CN1248455C - 宽带网用户接入管理系统 - Google Patents
宽带网用户接入管理系统 Download PDFInfo
- Publication number
- CN1248455C CN1248455C CN 03105467 CN03105467A CN1248455C CN 1248455 C CN1248455 C CN 1248455C CN 03105467 CN03105467 CN 03105467 CN 03105467 A CN03105467 A CN 03105467A CN 1248455 C CN1248455 C CN 1248455C
- Authority
- CN
- China
- Prior art keywords
- address
- user
- module
- authentication
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机网络技术,特别是一种宽带网用户接入管理方法。本发明宽带网用户接入管理方法包括DHCP+客户端软件方式和DHCP+Web方式,但增加了对于路由器的管理和控制,可以在不改变运营商网络拓扑的情况下,具有防IP盗用和防伪DHCP服务器功能。采用DHCP+Client方式部署本方法具有流量控制功能。所以基本上克服了传统意义上DHCP+web的局限性,是一套完善的宽带用户接入管理方法,可以提供所有的业务模式,以满足所有宽带运营商的各种要求,亦可以满足电信级的应用。
Description
技术领域
本发明涉及计算机网络技术,特别是一种宽带网用户接入管理方法。
背景技术
目前宽带管理主要有三种方式:(1)PPPoE;(2)IEEE802.1x;(3)DHCP+Web,其中:
1、PPPoE
窄带接入方式下利用PPP技术通过拨号接入服务器实现用户的身份认证并分配IP地址,使得用户能够通过接入服务器接入网络,进行信息的交互,而宽带接入方式下,通过以太网交换机或路由器实现的网络,并不提供相应的功能对用户进行身份认证。
PPPoE技术能够提供类似于PPP的访问控制和计费功能。使用PPPoE技术,类似于使用点对点协议的拨号服务方式,每个主机使用自己的点对点协议栈,用户使用他们所熟悉的拨号网络用户接口进行拔号,通过PPPoE技术,每个用户可以有他自己的接入管理、计费和业务类型。PPPoE技术有IETF的RFC,技术与设备比较成熟,可以防止地址冲突与地址盗用,既可以按时长计费也可以按流量计费,能够对特定用户设置访问列表过滤或防火墙功能,能够对具体用户访问网络的速率进行控制,能够利用现有的用户认证、管理和计费系统实现宽窄带用户的统一管理认证和计费,能够方便地提供动态业务选择特性,PPPoE(oA)方式不要求用户有很高的操作水平,且可以保证网络应用更安全,因此,从技术上来看,PPPoE是一种非常好的宽带接入解决方案,但在现实生活中,采用pppoe方式,设备投入非常巨大,考虑到宽带接入服务器高昂的价格,势必给运营商造成巨大的成本压力,使运营商在宽带上的投资回收遥遥无期,同时降低宽带接入运营商在市场上的灵活性与竞争力,而且PPPoE设备本身的性能瓶颈成为制约网络的性能瓶颈。
2、IEEE 802.1x
IEEE 802.1x协议是目前最新出现的以太网协议,是在现有的以太网交换机上增加802.1x协议支持,提供以太网接入认证。它把以太网端口看作两个逻辑的端口:controlled port和uncontrolled pert。Controlled port在认证通过前是disables的。uncontrolled port做为authentication PAE(port access entity),与后台EAPOL(extensible authentication protocol)服务器进行EAPOL认证协议的通信。客户端需要加装软件,并且用户手机的网卡需要支持EAPOL协议。用户打开客户端软件,输入用户名口令,网卡会通过EAPOL协议与authentication PAE通信,PAE再与后台EAPOL服务器进行交互,认证通过后.controlled port成为enable,这时用户的其他信息就可以通过这个支持802.1x的端口传输了。802.1x协议可以实现认证机制,但就目前来看,也存在一些问题,一个是现在大多数交换机不支持802.1x,要想用802.1x技术把整个城域或省域的宽带用户管理起来,同样涉及到重新投资的问题。而且802.1x技术的初衷是要把每个802.1x端口对应每一个用户,这样投资同样不小。如果把802.1x端口上移,一个802.1x端口对应下面多个普通交换机,则这又涉及到一个802.1x端口下对多个用户控制的问题,因为一旦controlled port enable,则多个用户都可以不需认证就可上网,所以还需要对这些问题进行系统设计和开发。
