CN102263774A - 一种处理源角色信息的方法和装置 - Google Patents
一种处理源角色信息的方法和装置 Download PDFInfo
- Publication number
- CN102263774A CN102263774A CN2010101873596A CN201010187359A CN102263774A CN 102263774 A CN102263774 A CN 102263774A CN 2010101873596 A CN2010101873596 A CN 2010101873596A CN 201010187359 A CN201010187359 A CN 201010187359A CN 102263774 A CN102263774 A CN 102263774A
- Authority
- CN
- China
- Prior art keywords
- data message
- equipment
- role
- tag
- vtag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Abstract
本发明提供了一种处理源角色信息的方法和装置,在入口(Ingress)设备上将源角色标签(tag)作为报文的内层虚拟局域网(VLAN)标签插入报文,中间设备对携带源角色tag的内层VLAN标签保持不变,出口(Egress)设备从数据报文中获取作为内层VLAN标签的源角色tag从而进行基于角色的接入控制即可。本发明利用了网络设备已有的QinQ功能,无需对现有网络设备的功能进行较大改动,降低了网络的升级成本。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种处理源角色信息的方法和装置。
背景技术
为了保证网络的安全,当用户接入网络时,需要对用户进行认证,认证后还需要通过接入控制手段即通过配置接入控制列表(ACL)对用户的访问权限进行限制。传统的接入控制方法主要是基于IP地址,但会造成ACL配置数量过多以及ip地址变化所带来的配置管理工作量大的缺点。于是,基于角色的接入控制方法被提出,其基本思想是:针对用户分配源角色标签(tag),针对服务器分配目的角色tag,ACL相应基于源角色tag和目的角色tag进行接入控制。这种基于角色的方式相当于通过角色信息对基于ip地址的ACL进行聚合,大大缩减了ACL配置的数量,且不管ip地址如何变化,角色标签不会发生变化,基于角色的ACL均不会发生变化,显然大大降低了配置管理的工作量。
基于角色的接入控制架构可以如图1所示,用户设备在通过认证后获得源角色,该源角色信息存储在入口(Ingress)设备中,资源侧设备(图中以服务器为例)在通过认证后获得目的角色,该目的角色信息存储在出口(Egress)设备中,并形成基于角色的接入控制列表(RBACL)。用户设备发送报文至Ingress设备,Ingress设备将该报文中携带用户设备的源角色信息,该报文在后续转发过程中都携带该源角色信息直至到达Egress设备。Egress设备接收到该报文后,确定该报文的目的角色信息,根据源角色信息和目的角色信息匹配RBACL,根据匹配结果对该报文进行接入控制,包括允许转发、拒绝转发或转发速率限制等。需要说明的是,在图1所示架构中,Ingress和Egress设备可以在二层网络也可以在三层网络中,Ingress设备与用户设备之间以及Egress设备与服务器之间可以存在普通网络设备,Ingress设备与Egress设备之间可以存在中间网络设备。
在现有的实现方法中,源角色信息在报文中的携带方式主要存在以下几种:
第一种:通过物理层携带的方式。即通过报文中8个字节的以太网前导码携带。但这种方式需要修改标准以太网的前导码,当前设备的物理层功能并不支持,需要进行整网升级,升级成本高,难以过渡和推广。
第二种:通过链路层携带的方式。即通过报文中新构造的角色控制信息字段携带。但这种方式由于构造了新的字段,当前设备并不支持,需要进行整网升级,升级成本高。
第三种:通过IPv4选项(Option)字段携带的方式。即在IPv4字段中定义一个新的Option类型来携带源角色信息,同样需要对整网进行升级处理,使得所有设备都能够对新增加的Option类型进行处理,升级代价高,且不支持除IPv4之外的其它类型报文。
第四种:通过IPv6 Option字段携带的方式。即在IPv6字段中定义一个新的IPv6扩展头,即SGT选项头来携带源角色信息。但SGT选项头的硬件插入需要芯片支持新的功能,同样需要进行芯片功能的升级,升级代价高,且不支持除IPv6之外的其它类型报文。
可以看出,现有技术中的上述几种方式都需要对现有设备的功能进行较大改动,升级成本较高。
发明内容
本发明提供了一种处理源角色信息的方法和装置,以便于较好的与现有设备的功能兼容,降低升级成本。
一种处理源角色信息的方法,应用于包含入口Ingress设备和出口Egress设备的网络,该方法包括:
所述Ingress设备接收到来自用户设备的数据报文后,根据所述数据报文的来源信息确定源角色标签tag后,将该源角色tag作为数据报文的内层虚拟局域网VLAN标签插入数据报文后,转发该数据报文;其中,所述源角色tag对应所述用户设备的角色;
如果所述Ingress设备和Egress设备之间存在中间设备,则所述中间设备在对所述数据报文的转发过程中,保持作为内层VLAN标签的源角色tag不变直至转发所述数据报文至Egress设备;
所述Egress设备从所述数据报文中获取作为内层VLAN标签的源角色tag,用于对所述数据报文进行基于角色的接入控制。
一种入口Ingress设备,该Ingress设备包括:
报文接收单元,用于接收来自用户设备的数据报文;
角色标签确定单元,用于根据所述数据报文的来源信息确定源角色标签tag;其中所述源角色tag对应所述用户设备的角色;
角色标签插入单元,用于将所述源角色tag作为所述数据报文的内层虚拟局域网VLAN标签插入所述数据报文;
转发处理单元,用于转发所述数据报文。
一种出口Egress设备,该Egress设备包括:
报文接收单元,用于接收来自用户侧的数据报文;
角色标签获取单元,用于从所述数据报文中获取作为内层虚拟局域网VLAN标签的源角色标签tag;其中,所述源角色tag对应发送所述数据报文的用户设备的角色;
接入控制单元,用于利用所述源角色tag对所述数据报文进行基于角色的接入控制。
一种中间设备,该中间设备包括:
报文接收单元,用于接收来自入口Ingress设备或其它中间设备的数据报文;
标签识别单元,用于对所述数据报文的内层虚拟局域网VLAN标签进行识别;
转发处理单元,用于在对所述数据报文的转发过程中,如果所述标签识别单元识别出所述内层VLAN标签为源角色标签tag,则保持所述内层VLAN标签不变;
其中,所述源角色tag对应发送数据报文的用户设备的角色。
由以上技术方案可以看出,本发明通过在Ingress设备上将源角色tag作为报文的内层VLAN标签插入报文,只需设置中间设备对携带源角色tag的内层VLAN标签保持不变,Egress设备从数据报文中获取作为内层VLAN标签的源角色tag从而进行基于角色的接入控制即可。本发明利用了网络设备已有的QinQ功能,无需对现有网络设备的功能进行较大改动,降低了网络的升级成本。
附图说明
图1为基于角色的接入控制架构示意图;
图2为第一种应用场景的示意图;
图3为第二种应用场景的示意图;
图4为第三种应用场景的示意图;
图5为第四种应用场景的示意图;
图6为本发明提供的Ingress设备采用认证方式配置对应关系的第一个实例示意图;
图7为本发明提供的Ingress设备采用认证方式配置对应关系的第二个实例示意图;
图8为本发明提供的Egress设备采用认证的方式配置RBACL的方法示意图;
图9为本发明提供的Ingress设备的一种结构示意图;
图10为本发明提供的Ingress设备的另一种结构示意图;
图11为本发明提供的Egress设备的结构示意图;
图12为本发明提供的中间设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明的核心思想在于:Ingress设备根据接收到的报文的来源信息确定源角色tag后,将该源角色tag作为报文的内层VLAN标签插入报文中后进行转发,其中该源角色tag对应用户设备的角色;如果Ingress设备与Egress设备之间存在中间设备,则该中间设备在转发过程中保持作为内层VLAN标签的源角色tag不变直至转发该报文至Egress设备;Egress设备从报文获取作为内层VLAN标签的源角色tag,用于对数据报文进行基于角色的接入控制。
也就是说,本发明利用了网络设备已有的QinQ功能,将源角色tag以报文的内层VLAN标签的形式插入报文,只需设置中间设备对携带源角色tag的内层VLAN标签保持不变,Egress设备从报文中获取作为内层VLAN标签的源角色tag即可。
其中,上述方法中涉及的报文来源信息可以为:接收报文的入端口信息、报文的源地址信息、报文的四层端口号、三层协议号或应用层协议号等。
Egress设备对数据报文进行基于角色的接入控制可以包括:从接收到的数据报文的内层VLAN标签中获取源角色tag,并确定该报文的目的角色信息,根据源角色tag和目的角色信息匹配RBACL,并按照匹配结果对报文进行相应的接入控制处理
下面结合具体的实施例对上述方法进行详细描述。根据图1所示的基于角色的接入控制架构主要可以包括以下四种应用场景:
第一种应用场景:如图2所示,用户设备直接接入Ingress设备,然后再经过二层网络连接中间设备,通过中间设备接入三层网络。服务器直接接入Egress设备,再经过二层网络连接中间设备,通过中间设备接入三层网络。Ingress和Egress之间路径上所有设备均可以作为中间设备。Ingress设备和Egress设备直接与接入认证服务器进行交互。
第二种应用场景:如图3所示,用户设备通过普通设备接入Ingress设备,然后再经过二层网络连接中间设备,通过中间设备接入三层网络。服务器通过普通设备接入Egress设备,再经过二层网络连接中间设备,通过中间设备接入三层网络。Ingress和Egress之间路径上所有设备均可以作为中间设备。普通设备与接入认证服务器进行交互,并将通过认证的角色信息发送给Ingress设备。
第三种应用场景:如图4所示,与第一种应用场景不同的是用户设备和服务器分别直接接入Ingress设备和Egress设备,Ingress设备和Egress设备进行三层转发处理。
第四种应用场景:如图5所示,与第三种应用场景不同的是用户设备和服务器通过普通设备分别连接Ingress设备和Egress设备,普通设备与接入认证服务器进行交互,并将通过认证的角色信息发送给Ingress设备。
上述场景中涉及的普通设备是不具备标签插入和处理功能的网络设备。
本发明中,Ingress设备中存储有报文的来源信息与源角色tag之间的对应关系,以及Egress设备中的RBACL可以采用静态配置的方式,也可以采用动态认证的方式。下面对采用动态认证的方式进行详细描述。
对于Ingress设备而言,采用认证的方式配置报文的来源信息与源角色tag之间的对应关系的方法可以包括:确定通过认证的设备角色信息和认证报文的来源信息,将该来源信息与源角色tag之间的对应关系下发给硬件层面。其中来源信息可以包括:接收报文的入端口信息、报文的源地址信息、报文的四层端口号、三层协议号或应用层协议号等。
根据不同的应用场景,Ingress设备确定通过认证的设备角色信息和认证报文的来源信息的方式也不相同,下面分别列举两个实例。
实例一:如果用户设备直接接入Ingress设备,Ingress设备与接入认证服务器直接交互,即对应上述第一种应用场景和第三种应用场景,则Ingress采用认证的方式配置报文的来源信息与源角色tag之间的对应关系的过程如图6所示,可以包括以下步骤:
步骤601:用户设备向Ingress设备发起认证请求。
步骤602:Ingress设备将认证请求转发给接入认证服务器。
步骤603:接入认证服务器在用户设备通过认证后,将用户设备的角色信息下发给Ingress设备。
步骤604:Ingress设备将接收认证请求的入端口与该角色信息对应的源角色tag之间的对应关系下发给硬件层面。
该实施例中,将该入端口作为该报文的来源信息。在下发该对应关系时,可以将源角色tag存储在入端口所包含的内层VLAN字段中。由于Ingress设备本身已经具备QinQ功能,因此,在Ingress的入端口存在内层VLAN字段用于通过入端口接收到报文后,将该内层VLAN字段中的内容作为内层VLAN标签插入报文中。
实例二:如果用户设备通过普通设备接入Ingress设备,普通设备与接入认证服务器进行交互,即对应上述第二种应用场景和第四种应用场景,则Ingress采用认证的方式配置报文的来源信息与源角色tag之间的对应关系的过程如图7所示,可以包括以下步骤:
步骤701:用户设备向普通设备发起认证请求。
步骤702:普通设备将认证请求转发给接入认证服务器。
步骤703:接入认证服务器在用户设备通过认证后,将用户设备的角色信息下发给普通设备。
步骤704:普通设备将用户设备的角色信息与认证请求的源地址信息之间的对应关系发送给Ingress设备。
步骤705:Ingress设备将用户设备的角色信息对应的源角色tag与源地址信息之间的对应关系下发给硬件层面。
该实施例中,将报文的源地址信息作为该报文的来源信息,可以采用源IP地址或源MAC地址。在下发该对应关系时,可以将源角色tag与源地址信息之间的对应关系存储为硬件表项的形式,后续Ingress设备根据接收到的报文的源地址信息查找该硬件表项即可确定对应的源角色tag。
对于Egress设备而言,采用认证的方式配置RBACL的方法可以如图8所示,包括以下步骤:
步骤801:Egress设备接收资源侧设备的认证请求。
该认证请求可以是资源侧设备直接发送来的,也可以是资源侧设备通过普通设备发送来的。
步骤802:Egress设备将认证请求转发给接入认证服务器。
步骤803:接入认证服务器在发送认证请求的服务器通过认证后,将通过认证的资源侧设备的角色信息发送给Egress设备。
步骤804:Egress设备将认证请求的源地址信息与该角色信息之间的对应关系下发到硬件层面。
该源地址信息与角色信息之间的对应关系之所以下发到硬件层面,是为了Egress设备后续对报文进行接入控制时,根据接收到的报文的目的地址信息查找该对应关系从而确定对应的目的角色,该部分内容将在后续描述中涉及。
另外,该源地址信息与该角色信息之间的对应关系可以存储到硬件表项中,例如二层转发表或三层转发表等,该角色信息在表项中的区域不影响其它转发功能,含义唯一,空间专用,从而避免功能干扰。
步骤805:Egress设备向接入认证服务器请求该角色信息作为目的角色的基于角色的控制策略。
步骤806:接入认证服务器向Egress设备下发以该角色信息作为目的角色的基于角色的控制策略。
通常,在接入认证服务器中会预先配置有所有基于角色的控制策略,当接收到步骤805的请求后,会将所有以该角色信息为目的角色的基于角色的控制策略下发给Egress设备,该基于角色的控制策略中各表项的内容包含源角色信息、目的角色信息和接入控制处理方式(允许转发、拒绝转发、转发速率限制、镜像、重定向、优先级重标记、统计、进一步匹配其它报文字段等接入控制处理方式)。
步骤807:Egress设备基于角色的控制策略中的源角色信息替换为对应的源角色tag后,将RBACL下发至硬件层面。
由于此时下发至硬件层面的RBACL中包含的源角色tag,即便用户设备的地址发生变化,但由于用户设备的角色信息,进而源角色tag不变,因此,该RBACL保持不变,因此用户设备的地址发生的变化不会对转发平面产生任何冲击。另外,该RBACL的下发可以基于出端口,也可以基于全局。
下面对硬件层面在报文转发过程中实现的接入控制进行具体描述。
对于Ingress设备,接收到来自用户设备的数据报文后,根据该数据报文的来源信息确定源角色tag,将该源角色tag作为该数据报文的内层VLAN标签插入数据报文中后进行转发。其中,根据Ingress设备所处的网络,如果处于二层网络,则进行二层转发处理,如果处于三层网络则进行三层转发处理。
在Ingress设备中对数据报文插入的源角色tag是与用户设备的角色相对应的,其中用户设备可以是实际的网络实体,也可以是逻辑实体,例如一个网络设备中的应用协议,针对不同的应用协议可以设置不同的角色,对应不同的源角色tag。
Ingress设备插入源角色tag可以在入端口处接收到该数据报文时执行,也可以在出端口处转发该数据报文时执行,也可以在接收到数据报文之后且转发该数据报文之前的任意时刻执行,在下面的描述中均以在入端口处接收到数据报文时插入源角色tag为例。
下面分别针对上述的四种应用场景,对Ingress设备对数据报文的处理过程进行描述。
对于图2所示的第一种应用场景,Ingress设备接收到的是不包含标签的数据报文,记为untag的数据报文。Ingress设备接收到该数据报文后,根据入端口或acl确定源角色tag,并确定对应的外层VLAN标签(Vtag),将源角色tag作为内层VLAN标签,将Vtag作为外层VLAN标签插入该数据报文(当然,如果该出端口的同一VLAN内的流量中不需要插入源角色tag的过路报文,例如CPU发出的报文或者确定入端口没有设置对应的源角色tag,则不执行插入源角色tag的操作,只进行执行Vtag的插入,后续实例中也如此,不再赘述)。
需要说明的是,Ingress设备确定源角色tag和Vtag,可以根据入端口来确定,也可以根据入端口处设置的acl确定。例如可以预先将报文源地址信息或协议号等特征对应的源角色tag设置在acl中,接收到数据报文后,通过查找acl便可以确定对应的源角色tag。对于中间设备、Egress设备也同样如此,在以下的描述中不再一一赘述,均以通过入端口确定为例进行描述。
另外,Vtag的确定是用于转发报文的,这是现有技术的内容,本发明并没有对该部分内容进行变更,在确定Vtag后可以将该Vtag插入数据报文,也可以不插入数据报文,本发明并不做特别限制,在本发明的实施例中统一按照插入Vtag为例进行描述。
Ingress设备根据Vtag和报文的目的MAC地址查找二层转发表确定出端口,将已经插入Vtag和源角色tag的数据报文通过确定的出端口进行转发。如果出端口上设置了Vtag剥离,则在转发该数据报文之前,剥离该数据报文的Vtag后通过确定的出端口进行转发,此时转发的报文仅携带源角色tag。
对于图3所示的第二种应用场景,Ingress设备接收到的是包含Vtag的数据报文,根据该数据报文的源地址信息查找源地址信息与源角色tag之间的对应关系,确定该源地址信息对应的源角色tag,将该源角色tag作为内层VLAN标签插入该数据报文。
Ingress设备根据Vtag和报文的目的MAC地址查找二层转发表确定出端口,将携带了Vtag和源角色tag的数据报文通过确定的出端口进行转发。如果出端口上设置了Vtag剥离,则在转发该数据报文之前,剥离该数据报文的Vtag后通过确定的出端口进行转发,此时转发的报文仅携带源角色tag。
对于图4所示的第三种应用场景,Ingress设备接收到的是untag的数据报文。Ingress设备接收到该数据报文后,根据入端口查找入端口与源角色tag之间的对应关系,确定该入端口对应的源角色tag,并确定入端口对应的Vtag,将源角色tag作为内层VLAN标签,将Vtag作为外层VLAN标签插入该数据报文。
在Ingress设备根据Vtag和目的IP地址查找三层转发表确定出端口,对Vtag、源MAC地址和目的MAC进行替换后通过确定出端口进行转发,此时转发的报文携带Vtag和源角色tag。如果出端口上设置了Vtag剥离,则在转发该数据报文之前,剥离该数据报文的Vtag(即替换后的Vtag)后通过确定的出端口进行转发,此时转发的报文仅携带源角色tag。
对于图5所示的第四种应用场景,Ingress设备接收到的是包含Vtag的数据报文,根据该数据报文的源地址信息查找源地址信息与源角色tag之间的对应关系,确定该源地址信息对应的源角色tag,将该源角色tag作为内层VLAN标签插入该数据报文。
Ingress设备根据Vtag和目的IP地址查找三层转发表确定出端口,对Vtag、源MAC地址和目的MAC进行替换后通过确定出端口进行转发,此时转发的报文携带Vtag和源角色tag。如果出端口上设置了Vtag剥离,则在转发该数据报文之前,剥离该数据报文的Vtag(替换后的Vtag)后通过确定的出端口进行转发,此时转发的报文仅携带源角色tag。
在上述Ingress设备的处理过程中,源角色tag作为内层VLAN标签插入报文时,该内层VLAN标签的标签协议标识(TPID,Tag Protocol Identifier)采用非0x8100的一个设定值来标识该内层VLAN标签为源角色tag。源角色tag的TPID可配置,全局统一。
需要说明的是,在某些情况(例如CPU发出的数据报文或入端口处设置不插入源角色tag的情况)下对接收到的数据报文并不需要插入源角色tag,对于这样的数据报文如果与上述插入了源角色tag的报文从同一出端口转发,则保持各数据报文的格式,不相互干扰。
对于中间设备,接收到数据报文后,在对报文进行二层或三层转发的过程中,保持作为内层VLAN标签的源角色tag不变。即如果通过内层VLAN标签的TPID识别出该内层VLAN标签为源角色tag,则保持内层VLAN标签不变。
至于中间设备对数据报文的二层或三层转发处理与Ingress设备相同,对于图2所示的第一种应用场景,中间设备接收到的是仅携带源角色tag的数据报文,确定入端口对应的Vtag,将Vtag作为外层VLAN标签插入该数据报文;根据Vtag和报文的目的MAC地址查找二层转发表确定出端口,将该数据报文通过确定的出端口进行转发。如果出端口上设置了Vtag剥离,则在转发该数据报文之前,剥离该数据报文的Vtag(替换后的Vtag)后通过确定的出端口进行转发,此时转发的报文仅携带源角色tag。
对于图3所示的第二种应用场景,中间设备接收到的是包含Vtag和源角色tag的数据报文,根据Vtag和报文的目的MAC地址查找二层转发表确定出端口,将携带了Vtag和源角色tag的数据报文通过确定的出端口进行转发。如果出端口上设置了Vtag剥离,则在转发该数据报文之前,剥离该数据报文的Vtag(替换后的Vtag)后通过确定的出端口进行转发,此时转发的报文仅携带源角色tag。
对于图4所示的第三种应用场景,中间设备接收到的是仅携带源角色tag的数据报文,确定入端口对应的Vtag,将Vtag作为外层VLAN标签插入该数据报文;根据Vtag和目的IP地址查找三层转发表确定出端口,对Vtag、源MAC地址和目的MAC进行替换后通过确定出端口进行转发,此时转发的报文携带Vtag和源角色tag。如果出端口上设置了Vtag剥离,则在转发该数据报文之前,剥离该数据报文的Vtag后通过确定的出端口进行转发,此时转发的报文仅携带源角色tag。
对于图5所示的第四种应用场景,中间设备接收到的是包含Vtag和源角色tag的数据报文,根据Vtag和目的IP地址查找三层转发表确定出端口,对Vtag、源MAC地址和目的MAC进行替换后通过确定出端口进行转发,此时转发的报文携带Vtag和源角色tag。如果出端口上设置了Vtag剥离,则在转发该数据报文之前,剥离该数据报文的Vtag后通过确定的出端口进行转发,此时转发的报文仅携带源角色tag。
对于Egress设备,接收到中间设备发送来的数据报文时,查找图8中804下发的对应关系,确定该数据报文的目的地址(如目的IP地址)对应的目的角色信息;从数据报文的内层VLAN标签中获取源角色tag,利用源角色tag和目的角色信息对RBACL进行匹配,根据匹配的结果对该数据报文进行接入控制处理。
由于在图8的步骤807中,Egress设备向硬件层面下发了RBACL,该RBACL的表项中包含源角色tag、目的角色信息和接入控制处理方式。在利用获取的源角色tag和目的角色信息对RBACL进行匹配后,如果存在匹配的表项,则可以确定对应的接入控制处理方式,例如允许转发、拒绝转发、转发速率限制、镜像、重定向、优先级重标记、统计等接入控制处理方式。
另外,在Egress设备中除了进行上述接入控制过程之外,还会在设备内部进行二层或三层转发处理。下面针对上述四种应用场景对Egress设备内部的处理过程进行详细描述。
对于图2所示的第一种应用场景,Egress设备接收到的是包含源角色tag和Vtag,或者仅携带源角色tag的数据报文。
如果数据报文仅携带源角色tag,则Egress设备通过数据报文内层VLAN标签的TPID类型确定出该内层VLAN标签为源角色tag时,获取该源角色tag。同时基于入端口确定Vtag,将Vtag作为外层VLAN标签插入该数据报文。利用Vtag和目的MAC地址查找二层转发表确定出端口。确定该数据报文的目的地址对应的目的角色信息;利用源角色tag和目的角色信息对RBACL进行匹配,根据匹配的结果对该数据报文进行接入控制处理。例如,如果匹配结果是允许转发,则数据报文的所有标签后通过确定的出端口进行转发。如果匹配结果是拒绝转发,则丢弃该数据报文。在通过出端口进行转发时,剥离源角色tag和Vtag,即转发出去的报文是untag的数据报文。
其中,上述对RBACL进行匹配的操作可以在查找二层或三层转发表确定出端口的操作之前,也可以在之后。
如果Egress设备接收到的报文携带源角色tag和Vtag,与对仅携带源角色tag的数据报文的处理方式不同的是,无需基于入端口确定Vtag,其它处理方式与对仅携带源角色tag的数据报文的处理方式相同。
对于图3所示的第二种应用场景,其处理方式与第一种应用场景基本相同,只是在出端口处仅剥离源角色tag,即通过出端口转发的数据报文携带Vtag。
对于图4所示的第三种应用场景,如果Egress设备接收到的数据报文仅携带源角色tag,则通过数据报文内层VLAN标签的TPID类型确定出该内层VLAN标签为源角色tag时,获取该源角色tag。同时基于入端口确定Vtag,将Vtag作为外层VLAN标签插入该数据报文。利用Vtag和目的IP地址查找三层转发表确定出端口,对Vtag、源MAC地址和目的MAC进行替换。确定该数据报文的目的地址对应的目的角色信息;利用源角色tag和目的角色信息对RBACL进行匹配,根据匹配的结果对该数据报文进行接入控制处理。例如,如果匹配结果是允许转发,则数据报文的所有标签后通过确定的出端口进行转发。如果匹配结果是拒绝转发,则丢弃该数据报文。在通过出端口进行转发时,剥离源角色tag和替换后的Vtag,即转发出去的报文是untag的数据报文。
