一种接入系统中的装置和方法

专利名称：一种接入系统中的装置和方法
技术领域：
本发明涉及一种多业务以太网接入系统和在该系统中建立服务接入关系的方法，尤其涉及到系统中的移动用户。
背景技术：
以太网主要是做为一种LAN(局域网)技术发展起来的，以为企业内部数据网提供充分的基础设施为目标。它原本是为中速率共事媒质开发的，但是本技术主要用于高达10Gbits/s的点对点链接，由大容量以太网交换机互连，支持在IEEE802.1q标准中描述的虚拟LAN，即VLAN。虚拟LAN包括一组相互之间需要通信的系统，比如一个工作组中的计算机，和限制VLAN帧到VLAN成员的传递的协议一个LAN可以分成多个VLAN，每个VLAN分配有一个在LAN中唯一区分它的被称为VLAN标志符的号码，一个LAN至少包括一个VLAN，即缺省VLAN。
交换机包括先进的自学习特性和广播行为，非常适于建设比如支持多个用户组的公司网。
然而在公众服务体系中，存在关于安全、范围和服务计费能力的不同需求，在公众网中，每个用户都希望得到自己完全独立的工作组集合。这样就产生了一个独特的问题可利用的VLAN标志符的数目不超过4096，一个标签定义一个用户，这个数目远远不足以为成千上万的用户服务。
在国际专利申请WO 00/77983中，描述了一种远程通信系统，在该系统中用户可以选择服务。服务网和用户连接到一个交换域。将服务网分组，通过设置交换机上的端口为每个组分配一个VLAN。用户可以通过将自己的设备安装到一个所选VLAN中，来选择服务。
在国际专利申请WO 00/79830中，描述了一种远程通信系统，在该系统中用户可以选择服务。交换域中有一些连接着服务提供商和网络终端的交换机。交换机上有一个用户端口连接到网络终端的上连端口。用户端口为不同的服务提供商配置，网络终端有相应的服务端口，与先前确定的服务相对应的服务器端口被设定。
在这两项申请中，用户的数目是受限制的。
欧洲专利中请EP 1045553 A2公开了一个网络的VLAN桥接。网络具有用于改变地址的节点，用户通过网络向接收者发送一条标志了地址的消息。当消息到达网络的一个节点时，接收机地址被改变为网络中的一个暂时地址。消息通过网络的另一个节点离开该网络时，地址又变回原来的样子。

发明内容
本发明涉及到一个如何利用以太网技术建立实际上用户数目不受限制的多业务接入系统的问题。
第二个问题是如何通过该系统为用户提供服务，许多业务实际上覆盖了所有提供的服务。
第三个问题是怎样在用户和服务提供商之间提供安全的服务绑定。
第四个问题是怎样以单播形式建立服务绑定。
第五个问题是怎样以多播形式建立服务绑定。
第六个问题是怎样控制系统中的通信。
第七个问题是怎样使一个连接到接入系统的用户成为可移动的。
问题是通过一个接入系统解决的，系统包含一个称为边界接入服务器的节点，该节点用来连接服务提供商和一个称作次末级节点的节点，次末级节点用来连接用户，节点由一个支持以太网帧交换的装置互连在一起。边界接入服务器具有服务代理，用来连接服务提供商，次末级节点具有用户端口，用来连接用户网络。在单播情况下，安全的个人服务接入关系在接入系统中提供，每个连接被提供在一个服务代理和一个用户端口之间。在多播情况下，一个服务接入关系被提供在一个服务代理和大量用户端口之间，连接扩展到用户网的连接。一个移动用户声明它在另一个用户端口的出现，而边界接入服务器决定相应的服务接入关系。
具体地说，用户端口是为连接用户网设计的。每个用户网都有一个具有至少一个VLAN的以太网。一组用户端口被选出来用于移动用户设备。每个服务关系有一个动态分配的MAC地址，该地址分配给相关的服务代理。一组MAC地址被预留给移动用户设备。服务接入关系要么由动态分配的MAC地址定义，要么由MAC地址与一个进一步的标志符共同定义。最初，服务接入关系对应一个用户端口，在多播情况下，则对应着大量用户端口。接入系统有一个广播处理器系统，包含在服务接入或服务使用中的广播信息被该系统在拥有相应的用户端口的次末级节点上获得。传输的控制是通过动态分配的MAC地址，和在适当的地方与标志符的共同帮助实现的。当移动用户设备连接到另一个用户端口时，与之相关的服务接入关系由边界接入服务器决定。
本发明的一个目的是通过一种使用以太网技术的接入系统，给出一种实际上用户数量不受限制的服务接入。
第二个目的是可以同时为一个用户提供的服务实际上覆盖了所有提供的服务。
第三个目的是服务提供商和用户设备之间的服务接入关系应该是安全的。
第四个目的是应该用以太网技术在网络中建立服务接入关系。
第五个目的是既能以单播形式又能以多播形式建立服务接入关系。
第六个目的是控制系统中的通信传输。
第七个目的是使用户有能在接入系统的用户端口之间移动的设备。
本发明的一个优点是可以利用标准化的以太网技术，建立一个实际上用户数目不受限制的多业务接入网络。
第二个优点是同时为一个用户提供的服务数量可以覆盖所有提供的服务。
第三个优点是服务提供商和用户设备之间的服务接入关系是安全的关系。
第四个优点是使用了以太网技术建立网络中的服务连接。
第五个优点是服务接入关系既可以建立成单点关系也可以建立成多点关系。
第六个优点是在单播情况下，用户之间对VLAN的使用不需要相互协调，标准的以太网部件既可以用于接入系统，也可以用于用户网，本发明使得接入网的简易管理和配置成为可能。
第七个优点是，用户可以拥有在接入系统的不同用户端口之间移动的设备。


现在借助实施例并参考附图，进一步详细描述本发明。
图1示出了一个接入系统的总体框图。
图2示出了图1所示接入系统更详细的框图。
图3a示出了一个以太网帧的图解。
图3b示出了帧中一个VLAN标签的图解。
图3c示出了帧中一个地址域的图解。
图4示出了图1中一个用户和该用户的VLAN的框图。
图5示出了广播处理器中一个寄存器的框图。
图6示出了一个上连以太网帧的框图。
图7示出了一个有地址的块。
图8示出了处理器中一个寄存器的框图。
图9示出了定义一个接入连接的方法流程图。
图10示出了一个DHCP请求的方法流程图。
图11示出了一个ARP请求的方法流程图。
图12示出了一个多播情况下的接入系统框图。
图13示出了一个多播方法流程图。
实施例详述图1示出了一个连接有用户U11、U12、U13、U21、...Um1、UM和服务提供商SP1、SP2、...、SPn的多业务接入系统ACC1。一个目的是使建立的系统中，用户U11、U12、U13、U21、...Um1、UM的数目可以非常大，比如成千上万。另一个目的是使每个用户可以使用的服务提供商SP1...SPn的数目也很大，比如数千种服务。接入系统ACC1包含节点P1、P2...Pj、Pk，用户借助以太网技术连接到这些节点上。接入系统还包含一个连接服务提供商的节点EAS。节点EAS通过一个符合IEEE 802.1q标准的以太网ETH1与用户节点P1-Pk相连。ETH1是一个大型网络，而且其中还含有大量图中没有显示出来的可以成为VLAN的以太网交换机。用户和服务提供商通过网络ETH1，由个性服务接入关系互连，比如用户U11和服务提供商SP1的连接R11。连接的服务质量是有保障的，而且在只有具有该连接的用户和服务提供商才能收听或使用某个连接的意义上，连接也是安全的。下面进一步详细描述连接。
图1中的实施例在图2中得到进一步显示。接入系统ACC1的节点P1、P2、...、Pj、Pk，下文中称之为次末级节点，具有用户端口UP11、UP12、、UP13、UP21、...、UPj1、UPj2、UPk1。每个用户端口只与用户U11-Um1，UM之一通过电线W11-Wk1相连。每个次末级节点P1-Pk都有一个管理该节点上的用户端口的处理器H1、H2、...、Hj、Hk。每个处理器都有一个寄存器REG11、REG21、...、REGk1。接入系统ACC1上的节点EAS是一个包含服务代理SA1、SA2、...、SAn的边界接入服务器，每个代理都有相应的服务端口PT1、PT2、...、PTn。边界接入服务器还具有界面IF1、IF2、IF3、...、Ifj，一个管理单元AD1和一个带有寄存器REG1的广播处理器BH1。边界接入服务器上的单元全部被绑定到一个以太网帧分布系统SW1。每个服务代理都有唯一一个服务提供商SP1-SPn。次末级节点通过界面连接到边界接入服务器EAS。次末级节点集上的处理器H1-Hk与边界接入服务器EAS上的广播处理器BH1绑定在一起，共同构成了一个分布式操纵系统。每个用户U11-Um1、UM都有一些用户设备，比如，用户UM有设备UD1，用户U11有设备UD11、UD12、UD13和UD14，用户U12有设备UD21、UD22和UD23。
如前所述，网络ETH1和用户U11-Um1、UM都使用了以太网技术，故下面简要解释一下以太网技术。
图3示出了一个符合IEEE802.1q标准的以太网帧FR1。该帧有一个目标地址域D1，随后是源地址域S1。它还有一个用于定义以太网帧类型的T1域，一个指明所涉及的VLAN的VL1域和一个包含有效载荷即传输信息的EPL1域。地址F预留为广播地址。
图3b更加详细地显示了VL1域。它有16个字节，其中包括一个三字节的优先权标签PTG1、一个指示位和一个12字节的VLAN标签VTG1。正是这个VLAN标签指明了具体的VLAN，由于该标签有12个字节，所以它可以区分212＝4096个不同的VLAN。
图3c示出了源地址域S1，它由48个字节组成。单字节的L1表示该地址是本地的还是全局管理的。单字节的M1表示帧FR1是否是一个用于比如IP多播消息的多播帧。剩余的46个字节在ADR1域中，是MAC地址的地址字节。任何用户设备都有一个全局管理的MAC地址，该地址是由该设备的制造商给出的。例如在图2中，用户设备UD11具有地址UMAC1，该地址是唯一地属于该设备的。从下面的描述还可以看出，连接到同一用户的不同服务提供商比如在服务提供商SP1-SPn中的数目，也受到VLAN标签数目即212＝4096的限制。
图4详细显示了用户设备是如何连接到次末级节点的。该图是连接的一个逻辑图。例中，用户U11有一个包含标签为TAG1、TAG2、TAG3、TAG4的用户VLAN的以太网局域网ETH2，该局域网通过电线W11与用户端口PT11相连。用户设备UD11轮流属于标签为TAG1的VLAN，设备UD12具有标签TAG2，设备UD13具有标签TAG2和TAG3，设备UD14具有标签TAG4。
一方面，在普通以太网中，各VLAN内部的不同参与者之间可以相互自由、高效地通信，这是以太网的基本原理。一个用户想联系另一用户时，先发出一个广播式地址解析协议ARP，协议中带有请求“谁具有这个IP地址？”。网络中每个成更都可以接听，具有被请求IP地址的用户将它的MAC地址发送给第一个用户，两用户之间的连接就建立起来了。另一方面，在接入系统中，一个基本的服务是使用户和服务提供商之间的服务绑定都能实现，同时在绑定中通过接入系统提供传输服务，以便服务可以高度安全地传递给用户而不会造成任何质量下降。在多业务，即多业务提供商情境中，一些这样的绑定必须能够及时到达任何给定点，同时不会造成绑定之间或给不同用户的绑定之间的相互干扰。在本描述中，将会说明一个多业务接入系统，比如接入系统ACC1，怎样满足这些使用以太网技术服务的需求。
为使接入网ACC1进入工作，首先，用户决定他们选择哪些服务以及从哪个VLAN上获得其中的某种服务。每个用户可以不受其他用户的影响，对VLAN和服务之间的对应关系做出自己的决定。该例中，用户U11选择了来自服务提供商SP1的服务，并决定用标签为TAG1的VLAN来获得该服务。用户U11还选择了服务提供商SP2的服务，并决定用标签为TAG2的VLAN来获得该服务。相应地，用户U11选择服务提供商SP3在标签为TAG 3的VLAN上和服务提供商SP4在标签为TAG4的VLAN。其他用户可以选择其他服务和决定其他VLAN组。例如，用户U12选择服务提供商SP1提供的服务，并决定用标签为TAG3的VLAN来获得该服务。用户U12还选择了服务提供商SP3的服务，并决定用标签为TAG3的VLAN来获得该服务。然后，用户将他们的决定发送到边界接入服务器EAS上的管理单元AD1，用户由他们对应的用户端口来定义。发送可以以任何合适的方法进行，比如填写一个网页，寄一封普通信件或打一个电话。管理单元AD1还有服务提供商SP1-SPn和服务代理SA1-San之间的对应信息.。这样，管理单元AD1就有了包括服务代理、VLAN标签和用户端口的三组信息。逐渐地，随着用户U11-Um1发送信息，管理单元AD1建立起广播处理器BH1中的寄存器REG1，寄存器REG1如图5所示。于是与不同用户端口UP11-UPk1对应的列表L11、L12、L13、L21...Lk1被创立了，其中含有与相应VLAN标签对应的域。该域中记录了各唯一的MAC地址，这些地址由管理单元AD1动态分配给对应于不同服务代理的服务端口。
在上例中，用户U11选择了服务提供商SP1的服务，决定了标签为TAG1的VLAN。管理单元为连接服务提供商SP1的服务代理SA1的服务端口PT1动态分配一个唯一的MAC地址SAMAC1。该地址是从一个本地管理的地址集LAA中分配的，记录在与用户端口UP11对应的列表L11中一个由VLAN标签TAG1指明的域内。这意味着所分配的MAC地址只与一个具有用户端口UP11和VLAN标签TAG1的消息对有关。这样，关系R11就由服务端口PT1的地址SAMAC1定义，而该地址则绑定到用户端口UP11和VLAN标签TAG1。应当指出，只有服务提供商SP1和用户U11才能使用连接R11。与上面的例子类似，唯一的MAC地址SAMAC2被动态分配给服务代理SA2的服务端口SP2，并记录在相同的列表L11上由VLAN标签TAG2定义的域内，一个新连接R21就建立了，它由地址SAMAC2定义，并定向到用户端口UP11和标签为TAG1的VLAN。同理，MAC地址SAMAC5分配给服务代理SA3、服务端口PT3，记录在标签为TAG3的域中，MAC地址SAMAC6分配给服务代理SA4、服务端口PT4，记录在标签为TAG4的域中。
对于用户端口UP2上的用户U12来说，唯一的MAC地址SAMAC3动态分配给服务代理SA1的服务端口PT1，该地址写在列表L12中由VLAN标签TAG3指定的域内。用户U12还有一个MAC地址SAMAC4，动态分配给服务代理SA3、服务端口PT3，该地址写在列表L12中由VLAN标签TAG1指定的域内。
综上所述，在该实施例中，服务端口PT1-PTn中的每一个都可以与服务代理唯一MAC地址的一个集合相关联，而每个MAC地址只与用户端口UP11-UPk1中特定的一个相关。
如上所述，用户端口和服务代理之间的连接已经建立并保存在寄存器REG1中，但是用户设备仍然不能使用与之对应的服务。事实上，直到现在，用户设备甚至还没有必然地连接起来。想使用服务时，用户通过VLAN组将自己的用户设备连接到电线W11-Wk1上，如图4用户U11的例子所示。之后，必须建立IP地址和MAC地址之间的对应关系，该实施例使用传统的动态主机配置协议DHCP来实现这一对应关系。DHCP是更加常见的服务连接请求的一个例子。通过该协议不同用户设备得到它们的默认网关，网关即相应的服务代理。随后，它们还将得到自己的IP地址和相应服务代理的IP地址，这是通过下述方式进行的。
如图6所示，用户设备UD11发出带有地址和有效载荷的帧FR2。目的地址域D1中写有广播地址F。源地址域S1中写有用户设备UD11的MAC地址UMAC1，VLAN域VL1中写有VLAN标签TAG1，亦即在图4中出现的标签。帧FR2中的信息是“这是一个DHCP请求”。用户U11-Um1通过以太网VLAN组被连接，并不知道系统ACC1的组成。在用户看来，他们就像连接在传统的以太网上一样操作，所以在图6中，用户设备UD11发出帧FR2做为广播式请求。从用户设备UD11的角度看，目的是广播式请求给出用户与之相关的DHCP服务器的标志符。在该实施例中，服务器就是服务代理SA1，它有一个可以由它分配的IP地址集。帧FR2中的广播式请求首先被处理器H1通过用户端口UP11截取。通过端口UP11得到帧FR2的处理器H1，添加端口标志。然后，它将端口标志和帧FR2打包成一个单播消息U1，参见图2，并将该消息发送给边界接入服务器EAS上的广播处理器BH1。得到消息U1时，广播处理器BH1查看它的寄存器，即图5所示的寄存器REG1。借助于用户端口UP11和VLAN标签TAG1，广播处理器找到了服务代理SA1的MAC地址SAMAC1。现在，用户设备U11的默认网关，即服务代理SA1已经找到。还需要分别给用户设备U11和它的以下述方式工作的默认网关一个IP地址。广播处理器将前述请求发送给找到的服务代理SA1，其中现在有图7中表TAB1所示的消息。该消息是服务代理自身的端口地址SAMC1、VLAN标签TAG1、子网掩码SM1、用户MAC地址UMAC1和服务代理自身的IP地址IPSA1。服务代理SA1从它的IP地址集中为用户设备UD11分配一个IP地址IPUD11，这和表TAB1的内容有关。常规方式下，根据DHCP协议，信息被传回用户U11。DHCP回应包括做为默认网关地址的服务代理的IP地址IPSA1、分配的IP地址IPUD11、子网掩码SM1。常规方式下，用户设备UD11将服务代理SA1的IP地址IPSA1、自己的IP地址IPUD11和子网掩码SM1做为主机配置数据储存起来。
相应地，用户U11的其他设备发送带有其MAC地址和相应VLAN标签即图4所示标签的DHCP请求。注意，用户设备UD13需要发送两个DHCP请求，分别带有标签TAG2和TAG3。
