專利名稱:數(shù)據(jù)幀轉(zhuǎn)發(fā)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)通信領(lǐng)域,具體涉及TCP/IP協(xié)議族的通信系統(tǒng)中數(shù)據(jù)幀的收發(fā)處理方法,更具體地說,涉及一種WLAN系統(tǒng)中AP代理EAPOL數(shù)據(jù)幀轉(zhuǎn)發(fā)方法。
背景技術(shù):
在現(xiàn)有的WLAN系統(tǒng)中,用戶通常采用基于802.1x機(jī)制的EAP(Extensible Authentication Protocol)-MD5或EAP-SIM的方式接入網(wǎng)絡(luò)。在以上兩種方式的用戶接入流程中,客戶端與認(rèn)證點(diǎn)之間以EAPOL(EAP Over LAN)報(bào)文的格式進(jìn)行消息交互。協(xié)議分配給客戶端和認(rèn)證點(diǎn)使用的組播MAC地址是01-80-C2-00-00-03。根據(jù)802.1x協(xié)議規(guī)定,如果認(rèn)證點(diǎn)的MAC地址對(duì)客戶端是已知的,則客戶端傳輸所有的EAPOL幀攜帶認(rèn)證點(diǎn)的MAC地址作為目的地址;反之亦然。如果認(rèn)證點(diǎn)的MAC地址對(duì)客戶端是未知的,則客戶端傳輸所有的EAPOL包攜帶組播MAC地址作為目的MAC地址;反之亦然。
在實(shí)際認(rèn)證過程中,可以采用兩種不同的認(rèn)證系統(tǒng)結(jié)構(gòu)一種是以AC(Access Controller)作為WLAN用戶接入認(rèn)證點(diǎn),一種是以AP(Access Point)作為WLAN用戶接入認(rèn)證點(diǎn)。以AP作為WLAN用戶接入認(rèn)證點(diǎn)的系統(tǒng)是一個(gè)只有接入層和核心層的二層網(wǎng)絡(luò),而以AC作為WLAN用戶接入認(rèn)證點(diǎn)的系統(tǒng)是一個(gè)包括接入層、匯聚層和核心層的三層網(wǎng)絡(luò)。比較而言,以AC作為WLAN用戶接入認(rèn)證點(diǎn)的三層網(wǎng)絡(luò)更利于系統(tǒng)中業(yè)務(wù)的控制。
但在以AC作為WLAN用戶接入認(rèn)證點(diǎn)的系統(tǒng)中,客戶端和認(rèn)證點(diǎn)之間的數(shù)據(jù)幀必須經(jīng)過AP進(jìn)行轉(zhuǎn)發(fā)。由于客戶端向AC發(fā)起認(rèn)證時(shí),已經(jīng)從網(wǎng)卡上獲取了與之連接的AP的MAC地址,這樣客戶端把AP當(dāng)作認(rèn)證點(diǎn),向AP發(fā)送EAPOL包,并使用該AP的MAC地址作為目的MAC地址進(jìn)行點(diǎn)對(duì)點(diǎn)的發(fā)送。當(dāng)該EAPOL包到達(dá)AP后,就認(rèn)為已經(jīng)到達(dá)了數(shù)據(jù)幀的終結(jié)點(diǎn),就不會(huì)再向AC轉(zhuǎn)發(fā)了,這樣就無(wú)法完成認(rèn)證過程。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是,提供一種認(rèn)證過程中的數(shù)據(jù)幀轉(zhuǎn)接方法,可以應(yīng)用于以AC作為WLAN用戶接入認(rèn)證點(diǎn)的系統(tǒng)中,克服在以AC作為WLAN用戶接入認(rèn)證點(diǎn)的系統(tǒng)中由于EAPOL幀經(jīng)過AP不能轉(zhuǎn)發(fā)給AC的缺點(diǎn),順利完成整個(gè)認(rèn)證過程,按照本發(fā)明提出的經(jīng)過AP代理轉(zhuǎn)發(fā)EAPOL幀的方法,可以將EAPOL幀發(fā)送到AC進(jìn)行認(rèn)證,完成整個(gè)認(rèn)證過程。
本發(fā)明上述技術(shù)問題這樣解決,構(gòu)造一種AP代理EAPOL數(shù)據(jù)幀轉(zhuǎn)發(fā)方法,包括以下步驟客戶端向任何一個(gè)AP發(fā)送EAPOL幀時(shí),將該AP的MAC地址作為目的MAC置于傳輸EAPOL幀中發(fā)送出去;系統(tǒng)中每一個(gè)AP對(duì)收到的數(shù)據(jù)幀進(jìn)行檢測(cè),如果目的地址不是本AP,則將該數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā);如果目的地址為本AP則判斷該數(shù)據(jù)幀的類型是否為EAPOL,如果是則該數(shù)據(jù)幀的目的地址改成EAPOL的組播MAC地址01-80-C2-00-00-03再發(fā)送出去;系統(tǒng)中的AC在接收到組播的EAPOL數(shù)據(jù)幀時(shí),對(duì)客戶端身份進(jìn)行驗(yàn)證完后向客戶端發(fā)送EAPOL數(shù)據(jù)幀攜帶客戶端的MAC地址作為目的MAC地址。
