WO2015124043A1

WO2015124043A1 - 策略执行方法、系统、策略执行设备及控制设备

Info

Publication number: WO2015124043A1
Application number: PCT/CN2015/070338
Authority: WO
Inventors: 尹保国; 张日华
Original assignee: 华为技术有限公司
Priority date: 2014-02-24
Filing date: 2015-01-08
Publication date: 2015-08-27
Also published as: CN103841221A; CN103841221B

Abstract

本发明实施例公开了策略执行方法、系统、策略执行设备及控制设备，所述方法包括：策略执行设备接收用户报文；策略执行设备通过控制设备获得与所述用户报文的公网地址对应的用户名，所述控制设备用于根据认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息生成用户名与公网地址的关联关系；策略执行设备执行与所述用户名对应的用户策略。本发明实施例中认证设备和NAT设备只需将各自保存的用户信息和地址转换信息传输到控制设备，因此节省了网络传输资源；并且，当网络架构中增加新的策略执行设备时，由于认证设备和NAT设备为无需为传输各自保存的用户信息和地址转换信息进行功能改动，因此网络架构易于扩展。

Description

策略执行方法、系统、策略执行设备及控制设备

本申请要求于2014年2月24日提交中国专利局、申请号为201410065318.8、发明名称为“策略执行方法、系统、策略执行设备及控制设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络通信技术领域，特别涉及策略执行方法、系统、策略执行设备及控制设备。

背景技术

在传统的网络地址转换(Network Address Translation，NAT)网络架构中，通常会部署用于对用户身份进行认证的认证设备，用于将私网地址转换为公网地址的NAT设备，以及若干策略执行设备，其中，策略执行设备采用基于用户名的策略信息配置方式。当用户设备接入私网后，认证设备向策略执行设备传输用户名与私网地址的对应关系，同时NAT设备向策略执行设备传输用户设备的每条连接的私网地址与转换后的公网地址和端口号的对应关系；当策略执行设备接收到用户设备传输的报文后，根据报文的公网地址和端口号查找上述对应关系，以获得与该公网地址和端口号对应的用户名，从而根据用户名获得对该报文进行处理的策略信息。

发明人在对现有技术的研究过程中发现，由于认证设备和NAT设备需要分别向每个策略执行设备传输各自保存的对应关系，因此它们与策略执行设备之间的数据传输量较大，会消耗大量的网络传输资源；并且，当网络架构中增加新的策略执行设备时，认证设备和NAT设备上均需为新增策略执行设备配置新的传输命令，并根据该传输命令将各自保存的对应关系传输到新增策略执行设备，从而导致网络架构的可扩展性较差。

发明内容

本发明实施例中提供了策略执行方法、系统、策略执行设备及控制设备，以解决现有策略执行方式容易消耗大量网络传输资源，且网络架构的可扩展性较差的问题。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

第一方面，提供一种策略执行方法，所述方法包括：

策略执行设备接收用户报文；

所述策略执行设备通过控制设备获得与所述用户报文的公网地址对应的用户名，所述控制设备用于根据认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息生成用户名与公网地址的关联关系，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述策略执行设备执行与所述用户名对应的用户策略。

结合第一方面，在第一方面的第一种可能的实现方式中，所述策略执行设备接收用户报文前，所述方法还包括：

所述策略执行设备接收所述控制设备下发的所述用户名与公网地址的关联关系；

所述策略执行设备通过控制设备获得与所述用户报文的公网地址对应的用户名，包括：

所述策略执行设备根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名。

结合第一方面，在第一方面的第二种可能的实现方式中，所述策略执行设备通过控制设备获得与所述用户报文的公网地址对应的用户名，包括：

所述策略执行设备将所述用户报文的公网地址上报给所述控制设备；

接收所述控制设备返回的与所述用户报文的公网地址对应的用户名，所述用户名为所述控制设备根据所述用户报文的公网地址查找所述关联关系后获得的用户名。

结合第一方面，或第一方面的第一种可能的实现方式，或第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述关联关系中与每个用户名对应的每个公网地址包含：公网互联网协议IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

第二方面，提供一种策略执行方法，所述方法包括：

控制设备接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述控制设备根据所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系，以使策略执行设备根据所述关联关系获得与接收到的用户报文的公网地址对应的用户名后，执行与所述用户名对应的用户策略。

结合第二方面，在第二方面的第一种可能的实现方式中，所述方法还包括：

所述控制设备向所述策略执行设备下发所述用户名与公网地址的关联关系，以使所述策略执行设备根据所述用户报文的公网地址查找所述关联关系后，获得与所述用户报文的公网地址对应的用户名。

结合第二方面，在第二方面的第二种可能的实现方式中，所述方法还包括：

所述控制设备接收所述策略执行设备上报的所述用户报文的公网地址；

所述控制设备根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名；

所述控制设备将获得的用户名发送给所述策略执行设备。

结合第二方面，或第二方面的第一种可能的实现方式，或第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，所述关联关系中与每个用户名对应的每个公网地址包含：公网IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

第三方面，提供一种策略执行系统，所述系统包括：认证设备、NAT设备、控制设备和策略执行设备，其中，

所述认证设备，用于向所述控制设备传输用户信息，所述用户信息包含用户设备的用户名与私网地址的对应关系；

所述NAT设备，用于向所述控制设备传输地址转换信息，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述控制设备，用于根据所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系；

所述策略执行设备，用于接收到用户报文时，通过所述控制设备生成的所述关联关系获得与所述用户报文的公网地址对应的用户名，并执行与所述用户名对应的用户策略。

结合第三方面，在第三方面的第一种可能的实现方式中，

所述控制设备，还用于向所述策略执行设备下发所述用户名与公网地址的关联关系；

所述策略执行设备，具体用于根据所述用户报文的公网地址查找所述关联关系后，获得与所述用户报文的公网地址对应的用户名。

结合第三方面，在第三方面的第二种可能的实现方式中，

所述策略执行设备，还用于将所述用户报文的公网地址上报给所述控制设备；

所述控制设备，还用于根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名，并将获得的用户名发送给所述策略执行设备。

结合第三方面，或第三方面的第一种可能的实现方式，或第三方面的第二种可能的实现方式，在第三方面的第三种可能的实现方式中，所述关联关系中与每个用户名对应的每个公网地址包含：公网IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

第四方面，提供一种策略执行设备，所述策略执行设备包括：

接收单元，用于接收用户报文；

获得单元，用于通过控制设备获得与所述接收单元接收到的用户报文的公网地址对应的用户名，所述控制设备用于根据认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息生成用户名与公网地址的关联关系，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

执行单元，用于执行与所述获得单元获得的用户名对应的用户策略。

结合第四方面，在第四方面的第一种可能的实现方式中，

所述接收单元，还用于接收所述控制设备下发的所述用户名与公网地址的关联关系；

所述获得单元，具体用于根据所述用户报文的公网地址查找所述接收单元接收到的所述关联关系，获得与所述用户报文的公网地址对应的用户名。

结合第四方面，在第四方面的第二种可能的实现方式中，所述获得单元包括：

地址上报子单元，用于将所述用户报文的公网地址上报给所述控制设备；

用户名获得子单元，用于接收所述控制设备返回的与所述用户报文的公网地址对应的用户名，所述用户名为所述控制设备根据所述用户报文的公网地址查找所述关联关系后获得的用户名。

结合第四方面，或第四方面的第一种可能的实现方式，或第四方面的第二种可能的实现方式，在第四方面的第三种可能的实现方式中，所述关联关系中与每个用户名对应的每个公网地址包含：公网互联网协议IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

第五方面，提供一种控制设备，所述控制设备包括：

接收单元，用于接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

生成单元，用于根据所述接收单元接收到的所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系，以使策略执行设备根据所述关联关系获得与接收到的用户报文的公网地址对应的用户名后，执行与所述用户名对应的用户策略。

结合第五方面，在第五方面的第一种可能的实现方式中，所述控制设备还包括：

第一发送单元，用于向所述策略执行设备下发所述生成单元生成的所述用户名与公网地址的关联关系，以使所述策略执行设备根据所述用户报文的公网地址查找所述关联关系后，获得与所述用户报文的公网地址对应的用户名。

结合第五方面，在第五方面的第二种可能的实现方式中，

所述接收单元，还用于接收所述策略执行设备上报的所述用户报文的公网地址；

所述控制设备还包括：

查找单元，用于根据所述接收单元接收到的所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名；

第二发送单元，用于将所述查找单元获得的用户名发送给所述策略执行设备。

结合第五方面，或第五方面的第一种可能的实现方式，或第五方面的第二种可能的实现方式，在第五方面的第三种可能的实现方式中，所述关联关系中与每个用户名对应的每个公网地址包含：公网IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

第六方面，提供一种策略执行设备，所述策略执行设备包括：网络接口和处理器，其中，

所述网络接口，用于接收用户报文；

所述处理器，用于通过控制设备获得与所述用户报文的公网地址对应的用户名，并执行与所述用户名对应的用户策略，其中，所述控制设备用于根据认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息生成用户名与公网地址的关联关系，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系。

结合第六方面，在第六方面的第一种可能的实现方式中，

所述网络接口，还用于接收所述控制设备下发的所述用户名与公网地址的关联关系；

所述处理器，具体用于根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名。

结合第六方面，在第六方面的第二种可能的实现方式中，

所述处理器，具体用于通过所述网络接口将所述用户报文的公网地址上报给所述控制设备，并接收所述控制设备返回的与所述用户报文的公网地址对应的用户名，所述用户名为所述控制设备根据所述用户报文的公网地址查找所述关联关系后获得的用户名。

结合第六方面，或第六方面的第一种可能的实现方式，或第六方面的第二种可能的实现方式，在第六方面的第三种可能的实现方式中，所述关联关系中与每个用户名对应的每个公网地址包含：公网互联网协议IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

第七方面，提供一种控制设备，所述控制设备包括：网络接口和处理器，其中，

所述网络接口，用于接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述处理器，用于根据所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系，以使策略执行设备根据所述关联关系获得与接收到的用户报文的公网地址对应的用户名后，执行与所述用户名对应的用户策略。

结合第七方面，在第七方面的第一种可能的实现方式中，

所述网络接口，还用于向所述策略执行设备下发所述用户名与公网地址的关联关系，以使所述策略执行设备根据所述用户报文的公网地址查找所述关联关系后，获得与所述用户报文的公网地址对应的用户名。

结合第七方面，在第七方面的第二种可能的实现方式中，

所述网络接口，还用于接收所述策略执行设备上报的所述用户报文的公网地址；

所述处理器，还用于根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名；

所述网络接口，还用于将所述处理器获得的用户名发送给所述策略执行设备。

结合第七方面，或第七方面的第一种可能的实现方式，或第七方面的第二种可能的实现方式，在第七方面的第三种可能的实现方式中，所述关联关系中与每个用户名对应的每个公网地址包含：公网IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

本发明实施例中，控制设备接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，并根据用户信息和地址转换信息生成用户名与公网地址的关联关系，策略执行设备根据该关联关系获得与接收到的用户报文的公网地址对应的用户名后，执行与获得的用户名对应的用户策略。应用本发明实施例，认证设备和NAT设备无需向每个策略执行设备传输各自保存的用户信息和地址转换信息，而是只需要将上述信息传输到控制设备，并由控制设备集中对信息进行处理生成用户名与公网地址的关联关系即可，因此减少了网络中的数据传输量，节省了网络传输资源；并且，当网络架构中增加新的策略执行设备时，由于认证设备和NAT设备无需为该新增策略执行设备配置传输命令及传输信息，即认证设备和NAT设备无需进行功能改动，因此网络架构易于扩展。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1A为应用本发明实施例的网络架构示意图；

图1B为本发明策略执行方法的一个实施例流程图；

图1C为本发明策略执行方法的另一个实施例流程图；

图2为本发明策略执行方法的另一个实施例流程图；

图3为本发明策略执行方法的另一个实施例流程图；

图4为本发明策略执行系统的实施例框图；

图5为本发明策略执行设备的一个实施例框图；

图6为本发明策略执行设备的另一个实施例框图；

图7为本发明控制设备的一个实施例框图；

图8为本发明控制设备的另一个实施例框图；

图9为本发明控制设备的另一个实施例框图；

图10为本发明控制设备的另一个实施例框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。

参见图1A，为应用本发明实施例的网络架构示意图：

图1A中，用户设备A通过内网(也可称为私网)Intranet接入认证设备，认证设备连接NAT设备，NAT设备连接策略执行设备，策略执行设备接入互联网(也可称为外网)Internet，其中，认证设备、NAT设备和策略执行设备均与控制设备连接，本发明实施例中的策略执行设备可以具体为路由转发设备、交换设备、网络安全设备等。其中，认证设备用于对通过用户设备接入网络的用户身份进行认证管理，并记录用户名和私网IP地址；NAT设备用于提供将私网互联网协议(Internet Protocol，IP)地址转换为公网IP地址的功能；策略执行设备用于基于用户名配置策略信息。

下面结合图1A示出的网络架构对本发明实施例进行详细描述。

参见图1B，为本发明策略执行方法的一个实施例流程图，该实施例从策略执行设备侧对策略执行过程进行描述：

步骤101：策略执行设备接收用户报文。

结合图1A可知，本发明实施例中用户报文为接入Intranet的用户设备发出的报文。

步骤102：策略执行设备通过控制设备获得与用户报文的公网地址对应的用户名，其中控制设备用于根据认证设备传输的用户信息，以及NAT设备传输的地址转换信息生成用户名与公网地址的关联关系。

本发明实施例中，当用户设备要接入Intranet，即用户通过用户设备登录Intranet时，通常会输入用户名和密码，认证设备对用户名和密码验证通过后，为该用户设备分配私网IP地址，记录包含用户名和所分配的私网IP地址的对应关系的用户信息，并将该用户信息传输给控制设备；以及，NAT设备获知用户设备登录后，将该用户设备的私网地址转换为公网地址，记录包含私网地址与公网地址的对应关系的地址转换信息，并将该地址转换信息传输给控制设备。

当控制设备获得用户信息和地址转换信息后，可以根据上述信息生成用户名及公网地址之间的关联关系。可选的，控制设备可以将上述关联关系直接下发给策略执行设备，以便策略执行设备根据用户报文的公网地址查找该关联关系，获得与所述用户报文的公网地址对应的用户名，其中，控制设备可以将生成的关联关系即刻发送给策略执行设备，也可以在接收到策略执行设备发送的请求关联关系的消息后，将生成的关联关系下发给策略执行设备；或者，策略执行设备也可以将用户报文的公网地址发送给控制设备，由控制设备查找关联关系获得与用户报文的公网地址对应的用户名，并将该用户名发送给策略执行设备。

其中，关联关系中与每个用户名对应的每个公网地址可以包含：公网IP地址和端口段，该端口段为NAT设备将用户设备的私网IP地址转换为公网IP地址时为该用户设备分配的该公网IP地址下的一段连续的端口号。可选的，NAT设备可以预先配置为端口预分配模式，即可以为每个登录网络的用户设备分配固定大小的端口段，固定大小指每个端口段中包含相同数量的端口号，用户设备在登录期间建立的每个连接都使用该端口段内的端口号；当用户设备退出登录时，NAT设备可以回收为该用户设备分配的端口段。可选的，NAT设备可以为每个用户设备分配至少一个端口段。

步骤103：策略执行设备执行与获得的用户名对应的用户策略。

本发明实施例中，策略执行设备上基于用户名配置用户策略，即策略执行设备上保存了用户名与用户策略之间的对应关系，在步骤102中策略执行设备获得与用户报文的公网地址对应的用户名后，根据该用户名查找用户名与用户策略之间的对应关系后获得的用户策略即为策略执行设备需要对用户报文执行的用户策略。

其中，用户策略可以具体包括安全策略信息、用户过滤策略信息、路由策略信息、带宽控制策略信息等，对此本发明实施例不进行限制。

由上述实施例可见，认证设备和NAT设备无需向每个策略执行设备传输各自保存的用户信息和地址转换信息，而是只需要将上述信息传输到控制设备，并由控制设备集中对信息进行处理生成用户名与公网地址的关联关系即可，因此减少了网络中的数据传输量，节省了网络传输资源；并且，当网络架构中增加新的策略执行设备时，由于认证设备和NAT设备无需为该新增策略执行设备配置传输命令及传输信息，即认证设备和NAT设备无需进行功能改动，因此网络架构易于扩展。

参见图1C，为本发明策略执行方法的另一个实施例流程图，该实施例从控制设备侧对策略执行过程进行描述：

步骤111：控制设备接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，其中，用户信息包含用户设备的用户名与私网地址的对应关系，地址转换信息包含用户设备的私网地址与转换后的公网地址的对应关系。

步骤112：控制设备根据用户信息和地址转换信息生成用户名与公网地址的关联关系，以使策略执行设备根据关联关系获得与接收到的用户报文的公网地址对应的用户名后，执行与用户名对应的用户策略。

本发明实施例中，当控制设备获得用户信息和地址转换信息后，可以根据上述信息生成用户名及公网地址之间的关联关系。可选的，控制设备可以将上述关联关系直接下发给策略执行设备，以便策略执行设备根据用户报文的公网地址查找该关联关系，获得与所述用户报文的公网地址对应的用户名，其中，控制设备可以将生成的关联关系即刻发送给策略执行设备，也可以在接收到策略执行设备发送的请求关联关系的消息后，将生成的关联关系下发给策略执行设备；或者，策略执行设备也可以将用户报文的公网地址发送给控制设备，由控制设备查找关联关系获得与用户报文的公网地址对应的用户名，并将该用户名发送给策略执行设备。

其中，关联关系中与每个用户名对应的每个公网地址可以包含：公网IP 地址和端口段，该端口段为NAT设备将用户设备的私网IP地址转换为公网IP地址时为该用户设备分配的该公网IP地址下的一段连续的端口号。可选的，NAT设备可以预先配置为端口预分配模式，即可以为每个登录网络的用户设备分配固定大小的端口段，固定大小指每个端口段中包含相同数量的端口号，用户设备在登录期间建立的每个连接都使用该端口段内的端口号；当用户设备退出登录时，NAT设备可以回收为该用户设备分配的端口段。可选的，NAT设备可以为每个用户设备分配至少一个端口段。

参见图2，为本发明策略执行方法的另一个实施例流程图：

步骤201：认证设备向控制设备传输用户信息，该用户信息包含用户设备的用户名与私网地址的对应关系。

本实施例中，当用户设备要接入Intranet，即用户通过用户设备登录Intranet时，通常会输入用户名和密码，认证设备对用户名和密码验证通过后，为该用户设备分配私网IP地址，记录包含用户名和所分配的私网IP地址的对应关系的用户信息，并将该用户信息传输给控制设备。

如图1A中，假设用户名为“用户A”的用户通过用户设备登录Intranet，认证设备对该用户认证通过后，为用户设备分配的私网IP地址为“10.1.1.10”，则认证设备可以记录如下表1所示的用户信息，并将表1发送给控制设备：

表1

用户名	私网IP地址
用户名	私网IP地址	用户A	10.1.1.10

步骤202：NAT设备向控制设备传输地址转换信息，该地址转换信息包含用户设备的私网地址与转换后的公网地址的对应关系。

本实施例中，当用户设备要接入Intranet，NAT设备获知用户设备登录后，将该用户设备的私网地址转换为公网地址，记录包含私网地址与公网地址的对应关系的地址转换信息，并将该地址转换信息传输给控制设备。现有技术中，NAT设备在将用户设备的私网地址转换为公网地址时，除了要将私网IP地址转换为公网IP地址外，还需要为该用户设备所建立的每个连接分配一个端口号，因此对于每个用户设备，NAT设备所记录的地址转换信息中具体包括私网IP地址与转换后的公网IP地址和端口号的对应关系，当用户设备建立多个连接时，则NAT设备需要记录与所分配端口号的数量一致的地址转换信息，即一个用户设备对应了多条地址转换信息。

本实施例中，NAT设备可以预先配置为端口预分配模式，即可以为每个登录网络的用户设备分配固定大小的端口段，固定大小指每个端口段中包含相同数量的端口号，用户设备在登录期间建立的每个连接都使用该端口段内的端口号，当用户设备退出登录时，NAT设备可以回收为该用户设备分配的端口段。因此对于每个用户设备，NAT设备所记录的地址转换信息中具体包括私网IP地址与转换后的公网IP地址和端口段的对应关系，即本实施例中一个用户设备可以只需要对应一条地址转换信息。可选的，NAT设备也可以为每个用户设备分配多个端口段，则相应一个用户设备可以对应与端口段数量一致的地址转换信息。

如图1A中，假设NAT设备将私网IP地址“10.1.1.10”转换为公网IP地址“202.169.1.10”，且为用户设备分配的端口段为[1000-2000]，则用户设备建立的每条连接都使用该端口段[1000-2000]中的一个端口即可。NAT设备可以记录如下表2所示的地址转换信息，并将表2发送给控制设备：

表2

私网IP地址	公网IP地址和端口段
私网IP地址	公网IP地址和端口段	10.1.1.10	202.169.1.10:[1000-2000]

步骤203：控制设备根据用户信息和地址转换信息生成用户名与公网地址的关联关系。

当控制设备获得用户信息和地址转换信息后，可以根据上述信息生成用户名及公网地址之间的关联关系。结合图1A，控制设备可以整合上述表1和

表2，得到如下表3所示的关联关系：

表3

用户名	私网IP地址	公网IP地址和端口段
用户名	私网IP地址	公网IP地址和端口段	用户A	10.1.1.10	202.169.1.10:[1000-2000]

步骤204：控制设备向策略执行设备下发该用户名与公网地址的关联关系。

控制设备可以将用户名与公网地址的关联关系直接下发给策略执行设备，其中，控制设备可以将生成的关联关系即刻发送给策略执行设备，也可以在接收到策略执行设备发送的请求关联关系的消息后，将生成的关联关系下发给策略执行设备。

结合表3，在下发关联关系时，控制设备可以直接将表3下发给策略执行设备，或者控制设备也可以对表3进行整合，仅将用户名与公网IP地址和端口段的对应关系作为关联关系下发给策略执行设备，如下表4所示：

表4

用户名	公网IP地址和端口段
用户名	公网IP地址和端口段	用户A	202.169.1.10:[1000-2000]

步骤205：策略执行设备接收到用户报文。

步骤206：策略执行设备根据用户报文的公网地址查找关联关系后，获得与用户报文的公网地址对应的用户名。

本实施例中，由于策略执行设备上保存了控制设备下发的用户名与公网地址的对应关系，因此在接收到用户报文后，策略执行设备获得该用户报文的公网地址，包括公网IP地址和端口号，并以公网IP地址和端口号为关键字查找如上表3或表4示出的关联关系，得到匹配的记录中对应的用户名，其中，从关联关系中查找到匹配的记录指该条记录中的公网IP地址与用户报文的公网IP地址一致，且用户报文的端口号在该记录中的端口段范围内。

步骤207：策略执行设备执行与获得的用户名对应的用户策略。

本发明实施例中，策略执行设备上基于用户名配置用户策略，即策略执行设备上保存了用户名与用户策略之间的对应关系，在步骤206中策略执行设备获得与用户报文的公网地址对应的用户名后，根据该用户名查找用户名与用户策略之间的对应关系后获得的用户策略即为策略执行设备需要对用户报文执行的用户策略。

由上述实施例可见，认证设备和NAT设备无需向每个策略执行设备传输各自保存的用户信息和地址转换信息，而是只需要将上述信息传输到控制设备，并由控制设备集中对信息进行处理生成用户名与公网地址的关联关系即可，因此减少了网络中的数据传输量，节省了网络传输资源；并且，当网络架构中增加新的策略执行设备时，由于认证设备和NAT设备无需为该新增策略执行设备配置传输命令及传输信息，即认证设备和NAT设备无需进行功能改动，因此网络架构易于扩展。进一步，由于本发明实施例NAT设备为每个用户设备分配端口段，与现有技术与为每个用户设备的每个连接都分配端口相比，减少了NAT设备需要记录的地址转换信息的数量，同时节省了NAT设备向控制设备传输地址转换信息的网络传输资源。

参见图3，为本发明策略执行方法的另一个实施例流程图：

步骤301：认证设备向控制设备传输用户信息，该用户信息包含用户设备的用户名与私网地址的对应关系。

本实施例中，当用户设备要接入Intranet，即用户通过用户设备登录Intranet时，通常会输入用户名和密码，认证设备对用户名和密码验证通过后，为该用户设备分配私网IP地址，记录包含用户名和所分配的私网IP地址的对应关系的用户信息，并将该用户信息传输给控制设备。本步骤结合图1A的示例与步骤201的描述一致，在此不再赘述。

步骤302：NAT设备向控制设备传输地址转换信息，该地址转换信息包含用户设备的私网地址与转换后的公网地址的对应关系。

本实施例中，当用户设备要接入Intranet，NAT设备获知用户设备登录后，将该用户设备的私网地址转换为公网地址，记录包含私网地址与公网地址的对应关系的地址转换信息，并将该地址转换信息传输给控制设备。本实施例中，NAT设备可以预先配置为端口预分配模式，即可以为每个登录网络的用户设备分配固定大小的端口段，固定大小指每个端口段中包含相同数量的端口号，用户设备在登录期间建立的每个连接都使用该端口段内的端口号，当用户设备退出登录时，NAT设备可以回收为该用户设备分配的端口段，因此对于每个用户设备，NAT设备所记录的地址转换信息中具体包括私网IP地址与转换后的公网IP地址和端口段的对应关系，即本实施例中一个用户设备可以只需要对应一条地址转换信息。可选的，NAT设备也可以为每个用户设备分配多个端口段，则相应一个用户设备可以对应与端口段数量一致的地址转换信息。本步骤结合图1A的示例与步骤202的描述一致，在此不再赘述。

步骤303：控制设备根据用户信息和地址转换信息生成用户名与公网地址的关联关系。

当控制设备获得用户信息和地址转换信息后，可以根据上述信息生成用户名及公网地址之间的关联关系。本步骤结合图1A的示例与步骤302的描述一致，在此不再赘述。

步骤304：策略执行设备接收到用户报文。

步骤305：策略执行设备将用户报文的公网地址上报给控制设备。

本实施例与前述图2示出的实施例的不同在于，本实施例控制设备无需向策略执行设备下发用户名与公网地址的关联关系，而是在策略执行设备接收到用户报文时，主动向控制设备上报用户报文的公网地址，包括该用户报文的公网IP地址和端口号，以便由控制设备查询用户报文的用户名。

步骤306：控制设备根据用户报文的公网地址查找关联关系，获得与用户报文的公网地址对应的用户名。

结合前述实施例中的表3，当控制设备接收到策略执行设备发送的用户报文的公网IP地址和端口号时，以该公网IP地址和端口号为关键字查找表3示出的关联关系，得到匹配的记录中对应的用户名，其中，从关联关系中查找到匹配的记录指该条记录中的公网IP地址与用户报文的公网IP地址一致，且用户报文的端口号在该记录中的端口段范围内。

步骤307：控制设备将获得的用户名发送给策略执行设备。

步骤308：策略执行设备执行与获得的用户名对应的用户策略。

本发明实施例中，策略执行设备上基于用户名配置用户策略，即策略执行设备上保存了用户名与用户策略之间的对应关系，在步骤307中策略执行设备获得控制设备发送的用户名后，根据该用户名查找用户名与用户策略之间的对应关系后获得的用户策略即为策略执行设备需要对用户报文执行的用户策略。

与本发明策略执行方法的实施例相对应，本发明还提供了策略执行系统、策略执行设备及控制设备的实施例。

参见图4，为本发明策略执行系统的实施例框图：

该系统包括：认证设备410、NAT设备420、控制设备430和策略执行设备440。

其中，所述认证设备410，用于向所述控制设备传输用户信息，所述用户信息包含用户设备的用户名与私网地址的对应关系；

所述NAT设备420，用于向所述控制设备传输地址转换信息，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述控制设备430，用于根据所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系；

所述策略执行设备440，用于接收到用户报文时，通过所述控制设备生成的所述关联关系获得与所述用户报文的公网地址对应的用户名，并执行与所述用户名对应的用户策略。

在一个可选的实现方式中：

所述控制设备430，还可以用于向所述策略执行设备下发所述用户名与公网地址的关联关系；

所述策略执行设备440，可以具体用于根据所述用户报文的公网地址查找所述关联关系后，获得与所述用户报文的公网地址对应的用户名。

在另一个可选的实现方式中：

所述策略执行设备440，还可以用于将所述用户报文的公网地址上报给所述控制设备；

所述控制设备430，还可以用于根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名，并将获得的用户名发送给所述策略执行设备。

在另一个可选的实现方式中：

所述关联关系中与每个用户名对应的每个公网地址包含：公网IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

参见图5，为本发明策略执行设备的一个实施例框图：

该策略执行设备包括：接收单元510、获得单元520和执行单元530。

其中，接收单元510，用于接收用户报文；

获得单元520，用于通过控制设备获得与所述接收单元接收到的用户报文的公网地址对应的用户名，所述控制设备用于根据认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息生成用户名与公网地址的关联关系，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

执行单元530，用于执行与所述获得单元获得的用户名对应的用户策略。

在一个可选的实现方式中：

所述接收单元510，还可以用于接收所述控制设备下发的所述用户名与公网地址的关联关系；

所述获得单元520，可以具体用于根据所述用户报文的公网地址查找所述接收单元接收到的所述关联关系，获得与所述用户报文的公网地址对应的用户名。

在另一个可选的实现方式中：

所述获得单元520可以包括(图5中未示出)：

在另一个可选的实现方式中：

所述关联关系中与每个用户名对应的每个公网地址包含：公网互联网协议IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

参见图6，为本发明策略执行设备的另一个实施例框图：

该策略执行设备包括：网络接口610和处理器620。

其中，所述网络接口610，用于接收用户报文；

所述处理器620，用于通过控制设备获得与所述用户报文的公网地址对应的用户名，并执行与所述用户名对应的用户策略，其中，所述控制设备用于根据认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息生成用户名与公网地址的关联关系，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系。

在一个可选的实现方式中：

所述网络接口610，还可以用于接收所述控制设备下发的所述用户名与公网地址的关联关系；

所述处理器620，可以具体用于根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名。

在另一个可选的实现方式中：

所述处理器620，可以具体用于通过所述网络接口将所述用户报文的公网地址上报给所述控制设备，并接收所述控制设备返回的与所述用户报文的公网地址对应的用户名，所述用户名为所述控制设备根据所述用户报文的公网地址查找所述关联关系后获得的用户名。

在另一个可选的实现方式中：

附图5、附图6所提供的策略执行设备，可以应用在附图1A所示的场景中，实现方法实施例中附图1A、1B、1C、附图2、附图3以及相关描述中策略执行设备的功能，附图5、附图6中策略执行设备的其他附加功能、以及与其他设备之间的交互过程，请参考附图1A、1B、1C、附图2、附图3的相关描述，在这里不再重复。

参见图7，为本发明控制设备的一个实施例框图：

该控制设备包括：接收单元710和生成单元720。

其中，接收单元710，用于接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

生成单元720，用于根据所述接收单元接收到的所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系，以使策略执行设备根据所述关联关系获得与接收到的用户报文的公网地址对应的用户名后，执行与所述用户名对应的用户策略。

可选的，所述关联关系中与每个用户名对应的每个公网地址可以包含：公网IP地址和端口段，所述端口段为所述NAT设备将用户设备的私网IP地址转换为公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。

参见图8，为本发明控制设备的另一个实施例框图：

该控制设备包括：接收单元810、生成单元820和第一发送单元830。

其中，接收单元810，用于接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

生成单元820，用于根据所述接收单元接收到的所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系；

第一发送单元830，用于向所述策略执行设备下发所述生成单元生成的所述用户名与公网地址的关联关系，以使所述策略执行设备根据所述用户报文的公网地址查找所述关联关系，并获得与所述用户报文的公网地址对应的用户名后，执行与所述用户名对应的用户策略。

参见图9，为本发明控制设备的另一个实施例框图：

该控制设备包括：接收单元910、生成单元920、查找单元930和第二发送单元940。

其中，接收单元910，用于接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

生成单元920，用于根据所述接收单元接收到的所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系，以使策略执行设备根据所述关联关系获得与接收到的用户报文的公网地址对应的用户名后，执行与所述用户名对应的用户策略；

所述接收单元910，还用于接收所述策略执行设备上报的所述用户报文的公网地址；

查找单元930，用于根据所述接收单元接收到的所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名；

第二发送单元940，用于将所述查找单元获得的用户名发送给所述策略执行设备。

参见图10，为本发明控制设备的另一个实施例框图：

该控制设备包括：网络接口1010和处理器1020。

其中，所述网络接口1010，用于接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述处理器1020，用于根据所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系，以使策略执行设备根据所述关联关系获得与接收到的用户报文的公网地址对应的用户名后，执行与所述用户名对应的用户策略。

在一个可选的实现方式中：

所述网络接口1010，还可以用于向所述策略执行设备下发所述用户名与公网地址的关联关系，以使所述策略执行设备根据所述用户报文的公网地址查找所述关联关系后，获得与所述用户报文的公网地址对应的用户名。

在另一个可选的实现方式中：

所述网络接口1010，还可以用于接收所述策略执行设备上报的所述用户报文的公网地址；

所述处理器1020，还可以用于根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名；

所述网络接口1010，还可以用于将所述处理器获得的用户名发送给所述策略执行设备。

在另一个可选的实现方式中：

附图7至附图10所提供的控制设备，可以应用在附图1A所示的场景中，实现方法实施例中附图1A、1B、1C、附图2、附图3以及相关描述中控制设备的功能，附图7至附图10中控制设备的其他附加功能、以及与其他设备之间的交互过程，请参考附图1A、1B、1C、附图2、附图3的相关描述，在这里不再重复。

由上述实施例可见，控制设备接收认证设备传输的用户信息，以及NAT设备传输的地址转换信息，并根据用户信息和地址转换信息生成用户名与公网地址的关联关系，策略执行设备根据该关联关系获得与接收到的用户报文的公网地址对应的用户名后，执行与获得的用户名对应的用户策略。应用本发明实施例，认证设备和NAT设备无需向每个策略执行设备传输各自保存的用户信息和地址转换信息，而是只需要将上述信息传输到控制设备，并由控制设备集中对信息进行处理生成用户名与公网地址的关联关系即可，因此减少了网络中的数据传输量，节省了网络传输资源；并且，当网络架构中增加新的策略执行设备时，由于认证设备和NAT设备无需为该新增策略执行设备配置传输命令及传输信息，即认证设备和NAT设备无需进行功能改动，因此网络架构易于扩展。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述的本发明实施方式，并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

一种策略执行方法，其特征在于，所述方法包括：

策略执行设备接收用户报文；

所述策略执行设备通过控制设备获得与所述用户报文的公网地址对应的用户名，所述控制设备用于根据认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息生成用户名与公网地址的关联关系，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述策略执行设备执行与所述用户名对应的用户策略。
根据权利要求1所述的方法，其特征在于，所述策略执行设备接收用户报文前，所述方法还包括：

所述策略执行设备接收所述控制设备下发的所述用户名与公网地址的关联关系；

所述策略执行设备通过控制设备获得与所述用户报文的公网地址对应的用户名，包括：

所述策略执行设备根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名。
根据权利要求1所述的方法，其特征在于，所述策略执行设备通过控制设备获得与所述用户报文的公网地址对应的用户名，包括：

所述策略执行设备将所述用户报文的公网地址上报给所述控制设备；

接收所述控制设备返回的与所述用户报文的公网地址对应的用户名，所述用户名为所述控制设备根据所述用户报文的公网地址查找所述关联关系后获得的用户名。
根据权利要求1至3任意一项所述的方法，其特征在于，所述关联关系中与每个用户名对应的每个公网地址包含：公网互联网协议IP地址和端口段，所述端口段为所述NAT设备将所述用户设备的私网IP地址转换为所述公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。
一种策略执行方法，其特征在于，所述方法包括：

控制设备接收认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述控制设备根据所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

所述控制设备向所述策略执行设备下发所述用户名与公网地址的关联关系。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

所述控制设备接收所述策略执行设备上报的所述用户报文的公网地址；

所述控制设备根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名；

所述控制设备将获得的用户名发送给所述策略执行设备。
根据权利要求5至7任意一项所述的方法，其特征在于，所述关联关系中与每个用户名对应的每个公网地址包含：公网IP地址和端口段，所述端口段为所述NAT设备将所述用户设备的私网IP地址转换为所述公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。
一种策略执行系统，其特征在于，所述系统包括：认证设备、网络地址转换NAT设备、控制设备和策略执行设备，其中，

所述认证设备，用于向所述控制设备传输用户信息，所述用户信息包含用户设备的用户名与私网地址的对应关系；

所述NAT设备，用于向所述控制设备传输地址转换信息，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述控制设备，用于根据所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系；

所述策略执行设备，用于接收到用户报文时，通过所述控制设备生成的所述关联关系获得与所述用户报文的公网地址对应的用户名，并执行与所述用户名对应的用户策略。
根据权利要求9所述的系统，其特征在于，

所述控制设备，还用于向所述策略执行设备下发所述用户名与公网地址的关联关系；

所述策略执行设备，具体用于根据所述用户报文的公网地址查找所述关联关系后，获得与所述用户报文的公网地址对应的用户名。
根据权利要求9所述的系统，其特征在于，

所述策略执行设备，还用于将所述用户报文的公网地址上报给所述控制设备；

所述控制设备，还用于根据所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名，并将获得的用户名发送给所述策略执行设备。
根据权利要求9至11任意一项所述的系统，其特征在于，所述关联关系中与每个用户名对应的每个公网地址包含：公网IP地址和端口段，所述端口段为所述NAT设备将所述用户设备的私网IP地址转换为所述公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。
一种策略执行设备，其特征在于，所述策略执行设备包括：

接收单元，用于接收用户报文；

获得单元，用于通过控制设备获得与所述接收单元接收到的用户报文的公网地址对应的用户名，所述控制设备用于根据认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息生成用户名与公网地址的关联关系，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

执行单元，用于执行与所述获得单元获得的用户名对应的用户策略。
根据权利要求13所述的策略执行设备，其特征在于，

所述接收单元，还用于接收所述控制设备下发的所述用户名与公网地址的关联关系；

所述获得单元，具体用于根据所述用户报文的公网地址查找所述接收单元接收到的所述关联关系，获得与所述用户报文的公网地址对应的用户名。
根据权利要求13所述的策略执行设备，其特征在于，所述获得单元包括：

地址上报子单元，用于将所述用户报文的公网地址上报给所述控制设备；

用户名获得子单元，用于接收所述控制设备返回的与所述用户报文的公网地址对应的用户名，所述用户名为所述控制设备根据所述用户报文的公网地址查找所述关联关系后获得的用户名。
根据权利要求13至15任意一项所述的策略执行设备，其特征在于，所述关联关系中与每个用户名对应的每个公网地址包含：公网互联网协议IP地址和端口段，所述端口段为所述NAT设备将所述用户设备的私网IP地址转换为所述公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。
一种控制设备，其特征在于，所述控制设备包括：

接收单元，用于接收认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

生成单元，用于根据所述接收单元接收到的所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系。
根据权利要求17所述的控制设备，其特征在于，所述控制设备还包括：

第一发送单元，用于向所述策略执行设备下发所述生成单元生成的所述用户名与公网地址的关联关系。
根据权利要求17所述的控制设备，其特征在于，

所述接收单元，还用于接收所述策略执行设备上报的所述用户报文的公网地址；

所述控制设备还包括：

查找单元，用于根据所述接收单元接收到的所述用户报文的公网地址查找所述关联关系，获得与所述用户报文的公网地址对应的用户名；

第二发送单元，用于将所述查找单元获得的用户名发送给所述策略执行设备。
根据权利要求17至19任意一项所述的控制设备，其特征在于，所述关联关系中与每个用户名对应的每个公网地址包含：公网IP地址和端口段，所述端口段为所述NAT设备将所述用户设备的私网IP地址转换为所述公网IP地址时为所述用户设备分配的所述公网IP地址下的一段连续的端口号。
一种策略执行设备，其特征在于，所述策略执行设备包括：网络接口和处理器，其中，

所述网络接口，用于接收用户报文；

所述处理器，用于通过控制设备获得与所述用户报文的公网地址对应的用户名，并执行与所述用户名对应的用户策略，其中，所述控制设备用于根据认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息生成用户名与公网地址的关联关系，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系。
一种控制设备，其特征在于，所述控制设备包括：网络接口和处理器，其中，

所述网络接口，用于接收认证设备传输的用户信息，以及网络地址转换NAT设备传输的地址转换信息，其中，所述用户信息包含用户设备的用户名与私网地址的对应关系，所述地址转换信息包含所述用户设备的私网地址与转换后的公网地址的对应关系；

所述处理器，用于根据所述用户信息和所述地址转换信息生成用户名与公网地址的关联关系。