硬件地址和连接端口；表项模块，用于在地址映射软件表中记录客户端的地址映射软件表项，以使来自客户端的网络地址的三层报文在地址映射硬件表查找失败而无法通过单播反向路径转发检查；其中，地址映射软件表项记录客户端的网络地址、硬件地址和连接端口；安全模块，用于向客户端通知虚拟局域网的网关的临时硬件地址，将客户端发往网关的临时硬件地址的报文发送至入口网络服务器进行认证。

本申请的有益效果在于，能够对未通过认证的客户端进行单播反向路径转发检查。

附图说明