如果Egress设备接收到的报文携带源角色tag和Vtag,与对仅携带源角色tag的数据报文的处理方式不同的是,无需基于入端口确定Vtag,其它处理方式与对仅携带源角色tag的数据报文的处理方式相同。
对于图5所示的第四种应用场景,其处理方式与第三种应用场景基本相同,只是在出端口处仅剥离源角色tag,即通过出端口转发的数据报文携带Vtag(进行替换处理后的Vtag)。
在本发明提供的上述方法中,各设备内部对内层VLAN标签和外层VLAN标签的处理过程互不产生影响,并且,在插入作为内层VLAN标签的源角色tag后,不会影响设备对报文的外层VLAN标签和其它报文字段的匹配和处理。
另外,上述方法中均以单播的数据报文为例进行描述,需要说明的是,本发明对于源角色tag的处理方式同样支持组播,Ingress设备、中间设备或Egress设备在对报文进行三层或二层复制后,复制的报文同样携带与组播源报文相同的源角色tag。
上述方法除了应用于网络设备的普通端口之外,也同样可以应用于CPU端口,CPU端口的逻辑处理与普通端口相同。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的Ingress设备、中间设备和Egress设备进行详细描述。
图9为本发明提供的Ingress设备的结构示意图,如图9所示,该Ingress设备可以包括:报文接收单元901、角色标签确定单元902、角色标签插入单元903和转发处理单元904。
报文接收单元901,用于接收来自用户设备的数据报文。
角色标签确定单元902,用于根据数据报文的来源信息确定源角色标签tag;其中源角色tag对应用户设备的角色。
角色标签插入单元903,用于将源角色tag作为数据报文的内层VLAN标签插入数据报文。
转发处理单元904,用于转发角色标签插入单元903处理后的数据报文。
上述报文接收单元901、角色标签确定单元902、角色标签插入单元903和转发处理单元904均可以为硬件层面的单元,可以通过转发芯片实现。
另外,该Ingress设备还可以包括:认证处理单元911和第一标签配置单元912来进行硬件层面的相关信息配置。
认证处理单元911,用于将来自用户设备的认证请求转发给接入认证服务器。
第一标签配置单元912,用于获取接入认证服务器下发的用户设备的角色信息,并将接收认证请求的入端口与用户设备的角色信息对应的源角色tag之间的对应关系下发给硬件层面。
此时,上述角色标签确定单元902根据下发给硬件层面的对应关系,执行根据数据报文的来源信息确定源角色标签tag的操作;其中来源信息为接收数据报文的入端口。
根据网络架构的不同,如果Ingress设备与用户设备之间存在普通设备,且通过普通设备与接入认证服务器进行交互,则Ingress设备可以采用另一种方式,如图10所示,利用角色获取单元913和第二标签配置单元914来进行硬件层面的相关信息配置。
角色获取单元913,用于获取普通设备发送来的用户设备的角色信息与认证请求的源地址信息或协议号之间的对应关系;其中用户设备的角色信息普通设备将转发用户设备的认证请求转发至接入认证服务器之后,接入认证服务器下发给普通设备的。
第二标签配置单元914,用于将用户设备的角色信息对应的源角色tag与源地址信息或协议号之间的对应关系下发给硬件层面。
此时,上述角色标签确定单元902根据下发给硬件层面的对应关系,执行根据数据报文的来源信息确定源角色标签tag的操作;其中来源信息为数据报文的源地址信息或协议号。
上述的认证处理单元911、第一标签配置单元912、角色获取单元913和第二标签配置单元914是软件控制层面的单元。
具体地,角色标签插入单元903将源角色tag作为数据报文的内层VLAN标签插入数据报文时,将内层VLAN标签的标签协议标识TPID设置为非0X8100的一个设定值。
其中,Ingress设备中的转发处理单元904可以具体包括:外层标签插入子单元941、转发表查找子单元942和出口处理子单元943。
外层标签插入子单元941,用于在报文接收单元901接收到的数据报文中没有包含虚拟局域网标签Vtag时,确定数据报文的Vtag,并将该Vtag作为外层VLAN标签插入数据报文。
转发表查找子单元942,用于利用报文接收单元901接收到的数据报文中包含的Vtag和目的地址信息,或者利用外层标签插入子单元941处理后的数据报文中包含的Vtag和目的地址信息,查找二层或三层转发表确定出端口。
出口处理子单元943,用于剥离或者不剥离数据报文中携带的Vtag后,将携带源角色tag的数据报文通过确定的出端口进行转发。至于剥离或者不剥离数据报文的Vtag由出端口的具体配置决定。
另外,转发处理单元904进行的是三层转发时,该转发处理单元还会包含:对数据报文的Vtag、源MAC和目的MAC进行替换的单元,由于该部分是现有协议中已有的内容,在图中并没有示出,也不再具体描述。
图11为本发明提供的Egress设备的结构示意图,如图11所示,该Egress设备可以包括:报文接收单元1101、角色标签获取单元1102和接入控制单元1103。
报文接收单元1101,用于接收来自用户侧的数据报文。
角色标签获取单元1102,用于从数据报文中获取作为内层VLAN标签的源角色tag;其中源角色tag对应发送数据报文的用户设备的角色。
接入控制单元1103,用于利用源角色tag对数据报文进行基于角色的接入控制。
上述报文接收单元1101、角色标签获取单元1102和接入控制单元1103是硬件层面的单元,可以采用转发芯片实现。
其中,接入控制单元1103可以具体包括:目的角色确定子单元1131、接入控制匹配子单元1132和接入控制处理子单元1133。
目的角色确定子单元1131,用于确定数据报文的目的角色信息。
接入控制匹配子单元1132,用于根据源角色tag和目的角色信息匹配基于角色的接入控制列表RBACL。
接入控制处理子单元1133,用于根据接入控制匹配子单元1132的匹配结果对数据报文进行接入控制处理。
另外,该Egress设备还包括:认证处理单元1111、目的角色配置单元1112、控制列表获取单元1113和控制列表配置单元1114来实现硬件层面的相关信息配置。
认证处理单元1111,用于将来自资源侧设备的认证请求转发给接入认证服务器,获取接入认证服务器下发的资源侧设备的角色信息。
目的角色配置单元1112,用于将认证请求的源地址信息与资源侧设备的角色信息之间的对应关系下发到硬件层面。
控制列表获取单元1113,用于从接入认证服务器获取基于角色的控制策略,该基于角色的控制策略以接入认证服务器下发的角色信息作为目的角色信息。
控制列表配置单元1114,用于将上述基于角色的控制策略中的源角色信息替换为对应的源角色tag后得到RBACL,将RBACL下发到硬件层面。
此时,目的角色确定子单元1131根据下发到硬件层面的对应关系,确定数据报文的目的地址对应的目的角色信息。接入控制匹配子单元1132对下发到硬件准发层面的RBACL执行匹配处理。
上述的认证处理单元1111、目的角色配置单元1112、控制列表获取单元1113和控制列表配置单元1114是软件控制平面的单元。
更进一步地,该Egress设备还可以包括现有的转发处理单元1104,该转发处理单元1104可以具体包括:外层标签插入子单元1141、转发表查找子单元1142和出口处理子单元1143。
外层标签插入子单元1141,用于在报文接收单元1101接收到的数据报文中没有包含虚拟局域网标签Vtag时,确定数据报文的Vtag,并将该Vtag作为外层VLAN标签插入数据报文。
转发表查找子单元1142,用于利用报文接收单元1101接收到的数据报文中包含的Vtag和目的地址信息,或者利用外层标签插入子单元1141处理后的数据报文中包含的Vtag和目的地址信息,查找二层或三层转发表确定出端口。
出口处理子单元1143,用于剥离数据报文的源角色tag,剥离或者不剥离数据报文中携带的Vtag后,在接入控制单元1103确定需要转发数据报文时,将数据报文通过确定的出端口进行转发。
另外,转发处理单元1104进行的是三层转发时,该转发处理单元1104还会包含:对数据报文的Vtag、源MAC和目的MAC进行替换的单元,由于该部分是现有协议中已有的内容,在图中并没有示出,也不再具体描述。
图12为本发明提供的中间设备的结构示意图,如图12所示,该中间设备具体包括:报文接收单元1201、标签识别单元1202和转发处理单元1203。
报文接收单元1201,用于接收来自Ingress设备或其它中间设备的数据报文。
标签识别单元1202,用于对数据报文的内层VLAN标签进行识别。
转发处理单元1203,用于在对数据报文的转发过程中,如果标签识别单元1202识别出内层VLAN标签为源角色tag,则保持内层VLAN标签不变。其中源角色tag对应发送数据报文的用户设备的角色。
其中,标签识别单元1202如果解析出内层VLAN标签的标签协议标识TPID为非0X8100的一个设定值,则识别出内层VLAN标签为源角色tag。
上述转发处理单元1203可以具体包括:外层标签插入子单元1231、转发表查找子单元1232和出口处理子单元1233。
外层标签插入子单元1231,用于在报文接收单元1201接收到的数据报文中没有包含虚拟局域网标签Vtag时,确定数据报文的Vtag,并将该Vtag作为外层VLAN标签插入数据报文。
转发表查找子单元1232,用于利用报文接收单元1201接收到的数据报文中包含的Vtag和目的地址信息,或者利用外层标签插入子单元1231处理后的数据报文中包含的Vtag和目的地址信息,查找二层或三层转发表确定出端口。
出口处理子单元1233,用于剥离或者不剥离数据报文中携带的Vtag后,将携带源角色tag的数据报文通过确定的出端口进行转发。
另外,转发处理单元1203进行的是三层转发时,该转发处理单元1203还会包含:对数据报文的Vtag、源MAC和目的MAC进行替换的单元,由于该部分是现有协议中已有的内容,在图中并没有示出,也不再具体描述。
上述报文接收单元1201、标签识别单元1202和转发处理单元1203均是中间设备中硬件层面的单元,可以通过转发芯片的方式实现。
另外,需要说明的是,可以将上述Ingress设备、中间设备和Egress设备中硬件层面的各单元集成在一个转发芯片上实现,当该转发芯片确定自身需要完成Ingress设备的功能时,执行Ingress设备中硬件层面上各单元的功能;当该转发芯片确定自身需要完成中间设备的功能时,执行中间设备中硬件层面上各单元的功能;当该转发芯片确定自身需要完成Egress设备的功能时,执行Egress设备中硬件层面上各单元的功能。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (20)
1.一种处理源角色信息的方法,应用于包含入口Ingress设备和出口Egress设备的网络,其特征在于,该方法包括:
所述Ingress设备接收到来自用户设备的数据报文后,根据所述数据报文的来源信息确定源角色标签tag后,将该源角色tag作为数据报文的内层虚拟局域网VLAN标签插入数据报文后,转发该数据报文;其中,所述源角色tag对应所述用户设备的角色;
如果所述Ingress设备和Egress设备之间存在中间设备,则所述中间设备在对所述数据报文的转发过程中,保持作为内层VLAN标签的源角色tag不变直至转发所述数据报文至Egress设备;
所述Egress设备从所述数据报文中获取作为内层VLAN标签的源角色tag,用于对所述数据报文进行基于角色的接入控制。
2.根据权利要求1所述的方法,其特征在于,该方法还包括:所述Ingress设备接收到所述用户设备的认证请求后,将该认证请求转发给接入认证服务器;获取接入认证服务器下发的所述用户设备的角色信息,并将接收所述认证请求的入端口与所述用户设备的角色信息对应的源角色tag之间的对应关系下发给Ingress设备的硬件层面;
根据所述数据报文的来源信息确定源角色tag为:所述Ingress设备根据下发给硬件层面的所述对应关系,确定接收所述数据报文的入端口对应的源角色tag。
3.根据权利要求1所述的方法,其特征在于,该方法还包括:普通设备将所述用户设备发送的认证请求转发给接入认证服务器,获取接入认证服务器下发的所述用户设备的角色信息,并将所述用户设备的角色信息与所述认证请求的源地址信息或协议号之间的对应关系发送给所述Ingress设备;所述Ingress设备将所述用户设备的角色信息对应的源角色tag与所述源地址信息或协议号之间的对应关系下发给该Ingress设备的硬件层面;
根据所述数据报文的来源信息确定源角色tag为:所述Ingress设备根据下发给硬件层面的所述对应关系,确定所述数据报文的源地址信息或协议号对应的源角色tag。
4.根据权利要求1所述的方法,其特征在于,对所述数据报文进行基于角色的接入控制包括:所述Egress设备确定所述数据报文的目的角色信息,根据获取的源角色tag和所述目的角色信息匹配基于角色的接入控制列表RBACL,按照匹配的结果对所述数据报文进行接入控制处理。
5.根据权利要求4所述的方法,其特征在于,该方法还包括:所述Egress设备将来自资源侧设备的认证请求转发给接入认证服务器,获取接入认证服务器下发的所述资源侧设备的角色信息,将所述认证请求的源地址信息与所述资源侧设备的角色信息之间的对应关系下发到该Egress设备的硬件层面;从接入认证服务器获取基于角色的控制策略,该基于角色的控制策略以所述接入认证服务器下发的角色信息作为目的角色信息;将所述基于角色的控制策略中的源角色信息替换为对应的源角色tag后得到基于角色的接入控制列表RBACL,将RBACL下发该Egress设备的硬件层面;
确定所述数据报文的目的角色信息为:根据下发到硬件层面的所述对应关系,确定所述数据报文的目的地址信息对应的角色信息;
Egress设备对下发到硬件层面的RBACL执行所述匹配处理。
6.根据权利要求1至5任一权项所述的方法,其特征在于,所述源角色tag作为内层VLAN标签时,所述内层VLAN标签的标签协议标识TPID为非0X8100的一个设定值;
所述中间设备识别出接收到的数据报文的内层VLAN标签的TPID为所述设定值时,保持所述数据报文的内层VLAN标签不变;
所述Egress设备识别出接收到的数据报文的内层VLAN标签的TPID为所述设定值时,从所述数据报文中获取作为内层VLAN标签的源角色tag。
7.根据权利要求1至6任一权项所述的方法,其特征在于,所述Ingress设备和所述中间设备对数据报文的转发处理包括:
A1、如果接收到的所述数据报文中没有包含虚拟局域网标签Vtag,则确定数据报文的Vtag,并将该Vtag作为外层VLAN标签插入所述数据报文,执行A2;如果接收到的所述数据报文中已经包含Vtag,则直接执行A2;
A2、利用所述数据报文包含的Vtag和所述数据报文的目的地址信息查找二层或三层转发表确定出端口;
A3、将剥离或不剥离所述Vtag,且携带所述源角色tag的数据报文通过确定的出端口进行转发。
8.根据权利要求1至6任一权项所述的方法,其特征在于,所述Egress设备对所述数据报文还进行以下操作:
B1、如果接收到的所述数据报文中没有包含Vtag,则确定所述数据报文的Vtag,并将该Vtag作为外层VLAN标签插入所述数据报文,执行B2;如果接收到的所述数据报文中已经包含Vtag,则直接执行B2;
B2、利用所述数据报文包含的Vtag和所述数据报文的目的地址信息查找二层或三层转发表确定出端口;
B3、剥离所述数据报文的源角色tag,剥离或不剥离所述Vtag,在所述接入控制处理需要转发所述数据报文时,通过确定的出端口转发数据报文。
9.一种入口Ingress设备,其特征在于,该Ingress设备包括:
报文接收单元,用于接收来自用户设备的数据报文;
角色标签确定单元,用于根据所述数据报文的来源信息确定源角色标签tag;其中所述源角色tag对应所述用户设备的角色;
角色标签插入单元,用于将所述源角色tag作为所述数据报文的内层虚拟局域网VLAN标签插入所述数据报文;
转发处理单元,用于转发所述数据报文。
10.根据权利要求9所述的Ingress设备,其特征在于,该Ingress设备还包括:认证处理单元和第一标签配置单元;
所述认证处理单元,用于将来自所述用户设备的认证请求转发给接入认证服务器;
所述第一标签配置单元,用于获取接入认证服务器下发的所述用户设备的角色信息,并将接收所述认证请求的入端口与所述用户设备的角色信息对应的源角色tag之间的对应关系下发给硬件层面;
所述角色标签确定单元根据下发给硬件层面的所述对应关系,执行根据所述数据报文的来源信息确定源角色标签tag的操作;其中所述来源信息为接收所述数据报文的入端口。
11.根据权利要求9所述的Ingress设备,其特征在于,该Ingress设备包括:角色获取单元和第二标签配置单元;
所述角色获取单元,用于获取普通设备发送来的所述用户设备的角色信息与所述认证请求的源地址信息或协议号之间的对应关系;其中所述用户设备的角色信息所述普通设备在转发所述用户设备的认证请求至接入认证服务器后,接入认证服务器下发给所述普通设备的;
所述第二标签配置单元,用于将所述用户设备的角色信息对应的源角色tag与所述源地址信息或协议号之间的对应关系下发给硬件层面;
所述角色标签确定单元根据下发给硬件层面的所述对应关系,执行根据所述数据报文的来源信息确定源角色标签tag的操作;其中所述来源信息为所述数据报文的源地址信息或协议号。
12.根据权利要求9所述的Ingress设备,其特征在于,所述角色标签插入单元将所述源角色tag作为所述数据报文的内层VLAN标签插入所述数据报文时,将所述内层VLAN标签的标签协议标识TPID设置为非0X8100的一个设定值。
13.根据权利要求9至12任一权项所述的Ingress设备,其特征在于,所述转发处理单元具体包括:
外层标签插入子单元,用于在所述报文接收单元接收到的所述数据报文中没有包含虚拟局域网标签Vtag时,确定所述数据报文的Vtag,并将该Vtag作为外层VLAN标签插入所述数据报文;
转发表查找子单元,用于利用所述报文接收单元接收到的数据报文中包含的Vtag和目的地址信息,或者利用所述外层标签插入子单元处理后的数据报文中包含的Vtag和目的地址信息,查找二层或三层转发表确定出端口;
出口处理子单元,用于剥离或者不剥离数据报文中携带的Vtag后,将携带所述源角色tag的数据报文通过确定的出端口进行转发。
14.一种出口Egress设备,其特征在于,该Egress设备包括:
报文接收单元,用于接收来自用户侧的数据报文;
角色标签获取单元,用于从所述数据报文中获取作为内层虚拟局域网VLAN标签的源角色标签tag;其中,所述源角色tag对应发送所述数据报文的用户设备的角色;
接入控制单元,用于利用所述源角色tag对所述数据报文进行基于角色的接入控制。
15.根据权利要求14所述的Egress设备,其特征在于,所述接入控制单元具体包括:
目的角色确定子单元,用于确定所述数据报文的目的角色信息;
接入控制匹配子单元,用于根据所述源角色tag和目的角色信息匹配基于角色的接入控制列表RBACL;
接入控制处理子单元,用于根据所述接入控制匹配子单元的匹配结果对所述数据报文进行接入控制处理。
16.根据权利要求15所述的Egress设备,其特征在于,该Egress设备还包括:认证处理单元、目的角色配置单元、控制列表获取单元和控制列表配置单元;
所述认证处理单元,用于将来自资源侧设备的认证请求转发给接入认证服务器,获取接入认证服务器下发的所述资源侧设备的角色信息;
所述目的角色配置单元,用于将所述认证请求的源地址信息与所述资源侧设备的角色信息之间的对应关系下发到硬件层面;
所述控制列表获取单元,用于从所述接入认证服务器获取基于角色的控制策略,该基于角色的控制策略以所述接入认证服务器下发的角色信息作为目的角色信息;
所述控制列表配置单元,用于将所述基于角色的控制策略中的源角色信息替换为对应的源角色tag后得到基于角色的接入控制列表RBACL,将RBACL下发到硬件层面;
所述目的角色确定子单元根据下发到硬件层面的所述对应关系,确定所述数据报文的目的地址对应的目的角色信息;
所述接入控制匹配子单元对下发到硬件准发层面的RBACL执行所述匹配处理。
17.根据权利要求14、15或16所述的Egress设备,其特征在于,该Egress设备还包括转发处理单元,该转发处理单元具体包括:
外层标签插入子单元,用于在所述报文接收单元接收到的所述数据报文中没有包含虚拟局域网标签Vtag时,确定所述数据报文的Vtag,并将该Vtag作为外层VLAN标签插入所述数据报文;
转发表查找子单元,用于利用所述报文接收单元接收到的数据报文中包含的Vtag和目的地址信息,或者利用所述外层标签插入子单元处理后的数据报文中包含的Vtag和目的地址信息,查找二层或三层转发表确定出端口;
出口处理子单元,用于剥离所述数据报文的源角色tag,剥离或者不剥离数据报文中携带的Vtag后,在所述接入控制单元确定需要转发数据报文时,将数据报文通过确定的出端口进行转发。
18.一种中间设备,其特征在于,该中间设备包括:
报文接收单元,用于接收来自入口Ingress设备或其它中间设备的数据报文;
标签识别单元,用于对所述数据报文的内层虚拟局域网VLAN标签进行识别;
转发处理单元,用于在对所述数据报文的转发过程中,如果所述标签识别单元识别出所述内层VLAN标签为源角色标签tag,则保持所述内层VLAN标签不变;
其中,所述源角色tag对应发送数据报文的用户设备的角色。
19.根据权利要求18所述的中间设备,其特征在于,所述标签识别单元如果解析出所述内层VLAN标签的标签协议标识TPID为非0X8100的一个设定值,则识别出所述内层VLAN标签为源角色tag。
20.根据权利要求18或19所述的中间设备,其特征在于,所述转发处理单元具体包括:
外层标签插入子单元,用于在所述报文接收单元接收到的所述数据报文中没有包含虚拟局域网标签Vtag时,确定所述数据报文的Vtag,并将该Vtag作为外层VLAN标签插入所述数据报文;
转发表查找子单元,用于利用所述报文接收单元接收到的数据报文中包含的Vtag和目的地址信息,或者利用所述外层标签插入子单元处理后的数据报文中包含的Vtag和目的地址信息,查找二层或三层转发表确定出端口;
出口处理子单元,用于剥离或者不剥离数据报文中携带的Vtag后,将携带所述源角色tag的数据报文通过确定的出端口进行转发。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010187359.6A CN102263774B (zh) | 2010-05-24 | 2010-05-24 | 一种处理源角色信息的方法和装置 |
| PCT/CN2011/074568 WO2011147305A1 (en) | 2010-05-24 | 2011-05-24 | Method and device for processing source role information |
| US13/699,540 US9088437B2 (en) | 2010-05-24 | 2011-05-24 | Method and device for processing source role information |
| EP11786077.5A EP2577918A4 (en) | 2010-05-24 | 2011-05-24 | METHOD AND DEVICE FOR PROCESSING INFORMATION RELATING TO A ROLE OF ORIGIN |
| US14/796,457 US20150319139A1 (en) | 2010-05-24 | 2015-07-10 | Method and device for processing source role information |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010187359.6A CN102263774B (zh) | 2010-05-24 | 2010-05-24 | 一种处理源角色信息的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102263774A true CN102263774A (zh) | 2011-11-30 |
| CN102263774B CN102263774B (zh) | 2014-04-16 |
Family
ID=45003316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010187359.6A Active CN102263774B (zh) | 2010-05-24 | 2010-05-24 | 一种处理源角色信息的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9088437B2 (zh) |
| EP (1) | EP2577918A4 (zh) |
| CN (1) | CN102263774B (zh) |
| WO (1) | WO2011147305A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016188201A1 (zh) * | 2015-05-26 | 2016-12-01 | 中兴通讯股份有限公司 | 报文处理方法及装置 |
| CN108810106A (zh) * | 2018-05-24 | 2018-11-13 | 郑州云海信息技术有限公司 | 一种采集设备信息的方法、装置、系统和存储介质 |
| CN114024725A (zh) * | 2021-10-25 | 2022-02-08 | 全球能源互联网研究院有限公司南京分公司 | 一种容器间通信方法、系统、电子设备及存储介质 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IN2014KN02975A (zh) * | 2012-06-29 | 2015-05-08 | Id Dataweb Inc | |
| US9154507B2 (en) * | 2012-10-15 | 2015-10-06 | International Business Machines Corporation | Automated role and entitlements mining using network observations |
| US9948675B2 (en) * | 2013-04-04 | 2018-04-17 | The Mitre Corporation | Identity-based internet protocol networking |
