CPE设备基于Linux实现公网接入用户数限制的系统及方法技术方案

本发明专利技术公开了一种CPE设备基于Linux实现公网接入用户数限制的系统及方法，涉及CPE设备领域，该系统包括DHCP模块和公网用户接入数限制模块，DHCP模块每次检查LAN侧设备状态信息时，清除iptables转发表规则，清除以前检查的信息，使得每次检查以当前结果为准；公网用户接入数限制模块用于：如果公网用户接入数限制功能关闭，则清除记录的黑白名单，对公网用户接入数不作限制；如果公网用户接入数限制功能开启，则获取LAN侧设备的IP地址，通过DHCP Option60进行终端识别，区分设备类型。本发明专利技术能限制同时接入公网的最大数量，还能对每一种终端类型进行单独的接入公网数量限制，丰富了单独限制接入公网数量的功能。

【技术实现步骤摘要】
CPE设备基于Linux实现公网接入用户数限制的系统及方法
本专利技术涉及CPE(CustomerPremiseEquipment，客户驻地设备)设备领域，具体是涉及一种CPE设备基于Linux实现公网接入用户数限制的系统及方法。
技术介绍
出于安全管理和提高上网质量的考虑，要求CPE设备支持对同一时间接入公网终端数量进行限制，可以基于接入的IPv4(InternetProtocolVersion4，因特网协议版本4)私网地址、IPv6(InternetProtocolVersion6，因特网协议版本6)全局地址或MAC地址(物理地址)进行统计上网终端数量，仅能单一地限制接入公网的用户总数量，功能比较单一。
技术实现思路
本专利技术的目的是为了克服上述
技术介绍
的不足，提供一种CPE设备基于Linux实现公网接入用户数限制的系统及方法，融合两种限制终端接入公网数量的方式，不仅能够限制同时接入公网的最大数量，还能对每一种终端类型进行单独的接入公网数量限制，丰富了单独限制接入公网数量的功能。本专利技术提供一种CPE设备基于Linux实现公网接入用户数限制的系统，包括动态主机配置协议DHCP模块和公网用户接入数限制模块，其中：所述DHCP模块用于：每次检查局域网LAN侧设备状态信息时，清除IP信息包过滤系统iptables转发表规则，清除以前检查的信息，使得每次检查以当前结果为准；所述公网用户接入数限制模块用于：如果公网用户接入数限制功能关闭，则清除记录的黑白名单，对公网用户接入数不作限制；如果公网用户接入数限制功能开启，则获取LAN侧设备的IP地址，通过DHCP选项Option60进行终端识别，区分设备类型。在上述技术方案的基础上，所述公网用户接入数限制模块通过地址解析协议ARP或邻居发现协议进行离线检测，判断LAN侧设备是否在线，每执行一次仅检查一个LAN侧设备的IP地址，如果LAN侧设备在线，则对应设备类型的用户数加1，更新黑白名单；如果LAN侧设备离线，且iptables转发表中存在该设备IP地址的限制规则，则清除该设备IP地址的限制规则；如果LAN侧设备离线，且iptables转发表中不存在该设备IP地址的限制规则，则从黑名单中按时间倒序找到一个IP地址，清除该IP地址的限制规则，更新黑白名单。在上述技术方案的基础上，所述公网用户接入数限制模块更新黑白名单后，判断限制类型是设备总数限制或设备类型限制，如果限制类型是设备总数限制，不区分设备类型，当前在线的用户数超过公网接入限制数时，添加iptables转发表的限制规则，对该设备接入公网的请求进行限制；否则不添加iptables转发表的限制规则，不对该设备进行公网接入限制，清除iptables转发表中限制的但不存在租用信息leases缓存表中和ARP表中的IP，等待间隔时间后，获取LAN侧设备的IP地址，继续区分设备类型；如果限制类型是设备类型限制，接入的设备类型超过限制数时，添加iptables转发表的限制规则；否则不添加iptables转发表的限制规则，清除iptables转发表中限制的但不存在租用信息leases缓存表中和ARP表中的IP，等待间隔时间后，获取LAN侧设备的IP地址，继续区分设备类型。在上述技术方案的基础上，当接入终端数量超过允许接入公网的用户总数N时，N为自然数，CPE设备支持如下限制策略：如果检测出有终端离线，当前在线的终端小于N个，则允许新的终端接入公网；如果仍然有N个终端在线，则CPE设备拒绝新终端接入公网的请求，但允许该终端获取私网的IP地址，访问LAN侧其他终端和设备。本专利技术还提供一种CPE设备基于Linux实现公网接入用户数限制的方法，包括以下步骤：S1、加载DHCP模块后，DHCP模块每次检查LAN侧设备状态信息时，清除iptables转发表规则，清除以前检查的信息，使得每次检查以当前结果为准；S2、加载公网用户接入数限制模块模块后，判断公网用户接入数限制功能是否开启，如果公网用户接入数限制功能关闭，则转到S3；如果公网用户接入数限制功能开启，则转到步骤S4；S3、如果公网用户接入数限制功能关闭，则清除记录的黑白名单，对公网用户接入数不作限制，然后退出；S4、如果公网用户接入数限制功能开启，则获取LAN侧设备的IP地址，通过DHCPOption60进行终端识别，区分设备类型，转到步骤S5；S5、公网用户接入数限制模块通过ARP或邻居发现协议进行离线检测，判断LAN侧设备是否在线，每执行一次仅检查一个LAN侧设备的IP地址，如果LAN侧设备在线，则转到步骤S6；否则转到步骤S7；S6、如果LAN侧设备在线，则对应设备类型的用户数加1，转到步骤S8；S7、如果LAN侧设备离线，且iptables转发表中存在该设备IP地址的限制规则，则清除该设备IP地址的限制规则；如果LAN侧设备离线，且iptables转发表中不存在该设备IP地址的限制规则，则从黑名单中按时间倒序找到一个IP地址，清除该IP地址的限制规则，转到步骤S8；S8、更新黑白名单，转到步骤S9；S9、判断限制类型是设备总数限制或设备类型限制，如果限制类型是设备总数限制，则转到步骤S10；如果限制类型是设备类型限制，则转到步骤S11；S10、不区分设备类型，如果当前在线的用户数超过公网接入限制数，则添加iptables转发表的限制规则，对该设备接入公网的请求进行限制；否则不添加iptables转发表的限制规则，不对该设备进行公网接入限制，转到步骤S12；S11、如果接入的设备类型超过限制数，则添加iptables转发表的限制规则，否则不添加iptables转发表的限制规则，转到步骤S12；S12、清除iptables转发表中限制的但不存在leases缓存表中和ARP表中的IP，等待间隔时间后，返回步骤S4。在上述技术方案的基础上，当接入终端数量超过允许接入公网的用户总数N时，N为自然数，CPE设备支持如下限制策略：如果检测出有终端离线，当前在线的终端小于N个，则允许新的终端接入公网；如果仍然有N个终端在线，则CPE设备拒绝新终端接入公网的请求，但允许该终端获取私网的IP地址，访问LAN侧其他终端和设备。在上述技术方案的基础上，所述CPE设备通过判断目前LAN侧接入设备地址在线与否来统计目前用户，由CPE设备动态分配的IP或静态配置的IP，CPE设备均会计入用户总数，超过用户限制数的用户将被限制，CPE设备连接无线访问接入点AP时，CPE设备给无线AP动态分配IP，只要无线AP在线，均会统计在当前用户数中。在上述技术方案的基础上，所述CPE设备识别的设备类型包括个人计算机PC、机顶盒、电话、照相机。在上述技术方案的基础上，所述CPE设备对于不发送Option60的设备和不识别的设备类型均默认为PC。在上述技术方案的基础上，所述间隔时间为30秒。与现有技术相比，本专利技术的优点如下：(1)本专利技术融合两种限制终端接入公网数量的方式：一、仅限制同时接入公网的最大数量；二、仅对每一种终端类型进行单独的接入公网数量限制，对于不能识别的设备视为PC终端。与现有的仅能单一地限制接入公网的用户总数量的功能相比，本专利技术不仅能够限制同时接入公网的最大数量，还能对每一种终端类型进行单独的接入本文档来自技高网...

【技术保护点】
一种CPE设备基于Linux实现公网接入用户数限制的系统，其特征在于：包括动态主机配置协议DHCP模块和公网用户接入数限制模块，其中：所述DHCP模块用于：每次检查局域网LAN侧设备状态信息时，清除IP信息包过滤系统iptables转发表规则，清除以前检查的信息，使得每次检查以当前结果为准；所述公网用户接入数限制模块用于：如果公网用户接入数限制功能关闭，则清除记录的黑白名单，对公网用户接入数不作限制；如果公网用户接入数限制功能开启，则获取LAN侧设备的IP地址，通过DHCP选项Option60进行终端识别，区分设备类型。

【技术特征摘要】
1.一种CPE设备基于Linux实现公网接入用户数限制的系统，其特征在于：包括动态主机配置协议DHCP模块和公网用户接入数限制模块，其中：所述DHCP模块用于：每次检查局域网LAN侧设备状态信息时，清除IP信息包过滤系统iptables转发表规则，清除以前检查的信息，使得每次检查以当前结果为准；所述公网用户接入数限制模块用于：如果公网用户接入数限制功能关闭，则清除记录的黑白名单，对公网用户接入数不作限制；如果公网用户接入数限制功能开启，则获取LAN侧设备的IP地址，通过DHCP选项Option60进行终端识别，区分设备类型；所述公网用户接入数限制模块通过地址解析协议ARP或邻居发现协议进行离线检测，判断LAN侧设备是否在线，每执行一次仅检查一个LAN侧设备的IP地址，如果LAN侧设备在线，则对应设备类型的用户数加1，更新黑白名单；如果LAN侧设备离线，且iptables转发表中存在该设备IP地址的限制规则，则清除该设备IP地址的限制规则；如果LAN侧设备离线，且iptables转发表中不存在该设备IP地址的限制规则，则从黑名单中按时间倒序找到一个IP地址，清除该IP地址的限制规则，更新黑白名单。2.如权利要求1所述的CPE设备基于Linux实现公网接入用户数限制的系统，其特征在于：所述公网用户接入数限制模块更新黑白名单后，判断限制类型是设备总数限制或设备类型限制，如果限制类型是设备总数限制，不区分设备类型，当前在线的用户数超过公网接入限制数时，添加iptables转发表的限制规则，对该设备接入公网的请求进行限制；否则不添加iptables转发表的限制规则，不对该设备进行公网接入限制，清除iptables转发表中限制的但不存在租用信息leases缓存表中和ARP表中的IP，等待间隔时间后，获取LAN侧设备的IP地址，继续区分设备类型；如果限制类型是设备类型限制，接入的设备类型超过限制数时，添加iptables转发表的限制规则；否则不添加iptables转发表的限制规则，清除iptables转发表中限制的但不存在租用信息leases缓存表中和ARP表中的IP，等待间隔时间后，获取LAN侧设备的IP地址，继续区分设备类型。3.如权利要求1或2所述的CPE设备基于Linux实现公网接入用户数限制的系统，其特征在于：当接入终端数量超过允许接入公网的用户总数N时，N为自然数，CPE设备支持如下限制策略：如果检测出有终端离线，当前在线的终端小于N个，则允许新的终端接入公网；如果仍然有N个终端在线，则CPE设备拒绝新终端接入公网的请求，但允许该终端获取私网的IP地址，访问LAN侧其他终端和设备。4.一种CPE设备基于Linux实现公网接入用户数限制的方法，其特征在于，包括以下步骤：S1、加载DHCP模块后，DHCP模块每次检查LAN侧设备状态信息时，清除iptables转发表规则，清除以前检查的信息，使得每次检查以当前结果为准；S2、加载公网用户接入数限制模块模块后，判断公网用户接入数限制功能是否开启，如果公网用户接入数限制功能关闭，则转到S3；如果公网用户接入数限制功能开启，则转到步骤...

【专利技术属性】
技术研发人员：李华敏，屈兰，乔美杰，陈芳，
申请(专利权)人：烽火通信科技股份有限公司，
类型：发明
国别省市：湖北;42