專利名稱:一種服務(wù)質(zhì)量管理方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種服務(wù)質(zhì)量管理方法及裝置。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)影響的擴(kuò)大,企業(yè)網(wǎng)絡(luò)中的接入用戶的身份管理變得日益重要。通過接入用戶的身份管理,企業(yè)員工、合作伙伴等合法用戶可以正常訪問企業(yè)的各種資源,非法用戶被拒之門外。通常,企業(yè)網(wǎng)絡(luò)可以采用802. lx認(rèn)證或Portal (入口 )認(rèn)證來實(shí)現(xiàn)對接入用戶的身份認(rèn)證和管理。 其中,802. lx認(rèn)證基于端口或者M(jìn)AC(Media Access Control,媒體訪問控制)地址,是一種二層認(rèn)證協(xié)議?;?02. 1X認(rèn)證接入的用戶身份認(rèn)證流程,具體包括當(dāng)用戶有訪問網(wǎng)絡(luò)需求時,打開802. lx客戶端程序,輸入已經(jīng)申請、登記過的用戶名和密碼,發(fā)起連接請求(EAP0L-Start報文),客戶端程序?qū)l(fā)出請求認(rèn)證的報文給設(shè)備端;設(shè)備端收到請求認(rèn)證的數(shù)據(jù)幀后,發(fā)出 一個請求幀(EAP-Request/Identity報文),要求用戶的客戶端程序發(fā)送輸入的用戶名;客戶端程序響應(yīng)設(shè)備端發(fā)出的請求,將用戶名信息通過數(shù)據(jù)幀(EAP-Response/Identity報文)發(fā)送給設(shè)備端,設(shè)備端將客戶端發(fā)送的數(shù)據(jù)幀經(jīng)過封包處理后(RADIUS Access-Request報文)送給認(rèn)證服務(wù)器進(jìn)行處理;RADIUS (Remote Authentication Dial In User Service,遠(yuǎn)程用戶撥號認(rèn)證)月艮務(wù)器收到設(shè)備端轉(zhuǎn)發(fā)的用戶名信息后,將該信息與數(shù)據(jù)庫中的用戶名表對比,找到該用戶名對應(yīng)的密碼信息,用隨機(jī)生成的一個加密字對用戶名信息進(jìn)行加密處理,同時也將該加密字通過RADIUS Access-Challenge報文發(fā)送給設(shè)備端,由設(shè)備端轉(zhuǎn)發(fā)給客戶端程序;客戶端程序收到由設(shè)備端傳來的加密字(EAP-Request/MD5 Challenge報文)后,用該加密字對密碼部分進(jìn)行加密處理(該加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge報文),并通過設(shè)備端傳給認(rèn)證服務(wù)器;RADIUS服務(wù)器將收到的已加密的密碼信息(RADIUSAccess-Request報文)和本地經(jīng)過加密運(yùn)算后的密碼信息進(jìn)行對比,如果相同,則認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過的消息(RADIUSAccess-Acc印t報文和EAP-Success報文);設(shè)備收到認(rèn)證通過消息后將端口改為授權(quán)狀態(tài),允許用戶通過端口訪問網(wǎng)絡(luò),在此期間,設(shè)備端會通過向客戶端定期發(fā)送握手報文的方法,對用戶的在線情況進(jìn)行監(jiān)測,缺省情況下,如果兩次握手請求報文都得不到客戶端應(yīng)答,設(shè)備端就會讓用戶下線,防止用戶因?yàn)楫惓T蛳戮€而設(shè)備無法感知;客戶端也可以發(fā)送EAPOL-Logoff報文給設(shè)備端,主動要求下線,設(shè)備端把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài),并向客戶端發(fā)送EAP-Failure報文。上述流程中,基于802. lx的用戶身份認(rèn)證的控制點(diǎn)是啟動了 802. lx認(rèn)證的接入層交換機(jī),相關(guān)的策略交互是在AAA服務(wù)器和接入交換機(jī)上完成。 Portal認(rèn)證是一個三層協(xié)議,未認(rèn)證用戶上網(wǎng)時,設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn),用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時,必須在門戶網(wǎng)站進(jìn)行認(rèn)證,只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。用戶可以主動訪問已知的Portal認(rèn)證網(wǎng)站,輸入用戶名和密碼進(jìn)行認(rèn)證,該方式稱作主動認(rèn)證;如果用戶試圖通過HTTP訪問其他外網(wǎng),將被強(qiáng)制訪問Portal認(rèn)證網(wǎng)站,從而開始Portal認(rèn)證過程,該方式稱作強(qiáng)制認(rèn)證。
Portal框架主要由五個基本要素組成認(rèn)證客戶端、接入設(shè)備、Portal服務(wù)器、認(rèn)證/計(jì)費(fèi)服務(wù)器和安全策略服務(wù)器。Portal認(rèn)證流程具體包括Portal用戶通過HTTP協(xié)議發(fā)起認(rèn)證請求,HTTP報文經(jīng)過接入設(shè)備時,對于訪問Portal服務(wù)器或設(shè)定的免費(fèi)訪問地址的HTTP報文,接入設(shè)備允許其通過;對于訪問其它地址的HTTP報文,接入設(shè)備將其重定向到Portal服務(wù)器。Portal服務(wù)器提供Web頁面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。Portal月艮務(wù)器與接入設(shè)備之間進(jìn)行CHAP (Challenge Handshake AuthenticationProtocol,質(zhì)詢握手驗(yàn)證協(xié)議)認(rèn)證交互。若采用PAP (Password AuthenticationProtocol,密碼驗(yàn)證協(xié)議)認(rèn)證則直接進(jìn)入下一步驟。Portal服務(wù)器將用戶輸入的用戶名和密碼組裝成認(rèn)證請求報文發(fā)往接入設(shè)備,同時開啟定時器等待認(rèn)證應(yīng)答報文。接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報文的交互。接入設(shè)備向Portal服務(wù)器發(fā)送認(rèn)證應(yīng)答報文。Portal服務(wù)器向客戶端發(fā)送認(rèn)證通過報文,通知客戶端認(rèn)證(上線)成功。Portal服務(wù)器向接入設(shè)備發(fā)送認(rèn)證應(yīng)答確認(rèn)??蛻舳撕桶踩呗苑?wù)器之間進(jìn)行安全信息交互。安全策略服務(wù)器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作系統(tǒng)補(bǔ)丁等。安全策略服務(wù)器根據(jù)用戶的安全性授權(quán)用戶訪問非受限資源,授權(quán)信息保存到接入設(shè)備中,接入設(shè)備將使用該信息控制用戶的訪問。上述認(rèn)證過程中,Portal認(rèn)證是一個三層的認(rèn)證過程,實(shí)際部署中往往部署在企業(yè)的出口處,例如路由器、高端交換機(jī)等,部署的控制點(diǎn)較高,因此在用戶認(rèn)證之前仍然可以訪問企業(yè)局域網(wǎng)中的各種資源。 上述分析的802. lx方案和Portal方案都可以實(shí)現(xiàn)網(wǎng)絡(luò)接入用戶的身份認(rèn)證功能,同時通過RADIUS屬性向認(rèn)證設(shè)備下發(fā)Q0S等流量、帶寬策略,然而在實(shí)際應(yīng)用中,局域網(wǎng)的帶寬基本是100M以上,因此局域網(wǎng)內(nèi)部對流量的控制并不迫切。另一方面,企業(yè)通過路由器等網(wǎng)關(guān)接入Internet,其帶寬往往在2M 5M左右,帶寬瓶頸十分明顯,因此必須針對用戶進(jìn)行級別不同的帶寬控制。針對企業(yè)的上述需求,采用802. lx認(rèn)證可以在網(wǎng)絡(luò)接入層對網(wǎng)絡(luò)用戶進(jìn)行身份認(rèn)證,通過RADIUS的標(biāo)準(zhǔn)屬性Filter-Id向接入交換機(jī)下發(fā)QoS的標(biāo)識,如果Filter-Id是數(shù)字,則匹配接入交換機(jī)上配置的ACL ;如果Filter-Id是字符串中,則匹配QoS Profile,可以保證用戶接入企業(yè)網(wǎng)絡(luò)即可進(jìn)行認(rèn)證,保證任何一個接入用戶都是合法的,但是QoS只能下發(fā)到接入交換機(jī),控制局域網(wǎng)的流量沒有任何實(shí)際意義。
