背景技术
众所周知,手工配置主机网际协议(Internet Protocol,简称IP)地址是
一件既费时又乏味的事情,而管理分配给主机的静态IP地址更是一项艰难
的任务,尤其当主机IP地址需要经常改动的时候。可以采用DHCP解决上
述的问题;即,通过在一个网段中配置一台DHCP服务器,接收并处理同一
子网中的所有客户机的DHCP请求报文,从DHCP服务器内配置的地址池
中找一个空闲的IP分配给用户,同时也会将一些参数信息(比如:域名服
务器(Domain Name Server,简称DNS),WINS(Windows Name Server,
用于NetBIOS名字解析),网关)通知用户。在获得子网中唯一的IP地址
后,用户可以实现网内或网间的互访。也可以使一台DHCP服务器为多个网
段中的客户机分配IP地址,这就需要使用带DHCP接替(Relay)功能的设
备将用户的请求Relay给跨网段的DHCP服务器或其他Relay设备,实现同
一台设备对多个不同子网内主机的IP地址统一管理。
现代社会已经进入信息设备,而通信网络作为信息的载体,已经应用到
整个社会的每一个方面。常用的通信技术有以太网、令牌网、帧中继(Frame
Relay,简称FR)、IP、异步传输模式(Asynchronous Transfer Mode,简称
ATM)等等,常用的通信网络有以太网组成的局域网、传输控制协议/网际
协议(Transmission Control Protocol/Internet Protocol,简称TCP/IP)组成的
广域网和Internet等等。
以以太网为例,常见的网络组网方式如图1所示。使用以太网技术,计
算机PC通过其网卡和以太网交换机LAN Switch或集线器HUB通过网线相
连,一个以太网交换机LAN Switch或集线器HUB可以连接多个计算机PC,
以太网交换机LAN Switch或集线器HUB通过以太网线路(包括接入设备
CQ)接到核心网NET之中,例如:企业局域网、城域网等。
在实际的组网中,可以有多种组网结构。参见图1,计算机PC可以直
接连接在以太网交换机LAN Switch上,也可以通过集线器HUB、以太网交
换机LAN Switch等设备级联到以太网交换机LAN Switch上。计算机PC也
可以通过甚高速数字用户线路(Very High Speed Digital Subscriber Line,简
称VDSL)和VDSL交换机(VDSL Switch)相连;在VDSL线路中传递的
是以太网格式的报文。在无线局域网中,可以使用但不限于IEEE 802.11、
802.11a、802.11b、802.11g等无线以太网协议来连接计算机PC和无线接入
点(Access Point,简称AP)。计算机PC也可以通过不对称数字用户线路
(Asymmetric Digital Subscriber Line,简称ADSL)设备连接到网络中。上
述的VDSL、ADSL以及其他用户数字线路(Digital Subscriber Line,简称
DSL)可以统称为xDSL。
综上所述,计算机PC可以通过但不限于以太网交换机LAN Switch、
AP以及xDSL等方式接入网络。
在网络中,有的设备提供服务,有的设备使用服务。提供服务的设备一
般称为服务器,提供使用服务的设备一般称为客户端。特别的,有的设备,
可能同时提供服务,也使用服务,因此,该设备可能同时是客户端和服务器。
网络服务分类很多,按照国际标准化组织(International Standard
Organization,简称ISO)网络层次模型,结合现网广泛应用的以太网和IP
技术,将网络服务分为二层服务和三层以上服务。二层服务指的是数据链路
层以下的服务,参见图2,常用的服务包括但不限于以太网承载点到点
(Point-to-Point Protocol,简称PPP)协议(PPP over Ethernet,简称PPPoE);
三层以上服务指的是网络层以上的服务,常用的服务包括但不限于DHCP。
PPPoE通过在以太网网上进行协商,建立一个PPP连接;参见图2和图
3,典型的PPPoE组网过程如下:
1、计算机PC作为PPPoE客户端向PPPoE服务器PS发送一个PPPoE
初始报文(PPPoE Active Discovery Initiation,简称PADI),开始PPPoE接
入;
2、PPPoE服务器PS向PPPoE客户端发送PPPoE提供报文(PPPoE Active
Discovery Offer,简称PADO);
3、PPPoE客户端根据回应,发送PPPoE请求报文(PPPoE Active
Discovery Request,简称PADR)给PPPoE服务器PS;
4、PPPoE服务器产生一个唯一标示此次会话过程的ID(session id),通
过PADS(PPPoE会话报文)发给PPPoE客户端;
这样,PPPoE客户端和PPPoE服务器PS就成功地完成了PPPoE协商,
可以为后续的PPP过程提供服务。
PPP的迁移过程如下:
1、当检测到物理链路可用后,PPP就会进入到建立阶段(Establish),
开始进行链路控制协议(Link Control Protocol,简称LCP)协商过程;
2、LCP进行与网络层协议无关的协商,协商成功后,进入可选的验证
阶段(Authenticate);
3、如果有验证阶段,则只有当验证通过时才可以进入网络层协议阶段,
如果验证不通过,则应继续验证而不是转到链路终止阶段;验证通过后,进
入网络层协议(Network-Layer Protocol)阶段;
4、在网络层协议阶段,各个网络层协议的配置通过各自的网络控制协
议(NCP)在网络层协议(Network-Layer Protocol)阶段配置。在这个阶段,
客户端会获取IP地址、WINS(Windows Name Server)等信息。用户获得这些
信息后,就可以以一定的权限访问网络了。
5、链路终止阶段(Terminate)。PPP可以在任意时间终止链路,引起
链路终止的原因很多:载波丢失、认证失败、链路质量失败、空闲周期定时
器期满、或者管理员关闭链路。LCP可以通过交互链路终止报文的方法终止
链路。
当链路正被关闭时,PPP通知网络层协议,以便他们可以采取相应的措
施进行客户端下线后的清理工作。
参见图4,其为典型的同一子网内的DHCP组网,包括DHCP服务器
DS、太网交换机LAN Switch和DHCP客户端;在这种组网情况下,进一步
参见图5,DHCP的协商过程具体包括如下的步骤:
1、DHCP客户端向DHCP服务器发送一个DHCP Discover(DHCP发现
报文)报文,开始DHCP主机配置过程;
2、DHCP服务器向DHCP客户端发送DHCP Offer(DHCP提供报文)
报文。如果网上有多台DHCP服务器,每个DHCP服务器都会回应这个报
文;
3、DHCP客户端根据回应,选择一个DHCP服务器,发起DHCP Request
(DHCP请求报文)请求给对应的DHCP服务器;
4、DHCP服务器提供DHCP客户端主机配置信息,通过DHCP Ack
(DHCP应答报文)发给DHCP客户端。
此时,DHCP客户端和DHCP服务器已经成功完成了主机配置,可以为
后续的工作服务。
参见图6,由于DHCP客户端本身已经有IP地址等配置,但需要从DHCP
服务器获取其他主机配置,因此,DHCP客户端执行如下的步骤:
1、DHCP客户端向DHCP服务器发送一个DHCP INFORM(DHCP信
息请求报文)报文,开始DHCP主机配置过程;
2、DHCP服务器向DHCP客户端发送DHCP Ack(DHCP应答报文)
报文。
此时,DHCP客户端和DHCP服务器已经成功完成了主机配置,可以为
后续的工作服务。
参见图7,其为典型的跨子网的DHCP组网,这种组网与图4所示组网
的不同之处在于:DHCP客户端与以太网交换机LAN Switch连接并连接
DHCP中继DR,该DHCP中继路由器DR通过核心网NET再与DHCP服务
器DS连接;参见图8具体的DHCP协商过程如下:
1、DHCP客户端向DHCP中继DR发送一个DHCP Discover(DHCP发
现报文)报文,开始DHCP主机配置过程;
2、DHCP中继将此报文转发到DHCP服务器;
3、DHCP服务器向DHCP中继发送DHCP Offer(DHCP提供报文)报
文;如果网上有多台DHCP服务器,每个DHCP服务器都会回应这个报文;
4、DHCP中继此报文转发到DHCP客户端;
5、DHCP客户端根据回应,选择一个DHCP服务器,发起DHCP Request
(DHCP请求报文)请求给DHCP中继;
6、DHCP中继将此报文转发到DHCP服务器;
7、DHCP服务器提供客户端主机配置信息,通过DHCP Ack(DHCP应
答报文)发给DHCP中继;
