报文处理方法、网络服务器和虚拟专用网络系统与流程
本申请涉及通信领域,尤其涉及一种报文处理方法、网络服务器、虚拟专用网络系统及计算机可读存储介质。
背景技术
vpdn(virtualprivatedialupnetworks,虚拟专用拨号网)是指利用公共网络的拨号功能接入专用网络而实现的虚拟专用网,能够使得企业远端用户通过公共网络接入企业内部网。
现有技术中,用户设备通过lac(layer2tunnelingprotocolaccessconcentrator,二层隧道协议访问集中器)与lns(layer2tunnelingprotocolnetworkserver,二层隧道协议网络服务器)建立会话,接入到虚拟专用网,如果某个用户反复上线,或者连续多次上线认证失败,则lac将该用户确认为非法用户,并将该用户设置为抑制状态,对该用户的接入请求直接拒绝,抑制持续一定时间后,恢复对该用户的服务。但是lac是当地isp(internetserviceprovider,互联网服务提供商)的接入设备,不同服务提供商的lac设备对于用户的抑制机制都不相同,而lns服务器上能够建立的会话或隧道数量是一定的,如果有过多非法用户在lns服务器上建立会话,就会使得合法用户无法上线,因此,虚拟专用网络系统无法有效地对非法用户进行抑制。
技术实现要素:
本发明的实施例提供一种报文处理方法、网络服务器及虚拟专用网络系统,以解决虚拟专用网络系统无法对非法用户进行有效抑制的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,一种虚拟专用网络系统,包括网络服务器、接入设备及用户设备;
其中,所述用户设备,用于向所述接入设备发送第一报文,所述第一报文包含第一用户的标识,所述第一用户的标识用于标记第一用户;
所述接入设备,用于接收所述用户设备发送的第一报文,根据所述第一用户的标识在已经存储的第二列表中查找所述第一用户的抑制状态标识,当所述第二列表中不包含所述第一用户的抑制状态标识时,将所述第一报文发送至所述网络服务器,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务;
所述网络服务器,用于接收所述接入设备发送的所述第一报文,根据所述第一用户的标识在已经存储的第一列表中查找所述第一用户的抑制状态标识,当所述第一列表中包含所述第一用户的抑制状态标识时,丢弃所述第一报文。
结合第一方面,在第一种可能的实现方式中,
所述网络服务器,还用于记录所述第一用户的故障首次发生时间并累加故障次数,所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数中的至少一个或所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数之和;当所述第一用户在第一时长内的故障次数大于或等于第一阈值时,所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识;当所述网络服务器从所述故障首次发生时间开始,累加故障次数的时长达到所述第一时长后,清空所述第一用户的故障次数。
结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述网络服务器,还用于当所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识的时间长度达到第二时长后,在所述第一列表中删除所述第一用户的抑制状态标识。
结合第一方面,在第三种可能的实现方式中,
所述网络服务器,还用于当所述第一列表中包含所述第一用户的抑制状态标识时,向所述接入设备发送第二报文,所述第二报文包含所述第一用户的抑制状态标识;
所述接入设备,还用于接收所述网络服务器发送的所述第二报文,在所述第二列表中记录所述第一用户的抑制状态标识,并停止对所述第一用户提供服务。
结合第一方面至第一方面的第三种可能的实现方式中任一实现方式,在第四种可能的实现方式中,
所述接入设备,还用于当所述第二列表中包含所述第一用户的抑制状态标识时,丢弃所述第一报文。
第二方面,一种网络服务器,应用于虚拟专用网络系统,包括:
接收单元,用于接收接入设备发送的第一报文,所述第一报文包含第一用户的标识,所述第一用户的标识用于标记第一用户;
查找单元,用于根据所述接收单元接收的所述第一用户的标识在已经存储的第一列表中查找所述第一用户的抑制状态标识;
抑制单元,用于当所述查找单元查找的所述第一列表中包含所述第一用户的抑制状态标识时,丢弃所述第一报文,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务。
结合第二方面,在第一种可能的实现方式中,
所述抑制单元,还用于记录所述第一用户的故障首次发生时间并累加故障次数,所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数中的至少一个或所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数之和;当所述第一用户在第一时长内的故障次数大于或等于第一阈值时,所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识;当所述网络服务器从所述故障首次发生时间开始,累加故障次数的时长达到所述第一时长后,清空所述第一用户的故障次数。
结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述抑制单元,还用于当所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识的时间长度达到第二时长后,所述网络服务器在所述第一列表中删除所述第一用户的抑制状态标识。
结合第二方面至第二方面的第二种可能的实现方式中任一实现方式,在第三种可能的实现方式中,
所述网络服务器还包括发送单元,用于当所述第一列表中包含所述第一用户的抑制状态标识时,向所述接入设备发送第二报文,所述第二报文包含所述第一用户的抑制状态标识,以便所述接入设备根据所述第一用户的抑制状态标识停止对所述第一用户提供服务。
第三方面,一种报文处理方法,应用于虚拟专用网络系统,包括:
网络服务器接收接入设备发送的第一报文,所述第一报文包含第一用户的标识,所述第一用户的标识用于标记第一用户;
所述网络服务器根据所述第一用户的标识在已经存储的第一列表中查找所述第一用户的抑制状态标识;
当所述第一列表中包含所述第一用户的抑制状态标识时,所述网络服务器丢弃所述第一报文,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务。
结合第三方面,在第一种可能的实现方式中,所述方法还包括:
所述网络服务器记录所述第一用户的故障首次发生时间并累加故障次数,所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数中的至少一个或所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数之和;
当所述第一用户在第一时长内的故障次数大于或等于第一阈值时,所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识;
当所述网络服务器从所述故障首次发生时间开始,累加故障次数的时长达到所述第一时长后,清空所述第一用户的故障次数。
结合第三方面或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述方法还包括:
当所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识的时间长度达到第二时长后,所述网络服务器在所述第一列表中删除所述第一用户的抑制状态标识。
结合第三方面至第三方面的第二种可能的实现方式中任一实现方式,在第三种可能的实现方式中,所述方法还包括:
当所述第一列表中包含所述第一用户的抑制状态标识时,所述网络服务器向所述接入设备发送第二报文,所述第二报文包含所述第一用户的抑制状态标识,以便所述接入设备根据所述第一用户的抑制状态标识停止对所述第一用户提供服务。
根据本发明实施例的一种报文处理方法、网络服务器及虚拟专用网络系统,网络服务器接收接入设备发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器参与判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种虚拟专用网络系统结构示意图;
图2为本发明实施例提供的一种网络服务器结构示意图;
图3为本发明另一实施例提供的一种网络服务器结构示意图;
图4为本发明实施例提供的一种报文处理方法流程示意图;
图5为本发明另一实施例提供的一种报文处理方法信息交互示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种虚拟专用网络系统,参照图1所示,该虚拟专用网络系统10包括网络服务器101、接入设备102以及用户设备103。可选的,网络服务器101可以是二层隧道协议网络服务器lns,接入设备102可以是二层隧道协议访问集中器lac,当然,此处只是举例说明,并不代表本发明局限于此。
可选的,在图1所示的虚拟专用网络系统中,用户设备103通过公共网络与lac建立连接,公共网络可以是pstn(publicswitchedtelephonenetwork,公共交换电话网络)或isdn(integratedservicesdigitalnetwork,综合业务数字网)等。用户设备103与lac建立连接后,可以通过lac与lns之间根据l2tp(layer2tunnelingprotocol,二层隧道协议)建立的l2tp隧道与lns进行通信。
在本发明实施例中,用户设备103,用于向接入设备102发送第一报文,第一报文包含第一用户的标识,第一用户的标识用于标记第一用户。
接入设备102,用于接收用户设备103发送的第一报文,根据第一用户的标识在已经存储的第二列表中查找第一用户的抑制状态标识,当第二列表中不包含第一用户的抑制状态标识时,将第一报文发送至网络服务器101,第一用户的抑制状态标识用于指示对第一用户不提供服务。
网络服务器101,用于接收接入设备102发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的抑制状态标识,当第一列表中包含第一用户的抑制状态标识时,丢弃第一报文。
可选的,网络服务器101,还用于记录第一用户的故障首次发生时间并累加故障次数,故障次数是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数中的至少一个,当然故障次数也可以是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数之和。当第一用户在第一时长内的故障次数大于或等于第一阈值时,网络服务器在第一列表中存储第一用户的抑制状态标识。当网络服务器从故障首次发生时间开始,累加故障次数的时长达到第一时长后,清空第一用户的故障次数。
可选的,网络服务器101,还用于当网络服务器在第一列表中存储第一用户的抑制状态标识的时间长度达到第二时长后,在第一列表中删除第一用户的抑制状态标识。
可选的,网络服务器101,还用于当第一列表中包含第一用户的抑制状态标识时,向接入设备102发送第二报文,第二报文包含第一用户的抑制状态标识。
接入设备102,还用于接收网络服务器101发送的第二报文,在第二列表中记录第一用户的抑制状态标识,并停止对第一用户提供服务。
可选的,接入设备102,还用于当第二列表中包含第一用户的抑制状态标识时,丢弃第一报文。
本发明实施例提供的虚拟专用网络系统中,用户设备向接入设备发送第一报文,接入设备接收用户设备发送的第一报文后,根据第一用户的标识在已经存储的第二列表中查找第一用户的抑制状态标识,当第二列表中不包含第一用户的抑制状态标识时,将第一报文发送至网络服务器,网络服务器根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器和接入设备联合起来判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
基于上述图1对应的实施例,本发明实施例提供一种网络服务器,可选的,该网络服务器可以是lns,参照图2所示,该网络服务器20包括接收单元201、查找单元202及抑制单元203。
其中,接收单元201,用于接收接入设备发送的第一报文,第一报文包含第一用户的标识,第一用户的标识用于标记第一用户。
查找单元202,用于根据接收单元201接收的第一用户的标识在已经存储的第一列表中查找第一用户的抑制状态标识。
抑制单元203,用于当查找单元202查找的第一列表中包含第一用户的抑制状态标识时,丢弃第一报文,第一用户的抑制状态标识用于指示对第一用户不提供服务。
可选的,抑制单元203,还用于记录第一用户的故障首次发生时间并累加故障次数,故障次数是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数中的至少一个,当然故障次数也可以是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数之和。当第一用户在第一时长内的故障次数大于或等于第一阈值时,网络服务器在第一列表中存储第一用户的抑制状态标识。当网络服务器从故障首次发生时间开始,累加故障次数的时长达到第一时长后,清空第一用户的故障次数。
抑制单元203,还用于当网络服务器在第一列表中存储第一用户的抑制状态标识的时间长度达到第二时长后,网络服务器在第一列表中删除第一用户的抑制状态标识。
可选的,网络服务器20还包括发送单元204,用于当第一列表中包含第一用户的抑制状态标识时,向接入设备发送第二报文,第二报文包含第一用户的抑制状态标识,以便接入设备根据第一用户的抑制状态标识停止对第一用户提供服务。
本发明实施例提供的网络服务器,接收接入设备发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器参与判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
基于上述图1对应的实施例,本发明另一实施例提供一种网络服务器30,参照图3所示,该网络服务器30包括:至少一个处理器301、存储器302、总线303、发射器304和接收器305,该至少一个处理器301、存储器302、发射器304和接收器305通过总线303连接并完成相互间的通信。
该总线303可以是isa(industrystandardarchitecture,工业标准体系结构)总线、pci(peripheralcomponent,外部设备互连)总线或eisa(extendedindustrystandardarchitecture,扩展工业标准体系结构)总线等。该总线303可以是地址总线、数据总线、控制总线中的一种或多种。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。其中:
存储器302用于执行本发明方案的应用程序代码,执行本发明实施例方案的应用程序代码保存在存储器中,并由处理器301来控制执行。
该存储器可以是只读存储器rom或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器ram或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器eeprom、只读光盘cd-rom或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。这些存储器通过总线与处理器相连接。
处理器301可能是一个中央处理器301(centralprocessingunit,简称为cpu),或者是特定集成电路(applicationspecificintegratedcircuit,简称为asic),或者是被配置成实施本发明实施例的一个或多个集成电路。
处理器301,用于调用存储器302中的程序代码,用以执行上述图2对应的设备实施例中查找单元及抑制单元的操作,具体描述参照图2对应的设备实施例,这里不再赘述。
本发明实施例提供的网络服务器,接收接入设备发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器参与判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
基于上述图1、图2及图3对应的实施例,本发明实施例提供一种报文处理方法,应用于上述图1、图2及图3对应的实施例中所描述的网络服务器,参照图4所示,本实施例提供的信息传输方法包括:
401、网络服务器接收接入设备发送的第一报文。
其中,所述第一报文包含第一用户的标识,所述第一用户的标识用于标记第一用户。可选的,第一用户的标识可以是第一用户的呼叫号码(callingnumber)。第一报文可以是第一用户的上线报文,包含第一用户接入虚拟专用网的请求信息,或者第一报文也可以是第一用户发送的数据报文。
402、所述网络服务器根据所述第一用户的标识在已经存储的第一列表中查找所述第一用户的抑制状态标识。
其中,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务。
可选的,网络服务器记录第一用户的故障首次发生时间并累加故障次数,故障次数是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数中的至少一个,当然故障次数也可以是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数之和;当第一用户在第一时长内的故障次数大于或等于第一阈值时,网络服务器在第一列表中存储第一用户的抑制状态标识;当网络服务器从故障首次发生时间开始,累加故障次数的时长达到第一时长后,清空第一用户的故障次数。
其中,第一阈值可以根据网络侧接入用户的负载情况而设定,本发明对第一阈值的具体取值不做限定。
当然,此处只是以上线失败或者用户下线作为一次故障进行统计,也可以将用户的其他行为作为故障进行统计,本实施例对此不作限定。
403、当所述第一列表中包含所述第一用户的抑制状态标识时,所述网络服务器丢弃所述第一报文。
可选的,结合402,如果第一列表包含第一用户的抑制状态标识,说明第一用户的故障次数已经超过第一阈值,将第一用户作为非法用户,停止对第一用户提供服务。
另外,可选的,当网络服务器在第一列表中存储第一用户的抑制状态标识的时间长度达到第二时长后,网络服务器在第一列表中删除第一用户的抑制状态标识。
本发明实施例提供的信息传输方法,网络服务器接收接入设备发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器参与判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
基于上述图4对应的实施例,本发明另一实施例提供一种报文处理方法,应用于图1对应的实施例中所描述的虚拟专用网络系统,可选的,本实施例中以网络设备为lns,接入设备为lac为例进行说明,当然,本实施例只是举例说明,并不代表本发明局限于此,参照图5所示,包括:
501、用户设备向接入设备发送第一报文。
第一报文包含第一用户的标识,用于标记第一用户。
可选的,该第一报文可以是第一用户的上线报文或者第一用户的数据报文。
502、接入设备根据第一用户的标识在已经存储的第二列表中查找第一用户的抑制状态标识。
其中,第一用户的抑制状态标识用于指示对第一用户不提供服务。
可选的,lac通过在第二列表中查找第一用户的抑制状态标识判定是否已经对第一用户进行本地抑制,如果第二列表中包含第一用户的抑制状态标识,则lac可以丢弃第一报文,如果没有查找到则可以继续执行503。
503、当第二列表中不包含第一用户的抑制状态标识时,接入设备将第一报文发送至网络服务器。
如果本地lac没有对第一用户进行抑制,则可以将第一报文发送至lns,由lns进一步判定是否需要对第一用户进行抑制,这样,因为网络侧的lns也参与判定是否对用户进行抑制,使得虚拟专用网络中网络侧可以高效快速的对用户进行抑制。
504、网络服务器根据第一用户的标识在已经存储的第一列表中查找第一用户的抑制状态标识。
可选的,网络服务器记录第一用户的故障首次发生时间并累加故障次数,故障次数是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数中的至少一个,当然故障次数也可以是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数之和;当第一用户在第一时长内的故障次数大于或等于第一阈值时,网络服务器在第一列表中存储第一用户的抑制状态标识;当网络服务器从故障首次发生时间开始,累加故障次数的时长达到第一时长后,清空第一用户的故障次数。
结合502,接入设备也可以通过上述方式记录用户的故障次数,本实施例不再赘述。
505、当第一列表中包含第一用户的抑制状态标识时,网络服务器丢弃第一报文。
可选的,当网络服务器在第一列表中存储第一用户的抑制状态标识的时间长度达到第二时长后,网络服务器在第一列表中删除第一用户的抑制状态标识。
506、向接入设备发送第二报文。
其中,第二报文包含第一用户的抑制状态标识。
可选的,lns接收到第一报文,证明本地lac没有对第一用户进行抑制,lns通过向lac发送包含第一用户的抑制状态标识的第二报文,告知lac对第一用户进行抑制,如果lac再次接收到第一用户的报文,就可以直接丢弃,这样也避免了lac与lns之间报文交互过多,占用过多资源。
本发明实施例提供的信息传输方法,用户设备向接入设备发送第一报文,接入设备接收用户设备发送的第一报文后,根据第一用户的标识在已经存储的第二列表中查找第一用户的抑制状态标识,当第二列表中不包含第一用户的抑制状态标识时,将第一报文发送至网络服务器,网络服务器根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器和接入设备联合起来判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括ram(randomaccessmemory,随机存储器)、rom(readonlymemory,只读内存)、eeprom(electricallyerasableprogrammablereadonlymemory,电可擦可编程只读存储器)、cd-rom(compactdiscreadonlymemory,即只读光盘)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、dsl(digitalsubscriberline,数字用户专线)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、dsl或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使用的,盘和碟包括cd(compactdisc,压缩光碟)、激光碟、光碟、dvd碟(digitalversatiledisc,数字通用光)、软盘和蓝光光碟,其中盘通常磁性的复制数据,而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!