CN106973016B - 访问控制方法、装置及设备 - Google Patents
访问控制方法、装置及设备 Download PDFInfo
- Publication number
- CN106973016B CN106973016B CN201710153888.6A CN201710153888A CN106973016B CN 106973016 B CN106973016 B CN 106973016B CN 201710153888 A CN201710153888 A CN 201710153888A CN 106973016 B CN106973016 B CN 106973016B
- Authority
- CN
- China
- Prior art keywords
- vrf
- private
- message
- public
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种访问控制方法、装置及设备,所述方法包括:根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息;将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较;如果所述报文的目的地址不在所述地址范围内,丢弃报文;如果所述报文的目的地址在所述地址范围内,将所述发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。本申请在通过路由的方式实现对用户权限的控制,节约设备硬件资源,有助于设备性能的提高。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及访问控制方法、装置及设备。
背景技术
随着网络技术的发展,网络信息安全也变得越来越重要,在企业网、校园网等网络中,接入网络的角色多种多样,网络管理员需要对不同的用户进行权限的划分,限制特定的用户只能访问特定的资源。
路由器的作用是将报文从一个网络传输到另一个网络。路由器工作于网络层,是信息出入的必经之路,因此网络路由包括过滤技术对网络的安全具有举足轻重的作用。路由器能有效的防止外部用户对局域网的安全访问,同时可以限制网络流量,也可以限制局域网内的用户或设备使用网络资源。另外,也可以通过交换机实现访问控制。
目前,路由器/交换机的主要安全措施是通过访问控制列表(Access ControlList,ACL)技术允许或拒绝报文通过路由器/交换机的接口来实现。访问控制列表是一组条件控制指令列表。通过对列表中的不同控制条件组合的管理和控制,形成一组permit(允许)和deny(拒绝)函数组成的有序条件集合,控制路由器/交换机端口的访问权限,保证路由器/交换机最基本的安全性。
然而,ACL资源属于硬件资源,设备的ACL资源越多,设备成本越高。
发明内容
为克服相关技术中存在的问题,本申请提供了访问控制方法、装置及设备。
根据本申请实施例的第一方面,提供一种访问控制方法,所述方法包括:
根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息;
将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较;
如果所述报文的目的地址不在所述地址范围内,丢弃报文;
如果所述报文的目的地址在所述地址范围内,将所述发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
可选的,所述根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为用户等级对应的私有VRF,包括:
根据用户标识与私有VRF的对应关系,将报文发送者默认所属的公共VRF更换为所述发送者的标识对应的私有VRF,所述用户标识与私有VRF的对应关系基于用户标识与用户等级的关系、用户等级与私有VRF的关系获得。
可选的,所述方法还包括:
根据用户标识与公共VRF的对应关系,确定所述发送者对应公共VRF时,利用公共VRF下的全局路由信息查找路由,并进行报文转发;
其中,所述用户标识与公共VRF的对应关系基于用户标识与用户等级的关系、用户等级与公共VRF的关系获得。
可选的,所述将发送者默认所属的公共VRF更换为用户等级对应的私有VRF,包括:
将所述报文中公共VRF字段更换为用户等级对应的私有VRF字段;
所述将所述发送者的私有VRF更换为公共VRF,包括:
将所述报文中私有VRF字段更换为公共VRF字段。
根据本申请实施例的第二方面,提供一种访问控制装置,所述装置包括:
信息更换模块,用于根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息;
信息比较模块,用于将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较;如果所述报文的目的地址在所述地址范围内,通知所述信息更换模块将所述发送者的私有VRF更换为公共VRF;
路由查找模块,用于如果所述报文的目的地址不在所述地址范围内,丢弃报文;如果所述报文的目的地址在所述地址范围内,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
可选的,所述信息更换模块,具体用于:
根据用户标识与私有VRF的对应关系,将报文发送者默认所属的公共VRF更换为所述发送者的标识对应的私有VRF,所述用户标识与私有VRF的对应关系基于用户标识与用户等级的关系、用户等级与私有VRF的关系获得。
可选的,所述路由查找模块,还用于:
根据用户标识与公共VRF的对应关系,确定所述发送者对应公共VRF时,利用公共VRF下的全局路由信息查找路由,并进行报文转发;
其中,所述用户标识与公共VRF的对应关系基于用户标识与用户等级的关系、用户等级与公共VRF的关系获得。
可选的,所述信息更换模块,具体用于:
根据报文发送者的用户等级,将所述报文中公共VRF字段更换为用户等级对应的私有VRF字段;
根据所述信息比较模块的通知,将所述报文中私有VRF字段更换为公共VRF字段。
根据本申请实施例的第三方面,提供一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息;
将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较;
如果所述报文的目的地址不在所述地址范围内,丢弃报文;
如果所述报文的目的地址在所述地址范围内,将所述发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
本申请根据报文的发送者的用户等级,将发送者默认所属的公共VRF更换为用户等级对应的私有VRF,如果报文的目的地址不在私有VRF所对应的跨VRF资源的地址范围内,则丢弃报文;如果报文的目的地址在私有VRF所对应的跨VRF资源的地址范围内,将发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。由于用户流量进行数据转发时,查找路由是必不可少的流程,因此本申请在通过路由的方式实现对用户权限的控制,和其他方式相比节约设备硬件资源,有助于设备性能的提高。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是本申请根据一示例性实施例示出的一种应用场景图。
图2A是本申请根据一示例性实施例示出的一种访问控制方法的流程图。
图2B是本申请根据一示例性实施例示出的一种资源访问示意图。
图3是本申请根据一示例性实施例示出的另一种访问控制方法的流程图。
图4是本申请根据一示例性实施例示出的一种访问控制装置。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
ACL资源属于硬件资源,用户认证通过后,接入设备下发对应用户的ACL规则,通过ACL对用户访问权限进行控制。ACL规则越多,设备成本越高。当用户量多时,规则条数会随之增多,当流量大的时候,很大程度上浪费设备性能。
为了避免成本高以及浪费设备性能的问题,本申请提供一种访问控制方法,所述方法可以应用在支持VRF(Vritual Routing Forwarding,VPN路由转发表,也称为VPN-instance)的接入设备中。接入设备(Access Device)是一个硬件设备,其通常用于远程的访问网络资源,反之亦然。在一个例子中,接入设备可以是宽带接入服务器。宽带接入服务器(Broadband Remote Access Server,简称BRAS)是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户带宽的IP/ATM网的数据接入,实现商业楼宇及小区住户等的宽带上网、基于IPSec(IP Security Protocol)的IP VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用。
为了方便理解,本申请还提供一种本申请方法所应用的场景图。如图1所示,图1是本申请根据一示例性实施例示出的一种应用场景图。在该场景中,不同用户(图中以用户A、用户B和用户C为例)的用户终端通过交换机与宽带接入服务器连接,宽带接入服务器接入Internet网,进而访问相应的网络资源。本申请访问控制方法可以应用在宽带接入服务器中,通过宽带接入服务器实现限制不同级别的用户访问不同的网络资源。
可以理解的是,宽带接入服务器可以具有路由功能,因此可以充当路由器。本申请仅列举出其中一种场景图,针对其他需要控制用户访问网络资源的场景也适用,在此不再一一列举。
接下来对本申请的访问控制方法进行介绍。如图2A所示,图2A是本申请根据一示例性实施例示出的一种访问控制方法的流程图,该方法可以用于接入设备中,包括以下步骤201至步骤204:
在步骤201中,根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息。
在步骤202中,将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较。
在步骤203中,如果所述报文的目的地址不在所述地址范围内,丢弃报文。
在步骤204中,如果所述报文的目的地址在所述地址范围内,将所述发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
在本申请实施例中,可以将全网可访问的资源全部划分在一个VRF中,该VRF中设有全局路由信息,在这个VRF中查找路由,可以访问所有的网络资源,进而可以将该类VRF称为公共VRF。同时,可以根据用户等级的级数建立多个其他的VRF,不同用户等级对应不同VRF,每个VRF中无任何路由信息,因此无法在这个VRF中查找路由,但每个VRF可以对应一部分跨VRF资源,跨VRF资源可以通过资源的IP地址范围表示,私有VRF对应的用户可以访问该私有VRF下的跨VRF资源,将该类VRF称为私有VRF。
可见,将所有资源划分到公共VRF中,其他私有VRF只起隔离作用,没有增加整机设备的路由条目。
为了方便理解,本申请还提供一种资源访问示意图。如图2B所示,图2B是本申请根据一示例性实施例示出的一种资源访问示意图。在该示意图中,全网资源都属于公共VRF(VRF0)中,在VRF0中可以访问资源A到D所有资源。假设用户分为四个等级:初级用户、中级用户、高级用户以及特权用户,特权用户能访问所有资源,则可以增设3个私有VRF:VRF1、VRF2、VRF3。VRF1到VRF3中无任何路由信息,用户如果在VRF1到VRF3中查找路由,结果为没有转发路径可以使用,用户无法访问需要访问的资源。但3个私有VRF可以对应相应的跨VRF资源。
用户端发送的报文经过同一个接口进入接入设备。为了让报文经过同一个接口进入设备,将发送者的默认VRF设定为公共VRF。在接入设备中,接收发送者发送的报文,并根据发送者的用户等级,将发送者默认所属的公共VRF更换为用户等级对应的私有VRF。
在一个例子中,可以根据用户标识与私有VRF的对应关系,将报文发送者默认所属的公共VRF更换为所述发送者的标识对应的私有VRF。
在该实施例中,可以预先根据用户标识与用户等级的关系、以及用户等级与私有VRF的关系确定用户标识与私有VRF的对应关系;也可以预先根据用户标识与用户等级的关系、以及用户等级与公共VRF的关系确定用户标识与公共VRF的对应关系。
进一步的,经过上述预处理过程,可以将两种对应关系存储在一个关系列表中,从而获得用户标识与用户所属的VRF(包括公共VRF和私有VRF)的对应关系。
其中,用户标识可以是用户名、用户账号,也可以是数字、字符串、符号等的任意组合,只要能唯一标识用户即可。
如表1所示,表1是用户名、用户等级、用户所属VRF以及该VRF对应的跨VRF资源的对应关系表。用户接入网络时,需要进行身份验证,接入设备根据用户名判断其属于哪类用户,通过用户等级和VRF的对应关系,在接入设备上建立用户名和VRF的对应关系。
表1用户名、用户等级、用户所属VRF以及跨VRF资源的对应关系表
由表1可见,初级用户对应VRF1,VRF1中没有任何资源,但可以跨VRF1访问资源A,中级用户对应VRF2,可以跨VRF2访问资源B,高级用户对应VRF3,可以跨VRF3访问资源C,特权用户对应VRF0,由于VRF0对应所有资源,因此无需进行跨VRF访问其他资源,此时跨VRF资源为空。
基于此,在接收到报文时,根据报文所携带的用户标识、以及用户标识与VRF的对应关系,判断发送者所对应的VRF,如果所述发送者对应公共VRF时,利用公共VRF下的全局路由信息查找路由,并进行报文转发。如果所述发送者对应私有VRF时,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较,如果所述报文的目的地址不在所述地址范围内,表示待访问资源不在跨VRF资源中,该发送者没有访问该资源的权限,则不进行跨资源访问,由于私有VRF中不具有任何路由信息,没有转发路径可以使用,则丢弃该报文。如果所述报文的目的地址在所述地址范围内,表示待访问资源在跨VRF资源中,可以将所述发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
可见,正常的VRF实现完全三层路由隔离的技术,本实施例中VRF进行隔离时,增加了条件判断,在报文转发过程中,接入设备根据业务需求对用户报文的VRF进行实时更新,实现了跨VRF转发机制。并且,只有公共VRF中设有全局路由信息,私有VRF中无任何路由信息,实现共用一个路由信息表,避免在每个私有VRF中分别设置跨VRF资源对应的路由信息,由于各私有VRF中的跨VRF资源可能存在交叉,导致路由信息重叠,进而资源浪费。
如图2B所示,用户C上线后,用户C属于VRF3,当用户C发送的报文经过接入设备时,报文的VRF属于gige0_!所属的VRF0中,接入设备首先将用户的VRF替换为VRF3,然后根据用户所访问的目的地址和资源C的IP地址段进行比较,如果目的地址属于资源C的范围,接入设备重新将用户C所属的VRF3替换为VRF0,在VRF0中查找路由进行转发,用户C可以访问资源C,如果目的地址不属于资源C的范围,用户在VRF3中查找路由,结果为丢包。
进一步的,将发送者默认所属的公共VRF更换为用户等级对应的私有VRF,可以包括:将所述报文中公共VRF字段更换为用户等级对应的私有VRF字段;所述将所述发送者的私有VRF更换为公共VRF,包括:将所述报文中私有VRF字段更换为公共VRF字段。
可见,只需要简单更改报文中表示VRF的字段,即可实现快速更换VRF。
由上述实施例可见,根据报文的发送者的用户等级,将发送者默认所属的公共VRF更换为用户等级对应的私有VRF,如果报文的目的地址不在私有VRF所对应的跨VRF资源的地址范围内,则丢弃报文;如果报文的目的地址在私有VRF所对应的跨VRF资源的地址范围内,将发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。由于用户流量进行数据转发时,查找路由是必不可少的流程,因此本申请在通过路由的方式实现对用户权限的控制,和其他方式相比节约设备硬件资源,有助于设备性能的提高。
以上实施方式中的各种技术特征可以任意进行组合,只要特征之间的组合不存在冲突或矛盾,但是限于篇幅,未进行一一描述,因此上述实施方式中的各种技术特征的任意进行组合也属于本说明书公开的范围。
以下以其中一种组合进行示例说明。如图3所示,图3是本申请根据一示例性实施例示出的另一种访问控制方法的流程图,所述方法包括:
在步骤301中,接收报文,所述报文中携带有用户标识。
在步骤302中,根据报文所携带的用户标识、以及用户标识与VRF的对应关系,确定报文的发送者所属的VRF。
其中,用户标识与VRF的对应关系可以基于用户标识与用户等级的关系、用户等级与私有VRF/公共VRF的关系获得。不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息。
在步骤303中,若发送者所属的VRF为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
在步骤304中,若发送者所属的VRF为私有VRF,将发送者默认所属的公共VRF更换为发送者的标识对应的私有VRF。
在步骤305中,将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较。
在步骤306中,如果所述报文的目的地址不在所述地址范围内,丢弃报文。
在步骤307中,如果所述报文的目的地址在所述地址范围内,将所述发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
图3与图2A中相关技术相同,在此不再一一赘述。
由上述实施例可见,正常的VRF是实现完全三层路由隔离的技术,本实施例中VRF进行隔离时,增加了条件判断,在报文转发过程中,接入设备根据业务需求对用户报文的VRF进行实时更新,实现了跨VRF转发机制。通过路由的方式实现对用户权限的控制,和其他方式相比节约设备硬件资源,有助于设备性能的提高。
与前述访问控制方法的实施例相对应,本申请还提供了访问控制装置及其所应用的电子设备的实施例。
如图4所示,图4是本申请根据一示例性实施例示出的一种访问控制装置,所述装置包括:信息更换模块410、信息比较模块420和路由查找模块430。
其中,信息更换模块410,用于根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息。
信息比较模块420,用于将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较;如果所述报文的目的地址在所述地址范围内,通知所述信息更换模块410将所述发送者的私有VRF更换为公共VRF。
路由查找模块430,用于如果所述报文的目的地址不在所述地址范围内,丢弃报文;如果所述报文的目的地址在所述地址范围内,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
在一个可选的实现方式中,所述信息更换模块,具体用于:
根据用户标识与私有VRF的对应关系,将报文发送者默认所属的公共VRF更换为所述发送者的标识对应的私有VRF,所述用户标识与私有VRF的对应关系基于用户标识与用户等级的关系、用户等级与私有VRF的关系获得。
在一个可选的实现方式中,所述路由查找模块,还用于:
根据用户标识与公共VRF的对应关系,确定所述发送者对应公共VRF时,利用公共VRF下的全局路由信息查找路由,并进行报文转发;
其中,所述用户标识与公共VRF的对应关系基于用户标识与用户等级的关系、用户等级与公共VRF的关系获得。
在一个可选的实现方式中,所述信息更换模块,具体用于:
根据报文发送者的用户等级,将所述报文中公共VRF字段更换为用户等级对应的私有VRF字段;
根据所述信息比较模块的通知,将所述报文中私有VRF字段更换为公共VRF字段。
相应的,本申请还提供一种电子设备,所述设备包括有处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为:
根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息;
将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较;
如果所述报文的目的地址不在所述地址范围内,丢弃报文;
如果所述报文的目的地址在所述地址范围内,将所述发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
上述装置中各个模块的功能和作用的实现过程具体详情见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (9)
1.一种访问控制方法,其特征在于,所述方法包括:
根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息,其中,所述VRF为VPN路由转发表;
将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较;
如果所述报文的目的地址不在所述地址范围内,丢弃报文;
如果所述报文的目的地址在所述地址范围内,将所述发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
2.根据权利要求1所述的方法,其特征在于,所述根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为用户等级对应的私有VRF,包括:
根据用户标识与私有VRF的对应关系,将报文发送者默认所属的公共VRF更换为所述发送者的标识对应的私有VRF,所述用户标识与私有VRF的对应关系基于用户标识与用户等级的关系、用户等级与私有VRF的关系获得。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据用户标识与公共VRF的对应关系,确定所述发送者对应公共VRF时,利用公共VRF下的全局路由信息查找路由,并进行报文转发;
其中,所述用户标识与公共VRF的对应关系基于用户标识与用户等级的关系、用户等级与公共VRF的关系获得。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述将发送者默认所属的公共VRF更换为用户等级对应的私有VRF,包括:
将所述报文中公共VRF字段更换为用户等级对应的私有VRF字段;
所述将所述发送者的私有VRF更换为公共VRF,包括:
将所述报文中私有VRF字段更换为公共VRF字段。
5.一种访问控制装置,其特征在于,所述装置包括:
信息更换模块,用于根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息,其中,所述VRF为VPN路由转发表;
信息比较模块,用于将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较;如果所述报文的目的地址在所述地址范围内,通知所述信息更换模块将所述发送者的私有VRF更换为公共VRF;
路由查找模块,用于如果所述报文的目的地址不在所述地址范围内,丢弃报文;如果所述报文的目的地址在所述地址范围内,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
6.根据权利要求5所述的装置,其特征在于,所述信息更换模块,具体用于:
根据用户标识与私有VRF的对应关系,将报文发送者默认所属的公共VRF更换为所述发送者的标识对应的私有VRF,所述用户标识与私有VRF的对应关系基于用户标识与用户等级的关系、用户等级与私有VRF的关系获得。
7.根据权利要求5所述的装置,其特征在于,所述路由查找模块,还用于:
根据用户标识与公共VRF的对应关系,确定所述发送者对应公共VRF时,利用公共VRF下的全局路由信息查找路由,并进行报文转发;
其中,所述用户标识与公共VRF的对应关系基于用户标识与用户等级的关系、用户等级与公共VRF的关系获得。
8.根据权利要求5至7任一项所述的装置,其特征在于,所述信息更换模块,具体用于:
根据报文发送者的用户等级,将所述报文中公共VRF字段更换为用户等级对应的私有VRF字段;
根据所述信息比较模块的通知,将所述报文中私有VRF字段更换为公共VRF字段。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
根据报文发送者的用户等级,将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF,不同用户等级对应不同私有VRF,私有VRF对应有相应的跨VRF资源,公共VRF中设有全局路由信息,私有VRF中无任何路由信息,其中,所述VRF为VPN路由转发表;
将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较;
如果所述报文的目的地址不在所述地址范围内,丢弃报文;
如果所述报文的目的地址在所述地址范围内,将所述发送者的私有VRF更换为公共VRF,利用公共VRF下的全局路由信息查找路由,并进行报文转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710153888.6A CN106973016B (zh) | 2017-03-15 | 2017-03-15 | 访问控制方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710153888.6A CN106973016B (zh) | 2017-03-15 | 2017-03-15 | 访问控制方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106973016A CN106973016A (zh) | 2017-07-21 |
| CN106973016B true CN106973016B (zh) | 2020-04-03 |
Family
ID=59329443
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710153888.6A Active CN106973016B (zh) | 2017-03-15 | 2017-03-15 | 访问控制方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106973016B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111786883A (zh) * | 2020-06-16 | 2020-10-16 | 杭州迪普科技股份有限公司 | 一种跨vrf通信的方法和装置 |
| CN111953599B (zh) * | 2020-07-14 | 2022-06-21 | 锐捷网络股份有限公司 | 一种终端权限控制方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571374A (zh) * | 2003-07-23 | 2005-01-26 | 华为技术有限公司 | 一种控制私网用户访问权限的方法 |
| US7340519B1 (en) * | 2003-03-05 | 2008-03-04 | At&T Corp. | Reducing configuration errors for managed services in computer networks |
| CN102664811A (zh) * | 2012-05-04 | 2012-09-12 | 杭州华三通信技术有限公司 | 报文转发方法和装置 |
| CN102904867A (zh) * | 2012-05-12 | 2013-01-30 | 杭州迪普科技有限公司 | 一种vpn权限控制方法及装置 |
| CN103916364A (zh) * | 2012-12-28 | 2014-07-09 | ***通信集团北京有限公司 | 针对ims业务集团客户的sla等级实现方法及*** |
-
2017
- 2017-03-15 CN CN201710153888.6A patent/CN106973016B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7340519B1 (en) * | 2003-03-05 | 2008-03-04 | At&T Corp. | Reducing configuration errors for managed services in computer networks |
| CN1571374A (zh) * | 2003-07-23 | 2005-01-26 | 华为技术有限公司 | 一种控制私网用户访问权限的方法 |
| CN102664811A (zh) * | 2012-05-04 | 2012-09-12 | 杭州华三通信技术有限公司 | 报文转发方法和装置 |
| CN102904867A (zh) * | 2012-05-12 | 2013-01-30 | 杭州迪普科技有限公司 | 一种vpn权限控制方法及装置 |
| CN103916364A (zh) * | 2012-12-28 | 2014-07-09 | ***通信集团北京有限公司 | 针对ims业务集团客户的sla等级实现方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106973016A (zh) | 2017-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9985883B2 (en) | Name-based routing system and method | |
| EP3213480B1 (en) | Content filtering for information centric networks | |
| US20190089620A1 (en) | Selective Route Exporting Using Source Type | |
| US9231911B2 (en) | Per-user firewall | |
| US10567345B2 (en) | Verifying firewall filter entries using rules associated with an access control list (ACL) template | |
| US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
| CN112272145B (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
| JP2005505175A (ja) | L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置 | |
| EP2656559B1 (en) | Method and apparatus for applying client associated policies in a forwarding engine | |
| US11171809B2 (en) | Identity-based virtual private network tunneling | |
| US20200371841A1 (en) | Process placement in a cloud environment based on automatically optimized placement policies and process execution profiles | |
| CN106973016B (zh) | 访问控制方法、装置及设备 | |
| EP3381162B1 (en) | Network routing systems and techniques | |
| US20150012664A1 (en) | Routing data based on a naming service | |
| EP3996334A1 (en) | Method and device for packet forwarding | |
| CN108768861B (zh) | 一种发送业务报文的方法及装置 | |
| KR20130032386A (ko) | 유입 vlan acl의 유출 처리 | |
| US9231862B2 (en) | Selective service based virtual local area network flooding | |
| US20050216598A1 (en) | Network access system and associated methods | |
| JP2015531173A (ja) | ネットワークシステム、認証装置、サブネット決定方法およびプログラム | |
| US20230319684A1 (en) | Resource filter for integrated networks | |
| US20240214802A1 (en) | Wireless client group isolation within a network | |
| US20210352480A1 (en) | Customer control of their mobile assets | |
| US7817607B1 (en) | Private mobile IP connection in a shared-pool environment | |
| Miroshnichenko | Design and configuration of a company network: Case study AstraZeneca Russia |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |