专利名称::一种基于用户的整机流量控制方法及装置的制作方法
技术领域:
:本发明涉及通信
技术领域:
,尤其涉及一种基于用户的整机流量控制方法及装置。
背景技术:
:现有技术中,通过使用RADIUS(RemoteAuthenticationDial-InUserService,远程认证拨号用户服务)可以实现简单的基于用户的QoS(QualityofService,服务质量)。其中,RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权用户访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。QoS对于网络业务包括传输带宽、传送时延、数据丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高QoS。例如,可以通过针对用户下发的user-profile(用户配置文件),来保证用户的入接口带宽。以D0T1X为例,用户上线后RADIUS服务器会下发一个QoS规则,来保证入接口用户的带宽。现有技术实现如下l,在设备上定义user-profile名字为usera如下user-profileusera2,用户上线后显示用户信息displayconnectionucibindex28Index=28,Username=test@systemIP=2.1.1.2PortName=Ethe潔t0/12UserProfile=usera通过如上配置可以实现简单的基于用户的入接口QoS,即用户的QoS策略下发到EthernetO/12接口。然而,使用RADIUS服务器下发QoS,只在用户的入接口适用,其他接口(例如用户流量的出接口)不会有下发给该用户的QoS信息,这样只能保证登录用户的入接口带宽,不能保证该用户的出接口带宽。当某个VIP用户从某个入接口登录,且还有很多普通用户从其他入接口登录,该VIP用户和普通用户使用同样的出接口,则存在出接口拥塞的可能,而出接口没有VIP用户的QoS信息,给VIP用户的带宽可能被其他普通用户挤占。对于整机来说,没有达到保证VIP用户带宽的功能。例如,在图l环境中,接口l连接广域网,带宽为1M;接口2和接口3的带宽均为100M,用户A连接到接口3上,用户B连接到接口2上。用户A和用户B都使用D0T1X方式接入,其中用户A是重要用户,分配的保证带宽为512k,即在有用户A上线时必须保证有512k的带宽。B是普通用户,分配的带宽是1M,即用户B的流量不能大于1M,当有其他用户流量时,用户B在接口2上的带宽会小于1M。当用户A和用户B同时接入时,接口3上用户A的保证带宽是512k,接口2上用户B的带宽上限是1M。当用户B的流量没有到达1M时,接口2并不会限制B的流量,因为没4有到达上限。当用户A的流量到达512k,用户B的流量超过512k时,接口l的出方向会发生拥塞,则用户A的实际带宽是1/3M<512K,而用户B的带宽是2/3M。可见对于这个路由器来说,因为在出接口没有动态登录的用户信息,也就不能在出接口动态生成QoS,最终不能优先保证某些重要用户的流量带宽。
发明内容本发明提供了一种基于用户的整机流量控制方法及装置,使动态登录的用户QoS同步到路由器出接口,实现整机保证某些重要用户的流量带宽。本发明提供了一种基于用户的整机流量控制方法,应用于包括路由设备、认证服务器和动态主机配置协议DHCP服务器的系统中,所述路由设备包括至少两个入接口和至少一个出接口,所述方法包括以下步骤所述路由设备配置用户配置文件user-profile,其中包括IP地址参数和对应的保证带宽;所述路由设备向所述认证服务器转发用户的认证请求,并在认证通过后,根据所述认证服务器发送的与所述用户的用户名对应的用户文件名user-profilename,为所述用户分配对应的user-profile;所述路由设备通过监听所述用户动态获取IP地址的过程,获取所述用户的IP地址,并使用获取到的用户IP地址替换所述用户的user-profile中的IP地址参数;所述路由设备将IP地址替换后的user-profile下发到所述用户的登录接口,并根据预先配置的绑定关系将所述user-profile同步到对应的出接口,保证出接口上所述用户的分配带宽。为所述用户分配对应的user-profile之后,还包括所述路由设备记录所述用户的用户名、登录接口以及user-profi1e的对应关系。所述使用获取到的用户IP地址替换所述用户的user-profile中的IP地址参数包括所述路由设备根据所述用户的用户名获取对应的user-profile,使用所述IP地址替换所述用户的user-profile中的IP地址参数。所述预先配置的绑定关系具体为在用户的入接口配置用户入接口服务质量绑定使能user-qosinboundenable,出接口上使用命令用户处接口服务质量绑定使能user-qosoutboundenable。还包括当所述用户下线后,删除所述用户的入接口和出接口上下发的user-profile。当有多个用户登录时,且多个用户都分配了user-profile配置出接口保证带宽,则所述多个用户的保证带宽为根据上线顺序使用保证带宽;或所述多个用户共享保证带宽o本发明提供一种基于用户的整机流量控制装置,应用于包括认证服务器和DHCP服务器的系统中,所述装置包括至少两个入接口和至少一个出接口,所述装置包括配置单元,用于配置用户配置文件user-profile和绑定关系,所述user-profile中包括IP地址参数和对应的保证带宽;文件分配单元,与所述配置单元连接,用于向所述认证服务器转发用户的认证请求,并在认证通过后,根据所述认证服务器发送的与所述用户的用户名对应的用户文件名user-profilename,为所述用户分配对应的user-profile;地址替换单元,与所述文件分配单元连接,用于通过监听所述用户动态获取IP地址的过程,获取所述用户的IP地址,并使用获取到的用户IP地址替换所述用户的user-profile中的IP地址参数;文件下发单元,与所述地址替换单元连接,用于将IP地址替换后的user-profile下发到所述用户的登录接口;同步单元,与所述文件下发单元和配置单元连接,用于根据所述配置单元配置的绑定关系,将所述文件下发单元下发的user-profile同步到对应的出接口,保证出接口上所述用户的分配带宽。还包括记录单元,用于记录所述用户的用户名、登录接口以及user-profile的对应关系。所述地址替换单元还与所述记录单元连接,用于根据所述用户的用户名获取对应的user-profile,使用所述IP地址替换所述用户的user-profile中的IP地址参数。所述配置单元还用于在用户的入接口配置用户入接口服务质量绑定使能user-qosinboundenable,出接口上使用命令用户处接口服务质量绑定使能user-qosoutboundenable。还包括删除单元,与所述文件下发单元连接,用于当所述用户下线后,删除所述用户的入接口和出接口上下发的user-profile。还包括出接口控制单元,与所述同步单元连接,用于当有多个用户登录时,且多个用户都分配了user-profile配置出接口保证带宽,则所述多个用户的保证带宽为根据上线顺序使用保证带宽;或所述多个用户共享保证带宽。与现有技术相比,本发明具有以下优点本发明中,配置user-profile、用户入接口和出接口的绑定关系,不仅通过user-profile将QoS策略下发到路由设备的入接口,还要同步到出接口,即实现基于动态登录用户的整机QoS,保证用户的入接口带宽和出接口带宽。图1是现有技术中RADIUS下发QoS后,路由器转发数据示意图;图2是本发明中一种基于用户的整机流量控制方法流程图;图3是本发明中一种基于用户的整机流量控制方法具体应用流程图;图4是本发明中一种基于用户的整机流量控制装置结构图。具体实施例方式本发明的核心思想在用户上线时动态获得用户的信息,这些信息应用到QoS策6略中,然后将动态构造的QoS策略下发到用户登录接口的同时将策略同步到出接口。本发明提供了一种基于用户的整机流量控制方法,应用于包括路由设备、认证服务器和DHCP服务器的系统中,所述路由设备包括至少两个入接口和至少一个出接口,所述方法如图2所示,包括以下步骤步骤201,所述路由设备配置user-profile,其中包括IP地址参数和对应的保证带宽;步骤202,所述路由设备向所述认证服务器转发用户的认证请求,并在认证通过后,根据所述认证服务器发送的与所述用户的用户名对应的用户文件名user-profilename,为所述用户分配对应的user-profile;步骤203,所述路由设备通过监听所述用户动态获取IP地址的过程,获取所述用户的IP地址,并使用获取到的用户IP地址替换所述用户的user-profile中的IP地址参数;步骤204,所述路由设备将IP地址替换后的user-profile下发到所述用户的登录接口,并根据预先配置的绑定关系将所述user-profile同步到对应的出接口,保证出接口上所述用户的分配带宽。以下结合具体应用场景进行详细说明,以用户A为例说明具体操作步骤如图3所示,包括以下步骤步骤301,路由器配置user-profile。具体的,路由器上通过引入user-profile配置QoS策略,QoS策略中包括类和行为类中定义了基于用户的ACL,这种ACL中定义了使用IP地址参数来代替具体IP地址的方法,实际应用中定义的IP地址参数被具体的IP地址替换后该ACL生效;行为中定义了对用户的带宽保证或者带宽限制。具体的,ACL中配置user-qos类型,该类型的源IP地址是usera-address。该ACL具体如下aclnumber3000rule0permituser-qosipsourceusera-address0其中,A(X中的user-qosipsource使用IP地址参数usera-address表示,usera-address为非真实的IP地址。步骤302,路由器转发用户A向认证服务器的认证请求,如果用户A认证通过,执行步骤303;否则结束处理流程。用户A通过路由器登录后,根据自身用户名向认证服务器发起认证请求。该认证服务器具体为RADIUS服务器或者其他AAA服务器等。步骤303,路由器接收认证服务器发送的用户A的user-profilename,根据user-profilename为用户A分配对应的user-profile。具体的,用户A基于用户名的认证通过后,认证服务器向路由设备发送与用户A的用户名对应的user-profilename,路由设备接收到user-profilename,查找配置的user-profile,分配到对应用户名的用户,即用户A。由于此时用户A还没有获得IP地址,因此,user-profile中仍然以usera-address标识IP地址。步骤304,路由器监听用户A的动态IP地址获取过程,获取用户A的IP地址,并使用该IP地址替换user-profile中的usera-address。具体的,用户A向DHCP服务器发起IP地址获取请求获取动态IP地址,路由器作为中介转发用户A与DHCP服务器的报文。本应用场景中,路由器通过监听该IP地址获取过程,当用户A获取到IP地址后,路由器获知并使用用户A的IP地址替换用户A的user-profile中的usera_address。IP地址替换后user-profile中记录了真实IP地址与保证带宽的对应关系QoS策略构建完毕。步骤305,路由器将QoS下发到用户A的登录接口,并进一步根据预先配置的登录接口与出接口的绑定关系,将QoS下发到用户A的出接口。路由器将QoS(user-profile中引用的Q0S策略)下发到用户A的登录接口,具体是将user-profile下发到登录接口,建立登录接口与用户A的user-profile的对应关系,根据user-profile保证用户A在登录接口的保证带宽。本应用场景中的绑定关系具体通过预先在用户A的登录接口和对应的出接口上配置绑定命令实现在用户的登录接口即入接口配置user-qosinboundenable(用户入接口服务质量绑定使能),在出接口上配置命令user-qosoutboundenable(用户处接口服务质量绑定使能)。通过配置该命令,实现入接口与出接口的绑定,路由器将QoS下发到入接口后,查找是否存在该绑定关系,如果存在,则将QoS同步到出接口,即建立出接口与profile的对应关系。用户A的QoS下发成功后,当有流量通过路由器的入接口或者出接口时,路由器查找该流量的源IP地址,根据源IP地址匹配QoS,具体为匹配QoS中的IP地址,如果流量的源IP地址与QoS中的IP地址相同,则匹配成功,在多个流量发生带宽竞争时,路由设备根据QoS中的保证带宽保证用户A的流量带宽。特殊的,当有多个用户登录时,且多个用户都分配了出接口QoS规则时,则这些用户的QoS规则可以为先上线的用户优先级最高;例如,用户1的出接口保证带宽为IM,用户2的出接口保证带宽为2M,而出接口的实际带宽只有2M,此时如果按照上线优先级规则,则该出接口可以保证用户1的带宽为1M,保证用户2的带宽也为1M。当然,这些用户的QoS规则也可以各个用户共享带宽,用户1的出接口保证带宽为1M,用户2的出接口保证带宽为2M,而出接口的实际带宽只有2M,此时如果按照共享规则,则该出接口可以保证用户1的带宽为2/3M,保证用户2的带宽也为4/3M。另外,当某个用户下线后(例如,该用户向该路由设备发送下线请求,或路由设备主动通知该用户下线),删除该用户在入接口和出接口上的QoS,删除对应QoS中的IP地址。本发明应用场景中,用户A上线成功后可以生成如下信息如表1所示表l:<table>tableseeoriginaldocumentpage8</column></row><table>其中,USERPROFILE信息用于记录用户的QoS规则,例如保证带宽。用户A上线成功后,可以通过表l向管理员提供用户A的用户名、IP地址、USERPROFILE以及对应的出接口和入接口,方便后续管理。本发明提供了一种基于用户的整机流量控制装置,应用于包括认证服务器和DHCP服务器的系统中,所述装置包括至少两个入接口和至少一个出接口,所述装置如图4所示,包括配置单元10,用于配置user-profile和用户入接口与出接口的服务质量绑定关系,所述user-profile中包括IP地址参数和对应的保证带宽。具体的,配置单元10在用户的入接口配置用户入接口服务质量绑定使能user-qosinboundenable,出接口上使用命令用户处接口服务质量绑定使能user-qosoutboundenable,建立用的入接口和出接口的绑定关系。文件分配单元20,与所述配置单元IO连接,用于向所述认证服务器转发用户的认证请求,并在认证通过后,根据所述认证服务器发送的与所述用户的用户名对应的用户文件名user-profilename,为所述用户分配对应的user-profile;地址替换单元30,与所述文件分配单元20连接,用于通过监听所述用户动态获取IP地址的过程,获取所述用户的IP地址,并使用获取到的用户IP地址替换所述用户的user-profile中的IP地址参数;文件下发单元40,与所述地址替换单元30连接,用于将IP地址替换后的user-profile下发到所述用户的登录接口;同步单元50,与所述文件下发单元40和配置单元10连接,用于根据所述配置单元配置的绑定关系,将所述文件下发单元下发的user-profile同步到对应的出接口,保证出接口上所述用户的分配带宽。本发明提供的装置,还包括记录单元60,与所述地址替换单元30连接,用于记录所述用户的用户名、登录接口以及user-profile的对应关系。所述地址替换单元30还与所述记录单元60连接,用于根据所述用户的用户名获取对应的user-profile,使用所述IP地址替换所述用户的user-profile中的IP地址参数。本发明提供的装置,还包括删除单元70,与所述文件下发单元40连接,用于当所述用户下线后,删除所述用户的入接口和出接口上下发的user-profi1e。本发明提供的装置,还包括出接口控制单元80,与所述同步单元50连接,用于当有多个用户登录时,且多个用户都分配了user-profile配置出接口保证带宽,则所述多个用户的保证带宽为根据上线顺序使用保证带宽;或所述多个用户共享保证带宽。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-R0M,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。9本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。权利要求一种基于用户的整机流量控制方法,应用于包括路由设备、认证服务器和动态主机配置协议DHCP服务器的系统中,所述路由设备包括至少两个入接口和至少一个出接口,其特征在于,所述方法包括以下步骤所述路由设备配置用户配置文件user-profile,其中包括IP地址参数和对应的保证带宽;所述路由设备向所述认证服务器转发用户的认证请求,并在认证通过后,根据所述认证服务器发送的与所述用户的用户名对应的用户文件名user-profilename,为所述用户分配对应的user-profile;所述路由设备通过监听所述用户动态获取IP地址的过程,获取所述用户的IP地址,并使用获取到的用户IP地址替换所述用户的user-profile中的IP地址参数;所述路由设备将IP地址替换后的user-profile下发到所述用户的登录接口,并根据预先配置的绑定关系将所述user-profile同步到对应的出接口,保证出接口上所述用户的分配带宽。2.如权利要求l所述的方法,其特征在于,为所述用户分配对应的user-profile之后,还包括所述路由设备记录所述用户的用户名、登录接口以及user-profi1e的对应关系。3.如权利要求2所述的方法,其特征在于,所述使用获取到的用户IP地址替换所述用户的user-profile中的IP地址参数包括所述路由设备根据所述用户的用户名获取对应的user-profile,使用所述用户的IP地址替换所述用户的user-profile中的IP地址参数。4.如权利要求1所述的方法,其特征在于,所述预先配置的绑定关系具体为在用户的入接口配置用户入接口服务质量绑定使能user-qosinboundenable,出接口上使用命令用户处接口服务质量绑定使能user-qosoutboundenable。5.如权利要求l所述的方法,其特征在于,还包括当所述用户下线后,删除所述用户的入接口和出接口上下发的user-profile。6.如权利要求l所述的方法,其特征在于,当有多个用户登录时,且多个用户都分配了user-profile配置出接口保证带宽,则所述多个用户的保证带宽为根据上线顺序使用保证带宽;或所述多个用户共享保证带宽。7.—种基于用户的整机流量控制装置,应用于包括认证服务器和DHCP服务器的系统中,所述装置包括至少两个入接口和至少一个出接口,其特征在于,所述装置包括配置单元,用于配置用户文件user-profile和用户入接口与出接口的服务质量绑定关系,所述user-profile中包括IP地址参数和对应的保证带宽;文件分配单元,与所述配置单元连接,用于向所述认证服务器转发用户的认证请求,并在认证通过后,根据所述认证服务器发送的与所述用户的用户名对应的用户文件名user-profilename,为所述用户分配对应的user-profile;地址替换单元,与所述文件分配单元连接,用于通过监听所述用户动态获取IP地址的过程,获取所述用户的IP地址,并使用获取到的用户IP地址替换所述用户的user-profile中的IP地址参数;文件下发单元,与所述地址替换单元连接,用于将IP地址替换后的user-profile下发到所述用户的登录接口;同步单元,与所述文件下发单元和配置单元连接,用于根据所述配置单元配置的绑定关系,将所述文件下发单元下发的user-profile同步到对应的出接口,保证出接口上所述用户的分配带宽。8.如权利要求7所述的装置,其特征在于,还包括记录单元,与所述地址替换单元连接,用于记录所述用户的用户名、登录接口以及user-profile的对应关系。9.如权利要求8所述的装置,其特征在于,所述地址替换单元还与所述记录单元连接,用于根据所述用户的用户名获取对应的user-profile,使用所述IP地址替换所述用户的user-profile中的IP地址参数。10.如权利要求7所述的装置,其特征在于,所述配置单元还用于在用户的入接口配置用户入接口服务质量绑定使能user-qosinboundenable,出接口上使用命令用户处接口服务质量绑定使能user-qosoutboundenable。11.如权利要求7所述的装置,其特征在于,还包括删除单元,与所述文件下发单元连接,用于当所述用户下线后,删除所述用户的入接口和出接口上下发的user-profile。12.如权利要求7所述的装置,其特征在于,还包括出接口控制单元,与所述同步单元连接,用于当有多个用户登录时,且多个用户都分配了user-profile配置出接口保证带宽,则所述多个用户的保证带宽为根据上线顺序使用保证带宽;或所述多个用户共享保证带宽。全文摘要本发明公开了一种基于用户的整机流量控制方法和装置,路由设备配置user-profile、用户入接口和出接口的绑定关系,不仅通过user-profile将QoS策略下发到路由设备的入接口,还要同步到出接口,即实现基于动态登录用户的整机QoS,保证用户的入接口带宽和出接口带宽。文档编号H04L29/06GK101778042SQ20101000012公开日2010年7月14日申请日期2010年1月5日优先权日2010年1月5日发明者高凯申请人:杭州华三通信技术有限公司