一种互联网地址配置管理的方法和系统
技术领域
本发明涉及互联网通信技术领域,尤其涉及一种基于大规模接入汇聚路由器的互联网地址配置管理的方法和系统
背景技术
在互联网协议第4版(Internet Protocol Version 4,IPv4)基础上运行的现有互联网地址资源在未来几年将面临耗尽的危险,为了合理有效的利用现有地址资源,现在人们普遍对地址的分配进行限制(如:非常不鼓励使用静态IP地址、不为WAP终端用户分配合法IP地址等),已近严重限制了互联网新业务的发展以及互联网与传统电信业务、电视业务融合的步伐。
而互联网协议第6版(Internet Protocol Version 6,IPv6)由于采用了128位地址长度,几乎可以不受限制地提供地址,按保守方法估算IPv6实际可分配的地址,整个地球每平方米面积上可分配1000多个地址,一劳永逸的解决了IPv4地址资源不足的问题。而且由于IPv6大大地扩大了地址空间,恢复了原来因地址资源受限而失去的端到端连接功能,为互联网的普及与深化发展提供了基本条件。
但是由于互联网的不可预测性,在IPv6地址分配方面仍然采用了谨慎的态度。在地址配置的方式上,IPv6彻底摒弃了IPv4通过手工干预配置地址的方式,支持网络节点的地址自动配置,部分继承了IPv4的自动获得互联网协议(Internet Protocol,IP)地址的方式,提供了以下三种地址配置方式:无状态地址自动配置机制;全状态地址自动配置机制;介于前两种方式之间的半状态地址自动配置机制。
IPv6网络中,由无状态地址自动配置机制生成的IPv6地址,由路由器通告的全局路由前缀、子网标识符(Identification,ID)和网络设备自动生成的64位接口ID三部分组成,IPv6协议提供的这种地址生成方式大大的简化了地址配置过程,但是显而易见的问题是网络管理员无法掌握全局地址配置情况,无法对网络设备进行管理。
IPv6网络提供的半状态地址自动配置机制,它通过无状态方式配置主机的IP地址,然后再通过地址管理服务器配置主机的其他地址参数。这种地址配置方式可以使网络管理员在一定程度上了解网络地址配置情况,但无法做到管理控制。
IPv6网络提供的全状态地址自动配置机制,继承自IPv4的自动获得IP地址的配置方式,此配置机制通过动态主机配置协议(Dynamic HostConfiguration Protocol,DHCP)实现了主机IP地址及其相关配置的自动设置,这也是目前比较常用的一种地址配置方式。一个DHCP服务器拥有一个IP地址池,主机从DHCP服务器租借IP地址并获得有关的配置信息(如缺省网关、域名服务器等),由此达到自动设置主机IP地址的目的。相比于其他两种地址配置方式,这种地址配置方式减少了配置管理的复杂性,增加了地址资源的利用率,可以使管理员了解网络地址配置情况,也可以通过DHCP服务器对网络设备地址配置进行一定程度的管理,所以全状态地址自动配置机制是目前比较常用的一种地址配置方式。
不过就算是IPv6的全状态地址自动配置机制,也还是存在一些不足的地方。首先,由于目前网络中普遍使用的路由器接口数量非常有限,现有组网方式普遍采用的是通过核心网、接入网和用户网三级实现用户的接入,在这种接入方式下,网络管理员看不到用户接入的端口,不能对用户接口进行直接管理控制。因此在进行地址配置时,只能通过链路层地址绑定,或者是用户帐号绑定的方法实现对用户权限的保护。但是如果通过链路层地址绑定的方法,则用户只要更换网络设备就无法正常使用网络资源,不便于用户的操作;如果通过用户帐号绑定的方法,则用户的帐号一旦被盗用,用户权利就会受到损害。因此,IPv6的全状态地址自动配置机制不能兼顾用户操作方便和安全两方面的需要。
再则,现有全状态地址自动配置机制虽然能够减少地址配置的复杂性,但是对于针对地址配置的恶意攻击行为无法做出判断并采取有效遏制措施。例如,攻击方虚拟多个不同设备向地址配置服务器连续申请地址,直至DHCP服务器地址池中的地址分配完,造成其他合法用户无法申请地址。由此可见,现有配置方式无法解决针对网络资源的恶意攻击。
最后,由于网络管理员不能对用户接入的端口进行直接管理控制,因此多台设备如果通过同一接口同时申请地址并使用网络资源,只要他们都具有合法的权限,网络管理者并不能对此做出限制。由于目前通过互联网提供的网络服务通常仅限于窄带传输业务,因此,在用户数量较少的情况下,单端口同时接入多台设备对网络传输的影响不是太大。但是,随着网络业务类型的多样化,尤其是宽带流媒体业务的广泛应用,如果仍沿用目前的地址管理方式,不加限制的允许网络设备随意申请使用IP地址,势必影响网络接入端的用户媒体效果。而且,在未来数字化家庭中,每个用户同时拥有多种类型及数量的网络终端设备的情况也会越来越多,在这种情况下,现有地址配置方式不能限制同一接口接入的网络设备数量,对接入端的服务质量的影响就更大了。
由上可知,现有技术的主要缺陷有以下几点:
1、不能兼顾用户对操作方便和安全两方面的需求。
2、无法解决针对网络资源的恶意攻击。
3、不能限制同一接口接入的网络设备数量。
发明内容
为了解决现有技术在进行地址配置管理的时候,不能兼顾用户操作方便和安全两方面需要的技术问题,本发明提供了一种能兼顾用户操作方便和安全两方面需求的互联网地址配置管理的方法和系统。
本发明解决技术问题的一种技术方案是:
提供一种互联网地址配置管理的方法,本方法使用大规模接入汇聚路由器将用户设备直接接入网络,通过大规模接入汇聚路由器得到用户远端接口号,用户地址管理服务器模块根据用户远端接口号配置用户的网络使用权限。
对于上述技术方案的一种改进在于:
所述方法还包括:
在用户地址管理服务器模块建立包含用户网络设备信息的接入网拓扑图;
检测到用户网络设备启动时,用户地址管理服务器模块更新接入网拓扑图;并查找接入网拓扑图,判断是否允许分配IP地址给用户网络设备;
是则用户地址管理服务器模块分配IP地址给用户网络设备。
对于上述技术方案的一种改进在于:
所述方法包括:
在用户地址管理服务器模块建立包含用户远端接口号和设备链路层地址信息的接入网拓扑图;
检测到用户网络设备启动时,由大规模接入汇聚路由器主机模块进行主动探测,得到用户远端接口号和设备链路层地址,并通报给用户地址管理服务器模块;用户地址管理服务器模块根据大规模接入汇聚路由器主机汇报的用户远端接口号和设备链路层地址,更新接入网拓扑图;
更新结束,用户地址管理服务器模块接收用户网络设备发出的地址请求消息,根据消息中携带的用户远端接口号,查找接入网拓扑图,通过判断消息中携带的用户网络设备信息和接入网拓扑图中的用户网络设备信息是否一致,确定是否允许分配IP地址给用户网络设备;
一致则确定允许分配,用户地址管理服务器模块分配IP地址给用户网络设备。
对于上述技术方案的一种改进在于:所述判断消息中携带的用户网络设备信息和接入网拓扑图中的用户网络设备信息是否一致包括,判断消息中携带的用户远端接口号和设备链路层地址,与接入网拓扑图中更新过的用户远端接口号和设备链路层地址是否一致。
对于上述技术方案的另一种改进在于:
所述方法包括:
在用户地址管理服务器模块建立包含已接入设备数量的接入网拓扑图;
检测到用户网络设备启动时,用户地址管理服务器模块接收用户网络设备发出的地址请求消息,通过消息中携带的用户接口号查找接入网拓扑图,通过判断已接入设备数量是否小于最大允许接入设备数量,确定是否允许分配IP地址给用户网络设备;
小于则确定允许分配,用户地址管理服务器模块分配IP地址给用户网络设备。
对于上述技术方案的另一种改进在于:
所述方法包括:
在用户地址管理服务器模块建立包含设备类型、已接入同一类型设备数量的接入网拓扑图;
检测到用户网络设备启动时,用户地址管理服务器模块接收用户网络设备发出的地址请求消息,通过消息中携带的设备类型查找接入网拓扑图,通过判断已接入同一类型设备数量是否小于最大允许接入设备数量,确定是否允许分配IP地址给用户网络设备;
小于则确定允许分配,用户地址管理服务器模块分配IP地址给用户网络设备。
对于上述技术方案的一种改进在于:
所述方法还包括:
在确定允许分配后,用户地址管理服务器模块根据地址申请消息中携带的用户信息,更新接入网拓扑图的网络设备信息。
对于上述技术方案的一种改进在于:
所述更新接入网拓扑图的网络设备信息是:更新已接入设备数量、更新已接入同一类型设备数量。
对于上述技术方案的另一种改进在于:所述方法包括:
在用户地址管理服务器模块建立包含用户网络设备认证状态的接入网拓扑图;
检测到用户网络设备启动时,用户地址管理服务器模块接收用户网络设备发出的地址请求消息,通过消息中携带的设备类型查找接入网拓扑图,通过判断用户网络设备认证状态是否为通过,确定是否允许分配IP地址给用户网络设备;
通过则确定允许分配,用户地址管理服务器模块分配IP地址给用户网络设备。
对于上述技术方案的一种改进在于:所述接入网拓扑图是为以路由器交换主机为根结点、远端用户接口上所连接的用户网络设备信息表为叶结点的树形拓扑关系图。
对于上述技术方案的一种改进在于:所述查找接入网拓扑图是:将获得的用户信息分成两段,使用分段查找。
本发明解决技术问题的另一种技术方案是:
提供一种互联网地址配置管理的系统,本系统包括:大规模接入汇聚路由器、用户宽带媒体网关和用户网络终端设备;
其中大规模接入汇聚路由器包括:大规模接入汇聚路由器主机模块、用户地址管理服务器模块、远端模块;
大规模接入汇聚路由器主机模块用于获取用户远端接口号,并通报给用户地址管理服务器模块;
用户地址管理服务器模块和大规模接入汇聚路由器主机模块直接相连,用于根据用户远端接口号配置用户的网络使用权限;
远端模块位于用户端,用户宽带媒体网关直接接入远端模块,远端模块通过数据链路接入大规模接入汇聚路由器主机模块;
用户网络终端设备全部接入用户宽带媒体网关。
对于上述技术方案的一种改进在于:
所述用户地址管理服务器模块还用于建立接入网拓扑图,检测到用户网络设备启动时,更新接入网拓扑图;并查找接入网拓扑图,判断是否允许分配IP地址给用户网络设备;是则用户地址管理服务器模块分配IP地址给用户网络设备。
以上技术方案可以看出,由于上述互联网地址配置管理的方法和系统采用了大规模接入汇聚路由器的组网结构,可以通过大规模接入汇聚路由器直接得到用户远端接口号,然后作为DHCP服务器的用户地址管理服务器模块通过用户远端接口号管理用户IP地址,对用户进行安全设置,这样不论用户端设备或其它硬件发生了变化,只要通过合法的远端接口接入,就可以安全的使用网络,兼顾了用户操作方便和安全两方面的需要。
进一步的,本发明在用户地址管理服务器模块上预设了接入网拓扑图,每一次设备启动时,大规模接入汇聚路由器主机模块都将进行主动探测,获得用户远端接口号和设备链路层地址,用于之后和地址申请消息中携带的信息比对,确定用户的合法性,解决了针对网络资源的恶意攻击。另外,在建立的接入网拓扑图设置设备类型、已接入设备数量和已接入同一类型设备数量,控制同一接口接入网络设备的数量和同一接口接入的同一类型设备数量,满足对接入端的网络服务质量的需求。
附图说明
图1为本发明系统结构图;
图2为本发明接入网拓扑图;
图3为本发明所提供的方法流程图
图4为本发明所述网络设备地址配置决策过程流程图。
具体实施方式
由于现有地址配置机制有不能兼顾用户操作方便和安全两方面的需要的问题,本发明提供了一种基于大规模接入汇聚路由器的互联网地址配置管理的方法和系统。
本发明所提供的互联网地址配置管理的系统是一种基于大规模接入汇聚路由器的系统,其具体结构参见图1(图中n指接入用户数量,本系统最大接入可到六万),此系统基本组成部分包括:大规模接入汇聚路由器;用户宽带媒体网关105;用户网络终端设备,如网络电话(Voice Over IP,VOIP)106、宽带视频终端107,或者个人计算机(Personal Computer,PC)108。所述大规模接入汇聚路由器包括:大规模接入汇聚路由器主机模块101,用户地址管理服务器模块102和远端模块104;大规模接入汇聚路由器远端模块直接面向用户端。而用户宽带媒体网关和用户网络终端设备则位于用户端103,用户地址管理服务器模块102则位于大规模接入汇聚路由器端,直接与大规模接入汇聚路由器主机模块101相连。
大规模接入汇聚路由器主机模块101:此网络终端用户直接通过大规模接入汇聚路由器远端模块104接口接入核心网路由器,大规模接入汇聚路由器直接向作为DHCP服务器的用户地址管理服务器模块102通报用户的远端接口号;
在用户端网络设备启动时,大规模接入汇聚路由器通过主动探测,得到网络设备的链路层地址和远端接口号匹配关系,并将得到的信息向用户地址管理服务器模块102进行通报。
用户地址管理服务器模块102:作为DHCP服务器,拥有IP地址池,向接入网络的用户分配IP地址,通过由大规模接入汇聚路由器获得的用户远端接口号管理用户IP地址;
该用户地址管理服务器模块102还用于根据大规模接入汇聚路由器主机模块101主动探测的设备链路层地址和用户远端接口号,建立并更新接入网拓扑图;
收到DHCP地址请求消息时触发网络设备地址配置决策流程,查找接入设备表,判断该设备是否合法,是则继续判断已接入设备数量是否小于许可的最大数量,小于则继续查找设备信息表表头,判断设备类型是否匹配,已接入此类型设备是未否超过最大允许数,匹配且小于则继续判断认证状态是否为通过,是则分配IP地址给发出请求的设备;如以上判断任何一项为否,都不能分配地址,直接返回错误信息。
且此用户地址管理服务器模块102还可以和用于完成用户接入认证、业务参数配置、统计信息的接入控制服务器集成在一起。
大规模接入汇聚路由器远端模块104:直接面向用户,用于提供远端接口,用户通过此远端接口接入大规模接入汇聚路由器。
用户宽带媒体网关105:用于直接接入大规模接入汇聚路由器远端模块接口,同时连接用户网络终端设备;并为请求接入的网络终端设备发送的DHCP地址请求消息中添加设备类型、设备名称、链路层地址信息。
用户网络终端设备:通过用户宽带媒体网关接入网络。
不同于一般常用路由器几个到几十个的接口数量,接入大规模接入汇聚路由器的最大设计容量可以达到六万个,由于大规模接入汇聚路由器有如此大的容量,采用这种路由器代替现有的常用路由器,用户可以直接通过大规模接入汇聚路由器的远端模块接口接入核心网,就可以彻底抛弃以前的通过核心网、接入网和用户网多级用户接入方式的组网结构。在本实施方式中,互联网地址配置管理的系统采用了大规模接入汇聚路由器的组网结构,可以通过大规模接入汇聚路由器直接得到用户远端接口号,然后作为DHCP服务器的用户地址管理服务器模块通过用户远端接口号管理用户IP地址,对用户进行安全设置,这样不论用户端设备或其它硬件发生了变化,只要通过合法的远端接口接入,就可以安全的使用网络,兼顾了用户操作方便和安全两方面的需要。
本发明同时还提供了一种基于大规模接入汇聚路由器的互联网地址配置管理的方法。
此方法利用大规模接入汇聚路由器可接入设备数量非常大,用户直接通过大规模接入汇聚路由器的远端模块接口接入核心网,通过路由器可以得知用户远端接口号的特点,直接通过用户远端接口号对接入设备进行配置管理,由于此方法是通过用户远端接口号进行安全配置管理的,而作为路由器一部分的远端接口是处于固定位置的,只要用户合法拥有网络使用权,无论用户使用什么样的网络设备,使用那台设备都可实现安全的即插即用。
而且,路由器通过主动探测除了可以获知用户远端接口号,还可以获知设备链路层地址,通过确定用户网络设备和用户远端接口号的绑定关系可以验证用户的真实性和合法性。
通过在用户地址管理服务器模块上预先建立接入网拓扑图,记录用户接入设备信息,如远端接口号、接入设备链路层地址、已接入设备总数量、设备认证状态、设备类型及同类型数量、IP地址信息,做到控制同一接口接入设备数量和同一类型设备数量。
上文所述接入网拓扑图如图2所示,此接入网拓扑图是根据本发明组网特征建立的一张静态拓扑图,考虑到大规模接入汇聚路由器系统管理的用户设备多的特点,本发明采用多级汇聚的方式管理用户设备信息。是以路由系统交换主机为根节点,各远端用户接口上所连接的用户网络设备信息表为叶结点的树形拓扑关系图。
其中系统地址管理根节点(标号201)位于第一层,根节点主要管理下一级汇聚点的入口信息,由于网络规模是在组网过程中已经确定的,因此我们通过静态指针数组管理下一级汇聚点信息,其中数组大小为下一级汇聚点个数。具体指针数组如表1所示:
表1、根节点信息表
子网汇聚点(标号202)位于拓扑图的第二层,子网汇聚点主要用于记录接入设备信息表结构指针数组、接口个数和子网物理位置相关信息,便于快速查表定位。汇聚点信息表项如表2所示:
CONVERGENCE_INFOR_ENTRY:
接入设备信息表结构指针数组 |
接口个数 |
子网物理位置相关信息 |
表2、汇聚点信息表项
用户接入设备信息(标号203)位于拓扑图的第三层,该层使用接入设备信息表项记录和管理同一接口接入的各类设备信息,此接入设备信息表项如表3所示:
INTERFACE_INFOR_ENTRY:
用户设备信息表表项结构前后链表指针 |
远端接口号 |
已接入设备总数量 |
允许接入的设备最大数量 |
设备信息表表头指针数组 |
链路层地址信息缓存 |
表3、接入设备信息表项
目前,用户网络设备提供的网络业务类型主要有四类,分别为VOIP业务、视频点播(Video on Demand,VOD)业务、网络电视(IPTV)业务、PC上网业务,即使设备相同,在提供不同网络业务时分配到的IP也不相同,因此根据提供业务类型不同可以将设备分为四类,本发明目前设计的设备信息表表头指针数组大小为4,如果以后出现更多种类的网络业务,本发明可以修改数组大小为相应的数目。同时,各类设备信息分别由不同的链表结构进行分类管理。其中表头结构如表4所示:
EQUIPMENT_HEAD:
设备信息链表前后指针 |
设备类型 |
已接入设备数量 |
最大允许接入设备数量 |
表4、设备表头结构
网络管理员可以根据配置管理策略动态设置上表中的各类最大允许接入的设备数量。
具体的网络设备信息表项结构如表5所示:
EQUIPMENT_INFOR_ENTRY:
链表前后指针 |
设备类型 |
设备名 |
认证状态 |
链路层地址信息 |
IP层地址信息 |
表5网络设备信息表表项
在系统刚开始运行时,上述接入网拓扑图中,用户接入相关设备信息为空,在之后的运行过程中,通过由路由器主动探测得到的设备链路层地址,和用户请求DHCP地址请求消息中携带的设备名、设备类型,逐渐建立和更新此拓扑图。
以上所述方法具体实现流程如图3所示:
步骤301、用户网络设备启动。
步骤302、大规模接入汇聚路由器对用户网络设备进行主动探测,用户地址管理服务器模块根据大规模接入汇聚路由器主动探测的结果进行接入网拓扑图更新:
由大规模接入汇聚路由器对用户网络设备进行主动探测,得到用户远端接口号和设备链路层地址,并向用户地址管理服务器模块进行通报,用户地址管理服务器模块获得信息后,根据用户远端接口号查找上述的拓扑图。为了增加查表速度,可使用分段查找,将获得的用户远端接口号分成两段,前一段用于在表1中查找相应的子网汇聚点入口,后一段用于在表2中查找接入设备信息表项入口。查找结果为接入设备信息表项(即表3),在该结构的链路层地址信息缓存中记录主动探测到的网络设备链路层地址信息,用于后续认证处理。地址管理服务器将步骤301中链路层接入认证的认证状态记录在表5的信息表项中。以上参数都将在后续的地址申请决策过程中使用。
进行链路层接入认证,并向地址管理服务器发送DHCP地址请求消息,认证的过程可以在发出请求消息之前,也可以在发出请求消息之后。
步骤303、用户地址管理服务器模块收到DHCP地址请求消息时,根据地址请求消息中的设备信息查找接入网拓扑图,触发网络设备地址配置决策过程,通过此决策过程决定是否分配IP地址给请求地址的设备,如果分配则还要继续通过地址请求消息中携带的设备类型和设备名称更新接入网拓扑图。
上述地址请求消息中包含:用户远端接口号、申请IP地址的网络设备链路层地址信息、设备类型和设备名称。
网络设备地址配置决策过程流程参见图4,具体过程如下:
首先执行流程401、地址管理服务器根据地址请求消息中的用户远端接口号查找接入网拓扑图,找到该接口对应的接入设备信息表表项。为了增加查表速度,同样可使用分段查找,将获得的用户远端接口号分成两段,前一段用于在表1中查找相应的子网汇聚点入口,后一段用于在表2中查找接入设备信息表项入口,查找到接入设备信息表项。
找到之后,用户地址管理服务器模块根据在拓扑图中查找到的用户设备信息,判断请求地址的设备是否属于合法接口上的合法设备,此判断过程需要判断两部分内容:
流程402、地址请求消息中的用户远端接口号和接入设备信息表项中的是否匹配,匹配则继续流程403,否则执行流程409。
流程403、设备链路层地址与表项中链路层地址信息缓存中内容是否匹配,匹配则继续执行流程404,否则执行流程409。
以上2个判断都通过后可以判定此设备是属于合法接口上的合法设备,接着开始判断是否允许IP层接入:
流程404:已接入设备数量是否小于最大允许接入数量,小于则继续执行流程405,否则执行流程409。
流程405、用户地址管理服务器模块根据地址请求消息中的设备类型查找接入网拓扑图,找到设备信息表表头节点。
流程406、判断设备类型是否匹配,且已接入此类型设备数量小于最大允许接入数量,匹配且小于则继续执行步骤407,否则执行流程409。
流程407、判断认证状态是否为通过,通过则执行步骤408,否则执行流程409。
流程408、根据地址请求消息中携带的设备信息更新接入网拓扑图,如已接入设备数量,已接入此种类型设备数量,分配IP地址,并向请求地址的设备发送地址信息;更新过程可以在分配IP地址前,也可以在分配IP地址后。至此流程结束。
以上判断任何一项不能通过则执行流程409,向请求地址的网络设备发送出错信息。至此流程结束。
以上对本发明所提供的一种互联网地址配置管理的方法和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。