RU2670789C2 - Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux - Google Patents

Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux Download PDF

Info

Publication number
RU2670789C2
RU2670789C2 RU2016146823A RU2016146823A RU2670789C2 RU 2670789 C2 RU2670789 C2 RU 2670789C2 RU 2016146823 A RU2016146823 A RU 2016146823A RU 2016146823 A RU2016146823 A RU 2016146823A RU 2670789 C2 RU2670789 C2 RU 2670789C2
Authority
RU
Russia
Prior art keywords
equipment
public network
network
limiting
address
Prior art date
Application number
RU2016146823A
Other languages
English (en)
Other versions
RU2016146823A3 (ru
RU2670789C9 (ru
RU2016146823A (ru
Inventor
Хуаминь ЛИ
Лань ЦЮ
Мэйцзе ЦЯО
Фан ЧЭНЬ
Original Assignee
Файберхоум Телекоммьюникейшн Текнолоджиз Ко., Лтд
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Файберхоум Телекоммьюникейшн Текнолоджиз Ко., Лтд filed Critical Файберхоум Телекоммьюникейшн Текнолоджиз Ко., Лтд
Publication of RU2016146823A3 publication Critical patent/RU2016146823A3/ru
Publication of RU2016146823A publication Critical patent/RU2016146823A/ru
Application granted granted Critical
Publication of RU2670789C2 publication Critical patent/RU2670789C2/ru
Publication of RU2670789C9 publication Critical patent/RU2670789C9/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к технологиям сетевой связи. Технический результат заключается в снижении нагрузки на сеть. Система содержит: модуль протокола динамической конфигурации хост-машины DHCP и модуль ограничения количества подключенных к общественной сети пользователей, при этом: при каждой проверке модулем DHCP информации о состоянии оборудования на стороне локальной сети LAN происходит очищение правил таблиц передачи системы фильтрации пакетов информации IP iptables; модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети, происходит получение IP адреса оборудования на стороне LAN и посредством опции Option60 DHCP осуществляется распознавание терминала и различение типа оборудования. 2 н. и 7 з.п. ф-лы, 1 ил.

