CN111107142A - 业务访问方法和装置 - Google Patents
业务访问方法和装置 Download PDFInfo
- Publication number
- CN111107142A CN111107142A CN201911294174.2A CN201911294174A CN111107142A CN 111107142 A CN111107142 A CN 111107142A CN 201911294174 A CN201911294174 A CN 201911294174A CN 111107142 A CN111107142 A CN 111107142A
- Authority
- CN
- China
- Prior art keywords
- host
- user role
- address
- routing information
- network segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了业务访问方法和装置。本申请中,当第一主机对第二主机进行业务访问时,不再要求第一主机发送的业务访问报文中携带第一主机匹配的第一用户角色,而是由第一主机的边缘设备即源Border依据业务访问报文的源IP地址确定第一主机匹配的第一用户角色以及依据业务访问报文的目的IP地址确定第二主机匹配的第二用户角色,并且源Border还对第一主机的业务访问进行策略控制,以在第一主机不具有访问第二主机的权限时,在源Border端就可禁止业务访问报文转发。本申请能够实现在业务访问报文中不携带用户角色的前提下实现业务访问,且由源Border对第一主机的业务访问进行策略控制,减少网络负载。
Description
技术领域
本申请涉及网络通信技术,特别涉及业务访问方法和装置。
背景技术
在一些应用场景比如一个企业有很多相互独立的分支机构(统称场所)等,常出现用户在不同场所出差的情况。而伴随着用户在不同场所出差这一情况,则要求当用户进行业务访问时,需要将自身用户角色携带在业务访问报文中向目的场所发送,以由目的场所对用户的业务访问执行相应策略控制。在一个例子中,用户角色可以通过业务内容区分,比如分为研发、市场、财务等角色。
但是,在业务访问报文中携带用户角色常会出现很多问题,比如:因为在业务访问报文携带了用户角色可能导致业务访问报文的整体长度大于广域网(WAN:Wide AreaNetwork)要求的最大传输单元(MTU:Maximum Transmission Unit),以至于当业务访问报文在WAN内传输时需要被分片,而当各分片传输至目的场所的网络边缘设备(Border)时,却由于目的场所的Border不具有分片重组能力而无法重组各分片,进而导致业务访问失败。
发明内容
本申请提供了业务访问方法和装置,以在业务访问报文中不携带用户角色的前提下实现业务访问。
本申请提供的技术方案包括:
一种业务访问方法,该方法应用于第一组网内的第一Border,包括:
接收本地第一主机发送的业务访问报文;所述业务访问报文的源IP地址为所述第一组网内第一主机的第一IP地址,目的IP地址为第二组网内第二主机的第二IP地址;
依据所述第一IP地址确定所述第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色;
依据所述第一用户角色和所述第二用户角色确定所述第一主机具有访问所述第二主机的权限,则向所述第二主机转发所述业务访问报文。
在一个例子中,该方法之前进一步包括:
获取各组网中各网段对应的网段路由信息;网段路由信息包括:网段路由和用户角色,同一网段内所有主机匹配的用户角色相同,网段路由信息包括的用户角色为网段内任一主机匹配的用户角色;
所述依据第一IP地址确定第一主机匹配的第一用户角色,包括:
在已获取的所有网段路由信息中查找与第一IP地址所属的第一网段对应的第一网段路由信息,将第一网段路由信息中的用户角色确定为所述第一用户角色;
所述依据第二IP地址确定第二主机匹配的第二用户角色,包括:
在已获取的所有网段路由信息中查找与第二IP地址所属的第二网段对应的第二网段路由信息,将第二网段路由信息中的用户角色确定为所述第二用户角色。
在一个例子中,该方法之前进一步包括:
学习各组网中主机路由信息并记录至本地CPU;主机路由信息至少包括:主机路由和主机匹配的用户角色;
所述依据第一IP地址确定第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色,包括:
在本地硬件转发表中查找用于第一主机访问第二主机的硬件转发表项,
当查找到时,将所述硬件转发表项中与所述第一IP地址对应的用户角色确定为所述第一主机匹配的第一用户角色,与所述第二IP地址对应的用户角色确定为所述第二主机匹配的第二用户角色;
当未查找到时,将所述业务访问报文上送至本地CPU,以由本地CPU在已记录的所有主机路由信息中查找到第一IP地址匹配的第一主机路由信息、以及第二IP地址匹配的第二主机路由信息,将第一主机路由信息中的用户角色确定为所述第一用户角色,将第二主机路由信息中的用户角色确定为所述第二用户角色。
在一个例子中,当在本地硬件转发表中未查找到所述硬件转发表项时,且在依据所述第一用户角色、所述第二用户角色确定所述第一主机具有访问所述第二主机的权限时,该方法进一步包括:
通过本地CPU生成用于第一主机访问第二主机的硬件转发表项并下发至本地硬件,所述硬件转发表项是依据所述第一主机路由信息和所述第二主机路由信息生成的,至少包括:所述第一IP地址、与所述第一IP地址对应的第一用户角色、所述第二IP地址,与所述第二IP地址对应的第二用户角色。
在一个例子中,所述依据第一用户角色和所述第二用户角色确定所述第一主机具有访问所述第二主机的权限包括:
以所述第一用户角色和所述第二用户角色为关键字在已存储的所有业务访问策略中查找包含所述关键字的目标业务访问策略;
若查找到所述目标业务访问策略,且所述目标业务访问策略指示允许第一用户角色访问第二用户角色,则确定所述第一主机具有访问所述第二主机的权限。
一种业务访问装置,该装置应用于第一组网内的第一网络边缘设备Border,包括:
接收单元,用于接收本地第一主机发送的业务访问报文;所述业务访问报文的源IP地址为所述第一组网内第一主机的第一IP地址,目的IP地址为第二组网内第二主机的第二IP地址;
确定单元,用于依据所述第一IP地址确定所述第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色;
业务单元,用于依据所述第一用户角色和所述第二用户角色确定所述第一主机具有访问所述第二主机的权限,则向所述第二主机转发所述业务访问报文。
在一个例子中,该装置进一步包括:
网段路由单元,用于获取各组网中各网段对应的网段路由信息;网段路由信息包括:网段路由和用户角色,同一网段内所有主机匹配的用户角色相同,网段路由信息包括的用户角色为网段内任一主机匹配的用户角色;
所述确定单元依据第一IP地址确定第一主机匹配的第一用户角色,包括:在已获取的所有网段路由信息中查找与第一IP地址所属的第一网段对应的第一网段路由信息,将第一网段路由信息中的用户角色确定为所述第一用户角色;
所述确定单元依据第二IP地址确定第二主机匹配的第二用户角色,包括:在已获取的所有网段路由信息中查找与第二IP地址所属的第二网段对应的第二网段路由信息,将第二网段路由信息中的用户角色确定为所述第二用户角色。
在一个例子中,该装置进一步包括:
主机路由单元,用于学习各组网中主机路由信息并记录至本地CPU;主机路由信息至少包括:主机路由和主机匹配的用户角色;
所述确定单元依据第一IP地址确定第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色,包括:
在本地硬件转发表中查找用于第一主机访问第二主机的硬件转发表项,
当查找到时,将所述硬件转发表项中与所述第一IP地址对应的用户角色确定为所述第一主机匹配的第一用户角色,与所述第二IP地址对应的用户角色确定为所述第二主机匹配的第二用户角色;
当未查找到时,将所述业务访问报文上送至本地CPU,以由本地CPU在已记录的所有主机路由信息中查找到第一IP地址匹配的第一主机路由信息、以及第二IP地址匹配的第二主机路由信息,将第一主机路由信息中的用户角色确定为所述第一用户角色,将第二主机路由信息中的用户角色确定为所述第二用户角色。
在一个例子中,当所述确定单元在本地硬件转发表中未查找到所述硬件转发表项时,则所述业务单元在依据所述第一用户角色、所述第二用户角色确定所述第一主机具有访问所述第二主机的权限后,触发本地CPU生成用于第一主机访问第二主机的硬件转发表项并下发至本地硬件,所述硬件转发表项是依据所述第一主机路由信息和所述第二主机路由信息生成的,至少包括:所述第一IP地址、与所述第一IP地址对应的第一用户角色、所述第二IP地址,与所述第二IP地址对应的第二用户角色。
一种电子设备,该电子设备包括:机器可读存储介质和处理器;
其中,机器可读存储介质:存储指令代码。
处理器:与机器可读存储介质通信,读取和执行所述机器可读存储介质中的指令代码,以执行如上所述的业务访问方法。
由以上技术方案可以看出,本申请中,当第一主机对第二主机进行业务访问时,不再要求第一主机发送的业务访问报文中携带第一主机匹配的第一用户角色,而是由第一主机的边缘设备即Border依据业务访问报文的源IP地址确定第一主机匹配的第一用户角色以及依据业务访问报文的目的IP地址确定第二主机匹配的第二用户角色,之后,第一主机的边缘设备即Border依据第一用户角色、第二用户角色对第一主机的业务访问进行策略控制即确定第一主机是否具有访问第二主机的权限,并在确定出第一主机具有访问第二主机的权限时,继续转发业务访问报文,最终在第一主机发送的业务访问报文中不携带第一主机匹配的第一用户角色的前提下实现了第一主机对第二主机进行业务访问的目的。
进一步地,在本申请中,当第一主机对第二主机进行业务访问时,由第一主机的边缘设备即第一Border(也称源Border)对第一主机的业务访问进行策略控制,以在第一主机不具有访问第二主机的权限时,在源Border端就可禁止业务访问报文转发,这相比现有方案中目的Border(第二主机的边缘设备即第一Border)对第一主机的业务访问进行策略控制,能够减少网路负载。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请提供的方法流程图;
图2为本申请提供的实施例1应用示意图;
图3为本申请提供的实施例2应用示意图;
图4为本申请提供的装置结构示意图;
图5为本申请提供的图4所示装置的硬件结构示意图。
具体实施方式
本申请提供了一种业务访问方法,其不需要主机在发送的业务访问报文中携带主机匹配的用户角色,这相比现有在业务访问报文中携带用户角色,能够避免在业务访问报文中携带用户角色所带来的缺陷,最终实现了在业务访问报文中不携带用户角色的前提下即可进行业务访问的目的。
