[发明专利]一种校园网接入外部网络的实现方法、系统及装置

说明书

技术领域

本发明涉及不同网络之间的互联技术，特别涉及一种校园网接入外部网络的实现方法、系统及装置。

背景技术

随着高校网络需求不断提高，高校校园网通常在中国教育和科研计算机网(CERNET，China Education&Research Net)出口之外另增运营商网络出口；高校与其他社会力量合作建设和运营校园网同样成为趋势。校园网开始从过去的单出口(CERNET)、单认证计费管理方(校方)，逐步向多出口(CERNET出口以及一到多个运营商网络出口)、多认证计费管理方(校方及合作运营方)发展，出现了校园网多出口、多认证、多方对网络运营进行管理监督的复杂情况。

在此情况下，对于校园网接入外部网络，期望实现以下预设规则：不认证用户能够使用校园网免费资源，两类认证用户账号均可在校园网接入网上使用，其中仅校方认证的用户账号能够通过CERNET出口链路访问外部网络，仅合作运营方认证的用户账号能够通过校园网第二出口链路访问外部网络，两类认证用户都能够通过CERNET出口直接访问CERNET中的指定范围的IP地址，以便于使用CERNET范围内的学术数据库等资源，此外校方与合作运营方均可对相关账号和网络出口进行监督管理。

对于校园网的多出口、多认证计费管理方的情况，现有的实现方法为：简化的校园网网络结构，采用二层网络结构和基于以太网的端到端协议(PPPOE)认证方式，将数据交换负担集中在宽带接入服务器(BAS)设备上；简化的认证管理，由学校或合作运营方单独进行全部认证计费管理，或将校园网分离为两个平面，分别由校方和合作运营方进行认证、管理和计费。

但是，目前这些校园网接入外部网络的实现方法存在问题，这是因为：

对于简化的校园网的网络结构，由于校园网用户和家庭网络用户的网络使用情况不同，校园网内存在大量的内部数据交换与资源共享情况，采用二层网络及PPPOE认证使得BAS负担过重，而且不利于校园网的安全；

对于简化的认证管理，多方共同建立的校园网，由一方独立认证计费，即使给另一方以客户端查询权限，由于工作量的原因仍然不易做到全面监督；如果由两个认证方各自对所投资建设的部分校园网进行独立管理，则存在重复建设、资源无法共享、校方对部分校园网使用情况无法管理监督的问题，对于校方购买的基于学校IP地址认证的学术数据库资源，非校方认证的用户则难以访问。

综上，对于多出口及多认证的校园网，现有方法无法在上文所设定的规则下接入外部网络。

发明内容

有鉴于此，本发明提供一种校园网接入外部网络的实现方法，该方法能够实现具有多出口及多认证的校园网，使得该校园网在设定规则下接入外部网络。

本发明还提供一种校园网接入外部网络的系统，该系统能够实现具有多出口及多认证的校园网，使得该校园网在设定规则下接入外部网络。

本发明还提供一种校园网接入外部网络的认证网关，该认证网关能够实现具有多出口及多认证的校园网，使得该校园网在设定规则下接入外部网络。

为达到上述目的，本发明实施例的技术方案具体是这样实现的：

一种校园网接入外部网络的实现方法，在校园网中设置认证网关，根据账号类别进行认证和路由，该方法还包括：

A、认证网关接收到校园网内终端发送的网络访问请求，根据目的地址确定是否为校园网内地址，如果是，执行步骤B，否则，执行步骤C；

B、认证网关将该终端访问网络的数据包路由指向校园网内；

C、认证网关向该终端推送web认证登陆页，接收该用户通过该页面返回的账号类别、账号及密码，确认账号类别如果是校方认证的I类账号，则执行步骤D；否则执行步骤E；

D、认证网关向校方的本地认证计费服务器发起认证请求，提供用户的账号及密码，认证通过后，将该终端访问网络的数据包路由指向校园网第一出口，控制用户通过校园网的第一出口访问外部网络中国教育和科研计算机网CERNET；

E、认证网关向合作运营方的远程认证计费服务器发起认证请求，提供用户的账号及密码，认证通过后，将该终端访问网络的数据包路由指向校园网第二出口，控制该用户通过校园网的第二出口访问外部网络运营商网络。

所述步骤E在将该终端访问网络的数据包路由指向校园网第二出口前，还包括：

判断该终端访问网络的数据包的目的地址是否属于CERNET内的指定地址，是则将路由指向校园网第一出口；如果否，则该终端访问网络的数据包路由指向校园网第二出口。