CN110958334B - 报文处理方法及装置 - Google Patents

报文处理方法及装置 Download PDF

Info

Publication number
CN110958334B
CN110958334B CN201911171934.0A CN201911171934A CN110958334B CN 110958334 B CN110958334 B CN 110958334B CN 201911171934 A CN201911171934 A CN 201911171934A CN 110958334 B CN110958334 B CN 110958334B
Authority
CN
China
Prior art keywords
ipv6 address
user role
mapping
address
ipv6
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911171934.0A
Other languages
English (en)
Other versions
CN110958334A (zh
Inventor
刘洪玉
赵海峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Semiconductor Technology Co Ltd
Original Assignee
New H3C Semiconductor Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Semiconductor Technology Co Ltd filed Critical New H3C Semiconductor Technology Co Ltd
Priority to CN201911171934.0A priority Critical patent/CN110958334B/zh
Publication of CN110958334A publication Critical patent/CN110958334A/zh
Application granted granted Critical
Publication of CN110958334B publication Critical patent/CN110958334B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种报文处理方法及装置,涉及通信领域。本申请通过获取数据报文的IPv6地址、以及IPv6地址对应的用户角色,将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识,根据映射标识,按照访问控制列表ACL的匹配策略对数据报文进行转发,可以减少按照ACL列表执行ACL策略时所占用的交换机硬件资源。

