一种实现地址管理的方法、装置、AAA服务器及SDN控制器与流程
本文涉及但不限于数据通信技术,尤指一种实现地址管理的方法、装置、认证授权计费(aaa)服务器及软件定义网络(sdn)控制器。
背景技术:
随着互联网应用和宽带业务的普及,运营商为宽带用户提供了更多的网络业务,例如安全、虚拟网络、过滤、负载均衡、多媒体及多媒体增强等业务。为了提供这些业务,运营商主要是采用专用设备或路由器专用业务板来部署业务。部署专用设备或在现有的路由架构使用专用业务板成本高、且存在部署复杂和耗时的问题,网络运营商无法完成快速。此外,专用设备或路由器的部署还存在维护费用高,存在进行特定定制和手工配置的影响部署业务的问题。
虚拟化技术采用通用的硬件架构,通过将通用硬件进行资源池化管理,一定程度上提高了业务部署的效率。
有线数据通信网为家庭用户以及企业用户提供因特网(internet)接入及互联网增值服务。相关技术中的接入控制通过宽带接入服务器(bras,broadbandremoteaccessserver)、业务路由器(sr,servicerouter)、宽带网络网关(bng,broadbandnetworkgateway)等专用设备实现。然而,有线数据通信网的用户多、流量大、业务复杂。单一的专用设备或是单一虚拟技术都无法全面解决这些问题。当前标准组织提出了通过在现有专用设备组网的基础上扩展虚拟化技术,以更好的解决业务数据的快速转发以及对业务进行灵活的扩展。bbf(broadbandforum)标准组织提出虚拟网关(vg,virtualgateway)配合部署在用户所在网络的物理网关,用户家庭网关(rg,residentialgateway)用于实现基本网络功能接入,由vg实现业务的灵活部署,相关技术中的wt-317协议定义了vg的功能需求。
技术实现要素:
以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
本应用示例提供一种实现地址管理的方法、装置、aaa服务器及sdn控制器,能够实现地址管理。
本发明实施例提供了一种实现地址管理的方法,包括:
软件定义网络sdn控制器根据来自第一装置的识别和认证相关信息生成进行家庭网关rg认证的认证请求信息,并将生成的rg认证的认证请求信息发送到认证授权计费aaa服务器;
sdn控制器在aaa服务器完成rg认证后,根据用户签约信息为rg分配vg;
sdn控制器根据来自aaa服务器的认证响应信息为vg配置地址;
所述认证响应消息为:aaa服务器完成认证后,向sdn控制器反馈的携带有aaa服务器为vg分配的地址管理信息的内容;
其中,所述vg为由sdn控制器或aaa服务器分配地址管理信息的vg。
可选的,认证请求信息包含识别和认证相关信息;
所述识别和认证相关信息包括:动态主机配置协议dhcp请求中封装的rg的隧道标识符、和/或rg的隧道源地址、和/或与rg关联的虚拟局域网vlan、和/或与rg关联的多协议标签交换mpls子网信息、和/或线路标识信息、和/或接收dhcp请求的宽带网络网关bng端口号、和/或包含dhcp请求内容的消息。
可选的,该方法还包括:所述sdn控制器将预先存储的vg的lan接口接入信息发往所述第一装置。
可选的,vg的lan接口接入信息包括:
vg的lan接口可达的虚拟网关唯一编码vg-id信息、和/或vg的lan接口的连接信息。
可选的,为rg分配vg之后,如果包含有与分配的所述vg共享的nat 设备,所述方法还包括:
所述sdn控制器将分配给vg的网络地址转换nat公网地址及vg的nat公网的接口port信息下发给与所述vg共享的nat设备。
可选的,方法还包括:sdn控制器对每一rg分别建立相应的会话控制session管理;
所述会话控制管理包括:对与rg关联的vlan、和/或与rg关联的mpls子网信息、和/或vg-id信息、和/或vg的lan接口信息、和/或vg的广域网wan接口信息、和/或vg的nat公网的公网地址、和/或vg的nat的port信息、和/或分配vg地址管理信息、和/或服务质量qos、和/或安全策略、和/或操作管理维护oam管理信息进行记录和维护。
另一方面,本发明实施例还提供一种实现地址管理的方法,包括:
sdn控制器接收来自aaa服务器的地址池id信息;
sdn控制器根据预先配置地址池信息及接收的地址池id信息为vg分配地址管理信息;
其中,所述vg为sdn控制器为rg分配的vg。
可选的,地址管理信息包括:vg的广域网wan接口相关的ip地址、和/或vg的网络地址转换nat的公网地址及vg的nat的接口port信息;
可选的,方法还包括:
sdn控制器根据基于地址池信息及地址池id信息为vg分配地址管理信息,确定为vg分配的ip地址,并将确定的为vg分配的ip地址上送至aaa服务器。
另一方面,本发明实施例还提供一种实现地址管理的方法,包括:
aaa服务器在完成rg的认证后,为vg分配地址管理信息,并向sdn控制器反馈携带有所述为vg分配的地址管理信息的内容的认证响应消息;
其中,所述vg为sdn控制器为rg分配的vg。
可选的,为vg分配地址管理信息包括:
所述aaa服务器直接为vg分配地址管理信息;
所述地址管理信息包括:vg的广域网wan接口相关的ip地址、和/或vg的网络地址转换nat的公网地址及vg的nat的接口port信息。
可选的,为rg分配vg之前,所述方法还包括:
所述aaa服务器向sdn控制器发送用户签约信息。
另一方面,本发明实施例还提供一种实现地址管理的方法,包括:
第一装置根据接收的动态主机配置协议dhcp请求,发送dhcp请求中包含的识别和认证相关信息到软件定义网络sdn控制器,以使sdn控制器根据所述识别和认证相关信息生成进行rg认证的认证请求信息。
可选的,dhcp请求来自宽带网络网关bng或家庭网关rg。
可选的,第一装置包括:网络功能虚拟化基础架构网关nfvi-gateway或bng。
可选的,第一装置为nfvi-gateway时,所述识别和认证相关信息包括:dhcp请求中封装的rg的隧道标识符、和/或rg的隧道源地址、和/或与rg关联的虚拟局域网vlan、和/或与rg关联的多协议标签交换mpls子网信息、和/或线路标识信息、和/或包含dhcp请求内容的消息;
所述第一装置为bng时,所述识别和认证相关信息包括:线路标识信息、和/或接收dhcp请求的bng端口号、和/或包含dhcp请求内容的消息。
可选的,发送所述识别和认证相关信息到sdn控制器时,所述方法还包括:
所述第一装置发送第一装置的通信地址到sdn控制器,以使sdn控制器根据接收的第一装置的通信地址与第一装置通信。
可选的,该方法还包括:
所述第一装置将rg与第一装置的连接延伸至虚拟网关vg的局域网lan接口所在网络。
另一方面,本发明实施例还提供一种实现地址管理的sdn控制器,包括:生成发送单元、分配单元和地址配置单元;其中,
生成发送单元用于,根据来自第一装置的识别和认证相关信息生成进行 rg认证的认证请求信息,并将生成的rg认证的认证请求信息发送到aaa服务器;
分配单元用于,在aaa服务器完成rg认证后,根据用户签约信息为rg分配vg;
地址配置单元用于,sdn控制器根据来自aaa服务器的认证响应信息为vg配置地址;
所述认证响应消息为:aaa服务器完成认证后,向sdn控制器反馈的携带有aaa服务器为vg分配的地址管理信息的内容;
其中,所述vg为由sdn控制器或aaa服务器分配地址管理信息的vg。
可选的,该sdn控制器还包括接入信息发送单元,用于将预先存储的vg的lan接口接入信息发往所述第一装置。
可选的,该sdn控制器还包括下发单元,用于为rg分配vg之后,如果包含有与分配的所述vg共享的nat设备,将分配给vg的nat公网地址及vg的nat公网的port信息下发给与所述vg共享的nat设备。
可选的,该sdn控制器还包括会话控制单元,用于对每一rg分别建立相应的会话控制session管理;
所述会话控制管理包括:对与rg关联的vlan、和/或与rg关联的mpls子网信息、和/或vg-id信息、和/或vg的lan接口信息、和/或vg的广域网wan接口信息、和/或vg的nat公网的公网地址、和/或vg的nat的port信息、和/或分配vg地址管理信息、和/或qos、和/或安全策略、和/或oam管理信息进行记录和维护。
再一方面,本发明实施例还提供一种实现地址管理的sdn控制器,包括:接收地址池编号单元和分配地址单元;其中,
接收地址池编号单元用于,接收来自aaa服务器的地址池唯一编号id信息;
分配地址单元用于,根据预先配置地址池信息及接收的地址池id信息为vg分配地址管理信息;
其中,所述vg为sdn控制器为rg分配的vg。
可选的,sdn控制器还包括上送单元,
用于根据基于地址池信息及地址池id信息为vg分配地址管理信息,确定为vg分配的ip地址,并将确定的为vg分配的ip地址上送至aaa服务器。
再一方面,本发明实施例还提供一种实现地址管理的aaa服务器,包括分配信息单元,用于完成对rg的认证后,为vg分配地址管理信息,并向sdn控制器反馈携带有所述为vg分配的地址管理信息的内容的认证响应消息;
其中,所述vg为sdn控制器为rg分配的vg。
可选的,分配信息单元具体用于,直接为vg分配地址管理信息;
所述地址管理信息包括:vg的广域网wan接口相关的ip地址、和/或vg的网络地址转换nat的公网地址及vg的nat的接口port信息。
可选的,所述aaa服务器还包括签约信息发送单元,用于为rg分配vg之前,向sdn控制器发送用户签约信息。
再一方面,本发明实施例还提供一种实现地址管理的装置,包括:相关信息发送单元,用于根据接收的dhcp请求,发送dhcp请求中包含的识别和认证相关信息到sdn控制器,以使sdn控制器根据所述识别和认证相关信息生成进行rg认证的认证请求信息。
可选的,相关信息发送单元还用于,
发送所述识别和认证相关信息到sdn控制器时,发送所述装置的通信地址到sdn控制器,以使sdn控制器根据接收的所述装置的通信地址与所述装置通信。
可选的,该装置还包括延伸单元,用于,将rg与所述装置的连接延伸至vg的lan接口所在网络。
与相关技术相比,本申请技术方案包括:软件定义网络(sdn)控制器根据接收的来自第一装置的家庭网关(rg)的识别和认证相关信息生成并发 送进行家庭网关rg认证的认证请求信息到认证授权计费(aaa)服务器;aaa服务器在完成rg的认证后,为vg分配地址管理信息;sdn控制器在aaa服务器完成rg认证后,根据用户签约信息为rg分配虚拟网关(vg);aaa服务器在完成rg的认证后,为vg分配地址管理信息,sdn控制器根据来自aaa服务器的携带有为vg分配的地址管理信息的内容的认证响应信息为vg配置地址。本发明实施例方法通过sdn控制器为rg分配vg,通过aaa服务器为vg分配地址管理信息,实现了vg创建后的地址管理。
附图说明
图1本发明实施例实现地址管理的方法的流程图;
图2本发明另一实施例实现地址管理的方法的流程图;
图3本发明另一实施例实现地址管理的方法的流程图;
图4本发明再一实施例实现地址管理的方法的流程图;
图5为本发明实施例实现地址管理的装置的结构框图;
图6为本发明实施例实现地址管理的sdn控制器的结构框图;
图7为本发明实施例另一实现地址管理的sdn控制器的结构框图;
图8为本发明实施例实现地址管理的aaa服务器的结构框图;
图9为应用示例的网络结构示意图;
图10为本发明第一应用示例的方法流程图;
图11为本发明第二应用示例的方法流程图;
图12为本发明第三应用示例的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
发明人发现,vg通常成千上万,数目巨大;现关技术中采用aaa服务器为rg分配vg-id,由于vg是虚拟的,可能会故障、掉电或变更,rg 发生故障、掉电或变更时,需要在aaa服务器重新为rg分配vg-id,实现复杂,另外,相关技术中没有提供vgwan相关的地址管理信息的分配方法;即如何对vg进行动态地址管理,相关技术中尚未提出有效的方案。
图1本发明实施例实现地址管理的方法的流程图,如图1所示,包括:
步骤100、第一装置根据接收的动态主机配置协议(dhcp)请求,发送dhcp请求中包含的识别和认证相关信息到软件定义网络(sdn)控制器。
本发明实施例方法,根据识别和认证相关信息,sdn控制器生成进行rg认证的认证请求信息。
可选的,dhcp请求来自宽带网络网关(bng)或rg。
需要说明的是,本发明实施例方法,dhcp请求可以来自bng,来自bng的dhcp请求可以包括rg发送bng的dhcp请求。
可选的,本发明实施例方法中,第一装置包括:网络功能虚拟化基础架构网关(nfvi-gateway)或bng。
可选的,第一装置为nfvi-gateway时,识别和认证相关信息包括:dhcp请求中封装的rg的隧道标识符、和/或rg的隧道源地址、和/或与rg关联的虚拟局域网vlan、和/或与rg关联的多协议标签交换mpls子网信息、和/或线路标识信息、和/或包含dhcp请求内容的消息;
第一装置为bng时,识别和认证相关信息包括:线路标识信息、和/或接收dhcp请求的bng端口号、和/或包含dhcp请求内容的消息。
发送识别和认证相关信息到sdn控制器时,本发明实施例方法还包括步骤101:
步骤101、第一装置发送第一装置的通信地址到sdn控制器,以使sdn控制器根据接收的第一装置的通信地址与第一装置通信。
需要说明的是,第一装置为nfvi-gateway时,第一装置的通信地址可以包括隧道目的地址;第一装置为bng时,第一装置的通信地址可以包括bng发送到sdn控制器的自身编号和接收dhcp请求的bng端口号。
可选的,本发明实施例方法还包括:
第一装置将rg与第一装置的连接延伸至虚拟网关(vg)的局域网(lan)接口所在网络。
需要说明的是,这里的vg的lan接口所在网络包括:sdn控制器在aaa服务器完成rg认证后,根据用户签约信息为rg分配vg的lan接口所在网络。
本发明实施例方法可以应用与ipv4、ipv6及nat网络中,在不同网络中实施本发明实施方法时,根据协议的不同,部分信息需要进行适应性的调整,该部分调整不需要本领域技术人员进行创造性劳动。
图2本发明另一实施例实现地址管理的方法的流程图,如图2所示,包括:
步骤200、软件定义网络(sdn)控制器根据来自第一装置的识别和认证相关信息生成进行rg认证的认证请求信息,并将生成的rg认证的认证请求信息发送到认证授权计费(aaa)服务器;
步骤201、sdn控制器在aaa服务器完成rg认证后,根据用户签约信息为rg分配vg;
其中,所述vg为由sdn控制器或aaa服务器分配地址管理信息的vg。
需要说明的是,用户签约信息包含用户业务的基础配置,包括用于网络连接的ip地址信息、用户带宽信息、服务质量信息、安全控制相关信息以及用户增值业务信息(如家长控制、防火墙等)。
另外,根据用户签约信息为rg分配vg可以包括:采用模板方式,可以选择基础业务模板,对应基础ipv4vg、基础ipv6vg或是ipv4私有vg,以及扩展业务模板,对应有家庭控制业务,家庭安全业务等。aaa可以将业务模板id发送给sdn控制器,sdn控制器根据模板id组合创建支持不同业务的vg。
步骤202、sdn控制器根据来自aaa服务器的认证响应信息为vg配置地址;
认证响应消息为:aaa服务器完成认证后,向sdn控制器反馈的携带 有aaa服务器为vg分配的地址管理信息的内容。
可选的,本发明实施例方法中,认证请求信息包含识别和认证相关信息;
识别和认证相关信息包括:dhcp请求中封装的rg的隧道标识符、和/或rg的隧道源地址、和/或与rg关联的vlan、和/或与rg关联的mpls子网信息、和/或线路标识信息、和/或接收dhcp请求的bng端口号、和/或包含dhcp请求内容的消息。
可选的,本发明实施例方法还包括:sdn控制器将预先存储的vg的lan接口接入信息发往第一装置。
可选的,vg的lan接口接入信息包括:
vg的lan接口可达的虚拟网关唯一编码(vg-id)信息、和/或vg的lan接口的连接信息。
可选的,为rg分配vg之后,如果包含有与分配的vg共享的nat设备,本发明实施例方法还包括:
sdn控制器将分配给vg的网络地址转换nat公网地址及vg的nat公网的接口(port)信息下发给与vg共享的nat设备。
可选的,本发明实施例方法还包括:sdn控制器对每一rg分别建立相应的会话控制(session)管理;
会话控制管理包括:对与rg关联的vlan、和/或与rg关联的mpls子网信息、和/或vg-id信息、和/或vg的lan接口信息、和/或vg的广域网wan接口信息、和/或vg的nat公网的公网地址、和/或vg的nat的port信息、和/或分配vg地址管理信息、和/或服务质量(qos)、和/或安全策略、和/或操作管理维护(oam)管理信息进行记录和维护。
本发明实施例方法通过sdn控制器为rg分配vg,实现了vg创建后的地址管理。
本发明实施例方法可以应用与ipv4、ipv6及nat网络中,在不同网络中实施本发明实施方法时,根据协议的不同,部分信息需要进行适应性的调整,该部分调整不需要本领域技术人员进行创造性劳动。
图3本发明另一实施例实现地址管理的方法的流程图,如图3所示,包 括:
步骤301、aaa服务器在完成rg的认证后,为vg分配地址管理信息,并向sdn控制器反馈携带有为vg分配的地址管理信息的内容的认证响应消息。
其中,所述vg为sdn控制器为rg分配的vg。
需要说明的是,本发明实施方法的aaa服务器可以与dhcp服务器合设,即可以在aaa服务器中实现dhcp服务器的功能,由于dhcp服务器中包含的本发明实施例所需的信息存在差异,需要本领域技术人员结合实际情况进行适应性的调整,该部分调整不需要本领域技术人员进行创造性的劳动。
另外,为vg分配地址管理信息,和为rg分配vg可以分开实施,两者不存在时序关系;当两者均完成时,则达到的结果是为rg分配的vg为分配了地址管理信息的。
可选的,为vg分配地址管理信息包括:
aaa服务器直接为vg分配地址管理信息;
地址管理信息包括:vg的广域网wan接口相关的ip地址、和/或vg的网络地址转换(nat)的公网地址及vg的nat的接口(port)信息。
需要说明的是,aaa服务器内存有地址管理信息,或aaa服务器从运营商运维管理系统中查询。运营商运维管理系统存储了用户签约时创建的地址管理信息。
可选的,为rg分配vg之前,本发明实施例方法还包括步骤300;
步骤300、aaa服务器向sdn控制器发送用户签约信息。
本发明实施例方法,通过aaa服务器为vg分配地址管理信息,实现了vg创建后的地址管理。
本发明实施例方法可以应用与ipv4、ipv6及nat网络中,在不同网络中实施本发明实施方法时,根据协议的不同,部分信息需要进行适应性的调整,该部分调整不需要本领域技术人员进行创造性劳动。
图4本发明再一实施例实现地址管理的方法的流程图,如图4所示,包括:
步骤400、sdn控制器接收来自aaa服务器的地址池id信息;
步骤401、sdn控制器根据预先配置的地址池信息及接收的地址池id信息为vg分配地址管理信息;
其中,所述vg为sdn控制器为rg分配的vg。
需要说明的是,地址池id代表一个ip地址段和端口端,例如、130.0.0.1~200,端口号2000~3000,sdn控制器从这个ip地址段和端口端范围内为不同的vg分别分配相应的由ip地址和端口范围构成的管理信息;不同vg的ip地址可以相同,ip地址相同时,端口范围不同。
可选的,地址管理信息包括:vg的广域网wan接口相关的ip地址、和/或vg的网络地址转换nat的公网地址及vg的nat的接口port信息;
可选的,本发明实施例方法还包括:
sdn控制器根据基于地址池信息及地址池id信息为vg分配地址管理信息,确定为vg分配的ip地址,并将确定的为vg分配的ip地址上送至aaa服务器。
需要说明的是,将确定的ip地址上送至aaa服务器可以用于进行安全控制。例如、溯源。
图5为本发明实施例实现地址管理的装置的结构框图,如图5所示,包括:相关信息发送单元,用于根据接收的dhcp请求,发送dhcp请求中包含的识别和认证相关信息到sdn控制器,以使sdn控制器根据所述识别和认证相关信息生成进行rg认证的认证请求信息。
可选的,相关信息发送单元还用于,
发送识别和认证相关信息到sdn控制器时,发送装置的通信地址到sdn控制器,以使sdn控制器根据接收的装置的通信地址与装置通信。
本发明实施例装置还包括延伸单元用于,将rg与装置的连接延伸至vg的lan接口所在网络。
图6为本发明实施例实现地址管理的sdn控制器的结构框图,如图6所示,包括:生成发送单元、分配单元和地址配置单元;其中,
生成发送单元用于,根据来自第一装置的识别和认证相关信息生成进行rg认证的认证请求信息,并将生成的rg认证的认证请求信息发送到aaa服务器;
分配单元用于,在aaa服务器完成rg认证后,根据用户签约信息为rg分配vg;
地址配置单元用于,sdn控制器根据来自aaa服务器的认证响应信息为vg配置地址;
认证响应消息包括:aaa服务器完成认证后,向sdn控制器反馈的携带有aaa服务器为vg分配的地址管理信息的内容;
其中,vg为由sdn控制器或aaa服务器分配地址管理信息的vg。
可选的,本发明实施例,sdn控制器还包括地址池发送单元,用于发送预先配置的地址池信息到aaa服务器。
可选的,本发明实施例,sdn控制器还包括接入信息发送单元,用于将预先存储的vg的lan接口接入信息发往第一装置。
可选的,本发明实施例,sdn控制器还包括下发单元,用于为rg分配vg之后,如果包含有与分配的vg共享的nat设备,将分配给vg的nat公网地址及vg的nat公网的port信息下发给与vg共享的nat设备。
可选的,本发明实施例,sdn控制器还包括会话控制单元,用于对每一rg分别建立相应的会话控制session管理;
会话控制管理包括:对与rg关联的vlan、和/或与rg关联的mpls子网信息、和/或vg-id信息、和/或vglan接口信息、和/或vg的广域网wan接口信息、和/或vg的nat公网的公网地址、和/或vg的nat的port信息、和/或分配vg地址管理信息、和/或qos、和/或安全策略、和/或oam管理信息进行记录和维护。
图7为本发明实施例实现地址管理的sdn控制器的结构框图,如图7所示,包括接收地址池编号单元和分配地址单元;其中,
接收地址池编号单元用于,接收来自aaa服务器的地址池唯一编号id信息;
分配地址单元用于,根据预先配置地址池信息及接收的地址池id信息为vg分配地址管理信息。
