專利名稱:以太網(wǎng)接入網(wǎng)中的虛擬局域網(wǎng)接入方法
技術(shù)領(lǐng)域:
本發(fā)明涉及接入網(wǎng)領(lǐng)域�����,更具體的涉及一種采用虛擬局域網(wǎng)(VLAN)接入方式的以太網(wǎng)接入方法��。
所謂接入網(wǎng)是業(yè)務(wù)提供點與最終用戶之間的連接網(wǎng)絡(luò)���。在現(xiàn)有技術(shù)中,業(yè)務(wù)交換機可以通過多種介質(zhì)接入數(shù)據(jù)業(yè)務(wù)�����,其中包括非對稱數(shù)字用戶線(ADSL)����、電纜調(diào)制解調(diào)器和以太網(wǎng)。所謂以太網(wǎng)是采用帶有沖突檢測的載波偵聽多路訪問(CSMA/CD)介質(zhì)訪問控制方法的總線型局域網(wǎng)����。以太網(wǎng)作為一種新興的接入手段,以其廉價高速的特點�,有著廣闊的應(yīng)用前景。在建立以太網(wǎng)接入網(wǎng)絡(luò)時�����,有兩種接入方式可供選擇點對點協(xié)議(PPP)方式和虛擬局域網(wǎng)(VLAN)方式。其中���,VLAN是建立在局域網(wǎng)交換機硬件基礎(chǔ)上的���,通過軟件可以進行配置和管理的,劃分邏輯工作組的方法。VLAN的劃分方式有多種,常用的有兩種按照介質(zhì)訪問控制(MAC)地址劃分和按照局域網(wǎng)交換機端口劃分�。本發(fā)明描述的是按端口劃分的VLAN���。為了使網(wǎng)絡(luò)實現(xiàn)可管理、可運營�����,無論網(wǎng)絡(luò)服務(wù)提供商選擇何種方式接入用戶���,業(yè)務(wù)交換機都應(yīng)該提供完善的用戶管理手段,如準確的識別用戶��、禁止/允許特定用戶的接入���、防止地址仿冒��、阻斷惡意攻擊����、用戶優(yōu)先級保證、計費等等����。其中,對用戶的識別是實現(xiàn)其他功能的前提����。本發(fā)明具體涉及的就是在以太網(wǎng)接入網(wǎng)上,采用VLAN接入方式時��,業(yè)務(wù)交換機對用戶的識別方法�����。PPP接入方式不在本發(fā)明的討論范圍內(nèi)�。
如
圖1所示,為現(xiàn)有技術(shù)中��,以太網(wǎng)VLAN接入方式的組網(wǎng)圖�,包括用戶終端、以太網(wǎng)接入網(wǎng)����、動態(tài)主機配置協(xié)議(DHCP)服務(wù)器����、域名服務(wù)器(DNS)���、以及用以完成授權(quán)����、驗證和計費功能的AAA服務(wù)器��。其中���,以太網(wǎng)接入網(wǎng)一般劃分為兩個層次L2接入層和L2/L3分發(fā)層�。L2接入層通過5類雙絞線與用戶直接相連����,主要完成匯聚功能��。L2接入層和L2/L3分發(fā)層一般通過光纖相連�����,可以覆蓋較大的地域范圍。L2/L3分發(fā)層主要完成業(yè)務(wù)匯聚���、L2/L3分發(fā)等功能���。L2接入層中一般采用帶光接口的局域網(wǎng)交換機(LAN Switch),L2/L3分發(fā)層可以采用光纖LANSwitch��、L3交換機或者業(yè)務(wù)交換機���。其中采用業(yè)務(wù)交換機是今后的發(fā)展方向��。在分發(fā)層中采用業(yè)務(wù)交換機��,可以完成多業(yè)務(wù)轉(zhuǎn)發(fā)�����、驗證/計費���、虛擬專網(wǎng)(VPN)等多種功能,有效地提高了骨干網(wǎng)絡(luò)的使用效率����。
當采用VLAN接入方式時�,通常將L2接入層的LAN Switch的每個連接用戶端口都劃分到不同的VLAN����。利用VLAN的分隔功能,用戶之間不能互相訪問����;而利用虛擬局域網(wǎng)標識(VLAN ID),業(yè)務(wù)交換機可以判定一個業(yè)務(wù)報文是從哪個LAN Switch端口發(fā)來的�。用戶通過LANSwitch(L2接入層)接入到業(yè)務(wù)交換機;LAN Switch與用戶計算機連接的端口采用無標識(unTag)方式��,數(shù)據(jù)報文經(jīng)過LAN Switch時�����,由LANSwitch根據(jù)輸入端口為報文添加VLAN ID��;LAN Switch與業(yè)務(wù)交換機連接的端口采用標識(Tag)方式���。這樣業(yè)務(wù)交換機接收到的每個數(shù)據(jù)報文都包含VLAN ID��,由于VLAN ID是按照特定的規(guī)則分配的,這樣業(yè)務(wù)交換機可以根據(jù)報文中的VLAN ID判斷出報文的來源���,精確到特定的LANSwitch端口�����。