在上述方法中,所述判斷數(shù)據(jù)幀的類型是否為EAPOL是通過檢測(cè)以太幀的協(xié)議類型是否為888E來(lái)實(shí)現(xiàn)的。
實(shí)施本發(fā)明提供的上述轉(zhuǎn)發(fā)方法,具有以下有益效果1)通過采取這種在AP上代理將點(diǎn)對(duì)點(diǎn)的EAPOL數(shù)據(jù)幀轉(zhuǎn)化為組播幀的方法,解決了EAPOL數(shù)據(jù)幀發(fā)給AP后不能轉(zhuǎn)發(fā)給AC認(rèn)證的問題;2)AP代理轉(zhuǎn)發(fā)EAPOL數(shù)據(jù)幀的方法簡(jiǎn)單,易于實(shí)現(xiàn);3)對(duì)于從AC傳輸給客戶端的EAPOL數(shù)據(jù)幀,由于這時(shí)AC已經(jīng)從發(fā)送過來(lái)的EAPOL幀中獲取了客戶端的MAC地址,EAPOL數(shù)據(jù)幀攜帶客戶端的MAC地址作為目的MAC地址發(fā)送,AP接收到后直接轉(zhuǎn)發(fā)給客戶端,不會(huì)影響EAPOL數(shù)據(jù)幀的傳輸。
圖1是本發(fā)明中以AC作為WLAN用戶接入認(rèn)證點(diǎn)的認(rèn)證系統(tǒng)結(jié)構(gòu)示意圖。
圖2是按照本發(fā)明方法在客戶端和AC之間數(shù)據(jù)幀交互的流程示意圖。
圖3是利用本發(fā)明方法進(jìn)行數(shù)據(jù)幀轉(zhuǎn)發(fā)過程中數(shù)據(jù)幀格式變化情況其中(a)是客戶端發(fā)給AP的EAPOL數(shù)據(jù)幀格式示意圖;(b)是AP發(fā)給AC的EAPOL數(shù)據(jù)格式示意圖;(c)是AC發(fā)給客戶端的EAPOL數(shù)據(jù)幀格式示意圖。
具體實(shí)施例方式
本發(fā)明以AC作為WLAN用戶接入認(rèn)證點(diǎn)的認(rèn)證系統(tǒng)結(jié)構(gòu),如圖1所示,其中WLAN用戶終端101安裝有802.11b無(wú)線網(wǎng)卡和EAP-MD5或EAP-SIM客戶端軟件;WLAN接入點(diǎn)(AP)102用于WLAN用戶的無(wú)線接入;WLAN業(yè)務(wù)用戶接入認(rèn)證點(diǎn)和業(yè)務(wù)控制點(diǎn)(AC)103作為WLAN業(yè)務(wù)用戶接入認(rèn)證點(diǎn),完成對(duì)WLAN用戶的認(rèn)證;RADIUS用戶認(rèn)證服務(wù)器104用于完成基于EAP-MD5方式的用戶認(rèn)證;該認(rèn)證服務(wù)器也可以采用WLAN SIM認(rèn)證服務(wù)器(AS),用于完成基于SIM卡的用戶認(rèn)證。
客戶端與認(rèn)證點(diǎn)之間以EAPOL報(bào)文的格式進(jìn)行消息交互,認(rèn)證點(diǎn)和認(rèn)證服務(wù)器之間以EAP over RADIUS數(shù)據(jù)幀進(jìn)行消息交互??蛻舳撕驼J(rèn)證點(diǎn)AC發(fā)送的EAPOL幀都必須經(jīng)過AP轉(zhuǎn)發(fā)。在整個(gè)WLAN用戶認(rèn)證過程中,可以由客戶端首先發(fā)起認(rèn)證請(qǐng)求,也可以由認(rèn)證點(diǎn)向客戶端發(fā)起認(rèn)證。此處假設(shè)客戶端的MAC地址為01-01-01-01-01-01,與之連接的AP的MAC地址為02-02-02-02-02-02,認(rèn)證點(diǎn)AC的MAC地址為03-03-03-03-03-03。認(rèn)證過程中客戶端、AP與AC之間的數(shù)據(jù)幀交互流程如圖2所示。圖3示出該實(shí)施例中傳輸數(shù)據(jù)幀格式,其中,假設(shè)客戶端的MAC地址為01-01-01-01-01-01,AP的MAC地址為02-02-02-02-02-02,AC的MAC的MAC地址為03-03-03-03-03-03。
具體流程如下1.在客戶端發(fā)起認(rèn)證請(qǐng)求的過程中,由于網(wǎng)卡能夠掃描到可以與之通信的所有AP,并能獲取這些AP的MAC地址,當(dāng)客戶選擇與某個(gè)AP(MAC地址為02-02-02-02-02-02)通信時(shí),傳輸?shù)腅APOL幀攜帶該AP的MAC地址作為目的MAC地址。數(shù)據(jù)幀格式如圖3(a)中客戶端發(fā)給AP的EAPOL數(shù)據(jù)幀。
2.只有MAC地址為02-02-02-02-02-02的AP才會(huì)接收到該EAPOL數(shù)據(jù)幀。AP對(duì)數(shù)據(jù)幀進(jìn)行檢驗(yàn)。如果發(fā)現(xiàn)數(shù)據(jù)幀的類型為EAPOL,即以太幀的協(xié)議類型為888E,則將該數(shù)據(jù)幀的目的地址改成EAPOL的組播MAC地址01-80-C2-00-00-03再轉(zhuǎn)發(fā)出去。數(shù)據(jù)幀格式如圖3(b)中AP發(fā)給AC的EAPOL數(shù)據(jù)幀。
3.AC接收到組播的EAPOL數(shù)據(jù)幀后開始對(duì)客戶端進(jìn)行認(rèn)證,向客戶端傳輸EAPOL幀,此時(shí)的EAPOL幀應(yīng)該攜帶01-01-01-01-01-01作為目的MAC地址,攜帶03-03-03-03-03-03作為源MAC地址。數(shù)據(jù)幀格式如圖3(c)中AC發(fā)給客戶端的EAPOL數(shù)據(jù)幀。
4.AP接收到該數(shù)據(jù)幀就會(huì)將它直接轉(zhuǎn)發(fā)。數(shù)據(jù)幀格式如圖3(c)中AC發(fā)給客戶端的EAPOL數(shù)據(jù)幀AC的MAC地址。
權(quán)利要求
1.一種數(shù)據(jù)幀轉(zhuǎn)發(fā)方法,其特征在于,包括以下步驟客戶端向任何一個(gè)AP發(fā)送EAPOL幀時(shí),將該AP的MAC地址作為目的MAC置于傳輸EAPOL幀中發(fā)送出去;系統(tǒng)中每一個(gè)AP對(duì)收到的數(shù)據(jù)幀進(jìn)行檢測(cè),如果目的地址不是本AP,則將該數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā);如果目的地址為本AP則判斷該數(shù)據(jù)幀的類型是否為EAPOL,如果是則該數(shù)據(jù)幀的目的地址改成EAPOL的組播MAC地址01-80-C2-00-00-03再發(fā)送出去;系統(tǒng)中的AC在接收到組播的EAPOL數(shù)據(jù)幀時(shí),對(duì)客戶端身份進(jìn)行驗(yàn)證完后向客戶端發(fā)送EAPOL數(shù)據(jù)幀攜帶客戶端的MAC地址作為目的MAC地址。
2.根據(jù)權(quán)利要求1所述方法,其特征在于,所述判斷數(shù)據(jù)幀的類型是否為EAPOL是通過檢測(cè)以太幀的協(xié)議類型是否為888E來(lái)實(shí)現(xiàn)的。
全文摘要
一種數(shù)據(jù)幀轉(zhuǎn)發(fā)方法,客戶端向AP發(fā)送EAPOL幀時(shí),將該APMAC地址作為目的MAC置于傳輸EAPOL幀中發(fā)送出去;系統(tǒng)中每一個(gè)AP對(duì)收到的數(shù)據(jù)幀進(jìn)行檢測(cè),如目的地址不是本AP,則轉(zhuǎn)發(fā)該數(shù)據(jù)幀;如目的地址為本AP則判斷數(shù)據(jù)幀類型是否為EAPOL,如是則該數(shù)據(jù)幀的目的地址改成EAPOL的組播MAC地址再發(fā)送出去;系統(tǒng)中的AC在接收到組播的EAPOL數(shù)據(jù)幀時(shí),對(duì)客戶端身份進(jìn)行驗(yàn)證后向客戶端發(fā)送EAPOL數(shù)據(jù)幀攜帶客戶端的MAC地址作為目的MAC地址。由于在AP上代理將點(diǎn)對(duì)點(diǎn)的EAPOL數(shù)據(jù)幀轉(zhuǎn)化為組播幀,解決了EAPOL數(shù)據(jù)幀發(fā)給AP后不能轉(zhuǎn)發(fā)給AC認(rèn)證的問題,實(shí)現(xiàn)簡(jiǎn)單,且不影響EAPOL數(shù)據(jù)幀的傳輸。
文檔編號(hào)H04L12/28GK1505329SQ0215099
公開日2004年6月16日 申請(qǐng)日期2002年11月28日 優(yōu)先權(quán)日2002年11月28日
發(fā)明者秦浩, 趙莉娟, 王東, 秦 浩 申請(qǐng)人:深圳市中興通訊股份有限公司