现在，连接R11已经在IP一级上建立起来了。当服务代理SA1收到带有地址IPUD11的IP包时，它找到表TAB1中的信息，并把该包发送给具有MAC地址UMAC1的正确接收者。用户设备UD11还具有服务代理即它的“默认网关”的IP地址IPSA1。常规方式下，用户设备UD11使用ARP请求(地址解析协议)来得到对应于IP地址IPSA1的MAC地址。用户设备UD11发出一个广播式ARP消息，次末级节点P1上的处理器H1通过用户端口UP11接收该消息，为用户端口添加用户端口标志，并以单播方式发送给边界接入服务器EAS上的广播处理器BH1。广播处理器查看用户端口UP11的列表L11上的寄存器REG1。在VLAG标签TAG1中，广播处理器找到了该服务代理的MAC地址SAMAC1，把地址SAMAC1传送给处理器H1，H1再将地址SAMAC1转发给用户设备UD11。借助地址SAMAC1，用户设备UD11现在就可以使用关系R11得到服务提供商SP1的服务了。
第二种实施例是，次末级节点P1中的处理器H1成功创建寄存器REG11，如图8所示。寄存器REG11与广播处理器BH1上的寄存器REG1相似。寄存器REG11只包含该次末级节点中的用户端口UP11、UP12、UP13和VLAN标签，用户端口分别在相应的列表PL11、PL12和PL13上。当用户设备第一次做出ARP请求时，如上所述，处理器H1从广播处理器BH1找回MAC地址SAMAC1，然后在寄存器REG11中填写地址SAMAC1。用户设备下一次做出ARP请求时，处理器H1首先查看自己的寄存器REG11，而不是将请求发送给广播处理器BH1。处理器H1在VLAN标签TAG1中找到请求地址SAMAC1，并立即将它发回用户设备UD11。
第三种实施例是，在建立广播处理BH1的寄存器REG1时，建立处理器H1的寄存器REG11。
下面将要描述一些替代实施例。
在前面的实施例中描述了用户首先通过接入系统ACC1做出DHCP请求以得到IP地址，接着进行ARP请求。在一种替代方案中，采用另外一种方法实现配置。IP地址请求可以通过一种被称为静态配置的方法进行。如上所述，完成配置后，用户设备做出ARP请求，以得到它的默认网关，即相应的服务代理的MAC地址。与上述方式相同，如果前面没有DHCP请求，所有来自用户的ARP请求，也将被次末级节点截取，并得到相应默认网关的地址。在这种方式下，不同用户之间的所有通信都强制流向服务代理。前面还讲到动态分配的MAC地址属于局部管理地址集LAA，一种替代方案是从IEEE购买一组MAC地址。
服务代理成功建立一个记录表，以实现IP地址和用户设备MAC地址之间的互译。当服务代理收到一个数据包时，先读出IP地址，如果该地址在该服务代理自己管理的子网内，就寻找该IP地址，找到用户MAC地址，服务代理将数据包转寄到该用户MAC地址；含有任何其他IP地址的数据包都将被转发给服务提供商。
前面结合图1和图2，描述了分布式处理器系统包括次末级节点上的处理器H1和边界接入服务器EAS上的广播处理器BH1。次末级节点和边界接入服务器通过网络ETH1互连。在一个替代实施例中，次末级节点是接近边界接入服务器的一个单元。次末级节点和边界接入服务器之间的通信通过以太帧进行，其间没有互联网ETH1。甚至还可以将次末级节点看成边界接入服务器的一部分。应当注意，边界接入服务器EAS，次末级节点集P1-Pk，处理器寄存器REG1、REG11-REGk1以及接入系统的其他部件不必是物理单元，它们更适于是功能单元，功能单元可以根据情况选择合适的集中式分布或分布式分布。
在与图2有关的实施例中，每个服务接入关系都由唯一的服务代理MAC地址定义，例如，连接R11由地址SAMAC1定义。于是，每个服务代理可以有一组分配给其服务代理端口的不同MAC地址。每个地址对应一个与相应用户端口的连接。在一个替代实施例中，每个服务代理只有一个服务代理MAC地址，不同用户端口的所有不同服务接入关系都使用该地址。在这种实施例中，相应的服务接入关系由一个全接入连接标志定义，该标志包括服务代理MAC地址和一个进一步的服务接入关系标志。这个进一步的标志出现在传输帧的以太网头中。这种标志的一个例子是VLAN标签加用户设备MAC地址。
通过使用上面提到的进一步服务接入关系标志，在一种实施例中，也可以将大量MAC地址分配给服务代理的一个端口，然后将每个MAC地址和一组连接绑定在一起，其中每个连接都有自己的进一步标志。
前面结合图4，描述了具有以太网ETH2的用户U11，通过有标签的VLAN组将用户设备连接到次末级节点P1上。一个替代方案是用户具有一个基于端口的VLAN，该VLAN有一个转换器，转换器读出标签，并切换到相应用户设备的端口。另一个替代方案是用户具有一个基于MAC的VLAN，次末级节点检查用户MAC地址与VLAN标签相对应。
在一种实施例中，VLAN标签从服务代理传输到次末级节点，以将一个被请求的服务传送到正确的用户设备。一个替代方案是，只传送服务代理MAC地址(比如SAMAC1)，不传送VLAN标签。次末级节点自己从定义服务接入关系的、唯一的服务代理MAC地址中取得VLAN标志符，如VLAN标签。
前面结合图2，描述了服务提供商SP1-SPn依次连接到每个服务代理SA1-San上。在一个替代实施例中，一个服务提供商可以连接两个或更多的服务代理。
上面描述了DHCP请求的使用。对于IP以外其他类型的服务或在用户设备和服务代理之间建立连接的其他方法，可以使用其他类型的广播式服务连接请求。通过广播处理器，其它的请求也由一个服务代理的MAC地址回复，地址的标志方式与DHCP中的方式相同。可以提到的一个例子是，在以太网中使用PPP，即PPPoE，这里一个广播式PPPoE请求将会被响应以一个服务代理MAC地址，该地址是做为PPPoE服务器的服务代理的MAC地址。前面提到的ARP请求也是一个示例。对IP协议以外的其他协议，使用相似的过程实现地址解析。
下面结合图9中的流程图，描述一下上面在多业务连接系统ACC1中定义服务接入关系时所用方法的概况。步骤90一个用户决定用它的一个VLAN得到某一种服务，比如，用户U11选择来自服务提供商SP1的服务，并决定使用标签为TAG1的VLAN来获得该服务。步骤91该用户将所决定的标签、所选服务和它的用户端口UP11发送给管理单元AD1。步骤92管理单元核查在服务代理SA1-SAn中，哪一个与所选服务对应，于是找到服务代理SA1。步骤93管理单元为服务代理SA1动态分配唯一的服务代理MAC地址SAMAC1。步骤94在广播处理器BH1中，创立寄存器REG1，在该寄存器中服务代理MAC地址SAMAC1与用户端口UP11和VLAN标签TAG1关联在一起。步骤95服务接入关系R11被定义。
下面结合图10中的流程图和图11简单叙述一下在IP地址和MAC地址之间建立对应关系的方法。在图10第一步100中，处理器H1通过来自用户设备U11的帧FR2，接收到广播式DHCP请求。帧FR2中包括用户MAC地址UMAC1和VLAN标签TAG1。步骤101中，处理器H1添加用户端口标志UP11。在步骤102中处理器H1将该完整消息以单播方式发送给位于边界接入服务器EAS上的广播处理器BH1。广播处理器记下用户端口UP11和VLAN标签TAG1(步骤103)，查看其寄存器REG1，指出相应的唯一服务代理MAC地址SAMAC1(步骤104)。在步骤105中，广播处理器找到了相应的服务代理SA1。现在，整个过程的第一部分即寻找默认网关已经完成。下一步是将IP地址发送给用户设备。在步骤106中，广播处理器BH1将用户端口和VLAN标签发送给服务代理SA1。在步骤107中，服务代理SA1将IP地址IPUD11分配给用户设备UD11。在传统方式中，服务代理发出含有自己的IP地址SAMAC1和分配的IP地址IPUD11的DHCP应答(步骤108)。在步骤109中，用户设备将接收到的IP地址保存起来。现在，连接R11已经在IP水平上建立起来了。应该注意，在图10中描述的过程，即在步骤100到105中寻找默认网关、在步骤106到109中用户设备接收IP地址，可以以其他方式进行。前面提到的静态配置程序就是这样一种方式。
下面，结合图11中的流程图，简要描述一下反方向，即从用户端到服务代理端，建立服务接入关系R11的过程。第一步110次末级节点P1上的处理器H1通过用户端口UP11接收来自用户设备UD11的ARP消息。步骤111处理器H1为消息添加端口标志。步骤112处理器H1将一条包含ARP信息和端口信息的消息以单播方式发送给广播处理器BH1。步骤113广播处理器在寄存器REG1中寻找用户端口UP11和VLAN标签TAG1，于是找到了服务代理MAC地址SAMAC1。步骤114广播处理器将地址SAMAC1发送给处理器H1。步骤115处理器将地址SAMAC1传送给用户，于是用户设备UD11接收到该地址。一种替代方案是广播处理器将MAC地址SAMAC1发送给相应的服务代理SA1，命令它将该地址传送给处理器H1。
上面描述的装置和程序是与服务代理和次末级节点上的用户端口之间的单播接入相联系的。下面结合图12简要描述一种多播接入实施例。图12示出了图2的一个稍微简化了的视图，它使用接入系统ACC1实现服务提供商SP1-SPn和用户U11-Um1的互连。与前面相同，接入系统具有通过以太网ETH1互联的边界接入服务器EAS和次末级节点集P1-Pk。在该网络中，示出了支持多播式接入的以太网交换机SW191、SW192和SW193以及支持多播接入的次末级节点P18、P19和P20。图中示出了一个从服务代理SA19到次末级节点P18、P19和P20的多播接入连接MR11。次末级节点P19有一个连接用户U191的用户端口UP191和一个连接用户U192的用户端口UP192。次末级节点P20有一个连接用户U193的用户端口UP193。用户U191有两个用户设备UD191和UD192，均通过VLAN标签为TAG19的VLAN归属于用户端口UP191。用户U192有一个用户设备UD193，连接到用户端口UP192，该连接也是通过VLAN标签为TAG19的VLAN实现的。同样，用户UP193的用户设备UD194归属于用户端口UP201，也是通过VLAN标签为TAG19的VLAN实现的。
建立多播接入关系MR11的目的自然是要通过服务代理SA19，将来自服务提供商SP19的服务分发给用户。注意，这种分发只有在下行，即从服务提供商到用户时才能发生。分发是通过在边界接入服务器、交换机和次末级节点中，将服务接入关系MR11进行分枝传输实现的。对所有使用服务提供商SP19的服务的用户，连接MR11由一个相同的MAC地址定义，在该例中，MAC地址SAMAC19由管理单元AD1分配给服务代理SA19。从这个服务代理发出的所有多播流都有一个特定的多播地址，所有参与用户都可以侦听。在关系MR11传输的多播帧内，图3C中的多播位M1被置位。此外，来自服务提供商SP19的服务分布在一个相同的以太网LAN上，在该例中即绑定到多播接入关系MR11的标签为TAG19的VLAN。多播情况下，用户不能为服务决定自己的VLAN组，而是必须对VLAN标志做一个共同的决定。关系MR11的建立就是以上述方式进行的。同时，多播情况下，提供某种服务的服务代理也可以有不止一个可供分配的MAC地址，其方式与单播情况下的描述相同。
