本发明专利技术公开了一种轻量级双栈组网中的访问控制方法及其装置,应用于在IPv4网络和IPv6网络共存的组网中,对客户端访问IPv4网络进行控制的过程,该方法包括以下步骤:接入设备获取客户端的IPv4网络访问权限信息,以及所述客户端的地址以及为该客户端所分配的网络侧设备NPE的地址,并根据获取到的IPv4网络访问权限信息、客户端地址以及与其对应的NPE地址,设置相应的报文转发规则;当所述接入设备接收到所述客户端发送的报文时,根据设置的报文转发规则控制所述报文的转发。采用本发明专利技术可实现对用户访问IPv4网络进行权限控制。
【技术实现步骤摘要】
本专利技术涉及通信
,特别是涉及一种轻量级双栈组网中的访问控制方法及其装置。
技术介绍
随着移动通信与互联网的融合以及通信业务种类的不断增加,IPv4地址即将耗 尽,虽然已经有几乎取之不尽的IPv6地址和相关技术,但面对现有网络部署、运营商的设 备投资回报等因素,IPv6网络部署不可能一蹴而就,IPv4网络和IPv6网络将在很长的一段 时间内共存。由于IPv4地址已经匮乏,而IPv4业务还在以高速度增长,很多仅仅支持IPv4的 边缘设备短时间内不可能全部替换成支持双栈的设备,因此新增的IPv4宽带部署必须考 虑在边缘设备上无法获取到global IPv4地址(即全局IPv4地址)的情况。从ISP(Internet Service Provider,互联网服务提供商)角度考虑,其IPv4客 户需要访问Internet上的IPv4服务器,但却没有多余的IPv4地址分配给这些客户;还有, ISP想在其core network (即核心网)上部署IPv6以便解决IPv4地址匮乏问题,但是由于 需要考虑向后兼容(即兼容IPv4),升级IPv6的成本和收益不成正比,增大了 IPv6部署难 度。因此,有必要使用DS-Iite (Dual-SrackLite,轻量级双栈)技术在解决IPv4地址匮乏 问题的同时减少网络拓扑的变化和设备的更新。IETF(Internet Engineering Task Force,Internet工程任务组)提出的DS-lite 技术允许同一 ISP网络中的不同IPv4边缘设备使用重叠的IPv4地址,从而减缓IPv4地址 的耗尽速度。图1示出了一种DS-Lite的实现。如图1所示,DS-Lite先将用户的私网IPv4报文 封装到IPv6隧道中,传送到NPE (即网络侧设备)上时解出IPv4报文时再进行NAT (Network Address Translation,网络地址转换)。使用用户的IPv6地址区分不同的用户私网,私网空间可以重叠。用户需要了解上行隧道的终端地址,即NPE的地址。可以手工在CPE(即用户侧设 备)上配置NPE地址,不过不便于实际部署。为了告知用户运营商的NPE地址,DS-Lite方 案提供了一种标准的通过DHCPv6选项动态通知CPE的技术即在CPE上线后,将用户连接 的NPE地址告知CPE,授权用户使用这个NPE,这个过程是通过DHCPv6协议完成的。现有IPv4网络中,对用户的IPv4访问权限要进行相应的控制。升级到IPv6网络 后,对用户的IPv6访问权限也可进行类似的限制。控制点选择在BAS(Broadbind Access Server,宽带接入服务器)设备进行访问权限控制,因为BAS设备在运营商侧,是所有用户 的共同接入点,便于运营商控制。具体的认证机制有很多种,比如802. lx、Portal、PPPoE寸。802. Ix认证机制是IEEE组织制订的一种标准的网络认证协议,该协议的接入控 制是基于端口的,在用户认证通过前,关闭端口转发报文的工作,使端口处于受控状态,只5允许认证协议报文即EAPOL报文通过,用户通过EAPOL协议报文的交互进行认证,认证通 过后打开端口,使端口处于非受控状态,用户允许接入网络,用户下线后将端口重新恢复为 受控状态,等待用户的再次认证。802. Ix实现上也有相应的扩展,可以基于IP、MAC (Media Access Control,媒体接入控制)等对用户进行权限控制。Portal认证机制是由BAS推送给用户一个TOB页面,用户在页面上输入用户名密 码等进行用户认证,认证通过后,可以根据用户IP地址、MAC地址等信息,开放用户上网权 限。PPPoE认证,也是BAS设备作为PPPoE服务器,允许用户PC或CPE设备远程登录到 BAS上进行认证,然后BAS开放用户上网权限。在部署了 DS-Lite接入后,组网结构可如图2所示。其中,DHCPv6服务器连接在 BAS设备上,NPE连接在BAS与IPv4网络之间,CPE所发的IPv4inIPv6报文(即封装在IPv6 隧道中的IPv4报文)传送到NPE上后,解封装后转入IPv4网络。专利技术人在实现本专利技术的过程中,发现现有技术至少存在以下缺陷现有方案中,BAS对DS-Lite用户的权限控制只能做到较粗粒度的控制,比如 802. Ix只能做到端口级别,Portal (门户,入口,也指web认证的另外一种称呼)只能做到 报文外层IP地址的控制。对于用户隧道内的IPv4私网报文实际上没有任何控制,这将导 致无法做到限制用户的IPv4上网权限。
技术实现思路
本专利技术的目的在于提供一种轻量级双栈组网中的访问控制方法及其装置,以解决 在IPv4网络和IPv6网络共存情况下,现有DS-Lite技术无法对用户的IPv4网络访问权限 进行控制的问题,为此,本专利技术采用如下技术方案一种轻量级双栈组网中的访问控制方法,应用于在IPv4网络和IPv6网络共存的 组网中,对客户端访问IPv4网络进行控制的过程,该方法包括接入设备获取客户端的IPv4网络访问权限信息,以及所述客户端的地址以及为 该客户端所分配的网络侧设备NPE的地址,并根据获取到的IPv4网络访问权限信息、客户 端地址以及与其对应的NPE地址,设置相应的报文转发规则;当所述接入设备接收到所述客户端发送的报文时,根据设置的报文转发规则控制 所述报文的转发。上述方法中,在所述组网中仅有一个NPE时,所述报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况 下,所述报文转发规则为源地址为所述客户端地址的报文允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源IP为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文不 允许通过。上述方法中,在所述组网中有多个NPE且为客户端分配有NPE网段时,所述报文转6发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况 下,所述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的 地址的报文不允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文 允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的 地址的报文不允许通过。上述方法中,所述客户端的认证报文中的认证扩展属性中携带有客户端的IPv4 网络访问权限信息,所述接入设备获取客户端的IPv4网络访问权限信息,具体为所述接入设备通过与认证服务器交互所述客户端的认证信息,获取其中携带的客 户端的IPv4网络访问权限信息。上述方法中,所述接入设备获取所述客户端的地址以及为该客户端所分配的网络 侧设备NPE的地址,具体为所述接入设备通过监听所述客户端与DHCP服务器交互的信息,获取所述客户端 的地址以及为所述客户端分本文档来自技高网...
【技术保护点】
一种轻量级双栈组网中的访问控制方法,应用于在IPv4网络和IPv6网络共存的组网中,对客户端访问IPv4网络进行控制的过程,其特征在于,包括以下步骤:接入设备获取客户端的IPv4网络访问权限信息,所述客户端的地址以及为该客户端所分配的网络侧设备NPE的地址,并根据获取到的IPv4网络访问权限信息、客户端地址以及与其对应的NPE地址,设置相应的报文转发规则;当所述接入设备接收到所述客户端发送的报文时,根据设置的报文转发规则控制所述报文的转发。
【技术特征摘要】
一种轻量级双栈组网中的访问控制方法,应用于在IPv4网络和IPv6网络共存的组网中,对客户端访问IPv4网络进行控制的过程,其特征在于,包括以下步骤接入设备获取客户端的IPv4网络访问权限信息,所述客户端的地址以及为该客户端所分配的网络侧设备NPE的地址,并根据获取到的IPv4网络访问权限信息、客户端地址以及与其对应的NPE地址,设置相应的报文转发规则;当所述接入设备接收到所述客户端发送的报文时,根据设置的报文转发规则控制所述报文的转发。2.如权利要求1所述的方法,其特征在于,在所述组网中仅有一个NPE时,所述报文转 发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所述报 文转发规则为源地址为所述客户端地址的报文允许通过;源IP为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文不允许 通过。3.如权利要求1所述的方法,其特征在于,在所述组网中有多个NPE且为客户端分配有 NPE网段时,所述报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的地址 的报文不允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文允许 通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所述报 文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的地址 的报文不允许通过。4.如权利要求1至3任一项所述的方法,其特征在于,所述客户端的认证报文中的认证 扩展属性中携带有客户端的IPv4网络访问权限信息,所述接入设备获取客户端的IPv4网 络访问权限信息,具体为所述接入设备通过与认证服务器交互所述客户端的认证信息,获取其中携带的客户端 的IPv4网络访问权限信息。5.如权利要求1至3任一项所述的方法,其特征在于,所述接入设备获取所述客户端的 地址以及为该客户端所分配的网络侧设备NPE的地址,具体为所述接入设备通过监听所述客户端与DHCP服务器交互的信息,获取所述客户端的地址以及为所述客...
【专利技术属性】
技术研发人员:林涛,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。