網(wǎng)絡(luò)也可以采用Portal認(rèn)證時,由于Portal協(xié)議是三層認(rèn)證,因此認(rèn)證點(diǎn)必須部署在用戶流量經(jīng)過的且是三層設(shè)備上,通常是網(wǎng)關(guān)或者Internet出口路由器上,該方案也可以下發(fā)QoS標(biāo)識,下發(fā)方式與上述RADIUS屬性方式相同,因此,QoS只能下發(fā)在網(wǎng)關(guān)或者Internet出口路由器,由于認(rèn)證部署位置較高,終端用戶接入網(wǎng)絡(luò)可以隨意訪問網(wǎng)絡(luò)中的資源而不需要認(rèn)證。
發(fā)明內(nèi)容
本發(fā)明提供了一種服務(wù)質(zhì)量管理方法及裝置,用于實(shí)現(xiàn)對認(rèn)證用戶的服務(wù)質(zhì)量管理。 本發(fā)明提供了一種服務(wù)質(zhì)量管理方法,應(yīng)用于包括網(wǎng)絡(luò)管理設(shè)備、接入設(shè)備、代理客戶端和服務(wù)器的網(wǎng)絡(luò)系統(tǒng)中,包括以下步驟
所述網(wǎng)絡(luò)管理設(shè)備接收來自所述接入設(shè)備的遠(yuǎn)程用戶撥號認(rèn)證RADIUS報文,所述RADIUS報文中攜帶所述代理客戶端對應(yīng)的用戶名稱和密碼; 所述網(wǎng)絡(luò)管理設(shè)備對所述RADIUS報文中攜帶的用戶名稱和密碼進(jìn)行認(rèn)證,在認(rèn)證通過后,通知所述接入設(shè)備打開所述代理客戶端對應(yīng)的物理端口或者邏輯端口 ,允許代理客戶端接入網(wǎng)絡(luò),并對所述代理客戶端對應(yīng)的指定用戶開啟服務(wù)質(zhì)量QoS策略,使通過認(rèn)證后的用戶能夠訪問所述服務(wù)器或者因特網(wǎng)。 優(yōu)選地,所述網(wǎng)絡(luò)管理設(shè)備接收來自接入設(shè)備的RADIUS報文之前,還包括
所述代理客戶端獲取用戶輸入的用戶名稱和密碼,將所述用戶名稱和密碼發(fā)送到所述接入設(shè)備,向所述接入設(shè)備發(fā)起Dotlx認(rèn)證; 所述接入設(shè)備將所述用戶名稱和密碼封裝成RADIUS報文,并將所述RADIUS報文
發(fā)送到所述網(wǎng)絡(luò)管理設(shè)備。 優(yōu)選地,所述的方法,還包括 所述網(wǎng)絡(luò)管理設(shè)備啟動802. lx認(rèn)證,通過擴(kuò)展的集群協(xié)議將配置信息封裝到集群報文中,并將所述集群報文下發(fā)到所述接入設(shè)備; 所述接入設(shè)備接收來自所述網(wǎng)絡(luò)管理設(shè)備的集群報文,根據(jù)所述集群報文中的配置信息進(jìn)行配置。 優(yōu)選地,所述網(wǎng)絡(luò)管理設(shè)備對所述RADIUS報文中攜帶的用戶名稱和密碼進(jìn)行認(rèn)證,具體包括 所述網(wǎng)絡(luò)管理設(shè)備解析所述RADIUS報文,獲取所述RADIUS報文中的用戶名稱、密
碼和因特網(wǎng)協(xié)議IP地址,根據(jù)所述用戶名稱查找數(shù)據(jù)庫,判斷對所述數(shù)據(jù)庫的查找結(jié)果是
否與所述密碼匹配,如果匹配,則判斷通過認(rèn)證;如果不匹配,則判斷未通過認(rèn)證。 優(yōu)選地,所述網(wǎng)絡(luò)管理設(shè)備對代理客戶端對應(yīng)的指定用戶開啟QoS策略,具體包
括 所述網(wǎng)絡(luò)管理設(shè)備根據(jù)所述用戶名稱查詢數(shù)據(jù),獲取預(yù)置的服務(wù)質(zhì)量策略,并將所述服務(wù)質(zhì)量策略應(yīng)用到所述用戶名稱對應(yīng)的IP地址。 本發(fā)明還提供了一種服務(wù)質(zhì)量管理裝置,應(yīng)用于包括網(wǎng)絡(luò)管理設(shè)備、接入設(shè)備、代理客戶端和服務(wù)器的網(wǎng)絡(luò)系統(tǒng)中,所述裝置包括收發(fā)模塊、認(rèn)證模塊和管理模塊, 所述收發(fā)模塊,用于接收來自所述接入設(shè)備的RADIUS報文,所述RADIUS報文中攜帶所述代理客戶端對應(yīng)的用戶名稱和密碼;在所述認(rèn)證模塊認(rèn)證通過所述RADIUS報文后,通知所述接入設(shè)備打開所述代理客戶端對應(yīng)的物理端口或者邏輯端口 ,允許代理客戶端接入網(wǎng)絡(luò); 所述認(rèn)證模塊,用于對所述收發(fā)模塊接收到的RADIUS報文中攜帶的用戶名稱和密碼進(jìn)行認(rèn)證; 所述管理模塊,用于在所述認(rèn)證模塊認(rèn)證通過后,對所述代理客戶端對應(yīng)的指定
用戶開啟QoS策略,使通過認(rèn)證后的用戶能夠訪問所述服務(wù)器或者因特網(wǎng)。 優(yōu)選地,所述收發(fā)模塊,還用于啟動802. lx認(rèn)證,通過擴(kuò)展的集群協(xié)議將配置信
息封裝到集群報文中,并將所述集群報文下發(fā)到所述接入設(shè)備,使所述接入設(shè)備根據(jù)所述
集群報文中的配置信息進(jìn)行配置。 優(yōu)選地,所述收發(fā)模塊,還用于解析所述RADIUS報文,獲取所述RADIUS報文中的用戶名稱、密碼和IP地址,并將所述用戶名稱、密碼和IP地址發(fā)送到所述認(rèn)證模塊。 優(yōu)選地,所述認(rèn)證模塊,具體用于根據(jù)所述用戶名稱查找數(shù)據(jù)庫,判斷對所述數(shù)據(jù)
庫的查找結(jié)果是否與所述密碼匹配,如果匹配,則判斷通過認(rèn)證,將所述用戶名稱和所述IP
地址發(fā)送到所述收發(fā)模塊和所述管理模塊;如果不匹配,則判斷未通過認(rèn)證。 優(yōu)選地,所述管理模塊,具體用于根據(jù)所述用戶名稱查詢數(shù)據(jù),獲取預(yù)置的服務(wù)質(zhì)
量策略,并將所述服務(wù)質(zhì)量策略應(yīng)用到所述用戶名稱對應(yīng)的IP地址。 與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn) 本發(fā)明通過在接入層部署802. lx認(rèn)證,在網(wǎng)絡(luò)管理設(shè)備上針對認(rèn)證用戶執(zhí)行預(yù)置的QoS帶寬管理策略,能夠保證用戶合法接入企業(yè)局域網(wǎng)的同時,聯(lián)動網(wǎng)絡(luò)管理設(shè)備針對該接入用戶下發(fā)不同QoS,保證不同用戶具有不同的帶寬利用率和網(wǎng)絡(luò)使用體驗(yàn),能夠在接入層控制網(wǎng)絡(luò)接入用戶的認(rèn)證的同時,在Internet出口處控制該用戶帶寬,從而實(shí)現(xiàn)局域網(wǎng)內(nèi)部和Internet出口處的帶寬管理和優(yōu)化。
圖1為本發(fā)明中的一種服務(wù)質(zhì)量管理方法流程 圖2為本發(fā)明應(yīng)用場景中的服務(wù)質(zhì)量管理流程 圖3為本發(fā)明應(yīng)用場景中的服務(wù)質(zhì)量管理裝置結(jié)構(gòu)示意圖。
具體實(shí)施例方式
本發(fā)明提供的技術(shù)方案中,其核心思想為將RADIUS認(rèn)證服務(wù)器集成在網(wǎng)絡(luò)管理設(shè)備中,通過集群協(xié)議自動協(xié)商802. lx和RADIUS的參數(shù)并進(jìn)行自動配置,實(shí)現(xiàn)基于802. lx用戶認(rèn)證的簡易部署。通過在接入層部署802. lx認(rèn)證,在網(wǎng)絡(luò)管理設(shè)備上針對認(rèn)證用戶執(zhí)行預(yù)置的QoS帶寬管理策略,能夠保證用戶合法接入企業(yè)局域網(wǎng)的同時,聯(lián)動網(wǎng)絡(luò)管理設(shè)備針對該接入用戶下發(fā)不同QoS,保證不同用戶具有不同的帶寬利用率和網(wǎng)絡(luò)使用體驗(yàn)。
