CN117201135A - 业务随行方法、装置、计算机设备及存储介质 - Google Patents
业务随行方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN117201135A CN117201135A CN202311170499.6A CN202311170499A CN117201135A CN 117201135 A CN117201135 A CN 117201135A CN 202311170499 A CN202311170499 A CN 202311170499A CN 117201135 A CN117201135 A CN 117201135A
- Authority
- CN
- China
- Prior art keywords
- information
- access object
- authority
- identification information
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004891 communication Methods 0.000 claims abstract description 22
- 230000015654 memory Effects 0.000 claims description 27
- 238000010586 diagram Methods 0.000 description 12
- 239000010410 layer Substances 0.000 description 8
- 230000006855 networking Effects 0.000 description 8
- 238000007726 management method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 239000012792 core layer Substances 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络通信技术领域,公开了业务随行方法、装置、计算机设备及存储介质,本发明获取访问对象的第一标识信息,其中第一标识信息为访问对象的网络标识符,在预设权限信息中确定与网络标识符对应的权限信息,可以准确的识别访客用户对应的权限信息;在此基础上,根据权限信息为访问对象分配第二标识信息,将访问对象添加至与第二标识信息对应的权限组,访问对象根据第二标识信息在权限组中进行通信,其中第二标识信息为被访问对象为访问对象匹配的统一标识信息,解决了不同访问对象之间不兼容的问题,提高了网络扩展能力。
Description
技术领域
本发明涉及网络通信技术领域,具体涉及业务随行方法、装置、计算机设备及存储介质。
背景技术
随着企业网络规模的发展,用户提出在不同物理位置甚至不同局点之间漫游时保持网络连接关系和权限不变的需求,业务随行概念由此产生。
现有业务随性方案普遍通过业务流量携带私有标签的方式传递用户组参数,并将接入交换机作为认证、策略执行点。这一技术路线存在策略执行点分散,非公有协议,性能开销大和权限配置受限的问题。
发明内容
有鉴于此,本发明提供了一种业务随行方法、装置、计算机设备及存储介质,以解决现有技术中业务流量私有标签导致的业务随行难以满足需求的问题。
第一方面,本发明提供了一种业务随行方法,方法包括:
获取访问对象的第一标识信息,第一标识信息为访问对象的网络标识符;
在预设权限信息中确定与第一标识信息对应的权限信息;
根据权限信息确定访问对象的第二标识信息,将访问对象添加至与第二标识信息对应的权限组,第二标识信息用于确定访问对象在权限组中的通信权限,第二标识信息为被访问对象为访问对象匹配的统一标识信息。
有益效果,获取访问对象的第一标识信息,其中第一标识信息为访问对象的网络标识符,在预设权限信息中确定与网络标识符对应的权限信息,可以准确的识别访客用户对应的权限信息;在此基础上,根据权限信息为访问对象分配第二标识信息,将访问对象添加至与第二标识信息对应的权限组,以便后续访问对象根据第二标识信息在权限组中进行通信,其中第二标识信息为被访问对象为访问对象匹配的统一标识信息,解决了不同访问对象之间不兼容的问题,提高了网络扩展能力以及业务随行效率。
在一种可选的实施方式中,在预设权限信息中确定与网络标识符对应的权限信息,具体包括:
根据网络标识符,在预设权限信息中确定与网络标识符对应的网络标识组;
根据网络标识组,确定权限信息。
有益效果,提高了数据安全性。
在一种可选的实施方式中,方法还包括:当在预设权限信息中未确定与网络标识符对应的权限信息时,根据访客权限确定对应的第二标识信息。
有益效果,当在预设权限信息中没有确定与网络标识符对应的权限信息时,说明此访问对象没有其他的权限,对应的可以以访客身份进行访问,提高了网络数据传输的安全性。
在一种可选的实施方式中,当访问对象处于漫游状态时,方法还包括:
获取访问对象的路由信息;
根据路由信息以及预获取的网络拓扑结构,确定与访问对象对应的服务器;
根据路由信息以及服务器中对应的预设权限信息,确定访问对象的权限信息,权限信息用于确定访问对象的第二标识信息。
有益效果,当访问对象处于漫游状态时,获取访问对象的路由信息,根据路由信息以及预获取的网络拓扑结构,确定与访问对象最近的服务器,根据最接近的服务器与访问对象进行通信,提高了通信的效率;进一步地,根据路由信息与服务器中对应的预设权限信息,确定访问对象的权限信息,以便后续根据权限信息确定访问对象的第二标识信息,保证了漫游时的网络连接,提高了业务随行通信效率。
