[发明专利]在OLT上实现TACACS+的方法及系统

说明书

技术领域

本发明涉及无源光网络技术领域，具体是涉及一种在OLT上实 现TACACS+的方法及系统。

背景技术

参见图1所示，现有的PON(PassiveOpticalNetwork，无源光 网络)系统包括OLT(OpticalLineTerminal，光线路终端)、ODN (OpticalDistributionNetwork，光分配网络)和ONU(OpticalNetwork Unit，光网络单元)。一个OLT可以有多个PON口，而一个PON口 又可以通过光分路器与多个ONU相连接，这样形成一个中心局与多 个远端的通信网络。

从OLT到ONU的下行数据的传送方式一般为物理层广播方式， 即将每一个下行帧发送到所有ONU的PON端口。从ONU到OLT 的上行数据的传送方式一般为TDMA(TimeDivisionMultipleAccess， 时分多址)方式，即各个ONU在OLT分配给自己使用的上行时隙内 发送上行数据。

PON技术具有系统容量大、成本低、对数据业务支持好、技术 成熟和维护简单等优点，是实现FTTx(FiberToThex，光纤到x) 的理想方案之一。目前，PON系统已经开始大规模商用，但是难以 对OLT的用户设置不同权限，无法有效地控制用户可操作的范围。

发明内容

本发明的目的是为了克服上述背景技术的不足，提供一种在OLT 上实现TACACS+的方法及系统，提供了认证、授权、计费三种安全 功能，能够确认访问网络的远程用户的身份，判断访问者是否为合法 的网络用户，对OLT的用户设置不同权限，限制用户可以使用的服 务，能够有效地控制用户可操作的范围。

本发明提供一种在OLT上实现TACACS+的方法，包括以下步 骤：

A、OLT管理员通过图形网管或本地命令行，配置终端访问控制 器访问控制系统TACACS+业务配置信息；

B、远程登录服务Telnet用户输入用户名、密码，请求登录OLT， TACACS+客户端收到用户名和密码后，连接TACACS+服务器；否则 向TACACS+服务器发送认证开始报文，其中包括用户名；TACACS+ 服务器发送认证回应报文，请求登录密码；TACACS+客户端收到回 应报文，向TACACS+服务器发送认证持续报文，其中包括登录密码； TACACS+服务器发送认证通过报文，指示Telnet用户通过认证；

C、TACACS+客户端向TACACS+服务器发送授权请求报文， TACACS+服务器发送授权回应报文，指示Telnet用户通过授权； TACACS+客户端收到授权回应成功报文，通过本地命令行向 TACACS+客户端所在OLT发送授权命令；

D、TACACS+客户端向TACACS+服务器发送计费开始报文， TACACS+服务器发送计费回应报文，指示计费开始报文已经收到； Telnet用户请求断开连接，TACACS+客户端向TACACS+服务器发送 计费结束报文；TACACS+服务器发送计费结束报文，指示计费结束 报文已经收到。

在上述技术方案的基础上，所述TACACS+客户端根据用户等 级进入不同的命令视图，同时还能限制输入的每条命令行，记录用户 登录信息、以及用户输入的每条命令行，记录用户使用网络服务中的 所有操作，同时实现计费和对网络安全的监视。

在上述技术方案的基础上，所述TACACS+客户端记录的操作 包括用户使用的服务类型、起始时间、配置命令、数据流量。

本发明还提供一种在OLT上实现TACACS+的系统，该系统包括 TACACS+服务器和TACACS+客户端，TACACS+客户端位于OLT上， TACACS+客户端包括配置模块、登陆模块、收包模块、发包模块、 认证模块、授权模块、计费模块，其中：

配置模块用于：供OLT管理员通过图形网管或本地命令行，配 置TACACS+业务配置信息；

登陆模块用于：供远程登录服务Telnet用户输入用户名、密码， 请求登录OLT；

收包模块用于：接收各种报文，根据报文的类型，分别把报文送 到认证模块、授权模块、计费模块进行处理；

认证模块用于：发送认证信息，接收处理认证信息；确认访问网 络的远程用户的身份，判断访问者是否为合法的网络用户；