一种基于vCPE的网络访问控制方法及系统与流程
本发明属于网络访问技术领域,特别涉及一种基于vcpe的网络访问控制方法及系统。
背景技术:
在流量爆发的互联网时代,因带宽资源有限,导致视频画面卡顿、在线操作响应缓慢的现象时有发生。定向加速就是一种针对特定业务进行网络提速的业务,实现对指定站点或应用进行业务加速,如针对某些视频网站或者在线游戏的加速,使画面播放流畅,玩家操作响应迅速,增强用户体验。另外,现在网络发达资源众多,鱼龙混杂,出于安全考虑,家庭用户希望能够限制家庭网络或家庭设备对某些资源的访问,比如,为保护未成年人不允许儿童设备访问某个应用或禁止整个家庭网络访问某个网站。
目前,为了降低网络昂贵的设备成本,人们开发了一种nfv(networkfunctionvirtualization,网络功能虚拟化)技术,通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件。而随着nfv技术的发展,家庭网络设备也向虚拟化方向发展。而vcpe(virtualcustomerpremiseequipment,虚拟客户终端设备)的出现,解决了传统cpe(customerpremiseequipment,客户终端设备)设备类型复杂、新业务上线周期长、运营和维护成本高的问题。vcpe部署在运营商网络平台上,用户家里只需要保留简单接入功能的物理设备,网络功能、管理功能和新业务等都在运营商网络平台的vcpe上实现;软件的更新、维护和新业务的部署,都只需要在运营商网络平台的vcpe上操作,而不用升级用户家里的设备。
在nfv新型网络架构下,网络的维护,以及网络功能和网络资源都集中到运营商网络平台上,运营商可以基于vcpe降低运营成本、开展更多的业务的同时,用户对运营商的网络提出新的需求,如在平台贷款资源和计算能力有限的情况下,如何为用户提供更快、更安全的网络服务,是运营商迫切需要解决的问题。
技术实现要素:
本发明的目的是提供一种基于vcpe的网络访问控制方法及系统,在nfv新型网络架构下,根据vcpe内部的业务配置,实现指定业务的定向加速功能。
一方面,本发明实施例提供一种基于vcpe的网络访问控制方法,包括:
s100接收用户设备发送的域名查询请求;
s200若所述域名查询请求中的域名开启加速业务,将所述域名查询请求经加速通道发送至加速域名服务器,
s300若所述域名查询请求中的域名未开启加速业务,将所述域名查询请求经普通通道发送至普通域名服务器;
s400接收域名服务器返回的域名查询响应消息;
s500若所述域名查询响应消息中的域名开启加速业务,提取所述域名查询响应消息中的域名对应的ip地址;
s600通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备,流程结束。
进一步地,所述步骤s500之后、步骤s600之前还包括:
s510若所述ip地址已被加速处理,则执行步骤s600;
s520若所述ip地址未被加速处理,则对所述ip地址设置加速处理规则,并记录所述ip地址及对应的域名。
本方案中,需要加速处理的ip地址及对应的域名进行记录,后续用户设备发送该域名请求时,可直接根据记录,由数据转发模块执行已设置的加速处理规则将数据转发到指定的加速通道,不需要再次进行设置,提高响应速度。
进一步地,当所述域名查询响应消息中的域名未开启加速业务时,执行以下步骤:
s700若所述域名查询响应消息中的域名开启安全控制业务,则根据所述域名查询响应消息中的域名和对应的ip地址,对所述域名进行黑名单处理,流程结束;
s800若所述域名查询响应消息中的域名未开启安全控制业务,则通过普通通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备,流程结束。
本方案中,通过对域名进行黑名单处理,可为终端用户提供更安全的网络服务,同时可防止儿童沉迷于网络游戏等。
进一步地,所述步骤s700具体包括:
s710查询所述域名查询响应消息中的域名的黑名单类型;
s720若所述域名查询响应消息中的域名为家庭黑名单类型,查询所述域名查询响应消息中的域名对应的ip地址是否已被阻止处理,若否,则执行步骤s730,若是,则结束流程;
