專利名稱:一種二次地址分配方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IPv6的網(wǎng)絡(luò)接入技術(shù)領(lǐng)域,特別是指一種二次地址分配方法。
背景技術(shù):
在IPv6(網(wǎng)絡(luò)協(xié)議,版本6)中,客戶(Host)端獲取IP地址的方法有兩種,一種是無狀態(tài)地址分配(Stateless Address Autoconfiguration),主要采用ND協(xié)議并通過RS和RA報(bào)文獲取IP地址;另外一種是有狀態(tài)地址分配(Stateful Address Autoconfiguration),目前是通過DHCPv6(IPv6的動(dòng)態(tài)主機(jī)配置協(xié)議)獲取IP地址。由于DHCPv6協(xié)議比較完備,實(shí)現(xiàn)的功能較多,且可以使用同一臺(tái)服務(wù)器對整個(gè)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的地址管理等優(yōu)點(diǎn),因此,對于網(wǎng)絡(luò)的管理和運(yùn)營來說,DHCPv6是較佳的選擇。
隨著NGN和IPv6的發(fā)展和推廣,很多電子產(chǎn)品都會(huì)分配給IPv6地址,以更容易的隨時(shí)接入IPv6網(wǎng)絡(luò),如用戶的手機(jī)等。這對于原有的通信業(yè)務(wù)移植到以IPv6為承載協(xié)議的互聯(lián)網(wǎng)也就成為了可能,而如何在IPv6下由網(wǎng)絡(luò)側(cè)增強(qiáng)對客戶端的控制是實(shí)現(xiàn)各種業(yè)務(wù)的必需。其中,首要解決的問題就是控制客戶端在不同的業(yè)務(wù)、或者場景下有不同的IPv6地址或權(quán)限。
例如,在DHCPv6服務(wù)器上記錄有某客戶端不同情況下的不同的IPv6地址,如IPv6-A是校園網(wǎng)/局域網(wǎng)地址,有訪問校園網(wǎng)資源的權(quán)限;IPv6-B具有訪問因特網(wǎng)的權(quán)限,使用IPv6-B時(shí)需要支付一定的費(fèi)用。用戶根據(jù)需要會(huì)訪問校園網(wǎng)、因特網(wǎng),在訪問不同網(wǎng)絡(luò)的情況下需要對該客戶端進(jìn)行IPv6地址相應(yīng)的變更,以及相應(yīng)的實(shí)現(xiàn)對用戶權(quán)限的變更。
而目前對客戶端的控制,基本都是基于客戶端有確定的IPv6地址的情況。而對于用戶的IPv6地址的變更,則都需要用戶來進(jìn)行主動(dòng)的更新,如手動(dòng)修改客戶端IPv6地址、重啟客戶端等。網(wǎng)絡(luò)側(cè)系統(tǒng)不能去對客戶端進(jìn)行主動(dòng)修改。
總的來說,現(xiàn)有的DHCPv6協(xié)議雖然突出了服務(wù)器(Server)端對客戶端(Host)的控制,同時(shí)還對安全性有了新的提高,具體的可以參見RFC3315。但是,目前Server端還不能實(shí)現(xiàn)對Host端的地址進(jìn)行重新分配的控制,以及對Host端的權(quán)限變化的控制。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種IPv6網(wǎng)絡(luò)下二次地址分配的方法,實(shí)現(xiàn)IPv6網(wǎng)絡(luò)下服務(wù)器端對客戶端地址的重新分配。
本發(fā)明的二次地址分配方法,應(yīng)用于IPv6網(wǎng)絡(luò)中,包括以下步驟A、客戶端與DHCPv6服務(wù)器交互獲得DHCPv6服務(wù)器分配的IPv6地址;B、客戶端發(fā)起認(rèn)證請求,認(rèn)證服務(wù)器對客戶端進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果發(fā)送給DHCPv6服務(wù)器;C、DHCPv6服務(wù)器獲得認(rèn)證結(jié)果后,根據(jù)認(rèn)證結(jié)果指示客戶端重置DHCPv6過程;D、客戶端根據(jù)DHCPv6服務(wù)器的指示,與DHCPv6服務(wù)器交互獲得DHCPv6服務(wù)器重新分配的IPv6地址。
