專利名稱:寬帶網(wǎng)用戶接入管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù),特別是一種寬帶網(wǎng)用戶接入管理系統(tǒng)。
背景技術(shù):
目前寬帶管理主要有三種方式(1)PPPoE;(2)IEEE802.1x;(3)DHCP+Web,其中1、PPPoE窄帶接入方式下利用PPP技術(shù)通過撥號接入服務器實現(xiàn)用戶的身份認證并分配IP地址,使得用戶能夠通過接入服務器接入網(wǎng)絡(luò),進行信息的交互,而寬帶接入方式下,通過以太網(wǎng)交換機或路由器實現(xiàn)的網(wǎng)絡(luò),并不提供相應的功能對用戶進行身份認證。
PPPoE技術(shù)能夠提供類似于PPP的訪問控制和計費功能。使用PPPoE技術(shù),類似于使用點對點協(xié)議的撥號服務方式,每個主機使用自己的點對點協(xié)議棧,用戶使用他們所熟悉的撥號網(wǎng)絡(luò)用戶接口進行拔號,通過PPPoE技術(shù),每個用戶可以有他自己的接入管理、計費和業(yè)務類型。PPPoE技術(shù)有IETF的RFC,技術(shù)與設(shè)備比較成熟,可以防止地址沖突與地址盜用,既可以按時長計費也可以按流量計費,能夠?qū)μ囟ㄓ脩粼O(shè)置訪問列表過濾或防火墻功能,能夠?qū)唧w用戶訪問網(wǎng)絡(luò)的速率進行控制,能夠利用現(xiàn)有的用戶認證、管理和計費系統(tǒng)實現(xiàn)寬窄帶用戶的統(tǒng)一管理認證和計費,能夠方便地提供動態(tài)業(yè)務選擇特性,PPPoE(oA)方式不要求用戶有很高的操作水平,且可以保證網(wǎng)絡(luò)應用更安全,因此,從技術(shù)上來看,PPPoE是一種非常好的寬帶接入解決方案,但在現(xiàn)實生活中,采用pppoe方式,設(shè)備投入非常巨大,考慮到寬帶接入服務器高昂的價格,勢必給運營商造成巨大的成本壓力,使運營商在寬帶上的投資回收遙遙無期,同時降低寬帶接入運營商在市場上的靈活性與競爭力,而且pppoe設(shè)備本身的性能瓶頸成為制約網(wǎng)絡(luò)的性能瓶頸。
2、IEEE802.1xIEEE802.1x協(xié)議是目前最新出現(xiàn)的以太網(wǎng)協(xié)議,是在現(xiàn)有的以太網(wǎng)交換機上增加802.1x協(xié)議支持,提供以太網(wǎng)接入認證。它把以太網(wǎng)端口看作兩個邏輯的端口controlled port和uncontrolled pert。Controlled port在認證通過前是disabls的。uncontrolled port做為authent cation PAE(port access entity),與后臺EAPOL(extensibleauthentication protocol)服務器進行EAPOL認證協(xié)議的通信??蛻舳诵枰友b軟件,并且用戶手機的網(wǎng)卡需要支持EAPOL協(xié)議。用戶打開客戶端軟件,輸入用戶名口令,網(wǎng)卡會通過EAPOL協(xié)議與authentication PAE通信,PAE再與后臺EAPOL服務器進行交互,認證通過后。controlledport成為enable,這時用戶的其他信息就可以通過這個支持802.1x的端口傳輸了。802.1x協(xié)議可以實現(xiàn)認證機制,但就目前來看,也存在一些問題,一個是現(xiàn)在大多數(shù)交換機不支持802.1x,要想用802.1x技術(shù)把整個城域或省域的寬帶用戶管理起來,同樣涉及到重新投資的問題。而且802.1x技術(shù)的初衷是要把每個802.1x端口對應每一個用戶,這樣投資同樣不小。如果把802.1x端口上移,一個802.1x端口對應下面多個普通交換機,則這又涉及到一個802.1x端口下對多個用戶控制的問題,因為一旦controlled port enable,則多個用戶都可以不需認證就可上網(wǎng),所以還需要對這些問題進行系統(tǒng)設(shè)計和開發(fā)。
IEEE802.1x被稱為基于端口的訪問控制協(xié)議,起源于無線局域網(wǎng),為二層協(xié)議,無法實現(xiàn)用戶網(wǎng)絡(luò)參數(shù)設(shè)置的功能。802.1x在用戶帶寬保證、訪問網(wǎng)站權(quán)限、費用統(tǒng)計等方面,各廠家的實現(xiàn)方式不一,總的來說,如果運營商不需要加強對個人用戶的網(wǎng)絡(luò)管理和運營,只須實現(xiàn)局部區(qū)域?qū)τ脩舻恼J證功能,802.1x技術(shù)還是比較合適的。
