专利名称:一种保障专线用户上网的方法
技术领域:
本发明涉及网络技术领域,尤其涉及一种保障专线用户上网的方法。
背景技术:
动态主机配置协议(DHCP)是最常用的一种控制上网方式的协议,其协议本身成熟、简单,并且现有的计算机操作系统如Windows、Unix都支持此协议,使用此协议,用户无需关心自己IP地址是多少,每次上网只需利用此协议从特定DHCP服务器上的地址池中动态获取一个地址后即可上网,无需额外进行什么配置或安装额外的拨号工具,对于网络的管理者和一般用户来说都是很简便的事情。
但对一些专线用户来说,用户可能更希望一段时间内使用固定不变的地址,比如用户要对外开放各种服务等,此时运营商需要给用户分配一个固定地址,用户可以通过设置静态IP地址的方式保持IP地址长时间的稳定。
此情况下运营商需要解决两个问题1、需要让这些专线用户只能使用分配给他们各自自己的IP地址;2、还要保证这些专线用户的IP地址不能被其他用户盗用。
现有技术使用静态的IP地址绑定功能,在接入设备(如数字用户线接入复用器DSLAM)上对这些专线用户端口绑定给其固定分配的IP地址,这些端口在被绑定了IP地址后,就只能允许源IP地址是这些地址的报文通过,但这种方法存在以下缺点
1、首先对运营商来说,这些专线用户的管理就比较困难,所有的绑定关系都需要在接入设备(如DSLAM)有相应的静态配置对应;2、对于这些专线用户的收费,如果中间因为用户短期欠费需要暂时中断业务,都需要牵扯到DSLAM上的配置更改;3、并且这种简单的静态IP地址绑定功能无法解决用户的地址不被其他用户盗用的问题,如其他动态获取地址的用户可以人为地设置这些专线用户的IP地址来上网。
发明内容
本发明所要解决的技术问题是克服现有技术使用静态的IP地址绑定功能存在的管理困难、配置工作量大、IP地址易被盗用的问题,提供一种保障专线用户上网的方法,简化配置、方便管理、并增加IP地址的安全性。
本发明为解决上述技术问题所采用的技术方案为这种保障专线用户上网的方法,包括以下步骤在支持动态主机配置选项功能的动态主机配置服务器上预先配置针对动态主机配置选项信息的配置信息;用户端发送的动态主机配置协议报文经过接入设备后,被添加上动态主机配置选项信息,再转给动态主机配置服务器;动态主机配置服务器根据收到的动态主机配置协议报文中的选项信息,寻找匹配的配置信息,将该选项信息回填到回应报文中,并将对应的配置信息通过回应报文返回给接入设备;接入设备通过所述回应报文获知用户的配置信息,并利用该配置信息对用户端口生成动态绑定关系。
所述动态主机配置协议选项信息可以为链路标识、远端标识、或同时为链路标识和远端标识。
所述接入设备对动态主机配置协议报文添加动态主机配置选项信息时,接入设备首先捕获用户端的上行动态主机配置协议报文,并同时记录捕获端口以及此端口上的描述信息,然后把端口位置信息加上自身设备名称作为链路标识,把端口的描述信息作为远端标识,把链路标识和远端标识信息一并作为动态主机配置协议选项添加到用户的动态主机配置协议报文中,再往上层设备转发继而转给动态主机配置服务器。
接入设备对于用户端上行的报文,只有是动态主机配置协议或是通过了端口绑定关系检查的报文才允许通过。
所述绑定关系可以通过IP地址绑定表、MAC地址绑定表,或者同时通过IP地址绑定表和MAC地址绑定表来建立,通过检查报文的源Ip或源MAC是否存在于绑定表中来确定报文是否通过绑定关系检查。
接入设备通过捕获动态主机配置协议释放报文知道用户需要下线,根据捕获到报文的用户端口号进而删除该用户先前生成的动态绑定关系。
为进一步优化,可以在接入设备上对每个生成的动态绑定关系都设置一个固定长度的用户在线检测定时器,接入设备按此定时器周期发送请求用户动态绑定关系中IP的地址解析协议请求报文,接入设备在收到用户的地址解析协议回应报文后刷新用户的在线检测定时器重新计时,如果接入设备在一段时间之后没有收到回应报文即认为用户已经异常离线,此时删除用户的该动态绑定关系。
为进一步优化,还可以在接入设备上,对用户生成的每个动态绑定关系设置租期定时器,此定时器根据服务器端到来的动态主机配置协议响应报文中服务器给予客户端的租期进行动态刷新,若接入设备上捕获不到该响应报文,则不刷新针对该用户的动态绑定关系的租期定时器。
所述配置信息至少包括IP地址。
本发明的有益效果为本发明利用动态地址绑定技术,并结合DHCPOption82功能,可以很好地解决运营商针对专线用户的诸多问题1、利用本发明,专线用户使用动态地址获取方式,也能够获取固定的IP地址;2、利用本发明,接入设备上无需针对每个专线用户进行静态IP地址绑定的配置操作,直接动态生成绑定关系;3、本发明通过DHCP报文中的租期选项,可以很好解决中间因用户短期欠费需要对用户停机的情况;4、利用本发明,接入设备下所有用户必须通过DHCP动态获取地址才可上网,用户自己人为地设置静态IP地址将无法上网,这样用户的地址管理由DHCP服务器端统一管理,避免了专线用户的地址被盗用的可能。
图1为DHCP option82选项格式示意图;图2为DHCP协议的一般流程示意图;图3为本发明工作过程示例图。
具体实施例方式
下面根据附图和实施例对本发明作进一步详细说明DHCP协议中定义了很多选项,其中有个选项为Option82,如图1所示,其中定义了Circuit ID Sub-option(即CID)和Remote ID Sub-option(即RID)两个子选项,其中CID即链路标识,一般用于标识用户的接入位置信息(局部信息);RID即远端标识,一般用于标识设备的属性信息(全局信息)。
DHCP协议的一般流程如图2所示,用户发出的DHCP Discovery(探察)报文表示一个用户动态获取地址的开始,服务端返回的一个DHCPACK(响应)报文表示一个成功获取到地址的结束。
本发明接入设备(如DSLAM)首先捕获所有用户的上行DHCP报文,并同时记录从哪个端口捕获的以及此端口上的描述信息,然后把端口位置信息(可以包括框、槽、端口号、PVC信息等)加上自身设备名称作为CID信息,把端口的描述信息(可以是比如电话号码或者用户机主名等更直观信息)作为RID信息,把CID和RID信息一并作为DHCPOption82选项添加到用户本来的DHCP报文中后,再往上层设备转发继而转给DHCP服务器,DHCP服务器根据收到报文中的此DHCPOption82选项内容即可获知到来用户的详细信息,包括从哪个设备、哪个端口上来的,用户的电话号码是多少等,进而可以根据预置的信息知道是专线用户还是普通上网用户,再分配固定地址或共享地址池里的地址。
这里前提是要求DHCP服务器能够支持DHCP Option82功能,即可以认识和按照DHCP Option82选项信息进行策略分配地址,并且在返回给客户端的DHCP报文中要把此信息原封不动再添加回去。
本发明中接入设备对于用户上来的报文,只有两种情况才允许通过,一种是DHCP报文,一种是通过了端口绑定表检查的报文,其中绑定表可以是IP地址绑定表、MAC地址绑定表,或者包括两者,通过检查报文的源IP、源MAC是否存在于绑定表中来确定报文是否通过绑定表检查。
起始阶段接入设备上对于用户绑定表为空,所以只允许DHCP报文通过,这样就限制了用户的上网方式必须是动态获取地址的方式,不能为静态配置IP地址方式。
在起始阶段接入设备通过对上行用户DHCP报文的捕获,利用DHCP Discovery报文的侦测,即可知道什么时候用户开始申请地址,以及通过对下行服务器DHCP报文的捕获,利用DHCP Ack报文的侦测即可知道什么时候用户成功获取到了一个地址,并且根据DHCP报文中的相关信息可以知道用户的MAC地址和分配给用户的IP地址,根据DHCP服务器回填的DHCP Option82信息可以知道这个用户的具体位置(包括框、槽、端口、PVC等足够位置信息),接入设备在把服务器回应的DHCP报文转发给客户的同时利用这些获取到的信息对用户生成动态的绑定表,使用此IP和此用户MAC的报文都将能够顺利通过接入设备的绑定表检查,接下来用户使用此分配的IP地址将可以顺利上网。显而易见,如果用户没有经过上面正当流程想自己设置一个静态IP地址就可以上网,接入设备上是不会给用户添加绑定表内容的,此种情况下用户是无法正常上网的。
以上正常情况下用户在要下线时会发出DHCP Release(释放)报文,接入设备通过捕获到此报文知道用户需要下线,同时根据DHCP报文里的选项内容知道用户的MAC地址、IP地址,然后根据捕获到报文的用户端口号进而删除用户先前生成的动态绑定表项,这样用户又恢复到起始状态,绑定表为空,用户端口上只允许DHCP报文通过,这样用户下次上线必须仍然要经过DHCP过程先动态获取地址才可。
以上描述的是用户端口只存在一台终端的情况,如果有多台终端,将针对每台终端生成一个绑定表项,它们共享端口上的绑定表资源,每台终端的上下线流程跟上面一致。
对于用户异常离线没有发送出DHCP Release报文的情况,在接入设备上对每个生成的动态绑定关系都设有一个固定长度的用户在线检测定时器,利用ARP(地址解析协议)报文来侦测用户还在不在线并刷新用户的此定时器,设备按此定时器周期发送请求用户动态绑定表中IP的ARP请求报文,正常情况下如果用户在线,用户会回应此ARP请求报文,接入设备在收到用户的ARP回应报文后刷新用户在线检测定时器重新计时即可,如果出现用户异常下线的情况,接入设备在一段时间之后(此时间长度可设)没有收到ARP回应报文即认为用户已经异常离线,此时删除用户的此动态表项,这样跟上一样,用户需重新开始DHCP流程才可恢复上网。
同时在接入设备上,对用户生成的每个动态绑定关系,还有一个租期定时器,此定时器是根据服务器端到来的DHCPACK报文中服务器给予客户端的租期进行动态刷新。按照DHCP协议定义,客户端在获取到的一个地址租期到达一半以及7/8时,客户端需要重新发送单播DHCPRequest请求报文到服务器请求刷新延长其地址租期,否则在租期满后将无法继续使用网络,服务器对此会以单播DHCP ACK响应报文回应新的租期给客户,客户端据此可以得到更新后的租期从而可以长时间的持续使用网络。用户开始交费时从运营商获取到一个地址的租期(比如按月收费),这样接入设备上从开始维持跟DHCP服务器同样的租期定时器。
在一个租期快期满时,只有用户连续交费后,DHCP服务器上用户的租期才会被延长,用户在本租期满之前会发送的续租DHCP Request报文服务器才会回应相应的DHCPACK响应报文,接入设备根据此返回的DHCP ACK报文延长用户的动态绑定关系的租期定时器,客户也根据此DHCP ACK报文延长其本地的当前地址租期时间,用户在本租期(刷新前的租期)满之后仍可持续上网。
1、如果用户没有继续交费,则DHCP服务器上用户的租期不会被增加,用户在本租期快到之前根据标准协议定义会持续发送租期续约的DHCP Request请求报文用户,而按照服务器的策略定义,用户在没有继续交费的情况下,服务器不会再响应客户端的续约租期的请求,也就是这种情况下不会有从服务器到客户端的DHCP ACK响应报文,接入设备上捕获不到DHCP ACK报文,从而针对用户的动态绑定关系的租期定时器也不会被刷新,这样本租期满之后用户的动态绑定关系将跟服务器保持同步的被删除,用户将无法继续上网;
2、以上用户续交费之后,用户将重新获得新的租期,此时用户本地因为租期已满地址已被自动释放,用户需重新进行地址动态获取过程才可接着使用网络,接入设备上也将重新生成用户的动态绑定关系,并且有了新的租期定时器;服务器上使用了静态的数据配置方式,从而客户重新申请地址后仍将得到跟之前一样的地址。
下面通过具体实例进行说明,如图3所示,详细过程描述如下在DHCP Server(服务器)上的配置库中预先静态配置了针对DHCPOption82选项值为“xx|xx”的配置信息,这里索引是DHCP Option82信息,可以是CID、RID或它们一起,最好使用CID、RID一起来索引,这样就更加没有出错的可能。CID为链路标识,一般包括接入设备名称、端口在接入设备上的编号、或者还有端口上的PVC信息;RID为远端标识,一般可以是直观的客户电话号码或者客户地址、名称等信息,这样更加易于操作维护。配置信息可以包括IP地址和掩码、租期以及其它配置信息如网关、DNS服务器、Wins服务器地址等;A、用户发送的DHCP Discovery/Request报文经过接入设备后被添加上DHCP Option82选项信息如“xx|xx”格式;B、DHCP Server根据收到客户端的DHCP报文中的DHCP Option82选项信息,在配置库中寻找能够匹配上的CID/RID(“xx|xx”)的配置项,并把对应的配置项信息通过DHCP Offer/Ack报文返回给用户,同时把此DHCP Option82信息回填到回应报文中;C、接入设备通过服务器回应的DHCP Ack报文获知到用户被分配的IP地址,并且利用DHCP中的选项信息(包括客户端的MAC地址,分配给客户端的IP地址,以及DHCP Option82选项信息中的端口号信息)对用户端口生成动态的绑定关系,同时启动用户在线检测定时器和租期定时器;本发明极大地简化了接入设备(如DSLAM)的配置复杂度,以及频繁更新配置的工作量,接入设备上只需初始进行一些基本配置即可;使用本发明后一切管理都集中到DHCP服务器端统一管理,包括用户的认证、计费等,过程当中都无需接入设备的参与,对于运营商来说极大地减轻了网络的维护成本。
本发明接入设备上利用DHCP报文触发,动态的生成和删除绑定关系;利用ARP报文探测的方法来维持动态绑定关系不被超时删除;并根据DHCP报文中的租期信息维持动态绑定关系的生命周期;通过动态地址绑定技术跟DHCP Option82功能的结合使用,维持了专线用户的地址固定,同时还能保证对用户的认证、计费以及安全。
本领域技术人员不脱离本发明的实质和精神,可以有多种变形方案实现本发明,以上所述仅为本发明较佳可行的实施例而已,并非因此局限本发明的权利范围,凡运用本发明说明书及附图内容所作的等效变化,均包含于本发明的权利范围之内。
权利要求
1.一种保障专线用户上网的方法,其特征在于,包括以下步骤在支持动态主机配置选项功能的动态主机配置服务器上预先配置针对动态主机配置选项信息的配置信息;用户端发送的动态主机配置协议报文经过接入设备后,被添加上动态主机配置选项信息,再转给动态主机配置服务器;动态主机配置服务器根据收到的动态主机配置协议报文中的选项信息,寻找匹配的配置信息,将该选项信息回填到回应报文中,并将对应的配置信息通过回应报文返回给接入设备;接入设备通过所述回应报文获知用户的配置信息,并利用该配置信息对用户端口生成动态绑定关系。
2.根据权利要求1所述的保障专线用户上网的方法,其特征在于所述动态主机配置协议选项信息为链路标识、远端标识、或同时为链路标识和远端标识。
3.根据权利要求2所述的保障专线用户上网的方法,其特征在于所述接入设备对动态主机配置协议报文添加动态主机配置选项信息时,接入设备首先捕获用户端的上行动态主机配置协议报文,并同时记录捕获端口以及此端口上的描述信息,然后把端口位置信息加上自身设备名称作为链路标识,把端口的描述信息作为远端标识,把链路标识和远端标识信息一并作为动态主机配置协议选项添加到用户的动态主机配置协议报文中,再往上层设备转发继而转给动态主机配置服务器。
4.根据权利要求1、2或3所述的保障专线用户上网的方法,其特征在于接入设备对于用户端上行的报文,只有是动态主机配置协议或是通过了端口绑定关系检查的报文才允许通过。
5.根据权利要求4所述的保障专线用户上网的方法,其特征在于所述绑定关系通过IP地址绑定表、MAC地址绑定表,或者同时通过IP地址绑定表和MAC地址绑定表来建立,通过检查报文的源IP或源MAC是否存在于绑定表中来确定报文是否通过绑定关系检查。
6.根据权利要求4所述的保障专线用户上网的方法,其特征在于接入设备通过捕获动态主机配置协议释放报文知道用户需要下线,根据捕获到报文的用户端口号进而删除该用户先前生成的动态绑定关系。
7.根据权利要求4所述的保障专线用户上网的方法,其特征在于在接入设备上对每个生成的动态绑定关系都设置一个固定长度的用户在线检测定时器,接入设备按此定时器周期发送请求用户动态绑定关系中IP的地址解析协议请求报文,接入设备在收到用户的地址解析协议回应报文后刷新用户的在线检测定时器重新计时,如果接入设备在一段时间之后没有收到回应报文即认为用户已经异常离线,此时删除用户的该动态绑定关系。
8.根据权利要求4所述的保障专线用户上网的方法,其特征在于在接入设备上,对用户生成的每个动态绑定关系设置租期定时器,此定时器根据服务器端到来的动态主机配置协议响应报文中服务器给予客户端的租期进行动态刷新,若接入设备上捕获不到该响应报文,则不刷新针对该用户的动态绑定关系的租期定时器。
9.根据权利要求4所述的保障专线用户上网的方法,其特征在于所述配置信息至少包括IP地址。
全文摘要
一种保障专线用户上网的方法,在支持DHCP选项功能的DHCP服务器上预先配置针对DHCP选项信息的配置信息;用户端发送的DHCP报文经过接入设备后,被添加上DHCP选项信息,再转给DHCP服务器;DHCP服务器根据收到的DHCP报文中的选项信息,寻找匹配的配置信息,将对应的配置信息通过回应报文返回给接入设备,并把该选项信息回填到回应报文中;接入设备通过所述回应报文获知用户的配置信息,并利用该配置信息对用户端口生成动态绑定关系。本发明克服了现有技术使用静态的IP地址绑定功能存在的管理困难、配置工作量大、IP地址易被盗用的问题,能简化配置、方便管理、并增加IP地址的安全性。
文档编号H04L12/28GK1859407SQ20061003374
公开日2006年11月8日 申请日期2006年2月17日 优先权日2006年2月17日
发明者施汝军 申请人:华为技术有限公司