RU2670789C2 - Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux - Google Patents
Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux Download PDFInfo
- Publication number
- RU2670789C2 RU2670789C2 RU2016146823A RU2016146823A RU2670789C2 RU 2670789 C2 RU2670789 C2 RU 2670789C2 RU 2016146823 A RU2016146823 A RU 2016146823A RU 2016146823 A RU2016146823 A RU 2016146823A RU 2670789 C2 RU2670789 C2 RU 2670789C2
- Authority
- RU
- Russia
- Prior art keywords
- equipment
- public network
- network
- limiting
- address
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 21
- 230000003213 activating effect Effects 0.000 claims abstract 2
- 238000012546 transfer Methods 0.000 claims description 39
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000001514 detection method Methods 0.000 claims description 10
- 230000007704 transition Effects 0.000 claims description 9
- 238000012856 packing Methods 0.000 claims 1
- 238000012795 verification Methods 0.000 claims 1
- 238000001914 filtration Methods 0.000 abstract description 5
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000009849 deactivation Effects 0.000 abstract 1
- 230000000694 effects Effects 0.000 abstract 1
- 239000000126 substance Substances 0.000 abstract 1
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Изобретение относится к технологиям сетевой связи. Технический результат заключается в снижении нагрузки на сеть. Система содержит: модуль протокола динамической конфигурации хост-машины DHCP и модуль ограничения количества подключенных к общественной сети пользователей, при этом: при каждой проверке модулем DHCP информации о состоянии оборудования на стороне локальной сети LAN происходит очищение правил таблиц передачи системы фильтрации пакетов информации IP iptables; модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети, происходит получение IP адреса оборудования на стороне LAN и посредством опции Option60 DHCP осуществляется распознавание терминала и различение типа оборудования. 2 н. и 7 з.п. ф-лы, 1 ил.
Description
Область техники
Настоящее изобретение относится к области устройств CPE (Customer Premise Equipment - абонентского конечного оборудования), в частности относится к определенной системе и способу ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux.
Предыдущий уровень техники
Из соображений управления безопасностью и повышения качества доступа к Интернет требуется поддержка оборудованием СРЕ возможности ограничения количества терминалов, одновременно подключенных к общественной сети, при этом осуществление подсчета количества подключенных к сети терминалов посредством адреса частной сети IPv4 (Internet Protocol Version 4 - Интернет-протокол 4 версии), глобального адреса IPv6 (Internet Protocol Version 6 - Интернет-протокол 6 версии) или MAC адреса (физического адреса) позволяет ограничивать количество подключенных к общественной сети пользователей только по-отдельности, то есть эта функция является чересчур простой.
Суть изобретения
Целью настоящего изобретения является обеспечение определенной системы и способа ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux, сочетающих два различных способа ограничения количества подключений к общественной сети, что позволяет не только ограничивать максимальное число одновременных подключений к общественной сети, но и осуществлять ограничение количества подключений к общественной сети отдельно по каждому типу оборудования, тем самым расширяя одиночную функцию ограничения количества подключений к общественной сети.
Настоящее изобретение обеспечивает определенную систему ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux, включающую модуль протокола динамической конфигурации хост-машины DHCP и модуль ограничения количества подключенных к общественной сети пользователей, при этом:
Вышеупомянутый модуль DHCP применяется для следующего: при каждой проверке информации о состоянии оборудования на стороне локальной сети LAN происходит очищение правил таблиц передачи системы фильтрации пакетов информации IP iptables, информация предыдущей проверки очищается так, чтобы при каждой проверке руководствоваться текущими результатами;
Вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети происходит получение IP адреса оборудования на стороне LAN и посредством опции Option60 DHCP осуществляется распознавание терминала и различение типа оборудования.
На основе описанного выше технического решения вышеупомянутый модуль ограничения количества подключенных к общественной сети пользователей посредством протокола разрешения адреса ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN онлайн. При этом при каждом выполнении проверяется только IP адрес одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и обновляется черный и белый список; а если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то правила ограничения адреса этого оборудования очищаются; если оборудование на стороне LAN находится оффлайн, а в таблице передачи iptables не содержатся правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, обновляется черный и белый список.
