一种处理源角色信息的方法和装置制造方法及图纸

本发明专利技术提供了一种处理源角色信息的方法和装置，在入口(Ingress)设备上将源角色标签(tag)作为报文的内层虚拟局域网(VLAN)标签插入报文，中间设备对携带源角色tag的内层VLAN标签保持不变，出口(Egress)设备从数据报文中获取作为内层VLAN标签的源角色tag从而进行基于角色的接入控制即可。本发明专利技术利用了网络设备已有的QinQ功能，无需对现有网络设备的功能进行较大改动，降低了网络的升级成本。

【技术实现步骤摘要】

本专利技术涉及网络通信
，特别涉及一种处理源角色信息的方法和装置。
技术介绍
为了保证网络的安全，当用户接入网络时，需要对用户进行认证，认证后还需要通过接入控制手段即通过配置接入控制列表(ACL)对用户的访问权限进行限制。传统的接入控制方法主要是基于IP地址，但会造成ACL配置数量过多以及ip地址变化所带来的配置管理工作量大的缺点。于是，基于角色的接入控制方法被提出，其基本思想是针对用户分配源角色标签(tag)，针对服务器分配目的角色tag，ACL相应基于源角色tag和目的角色 tag进行接入控制。这种基于角色的方式相当于通过角色信息对基于ip地址的ACL进行聚合，大大缩减了 ACL配置的数量，且不管ip地址如何变化，角色标签不会发生变化，基于角色的ACL均不会发生变化，显然大大降低了配置管理的工作量。基于角色的接入控制架构可以如图1所示，用户设备在通过认证后获得源角色， 该源角色信息存储在入口(digress)设备中，资源侧设备(图中以服务器为例)在通过认证后获得目的角色，该目的角色信息存储在出口(Egress)设备中，并形成基于角色的接入控制列表(RBACL)。用户设备发送报文至hgress设备，Ingress设备将该报文中携带用户设备的源角色信息，该报文在后续转发过程中都携带该源角色信息直至到达Egress设备。 Egress设备接收到该报文后，确定该报文的目的角色信息，根据源角色信息和目的角色信息匹配RBACL，根据匹配结果对该报文进行接入控制，包括允许转发、拒绝转发或转发速率限制等。需要说明的是，在图1所示架构中，digress和Egress设备可以在二层网络也可以在三层网络中，Ingress设备与用户设备之间以及Egress设备与服务器之间可以存在普通网络设备，Ingress设备与Egress设备之间可以存在中间网络设备。在现有的实现方法中，源角色信息在报文中的携带方式主要存在以下几种第一种通过物理层携带的方式。即通过报文中8个字节的以太网前导码携带。 但这种方式需要修改标准以太网的前导码，当前设备的物理层功能并不支持，需要进行整网升级，升级成本高，难以过渡和推广。第二种通过链路层携带的方式。即通过报文中新构造的角色控制信息字段携带。 但这种方式由于构造了新的字段，当前设备并不支持，需要进行整网升级，升级成本高。第三种通过IPv4选项(Option)字段携带的方式。即在IPv4字段中定义一个新的Option类型来携带源角色信息，同样需要对整网进行升级处理，使得所有设备都能够对新增加的Option类型进行处理，升级代价高，且不支持除IPv4之外的其它类型报文。第四种通过IPv6 Option字段携带的方式。即在IPv6字段中定义一个新的IPv6 扩展头，即SGT选项头来携带源角色信息。但SGT选项头的硬件插入需要芯片支持新的功能，同样需要进行芯片功能的升级，升级代价高，且不支持除IPv6之外的其它类型报文。可以看出，现有技术中的上述几种方式都需要对现有设备的功能进行较大改动， 升级成本较高。
技术实现思路
本专利技术提供了一种处理源角色信息的方法和装置，以便于较好的与现有设备的功能兼容，降低升级成本。一种处理源角色信息的方法，应用于包含入口 digress设备和出口 Egress设备的网络，该方法包括所述Egress设备接收到来自用户设备的数据报文后，根据所述数据报文的来源信息确定源角色标签tag后，将该源角色tag作为数据报文的内层虚拟局域网VLAN标签插入数据报文后，转发该数据报文；其中，所述源角色tag对应所述用户设备的角色；如果所述Egress设备和Egress设备之间存在中间设备，则所述中间设备在对所述数据报文的转发过程中，保持作为内层VLAN标签的源角色tag不变直至转发所述数据报文至Egress设备；所述Egress设备从所述数据报文中获取作为内层VLAN标签的源角色tag，用于对所述数据报文进行基于角色的接入控制。一种入口 Ingress设备,该Ingress设备包括报文接收单元，用于接收来自用户设备的数据报文；角色标签确定单元，用于根据所述数据报文的来源信息确定源角色标签tag ；其中所述源角色tag对应所述用户设备的角色；角色标签插入单元，用于将所述源角色tag作为所述数据报文的内层虚拟局域网 VLAN标签插入所述数据报文；转发处理单元，用于转发所述数据报文。一种出口 Egress设备，该Egress设备包括报文接收单元，用于接收来自用户侧的数据报文；角色标签获取单元，用于从所述数据报文中获取作为内层虚拟局域网VLAN标签的源角色标签tag ；其中，所述源角色tag对应发送所述数据报文的用户设备的角色；接入控制单元，用于利用所述源角色tag对所述数据报文进行基于角色的接入控制。一种中间设备，该中间设备包括报文接收单元，用于接收来自入口 hgress设备或其它中间设备的数据报文；标签识别单元，用于对所述数据报文的内层虚拟局域网VLAN标签进行识别；转发处理单元，用于在对所述数据报文的转发过程中，如果所述标签识别单元识别出所述内层VLAN标签为源角色标签tag，则保持所述内层VLAN标签不变；其中，所述源角色tag对应发送数据报文的用户设备的角色。由以上技术方案可以看出，本专利技术通过在hgress设备上将源角色tag作为报文的内层VLAN标签插入报文，只需设置中间设备对携带源角色tag的内层VLAN标签保持不变，Egress设备从数据报文中获取作为内层VLAN标签的源角色tag从而进行基于角色的接入控制即可。本专利技术利用了网络设备已有的QinQ功能，无需对现有网络设备的功能进行较大改动，降低了网络的升级成本。附图说明图1为基于角色的接入控制架构示意图；图2为第一种应用场景的示意图；图3为第二种应用场景的示意图；图4为第三种应用场景的示意图；图5为第四种应用场景的示意图；图6为本专利技术提供的hgress设备采用认证方式配置对应关系的第一个实例示意图；图7为本专利技术提供的hgress设备采用认证方式配置对应关系的第二个实例示意图；图8为本专利技术提供的Egress设备采用认证的方式配置RBACL的方法示意图；图9为本专利技术提供的hgress设备的一种结构示意图；图10为本专利技术提供的hgress设备的另一种结构示意图；图11为本专利技术提供的Egress设备的结构示意图；图12为本专利技术提供的中间设备的结构示意图。具体实施例方式为了使本专利技术的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本专利技术进行详细描述。本专利技术的核心思想在于Jngress设备根据接收到的报文的来源信息确定源角色 tag后，将该源角色tag作为报文的内层VLAN标签插入报文中后进行转发，其中该色 tag对应用户设备的角色；如果hgress设备与Egress设备之间存在中间设备，则该中间设备在转发过程中保持作为内层VLAN标签的源角色tag不变直至转发该报文至Egress设备；Egress设备从报文获取作为内层VLAN标签的源角色tag，用于对数据报文进行基于角色的接入控制。也就是说，本专利技术利用了网络设备已有的QinQ功能，将源角色tag以报文的内层 VLAN标签的形式插入报文，只需设置中间设备对携带源角色tag的本文档来自技高网...

【技术保护点】
１．一种处理源角色信息的方法，应用于包含入口Ｉｎｇｒｅｓｓ设备和出口Ｅｇｒｅｓｓ设备的网络，其特征在于，该方法包括：所述Ｉｎｇｒｅｓｓ设备接收到来自用户设备的数据报文后，根据所述数据报文的来源信息确定源角色标签ｔａｇ后，将该源角色ｔａｇ作为数据报文的内层虚拟局域网ＶＬＡＮ标签插入数据报文后，转发该数据报文；其中，所述源角色ｔａｇ对应所述用户设备的角色；如果所述Ｉｎｇｒｅｓｓ设备和Ｅｇｒｅｓｓ设备之间存在中间设备，则所述中间设备在对所述数据报文的转发过程中，保持作为内层ＶＬＡＮ标签的源角色ｔａｇ不变直至转发所述数据报文至Ｅｇｒｅｓｓ设备；所述Ｅｇｒｅｓｓ设备从所述数据报文中获取作为内层ＶＬＡＮ标签的源角色ｔａｇ，用于对所述数据报文进行基于角色的接入控制。

【技术特征摘要】
1.一种处理源角色信息的方法，应用于包含入口 digress设备和出口 Egress设备的网络，其特征在于，该方法包括所述Egress设备接收到来自用户设备的数据报文后，根据所述数据报文的来源信息确定源角色标签tag后，将该源角色tag作为数据报文的内层虚拟局域网VLAN标签插入数据报文后，转发该数据报文；其中，所述源角色tag对应所述用户设备的角色；如果所述Egress设备和Egress设备之间存在中间设备，则所述中间设备在对所述数据报文的转发过程中，保持作为内层VLAN标签的源角色tag不变直至转发所述数据报文至 Egress 设备；所述Egress设备从所述数据报文中获取作为内层VLAN标签的源角色tag，用于对所述数据报文进行基于角色的接入控制。2.根据权利要求1所述的方法，其特征在于，该方法还包括所述Egress设备接收到所述用户设备的认证请求后，将该认证请求转发给接入认证服务器；获取接入认证服务器下发的所述用户设备的角色信息，并将接收所述认证请求的入端口与所述用户设备的角色信息对应的源角色tag之间的对应关系下发给Ingress设备的硬件层面；根据所述数据报文的来源信息确定源角色tag为所述Egress设备根据下发给硬件层面的所述对应关系，确定接收所述数据报文的入端口对应的源角色tag。3.根据权利要求1所述的方法，其特征在于，该方法还包括普通设备将所述用户设备发送的认证请求转发给接入认证服务器，获取接入认证服务器下发的所述用户设备的角色信息，并将所述用户设备的角色信息与所述认证请求的源地址信息或协议号之间的对应关系发送给所述Egress设备；所述Egress设备将所述用户设备的角色信息对应的源角色 tag与所述源地址信息或协议号之间的对应关系下发给该Egress设备的硬件层面；根据所述数据报文的来源信息确定源角色tag为所述Egress设备根据下发给硬件层面的所述对应关系，确定所述数据报文的源地址信息或协议号对应的源角色tag。4.根据权利要求1所述的方法，其特征在于，对所述数据报文进行基于角色的接入控制包括所述Egress设备确定所述数据报文的目的角色信息，根据获取的源角色tag和所述目的角色信息匹配基于角色的接入控制列表RBACL，按照匹配的结果对所述数据报文进行接入控制处理。5.根据权利要求4所述的方法，其特征在于，该方法还包括所述Egress设备将来自资源侧设备的认证请求转发给接入认证服务器，获取接入认证服务器下发的所述资源侧设备的角色信息，将所述认证请求的源地址信息与所述资源侧设备的角色信息之间的对应关系下发到该Egress设备的硬件层面；从接入认证服务器获取基于角色的控制策略，该基于角色的控制策略以所述接入认证服务器下发的角色信息作为目的角色信息；将所述基于角色的控制策略中的源角色信息替换为对应的源角色tag后得到基于角色的接入控制列表 RBACLJf RBACL下发该Egress设备的硬件层面；确定所述数据报文的目的角色信息为根据下发到硬件层面的所述对应关系，确定所述数据报文的目的地址信息对应的角色信息；Egress设备对下发到硬件层面的RBACL执行所述匹配处理。6.根据权利要求1至5任一权项所述的方法，其特征在于，所述源角色tag作为内层 VLAN标签时，所述内层VLAN标签的标签协议标识TPID为非0X8100的一个设定值；所述中间设备识别出接收到的数据报文的内层VLAN标签的TPID为所述设定值时，保持所述数据报文的内层VLAN标签不变；所述Egress设备识别出接收到的数据报文的内层VLAN标签的TPID为所述设定值时， 从所述数据报文中获取作为内层VLAN标签的源角色tag。7.根据权利要求1至6任一权项所述的方法，其特征在于，所述hgress设备和所述中间设备对数据报文的转发处理包括Al、如果接收到的所述数据报文中没有包含虚拟局域网标签Vtag，则确定数据报文的 Vtag,并将该Vtag作为外层VLAN标签插入所述数据报文，执行A2 ；如果接收到的所述数据报文中已经包含Vtag，则直接执行A2 ；A2、利用所述数据报文包含的Vtag和所述数据报文的目的地址信息查找二层或三层转发表确定出端口；A3、将剥离或不剥离所述Vtag，且携带所述源角色tag的数据报文通过确定的出端口进行转发。8.根据权利要求1至6任一权项所述的方法，其特征在于，所述Egress设备对所述数据报文还进行以下操作Bi、如果接收到的所述数据报文中没有包含Vtag，则确定所述数据报文的Vtag，并将该Vtag作为外层VLAN标签插入所述数据报文，执行B2 ；如果接收到的所述数据报文中已经包含Vtag，则直接执行B2 ；B2、利用所述数据报文包含的Vtag和所述数据报文的目的地址信息查找二层或三层转发表确定出端口；B3、剥离所述数据报文的源角色tag，剥离或不剥离所述Vtag，在所述接入控制处理需要转发所述数据报文时，通过确定的出端口转发数据报文。9.一种入口 hgress设备，其特征在于，该hgress设备包括 报文接收单元，用于接收来自用户设备的数据报文；角色标签确定单元，用于根据所述数据报文的来源信息确定源角色标签tag;其中所述源角色tag对应所述用户设备的角色；角色标签插入单元，用于将所述源角色tag作为所述数据报文的内层虚拟局域网VLAN 标签插入所述数据报文；转发处理单元，用于转发所述数据报文。10.根据权利要求9所述的hgress设备，其特征在于，该hgress设备还包括认证处理单元和第一标签配置单元；所述认证处理单元，用于将来自所述用户设备的认证请求转发给接入认证服务器； 所述第一标签配置单元，用于获取接入认证服务器下发的所述用户设备的角色信息， 并将接收所述认证请求的入端口与所述用户设备的角色信息对应的源角色tag之间的对应关系下发给硬件层面；所述角色标签确定单元根据下发给硬件层面的所述对应关系，执行根据所述...

【专利技术属性】
技术研发人员：宋玉兵，杨小朋，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：86