Description

报文处理方法及装置
技术领域
本申请涉及通信领域。具体而言,涉及一种报文处理方法及装置。
背景技术
随着互联网技术的发展,互联网协议第4版(Internet Protocol Version 4,IPv4)中可使用的IP地址逐渐不足,互联网面临IP地址枯竭的问题。互联网协议第6版(Internet Protocol Version 6,IPv6)的推广,将IP地址从原有的32位升级到128位,可以成倍提升IP地址的数量。
交换机中可以通过访问控制列表(Access Control Lists,ACL)实现网络的无状态防火墙功能,使各个角色的用户可以实现隔离或互访,有效保证网络安全运行。其中,ACL可以通过IP+端口(Port)+协议(Protocol)实现互访策略。
当IPv6地址引入交换机时,IPv6中的IP地址相对于Ipv4中的IP地址,会由32位升级到128位,会导致交换机通过ACL对数据报文执行相应的策略时,消耗掉大量的交换机硬件资源,极大地限制了交换机业务的可扩展性。
发明内容
有鉴于此,本申请提供一种报文处理方法及装置,用于缓解当IPv6引入交换机时,IPv6中的IP地址相对于Ipv4中的IP地址,会由32位升级到128位,导致交换机通过ACL对数据报文执行相应的策略时,消耗掉大量的交换机硬件资源的问题。
第一方面,本申请提供一种报文处理方法,包括:
获取数据报文的IPv6地址、以及IPv6地址对应的用户角色;
将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识;
根据映射标识,按照访问控制列表ACL的匹配策略对数据报文进行转发。
可选地,上述获取IPv6地址对应的用户角色包括:
获取IPv6地址对应的网段,确定网段与用户角色的对应关系;
根据网段与用户角色的对应关系,获取IPv6地址对应的用户角色。
可选地,上述获取IPv6地址对应的用户角色,包括:
按照预设规则对IPv6地址对应的用户设备进行认证,确定IPv6地址对应的用户角色。
可选地,上述将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识之后,该方法还包括:
获取IPv6地址的地址解析映射表;
将IPv6地址对应的映射标识写入IPv6地址的地址解析映射表。
可选地,上述获取数据报文的IPv6地址,包括:
获取数据报文的源IPv6地址和/或目的IPv6地址。
第二方面,本申请提供一种报文处理装置,包括:获取模块、生成模块和控制模块;获取模块用于获取数据报文的IPv6地址、以及IPv6地址对应的用户角色;生成模块用于将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识;控制模块用于根据映射标识,按照访问控制列表ACL的匹配策略,对数据报文进行转发。
可选地,获取模块具体用于获取IPv6地址对应的网段,确定网段与用户角色的对应关系;根据网段与用户角色的对应关系,获取IPv6地址对应的用户角色。
可选地,获取模块具体用于按照预设规则对IPv6地址对应的用户设备进行认证,确定IPv6地址对应的用户角色。
可选地,该装置还包括:写入模块,用于在生成模块将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识之后,获取IPv6地址的地址解析映射表,将IPv6地址对应的映射标识写入IPv6地址的地址解析映射表。
可选地,获取模块具体用于获取数据报文的源IPv6地址和目的IPv6地址。
第三方面,本申请还提供一种电子设备,包括:处理器、存储介质和总线,存储介质存储有处理器可执行的机器可读指令,当电子设备运行时,处理器与存储介质之间通过总线通信,处理器执行机器可读指令,以执行如第一方面所述的方法。
第四方面,本申请还提供一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器运行时执行如第一方面所述的方法。
因此,本申请通过获取数据报文的IPv6地址、以及IPv6地址对应的用户角色,将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识,根据映射标识,按照访问控制列表ACL的匹配策略对数据报文进行转发,可以减少按照ACL列表执行ACL策略时所占用的交换机硬件资源。
例如,该报文处理方法应用于引入IPV6的交换机时,可以有效缓解IPv6中的IP地址相对于Ipv4中的IP地址由32位升级到128位,所导致的交换机通过ACL对数据报文执行相应的策略时大量消耗交换机硬件资源的问题,可以提高交换机业务的可扩展性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的报文处理方法的流程示意图;
图2示出了本申请实施例提供的报文处理方法的另一流程示意图;
图3示出了一种实施方式中映射标识的生成示意图;
图4示出了另一种实施方式中映射标识的生成示意图;
图5示出了本申请实施例提供的报文处理装置的结构示意图;
图6示出了本申请实施例提供的报文处理装置的另一结构示意图;
图7示出了本申请实施例提供的报文处理装置的又一结构示意图;
图8示出了本申请实施例提供的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
本申请实施例提供一种报文处理方法,该方法可以应用于交换机、路由器、防火墙设备等,本申请对此不作限定。以交换机为例,通过该报文处理方法可以对交换机接收到的数据报文执行相应地ACL策略,以允许或拒绝报文通过,从而达到对报文流量进行控制。
图1示出了本申请实施例提供的报文处理方法的流程示意图。
如图1所示,该报文处理方法,可以包括:
S101、获取数据报文的IPv6地址、以及IPv6地址对应的用户角色。
以交换机为例,交换机可以设置于多个网络节点之间,将上一节点的数据报文转发至下一节点。例如,二层交换机可以根据接收到的数据报文中的源媒体存取控制位址(Media Access Control Address,MAC)地址建立MAC地址表,然后可以MAC地址表中查找数据报文的目的MAC地址。找到对应的目的MAC地址时,可以将数据报文转发至对应的端口;找不到对应的目的MAC地址时,可以将数据报文广播至除源端口外的其他端口。
在交换机对数据报文进行转发之前,交换机还可以根据ACL表中的各项匹配规则对数据报文执行ACL策略,以控制数据报文的传输。例如,交换机可以获取数据报文的IPv6地址,并针对数据报文的IPv6地址执行对应的ACL策略,判断允许(Permit)或拒绝(Deny)数据报文转发。其中,所获取的数据报文的IPv6地址可以包括源IPv6地址和/或目的IPv6地址。
图2示出了本申请实施例提供的报文处理方法的另一流程示意图。
可选地,如图2所示,一种实施方式中,上述获取IPv6地址对应的用户角色,可以包括:
S201、获取IPv6地址对应的网段,确定网段与用户角色的对应关系。
以园区网为例,在园区网中可能包括有不同用户对应的多个IPv6地址,多个IPv6地址之间可以通过交换机进行数据报文的转发。交换机接收到数据报文后,可以确定数据报文的IPv6地址对应的网段。该园区网中网段与用户角色之间可以为一一对应的关系,例如,可以如下表1所示:
表1
网段 用户角色
网段1 角色1
网段2 角色2
网段3 角色3
表1中,每个网段中可以包含有多个IPv6地址,例如,网段1可以包括IP1、IP2、IP3等。本申请对各网段中包含的IPv6地址的数量不作限制。
确定得到数据报文的IPv6地址对应的网段,可以进一步获取该数据报文的IPv6地址对应的网段与用户角色间的对应关系。
以表1中所示为例,假设某个数据报文的IPv6地址对应的网段为网段1,则可以确定该数据报文的IPv6地址对应的网段与用户角色间的对应的关系为“网段1-角色1”。
S202、根据网段与用户角色的对应关系,获取IPv6地址对应的用户角色。
如上所述,在得到数据报文的IPv6地址对应的网段与用户角色的对应关系后,可以基于该对应关系,获取数据报文的IPv6地址对应的用户角色。
同样以前述表1为例,假设某个数据报文的IPv6地址对应的网段与用户角色间的对应的关系为“网段1-角色1”,则可以确定该数据报文的IPv6地址对应的用户角色为“角色1”。
也即,本实施方式中,用户角色可以用于表征数据报文的IPv6地址所在的网段。
另一种实施方式中,上述获取IPv6地址对应的用户角色,可以包括:按照预设规则对IPv6地址对应的用户设备进行认证,确定IPv6地址对应的用户角色。
其中,用户设备是指该IPv6地址对应的用户所使用的网络设备,如:服务器、计算机、平板电脑等,预设规则可以是指:根据用户设备对应的用户所属的用户类型确定用户的用户角色。同样以园区网为例,某个园区网中,用户类型可以包括:研发人员、市场人员、财务人员等;假设:研发人员为角色1、市场人员为角色2、财务人员为角色3,则获取到IPv6地址后,可以先基于IPv6地址对该IPv6地址对应的用户设备进行认证,判断用户设备对应的用户所属的用户类型,然后基于用户所属的用户类型确定该IPv6地址对应的用户角色。例如,若对于某个IPv6地址对应的用户设备而言,确定其对应的用户属于研发人员,则可以确定该IPv6地址对应的用户角色为角色1。
S102、将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识。
其中,映射标识可以与用户角色的角色标识一一对应。相应地,上述将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识,可以是指:获取用户角色的角色标识作为IPv6地址的映射标识。例如,将IPv6地址与角色1进行映射时,生成的映射标识可以为“1”;将IPv6地址与角色2进行映射时,生成的映射标识可以为“2”等。
S103、根据映射标识,按照ACL列表的匹配策略对数据报文进行转发。
可选地,预先配置ACL列表中的ACL策略时,可以基于映射标识将ACL策略配置为不同用户角色间的互访策略。相应地,在生成IPv6地址的映射标识后,可以基于IPv6地址的映射标识,按照ACL列表执行相应的ACL策略,对数据报文进行转发。
以针对目的IPv6地址“IP1”执行ACL策略为例,ACL匹配规则可以是:“目的IPv6地址为IP1的数据报文,执行为Deny”,即,拒绝IPv6地址为IP1的数据报文通过。假设IP1的映射标识为映射标识1,则预先配置ACL策略时,可以将上述ACL匹配规则“目的IPv6地址为IP1的数据报文,执行为Deny”修改为“映射标识1对应的数据报文,执行为Deny”。然后,可以基于映射标识1执行对应的ACL策略,将该数据报文与ACL匹配规则“映射标识1对应的数据报文,执行为Deny”进行匹配,从而拒绝将该数据报文转发至IP1对应的网络设备。
可选地,对数据报文执行ACL策略时,可以基于源IPv6地址对应的映射标识执行对应的ACL策略,也可以基于目的IPv6地址对应的映射标识执行对应的ACL策略,或者,也可以同时基于源IPv6地址和目的IPv6地址执行对应的ACL策略,本申请在此不作限制。
图3示出了一种实施方式中映射标识的生成示意图。
可选地,如图3所示,上述根据IPv6地址所述的网段确定其对应的用户角色的实施方式中,网段与用户角色的对应关系可以预先静态指定(也即前述表1可以是预先静态指定所得到)。例如,可以是如图3所示的,将IP1所在的网段内的所有IPv6地址对应的用户角色均指定为角色1,将IP2所在的网段内的所有IPv6地址对应的用户角色均指定为角色2。假设ACL策略配置为“角色1发送至角色2的数据报文,拒绝通过”,对于源IPv6地址为IP1、目的IPv6地址为IP2的数据报文,可以分别生成IP1对应的映射标识1、以及IP2对应的映射标识2,然后基于映射标识1和映射标识2执行上述ACL策略“角色1发送至角色2的数据报文,拒绝通过”。该实施方式中,当网段内有多个IPv6地址时,IPv6地址与映射标识之间的关系为多对一的关系。
或者,其他实施方式中,也可以直接指定IPv6地址与用户角色的关系,例如,可以每个IPv6地址对应一个用户角色,或者指定多个IPv6地址对应一个用户角色,具体指定方式可以任意设定,此时,IPv6地址与映射标识之间的关系可以为一对一的关系,也可以为多对一的关系。
图4示出了另一种实施方式中映射标识的生成示意图。
可选地,如图4所示,上述另一种按照预设规则对IPv6地址对应的用户设备进行认证,确定IPv6地址对应的用户角色的实施方式中,可以是如前述园区网示例中所述的根据各IPv6地址对应的用户类型,对IPv6地址进行认证确定其对应的用户角色,当多个用户设备对应的用户均为同一用户类型时,IPv6地址与映射标识之间的关系也为多对一的关系。例如,图3中所示的,IPv6地址为IP1、IP2、IP3、IP4的用户通过认证获取到的映射标识可以为映射标识1,IPv6地址为IP5、IP6、IP7、IP8的用户获取到映射标识可以为映射标识2。需要说明的是,预先配置角色1至角色2的ACL策略时,则可以配置映射标识1至映射标识2的ACL策略,在此不再赘述。
或者,其他实施方式中,也可以与前述静态指定的实施方式类似,预设规则可以是每个IPv6地址对应一个用户角色,此时,根据IPv6地址确定得到的映射标识唯一,IPv6地址与映射标识之间的关系为一对一的关系。
本申请对将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识的具体方式,在此不作限定。
不论采取上述任何一种实施方式,由于用户角色的数量远远小于IPv6地址的总数量,所以,相对于IPv6地址而言,用位宽较小的映射标识即可表示所有的用户角色,如:对于引入IPV6地址后的交换机而言,IPV6地址占用了256比特,而映射标识则可以占用为12比特、24比特等小于256比特的位宽。
而对数据报文执行对应的ACL策略时,需要占用交换机硬件资源。例如,交换机硬件资源可以是三态内容寻址存储器(ternary content addressable memory,TCAM)资源,每一次的ACL查找可以访问TCAM寄存器,TCAM可以在较短时间完成对每条语句高达几百比特位的ACL表的搜索。当基于位宽更小的映射标识对数据报文执行对应的ACL策略时,可以使得所占用的交换机硬件资源小于基于位宽较大的IPv6地址执行ACL策略时所占用的交换机硬件资源。例如,可以占用更少的TCAM资源。
由上所述,本申请实施例通过获取数据报文的IPv6地址、以及IPv6地址对应的用户角色,将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识,根据映射标识,按照访问控制列表ACL的匹配策略对数据报文进行转发,可以减少按照ACL列表执行ACL策略时所占用的交换机硬件资源。
例如,该报文处理方法应用于引入IPV6的交换机时,可以有效缓解IPv6中的IP地址相对于Ipv4中的IP地址由32位升级到128位,所导致的交换机通过ACL对数据报文执行相应的策略时大量消耗交换机硬件资源的问题,可以提高交换机业务的可扩展性。
可选地,部分实施方式中,也可以是对IPv6地址对应的掩码执行的ACL策略,则上述将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识,也可以是将IPv6地址对应的掩码与用户角色进行映射,生成IPv6地址对应的掩码的映射标识,其原理与根据IPv6地址生成映射标识完全相同,在此不再赘述。
可选地,上述将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识后,还可以建立IPv6地址与映射标识之间的映射关系,后续接收到数据报文时,可以直接基于该映射关系直接查询数据报文的IPv6地址对应的映射标识,并基于查询得到的映射标识执行相应的ACL策略。
例如,一种实施方式中,IPv6地址和映射标识之间的映射关系可以如下表2所示:
表2
IPv6地址 映射标识
IP1 映射标识1
IP2 映射标识2
IPn 映射标识m
表1中,n大于等于m,且n和m均为大于0的整数。
当n等于m时,IP1至IPn与映射标识1至映射标识m一一对应,每个IPv6地址对应一个映射标识;当n大于m时,不同IPv6地址可能对应不同的映射标识,也可能对应相同的映射标识。例如,IP1对应映射标识1,IP2、IP3和IP4对应映射标识2,IPn对应映射标识m等。
可选地,IPv6地址和映射标识之间的映射关系中,映射标识的位宽可以为用于执行ACL策略的芯片可支持的位宽大小。
以博通(BroadCom)芯片为例,可支持的位宽大小可以为12比特。当交换机中使用BroadCom芯片执行ACL策略时,上述映射关系中,映射标识的位宽大小可以为12比特。需要说明的是,不同的芯片可支持的字节大小不同,采用其他芯片时,也可以不是12字节。
继续以BroadCom芯片为例,映射标识可以是段标签身份标识(Segment TagIdentity Document,SGTID),BroadCom芯片可以支持至少1000个SGTID号,则IPv6地址对应的映射标识可以是:SGT1、SGT2、SGT3…SGTm等。需要说明的是,不同规格的BroadCom芯片可支持的SGTID号的数量可能不同,SGTID号的具体数量可以不作限制。
图5示出了本申请实施例提供的报文处理方法的又一流程示意图。
可选地,如图5所示,部分实施方式中,建立IPv6地址与映射标识之间的映射关系,可以包括:
S501、获取IPv6地址的地址解析映射表。
S502、将IPv6地址对应的映射标识写入IPv6地址的地址解析映射表。
其中,地址解析映射表可以是地址解析协议(Address Resolution Protocol,ARP)表,ARP是将IPv6地址解析为以太网MAC地址的协议。交换机通过ARP协议解析到目的MAC地址时,将会在自己的ARP表中增加IP地址和MAC地址映射关系表项,用于后续到同一个目的地的数据报文的转发。因此,ARP表中已经包含有IPv6地址的信息。所以,在建立IPv6地址与映射标识之间的映射关系时,只需要将IPv6地址对应的映射标识写入ARP表,与IPv6地址对应即可。
相应的,在接收到某个数据报文时,可以根据该数据报文的IPv6地址,查询上述写入映射标识后的ARP表,得到该数据报文的IPv6地址对应的映射标识,以执行相应的ACL策略。
可选地,将IPv6地址对应的映射标识写入ARP表后,ARP表中用于表示IPv6地址与映射标识之间的映射关系的部分可以如下所示:
ARP表
Figure BDA0002287909080000141
其中,n和m的限定与前述实施方式中所述相同,在此不再赘述。
基于前述实施例中所述的报文处理方法,本申请实施例还提供一种报文处理装置,图6示出了本申请实施例提供的报文处理装置的结构示意图。
如图6所示,该报文处理装置可以包括:获取模块11、生成模块12和控制模块13;获取模块11可以用于获取数据报文的IPv6地址、以及IPv6地址对应的用户角色;生成模块12可以用于将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识;控制模块13可以用于根据映射标识,按照访问控制列表ACL的匹配策略对数据报文进行转发。
可选地,获取模块11具体可以用于获取IPv6地址对应的网段,确定网段与用户角色的对应关系;根据网段与用户角色的对应关系,获取IPv6地址对应的用户角色。
可选地,获取模块11具体可以用于按照预设规则对IPv6地址对应的用户设备进行认证,确定IPv6地址对应的用户角色。
图7示出了本申请实施例提供的报文处理装置的另一结构示意图。
可选地,如图7所示,该报文处理装置还可以包括:写入模块14,用于在生成模块12将IPv6地址与用户角色进行映射,生成IPv6地址的映射标识之后,获取IPv6地址的地址解析映射表,并将IPv6地址对应的映射标识写入IPv6地址的地址解析映射表。
可选地,获取模块11具体可以用于获取数据报文的源IPv6地址和目的IPv6地址。
本申请实施例还提供一种电子设备,该电子设备可以是交换机、路由器、防火墙设备等,或者也可以是集成于前述交换机、路由器、防火墙设备中的数据处理芯片,本申请对此不作限定。
图8示出了本申请实施例提供的电子设备的结构示意图。
如图8所示,该电子设备可以包括:处理器100、存储介质200和总线(未标出),存储介质200存储有处理器100可执行的机器可读指令,当电子设备运行时,处理器100与存储介质200之间通过总线通信,处理器100执行机器可读指令,以执行如前述方法实施例中所述的报文处理方法。具体实现方式和技术效果类似,在此不再赘述。
本申请实施例还提供一种存储介质,该存储介质可以是U盘、移动硬盘、ROM、RAM、磁碟或者光盘等。存储介质上存储有计算机程序,计算机程序被处理器运行时执行如前述方法实施例中所述的报文处理方法。具体实现方式和技术效果类似,在此同样不再赘述。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种报文处理方法,其特征在于,所述方法包括:
获取数据报文的IPv6地址、以及所述IPv6地址对应的用户角色;
将所述IPv6地址与所述用户角色进行映射,生成所述IPv6地址的映射标识,所述映射标识的位宽小于所述IPv6地址的位宽;
根据所述映射标识,按照访问控制列表ACL的匹配策略对所述数据报文进行转发。
2.根据权利要求1所述的方法,其特征在于,所述获取所述IPv6地址对应的用户角色,包括:
获取所述IPv6地址对应的网段,确定所述网段与用户角色的对应关系;
根据所述网段与用户角色的对应关系,获取所述IPv6地址对应的用户角色。
3.根据权利要求1所述的方法,其特征在于,所述获取所述IPv6地址对应的用户角色,包括:
按照预设规则对所述IPv6地址对应的用户设备进行认证,确定所述IPv6地址对应的用户角色。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述将所述IPv6地址与所述用户角色进行映射,生成所述IPv6地址的映射标识之后,所述方法还包括:
获取所述IPv6地址的地址解析映射表;
将所述IPv6地址对应的映射标识写入所述IPv6地址的地址解析映射表。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述获取数据报文的IPv6地址,包括:
获取数据报文的源IPv6地址和/或目的IPv6地址。
6.一种报文处理装置,其特征在于,包括:
获取模块,用于获取数据报文的IPv6地址、以及所述IPv6地址对应的用户角色;
生成模块,用于将所述IPv6地址与所述用户角色进行映射,生成所述IPv6地址的映射标识,所述映射标识的位宽小于所述IPv6地址的位宽;
控制模块,用于根据所述映射标识,按照访问控制列表ACL的匹配策略对所述数据报文进行转发。
7.根据权利要求6所述的装置,其特征在于,所述获取模块,具体用于获取所述IPv6地址对应的网段,确定所述网段与用户角色的对应关系;根据所述网段与用户角色的对应关系,获取所述IPv6地址对应的用户角色。
8.根据权利要求6所述的装置,其特征在于,所述获取模块,具体用于按照预设规则对所述IPv6地址对应的用户设备进行认证,确定所述IPv6地址对应的用户角色。
9.根据权利要求6-8任一项所述的装置,其特征在于,所述装置还包括:写入模块,用于在所述生成模块将所述IPv6地址与所述用户角色进行映射,生成所述IPv6地址的映射标识之后,获取所述IPv6地址的地址解析映射表,将所述IPv6地址对应的映射标识写入所述IPv6地址的地址解析映射表。
10.根据权利要求6-8任一项所述的装置,其特征在于,所述获取模块具体用于获取所述数据报文的源IPv6地址和目的IPv6地址。
CN201911171934.0A 2019-11-25 2019-11-25 报文处理方法及装置 Active CN110958334B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911171934.0A CN110958334B (zh) 2019-11-25 2019-11-25 报文处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911171934.0A CN110958334B (zh) 2019-11-25 2019-11-25 报文处理方法及装置

Publications (2)

Publication Number Publication Date
CN110958334A CN110958334A (zh) 2020-04-03
CN110958334B true CN110958334B (zh) 2022-08-09

Family

ID=69978589

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911171934.0A Active CN110958334B (zh) 2019-11-25 2019-11-25 报文处理方法及装置

Country Status (1)

Country Link
CN (1) CN110958334B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111628939B (zh) * 2020-05-20 2023-06-13 新华三信息安全技术有限公司 一种流分类处理方法和装置
CN112738113B (zh) * 2020-12-31 2022-04-01 清华大学 一种组织信息标签生成方法及报文传输方法
CN115514579B (zh) * 2022-11-09 2023-03-03 北京连星科技有限公司 基于IPv6地址映射流标签实现业务标识的方法及***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107332812A (zh) * 2016-04-29 2017-11-07 新华三技术有限公司 网络访问控制的实现方法及装置
CN109327395A (zh) * 2018-11-30 2019-02-12 新华三信息安全技术有限公司 一种报文处理方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7530112B2 (en) * 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
EP1624638B1 (en) * 2004-08-05 2006-10-25 Alcatel Access control method and apparatus
US7669244B2 (en) * 2004-10-21 2010-02-23 Cisco Technology, Inc. Method and system for generating user group permission lists
CN101262474B (zh) * 2008-04-22 2012-02-01 武汉理工大学 一种基于跨域授权中介实现角色和组映射的跨域访问控制***
CN102263679B (zh) * 2010-05-24 2013-11-06 杭州华三通信技术有限公司 一种处理源角色信息的方法和转发芯片
BR112013021228A2 (pt) * 2011-02-21 2020-10-27 Nec Corporation sistema de comunicação, base de dados, aparelho de controle, método de comunicação
CN107707477A (zh) * 2017-09-28 2018-02-16 杭州迪普科技股份有限公司 报文的处理方法及装置、计算机可读存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107332812A (zh) * 2016-04-29 2017-11-07 新华三技术有限公司 网络访问控制的实现方法及装置
CN109327395A (zh) * 2018-11-30 2019-02-12 新华三信息安全技术有限公司 一种报文处理方法及装置

Also Published As

Publication number Publication date
CN110958334A (zh) 2020-04-03

Similar Documents

Publication Publication Date Title
CN110958334B (zh) 报文处理方法及装置
JP5398410B2 (ja) ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム
US5815664A (en) Address reporting device and method for detecting authorized and unauthorized addresses in a network environment
US8937955B2 (en) System and method for scaling IPv6 addresses in a network environment
US7756956B2 (en) Mimic support address resolution
EP2767047B1 (en) Distributed ipv6 neighbor discovery for large datacenter switching systems
US20070016637A1 (en) Bitmap network masks
US20060098644A1 (en) Translating native medium access control (MAC) addresses to hierarchical MAC addresses and their use
Schwabe et al. Using MAC addresses as efficient routing labels in data centers
US11818096B2 (en) Enforcement of inter-segment traffic policies by network fabric control plane
US20160359801A1 (en) Method of and a Processing Device Handling a Protocol Address in a Network
US20230283589A1 (en) Synchronizing dynamic host configuration protocol snoop information
US20060215649A1 (en) Network address converting apparatus using SSW tree
US11240200B1 (en) Time-dependent network addressing
CN116684869B (zh) 一种基于IPv6的园区无线网可信接入方法、***及介质
CN113014680B (zh) 一种宽带接入的方法、装置、设备和存储介质
US7844731B1 (en) Systems and methods for address spacing in a firewall cluster
US20130077530A1 (en) Scaling IPv6 on Multiple Devices Virtual Switching System with Port or Device Level Aggregation
CN113691650B (zh) IPv4/IPv6无状态分段安全映射方法及控制***
CN107547687B (zh) 一种报文传输方法和装置
US9712541B1 (en) Host-to-host communication in a multilevel secure network
US11902158B2 (en) System and method for forwarding packets in a hierarchical network architecture using variable length addresses
Wang et al. A YANG Data Model for the Routing Information Base (RIB)
CN114301680B (zh) 一种安全策略的匹配方法及装置、存储介质
Wang et al. RFC 8431: A YANG Data Model for the Routing Information Base (RIB)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant