实现网络专线接入的方法 【技术领域】
本发明一般涉及网络通信技术,特别涉及一种在网络通信中利用虚拟局域网(VLAN)实现专线接入的方法。
背景技术
随着网络技术的发展,人们对网络接入服务的要求也日益增加。从广义上讲,接入的用户可分为两种:个人用户和集团用户。个人用户具有唯一的网际协议地址(IP地址)和介质访问控制协议地址(MAC地址),使用唯一的账号,具有唯一的接入权限。集团用户具有多个IP地址和MAC地址,可以使用一个或多个账号。另外在运营过程中,对于个人用户和集体用户也可以区别对待,由于后者消耗了更多的网络资源,所以可收取更高的接入费用。但是,它同时要求设备对该类接入用户有更好的质量保证和更好的服务。因此,就需要开发专线业务以适应这种需求,同时还需要提高运营商区别用户运营的能力。专线业务可以为运营商开展企业网、网吧、驻地网对外出口的以太网专线出租业务。
传统意义上的专线主要采用端口租用方式,运营商将接入设备的指定端口出租给集团用户(因为集团用户租用专线,因此也称之为专线用户)。
图1示出了采用传统的端口租用方式的组网图。在图1所示的端口租用方式的专线中,对用户采用包时或按流量计费,并按租用端口进行流量的限制。但是,端口租用是基于端口地,对于一个物理端口只能接入一个专线用户,没有对应的专线用户名,无法区分端口的优先级,无法根据用户名来配置一些个性化的服务质量策略,例如流量控制(CAR),业务质量(QOS)和不同的路由策略。而且无法进行安全性认证。另外,端口租用不能为专线下的用户(集团用户内部通过专线方式使用运营商提供的服务的具体的用户)分配地址,因此需要其它的动态主机配置协议(DHCP)设备或采用固定地址,对于内部有大量用户的集团来说,采用固定IP地址会增加管理的难度,而增加其它DHCP设备则会提高组网的成本。
【发明内容】
因此,针对现有技术中存在的上述问题,并且为了满足实际组网中集团用户的需求,本发明的目的之一是提出一种利用VLAN实现网络专线接入的方法,这种专线接入方式是一种可管理的专线方式,它能够对专线用户进行绑定认证,因而可以提高安全性。
本发明的另一个目的是提出一种利用VLAN实现网络专线接入的方法,该方法能够为专线下用户分配CAR、QOS和ACL(访问控制表)等以提供QOS保证。
本发明的还有一个目的是提出一种利用VLAN实现网络专线接入的方法,该方法能够简化对单个专线下用户的管理。
为了实现上述目的,本发明提供了一种利用虚拟局域网实现专线接入的方法,该方法包括以下步骤:1)在专线用户与外部公网之间连入网络接入设备,并使所述宽带接入设备与专线用户组成虚拟局域网;2)利用所述网络接入设备对专线用户进行绑定认证,所述绑定认证可以在所述网络接入设备中进行,或者可以从远程网络设备通过所述网络接入设备进行。
在本发明的具体实施方式中,所述的对专线用户进行绑定认证根据端口号、VLANID(虚拟局域网标识)及ISP(互联网服务提供商)域名进行。
上述方法还包括为专线用户提供统一配置的服务质量保证属性的步骤。
在本发明的具体实施方式中,对二层虚拟局域网专线,所述的统一配置服务质量保证属性的步骤包括以下步骤:
1)专线用户上线时,产生一个能够查找到为专线用户统一配置的服务保证属性的专线用户标识符(UserId);
2)专线下用户上线时,网络接入设备上产生该用户终端的动态ARP(地址解析协议)表项,并在转发表中生成对应的主机路由,在该主机路由中保存专线用户的UserId,通过该UserId,专线下用户统一使用为专线用户配置的服务保证属性。
3)数据转发时查找用户的主机路由进行转发。
对三层虚拟局域网,所述的提供统一配置的服务质量保证属性的步骤包括以下步骤:
4)在网络接入设备上配置一系列网段路由,这些网段路由用来确定三层设备下接入用户的网段;
5)专线用户上线时,产生一个能够查找到为专线用户统一配置的服务保证属性的专线用户标识符(UserId);
6)在网络接入设备上配置接入网段路由后,会产生这些路由对应的转发表项,根据接入网段路由的出接口查找到对应的接入端口和VLAN,找到该专线用户的UserId,将UserId保存到网段路由中,从而使为同一专线配置的每一条接入网段路由能够通过同一个UserId索引到为专线用户统一配置的服务质量保证属性。
7)在三层设备上配置相应路由;
8)数据转发时查找到用户对应的网段路由,将报文发向下接的三层设备,并将流量统一记录在专线用户上。
上述对网段路由设置优选地采用下述三种方法中的任何一种:第一、通过静态路由方式;第二、通过远端用户拨入鉴权服务器(Radius Server)绑定帐号下发;第三、通过策略服务器(Policy Server)下发。
对二层虚拟局域网专线下的用户,上述方法还包括进行地址分配的步骤。所述地址分配可以在组建虚拟局域网时由集团内部自己动态或静态分配,也可以由专线下用户上线时由网络接入设备动态分配。
对二层虚拟局域网专线下的用户,上述方法进一步包括合法性认证的步骤。
优选地,在上述对二层虚拟局域网专线下的用户合法性认证的步骤中,对已经配置了IP地址的欲使用专线的用户终端,网络接入设备根据VLANID和地址段对欲使用专线的用户进行合法性检查。对没有配置IP地址的欲使用专线的用户终端,网络接入设备根据接入端口号、VLANID对欲使用专线的用户进行合法性检查。
与现有技术中采用端口租用方式的专线相比,根据本发明所述的虚拟局域网专线具有以下有益效果:1)它可以根据VLAN专线用户名来进行简单的绑定认证,提高了专线使用的安全性。2)它通过对专线用户可以配置CAR、QOS、ACL等控制策略,并将这些配置应用到专线下的每个用户,因而提高了专线用户的服务质量。3)增加了专线的可管理性。二层专线可以通过地址分配来管理专线下用户,三层专线通过静态路由来确定接入的用户;最后,4)对于运营商,为专线下用户分配地址可以有效控制专线的使用情况。
【附图说明】
通过以下结合附图对本发明实施例做出的详细说明,本发明的上述目的、优点和特征将变得更加清楚。在以下的附图中:
图1是采用传统的端口租用方式的组网图;
图2是根据本发明实施例所述的二层VLAN专线的组网图;
图3是根据本发明实施例所述的三层VLAN专线的组网图。
【具体实施方式】
以下将结合附图对本发明的实施例进行详细说明。
在本发明所述VLAN专线的实际组网中,根据挂接的是二层设备或是三层设备,VLAN专线又可以划分为二层VLAN专线和三层VLAN专线。
为方便说明,假定已经基于宽带接入设备的端口划分了不同的VLAN,指定了不同VLAN对应的地址段和ISP域名,在远端的Radius server上配置了一个由端口号、VLANID和ISP域名组合成的用户名。并统一配置了CAR、QOS和ACL等服务质量保证属性,CAR、QOS和ACL等属性可以在宽带接入设备上配置也可以在Radius server上配置然后通过Radius协议下发到宽带接入设备上。为宽带接入设备的端口指定的VLANID和分配的地址段及ISP域名为虚拟网成员所知道,也就是只有知道这些内容,才是合法用户。对于二层专线,在需要宽带接入设备分配地址的情况下,宽带接入设备已经创建了地址池。
图2是根据本发明实施例所述的二层VLAN专线的组网图。
如图2所示,对于二层专线,要求专线下接二层网络,二层专线用户的地址可以由集团内部自己分配(动态或静态),也可以由宽带接入设备提供DHCP(动态主机配置协议)服务,为二层专线用户分配地址。如果需要由宽带接入设备分配IP地址,则需要创建地址池。在本实施例中,宽带接入设备采用华为公司的MA5200F,该设备具有提供专线下用户的DHCP服务的功能。
专线用户在上线时,宽带接入设备根据在配置专线用户时已经知道的端口号、VLANID及ISP域名进行本地绑定认证,其过程是:在宽带接入设备上配置一个用户名和密码,专线用户上线时,在执行完配置ISP的命令后,自动产生一个由端口号、VLANID及ISP域名组合的用户名,以及一个固定的密码。将这个用户名,密码和宽带接入设备上配置的用户名,密码进行比较,相同就可以认证成功。否则认证失败,专线用户不能上线。或者将端口号、VLANID及ISP域名组合起来形成一个用户名,然后到远端的Radiusserver上进行认证。远端认证过程和本地基本类似,只是需要在Radius server上配置用户名和密码。认证通过后专线用户就上线了,同时产生一个专线用户标识符(UserId),通过UserId能够查找到为专线用户统一配置的CAR、QOS和ACL等属性,专线用户只在删除配置时才下线。
只有专线用户上线后,专线下用户才可以接入。专线下用户接入有两种情况:1、专线下用户终端已经配置IP地址。在这种情况下,宽带接入设备从用户终端发来的ARP报文中获取专线下用户的IP地址及VLANID,然后与宽带接入设备在配置虚拟局域网(VLAN)时指定的VLANID和产生的地址段做比较,确认该专线下用户能否接入。显然,配置的IP地址必须和宽带接入设备上接入接口的IP地址在同一网段,如果不在同一网段,ARP报文将被拒绝,用户也将无法使用专线2、用户终端没有IP地址,需要从宽带接入设备获取地址。获取地址的过程通过DHCP协议完成。DHCP的过程为RFC中描述的标准过程,可参见RFC2131。在DHCP过程中,宽带接入设备根据接入端口号、VLANID对用户的合法性进行检查。合法性检查包括此{端口,VLAN}下是否配置了分配地址池功能,是否存在可以分配地址的地址池,在不同的{端口,VLAN}下没有相同MAC的用户等。以上条件都满足时认证通过,然后进行地址分配,分配地址池中的地址。
不论哪种情况,检查通过后在宽带接入设备上都产生该用户终端的动态ARP表项,并在转发表中生成对应的主机路由,在该主机路由中保存专线用户的UserId,以便统一使用为专线用户配置的CAR、QOS等属性。数据转发时查找用户的主机路由进行转发。
图3是根据本发明实施例所述的三层VLAN专线的组网图。如图3所示,对于三层专线,要求专线下接三层设备,三层设备的功能是转发报文,并为其下用户分配或者静态指定地址。该三层设备可以是路由器也可以是三层交换机。这时需要在宽带接入设备上配置一系列路由。这些路由用来确定三层设备下接入用户的网段。为便于说明,本文档中将这些用来确定三层设备下接入用户路由称为接入网段路由。接入网段路由的产生有三种方式:第一,通过静态路由方式,通过命令行或网管软件进行路由配置,和普通的静态路由方式一样配置;第二,通过Radius Server(远端用户拨入鉴权服务器)绑定帐号下发路由:在Radius Server上配置路由信息,并将这些路由信息绑定到对应的账号上,当专线用户使用这个账号进行Radius认证通过后,将路由信息作为Radius报文属性,通过Radius报文发送到宽带接入服务器,以产生对应的路由表项。第三,通过Policy Server(策略服务器)下发:在Policy Server上配置路由信息,并将这些路由引用到指定的策略上,由宽带接入设备指定策略索引从而获取该策略对应的路由,并通过COPS(公共开放策略业务)协议发送到宽带接入设备,以产生对应的路由表项。专线下用户地址一般由宽带接入设备下接的三层设备分配或者静态指定。
配置宽带接入设备的指定{端口,VLAN},为VLAN专线类型后,宽带接入设备自动触发这条专线用户进行本地绑定认证,或者将端口号、VLANID及ISP域名组合起来形成一个用户名,然后到远端的Radius server上进行认证。认证过程与二层专线用户认证的过程相同。认证通过后专线用户就上线了,同时产生一个专线的用户标识符(UserId),通过UserId能够查找到为专线用户统一配置的CAR、QOS和ACL等属性。
在宽带接入设备上配置接入网段路由后,会产生这些路由对应的转发表项,根据接入网段路由的出接口查找到对应的接入端口和VLAN,由于一个{端口,VLAN}对应一个VLAN专线用户,因此能够找到该专线用户的UserId,将UserId保存到网段路由中,从而使为同一专线配置的每一条接入网段路由能够通过同一个UserId索引到为专线用户统一配置的CAR、QOS、ACL等服务质量保证属性。数据转发时查找到用户对应的网段路由,将报文发向下接的三层设备,并将流量统一记录在专线用户上。对于三层VLAN专线下的用户,可以由宽带接入设备和专线下用户之间的三层设备分配地址或者采用固定的IP地址,宽带接入设备通过配置接入网段路由来控制专线下用户的报文转发。当然为了专线下用户能够正确的进行数据转发,还需要在三层设备上配置相应的路由,这和普通路由器的配置是一致的。
在三层VALN专线的情况下,三层专线下的用户只需要有IP地址,不论固定的IP还是三层设备分配的IP地址,并且在三层设备上有相应的到宽带接入设备的路由,就能够上线。
在本方案中,由于在宽带接入设备上设置了QOS策略,因而更能保证服务的质量,另外,对二层VALN而言,由于专线用户上线、专线下用户上线时,都要进行合法性检查,所以可以保证对专线的使用更加安全。而且并且通过对用户分配地址,可以方便对单个专线下用户的管理。对三层专线虽然无法管理到单个用户,但对单个用户采用配置用户网段路由来进行限制。由于添加路由的方式有三种,可以根据用户名来引用相应的路由,同样可以方便对单个专线下用户的管理,并因此比端口租用方式更安全一些。
虽然以上对本发明的描述是参考其具体实施方式来进行的,但是,这些描述不应当被认为是对本发明的限制。例如,在以上所述的本发明的实施例中采用的是宽带接入设备,但实际情况中,可以采用任何具有宽带接入功能的网络接入设备。总之,任何不背离本发明精神和范围的修改和变换都属于由本发明的权利要求所定义的本发明的范围之内。