8、DHCP中继此报文转发到DHCP客户端。
此时,DHCP客户端和DHCP服务器已经成功完成了主机配置,可以为
后续的工作服务。
参见图9,由于DHCP客户端本身已经有IP地址等配置,但需要从DHCP
服务器获取其他主机配置,因此DHCP客户端执行如下的步骤:
1、客户端向DHCP中继发送一个DHCP INFORM(DHCP信息请求报
文)报文,开始DHCP主机配置过程;
2、DHCP中继将此报文转发到DHCP服务器;
3、DHCP服务器向客户端发送DHCP Ack(DHCP应答报文)报文;
4、DHCP中继此报文转发到DHCP客户端。
此时,DHCP客户端和DHCP服务器已经成功完成了主机配置,可以为
后续的工作服务。
此处只以PPPoE和DHCP为例来说明网络服务的过程,实际上,所有
的网络服务都有自己相应的服务过程,因此上述的例子可以推广到所有的网
络服务。
现有技术中,用户可以通过DHCP协议获取IP地址;对于宽带接入服
务器(Broadband Access Server,简称BAS)设备,因为要控制用户的接入访
问权限,所以需要对用户的IP地址进行统一管理,因此,一般BAS设备内
部实现DHCP SERVER或DHCP RELAY(DHCP接替)功能。当BAS设备
收到用户的DHCP报文,在进行报文的合法性检查后,根据配置把用户的
DHCP报文Relay到内置或外置的DHCP服务器。因此,只有用户成功获取
IP后,才可以获得网络的部分或全部权限。
现有技术中,对于PPPOE拨号用户,可以没有DHCP过程,PPPOE拨
号器会在PC机上建立一个虚拟网卡;这个虚拟网卡通过PPP过程,从接入
设备获取IP,用户对网络的访问也是通过虚拟网卡来实现的。
用户通过拨号器拨号,BAS设备在PPP状态机到达验证阶段,会将用
户的帐号信息送给认证服务器进行认证,并且从认证服务器获得用户的参数
信息(比如分配给用户的IP、域名服务器(DNS)等)。认证服务器可以是
内置的,也可以是外部的独立设备,例如:远程认证拨号用户服务器(Remote
Authentication Dial In User Service,简称RADIUS)服务器。如果使用RADIUS
服务器,BAS设备将把用户账号信息通过RADIUS协议报文传递给RADIUS
服务器。RADIUS服务器负责接收用户的认证请求,根据账号信息完成验证,
并把用户所需的配置信息返回给BAS。当状态机到达网络层协议阶段,将把
网络层协议有关的选项(包括IP地址等信息)给客户端。
但是,现有技术的缺陷之一是:由于链路或操作系统等原因,一些时候,
虽然用户的PC机依然拥有合法的IP地址,但接入设备(BAS)认为用户已
经下线,而删除了用户的表项;在这种情况下,除非用户通过手工参与,主
动释放掉PC机上的IP,然后重新发起DHCP过程,触发接入设备为用户重
新建立连接,否则用户将无法访问网络。
现有技术的缺陷之二是:运营商不能用现有的DHCP服务器为PPPOE
用户分配地址,很难做到对PPPOE拨号用户和DHCP上线用户的地址进行
统一的分配和管理。
发明内容
本发明的主要目的在于提供一种触发对用户IP地址分配的方法,使接
入设备为用户PC机已经拥有的IP建立连接,而无需用户先释放原有IP从
接入设备重新获取IP,减少用户的手工参与,加快上网速度。
本发明的另一目的在于提供一种从DHCP服务器为PPPOE用户分配IP
地址的方法,使运营商可以对PPPOE用户和非PPPOE接入用户的IP地址
统一管理,减少成本。
本发明的目的是这样实现的:
利用非DHCP报文触发对用户的地址分配过程,具体包括两类:ARP
报文(或IP报文)触发和利用PPPOE报文触发。
1)ARP报文触发,即通过ARP报文触发用户的地址分配过程,从而
使用户获得网络访问权限。具体的方法是:ARP处理模块收到用户发起的
ARP报文,并判断用户属性;若为受管理用户,且本地ARP表项不存在用
户IP对应的表项,则触发连接管理模块启动认证流程,并根据用户接入的
物理信息判断是否允许接入网络;如果允许接入,则通过DHCP报文OPTION
字段第50号属性,从DHCP服务器为用户获取特定的IP,该IP即用户报文
中的源IP;如果成功获取IP,则给用户访问权限,否则,不给访问权限。
上述的触发地址分配过程,同样适用于IP报文,如果报文转发模块没
有发现该用户的转发信息,则触发连接管理模块,并采用同样的方式为用户
分配IP,建立连接。
