專利名稱:一種傳遞eap認證目的mac地址的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域����,尤其涉及一種傳遞EAP認證目的MAC地址的方法��。
背景技術(shù):
WLAN (Wireless Local area network,無線局域網(wǎng))無線空口數(shù)據(jù)因其開放性一直存在較大的安全風(fēng)險��,為了解決空口數(shù)據(jù)的安全問題,WIFKffireless Fidelity�����,無線高保真)聯(lián)盟推出了 IEEE (Institute of Electrical and Electronics Engineers,美國電氣和電子工程師協(xié)會)802. Ili協(xié)議標準����。IEEE 802. Ili協(xié)議制定了 WPA1/WPA2 (WIFIProtected Access, WIFI安全存取)加密算法,并借助IEEE 802. IX認證系統(tǒng),實現(xiàn)安全的 WLAN連接。目前可以通過多種EAP(Extensible Authentication Protocol,擴展認證協(xié)議)認證方式部署WIFI業(yè)務(wù)并使能WPA加密����,這些EAP認證方式可以是EAP-SM (ExtensibleAuthentication Protocol Method for Global System for Mobile Communications (GSM)Subscriber Identity Modules)>EAP-AKA (Extensible Authentication Protocol Methodfor UMTS Authentication and Key Agreement)認證等。現(xiàn)有技術(shù)WLAN網(wǎng)絡(luò)中的EAP認證���,對于EAP報文中的目的MAC(Media AccessControl,介質(zhì)訪問控制)地址的封裝采用如下方式實現(xiàn)UE (User Equipment,用戶設(shè)備)搜索到無線信號后觸發(fā)EAP認證�����,將EAP報文中的目的MAC地址封裝為無線空口的BSSID (Basic Service Set Identifier,基本服務(wù)集識別符)并將所述EAP報文發(fā)送到AP (Access Point���,接入點)設(shè)備。所述AP設(shè)備在接收到所述EAP報文后����,對所述EAP報文中的目的MAC地址進行重新封裝�,修改為以太網(wǎng)中的有效MAC地址��,并在重新封裝完成后�,將EAP報文發(fā)送到EAP認證設(shè)備。在上述過程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題AP設(shè)備以組播或廣播的形式向EAP認證設(shè)備發(fā)送EAP報文���,在AP設(shè)備以廣播的形式向EAP認證設(shè)備發(fā)送EAP報文時,會導(dǎo)致二層網(wǎng)絡(luò)中廣播報文過多��,容易引起二層廣播風(fēng)暴��;在AP設(shè)備以組播的形式向EAP認證設(shè)備發(fā)送EAP報文時�����,需要AP設(shè)備與認證設(shè)備之間的所有二層設(shè)備支持BPDU報文透傳功能���,會造成配置和部署困難。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種傳遞EAP認證目的MAC地址的方法���,能夠消除廣播風(fēng)暴且易于配置和部署����。根據(jù)本發(fā)明的一方面,一種傳遞EAP認證目的MAC地址的方法�����,包括接入控制器AC向接入點AP發(fā)送MAC地址指示信息�,所述MAC地址指示信息中包括認證設(shè)備的 而口 MAC地址;所述AC接收所述AP發(fā)送的����、目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文。根據(jù)本發(fā)明的一方面���,一種傳遞EAP認證目的MAC地址的方法�����,包括
接入點AP接收接入控制器AC發(fā)送的MAC地址指示信息�,所述MAC地址指示信息中包括認證設(shè)備的 而口 MAC地址��;所述AP接收用戶設(shè)備UE發(fā)送的通過局域網(wǎng)的擴展認證協(xié)議EAPOL報文�,并將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址;所述AP向所述AC發(fā)送所述目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文。 根據(jù)本發(fā)明的一方面�����,一種傳遞EAP認證目的MAC地址的裝置��,包括發(fā)送單元和接收單元�,所述發(fā)送單元,用于向接入點AP發(fā)送MAC地址指示信息�����,所述MAC地址指示信息中包括認證設(shè)備的 而口 MAC地址���;所述接收單元�����,用于接收所述AP發(fā)送的�、目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文����。根據(jù)本發(fā)明的另一方面��,一種傳遞EAP認證目的MAC地址的裝置,包括接收單元�、發(fā)送單元和修改單元,所述接收單元���,用于接收接入控制器AC發(fā)送的MAC地址指示信息��,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址��;所述接收單元�,還用于接收用戶設(shè)備UE發(fā)送的通過局域網(wǎng)的擴展認證協(xié)議EAPOL報文�����,所述修改單元�����,用于將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址�����;所述發(fā)送單元��,用于向所述AC發(fā)送所述目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文���。根據(jù)本發(fā)明實施例提供的傳遞EAP認證目的MAC地址的方法和裝置���,AC向AP發(fā)送MAC地址指示信息,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址��,AP接收到所述MAC地址指示信息后即可獲知所述認證設(shè)備的MAC地址�。當來自UE的EAPOL報文到達所述AP時����,所述AP就可以將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址而發(fā)送給相應(yīng)的認證設(shè)備。由于EAPOL報文中的目的MAC地址即為認證設(shè)備的MAC地址����,在所述AP發(fā)送EAPOL報文的過程中,只會將所述EAPOL報文發(fā)送給所述認證設(shè)備�,而不會發(fā)送給任何其他設(shè)備,因而���,在二層網(wǎng)絡(luò)中不會存在過多的EAPOL報文����,能夠消除廣播風(fēng)暴�。而且,采用上述技術(shù)方案��,并不需要為AP與認證設(shè)備之間的所有二層設(shè)備部署B(yǎng)PDU(Bridge Protocol Data Unit,網(wǎng)橋協(xié)議數(shù)據(jù)單元)報文透傳�,易于配置和部署。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖���。圖I為本發(fā)明實施例提供的一種傳遞EAP認證目的MAC地址的方法的流程圖�����;圖2為本發(fā)明實施例提供的一種傳遞EAP認證目的MAC地址的方法的流程圖3為本發(fā)明實施例提供的一種傳遞EAP認證目的MAC地址的方法的示意圖��。圖4A為本發(fā)明實施例提供的一種傳遞EAP認證目的MAC地址的裝置的結(jié)構(gòu)框圖����;圖4B為圖4A為本發(fā)明實施例提供的一種傳遞EAP認證目的MAC地址的裝置的另一結(jié)構(gòu)框圖���;圖5A為本發(fā)明實施例提供的一種傳遞EAP認證目的MAC地址的裝置的結(jié)構(gòu)框圖����;圖5B為本發(fā)明實施例提供的一種傳遞EAP認證目的MAC地址的裝置的結(jié)構(gòu)框圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例的技術(shù)方案進行清楚地描述,顯然��,所描述的實施例僅僅是本發(fā)明的一部分實施例���,而不是全部的實施例�����?��;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其它實施例�,都屬于本發(fā)明保護的范圍。本發(fā)明應(yīng)用于EAP認證的場景中��,為更好的理解本發(fā)明的技術(shù)方案�,首先對應(yīng)用本發(fā)明技術(shù)方案的網(wǎng)絡(luò)系統(tǒng)進行簡要說明。應(yīng)用本發(fā)明的網(wǎng)絡(luò)系統(tǒng)可包括UE�、AP���、AC(Access Controller,接入控制器)和認證設(shè)備。在WLAN中�����,UE在實現(xiàn)無線接入之前���,需首先向WLAN中的認證設(shè)備進行認證,在獲得所述認證設(shè)備的授權(quán)后才能上網(wǎng)�����。具體地����,UE搜索到無線信號后觸發(fā)EAP認證,將EAP報文發(fā)送到AP���。所述AP對EAP報文進行處理�����,并發(fā)送給AC�。由AC完成EAP認證或由AC進一步將EAP報文轉(zhuǎn)發(fā)給認證設(shè)備以由認證設(shè)備完成EAP認證。根據(jù)本發(fā)明的一個實施例����,在AP向AC發(fā)送EAP報文之前,AC先將認證設(shè)備的端口 MAC地址告知AP�,這樣,AP在獲知認證設(shè)備的端口 MAC地址后��,就可向所述認證設(shè)備單播EAP報文以進行認證����。下面具體論述本發(fā)明實施例的技術(shù)方案。本發(fā)明實施例提供一種傳遞EAP認證目的MAC地址的方法,如圖I所示���,所述方法包括11�����、AC向AP發(fā)送MAC地址指示信息,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址�,以使所述AP在接收到用戶設(shè)備UE的EAPOL(Extensible AuthenticationProtocol Over LAN (Local Area Network,局域網(wǎng))�����,通過局域網(wǎng)的擴展認證協(xié)議)報文時,將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址�。在本發(fā)明實施例中,認證設(shè)備的端口 MAC地址為認證設(shè)備的任一端口的MAC地址�。其中,所述MAC 地址指不信息可為 CAPWAP (Control And Provisioning ofWireless Access Points,無線接入點的控制和配置)控制消息元素或本領(lǐng)域技術(shù)人員易于想到的其他指示信息����。在所述MAC地址指示信息為CAPWAP控制消息元素時,所述CAPWAP控制消息元素中包括認證設(shè)備的端口 MAC地址,所述AC向AP發(fā)送MAC地址指示信息可包括AC通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素���。其中,在本發(fā)明實施例中�����,所述CAPWAP控制消息元素AC-EAP-MAC被包含于CAPWAP報文中��,用以標志和傳遞認證設(shè)備的端口 MAC地址�����。即�,所述AC向AP發(fā)送CAPWAP控制消息元素具體為,AC向AP發(fā)送CAPWAP報文�����,所述CAPWAP報文的控制部分中包括CAPWAP控 制消息元素,所述CAPWAP控制消息元素中包括認證設(shè)備的端口 MAC地址�����。這樣����,所述AP接收到所述AC發(fā)送的CAPWAP報文后,通過對所述CAPWAP報文的控制部分中的CAPWAP控制消息元素進行解析�,即可獲取所述認證設(shè)備的端口 MAC地址?�?蛇x的���,在11之前����,所述AC與所述AP之間還需建立CAPWAP隧道����。AC與所述AP之間建立CAPWAP隧道的過程如下所述AC接收所述AP發(fā)送的CAPWAP隧道建立請求消息;所述AC向所述AP發(fā)送CAPWAP隧道建立應(yīng)答消息���,以與所述AP建立CAPWAP隧道�。可選的���,在所述CAPWAP隧道建立之后�,且在11所述AC通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素之前���,所述方法還包括所述AC獲取所述認證設(shè)備的端口 MAC地址��,并將獲取的所述認證設(shè)備的端口 MAC 地址封裝到CAPWAP控制消息元素中���。其中����,所述AC可自身負責認證,或自身不負責認證�。亦即,所述AC可以為所述認證設(shè)備或為與所述認證設(shè)備分離的獨立設(shè)備����。所述AC獲取所述認證設(shè)備的端口 MAC地址具體的可分為兩種情況。當所述AC自身負責認證時�,所述AC可通過主動檢測等方式動態(tài)獲取其端口 MAC地址。當所述AC自身不負責認證時,所述AC可通過接收人工的手動指配來獲取所述認證設(shè)備的端口 MAC地址�����。12�����、所述AC接收所述AP發(fā)送的���、目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文�,以進行EAP認證�����?�?蛇x的����,在12之后,所述AC向所述認證設(shè)備發(fā)送所述目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文��,以使所述認證設(shè)備進行EAP認證����。根據(jù)本發(fā)明的一個實施例�,AC向AP發(fā)送MAC地址指示信息���,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址��,這樣一來��,AP接收到所述MAC地址指示信息后即可獲知所述認證設(shè)備的MAC地址���。當來自UE的EAPOL報文到達所述AP時,所述AP就可以將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址而發(fā)送給相應(yīng)的認證設(shè)備�����。如此�����,由于EAPOL報文中的目的MAC地址即為認證設(shè)備的MAC地址�����,在所述AP發(fā)送EAPOL報文的過程中��,只會將所述EAPOL報文發(fā)送給所述認證設(shè)備��,而不會發(fā)送給任何其他設(shè)備�����,因而�,在二層網(wǎng)絡(luò)中不會存在過多的EAPOL報文,能夠消除廣播風(fēng)暴�����。而且��,采用上述技術(shù)方案�����,并不需要為AP與認證設(shè)備之間的所有二層設(shè)備部署B(yǎng)PDU報文透傳����,相比現(xiàn)有技術(shù)更加易于配置和部署。如圖2所示�,為本發(fā)明實施例提供的另一種傳遞EAP認證目的MAC地址的方法。所述方法包括2UAP接收AC發(fā)送的MAC地址指示信息,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址�����;其中,所述MAC地址指示信息可為CAPWAP控制消息元素或本領(lǐng)域技術(shù)人員易于想到的其他指示信息�。在所述MAC地址指示信息為CAPWAP控制消息元素時,所述CAPWAP控制消息元素中包括認證設(shè)備的端口 MAC地址,所述AP接收AC發(fā)送的MAC地址指示信息可包括AP接收AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素���??蛇x的�����,在所述AP接收AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素之前��,在所述AP與所述AP之間還需建立CAPWAP隧道����。
此建立CAPWAP隧道的過程包括所述AP向所述AC發(fā)送CAPWAP隧道建立請求消息,以請求與所述AC建立CAPWAP隧道�����;所述AP接收所述AC發(fā)送的隧道建立應(yīng)答消息�,以與所述AC建立CAPWAP隧道�����。所述AP在接收到所述AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素后,可選的���,還可解析所述CAPWAP控制消息元素以獲取所述認證設(shè)備的端口 MAC地址�����,并將所述認證設(shè)備的端口 MAC地址進行存儲����。這樣���,在UE搜索到無線信號觸發(fā)EAP認證�����,并向AP發(fā)送EAPOL報文時��,AP就可以根據(jù)存儲的所述認證設(shè)備的端口 MAC地址修改所述EAPOL報文中所包含的目的MAC地址�����。 22�����、所述AP接收UE發(fā)送的EAPOL報文���,并將所述EAPOL報文中的目的MAC地址修 改為所述認證設(shè)備的端口 MAC地址�。23�、所述AP向所述AC發(fā)送所述目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文,以進行EAP認證��。本發(fā)明實施例AC向AP發(fā)送MAC地址指示信息,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址�,這樣一來,AP接收到所述MAC地址指示信息后即可獲知所述認證設(shè)備的MAC地址�����。當來自UE的EAPOL報文到達所述AP時��,所述AP就可以將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址而發(fā)送給相應(yīng)的認證設(shè)備�。如此,由于EAPOL報文中的目的MAC地址即為認證設(shè)備的MAC地址����,在所述AP發(fā)送EAPOL報文的過程中,只會將所述EAPOL報文發(fā)送給所述認證設(shè)備,而不會發(fā)送給任何其他設(shè)備�����,因而�����,在二層網(wǎng)絡(luò)中不會存在過多的EAPOL報文���,能夠消除廣播風(fēng)暴。而且��,采用上述技術(shù)方案���,并不需要為AP與認證設(shè)備之間的所有二層設(shè)備部署B(yǎng)PDU報文透傳���,相比現(xiàn)有技術(shù)更加易于配置和部署。圖3是本發(fā)明實施例提供的一種傳遞MAC地址的方法的流程圖�。在本實施例中以認證設(shè)備為AM (Authentication Authorization Accounting,認證、授權(quán)�����、統(tǒng)計)服務(wù)器為例進行說明。如圖3所示��,本實施例提供的傳遞MAC地址的方法包括31�、AP 啟動,向 AC 發(fā)送 DHCP (Dynamic Host Configuration Protocol,動態(tài)主機配置協(xié)議)報文��,以請求從AC或其他DHCP服務(wù)器獲取IP地址���。32��、所述AC向所述AP發(fā)送分配給所述AP的IP地址�����。具體地���,當所述AC具有IP地址分配功能時,由所述AC直接向所述AP發(fā)送其分配給所述AP的IP地址�;當所述AC不具有IP地址分配功能時,由所述AC將其他DHCP服務(wù)器分配給所述AP的IP地址轉(zhuǎn)發(fā)給所述AP����。33、所述AP向所述AC發(fā)送CAPWAP隧道建立請求消息�,以請求與所述AC建立CAPffAP隧道�����。所述CAPWAP隧道建立請求消息中包括所述AP的IP地址等信息����。34�����、所述AC響應(yīng)于所述CAPWAP隧道建立請求消息��,根據(jù)所述AP的IP地址���,向所述AP發(fā)送CAPWAP隧道建立應(yīng)答消息,并在所述AC與所述AP之間建立CAPWAP隧道�����。35��、所述AC獲取所述AAA服務(wù)器的端口 MAC地址�,并將獲取的所述AAA服務(wù)器的端口 MAC地址封裝到CAPWAP控制消息元素中,且將所述CAPWAP控制消息元素通過所述建立的CAPWAP隧道發(fā)送給所述AP�����。36、所述AP接收到所述AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素后���,解析所述CAPWAP控制消息元素以獲取所述AAA服務(wù)器的端口 MAC地址���,并存儲所述AAA服務(wù)器的端口 MAC地址。