專利名稱:一種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)方法�、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及不同網(wǎng)絡(luò)之間的互聯(lián)技術(shù),特別涉及一種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)方法�、系統(tǒng)及裝置。
背景技術(shù):
隨著高校網(wǎng)絡(luò)需求不斷提高�����,高校校園網(wǎng)通常在中國教育和科研計算機網(wǎng) (CERNET, China Education&Research Net)出口之外另增運營商網(wǎng)絡(luò)出口 �����;高校與其他社會力量合作建設(shè)和運營校園網(wǎng)同樣成為趨勢。校園網(wǎng)開始從過去的單出口(CERNET)��、單認證計費管理方(校方)�,逐步向多出口(CERNET出口以及一到多個運營商網(wǎng)絡(luò)出口)���、多認證計費管理方(校方及合作運營方)發(fā)展��,出現(xiàn)了校園網(wǎng)多出口����、多認證��、多方對網(wǎng)絡(luò)運營進行管理監(jiān)督的復雜情況���。在此情況下�����,對于校園網(wǎng)接入外部網(wǎng)絡(luò)�����,期望實現(xiàn)以下預(yù)設(shè)規(guī)則不認證用戶能夠使用校園網(wǎng)免費資源���,兩類認證用戶賬號均可在校園網(wǎng)接入網(wǎng)上使用����,其中僅校方認證的用戶賬號能夠通過CERNET出口鏈路訪問外部網(wǎng)絡(luò)���,僅合作運營方認證的用戶賬號能夠通過校園網(wǎng)第二出口鏈路訪問外部網(wǎng)絡(luò)��,兩類認證用戶都能夠通過CERNET出口直接訪問 CERNET中的指定范圍的IP地址����,以便于使用CERNET范圍內(nèi)的學術(shù)數(shù)據(jù)庫等資源�,此外校方與合作運營方均可對相關(guān)賬號和網(wǎng)絡(luò)出口進行監(jiān)督管理。對于校園網(wǎng)的多出口��、多認證計費管理方的情況����,現(xiàn)有的實現(xiàn)方法為簡化的校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu),采用二層網(wǎng)絡(luò)結(jié)構(gòu)和基于以太網(wǎng)的端到端協(xié)議(PPPOE)認證方式���,將數(shù)據(jù)交換負擔集中在寬帶接入服務(wù)器(BAQ設(shè)備上���;簡化的認證管理�����,由學?���;蚝献鬟\營方單獨進行全部認證計費管理�,或?qū)⑿@網(wǎng)分離為兩個平面�,分別由校方和合作運營方進行認證、
管理和計費��。但是����,目前這些校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)方法存在問題,這是因為對于簡化的校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)�����,由于校園網(wǎng)用戶和家庭網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)使用情況不同��,校園網(wǎng)內(nèi)存在大量的內(nèi)部數(shù)據(jù)交換與資源共享情況���,采用二層網(wǎng)絡(luò)及PPPOE認證使得BAS負擔過重��,而且不利于校園網(wǎng)的安全���;對于簡化的認證管理�����,多方共同建立的校園網(wǎng)���,由一方獨立認證計費,即使給另一方以客戶端查詢權(quán)限��,由于工作量的原因仍然不易做到全面監(jiān)督�;如果由兩個認證方各自對所投資建設(shè)的部分校園網(wǎng)進行獨立管理,則存在重復建設(shè)�����、資源無法共享�����、校方對部分校園網(wǎng)使用情況無法管理監(jiān)督的問題�����,對于校方購買的基于學校IP地址認證的學術(shù)數(shù)據(jù)庫資源,非校方認證的用戶則難以訪問�。綜上,對于多出口及多認證的校園網(wǎng)��,現(xiàn)有方法無法在上文所設(shè)定的規(guī)則下接入外部網(wǎng)絡(luò)�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供一種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)方法�,該方法能夠?qū)崿F(xiàn)具有多出口及多認證的校園網(wǎng),使得該校園網(wǎng)在設(shè)定規(guī)則下接入外部網(wǎng)絡(luò)����。本發(fā)明還提供一種校園網(wǎng)接入外部網(wǎng)絡(luò)的系統(tǒng)�����,該系統(tǒng)能夠?qū)崿F(xiàn)具有多出口及多認證的校園網(wǎng)��,使得該校園網(wǎng)在設(shè)定規(guī)則下接入外部網(wǎng)絡(luò)���。本發(fā)明還提供一種校園網(wǎng)接入外部網(wǎng)絡(luò)的認證網(wǎng)關(guān)���,該認證網(wǎng)關(guān)能夠?qū)崿F(xiàn)具有多出口及多認證的校園網(wǎng)���,使得該校園網(wǎng)在設(shè)定規(guī)則下接入外部網(wǎng)絡(luò)。為達到上述目的�,本發(fā)明實施例的技術(shù)方案具體是這樣實現(xiàn)的一種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)方法,在校園網(wǎng)中設(shè)置認證網(wǎng)關(guān)��,根據(jù)賬號類別進行認證和路由�����,該方法還包括A����、認證網(wǎng)關(guān)接收到校園網(wǎng)內(nèi)終端發(fā)送的網(wǎng)絡(luò)訪問請求,根據(jù)目的地址確定是否為校園網(wǎng)內(nèi)地址��,如果是�,執(zhí)行步驟B,否則�����,執(zhí)行步驟C �;B、認證網(wǎng)關(guān)將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)內(nèi)�;C����、認證網(wǎng)關(guān)向該終端推送web認證登陸頁���,接收該用戶通過該頁面返回的賬號類另|J����、賬號及密碼�,確認賬號類別如果是校方認證的I類賬號,則執(zhí)行步驟D ��;否則執(zhí)行步驟 E ��;D��、認證網(wǎng)關(guān)向校方的本地認證計費服務(wù)器發(fā)起認證請求���,提供用戶的賬號及密碼,認證通過后��,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第一出口�,控制用戶通過校園網(wǎng)的第一出口訪問外部網(wǎng)絡(luò)中國教育和科研計算機網(wǎng)CERNET ;E����、認證網(wǎng)關(guān)向合作運營方的遠程認證計費服務(wù)器發(fā)起認證請求����,提供用戶的賬號及密碼��,認證通過后��,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第二出口��,控制該用戶通過校園網(wǎng)的第二出口訪問外部網(wǎng)絡(luò)運營商網(wǎng)絡(luò)����。所述步驟E在將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第二出口前,還包括判斷該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包的目的地址是否屬于CERNET內(nèi)的指定地址�,是則將路由指向校園網(wǎng)第一出口 ;如果否���,則該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第二出所述校園網(wǎng)的第二出口設(shè)置接入控制網(wǎng)關(guān)�,步驟E所述控制該用戶通過校園網(wǎng)的第二出口訪問外部網(wǎng)絡(luò)的過程為接入控制網(wǎng)關(guān)在線偵聽遠程認證計費服務(wù)器的認證成功信息���,根據(jù)偵聽的認證成功信息確定認證成功用戶的數(shù)據(jù)包�����,透傳認證成功用戶的數(shù)據(jù)包����,阻斷未認證用戶數(shù)據(jù)包。一種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)系統(tǒng)�����,包括校園網(wǎng)接入網(wǎng)����、認證網(wǎng)關(guān)、核心交換機��、本地認證計費服務(wù)器����、校園網(wǎng)第一出口、校園網(wǎng)第二出口����、遠程認證計費服務(wù)器及接入控制網(wǎng)關(guān)���,其中��,校園網(wǎng)接入網(wǎng)���,采用三層網(wǎng)絡(luò)結(jié)構(gòu)��,用于為用戶提供網(wǎng)絡(luò)服務(wù)�;認證網(wǎng)關(guān)�,用于接收校園網(wǎng)內(nèi)終端發(fā)送的網(wǎng)絡(luò)訪問請求,當網(wǎng)絡(luò)訪問的目的地址為校園網(wǎng)外部地址時��,向該終端推送web認證登陸頁�����,接收用戶通過該頁面返回的賬號類別及賬號�����,確認賬號類別如果賬號類別是校方認證的I類賬號�����,向本地認證計費服務(wù)器發(fā)起認證請求����,認證通過后��,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第一出口����,如果否�����, 向遠程計費服務(wù)器發(fā)起認證���,通過后���,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第二出 Π ;校園網(wǎng)核心交換機���,用于根據(jù)設(shè)定的路由策略將數(shù)據(jù)包傳輸?shù)较鄳?yīng)網(wǎng)絡(luò)中��;
校園網(wǎng)第一出口�,歸屬于校方�,用于連接校園網(wǎng)和外部網(wǎng)絡(luò)CERNET,傳輸校園網(wǎng)的數(shù)據(jù)包�;校園網(wǎng)第二出口���,歸屬于合作運營方���,用于連接校園網(wǎng)和外部網(wǎng)絡(luò)運營商網(wǎng)絡(luò)��,傳輸校園網(wǎng)的數(shù)據(jù)包��;本地認證計費服務(wù)器���,歸屬于校方,用于對I類賬號用戶進行認證計費���;遠程認證計費服務(wù)器��,歸屬于合作運營方��,用于對II類賬號進行認證計費��。該系統(tǒng)還包括接入控制網(wǎng)關(guān)����,用于在線偵聽遠程認證計費服務(wù)器的認證成功信息�,透傳認證成功用戶的數(shù)據(jù)包��,阻斷未認證用戶數(shù)據(jù)包����。所述認證網(wǎng)關(guān)�,還用于當網(wǎng)絡(luò)訪問的目的地址為校園內(nèi)地址時,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包通過校園網(wǎng)核心交換機轉(zhuǎn)發(fā)至校園網(wǎng)內(nèi)的目的地址��。一種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)裝置認證網(wǎng)關(guān)��,包括接入控制模塊�、Web認證頁服務(wù)、認證鑒權(quán)�、路由模塊,其中����,接入控制模塊,用于檢測使用發(fā)起網(wǎng)絡(luò)訪問請求的終端的用戶是否已通過身份認證�,如果否,則攔截未授權(quán)用戶的訪問請求�,通知Web認證頁服務(wù)模塊;如果是��,則放行�,根據(jù)從認證鑒權(quán)模塊接收的控制策略����,將對該終端的數(shù)據(jù)包的路由策略發(fā)給路由模塊�����。Web認證頁服務(wù)模塊��,用于向終端推送web認證登錄界面���,接收該用戶提交的賬號類別���、帳戶及密碼,識別該用戶的帳號類別�,轉(zhuǎn)發(fā)該用戶的賬號及密碼到認證鑒權(quán)模塊,將認證鑒權(quán)模塊返回的認證結(jié)果通過推送web頁方式通知該用戶����;認證鑒權(quán)模塊,用于接收來自web認證頁服務(wù)模塊的該用戶的賬號及密碼�����,提交到相應(yīng)的認證計費服務(wù)器進行認證�,根據(jù)返回的認證結(jié)果�,結(jié)合不同用戶類型下發(fā)相應(yīng)的控制策略到接入控制模塊�����,同時將認證結(jié)果返回給web認證頁服務(wù)模塊��;路由模塊�,根據(jù)預(yù)置路由策略原則,結(jié)合接入控制模塊提供的該終端的路由策略����, 進行路由選擇。所述路由模塊����,還用于維護通過認證的用戶賬號的在線列表信息,包括該賬號的賬號名稱�、登錄對應(yīng)使用的源IP地址,及對應(yīng)的認證標識�,根據(jù)在線列表信息中賬號的認證標識與源IP地址,依據(jù)目的地址和預(yù)設(shè)的基于賬號類型的路由策略原則���,進行路由選擇及轉(zhuǎn)發(fā)�����。由上述技術(shù)方案可見��,本發(fā)明在校園網(wǎng)接入網(wǎng)具有三層網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上�,保證不認證用戶能夠使用校園網(wǎng)的免費網(wǎng)絡(luò)資源,保證兩類認證用戶賬號可同時在校園網(wǎng)接入網(wǎng)上使用�,兩類用戶都能夠通過CERNET出口直接訪問CERNET網(wǎng)內(nèi)的指定范圍的IP地址, 以便于使用CERNET范圍內(nèi)的學術(shù)數(shù)據(jù)庫等資源�����。本發(fā)明在校園網(wǎng)設(shè)置認證網(wǎng)關(guān)��,向提出訪問外部網(wǎng)絡(luò)的校園網(wǎng)用戶推送web認證頁�,根據(jù)用戶提交的賬號類型向不同認證方提交認證請求�,根據(jù)用戶賬號認證結(jié)果及目標地址進行路由選擇與轉(zhuǎn)發(fā),使兩類賬號分別使用不同的校園網(wǎng)出口訪問外部網(wǎng)絡(luò)���,也使校方通過設(shè)置在本地的認證網(wǎng)關(guān)可以全面監(jiān)督校園網(wǎng)兩類用戶情況�。本發(fā)明在校園網(wǎng)的第二出口設(shè)置接入控制網(wǎng)關(guān)��,實時偵聽認證情況��,阻斷未認證數(shù)據(jù)包�,從而使合作運營方不僅能夠?qū)I類賬號用戶進行認證管理��,還可以限制僅有認證過的II類賬號用戶數(shù)據(jù)流通過校園網(wǎng)第二出口���。因此,本發(fā)明提供的方法���、系統(tǒng)及裝置實現(xiàn)多出口��、多認證的校園網(wǎng)��,使得該校園網(wǎng)在滿足上文所述預(yù)設(shè)規(guī)則的情況下接入外部網(wǎng)絡(luò)����,使得校園網(wǎng)在需要多認證管理的情況下����,能夠基于用戶賬號進行路由控制,精確解決認證與路由相關(guān)問題����,保證了校園網(wǎng)資源開放共享、靈活控制及合理管理監(jiān)督�,也避免了現(xiàn)有方法的BAS負擔過重及合作雙方無法管理監(jiān)督的問題。
圖1為本發(fā)明提供的校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)系統(tǒng)結(jié)構(gòu)示意圖;圖2為本發(fā)明提供的認證網(wǎng)關(guān)功能模塊示意圖���;圖3為本發(fā)明提供的校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)系統(tǒng)實施例示意圖�����;圖4為本發(fā)明提供的校園網(wǎng)接入外部網(wǎng)絡(luò)的方法流程圖����;圖5為本發(fā)明提供的校園網(wǎng)接入外部網(wǎng)絡(luò)的方法實施例流程圖�。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白��,以下參照附圖并舉實施例�,對本發(fā)明作進一步詳細說明�����。從現(xiàn)有技術(shù)可以看出��,在校園網(wǎng)中采用二層網(wǎng)絡(luò)結(jié)構(gòu)和PPPOE認證方式�����,導致了所有數(shù)據(jù)包都經(jīng)過BAS進行交換處理,BAS負擔過重���,同時也只能由一個認證方統(tǒng)一進行認證計費管理�����,另一合作運營方無法進行有效監(jiān)督���,更不可能實現(xiàn)不同類認證用戶的網(wǎng)絡(luò)訪問數(shù)據(jù)流使用不同出口鏈路的需求。因此��,目前無法真正在校園網(wǎng)中實現(xiàn)多外部網(wǎng)絡(luò)出口����、 及多認證的統(tǒng)一融合管理。因此�����,本發(fā)明為了解決這個問題��,在校園網(wǎng)設(shè)置認證網(wǎng)關(guān)�����,該認證網(wǎng)關(guān)可跨越三層網(wǎng)絡(luò)對提出訪問校外網(wǎng)絡(luò)資源的用戶推送web認證頁,根據(jù)用戶提供的賬號類別確定認證計費服務(wù)器����,由認證計費服務(wù)器認證通過后,根據(jù)用戶賬號及目的地址確定到外部網(wǎng)絡(luò)的路由���。這樣���,本發(fā)明保證了校園網(wǎng)接入網(wǎng)可以具有三層網(wǎng)絡(luò)結(jié)構(gòu),數(shù)據(jù)交換無需集中到 BAS上����,解決了校園網(wǎng)內(nèi)共享數(shù)據(jù)多造成BAS負擔過重的問題。同時�����,在保證不認證用戶能夠使用校園網(wǎng)內(nèi)的免費網(wǎng)絡(luò)資源的基礎(chǔ)上��,保證了校園網(wǎng)接入網(wǎng)上可存在兩類分別由不同認證方進行認證計費的用戶賬號�����,兩類用戶的網(wǎng)絡(luò)訪問數(shù)據(jù)流能夠準確通過不同出口鏈路訪問外部網(wǎng)絡(luò)���,兩類用戶都能夠通過CERNET出口直接訪問CERNET網(wǎng)內(nèi)的指定范圍的IP地址���,保證了各類校園網(wǎng)用戶都能夠使用CERNET范圍內(nèi)的學術(shù)數(shù)據(jù)庫等資源。此外����,校方通過設(shè)置在校內(nèi)的認證網(wǎng)關(guān)可以監(jiān)測到所有認證用戶情況;合作運營方通過設(shè)置在校園網(wǎng)第二出口的接入控制網(wǎng)關(guān)���,阻斷非法使用校園網(wǎng)第二出口的數(shù)據(jù)包�����, 從而使合作運營方不僅能夠?qū)I類賬號用戶進行認證管理�,還可以限制僅有合作運營方認證通過的用戶可以使用校園網(wǎng)第二出口鏈路��。因此校方和合作運營方均較好的實現(xiàn)了對網(wǎng)絡(luò)的監(jiān)督管理權(quán)限����。圖1為本發(fā)明提供的校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)系統(tǒng)結(jié)構(gòu)示意圖,如圖所示����,包括校園網(wǎng)接入網(wǎng)��、認證網(wǎng)關(guān)��、核心交換機���、本地認證計費服務(wù)器、校園網(wǎng)第一出口���、校園網(wǎng)第二出口����、遠程認證計費服務(wù)器及接入控制網(wǎng)關(guān)��,其中�����,校園網(wǎng)接入網(wǎng)�����,采用三層網(wǎng)絡(luò)結(jié)構(gòu)�����,用于為用戶提供網(wǎng)絡(luò)服務(wù)���;認證網(wǎng)關(guān)��,用于接收校園網(wǎng)內(nèi)終端發(fā)送的網(wǎng)絡(luò)訪問請求����,當網(wǎng)絡(luò)訪問的目的地址
7為校園網(wǎng)外部地址時�����,向該終端推送web認證登陸頁���,接收用戶通過該頁面返回的賬號類別及賬號�����,確認賬號類別如果賬號類別是校方認證的I類賬號�����,向本地認證計費服務(wù)器發(fā)起認證請求����,認證通過后,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第一出口���,如果否��, 向遠程計費服務(wù)器發(fā)起認證��,通過后���,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第二出 Π ;校園網(wǎng)核心交換機���,用于根據(jù)設(shè)定的路由策略將數(shù)據(jù)包傳輸?shù)较鄳?yīng)網(wǎng)絡(luò)中��;校園網(wǎng)第一出口����,歸屬于校方���,用于連接校園網(wǎng)和外部網(wǎng)絡(luò)CERNET�,傳輸校園網(wǎng)的數(shù)據(jù)包�����;校園網(wǎng)第二出口,歸屬于合作運營方��,用于連接校園網(wǎng)和外部網(wǎng)絡(luò)運營商網(wǎng)絡(luò)�����,傳輸校園網(wǎng)的數(shù)據(jù)包��;本地認證計費服務(wù)器��,歸屬于校方�,用于對I類賬號用戶進行認證計費���;遠程認證計費服務(wù)器�,歸屬于合作運營方��,用于對II類賬號進行認證計費���。接入控制網(wǎng)關(guān)����,用于在線偵聽遠程認證計費服務(wù)器的認證成功信息����,透傳認證成功用戶的數(shù)據(jù)包��,阻斷未認證用戶數(shù)據(jù)包���。在該系統(tǒng)中,也可以不包括接入控制網(wǎng)關(guān)��,不對第二出口的數(shù)據(jù)包認證情況進行
進一步的監(jiān)督��。在該系統(tǒng)中�,認證網(wǎng)關(guān),還用于當網(wǎng)絡(luò)訪問的目的地址為校園內(nèi)地址時��,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包通過校園網(wǎng)核心交換機轉(zhuǎn)發(fā)至校園網(wǎng)內(nèi)的目的地址�����。在該系統(tǒng)中�,還包括校內(nèi)服務(wù)器,代表校內(nèi)網(wǎng)絡(luò)資源��,當網(wǎng)絡(luò)訪問的目的地址為校內(nèi)服務(wù)器的地址時�����,認證網(wǎng)關(guān)將該終端的數(shù)據(jù)包轉(zhuǎn)向校園網(wǎng)核心交換機,繼而轉(zhuǎn)發(fā)到校內(nèi)服務(wù)器上�����。在本發(fā)明實施例中����,本地認證計費服務(wù)器即校方的認證計費服務(wù)器���,將其認證的用戶稱為I類帳號用戶���;遠程認證計費服務(wù)器即合作運營方的認證計費服務(wù)器,將其認證的用戶稱為II類賬號用戶����。在本發(fā)明實施例中,接入控制網(wǎng)關(guān)根據(jù)用戶的數(shù)據(jù)包是否屬于遠程認證計費服務(wù)器認證通過的II類賬號用戶的數(shù)據(jù)包�,決定是否允許其通過,從而保障合作運營方的對第二出口鏈路資源使用的控制����,僅經(jīng)遠程認證計費服務(wù)器認證通過的用戶的數(shù)據(jù)包能夠通過校園網(wǎng)第二出口。圖2為本發(fā)明提供的認證網(wǎng)關(guān)功能模塊示意圖,包括接入控制模塊�、Web認證頁服務(wù)、認證鑒權(quán)�、路由模塊,其中����,接入控制模塊,用于檢測使用發(fā)起網(wǎng)絡(luò)訪問請求的終端的用戶是否已通過身份認證����,如果否,則攔截未授權(quán)用戶的訪問請求����,通知Web認證頁服務(wù)模塊;如果是�,則放行,根據(jù)從認證鑒權(quán)模塊接收的控制策略���,將對該終端的數(shù)據(jù)包的路由策略發(fā)給路由模塊�����。Web認證頁服務(wù)模塊���,用于向用戶終端推送web認證登錄界面�����,接收該用戶提交的賬號類別��、帳戶及密碼�����,識別該用戶的帳號類別,轉(zhuǎn)發(fā)該用戶的賬號及密碼到認證鑒權(quán)模塊��,將認證鑒權(quán)模塊返回的認證結(jié)果通過推送web頁方式通知該用戶���;認證鑒權(quán)模塊���,用于接收來自web認證頁服務(wù)模塊的該用戶的賬號及密碼,提交到相應(yīng)的認證計費服務(wù)器進行認證�����,根據(jù)返回的認證結(jié)果�����,結(jié)合不同用戶類型下發(fā)相應(yīng)的控制策略到接入控制模塊,同時將認證結(jié)果返回給web認證頁服務(wù)模塊�����;
路由模塊�����,根據(jù)預(yù)置路由策略原則�����,結(jié)合接入控制模塊提供的該終端的路由策略�, 進行路由選擇。在該實施例中�,路由模塊的具體實施方式
為維護通過認證的用戶賬號的在線列表信息,包括該賬號的賬號名稱����、登錄對應(yīng)使用的源IP地址,及對應(yīng)的認證標識����,根據(jù)在線列表信息中賬號的認證標識與源IP地址�,判斷目的地址�����,依據(jù)預(yù)設(shè)的基于賬號類型的路由策略原則��,進行路由選擇及轉(zhuǎn)發(fā)����。圖3為本發(fā)明提供的校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)系統(tǒng)實施例示意圖,如圖所示���, 該示意圖包括了校園接入網(wǎng)����,在校園接入網(wǎng)中具有接入網(wǎng)核心交換機�����;認證網(wǎng)關(guān)��;作為核心交換機的校園網(wǎng)核心交換機�����,可以由校園網(wǎng)服務(wù)器群組成�����;作為本地認證計費服務(wù)器的校園認證服務(wù)器�����;接入控制網(wǎng)關(guān)��;作為遠程認證計費服務(wù)器的運營商認證服務(wù)器����;校園網(wǎng)第一出口及校園網(wǎng)第二出口,該系統(tǒng)的交互方式與圖1所述的方式相同��。在該實施例中����,校園網(wǎng)接入網(wǎng)分為有線局域網(wǎng)(LAN)和無線局域網(wǎng)(WLAN),I類賬號用戶可使用LAN�,由校方在本地認證,II類賬號用戶可使用LAN和WLAN����,由合作運營方遠程認證�����。在該實施例中�����,對于LAN接入用戶推送雙選Web認證界面�����,要求用戶選擇所持賬號類型為I類賬號還是II類賬號���,對WLAN接入用戶終端推送單選Web認證界面,即默認WLAN 接入的用戶為II類賬號����,不允許I類賬號用戶使用WLAN,由此對兩類賬號的權(quán)限在接入服務(wù)上也進行了區(qū)別��。在本發(fā)明實施例中����,校園網(wǎng)中的各類型用戶的權(quán)限和出口路由如表一所示
權(quán)利要求
1.一種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)方法�����,其特征在于,在校園網(wǎng)中設(shè)置認證網(wǎng)關(guān)�����,根據(jù)賬號類別進行認證和路由�����,該方法還包括A�����、認證網(wǎng)關(guān)接收到校園網(wǎng)內(nèi)終端發(fā)送的網(wǎng)絡(luò)訪問請求�,根據(jù)目的地址確定是否為校園網(wǎng)內(nèi)地址,如果是�����,執(zhí)行步驟B�,否則,執(zhí)行步驟C ����;B�、認證網(wǎng)關(guān)將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)內(nèi)���;C��、認證網(wǎng)關(guān)向該終端推送web認證登陸頁����,接收該用戶通過該頁面返回的賬號類別��、 賬號及密碼��,確認賬號類別如果是校方認證的I類賬號�����,則執(zhí)行步驟D ����;否則執(zhí)行步驟E ;D�����、認證網(wǎng)關(guān)向校方的本地認證計費服務(wù)器發(fā)起認證請求����,提供用戶的賬號及密碼,認證通過后��,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第一出口��,控制用戶通過校園網(wǎng)的第一出口訪問外部網(wǎng)絡(luò)中國教育和科研計算機網(wǎng)CERNET �����;E�����、認證網(wǎng)關(guān)向合作運營方的遠程認證計費服務(wù)器發(fā)起認證請求����,提供用戶的賬號及密碼,認證通過后��,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第二出口����,控制該用戶通過校園網(wǎng)的第二出口訪問外部網(wǎng)絡(luò)運營商網(wǎng)絡(luò)。
2.如權(quán)利要求1所述的方法,其特征在于�����,所述步驟E在將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第二出口前�����,還包括 判斷該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包的目的地址是否屬于CERNET內(nèi)的指定地址���,是則將路由指向校園網(wǎng)第一出口 ����;如果否�,則該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第二出口。
3.如權(quán)利要求1所述的方法�����,其特征在于����,所述校園網(wǎng)的第二出口設(shè)置接入控制網(wǎng)關(guān), 步驟E所述控制該用戶通過校園網(wǎng)的第二出口訪問外部網(wǎng)絡(luò)的過程為接入控制網(wǎng)關(guān)在線偵聽遠程認證計費服務(wù)器的認證成功信息�,根據(jù)偵聽的認證成功信息確定認證成功用戶的數(shù)據(jù)包��,透傳認證成功用戶的數(shù)據(jù)包��,阻斷未認證用戶數(shù)據(jù)包。
4.一種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)系統(tǒng)���,其特征在于��,包括校園網(wǎng)接入網(wǎng)�����、認證網(wǎng)關(guān)���、核心交換機、本地認證計費服務(wù)器��、校園網(wǎng)第一出口���、校園網(wǎng)第二出口���、遠程認證計費服務(wù)器及接入控制網(wǎng)關(guān),其中�����,校園網(wǎng)接入網(wǎng),采用三層網(wǎng)絡(luò)結(jié)構(gòu)����,用于為用戶提供網(wǎng)絡(luò)服務(wù);認證網(wǎng)關(guān)�,用于接收校園網(wǎng)內(nèi)終端發(fā)送的網(wǎng)絡(luò)訪問請求,當網(wǎng)絡(luò)訪問的目的地址為校園網(wǎng)外部地址時��,向該終端推送web認證登陸頁�,接收用戶通過該頁面返回的賬號類別及賬號,確認賬號類別如果賬號類別是校方認證的I類賬號���,向本地認證計費服務(wù)器發(fā)起認證請求���,認證通過后,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第一出口����,如果否,向遠程計費服務(wù)器發(fā)起認證���,通過后����,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)第二出口 ;校園網(wǎng)核心交換機����,用于根據(jù)設(shè)定的路由策略將數(shù)據(jù)包傳輸?shù)较鄳?yīng)網(wǎng)絡(luò)中;校園網(wǎng)第一出口����,歸屬于校方��,用于連接校園網(wǎng)和外部網(wǎng)絡(luò)CERNET���,傳輸校園網(wǎng)的數(shù)據(jù)包�����;校園網(wǎng)第二出口�����,歸屬于合作運營方���,用于連接校園網(wǎng)和外部網(wǎng)絡(luò)運營商網(wǎng)絡(luò)���,傳輸校園網(wǎng)的數(shù)據(jù)包;本地認證計費服務(wù)器����,歸屬于校方,用于對I類賬號用戶進行認證計費��;遠程認證計費服務(wù)器�,歸屬于合作運營方,用于對II類賬號進行認證計費��。
5.如權(quán)利要求4所述的系統(tǒng)���,其特征在于��,該系統(tǒng)還包括接入控制網(wǎng)關(guān)����,用于在線偵聽遠程認證計費服務(wù)器的認證成功信息�,透傳認證成功用戶的數(shù)據(jù)包,阻斷未認證用戶數(shù)據(jù)包���。
6.如權(quán)利要求5所述的系統(tǒng)����,其特征在于,所述認證網(wǎng)關(guān)����,還用于當網(wǎng)絡(luò)訪問的目的地址為校園內(nèi)地址時,將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包通過校園網(wǎng)核心交換機轉(zhuǎn)發(fā)至校園網(wǎng)內(nèi)的目的地址����。
7.—種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)裝置認證網(wǎng)關(guān),其特征在于����,包括接入控制模塊����、 Web認證頁服務(wù)、認證鑒權(quán)�����、路由模塊����,其中����,接入控制模塊���,用于檢測使用發(fā)起網(wǎng)絡(luò)訪問請求的終端的用戶是否已通過身份認證��, 如果否����,則攔截未授權(quán)用戶的訪問請求���,通知Web認證頁服務(wù)模塊�;如果是����,則放行,根據(jù)從認證鑒權(quán)模塊接收的控制策略��,將對該終端的數(shù)據(jù)包的路由策略發(fā)給路由模塊��。Web認證頁服務(wù)模塊����,用于向終端推送web認證登錄界面��,接收該用戶提交的賬號類另IJ����、帳戶及密碼��,識別該用戶的帳號類別��,轉(zhuǎn)發(fā)該用戶的賬號及密碼到認證鑒權(quán)模塊��,將認證鑒權(quán)模塊返回的認證結(jié)果通過推送web頁方式通知該用戶���;認證鑒權(quán)模塊�����,用于接收來自web認證頁服務(wù)模塊的該用戶的賬號及密碼,提交到相應(yīng)的認證計費服務(wù)器進行認證�����,根據(jù)返回的認證結(jié)果�,結(jié)合不同用戶類型下發(fā)相應(yīng)的控制策略到接入控制模塊,同時將認證結(jié)果返回給web認證頁服務(wù)模塊;路由模塊���,根據(jù)預(yù)置路由策略原則�,結(jié)合接入控制模塊提供的該終端的路由策略����,進行路由選擇。
8.如權(quán)利要求7所述的認證網(wǎng)關(guān)�����,其特征在于�����,所述路由模塊�����,還用于維護通過認證的用戶賬號的在線列表信息���,包括該賬號的賬號名稱��、登錄對應(yīng)使用的源IP地址�����,及對應(yīng)的認證標識����,根據(jù)在線列表信息中賬號的認證標識與源IP地址,依據(jù)目的地址和預(yù)設(shè)的基于賬號類型的路由策略原則����,進行路由選擇及轉(zhuǎn)發(fā)。
全文摘要
一種校園網(wǎng)接入外部網(wǎng)絡(luò)的實現(xiàn)方法���、系統(tǒng)及裝置A�、認證網(wǎng)關(guān)接收到終端發(fā)送的網(wǎng)絡(luò)訪問請求���,如果該請求的目的地址為校園網(wǎng)內(nèi)地址���,執(zhí)行步驟B,否則�����,執(zhí)行步驟C�;B、認證網(wǎng)關(guān)將該終端訪問網(wǎng)絡(luò)的數(shù)據(jù)包路由指向校園網(wǎng)內(nèi)���;C�����、認證網(wǎng)關(guān)向使用該終端的用戶推送web認證頁���,接收用戶通過該頁面返回的賬號類別及賬號,如果是I類賬號���,則執(zhí)行步驟D�;否則執(zhí)行步驟E��;D���、認證網(wǎng)關(guān)向本地認證計費服務(wù)器發(fā)起認證請求����,認證通過后��,控制用戶通過校園網(wǎng)的第一出口訪問外部網(wǎng)絡(luò)��;E、認證網(wǎng)關(guān)向遠程認證計費服務(wù)器發(fā)起認證請求���,認證通過后����,控制該用戶通過校園網(wǎng)的第二出口訪問外部網(wǎng)絡(luò)�。本發(fā)明用于實現(xiàn)一種合作運營的校園網(wǎng)。
文檔編號H04L29/06GK102469078SQ20101053901
公開日2012年5月23日 申請日期2010年11月8日 優(yōu)先權(quán)日2010年11月8日
發(fā)明者呂吉賀, 姜雷, 王彥軍, 白玉潔, 譚華 申請人:中國移動通信集團公司