专利名称:宽带接入服务器集群系统及装置的制作方法
技术领域:
本发明涉及宽带接入服务器(BAS, Broadband Access Server)技术, 尤其涉及一种BAS集群系统及装置。
背景技术:
BAS是为用户提供互联网接入服务的入口设备,支持802.1X、入口 (Portal)、以太网上的点到点协议(PPPoE)、虚拟局域网(VPN)等多种 接入方式。随着语音、视频等互联网业务的不断丰富,BAS设备承载的业务 类型越来越多,与此同时,用户对BAS设备的可靠性要求也越来越高。
为了适应用户对可靠性的要求,由多个BAS设备组成的BAS集群系统 应运而生。BAS集群系统最常见的体现形式就是BAS双机备份。图l示出 了 BAS双机备份组网图,各个边缘交换机通过核心交换机与两台BAS设备 互连,两台BAS设备之间互为备份,当其中一台BAS设备出现故障时,故 障BAS设备上的用户流量就被切换到另一台BAS设备上,以保证用户业务 可以继续。其中,BAS设备主要用于为用户提供接入服务,并且与认证、授 权、计费(AAA)服务器交换AAA信息,对用户进行身份认证、授权和计费。
目前,常用的实现BAS双机备份的方式主要有以下两种 一、双向转发才企测(BFD) +虚拟路由冗余协议(VRRP)和接入服务 器备份协议(ASSP )
BFD + VRRP和ASSP的基本思想相同,它们向用户屏蔽实际的BAS 设备拓朴,用户只可见到一个逻辑BAS设备。当用户发起接入请求时,两 台BAS设备都可接收到,用户选择先响应的那台BAS设备作为网关;当用
户选择的BAS设备出现故障后,用户重新发起接入请求,此时只有备BAS 设备会响应,用户选择备BAS设备作为网关,继续进行业务。
可见,在这种备份实现方式下,当主用BAS设备出现故障时,用户需 要在备份BAS设备上重新进行接入操作,这样会造成用户业务中断,而这 对于当前已经广泛布署的语音视讯业务是不能容忍的。
二、双机热备
所谓双机热备是指,两台BAS设备实时将各自的用户接入控制信息同 步到对端BAS设备上,且在核心交换机上配置动态路由协议,当其中一台 BAS设备出现故障时,核心交换机自动调整路由,将故障BAS设备上的所 有流量都切换到另一台BAS设备上。由于此时两台BAS设备上都已经具有 了所有用户的接入控制信息,因此可以保证当其中一台BAS设备出现故障 时,另一台BAS设备能够立即接替故障设备承载用户的业务流量,而无需 用户重新进行接入,从而避免了用户业务间断。
但是,这种方式存在以下缺陷
1 ) BAS资源利用率下降
在双机热备方案中,BAS设备之间需要定期交换各自信息,这对于计 算资源有限的BAS设备来说,无疑是一笔不小的消耗;并且,当双机备份 集群发展成1:N的多备份集群时,各BAS设备除了定期交换信息外,还需 要维护BAS集群内部拓朴,这将消耗更多的BAS计算资源,从而造成BAS 计算资源利用效率的降低,同时也会对集群的扩展性产生较大影响。
2) BAS设备设计复杂度增加
为了保证各BAS之间数据同步的可靠性,BAS设备必定要维护数据同 步状态机,这将导致BAS设备设计复杂度增加,系统成本升高。
发明内容
有鉴于此,本发明的目的在于提供一种BAS集群系统及装置,在保证 用户业务不中断的条件下实现BAS备份,且提高BAS资源利用率,降低
BAS设计复杂度。
为达到上述目的,本发明提供的技术方案如下
一种BAS集群系统,位于包含认证、授权和计费AAA服务器及核心交 换机的网络环境中,该BAS集群系统包括AAA代理以及至少两个Fit BAS,
其中,
Fit BAS,用于在收到用户接入请求后向AAA代理发送AAA请求,请 求对用户进行认证、授权和计费,并在收到AAA代理返回的AAA请求成 功后允许用户接入网络,将用户接入控制信息上报给AAA代理,以及接收 AAA代理下发的其它Fit BAS的用户接入控制信息;
AAA代理,用于将来自Fit BAS的AAA请求转发给AAA服务器,并 将AAA服务器返回的AAA请求成功转发给Fit BAS,以及将Fit BAS上报 的用户接入控制信息同步给集群系统中的其它Fit BAS。
所述AAA代理进一步用于接收AAA服务器下发的安全策略信息,并 将收到的安全策略信息发送给集群系统中的各个FitBAS。
所述核心交换机上配置动态路由协议,当集群系统中的Fit BAS出现故 障时,核心交换机动态调整路由,将故障FitBAS上的用户流量切换到正常 Fit BAS上,该正常Fit BAS根据AAA代理下发的故障Fit BAS的用户接入 控制信息接管故障Fit BAS上的用户流量。
所述AAA代理为独立的盒式设备或者为依附于Fit BAS设备的插卡。
一种应用于BAS集群系统中的FitBAS,包括用户接入控制单元和控 制信息收发单元,其中,
用户接入控制单元,用于接收用户发起的接入请求,收到后向AAA代 理发送AAA请求,请求对用户进行认证、授权和计费,并在收到AAA代 理返回的AAA请求成功后允许用户接入网络,将用户接入控制信息发送给 控制信息收发单元;
控制信息收发单元,用于将用户接入控制单元发来的用户接入控制信息 上报给AAA代理,并接收AAA代理下发的其它Fit BAS的用户接入控制信
息。
所述控制信息收发单元进一步用于接收AAA代理下发的安全策略信息。
该Fit BAS进一步包括
故障处理单元,用于在其它FitBAS出现故障时,根据接入控制信息收 发单元中存储的其它FitBAS的用户接入控制信息接管其它FitBAS上的用 户流量。
一种应用于BAS集群系统中的AAA代理,包括业务分发单元、AAA 执行单元和信息同步单元,其中,
业务分发单元,用于接收来自Fit BAS的AAA请求和用户接入控制信 息,将收到的AAA请求发送给AAA执行单元,将收到的用户接入控制信 息发送给信息同步单元;
AAA执行单元,用于将收到的AAA请求转发给AAA服务器,并将AAA 服务器返回的AAA请求成功转发给发起AAA请求的Fit BAS;
信息同步单元,用于将Fit BAS上报的用户接入控制信息发送给集群系 统中的其它FitBAS。
所述信息同步单元进一步用于接收AAA服务器下发的安全策略信息, 并将收到的安全策略信息发送给集群系统中的各个Fit BAS。
该AAA代理为独立的盒式设备或者为依附于Fit BAS设备的插卡。
由此可见,本发明通过AAA代理实现了集群中各Fit BAS间用户接入 控制信息的同步,各FitBAS上都具有集群中所有用户的接入控制信息,这 样,当集群中某个FitBAS发生故障,导致故障FitBAS上的用户流量被核 心交换机切换到其它Fit BAS上时,其它Fit BAS就可以立即接管故障Fit BAS上的用户流量,而无需用户重新执行网络接入操作,从而避免了用户业 务中断,保证了业务的连续性。
并且,通过AAA代理实现用户接入控制信息同步的方式,使得各Fit BAS只需向AAA代理上报自身的用户接入控制信息和接收AAA代理下发
的其它Fit BAS的用户接入控制信息,而无需感知集群中的其它Fit BAS, 也不必向其它Fit BAS发送同步信息,从而取消了各BAS设备之间的同步 数据量,降低了 BAS设备的设计复杂度,减少了 BAS设备的计算资源消耗, 提高了 BAS设备资源利用率。
图1为现有技术中的BAS双机备份组网图; 图2为抽象后的BAS设备构成示意图3为利用图2所示BAS设备结构表示的双BAS热备系统; 图4为本发明实施例中的双BAS热备系统结构示意图; 图5为本发明实施例中的BAS双机热备组网图; 图6为本发明实施例中的用户接入网络流程图; 图7为本发明实施例中的Fit BAS结构示意图; 图8为本发明实施例中的AAA代理结构示意图。
具体实施例方式
为使本发明的目的、技术方案及优点更加清楚明白,下面参照附图并举 实施例,对本发明作进一步详细说明。
