技術領域

本申請涉及控制訪問技術領域，尤其涉及基于多外網出口的外網訪問控制方法及接入設備。

背景技術

一些外部局點存在至少兩個外網出口，例如，如圖1所示，一個某局點同時存在兩個外網出口，一個是電信網，一個是科技網。兩個外網出口提供不同的訪問外網的權限及計費方式，局點用戶通過科技網出口訪問外網時為免費，但部分網站受限訪問，而局點用戶通過電信網出口訪問外網時，需要按上線時間進行計費，但沒有訪問限制。對外網的訪問限制由連接外網的外網出口所在路由器完成，即由如圖1中的路由器RTB、RT?C完成，只要保證局點用戶訪問外網的數據報文被轉發到RT?B或RT?C即可。

目前，當某局點存在至少兩個外網出口時，局點用戶訪問外網的過程為：如圖1所示，用戶帶ISP（Internet?Service?Provider，互聯網服務提供商）域名登錄，交換機Switch?A接收到來自用戶的訪問外網的報文，對所述報文進行Portal認證，認證成功，所述報文被Switch?A轉發到路由器RT?A后，隨機選擇一個外網出口RT?B或RT?C，訪問外網，無法根據用戶登錄時所帶的ISP域名，選擇與該ISP域名對應的外網出口訪問外網，以便于實現差異化的外網訪問權限管理和計費服務。

之所以如此，是因為當用戶訪問外網時，無論選擇外網出口RT?B或RT?C，用戶訪問外網的數據報文目的IP地址都是相同的，所以，當所述數據報文被轉發到路由器RT?A時，RT?A無法根據報文的目的IP進行過濾或進行策略路由的重定向。同時，由于用戶在局點內部通過DHCP（Dynamic?Host?Configuration?Protocol，動態主機設置協議）動態獲得IP地址，且所用的用戶終端設備存在交互或變更的可能，所以設備RTA同樣無法根據所述數據報文的源IP進行過濾或策略路由的重定向。而且，對所述報文進行Portal認證時，一般的Portal協議處理流程只能保證報文是否通過，也不能實現不同ISP域的報文重定向到不同的外網出口。

例如，用戶1登錄時所帶的ISP域名為電信網，但用戶1進行Portal認證成功后，訪問外網的數據報文到達RTA，此時，用戶1訪問外網的數據報文只能隨機選擇一個外網出口RT?B或RT?C訪問外網，無法根據用戶登錄時所帶的ISP域名（電信網）選擇對應的電信網出口RT?C訪問外網，從而對于同一用戶采用不同ISP域的外網接口訪問外網時，無法針對不同的ISP域名提供差異化的外網訪問權限管理和計費服務。

發明內容

有鑒于此，本申請提出一種基于多外網出口的外網訪問控制方法，對于同一用戶采用不同ISP域的外網接口訪問外網時，可以實現針對不同的ISP域名提供差異化的外網訪問權限管理和計費服務。

本申請還提出一種接入設備，對于同一用戶采用不同ISP域的外網接口訪問外網時，可以實現針對不同的ISP域名提供差異化的外網訪問權限管理和計費服務。

為達到上述目的，本申請實施例的技術方案是這樣實現的：

一種基于多外網出口的外網訪問控制方法，應用于一接入設備，所述接入設備與路由轉發設備連接，且所述路由轉發設備連接至兩個以上的互聯網服務提供商ISP域，該方法包括：

接入設備接收來自用戶的認證請求報文，將所述認證請求報文發送至認證服務器進行Portal認證，所述認證請求報文中攜帶有所述用戶選擇的ISP域的信息；

認證成功后，所述接入設備創建針對所述用戶的訪問控制列表ACL并應用到所述接入設備的入接口，其中，所述ACL中添加動作：將來自所述用戶的報文中的差分服務代碼點DSCP值，修改為所述用戶選擇的ISP域所對應的DSCP值；

所述接入設備接收來自所述用戶的訪問外網的報文，根據所述ACL規則修改所述報文中的DSCP值，并將所述報文轉發至所述路由轉發設備，其中，所述報文的DSCP值用于指示所述路由轉發設備將所述報文重定向到該報文的DSCP值對應的ISP域的外網出口。

一種接入設備，所述接入設備與路由轉發設備連接，且所述路由轉發設備連接至兩個以上的互聯網服務提供商ISP域，所述接入設備包括：Portal認證模塊、訪問控制列表ACL創建模塊和報文轉發模塊，其中：

Portal認證模塊，用于接收來自用戶的認證請求報文，將所述認證請求報文發送至認證服務器進行Portal認證，所述認證請求報文中攜帶有所述用戶選擇的ISP域的信息；