專利名稱:一種用戶接入安全控制的方法、系統(tǒng)和設備的制作方法
技術領域:
本發(fā)明涉及通信領域���,特別涉及一種用戶接入安全控制的方法����、系統(tǒng)和設備��。
背景技術:
隨著寬帶接入技術的發(fā)展�����,網絡的接入方式和接入技術已經發(fā)生了很大的變化�����。網絡也 由傳統(tǒng)的只提供Internet接入業(yè)務的網絡,發(fā)展為多業(yè)務承載的網絡����。參見圖1,為現(xiàn)有技 術提供的寬帶接入技術的組網示意圖�����,其中�,電視機頂盒、VoIP (Voice over Internet Protocol,網絡電話)終端�����、連接Internet的PC���、以及移動電話終端����、手持多媒體終端等 用戶通過RG (Residential Gateway,家庭網關設備)完成統(tǒng)一地接入���,RG通過電話雙絞線 或通過ADSL (Asymmetric Digital Subscriber Line, 異步數字用戶線路)/VDSL
(Very-high-data-rate Digital Subscriber Line,高速數字用戶線路)等技術接入到 DSLAM (Digital Subscriber Line Access Multiplexer,數字用戶線路接入設備)����,其中DSLAM 是一個二層設備,用于完成對用戶接入鏈路的匯聚��,實現(xiàn)xDSL (ADSL/VDSL)和上行的以太 鏈路的轉換����;然后DSLAM通過接入網接入到BNG (Broadband Network Gateway,寬帶網絡網 關),其中BNG可以是BRAS (Broadband Remote Access Server,寬帶遠程接入服務設備)��, 也可以是專門提供業(yè)務的路由器�����,在網絡中BNG用于實現(xiàn)PPPoE (PPP over Ethernet,承載 在Ethernet上的PPP協(xié)議)的接入���,通常是實現(xiàn)PC接入Internet的業(yè)務;用于實現(xiàn)DHCP
(Dynamic Host Configuration Protocol,動態(tài)主機分配協(xié)議)接入�,通常是實現(xiàn)電視機頂 盒、VoIP終端等的接入管理;BNG還用于將由ASP (Application Service Provider,應用 服務提供商)/ISP (Internet Service Provider, Internet接入服務提供商)提供不同的 業(yè)務數據流量分發(fā)到對應的用戶����,其中ASP/ISP提供的業(yè)務包括IPTV、 Internet接入、VoIP 等�。網絡中還包括通過向網絡中的各個網關設備下發(fā)控制策略實現(xiàn)對用戶/業(yè)務管理的策略服 務器,網關服務器等�。
由此可見,BNG在網絡中是處于處理用戶接入管理�����、業(yè)務分發(fā)�����、業(yè)務策略實施等功能的 核心節(jié)點��。
參見圖2�,為現(xiàn)有技術提供的用戶業(yè)務接入映射示意圖。不同的用戶業(yè)務通過RG接入后����,
通過不同的VC(Virtual Circuit,虛擬電路)接入到DSLAM,其中����,電視機頂盒業(yè)務通過VC1 接入、VoIP業(yè)務通過VC2接入��、PC業(yè)務通過VC3接入。DSLAM完成VC到VL緒的映射時���,現(xiàn)
有技術提供了兩種映射模型
1) N:l模型相同的業(yè)務類型����,映射到同一個S-VLAN�����,即一臺DSLAM上��,所有的用戶 的相同業(yè)務類型的流量���,到達BNG的時候��,BNG是通過相同的S-VLAN來識別的����。
2) 1:1模型DSLAM為每個業(yè)務類型��,分配唯一的S-VLAN+OVLAN的組合�, 一般S-VLAN 來識別業(yè)務��,C-VLAN來識別用戶,即一臺DSLAM上��,用戶的每種業(yè)務類型的數據報文到達BNG 的時候�����,BNG是通過S-VLAN+C-VLAN的組合進行唯一確定的�。
發(fā)明人在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn),現(xiàn)有技術至少存在以下缺點和不足
BNG識別接入的用戶鏈路是通過VLAN/QinQ實現(xiàn)���,安全控制也是以VLAN/QinQ為粒度進
行的���,在多業(yè)務的模式下,BNG無法通過VLAN/QinQ唯一地識別出用戶鏈路���,進而也就無法
對單個用戶鏈路實施安全控制�����。
發(fā)明內容
為了能夠使BNG對單個用戶鏈路實施安全控制�����,本發(fā)明實施例提供了一種用戶接入安全 控制的方法����、系統(tǒng)和設備。所述技術方案如下
本發(fā)明實施例提供了一種用戶接入安全控制的方法�����,所述方法包括 接收接入請求報文�����,所述接入請求報文攜帶用戶鏈路標識��; 解析所述接入請求報文得到所述用戶鏈路標識����;
根據所述用戶鏈路標識判斷所述接入請求報文是否滿足預設接入條件; 如果是����,允許所述用戶鏈路標識對應的用戶接入。
本發(fā)明實施例還提供了一種用戶接入安全控制的系統(tǒng)�,所述系統(tǒng)包括 用戶節(jié)點,用于發(fā)送接入請求報文����;
接入設備,用于接收所述用戶節(jié)點發(fā)送的接入請求報文��,在所述用戶節(jié)點發(fā)送的接入請 求報文中插入用戶鏈路標識�����,發(fā)送插入用戶鏈路標識的接入請求報文��;
控制設備����,用于接收到所述接入設備發(fā)送的插入用戶鏈路標識的接入請求報文后,進行 解析得到所述用戶鏈路標識�;根據所述用戶鏈路標識判斷所述接入請求報文是否滿足預設接 入條件,如果是�����,允許所述用戶鏈路標識對應的所述用戶節(jié)點接入�。