为了保证用户下线后释放所述的IP地址,如果用户没有主动发起DHCP
RELEASE报文,则由设备构造DHCP RELEASE报文,并发给DHCP服务
器。
2)PPPOE报文触发,即在PPP的认证过程中插入DHCP过程,通过
BAS内置的DHCP客户端从DHCP获取地址;具体的方法是:用户发起
PPPOE过程,经过LCP后进入验证阶段,在验证授权的过程中向地址管理
模块寻求地址,携带DHCP服务器和网关等参数,地址管理模块则根据这些
信息,通知DHCP客户端发起DHCP过程;在DHCP客户端成功获取IP后,
将获取的IP地址以及其他网络参数回应给地址管理模块;再经过连接管理
等模块到达PPP模块,当PPP过程到达网络层协议阶段时,用户就会获取
IP等参数信息。
上述的DHCP过程也可以推迟到网络层协议阶段进行,该过程需要独
立的实现DHCP客户端模块完成。
同样,在用户离线后,需要要构造DHCP RELEASE报文发给DHCP
SERVER。
本发明使用户获取IP地址的过程不需要用户客户端的参与,客户端只
是发出了ARP报文,并且得到了回应,就可以访问网络;通过ARP报文(或
IP报文)触发为用户分配IP,可以快速恢复用户的连接,增加了用户满意
度,同时减少了运营商维护成本。对于PPPOE拨号用户,运营商可以使用
应用更为广泛且操作方便的DHCP服务器为用户分配IP地址,突破了通过
RADIUS服务器为PPPOE用户分配IP地址的限制,在使用本地认证(认证
过程在BAS设备内部的模块实现)的情况下,PPPOE用户可以和非PPPOE
用户使用公用的DHCP服务器,而无需单独管理,减少了运营成本,方便管
理。
具体实施方式
以下结合附图和具体的实施例对本发明作进一步的详细说明:
本发明利用非DHCP报文触发对用户的地址分配过程,包括两类:ARP
报文(或IP报文)触发和PPPOE报文触发。
1)ARP报文触发
参见图10、11,ARP报文触发,即对于那些已经获取了地址的动态用
户,由于某些原因,在网络设备上不存在该用户的信息,一般认为这样的用
户没有通过认证,所获得的IP为非法的,不存在访问网络的权限。而用户
的设备(一般为PC机)的IP地址并没有释放,所以用户的设备会直接向目
的设备发IP报文,如果用户设备本地的ARP缓存中不存在网关的ARP表,
在访问非同一网段的设备的情况下,用户设备会发出ARP报文探知网关的
MAC地址。在网络组织上,BAS设备就是用户的设备的网关设备。如果BAS
不对ARP报文进行处理,或简单地回应ARP响应报文,而不触发用户的上
线过程,那么用户永远也无法获得网络访问权限。
在上面的情况下,本发明可以实现通过ARP报文触发用户的地址分配
过程,从而使用户获得网络访问权限。具体的流程如下:
步骤10:BAS中的ARP处理模块收到用户发起的ARP报文,判断用
户属性;
步骤11:如果所述的用户为受管理用户,且ARP模块的表项中不存在
该用户IP对应的表项,ARP模块向连接管理模块发出携带用户的IP、MAC
信息的通知,由连接管理模块通知验证,授权和记账模块
(Authentication,Authorization,and Accounting,简称AAA)启动对用户的认
证;如果ARP模块中已经存在该用户IP对应的表项,不通知连接管理模块
进行用户的认证流程,只是简单丢弃ARP报文或对ARP报文进行回应;
步骤12:连接管理模块通知完成DHCP客户端功能的模块为用户向
DHCP服务器寻求用户ARP报文中的源IP地址;DHCP客户端功能模块构
造DHCP请求报文,并且在报文OPTION字段的第50号属性中填入所述的
IP地址,并从DHCP服务器为该用户获取特定的IP;
步骤13:如果DHCP客户端功能模块从DHCP服务器获取的IP地址并
不是用户ARP报文中的源IP地址,DHCP客户端功能模块向DHCP服务器
发释放报文回收IP,同时通知连接管理模块申请地址失败;执行步骤15;
步骤14:如果DHCP客户端功能模块从DHCP服务器获取的IP同用户
ARP报文中的源IP地址一致,则通知连接管理模块地址获取成功;
步骤15:所述的IP获取成功则允许该用户访问网络;否则不允许该用
户访问网络。
给用户获取IP地址的过程不需要用户客户端的参与,客户端只是发出
了ARP报文,并且得到了回应,就可以访问网络了。如果BAS不提供此功
能,用户只有先手工释放掉客户机的IP(通过DHCP RELEASE报文),再通
过DHCP过程才可以上线。
参见图11,为保证用户下线后地址释放,如果用户没有主动发起DHCP
RELEASE报文,要由设备构造DHCP RELEASE报文发给DHCP服务器,
在本实施例中具体是由连接管理模块来构造并发出DHCP RELEASE报文。
再次参见图10、11,通过ARP报文触发地址分配过程,同样适用于IP
报文,在报文转发模块如果没有找到该用户的转发信息,触发连接管理模块,
采用同样的方式为用户分配IP,建立连接。
具体的执行步骤包括:
步骤20:BAS设备中的报文转发功能模块接收到用户发起的IP报文,
查找用户的转发信息;
步骤21:如果没有发现该用户的转发信息,则报文转发功能模块向连
接管理模块发出启动对用户的认证通知,该通知中至少携带用户的IP地址
和MAC信息;如果发现转发信息,则根据该转发信息进行报文的转发;
步骤22:连接管理模块通知完成DHCP客户端功能的模块为用户向
DHCP服务器寻求用户ARP报文中的源IP地址;DHCP客户端功能模块构
造DHCP请求报文,并且在报文OPTION字段的第50号属性中填入所述的
IP地址,并从DHCP服务器为该用户获取特定的IP;
步骤23:如果DHCP客户端功能模块从DHCP服务器获取的IP地址并
不是用户ARP报文中的源IP地址,DHCP客户端功能模块向DHCP服务器
发释放报文回收IP,同时通知连接管理模块申请地址失败;执行步骤25;
步骤24:如果DHCP客户端功能模块从DHCP服务器获取的IP同用户
ARP报文中的源IP地址一致,则通知连接管理模块地址获取成功;
步骤25:所述的IP获取成功则允许该用户访问网络;否则不允许该用
户访问网络。
2)PPPOE报文触发地址获取过程
PPPOE拨号是目前较为流行的接入方式。它的地址是在网络层协议阶
段(NCP)得到的,获取手段一般是通过RADIUS SERVER指定,或从本地地
址池分配,不存在DHCP过程。
参见图12、13,本发明在PPP的认证过程中插入DHCP过程,通过BAS
内置的DHCP客户端从DHCP获取地址。流程如下:用户发起PPPOE过程,
经过LCP后、进入验证阶段,在验证授权的过程中向地址管理模块寻求地
址,携带DHCP服务器和网关等参数,地址管理模块根据这些信息,通知
DHCP客户端发起DHCP过程。DHCP服务器可以是设备内部(指BAS设
备内部的某个软件模块)的也可以是其他的网络DHCP服务器设备,甚至可
以被经过Relay到其他网络(即对收到的DHCP报文,采用替换目的IP和
报文中其它信息的方法,把DHCP报文重新定义到特定的DHCP服务器),
在DHCP客户端成功获取IP后,将获取的IP地址以及其他网络参数回应给
地址管理。再经过连接管理等模块到达PPP模块,当PPP过程到达网络层
协议阶段时,用户就会获取IP等参数信息。
具体的执行步骤包括:
步骤30:用户发起PPPOE过程,经过LCP后进入验证阶段,并在验证
授权的过程中向BAS设备中的地址管理模块发出寻求地址的请求,该请求
中至少携带DHCP服务器和网关的相关参数;
步骤31:地址管理模块根据DHCP服务器和网关的相关参数,通知
DHCP客户端发起DHCP过程;
步骤32:DHCP客户端成功获取IP后,将获取的IP地址以及其他网络
的参数回应给地址管理模块;
步骤33:连接管理模块将从地址管理模块获取的IP地址和其他网络参
数信息回应给BAS设备中的PPP模块,在PPP过程到达网络层协议阶段时,
用户会获取IP参数信息。
上面所述的DHCP过程是通过独立实现DHCP客户端的模块在网络层
协议阶段进行的,并且,所述的DHCP服务器可以是内部或外部网络的DHCP
服务器,或者是被接替(relay)到其他网络的DHCP服务器。
当然,DHCP过程也可以推迟到网络层协议阶段进行,这和具体的设计
有关的,但都需要一个相对独立的实现DHCP客户端的模块完成DHCP过
程。当用户离线后,与上述的方法一样,都要构造DHCP RELEASE报文发
给DHCP服务器。
最后应说明的是:以上实施例仅用以说明本发明而并非限制本发明所描
述的技术方案;因此,尽管本说明书参照上述的各个实施例对本发明已进行
了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明
进行修改或者等同替换;而一切不脱离本发明的精神和范围的技术方案及其
改进,其均应涵盖在本发明的权利要求范围当中。