其中,所述vg为sdn控制器为rg分配的vg。
可选的,sdn控制器还包括上送单元,
用于根据基于地址池信息及地址池id信息为vg分配地址管理信息,确定为vg分配的ip地址,并将确定的为vg分配的ip地址上送至aaa服务器。
图8为本发明实施例实现地址管理的aaa服务器的结构框图,如图8所示,包括:分配信息单元,用于完成对rg的认证后,为vg分配地址管理信息,并向sdn控制器反馈携带有所述为vg分配的地址管理信息的内容的认证响应消息;
其中,所述vg为sdn控制器为rg分配的vg。
可选的,分配信息单元具体用于,直接为vg分配地址管理信息;
地址管理信息包括:vg的广域网(wan)接口相关的ip地址、和/或vg的网络地址转换(nat)的公网地址及vg的nat的接口(port)信息。
需要说明的是,vg的wan接口相关的ip地址包括vg的wan接口的ipv4、和/或ipv6地址。
可选的,本发明实施例aaa服务器还包括签约信息发送单元,用于为rg分配vg之前,向sdn控制器发送用户签约信息。
以下通过应用示例对本发明方法进行清楚详细的说明,应用示例仅用于陈述本发明实施例,并不用于限定本发明的保护范围。
为使应用示例陈述更为清楚,对应用示例的网络结构进行说明,图9为应用示例的网络结构示意图,如图9所示,网络结构中包括:家庭网关、虚拟网关、宽带网络网关、nfvi-gateway、sdn控制器和aaa服务器等;其中虚拟网关位于网络功能虚拟化的网络内。
应用示例1
本应用示例中,家庭网关(rg,residentialgateway)包含三层路由接入功能,通过在wan接口上通过三层隧道封装和vg互通;虚拟网关(vg)位于网络功能虚拟化(nfv)的网络内,第一装置为nfvi-gateway,作为独立设备,为vg提供rg接入。
图10为本发明第一应用示例的方法流程图,如图8所示,包括:
步骤1000:rg向提供接入的bng发送动态主机配置协议(dhcp)请求;
本应用示例中,dhcp请求为rg的广域网(wan)接口的网络之间互连的协议(ip)地址请求,dhcp请求在经过运营商接入网络(accessnetwork)时,中间设备会增加线路标识信息。中间设备可以包括:数字用户线路接入复用器(digitaldilamolt),光线路终端或接入交换机(olt)等。
步骤1001:bng收到dhcp请求,向认证授权计费(aaa)服务器发起rg认证及vg接入aaa请求;其中,rg认证及vg接入aaa请求携带dhcp请求经过中间设备时增加的线路标识信息。
步骤1002:aaa服务器根据接收到的rg认证及vg接入aaa请求认证rg。
需要说明的是,相关技术中,当运营商网络有多个nfv网络提供vg接入时,aaa服务器可以通过策略分配可选的nfv网络以及vg相关接入nfvi-gateway。aaa服务器将rg的wan接口的ip地址及vg所在数据中心的接入设备nfvi-gateway信息及连接建立信息,例如隧道封装信息,如虚拟可扩展局域网(vxlan)、通用路由封装(gre)等发送给bng。bng将rg的wan接口的ip地址、nfvi-gateway信息及连接建立信息发送给rg。
步骤1003:rg和nfvi-gateway根据rg的wan的ip地址、nfvi-gateway信息及连接建立信息建立连接。
步骤1004:rg向nfvi-gateway发送dhcp请求;
本应用示例,dhcp请求为rg的局域网(lan)接口的ip地址请求。
步骤1005:nfvi-gateway接收来自rg的dhcp请求,将dhcp请求中包含的识别和认证相关信息上送到sdn控制器;
识别和认证相关信息包括dhcp请求中封装的rg的隧道标识符、和/或rg的隧道源地址;
可选的,上送识别和认证相关信息时,本应用示例方法还包括:nfvi-gateway发送隧道目的地址到sdn控制器,以使sdn控制器根据接收的隧道目的地址与nfvi-gateway通信。
需要说明的是,dhcp请求中按照相关技术中的封装还可以包括rg的lan接口在内的其他信息,属于本领域技术人员的公知常识。
步骤1006:sdn控制器根据接收的识别和认证相关信息发送认证请求信息到aaa服务器;
认证请求信息包含识别和认证相关信息;即认证请求信息携带有dhcp请求中封装的rg的隧道标识符、和/或rg的隧道源地址;
步骤1007、aaa服务器根据接收的来自sdn控制器的认证请求信息进行rg认证;
需要说明的是,根据认证请求信息进行rg认证包括:根据动态主机配置协议dhcp请求中封装的rg的隧道标识符、和/或rg的隧道源地址、和/或与rg关联的虚拟局域网vlan、和/或与rg关联的多协议标签交换mpls子网信息、和/或线路标识信息、和/或接收dhcp请求的宽带网络网关bng端口号、和/或包含dhcp请求内容的消息进行rg认证;另外,本应用示例方法中默认sdn控制器为合法的,如果需要对sdn控制器进行认证,则可以在本应用示例方法中添加对sdn控制器进行认证的处理过程。
步骤1008、aaa服务器完成rg认证时,为vg分配地址管理信息;
可选的,为vg分配地址管理信息可以包括:
aaa服务器直接为vg分配地址管理信息;
可选的,本应用示例可以由sdn控制器为vg分配地址管理信息,包括:
sdn控制器接收来自aaa服务器的地址池唯一编号(id)信息;
根据预先配置地址池信息及接收的地址池id信息为vg分配地址管理信息。
可选的,sdn控制器根据基于地址池信息及地址池id信息为vg分配地址管理信息,确定为vg分配的ip地址,并将确定的为vg分配的ip地址上送至aaa服务器。
需要说明的是,将确定的ip地址上送至aaa服务器可以用于进行安全控制。例如、溯源。
地址管理信息可以包括:vg的wan接口相关的ip地址、vg的网络地址转换(nat)的公网地址及vg的nat的接口(port)信息;
需要说明的是,地址池由运营商网管统一配置,在sdn控制器预先分配地址池、及不同的地址池的id。aaa服务器可以根据地址池的id为vg分配地址管理信息,包括根据地址池的id为不同的rg分配不同的ip地址。在bng上已经采用相关技术中的方法配置了地址池信息,本应用示例方法中sdn控制器可以按照相同的原理配置地址池信息;本应用示例方法还可以从bng中直接获取存储的地址池信息,但是,在获取bng上存储的地址池信息之前,需要建立aaa服务器与bng的连接。
步骤1009、aaa服务器在完成对rg认证后向sdn控制器发送携带有为vg分配的地址管理信息的认证响应消息;
步骤1010:sdn控制器接收来自aaa服务器的认证响应消息后,根据用户签约信息为rg分配vg,根据认证响应信息中的为vg分配的地址管理信息的内容为vg配置地址;
需要说明的是,sdn控制器接收到认证响应信息时,可以对为vg分配的地址管理信息的内容进行存储。
可选的,为rg分配vg之前,本应用示例方法还包括:aaa服务器向sdn控制器发送用户签约信息;
需要说明的是,用户签约信息是相关技术中的现有的信息,是用户在与运营商签订用网协议时签订的协议内容,包含涉及用户的用网策略,存储在aaa服务器中。签约信息包含用户业务的基础配置,包括用于网络连接的ip 地址信息、用户带宽信息、服务质量信息、安全控制相关信息以及用户增值业务信息(如家长控制、防火墙等)。
可选的,本应用示例还包括:
sdn控制器将预先存储的vg的lan接口接入信息发往nfvi-gateway;
vg的lan接口接入信息可以包括vg的lan接口可达的虚拟网关唯一编码(vg-id)信息和/或vg的lan接口的连接信息;
需要说明的是,本应用示例,vg的lan接口接入信息可以通过用户签约信息确定。
可选的,本应用示例方法还包括:
sdn控制器将分配给vg的地址管理信息下发给vg进行设置;
可选的,如果包含与vg共享的nat设备,本应用示例方法还包括:sdn控制器将分配给vg的nat公网地址及vg的nat公网的port信息下发给与vg共享的nat设备。
需要说明的是,vg共享的nat设备可以通过用户签约信息确定,确定vg共享的nat设备属于本领域技术人员的惯用技术手段,在此不再赘述;
步骤1011:nfvi-gateway将rg与nfvi-gateway的连接延伸至vg的lan接口所在网络;即将rg和nfvi-gateway的隧道和vg的lan接口所在的网络建立映射关系。
需要说明的是,vg的lan接口所在网络可以通过sdn控制预先存储的网络拓扑信息进行确定,建立映射关系的内容包括:将rg连接到的nfvi-gateway的隧道,与nfvi-gateway的隧道连接的与rg成对应关系的vg的lan接口所在的网络,以nfvi-gateway的隧道作为中间层,进行一一对应的连接;
步骤1012:rg的lan接口及lan接口所连的家庭网络设备发送dhcp请求到vg。
步骤1013:vg为rg的lan接口所连的家庭网络设备分配ip地址。
步骤1014:rg转发家庭网络设备的数据流,vg为家庭网络设备提供业务转发;业务转发包括ip转发或nat或其他业务处理的转发。
rg也可以发送以太网上的点对点协议(pppoe)请求用于实现rg的接入、认证以及vg相关的nfvi-gateway分配。rg的lan接口发送的报文会承载在vxlan等二层隧道协议之上,并通过pppoe封装到达bng。bng解封装pppoe报文后,rg的lan接口发送的报文会根据二层隧道协议的目的地址确定nfvi-gateway的位置。
本应用示例的rg也可以是企业网网关接入,企业网网关可以动态接入,也可以静态接入。企业网网关接入时,bng支持三层转发。动态接入时,通过接入bng,向aaa服务器请求可接入vg的nfvi-gateway相关信息,建立企业网关wan接口和nfvi-gateway的wan接口的连接,nfvi-gateway的wan接口可通过子接口或隧道信息区分不同的企业网关接入。当该连接有报文,会触发步骤1005到步骤1010的处理流程。
应用示例2
本应用示例家庭网关通过以太网接入功能和vg通信。vg位于数据中心内,本应用示例第一装置为nfvi-gateway,nfvi-gateway作为独立设备,并为vg提供rg接入。
图11为本发明第二应用示例的方法流程图,如图11所示,包括:
步骤1100:rg的lan接口向提供接入的bng发送dhcp请求;
本应用示例,dhcp请求为家庭网关的lan接口的ip地址请求。
步骤1101:bng收到dhcp请求,向aaa服务器发送rg认证及vg接入aaa请求;其中,rg认证及vg接入aaa请求携带有线路标识信息。
步骤1102:aaa服务器根据rg认证及vg接入aaa请求认证rg,并分配vg连接信息;vg连接信息包括虚拟局域网(vlan)或多协议标签交换(mpls)子网信息;aaa服务器发送rg的vg连接信息至bng。
步骤1103:bng根据aaa服务器返回的vlan或mpls子网信息,建立与vg所连接的nfvi-gateway的连接,并在bng上建立bng与vg所连接的nfvi-gateway与rg接入的二层子网的映射。
需要说明的是,bng与vg所连接的nfvi-gateway与rg接入的二层子网的映射包括:将vg连接到的nfvi-gateway的隧道,与nfvi-gateway的隧道连接的与rg成对应关系的rg接入的二层子网,以nfvi-gateway的隧道作为中间层,进行一一对应的连接;
步骤1104:bng将接收到dhcp请求发送给连接的nfvi-gateway;
步骤1105:nfvi-gateway接收来自bng的dhcp请求,将dhcp请求中包含的识别和认证相关信息上送到sdn控制器;
识别和认证相关信息包括dhcp请求中封装的与rg关联的vlan或与rg关联的mpls子网信息。
需要说明的是,dhcp请求中按照相关技术中的封装还包括家庭网关的lan接口等信息,属于本领域技术人员的公知常识。
可选的,上送识别和认证相关信息时,本应用示例方法还包括:
nfvi-gateway发送rg的隧道目的地址到sdn控制器,以使sdn控制器根据rg的隧道目的地址进行通信。
步骤1106:sdn控制器根据接收的识别和认证相关信息发送认证请求信息到aaa服务器;
认证请求信息包含识别和认证相关信息,即认证请求信息携带有dhcp请求中封装的与rg关联的vlan、和/或与rg关联的mpls子网信息;
步骤1107、aaa服务器根据接收的来自sdn控制器的认证请求信息进行rg认证;
需要说明的是,根据认证请求信息进行rg认证为本领域技术人员的惯用技术手段;另外,本应用示例方法,默认sdn控制器为合法的,如果需要对sdn控制器进行认证,则可以在本应用示例方法中添加对sdn控制器进行认证的处理过程。
步骤1108、aaa服务器完成rg认证时,为vg分配地址管理信息;
可选的,为vg分配地址管理信息包括:
aaa服务器直接为vg分配地址管理信息;
地址管理信息包括vg的wan接口相关的ip地址、vg的nat公网地址及vg的nat的port信息;
可选的,本应用示例可以由sdn控制器为vg分配地址管理信息,包括:
sdn控制器接收来自aaa服务器的地址池唯一编号(id)信息;
根据预先配置地址池信息及接收的地址池id信息为vg分配地址管理信息。
可选的,sdn控制器根据基于地址池信息及地址池id信息为vg分配地址管理信息,确定为vg分配的ip地址,并将确定的为vg分配的ip地址上送至aaa服务器。
需要说明的是,将确定的ip地址上送至aaa服务器可以用于进行安全控制。例如、溯源。
需要说明的是,在bng上已经采用相关技术中的方法配置了地址池信息,本应用示例方法中sdn控制器可以按照相同的原理配置地址池信息;本应用示例方法还可以从bng中直接获取存储的地址池信息,但是,在获取bng上存储的地址池信息之前,需要建立aaa服务器与bng的连接。
步骤1109、aaa服务器完成对rg认证后,向sdn控制器发送携带有为vg分配的地址管理信息的认证响应消息;
步骤1110:sdn控制器接收来自aaa服务器的认证响应消息后,根据用户签约信息为rg分配vg,根据认证响应信息中的为vg分配的地址管理信息的内容为vg配置地址;
可选的,为rg分配vg之前,本应用示例方法还包括:aaa服务器向sdn控制器发送用户签约信息;
需要说明的是,用户签约信息是相关技术中的现有的信息,是用户在与运营商签订用网协议时签订的协议内容,包含涉及用户的用网策略,存储在aaa服务器中;
可选的,本应用示例还包括:sdn控制器对每一rg的识别和认证相关信息为vg分配的地址管理信息建立相应的会话控制(session)管理;
会话控制管理的内容包括:与rg关联的vlan、与rg关联的mpls 子网信息、vg-id信息、vg的lan接口信息、vg的wan接口信息、vgnat公网的公网地址、vg的nat的port信息,分配vg地址管理信息、qos、安全策略以及oam管理信息的记录和维护。
需要说明的是,进行会话控制管理包括对会话控制管理的内容进行记录和维护,这里的维护包括:签约用户登录时,对会话控制管理的内容进行记录,当rg由于一些原因退出时,在重新登录过程中,发送记录的会话控制管理的内容到再次登录的rg。
可选的,sdn控制器将预先存储的vg的lan接口接入信息发往nfvi-gateway;
vg的lan接口接入信息可以包括vg的lan接口可达的vg-id信息和/或vg的lan接口连接信息;
需要说明的是,vg的lan接口接入信息可以通过用户签约信息确定。
可选的,本应用示例方法还包括:sdn控制器将分配给vg的地址管理信息下发给vg进行设置;
可选的,本应用示例方法还包括:
sdn控制器将分配给vg的地址管理信息下发给vg进行设置;
可选的,如果有与vg共享的nat设备,本应用示例方法还包括:将分配给vg的nat公网地址及vg的nat公网的port信息下发给与vg共享的nat设备。
需要说明的是,vg共享的nat设备可以通过用户签约信息确定,确定vg共享的nat设备属于本领域技术人员的惯用技术手段,在此不再赘述;
步骤1111:nfvi-gateway将rg与nfvi-gateway的连接延伸至与vg的lan接口所在的网络。
步骤1112:rg的lan接口及lan接口所连的家庭网络设备向vg发送dhcp请求,申请ip地址。
步骤1113:vg为rg的lan接口及lan接口所连的家庭网络设备分配ip地址。
步骤1114:rg转发家庭网络设备的数据流,vg为家庭网络设备提供业务转发;业务转发包括ip转发或nat或其他业务处理的转发;
如果多个vg共享nat或其他业务,则对其他业务进行转发处理。
rg也可以企业网网关接入,企业网网关可以动态接入,也可以静态接入;企业网网关接入时,bng支持二层转发;动态接入时,通过接入bng,向aaa服务器请求可接入vg侧的nfvi-gateway相关信息,建立企业网网关的wan接口和nfvi-gateway的wan接口的连接,nfvi-gateway的wan接口可通过与rg关联的vlan或与rg关联的mpls子网实现与企业网网关的接入;当该连接有报文,会触发和本应用示例步骤1105到步骤1110的处理流程。
应用示例3
本应用示例应用场景为家庭网关通过三层路由接入功能和vg互通;vg位于数据中心内,本应用示例第一装置为通过bng中扩展第一应用示例和第二应用示例中的nfvi-gateway的功能的装置,为vg提供rg接入。
图12为本发明第三应用示例的方法流程图,如图12所示,包括:
步骤1200:rg向当前接入的bng发送dhcp请求;
dhcp请求为rg的wan接口的ip地址请求;
dhcp请求在经过运营商接入网络(accessnetwork)时,中间设备会增加线路标识信息。
需要说明的是,中间设备可以包括:数字用户线路接入复用器(digitaldilamolt),光线路终端或接入交换机(olt)等。
步骤1201:bng接收来自rg的dhcp请求,将收到dhcp请求中包含识别和认证相关信息发往sdn控制器;
识别和认证相关信息包括:线路标识信息、或接收dhcp请求的bng端口号。
需要说明的是,本应用示例方法,包含识别和认证相关信息也可以通过直接转发dhcp请求的方式发往sdn控制器。
步骤1202、sdn控制器根据预先存储的认证记录信息判断是否是新的rg;
可选的,本应用示例方法步骤1002之前还包括:sdn控制器存储在aaa服务器完成认证的rg的识别和认证相关信息,作为认证记录信息。
如果rg是新的rg,则执行步骤1003;如果不是新的rg,则一般认为本应用示例后续流程均已完成;
步骤1203、sdn控制器根据接收的识别和认证相关信息发送认证请求信息到aaa服务器;
认证请求消息携带识别和认证相关信息,即认证请求信息中携带有线路标识信息、接收dhcp请求的bng端口号、或包含dhcp请求内容的消息;
可选的,bng上送识别和认证相关信息的时候,为了实现sdn控制与bng的通信,bng需要发送自身的编号到sdn控制器,sdn控制器根据bng的编号和接收dhcp请求的bng端口号与bng通信。
步骤1204:aaa服务器根据接收的来自sdn控制器的认证请求信息进行rg认证;
需要说明的是,本应用示例方法,默认sdn控制器为合法的,如果需要对sdn控制器进行认证,则可以在本步骤中添加多sdn控制器的认证处理。
步骤1205、aaa服务器完成rg认证时,为vg分配地址管理信息;
可选的,分配vg地址管理信息包括:aaa服务器直接为vg分配地址管理信息;
地址管理信息包括vg的wan接口相关ip地址、vg的nat公网地址及vg的nat公网的port信息;
可选的,本应用示例可以由sdn控制器为vg分配地址管理信息,包括:
sdn控制器接收来自aaa服务器的地址池唯一编号(id)信息;
根据预先配置地址池信息及接收的地址池id信息为vg分配地址管理信息。
可选的,sdn控制器根据基于地址池信息及地址池id信息为vg分配 地址管理信息,确定为vg分配的ip地址,并将确定的为vg分配的ip地址上送至aaa服务器。
需要说明的是,将确定的ip地址上送至aaa服务器可以用于进行安全控制。例如、溯源。
步骤1206、aaa服务器完成认证后,向sdn控制器返回携带有为vg分配的地址管理信息的认证响应消息。
步骤1207:sdn控制器接收到来自aaa服务器的认证响应消息后,根据用户签约信息为rg分配vg,根据认证响应信息中的为vg分配的地址管理信息的内容为vg配置地址;
可选的,为rg分配vg之前,本应用示例方法还包括:aaa服务器向sdn控制器发送用户签约信息;
可选的,本应用示例还包括,sdn控制器将预先存储的rg的wanip地址、vg的lan接口接入信息发往bng;
vg的lan接口接入信息包括vg的lan接口可达的vg-id信息和/或vg的lan接口的连接信息;
需要说明的是,rg的wanip地址、vg的lan接口接入信息可以通过用户签约信息确定。
可选的,本应用示例方法还包括:
sdn控制器将分配给vg的地址管理信息下发给vg进行设置;
可选的,如果包含与vg共享的nat设备,本应用示例方法还包括:将分配给vgnat公网地址及vgnat公网的port信息下发给与vg共享的nat设备。
需要说明的是,vg共享nat设备可以通过用户签约信息确定,属于本领域技术人员的惯用技术手段;
步骤1208:bng将rg的wanip地址通过dhcp消息回复给rg,并将rg所在网络与vg所在的子网进行关联后,建立连接。
步骤1209:rg保存vg的wan地址,建立rg和bng的隧道连接。
步骤1210:rg的lan接口发送dhcp请求。
步骤1211:vg为rg的lan接口及所连家庭网络设备分配ip地址。
vg进行业务流处理后,发送给rg或nat或其他业务设备,业务流最终由bng上送到因特网(internet)。
rg也可以企业网网关接入。企业网网关可以动态接入,也可以静态接入。企业网网关接入时,bng支持二层转发;动态接入时,通过接入bng,bng通过sdn控制器向aaa服务器请求接入;bng根据sdn控制器的配置建立由sdn控制器动态管理虚拟企业网关连接。bng根据与控制器连接的端口来识别企业网关用户;采用的步骤和1203到1207的处理流程相似。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的每个模块/单元可以采用硬件的形式实现,例如通过集成电路来实现其相应功能,也可以采用软件功能模块的形式实现,例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本发明不限制于任何特定形式的硬件和软件的结合。”。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
- 还没有人留言评论。精彩留言会获得点赞!