CN1835514B - Dhcp+客户端模式的宽带接入的管理方法 - Google Patents
Dhcp+客户端模式的宽带接入的管理方法 Download PDFInfo
- Publication number
- CN1835514B CN1835514B CN200610066250A CN200610066250A CN1835514B CN 1835514 B CN1835514 B CN 1835514B CN 200610066250 A CN200610066250 A CN 200610066250A CN 200610066250 A CN200610066250 A CN 200610066250A CN 1835514 B CN1835514 B CN 1835514B
- Authority
- CN
- China
- Prior art keywords
- dhcp
- client
- address
- user
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明是一种基于DHCP+客户端模式的宽带接入管理方法。该方法除了通过DHCP协议获得IP地址外,客户端软件与服务端软件还维持一个通信会话,用于准确判断客户端是否在线,以及何时上下线等状态信息。该方法的特征在于客户端程序会不依赖于DHCP协议中地址续租功能的规定,主动发起DHCP请求来改变IP地址,同时,当客户端程序主动发起第一次和第二次DHCP请求时,它将根据服务器返回的DHCP报文消息中带有的网络属性来主动识别合法的和非法的DHCP服务器,并且仅响应合法DHCP服务器。从而以最有效地方法解决了防伪DHCP的问题,满足了电信级应用的要求。
Description
技术领域
本发明涉及计算机网络技术,特别是一种宽带网用户接入管理方法。
背景技术
DHCP协议来源于局域网应用,目前在电信级网络内采用DHCP协议进行宽带管理主要有三种方式:(1)DHCP扩展协议;(2)DHCP+Web,其中:
1、DHCP扩展协议
在RFC-2132和RFC3118等规范文档中均规定利用DHCP协议的扩展属性来携带用户的身份信息,从而实现对用户的认证授权。但是DHCP协议中制定的4种消息及其工作原理无法有效地和精确地解决对用户的在线状态的识别和控制。因此,这种方法很难实现对用户的精确计费。到目前为止,DHCP扩展协议还没有在电信级网络内成功大规模的案例。
2、DHCP+Web
DHCP+Web是为了适应网络发展的需要而对传统的DHCP协议进行了改进,主要增加了认证能,即DHCP服务器在将配置参数发给用户之前必须将用户名和密码送往Radius的认证服务器进行认证,通过认证后才将配置信息发给用户。而且,服务器只是在获得IP配置信息阶段起作用,以后的通信完全不经过它。
DHCP+Web一般有两种方法,第一种方法是一次IP地址分配,具体步骤如图1所示:
1)用户主机上电启动系统程序根据配置通过DHCP由宽带接入服务器进行DHCP-Relay,向DHCP Server要IP地址,私网或公网。
2)宽带接入服务器为该用户构造对应表项信息基于端口号IP地址,添加用户ACL。
3)服务策略,使用户只能访问Portal Server等内部服务器及个别外部服务器如DNS。
4)宽带接入服务器将用户强制连接到Portal Server,并在浏览器中弹出认证页面,在该页面中用户输入帐号和口令并单击log in按钮或不输入由帐号和口令直接单击上网按钮。
5)该按钮启动Portal Server上的Java程序,将用户信息IP地址、帐号和口令送给宽带接入服务器。
6)宽带接入服务器利用IP地址,将收到的用户信息进行合法性检查。如果用户输入了帐号则认为是卡号用户,使用用户输入的帐号和口令到Radius Server进行认证;如果用户未输入帐号则认为用户为固定用户,宽带接入服务器利用Vlan ID查用户表得到用户帐号和口令,将帐号送到Radius Server进行认证。
7)Radius Server返回认证结果给网络设备。
8)认证通过后修改该用户的ACL,使用户可以访问Internet或特定的外部网络服务。
9)用户离开网络前连接到Portal Server,单击断网按钮,系统停止计费删除用户的ACL和转发信息,限制用户不能访问外部网络。
一次IP地址分配的方法的关键特征在于它依赖三层网络设备的访问控制列表(ACL)来定义每个IP访问的权限。但受限三层网络设备的处理能力,访问控制列表的规则不能配置得过于复杂。包括思科、华为在内的主流厂商生产的设备的三层设备均仅支持有限规则配置,这极大地影响了该方法对于宽带接入业务的功能特性。
更为重要的是,在一次地址分配方法中,客户端程序不能识别DHCP服务器的真伪。该方法必须依赖其他网络技术,例如VLAN技术,将每个用户隔离在单独的网段中,这才能避免非法DHCP服务器的干扰。这种方法的缺点在于网络施工量较大,而且对于网络设备的负载有很高要求。
第二种方法是二次IP地址分配,具体步骤如图2所示:
1)客户端程序向DHCP服务器发出地址分配请求;
2)DHCP服务器收到请求后为该客户端程序分配私网IP地址,并且给这个私网IP地址设定了一个较短的有效使用时间。
3)客户端程序根据得到的私网IP地址访问认证服务器,进行合法性认证。
4)认证通过后,当私网IP地址过期,客户端利用DHCP协议发起地址续租时从DHCP服务器获得公网IP地址。
5)客户端程序利用公网IP访问互联网资源。
二次IP地址分配的方法虽然解决了一次地址分配方法中对访问控制列表(ACL)的依赖,但仍然没有解决防伪DHCP服务器的问题。因此,此方法还必须依赖其他网络技术,例如VLAN技术,将每个用户隔离在单独的网段中,这才能避免非法DHCP服务器的干扰。这种方法的缺点在于网络施工量较大,而且对于网络设备的负载有很高要求。
发明内容
本发明的目的是在DHCP+客户端方式的基础上,克服现有技术的缺陷,提供一套完整、低成本、高稳定性的宽带用户接入管理方法。该方法利用DHCP协议和单独的会话机制协同完成对用户的认证、授权和用户的在网状态判断。
本发明的另一价值是基本上克服传统意义上DHCP+Web的局限性,通过客户端程序自主识别DHCP服务器,可以防止非法DHCP服务器的干扰和破坏,从而大大降低了对网络环境的要求,满足电信级的应用。
为达到上述目的,本发明的技术解决方案是基于DHCP+客户端模式。该方法是利用DHCP协议为客户端分配IP地址,并且同时在服务端程序与客户端程序之间建立一个独立于DHCP协议外的会话机制来实现用户的认证和授权,以及用户的在网状态判断。
所述的宽带网用户接入管理方法,其利用DHCP协议,在用户认证通过或者下网之后,强制用户释放地址,重新获取地址,以此来改变用户地址。
所述的宽带网用户接入管理方法,还在于客户端程序可以根据DHCP服务器返回的消息中带有的网络属性来主动识别合法的和非法的DHCP服务器,并且仅响应合法DHCP服务器。
所述的宽带网用户接入管理方法,该会话机制的特征在于通过“心跳”报文机制来判定用户的在网状态.“心跳”报文的发送周期由服务端程序来确定.当在约定一个或几个周期内任何一方没有收到对方的心跳”报文,它们都会判定本次会话失效.判定会话失效的周期为由服务端程序来确定.当服务端程序判定会话失效后会主动释放已经分配给该客户端程序的IP地址;当客户端程序判定会话失效后会主动申请获得受限IP地址.
所述的宽带网用户接入管理方法,会话存活的周期是用户上网的整个周期。当客户端程序认证授权后,会话开始生效。当用户下线后,该会话失效。系统自身提供了用户管理功能,可以独立使用,同时提供了二次开发接口,可以与其他的计费平台配合使用。会话的开始时间和结束时间将作为该用户的上网记录,传递给计费系统。
本发明作为接入管理方法,在不改变现有网络拓扑、基本不影响网络性能的情况下,通过软件完成宽带用户的接入、管理;该方法提供了一种可伸缩的结构,可以满足不同级别的应用;是一个高稳定的结构,每个模块可以部署在多台服务器上,模块之间任务自动分配,实现了任务在各个模块之间的平滑转移,理论上,增加启动模块的数目,就意味着处理能力的增加,所以本方法可以作为一个电信级别的应用。
附图说明
图1DHCP+Web第一次IP地址分配方法的上下网流程;
图2DHCP+Web第二次IP地址分配方法的上下网流程;
图3用户正常上下网流程;
图4防非法DHCP服务器流程。
具体实施方式
本发明宽带网用户接入管理方法的接入系统分为服务端和客户端两部分,是一个分布式体系结构的软件系统,具有任务负载均衡功能、系统热备份功能,完全满足电信级应用。
1、服务器程序部分
服务器程序包括:DHCP服务器、会话服务器(支持ECP会话协议的服务器程序)、任务分配模块、路由器管理模块、路由器控制模块、授权(AUTHORIZATION)模块、认证(AUTHENTICATION)模块、时长采集模块和监控模块。
其中:
a)DHCP服务器
模块的功能:DHCP弱化为一个接收器,接收DHCP请求,具体的分配操作由认证和授权模块完成。
b)会话服务器
该会话服务器实现客户端程序与服务端程序之间的认证、授权信息的传递,“心跳”信息的传递,并能够通过接受客户端发送的“心跳”信息来实现对客户端程序状态的监控。该会话服务器是通过一种自定义的协议--ECP协议来通信的。
c)任务分配模块
任务分配模块完成任务的分配和分发两个功能,它即是一个分配器,也是一个适配器,任务分配模块可以重复启动多次,每个任务分配模块都可以完成相同的任务,对于调用者而言,任务分配模块是透明的.但由于各个任务分配模块之间要保证状态信息的同步,所以它们之间通过一个共享锁完成模块之间的同步,主要的功能有:
(1)接收后台模块发送的注册信息,或注销信息,及时更新后台模块信息。
(2)根据后台模块数量,划分后台模块集群,规定集群处理的任务,集群之间处理的任务没有重叠,所有集群处理的任务总和必须囊括所有任务。例如,任务的划分可以按路由器或MAC地址等方式来划分。
(3)不转发任何消息,而是提供接口,获取处理某个任务的后台模块注册名。
d)路由器管理模块
完成设备管理的功能:(1)增加边缘三层设备;(2)修改边缘三层设备;(3)移除边缘三层设备;(4)查询边缘三层设备。
其他模块需要路由器信息的时候,都是通过路由器管理模块获取,不直接从数据库中读取,由于路由器管理模块不保存任何状态信息,所以是无状态模块。
e)路由器控制模块
完成对各种类型边缘路由器的控制操作,主要完成以下两个功能,
(1)查询边缘路由器ARP表功能:
实时查询边缘路由器的ARP表,获取当前活动的IP-MAC地址对数据和端口地址数据,并将数据送入监控模块;
(2)设置边缘路由器ARP表功能:
接收监控模块送来的IP-MAC地址对数据,并设置边缘路由器的静态ARP表。路由器管理模块也是无状态模块。
f)授权(AUTHORIZATION)模块
执行具体的分配策略,MAC地址权限的认定由认证模块完成,根据认证模块返回的认证信息,完成IP地址的分配。考虑到模块的热备份,数据库中保存相对稳定的信息,由于数据的备份和时长采集入库时候记录与帐户的对应,具体分配策略如下:
(1)模块分配地址完毕,将分配的信息
(MAC/IP/ROUTERIP/ACCESSKEY/ACCOUNT)记录到数据库中。
(2)MAC地址请求分配地址,如果有缓存信息,且
MAC/ROUTERIP/ACCESSKEY/ACCOUNT都相同,则使用缓存的IP地址信息;如果没有,先试图分配一个从没有使用过的IP地址;如果有闲置的IP地址,则选择最早释放的地址分配。
(3)模块分配IP地址之后,先检测IP是否在黑名单中,如果在,则设置静态ARP,然后再返回调用者。
(4)释放IP地址的同时,要清除路由器上的ARP信息,否则,就会被MONITOR错误的认为是非法的IP地址,而将其列入黑名单。
(5)由于监控模块MONITOR的存在,为了保证不封掉正确的IP地址(IP地址已经释放,但还没有及时从路由器上清除),所以在调用FINDIPBYROUTER的时候,返回的地址包含正在使用的ARP信息和在一定释放时间之内的释放信息。
(6)模块需要获取并保存的信息如下:MAC地址(DHCP模块传递过来的参数),权限信息和帐户信息(调用AUTHENTICATION模块接口获取,和用户类型),相应的GATEWAY(根据权限信息和RELAY--HOST信息共同获取).
(7)如果是手工登陆用户,而权限不是网内地址权限的时候,需要向TC模块发送一条信息,增加一条时长采集的轮巡信息。
(8)由于多个DHCP服务器的存在,同一个MAC可能有多个DHCP的请求分配信息,只处理其中的一个,而忽略其它DHCP服务器的请求;或者DHCP在确定为MAC地址分配信息之后,再注册一下,以确定MAC-IP-DHCP的对应关系。
g)认证(AUTHENTICATION)模块
客户开机,完成MAC地址的认证,如果用户手工登录,则完成用户身份的认证。具体策略如下:
(1)完成自动登陆用户的MAC地址的认证过程。
(2)手工用户上网认证:原先是由AM和TC模块共同完成,现在将这个功能转移到认证模块中来成,认证通过之后,信息保存在模块内部,不需要将信息保存到数据库中。并将MAC地址权限信息的改变通知DHCP模块(要求DHCP模块重新请求分配IP地址)。
(3)接收TC模块,手工登录下网的信息,然后将MAC地址权限信息的改变通知DHCP模块(DHCP模块重新请求)。
h)时长采集(TC)模块
保存所有的正在上网的,并且登陆的用户信息,用于时长计费。将部分认证功能剥离到认证模块中去认证,只保留时长采集的功能。具体策略如下:
(1)提供接口,允许创建时长采集轮巡记录(由授权模块调用创建)。
(2)接收CLIENT发送的心跳信息,检测用户是有在线。
(3)用户下网之后,通知认证(AUTHENTICATION)模块,并将时长记录写入数据库。
i)监控模块(MONITOR)
检测是否有非法的上网上网用户(IP盗用),并负责将其封掉,模块可以完全监控IP地址盗用和部分MAC地址盗用。具体策略如下:
(1)通过任务分配器,获取任务分配列表,直接与授权模块打交道,获取正在使用的MAC-IP信息。
(2)通过RC模块,获取路由器上的MAC-IP信息(ARP信息)。
(3)如果发现非法的IP地址,就将其MAC地址设置成FFFF:FFFF:FFFF或其他MAC地址。
监控模块可以设计成无状态模式,也可以设计成有状态模式,变化不是很大,可以视具体情况而定。
2、客户端部分
传统意义的宽带网用户接入DHCP+web管理模式,有诸多弊端:
(1)无法限制带宽;
(2)受非法DHCP服务器影响严重;
(3)用户开机时,DHCP服务器工作不正常或者网络不正常,导致用户无法获取正确的IP地址,这种情况下,采用web将无法上网,但客户端可以很好的解决这个问题,所以尤其在网络状况不是很好的情况下,客户端的优势更明显。
根据本发明的宽带网用户接入管理方法,其主要事件流程如下:
1、用户正常上下网流程,如图3所示:
1)客户端程序一启动,就主动向DHCP+服务器发送DISCOVER请求;
2)DHCP SERVER接收到DISCOVER请求之后,向用户分配受限IP地址;
3)客户端程序通过会话消息向服务端程序发送用户名、密码、客户端MAC地址和DHCP服务器的IP地址,请求认证和授权。
4)服务端对用户名、密码、客户端MAC地址和DHCP服务器的IP地址进行认证和授权。通过后,服务端将上线事件传递给计费系统。
5)在收到认证授权通过的消息后,客户端程序主动发起第二次DHCP请求,并获得一个非受限IP地址,该非受限IP地址能访问外部网络。
6)在获得非受限IP地址后,服务端程序根据用户名、密码和MAC地址为与该客户端程序之间的会话颁发一个唯一标识,并在服务端程序与客户端程序间保持这个会话连接。
7)当客户端程序发起下线请求,并且服务端接受该请求后,这个会话被拆除。同时服务端程序将下线事件传递给计费系统。
8)客户端程序将主动发起一次DHCP请求,并获得一个受限IP地址。
2、会话异常终断后的服务端流程:
1)在客户端程序异常停止或网络异常终断的情况下,服务端程序连续3次没有收到“心跳”报文后,判定该客户端程序已经下线,然后终止会话,并释放分配给该客户端的IP地址。
3、会话异常终断后的客户端流程:
1)在服务端程序异常停止或网络异常终断的情况下,客户端程序连续3次没有收到“心跳”报文后就终止会话,并重新请求分配受限IP地址。
4、防非法DHCP服务器流程,如图4所示:
1)当客户端程序主动发起第一次或第二次DHCP请求。由于DHCP DISCOVER消息是广播报文,非法DHCP服务器和合法DHCP服务器均会收到该报文。
2)非法DHCP服务器和合法DHCP服务器都向客户端程序发送DHCP OFFER报文。
3)客户端程序根据DHCP OFFER报文中的属性来识别合法DHCP服务器,并接受它分配的IP地址,然后继续完成DHCP协议流程,获得合法的IP地址。
本发明提供了客户端接入,客户端程序安装在用户客户机上,对客户机具有良好的控制能力,能有效的避免传统web方式的弊端:
(1)客户端包含一个NDIS的驱动程序,它可以截获网络上用户接收到的所有网络数据包,判断其中是否有伪DHCP发送来得offer信息包,有则抛弃,这样,就屏蔽了伪DHCP对于用户的影响。
(2)客户端包含一个NDIS的驱动程序,它可以截获用户接收到和发送的所有网络数据包,计算流量,如果发现超过了一定的带宽,则抛弃掉一些TCP数据包,直到网络流量限定在指定带宽范围之内。
(3)客户端于服务端之间会话机制通过ECP协议进行传递,每次通信都只有几十个、甚至十几个字节,相比较http请求,无疑是大大减少了对于网络带宽的占用。
DHCP+Client与DHCP+Web方式的对比
根据上面两种认证方式的认证流程,对两种认证方式的相关属性对比如下:
| 属性 | DHCP+CLINET | DHCP+WEB |
| 组网设备 | 三层路由器+二层交换机或DSLAM | BAS设备+交换机或DSLAM设备 |
| 部署方式 | 旁路方式不影响网络拓扑 | 直路方式工作,需要在现有网络中插入新的设备,改变网络拓扑。 |
| 适用环境 | ADSL/LAN/CABLE | ADSL/LAN |
| 对于NAT网络的支持 | 支持,在NAT设备集中部署和分布部署的网络中都可以应用。 | 支持NAT设备集中部署的方式,同时可以作为NAT设备作分布 |
| 式部署。 | ||
| 系统冗余 | 可以实现设备级和模块级的冗余。 | 可实现模块级的冗余,不支持设备级的冗余 |
| 系统单点故障 | 系统自身不存在单点,三层网络设备具有设备冗余功能。 | 设备自身不支持故障切换或负载均衡的方式 |
| 认证协议 | ECP协议或RADIUS协议 | RADIUS协议 |
| 提供认证服务 | 系统本地用户资料数据库Radius认证服务器 | 设备本地用户资料数据库Radius认证服务器 |
| 协议封装开销 | 认证流与信息流分离,没有协议封装开销 | 认证流与信息流分离,没有协议封装开销 |
| 属性 | DHCP+CLINET | DHCP+WEB |
| IP地址分配 | 由DHCP服务器统一管理 | 通常采用设备上的DHCP服务器直接分配,IP地址管理分散,但设备支持由DHCP服务器统一管理的做法。 |
| 管理地址池数量 | 采用独立DHCP服务器对DHCP地址池数量没有限制 | 设备自身支持128个DHCP地址池,采用远端DHCP服务器组时管理地址池数量没有限制 |
| IP地址分配方式 | 二次分配 | 一次分配/二次地址分配 |
| IP地址盗用问题 | 采用周期性ARP表轮询机制,盗用可能性非常小。 | 必须将VLAN划分到终端用户,否则无法解决IP地址盗用问题。 |
| 防伪DHCP服务器 | 通过拨号客户端完全解决 | 必须将VLAN划分到终端用户,否则无法解决,但是由此带来的维护工作量将是巨大的 |
| 用户控制方式 | 通过控制三层设备的ARP表控制用户的上网及盗用行为。 | 通过控制BAS设备的ACL表控制用户的上网及盗用行为。但对系统的开销巨大。 |
| 登陆强制性 | 强制客户端登录方式 | 强制WEB页登录方式 |
| 是否需要客户端 | 需要专门的客户端支持 | 不需要 |
| 用户管理 | 支持用户的在线时长监测,和流量监测 | 支持用户在线时长监测,和流量监测 |
| 属性 | DHCP+CLINET | DHCP+WEB |
| 防止私接功能 | 可设置用户的最大连接数及有限度的防止用户设置代理 | 对于PROXY方式的代理私接无法防范 |
| 时长计费准确性 | ECP协议心跳线检测机制,计费准确性高。 | 需要在Bras的Web Server与客户端建立心跳线检测机制,对设备开销非常大,且计费准确性不高。 |
| 流量计费 | 需要网络设备支持流量采集 | BRAS设备采集 |
| 带宽控制 | 需要网络设备支持 | BRAS设备的支持 |
优势分析
通过上述对比分析,DHCP+CLIENT方式在以下几个方面更加具有优势。
1、旁路式架构不会带来网络单点,且不改变网络拓扑结构:综合比较两种方式,采用的接入网络基本相同,只是在DHCP+CLIENT方式下,网络中需要部署的是路由器;在DHCP+WEB方式下,网络中需要部署的是BAS设备。通常的三层路由器都可以实现双机热备的工作方式,但BAS设备虽然具有三层路由的大部分功能,但不支持这种工作方式,故而在网络中形成单点和瓶颈。另外,由于是在已经建设的城域网络上增加相应的认证功能,由于BAS设备采用直路工作方式,必须架设在用户上网的必经链路上,故而在部署时必然会改变网络的拓扑结构。
2、IP地址集中管理,统一分配,便于资源的回收利用。过长期与运营商合作的经验,我们意识到,分散IP地址管理时对于IP地址资源的管理复杂性非常高,地址资源一旦分配到某台设备上,再次回收就需要进行全网的重新规划,需要动用大量的人力进行相关的统计工作。润汇公司的DHCP+CLIENT认证方式是专门研发的基于DHCP协议的宽带网用户接入认证,采用集中管理IP地址池,并监控各个地址池资源的使用情况,大大简化了管理的复杂性。对于BAS设备工作在DHCP+WEB的方式下时,由于BAS设备自身具有DHCP服务器功能,所以通常采用的方式是分散部署方案。虽然可以采用IP地址集中管理的方式,但由于涉及到对DHCP服务器端的相关研发工作,BAS厂商通常不做大量投入,即使有,功能也会比较弱。
3、用户控制手段对网络设备性能影响小。在DHCP+CLIENT认证方式中,对于用户控制采用的是标准的ARP协议,通过对非法用户的ARP表的改写,实现对用户盗用行为的控制。这种方式下,网络设备耗费在用户控制上的资源非常的少。在DHCP+WEB认证方式中,对于用户控制采用的是ACL策略,通过增加或修改ACL策略使每个合法用户能够正常地使用互联网资源。相比ARP协议的系统资源耗费,ACL策略的方式占用网络设备的资源要大得多,且在DHCP+WEB方式下时对合法用户使用策略,而合法用户的数量要远远多于非法用户,因此导致BAS设备的性能下降将是必然。
4、防非法代理用户,有效阻止费用流失。DHCP+CLIENT方式下通过客户端软件对用户计算机网卡的监控可以有效识别到非法的PROXY代理,并能将用户代理的相关信息反馈给运营商端的服务器进行查看,运营商可以针对实际代理情况进行相关针对性策略的制定和实施,有效地组织正常接入费用的流失。对于DHCP+WEB的认证方式,由于采用通用的浏览器,缺乏对用户主机的有效控制,在用户通过Proxy方式进行盗用时,网络设备自身缺乏有效的发现手段。
5、时长计费准确率高。对于两种认证方式,都采用了相同的计费采集方案,即心跳连接。不同的是,DHCP+WEB方式的认证是通过HTTP协议实现用户的心跳的;DHCP+CLIENT方式的认证是通过私有ECP协议实现用户的心跳。理论上,如果心跳间隔设置一样的长度且足够小,则两种认证方式的计费准确性是一样的,但是由于HTTP协议在实现心跳时,限于HTTP协议处理流程的复杂性,设置过小的心跳间隔导致的是需要配置性能更高的WEB服务器。如果WEB服务器性能不够(BAS设备通常是利用设备自身的HTTP服务器功能实现心跳,对BAS设备自身性能影响非常大),则需要将HTTP心跳间隔放大以减轻对后台WEB服务器的压力。DHCP+CLIENT方式采用ECP协议进行心跳连接,每个心跳包只有30K字节(HTTP心跳包大约在上百K字节)对后台的性能要求远远小于DHCP+WEB方式,因此ECP心跳间隔实际上比HTTP心跳间隔要小的多,故而DHCP+CLIENT方式比DHCP+WEB方式的计费准确率要高的多。润汇公司最早的解决方案中也提供DHCP+WEB方式的认证方案,根据大量的工程经验,DHCP+WEB方式在对系统性能的要求上及对系统运营的维护要求上比DHCP+CLIENT方式要大的多,而计费准确性上却比DHCP+CLIENT方式差的相当大,因此润汇公司放弃了这种技术。
6、先进的防伪DHCP服务器功能保证业务的正常开展。在DHCP+WEB的认证方式中,为保证最终用户在上网时不受伪DHCP的影响需要为每个用户划分一个VLAN。根据相关的技术资料显示,BAS设备如MA5200F可支持8K端口VLAN的管理功能。暂且不论8K端口VLAN带来的设备性能问题,从工程施工的角度而言,由于现网的设备大多不是PVLAN交换机,对于每个端口一个VLAN的设置方式及支持能力需要验证,同时,接入层交换机的数量在运营商网络中的数量是非常庞大的,在工程实施时的规划及配置工作量是不可忽视的。若按照工程实施由厂商人员负责来考虑,对于运营商的维护人员今后的维护工作量及复杂度依然是非常大的,比如说做不同的QOS策略。由此可以看出,通过端口VLAN方式实现防伪DHCP是不合适的。在DHCP+CLIENT方式中,通过客户端软件对伪DHCP进行识别、屏蔽,无须对网络设备的VLAN进行复杂的设置工作就可以保证业务的正常开展。
7、增值业务的提供能力强。DHCP+CLIENT方式下,客户端系统安装在用户的电脑桌面上,单独的软件系统能够集成更多的增值业务,统一向用户提供服务,增强用户的上网感受。能够在实现增值业务收入的同时促进用户在线时间的延长,促进运营商宽带接入业务收入的增长。在DHCP+WEB方式下,BAS厂商通常的做法是将登录认证页面集成在BAS设备中,因此无法支持复杂的增值业务。虽然BAS厂商可以采用外部的WEB服务器进行认证,但相关增值业务的集成需要运营商再投入人力进行实现,而且在增值业务提供方面BAS厂商的经验需要一定时间积累才能做到。
8、充分利用设备的性能和功能,保护运营商的投资.不论是采用DHCP+CLIENT方式还是采用DHCP+WEB方式,系统的总体部署结构基本相同,需要投资建设的主要有二、三层网络设备,DHCP服务器,Radius服务器,相关计费软件系统.对于DHCP+CLIENT方式下,网络设备采用的是普通三层路由器,而DHCP+WEB方式下,网络设备采用的是BAS设备.相比之下,DHCP+CLIENT方式更能保护运营商的投资,充分发挥系统的性能和功能.
Claims (5)
1.一种基于DHCP+客户端模式的宽带网用户接入的管理方法,该方法是利用DHCP协议为客户端分配IP地址,并且同时在服务端程序与客户端程序之间建立一个独立于DHCP协议外的会话机制来实现用户的认证和授权,以及用户的在网状态判断,所述方法的特征在于客户端程序会不依赖于DHCP协议中地址续租功能的规定,主动发起DHCP请求来改变IP地址,同时,当客户端程序利用DHCP协议主动发起第一次和第二次发起地址分配请求时,它将根据服务器返回的DHCP报文消息中带有的网络属性来主动识别合法的和非法的DHCP服务器,并且仅响应合法DHCP服务器,
其中,服务端程序需要为客户端分配两次IP地址,第一次分配是在客户端程序启动时利用DHCP协议主动发起地址分配请求,第二次分配是在成功通过服务端程序合法性认证后,客户端程序主动发起地址分配请求。
2.如权利要求1所述的方法,该会话机制的特征在于通过“心跳”报文机制来判定用户的在网状态,“心跳”报文的发送周期由服务端程序来确定。
3.如权利要求2所述的方法,当在约定一个或几个周期内任何一方没有收到对方的“心跳”报文,它们都会判定本次会话失效,判定会话失效的周期为由服务端程序来确定,当服务端程序判定会话失效后会主动释放已经分配给该客户端程序的IP地址;当客户端程序判定会话失效后会主动申请获得受限IP地址。
4.如权利要求1所述的方法,会话存活的周期是用户上网的整个周期,当客户端程序认证授权后,会话开始生效,当用户下线后,该会话失效。
5.如权利要求3所述的方法,会话的开始时间和结束时间将作为该用户的上网记录,传递给计费系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610066250A CN1835514B (zh) | 2006-03-31 | 2006-03-31 | Dhcp+客户端模式的宽带接入的管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610066250A CN1835514B (zh) | 2006-03-31 | 2006-03-31 | Dhcp+客户端模式的宽带接入的管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1835514A CN1835514A (zh) | 2006-09-20 |
| CN1835514B true CN1835514B (zh) | 2010-05-12 |
Family
ID=37003113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610066250A Expired - Fee Related CN1835514B (zh) | 2006-03-31 | 2006-03-31 | Dhcp+客户端模式的宽带接入的管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1835514B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7962584B2 (en) * | 2008-02-13 | 2011-06-14 | Futurewei Technologies, Inc. | Usage of host generating interface identifiers in DHCPv6 |
| CN101287017B (zh) * | 2008-05-19 | 2013-12-25 | 郑宽永 | 主动式ip地址分配方法及系统 |
| CN102130976B (zh) * | 2010-01-12 | 2014-01-22 | 中国联合网络通信集团有限公司 | 终端接入软交换网的方法、终端及系统 |
| CN101778019B (zh) * | 2010-04-01 | 2013-10-23 | 杭州华三通信技术有限公司 | 一种心跳检测报文的发送方法和设备 |
| CN102142981B (zh) * | 2010-11-01 | 2014-01-01 | 华为技术有限公司 | 终端掉线的处理方法和系统以及宽带远程接入服务器 |
| CN102209124B (zh) * | 2011-06-08 | 2014-03-12 | 杭州华三通信技术有限公司 | 私网与公网通信的方法及网络地址转换设备 |
| CN102594808B (zh) * | 2012-02-06 | 2016-12-14 | 神州数码网络(北京)有限公司 | 一种防止DHCPv6服务器欺骗的系统及方法 |
| CN102843379B (zh) * | 2012-09-13 | 2015-10-07 | 浙江金大科技有限公司 | 一种面向多接入模式的认证网络 |
| CN111614620A (zh) * | 2020-04-17 | 2020-09-01 | 广州南翼信息科技有限公司 | 一种数据库访问控制方法、系统和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1484426A (zh) * | 2002-09-16 | 2004-03-24 | 华为技术有限公司 | 一种802.1x客户端ip地址再获取方法 |
| CN1695341A (zh) * | 2002-11-06 | 2005-11-09 | 艾利森电话股份有限公司 | 防止非法使用ip地址的方法和装置 |
-
2006
- 2006-03-31 CN CN200610066250A patent/CN1835514B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1484426A (zh) * | 2002-09-16 | 2004-03-24 | 华为技术有限公司 | 一种802.1x客户端ip地址再获取方法 |
| CN1695341A (zh) * | 2002-11-06 | 2005-11-09 | 艾利森电话股份有限公司 | 防止非法使用ip地址的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1835514A (zh) | 2006-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1835514B (zh) | Dhcp+客户端模式的宽带接入的管理方法 | |
| CN100550955C (zh) | 大容量宽带接入方法及系统 | |
| US8117639B2 (en) | System and method for providing access control | |
| CN100388739C (zh) | 实现dhcp地址安全分配的方法及系统 | |
| CN100521650C (zh) | 包转发装置以及接入网系统 | |
| CN101572719B (zh) | 策略决策功能实体、家庭网关、服务质量控制方法及系统 | |
| US20040177133A1 (en) | Intelligent configuration bridge system and method for adding supplemental capabilities to an existing high speed data infrastructure | |
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
| CN101110847B (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
| CN105119787B (zh) | 一种基于软件定义的公共互联网接入系统和方法 | |
| CN101026620A (zh) | Ppp网关装置 | |
| CN103039038A (zh) | 用于有效地使用电信网络以及该电信网络和客户驻地设备之间的连接的方法和系统 | |
| CN101895587A (zh) | 防止用户私自修改ip地址的方法、装置和系统 | |
| CN100365591C (zh) | 基于客户端的网络地址分配方法 | |
| WO2008151491A1 (fr) | Un système réseau p2p et son procédé d'application | |
| CN101087232B (zh) | 一种基于以太网上点对点协议的接入方法、系统和设备 | |
| CN1248455C (zh) | 宽带网用户接入管理系统 | |
| CN100596071C (zh) | 一种通过dhcp扩展实现会话控制和时长采集的方法 | |
| CN1223155C (zh) | 一种基于集群管理的802.1x通信实现方法 | |
| CN103001931A (zh) | 不同网络间终端互联的通信系统 | |
| CN100477609C (zh) | 实现网络专线接入的方法 | |
| CN100589389C (zh) | 一种无帐号输入实现认证的方法 | |
| CN1996887A (zh) | 一种高服务质量资源分配方法、装置及系统 | |
| WO2021068685A1 (zh) | 一种通讯电路管理方法、网络设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice |
Addressee: Beijing Runway Science and Technology Co., Ltd. Document name: Notification to Pay the Fees |
|
| DD01 | Delivery of document by public notice |
Addressee: Beijing Runway Science and Technology Co., Ltd. Document name: Notification of Termination of Patent Right |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20130331 |