为使本申请更加清楚,下面结合附图和实施例对本申请进行描述:
参见图1,图1为本申请提供的方法流程图。该方法应用于第一组网内的第一Border。这里,第一组网是对应第一场所。其中,第一场所泛指任一场所,比如泛指一家企业中任一办公场所。
如图1所示,该流程可包括以下步骤:
步骤101,第一Border接收本地第一主机发送的业务访问报文,业务访问报文的源IP地址为第一组网内第一主机的第一IP地址,目的IP地址为第二组网内第二主机的第二IP地址。
这里,第二组网对应第二场所。作为一个实施例,第二场所与第一场所可不同。
需要说明的是,在本申请中的业务访问报文与现有方案中的业务访问报文不同。相比现有方案中的业务访问报文,本申请中的业务访问报文不携带第一主机匹配的第一用户角色。
步骤102,第一Border依据第一IP地址确定第一主机匹配的第一用户角色,以及依据第二IP地址确定第二主机匹配的第二用户角色。
在本申请中,不再要求第一主机发送的业务访问报文携带第一主机匹配的第一用户角色,而是由第一主机的边缘设备即第一Border主动依据第一主机发送的业务访问报文的源IP地址即第一IP地址确定第一主机匹配的第一用户角色,以及依据目的IP地址即第二IP地址确定第二主机匹配的第二用户角色。至于第一Border如何依据第一IP地址确定第一主机匹配的第一用户角色,以及依据第二IP地址确定第二主机匹配的第二用户角色,在本申请中有很多实现方式,下文通过两个不同的实施例进行举例描述,这里暂不赘述。
步骤103,第一Border依据第一用户角色、第二用户角色确定第一主机具有访问第二主机的权限,则向第二主机转发业务访问报文。
在一个例子中,会预先在各个组网的Border上配置业务访问策略。该业务访问策略规定了用户角色之间的业务访问。基于此,本步骤103中,第一Border依据第一用户角色和第二用户角色确定第一主机具有访问第二主机的权限可包括:
以所述第一用户角色和所述第二用户角色为关键字在已存储的所有业务访问策略中查找包含所述关键字的目标业务访问策略;
若查找到所述目标业务访问策略,且所述目标业务访问策略指示允许第一用户角色访问第二用户角色,则确定所述第一主机具有访问所述第二主机的权限。
下面举例描述步骤103:以第一用户角色为研发角色,第二用户角色也为研发角色为例,假若业务访问策略配置了研发角色之间可以互相进行业务访问,则第一Border会确定出第一主机具有访问第二主机的权限,向第二主机转发业务访问报文。
再以第一用户角色为研发角色,第二用户角色也为市场角色为例,假若业务访问策略配置了研发角色不能访问市场角色,则第一Border会确定出第一主机不具有访问第二主机的权限,则丢弃业务访问报文。
至此,完成图1所示流程。
通过图1所示流程可以看出,在本申请中,当第一主机对第二主机进行业务访问时,不再要求第一主机发送的业务访问报文中携带第一主机匹配的第一用户角色,而是由第一主机的边缘设备即Border依据业务访问报文的源IP地址确定第一主机匹配的第一用户角色以及依据业务访问报文的目的IP地址确定第二主机匹配的第二用户角色,之后,依据第一用户角色、第二用户角色对第一主机的业务访问进行策略控制即确定第一主机是否具有访问第二主机的权限,并在确定出第一主机具有访问第二主机的权限时,继续转发业务访问报文,最终在第一主机发送的业务访问报文中不携带第一主机匹配的第一用户角色的前提下实现了第一主机对第二主机进行业务访问的目的。
进一步地,在本申请中,当第一主机对第二主机进行业务访问时,由第一主机的边缘设备即第一Border(也称源Border)对第一主机的业务访问进行策略控制,以在第一主机不具有访问第二主机的权限时,在源Border端就可禁止业务访问报文转发,这相比现有方案中目的Border(第二主机的边缘设备即第一Border)对第一主机的业务访问进行策略控制,能够减少网路负载。
下面通过两个不同实施例对图1所示流程进行描述:
实施例1:
在本实施例1中,同一网段内所有主机匹配的用户角色相同。基于此,本实施例1中,可认为一个网段代表一个用户角色,网段代表的用户角色也即该网段内任一主机匹配的用户角色。
如图2所示,在场所201_a1中,研发部有专门的网段10.4.16.0/20,其代表的用户角色为研发部所有主机匹配的用户角色即研发角色,市场部有专门的网段10.4.32.0/20,其代表的用户角色为市场部所有主机匹配的用户角色即市场角色,财务部有专门的网段10.4.64.0/20,其代表的用户角色为财务部所有主机匹配的用户角色即财务角色。场所202_b1、203_c1类似。
基于上面描述的应用场景,下面结合图1所示流程对本实施例1进行描述:
以场所201_a1为例,其他场所类似:
在图2中,场所201_a1对应组网201_a2。在组网201_a2中,Border201在上线时,会获取并存储组网201_a2中各网段的网段路由信息。组网201_a2存在以下三个网段:10.4.16.0/20、10.432.0/20、10.4.64.0/20。则Border201在上线时,会获取并存储组网201_a2中网段10.4.16.0/20的网段路由信息、网段10.4.32.0/20的网段路由信息、网段10.4.64.0/20的网段路由信息。
在一个例子中,上述网段的网段路由信息至少包括:网段路由和用户角色。如上描述,同一网段内所有主机匹配的用户角色相同,基于此,这里网段路由信息包括的用户角色为网段内任一主机匹配的用户角色。以网段10.4.16.0/20为例,10.4.16.0/20的网段路由信息包括:网段路由(10.4.16.0/20)和用户角色(即研发角色)。其他网段类似,这里不再赘述。
Border201向其他各个组网的Border发布获取的上述网段路由信息。在一个例子中,Border201通过路由扩散协议向其他各个组网的Border发布获取的上述网段路由信息。这里的其他各个组网的Border可为组网202_b2中的Border202、组网203_c2中的Border203。其中,组网202_b2与场所202_b1对应,组网203_c2与场所203_c1对应。
当其他各个组网中的Border接收到Border201发布的网段路由信息时存储该接收的网段路由信息。比如,当组网202_b2中的Border202接收到Border201发布的网段路由信息时存储该接收的网段路由信息。当组网203_c2中的Border203接收到Border201发布的网段路由信息时存储该接收的网段路由信息。
同样,其他各个组网中的Border也会如Border201一样发布所处网段的网段路由信息。Border201接收到其他各个组网中的Border发布的网段路由信息时存储该接收的网段路由信息。执行到这里,Border201获取到其他各个组网中的网段路由信息。
在一个例子中,Border201会将网段路由信息存储至本地硬件。其他各个组网中的Border也会将网段路由信息存储至本地硬件。
下面以Border201为例描述业务访问方法:
在图2中,当组网201_a2中的主机201_a3需要访问组网203_c2中的主机203_c3时,主机201_a3发送业务访问报文。业务访问报文的源IP地址为主机201_a3的IP地址,目的IP地址为主机203_c3的IP地址。
Border201处于组网201_a2中的边缘,其会接收到上述主机201_a3发送的业务访问报文。
Border201接收到主机201_a3发送的业务访问报文时,获取业务访问报文的源IP地址(即主机201_a3的IP地址)和目的IP地址(即主机203_c3的IP地址)。
Border201确定源IP地址(即主机201_a3的IP地址)所属的第一网段,在已存储的所有网段路由信息中查找包含第一网段对应的第一网段路由信息,将所述第一网段路由信息中的用户角色确定为主机201_a3匹配的用户角色(记为SGT1)。
Border201确定目的IP地址(即主机201_c3的IP地址)所属的第二网段,在已存储的所有网段路由信息中查找包含所述第二网段对应的第二网段路由信息,将所述第二网段路由信息中的用户角色确定为主机201_c3匹配的用户角色(记为SGT2)。
Border201在已存储的所有业务访问策略中查找有关SGT1访问SGT2的业务访问策略,若发现查找到的业务访问策略为:
From SGT1 to SGT2,Permit//允许SGT1访问SGT2;
则确定主机201_a3具有访问主机203_c3的权限,则向主机201_c3转发业务访问报文。最终,主机201_a3发送的业务报文会到达主机201_c3,实现了主机201_a3对主机201_c3的业务访问。
以上对实施例1进行了描述。
下面对实施例2进行描述:
实施例2:
本实施例2应用于网段与角色不相关的场图。比如图3示出了一网段对应3个不同用户角色(市场角色、财务角色、研发角色)。在此场景下,下面结合图1所示流程对本实施例2进行描述:
以场所301_a1为例,其他场所类似:
在图3中,场所301_a1对应组网301_a2。在组网301_a2中,Border301在本地每一主机上线时会获取本地主机路由信息并存储至本地CPU。在一个例子中,主机路由信息至少包括:主机路由和主机匹配的用户角色。以组网301_a2中的主机301_a3为例,Border301在主机301_a3上线时,获取并存储主机301_a3的主机路由信息。主机301_a3的主机路由信息包括主机301_a3的主机路由和主机301_a3的用户角色(以研发角色为例)。
Border301向其他各个组网的Border发布获取的本地主机路由信息。在一个例子中,Border301通过路由扩散协议向其他各个组网的Border发布获取的本地主机路由信息。这里的其他各个组网的Border可为组网302_b2中的Border302、组网303_c2中的Border303。其中,组网302_b2与场所302_b1对应,组网303_c2与场所303_c1对应。
当其他各个组网中的Border接收到Border301发布的主机路由信息时存储该接收的主机路由信息。比如,当组网302_b2中的Border302接收到Border301发布的主机路由信息时存储该接收的主机路由信息。当组网303_c2中的Border303接收到Border301发布的主机路由信息时存储该接收的主机路由信息。
同样,其他各个组网中的Border也会如Border301一样发布本地主机路由信息。Border301会接收到其他各个组网中的Border发布的主机路由信息。执行到这里,Border301获取到其他各个组网中的主机路由信息。
当Border301接收到其他各个组网中的Border发布的主机路由信息时将该接收的主机路由信息存储至本地CPU。
以上以Border301为例对各组网中Border相互发布主机路由信息进行了描述,下面仍以Border301为例描述业务访问方法:
在图3中,当组网301_a2中的主机301_a3需要访问组网303_c2中的主机303_c3时,主机301_a3发送业务访问报文。业务访问报文的源IP地址为主机301_a3的IP地址,目的IP地址为主机303_c3的IP地址。
Border301处于组网301_a2中的边缘,其会接收到上述主机301_a3发送的业务访问报文。
Border301接收到主机301_a3发送的业务访问报文时,在本地硬件转发表中查找用于转发业务访问报文的硬件转发表项。在一个例子中,Border301以业务访问报文的源IP地址(即主机301_a3的IP地址)和目的IP地址(即主机303_c3的IP地址)为关键字在本地硬件转发表中查找匹配的硬件转发表项(即用于转发业务访问报文的硬件转发表项)。
Border301发现本地硬件转发表中不存在用于转发业务访问报文的硬件转发表项,则将业务访问报文上送本地CPU,以由CPU在已记录的所有主机路由信息中查找到第一主机路由信息和第二主机路由信息,将第一主机路由信息中的用户角色确定为主机301_a3匹配的用户角色(记为SGT3),将第二主机路由信息中的用户角色确定为主机303_c3匹配的用户角色(记为SGT4)。第一主机路由信息为业务访问报文的源IP地址即主机301_a3的IP地址匹配的主机路由信息,第二主机路由信息为业务访问报文的目的IP地址即主机303_c3的IP地址匹配的主机路由信息。
Border301在已存储的所有业务访问策略中查找有关SGT3访问SGT4的业务访问策略,若发现查找到的业务访问策略为:
From SGT3 to SGT4,Permit//允许SGT3访问SGT4;
则确定主机301_a3具有访问主机303_c3的权限,则向主机301_c3转发业务访问报文。最终,主机201_a3发送的业务报文会到达主机201_c3,实现了主机201_a3对主机201_c3的业务访问。
在一个例子中,Border301在确定主机301_a3具有访问主机303_c3的权限时,可进一步包括生成用于主机301_a3访问主机303_c3的硬件转发表项并下发至硬件转发表,硬件转发表项至少包括:主机301_a3的IP地址、用户角色SGT3、主机303_c3的IP地址、用户角色SGT4、出端口。这实现了Border301按需下发主机路由(硬件转发表项)至硬件,并且,由于在实际应用中,不同场所之间的互访较少,而本申请这种按需下发硬件转发表项的方式,能够大幅度增加多场所场景下的接入主机数量。
之后,当主机301_a3再次访问主机303_c3时,当Border301再次接收到主机301_a3发送的业务访问报文时,在本地硬件转发表中就会查找到用于转发业务访问报文的硬件转发表项,此时即可直接从硬件转发表项中获取主机301_a3匹配的用户角色(记为SGT3)、主机303_c3匹配的用户角色(记为SGT4)。相比上面有关Border301在本地硬件转发表中未查找到用于转发业务访问报文的硬件转发表项的描述,这里不用再将业务访问报文上送CPU,节省CPU的资源。
至此,完成实施例2的描述。
以上对本申请提供的方法进行了描述,下面对本申请提供的装置进行描述:
参见图4,图4为本发明提供的装置结构图。在一个例子中,该装置应用于第一组网内的第一Border,包括:
接收单元,用于接收本地第一主机发送的业务访问报文;所述业务访问报文的源IP地址为所述第一组网内第一主机的第一IP地址,目的IP地址为第二组网内第二主机的第二IP地址;
确定单元,用于依据所述第一IP地址确定所述第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色;
业务单元,用于依据所述第一用户角色和所述第二用户角色确定所述第一主机具有访问所述第二主机的权限,则向所述第二主机转发所述业务访问报文。
作为一个实施例,如图4所示,该装置进一步包括:网段路由单元。
其中,网段路由单元,用于获取各组网中各网段对应的网段路由信息;网段路由信息包括:网段路由和用户角色,同一网段内所有主机匹配的用户角色相同,网段路由信息包括的用户角色为网段内任一主机匹配的用户角色;
基于此,所述确定单元依据第一IP地址确定第一主机匹配的第一用户角色,包括:在已获取的所有网段路由信息中查找与第一IP地址所属的第一网段对应的第一网段路由信息,将第一网段路由信息中的用户角色确定为所述第一用户角色;
所述确定单元依据第二IP地址确定第二主机匹配的第二用户角色,包括:在已获取的所有网段路由信息中查找与第二IP地址所属的第二网段对应的第二网段路由信息,将第二网段路由信息中的用户角色确定为所述第二用户角色。
作为一个实施例,如图4所示,该装置进一步包括:主机路由单元。
其中,主机路由单元,用于学习各组网中主机路由信息并记录至本地CPU;主机路由信息至少包括:主机路由和主机匹配的用户角色;
基于此,所述确定单元依据第一IP地址确定第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色,包括:
在本地硬件转发表中查找用于第一主机访问第二主机的硬件转发表项,
当查找到时,将所述硬件转发表项中与所述第一IP地址对应的用户角色确定为所述第一主机匹配的第一用户角色,与所述第二IP地址对应的用户角色确定为所述第二主机匹配的第二用户角色;
当未查找到时,将所述业务访问报文上送至本地CPU,以由本地CPU在已记录的所有主机路由信息中查找到第一IP地址匹配的第一主机路由信息、以及第二IP地址匹配的第二主机路由信息,将第一主机路由信息中的用户角色确定为所述第一用户角色,将第二主机路由信息中的用户角色确定为所述第二用户角色。