在一种可选的实施方式中,路由信息包括访问对象的第一标识信息和网络位置信息。
有益效果,提高了漫游用户的识别效率以及后续的业务随行通信效率。
第二方面,本发明提供了一种业务随行装置,装置包括:
获取标识信息模块,用于获取访问对象的第一标识信息,第一标识信息表示访问对象的网络标识符;
确定权限模块,用于在预设权限信息中确定与网络标识符对应的权限信息;
赋值标识模块,用于根据权限信息为访问对象分配第二标识信息,将访问对象添加至与第二标识信息对应的权限组,第二标识信息用于确定访问对象在权限组中的通信权限,第二标识信息为被访问对象为访问对象匹配的统一标识信息。
在一种可选的实施方式中,确定权限模块,具体用于:
根据网络标识符,在预设权限信息中确定与网络标识符对应的网络标识组;
根据网络标识组,确定权限信息。
在一种可选的实施方式中,装置还用于:
当在预设权限信息中未确定与网络标识符对应的权限信息时,根据访客权限确定对应的第二标识信息。
第三方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的业务随行方法。
第四方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的业务随行方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的业务随行方法的流程示意图;
图2是根据本发明实施例的业务随行方法的示意图;
图3是根据本发明实施例的业务随行方法的示意图;
图4是根据本发明实施例的业务随行方法的示意图;
图5是根据本发明实施例的业务随行方法的示意图;
图6是根据本发明实施例的业务随行方法的示意图;
图7是根据本发明实施例的另一业务随行方法的流程示意图;
图8是根据本发明实施例的业务随行方法的示意图;
图9是根据本发明实施例的业务随行装置的结构框图;
图10是本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
背景技术中提到现有技术中业务随行方法存在策略执行点分散、非公有协议、性能开销大和权限配置受限的问题,详细情况如下:
策略执行点分散:接入交换机做用户报文的过滤工作,由于大型网络中接入交换机数量众多且在SDN场景中大量设备可灵活在各接入交换机间迁移。每台接入交换机都需要全量配置各用户组的安全规则,当发生权限变更时也需要修改全部接入交换机的对应配置,运维工作量大,且易因配置错误造成权限不一致。
非公有协议:由于用户组字段并不是公有IP协议中定义的字段,当不同厂商,甚至同一厂商的不同系列设备组网时都可能出现兼容问题,网络扩容困难,不利于业务发展。
性能开销大:接入层交换机下发大量的ACL用于权限控制,等于放弃了交换机硬件转发能力,所有报文都必须通过交换机CPU处理,大大降低了网络性能。
权限配置受限:接入交换机本身不是安全设备,因此不支持会话概念也不支持7层业务识别且ACL上线仅有1000条,很难满足大型网络的业务需求。
根据本发明实施例,提供了一种业务随行方法实施例,如图1所示。需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在介绍发明实施例的业务随行方法之前,首先介绍涉及到的缩略语/技术关键词:
VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网),是由IETF定义的NVO3(Network Virtualization over Layer 3)标准技术之一,是对传统VLAN协议的一种扩展。VXLAN的特点是将L2的以太帧封装到UDP报文(即L2 over L4)中,并在L3网络中传输。
业务随行,指的是在园区中,无论某个人在网络中如何移动,从什么地方接入,又换到了什么地方,IP地址是否有变化,它的权限都是一致的,也就是权限跟着人走。权限指的是用户是否被允许访问某个/某些特定资源,或者其他用户组。
Spine Leaf是一种扁平化的网络结构,最大的特点是网络中任意两个节点互访的路径开销总是相等的,同时该架构也是一种全冗余架构,任意一个设备或链路故障流量都不会中断。
软件定义网络(Software-defined Networking,简称SDN)技术是一种网络管理方法,它支持动态可编程的网络配置,提高了网络性能和管理效率,使网络服务能够像云计算一样提供灵活的定制能力。SDN将网络设备的转发面与控制面解耦,通过控制器负责网络设备的管理、网络业务的编排和业务流量的调度,具有成本低、集中管理、灵活调度等优点。
NI(VXLAN Network Identifier,VXLAN网络标识符),VNI是一种类似于VLAN ID的用户标识,一个VNI代表了一个租户,属于不同VNI的虚拟机之间不能直接进行二层通信。VXLAN报文封装时,给VNI分配了24比特的长度空间,使其可以支持海量租户的隔离。
开放式最短路径优先OSPF(Open Shortest Path First)是IETF组织开发的一个基于链路状态的内部网关协议(Interior Gateway Protocol)
802.1X协议是一种基于端口的网络接入控制协议(Port based networkaccesscontrol protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。
802.1Q协议是在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签(又称VLAN Tag,简称Tag),用于标识数据帧所属的VLAN。
