一种访问控制方法及装置制造方法及图纸

本发明专利技术实施例公开了一种访问控制方法及装置，涉及通信控制领域，应用于第一网络设备，该方法包括：接收第一虚拟机发送的报文，其中，第一虚拟机与第一网络设备通信连接，该报文中包含第二虚拟机的标识，根据第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得第二虚拟机的访问级别，根据获得的访问级别，控制向第二虚拟机转发报文。应用本发明专利技术实施例提供的技术方案，能够准确控制虚拟机间的通信，并提高了网络的稳定性。

【技术实现步骤摘要】
一种访问控制方法及装置
本专利技术涉及通信控制领域，特别涉及一种访问控制方法及装置。
技术介绍
目前，EVPN(EthernetVPN)网络包含多个VXLAN(VirtualeXtensibleLAN，可扩展虚拟局域网络)子网络，如图1所示，每个VXLAN子网络中包含至少一个Spine设备和至少一个VTEP(VXLANTunnelEndPoint，VXLAN子网络隧道端点)，这里，Spine设备是路由反射器，VTEP是VXLAN子网络的边缘设备，Spine设备和VTEP都能够建立IBGP(InternalBorderGatewayProtocol，内部边界网关协议)邻居列表，另外，每个VTEP至少与一个VM(VirtualMachine，虚拟机)通信连接。在构建EVPN网络时，同一EVPN网络内BGP(BorderGatewayProtocol，边界网关协议)AS(AutonomousSystem，自治系统)号相同，当与VM相连的VTEP获得该VM的MAC(MediumAccessControl，媒体访问控制)地址后，该VTEP通过BGP将获得的MAC地址变为MAC/IP(InternetProtocol，互联网协议)地址，并发送给其他VTEP，这样其他VTEP通信连接的VM就可以与该VM进行通信了。另外，VSI(VirtualSwitchingInstance，虚拟交换实例)下，RD(路由标识)和RT(扩展团体属性)都是自动生成的，并且同一VTEP内的每个VSI的RT都是一样的，因此，VTEP通信连接的所有VM的RT也是相同的，一个VTEP可以学习到该VTEP通信连接的其他VM的MAC地址，使得同一VTEP内的VM间可以相互通信。实际应用中，当网络中存在一些VM1是不允许其他VM2访问时，为了保证VM1中的信息的安全，需要在与VM2通信连接的VTEP中将VM1的MAC地址过滤掉，以此来禁止VM2访问VM1。现有技术中，常根据VM的IP前缀、团体属性、扩展团体属性等信息中的一种或多种，对VTEP中的MAC地址进行过滤，而IP前缀或团体属性或扩展团体属性对应的VM并不是唯一的，因此，可能会过滤掉其他能够被VM2访问的VM3的MAC地址，进而导致VM3不能被正常访问，并且若此时VM2仍然向VM1发送报文，与VM2通信连接的VTEP将会以广播的形式发送该报文，这样就会降低网络的稳定性。
技术实现思路
本专利技术实施例的目的在于提供一种访问控制方法及装置，以准确控制虚拟机间的通信，提高网络的稳定性。为达到上述目的，本专利技术实施例公开了一种访问控制方法，应用于第一网络设备，所述方法包括：接收第一虚拟机发送的报文，其中，所述第一虚拟机与所述第一网络设备通信连接，所述报文中包含第二虚拟机的标识；根据所述第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得所述第二虚拟机的访问级别；根据所述第二虚拟机的访问级别，控制向所述第二虚拟机转发所述报文。在本专利技术的一种具体实现方式中，所述根据所述第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得所述第二虚拟机的访问级别，包括：根据所述第二虚拟机的标识，判断所述第二虚拟机是否与所述第一虚拟机位于同一子网络；若为是，则根据预先存储的虚拟机与访问级别的对应关系和所述第二虚拟机的标识，获得所述第二虚拟机的访问级别。在本专利技术的一种具体实现方式中，所述根据所述第二虚拟机的标识，判断所述第二虚拟机是否与所述第一虚拟机位于同一子网络，若为否，所述方法还包括：根据所述第二虚拟机的标识，获得所述第二虚拟机所属子网络的标识；根据预先存储的子网络与访问级别的对应关系，以及所述第二虚拟机所属子网络的标识，获得所述第二虚拟机的访问级别。在本专利技术的一种具体实现方式中，所述根据所述第二虚拟机的标识，判断所述第二虚拟机是否与所述第一虚拟机位于同一子网络，若为否，所述方法还包括：根据所述第二虚拟机的标识，获得所述第二虚拟机所属子网络的标识；根据预先存储的子网络、虚拟机与访问级别三者之间的对应关系，以及所述第二虚拟机的标识和所述第二虚拟机所属子网络的标识，获得所述第二虚拟机的访问级别。在本专利技术的一种具体实现方式中，所述方法还包括：发送更新报文，其中，所述更新报文，用于通知其他网络设备发送应答报文，所述应答报文包含与其他网络设备通信连接的虚拟机的标识；接收其他网络设备根据所述更新报文发送的所述应答报文；判断所述应答报文中包含的第三虚拟机的标识是否在预设的待更新信息中，其中，所述预设的待更新信息，为需要更新访问级别的虚拟机与其待更新访问级别的对应关系；若为是，则根据所述第三虚拟机的标识，从所述预设的待更新信息中获得待更新访问级别；根据所获得的待更新访问级别，更新预先存储的针对所述第三虚拟机的访问级别信息。为达到上述目的，本专利技术实施例还公开了一种访问控制装置，应用于第一网络设备，所述装置包括：报文接收模块、访问级别获得模块和转发控制模块；所述报文接收模块，用于接收第一虚拟机发送的报文，其中，所述第一虚拟机与所述第一网络设备通信连接，所述报文中包含第二虚拟机的标识；所述访问级别获得模块，用于根据所述第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得所述第二虚拟机的访问级别；所述转发控制模块，用于根据所述第二虚拟机的访问级别，控制向所述第二虚拟机转发所述报文。在本专利技术的一种具体实现方式中，所述访问级别获得模块，包括：子网络判断子模块和第一访问级别获得子模块；所述子网络判断子模块，用于根据所述第二虚拟机的标识，判断所述第二虚拟机是否与所述第一虚拟机位于同一子网络，若为是，则触发所述第一访问级别获得子模块；所述第一访问级别获得子模块，用于根据预先存储的虚拟机与其访问级别的对应关系和所述第二虚拟机的标识，获得所述第二虚拟机的访问级别。在本专利技术的一种具体实现方式中，所述访问级别获得模块，还包括：第一子网络标识获得子模块、第二访问级别获得子模块；所述第一子网络标识获得子模块，用于在所述子网络判断子模块判断结果为否的情况下，根据所述第二虚拟机的标识，获得所述第二虚拟机所属子网络的标识；所述第二访问级别获得子模块，用于根据预先存储的子网络与其访问级别的对应关系，以及所述第二虚拟机所属子网络的标识，获得所述第二虚拟机的访问级别。在本专利技术的一种具体实现方式中，其特征在于，所述访问级别获得模块，还包括：第二子网络标识获得子模块和第三访问级别获得子模块；所述第二子网络标识获得子模块，用于在所述子网络判断子模块判断结果为否的情况下，根据所述第二虚拟机的标识，获得所述第二虚拟机所属子网络的标识；所述第三访问级别获得子模块，用于根据预先存储的子网络、虚拟机与访问级别三者之间的对应关系，以及所述第二虚拟机的标识和所述第二虚拟机所属子网络的标识，获得所述第二虚拟机的访问级别。在本专利技术的一种具体实现方式中，所述装置还包括：更新报文发送模块、应答报文接收模块、标识判断模块、待更新访问级别获得模块和信息更新模块；所述更新报文发送模块，用于发送更新报文，其中，所述更新报文，用于通知其他网络设备发送应答报文，所述应答报文包含与其他网络设备通信连接的所有虚拟机的标识；所述应答报文接收模块，用于接收其他网络设备根据所述更新报文发送的所述本文档来自技高网...

【技术保护点】
一种访问控制方法，应用于第一网络设备，其特征在于，所述方法包括：接收第一虚拟机发送的报文，其中，所述第一虚拟机与所述第一网络设备通信连接，所述报文中包含第二虚拟机的标识；根据所述第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得所述第二虚拟机的访问级别；根据所述第二虚拟机的访问级别，控制向所述第二虚拟机转发所述报文。

【技术特征摘要】
1.一种访问控制方法，应用于第一网络设备，其特征在于，所述方法包括：接收第一虚拟机发送的报文，其中，所述第一虚拟机与所述第一网络设备通信连接，所述报文中包含第二虚拟机的标识；根据所述第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得所述第二虚拟机的访问级别；根据所述第二虚拟机的访问级别，控制向所述第二虚拟机转发所述报文。2.根据权利要求1所述的方法，其特征在于，所述根据所述第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得所述第二虚拟机的访问级别，包括：根据所述第二虚拟机的标识，判断所述第二虚拟机是否与所述第一虚拟机位于同一子网络；若为是，则根据预先存储的虚拟机与访问级别的对应关系和所述第二虚拟机的标识，获得所述第二虚拟机的访问级别。3.根据权利要求2所述的方法，其特征在于，所述根据所述第二虚拟机的标识，判断所述第二虚拟机是否与所述第一虚拟机位于同一子网络，若为否，所述方法还包括：根据所述第二虚拟机的标识，获得所述第二虚拟机所属子网络的标识；根据预先存储的子网络与访问级别的对应关系，以及所述第二虚拟机所属子网络的标识，获得所述第二虚拟机的访问级别。4.根据权利要求2所述的方法，其特征在于，所述根据所述第二虚拟机的标识，判断所述第二虚拟机是否与所述第一虚拟机位于同一子网络，若为否，所述方法还包括：根据所述第二虚拟机的标识，获得所述第二虚拟机所属子网络的标识；根据预先存储的子网络、虚拟机与访问级别三者之间的对应关系，以及所述第二虚拟机的标识和所述第二虚拟机所属子网络的标识，获得所述第二虚拟机的访问级别。5.根据权利要求1至4任一所述的方法，其特征在于，所述方法还包括：发送更新报文，其中，所述更新报文，用于通知其他网络设备发送应答报文，所述应答报文包含与其他网络设备通信连接的虚拟机的标识；接收其他网络设备根据所述更新报文发送的所述应答报文；判断所述应答报文中包含的第三虚拟机的标识是否在预设的待更新信息中，其中，所述预设的待更新信息，为需要更新访问级别的虚拟机与其待更新访问级别的对应关系；若为是，则根据所述第三虚拟机的标识，从所述预设的待更新信息中获得待更新访问级别；根据所获得的待更新访问级别，更新预先存储的针对所述第三虚拟机的访问级别信息。6.一种访问控制装置，应用于第一网络设备，其特征在于，所述装置包括：报文接收模块、访问级别获得模块和转发控制模块；所述报文接收模块，用于接收第一虚拟机发送的报文，其中，所述第一虚拟机与所述第一网络设备通信连接，所述报文中包含第二虚拟机的标识；所述访问级别获得模块，用于根据所述第二虚拟机的标识与本地预先...

【专利技术属性】
技术研发人员：陈岩，王伟，黄李伟，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33