【技术实现步骤摘要】
一种终端权限控制方法、装置、电子设备及存储介质
本专利技术实施例涉及通信
,具体涉及一种终端权限控制方法、装置、电子设备及存储介质。
技术介绍
在园区网场景中,大部分的终端访问控制是通过基于网际互连协议(InternetProtocol,IP)的访问控制列表(AccessControlLists,ACL)实现,但是在有些行业的场景中如果使用ACL会造成ACL膨胀的问题。例如在金融和互联网公司的园区网中,存在组权限和临时组的场景,图1为现有技术中临时组场景示意图,如图1所示:User1-1和User1-2在用户组1;User2-1和User2-2在用户组2;User1-1和User2-1成立临时组3;以上用户组产生的效果如下:1.组内用户可以互访:(1)User1-1和User1-2可以互访;(2)User2-1和User2-2可以互访;(3)User1-1和User2-1可以互访;2.不同组用户不可互访:(1)User1-1和user2-2不可以互访;(2)User2-2...
【技术保护点】
1.一种终端权限控制方法,其特征在于,包括:/n接收源终端发送的访问目的终端的数据报文,从所述源终端的虚拟路由转发VRF表项中查找所述目的终端对应的主机表项;/n若所述VRF表项中无所述主机表项,则在所述VRF表项中安装所述目的终端对应的主机表项,并将所述主机表项的主机标识标记为第一标识;/n根据所述第一标识,向中央处理器CPU发送所述源终端的访问权限查询请求;/n若所述源终端具有访问所述目的终端的权限,则在所述主机表项中添加所述目的终端的地址信息,并将所述主机表项的主机标识更新为第二标识;/n根据所述第二标识和所述目的终端的地址信息,转发所述数据报文。/n
【技术特征摘要】
1.一种终端权限控制方法,其特征在于,包括:
接收源终端发送的访问目的终端的数据报文,从所述源终端的虚拟路由转发VRF表项中查找所述目的终端对应的主机表项;
若所述VRF表项中无所述主机表项,则在所述VRF表项中安装所述目的终端对应的主机表项,并将所述主机表项的主机标识标记为第一标识;
根据所述第一标识,向中央处理器CPU发送所述源终端的访问权限查询请求;
若所述源终端具有访问所述目的终端的权限,则在所述主机表项中添加所述目的终端的地址信息,并将所述主机表项的主机标识更新为第二标识;
根据所述第二标识和所述目的终端的地址信息,转发所述数据报文。
2.根据权利要求1所述的方法,其特征在于,还包括:
若所述源终端无访问所述目的终端的权限,则直接将所述主机表项的主机标识标记为第三标识;
根据所述第三标识,丢弃所述数据报文。
3.根据权利要求1所述的方法,其特征在于,还包括:
若所述VRF表项中包含所述目的终端对应的主机表项,则根据所述主机表项处理所述数据报文。
4.根据权利要求3所述的方法,其特征在于,所述根据所述主机表项处理所述数据报文,包括:
若所述主机表项的主机标识为第二标识,则根据所述VRF表项中所述主机表项对应的地址信息转发所述数据报文;
若所述主机表项的主机标识为第三标识,则丢弃所述数据报文。
5.根据权利要求1所述的方法,其特征在于,所述在所述主机表项中添加所述目的终端的地址信息之后,还包括:
记录所述VRF表项中所述目的终端对应的主机表项的更新时刻;
若当前时刻与所述更新时刻的差值大于预设阈值,则从所述源终端的VRF表项中删除所述目的终端对应的主机表项。
6.根据权利要求1所述的方法,其特征在于,所述接收源终端发送的访问目的终端的数据报文之前,还包括:
为每个入网终端分配VRF表项,所述VRF表项的初始值为空。
7.一种终端权限控制装置,其特征在于,包括:
查询模块,用于接收源终端发送的访问目的终端的数据报文,从所述源终端的虚拟路由转发VRF表项中查找所述目的终端对应的主机表项;
新建模块,用于若所述V...
【专利技术属性】
技术研发人员:张起强,
申请(专利权)人:锐捷网络股份有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。