CN102158567A - 设备配置方法、策略服务器及网络地址转换设备 - Google Patents
设备配置方法、策略服务器及网络地址转换设备 Download PDFInfo
- Publication number
- CN102158567A CN102158567A CN2011100922778A CN201110092277A CN102158567A CN 102158567 A CN102158567 A CN 102158567A CN 2011100922778 A CN2011100922778 A CN 2011100922778A CN 201110092277 A CN201110092277 A CN 201110092277A CN 102158567 A CN102158567 A CN 102158567A
- Authority
- CN
- China
- Prior art keywords
- user
- alg
- equipment
- strategic server
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种设备配置方法、策略服务器及网络地址转换设备。其中方法包括:策略服务器接收来自于用户的登录请求后,对用户进行AAA认证,以验证所述用户的权限等级;当权限等级为允许登录时,使所述用户登录到所述策略服务器;登录成功后,当策略服务器接收到来自于所述用户的配置请求且所述权限等级为允许配置时,将所述配置请求中携带的ALG应用层网关软件包下发到CGN运营商级网络地址转换设备上,以在所述CGN设备上启用用户自定义的ALG功能。本发明使用户能够按照自己的需求操作NAT设备的行为特性,使NAT设备能够按照用户所配置的策略对用户的报文进行不同的操作处理,从而提高了控制的灵活性。
Description
技术领域
本发明涉及一种设备配置方法、策略服务器及网络地址转换设备。
背景技术
网络地址转换(Network Address Translation,NAT)设备是一种用于在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的设备。用户分配“私网”IP地址而将“公网”IP地址交由NAT,用户统一通过NAT翻译后的IP地址访问互联网,从而大大节约了公网IP地址。运营商级NAT(Carrier Grade NAT,CGN)设备是部署在运营商网络中的NAT设备,为多个用户统一提供地址翻译的功能。
在现有技术中,CGN设备部署在运营商网络中,由运营商管理,其所支持的应用层网关(Application Layer Gateway,ALG)都是由设备商开发的。管理员通过手工配置的方式开启或关闭CGN设备上所支持的ALG,因此,所有用户能够使用的ALG的策略和种类都是相同的。另外,路由地址中的端口与地址的映射也是由用户向运营商申请后,由管理员手工配置到CGN设备上的。
可见现有技术中,所有的用户通常只能使用CGN设备上自带的ALG,而自带的ALG所能支持的应用的种类和数量是有限的。如果用户想自己开发了一个新的应用,那么这个新应用就会因为受到CGN设备的制约而不能够使用。而且,如果用户要对公网提供一个服务,比如web服务,还需要要求运营商为自己配置端口与地址的映射。
因此,基于现有的CGN设备不能允许用户按照自己的需要直接控制NAT设备的行为,从而缺少灵活性。
发明内容
本发明提供一种设备配置方法、策略服务器及网络地址转换设备,用以使用户能够灵活的控制自己要使用的NAT设备的行为特性。
本发明一方面提供一种设备配置方法,其中包括:
策略服务器接收来自于用户的登录请求后,对所述用户进行AAA认证,以验证所述用户的权限等级;
当所述权限等级为允许登录时,使所述用户登录到所述策略服务器;
登录成功后,当所述策略服务器接收到来自于所述用户的配置请求且所述权限等级为允许配置时,将所述配置请求中携带的ALG应用层网关软件包下发到CGN运营商级网络地址转换设备上,以在所述CGN设备上启用用户自定义的ALG功能。
本发明另一方面提供另一种设备配置方法,其中包括:
接收来自策略服务器的ALG软件包;
安装所述ALG软件包,以启用用户自定义的ALG功能。
本发明又一方面提供一种策略服务器,其中包括:
用户交互模块,用于接收来自于用户的登录请求和配置请求;
权限认证模块,用于根据用户交互模块接收到的所述登录请求对所述用户进行AAA认证,以验证所述用户的权限等级,当所述权限等级为允许登录时,使所述用户登录到所述策略服务器;
策略下发模块,用于当用户交互模块接收到来自于所述用户的配置请求且权限认证模块验证出的所述权限等级为允许配置时,将所述配置请求中携带的的ALG软件包下发到CGN设备上,以在所述CGN设备上启用用户自定义的ALG功能。
本发明再一方面提供一种网络地址转换设备,其中包括:
接收模块,用于接收来自策略服务器的ALG软件包;
配置模块,用于安装所述接收模块接收的ALG软件包,以启用用户自定义的ALG功能。
本发明使用户能够按照自己的需求操作NAT设备的行为特性,使NAT设备能够按照用户所配置的策略对用户的报文进行不同的操作处理,从而提高了控制的灵活性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述设备配置方法实施例一的流程图;
图2为本发明所述设备配置方法实施例二的流程图;
图3为本发明所述通信***实施例的结构示意图;
图4为图3所示策略服务器10的结构示意图;
图5为图4所示权限认证模块12的结构示意图;
图6为图3所示CGN设备30的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明所述设备配置方法实施例一的流程图,如图所示,该方法包括:
步骤110,策略服务器接收来自于用户的登录请求后,对所述用户进行AAA认证,以验证所述用户的权限等级。
具体地,所述策略服务器可以基于Web协议或安全外壳协议(Secure She11 Protocol,简称:SSH)或现有的其他安全协议来接收来自于用户的登录请求。此后,可以先向认证***发送用户权限验证请求,然后由该认证***根据所述用户权限验证请求查找所述用户的权限等级并回复给所述策略服务器。其中,所述认证***为验证、授权和记账(Authentication、Authorization、Accounting,简称:AAA)***。
步骤120,当所述权限等级为允许登录时,使所述用户登录到所述策略服务器。
步骤130,登录成功后,当所述策略服务器接收到来自于所述用户的配置请求且所述权限等级为允许配置时,将所述配置请求中携带的的ALG应用层网关软件包下发到CGN运营商级网络地址转换设备上,以在所述CGN设备上启用用户自定义的ALG功能。
此后,所述CGN设备将接收到的ALG软件包安装到该CGN设备上,以实现对ALG操作的控制。本发明实施例中的CGN设备设置有软件开发工具包(Software Development Kit,简称:SDK)功能,可以接收并安装用户配置的ALG软件包。
本实施例所述方法使用户能够按照自己的需求操作NAT设备的行为特性,使NAT设备能够按照用户所配置的策略对用户的报文进行不同的操作处理,从而提高了控制的灵活性。
图2为本发明所述设备配置方法实施例二的流程图,如图所示,包括如下步骤:
步骤210,接收来自策略服务器的ALG软件包。
其中,所述ALG软件包携带于用户在登录成功后发送给所述策略服务器的配置请求中。
步骤220,安装所述ALG软件包,以启用用户自定义的ALG功能。
另外,可选地,还可以进一步包括如下步骤:
步骤230,设置程序开发接口,以使用户能基于所述程序开发接口,开发所述ALG软件包,并通过所述程序开发接口进行安装。
本实施例所述方法使用户能够按照自己的需求操作NAT设备的行为特性,使NAT设备能够按照用户所配置的策略对用户的报文进行不同的操作处理,从而提高了控制的灵活性,并且使网络地址转换设备具备自定义功能。
图3为本发明所述通信***实施例的结构示意图,为了实现上述方法,如图所示,该***包括:策略服务器10、认证***20和CGN设备30,例如可以通过宽带远程接入服务器(Broadband Remote Access Server,简称:BRAS)与私网中的用户通信连接。其中,如图4所示,策略服务器10包括:用户交互模块11、权限认证模块12和策略下发模块13,其工作原理如下:
策略服务器10的用户交互模块11接收来自于用户的登录请求后,由权限认证模块12根据用户交互模块11接收到的所述登录请求对所述用户进行AAA认证,以验证所述用户的权限等级。具体地,如图5所示,权限认证模块12先通过发送单元1201向认证***20发送用户权限验证请求;所述认证***20根据来自于所述策略服务器10的用户权限验证请求查找相应用户的权限等级并回复给所述策略服务器10;此后,权限认证模块12通过接收单元1202接收由所述认证***20回复的所述用户的权限等级。当所述权限等级为允许登录时,使所述用户登录到所述策略服务器10。
登录成功后,当用户交互模块11接收到来自于所述用户的配置请求且权限认证模块12验证出的所述权限等级为允许配置时,由策略下发模块13将所述配置请求中携带的ALG软件包下发到CGN设备30上。
此后,如图6所示,CGN设备30通过接收模块31接收来自所述策略服务器10的ALG软件包;然后由配置模块32安装所述接收模块31接收的ALG软件包,以启用用户自定义的ALG功能。
另外,该CGN设备30中还可以进一步设置有程序开发接口33,用于提供程序开发接口,以使用户能基于所述程序开发接口,开发ALG软件包,并通过所述程序开发接口进行安装,从而提高该CGN设备30的自定义性能。
本实施例所述***使用户能够按照自己的需求操作NAT设备的行为特性,使NAT设备能够按照用户所配置的策略对用户的报文进行不同的操作处理,从而提高了控制的灵活性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种设备配置方法,其特征在于,包括:
策略服务器接收来自于用户的登录请求后,对所述用户进行AAA认证,以验证所述用户的权限等级;
当所述权限等级为允许登录时,使所述用户登录到所述策略服务器;
登录成功后,当所述策略服务器接收到来自于所述用户的配置请求且所述权限等级为允许配置时,将所述配置请求中携带的ALG应用层网关软件包下发到CGN运营商级网络地址转换设备上,以在所述CGN设备上启用用户自定义的ALG功能。
2.根据权利要求1所述的方法,其特征在于,所述验证所述用户的权限等级包括:
向认证***发送用户权限验证请求;
所述认证***根据所述用户权限验证请求查找所述用户的权限等级并回复给所述策略服务器。
3.根据权利要求1所述的方法,其特征在于所述策略服务器接收来自于用户的登录请求包括:所述策略服务器基于Web协议或SSH安全外壳协议接收来自于用户的登录请求。
4.一种设备配置方法,其特征在于,包括:
接收来自策略服务器的ALG软件包;
安装所述ALG软件包,以启用用户自定义的ALG功能。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括,设置程序开发接口,以使用户能基于所述程序开发接口,开发所述ALG软件包,并通过所述程序开发接口进行安装。
6.一种策略服务器,其特征在于,包括:
用户交互模块,用于接收来自于用户的登录请求和配置请求;
权限认证模块,用于根据用户交互模块接收到的所述登录请求对所述用户进行AAA认证,以验证所述用户的权限等级,当所述权限等级为允许登录时,使所述用户登录到所述策略服务器;
策略下发模块,用于当用户交互模块接收到来自于所述用户的配置请求且权限认证模块验证出的所述权限等级为允许配置时,将所述配置请求中携带的的ALG软件包下发到CGN设备上,以在所述CGN设备上启用用户自定义的ALG功能。
7.根据权利要求6所述的策略服务器,其特征在于,所述权限认证模块包括:
发送单元,用于向认证***发送用户权限验证请求;
接收单元,用于接收由所述认证***回复的所述用户的权限等级。
8.一种网络地址转换设备,其特征在于,包括:
接收模块,用于接收来自策略服务器的ALG软件包;
配置模块,用于安装所述接收模块接收的ALG软件包,以启用用户自定义的ALG功能。
9.根据权利要求8所述的网络地址转换设备,其特征在于,所述网络地址转换设备还包括:程序开发接口,用于提供程序开发接口,以使用户能基于所述程序开发接口,开发ALG软件包,并通过所述程序开发接口进行安装。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110092277.8A CN102158567B (zh) | 2011-04-13 | 2011-04-13 | 设备配置方法、策略服务器及网络地址转换设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110092277.8A CN102158567B (zh) | 2011-04-13 | 2011-04-13 | 设备配置方法、策略服务器及网络地址转换设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102158567A true CN102158567A (zh) | 2011-08-17 |
| CN102158567B CN102158567B (zh) | 2016-08-03 |
Family
ID=44439741
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110092277.8A Active CN102158567B (zh) | 2011-04-13 | 2011-04-13 | 设备配置方法、策略服务器及网络地址转换设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102158567B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013091241A1 (en) * | 2011-12-23 | 2013-06-27 | France Telecom Research & Development Beijing Company Limited | Method, gateway and system for managing alg functionality |
| CN106503493A (zh) * | 2016-11-03 | 2017-03-15 | Tcl集团股份有限公司 | 一种应用权限管理方法及*** |
| US9736316B2 (en) | 2014-04-17 | 2017-08-15 | Institute For Information Industry | Network address translation traversal system and method for real-time communications |
| CN113518133A (zh) * | 2021-05-26 | 2021-10-19 | 北京天融信网络安全技术有限公司 | 信息配置方法、装置及通信设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1815971A (zh) * | 2005-02-03 | 2006-08-09 | 杭州华为三康技术有限公司 | 基于集中管理分布控制的绿色上网***及方法 |
| US20080074993A1 (en) * | 2006-09-27 | 2008-03-27 | Kati Vainola | UMA classmark information |
| CN101183968A (zh) * | 2006-11-14 | 2008-05-21 | 中兴通讯股份有限公司 | 一种网关设备注册及自动配置方法 |
| CN101321262A (zh) * | 2008-07-11 | 2008-12-10 | 中国网络通信集团公司 | 网络电视增值业务***及实现业务组合的方法 |
| CN101374338A (zh) * | 2007-08-25 | 2009-02-25 | 华为技术有限公司 | 一种实现用户策略自助服务的方法、实体和*** |
-
2011
- 2011-04-13 CN CN201110092277.8A patent/CN102158567B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1815971A (zh) * | 2005-02-03 | 2006-08-09 | 杭州华为三康技术有限公司 | 基于集中管理分布控制的绿色上网***及方法 |
| US20080074993A1 (en) * | 2006-09-27 | 2008-03-27 | Kati Vainola | UMA classmark information |
| CN101183968A (zh) * | 2006-11-14 | 2008-05-21 | 中兴通讯股份有限公司 | 一种网关设备注册及自动配置方法 |
| CN101374338A (zh) * | 2007-08-25 | 2009-02-25 | 华为技术有限公司 | 一种实现用户策略自助服务的方法、实体和*** |
| CN101321262A (zh) * | 2008-07-11 | 2008-12-10 | 中国网络通信集团公司 | 网络电视增值业务***及实现业务组合的方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013091241A1 (en) * | 2011-12-23 | 2013-06-27 | France Telecom Research & Development Beijing Company Limited | Method, gateway and system for managing alg functionality |
| US9736316B2 (en) | 2014-04-17 | 2017-08-15 | Institute For Information Industry | Network address translation traversal system and method for real-time communications |
| CN106503493A (zh) * | 2016-11-03 | 2017-03-15 | Tcl集团股份有限公司 | 一种应用权限管理方法及*** |
| CN106503493B (zh) * | 2016-11-03 | 2020-10-16 | Tcl科技集团股份有限公司 | 一种应用权限管理方法及*** |
| CN113518133A (zh) * | 2021-05-26 | 2021-10-19 | 北京天融信网络安全技术有限公司 | 信息配置方法、装置及通信设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102158567B (zh) | 2016-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103001999B (zh) | 用于公用云网络的私有云服务器、智能装置客户端及方法 | |
| CN108881308B (zh) | 一种用户终端及其认证方法、***、介质 | |
| CN101730987B (zh) | 使用usb密钥来管理网络组件 | |
| CN101304388B (zh) | 解决ip地址冲突的方法、装置及*** | |
| CN103095861B (zh) | 确定设备是否处于网络内部 | |
| CN102572830A (zh) | 终端接入认证的方法及用户端设备 | |
| CN102571729A (zh) | Ipv6网络接入认证方法、装置及*** | |
| CN101918926A (zh) | 用于通过虚拟ip地址访问没有可访问地址的联网装置的各种方法和设备 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和*** | |
| US9143480B2 (en) | Encrypted VPN connection | |
| CN102984045B (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| CN103428211A (zh) | 基于交换机的网络认证***及其认证方法 | |
| CN110336718A (zh) | 一种物联网设备安全快速接入管理平台的方法 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN104144096A (zh) | 虚拟网络层构建方法、装置及*** | |
| CN108712440A (zh) | 用户信息管理方法、装置、服务器及存储介质 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| CN102571811A (zh) | 用户接入权限控制***和方法 | |
| CN102158567A (zh) | 设备配置方法、策略服务器及网络地址转换设备 | |
| CN104023043B (zh) | 一种远程配置管理方法及装置 | |
| CN103973637B (zh) | 配置权限的方法、代理设备和服务器 | |
| JP2010283553A (ja) | 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム | |
| CN106331197A (zh) | 管理专线用户的方法、宽带接入服务器及管理服务器 | |
| CN101873330B (zh) | 支持IPv6/IPv4双栈接入的访问控制方法和服务器 | |
| CN105323138A (zh) | 私有云端路由服务器及智能型装置客户端架构 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220831 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |