背景技术
网络地址转换(Network Address Translation,NAT)设备是一种用于在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的设备。用户分配“私网”IP地址而将“公网”IP地址交由NAT,用户统一通过NAT翻译后的IP地址访问互联网,从而大大节约了公网IP地址。运营商级NAT(Carrier Grade NAT,CGN)设备是部署在运营商网络中的NAT设备,为多个用户统一提供地址翻译的功能。
在现有技术中,CGN设备部署在运营商网络中,由运营商管理,其所支持的应用层网关(Application Layer Gateway,ALG)都是由设备商开发的。管理员通过手工配置的方式开启或关闭CGN设备上所支持的ALG,因此,所有用户能够使用的ALG的策略和种类都是相同的。另外,路由地址中的端口与地址的映射也是由用户向运营商申请后,由管理员手工配置到CGN设备上的。
可见现有技术中,所有的用户通常只能使用CGN设备上自带的ALG,而自带的ALG所能支持的应用的种类和数量是有限的。如果用户想自己开发了一个新的应用,那么这个新应用就会因为受到CGN设备的制约而不能够使用。而且,如果用户要对公网提供一个服务,比如web服务,还需要要求运营商为自己配置端口与地址的映射。
因此,基于现有的CGN设备不能允许用户按照自己的需要直接控制NAT设备的行为,从而缺少灵活性。
发明内容
本发明提供一种设备配置方法、策略服务器及网络地址转换设备,用以使用户能够灵活的控制自己要使用的NAT设备的行为特性。
本发明一方面提供一种设备配置方法,其中包括:
策略服务器接收来自于用户的登录请求后,对所述用户进行AAA认证,以验证所述用户的权限等级;
当所述权限等级为允许登录时,使所述用户登录到所述策略服务器;
登录成功后,当所述策略服务器接收到来自于所述用户的配置请求且所述权限等级为允许配置时,将所述配置请求中携带的ALG应用层网关软件包下发到CGN运营商级网络地址转换设备上,以在所述CGN设备上启用用户自定义的ALG功能。
本发明另一方面提供另一种设备配置方法,其中包括:
接收来自策略服务器的ALG软件包;
安装所述ALG软件包,以启用用户自定义的ALG功能。
本发明又一方面提供一种策略服务器,其中包括:
用户交互模块,用于接收来自于用户的登录请求和配置请求;
权限认证模块,用于根据用户交互模块接收到的所述登录请求对所述用户进行AAA认证,以验证所述用户的权限等级,当所述权限等级为允许登录时,使所述用户登录到所述策略服务器;
策略下发模块,用于当用户交互模块接收到来自于所述用户的配置请求且权限认证模块验证出的所述权限等级为允许配置时,将所述配置请求中携带的的ALG软件包下发到CGN设备上,以在所述CGN设备上启用用户自定义的ALG功能。
本发明再一方面提供一种网络地址转换设备,其中包括:
接收模块,用于接收来自策略服务器的ALG软件包;
配置模块,用于安装所述接收模块接收的ALG软件包,以启用用户自定义的ALG功能。
本发明使用户能够按照自己的需求操作NAT设备的行为特性,使NAT设备能够按照用户所配置的策略对用户的报文进行不同的操作处理,从而提高了控制的灵活性。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明所述设备配置方法实施例一的流程图,如图所示,该方法包括:
步骤110,策略服务器接收来自于用户的登录请求后,对所述用户进行AAA认证,以验证所述用户的权限等级。
具体地,所述策略服务器可以基于Web协议或安全外壳协议(Secure She11 Protocol,简称:SSH)或现有的其他安全协议来接收来自于用户的登录请求。此后,可以先向认证***发送用户权限验证请求,然后由该认证***根据所述用户权限验证请求查找所述用户的权限等级并回复给所述策略服务器。其中,所述认证***为验证、授权和记账(Authentication、Authorization、Accounting,简称:AAA)***。
步骤120,当所述权限等级为允许登录时,使所述用户登录到所述策略服务器。
步骤130,登录成功后,当所述策略服务器接收到来自于所述用户的配置请求且所述权限等级为允许配置时,将所述配置请求中携带的的ALG应用层网关软件包下发到CGN运营商级网络地址转换设备上,以在所述CGN设备上启用用户自定义的ALG功能。
此后,所述CGN设备将接收到的ALG软件包安装到该CGN设备上,以实现对ALG操作的控制。本发明实施例中的CGN设备设置有软件开发工具包(Software Development Kit,简称:SDK)功能,可以接收并安装用户配置的ALG软件包。
本实施例所述方法使用户能够按照自己的需求操作NAT设备的行为特性,使NAT设备能够按照用户所配置的策略对用户的报文进行不同的操作处理,从而提高了控制的灵活性。
图2为本发明所述设备配置方法实施例二的流程图,如图所示,包括如下步骤:
步骤210,接收来自策略服务器的ALG软件包。
其中,所述ALG软件包携带于用户在登录成功后发送给所述策略服务器的配置请求中。
步骤220,安装所述ALG软件包,以启用用户自定义的ALG功能。
另外,可选地,还可以进一步包括如下步骤:
步骤230,设置程序开发接口,以使用户能基于所述程序开发接口,开发所述ALG软件包,并通过所述程序开发接口进行安装。
本实施例所述方法使用户能够按照自己的需求操作NAT设备的行为特性,使NAT设备能够按照用户所配置的策略对用户的报文进行不同的操作处理,从而提高了控制的灵活性,并且使网络地址转换设备具备自定义功能。
图3为本发明所述通信***实施例的结构示意图,为了实现上述方法,如图所示,该***包括:策略服务器10、认证***20和CGN设备30,例如可以通过宽带远程接入服务器(Broadband Remote Access Server,简称:BRAS)与私网中的用户通信连接。其中,如图4所示,策略服务器10包括:用户交互模块11、权限认证模块12和策略下发模块13,其工作原理如下:
策略服务器10的用户交互模块11接收来自于用户的登录请求后,由权限认证模块12根据用户交互模块11接收到的所述登录请求对所述用户进行AAA认证,以验证所述用户的权限等级。具体地,如图5所示,权限认证模块12先通过发送单元1201向认证***20发送用户权限验证请求;所述认证***20根据来自于所述策略服务器10的用户权限验证请求查找相应用户的权限等级并回复给所述策略服务器10;此后,权限认证模块12通过接收单元1202接收由所述认证***20回复的所述用户的权限等级。当所述权限等级为允许登录时,使所述用户登录到所述策略服务器10。
登录成功后,当用户交互模块11接收到来自于所述用户的配置请求且权限认证模块12验证出的所述权限等级为允许配置时,由策略下发模块13将所述配置请求中携带的ALG软件包下发到CGN设备30上。
此后,如图6所示,CGN设备30通过接收模块31接收来自所述策略服务器10的ALG软件包;然后由配置模块32安装所述接收模块31接收的ALG软件包,以启用用户自定义的ALG功能。
另外,该CGN设备30中还可以进一步设置有程序开发接口33,用于提供程序开发接口,以使用户能基于所述程序开发接口,开发ALG软件包,并通过所述程序开发接口进行安装,从而提高该CGN设备30的自定义性能。
本实施例所述***使用户能够按照自己的需求操作NAT设备的行为特性,使NAT设备能够按照用户所配置的策略对用户的报文进行不同的操作处理,从而提高了控制的灵活性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。