本發(fā)明實施例還提供了一種接入設備,所述設備包括
接收模塊�����,用于接收用戶節(jié)點發(fā)送的接入請求報文���;
標識插入模塊����,用于在所述接收模塊接收的接入請求報文中插入用戶鏈路標識; 發(fā)送模塊�,用于發(fā)送所述標識插入模塊插入用戶鏈路標識后的接入請求報文。 本發(fā)明實施例還提供了一種控制設備�����,所述設備包括
接收模塊���,用于接收接入設備發(fā)送的接入請求報文�����,所述接入請求報文中攜帶用戶鏈路 標識��;
解析模塊�����,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識�����; 處理模塊��,用于根據所述解析模塊解析得到的用戶鏈路標識判斷所述接入請求報文是否 滿足預設接入條件����,如果是��,允許所述用戶鏈路標識對應的用戶接入���。 本發(fā)明實施例提供的技術方案的有益效果是-
通過在BNG設備上配置邏輯接口�,在多業(yè)務的模式下能夠唯一識別出用戶鏈路����,從而實 現(xiàn)在預先配置好的邏輯接口上根據用戶鏈路標識信息對單個用戶鏈路實施安全控制。
圖1是現(xiàn)有技術提供的寬帶接入技術的組網示意圖2是現(xiàn)有技術提供的用戶業(yè)務接入映射示意圖3是本發(fā)明實施例1提供的用戶接入安全控制的方法流程圖4是本發(fā)明實施例2提供的用戶接入安全控制的方法流程圖5是本發(fā)明實施例3提供的用戶接入安全控制的方法流程圖6是本發(fā)明實施例4提供的用戶接入安全控制的系統(tǒng)示意圖���; 圖7是本發(fā)明實施例5提供的接入設備的示意圖����; 圖8是本發(fā)明實施例6提供的控制設備的示意圖�����。
具體實施例方式
為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚��,下面將結合附圖對本發(fā)明實施方式作進 一步地詳細描述�。
本發(fā)明實施例提供的技術方案,BNG能夠在多業(yè)務的模式下唯一地識別出用戶鏈路標識 信息���,進而對單個用戶鏈路實施安全控制���。其中,方法包括接收接入請求報文���,接入請求報 文攜帶用戶鏈路標識�����;解析接入請求報文得到用戶鏈路標識����;根據用戶鏈路標識判斷接入請 求報文是否滿足預設接入條件���;如果是��,允許用戶鏈路標識對應的用戶接入�����。
下面根據配置的具體的安全控制策略對本發(fā)明實施例提供的技術方案做詳細的闡述
實施例1
參見圖3����,本發(fā)明實施例提供了一種用戶接入安全控制的方法,步驟如下 步驟101: BNG獲取用戶鏈路標識���。
BNG獲取用戶鏈路標識信息時可以采用如下兩種方式實現(xiàn)
1) 利用管理員在BNG上通過命令行的方式手工配置出DSLAM的設備信息實現(xiàn)。DSLAM的 設備信息具體包括設備的框號�����、槽號和端口號��,其中�,DSLAM能夠通過框號+槽號+端口號 可以唯一確定接入DSLAM的一條用戶鏈路。參考命令行格式如下
access-loop_circuit_identifier dslaml_atm-frame-slot/port:[vpi. vci]�����。 其中���,access-loop-circuit - identifier是命令字��,表示BNG上需要配置一個用戶鏈 路標識�����,接著是各標識對應的字符串��,其中����,dslaml標識表示某個DSLAM節(jié)點名稱,atm表 示RG和DSLAM鏈路層是ATM�, frame是DSLAM的框號,slot是DSLAM中的槽號���,port是DSLAM 的端口號����,vpi. vci是可選的PVC (Permanent Virtual Circuit,永久虛電路)信息��。
2) 利用ANCP協(xié)議提供的鏈路信息上報功能實現(xiàn)�����。ANCP協(xié)議是通過TCP作為傳輸層協(xié)議, 提供了 BNG和DSLAM之間控制信息傳遞的通道��,當用戶啟動RG�,激活用戶鏈路時,DSLAM就 會通過ANCP協(xié)議將該用戶的用戶鏈路信息上報給BNG�����,其中����,用戶鏈路信息包括用戶鏈路狀 態(tài)、用戶鏈路標識以及相關的用戶鏈路參數等�����。ANCP協(xié)議定義如下
Type (Access-Loop-Circuit-ID = 0x01)��,長度最大為64��,協(xié)議默認的格式為 access-Node-Identifier atm slot/port[:vlan-id]
步驟102: BNG根據獲取的用戶鏈路標識����,為用戶鏈路標識創(chuàng)建對應的邏輯鏈路標識��。 其中,該邏輯鏈路標識具體可以為用戶鏈路標識�,也可以是根據用戶鏈路標識所創(chuàng)建的 邏輯接口,本發(fā)明實施例以邏輯鏈路標識為邏輯接口為例進行說明�����。BNG創(chuàng)建的邏輯接口與 用戶鏈路標識唯一對應�。創(chuàng)建接口時參考命令行如下
interface user-line dslaml- atm-frame-slot/port:[vpi. vci] 當BNG創(chuàng)建好邏輯接口后,就可以在創(chuàng)建的邏輯接口是實施安全控制策略了�����。 步驟103:用戶X通過DHCP發(fā)起接入請求�,即發(fā)送DHCP接入請求報文。 其中�,用戶針對自身的業(yè)務類型的不同,通常會通過DHCP協(xié)議或PPPoE協(xié)議發(fā)起接入請 求��,例如�,如果是PC用戶請求接入Internet的業(yè)務時,會通過PPPoE協(xié)議發(fā)起接入請求�; 如果電視機頂盒用戶請求接入IPTV業(yè)務或VoIP電話終端用戶請求接入VoIP業(yè)務時,則會通 .過DHCP協(xié)議發(fā)起接入請求�����。本實施例以用戶X通過DHCP發(fā)起接入請求為例進行說明,但是 不限制接入請求的類型�。
步驟104: DSLAM接收用戶X發(fā)送的DHCP接入請求報文,在接收到的DHCP接入請求報文 中插入用戶鏈路標識�,并將插入用戶鏈路標識后的DHCP接入請求報文轉發(fā)到BNG。
其中�����,由于DHCP協(xié)議自身的特點����,在報文中存在一個Agent-Circuit-ID選項,用來表 示用戶接入的線路的標識�����。當接收到用戶X發(fā)送的DHCP接入請求報文時����,DSLAM知道該接入 請求報文是通過自身的哪個框口���、槽口和端口接收的��,相應地�����,插入對應的用戶鏈路標識����, 其用戶鏈路標識的格式必須和BNG預設的用戶鏈路標識的格式一致。
歩驟105: BNG接收由DSLAM發(fā)送的攜帶用戶鏈路標識的DHCP接入請求報文���,根據DHCP 接入請求報文中攜帶的用戶鏈路標識�,判斷是否能查找到對應的邏輯接口���,如果是執(zhí)行步驟 106�,否則�,執(zhí)行步驟107。
歩驟106: BNG創(chuàng)建綁定在邏輯接口的用戶接入表項��,保存用戶X的信息���,并執(zhí)行步驟
亂
其中�,可以將用戶X的信息和對應的邏輯接口標識保存在用戶接入表中�����,用戶X的信息 包括用戶X的MAC (Media Access Control,媒體訪問控制)地址、IP地址�����、認證��、計費等信 息����。
步驟107: BNG丟棄收到接入請求報文,禁止用戶X接入��,結束����。
步驟108: BNG向DSLAM返回DHCP響應報文,該DHCP響應報文中攜帶用戶鏈路標識信息����。 步驟109: DSLAM收到BNG返回的DHCP響應報文,刪除DHCP響應報文中攜帶的用戶鏈路 標識信息�����,將刪除了用戶鏈路標識信息的DHCP響應報文轉發(fā)到用戶X����。 步驟110: DCHP協(xié)商完成后,用戶X成功接入BNG���,結束����。 當用戶接入BNG設備后��,還可以進一步地對用戶進行安全控制�。例如
1) 當需要對用戶X實施帶寬控制時,BNG還可以為創(chuàng)建的邏輯接口配置帶寬參數�����,其中 帶寬參數具體包括上行方向帶寬參數和下行方向帶寬參數��。
當用戶X成功接入BNG后����,用戶X發(fā)送數據報文,該數據報文中攜帶用戶MAC地址和IP 地址等信息��,BNG根據接收到的數據報文中攜帶的用戶MAC地址和IP地址查找用戶接入表表, 找到對應的邏輯接口���,根據該邏輯接口配置的上行方向帶寬參數��,對該數據報文進行帶寬控 制�����;當網絡中提供服務的設備(如ASP)通過BNG向用戶X發(fā)送數據報文時����,根據該數據報 文中攜帶的用戶MAC地址�����,查找用戶接入表���,找到對應的邏輯接口上���,根據該邏輯接口上配 置的下行方向帶寬參數,對向用戶X發(fā)送的數據報文進行帶寬控制�。
2) 當需要對用戶X實施訪問控制控制時,即進行流量控制����,還可以利用traffic-policy 命令在BNG邏輯接口上配置訪問控制策略����。
當用戶X成功接入BNG后���,用戶X發(fā)送數據報文,該數據報文中攜帶用戶MAC地址和IP 地址等信息��,BNG根據接收到的數據報文中攜帶的用戶MAC地址和IP地址查找用戶接入表����, 找到用戶X對應的邏輯接口,根據該邏輯接口配置的訪問控制策略��,對該用戶X發(fā)送的數據 報文進行流量控制��;當網絡中提供服務的設備(如ASP)通過BNG向用戶X發(fā)送數據報文時�, 根據該數據報文中攜帶的用戶X的MAC地址査找用戶接入表,找到用戶X對應的邏輯接口 �, 該數據報文的下一跳地址為BNG設備上用戶X對應的邏輯接口 ,根據該邏輯接口配置的訪問 控制策略��,對通過BNG向用戶X發(fā)送的數據報文進行流量控制����。
3)當用戶X請求IGMP (Internet Group Management Protocol,網絡組管理協(xié)議)點 播希望加入組播組時�,進一步�,BNG還可以在邏輯接口配置組播控制策略,即配置組播控制 列表��。
當用戶X成功接入BNG后����,用戶X發(fā)送IGMP報文請求,該報文請求中攜帶用戶MAC地址���; BNG收到用戶X發(fā)送的IGMP報文請求后�����,根據MAC地址査找用戶接入表��,找到用戶X對應的 邏輯接口�����,根據該邏輯接口配置的組播控制列表判斷是否允許用戶X加入組播組���,如果是�, 則BNG允許用戶X加入組播組����,處理用戶X發(fā)送IGMP報文請求,下發(fā)組播數據流量��;否則����, 丟棄用戶X發(fā)送IGMP報文請求��。
本發(fā)明實施例提供的方法通過在BNG設備上配置邏輯接口�,在多業(yè)務的模式下能夠唯一 識別出用戶鏈路,從而實現(xiàn)通過在邏輯接口上配置的安全控制策略�,根據用戶鏈路標識信息 對單個用戶鏈路實施接入控制、帶寬控制����、流量控制以及組播控制等安全控制。
實施例2
參見圖4����,本發(fā)明實施例提供了一種用戶接入安全控制的方法,步驟如下 步驟201: BNG獲取用戶鏈路標識����。
步驟202: BNG根據獲取的用戶鏈路標識����,為用戶鏈路標識信息創(chuàng)建對應的邏輯鏈路標識����。 其中,本發(fā)明實施例以邏輯鏈路標識為邏輯接口為例進行說明��。
步驟203: BNG限制邏輯接口上用戶的IP Session個數��,即預設用戶的IP Session的上限�����。
步驟204:用戶X通過DHCP發(fā)起接入請求�����,即發(fā)送DHCP接入請求報文���。 步驟205: DSLAM接收用戶X發(fā)送的DHCP接入請求報文�,在接收的DHCP接入請求報文中 插入用戶鏈路標識��,并將插入用戶鏈路標識后的DHCP接入請求報文轉發(fā)到BNG。
步驟206: BNG接收由DSLAM發(fā)送的攜帶用戶鏈路標識的DHCP接入請求報文����,根據接入
請求報文中攜帶的用戶鏈路標識,判斷是否能査找到對應的邏輯接口����,如果是執(zhí)行步驟207, 否則�����,執(zhí)行步驟208����。
步驟207:判斷用戶X的IP Session個數是否小于查找到邏輯接口上預設用戶的IP Session的上限��,如果是��,則執(zhí)行步驟209��,否則執(zhí)行歩驟208����。
步驟208: BNG丟棄收到接入請求報文��,禁止用戶X接入���,結束。
歩驟209: BNG創(chuàng)建綁定在邏輯接口的用戶接入表項�,保存用戶X的信息;并向DSLAM返 回響應報文����,該響應報文中攜帶用戶鏈路標識。
步驟210: DSLAM收到BNG返回的DHCP響應報文���,刪除報文中攜帶的用戶鏈路標識���,將 刪除了用戶鏈路標識的DHCP響應報文轉發(fā)到用戶X。
步驟211: DHCP協(xié)商完成后���,用戶X成功接入BNG; BNG設備將記錄的該用戶IP Session 個數加l�,結束����。
當用戶接入BNG設備后,還可以進一步地對接入的用戶進行安全控制���。例如
1) 當需要對用戶X實施帶寬控制時���,BNG還可以為創(chuàng)建的邏輯接口配置帶寬參數��,其中 帶寬參數具體包括上行方向帶寬參數和下行方向帶寬參數����。
當用戶X成功接入BNG后�����,用戶X發(fā)送數據報文��,該數據報文中攜帶用戶MAC地址和IP 地址等信息���,BNG根據接收到的數據報文中攜帶的用戶MAC地址和IP地址查找用戶接入表表, 找到對應的邏輯接口�����,根據該邏輯接口配置的上行方向帶寬參數����,對該數據報文進行帶寬控 制��;當網絡中提供服務的設備(如ASP)通過BNG向用戶X發(fā)送數據報文時���,根據該數據報 文中攜帶的用戶MAC地址,査找用戶接入表�����,找到對應的邏輯接口上��,根據該邏輯接口上配 置的下行方向帶寬參數�����,對向用戶X發(fā)送的數據報文進行帶寬控制��。
2) 當需要對用戶X實施訪問控制控制時��,即進行流量控制��,還可以利用traffic-policy 等命令在BNG邏輯接口上配置訪問控制策略��。
當用戶X成功接入BNG后���,用戶X發(fā)送數據報文�,該數據報文中攜帶用戶MAC地址和IP 地址等信息,BNG根據接收到的數據報文中攜帶的用戶MAC地址和IP地址查找用戶接入表����, 找到用戶X對應的邏輯接口,根據該邏輯接口配置的訪問控制策略���,對該用戶X發(fā)送的數據 報文進行流量控制���;當網絡中提供服務的設備(如ASP)通過BNG向用戶X發(fā)送數據報文時, 根據該數據報文中攜帶的用戶X的MAC地址査找用戶接入表����,找到用戶X對應的邏輯接口, 該數據報文的下一跳地址為BNG設備上用戶X對應的邏輯接口 ����,根據該邏輯接口配置的訪問 控制策略,對通過BNG向用戶X發(fā)送的數據報文進行流量控制���。
3) 當用戶X請求IGMP (Internet Group Management Protocol,網絡組管理協(xié)議)點
播希望加入組播組時,進一步����,BNG還可以在邏輯接口配置組播控制策略����,即配置組播控制 列表�����。
當用戶X成功接入BNG后����,用戶X發(fā)送IGMP報文請求,該報文請求中攜帶用戶MAC地址����; BNG收到用戶X發(fā)送的IGMP報文請求后,根據MAC地址查找用戶接入表��,找到用戶X對應的 邏輯接口����,根據該邏輯接口配置的組播控制列表判斷是否允許用戶X加入組播組,如果是���, 則BNG允許用戶X加入組播組�,處理用戶X發(fā)送IGMP報文請求,下發(fā)組播數據流量�����;否則��, 丟棄用戶X發(fā)送IGMP報文請求����。
本發(fā)明實施例提供的方法通過在BNG設備上配置邏輯接口,在多業(yè)務的模式下能夠唯一 識別出用戶鏈路����,從而實現(xiàn)通過在邏輯接口上配置的安全控制策略,根據用戶鏈路標識信息 對單個用戶鏈路實施接入控制�����、帶寬控制�、流量控制以及組播控制等安全控制。
實施例3
參見圖5�����,本發(fā)明實施例提供了一種用戶接入安全控制的方法�����,步驟如下 步驟301: BNG獲取用戶鏈路標識�。
步驟302: BNG根據獲取的用戶鏈路標識,為用戶鏈路標識創(chuàng)建對應的邏輯鏈路標識���。
其中��,本發(fā)明實施例以邏輯鏈路標識為邏輯接口為例進行說明���。
步驟303: BNG通過不同的關鍵字配置邏輯接口上不同的用戶類型。參考命令行如下 terminal-type voip dhcp-option-60 include VoIP
步驟304:用戶X通過DHCP發(fā)起接入請求���,即發(fā)送DHCP接入請求報文����。
其中�����,用戶X通過DHCP發(fā)起接入請求�,例如,該DHCP接入請求中攜帶關鍵字為
VoIP-ISP-1�,表明用戶X是ISP-1的VoIP終端����。
通過步驟302和步驟303實現(xiàn)了用戶和BNG同時定義不同類型用戶的關鍵字�。
步驟305: DSLAM接收用戶X發(fā)送的DHCP接入請求報文,在接收到DHCP接入請求報文中
插入用戶鏈路標識�,并將插入用戶鏈路標識后的DHCP接入請求報文轉發(fā)到BNG。
步驟306: BNG接收由DSLAM發(fā)送的攜帶用戶鏈路標識信息的DHCP接入請求報文�,根據
DHCP接入請求報文中攜帶的用戶鏈路標識,判斷是否能査找到對應的邏輯接口�,如果是執(zhí)行
步驟307,否則��,執(zhí)行步驟308.
步驟307: BNG判斷用戶X的DHCP接入請求報文中攜帶的關鍵字是否和該邏輯接口上配
置的關鍵字匹配�,如果是,執(zhí)行步驟309���,否則執(zhí)行步驟308��。
步驟308: BNG丟棄收到接入請求報文�,禁止用戶X接入�,結束。
步驟309: BNG創(chuàng)建綁定在邏輯接口的用戶接入表項�,保存用戶X的信息;并向DSLAM返 回DHCP響應報文����,該DHCP響應報文中攜帶用戶鏈路標識����。
步驟310: DSLAM收到BNG返回的DHCP響應報文�,刪除報文中攜帶的用戶鏈路標識�,將 刪除了用戶鏈路標識的響應報文轉發(fā)到用戶X。
步驟311: DHCP協(xié)商完成后����,用戶X成功接入BNG,結束��。
當用戶接入BNG設備后���,還可以進一步地對接入的用戶進行安全控制����。例如
1) 當需要對用戶X實施帶寬控制時��,BNG還可以為創(chuàng)建的邏輯接口配置帶寬參數�����,其中
帶寬參數具體包括上行方向帶寬參數和下行方向帶寬參數。
當用戶X成功接入BNG后�,用戶X發(fā)送數據報文,該數據報文中攜帶用戶MAC地址和IP 地址等信息���,BNG根據接收到的數據報文中攜帶的用戶MAC地址和IP地址査找用戶接入表表����, 找到對應的邏輯接口�����,根據該邏輯接口配置的上行方向帶寬參數����,對該數據報文進行帶寬控 制;當網絡中提供服務的設備(如ASP)通過BNG向用戶X發(fā)送數據報文時����,根據該數據報 文中攜帶的用戶MAC地址,査找用戶接入表�����,找到對應的邏輯接口上�,根據該邏輯接口上配 置的下行方向帶寬參數���,對向用戶X發(fā)送的數據報文進行帶寬控制。
2) 當需要對用戶X實施訪問控制控制時�,即進行流量控制,還可以利用traffic-policy 等命令在BNG邏輯接口上配置訪問控制策略���。
當用戶X成功接入BNG后,用戶X發(fā)送數據報文�����,該數據報文中攜帶用戶MAC地址和IP 地址等信息�����,BNG根據接收到的數據報文中攜帶的用戶MAC地址和IP地址查找用戶接入表���, 找到用戶X對應的邏輯接口�,根據該邏輯接口配置的訪問控制策略�����,對該用戶X發(fā)送的數據 報文進行流量控制�;當網絡中提供服務的設備(如ASP)通過BNG向用戶X發(fā)送數據報文時���, 根據該數據報文中攜帶的用戶X的MAC地址査找用戶接入表,找到用戶X對應的邏輯接口 ����, 該數據報文的下一跳地址為BNG設備上用戶X對應的邏輯接口,根據該邏輯接口配置的訪問 控制策略����,對通過BNG向用戶X發(fā)送的數據報文進行流量控制。
3) 當用戶X請求IGMP (Internet Group Management Protocol,網絡組管理協(xié)議)點 播希望加入組播組時����,進一步,BNG還可以在邏輯接口配置組播控制策略��,即配置組播控制 列表����。
當用戶X成功接入BNG后,用戶X發(fā)送IGMP報文請求�,該報文請求中攜帶用戶MAC地址; BNG收到用戶X發(fā)送的IGMP報文請求后����,根據MAC地址査找用戶接入表��,找到用戶X對應的 邏輯接口����,根據該邏輯接口配置的組播控制列表判斷是否允許用戶X加入組播組��,如果是, 則BNG允許用戶X加入組播組,處理用戶X發(fā)送IGMP報文請求�����,下發(fā)組播數據流量�����;否則���,
丟棄用戶X發(fā)送IGMP報文請求�����。
本發(fā)明實施例提供的方法通過在BNG設備上配置邏輯接口���,在多業(yè)務的模式下能夠唯一 識別出用戶鏈路�����,從而實現(xiàn)通過在邏輯接口上配置的安全控制策略�����,根據用戶鏈路標識信息 對單個用戶鏈路實施接入控制�����、帶寬控制�、流量控制以及組播控制等安全控制��。
上述本發(fā)明實施例中創(chuàng)建邏輯接口只是實現(xiàn)的一種方式���,任何在BNG等類似的設備上基 于邏輯鏈路標識所實現(xiàn)的接入控制�、流量控制�����、帶寬控制����、組播控制等安全控制���,都在本發(fā) 明的保護范圍之內。
實施例4
參見圖6����,本發(fā)明實施例提供了一種用戶接入安全控制的系統(tǒng),系統(tǒng)包括 用戶節(jié)點��,用于發(fā)送接入請求報文����;
接入設備,用于接收用戶節(jié)點發(fā)送的接入請求報文�����,在用戶節(jié)點發(fā)送的接入請求報文中 插入用戶鏈路標識���,發(fā)送插入用戶鏈路標識的接入請求報文;
控制設備��,用于接收到接入設備發(fā)送的插入用戶鏈路標識的接入請求報文后�����,進行解析 得到用戶鏈路標識;根據用戶鏈路標識判斷接入請求報文是否滿足預設接入條件�����,如果是�����, 允許用戶鏈路標識對應的用戶節(jié)點接入�����。
其中�����,控制設備包括
接收模塊�����,用于接收接入設備發(fā)送的接入請求報文���;
解析模塊��,用于解析接收模塊接收的接入請求報文得到用戶鏈路標識�;
判斷模塊,用于根據解析模塊解析得到的用戶鏈路標識判斷是否能夠査找到用戶鏈路標
識對應的邏輯鏈路標識����;
處理模塊,當判斷模塊判斷的結果是能夠查找到用戶鏈路標識對應的邏輯鏈路標識時�����,
允許用戶鏈路標識對應的用戶節(jié)點接入��。 其中�����,控制設備包括
接收模塊�����,用于接收接入設備發(fā)送的接入請求報文���; 解析模塊,用于解析接收模塊接收的接入請求報文得到用戶鏈路標識��; 查找模塊,用于根據解析模塊解析得到用戶鏈路標識査找用戶鏈路標識對應的邏輯鏈路 標識���;
判斷模塊���,用于判斷査找模塊査找到的邏輯鏈路標識已接入的用戶會話個數是否達到預 設門限;
處理模塊�,用于當判斷模塊判斷的結果是已接入的用戶會話個數沒有達到預設門限時, 允許用戶鏈路標識對應的用戶節(jié)點接入�,并將已接入的用戶會話個數加1。 其中�����,控制設備包括
接收模塊��,用于接收接入設備發(fā)送的接入請求報文��;
解析模塊�,用于解析接收模塊接收的接入請求報文得到用戶鏈路標識; 查找模塊�����,用于根據解析模塊解析得到用戶鏈路標識查找用戶鏈路標識對應的邏輯鏈路 標識��;
判斷模塊,用于判斷接入請求報文中攜帶的用戶類型是否和查找模塊查找到的邏輯鏈路 標識上預設的用戶類型一致����;
處理模塊,用于當判斷模塊判斷的結果是接入請求報文中攜帶的用戶類型和查找模塊査 找到的邏輯鏈路標識上預設的用戶類型一致時�����,允許用戶鏈路標識對應的用戶節(jié)點接入�����。
本發(fā)明實施例提供的系統(tǒng)通過在控制設備上配置邏輯鏈路標識��,在多業(yè)務的模式下能夠 唯一識別出用戶鏈路��,從而實現(xiàn)通過預先配置好的邏輯鏈路標識對應的安全控制策略�,根據 用戶鏈路標識信息對單個用戶鏈路實施接入控制、帶寬控制���、流量控制以及組播控制等安全 控制策略���。
實施例5
參見圖7,本發(fā)明實施例提供了一種接入設備,設備包括 接收模塊�����,用于接收用戶節(jié)點發(fā)送的接入請求報文���;
標識插入模塊,用于在接收模塊接收的接入請求報文中插入用戶鏈路標識����; 發(fā)送模塊,用于發(fā)送標識插入模塊插入用戶鏈路標識后的接入請求報文�。 本發(fā)明實施例提供的接入設備能夠接收用戶接點發(fā)送的接入請求報文,并在接收到的接
入請求報文中插入用戶鏈路標識���,并發(fā)送插入了用戶鏈路標識后的接入請求報文�。其中����,該
設備對接收到的接入請求報文還可以插入其他的信息如用戶類型等。
實施例6
參見圖8��,本發(fā)明實施例提供了一種控制設備����,設備包括
接收模塊��,用于接收接入設備發(fā)送的接入請求報文�,接入請求報文中攜帶用戶鏈路標識��;
解析模塊��,用于解析接收模塊接收的接入請求報文得到用戶鏈路標識�����;
處理模塊����,用于根據解析模塊解析得到的用戶鏈路標識判斷接入請求報文是否滿足預設
接入條件,如果是����,允許用戶鏈路標識對應的用戶接入。 其中�,處理模塊包括
判斷單元,用于根據解析模塊解析得到的用戶鏈路標識判斷是否能夠查找到用戶鏈路標 識對應的邏輯鏈路標識���;
處理單元����,用于當判斷單元判斷的結果是能夠査找到用戶鏈路標識對應的邏輯鏈路標識 時,允許用戶鏈路標識對應的用戶接入�����。
其中�����,處理模塊包括
査找單元���,用于根據解析模塊解析得到用戶鏈路標識查找用戶鏈路標識對應的邏輯鏈路 標識;
判斷單元����,用于判斷查找單元查找到的邏輯鏈路標識巳接入的用戶會話個數是否達到預 設門限;
處理單元��,用于當判斷單元判斷的結果是已接入的用戶會話個數沒有達到預設門限時�, 允許用戶鏈路標識對應的用戶接入,并將已接入的用戶會話個數加1��。 其中��,處理模塊包括
查找單元,用于根據解析模塊解析得到用戶鏈路標識査找用戶鏈路標識對應的邏輯鏈路 標識���;
判斷單元��,用于判斷接入請求報文中攜帶的用戶類型是否和查找單元查找到的邏輯鏈路 標識上的預設的用戶類型一致�����;
處理單元����,用于當判斷單元判斷的結果是接入請求報文中攜帶的用戶類型和查找單元查 找到的邏輯鏈路標識上預設的用戶類型一致時��,允許用戶鏈路標識對應的用戶接入�����。
當用戶接入控制設備后��,還可以進一步地對接入的用戶進行安全控制�,此時,控制設備 還包括
記錄模塊�����,用于當處理模塊允許用戶鏈路標識對應的用戶接入時,根據接入請求報文將 用戶的媒體訪問控制地址���、IP地址��、用戶鏈路標識以及邏輯鏈路標識記錄在用戶接入表中���;
配置模塊,用于根據記錄模塊在用戶接入表中記錄的邏輯鏈路標識為邏輯鏈路標識配置 控制策略�����。
第一控制模塊���,用于當接收到用戶發(fā)送的數據報文時,根據數據報文中攜帶的媒體訪問 控制地址和IP地址在記錄模塊的用戶接入表中查找對應的邏輯鏈路標識����,根據查找到的邏輯 鏈路標識對應的控制策略,對數據報文進行控制�����;
第二控制模塊���,用于當接收到發(fā)往用戶的數據報文時�,根據向發(fā)往用戶的數據報文中攜
帶的媒體訪問控制地址在記錄模塊中査找對應的邏輯鏈路標識,根據查找到的邏輯鏈路標識 對應的控制策略��,對發(fā)往用戶的數據報文進行控制��。
上述配置模塊配置的控制策略可以為訪問控制策略或/和帶寬控制策略����,相應地,可以進 行數據報文的流量控制或/帶寬控制�。本發(fā)明實施例不限制配置模塊配置的控制策略類型。
當用戶X請求IGMP點播希望加入組播組時�����,控制設備還包括-
記錄模塊����,用于當處理模塊允許用戶鏈路標識對應的用戶接入時,根據接入請求報文將 用戶的媒體訪問控制地址����、IP地址、用戶鏈路標識以及邏輯鏈路標識記錄在用戶接入表中��;
配置模塊,用于根據記錄模塊記錄的邏輯鏈路標識為邏輯鏈路標識配置組播控制策略��。
組播控制模塊����,用于當接收到用戶發(fā)送的請求加入組播組的網絡組管理協(xié)議報文時,根 據網絡組管理協(xié)議報文中攜帶的媒體訪問控制地址在記錄模塊的用戶接入表中查找對應的邏 輯鏈路標識�,根據查找到的邏輯鏈路標識對應的組播控制策略,判斷是否允許用戶加入組播 組�,如果是,允許用戶加入組播組��。
本發(fā)明實施例提供的通過在控制設備上配置邏輯鏈路標識���,在多業(yè)務的模式下能夠唯一 識別出用戶鏈路,從而實現(xiàn)通過預先配置好的邏輯鏈路標識的對應安全控制策略�,根據用戶 鏈路標識信息對單個用戶鏈路實施接入控制、帶寬控制���、流量控制以及組播控制等安全控制 策略���。
上述本發(fā)明實施例提供的技術方案通過在BNG等類似控制設備上配置邏輯鏈路標識,在 多業(yè)務的模式下能夠唯一識別出用戶鏈路�����,從而實現(xiàn)通過預先配置好的邏輯鏈路標識對應的 安全控制策略,根據用戶鏈路標識信息對單個用戶鏈路實施接入控制��、帶寬控制��、流量控制 以及組播控制等安全控制策略����。
本發(fā)明實施例中的部分步驟,可以利用軟件實現(xiàn)��,相應的軟件程序可以存儲在可讀取的 存儲介質中�����,如光盤或硬盤等�����。
上所述僅為本發(fā)明的較佳實施例���,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內�����, 所作的任何修改�����、等同替換����、改進等����,均應包含在本發(fā)明的保護范圍之內。
權利要求
1.一種用戶接入安全控制的方法���,其特征在于�����,所述方法包括接收接入請求報文,所述接入請求報文攜帶用戶鏈路標識����;解析所述接入請求報文得到所述用戶鏈路標識���;根據所述用戶鏈路標識判斷所述接入請求報文是否滿足預設接入條件;如果是�,允許所述用戶鏈路標識對應的用戶接入。
2. 如權利要求l所述的用戶接入安全控制的方法�,其特征在于,所述根據所述用戶鏈路 標識判斷所述接入請求報文是否滿足預設接入條件的步驟包括判斷是否能夠查找到所述用戶鏈路標識對應的邏輯鏈路標識�����; 如果是�,滿足預設接入條件。
3. 如權利要求l所述的用戶接入安全控制的方法����,其特征在于,所述根據所述用戶鏈路 標識判斷所述接入請求報文是否滿足預設接入條件的步驟包括查找所述用戶鏈路標識對應的邏輯鏈路標識�;檢査所述邏輯鏈路標識已接入的用戶會話個數是否達到預設門限,如果沒有達到所述預 設門限�,則滿足預設接入條件;相應地�����,所述允許所述用戶鏈路標識對應的用戶接入的步驟后還包括 將所述已接入的用戶會話個數加l。 ^ .
4. 如權利要求1所述的用戶接入安全控制的方法��,其特征在于��,所述接入請求報文中還 攜帶用戶類型�;相應地,所述根據所述用戶鏈路標識判斷所述接入請求報文是否滿足預設接入條件的步驟包括查找所述用戶鏈路標識對應的邏輯鏈路標識��;判斷所述接入請求報文中攜帶的用戶類型是否和所述邏輯鏈路標識預設的用戶類型一 致��,如果是�,滿足預設接入條件。
5. 如權利要求l所述的用戶接入安全控制的方法���,其特征在于���,所述允許所述用戶鏈路標識對應的用戶接入的步驟之后還包括根據所述接入請求報文將用戶的媒體訪問控制地址、IP地址�����、用戶鏈路標識以及邏輯鏈 路標識記錄在用戶接入表中���,為所述邏輯鏈路標識對應的用戶配置控制策略;當接收到用戶發(fā)送的數據報文時�����,根據所述數據報文中攜帶的媒體訪問控制地址和IP地 址在所述用戶接入表中查找對應的邏輯鏈路標識,根據査找到的邏輯鏈路標識對應的控制策 略�����,對所述數據報文進行控制���;當接收向到發(fā)往所述用戶的數據報文時��,根據所述發(fā)往所述用戶的數據報文中攜帶的媒 體訪問控制地址在所述用戶接入表中查找對應的邏輯鏈路標識��,根據查找到的邏輯鏈路標識 對應的控制策略���,對所述發(fā)往所述用戶的數據報文進行控制。
6. 如權利要求5所述的用戶接入安全控制的方法����,其特征在于,所述控制策略具體為 訪問控制策略或/和帶寬控制策略�����。
7. 如權利要求l所述的用戶接入安全控制的方法,其特征在于��,所述允許所述用戶鏈路 標識對應的用戶接入的步驟之后還包括根據所述接入請求報文將用戶的媒體訪問控制地址�����、IP地址�����、用戶鏈路標識以及邏輯鏈 路標識記錄在用戶接入表中����,為所述邏輯鏈路標識對應的用戶配置組播控制策略;當接收到用戶發(fā)送的請求加入組播組的網絡組管理協(xié)議報文時�����,根據所述網絡組管理協(xié) 議報文中攜帶的媒體訪問控制地址在所述用戶接入表中査找對應的邏輯鏈路標識�����,根據查找 到的邏輯鏈路標識對應的組播控制策略�,判斷是否允許所述用戶加入組播組,如果是��,允許 所述用戶加入組播組。
8. —種用戶接入安全控制的系統(tǒng)���,其特征在于,所述系統(tǒng)包括 用戶節(jié)點�,用于發(fā)送接入請求報文;接入設備��,用于接收所述用戶節(jié)點發(fā)送的接入請求報文��,在所述用戶節(jié)點發(fā)送的接入請 求報文中插入用戶鏈路標識�,發(fā)送插入用戶鏈路標識的接入請求報文;控制設備�,用于接收到所述接入設備發(fā)送的插入用戶鏈路標識的接入請求報文后,進行 解析得到所述用戶鏈路標識�����;根據所述用戶鏈路標識判斷所述接入請求報文是否滿足預設接 入條件��,如果是��,允許所述用戶鏈路標識對應的所述用戶節(jié)點接入���。
9. 如權利要求8所述的用戶接入安全控制的系統(tǒng)�,其特征在于,所述控制設備包括 接收模塊��,用于接收所述接入設備發(fā)送的接入請求報文��;解析模塊����,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識;判斷模塊���,用于根據所述解析模塊解析得到的用戶鏈路標識判斷是否能夠査找到所述用 戶鏈路標識對應的邏輯鏈路標識�����;處理模塊�����,當所述判斷模塊判斷的結果是能夠査找到所述用戶鏈路標識對應的邏輯鏈路 標識時�,允許所述用戶鏈路標識對應的用戶節(jié)點接入���。
10. 如權利要求8所述的用戶接入安全控制的系統(tǒng)��,其特征在于�����,所述控制設備包括接收模塊����,用于接收所述接入設備發(fā)送的接入請求報文����;解析模塊,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識���; 查找模塊��,用于根據所述解析模塊解析得到用戶鏈路標識査找所述用戶鏈路標識對應的 邏輯鏈路標識�;判斷模塊���,用于判斷所述查找模塊查找到的邏輯鏈路標識已接入的用戶會話個數是否達 到預設門限�;處理模塊�,用于當所述判斷模塊判斷的結果是所述已接入的用戶會話個數沒有達到所述 預設門限時,允許所述用戶鏈路標識對應的所述用戶節(jié)點接入����,并將所述已接入的用戶會話 個數加1����。
11. 如權利要求8所述的用戶接入安全控制的系統(tǒng)���,其特征在于���,所述控制設備包括接收模塊,用于接收所述接入設備發(fā)送的接入請求報文����;解析模塊,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識�; 查找模塊,用于根據所述解析模塊解析得到用戶鏈路標識査找所述用戶鏈路標識對應的 邏輯鏈路標識�;判斷模塊,用于判斷所述接入請求報文中攜帶的用戶類型是否和所述查找模塊查找到的 邏輯鏈路標識上預設的用戶類型一致��;處理模塊��,用于當所述判斷模塊判斷的結果是所述接入請求報文中攜帶的用戶類型和所述查找模塊查找到的邏輯鏈路標識上預設的用戶類型一致時�,允許所述用戶鏈路標識對應的 所述用戶節(jié)點接入。
12. —種接入設備���,其特征在于���,所述設備包括 接收模塊����,用于接收用戶節(jié)點發(fā)送的接入請求報文�;標識插入模塊,用于在所述接收模塊接收的接入請求報文中插入用戶鏈路標識��; 發(fā)送模塊�,用于發(fā)送所述標識插入模塊插入用戶鏈路標識后的接入請求報文��。
13. —種控制設備�����,其特征在于�����,所述設備包括接收模塊�����,用于接收接入設備發(fā)送的接入請求報文��,所述接入請求報文中攜帶用戶鏈路 標識;解析模塊�����,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識��; 處理模塊����,用于根據所述解析模塊解析得到的用戶鏈路標識判斷所述接入請求報文是否 滿足預設接入條件,如果是��,允許所述用戶鏈路標識對應的用戶接入����。
14. 如權利要求13所述的控制設備,其特征在于�����,所述處理模塊包括判斷單元��,用于根據所述解析模塊解析得到的用戶鏈路標識判斷是否能夠查找到所述用 戶鏈路標識對應的邏輯鏈路標識���;處理單元����,用于當所述判斷單元判斷的結果是能夠查找到所述用戶鏈路標識對應的邏輯鏈路標識時,允許所述用戶鏈路標識對應的用戶接入���。
15. 如權利要求13所述的控制設備�����,其特征在于���,所述處理模塊包括查找單元,用于根據所述解析模塊解析得到用戶鏈路標識査找所述用戶鏈路標識對應的 邏輯鏈路標識���;判斷單元,用于判斷所述査找單元査找到的邏輯鏈路標識已接入的用戶會話個數是否達 到預設門限����;處理單元,用于當所述判斷單元判斷的結果是所述已接入的用戶會話個數沒有達到所述 預設門限時����,允許所述用戶鏈路標識對應的用戶接入,并將所述已接入的用戶會話個數加1。
16. 如權利要求13所述的控制設備�����,其特征在于���,所述處理模塊包括査找單元����,用于根據所述解析模塊解析得到用戶鏈路標識查找所述用戶鏈路標識對應的 邏輯鏈路標識���;判斷單元����,用于判斷所述接入請求報文中攜帶的用戶類型是否和所述查找單元查找到的邏輯鏈路標識上的預設的用戶類型一致����;處理單元,用于當所述判斷單元判斷的結果是所述接入請求報文中攜帶的用戶類型和所述查找單元査找到的邏輯鏈路標識上預設的用戶類型一致時�,允許所述用戶鏈路標識對應的 用戶接入。
17. 如權利要求13所述的控制設備��,其特征在于���,所述設備還包括記錄模塊����,用于當所述處理模塊允許所述用戶鏈路標識對應的用戶接入時,根據所述接 入請求報文將用戶的媒體訪問控制地址�、IP地址、用戶鏈路標識以及邏輯鏈路標識記錄在用 戶接入表中����;配置模塊,用于根據所述記錄模塊在所述用戶接入表中記錄的邏輯鏈路標識為所述邏輯 鏈路標識配置控制策略�����。第一控制模塊�,用于當接收到用戶發(fā)送的數據報文時,根據所述數據報文中攜帶的媒體 訪問控制地址和IP地址在所述記錄模塊的用戶接入表中査找對應的邏輯鏈路標識���,根據查找 到的邏輯鏈路標識對應的控制策略�����,對所述數據報文進行控制;第二控制模塊����,用于當接收到發(fā)往所述用戶的數據報文時�,根據向所述發(fā)往所述用戶的 數據報文中攜帶的媒體訪問控制地址在所述記錄模塊中査找對應的邏輯鏈路標識�,根據查找 到的邏輯鏈路標識對應的控制策略,對所述發(fā)往所述用戶的數據報文進行控制����。
18. 如權利要求13所述的控制設備,其特征在于����,所述設備還包括記錄模塊,用于當所述處理模塊允許所述用戶鏈路標識對應的用戶接入時����,根據所述接 入請求報文將用戶的媒體訪問控制地址、IP地址��、用戶鏈路標識以及邏輯鏈路標識記錄在用 戶接入表中�����;配置模塊����,用于根據所述記錄模塊記錄的邏輯鏈路標識為所述邏輯鏈路標識配置組播控 制策略���。組播控制模塊,用于當接收到用戶發(fā)送的請求加入組播組的網絡組管理協(xié)議報文時�����,根 據所述網絡組管理協(xié)議報文中攜帶的媒體訪問控制地址在所述記錄模塊的用戶接入表中査找 對應的邏輯鏈路標識��,根據查找到的邏輯鏈路標識對應的組播控制策略�����,判斷是否允許所述 用戶加入組播組�,如果是,允許所述用戶加入組播組����。
全文摘要
本發(fā)明公開了一種用戶接入安全控制的方法、系統(tǒng)和設備����,屬于通信領域。方法包括接收接入請求報文���,接入請求報文攜帶用戶鏈路標識��;解析接入請求報文得到用戶鏈路標識�;根據用戶鏈路標識判斷接入請求報文是否滿足預設接入條件���;如果是����,允許用戶鏈路標識對應的用戶接入����。系統(tǒng)包括用戶節(jié)點、接入設備和控制設備����。接入設備包括接收模塊,標識插入模塊��,發(fā)送模塊�;控制設備包括接收模塊,解析模塊���,處理模塊���。本發(fā)明通過在BNG設備上配置邏輯接口����,在多業(yè)務的模式下能夠唯一識別出用戶鏈路�����,從而根據預先配置好的邏輯接口的安全控制策略��,通過用戶鏈路標識信息實現(xiàn)對單個用戶鏈路實施接入控制����、帶寬控制以及組播控制等安全控制策略。
文檔編號H04L29/06GK101188614SQ20071019510
公開日2008年5月28日 申請日期2007年11月28日 優(yōu)先權日2007年11月28日
發(fā)明者李教峰, 顧勤豐 申請人:華為技術有限公司