37����、UE搜索到無線信號觸發(fā)WPA認證,向所述AP發(fā)送EAPOL報文�,所述EAPOL報文中的目的MAC地址為所述AP的空口 MAC地址。38�����、所述AP接收到所述EAPOL報文后��,將所述EAPOL報文中的目的MAC地址修改為所述AAA服務(wù)器的端口 MAC地址�����,并向所述AC發(fā)送所述目的MAC地址為所述AAA服務(wù)器的端口 MAC地址的EAPOL報文���。 39���、所述AC接收所述AP發(fā)送的���、目的MAC地址為所述AAA服務(wù)器的端口 MAC地址的EAPOL報文,并向所述AAA服務(wù)器發(fā)送所述目的MAC地址為所述AAA服務(wù)器的端口 MAC地址的EAPOL報文����。40�、所述AAA服務(wù)器接收所述AC發(fā)送的EAPOL報文,并作出響應(yīng)以進行EAP認證�。本實施例AC通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素,所述CAPWAP控制消息元素中包括AAA服務(wù)器的端口 MAC地址���,這樣一來�����,AP接收到所述CAPWAP控制消息元素后即可獲知所述AAA服務(wù)器的MAC地址��。當來自UE的EAPOL報文到達所述AP時�,所述AP就可以將所述EAPOL報文中的目的MAC地址修改為所述AAA服務(wù)器的端口 MAC地址而發(fā)送給相應(yīng)的AAA服務(wù)器�。如此�����,由于EAPOL報文中的目的MAC地址即為AAA服務(wù)器的MAC地址����,在所述AP發(fā)送EAPOL報文的過程中����,只會將所述EAPOL報文發(fā)送給所述AAA服務(wù)器,而不會發(fā)送給任何其他設(shè)備�,因而,在二層網(wǎng)絡(luò)中不會存在過多的EAPOL報文����,能夠消除廣播風(fēng)暴。而且����,采用上述技術(shù)方案,并不需要為AP與AAA服務(wù)器之間的所有二層設(shè)備部署B(yǎng)PDU報文透傳�,相比現(xiàn)有技術(shù)更加易于配置和部署。本發(fā)明實施例還提供一種傳遞EAP認證目的MAC地址的裝置�����,如圖4A所示,所述裝置包括發(fā)送單元41和接收單元42�。所述發(fā)送單元41,向AP發(fā)送MAC地址指示信息,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址,以使所述AP在接收到用戶設(shè)備UE的EAPOL報文時�����,將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址��;其中����,所述MAC地址指示信息可為CAPWAP控制消息元素,此時��,所述CAPWAP控制消息元素中包括認證設(shè)備的端口 MAC地址,所述發(fā)送單元41具體用于接收AC通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素��。所述接收單元42�,用于接收所述AP發(fā)送的��、目的MAC地址為所述認證設(shè)備的端口MAC地址的EAPOL報文��,以進行EAP認證����。本發(fā)明實施例AC向AP發(fā)送MAC地址指示信息,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址��,這樣一來����,AP接收到所述MAC地址指示信息后即可獲知所述認證設(shè)備的MAC地址�。當來自UE的EAPOL報文到達所述AP時,所述AP就可以將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址而發(fā)送給相應(yīng)的認證設(shè)備�。如此,由于EAPOL報文中的目的MAC地址即為認證設(shè)備的MAC地址��,在所述AP發(fā)送EAPOL報文的過程中�����,只會將所述EAPOL報文發(fā)送給所述認證設(shè)備�����,而不會發(fā)送給任何其他設(shè)備�����,因而�,在二層網(wǎng)絡(luò)中不會存在過多的EAPOL報文,能夠消除廣播風(fēng)暴。而且����,采用上述技術(shù)方案,并不需要為AP與認證設(shè)備之間的所有二層設(shè)備部署B(yǎng)PDU報文透傳���,相比現(xiàn)有技術(shù)更加易于配置和部署���。
可選的,如圖4B所示��,所述裝置還包括獲取單元44和封裝單元43����。所述獲取單元44,用于在所述發(fā)送單元41通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素之前��,獲取所述認證設(shè)備的端口 MAC地址�。所述封裝單元43�,用于將獲取的所述認證設(shè)備的端口 MAC地址封裝到CAPWAP控制消息元素中?��?蛇x地��,所述接收單元42���,還用于在所述發(fā)送單元41通過CAPWAP隧道向AP發(fā)送CAPffAP控制消息元素之前�����,接收所述AP發(fā)送的CAPWAP隧道建立請求消息��。所述發(fā)送單元41�,還用于在通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素之前���,向所述AP發(fā)送CAPWAP隧道建立應(yīng)答消息�����,以與所述AP建立CAPWAP隧道���。
