專利名稱:一種接入網絡中ip業務數據流自動分類的方法及其裝置的制作方法
技術領域:
本發明涉及通信技術領域,尤其涉及一種接入網絡領域中對IP業務數據流進行 自動分類的方法及其裝置。
背景技術:
以IP數據和以太網為代表的封包交換技術首先從接入網絡領域開始進入電信核 心交換領域。但是,封包交換技術的服務質量管理存在先天的不足,難以滿足按質論價、優 質優價的主流電信運行模式。因此,IP承載層必須提供不同的Q0S以滿足差異化的數據服 務需求。互聯網工程任務組IETF提出了二種有關IP服務質量解決方案的建議模型綜合 服務模型(Integrated Services)和差分服務模型(Differentiated Services),并提出 IP數據流分類(Flowclassification),當前流分類技術的一個主要應用是在IP網絡QoS 模型(如DiffServ/lntServ模型)中,對不同等級的業務流進行分類和調度,以提供不同 級別的服務質量。而在目前的IP多業務接入網絡應用中,用戶側可能有不同的業務終端,如IPTV機 頂盒、IP話機、PC數據終端等,這些終端對應不同的業務需求應用,如視頻、語音、高速上網 等,電信運營商需要將用戶的IP數據流分類以區別對待,如此電信運營商可以對不同類別 的業務流進行不同的業務計費、數據轉發、及QoS策略等。同時,來自用戶側的網絡攻擊也 是一個潛在的網絡安全,如此電信運營商可以對不同類別的業務流進行不同的安全監控, 深度監測(區分和過濾非法的或不安全的數據流),保障關鍵業務。當前,來自用戶側的IP業務數據流在網絡接入設備(例如數字用戶線路接入復 用器DSLAM、各類PON設備),往往可以利用ACL (接入訪問控制)等技術根據預先設定的策 略允許或禁止相應的IP數據包通過并進行業務分類處理。例如它可根據IP數據流其物 理端口、MAC地址、源IP地址等預置的一組或幾組規則來識別用戶業務特征,網絡接入設備 進而可以用特定的方式分類、標記業務數據流,以便執行用戶規定的動作,配合其它操作策 略一起完成某項任務(例如將不同的業務數據映射到不同的VLAN中)。但是,其業務分類處理依賴需要電信運營商的操作維護人員人為配置干預、并且 牽涉到網絡的整體規劃,對于策略制定及網絡規劃的人員的技術素質要求比較高,操作維 護人員需要明確每一臺主機及工作站的IP地址信息及所在的IP子網并確認它們之間的訪 問關系來配置策略規則。而對于大型網絡,為了完成業務區分控制,甚至不得不花費很多的 網絡資源,例如增加監控和深度檢測設備等;同時,巨大的網絡終端數量,以及設備的更換 移動等情況,同樣會增加管理的復雜度和難度和工作量。簡單舉例,如果運營商希望針對用戶不同業務進行分類,通常需要在每類業務下 逐個配置用戶IP地址,在目前的海量寬帶用戶的應用背景下,會對運維造成巨大的工作 量;而當終端用戶移動或更換設備時,同樣需要調整相應配置。
發明內容
本發明旨在解決前述一個或多個技術問題,提供一種在IP業務應用場景下網絡 接入設備能夠自動地對用戶業務數據進行流分類,進而可按照一定策略進行處理(包括過 濾、轉發、重定向等)的技術方案。根據本發明的一個方面,這里提供一種用于IP業務數據流自動分類的網絡接入 設備,包括偵聽裝置,用于偵聽用戶終端與網絡資源管理設備之間的接入控制協議報文;識 別裝置,根據所述接入控制協議報文識別用戶終端業務類型及其網絡接入資源配置;處理 裝置,根據前述業務類型和網絡接入資源配置對用戶IP業務數據流進行分類處理。根據本發明的另外一個方面,這里提供一種網絡接入設備中進行IP業務數據流 自動分類的方法,包括如下步驟a)、偵聽用戶終端與網絡資源管理設備之間的接入控制協 議報文;b)、根據所述接入控制協議報文識別用戶終端業務類型及其網絡接入資源配置; c)、根據前述業務類型和網絡接入資源配置對用戶IP數據流進行分類處理。本發明具有如下技術優勢它避免了通過繁瑣的網絡管理配置方式對網絡接入設備進行單獨配置以對不同 的業務流區分處理,網絡接入設備通過對用戶終端和網絡資源管理設備之間的接入控制協 議報文偵聽、識別用戶終端的業務屬性,從而自動建立起與業務屬性一致的數據流分類處 理,來自各用戶終端的業務數據流將實現自動化、批量化的數據流量分類和處理(例如映 射到相應的VLAN ID和進行802. ID優先級標記),提供給網絡進行進一步分類和策略及服 務等級的區分,大大提升維護和配置的效率,優化網絡質量,同時減少管理的成本。
通過下面提出的結合附圖的詳細描述,本發明的特征、性質和優點將變得更加明 顯,附圖中相同的元件具有相同的標識,其中圖1為一種典型的多業務接入網絡系統結構示意圖例;圖2為本發明所提供的網絡接入設備結構示意圖例;圖3為本發明所提供的網絡接入設備對用戶IP數據的分類流程圖例;
具體實施例方式下面結合附圖,對本發明的優選實施方式進行詳細的說明。如圖1所示意的本發明多業務接入網絡系統結構示意圖,它包括用戶網絡10、接 入網絡20,以及網絡資源管理設備30,其中用戶網絡10中具有不同業務類型的用戶終端(11、12、13、14)通過一個客戶網絡 終端CPE 15與接入網絡20中的網絡接入設備21相連,典型的業務類型的終端如IPTV機 頂盒11、IP電話12、PC終端13、移動PC終端14可在通過不同的接入控制協議方式在通過 設備認證后取得不同的網絡接入資源(例如不同的源IP地址)配置以訪問網絡;客戶網 絡終端CPE 15為橋接工作方式,用戶網絡10中的不同業務終端發出的數據報文被CPE透 傳橋接至接入網絡20,在目前的現網中,例如中國電信、聯通所使用的CPE終端,約有80 % 以上工作在橋接模式。不同用戶終端(11、12、13、14)在采用接入控制協議請求網絡接入資源配置時,它們可通過相應的控制協議提供一個用于識別其業務類型的標記信息,下面我們以DHCP認 證方式為例說明IPTV機頂盒11通過DHCP認證方式請求網絡接入資源配置,以DHCP OPTION擴展 選項進行來標記其業務類型,用來作為DHCP擴展選項主要為0PTI0N60 (相關協議標準參 考RFC2132)和0PTI0N82 (相關協議標準參考RFC3046)。其中,0PTI0N60中帶有Vendor和 ServiceOption信息,是由用戶終端發起DHCP請求時攜帶的信息,運營商在定制各種業務 類型的用戶終端時,可通過不同的0PTI0N60選項標記來表征不同的業務類型,并在該終端 進行接入認證時候要求其提供該0PTI0N60信息以用于網絡側的網絡接入設備21或網絡資 源管理設備30等進行業務識別或認證管理等;而0PTI0N82則主要由網絡接入設備21插入 在用戶終端發出的DHCP報文中,主要用來標識用戶終端的接入位置、端口定位可輔助用戶 終端身份認證或業務類型識別。圖例1中的網絡資源管理設備30是一個獨立的DHCP服務器(也可集成于網絡接 入設備21或其它網絡設備中),它可以在用戶終端認證通過后自動為其配置IP地址、掩碼、 網關、DNS (域名服務器)、WINS (互聯網名稱服務器)等等網絡接入資源參數,解決客戶機 位置變化(如便攜機或無線網絡)和客戶機數量超過可分配的IP地址的情況,簡化用戶設置,提高管理效率。一種網絡資源管理設備部署方式,通過集中放置DHCP服務器來處理用戶對不同 業務的IP地址需求和網絡參數配置,同時為運營管理方便,DHCP服務器可通過所接收到得 請求消息中的客戶信息識別其業務類型并依此分配不同的網絡接入資源參數,該方式下的 DHCP服務器可通過與接入網絡設備21之間的共識、約定或預先配置、或其他途徑方式將用 戶終端的業務類型告知網絡接入設備21。對于前述IPTV機頂盒11的業務類型識別,DHCP服務器可利用所接收到來自用戶 終端側的DHCP協議報文中的0PTI0N60、0PTI0N82等選項信息或其組合來作為前述客戶信 息識別和認證其業務類型,如前所述,0PTI0N60中帶有Vendor和krvice Option信息,由 用戶終端發起DHCP請求時攜帶的信息;而0PTI0N82信息是由網絡接入設備21插入在用戶 終端發出的DHCP報文中,主要用來標識用戶終端的接入位置、端口定位以輔助用戶終端身 份認證或業務類型識別。對于前述用戶終端的網絡接入資源參數配置,以IP地址參數分配為例運營商可 采用不同的IP地址段來區分不同類型的業務,以便于計費、監測和管理。當用戶使用語音 業務時,DHCP服務器在收到資源請求時候,將從地址池中提供一個專門用戶語音業務的IP 地址;當用戶使用IPTV業務時,DHCP服務器在收到資源請求時候,將從地址池中提供一個 對應的IPTV業務的IP地址。另外一種網絡資源管理設備部署方式,DHCP服務器根據各用戶終端(11、12、13、 14)所提供的DHCP協議報文中的攜帶的用戶信息進行認證、并最終為各用戶終端進行包括 IP地址在內的網絡接入資源參數配置,它不對其業務類型進行識別和標記,而由網絡接入 設備21來自行識別和標記。這里,DHCP服務器還可在完成驗證將客戶端的IP地址等信 息封裝成DHCP OFFER包的時候,將賣主(Vendor)信息通過OPTION 125信息封裝進DHCP OFFER包中再發送給用戶終端側,DHCP服務器在收到Request包后,同樣也會在回給用戶終 端的DHCP ACK包中添加0PTI0N125的信息,該OPTION 125選項信息可將用戶終端的運營商信息反饋給網絡接入設備21以輔助其識別用戶終端的業務類型。圖例1中的接入網絡20中網絡接入設備21可以是典型的DSLAM/xPON等設備,它 對不同用戶終端的上、下行DHCP協議報文進行偵聽、識別用戶終端業務類型及其網絡接入 資源配置,根據前述業務類型和網絡接入資源配置對用戶終端(11、12、13、14)的IP數據流 進行分類處理。根據本發明所提供的一種網絡接入設備21實施例,DSLAM/xPON設備與DHCP服務 器之間達成一種共識、約定或預先配置,如前所述,由集中放置的DHCP服務器來處理不同 業務類型的用戶終端的業務類型識別和IP地址需求等網絡接入資源配置,DHCP服務器采 用不同的IP地址段來區分不同類型的業務,以便于計費、監測和管理。結合圖例2所提供 的網絡接入設備結構示意,DSLAM/xPON設備中的偵聽裝置211僅僅需要通過偵聽來自網絡 側DHCP服務器的特定類型的DHCP協議消息,例如DHCP ACK消息來獲得其為各用戶終端 所配置的包括I P地址在內的網絡接入資源參數,識別裝置212通過IP地址區間段判斷即 可識別該用戶終端所對應的業務類型,處理裝置213進而在能夠對各用戶終端(11、12、13、 14)的IP地址的數據進行分類和處理。對特定業務類型的用戶終端的數據包實施不同的 ACL(訪問控制列表)技術,通過自動配置一系列的匹配規則、識別需要過濾的對象,之后根 據預先設定的策略允許或禁止相應的數據包通過;另外,也對特定業務類型的用戶終端的 數據包實施不同的VLAN映射和802. ID優先級標記處理。以下簡單舉例說明處理裝置213在收到來自IP電話12的數據報文,根據其源IP地址查詢其對應的 業務類型為語音業務,它可以采用每業務一 VLAN的策略,在局端打上外層標簽100透傳到 相應的邊緣業務路由器(SR)。處理裝置213在收到來自PC終端13的數據報文,根據其源IP地址查詢其對應的 業務類型為HSI業務,它可以采用每用戶一 VLAN的策略,在局端打上外層標簽101透傳到 BRAS。處理裝置213在收到來自IPTV機頂盒11數據報文,根據其源IP地址查詢其對應 的業務類型為視頻組播業務,在后續該用戶相應的業務交互中,它能夠自動地將其業務數 據流映射到相應視頻VLAN200中;同時,可進一步限定其只能用于完成IPTV業務的訪問流 程,超出IPTV業務系統之外的目的IP地址一概不能訪問。值得說明的是,對于IPTV視頻 業務來說,可能是單播的數據包,也可能是組播數據包,對于下行的組播視頻的數據業務, DSLAM/xPON實現IGMP代理及跨VLAN組播,已經能夠識別數據流了 ;但對于某些用單播方 式提供視頻業務數據的視頻業務,DSLAM/xPON仍然能夠通過本發明的方法來識別用戶的業 務數據流,將其業務數據流映射到相應視頻VLAN中。根據本發明所提供的網絡接入設備21—種實施例,仍舊結合圖例2所提供的設備 結構示意圖,DSLAM/xPON設備中的偵聽裝置211偵聽用戶終端與DHCP服務器之間的DHCP 協議消息,獲得可用于識別其業務類型的DHCP協議選項信息,如前所述,不同用戶終端的 DHCP 0PTI0N60中帶有Vendor和Service Option信息,是由用戶終端發起DHCP請求時 攜帶的信息,DSLAM/xPON設備可用來識別用戶終端類型;來自用戶終端的DHCP協議報文 所對應在網絡接入設備的端口信息;甚至DHCP服務器響應用戶終端的DHCP OFFER包中的 0PTI0N125信息也可以輔助作為識別用戶終端類型;偵聽裝置211進一步偵聽來自網絡側 DHCP服務器的特定類型的DHCP協議消息,例如DHCPACK消息來獲得其為各用戶終端所配置的包括IP地址在內的網絡接入資源參數;識別裝置212通過前述的DHCP選項信息或其 組合來作為前述客戶信息識別各用戶終端的業務類型、并且記錄下不同業務終端所對應的 業務類型以及DHCP服務器提供給用戶終端的IP地址在內的網絡接入資源參數;處理裝置 213進而在能夠對各用戶終端(11、12、13、14)的IP地址的數據進行分類和處理。對特定 業務類型的用戶終端的數據包實施不同的ACL(訪問控制列表)技術,通過配置一系列的匹 配規則、識別需要過濾的對象,之后根據預先設定的策略允許或禁止相應的數據包通過;另 外,也對特定業務類型的用戶終端的數據包實施不同的VLAN映射和802. ID優先級標記處 理。以下簡單舉例說明處理裝置213在收到來自IP電話12的數據報文,根據其源IP地址查詢其對應的 業務類型為語音業務,它可以采用每業務一 VLAN的策略,在局端打上外層標簽100透傳到 相應的業務路由器(SR)處理裝置213在收到來自PC終端13的數據報文,根據其源IP地址查詢其對應的 業務類型為HSI業務,它可以采用每用戶一 VLAN的策略,在局端打上外層標簽101透傳到 BRAS。處理裝置213在收到來自IPTV機頂盒11數據報文,根據其源IP地址查詢其對應 的業務類型為視頻組播業務,在后續該用戶相應的業務交互中,它能夠自動地將其業務數 據流映射到相應視頻VLAN200中;同時,可進一步限定其只能用于完成IPTV業務的訪問流 程,超出IPTV業務系統之外的目的IP地址一概不能訪問。值得說明的是,對于IPTV視頻 業務來說,可能是單播的數據包,也可能是組播數據包,對于下行的組播視頻的數據業務, DSLAM/xPON實現IGMP代理及跨VLAN組播,已經能夠識別數據流了 ;但對于某些用單播方 式提供視頻業務數據的視頻業務,DSLAM/xPON仍然能夠通過本發明的方法來識別用戶的業 務數據流,將其業務數據流映射到相應視頻VLAN中。圖3為本發明所提供的網絡接入設備對用戶IP數據的分類流程圖例,它包括如下 步驟步驟S301,接入控制協議報文偵聽;—種方式,在集中放置DHCP服務器對用戶終端業務類型進行識別并按照約定分 配網絡接入資源的情況下,網絡接入設備僅僅需要通過偵聽來自網絡側DHCP服務器的特 定類型的DHCP協議消息,例如DHCP ACK消息來獲得其為各用戶終端所配置的包括IP地 址在內的網絡接入資源參數。另外一種方式,網絡接入設備偵聽用戶終端與DHCP服務器之間的DHCP協議消息, 獲得可用于識別其業務類型的DHCP協議選項信息,如前所述,由用戶終端發起DHCP請求時 攜帶的DHCP 0PTI0N60選項,其中帶有Vendor和krvice Option信息;來自用戶終端的 DHCP協議報文所對應在網絡接入設備的端口信息;甚至DHCP服務器響應用戶終端的DHCP OFFER包中的OPTION 125信息也可以輔助作為識別用戶終端類型;網絡接入設備進一步偵 聽來自網絡側DHCP服務器的特定類型的DHCP協議消息,例如DHCP ACK消息來獲得其為 各用戶終端所配置的包括IP地址在內的網絡接入資源參數;步驟S302,用戶終端業務類型識別及其接入資源參數記錄;網絡接入設備可通過前述偵聽所獲得的DHCP選項信息或其組合來作為前述客戶 信息識別各用戶終端的業務類型、并且記錄下DHCP服務器提供給相應用戶終端的IP地址在內的網絡接入資源參數。步驟S303,用戶終端的IP數據分類處理;網絡接入設備對各用戶終端(11、12、13、14)的IP地址的數據進行分類和處理,對 特定業務類型的用戶終端的數據包實施不同的ACL(訪問控制列表)技術,通過配置一系列 的匹配規則、識別需要過濾的對象,之后根據預先設定的策略允許或禁止相應的數據包通 過;另外,也對特定業務類型的用戶終端的數據包實施不同的VLAN映射和802. ID優先級標 記處理。例如對IP電話12的數據報文,它可以采用每業務一 VLAN的策略,在局端打上外 層標簽100透傳到相應的邊緣業務路由器(SR);對PC終端13的數據報文,它可以采用每 用戶一 VLAN的策略,在局端打上外層標簽101透傳到BRAS ;對IPTV機頂盒11數據報文, 它能夠自動地將其業務數據流映射到相應視頻VLAN 200中。根據前述所提供的本發明技術實施例,在接入網絡系統中可建立一套完整的業務 開展及數據業務流分類的方案,從而減少運營商在業務部署及運維時的配置工作量,提高 運營的靈活性。因此,本發明提供的完整的方案能較好地服務于目前的多業務I P寬帶網 絡,并且對未來針對不同用戶業務數據實現豐富的運營策略,安全監控,計費及服務質量保 證有較大意義。盡管上述說明為本發明提供了一些實施例,并非用來限定本發明的保護范圍,本 技術領域的專業人員可以在不脫離本發明的范圍和精神的前提下,對實施例進行各種修 改,這種修改均屬于本發明的范圍內。
權利要求
1.一種用于IP業務數據流自動分類的網絡接入設備,其特征在于包括偵聽裝置用于偵聽用戶終端與網絡資源管理設備之間的接入控制協議報文; 識別裝置根據所述接入控制協議報文識別用戶終端業務類型及其網絡接入資源配置;處理裝置根據前述業務類型和網絡接入資源配置對用戶IP數據流進行分類處理。
2.如權利1所述的網絡接入設備,其特征在于所述接入控制協議報文為DHCP協議報文。
3.如權利2所述的網絡接入設備,其特征在于所述偵聽裝置通過其特定的DHCP協議報 文OPTION選項進行偵聽、獲得可用于識別其業務類型的標記信息。
4.如權利3所述的網絡接入設備,其特征在于所述DHCP選項為0PTI0N60、0PTI0N125。
5.如權利2所述的網絡接入設備,其特征在于所述偵聽裝置對DHCP協議響應消息進行 偵聽,獲得該用戶終端包括IP地址在內的網絡接入資源參數。
6.如權利1至5任一權項所述的網絡接入設備,其特征在于所述處理裝置根據用戶終 端的業務類型對其IP數據流進行接入訪問控制(ACL)分類配置。
7.如權利1至5任一權項所述的網絡接入設備,其特征在于所述處理裝置根據用戶終 端的業務類型對其IP數據流進行VLAN映射或/和優先級標記。
8.—種網絡接入設備中進行IP業務數據流自動分類的方法,其特征在于包括如下步驟a)、偵聽用戶終端與網絡資源管理設備之間的接入控制協議報文;b)、根據所述接入控制協議報文識別用戶終端業務類型及其網絡接入資源配置;c)、根據前述業務類型和網絡接入資源配置對用戶IP數據流進行分類處理。
9.如權利要求8所述的方法,其特征在于所述接入控制協議報文為DHCP協議報文。
10.如權利要求9所述的方法,其特征在于所述步驟a)中,網絡接入設備對來自用戶終 端或網絡資源管理設備的DHCP協議消息進行偵聽,通過其特定的DHCP選項獲得可用于識 別其業務類型的標記信息。
11.如權利要求9所述的方法,其特征在于所述步驟a)中,網絡接入設備對DHCP協議 響應消息進行偵聽,獲得該用戶終端包括IP地址在內的網絡參數。
12.如權利要求8至11任一權項所述的方法,其特征在于所述步驟c)中,網絡接入設 備根據前述網絡資源配置對用戶終端的IP數據流進行接入訪問控制(ACL)配置。
13.如權利要求8至11任一權項所述的方法,其特征在于所述步驟c)中,網絡接入設 備對用戶終端的IP數據流進行VLAN標記或/和優先級標記。
全文摘要
本發明提供了一種網絡接入設備中進行IP業務數據流分類的方法及其裝置,它通過偵聽用戶終端與網絡資源管理設備之間的接入控制協議報文(例如DHCP協議報文),并根據所述接入控制協議報文識別用戶終端業務類型及其網絡接入資源配置,之后自動對用戶IP數據流進行分類處理。進而可在接入網絡系統中可建立完整的業務開展及數據業務流分類方案,從而減少運營商在業務部署時的配置工作量,提高運營的靈活性。
文檔編號H04L29/06GK102055645SQ20091019863
公開日2011年5月11日 申請日期2009年11月11日 優先權日2009年11月11日
發明者魯林麗 申請人:上海貝爾股份有限公司