[发明专利]策略下发处理方法、设备、服务器和系统

说明书

技术领域

本发明涉及通信技术，尤其涉及一种策略下发处理方法、设备、服务器和系统。

背景技术

网络地址转换(Network Address Translation；以下简称：NAT)作为一个Internet工程任务组(Internet Engineering Task Force；以下简称：IETF)标准，其允许一个机构以一个地址出现在Internet上，当机构内部局域网的节点访问Internet外部资源时，NAT将数据包的节点IP地址转化为机构对外的IP地址，在这个过程中，NAT设备建立动态的NAT映射表，使从Internet返回的报文能通过映射表中的关系转发到机构内部的相应节点上，实现网络互通。NAT映射方式分为IP地址映射和端口映射两种，IP地址映射是传统的NAT映射方式，是一对一的地址映射，一般机构申请1个IP地址，不能同时满足所有的机构内部与外部网络通讯的需求；端口映射即网络地址端口转换(NAPT，Network Address Port Translation)，可以将机构内的多个地址映射到同一个外部地址，可满足机构内部所有节点与外部网络通讯的需求。

图1为现有技术中普教城域网的网络接入结构示意图，如图1所示，在现有普教城域网接入方案中，下属学校都已有自己局域网的规划，在不改变下属学校网络环境的基础上，需要在各局域网的网络出口处统一部署NAT设备，以统一接入到教育网中。为了对局域网中各用户PC进行web认证，通常在教育网服务器区统一部署网络入口(Web Portal)服务器和远程拨号用户鉴权服务(Remote Authentication Dial In User Service；以下简称：RADIUS)服务器，以方便管理。在传统的web认证过程中，web认证页面的弹出、用户名和口令的提交等行为均由用户PC端主动与Web Portal服务器进行通讯，即内网节点访问外网服务器。

然而，在实现本发明的过程中，发明人发现现有技术中至少存在如下缺陷：在用户认证成功后，Web Portal服务器向web认证设备下发权限时，用户PC认证页面中携带的web认证设备的节点IP为内网IP地址，而Web Portal服务器中无内网IP地址的路由信息，导致路由不可达；web认证设备不主动与Web Portal服务器通讯，因此不会建立NAT映射表，导致外网服务器无法访问内网节点。

发明内容

本发明提供一种策略下发处理方法、设备、服务器和系统，用以解决现有技术中Web Portal服务器中无内网IP地址的路由信息导致的路由不可达等缺陷，通过外网服务器穿越NAT设备下发策略，实现外网服务器能够主动访问内网节点。

本发明提供一种策略下发处理方法，包括：

对用户终端发送的重定向请求进行分析，提取所述用户终端的IP三元组信息；

在用户认证成功后，根据所述用户终端的IP三元组信息和认证信息更新网络地址转换NAT策略数据库中的NAT策略，并将所述NAT策略同步到NAT设备上；

根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略向网络web认证设备下发网络web策略数据包。

本发明提供一种网络入口Web Portal服务器，包括策略分析器、策略操作器、网络地址转换NAT策略数据库和策略管理模块，其中：

所述策略分析器用于对用户终端发送的重定向请求进行分析，提取所述用户终端的IP三元组信息；

所述策略操作器用于在用户认证成功后，根据所述用户终端的IP三元组信息和认证信息更新NAT策略数据库中的NAT策略，并将所述NAT策略同步到NAT设备上；

所述策略管理模块用于根据同步后的NAT策略数据库中与所述用户终端对应的NAT策略向网络web认证设备下发网络web策略数据包。

本发明提供一种网络地址转换NAT设备，包括：

接收模块，用于接收网络入口Web Portal服务器发送的同步通告；

同步模块，用于根据所述同步通告与NAT策略数据库中的NAT策略进行同步，以使所述Web Portal服务器根据同步后的NAT策略数据库中与用户终端对应的NAT策略向网络web认证设备下发网络web策略数据包；

其中，所述NAT策略为在用户认证成功后，所述Web Portal服务器根据用户终端的IP三元组信息和认证信息更新后的NAT策略数据库中的NAT策略，所述IP三元组信息为所述Web Portal服务器对所述用户终端发送的重定向请求进行分析而提取到的。