专利名称:策略下发处理方法、设备、服务器和系统的制作方法
技术领域:
本发明涉及通信技术,尤其涉及一种策略下发处理方法、设备、服务器和系统。
背景技术:
网络地址转换(Network Address Translation ;以下简称NAT)作为一个 hternet 工程任务组 Qnternet Engineering Task Force ;以下简称IETF)标准,其允许一个机构以一个地址出现在Internet上,当机构内部局域网的节点访问hternet外部资源时,NAT将数据包的节点IP地址转化为机构对外的IP地址,在这个过程中,NAT设备建立动态的NAT映射表,使从^ternet返回的报文能通过映射表中的关系转发到机构内部的相应节点上,实现网络互通。NAT映射方式分为IP地址映射和端口映射两种,IP地址映射是传统的NAT映射方式,是一对一的地址映射,一般机构申请1个IP地址,不能同时满足所有的机构内部与外部网络通讯的需求;端口映射即网络地址端口转换(NAPT,Network Address Port Translation),可以将机构内的多个地址映射到同一个外部地址,可满足机构内部所有节点与外部网络通讯的需求。图1为现有技术中普教城域网的网络接入结构示意图,如图1所示,在现有普教城域网接入方案中,下属学校都已有自己局域网的规划,在不改变下属学校网络环境的基础上,需要在各局域网的网络出口处统一部署NAT设备,以统一接入到教育网中。为了对局域网中各用户PC进行web认证,通常在教育网服务器区统一部署网络入口(Web Portal)服务器和远程拨号用户鉴权服务(Remote Authentication Dial In User Service;以下简称RADIUS)服务器,以方便管理。在传统的web认证过程中,web认证页面的弹出、用户名和口令的提交等行为均由用户PC端主动与ffeb Portal服务器进行通讯,即内网节点访问外网服务器。然而,在实现本发明的过程中,发明人发现现有技术中至少存在如下缺陷在用户认证成功后,Web Portal服务器向web认证设备下发权限时,用户PC认证页面中携带的web 认证设备的节点IP为内网IP地址,而Web Portal服务器中无内网IP地址的路由信息,导致路由不可达;web认证设备不主动与Wfeb Portal服务器通讯,因此不会建立NAT映射表, 导致外网服务器无法访问内网节点。
发明内容
本发明提供一种策略下发处理方法、设备、服务器和系统,用以解决现有技术中 Web Portal服务器中无内网IP地址的路由信息导致的路由不可达等缺陷,通过外网服务器穿越NAT设备下发策略,实现外网服务器能够主动访问内网节点。本发明提供一种策略下发处理方法,包括对用户终端发送的重定向请求进行分析,提取所述用户终端的IP三元组信息;在用户认证成功后,根据所述用户终端的IP三元组信息和认证信息更新网络地址转换NAT策略数据库中的NAT策略,并将所述NAT策略同步到NAT设备上;
根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略向网络web认证设备下发网络web策略数据包。本发明提供一种网络入口 ffeb Portal服务器,包括策略分析器、策略操作器、网络地址转换NAT策略数据库和策略管理模块,其中所述策略分析器用于对用户终端发送的重定向请求进行分析,提取所述用户终端的IP三元组信息;所述策略操作器用于在用户认证成功后,根据所述用户终端的IP三元组信息和认证信息更新NAT策略数据库中的NAT策略,并将所述NAT策略同步到NAT设备上;所述策略管理模块用于根据同步后的NAT策略数据库中与所述用户终端对应的 NAT策略向网络web认证设备下发网络web策略数据包。本发明提供一种网络地址转换NAT设备,包括接收模块,用于接收网络入口 Web Portal服务器发送的同步通告;同步模块,用于根据所述同步通告与NAT策略数据库中的NAT策略进行同步,以使所述ffeb Portal服务器根据同步后的NAT策略数据库中与用户终端对应的NAT策略向网络web认证设备下发网络web策略数据包;其中,所述NAT策略为在用户认证成功后,所述ffeb Portal服务器根据用户终端的IP三元组信息和认证信息更新后的NAT策略数据库中的NAT策略,所述IP三元组信息为所述ffeb Portal服务器对所述用户终端发送的重定向请求进行分析而提取到的。本发明提供一种策略下发处理系统,包括用户终端、网络web认证设备、上述网络入口 Web Portal服务器、上述网络地址转换NAT设备和远程拨号用户鉴权服务RADIUS服务器。本发明的策略下发处理方法、设备、服务器和系统,通过分析用户终端的重定向请求的数据包来提取IP三元组信息,根据该IP三元组信息更新NAT策略数据库,并与NAT设备进行同步,通过NAT设备对内外网IP地址进行映射,使得ffeb Portal服务器可以穿过 NAT设备将web策略数据包下发到web认证设备上,实现外网服务器能够主动访问内网节点,本实施例无需部署额外的代理设备,节省了大量的人力物力。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为现有技术中普教城域网的网络接入结构示意图;图2为本发明策略下发处理方法实施例一的流程图;图3为本发明策略下发处理方法实施例一中的设备交互示意图;图4为本发明策略下发处理方法实施例二的信令图;图5为本发明策略下发处理方法实施例二中的网络应用拓扑示意图;图6为本发明网络入口服务器实施例一的结构示意图;图7为本发明网络入口服务器实施例二的结构示意图8为本发明网络地址转换设备实施例的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图2为本发明策略下发处理方法实施例一的流程图,如图2所示,本实施例提供了一种策略下发处理方法,可以具体包括如下步骤步骤201,对用户终端发送的重定向请求进行分析,提取所述用户终端的IP三元
组信息。如图3所示为本发明策略下发处理方法实施例一中的设备交互示意图,本实施例在传统的Web Portal服务器中扩展一个策略中心,该策略中心可以包括策略分析器、 策略操作器、NAT策略数据库、IP三元组模块,Web Portal服务器还包括策略管理模块和用户管理模块。本步骤为在用户终端进行web认证时,用户终端获取到重定向地址,并与 Web Portal服务器建立连接后,用户终端向ffeb Portal服务器请求重定向的认证页面,用户终端向ffeb Portal服务器发送重定向请求,该重定向请求可以具体以超文本传输协议 (HyperText Transfer Protocol ;以下简称HTTP)认证报文的形式传送。Web Portal服务器中的策略分析器对用户终端发送的重定向请求的数据包进行分析,通过分析提取用户终端的三元组信息。具体地,本实施例中的三元组信息可以包括用户终端IP地址User_IPl、NAT设备 IP地址NAT_IP和web认证设备IP地址flfeb_IP,并将该三元组信息保存在IP三元组模块中。步骤202,在用户认证成功后,根据所述用户终端的IP三元组信息和认证信息更新NAT策略数据库中的NAT策略,并将所述NAT策略同步到NAT设备上。当用户终端获取到ffeb Portal服务器返回的web认证页面后,用户在该web认证页面上输入用户名和密码等认证信息,即用户终端输出认证信息进行认证,Web Portal服务器根据用户终端提交的认证信息进行认证。当用户认证成功后,Web Portal服务器中的策略管理模块可以通告策略操作器进行NAT策略同步。如果用户认证失败,则不执行本实施例的后续流程,返回重新认证。本步骤为策略操作器同步NAT策略的过程,策略操作器可以根据IP三元组信息和认证信息更新NAT策略数据库中的NAT策略。具体地,本实施例可以为在同步NAT策略前,策略操作器根据用户终端的IP三元组信息查询NAT策略数据库,当当前的NAT策略数据库中不存在与用户终端对应的NAT策略时,策略操作器对该NAT策略数据库进行更新。具体可以为策略操作器根据IP三元组信息和认证信息在NAT策略数据库中增加一条带有如下关键字的条目NAT_IP、NAT设备IP 地址端口 NAT_IP_Port、Web_IP、web认证设备IP地址端口 Web_IP_Port以及IP协议类型等,其中,NAT_IP_Port和ffeb_IP_Port可以为服务器分配的,IP协议类型可以为传输控制协议(Transmission Control Protocol ;以下简称TCP)、用户数据包协议(User Datagram Protocol ;以下简称UDP)、Internet 控制报文协议(Internet Control Message Protocol ;以下简称ICMP)等。在更新NAT策略数据库后,策略操作器将更新后的NAT策略数据库的NAT策略同步到NAT设备上,使得NAT设备上的NAT策略与更新后的NAT策略数据库中的NAT策略一致,以使得NAT设备开放相应的NAT映射条目,使得通过同步后的NAT策略数据库便可以获取到NAT映射条目。步骤203,根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略向网络 web认证设备下发web策略数据包。在完成NAT策略数据库与NAT设备的同步之后,Web Portal服务器可以根据同步后的策略操作器获取到相应的内网IP地址,则策略操作器可以通告策略管理模块进行web 策略数据包的下发,策略管理模块可以根据同步后的NAT策略数据库中与用户终端对应的 NAT策略向web认证设备下发web策略数据包。策略管理模块可以具体根据与用户终端对应的NAT策略修改web策略数据包的目的IP地址和目的端口号,以穿越NAT设备将web策略数据包发送到web认证设备上来进行权限设置。具体地,本实施例中上述步骤203可以具体包括如下步骤策略管理模块根据同步后的NAT策略数据库中与用户终端对应的NAT策略将web策略数据包的目的IP地址和目的端口分别修改为NAT设备IP地址和NAT设备端口。策略管理模块根据web策略数据包的目的IP地址和目的端口将web策略数据包发送到NAT设备上,并由NAT设备根据用户终端对应的NAT策略将web策略数据包再转发到web认证设备。进一步地,本实施例提供的策略下发处理方法还可以包括在web策略数据包下发成功后,添加用户终端的在线记录信息,其中,在线记录信息可以包括用户终端的IP三元组信息和用户名信息。更进一步地,当用户终端下线时,本实施例提供的策略下发处理方法还可以包括 当用户终端均下线时,对NAT策略数据库进行更新具体为删除NAT策略数据库中该用户终端对应的NAT策略。本实施例提供了一种策略下发处理方法,通过分析用户终端的重定向请求的数据包来提取IP三元组信息,根据该IP三元组信息更新NAT策略数据库,并与NAT设备进行同步,通过NAT设备对内外网IP地址进行映射,使得ffeb Portal服务器可以穿过NAT设备将 web策略数据包下发到web认证设备上,实现外网服务器能够主动访问内网节点,本实施例无需部署额外的代理设备,节省了大量的人力物力。图4为本发明策略下发处理方法实施例二的信令图,如图4所示,本实施例提供了一种策略下发处理方法,图5为本发明策略下发处理方法实施例二中的网络应用拓扑示意图,如图5所示,web认证设备下挂η台用户终端,此处具体为用户PC,对应的IP地址分别为User_IPU User_IP2、 User_IPn, web认证设备的IP地址为Web_IP,互联网服务提供商(Internet ServiceProvider ;以下简称ISP)为机构出口 NAT设备分配的IP地址为 NAT_IP, ISP网络上有两台服务器Web Portal服务器和RADIUS服务器,其IP地址分别为 Server_IPl和Server_IP2。本实施例可以具体包括如下步骤步骤401,用户终端发送外网网页访问请求,请求建立TCP连接。用户可以通过用户终端开启IE浏览器,用户在IE浏览器地址栏中输入任意网址, 则触发用户终端发送外网网页访问请求。
步骤402,web认证设备截获该外网网页访问请求,并以外网地址与用户终端建立 TCP连接。步骤403,用户终端向web认证设备发送HTTP GET/HEAD请求,以请求相应的网页。步骤404,web认证设备向用户终端发送HTTP重定向响应,重定向地址为Web Portal服务器的地址。步骤405,web认证设备向用户终端返回关闭TCP连接的响应。步骤406,用户终端根据重定向地址与Wfeb Portal服务器建立连接,并向Web Portal服务器发送重定向请求,以请求重定向的页面,即认证页面。步骤407,Web Portal服务器向用户终端返回认证页面。步骤408,Web Portal服务器中的策略分析器对用户终端发送的重定向请求进行分析,提取用户终端的IP三元组信息,并将该IP三元组信息保存在IP三元组模块中。Web Portal服务器中的策略分析器对用户终端发送的重定向请求进行分析,提取 web认证设备的IP地址ffeb_IP、用户终端的原始IP地址User_IPl以及数据包的源IP地址,此处数据包的源IP地址即为NAT设备的IP地址NAT_IP,将其保存为用户终端的IP三元组信息,保存在IP三元组模块中。在本实施例中,策略分析器还可以通过分析用户终端请求的web认证页面,来判断web认证设备是否部署在NAT环境中,具体通过判断用户发送的数据包的源IP地址与用户终端的IP地址是否一致,如果一致,则表明该web认证设备未经过NAT设备,如果不一致,则表明web认证设备部署在NAT环境中。步骤409,用户终端向Web Portal服务器提交用户填写的认证信息,该认证信息包括用户名、密码等。步骤410,Web Portal服务器向RADIUS服务器发送RADIUS认证请求。步骤411,RADIUS服务器根据认证信息对用户终端进行认证,并向WebPortal服务器返回认证成功/失败响应。步骤412,当认证成功时,Web Portal服务器中的策略管理模块通告策略操作器同步NAT策略。步骤413,ffeb Portal服务器中的策略操作器根据IP三元组信息更新NAT策略数据库,并将NAT策略数据库同步到NAT设备,并通告策略管理模块下发web策略数据包。
当策略操作器接收到策略管理模块的通告后,更新NAT策略数据库,此时的NAT策略数据库为空,策略操作器在NAT策略数据库中增加一条带有如下关键字的条目NAT_IP、 NAT_IP_Port、Web_IP、ffeb_IP_Port以及IP协议类型,并通告NAT策略数据库同步NAT策略到NAT设备上,以开放NAT访问权限。其中,NAT_IP_Port和Web_IP_Port是Web_Portal 服务器根据要下发web策略数据包所使用的协议类型而设定的,不同的协议类型规定使用对应的端口来接收web策略数据包,因此Wieb_P0rtal服务器无需从外部获取,web认证设备本身也清楚具体通过哪个端口来接收相应的协议类型的web策略数据包。此处的NAT策略可以为当NAT设备收到数据包的目的IP地址为NAT_IP,目的端口为NAT_IP_Port的报文时,将数据包的目的IP地址和目的端口分别替换为Web_IP和ffeb_IP_P0rt,并重新发送。
其中,NAT策略数据库可以设置计时器,当计时器到达时向NAT设备同步NAT策略, 且计时器清零,可保证NAT设备与NAT策略数据库的策略一致性。当NAT策略数据库发生变化时,如增加或删除条目信息时,则立即向对应的NAT设备同步对应的条目信息,其余的 NAT策略则根据计时器来进行同步。步骤414,Web Portal服务器中的策略管理模块根据同步后的NAT策略数据库中与用户终端对应的NAT策略,将web策略数据包的目的IP地址和目的端口分别修改为NAT 设备IP地址和NAT设备端口。当NAT策略数据库与NAT设备同步成功后,NAT策略数据库返回同步成功信息给策略操作器,并通告策略管理模块可以下发该用户的web策略数据包。策略管理模块根据策略操作器通告的同步后的NAT策略数据库中的信息,将web策略数据包的目的IP地址修改为NAT_IP,将web策略数据包的目的端口修改为NAT_IP_Port,源IP地址设置为Server_ IPl,源端口为服务器分配的,无特殊要求。步骤415,ffeb Portal服务器中的策略管理模块根据web策略数据包的目的IP地址和目的端口将web策略数据包发送到NAT设备上,并由NAT设备根据用户终端对应的NAT 策略将web策略数据包转发到web认证设备,以开通在线用户权限。策略管理模块根据web策略数据包的目的IP地址和目的端口将web策略数据包发送到NAT设备上,则NAT设备可以根据之前设置的该用户终端对应的NAT策略进一步修改该web策略数据包的目的IP地址和目的端口,具体将其目的IP地址NAT_IP修改为ffeb_ IP,将其目的端口 NAT_IP_Port修改为Wfeb_IP_Port,并根据新的目的IP地址和目的端口重新发送web策略数据包。最终web策略数据包被发送到web认证设备上,以开放该用户的网络访问权限。在本实施例中,当策略下发成功后,策略管理模块可以通告用户管理模块添加用户在线记录信息,该用户在线记录信息可以包括用户终端的IP三元组信息和认证信息。具体地,在本实施例中,策略操作器在更新NAT策略数据库前,还可以根据用户终端的IP三元组信息判断当前的NAT策略数据库中的NAT策略是否能满足下发策略需求,当当前的NAT策略数据库中存在与用户终端对应的NAT策略时,表明该NAT策略数据库可以满足下发策略需求,则策略操作器无需更新NAT策略数据库,直接通告策略管理模块直接使用已存在的NAT策略下发web策略数据包。这种情况通常发生在同一台web认证设备下的第二个用户认证成功时,一般情况下,web认证设备对外开放一个端口供WebPortal服务器设置策略,此时则Web Portal服务器可以直接下发web策略数据包,即直接执行步骤 414-415,无需执行步骤413 ;当当前的NAT策略数据库中的NAT策略不能满足策略下发需求时,则执行步骤413,重新添加一条NAT策略到NAT策略数据库中。步骤416,Web Portal服务器向用户终端返回认证成功/失败页面。步骤417,Web Portal服务器向用户终端发送用户在线保活页面,并定时刷新。步骤418,当用户主动下线时,用户终端向ffeb Portal服务器提交下线请求。步骤419,ffeb Portal服务器中的策略操作器根据用户终端的IP三元组信息查询当前的NAT策略数据库。当用户下线时,Web Portal服务器中的策略操作器通过关键字W^ebJP和NAT_IP 关键字查询当前的NAT策略数据库的信息。步骤420,当在当前的NAT策略数据库中查询到用户终端对应的NAT策略时,Web Portal服务器中的策略操作器通告策略管理模块下发web策略数据包。
若上述步骤420的查询结果为当前的NAT策略数据库中查询到用户终端对应的 NAT策略时,策略操作器通告策略管理模块可以下发该用户的策略信息。步骤421,Web Portal服务器中的策略管理模块根据用户终端对应的NAT策略将 web策略数据包下发到web认证设备,以删除用户在线权限。策略管理模块根据策略操作器通告过来的NAT策略数据库信息,设置web策略数据包的目的IP地址为NAT_IP,目的端口为NAT_IP_Port,源IP地址为Server_IPl,源端口为服务器分配无特殊要求,并发送该web策略数据包。该web策略数据包到达NAT设备后, NAT设备根据之前设置的NAT策略,分别修改web策略数据包的目的IP地址NAT_IP和目的端口 NAT_IP_Port为和flieb_IP_Port后,重新发送该web策略数据包,最终web策略数据包到达web认证设备,web认证设备回收该用户终端的网络访问权限。另外,当Wfeb Portal服务器中的用户管理模块识别到NAT_IP与对应的用户终端均下线时,通告策略操作器更新NAT策略数据库,删除NAT_IP与ffeb_IP对应的用户终端在NAT策略数据库的条目信息。其中,由于一个用户终端对应的IP三元组信息由
IP、NAT_IP和组成,则her_IP、NAT_IP和的组合可以对应一个用户终端, 因此,此处的NAT_IP与Wfeb_IP组合也会对应一个或多个用户终端。步骤422,Web Portal服务器向用户终端返回下线页面。本实施例提供了一种策略下发处理方法,通过分析用户终端的重定向请求的数据包来提取IP三元组信息,根据该IP三元组信息更新NAT策略数据库,并与NAT设备进行同步,通过NAT设备对内外网IP地址进行映射,使得ffeb Portal服务器可以穿过NAT设备将web策略数据包下发到web认证设备上,实现外网服务器能够主动访问内网节点,本实施例无需部署额外的代理设备,节省了大量的人力物力;本实施例能够支撑穿越NAT设备下的Web认证的部署,不仅能够实现ISP数据中心统一管理,而且也给用户多一种网络部署选择。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。图6为本发明网络入口服务器实施例一的结构示意图,如图6所示,本实施例提供了一种网络入口 Web Portal服务器,可以具体执行上述方法实施例一中的各个步骤,此处不再赘述。本实施例提供的Web Portal服务器可以具体包括策略分析器601、策略操作器 602.NAT策略数据库603和策略管理模块604。其中,策略分析器601用于对用户终端发送的重定向请求进行分析,提取所述用户终端的IP三元组信息。策略操作器602用于在用户认证成功后,根据所述用户终端的IP三元组信息和认证信息更新NAT策略数据库603中的 NAT策略,并将NAT策略同步到NAT设备上。策略管理模块604用于根据同步后的NAT策略数据库603中与所述用户终端对应的NAT策略向网络web认证设备下发web策略数据包。图7为本发明网络入口服务器实施例二的结构示意图,如图7所示,本实施例提供了一种网络入口 Web Portal服务器,可以具体执行上述方法实施例二中的各个步骤,此处不再赘述。本实施例提供的Web Portal服务器中的策略管理模块604可以具体包括修改单元614和下发单元624。其中,修改单元614用于根据同步后的NAT策略数据库603中与所述用户终端对应的NAT策略将web策略数据包的目的IP地址和目的端口分别修改为 NAT设备IP地址和NAT设备端口。下发单元6 用于根据所述web策略数据包的目的IP 地址和目的端口将所述web策略数据包发送到NAT设备上,并由NAT设备根据所述用户终端对应的NAT策略将所述web策略数据包转发到web认证设备。进一步地,本实施例提供的ffeb Portal服务器还可以包括用户管理模块605,用户管理模块605用于在所述web策略数据包下发成功后,添加所述用户终端的在线记录信息,所述在线记录信息包括所述用户终端的IP三元组信息和所述用户名信息。具体地,本实施例中的策略操作器602可以具体包括查询单元612、下发通告单元 622和更新单元632。其中,查询单元612用于根据所述用户终端的IP三元组信息查询当前的NAT策略数据库。下发通告单元622用于当所述当前的NAT策略数据库603中存在与所述用户终端对应的NAT策略时,通告策略管理模块604根据所述NAT策略向web认证设备下发web策略数据包。更新单元632用于当当前的NAT策略数据库603中不存在与所述用户终端对应的NAT策略时,执行所述根据所述用户终端的IP三元组信息和认证信息更新 NAT策略数据库603中的NAT策略的步骤。更进一步地,本实施例提供的Wfeb Portal服务器中策略操作器602的更新单元 632还用于当用户终端均下线时,删除NAT策略数据库603中用户终端对应的NAT策略。更进一步地,本实施例提供的W^eb Portal服务器还可以包括IP三元组模块606, IP三元组模块606用于保存策略分析器601提取的所述用户终端的IP三元组信息,所述 IP三元组信息包括用户终端IP地址、NAT设备IP地址和web认证设备IP地址。本实施例提供了一种ffeb Portal服务器,通过分析用户终端的重定向请求的数据包来提取IP三元组信息,根据该IP三元组信息更新NAT策略数据库,并与NAT设备进行同步,通过NAT设备对内外网IP地址进行映射,使得ffeb Portal服务器可以穿过NAT设备将web策略数据包下发到web认证设备上,实现外网服务器能够主动访问内网节点,本实施例无需部署额外的代理设备,节省了大量的人力物力;本实施例能够支撑穿越NAT设备下的Web认证的部署,不仅能够实现ISP数据中心统一管理,而且也给用户多一种网络部署选择。图8为本发明网络地址转换设备实施例的结构示意图,如图8所示,本实施例还提供了一种NAT设备,可以具体包括接收模块801和同步模块802。其中,接收模块801用于接收网络入口 Web Portal服务器发送的同步通告。同步模块802用于根据所述同步通告与NAT策略数据库中的NAT策略进行同步,以使所述ffeb Portal服务器根据同步后的NAT 策略数据库中与用户终端对应的NAT策略向网络web认证设备下发网络web策略数据包。 其中,所述NAT策略为在用户认证成功后,所述ffeb Portal服务器根据用户终端的IP三元组信息和认证信息更新后的NAT策略数据库中的NAT策略,所述IP三元组信息为所述Web Portal服务器对所述用户终端发送的重定向请求进行分析而提取到的。本实施例还提供了一种策略下发处理系统,可以具体包括用户终端、网络web认证设备、上述图6或图7所示的Wfeb Portal服务器、上述图8所示的NAT设备和RADIUS服务器。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1.一种策略下发处理方法,其特征在于,包括对用户终端发送的重定向请求进行分析,提取所述用户终端的IP三元组信息; 在用户认证成功后,根据所述用户终端的IP三元组信息和认证信息更新网络地址转换NAT策略数据库中的NAT策略,并将所述NAT策略同步到NAT设备上;根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略向网络web认证设备下发网络web策略数据包。
2.根据权利要求1所述的方法,其特征在于,所述根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略向网络web认证设备下发web策略数据包包括根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略将web策略数据包的目的IP地址和目的端口分别修改为NAT设备IP地址和NAT设备端口 ;根据所述web策略数据包的目的IP地址和目的端口将所述web策略数据包发送到NAT 设备上,并由NAT设备根据所述用户终端对应的NAT策略将所述web策略数据包转发到web 认证设备。
3.根据权利要求2所述的方法,其特征在于,还包括在所述web策略数据包下发成功后,添加所述用户终端的在线记录信息,所述在线记录信息包括所述用户终端的IP三元组信息和所述认证信息。
4.根据权利要求2所述的方法,其特征在于,还包括根据所述用户终端的IP三元组信息查询当前的NAT策略数据库; 当所述当前的NAT策略数据库中存在与所述用户终端对应的NAT策略时,根据所述NAT 策略向web认证设备下发web策略数据包;当所述当前的NAT策略数据库中不存在与所述用户终端对应的NAT策略时,执行所述根据所述用户终端的IP三元组信息和认证信息更新网络地址转换NAT策略数据库中的NAT 策略的步骤。
5.根据权利要求4所述的方法,其特征在于,还包括当用户终端均下线时,删除所述NAT策略数据库中所述用户终端对应的NAT策略。
6.一种网络入口 Web Portal服务器,其特征在于,包括策略分析器、策略操作器、网络地址转换NAT策略数据库和策略管理模块,其中所述策略分析器用于对用户终端发送的重定向请求进行分析,提取所述用户终端的IP三元组信息;所述策略操作器用于在用户认证成功后,根据所述用户终端的IP三元组信息和认证信息更新NAT策略数据库中的NAT策略,并将所述NAT策略同步到NAT设备上;所述策略管理模块用于根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略向网络web认证设备下发网络web策略数据包。
7.根据权利要求6所述的服务器,其特征在于,所述策略管理模块包括修改单元,用于根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略将web 策略数据包的目的IP地址和目的端口分别修改为NAT设备IP地址和NAT设备端口 ;下发单元,用于根据所述web策略数据包的目的IP地址和目的端口将所述web策略数据包发送到NAT设备上,并由NAT设备根据所述用户终端对应的NAT策略将所述web策略数据包转发到web认证设备。
8.根据权利要求7所述的服务器,其特征在于,还包括用户管理模块,用于在所述web策略数据包下发成功后,添加所述用户终端的在线记录信息,所述在线记录信息包括所述用户终端的IP三元组信息和所述认证信息。
9.根据权利要求7所述的服务器,其特征在于,所述策略操作器包括查询单元,用于根据所述用户终端的IP三元组信息查询当前的NAT策略数据库;下发通告单元,用于当所述当前的NAT策略数据库中存在与所述用户终端对应的NAT 策略时,通告所述策略管理模块根据所述NAT策略向web认证设备下发web策略数据包;更新单元,用于当所述当前的NAT策略数据库中不存在与所述用户终端对应的NAT策略时,执行所述根据所述用户终端的IP三元组信息和认证信息更新NAT策略数据库中的 NAT策略的步骤。
10.根据权利要求9所述的服务器,其特征在于,所述更新单元还用于当用户终端均下线时,删除所述NAT策略数据库中所述用户终端对应的NAT策略。
11.一种网络地址转换NAT设备,其特征在于,包括接收模块,用于接收网络入口 Web Portal服务器发送的同步通告;同步模块,用于根据所述同步通告与NAT策略数据库中的NAT策略进行同步,以使所述 Web Portal服务器根据同步后的NAT策略数据库中与用户终端对应的NAT策略向网络web 认证设备下发网络web策略数据包;其中,所述NAT策略为在用户认证成功后,所述ffeb Portal服务器根据用户终端的IP 三元组信息和认证信息更新后的NAT策略数据库中的NAT策略,所述IP三元组信息为所述 Web Portal服务器对所述用户终端发送的重定向请求进行分析而提取到的。
12.—种策略下发处理系统,其特征在于,包括用户终端、网络web认证设备、上述权利要求6-10中任一项所述的网络入口 ffeb Portal服务器、权利要求11所述的网络地址转换 NAT设备和远程拨号用户鉴权服务RADIUS服务器。
全文摘要
本发明提供一种策略下发处理方法、设备、服务器和系统,其中方法包括对用户终端发送的重定向请求进行分析,提取所述用户终端的IP三元组信息;在用户认证成功后,根据所述用户终端的IP三元组信息和认证信息更新网络地址转换NAT策略数据库中的NAT策略,并将所述NAT策略同步到NAT设备上;根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略向网络web认证设备下发web策略数据包。本发明还提供了一种WebPortal服务器、NAT设备和策略下发处理系统。本发明实现了外网服务器能够主动访问内网节点。
文档编号H04L29/06GK102164150SQ201110129418
公开日2011年8月24日 申请日期2011年5月18日 优先权日2011年5月18日
发明者林清 申请人:北京星网锐捷网络技术有限公司