其中,還包括一接入服務(wù)器,用于客戶端接入IPv6網(wǎng)絡(luò);步驟A進(jìn)一步包括在接入服務(wù)器上為客戶端添加用戶策略;步驟D進(jìn)一步包括在接入服務(wù)器上為客戶端更新用戶策略;所述用戶策略至少包括分配給用戶的權(quán)限。其中,所述權(quán)限包括至少以下之一允許訪問的地址、不允許訪問的地址、用戶的流量限制、允許開展的業(yè)務(wù)。其中,所述接入服務(wù)器包括BRAS、三層交換機(jī)、路由器等。
其中,步驟B所述認(rèn)證結(jié)果包含至少以下之一需要進(jìn)行再次地址分配的屬性、需要進(jìn)行客戶端權(quán)限變更的屬性。
其中,步驟C所述指示客戶端重置DHCPv6過程的步驟是通過重置報(bào)文RECONFIGURE中的RECONFIGURE Option字段指示客戶端發(fā)起請求信息REQUEST。
其中,所述認(rèn)證服務(wù)器為AAA服務(wù)器或Radius服務(wù)器。
其中,客戶端退出IPv6網(wǎng)絡(luò)時(shí),步驟D后進(jìn)一步包括客戶端釋放步驟D獲得的IPv6地址。
由上述方法可以看出,本發(fā)明在IPv6網(wǎng)絡(luò)下,通過合理利用和部分?jǐn)U展DHCPv6協(xié)議完成網(wǎng)絡(luò)側(cè)服務(wù)器端對Host端的地址進(jìn)行二次地址分配以及動(dòng)態(tài)授權(quán)。通過二次地址分配或認(rèn)證后的動(dòng)態(tài)授權(quán),實(shí)現(xiàn)了網(wǎng)絡(luò)側(cè)服務(wù)器端對Host端的靈活控制。
另一方面,本發(fā)明可實(shí)現(xiàn)網(wǎng)絡(luò)側(cè)主動(dòng)更新Host端的IPv6地址或權(quán)限,從而用戶可以方便的在不同互聯(lián)網(wǎng)服務(wù)提供商ISP之間的切換,來實(shí)現(xiàn)接入不同的接入網(wǎng)絡(luò),而由網(wǎng)絡(luò)側(cè)系統(tǒng)自動(dòng)對用戶客戶端地址、權(quán)限進(jìn)行更新,不需要用戶手動(dòng)更新,方便了用戶的使用。
圖1為Host接入網(wǎng)絡(luò)的示意2為本發(fā)明二次地址分配的流程圖。
圖3為Host接入網(wǎng)絡(luò)的實(shí)施例示意4為本發(fā)明二次地址分配的實(shí)施例流程圖。
具體實(shí)施例方式
一般情況下,客戶端(Host)是通過三層設(shè)備作為DHCPv6的中繼(Relay)或服務(wù)器(Server)獲取自己相應(yīng)的IPv6地址,其中,所述三層設(shè)備可以為寬帶遠(yuǎn)程接入服務(wù)器(BRAS)、三層交換機(jī)(L3Switch)、路由器(Router)等設(shè)備。如圖1示出了Host接入網(wǎng)絡(luò)的示意圖,在一個(gè)局域網(wǎng)或一個(gè)城域網(wǎng)中統(tǒng)一放置一臺(tái)DHCPv6Server(DHCPv6服務(wù)器),對整個(gè)網(wǎng)絡(luò)的地址進(jìn)行統(tǒng)一管理,還放置一臺(tái)認(rèn)證服務(wù)器(可以是AAA認(rèn)證服務(wù)器、RADIUS認(rèn)證服務(wù)器等),對各個(gè)Host的權(quán)限進(jìn)行管理。其中,DHCPv6Server和認(rèn)證服務(wù)器可以是單獨(dú)的設(shè)備,也可以位于其他設(shè)備中,如位于上述三層設(shè)備中。圖1中的BRAS起到Relay的作用。
本發(fā)明二次地址分配的主要步驟是在客戶端首次訪問網(wǎng)絡(luò)的時(shí)候,獲得DHCPv6Server分配的IPv6網(wǎng)絡(luò)地址;在用戶需要更大權(quán)限時(shí),發(fā)起認(rèn)證請求;DHCPv6Server獲得認(rèn)證結(jié)果后,要求客戶端重置DHCPv6過程,客戶端根據(jù)DHCPv6Server的指示,重置DHCPv6過程,獲得更新的IPv6地址或/和更新的權(quán)限。
下面,以圖1示出的組網(wǎng)圖,并參見圖2示出的流程圖,以Host訪問第二網(wǎng)絡(luò)為例,對本發(fā)明二次地址分配的方法進(jìn)行介紹。包括以下步驟步驟201當(dāng)Host開機(jī)時(shí),與DHCPv6Server交互信息,通過DHCPv6協(xié)議獲取DHCPv6Server分配的IPv6地址。
同時(shí)DHCPv6Server在同Host進(jìn)行DHCPv6的配置時(shí),把該用戶相關(guān)的訪問權(quán)限通過DHCPv6報(bào)文發(fā)送到Relay端,即圖中的BRAS設(shè)備端,這樣在BRAS端可以通過ACL(訪問控制列表)控制用戶的訪問權(quán)限。
步驟202Host需要獲取更大的訪問權(quán)限,向認(rèn)證服務(wù)器發(fā)起認(rèn)證。其中,認(rèn)證形式可以是WEB認(rèn)證、撥號(hào)認(rèn)證等。發(fā)起認(rèn)證時(shí)根據(jù)需要輸入正確的用戶名和口令。
步驟203認(rèn)證服務(wù)器根據(jù)Host的認(rèn)證信息進(jìn)行認(rèn)證,當(dāng)認(rèn)證成功時(shí),認(rèn)證服務(wù)器將該Host認(rèn)證的結(jié)果發(fā)送給DHCPv6Server。其中,該信息中還包含該Host當(dāng)前的IPv6地址,用于DHCPv6Server識(shí)別該認(rèn)證結(jié)果所對應(yīng)的Host。
步驟204DHCPv6Server接收到該Host認(rèn)證結(jié)果信息,向該Host發(fā)送DHCPv6的重置報(bào)文(RECONFIGURE),要求Host開始重置DHCPv6的過程。
其中,在RECONFIGURE報(bào)文中,DHCPv6Server可以在該報(bào)文中的RECONFIGURE Option字節(jié)中指定Host發(fā)起REQUEST(請求)、RENEW(更新)、或INFORMATION-REQUEST(信息請求)報(bào)文,或者DHCPv6服務(wù)器并不進(jìn)行指定Host所要使用的報(bào)文,而是由Host根據(jù)自身的配置選擇發(fā)送上述的三個(gè)報(bào)文之一。
步驟205Host在收到RECONFIGURE報(bào)文后,根據(jù)Server端的指定或Host自身的配置發(fā)送指定或配置的報(bào)文,來發(fā)起DHCPv6重置。
其中,如果需要進(jìn)行二次的地址分配,則Host直接向Server發(fā)送REQUEST報(bào)文,要求Server重新分配IPv6地址,以及Server進(jìn)行相應(yīng)的參數(shù)配置。例如,Host首次開機(jī)啟動(dòng)時(shí)獲取的是Local-Link(本地)地址,現(xiàn)在則可以通過REQUEST報(bào)文,要求DHCPv6Server給用戶重新分配一個(gè)Global(全網(wǎng))地址來訪問Internet;如果不需要進(jìn)行二次的地址分配,而是在原有地址的情況下進(jìn)行Host權(quán)限的更改,則可以發(fā)送RENEW或INFORMATION-REQUEST報(bào)文,啟動(dòng)現(xiàn)有DHCPv6協(xié)議的配置過程。
根據(jù)目前的DHCPv6協(xié)議,在Host在接收到DHCPv6服務(wù)器發(fā)送的RECONFIGURE報(bào)文后只能發(fā)送RENEW或INFORMATION-REQUEST報(bào)文。也就是說,目前的DHCPv6協(xié)議也只能在不改動(dòng)原IPv6地址的情況下對Host進(jìn)行控制,而不能夠主動(dòng)修改Host的IPv6地址。
步驟206DHCPv6Server與Host進(jìn)行重配置時(shí),相應(yīng)的通過DHCPv6的報(bào)文向BRAS(作為DHCPv6Relay設(shè)備)端發(fā)送相關(guān)的控制信息,如果是二次地址分配,BRAS將對新地址和相應(yīng)的權(quán)限進(jìn)行配置;如果不是二次地址分配則只需對原有的IPv6地址權(quán)限進(jìn)行相應(yīng)的改動(dòng),例如打開該Host訪問Internet的權(quán)限。
步驟207當(dāng)Host需要下線時(shí),認(rèn)證服務(wù)器實(shí)時(shí)地獲取用戶下線的信息并通知到DHCPv6Server,DHCPv6Server將再一次發(fā)送RECONFIGURE報(bào)文到Host,要求重置相關(guān)的IPv6以及參數(shù),恢復(fù)到步驟201時(shí)Host的狀態(tài),或者根據(jù)需要恢復(fù)到Host斷開所有的連接的網(wǎng)絡(luò)的狀態(tài)。
步驟208Host端可以根據(jù)需要發(fā)送REQUEST、RENEW、或INFORMATION-REQUEST報(bào)文,并開始重置DHCPv6的相應(yīng)過程。這個(gè)步驟同步驟205的過程一樣,故不再重復(fù)描述。
步驟209DHCPv6Server通過DHCPv6報(bào)文向BRAS發(fā)送相關(guān)的控制信息,BRAS根據(jù)控制信息的要求,把相應(yīng)Host的地址權(quán)限刪除,或者并把Host的地址權(quán)限進(jìn)行相應(yīng)的調(diào)整,比如說取消該Host訪問Internet的權(quán)限。
下面以通過WEB認(rèn)證的方式結(jié)合網(wǎng)絡(luò)地址分配為一具體實(shí)施例,對本發(fā)明進(jìn)一步詳細(xì)描述。
如圖3示出了基于WEB認(rèn)證網(wǎng)絡(luò)地址分配的組網(wǎng)圖。WEB用戶通過二層設(shè)備L2接入BRAS,BRAS、門戶服務(wù)器(簡稱Portal服務(wù)器)、遠(yuǎn)端認(rèn)證服務(wù)器(簡稱Radius服務(wù)器)、動(dòng)態(tài)地址分配服務(wù)器(DHCPv6服務(wù)器)均接入網(wǎng)絡(luò)中,其中BRAS中可內(nèi)置地址池,Portal服務(wù)器用于提供web認(rèn)證頁面。與DHCPv6服務(wù)器的通訊采用DHCPv6協(xié)議;與Radius服務(wù)器的通訊采用radius協(xié)議;與Portal服務(wù)器的通訊采用portal協(xié)議。
參照圖3的組網(wǎng),并參照圖4示出的流程圖,包括以下步驟用戶通過DHCPv6協(xié)議申請IPv6地址,該DHCPv6報(bào)文被BRAS截獲,在BRAS中的配置信息包括如何處理某個(gè)用戶請求分配IPv6地址的請求,以及指定到DHCPv6服務(wù)器申請地址。BRAS在收到DHCPv6報(bào)文后,根據(jù)其配置信息為用戶選擇指定的DHCPv6服務(wù)器,并作為一個(gè)DHCPv6中繼向DHCPv6服務(wù)器申請IPv6地址,來獲得一個(gè)Local-Link(本地)IPv6地址;或者BRAS也可以從其內(nèi)部地址池中為用戶選擇一個(gè)地址。
BRAS設(shè)備在為用戶分配地址的同時(shí),也為用戶分配資源,如用戶表項(xiàng)、地址解析協(xié)議表項(xiàng)、用戶日志、流匹配表等,并添加用戶策略,用戶策略包括分配給用戶的權(quán)限,例如可以訪問哪些網(wǎng)站、不可以訪問哪些網(wǎng)站、用戶的流量限制是多少、允許用戶開展哪些業(yè)務(wù)等,訪問控制列表ACL、寬帶地址限制CAR、用戶優(yōu)先級(jí)、服務(wù)質(zhì)量QOS等,例如“允許訪問Portal服務(wù)器和web網(wǎng)站1,不能訪問web網(wǎng)站2;用戶訪問不允許訪問的web網(wǎng)站時(shí)強(qiáng)制訪問Portal服務(wù)器”,使得用戶在認(rèn)證前只能訪問指定的地址,如Portal服務(wù)器或DNS服務(wù)器等。因此對于上述用戶策略,如果用戶在認(rèn)證前訪問web網(wǎng)站2時(shí),會(huì)被強(qiáng)制訪問Portal服務(wù)器;如果用戶訪問web網(wǎng)站1,則允許其進(jìn)行訪問。
用戶啟動(dòng)瀏覽器,訪問Portal服務(wù)器,獲得認(rèn)證頁面;如果用戶訪問其他不允許訪問的地址,則BRAS強(qiáng)制用戶訪問Portal服務(wù)器,獲得認(rèn)證頁面。用戶輸入用戶名和密碼后提交認(rèn)證請求,通過HTTP協(xié)議發(fā)送到Portal服務(wù)器進(jìn)行解析。
Portal服務(wù)器通過Portal協(xié)議與BRAS進(jìn)行交互,使得BRAS獲得用戶名和密碼。
BRAS根據(jù)用戶名的后綴判斷是進(jìn)行本地認(rèn)證還是進(jìn)行radius認(rèn)證,當(dāng)是進(jìn)行radius認(rèn)證時(shí),則將用戶名和密碼通過radius協(xié)議送到Radius服務(wù)器。
Radius服務(wù)器根據(jù)該用戶名和密碼進(jìn)行認(rèn)證。在認(rèn)證結(jié)束后產(chǎn)生認(rèn)證結(jié)果,并在認(rèn)證結(jié)果中需包含是否需要再次進(jìn)行地址分配的屬性,還包含用戶的授權(quán)信息,如寬帶地址限制CAR、用戶剩余的上網(wǎng)時(shí)間、用戶優(yōu)先級(jí)等。并將認(rèn)證結(jié)果通知DHCPv6服務(wù)器。
如果認(rèn)證成功并需要進(jìn)行再次地址分配,則DHCPv6服務(wù)器向用戶終端下發(fā)RECONFIGURE報(bào)文,在該報(bào)文中的擴(kuò)展字節(jié)RECONFIGURE Option指定用戶終端發(fā)起REQUEST報(bào)文。
用戶終端收到RECONFIGURE報(bào)文后,根據(jù)指示發(fā)起REQUEST報(bào)文,進(jìn)行DHCPv6重置,DHCPv6服務(wù)器分配能夠訪問其他地址(如web網(wǎng)站2)權(quán)限的IPv6地址及相應(yīng)的權(quán)限,發(fā)送給BRAS。
BRAS作為中繼,將申請到的新IPv6地址返回用戶。
用戶獲得新IPv6地址后,BRAS為用戶刷新用戶策略,使得用戶可以訪問指定的Gloal(全網(wǎng))地址,BRAS通過Portal協(xié)議通知Portal服務(wù)器用戶的IPv6地址已改變。
在上述實(shí)施例中,認(rèn)證前分配的網(wǎng)絡(luò)地址是本地IPv6地址,在認(rèn)證后再分配全網(wǎng)IPv6地址。在實(shí)踐中,認(rèn)證前后的網(wǎng)絡(luò)地址也可以都是全網(wǎng)IPv6地址,以實(shí)現(xiàn)用戶在不同ISP之間的切換。例如用戶在認(rèn)證前默認(rèn)是屬于運(yùn)營商1的,其網(wǎng)絡(luò)地址由運(yùn)營商1分配,可以訪問的網(wǎng)站也由運(yùn)營商1規(guī)定。如果該用戶需要切換運(yùn)營商,則需經(jīng)過運(yùn)營商2的認(rèn)證,獲得運(yùn)營商2給予的權(quán)限,因此在認(rèn)證通過后,應(yīng)釋放運(yùn)營商1分配的網(wǎng)絡(luò)地址,申請運(yùn)營商2分配的地址。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種二次地址分配方法,應(yīng)用于IPv6網(wǎng)絡(luò)中,其特征在于,該方法包括以下步驟A、客戶端與DHCPv6服務(wù)器交互獲得DHCPv6服務(wù)器分配的IPv6地址;B、客戶端發(fā)起認(rèn)證請求,認(rèn)證服務(wù)器對客戶端進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果發(fā)送給DHCPv6服務(wù)器;C、DHCPv6服務(wù)器獲得認(rèn)證結(jié)果后,根據(jù)認(rèn)證結(jié)果指示客戶端重置DHCPv6過程;D、客戶端根據(jù)DHCPv6服務(wù)器的指示,與DHCPv6服務(wù)器交互獲得DHCPv6服務(wù)器重新分配的IPv6地址。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括一接入服務(wù)器,用于客戶端接入IPv6網(wǎng)絡(luò);步驟A進(jìn)一步包括在接入服務(wù)器上為客戶端添加用戶策略;步驟D進(jìn)一步包括在接入服務(wù)器上為客戶端更新用戶策略;所述用戶策略至少包括分配給用戶的權(quán)限。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述權(quán)限包括至少以下之一允許訪問的地址、不允許訪問的地址、用戶的流量限制、允許開展的業(yè)務(wù)。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述接入服務(wù)器包括但不限于BRAS、三層交換機(jī)、路由器。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟B所述認(rèn)證結(jié)果包含至少以下之一需要進(jìn)行再次地址分配的屬性、需要進(jìn)行客戶端權(quán)限變更的屬性。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟C所述指示客戶端重置DHCPv6過程的步驟是通過重置報(bào)文RECONFIGURE中的RECONFIGURE Option字段指示客戶端發(fā)起請求信息REQUEST。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述認(rèn)證服務(wù)器為AAA服務(wù)器或Radius服務(wù)器。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于,客戶端退出IPv6網(wǎng)絡(luò)時(shí),步驟D后進(jìn)一步包括客戶端釋放步驟D獲得的IPv6地址。
全文摘要
本發(fā)明提供了一種二次地址分配方法,應(yīng)用于IPv6網(wǎng)絡(luò)中,包括以下步驟客戶端與DHCPv6服務(wù)器交互獲得DHCPv6服務(wù)器分配的IPv6地址,并在接入服務(wù)器上為客戶端添加用戶策略;客戶端發(fā)起認(rèn)證請求,認(rèn)證服務(wù)器對客戶端進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果發(fā)送給DHCPv6服務(wù)器;DHCPv6服務(wù)器獲得認(rèn)證結(jié)果后,根據(jù)認(rèn)證結(jié)果指示客戶端重置DHCPv6過程;客戶端根據(jù)DHCPv6服務(wù)器的指示,與DHCPv6服務(wù)器交互獲得DHCPv6服務(wù)器重新分配的IPv6地址;并在接入服務(wù)器上為客戶端更新用戶策略。使用本發(fā)明,可以實(shí)現(xiàn)IPv6網(wǎng)絡(luò)下服務(wù)器端對客戶端地址的重新分配。
文檔編號(hào)H04L12/28GK1798158SQ200410097049
公開日2006年7月5日 申請日期2004年12月21日 優(yōu)先權(quán)日2004年12月21日
發(fā)明者丁常海, 侯超, 林琦, 陳偉, 沈文良, 管紅光 申請人:華為技術(shù)有限公司