對于VLAN接入方式����,用戶的概念包含兩個層次第一層是LANSwitch端口;第二層是端口下接入的計算機����。如果每個端口下只接入一臺用戶計算機,那么它們是一一對應(yīng)的��,使用第一層的VLAN ID就可以唯一標識第二層的計算機���。在這種情況下��,把VLAN ID作為運營商分配給用戶的唯一標識是可行的��。這也是目前大多數(shù)設(shè)備的典型做法����。但是,當一個LAN Switch端口通過集線器(HUB)連接了多臺用戶計算機時���,VLAN ID與用戶計算機變成了一對多的關(guān)系�����。在這種情況下��,如果接入設(shè)備還是簡單的用VLAN ID來標識用戶���,由于這種方法只能精確到LANSwitch端口,要想準確判定數(shù)據(jù)報文來自同一端口下的哪臺計算機就無能為力了�。由于同一端口下的計算機被認為是相同的用戶,可能會導(dǎo)致以下問題一����、互聯(lián)網(wǎng)協(xié)議(IP)地址占用以太網(wǎng)接入時,一般會采用DHCP分配IP地址來節(jié)省因特網(wǎng)服務(wù)提供商(ISP)的地址資源��。如果不能識別用戶計算機�����,那么同一端口下的每個用戶終端都會獲得一個IP地址�����,有可能擠占了正常用戶的IP地址��,導(dǎo)致他們不能上網(wǎng)�。更為嚴重的是,如果惡意用戶通過這種方式對ISP進行攻擊���,很快就會耗盡ISP的地址資源����。二�、無法控制同一端口下的并發(fā)用戶數(shù)量這個問題和上個問題是類似的。由于業(yè)務(wù)交換機不知道目前已經(jīng)接入了多少并發(fā)用戶���,因而也無法判定是否應(yīng)允許新的并發(fā)用戶接入�����。最終造成一個結(jié)果���,就是ISP無法開放多用戶的服務(wù)。三��、不能向用戶提供更為詳細的使用清單。
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足之處�����,而提供一種在以太網(wǎng)接入網(wǎng)上��,采用VLAN方式接入時���,精確到每個用戶終端的接入方法����。
本發(fā)明方法是這樣實現(xiàn)的一種以太網(wǎng)接入網(wǎng)中的虛擬局域網(wǎng)(VLAN)接入方法��,其所適用的網(wǎng)絡(luò)組成包括用戶終端����、以太網(wǎng)接入網(wǎng)、域名服務(wù)器(DNS)�、以及用以完成授權(quán)、驗證和計費功能的AAA服務(wù)器���;所述以太網(wǎng)接入網(wǎng)包括L2接入層和L2/L3分發(fā)層�,所述L2接入層中采用局域網(wǎng)交換機(LAN Switch)����;L2/L3分發(fā)層采用業(yè)務(wù)交換機��;其特征在于業(yè)務(wù)交換機通過虛擬局域網(wǎng)標識(VLANID)+介質(zhì)訪問控制(MAC)地址+互聯(lián)網(wǎng)協(xié)議(IP)地址綁定的方法來識別每個業(yè)務(wù)端口下的每個用戶終端���。
所謂VLAN ID+MAC地址+IP地址綁定的含義是���,當收到一個IP報文時����,其以太網(wǎng)封裝幀頭中的VLAN ID必須是綁定記錄中的VLAN ID���,其以太網(wǎng)封裝幀頭中的源MAC地址也必須是綁定記錄中的MAC地址����,同時此報文的源IP地址也必須是綁定記錄中的IP地址����。如果不符合這個約束,該報文被視為無效并被丟棄�。
實施本發(fā)明的以太網(wǎng)接入網(wǎng)中的VLAN接入方法,由于采用了VLANID+MAC地址+IP地址綁定的方式來識別每個業(yè)務(wù)端口下的每個用戶終端����,用戶標識的設(shè)置可以準確到LAN Switch端口下的每一計算機��,提高了系統(tǒng)接入的精確性�����,安全性和可管理性���。本發(fā)明的方法具有很強的實用性和經(jīng)濟效益。
下面結(jié)合附圖對本發(fā)明作進一步的詳細說明�����。
圖1是現(xiàn)有技術(shù)中以太網(wǎng)接入網(wǎng)的組網(wǎng)示意圖��;圖2是本發(fā)明方法所適用的以太網(wǎng)接入網(wǎng)的組網(wǎng)示意圖��;圖3是本發(fā)明方法的用戶報文標識設(shè)置處理流程圖���;如圖2所示����,為適用本發(fā)明方法的以太網(wǎng)VLAN接入方式的組網(wǎng)圖����,包括用戶終端����、以太網(wǎng)接入網(wǎng)���、動態(tài)主機配置協(xié)議(DHCP)服務(wù)器���、域名服務(wù)器(DNS)����、以及用以完成授權(quán)、驗證和計費功能的AAA服務(wù)器���。其中����,以太網(wǎng)接入網(wǎng)劃分為兩個層次L2接入層和L2/L3分發(fā)層�。L2接入層中采用帶光接口的局域網(wǎng)交換機(LAN Switch),且可以有多于一臺的用戶終端通過集線器(HUB)連接到LAN Switch端口���;L2/L3分發(fā)層采用業(yè)務(wù)交換機���。
為了使業(yè)務(wù)交換機可以在VIAN接入方式下實現(xiàn)對LAN Switch端口下每個用戶計算機的管理��,本發(fā)明提出了以VLAN ID+MAC地址+IP地址識別用戶的方法����。通過這種方法���,業(yè)務(wù)交換機在以VLAN接入方式組網(wǎng)運行時�����,可以精確地辨別數(shù)據(jù)報文來源��,從而實現(xiàn)以用戶計算機為對象的用戶管理��。
在本發(fā)明中��,用戶開戶時要注明其使用方式���,其中很重要的一點就是是否允許多客戶接入,以及一個端口下能夠同時連接的設(shè)備數(shù)���,也就是同時能占用的IP地址數(shù)目�����。如果用戶申請了多客戶接入�,在業(yè)務(wù)交換機中,還要給每個用戶(同一VLAN ID)可分配的IP地址數(shù)目設(shè)置一個大于1的閾值�;如果用戶未申請多客戶接入,在業(yè)務(wù)交換機中�,該用戶可分配的IP地址數(shù)目則為1。
如圖3所示�,本發(fā)明的用戶報文標識設(shè)置處理流程如下(1)提取用戶DHCP請求(采用以太網(wǎng)幀格式)報文頭中的VLAN ID和源MAC地址,分別記為vlanid和mac�����。
(2)檢查綁定表中是否存在關(guān)于vlanid的記錄�,如果不存在(記錄數(shù)等于0)���,表明該請求來自該端口下首次開機的計算機��,則進入步驟(5)�,如果存在(記錄數(shù)大于或等于1)�,表明該請求來自該端口下另一開機的計算機,則繼續(xù)下面的步驟;(3)在關(guān)于vlanid的綁定記錄中��,檢查是否存在關(guān)于mac的綁定記錄�?如果存在,則刪除關(guān)于mac的綁定記錄����,然后進入步驟(5)。否則繼續(xù)下面的步驟����;(4)已經(jīng)存在的綁定記錄數(shù)是否等于閾值?如果相等��,表示給用戶分配的IP地址數(shù)目已達到(等于)上限���,應(yīng)拒絕用戶接入�;如果該用戶可分配的IP地址數(shù)目仍小于閾值��,則繼續(xù)以下步驟�;(5)在綁定表中建立一條新的綁定記錄,將vlanid和mac填寫到記錄中�����,此時的綁定記錄稱為待確認綁定記錄;(6)向服務(wù)器轉(zhuǎn)發(fā)DHCP請求�����,并等待響應(yīng)���;收到響應(yīng)后���,從響應(yīng)報文中提取分配給用戶的IP地址,并將此IP地址填寫到已建立的待確認綁定中�,此時的綁定記錄稱為完全綁定記錄;(7)將新建立的完全綁定記錄的狀態(tài)置為可使用狀態(tài)�����,并為記錄中的IP地址設(shè)定數(shù)據(jù)報文轉(zhuǎn)發(fā)表項���。
這樣���,就可以控制并發(fā)接入用戶的數(shù)量�����。
如表1所示為業(yè)務(wù)交換機上綁定表格式示例。
表1
如圖4所示�����,本發(fā)明的數(shù)據(jù)報文處理流程如下當業(yè)務(wù)交換機收到數(shù)據(jù)報文時�,提取報文中的VIAN ID、源MAC地址�、源IP地址,并檢查是否符合該端口的任意一個綁定�����。如果不符合任何綁定����,則丟棄該報文。