Description

Область техники
Настоящее изобретение относится к области устройств CPE (Customer Premise Equipment - абонентского конечного оборудования), в частности относится к определенной системе и способу ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux.
Предыдущий уровень техники
Из соображений управления безопасностью и повышения качества доступа к Интернет требуется поддержка оборудованием СРЕ возможности ограничения количества терминалов, одновременно подключенных к общественной сети, при этом осуществление подсчета количества подключенных к сети терминалов посредством адреса частной сети IPv4 (Internet Protocol Version 4 - Интернет-протокол 4 версии), глобального адреса IPv6 (Internet Protocol Version 6 - Интернет-протокол 6 версии) или MAC адреса (физического адреса) позволяет ограничивать количество подключенных к общественной сети пользователей только по-отдельности, то есть эта функция является чересчур простой.
Суть изобретения
Целью настоящего изобретения является обеспечение определенной системы и способа ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux, сочетающих два различных способа ограничения количества подключений к общественной сети, что позволяет не только ограничивать максимальное число одновременных подключений к общественной сети, но и осуществлять ограничение количества подключений к общественной сети отдельно по каждому типу оборудования, тем самым расширяя одиночную функцию ограничения количества подключений к общественной сети.
Настоящее изобретение обеспечивает определенную систему ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux, включающую модуль протокола динамической конфигурации хост-машины DHCP и модуль ограничения количества подключенных к общественной сети пользователей, при этом:
Вышеупомянутый модуль DHCP применяется для следующего: при каждой проверке информации о состоянии оборудования на стороне локальной сети LAN происходит очищение правил таблиц передачи системы фильтрации пакетов информации IP iptables, информация предыдущей проверки очищается так, чтобы при каждой проверке руководствоваться текущими результатами;
Вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети происходит получение IP адреса оборудования на стороне LAN и посредством опции Option60 DHCP осуществляется распознавание терминала и различение типа оборудования.
На основе описанного выше технического решения вышеупомянутый модуль ограничения количества подключенных к общественной сети пользователей посредством протокола разрешения адреса ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN онлайн. При этом при каждом выполнении проверяется только IP адрес одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и обновляется черный и белый список; а если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то правила ограничения адреса этого оборудования очищаются; если оборудование на стороне LAN находится оффлайн, а в таблице передачи iptables не содержатся правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, обновляется черный и белый список.
На основе описанного выше технического решения вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети после обновления белого и черного списка определяет, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования. Если ограничение является ограничением общего количества, то различения типов оборудования не происходит, и при превышении текущим количеством находящихся в сети пользователей предельного количества подключений к общественной сети добавляется правило ограничения таблиц передачи iptables и осуществляется ограничение запросов данного оборудования на подключение к общественной сети; в противном случае не происходит добавления правил ограничения таблиц передачи iptables, не происходит ограничения доступа данного оборудования к общественной сети и очищается IP адрес, ограниченный в таблице передачи iptables, но отсутствующий в кэш таблице информации об аренде leases и таблице ARP; а по прошествии временного интервала происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования. Если ограничение является ограничением по типу оборудования, то при превышении предельного количества типом оборудования добавляется правило ограничения таблиц передачи iptables; в противном случае добавления правила ограничения таблиц передачи iptables не происходит, очищаются IP, ограниченные в таблице передачи iptables, но не находящиеся в кэш таблице информации аренды leases и таблице ARP, а по прошествии временного интервала происходит получения IP адреса оборудования на стороне LAN, продолжается различение типа оборудования.
На основе описанного выше технического решения, когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
Настоящее изобретение также обеспечивает определенный способ ограничения количества подключенных к сети пользователей посредством оборудования СРЕ на основе Linux, включающий следующие этапы: этап S1: после загрузки модуля DHCP он при каждой проверке информации о состоянии оборудования на стороне LAN очищает правила таблиц передачи iptables и очищает информацию предыдущей проверки так, чтобы при каждой проверке руководствоваться текущими результатами; этап S2: после загрузки модуля ограничения количества подключений пользователей к общественной сети определяется, активирована ли функция ограничения количества подключений пользователей к общественной сети, и если она деактивирована, то происходит переход к этапу S3; а если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит переход к этапу S4; этап S3: если функция ограничения количества подключений пользователей к общественной сети деактивирована, то очищается черный и белый список с записями и не происходит ограничения количества подключений пользователей к общественной сети, затем происходит выход; этап S4: если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит получение IP адреса оборудования на стороне LAN и посредством Option60 DHCP осуществляется распознавание терминала, различается тип терминала и происходит переход к этапу S5; этап S5: модуль ограничения количества подключений пользователей к общественной сети посредством ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом во время каждого выполнения определяется IP адрес только одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то происходит переход к этапу S6; в противном случае происходит переход к этапу S7; этап S6: если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и происходит переход к этапу S8; этап S7: если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то происходит очищение правила ограничения IP адреса этого оборудования; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего происходит переход к этапу S8; этап S8: обновление черного и белого списка, переход к этапу S9; этап S9: определение, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования, если ограничение является ограничением общего количества оборудования, то происходит переход к этапу S10; а если ограничение является ограничением по типу оборудования, то происходит переход к этапу S11; этап S10: независимо от типов оборудования, если текущее количество пользователей в сети превышает предел подключений к общественной сети, то происходит добавление правила ограничения в таблицу передачи iptables и осуществляется ограничение запросов на подключение данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения в таблицу передачи iptables и не происходит ограничения запросов на подключение данного оборудования к общественной сети, происходит переход к этапу S12; этап S11: если тип подключенного к сети оборудования превышает предельное количество, то происходит добавление правила ограничения таблиц передачи iptables; в противном случае добавления правила ограничения таблиц передачи iptables не происходит и происходит переход к этапу S12; этап S12: очищение IP, ограниченных в таблице передачи iptables, но не находящихся в кэш таблице leases и таблице ARP, а по прошествии временного интервала происходит возврат к этапу S4.
На основе описанного выше технического решения, когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
На основе описанного выше технического решения вышеупомянутое СРЕ оборудование подсчитывает число текущих пользователей посредством определения, находится ли в данный момент в сети адрес оборудования на стороне LAN; динамически распределенные или статически присвоенные оборудованием СРЕ IP адреса оборудование СРЕ включает в общее число пользователей, а пользователи сверх предельного количества пользователей ограничиваются; когда оборудование СРЕ подключается к беспроводной сети и обращается к беспроводной точке доступа АР, оно предоставляет беспроводной АР динамически распределенный IP, и в случае нахождения беспроводной АР в сети она включается в число текущих пользователей.
На основе описанного выше технического решения распознаваемые вышеупомянутым СРЕ оборудованием типы оборудования включают персональные компьютеры ПК, телевизионные приставки, телефоны, фотоаппараты.
На основе описанного выше технического решения вышеупомянутое оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, и не распознаваемые типы оборудования за ПК.
На основе описанного выше технического решения вышеупомянутый временной интервал составляет 30 секунд.
По сравнению с существующим уровнем техники настоящее изобретение имеет следующие преимущества: (1) Настоящее изобретение сочетает два способа ограничения количества подключений терминалов к общественной сети: первым способом является ограничение только максимального количества одновременных подключений к общественной сети; а вторым способом является ограничение количества подключений к общественной сети одновременно по каждому типу терминалов, при этом оборудование, которое не может быть распознано, принимается за ПК. По сравнению с существующим способом одиночного ограничения только общего количества подключенных к сети пользователей, настоящее изобретение может не только ограничивать максимальное количество одновременных подключений к сети, но и осуществлять ограничение количества подключений отдельно по каждому виду терминалов, расширяя одиночную функцию ограничения количества подключений к общественной сети.
(2) Когда число подключенных терминалов не превышает максимально поддерживаемое число пользователей, оборудование СРЕ разрешает подключение терминалов к Интернету, удовлетворяя потребность одновременного подключения пользователей к сети; а когда число подключенных терминалов превышает максимально поддерживаемое число пользователей, оборудование СРЕ перестает давать новым терминалам разрешение на подключение к Интернету и динамически обновляет черный список, ограничивающий подключение пользователей к сети, и белый список, разрешающий пользователям подключение к сети, предоставляя пользователям безопасные и оптимальные услуги при условии, что ресурсы на стороне сети это позволяют.
Краткое описание изображений
Фигура 1 представляет собой схему последовательности процесса способа ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux по одному из вариантов осуществления настоящего изобретения.
Конкретные варианты осуществления
Далее следует более подробное описание настоящего изобретения, сопровождающееся изображениями и конкретными вариантами осуществления.
Настоящее изобретение обеспечивает определенную систему ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux, включающую модуль DHCP (Dynamic Host Configuration Protocol - динамическая конфигурация хост-машины) и модуль ограничения количества подключенных к общественной сети пользователей, при этом:
Модуль DHCP применяется для: очищения правил таблиц передачи iptables (системы фильтрования пакетов информации IP) и очищения информации предыдущей проверки при каждой проверке информации о состоянии оборудования на стороне локальной сети LAN (Local Area Network - локальная сеть) так, чтобы каждый раз при проверке руководствоваться текущими результатами;
Модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети происходит получение IP адреса оборудования на стороне LAN и посредством Option60 (опции 60) DHCP осуществляется распознавание терминала и различение типа оборудования, при этом оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, а также не распознаваемые типы оборудования за ПК (персональный компьютер);
Модуль ограничения количества подключенных к общественной сети пользователей посредством ARP (Address Resolusion Protocol - протокол расширения адреса) или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети. При этом при каждом выполнении проверяется только IP адрес одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и обновляется черный и белый список; а если оборудование на стороне LAN находится не в сети, а в таблице передачи iptalbes содержится правило ограничения IP адреса этого оборудования, то правило ограничения адреса этого оборудования очищается; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptalbes не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего обновляется черный и белый список.
Модуль ограничения количества доступов пользователей к общественной сети после обновления белого и черного списка определяет, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования. Если тип ограничения является ограничением общего количества, то различения типов оборудования не происходит, и при превышении текущим количеством находящихся в сети пользователей предельного количества подключений к общественной сети N (где N является натуральным числом) добавляется правило ограничения таблицы передачи iptables и осуществляется ограничение запросов на доступ данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения таблицы передачи iptables, не происходит ограничения доступа данного оборудования к общественной сети, и очищается IP адрес, ограниченный в таблице передачи iptables, но не содержащийся в кэш таблице информации об аренде leases и таблице ARP, а по прошествии временного интервала (предпочтительно 30 секунд) происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования. Если тип ограничения является ограничением по типу оборудования, то при превышении предельного количества подключений данного типа оборудования происходит добавление правила ограничения таблицы передачи iptables; в противном случае добавления правила ограничения таблицы передачи iptables не происходит, очищается IP, ограниченный в таблице передачи iptables, но не содержащийся в кэш таблице информации аренды leases (информация аренды) и таблице ARP, а по прошествии временного интервала (предпочтительно 30 секунд) происходит получения IP адреса оборудования на стороне LAN, продолжается различение типа оборудования.
Когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
Как показано на фигуре 1, настоящее изобретение также обеспечивает определенный способ ограничения количества подключенных к сети пользователей посредством оборудования СРЕ на основе Linux, включающий следующие этапы:
этап S1: после загрузки модуля DHCP он при каждой проверке информации о состоянии оборудования на стороне LAN очищает правило таблиц передачи iptables (системы фильтрации пакетов информации IP) и очищает информацию предыдущей проверки так, чтобы при каждой проверке руководствоваться текущими результатами;
этап S2: после загрузки модуля ограничения количества подключений пользователей к общественной сети определяется, активирована ли функция ограничения количества подключений пользователей к общественной сети, и если она деактивирована, то происходит переход к этапу S3; а если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит переход к этапу S4;
этап S3: если функция ограничения количества подключений пользователей к общественной сети деактивирована, то очищается черный и белый список с записями и не происходит ограничения количества подключений пользователей к общественной сети, затем происходит выход;
этап S4: если функция ограничения подключений пользователей общественной сети активирована, то происходит получение IP адреса оборудования на стороне LAN и посредством Option60 (опции 60) DHCP осуществляется распознавание терминала, различается тип терминала, при этом оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, и не распознаваемые типы оборудования за ПК (персональный компьютер), а распознаваемые оборудованием СРЕ типы оборудования включают PC (ПК), STB (Set Top Box - телевизионная приставка), Phone (телефон), Camera (фотоаппарат), что позволяет осуществлять ограничение доступов к общественной сети по типу оборудования; затем происходит переход к этапу S5;
этап S5: модуль ограничения количества подключений пользователей к общественной сети посредством ARP (Address Resolusion Protocol - протокол разрешения адресов) или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом во время каждого выполнения определяется IP адрес только одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то происходит переход к этапу S6; в противном случае происходит переход к этапу S7;
этап S6: если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и происходит переход к этапу S8;