s730对所述ip地址设置黑名单规则,并记录所述ip地址及对应的域名,流程结束。
进一步地,所述步骤s700具体包括:
s710查询所述域名查询响应消息中的域名的黑名单类型;
s740若所述域名查询响应消息中的域名为设备黑名单类型,提取所述域名对应的设备的mac地址;
s750若所述域名查询响应消息中的域名对应的ip地址和所述ip地址对应的设备的mac地址已被阻止处理,则流程结束;
s760若所述域名查询响应消息中的域名对应的ip地址和所述ip地址对应的设备的mac地址未被阻止处理,则对所述ip地址和所述mac地址设置黑名单规则,并记录所述域名和对应的ip地址,以及所述mac地址和对应的ip地址,流程结束。
另一方面,本发明实施例还提供一种基于vcpe的网络访问控制系统,包括:域名服务模块和数据转发模块;
所述域名服务模块包括接收单元,用于接收用户设备发送的域名查询请求;
所述数据转发模块包括第一发送单元,用于若所述域名查询请求中的域名开启加速业务,将所述域名查询请求经加速通道发送至加速域名服务器;
所述数据转发模块包括第二发送单元,用于若所述域名查询请求中的域名未开启加速业务,将所述域名查询请求经普通通道发送至普通域名服务器;
所述域名服务模块包括接收单元,用于接收域名服务器返回的域名查询响应消息;
所述域名服务模块包括提取单元,用于若所述域名查询响应消息中的域名开启加速业务,提取所述域名查询响应消息中的域名对应的ip地址;
所述数据转发模块包括数据转发单元,用于通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备。
进一步地,所述数据转发单元,还用于若所述ip地址已被加速处理,通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备;
所述域名服务模块包括加速处理单元,用于若所述ip地址未被加速处理,则对所述ip地址设置加速处理规则;
所述域名服务模块包括记录单元,用于记录所述ip地址及对应的域名。
进一步地,所述域名服务模块包括黑名单处理单元,用于若所述域名查询响应消息中的域名开启安全控制业务,则根据所述域名查询响应消息中的域名和对应的ip地址,对所述域名进行黑名单处理;
所述数据转发单元,还用于若所述域名查询响应消息中的域名未开启安全控制业务,则通过普通通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备。
进一步地,所述黑名单处理单元包括查询子单元,用于查询所述域名查询响应消息中的域名的黑名单类型;还用于若所述域名查询响应消息中的域名为家庭黑名单类型时,查询所述域名查询响应消息中的域名对应的ip地址是否已被阻止处理;
所述黑名单处理单元包括黑名单处理子单元,用于对所述ip地址设置黑名单规则;
所述黑名单处理单元包括记录子单元,用于记录所述ip地址及对应的域名。
进一步地,所述黑名单处理单元包括查询子单元,用于查询所述域名查询响应消息中的域名的黑名单类型;
所述黑名单处理单元包括提取子单元,用于若所述域名查询响应消息中的域名为设备黑名单类型时,提取所述域名对应的设备的mac地址;
所述查询子单元,还用于查询所述域名查询响应消息中的域名对应的ip地址和所述ip地址对应的设备的mac地址是否已被阻止处理;
所述黑名单处理单元包括黑名单处理子单元,用于所述域名查询响应消息中的域名对应的ip地址和所述ip地址对应的设备的mac地址未被阻止处理,则对所述ip地址和所述mac地址设置黑名单规则;
所述黑名单处理单元包括记录子单元,用于记录所述域名和对应的ip地址,以及所述mac地址和对应的ip地址。
通过本发明提供的一种基于vcpe的网络访问控制方法,能够带来有益效果为:本发明利用运营商的优质带宽资源和vcpe管控的便利性,根据vcpe内部的业务配置,判断用户设备的域名查询请求中的域名是否开启加速业务,并进行相应的处理,以实现定向加速业务,为终端用户提供更快的网络服务,并带来更清晰、更流畅、更迅速的用户体验,增强用户黏性,给运营商带来更多的收益。
附图说明
下面将以明确易懂的方式,结合附图说明优选实施方式,对一种基于vcpe的网络访问控制方法及系统的上述特性、技术特征、优点及其实现方式予以进一步说明。
图1是本发明一种基于vcpe的网络访问控制方法的vcpe业务场景架构图;
图2是本发明一种基于vcpe的网络访问控制方法的实施例一的流程示意图;
图3是本发明一种基于vcpe的网络访问控制方法的实施例二的流程示意图;
图4是本发明一种基于vcpe的网络访问控制方法的实施例三的流程示意图;
图5是本发明一种基于vcpe的网络访问控制方法的实施例四的流程示意图;
图6是本发明一种基于vcpe的网络访问控制方法的实施例五的流程示意图;
图7是本发明一种基于vcpe的网络访问控制方法的实施例六的流程示意图;
图8是本发明一种基于vcpe的网络访问控制系统的一个实施例的结构示意框图;
图9是本发明一种基于vcpe的网络访问控制的另一个实施例的结构示意框图。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
为使图面简洁,各图中只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。另外,以使图面简洁便于理解,在有些图中具有相同结构或功能的部件,仅示意性地绘示了其中的一个,或仅标出了其中的一个。在本文中,“一个”不仅表示“仅此一个”,也可以表示“多于一个”的情形。
为了在家庭网络虚拟化的环境下实现域名访问控制的功能,本发明搭建的vcpe业务场景架构如图1所示:
物理网关部署在用户家里,用户设备连接物理网关,通过物理网关从运营商网络中的虚拟网关vcpe获取ip地址、dns地址和网关等信息,并通过vcpe连接互联网。业务配置存储家庭所启用的网络访问控制业务数据,业务配置由vcpe业务管理平台进行维护,如该家庭开启了定向加速业务和黑名单业务,则在业务配置中配置定速加速业务和黑名单业务,如果是定向加速业务类型,则业务配置中包含域名和加速通道wan接口名称,指明哪些应用(域名)可以使用哪些加速通道;如果是家庭黑名单业务类型,则包括域名、黑名单标识,指明哪些应用(域名)是家庭所有设备禁止访问的;如果是设备黑名单业务类型,则除了包括域名、黑名单标识,还包含禁止访问的设备的mac,指明哪些设备禁止访问哪些应用(域名),如果是多个设备,则多个设备的mac地址可用特殊符号间隔,比如“/”间隔,黑名单标识字符可为“blacklist”,如业务配置的内容(对应括号中的字段为解释说明,实际部署中无)可以设置为:
www.doudou.com:loop2(加速业务)
www.moumou.com:loop2(加速业务)
www.youukuu.com:blacklist(家庭黑名单业务)
www.youukuu1.com:blacklist=fa:16:3e:a7:e0:0f(设备黑名单业务)
www.youukuu2.com:blacklist=fa:16:3e:a7:e0:0a/fa:16:3e:a7:e0:0b(设备黑名单业务)
业务配置中的域名可以是某个特定域名,如www.doudou.com;也可以是通过通配符来匹配的某一类域名,如*.doudou.com,其包含www.doudou.com及其所有子域名;再如*.*,其指所有域名。
如果需要在业务配置中增加新类型的业务访问控制,则只需要增加新的类型名称和标识,以及相应的数据转发规则即可。比如,新增一个基于域名的家庭限时上网的业务类型,在业务配置中新增一项业务:www.youukuu3.com:timelimit=21:00-24:00/00:00-7:00;表示在时间段21:00-24:00和00:00-7:00禁止家庭用户访问www.youukuu3.com。
域名服务模块接收用户设备的查询请求,并接收域名服务器返回的查询响应,并用于根据业务配置,设置相应的数据转发规则,并记录相关信息。数据转发模块执行域名服务模块执行域名服务模块设置的数据转发规则,包括选择连接业务服务器的数据转发通道,以及阻止黑名单域名业务数据的发送,数据转发模块可以是linuxbridge、ovs(openvswitch,开放虚拟交换)或其他数据转发工具。
业务处理记录、设备-ip记录和与域名-ip记录用于记录已进行访问控制设置处理的域名-ip地址信息或设备-ip地址信息。如业务处理记录存储已设置定向加速处理规则(数据转发规则)或家庭黑名单处理规则的域名-ip地址信息;设备-ip记录已设置设备黑名单处理规则的设备mac地址和ip地址信息,域名-ip记录已进行设备黑名单处理规则的域名-ip地址信息。定向加速处理规则是指将指定ip地址的业务数据导入指定的数据转发加速通道,达到对指定业务加速的效果。下次用户设备请求访问已设置加速处理规则的某一域名时,数据转发模块可直接执行该处理规则,即直接转发到指定的加速通道。
根据本发明提供的第一实施例,如图2所示,
一种基于vcpe的网络访问控制方法,包括:
s100接收用户设备发送的域名查询请求;
s200若所述域名查询请求中的域名开启加速业务,将所述域名查询请求经加速通道发送至加速域名服务器,
s300若所述域名查询请求中的域名未开启加速业务,将所述域名查询请求经普通通道发送至普通域名服务器;
s400接收域名服务器返回的域名查询响应消息;
s500若所述域名查询响应消息中的域名开启加速业务,提取所述域名查询响应消息中的域名对应的ip地址;
s600通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备,流程结束。
具体地,初始化vcpe,初始化vcpe包括设置dhcp、dns、nat服务程序,并建立用于数据转发的加速通道和普通通道,加速通道是指利用运营商的优质带宽资源,建立的vcpe与指定业务服务器的数据转发高速通道,高速通道可以是vpn,也可以是运营商的专用网络。运营商的专用网络是通过vcpe服务器的网口直接连接外网的一个高速网络通道。普通通道是通过vcpe服务器的另一个网口连接的内部网络,通过内部网络也可以连接外网,只是网速和业务受限,相当于用户平时使用的默认网络环境。
初始化vcpe后,vcpe中的域名服务模块接收用户设备发送的域名查询请求,然后根据业务配置,查询域名查询请求中的域名是否开启加速业务,如业务配置中包含www.doudou.com:loop2,域名查询请求中的域名为www.doudou.com,则证明该域名www.doudou.com已开启加速业务,如果业务配置中不包含www.doudou.com,则证明未开启加速业务。
将开启加速业务的域名的域名查询请求经加速通道发送至加速域名服务器,加速处理的域名请求www.doudou.com,根据加速wan接口名称loop2查询到其加速通道信息,并经该加速通道发送至加速域名服务器;而普通域名的域名查询请求则经普通通道发送至普通域名服务器。
域名服务模块接收域名服务器(加速域名服务器或普通域名服务器)返回的域名查询响应消息;接收到的域名查询响应消息为:
name:www.moumou.com
address:11.11.11.111
name:www.moumou.com
address:11.11.11.112
在业务配置中查询域名查询响应消息中的域名是否开启加速业务,如是,则在域名查询响应消息中提取域名对应的ip地址,然后根据ip地址,通过加速通道获取ip地址对应的业务服务器上的数据,并返回给用户设备。
本发明利用运营商的优质带宽资源和vcpe管控的便利性,根据vcpe内部的业务配置,判断用户设备的域名查询请求中的域名是否开启加速业务,并进行相应的处理,以实现定向加速业务,为终端用户提供更快的网络服务,并带来更清晰、更流畅、更迅速的用户体验,增强用户黏性,给运营商带来更多的收益。
根据本发明提供的第二实施例,如图3所示,
一种基于vcpe的网络访问控制方法,包括:
s100接收用户设备发送的域名查询请求;
s200若所述域名查询请求中的域名开启加速业务,将所述域名查询请求经加速通道发送至加速域名服务器,
s300若所述域名查询请求中的域名未开启加速业务,将所述域名查询请求经普通通道发送至普通域名服务器;
s400接收域名服务器返回的域名查询响应消息;
s500若所述域名查询响应消息中的域名开启加速业务,提取所述域名查询响应消息中的域名对应的ip地址;
s510若所述ip地址已被加速处理,则执行步骤s600;
s520若所述ip地址未被加速处理,则对所述ip地址设置加速处理规则,并记录所述ip地址及对应的域名;
s600通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备,流程结束。
具体地,从域名查询响应消息中提取出域名对应的ip地址后,在业务处理记录中查询该ip地址是否被加速处理,例如,提取出的ip地址为11.11.11.111和11.11.11.112,业务处理记录中的内容为:www.doudou.com=106.11.47.33/106.11.47.44,其表示www.doudou.com为之前已经处理过的某应用域名,其后的两个ip地址已做过加速处理,而ip地址11.11.11.111和11.11.11.112未做过加速处理,其加速处理规则未设置,也信息并未记录在业务处理记录中。此时,需要对ip地址为11.11.11.111和11.11.11.112设置加速处理规则,并将ip地址为11.11.11.111、11.11.11.112和对应的域名记录在业务处理记录中。更新前,业务处理记录中的内容为:
www.doudou.com=106.11.47.33/106.11.47.44
更新后,业务处理记录中的内容为:
www.doudou.com=106.11.47.33/106.11.47.44
www.moumou.com=11.11.11.111/11.11.11.112
下次该域名www.moumou.com的数据报文,根据ip地址11.11.11.111和11.11.11.112,由数据转发模块直接执行之前设置好的加速处理规则,通过加速通道获取并转发数据即可,无需再设置加速处理规则。
根据本发明提供的第三实施例,如图4所示,
一种基于vcpe的网络访问控制方法,包括:
s100接收用户设备发送的域名查询请求;
s200若所述域名查询请求中的域名开启加速业务,将所述域名查询请求经加速通道发送至加速域名服务器,
s300若所述域名查询请求中的域名未开启加速业务,将所述域名查询请求经普通通道发送至普通域名服务器;
s400接收域名服务器返回的域名查询响应消息;
s500若所述域名查询响应消息中的域名开启加速业务,提取所述域名查询响应消息中的域名对应的ip地址;
s600通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备,流程结束;
s700若所述域名查询响应消息中的域名开启安全控制业务,则根据所述域名查询响应消息中的域名和对应的ip地址,对所述域名进行黑名单处理,流程结束;
s800若所述域名查询响应消息中的域名未开启安全控制业务,则通过普通通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备,流程结束。
具体地,当查询到域名查询响应消息中的域名未开启加速业务时,进一步查询该域名是否开启安全控制业务,若开启了安全控制业务,则会进行相应的黑名单处理,若未开启安全控制业务,则进行默认处理,即通过普通通道获取ip地址对应的业务服务器上的数据,并返回给用户设备。
根据本发明提供的第四实施例,如图5所示,
一种基于vcpe的网络访问控制方法,包括:
s100接收用户设备发送的域名查询请求;
s200若所述域名查询请求中的域名开启加速业务,将所述域名查询请求经加速通道发送至加速域名服务器,
s300若所述域名查询请求中的域名未开启加速业务,将所述域名查询请求经普通通道发送至普通域名服务器;
s400接收域名服务器返回的域名查询响应消息;
s500若所述域名查询响应消息中的域名开启加速业务,提取所述域名查询响应消息中的域名对应的ip地址;
s510若所述ip地址已被加速处理,则执行步骤s600;
s520若所述ip地址未被加速处理,则对所述ip地址设置加速处理规则,并记录所述ip地址及对应的域名;
s600通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备,流程结束;
s700若所述域名查询响应消息中的域名开启安全控制业务,则根据所述域名查询响应消息中的域名和对应的ip地址,对所述域名进行黑名单处理,流程结束;
s800若所述域名查询响应消息中的域名未开启安全控制业务,则通过普通通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备,流程结束。
具体地,当查询到域名查询响应消息中的域名未开启加速业务时,进一步查询该域名是否开启安全控制业务,若开启了安全控制业务,则会进行相应的黑名单处理,若未开启安全控制业务,则进行默认处理,即通过普通通道获取ip地址对应的业务服务器上的数据,并返回给用户设备。
根据本发明提供的第五实施例,如图6所示,
一种基于vcpe的网络访问控制方法,在上述实施例三或实施例四的基础上,所述步骤s700具体包括:
s710查询所述域名查询响应消息中的域名的黑名单类型;
s720若所述域名查询响应消息中的域名为家庭黑名单类型,查询所述域名查询响应消息中的域名对应的ip地址是否已被阻止处理,若否,则执行步骤s730,若是,则结束流程;
s730对所述ip地址设置黑名单规则,并记录所述ip地址及对应的域名,流程结束。
具体地,在业务配置中,查询域名查询响应消息中的域名的黑名单类型,当该域名为家庭黑名单类型(在该vcpe家庭网络里的所有设备均禁止访问的域名)时,根据域名查询响应消息中的域名对应的ip地址,在业务处理记录中查询该ip地址是否已被阻止处理;阻止处理是指将指定的ip地址的业务数据在数据转发模块中丢弃,阻止报文发出,达到禁止访问指定业务的效果。
若该ip地址未被阻止处理,则设置黑名单规则(即设置阻止处理规则,使该ip地址被阻止处理),并将该地址和对应的域名添加到业务处理记录中,黑名单流程结束。
如家庭黑名单域名www.youukuu.com设置阻止规则后,业务处理记录的内容如下:
www.doudou.com=106.11.47.33/106.11.47.44
www.moumou.com=11.11.11.111/11.11.11.112
www.youukuu.com=22.22.22.111
根据本发明提供的第六实施例,如图7所示,
一种基于vcpe的网络访问控制方法,在上述实施例三或实施例四的基础上,,所述步骤s700具体包括:
s710查询所述域名查询响应消息中的域名的黑名单类型;
s740若所述域名查询响应消息中的域名为设备黑名单类型,提取所述域名对应的设备的mac地址;
s750若所述域名查询响应消息中的域名对应的ip地址和所述ip地址对应的设备的mac地址已被阻止处理,则流程结束;
s760若所述域名查询响应消息中的域名对应的ip地址和所述ip地址对应的设备的mac地址未被阻止处理,则对所述ip地址和所述mac地址设置黑名单规则,并记录所述域名和对应的ip地址,以及所述mac地址和对应的ip地址,流程结束。
具体地,当查询到域名查询响应消息中的域名的黑名单类型为设备黑名单类型(指该vcpe家庭网络里的指定设备禁止访问的域名,家庭黑名单和设备黑名单在业务配置中的区别是后者包含设备mac地址)时,在域名-ip记录中,根据域名查询其ip地址;在设备-mac记录中,根据指定mac查询ip记录,该ip记录表示指定mac被阻止访问的所有ip地址;然后,查询指定域名的ip是否在该ip记录中,若是表示已被阻止处理,若否,则设置黑名单规则,即禁止对应的设备访问,并将该ip地址和对应的域名添加到域名-ip记录中,将mac地址和对应的ip地址添加到设备-ip记录中,黑名单流程结束。假如www.youukuu1.com和www.youukuu2.com为设备黑名单域名,域名服务模块设置阻止处理规则后,域名-ip记录内容如下:
www.youukuu1.com=33.33.33.111/33.33.33.112
www.youukuu2.com=33.33.33.113
设备-ip记录内容如下:
fa:16:3e:a7:e0:0f=33.33.33.111/33.33.33.112
fa:16:3e:a7:e0:0a=33.33.33.113
fa:16:3e:a7:e0:0b=33.33.33.113
加速处理规则和黑名单规则设置完成后,来自用户设备的业务数据,经过vcpe的数据转发模块时,均会进行规则匹配,实现业务的定向加速和安全控制功能。如果要取消家庭的这些业务,则需要通过vcpe业务管理平台,删除该家庭vcpe的业务配置的相应记录,同时与该记录对应的业务处理记录中的记录和数据转发规则,也需要一起删除。
如取消前,业务配置的内容可以设置为:
www.doudou.com:loop2(加速业务)
www.moumou.com:loop2(加速业务)
www.youukuu.com:blacklist(家庭黑名单业务)
www.youukuu1.com:blacklist=fa:16:3e:a7:e0:0f(设备黑名单业务)
www.youukuu2.com:blacklist=fa:16:3e:a7:e0:0a/fa:16:3e:a7:e0:0b(设备黑名单业务)
取消前,业务处理记录的内容如下:
www.doudou.com=106.11.47.33/106.11.47.44
www.moumou.com=11.11.11.111/11.11.11.112
www.youukuu.com=22.22.22.111
取消www.moumou.com的定向加速业务后,业务配置内容如下:
www.doudou.com:loop2
www.youukuu.com:blacklist
www.youukuu1.com:blacklist=fa:16:3e:a7:e0:0f
www.youukuu2.com:blacklist=fa:16:3e:a7:e0:0a/fa:16:3e:a7:e0:0b
取消www.moumou.com的定向加速业务后,业务处理记录内容如下:
www.doudou.com=106.11.47.33/106.11.47.44
www.youukuu.com=22.22.22.111
取消某应用的定向加速功能,需要根据业务处理记录中的域名和ip地址,删除针对该ip地址的加速处理规则,然后在业务处理记录和业务配置中删除该域名对应的记录信息。家庭黑名单的业务取消操作过程与定向加速相同。
设备黑名单的业务取消,先根据域名从域名-ip记录中查出该域名对应的ip地址,然后根据设备mac地址从设备-ip记录中查出该设备的阻止处理记录,这些记录就是被阻止处理的ip地址;如果从域名-ip记录中查出的ip地址,被包含在从设备-ip记录中查出的地址中,那么该ip地址已被阻止处理,则删除针对该ip地址和设备mac地址的阻止处理规则,最后删除设备-ip记录中该mac项的ip地址和业务配置中的相应记录,否则直接删除该设备mac地址在业务配置中的相应记录;如果该域名在域名-ip记录中的所有ip地址均不在设备-ip记录中,则删除域名-ip记录中该域名的记录项。
本实施例中取消设备fa:16:3e:a7:e0:0f的设备黑名单业务后,业务配置如下:
www.doudou.com:loop2
www.youukuu.com:blacklist
www.youukuu2.com:blacklist=fa:16:3e:a7:e0:0a/fa:16:3e:a7:e0:0b
根据域名-ip中www.youukuu1.com的ip地址,删除设备-ip记录中的域名和设备mac地址记录项后,设备-ip记录中的内容如下:
fa:16:3e:a7:e0:0a=33.33.33.113
fa:16:3e:a7:e0:0b=33.33.33.113
删除www.youukuu1.com的设备黑名单的域名-ip记录,域名-ip记录中的内容如下:
www.youukuu2.com=33.33.33.113
当然,若在本实施例中取消fa:16:3e:a7:e0:0b的设备黑名单,取消前,业务配置如下:
www.doudou.com:loop2
www.youukuu2.com:blacklist=fa:16:3e:a7:e0:0a/fa:16:3e:a7:e0:0b
域名-ip记录如下:
fa:16:3e:a7:e0:0a=33.33.33.113
fa:16:3e:a7:e0:0b=33.33.33.113
设备-ip记录如下:
www.youukuu2.com=33.33.33.113
取消后,业务配置如下:
www.doudou.com:loop2
www.youukuu2.com:blacklist=fa:16:3e:a7:e0:0a
域名-ip记录如下:
fa:16:3e:a7:e0:0a=33.33.33.113
设备-ip记录如下:
www.youukuu2.com=33.33.33.113
根据本发明提供的第七实施例,如图8所示,
一种基于vcpe的网络访问控制系统,包括:域名服务模块100和数据转发模块200;
所述数据转发模块200包括第一发送单元210,用于若所述域名查询请求中的域名开启加速业务,将所述域名查询请求经加速通道发送至加速域名服务器;
所述数据转发模块200包括第二发送单元210,用于若所述域名查询请求中的域名未开启加速业务,将所述域名查询请求经普通通道发送至普通域名服务器;
所述域名服务模块100包括接收单元110,用于接收域名服务器返回的域名查询响应消息;
所述域名服务模块100包括提取单元120,用于若所述域名查询响应消息中的域名开启加速业务,提取所述域名查询响应消息中的域名对应的ip地址;
所述数据转发模块200包括数据转发单元230,用于通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备。
本实施例中的各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
根据本发明提供的第八实施例,如图9所示,
一种基于vcpe的网络访问控制系统,包括:域名服务模块100和数据转发模块200;
所述数据转发模块200包括第一发送单元210,用于若所述域名查询请求中的域名开启加速业务,将所述域名查询请求经加速通道发送至加速域名服务器;
所述数据转发模块200包括第二发送单元220,用于若所述域名查询请求中的域名未开启加速业务,将所述域名查询请求经普通通道发送至普通域名服务器;
所述域名服务模块100包括接收单元110,用于接收域名服务器返回的域名查询响应消息;
所述域名服务模块100包括提取单元120,用于若所述域名查询响应消息中的域名开启加速业务,提取所述域名查询响应消息中的域名对应的ip地址;
所述数据转发模块200包括数据转发单元230,用于通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备。
优选地,所述数据转发单元230,还用于若所述ip地址已被加速处理,通过加速通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备;
所述域名服务模块100包括加速处理单元130,用于若所述ip地址未被加速处理,则对所述ip地址设置加速处理规则;
所述域名服务模块100包括记录单元140,用于记录所述ip地址及对应的域名。
优选地,所述域名服务模块100包括黑名单处理单元150,用于若所述域名查询响应消息中的域名开启安全控制业务,则根据所述域名查询响应消息中的域名和对应的ip地址,对所述域名进行黑名单处理;
所述数据转发单元230,还用于若所述域名查询响应消息中的域名未开启安全控制业务,则通过普通通道获取所述ip地址对应的业务服务器上的数据,并返回给所述用户设备。
优选地,所述黑名单处理单元150包括查询子单元151,用于查询所述域名查询响应消息中的域名的黑名单类型;还用于若所述域名查询响应消息中的域名为家庭黑名单类型时,查询所述域名查询响应消息中的域名对应的ip地址是否已被阻止处理;
所述黑名单处理单元150包括黑名单处理子单元152,用于对所述ip地址设置黑名单规则;
所述黑名单处理单元150包括记录子单元153,用于记录所述ip地址及对应的域名。
优选地,所述黑名单处理单元150包括提取子单元154,用于若所述域名查询响应消息中的域名为设备黑名单类型时,提取所述域名对应的设备的mac地址;
所述查询子单元151,还用于查询所述域名查询响应消息中的域名对应的ip地址和所述ip地址对应的设备的mac地址是否已被阻止处理;
所述黑名单处理子单元152,用于所述域名查询响应消息中的域名对应的ip地址和所述ip地址对应的设备的mac地址未被阻止处理,则对所述ip地址和所述mac地址设置黑名单规则;
所述记录子单元153,用于记录所述域名和对应的ip地址,以及所述mac地址和对应的ip地址。
本实施例中的各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!