一种基于虚拟IP地址的Portal认证方法及服务器

1.一种基于虚拟IP地址的Portal服务器，应用于认证设备上，用以为网络中的用户终端提供Portal认证服务，所述网络中还包括接入设备以及网关，所述Portal服务器配置有与网关IP地址相同的虚拟IP地址，所述认证设备连接接入设备的端口以及连接网关的端口被配置在同一个二层网络中，该服务器包括：
ARP处理单元监听其他节点发送的ARP报文，将该ARP报文中携带的发送方IP地址与MAC地址的作为ARP表项添加到ARP缓存中，并相应地将该ARP表项置为可达状态；其中该ARP处理单元被配置为禁止发送及响应ARP请求；
Portal认证单元，用于在Portal认证过程中根据ARP缓存中记录的ARP表项获取参与Portal认证的其他节点的MAC地址，以与所述其他节点通信。
2.如权利要求1所述的服务器，其特征在于，其中所述ARP报文为ARP请求报文。
3.如权利要求1所述的服务器，其特征在于，其中所述其他节点至少包括用户终端以及接入设备。
4.如权利要求1所述的服务器，其特征在于，所述Portal认证单元进一步用于，在用户终端未通过认证时将Web认证页面发送给用户终端，接收用户在认证页面上输入的用户名和密码，并在用户认证成功时通知该用户。
5.一种基于虚拟IP地址的Portal认证方法，应用于认证设备的Portal服务器上，用以为网络中的用户终端提供Portal认证服务，所述网络中还包括接入设备以及网关，所述Portal服务器配置有与网关IP地址相同的虚拟IP地址，所述认证设备连接接入设备的端口以及连接网关的端口被配置在同一个二层网络中，该方法包括：
A、监听其他节点发送的ARP报文，将该ARP报文中携带的发送方IP地址与MAC地址的作为ARP表项添加到ARP缓存中，并相应地将该ARP表项置为可达状态；其中所述Portal服务器被配置为禁止发送及响应ARP请求；
B、Portal服务器在Portal认证过程中根据ARP缓存中记录的ARP表项获取参与Portal认证的其他节点的MAC地址，以与所述其他节点通信。
6.如权利要求5所述的方法，其特征在于，其中所述ARP报文为ARP请求报文。
7.如权利要求5所述的方法，其特征在于，其中所述其他节点至少包括用户终端以及接入设备。
8.如权利要求5所述的方法，其特征在于，还包括：
C、在用户终端未通过认证时将Web认证页面发送给用户终端，接收用户在认证页面上输入的用户名和密码，并在用户认证成功时通知该用户终端以及接入设备。

一种基于虚拟IP地址的Portal认证方法及服务器\n技术领域\n[0001] 本发明涉及Portal认证技术，尤其涉及一种基于虚拟IP地址的Portal认证方法及服务器。\n背景技术\n[0002] Portal认证是一种基于WEB的认证技术，其优势是在基础性的Portal认证过程中不需要用户下载任何客户端软件。请参考图2，用户终端上网时，Portal服务器（可集成在认证设备上）强制用户访问到特定URL。用户如果需要连接互联网就必须在Portal服务器强制推送的页面上进行认证，只有通过认证才能访问互联网资源。比如说：用户访问www.sina.com.cn时，如果用户还没有通过Portal认证，那么Portal服务器会仿冒Sina的IP地址与用户终端建立TCP连接，并使用Sina的IP地址向用户发送重定向报文，重定向报文主要是要求用户访问Portal服务器的认证页面。随后用户终端的web浏览器会向Portal服务器发送http请求获得所述认证页面。在这个认证页面下可以允许用户进行身份认证，也可以提供用户下载终端认证的软件。此时用户终端上web浏览器访问的目的IP已经不是最初访问的Sina的IP地址了，而是Portal服务器自身的IP地址。Portal服务器响应web浏览器的请求，用户认证通过后就可以继续访问互联网资源。\n[0003] 现有方法都需要Portal服务器有独立的IP地址和用户终端设备进行通信，在IPv6技术还不成熟IPv4地址又很紧缺的今天，有些组网方案中是没有多余的IP地址可以给Portal服务器使用的。请参考图2，假设接入设备的地址是10.11.1.254，掩码是\n255.255.255.252，网关地址是10.11.1.253，掩码是255.255.255.252，此时Portal服务器已没有可用的IP地址，各个设备以 及服务器之间不能正常通信，导致Portal服务器的认证功能无法正常使用。在这种情况下，用户常常被迫改变原来的组网方案或者对IP地址进行重新规划，否则认证功能就不能正常实施。然而对原来的组网方案或者IP地址规划的重新调整给用户带来了极大的不便利，用户对这样的解决方案的接受度很低。\n发明内容\n[0004] 本发明提供一种基于虚拟IP地址的Portal服务器，应用于认证设备上，用以为网络中的用户终端提供Portal认证服务，所述网络中还包括接入设备以及网关，所述Portal服务器配置有与网关IP地址相同的虚拟IP地址，所述认证设备连接接入设备的端口以及连接网关的端口被配置在同一个二层网络中，该服务器包括：\n[0005] ARP处理单元监听其他节点发送的ARP报文，将该ARP报文中携带的发送方IP地址与MAC地址的作为ARP表项添加到ARP缓存中，并相应地将该ARP表项置为可达状态；其中该ARP处理单元被配置为禁止发送及响应ARP请求；\n[0006] Portal认证单元，用于在Portal认证过程中根据ARP缓存中记录的ARP表项获取参与Portal认证的其他节点的MAC地址，以与所述其他节点通信。\n[0007] 本发明还提供一种基于虚拟IP地址的Portal认证方法，应用于认证设备上用以为网络中的用户终端提供Portal认证服务，所述网络中还包括接入设备以及网关，所述Portal服务器配置有与网关IP地址相同的虚拟IP地址，所述认证设备连接接入设备的端口以及连接网关的端口被配置在同一个二层网络中，该方法包括：\n[0008] A、监听其他节点发送的ARP报文，将该ARP报文中携带的发送方IP地址与MAC地址的作为ARP表项添加到ARP缓存中，并相应地将该ARP表项置为可达状态；其中所述Portal服务器被配置为禁止发送及响应ARP请求；\n[0009] B、Portal服务器在Portal认证过程中根据ARP缓存中记录的ARP表项获取参与Portal认证的其他节点的MAC地址，以与所述其他节点通信。\n[0010] 本发明对Portal认证过程并不做任何改动，并允许Portal服务器重用网关的IP地址，并且不会影响到用户正常的上网过程，也不会被用户网络中部署的ARP防攻击机制探测到任何疑似ARP攻击的行为。在用户网络IP地址资源匮乏的应用场景中，不需要用户调整IP地址规划或者调整组网方式，对于提升用户网络规划上的体验具有显著的意义。\n附图说明\n[0011] 图1是本发明一种实施方式中Portal服务器的逻辑结构图。\n[0012] 图2是本发明一种典型的Portal认证的组网图。\n[0013] 图3是ARP报文格式示意图。\n具体实施方式\n[0014] 本发明在缺乏IP地址可用或者用户想节约IP地址资源的情况下提供用户一种新的Portal服务器的部署选择，以下以计算机程序实现为例进行介绍，然而本发明并不排除其他实现方式。请参考图1，本发明一种基于虚拟IP地址的Portal服务器，应用于认证设备上，用以为网络中的用户终端提供Portal认证服务，所述网络中包括多个用户终端、接入设备以及网关，该服务器包括：ARP处理单元以及Portal认证单元。该Portal服务器配置有与网关相同的IP地址。请参考图1以及图2，在本实施方式中本发明Portal服务器的一般处理流程包括：\n[0015] 步骤101，将认证设备的与接入设备相连的端口以及认证设备连接网关的端口配置到同一个二层网络中（比如同一个VLAN中）；且将Portal服务器配置与网关相同的IP地址。\n[0016] 步骤102，ARP处理单元监听其他节点发送的ARP报文，将该ARP报文中携带的发送方IP地址与MAC地址的作为ARP表项添加到ARP缓存中， 并相应地将该ARP表项置为可达状态；其中该ARP处理单元被配置为禁止发送及响应ARP请求。\n[0017] Portal服务器配置了一个与网关相同的IP地址，本发明称之为虚拟IP地址，但是虚拟IP地址仅仅是一种形象的说法，并不影响IP地址的使用。在这种网络配置下，很显然网络中两个节点的IP地址相同会引发IP地址冲突的问题，必须要做特殊的处理才可以确保两个节点各司其职地工作。如果Portal服务器响应其他节点发送的ARP请求或者对外发送ARP请求势必会导致其他节点（比如用户终端）上保存的网关ARP表项被修改。由于用户访问访问外网（比如Internet）所填写的MAC地址是网关的MAC地址，一旦其ARP缓存中的网关ARP表项被修改，那么用户向外网发送的报文都会被发送到Portal服务器上来，这将导致用户终端无法通过网关来访问外网。