專利名稱:接納控制系統(tǒng)、裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域����,尤其涉及一種接納控制系統(tǒng)���、裝置及方法�。
背景技術(shù):
為了滿足網(wǎng)絡(luò)發(fā)展的要求�,網(wǎng)絡(luò)服務(wù)領(lǐng)域提出了網(wǎng)絡(luò)服務(wù)質(zhì)量(QoS:QUality of Services,)的概念。計(jì)算機(jī)網(wǎng)絡(luò)中的服務(wù)質(zhì)量是研究網(wǎng)絡(luò)如何在現(xiàn)有資源的情況下�����,盡最 大努力保證網(wǎng)絡(luò)應(yīng)用的服務(wù)要求,提供可以滿足一定用戶要求的業(yè)務(wù)數(shù)據(jù)流端到端時(shí)間延 遲����、延遲抖動、業(yè)務(wù)數(shù)據(jù)流丟失率��、帶寬保證等����。為了進(jìn)一步滿足不同用戶的要求,服務(wù)提供商(ISP :Internet ServiceProvider) 和用戶之間的還可以經(jīng)過協(xié)商約定服務(wù)水平協(xié)議(SLA :ServiceLevel Agreement)��,用戶可 以根據(jù)需要選擇不同的SLA級別��。服務(wù)提供商在向用戶提供服務(wù)時(shí)�����,根據(jù)用戶訂購的SLA 級別��,分配相應(yīng)的資源�。在現(xiàn)有的一種網(wǎng)絡(luò)接納控制方案中,由產(chǎn)生業(yè)務(wù)數(shù)據(jù)流的終端設(shè)備或主機(jī),根 據(jù)業(yè)務(wù)類型以及用戶的SLA,產(chǎn)生該業(yè)務(wù)數(shù)據(jù)流的區(qū)分服務(wù)標(biāo)識(DSCP :DiffSerV Code Point)���。當(dāng)該方案中終端設(shè)備或主機(jī)�,在網(wǎng)絡(luò)內(nèi)移動時(shí)����,需要每個(gè)產(chǎn)生業(yè)務(wù)數(shù)據(jù)流的終端設(shè) 備或主機(jī),都能夠獲取業(yè)務(wù)配置信息以及用戶的SLA,從而才能實(shí)現(xiàn)DSCP標(biāo)記操作��,這使得 該方案的管理和配置工作量可能較大�����,操作復(fù)雜����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種接納控制系統(tǒng)、裝置及方法���,從而簡便、快捷的根據(jù)用戶的 服務(wù)水平協(xié)議�,實(shí)現(xiàn)業(yè)務(wù)的定級,為用戶提供了具有業(yè)務(wù)保障機(jī)制的接納控制方案��。本發(fā)明實(shí)施例提供了一種接納控制系統(tǒng)����,包括用戶數(shù)據(jù)庫��,用于存儲用戶的服務(wù)水平協(xié)議信息���;防火墻,用于當(dāng)用戶發(fā)送的業(yè)務(wù)分組屬于新連接時(shí)���,通過查詢用戶數(shù)據(jù)庫�,獲取所 述用戶的服務(wù)水平協(xié)議信息�����,并根據(jù)所述用戶的服務(wù)水平協(xié)議信息����,確定所述業(yè)務(wù)分組對 應(yīng)的區(qū)分服務(wù)標(biāo)識。本發(fā)明實(shí)施例還提供了一種防火墻��,包括接納控制模塊����,用于接收業(yè)務(wù)分組,若所述業(yè)務(wù)分組屬于新連接��,則通過查詢模塊 獲取所述業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識;查詢模塊�����,用于在所述接納控制模塊的觸發(fā)下�,通過查詢用戶數(shù)據(jù)庫,獲取所述用 戶的服務(wù)水平協(xié)議信息����,并根據(jù)所述用戶的服務(wù)水平協(xié)議信息,確定所述業(yè)務(wù)分組對應(yīng)的 區(qū)分服務(wù)標(biāo)識����。本發(fā)明實(shí)施例還提供了一種接納控制方法,包括防火墻接收用戶發(fā)送的業(yè)務(wù)分組�����;若所述業(yè)務(wù)分組屬于新連接�����,則通過查詢用戶數(shù)據(jù)庫�����,獲取所述用戶的服務(wù)水平 協(xié)議信息���,并根據(jù)所述用戶的服務(wù)水平協(xié)議信息���,確定所述業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識。
4
由上述本發(fā)明實(shí)施例提供的技術(shù)方案可以看出�����,本發(fā)明實(shí)施例中��,通過防火墻獲 取用戶的服務(wù)水平協(xié)議信息��,并根據(jù)所述用戶的服務(wù)水平協(xié)議信息�,確定所述業(yè)務(wù)分組對 應(yīng)的區(qū)分服務(wù)標(biāo)識。從而簡便����、快捷的根據(jù)用戶的服務(wù)水平協(xié)議,實(shí)現(xiàn)業(yè)務(wù)的定級���,為用戶 提供了具有業(yè)務(wù)保障機(jī)制的接納控制方案�。
圖1為本發(fā)明實(shí)施圖2為本發(fā)明實(shí)施圖3為本發(fā)明實(shí)施圖4為本發(fā)明實(shí)施圖5為本發(fā)明實(shí)施圖6為本發(fā)明實(shí)施圖7為本發(fā)明實(shí)施圖8為本發(fā)明實(shí)施圖9為本發(fā)明實(shí)施
J提供的所述系統(tǒng)結(jié)構(gòu)示意圖一�; J提供的所述系統(tǒng)結(jié)構(gòu)示意圖二; J提供的所述防火墻結(jié)構(gòu)示意圖一; J提供的所述防火墻結(jié)構(gòu)示意圖二����; J提供的所述查詢模塊結(jié)構(gòu)示意圖; J提供的所述方法實(shí)現(xiàn)過程示意圖一 J提供的所述方法實(shí)現(xiàn)過程示意圖二 J提供的所述方法實(shí)現(xiàn)過程示意圖三 J提供的所述方法實(shí)現(xiàn)過程示意圖四��。
具體實(shí)施例方式本發(fā)明實(shí)施例提供了一種接納控制系統(tǒng)����,通過增強(qiáng)防火墻功能,實(shí)現(xiàn)了防火墻與 保存用戶服務(wù)水平協(xié)議(SLA Service Level Agreement)信息的用戶數(shù)據(jù)庫連接�,從而使 防火墻可以根據(jù)業(yè)務(wù)分組,獲取用戶SLA信息�,并根據(jù)用戶的SLA,實(shí)現(xiàn)業(yè)務(wù)的定級��,從而有 效地支持SLA����,實(shí)現(xiàn)快速、簡便定級的接納控制��,向用戶提供有保障的服務(wù)�。本發(fā)明實(shí)施例提供的接納控制系統(tǒng),如圖1所示���,可由用戶數(shù)據(jù)庫110以及防火墻 120組成�����,其中用戶數(shù)據(jù)庫110�,用于存儲用戶的服務(wù)水平協(xié)議信息����。用戶數(shù)據(jù)庫110存儲的用戶信息具體可以包括用戶的SLA級別、定購業(yè)務(wù)類型等
fn息o防火墻120���,用于當(dāng)用戶發(fā)送的業(yè)務(wù)分組屬于新連接時(shí)����,通過查詢用戶數(shù)據(jù)庫�����,獲 取用戶的服務(wù)水平協(xié)議信息���,并根據(jù)用戶的服務(wù)水平協(xié)議信息���,確定業(yè)務(wù)分組對應(yīng)的區(qū)分 服務(wù)標(biāo)識(DSCP :DiffServ Code Point)�。需要說明的是�,本發(fā)明實(shí)施例中所涉及的業(yè)務(wù)分組,是用戶業(yè)務(wù)數(shù)據(jù)流的傳輸 形式���,具體是指將用戶的業(yè)務(wù)數(shù)據(jù)流以分組的形式進(jìn)行傳輸�����。本發(fā)明實(shí)施例中所涉及 的連接是指根據(jù)通信雙方的流量��,結(jié)合超時(shí)等機(jī)制在網(wǎng)關(guān)數(shù)據(jù)庫中所確立的一種連接 狀態(tài)����,對象可以是傳輸控制協(xié)議(TCP transmission Control Protocol) \用戶數(shù)據(jù)報(bào) 協(xié)議(UDP :User DatagramProtocol) \ 互聯(lián)網(wǎng)控制報(bào)文協(xié)議(ICMP Internet Control MessageProtocol)等流量����。本發(fā)明實(shí)施例中的防火墻可以是基于連接的狀態(tài)防火墻,基于連接的狀態(tài)�����,是指 防火墻記憶連接狀態(tài)和在其內(nèi)存中為每個(gè)數(shù)據(jù)流建立上下文的能力����。在該防火墻中�����,可以 維護(hù)一個(gè)連接狀態(tài)數(shù)據(jù)庫(可以是在內(nèi)存中維護(hù)的)����,用于跟蹤每個(gè)連接�。采用基于連接的 防火墻可以將流量粒度提升為針對每一個(gè)連接�。
在本發(fā)明實(shí)施例提供的接納控制系統(tǒng)的一個(gè)具體實(shí)施例中,除用戶數(shù)據(jù)庫110和 防火墻120之外����,如附圖2所示,該系統(tǒng)進(jìn)一步還可以包括網(wǎng)絡(luò)接入服務(wù)器130�����、AAA服務(wù) 器140�����、用戶接入會話數(shù)據(jù)庫150以及邊緣路由器160�。其中網(wǎng)絡(luò)接入服務(wù)器130,用于接收用戶發(fā)送的業(yè)務(wù)分組����,并通過與AAA服務(wù)器140����, 以及用戶接入會話數(shù)據(jù)庫150通信���,對接收的業(yè)務(wù)分組進(jìn)行驗(yàn)證(如認(rèn)證���、鑒權(quán)、計(jì)費(fèi)操 作)���,并將合法的業(yè)務(wù)分組發(fā)送至防火墻120����。在實(shí)際處理時(shí)�����,網(wǎng)絡(luò)接入服務(wù)器130收集用戶的必要信息���,如接入設(shè)備編碼��、用戶 身份標(biāo)志以及其他信息��,如IP地址��,并與AAA服務(wù)器140進(jìn)行通信�����,由AAA服務(wù)器140對用 戶進(jìn)行認(rèn)證��、授權(quán)和計(jì)費(fèi)�����。需要指出的是�,AAA服務(wù)器140進(jìn)行認(rèn)證��、授權(quán)�、計(jì)費(fèi)處理時(shí),需 要訪問用戶接入會話數(shù)據(jù)庫150�����,并記錄用戶會話信息�����。防火墻120在接收到網(wǎng)絡(luò)接入服務(wù)器130發(fā)送的業(yè)務(wù)分組后,首先確認(rèn)該業(yè)務(wù)分 組所屬連接的連接類型���,即判斷該連接是新連接還是舊連接���。防火墻120具體可以通過查詢預(yù)先記錄的連接狀態(tài)信息中是否記錄有該連接的 對應(yīng)的狀態(tài)信息,從而判定該連接的連接類型����。如果該連接是新連接,則防火墻120通過查詢用戶數(shù)據(jù)庫110��,確定該新連接對應(yīng) 的DSCP����,并將確定的DSCP填寫至該新連接的業(yè)務(wù)分組中。在確認(rèn)新連接對應(yīng)的DSCP過程中��,防火墻120首先需要識別業(yè)務(wù)分組對應(yīng)的業(yè)務(wù) 類型�,以及發(fā)送該業(yè)務(wù)分組的用戶的標(biāo)識信息,并根據(jù)業(yè)務(wù)類型以及用戶標(biāo)識信息��,通過查 詢用戶數(shù)據(jù)庫110����,從而確定該用戶事先鑒訂的SLA信息���。防火墻120根據(jù)獲取的SLA信息,可通過任意成熟的算法�����,確定該新連接對應(yīng)的 DSCP,并將確定的DSCP填寫至對應(yīng)的業(yè)務(wù)分組中���。如果是新連接�,則防火墻120還可以為該新連接設(shè)置狀態(tài)信息�,且狀態(tài)信息中還 可以包括DSCP未知標(biāo)識,以表明該連接對應(yīng)的DSCP未知��,正在獲取對應(yīng)的DSCP過程中��。并 在確定該連接對應(yīng)的DSCP后���,對DSCP未知標(biāo)識進(jìn)行更新,記錄該DSCP����。在確定新連接對應(yīng)DSCP過程中,防火墻120可以將接收的該連接的第一個(gè)業(yè)務(wù)分 組放置在查詢隊(duì)列中,并在確定該連接對應(yīng)的DSCP后�����,將該業(yè)務(wù)分組調(diào)出查詢隊(duì)列���,從而 節(jié)省了查詢隊(duì)列的資源�。而對于該連接的后續(xù)業(yè)務(wù)分組�����,由于該連接已經(jīng)在防火墻120中 存在記錄的狀態(tài)信息�����,則將按舊連接對應(yīng)的業(yè)務(wù)分組進(jìn)行處理��。如果該連接是舊連接�����,則防火墻120通過查詢預(yù)先記錄的信息��,確定該舊連接對 應(yīng)的DSCP����。在確認(rèn)舊連接對應(yīng)的DSCP過程中�,如果該舊連接的狀態(tài)信息中包括DSCP未知標(biāo) 識���,則說明正在獲取該連接的首個(gè)業(yè)務(wù)分組對應(yīng)DSCP過程中��,那么此時(shí)可以將接收的該舊 連接的業(yè)務(wù)分組放置在對應(yīng)的待轉(zhuǎn)發(fā)隊(duì)列的末尾��。如果沒有該舊連接對應(yīng)的待轉(zhuǎn)發(fā)隊(duì)列�����, 則為該舊連接建立對應(yīng)的待轉(zhuǎn)發(fā)隊(duì)列�����,并將該舊連接的業(yè)務(wù)分組放置在建立的待轉(zhuǎn)發(fā)隊(duì)列 中�����,等待首個(gè)分組的查詢結(jié)束,再獲取該連接的DSCP后��,填入待轉(zhuǎn)發(fā)隊(duì)列中的業(yè)務(wù)分組中���。如果該舊連接的狀態(tài)信息中不包括DSCP未知標(biāo)識����,則此時(shí)防火墻120中預(yù)先記錄 有該舊連接對應(yīng)的DSCP,那么根據(jù)預(yù)先記錄的信息����,確定該舊連接對應(yīng)的DSCP,并將獲取 的DSCP填寫至該舊連接的業(yè)務(wù)分組中�。防火墻120還可以將已經(jīng)確定對應(yīng)DSCP的業(yè)務(wù)分組發(fā)送至邊緣路由器160,通過邊緣路由器160將該業(yè)務(wù)分組發(fā)送至網(wǎng)絡(luò)中�����。邊緣路由器160�,用于將防火墻120已確定對應(yīng)DSCP的業(yè)務(wù)分組發(fā)送至網(wǎng)絡(luò)中。本發(fā)明的一個(gè)實(shí)施例中���,所提供的防火墻120��,如附圖3所示�,具體可由接納控制 模塊310以及查詢模塊320組成����。其中接納控制模塊310���,用于接收業(yè)務(wù)分組,若業(yè)務(wù)分組屬于新連接�,則通過查詢模塊 320獲取該業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識。查詢模塊320�����,用于在接納控制模塊310的觸發(fā)下����,通過查詢用戶數(shù)據(jù)庫110,獲取 發(fā)送該業(yè)務(wù)分組的用戶對應(yīng)的服務(wù)水平協(xié)議信息�,并根據(jù)該用戶的服務(wù)水平協(xié)議信息,確 定該業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識�。在本發(fā)明實(shí)施例提供的防火墻120的一個(gè)具體實(shí)施例中,如附圖4所示�,除包括 接納控制模塊310,以及查詢模塊320之外�,防火墻120進(jìn)一步還可以包括連接狀態(tài)數(shù)據(jù)庫 330、擴(kuò)展連接池340���。其中連接狀態(tài)數(shù)據(jù)庫330,用于維護(hù)記錄防火墻120中已有連接的狀態(tài)信息���。連接狀態(tài)數(shù)據(jù)庫330維護(hù)記錄的狀態(tài)信息具體可以包括套接字對(源地址���、目的 地址�����、源端口和目的端口等)����,協(xié)議類型��,協(xié)議連接狀態(tài)�����,超時(shí)時(shí)間等信息���。連接狀態(tài)數(shù)據(jù)庫330具體可以設(shè)置于防火墻120的內(nèi)存中�。擴(kuò)展連接池340�,用于保存防火墻120中已有連接對應(yīng)的DSCP信息。擴(kuò)展連接池340的實(shí)質(zhì)為連接狀態(tài)數(shù)據(jù)庫330的功能增強(qiáng)�����,用于保存連接狀態(tài)數(shù) 據(jù)庫330中所記錄的連接對應(yīng)的DSCP屬性,表示適用于該連接的DSCP�。擴(kuò)展連接池340中記錄的信息,與連接狀態(tài)數(shù)據(jù)庫330中的記錄信息一一對應(yīng)��。擴(kuò)展連接池340可采用編程增強(qiáng)的方式實(shí)現(xiàn)�。可以理解的是�����,擴(kuò)展連接池340也可以設(shè)置于連接狀態(tài)數(shù)據(jù)庫330中�����,即本發(fā)明實(shí) 施例中�����,連接狀態(tài)數(shù)據(jù)庫330可以集成擴(kuò)展連接池340的功能��。在本發(fā)明實(shí)施例中所涉及的接納控制模塊310的一個(gè)實(shí)施例中��,接納控制模塊 310在接收到業(yè)務(wù)分組后��,首先確認(rèn)該業(yè)務(wù)分組所屬連接的連接類型���,即判斷該連接是新連 接還是舊連接����。接納控制模塊310具體可以通過查詢連接狀態(tài)數(shù)據(jù)庫330是否預(yù)先記錄有該連接 的狀態(tài)信息�����,從而判定該連接的連接類型�����。如果沒有�,則該連接為新連接;如果有���,則該連接 為舊連接����。如果接納控制模塊310接收的業(yè)務(wù)分組所屬連接為新連接�����,則接納控制模塊310 觸發(fā)查詢模塊320�,由查詢模塊320通過查詢用戶數(shù)據(jù)庫110�,確定該新連接對應(yīng)的DSCP����。 接納控制模塊310將查詢模塊320確定的DSCP填寫至該新連接對應(yīng)的業(yè)務(wù)分組中。如果接納控制模塊310接收的業(yè)務(wù)分組所屬連接為新連接���,則接納控制模塊310 還可以在連接狀態(tài)數(shù)據(jù)庫330中�����,為該新連接設(shè)置狀態(tài)信息����,同時(shí)�,為該連接設(shè)置DSCP未知 標(biāo)識,以表明該連接的DSCP正在獲取中����。另外,接納控制模塊310還可以在確定該連接對應(yīng)的區(qū)分服務(wù)標(biāo)識后���,更新該連 接的狀態(tài)信息中的區(qū)分服務(wù)標(biāo)識����,并將該連接對應(yīng)的DSCP記錄在擴(kuò)展連接池340中。在確定新連接對應(yīng)DSCP過程中���,接納控制模塊310還可以將接收的該連接的第一 個(gè)業(yè)務(wù)分組放置在查詢隊(duì)列中���,并在確定該連接對應(yīng)的DSCP后�����,將該業(yè)務(wù)分組調(diào)出查詢隊(duì)列���,從而節(jié)省了查詢隊(duì)列的資源���。而對于該連接的后續(xù)業(yè)務(wù)分組,由于該連接已經(jīng)在防火墻 120中記錄有狀態(tài)信息��,則將按舊連接對應(yīng)的業(yè)務(wù)分組進(jìn)行處理��。如果接納控制模塊310接收的業(yè)務(wù)分組所屬連接為舊連接�����,則接納控制模塊310 首選需要確認(rèn)連接狀態(tài)數(shù)據(jù)庫330中預(yù)先記錄的該連接的狀態(tài)信息中,是否包含DSCP未知 標(biāo)識�����。如果預(yù)先記錄的該舊連接的狀態(tài)信息中包括DSCP未知標(biāo)識�,則說明正在獲取該 連接的首個(gè)業(yè)務(wù)分組對應(yīng)DSCP過程中,那么此時(shí)可以將接收的該舊連接的業(yè)務(wù)分組放置 在對應(yīng)的待轉(zhuǎn)發(fā)隊(duì)列的末尾����。如果沒有該舊連接對應(yīng)的待轉(zhuǎn)發(fā)隊(duì)列,則接納控制模塊310為該舊連接建立對應(yīng) 的待轉(zhuǎn)發(fā)隊(duì)列���,并將該舊連接的業(yè)務(wù)分組放置在建立的待轉(zhuǎn)發(fā)隊(duì)列中��,等待首個(gè)業(yè)務(wù)分組 的查詢結(jié)束��,再獲取該連接的DSCP���,填入待轉(zhuǎn)發(fā)隊(duì)列中的業(yè)務(wù)分組中。如果該舊連接的狀態(tài)信息中不包括DSCP未知標(biāo)識���,則此時(shí)擴(kuò)展連接池340中預(yù)先 記錄有該舊連接對應(yīng)的DSCP����,那么根據(jù)擴(kuò)展連接池340預(yù)先記錄的信息,獲取該舊連接對 應(yīng)的DSCP����。當(dāng)接納控制模塊310獲取新連接或舊連接的DSCP后,可以將獲取的DSCP填寫至 對應(yīng)的業(yè)務(wù)分組中���,并將已經(jīng)確定對應(yīng)DSCP的業(yè)務(wù)分組發(fā)送至邊緣路由器160�,通過邊緣 路由器160將該業(yè)務(wù)分組發(fā)送至網(wǎng)絡(luò)中�。在本發(fā)明實(shí)施例中所涉及的查詢模塊320的一個(gè)實(shí)施例中,可如附圖5所示��,具體 可以包括業(yè)務(wù)識別單元321�����,用戶標(biāo)識獲取單元322���,服務(wù)水平協(xié)議獲取單元323,區(qū)分服務(wù) 標(biāo)識確定單元324�,返回單元325。其中業(yè)務(wù)識別單元321�,用于識別新連接業(yè)務(wù)分組對應(yīng)的業(yè)務(wù)類型。業(yè)務(wù)識別單元321可以采用業(yè)務(wù)分組深度檢測(DPI :Deep Packetlnspection)等 技術(shù)�,對新連接的業(yè)務(wù)分組進(jìn)行業(yè)務(wù)類型檢查,從而確定該業(yè)務(wù)分組對應(yīng)的業(yè)務(wù)類型。用戶標(biāo)識獲取單元322�����,用于通過查詢用戶接入會話數(shù)據(jù)庫150�,確定發(fā)送新連接 業(yè)務(wù)分組的用戶的標(biāo)識(ID)。服務(wù)水平協(xié)議獲取單元323����,用于根據(jù)業(yè)務(wù)識別單元321識別的業(yè)務(wù)分組的業(yè)務(wù) 類型以及用戶標(biāo)識獲取單元322獲取的用戶ID,通過查詢用戶數(shù)據(jù)庫110��,獲取用戶的SLA
fn息o區(qū)分服務(wù)標(biāo)識確定單元324�,用于根據(jù)服務(wù)水平協(xié)議獲取單元323獲取的SLA信 息,確定新連接業(yè)務(wù)分組對應(yīng)的DSCP����。區(qū)分服務(wù)標(biāo)識確定單元324具體可以通過任意成熟的算法,確定新連接業(yè)務(wù)分組 對應(yīng)的DSCP�。本發(fā)明實(shí)施例對于所采用的算法并不限制。返回單元325���,用于將區(qū)分服務(wù)標(biāo)識確定單元324確定的DSCP返回至接納控制模 塊 310��。通過上述描述可以看出����,本發(fā)明實(shí)施例提供的接納控制系統(tǒng),通過增強(qiáng)防火墻的 功能�����,使防火墻能夠與用戶數(shù)據(jù)庫進(jìn)行通信����,獲取用戶的服務(wù)水平協(xié)議,并根據(jù)獲取的服務(wù) 水平協(xié)議��,簡便�、快速的實(shí)現(xiàn)用戶業(yè)務(wù)的定級操作,從而能夠很好的提供用戶所需的QoS保 障�����,提升了服務(wù)水平�。且本發(fā)明實(shí)施例針對連接進(jìn)行服務(wù)保障�,因此,減少了訪問數(shù)據(jù)庫的 次數(shù)�����,降低了查詢流量和延時(shí)。并且��,本發(fā)明實(shí)施例沒有改變現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的架構(gòu)�����,保護(hù)了現(xiàn)有的網(wǎng)絡(luò)投資���,節(jié)省了資金����。另外�����,本發(fā)明實(shí)施例提供的接納控制系統(tǒng)�,由于是在進(jìn)入網(wǎng) 絡(luò)域之前處理業(yè)務(wù)分組,進(jìn)行接納控制���,具有很好的可擴(kuò)展性和很高的鏈路效率以及很低 的運(yùn)算開銷���,這使得它可用于實(shí)時(shí)的接納控制,并能夠保證高級別業(yè)務(wù)較高的接入率和良 好的接納控制性能�����,很大程度上降低了接納控制處理的開銷。本發(fā)明實(shí)施例還提供了一種接納控制方法����,如附圖6所示,該方法包括步驟601�����,防火墻接收用戶發(fā)送的業(yè)務(wù)分組�;步驟602,若該業(yè)務(wù)分組屬于新連接�,則通過查詢用戶數(shù)據(jù)庫110,獲取用戶的服 務(wù)水平協(xié)議信息(SLA Service Level Agreement)�����,并根據(jù)用戶的服務(wù)水平協(xié)議信息�,確定 該業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識(DSCP :DiffServ Code Point)�。從而可以實(shí)現(xiàn)根據(jù)用戶的服務(wù)水平協(xié)議,簡便��、快速地確定業(yè)務(wù)的定級�����,為用戶提 供有保障的服務(wù)質(zhì)量。為了便于理解�����,下面對本發(fā)明實(shí)施例提供的接納控制方法的一個(gè)具體實(shí)施例的實(shí) 現(xiàn)過程進(jìn)行詳細(xì)的描述��。如附圖7所示�,本發(fā)明實(shí)施例具體可以包括步驟701,接收業(yè)務(wù)分組���。防火墻120具體可以接收由用戶發(fā)送���,并通過網(wǎng)絡(luò)接入服務(wù)器130、AAA服務(wù)器140 合法性認(rèn)證的業(yè)務(wù)分組���。步驟702���,判斷業(yè)務(wù)分組所屬連接的連接類型。對于接收的業(yè)務(wù)分組���,防火墻120需要判斷該業(yè)務(wù)分組所屬連接是新連接��,還是 舊連接�。具體的,可以通過遍歷防火墻120內(nèi)是否預(yù)先記錄有該連接的狀態(tài)信息��,從而確 定該連接的類型����。如果防火墻120內(nèi)沒有預(yù)先記錄的該連接的狀態(tài)信息,則判斷該連接為新連接��, 后續(xù)執(zhí)行步驟703 �����;如果防火墻120內(nèi)有預(yù)先記錄的該連接的狀態(tài)信息����,則判斷該連接為舊 連接,后續(xù)執(zhí)行步驟705���。步驟703�����,為新連接設(shè)置狀態(tài)信息���。此步驟中,具體可以在防火墻120內(nèi)設(shè)置該新連接的狀態(tài)信息��。并且還可以將該 新連接在查詢過程中的區(qū)分服務(wù)標(biāo)識設(shè)置為未知�����,并在后續(xù)確定該新連接業(yè)務(wù)分組對應(yīng)的 區(qū)分服務(wù)標(biāo)識后�,更新該新連接的區(qū)分服務(wù)標(biāo)識。此步驟中����,還可以將接收的新連接的業(yè)務(wù)分組放置在查詢隊(duì)列中。步驟704�����,確定新連接對應(yīng)的DSCP����。在一個(gè)實(shí)施例中,該步驟具體可如附圖8所示�,包括步驟801,識別業(yè)務(wù)類型,獲取用戶標(biāo)識信息���。具體可采用業(yè)務(wù)分組深度檢測(DPI :Deep Packet Inspection)等技術(shù)進(jìn)行業(yè)務(wù) 類型檢查���,從而識別新連接業(yè)務(wù)分組的業(yè)務(wù)類型,并通過查詢用戶接入會話數(shù)據(jù)庫150���,確 定發(fā)送該業(yè)務(wù)分組的用戶的ID���。步驟802,獲取用戶的SLA信息�����。具體可根據(jù)識別的業(yè)務(wù)類型����,以及獲取的用戶ID,通過查詢用戶數(shù)據(jù)庫110��,獲取 用戶的SLA信息�。
步驟803,確定對應(yīng)的DSCP�。具體可根據(jù)獲取的SLA信息��,通過任意成熟的算法���,確定新連接對應(yīng)的DSCP���。本發(fā) 明實(shí)施例對于采用的算法并不限制��。在確定對應(yīng)的DSCP后�,后續(xù)可執(zhí)行706���。步驟705�����,確定舊連接對應(yīng)的DSCP�����。在一個(gè)實(shí)施例中��,該步驟具體可如附圖9所示���,包括步驟901�,確定預(yù)先記錄的舊連接狀態(tài)信息中是否包含DSCP未知標(biāo)識�����。如果預(yù)先記錄的舊連接對應(yīng)的狀態(tài)信息內(nèi)包含DSCP未知標(biāo)識�,則說明正在獲取 該舊連接對應(yīng)的DSCP過程中,后續(xù)執(zhí)行步驟902�����。如果預(yù)先記錄的舊連接對應(yīng)的狀態(tài)信息內(nèi)不包含DSCP未知標(biāo)識��,則后續(xù)執(zhí)行 903�。步驟902,將舊連接的業(yè)務(wù)分組放置入待轉(zhuǎn)發(fā)隊(duì)列中��。如果預(yù)先記錄的舊連接對應(yīng)的狀態(tài)信息中不包含DSCP未知標(biāo)識���,則將舊連接的 業(yè)務(wù)分組放置入對應(yīng)的待轉(zhuǎn)發(fā)隊(duì)列���,等待該舊連接的區(qū)分服務(wù)標(biāo)識更新。具體可以將舊連接的業(yè)務(wù)分組放置入舊連接對應(yīng)的待轉(zhuǎn)發(fā)隊(duì)列的末尾����,以等待對 應(yīng)的DSCP����。需要說明的是��,如果不存在舊連接對應(yīng)的待轉(zhuǎn)發(fā)隊(duì)列�����,則為該舊連接建立對應(yīng)的 待轉(zhuǎn)發(fā)隊(duì)列����,并將舊連接的業(yè)務(wù)分組放置入建立的待轉(zhuǎn)發(fā)隊(duì)列中���。步驟903�,查詢預(yù)先記錄信息���,獲取舊連接對應(yīng)的DSCP��。由于預(yù)先記錄該舊連接的狀態(tài)信息中不包含DSCP未知標(biāo)識��,則說明防火墻120 內(nèi)��,預(yù)先記錄有該舊連接對應(yīng)的DSCP�����,那么可以根據(jù)預(yù)先記錄的信息���,確定該舊連接對應(yīng)的 DSCP���。步驟706,將確定的DSCP填寫至對應(yīng)業(yè)務(wù)分組中�����。具體可以將步驟704所確定的DSCP�,或者將步驟705所確定的DSCP,填寫至對應(yīng) 業(yè)務(wù)分組中��。對于在待轉(zhuǎn)發(fā)隊(duì)列中的舊連接業(yè)務(wù)分組����,只需連續(xù)復(fù)制已經(jīng)獲取的DSCP即可。對于已經(jīng)確定對應(yīng)DSCP的新連接業(yè)務(wù)分組����,可以將該業(yè)務(wù)分組調(diào)出查詢隊(duì)列,以 節(jié)省查詢隊(duì)列資源����。另外���,在一個(gè)實(shí)施例中,此步驟還可以更新狀態(tài)信息內(nèi)DSCP未知標(biāo)識�����。步驟707�,發(fā)送業(yè)務(wù)分組。具體的����,可以將已經(jīng)獲取對應(yīng)DSCP的業(yè)務(wù)分組����,通過邊緣路由器160,發(fā)送至網(wǎng)絡(luò)中���。在本發(fā)明實(shí)施例提供的接納控制方法的另一個(gè)具體實(shí)施例中����,防火墻可以建立 DSCP查詢隊(duì)列����,將所有需要查詢的業(yè)務(wù)分組放入該隊(duì)列中等待查詢����。如�����,在確定接收的業(yè)務(wù) 分組所屬連接為新連接時(shí)���,則將該新連接的首個(gè)業(yè)務(wù)分組復(fù)制至查詢隊(duì)列中�。對于該新連 接的后續(xù)業(yè)務(wù)分組����,則不復(fù)制入查詢隊(duì)列,而是將后續(xù)的業(yè)務(wù)分組轉(zhuǎn)發(fā)之對應(yīng)的轉(zhuǎn)發(fā)隊(duì)列 中���,以等待獲取對應(yīng)的DSCP�。從而節(jié)省了查詢隊(duì)列的資源�。需要說明的是,本發(fā)明實(shí)施例中所涉及的查詢隊(duì)列�,具體可以采用先進(jìn)先出 (FIFO)方式。
當(dāng)獲取新連接的首個(gè)業(yè)務(wù)分組對應(yīng)的DSCP之后,本發(fā)明實(shí)施例還可以將查詢隊(duì) 列中被復(fù)制的首個(gè)業(yè)務(wù)分組調(diào)出查詢隊(duì)列�,從而更進(jìn)一步節(jié)省了查詢隊(duì)列的資源。通過上述描述可以看出����,本發(fā)明實(shí)施例提供的接納控制方法,通過增強(qiáng)防火墻的 功能�����,使防火墻能夠與用戶數(shù)據(jù)庫進(jìn)行通信���,獲取用戶的服務(wù)水平協(xié)議��,并根據(jù)獲取的服 務(wù)水平協(xié)議��,簡便�����、快速實(shí)現(xiàn)用戶業(yè)務(wù)的定級操作,從而能夠很好的提供用戶所需的QoS保 障��,且減少了訪問數(shù)據(jù)庫的次數(shù)�����,降低了查詢流量和延時(shí)。并且����,本發(fā)明實(shí)施例沒有改變現(xiàn) 有網(wǎng)絡(luò)系統(tǒng)的架構(gòu),保護(hù)了現(xiàn)有的網(wǎng)絡(luò)投資�����,節(jié)省了資金�����。另外���,本發(fā)明實(shí)施例提供的接納 控制方法��,由于是在進(jìn)入網(wǎng)絡(luò)域之前處理業(yè)務(wù)分組����,進(jìn)行接納控制����,具有很好的可擴(kuò)展性和 很高的鏈路效率以及很低的運(yùn)算開銷,這使得它可用于實(shí)時(shí)的接納控制,并能夠保證高級 別業(yè)務(wù)較高的接入率和良好的接納控制性能�����,很大程度上降低了接納控制處理的開銷����。通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借 助軟件加必需的硬件平臺的方式來實(shí)現(xiàn)�,當(dāng)然也可以全部通過硬件來實(shí)施,但很多情況下 前者是更佳的實(shí)施方式�。基于這樣的理解�,本發(fā)明的技術(shù)方案對背景技術(shù)做出貢獻(xiàn)的全部 或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品可以存儲在存儲介質(zhì)中�����,如 ROM/RAM�����、磁碟���、光盤等,包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù) 器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法����。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
����,但本發(fā)明的保護(hù)范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到的變化或替換�����, 都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)����。因此�,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍 為準(zhǔn)。
權(quán)利要求
一種接納控制系統(tǒng)�����,其特征在于,包括用戶數(shù)據(jù)庫����,用于存儲用戶的服務(wù)水平協(xié)議信息;防火墻����,用于當(dāng)用戶發(fā)送的業(yè)務(wù)分組屬于新連接時(shí),通過查詢用戶數(shù)據(jù)庫�����,獲取所述用戶的服務(wù)水平協(xié)議信息����,并根據(jù)所述用戶的服務(wù)水平協(xié)議信息,確定所述業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于���,所述系統(tǒng)還包括網(wǎng)絡(luò)接入服務(wù)器�,用于接收用戶發(fā)送的業(yè)務(wù)分組���,通過與AAA服務(wù)器和用戶接入會話 數(shù)據(jù)庫通信����,對所述業(yè)務(wù)分組進(jìn)行驗(yàn)證��,并將驗(yàn)證通過后的業(yè)務(wù)分組發(fā)送至所述防火墻�����; 邊緣路由器����,用于將所述防火墻已確定對應(yīng)區(qū)分服務(wù)標(biāo)識的業(yè)務(wù)分組發(fā)送至網(wǎng)絡(luò)中。
3.一種防火墻����,其特征在于,包括接納控制模塊����,用于接收業(yè)務(wù)分組,若所述業(yè)務(wù)分組屬于新連接�,則通過查詢模塊獲取 所述業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識;查詢模塊��,用于在所述接納控制模塊的觸發(fā)下,通過查詢用戶數(shù)據(jù)庫���,獲取所述用戶的 服務(wù)水平協(xié)議信息��,并根據(jù)所述用戶的服務(wù)水平協(xié)議信息����,確定所述業(yè)務(wù)分組對應(yīng)的區(qū)分 服務(wù)標(biāo)識�����。
4.根據(jù)權(quán)利要求3所述的防火墻�,其特征在于,所述防火墻還包括 擴(kuò)展連接池����,用于保存防火墻內(nèi)已有連接對應(yīng)的區(qū)分服務(wù)標(biāo)識信息;所述接納控制模塊還用于當(dāng)所述業(yè)務(wù)分組屬于舊連接時(shí)�,從所述擴(kuò)展連接池獲取所述 業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識。
5.根據(jù)權(quán)利要求4所述的防火墻����,其特征在于,所述防火墻還包括 連接狀態(tài)數(shù)據(jù)庫����,用于維護(hù)記錄防火墻中已有連接的狀態(tài)信息���;所述接納控制模塊還用于通過查詢所述連接狀態(tài)數(shù)據(jù)庫,確定所述業(yè)務(wù)分組是否屬于 新連接�����。
6.根據(jù)權(quán)利要求3-5任一項(xiàng)所述的防火墻��,其特征在于�����,所述接納控制模塊還用于將 獲取到的區(qū)分服務(wù)標(biāo)識��,填寫至對應(yīng)的業(yè)務(wù)分組中�。
7.根據(jù)權(quán)利要求5所述的防火墻���,其特征在于���,所述接納控制模塊還用于當(dāng)所述業(yè)務(wù) 分組屬于新連接時(shí),將所述業(yè)務(wù)分組所屬的連接以及從查詢模塊獲取到的區(qū)分服務(wù)標(biāo)識對 應(yīng)記錄到所述擴(kuò)展連接池中���。
8.根據(jù)權(quán)利要求3-5任一項(xiàng)所述的防火墻�����,其特征在于��,所述查詢模塊包括 業(yè)務(wù)識別單元�����,用于識別確定所述業(yè)務(wù)分組對應(yīng)的業(yè)務(wù)類型����;用戶標(biāo)識獲取單元,用于通過查詢用戶接入會話數(shù)據(jù)庫���,獲取發(fā)送所述業(yè)務(wù)分組的用 戶對應(yīng)的標(biāo)識���;服務(wù)水平協(xié)議獲取單元,用于根據(jù)所述業(yè)務(wù)識別單元識別確定的業(yè)務(wù)分組的業(yè)務(wù)類 型�����,以及所述用戶標(biāo)識獲取單元獲取的用戶標(biāo)識,通過查詢所述用戶數(shù)據(jù)庫�����,獲取所述用戶 對應(yīng)的服務(wù)水平協(xié)議信息�����;區(qū)分服務(wù)標(biāo)識確定單元���,用于根據(jù)所述服務(wù)水平協(xié)議獲取單元獲取的服務(wù)水平協(xié)議信 息,確定所述業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識�����;返回單元����,用于將所述區(qū)分服務(wù)標(biāo)識確定單元確定的區(qū)分服務(wù)標(biāo)識返回至所述接納控 制模塊。
9.一種接納控制方法�����,其特征在于����,包括防火墻接收用戶發(fā)送的業(yè)務(wù)分組�;若所述業(yè)務(wù)分組屬于新連接�����,則通過查詢用戶數(shù)據(jù)庫�,獲取所述用戶的服務(wù)水平協(xié)議 信息,并根據(jù)所述用戶的服務(wù)水平協(xié)議信息�,確定所述業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識。
10.根據(jù)權(quán)利要求9所述的方法���,其特征在于�,所述方法還包括當(dāng)所述業(yè)務(wù)分組屬于 舊連接時(shí)���,通過查詢預(yù)先記錄的所述舊連接的區(qū)分服務(wù)標(biāo)識����,確定所述業(yè)務(wù)分組對應(yīng)的區(qū) 分服務(wù)標(biāo)識����。
11.根據(jù)權(quán)利要求9或10所述的方法,其特征在于���,所述方法還包括將確定的所述業(yè) 務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識���,填寫至所述業(yè)務(wù)分組中���,并將已填寫區(qū)分服務(wù)標(biāo)識的業(yè)務(wù)分 組發(fā)送至網(wǎng)絡(luò)中。
12.根據(jù)權(quán)利要求9所述的方法�,其特征在于,當(dāng)所述業(yè)務(wù)分組屬于新連接時(shí)���,所述方 法還包括記錄所述新連接的狀態(tài)信息���,并將所述新連接在查詢過程中的區(qū)分服務(wù)標(biāo)識設(shè)置為未 知,在確定所述業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識后�,更新所述新連接的所述區(qū)分服務(wù)標(biāo)識�。
13.根據(jù)權(quán)利要求11-10所述的方法,其特征在于�����,所述通過查詢用戶數(shù)據(jù)庫�����,獲取所 述用戶的服務(wù)水平協(xié)議信息具體包括識別所述業(yè)務(wù)分組對應(yīng)的業(yè)務(wù)類型,并通過查詢用戶接入會話數(shù)據(jù)庫�,獲取發(fā)送所述 業(yè)務(wù)分組的用戶標(biāo)識;根據(jù)所述業(yè)務(wù)分組的業(yè)務(wù)類型�����,以及所述用戶的標(biāo)識���,查詢用戶數(shù)據(jù)庫���,獲取所述用戶 對應(yīng)的服務(wù)水平協(xié)議信息。
14.根據(jù)權(quán)利要求10所述的方法�,其特征在于,若所述業(yè)務(wù)分組屬于舊連接����,則所述方 法還包括確定預(yù)先記錄的所述舊連接的狀態(tài)信息中是否包含區(qū)分服務(wù)標(biāo)識未知標(biāo)識;如果有�,則將所述業(yè)務(wù)分組放置入對應(yīng)的待轉(zhuǎn)發(fā)隊(duì)列中,等待預(yù)先記錄的所述舊連接 的區(qū)分服務(wù)標(biāo)識更新后�����,執(zhí)行所述通過查詢預(yù)先記錄的所述舊連接的區(qū)分服務(wù)標(biāo)識����,確定 所述業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識����;否則�����,直接執(zhí)行所述通過查詢預(yù)先記錄的所述舊連接的區(qū)分服務(wù)標(biāo)識����,確定所述業(yè)務(wù) 分組對應(yīng)的區(qū)分服務(wù)標(biāo)識。
全文摘要
本發(fā)明實(shí)施例涉及一種接納控制系統(tǒng)�、裝置及方法,若用戶發(fā)送的業(yè)務(wù)分組屬于新連接���,則通過查詢用戶數(shù)據(jù)庫�����,獲取所述用戶的服務(wù)水平協(xié)議信息,并根據(jù)所述用戶的服務(wù)水平協(xié)議信息����,確定所述業(yè)務(wù)分組對應(yīng)的區(qū)分服務(wù)標(biāo)識�����。從而簡便�、快捷的根據(jù)用戶的服務(wù)水平協(xié)議�����,實(shí)現(xiàn)業(yè)務(wù)的定級����,為用戶提供了具有業(yè)務(wù)保障機(jī)制的接納控制方案。
文檔編號H04L29/06GK101854334SQ20091008121
公開日2010年10月6日 申請日期2009年3月30日 優(yōu)先權(quán)日2009年3月30日
發(fā)明者張登銀, 程春玲, 符曉蓉, 郭中杰, 馬英 申請人:華為技術(shù)有限公司;南京郵電大學(xué)