На основе описанного выше технического решения вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети после обновления белого и черного списка определяет, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования. Если ограничение является ограничением общего количества, то различения типов оборудования не происходит, и при превышении текущим количеством находящихся в сети пользователей предельного количества подключений к общественной сети добавляется правило ограничения таблиц передачи iptables и осуществляется ограничение запросов данного оборудования на подключение к общественной сети; в противном случае не происходит добавления правил ограничения таблиц передачи iptables, не происходит ограничения доступа данного оборудования к общественной сети и очищается IP адрес, ограниченный в таблице передачи iptables, но отсутствующий в кэш таблице информации об аренде leases и таблице ARP; а по прошествии временного интервала происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования. Если ограничение является ограничением по типу оборудования, то при превышении предельного количества типом оборудования добавляется правило ограничения таблиц передачи iptables; в противном случае добавления правила ограничения таблиц передачи iptables не происходит, очищаются IP, ограниченные в таблице передачи iptables, но не находящиеся в кэш таблице информации аренды leases и таблице ARP, а по прошествии временного интервала происходит получения IP адреса оборудования на стороне LAN, продолжается различение типа оборудования.
На основе описанного выше технического решения, когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
Настоящее изобретение также обеспечивает определенный способ ограничения количества подключенных к сети пользователей посредством оборудования СРЕ на основе Linux, включающий следующие этапы: этап S1: после загрузки модуля DHCP он при каждой проверке информации о состоянии оборудования на стороне LAN очищает правила таблиц передачи iptables и очищает информацию предыдущей проверки так, чтобы при каждой проверке руководствоваться текущими результатами; этап S2: после загрузки модуля ограничения количества подключений пользователей к общественной сети определяется, активирована ли функция ограничения количества подключений пользователей к общественной сети, и если она деактивирована, то происходит переход к этапу S3; а если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит переход к этапу S4; этап S3: если функция ограничения количества подключений пользователей к общественной сети деактивирована, то очищается черный и белый список с записями и не происходит ограничения количества подключений пользователей к общественной сети, затем происходит выход; этап S4: если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит получение IP адреса оборудования на стороне LAN и посредством Option60 DHCP осуществляется распознавание терминала, различается тип терминала и происходит переход к этапу S5; этап S5: модуль ограничения количества подключений пользователей к общественной сети посредством ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом во время каждого выполнения определяется IP адрес только одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то происходит переход к этапу S6; в противном случае происходит переход к этапу S7; этап S6: если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и происходит переход к этапу S8; этап S7: если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то происходит очищение правила ограничения IP адреса этого оборудования; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего происходит переход к этапу S8; этап S8: обновление черного и белого списка, переход к этапу S9; этап S9: определение, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования, если ограничение является ограничением общего количества оборудования, то происходит переход к этапу S10; а если ограничение является ограничением по типу оборудования, то происходит переход к этапу S11; этап S10: независимо от типов оборудования, если текущее количество пользователей в сети превышает предел подключений к общественной сети, то происходит добавление правила ограничения в таблицу передачи iptables и осуществляется ограничение запросов на подключение данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения в таблицу передачи iptables и не происходит ограничения запросов на подключение данного оборудования к общественной сети, происходит переход к этапу S12; этап S11: если тип подключенного к сети оборудования превышает предельное количество, то происходит добавление правила ограничения таблиц передачи iptables; в противном случае добавления правила ограничения таблиц передачи iptables не происходит и происходит переход к этапу S12; этап S12: очищение IP, ограниченных в таблице передачи iptables, но не находящихся в кэш таблице leases и таблице ARP, а по прошествии временного интервала происходит возврат к этапу S4.
На основе описанного выше технического решения, когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
На основе описанного выше технического решения вышеупомянутое СРЕ оборудование подсчитывает число текущих пользователей посредством определения, находится ли в данный момент в сети адрес оборудования на стороне LAN; динамически распределенные или статически присвоенные оборудованием СРЕ IP адреса оборудование СРЕ включает в общее число пользователей, а пользователи сверх предельного количества пользователей ограничиваются; когда оборудование СРЕ подключается к беспроводной сети и обращается к беспроводной точке доступа АР, оно предоставляет беспроводной АР динамически распределенный IP, и в случае нахождения беспроводной АР в сети она включается в число текущих пользователей.
