亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

網(wǎng)絡(luò)地址轉(zhuǎn)換業(yè)務(wù)控制方法及裝置的制作方法

文檔序號:7664923閱讀:97來源:國知局
專利名稱:網(wǎng)絡(luò)地址轉(zhuǎn)換業(yè)務(wù)控制方法及裝置的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)通信:技術(shù),尤其涉及一種網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT, Network Address Translation)業(yè)務(wù)控制方法及裝置。
背景技術(shù)
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種將私網(wǎng)網(wǎng)際協(xié)議(IP, Internet Protocol)地址轉(zhuǎn)換 為公網(wǎng)IP地址的技術(shù),主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公有網(wǎng)絡(luò)的功能,它可 以使多臺私網(wǎng)計(jì)算^L共享Internet連接,4艮好地解決^^共IP地址資源緊缺的 問題。在NAT應(yīng)用中,私網(wǎng)主^幾不^f又可以訪問公網(wǎng)資源,同時(shí)也可以對外提 供服務(wù),即給公有網(wǎng)絡(luò)提供訪問私有網(wǎng)絡(luò)的機(jī)會。目前,無論是私網(wǎng)訪問公 網(wǎng)的業(yè)務(wù)還是私網(wǎng)對外提供服務(wù)的業(yè)務(wù),都是通過靜態(tài)配置的方式來進(jìn)行業(yè) 務(wù)控制的。對于私網(wǎng)訪問公網(wǎng)的業(yè)務(wù),通常在NAT網(wǎng)關(guān)上靜態(tài)配置訪問控 制列表(ACL, Access Control List),指定具有某些特征的IP報(bào)文才可以 使用外網(wǎng)地址池中的地址進(jìn)行NAT服務(wù),NAT網(wǎng)關(guān)收到私網(wǎng)主機(jī)發(fā)出的IP 報(bào)文后,根據(jù)靜態(tài)配置的ACL判斷該IP報(bào)文是否需要進(jìn)行NAT服務(wù),如 果需要,則執(zhí)行NAT轉(zhuǎn)換,并建立轉(zhuǎn)換關(guān)系表。對于私網(wǎng)對外提供服務(wù)的 業(yè)務(wù),是通過靜態(tài)配置相應(yīng)的網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器(NAT-Server)表項(xiàng)來控 制的,在NAT-Server表項(xiàng)中指定私網(wǎng)主機(jī)可以對外提供的服務(wù)類型,并據(jù) 此NAT-Server表項(xiàng)控制外網(wǎng)的訪問,如允許私網(wǎng)主機(jī)對外提供文件傳輸協(xié) 議(FTP, File Transfer Protocol)服務(wù)等。但是,上述靜態(tài)NAT業(yè)務(wù)控制方式存在以下缺點(diǎn)一、靈活性較差,不便于管理。
比如,在使用動態(tài)主機(jī)配置協(xié)議(DHCP, Dynamic Host Configuration Protocol)進(jìn)行動態(tài)地址分配的情況下,同 一個(gè)私網(wǎng)用戶可能會4吏用多個(gè)私 網(wǎng)IP地址來訪問外網(wǎng),由于對于同一個(gè)用戶,其對外網(wǎng)的訪問4又限應(yīng)該是 一致的,因此如果通過靜態(tài)配置ACL來控制NAT用戶對外網(wǎng)的訪問,那么 就需要根據(jù)當(dāng)前網(wǎng)絡(luò)的地址管理方法在NAT網(wǎng)關(guān)上配置ACL規(guī)則。在用戶 很多且又采用動態(tài)IP地址分配的情況下,上述ACL配置過程將較為復(fù)雜, 并且修改起來也較為麻煩,靈活性較差,不便于管理。二、不能夠?yàn)橛脩籼峁﹤€(gè)性化的NAT服務(wù)。靜態(tài)配置ACL的方式使得NAT業(yè)務(wù)控制只能基于IP報(bào)文特征進(jìn)行, 而不能基于用戶進(jìn)行。當(dāng)不同用戶使用同一臺主機(jī)訪問外網(wǎng)時(shí),該主機(jī)發(fā)出 的IP報(bào)文特征可能相同,雖然不同用戶的內(nèi)外網(wǎng)訪問業(yè)務(wù)可能是不 一樣的, 但是靜態(tài)配置ACL的方式并不能區(qū)分這種情況,對于具有相同特征的IP報(bào) 文都會執(zhí)行相同的處理,無法為不同用戶提供個(gè)性化的NAT服務(wù)。發(fā)明內(nèi)容有鑒于此,本發(fā)明的主要目的在于提供一種NAT業(yè)務(wù)控制方法及裝置, 提升NAT業(yè)務(wù)控制的靈活性,實(shí)現(xiàn)為用戶提供個(gè)性化的NAT服務(wù)。 為達(dá)到上述目的,本發(fā)明提供的技術(shù)方案如下一種網(wǎng)絡(luò)地址轉(zhuǎn)換NAT業(yè)務(wù)控制方法,在認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器 上建立針對用戶的NAT服務(wù)描述信息,該方法包括當(dāng)用戶上線并通過認(rèn) 證授權(quán)后,從AAA服務(wù)器獲取該用戶的NAT服務(wù)描述信息,NAT網(wǎng)關(guān)根 據(jù)所述NAT服務(wù)描述信息對該用戶的NAT業(yè)務(wù)進(jìn)行控制。所述從AAA服務(wù)器獲取該用戶的NAT服務(wù)描述信息的過程包括用 戶通過認(rèn)證授權(quán)后,AAA服務(wù)器將該用戶的NAT服務(wù)描述信息發(fā)送給接入 設(shè)備,接入設(shè)備將收到的NAT服務(wù)描述信息通知給NAT網(wǎng)關(guān)。所述NAT網(wǎng)關(guān)根據(jù)所述NAT服務(wù)描述信息對該用戶的NAT業(yè)務(wù)進(jìn)行 控制包括NAT網(wǎng)關(guān)收到所述用戶的NAT服務(wù)描述信息后,判斷該用戶的
服務(wù)類別,如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則根據(jù)收到的NAT服務(wù)描述信息 動態(tài)生成對應(yīng)的ACL,將該ACL與外網(wǎng)地址池綁定,并才艮據(jù)動態(tài)生成的ACL 控制該用戶內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù);如果是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則根據(jù)收到 的NAT服務(wù)描述信息建立該用戶的NAT-Server表項(xiàng),并據(jù)此NAT-Server 表項(xiàng)對內(nèi)網(wǎng)向外網(wǎng)提供服務(wù)的業(yè)務(wù)進(jìn)行控制。所述根據(jù)動態(tài)生成的ACL控制該用戶內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù)包括NAT 網(wǎng)關(guān)收到所述用戶訪問外網(wǎng)的報(bào)文后,判斷收到的報(bào)文是否匹配動態(tài)生成的 ACL,如果匹配,則/人與該ACL綁定的外網(wǎng)地址池中選擇一個(gè)外網(wǎng)IP地址, 對該報(bào)文進(jìn)行NAT轉(zhuǎn)換,建立轉(zhuǎn)換關(guān)系表項(xiàng),并將轉(zhuǎn)換后的報(bào)文發(fā)送出去。該方法進(jìn)一步包括NAT網(wǎng)關(guān)在用戶下線時(shí)判斷該用戶的服務(wù)類別, 如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則刪除為該用戶動態(tài)生成的ACL及建立的轉(zhuǎn) 換關(guān)系表項(xiàng)、并取消該ACL與外網(wǎng)地址池的綁定;如果是內(nèi)網(wǎng)向外網(wǎng)提供 服務(wù),則刪除為該用戶建立的NAT-Server表項(xiàng)。所述NAT服務(wù)描述信息在AAA服務(wù)器創(chuàng)建用戶帳號時(shí)建立。所述NAT服務(wù)描述信息包括NAT連接限制、NAT特殊協(xié)議類型、 NAT普通協(xié)議類型、NAT外部地址池和/或NAT "良務(wù)類別。一種NAT業(yè)務(wù)控制裝置,包括信息獲取單元和業(yè)務(wù)控制單元,其中,信息獲取單元,用于在用戶上線時(shí)從AAA服務(wù)器獲取該用戶的NAT 服務(wù)描述信息,并將獲取的服務(wù)描述信息發(fā)送給業(yè)務(wù)控制單元;業(yè)務(wù)控制單元,用于根據(jù)收到的NAT服務(wù)描述信息對所述用戶的NAT 業(yè)務(wù)進(jìn)行控制。所述業(yè)務(wù)控制單元包括類別判斷單元、正向處理單元和反向處理單元, 其中,類別判斷單元,用于在收到用戶的NAT服務(wù)描述信息后,判斷該用戶 的服務(wù)類別,如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則將收到的NAT服務(wù)描述信息 發(fā)送給正向處理單元;如果是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則將收到的NAT服務(wù) 描述信息發(fā)送給反向處理單元;正向處理單元,用于根據(jù)收到的NAT服務(wù)描述信息動態(tài)生成對應(yīng)的 ACL,將該ACL與外網(wǎng)地址池綁定,并根據(jù)動態(tài)生成的ACL控制所述用戶 內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù);反向處理單元,用于根據(jù)收到的NAT服務(wù)描述信息建立該用戶的 NAT-Server表項(xiàng),并據(jù)此NAT-Server表項(xiàng)對內(nèi)網(wǎng)向外網(wǎng)提供服務(wù)的業(yè)務(wù)進(jìn) 行控制。所述類別判斷單元,進(jìn)一步用于在用戶下線時(shí)判斷該用戶的服務(wù)類別, 如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則將該用戶下線信息通知正向處理單元;如果 是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則將該用戶下線信息通知反向處理單元;所述正向處理單元,進(jìn)一步用于在收到用戶下線通知后,刪除為該用戶 動態(tài)生成的ACL及建立的轉(zhuǎn)換關(guān)系表項(xiàng)、并取消該ACL與外網(wǎng)地址池的綁 定;所述反向處理單元,進(jìn)一步用于在收到用戶下線通知后,刪除為該用戶 建立的NAT-Server表項(xiàng)。所述信息獲取單元設(shè)置在具有接入控制功能的設(shè)備中,所述業(yè)務(wù)控制單 元設(shè)置在具有NAT業(yè)務(wù)處理功能的設(shè)備中;或者,所述信息獲取單元和業(yè) 務(wù)控制單元同時(shí)設(shè)置在兼具接入控制和NAT業(yè)務(wù)處理功能的設(shè)備中。由此可見,本發(fā)明通過在AAA服務(wù)器上建立針對用戶的NAT服務(wù)描 述信息,使得在用戶上線后,可以根據(jù)該用戶的NAT服務(wù)描述信息動態(tài)生 成ACL或者建立相關(guān)的NAT表項(xiàng),然后根據(jù)動態(tài)生成的ACL或NAT表項(xiàng) 對用戶的NAT業(yè)務(wù)進(jìn)行控制,而無需通過靜態(tài)配置的方式進(jìn)行NAT業(yè)務(wù)控 制,從而提升了 NAT業(yè)務(wù)控制的靈活性,降低了管理的復(fù)雜度;并且,針 對用戶動態(tài)生成ACL或NAT表項(xiàng),使得NAT業(yè)務(wù)控制可以基于用戶進(jìn)行,


圖1為本發(fā)明實(shí)施例中的NAT業(yè)務(wù)控制過程示意圖。
圖2為本發(fā)明實(shí)施例中的NAT業(yè)務(wù)控制裝置結(jié)構(gòu)示意圖。
具體實(shí)施方式
本發(fā)明的基本思想是結(jié)合認(rèn)證授權(quán)計(jì)費(fèi)(AAA, Authentication, Authorization, Accounting)服務(wù)器實(shí)現(xiàn)動態(tài)的NAT業(yè)務(wù)控制方式,提升 NAT業(yè)務(wù)控制的靈活性,解決現(xiàn)有的靜態(tài)配置方式的缺陷。為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,下面參照附圖并舉 實(shí)施例,對本發(fā)明作進(jìn)一步詳細(xì)說明。為了實(shí)現(xiàn)本發(fā)明,首先需要在AAA服務(wù)器上建立針對用戶的NAT月良 務(wù)描述信息,該NAT服務(wù)描述信息可以在AAA服務(wù)器創(chuàng)建接入用戶帳號時(shí) 建立。其中,所述NAT服務(wù)描述信息主要用于描述用戶可以享用的NAT服 務(wù),以及可以對外提供的服務(wù)類型。下面列舉幾個(gè)可能的NAT服務(wù)描述信 息項(xiàng)l)NAT連接限制分為連接數(shù)限制和連接建立速率限制,用以防止單 一用戶在短時(shí)間內(nèi)發(fā)起大量的NAT連接,導(dǎo)致系統(tǒng)資源迅速消耗,擠占其 它合法用戶資源的現(xiàn)象發(fā)生。2 ) NAT特殊協(xié)議類型指報(bào)文載荷里攜帶了需要進(jìn)行NAT轉(zhuǎn)換的地 址或端口信息的協(xié)議類型,如FTP、域名系統(tǒng)(DNS, Domain Name System)、 因特網(wǎng)定位服務(wù)(ILS , Internet Locator Service )、基于TCP/IP的網(wǎng)絡(luò)基本 輸入輸出系統(tǒng)(NBT, NetBIOS over TCP/IP)、點(diǎn)到點(diǎn)隧道協(xié)議(PPTP, Point to Point Tunneling Protocol) 、 H.323等,該項(xiàng)決定了用戶NAT服務(wù)允 許的特殊協(xié)議類型。3)NAT普通協(xié)議類型與特殊協(xié)議類型相對,指報(bào)文載荷中不存在需 要進(jìn)行NAT轉(zhuǎn)換的地址或端口信息的協(xié)議類型,如超文本傳輸協(xié)議(HTTP, Hypertext Transfer Protocol)、遠(yuǎn)程連接協(xié)議(TELNET )等,該項(xiàng)決定了用 戶NAT服務(wù)允許的普通協(xié)議類型。4 ) NAT外網(wǎng)地址池進(jìn)行NAT轉(zhuǎn)換時(shí)所使用的外網(wǎng)地址需要從地址
池中獲取,該項(xiàng)決定了用戶的外網(wǎng)地址>^人哪個(gè)地址池獲取。5) NAT月良務(wù)類另U:分為兩種, 一是內(nèi)網(wǎng)用戶訪問外網(wǎng),二是內(nèi)網(wǎng)用戶 向外網(wǎng)提供服務(wù)。圖1示出了本發(fā)明中的NAT業(yè)務(wù)控制過程示意圖,該過程主要由接入 設(shè)備、AAA服務(wù)器和NAT網(wǎng)關(guān)共同完成。參見圖l所示,該過程包括以下 步驟步驟101:用戶上線時(shí),接入設(shè)備向AAA服務(wù)器發(fā)送認(rèn)證請求消息和 授權(quán)請求消息,AAA服務(wù)器收到后對用戶進(jìn)行認(rèn)證授權(quán),并在認(rèn)證授權(quán)通 過后,將該用戶的NAT服務(wù)描述信息下發(fā)給接入設(shè)備。步驟102:接入設(shè)備將AAA服務(wù)器下發(fā)的關(guān)于該用戶的NAT服務(wù)描述 信息發(fā)送給NAT網(wǎng)關(guān),請求NAT網(wǎng)關(guān)建立NAT服務(wù)。步驟103: NAT網(wǎng)關(guān)收到所述用戶的NAT服務(wù)描述信息后,判斷該用 戶的服務(wù)類別,如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則根據(jù)收到的NAT服務(wù)描述 信息動態(tài)生成對應(yīng)的ACL,并動態(tài)(相對命令行上的靜態(tài)配置)地將此ACL 綁定到NAT服務(wù)描述信息中攜帶的外網(wǎng)地址池,然后,根據(jù)動態(tài)生成的ACL 控制該用戶內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù);如果是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則根據(jù)收到 的NAT l良務(wù)描述信息建立該用戶的NAT-Server表項(xiàng),并據(jù)此NAT-Server 表項(xiàng)對內(nèi)網(wǎng)向外網(wǎng)提供服務(wù)的業(yè)務(wù)進(jìn)行控制。其中,所述NAT網(wǎng)關(guān)沖艮據(jù)動態(tài)生成的ACL控制該用戶內(nèi)網(wǎng)訪問外網(wǎng)的 業(yè)務(wù)的過程具體包括NAT網(wǎng)關(guān)收到該用戶訪問外網(wǎng)的報(bào)文后,判斷收到 的報(bào)文是否匹配動態(tài)生成的ACL,如果匹配,則從與該ACL綁定的外網(wǎng)地 址池中選擇一個(gè)外網(wǎng)IP地址,對該報(bào)文進(jìn)行NAT轉(zhuǎn)換,并建立轉(zhuǎn)換關(guān)系表 項(xiàng),然后將轉(zhuǎn)換后的報(bào)文發(fā)送出去。另外,NAT網(wǎng)關(guān)在動態(tài)生成ACL或NAT表項(xiàng)建立成功后,向接入設(shè) 備返回建立成功響應(yīng)。步驟104:接入設(shè)備向AAA服務(wù)器發(fā)送計(jì)費(fèi)開始請求。步驟105: AAA服務(wù)器收到計(jì)費(fèi)開始請求后,開始計(jì)費(fèi),并向接入設(shè)備
返回計(jì)費(fèi)開始響應(yīng)。至此,接入設(shè)備完成用戶上線的處理。步驟106:接入設(shè)備完成用戶上線處理后,用戶開始進(jìn)行相關(guān)業(yè)務(wù)。 步驟107:用戶下線時(shí),接入設(shè)備請求NAT網(wǎng)關(guān)取消該用戶的NAT服務(wù)。步驟108: NAT網(wǎng)關(guān)收到接入設(shè)備的取消請求后,判斷該用戶的服務(wù)類 別,如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則刪除為該用戶動態(tài)生成的ACL及建立 的轉(zhuǎn)換關(guān)系表項(xiàng)、并取消該ACL與外網(wǎng)地址池的綁定;如果是內(nèi)網(wǎng)向外網(wǎng) 提供服務(wù),則刪除為該用戶建立的NAT-Server表項(xiàng)。然后,NAT網(wǎng)關(guān)向接 入設(shè)備返回取消成功響應(yīng)。步驟109:接入設(shè)備向AAA服務(wù)器發(fā)送計(jì)費(fèi)結(jié)束請求。步驟110: AAA服務(wù)器收到計(jì)費(fèi)結(jié)束請求后,結(jié)束計(jì)費(fèi),并向接入設(shè)備 返回計(jì)費(fèi)結(jié)束響應(yīng)。至此,接入設(shè)備完成用戶下線處理。需要說明的是,由于目前各AAA協(xié)議并沒有對NAT服務(wù)的直接支持, 因此,為了實(shí)現(xiàn)本發(fā)明,需要對現(xiàn)有的AAA協(xié)議進(jìn)行擴(kuò)展,比如,為遠(yuǎn)程 iU正拔號用戶月良務(wù)(RADIUS, Remote Authentication Dial-in User Service ) 協(xié)議擴(kuò)展NAT服務(wù)的私有屬性。另夕卜,需要說明的是,本文中的接入設(shè)備是指具有接入控制功能的設(shè)備, NAT網(wǎng)關(guān)是指具有NAT業(yè)務(wù)處理功能的設(shè)備。在實(shí)際應(yīng)用中,接入設(shè)備和 NAT網(wǎng)關(guān)既可以是兩個(gè)單獨(dú)的設(shè)備,也可以是兼具接入控制功能和NAT業(yè) 務(wù)處理功能的設(shè)備中的兩個(gè)功能模塊。相應(yīng)地,本發(fā)明還提供了一種NAT業(yè)務(wù)控制裝置,其結(jié)構(gòu)參見圖2所示, 主要包括信息獲取單元和業(yè)務(wù)控制單元,其中,信息獲取單元,用于在用戶上線時(shí)從AAA服務(wù)器獲取該用戶的NAT服務(wù) 描述信息,并將獲取的服務(wù)描述信息發(fā)送給業(yè)務(wù)控制單元;業(yè)務(wù)控制單元,用于根據(jù)收到的NAT服務(wù)描述信息對所述用戶的NAT業(yè) 務(wù)進(jìn)行控制。較佳地,所述業(yè)務(wù)控制單元具體可包括類別判斷單元、正向處理單元和 反向處理單元,其中,類別判斷單元,用于在收到用戶的NAT服務(wù)描述信息后,判斷該用戶的服 務(wù)類別,如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則將收到的NAT服務(wù)描述信息發(fā)送給正 向處理單元;如果是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則將收到的NAT服務(wù)描述信息發(fā)送 給反向處理單元;正向處理單元,用于根據(jù)收到的NAT服務(wù)描述信息動態(tài)生成對應(yīng)的ACL, 將該ACL與外網(wǎng)地址池綁定,并根據(jù)動態(tài)生成的ACL控制所述用戶內(nèi)網(wǎng)訪問 外網(wǎng)的業(yè)務(wù);反向處理單元,用于根據(jù)收到的NAT服務(wù)描述信息建立該用戶的 NAT-Server表項(xiàng),并據(jù)此NAT-Server表項(xiàng)對內(nèi)網(wǎng)向外網(wǎng)提供服務(wù)的業(yè)務(wù)進(jìn)行控制。另外,所述類別判斷單元,還可進(jìn)一步用于在用戶下線時(shí)判斷該用戶的服 務(wù)類別,如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則將該用戶下線信息通知正向處理單元; 如果是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則將該用戶下線信息通知反向處理單元;所述正向處理單元,進(jìn)一步用于在收到用戶下線通知后,刪除為該用戶動 態(tài)生成的ACL及建立的轉(zhuǎn)換關(guān)系表項(xiàng)、并取消該ACL與外網(wǎng)地址池的綁定;所述反向處理單元,進(jìn)一步用于在收到用戶下線通知后,刪除為該用戶建 立的NAT-Server表項(xiàng)。其中,所述信息獲取單元設(shè)置在具有接入控制功能的設(shè)備中,所述業(yè)務(wù)控 制單元設(shè)置在具有NAT業(yè)務(wù)處理功能的設(shè)備中;或者,所述信息獲取單元和業(yè) 務(wù)控制單元同時(shí)設(shè)置在兼具接入控制和NAT業(yè)務(wù)處理功能的設(shè)備中。以 上所述對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步的詳細(xì)說 明,所應(yīng)理解的是,以上所述并不用以限制本發(fā)明,凡在本發(fā)明的精神和原 則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范 圍之內(nèi)。
權(quán)利要求
1、一種網(wǎng)絡(luò)地址轉(zhuǎn)換NAT業(yè)務(wù)控制方法,其特征在于,在認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器上建立針對用戶的NAT服務(wù)描述信息,該方法包括當(dāng)用戶上線并通過認(rèn)證授權(quán)后,從AAA服務(wù)器獲取該用戶的NAT服務(wù)描述信息,NAT網(wǎng)關(guān)根據(jù)所述NAT服務(wù)描述信息對該用戶的NAT業(yè)務(wù)進(jìn)行控制。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述從AAA服務(wù)器獲取該 用戶的NAT服務(wù)描述信息的過程包括用戶通過認(rèn)證授權(quán)后,AAA服務(wù)器將該用戶的NAT服務(wù)描述信息發(fā)送給 接入設(shè)備,接入設(shè)備將收到的NAT服務(wù)描述信息通知給NAT網(wǎng)關(guān)。
3、 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述NAT網(wǎng)關(guān)根據(jù)所述NAT 服務(wù)描述信息對該用戶的NAT業(yè)務(wù)進(jìn)行控制包括NAT網(wǎng)關(guān)收到所述用戶的NAT服務(wù)描述信息后,判斷該用戶的服務(wù)類另'J, 如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則根據(jù)收到的NAT服務(wù)描述信息動態(tài)生成對應(yīng)的 ACL,將該ACL與外網(wǎng)地址池綁定,并根據(jù)動態(tài)生成的ACL控制該用戶內(nèi)網(wǎng) 訪問外網(wǎng)的業(yè)務(wù);如果是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則根據(jù)收到的NAT服務(wù)描述信 息建立該用戶的NAT-Server表項(xiàng),并據(jù)此NAT-Server表項(xiàng)對內(nèi)網(wǎng)向外網(wǎng)提供服 務(wù)的業(yè)務(wù)進(jìn)行控制。
4、 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述根據(jù)動態(tài)生成的ACL 控制該用戶內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù)包括NAT網(wǎng)關(guān)收到所述用戶訪問外網(wǎng)的報(bào)文后,判斷收到的報(bào)文是否匹配動態(tài) 生成的ACL,如果匹配,則從與該ACL綁定的外網(wǎng)地址池中選擇一個(gè)外網(wǎng)IP 地址,對該報(bào)文進(jìn)行NAT轉(zhuǎn)換,建立轉(zhuǎn)換關(guān)系表項(xiàng),并將轉(zhuǎn)換后的報(bào)文發(fā)送出 去。
5、 根據(jù)權(quán)利要求4所述的方法,其特征在于,該方法進(jìn)一步包括NAT網(wǎng)關(guān)在用戶下線時(shí)判斷該用戶的服務(wù)類別,如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè) 務(wù),則刪除為該用戶動態(tài)生成的ACL及建立的轉(zhuǎn)換關(guān)系表項(xiàng)、并取消該ACL與外網(wǎng)地址池的綁定;如果是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則刪除為該用戶建立的NAT-Server表項(xiàng)。
6、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所迷NAT服務(wù)描述信息在 AAA服務(wù)器創(chuàng)建用戶帳號時(shí)建立。
7、 根據(jù)權(quán)利要求1至6任一項(xiàng)所述的方法,其特征在于,所述NAT服 務(wù)描述信息包括NAT連接限制、NAT特殊協(xié)議類型、NAT普通協(xié)議類型、 NAT外部地址池和Z或NAT服務(wù)類別。
8、 一種NAT業(yè)務(wù)控制裝置,其特征在于,包括信息獲取單元和業(yè)務(wù) 控制單元,其中,信息獲取單元,用于在用戶上線時(shí)從AAA服務(wù)器獲取該用戶的NAT 服務(wù)描述信息,并將獲取的服務(wù)描述信息發(fā)送給業(yè)務(wù)控制單元;業(yè)務(wù)控制單元,用于根據(jù)收到的NAT服務(wù)描述信息對所述用戶的NAT 業(yè)務(wù)進(jìn)行控制。
9、 根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述業(yè)務(wù)控制單元包括 類別判斷單元、正向處理單元和反向處理單元,其中,類別判斷單元,用于在收到用戶的NAT服務(wù)描述信息后,判斷該用戶 的服務(wù)類別,如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則將收到的NAT服務(wù)描述信息 發(fā)送給正向處理單元;如果是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則將收到的NAT服務(wù) 描述信息發(fā)送給反向處理單元;正向處理單元,用于根據(jù)收到的NAT服務(wù)描述信息動態(tài)生成對應(yīng)的 ACL,將該ACL與外網(wǎng)地址池綁定,并根據(jù)動態(tài)生成的ACL控制所述用戶 內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù);反向處理單元,用于根據(jù)收到的NAT服務(wù)描述信息建立該用戶的行控制。
10、 根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述類別判斷單元,進(jìn)一步用于在用戶下線時(shí)判斷該用戶的服務(wù)類別, 如果是內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù),則將該用戶下線信息通知正向處理單元;如果 是內(nèi)網(wǎng)向外網(wǎng)提供服務(wù),則將該用戶下線信息通知反向處理單元;所述正向處理單元,進(jìn)一步用于在收到用戶下線通知后,刪除為該用戶 動態(tài)生成的ACL及建立的轉(zhuǎn)換關(guān)系表項(xiàng)、并取消該ACL與外網(wǎng)地址池的綁 定;所述反向處理單元,進(jìn)一步用于在收到用戶下線通知后,刪除為該用戶 建立的NAT-Server表項(xiàng)。
11、根據(jù)權(quán)利要求8至IO任一項(xiàng)所述的裝置,其特征在于,所述信息 獲取單元設(shè)置在具有接入控制功能的設(shè)備中,所述業(yè)務(wù)控制單元設(shè)置在具有 NAT業(yè)務(wù)處理功能的設(shè)備中;或者,所述信息獲取單元和業(yè)務(wù)控制單元同 時(shí)設(shè)置在兼具接入控制和NAT業(yè)務(wù)處理功能的設(shè)備中。
全文摘要
本發(fā)明提供了一種網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)業(yè)務(wù)控制方法,包括在認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器上建立針對用戶的NAT服務(wù)描述信息,當(dāng)用戶上線并通過認(rèn)證授權(quán)后,從AAA服務(wù)器上獲取該用戶的NAT服務(wù)描述信息,NAT網(wǎng)關(guān)根據(jù)獲取的NAT服務(wù)描述信息對該用戶的NAT業(yè)務(wù)進(jìn)行控制。另外,本發(fā)明還提供了一種NAT業(yè)務(wù)控制裝置。利用本發(fā)明所提供的技術(shù)方案,能夠提升NAT業(yè)務(wù)控制的靈活性,實(shí)現(xiàn)為用戶提供個(gè)性化的NAT服務(wù)。
文檔編號H04L12/56GK101150519SQ20071017655
公開日2008年3月26日 申請日期2007年10月30日 優(yōu)先權(quán)日2007年10月30日
發(fā)明者陳偉鋒 申請人:杭州華三通信技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1