访问控制方法、装置及设备制造方法及图纸

本申请提供一种访问控制方法、装置及设备，所述方法包括：根据报文发送者的用户等级，将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF，不同用户等级对应不同私有VRF，私有VRF对应有相应的跨VRF资源，公共VRF中设有全局路由信息，私有VRF中无任何路由信息；将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较；如果所述报文的目的地址不在所述地址范围内，丢弃报文；如果所述报文的目的地址在所述地址范围内，将所述发送者的私有VRF更换为公共VRF，利用公共VRF下的全局路由信息查找路由，并进行报文转发。本申请在通过路由的方式实现对用户权限的控制，节约设备硬件资源，有助于设备性能的提高。

Access control method, device and equipment

This application provides an access control method, device and equipment, comprising: according to the user level message sender, the sender will replace the default is a common VRF for the user level corresponding to the private VRF, different user levels corresponding to different private VRF, private VRF corresponding to the corresponding resources across the VRF, a global public VRF routing information, routing information without any private VRF; will cross the VRF resources address range corresponding to the destination address of the packet and the private VRF were compared; if the destination address of the packet in the address range, discarding the message; if the destination address of the packet in the address range, will replace the sender's private VRF public VRF, using the global routing information to find the routing public VRF, and message forwarding. The application realizes the control of the user's rights through routing, saves the hardware resources of the equipment and improves the performance of the equipment.

【技术实现步骤摘要】
访问控制方法、装置及设备
本申请涉及网络安全
，尤其涉及访问控制方法、装置及设备。
技术介绍
随着网络技术的发展，网络信息安全也变得越来越重要，在企业网、校园网等网络中，接入网络的角色多种多样，网络管理员需要对不同的用户进行权限的划分，限制特定的用户只能访问特定的资源。路由器的作用是将报文从一个网络传输到另一个网络。路由器工作于网络层，是信息出入的必经之路，因此网络路由包括过滤技术对网络的安全具有举足轻重的作用。路由器能有效的防止外部用户对局域网的安全访问，同时可以限制网络流量，也可以限制局域网内的用户或设备使用网络资源。另外，也可以通过交换机实现访问控制。目前，路由器/交换机的主要安全措施是通过访问控制列表(AccessControlList，ACL)技术允许或拒绝报文通过路由器/交换机的接口来实现。访问控制列表是一组条件控制指令列表。通过对列表中的不同控制条件组合的管理和控制，形成一组permit(允许)和deny(拒绝)函数组成的有序条件集合，控制路由器/交换机端口的访问权限，保证路由器/交换机最基本的安全性。然而，ACL资源属于硬件资源，设备的ACL资源越多，设备成本越本文档来自技高网...

【技术保护点】
一种访问控制方法，其特征在于，所述方法包括：根据报文发送者的用户等级，将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF，不同用户等级对应不同私有VRF，私有VRF对应有相应的跨VRF资源，公共VRF中设有全局路由信息，私有VRF中无任何路由信息；将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较；如果所述报文的目的地址不在所述地址范围内，丢弃报文；如果所述报文的目的地址在所述地址范围内，将所述发送者的私有VRF更换为公共VRF，利用公共VRF下的全局路由信息查找路由，并进行报文转发。

【技术特征摘要】
1.一种访问控制方法，其特征在于，所述方法包括：根据报文发送者的用户等级，将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF，不同用户等级对应不同私有VRF，私有VRF对应有相应的跨VRF资源，公共VRF中设有全局路由信息，私有VRF中无任何路由信息；将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较；如果所述报文的目的地址不在所述地址范围内，丢弃报文；如果所述报文的目的地址在所述地址范围内，将所述发送者的私有VRF更换为公共VRF，利用公共VRF下的全局路由信息查找路由，并进行报文转发。2.根据权利要求1所述的方法，其特征在于，所述根据报文发送者的用户等级，将发送者默认所属的公共VRF更换为用户等级对应的私有VRF，包括：根据用户标识与私有VRF的对应关系，将报文发送者默认所属的公共VRF更换为所述发送者的标识对应的私有VRF，所述用户标识与私有VRF的对应关系基于用户标识与用户等级的关系、用户等级与私有VRF的关系获得。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据用户标识与公共VRF的对应关系，确定所述发送者对应公共VRF时，利用公共VRF下的全局路由信息查找路由，并进行报文转发；其中，所述用户标识与公共VRF的对应关系基于用户标识与用户等级的关系、用户等级与公共VRF的关系获得。4.根据权利要求1至3任一项所述的方法，其特征在于，所述将发送者默认所属的公共VRF更换为用户等级对应的私有VRF，包括：将所述报文中公共VRF字段更换为用户等级对应的私有VRF字段；所述将所述发送者的私有VRF更换为公共VRF，包括：将所述报文中私有VRF字段更换为公共VRF字段。5.一种访问控制装置，其特征在于，所述装置包括：信息更换模块，用于根据报文发送者的用户等级，将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF，不同用户等级对应不同私有VRF，私有VRF对应有相应的跨VRF资源，公共VRF中设有全局路由信息，私有VRF中无任何路由信息；信息比较模块，用于...

【专利技术属性】
技术研发人员：仇俊杰，宋爽，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33