基于多外网出口的外网访问控制方法及接入设备

摘要

本申请公开基于多外网出口的外网访问控制方法，包括：接入设备接收来自用户的认证请求报文并将其发送至认证服务器进行Portal认证；认证成功后，接入设备创建针对该用户的ACL并应用到接入设备的入接口，所述ACL中添加动作：将来自该用户的报文中的DSCP值，修改为该用户选择的ISP域对应的DSCP值；接入设备接收来自该用户的访问外网的报文，根据所述ACL规则修改所述报文的DSCP值，将所述报文转发至路由转发设备，所述报文的DSCP值用于指示路由转发设备将所述报文重定向到该报文的DSCP值对应的ISP域的外网出口。本申请还公开一种接入设备。本申请对于同一用户带不同ISP域名访问外网时，可实现针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。

说明书

技术领域

本申请涉及控制访问技术领域，尤其涉及基于多外网出口的外网访问控制方法及 接入设备。

背景技术

一些外部局点存在至少两个外网出口，例如，如图1所示，一个某局点同时存在 两个外网出口，一个是电信网，一个是科技网。两个外网出口提供不同的访问外网的 权限及计费方式，局点用户通过科技网出口访问外网时为免费，但部分网站受限访问， 而局点用户通过电信网出口访问外网时，需要按上线时间进行计费，但没有访问限制。 对外网的访问限制由连接外网的外网出口所在路由器完成，即由如图1中的路由器RT B、RT C完成，只要保证局点用户访问外网的数据报文被转发到RT B或RT C即可。

目前，当某局点存在至少两个外网出口时，局点用户访问外网的过程为：如图1 所示，用户带ISP（Internet Service Provider，互联网服务提供商）域名登录，交换机 Switch A接收到来自用户的访问外网的报文，对所述报文进行Portal认证，认证成功， 所述报文被Switch A转发到路由器RT A后，随机选择一个外网出口RT B或RT C， 访问外网，无法根据用户登录时所带的ISP域名，选择与该ISP域名对应的外网出口 访问外网，以便于实现差异化的外网访问权限管理和计费服务。

之所以如此，是因为当用户访问外网时，无论选择外网出口RT B或RT C，用户 访问外网的数据报文目的IP地址都是相同的，所以，当所述数据报文被转发到路由器 RT A时，RT A无法根据报文的目的IP进行过滤或进行策略路由的重定向。同时，由 于用户在局点内部通过DHCP（Dynamic Host Configuration Protocol，动态主机设置协 议）动态获得IP地址，且所用的用户终端设备存在交互或变更的可能，所以设备RTA 同样无法根据所述数据报文的源IP进行过滤或策略路由的重定向。而且，对所述报文 进行Portal认证时，一般的Portal协议处理流程只能保证报文是否通过，也不能实现 不同ISP域的报文重定向到不同的外网出口。

例如，用户1登录时所带的ISP域名为电信网，但用户1进行Portal认证成功后， 访问外网的数据报文到达RTA，此时，用户1访问外网的数据报文只能随机选择一个 外网出口RT B或RT C访问外网，无法根据用户登录时所带的ISP域名（电信网）选 择对应的电信网出口RT C访问外网，从而对于同一用户采用不同ISP域的外网接口访 问外网时，无法针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。

发明内容

有鉴于此，本申请提出一种基于多外网出口的外网访问控制方法，对于同一用户 采用不同ISP域的外网接口访问外网时，可以实现针对不同的ISP域名提供差异化的 外网访问权限管理和计费服务。

本申请还提出一种接入设备，对于同一用户采用不同ISP域的外网接口访问外网 时，可以实现针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。

为达到上述目的，本申请实施例的技术方案是这样实现的：

一种基于多外网出口的外网访问控制方法，应用于一接入设备，所述接入设备与 路由转发设备连接，且所述路由转发设备连接至两个以上的互联网服务提供商ISP域， 该方法包括：

接入设备接收来自用户的认证请求报文，将所述认证请求报文发送至认证服务器 进行Portal认证，所述认证请求报文中携带有所述用户选择的ISP域的信息；

认证成功后，所述接入设备创建针对所述用户的访问控制列表ACL并应用到所述 接入设备的入接口，其中，所述ACL中添加动作：将来自所述用户的报文中的差分服 务代码点DSCP值，修改为所述用户选择的ISP域所对应的DSCP值；

所述接入设备接收来自所述用户的访问外网的报文，根据所述ACL规则修改所述 报文中的DSCP值，并将所述报文转发至所述路由转发设备，其中，所述报文的DSCP 值用于指示所述路由转发设备将所述报文重定向到该报文的DSCP值对应的ISP域的 外网出口。

一种接入设备，所述接入设备与路由转发设备连接，且所述路由转发设备连接至 两个以上的互联网服务提供商ISP域，所述接入设备包括：Portal认证模块、访问控 制列表ACL创建模块和报文转发模块，其中：

Portal认证模块，用于接收来自用户的认证请求报文，将所述认证请求报文发送至 认证服务器进行Portal认证，所述认证请求报文中携带有所述用户选择的ISP域的信 息；

ACL处理模块，用于在认证成功后，创建针对所述用户的访问控制列表ACL并 应用到本接入设备的入接口，其中，所述ACL中添加动作：将来自所述用户的报文中 的差分服务代码点DSCP值，修改为所述用户选择的ISP域所对应的DSCP值；

报文转发模块，用于接收来自所述用户的访问外网的报文，根据所述ACL规则修 改所述报文中的DSCP值，并将所述报文转发至所述路由转发设备，其中，所述报文 的DSCP值用于指示所述路由转发设备将所述报文重定向到该报文的DSCP值对应的 ISP域的外网出口。

本申请的有益效果为，接入设备接收到来自用户的认证请求报文，发送至认证服 务器认证成功后，通过在创建的访问控制列表ACL中添加动作：将来自所述用户的报 文中的差分服务代码点DSCP值，修改为所述用户选择的ISP域所对应的DSCP值， 使得路由转发设备可以根据用户访问外网的报文的DSCP值，将所述报文重定向到对 应的外网出口，从而对于同一用户采用不同ISP域的外网接口访问外网时，可以实现 针对不同的ISP域名提供差异化的外网访问权限管理和计费服务。

附图说明

图1为现有技术的多外网出口下的外网访问的网络拓扑结构图；

图2为本申请实施例的方法流程图；

图3为本申请实施例的接入设备功能结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下通过具体实施例 并参见附图，对本发明进行详细说明。

本申请提出一种基于多外网出口的外网访问控制方法，应用于一接入设备， 所述接入设备与路由转发设备连接，且所述路由转发设备连接至两个以上的互联 网服务提供商ISP域；

接入设备接收来自用户的认证请求报文，将所述认证请求报文发送至认证服 务器进行Portal认证，所述认证请求报文中携带有所述用户选择的ISP域的信息；

认证成功后，所述接入设备创建针对所述用户的访问控制列表ACL并应用到 所述接入设备的入接口，其中，所述ACL中添加动作：将来自所述用户的报文中 的差分服务代码点DSCP值，修改为所述用户选择的ISP域所对应的DSCP值；

所述接入设备接收来自所述用户的访问外网的报文，根据所述ACL规则修改 所述报文中的DSCP值，并将所述报文转发至所述路由转发设备，其中，所述报 文的DSCP值用于指示所述路由转发设备将所述报文重定向到该报文的DSCP值 对应的ISP域的外网出口。

本申请中，根据Portal认证登录用户所带ISP域名的不同，可以对用户访问外 网的数据报文预先设置不同的DSCP值，上行路由转发设备再根据DSCP值进行 策略路由，重定向到DSCP值对应的ISP域的外网出口。从而对于同一用户带不同 ISP域名访问外网时，可以实现针对不同的ISP域名提供差异化的外网访问权限管 理和计费服务。所述策略路由，就是指不按照报文的目的IP进行报文转发，而是 根据ACL中的策略进行报文转发。

本申请实施例的方法流程如图2所示，一种基于多外网出口的外网访问控制 方法，包括以下步骤：

步骤201：接入设备接收来自用户的认证请求报文，将所述认证请求报文发送 至认证服务器进行Portal认证，所述认证请求报文中携带有所述用户选择的ISP 域的信息。

对于同一用户，一般初次访问外网的报文会被接入设备重定向到Portal用户认 证界面进行认证，即接入设备会接收到来自用户的认证请求报文，将所述认证请 求报文发送至认证服务器进行Portal认证，所述认证请求报文中携带有用户选择的 ISP域的信息，认证成功后，接入设备会创建针对该用户的访问控制列表ACL。

当接入设备后续再接收到来自同一用户的访问外网的报文时，无需再进行 Portal认证，直接进行ACL匹配。

但是当该用户关机时，接入设备会删除上述创建的ACL，因此，当该用户关 机重启后，接入设备接收到来自该用户的初次访问外网的报文，仍需要对所述报 文进行Portal认证，重新创建ACL，在该用户关机之前，访问外网的报文均无需 再进行Portal认证。

步骤202：认证成功后，所述接入设备创建针对所述用户的访问控制列表ACL 并应用到所述接入设备的入接口，其中，所述ACL中添加动作：将来自所述用户 的报文中的差分服务代码点DSCP值，修改为所述用户选择的ISP域所对应的 DSCP值。

访问控制列表（Access Control List，ACL）是路由器或交换机接口的指令列 表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、 AppleTalk等。ACL中包含了匹配关系、条件和查询语句，其目的是为了对某种访 问进行控制。

DSCP为差分服务代码点，用于在每个数据包IP头部的服务类别TOS标识字 节中，利用已使用的6比特和未使用的2比特，通过编码值来区分优先级。

认证成功后，接入设备创建针对所述用户的ACL，所述ACL的匹配内容为： 所述用户的源IP地址和源MAC地址，匹配成功时对应的动作为：允许通过、且 将来自所述用户的报文中的DSCP值修改为所述用户选择的ISP域所对应的DSCP 值。

也就是说，现有技术中，Portal认证成功后，也会创建ACL规则，ACL规则 的匹配内容为：报文的源IP地址和源MAC地址，动作为：允许通过，而本申请 实施例中，在ACL规则中添加了一个动作：修改所述用户的报文中的DSCP值为 该报文携带的ISP域名（也就是该用户所选择的ISP域名）对应的DSCP值，所述 DSCP值与所述报文携带的用户的源IP地址和源MAC地址信息一起保存，这样 根据报文的源IP地址和源MAC地址可以确定为某一个ISP域的用户，并且和一 个DSCP值对应。

当接入设备接收到来自用户的访问外网的报文时，现有技术中报文的DSCP 值一般默认为0，相对于现有技术，本申请实施例很好地利用了报文的DSCP值， 即在创建的ACL中添加了DSCP值，用于标记不同外网出口对应的ISP域名。

如此，例如ISP域为电信网的用户，来自该用户的报文中的DSCP要修改成一 个数值，ISP域为科技网的用户，来自该用户的报文中的DSCP要修改成另外一个 数值，因此，可以根据不同的DSCP值来区分出不同的ISP域用户。

当有N（N为自然数）个外网出口时，ISP域名也会有N个，每个报文都会携 带自身的ISP域名，由管理员预先为每个ISP域名配置一一对应的DSCP值。

例如：预先为电信网的ISP域名（dianxin）配置一一对应的DSCP值为3，为 科技网的ISP域名（keji）配置一一对应的DSCP值为5。认证成功后，创建ACL 时，需要将默认为0的DSCP值修改为各个ISP域名对应的DSCP值，例如，若用 户选择的ISP域名为dianxin（电信），则将该报文中的DSCP值由0修改为3， 若用户选择的ISP域名为keji（科技），则将所述报文中的DSCP值由0修改为5。

在创建访问控制列表ACL之后，必须将其应用到某个接口才可开始生效，因 为ACL控制的对象是进出接口的流量。本申请实施例中，将所创建的访问控制列 表ACL规则应用于接入设备的入接口，ACL控制的对象是接入设备通过入接口接 收的报文。

步骤203：所述接入设备接收来自所述用户的访问外网的报文，根据所述ACL 规则修改所述报文中的DSCP值，并将所述报文转发至所述路由转发设备，其中， 所述报文的DSCP值用于指示所述路由转发设备将所述报文重定向到该报文的 DSCP值对应的ISP域的外网出口。

步骤202中所述接入设备创建针对所述用户的ACL并将其应用到了接入设备 的入接口，因此，后续接入设备通过入接口再接收到来自所述用户的访问外网的 报文时，需要按照所述ACL规则对所述报文进行过滤，也就是将所述报文的源IP 地址和源MAC地址与所述ACL中的源IP地址和源MAC地址进行匹配；

当所述报文的源IP地址和源MAC地址与ACL中的源IP地址和源MAC地址 对应相同时，表示匹配成功，此时，无需再进行Portal认证，只需修改所述报文中 的DSCP值为所述用户选择的ISP域名对应的DSCP值，并允许通过，即转发所述 报文至所述路由转发设备，所述报文的DSCP值用于指示所述路由转发设备将该 报文重定向到该报文的DSCP值对应的ISP域的外网出口。当所述报文的源IP地 址和源MAC地址与ACL中的源IP地址和源MAC地址匹配失败时，可以丢弃所 述报文。

所述路由转发设备接收到上述报文时，根据所述报文的DSCP值对该报文进 行重定向，正如背景技术中所述，现有技术无法根据报文的目的IP或源IP进行过 滤或进行策略路由的重定向；

但本申请实施例中，在外网出口的路由转发设备上，也就是所述路由转发设 备上，可根据报文的DSCP值做策略路由，把不同DSCP值的报文重定向到相应 不同的外网出口，由于每个ISP域与唯一的DSCP值对应，即相当于把不同ISP 域的报文重定向到了不同的外网出口，从而保证了用户通过不同ISP域名上线访 问外网时，可以走不同的外网出口。

例如，如图1所示，路由转发设备RT A接收到所述报文，若所述报文的DSCP 值为3，DSCP值为3对应的ISP域名为电信网，则将该报文重定向到电信域外网 出口RT C，若所述报文的DSCP值为5，DSCP值为5对应的ISP域名为科技网， 则将该报文重定向到科技域外网出口RT B。

此外，当所述用户关机重启后，该用户可以选择不同的ISP域名登录，从而， 接入设备需要重新创建针对该用户的ACL，且创建所述ACL时，需要修改报文的 DSCP值为所述不同的ISP域名对应的DSCP值。

本申请实施例中，接入设备在对来自用户的初次访问外网的报文进行Portal 认证成功并创建针对该用户的ACL后，若后续接收到来自同一用户的访问外网的 报文，可以直接根据报文的源IP和源MAC进行匹配，为匹配成功的数据报文修 改报文的DSCP值。

下面利用图1的网络拓扑结构对本申请方案进行举例说明。

如图1所示，这里假设用户为用户1，用户1选择使用电信网的ISP域名登录， 接入设备为Switch A，路由转发设备为RT A，Switch A与RT A连接，且RT A 连接至两个互联网服务提供商ISP域。预先为电信网的ISP域名配置对应的DSCP 值为3，为科技网的ISP域名配置对应的DSCP值为5。

Switch A接收到来自用户1的认证请求报文，将所述认证请求报文发送至认 证服务器进行Portal认证，所述认证请求报文中携带有用户1选择的ISP域的信息， 即ISP域为电信网。

认证成功后，Switch A创建针对用户1的ACL，所述ACL的匹配内容为：用 户1的源IP地址和源MAC地址，对应的动作为：允许通过、且修改来自用户1 的报文的DSCP值为3，将所述ACL应用到Switch A的入接口。

Switch A通过入接口再接收到来自用户1的访问外网的报文时，对该报文进 行过滤，也就是判断所述报文的源IP地址和源MAC地址与所述ACL中的源IP 地址和源MAC地址是否相同；若相同，则修改该报文的DSCP值为3，转发该报 文至RT A，RT A接收到该报文后，根据该报文的DSCP值=3，将该报文重定向 到对应的外网出口RT C。

用户1关机后，Switch A会删除上述ACL，若用户1再次开机，此时，用户 1若选择使用科技网的ISP域名登录，则Switch A创建针对用户1的ACL时，会 修改来自用户1的报文的DSCP值为5，而RT A也将根据报文的DSCP值=5，将 该报文重定向到对应的外网出口RT B。

本申请实施例的接入设备功能结构示意图如图3所示，一种接入设备，所述 接入设备与路由转发设备连接，且所述路由转发设备连接至两个以上的互联网服 务提供商ISP域，所述接入设备包括：Portal认证模块、访问控制列表ACL创建 模块和报文转发模块，其中：

Portal认证模块，用于接收来自用户的认证请求报文，将所述认证请求报文发 送至认证服务器进行Portal认证，所述认证请求报文中携带有所述用户选择的ISP 域的信息；

ACL处理模块，用于在认证成功后，创建针对所述用户的访问控制列表ACL 并应用到本接入设备的入接口，其中，所述ACL中添加动作：将来自所述用户的 报文中的差分服务代码点DSCP值，修改为所述用户选择的ISP域所对应的DSCP 值；

报文转发模块，用于接收来自所述用户的访问外网的报文，根据所述ACL规 则修改所述报文中的DSCP值，并将所述报文转发至所述路由转发设备，其中， 所述报文的DSCP值用于指示所述路由转发设备将所述报文重定向到该报文的 DSCP值对应的ISP域的外网出口。

较佳地，所述ACL的匹配内容为：所述用户的源IP地址和源MAC地址，对 应的动作为：允许通过、且将来自所述用户的报文中的DSCP值修改为所述用户 选择的ISP域所对应的DSCP值。

较佳地，所述报文转发模块在接收到来自所述用户的访问外网的报文时，将 所述报文的源IP地址和源MAC地址与ACL中的源IP地址和源MAC地址进行匹 配；

若匹配成功，则将所述报文中的DSCP值修改为所述用户选择的ISP域所对应 的DSCP值，转发所述报文至路由转发设备。

利用本申请方案，可以实现用户可按照所需求的外网接口访问外网，并对用 户选择使用不同外网接口访问外网时，进行区分性的认证和计费服务。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明 的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保 护的范围之内。