技術領域

本發明涉及網絡通信技術，尤其涉及一種客戶端狀態識別方法、裝置及網絡設備。

背景技術

802.1x協議是基于客戶端/服務器端(Client/Server)模式的訪問控制和認證協議。802.1x協議會在客戶端(例如用戶或設備)獲得局域網(Local?Area?Network；簡稱為：LAN)或無線局域網(Wireless?Local?Area?Network；簡稱為：WLAN)提供的各種業務之前，對連接到交換機端口的客戶端進行認證，以限制未經授權的客戶端通過交換機端口訪問LAN或WLAN。其中，802.1x協議通過允許客戶端的基于局域網的擴展認證協議(Extensible?Authentication?Protocol?over?LAN；簡稱為：EAPOL)數據通過交換機端口，并通過認證服務器對用戶或設備進行認證。當認證通過以后，客戶端的正常數據就可以順利地通過交換機的端口來訪問LAN或WLAN。

如圖1所示，在802.1x認證體系中有三種角色：客戶端11、接入設備12和認證服務器13。其中，客戶端11是指LAN或WLAN所連接的一端的實體(entity)，接入設備12是LAN或WLAN所連接的用于認證客戶端11的實體(entity)，一般由交換機擔當該角色。認證服務器13是指為接入設備12提供認證服務的實體，以判斷客戶端11是否有權使用LAN或WLAN所提供的網絡服務。其中，EAPOL是客戶端11和接入設備12之間使用的認證協議；遠程用戶撥號認證協議(Remote?Authentication?Dial?In?User?Service；簡稱為：Radius)是一種在接入設備12和認證服務器13間傳輸認證、授權和配置信息的協議，通常將認證服務器稱之為Radius服務器13。

使用Radius協議的802.1x系統的認證交互過程主要包括：1)客戶端11通過EAPOL協議向接入設備12發出認證請求，該認證請求包含客戶端11的身份信息；2)接入設備12把客戶端11的身份信息通過Radius協議發送給Radius服務器13；3)Radius服務器13校驗客戶端11的身份，并將校驗結果通過Radius協議發送給接入設備12；4)接入設備12根據校驗通過結果允許客戶端11接入網絡；或者，根據校驗失敗結果拒絕客戶端11接入網絡；5)當客戶端11停止使用網絡時，通過EAPOL協議向接入設備12發送下線請求；6)接入設備12通過Radius協議向Radius服務器發送下線報文，并由Radius服務器13執行計費等操作；7)接入設備12斷開客戶端11與網絡的連接。

通常，Radius服務器會維護一個在線用戶列表，用于對通過身份校驗的客戶端進行管理。當客戶端通過身份校驗后，Radius服務器把該客戶端的信息添加到在線用戶列表中；當客戶端下線時，將該客戶端的信息從在線用戶列表中刪除。Radius服務器除了負責對客戶端進行身份校驗外，還會對通過身份校驗的客戶端進行計費、策略管理等操作。

在實際應用中，接入設備一般都會允許客戶端進行重認證，即客戶端認證已經通過，且該客戶端與網絡的連接尚處于聯通狀態，客戶端仍可以發起認證。且在實際應用中，還會出現Radius協議使用的UDP報文的丟失以及接入設備的突然斷電等情況，這些情況將會導致下線報文丟失。此時，Radius服務器由于未收到下線報文，不會將該客戶端的信息從在線用戶列表中刪除，而處于這種狀態的客戶端通常被稱為殘留在線用戶。而當客戶端發起重認證時，或者殘留在線用戶發起認證時，對Radius服務器來說，都會出現在線用戶列表中已經存在客戶端信息，而又收到客戶端的認證請求的問題。

由于Radius服務器對客戶端進行的后續操作會因客戶端的狀態而有所不同。例如：對于計費操作，如果客戶端是重認證客戶端，表明客戶端一直在線，則Radius服務器將會一直對該客戶端進行計費；如果該客戶端是殘留在線用戶，說明該客戶端有一段時間未在線，則Radius服務器將會根據一定的計費策略識別該客戶端未連接網絡的時間以進行相應時段的計費，而不會對該客戶端一直進行計費。而對于新客戶端將執行開始計費操作。因此，Radius服務器需要區分出現上述問題的原因，即區分是由于重認證客戶端導致的在線用戶列表存在客戶端信息時又接收到客戶端的認證請求，還是由于殘留在線用戶導致的，以便能更加準確合理的對各認證客戶端進行后續處理。