通過本發(fā)明的方法��,業(yè)務(wù)交換機就能夠準確地掌握當前系統(tǒng)已經(jīng)接入的計算機�����,每臺計算機所處的LAN Switch端口�,以及它的IP地址和MAC地址。有了這些信息�����,業(yè)務(wù)交換機可以記錄每臺計算機的活動,控制IP地址的分配�����,限制端口下接入的用戶數(shù)量�����,并阻斷惡意用戶對系統(tǒng)的攻擊���。
權(quán)利要求
1.一種以太網(wǎng)接入網(wǎng)中的虛擬局域網(wǎng)(VLAN)接入方法���,其所適用的網(wǎng)絡(luò)組成包括用戶終端、以太網(wǎng)接入網(wǎng)��、域名服務(wù)器(DNS)�����、以及用以完成授權(quán)��、驗證和計費功能的AAA服務(wù)器���;所述以太網(wǎng)接入網(wǎng)包括L2接入層和L2/L3分發(fā)層�����,所述L2接入層中采用局域網(wǎng)交換機(LANSwitch)��;L2/L3分發(fā)層采用業(yè)務(wù)交換機�����;其特征在于業(yè)務(wù)交換機通過虛擬局域網(wǎng)標識(VLAN ID)+介質(zhì)訪問控制(MAC)地址+互聯(lián)網(wǎng)協(xié)議(IP)地址綁定的方法來識別每個業(yè)務(wù)端口下的每個用戶終端����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于對于申請了多客戶接入的用戶��,在業(yè)務(wù)交換機中��,需要給每個用戶可分配的IP地址數(shù)目設(shè)置一個大于1的閾值�;如果用戶未申請多客戶接入,在業(yè)務(wù)交換機中�,該用戶可分配的IP地址數(shù)目則為1�����。
3.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于���;對用戶報文標識設(shè)置的處理流程如下(1)提取用戶DHCP請求報文頭中的VLAN ID和源MAC地址,分別記為vlanid和mac�;(2)檢查綁定表中是否存在關(guān)于vlanid的記錄,如果不存在�,則進入步驟(5),如果存在�,則繼續(xù)下面的步驟;(3)在關(guān)于vlanid的綁定記錄中�,檢查是否存在關(guān)于mac的綁定記錄?如果存在�����,則刪除關(guān)于mac的綁定記錄�,然后進入步驟(5);否則繼續(xù)下面的步驟���;(4)已經(jīng)存在的綁定記錄數(shù)是否等于閾值���?如果相等���,則拒絕用戶接入���;如果該用戶可分配的IP地址數(shù)目仍小于閾值����,則繼續(xù)以下步驟�;(5)在綁定表中建立一條新的綁定記錄,將vlanid和mac填寫到記錄中����,形成待確認綁定記錄;(6)向服務(wù)器轉(zhuǎn)發(fā)DHCP請求�����,并等待響應(yīng)��;收到響應(yīng)后���,從響應(yīng)報文中提取分配給用戶的IP地址�,并將此IP地址填寫到已建立的待確認綁定中,形成完全綁定記錄��;(7)將新建立的完全綁定記錄的狀態(tài)置為可使用狀態(tài)�����,并為記錄中的IP地址設(shè)定數(shù)據(jù)報文轉(zhuǎn)發(fā)表項�。
4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于��,對數(shù)據(jù)報文處理流程如下當業(yè)務(wù)交換機收到數(shù)據(jù)報文時���,提取報文中的VLAN ID���、MAC地址、IP地址��,并檢查是否符合該端口的任意一個綁定�;如果符合,則轉(zhuǎn)發(fā)該報文����,如果不符合任何綁定,則丟棄該報文。
全文摘要
本發(fā)明提供一種以太網(wǎng)接入網(wǎng)中的VLAN接入方法,通過VLAN ID+MAC地址+IP地址綁定的方式來識別每個業(yè)務(wù)端口下的每個用戶終端�����。實施本發(fā)明的以太網(wǎng)接入網(wǎng)中的VLAN接入方法,由于采用VLAN ID+MAC地址+IP地址綁定的方式來識別每個業(yè)務(wù)端口下的每個用戶終端,提高了系統(tǒng)接入的精確性,安全性和可管理性��。本發(fā)明的方法具有很強的實用性和經(jīng)濟效益�。
文檔編號H04L12/28GK1357997SQ0013635
公開日2002年7月10日 申請日期2000年12月15日 優(yōu)先權(quán)日2000年12月15日
發(fā)明者劉凱, 慶武 申請人:華為技術(shù)有限公司