專利名稱:接納控制系統(tǒng)、裝置及方法
技術領域:
本發(fā)明涉及通信技術領域�,尤其涉及一種接納控制系統(tǒng)、裝置及方法�����。
背景技術:
為了滿足網(wǎng)絡發(fā)展的要求�����,網(wǎng)絡服務領域提出了網(wǎng)絡服務質(zhì)量(QoS:QUality of Services,)的概念��。計算機網(wǎng)絡中的服務質(zhì)量是研究網(wǎng)絡如何在現(xiàn)有資源的情況下,盡最 大努力保證網(wǎng)絡應用的服務要求��,提供可以滿足一定用戶要求的業(yè)務數(shù)據(jù)流端到端時間延 遲�����、延遲抖動�、業(yè)務數(shù)據(jù)流丟失率�����、帶寬保證等��。為了進一步滿足不同用戶的要求��,服務提供商(ISP :Internet ServiceProvider) 和用戶之間的還可以經(jīng)過協(xié)商約定服務水平協(xié)議(SLA :ServiceLevel Agreement)����,用戶可 以根據(jù)需要選擇不同的SLA級別。服務提供商在向用戶提供服務時����,根據(jù)用戶訂購的SLA 級別,分配相應的資源�。在現(xiàn)有的一種網(wǎng)絡接納控制方案中��,由產(chǎn)生業(yè)務數(shù)據(jù)流的終端設備或主機���,根 據(jù)業(yè)務類型以及用戶的SLA,產(chǎn)生該業(yè)務數(shù)據(jù)流的區(qū)分服務標識(DSCP :DiffSerV Code Point)����。當該方案中終端設備或主機,在網(wǎng)絡內(nèi)移動時�,需要每個產(chǎn)生業(yè)務數(shù)據(jù)流的終端設 備或主機,都能夠獲取業(yè)務配置信息以及用戶的SLA,從而才能實現(xiàn)DSCP標記操作���,這使得 該方案的管理和配置工作量可能較大�����,操作復雜��。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種接納控制系統(tǒng)���、裝置及方法,從而簡便�����、快捷的根據(jù)用戶的 服務水平協(xié)議,實現(xiàn)業(yè)務的定級�,為用戶提供了具有業(yè)務保障機制的接納控制方案。本發(fā)明實施例提供了一種接納控制系統(tǒng)�,包括用戶數(shù)據(jù)庫,用于存儲用戶的服務水平協(xié)議信息��;防火墻��,用于當用戶發(fā)送的業(yè)務分組屬于新連接時���,通過查詢用戶數(shù)據(jù)庫,獲取所 述用戶的服務水平協(xié)議信息���,并根據(jù)所述用戶的服務水平協(xié)議信息����,確定所述業(yè)務分組對 應的區(qū)分服務標識�����。本發(fā)明實施例還提供了一種防火墻�,包括接納控制模塊,用于接收業(yè)務分組���,若所述業(yè)務分組屬于新連接�����,則通過查詢模塊 獲取所述業(yè)務分組對應的區(qū)分服務標識����;查詢模塊,用于在所述接納控制模塊的觸發(fā)下���,通過查詢用戶數(shù)據(jù)庫����,獲取所述用 戶的服務水平協(xié)議信息�,并根據(jù)所述用戶的服務水平協(xié)議信息,確定所述業(yè)務分組對應的 區(qū)分服務標識�����。本發(fā)明實施例還提供了一種接納控制方法�,包括防火墻接收用戶發(fā)送的業(yè)務分組;若所述業(yè)務分組屬于新連接�,則通過查詢用戶數(shù)據(jù)庫,獲取所述用戶的服務水平 協(xié)議信息���,并根據(jù)所述用戶的服務水平協(xié)議信息����,確定所述業(yè)務分組對應的區(qū)分服務標識。
4
由上述本發(fā)明實施例提供的技術方案可以看出����,本發(fā)明實施例中,通過防火墻獲 取用戶的服務水平協(xié)議信息�����,并根據(jù)所述用戶的服務水平協(xié)議信息�,確定所述業(yè)務分組對 應的區(qū)分服務標識����。從而簡便、快捷的根據(jù)用戶的服務水平協(xié)議���,實現(xiàn)業(yè)務的定級��,為用戶 提供了具有業(yè)務保障機制的接納控制方案�����。
圖1為本發(fā)明實施圖2為本發(fā)明實施圖3為本發(fā)明實施圖4為本發(fā)明實施圖5為本發(fā)明實施圖6為本發(fā)明實施圖7為本發(fā)明實施圖8為本發(fā)明實施圖9為本發(fā)明實施
J提供的所述系統(tǒng)結(jié)構示意圖一����; J提供的所述系統(tǒng)結(jié)構示意圖二; J提供的所述防火墻結(jié)構示意圖一�; J提供的所述防火墻結(jié)構示意圖二; J提供的所述查詢模塊結(jié)構示意圖��; J提供的所述方法實現(xiàn)過程示意圖一 J提供的所述方法實現(xiàn)過程示意圖二 J提供的所述方法實現(xiàn)過程示意圖三 J提供的所述方法實現(xiàn)過程示意圖四�。
具體實施例方式本發(fā)明實施例提供了一種接納控制系統(tǒng),通過增強防火墻功能����,實現(xiàn)了防火墻與 保存用戶服務水平協(xié)議(SLA Service Level Agreement)信息的用戶數(shù)據(jù)庫連接,從而使 防火墻可以根據(jù)業(yè)務分組���,獲取用戶SLA信息��,并根據(jù)用戶的SLA�,實現(xiàn)業(yè)務的定級�����,從而有 效地支持SLA,實現(xiàn)快速��、簡便定級的接納控制�����,向用戶提供有保障的服務�。本發(fā)明實施例提供的接納控制系統(tǒng),如圖1所示����,可由用戶數(shù)據(jù)庫110以及防火墻 120組成,其中用戶數(shù)據(jù)庫110����,用于存儲用戶的服務水平協(xié)議信息。用戶數(shù)據(jù)庫110存儲的用戶信息具體可以包括用戶的SLA級別��、定購業(yè)務類型等
fn息o防火墻120�����,用于當用戶發(fā)送的業(yè)務分組屬于新連接時�,通過查詢用戶數(shù)據(jù)庫�,獲 取用戶的服務水平協(xié)議信息,并根據(jù)用戶的服務水平協(xié)議信息,確定業(yè)務分組對應的區(qū)分 服務標識(DSCP :DiffServ Code Point)�。需要說明的是,本發(fā)明實施例中所涉及的業(yè)務分組��,是用戶業(yè)務數(shù)據(jù)流的傳輸 形式�����,具體是指將用戶的業(yè)務數(shù)據(jù)流以分組的形式進行傳輸����。本發(fā)明實施例中所涉及 的連接是指根據(jù)通信雙方的流量,結(jié)合超時等機制在網(wǎng)關數(shù)據(jù)庫中所確立的一種連接 狀態(tài)����,對象可以是傳輸控制協(xié)議(TCP transmission Control Protocol) \用戶數(shù)據(jù)報 協(xié)議(UDP :User DatagramProtocol) \ 互聯(lián)網(wǎng)控制報文協(xié)議(ICMP Internet Control MessageProtocol)等流量。本發(fā)明實施例中的防火墻可以是基于連接的狀態(tài)防火墻����,基于連接的狀態(tài),是指 防火墻記憶連接狀態(tài)和在其內(nèi)存中為每個數(shù)據(jù)流建立上下文的能力�。在該防火墻中,可以 維護一個連接狀態(tài)數(shù)據(jù)庫(可以是在內(nèi)存中維護的)�����,用于跟蹤每個連接。采用基于連接的 防火墻可以將流量粒度提升為針對每一個連接����。
在本發(fā)明實施例提供的接納控制系統(tǒng)的一個具體實施例中,除用戶數(shù)據(jù)庫110和 防火墻120之外���,如附圖2所示����,該系統(tǒng)進一步還可以包括網(wǎng)絡接入服務器130���、AAA服務 器140���、用戶接入會話數(shù)據(jù)庫150以及邊緣路由器160。其中網(wǎng)絡接入服務器130���,用于接收用戶發(fā)送的業(yè)務分組���,并通過與AAA服務器140, 以及用戶接入會話數(shù)據(jù)庫150通信���,對接收的業(yè)務分組進行驗證(如認證、鑒權、計費操 作)�,并將合法的業(yè)務分組發(fā)送至防火墻120。在實際處理時����,網(wǎng)絡接入服務器130收集用戶的必要信息,如接入設備編碼����、用戶 身份標志以及其他信息,如IP地址�����,并與AAA服務器140進行通信�,由AAA服務器140對用 戶進行認證、授權和計費���。需要指出的是��,AAA服務器140進行認證�����、授權�����、計費處理時�����,需 要訪問用戶接入會話數(shù)據(jù)庫150��,并記錄用戶會話信息��。防火墻120在接收到網(wǎng)絡接入服務器130發(fā)送的業(yè)務分組后��,首先確認該業(yè)務分 組所屬連接的連接類型���,即判斷該連接是新連接還是舊連接��。防火墻120具體可以通過查詢預先記錄的連接狀態(tài)信息中是否記錄有該連接的 對應的狀態(tài)信息�,從而判定該連接的連接類型����。如果該連接是新連接,則防火墻120通過查詢用戶數(shù)據(jù)庫110�����,確定該新連接對應 的DSCP,并將確定的DSCP填寫至該新連接的業(yè)務分組中�。在確認新連接對應的DSCP過程中��,防火墻120首先需要識別業(yè)務分組對應的業(yè)務 類型����,以及發(fā)送該業(yè)務分組的用戶的標識信息,并根據(jù)業(yè)務類型以及用戶標識信息��,通過查 詢用戶數(shù)據(jù)庫110���,從而確定該用戶事先鑒訂的SLA信息��。防火墻120根據(jù)獲取的SLA信息�,可通過任意成熟的算法����,確定該新連接對應的 DSCP,并將確定的DSCP填寫至對應的業(yè)務分組中。如果是新連接����,則防火墻120還可以為該新連接設置狀態(tài)信息,且狀態(tài)信息中還 可以包括DSCP未知標識�,以表明該連接對應的DSCP未知��,正在獲取對應的DSCP過程中�����。并 在確定該連接對應的DSCP后�����,對DSCP未知標識進行更新�����,記錄該DSCP���。在確定新連接對應DSCP過程中,防火墻120可以將接收的該連接的第一個業(yè)務分 組放置在查詢隊列中�����,并在確定該連接對應的DSCP后��,將該業(yè)務分組調(diào)出查詢隊列���,從而 節(jié)省了查詢隊列的資源���。而對于該連接的后續(xù)業(yè)務分組����,由于該連接已經(jīng)在防火墻120中 存在記錄的狀態(tài)信息��,則將按舊連接對應的業(yè)務分組進行處理���。如果該連接是舊連接,則防火墻120通過查詢預先記錄的信息���,確定該舊連接對 應的DSCP��。在確認舊連接對應的DSCP過程中�,如果該舊連接的狀態(tài)信息中包括DSCP未知標 識��,則說明正在獲取該連接的首個業(yè)務分組對應DSCP過程中���,那么此時可以將接收的該舊 連接的業(yè)務分組放置在對應的待轉(zhuǎn)發(fā)隊列的末尾��。如果沒有該舊連接對應的待轉(zhuǎn)發(fā)隊列��, 則為該舊連接建立對應的待轉(zhuǎn)發(fā)隊列����,并將該舊連接的業(yè)務分組放置在建立的待轉(zhuǎn)發(fā)隊列 中,等待首個分組的查詢結(jié)束���,再獲取該連接的DSCP后�����,填入待轉(zhuǎn)發(fā)隊列中的業(yè)務分組中��。如果該舊連接的狀態(tài)信息中不包括DSCP未知標識���,則此時防火墻120中預先記錄 有該舊連接對應的DSCP,那么根據(jù)預先記錄的信息��,確定該舊連接對應的DSCP����,并將獲取 的DSCP填寫至該舊連接的業(yè)務分組中。防火墻120還可以將已經(jīng)確定對應DSCP的業(yè)務分組發(fā)送至邊緣路由器160�,通過邊緣路由器160將該業(yè)務分組發(fā)送至網(wǎng)絡中。邊緣路由器160��,用于將防火墻120已確定對應DSCP的業(yè)務分組發(fā)送至網(wǎng)絡中。本發(fā)明的一個實施例中��,所提供的防火墻120���,如附圖3所示���,具體可由接納控制 模塊310以及查詢模塊320組成。其中接納控制模塊310����,用于接收業(yè)務分組��,若業(yè)務分組屬于新連接�����,則通過查詢模塊 320獲取該業(yè)務分組對應的區(qū)分服務標識��。查詢模塊320���,用于在接納控制模塊310的觸發(fā)下�����,通過查詢用戶數(shù)據(jù)庫110�,獲取 發(fā)送該業(yè)務分組的用戶對應的服務水平協(xié)議信息,并根據(jù)該用戶的服務水平協(xié)議信息����,確 定該業(yè)務分組對應的區(qū)分服務標識。在本發(fā)明實施例提供的防火墻120的一個具體實施例中�����,如附圖4所示��,除包括 接納控制模塊310���,以及查詢模塊320之外��,防火墻120進一步還可以包括連接狀態(tài)數(shù)據(jù)庫 330��、擴展連接池340����。其中連接狀態(tài)數(shù)據(jù)庫330�����,用于維護記錄防火墻120中已有連接的狀態(tài)信息。連接狀態(tài)數(shù)據(jù)庫330維護記錄的狀態(tài)信息具體可以包括套接字對(源地址���、目的 地址��、源端口和目的端口等)����,協(xié)議類型��,協(xié)議連接狀態(tài)��,超時時間等信息��。連接狀態(tài)數(shù)據(jù)庫330具體可以設置于防火墻120的內(nèi)存中��。擴展連接池340���,用于保存防火墻120中已有連接對應的DSCP信息。擴展連接池340的實質(zhì)為連接狀態(tài)數(shù)據(jù)庫330的功能增強�����,用于保存連接狀態(tài)數(shù) 據(jù)庫330中所記錄的連接對應的DSCP屬性��,表示適用于該連接的DSCP。擴展連接池340中記錄的信息�,與連接狀態(tài)數(shù)據(jù)庫330中的記錄信息一一對應。擴展連接池340可采用編程增強的方式實現(xiàn)����。可以理解的是�����,擴展連接池340也可以設置于連接狀態(tài)數(shù)據(jù)庫330中���,即本發(fā)明實 施例中����,連接狀態(tài)數(shù)據(jù)庫330可以集成擴展連接池340的功能���。在本發(fā)明實施例中所涉及的接納控制模塊310的一個實施例中���,接納控制模塊 310在接收到業(yè)務分組后,首先確認該業(yè)務分組所屬連接的連接類型��,即判斷該連接是新連 接還是舊連接�。接納控制模塊310具體可以通過查詢連接狀態(tài)數(shù)據(jù)庫330是否預先記錄有該連接 的狀態(tài)信息���,從而判定該連接的連接類型。如果沒有��,則該連接為新連接�;如果有,則該連接 為舊連接�。如果接納控制模塊310接收的業(yè)務分組所屬連接為新連接,則接納控制模塊310 觸發(fā)查詢模塊320�����,由查詢模塊320通過查詢用戶數(shù)據(jù)庫110��,確定該新連接對應的DSCP����。 接納控制模塊310將查詢模塊320確定的DSCP填寫至該新連接對應的業(yè)務分組中。如果接納控制模塊310接收的業(yè)務分組所屬連接為新連接��,則接納控制模塊310 還可以在連接狀態(tài)數(shù)據(jù)庫330中����,為該新連接設置狀態(tài)信息�����,同時,為該連接設置DSCP未知 標識���,以表明該連接的DSCP正在獲取中�����。另外����,接納控制模塊310還可以在確定該連接對應的區(qū)分服務標識后�����,更新該連 接的狀態(tài)信息中的區(qū)分服務標識����,并將該連接對應的DSCP記錄在擴展連接池340中。在確定新連接對應DSCP過程中�����,接納控制模塊310還可以將接收的該連接的第一 個業(yè)務分組放置在查詢隊列中��,并在確定該連接對應的DSCP后,將該業(yè)務分組調(diào)出查詢隊列����,從而節(jié)省了查詢隊列的資源。而對于該連接的后續(xù)業(yè)務分組����,由于該連接已經(jīng)在防火墻 120中記錄有狀態(tài)信息,則將按舊連接對應的業(yè)務分組進行處理���。如果接納控制模塊310接收的業(yè)務分組所屬連接為舊連接��,則接納控制模塊310 首選需要確認連接狀態(tài)數(shù)據(jù)庫330中預先記錄的該連接的狀態(tài)信息中��,是否包含DSCP未知 標識��。如果預先記錄的該舊連接的狀態(tài)信息中包括DSCP未知標識�,則說明正在獲取該 連接的首個業(yè)務分組對應DSCP過程中����,那么此時可以將接收的該舊連接的業(yè)務分組放置 在對應的待轉(zhuǎn)發(fā)隊列的末尾。如果沒有該舊連接對應的待轉(zhuǎn)發(fā)隊列�����,則接納控制模塊310為該舊連接建立對應 的待轉(zhuǎn)發(fā)隊列����,并將該舊連接的業(yè)務分組放置在建立的待轉(zhuǎn)發(fā)隊列中,等待首個業(yè)務分組 的查詢結(jié)束���,再獲取該連接的DSCP�����,填入待轉(zhuǎn)發(fā)隊列中的業(yè)務分組中����。如果該舊連接的狀態(tài)信息中不包括DSCP未知標識����,則此時擴展連接池340中預先 記錄有該舊連接對應的DSCP,那么根據(jù)擴展連接池340預先記錄的信息��,獲取該舊連接對 應的DSCP��。當接納控制模塊310獲取新連接或舊連接的DSCP后����,可以將獲取的DSCP填寫至 對應的業(yè)務分組中�����,并將已經(jīng)確定對應DSCP的業(yè)務分組發(fā)送至邊緣路由器160�����,通過邊緣 路由器160將該業(yè)務分組發(fā)送至網(wǎng)絡中�����。在本發(fā)明實施例中所涉及的查詢模塊320的一個實施例中�����,可如附圖5所示�,具體 可以包括業(yè)務識別單元321�����,用戶標識獲取單元322���,服務水平協(xié)議獲取單元323���,區(qū)分服務 標識確定單元324�����,返回單元325。其中業(yè)務識別單元321�,用于識別新連接業(yè)務分組對應的業(yè)務類型。業(yè)務識別單元321可以采用業(yè)務分組深度檢測(DPI :Deep Packetlnspection)等 技術���,對新連接的業(yè)務分組進行業(yè)務類型檢查����,從而確定該業(yè)務分組對應的業(yè)務類型��。用戶標識獲取單元322����,用于通過查詢用戶接入會話數(shù)據(jù)庫150,確定發(fā)送新連接 業(yè)務分組的用戶的標識(ID)���。服務水平協(xié)議獲取單元323���,用于根據(jù)業(yè)務識別單元321識別的業(yè)務分組的業(yè)務 類型以及用戶標識獲取單元322獲取的用戶ID,通過查詢用戶數(shù)據(jù)庫110,獲取用戶的SLA
fn息o區(qū)分服務標識確定單元324�,用于根據(jù)服務水平協(xié)議獲取單元323獲取的SLA信 息,確定新連接業(yè)務分組對應的DSCP����。區(qū)分服務標識確定單元324具體可以通過任意成熟的算法,確定新連接業(yè)務分組 對應的DSCP���。本發(fā)明實施例對于所采用的算法并不限制����。返回單元325���,用于將區(qū)分服務標識確定單元324確定的DSCP返回至接納控制模 塊 310���。通過上述描述可以看出,本發(fā)明實施例提供的接納控制系統(tǒng)�����,通過增強防火墻的 功能�,使防火墻能夠與用戶數(shù)據(jù)庫進行通信,獲取用戶的服務水平協(xié)議�,并根據(jù)獲取的服務 水平協(xié)議�,簡便�����、快速的實現(xiàn)用戶業(yè)務的定級操作���,從而能夠很好的提供用戶所需的QoS保 障�,提升了服務水平�。且本發(fā)明實施例針對連接進行服務保障��,因此���,減少了訪問數(shù)據(jù)庫的 次數(shù)��,降低了查詢流量和延時���。并且,本發(fā)明實施例沒有改變現(xiàn)有網(wǎng)絡系統(tǒng)的架構����,保護了現(xiàn)有的網(wǎng)絡投資,節(jié)省了資金����。另外��,本發(fā)明實施例提供的接納控制系統(tǒng)�����,由于是在進入網(wǎng) 絡域之前處理業(yè)務分組����,進行接納控制�,具有很好的可擴展性和很高的鏈路效率以及很低 的運算開銷,這使得它可用于實時的接納控制�����,并能夠保證高級別業(yè)務較高的接入率和良 好的接納控制性能����,很大程度上降低了接納控制處理的開銷。本發(fā)明實施例還提供了一種接納控制方法�����,如附圖6所示�����,該方法包括步驟601,防火墻接收用戶發(fā)送的業(yè)務分組�����;步驟602�,若該業(yè)務分組屬于新連接,則通過查詢用戶數(shù)據(jù)庫110�,獲取用戶的服 務水平協(xié)議信息(SLA Service Level Agreement),并根據(jù)用戶的服務水平協(xié)議信息��,確定 該業(yè)務分組對應的區(qū)分服務標識(DSCP :DiffServ Code Point)����。從而可以實現(xiàn)根據(jù)用戶的服務水平協(xié)議���,簡便�、快速地確定業(yè)務的定級����,為用戶提 供有保障的服務質(zhì)量。為了便于理解���,下面對本發(fā)明實施例提供的接納控制方法的一個具體實施例的實 現(xiàn)過程進行詳細的描述�����。如附圖7所示���,本發(fā)明實施例具體可以包括步驟701�����,接收業(yè)務分組��。防火墻120具體可以接收由用戶發(fā)送���,并通過網(wǎng)絡接入服務器130、AAA服務器140 合法性認證的業(yè)務分組����。步驟702,判斷業(yè)務分組所屬連接的連接類型���。對于接收的業(yè)務分組�����,防火墻120需要判斷該業(yè)務分組所屬連接是新連接���,還是 舊連接�。具體的�����,可以通過遍歷防火墻120內(nèi)是否預先記錄有該連接的狀態(tài)信息�,從而確 定該連接的類型。如果防火墻120內(nèi)沒有預先記錄的該連接的狀態(tài)信息�,則判斷該連接為新連接, 后續(xù)執(zhí)行步驟703 ���;如果防火墻120內(nèi)有預先記錄的該連接的狀態(tài)信息��,則判斷該連接為舊 連接,后續(xù)執(zhí)行步驟705�����。步驟703��,為新連接設置狀態(tài)信息���。此步驟中��,具體可以在防火墻120內(nèi)設置該新連接的狀態(tài)信息�。并且還可以將該 新連接在查詢過程中的區(qū)分服務標識設置為未知,并在后續(xù)確定該新連接業(yè)務分組對應的 區(qū)分服務標識后���,更新該新連接的區(qū)分服務標識���。此步驟中,還可以將接收的新連接的業(yè)務分組放置在查詢隊列中�����。步驟704�,確定新連接對應的DSCP。在一個實施例中��,該步驟具體可如附圖8所示��,包括步驟801���,識別業(yè)務類型����,獲取用戶標識信息。具體可采用業(yè)務分組深度檢測(DPI :Deep Packet Inspection)等技術進行業(yè)務 類型檢查���,從而識別新連接業(yè)務分組的業(yè)務類型�����,并通過查詢用戶接入會話數(shù)據(jù)庫150�����,確 定發(fā)送該業(yè)務分組的用戶的ID���。步驟802,獲取用戶的SLA信息����。具體可根據(jù)識別的業(yè)務類型,以及獲取的用戶ID�,通過查詢用戶數(shù)據(jù)庫110,獲取 用戶的SLA信息����。
步驟803�,確定對應的DSCP�。具體可根據(jù)獲取的SLA信息�,通過任意成熟的算法,確定新連接對應的DSCP���。本發(fā) 明實施例對于采用的算法并不限制����。在確定對應的DSCP后����,后續(xù)可執(zhí)行706。步驟705�����,確定舊連接對應的DSCP��。在一個實施例中�����,該步驟具體可如附圖9所示���,包括步驟901���,確定預先記錄的舊連接狀態(tài)信息中是否包含DSCP未知標識����。如果預先記錄的舊連接對應的狀態(tài)信息內(nèi)包含DSCP未知標識�,則說明正在獲取 該舊連接對應的DSCP過程中,后續(xù)執(zhí)行步驟902�����。如果預先記錄的舊連接對應的狀態(tài)信息內(nèi)不包含DSCP未知標識���,則后續(xù)執(zhí)行 903���。步驟902,將舊連接的業(yè)務分組放置入待轉(zhuǎn)發(fā)隊列中��。如果預先記錄的舊連接對應的狀態(tài)信息中不包含DSCP未知標識����,則將舊連接的 業(yè)務分組放置入對應的待轉(zhuǎn)發(fā)隊列,等待該舊連接的區(qū)分服務標識更新���。具體可以將舊連接的業(yè)務分組放置入舊連接對應的待轉(zhuǎn)發(fā)隊列的末尾�����,以等待對 應的DSCP�。需要說明的是���,如果不存在舊連接對應的待轉(zhuǎn)發(fā)隊列��,則為該舊連接建立對應的 待轉(zhuǎn)發(fā)隊列�����,并將舊連接的業(yè)務分組放置入建立的待轉(zhuǎn)發(fā)隊列中���。步驟903,查詢預先記錄信息��,獲取舊連接對應的DSCP����。由于預先記錄該舊連接的狀態(tài)信息中不包含DSCP未知標識,則說明防火墻120 內(nèi)��,預先記錄有該舊連接對應的DSCP,那么可以根據(jù)預先記錄的信息�����,確定該舊連接對應的 DSCP�����。步驟706�����,將確定的DSCP填寫至對應業(yè)務分組中�����。具體可以將步驟704所確定的DSCP�����,或者將步驟705所確定的DSCP����,填寫至對應 業(yè)務分組中。對于在待轉(zhuǎn)發(fā)隊列中的舊連接業(yè)務分組���,只需連續(xù)復制已經(jīng)獲取的DSCP即可���。對于已經(jīng)確定對應DSCP的新連接業(yè)務分組����,可以將該業(yè)務分組調(diào)出查詢隊列�����,以 節(jié)省查詢隊列資源���。另外,在一個實施例中����,此步驟還可以更新狀態(tài)信息內(nèi)DSCP未知標識。步驟707�,發(fā)送業(yè)務分組。具體的��,可以將已經(jīng)獲取對應DSCP的業(yè)務分組�,通過邊緣路由器160,發(fā)送至網(wǎng)絡中���。在本發(fā)明實施例提供的接納控制方法的另一個具體實施例中�,防火墻可以建立 DSCP查詢隊列,將所有需要查詢的業(yè)務分組放入該隊列中等待查詢�����。如�����,在確定接收的業(yè)務 分組所屬連接為新連接時���,則將該新連接的首個業(yè)務分組復制至查詢隊列中���。對于該新連 接的后續(xù)業(yè)務分組,則不復制入查詢隊列���,而是將后續(xù)的業(yè)務分組轉(zhuǎn)發(fā)之對應的轉(zhuǎn)發(fā)隊列 中�,以等待獲取對應的DSCP��。從而節(jié)省了查詢隊列的資源�����。需要說明的是,本發(fā)明實施例中所涉及的查詢隊列�,具體可以采用先進先出 (FIFO)方式。
當獲取新連接的首個業(yè)務分組對應的DSCP之后��,本發(fā)明實施例還可以將查詢隊 列中被復制的首個業(yè)務分組調(diào)出查詢隊列�,從而更進一步節(jié)省了查詢隊列的資源。通過上述描述可以看出��,本發(fā)明實施例提供的接納控制方法��,通過增強防火墻的 功能���,使防火墻能夠與用戶數(shù)據(jù)庫進行通信,獲取用戶的服務水平協(xié)議�,并根據(jù)獲取的服 務水平協(xié)議,簡便����、快速實現(xiàn)用戶業(yè)務的定級操作,從而能夠很好的提供用戶所需的QoS保 障�,且減少了訪問數(shù)據(jù)庫的次數(shù),降低了查詢流量和延時����。并且����,本發(fā)明實施例沒有改變現(xiàn) 有網(wǎng)絡系統(tǒng)的架構����,保護了現(xiàn)有的網(wǎng)絡投資,節(jié)省了資金�����。另外�����,本發(fā)明實施例提供的接納 控制方法����,由于是在進入網(wǎng)絡域之前處理業(yè)務分組,進行接納控制���,具有很好的可擴展性和 很高的鏈路效率以及很低的運算開銷���,這使得它可用于實時的接納控制,并能夠保證高級 別業(yè)務較高的接入率和良好的接納控制性能,很大程度上降低了接納控制處理的開銷��。通過以上的實施方式的描述�����,本領域的技術人員可以清楚地了解到本發(fā)明可借 助軟件加必需的硬件平臺的方式來實現(xiàn)����,當然也可以全部通過硬件來實施,但很多情況下 前者是更佳的實施方式��?;谶@樣的理解,本發(fā)明的技術方案對背景技術做出貢獻的全部 或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中,如 ROM/RAM�、磁碟、光盤等�����,包括若干指令用以使得一臺計算機設備(可以是個人計算機����,服務 器��,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法�。以上所述���,僅為本發(fā)明較佳的具體實施方式
����,但本發(fā)明的保護范圍并不局限于此�, 任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi),可輕易想到的變化或替換�, 都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此����,本發(fā)明的保護范圍應該以權利要求的保護范圍 為準。
權利要求
一種接納控制系統(tǒng)���,其特征在于�,包括用戶數(shù)據(jù)庫�,用于存儲用戶的服務水平協(xié)議信息;防火墻�����,用于當用戶發(fā)送的業(yè)務分組屬于新連接時,通過查詢用戶數(shù)據(jù)庫��,獲取所述用戶的服務水平協(xié)議信息�,并根據(jù)所述用戶的服務水平協(xié)議信息,確定所述業(yè)務分組對應的區(qū)分服務標識���。
2.根據(jù)權利要求1所述的系統(tǒng)����,其特征在于�����,所述系統(tǒng)還包括網(wǎng)絡接入服務器���,用于接收用戶發(fā)送的業(yè)務分組,通過與AAA服務器和用戶接入會話 數(shù)據(jù)庫通信�,對所述業(yè)務分組進行驗證,并將驗證通過后的業(yè)務分組發(fā)送至所述防火墻����; 邊緣路由器,用于將所述防火墻已確定對應區(qū)分服務標識的業(yè)務分組發(fā)送至網(wǎng)絡中。
3.一種防火墻��,其特征在于�����,包括接納控制模塊���,用于接收業(yè)務分組�,若所述業(yè)務分組屬于新連接�����,則通過查詢模塊獲取 所述業(yè)務分組對應的區(qū)分服務標識�;查詢模塊,用于在所述接納控制模塊的觸發(fā)下��,通過查詢用戶數(shù)據(jù)庫�����,獲取所述用戶的 服務水平協(xié)議信息�,并根據(jù)所述用戶的服務水平協(xié)議信息,確定所述業(yè)務分組對應的區(qū)分 服務標識���。
4.根據(jù)權利要求3所述的防火墻�����,其特征在于��,所述防火墻還包括 擴展連接池���,用于保存防火墻內(nèi)已有連接對應的區(qū)分服務標識信息�����;所述接納控制模塊還用于當所述業(yè)務分組屬于舊連接時�����,從所述擴展連接池獲取所述 業(yè)務分組對應的區(qū)分服務標識�����。
5.根據(jù)權利要求4所述的防火墻���,其特征在于��,所述防火墻還包括 連接狀態(tài)數(shù)據(jù)庫,用于維護記錄防火墻中已有連接的狀態(tài)信息�;所述接納控制模塊還用于通過查詢所述連接狀態(tài)數(shù)據(jù)庫,確定所述業(yè)務分組是否屬于 新連接���。
6.根據(jù)權利要求3-5任一項所述的防火墻���,其特征在于,所述接納控制模塊還用于將 獲取到的區(qū)分服務標識��,填寫至對應的業(yè)務分組中����。
7.根據(jù)權利要求5所述的防火墻,其特征在于��,所述接納控制模塊還用于當所述業(yè)務 分組屬于新連接時��,將所述業(yè)務分組所屬的連接以及從查詢模塊獲取到的區(qū)分服務標識對 應記錄到所述擴展連接池中��。
8.根據(jù)權利要求3-5任一項所述的防火墻�,其特征在于,所述查詢模塊包括 業(yè)務識別單元����,用于識別確定所述業(yè)務分組對應的業(yè)務類型����;用戶標識獲取單元����,用于通過查詢用戶接入會話數(shù)據(jù)庫,獲取發(fā)送所述業(yè)務分組的用 戶對應的標識�����;服務水平協(xié)議獲取單元��,用于根據(jù)所述業(yè)務識別單元識別確定的業(yè)務分組的業(yè)務類 型����,以及所述用戶標識獲取單元獲取的用戶標識,通過查詢所述用戶數(shù)據(jù)庫��,獲取所述用戶 對應的服務水平協(xié)議信息�;區(qū)分服務標識確定單元,用于根據(jù)所述服務水平協(xié)議獲取單元獲取的服務水平協(xié)議信 息�,確定所述業(yè)務分組對應的區(qū)分服務標識;返回單元�����,用于將所述區(qū)分服務標識確定單元確定的區(qū)分服務標識返回至所述接納控 制模塊。
9.一種接納控制方法����,其特征在于��,包括防火墻接收用戶發(fā)送的業(yè)務分組�����;若所述業(yè)務分組屬于新連接��,則通過查詢用戶數(shù)據(jù)庫��,獲取所述用戶的服務水平協(xié)議 信息�,并根據(jù)所述用戶的服務水平協(xié)議信息,確定所述業(yè)務分組對應的區(qū)分服務標識����。
10.根據(jù)權利要求9所述的方法,其特征在于�����,所述方法還包括當所述業(yè)務分組屬于 舊連接時��,通過查詢預先記錄的所述舊連接的區(qū)分服務標識,確定所述業(yè)務分組對應的區(qū) 分服務標識�����。
11.根據(jù)權利要求9或10所述的方法�����,其特征在于�,所述方法還包括將確定的所述業(yè) 務分組對應的區(qū)分服務標識,填寫至所述業(yè)務分組中���,并將已填寫區(qū)分服務標識的業(yè)務分 組發(fā)送至網(wǎng)絡中�。
12.根據(jù)權利要求9所述的方法�,其特征在于,當所述業(yè)務分組屬于新連接時�����,所述方 法還包括記錄所述新連接的狀態(tài)信息�����,并將所述新連接在查詢過程中的區(qū)分服務標識設置為未 知,在確定所述業(yè)務分組對應的區(qū)分服務標識后�����,更新所述新連接的所述區(qū)分服務標識��。
13.根據(jù)權利要求11-10所述的方法��,其特征在于����,所述通過查詢用戶數(shù)據(jù)庫�,獲取所 述用戶的服務水平協(xié)議信息具體包括識別所述業(yè)務分組對應的業(yè)務類型,并通過查詢用戶接入會話數(shù)據(jù)庫�����,獲取發(fā)送所述 業(yè)務分組的用戶標識�;根據(jù)所述業(yè)務分組的業(yè)務類型,以及所述用戶的標識�����,查詢用戶數(shù)據(jù)庫���,獲取所述用戶 對應的服務水平協(xié)議信息�����。
14.根據(jù)權利要求10所述的方法��,其特征在于����,若所述業(yè)務分組屬于舊連接,則所述方 法還包括確定預先記錄的所述舊連接的狀態(tài)信息中是否包含區(qū)分服務標識未知標識����;如果有,則將所述業(yè)務分組放置入對應的待轉(zhuǎn)發(fā)隊列中�����,等待預先記錄的所述舊連接 的區(qū)分服務標識更新后���,執(zhí)行所述通過查詢預先記錄的所述舊連接的區(qū)分服務標識�,確定 所述業(yè)務分組對應的區(qū)分服務標識���;否則�����,直接執(zhí)行所述通過查詢預先記錄的所述舊連接的區(qū)分服務標識���,確定所述業(yè)務 分組對應的區(qū)分服務標識�。
全文摘要
本發(fā)明實施例涉及一種接納控制系統(tǒng)��、裝置及方法���,若用戶發(fā)送的業(yè)務分組屬于新連接,則通過查詢用戶數(shù)據(jù)庫���,獲取所述用戶的服務水平協(xié)議信息�,并根據(jù)所述用戶的服務水平協(xié)議信息��,確定所述業(yè)務分組對應的區(qū)分服務標識��。從而簡便����、快捷的根據(jù)用戶的服務水平協(xié)議,實現(xiàn)業(yè)務的定級�����,為用戶提供了具有業(yè)務保障機制的接納控制方案。
文檔編號H04L29/06GK101854334SQ20091008121
公開日2010年10月6日 申請日期2009年3月30日 優(yōu)先權日2009年3月30日
發(fā)明者張登銀, 程春玲, 符曉蓉, 郭中杰, 馬英 申請人:華為技術有限公司;南京郵電大學