可選的,所述發(fā)送單元41還用于向所述認證設(shè)備發(fā)送所述目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文���,以使所述認證設(shè)備進行EAP認證��?���?蛇x的,所述裝置為所述認證設(shè)備�����?��?蛇x的���,所述傳遞EAP認證目的MAC地址的裝置可以位于AC上,作為AC的一部分��,或者所述傳遞EAP認證目的MAC地址的裝置可以與AC獨立設(shè)置���。本發(fā)明實施例還提供另一種傳遞EAP認證目的MAC地址的裝置��,如圖5A所示�����,所述裝置包括接收單元51��、發(fā)送單元52和修改單元55。所述接收單元51,用于接收AC發(fā)送的MAC地址指示信息�����,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址����。其中,所述MAC地址指示信息可為CAPWAP控制消息元素����,所述CAPWAP控制消息元素中包括認證設(shè)備的端口 MAC地址,此時���,所述接收單元51具體用于接收接入控制器AC通過無線接入點的控制和配置CAPWAP隧道發(fā)送的CAPWAP控制消息元素�。所述接收單元51��,還用于接收UE發(fā)送的EAPOL報文����;所述修改單元55,用于將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址����;所述發(fā)送單元52�����,用于向所述AC發(fā)送所述目的MAC地址為所述認證設(shè)備的端口MAC地址的EAPOL報文�,以進行EAP認證�����。本發(fā)明實施例AC向AP發(fā)送MAC地址指示信息,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址���,這樣一來���,AP接收到所述MAC地址指示信息后即可獲知所述認證設(shè)備的MAC地址。當來自UE的EAPOL報文到達所述AP時����,所述AP就可以將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址而發(fā)送給相應(yīng)的認證設(shè)備。如此�����,由于EAPOL報文中的目的MAC地址即為認證設(shè)備的MAC地址����,在所述AP發(fā)送EAPOL報文的過程中��,只會將所述EAPOL報文發(fā)送給所述認證設(shè)備,而不會發(fā)送給任何其他設(shè)備�����,因而���,在二層網(wǎng)絡(luò)中不會存在過多的EAPOL報文�,能夠消除廣播風(fēng)暴�。而且,采用上述技術(shù)方案�,并不需要為AP與認證設(shè)備之間的所有二層設(shè)備部署B(yǎng)PDU報文透傳,相比現(xiàn)有技術(shù)更加易于配置和部署��??蛇x的,如圖5B所示�,所述裝置還包括解析單元53和存儲單元54。所述解析單元53��,用于在所述接收單元接收到AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素后�����,解析所述CAPWAP控制消息元素以獲取所述認證設(shè)備的端口 MAC地址。所述存儲單元54�����,用于存儲所述認證設(shè)備的端口 MAC地址��?�?蛇x的�,所述發(fā)送單元52,還用于在所述接收單元接收AC通過CAPWAP隧道發(fā)送的CAPffAP控制消息元素之前��,向所述AC發(fā)送CAPWAP隧道建立請求消息����,以請求與所述AC建立CAPWAP隧道;
所述接收單元51�����,還用于在接收AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素之前�,接收所述AC發(fā)送的隧道建立應(yīng)答消息,以與所述AC建立CAPWAP隧道��?���?蛇x的�,所述傳遞EAP認證目的MAC地址的裝置��,可以位于AP上��,作為AP的一部分��,或者所述傳遞EAP認證目的MAC地址的裝置可以與AP獨立設(shè)置�����。值得注意的是����,上述傳遞EAP認證目的MAC地址的裝置實施例中��,所包括的各個單元只是按照功能邏輯進行劃分的����,但并不局限于上述的劃分,只要能夠?qū)崿F(xiàn)相應(yīng)的功能即可���;另外����,各功能單元的具體名稱也只是為了便于相互區(qū)分,并不用于限制本發(fā)明的保護范圍����。本發(fā)明實施例中所述的CAPWAP隧道,可以是CAPWAP控制隧道�。本發(fā)明實施例中所述認證設(shè)備的端口 MAC地址可以是接口的MAC地址,該接口可以是邏輯接口���、物理接口���、Trunk 口,或者其他接口����。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中�����,所述存儲介質(zhì)可以是只讀存儲器�����、磁盤或光盤等。以上所述��,僅為本發(fā)明的具體實施方式
��,但本發(fā)明的保護范圍并不局限于此�����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�����,可輕易想到變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此��,本發(fā)明的保護范圍應(yīng)以權(quán)利要求的保護范圍為準�。
權(quán)利要求
1.一種傳遞擴展認證協(xié)議EAP認證目的介質(zhì)訪問控制MAC地址的方法,其特征在于��,包 括 接入控制器AC向接入點AP發(fā)送MAC地址指示信息,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址�����; 所述AC接收所述AP發(fā)送的、目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文����。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于�����,所述MAC地址指示信息為無線接入點的控制和配置CAPWAP控制消息元素��,所述CAPWAP控制消息元素中包括認證設(shè)備的端口 MAC地址���,所述接入控制器AC向接入點AP發(fā)送MAC地址指示信息包括 接收接入控制器AC通過無線接入點的控制和配置CAPWAP隧道向接入點AP發(fā)送CAPffAP控制消息元素�。
3.根據(jù)權(quán)利要求2所述的方法����,其特征在于,在所述AC通過CAPWAP隧道向AP發(fā)送CAPffAP控制消息元素之前�,所述方法還包括 所述AC獲取所述認證設(shè)備的端口 MAC地址,并將獲取的所述認證設(shè)備的端口 MAC地址封裝到CAPWAP控制消息元素中�。
4.根據(jù)權(quán)利要求2或3所述的方法,其特征在于��,在所述AC通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素之前,所述方法還包括 所述AC接收所述AP發(fā)送的CAPWAP隧道建立請求消息�����; 所述AC向所述AP發(fā)送CAPWAP隧道建立應(yīng)答消息����。
5.根據(jù)權(quán)利要求1-4中任一項所述的方法,其特征在于��,所述方法還包括 所述AC向所述認證設(shè)備發(fā)送所述目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文�。
6.根據(jù)權(quán)利要求1-4中任一項所述的方法,其特征在于�����,所述AC即為所述認證設(shè)備�����。
7.一種傳遞擴展認證協(xié)議EAP認證目的介質(zhì)訪問控制MAC地址的方法����,其特征在于�,包括 接入點AP接收接入控制器AC發(fā)送的MAC地址指示信息,所述MAC地址指示信息中包括認證設(shè)備的 而口 MAC地址; 所述AP接收用戶設(shè)備UE發(fā)送的通過局域網(wǎng)的擴展認證協(xié)議EAPOL報文����,并將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口 MAC地址; 所述AP向所述AC發(fā)送所述目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文���。
8.根據(jù)權(quán)利要求7所述的方法�,其特征在于��,所述MAC地址指示信息為CAPWAP控制消息元素��,所述CAPWAP控制消息元素中包括認證設(shè)備的端口 MAC地址����,所述接入點AP接收接入控制器AC發(fā)送的MAC地址指示信息包括 接入點AP接收接入控制器AC通過無線接入點的控制和配置CAPWAP隧道發(fā)送的CAPffAP控制消息元素。
9.根據(jù)權(quán)利要求8所述的方法�����,其特征在于����,在所述AP接收AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素后,所述方法還包括 所述AP解析所述CAPWAP控制消息元素����,獲取所述認證設(shè)備的端口 MAC地址�;所述AP存儲所述認證設(shè)備的端口 MAC地址���。
10.根據(jù)權(quán)利要求8或9所述的方法�,其特征在于����,在所述AP接收AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素之前,所述方法還包括 所述AP向所述AC發(fā)送CAPWAP隧道建立請求消息����; 所述AP接收所述AC發(fā)送的隧道建立應(yīng)答消息。
11.一種傳遞擴展認證協(xié)議EAP認證目的介質(zhì)訪問控制MAC地址的裝置���,其特征在于��,包括發(fā)送單元和接收單元���, 所述發(fā)送單元��,用于向接入點AP發(fā)送MAC地址指示信息��,所述MAC地址指示信息中包括認證設(shè)備的 而口 MAC地址; 所述接收單元���,用于接收所述AP發(fā)送的����、目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文�。
12.根據(jù)權(quán)利要求11所述的裝置,其特征在于����,所述MAC地址指示信息為CAPWAP控制消息元素,所述CAPWAP控制消息元素中包括認證設(shè)備的端口 MAC地址�,所述發(fā)送單元用于 通過無線接入點的控制和配置CAPWAP隧道向接入點AP發(fā)送CAPWAP控制消息元素。
13.根據(jù)權(quán)利要求12所述的裝置�����,其特征在于�����,還包括獲取單元和封裝單元����, 所述獲取單元�����,用于在所述發(fā)送單元通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素之前��,獲取所述認證設(shè)備的端口 MAC地址��; 所述封裝單元���,用于將所述獲取單元所獲取的所述認證設(shè)備的端口 MAC地址封裝到CAPffAP控制消息元素中。
14.根據(jù)權(quán)利要求12或13所述的裝置��,其特征在于����, 所述接收單元,還用于在所述發(fā)送單元通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素之前�����,接收所述AP發(fā)送的CAPWAP隧道建立請求消息���; 所述發(fā)送單元�,還用于在通過CAPWAP隧道向AP發(fā)送CAPWAP控制消息元素之前��,向所述AP發(fā)送CAPWAP隧道建立應(yīng)答消息��,以與所述AP建立CAPWAP隧道�����。
15.根據(jù)權(quán)利要求12-14中任一項所述的裝置�����,其特征在于�����,所述發(fā)送單元還用于 向所述認證設(shè)備發(fā)送所述目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文��。
16.根據(jù)權(quán)利要求12-14中任一項所述的裝置���,其特征在于��,所述裝置為所述認證設(shè)備����。
17.一種傳遞擴展認證協(xié)議EAP認證目的介質(zhì)訪問控制MAC地址的裝置���,其特征在于�,包括接收單元、發(fā)送單元和修改單元����, 所述接收單元,用于接收接入控制器AC發(fā)送的MAC地址指示信息�����,所述MAC地址指示信息中包括認證設(shè)備的端口 MAC地址���; 所述接收單元���,還用于接收用戶設(shè)備UE發(fā)送的通過局域網(wǎng)的擴展認證協(xié)議EAPOL報文; 所述修改單元�����,用于將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口MAC地址��; 所述發(fā)送單元����,用于向所述AC發(fā)送所述目的MAC地址為所述認證設(shè)備的端口 MAC地址的EAPOL報文����。
18.根據(jù)權(quán)利要求17所述的裝置��,其特征在于���,所述MAC地址指示信息為CAPWAP控制消息元素,所述CAPWAP控制消息元素中包括認證設(shè)備的端口 MAC地址����,所述接收單元用于 接收接入控制器AC通過無線接入點的控制和配置CAPWAP隧道發(fā)送的CAPWAP控制消^窗、�����。
19.根據(jù)權(quán)利要求18所述的裝置��,其特征在于��,還包括解析單元和存儲單元���, 所述解析單元�,用于在所述接收單元接收到AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素后,解析所述CAPWAP控制消息元素以獲取所述認證設(shè)備的端口 MAC地址���; 所述存儲單元���,用于存儲所述認證設(shè)備的端口 MAC地址。
20.根據(jù)權(quán)利要求18或19所述的裝置��,其特征在于�, 所述發(fā)送單元,還用于在所述接收單元接收AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素之前�,向所述AC發(fā)送CAPWAP隧道建立請求消息,以請求與所述AC建立CAPWAP隧道���; 所述接收單元���,還用于在接收AC通過CAPWAP隧道發(fā)送的CAPWAP控制消息元素之前,接收所述AC發(fā)送的隧道建立應(yīng)答消息���。
全文摘要
本發(fā)明實施例涉及通信領(lǐng)域����,提供一種傳遞EAP認證目的MAC地址的方法���,能夠消除廣播風(fēng)暴且易于配置和部署���。所述方法包括AC向AP發(fā)送MAC地址指示信息�����,所述MAC地址指示信息中包括認證設(shè)備的端口MAC地址�,以使所述AP在接收到用戶設(shè)備UE的EAPOL報文時����,將所述EAPOL報文中的目的MAC地址修改為所述認證設(shè)備的端口MAC地址����;所述AC接收所述AP發(fā)送的、目的MAC地址為所述認證設(shè)備的端口MAC地址的EAPOL報文��,以進行EAP認證���。
文檔編號H04W12/08GK102647715SQ201210084430
公開日2012年8月22日 申請日期2012年3月27日 優(yōu)先權(quán)日2012年3月27日
發(fā)明者張朋, 曾文雷, 王亞平, 胡俊理, 金小鳴 申請人:華為技術(shù)有限公司