策略執(zhí)行方法�、系統(tǒng)、策略執(zhí)行設(shè)備及控制設(shè)備的制作方法
【專利摘要】本發(fā)明實(shí)施例公開了策略執(zhí)行方法����、系統(tǒng)、策略執(zhí)行設(shè)備及控制設(shè)備���,所述方法包括:策略執(zhí)行設(shè)備接收用戶報(bào)文�;策略執(zhí)行設(shè)備通過控制設(shè)備獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����,所述控制設(shè)備用于根據(jù)認(rèn)證設(shè)備傳輸?shù)挠脩粜畔ⅲ约熬W(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系��;策略執(zhí)行設(shè)備執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略�����。本發(fā)明實(shí)施例中認(rèn)證設(shè)備和NAT設(shè)備只需將各自保存的用戶信息和地址轉(zhuǎn)換信息傳輸?shù)娇刂圃O(shè)備���,因此節(jié)省了網(wǎng)絡(luò)傳輸資源����;并且����,當(dāng)網(wǎng)絡(luò)架構(gòu)中增加新的策略執(zhí)行設(shè)備時(shí),由于認(rèn)證設(shè)備和NAT設(shè)備為無需為傳輸各自保存的用戶信息和地址轉(zhuǎn)換信息進(jìn)行功能改動(dòng)���,因此網(wǎng)絡(luò)架構(gòu)易于擴(kuò)展����。
【專利說明】策略執(zhí)行方法�、系統(tǒng)、策略執(zhí)行設(shè)備及控制設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】���,特別涉及策略執(zhí)行方法��、系統(tǒng)��、策略執(zhí)行設(shè)備及控制設(shè)備�。
【背景技術(shù)】
[0002]在傳統(tǒng)的網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation, NAT)網(wǎng)絡(luò)架構(gòu)中���,通常會(huì)部署用于對(duì)用戶身份進(jìn)行認(rèn)證的認(rèn)證設(shè)備�����,用于將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址的NAT設(shè)備���,以及若干策略執(zhí)行設(shè)備����,其中����,策略執(zhí)行設(shè)備采用基于用戶名的策略信息配置方式。當(dāng)用戶設(shè)備接入私網(wǎng)后�����,認(rèn)證設(shè)備向策略執(zhí)行設(shè)備傳輸用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系���,同時(shí)NAT設(shè)備向策略執(zhí)行設(shè)備傳輸用戶設(shè)備的每條連接的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址和端口號(hào)的對(duì)應(yīng)關(guān)系���;當(dāng)策略執(zhí)行設(shè)備接收到用戶設(shè)備傳輸?shù)膱?bào)文后,根據(jù)報(bào)文的公網(wǎng)地址和端口號(hào)查找上述對(duì)應(yīng)關(guān)系���,以獲得與該公網(wǎng)地址和端口號(hào)對(duì)應(yīng)的用戶名����,從而根據(jù)用戶名獲得對(duì)該報(bào)文進(jìn)行處理的策略信息�����。
[0003]發(fā)明人在對(duì)現(xiàn)有技術(shù)的研究過程中發(fā)現(xiàn)�,由于認(rèn)證設(shè)備和NAT設(shè)備需要分別向每個(gè)策略執(zhí)行設(shè)備傳輸各自保存的對(duì)應(yīng)關(guān)系,因此它們與策略執(zhí)行設(shè)備之間的數(shù)據(jù)傳輸量較大�����,會(huì)消耗大量的網(wǎng)絡(luò)傳輸資源����;并且,當(dāng)網(wǎng)絡(luò)架構(gòu)中增加新的策略執(zhí)行設(shè)備時(shí)����,認(rèn)證設(shè)備和NAT設(shè)備上均需為新增策略執(zhí)行設(shè)備配置新的傳輸命令,并根據(jù)該傳輸命令將各自保存的對(duì)應(yīng)關(guān)系傳輸?shù)叫略霾呗詧?zhí)行設(shè)備�,從而導(dǎo)致網(wǎng)絡(luò)架構(gòu)的可擴(kuò)展性較差。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實(shí)施例中提供了策略執(zhí)行方法��、系統(tǒng)、策略執(zhí)行設(shè)備及控制設(shè)備�,以解決現(xiàn)有策略執(zhí)行方式容易消耗大量網(wǎng)絡(luò)傳輸資源,且網(wǎng)絡(luò)架構(gòu)的可擴(kuò)展性較差的問題��。
[0005]為了解決上述技術(shù)問題�,本發(fā)明實(shí)施例公開了如下技術(shù)方案:
[0006]第一方面,提供一種策略執(zhí)行方法���,所述方法包括:
[0007]策略執(zhí)行設(shè)備接收用戶報(bào)文�;
[0008]所述策略執(zhí)行設(shè)備通過控制設(shè)備獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名���,所述控制設(shè)備用于根據(jù)認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?�,以及網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系��,其中��,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系�����,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系�;
[0009]所述策略執(zhí)行設(shè)備執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略��。
[0010]結(jié)合第一方面,在第一方面的第一種可能的實(shí)現(xiàn)方式中�����,所述策略執(zhí)行設(shè)備接收用戶報(bào)文前�,所述方法還包括:
[0011]所述策略執(zhí)行設(shè)備接收所述控制設(shè)備下發(fā)的所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系;
[0012]所述策略執(zhí)行設(shè)備通過控制設(shè)備獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����,包括:
[0013]所述策略執(zhí)行設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����。
[0014]結(jié)合第一方面,在第一方面的第二種可能的實(shí)現(xiàn)方式中����,所述策略執(zhí)行設(shè)備通過控制設(shè)備獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,包括:
[0015]所述策略執(zhí)行設(shè)備將所述用戶報(bào)文的公網(wǎng)地址上報(bào)給所述控制設(shè)備�����;
[0016]接收所述控制設(shè)備返回的與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名�����,所述用戶名為所述控制設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后獲得的用戶名。
[0017]結(jié)合第一方面�����,或第一方面的第一種可能的實(shí)現(xiàn)方式���,或第一方面的第二種可能的實(shí)現(xiàn)方式�����,在第一方面的第三種可能的實(shí)現(xiàn)方式中���,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)互聯(lián)網(wǎng)協(xié)議IP地址和端口段,所述端口段為所述NAT設(shè)備將用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)�。
[0018]第二方面,提供一種策略執(zhí)行方法�����,所述方法包括:
[0019]控制設(shè)備接收認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?���,以及NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息,其中���,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系��,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系�;
[0020]所述控制設(shè)備根據(jù)所述用戶信息和所述地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系,以使策略執(zhí)行設(shè)備根據(jù)所述關(guān)聯(lián)關(guān)系獲得與接收到的用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名后�����,執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略��。
[0021]結(jié)合第二方面�,在第二方面的第一種可能的實(shí)現(xiàn)方式中�,所述方法還包括:
[0022]所述控制設(shè)備向所述策略執(zhí)行設(shè)備下發(fā)所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系,以使所述策略執(zhí)行設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后����,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名。
[0023]結(jié)合第二方面���,在第二方面的第二種可能的實(shí)現(xiàn)方式中�����,所述方法還包括:
[0024]所述控制設(shè)備接收所述策略執(zhí)行設(shè)備上報(bào)的所述用戶報(bào)文的公網(wǎng)地址�;
[0025]所述控制設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名��;
[0026]所述控制設(shè)備將獲得的用戶名發(fā)送給所述策略執(zhí)行設(shè)備�����。
[0027]結(jié)合第二方面����,或第二方面的第一種可能的實(shí)現(xiàn)方式,或第二方面的第二種可能的實(shí)現(xiàn)方式�����,在第二方面的第三種可能的實(shí)現(xiàn)方式中��,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)IP地址和端口段�,所述端口段為所述NAT設(shè)備將用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)。
[0028]第三方面�,提供一種策略執(zhí)行系統(tǒng),所述系統(tǒng)包括:認(rèn)證設(shè)備����、NAT設(shè)備、控制設(shè)備和策略執(zhí)行設(shè)備����,其中�,
[0029]所述認(rèn)證設(shè)備���,用于向所述控制設(shè)備傳輸用戶信息�����,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系���;
[0030]所述NAT設(shè)備,用于向所述控制設(shè)備傳輸?shù)刂忿D(zhuǎn)換信息��,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系�;
[0031]所述控制設(shè)備��,用于根據(jù)所述用戶信息和所述地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�;
[0032]所述策略執(zhí)行設(shè)備,用于接收到用戶報(bào)文時(shí)�,通過所述控制設(shè)備生成的所述關(guān)聯(lián)關(guān)系獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,并執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略�����。
[0033]結(jié)合第三方面,在第三方面的第一種可能的實(shí)現(xiàn)方式中���,
[0034]所述控制設(shè)備,還用于向所述策略執(zhí)行設(shè)備下發(fā)所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系;
[0035]所述策略執(zhí)行設(shè)備,具體用于根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后���,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名��。
[0036]結(jié)合第三方面,在第三方面的第二種可能的實(shí)現(xiàn)方式中�,
[0037]所述策略執(zhí)行設(shè)備�,還用于將所述用戶報(bào)文的公網(wǎng)地址上報(bào)給所述控制設(shè)備;
[0038]所述控制設(shè)備�����,還用于根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系���,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,并將獲得的用戶名發(fā)送給所述策略執(zhí)行設(shè)備��。
[0039]結(jié)合第三方面,或第三方面的第一種可能的實(shí)現(xiàn)方式�����,或第三方面的第二種可能的實(shí)現(xiàn)方式�����,在第三方面的第三種可能的實(shí)現(xiàn)方式中�����,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)IP地址和端口段,所述端口段為所述NAT設(shè)備將用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)。
[0040]第四方面��,提供一種策略執(zhí)行設(shè)備��,所述策略執(zhí)行設(shè)備包括:
[0041]接收單元��,用于接收用戶報(bào)文���;
[0042]獲得單元���,用于通過控制設(shè)備獲得與所述接收單元接收到的用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,所述控制設(shè)備用于根據(jù)認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?��,以及網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�����,其中�,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系��,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系��;
[0043]執(zhí)行單元�����,用于執(zhí)行與所述獲得單元獲得的用戶名對(duì)應(yīng)的用戶策略。
[0044]結(jié)合第四方面���,在第四方面的第一種可能的實(shí)現(xiàn)方式中���,
[0045]所述接收單元,還用于接收所述控制設(shè)備下發(fā)的所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系;
[0046]所述獲得單元�����,具體用于根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述接收單元接收到的所述關(guān)聯(lián)關(guān)系���,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名���。
[0047]結(jié)合第四方面,在第四方面的第二種可能的實(shí)現(xiàn)方式中���,所述獲得單元包括:
[0048]地址上報(bào)子單元��,用于將所述用戶報(bào)文的公網(wǎng)地址上報(bào)給所述控制設(shè)備��;
[0049]用戶名獲得子單元���,用于接收所述控制設(shè)備返回的與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,所述用戶名為所述控制設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后獲得的用戶名���。
[0050]結(jié)合第四方面����,或第四方面的第一種可能的實(shí)現(xiàn)方式��,或第四方面的第二種可能的實(shí)現(xiàn)方式����,在第四方面的第三種可能的實(shí)現(xiàn)方式中,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)互聯(lián)網(wǎng)協(xié)議IP地址和端口段����,所述端口段為所述NAT設(shè)備將用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)。
[0051]第五方面��,提供一種控制設(shè)備�����,所述控制設(shè)備包括:
[0052]接收單元����,用于接收認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?,以及NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息����,其中,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系����,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系;
[0053]生成單元�����,用于根據(jù)所述接收單元接收到的所述用戶信息和所述地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系���,以使策略執(zhí)行設(shè)備根據(jù)所述關(guān)聯(lián)關(guān)系獲得與接收到的用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名后���,執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略。
[0054]結(jié)合第五方面�,在第五方面的第一種可能的實(shí)現(xiàn)方式中,所述控制設(shè)備還包括:
[0055]第一發(fā)送單元�,用于向所述策略執(zhí)行設(shè)備下發(fā)所述生成單元生成的所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系,以使所述策略執(zhí)行設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名���。
[0056]結(jié)合第五方面����,在第五方面的第二種可能的實(shí)現(xiàn)方式中��,
[0057]所述接收單元�����,還用于接收所述策略執(zhí)行設(shè)備上報(bào)的所述用戶報(bào)文的公網(wǎng)地址���;
[0058]所述控制設(shè)備還包括:
[0059]查找單元,用于根據(jù)所述接收單元接收到的所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系��,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����;
[0060]第二發(fā)送單元,用于將所述查找單元獲得的用戶名發(fā)送給所述策略執(zhí)行設(shè)備�。
[0061]結(jié)合第五方面,或第五方面的第一種可能的實(shí)現(xiàn)方式�����,或第五方面的第二種可能的實(shí)現(xiàn)方式,在第五方面的第三種可能的實(shí)現(xiàn)方式中�����,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)IP地址和端口段�,所述端口段為所述NAT設(shè)備將用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)。
[0062]第六方面����,提供一種策略執(zhí)行設(shè)備,所述策略執(zhí)行設(shè)備包括:網(wǎng)絡(luò)接口和處理器���,其中�,
[0063]所述網(wǎng)絡(luò)接口�,用于接收用戶報(bào)文;
[0064]所述處理器��,用于通過控制設(shè)備獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名�,并執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略,其中�,所述控制設(shè)備用于根據(jù)認(rèn)證設(shè)備傳輸?shù)挠脩粜畔ⅲ约熬W(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系。
[0065]結(jié)合第六方面�,在第六方面的第一種可能的實(shí)現(xiàn)方式中,
[0066]所述網(wǎng)絡(luò)接口�,還用于接收所述控制設(shè)備下發(fā)的所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系;
[0067]所述處理器,具體用于根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系��,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名�。[0068]結(jié)合第六方面,在第六方面的第二種可能的實(shí)現(xiàn)方式中���,
[0069]所述處理器,具體用于通過所述網(wǎng)絡(luò)接口將所述用戶報(bào)文的公網(wǎng)地址上報(bào)給所述控制設(shè)備�,并接收所述控制設(shè)備返回的與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,所述用戶名為所述控制設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后獲得的用戶名����。
[0070]結(jié)合第六方面,或第六方面的第一種可能的實(shí)現(xiàn)方式�,或第六方面的第二種可能的實(shí)現(xiàn)方式,在第六方面的第三種可能的實(shí)現(xiàn)方式中�,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)互聯(lián)網(wǎng)協(xié)議IP地址和端口段,所述端口段為所述NAT設(shè)備將用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)���。
[0071 ] 第七方面���,提供一種控制設(shè)備����,所述控制設(shè)備包括:網(wǎng)絡(luò)接口和處理器����,其中,
[0072]所述網(wǎng)絡(luò)接口�,用于接收認(rèn)證設(shè)備傳輸?shù)挠脩粜畔ⅲ约癗AT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息�����,其中���,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系����,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系���;
[0073]所述處理器�����,用于根據(jù)所述用戶信息和所述地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�����,以使策略執(zhí)行設(shè)備根據(jù)所述關(guān)聯(lián)關(guān)系獲得與接收到的用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名后�,執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略。
[0074]結(jié)合第七方面��,在第七方面的第一種可能的實(shí)現(xiàn)方式中��,
[0075]所述網(wǎng)絡(luò)接口��,還用于向所述策略執(zhí)行設(shè)備下發(fā)所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�,以使所述策略執(zhí)行設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名�����。
[0076]結(jié)合第七方面���,在第七方面的第二種可能的實(shí)現(xiàn)方式中,
[0077]所述網(wǎng)絡(luò)接口��,還用于接收所述策略執(zhí)行設(shè)備上報(bào)的所述用戶報(bào)文的公網(wǎng)地址�;
[0078]所述處理器�����,還用于根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系�,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����;
[0079]所述網(wǎng)絡(luò)接口,還用于將所述處理器獲得的用戶名發(fā)送給所述策略執(zhí)行設(shè)備��。
[0080]結(jié)合第七方面����,或第七方面的第一種可能的實(shí)現(xiàn)方式,或第七方面的第二種可能的實(shí)現(xiàn)方式�,在第七方面的第三種可能的實(shí)現(xiàn)方式中,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)IP地址和端口段�����,所述端口段為所述NAT設(shè)備將用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)�。
[0081]本發(fā)明實(shí)施例中,控制設(shè)備接收認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?���,以及NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息���,并根據(jù)用戶信息和地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系,策略執(zhí)行設(shè)備根據(jù)該關(guān)聯(lián)關(guān)系獲得與接收到的用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名后���,執(zhí)行與獲得的用戶名對(duì)應(yīng)的用戶策略����。應(yīng)用本發(fā)明實(shí)施例���,認(rèn)證設(shè)備和NAT設(shè)備無需向每個(gè)策略執(zhí)行設(shè)備傳輸各自保存的用戶信息和地址轉(zhuǎn)換信息�,而是只需要將上述信息傳輸?shù)娇刂圃O(shè)備�����,并由控制設(shè)備集中對(duì)信息進(jìn)行處理生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系即可����,因此減少了網(wǎng)絡(luò)中的數(shù)據(jù)傳輸量�����,節(jié)省了網(wǎng)絡(luò)傳輸資源���;并且����,當(dāng)網(wǎng)絡(luò)架構(gòu)中增加新的策略執(zhí)行設(shè)備時(shí),由于認(rèn)證設(shè)備和NAT設(shè)備無需為該新增策略執(zhí)行設(shè)備配置傳輸命令及傳輸信息����,即認(rèn)證設(shè)備和NAT設(shè)備無需進(jìn)行功能改動(dòng),因此網(wǎng)絡(luò)架構(gòu)易于擴(kuò)展���?��!緦@綀D】
【附圖說明】
[0082]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見地���,對(duì)于本領(lǐng)域普通技術(shù)人員而言,在不付出創(chuàng)造性勞動(dòng)性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。
[0083]圖1A為應(yīng)用本發(fā)明實(shí)施例的網(wǎng)絡(luò)架構(gòu)示意圖;
[0084]圖1B為本發(fā)明策略執(zhí)行方法的一個(gè)實(shí)施例流程圖�;
[0085]圖1C為本發(fā)明策略執(zhí)行方法的另一個(gè)實(shí)施例流程圖;
[0086]圖2為本發(fā)明策略執(zhí)行方法的另一個(gè)實(shí)施例流程圖����;
[0087]圖3為本發(fā)明策略執(zhí)行方法的另一個(gè)實(shí)施例流程圖;
[0088]圖4為本發(fā)明策略執(zhí)行系統(tǒng)的實(shí)施例框圖��;
[0089]圖5為本發(fā)明策略執(zhí)行設(shè)備的一個(gè)實(shí)施例框圖����;
[0090]圖6為本發(fā)明策略執(zhí)行設(shè)備的另一個(gè)實(shí)施例框圖;
[0091]圖7為本發(fā)明控制設(shè)備的一個(gè)實(shí)施例框圖����;
[0092]圖8為本發(fā)明控制設(shè)備的另一個(gè)實(shí)施例框圖;
[0093]圖9為本發(fā)明控制設(shè)備的另一個(gè)實(shí)施例框圖���;
[0094]圖10為本發(fā)明控制設(shè)備的另一個(gè)實(shí)施例框圖�。
【具體實(shí)施方式】
[0095]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案�,并使本發(fā)明實(shí)施例的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂����,下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例中技術(shù)方案作進(jìn)一步詳細(xì)的說明。
[0096]參見圖1A��,為應(yīng)用本發(fā)明實(shí)施例的網(wǎng)絡(luò)架構(gòu)示意圖:
[0097]圖1A中�����,用戶設(shè)備A通過內(nèi)網(wǎng)(也可稱為私網(wǎng))Intranet接入認(rèn)證設(shè)備����,認(rèn)證設(shè)備連接NAT設(shè)備,NAT設(shè)備連接策略執(zhí)行設(shè)備����,策略執(zhí)行設(shè)備接入互聯(lián)網(wǎng)(也可稱為外網(wǎng))Internet,其中�,認(rèn)證設(shè)備、NAT設(shè)備和策略執(zhí)行設(shè)備均與控制設(shè)備連接����,本發(fā)明實(shí)施例中的策略執(zhí)行設(shè)備可以具體為路由轉(zhuǎn)發(fā)設(shè)備、交換設(shè)備����、網(wǎng)絡(luò)安全設(shè)備等。其中,認(rèn)證設(shè)備用于對(duì)通過用戶設(shè)備接入網(wǎng)絡(luò)的用戶身份進(jìn)行認(rèn)證管理��,并記錄用戶名和私網(wǎng)IP地址��;NAT設(shè)備用于提供將私網(wǎng)互聯(lián)網(wǎng)協(xié)議(Internet Protocol, IP)地址轉(zhuǎn)換為公網(wǎng)IP地址的功能�����;策略執(zhí)行設(shè)備用于基于用戶名配置策略信息��。
[0098]下面結(jié)合圖1A示出的網(wǎng)絡(luò)架構(gòu)對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述��。
[0099]參見圖1B�����,為本發(fā)明策略執(zhí)行方法的一個(gè)實(shí)施例流程圖�,該實(shí)施例從策略執(zhí)行設(shè)備側(cè)對(duì)策略執(zhí)行過程進(jìn)行描述:
[0100]步驟101:策略執(zhí)行設(shè)備接收用戶報(bào)文。
[0101]結(jié)合圖1A可知�,本發(fā)明實(shí)施例中用戶報(bào)文為接入Intranet的用戶設(shè)備發(fā)出的報(bào)文。
[0102]步驟102:策略執(zhí)行設(shè)備通過控制設(shè)備獲得與用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����,其中控制設(shè)備用于根據(jù)認(rèn)證設(shè)備傳輸?shù)挠脩粜畔ⅲ约癗AT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�����。[0103]本發(fā)明實(shí)施例中,當(dāng)用戶設(shè)備要接入Intranet���,即用戶通過用戶設(shè)備登錄Intranet時(shí),通常會(huì)輸入用戶名和密碼,認(rèn)證設(shè)備對(duì)用戶名和密碼驗(yàn)證通過后,為該用戶設(shè)備分配私網(wǎng)IP地址�����,記錄包含用戶名和所分配的私網(wǎng)IP地址的對(duì)應(yīng)關(guān)系的用戶信息���,并將該用戶信息傳輸給控制設(shè)備����;以及�����,NAT設(shè)備獲知用戶設(shè)備登錄后�����,將該用戶設(shè)備的私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址���,記錄包含私網(wǎng)地址與公網(wǎng)地址的對(duì)應(yīng)關(guān)系的地址轉(zhuǎn)換信息���,并將該地址轉(zhuǎn)換信息傳輸給控制設(shè)備�。
[0104]當(dāng)控制設(shè)備獲得用戶信息和地址轉(zhuǎn)換信息后�,可以根據(jù)上述信息生成用戶名及公網(wǎng)地址之間的關(guān)聯(lián)關(guān)系?����?蛇x的�����,控制設(shè)備可以將上述關(guān)聯(lián)關(guān)系直接下發(fā)給策略執(zhí)行設(shè)備�����,以便策略執(zhí)行設(shè)備根據(jù)用戶報(bào)文的公網(wǎng)地址查找該關(guān)聯(lián)關(guān)系����,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,其中��,控制設(shè)備可以將生成的關(guān)聯(lián)關(guān)系即刻發(fā)送給策略執(zhí)行設(shè)備�����,也可以在接收到策略執(zhí)行設(shè)備發(fā)送的請(qǐng)求關(guān)聯(lián)關(guān)系的消息后,將生成的關(guān)聯(lián)關(guān)系下發(fā)給策略執(zhí)行設(shè)備���;或者����,策略執(zhí)行設(shè)備也可以將用戶報(bào)文的公網(wǎng)地址發(fā)送給控制設(shè)備���,由控制設(shè)備查找關(guān)聯(lián)關(guān)系獲得與用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,并將該用戶名發(fā)送給策略執(zhí)行設(shè)備��。
[0105]其中�,關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址可以包含:公網(wǎng)IP地址和端口段,該端口段為NAT設(shè)備將用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)為該用戶設(shè)備分配的該公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)��?����?蛇x的����,NAT設(shè)備可以預(yù)先配置為端口預(yù)分配模式�����,即可以為每個(gè)登錄網(wǎng)絡(luò)的用戶設(shè)備分配固定大小的端口段���,固定大小指每個(gè)端口段中包含相同數(shù)量的端口號(hào),用戶設(shè)備在登錄期間建立的每個(gè)連接都使用該端口段內(nèi)的端口號(hào)��;當(dāng)用戶設(shè)備退出登錄時(shí)�,NAT設(shè)備可以回收為該用戶設(shè)備分配的端口段?���?蛇x的,NAT設(shè)備可以為每個(gè)用戶設(shè)備分配至少一個(gè)端口段����。
[0106]步驟103:策略執(zhí)行設(shè)備執(zhí)行與獲得的用戶名對(duì)應(yīng)的用戶策略。
[0107]本發(fā)明實(shí)施例中���,策略執(zhí)行設(shè)備上基于用戶名配置用戶策略���,即策略執(zhí)行設(shè)備上保存了用戶名與用戶策略之間的對(duì)應(yīng)關(guān)系,在步驟102中策略執(zhí)行設(shè)備獲得與用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名后���,根據(jù)該用戶名查找用戶名與用戶策略之間的對(duì)應(yīng)關(guān)系后獲得的用戶策略即為策略執(zhí)行設(shè)備需要對(duì)用戶報(bào)文執(zhí)行的用戶策略����。
[0108]其中,用戶策略可以具體包括安全策略信息����、用戶過濾策略信息、路由策略信息���、帶寬控制策略信息等,對(duì)此本發(fā)明實(shí)施例不進(jìn)行限制��。
[0109]由上述實(shí)施例可見��,認(rèn)證設(shè)備和NAT設(shè)備無需向每個(gè)策略執(zhí)行設(shè)備傳輸各自保存的用戶信息和地址轉(zhuǎn)換信息�����,而是只需要將上述信息傳輸?shù)娇刂圃O(shè)備��,并由控制設(shè)備集中對(duì)信息進(jìn)行處理生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系即可��,因此減少了網(wǎng)絡(luò)中的數(shù)據(jù)傳輸量��,節(jié)省了網(wǎng)絡(luò)傳輸資源;并且����,當(dāng)網(wǎng)絡(luò)架構(gòu)中增加新的策略執(zhí)行設(shè)備時(shí),由于認(rèn)證設(shè)備和NAT設(shè)備無需為該新增策略執(zhí)行設(shè)備配置傳輸命令及傳輸信息���,即認(rèn)證設(shè)備和NAT設(shè)備無需進(jìn)行功能改動(dòng)���,因此網(wǎng)絡(luò)架構(gòu)易于擴(kuò)展。
[0110]參見圖1C����,為本發(fā)明策略執(zhí)行方法的另一個(gè)實(shí)施例流程圖,該實(shí)施例從控制設(shè)備側(cè)對(duì)策略執(zhí)行過程進(jìn)行描述:
[0111]步驟111:控制設(shè)備接收認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?����,以及NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息���,其中���,用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系,地址轉(zhuǎn)換信息包含用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系�����。[0112]本發(fā)明實(shí)施例中,當(dāng)用戶設(shè)備要接入Intranet��,即用戶通過用戶設(shè)備登錄Intranet時(shí),通常會(huì)輸入用戶名和密碼,認(rèn)證設(shè)備對(duì)用戶名和密碼驗(yàn)證通過后���,為該用戶設(shè)備分配私網(wǎng)IP地址�,記錄包含用戶名和所分配的私網(wǎng)IP地址的對(duì)應(yīng)關(guān)系的用戶信息����,并將該用戶信息傳輸給控制設(shè)備;以及�����,NAT設(shè)備獲知用戶設(shè)備登錄后�,將該用戶設(shè)備的私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址���,記錄包含私網(wǎng)地址與公網(wǎng)地址的對(duì)應(yīng)關(guān)系的地址轉(zhuǎn)換信息�����,并將該地址轉(zhuǎn)換信息傳輸給控制設(shè)備����。
[0113]步驟112:控制設(shè)備根據(jù)用戶信息和地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系,以使策略執(zhí)行設(shè)備根據(jù)關(guān)聯(lián)關(guān)系獲得與接收到的用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名后���,執(zhí)行與用戶名對(duì)應(yīng)的用戶策略�����。
[0114]本發(fā)明實(shí)施例中�����,當(dāng)控制設(shè)備獲得用戶信息和地址轉(zhuǎn)換信息后��,可以根據(jù)上述信息生成用戶名及公網(wǎng)地址之間的關(guān)聯(lián)關(guān)系�����?�?蛇x的����,控制設(shè)備可以將上述關(guān)聯(lián)關(guān)系直接下發(fā)給策略執(zhí)行設(shè)備,以便策略執(zhí)行設(shè)備根據(jù)用戶報(bào)文的公網(wǎng)地址查找該關(guān)聯(lián)關(guān)系���,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����,其中����,控制設(shè)備可以將生成的關(guān)聯(lián)關(guān)系即刻發(fā)送給策略執(zhí)行設(shè)備,也可以在接收到策略執(zhí)行設(shè)備發(fā)送的請(qǐng)求關(guān)聯(lián)關(guān)系的消息后����,將生成的關(guān)聯(lián)關(guān)系下發(fā)給策略執(zhí)行設(shè)備;或者����,策略執(zhí)行設(shè)備也可以將用戶報(bào)文的公網(wǎng)地址發(fā)送給控制設(shè)備,由控制設(shè)備查找關(guān)聯(lián)關(guān)系獲得與用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����,并將該用戶名發(fā)送給策略執(zhí)行設(shè)備���。
[0115]其中�,關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址可以包含:公網(wǎng)IP地址和端口段,該端口段為NAT設(shè)備將用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)為該用戶設(shè)備分配的該公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)����。可選的�����,NAT設(shè)備可以預(yù)先配置為端口預(yù)分配模式�����,即可以為每個(gè)登錄網(wǎng)絡(luò)的用戶設(shè)備分配固定大小的端口段����,固定大小指每個(gè)端口段中包含相同數(shù)量的端口號(hào),用戶設(shè)備在登錄期間建立的每個(gè)連接都使用該端口段內(nèi)的端口號(hào)�;當(dāng)用戶設(shè)備退出登錄時(shí),NAT設(shè)備可以回收為該用戶設(shè)備分配的端口段��?��?蛇x的����,NAT設(shè)備可以為每個(gè)用戶設(shè)備分配至少一個(gè)端口段。
[0116]由上述實(shí)施例可見�����,認(rèn)證設(shè)備和NAT設(shè)備無需向每個(gè)策略執(zhí)行設(shè)備傳輸各自保存的用戶信息和地址轉(zhuǎn)換信息��,而是只需要將上述信息傳輸?shù)娇刂圃O(shè)備����,并由控制設(shè)備集中對(duì)信息進(jìn)行處理生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系即可,因此減少了網(wǎng)絡(luò)中的數(shù)據(jù)傳輸量�,節(jié)省了網(wǎng)絡(luò)傳輸資源;并且����,當(dāng)網(wǎng)絡(luò)架構(gòu)中增加新的策略執(zhí)行設(shè)備時(shí),由于認(rèn)證設(shè)備和NAT設(shè)備無需為該新增策略執(zhí)行設(shè)備配置傳輸命令及傳輸信息�,即認(rèn)證設(shè)備和NAT設(shè)備無需進(jìn)行功能改動(dòng),因此網(wǎng)絡(luò)架構(gòu)易于擴(kuò)展��。
[0117]參見圖2���,為本發(fā)明策略執(zhí)行方法的另一個(gè)實(shí)施例流程圖:
[0118]步驟201:認(rèn)證設(shè)備向控制設(shè)備傳輸用戶信息�����,該用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系��。
[0119]本實(shí)施例中�,當(dāng)用戶設(shè)備要接入Intranet,即用戶通過用戶設(shè)備登錄Intranet時(shí)����,通常會(huì)輸入用戶名和密碼,認(rèn)證設(shè)備對(duì)用戶名和密碼驗(yàn)證通過后����,為該用戶設(shè)備分配私網(wǎng)IP地址,記錄包含用戶名和所分配的私網(wǎng)IP地址的對(duì)應(yīng)關(guān)系的用戶信息��,并將該用戶信息傳輸給控制設(shè)備����。
[0120]如圖1A中,假設(shè)用戶名為“用戶A”的用戶通過用戶設(shè)備登錄Intranet��,認(rèn)證設(shè)備對(duì)該用戶認(rèn)證通過后�����,為用戶設(shè)備分配的私網(wǎng)IP地址為“10.1.1.10”�,則認(rèn)證設(shè)備可以記錄如下表1所示的用戶信息��,并將表1發(fā)送給控制設(shè)備:
[0121]表1
[0122]
【權(quán)利要求】
1.一種策略執(zhí)行方法�,其特征在于��,所述方法包括: 策略執(zhí)行設(shè)備接收用戶報(bào)文�����; 所述策略執(zhí)行設(shè)備通過控制設(shè)備獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����,所述控制設(shè)備用于根據(jù)認(rèn)證設(shè)備傳輸?shù)挠脩粜畔ⅲ约熬W(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�����,其中�����,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系����,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系; 所述策略執(zhí)行設(shè)備執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略����。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于����,所述策略執(zhí)行設(shè)備接收用戶報(bào)文前�����,所述方法還包括: 所述策略執(zhí)行設(shè)備接收所述控制設(shè)備下發(fā)的所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�����; 所述策略執(zhí)行設(shè)備通過控制設(shè)備獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����,包括: 所述策略執(zhí)行設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述策略執(zhí)行設(shè)備通過控制設(shè)備獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,包括: 所述策略執(zhí)行設(shè)備將所述用戶報(bào)文的公網(wǎng)地址上報(bào)給所述控制設(shè)備�; 接收所述控制設(shè)備返回的與所述用戶`報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����,所述用戶名為所述控制設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后獲得的用戶名��。
4.根據(jù)權(quán)利要求1至3任意一項(xiàng)所述的方法�����,其特征在于��,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)互聯(lián)網(wǎng)協(xié)議IP地址和端口段��,所述端口段為所述NAT設(shè)備將所述用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為所述公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)����。
5.一種策略執(zhí)行方法,其特征在于����,所述方法包括: 控制設(shè)備接收認(rèn)證設(shè)備傳輸?shù)挠脩粜畔ⅲ约熬W(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息����,其中,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系�����,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系; 所述控制設(shè)備根據(jù)所述用戶信息和所述地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�����。
6.根據(jù)權(quán)利要求5所述的方法����,其特征在于�,所述方法還包括: 所述控制設(shè)備向所述策略執(zhí)行設(shè)備下發(fā)所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系。
7.根據(jù)權(quán)利要求5所述的方法�,其特征在于,所述方法還包括: 所述控制設(shè)備接收所述策略執(zhí)行設(shè)備上報(bào)的所述用戶報(bào)文的公網(wǎng)地址�; 所述控制設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����; 所述控制設(shè)備將獲得的用戶名發(fā)送給所述策略執(zhí)行設(shè)備。
8.根據(jù)權(quán)利要求5至7任意一項(xiàng)所述的方法����,其特征在于,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)IP地址和端口段����,所述端口段為所述NAT設(shè)備將所述用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為所述公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)���。
9.一種策略執(zhí)行系統(tǒng),其特征在于�,所述系統(tǒng)包括:認(rèn)證設(shè)備、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備��、控制設(shè)備和策略執(zhí)行設(shè)備���,其中��, 所述認(rèn)證設(shè)備�����,用于向所述控制設(shè)備傳輸用戶信息�����,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系�����; 所述NAT設(shè)備�,用于向所述控制設(shè)備傳輸?shù)刂忿D(zhuǎn)換信息,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系�����; 所述控制設(shè)備����,用于根據(jù)所述用戶信息和所述地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系; 所述策略執(zhí)行設(shè)備,用于接收到用戶報(bào)文時(shí)�����,通過所述控制設(shè)備生成的所述關(guān)聯(lián)關(guān)系獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名��,并執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略��。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)����,其特征在于�����, 所述控制設(shè)備,還用于向所述策略執(zhí)行設(shè)備下發(fā)所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系��;所述策略執(zhí)行設(shè)備��,具體用于根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后�����,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名���。
11.根據(jù)權(quán)利要求9所述的系統(tǒng)����,其特征在于���, 所述策略執(zhí)行設(shè)備��,還用 于將所述用戶報(bào)文的公網(wǎng)地址上報(bào)給所述控制設(shè)備���; 所述控制設(shè)備,還用于根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系���,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名��,并將獲得的用戶名發(fā)送給所述策略執(zhí)行設(shè)備�。
12.根據(jù)權(quán)利要求9至11任意一項(xiàng)所述的系統(tǒng),其特征在于���,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)IP地址和端口段��,所述端口段為所述NAT設(shè)備將所述用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為所述公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)��。
13.一種策略執(zhí)行設(shè)備����,其特征在于�,所述策略執(zhí)行設(shè)備包括: 接收單元����,用于接收用戶報(bào)文���; 獲得單元���,用于通過控制設(shè)備獲得與所述接收單元接收到的用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名��,所述控制設(shè)備用于根據(jù)認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?��,以及網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系����,其中�,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系�����; 執(zhí)行單元���,用于執(zhí)行與所述獲得單元獲得的用戶名對(duì)應(yīng)的用戶策略��。
14.根據(jù)權(quán)利要求13所述的策略執(zhí)行設(shè)備���,其特征在于, 所述接收單元��,還用于接收所述控制設(shè)備下發(fā)的所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�;所述獲得單元,具體用于根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述接收單元接收到的所述關(guān)聯(lián)關(guān)系���,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名����。
15.根據(jù)權(quán)利要求13所述的策略執(zhí)行設(shè)備,其特征在于����,所述獲得單元包括: 地址上報(bào)子單元,用于將所述用戶報(bào)文的公網(wǎng)地址上報(bào)給所述控制設(shè)備�����; 用戶名獲得子單元�,用于接收所述控制設(shè)備返回的與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,所述用戶名為所述控制設(shè)備根據(jù)所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系后獲得的用戶名��。
16.根據(jù)權(quán)利要求13至15任意一項(xiàng)所述的策略執(zhí)行設(shè)備��,其特征在于��,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)互聯(lián)網(wǎng)協(xié)議IP地址和端口段����,所述端口段為所述NAT設(shè)備將所述用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為所述公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)。
17.—種控制設(shè)備�,其特征在于����,所述控制設(shè)備包括: 接收單元�,用于接收認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?����,以及網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息�����,其中���,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系����,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系�; 生成單元,用于根據(jù)所述接收單元接收到的所述用戶信息和所述地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�����。
18.根據(jù)權(quán)利要求17所述的控制設(shè)備����,其特征在于���,所述控制設(shè)備還包括: 第一發(fā)送單元,用于向所述策略執(zhí)行設(shè)備下發(fā)所述生成單元生成的所述用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系�����。
19.根據(jù)權(quán)利要求17所述的控制設(shè)備����,其特征在于, 所述接收單元��,還用于接收所述策略執(zhí)行設(shè)備上報(bào)的所述用戶報(bào)文的公網(wǎng)地址����; 所述控制設(shè)備還包括: 查找單元,用于根據(jù)所述接收單元接收到的所述用戶報(bào)文的公網(wǎng)地址查找所述關(guān)聯(lián)關(guān)系�,獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)`應(yīng)的用戶名; 第二發(fā)送單元�����,用于將所述查找單元獲得的用戶名發(fā)送給所述策略執(zhí)行設(shè)備�。
20.根據(jù)權(quán)利要求17至19任意一項(xiàng)所述的控制設(shè)備,其特征在于,所述關(guān)聯(lián)關(guān)系中與每個(gè)用戶名對(duì)應(yīng)的每個(gè)公網(wǎng)地址包含:公網(wǎng)IP地址和端口段��,所述端口段為所述NAT設(shè)備將所述用戶設(shè)備的私網(wǎng)IP地址轉(zhuǎn)換為所述公網(wǎng)IP地址時(shí)為所述用戶設(shè)備分配的所述公網(wǎng)IP地址下的一段連續(xù)的端口號(hào)�。
21.一種策略執(zhí)行設(shè)備����,其特征在于,所述策略執(zhí)行設(shè)備包括:網(wǎng)絡(luò)接口和處理器�,其中, 所述網(wǎng)絡(luò)接口����,用于接收用戶報(bào)文; 所述處理器�,用于通過控制設(shè)備獲得與所述用戶報(bào)文的公網(wǎng)地址對(duì)應(yīng)的用戶名,并執(zhí)行與所述用戶名對(duì)應(yīng)的用戶策略����,其中,所述控制設(shè)備用于根據(jù)認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?�,以及網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系��,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系�����,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系。
22.—種控制設(shè)備����,其特征在于,所述控制設(shè)備包括:網(wǎng)絡(luò)接口和處理器���,其中��, 所述網(wǎng)絡(luò)接口����,用于接收認(rèn)證設(shè)備傳輸?shù)挠脩粜畔?����,以及網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備傳輸?shù)牡刂忿D(zhuǎn)換信息���,其中�����,所述用戶信息包含用戶設(shè)備的用戶名與私網(wǎng)地址的對(duì)應(yīng)關(guān)系����,所述地址轉(zhuǎn)換信息包含所述用戶設(shè)備的私網(wǎng)地址與轉(zhuǎn)換后的公網(wǎng)地址的對(duì)應(yīng)關(guān)系; 所述處理器���,用于根據(jù)所述用戶信息和所述地址轉(zhuǎn)換信息生成用戶名與公網(wǎng)地址的關(guān)聯(lián)關(guān)系����。
【文檔編號(hào)】H04L29/12GK103841221SQ201410065318
【公開日】2014年6月4日 申請(qǐng)日期:2014年2月24日 優(yōu)先權(quán)日:2014年2月24日
【發(fā)明者】尹保國, 張日華 申請(qǐng)人:華為技術(shù)有限公司