下面结合图13描述一下建立多播接入连接的基本过程。步骤130决定使用标签为TAG19的VLAN提供一个选定的来自服务提供商SP19的服务。步骤131决定被分发到的边界接入服务器EAS和用户。步骤132管理单元AD1核查在服务代理SA1-SAn中，哪一个对应的服务被选择，从而找到服务代理SA19。步骤133管理单元AD1动态分配服务代理MAC地址SAMAC19给服务代理SA19，该MAC地址定义了多播接入连接MR11。步骤134MAC地址SAMAC19被绑定到所决定的标签为TAG19的VLAN。步骤135多播接入连接MR11通过一种与前述在单播连接中相应的方法建立起来。步骤136设定在多播服务接入关系MR11上传输的帧的多播位。
来自服务提供商SP1-SPn的服务必须以一定的质量水平进行传递。接入系统ACC1中的资源是有限的，这限定了质量水平，有限资源的一个例子是有效带宽。许多关系，比如R11，必须通过服务代理和交换机之间、交换机和次末级节点之间以及次末级节点和用户VLAN之间的连线进行传输，这些连接就必须共享有效带宽。连接的服务质量由协议决定，并在图5所示的寄存器REG1中为每个连接留有记录。这可以由一个质量水平为QoS1的服务Q的质量来说明，该服务质量记录在由服务代理MAC地址SAMAC1定义的关系R11的列表L11中。当使用流量管理器管理流量时，就会用到质量值，比如带宽参数。图2示出了一个具有流量管理器的例子，管理器SHn在边缘接入服务器EAS中，管理器SHk在次末级节点Pk中。当对信息流进行管理时，边界接入服务器上的管理器查看服务代理MAC地址，该地址总会出现在传输帧中，要么做为源地址，要么做为目的地址。借助于该地址，管理器找到相应的质量水平值，比如QoS1。在那些由相应的服务代理MAC地址和进一步服务接入关系标志符定义连接的实施例中，管理器还需要查看进一步标志符。次末级节点Pk上的管理器SHk可以用相应的方式使用VLAN标签和用户端口。常规方式下，流量管理包括帧缓冲、借助优先级标志PTG确定优先级和安排响应时间表。
可能会出现参与者试图超出协议范围从而更多地使用接入系统的情况，例如发送比允许值更多的信息。这意味着该参与者的通信量即使经过流量管理后，也要占用超过带宽参数允许的带宽。系统可以查看帧中唯一的服务代理MAC地址，并与允许值进行比较，对使用过多带宽的连接，系统可以实行管制，删除其中一些传输帧。在一些替代方案中，为实现该功能，系统还需要查看进一步服务接入关系标志符以区分连接。
也可能出现这样一种情况，一些用户通过某种方法改变了他们的MAC地址，企图使用接入系统ACC1在用户之间，而不是与服务提供商之间通信。为了防止这种行为，次来级节点可以使用通信滤波器，例如在次末级节点P2中用户端口UP21上的滤波器F21，滤波器读取传输帧中的地址。来自用户的帧只能以服务代理MAC地址或广播地址做为目的地址。发送给用户设备的帧只能以服务代理MAC地址做为源地址。其他地址是不被允许的，带有这种地址的帧会被滤波器删除。同样来自用户的不受任何服务代理控制的广播信息也会被滤波器删除。
MAC地址可以有一个适于接入网ETH1结构的内部地址结构。这可以简化网络和网络在接入系统ACC1上部件的实现。
有关移动用户对上述系统和功能的使用在附件1“公众以太网中的移动性”中有进一步的描述。

发明内容
公众以太网中的移动性(附件1)1 发明名称公众以太网中的移动性2 发明人Ingmar Tonny，Ulf larsson，Egbert-Jan Sol，EricHjelmestam，Joacim Halen，Tom Rindborg3 优先权在申请PCT/SE02/00226中声明的优先权。
4 背景本发明提出了怎样在一个基于以太网技术的大规模公众接入网的有效区域内实现用户和终端的移动性。本发明包括用户设备和接入网终端之间有线连接和无线连接的移动性。
5 现有技术正在审查中的专利申请“一种接入系统中的排列和方法”，国际专利申请PCT/SE02/00226(参考资料[1])中描述了对于在整个服务访问期内只有一个固定连接点的用户基于大规模以太网的接入系统原理。
以诸如“WLAN”、“Wi-Fi”(参见标准家族IEEE 802.11)等不同名字为人们所知晓的无线技术将无线连接引入了以太网，由被称为“WLAN热点”的基站提供服务。通过这样一个接入系统，存在若干接入IP网络的方案，其中包括在不同基站的有效区域之间移动时的漫游(切换)法。
IEEE802.11x描述了一个常规协议EAP(可扩展的认证协议)，用于WLAN设备的认证。
IETF标准RFC2002、RFC3220和其他文件描述了移动IP(MIP)的概念一种支持IP用户在不同子网之间移动的方法。
6 问题[1]中描述的方法和装置不包括支持用户在改变位置到接入系统的另一个端口上时保持用户设备和一组服务提供商之间的服务绑定。
在大接入域中，存在用户与所选任何服务提供商都有服务绑定的可能，已知的WLAN解决方案不适合在这种接入域中的超大规模应用。
7 解决方案PCT/SE02/00226中的规范被视为本规范的一部分。
本发明的目的之一是允许服务绑定用户端的一个终端在一组选定的用户节点之间移动，同时保持与所所选服务提供商之间的绑定不受影响。
发明的第二个目的是实现移动用户服务绑定的“端到端”安全。
第三个目的是将服务提供商从用户移动带来的复杂性中解放出来。
如PCT/SE02/0026所述，在固定接入情况下，用户只能在建立该绑定的次末级节点Pk的用户端口UPk1上使用一个已建立的服务绑定。相关服务代理SA1的MAC地址SAMAC反映了该服务绑定涉及到的用户端口和服务代理。
现在，我们引入移动服务绑定的概念允许用户连接到一组已所选用户端口UP11、UP12、UPj1、UPj2、UPk1中的任意一个上，同时保持SAMAC和层3标志符比如IP地址不变。
如[1]所述，所需服务绑定特性的选择，比如服务提供商标志符、服务和服务质量，可以通过使用网页或其他许多被认为超出了本发明范围的方法来进行。对需要移动服务绑定的用户来说，移动性也由用户在服务选择过程中说明。
建立和支持移动服务绑定的过程基本上和任何其他服务绑定的相同，不同点如下
服务代理的MAC地址SAMAC是从一组为移动服务绑定预留的地址中选取的。一个优选实施例是，在以太网本地管理的地址范围内，从46个有效位中预留出一位Bm。对所有固定服务绑定，Bm位设置为0，对所有的移动服务绑定，Bm位设置为1。在其他实施例中，SAMAC结构的一部分直接或通过寄存器查询间接用于区分一个SAMAC是否与移动服务绑定相关。
次末级节点的行为和过滤规则改变了，这样，与移动服务绑定相关的次末级节点端口识别出一个SAMAC是移动服务绑定的标志时，如果该用户被允许在该用户端口接入，就允许该服务绑定的通信。
当漫游用户将一台设备连接到另一个用户端口时，会被次末级节点通过一个广播式ARP消息或发给不在该端口列表中的SAMAC的帧的出现认识到。通过检验预留位Bm，次末级节点识别出这是一个移动服务绑定的SAMAC。接着，次末级节点将该帧和用户端口标志一起发送给EAS，在那里，广播处理器和移动服务绑定处理器将会决定该用户服务绑定在该用户端口是否被允许。如果被允许，就修改相应的次末级节点滤波器，以允许来自和去向该SAMAC地址的信息通过。
对决定是否允许用户连接到一个新用户端口的移动服务代理处理器来讲，有多种方法可用来确保对漫游设备的认证。对于有线的情况，用户断开一条以太网连接线，又把它连到另一个端口上，不难检测到该设备MAC地址不再连接在原来的端口上了。但是一般来讲，特别是使用WLAN接入法时，需要更安全的方法。为此，移动服务绑定处理器触发一个类似[4]中描述的认证程序，只有认证成功，才会通知次末级节点为移动服务绑定打开用户端口。
与[1]中对广播处理器的描述相似，在不同实施例中，移动服务绑定处理器可以在EAS和次末级节点之间以多种方式分布。
为了在无线移动服务绑定中实现无缝连续通信，例如，使用WLAN接入网，EAS可以使服务于地理位置邻近的接入点(比如WLAN基站)的次末级节点备有一个有效而活跃的SAMAC的信息及其通信时段。当用户移动到一个已经有准备的用户端口时，在漫游的瞬间需要做的只是必要的认证。
对一个刚刚漫游到新位置、正在初始化移动服务绑定的用户来讲，本发明的一种可能的应用情境如下(见图2)
1.用户UM选择一种连接到服务代理SA的服务，确定打算用于访问该服务的一组用户端口[UPj1，UPj2，UPk1]，提交设备的MAC地址并区分该设备所需的其他用户凭证。
2.边界接入服务器EAS为所选服务代理分配一个唯一的MAC地址。该SAMAC的结构使它可以被识别为是关于移动服务绑定的。
3.用户UM将其用户设备UD1连接到用户端口UPj1上，该端口包含在移动设备用户端口集中。
4.用户设备通过广播一个DHCP请求，申请一个IP地址。该广播消息被次末级节点捕获，并发送给EAS上的广播处理器。
5.根据用户设备MAC地址，EAS识别出该设备属于与地址SAMAC绑定的移动服务，地址SAMAC和服务代理SAn相关连。
6.一种任选的使用EAP协议的认证过程开始，以检验连接设备属于该用户。
7.命令服务代理SAn为用户设备分配一个IP地址，并使用DHCP协议回复用户。
8.EAS命令次末级节点Pj允许标志为SAMAC的服务代理和用户设备UD1之间的通信。
9.如前述，现在用户可以使用该IP地址进行任何通信。
10.用户U1现在移动到另一个位置，将用户设备UD1连接到集合中另一个用户端口UPk1上。
11.通过发出一个特殊帧或试图向SAMAC发送帧抑或发送一条类似ARP的广播消息，用户设备UD1声明了它在新的用户端口UPk1的出现。
12.次末级节点Pk发现出现了一个新的移动用户，于是向EAS发出警告，EAS决定与用户设备UD1相关的移动服务接入关系。
13.一种任选的使用EAP协议的认证过程开始。
14.次末级节点Pk受命打开用户设备UD1和SAMAC之间的通信。
15.现在，服务绑定被重新建立，用户U1可以在新的接入点UPk1继续进行任何IP通信。
16.EAS通知包含以前使用的用户端口UPj1的次末级节点Pj，SAMAC不再与该端口相连了。
上述应用方案也适用于使用一个服务提供商的多播服务的用户。
8 发明的价值本发明可以用于在利用以太网技术建立的超大规模接入网中提供移动接入，用户可以完全安全、自由地从任何有连接的服务提供商那里获得服务。
9 参考资料与附录[1]国际专利申请PCT/SE02/00226[2]RFC2002，REC3220[3]IEEE 802.11[4]802.11x[5]Egbert-Jan Sol，public wireless Ethernet.草稿配置白皮书10 权利要求建议一种提供移动McC的方法一种区分漫游设备的方法...的排列
权利要求
1.用于在服务提供商和用户移动设备之间进行通信的接入系统中的一种方法，该系统包括一个边界接入服务器，它至少拥有一个服务代理，代理有供服务提供商使用的连接；至少一个次末级节点，节点上具有供用户使用的用户端口；以及一种互连排列，支持以太帧交换，连接边界接入服务器和次末级节点集，该方法包括选择一组用户端口，用于连接移动用户设备；预留一组以太网MAC地址，供所述移动用户设备的服务接入关系使用；边界接入服务器从所述预留MAC地址中选择唯一的以太网MAC地址，动态分配给至少一部分服务代理；将这些唯一的服务代理MAC地址绑定到各服务接入关系，所述连接包括所选端口集中的每一个用户端口；将服务接入关系上的一台移动用户设备连接到所选用户端口集中另一个用户端口上；在边界接入服务器中决定与该移动用户设备相关的移动服务接入关系。
2.用于在服务提供商和用户移动设备之间进行通信的接入系统中的一种方法，该系统包括一个边界接入服务器，它至少拥有一个服务代理，代理有供服务提供商使用的连接；至少一个次末级节点，节点上具有供用户使用的用户端口；以及一种互连排列，支持以太帧交换，连接边界接入服务器和次末级节点集，该方法包括选择一组用户端口，用于连接移动用户设备；预留一组以太网MAC地址，供所述移动用户设备的服务接入关系使用；在边界接入服务器中，为至少一部分服务代理中的每一个动态分配至少一个以太网MAC地址，这些MAC地址选自前述预留的MAC地址；将所述以太网MAC地址绑定到至少一个服务接入关系，连接包含所选端口集中的用户端口；将连接标志符绑定到所述服务接入关系，该标志出现在以太网传输帧的头部；将服务接入关系上的一台移动用户设备连接到所选用户端口集中另一个用户端口上；在边界接入服务器中决定与该移动用户设备相关的移动服务接入关系。
3.用于通过服务接入关系在服务提供商和用户移动设备之间进行通信的接入系统中的一种方法，该系统包括一个边界接入服务器，它至少具有一个服务代理，代理有供服务提供商使用的连接；至少一个支持多播接入的次末级节点，具有至少一个用户端口供至少一个用户以太网VLAN使用；一种互连装置，支持以太帧交换，连接边界接入服务器和次末级节点集，所述装置包括支持多播的交换机，该方法包括选择一组用户端口，用于连接移动用户设备；预留一组以太网MAC地址，供所述移动用户设备的服务接入关系使用；在边界接入服务器中，为至少一个服务代理动态分配以太网MAC地址，以太网MAC地址定义了与至少一个用户端口相关的多播服务接入关系，该MAC地址选自前述预留的MAC地址；将与用户以太网VLAN组之一的VLAN标签相同的标志符，绑定到多播服务接入关系，所述连接包括所选端口集中的一个用户端口和所述用户以太网VLAN标志符，该标志符供参与多播服务的用户使用；把多播服务接入关系上的一台移动用户设备连接到所选用户端口集中另一个用户端口上；在边界接入服务器中决定与该移动用户设备相关的移动服务接入关系。
4.一种用于在服务提供商和用户的移动设备之间通过服务接入关系通信的接入系统，该系统包括一个边界接入服务器，它至少拥有一个服务代理，代理有供服务提供商使用的连接；至少一个次末级节点，节点上具有供用户使用的用户端口，其中所选用户端口集用于移动用户设备；以及一种互连排列，支持以太帧交换，连接边界接入服务器和次末级节点集，根据安排，边界接入服务器为至少服务代理的一部分动态分配唯一的以太网MAC地址，唯一的以太网MAC地址定义了与用户端口的每一个服务接入关系，一组以太网MAC地址用于供所述移动用户设备的服务接入关系使用，其中，根据安排，至少有一个服务接入关系的移动用户设备将会连接到所选端口集中的另一个用户端口，由边界接入服务器来决定与所述移动用户设备相关的移动服务接入关系。
5.一种用于在服务提供商和用户的移动设备之间通过服务接入关系通信的接入系统，该系统包括一个边界接入服务器，它至少拥有一个服务代理，代理有供服务提供商使用的连接；至少一个次末级节点，节点上具有供用户使用的用户端口，其中所选用户端口集用于移动用户设备；以及一种互连排列，支持以太帧交换，连接边界接入服务器和次末级节点集，根据安排，边界接入服务器为服务代理的至少一部分中的每一个动态分配至少一个以太网MAC地址，边界接入服务器将所述服务连接的以太网MAC地址绑定到用户端口，将连接标志符绑定到所述服务接入关系，所述标志符出现在以太网传输帧的头部，一组以太网MAC地址计划供所述移动用户设备的服务接入关系使用，其中，至少有一个服务接入关系的移动用户设备将会连接到所选端口集中的另一个用户端口，由边界接入服务器来决定与所述移动用户设备相关的移动服务接入关系。
6.一种用于在服务提供商和用户的移动设备之间通过服务接入关系通信的接入系统，该系统包括一个边界接入服务器，它至少拥有一个服务代理，代理有供服务提供商使用的连接；至少一个次末级节点，该节点支持多播接入，至少具有一个能供至少一个用户以太网VLAN使用的用户端口；一种互连装置，支持以太帧交换，连接边界接入服务器和次末级节点集，该装置包括支持多播的交换机，根据安排，边界接入服务器为至少一个服务代理动态分配以太网MAC地址，一个以太网MAC地址定义一个与至少一个用户端口相关的多播服务接入关系，一组以太网MAC地址集计划供所述移动用户设备的服务接入关系使用，边界接入服务器将一个与用户以太VLAN组之一的VLAN标签相同的标志符，绑定到一个多播服务接入关系，所述用户以太网标志符供参与多播服务的用户使用；其中，至少有一个服务接入关系的移动用户设备将会连接到所选端口集中的另一个用户端口，由边界接入服务器来决定与所述移动用户设备相关的移动服务接入关系。
全文摘要
一种连接服务提供商(SP1－SPn)和用户(U11－Um1)的接入系统(ACC1)包括一个连接服务提供商的边界接入服务器(EAS)和连接用户的次末级节点集(P1－Pk)。用户设备(UD11－UD14)通过VLAN组连接到次末级节点的一个用户端口(UP11)上。边界接入服务器包括服务代理(SA1－SAn)、一个管理器(AD1)和一个广播处理器(BH1)，广播处理器与次末级节点集上的处理器(H1－Hk)共同构成了一个操纵系统。用户(U11)的决定包括VLAN、服务(SP1)和用户端口(UP11)，被送到管理器(AD1)，管理器为相关的服务代理(SA1)动态分配一个MAC地址，该地址定义了一个连接(R11)。用户设备(UD11)广播一个DHCP请求，该请求与用户端口(UP11)一起，单播给广播处理器(BH1)。用户设备(UD11)得到自己的IP地址和服务代理(SA1)的IP地址。设备(UD11)广播一个ARP请求，该请求被次末级节点(P1)单播，以得到服务代理(SA1)的MAC地址，连接(R11、R21)是既安全又容易控制的。
文档编号H04L12/18GK1631005SQ03803531
公开日2005年6月22日 申请日期2003年1月7日 优先权日2002年2月8日
发明者T·林博里, J·哈伦, I·滕拜, U·拉松, E·耶尔梅斯塔姆, E·－J·索尔 申请人:艾利森电话股份有限公司