宽带网用户接入管理系统

1、宽带网用户接入管理方法，是基于DHCP+客户端模式，其各设 备的典型部署方式是，以太网用户管理系统服务器包括数据库服务器和 管理员计算机，并与可选的流量采集服务器、DHCP服务器和路由器连接； 流量采集服务器和DHCP服务器通过网络与路由器连接；路由器上接有用 户计算机；以太网用户管理系统服务器与公网连接，其特征在于，在路 由器上设置不同的IP地址池，各个IP地址池中的IP地址具有不同的访 问权限，只有认证通过的用户才可以访问公网，非认证通过的用户只能 访问内部网络，以解决大量占用IP地址的问题；利用DHCP协议，在用 户认证通过或者下网之后，强制用户释放地址，重新获取地址，以此来 改变用户地址；如果是客户端用户，客户端应用程序可以主动的释放或 者获取地址，以实现认证后分配IP地址的功能。
2、如权利要求1所述的宽带网用户接入管理方法，其特征在于， 在提供DHCP+客户端接入的同时，提供了DHCP+Web页面接入。
3、如权利要求1所述的宽带网用户接入管理方法，其特征在于， 通过TELNET方式访问和控制路由器，定期获取路由器上的ARP信息，与 系统已经分配的IP地址比较，如果发现不在系统分配列表中的地址，则 认为是盗用IP，通过TELNET，将其IP地址对应的MAC设置成一个不存 在的MAC地址，以此达到限制盗用IP地址的使用。
4、如权利要求1所述的宽带网用户接入管理方法，其特征在于， 系统自身提供了用户管理功能，可以独立使用，同时提供了二次开发接 口，并同时支持Radius协议，可以与其他的计费平台配合使用。
5、如权利要求1所述的宽带网用户接入管理方法，其特征在于， 采用该方法的系统各设备的部署，还有一种最小方式：以太网用户管理 系统服务器连接有管理员计算机和路由器，路由器上接有用户计算机； 以太网用户管理系统服务器与公网连接。
6、如权利要求1所述的宽带网用户接入管理方法，其特征在于， 提供隐式认证自动登录上网方式，用户计算机开机后，系统根据预先登 记的用户计算机MAC地址权限直接分配相应权限的IP地址。
7、如权利要求1所述的宽带网用户接入管理方法，其特征在于， 提供显式认证方式，通过客户端或Web浏览器申请上网。

技术领域\n本发明涉及计算机网络技术，特别是一种宽带网用户接入管理方 法。\n背景技术\n目前宽带管理主要有三种方式：(1)PPPoE；(2)IEEE802.1x；(3)DHCP +Web，其中：\n1、PPPoE\n窄带接入方式下利用PPP技术通过拨号接入服务器实现用户的身份 认证并分配IP地址，使得用户能够通过接入服务器接入网络，进行信息 的交互，而宽带接入方式下，通过以太网交换机或路由器实现的网络， 并不提供相应的功能对用户进行身份认证。\nPPPoE技术能够提供类似于PPP的访问控制和计费功能。使用PPPoE 技术，类似于使用点对点协议的拨号服务方式，每个主机使用自己的点 对点协议栈，用户使用他们所熟悉的拨号网络用户接口进行拔号，通过 PPPoE技术，每个用户可以有他自己的接入管理、计费和业务类型。PPPoE 技术有IETF的RFC，技术与设备比较成熟，可以防止地址冲突与地址盗 用，既可以按时长计费也可以按流量计费，能够对特定用户设置访问列 表过滤或防火墙功能，能够对具体用户访问网络的速率进行控制，能够 利用现有的用户认证、管理和计费系统实现宽窄带用户的统一管理认证 和计费，能够方便地提供动态业务选择特性，PPPoE(oA)方式不要求用 户有很高的操作水平，且可以保证网络应用更安全，因此，从技术上来 看，PPPoE是一种非常好的宽带接入解决方案，但在现实生活中，采用pppoe 方式，设备投入非常巨大，考虑到宽带接入服务器高昂的价格，势必给 运营商造成巨大的成本压力，使运营商在宽带上的投资回收遥遥无期， 同时降低宽带接入运营商在市场上的灵活性与竞争力，而且PPPoE设备 本身的性能瓶颈成为制约网络的性能瓶颈。\n2、IEEE 802.1x\nIEEE 802.1x协议是目前最新出现的以太网协议，是在现有的以 太网交换机上增加802.1x协议支持，提供以太网接入认证。它把以太 网端口看作两个逻辑的端口：controlled port和uncontrolled pert。 Controlled port在认证通过前是disables的。uncontrolled port做 为authentication PAE(port access entity)，与后台 EAPOL(extensible authentication protocol)服务器进行EAPOL认证协 议的通信。客户端需要加装软件，并且用户手机的网卡需要支持EAPOL 协议。用户打开客户端软件，输入用户名口令，网卡会通过EAPOL协议 与authentication PAE通信，PAE再与后台EAPOL服务器进行交互，认 证通过后.controlled port成为enable，这时用户的其他信息就可以 通过这个支持802.1x的端口传输了。802.1x协议可以实现认证机制， 但就目前来看，也存在一些问题，一个是现在大多数交换机不支持802.1 x，要想用802.1x技术把整个城域或省域的宽带用户管理起来，同样 涉及到重新投资的问题。而且802.1x技术的初衷是要把每个802.1x 端口对应每一个用户，这样投资同样不小。如果把802.1x端口上移，一 个802.1x端口对应下面多个普通交换机，则这又涉及到一个802.1x 端口下对多个用户控制的问题，因为一旦controlled port enable， 则多个用户都可以不需认证就可上网，所以还需要对这些问题进行系统 设计和开发。\nIEEE802.1x被称为基于端口的访问控制协议，起源于无线局域网， 为二层协议，无法实现用户网络参数设置的功能。802.1x在用户带宽 保证、访问网站权限、费用统计等方面，各厂家的实现方式不一，总的 来说，如果运营商不需要加强对个人用户的网络管理和运营，只须实现 局部区域对用户的认证功能，802.1x技术还是比较合适的。\n3、DHCP+Web\nDHCP+Web是为了适应网络发展的需要而对传统的DHCP协议进行了改 进，主要增加了认证能，即DHCP服务器在将配置参数发给用户之前必须 将用户名和密码送往Radius的认证服务器进行认证，通 过认证后才将配置信息发给用户。DHCP客户端与服务器可以通过在每个 子网内增加中继代理而跨越三层，不一定要在同一个二层内。而且，服 务器只是在获得IP配置信息阶段起作用，以后的通信完全不经过它，而 PPPoE技术由于服务器与客户端之间存在PPP连接，因此服务器是所有通 信的必经之路，DHCP的主要优点是使用DHCP服务器只在用户接入网络前 为用户提供配置与管理信息，一般不会成为瓶颈，并能够很容易地实现 组播的应用。但是，DHCP还没有正式的标准，产品和应用很少；因此， 这种方式目前还需要进一步的成熟化。\n而DHCP+Web方式则要求用户终端必须在“自动分配IP地址”的状态 下才能控制用户网络属性，这需要用户具有一定的计算机知识和操作能 力。另外，如果有些用户随意更改终端IP地址，会造成其他用户无法上 网或因费用超支而引起投诉。同时，DHCP+Web方式也无法实现“认证后 分配IP”的功能，那些没有上网的用户也要占用大量地址空间，失去了DHCP “动态分配IP”的作用。\n利用现有技术，一个省级的宽带接入应用，通过核心会聚层路由器 接入公网，以下经过两极甚至多级路由器才能接入最终用户，设备投入 大，网络管理困难，如图1所示。\n发明内容\n本发明的目的是在不改变运营商网络拓扑的前提下，在DHCP+客户 端和DHCP+Web方式的基础上，克服现有技术的缺陷，提供一套完整、低 成本、高稳定性的的宽带用户接入管理方法，该方法中增加对路由器的 管理和控制；计费平台用于帐户的管理，用户身份的认证、帐务管理等， 运营商可以在其上开展各种各样的业务。\n本发明的另一目的是基本上克服传统意义上DHCP+Web的局限性， 结合对路由器的控制和管理，可以防止IP地址的盗用；提供接入客户端， 具有控制流量、防止伪DHCP的功能，满足电信级的应用。\n为达到上述目的，本发明的技术解决方案是提供一种宽带网用户接 入管理方法，基于DHCP+客户端模式，其各设备的典型部署方式是， 以太网用户管理系统服务器连接有数据库服务器和管理员计算机，并与 流量采集服务器、DHCP服务器和路由器连接；流量采集服务器和DHCP服 务器分别与路由器连接；路由器上接有用户计算机；以太网用户管理系 统服务器与公网连接，其在路由器上设置不同的IP地址池，各个IP地 址池中的IP地址具有不同的访问权限，只有认证通过的用户才可以访问 公网，非认证通过的用户只能访问内部网络，以解决大量占用IP地址的 问题。\n所述的宽带网用户接入管理方法，其在提供Web页面接入的同时， 提供了客户端接入，客户端安装在用户客户机上。\n所述的宽带网用户接入管理方法，其通过TELNET方式访问和控制路 由器，定期获取路由器上的ARP信息，与系统已经分配的IP地址比较， 如果发现不在系统分配列表中的地址，则认为是盗用IP，通过TELNET， 将其IP地址对应的MAC设置成一个不存在的MAC地址，以此达到限制盗 用IP地址的使用。\n所述的宽带网用户接入管理方法，其利用DHCP协议，在用户认证通 过或者下网之后，强制用户释放地址，重新获取地址，以此来改变用户 地址；如果是客户端用户，客户端应用程序可以主动的释放或者获取地 址，以实现认证后分配IP地址的功能。\n所述的宽带网用户接入管理方法，其系统自身提供了用户管理功能， 可以独立使用，同时提供了二次开发接口，可以与其他的计费平台配合 使用。\n所述的宽带网用户接入管理方法，其系统各设备的部署，还有一种 最小方式：以太网用户管理系统服务器连接有管理员计算机和路由器， 路由器上接有用户计算机；以太网用户管理系统服务器与公网连接。\n所述的宽带网用户接入管理方法，其主要事件流程如下：\n第一步，认证(隐式认证)上网：\na)客户开机，使用DHCP协议上网，向DHCP SERVER发送DISCOVER 请求；\nb)DHCP SERVER接收到DISCOVER请求之后，向授权模块请求IP地 址；\nc)授权模块通过认证模块认证，获取MAC地址的相应权限，分配公 网IP地址，依次返回，客户获取公网IP地址，也就完成了自动登录流 程；DHCP SERVER接收到租用周期延长的请求，直接使用缓存信息返回客 户，不需要再次向授权模块认证请求；\n第二步，分配地址之后，授权模块根据新的IP地址，通知TC模块 增加一条时长记录信息；\n第三步，通过TELNET方式访问和控制路由器，定期获取路由器上 的ARP信息，与系统已经分配的IP地址比较；\n第四步，如果发现不在系统分配列表中的地址，则认为是盗用IP， 通过TELNET，将其IP地址对应的MAC设置成一个不存在的MAC地址，以 此达到限制盗用IP地址的使用；\n第五步，客户向TC模块发送心跳信息，以证明自己处于活跃状态；\n第六步，当客户下网时，将上网时长记录写入数据库或数据文件中；\n第七步，当客户下网后，利用DHCP协议，强制用户释放公网地址， 重新获取私网地址，以此来改变用户地址；\n第八步，结束。\n所述的宽带网用户接入管理方法，其所述主要事件流程第一步还可 以是显示认证(手工认证)：\na)客户手工上网，通过客户端或心跳页面申请上网，向授权模块发 送认证请求；\nb)授权模块从数据库中读取信息来认证；\nc)认证通过，认证模块通知DHCP模块，相应的MAC地址权限已经 改变；\nd)当客户再次向DHCP SERVER发送租期延长请求之后，DHCP SERVER 发现相应的MAC地址权限信息发生改变，重新向授权模块请求分配地址；\ne)DHCP SERVER接收到DISCOVER请求之后，向授权模块请求IP地 址；\nf)授权模块通过认证模块认证，获取MAC地址的相应权限，分配公 网IP地址，依次返回，客户获取了新的公网IP地址，可以上网了；DHCP SERVER接收到租用周期延长的请求，直接使用缓存信息返回客户，不需 要再次向授权模块认证请求。\n本发明作为接入管理方法，在不改变现有网络拓扑、基本不影响网 络性能的情况下，通过软件完成宽带用户的接入、管理；该方法提供了 一种可伸缩的结构，可以满足不同级别的应用；是一个高稳定的结构， 每个模块可以重复启动多次，模块之间任务自动分配，实现了任务在各 个模块之间的平滑转移，理论上，增加启动模块的数目，就意味着模块 处理能力的增加，所以本方法可以作为一个电信级别的应用。\n附图说明\n图1为现有网络拓扑示意图；\n图2隐式认证(自动认证)实施例；\n图3隐式认证(自动认证)实施例上网顺序图；\n图4显示认证(手工认证)实施例；\n图5显示认证(手工认证)实施例上网顺序图；\n图6本发明系统主要模块示意图；\n图7后台服务模块的示意图；\n图8为本发明系统的典型部署方式示意图；\n图9为本发明系统的最小部署方式示意图。\n具体实施方式\n本发明宽带网用户接入管理方法本质上属于DHCP+web模式，通 过DHCP给用户分配地址，通过客户端(或web)进行用户身份的认证。 不同于绝大多数宽带用户接入采用的应用网关控制模块，它有自己的特 点：通过给用户分配不同的IP地址实现，简单的讲，用户地址分成两类， 受限地址和非受限地址，没有认证通过的用户分配受限地址，认证通过 的用户分配非受限地址，受限地址与非受限地址是由路由器配置控制， 通过路由器或者其他的设置决定IP地址的属性。\n本发明宽带网用户接入管理方法提供了两种认证模式：隐式认证(自 动认证)和显示认证(手工认证)。\n一、隐式认证\n隐式认证(自动认证)实施例，如图2所示，隐式认证用户在开户 之后，访问系统的注册页面，登记自己的MAC地址。系统自动就会将帐 户与MAC、边缘三层路由器的IP地址绑定在一起。\n用户开机，客户机发送discover消息，ENUS server接收到的 discover消息包涵客户机的MAC地址和三层边缘设备的IP地址。如果MAC 与边缘三层路由器IP已经有帐户与其绑定，系统自动分配一个非受限IP 给客户机，否则分配一个受限IP给用户机，完成隐式认证。\n隐式认证只适用于按流量计费或者是包月用户，隐身认证上网顺序 如图3所示。\n二、显示认证\n显示认证(手工认证)实施例，如图4所示，用户开机，获取受限 IP，用户运行客户端软件或登陆认证网页，输入用户名和口令，认证通 过之后，ENUS系统自动强制用户更改IP地址，重新获取一个非受限IP， 用户下网之后，系统则自动强制用户更改IP地址，重新变回受限IP地 址。\n显示认证适用与按时长计费和按流量计费，具体上网顺序如图5所 示。\n三、本发明宽带网用户接入管理方法中用户在线状态的监控\n本发明宽带网用户接入管理方法通过客户端(或web)定时向服务端 发送心跳请求，来维护与服务端的联系，保证用户得到稳定的服务，否 则，服务端在一定时间之内无法接收到客户端的心跳信息，会认为客户 端已经下线，中断服务，以此保证计费事件的误差在容许的范围内。\n客户端与web上网模式发送心跳请求的方式略有不同，客户端通过 socket发送UDP数据包的方式与服务端联系；web模式通过发送http请 求与服务器联系。\n本发明宽带网用户接入管理方法支持对于预付费用户的实时断线： 用户认证的同时，对于预付费用户，系统反算出用户的上网时长，在用 户上网过程中，实时轮巡，如果发现用户可以上网时长降为零，则强制 用户更改IP地址，实时断线。\n本发明宽带网用户接入管理方法，通过客户端认证上网，可以有效 的避免传统DHCP+web模式的弊端：伪DHCP对系统的影响。由于网络 中不可避免存在其他DHCP服务器(伪DHCP)，用户采用DHCP方式分配地 址，难免会被伪DHCP分配地址，这种情况下，用户显然无法正常上网。\n本发明可以在用户端安装客户端，在客户端的具体实现中采用了NDIS 技术，截获用户接收到的所有数据包，判断接收到的数据包是否是伪DHCP 发送给用户的(判断DHCP offer数据包，如果gateway属性为空，则说 明是伪DHCP发送的数据包)，如果是，则抛弃，通过这种方式，防止伪DHCP 对于系统的影响。\n本发明宽带网用户接入管理方法对盗用IP的监控与限制：系统定时 查询边缘路由器的ARP表，对比系统已经分配的IP与MAC的地址对，监 控是否有盗用IP地址的现象。如果发现盗用IP地址的现象，则将此IP 地址映射为非法的MAC地址，并记录到黑名单。\n本发明宽带网用户接入管理方法提供两种计费方式：按流量计费和 按时长计费。接入系统负责采集计费事件，它不仅可以将计费事件入自 己的计费系统，也提供了二次开发接口，外接其他计费系统，按需采集 计费事件所需的属性，将计费事件导入其他计费系统。\n四、本发明宽带网用户接入管理方法的构建\n本发明宽带网用户接入管理方法的接入系统是构建在CORBA基础上 的，一个分布式体系结构，系统具有任务负载均衡功能、系统热备份功 能，完全满足电信级应用。\n1、接入系统模块划分\n本发明宽带网用户接入管理系统的接入系统从大的方面分为服务端 和客户端两部分，见图6，其中重要的模块包括(一并参见图7)：DHCP 模块、任务分配模块、路由器管理模块、路由器控制模块、授权 (AUTHORIZATION)模块、认证(AUTHENTICATION)模块、轮巡(TC)模 块、监控模块、审计管理模块和流量采集模块。\n其中：\na)DHCP模块\n模块的功能：\n1)DHCP弱化为一个接收器，接收DHCP请求，具体的分配操作 由认证和授权模块完成；\n2)由于手工登录用户的存在，用户上网过程中，可能会更改权 限，要求重新分配地址，所以开放一个消息接口，接收MAC 地址权限更改的信息；\n3)接收到REQUEST信息之后，先检查MAC权限是否改变，如果 没有，直接从缓存中获取信息，返回给客户；如果MAC权限 更改，先返回一个NAK，要求客户释放原先的IP地址，等待 DISCOVER消息，重走IP地址分配流程。\nb)任务分配模块\n任务分配模块完成任务的分配和任务的分发两个功能，它即是一个 分配器，也是一个适配器，任务分配模块可以重复启动多次，每个任务 分配模块都可以完成相同的任务，对于调用着而言，任务分配模块是透 明的。但由于各个任务分配模块之间要保证状态信息的同步，所以它们 之间通过一个共享锁完成模块之间的同步，主要的功能有：\n(1)接收后台模块发送的注册信息，或注销信息，及时更新后台模 块信息。\n(2)根据后台模块数量，划分后台模块集群，规定集群处理的任 务，集群之间处理的任务没有重叠，所有集群处理的任务总和必须囊括 所有任务。例如，任务的划分可以按路由器或MAC地址等方式来划分。\n(3)不转发任何消息，而是提供接口，获取处理某个任务的后台 模块POA NAME。\nc)路由器管理模块\n完成设备管理的功能：(1)增加边缘三层设备；(2)修改边缘三层 设备；(3)移除边缘三层设备；(4)查询边缘三层设备。\n其他模块需要路由器信息的时候，都是通过路由器管理模块获取， 不直接从数据库中读，由于路由器管理模块不保存任何状态信息，所以 是无状态模块。\nd)路由器控制模块\n完成对各种类型边缘路由器的控制操作，主要完成以下两个功能，\n(1)查询边缘路由器ARP表功能：\n实时查询边缘路由器的ARP表，获取当前活动的IP-MAC地址对数 据和端口地址数据，并将数据送入监控模块；\n(2)设置边缘路由器ARP表功能：\n接收监控模块送来的IP-MAC地址对数据，并设置边缘路由器的静 态ARP表。路由器管理模块也是无状态模块。\ne)授权(AUTHORIZATION)模块\n执行具体的分配策略，MAC地址权限的认定由认证模块完成，根据 认证模块返回的认证信息，完成IP地址的分配。考虑到模块的热备份， 数据库中保存相对稳定的信息，由于数据的备份和流量采集入库时候记 录与帐户的对应，具体分配策略如下：\n(1)模块分配地址完毕，将分配的信息 (MAC/IP/ROUTERIP/ACCESSKEY/ACCOUNT)记录到数据库中。\n(2)MAC地址请求分配地址，如果有缓存信息，且 MAC/ROUTERIP/ACCESSKEY/ACCOUNT都相同，则使用缓存的IP地址信息； 如果没有，先试图分配一个从没有使用过的IP地址；如果有闲置的IP 地址，则选择最早释放的地址分配。\n(3)模块分配IP地址之后，先检测IP是否在黑名单中，如果在， 则设置静态ARP，然后再返回调用者。\n(4)释放IP地址的同时，要清除路由器上的ARP信息，否则，就 会被MONITOR错误的认为是非法的IP地址，而将其列入黑名单。\n(5)由于MONITOR的存在，为了保证不封掉正确的IP地址(IP 地址已经释放，但还没有及时从路由器上清除)，所以在调用 FINDIPBYROUTER的时候，返回的地址包含正在使用的ARP信息和在一定 释放时间之内的释放信息。\n(6)模块需要获取并保存的信息如下：MAC地址(DHCP模块传递 过来的参数)，权限信息和帐户信息(调用AUTHENTICATION模块接口获 取，和用户类型)，相应的GATEWAY(根据权限信息和RELAY--HOST信息 共同获取)。\n(7)如果是手工登陆用户，而权限不是网内地址权限的时候，需 要向TC模块发送一条信息，增加一条时长采集的轮巡信息。\n(8)由于多个DHCP服务器的存在，同一个MAC可能有多个DHCP 的请求分配信息，只处理其中的一个，而忽略其它DHCP服务器的请求； 或者DHCP在确定为MAC地址分配信息之后，再注册一下，以确定MAC- IP--DHCP的对应关系。\nf)认证(AUTHENTICATION)模块\n客户开机，完成MAC地址的认证，如果用户手工登录，则完成用户 身份的认证。具体策略如下：\n(1)完成自动登陆用户的MAC地址的认证过程。\n(2)手工用户上网认证：原先是由AM和TC模块共同完成，现在 将这个功能转移到认证模块中来成，认证通过之后，信息保存在模块内 部，不需要将信息保存到数据库中。并将MAC地址权限信息的改变通知 DHCP模块(要求DHCP模块重新请求分配IP地址)。\n(3)接收TC模块，手工登录下网的信息，然后将MAC地址权限信 息的改变通知DHCP模块(DHCP模块重新请求)。\ng)轮巡(TC)模块\n保存所有的正在上网的，并且登陆的手工登陆用户信息，用于时长 计费。将部分认证功能剥离到认证模块中去认证，只保留时长采集的功 能。具体策略如下：\n(1)提供接口，允许创建时长采集轮巡记录(由授权模块调用创 建)。\n(2)接收CLIENT发送的心跳信息，检测用户是有在线。\n(3)用户下网之后，通知认证(AUTHENTICATION)模块，并将时 长记录写入数据库。\nh)监控模块\n检测是否有非法的上网上网用户(IP盗用)，并负责将其封掉，模 块可以完全监控IP地址盗用和部分MAC地址盗用。具体策略如下：\n(1)通过任务分配器，获取任务分配列表，直接与授权模块打交 道，获取正在使用的MAC-IP信息。\n(2)通过RC模块，获取路由器上的MAC-IP信息(ARP信息)。\n(3)如果发现非法的IP地址，就将其MAC地址设置成 FFFF:FFFF:FFFF或其他MAC地址。\n监控模块可以设计成无状态模式，也可以设计成有状态模式，变化 不是很大，可以视具体情况而定。\ni)审计管理模块\n完成对系统审计的功能，记录管理员和系统的日志，并提供审计的 查询接口。审计记录要分级别，模块，操作者记录。\nj)流量采集模块\n按帐户采集流量信息，提供NETFLOW与IPACCOUNTING两种采集方 式。具体策略如下：\n(1)SCO路由器，建议采用NETFLOW进行流量采集(可以有详细 的记录)。\n(2)采集上网的流量记录，不采集网内的流量记录。\n(3)现流量采集配置信息的自动化，可以根据路由器管理模块提 供的路由器信息完成。\n2、接入系统热备份\n本发明宽带网用户接入管理系统(ENUS)作为一个电信级的应用， 要求系统无任何单点故障。系统模块之间通过CORBA通讯，构建成一个 分布式的体系结构，由于某些模块内部可能生成并保存一些状态信息， 所以，将系统各个模块按性质分成两大类：无状态模块和有状态模块。 所谓无状态模块就是不保存任何状态信息，所有信息都从数据库中获取， 生成的结果也保存到数据库中；利用CORBA的自动负载均衡能力，无状 态模块可以同时启动多个实体，自然也就解决了模块性能问题与热备份 问题。有状态模块在程序运行过程中会生成一些状态信息，在模块以后 的运行过程中也会用到这些信息，所以存在一个备份与恢复的问题；而 且由于客户端可能会多次发送信息，请求后台模块(由认证模块、授权 模块、监控模块、TC模块等组成，如图7所示。)处理，而且每次处理都 需要后台模块保存前一次处理的结果信息，因此相同的客户端发出的请 求，都必须由同一个后台模块处理，所以增加一个任务管理模块，用于 任务的分发。所以根据下面的策略来完成系统的热备份：\na)系统模块分成有状态模式和无状态模式两种，有状态模块是那些 可能发生性能瓶颈的模块，无状态模块包括不保存状态信息的模块和一 个任务控制模块。\nb)有状态模块初始化的时候只从数据库中读取模块处理部分的信 息。\nc)任务分配模块负责接收后台模块的注册请求，分配任务，根据不 同的客户端请求，返回具体的后台处理模块信息。\nd)有状态模块生成的信息尽量规范化，尽量利用以前生成的状态信 息；并将变化的状态信息保存到数据库中，以减少对数据库的操作。\ne)有状态模块发生故障的时候，任务分配器自动将该模块处理的任 务转移到其它有状态模块处理，失效模块的状态信息从数据库中读取。\n3、接入系统负载均衡\n本发明宽带网用户接入管理系统增加的任务分配模块(task assign)，用来解决关键模块的性能问题，通过任务分配模块，将不同的 任务分配到特定的后台模块处理，实现了后台关键模块的负载分担。前 端(主要是DHCP和客户端)先通过任务管理获取相应任务的后台处理模 块，然后在与具体的后台模块通讯。后台服务模块的结构图，见图8。\n认证、授权、轮巡模块都是有状态的，任务分配模块负责给认证、 授权、轮巡模块分组，并转发任务，以此达到任务在各个模块之间的平 均分配，系统增加处理能力，只需要增加启动的模块数目即可。\n4、本发明宽带网用户接入管理方法的客户端\n传统意义的宽带网用户接入DHCP+web管理模式，有诸多弊端：\n(1)无法限制带宽；\n(2)受非法DHCP服务器影响严重；\n(3)占用大量的网络带宽资源；\n(4)用户开机时，DHCP服务器工作不正常或者网络不正常，导致 用户无法获取正确的IP地址，这种情况下，采用web将无法上网，但客 户端可以很好的解决这个问题，所以尤其在网络状况不是很好的情况下， 客户端的优势更明显。\n本发明宽带网用户接入管理方法在提供web接入的同时，提供了客 户端接入，客户端安装在用户客户机上，对客户机具有良好的控制能力， 能有效的避免传统web方式的弊端：\n(1)客户端包含一个NDIS的驱动程序，它可以截获网络上用户接 收到的所有网络数据包，判断其中是否有伪DHCP发送来得offer信息包， 有则抛弃，这样，就屏蔽了伪DHCP对于用户的影响。\n(2)客户端包含一个NDIS的驱动程序，它可以截获用户接收到和 发送的所有网络数据包，计算流量，如果发现超过了一定的带宽，则抛 弃掉一些TCP数据包，直到网络流量限定在指定带宽范围之内。\n(3)客户端于服务端之间通过UDP通信，每次通信都只有几十个、 甚至十几个字节，相比较http请求，无疑是大大减少了对于网络带宽的 占用。\n五、本发明宽带网用户接入管理方法的主要事件流程如下：\n第一步，隐式认证(自动认证)上网：\na)客户开机，使用DHCP协议上网，向DHCP SERVER发送DISCOVERY 请求；\nb)DHCP SERVER接收到DISCOVERY请求之后，向授权模块请求IP 地址；\nc)授权模块通过认证模块认证，获取MAC地址的相应权限，分配IP 地址，依次返回，客户获取IP地址，也就完成了自动登录流程；DHCP SERVER 接收到租用周期延长的请求，直接使用缓存信息返回客户，不需要再次 向授权模块认证请求；\n第二步，分配地址之后，授权模块根据新的IP地址，通知TC模块 增加一条时常记录信息；\n第三步，通过TELNET方式访问和控制路由器，定期获取路由器上 的ARP信息，与系统已经分配的IP地址比较；\n第四步，如果发现不在系统分配列表中的地址，则认为是盗用IP， 通过TELNET，将其IP地址对应的MAC设置成一个不存在的MAC地址，以 此达到限制盗用IP地址的使用；\n第五步，客户向TC模块发送心跳信息，以证明自己处于活跃状态；\n第六步，当客户下网时，将上网时长记录写入数据库；\n第七步，当客户下网后，利用DHCP协议，强制用户释放地址，重 新获取地址，以此来改变用户地址；\n第八步，结束。\n所述主要事件流程第一步还可以是显示认证(手工认证)：\na)客户手工上网，向授权模块发送认证请求；\nb)授权模块从数据库中读取信息来认证；\nc)认证通过，认证模块通知DHCP模块，相应的MAC地址权限已经 改变；\nd)当客户再次向DHCP SERVER发送租期延长请求之后，DHCP SERVER 发现相应的MAC地址权限信息发生改变，重新向授权模块请求分配地址；\ne)DHCP SERVER接收到DISCOVERY请求之后，向授权模块请求IP 地址；\nf)授权模块通过认证模块认证，获取MAC地址的相应权限，分配IP 地址，依次返回，客户获取了新的IP地址，可以上网了；DHCP SERVER 接收到租用周期延长的请求，直接使用缓存信息返回客户，不需要再次 向授权模块认证请求。\n六、本发明宽带网用户接入管理方法的各设备部署\n本发明宽带网用户接入管理方法的各设备的典型部署方式，如图8 所示，以太网用户管理系统服务器1连接有数据库服务器2和管理员计 算机3，并与流量采集服务器4、DHCP服务器5和路由器6电连接；流量 采集服务器4和DHCP服务器5分别与路由器6连接；路由器6上接有用 户计算机7，以太网用户管理系统服务器1与公网连接。\n本发明宽带网用户接入管理方法的各设备的部署，还有一种最小方 式，如图9所示，以太网用户管理系统服务器1连接有管理员计算机3 和路由器6，路由器6上接有用户计算机7，以太网用户管理系统服务器 1与公网连接。