【技术实现步骤摘要】
本专利技术涉及网络通信
,特别涉及一种处理源角色信息的方法和装置。
技术介绍
为了保证网络的安全,当用户接入网络时,需要对用户进行认证,认证后还需要通过接入控制手段即通过配置接入控制列表(ACL)对用户的访问权限进行限制。传统的接入控制方法主要是基于IP地址,但会造成ACL配置数量过多以及ip地址变化所带来的配置管理工作量大的缺点。于是,基于角色的接入控制方法被提出,其基本思想是针对用户分配源角色标签(tag),针对服务器分配目的角色tag,ACL相应基于源角色tag和目的角色 tag进行接入控制。这种基于角色的方式相当于通过角色信息对基于ip地址的ACL进行聚合,大大缩减了 ACL配置的数量,且不管ip地址如何变化,角色标签不会发生变化,基于角色的ACL均不会发生变化,显然大大降低了配置管理的工作量。基于角色的接入控制架构可以如图1所示,用户设备在通过认证后获得源角色, 该源角色信息存储在入口(digress)设备中,资源侧设备(图中以服务器为例)在通过认证后获得目的角色,该目的角色信息存储在出口(Egress)设备中,并形成基于角色的接入控制列表(RBACL)。用户设备发送报文至hgress设备,Ingress设备将该报文中携带用户设备的源角色信息,该报文在后续转发过程中都携带该源角色信息直至到达Egress设备。 Egress设备接收到该报文后,确定该报文的目的角色信息,根据源角色信息和目的角色信息匹配RBACL,根据匹配结果对该报文进行接入控制,包括允许转发、拒绝转发或转发速率限制等。需要说明的是,在图1所示架构中,digress和Egr ...
【技术保护点】
1.一种处理源角色信息的方法,应用于包含入口Ingress设备和出口Egress设备的网络,其特征在于,该方法包括:所述Ingress设备接收到来自用户设备的数据报文后,根据所述数据报文的来源信息确定源角色标签tag后,将该源角色tag作为数据报文的内层虚拟局域网VLAN标签插入数据报文后,转发该数据报文;其中,所述源角色tag对应所述用户设备的角色;如果所述Ingress设备和Egress设备之间存在中间设备,则所述中间设备在对所述数据报文的转发过程中,保持作为内层VLAN标签的源角色tag不变直至转发所述数据报文至Egress设备;所述Egress设备从所述数据报文中获取作为内层VLAN标签的源角色tag,用于对所述数据报文进行基于角色的接入控制。
【技术特征摘要】
1.一种处理源角色信息的方法,应用于包含入口 digress设备和出口 Egress设备的网络,其特征在于,该方法包括所述Egress设备接收到来自用户设备的数据报文后,根据所述数据报文的来源信息确定源角色标签tag后,将该源角色tag作为数据报文的内层虚拟局域网VLAN标签插入数据报文后,转发该数据报文;其中,所述源角色tag对应所述用户设备的角色;如果所述Egress设备和Egress设备之间存在中间设备,则所述中间设备在对所述数据报文的转发过程中,保持作为内层VLAN标签的源角色tag不变直至转发所述数据报文至 Egress 设备;所述Egress设备从所述数据报文中获取作为内层VLAN标签的源角色tag,用于对所述数据报文进行基于角色的接入控制。2.根据权利要求1所述的方法,其特征在于,该方法还包括所述Egress设备接收到所述用户设备的认证请求后,将该认证请求转发给接入认证服务器;获取接入认证服务器下发的所述用户设备的角色信息,并将接收所述认证请求的入端口与所述用户设备的角色信息对应的源角色tag之间的对应关系下发给Ingress设备的硬件层面;根据所述数据报文的来源信息确定源角色tag为所述Egress设备根据下发给硬件层面的所述对应关系,确定接收所述数据报文的入端口对应的源角色tag。3.根据权利要求1所述的方法,其特征在于,该方法还包括普通设备将所述用户设备发送的认证请求转发给接入认证服务器,获取接入认证服务器下发的所述用户设备的角色信息,并将所述用户设备的角色信息与所述认证请求的源地址信息或协议号之间的对应关系发送给所述Egress设备;所述Egress设备将所述用户设备的角色信息对应的源角色 tag与所述源地址信息或协议号之间的对应关系下发给该Egress设备的硬件层面;根据所述数据报文的来源信息确定源角色tag为所述Egress设备根据下发给硬件层面的所述对应关系,确定所述数据报文的源地址信息或协议号对应的源角色tag。4.根据权利要求1所述的方法,其特征在于,对所述数据报文进行基于角色的接入控制包括所述Egress设备确定所述数据报文的目的角色信息,根据获取的源角色tag和所述目的角色信息匹配基于角色的接入控制列表RBACL,按照匹配的结果对所述数据报文进行接入控制处理。5.根据权利要求4所述的方法,其特征在于,该方法还包括所述Egress设备将来自资源侧设备的认证请求转发给接入认证服务器,获取接入认证服务器下发的所述资源侧设备的角色信息,将所述认证请求的源地址信息与所述资源侧设备的角色信息之间的对应关系下发到该Egress设备的硬件层面;从接入认证服务器获取基于角色的控制策略,该基于角色的控制策略以所述接入认证服务器下发的角色信息作为目的角色信息;将所述基于角色的控制策略中的源角色信息替换为对应的源角色tag后得到基于角色的接入控制列表 RBACLJf RBACL下发该Egress设备的硬件层面;确定所述数据报文的目的角色信息为根据下发到硬件层面的所述对应关系,确定所述数据报文的目的地址信息对应的角色信息;Egress设备对下发到硬件层面的RBACL执行所述匹配处理。6.根据权利要求1至5任一权项所述的方法,其特征在于,所述源角色tag作为内层 VLAN标签时,所述内层VLAN标签的标签协议标识TPID为非0X8100的一个设定值;所述中间设备识别出接收到的数据报文的内层VLAN标签的TPID为所述设定值时,保持所述数据报文的内层VLAN标签不变;所述Egress设备识别出接收到的数据报文的内层VLAN标签的TPID为所述设定值时, 从所述数据报文中获取作为内层VLAN标签的源角色tag。7.根据权利要求1至6任一权项所述的方法,其特征在于,所述hgress设备和所述中间设备对数据报文的转发处理包括Al、如果接收到的所述数据报文中没有包含虚拟局域网标签Vtag,则确定数据报文的 Vtag,并将该Vtag作为外层VLAN标签插入所述数据报文,执行A2 ;如果接收到的所述数据报文中已经包含Vtag,则直接执行A2 ;A2、利用所述数据报文包含的Vtag和所述数据报文的目的地址信息查找二层或三层转发表确定出端口;A3、将剥离或不剥离所述Vtag,且携带所述源角色tag的数据报文通过确定的出端口进行转发。8.根据权利要求1至6任一权项所述的方法,其特征在于,所述Egress设备对所述数据报文还进行以下操作Bi、如果接收到的所述数据报文中没有包含Vtag,则确定所述数据报文的Vtag,并将该Vtag作为外层VLAN标签插入所述数据报文,执行B2 ;如果接收到的所述数据报文中已经包含Vtag,则直接执行B2 ;B2、利用所述数据报文包含的Vtag和所述数据报文的目的地址信息查找二层或三层转发表确定出端口;B3、剥离所述数据报文的源角色tag,剥离或不剥离所述Vtag,在所述接入控制处理需要转发所述数据报文时,通过确定的出端口转发数据报文。9.一种入口 hgress设备,其特征在于,该hgress设备包括 报文接收单元,用于接收来自用户设备的数据报文;角色标签确定单元,用于根据所述数据报文的来源信息确定源角色标签tag;其中所述源角色tag对应所述用户设备的角色;角色标签插入单元,用于将所述源角色tag作为所述数据报文的内层虚拟局域网VLAN 标签插入所述数据报文;转发处理单元,用于转发所述数据报文。10.根据权利要求9所述的hgress设备,其特征在于,该hgress设备还包括认证处理单元和第一标签配置单元;所述认证处理单元,用于将来自所述用户设备的认证请求转发给接入认证服务器; 所述第一标签配置单元,用于获取接入认证服务器下发的所述用户设备的角色信息, 并将接收所述认证请求的入端口与所述用户设备的角色信息对应的源角色tag之间的对应关系下发给硬件层面;所述角色标签确定单元根据下发给硬件层面的所述对应关系,执行根据所述...
【专利技术属性】
技术研发人员:宋玉兵,杨小朋,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:86
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。