通信网络的综合策略实现服务.pdf

通信网络的综合策略实现服务
    【技术领域】

    本发明涉及数据通信网络，更具体地说，涉及把用户鉴别和服务质量规定结合到单个策略服务中的数据通信网络。背景技术

    数据通信网络正变得越来越智能。提高网络智能的一种服务是用户鉴别。用户鉴别回答用户是否可在网络中通信的问题。而传统网络向用户提供对网络的不受限制的访问，最近的典型网络只在验证用户身份之后，才允许用户进行通信，甚至可以只允许用户与一组网络设备通信。

    提高网络智能的另一种服务是服务质量(QoS)规定。QoS规定解决网络中，用户如何很好地通信的问题。而传统网络提供分组的依时间传送，最近的典型网络改变了依时间的分组排序，并向不同的数据流提供不同的QoS。

    QoS对网络上的数据流应用策略规则。策略规则通常包括流条件部分和QoS操作部分，并回答应对满足特定条件的流采取何种操作的问题。例如，简单的策略规则可采取“在优先级为3的情况下，处理组2中的通信”，这种情况下，流条件是“组2”，QoS操作是“优先级3”。

    虽然用户鉴别和QoS规定服务已产生更智能地网络，但是它们一直未被紧密地结合起来。一般地，只在成功地完成用户鉴别任务之后，才启动QoS规定任务。于是，这种串行策略规定导致重复劳动和不必要的延迟。发明内容

    本发明包括用户鉴别和QoS规定被结合在一起的通信网络的综合策略实现服务。

    在本发明的一个方面，数据通信交换机借助单个综合策略服务器，支持所述综合策略实现服务。交换机包括把用户和设备信息请求传输给终端设备，并从所述终端设备接收请求的用户和设备信息的第一网络接口。用户信息可包括用户标识符和密码。设备信息可包括层2和/或层3信息，例如MAC地址，网际协议(IP)地址，以及虚拟LAN(VLAN)标识符。

    数据通信交换机包括把接收的用户和设备信息传输给策略服务器，并接收管理接口和策略服务器间的单控制流中的用户鉴别和服务质量信息的管理接口。鉴别信息可包括ACK/NACK指示符和/或授权端口或设备的列表。QoS信息可包括优先权和最大带宽信息。

    数据通信交换机还包括响应用户鉴别信息，把网络资源从未证实状态转变为已证实状态的第一驱动器，例如端口驱动器。另外，第二驱动器，例如QoS驱动器，响应服务质量信息，关于从数据通信交换机接收的数据流，对所述交换机实现服务质量。

    在本发明的另一方面，数据通信交换机借助两个独立的策略服务器，支持综合策略实现服务。交换机包括在第一控制流中，把接收的用户信息传输给第一策略服务器，并在第一控制流中，接收来自于第一策略服务器的用户鉴别信息的管理接口。管理接口还在第二控制流中，把接收的设备信息传输给第二策略服务器，并在第二控制流中，接收来自于第二策略服务器的服务质量信息。第一和第二控制流最好并行发生。用户鉴别和QoS规定的这种并行执行，有助于降低与现有技术中的串行策略规定相关的延迟。附图说明

    图1是支持综合策略实现服务的通信网络的示意图；

    图2是通过两个策略服务器，支持综合策略实现服务的数据通信交换机的更详细的示意图；

    图3是存储在图2的策略服务器之一中的用户鉴别表的例证示意格式图；

    图4是存储中图2的另一策略服务器中的QoS表的例证示意格式图；

    图5是借助图2的两个策略服务器的综合策略实现服务的例证流程图；

    图6是借助单个综合策略服务器，支持综合策略实现服务的数据通信交换机的更详细的示意图；

    图7是存储在图6的综合策略服务器中的用户鉴别表的例证示意格式图；

    图8是存储在图6的综合策略服务器中的QoS表的例证示意格式图；

    图9是借助图6的综合策略服务器的综合策略实现服务的例证流程图。具体实施方式

    图1是支持综合策略实现服务的通信网络的示意图。该网络包括与策略服务器12、14及设备16a、16b、16c耦接的数据通信交换机10。数据通信交换机10通过在基干网20中工作的一个或多个核心交换机(图中未示出)，越过基干网20，与数据通信交换机18耦接。数据通信交换机18还与策略服务器22及设备24a、24b、24c耦接。