| CN104734986B (zh) * | 2013-12-19 | 2018-12-25 | 华为技术有限公司 | 一种报文转发方法和装置 |
| US9264308B2 (en) | 2013-12-27 | 2016-02-16 | Dell Products L.P. | N-node virtual link trunking (VLT) systems data plane |
| US9276815B2 (en) | 2013-12-27 | 2016-03-01 | Dell Products L.P. | N-node virtual link trunking (VLT) systems management plane |
| US9769115B2 (en) | 2015-04-24 | 2017-09-19 | Fortinet, Inc. | DHCP agent assisted routing and access control |
| WO2016209426A1 (en) * | 2015-06-26 | 2016-12-29 | Mcafee, Inc. | Systems and methods for routing data using software-defined networks |
| CN113938426A (zh) * | 2016-11-02 | 2022-01-14 | 华为技术有限公司 | 一种报文处理方法以及网络设备 |
| US10291517B1 (en) * | 2016-12-16 | 2019-05-14 | Juniper Networks, Inc. | Generating a dummy VLAN tag for indicating quality of service classification information in a distributed routing system |
| US10516998B2 (en) * | 2017-01-19 | 2019-12-24 | Hewlett Packard Enterprise Development Lp | Wireless network authentication control |
| CN109347822A (zh) * | 2018-10-16 | 2019-02-15 | 杭州迪普科技股份有限公司 | 一种用户访问未授权资源的提示方法及装置 |
| US10848331B2 (en) * | 2018-12-19 | 2020-11-24 | Nxp B.V. | Multi-node network with enhanced routing capability |
| WO2024091817A1 (en) * | 2022-10-24 | 2024-05-02 | Cisco Technology, Inc. | Adaptive mechanism for network communication |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101146016A (zh) * | 2006-09-15 | 2008-03-19 | 华为技术有限公司 | 以太帧传输方法和以太网架构 |
| CN101155113A (zh) * | 2006-09-29 | 2008-04-02 | 华为技术有限公司 | 一种vlan交换隧道的复用方法和vlan交换域 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6539388B1 (en) * | 1997-10-22 | 2003-03-25 | Kabushika Kaisha Toshiba | Object-oriented data storage and retrieval system using index table |
| US6182142B1 (en) * | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
| US20020103889A1 (en) * | 2000-02-11 | 2002-08-01 | Thomas Markson | Virtual storage layer approach for dynamically associating computer storage with processing hosts |
| US7093005B2 (en) * | 2000-02-11 | 2006-08-15 | Terraspring, Inc. | Graphical editor for defining and creating a computer system |
| US8423042B2 (en) * | 2004-02-24 | 2013-04-16 | Invisitrack, Inc. | Method and system for positional finding using RF, continuous and/or combined movement |
| US20040223497A1 (en) * | 2003-05-08 | 2004-11-11 | Onvoy Inc. | Communications network with converged services |
| JP2006526298A (ja) * | 2003-05-13 | 2006-11-16 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | イーサネットアクセスシステムに関係した装置及び方法 |
| US7530112B2 (en) | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
| US7669244B2 (en) * | 2004-10-21 | 2010-02-23 | Cisco Technology, Inc. | Method and system for generating user group permission lists |
| US7721323B2 (en) | 2004-11-23 | 2010-05-18 | Cisco Technology, Inc. | Method and system for including network security information in a frame |
| US7835370B2 (en) * | 2005-04-28 | 2010-11-16 | Cisco Technology, Inc. | System and method for DSL subscriber identification over ethernet network |
| US7868738B2 (en) * | 2006-06-15 | 2011-01-11 | Microsoft Corporation | Device simulator framework for an RFID infrastructure |
| EP2122942B1 (en) * | 2007-03-01 | 2017-08-30 | Extreme Networks, Inc. | Software control plane for switches and routers |
| US8194570B2 (en) * | 2007-03-21 | 2012-06-05 | Cisco Technology, Inc. | Configuration tool for MPLS virtual private network topologies |
| US7840708B2 (en) | 2007-08-13 | 2010-11-23 | Cisco Technology, Inc. | Method and system for the assignment of security group information using a proxy |
| CN101106512B (zh) * | 2007-09-03 | 2010-07-07 | 华为技术有限公司 | 一种QinQ终结配置的处理方法和设备 |
| US7844724B2 (en) * | 2007-10-24 | 2010-11-30 | Social Communications Company | Automated real-time data stream switching in a shared virtual area communication environment |
| US8479149B2 (en) * | 2008-04-04 | 2013-07-02 | Infosys Limited | Concept-oriented software engineering system and method for identifying, extracting, organizing, inferring and querying software system facts |
| US8223669B2 (en) * | 2008-04-07 | 2012-07-17 | Futurewei Technologies, Inc. | Multi-protocol label switching multi-topology support |
| US8700891B2 (en) * | 2008-05-09 | 2014-04-15 | Broadcom Corporation | Preserving security association in MACsec protected network through VLAN mapping |
| JP4802263B2 (ja) * | 2009-07-17 | 2011-10-26 | 株式会社日立製作所 | 暗号化通信システム及びゲートウェイ装置 |
| JP5033856B2 (ja) * | 2009-10-20 | 2012-09-26 | 株式会社日立製作所 | ネットワーク構成の想定のための装置、システム |
| US9021556B2 (en) * | 2009-11-23 | 2015-04-28 | Symantec Corporation | System and method for virtual device communication filtering |
| US8490151B2 (en) * | 2010-06-25 | 2013-07-16 | Nokia Corporation | Method and apparatus for performing a multi-role communication using a memory tag |
-
2010
- 2010-05-24 CN CN201010187359.6A patent/CN102263774B/zh active Active
-
2011
- 2011-05-24 US US13/699,540 patent/US9088437B2/en active Active
- 2011-05-24 EP EP11786077.5A patent/EP2577918A4/en not_active Withdrawn
- 2011-05-24 WO PCT/CN2011/074568 patent/WO2011147305A1/en active Application Filing
-
2015
- 2015-07-10 US US14/796,457 patent/US20150319139A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101146016A (zh) * | 2006-09-15 | 2008-03-19 | 华为技术有限公司 | 以太帧传输方法和以太网架构 |
| CN101155113A (zh) * | 2006-09-29 | 2008-04-02 | 华为技术有限公司 | 一种vlan交换隧道的复用方法和vlan交换域 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016188201A1 (zh) * | 2015-05-26 | 2016-12-01 | 中兴通讯股份有限公司 | 报文处理方法及装置 |
| CN106302143A (zh) * | 2015-05-26 | 2017-01-04 | 中兴通讯股份有限公司 | 报文处理方法及装置 |
| CN106302143B (zh) * | 2015-05-26 | 2019-06-11 | 中兴通讯股份有限公司 | 报文处理方法及装置 |
| CN108810106A (zh) * | 2018-05-24 | 2018-11-13 | 郑州云海信息技术有限公司 | 一种采集设备信息的方法、装置、系统和存储介质 |
| CN114024725A (zh) * | 2021-10-25 | 2022-02-08 | 全球能源互联网研究院有限公司南京分公司 | 一种容器间通信方法、系统、电子设备及存储介质 |
| CN114024725B (zh) * | 2021-10-25 | 2023-06-20 | 全球能源互联网研究院有限公司南京分公司 | 一种容器间通信方法、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9088437B2 (en) | 2015-07-21 |
| US20130064247A1 (en) | 2013-03-14 |
| WO2011147305A1 (en) | 2011-12-01 |
| EP2577918A4 (en) | 2014-07-16 |
| US20150319139A1 (en) | 2015-11-05 |
| CN102263774B (zh) | 2014-04-16 |
| EP2577918A1 (en) | 2013-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102263774B (zh) | 一种处理源角色信息的方法和装置 | |
| KR101015130B1 (ko) | 데이터 분배 장치, 데이터 분배 방법 및 분배 제어 프로그램 | |
| CN103475750B (zh) | 一种适用于多出口网络的地址转换方法及设备 | |
| EP2725749B1 (en) | Method, apparatus and system for processing service flow | |
| US9219638B2 (en) | Apparatus and method for applying network policy at a network device | |
| CN100531146C (zh) | 基于流转发的更新流转发表项内容的方法及设备 | |
| CN101160850B (zh) | 一种转发报文的方法及装置 | |
| CN101141304B (zh) | Acl规则的管理方法和设备 | |
| CN101237378B (zh) | 虚拟局域网的映射方法和设备 | |
| CN102355610B (zh) | Eoc光网络单元系统中实现线路标识的方法 | |
| CN1333617A (zh) | 基于mac地址的通信限制方法 | |
| CN101022394A (zh) | 一种实现虚拟局域网聚合的方法及汇聚交换机 | |
| CN102158421A (zh) | 创建三层接口的方法及单元 | |
| US20110110372A1 (en) | Systems and methods to perform hybrid switching and routing functions | |
| CN102263679B (zh) | 一种处理源角色信息的方法和转发芯片 | |
| CN103166864A (zh) | 一种私网vlan信息管理方法和设备 | |
| CN104168338A (zh) | 一种网络地址转换装置和方法 | |
| CN108833979A (zh) | 双系统融合终端的预配置文件导入方法及双系统融合终端 | |
| US9166884B2 (en) | Network location service | |
| CN102916874B (zh) | 一种报文发送方法及设备 | |
| CN101459532A (zh) | 一种多网口设备自动组网的方法及设备 | |
| WO2009021424A1 (en) | A device and method for handling messages | |
| CN107888711B (zh) | 一种跨网段设备搜索及通讯方法 | |
| US9025606B2 (en) | Method and network node for use in link level communication in a data communications network | |
| CN102111395B (zh) | 建立基于以太网的光纤通道虚链路的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |