專利名稱:網絡系統(tǒng)及接入節(jié)點設備、ip邊緣設備和接入控制方法
技術領域:
本發(fā)明涉及接入網領域,尤其涉及網絡系統(tǒng)及其接入節(jié)點設備、IP邊緣設 備和4妻入控制方法。
背景技術:
隨著接入網絡技術的發(fā)展,由于在接入網絡中應用 一些具有附加價值業(yè)
務,特別是一些例如服務質量(QoS)與業(yè)務控制的需求,又希望不需要服務 層(Office of Strategic Services, OSS)的介入,因而需要在接入網絡中網絡 節(jié)點之間存在一種控制機制,DSL Forum WT-147提出了一種用于寬帶多服務 框架的二層控制(Layer 2 CoAtrol, L2C )機制。
IETF ANCP ( Access Node Control Protocol)工作組正在制定基于IP的接 入節(jié)點設備標準化一種控制協(xié)議,以運行在接入節(jié)點設備(Access Node, AN) 及網絡接入服務器(Network Access Server, NAS)設備之間,其在通用交換 管理協(xié)議(General Switch Management Protocol , GSMP )第3版的基礎上根 據L2C與ANCP需求進行擴展后來實現的。
DSL Forum WT-146 "Subscriber Session",里面提出了IP Session的扭克念, IP Session對應PPP Session是一種用戶的管理方式。在寬帶環(huán)境下,訂戶
(Subscriber)可以靜態(tài)指配IP地址或者通過DHCP協(xié)議動態(tài)獲取IP地址。IP地 址本身作為一個標識IP Session的一個必要的部分。訂戶(Subscriber)指的是 一種用戶的簽約關系, 一個訂戶可以對應多個IP Session。
下面以結合圖1來說明現有技術的接入網中的IP會話(IP Session )的建立 過程。IP會話UP Session)是一種用戶的管理方式。在寬帶環(huán)境下,訂戶
(Subscriber )可以"I爭態(tài)指配IP地址或者通過動態(tài)主才幾配置協(xié)議(Dyna mic HostConfiguration Protocol, DHCP )動態(tài)獲取IP地址。IP地址本身作為一個標識IP Session的一個必要的部分。訂戶(Subscriber)指的是一種用戶的簽約關系, 一個訂戶可以對應多個IP Session。
如圖l中所示,所述接入網包括終端設備(End Device)、接入節(jié)點設備 (AN) 、 IP邊緣設備(IP Edge) 、 DHCP服務器(DHCP Server) 、 AAA服務 器/代理(AAA Server/Proxy )。其中,
位于客戶側的終端設備,作為DHCP客戶端(DHCP Client),可以是三 層駐地網關(如RoutedRG),也可以是二層駐地網關(如BridgedRG)下的 終端設備,或者是直接連接AN的終端設備及其他設備;
接入節(jié)點設備(二層,也許有三層感知功能),可以是數字用戶線接入 多工器(DSLAM)或者光線路終端(OLT),或者其他接入節(jié)點設備,其上 也許有二層DHCP中繼(DHCPRelay)功能;
IP邊緣設備,可以A寬帶遠程接入服務器(BRAS)或寬帶網關(BNG) 設備,同時也不排除其他IP邊緣設備(例如三層AN),其上具有DHCP中繼 /代理(DHCP Relay/Proxy)及AAA客戶端(AAA Client)功能。
IP Session指從終端設備(DHCP Client)到IP Edge之間建立的會話。
其大致流程如下
1. 終端啟動DHCP過程,發(fā)送DHCP發(fā)現消息(DHCP Discover消息)給
AN;
2. AN作為二層DHCP Relay,在DHCP Discover消息中插入相應的 Option82信息,并發(fā)送到IPEdge;
3. IP Edge接收到DHCP Discover消息后,檢測消息中間與用戶身份相關 的信息(例如Option82中的circuit-id、 remote-id信息、終端源MAC信息或者綜 合體,或者IPEdge根據本地規(guī)則獲取用戶名/密碼信息),并發(fā)送Radius Access Request消息到AAA Server/Proxy;4. 在認證授^又成功之后,AAA Server/Proxy返回給IP Edge可以成功接入 的AAA Response (Radius access-accept),并且可能附帶一些Profile信息;
5. IP Edge設備4妄收到可以成功接入的AAAResponse之后,此IP Session 已授權,IP Edge設備執(zhí)行與此IP Session相關的策略;
6. IP Edge發(fā)送DHCP Discover消息到DHCP Server,消息中如果需要可以 附帶 一些與Radius屬性相關的Options;
7. DHCP Server接收到請求消息之后,通過查找地址池返回給IP Edge設 備(DHCP Relay/Proxy ) DHCPOffer消息(其中攜帶有可用IP地址信息);
8. IP Edge接收到DHCP Offer消息后,作為DHCP Relay/Proxy轉發(fā)DHCP Offer消息給終端設備;
9. 終端設備接受到DHCPOffer消息后,如果其中可用IP地址是可以接受 的,則返回一個DHCP請求消息(可能直接發(fā)送到DHCP Server);
10. 終端設i接收到DHCP Server返回的一個DHCP Ack消息,完成IP Session的建立過程。
上述是一個典型的訂戶(Subscriber)通過DHCP協(xié)議動態(tài)獲取IP地址建立 IP Session的過程。涉及到具體場景下的IP Session的建立過程可能會有不同, 具體的流程可能會有一些差別,例如,上圖流程中是以通過Option82進行隱式 認證的例子,另外還可以通過PANA協(xié)議或者DHCP認證等其他方式進行認證 (用戶名/密碼的方式);IP Edge和AAA Server間可以運行Radius、 Diameter 或者其他AAA協(xié)-漢;IP Edge也可能是作為其他的設備形態(tài)存在,例如三層 CO-AN等??偠灾琁PSession的建立涉及到訂戶(Subscriber)的i人證授權 及IP地址的獲取。
為了安全性的考慮,在現有的接入網中,在其AN上一般會采用一種端口 與IP地址綁定機制,具體方式例如通過在AN上建立一個綁定表,在該綁定 表中標識了該AN上每端口及其所綁定的P地址信息。當該AN的某一端口上接 收到包含有IP地址4言息的報文時,AN會查詢該綁定表,只允許通過與該端口相綁定的IP地址為源地址或目的地址的報文,這樣一方面可以防止惡意終端發(fā) 送非法IP地址報文,造成IP地址沖突,另一方面也可以防止終端辟皮惡意攻擊。
但在是現有技術中,IP端口綁定、解綁定是通過AN上DHCP Relay來實現, 當AN檢測到終端分配或釋放了某IP地址時則將此IP地址與端口綁定或解綁 定;在實現本發(fā)明的過程中,發(fā)明人發(fā)現現有技術中至少存在接入安全性不 高的問題,具體如下
1. 在通過DHCP協(xié)議動態(tài)獲取IP地址的場景下,正常情況下,AN通過 DHCP Relay檢測IP地址的獲取和釋放來做端口IP地址綁定及解綁定,但現有 這種方法不能防止來自終端側的攻擊,例如,惡意的終端設備可以通過不斷 的獲取或釋放其IP地址,向AN發(fā)送DHCP報文來惡意攻擊AN;
2. DHCP協(xié)議缺乏主動釋放IP地址的機制,這樣AN無法在一些在DHCP 服務器主動釋放IP地址的場景下通過AN中的DHCP Relay來實現端口及IP地 址的解綁定;
3. 在終端設備進行靜態(tài)配置IP地址的場景下,AN無法自動進行端口IP 地址的綁定解綁定,只能通過網管手工配置,效率低下,風險大。
發(fā)明內容
有鑒于此,本發(fā)明實施例所要解決的技術問題在于,提供一種網絡系統(tǒng)、 接入節(jié)點設備、IP邊緣設備及接入控制方法,可提高接入的安全性。
為解決上述技術問題, 一方面,本發(fā)明實施例的一種IP邊緣設備,連接 有接入節(jié)點設備,所述IP邊緣設備至少包括
觸發(fā)單元,用于檢測配置觸發(fā)事件;
配置命令生成單元,在所述觸發(fā)單元獲知配置觸發(fā)事件時,生成與所述 配置觸發(fā)事件相應的配置命令,所述配置命令中至少包括操作對象信息或/及 配置策略信息;
配置命令T發(fā)單元,用于將所述配置命令傳送給所述接入節(jié)點設備。'另一方面,本發(fā)明實施例的一種接入節(jié)點設備,至少包括
配置命令獲取單元,獲得來自IP邊緣設備的至少包括所述接入節(jié)點設備 的端口信息的操作對象或/及配置策略信息的配置命令;
配置命令執(zhí)行單元,對所述至少包括所述接入節(jié)點設備的端口信息的操 作對象進行配置操作;
執(zhí)行結果響應單元,將所述配置命令執(zhí)行單元的執(zhí)行結果,響應至所述 IP邊緣設備。
再一方面,本發(fā)明實施例的一種網絡系統(tǒng),包括接入節(jié)點設備及與所述 接入節(jié)點設備通信的終端設備和IP邊緣設備,
所述IP邊緣設備,用于在獲知配置觸發(fā)事件時,生成與所述配置觸發(fā)事 件相應的配置命令,并將所述配置命令傳送至接入節(jié)點設備,所述配置命令 中至少包括操作對象信息或/及配置策略信息;
所述接入節(jié)點設備,用于解析并獲得來自IP邊緣設備'的配置命令,對所 述至少包括所述接入節(jié)點設備的端口信息的操作對象進行配置搡作,并將所 述配置執(zhí)行結果,響應至IP邊緣設備。
又一方面,本發(fā)明實施例的一種接入網的控制方法,包括
IP邊緣設備才艮據所獲知的配置觸發(fā)事件,生成對應的配置命令,所述配 置命令中至少包括操作對象信息或/及配置策略信息;
將所述配置命今傳送給所述接入節(jié)點設備。
還一方面,本發(fā)明實施例的一種接入網的控制方法,包括
接入節(jié)點設備解析并獲得來自IP邊緣設備的至少包括所述接入節(jié)點設備
的端口信息的操作對象或/及配置策略信息的配置命令;
執(zhí)行所述配置命令,對所述至少包括所述接入節(jié)點設備的端口信息的操
作對象進行配置搡作;
將所述配置命令執(zhí)行單元的執(zhí)行結果,響應至所述IP邊緣設備。 根據本發(fā)明的'實施例,通過在某些事件的觸發(fā)下,IP邊緣設備可以控制接入節(jié)點設備自動進行配置操作,無需人工手工配置;另外,在接入節(jié)點設 備側可進行^^艮文過濾,防止用戶側的終端發(fā)送非法的報文到網絡中(即防止 用戶的IP地址欺騙), 一定程度上不需要IP邊緣設備進行非法報文的過濾工 作,減輕了 IP邊緣設備的負擔;再者,IP邊緣設備可以將與接入節(jié)點設備 的端口及IP地址等強相關的配置策略信息與其他配置操作信息在一次消息中 同時發(fā)送給接入節(jié)點設備,提高了處理效率。
圖1是現有的建立IP會話的流程圖2是本發(fā)明網絡系統(tǒng)第 一 實施例的示意圖3是圖2所示網絡系統(tǒng)中配置命令生成單元的第一優(yōu)選實施例組成示 意圖4是圖2所示網絡系統(tǒng)中配置命令執(zhí)行單元的第 一優(yōu)選實施例組成示意
圖5是圖2所示網絡系統(tǒng)中配置命令生成單元的第二優(yōu)選實施例組成示意
圖6是圖2所示網絡系統(tǒng)中配置命令執(zhí)行單元的第二優(yōu)選實施例組成示意
圖7是本發(fā)明控制方法的第 一實施例中IP邊緣設備側的處理流程示意圖; 圖8是本發(fā)明控制方法的第 一 實施例中接入節(jié)點設備側的處理流程示意
圖9是本發(fā)明控制方法的實施例中IP邊緣設備控制接入節(jié)點設備進行綁定 處理的流程示意圖IO是本發(fā)明控制方法的實施例中IP邊緣設備控制接入節(jié)點設備進行解 綁定處理的逸程示意圖; -.
圖]1是圖9中所采用的控制協(xié)議報文格式示意圖;圖12是圖11中的"Extension Value,,的格式示意圖; 圖13是圖12中的"TLV"的格式示意圖。
具體實施例方式
下面結合附圖以優(yōu)選實施例對本發(fā)明進行詳細說明。
參考圖2 ,該圖是本發(fā)明網絡系統(tǒng)第 一優(yōu)選實施例的系統(tǒng)結構示意圖。
本實施例所述網絡系統(tǒng)包括終端設備(未畫出)、接入節(jié)點設備2、 IP邊
緣設備3。本實施例中所述IP邊緣設備3中實現控制接入節(jié)點設備2的功能主要
包括有觸發(fā)單元30、配置命令生成單元32、配置命令下發(fā)單元34及響應接收
單元36,其中
觸發(fā)單元30,用于獲知配置觸發(fā)事件,啟動配置流程,此處所說的配置 觸發(fā)事件是指可觸發(fā)IP邊緣設備3對接入節(jié)點設備2進行配置操作的事件, 其可以是多種,例如,在IP Session的應用場'景中,當IP邊緣設備3獲知終 端j殳備已獲得IP地址并建立了 IP Session,則可以觸發(fā)后續(xù)的IP邊緣設備3 控制接入節(jié)點設備2進行端口與IP地址等信息的綁定;或者當IP邊緣設備3 獲知某終端設備的IP Session已經釋放,則可以觸發(fā)后續(xù)的IP邊緣設備3控 制接入節(jié)點設備2進行相應端口與該終端設備的IP地址等信息進行解綁定; 同樣,在其他非IP Session的應用場景中,當IP邊緣設備3獲知一些特定的 觸發(fā)事件,其亦可以啟動對接入節(jié)點設備2進行相應的配置揭:作。
配置命令生成單元32,用于才艮據所獲知的配置觸發(fā)事件,生成與所述配 置觸發(fā)事件相對應的用于控制接入節(jié)點設備2進行相應配置操作的配置命令, 所述配置命令中至少包括操作對象信息或/及配置策略信息;其中,所述配置 命令至少包括有諸如綁定操作命令、解綁定操作命令及其他策略操作命令, 可以是其中的一種或多種;所述"l喿作對象至少包括有接入節(jié)點設備2的目標 端口信息及需要與所述目標端口進行綁定的對象信息,所述對象信息為終端 設備的'IP地址、MAC信息、VLAN信息中的至少一種;所述目裔、端口可以是接入節(jié)點設備2的物理端口或邏輯端口 (如,在接入節(jié)點設備2上通過PVC 或VLAN標識的端口 )。
配置命令下發(fā)單元34,用于將配置命令生成單元32所產生的配置命令傳 送給所述接入節(jié)點設備2,例如,以協(xié)議請求消息的形式發(fā)送給接入節(jié)點設備 2,其可以采用L2CP、 ANCP、 GSMP、 Diameter、 COPS或H.248等協(xié)議傳 送所述配置命令。
響應接收單元36,用于獲得來自接入節(jié)點設備2的執(zhí)行所述配置命令的 結果響應消息;所述配置命令生成單元32可以根據所述結果響應消息修改其 原始的配置命令,生成新的配置命令,該新的配置命令可以再次發(fā)送給接入 節(jié)點設備2,以控制所述接入節(jié)點設備2進行新的配置操作。
本實施例中,接入節(jié)點設備2至少包括配置命令獲取單元20、配置命令執(zhí) 行單元22及執(zhí)行結果響應單元24,其中,
配置命令獲取單元,解析來i IP邊緣設備的協(xié)議請求消息,獲得其中至 少包括接入節(jié)點設備的端口信息的操作對象或/及配置策略信息的配置命令;
配置命令執(zhí)行單元,根據所解析出的配置命令,執(zhí)行相應的配置操作, 例如,對所述至少包括所述接入節(jié)點設備的端口信息的操作對象進行配置操 作,所述操作包括諸如綁定操作、解綁定操作、策略配置等;
執(zhí)行結果響應單元,將所述配置命令執(zhí)行單元的執(zhí)行結果,響應至所述 IP邊緣設備。
參考圖3所示,作為一種優(yōu)選實現,本實施例所述的配置命令生成單元 32可包括
綁定關系配置單元320,用于生成綁定操作命令,以配置所述操作對象間 的綁定關系,所述才喿作對象至少包括有接入節(jié)點設備2的目標端口信息及需 要與所述目標端口進行綁定的對象信息,所述對象信息為終端設備的IP地址、 MAC信息、VL^N信息中的至少一種;或/及 _
策略配置單元332,用于為所述目標端口或與其綁定的操作對象確定配置策略,所述操作對象的配置策略包括配置綁定IP地址的帶寬、配置IP地址的 租期時間或配置所述目標端口的綁定有效時間。
參考圖4所示,作為一種優(yōu)選實現,本實施例所述的配置命令執(zhí)行單元 22可包括
綁定操作命令執(zhí)行單元220,用于根據所解析出的綁定操作命令中的操作 對象,將所述操作對象綁定起來,具體來說,可以將終端設備的IP地址、MAC 信息、VLAN信息中的一種或多種與接入節(jié)點設備2的一個目標端口進行綁 定?;?及
策略執(zhí)行單元222,執(zhí)行所述配置命令中的配置策略信息,為所述操作對
象配置策略,包括配置綁定IP地址的帶寬、配置IP地址的租期時間或配置所
述目標端口的綁定有效時間等。 .另外,參考圖5所示,作為另一種優(yōu)選實現,本實施例,述的配置命令
生成單元32可包4舌
解綁定關系配置單元324,用于生成解綁定4喿作命令,以配置所述才喿作對 象間的解綁定關系,所述操作對象至少包括有接入節(jié)點設備的目標端口信息 及需要與所述目標端口進行解綁定的對象信息,所述對象信息為終端設備的 IP地址、MAC信息、VLAN信息中的至少一種。
參考圖6所示,作為另一種優(yōu)選實現,本實施例所述的配置命令執(zhí)行單 元22可包括
解綁定操作命令執(zhí)行單元224,根據配置命令獲取單元所獲取的配置命 令,配置所述操作對象間的解綁定關系,將所述操作對象之間已存在的綁定 關系全部或部分解除。
下面結合圖2、圖7和圖8說明本發(fā)明實現控制的方法第一優(yōu)選實施例流 程,在IP邊緣設備側,主要包4舌以下步驟
步驟S70,獲知配置觸發(fā)事件,啟動配置命令;
步驟S72,根據所獲知的觸發(fā)事件,生成對應的配置命令,所述配置命令中至少包括操作對象信息或/及配置策略信息,操作對象至少包括有接入節(jié)點
設備2的端口信息;
步驟S74,將所述配置命令傳送給所述接入節(jié)點設備,即,將包含所述配 置命令的+辦議請求消息發(fā)送給接入節(jié)點設備。
在接入節(jié)點設備側,主要包括如下步驟
步驟S80,解析來自IP邊緣設備的協(xié)議請求消息,獲得至少包括所述接 入節(jié)點設備的端口信息及與對所述端口相關的IP地址信息的配置命令;
步驟S82,執(zhí)行所獲得的配置命令信息,對至少所述端口和IP地址進行 配置操作;
步驟S84,將該配置命令信息的執(zhí)行結果,響應至所述IP邊緣設備。
之后,當IP邊緣設備接收到來自接入節(jié)點設備的響應消息后,根據接入節(jié) 點設備的執(zhí)行結果,調整其配置命令參數,并重復步驟S74至步驟S84,直到 接入節(jié)點設備^置完成,并回應綁定成功信息。 '
下面結合圖9和圖IO來分別說明本發(fā)明的實施例中,以IP邊緣設備控制接 入節(jié)點設備進行綁定操作及解綁定操作來說明本發(fā)明實施例的處理流程。
請參照圖9, IP邊緣設備控制接入節(jié)點設備進行綁定處理的流程包括如下 步驟
步驟S90, IP邊緣設備在配置觸發(fā)事件的觸發(fā)下,啟動對接入節(jié)點設備的 控制。此處所說配置觸發(fā)事件,例如,在IPSession場景下,當終端和IP邊舌彖 設備之間通過一系列流程動態(tài)獲取IP地址建立IP Session或在終端靜態(tài)IP地址 的場景下IP邊緣設備接收到該IP地址發(fā)送報文激活建立IP Session;此時就可 以觸發(fā)后續(xù)lPEdge對AN的控制過程,例如可以通過IP邊緣設備控制接入節(jié) 點設備執(zhí)行端口與IP地址及其它信息的綁定;
需要說明的是,本發(fā)明的實施例不限于IPSession的應用場景,例如在某 些非IPSession的應用場景下,如終端PPP連接到IP邊緣設備(如,BRAS), 但同樣有DHCP獲取IP地址的過程,'這時IP邊緣設備通過其中的DHCP Relay機制檢測到了接入節(jié)點設備的相應端口分配了某個IP地址,同樣可以通過協(xié)議
控制接入節(jié)點進行綁定操作;同樣,在終端固定IP地址的場景下,可以進行相 應的綁定操作,IP邊緣設備可以在用戶上線之前,控制接入節(jié)點設備執(zhí)行上述 IP地址及其它信息的綁定。
步驟S92、 IP邊緣設備通過協(xié)議生成協(xié)議請求消息并發(fā)送給接入節(jié)點設 備,以控制接入節(jié)點設備進行相應端口、 IP地址及其它信息的綁定
其中,所述端口可以是接入節(jié)點的物理端口,也可以是邏輯端口;此步 驟中的端口和IP地址的綁定,可以是端口與一個或一組IP地址的綁定;另外同 時還可以包括端口與其它一些重要信息的綁定,例如MAC (或MAC-in-MAC ) 地址、VLAN信息及一些策略信息;其中,
VLAN信息包4舌各種類型的VLAN信息,例如正EE 802.1Q或正EE 802.1ad (在802.1ad下可以單獨是S-VLAN或C-VLAN,也可以是S-VLAN加C-VLAN )
等); . ..
協(xié)議請求消息中包含的配置策略信息可以是給該端口或綁定的某IP地址 分配的帶寬信息;或者該地址綁定的有效時間,如DHCP服務器分配IP地址時 的租期信息;或者由策略服務器、IP邊緣i殳備等確定的該地址的綁定的有效 時間等等;
其中,端口與IP地址的綁定一般來說是強制的(可通過強制字段來標識), 但其它的重要信息則不一定,在實現中可以通過一個標識是否強制執(zhí)行的字 段來標識這個綁定的信息是否是需要接入節(jié)點設備進行強制執(zhí)行;
需要說明的是,通過生成配置命令的方法可以實現端口和IP地址,或者端 口和其他重要信息的綁定外,同樣可以通過這種方式來實現IP邊緣設備控制接 入節(jié)點設備的ARP ( Address Resolution Protocol,地址解析協(xié)議)表的建立。
步驟S94、接入節(jié)點設備接收到相應協(xié)議請求消息后,通過解析所接收的 消息獲得其中的操作對象信息(端口、 IP地址及其他需綁定的信息)及策略信 息,在相應端口執(zhí)行端口 IP地址及其它信息的綁定;步驟S96、接入節(jié)點設備在綁定后通過協(xié)議響應消息向IP邊緣設備回復綁 定執(zhí)行情況,可能在步驟S94中不能完成執(zhí)行成功,可能包括如下情況
在綁定纟喿作完全成功時,則回應綁定成功的響應消息;
當存在強制執(zhí)朽-機制時,如果是強制綁定的信息在接入節(jié)點設備上無法 成功綁定,則接入節(jié)點設備回應綁定失敗的響應消息;在回應的綁定失敗消 息中可以通過字段來標明是哪個或哪些綁定的信息沒有綁定成功,并且可以 加上失敗的原因值,后續(xù)IP邊緣i殳備可以根據修改或刪除沒有綁定成功的信息 重新回復到步驟S92繼續(xù)控制接入節(jié)點設備的綁定操作;
如果不存在強制執(zhí)行機制時,可以預先規(guī)定諸如,接入節(jié)點設備無法 完全執(zhí)行綁定成功,則返回綁定失敗響應,且此時接入節(jié)點設備上針對這個 消息不執(zhí)行任何綁定;或者只要端口IP地址綁定成功則回復綁定成功響應;或 者策略靜態(tài)規(guī)定接入節(jié)點設備只要完成關鍵信息(如端口和IP地址)的綁定, 則可以回復乂功響應(可選地,可以攜帶有失敗綁定的信,i, IP邊緣設i在 接收到有失敗綁定信息的成功響應后,可選擇修改相關綁定信息回復到步驟 S92重新控制接入節(jié)點設備綁定之前未綁定成功的信息)。
通過上述綁定才幾制,在已執(zhí)行綁定的接入節(jié)點設備上,只有其源IP地址或 目標IP地址與該端口的某個綁定的IP地址相同的^1文才能經過該端口進入接 入節(jié)點設備,可防止了惡意用戶的IP地址欺騙。將IP地址、MAC地址一起與 端口綁定,可以進一步增加用戶源MAC地址的合法性4全查。另夕卜,為配置的 IP地址設置帶寬,接入節(jié)點設備可以限制與該IP地址相關的流量不超過設備帶 寬,達到流量控制的目的。配置IP地址的時間(如綁定有效時間)到期后,接 入節(jié)點設備需要將該配置自動刪除。
請參照圖10, IP邊緣設備控制接入節(jié)點設備進行解綁定處理的流程包括如 下步驟
步驟S100,當IP邊緣設備感知到配置觸發(fā)事件,觸發(fā)控制接入節(jié)點設 備進行解綁定操作「例如在在IPSession場景中, 一系列事件都可以觸發(fā)IP Session的釋放,包 括用戶的主動下線,預付費用戶費用的耗盡,IP地址到期且終端未續(xù)期等等, 其中就涉及到終端觸發(fā)IP Session的釋放,或者AAA服務器觸發(fā)IP Session的釋 放等等情況。當IP邊緣設備釋放完IPSession之后,IP邊緣設備就會啟動通過 協(xié)議控制接入節(jié)點設備進行相應端口的解綁定的操作。
需要說明的是,本發(fā)明不限于此,在其他的實施例中,例如在某些非IP Session的應用場景下,如終端PPP連接到IP邊緣設備,同樣存在DHCP獲取和 釋放IP地址的過程,當IP邊緣設備通過其中的DHCP Relay機制檢測到了接入 節(jié)點設備的相應端口通過DHCP協(xié)議釋放了某個IP地址,同樣可以通過協(xié)議控 制接入節(jié)點設備進行相應信息(如端口、 IP地址及其它信息)的解綁定操作; 或者,在終端使用固定IP地址的非IPSession的場景下,IP邊緣設備4全測到某 IP地址在一定時期后仍沒有發(fā)送報文,就可以控制接入節(jié)點設備進行對此IP 地址及相應信息的i綁定4喿作;或者,在用戶,皮強^下線的過程中,IP邊緣設 備也可*進行類似操作來實現更好的安全性。
步驟S102、 IP邊緣設備生成用于解綁定的協(xié)議請求消息并發(fā)送給接入節(jié) 點設i,控制接入節(jié)點設備進行對應端口、 IP地址及其它信息的解綁定操作;
關于端口、 1P地址及其它信息的說明可以參對圖9中的說明,在此不再贅 述。因為一個端口可能綁定了一個以上的IP地址及若干個其它信息,所以解綁 定的時候可以只是解綁定該端口相關綁定的部分信息,例如釋放的這個IP地址 及其相關信息;
解綁定到具體實現也涉及多種實現方案,如
a. 把所有需要解綁定的信息都通過協(xié)議消息帶給AN, AN執(zhí)行解綁定操 作,其中也可以如采用圖9中的強制機制,通過字段標識解綁定的信息是否強 制解綁定;
b. 只攜帶部分解綁定的信息,例如只攜帶解綁定的IP地址信息,因為信 息存在相關'性,AN在執(zhí)行的時候同時解綁定相關的信息(例如IP地址"租期就跟IP地址本身強相關);例如,接入節(jié)點設備上可以存儲其進行綁定時的所 有信息,這樣在解綁定時可以通過只攜帶端口和IP地址信息,AN通過查找相 關的其它信息并一起解綁定;
步驟S104、接入節(jié)點設備接收來自IP邊緣設備的相應協(xié)議請求消息后, 解析所接收的消息,并才艮據消息中的內容對相應端口執(zhí)行與其對應的IP地址及 其它信息的解綁定操作;
步驟S106、接入節(jié)點設備在對相應端口執(zhí)行解綁定操作后通過協(xié)議響應 消息給IP邊緣設備回復執(zhí)行結果;與圖9中的綁定操作流程相對應,解綁定回 復響應消息的也存在多種情況
a. 完全解綁定成功,這時回復解綁定成功響應;
b. 在存在強制字賴:機制的情況下,如果強制執(zhí)行的信息解綁定失敗,則 回復解綁定失敗響應,且接入節(jié)點設備不執(zhí)行任何解綁定操作;否則強制執(zhí) 行的信息解綁定成功,則回復解綁定成功響fe,可選地將解綁定不成功的信 息攜帶在所述響應消息中;
c. 在無上述強制執(zhí)行機制的情況下,這時可以有兩個策略, 一、只要解 綁定的信息中存在解綁定失敗的情況,就回復解綁定失敗響應,并可在響應 消息中攜帶哪些解綁定信息不成功;二、如果重要的解綁定信息例如端口、 IP 地址解綁定成功則回復響應成功,但可在消息中帶哪些信息解綁定失?。?br>
另夕卜,當IP邊》彖設備在接收到解綁定失敗的消息或者獲知解綁定成功消息 中攜帶有綁定失敗^f言息后,如果失敗消息中帶有解綁定失敗的具體信息甚至 原因值,貝'JIP邊緣設備可選通過修改或刪除相關信息重新回步驟S102繼續(xù)執(zhí) 行。
需要說明 一點,IP邊緣設備控制接入節(jié)點進行配置解綁定關系的操作和配 置綁定關系的操作的兩個過程各自獨立,不構成必然聯(lián)系,即可以通過IP邊 緣設備使用協(xié)議控制接入節(jié)點設備進行諸如端口 、IP地址及其它信息的解綁定操作,而可不通過IP邊緣設備使用協(xié)議控制接入節(jié)點設備進行相關的綁定,反 之亦然。
IP邊緣設備控制接入節(jié)點設備進行上述的操作,可以采用多種協(xié)議實現,
例如可以采用L2CP、 ANCP、 GSMP、 Diameter、 COPS或者H.248等協(xié)議來實 現,下述以ANCP協(xié)議中所涉及到的報文格式進行說明。
如圖11 13所示,是本發(fā)明實施例中的一種控制協(xié)議(ANCP協(xié)議)報文 格式的示意圖??梢圆捎脠D中的相關線路標識TLV格式來標識協(xié)議請求消息 中的各種信息,例如,可以通過這個線路標識來標識對應的物理端口,邏輯 端口可以另外通過定義新的TLV來表示(例如可以在Value字段中通過第一個 字節(jié)表示是哪種邏輯端口,后面幾個字段表示邏輯端口的具體標識),這里 可以定義一個關于IP地址的TLV: Type = x, Length (up to 63 bytes (或其他 數據))=(4+1 ) *n (表示4+l的整數倍,IPv4)或 (6+1 ) *n (IPv6),
"+l"的這一個字節(jié)用在開始i示下'面是一個IPv4的地址或者是一個IPv6的地 址(具體的標識方法可選,可以通過0表示IPv4, l表示IPv6,其他非法,也可 以通過其他方式表示),具體IP地址可以通過直接堆砌除點以外的數字來表示, IPv4: A.B.C.D表示為ABCD,例如10.70.40.76表示為
的方式中表示具體IP協(xié)議類型的字段也可以不是一個字節(jié),可以是一個位
(bit)或者任意幾個位;另外如果只是為了支持IPv4,那也可以不需要這個
標識IP協(xié)議類型的字段。其它重要信息的TLV可以通過類似的方式規(guī)定,就不
再——描述。另外上面所描述的強制執(zhí)行的機制,在這里可以在每個TLV的
最后或者Value字段的最前面或者其它位置預留一個字段(一個字節(jié)、 一個位
或者其它長度)來標明此TLV是否強制執(zhí)行。
這樣端口及IP地址及其它的信息都可以通過各自的TLV來表示,通過上面
對具體協(xié)議應用的才各式,再加上前文中對流程的描述,IP邊緣設備可以通過上
述的Line Configuration消息中攜帶端口及要綁定或'解綁;T的IP地址標識及其
6類似。這里用來表示地址它信息的若干個TLV給接入節(jié)點設備,接入節(jié)點設備解析其中的相應信息,
即按前述流程中的過程進行綁定或者解綁定梯:作。
另外也可以直接定義一個直接與綁定解綁定相關的TLV,例如TLV: Type =y, Length (upto 63bytes (或其他數據)),Value中第一個字節(jié)或位表示 是綁定或解綁定,后面可以嵌入TLV或如同TLV這樣的方式,通過類型標識綁 定的信息類型,長度表示這個信息占用的字節(jié)長度,后面的具體內容標識具 體的需要綁定的信息。這樣就可以直接通過這一個TLV來做綁定或解綁定的 操作。綁定操作和解綁定操作的相應信息也可以分開分別兩個TLV來表示。
另外IP邊緣設備對接入節(jié)點設備進行諸如配置端口 、 IP地址及其它信息的 綁定關系或解綁定關系還可以通過Diameter或者COPS或者H.248等協(xié)議來實 現。
Diameter協(xié)議通過現有的可以刑用的命令或定義新的命令,在通過現有或 定義新的綁定解綁定相關的AVP來實現綁定解綁定操作,定義新的策略下發(fā) 的AVP來實現策略下發(fā),關于命令及AVP的定義不再詳細敘述。COPS協(xié)議的 實現與Diameter協(xié)-漢的實現類似。H.248協(xié)議的實現方式可以通過4巴端口等 同為協(xié)議中規(guī)定的終結點,圍繞端口這個終結點來執(zhí)行綁定解綁定操作及策 略下發(fā)操作,具體方法也不再詳細敘述。
通過上面兩節(jié)中的機制控制實現后,通過在接入節(jié)點設備上實現端口、 IP 地址及其它信息的綁定或解綁定,接入節(jié)點設備上相應的端口可以通過三層、 二層及其它的感知來啦支過濾,只允許綁定的相關IP地址作為源地址或目的地址 的報文通過,或者只允許綁定的MAC地址的報文通過。這樣帶來的好處有
1、進行報文過濾,實現一定的防火墻的功能,防止用戶側的終端發(fā)送非 法的報文到網絡中(即防止用戶的IP地址欺騙), 一定程度上不需要IP邊緣設 備進行非法報文的過濾工作,減輕了IP邊緣設備的負擔;2、在接入節(jié)點設 備側實現了IP地址的隔離,對于網絡側,終端只顯^綁'定的IP地址,這在動態(tài)分配IP地址的場景下,可以防止終端強占IP地址。3、通過綁定^幾制的策略下 發(fā),IP邊緣設備可以將與接入節(jié)點設備的端口及IP地址等強相關的配置策略信 息與其他配置操作信息在一次消息中同時發(fā)送給接入節(jié)點設備,提高了處理 效率。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本 發(fā)明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在 本發(fā)明的保護范圍之內。
權利要求
1、一種IP邊緣設備,連接有接入節(jié)點設備,其特征在于,所述IP邊緣設備至少包括觸發(fā)單元,用于檢測配置觸發(fā)事件;配置命令生成單元,在所述觸發(fā)單元獲知配置觸發(fā)事件時,生成與所述配置觸發(fā)事件相應的配置命令,所述配置命令中至少包括操作對象信息或/及配置策略信息;配置命令下發(fā)單元,用于將所述配置命令傳送給所述接入節(jié)點設備。
2、 如權利要求1所述的IP邊緣設備,其特征在于,進一步包括 響應接收單元,用于獲得來自接入節(jié)點設備的執(zhí)行所述配置命令的結果響應信息,所述結果響應信息用于提供給配置命令生成單元以修改配置命令。
3、 如權利要求2所述的IP邊緣設備,其特征在于,所述配置命令生成單 元具體包括綁定關系配置單元,用于生成綁定操作命令,以配置所述操作對象間的 綁定關系,所述操作對象至少包括有接入節(jié)點設備的目標端口信息及需要與 所述目標端口進行綁定的對象信息,所述對象信息為終端設備的IP地址、 MAC信息及VLAN信息中的至少一種;或/及策略配置單元,用于為所述目標端口或與其綁定的操作對象確定配置策 略,所述操作對象的配置策略包括配置綁定IP地址的帶寬、配置IP地址的租 期時間及配置所述目標端口的綁定有效時間中至少一種。
4、 如權利要求2所述的IP邊緣設備,其特征在于,所述配置命令生成單 元還包括解綁定關系配置單元,用于生成解綁定操作命令,以配置所述操作對象間的解綁定關系,所述操作對象至少包括有接入節(jié)點設備的目標端口信息及 需要與所述目標端口進行解綁定的對象信息,所述對象信息為終端設備的IP地址、MAC信息及VLAN信息中的至少一種。
5、 如權利要求1至4任一項所述的IP邊緣設備,其特征在于,所述配置 命令下發(fā)單元傳送所述配置命令的通信協(xié)議為L2CP、 ANCP、 GSMP、 Diameter、 COPS或H.248協(xié)i義。
6、 一種接入節(jié)點設備,其特征在于,至少包括配置命令獲取單元,獲得來自IP邊緣設備的至少包括所述接入節(jié)點設備 的端口信息的操作對象或/及配置策略信息的配置命令;配置命令執(zhí)行單元,對所述至少包括所述接入節(jié)點設備的端口信息的操 作對象進行配置操作;執(zhí)行結果響應單元,將所述配置命令執(zhí)行單元的執(zhí)行結果,響應至所述 IP邊緣設備。
7、 如權利要求6所述的接入節(jié)點設備,其特征在于,所述配置命令執(zhí)行 單元具體包括綁定操作命令執(zhí)行單元,才艮據配置命令單元所獲取的配置命令,配置所 述操作對象間的綁定關系,所述操作對象至少包括有接入節(jié)點設備的目標端 口信息及需要與所述目標端口進行綁定的對象信息,所述對象信息為終端設 備的IP地址、MAC信息及VLAN信息中的至少 一種;或/及策略執(zhí)行單元,才艮據所述配置命令中的配置策略信息,為所述至少包括 有接入節(jié)點設備的目標端口信息的操作對象配置策略,包括配置綁定IP地址 的帶寬、配置IP地址的租期時間及配置所述目標端口的綁定有效時間中至少 一個。
8、 如權利要求6所述的接入節(jié)點設備,其特征在于,所述配置命令執(zhí)行 單元具體包括解綁定操作命令執(zhí)行單元,根據配置命令單元所獲取的配置命令,配置 所述操作對象間的解綁定關系,所述操作對象至少包括有接入節(jié)點設備的目 標端口信息及需要與所述目標端口進行解綁定的對象信息,所述對象信息為 終端設備的IP地址、MAC信息及VLAN信息中的至少一種。
9、 一種網絡系統(tǒng),包括接入節(jié)點設備及與所述接入節(jié)點設備通信的IP 邊緣設備,其特征在于,所述IP邊緣i殳備,用于在獲知配置觸發(fā)事件時,生成與所述配置觸發(fā)事 件相應的配置命令,并將所述配置命令傳送至接入節(jié)點設備,所述配置命令 中至少包括4喿作il"象信息或/及配置策略信息;'所述接入節(jié)點設備,用于解析并獲得來自IP邊緣設備的配置命令,對所 述至少包括所述接入節(jié)點設備的端口信息的操作對象進行配置操作,并將所 述配置執(zhí)行結果,響應至IP邊緣設備。
10、 如權利要求9所述的網絡系統(tǒng),其特征在于,所述配置命令為綁定 操作命令、解綁定4喿作命令或策略配置命令,所述策略配置命令為配置綁定 IP地址的帶寬、配置IP地址的^L期時間及配置所述目標端口的綁定有效時間 中至少一個。
11、 一種接入網的控制方法,其特征在于,包括IP邊緣設備4艮據所獲知的配置觸發(fā)事件,生成對應的配置命令,所述配 置命令中至少包括操作對象信息或/及配置策略信息; 將所述配置命令傳送給接入節(jié)點設備。
12、 如權利要求11所述的控制方法,其特征在于,進一步包括 獲得來自接入節(jié)點設備的執(zhí)行所述配置命令的結果響應信息,并根據所述結果響應信息修改所述配置命令;將修改后的配置命令發(fā)送給接入節(jié)點設備。
13、 如權利要求11或12所述的控制方法,其特征在于,所述生成配置 命令的步驟具體包括生成用于配置所述操作對象間的綁定關系的綁定操作命令,所述操作對 象至少包括有接入節(jié)點設備的目標端口信息及需要與所述目標端口進行綁定 的對象信息,所述對象信息為終端設備的IP地址、MAC信息及VLAN信息 中的至少一種;或/及為所述目標端口或與其綁定的操作對象確定配置策略,所述操作對象的 配置策略包括配置綁定IP地址的帶寬、配置IP地址的租期時間及配置所述目 標端口的綁定有效時間中至少一個。
14、 如權利要求11或12所述的控制方法,其特征在于,所述生成配置 命令的步驟具體包括生成配置所述4喿作對象間的解綁定關系解綁定操作命令,所述操作對象 至少包括有接入節(jié)點設備的目標端口信息及需要與所述目標端口進行解綁定 的對象信息,所述對象信息為終端設備的IP地址、MAC信息及VLAN信息 中的至少一種。
15、 一種接入網的控制方法,其特征在于,包括接入節(jié)點設備獲得來自IP邊緣設備的至少包括所述接入節(jié)點設備的端口信息的操作對象或/及配置策略信息的配置命令;執(zhí)行所述配置命令,對所述至少包括所述接入節(jié)點設備的端口信息的操作對象進行配置操作;將所述配置命令執(zhí)行單元的執(zhí)行結果,響應至所述IP邊緣設備。
16、 如權利要求15所述的控制方法,其特征在于,所述執(zhí)行所述配置命 令的步驟具體包括配置所述操作對象間的綁定關系,所述操作對象至少包括有接入節(jié)點設 備的目標端口信息及需要與所述目標端口進行綁定的對象信息,所述對象信 息為終端設備的IP地址、MAC信息及VLAN信息中的至少一種;或/及才艮據所述配置命令中的配置策略信息,為所述至少包括有接入節(jié)點設備 的目標端口信息的操作對象配置策略,包括配置綁定IP地址的帶寬、配置IP 地址的租期時間及配置所述目標端口的綁定有效時間中至少一個。
17、 如權利要求15所述的控制方法,其特征在于,所述執(zhí)行所述配置命 令的步驟具體包括配置所述操作對象間的解綁定關系,所述操作對象至少包括有接入節(jié)點 設備的目標端口信息及需要與所述目標端口進行解綁定的對象信息,所述對 象信息為終端設備的IP地址、MAC信息及VLAN信息中的至少一種。
全文摘要
本發(fā)明公開了一種網絡系統(tǒng),包括接入節(jié)點設備和IP邊緣設備,所述IP邊緣設備將生成配置命令傳送至接入節(jié)點設備,所述配置命令中至少包括操作對象信息或/及配置策略信息;所述接入節(jié)點設備,根據來自IP邊緣設備的配置命令進行相應配置操作,包括綁定操作(如端口與IP地址的綁定)、解綁定操作(如端口與IP地址的解綁定)或策略配置操作。本發(fā)明還公開了相應網絡系統(tǒng)中的IP邊緣設備、接入節(jié)點設備及控制方法。本發(fā)明可實現IP邊緣設備根據協(xié)議控制接入節(jié)點設備自動進行相應的配置操作。
文檔編號H04L12/24GK101309197SQ20071002807
公開日2008年11月19日 申請日期2007年5月18日 優(yōu)先權日2007年5月18日
發(fā)明者李宏宇, 稻 潘, 陽振庭 申請人:華為技術有限公司