参见图2所示,考虑到BAS设备的接入控制功能和AAA功能,可以将 BAS设备抽象成由各种接入控制子系统Al、 A2、…、An(如802.IX、 Portal、 PPPoE、 VPN等)和AAA子系统构成的系统。利用图2所示的BAS设备结 构,现有的双BAS热备系统可以表示成图3所示的形式,在图3中,AAA 子系统和各接入控制子系统需要向对端实时备份子系统内部的控制和数据 信息,以保证双BAS设备之间数据和状态的同步。
本发明中,为了解决现有技术缺陷,将AAA子系统从BAS设备上分离 出来,引入一种独立的设备一一AAA代理;并且,将不包含AAA子系统的 BAS设备称为FitBAS。图4示出了本发明中采用AAA代理的双BAS热备
系统结构,其中,Fit BAS主要用于实现用户接入控制功能,各Fit BAS与 AAA代理直接相连,且各Fit BAS之间不再有连接;AAA代理与AAA服 务器相连,为所有FitBAS所共享,主要用于完成原BAS设备中的AAA子 系统功能。在实际应用中,AAA代理可以以多种设备形态存在,比如独立 的盒式设备或者依附于FitBAS设备的插卡等。
图5示出了采用图4所示双BAS热备系统的组网图,FitBAS设备除了 与核心交换机相连外,还与AAA代理相连(如通过以太网连接),且各Fit BAS设备以AAA代理为核心组成星型网络,构成BAS集群系统;AAA服 务器与AAA代理连接,且只与AAA代理通信,对AAA服务器而言,其并 不知晓Fit BAS集群内部结构。
图6以Fit BAS1收到用户1发起的接入请求为例,对图5所示组网下 的用户接入网络流程进行了详细说明,包括以下步骤
步骤601: Fit BAS1收到用户1发起的接入请求后,向AAA代理发送 AAA请求,请求对用户1进行身份认证、授权和计费。
步骤602: AAA代理解析收到的AAA请求,将其封装成标准的AAA 协议(如RADIUS、 TACACS +等)格式,然后将封装后的AAA请求发送 给AAA服务器。
步骤603: AAA服务器对用户1进行认证,并在通过认证后向AAA代 理返回AAA请求成功。
步骤604: AAA代理向Fit BAS1转发AAA请求成功,通知Fit BAS1 用户1通过了 AAA服务器的认证。
步骤605: Fit BAS1收到AAA成功后,允许用户l接入网络,并将用 户1接入网络时的接入控制信息上传给AAA代理。
步骤606: AAA代理将用户1的接入控制信息同步给集群中的其它Fit BAS,使其它FitBAS上也有用户1的接入控制信息。
与现有技术中的双机热备系统一致,图5中的BAS集群系统仍然通过 核心交换机上的动态路由协议实现用户流量的自动切换,具体而言即在核
心交换机上配置动态路由协议,当核心交换机检测到集群中有FitBAS出现 故障后,核心交换机就动态调整路由,将故障FitBAS上的用户流量切换到 正常的FitBAS上。釆用图6所示的接入流程后,由于集群中的所有FitBAS 上都有了所有用户的接入控制信息,因此,此时无论哪个FitBAS出现故障, 集群中的其它Fit BAS都可以立即接管故障Fit BAS上的用户流量,而无需 用户重新执行网络接入操作,从而避免了用户业务中断,保证了业务的连续 性。
并且,上述方式通过AAA代理实现了各Fit BAS之间用户控制信息的 同步,各Fit BAS只需向AAA代理上报自身的用户接入控制信息和接收 AAA代理下发的其它Fit BAS的用户接入控制信息,而无需感知集群中的 其它FitBAS,也不必向其它FitBAS发送同步信息,从而取消了各BAS设 备之间的同步数据量,降低了 BAS设备的设计复杂度,减少了BAS设备的 计算资源消耗,提高了 BAS设备资源利用率。
另外,在现有技术中,当用户通过BAS设备接入网络后,AAA服务器 会通过用户接入的BAS设备向用户下发安全策略等控制信息。但是,当用 户接入的BAS设备发生故障、用户切换到另一备BAS设备上后,由于已有 的AAA服务器并不能够感知到这一变化,因此,AAA服务器仍然会向故障 BAS设备发送用户安全策略信息,而不会自动切换到向备BAS设备发送用 户安全策略信息,从而导致用户安全策略信息无法生效。为了解决该问题, 一种可行的方案就是对已有的AAA服务器进行适应性修改,但是,对于目 前已经成熟使用的AAA服务器来说,这种修改将不能保护原有AAA服务 器的投资。
为了解决该问题,步骤607- 608示出了本发明中用户安全策略的下发
过程,具体包括
步骤607: AAA服务器将用户安全策略信息下发给AAA代理。
其中,AAA服务器下发用户安全策略信息的时机与现有技术一致,这
里不再赘述。
步骤608: AAA代理将收到的用户安全策略信息下发给集群中的所有 FitBAS,使得各FitBAS上的用户安全策略信息完全相同,这样无论用户业 务流量当前在哪个Fit BAS上,用户安全策略信息都能够生效。
在图6所示的用户安全策略信息下发方式中,AAA代理向AAA服务器 屏蔽了集群内部的FitBAS拓朴,AAA服务器只需与AAA代理进行信息交 互,而无需感知集群中的各个具体Fit BAS,这样,即使集群中的FitBAS
息,而无需对AAA服务器进行任何修改,从而有效保护了原有AAA服务 器投资。
通过以上描述可见,采用AAA代理的集群结构,不仅可以在不产生中 断的条件下实现BAS备份,提高BAS资源利用率,降低BAS设备设计复 杂度,并且无需对原有AAA服务器作任何修改。另外,由于AAA代理的 功能非常简单且对用户透明,因此增加AAA代理设备既不会造成整个系统 成本的升高,也不会影响到整个系统的可靠性;并且, 一个AAA代理下挂 多个Fit BAS的星型拓朴结构非常简单,扩展性极强,AAA代理几乎不需 要消耗计算资源就可实现拓朴管理。
以上实施例对双BAS的BAS集群结构及其工作方式进行了详细阐述, 需要说明的是,本发明所提供的BAS集群方案不仅适用于双BAS场景,也 适用于多BAS场景,多BAS场景的原理与双BAS—致,这里不再赘述。
图7示出了本发明实施例中的一种FitBAS结构示意图,主要包括用 户接入控制单元和控制信息收发单元,其中,
用户接入控制单元,用于接收用户发起的接入请求,收到后向AAA代 理发送AAA请求,请求对用户进行认证、授权和计费,并在收到AAA代 理返回的AAA请求成功后允许用户接入网络,将用户接入控制信息发送给 控制信息收发单元;
控制信息收发单元,用于将用户接入控制单元发来的用户接入控制信息 上报给AAA代理,并接收AAA代理下发的其它Fit BAS的用户接入控制信
息。
该Fit BAS还可进一步包括
故障处理单元,用于在其它FitBAS出现故障时,根据接入控制信息收 发单元中存储的其它Fit BAS的用户接入控制信息接管其它Fit BAS上的用 户流量。
另外,所述控制信息收发单元还进一步用于接收AAA代理下发的安全
策略信息。
图8示出了本发明实施例中的一种AAA代理结构示意图,包括业务 分发单元、AAA执行单元和信息同步单元,其中,
业务分发单元,用于接收来自Fit BAS的AAA请求和用户接入控制信 息,将收到的AAA请求发送给AAA执行单元,将收到的用户接入控制信 息发送给信息同步单元;
AAA执行单元,用于将收到的AAA请求转发给AAA服务器,并将AAA 服务器返回的AAA请求成功转发给发起AAA请求的Fit BAS;
信息同步单元,用于将Fit BAS上报的用户接入控制信息发送给集群系 统中的其它FitBAS。
所述信息同步单元还进一步用于接收AAA服务器下发的安全策略信 息,并将收到的安全策略信息发送给集群系统中的各个FitBAS。
图8所示的AAA代理为独立的盒式设备或者为依附于Fit BAS设备的 插卡。
以上所述对本发明的目的、技术方案和有益效果进行了进一步的详细说 明,所应理解的是,以上所述并不用以限制本发明,凡在本发明的精神和原 则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范 围之内。
权利要求