На основе описанного выше технического решения распознаваемые вышеупомянутым СРЕ оборудованием типы оборудования включают персональные компьютеры ПК, телевизионные приставки, телефоны, фотоаппараты.
На основе описанного выше технического решения вышеупомянутое оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, и не распознаваемые типы оборудования за ПК.
На основе описанного выше технического решения вышеупомянутый временной интервал составляет 30 секунд.
По сравнению с существующим уровнем техники настоящее изобретение имеет следующие преимущества: (1) Настоящее изобретение сочетает два способа ограничения количества подключений терминалов к общественной сети: первым способом является ограничение только максимального количества одновременных подключений к общественной сети; а вторым способом является ограничение количества подключений к общественной сети одновременно по каждому типу терминалов, при этом оборудование, которое не может быть распознано, принимается за ПК. По сравнению с существующим способом одиночного ограничения только общего количества подключенных к сети пользователей, настоящее изобретение может не только ограничивать максимальное количество одновременных подключений к сети, но и осуществлять ограничение количества подключений отдельно по каждому виду терминалов, расширяя одиночную функцию ограничения количества подключений к общественной сети.
(2) Когда число подключенных терминалов не превышает максимально поддерживаемое число пользователей, оборудование СРЕ разрешает подключение терминалов к Интернету, удовлетворяя потребность одновременного подключения пользователей к сети; а когда число подключенных терминалов превышает максимально поддерживаемое число пользователей, оборудование СРЕ перестает давать новым терминалам разрешение на подключение к Интернету и динамически обновляет черный список, ограничивающий подключение пользователей к сети, и белый список, разрешающий пользователям подключение к сети, предоставляя пользователям безопасные и оптимальные услуги при условии, что ресурсы на стороне сети это позволяют.
Краткое описание изображений
Фигура 1 представляет собой схему последовательности процесса способа ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux по одному из вариантов осуществления настоящего изобретения.
Конкретные варианты осуществления
Далее следует более подробное описание настоящего изобретения, сопровождающееся изображениями и конкретными вариантами осуществления.
Настоящее изобретение обеспечивает определенную систему ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux, включающую модуль DHCP (Dynamic Host Configuration Protocol - динамическая конфигурация хост-машины) и модуль ограничения количества подключенных к общественной сети пользователей, при этом:
Модуль DHCP применяется для: очищения правил таблиц передачи iptables (системы фильтрования пакетов информации IP) и очищения информации предыдущей проверки при каждой проверке информации о состоянии оборудования на стороне локальной сети LAN (Local Area Network - локальная сеть) так, чтобы каждый раз при проверке руководствоваться текущими результатами;
Модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети происходит получение IP адреса оборудования на стороне LAN и посредством Option60 (опции 60) DHCP осуществляется распознавание терминала и различение типа оборудования, при этом оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, а также не распознаваемые типы оборудования за ПК (персональный компьютер);
Модуль ограничения количества подключенных к общественной сети пользователей посредством ARP (Address Resolusion Protocol - протокол расширения адреса) или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети. При этом при каждом выполнении проверяется только IP адрес одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и обновляется черный и белый список; а если оборудование на стороне LAN находится не в сети, а в таблице передачи iptalbes содержится правило ограничения IP адреса этого оборудования, то правило ограничения адреса этого оборудования очищается; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptalbes не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего обновляется черный и белый список.
Модуль ограничения количества доступов пользователей к общественной сети после обновления белого и черного списка определяет, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования. Если тип ограничения является ограничением общего количества, то различения типов оборудования не происходит, и при превышении текущим количеством находящихся в сети пользователей предельного количества подключений к общественной сети N (где N является натуральным числом) добавляется правило ограничения таблицы передачи iptables и осуществляется ограничение запросов на доступ данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения таблицы передачи iptables, не происходит ограничения доступа данного оборудования к общественной сети, и очищается IP адрес, ограниченный в таблице передачи iptables, но не содержащийся в кэш таблице информации об аренде leases и таблице ARP, а по прошествии временного интервала (предпочтительно 30 секунд) происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования. Если тип ограничения является ограничением по типу оборудования, то при превышении предельного количества подключений данного типа оборудования происходит добавление правила ограничения таблицы передачи iptables; в противном случае добавления правила ограничения таблицы передачи iptables не происходит, очищается IP, ограниченный в таблице передачи iptables, но не содержащийся в кэш таблице информации аренды leases (информация аренды) и таблице ARP, а по прошествии временного интервала (предпочтительно 30 секунд) происходит получения IP адреса оборудования на стороне LAN, продолжается различение типа оборудования.
Когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
Как показано на фигуре 1, настоящее изобретение также обеспечивает определенный способ ограничения количества подключенных к сети пользователей посредством оборудования СРЕ на основе Linux, включающий следующие этапы:
этап S1: после загрузки модуля DHCP он при каждой проверке информации о состоянии оборудования на стороне LAN очищает правило таблиц передачи iptables (системы фильтрации пакетов информации IP) и очищает информацию предыдущей проверки так, чтобы при каждой проверке руководствоваться текущими результатами;
этап S2: после загрузки модуля ограничения количества подключений пользователей к общественной сети определяется, активирована ли функция ограничения количества подключений пользователей к общественной сети, и если она деактивирована, то происходит переход к этапу S3; а если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит переход к этапу S4;
этап S3: если функция ограничения количества подключений пользователей к общественной сети деактивирована, то очищается черный и белый список с записями и не происходит ограничения количества подключений пользователей к общественной сети, затем происходит выход;
этап S4: если функция ограничения подключений пользователей общественной сети активирована, то происходит получение IP адреса оборудования на стороне LAN и посредством Option60 (опции 60) DHCP осуществляется распознавание терминала, различается тип терминала, при этом оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, и не распознаваемые типы оборудования за ПК (персональный компьютер), а распознаваемые оборудованием СРЕ типы оборудования включают PC (ПК), STB (Set Top Box - телевизионная приставка), Phone (телефон), Camera (фотоаппарат), что позволяет осуществлять ограничение доступов к общественной сети по типу оборудования; затем происходит переход к этапу S5;
этап S5: модуль ограничения количества подключений пользователей к общественной сети посредством ARP (Address Resolusion Protocol - протокол разрешения адресов) или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом во время каждого выполнения определяется IP адрес только одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то происходит переход к этапу S6; в противном случае происходит переход к этапу S7;
этап S6: если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и происходит переход к этапу S8;
этап S7: если оборудование на стороне LAN находится не в сети, а в таблице передачи iptalbes содержится правило ограничения IP адреса этого оборудования, то происходит очищение правила ограничения IP адреса этого оборудования; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего происходит переход к этапу S8;
этап S8: обновление черного и белого списка, переход к этапу S9;
этап S9: определение, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования; если тип ограничения является ограничением общего количества оборудования, то происходит переход к этапу S10, а если тип ограничения является ограничением по типу оборудования, то происходит переход к этапу S11;
этап S10: не происходит разграничения типов оборудования, и если текущее количество пользователей в сети превышает предел подключений к общественной сети N, где N является натуральным числом, то происходит добавление правила ограничения в таблицу передачи iptables и осуществляется ограничение запросов на подключение данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения в таблицу передачи iptables и не происходит ограничения запросов на подключение данного оборудования к общественной сети, происходит переход к этапу S12;
этап S11: если тип подключенного к сети оборудования превышает предельное количество, то происходит добавление правила ограничения таблицы передачи iptables, в противном случае добавления правила ограничения таблицы передачи iptables не происходит и происходит переход к этапу S12;
этап S12: очищение IP, ограниченных в таблице передачи iptables, но не содержащихся в кэш таблице leases (информация аренды) и таблице ARP, а по прошествии временного интервала (предпочтительно 30 секунд) происходит возврат к этапу S4.
Ниже следует подробное разъяснение принципа работы настоящего изобретения:
Осуществление настоящего изобретения обеспечивает способ, реализованный на базе Linux, где распознавание терминалов происходит посредством Option60 DHCP, оффлайн-детекция происходит посредством ARP или протокола обнаружения соседей, функция ограничения сетевых подключений осуществляется посредством установленных в ядро Linux правил iptables.
Для удовлетворения требования оперативности и управляемости оборудование СРЕ осуществляет различение типов оборудования посредством Option60 DHCP. Существует два способа конфигурации: (1) ограничение максимального количества одновременных подключений к общественной сети; (2) ограничение количества одновременных подключений к общественной сети отдельно по каждому типу терминалов, при этом оборудование, которое не может быть распознано, принимается за ПК. При осуществлении настоящего изобретения интегрируется два способа конфигурации, тем самым расширяя одиночную функцию ограничения количества подключений к общественной сети.
СРЕ оборудование подсчитывает число текущих пользователей посредством определения, находится ли в данный момент в сети адрес оборудования на стороне LAN, динамически распределенные или статически присвоенные оборудованием СРЕ IP адреса оборудование СРЕ включает в общее количество пользователей и пользователи сверх предельного количества пользователей ограничиваются; когда оборудование СРЕ подключается к беспроводной сети и обращается к беспроводной АР (Access Point - точка доступа), оно предоставляет беспроводной АР динамически распределенный IP, и в случае нахождения беспроводной АР в сети она включается в число текущих пользователей.
В соответствии с различными способами ограничения существуют следующие способы обработки:
Если определяется, что текущие установки являются ограничением по общему количеству, то не различается тип пользовательского оборудования на стороне LAN, и все пользовательское оборудование, независимо от того, является ли оно ПК, телевизионной приставкой или фотоаппаратом, учитывается в общем количестве текущих пользователей в сети; при этом если не превышается предельное общее максимальное число пользователей, то ограничения не происходит; а при превышении добавляется правило ограничения таблиц передачи iptables, что приводит к тому, что данные данного IP не передаются, и пользователь с этим IP не получает доступ к сети.
Если определяется, что текущие установки являются ограничением по типу, то ограничение подключений к общественной сети осуществляется в соответствии с числом пользователей определенного типа, и при превышении предельного количества каждым типом оборудования добавляется правило ограничения, ограничивающее доступ к сети пользователя с данным IP; при отсутствии превышения правило не добавляется.
После выполнения вышеуказанных шагов совершается проверка: проверяется, находится ли ограниченный в таблице iptables IP в таблице DHCP leases (информация аренды) или в текущей таблице ARP, и если не находится, то это ограничение не требуется; правило ограничения удаляется из таблиц передачи iptables, в результате чего пользователь с данным IP получает доступ к сети с целью предотвращения ошибочного ограничения при распределении оборудования LAN на изначальный IP адрес.
Происходит периодическая проверка оборудования на стороне LAN, по истечении определенного времени процесс возвращается к этапу S4 "Получение IP адреса оборудования на стороне LAN и различение типа оборудования", и вышеупомянутый этап выполняется заново; рекомендуется установить временной интервал на 30 секунд, то есть каждые 30 секунд цикл будет повторяться.
Технический персонал настоящей области может вносить различные поправки и осуществлять модификации вариантов осуществления настоящего изобретения, и если эти поправки и модификации находятся в рамках формулы изобретения или схожих с ней технологий, то они также входят в диапазон защиты настоящего изобретения.
В раскрытии изобретения не описываются подробно хорошо известные техническим специалистам данной области существующие технологи.
Claims (9)
1. Определенная система ограничения количества подключенных к общественной сети пользователей посредством определенного оборудования СРЕ на основе Linux, которая характеризуется следующим: включает модуль протокола динамической конфигурации хост-машины DHCP и модуль ограничения количества подключенных к общественной сети пользователей, при этом: вышеупомянутый модуль DHCP применяется для следующего: при каждой проверке информации о состоянии оборудования на стороне локальной сети LAN происходит очищение правил таблиц передачи системы фильтрации пакетов информации IP iptables, информация предыдущей проверки очищается так, чтобы при каждой проверке руководствоваться текущими результатами; вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети происходит получение IP адреса оборудования на стороне LAN и посредством опции Option60 DHCP осуществляется распознавание терминала и различение типа оборудования; вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети посредством протокола разрешения адреса ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом при каждом выполнении проверяется только IP адрес одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и обновляется черный и белый список, если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то правило ограничения IP адреса этого оборудования очищается, если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержатся правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, обновляется черный и белый список.