    设备16、24最好是具有通过数据通信交换机10、18，与其它设备进行分组通信的相应网络接口的网络终端站，例如个人计算机，工作站，或者服务器。数据通信交换机10、18最好是具有用于转发由设备16、24发起的分组通信的若干相应网络接口的网关设备，例如集线器，桥接器或路由器。策略服务器12、14、22最好向数据通信交换机10、18提供鉴别和QoS规定服务。设备16、24，数据通信交换机10、18，及策略服务器12、14、22可通过电缆或其它传输媒介互连，并可支持各种数据通信协议，例如以太网、网际协议及异步传输模式(ATM)。

    关于数据通信交换机10和策略服务器12、14概括地说明综合策略实现服务。数据通信交换机10最好向与网络相连的设备16发送用户和设备信息请求。设备16最好通过把包括用户和设备信息的响应传输给交换机10，作出响应。交换机10最好把接收的用户和设备信息传输给策略服务器12、14，以便进行用户鉴别和QoS规定。策略服务器12、14最好通过把鉴别信息和QoS信息传输给交换机10，作出响应。交换机10最好使用鉴别信息，决定是否使用户所使用的网络接口能够与网络通信。在决定使网络接口能够与网络通信的情况下，交换机最好使用接收的QoS信息建立关于交换机的信息。随后把所述QoS应用于从用户用于与网络通信的设备接收的业务。

    根据本发明的一个实施例，综合策略实现服务结构最好包括两个独立的策略服务器，如同用数据通信交换机10和策略服务器12、14举例说明的那样。图2是通过两个策略服务器12、14(也称为鉴别和QoS服务器)，支持综合策略实现服务的数据通信交换机10的更详细的示意图。数据通信交换机10包括由数据总线38链接的网络接口30、31、32、34和管理接口36。网络接口30、31、32、34通过不同的接口，使设备16，基干网20中的交换机和策略服务器12、14互连。

    管理接口36和网络接口30、31、32、34与用于传输和接收数据通信的数据总线38耦接。管理接口36和网络接口30、31、32、34还与用于传输和接收最好包含鉴别和QoS信息的管理信息的管理总线46耦接。管理接口36支持各种接口，包括综合策略管理器40，端口驱动器42和QoS驱动器44。综合策略管理器40、端口驱动器及QoS服务器44最好是软件模块。另一方面，可用硬件、固件(例如专用集成电路或其它定制电路)和/或软件的组合，或者用本领域已知的任何方法，完成系统的实现。

    根据本发明的一个实施例，数据通信交换机10以下述方式支持综合策略实现。综合策略管理器40通过管理总线46，把用户和设备信息请求传输给设备16。

    设备16通过经由数据总线38传输用户和设备信息，作出响应。用户信息最好包括用户识别信息，例如用户ID，以及用户签名信息，例如密码。设备信息最好包括层2和/或层3信息，例如，MAC地址、IP地址、VLAN标识符等。但是应明白，借助源学习，一个或多个这种设备信息(例如，MAC地址)已为数据通信交换机10所知。在这种情况下，不必特意地把已知的设备地址传输给数据通信交换机。

    用户和设备信息分组由管理接口36从数据总线38捕获，并被转发给综合策略管理器40。综合策略服务器40着手确定是否批准特定用户在网络中通信，并识别为该用户设备指定的QoS。在这方面，在第一控制流中，综合策略管理器40把接收的用户信息传输给策略服务器之一，即，鉴别服务器12，并从鉴别服务器接收相应的鉴别信息。鉴别信息最好包括ACK/NACK指示符，授权端口的列表，和/或其它鉴别信息。虽然图2图解说明单个鉴别服务器，不过按照本发明工作的网络可包括一个或多个鉴别服务器。

    在第二控制流中，综合策略管理器40把接收的设备信息传输给第二策略服务器，即，QoS服务器14，并从该QoS服务器接收所述设备的QoS信息。QoS信息最好包括优先级，最大带宽信息等等。

    第一和第二控制流最好并行产生。用户鉴别和QoS规定的这种并行执行有助于降低与串行策略规定相关的延迟。

    图3是存储在鉴别服务器12中的用户鉴别表50的例证示意格式图。可利用诸如可从Novell，Inc.购买的NetWare之类的工具，产生并组织鉴别表50。在一个例证实施例中，鉴别表50包含一组可按各种方式排列的用户鉴别信息，不过所述一组用户鉴别信息最好被配置为顺序表目，各个表目特定于要批准的特殊用户。表50的特定表目可包括独特的用户标识符52，例如标识数字，标识字符，或者数目和字符的组合。表50的特定表目还可包括用户签名，例如用于验证试图访问网络的用户的用户密码54。除了上述之外，特定表目可包括特定用户的时间限制信息56及授权资源信息58。时间限制信息最好规定准许特定用户使用网络资源的时间，例如星期几，一天中的什么时候，以及许可的接入时长。授权的网络资源的列表最好是授权的网络接口和/或设备的列表。

    鉴别服务器12最好利用鉴别表50，以美国专利No.6070243中描述的方式授权用户，该专利的内容作为参考包含于此。用于用户鉴别的协议可包括RADIUS，LDAP(轻型目录访问协议Lightweight DirectoryAccess Protocol)，COPS(公共开放式策略服务)，或者本领域中已知的其它任意鉴别协议，或者它们的组合。

    但是，一般地说，当从数据通信交换机10收到用户信息时，鉴别服务器12最好把接收的信息和存储在服务器12中的用户鉴别和签名信息进行比较。鉴别服务器12还可确定与用户识别信息相关的任意时间限制是否适用。如果鉴别服务器12证实用户是网络资源的授权用户，并且证实在登录时，该用户已被批准使用网络资源，则服务器最好把ACK指示符和/或用户被授权的网络资源的列表传输给数据通信交换机10。连同资源列表一起，鉴别服务器12还可传输适用于资源使用的任意时间限制。综合策略管理40随后调用端口驱动器42，建立和用户用于与网络通信的网络接口32相关的网络连通性规则。具体地说，端口驱动器最好通过使网络资源从未证实状态转变为已证实状态，启用授权的网络资源。综合策略管理器40还可根据时间限制信息56，执行时间限制处理。

    图4是存储在QoS服务器14中的QoS表60的例证示意格式图。QoS表60最好包含一组流条件62和与各个流条件匹配的QoS操作64。流条件62可包括MAC地址，IP地址，VLAN标识符，插槽/端口标识符，IP协议，接口类型等。QoS操作64至少规定表示出赋予满足流条件的通信的优先权的优先级。QoS操作64还可指出最大带宽，最小带宽，峰值带宽，优先权，等待时间，抖动，最大队列深度，最大队列缓冲区等等。

    就识别适用于从设备接收的通信的QoS而论，综合策略管理器40最好使用LDAP或COPS，把带有设备信息的QoS请求传输给QoS服务器14。当收到设备信息时，QoS服务器14识别流条件，并把相应的QoS操作返回给数据通信交换机10。QoS操作分组由管理接口36从数据总线38上捕获，并被转发给综合策略管理器40。综合策略管理器40随后通知QoS驱动器44对交换机执行QoS操作。根据本发明的一个实施例，数据通信交换机10可把流条件和接收的QoS操作存储在超高速缓冲存储器中，以供未来之用，如2000年9月13日登记的申请“ON-SWITCHPOLICY RULE CACHING FOR DATA COMMUNICATIONSWITCH”中公开的那样，该申请的内容作为参考包含于此。

    图5是借助两个策略服务器12、14，由交换机10支持的综合策略实现服务的例证流程图。在步骤70，管理接口36最好把用户和设备信息请求传输给设备16。在步骤72，管理接口36从设备16接收请求的用户和设备信息。在由步骤74和76指出的第一控制流中，综合策略管理器40把带有用户信息的用户鉴别请求传输给鉴别服务器12，并接收指示用户是否已被证实的的用户鉴别信息。

    在由步骤78和80指出的第二控制流中，综合策略管理器40把带有设备信息的QoS请求传输给QoS服务器14，并接收关于所述设备发起的通信的QoS信息。第一和第二控制流最好并行进行。

    在步骤82中，查询用户鉴别是否成功。如果鉴别成功，则综合策略管理器40最好调用端口驱动器42和QoS驱动器44，启用适当的网络接口，并对数据通信交换机10执行所识别的QoS。

    根据本发明的一个备选实施例，综合策略实现服务结构包括单个综合策略服务器，如数据通信交换机18和策略服务器22所示。图6是通过单个策略服务器22(也称为综合策略服务器)，支持综合策略实现服务的数据通信交换机18的更详细的示意图。数据通信交换机18包括通过数据总线100链接的网络接口90、92、94、96和管理接口98。网络接口90、92、94、96通过不同的接口，使设备24、基干网20中的交换机、以及综合策略服务器22互连。

    管理接口98和网络接口90、92、94、％与用于传输和接收数据通信的数据总线100耦接。管理接口98和网络90、92、94、％还与用于传输和接收包含鉴别和QoS信息的管理信息的管理总线102耦接。

    管理接口98支持各种模块，包括综合策略管理器104，端口驱动器106及QoS驱动器108。策略管理器104，端口驱动器106和QoS驱动器最好是软件模块。另一方面，可用硬件，固件(例如专用集成电路或者其它定制电路)，和/或软件的组合，或者用本领域已知的任何方法，完成系统的实现。

    根据本发明的一个实施例，数据通信交换机18以下述方式支持综合策略实现。综合策略管理器104通过管理总线102，把用户和设备信息请求传输给设备24。

    设备24通过经由数据总线100传输用户和设备信息，作出响应。用户信息最好包括用户识别信息，例如用户ID，以及用户签名信息，例如密码。设备信息最好包括层2和/或层3信息，例如，MAC地址、IP地址、虚拟LAN标识符等等。但是应明白，借助源学习，一个或多个这种设备信息(例如，MAC地址)已为数据通信交换机18所知。这种情况下，不必特意地把已知的设备地址传输给数据通信交换机。

    用户和设备信息分组由管理接口98从数据总线100捕获，并被转发给综合策略管理器104。综合策略服务器104着手确定是否批准特定用户在网络中通信，并识别为该用户设备指定的QoS。在这方面，综合策略管理器104最好在单个控制流中，把接收的用户和设备信息传输给综合策略服务器22，并从综合策略服务器22接收相应的鉴别和QoS信息。鉴别信息最好包括ACK/NACK指示符，授权部件的列表，和/或其它鉴别信息。QoS信息最好包括优先级，最大带宽信息等等。

    图7是存储在综合策略服务器22中的用户鉴别表110的例证示意格式图。可利用诸如可从Novell，Inc.购买的NetWare之类的工具，产生并组织鉴别表110。在一个例证实施例中，鉴别表110包含一组可按各种方式排列的用户鉴别信息，不过所述一组用户鉴别信息最好被配置为顺序表目，各个表目特定于要批准的特殊用户。表110的特定表目可包括独特的用户标识符112，例如标识数字，标识字符，或者数目和字符的组合。特定表目还包括用户签名，例如用于验证试图访问网络的用户的用户密码114。除了上述之外，特定表目包括特定用户的时间限制信息116及授权资源信息118。时间限制信息最好规定准许特定用户使用网络资源的时间，例如星期几，一天中的什么时候，以及许可的接入时长。授权的网络资源的列表最好是授权的网络接口和/或设备的列表。

    图8是同样存储在综合策略服务器22中的QoS表120的例证示意格式图。QoS表120最好包含一组流条件122和与各个流条件匹配的QoS操作124。流条件122最好包括MAC地址，IP地址，VLAN标识符，插槽/瑞口标识符，IP协议，接口类型等。QoS操作124至少规定表示出赋予满足流条件的通信的优先权的优先级。QoS操作124还可指出最大带宽，最小带宽，峰值带宽，优先权，等待时间，抖动，最大队列深度，最大队列缓冲区等等。

    根据本发明的一个实施例，鉴别表和QoS表110、120存储在由综合策略服务器22管理(host)的一个或多个数据库中。所述数据库最好驻留在一个或多个大容量存储器，例如硬盘驱动器或者驱动器阵列中。

    综合策略服务器22最好利用鉴别表110，以美国专利No.6070243中描述的方式授权用户，该专利的内容作为参考包含于此。用于用户鉴别的协议可包括RADIUS，LDAP(轻型目录访问协议)，COPS或者本领域中已知的其它任意鉴别协议，或者它们的组合。综合策略服务器22还使用QoS表120，根据设备信息识别适当的QoS。用于传输QoS请求的协议最好是LDAP或COPS。

    一般地说，当从数据通信交换机18收到用户和设备信息时，综合策略管理器104着手获得鉴别信息和QoS信息，最好在数据通信交换机和综合策略服务器22之间的单个控制流中获得所述鉴别信息和QoS信息。在这方面，综合策略服务器最好比较接收的用户识别和签名信息和存储在鉴别表110中的信息。如果用户被证实，则综合策略服务器22还确定与用户鉴别信息相关的任意时间限制是否适用。

    综合策略服务器22还着手根据接收的设备信息，识别适用的QoS。在这方面，综合策略服务器22询问QoS表120，识别流条件，并返回相应的QoS操作。

    综合策略服务器22随后把用户鉴别和QoS信息传输给数据通信交换机18。如果综合策略服务器22证实用户是网络资源的授权用户，并且证实在登录时，该用户已被批准使用网络资源，则服务器把ACK指示符和/或用户被授权的网络资源的列表传输给数据通信交换机18。连同资源列表一起，综合策略服务器22还可传输适用于资源使用的任意时间限制。综合策略服务器22还把包括优先级，最大带宽等在内的所识别的QoS操作传输给数据通信交换机18。

    鉴别和QoS操作分组由管理接口98从数据总线100捕获，并被转发给综合策略管理器104。综合策略管理器104随后调用端口驱动器106，确定和用户用于与网络通信的网络接口94相关的网络连通性规则。具体地说，端口驱动器最好通过使网络资源从未证实状态转变为已证实状态，启用授权的网络资源。

    综合策略管理器还调用QoS驱动器108，对交换机执行QoS操作。根据本发明的一个实施例，数据通信交换机18可把流条件和接收的QoS操作存储在超高速缓冲存储器中，以供未来之用，如在2000年9月13日登记的申请“ON-SWITCH POLICY RULE CACHING FOR DATACOMMUNICATION SWITCH”中公开的那样，该申请的内容作为参考包含于此。

    图9是通过单个综合策略服务器22，由交换机18支持的综合策略实现服务的例证流程图。在步骤130中，管理接口98把用户和设备信息请求传输给设备24。在步骤132中，管理接口98从设备24接收请求的用户和设备信息。在步骤134，综合策略管理器104在关于用户鉴别和QoS规定的请求中，把用户和设备信息传输给综合策略服务器22。在步骤316中，如果用户已被证实，则综合策略管理器104接收用户鉴别信息和QoS信息。在步骤138中，查询用户鉴别是否成功。如果鉴别是成功的，则综合策略管理器104调用端口驱动器106和QoS驱动器108，启用适当的网络接口，并对数据通信交换机18执行识别的QoS。

    根据本发明的一个实施例，交换机10、18可被安排成以独立模式工作(两个策略服务器)和以集成模式工作(一个策略服务器)。最好根据当前的服务配置，自动确定所选择的模式类型。

    虽然已借助某些具体实施例说明了本发明，但是，在不脱离本发明的范围和精神的情况下，本领域的技术人员可以毫不困难地作出各种变化。于是，要明白的是，可以不同于具体说明的那样实践本发明。这样，本发明的上述实施例应被看作是对本发明的举例说明，而不是对本发明的限制，本发明的范围由限加的权利要求及它们的等同物所限定，而不是由前述说明来限定。