1、一种宽带接入服务器BAS集群系统,位于包含认证、授权和计费AAA服务器及核心交换机的网络环境中,其特征在于,该BAS集群系统包括AAA代理以及至少两个Fit BAS,其中,Fit BAS,用于在收到用户接入请求后向AAA代理发送AAA请求,请求对用户进行认证、授权和计费,并在收到AAA代理返回的AAA请求成功后允许用户接入网络,将用户接入控制信息上报给AAA代理,以及接收AAA代理下发的其它Fit BAS的用户接入控制信息;AAA代理,用于将来自Fit BAS的AAA请求转发给AAA服务器,并将AAA服务器返回的AAA请求成功转发给Fit BAS,以及将Fit BAS上报的用户接入控制信息同步给集群系统中的其它Fit BAS。
2、 根据权利要求1所述的系统,其特征在于,所述AAA代理进一步用于 接收AAA服务器下发的安全策略信息,并将收到的安全策略信息发送给集群 系统中的各个Fit BAS。
3、 根据权利要求1或2所述的系统,其特征在于,所述核心交换机上配置 动态路由协议,当集群系统中的Fit BAS出现故障时,核心交换机动态调整路 由,将故障FitBAS上的用户流量切换到正常FitBAS上,该正常FitBAS根据 AAA代理下发的故障Fit BAS的用户接入控制信息接管故障Fit BAS上的用户 流量。
4、 根据权利要求1所述的系统,其特征在于,所述AAA代理为独立的盒 式设备或者为依附于Fit BAS设备的插卡。
5、 一种应用于权利要求1所述BAS集群系统中的Fit BAS,其特征在于, 包括用户接入控制单元和控制信息收发单元,其中,用户接入控制单元,用于接收用户发起的接入请求,收到后向AAA代理发 送AAA请求,请求对用户进行认证、授权和计费,并在收到AAA代理返回的 AAA请求成功后允许用户接入网络,将用户接入控制信息发送给控制信息收发单元;控制信息收发单元,用于将用户接入控制单元发来的用户接入控制信息上报给AAA代理,并接收AAA代理下发的其它FitBAS的用户接入控制信息。
6、 根据权利要求5所述的Fit BAS,其特征在于,所述控制信息收发单元 进一步用于接收AAA代理下发的安全策略信息。
7、 根据权利要求5或6所述的FitBAS,其特征在于,该FitBAS进一步 包括故障处理单元,用于在其它Fit BAS出现故障时,根据接入控制信息收发 单元中存储的其它Fit BAS的用户接入控制信息接管其「匕'Fit BAS上的用户流量。
8、 一种应用于权利要求1所述BAS集群系统中的AAA代理,其特征在于, 包括业务分发单元、AAA执行单元和信息同步单元,其中,业务分发单元,用于接收来自Fit BAS的AAA请求和用户接入控制信息, 将收到的AAA请求发送给AAA执行单元,将收到的用户接入控制信息发送给 信息同步单元;AAA执行单元,用于将收到的AAA请求转发给AAA服务器,并将AAA 服务器返回的AAA请求成功转发给发起AAA请求的Fit BAS;信息同步单元,用于将Fit BAS上报的用户接入控制信息发送给集群系统 中的其它FitBAS。
9、 根据权利要求8所述的AAA代理,其特征在于,所述信息同步单元进一步用于接收AAA服务器下发的安全策略信息,并将 收到的安全策略信息发送给集群系统中的各个FitBAS。
10、 根据权利要求8或9所述的AAA代理,其特征在于,该AAA代理为 独立的盒式设备或者为依附于Fit BAS设备的插卡。
全文摘要
本发明公开了一种BAS集群系统,包括AAA代理和至少两个Fit BAS,其中,Fit BAS主要用于完成用户接入控制功能,将用户接入控制信息上报给AAA代理,并接收AAA代理下发的用户接入控制信息;AAA代理主要用于与AAA服务器进行信息交互,并将Fit BAS上报的用户接入控制信息同步给集群系统中的其它Fit BAS。另外,本发明还公开了一种Fit BAS及AAA代理。本发明能够在保证用户业务不中断的条件下实现BAS备份,且提高BAS资源利用率,降低BAS设计复杂度。
文档编号H04L12/28GK101340339SQ20081011852
公开日2009年1月7日 申请日期2008年8月15日 优先权日2008年8月15日
发明者旭 杨 申请人:杭州华三通信技术有限公司