而且很多用户的网络设备（比如图2中的接入设备）上可能会部署ARP防攻击机制。如果Portal服务器发送ARP请求或者响应ARP请求，那么很可能会被网络设备上的ARP防攻击机制视为ARP攻击，管理员将会收到告警，引起网络的异常。因此，在本发明中，ARP处理单元会被配置为禁止发送及响应ARP请求，避免用户终端通过ARP交互发现Portal服务器的存在。\n[0018] 在另一方面，由于认证设备连接接入设备的端口以及连接网关的端口在同一个VLAN中，由于ARP请求报文是在二层网络内通过广播方式发送的，所有用户终端访问外网时会通过ARP请求报文（报文格式请参考图3）来请求网关MAC地址，由于步骤101中的端口配置，这样的ARP请求报文会被Portal服务器的ARP处理单元收到。这样一来，ARP处理单元就可以知道用户终端的IP地址以及MAC地址。在正常的ARP处理流程中，当ARP请求没有被响应之前，ARP表项的状态只能置为临时性状态（比如incomplete或者Probe）,由于ARP处理单元不会发送ARP请求也不会响应ARP请求，那么处于临时性状态的ARP表项则会很快被老化掉。在本发明中，则跳过正常的ARP处理流程，将ARP表项置为可达状态（Reachable），其目的是为了Portal认证单元后续与用户终端交互时能够知道用户终端的MAC地址信息， 如果像现有技术那样ARP表项很快被老化，Portal认证单元在需要与用户终端通信时不知道用户终端的MAC地址，肯定无法进行通信。\n[0019] 同样的道理，ARP处理单元同样可以将接入设备以及网关等其他网络设备的IP地址与MAC地址的组合学习到ARP缓存中作为对应的ARP表项。也就是说Portal服务器有了与其他节点（比如网络设备或用户终端）通信的依据，因为一个正常的Portal认证过程中，Portal服务器可能会与多个节点进行通信。\n[0020] 步骤103，Portal认证单元在Portal认证过程中根据ARP缓存中记录的ARP表项获取参与Portal认证的其他节点的MAC地址，以与所述其他节点通信。在一个典型的Portal认证过程中，Portal认证单元的处理过程主要包括以下步骤：\n[0021] (1)用户终端的HTTP报文经过认证设备时，Portal服务器会检查该用户终端是否已经通过认证，如果是则放行；如果不是，则进一步判断该HTTP报文是否访问Portal服务器或设定的免费访问地址的HTTP报文，如果是则放行；否则接入设备将通过重定向报文要求用户终端访问Portal服务器的Web认证页面。Portal服务器向用户终端提供Web认证页面供用户输入用户名和密码来进行认证。\n[0022] (2)Portal服务器上会配置相应的认证方法，若果是本地认证，在Portal认证服务器上直接进行用户名和密码的校验，如果是Radius认证、Ldap认证或者是Tacacs+认证，则进行下面的流程。\n[0023] (3)Portal服务器连接第三方服务器的端口是没有开启认证的端口，此端口可以正常的发送和相应ARP报文，Portal服务器与第三方服务器之间进行协议报文的交互，由第三方认证服务器完成对用户身份的认证。\n[0024] (4)如果用户认证通过，第三方认真服务器通知Portal服务器。\n[0025] (5)Portal服务器向客户端发送认证通过报文，通知客户端认证成功。\n[0026] 本发明对Portal认证过程并不做任何改动，Portal认证单元在一次认证过程中需要与多个节点进行通信，由于在步骤102中ARP处理单元已经通过 监听ARP报文的方式获得各个参与Portal认证节点的ARP表项，这样当Portal服务器需要与接入设备或者用户终端进行通信时，就是可以通过查找ARP表项来获得其他节点的MAC地址，进而与对方进行通信。在现有技术中，Portal认证单元必须在Portal服务器具备独立的IP地址的情况下才完成的，而本发明可以允许Portal服务器重用网关的IP地址，并且不会影响到用户正常的上网过程，也不会被用户网络中部署的ARP防攻击机制探测到任何疑似ARP攻击的行为。在用户网络IP地址资源匮乏的应用场景中，不需要用户调整IP地址规划或者调整组网方式，对于提升用户网络规划上的体验具有显著的意义。\n[0027] 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。