其中,集群協(xié)議應(yīng)用于網(wǎng)絡(luò)設(shè)備的集群中,用于解決大量分散的網(wǎng)絡(luò)設(shè)備的集中管理問題。上述集群中包括管理設(shè)備、成員設(shè)備和候選設(shè)備,其中,管理設(shè)備通過發(fā)送集群報文對集群內(nèi)部的設(shè)備進(jìn)行配置和管理,包括拓?fù)涫占约凹旱慕⒑途S護(hù)。集群報文限制在集群通訊所使用的管理VLAN內(nèi),以實(shí)現(xiàn)與其他報文的隔離,增強(qiáng)安全性。集群中的管理設(shè)備和成員設(shè)備通過管理VLAN實(shí)現(xiàn)內(nèi)部通訊。 下面將結(jié)合本發(fā)明中的附圖,對本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述。如圖1
所示,為本發(fā)明中的一種服務(wù)質(zhì)量管理方法流程圖,應(yīng)用于包括網(wǎng)絡(luò)管理設(shè)備、接入設(shè)備、代理客戶端和服務(wù)器的網(wǎng)絡(luò)系統(tǒng)中,該方法包括以下步驟 步驟101,網(wǎng)絡(luò)管理設(shè)備接收來自接入設(shè)備的RADIUS報文,該RADIUS報文中攜帶代理客戶端對應(yīng)的用戶名稱和密碼。 步驟102,網(wǎng)絡(luò)管理設(shè)備對RADIUS報文中攜帶的用戶名稱和密碼進(jìn)行認(rèn)證,在認(rèn)證通過后,通知接入設(shè)備打開代理客戶端對應(yīng)的物理端口或者邏輯端口 ,允許代理客戶端接入網(wǎng)絡(luò),并對代理客戶端對應(yīng)的指定用戶開啟QoS策略,使通過認(rèn)證后的用戶能夠訪問服務(wù)器或者因特網(wǎng)。 以下結(jié)合應(yīng)用場景,對本發(fā)明中的服務(wù)質(zhì)量管理方法進(jìn)行詳細(xì)、具體的描述。如圖2所示,為本發(fā)明應(yīng)用場景中的服務(wù)質(zhì)量管理流程圖,具體包括以下步驟 步驟201,網(wǎng)絡(luò)管理員通過WEB登錄到網(wǎng)絡(luò)管理設(shè)備,在網(wǎng)絡(luò)管理設(shè)備上啟動
802. lx認(rèn)證。 具體地,網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)管理設(shè)備上啟動成員設(shè)備的802. lx認(rèn)證,圖形化配置 802. lx認(rèn)證,指明啟動802. lx認(rèn)證的端口或全局啟動802. lx認(rèn)證。網(wǎng)絡(luò)管理設(shè)備內(nèi)嵌 RADIUS認(rèn)證服務(wù)器,具有內(nèi)嵌式用戶管理功能,可以為路由器或匯聚層交換機(jī)。其中,匯聚 交換機(jī)通常鏈接服務(wù)器等設(shè)備,路由器通常作為Internet的出口 ,網(wǎng)絡(luò)位置均較高,是執(zhí) 行QoS策略的理想設(shè)備。 步驟202,網(wǎng)絡(luò)管理設(shè)備通過擴(kuò)展的集群協(xié)議將配置信息封裝到集群報文中,并將 該集群報文下發(fā)到接入設(shè)備。 其中,接入設(shè)備可以為接入交換機(jī),配置信息包括RADIUS參數(shù)和控制命令等信 息。 步驟203,接入設(shè)備接收來自網(wǎng)絡(luò)管理設(shè)備的集群報文,根據(jù)該集群報文中的配置 信息進(jìn)行配置。 具體地,接入設(shè)備可以向網(wǎng)絡(luò)管理設(shè)備查詢802. lx配置參數(shù),該配置參數(shù)包括認(rèn) 證IP地址、端口號、加密字等。接入設(shè)備接收到來自網(wǎng)絡(luò)管理設(shè)備的RADIUS參數(shù),并根據(jù) 該RADIUS參數(shù)自行完成配置,同時執(zhí)行控制報文中的控制命令,例如,打開端口的802. lx 認(rèn)證和啟動802. lx握手等。 步驟204,用戶通過代理客戶端上安裝的認(rèn)證代理軟件進(jìn)行802. lx認(rèn)證,在代理
客戶端輸入用戶名稱和密碼,通過代理客戶端向接入設(shè)備發(fā)起Dotlx認(rèn)證。 步驟205,接入設(shè)備將用戶名稱和密碼等信息封裝成RADIUS報文,并將該RADIUS
報文發(fā)送到網(wǎng)絡(luò)管理設(shè)備。 步驟206,網(wǎng)絡(luò)管理設(shè)備對用戶名稱和密碼進(jìn)行認(rèn)證,在認(rèn)證通過后,通過RADIUS 報文通知接入設(shè)備打開代理客戶端對應(yīng)的物理端口或者邏輯端口 ,允許代理客戶端接入網(wǎng) 絡(luò)。 具體地,網(wǎng)絡(luò)管理設(shè)備解析接收到的RADIUS報文,獲取該RADIUS報文中的用戶名 稱、密碼和IP地址,根據(jù)該用戶名稱查找數(shù)據(jù)庫,判斷對該數(shù)據(jù)庫的查找結(jié)果是否與密碼 匹配,如果匹配,則判斷通過認(rèn)證;如果不匹配,則判斷未通過認(rèn)證。 步驟207,網(wǎng)絡(luò)管理設(shè)備對代理客戶端對應(yīng)的指定用戶開啟QoS策略,使通過認(rèn)證 后的用戶能夠訪問服務(wù)器或者Internet 。 具體地,網(wǎng)絡(luò)管理設(shè)備根據(jù)用戶名稱查詢數(shù)據(jù),獲取預(yù)置的服務(wù)質(zhì)量策略,并將該 服務(wù)質(zhì)量策略應(yīng)用到該用戶名稱對應(yīng)的IP地址。 需要說明的是,本發(fā)明方法可以根據(jù)實(shí)際需要對各個步驟順序進(jìn)行調(diào)整。 本發(fā)明基于802. lx認(rèn)證管理方案,通過在接入層部署802. lx認(rèn)證,在網(wǎng)絡(luò)管理設(shè)
備上針對認(rèn)證用戶執(zhí)行預(yù)置的QoS帶寬管理策略,能夠保證用戶合法接入企業(yè)局域網(wǎng)的同
時,聯(lián)動網(wǎng)絡(luò)管理設(shè)備針對該接入用戶下發(fā)不同QoS,保證不同用戶具有不同的帶寬利用率
和網(wǎng)絡(luò)使用體驗(yàn),能夠在接入層控制網(wǎng)絡(luò)接入用戶的認(rèn)證的同時,在Internet出口處控制
該用戶帶寬,從而實(shí)現(xiàn)局域網(wǎng)內(nèi)部和Internet出口處的帶寬管理和優(yōu)化。 本發(fā)明在上述實(shí)施方式中提供了服務(wù)質(zhì)量管理的方法和應(yīng)用場景,相應(yīng)地,本發(fā)明還提供了應(yīng)用上述服務(wù)質(zhì)量管理的方法的裝置。 如圖3所示,為本發(fā)明應(yīng)用場景中的服務(wù)質(zhì)量管理裝置結(jié)構(gòu)示意圖,應(yīng)用于包括 網(wǎng)絡(luò)管理設(shè)備、接入設(shè)備、代理客戶端和服務(wù)器的網(wǎng)絡(luò)系統(tǒng)中,該裝置包括收發(fā)模塊310、認(rèn) 證模塊320和管理模塊330,其中, 收發(fā)模塊310,用于接收來自所述接入設(shè)備的RADIUS報文,所述RADIUS報文中攜 帶所述代理客戶端對應(yīng)的用戶名稱和密碼;在所述認(rèn)證模塊320認(rèn)證通過所述RADIUS報文 后,通知所述接入設(shè)備打開所述代理客戶端對應(yīng)的物理端口或者邏輯端口 ,允許代理客戶 端接入網(wǎng)絡(luò)。 上述收發(fā)模塊310,還用于啟動802. lx認(rèn)證,通過擴(kuò)展的集群協(xié)議將配置信息封 裝到集群報文中,并將所述集群報文下發(fā)到所述接入設(shè)備,使所述接入設(shè)備根據(jù)所述集群 報文中的配置信息進(jìn)行配置。 上述收發(fā)模塊310,還用于解析所述RADIUS報文,獲取所述RADIUS報文中的用戶 名稱、密碼和IP地址,并將所述用戶名稱、密碼和IP地址發(fā)送到所述認(rèn)證模塊320。
認(rèn)證模塊320,用于對收發(fā)模塊310接收到的RADIUS報文中攜帶的用戶名稱和密 碼進(jìn)行認(rèn)證。 上述認(rèn)證模塊320,具體用于根據(jù)所述用戶名稱查找數(shù)據(jù)庫,判斷對所述數(shù)據(jù)庫的
查找結(jié)果是否與所述密碼匹配,如果匹配,則判斷通過認(rèn)證,將所述用戶名稱和所述IP地
址發(fā)送到所述收發(fā)模塊310和所述管理模塊330 ;如果不匹配,則判斷未通過認(rèn)證。 管理模塊330,用于在認(rèn)證模塊320認(rèn)證通過后,對所述代理客戶端對應(yīng)的指定用
戶開啟QoS策略,使通過認(rèn)證后的用戶能夠訪問所述服務(wù)器或者因特網(wǎng)。 上述管理模塊330 ,具體用于根據(jù)所述用戶名稱查詢數(shù)據(jù),獲取預(yù)置的服務(wù)質(zhì)量策
略,并將所述服務(wù)質(zhì)量策略應(yīng)用到所述用戶名稱對應(yīng)的IP地址。 本發(fā)明基于802. lx認(rèn)證管理方案,通過在接入層部署802. lx認(rèn)證,在網(wǎng)絡(luò)管理設(shè)
備上針對認(rèn)證用戶執(zhí)行預(yù)置的QoS帶寬管理策略,能夠保證用戶合法接入企業(yè)局域網(wǎng)的同
時,聯(lián)動網(wǎng)絡(luò)管理設(shè)備針對該接入用戶下發(fā)不同QoS,保證不同用戶具有不同的帶寬利用率
和網(wǎng)絡(luò)使用體驗(yàn),能夠在接入層控制網(wǎng)絡(luò)接入用戶的認(rèn)證的同時,在Internet出口處控制
該用戶帶寬,從而實(shí)現(xiàn)局域網(wǎng)內(nèi)部和Internet出口處的帶寬管理和優(yōu)化。 通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助
軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件,但很多情況下前者是更
佳的實(shí)施方式。基于這樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的
部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若
干指令用以使得一臺終端設(shè)備(可以是手機(jī),個人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行
本發(fā)明各個實(shí)施例所述的方法。 以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng) 視本發(fā)明的保護(hù)范圍。
權(quán)利要求
一種服務(wù)質(zhì)量管理方法,應(yīng)用于包括網(wǎng)絡(luò)管理設(shè)備、接入設(shè)備、代理客戶端和服務(wù)器的網(wǎng)絡(luò)系統(tǒng)中,其特征在于,包括以下步驟所述網(wǎng)絡(luò)管理設(shè)備接收來自所述接入設(shè)備的遠(yuǎn)程用戶撥號認(rèn)證RADIUS報文,所述RADIUS報文中攜帶所述代理客戶端對應(yīng)的用戶名稱和密碼;所述網(wǎng)絡(luò)管理設(shè)備對所述RADIUS報文中攜帶的用戶名稱和密碼進(jìn)行認(rèn)證,在認(rèn)證通過后,通知所述接入設(shè)備打開所述代理客戶端對應(yīng)的物理端口或者邏輯端口,允許代理客戶端接入網(wǎng)絡(luò),并對所述代理客戶端對應(yīng)的指定用戶開啟服務(wù)質(zhì)量QoS策略,使通過認(rèn)證后的用戶能夠訪問所述服務(wù)器或者因特網(wǎng)。
2. 如權(quán)利要求l所述的方法,其特征在于,所述網(wǎng)絡(luò)管理設(shè)備接收來自接入設(shè)備的 RADIUS報文之前,還包括所述代理客戶端獲取用戶輸入的用戶名稱和密碼,將所述用戶名稱和密碼發(fā)送到所述 接入設(shè)備,向所述接入設(shè)備發(fā)起Dotlx認(rèn)證;所述接入設(shè)備將所述用戶名稱和密碼封裝成RADIUS報文,并將所述RADIUS報文發(fā)送 到所述網(wǎng)絡(luò)管理設(shè)備。
3. 如權(quán)利要求l所述的方法,其特征在于,還包括所述網(wǎng)絡(luò)管理設(shè)備啟動802. lx認(rèn)證,通過擴(kuò)展的集群協(xié)議將配置信息封裝到集群報 文中,并將所述集群報文下發(fā)到所述接入設(shè)備;所述接入設(shè)備接收來自所述網(wǎng)絡(luò)管理設(shè)備的集群報文,根據(jù)所述集群報文中的配置信 息進(jìn)行配置。
4. 如權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)絡(luò)管理設(shè)備對所述RADIUS報文中攜 帶的用戶名稱和密碼進(jìn)行認(rèn)證,具體包括所述網(wǎng)絡(luò)管理設(shè)備解析所述RADIUS報文,獲取所述RADIUS報文中的用戶名稱、密碼和 因特網(wǎng)協(xié)議IP地址,根據(jù)所述用戶名稱查找數(shù)據(jù)庫,判斷對所述數(shù)據(jù)庫的查找結(jié)果是否與 所述密碼匹配,如果匹配,則判斷通過認(rèn)證;如果不匹配,則判斷未通過認(rèn)證。
5. 如權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)絡(luò)管理設(shè)備對代理客戶端對應(yīng)的指 定用戶開啟QoS策略,具體包括所述網(wǎng)絡(luò)管理設(shè)備根據(jù)所述用戶名稱查詢數(shù)據(jù),獲取預(yù)置的服務(wù)質(zhì)量策略,并將所述 服務(wù)質(zhì)量策略應(yīng)用到所述用戶名稱對應(yīng)的IP地址。
6. —種服務(wù)質(zhì)量管理裝置,應(yīng)用于包括網(wǎng)絡(luò)管理設(shè)備、接入設(shè)備、代理客戶端和服務(wù)器 的網(wǎng)絡(luò)系統(tǒng)中,其特征在于,所述裝置包括收發(fā)模塊、認(rèn)證模塊和管理模塊,所述收發(fā)模塊,用于接收來自所述接入設(shè)備的RADIUS報文,所述RADIUS報文中攜帶所 述代理客戶端對應(yīng)的用戶名稱和密碼;在所述認(rèn)證模塊認(rèn)證通過所述RADIUS報文后,通知 所述接入設(shè)備打開所述代理客戶端對應(yīng)的物理端口或者邏輯端口 ,允許代理客戶端接入網(wǎng) 絡(luò);所述認(rèn)證模塊,用于對所述收發(fā)模塊接收到的RADIUS報文中攜帶的用戶名稱和密碼 進(jìn)行認(rèn)證;所述管理模塊,用于在所述認(rèn)證模塊認(rèn)證通過后,對所述代理客戶端對應(yīng)的指定用戶 開啟QoS策略,使通過認(rèn)證后的用戶能夠訪問所述服務(wù)器或者因特網(wǎng)。
7. 如權(quán)利要求6所述的裝置,其特征在于,所述收發(fā)模塊,還用于啟動802. lx認(rèn)證,通過擴(kuò)展的集群協(xié)議將配置信息封裝到集群 報文中,并將所述集群報文下發(fā)到所述接入設(shè)備,使所述接入設(shè)備根據(jù)所述集群報文中的 配置信息進(jìn)行配置。
8. 如權(quán)利要求6所述的裝置,其特征在于,所述收發(fā)模塊,還用于解析所述RADIUS報文,獲取所述RADIUS報文中的用戶名稱、密 碼和IP地址,并將所述用戶名稱、密碼和IP地址發(fā)送到所述認(rèn)證模塊。
9. 如權(quán)利要求8所述的裝置,其特征在于,所述認(rèn)證模塊,具體用于根據(jù)所述用戶名稱查找數(shù)據(jù)庫,判斷對所述數(shù)據(jù)庫的查找結(jié) 果是否與所述密碼匹配,如果匹配,則判斷通過認(rèn)證,將所述用戶名稱和所述IP地址發(fā)送 到所述收發(fā)模塊和所述管理模塊;如果不匹配,則判斷未通過認(rèn)證。
10. 如權(quán)利要求9所述的裝置,其特征在于,所述管理模塊,具體用于根據(jù)所述用戶名稱查詢數(shù)據(jù),獲取預(yù)置的服務(wù)質(zhì)量策略,并將 所述服務(wù)質(zhì)量策略應(yīng)用到所述用戶名稱對應(yīng)的IP地址。
全文摘要
本發(fā)明公開了一種服務(wù)質(zhì)量管理方法,應(yīng)用于包括網(wǎng)絡(luò)管理設(shè)備、接入設(shè)備、代理客戶端和服務(wù)器的網(wǎng)絡(luò)系統(tǒng)中,包括以下步驟所述網(wǎng)絡(luò)管理設(shè)備接收來自所述接入設(shè)備的遠(yuǎn)程用戶撥號認(rèn)證RADIUS報文,所述RADIUS報文中攜帶所述代理客戶端對應(yīng)的用戶名稱和密碼;所述網(wǎng)絡(luò)管理設(shè)備對所述RADIUS報文中攜帶的用戶名稱和密碼進(jìn)行認(rèn)證,在認(rèn)證通過后,通知所述接入設(shè)備打開所述代理客戶端對應(yīng)的物理端口或者邏輯端口,允許代理客戶端接入網(wǎng)絡(luò),并對所述代理客戶端對應(yīng)的指定用戶開啟服務(wù)質(zhì)量QoS策略,使通過認(rèn)證后的用戶能夠訪問所述服務(wù)器或者因特網(wǎng)。本發(fā)明實(shí)現(xiàn)對認(rèn)證用戶的服務(wù)質(zhì)量管理。本發(fā)明同樣公開了一種應(yīng)用上述方法的裝置。
文檔編號H04L9/32GK101695022SQ20091021042
公開日2010年4月14日 申請日期2009年11月2日 優(yōu)先權(quán)日2009年11月2日
發(fā)明者劉浩 申請人:杭州華三通信技術(shù)有限公司;