IEEE802.1x被称为基于端口的访问控制协议,起源于无线局域网,为二层协议,无法实现用户网络参数设置的功能。802.1x在用户带宽保证、访问网站权限、费用统计等方面,各厂家的实现方式不一,总的来说,如果运营商不需要加强对个人用户的网络管理和运营,只须实现局部区域对用户的认证功能,802.1x技术还是比较合适的。
3、DHCP+Web
DHCP+Web是为了适应网络发展的需要而对传统的DHCP协议进行了改进,主要增加了认证能,即DHCP服务器在将配置参数发给用户之前必须将用户名和密码送往Radius的认证服务器进行认证,通过认证后才将配置信息发给用户。DHCP客户端与服务器可以通过在每个子网内增加中继代理而跨越三层,不一定要在同一个二层内。而且,服务器只是在获得IP配置信息阶段起作用,以后的通信完全不经过它,而PPPoE技术由于服务器与客户端之间存在PPP连接,因此服务器是所有通信的必经之路,DHCP的主要优点是使用DHCP服务器只在用户接入网络前为用户提供配置与管理信息,一般不会成为瓶颈,并能够很容易地实现组播的应用。但是,DHCP还没有正式的标准,产品和应用很少;因此,这种方式目前还需要进一步的成熟化。
而DHCP+Web方式则要求用户终端必须在“自动分配IP地址”的状态下才能控制用户网络属性,这需要用户具有一定的计算机知识和操作能力。另外,如果有些用户随意更改终端IP地址,会造成其他用户无法上网或因费用超支而引起投诉。同时,DHCP+Web方式也无法实现“认证后分配IP”的功能,那些没有上网的用户也要占用大量地址空间,失去了DHCP“动态分配IP”的作用。
利用现有技术,一个省级的宽带接入应用,通过核心会聚层路由器接入公网,以下经过两极甚至多级路由器才能接入最终用户,设备投入大,网络管理困难,如图1所示。
发明内容
本发明的目的是在不改变运营商网络拓扑的前提下,在DHCP+客户端和DHCP+Web方式的基础上,克服现有技术的缺陷,提供一套完整、低成本、高稳定性的的宽带用户接入管理方法,该方法中增加对路由器的管理和控制;计费平台用于帐户的管理,用户身份的认证、帐务管理等,运营商可以在其上开展各种各样的业务。
本发明的另一目的是基本上克服传统意义上DHCP+Web的局限性,结合对路由器的控制和管理,可以防止IP地址的盗用;提供接入客户端,具有控制流量、防止伪DHCP的功能,满足电信级的应用。
为达到上述目的,本发明的技术解决方案是提供一种宽带网用户接入管理方法,基于DHCP+客户端模式,其各设备的典型部署方式是,以太网用户管理系统服务器连接有数据库服务器和管理员计算机,并与流量采集服务器、DHCP服务器和路由器连接;流量采集服务器和DHCP服务器分别与路由器连接;路由器上接有用户计算机;以太网用户管理系统服务器与公网连接,其在路由器上设置不同的IP地址池,各个IP地址池中的IP地址具有不同的访问权限,只有认证通过的用户才可以访问公网,非认证通过的用户只能访问内部网络,以解决大量占用IP地址的问题。
所述的宽带网用户接入管理方法,其在提供Web页面接入的同时,提供了客户端接入,客户端安装在用户客户机上。
所述的宽带网用户接入管理方法,其通过TELNET方式访问和控制路由器,定期获取路由器上的ARP信息,与系统已经分配的IP地址比较,如果发现不在系统分配列表中的地址,则认为是盗用IP,通过TELNET,将其IP地址对应的MAC设置成一个不存在的MAC地址,以此达到限制盗用IP地址的使用。
所述的宽带网用户接入管理方法,其利用DHCP协议,在用户认证通过或者下网之后,强制用户释放地址,重新获取地址,以此来改变用户地址;如果是客户端用户,客户端应用程序可以主动的释放或者获取地址,以实现认证后分配IP地址的功能。
所述的宽带网用户接入管理方法,其系统自身提供了用户管理功能,可以独立使用,同时提供了二次开发接口,可以与其他的计费平台配合使用。
所述的宽带网用户接入管理方法,其系统各设备的部署,还有一种最小方式:以太网用户管理系统服务器连接有管理员计算机和路由器,路由器上接有用户计算机;以太网用户管理系统服务器与公网连接。
所述的宽带网用户接入管理方法,其主要事件流程如下:
第一步,认证(隐式认证)上网:
a)客户开机,使用DHCP协议上网,向DHCP SERVER发送DISCOVER请求;
b)DHCP SERVER接收到DISCOVER请求之后,向授权模块请求IP地址;
c)授权模块通过认证模块认证,获取MAC地址的相应权限,分配公网IP地址,依次返回,客户获取公网IP地址,也就完成了自动登录流程;DHCP SERVER接收到租用周期延长的请求,直接使用缓存信息返回客户,不需要再次向授权模块认证请求;
第二步,分配地址之后,授权模块根据新的IP地址,通知TC模块增加一条时长记录信息;
第三步,通过TELNET方式访问和控制路由器,定期获取路由器上的ARP信息,与系统已经分配的IP地址比较;
第四步,如果发现不在系统分配列表中的地址,则认为是盗用IP,通过TELNET,将其IP地址对应的MAC设置成一个不存在的MAC地址,以此达到限制盗用IP地址的使用;
第五步,客户向TC模块发送心跳信息,以证明自己处于活跃状态;
第六步,当客户下网时,将上网时长记录写入数据库或数据文件中;
第七步,当客户下网后,利用DHCP协议,强制用户释放公网地址,重新获取私网地址,以此来改变用户地址;
第八步,结束。
所述的宽带网用户接入管理方法,其所述主要事件流程第一步还可以是显示认证(手工认证):
a)客户手工上网,通过客户端或心跳页面申请上网,向授权模块发送认证请求;
b)授权模块从数据库中读取信息来认证;
c)认证通过,认证模块通知DHCP模块,相应的MAC地址权限已经改变;
d)当客户再次向DHCP SERVER发送租期延长请求之后,DHCP SERVER发现相应的MAC地址权限信息发生改变,重新向授权模块请求分配地址;
e)DHCP SERVER接收到DISCOVER请求之后,向授权模块请求IP地址;
f)授权模块通过认证模块认证,获取MAC地址的相应权限,分配公网IP地址,依次返回,客户获取了新的公网IP地址,可以上网了;DHCPSERVER接收到租用周期延长的请求,直接使用缓存信息返回客户,不需要再次向授权模块认证请求。
本发明作为接入管理方法,在不改变现有网络拓扑、基本不影响网络性能的情况下,通过软件完成宽带用户的接入、管理;该方法提供了一种可伸缩的结构,可以满足不同级别的应用;是一个高稳定的结构,每个模块可以重复启动多次,模块之间任务自动分配,实现了任务在各个模块之间的平滑转移,理论上,增加启动模块的数目,就意味着模块处理能力的增加,所以本方法可以作为一个电信级别的应用。
附图说明
图1为现有网络拓扑示意图;
图2隐式认证(自动认证)实施例;
图3隐式认证(自动认证)实施例上网顺序图;
图4显示认证(手工认证)实施例;
图5显示认证(手工认证)实施例上网顺序图;
图6本发明系统主要模块示意图;
图7后台服务模块的示意图;
图8为本发明系统的典型部署方式示意图;
图9为本发明系统的最小部署方式示意图。
具体实施方式
本发明宽带网用户接入管理方法本质上属于DHCP+web模式,通过DHCP给用户分配地址,通过客户端(或web)进行用户身份的认证。不同于绝大多数宽带用户接入采用的应用网关控制模块,它有自己的特点:通过给用户分配不同的IP地址实现,简单的讲,用户地址分成两类,受限地址和非受限地址,没有认证通过的用户分配受限地址,认证通过的用户分配非受限地址,受限地址与非受限地址是由路由器配置控制,通过路由器或者其他的设置决定IP地址的属性。
本发明宽带网用户接入管理方法提供了两种认证模式:隐式认证(自动认证)和显示认证(手工认证)。
一、隐式认证
隐式认证(自动认证)实施例,如图2所示,隐式认证用户在开户之后,访问系统的注册页面,登记自己的MAC地址。系统自动就会将帐户与MAC、边缘三层路由器的IP地址绑定在一起。
用户开机,客户机发送discover消息,ENUS server接收到的discover消息包涵客户机的MAC地址和三层边缘设备的IP地址。如果MAC与边缘三层路由器IP已经有帐户与其绑定,系统自动分配一个非受限IP给客户机,否则分配一个受限IP给用户机,完成隐式认证。
隐式认证只适用于按流量计费或者是包月用户,隐身认证上网顺序如图3所示。
二、显示认证
显示认证(手工认证)实施例,如图4所示,用户开机,获取受限IP,用户运行客户端软件或登陆认证网页,输入用户名和口令,认证通过之后,ENUS系统自动强制用户更改IP地址,重新获取一个非受限IP,用户下网之后,系统则自动强制用户更改IP地址,重新变回受限IP地址。
显示认证适用与按时长计费和按流量计费,具体上网顺序如图5所示。
三、本发明宽带网用户接入管理方法中用户在线状态的监控
本发明宽带网用户接入管理方法通过客户端(或web)定时向服务端发送心跳请求,来维护与服务端的联系,保证用户得到稳定的服务,否则,服务端在一定时间之内无法接收到客户端的心跳信息,会认为客户端已经下线,中断服务,以此保证计费事件的误差在容许的范围内。
客户端与web上网模式发送心跳请求的方式略有不同,客户端通过socket发送UDP数据包的方式与服务端联系;web模式通过发送http请求与服务器联系。
本发明宽带网用户接入管理方法支持对于预付费用户的实时断线:用户认证的同时,对于预付费用户,系统反算出用户的上网时长,在用户上网过程中,实时轮巡,如果发现用户可以上网时长降为零,则强制用户更改IP地址,实时断线。
本发明宽带网用户接入管理方法,通过客户端认证上网,可以有效的避免传统DHCP+web模式的弊端:伪DHCP对系统的影响。由于网络中不可避免存在其他DHCP服务器(伪DHCP),用户采用DHCP方式分配地址,难免会被伪DHCP分配地址,这种情况下,用户显然无法正常上网。
本发明可以在用户端安装客户端,在客户端的具体实现中采用了NDIS技术,截获用户接收到的所有数据包,判断接收到的数据包是否是伪DHCP发送给用户的(判断DHCP offer数据包,如果gateway属性为空,则说明是伪DHCP发送的数据包),如果是,则抛弃,通过这种方式,防止伪DHCP对于系统的影响。
本发明宽带网用户接入管理方法对盗用IP的监控与限制:系统定时查询边缘路由器的ARP表,对比系统已经分配的IP与MAC的地址对,监控是否有盗用IP地址的现象。如果发现盗用IP地址的现象,则将此IP地址映射为非法的MAC地址,并记录到黑名单。
本发明宽带网用户接入管理方法提供两种计费方式:按流量计费和按时长计费。接入系统负责采集计费事件,它不仅可以将计费事件入自己的计费系统,也提供了二次开发接口,外接其他计费系统,按需采集计费事件所需的属性,将计费事件导入其他计费系统。
四、本发明宽带网用户接入管理方法的构建
本发明宽带网用户接入管理方法的接入系统是构建在CORBA基础上的,一个分布式体系结构,系统具有任务负载均衡功能、系统热备份功能,完全满足电信级应用。
1、接入系统模块划分
本发明宽带网用户接入管理系统的接入系统从大的方面分为服务端和客户端两部分,见图6,其中重要的模块包括(一并参见图7):DHCP模块、任务分配模块、路由器管理模块、路由器控制模块、授权(AUTHORIZATION)模块、认证(AUTHENTICATION)模块、轮巡(TC)模块、监控模块、审计管理模块和流量采集模块。
其中:
a)DHCP模块
模块的功能:
1)DHCP弱化为一个接收器,接收DHCP请求,具体的分配操作由认证和授权模块完成;
2)由于手工登录用户的存在,用户上网过程中,可能会更改权限,要求重新分配地址,所以开放一个消息接口,接收MAC地址权限更改的信息;
3)接收到REQUEST信息之后,先检查MAC权限是否改变,如果没有,直接从缓存中获取信息,返回给客户;如果MAC权限更改,先返回一个NAK,要求客户释放原先的IP地址,等待DISCOVER消息,重走IP地址分配流程。
b)任务分配模块
任务分配模块完成任务的分配和任务的分发两个功能,它即是一个分配器,也是一个适配器,任务分配模块可以重复启动多次,每个任务分配模块都可以完成相同的任务,对于调用着而言,任务分配模块是透明的。但由于各个任务分配模块之间要保证状态信息的同步,所以它们之间通过一个共享锁完成模块之间的同步,主要的功能有:
(1)接收后台模块发送的注册信息,或注销信息,及时更新后台模块信息。
(2)根据后台模块数量,划分后台模块集群,规定集群处理的任务,集群之间处理的任务没有重叠,所有集群处理的任务总和必须囊括所有任务。例如,任务的划分可以按路由器或MAC地址等方式来划分。
(3)不转发任何消息,而是提供接口,获取处理某个任务的后台模块POA NAME。
c)路由器管理模块
完成设备管理的功能:(1)增加边缘三层设备;(2)修改边缘三层设备;(3)移除边缘三层设备;(4)查询边缘三层设备。
其他模块需要路由器信息的时候,都是通过路由器管理模块获取,不直接从数据库中读,由于路由器管理模块不保存任何状态信息,所以是无状态模块。
d)路由器控制模块
完成对各种类型边缘路由器的控制操作,主要完成以下两个功能,
(1)查询边缘路由器ARP表功能:
实时查询边缘路由器的ARP表,获取当前活动的IP-MAC地址对数据和端口地址数据,并将数据送入监控模块;
(2)设置边缘路由器ARP表功能:
接收监控模块送来的IP-MAC地址对数据,并设置边缘路由器的静态ARP表。路由器管理模块也是无状态模块。
e)授权(AUTHORIZATION)模块
执行具体的分配策略,MAC地址权限的认定由认证模块完成,根据认证模块返回的认证信息,完成IP地址的分配。考虑到模块的热备份,数据库中保存相对稳定的信息,由于数据的备份和流量采集入库时候记录与帐户的对应,具体分配策略如下:
(1)模块分配地址完毕,将分配的信息(MAC/IP/ROUTERIP/ACCESSKEY/ACCOUNT)记录到数据库中。
(2)MAC地址请求分配地址,如果有缓存信息,且MAC/ROUTERIP/ACCESSKEY/ACCOUNT都相同,则使用缓存的IP地址信息;如果没有,先试图分配一个从没有使用过的IP地址;如果有闲置的IP地址,则选择最早释放的地址分配。
(3)模块分配IP地址之后,先检测IP是否在黑名单中,如果在,则设置静态ARP,然后再返回调用者。
(4)释放IP地址的同时,要清除路由器上的ARP信息,否则,就会被MONITOR错误的认为是非法的IP地址,而将其列入黑名单。
(5)由于MONITOR的存在,为了保证不封掉正确的IP地址(IP地址已经释放,但还没有及时从路由器上清除),所以在调用FINDIPBYROUTER的时候,返回的地址包含正在使用的ARP信息和在一定释放时间之内的释放信息。
(6)模块需要获取并保存的信息如下:MAC地址(DHCP模块传递过来的参数),权限信息和帐户信息(调用AUTHENTICATION模块接口获取,和用户类型),相应的GATEWAY(根据权限信息和RELAY--HOST信息共同获取)。
(7)如果是手工登陆用户,而权限不是网内地址权限的时候,需要向TC模块发送一条信息,增加一条时长采集的轮巡信息。
(8)由于多个DHCP服务器的存在,同一个MAC可能有多个DHCP的请求分配信息,只处理其中的一个,而忽略其它DHCP服务器的请求;或者DHCP在确定为MAC地址分配信息之后,再注册一下,以确定MAC-IP--DHCP的对应关系。
f)认证(AUTHENTICATION)模块
客户开机,完成MAC地址的认证,如果用户手工登录,则完成用户身份的认证。具体策略如下:
(1)完成自动登陆用户的MAC地址的认证过程。
(2)手工用户上网认证:原先是由AM和TC模块共同完成,现在将这个功能转移到认证模块中来成,认证通过之后,信息保存在模块内部,不需要将信息保存到数据库中。并将MAC地址权限信息的改变通知DHCP模块(要求DHCP模块重新请求分配IP地址)。
(3)接收TC模块,手工登录下网的信息,然后将MAC地址权限信息的改变通知DHCP模块(DHCP模块重新请求)。
g)轮巡(TC)模块
保存所有的正在上网的,并且登陆的手工登陆用户信息,用于时长计费。将部分认证功能剥离到认证模块中去认证,只保留时长采集的功能。具体策略如下:
(1)提供接口,允许创建时长采集轮巡记录(由授权模块调用创建)。
(2)接收CLIENT发送的心跳信息,检测用户是有在线。
(3)用户下网之后,通知认证(AUTHENTICATION)模块,并将时长记录写入数据库。
h)监控模块
检测是否有非法的上网上网用户(IP盗用),并负责将其封掉,模块可以完全监控IP地址盗用和部分MAC地址盗用。具体策略如下:
(1)通过任务分配器,获取任务分配列表,直接与授权模块打交道,获取正在使用的MAC-IP信息。
(2)通过RC模块,获取路由器上的MAC-IP信息(ARP信息)。
(3)如果发现非法的IP地址,就将其MAC地址设置成FFFF:FFFF:FFFF或其他MAC地址。
监控模块可以设计成无状态模式,也可以设计成有状态模式,变化不是很大,可以视具体情况而定。
i)审计管理模块
完成对系统审计的功能,记录管理员和系统的日志,并提供审计的查询接口。审计记录要分级别,模块,操作者记录。
j)流量采集模块
按帐户采集流量信息,提供NETFLOW与IPACCOUNTING两种采集方式。具体策略如下:
(1)SCO路由器,建议采用NETFLOW进行流量采集(可以有详细的记录)。
(2)采集上网的流量记录,不采集网内的流量记录。
(3)现流量采集配置信息的自动化,可以根据路由器管理模块提供的路由器信息完成。
2、接入系统热备份
本发明宽带网用户接入管理系统(ENUS)作为一个电信级的应用,要求系统无任何单点故障。系统模块之间通过CORBA通讯,构建成一个分布式的体系结构,由于某些模块内部可能生成并保存一些状态信息,所以,将系统各个模块按性质分成两大类:无状态模块和有状态模块。所谓无状态模块就是不保存任何状态信息,所有信息都从数据库中获取,生成的结果也保存到数据库中;利用CORBA的自动负载均衡能力,无状态模块可以同时启动多个实体,自然也就解决了模块性能问题与热备份问题。有状态模块在程序运行过程中会生成一些状态信息,在模块以后的运行过程中也会用到这些信息,所以存在一个备份与恢复的问题;而且由于客户端可能会多次发送信息,请求后台模块(由认证模块、授权模块、监控模块、TC模块等组成,如图7所示。)处理,而且每次处理都需要后台模块保存前一次处理的结果信息,因此相同的客户端发出的请求,都必须由同一个后台模块处理,所以增加一个任务管理模块,用于任务的分发。所以根据下面的策略来完成系统的热备份:
a)系统模块分成有状态模式和无状态模式两种,有状态模块是那些可能发生性能瓶颈的模块,无状态模块包括不保存状态信息的模块和一个任务控制模块。
b)有状态模块初始化的时候只从数据库中读取模块处理部分的信息。
c)任务分配模块负责接收后台模块的注册请求,分配任务,根据不同的客户端请求,返回具体的后台处理模块信息。
d)有状态模块生成的信息尽量规范化,尽量利用以前生成的状态信息;并将变化的状态信息保存到数据库中,以减少对数据库的操作。
e)有状态模块发生故障的时候,任务分配器自动将该模块处理的任务转移到其它有状态模块处理,失效模块的状态信息从数据库中读取。
3、接入系统负载均衡
本发明宽带网用户接入管理系统增加的任务分配模块(taskassign),用来解决关键模块的性能问题,通过任务分配模块,将不同的任务分配到特定的后台模块处理,实现了后台关键模块的负载分担。前端(主要是DHCP和客户端)先通过任务管理获取相应任务的后台处理模块,然后在与具体的后台模块通讯。后台服务模块的结构图,见图8。
认证、授权、轮巡模块都是有状态的,任务分配模块负责给认证、授权、轮巡模块分组,并转发任务,以此达到任务在各个模块之间的平均分配,系统增加处理能力,只需要增加启动的模块数目即可。
4、本发明宽带网用户接入管理方法的客户端
传统意义的宽带网用户接入DHCP+web管理模式,有诸多弊端:
(1)无法限制带宽;
(2)受非法DHCP服务器影响严重;
(3)占用大量的网络带宽资源;
(4)用户开机时,DHCP服务器工作不正常或者网络不正常,导致用户无法获取正确的IP地址,这种情况下,采用web将无法上网,但客户端可以很好的解决这个问题,所以尤其在网络状况不是很好的情况下,客户端的优势更明显。
本发明宽带网用户接入管理方法在提供web接入的同时,提供了客户端接入,客户端安装在用户客户机上,对客户机具有良好的控制能力,能有效的避免传统web方式的弊端:
(1)客户端包含一个NDIS的驱动程序,它可以截获网络上用户接收到的所有网络数据包,判断其中是否有伪DHCP发送来得offer信息包,有则抛弃,这样,就屏蔽了伪DHCP对于用户的影响。
(2)客户端包含一个NDIS的驱动程序,它可以截获用户接收到和发送的所有网络数据包,计算流量,如果发现超过了一定的带宽,则抛弃掉一些TCP数据包,直到网络流量限定在指定带宽范围之内。
(3)客户端于服务端之间通过UDP通信,每次通信都只有几十个、甚至十几个字节,相比较http请求,无疑是大大减少了对于网络带宽的占用。
五、本发明宽带网用户接入管理方法的主要事件流程如下:
第一步,隐式认证(自动认证)上网:
a)客户开机,使用DHCP协议上网,向DHCP SERVER发送DISCOVERY请求;
b)DHCP SERVER接收到DISCOVERY请求之后,向授权模块请求IP地址;
c)授权模块通过认证模块认证,获取MAC地址的相应权限,分配IP地址,依次返回,客户获取IP地址,也就完成了自动登录流程;DHCP SERVER接收到租用周期延长的请求,直接使用缓存信息返回客户,不需要再次向授权模块认证请求;
第二步,分配地址之后,授权模块根据新的IP地址,通知TC模块增加一条时常记录信息;
第三步,通过TELNET方式访问和控制路由器,定期获取路由器上的ARP信息,与系统已经分配的IP地址比较;
第四步,如果发现不在系统分配列表中的地址,则认为是盗用IP,通过TELNET,将其IP地址对应的MAC设置成一个不存在的MAC地址,以此达到限制盗用IP地址的使用;
第五步,客户向TC模块发送心跳信息,以证明自己处于活跃状态;
第六步,当客户下网时,将上网时长记录写入数据库;
第七步,当客户下网后,利用DHCP协议,强制用户释放地址,重新获取地址,以此来改变用户地址;
第八步,结束。
所述主要事件流程第一步还可以是显示认证(手工认证):
a)客户手工上网,向授权模块发送认证请求;
b)授权模块从数据库中读取信息来认证;
c)认证通过,认证模块通知DHCP模块,相应的MAC地址权限已经改变;
d)当客户再次向DHCP SERVER发送租期延长请求之后,DHCP SERVER发现相应的MAC地址权限信息发生改变,重新向授权模块请求分配地址;
e)DHCP SERVER接收到DISCOVERY请求之后,向授权模块请求IP地址;
f)授权模块通过认证模块认证,获取MAC地址的相应权限,分配IP地址,依次返回,客户获取了新的IP地址,可以上网了;DHCP SERVER接收到租用周期延长的请求,直接使用缓存信息返回客户,不需要再次向授权模块认证请求。
六、本发明宽带网用户接入管理方法的各设备部署
本发明宽带网用户接入管理方法的各设备的典型部署方式,如图8所示,以太网用户管理系统服务器1连接有数据库服务器2和管理员计算机3,并与流量采集服务器4、DHCP服务器5和路由器6电连接;流量采集服务器4和DHCP服务器5分别与路由器6连接;路由器6上接有用户计算机7,以太网用户管理系统服务器1与公网连接。
本发明宽带网用户接入管理方法的各设备的部署,还有一种最小方式,如图9所示,以太网用户管理系统服务器1连接有管理员计算机3和路由器6,路由器6上接有用户计算机7,以太网用户管理系统服务器1与公网连接。
Claims (7)
1、宽带网用户接入管理方法,是基于DHCP+客户端模式,其各设备的典型部署方式是,以太网用户管理系统服务器包括数据库服务器和管理员计算机,并与可选的流量采集服务器、DHCP服务器和路由器连接;流量采集服务器和DHCP服务器通过网络与路由器连接;路由器上接有用户计算机;以太网用户管理系统服务器与公网连接,其特征在于,在路由器上设置不同的IP地址池,各个IP地址池中的IP地址具有不同的访问权限,只有认证通过的用户才可以访问公网,非认证通过的用户只能访问内部网络,以解决大量占用IP地址的问题;利用DHCP协议,在用户认证通过或者下网之后,强制用户释放地址,重新获取地址,以此来改变用户地址;如果是客户端用户,客户端应用程序可以主动的释放或者获取地址,以实现认证后分配IP地址的功能。
2、如权利要求1所述的宽带网用户接入管理方法,其特征在于,在提供DHCP+客户端接入的同时,提供了DHCP+Web页面接入。
3、如权利要求1所述的宽带网用户接入管理方法,其特征在于,通过TELNET方式访问和控制路由器,定期获取路由器上的ARP信息,与系统已经分配的IP地址比较,如果发现不在系统分配列表中的地址,则认为是盗用IP,通过TELNET,将其IP地址对应的MAC设置成一个不存在的MAC地址,以此达到限制盗用IP地址的使用。
4、如权利要求1所述的宽带网用户接入管理方法,其特征在于,系统自身提供了用户管理功能,可以独立使用,同时提供了二次开发接口,并同时支持Radius协议,可以与其他的计费平台配合使用。
5、如权利要求1所述的宽带网用户接入管理方法,其特征在于,采用该方法的系统各设备的部署,还有一种最小方式:以太网用户管理系统服务器连接有管理员计算机和路由器,路由器上接有用户计算机;以太网用户管理系统服务器与公网连接。
6、如权利要求1所述的宽带网用户接入管理方法,其特征在于,提供隐式认证自动登录上网方式,用户计算机开机后,系统根据预先登记的用户计算机MAC地址权限直接分配相应权限的IP地址。
7、如权利要求1所述的宽带网用户接入管理方法,其特征在于,提供显式认证方式,通过客户端或Web浏览器申请上网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03105467 CN1248455C (zh) | 2003-02-21 | 2003-02-21 | 宽带网用户接入管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03105467 CN1248455C (zh) | 2003-02-21 | 2003-02-21 | 宽带网用户接入管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1523815A CN1523815A (zh) | 2004-08-25 |
| CN1248455C true CN1248455C (zh) | 2006-03-29 |
Family
ID=34282664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03105467 Expired - Fee Related CN1248455C (zh) | 2003-02-21 | 2003-02-21 | 宽带网用户接入管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1248455C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355593B (zh) * | 2008-09-23 | 2012-08-08 | 中国电信股份有限公司 | 无线局域网中的ip地址分配方法和接入设备 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098305B (zh) * | 2007-03-28 | 2010-06-16 | 秦勇 | 一种宽带网络接入及流量管理调度系统 |
| CN101895526B (zh) * | 2009-05-20 | 2013-04-03 | 中国电信股份有限公司 | 拨号认证方法及系统 |
| CN101582769B (zh) * | 2009-07-03 | 2012-07-04 | 杭州华三通信技术有限公司 | 用户接入网络的权限设置方法和设备 |
| CN101729406B (zh) * | 2009-11-13 | 2012-01-11 | 南京联创科技集团股份有限公司 | 高可用和高可扩展的运营级动态主机配置的方法 |
| CN101945144A (zh) * | 2010-09-14 | 2011-01-12 | 中兴通讯股份有限公司 | 一种ip地址重分配的方法和服务节点 |
| CN102355360B (zh) * | 2011-06-29 | 2014-06-18 | 北京天地互连信息技术有限公司 | 设备对象和网关、数据库的绑定系统及绑定方法 |
| CN102843362B (zh) * | 2012-08-08 | 2016-05-04 | 唐稳杰 | 一种使用tcam进行arp防御的方法 |
| CN106161491A (zh) * | 2015-03-24 | 2016-11-23 | 上海共联通信信息发展有限公司 | 一种分布式数据库管理系统 |
| CN108156168A (zh) * | 2017-12-31 | 2018-06-12 | 深圳键桥通讯技术股份有限公司 | 宽带接入用户管理方法 |
-
2003
- 2003-02-21 CN CN 03105467 patent/CN1248455C/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355593B (zh) * | 2008-09-23 | 2012-08-08 | 中国电信股份有限公司 | 无线局域网中的ip地址分配方法和接入设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1523815A (zh) | 2004-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1876754B1 (en) | Method system and server for implementing dhcp address security allocation | |
| US8484695B2 (en) | System and method for providing access control | |
| CN1403952A (zh) | 一种以太网认证接入的方法 | |
| US8125980B2 (en) | User terminal connection control method and apparatus | |
| US7653933B2 (en) | System and method of network authentication, authorization and accounting | |
| CN1957566A (zh) | 为与客户机的连接选择路由的服务器 | |
| CN1750508A (zh) | 包转发装置以及接入网系统 | |
| CN1213567C (zh) | 一种网络设备的集群管理方法 | |
| CN101043331A (zh) | 一种为网络设备分配地址的系统和方法 | |
| CN101110847B (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
| CN1836400A (zh) | 以网络层元件控制数据链路层元件的方法及装置 | |
| CN1553691A (zh) | 大容量宽带接入方法及系统 | |
| CN1825831A (zh) | 数据包中继装置和通信频带控制方法 | |
| CN1553741A (zh) | 为用户提供网络漫游的方法和系统 | |
| CN1627707A (zh) | 网络统计信息服务系统及因特网接入服务器 | |
| CN1248455C (zh) | 宽带网用户接入管理系统 | |
| CN1835514A (zh) | Dhcp+客户端模式的宽带接入的管理方法 | |
| CN1805396A (zh) | 利用宽带路由器实现上网的方法 | |
| CN1713629A (zh) | 用户登录名和ip地址绑定的实现方法 | |
| WO2007000120A1 (fr) | Systeme, procede et serveur d'acces pour authentification | |
| CN1674579A (zh) | 在宽带接入设备上支持PPPoA的方法 | |
| US20040073674A1 (en) | Method and a server for allocating local area network resources to a terminal according to the type of terminal | |
| CN1992637A (zh) | WiMax网络控制管理系统和方法 | |
| CN1658562A (zh) | 具有通信统计信息收集功能的接入服务器 | |
| CN101212375B (zh) | 控制用户使用代理上网的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 100098 Beijing city Haidian District Dazhongsi Road 9, Beijing Science and technology building B block four layer 418 Beijing Runhui Technology Co. Ltd. Patentee after: Beijing Runway Science and Technology Co., Ltd. Address before: 100032, C, block 10, Enterprise Building, No. 35, Financial Street, Beijing, Xicheng District Patentee before: Beijing Runway Science and Technology Co., Ltd. |
|
| DD01 | Delivery of document by public notice |
Addressee: Du Aidong Document name: Notification to Pay the Fees |
|
| DD01 | Delivery of document by public notice |
Addressee: Du Aidong Document name: Notification of Termination of Patent Right |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060329 Termination date: 20130221 |