этап S7: если оборудование на стороне LAN находится не в сети, а в таблице передачи iptalbes содержится правило ограничения IP адреса этого оборудования, то происходит очищение правила ограничения IP адреса этого оборудования; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего происходит переход к этапу S8;
этап S8: обновление черного и белого списка, переход к этапу S9;
этап S9: определение, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования; если тип ограничения является ограничением общего количества оборудования, то происходит переход к этапу S10, а если тип ограничения является ограничением по типу оборудования, то происходит переход к этапу S11;
этап S10: не происходит разграничения типов оборудования, и если текущее количество пользователей в сети превышает предел подключений к общественной сети N, где N является натуральным числом, то происходит добавление правила ограничения в таблицу передачи iptables и осуществляется ограничение запросов на подключение данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения в таблицу передачи iptables и не происходит ограничения запросов на подключение данного оборудования к общественной сети, происходит переход к этапу S12;
этап S11: если тип подключенного к сети оборудования превышает предельное количество, то происходит добавление правила ограничения таблицы передачи iptables, в противном случае добавления правила ограничения таблицы передачи iptables не происходит и происходит переход к этапу S12;
этап S12: очищение IP, ограниченных в таблице передачи iptables, но не содержащихся в кэш таблице leases (информация аренды) и таблице ARP, а по прошествии временного интервала (предпочтительно 30 секунд) происходит возврат к этапу S4.
Ниже следует подробное разъяснение принципа работы настоящего изобретения:
Осуществление настоящего изобретения обеспечивает способ, реализованный на базе Linux, где распознавание терминалов происходит посредством Option60 DHCP, оффлайн-детекция происходит посредством ARP или протокола обнаружения соседей, функция ограничения сетевых подключений осуществляется посредством установленных в ядро Linux правил iptables.
Для удовлетворения требования оперативности и управляемости оборудование СРЕ осуществляет различение типов оборудования посредством Option60 DHCP. Существует два способа конфигурации: (1) ограничение максимального количества одновременных подключений к общественной сети; (2) ограничение количества одновременных подключений к общественной сети отдельно по каждому типу терминалов, при этом оборудование, которое не может быть распознано, принимается за ПК. При осуществлении настоящего изобретения интегрируется два способа конфигурации, тем самым расширяя одиночную функцию ограничения количества подключений к общественной сети.
СРЕ оборудование подсчитывает число текущих пользователей посредством определения, находится ли в данный момент в сети адрес оборудования на стороне LAN, динамически распределенные или статически присвоенные оборудованием СРЕ IP адреса оборудование СРЕ включает в общее количество пользователей и пользователи сверх предельного количества пользователей ограничиваются; когда оборудование СРЕ подключается к беспроводной сети и обращается к беспроводной АР (Access Point - точка доступа), оно предоставляет беспроводной АР динамически распределенный IP, и в случае нахождения беспроводной АР в сети она включается в число текущих пользователей.
В соответствии с различными способами ограничения существуют следующие способы обработки:
Если определяется, что текущие установки являются ограничением по общему количеству, то не различается тип пользовательского оборудования на стороне LAN, и все пользовательское оборудование, независимо от того, является ли оно ПК, телевизионной приставкой или фотоаппаратом, учитывается в общем количестве текущих пользователей в сети; при этом если не превышается предельное общее максимальное число пользователей, то ограничения не происходит; а при превышении добавляется правило ограничения таблиц передачи iptables, что приводит к тому, что данные данного IP не передаются, и пользователь с этим IP не получает доступ к сети.
Если определяется, что текущие установки являются ограничением по типу, то ограничение подключений к общественной сети осуществляется в соответствии с числом пользователей определенного типа, и при превышении предельного количества каждым типом оборудования добавляется правило ограничения, ограничивающее доступ к сети пользователя с данным IP; при отсутствии превышения правило не добавляется.
После выполнения вышеуказанных шагов совершается проверка: проверяется, находится ли ограниченный в таблице iptables IP в таблице DHCP leases (информация аренды) или в текущей таблице ARP, и если не находится, то это ограничение не требуется; правило ограничения удаляется из таблиц передачи iptables, в результате чего пользователь с данным IP получает доступ к сети с целью предотвращения ошибочного ограничения при распределении оборудования LAN на изначальный IP адрес.
Происходит периодическая проверка оборудования на стороне LAN, по истечении определенного времени процесс возвращается к этапу S4 "Получение IP адреса оборудования на стороне LAN и различение типа оборудования", и вышеупомянутый этап выполняется заново; рекомендуется установить временной интервал на 30 секунд, то есть каждые 30 секунд цикл будет повторяться.
Технический персонал настоящей области может вносить различные поправки и осуществлять модификации вариантов осуществления настоящего изобретения, и если эти поправки и модификации находятся в рамках формулы изобретения или схожих с ней технологий, то они также входят в диапазон защиты настоящего изобретения.
В раскрытии изобретения не описываются подробно хорошо известные техническим специалистам данной области существующие технологи.

Claims (9)

1. Определенная система ограничения количества подключенных к общественной сети пользователей посредством определенного оборудования СРЕ на основе Linux, которая характеризуется следующим: включает модуль протокола динамической конфигурации хост-машины DHCP и модуль ограничения количества подключенных к общественной сети пользователей, при этом: вышеупомянутый модуль DHCP применяется для следующего: при каждой проверке информации о состоянии оборудования на стороне локальной сети LAN происходит очищение правил таблиц передачи системы фильтрации пакетов информации IP iptables, информация предыдущей проверки очищается так, чтобы при каждой проверке руководствоваться текущими результатами; вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети происходит получение IP адреса оборудования на стороне LAN и посредством опции Option60 DHCP осуществляется распознавание терминала и различение типа оборудования; вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети посредством протокола разрешения адреса ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом при каждом выполнении проверяется только IP адрес одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и обновляется черный и белый список, если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то правило ограничения IP адреса этого оборудования очищается, если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержатся правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, обновляется черный и белый список.
2. Система ограничения количества подключенных к общественной сети пользователей в соответствии с п. 1 формулы изобретения, характеризующаяся следующим: после обновления черного и белого списка модулем ограничения количества подключений пользователей к общественной сети определяется тип ограничения: ограничение общего количества оборудования или ограничение типа оборудования, если тип ограничения является ограничением общего количества оборудования, то различения типов оборудования не происходит и при превышении текущим количеством находящихся в сети пользователей предельного количества подключений к общественной сети добавляется правило ограничения таблиц передачи iptables, а также осуществляется ограничение запросов данного оборудования на подключение к общественной сети, в противном случае не происходит добавления правила ограничения таблиц передачи iptables, не происходит ограничения доступа данного оборудования к общественной сети, очищается IP адрес, ограниченный в таблице передачи iptables, но не находящийся в кэш-таблице информации об аренде leases и таблице ARP; по прошествии временного интервала происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования, если тип ограничения является ограничением по типу оборудования, то при превышении типом оборудования предельного количества подключений добавляется правило ограничения таблиц передачи iptables; в противном случае добавления правила ограничения таблиц передачи iptables не происходит, очищаются IP адреса, ограниченные в таблице передачи iptables, но не находящиеся в кэш таблице информации аренды leases и таблице ARP; а по прошествии временного интервала происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования.
3. Система ограничения количества подключенных к общественной сети пользователей посредством определенного оборудования СРЕ на основе Linux в соответствии с любым из пп. 1 и 2 формулы изобретения, характеризующаяся следующим: когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, однако разрешает этим терминалам получить IP адрес частной сети и получить доступ к другим терминалам и оборудованию на стороне LAN.
4. Определенный способ ограничения количества подключенных к сети пользователей посредством оборудования СРЕ на основе Linux, характеризующийся наличием следующих этапов: этап S1: после загрузки модуля DHCP он при каждой проверке информации о состоянии оборудования на стороне LAN очищает правила таблиц передачи iptables и очищает информацию предыдущей проверки так, чтобы при каждой проверке руководствоваться текущими результатами; этап S2: после загрузки модуля ограничения количества подключений пользователей к общественной сети определяется, активирована ли функция ограничения количества подключений пользователей к общественной сети, и если она деактивирована, то происходит переход к этапу S3; а если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит переход к этапу S4; этап S3: если функция ограничения количества подключений пользователей к общественной сети деактивирована, то очищается черный и белый список с записями и не происходит ограничения количества подключений пользователей к общественной сети, затем происходит выход; этап S4: если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит получение IP адреса оборудования на стороне LAN и посредством Option60 DHCP осуществляется распознавание терминала, различается тип терминала и происходит переход к этапу S5; этап S5: модуль ограничения количества подключений пользователей к общественной сети посредством ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом во время каждого выполнения определяется IP адрес только одного оборудования на стороне LAN; если оборудование на стороне LAN находится в сети, то происходит переход к этапу S6, в противном случае происходит переход к этапу S7; этап S6: если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и происходит переход к этапу S8; этап S7: если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то происходит очищение правила ограничения IP адреса этого оборудования; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего происходит переход к этапу S8; этап S8: обновление черного и белого списка, переход к этапу S9; этап S9: определение типа ограничения: ограничение общего количества оборудования или ограничение типа оборудования, если тип ограничения является ограничением общего количества оборудования, то происходит переход к этапу S10; если тип ограничения является ограничением типа оборудования, то происходит переход к этапу S11; этап S10: независимо от типа оборудования, если текущее количество пользователей в сети превышает предел подключений к общественной сети, то происходит добавление правила ограничения в таблицу передачи iptables и осуществляется ограничение запросов на подключение данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения в таблицу передачи iptables и не происходит ограничения запросов на подключение данного оборудования к общественной сети; происходит переход к этапу S12; этап S11: если тип подключенного к сети оборудования превышает предельное количество, то происходит добавление правила ограничения в таблицы передачи iptables; в противном случае добавления правила ограничения в таблицы передачи iptables не происходит; происходит переход к этапу S12; этап S12: очищение IP адресов, ограниченных в таблицах передачи iptables, но не находящихся в кэш таблице leases и таблице ARP; по прошествии временного интервала происходит возврат к этапу S4.
5. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 4 формулы изобретения, характеризующийся следующим: когда число подключенных терминалов превышает общее разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
6. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 5 формулы изобретения, характеризующийся следующим: вышеупомянутое СРЕ оборудование подсчитывает текущих пользователей посредством определения, находится ли в данный момент адрес подключенного оборудования на стороне LAN в сети, при этом динамически распределенные или статически присвоенные оборудованием СРЕ IP адреса оборудование СРЕ включает в общее количество подключенных пользователей, пользователи сверх предельного количества пользователей ограничиваются, а во время подключения оборудования СРЕ к точке беспроводного доступа АР оно предоставляет точке беспроводного доступа АР динамически распределенный IP, и при условии нахождения точки беспроводного доступа АР в сети она также будет включаться в количество текущих пользователей.
7. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 6 формулы изобретения, характеризующийся следующим: распознаваемые оборудованием СРЕ типы оборудования включают персональные компьютеры ПК, телевизионные приставки, телефоны, фотоаппараты.
8. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 7 формулы изобретения, характеризующийся следующим: вышеупомянутое оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, а также нераспознаваемые типы оборудования за ПК.
9. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с любым из пп. 4-8 формулы изобретения, характеризующийся следующим: вышеупомянутый временной интервал составляет 30 секунд.
RU2016146823A 2014-09-05 2015-09-02 Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux RU2670789C9 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410452825.7A CN104270325B (zh) 2014-09-05 2014-09-05 CPE设备基于Linux实现公网接入用户数限制的系统及方法
CN201410452825.7 2014-09-05
PCT/CN2015/088835 WO2016034122A1 (zh) 2014-09-05 2015-09-02 CPE设备基于Linux实现公网接入用户数限制的系统及方法

Publications (4)

Publication Number Publication Date
RU2016146823A3 RU2016146823A3 (ru) 2018-10-05
RU2016146823A RU2016146823A (ru) 2018-10-05
RU2670789C2 true RU2670789C2 (ru) 2018-10-25
RU2670789C9 RU2670789C9 (ru) 2018-11-23

Family

ID=52161817

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016146823A RU2670789C9 (ru) 2014-09-05 2015-09-02 Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux

Country Status (3)

Country Link
CN (1) CN104270325B (ru)
RU (1) RU2670789C9 (ru)
WO (1) WO2016034122A1 (ru)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104270325B (zh) * 2014-09-05 2017-08-01 烽火通信科技股份有限公司 CPE设备基于Linux实现公网接入用户数限制的系统及方法
CN107465529B (zh) * 2016-06-06 2022-07-12 中兴通讯股份有限公司 客户终端设备管理方法、系统及自动配置服务器
CN108271182B (zh) * 2016-12-30 2021-05-07 华为技术服务有限公司 一种确定cpe数量的方法、装置及系统
CN111614970A (zh) * 2020-05-20 2020-09-01 广东九联科技股份有限公司 控制终端访问直播资源的方法及系统
CN112751762A (zh) * 2020-12-31 2021-05-04 荆门汇易佳信息科技有限公司 多运营商网络链路负载出站自动化选路平台
CN115189909A (zh) * 2022-05-24 2022-10-14 浙江远望信息股份有限公司 基于网络环境变化对违规连接互联网行为的防护方法
CN117350728B (zh) * 2023-12-05 2024-02-20 山东恒宇电子有限公司 基于Linux白名单的车载机IC卡补登充值方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2182683A1 (en) * 2008-10-29 2010-05-05 Alcatel, Lucent Self-configuration of a forwarding tabel in an access node
CN102480476A (zh) * 2010-11-30 2012-05-30 上海博路信息技术有限公司 一种基于dhcp协议扩展的多业务访问方法
CN103957142A (zh) * 2014-04-11 2014-07-30 烽火通信科技股份有限公司 一种实现pon系统三网合一的系统、方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101958826B (zh) * 2009-07-20 2013-01-16 方正宽带网络服务股份有限公司 同一帐户下非连续多ip地址共享同一带宽的方法及装置
CN103685285B (zh) * 2013-12-18 2017-12-22 上海斐讯数据通信技术有限公司 一种路由模式下限制终端数量的方法
CN104270325B (zh) * 2014-09-05 2017-08-01 烽火通信科技股份有限公司 CPE设备基于Linux实现公网接入用户数限制的系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2182683A1 (en) * 2008-10-29 2010-05-05 Alcatel, Lucent Self-configuration of a forwarding tabel in an access node
CN102480476A (zh) * 2010-11-30 2012-05-30 上海博路信息技术有限公司 一种基于dhcp协议扩展的多业务访问方法
CN103957142A (zh) * 2014-04-11 2014-07-30 烽火通信科技股份有限公司 一种实现pon系统三网合一的系统、方法及装置

Also Published As

Publication number Publication date
CN104270325A (zh) 2015-01-07
RU2016146823A3 (ru) 2018-10-05
RU2670789C9 (ru) 2018-11-23
WO2016034122A1 (zh) 2016-03-10
CN104270325B (zh) 2017-08-01
RU2016146823A (ru) 2018-10-05

Similar Documents

Publication Publication Date Title
RU2670789C2 (ru) Система и способ ограничения количества подключенных к общественной сети пользователей посредством оборудования сре на основе linux
US9332488B2 (en) Pre-association discovery
WO2015117337A1 (zh) 网络规则条目的设置方法及装置
CN103141133B (zh) 对数据报文进行策略控制的方法和装置
US9973399B2 (en) IPV6 address tracing method, apparatus, and system
KR20170013298A (ko) 장치들에 네트워크 구성 매개변수들의 향상된 할당 및 분배
US20060059552A1 (en) Restricting communication service
EP3461226B1 (en) Home gateway and forwarding service method thereof
US10148676B2 (en) Method and device for defending DHCP attack
RU2679345C1 (ru) Способ и устройство для автоматического сетевого взаимодействия устройства шлюза
US9398045B2 (en) Network device and method for avoiding address resolution protocol attack
CN101184099B (zh) 基于动态主机配置协议接入认证的二次ip地址分配方法
US12074845B2 (en) System and method for remotely filtering network traffic of a customer premise device
CN110445889B (zh) 一种以太网环境下交换机ip地址管理方法及系统
JP2006094417A (ja) 加入者回線収容装置およびパケットフィルタリング方法
CN113014680A (zh) 一种宽带接入的方法、装置、设备和存储介质
CN103516820A (zh) 基于mac地址的端口映射方法和装置
WO2021121027A1 (zh) 实现网络动态性的方法、系统、终端设备及存储介质
EP4258603A1 (en) Service processing method and apparatus, electronic device, and storage medium
KR101683013B1 (ko) Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템
WO2017063578A1 (zh) 数据报文处理方法及装置
TWI628936B (zh) Automatic control system for controlling the existence of internet protocol address device and control method thereof
KR101015464B1 (ko) 공인 아이피를 갖지 않은 내부망의 여러 장치의 외부망과의통신 연결을 지원하는 단일칩 프로세서 및 그 제어방법
US11552928B2 (en) Remote controller source address verification and retention for access devices
CN108111638A (zh) 一种地址分配方法及装置

Legal Events

Date Code Title Description
TH4A Reissue of patent specification