CN116032503A - 一种分支节点间访问控制方法及相关设备 - Google Patents

一种分支节点间访问控制方法及相关设备 Download PDF

Info

Publication number
CN116032503A
CN116032503A CN202111250254.5A CN202111250254A CN116032503A CN 116032503 A CN116032503 A CN 116032503A CN 202111250254 A CN202111250254 A CN 202111250254A CN 116032503 A CN116032503 A CN 116032503A
Authority
CN
China
Prior art keywords
branch node
node
message
branch
headquarter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111250254.5A
Other languages
English (en)
Inventor
孔继美
张耀坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202111250254.5A priority Critical patent/CN116032503A/zh
Publication of CN116032503A publication Critical patent/CN116032503A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种分支节点间的访问控制方法,用于控制分支节点间不能直接建立动态隧道,避免分支节点间互访通信,从而提高信息安全性。本申请实施例方法包括:总部节点接收第一分支节点向第二分支节点发送的第一报文,第一分支节点没有权限访问第二分支节点,总部节点响应于收到第一报文,会向第一分支节点发送第二报文,根据第二报文的指示,第一分支节点避免在第一分支节点和第二分支节点之间建立动态隧道的操作,从而避免分支节点间直接互访通信,保证第一分支节点和第二分支节点的数据安全。

Description

一种分支节点间访问控制方法及相关设备
技术领域
本申请涉及通信领域,尤其涉及一种分支节点间访问控制方法及相关设备。
背景技术
越来越多的企业建立总部(hub)-分支(spoke)组网方式的虚拟专用网络(virtualprivate network,VPN)的网络架构,企业的总部(hub)节点与地理位置不同的多个分支(spoke)节点通信连接,总部节点可以与每个分支节点进行通信。请参阅图1a所示,多个分支节点中的每个分支节点分别与总部节点建立静态隧道。总部节点和分支节点可以使用静态隧道通信。两个分支节点之间的直接互访通信,可以通过两个分支节点之间建立动态隧道来实现。
当前技术中,任意两个分支节点之间都可以建立动态隧道,从而使得任意两个分支节点进行互访,但是,在某些场景下为了保证企业信息安全,企业可能会有不允许某些分支节点(如分支节点A和分支节点B)之间互相访问的诉求,由此,如何控制多个节点中某些分支节点的隔离,成为亟需解决的问题。
发明内容
本申请实施例提供了一种分支节点间的访问控制方法,该方法应用于一种通信系统,通信系统包括总部节点和多个分支节点,每个分支节点和总部节点通信连接,总部节点可以控制多个分支节点中的至少两个分支节点间不能建立动态隧道,以保证分支节点间不能互访,从而提高企业数据安全性。
第一方面,本申请实施例提供了一种分支节点间的访问控制方法,该方法总部节点执行,上述方法包括:首先,接收第一分支节点向第二分支节点发送的第一报文,第一分支节点没有权限访问第二分支节点;然后,响应于收到第一报文,向第一分支节点发送第二报文,第二报文用于指示第一分支节点不执行第一操作,第一操作包括在第一分支节点和第二分支节点之间建立动态隧道。本申请实施例中,总部节点能够确认哪些分支节点之间不具有访问权限,当总部节点接收到第一分支节点需要发送给第二分支节点的流量报文(第一报文)后,总部节点确认第一分支节点没有权限访问第二分支节点,进而会向第一分支节点发送第二报文,第一分支节点接收该第二报文后,能够根据第二报文的指示,不再执行后续建立第一分支节点和第二分支节点之间的动态隧道的操作,从而达到第一分支节点和第二分支节点隔离访问的目的,从而提高数据安全性。
在一种可选的实现方式中,第二报文可以为NHRP报文。NHRP报文格式包括“ar$op.type”字段,“ar$op.type”字段用于指示报文类型,相对于传统的NHRP报文类型,本实施例中增加了一种新的类型,该新的类型为NHRP拒绝类型,本实施例中,NHRP报文为拒绝类型的报文。
在一种可选的实现方式中,动态隧道为mGRE隧道。mGRE隧道相对于GRE隧道的区别:GRE隧道的点到点类型的tunnel接口扩展成了点到多点类型的tunnel接口。mGRE技术通过改变接口类型,使得总部节点或分支节点上只需要配置一个tunnel接口便可与多个对端建立隧道,从而能够减少管理人员配置GRE隧道的工作量。
在一种可选的实现方式中,向第一分支节点发送第二报文之前,上述方法还包括:根据本地保存的第一信息确定第一分支节点没有权限访问第二分支节点。第一信息可以指示哪些分支节点间不具有互访权限,第一信息可以保存多个分支节点间的对应关系,第一信息包括多对地址的对应关系,具有对应关系的两个地址所指示的分支节点是没有互访权限的,第一分支节点和第二分支节点具有对应关系,总部节点能够根据第一信息确定第一分支节点没有权限访问第二分支节点。
在一种可选的实现方式中,上述方法还包括:第一分支节点没有权限访问第二分支节点,总部节点避免向第二分支节点转发第一报文,即不会将第一报文转发给第二分支节点处理,从而保证数据安全。
在一种可选的实现方式中,上述方法还包括:第一分支节点被允许访问第三分支节点,接收第一分支节点向第三分支节点发送的第三报文后,向第三分支节点转发第三报文。本实施例中,总部节点确认第一分支节点有访问第三分支节点的权限,总部节点就会将第一分支节点要发往第三分支节点的第三报文转发给第三分支节点,从而也能够保证第一分支节点和第三分支节点之间能够建立动态隧道。
在一种可选的实现方式中,上述方法还包括:响应于收到第三报文,向第一分支节点发送第四报文,第四报文用于指示第一分支节点执行第二操作,第二操作包括在第一分支节点和第三分支节点之间建立动态隧道。本实施例中,总部节点确认第一分支节点有访问第三分支节点的访问权限,向第一分支节点发送第四报文,以通知第一分支节点是可以建立第一分支节点和第三分支节点之间的动态隧道的,本实施例中,总部节点除了可以控制分支节点间不能建立动态隧道,也可以灵活控制分支节点间建立动态隧道。
在一种可选的实现方式中,上述方法还包括:首先,向第一分支节点发送NHRP重定向报文,其中,NHRP重定向报文用于触发第一分支节点向总部节点发送NHRP地址解析请求;然后,接收第一分支节点发送的NHRP地址解析请求,NHRP地址解析请求用于请求第三分支节点的公网地址;再后,向第三分支节点转发NHRP地址解析请求,NHRP地址解析请求用于触发第三分支节点向第一分支节点发送NHRP地址解析应答,NHRP地址解析应答携带第三分支节点的公网地址,以建立第一分支节点和第三分支节点间的动态隧道。
第二方面,本申请实施例提供了一种分支节点间的访问控制方法,由第一分支节点执行,该方法可以包括:向总部节点转发向第二分支节点发送的第一报文,其中,第一分支节点没有权限访问第二分支节点;接收总部节点发送的第二报文,然后根据第二报文的指示,避免执行在第一分支节点和第二分支节点之间建立动态隧道的操作。本实施例中,第一分支节点没有权限访问第二分支节点,总部节点确认第一分支节点没有权限访问第二分支节点,就会向第一分支节点发送第二报文,第一分支节点接收该第二报文后,能够根据第二报文的指示,不再执行后续建立第一分支节点和第二分支节点之间的动态隧道的操作,从而达到第一分支节点和第二分支节点隔离访问的目的,进而提高数据安全性。
在一种可选的实现方式中,接收总部节点发送的第二报文之后,上述方法还包括:接收向第二分支节点发送的第三报文,丢弃第三报文。本实施例中,第一分支节点不能和第二分支节点直接互访通信,第一分支节点再次接收到需要发往第二分支节点的报文就会直接丢弃该报文,节省处理资源。
在一种可选的实现方式中,第二报文为NHRP报文。
在一种可选的实现方式中,动态隧道为mGRE隧道。
在一种可选的实现方式中,上述方法还包括:向总部转发向第三分支节点发送的第四报文;其中,第一分支节点有权限访问第三分支节点;从总部节点接收第五报文,然后根据第四报文的指示,执行第二操作,第二操作包括在第一分支节点和第三分支节点之间建立动态隧道。本实施例中,第一分支节点接收第五报文,表明总部节点允许第一分支节点建立第一分支节点与第三分支节点之间的动态隧道,第一分支节点能够根据第五报文的指示执行后续建立动态隧道的操作。
在一种可选的实现方式中,上述方法还可以包括:从总部节点接收NHRP重定向报文;根据NHRP重定向报文向总部节点发送NHRP地址解析请求,NHRP地址解析请求用于请求第三分支节点的公网地址;从第三分支节点接收NHRP地址解析应答,NHRP地址解析应答携带第三分支节点的公网地址,以建立第一分支节点和第三分支节点间的动态隧道,进而使得第一分支节点和第三分支节点能够互访通信。
第三方面,本申请实施例中提供了一种分支节点间的访问控制装置,包括:接收模块,用于接收第一分支节点向第二分支节点发送的第一报文,第一分支节点没有权限访问第二分支节点;发送模块,用于响应于收到第一报文,向第一分支节点发送第二报文,第二报文用于指示第一分支节点不执行第一操作,第一操作包括在第一分支节点和第二分支节点之间建立动态隧道。
在一种可选的实现方式中,第二报文可以为NHRP报文。
在一种可选的实现方式中,动态隧道可以为mGRE隧道。
在一种可选的实现方式中,上述装置还包括处理模块;处理模块,用于根据本地保存的第一信息确定第一分支节点没有权限访问第二分支节点。
在一种可选的实现方式中,上述方法还包括:接收第一分支节点向第三分支节点发送的第三报文,其中,第一分支节点被允许访问第三分支节点;发送模块,还用于向第三分支节点转发第三报文。
在一种可选的实现方式中,发送模块,还用于响应于收到第三报文,向第一分支节点发送第四报文,第四报文用于指示第一分支节点执行第二操作,第二操作包括在第一分支节点和第三分支节点之间建立动态隧道。
在一种可选的实现方式中,发送模块,还用于向第一分支节点发送NHRP重定向报文,NHRP重定向报文用于触发第一分支节点向总部节点发送NHRP地址解析请求;接收模块,还用于接收第一分支节点发送的NHRP地址解析请求;发送模块,还用于向第三分支节点转发NHRP地址解析请求,NHRP地址解析请求用于触发第三分支节点向第一分支节点发送NHRP地址解析应答。
第四方面,本申请实施例中提供了一种分支节点间的访问控制装置,包括:发送模块,用于向总部节点转发向第二分支节点发送的第一报文,第一分支节点没有权限访问第二分支节点;接收模块,用于接收总部节点发送的第二报文;处理模块,用于根据第二报文的指示,避免执行第一操作,第一操作用于在第一分支节点和第二分支节点之间建立动态隧道。
在一种可选的实现方式中,接收模块,还用于接收向第二分支节点发送的第三报文;处理模块,还用于丢弃第三报文。
在一种可选的实现方式中,第二报文为NHRP报文。
在一种可选的实现方式中,动态隧道为mGRE隧道。
在一种可选的实现方式中,发送模块,还用于向总部转发向第三分支节点发送的第四报文,其中,第一分支节点有权限访问第三分支节点;接收模块,还用于从总部节点接收第五报文;处理模块,还用于根据第四报文的指示,执行第二操作,第二操作包括在第一分支节点和第三分支节点之间建立动态隧道。
在一种可选的实现方式中,接收模块,还用于从总部节点接收NHRP重定向报文;发送模块,还用于根据NHRP重定向报文向总部节点发送NHRP地址解析请求;接收模块,还用于从第三分支节点接收NHRP地址解析应答,NHRP地址解析应答携带第三分支节点的公网地址。
第五方面,本申请实施例提供了一种网络设备,包括:处理器,处理器与至少一个存储器耦合,处理器用于读取至少一个存储器所存储的计算机程序,使得网络设备执行如上述第一方面中任一项的方法,或者,处理器用于读取至少一个存储器所存储的计算机程序,使得网络设备执行如上述第二方面中任一项的方法。
第六方面,本申请实施例提供了一种计算机可读存储介质,用于储存计算机程序或指令,计算机程序或指令被处理器执行时,实现如上述第一方面中任一项的方法,或者,实现如上述第二方面中任一项的方法。
第七方面,本申请实施例提供了一种计算机程序产品,用于储存计算机程序或指令,计算机程序或指令被处理器执行时,实现如上述第一方面中任一项的方法,或者,实现如上述第二方面中任一项的方法。
附图说明
图1a为总部节点与多个分支节点网络架构的场景示意图;
图1b为本申请实施了中多个分支节点向总部节点进行注册的场景示意图;
图2为本申请实施例中一种分支节点间访问控制方法的一个实施例的步骤流程示意图;
图3a和图4a为本申请实施例中一种分支节点间访问控制方法的两个实施例的步骤流程示意图;
图3b和图4b为本申请实施例中分支节点1和分支节点3间建立动态隧道的两个场景示意图;
图5和图6为本申请实施了中分支节点间访问控制方法的两个实施例的步骤流程示意图;
图7为本申请实施例中一种分支节点间的访问控制装置的一个实施例的结构示意图;
图8为本申请实施例中一种分支节点间的访问控制装置的另一个实施例的结构示意图;
图9为本申请实施例中一种网络设备的结构示意图。
具体实施方式
本申请中,除特殊说明外,各个实施例之间相同或相似的部分可以互相参考。在本申请中各个实施例、以及各实施例中的各个实施方式/实施方法/实现方法中,如果没有特殊说明以及逻辑冲突,不同的实施例之间、以及各实施例中的各个实施方式/实施方法/实现方法之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例、以及各实施例中的各个实施方式/实施方法/实现方法中的技术特征根据其内在的逻辑关系可以组合形成新的实施例、实施方式、实施方法、或实现方法。以下该的本申请实施方式并不构成对本申请保护范围的限定。
可以理解,本申请实施例中的一些可选的特征,在某些场景下,可以不依赖于其他特征,比如其当前所基于的方案,而独立实施,解决相应的技术问题,达到相应的效果,也可以在某些场景下,依据需求与其他特征进行结合。相应的,本申请实施例中给出的装置也可以相应的实现这些特征或功能,在此不予赘述。
在本申请的描述中,除非另有说明,"多个"是指两个或多于两个。"以下至少一项(个)"或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了"第一"、"第二"等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解"第一"、"第二"等字样并不对数量和执行次序进行限定,并且"第一"、"第二"等字样也并不限定一定不同。同时,在本申请实施例中,"示例性的"或者"例如"等词用于表示作例子、例证或说明。本申请实施例中被描述为"示例性的"或者"例如"的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用"示例性的"或者"例如"等词旨在以具体方式呈现相关概念,便于理解。
本申请实施例提供了一种分支节点间的访问控制方法,该方法应用于总部节点-分支节点组网方式的通信系统。通信系统包括总部节点和多个分支节点,其中,总部节点和多个分支节点均可以为网关设备,网关设备包括但不限定于交换机、路由器和防火墙等。请参阅图1a所示,图1a为通信系统的场景示意图,多个分支节点包括但不限于分支节点1、分支节点2和分支节点3等,多个分支节点中的每个分支节点均和总部节点通信连接,分支节点1向总部发送报文1,该报文1是需要发往分支节点2的数据报文,然而,分支节点1没有权限访问分支节点2,总部节点响应于收到报文1,会向分支节点1发送报文2,报文2用于指示分支节点1不能执行在分支节点1和分支节点2之间建立动态隧道的操作。本申请中,总部节点能够确认哪些分支节点之间不能直接互访,当总部节点接收到分支节点1需要发送给分支节点2的流量报文后,会向分支节点1发送报文2,分支节点1接收该报文2后,能够根据报文2的指示,不再执行后续建立分支节点1和分支节点2之间的动态隧道的操作,从而达到分支节点1和分支节点2隔离访问的目的,进而提高信息安全。
在一个应用场景中,通信系统可以以动态智能虚拟专用网络(dynamic smartvirtual private network,DSVPN)为例进行示例性说明。
各分支节点本地静态配置一个映射表a,映射表a包括总部节点的隧道(tunnel)地址与公网地址,及tunnel地址与公网地址的映射关系。各分支节点和总部节点有到彼此的路由,总部节点和每个分支节点本地都保存有各自的路由表。各分支节点与总部节点之间建立静态隧道,总部需要获取各分支隧道地址(和/或子网地址)与公网地址,及每个分支节点的隧道地址与公网地址的映射关系,根据各分支节点的隧道地址与公网地址,及该隧道地址与公网地址的映射关系生成映射表b。各分支节点与总部建立静态隧道、总部节点获取每个分支节点的隧道地址及公网地址需要“注册”步骤来实现。请参阅图1b所示,图1b为各分支节点向总部节点进行注册的场景示意图。“注册”的步骤请参阅下述步骤S11和S12。
S11、各分支节点向总部节点发送注册请求。相应地,总部节点接收每个分支节点发送的注册请求。
各分支节点接收管理员配置的总部节点的隧道(tunnel)地址和公网地址。各分支节点还可以接收管理员配置的总部节点的子网地址。各分支节点本地保存总部节点的tunnel地址(如10.1.1.3)和公网地址(如3.3.3.3),及tunnel地址和公网地址的映射关系。各分支节点向总部节点发送注册请求,注册请求中包含分支节点各自的tunnel地址和公网地址。
例如,分支节点1发送的注册请求中包含分支节点1的tunnel地址(如10.1.1.1)和公网地址(如1.1.1.1)。再如,分支节点2发送的注册请求中包含分支节点2的tunnel地址(如10.1.1.2)和公网地址(如2.2.2.2)。其中,总部节点的公网地址为静态公网地址,各分支节点的公网地址为动态公网地址。
S12、总部节点向各分支节点发送注册应答。相应的,各分支节点从总部节点接收注册应答。
总部节点从每个注册请求中提取分支节点的tunnel地址和公网地址,并生成对应的映射表。例如,总部节点从分支节点1中提取分支节点1的tunnel地址(如10.1.1.1)和公网地址(如1.1.1.1),并将该分支节点1的tunnel地址、公网地址、及Tunnel地址和公网地址之间的映射关系保存至映射表,然后总部节点向分支节点1发送注册应答1,进而建立总部节点和分支节点1之间的静态隧道。再如,总部节点从分支节点2中提取分支节点2的tunnel地址(如10.1.1.2)和公网地址(如2.2.2.2),并将该分支节点2的tunnel地址、公网地址、及该tunnel地址和公网地址之间的映射关系保存至映射表,然后总部节点向分支节点2发送注册应答2,进而建立总部节点和分支节点2之间的静态隧道。
一个具体的实施方式中,本申请实施例中的映射表为下一跳解析协议(next hopresolution protocol,NHRP)映射表。NHRP协议的作用是建立和解析协议(protocol)地址(即tunnel地址或子网地址)到公网地址的映射关系。基于Protocol地址和公网地址映射生成的表项称为NHRP映射表。
上述步骤S11和步骤S12为总部节点与各分支节点之间建立静态隧道的过程,从而为总部节点与各分支节点间的通信提供了基础。总部节点和各分支节点之间建立静态隧道之后,静态隧道会一直存在,上述步骤S11和步骤S12为可选步骤,不需要每次都执行。
总部节点与各分支节点间建立静态隧道之后,各分支节点之间可以建立动态隧道,可以实现分支节点间的互访通信,而本申请实施例中由于信息安全等原因,总部节点可以控制某些分支节点不建立动态隧道,避免分支节点间的互访通信。其中,请参阅图2所示。本申请实施例提供的一种分支节点间的访问控制方法的一个实施例,请参阅如下步骤201-步骤203。
步骤201、分支节点1向总部节点发送发往分支节点2的报文1。相应地,总部节点接收该报文1。
分支节点1首次接收到发往分支节点2的报文1,该报文1就会触发分支节点1建立与分支节点2之间的动态隧道。
在第一个场景中,每个分支节点本地保存的路由表中的下一跳信息都是总部节点的隧道地址。分支节点1收到主机1发往分支节点2的报文1后,分支节点1根据报文1目的地址在本地保存的路由表中找到下一跳的隧道地址是10.1.1.3(总部节点的tunnel地址),并在映射表中找到10.1.1.3对应的公网地址3.3.3.3(总部节点的公网地址),然后将报文1转发给总部节点。
在第二个场景中,每个分支节点本地保存的路由表中的下一跳信息包括其他分支节点的隧道地址。分支节点1接收来自主机1的报文1,该报文1为数据报文。分支节点1根据报文1的目的地址在路由表中找到下一跳的隧道地址是10.1.1.2(该隧道地址是分支节点2的隧道地址)。分支节点1在本地保存的映射表中没有查找10.1.1.2对应的公网地址,就默认将该报文1转发给总部节点。
步骤202、总部节点响应收到报文1,向分支节点1发送报文2。相应地,分支节点1接收总部节点发送的报文2。
总部节点接收报文1,并根据该报文1的目的地址查询路由表,确定下一跳的隧道地址。例如,下一跳的隧道地址是分支节点2的隧道地址(如10.1.1.2)。首先,总部节点根据报文1的目的地址能够确定该报文1是需要向分支节点2发送的。也就是说,分支节点1需要建立与分支节点2之间的动态隧道。然后,总部节点判定是否允许分支节点1和分支节点2之间建立动态隧道。也可以理解为,分支节点1和分支节点2之间是否有访问权限。示例性的,总部节点本地保存第一信息,第一信息可以指示哪些分支节点之间没有互访权限(或者那些分支节点之间有互访权限)。例如,第一信息如下表1所示。
表1
分支节点 地址 禁止访问的分支节点的地址
分支节点1 IPadd1 IPadd2
分支节点2 IPadd2 IPadd1
分支节点3 IPadd3 IPadd4
如上表1所示,第一信息包括多对地址的对应关系,具有对应关系的两个地址所指示的分支节点是没有互访权限的。上述表1中的“地址”可以是分支节点的隧道地址,也可以是分支节点的子网地址。例如,“IPadd1”表示分支节点1的隧道地址,“IPadd2”表示分支节点2的隧道地址。“IPadd1”和“IPadd2”具有对应关系,表示分支节点1和分支节点2之间没有访问权限。
若总部节点确定分支节点1和分支节点2之间没有互访权限,则总部节点就会向分支节点1发送报文2,报文2用于指示分支节点1不能执行在分支节点1和分支节点2之间建立动态隧道的操作(第一操作)。并且,总部节点不会向分支节点2转发该报文1。
分支节点1接收总部节点发送的报文2后,就不会执行后续的建立分支节点1和分支节点2之间的隧道的相关操作。
一个具体的实施方式中,报文2可以为NHRP报文,或者,互联网报文控制协议(internet control message protocol,ICMP)报文。报文2的协议类型并不限定,报文2能够指示分支节点1不执行第一操作即可。
报文2以NHRP为例,通常情况下,NHRP报文格式包括“ar$op.type”字段,该字段指示NHRP报文的类型。传统方法中,“ar$op.type”字段指示的报文类型包括:1.NHRP解析请求(NHRP resolution request);2.NHRP解析应答(NHRP resolution reply);3.NHRP注册请求(NHRP registration request);4.NHRP注册应答(NHRP registration reply);5.NHRP清除请求(NHRP purge request);6.NHRP清除回复(NHRP purge reply);7.NHRP错误指示(NHRP Error Indication)。相对于传统方法中“ar$op.type”字段指示的报文类型,本申请实施例中新增了一种类型,该新增的类型为:NHRP拒绝(NHRP reject)类型。本实施例中,报文2的类型为NHRP reject类型。总部节点向分支节点1发送报文2,就表明总部节点拒绝(不允许)分支节点1建立与分支节点2之间的动态隧道。
一个具体的实施方式中,本实施例中的动态隧道为多点通用路由封装(multipoint generic routing encapsulation,mGRE)隧道。mGRE技术是在传统的通用路由封装(generic routing encapsulation,GRE)技术基础上发展而来的一种点到多点的GRE技术。mGRE隧道相对于GRE隧道的区别:GRE隧道的点到点类型的tunnel接口扩展成了点到多点类型的tunnel接口。mGRE技术通过改变接口类型,使得总部节点或分支节点上只需要配置一个tunnel接口便可与多个对端建立隧道,从而能够减少管理人员配置GRE隧道的工作量。
在一个应用场景中,为了信息的保密性,企业会有不希望某些分支节点之间不能互相访问的诉求,如部门1和部门2不能互相分享数据,管理人员根据企业需求对总部节点进行配置。如总部节点接收管理人员配置第一信息,第一信息可以指示哪些分支节点间不具有互访权限,这样,当分支节点1向总部节点发送触发建立动态隧道的报文1时,总部节点确定该报文1是需要发往分支节点2的,且分支节点1和分支节点2之间没有互访权限,总部节点就会拒绝分支节点1建立与分支节点2之间的动态隧道,此时,总部节点会向分支节点发送报文2,报文2用于指示分支节点1不能建立与分支节点2间的动态隧道。
本申请实施例中,总部节点可以根据实际需求,通过向分支节点1发送报文2,从而控制两个分支节点间不能建立动态隧道,以避免没有访问权限的分支节点间的互访,提高信息安全性。
当分支节点1接收到报文2之后,分支节点1根据报文2的指示不会再执行后续的建立动态隧道的操作。同时,分支节点1维护本地的NHRP映射表,将分支节点2的地址写成reject类型。
一个具体的实施方式中,分支节点1还可以执行下述步骤203和步骤204。
步骤203、分支节点1接收向分支节点2发送的报文3。
分支节点1接收来自主机1的报文3,主机1和分支节点1属于同一个子网段。报文3的目的地址指示分支节点2,分支节点1确定报文2是需要发往分支节点2的数据报文。
步骤204、分支节点1丢弃该报文3。
分支节点1查询本地维护的NHRP映射表,分支节点2的地址的类型为reject类型,表明分支节点1不能和分支节点2直接互访通信,分支节点1再次接收到需要发往分支节点3的报文就会直接丢弃该报文,以节省处理资源。
上述步骤201-步骤204是以总部节点不允许(禁止)分支节点1建立分支节点1和分支节点2间的动态隧道为例进行说明的相关步骤。下面以总部节点允许分支节点1建立分支节点1和分支节点3间的动态隧道为例进行说明,分支节点间建立动态隧道包括shortcut方式和非shortcut方式,其中,shortcut方式和非shortcut方式的主要区别在于,shortcut方式中,每个分支节点的路由表中的下一跳信息都是总部节点的隧道地址。非shortcut方式中,每个分支节点的路由表中的下一跳信息包括其他分支节点的隧道地址。
1、shortcut方式。请参阅图3a和3b进行理解,相关步骤如下步骤S301-步骤S308。
步骤301、总部节点接收分支节点1向分支节点3发送的报文4。相应地,分支节点1向总部节点发送报文4。
例如,报文4的目的地址与分支节点3的子网地址属于同一个网段(如192.168.4.0),分支节点1根据报文4的目的地址在路由表中找到下一跳地址是10.1.1.3(总部节点的tunnel地址),并在NHRP映射表中找到10.1.1.3对应的公网地址3.3.3.3(总部节点的公网地址),然后,总部节点1将报文4转发给总部节点。
本步骤如上述图2对应实施例中步骤201中第一个场景类似,也可以参阅上述步骤201进行理解。
步骤302、总部节点向分支节点3转发报文4。相应地,分支节点3从总部节点接收报文4。
总部节点确认分支节点1被允许访问分支节点3,报文4是分支节点1需要发往分支节点3的数据报文,总部节点通过与分支节点3间的静态隧道将报文4转发给分支节点3。
步骤303、总部节点向分支节点1发送报文5。相应地,分支节点1从总部节点接收报文5。报文5用于指示分支节点1执行第二操作,该第二操作包括在分支节点1和分支节点3之间建立动态隧道。
一个具体的实施方式中,报文5为NHRP报文,本实施了中在传统的NHRP报文类型新增一个NHRP报文类型,如NHRP报文的“ar$op.type”字段指示的报文类型为NHRP允许(approve)报文。
步骤304、总部节点向分支节点1发送NHRP重定向报文。相应地,分支节点1从总部节点接收NHRP重定向报文。
NHRP重定向报文携带分支节点3的子网地址。重定向报文用于通知分支节点1需要解析分支节点3的地址。
需要说明的是,步骤302-步骤304没有时序上的限定,步骤302-步骤304可以同时执行。
步骤305、分支节点1向总部节点发送NHRP地址解析请求1。相应地,总部节点接收分支节点1发送的NHRP地址解析请求1。
NHRP地址解析请求1用于请求分支节点3的公网地址。NHRP地址解析请求1携带分支节点1的子网地址(如192.168.1.0)和公网地址(如1.1.1.1),以及分支节点3的子网地址(如192.168.4.0)。
步骤306、总部节点将NHRP地址解析请求1转发给分支节点3。相应地,分支节点3接收NHRP地址解析请求1。
步骤307、分支节点3向分支节点1发送NHRP地址解析应答1。相应地,分支节点1接收NHRP地址解析应答1。
分支节点3从地址NHRP地址解析应答中提取分支节点1的子网地址和公网地址,并将分支节点1的子网地址(如192.168.1.0)和公网地址(如1.1.1.1)更新到本地保存的NHRP映射表中。同时,分支节点3向分支节点1发送NHRP地址解析应答1,NHRP地址解析应答1携带分支节点3的子网地址(如192.168.4.0)和公网地址(如4.4.4.4)。
分支节点1收到NHRP地址解析应答1后,从NHRP地址解析应答1中提取分支节点3的子网地址(如192.168.4.0)和公网地址(如4.4.4.4),将分支节点3的子网地址和公网地址更新到自己的NHRP映射表中。分支节点1与分支节点3之间的动态隧道(mGRE)随即建立。
2、非shortcut方式。同样以分支节点1和分支节点3之间建立动隧道为例进行说明。请参阅图4a和4b进行理解,相关步骤如下步骤401-步骤406的示例性说明。
步骤401、总部节点接收分支节点1向分支节点3发送的报文4。相应地,分支节点1向总部节点发送报文4。
示例性的,分支节点1接收来自主机1的报文4。分支节点1根据报文4的目的地址在路由表中找到下一跳的隧道地址是10.1.1.4(该隧道地址是分支节点3的隧道地址)。分支节点1在本地保存的映射表中没有查找下一跳隧道地址10.1.1.4对应的公网地址,就默认将该报文4转发给总部节点。
步骤402、总部节点向分支节点3转发报文4。
总部节点确认分支节点1被允许访问分支节点3后,总部节点向分支节点1发送报文4。本步骤与上述图3a对应的实施例中步骤302类似,请参阅上述步骤302的说明。
步骤403、总部节点向分支节点1发送报文5。
总部节点确认分支节点1被允许访问分支节点3,总部节点向分支节点1发送报文5。报文5用于指示分支节点1在分支节点1和分支节点3之间建立动态隧道。
本步骤与上述图3a对应的实施例中步骤303类似,请参阅上述步骤303的说明。
步骤404、分支节点1向总部节点发送NHRP地址解析请求2。相应地,总部节点接收分支节点1发送的NHRP地址解析请求2。
NHRP地址解析请求2用于请求下一跳隧道地址(如10.1.1.4)对应的公网地址。NHRP地址解析请求2携带分支节点1的子网地址和公网地址,及下一跳隧道地址(10.1.1.4)。
步骤405、总部节点将NHRP地址解析请求2转发给分支节点3。
总部节点通过总部节点与分支节点3间的静态隧道将NHRP地址解析请求2转发给分支节点3。
步骤406、分支节点3向分支节点1发送NHRP地址解析应答2。相应地,分支节点1接收NHRP地址解析应答2。
分支节点3收到NHRP地址解析请求2后,从NHRP地址解析请求2中提取分支节点1的隧道地址和公网地址,并将分支节点1的隧道地址和公网地址更新到本地的NHRP映射表中。同时,分支节点3向分支节点1发送NHRP地址解析应答2,该NHRP地址解析应答2携带分支节点3的隧道地址(如10.1.1.4)和公网地址(4.4.4.4)。
分支节点1收到NHRP地址解析应答2后,从NHRP地址解析应答2中提取分支节点3的隧道地址和公网地址,并将分支节点3的隧道地址(如10.1.1.4)和公网地址(4.4.4.4)更新到自己的NHRP映射表中,分支节点1与分支节点2之间的动态隧道随即建立。
本实施例中,总部节点可以根据企业的实际需求允许某些分支节点间建立动态隧道。
请参阅图5所示,本申请实施例提供了一种分支节点间的访问控制方法,该方法的执行主体为总部节点。
步骤501、总部节点接收第一分支节点向第二分支节点发送的第一报文,第一分支节点没有权限访问第二分支节点。
本步骤请参阅上述图2对应的实施例中的步骤201的说明,第一报文如步骤201中的报文1。第一分支节点如步骤201中的分支节点1,第二分支节点如步骤201中的分支节点2。
步骤502、总部节点响应于收到第一报文,向第一分支节点发送第二报文,第二报文用于指示第一分支节点不执行第一操作,第一操作包括在第一分支节点和第二分支节点之间建立动态隧道。
一个具体的实施方式中,总部节点根据本地保存的第一信息确定第一分支节点没有权限访问第二分支节点。
本步骤请参阅上述图2对应的实施例中的步骤202的说明,第二报文如步骤202中的报文2,第一报文如步骤202中的报文1。
一个具体的实施方式中,上述方法还包括总部节点允许第一分支节点和第三分支节点建立动态隧道的步骤,请参阅如下步骤S61-步骤S66:
S61、总部节点接收第一分支节点向第三分支节点发送的第三报文,其中,第一分支节点被允许访问第三分支节点。
本步骤请参阅上述图3a对应的实施例中的步骤301的说明,第一分支节点如步骤301中的分支节点1,第三分支节点如步骤301中的分支节点3,第三报文如步骤301中的报文4。
S62、总部节点向第三分支节点转发第三报文。
本步骤请参阅上述图3a对应的实施例中的步骤302的说明。
一个具体的实施方式中,上述方法还可以包括:
S63、总部节点响应于收到第三报文,向第一分支节点发送第四报文,第四报文用于指示第一分支节点执行第二操作,第二操作包括在第一分支节点和第三分支节点之间建立动态隧道。
本步骤请参阅上述图3a对应的实施例中的步骤303的说明,第四报文如步骤303中的报文5。第一分支节点如步骤303中的分支节点1,第三分支节点如步骤303中的分支节点3。
一个具体的实施方式中,上述方法还可以包括:
S64、总部节点向第一分支节点发送NHRP重定向报文,NHRP重定向报文用于触发第一分支节点向总部节点发送NHRP地址解析请求。
本步骤请参阅上述图3a对应的实施例中的步骤304的说明。
S65、总部节点接收第一分支节点发送的NHRP地址解析请求。
本步骤请参阅上述图3a对应的实施例中的步骤305的说明。
S66、总部节点向第三分支节点转发NHRP地址解析请求,NHRP地址解析请求用于触发第三分支节点向第一分支节点发送NHRP地址解析应答。
本步骤请参阅上述图3a对应的实施例中的步骤306的说明。第三分支节点如步骤306中的分支节点3。
本申请实施例提供了一种分支节点间的访问控制方法,该方法的执行主体为第一分支节点,请参阅图6所示,第一分支节点执行的步骤包括:
步骤601、第一分支节点向总部节点转发向第二分支节点发送的第一报文,第一分支节点没有权限访问第二分支节点。
本步骤请参阅上述图2对应的实施例中的步骤201的说明。其中,第一分支节点如步骤201中的分支节点1,第二分支节点如步骤201中的分支节点2,第一报文如步骤201中的报文1。
步骤602、第一分支节点接收总部节点发送的第二报文。
第一分支节点根据第二报文的指示,避免执行第一操作,第一操作用于在第一分支节点和第二分支节点之间建立动态隧道。
本步骤请参阅上述图2对应的实施例中的步骤202的说明。其中,第一分支节点如步骤201中的分支节点1,第二报文如步骤202中的报文2。
一个具体的实施方式中,上述方法还包括:
步骤603、第一分支节点接收向第二分支节点发送的第三报文。
本步骤请参阅上述图2对应的实施例中的步骤203的说明。其中,第一分支节点如步骤203中的分支节点1,第二分支节点如步骤203中的分支节点2,第三报文如步骤203中的报文3。
步骤604、第一分支节点丢弃第三报文。
本步骤请参阅上述图2对应的实施例中的步骤204的说明。其中,第一分支节点如步骤204中的分支节点1,第三报文如步骤203中的报文3。
一个具体的实施方式中,第一分支节点被允许与第三分支节点间建立动态隧道,上述方法还可以包括:
S71、第一分支节点向总部转发向第三分支节点发送的第四报文,其中,第一分支节点有权限访问第三分支节点。
本步骤请参阅上述图3a对应的实施例中的步骤301的说明。其中,第一分支节点如步骤301中的分支节点1,第三分支节点如步骤301中的分支节点3,第四报文如步骤301中的报文4。
S72、第一分支节点从总部节点接收第五报文。
本步骤请参阅上述图3a对应的实施例中的步骤303的说明。第一分支节点如步骤303中的分支节点1,第五报文如步骤303中的报文5。
S73、第一分支节点根据第四报文的指示,执行第二操作,第二操作包括在第一分支节点和第三分支节点之间建立动态隧道。
一个具体的实施方式中,第二操作包括方法还包括如下步骤:
第一分支节点从总部节点接收NHRP重定向报文。
本步骤请参阅图3a对应的实施例中的步骤304的说明。其中,第一分支节点如步骤304的分支节点1。
第一分支节点根据重定向报文向总部节点发送NHRP地址解析请求。
本步骤请参阅图3a对应的实施例中的步骤305的说明。其中,第一分支节点如步骤305的分支节点1。
第一分支节点从第三分支节点接收NHRP地址解析应答,NHRP地址解析应答携带第三分支节点的公网地址。
本步骤请参阅图3a对应的实施例中的步骤307的说明。第一分支节点如步骤307中的分支节点1,第三分支节点如步骤307中的分支节点3。
请参阅图7所示,本申请实施例提供了一种分支节点间的访问控制装置700,该装置用于执行上述方法实施例中总部节点执行的方法步骤,该装置包括接收模块701和发送模块702,和处理模块703。
接收模块701,用于接收第一分支节点向第二分支节点发送的第一报文,第一分支节点没有权限访问第二分支节点;
发送模块702,用于响应于收到第一报文,向第一分支节点发送第二报文,第二报文用于指示第一分支节点不执行第一操作,第一操作包括在第一分支节点和第二分支节点之间建立动态隧道。
一个具体的实施方式中,接收模块701和发送模块702的功能由收发器来执行。其中,收发器具有发送和/或接收的功能。可选地,收发器由接收器和/或发射器代替。
一个具体的实施方式中,接收模块701和发送模块702的功能由网络接口来执行。可选地,网络接口是输入输出接口或者收发电路。输入输出接口包括输入接口和输出接口。收发电路包括输入接口电路和输出接口电路。
进一步的,接收模块701用于执行上述方法实施例中的步骤S11、步骤201、步骤301、步骤305、步骤401、步骤404、步骤501、步骤S61、步骤S65;发送模块702,用于执行上述方法实施例中的步骤S12、步骤202、步骤302、步骤304、步骤306、步骤402、步骤403、步骤405、步骤502、步骤S62、步骤S63、步骤S64、步骤S66。
一个具体的实施方式中,第二报文为NHRP报文。
一个具体的实施方式中,动态隧道为mGRE隧道。
一个具体的实施方式中,处理模块703,用于根据本地保存的第一信息确定第一分支节点没有权限访问第二分支节点。
一个具体的实施方式中,处理模块703为处理器,处理器是通用处理器或者专用处理器等。可选地,处理器包括用于实现接收和发送功能的收发单元。例如该收发单元是收发电路,或者是接口,或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路是分开的部署的,可选地,是集成在一起部署的。上述收发电路、接口或接口电路用于代码或数据的读写,或者,上述收发电路、接口或接口电路用于信号的传输或传递。
一个具体的实施方式中,接收模块701,用于接收第一分支节点向第三分支节点发送的第三报文,其中,第一分支节点被允许访问第三分支节点;
发送模块702,还用于向第三分支节点转发第三报文。
发送模块702,还用于响应于收到第三报文,向第一分支节点发送第四报文,第四报文用于指示第一分支节点执行第二操作,第二操作包括在第一分支节点和第三分支节点之间建立动态隧道。
一个具体的实施方式中,发送模块702,还用于向第一分支节点发送NHRP重定向报文,NHRP重定向报文用于触发第一分支节点向总部节点发送NHRP地址解析请求;
接收模块701,还用于接收第一分支节点发送的NHRP地址解析请求;
发送模块702,还用于向第三分支节点转发NHRP地址解析请求,NHRP地址解析请求用于触发第三分支节点向第一分支节点发送NHRP地址解析应答。
请参阅图8所示,本申请实施例中提供了一种分支节点间的访问控制装置800,包括:
发送模块801,用于向总部节点转发向第二分支节点发送的第一报文,第一分支节点没有权限访问第二分支节点;
接收模块802,用于接收总部节点发送的第二报文;
处理模块803,用于根据第二报文的指示,避免执行第一操作,第一操作用于在第一分支节点和第二分支节点之间建立动态隧道。
一个具体的实施方式中,接收模块802和发送模块801的功能由收发器来执行。其中,收发器具有发送和/或接收的功能。一个具体的实施方式中,收发器由接收器和/或发射器代替。
一个具体的实施方式中,接收模块802和发送模块801的功能由网络接口来执行。一个具体的实施方式中,网络接口是输入输出接口或者收发电路。输入输出接口包括输入接口和输出接口。收发电路包括输入接口电路和输出接口电路。
接收模块802,用于执行上述方法实施例中的步骤S12、步骤202、步骤203、步骤304、步骤307、步骤406、步骤602、步骤603、步骤S72;发送模块801,用于执行上述方法实施例中的步骤S11、步骤201、步骤301、步骤305、步骤401、步骤404、步骤601、步骤S71。
一个具体的实施方式中,接收模块802,还用于接收向第二分支节点发送的第三报文;
处理模块803,还用于丢弃第三报文。
一个具体的实施方式中,第二报文为NHRP报文。
一个具体的实施方式中,动态隧道为mGRE隧道。
一个具体的实施方式中,发送模块801,还用于向总部转发向第三分支节点发送的第四报文,其中,第一分支节点有权限访问第三分支节点;
接收模块802,还用于从总部节点接收第五报文;
处理模块803,还用于根据第四报文的指示,执行第二操作,第二操作包括在第一分支节点和第三分支节点之间建立动态隧道。
一个具体的实施方式中,接收模块802,还用于从总部节点接收NHRP重定向报文;
发送模块801,还用于根据NHRP重定向报文向总部节点发送NHRP地址解析请求;
接收模块802,还用于从第三分支节点接收NHRP地址解析应答,NHRP地址解析应答携带第三分支节点的公网地址。
参阅图9所示,本申请实施例提供了一种网络设备900,该网络设备可用于实现上述方法实施例中总部节点所执行的方法,具体可以参见上述方法实施例中的说明。或者,该网络设备可用于实现上述方法实施例中第一分支节点所执行的方法,具体可以参见上述方法实施例中的说明。
网络设备900可以包括一个或多个处理器901,处理器901也可以称为处理单元,可以实现一定的控制功能。处理器901可以是通用处理器或者专用处理器等。中央处理器可以用于对网络设备进行控制,执行软件程序,处理软件程序的数据。
在一种可选的设计中,处理器901也可以存有指令903,所述指令903可以被所述处理器运行,使得所述网络设备900执行上述方法实施例中描述的方法。
在另一种可选的设计中,处理器901中可以包括用于实现接收和发送功能的收发单元。例如该收发单元可以是收发电路,或者是接口,或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的,也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写,或者,上述收发电路、接口或接口电路可以用于信号的传输或传递。
在又一种可能的设计中,网络设备900可以包括电路,所述电路可以实现上述方法实施例中发送或接收的功能。
网络设备900中可以包括一个或多个存储器902,其上可以存有指令904,所述指令可在所述处理器上被运行,使得网络设备900执行上述方法实施例中描述的方法。可选的,所述存储器中还可以存储有数据。可选的,处理器中也可以存储指令和/或数据。所述处理器和存储器可以单独设置,也可以集成在一起。
一个具体的实施方式中,网络设备900还可以包括收发器905和/或天线906。处理器901可以称为处理单元,对网络设备900进行控制。收发器905可以称为收发单元、收发机、收发电路、收发装置或收发模块等,用于实现收发功能。
一个具体的实施方式中,收发器可以为网络接口,例如,网络接口为以太网接口。
本申请实施例还提供了一种计算机可读存储介质,用于储存计算机程序或指令,所述计算机程序或指令被执行时使得计算机执行上述方法实施例中总部节点执行的方法。或者,计算机程序或指令被执行时使得计算机执行上述方法实施例中分支节点1(第一分支节点)执行的方法。
本申请实施例提供了一种芯片,芯片包括处理器和通信接口,通信接口例如是输入/输出接口、管脚或电路等。处理器用于读取指令以执行上述方法实施例中总部节点所执行的方法。或者,处理器用于读取指令以执行上述方法实施例中分支节点1(第一分支节点)所执行的方法。
本申请实施例还提供了一种计算机程序产品,所述计算机程序产品中包括计算机程序代码,当所述计算机程序代码被计算机执行时,使得计算机实现上述方法实施例中总部节点执行的方法。或者,当所述计算机程序代码被计算机执行时,使得计算机实现上述方法实施例中分支节点1(第一分支节点)执行的方法。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘(solid state drive,SSD)。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (30)

1.一种分支节点间的访问控制方法,其特征在于,由总部节点执行,所述方法包括:
接收第一分支节点向第二分支节点发送的第一报文,所述第一分支节点没有权限访问所述第二分支节点;
响应于收到所述第一报文,向所述第一分支节点发送第二报文,所述第二报文用于指示所述第一分支节点不执行第一操作,所述第一操作包括在所述第一分支节点和所述第二分支节点之间建立动态隧道。
2.根据权利要求1所述的方法,其特征在于,所述第二报文为下一跳解析协议NHRP报文。
3.根据权利要求1或2所述的方法,其特征在于,所述动态隧道为多点通用路由封装协议mGRE隧道。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述向所述第一分支节点发送所述第二报文之前,所述方法还包括:
根据本地保存的第一信息确定所述第一分支节点没有权限访问所述第二分支节点。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
避免向所述第二分支节点转发所述第一报文。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:
接收所述第一分支节点向第三分支节点发送的第三报文,其中,所述第一分支节点被允许访问所述第三分支节点;
向所述第三分支节点转发所述第三报文。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
响应于收到所述第三报文,向所述第一分支节点发送第四报文,所述第四报文用于指示所述第一分支节点执行第二操作,所述第二操作包括在所述第一分支节点和所述第三分支节点之间建立动态隧道。
8.根据权利要求6或7所述的方法,其特征在于,所述方法还包括:
向所述第一分支节点发送NHRP重定向报文,所述NHRP重定向报文用于触发所述第一分支节点向所述总部节点发送NHRP地址解析请求;
接收所述第一分支节点发送的所述NHRP地址解析请求;
向所述第三分支节点转发所述NHRP地址解析请求,所述NHRP地址解析请求用于触发所述第三分支节点向所述第一分支节点发送NHRP地址解析应答。
9.一种分支节点间的访问控制方法,其特征在于,由第一分支节点执行,包括:
向总部节点转发向第二分支节点发送的第一报文,所述第一分支节点没有权限访问所述第二分支节点;
接收所述总部节点发送的第二报文,
根据所述第二报文的指示,避免执行第一操作,所述第一操作用于在所述第一分支节点和所述第二分支节点之间建立动态隧道。
10.根据权利要求9所述的方法,其特征在于,所述接收所述总部节点发送的第二报文之后,所述方法还包括:
接收向所述第二分支节点发送的第三报文;
丢弃所述第三报文。
11.根据权利要求9或10所述的方法,其特征在于,所述第二报文为下一跳解析协议NHRP报文。
12.根据权利要求9至11中任一项所述的方法,其特征在于,所述动态隧道为多点通用路由封装协议mGRE隧道。
13.根据权利要求9至12任一项所述的方法,其特征在于,所述方法还包括:
向总部转发向第三分支节点发送的所述第四报文,其中,所述第一分支节点有权限访问所述第三分支节点;
从所述总部节点接收第五报文;
根据所述第四报文的指示,执行第二操作,所述第二操作包括在所述第一分支节点和所述第三分支节点之间建立动态隧道。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
从总部节点接收NHRP重定向报文;
根据所述NHRP重定向报文向总部节点发送NHRP地址解析请求;
从所述第三分支节点接收NHRP地址解析应答。
15.一种分支节点间的访问控制装置,其特征在于,包括:
接收模块,用于接收第一分支节点向第二分支节点发送的第一报文,所述第一分支节点没有权限访问所述第二分支节点;
发送模块,用于响应于收到所述第一报文,向所述第一分支节点发送第二报文,所述第二报文用于指示所述第一分支节点不执行第一操作,所述第一操作包括在所述第一分支节点和所述第二分支节点之间建立动态隧道。
16.根据权利要求15所述的装置,其特征在于,所述第二报文为NHRP报文。
17.根据权利要求15或16所述的装置,其特征在于,所述动态隧道为mGRE隧道。
18.根据权利要求15至17中任一项所述的装置,其特征在于,所述装置还包括处理模块;
所述处理模块,用于根据本地保存的第一信息确定所述第一分支节点没有权限访问所述第二分支节点。
19.根据权利要求15至18任一项所述的装置,其特征在于,所述方法还包括:
接收所述第一分支节点向第三分支节点发送的第三报文,其中,所述第一分支节点被允许访问所述第三分支节点;
所述发送模块,还用于向所述第三分支节点转发所述第三报文。
20.根据权利要求19所述的装置,其特征在于,
所述发送模块,还用于响应于收到所述第三报文,向所述第一分支节点发送第四报文,所述第四报文用于指示所述第一分支节点执行第二操作,所述第二操作包括在所述第一分支节点和所述第三分支节点之间建立动态隧道。
21.根据权利要求19或20所述的装置,其特征在于,
所述发送模块,还用于向所述第一分支节点发送NHRP重定向报文,所述NHRP重定向报文用于触发所述第一分支节点向所述总部节点发送NHRP地址解析请求;
所述接收模块,还用于接收所述第一分支节点发送的所述NHRP地址解析请求;
所述发送模块,还用于向所述第三分支节点转发所述NHRP地址解析请求,所述NHRP地址解析请求用于触发所述第三分支节点向所述第一分支节点发送NHRP地址解析应答。
22.一种分支节点间的访问控制装置,其特征在于,包括:
发送模块,用于向总部节点转发向第二分支节点发送的第一报文,所述第一分支节点没有权限访问所述第二分支节点;
接收模块,用于接收所述总部节点发送的第二报文;
处理模块,用于根据所述第二报文的指示,避免执行第一操作,所述第一操作用于在所述第一分支节点和所述第二分支节点之间建立动态隧道。
23.根据权利要求22所述的装置,其特征在于,
所述接收模块,还用于接收向所述第二分支节点发送的第三报文;
所述处理模块,还用于丢弃所述第三报文。
24.根据权利要求22或23所述的装置,其特征在于,所述第二报文为NHRP报文。
25.根据权利要求22至24中任一项所述的装置,其特征在于,所述动态隧道为mGRE隧道。
26.根据权利要求22至25任一项所述的装置,其特征在于,
所述发送模块,还用于向总部转发向第三分支节点发送的所述第四报文,其中,所述第一分支节点有权限访问所述第三分支节点;
所述接收模块,还用于从所述总部节点接收第五报文;
所述处理模块,还用于根据所述第四报文的指示,执行第二操作,所述第二操作包括在所述第一分支节点和所述第三分支节点之间建立动态隧道。
27.根据权利要求26所述的装置,其特征在于,
所述接收模块,还用于从总部节点接收NHRP重定向报文;
所述发送模块,还用于根据所述NHRP重定向报文向总部节点发送NHRP地址解析请求;
所述接收模块,还用于从所述第三分支节点接收NHRP地址解析应答。
28.一种网络设备,其特征在于,包括:处理器,所述处理器与至少一个存储器耦合,所述处理器用于读取所述至少一个存储器所存储的计算机程序,使得所述网络设备执行如权利要求1至8中任一项所述的方法,或者,所述处理器用于读取所述至少一个存储器所存储的计算机程序,使得所述网络设备执行如权利要求9至14中任一项所述的方法。
29.一种计算机可读存储介质,其特征在于,用于储存计算机程序或指令,所述计算机程序或指令被处理器执行时,实现如权利要求1至8中任一项所述的方法,或者,实现如权利要求9至14中任一项所述的方法。
30.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序被处理器执行时,实现如权利要求1至8中任一项所述的方法,或者,实现如权利要求9至14中任一项所述的方法。
CN202111250254.5A 2021-10-26 2021-10-26 一种分支节点间访问控制方法及相关设备 Pending CN116032503A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111250254.5A CN116032503A (zh) 2021-10-26 2021-10-26 一种分支节点间访问控制方法及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111250254.5A CN116032503A (zh) 2021-10-26 2021-10-26 一种分支节点间访问控制方法及相关设备

Publications (1)

Publication Number Publication Date
CN116032503A true CN116032503A (zh) 2023-04-28

Family

ID=86080182

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111250254.5A Pending CN116032503A (zh) 2021-10-26 2021-10-26 一种分支节点间访问控制方法及相关设备

Country Status (1)

Country Link
CN (1) CN116032503A (zh)

Similar Documents

Publication Publication Date Title
US11029982B2 (en) Configuration of logical router
US11411776B2 (en) Multi-cloud VPC routing and registration
US20140233569A1 (en) Distributed Gateway in Virtual Overlay Networks
CN105791463A (zh) 一种实现虚拟机通信的方法和装置
CN107659484B (zh) 从vlan网络接入vxlan网络的方法、装置及系统
WO2021088433A1 (zh) 一种报文的处理方法,装置和系统
CN104854819A (zh) 用于vlan接口路由的方法和设备
CN110098988B (zh) 用于处理因特网协议包的方法和系统
WO2016184283A1 (zh) 一种虚拟机数据流管理方法和系统
US20150229523A1 (en) Virtual extensible local area network (vxlan) system of automatically configuring multicasting tunnel for segment of virtual extensible local area network according to life cycle of end system and operating method thereof
EP3466027A1 (en) Network isolation
CN113162779B (zh) 一种多云互联的方法及设备
CN112887209A (zh) 关于数据传输的表项建立方法及相关设备
CN109361602B (zh) 一种基于OpenStack云平台转发报文的方法和系统
JP7348403B2 (ja) 返信パケットを送信するための方法、経路広告メッセージを送信するための方法、ネットワークデバイス、および、コンピュータプログラム
CN108259205B (zh) 一种路由发布方法及网络设备
CN111464443B (zh) 基于服务功能链的报文转发方法、装置、设备及存储介质
CN116545665A (zh) 一种安全引流方法、系统、设备及介质
CN116032503A (zh) 一种分支节点间访问控制方法及相关设备
WO2017164068A1 (ja) トランスポートネットワーク制御装置、通信システム、転送ノードの制御方法及びプログラム
CN108156066A (zh) 报文转发方法和装置
CN108881015B (zh) 一种报文广播方法和装置
US11323370B2 (en) Communication device, communication method, and program
RU2643492C2 (ru) Способ оптимизации маршрута, маршрутизатор и объект-администратор местоположений
CN113556283A (zh) 路由管理方法及隧道端点设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination