本申请公开基于多外网出口的外网访问控制方法,包括:接入设备接收来自用户的认证请求报文并将其发送至认证服务器进行Portal认证;认证成功后,接入设备创建针对该用户的ACL并应用到接入设备的入接口,所述ACL中添加动作:将来自该用户的报文中的DSCP值,修改为该用户选择的ISP域对应的DSCP值;接入设备接收来自该用户的访问外网的报文,根据所述ACL规则修改所述报文的DSCP值,将所述报文转发至路由转发设备,所述报文的DSCP值用于指示路由转发设备将所述报文重定向到该报文的DSCP值对应的ISP域的外网出口。本申请还公开一种接入设备。本申请对于同一用户带不同ISP域名访问外网时,可实现针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。
【技术实现步骤摘要】
本申请涉及控制访问
,尤其涉及基于多外网出口的外网访问控制方法及接入设备。
技术介绍
—些外部局点存在至少两个外网出口,例如,如图1所不,一个某局点同时存在两个外网出口,一个是电信网,一个是科技网。两个外网出口提供不同的访问外网的权限及计费方式,局点用户通过科技网出口访问外网时为免费,但部分网站受限访问,而局点用户通过电信网出口访问外网时,需要按上线时间进行计费,但没有访问限制。对外网的访问限制由连接外网的外网出口所在路由器完成,即由如图1中的路由器RTB、RT C完成,只要保证局点用户访问外网的数据报文被转发到RT B或RT C即可。目前,当某局点存在至少两个外网出口时,局点用户访问外网的过程为如图1所示,用户带ISP(Internet Service Provider,互联网服务提供商)域名登录,交换机SwitchA接收到来自用户的访问外网的报文,对所述报文进行Portal认证,认证成功,所述报文被Switch A转发到路由器RT A后,随机选择一个外网出口 RT B或RT C,访问外网,无法根据用户登录时所带的ISP域名,选择与该ISP域名对应的外网出口访问外网,以便于实现差异化的外网访问权限管理和计费服务。之所以如此,是因为当用户访问外网时,无论选择外网出口 RT B或RT C,用户访问外网的数据报文目的IP地址都是相同的,所以,当所述数据报文被转发到路由器RT A时,RT A无法根据报文的目的IP进行过滤或进行策略路由的重定向。同时,由于用户在局点内部通过DHCP (Dynamic Host Configuration Protocol,动态主机设置协议)动态获得IP地址,且所用的用户终端设备存在交互或变更的可能,所以设备RTA同样无法根据所述数据报文的源IP进行过滤或策略路由的重定向。而且,对所述报文进行Portal认证时,一般的Portal协议处理流程只能保证报文是否通过,也不能实现不同ISP域的报文重定向到不同的外网出口。例如,用户I登录时所带的ISP域名为电信网,但用户I进行Portal认证成功后,访问外网的数据报文到达RTA,此时,用户1访问外网的数据报文只能随机选择一个外网出口 RT B或RT C访问外网,无法根据用户登录时所带的ISP域名(电信网)选择对应的电信网出口 RT C访问外网,从而对于同一用户采用不同ISP域的外网接口访问外网时,无法针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。
技术实现思路
有鉴于此,本申请提出一种基于多外网出口的外网访问控制方法,对于同一用户采用不同ISP域的外网接口访问外网时,可以实现针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。本申请还提出一种接入设备,对于同一用户采用不同ISP域的外网接口访问外网时,可以实现针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。为达到上述目的,本申请实施例的技术方案是这样实现的一种基于多外网出口的外网访问控制方法,应用于一接入设备,所述接入设备与路由转发设备连接,且所述路由转发设备连接至两个以上的互联网服务提供商ISP域,该方法包括接入设备接收来自用户的认证请求报文,将所述认证请求报文发送至认证服务器进行Portal认证,所述认证请求报文中携带有所述用户选择的ISP域的信息;认证成功后,所述接入设备创建针对所述用户的访问控制列表ACL并应用到所述接入设备的入接口,其中,所述ACL中添加动作将来自所述用户的报文中的差分服务代码点DSCP值,修改为所述用户选择的ISP域所对应的DSCP值;所述接入设备接收来自所述用户的访问外网的报文,根据所述ACL规则修改所述报文中的DSCP值,并将所述报文转发至所述路由转发设备,其中,所述报文的DSCP值用于指示所述路由转发设备将所述报文重定向到该报文的DSCP值对应的ISP域的外网出口。一种接入设备,所述接入设备与路由转发设备连接,且所述路由转发设备连接至两个以上的互联网服务提供商ISP域,所述接入设备包括=Portal认证模块、访问控制列表ACL创建模块和报文转发模块,其中Portal认证模块,用于接收来自用户的认证请求报文,将所述认证请求报文发送至认证服务器进行Portal认证,所述认证请求报文中携带有所述用户选择的ISP域的信ACL处理模块,用于在认证成功后,创建针对所述用户的访问控制列表ACL并应用到本接入设备的入接口,其中,所述ACL中添加动作将来自所述用户的报文中的差分服务代码点DSCP值,修改为所述用户选择的ISP域所对应的DSCP值;报文转发模块,用于接收来自所述用户的访问外网的报文,根据所述ACL规则修改所述报文中的DSCP值,并将所述报文转发至所述路由转发设备,其中,所述报文的DSCP值用于指示所述路由转发设备将所述报文重定向到该报文的DSCP值对应的ISP域的外网出口。本申请的有益效果为,接入设备接收到来自用户的认证请求报文,发送至认证服务器认证成功后,通过在创建的访问控制列表ACL中添加动作将来自所述用户的报文中的差分服务代码点DSCP值,修改为所述用户选择的ISP域所对应的DSCP值,使得路由转发设备可以根据用户访问外网的报文的DSCP值,将所述报文重定向到对应的外网出口,从而对于同一用户采用不同ISP域的外网接口访问外网时,可以实现针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。附图说明图1为现有技术的多外网出口下的外网访问的网络拓扑结构图;图2为本申请实施例的方法流程图;图3为本申请实施例的接入设备功能结构示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下通过具体实施例并参见附图,对本专利技术进行详细说明。本申请提出一种基于多外网出口的外网访问控制方法,应用于一接入设备,所述接入设备与路由转发设备连接,且所述路由转发设备连接至两个以上的互联网服务提供商ISP 域;接入设备接收来自用户的认证请求报文,将所述认证请求报文发送至认证服务器进行Portal认证,所述认证请求报文中携带有所述用户选择的ISP域的信息;认证成功后,所述接入设备创建针对所述用户的访问控制列表ACL并应用到所述接入设备的入接口,其中,所述ACL中添加动作将来自所述用户的报文中的差分服务代码点DSCP值,修改为所述用户选择的ISP域所对应的DSCP值;所述接入设备接收来自所述用户的访问外网的报文,根据所述ACL规则修改所述报文中的DSCP值,并将所述报文转发至所述路由转发设备,其中,所述报文的DSCP值用于指示所述路由转发设备将所述报文重定向到该报文的DSCP值对应的ISP域的外网出口。本申请中,根据Portal认证登录用户所带ISP域名的不同,可以对用户访问外网的数据报文预先设置不同的DSCP值,上行路由转发设备再根据DSCP值进行策略路由,重定向到DSCP值对应的ISP域的外网出口。从而对于同一用户带不同ISP域名访问外网时,可以实现针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。所述策略路由,就是指不按照报文的目的IP进行报文转发,而是根据ACL中的策略进行报文转发。本申请实施例的方法流程如图2所示,一种基于多外网出口的外网访问控制方法,包括以下步骤步骤201 :接入 设备接收来自本文档来自技高网...
【技术保护点】
一种基于多外网出口的外网访问控制方法,应用于一接入设备,所述接入设备与路由转发设备连接,且所述路由转发设备连接至两个以上的互联网服务提供商ISP域,其特征在于,该方法包括:接入设备接收来自用户的认证请求报文,将所述认证请求报文发送至认证服务器进行Portal认证,所述认证请求报文中携带有所述用户选择的ISP域的信息;认证成功后,所述接入设备创建针对所述用户的访问控制列表ACL并应用到所述接入设备的入接口,其中,所述ACL中添加动作:将来自所述用户的报文中的差分服务代码点DSCP值,修改为所述用户选择的ISP域所对应的DSCP值;所述接入设备接收来自所述用户的访问外网的报文,根据所述ACL规则修改所述报文中的DSCP值,并将所述报文转发至所述路由转发设备,其中,所述报文的DSCP值用于指示所述路由转发设备将所述报文重定向到该报文的DSCP值对应的ISP域的外网出口。
【技术特征摘要】
1.一种基于多外网出口的外网访问控制方法,应用于一接入设备,所述接入设备与路由转发设备连接,且所述路由转发设备连接至两个以上的互联网服务提供商ISP域,其特征在于,该方法包括 接入设备接收来自用户的认证请求报文,将所述认证请求报文发送至认证服务器进行Portal认证,所述认证请求报文中携带有所述用户选择的ISP域的信息; 认证成功后,所述接入设备创建针对所述用户的访问控制列表ACL并应用到所述接入设备的入接口,其中,所述ACL中添加动作将来自所述用户的报文中的差分服务代码点DSCP值,修改为所述用户选择的ISP域所对应的DSCP值; 所述接入设备接收来自所述用户的访问外网的报文,根据所述ACL规则修改所述报文中的DSCP值,并将所述报文转发至所述路由转发设备,其中,所述报文的DSCP值用于指示所述路由转发设备将所述报文重定向到该报文的DSCP值对应的ISP域的外网出口。2.根据权利要求1所述的方法,其特征在于,所述ACL的匹配内容为所述用户的源IP地址和源MAC地址,对应的动作为允许通过、且将来自所述用户的报文中的DSCP值修改为所述用户选择的ISP域所对应的DSCP值。3.根据权利要求2所述的方法,其特征在于,所述接入设备接收来自所述用户的访问外网的报文,根据所述ACL规则修改所述报文中的DSCP值,并将所述报文转发至所述路由转发设备,包括 所述接入设备接收到来自所述用户的访问外网的报文时,将所述报文的源IP地址和源MAC地址与ACL中的源IP地址和源MAC地址进行匹配; 若匹配成功,则将所述报文中的DSCP值修改为所述用户选择的ISP域所对应的DSCP值,...
【专利技术属性】
技术研发人员:赵志佳,闫波,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。