2. Система ограничения количества подключенных к общественной сети пользователей в соответствии с п. 1 формулы изобретения, характеризующаяся следующим: после обновления черного и белого списка модулем ограничения количества подключений пользователей к общественной сети определяется тип ограничения: ограничение общего количества оборудования или ограничение типа оборудования, если тип ограничения является ограничением общего количества оборудования, то различения типов оборудования не происходит и при превышении текущим количеством находящихся в сети пользователей предельного количества подключений к общественной сети добавляется правило ограничения таблиц передачи iptables, а также осуществляется ограничение запросов данного оборудования на подключение к общественной сети, в противном случае не происходит добавления правила ограничения таблиц передачи iptables, не происходит ограничения доступа данного оборудования к общественной сети, очищается IP адрес, ограниченный в таблице передачи iptables, но не находящийся в кэш-таблице информации об аренде leases и таблице ARP; по прошествии временного интервала происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования, если тип ограничения является ограничением по типу оборудования, то при превышении типом оборудования предельного количества подключений добавляется правило ограничения таблиц передачи iptables; в противном случае добавления правила ограничения таблиц передачи iptables не происходит, очищаются IP адреса, ограниченные в таблице передачи iptables, но не находящиеся в кэш таблице информации аренды leases и таблице ARP; а по прошествии временного интервала происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования.
3. Система ограничения количества подключенных к общественной сети пользователей посредством определенного оборудования СРЕ на основе Linux в соответствии с любым из пп. 1 и 2 формулы изобретения, характеризующаяся следующим: когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, однако разрешает этим терминалам получить IP адрес частной сети и получить доступ к другим терминалам и оборудованию на стороне LAN.
4. Определенный способ ограничения количества подключенных к сети пользователей посредством оборудования СРЕ на основе Linux, характеризующийся наличием следующих этапов: этап S1: после загрузки модуля DHCP он при каждой проверке информации о состоянии оборудования на стороне LAN очищает правила таблиц передачи iptables и очищает информацию предыдущей проверки так, чтобы при каждой проверке руководствоваться текущими результатами; этап S2: после загрузки модуля ограничения количества подключений пользователей к общественной сети определяется, активирована ли функция ограничения количества подключений пользователей к общественной сети, и если она деактивирована, то происходит переход к этапу S3; а если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит переход к этапу S4; этап S3: если функция ограничения количества подключений пользователей к общественной сети деактивирована, то очищается черный и белый список с записями и не происходит ограничения количества подключений пользователей к общественной сети, затем происходит выход; этап S4: если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит получение IP адреса оборудования на стороне LAN и посредством Option60 DHCP осуществляется распознавание терминала, различается тип терминала и происходит переход к этапу S5; этап S5: модуль ограничения количества подключений пользователей к общественной сети посредством ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом во время каждого выполнения определяется IP адрес только одного оборудования на стороне LAN; если оборудование на стороне LAN находится в сети, то происходит переход к этапу S6, в противном случае происходит переход к этапу S7; этап S6: если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и происходит переход к этапу S8; этап S7: если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то происходит очищение правила ограничения IP адреса этого оборудования; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего происходит переход к этапу S8; этап S8: обновление черного и белого списка, переход к этапу S9; этап S9: определение типа ограничения: ограничение общего количества оборудования или ограничение типа оборудования, если тип ограничения является ограничением общего количества оборудования, то происходит переход к этапу S10; если тип ограничения является ограничением типа оборудования, то происходит переход к этапу S11; этап S10: независимо от типа оборудования, если текущее количество пользователей в сети превышает предел подключений к общественной сети, то происходит добавление правила ограничения в таблицу передачи iptables и осуществляется ограничение запросов на подключение данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения в таблицу передачи iptables и не происходит ограничения запросов на подключение данного оборудования к общественной сети; происходит переход к этапу S12; этап S11: если тип подключенного к сети оборудования превышает предельное количество, то происходит добавление правила ограничения в таблицы передачи iptables; в противном случае добавления правила ограничения в таблицы передачи iptables не происходит; происходит переход к этапу S12; этап S12: очищение IP адресов, ограниченных в таблицах передачи iptables, но не находящихся в кэш таблице leases и таблице ARP; по прошествии временного интервала происходит возврат к этапу S4.
5. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 4 формулы изобретения, характеризующийся следующим: когда число подключенных терминалов превышает общее разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
6. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 5 формулы изобретения, характеризующийся следующим: вышеупомянутое СРЕ оборудование подсчитывает текущих пользователей посредством определения, находится ли в данный момент адрес подключенного оборудования на стороне LAN в сети, при этом динамически распределенные или статически присвоенные оборудованием СРЕ IP адреса оборудование СРЕ включает в общее количество подключенных пользователей, пользователи сверх предельного количества пользователей ограничиваются, а во время подключения оборудования СРЕ к точке беспроводного доступа АР оно предоставляет точке беспроводного доступа АР динамически распределенный IP, и при условии нахождения точки беспроводного доступа АР в сети она также будет включаться в количество текущих пользователей.
7. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 6 формулы изобретения, характеризующийся следующим: распознаваемые оборудованием СРЕ типы оборудования включают персональные компьютеры ПК, телевизионные приставки, телефоны, фотоаппараты.
8. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 7 формулы изобретения, характеризующийся следующим: вышеупомянутое оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, а также нераспознаваемые типы оборудования за ПК.
9. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с любым из пп. 4-8 формулы изобретения, характеризующийся следующим: вышеупомянутый временной интервал составляет 30 секунд.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410452825.7A CN104270325B (zh) | 2014-09-05 | 2014-09-05 | CPE设备基于Linux实现公网接入用户数限制的系统及方法 |
CN201410452825.7 | 2014-09-05 | ||
PCT/CN2015/088835 WO2016034122A1 (zh) | 2014-09-05 | 2015-09-02 | CPE设备基于Linux实现公网接入用户数限制的系统及方法 |
Publications (4)
Publication Number | Publication Date |
---|---|
RU2016146823A3 RU2016146823A3 (ru) | 2018-10-05 |
RU2016146823A RU2016146823A (ru) | 2018-10-05 |
RU2670789C2 true RU2670789C2 (ru) | 2018-10-25 |
RU2670789C9 RU2670789C9 (ru) | 2018-11-23 |
Family
ID=52161817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2016146823A RU2670789C9 (ru) | 2014-09-05 | 2015-09-02 | Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux |
Country Status (3)
Country | Link |
---|---|
CN (1) | CN104270325B (ru) |
RU (1) | RU2670789C9 (ru) |
WO (1) | WO2016034122A1 (ru) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104270325B (zh) * | 2014-09-05 | 2017-08-01 | 烽火通信科技股份有限公司 | CPE设备基于Linux实现公网接入用户数限制的系统及方法 |
CN107465529B (zh) * | 2016-06-06 | 2022-07-12 | 中兴通讯股份有限公司 | 客户终端设备管理方法、系统及自动配置服务器 |
CN108271182B (zh) * | 2016-12-30 | 2021-05-07 | 华为技术服务有限公司 | 一种确定cpe数量的方法、装置及系统 |
CN111614970A (zh) * | 2020-05-20 | 2020-09-01 | 广东九联科技股份有限公司 | 控制终端访问直播资源的方法及系统 |
CN112751762A (zh) * | 2020-12-31 | 2021-05-04 | 荆门汇易佳信息科技有限公司 | 多运营商网络链路负载出站自动化选路平台 |
CN115189909A (zh) * | 2022-05-24 | 2022-10-14 | 浙江远望信息股份有限公司 | 基于网络环境变化对违规连接互联网行为的防护方法 |
CN117350728B (zh) * | 2023-12-05 | 2024-02-20 | 山东恒宇电子有限公司 | 基于Linux白名单的车载机IC卡补登充值方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2182683A1 (en) * | 2008-10-29 | 2010-05-05 | Alcatel, Lucent | Self-configuration of a forwarding tabel in an access node |
CN102480476A (zh) * | 2010-11-30 | 2012-05-30 | 上海博路信息技术有限公司 | 一种基于dhcp协议扩展的多业务访问方法 |
CN103957142A (zh) * | 2014-04-11 | 2014-07-30 | 烽火通信科技股份有限公司 | 一种实现pon系统三网合一的系统、方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101958826B (zh) * | 2009-07-20 | 2013-01-16 | 方正宽带网络服务股份有限公司 | 同一帐户下非连续多ip地址共享同一带宽的方法及装置 |
CN103685285B (zh) * | 2013-12-18 | 2017-12-22 | 上海斐讯数据通信技术有限公司 | 一种路由模式下限制终端数量的方法 |
CN104270325B (zh) * | 2014-09-05 | 2017-08-01 | 烽火通信科技股份有限公司 | CPE设备基于Linux实现公网接入用户数限制的系统及方法 |
-
2014
- 2014-09-05 CN CN201410452825.7A patent/CN104270325B/zh active Active
-
2015
- 2015-09-02 WO PCT/CN2015/088835 patent/WO2016034122A1/zh active Application Filing
- 2015-09-02 RU RU2016146823A patent/RU2670789C9/ru active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2182683A1 (en) * | 2008-10-29 | 2010-05-05 | Alcatel, Lucent | Self-configuration of a forwarding tabel in an access node |
CN102480476A (zh) * | 2010-11-30 | 2012-05-30 | 上海博路信息技术有限公司 | 一种基于dhcp协议扩展的多业务访问方法 |
CN103957142A (zh) * | 2014-04-11 | 2014-07-30 | 烽火通信科技股份有限公司 | 一种实现pon系统三网合一的系统、方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104270325A (zh) | 2015-01-07 |
RU2016146823A3 (ru) | 2018-10-05 |
RU2670789C9 (ru) | 2018-11-23 |
WO2016034122A1 (zh) | 2016-03-10 |
CN104270325B (zh) | 2017-08-01 |
RU2016146823A (ru) | 2018-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2670789C2 (ru) | Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux | |
US9332488B2 (en) | Pre-association discovery | |
WO2015117337A1 (zh) | 网络规则条目的设置方法及装置 | |
CN103141133B (zh) | 对数据报文进行策略控制的方法和装置 | |
US9973399B2 (en) | IPV6 address tracing method, apparatus, and system | |
KR20170013298A (ko) | 장치들에 네트워크 구성 매개변수들의 향상된 할당 및 분배 | |
US20060059552A1 (en) | Restricting communication service | |
EP3461226B1 (en) | Home gateway and forwarding service method thereof | |
US10148676B2 (en) | Method and device for defending DHCP attack | |
RU2679345C1 (ru) | Способ и устройство для автоматического сетевого взаимодействия устройства шлюза | |
US9398045B2 (en) | Network device and method for avoiding address resolution protocol attack | |
CN101184099B (zh) | 基于动态主机配置协议接入认证的二次ip地址分配方法 | |
US12074845B2 (en) | System and method for remotely filtering network traffic of a customer premise device | |
CN110445889B (zh) | 一种以太网环境下交换机ip地址管理方法及系统 | |
JP2006094417A (ja) | 加入者回線収容装置およびパケットフィルタリング方法 | |
CN113014680A (zh) | 一种宽带接入的方法、装置、设备和存储介质 | |
CN103516820A (zh) | 基于mac地址的端口映射方法和装置 | |
WO2021121027A1 (zh) | 实现网络动态性的方法、系统、终端设备及存储介质 | |
EP4258603A1 (en) | Service processing method and apparatus, electronic device, and storage medium | |
KR101683013B1 (ko) | Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템 | |
WO2017063578A1 (zh) | 数据报文处理方法及装置 | |
TWI628936B (zh) | Automatic control system for controlling the existence of internet protocol address device and control method thereof | |
KR101015464B1 (ko) | 공인 아이피를 갖지 않은 내부망의 여러 장치의 외부망과의통신 연결을 지원하는 단일칩 프로세서 및 그 제어방법 | |
US11552928B2 (en) | Remote controller source address verification and retention for access devices | |
CN108111638A (zh) | 一种地址分配方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TH4A | Reissue of patent specification |