專(zhuān)利名稱(chēng):策略下發(fā)處理方法、設(shè)備、服務(wù)器和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),尤其涉及一種策略下發(fā)處理方法、設(shè)備、服務(wù)器和系統(tǒng)。
背景技術(shù):
網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation ;以下簡(jiǎn)稱(chēng)NAT)作為一個(gè) hternet 工程任務(wù)組 Qnternet Engineering Task Force ;以下簡(jiǎn)稱(chēng)IETF)標(biāo)準(zhǔn),其允許一個(gè)機(jī)構(gòu)以一個(gè)地址出現(xiàn)在Internet上,當(dāng)機(jī)構(gòu)內(nèi)部局域網(wǎng)的節(jié)點(diǎn)訪問(wèn)hternet外部資源時(shí),NAT將數(shù)據(jù)包的節(jié)點(diǎn)IP地址轉(zhuǎn)化為機(jī)構(gòu)對(duì)外的IP地址,在這個(gè)過(guò)程中,NAT設(shè)備建立動(dòng)態(tài)的NAT映射表,使從^ternet返回的報(bào)文能通過(guò)映射表中的關(guān)系轉(zhuǎn)發(fā)到機(jī)構(gòu)內(nèi)部的相應(yīng)節(jié)點(diǎn)上,實(shí)現(xiàn)網(wǎng)絡(luò)互通。NAT映射方式分為IP地址映射和端口映射兩種,IP地址映射是傳統(tǒng)的NAT映射方式,是一對(duì)一的地址映射,一般機(jī)構(gòu)申請(qǐng)1個(gè)IP地址,不能同時(shí)滿(mǎn)足所有的機(jī)構(gòu)內(nèi)部與外部網(wǎng)絡(luò)通訊的需求;端口映射即網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT,Network Address Port Translation),可以將機(jī)構(gòu)內(nèi)的多個(gè)地址映射到同一個(gè)外部地址,可滿(mǎn)足機(jī)構(gòu)內(nèi)部所有節(jié)點(diǎn)與外部網(wǎng)絡(luò)通訊的需求。圖1為現(xiàn)有技術(shù)中普教城域網(wǎng)的網(wǎng)絡(luò)接入結(jié)構(gòu)示意圖,如圖1所示,在現(xiàn)有普教城域網(wǎng)接入方案中,下屬學(xué)校都已有自己局域網(wǎng)的規(guī)劃,在不改變下屬學(xué)校網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上,需要在各局域網(wǎng)的網(wǎng)絡(luò)出口處統(tǒng)一部署NAT設(shè)備,以統(tǒng)一接入到教育網(wǎng)中。為了對(duì)局域網(wǎng)中各用戶(hù)PC進(jìn)行web認(rèn)證,通常在教育網(wǎng)服務(wù)器區(qū)統(tǒng)一部署網(wǎng)絡(luò)入口(Web Portal)服務(wù)器和遠(yuǎn)程撥號(hào)用戶(hù)鑒權(quán)服務(wù)(Remote Authentication Dial In User Service;以下簡(jiǎn)稱(chēng)RADIUS)服務(wù)器,以方便管理。在傳統(tǒng)的web認(rèn)證過(guò)程中,web認(rèn)證頁(yè)面的彈出、用戶(hù)名和口令的提交等行為均由用戶(hù)PC端主動(dòng)與ffeb Portal服務(wù)器進(jìn)行通訊,即內(nèi)網(wǎng)節(jié)點(diǎn)訪問(wèn)外網(wǎng)服務(wù)器。然而,在實(shí)現(xiàn)本發(fā)明的過(guò)程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下缺陷在用戶(hù)認(rèn)證成功后,Web Portal服務(wù)器向web認(rèn)證設(shè)備下發(fā)權(quán)限時(shí),用戶(hù)PC認(rèn)證頁(yè)面中攜帶的web 認(rèn)證設(shè)備的節(jié)點(diǎn)IP為內(nèi)網(wǎng)IP地址,而Web Portal服務(wù)器中無(wú)內(nèi)網(wǎng)IP地址的路由信息,導(dǎo)致路由不可達(dá);web認(rèn)證設(shè)備不主動(dòng)與Wfeb Portal服務(wù)器通訊,因此不會(huì)建立NAT映射表, 導(dǎo)致外網(wǎng)服務(wù)器無(wú)法訪問(wèn)內(nèi)網(wǎng)節(jié)點(diǎn)。
發(fā)明內(nèi)容
本發(fā)明提供一種策略下發(fā)處理方法、設(shè)備、服務(wù)器和系統(tǒng),用以解決現(xiàn)有技術(shù)中 Web Portal服務(wù)器中無(wú)內(nèi)網(wǎng)IP地址的路由信息導(dǎo)致的路由不可達(dá)等缺陷,通過(guò)外網(wǎng)服務(wù)器穿越NAT設(shè)備下發(fā)策略,實(shí)現(xiàn)外網(wǎng)服務(wù)器能夠主動(dòng)訪問(wèn)內(nèi)網(wǎng)節(jié)點(diǎn)。本發(fā)明提供一種策略下發(fā)處理方法,包括對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析,提取所述用戶(hù)終端的IP三元組信息;在用戶(hù)認(rèn)證成功后,根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新網(wǎng)絡(luò)地址轉(zhuǎn)換NAT策略數(shù)據(jù)庫(kù)中的NAT策略,并將所述NAT策略同步到NAT設(shè)備上;
根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò)web認(rèn)證設(shè)備下發(fā)網(wǎng)絡(luò)web策略數(shù)據(jù)包。本發(fā)明提供一種網(wǎng)絡(luò)入口 ffeb Portal服務(wù)器,包括策略分析器、策略操作器、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT策略數(shù)據(jù)庫(kù)和策略管理模塊,其中所述策略分析器用于對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析,提取所述用戶(hù)終端的IP三元組信息;所述策略操作器用于在用戶(hù)認(rèn)證成功后,根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新NAT策略數(shù)據(jù)庫(kù)中的NAT策略,并將所述NAT策略同步到NAT設(shè)備上;所述策略管理模塊用于根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與所述用戶(hù)終端對(duì)應(yīng)的 NAT策略向網(wǎng)絡(luò)web認(rèn)證設(shè)備下發(fā)網(wǎng)絡(luò)web策略數(shù)據(jù)包。本發(fā)明提供一種網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備,包括接收模塊,用于接收網(wǎng)絡(luò)入口 Web Portal服務(wù)器發(fā)送的同步通告;同步模塊,用于根據(jù)所述同步通告與NAT策略數(shù)據(jù)庫(kù)中的NAT策略進(jìn)行同步,以使所述ffeb Portal服務(wù)器根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò)web認(rèn)證設(shè)備下發(fā)網(wǎng)絡(luò)web策略數(shù)據(jù)包;其中,所述NAT策略為在用戶(hù)認(rèn)證成功后,所述ffeb Portal服務(wù)器根據(jù)用戶(hù)終端的IP三元組信息和認(rèn)證信息更新后的NAT策略數(shù)據(jù)庫(kù)中的NAT策略,所述IP三元組信息為所述ffeb Portal服務(wù)器對(duì)所述用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析而提取到的。本發(fā)明提供一種策略下發(fā)處理系統(tǒng),包括用戶(hù)終端、網(wǎng)絡(luò)web認(rèn)證設(shè)備、上述網(wǎng)絡(luò)入口 Web Portal服務(wù)器、上述網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備和遠(yuǎn)程撥號(hào)用戶(hù)鑒權(quán)服務(wù)RADIUS服務(wù)器。本發(fā)明的策略下發(fā)處理方法、設(shè)備、服務(wù)器和系統(tǒng),通過(guò)分析用戶(hù)終端的重定向請(qǐng)求的數(shù)據(jù)包來(lái)提取IP三元組信息,根據(jù)該IP三元組信息更新NAT策略數(shù)據(jù)庫(kù),并與NAT設(shè)備進(jìn)行同步,通過(guò)NAT設(shè)備對(duì)內(nèi)外網(wǎng)IP地址進(jìn)行映射,使得ffeb Portal服務(wù)器可以穿過(guò) NAT設(shè)備將web策略數(shù)據(jù)包下發(fā)到web認(rèn)證設(shè)備上,實(shí)現(xiàn)外網(wǎng)服務(wù)器能夠主動(dòng)訪問(wèn)內(nèi)網(wǎng)節(jié)點(diǎn),本實(shí)施例無(wú)需部署額外的代理設(shè)備,節(jié)省了大量的人力物力。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為現(xiàn)有技術(shù)中普教城域網(wǎng)的網(wǎng)絡(luò)接入結(jié)構(gòu)示意圖;圖2為本發(fā)明策略下發(fā)處理方法實(shí)施例一的流程圖;圖3為本發(fā)明策略下發(fā)處理方法實(shí)施例一中的設(shè)備交互示意圖;圖4為本發(fā)明策略下發(fā)處理方法實(shí)施例二的信令圖;圖5為本發(fā)明策略下發(fā)處理方法實(shí)施例二中的網(wǎng)絡(luò)應(yīng)用拓?fù)涫疽鈭D;圖6為本發(fā)明網(wǎng)絡(luò)入口服務(wù)器實(shí)施例一的結(jié)構(gòu)示意圖;圖7為本發(fā)明網(wǎng)絡(luò)入口服務(wù)器實(shí)施例二的結(jié)構(gòu)示意圖8為本發(fā)明網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備實(shí)施例的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。圖2為本發(fā)明策略下發(fā)處理方法實(shí)施例一的流程圖,如圖2所示,本實(shí)施例提供了一種策略下發(fā)處理方法,可以具體包括如下步驟步驟201,對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析,提取所述用戶(hù)終端的IP三元
組信息。如圖3所示為本發(fā)明策略下發(fā)處理方法實(shí)施例一中的設(shè)備交互示意圖,本實(shí)施例在傳統(tǒng)的Web Portal服務(wù)器中擴(kuò)展一個(gè)策略中心,該策略中心可以包括策略分析器、 策略操作器、NAT策略數(shù)據(jù)庫(kù)、IP三元組模塊,Web Portal服務(wù)器還包括策略管理模塊和用戶(hù)管理模塊。本步驟為在用戶(hù)終端進(jìn)行web認(rèn)證時(shí),用戶(hù)終端獲取到重定向地址,并與 Web Portal服務(wù)器建立連接后,用戶(hù)終端向ffeb Portal服務(wù)器請(qǐng)求重定向的認(rèn)證頁(yè)面,用戶(hù)終端向ffeb Portal服務(wù)器發(fā)送重定向請(qǐng)求,該重定向請(qǐng)求可以具體以超文本傳輸協(xié)議 (HyperText Transfer Protocol ;以下簡(jiǎn)稱(chēng)HTTP)認(rèn)證報(bào)文的形式傳送。Web Portal服務(wù)器中的策略分析器對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求的數(shù)據(jù)包進(jìn)行分析,通過(guò)分析提取用戶(hù)終端的三元組信息。具體地,本實(shí)施例中的三元組信息可以包括用戶(hù)終端IP地址User_IPl、NAT設(shè)備 IP地址NAT_IP和web認(rèn)證設(shè)備IP地址flfeb_IP,并將該三元組信息保存在IP三元組模塊中。步驟202,在用戶(hù)認(rèn)證成功后,根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新NAT策略數(shù)據(jù)庫(kù)中的NAT策略,并將所述NAT策略同步到NAT設(shè)備上。當(dāng)用戶(hù)終端獲取到ffeb Portal服務(wù)器返回的web認(rèn)證頁(yè)面后,用戶(hù)在該web認(rèn)證頁(yè)面上輸入用戶(hù)名和密碼等認(rèn)證信息,即用戶(hù)終端輸出認(rèn)證信息進(jìn)行認(rèn)證,Web Portal服務(wù)器根據(jù)用戶(hù)終端提交的認(rèn)證信息進(jìn)行認(rèn)證。當(dāng)用戶(hù)認(rèn)證成功后,Web Portal服務(wù)器中的策略管理模塊可以通告策略操作器進(jìn)行NAT策略同步。如果用戶(hù)認(rèn)證失敗,則不執(zhí)行本實(shí)施例的后續(xù)流程,返回重新認(rèn)證。本步驟為策略操作器同步NAT策略的過(guò)程,策略操作器可以根據(jù)IP三元組信息和認(rèn)證信息更新NAT策略數(shù)據(jù)庫(kù)中的NAT策略。具體地,本實(shí)施例可以為在同步NAT策略前,策略操作器根據(jù)用戶(hù)終端的IP三元組信息查詢(xún)NAT策略數(shù)據(jù)庫(kù),當(dāng)當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中不存在與用戶(hù)終端對(duì)應(yīng)的NAT策略時(shí),策略操作器對(duì)該NAT策略數(shù)據(jù)庫(kù)進(jìn)行更新。具體可以為策略操作器根據(jù)IP三元組信息和認(rèn)證信息在NAT策略數(shù)據(jù)庫(kù)中增加一條帶有如下關(guān)鍵字的條目NAT_IP、NAT設(shè)備IP 地址端口 NAT_IP_Port、Web_IP、web認(rèn)證設(shè)備IP地址端口 Web_IP_Port以及IP協(xié)議類(lèi)型等,其中,NAT_IP_Port和ffeb_IP_Port可以為服務(wù)器分配的,IP協(xié)議類(lèi)型可以為傳輸控制協(xié)議(Transmission Control Protocol ;以下簡(jiǎn)稱(chēng)TCP)、用戶(hù)數(shù)據(jù)包協(xié)議(User Datagram Protocol ;以下簡(jiǎn)稱(chēng)UDP)、Internet 控制報(bào)文協(xié)議(Internet Control Message Protocol ;以下簡(jiǎn)稱(chēng)ICMP)等。在更新NAT策略數(shù)據(jù)庫(kù)后,策略操作器將更新后的NAT策略數(shù)據(jù)庫(kù)的NAT策略同步到NAT設(shè)備上,使得NAT設(shè)備上的NAT策略與更新后的NAT策略數(shù)據(jù)庫(kù)中的NAT策略一致,以使得NAT設(shè)備開(kāi)放相應(yīng)的NAT映射條目,使得通過(guò)同步后的NAT策略數(shù)據(jù)庫(kù)便可以獲取到NAT映射條目。步驟203,根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò) web認(rèn)證設(shè)備下發(fā)web策略數(shù)據(jù)包。在完成NAT策略數(shù)據(jù)庫(kù)與NAT設(shè)備的同步之后,Web Portal服務(wù)器可以根據(jù)同步后的策略操作器獲取到相應(yīng)的內(nèi)網(wǎng)IP地址,則策略操作器可以通告策略管理模塊進(jìn)行web 策略數(shù)據(jù)包的下發(fā),策略管理模塊可以根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與用戶(hù)終端對(duì)應(yīng)的 NAT策略向web認(rèn)證設(shè)備下發(fā)web策略數(shù)據(jù)包。策略管理模塊可以具體根據(jù)與用戶(hù)終端對(duì)應(yīng)的NAT策略修改web策略數(shù)據(jù)包的目的IP地址和目的端口號(hào),以穿越NAT設(shè)備將web策略數(shù)據(jù)包發(fā)送到web認(rèn)證設(shè)備上來(lái)進(jìn)行權(quán)限設(shè)置。具體地,本實(shí)施例中上述步驟203可以具體包括如下步驟策略管理模塊根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與用戶(hù)終端對(duì)應(yīng)的NAT策略將web策略數(shù)據(jù)包的目的IP地址和目的端口分別修改為NAT設(shè)備IP地址和NAT設(shè)備端口。策略管理模塊根據(jù)web策略數(shù)據(jù)包的目的IP地址和目的端口將web策略數(shù)據(jù)包發(fā)送到NAT設(shè)備上,并由NAT設(shè)備根據(jù)用戶(hù)終端對(duì)應(yīng)的NAT策略將web策略數(shù)據(jù)包再轉(zhuǎn)發(fā)到web認(rèn)證設(shè)備。進(jìn)一步地,本實(shí)施例提供的策略下發(fā)處理方法還可以包括在web策略數(shù)據(jù)包下發(fā)成功后,添加用戶(hù)終端的在線記錄信息,其中,在線記錄信息可以包括用戶(hù)終端的IP三元組信息和用戶(hù)名信息。更進(jìn)一步地,當(dāng)用戶(hù)終端下線時(shí),本實(shí)施例提供的策略下發(fā)處理方法還可以包括 當(dāng)用戶(hù)終端均下線時(shí),對(duì)NAT策略數(shù)據(jù)庫(kù)進(jìn)行更新具體為刪除NAT策略數(shù)據(jù)庫(kù)中該用戶(hù)終端對(duì)應(yīng)的NAT策略。本實(shí)施例提供了一種策略下發(fā)處理方法,通過(guò)分析用戶(hù)終端的重定向請(qǐng)求的數(shù)據(jù)包來(lái)提取IP三元組信息,根據(jù)該IP三元組信息更新NAT策略數(shù)據(jù)庫(kù),并與NAT設(shè)備進(jìn)行同步,通過(guò)NAT設(shè)備對(duì)內(nèi)外網(wǎng)IP地址進(jìn)行映射,使得ffeb Portal服務(wù)器可以穿過(guò)NAT設(shè)備將 web策略數(shù)據(jù)包下發(fā)到web認(rèn)證設(shè)備上,實(shí)現(xiàn)外網(wǎng)服務(wù)器能夠主動(dòng)訪問(wèn)內(nèi)網(wǎng)節(jié)點(diǎn),本實(shí)施例無(wú)需部署額外的代理設(shè)備,節(jié)省了大量的人力物力。圖4為本發(fā)明策略下發(fā)處理方法實(shí)施例二的信令圖,如圖4所示,本實(shí)施例提供了一種策略下發(fā)處理方法,圖5為本發(fā)明策略下發(fā)處理方法實(shí)施例二中的網(wǎng)絡(luò)應(yīng)用拓?fù)涫疽鈭D,如圖5所示,web認(rèn)證設(shè)備下掛η臺(tái)用戶(hù)終端,此處具體為用戶(hù)PC,對(duì)應(yīng)的IP地址分別為User_IPU User_IP2、 User_IPn, web認(rèn)證設(shè)備的IP地址為Web_IP,互聯(lián)網(wǎng)服務(wù)提供商(Internet ServiceProvider ;以下簡(jiǎn)稱(chēng)ISP)為機(jī)構(gòu)出口 NAT設(shè)備分配的IP地址為 NAT_IP, ISP網(wǎng)絡(luò)上有兩臺(tái)服務(wù)器Web Portal服務(wù)器和RADIUS服務(wù)器,其IP地址分別為 Server_IPl和Server_IP2。本實(shí)施例可以具體包括如下步驟步驟401,用戶(hù)終端發(fā)送外網(wǎng)網(wǎng)頁(yè)訪問(wèn)請(qǐng)求,請(qǐng)求建立TCP連接。用戶(hù)可以通過(guò)用戶(hù)終端開(kāi)啟IE瀏覽器,用戶(hù)在IE瀏覽器地址欄中輸入任意網(wǎng)址, 則觸發(fā)用戶(hù)終端發(fā)送外網(wǎng)網(wǎng)頁(yè)訪問(wèn)請(qǐng)求。
步驟402,web認(rèn)證設(shè)備截獲該外網(wǎng)網(wǎng)頁(yè)訪問(wèn)請(qǐng)求,并以外網(wǎng)地址與用戶(hù)終端建立 TCP連接。步驟403,用戶(hù)終端向web認(rèn)證設(shè)備發(fā)送HTTP GET/HEAD請(qǐng)求,以請(qǐng)求相應(yīng)的網(wǎng)頁(yè)。步驟404,web認(rèn)證設(shè)備向用戶(hù)終端發(fā)送HTTP重定向響應(yīng),重定向地址為Web Portal服務(wù)器的地址。步驟405,web認(rèn)證設(shè)備向用戶(hù)終端返回關(guān)閉TCP連接的響應(yīng)。步驟406,用戶(hù)終端根據(jù)重定向地址與Wfeb Portal服務(wù)器建立連接,并向Web Portal服務(wù)器發(fā)送重定向請(qǐng)求,以請(qǐng)求重定向的頁(yè)面,即認(rèn)證頁(yè)面。步驟407,Web Portal服務(wù)器向用戶(hù)終端返回認(rèn)證頁(yè)面。步驟408,Web Portal服務(wù)器中的策略分析器對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析,提取用戶(hù)終端的IP三元組信息,并將該IP三元組信息保存在IP三元組模塊中。Web Portal服務(wù)器中的策略分析器對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析,提取 web認(rèn)證設(shè)備的IP地址ffeb_IP、用戶(hù)終端的原始IP地址User_IPl以及數(shù)據(jù)包的源IP地址,此處數(shù)據(jù)包的源IP地址即為NAT設(shè)備的IP地址NAT_IP,將其保存為用戶(hù)終端的IP三元組信息,保存在IP三元組模塊中。在本實(shí)施例中,策略分析器還可以通過(guò)分析用戶(hù)終端請(qǐng)求的web認(rèn)證頁(yè)面,來(lái)判斷web認(rèn)證設(shè)備是否部署在NAT環(huán)境中,具體通過(guò)判斷用戶(hù)發(fā)送的數(shù)據(jù)包的源IP地址與用戶(hù)終端的IP地址是否一致,如果一致,則表明該web認(rèn)證設(shè)備未經(jīng)過(guò)NAT設(shè)備,如果不一致,則表明web認(rèn)證設(shè)備部署在NAT環(huán)境中。步驟409,用戶(hù)終端向Web Portal服務(wù)器提交用戶(hù)填寫(xiě)的認(rèn)證信息,該認(rèn)證信息包括用戶(hù)名、密碼等。步驟410,Web Portal服務(wù)器向RADIUS服務(wù)器發(fā)送RADIUS認(rèn)證請(qǐng)求。步驟411,RADIUS服務(wù)器根據(jù)認(rèn)證信息對(duì)用戶(hù)終端進(jìn)行認(rèn)證,并向WebPortal服務(wù)器返回認(rèn)證成功/失敗響應(yīng)。步驟412,當(dāng)認(rèn)證成功時(shí),Web Portal服務(wù)器中的策略管理模塊通告策略操作器同步NAT策略。步驟413,ffeb Portal服務(wù)器中的策略操作器根據(jù)IP三元組信息更新NAT策略數(shù)據(jù)庫(kù),并將NAT策略數(shù)據(jù)庫(kù)同步到NAT設(shè)備,并通告策略管理模塊下發(fā)web策略數(shù)據(jù)包。
當(dāng)策略操作器接收到策略管理模塊的通告后,更新NAT策略數(shù)據(jù)庫(kù),此時(shí)的NAT策略數(shù)據(jù)庫(kù)為空,策略操作器在NAT策略數(shù)據(jù)庫(kù)中增加一條帶有如下關(guān)鍵字的條目NAT_IP、 NAT_IP_Port、Web_IP、ffeb_IP_Port以及IP協(xié)議類(lèi)型,并通告NAT策略數(shù)據(jù)庫(kù)同步NAT策略到NAT設(shè)備上,以開(kāi)放NAT訪問(wèn)權(quán)限。其中,NAT_IP_Port和Web_IP_Port是Web_Portal 服務(wù)器根據(jù)要下發(fā)web策略數(shù)據(jù)包所使用的協(xié)議類(lèi)型而設(shè)定的,不同的協(xié)議類(lèi)型規(guī)定使用對(duì)應(yīng)的端口來(lái)接收web策略數(shù)據(jù)包,因此Wieb_P0rtal服務(wù)器無(wú)需從外部獲取,web認(rèn)證設(shè)備本身也清楚具體通過(guò)哪個(gè)端口來(lái)接收相應(yīng)的協(xié)議類(lèi)型的web策略數(shù)據(jù)包。此處的NAT策略可以為當(dāng)NAT設(shè)備收到數(shù)據(jù)包的目的IP地址為NAT_IP,目的端口為NAT_IP_Port的報(bào)文時(shí),將數(shù)據(jù)包的目的IP地址和目的端口分別替換為Web_IP和ffeb_IP_P0rt,并重新發(fā)送。
其中,NAT策略數(shù)據(jù)庫(kù)可以設(shè)置計(jì)時(shí)器,當(dāng)計(jì)時(shí)器到達(dá)時(shí)向NAT設(shè)備同步NAT策略, 且計(jì)時(shí)器清零,可保證NAT設(shè)備與NAT策略數(shù)據(jù)庫(kù)的策略一致性。當(dāng)NAT策略數(shù)據(jù)庫(kù)發(fā)生變化時(shí),如增加或刪除條目信息時(shí),則立即向?qū)?yīng)的NAT設(shè)備同步對(duì)應(yīng)的條目信息,其余的 NAT策略則根據(jù)計(jì)時(shí)器來(lái)進(jìn)行同步。步驟414,Web Portal服務(wù)器中的策略管理模塊根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與用戶(hù)終端對(duì)應(yīng)的NAT策略,將web策略數(shù)據(jù)包的目的IP地址和目的端口分別修改為NAT 設(shè)備IP地址和NAT設(shè)備端口。當(dāng)NAT策略數(shù)據(jù)庫(kù)與NAT設(shè)備同步成功后,NAT策略數(shù)據(jù)庫(kù)返回同步成功信息給策略操作器,并通告策略管理模塊可以下發(fā)該用戶(hù)的web策略數(shù)據(jù)包。策略管理模塊根據(jù)策略操作器通告的同步后的NAT策略數(shù)據(jù)庫(kù)中的信息,將web策略數(shù)據(jù)包的目的IP地址修改為NAT_IP,將web策略數(shù)據(jù)包的目的端口修改為NAT_IP_Port,源IP地址設(shè)置為Server_ IPl,源端口為服務(wù)器分配的,無(wú)特殊要求。步驟415,ffeb Portal服務(wù)器中的策略管理模塊根據(jù)web策略數(shù)據(jù)包的目的IP地址和目的端口將web策略數(shù)據(jù)包發(fā)送到NAT設(shè)備上,并由NAT設(shè)備根據(jù)用戶(hù)終端對(duì)應(yīng)的NAT 策略將web策略數(shù)據(jù)包轉(zhuǎn)發(fā)到web認(rèn)證設(shè)備,以開(kāi)通在線用戶(hù)權(quán)限。策略管理模塊根據(jù)web策略數(shù)據(jù)包的目的IP地址和目的端口將web策略數(shù)據(jù)包發(fā)送到NAT設(shè)備上,則NAT設(shè)備可以根據(jù)之前設(shè)置的該用戶(hù)終端對(duì)應(yīng)的NAT策略進(jìn)一步修改該web策略數(shù)據(jù)包的目的IP地址和目的端口,具體將其目的IP地址NAT_IP修改為ffeb_ IP,將其目的端口 NAT_IP_Port修改為Wfeb_IP_Port,并根據(jù)新的目的IP地址和目的端口重新發(fā)送web策略數(shù)據(jù)包。最終web策略數(shù)據(jù)包被發(fā)送到web認(rèn)證設(shè)備上,以開(kāi)放該用戶(hù)的網(wǎng)絡(luò)訪問(wèn)權(quán)限。在本實(shí)施例中,當(dāng)策略下發(fā)成功后,策略管理模塊可以通告用戶(hù)管理模塊添加用戶(hù)在線記錄信息,該用戶(hù)在線記錄信息可以包括用戶(hù)終端的IP三元組信息和認(rèn)證信息。具體地,在本實(shí)施例中,策略操作器在更新NAT策略數(shù)據(jù)庫(kù)前,還可以根據(jù)用戶(hù)終端的IP三元組信息判斷當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中的NAT策略是否能滿(mǎn)足下發(fā)策略需求,當(dāng)當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中存在與用戶(hù)終端對(duì)應(yīng)的NAT策略時(shí),表明該NAT策略數(shù)據(jù)庫(kù)可以滿(mǎn)足下發(fā)策略需求,則策略操作器無(wú)需更新NAT策略數(shù)據(jù)庫(kù),直接通告策略管理模塊直接使用已存在的NAT策略下發(fā)web策略數(shù)據(jù)包。這種情況通常發(fā)生在同一臺(tái)web認(rèn)證設(shè)備下的第二個(gè)用戶(hù)認(rèn)證成功時(shí),一般情況下,web認(rèn)證設(shè)備對(duì)外開(kāi)放一個(gè)端口供WebPortal服務(wù)器設(shè)置策略,此時(shí)則Web Portal服務(wù)器可以直接下發(fā)web策略數(shù)據(jù)包,即直接執(zhí)行步驟 414-415,無(wú)需執(zhí)行步驟413 ;當(dāng)當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中的NAT策略不能滿(mǎn)足策略下發(fā)需求時(shí),則執(zhí)行步驟413,重新添加一條NAT策略到NAT策略數(shù)據(jù)庫(kù)中。步驟416,Web Portal服務(wù)器向用戶(hù)終端返回認(rèn)證成功/失敗頁(yè)面。步驟417,Web Portal服務(wù)器向用戶(hù)終端發(fā)送用戶(hù)在線保活頁(yè)面,并定時(shí)刷新。步驟418,當(dāng)用戶(hù)主動(dòng)下線時(shí),用戶(hù)終端向ffeb Portal服務(wù)器提交下線請(qǐng)求。步驟419,ffeb Portal服務(wù)器中的策略操作器根據(jù)用戶(hù)終端的IP三元組信息查詢(xún)當(dāng)前的NAT策略數(shù)據(jù)庫(kù)。當(dāng)用戶(hù)下線時(shí),Web Portal服務(wù)器中的策略操作器通過(guò)關(guān)鍵字W^ebJP和NAT_IP 關(guān)鍵字查詢(xún)當(dāng)前的NAT策略數(shù)據(jù)庫(kù)的信息。步驟420,當(dāng)在當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中查詢(xún)到用戶(hù)終端對(duì)應(yīng)的NAT策略時(shí),Web Portal服務(wù)器中的策略操作器通告策略管理模塊下發(fā)web策略數(shù)據(jù)包。
若上述步驟420的查詢(xún)結(jié)果為當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中查詢(xún)到用戶(hù)終端對(duì)應(yīng)的 NAT策略時(shí),策略操作器通告策略管理模塊可以下發(fā)該用戶(hù)的策略信息。步驟421,Web Portal服務(wù)器中的策略管理模塊根據(jù)用戶(hù)終端對(duì)應(yīng)的NAT策略將 web策略數(shù)據(jù)包下發(fā)到web認(rèn)證設(shè)備,以刪除用戶(hù)在線權(quán)限。策略管理模塊根據(jù)策略操作器通告過(guò)來(lái)的NAT策略數(shù)據(jù)庫(kù)信息,設(shè)置web策略數(shù)據(jù)包的目的IP地址為NAT_IP,目的端口為NAT_IP_Port,源IP地址為Server_IPl,源端口為服務(wù)器分配無(wú)特殊要求,并發(fā)送該web策略數(shù)據(jù)包。該web策略數(shù)據(jù)包到達(dá)NAT設(shè)備后, NAT設(shè)備根據(jù)之前設(shè)置的NAT策略,分別修改web策略數(shù)據(jù)包的目的IP地址NAT_IP和目的端口 NAT_IP_Port為和flieb_IP_Port后,重新發(fā)送該web策略數(shù)據(jù)包,最終web策略數(shù)據(jù)包到達(dá)web認(rèn)證設(shè)備,web認(rèn)證設(shè)備回收該用戶(hù)終端的網(wǎng)絡(luò)訪問(wèn)權(quán)限。另外,當(dāng)Wfeb Portal服務(wù)器中的用戶(hù)管理模塊識(shí)別到NAT_IP與對(duì)應(yīng)的用戶(hù)終端均下線時(shí),通告策略操作器更新NAT策略數(shù)據(jù)庫(kù),刪除NAT_IP與ffeb_IP對(duì)應(yīng)的用戶(hù)終端在NAT策略數(shù)據(jù)庫(kù)的條目信息。其中,由于一個(gè)用戶(hù)終端對(duì)應(yīng)的IP三元組信息由
IP、NAT_IP和組成,則her_IP、NAT_IP和的組合可以對(duì)應(yīng)一個(gè)用戶(hù)終端, 因此,此處的NAT_IP與Wfeb_IP組合也會(huì)對(duì)應(yīng)一個(gè)或多個(gè)用戶(hù)終端。步驟422,Web Portal服務(wù)器向用戶(hù)終端返回下線頁(yè)面。本實(shí)施例提供了一種策略下發(fā)處理方法,通過(guò)分析用戶(hù)終端的重定向請(qǐng)求的數(shù)據(jù)包來(lái)提取IP三元組信息,根據(jù)該IP三元組信息更新NAT策略數(shù)據(jù)庫(kù),并與NAT設(shè)備進(jìn)行同步,通過(guò)NAT設(shè)備對(duì)內(nèi)外網(wǎng)IP地址進(jìn)行映射,使得ffeb Portal服務(wù)器可以穿過(guò)NAT設(shè)備將web策略數(shù)據(jù)包下發(fā)到web認(rèn)證設(shè)備上,實(shí)現(xiàn)外網(wǎng)服務(wù)器能夠主動(dòng)訪問(wèn)內(nèi)網(wǎng)節(jié)點(diǎn),本實(shí)施例無(wú)需部署額外的代理設(shè)備,節(jié)省了大量的人力物力;本實(shí)施例能夠支撐穿越NAT設(shè)備下的Web認(rèn)證的部署,不僅能夠?qū)崿F(xiàn)ISP數(shù)據(jù)中心統(tǒng)一管理,而且也給用戶(hù)多一種網(wǎng)絡(luò)部署選擇。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括R0M、RAM、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)。圖6為本發(fā)明網(wǎng)絡(luò)入口服務(wù)器實(shí)施例一的結(jié)構(gòu)示意圖,如圖6所示,本實(shí)施例提供了一種網(wǎng)絡(luò)入口 Web Portal服務(wù)器,可以具體執(zhí)行上述方法實(shí)施例一中的各個(gè)步驟,此處不再贅述。本實(shí)施例提供的Web Portal服務(wù)器可以具體包括策略分析器601、策略操作器 602.NAT策略數(shù)據(jù)庫(kù)603和策略管理模塊604。其中,策略分析器601用于對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析,提取所述用戶(hù)終端的IP三元組信息。策略操作器602用于在用戶(hù)認(rèn)證成功后,根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新NAT策略數(shù)據(jù)庫(kù)603中的 NAT策略,并將NAT策略同步到NAT設(shè)備上。策略管理模塊604用于根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)603中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò)web認(rèn)證設(shè)備下發(fā)web策略數(shù)據(jù)包。圖7為本發(fā)明網(wǎng)絡(luò)入口服務(wù)器實(shí)施例二的結(jié)構(gòu)示意圖,如圖7所示,本實(shí)施例提供了一種網(wǎng)絡(luò)入口 Web Portal服務(wù)器,可以具體執(zhí)行上述方法實(shí)施例二中的各個(gè)步驟,此處不再贅述。本實(shí)施例提供的Web Portal服務(wù)器中的策略管理模塊604可以具體包括修改單元614和下發(fā)單元624。其中,修改單元614用于根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)603中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略將web策略數(shù)據(jù)包的目的IP地址和目的端口分別修改為 NAT設(shè)備IP地址和NAT設(shè)備端口。下發(fā)單元6 用于根據(jù)所述web策略數(shù)據(jù)包的目的IP 地址和目的端口將所述web策略數(shù)據(jù)包發(fā)送到NAT設(shè)備上,并由NAT設(shè)備根據(jù)所述用戶(hù)終端對(duì)應(yīng)的NAT策略將所述web策略數(shù)據(jù)包轉(zhuǎn)發(fā)到web認(rèn)證設(shè)備。進(jìn)一步地,本實(shí)施例提供的ffeb Portal服務(wù)器還可以包括用戶(hù)管理模塊605,用戶(hù)管理模塊605用于在所述web策略數(shù)據(jù)包下發(fā)成功后,添加所述用戶(hù)終端的在線記錄信息,所述在線記錄信息包括所述用戶(hù)終端的IP三元組信息和所述用戶(hù)名信息。具體地,本實(shí)施例中的策略操作器602可以具體包括查詢(xún)單元612、下發(fā)通告單元 622和更新單元632。其中,查詢(xún)單元612用于根據(jù)所述用戶(hù)終端的IP三元組信息查詢(xún)當(dāng)前的NAT策略數(shù)據(jù)庫(kù)。下發(fā)通告單元622用于當(dāng)所述當(dāng)前的NAT策略數(shù)據(jù)庫(kù)603中存在與所述用戶(hù)終端對(duì)應(yīng)的NAT策略時(shí),通告策略管理模塊604根據(jù)所述NAT策略向web認(rèn)證設(shè)備下發(fā)web策略數(shù)據(jù)包。更新單元632用于當(dāng)當(dāng)前的NAT策略數(shù)據(jù)庫(kù)603中不存在與所述用戶(hù)終端對(duì)應(yīng)的NAT策略時(shí),執(zhí)行所述根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新 NAT策略數(shù)據(jù)庫(kù)603中的NAT策略的步驟。更進(jìn)一步地,本實(shí)施例提供的Wfeb Portal服務(wù)器中策略操作器602的更新單元 632還用于當(dāng)用戶(hù)終端均下線時(shí),刪除NAT策略數(shù)據(jù)庫(kù)603中用戶(hù)終端對(duì)應(yīng)的NAT策略。更進(jìn)一步地,本實(shí)施例提供的W^eb Portal服務(wù)器還可以包括IP三元組模塊606, IP三元組模塊606用于保存策略分析器601提取的所述用戶(hù)終端的IP三元組信息,所述 IP三元組信息包括用戶(hù)終端IP地址、NAT設(shè)備IP地址和web認(rèn)證設(shè)備IP地址。本實(shí)施例提供了一種ffeb Portal服務(wù)器,通過(guò)分析用戶(hù)終端的重定向請(qǐng)求的數(shù)據(jù)包來(lái)提取IP三元組信息,根據(jù)該IP三元組信息更新NAT策略數(shù)據(jù)庫(kù),并與NAT設(shè)備進(jìn)行同步,通過(guò)NAT設(shè)備對(duì)內(nèi)外網(wǎng)IP地址進(jìn)行映射,使得ffeb Portal服務(wù)器可以穿過(guò)NAT設(shè)備將web策略數(shù)據(jù)包下發(fā)到web認(rèn)證設(shè)備上,實(shí)現(xiàn)外網(wǎng)服務(wù)器能夠主動(dòng)訪問(wèn)內(nèi)網(wǎng)節(jié)點(diǎn),本實(shí)施例無(wú)需部署額外的代理設(shè)備,節(jié)省了大量的人力物力;本實(shí)施例能夠支撐穿越NAT設(shè)備下的Web認(rèn)證的部署,不僅能夠?qū)崿F(xiàn)ISP數(shù)據(jù)中心統(tǒng)一管理,而且也給用戶(hù)多一種網(wǎng)絡(luò)部署選擇。圖8為本發(fā)明網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備實(shí)施例的結(jié)構(gòu)示意圖,如圖8所示,本實(shí)施例還提供了一種NAT設(shè)備,可以具體包括接收模塊801和同步模塊802。其中,接收模塊801用于接收網(wǎng)絡(luò)入口 Web Portal服務(wù)器發(fā)送的同步通告。同步模塊802用于根據(jù)所述同步通告與NAT策略數(shù)據(jù)庫(kù)中的NAT策略進(jìn)行同步,以使所述ffeb Portal服務(wù)器根據(jù)同步后的NAT 策略數(shù)據(jù)庫(kù)中與用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò)web認(rèn)證設(shè)備下發(fā)網(wǎng)絡(luò)web策略數(shù)據(jù)包。 其中,所述NAT策略為在用戶(hù)認(rèn)證成功后,所述ffeb Portal服務(wù)器根據(jù)用戶(hù)終端的IP三元組信息和認(rèn)證信息更新后的NAT策略數(shù)據(jù)庫(kù)中的NAT策略,所述IP三元組信息為所述Web Portal服務(wù)器對(duì)所述用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析而提取到的。本實(shí)施例還提供了一種策略下發(fā)處理系統(tǒng),可以具體包括用戶(hù)終端、網(wǎng)絡(luò)web認(rèn)證設(shè)備、上述圖6或圖7所示的Wfeb Portal服務(wù)器、上述圖8所示的NAT設(shè)備和RADIUS服務(wù)器。最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。
權(quán)利要求
1.一種策略下發(fā)處理方法,其特征在于,包括對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析,提取所述用戶(hù)終端的IP三元組信息; 在用戶(hù)認(rèn)證成功后,根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新網(wǎng)絡(luò)地址轉(zhuǎn)換NAT策略數(shù)據(jù)庫(kù)中的NAT策略,并將所述NAT策略同步到NAT設(shè)備上;根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò)web認(rèn)證設(shè)備下發(fā)網(wǎng)絡(luò)web策略數(shù)據(jù)包。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò)web認(rèn)證設(shè)備下發(fā)web策略數(shù)據(jù)包包括根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略將web策略數(shù)據(jù)包的目的IP地址和目的端口分別修改為NAT設(shè)備IP地址和NAT設(shè)備端口 ;根據(jù)所述web策略數(shù)據(jù)包的目的IP地址和目的端口將所述web策略數(shù)據(jù)包發(fā)送到NAT 設(shè)備上,并由NAT設(shè)備根據(jù)所述用戶(hù)終端對(duì)應(yīng)的NAT策略將所述web策略數(shù)據(jù)包轉(zhuǎn)發(fā)到web 認(rèn)證設(shè)備。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,還包括在所述web策略數(shù)據(jù)包下發(fā)成功后,添加所述用戶(hù)終端的在線記錄信息,所述在線記錄信息包括所述用戶(hù)終端的IP三元組信息和所述認(rèn)證信息。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,還包括根據(jù)所述用戶(hù)終端的IP三元組信息查詢(xún)當(dāng)前的NAT策略數(shù)據(jù)庫(kù); 當(dāng)所述當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中存在與所述用戶(hù)終端對(duì)應(yīng)的NAT策略時(shí),根據(jù)所述NAT 策略向web認(rèn)證設(shè)備下發(fā)web策略數(shù)據(jù)包;當(dāng)所述當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中不存在與所述用戶(hù)終端對(duì)應(yīng)的NAT策略時(shí),執(zhí)行所述根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新網(wǎng)絡(luò)地址轉(zhuǎn)換NAT策略數(shù)據(jù)庫(kù)中的NAT 策略的步驟。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,還包括當(dāng)用戶(hù)終端均下線時(shí),刪除所述NAT策略數(shù)據(jù)庫(kù)中所述用戶(hù)終端對(duì)應(yīng)的NAT策略。
6.一種網(wǎng)絡(luò)入口 Web Portal服務(wù)器,其特征在于,包括策略分析器、策略操作器、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT策略數(shù)據(jù)庫(kù)和策略管理模塊,其中所述策略分析器用于對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析,提取所述用戶(hù)終端的IP三元組信息;所述策略操作器用于在用戶(hù)認(rèn)證成功后,根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新NAT策略數(shù)據(jù)庫(kù)中的NAT策略,并將所述NAT策略同步到NAT設(shè)備上;所述策略管理模塊用于根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò)web認(rèn)證設(shè)備下發(fā)網(wǎng)絡(luò)web策略數(shù)據(jù)包。
7.根據(jù)權(quán)利要求6所述的服務(wù)器,其特征在于,所述策略管理模塊包括修改單元,用于根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略將web 策略數(shù)據(jù)包的目的IP地址和目的端口分別修改為NAT設(shè)備IP地址和NAT設(shè)備端口 ;下發(fā)單元,用于根據(jù)所述web策略數(shù)據(jù)包的目的IP地址和目的端口將所述web策略數(shù)據(jù)包發(fā)送到NAT設(shè)備上,并由NAT設(shè)備根據(jù)所述用戶(hù)終端對(duì)應(yīng)的NAT策略將所述web策略數(shù)據(jù)包轉(zhuǎn)發(fā)到web認(rèn)證設(shè)備。
8.根據(jù)權(quán)利要求7所述的服務(wù)器,其特征在于,還包括用戶(hù)管理模塊,用于在所述web策略數(shù)據(jù)包下發(fā)成功后,添加所述用戶(hù)終端的在線記錄信息,所述在線記錄信息包括所述用戶(hù)終端的IP三元組信息和所述認(rèn)證信息。
9.根據(jù)權(quán)利要求7所述的服務(wù)器,其特征在于,所述策略操作器包括查詢(xún)單元,用于根據(jù)所述用戶(hù)終端的IP三元組信息查詢(xún)當(dāng)前的NAT策略數(shù)據(jù)庫(kù);下發(fā)通告單元,用于當(dāng)所述當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中存在與所述用戶(hù)終端對(duì)應(yīng)的NAT 策略時(shí),通告所述策略管理模塊根據(jù)所述NAT策略向web認(rèn)證設(shè)備下發(fā)web策略數(shù)據(jù)包;更新單元,用于當(dāng)所述當(dāng)前的NAT策略數(shù)據(jù)庫(kù)中不存在與所述用戶(hù)終端對(duì)應(yīng)的NAT策略時(shí),執(zhí)行所述根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新NAT策略數(shù)據(jù)庫(kù)中的 NAT策略的步驟。
10.根據(jù)權(quán)利要求9所述的服務(wù)器,其特征在于,所述更新單元還用于當(dāng)用戶(hù)終端均下線時(shí),刪除所述NAT策略數(shù)據(jù)庫(kù)中所述用戶(hù)終端對(duì)應(yīng)的NAT策略。
11.一種網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備,其特征在于,包括接收模塊,用于接收網(wǎng)絡(luò)入口 Web Portal服務(wù)器發(fā)送的同步通告;同步模塊,用于根據(jù)所述同步通告與NAT策略數(shù)據(jù)庫(kù)中的NAT策略進(jìn)行同步,以使所述 Web Portal服務(wù)器根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò)web 認(rèn)證設(shè)備下發(fā)網(wǎng)絡(luò)web策略數(shù)據(jù)包;其中,所述NAT策略為在用戶(hù)認(rèn)證成功后,所述ffeb Portal服務(wù)器根據(jù)用戶(hù)終端的IP 三元組信息和認(rèn)證信息更新后的NAT策略數(shù)據(jù)庫(kù)中的NAT策略,所述IP三元組信息為所述 Web Portal服務(wù)器對(duì)所述用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析而提取到的。
12.—種策略下發(fā)處理系統(tǒng),其特征在于,包括用戶(hù)終端、網(wǎng)絡(luò)web認(rèn)證設(shè)備、上述權(quán)利要求6-10中任一項(xiàng)所述的網(wǎng)絡(luò)入口 ffeb Portal服務(wù)器、權(quán)利要求11所述的網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT設(shè)備和遠(yuǎn)程撥號(hào)用戶(hù)鑒權(quán)服務(wù)RADIUS服務(wù)器。
全文摘要
本發(fā)明提供一種策略下發(fā)處理方法、設(shè)備、服務(wù)器和系統(tǒng),其中方法包括對(duì)用戶(hù)終端發(fā)送的重定向請(qǐng)求進(jìn)行分析,提取所述用戶(hù)終端的IP三元組信息;在用戶(hù)認(rèn)證成功后,根據(jù)所述用戶(hù)終端的IP三元組信息和認(rèn)證信息更新網(wǎng)絡(luò)地址轉(zhuǎn)換NAT策略數(shù)據(jù)庫(kù)中的NAT策略,并將所述NAT策略同步到NAT設(shè)備上;根據(jù)同步后的NAT策略數(shù)據(jù)庫(kù)中與所述用戶(hù)終端對(duì)應(yīng)的NAT策略向網(wǎng)絡(luò)web認(rèn)證設(shè)備下發(fā)web策略數(shù)據(jù)包。本發(fā)明還提供了一種WebPortal服務(wù)器、NAT設(shè)備和策略下發(fā)處理系統(tǒng)。本發(fā)明實(shí)現(xiàn)了外網(wǎng)服務(wù)器能夠主動(dòng)訪問(wèn)內(nèi)網(wǎng)節(jié)點(diǎn)。
文檔編號(hào)H04L29/06GK102164150SQ201110129418
公開(kāi)日2011年8月24日 申請(qǐng)日期2011年5月18日 優(yōu)先權(quán)日2011年5月18日
發(fā)明者林清 申請(qǐng)人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司