3、DHCP+WebDHCP+是為了適應網(wǎng)絡(luò)發(fā)展的需要而對傳統(tǒng)的DHCP協(xié)議進行了改進,主要增加了認證功能,即DHCP服務器在將配置參數(shù)發(fā)給客戶端之前必須將客戶端提供的用戶名和密碼送往RADIUS服務器進行認證,通過后才將配置信息發(fā)給客戶端,與PPPoE技術(shù)一樣,DHCP+也需要在客戶端上安裝客戶端軟件,但不同的是,DHCP+客戶端與服務器可以通過在每個子網(wǎng)內(nèi)增加中繼代理而跨越三層,不一定要在同一個二層內(nèi)。而且,服務器只是在獲得IP配置信息階段起作用,以后的通信完全不經(jīng)過它,而PPPoE技術(shù)由于服務器與客戶端之間存在PPP連接,因此服務器是所有通信的必經(jīng)之路,DHCP+的主要優(yōu)點是使用DHCP+服務器只在用戶接入網(wǎng)絡(luò)前為用戶提供配置與管理信息,一般不會成為瓶頸,并能夠很容易地實現(xiàn)組播的應用。但是,DHCP+還沒有正式的標準,產(chǎn)品和應用很少;不能防止地址沖突和地址盜用;不能按流量進行計費;不能對用戶的數(shù)據(jù)流量進行控制;并且,應用DHCP+需要改變現(xiàn)有的后臺管理系統(tǒng),因此,這種方式目前還不具備實際應用的能力,需要等到進一步成熟后才能考慮使用。
而DHCP+Web方式則要求用戶終端必須在“自動分配IP地址”的狀態(tài)下才能控制用戶網(wǎng)絡(luò)屬性,這需要用戶具有一定的計算機知識和操作能力。另外,如果有些用戶隨意更改終端IP地址,會造成其他用戶無法上網(wǎng)或因費用超支而引起投訴。同時,DHCP+Web方式也無法實現(xiàn)“認證后分配IP”的功能,那些沒有上網(wǎng)的用戶也要占用大量地址空間,失去了DHCP“動態(tài)分配IP”的作用。
利用現(xiàn)有技術(shù),一個省級的寬帶接入應用,通過核心會聚層路由器接入公網(wǎng),以下經(jīng)過兩極甚至多級路由器才能接入最終用戶,設(shè)備投入大,網(wǎng)絡(luò)管理困難,如圖1所示。
發(fā)明內(nèi)容
本發(fā)明的目的是在不改變運營商網(wǎng)絡(luò)拓撲的前提下,在DHCP+Web方式的基礎(chǔ)上,克服現(xiàn)有技術(shù)的缺陷,提供一套完整、低成本、高穩(wěn)定性的的寬帶用戶接入管理系統(tǒng),于系統(tǒng)中增加對路由器的管理和控制;計費平臺用于帳戶的管理,用戶身份的認證、帳務管理等,運營商可以在其上開展各種各樣的業(yè)務。
本發(fā)明的另一目的是基本上克服傳統(tǒng)意義上DHCP+web的局限性,結(jié)合對路由器的控制和管理,可以防止IP地址的盜用;提供接入客戶端,具有控制流量、防止偽DHCP的功能,滿足電信級的應用。
為達到上述目的,本發(fā)明的技術(shù)解決方案是提供一種寬帶網(wǎng)用戶接入管理系統(tǒng),基于DHCP+web模式,其各設(shè)備的典型部署方式是,以太網(wǎng)用戶管理系統(tǒng)服務器連接有數(shù)據(jù)庫服務器和管理員計算機,并與流量采集服務器、DHCP服務器和路由器電連接;流量采集服務器和DHCP服務器分別與路由器連接;路由器上接有用戶計算機;以太網(wǎng)用戶管理系統(tǒng)服務器與公網(wǎng)連接,其在路由器上設(shè)置不同的IP地址池,各個IP地址池中的IP地址具有不同的訪問權(quán)限,只有認證通過的用戶才可以訪問公網(wǎng),非認證通過的用戶只能訪問內(nèi)部網(wǎng)絡(luò),以解決大量占用IP地址的問題。
所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其在提供網(wǎng)絡(luò)(web)接入的同時,提供了客戶端接入,客戶端安裝在用戶客戶機上。
所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其通過TELNET方式訪問和控制路由器,定期獲取路由器上的ARP信息,與系統(tǒng)已經(jīng)分配的IP地址比較,如果發(fā)現(xiàn)不在系統(tǒng)分配列表中的地址,則認為是盜用IP,通過TELNET,將其IP地址對應的mac設(shè)置成一個不存在的mac地址,以此達到限制盜用IP地址的使用。
所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其利用DHCP協(xié)議,在用戶認證通過或者下網(wǎng)之后,強制用戶釋放地址,重新獲取地址,以此來改變用戶地址;如果是客戶端用戶,客戶端應用程序可以主動的釋放或者獲取地址,以實現(xiàn)“認證后分配IP”的功能。
所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其系統(tǒng)自身提供了用戶管理功能,可以獨立使用,同時提供了二次開發(fā)接口,可以與其他的計費平臺配合使用。
所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其系統(tǒng)是一套完善的運營支撐系統(tǒng),可以提供所有的業(yè)務模式包月、計時、計流量、包月限時、包月限流量、現(xiàn)金卡、儲值卡、專線等,以滿足所有寬帶運營商的各種要求。
所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其系統(tǒng)各設(shè)備的部署,還有一種最小方式以太網(wǎng)用戶管理系統(tǒng)服務器連接有管理員計算機和路由器,路由器上接有用戶計算機;以太網(wǎng)用戶管理系統(tǒng)服務器與公網(wǎng)連接。
所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其主要事件流程如下第一步,隱式認證(自動認證)上網(wǎng)a)客戶開機,使用DHCP協(xié)議上網(wǎng),向DHCP SERVER發(fā)送DISCOVERY請求;b)DHCP SERVER接收到DISCOVERY請求之后,向授權(quán)模塊請求IP地址;c)授權(quán)模塊通過認證模塊認證,獲取MAC地址的相應權(quán)限,分配IP地址,依次返回,客戶獲取IP地址,也就完成了自動登錄流程;DHCPSERVER接收到租用周期延長的請求,直接使用緩存信息返回客戶,不需要再次向授權(quán)模塊認證請求;第二步,分配地址之后,授權(quán)模塊根據(jù)新的IP地址,通知TC模塊增加一條時常記錄信息;第三步,通過TELNET方式訪問和控制路由器,定期獲取路由器上的ARP信息,與系統(tǒng)已經(jīng)分配的IP地址比較;第四步,如果發(fā)現(xiàn)不在系統(tǒng)分配列表中的地址,則認為是盜用IP,通過TELNET,將其IP地址對應的mac設(shè)置成一個不存在的mac地址,以此達到限制盜用IP地址的使用;第五步,客戶向TC模塊發(fā)送心跳信息,以證明自己處于活躍狀態(tài);第六步,當客戶下網(wǎng)時,將上網(wǎng)時長記錄寫入數(shù)據(jù)庫;第七步,當客戶下網(wǎng)后,利用DHCP協(xié)議,強制用戶釋放地址,重新獲取地址,以此來改變用戶地址;第八步,結(jié)束。
所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其所述主要事件流程第一步還可以是顯示認證(手工認證)a)客戶手工上網(wǎng),向授權(quán)模塊發(fā)送認證請求;b)授權(quán)模塊從數(shù)據(jù)庫中讀取信息來認證;
c)認證通過,認證模塊通知DHCP模塊,相應的MAC地址權(quán)限已經(jīng)改變;d)當客戶再次向DHCP SERVER發(fā)送租期延長請求之后,DHCPSERVER發(fā)現(xiàn)相應的MAC地址權(quán)限信息發(fā)生改變,重新向授權(quán)模塊請求分配地址;e)DHCP SERVER接收到DISCOVERY請求之后,向授權(quán)模塊請求IP地址;f)授權(quán)模塊通過認證模塊認證,獲取MAC地址的相應權(quán)限,分配IP地址,依次返回,客戶獲取了新的IP地址,可以上網(wǎng)了;DHCP SERVER接收到租用周期延長的請求,直接使用緩存信息返回客戶,不需要再次向授權(quán)模塊認證請求。
本發(fā)明作為接入、管理平臺,在不改變現(xiàn)有網(wǎng)絡(luò)拓撲、基本不影響網(wǎng)絡(luò)性能的情況下,通過軟件完成寬帶用戶的接入、管理;系統(tǒng)是一個可伸縮的結(jié)構(gòu),可以滿足不同級別的應用;系統(tǒng)是一個高穩(wěn)定的結(jié)構(gòu),每個模塊可以重復啟動多次,模塊之間任務自動分配,實現(xiàn)了任務在各個模塊之間的平滑轉(zhuǎn)移,理論上,增加啟動模塊的數(shù)目,就意味著模塊處理能力的增加,所以本系統(tǒng)可以作為一個電信級別的應用。
圖1為現(xiàn)有網(wǎng)絡(luò)拓撲示意圖;圖2隱式認證(自動認證)實施例;圖3隱式認證(自動認證)實施例上網(wǎng)順序圖;圖4顯示認證(手工認證)實施例;圖5顯示認證(手工認證)實施例上網(wǎng)順序圖;圖6本發(fā)明系統(tǒng)主要模塊示意圖;圖7后臺服務模塊的示意圖;圖8為本發(fā)明系統(tǒng)的典型部署方式示意圖;圖9為本發(fā)明系統(tǒng)的最小部署方式示意圖。
具體實施例方式
本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)本質(zhì)上屬于DHCP+web模式,通過DHCP給用戶分配地址,通過客戶端(或web)進行用戶身份的認證。不同于絕大多數(shù)寬帶用戶接入采用的應用網(wǎng)關(guān)控制模塊,它有自己的特點通過給用戶分配不同的IP地址實現(xiàn),簡單的講,用戶地址分成兩類,受限地址和非受限地址,沒有認證通過的用戶分配受限地址,認證通過的用戶分配非受限地址,受限地址與非受限地址是由路由器配置控制,通過路由器或者其他的設(shè)置決定IP地址的屬性。
本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)提供了兩種認證模式隱式認證(自動認證)和顯示認證(手工認證)。
一、隱式認證隱式認證(自動認證)實施例,如圖2所示,隱式認證用戶在開戶之后,訪問系統(tǒng)的注冊頁面,登記自己的mac地址。系統(tǒng)自動就會將帳戶與mac、邊緣三層路由器的IP地址綁定在一起。
用戶開機,客戶機發(fā)送discovery消息,ENUS server接收到的discovery消息包涵客戶機的mac地址和三層邊緣設(shè)備的IP地址。如果mac與邊緣三層路由器IP已經(jīng)有帳戶與其綁定,系統(tǒng)自動分配一個非受限IP給客戶機,否則分配一個受限IP給用戶機,完成隱式認證。
隱式認證只適用于按流量計費或者是包月用戶,隱身認證上網(wǎng)順序如圖3所示。
二、顯示認證顯示認證(手工認證)實施例,如圖4所示,用戶開機,獲取受限IP,用戶登陸認證網(wǎng)頁,輸入用戶名和口令,認證通過之后,ENUS系統(tǒng)自動強制用戶更改IP地址,重新獲取一個非受限IP,用戶下網(wǎng)之后,系統(tǒng)則自動強制用戶更改IP地址,重新變回受限IP地址。
顯示認證適用與按時長計費和按流量計費,具體上網(wǎng)順序如圖5所示。
三、本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)中用戶在線狀態(tài)的監(jiān)控本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)通過客戶端(或web)定時向服務端發(fā)送心跳請求,來維護與服務段的聯(lián)系,保證用戶得到穩(wěn)定的服務,否則,服務端在一定時間之內(nèi)無法接收到客戶端的心跳信息,會認為客戶端已經(jīng)下線,中斷服務,以此保證計費事件的誤差在容許的范圍內(nèi)。
客戶端與web上網(wǎng)模式發(fā)送心跳請求的方式略有不同,客戶端通過socket發(fā)送udp數(shù)據(jù)包的方式與服務端聯(lián)系;web模式通過發(fā)送http請求與服務器聯(lián)系。
本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)支持對于預付費用戶的實時斷線用戶認證的同時,對于預付費用戶,系統(tǒng)反算出用戶的上網(wǎng)時長,在用戶上網(wǎng)過程中,實時輪巡,如果發(fā)現(xiàn)用戶可以上網(wǎng)時長降為零,則強制用戶更改IP地址,實時斷線。
本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng),通過客戶端認證上網(wǎng),可以有效的避免傳統(tǒng)DHCP+web模式的弊端偽DHCP對系統(tǒng)的影響。由于網(wǎng)絡(luò)中不可避免存在其他DHCP服務器(偽DHCP),用戶采用DHCP方式分配地址,難免會被偽DHCP分配地址,這種情況下,用戶顯然無法正常上網(wǎng)。
本發(fā)明可以在用戶端安裝客戶端,在客戶端的具體實現(xiàn)中采用了ndis技術(shù),截獲用戶接收到的所有數(shù)據(jù)包,判斷接收到的數(shù)據(jù)包是否是偽DHCP發(fā)送給用戶的(判斷DHCP offer數(shù)據(jù)包,如果gateway屬性為空,則說明是偽DHCP發(fā)送的數(shù)據(jù)包),如果是,則拋棄,通過這種方式,防止偽DHCP對于系統(tǒng)的影響。
本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)對盜用IP的監(jiān)控與限制系統(tǒng)定時查詢邊緣路由器的ARP表,對比系統(tǒng)已經(jīng)分配的IP與mac的地址對,監(jiān)控是否有盜用IP地址的現(xiàn)象。如果發(fā)現(xiàn)盜用IP地址的現(xiàn)象,則將此IP地址映射為非法的MAC地址,并記錄到黑名單。
本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)提供兩種計費方式按流量計費和按時長計費。接入系統(tǒng)負責采集計費事件,它不僅可以將計費事件入自己的計費系統(tǒng),也提供了二次開發(fā)接口,外接其他計費系統(tǒng),按需采集計費事件所需的屬性,將計費事件導入其他計費系統(tǒng)。
四、本發(fā)明寬帶網(wǎng)用戶接入管理系統(tǒng)的構(gòu)建本發(fā)明寬帶網(wǎng)用戶接入管理系統(tǒng)的接入系統(tǒng)是構(gòu)建在corba基礎(chǔ)上的,一個分布式體系結(jié)構(gòu),系統(tǒng)具有任務負載均衡功能、系統(tǒng)熱備份功能,完全滿足電信級應用。
1、接入系統(tǒng)模塊劃分本發(fā)明寬帶網(wǎng)用戶接入管理系統(tǒng)的接入系統(tǒng)從大的方面分為服務端和客戶端兩部分,見圖6,其中重要的模塊包括(一并參見圖7)DHCP模塊、任務分配模塊、路由器管理模塊、路由器控制模塊、授權(quán)(AUTHORIZATION)模塊、認證(AUTHENTICATION)模塊、輪巡(TC)模塊、監(jiān)控模塊、審計管理模塊和流量采集模塊。
其中a)DHCP模塊模塊的功能(1)DHCP弱化為一個接收器,接收DHCP請求,具體的分配操作由認證和授權(quán)模塊完成;(2)由于手工登錄用戶的存在,用戶上網(wǎng)過程中,可能會更改權(quán)限,要求重新分配地址,所以開放一個消息接口,接收MAC地址權(quán)限更改的信息;(3)接收到REQUEST信息之后,先檢查MAC權(quán)限是否改變,如果沒有,直接從緩存中獲取信息,返回給客戶;如果MAC權(quán)限更改,先返回一個NAK,要求客戶釋放原先的IP地址,等待DISCOVERY消息,重走IP地址分配流程。
b)任務分配模塊任務分配模塊完成任務的分配和任務的分發(fā)兩個功能,它即是一個分配器,也是一個適配器,任務分配模塊可以重復啟動多次,每個任務分配模塊都可以完成相同的任務,對于調(diào)用著而言,任務分配模塊是透明的。但由于各個任務分配模塊之間要保證狀態(tài)信息的同步,所以它們之間通過一個共享鎖完成模塊之間的同步,主要的功能有(1)接收后臺模塊發(fā)送的注冊信息,或注銷信息,及時更新后臺模塊信息。
(2)根據(jù)后臺模塊數(shù)量,劃分后臺模塊集群,規(guī)定集群處理的任務,集群之間處理的任務沒有重疊,所有集群處理的任務總和必須囊括所有任務。例如,任務的劃分可以按路由器或MAC地址等方式來劃分。
(3)不轉(zhuǎn)發(fā)任何消息,而是提供接口,獲取處理某個任務的后臺模塊poa NAME。
c)路由器管理模塊完成設(shè)備管理的功能(1)增加邊緣三層設(shè)備;(2)修改邊緣三層設(shè)備;(3)移除邊緣三層設(shè)備;(4)查詢邊緣三層設(shè)備。
其他模塊需要路由器信息的時候,都是通過路由器管理模塊獲取,不直接從數(shù)據(jù)庫中讀,由于路由器管理模塊不保存任何狀態(tài)信息,所以是無狀態(tài)模塊。
d)路由器控制模塊完成對各種類型邊緣路由器的控制操作,主要完成以下兩個功能,(1)查詢邊緣路由器ARP表功能實時查詢邊緣路由器的ARP表,獲取當前活動的IP-MAC地址對數(shù)據(jù)和端口地址數(shù)據(jù),并將數(shù)據(jù)送入監(jiān)控模塊;(2)設(shè)置邊緣路由器ARP表功能接收監(jiān)控模塊送來的IP-MAC地址對數(shù)據(jù),并設(shè)置邊緣路由器的靜態(tài)ARP表。路由器管理模塊也是無狀態(tài)模塊。
e)授權(quán)(AUTHORIZATION)模塊執(zhí)行具體的分配策略,MAC地址權(quán)限的認定由認證模塊完成,根據(jù)認證模塊返回的認證信息,完成IP地址的分配。考慮到模塊的熱備份,數(shù)據(jù)庫中保存相對穩(wěn)定的信息,由于數(shù)據(jù)的備份和流量采集入庫時候記錄與帳戶的對應,具體分配策略如下(1)模塊分配地址完畢,將分配的信息(MAC/IP/ROUTERIP/ACCESSKEY/ACCOUNT)記錄到數(shù)據(jù)庫中。
(2)MAC地址請求分配地址,如果有緩存信息,且MAC/ROUTERIP/ACCESSKEY/ACCOUNT都相同,則使用緩存的IP地址信息;如果沒有,先試圖分配一個從沒有使用過的IP地址;如果有閑置的IP地址,則選擇最早釋放的地址分配。
(3)模塊分配IP地址之后,先檢測IP是否在黑名單中,如果在,則設(shè)置靜態(tài)ARP,然后再返回調(diào)用者。
(4)釋放IP地址的同時,要清除路由器上的ARP信息,否則,就會被MONITOR錯誤的認為是非法的IP地址,而將其列入黑名單。
(5)由于MONITOR的存在,為了保證不封掉正確的IP地址(IP地址已經(jīng)釋放,但還沒有及時從路由器上清除),所以在調(diào)用FINDIPBYROUTER的時候,返回的地址包含正在使用的ARP信息和在一定釋放時間之內(nèi)的釋放信息。
(6)模塊需要獲取并保存的信息如下MAC地址(DHCP模塊傳遞過來的參數(shù)),權(quán)限信息和帳戶信息(調(diào)用AUTHENTICATION模塊接口獲取,和用戶類型),相應的GATEWAY(根據(jù)權(quán)限信息和RELAY--HOST信息共同獲取)。
(7)如果是手工登陸用戶,而權(quán)限不是網(wǎng)內(nèi)地址權(quán)限的時候,需要向TC模塊發(fā)送一條信息,增加一條時長采集的輪巡信息。
(8)由于多個DHCP服務器的存在,同一個MAC可能有多個DHCP的請求分配信息,只處理其中的一個,而忽略其它DHCP服務器的請求;或者DHCP在確定為MAC地址分配信息之后,再注冊一下,以確定MAC-IP-DHCP的對應關(guān)系。
f)認證(AUTHENTICATION)模塊客戶開機,完成MAC地址的認證,如果用戶手工登錄,則完成用戶身份的認證。具體策略如下(1)完成自動登陸用戶的MAC地址的認證過程。
(2)手工用戶上網(wǎng)認證原先是由AM和TC模塊共同完成,現(xiàn)在將這個功能轉(zhuǎn)移到認證模塊中來成,認證通過之后,信息保存在模塊內(nèi)部,不需要將信息保存到數(shù)據(jù)庫中。并將MAC地址權(quán)限信息的改變通知DHCP模塊(要求DHCP模塊重新請求分配IP地址)。
(3)接收TC模塊,手工登錄下網(wǎng)的信息,然后將MAC地址權(quán)限信息的改變通知DHCP模塊(DHCP模塊重新請求)。
g)輪巡(TC)模塊保存所有的正在上網(wǎng)的,并且登陸的手工登陸用戶信息,用于時長計費。將部分認證功能剝離到認證模塊中去認證,只保留時長采集的功能。具體策略如下(1)提供接口,允許創(chuàng)建時長采集輪巡記錄(由授權(quán)模塊調(diào)用創(chuàng)建)。
(2)接收CLIENT發(fā)送的心跳信息,檢測用戶是有在線。
(3)用戶下網(wǎng)之后,通知認證(AUTHENTICATION)模塊,并將時長記錄寫入數(shù)據(jù)庫。
h)監(jiān)控模塊檢測是否有非法的上網(wǎng)上網(wǎng)用戶(IP盜用),并負責將其封掉,模塊可以完全監(jiān)控IP地址盜用和部分MAC地址盜用。具體策略如下(1)通過任務分配器,獲取任務分配列表,直接與授權(quán)模塊打交道,獲取正在使用的MAC-IP信息。
(2)通過RC模塊,獲取路由器上的MAC-IP信息(ARP信息)。
(3)如果發(fā)現(xiàn)非法的IP地址,就將其MAC地址設(shè)置成FFFF:FFFF:FFFF。
監(jiān)控模塊可以設(shè)計成無狀態(tài)模式,也可以設(shè)計成有狀態(tài)模式,變化不是很大,可以視具體情況而定。
i)審計管理模塊完成對系統(tǒng)審計的功能,記錄管理員和系統(tǒng)的日志,并提供審計的查詢接口。審計記錄要分級別,模塊,操作者記錄。
j)流量采集模塊按帳戶采集流量信息,提供NETFLOW與IPACCOUNTING兩種采集方式。具體策略如下(1)SCO路由器,建議采用NETFLOW進行流量采集(可以有詳細的記錄)。
(2)采集上網(wǎng)的流量記錄,不采集網(wǎng)內(nèi)的流量記錄。
(3)現(xiàn)流量采集配置信息的自動化,可以根據(jù)路由器管理模塊提供的路由器信息完成。
2、接入系統(tǒng)熱備份本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)作為一個電信級的應用,要求系統(tǒng)無任何單點故障。系統(tǒng)模塊之間通過CORBA通訊,構(gòu)建成一個分布式的體系結(jié)構(gòu),由于某些模塊內(nèi)部可能生成并保存一些狀態(tài)信息,所以,將系統(tǒng)各個模塊按性質(zhì)分成兩大類無狀態(tài)模塊和有狀態(tài)模塊。所謂無狀態(tài)模塊就是不保存任何狀態(tài)信息,所有信息都從數(shù)據(jù)庫中獲取,生成的結(jié)果也保存到數(shù)據(jù)庫中;利用CORBA的自動負載均衡能力,無狀態(tài)模塊可以同時啟動多個實體,自然也就解決了模塊性能問題與熱備份問題。有狀態(tài)模塊在程序運行過程中會生成一些狀態(tài)信息,在模塊以后的運行過程中也會用到這些信息,所以存在一個備份與恢復的問題;而且由于客戶端可能會多次發(fā)送信息,請求后臺模塊(由認證模塊、授權(quán)模塊、監(jiān)控模塊、TC模塊等組成,如圖7所示。)處理,而且每次處理都需要后臺模塊保存前一次處理的結(jié)果信息,因此相同的客戶端發(fā)出的請求,都必須由同一個后臺模塊處理,所以增加一個任務管理模塊,用于任務的分發(fā)。所以根據(jù)下面的策略來完成系統(tǒng)的熱備份a)系統(tǒng)模塊分成有狀態(tài)模式和無狀態(tài)模式兩種,有狀態(tài)模塊是那些可能發(fā)生性能瓶頸的模塊,無狀態(tài)模塊包括不保存狀態(tài)信息的模塊和一個任務控制模塊。
b)有狀態(tài)模塊初始化的時候只從數(shù)據(jù)庫中讀取模塊處理部分的信息。
c)任務分配模塊負責接收后臺模塊的注冊請求,分配任務,根據(jù)不同的客戶端請求,返回具體的后臺處理模塊信息。
d)有狀態(tài)模塊生成的信息盡量規(guī)范化,盡量利用以前生成的狀態(tài)信息;并將變化的狀態(tài)信息保存到數(shù)據(jù)庫中,以減少對數(shù)據(jù)庫的操作。
e)有狀態(tài)模塊發(fā)生故障的時候,任務分配器自動將該模塊處理的任務轉(zhuǎn)移到其它有狀態(tài)模塊處理,失效模塊的狀態(tài)信息從數(shù)據(jù)庫中讀取。
3、接入系統(tǒng)負載均衡本發(fā)明寬帶網(wǎng)用戶接入管理系統(tǒng)增加的任務分配模塊(taskassign),用來解決關(guān)鍵模塊的性能問題,通過任務分配模塊,將不同的任務分配到特定的后臺模塊處理,實現(xiàn)了后臺關(guān)鍵模塊的負載分擔。前端(主要是DHCP和客戶端)先通過任務管理獲取相應任務的后臺處理模塊,然后在與具體的后臺模塊通訊。后臺服務模塊的結(jié)構(gòu)圖,見圖8。
認證、授權(quán)、輪巡模塊都是有狀態(tài)的,任務分配模塊負責給認證、授權(quán)、輪巡模塊分組,并轉(zhuǎn)發(fā)任務,以此達到任務在各個模塊之間的平均分配,系統(tǒng)增加處理能力,只需要增加啟動的模塊數(shù)目即可。
4、本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)的客戶端傳統(tǒng)意義的寬帶網(wǎng)用戶接入DHCP+web管理模式,有諸多弊端(1)無法限制帶寬;
(2)受非法DHCP服務器影響嚴重;(3)占用大量的網(wǎng)絡(luò)帶寬資源;(4)用戶開機時,DHCP服務器工作不正?;蛘呔W(wǎng)絡(luò)不正常,導致用戶無法獲取正確的IP地址,這種情況下,采用web將無法上網(wǎng),但客戶端可以很好的解決這個問題,所以尤其在網(wǎng)絡(luò)狀況不是很好的情況下,客戶端的優(yōu)勢更明顯。
本發(fā)明寬帶網(wǎng)用戶接入(ENUS)管理系統(tǒng)在提供web接入的同時,提供了客戶端接入,客戶端安裝在用戶客戶機上,對客戶機具有良好的控制能力,能有效的避免傳統(tǒng)web方式的弊端(1)客戶端包含一個ndis的驅(qū)動程序,它可以截獲網(wǎng)絡(luò)上用戶接收到的所有網(wǎng)絡(luò)數(shù)據(jù)包,判斷其中是否有偽DHCP發(fā)送來得offer信息包,有則拋棄,這樣,就屏蔽了偽DHCP對于用戶的影響。
(2)客戶端包含一個ndis的驅(qū)動程序,它可以截獲用戶接收到和發(fā)送的所有網(wǎng)絡(luò)數(shù)據(jù)包,計算流量,如果發(fā)現(xiàn)超過了一定的帶寬,則拋棄掉一些tcp數(shù)據(jù)包,直到網(wǎng)絡(luò)流量限定在指定帶寬范圍之內(nèi)。
(3)客戶端于服務端之間通過udp通信,每次通信都只有幾十個、甚至十幾個字節(jié),相比較http請求,無疑是大大減少了對于網(wǎng)絡(luò)帶寬的占用。
五、本發(fā)明寬帶網(wǎng)用戶接入管理系統(tǒng)主要事件流程如下第一步,隱式認證(自動認證)上網(wǎng)a)客戶開機,使用DHCP協(xié)議上網(wǎng),向DHCP SERVER發(fā)送DISCOVERY請求;b)DHCP SERVER接收到DISCOVERY請求之后,向授權(quán)模塊請求IP地址;c)授權(quán)模塊通過認證模塊認證,獲取MAC地址的相應權(quán)限,分配IP地址,依次返回,客戶獲取IP地址,也就完成了自動登錄流程;DHCPSERVER接收到租用周期延長的請求,直接使用緩存信息返回客戶,不需要再次向授權(quán)模塊認證請求;第二步,分配地址之后,授權(quán)模塊根據(jù)新的IP地址,通知TC模塊增加一條時常記錄信息;第三步,通過TENET方式訪問和控制路由器,定期獲取路由器上的ARP信息,與系統(tǒng)已經(jīng)分配的IP地址比較;第四步,如果發(fā)現(xiàn)不在系統(tǒng)分配列表中的地址,則認為是盜用IP,通過TELNET,將其IP地址對應的mac設(shè)置成一個不存在的mac地址,以此達到限制盜用IP地址的使用;第五步,客戶向TC模塊發(fā)送心跳信息,以證明自己處于活躍狀態(tài);第六步,當客戶下網(wǎng)時,將上網(wǎng)時長記錄寫入數(shù)據(jù)庫;第七步,當客戶下網(wǎng)后,利用DHCP協(xié)議,強制用戶釋放地址,重新獲取地址,以此來改變用戶地址;第八步,結(jié)束。
所述主要事件流程第一步還可以是顯示認證(手工認證)a)客戶手工上網(wǎng),向授權(quán)模塊發(fā)送認證請求;b)授權(quán)模塊從數(shù)據(jù)庫中讀取信息來認證;c)認證通過,認證模塊通知DHCP模塊,相應的MAC地址權(quán)限已經(jīng)改變;d)當客戶再次向DHCP SERVER發(fā)送租期延長請求之后,DHCPSERVER發(fā)現(xiàn)相應的MAC地址權(quán)限信息發(fā)生改變,重新向授權(quán)模塊請求分配地址;e)DHCP SERVER接收到DISCOVERY請求之后,向授權(quán)模塊請求IP地址;f)授權(quán)模塊通過認證模塊認證,獲取MAC地址的相應權(quán)限,分配IP地址,依次返回,客戶獲取了新的IP地址,可以上網(wǎng)了;DHCP SERVER接收到租用周期延長的請求,直接使用緩存信息返回客戶,不需要再次向授權(quán)模塊認證請求。
六、本發(fā)明寬帶網(wǎng)用戶接入管理系統(tǒng)各設(shè)備的部署本發(fā)明寬帶網(wǎng)用戶接入管理系統(tǒng)各設(shè)備的典型部署方式,如圖8所示,以太網(wǎng)用戶管理系統(tǒng)服務器1連接有數(shù)據(jù)庫服務器2和管理員計算機3,并與流量采集服務器4、DHCP服務器5和路由器6電連接;流量采集服務器4和DHCP服務器5分別與路由器6連接;路由器6上接有用戶計算機7,以太網(wǎng)用戶管理系統(tǒng)服務器1與公網(wǎng)連接。
本發(fā)明寬帶網(wǎng)用戶接入管理系統(tǒng)各設(shè)備的部署,還有一種最小方式,如圖9所示,以太網(wǎng)用戶管理系統(tǒng)服務器1連接有管理員計算機3和路由器6,路由器6上接有用戶計算機7,以太網(wǎng)用戶管理系統(tǒng)服務器1與公網(wǎng)連接。
權(quán)利要求
1.一種寬帶網(wǎng)用戶接入管理系統(tǒng),基于DHCP+web模式,其各設(shè)備的典型部署方式是,以太網(wǎng)用戶管理系統(tǒng)服務器連接有數(shù)據(jù)庫服務器和管理員計算機,并與流量采集服務器、DHCP服務器和路由器電連接;流量采集服務器和DHCP服務器分別與路由器連接;路由器上接有用戶計算機;以太網(wǎng)用戶管理系統(tǒng)服務器與公網(wǎng)連接,其特征在于,在路由器上設(shè)置不同的IP地址池,各個IP地址池中的IP地址具有不同的訪問權(quán)限,只有認證通過的用戶才可以訪問公網(wǎng),非認證通過的用戶只能訪問內(nèi)部網(wǎng)絡(luò),以解決大量占用IP地址的問題。
2.如權(quán)利要求1所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其特征在于,在提供網(wǎng)絡(luò)(web)接入的同時,提供了客戶端接入,客戶端安裝在用戶客戶機上。
3.如權(quán)利要求1所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其特征在于,通過TELNET方式訪問和控制路由器,定期獲取路由器上的ARP信息,與系統(tǒng)已經(jīng)分配的IP地址比較,如果發(fā)現(xiàn)不在系統(tǒng)分配列表中的地址,則認為是盜用IP,通過TELNET,將其IP地址對應的mac設(shè)置成一個不存在的mac地址,以此達到限制盜用IP地址的使用。
4.如權(quán)利要求1所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其特征在于,利用DHCP協(xié)議,在用戶認證通過或者下網(wǎng)之后,強制用戶釋放地址,重新獲取地址,以此來改變用戶地址;如果是客戶端用戶,客戶端應用程序可以主動的釋放或者獲取地址,以實現(xiàn)“認證后分配IP”的功能。
5.如權(quán)利要求1所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其特征在于,系統(tǒng)自身提供了用戶管理功能,可以獨立使用,同時提供了二次開發(fā)接口,可以與其他的計費平臺配合使用。
6.如權(quán)利要求1所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其特征在于,系統(tǒng)是一套完善的運營支撐系統(tǒng),可以提供所有的業(yè)務模式包月、計時、計流量、包月限時、包月限流量、現(xiàn)金卡、儲值卡、專線等,以滿足所有寬帶運營商的各種要求。
7.如權(quán)利要求1所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其特征在于,系統(tǒng)各設(shè)備的部署,還有一種最小方式以太網(wǎng)用戶管理系統(tǒng)服務器連接有管理員計算機和路由器,路由器上接有用戶計算機;以太網(wǎng)用戶管理系統(tǒng)服務器與公網(wǎng)連接。
8.如權(quán)利要求1所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其特征在于,主要事件流程如下第一步,隱式認證(自動認證)上網(wǎng)a)客戶開機,使用DHCP協(xié)議上網(wǎng),向DHCP SERVER發(fā)送DISCOVERY請求;b)DHCP SERVER接收到DISCOVERY請求之后,向授權(quán)模塊請求IP地址;c)授權(quán)模塊通過認證模塊認證,獲取MAC地址的相應權(quán)限,分配IP地址,依次返回,客戶獲取IP地址,也就完成了自動登錄流程;DHCPSERVER接收到租用周期延長的請求,直接使用緩存信息返回客戶,不需要再次向授權(quán)模塊認證請求;第二步,分配地址之后,授權(quán)模塊根據(jù)新的IP地址,通知TC模塊增加一條時常記錄信息;第三步,通過TELNET方式訪問和控制路由器,定期獲取路由器上的ARP信息,與系統(tǒng)已經(jīng)分配的IP地址比較;第四步,如果發(fā)現(xiàn)不在系統(tǒng)分配列表中的地址,則認為是盜用IP,通過TELNET,將其IP地址對應的mac設(shè)置成一個不存在的mac地址,以此達到限制盜用IP地址的使用;第五步,客戶向TC模塊發(fā)送心跳信息,以證明自己處于活躍狀態(tài);第六步,當客戶下網(wǎng)時,將上網(wǎng)時長記錄寫入數(shù)據(jù)庫;第七步,當客戶下網(wǎng)后,利用DHCP協(xié)議,強制用戶釋放地址,重新獲取地址,以此來改變用戶地址;第八步,結(jié)束。
9.如權(quán)利要求1或9所述的寬帶網(wǎng)用戶接入管理系統(tǒng),其特征在于,所述主要事件流程第一步還可以是顯示認證(手工認證)a)客戶手工上網(wǎng),向授權(quán)模塊發(fā)送認證請求;b)授權(quán)模塊從數(shù)據(jù)庫中讀取信息來認證;c)認證通過,認證模塊通知DHCP模塊,相應的MAC地址權(quán)限已經(jīng)改變;d)當客戶再次向DHCP SERVER發(fā)送租期延長請求之后,DHCPSERVER發(fā)現(xiàn)相應的MAC地址權(quán)限信息發(fā)生改變,重新向授權(quán)模塊請求分配地址;e)DHCP SERVER接收到DISCOVERY請求之后,向授權(quán)模塊請求IP地址;f)授權(quán)模塊通過認證模塊認證,獲取MAC地址的相應權(quán)限,分配IP地址,依次返回,客戶獲取了新的IP地址,可以上網(wǎng)了;DHCP SERVER接收到租用周期延長的請求,直接使用緩存信息返回客戶,不需要再次向授權(quán)模塊認證請求。
全文摘要
本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù),特別是一種寬帶網(wǎng)用戶接入管理系統(tǒng)。本發(fā)明寬帶網(wǎng)用戶接入管理系統(tǒng)屬于DHCP+Web方式,但在系統(tǒng)中增加了對于路由器的管理和控制,可以在不改變運營商網(wǎng)絡(luò)拓撲的情況下,應用本系統(tǒng),而且系統(tǒng)具有防IP調(diào)用,認證之后改變地址,而且也提供了接入客戶端,具有流量控制功能,所以系統(tǒng)基本上克服了傳統(tǒng)意義上DHCP+web的局限性,是一套完善的運營支撐系統(tǒng),可以提供所有的業(yè)務模式,以滿足所有寬帶運營商的各種要求,亦可以滿足電信級的應用。
文檔編號H04M11/06GK1523815SQ0310546
公開日2004年8月25日 申請日期2003年2月21日 優(yōu)先權(quán)日2003年2月21日
發(fā)明者王顯著, 劉在恒, 羅寧, 黃昆, 孫軍榮, 岳學理, 宋亮, 張曉海, 金明巖, 邵海鷹, 韋福, 易江 申請人:北京潤匯科技有限公司