作为一个实施例,当所述确定单元在本地硬件转发表中未查找到所述硬件转发表项时,则所述业务单元在依据所述第一用户角色、所述第二用户角色确定所述第一主机具有访问所述第二主机的权限后,触发本地CPU生成用于第一主机访问第二主机的硬件转发表项并下发至本地硬件,所述硬件转发表项是依据所述第一主机路由信息和所述第二主机路由信息生成的,至少包括:所述第一IP地址、与所述第一IP地址对应的第一用户角色、所述第二IP地址,与所述第二IP地址对应的第二用户角色。
作为一个实施例,所述业务单元依据第一用户角色和所述第二用户角色确定所述第一主机具有访问所述第二主机的权限包括:
以所述第一用户角色和所述第二用户角色为关键字在已存储的所有业务访问策略中查找包含所述关键字的目标业务访问策略;
若查找到所述目标业务访问策略,且所述目标业务访问策略指示允许第一用户角色访问第二用户角色,则确定所述第一主机具有访问所述第二主机的权限。
至此,完成本申请提供的装置结构图。
对应地,本申请还提供图4所示装置的硬件结构图。如图5所示,该硬件结构可以包括:机器可读存储介质和处理器,其中:
机器可读存储介质:存储指令代码。
处理器:与机器可读存储介质通信,读取和执行所述机器可读存储介质中的指令代码,实现本申请公开的业务访问方法。
至此,完成图5所示装置的硬件结构图。
在本申请中,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种业务访问方法,其特征在于,该方法应用于第一组网内的第一网络边缘设备Border,包括:
接收本地第一主机发送的业务访问报文;所述业务访问报文的源IP地址为所述第一组网内第一主机的第一IP地址,目的IP地址为第二组网内第二主机的第二IP地址;
依据所述第一IP地址确定所述第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色;
依据所述第一用户角色和所述第二用户角色确定所述第一主机具有访问所述第二主机的权限,则向所述第二主机转发所述业务访问报文。
2.根据权利要求1所述的方法,其特征在于,该方法之前进一步包括:
获取各组网中各网段对应的网段路由信息;网段路由信息包括:网段路由和用户角色,同一网段内所有主机匹配的用户角色相同,网段路由信息包括的用户角色为网段内任一主机匹配的用户角色;
所述依据第一IP地址确定第一主机匹配的第一用户角色,包括:
在已获取的所有网段路由信息中查找与第一IP地址所属的第一网段对应的第一网段路由信息,将第一网段路由信息中的用户角色确定为所述第一用户角色;
所述依据第二IP地址确定第二主机匹配的第二用户角色,包括:
在已获取的所有网段路由信息中查找与第二IP地址所属的第二网段对应的第二网段路由信息,将第二网段路由信息中的用户角色确定为所述第二用户角色。
3.根据权利要求1所述的方法,其特征在于,该方法之前进一步包括:
学习各组网中主机路由信息并记录至本地CPU;主机路由信息至少包括:主机路由和主机匹配的用户角色;
所述依据第一IP地址确定第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色,包括:
在本地硬件转发表中查找用于第一主机访问第二主机的硬件转发表项,
当查找到时,将所述硬件转发表项中与所述第一IP地址对应的用户角色确定为所述第一主机匹配的第一用户角色,与所述第二IP地址对应的用户角色确定为所述第二主机匹配的第二用户角色;
当未查找到时,将所述业务访问报文上送至本地CPU,以由本地CPU在已记录的所有主机路由信息中查找到第一IP地址匹配的第一主机路由信息、以及第二IP地址匹配的第二主机路由信息,将第一主机路由信息中的用户角色确定为所述第一用户角色,将第二主机路由信息中的用户角色确定为所述第二用户角色。
4.根据权利要求3所述的方法,其特征在于,当在本地硬件转发表中未查找到所述硬件转发表项时,且在依据所述第一用户角色、所述第二用户角色确定所述第一主机具有访问所述第二主机的权限时,该方法进一步包括:
通过本地CPU生成用于第一主机访问第二主机的硬件转发表项并下发至本地硬件,所述硬件转发表项是依据所述第一主机路由信息和所述第二主机路由信息生成的,至少包括:所述第一IP地址、与所述第一IP地址对应的第一用户角色、所述第二IP地址,与所述第二IP地址对应的第二用户角色。
5.根据权利要求1所述的方法,其特征在于,所述依据第一用户角色和所述第二用户角色确定所述第一主机具有访问所述第二主机的权限包括:
以所述第一用户角色和所述第二用户角色为关键字在已存储的所有业务访问策略中查找包含所述关键字的目标业务访问策略;
若查找到所述目标业务访问策略,且所述目标业务访问策略指示允许第一用户角色访问第二用户角色,则确定所述第一主机具有访问所述第二主机的权限。
6.一种业务访问装置,其特征在于,该装置应用于第一组网内的第一网络边缘设备Border,包括:
接收单元,用于接收本地第一主机发送的业务访问报文;所述业务访问报文的源IP地址为所述第一组网内第一主机的第一IP地址,目的IP地址为第二组网内第二主机的第二IP地址;
确定单元,用于依据所述第一IP地址确定所述第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色;
业务单元,用于依据所述第一用户角色和所述第二用户角色确定所述第一主机具有访问所述第二主机的权限,则向所述第二主机转发所述业务访问报文。
7.根据权利要求6所述的装置,其特征在于,该装置进一步包括:
网段路由单元,用于获取各组网中各网段对应的网段路由信息;网段路由信息包括:网段路由和用户角色,同一网段内所有主机匹配的用户角色相同,网段路由信息包括的用户角色为网段内任一主机匹配的用户角色;
所述确定单元依据第一IP地址确定第一主机匹配的第一用户角色,包括:在已获取的所有网段路由信息中查找与第一IP地址所属的第一网段对应的第一网段路由信息,将第一网段路由信息中的用户角色确定为所述第一用户角色;
所述确定单元依据第二IP地址确定第二主机匹配的第二用户角色,包括:在已获取的所有网段路由信息中查找与第二IP地址所属的第二网段对应的第二网段路由信息,将第二网段路由信息中的用户角色确定为所述第二用户角色。
8.根据权利要求6所述的装置,其特征在于,该装置进一步包括:
主机路由单元,用于学习各组网中主机路由信息并记录至本地CPU;主机路由信息至少包括:主机路由和主机匹配的用户角色;
所述确定单元依据第一IP地址确定第一主机匹配的第一用户角色,以及依据所述第二IP地址确定所述第二主机匹配的第二用户角色,包括:
在本地硬件转发表中查找用于第一主机访问第二主机的硬件转发表项,
当查找到时,将所述硬件转发表项中与所述第一IP地址对应的用户角色确定为所述第一主机匹配的第一用户角色,与所述第二IP地址对应的用户角色确定为所述第二主机匹配的第二用户角色;
当未查找到时,将所述业务访问报文上送至本地CPU,以由本地CPU在已记录的所有主机路由信息中查找到第一IP地址匹配的第一主机路由信息、以及第二IP地址匹配的第二主机路由信息,将第一主机路由信息中的用户角色确定为所述第一用户角色,将第二主机路由信息中的用户角色确定为所述第二用户角色。
9.根据权利要求8所述的装置,其特征在于,当所述确定单元在本地硬件转发表中未查找到所述硬件转发表项时,则所述业务单元在依据所述第一用户角色、所述第二用户角色确定所述第一主机具有访问所述第二主机的权限后,触发本地CPU生成用于第一主机访问第二主机的硬件转发表项并下发至本地硬件,所述硬件转发表项是依据所述第一主机路由信息和所述第二主机路由信息生成的,至少包括:所述第一IP地址、与所述第一IP地址对应的第一用户角色、所述第二IP地址,与所述第二IP地址对应的第二用户角色。
10.一种电子设备,其特征在于,该电子设备包括:机器可读存储介质和处理器;
其中,机器可读存储介质:存储指令代码;
处理器:与机器可读存储介质通信,读取和执行所述机器可读存储介质中的指令代码,以执行如权利要求1至5任一所述的业务访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911294174.2A CN111107142B (zh) | 2019-12-16 | 2019-12-16 | 业务访问方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911294174.2A CN111107142B (zh) | 2019-12-16 | 2019-12-16 | 业务访问方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111107142A true CN111107142A (zh) | 2020-05-05 |
| CN111107142B CN111107142B (zh) | 2022-07-01 |
Family
ID=70423011
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911294174.2A Active CN111107142B (zh) | 2019-12-16 | 2019-12-16 | 业务访问方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111107142B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364684A (zh) * | 2021-05-07 | 2021-09-07 | 联想(北京)有限公司 | 一种信息处理方法、边缘计算平台及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030037263A1 (en) * | 2001-08-08 | 2003-02-20 | Trivium Systems Inc. | Dynamic rules-based secure data access system for business computer platforms |
| CN1516401A (zh) * | 2003-01-06 | 2004-07-28 | 华为技术有限公司 | 基于虚拟局域网的实现多角色主机的方法 |
| CN107332812A (zh) * | 2016-04-29 | 2017-11-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
| CN107809496A (zh) * | 2016-09-09 | 2018-03-16 | 新华三技术有限公司 | 网络访问控制方法和装置 |
| CN110535744A (zh) * | 2019-08-29 | 2019-12-03 | 新华三信息安全技术有限公司 | 报文处理方法、装置及Leaf设备 |
-
2019
- 2019-12-16 CN CN201911294174.2A patent/CN111107142B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030037263A1 (en) * | 2001-08-08 | 2003-02-20 | Trivium Systems Inc. | Dynamic rules-based secure data access system for business computer platforms |
| CN1516401A (zh) * | 2003-01-06 | 2004-07-28 | 华为技术有限公司 | 基于虚拟局域网的实现多角色主机的方法 |
| CN107332812A (zh) * | 2016-04-29 | 2017-11-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
| CN107809496A (zh) * | 2016-09-09 | 2018-03-16 | 新华三技术有限公司 | 网络访问控制方法和装置 |
| CN110535744A (zh) * | 2019-08-29 | 2019-12-03 | 新华三信息安全技术有限公司 | 报文处理方法、装置及Leaf设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364684A (zh) * | 2021-05-07 | 2021-09-07 | 联想(北京)有限公司 | 一种信息处理方法、边缘计算平台及存储介质 |
| CN113364684B (zh) * | 2021-05-07 | 2023-01-17 | 联想(北京)有限公司 | 一种信息处理方法、边缘计算平台及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111107142B (zh) | 2022-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108667695B (zh) | 一种bras转控分离的备份方法和装置 | |
| EP3069484B1 (en) | Shortening of service paths in service chains in a communications network | |
| US7990976B2 (en) | Negotiated secure fast table lookups for protocols with bidirectional identifiers | |
| CN108259347B (zh) | 一种报文传输方法和装置 | |
| EP3461072B1 (en) | Access control in a vxlan | |
| US20170201538A1 (en) | Method and apparatus for preventing insertion of malicious content at a named data network router | |
| CN108667575B (zh) | 一种bras转控分离的备份方法和装置 | |
| KR20160045010A (ko) | 캐시에서 데이터 이름 기반 네트워킹 객체들에 순위를 매기기 위한 시스템 및 방법 | |
| TW201703485A (zh) | 編排實體與虛擬交換器以執行安全邊界之系統及方法 | |
| CN107547391B (zh) | 一种报文传输方法和装置 | |
| KR20180021837A (ko) | 단말기와 연관된 소스 어드레스들을 검증 | |
| CN108600109B (zh) | 一种报文转发方法和装置 | |
| KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
| EP3451592A1 (en) | Packet transmission | |
| CN112887229B (zh) | 一种会话信息同步方法及装置 | |
| US20140040477A1 (en) | Connection mesh in mirroring asymmetric clustered multiprocessor systems | |
| US9135833B2 (en) | Process for selecting compressed key bits for collision resolution in hash lookup table | |
| CN101605136B (zh) | 一种对报文进行互联网协议安全性IPSec处理的方法和装置 | |
| CN107547400B (zh) | 一种虚拟机迁移方法和装置 | |
| CN102195887B (zh) | 报文处理方法、装置和网络安全设备 | |
| CN111107142B (zh) | 业务访问方法和装置 | |
| WO2020258302A1 (zh) | 一种数据传输方法、交换机及站点 | |
| CN104780201A (zh) | 一种ipvs集群中的数据包处理方法及装置 | |
| CN111953599B (zh) | 一种终端权限控制方法、装置、电子设备及存储介质 | |
| CN109726144B (zh) | 一种数据报文的处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |