一种企业网认证计费的方法和出口网关的制作方法

一种企业网认证计费的方法和出口网关的制作方法
【专利摘要】本发明实施例提供一种企业网认证计费的方法，包括以下步骤：当所述交换机根据用户发出的认证请求向所述认证服务器发起认证成功后，所述出口网关接收所述认证服务器反馈的用户表项；所述出口网关接收所述用户发出的数据报文，根据所述数据报文查找所述用户表项；所述出口网关根据所述用户表项的查找结果对所述数据报文进行处理。同时，本发明还提供一种企业网认证计费的出口网关。通过本发明满足了接入网络需要认证，访问内部网络免费，访问外部网络按流量收费的新应用需求。
【专利说明】
一种企业网认证计费的方法和出口网关
技术领域
[0001]本发明涉及网络通信领域，尤其是涉及一种一种企业网认证计费的方法和出口网关。
【背景技术】
[0002]目前，随着互联网技术的迅猛发展，网络安全已经成为一个全球性的问题。从目前市场应用来看，对访问网络的用户进行身份认证已成为了保障网络安全的重要手段。从部署模型看，认证的部署模型主要有准入和准出两种。图1是准出认证的部署示意图。图1中，终端通过接入交换机连接到内部网络(图1中简称“内网”)，如企业网或者校园网，具体的，终端是连接到该接入交换机某个端口。接入交换机还可以通过出口网关连接到外部网络，如因特网。图1只示出了一个终端，当然接入交换机下可以连接多个终端。在接入交换机和出口网关之间还可以连接有汇聚交换机。
[0003]当采用准出认证部署模型时，NAS(Network Access Security，开启认证的设备称为NAS)由出口网关承担。在该模式下，终端入网到接入交换机，接入交换机不做网络控制直接转发报文(称为透传)，因此，终端无需认证即可访问内部网络的资源。当终端要访问因特网时，用户的上网流量会被NAS(出口网关)拦截，只有认证通过后才允许访问因特网。
[0004]终端通过接入交换机连接到内部网络，如企业网或者校园网，具体的，终端是连接到该接入交换机某个端口。接入交换机还可以通过出口网关连接到外部网络，如因特网。图1只示出了一个终端，当然接入交换机下可以接多个终端。在接入交换机和出口网关之间还可以连接有汇聚交换机。
[0005]当采用准入认证部署模型时，NAS(Network Access Security，开启认证的设备称为NAS)由接入交换机承担。在该模式下，终端入网到接入交换机后，流量就会被NAS(接入交换机)拦截，因此，只有认证通过后，才允许访问内部网络和外部网络。随着应用的发展，出现了接入网络需要认证，访问内部网络免费，访问外部网络按流量收费的新应用需求。比如:学生接入校园网需要认证，访问校园网免费，访问因特网则按流量计费。

【发明内容】

[0006]为了解决上述技术问题，本发明的实施例采用如下技术方案。
[0007]—种企业网认证计费的方法，应用于包含交换机、认证服务器和出口网关的系统中，其中，所述交换机与位于所述出口网关以内的内部网络相连且通过所述出口网关与位于所述出口网关以外的外部网络相连，所述认证服务器通过所述交换机与所述出口网关相连，包括以下步骤:
当所述交换机根据用户发出的认证请求向所述认证服务器发起认证成功后，所述出口网关接收所述认证服务器反馈的用户表项。
[0008]所述出口网关接收所述用户发出的数据报文，根据所述数据报文查找所述用户表项。
[0009]所述出口网关根据所述用户表项的查找结果对所述数据报文进行处理。
[0010]可选的，所述出口网关根据所述用户表项的查找结果对所述数据报文进行处理的步骤具体包括:
当所述出口网关未查找到所述用户表项，则所述出口网关直接转发所述数据报文;或，当所述出口网关查找到所述用户表项，且所述用户表项中包含允许转发标记，则所述出口网关更新所述用户的流量信息并转发所述数据报文;或，
当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关直接丢弃所述数据报文;或，
当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关拦截所述数据报文，将所述数据报文重定向到特定页面，所述特定页面包含所述用户欠费信息。
[0011]可选的，所述当所述出口网关查找到所述用户表项，且所述用户表项中包含允许转发标记，则所述出口网关更新所述用户的流量信息并转发所述数据报文的步骤之后还包括:
可选的，所述出口网关根据所述用户表项，在预设的周期Tl内将所述用户的流量信息更新至所述认证服务器。
[0012]可选的，当所述认证服务器上有所述用户表项，但在预定时间内未从所述出口网关接收到流量信息更新，则所述认证服务器确认所述出口网关没有所述用户表项时，所述出口网关重新从所述认证服务器接收所述用户表项；当所述认证服务器上无所述用户表项，但在预定时间内持续从所述出口网关收到流量信息更新时，所述出口网关根据所述认证服务器的通知删除所述用户表项。
[0013]可选的，该方法还包括:所述出口网关在预设的周期T2内接收所述认证服务器发送的心跳报文，确认所述认证服务器和所述出口网关之间的通道正常，当所述出口网关在所述预设的周期T2内没收到所述心跳报文，则删除所述包含丢弃标记的用户表项。
[0014]相应的，本发明实施例还提供一种企业网认证计费的出口网关，应用于包含交换机、认证服务器和所述出口网关的系统中，其中，所述交换机与位于所述出口网关以内的内部网络相连且通过所述出口网关与位于所述出口网关以外的外部网络相连，所述认证服务器通过所述交换机与所述出口网关相连，包括:
用户表项维护模块，用于当所述交换机根据用户发出的认证请求向所述认证服务器发起认证成功后，接收所述认证服务器反馈的用户表项。
[0015]数据报文接收模块，用于接收所述用户发出的数据报文。
[0016]查询模块，用于根据所述数据报文查找所述用户表项。
[0017]处理模块，用于根据所述用户表项的查找结果对所述数据报文进行处理。
[0018]可选的，所述处理模块具体用于，当所述出口网关未查找到所述用户表项，则所述出口网关直接转发所述数据报文;或，
当所述出口网关查找到所述用户表项，且所述用户表项中包含允许转发标记，则所述出口网关更新所述用户的流量信息并转发所述数据报文;或，
当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关直接丢弃所述数据报文;或， 当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关拦截所述数据报文，将所述数据报文重定向到特定页面，所述特定页面包含所述用户欠费信息。
[0019]可选的，还包括:更新模块，用于根据所述用户表项，在预设的周期Tl内将所述用户的流量信息更新至所述认证服务器。
[0020]可选的，所述用户表项维护模块，还用于当所述认证服务器上有所述用户表项，但在预定时间内未从所述出口网关接收到流量信息更新，则所述认证服务器确认所述出口网关没有所述用户表项时，重新从所述认证服务器接收所述用户表项。
[0021]所述用户表项维护模块，还用于当所述认证服务器上无所述用户表项，但在预定时间内持续从所述出口网关收到流量信息更新时，根据所述认证服务器的通知删除所述用户表项。
[0022]可选的，该出口网关还包括:通道维护模块，用于所述出口网关在预设的周期T2内接收所述认证服务器发送的心跳报文，确认所述认证服务器和所述出口网关之间的通道正常。
所述用户表项维护模块，还用于在所述预设的周期T2内没收到所述心跳报文，则删除所述包含丢弃标记的用户表项。
[0023]本发明实施例的有益效果在于:满足了接入网络需要认证，访问内部网络免费，访问外部网络按流量收费的新应用需求，且无需多次认证。
【附图说明】
[0024]为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0025]图1为现有技术的一种系统结构示意图。
[0026]图2为本发明实施例提供的一种方法流程图。
[0027]图3为本发明实施例提供的一种方法流程图。
[0028]图4为本发明实施例提供的一种方法流程图。
[0029]图5为本发明实施例提供的一种方法流程图。
[0030]图6为本发明实施例提供的一种装置结构图。
[0031 ]图7为本发明实施例提供的一种装置结构图。
[0032]图8为本发明实施例提供的一种装置结构图。
[0033]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0034]本发明一实施例提供一种企业网认证计费的方法，应用于包含交换机、认证服务器和出口网关的系统中，其中，所述交换机与位于所述出口网关以内的内部网络相连且通过所述出口网关与位于所述出口网关以外的外部网络相连，所述认证服务器通过所述交换机与所述出口网关相连，如图2所示，包括以下步骤:
SlOl，当所述交换机根据用户发出的认证请求向所述认证服务器发起认证成功后，所述出口网关接收所述认证服务器反馈的用户表项。
[0035]S103，所述出口网关接收所述用户发出的数据报文，根据所述数据报文查找所述用户表项。
[0036]S105，所述出口网关根据所述用户表项的查找结果对所述数据报文进行处理。
[0037]本发明实施例的有益效果在于，满足了接入网络需要认证，访问内部网络免费，访问外部网络按流量收费的新应用需求，且无需多次认证。
[0038]可选的，在本发明一实施例中，步骤S105具体包括:
当所述出口网关未查找到所述用户表项，则所述出口网关直接转发所述数据报文，该实施例的有益效果在于，保障用户体验，避免出现用户已经在接入交换机上认证通过，但因用户表项没及时同步至出口网关，导致数据报文在出口网关被丢弃而无法访问因特网等外部网络;或，
当所述出口网关查找到所述用户表项，且所述用户表项中包含允许转发标记，则所述出口网关更新所述用户的流量信息并转发所述数据报文;或，
当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关直接丢弃所述数据报文，该实施例中，当用户欠费时，认证服务器同步至出口网关的用户表项指示出口网关直接丢弃所述数据报文;或，
当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关拦截所述数据报文，将所述数据报文重定向到特定页面，所述特定页面包含所述用户欠费信息。
[0039]可选的，如图3所示，在本发明一实施例中，所述当所述出口网关查找到所述用户表项，且所述用户表项中包含允许转发标记，则所述出口网关更新所述用户的流量信息并转发所述数据报文的步骤之后还包括:
S107，所述出口网关根据所述用户表项，在预设的周期Tl内将所述用户的流量信息更新至所述认证服务器。
[0040]可选的，如图4所示，在本发明一实施例中，还包括:
S109，当所述认证服务器上有所述用户表项，但在预定时间内未从所述出口网关接收到流量信息更新，则所述认证服务器确认所述出口网关没有所述用户表项时，所述出口网关重新从所述认证服务器接收所述用户表项。
[0041]Slll，当所述认证服务器上无所述用户表项，但在预定时间内持续从所述出口网关收到流量信息更新时，所述出口网关根据所述认证服务器的通知删除所述用户表项。
[0042]该实施例的有益效果为，能保证认证服务器和出口网关的用户表项总能一致，使计费结果更为准确。
[0043]可选的，如图5所示，在本发明一实施例中，还包括:
S113，所述出口网关在预设的周期T2内接收所述认证服务器发送的心跳报文，确认所述认证服务器和所述出口网关之间的通道正常，当所述出口网关在所述预设的周期T2内没收到所述心跳报文，则删除所述包含丢弃标记的用户表项。
[0044]可选的，上述实施例中的交换机可以为接入交换机、汇聚交换机、核心交换机之一或者两两之间的组合或者三者之间的组合。
[0045]本发明另一实施例提供一种企业网认证计费的出口网关，应用于包含交换机、认证服务器和所述出口网关的系统中，其中，所述交换机与位于所述出口网关以内的内部网络相连且通过所述出口网关与位于所述出口网关以外的外部网络相连，所述认证服务器通过所述交换机与所述出口网关相连，如图6所示，包括:
用户表项维护模块201，用于当所述交换机根据用户发出的认证请求向所述认证服务器发起认证成功后，接收所述认证服务器反馈的用户表项。
[0046]数据报文接收模块203，用于接收所述用户发出的数据报文。
[0047]查询模块205，用于根据所述数据报文查找所述用户表项。
[0048]处理模块207，用于根据所述用户表项的查找结果对所述数据报文进行处理。
[0049]可选的，处理模块207具体用于，
当所述出口网关未查找到所述用户表项，则所述出口网关直接转发所述数据报文;或，当所述出口网关查找到所述用户表项，且所述用户表项中包含允许转发标记，则所述出口网关更新所述用户的流量信息并转发所述数据报文;或，
当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关直接丢弃所述数据报文;或，
当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关拦截所述数据报文，将所述数据报文重定向到特定页面，所述特定页面包含所述用户欠费信息。
[0050]可选的，如图7所示，在本发明一实施例中，出口网关还包括:
更新模块209，用于根据所述用户表项，在预设的周期Tl内将所述用户的流量信息更新至所述认证服务器。
[0051 ]可选的，在本发明一实施例中，
用户表项维护模块201，还用于当所述认证服务器上有所述用户表项，但在预定时间内未从所述出口网关接收到流量信息更新，则所述认证服务器确认所述出口网关没有所述用户表项时，重新从所述认证服务器接收所述用户表项。
[0052]用户表项维护模块201，还用于当所述认证服务器上无所述用户表项，但在预定时间内持续从所述出口网关收到流量信息更新时，根据所述认证服务器的通知删除所述用户表项。
[0053]该实施例的有益效果为，能保证认证服务器和出口网关的用户表项总能一致，使计费结果更为准确。
[0054]可选的，如图8所示，在本发明一实施例中，还包括:
通道维护模块211，用于所述出口网关在预设的周期T2内接收所述认证服务器发送的心跳报文，确认所述认证服务器和所述出口网关之间的通道正常。
[0055]所述用户表项维护模块201，还用于在所述预设的周期T2内没收到所述心跳报文，则删除所述包含丢弃标记的用户表项。
[0056]可选的，上述实施例中的交换机可以为接入交换机、汇聚交换机、核心交换机之一或者两两之间的组合或者三者之间的组合。
[0057]本发明实施例的有益效果在于，满足了接入网络需要认证，访问内部网络免费，访问外部网络按流量收费的新应用需求，且无需多次认证。
[0058]最后应说明的是:以上实施例仅用以说明本发明的技术方案，而非对其限制;尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种企业网认证计费的方法，其特征在于，应用于包含交换机、认证服务器和出口网关的系统中，其中，所述交换机与位于所述出口网关以内的内部网络相连且通过所述出口网关与位于所述出口网关以外的外部网络相连，所述认证服务器通过所述交换机与所述出口网关相连，包括以下步骤: 当所述交换机根据用户发出的认证请求向所述认证服务器发起认证成功后，所述出口网关接收所述认证服务器反馈的用户表项； 所述出口网关接收所述用户发出的数据报文，根据所述数据报文查找所述用户表项； 所述出口网关根据所述用户表项的查找结果对所述数据报文进行处理。2.根据权利要求1所述的方法，其特征在于，所述出口网关根据所述用户表项的查找结果对所述数据报文进行处理的步骤具体包括: 当所述出口网关未查找到所述用户表项，则所述出口网关直接转发所述数据报文;或， 当所述出口网关查找到所述用户表项，且所述用户表项中包含允许转发标记，则所述出口网关更新所述用户的流量信息并转发所述数据报文;或， 当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关直接丢弃所述数据报文;或， 当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关拦截所述数据报文，将所述数据报文重定向到特定页面，所述特定页面包含所述用户欠费信息。3.根据权利要求2所述的方法，其特征在于，所述当所述出口网关查找到所述用户表项，且所述用户表项中包含允许转发标记，则所述出口网关更新所述用户的流量信息并转发所述数据报文的步骤之后还包括: 所述出口网关根据所述用户表项，在预设的周期Tl内将所述用户的流量信息更新至所述认证服务器。4.根据权利要求3所述的方法，其特征在于，还包括: 当所述认证服务器上有所述用户表项，但在预定时间内未从所述出口网关接收到流量信息更新，则所述认证服务器确认所述出口网关没有所述用户表项时，所述出口网关重新从所述认证服务器接收所述用户表项；当所述认证服务器上无所述用户表项，但在预定时间内持续从所述出口网关收到流量信息更新时，所述出口网关根据所述认证服务器的通知删除所述用户表项。5.根据权利要求4所述的方法，其特征在于，还包括: 所述出口网关在预设的周期T2内接收所述认证服务器发送的心跳报文，确认所述认证服务器和所述出口网关之间的通道正常，当所述出口网关在所述预设的周期T2内没收到所述心跳报文，则删除所述包含丢弃标记的用户表项。6.—种企业网认证计费的出口网关，其特征在于，应用于包含交换机、认证服务器和所述出口网关的系统中，其中，所述交换机与位于所述出口网关以内的内部网络相连且通过所述出口网关与位于所述出口网关以外的外部网络相连，所述认证服务器通过所述交换机与所述出口网关相连，包括: 用户表项维护模块，用于当所述交换机根据用户发出的认证请求向所述认证服务器发起认证成功后，接收所述认证服务器反馈的用户表项； 数据报文接收模块，用于接收所述用户发出的数据报文； 查询模块，用于根据所述数据报文查找所述用户表项； 处理模块，用于根据所述用户表项的查找结果对所述数据报文进行处理。7.根据权利要求6所述的出口网关，其特征在于，所述处理模块具体用于， 当所述出口网关未查找到所述用户表项，则所述出口网关直接转发所述数据报文;或，当所述出口网关查找到所述用户表项，且所述用户表项中包含允许转发标记，则所述出口网关更新所述用户的流量信息并转发所述数据报文;或， 当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关直接丢弃所述数据报文;或， 当所述出口网关查找到所述用户表项，且所述用户表项中包含丢弃标记，则所述出口网关拦截所述数据报文，将所述数据报文重定向到特定页面，所述特定页面包含所述用户欠费信息。8.根据权利要求7所述的出口网关，其特征在于，还包括: 更新模块，用于根据所述用户表项，在预设的周期Tl内将所述用户的流量信息更新至所述认证服务器。9.根据权利要求8所述的出口网关，其特征在于， 所述用户表项维护模块，还用于当所述认证服务器上有所述用户表项，但在预定时间内未从所述出口网关接收到流量信息更新，则所述认证服务器确认所述出口网关没有所述用户表项时，重新从所述认证服务器接收所述用户表项； 所述用户表项维护模块，还用于当所述认证服务器上无所述用户表项，但在预定时间内持续从所述出口网关收到流量信息更新时，根据所述认证服务器的通知删除所述用户表项。10.根据权利要求6所述的出口网关，其特征在于，还包括: 通道维护模块，用于所述出口网关在预设的周期T2内接收所述认证服务器发送的心跳报文，确认所述认证服务器和所述出口网关之间的通道正常， 所述用户表项维护模块，还用于在所述预设的周期T2内没收到所述心跳报文，则删除所述包含丢弃标记的用户表项。
【文档编号】H04L12/14GK105933333SQ201610441623
【公开日】2016年9月7日
【申请日】2016年6月20日
【发明人】缪仕福
【申请人】锐捷网络股份有限公司