一種用戶報文的轉發控制方法

專利名稱：一種用戶報文的轉發控制方法
技術領域：
本發明涉及用戶的報文轉發控制方法。
背景技術：
在目前的寬帶網絡中，網絡的服務質量(QoS)是網絡服務的重要組成部分，報文的轉發優先級控制就是網絡服務質量的內容之一。通常，對于網絡的轉發設備來說，例如寬帶網絡接入設備(BAS)，報文的轉發優先級控制，是指在網絡繁忙時優先發送服務質量等級高的報文，而對服務質量等級低的報文，可能被丟棄。上述網絡的服務質量可以從多方面來衡量，如基于用戶帳號、基于用戶的端口號和IP地址等。這使得在網絡接入設備上也存在多種報文的轉發控制方法。例如在BAS上實現的基于帳號的報文轉發調度方法，按照該方法，在處理報文時，根據報文的源IP地址屬于什么樣的帳號確定其轉發調度器以及發送報文的流標識(StreamID)，然后轉發調度器會按照該StreamID的優先級將報文送進不同的轉發調度隊列，從而實現不同的轉發優先控制，即在系統繁忙的時候轉發優先級高的報文，丟棄優先級低的報文。由于這種方法對不同優先級報文的處理體現在丟包率上，因此這種控制的精度比較低。
作為上述方法的一個替代，為減少丟包率，提高報文轉發的成功率，采用在基于帳號的報文轉發調度方法的基礎上，對優先級較低的報文進行存儲轉發，只有在存儲轉發的報文池滿時，才按照某種策略丟棄優先級較低的報文。
這種轉發優先控制的應用主要局限于接入設備，并且對于非流驅動的BAS來講，在轉發速率上會有一定的欠缺(但是在流驅動的設備中，這種影響會很小)。還有就是這種控制最好結合UCL/IGAT控制一起使用，可提高系統的流水效率。
由上述可知，報文的轉發控制方法是體現網絡服務質量的一個重要因素，如上述方法僅基于源IP地址的用戶帳號產生的優先級進行報文轉發的控制不易提高控制的精度。事實上，對于報文來說，僅僅從源IP地址考慮報文的轉發優先級是片面的，對于目的地址的控制也尤為重要，比如存在這么一個重要的站點，對于發往該目的地址的站點的報文規定不能丟棄或延遲，那么如果對于這樣的報文可以提高其轉發優先級的話，既可以做到這一點，而現有的方法通常都不能滿足這一要求。

發明內容
本發明的目的在于，提供一種控制精度較高的用戶報文的轉發控制方法。
為達到上述目的，本發明提供的用戶報文的轉發控制方法，包括將用戶報文的轉發權限劃分為不同的轉發等級，設置不同轉發等級的權限對應的IP地址或IP地址段的報文轉發優先級，以及設置用戶帳號與轉發等級的對應關系；在對用戶的報文進行轉發時，根據用戶帳號獲取用戶報文的轉發等級，根據所述轉發等級和報文的目的IP地址獲取報文的轉發優先級，利用該優先級對用戶報文的轉發進行控制。
所述方法還包括設置與用戶報文的轉發等級對應的報文轉發組，以便在對用戶報文的轉發控制過程中，根據用戶帳號將該用戶報文劃分為不同的轉發組。
所述根據用戶帳號獲取用戶報文的轉發等級，以及根據所述等級和報文的目的IP地址獲取報文的轉發優先級，是根據用戶帳號將用戶劃分為相應的轉發組，再根據所述轉發組的組號去匹配報文的目的IP地址對應的IP地址或IP地址段，根據匹配結果得到報文轉發優先級。
所述方法還包括在網絡接入設備中設置以下三個表(1)用于為每個在線用戶建立一個網絡連接記錄的轉發組表；(2)用于記錄將不同的IP地址或網段定義為不同的報文轉發控制規則的規則表；(3)用于描述轉發組與不同規則之間的報文轉發優先級的報文轉發控制表。
所述轉發組表，包括用戶IP地址、轉發組字段，所述規則表，包括規則和IP地址或網段二個字段。
所述方法還包括在用戶上網認證成功后，由認證端根據用戶帳號將用戶劃分到相應的轉發組，同時通知網絡接入設備將用戶的轉發組信息寫入到轉發組表的相應記錄中。
在根據報文轉發組號匹配用戶報文的目的地址對應的地址或IP地址段的過程中，網絡接入設備按用戶報文的源IP地址，通過轉發組表得到用戶所屬的轉發組號，再用報文的目的IP地址，通過規則表得到目的IP地址所對應的規則，通過轉發組號和規則的組合，查找轉發控制表，根據該表得到用戶報文的轉發優先級。
由于本發明將用戶報文的轉發權限劃分為不同的等級，設置不同等級的權限對應的目的IP地址或網絡IP地址段的報文轉發優先級，以及設置用戶帳號與報文轉發等級的對應關系，這樣，在對用戶的報文進行轉發時，根據用戶帳號獲取用戶報文的轉發等級，根據所述等級和目的IP地址獲取報文的轉發優先級，利用該優先級對用戶報文的轉發進行控制；很顯然，這種報文的轉發控制方法綜合考慮了用戶的帳號和報文目的IP地址對報文轉發控制的影響，報文轉發優先級的確定更合理，因此本發明具有較高的報文轉發控制精度和靈活性。


圖1是典型的用戶網絡登錄過程示意圖；圖2是本發明所述方法的控制原理圖；圖3是本發明方法的控制過程第一部分，即形成轉發組表的控制信息的流程圖；圖4是本發明方法的控制過程第二部分，即對用戶具體的網絡接入進行控制的流程圖。
具體實施例方式
依據前述對現有的用戶報文轉發控制方法的分析，在對用戶報文的轉發進行控制時，轉發的控制依據就是報文的優先級，但由于作為依據的優先級僅僅考慮了發送報文的用戶帳號，導致了現有的報文轉發控制方法的控制精度低的問題。為此，本發明采用基于發送報文用戶的帳號和報文目的IP地址的方法對用戶報文的轉發優先級進行控制，以提高控制精度。
在具體實現本發明時，首先網絡將用戶報文的轉發權限劃分為不同的轉發等級。在每個用戶開戶或變更簽約信息時，將該用戶的轉發權限與其它信息一起設置在認證端，以便認證通過后使用該信息對用戶的報文進行轉發控制。為實現上述控制要求，可以將不同等級的轉發權限劃分為不同的轉發等級或不同的報文轉發組，通過對轉發組的管理或報文轉發等級的管理即可管理具有相同轉發權限的一個群體的用戶(當然這個群體可能只有一個用戶)。這樣，就可以在認證端配置用戶信息時，將用戶登記的轉發權限登記為權限等級或轉發組號，使該權限等級或轉發組號與用戶的帳號及其它與用戶有關的信息共同記錄在認證端的用戶授權信息中。同時，還要設置不同轉發等級的權限對應的IP地址或'地址段的報文轉發優先級，以及設置用戶帳號與轉發等級的對應關系，為此，在網絡的接入設備中，如寬帶接入設備(BAS)中，設置用戶轉發組表，每個在線用戶與轉發組表中的一個具體的記錄相對應。在轉發組表中，可以包括對用戶進行控制和管理使用的其它信息，如物理信息、二層信息、三層信息以及網絡訪問權限等，具體說可以包括用戶接入端口號、用戶接入VLAN號、用戶IP地址、用戶MAC地址、用戶的服務質量(QOS)等，但最重要的是還要包括用戶報文轉發等級或轉發組號。此外，在BAS中，還要設置網絡訪問規則表和用戶報文轉發控制表。規則表用于定義某一IP地址或IP地址網段，即將需要控制訪問的目的IP地址或網段一一定義為名稱不同的規則(本說明書中，網段即是“IP地址網段”)，例如一些專業網站等等；轉發控制表用于建立轉發組或報文轉發等級與具體規則的對應訪問控制優先級，這里所述的訪問控制優先級就是轉發組是否被允許訪問相應規則對應的IP地址或網段。基于在上述網絡接入設備中建立的三個表即可實現基于用戶帳號和被訪問目的地址的用戶報文轉發控制要求。
上述轉發表在用戶認證通過后由認證端通知網絡接入設備填寫，而規則表和轉發控制表則是事先根據控制需求在網絡接入設備中設置。
以轉發組來描述用戶報文的轉發等的上述三個表的結構舉例如下表1(轉發表)

表2(規則表)


表3(轉發控制表)

在上述表1中，與本發明有關的控制信息是“IP地址”和“轉發組”兩個字段，其余字段為其它控制信息。在表3中，a、b、c、d表示四種報文轉發優先級。
下面結合附圖對本發明作進一步詳細的描述。
假設對用戶報文的轉發控制采用轉發組的方式進行，在表1中，當用戶認證通過時，可以根據認證端對用戶的授權信息填寫表的具體內容。例如，在圖1所示的用戶登錄網絡(即用戶上線)過程中，假設網絡接入設備為BAS，為用戶分配IP地址的服務器為DHCP服務器，認證端為遠端的RADIUS服務器(或本地認證模塊)，則在用戶上線過程中，用戶經過步驟1到步驟3利用DHCP過程從DHCP服務器獲取到自己的IP地址后，對于BAS設備來說，在A位置給用戶在轉發組表中分配一條記錄，并記錄一些簡單的信息，如用戶通過認證前默認的轉發組號(假設為255)以及用戶得到的IP地址(假設為1.1.1.1)。在經過步驟4將用戶得到的IP地址通知給用戶后，用戶在步驟5、6開始認證，這時一直到B位置以前，用戶報文的轉發組號為默認未上線的轉發組號，與帳號無關，所有用戶都一樣；當用戶認證通過后，到B位置，用戶通過某一帳號認證通過，RADIUS服務器給BAS設備發送過來該用戶帳號的授權信息，其中的轉發組假設為組號是100的轉發組，BAS把這些權限記錄于對應的轉發組表的記錄中，這時用戶的IP地址(1.1.1.1)與轉發組表中的該條記錄關聯，而轉發組表中該條記錄記載的用戶轉發組號以及其他權限又是根據用戶帳號分配的，不同的用戶帳號對應不同的轉發組，那么用戶IP地址就和轉發組號關聯，但是這個關聯只是在這一次接入中起作用，即，此時，IP地址1.1.1.1與組號為100的轉發組相對應。然后用戶下線，BAS釋放此對應關系。
在過了一段時間后，用戶第二次登錄網絡時，走同樣的如圖1所示的流程并且申請到了一個不同于前一次的IP地址1.1.1.2，盡管這次得到的IP地址不同，但還是用同一帳號去認證，獲得同樣的授權(轉發組號依然為100)，那么此次連接就會在轉發組表中存在一條記錄，記載IP地址與組號的對應關系，即IP地址1.1.1.2與組號為100的轉發組的對應關系，訪問權限不變。
由上可以看出，兩次用戶上網的IP地址變化了，但是其對應的轉發組不變，那么它的報文轉發等級也就沒有變化，這就是轉發組(等同于轉發等級)能夠不隨用戶IP地址變化而變化，而是能夠基于帳號而相對穩定不變。這樣，通過記載于表2的網絡訪問規則，以及記錄于表3的轉發組與具體規則的對應關系，就能夠實現基于用戶帳號和被訪問目的IP地址的用戶報文轉發控制。
以上述表3的轉發控制為例，第一行的第0組的用戶報文在發送給規則0到規則3(Rule0到Rule3)標識的目的IP地址或網段時，對應的報文轉發優先級分別為a、b、a、c；而第二行的第1組的用戶報文在發送給規則0到規則3(Rule0到Rule3)標識的目的IP地址或網段時，對應的報文轉發優先級分別為b、a、a、d。
具體的控制原理參考圖2。在用戶網絡訪問報文經過網絡接入設備時，首先，按報文的源IP地址分類，通過轉發組表得到用戶信息并進一步得到該用戶所屬的轉發組號，再用報文的目的IP地址作分類，通過規則表得目的IP地址所屬的規則，通過轉發組號和規則的組合，查找事先通過配置生成的轉發控制表，即可得到用戶報文的轉發優先級。例如用戶流在網絡接入設備的業務板上經過時，由流轉發模塊接收并按報文轉發優先級控制報文的轉發，則根據上述得到的報文轉發優先級得到用戶應該使用哪一個網絡調度器，然后把報文寫入不同級別的調度器進行轉發。
依據上述原理的具體的控制過程包括兩部分，分別于圖3、4進行描述，并且假設采用用戶的轉發組描述用戶的報文轉發等級，當然實際中也可以直接采用等級的方式描述用戶的報文轉發等級。第一部分參考圖3，該部分用于形成轉發組表的控制信息。按照圖3，首先用戶在步驟11上網獲取IP地址以及應用自己的帳號進行認證，然后認證端在步驟12判斷該用戶的認證是否通過，如果不通過，結束該用戶的網絡接入操作，否則在步驟13根據用戶帳號確定用戶的轉發組，并將該用戶轉發組和IP地址的授權信息通知網絡接入設備，由網絡接入設備在轉發組表中建立與該用戶有關的記錄。
圖4是本發明對用戶具體的網絡接入進行控制的流程圖。按照圖4，當在步驟21接收到用戶網絡訪問的報文后，從所述報文中獲取用戶的源IP地址和目的IP地址，然后在步驟22按報文的源IP地址分類，查找轉發組表，通過轉發組表得到用戶信息以及得到該用戶所屬的轉發組信息，再按報文的目的IP地址作分類，查找規則表，通過規則表得目的地址所屬的規則所定義的網段，接著在步驟23將報文的轉發號和具體的規則進行組合，去查找事先通過配置生成的轉發控制表，通過轉發控制表即可得到報文的轉發優先級，最后在步驟24根據上述優先級信息對用戶報文的轉發進行控制。
需要說明，在具體的控制過程中，由于預連接用戶(沒有通過認證，只是通過DHCP過程獲得IP地址的用戶)沒有帳號，對其的控制可以較粗略，即預先給所有預連接用戶一個默認的轉發組號，比如255組，這個時候所有預連接用戶可以統一使用255組已經設置的報文轉發優先級，即只能實現基于目的地址的轉發優先級控制，以增加報文轉發控制的靈活性。
總之，采用基于用戶帳號和目的IP地址的用戶報文的轉發優先級控制可以使得對用戶的報文轉發進行更合理的控制，控制精度更高。
權利要求
1.一種用戶報文的轉發控制方法，包括將用戶報文的轉發權限劃分為不同的轉發等級，設置不同轉發等級的權限對應的IP地址或IP地址段的報文轉發優先級，以及設置用戶帳號與轉發等級的對應關系；在對用戶的報文進行轉發時，根據用戶帳號獲取用戶報文的轉發等級，根據所述轉發等級和報文的目的IP地址獲取報文的轉發優先級，利用該優先級對用戶報文的轉發進行控制。
2.根據權利要求1所述的用戶報文的轉發控制方法，其特征在于，所述方法還包括設置與用戶報文的轉發等級對應的報文轉發組，以便在對用戶報文的轉發控制過程中，根據用戶帳號將該用戶報文劃分為不同的轉發組。
3.根據權利要求2所述的用戶報文的轉發控制方法，其特征在于，所述根據用戶帳號獲取用戶報文的轉發等級，以及根據所述等級和報文的目的IP地址獲取報文的轉發優先級，是根據用戶帳號將用戶劃分為相應的轉發組，再根據所述轉發組的組號去匹配報文的目的IP地址對應的IP地址或IP地址段，根據匹配結果得到報文轉發優先級。
4.根據權利要求2或3所述的用戶報文的轉發控制方法，其特征在于，所述方法還包括在網絡接入設備中設置以下三個表用于為每個在線用戶建立一個網絡連接記錄的轉發組表、用于記錄將不同的IP地址或網段定義為不同的報文轉發控制規則的規則表、用于描述轉發組與不同規則之間的報文轉發優先級的報文轉發控制表。
5.根據權利要求4所述的用戶報文的轉發控制方法，其特征在于，所述轉發組表，包括用戶IP地址、轉發組字段；所述規則表，包括規則和IP地址字段或網段字段；
6.根據權利要求4所述的用戶報文的轉發控制方法，其特征在于，所述方法還包括在用戶上網認證成功后，由認證端根據用戶帳號將用戶劃分到相應的轉發組，同時通知網絡接入設備將用戶的轉發組信息寫入到轉發組表的相應記錄中。
7.根據權利要求4所述的用戶報文的轉發控制方法，其特征在于在根據報文轉發組號匹配用戶報文的目的地址對應的IP地址或IP地址段的過程中，網絡接入設備按用戶報文的源IP地址，通過轉發組表得到用戶所屬的轉發組號，再用報文的目的IP地址，通過規則表得到目的IP地址所對應的規則，通過轉發組號和規則的組合，查找轉發控制表，根據該表得到用戶報文的轉發優先級。
全文摘要
本發明公開了一種用戶報文的轉發控制方法，該方法將用戶報文的轉發權限劃分為不同的轉發等級，設置不同轉發等級的權限對應的IP地址或IP地址段的報文轉發優先級，以及設置用戶帳號與轉發等級的對應關系；這樣，在對用戶的報文進行轉發時，根據用戶帳號獲取用戶報文的轉發等級，根據所述轉發等級和報文的目的IP地址獲取報文的轉發優先級，利用該優先級對用戶報文的轉發進行控制；上述方案綜合考慮了用戶的帳號和報文目的IP地址對報文轉發的影響，報文轉發優先級的確定更合理，具有較高的報文轉發控制精度和靈活性。
文檔編號H04L12/56GK1531250SQ0310719
公開日2004年9月22日 申請日期2003年3月13日 優先權日2003年3月13日
發明者侯超, 管紅光, 王軍, 侯 超 申請人:華為技術有限公司