边界网关协议(Border Gateway Protocol,BGP)是一种用来在路由选择域之间交换网络层可达性信息(Network Layer Reachability Information,NLRI)的路由选择协议。MP-BGP是一种在BGP基础上扩展的路由协议可以传递额外路由信息,如96位的路由标识符或带MAC地址信息的IRB路由。
本发明实施例中涉及到的业务随行方法,由承载平面物理上使用标准Spine Leaf模型,协议上使用全三层互联,通过OSPF等价路由实现链路负载和冗余。Spine Leaf是一种标准扁平化组网模型,特征是取消了核心,汇聚,接入的三级结构,改为Spine Leaf的两级结构,由于任意Leaf都与任意Spine相连,任意Leaf与其他Leaf的转发距离总是相等的,从而实现链路级负载均衡和冗余备份。如图2所示为本发明实施例中对应的最小组网网络拓扑,从左到右依次是双节点Service Leaf用于提供安全服务和外网出口(连接路由器和FW),双节点服务器区Leaf业务服务器由此接入,单节点园区Leaf用户由此接入。
相比传统将安全设备串连到网络的组网方式:更灵活,允许自定义流过安全设备的流量,避免全部流量过安全设备造成性能瓶颈。相比与传统安全设备旁路核心层(Spine节点)的组网方式:不打破任意Leaf间路由逻辑距离相等的规则,可零中断水平扩容。将安全设备作为一个服务,接入网络,而不是网络的一部分,当安全设备故障时,相当于未安装安全设备,而不是网络中断。
因此,在本实施例中提供了一种业务随行方法,图1是根据本发明实施例的业务随行方法的流程图。
如图1所示,该流程包括如下步骤:
步骤S101,获取访问对象的第一标识信息,第一标识信息表示访问对象的网络标识符。
示例性地,第一标识信息为访问对象实际的网络标识符,在获取到网络标识符之后,需要识别网络标识符,并根据网络标识符进行数据转发等通信行为。这里的用户标识符统一设置在VNI中,解决了非公有协议中不同厂商设备组网的不兼容问题。
步骤S102,在预设权限信息中确定与网络标识符对应的权限信息。
示例性地,在获取到网络标识符之后,需要根据网络标识符确定对应的访问对象是否有权限,因此需要在预设权限信息中确定与网络标识符对应的权限信息,这里的预设权限信息可以设置在被访问对象对应的服务器等。例如,可以根据网络标识符与预设权限信息之间的映射关系,确定对应的权限信息。
在一个优选的实施例中,预设权限信息中确定与网络标识符对应的权限信息,具体包括:
根据网络标识符,在预设权限信息中确定与网络标识符对应的网络标识组;
根据网络标识组,确定权限信息。
当在预设权限信息中未确定与网络标识符对应的权限信息时,根据访客权限确定对应的第二标识信息。
示例性地,在被访问对象中若是没有确定对应的权限信息时,说明访问对象没有被访问对象的权限信息,这种情况下访问对象同样可以以访客的身份进行访问。
步骤S103,根据权限信息为访问对象分配第二标识信息,将访问对象添加至与第二标识信息对应的权限组,第二标识信息用于确定访问对象在权限组中的通信权限,第二标识信息为被访问对象为访问对象匹配的统一标识信息。
示例性地,当根据网络标识符确定权限信息之后,则说明访问对象的身份验证成功,此时需要为访问对象分配对应的第二标识信息,这里第二标识信息为后续访问对象的网络标识符,后续访问对象直接以第二标识信息进行通信,通信的范围为权限信息对应的权限组的通信范围。
具体地,当权限信息存在对应的权限组时,将访问对象添加到对应的权限组中,当权限信息不存在对应的权限组时,新建新的权限组,以便后续在新的权限组内进行通信。
涉及到的逻辑平面使用MP-BGP EVPN控制的VXLAN分布式网关模型,推荐由SDN控制器(任一可以和交换机通信的服务器)纳管也可采用手动配置,根据业务需求设置不同权限组,并在SDN控制器创建这些权限组对应的,VDC(实例)将VDC的出口路由指向防火墙设备,并在FW(目录)上配置相应的互访权限,形成如图3所示的逻辑平面。
上述访问对象的认证过程,如图4所示。具体地,用户(访问对象)接入网络,用户访问身份认证平台进行身份验证,当验证成功后SDN控制器(服务器等)修改用户的VNI,将用户加入到新权限组中。
如图5所示为访问对象验证前的示意图,用户默认接入访客VNI,并通过访客实例下VXLAN隧道联系身份认证服务器,R为出口路由器。如图6所示为验证后的连接关系,用户完成身份认证后,认证服务器通知SDN控制器,SDN控制器向用户所在的Leaf交换机下发更新配置,将用户端口移动到对应用户权限组的VNI,此时用户可以访问内网资源。
本实施例提供的业务随行方法,获取访问对象的第一标识信息,其中第一标识信息为访问对象的网络标识符,在预设权限信息中确定与网络标识符对应的权限信息,可以准确的识别访客用户对应的权限信息;在此基础上,根据权限信息为访问对象分配第二标识信息,将访问对象添加至与第二标识信息对应的权限组,以便后续访问对象根据第二标识信息在权限组中进行通信,其中第二标识信息为被访问对象为访问对象匹配的统一标识信息,解决了不同访问对象之间不兼容的问题,提高了网络扩展能力。
在本实施例中提供了又一种数据传输方法,当访问对象处于漫游状态时,如图7所示,方法还包括:
步骤S701,获取访问对象的路由信息。其中路由信息包括访问对象的第一标识信息和网络位置信息。
示例性地,当用户发生漫游时,新的Leaf交换机通过扩展的MP-BGP协议将获取到的路由信息通知全网所有减缓及,用户IP地址可以保持不变,对应的FW(目录)也不需要感知用户的移动,因此可以实现访问对象的跨局点漫游,对应的网络的实际物理连接关系保持不变。
对应的路由信息可以是IRB路由,具体可以包括访问对象的第一标识信息以及实际访问对象的网络位置信息,这里访问对象的位置为访问对象在哪一个物理接口的虚拟接口下。
步骤S702,根据路由信息以及预获取的网络拓扑结构,确定与访问对象最对应的服务器。
示例性地,根据路由信息中的网路位置信息和预获取的网络拓扑结构,可以确定与访问对象对应的服务器,对应的服务器与访问对象之间距离最短,具体的确定方法可以根据二分法对网络拓扑结构划分,直至确定与访问对象最接近的服务器。
步骤S703,根据路由信息以及服务器中对应的预设权限信息,确定访问对象的权限信息,权限信息用于确定访问对象的第二标识信息。
示例性地,在确定最接近的服务器之后,最接近的服务器用于验证路由信息中对应的第一标识信息是否存在与之对应的权限信息,并根据验证结构确定访问用户进行通信以及访问网络资源等操作。
如图8所示,为漫游时对应的示意图,具体为当用户漫游时,利用VXLAN逻辑物理无关特性,用户IP不变,逻辑拓扑不变进而实现权限不变。图8中从右边位置交换机转化至左边位置的交换机时,对应的VNI是不变的,在不同的位置都可以以同一VNI进行通信以及网络访问,实现了保持用户IP地址不变,用户的连接关系可以被无损漫游到其他局点,甚至包括广播和组播流量。
使用公有规范协议:可以在不同厂商设备混合组网的环境下部署;转发性能开销低:交换机只处理路由,避免ACL处理带来的性能开销;完整支持七层包过滤和高级安全特性:权限管理由安全设备负责,相比接入交换机上的ACL,可以实现面向会话,应用,流量特征的高级规则,且安全策略几乎没有上限;全冗余结构且支持安全设备故障时流量旁通:标准Spine Leaf模型使得安全设备的引入不会带来额外故障点,安全设备故障难以排除时可旁通安全设备,快速回复故障。
在本实施例中还提供了一种业务随行装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种业务随行装置,如图9所示,包括:
获取标识信息模块901,用于获取访问对象的第一标识信息,第一标识信息表示访问对象的网络标识符;
确定权限模块902,用于在预设权限信息中确定与网络标识符对应的权限信息;
赋值标识模块903,用于根据权限信息为访问对象分配第二标识信息,将访问对象添加至与第二标识信息对应的权限组,第二标识信息用于确定访问对象在权限组中的通信权限,第二标识信息为被访问对象为访问对象匹配的统一标识信息。
在一些可选的实施方式中,在确定权限模块之前,装置还用于:访问对象接入访客权限,通过访客权限在预设权限信息中确定与第一标识信息对应的权限信息。
在一些可选的实施方式中,当在预设权限信息中未确定与网络标识符对应的权限信息时,装置还用于:
根据访客权限确定对应的第二标识信息。
在一些可选的实施方式中,当访问对象处于漫游状态时,装置还用于:
获取访问对象的路由信息;
根据路由信息以及预获取的网络拓扑结构,确定与访问对象最接近的服务器;
根据路由信息以及服务器中对应的预设权限信息,确定访问对象的权限信息,权限信息用于确定访问对象的第二标识信息。
在一些可选的实施方式中,路由信息包括访问对象的第一标识信息和网络位置信息。
上述各个模块和单元的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本实施例中的业务随行装置是以功能单元的形式来呈现,这里的单元是指ASIC(Application Specific Integrated Circuit,专用集成电路)电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
本发明实施例还提供一种计算机设备,具有上述图9所示的业务随行装置。
请参阅图10,图10是本发明可选实施例提供的一种计算机设备的结构示意图,如图10所示,该计算机设备包括:一个或多个处理器10、存储器20,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相通信连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个计算机设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图10中以一个处理器10为例。
处理器10可以是中央处理器,网络处理器或其组合。其中,处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路,可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件,现场可编程逻辑门阵列,通用阵列逻辑或其任意组合。
其中,存储器20存储有可由至少一个处理器10执行的指令,以使至少一个处理器10执行实现上述实施例示出的方法。
存储器20可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器20可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中,存储器20可选包括相对于处理器10远程设置的存储器,这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
存储器20可以包括易失性存储器,例如,随机存取存储器;存储器也可以包括非易失性存储器,例如,快闪存储器,硬盘或固态硬盘;存储器20还可以包括上述种类的存储器的组合。
该计算机设备还包括通信接口30,用于该计算机设备与其他设备或通信网络通信。
本发明实施例还提供了一种计算机可读存储介质,上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可记录在存储介质,或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等;进一步地,存储介质还可以包括上述种类的存储器的组合。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件,当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现上述实施例示出的方法。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种业务随行方法,其特征在于,所述方法包括:
获取访问对象的第一标识信息,所述第一标识信息表示所述访问对象的网络标识符;
在预设权限信息中确定与所述网络标识符对应的权限信息;
根据所述权限信息为所述访问对象分配第二标识信息,将所述访问对象添加至与所述第二标识信息对应的权限组,所述第二标识信息用于确定所述访问对象在所述权限组中的通信权限,所述第二标识信息为被访问对象为所述访问对象匹配的统一标识信息。
2.根据权利要求1所述的方法,其特征在于,所述在预设权限信息中确定与所述网络标识符对应的权限信息,具体包括:
根据所述网络标识符,在所述预设权限信息中确定与所述网络标识符对应的网络标识组;
根据所述网络标识组,确定所述权限信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当在预设权限信息中未确定与所述网络标识符对应的权限信息时,根据所述访客权限确定对应的第二标识信息。
4.根据权利要求3所述的方法,其特征在于,当所述访问对象处于漫游状态时,所述方法还包括:
获取所述访问对象的路由信息;
根据所述路由信息以及预获取的网络拓扑结构,确定与所述访问对象对应的服务器;
根据所述路由信息以及所述服务器中对应的预设权限信息,确定所述访问对象的权限信息,所述权限信息用于确定所述访问对象的第二标识信息。
5.根据权利要求4所述的方法,其特征在于,所述路由信息包括所述访问对象的第一标识信息和网络位置信息。
6.一种业务随行装置,其特征在于,所述装置包括:
获取标识信息模块,用于获取访问对象的第一标识信息,所述第一标识信息表示所述访问对象的网络标识符;
确定权限模块,用于在预设权限信息中确定与所述网络标识符对应的权限信息;
赋值标识模块,用于根据所述权限信息为所述访问对象分配第二标识信息,将所述访问对象添加至与所述第二标识信息对应的权限组,所述第二标识信息用于确定所述访问对象在所述权限组中的通信权限,所述第二标识信息为被访问对象为所述访问对象匹配的统一标识信息。
7.根据权利要求6所述的装置,其特征在于,所述确定权限模块,具体用于:
根据所述网络标识符,在所述预设权限信息中确定与所述网络标识符对应的网络标识组;
根据所述网络标识组,确定所述权限信息。
8.根据权利要求7所述的装置,其特征在于,所述装置还用于:
当在预设权限信息中未确定与所述网络标识符对应的权限信息时,根据所述访客权限确定对应的第二标识信息。
9.一种计算机设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1至5中任一项所述的业务随行方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至5中任一项所述的业务随行方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410548481.3A CN118400153A (zh) | 2023-09-11 | 2023-09-11 | 业务随行方法、装置、计算机设备及存储介质 |
| CN202311170499.6A CN117201135B (zh) | 2023-09-11 | 2023-09-11 | 业务随行方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311170499.6A CN117201135B (zh) | 2023-09-11 | 2023-09-11 | 业务随行方法、装置、计算机设备及存储介质 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410548481.3A Division CN118400153A (zh) | 2023-09-11 | 2023-09-11 | 业务随行方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117201135A true CN117201135A (zh) | 2023-12-08 |
| CN117201135B CN117201135B (zh) | 2024-06-21 |
Family
ID=88983035
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311170499.6A Active CN117201135B (zh) | 2023-09-11 | 2023-09-11 | 业务随行方法、装置、计算机设备及存储介质 |
| CN202410548481.3A Pending CN118400153A (zh) | 2023-09-11 | 2023-09-11 | 业务随行方法、装置、计算机设备及存储介质 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410548481.3A Pending CN118400153A (zh) | 2023-09-11 | 2023-09-11 | 业务随行方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN117201135B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547351A (zh) * | 2017-08-11 | 2018-01-05 | 新华三技术有限公司 | 地址分配方法和装置 |
| CN108270699A (zh) * | 2017-12-14 | 2018-07-10 | 中国银联股份有限公司 | 报文处理方法、分流交换机及聚合网络 |
| US20190058709A1 (en) * | 2017-08-16 | 2019-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Tenant management method and system in a cloud computing environment |
| CN110519404A (zh) * | 2019-08-02 | 2019-11-29 | 锐捷网络股份有限公司 | 一种基于sdn的策略管理方法、装置及电子设备 |
| CN110612706A (zh) * | 2017-04-20 | 2019-12-24 | 思科技术公司 | 网络中服务质量配置的保证 |
| US20210044976A1 (en) * | 2018-08-21 | 2021-02-11 | HYPR Corp. | Secure mobile initiated authentications to web-services |
| CN112468384A (zh) * | 2020-11-24 | 2021-03-09 | 新华三技术有限公司 | 通信方法、装置、交换机、ap及ac |
| CN113542094A (zh) * | 2021-06-07 | 2021-10-22 | 新华三信息安全技术有限公司 | 访问权限的控制方法及装置 |
| CN113839949A (zh) * | 2021-09-26 | 2021-12-24 | 锐捷网络股份有限公司 | 一种访问权限管控系统、方法、芯片及电子设备 |
| CN113946837A (zh) * | 2020-07-15 | 2022-01-18 | 奇安信科技集团股份有限公司 | 数据访问和数据访问权限的配置方法、设备、存储介质 |
| US20220124033A1 (en) * | 2020-10-21 | 2022-04-21 | Huawei Technologies Co., Ltd. | Method for Controlling Traffic Forwarding, Device, and System |
| CN115412319A (zh) * | 2022-08-19 | 2022-11-29 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
-
2023
- 2023-09-11 CN CN202311170499.6A patent/CN117201135B/zh active Active
- 2023-09-11 CN CN202410548481.3A patent/CN118400153A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110612706A (zh) * | 2017-04-20 | 2019-12-24 | 思科技术公司 | 网络中服务质量配置的保证 |
| CN107547351A (zh) * | 2017-08-11 | 2018-01-05 | 新华三技术有限公司 | 地址分配方法和装置 |
| US20190058709A1 (en) * | 2017-08-16 | 2019-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Tenant management method and system in a cloud computing environment |
| CN108270699A (zh) * | 2017-12-14 | 2018-07-10 | 中国银联股份有限公司 | 报文处理方法、分流交换机及聚合网络 |
| US20210044976A1 (en) * | 2018-08-21 | 2021-02-11 | HYPR Corp. | Secure mobile initiated authentications to web-services |
| CN110519404A (zh) * | 2019-08-02 | 2019-11-29 | 锐捷网络股份有限公司 | 一种基于sdn的策略管理方法、装置及电子设备 |
| CN113946837A (zh) * | 2020-07-15 | 2022-01-18 | 奇安信科技集团股份有限公司 | 数据访问和数据访问权限的配置方法、设备、存储介质 |
| US20220124033A1 (en) * | 2020-10-21 | 2022-04-21 | Huawei Technologies Co., Ltd. | Method for Controlling Traffic Forwarding, Device, and System |
| CN112468384A (zh) * | 2020-11-24 | 2021-03-09 | 新华三技术有限公司 | 通信方法、装置、交换机、ap及ac |
| CN113542094A (zh) * | 2021-06-07 | 2021-10-22 | 新华三信息安全技术有限公司 | 访问权限的控制方法及装置 |
| CN113839949A (zh) * | 2021-09-26 | 2021-12-24 | 锐捷网络股份有限公司 | 一种访问权限管控系统、方法、芯片及电子设备 |
| CN115412319A (zh) * | 2022-08-19 | 2022-11-29 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
Non-Patent Citations (1)
| Title |
|---|
| 雍蕊萌: "基于SDN构架的校园网络的研究与设计", 中国优秀硕士论文库全文库 信息科技辑, 15 February 2021 (2021-02-15), pages 6 - 59 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117201135B (zh) | 2024-06-21 |
| CN118400153A (zh) | 2024-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112470436B (zh) | 用于提供多云连通性的系统、方法、以及计算机可读介质 | |
| US9912582B2 (en) | Multi-tenant isolation in a cloud environment using software defined networking | |
| US10735217B2 (en) | Distributed internet access in an overlay fabric using combined local and remote extranet policies | |
| US11470001B2 (en) | Multi-account gateway | |
| US10389542B2 (en) | Multicast helper to link virtual extensible LANs | |
| JP5976942B2 (ja) | ポリシーベースのデータセンタネットワーク自動化を提供するシステムおよび方法 | |
| EP4040739B1 (en) | Optical line terminal olt device virtualization method and related device | |
| US9294351B2 (en) | Dynamic policy based interface configuration for virtualized environments | |
| CN109716717A (zh) | 从软件定义的网络控制器管理虚拟端口信道交换机对等体 | |
| CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
| CN112688814B (zh) | 一种设备接入方法、装置、设备及机器可读存储介质 | |
| EP3479532B1 (en) | A data packet forwarding unit in software defined networks | |
| US11716250B2 (en) | Network scale emulator | |
| US11516184B2 (en) | Firewall service insertion across secure fabric preserving security group tags end to end with dual homed firewall | |
| WO2017162030A1 (zh) | 一种虚拟网络的生成方法和装置 | |
| CN111371664B (zh) | 一种虚拟专用网络接入方法及设备 | |
| CN112956158A (zh) | 结构数据平面监视 | |
| CN112333711A (zh) | 无线网络提供方法、装置及存储介质 | |
| WO2021034737A1 (en) | Method for data center network segmentation | |
| KR102092015B1 (ko) | 소프트웨어 정의 네트워크에서 네트워크 장비를 인식하는 방법, 장치 및 컴퓨터 프로그램 | |
| CN117201135B (zh) | 业务随行方法、装置、计算机设备及存储介质 | |
| US11888736B2 (en) | Service chaining in fabric networks | |
| US20230006998A1 (en) | Management of private networks over multiple local networks | |
| US12113698B2 (en) | Techniques for allowing software defined (SD) network fabrics to accept network devices from other fabric technologies | |
| CN118802563A (zh) | 动态网络拓扑发现方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |