Область техники
Настоящее изобретение относится к области устройств CPE (Customer Premise Equipment - абонентского конечного оборудования), в частности относится к определенной системе и способу ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux.
Предыдущий уровень техники
Из соображений управления безопасностью и повышения качества доступа к Интернет требуется поддержка оборудованием СРЕ возможности ограничения количества терминалов, одновременно подключенных к общественной сети, при этом осуществление подсчета количества подключенных к сети терминалов посредством адреса частной сети IPv4 (Internet Protocol Version 4 - Интернет-протокол 4 версии), глобального адреса IPv6 (Internet Protocol Version 6 - Интернет-протокол 6 версии) или MAC адреса (физического адреса) позволяет ограничивать количество подключенных к общественной сети пользователей только по отдельности, то есть эта функция является чересчур простой.
Суть изобретения
Целью настоящего изобретения является обеспечение определенной системы и способа ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux, сочетающих два различных способа ограничения количества подключений к общественной сети, что позволяет не только ограничивать максимальное число одновременных подключений к общественной сети, но и осуществлять ограничение количества подключений к общественной сети отдельно по каждому типу оборудования, тем самым расширяя одиночную функцию ограничения количества подключений к общественной сети.
Настоящее изобретение обеспечивает определенную систему ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux, включающую модуль протокола динамической конфигурации хост-машины DHCP и модуль ограничения количества подключенных к общественной сети пользователей, при этом:
Вышеупомянутый модуль DHCP применяется для следующего: при каждой проверке информации о состоянии оборудования на стороне локальной сети LAN происходит очищение правил таблиц передачи системы фильтрации пакетов информации IP iptables, информация предыдущей проверки очищается так, чтобы при каждой проверке руководствоваться текущими результатами;
Вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети происходит получение IP адреса оборудования на стороне LAN и посредством опции Option60 DHCP осуществляется распознавание терминала и различение типа оборудования.
На основе описанного выше технического решения вышеупомянутый модуль ограничения количества подключенных к общественной сети пользователей посредством протокола разрешения адреса ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN онлайн. При этом при каждом выполнении проверяется только IP адрес одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и обновляется черный и белый список; а если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то правила ограничения адреса этого оборудования очищаются; если оборудование на стороне LAN находится оффлайн, а в таблице передачи iptables не содержатся правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, обновляется черный и белый список.
На основе описанного выше технического решения вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети после обновления белого и черного списка определяет, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования. Если ограничение является ограничением общего количества, то различения типов оборудования не происходит, и при превышении текущим количеством находящихся в сети пользователей предельного количества подключений к общественной сети добавляется правило ограничения таблиц передачи iptables и осуществляется ограничение запросов данного оборудования на подключение к общественной сети; в противном случае не происходит добавления правил ограничения таблиц передачи iptables, не происходит ограничения доступа данного оборудования к общественной сети и очищается IP адрес, ограниченный в таблице передачи iptables, но отсутствующий в кэш таблице информации об аренде leases и таблице ARP; а по прошествии временного интервала происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования. Если ограничение является ограничением по типу оборудования, то при превышении предельного количества типом оборудования добавляется правило ограничения таблиц передачи iptables; в противном случае добавления правила ограничения таблиц передачи iptables не происходит, очищаются IP, ограниченные в таблице передачи iptables, но не находящиеся в кэш таблице информации аренды leases и таблице ARP, а по прошествии временного интервала происходит получения IP адреса оборудования на стороне LAN, продолжается различение типа оборудования.
На основе описанного выше технического решения, когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
Настоящее изобретение также обеспечивает определенный способ ограничения количества подключенных к сети пользователей посредством оборудования СРЕ на основе Linux, включающий следующие этапы: этап S1: после загрузки модуля DHCP он при каждой проверке информации о состоянии оборудования на стороне LAN очищает правила таблиц передачи iptables и очищает информацию предыдущей проверки так, чтобы при каждой проверке руководствоваться текущими результатами; этап S2: после загрузки модуля ограничения количества подключений пользователей к общественной сети определяется, активирована ли функция ограничения количества подключений пользователей к общественной сети, и если она деактивирована, то происходит переход к этапу S3; а если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит переход к этапу S4; этап S3: если функция ограничения количества подключений пользователей к общественной сети деактивирована, то очищается черный и белый список с записями и не происходит ограничения количества подключений пользователей к общественной сети, затем происходит выход; этап S4: если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит получение IP адреса оборудования на стороне LAN и посредством Option60 DHCP осуществляется распознавание терминала, различается тип терминала и происходит переход к этапу S5; этап S5: модуль ограничения количества подключений пользователей к общественной сети посредством ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом во время каждого выполнения определяется IP адрес только одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то происходит переход к этапу S6; в противном случае происходит переход к этапу S7; этап S6: если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и происходит переход к этапу S8; этап S7: если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то происходит очищение правила ограничения IP адреса этого оборудования; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего происходит переход к этапу S8; этап S8: обновление черного и белого списка, переход к этапу S9; этап S9: определение, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования, если ограничение является ограничением общего количества оборудования, то происходит переход к этапу S10; а если ограничение является ограничением по типу оборудования, то происходит переход к этапу S11; этап S10: независимо от типов оборудования, если текущее количество пользователей в сети превышает предел подключений к общественной сети, то происходит добавление правила ограничения в таблицу передачи iptables и осуществляется ограничение запросов на подключение данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения в таблицу передачи iptables и не происходит ограничения запросов на подключение данного оборудования к общественной сети, происходит переход к этапу S12; этап S11: если тип подключенного к сети оборудования превышает предельное количество, то происходит добавление правила ограничения таблиц передачи iptables; в противном случае добавления правила ограничения таблиц передачи iptables не происходит и происходит переход к этапу S12; этап S12: очищение IP, ограниченных в таблице передачи iptables, но не находящихся в кэш таблице leases и таблице ARP, а по прошествии временного интервала происходит возврат к этапу S4.
На основе описанного выше технического решения, когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
На основе описанного выше технического решения вышеупомянутое СРЕ оборудование подсчитывает число текущих пользователей посредством определения, находится ли в данный момент в сети адрес оборудования на стороне LAN; динамически распределенные или статически присвоенные оборудованием СРЕ IP адреса оборудование СРЕ включает в общее число пользователей, а пользователи сверх предельного количества пользователей ограничиваются; когда оборудование СРЕ подключается к беспроводной сети и обращается к беспроводной точке доступа АР, оно предоставляет беспроводной АР динамически распределенный IP, и в случае нахождения беспроводной АР в сети она включается в число текущих пользователей.
На основе описанного выше технического решения распознаваемые вышеупомянутым СРЕ оборудованием типы оборудования включают персональные компьютеры ПК, телевизионные приставки, телефоны, фотоаппараты.
На основе описанного выше технического решения вышеупомянутое оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, и не распознаваемые типы оборудования за ПК.
На основе описанного выше технического решения вышеупомянутый временной интервал составляет 30 секунд.
По сравнению с существующим уровнем техники настоящее изобретение имеет следующие преимущества: (1) Настоящее изобретение сочетает два способа ограничения количества подключений терминалов к общественной сети: первым способом является ограничение только максимального количества одновременных подключений к общественной сети; а вторым способом является ограничение количества подключений к общественной сети одновременно по каждому типу терминалов, при этом оборудование, которое не может быть распознано, принимается за ПК. По сравнению с существующим способом одиночного ограничения только общего количества подключенных к сети пользователей, настоящее изобретение может не только ограничивать максимальное количество одновременных подключений к сети, но и осуществлять ограничение количества подключений отдельно по каждому виду терминалов, расширяя одиночную функцию ограничения количества подключений к общественной сети.
(2) Когда число подключенных терминалов не превышает максимально поддерживаемое число пользователей, оборудование СРЕ разрешает подключение терминалов к Интернету, удовлетворяя потребность одновременного подключения пользователей к сети; а когда число подключенных терминалов превышает максимально поддерживаемое число пользователей, оборудование СРЕ перестает давать новым терминалам разрешение на подключение к Интернету и динамически обновляет черный список, ограничивающий подключение пользователей к сети, и белый список, разрешающий пользователям подключение к сети, предоставляя пользователям безопасные и оптимальные услуги при условии, что ресурсы на стороне сети это позволяют.
Краткое описание изображений
Фигура 1 представляет собой схему последовательности процесса способа ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux по одному из вариантов осуществления настоящего изобретения.
Конкретные варианты осуществления
Далее следует более подробное описание настоящего изобретения, сопровождающееся изображениями и конкретными вариантами осуществления.
Настоящее изобретение обеспечивает определенную систему ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux, включающую модуль DHCP (Dynamic Host Configuration Protocol - динамическая конфигурация хост-машины) и модуль ограничения количества подключенных к общественной сети пользователей, при этом:
Модуль DHCP применяется для: очищения правил таблиц передачи iptables (системы фильтрования пакетов информации IP) и очищения информации предыдущей проверки при каждой проверке информации о состоянии оборудования на стороне локальной сети LAN (Local Area Network - локальная сеть) так, чтобы каждый раз при проверке руководствоваться текущими результатами;
Модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети происходит получение IP адреса оборудования на стороне LAN и посредством Option60 (опции 60) DHCP осуществляется распознавание терминала и различение типа оборудования, при этом оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, а также не распознаваемые типы оборудования за ПК (персональный компьютер);
Модуль ограничения количества подключенных к общественной сети пользователей посредством ARP (Address Resolusion Protocol - протокол расширения адреса) или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети. При этом при каждом выполнении проверяется только IP адрес одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и обновляется черный и белый список; а если оборудование на стороне LAN находится не в сети, а в таблице передачи iptalbes содержится правило ограничения IP адреса этого оборудования, то правило ограничения адреса этого оборудования очищается; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptalbes не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего обновляется черный и белый список.
Модуль ограничения количества доступов пользователей к общественной сети после обновления белого и черного списка определяет, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования. Если тип ограничения является ограничением общего количества, то различения типов оборудования не происходит, и при превышении текущим количеством находящихся в сети пользователей предельного количества подключений к общественной сети N (где N является натуральным числом) добавляется правило ограничения таблицы передачи iptables и осуществляется ограничение запросов на доступ данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения таблицы передачи iptables, не происходит ограничения доступа данного оборудования к общественной сети, и очищается IP адрес, ограниченный в таблице передачи iptables, но не содержащийся в кэш таблице информации об аренде leases и таблице ARP, а по прошествии временного интервала (предпочтительно 30 секунд) происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования. Если тип ограничения является ограничением по типу оборудования, то при превышении предельного количества подключений данного типа оборудования происходит добавление правила ограничения таблицы передачи iptables; в противном случае добавления правила ограничения таблицы передачи iptables не происходит, очищается IP, ограниченный в таблице передачи iptables, но не содержащийся в кэш таблице информации аренды leases (информация аренды) и таблице ARP, а по прошествии временного интервала (предпочтительно 30 секунд) происходит получения IP адреса оборудования на стороне LAN, продолжается различение типа оборудования.
Когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
Как показано на фигуре 1, настоящее изобретение также обеспечивает определенный способ ограничения количества подключенных к сети пользователей посредством оборудования СРЕ на основе Linux, включающий следующие этапы:
этап S1: после загрузки модуля DHCP он при каждой проверке информации о состоянии оборудования на стороне LAN очищает правило таблиц передачи iptables (системы фильтрации пакетов информации IP) и очищает информацию предыдущей проверки так, чтобы при каждой проверке руководствоваться текущими результатами;
этап S2: после загрузки модуля ограничения количества подключений пользователей к общественной сети определяется, активирована ли функция ограничения количества подключений пользователей к общественной сети, и если она деактивирована, то происходит переход к этапу S3; а если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит переход к этапу S4;
этап S3: если функция ограничения количества подключений пользователей к общественной сети деактивирована, то очищается черный и белый список с записями и не происходит ограничения количества подключений пользователей к общественной сети, затем происходит выход;
этап S4: если функция ограничения подключений пользователей общественной сети активирована, то происходит получение IP адреса оборудования на стороне LAN и посредством Option60 (опции 60) DHCP осуществляется распознавание терминала, различается тип терминала, при этом оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, и не распознаваемые типы оборудования за ПК (персональный компьютер), а распознаваемые оборудованием СРЕ типы оборудования включают PC (ПК), STB (Set Top Box - телевизионная приставка), Phone (телефон), Camera (фотоаппарат), что позволяет осуществлять ограничение доступов к общественной сети по типу оборудования; затем происходит переход к этапу S5;
этап S5: модуль ограничения количества подключений пользователей к общественной сети посредством ARP (Address Resolusion Protocol - протокол разрешения адресов) или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом во время каждого выполнения определяется IP адрес только одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то происходит переход к этапу S6; в противном случае происходит переход к этапу S7;
этап S6: если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и происходит переход к этапу S8;
этап S7: если оборудование на стороне LAN находится не в сети, а в таблице передачи iptalbes содержится правило ограничения IP адреса этого оборудования, то происходит очищение правила ограничения IP адреса этого оборудования; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего происходит переход к этапу S8;
этап S8: обновление черного и белого списка, переход к этапу S9;
этап S9: определение, является ли тип ограничения ограничением общего количества оборудования или ограничением по типу оборудования; если тип ограничения является ограничением общего количества оборудования, то происходит переход к этапу S10, а если тип ограничения является ограничением по типу оборудования, то происходит переход к этапу S11;
этап S10: не происходит разграничения типов оборудования, и если текущее количество пользователей в сети превышает предел подключений к общественной сети N, где N является натуральным числом, то происходит добавление правила ограничения в таблицу передачи iptables и осуществляется ограничение запросов на подключение данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения в таблицу передачи iptables и не происходит ограничения запросов на подключение данного оборудования к общественной сети, происходит переход к этапу S12;
этап S11: если тип подключенного к сети оборудования превышает предельное количество, то происходит добавление правила ограничения таблицы передачи iptables, в противном случае добавления правила ограничения таблицы передачи iptables не происходит и происходит переход к этапу S12;
этап S12: очищение IP, ограниченных в таблице передачи iptables, но не содержащихся в кэш таблице leases (информация аренды) и таблице ARP, а по прошествии временного интервала (предпочтительно 30 секунд) происходит возврат к этапу S4.
Ниже следует подробное разъяснение принципа работы настоящего изобретения:
Осуществление настоящего изобретения обеспечивает способ, реализованный на базе Linux, где распознавание терминалов происходит посредством Option60 DHCP, оффлайн-детекция происходит посредством ARP или протокола обнаружения соседей, функция ограничения сетевых подключений осуществляется посредством установленных в ядро Linux правил iptables.
Для удовлетворения требования оперативности и управляемости оборудование СРЕ осуществляет различение типов оборудования посредством Option60 DHCP. Существует два способа конфигурации: (1) ограничение максимального количества одновременных подключений к общественной сети; (2) ограничение количества одновременных подключений к общественной сети отдельно по каждому типу терминалов, при этом оборудование, которое не может быть распознано, принимается за ПК. При осуществлении настоящего изобретения интегрируется два способа конфигурации, тем самым расширяя одиночную функцию ограничения количества подключений к общественной сети.
СРЕ оборудование подсчитывает число текущих пользователей посредством определения, находится ли в данный момент в сети адрес оборудования на стороне LAN, динамически распределенные или статически присвоенные оборудованием СРЕ IP адреса оборудование СРЕ включает в общее количество пользователей и пользователи сверх предельного количества пользователей ограничиваются; когда оборудование СРЕ подключается к беспроводной сети и обращается к беспроводной АР (Access Point - точка доступа), оно предоставляет беспроводной АР динамически распределенный IP, и в случае нахождения беспроводной АР в сети она включается в число текущих пользователей.
В соответствии с различными способами ограничения существуют следующие способы обработки:
Если определяется, что текущие установки являются ограничением по общему количеству, то не различается тип пользовательского оборудования на стороне LAN, и все пользовательское оборудование, независимо от того, является ли оно ПК, телевизионной приставкой или фотоаппаратом, учитывается в общем количестве текущих пользователей в сети; при этом если не превышается предельное общее максимальное число пользователей, то ограничения не происходит; а при превышении добавляется правило ограничения таблиц передачи iptables, что приводит к тому, что данные данного IP не передаются, и пользователь с этим IP не получает доступ к сети.
Если определяется, что текущие установки являются ограничением по типу, то ограничение подключений к общественной сети осуществляется в соответствии с числом пользователей определенного типа, и при превышении предельного количества каждым типом оборудования добавляется правило ограничения, ограничивающее доступ к сети пользователя с данным IP; при отсутствии превышения правило не добавляется.
После выполнения вышеуказанных шагов совершается проверка: проверяется, находится ли ограниченный в таблице iptables IP в таблице DHCP leases (информация аренды) или в текущей таблице ARP, и если не находится, то это ограничение не требуется; правило ограничения удаляется из таблиц передачи iptables, в результате чего пользователь с данным IP получает доступ к сети с целью предотвращения ошибочного ограничения при распределении оборудования LAN на изначальный IP адрес.
Происходит периодическая проверка оборудования на стороне LAN, по истечении определенного времени процесс возвращается к этапу S4 "Получение IP адреса оборудования на стороне LAN и различение типа оборудования", и вышеупомянутый этап выполняется заново; рекомендуется установить временной интервал на 30 секунд, то есть каждые 30 секунд цикл будет повторяться.
Технический персонал настоящей области может вносить различные поправки и осуществлять модификации вариантов осуществления настоящего изобретения, и если эти поправки и модификации находятся в рамках формулы изобретения или схожих с ней технологий, то они также входят в диапазон защиты настоящего изобретения.
В раскрытии изобретения не описываются подробно хорошо известные техническим специалистам данной области существующие технологи.
Изобретение относится к технологиям сетевой связи. Технический результат заключается в снижении нагрузки на сеть. Система содержит: модуль протокола динамической конфигурации хост-машины DHCP и модуль ограничения количества подключенных к общественной сети пользователей, при этом: при каждой проверке модулем DHCP информации о состоянии оборудования на стороне локальной сети LAN происходит очищение правил таблиц передачи системы фильтрации пакетов информации IP iptables; модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети, происходит получение IP адреса оборудования на стороне LAN и посредством опции Option60 DHCP осуществляется распознавание терминала и различение типа оборудования. 2 н. и 7 з.п. ф-лы, 1 ил.
1. Определенная система ограничения количества подключенных к общественной сети пользователей посредством определенного оборудования СРЕ на основе Linux, которая характеризуется следующим: включает модуль протокола динамической конфигурации хост-машины DHCP и модуль ограничения количества подключенных к общественной сети пользователей, при этом: вышеупомянутый модуль DHCP применяется для следующего: при каждой проверке информации о состоянии оборудования на стороне локальной сети LAN происходит очищение правил таблиц передачи системы фильтрации пакетов информации IP iptables, информация предыдущей проверки очищается так, чтобы при каждой проверке руководствоваться текущими результатами; вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети применяется для следующего: в случае деактивации функции ограничения количества подключений пользователей к общественной сети происходит очищение черного и белого списка с записями и количество подключений пользователей к общественной сети не ограничивается; в случае активации функции ограничения количества подключений пользователей к общественной сети происходит получение IP адреса оборудования на стороне LAN и посредством опции Option60 DHCP осуществляется распознавание терминала и различение типа оборудования; вышеупомянутый модуль ограничения количества подключений пользователей к общественной сети посредством протокола разрешения адреса ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом при каждом выполнении проверяется только IP адрес одного оборудования на стороне LAN, и если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и обновляется черный и белый список, если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то правило ограничения IP адреса этого оборудования очищается, если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержатся правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, обновляется черный и белый список.
2. Система ограничения количества подключенных к общественной сети пользователей в соответствии с п. 1 формулы изобретения, характеризующаяся следующим: после обновления черного и белого списка модулем ограничения количества подключений пользователей к общественной сети определяется тип ограничения: ограничение общего количества оборудования или ограничение типа оборудования, если тип ограничения является ограничением общего количества оборудования, то различения типов оборудования не происходит и при превышении текущим количеством находящихся в сети пользователей предельного количества подключений к общественной сети добавляется правило ограничения таблиц передачи iptables, а также осуществляется ограничение запросов данного оборудования на подключение к общественной сети, в противном случае не происходит добавления правила ограничения таблиц передачи iptables, не происходит ограничения доступа данного оборудования к общественной сети, очищается IP адрес, ограниченный в таблице передачи iptables, но не находящийся в кэш-таблице информации об аренде leases и таблице ARP; по прошествии временного интервала происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования, если тип ограничения является ограничением по типу оборудования, то при превышении типом оборудования предельного количества подключений добавляется правило ограничения таблиц передачи iptables; в противном случае добавления правила ограничения таблиц передачи iptables не происходит, очищаются IP адреса, ограниченные в таблице передачи iptables, но не находящиеся в кэш таблице информации аренды leases и таблице ARP; а по прошествии временного интервала происходит получение IP адреса оборудования на стороне LAN и продолжается различение типа оборудования.
3. Система ограничения количества подключенных к общественной сети пользователей посредством определенного оборудования СРЕ на основе Linux в соответствии с любым из пп. 1 и 2 формулы изобретения, характеризующаяся следующим: когда число подключенных терминалов превышает разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, однако разрешает этим терминалам получить IP адрес частной сети и получить доступ к другим терминалам и оборудованию на стороне LAN.
4. Определенный способ ограничения количества подключенных к сети пользователей посредством оборудования СРЕ на основе Linux, характеризующийся наличием следующих этапов: этап S1: после загрузки модуля DHCP он при каждой проверке информации о состоянии оборудования на стороне LAN очищает правила таблиц передачи iptables и очищает информацию предыдущей проверки так, чтобы при каждой проверке руководствоваться текущими результатами; этап S2: после загрузки модуля ограничения количества подключений пользователей к общественной сети определяется, активирована ли функция ограничения количества подключений пользователей к общественной сети, и если она деактивирована, то происходит переход к этапу S3; а если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит переход к этапу S4; этап S3: если функция ограничения количества подключений пользователей к общественной сети деактивирована, то очищается черный и белый список с записями и не происходит ограничения количества подключений пользователей к общественной сети, затем происходит выход; этап S4: если функция ограничения количества подключений пользователей к общественной сети активирована, то происходит получение IP адреса оборудования на стороне LAN и посредством Option60 DHCP осуществляется распознавание терминала, различается тип терминала и происходит переход к этапу S5; этап S5: модуль ограничения количества подключений пользователей к общественной сети посредством ARP или протокола обнаружения соседей осуществляет оффлайн-детекцию и определяет, находится ли оборудование на стороне LAN в сети, при этом во время каждого выполнения определяется IP адрес только одного оборудования на стороне LAN; если оборудование на стороне LAN находится в сети, то происходит переход к этапу S6, в противном случае происходит переход к этапу S7; этап S6: если оборудование на стороне LAN находится в сети, то к количеству пользователей соответствующего типа оборудования добавляется 1 и происходит переход к этапу S8; этап S7: если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables содержится правило ограничения IP адреса этого оборудования, то происходит очищение правила ограничения IP адреса этого оборудования; если оборудование на стороне LAN находится не в сети, а в таблице передачи iptables не содержится правила ограничения IP адреса этого оборудования, то в черном списке в порядке обратного времени находится один IP адрес и очищается правило ограничения этого IP адреса, после чего происходит переход к этапу S8; этап S8: обновление черного и белого списка, переход к этапу S9; этап S9: определение типа ограничения: ограничение общего количества оборудования или ограничение типа оборудования, если тип ограничения является ограничением общего количества оборудования, то происходит переход к этапу S10; если тип ограничения является ограничением типа оборудования, то происходит переход к этапу S11; этап S10: независимо от типа оборудования, если текущее количество пользователей в сети превышает предел подключений к общественной сети, то происходит добавление правила ограничения в таблицу передачи iptables и осуществляется ограничение запросов на подключение данного оборудования к общественной сети; в противном случае не происходит добавления правила ограничения в таблицу передачи iptables и не происходит ограничения запросов на подключение данного оборудования к общественной сети; происходит переход к этапу S12; этап S11: если тип подключенного к сети оборудования превышает предельное количество, то происходит добавление правила ограничения в таблицы передачи iptables; в противном случае добавления правила ограничения в таблицы передачи iptables не происходит; происходит переход к этапу S12; этап S12: очищение IP адресов, ограниченных в таблицах передачи iptables, но не находящихся в кэш таблице leases и таблице ARP; по прошествии временного интервала происходит возврат к этапу S4.
5. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 4 формулы изобретения, характеризующийся следующим: когда число подключенных терминалов превышает общее разрешенное число подключенных к общественной сети пользователей N, которое является натуральным числом, оборудование СРЕ поддерживает следующую стратегию ограничения: при обнаружении отключения терминала от сети и текущем количестве терминалов в сети менее числа N разрешается подключение к общественной сети новых терминалов; если же в сети по-прежнему находится N терминалов, то оборудование СРЕ отказывает новым терминалам в запросе на подключение к общественной сети, но разрешает этим терминалам получить IP адрес частной сети и получать доступ к другим терминалам и оборудованию на стороне LAN.
6. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 5 формулы изобретения, характеризующийся следующим: вышеупомянутое СРЕ оборудование подсчитывает текущих пользователей посредством определения, находится ли в данный момент адрес подключенного оборудования на стороне LAN в сети, при этом динамически распределенные или статически присвоенные оборудованием СРЕ IP адреса оборудование СРЕ включает в общее количество подключенных пользователей, пользователи сверх предельного количества пользователей ограничиваются, а во время подключения оборудования СРЕ к точке беспроводного доступа АР оно предоставляет точке беспроводного доступа АР динамически распределенный IP, и при условии нахождения точки беспроводного доступа АР в сети она также будет включаться в количество текущих пользователей.
7. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 6 формулы изобретения, характеризующийся следующим: распознаваемые оборудованием СРЕ типы оборудования включают персональные компьютеры ПК, телевизионные приставки, телефоны, фотоаппараты.
8. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с п. 7 формулы изобретения, характеризующийся следующим: вышеупомянутое оборудование СРЕ по умолчанию принимает оборудование, не отправляющее Option 60, а также нераспознаваемые типы оборудования за ПК.
9. Способ ограничения количества подключенных к общественной сети пользователей посредством оборудования СРЕ на основе Linux в соответствии с любым из пп. 4-8 формулы изобретения, характеризующийся следующим: вышеупомянутый временной интервал составляет 30 секунд.
УСТРОЙСТВО ДЛЯ ЭКОЛОГИЧЕСКИ ЧИСТОГО СЖИГАНИЯ МУСОРА | 2000 |
|
RU2182683C2 |
CN 102480476 A, 30.05.2012 | |||
CN 103957142 A, 30.07.2014. |
Авторы
Даты
2018-10-25—Публикация
2015-09-02—Подача