CN1129272C - 以太网接入网中的虚拟局域网接入方法 - Google Patents
以太网接入网中的虚拟局域网接入方法 Download PDFInfo
- Publication number
- CN1129272C CN1129272C CN00136354A CN00136354A CN1129272C CN 1129272 C CN1129272 C CN 1129272C CN 00136354 A CN00136354 A CN 00136354A CN 00136354 A CN00136354 A CN 00136354A CN 1129272 C CN1129272 C CN 1129272C
- Authority
- CN
- China
- Prior art keywords
- user
- binding
- address
- record
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Abstract
本发明提供一种以太网接入网中的VLAN接入方法,通过VLANID+MAC地址+IP地址绑定的方式来识别每个业务端口下的每个用户终端。实施本发明的以太网接入网中的VLAN接入方法,由于采用VLANID+MAC地址+IP地址绑定的方式来识别每个业务端口下的每个用户终端,提高了系统接入的精确性,安全性和可管理性。本发明的方法具有很强的实用性和经济效益。
Description
本发明涉及接入网领域,更具体的涉及一种采用虚拟局域网(VLAN)接入方式的以太网接入方法。
所谓接入网是业务提供点与最终用户之间的连接网络。在现有技术中,业务交换机可以通过多种介质接入数据业务,其中包括非对称数字用户线(ADSL)、电缆调制解调器和以太网。所谓以太网是采用带有冲突检测的载波侦听多路访问(CSMA/CD)介质访问控制方法的总线型局域网。以太网作为一种新兴的接入手段,以其廉价高速的特点,有着广阔的应用前景。在建立以太网接入网络时,有两种接入方式可供选择:点对点协议(PPP)方式和虚拟局域网(VLAN)方式。其中,VLAN是建立在局域网交换机硬件基础上的,通过软件可以进行配置和管理的,划分逻辑工作组的方法。VLAN的划分方式有多种,常用的有两种:按照介质访问控制(MAC)地址划分和按照局域网交换机端口划分。本发明描述的是按端口划分的VLAN。为了使网络实现可管理、可运营,无论网络服务提供商选择何种方式接入用户,业务交换机都应该提供完善的用户管理手段,如:准确的识别用户、禁止/允许特定用户的接入、防止地址仿冒、阻断恶意攻击、用户优先级保证、计费等等。其中,对用户的识别是实现其他功能的前提。本发明具体涉及的就是在以太网接入网上,采用VLAN接入方式时,业务交换机对用户的识别方法。PPP接入方式不在本发明的讨论范围内。
如图1所示,为现有技术中,以太网VLAN接入方式的组网图,包括用户终端、以太网接入网、动态主机配置协议(DHCP)服务器、域名服务器(DNS)、以及用以完成授权、验证和计费功能的AAA服务器。其中,以太网接入网一般划分为两个层次:L2接入层和L2/L3分发层。L2接入层通过5类双绞线与用户直接相连,主要完成汇聚功能。L2接入层和L2/L3分发层一般通过光纤相连,可以覆盖较大的地域范围。L2/L3分发层主要完成业务汇聚、L2/L3分发等功能。L2接入层中一般采用带光接口的局域网交换机(LAN Switch),L2/L3分发层可以采用光纤LANSwitch、L3交换机或者业务交换机。其中采用业务交换机是今后的发展方向。在分发层中采用业务交换机,可以完成多业务转发、验证/计费、虚拟专网(VPN)等多种功能,有效地提高了骨干网络的使用效率。
当采用VLAN接入方式时,通常将L2接入层的LAN Switch的每个连接用户端口都划分到不同的VLAN。利用VLAN的分隔功能,用户之间不能互相访问;而利用虚拟局域网标识(VLAN ID),业务交换机可以判定一个业务报文是从哪个LAN Switch端口发来的。用户通过LANSwitch(L2接入层)接入到业务交换机;LAN Switch与用户计算机连接的端口采用无标识(unTag)方式,数据报文经过LAN Switch时,由LANSwitch根据输入端口为报文添加VLAN ID;LAN Switch与业务交换机连接的端口采用标识(Tag)方式。这样业务交换机接收到的每个数据报文都包含VLAN ID,由于VLAN ID是按照特定的规则分配的,这样业务交换机可以根据报文中的VLAN ID判断出报文的来源,精确到特定的LANSwitch端口。
对于VLAN接入方式,用户的概念包含两个层次:第一层是LANSwitch端口;第二层是端口下接入的计算机。如果每个端口下只接入一台用户计算机,那么它们是一一对应的,使用第一层的VLAN ID就可以唯一标识第二层的计算机。在这种情况下,把VLAN ID作为运营商分配给用户的唯一标识是可行的。这也是目前大多数设备的典型做法。但是,当一个LAN Switch端口通过集线器(HUB)连接了多台用户计算机时,VLAN ID与用户计算机变成了一对多的关系。在这种情况下,如果接入设备还是简单的用VLAN ID来标识用户,由于这种方法只能精确到LANSwitch端口,要想准确判定数据报文来自同一端口下的哪台计算机就无能为力了。由于同一端口下的计算机被认为是相同的用户,可能会导致以下问题:一、互联网协议(IP)地址占用:以太网接入时,一般会采用DHCP分配IP地址来节省因特网服务提供商(ISP)的地址资源。如果不能识别用户计算机,那么同一端口下的每个用户终端都会获得一个IP地址,有可能挤占了正常用户的IP地址,导致他们不能上网。更为严重的是,如果恶意用户通过这种方式对ISP进行攻击,很快就会耗尽ISP的地址资源。二、无法控制同一端口下的并发用户数量:这个问题和上个问题是类似的。由于业务交换机不知道目前已经接入了多少并发用户,因而也无法判定是否应允许新的并发用户接入。最终造成一个结果,就是ISP无法开放多用户的服务。三、不能向用户提供更为详细的使用清单。
本发明的目的在于克服现有技术的不足之处,而提供一种在以太网接入网上,采用VLAN方式接入时,精确到每个用户终端的接入方法。
本发明方法是这样实现的:一种以太网接入网中的虚拟局域网(VLAN)接入方法,其所适用的网络组成包括用户终端、以太网接入网、域名服务器(DNS)、以及用以完成授权、验证和计费功能的AAA服务器;所述以太网接入网包括L2接入层和L2/L3分发层,所述L2接入层中采用局域网交换机(LAN Switch);L2/L3分发层采用业务交换机;其特征在于:业务交换机通过虚拟局域网标识(VLAN ID)+介质访问控制(MAC)地址+互联网协议(IP)地址绑定的方法来识别每个业务端口下的每个用户终端。
所谓VLAN ID+MAC地址+IP地址绑定的含义是,当收到一个IP报文时,其以太网封装帧头中的VLAN ID必须是绑定记录中的VLAN ID,其以太网封装帧头中的源MAC地址也必须是绑定记录中的MAC地址,同时此报文的源IP地址也必须是绑定记录中的IP地址。如果不符合这个约束,该报文被视为无效并被丢弃。
实施本发明的以太网接入网中的VLAN接入方法,由于采用了VLANID+MAC地址+IP地址绑定的方式来识别每个业务端口下的每个用户终端,用户标识的设置可以准确到LAN Switch端口下的每一计算机,提高了系统接入的精确性,安全性和可管理性。本发明的方法具有很强的实用性和经济效益。
下面结合附图对本发明作进一步的详细说明。
图1是现有技术中以太网接入网的组网示意图;
图2是本发明方法所适用的以太网接入网的组网示意图;
图3是本发明方法的用户报文标识设置处理流程图;
如图2所示,为适用本发明方法的以太网VLAN接入方式的组网图,包括用户终端、以太网接入网、动态主机配置协议(DHCP)服务器、域名服务器(DNS)、以及用以完成授权、验证和计费功能的AAA服务器。其中,以太网接入网划分为两个层次:L2接入层和L2/L3分发层。L2接入层中采用带光接口的局域网交换机(LAN Switch),且可以有多于一台的用户终端通过集线器(HUB)连接到LAN Switch端口;L2/L3分发层采用业务交换机。
为了使业务交换机可以在VLAN接入方式下实现对LAN Switch端口下每个用户计算机的管理,本发明提出了以VLAN ID+MAC地址+IP地址识别用户的方法。通过这种方法,业务交换机在以VLAN接入方式组网运行时,可以精确地辨别数据报文来源,从而实现以用户计算机为对象的用户管理。
在本发明中,用户开户时要注明其使用方式,其中很重要的一点就是是否允许多客户接入,以及一个端口下能够同时连接的设备数,也就是同时能占用的IP地址数目。如果用户申请了多客户接入,在业务交换机中,还要给每个用户(同一VLAN ID)可分配的IP地址数目设置一个大于1的阈值;如果用户未申请多客户接入,在业务交换机中,该用户可分配的IP地址数目则为1。
如图3所示,本发明的用户报文标识设置处理流程如下:
(1)提取用户DHCP请求(采用以太网帧格式)报文头中的VLAN ID和源MAC地址,分别记为vlanid和mac。
(2)判定绑定表中是否存在关于vlanid的记录,如果不存在(记录数等于0),表明该请求来自该端口下首次开机的计算机,则进入步骤(5),如果存在(记录数大于或等于1),表明该请求来自该端口下另一开机的计算机,则继续下面的步骤;
(3)在关于vlanid的绑定记录中,判定是否存在关于mac的绑定记录,如果存在,则删除关于mac的绑定记录,然后进入步骤(5)。否则继续下面的步骤;
(4)判定存在的绑定记录数是否等于阈值,如果相等,表示给用户分配的IP地址数目已达到(等于)上限,应拒绝用户接入;如果该用户可分配的IP地址数目仍小于阈值,则继续以下步骤;
(5)在绑定表中建立一条新的绑定记录,将vlanid和mac填写到记录中,此时的绑定记录称为待确认绑定记录;
(6)向服务器转发DHCP请求,并等待响应;收到响应后,从响应报文中提取分配给用户的IP地址,并将此IP地址填写到已建立的待确认绑定中,此时的绑定记录称为完全绑定记录;
(7)将新建立的完全绑定记录的状态置为可使用状态,并为记录中的IP地址设定数据报文转发表项。
这样,就可以控制并发接入用户的数量。
如表1所示为业务交换机上绑定表格式示例。
表1
| VLAN ID | MAC地址 | IP地址 | 绑定的状态 |
| 1 | ff.63.75.00.21.83 | 10.110.0.1 | 待确认 |
| 2 | 00.12.66.00.78.99 | 10.110.0.2 | 可用 |
| 2 | 33.34.67.82.11.59 | 10.110.0.3 | 可用 |
| 3 | xx.xx.xx.xx.xx.xx | xx.xx.xx.xx | 可用 |
| …… | |||
| 8 | xx.xx.xx.xx.xx.xx | xx.xx.xx.xx | 可用 |
| 9 | 21.63.75.00.21.54 | 10.110.0.111 | 待确认 |
| 9 | 70.63.75.00.21.37 | 10.110.0.112 | 可用 |
| 9 | 45.63.75.00.21.63 | 10.110.0.113 | 可用 |
如图4所示,本发明的数据报文处理流程如下:当业务交换机收到数据报文时,提取报文中的VLAN ID、源MAC地址、源IP地址,并检查是否符合该端口的任意一个绑定。如果不符合任何绑定,则丢弃该报文。
通过本发明的方法,业务交换机就能够准确地掌握当前系统已经接入的计算机,每台计算机所处的LAN Switch端口,以及它的IP地址和MAC地址。有了这些信息,业务交换机可以记录每台计算机的活动,控制IP地址的分配,限制端口下接入的用户数量,并阻断恶意用户对系统的攻击。
Claims (4)
1.一种以太网接入网中的虚拟局域网(VLAN)接入方法,其所适用的网络组成包括用户终端、以太网接入网、域名服务器(DNS)、以及用以完成授权、验证和计费功能的AAA服务器;所述以太网接入网包括接入层和分发层,所述接入层中采用局域网交换机(LAN Switch),所述分发层采用业务交换机;其特征在于:业务交换机通过虚拟局域网标识(VLANID)、介质访问控制(MAC)地址、互联网协议(IP)地址绑定的方法来识别每个业务端口下的每个用户终端。
2.根据权利要求1所述的方法,其特征在于:对于申请了多客户接入的用户,在业务交换机中,需要给每个用户可分配的IP地址数目设置一个大于1的阈值;如果用户未申请多客户接入,在业务交换机中,该用户可分配的IP地址数目则为1。
3.根据权利要求1或2所述的方法,其特征在于;对用户报文标识设置的处理流程如下:
(1)提取用户动态主机配置协议(DHCP)请求报文头中的VLAN ID和源MAC地址,分别记为vlanid和mac;
(2)判定绑定表中是否存在关于vlanid的记录,如果不存在,则进入步骤(5),如果存在,则继续下面的步骤;
(3)在关于vlanid的绑定记录中,判定是否存在关于mac的绑定记录,如果存在,则删除关于mac的绑定记录,然后进入步骤(5);否则继续下面的步骤;
(4)判定存在的绑定记录数是否等于阈值,如果相等,则拒绝用户接入;如果该用户可分配的IP地址数目仍小于阈值,则继续以下步骤;
(5)在绑定表中建立一条新的绑定记录,将vlanid和mac填写到记录中,形成待确认绑定记录;
(6)向服务器转发DHCP请求,并等待响应;收到响应后,从响应报文中提取分配给用户的IP地址,并将此IP地址填写到已建立的待确认绑定中,形成完全绑定记录;
(7)将新建立的完全绑定记录的状态置为可使用状态,并为记录中的IP地址设定数据报文转发表项。
4.根据权利要求1或2所述的方法,其特征在于,对数据报文处理流程如下:当业务交换机收到数据报文时,提取报文中的VLANID、MAC地址、IP地址,并检查是否符合该端口的任意一个绑定;如果符合,则转发该报文,如果不符合任何绑定,则丢弃该报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN00136354A CN1129272C (zh) | 2000-12-15 | 2000-12-15 | 以太网接入网中的虚拟局域网接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN00136354A CN1129272C (zh) | 2000-12-15 | 2000-12-15 | 以太网接入网中的虚拟局域网接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1357997A CN1357997A (zh) | 2002-07-10 |
| CN1129272C true CN1129272C (zh) | 2003-11-26 |
Family
ID=4597258
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN00136354A Expired - Lifetime CN1129272C (zh) | 2000-12-15 | 2000-12-15 | 以太网接入网中的虚拟局域网接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1129272C (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100396001C (zh) * | 2005-09-02 | 2008-06-18 | 华为技术有限公司 | 一种虚交换系统中的用户连接管理方法 |
| WO2008077327A1 (fr) * | 2006-12-27 | 2008-07-03 | Huawei Technologies Co., Ltd. | Procédé et dispositif de liaison d'activité |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7346057B2 (en) | 2002-07-31 | 2008-03-18 | Cisco Technology, Inc. | Method and apparatus for inter-layer binding inspection to prevent spoofing |
| CN1326347C (zh) * | 2002-12-30 | 2007-07-11 | 成都三零盛安信息系统有限公司 | 一种网络环境中实现多级安全访问控制的技术方法 |
| CN100343774C (zh) * | 2003-01-06 | 2007-10-17 | 索尼株式会社 | 验证系统、验证服务器、验证方法、终端、验证请求方法 |
| CN100407671C (zh) * | 2003-03-11 | 2008-07-30 | 华为技术有限公司 | 实现网络负载分担功能的网络通信方法 |
| JP3741312B2 (ja) * | 2003-03-28 | 2006-02-01 | ソニー株式会社 | ネットワークシステムおよび通信方法、情報処理装置および方法、並びにプログラム |
| CN1297106C (zh) * | 2003-04-15 | 2007-01-24 | 华为技术有限公司 | 对以太网交换机的用户端口之间进行隔离的方法 |
| CN100471106C (zh) * | 2003-04-29 | 2009-03-18 | 华为技术有限公司 | 根据端口集合隔离网络的方法 |
| CN100459609C (zh) * | 2003-09-25 | 2009-02-04 | 华为技术有限公司 | 数字用户线接入复用器的媒体访问控制地址学习方法 |
| US7484243B2 (en) * | 2003-09-30 | 2009-01-27 | International Business Machines Corporation | Heterogenous domain-based routing mechanism for user authentication |
| JP4053967B2 (ja) * | 2003-11-20 | 2008-02-27 | 株式会社日立コミュニケーションテクノロジー | Vlanサーバ |
| CN100394741C (zh) * | 2004-01-16 | 2008-06-11 | 日本电信电话株式会社 | 用户mac帧转送方法,边缘网桥 |
| US8843413B2 (en) * | 2004-02-13 | 2014-09-23 | Microsoft Corporation | Binding content to a domain |
| CN1662001B (zh) * | 2004-02-26 | 2011-05-18 | 神州亿品科技有限公司 | 一种无线局域网移动用户的分组实现方法 |
| CN100358322C (zh) * | 2005-04-08 | 2007-12-26 | 杭州华三通信技术有限公司 | 多层虚拟局域网交换的方法 |
| JP4932187B2 (ja) * | 2005-07-14 | 2012-05-16 | 古野電気株式会社 | ネットワークおよびその管理方法 |
| CN100401721C (zh) * | 2005-09-12 | 2008-07-09 | 中兴通讯股份有限公司 | 一种建立智能虚交换链路的方法 |
| CN100382541C (zh) * | 2005-09-13 | 2008-04-16 | 中兴通讯股份有限公司 | 一种基于mac学习的虚拟电路交换方法 |
| CN100377549C (zh) * | 2005-11-22 | 2008-03-26 | 华为技术有限公司 | 数据转发实体转发数据帧的方法 |
| US7660291B2 (en) * | 2005-12-01 | 2010-02-09 | Via Technologies Inc. | Method for processing packets of a VLAN in a network switch |
| CN100356746C (zh) * | 2005-12-02 | 2007-12-19 | 无锡永中科技有限公司 | 在局域网中进行通信连接的方法 |
| CN101072239B (zh) * | 2007-06-25 | 2010-06-02 | 中兴通讯股份有限公司 | 一种实现ip地址过滤的方法及装置 |
| CN101540982B (zh) * | 2008-03-21 | 2010-12-22 | 华为技术有限公司 | 一种Wimax网络中计费的方法、装置和系统 |
| EP3432524B1 (en) | 2009-09-24 | 2024-05-01 | Zoom Video Communications, Inc. | System and method for identifying communication between virtual servers |
| CN101800967B (zh) * | 2009-12-30 | 2012-12-12 | 华为技术有限公司 | 一种实现策略与计费控制的方法、网关和移动终端 |
| CN101945143A (zh) * | 2010-09-16 | 2011-01-12 | 中兴通讯股份有限公司 | 一种在混合组网下防止报文地址欺骗的方法及装置 |
| CN102412978B (zh) * | 2010-09-21 | 2014-04-16 | 杭州华三通信技术有限公司 | 一种针对虚拟主机进行网络配置的方法和系统 |
| CN102447571A (zh) * | 2010-10-12 | 2012-05-09 | 康佳集团股份有限公司 | 一种提高网络管理效率的装置、系统及网络管理方法 |
| CN102223279B (zh) * | 2011-06-14 | 2013-11-06 | 杭州华三通信技术有限公司 | 一种用于处理多vlan的方法和节点 |
| CN102387225B (zh) * | 2011-11-14 | 2018-01-09 | 中兴通讯股份有限公司 | 数据流发送方法及装置 |
| CN103312525B (zh) * | 2012-03-06 | 2017-02-08 | 百度在线网络技术(北京)有限公司 | 服务器业务网与管理网混合部署系统、服务器和交换机 |
| CN102694879B (zh) * | 2012-05-21 | 2016-06-08 | 中国联合网络通信集团有限公司 | 业务识别方法、设备和系统 |
| EP2852242B1 (en) | 2012-06-27 | 2019-10-30 | Huawei Technologies Co., Ltd. | Session establishment method and device |
| CN103581059A (zh) * | 2012-07-23 | 2014-02-12 | 华为技术有限公司 | 一种hfc网络中的二层接入方法、设备及系统 |
| CN103118090B (zh) * | 2013-01-18 | 2015-09-23 | 福建升腾资讯有限公司 | 基于公网的家用融合云计算机终端的实现方法 |
| CN105656914A (zh) * | 2016-01-29 | 2016-06-08 | 盛科网络(苏州)有限公司 | 一种多用户管理将交换机转发域隔离的实现方法及装置 |
-
2000
- 2000-12-15 CN CN00136354A patent/CN1129272C/zh not_active Expired - Lifetime
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100396001C (zh) * | 2005-09-02 | 2008-06-18 | 华为技术有限公司 | 一种虚交换系统中的用户连接管理方法 |
| WO2008077327A1 (fr) * | 2006-12-27 | 2008-07-03 | Huawei Technologies Co., Ltd. | Procédé et dispositif de liaison d'activité |
| US8068486B2 (en) | 2006-12-27 | 2011-11-29 | Huawei Technologies Co., Ltd. | Method and device for service binding |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1357997A (zh) | 2002-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1129272C (zh) | 以太网接入网中的虚拟局域网接入方法 | |
| CN1167227C (zh) | 光纤同轴混合接入网中的虚拟局域网接入方法 | |
| CN1248447C (zh) | 一种宽带网络接入方法 | |
| DE60109683T2 (de) | Verfahren zur Kommunikationseinschränkung auf der Basis von MAC-Adresspaaren | |
| US20030101239A1 (en) | Storage device with VLAN support | |
| CN101404650B (zh) | 一种细分网络应用服务质量的方法和系统 | |
| CN102263774B (zh) | 一种处理源角色信息的方法和装置 | |
| CN1838627B (zh) | 一种实现QinQ接入的方法 | |
| CN101188614B (zh) | 一种用户接入安全控制的方法、系统和设备 | |
| CN101141304B (zh) | Acl规则的管理方法和设备 | |
| CN100525237C (zh) | 数据转发系统、方法以及网络转发设备 | |
| CN1179516C (zh) | 大城市区通信网中访问层次控制的方法与装置 | |
| CN1411210A (zh) | 以太网接入应用中代理地址解析协议的方法 | |
| CN1252961C (zh) | 一种对组播业务进行认证的方法 | |
| CN101227404B (zh) | 一种对无网管以太网交换机进行带内管理的方法及装置 | |
| CN101252587B (zh) | 用户终端的接入鉴权方法和设备 | |
| CN1859441A (zh) | 基于终端物理位置发放业务的方法 | |
| CN1553674A (zh) | 宽带接入服务器获取宽带用户接入端口号的方法 | |
| CN1200532C (zh) | 一种宽带接入网络的用户识别方法 | |
| CN101567883A (zh) | 防止mac地址仿冒的实现方法 | |
| CN109120625B (zh) | 一种大带宽私接分析识别的方法 | |
| US8874743B1 (en) | Systems and methods for implementing dynamic subscriber interfaces | |
| US6157617A (en) | Method and system of network packet accounting | |
| CN100338909C (zh) | 一种区分业务流量的方法 | |
| JP2005505975A (ja) | サブネットのプーリング |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20031126 |
|
| DD01 | Delivery of document by public notice | ||
| DD01 | Delivery of document by public notice |
Addressee: Li Xin Document name: Notice of expiration of patent right |