CN1228943C - 一种以太网宽带接入系统的用户认证管理方法 - Google Patents
一种以太网宽带接入系统的用户认证管理方法 Download PDFInfo
- Publication number
- CN1228943C CN1228943C CN 01132301 CN01132301A CN1228943C CN 1228943 C CN1228943 C CN 1228943C CN 01132301 CN01132301 CN 01132301 CN 01132301 A CN01132301 A CN 01132301A CN 1228943 C CN1228943 C CN 1228943C
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- broadband access
- corridor
- ethernet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种以太网宽带接入系统的用户认证管理方法,通过在楼道交换机的每一个下行端口上建立一个管理通道和一个数据通道分别与最终用户相连,并在楼道交换机上进行认证代理,终端用户通过认证,则由管理通道动态地控制端口的数据通道上用户数据包的允许/拒绝传送,实现用户认证管理。采用本发明的方法由于认证管理不再需要接入服务器,并且只需要对楼道交换机和用户终端进行简单升级就可以实现用户的认证管理,能够节省系统成本,并且组网简单,易于维护。
Description
所属领域
本发明涉及一种城域网中用户接入的认证管理方法,属于宽带接入领域,特别是涉及一种以太网接入时,在以太网交换机上实现用户认证的方法。
背景技术
在目前的城域网建设中,大量采用FTTx+LAN的组网方式。其对接入用户的认证管理的实现主要采用宽带接入服务器(BAS)和PPPoE的方法。参考图1所示网络示意图:
1)宽带用户的计算机具有10/100M自适应网卡;
2)楼道交换机(BAN)为10/100M自适应的以太网交换机。
3)小区的中心交换机(ZAN)为下行100M,上行1000M的以太网交换机。
4)汇聚层网络通过宽带接入服务器连接各个小区的中心交换机,通过PPPoE的方式对用户进行认证,并对用户IP数据进行路由。
5)城域网中心有Radius服务器,完成用户实际的认证、鉴权功能。
宽带接入服务器BAS(Broadband Access Server)提供对用户计算机发来的PPPoE协议数据包的终结功能,并与Radius服务器通信,对用户进行必要的认证,最终,通过认证的用户数据包在宽带接入服务器上解开PPP封装,以纯IP包的形式路由到骨干网上;对于下行数据,由于从骨干网上下行到宽带接入服务器的数据是纯IP包,因此,宽带接入服务器需要对该IP包进行PPP和PPPoE协议封装,并发送给最终用户计算机。
但是,采用宽带接入服务器和PPPoE技术的用户管理方式也带来了一些问题:
1)由于宽带接入服务器要终结大量的PPP会话,并转发IP数据包,会造成BAS成为网络性能的巨大瓶颈;
2)宽带接入服务器通常放置在端局的位置,以下是巨大的广播域,从用户的安全性考虑,需要通过VLAN技术来实现用户的隔离,但是目前的设备标准只能支持最大4096个VLAN,无法支持端局以下巨大的用户群体(超过4096);
3)PPPoE+VLAN的方式实现用户隔离,由于PPPoE的点到点特性,使城域网主要的业务方向——组播视频业务的开展受到极大的限制;
4)由于宽带接入服务器是在通常数据网络设备之外额外增加的设备,采用宽带接入服务器和PPPoE方式无形之中增加了城域网建设的投资。
发明内容
本发明要解决的技术问题是提出一种基于以太网交换机的用户认证管理方法,具有组网结构简单,业务丰富,高性能,低成本的特点。
本发明提出的以太网宽带接入的用户管理认证方法,实现的过程如下:
在楼道交换机的每一个下行端口上建立一个管理通道和一个数据通道分别与最终用户相连;
1)数据通道:用来传送上/下行的Ethernet数据,该通道在用户未通过认证的情况下是关闭的。
2)管理通道:用来在楼道交换机和用户间传送协议信息,该通道始终是开启的。由于楼道交换机的每一个下行端口上有管理通道,因此,可以动态地控制该端口的数据通道上用户数据包的允许/拒绝传送。
楼道交换机的控制CPU通过管理通道获取用户的用户名/口令信息,并转换成标准的Radius协议发送到Radius服务器上,判断最终用户是否能够通过认证;
如果最终用户通过认证,则Radius服务器向该楼道交换机的CPU发送“分配给用户的地址信息”,该CPU转发该地址信息给用户,并开启数据通道,最终用户就能够访问宽带网络;
否则,用户的数据通道始终是关闭的,最终用户因未通过认证将无法访问宽带网络。
本方案可以解决用户认证、用户管理、地址浪费的问题,可以实现按时间或流量的计费方式。由于用户发送的数据包就是以太网包,不再需要局方购置价格昂贵的宽带接入服务器设备,也去掉了PPPoE和PPP协议的封装,加快可数据包处理的速度;同时可以更好地支持组播的业务,避免了在组播应用时,由于PPPoE的点到点特性,即使几个主机同属一个组播组,也要为每个主机复制一份数据流的问题。另外,本发明还具有以下的特点:
1.采用了路由器/L3交换机+L2交换机组网结构,网络结构简单;
2.各小区分散的路由方式,网络性能没有集中的瓶颈;
3.支持根据用户时长、用户端口流量的计费方式;
4.可以根据用户的ID在端口标识不同的优先级,实现对QoS的支持,并可对以太网端口进行访问速率的限制;
5.对组播的业务无任何影响;
6.只需对以太网交换机进行升级,成本低廉。
附图说明
图1是现有技术采用的宽带接入服务器和PPPoE方法的网络示意图;
图2是本发明以太网宽带接入用户认证管理方法的网络示意图;
图3是本发明以太网宽带接入用户认证管理方法的流程图;
图4是本发明以太网宽带接入用户认证管理方法的协议交互流程图。
具体实施方式
参考图2所示,本发明的以太网宽带接入方法在宽带接入网络的汇聚层采用通常的路由器实现各个小区流量的汇聚和路由,无需宽带接入服务器设备,所有的宽带接入功能在小区的楼道交换机(BAN)上分散实现,下面用具体实例展开介绍本发明的以太网宽带接入方法的实现过程。
假设可管理的楼道交换机(BAN)为25个端口,其中24个下行端口接用户计算机,1个上行端口接小区的中心交换机。对于所有的24个下行端口中的每一个端口,楼道交换机在逻辑上提供一个管理通道和一个数据通道与最终用户相连。
附图3所示的本发明以太网宽带接入用户认证管理方法流程在发明内容中已经做了详细的说明,这里就不再赘述。
参考附图4的协议流程图,由于楼道交换机的每一个下行端口上都有一个管理通道,可以动态地控制该端口的数据通道上用户数据包的允许/拒绝传送。用户的认证请求经过BAN中控制CPU的认证代理后成为Radius请求,经由ZAN、中心路由器到Radius服务器中进行Radius认证。控制的先决条件就是用户发送的认证包经过管理通道的代理后,发送到Radius服务器,是否被Radius服务器认证通过。经过Radius服务器认证判断后的Radius响应经由中心路由器、ZAN到BAN后,如果认证通过,开启该用户的数据通道,并通知用户认证成功,用户与BAN之间通过在线检测,即完成了该用户的认证管理过程。下面再针对认证过程中的报文设计等问题进行具体的说明。
1.BAN交换机上数据、管理通道的实现
缺省情况下,在楼道交换机(BAN)的所有24个下行端口的每一个端口上,设定MAC帧的过滤条件,如下:
| 序号 | MAC源地址 | MAC目的地址 | 动作 |
| 1 | Any | 组播MAC地址01:00:5e:00:00:01(对应组播IP地址239.0.0.1) | 到BAN的以太网交换机控制CPU,做进一步协议处理 |
| 2 | Any | Any | 阻塞 |
序号1实现的是管理通道的功能,当用户向外发出目的地址为组播IP地址239.0.0.1(组播MAC地址为01:00:5e:00:00:01)的认证请求报文时,该报文被序号1的过滤条件截获,并送到BAN的控制CPU。认证请求报文为标准UDP报文,端口号为3080,其净荷部分的协议格式如下:
4 bytes
| 协议版本号 | 协议类型标志符 | 未定义 |
| 用户名(40 bytes) |
| 口令(40 bytes) |
| 用户的附加信息(20 bytes) |
协议版本号,目前为1,协议类型标志符,对于认证请求报文,设定ID=0。
另外,以太网交换机的控制CPU还可以同时截获到该用户计算机的MAC地址,便于控制信息的回传。
2.代理认证过程
由于在BAN交换机的CPU配置了公网的IP地址,因此,BAN交换机的CPU作为Radius Client端,将用户侧发来的用户名/口令信息封装成Radius协议报文格式,通过ZAN和局方的路由器,最终发送给了Radius服务器。在Radius服务器上,如果该用户名/口令通过认证,则Radius服务器将通过Radius协议报文格式向认证代理(该楼道交换机)发送分配给用户的地址信息,该协议报文最终被该楼道交换机的控制CPU获取。
3.认证成功后的操作
楼道交换机(BAN)的控制CPU截获了Radius服务器发来的认证协议包,通过检验其内容,可以获知该用户是否通过了认证。如果:
1)认证失败:向用户发送认证失败消息,本机不做任何动作。
2)认证成功:开启该用户对应的数据通道,向用户PC发送分配给它的地址信息、DNS信息和缺省网关。
向用户发送的认证成功/失败报文同样采用UDP报文格式,端口号为3080,其净荷部分的格式如下:
a)认证失败报文
4 bytes
| 协议版本号 | 协议类型标志符 | 未定义 |
| 认证失败原因标志符 |
协议版本号,目前为1;协议类型标志符,对于认证失败报文,ID=1。
b)认证成功报文
4 bytes
| 协议版本号 | 协议类型标志符 | 未定义 |
| 分配给用户的IP地址 |
| 掩码 |
| 网关地址(路由器接口地址) |
| DNS Server的地址 |
| 附加信息 |
协议版本号,目前为1,协议类型标志符,对于认证成功报文,ID=2
如果认证成功,用户的数据通道已经被打开,同时用户得到了IP地址信息,这样用户就能够访问宽带网络了。
4.用户下线检测
当用户上线后,为了检测用户是否下线,需要提供两种机制:
a)用户正常下线
在这种情况下,用户通过客户端向楼道交换机发送disconnect消息,告之用户下线,该协议包采用UDP报文格式,端口号为3080,其净荷部分的格式如下:
4 bytes
| 协议版本号 | 协议类型标志符 | 未定义 |
协议版本号,目前为1,协议类型标志符,对于disconnect报文,ID=3
b)用户异常下线
此情况是由于用户在上线的情况下突然关机等原因而引起的。为了检测用户是否异常下线,需要提供必要的keepalive机制。
在楼道交换机上,对于该交换机上的每一个上线用户,该交换机每隔HelloInterval,向该用户发送一个keepalive报文,如果在DeadInterval的时间内未收到该用户的回应keepalive报文,则认为用户已经下线。
下面是keepalive的报文格式:
4 bytes
| 协议版本号 | 协议类型标志符 | 未定义 |
协议版本号,目前为1,协议类型标志符,对于keepalive报文,ID=4。
无论通过哪种方式检测出用户已经下线,楼道交换机都要通知RadiusServer,该用户已经下线,完成IP地址回收和上网时间的计算;同时,还必须关闭该用户的数据通道。
5.用户端操作
用户端PC为了与楼道交换机进行协议交互,要求用户端能够完成以下功能的处理:
1)发送认证请求报文
2)接收认证成功/失败报文
3)如果认证成功,安装新分配的客户端地址、掩码、缺省网关、DNS Server地址等。
4)回应楼道交换机发来的keepalive报文
5)用户下线时发送disconnect报文
需要说明的是,用户PC初始发送认证请求包时,由于该用户还没有申请到地址,因此该认证请求包的源地址设定为用户PC上固定设置的地址(地址1)。当楼道交换机经过代理认证过程,确认用户通过/未通过认证,需要向用户计算机发送认证成功/失败报文时,该报文的目的IP地址设定为上面所说的地址1,而目的MAC地址设定为该用户PC的MAC地址,这样,用户PC就可以很好地接收和解释协议包了。
一旦用户PC安装了新分配的地址(地址2),用户PC与楼道交换机之间的协议交互以新分配的地址为源地址。
Claims (5)
1.一种以太网宽带接入系统的用户认证管理方法,其特征在于,实现过程如下:
在楼道交换机的每一个下行端口上建立一个管理通道和一个数据通道分别与最终用户相连;
楼道交换机的控制CPU通过管理通道获取用户的用户名/口令信息,并转换成标准的Radius协议发送到Radius服务器上,判断最终用户是否能够通过认证;
如果最终用户通过认证,则Radius服务器向该楼道交换机的CPU发送“分配给用户的地址信息”,该CPU转发该地址信息给用户,并开启数据通道,最终用户就能够访问宽带网络;
否则,用户的数据通道始终是关闭的,最终用户因未通过认证将无法访问宽带网络。
2.根据权利要求1所述的一种以太网宽带接入系统的用户认证管理方法,其特征在于,所述的数据通道是用来传送上/下行的Ethernet数据,数据通道在用户未通过认证的情况下是关闭的。
3.根据权利要求1所述的一种以太网宽带接入系统的用户认证管理方法,其特征在于,所述的管理通道是用来在楼道交换机和用户间传送协议信息,管理通道始终是开启的,可以动态地控制该端口的数据通道上用户数据包的允许/拒绝传送。
4.根据权利要求1所述的一种以太网宽带接入系统的用户认证管理方法,其特征在于,当用户上线后,系统检测用户是否下线,
当楼道交换机接收到通过客户端发来终端用户下线消息,确定为终端用户正常下线;
当楼道交换机通过对每一个上线用户定时发送确认消息,如果在一定的时间内未收到该用户的回应消息,则确定终端用户异常下线。
5.根据权利要求4所述的一种以太网宽带接入系统的用户认证管理方法,其特征在于,当楼道交换机得知用户已经下线,通知Radius服务器该用户已经下线,并完成IP地址回收和上网时间的计算,同时关闭该用户的数据通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01132301 CN1228943C (zh) | 2001-11-22 | 2001-11-22 | 一种以太网宽带接入系统的用户认证管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01132301 CN1228943C (zh) | 2001-11-22 | 2001-11-22 | 一种以太网宽带接入系统的用户认证管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1423455A CN1423455A (zh) | 2003-06-11 |
| CN1228943C true CN1228943C (zh) | 2005-11-23 |
Family
ID=4671337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 01132301 Expired - Fee Related CN1228943C (zh) | 2001-11-22 | 2001-11-22 | 一种以太网宽带接入系统的用户认证管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1228943C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043515B (zh) * | 2006-05-27 | 2010-10-20 | 华为技术有限公司 | 一种为网络设备下发网管信息的方法和系统 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1309213C (zh) * | 2003-08-01 | 2007-04-04 | 华为技术有限公司 | 提高网络管理性能的网络接入认证方法 |
| JP4263140B2 (ja) * | 2003-08-04 | 2009-05-13 | Necエレクトロニクス株式会社 | データ記録装置、データ記録方法及び記録制御プログラム |
| CN101217359B (zh) * | 2003-09-04 | 2010-08-25 | 华为技术有限公司 | 控制宽带网络用户接入网络的方法、设备和系统 |
| CN100384144C (zh) * | 2004-08-11 | 2008-04-23 | 华为技术有限公司 | 一种组合设备及其管理维护方法 |
| CN100361443C (zh) * | 2004-08-17 | 2008-01-09 | 迈普(四川)通信技术有限公司 | 访问控制方法及安全代理服务器 |
| CN101325583B (zh) * | 2007-06-15 | 2012-08-08 | 华为技术有限公司 | 注册网关地址的方法及移动性管理实体 |
| CN101453460A (zh) * | 2007-12-07 | 2009-06-10 | 华为技术有限公司 | 一种访问控制方法及通讯系统以及相关设备 |
| CN101753370B (zh) * | 2008-12-08 | 2012-07-04 | 中兴通讯股份有限公司 | 检测宽带接入用户认证流程可用性的系统和方法 |
| CN101860551B (zh) * | 2010-06-25 | 2014-11-26 | 神州数码网络(北京)有限公司 | 一种单接入端口下多用户的认证方法与系统 |
| CN105959432B (zh) * | 2016-06-13 | 2019-05-07 | 杭州迪普科技股份有限公司 | Ip地址协商报文的处理方法及装置 |
| US11621927B2 (en) * | 2020-11-23 | 2023-04-04 | Mellanox Technologies, Ltd. | Authentication and data lane control |
-
2001
- 2001-11-22 CN CN 01132301 patent/CN1228943C/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043515B (zh) * | 2006-05-27 | 2010-10-20 | 华为技术有限公司 | 一种为网络设备下发网管信息的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1423455A (zh) | 2003-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1074157B1 (en) | Apparatus and method for efficient delivery of multicast data over a personal access communications system (pacs) | |
| EP1876754B1 (en) | Method system and server for implementing dhcp address security allocation | |
| EP1589705B1 (en) | Method and system configured for facilitating residential broadband service | |
| CN107786613B (zh) | 宽带远程接入服务器bras转发实现方法和装置 | |
| CA2329790C (en) | Internet-augmented radio port controller unit (rpcu) of a personal access communications system (pacs) | |
| CN1228943C (zh) | 一种以太网宽带接入系统的用户认证管理方法 | |
| CN1553691A (zh) | 大容量宽带接入方法及系统 | |
| CN1309233C (zh) | 在宽带接入设备上支持PPPoA的方法 | |
| CN1879379A (zh) | 提供动态服务选择和最终用户配置的以太网数字用户线接入复用器和方法 | |
| CN101043331A (zh) | 一种为网络设备分配地址的系统和方法 | |
| CN102055645A (zh) | 一种接入网络中ip业务数据流自动分类的方法及其装置 | |
| CN1889484A (zh) | 一种认证接入系统及其认证接入方法 | |
| CN1753390A (zh) | 宽带网络上的业务区分和业务服务质量控制的实现方法 | |
| CN101047695A (zh) | 一种在数字用户线中实现多服务和动态业务选择的方法 | |
| CN1812355A (zh) | 一种保证端到端业务服务质量的方法及接入网络 | |
| US8146144B2 (en) | Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium | |
| US20050083883A1 (en) | Mobile network agent | |
| CN1248455C (zh) | 宽带网用户接入管理系统 | |
| CN1852222A (zh) | 无线接入宽带用户的管理方法及其装置 | |
| EP2073432B1 (en) | Method for binding an access terminal to an operator and corresponding access terminal | |
| CN101030945A (zh) | PPPoE防止私设服务器和假冒服务器攻击的方法 | |
| CN101030877B (zh) | 一种点到点协议实现组播业务的方法 | |
| JP4776582B2 (ja) | ネットワークシステム及び集約装置 | |
| CN101039204A (zh) | 一种点到点协议实现组播业务的方法 | |
| CN1567968A (zh) | xDSL终端处理用户计算机和局端设备间业务流的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| ASS | Succession or assignment of patent right |
Owner name: SHENZHENG CITY ZTE CO., LTD. Free format text: FORMER OWNER: SHENZHENG CITY ZTE CO., LTD. SHANGHAI SECOND INSTITUTE Effective date: 20030730 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20030730 Applicant after: Zhongxing Communication Co., Ltd., Shenzhen City Applicant before: Shanghai Inst. of No.2, Zhongxing Communication Co., Ltd., Shenzhen City |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: HAIMEN TECHNOLOGY DEVELOPMENT CORP. Free format text: FORMER OWNER: ZTE CORPORATION Effective date: 20130722 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518057 SHENZHEN, GUANGDONG PROVINCE TO: 226144 NANTONG, JIANGSU PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20130722 Address after: 226144, No. 600, Beijing Road, Haimen, Jiangsu, Nantong province (room 0212 of administrative center) Patentee after: Haimen science and Technology Development General Corporation Address before: 518057 Nanshan District high tech Industrial Park, Guangdong, South Road, science and technology, ZTE building, legal department Patentee before: ZTE Corporation |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20051123 Termination date: 20161122 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |