WO2017186181A1

WO2017186181A1 - 网络访问控制

Info

Publication number: WO2017186181A1
Application number: PCT/CN2017/082690
Authority: WO
Inventors: 宋玉兵; 杨小朋
Original assignee: 新华三技术有限公司
Priority date: 2016-04-29
Filing date: 2017-05-02
Publication date: 2017-11-02
Also published as: JP6648308B2; EP3451612B1; CN107332812B; JP2019516320A; US11025631B2; EP3451612A1; CN107332812A; US20190132322A1; EP3451612A4

Abstract

本公开提供一种网络访问控制方法及装置。根据该网络访问控制方法，汇聚交换机可在本设备上配置ACL规则，该ACL规则中包括第一网段和第二网段，所述第一网段和所述第二网段对应同一用户组，或者对应不同用户组，或者所述第一网段对应用户组、所述第二网段对应资源组。汇聚交换机接收到接入交换机发来的来自于用户终端的用户报文之后，将该用户报文的源IP地址与该ACL规则中的第一网段进行匹配，并将该用户报文的目的IP地址与该ACL规则中的第二网段进行匹配。若所述用户报文的源IP地址与所述第一网段匹配并且所述用户报文的目的IP地址与所述第二网段匹配，则丢弃该用户报文。

Description

网络访问控制

相关申请的交叉引用

本公开要求2016年4月29日提交的中国专利申请201610288688.7的优先权，其全部内容通过引用并入本文。

背景技术

在企业网络中，出于信息安全的考虑，通常会对用户进行分类，可将所有用户划分成多个用户组。同一用户组内的用户可拥有相同的网络访问权限，不同用户组内的用户可拥有不同的网络访问权限。

可预先在接入交换机上配置VLAN(Virtual Local Area Network，虚拟局域网)和ACL(Access Control List，访问控制列表)规则，不同的ACL规则用于限定不同VLAN对应的网络访问权限。

附图说明

图1是本公开一示例性示例示出的企业网络的一种网络架构示意图。

图2是本公开一示例性示例示出的汇聚交换机对ARP请求报文的处理流程图。

图3是本公开一示例性示例示出的汇聚交换机对用户报文进行网络访问控制的处理流程图。

图4是本公开一示例性示例示出的网络访问控制装置的硬件架构示意图。

图5是本公开一示例性示例示出的网络访问控制装置的一种结构示意图。

图6是本公开一示例性示例示出的网络访问控制装置的另一种结构示意图。

图7是本公开一示例性示例示出的网络访问控制装置的又一种结构示意图。

具体实施方式

这里将结合附图详细地对示例性示例进行说明。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性示例中所描述的示例并不代表与本公开相一致的所有示例。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

本公开以下示例提出了一种网络访问控制方法，以及一种可以应用该方法的装置。

本公开示例可以应用于企业网络中，通常，企业网络中可包括以下几类设备：接入交换机、汇聚交换机和核心交换机，核心交换机可连接汇聚交换机、汇聚交换机可连接接入交换机、接入交换机可用于用户接入访问，在汇聚交换机和核心交换机上可应用overlay(交叠虚拟化)技术。

另外，一个企业网络中可包括多个子网络，例如，如图1所示，该企业网络可包括总部网络和分支网络。该总部网络包括：接入交换机101a至101e、汇聚交换机102a至102c、核心交换机103a和103b。该分支网络中包括：接入交换机201a至201e、汇聚交换机202a至202c和核心交换机203a至203b。其中，在汇聚交换机和核心交换机上可应用overlay技术，其中，上述汇聚交换机和核心交换机可以属于同一子网络，也可以属于不同的子网络。在本公开示例中，接入交换机仅泛指具有信息交换功能的网络设备，可以是以太网交换机、无线接入控制器(AC)等。该企业网络可对数据中心进行访问。如图1所示，数据中心可以包括数据中心服务器104a至104c以及数据中心交换机105a。

overlay技术是指在现有物理网络上再叠加一个虚拟网络，该虚拟网络一般是虚拟二层网络，这样可以带来配置简化，用户迁移等诸多好处。典型的overlay技术主要有VXLAN(Virtual eXtensible LAN，可扩展虚拟局域网络)、NVGRE(Network Virtual Generic Routing Encapsulation，使用通用路由封装的网络虚拟化)和STT(Stateless Transfer Tunnel，无状态传输隧道)等。

通过应用overlay技术，可将整个网络构建成一个虚拟的二层网络，如图1所示，该虚拟的二层网络不仅可以覆盖包括总部网络和分支网络的企业网络，还可以覆盖WAN(Wide Area Network，广域网)，可跨越WAN将总部网络和分支网络互联，形成了一个端到端的大二层网络。

以VXLAN技术为例，在如图1所示的企业网络中，在同一子网络中的汇聚交换机之间、不同子网络中的汇聚交换机之间、同一子网络中的汇聚交换机与核心交换机之间、不同子网络中的汇聚交换机与核心交换机之间可建立VXLAN隧道。

在控制平面上，可通过EVPN(Ethernet VPN，以太网虚拟专用网)机制来同步路由和MAC(Media Access Control，媒体访问控制)地址信息，抑制广播报文。

本公开示例的网络访问控制方法可包括以下内容：

软件定义网络(SDN)控制器可接收并保存配置信息，其中，该配置信息中包括：用户组信息，资源组信息，以及各种访问控制策略。可以通过静态配置的方式在SDN控制器上配置上述配置信息。

其中，用户组信息可以如表1所示，资源组信息可以如表2所示：

表1

用户组标识	VLAN标识	VXLAN标识	网段
用户组1	10	10	10.10.1.1/24
用户组2	20	20	10.20.1.1/24
用户组3	30	30	10.30.1.1/24

由表1可以看出，用户组信息可包括：用户组标识及其对应的VLAN(虚拟局域网络)标识、VXLAN标识和网段，可见，一个用户组可对应一个VLAN，一个VXLAN，以及一个网段。

在实际实施过程中，可以按照用户身份对所有用户进行分组。显然，还可以按照用户年龄、用户所属区域等其它方式进行分组，本公开示例对此不做限定。同一用户组内的用户可拥有相同的网络访问权限，不同用户组内的用户可拥有不同的网络访问权限。

表2

资源组标识	数据中心服务器的IP地址
资源组1	10.100.0.0/24
资源组2	10.200.0.0/24

由表2可以看出，资源组信息可包括：资源组标识以及该资源组中包括的数据中心服务器的IP(Internet Protocol，因特网协议)地址。其中，一个资源组标识可以对应至少一个数据中心服务器的IP地址，当对应多个IP地址时，这些IP地址可以是一个网段中的所有IP地址。例如，假设数据中心中有3台服务器a、b、c，资源组1可包括服务器a，资源组2可包括服务器b和c，其中，服务器b和c的IP地址属于同一网段。

各种访问控制策略可以按照表3直观的表示：

表3

	用户组1	用户组2	用户组3	资源组1	资源组2
用户组1					deny
用户组2		deny	deny
用户组3	deny			deny

由表3可以看出，各种访问控制策略可包括：同一用户组内的访问控制策略，和/或不同用户组之间的访问控制策略，和/或用户组对资源组的访问控制策略。表3中，如果在对应第 m行第n列的位置中标记了deny，则表示禁止第m行对应的用户组与第n列对应的用户组内的用户之间互相访问，或者，用于表示禁止第m行对应的用户组访问第n列对应的资源组内的数据中心服务器。其中，当第m行对应的用户组与第n列对应的用户组是同一用户组时，实现了同一用户组内的访问控制。当第m行对应的用户组与第n列对应的用户组不是同一用户组时，实现了不同用户组之间的访问控制。

显然，如果在对应第m行、第n列的位置中没有标记deny，则表示允许访问。

例如，在表3中，对应第4行第2列的位置中标记了deny，用于表示禁止用户组1与用户组3内的用户之间互相访问；对应第3行第3列的位置中标记了deny，用于表示禁止用户组2内的用户之间互相访问；对应第2行第6列的位置中标记了deny，用于表示禁止用户组1内的用户访问资源组2内的数据中心服务器，结合表2可知，即禁止访问IP地址属于网段10.200.0.0/24的数据中心服务器。

SDN控制器可将用户组信息、资源组信息和各种访问控制策略中的相应内容，发送给网络中的各个设备，例如接入交换机、汇聚交换机、核心交换机、和DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)服务器等，以便这些设备可以进行相应配置。配置过程可如下：

SDN控制器可将所有用户组对应的VLAN的标识发送给所有接入交换机。每一个接入交换机接收到VLAN的标识之后，可在本设备上配置该VLAN，将本设备上连接汇聚交换机的上行端口配置为允许发送属于该VLAN的报文，从而，接入交换机可以通过上行端口发送封装有VLAN的标识的报文。

SDN控制器可将用户组对应的VLAN的标识发送给所有汇聚交换机。每一个汇聚交换机在接收到VLAN的标识之后，在本设备上配置该VLAN，将本设备上连接接入交换机的下行端口配置为允许接收属于该VLAN的报文，从而，汇聚交换机可以从下行端口上接收封装有该VLAN的标识的报文；可在汇聚交换机上配置所有用户组对应的VXLAN，建立VLAN、VXLAN以及网段之间的对应关系；可在汇聚交换机上配置Vxlan的网关的IP地址和MAC地址。其中，可以将VXLAN对应的VXLAN虚接口配置为对应网段的网关。从而，每一个汇聚交换机上都配置有所有网段的网关。这样，无论用户移动到何处，通过接入交换机接入到哪一个汇聚交换机上，该汇聚交换机上都配置有该用户对应的IP地址所属网段的网关。

SDN控制器可将所有用户组对应的VXLAN的标识发送给所有核心交换机。每一个核心交换机接收到VXLAN的标识之后，可在本设备上配置该VXLAN及其三层网关地址。另外，核心交换机还可通过路由协议，配置与数据中心交换机等外部设备的路由连接。

SDN控制器还可将如表3所示的各种访问控制策略，发送给所有汇聚交换机。每一个汇聚交换机接收到这些内容之后，可在本设备上配置对应的ACL规则。该ACL规则中包括：第一网段和第二网段，其中，所述第一网段和所述第二网段对应同一用户组，或者对应不同用户组，或者所述第一网段对应用户组、所述第二网段对应资源组。

可见，当第一网段和第二网段对应同一用户组时，该ACL规则可用于禁止同一用户组内的用户之间互相访问，当第一网段和第二网段对应的不同用户组时，该ACL规则可用于禁止不同用户组内的用户之间互相访问，当第一网段对应用户组、第二网段对应资源组时，该ACL规则可用于禁止该用户组内的用户访问该资源组中的数据中心服务器。

例如，按照如表3所示的访问控制策略配置的ACL规则如下：

ACL1 deny source 10.10.1.1/24 destination 10.200.0.0/24

ACL2 deny source 10.20.1.1/24 destination 10.20.1.1/24

ACL3 deny source 10.20.1.1/24 destination 10.30.1.1/24

ACL4 deny source 10.30.1.1/24 destination 10.20.1.1/24

ACL5 deny source 10.30.1.1/24 destination 10.10.1.1/24

ACL6 deny source 10.10.1.1/24 destination 10.30.1.1/24

ACL7 deny source 10.30.1.1/24 destination 10.100.0.0/24

其中，ACL1可用于禁止用户组1内的用户访问资源组2内的数据中心服务器；ACL2可用于禁止用户组2内的用户之间互相访问；ACL3和ACL4可用于禁止用户组2与用户组3内的用户之间互相访问；ACL5和ACL6可用于禁止用户组1与用户组3内的用户之间互相访问；ACL7可用于禁止用户组3内的用户访问资源组1内的数据中心服务器。

SDN控制器可配置用户组与VLAN之间的对应关系。另外，认证服务器上还可配置有用户与用户组之间的对应关系，从而，在认证服务器上，可保存有用户、用户组、与VLAN之间的对应关系。

SDN控制器可将所有网段发送给DHCP服务器，同时配置vlan与地址池对应关系。可以将每一个网段的IP地址分别保存到一个地址池中，建立VLAN与地址池之间的对应关系。

为了实现同一用户组内的访问控制，可在接入交换机上开启端口隔离功能并在汇聚交换机上开启不同虚拟通道(接入交换机的物理port所属的vlan在汇聚交换机上转换成虚拟通道)之间的隔离。这样，接入交换机从用户端口接收到的报文，只能通过连接汇聚交换机的上行端口转发给汇聚交换机进行网络访问控制。另外，由于在接入交换机上开启了端口隔离功能，用户发出的ARP(Address Resolution Protocol，地址解析协议)请求报文，只能转发给汇聚交换机，因此，可为汇聚交换机上的每一个网关配置ARP代理(proxy)功能。这样，汇聚交换机接收到该ARP请求报文之后，可针对该ARP请求报文做出应答。

在完成上述配置过程之后，用户即可进行接入认证，并在认证通过后访问网络。

在任一用户进行接入认证的过程中，认证服务器可确定该用户所属的用户组，并可进一步确定该用户组对应的VLAN，将该VLAN的标识发送给接入交换机；接入交换机在接收到该VLAN的标识之后，可将本设备上用于该用户接入的用户端口加入到该VLAN中。后续，该用户即会申请IP地址。汇聚交换机接收到该用户发来的地址申请报文之后，可确定接收到该地址申请报文的用户端口所属的VLAN。然后，汇聚交换机可在该地址申请报文中封装该VLAN的标识后，将该地址申请报文发送给DHCP服务器。DHCP服务器接收到该地址申请报文之后，可查找到该地址申请报文中封装的VLAN的标识对应的网段，从该网段中选择一个未被占用的IP地址，携带在应答报文中发送给该汇聚交换机，通过该汇聚交换机将该应答报文转发给该用户，从而，该用户可以获得所属用户组对应的网段中的IP地址。

对于任一用户而言，只要该用户所属的用户组不变，那么，该用户无论从哪里接入，该用户都能获得与该用户组对应的网段中的IP地址，即，该用户的IP地址总是同一网段中的IP地址。因此，该用户发出的报文也总是能够命中包含该网段的ACL规则。

在获得了IP地址之后，该用户向IP地址为IP1(IP1即为目标IP地址)的数据中心服务器或另一用户发送用户报文之前，可先获得IP1对应的MAC地址。此时，可判断IP1与该用户的IP地址是否属于同一网段。若是，则可发送源IP地址为该用户的IP地址、目的IP地址为IP1的ARP请求报文；若不是同一网段，则可发送源IP地址为该用户的IP地址、目的IP地址为该用户的IP地址所属网段的网关IP地址的ARP请求报文。

接入交换机接收到该ARP请求报文之后，可确定接收到该ARP请求报文的用户端口所属的VLAN，并可在该ARP请求报文中封装该VLAN的标识。由于开启了端口隔离功能，因此接入交换机可将该ARP请求报文发送给汇聚交换机。

汇聚交换机接收到该ARP请求报文之后，如图2所示，会执行以下步骤：

步骤S101，在接收到接入交换机发来的ARP请求报文之后，可根据该ARP请求报文中封装的VLAN的标识，查找到该VLAN对应的网段的网关。

步骤S102，可判断该ARP请求报文的目的IP地址是否是步骤S101中确定出的网关的IP地址，若是，则执行步骤S103，否则，执行步骤S104。

步骤S103，可将该网关的MAC地址携带在ARP应答报文中发送给该接入交换机，通过该接入交换机转发给该用户。

步骤S104，在该网关配置了ARP代理功能时，可将该网关的MAC地址携带在ARP应答报文中发送给接入交换机，通过该接入交换机转发给该用户。显然，在该网关没有配置ARP代理功能时，不会做出应答。

该用户接收到该ARP应答报文之后，可建立IP1与该网关的MAC地址之间的对应关系。后续，该用户可发出目的IP地址是IP1、目的MAC地址是该网关的MAC地址的用户报文。

对该用户报文进行网络访问控制的具体流程如下：

接入交换机接收到该用户报文之后，可确定接收到该用户报文的用户端口所属的VLAN，在该用户报文中封装该VLAN的标识，之后转发给汇聚交换机。

如图3所示，汇聚交换机接收到该用户报文后，会执行以下步骤：

步骤S201，在接收到该用户报文之后，可将该用户报文的源IP地址与ACL规则中的第一网段进行比较，并可将该用户报文的目的IP地址与该ACL规则中的第二网段进行比较。

在步骤S201中，若均匹配，说明该用户报文命中该ACL规则，否则，若该用户报文的源IP地址与第一网段不匹配，和/或，该用户报文的目的IP地址与第二网段不匹配，说明该用户报文没有命中该ACL规则。

步骤S202，可判断该用户报文是否命中该ACL规则，若是，则执行步骤S203，否则，执行步骤S204。

步骤S203，可丢弃该用户报文。

步骤S204，可转发该用户报文。

具体的，步骤S204中，可根据该用户报文的目的IP地址在路由表中查找对应的出接口。若查找到的出接口为本设备的下行端口，则可通过查找到的下行端口转发该用户报文。若查找到的出接口为VXLAN隧道接口，则可查找与该用户报文中封装的VLAN的标识对应的VXLAN的标识，并对该用户报文进行VXLAN封装后进行转发。

在本公开上述示例中的VLAN，均指的是用户组对应的VLAN。

本公开上述示例的方法，实现了以下技术效果：

在汇聚交换机和核心交换机上应用overlay技术，从而，构建了一个overlay网络架构，即，一个虚拟的大二层网络，具有用户可迁移的好处。

汇聚交换机上配置有ACL规则，该ACL规则中包括：第一网段和第二网段，其中，第一网段和第二网段可以是与同一用户组或者与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段。用户无论从何处接入，在进行接入认证时，均可为该用户分配该用户所属用户组对应的VLAN，并可为该用户分配该VLAN对应的网段中的IP地址。汇聚交换机在接收到该用户的用户报文之后，会将该用户报文与该ACL规则进行匹配，若命中该ACL规则，则丢弃该用户报文，从而，不仅可以实现对资源组中的数据中心服务器的网络访问控制，而且，可以实现同一用户组内的网络访问控制，以及不同用户组之间的网络访问控制。

由于在汇聚交换机上配置ACL规则，而不是在接入交换机上配置，汇聚交换机的数量明显小于接入交换机，因而可以减少需要配置的ACL规则总数，减轻配置工作量。

只要该用户所属的用户组不变，分配给该用户的VLAN就不变，分配给该用户的IP地址所属网段也不变。因此，无论该用户移动到何处，该用户发出的用户报文总是能够命中包含该网段的ACL规则，该ACL规则不会受到用户接入位置变化的影响，避免了用户接入位置的变化所导致的ACL规则的更新。而且，当需要实现同一用户组内的网络访问控制时，只需一条ACL规则即可实现，此时，该ACL规则中的第一网段和第二网段均为该用户组对应的网段，从而极大的减少了需要配置的ACL规则数量，节约了ACL资源。

由于构建了overlay的网络架构，因此，可以应用于超大规模网络和跨WAN的网络中。

与前述网络访问控制方法的示例相对应，本公开还提供了网络访问控制装置的示例。

本公开网络访问控制装置的示例可以应用在汇聚交换机上。装置示例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图4所示，为本公开网络访问控制装置的一种硬件结构图，该网络访问控制装置包括处理器10以及机器可读存储介质20。

机器可读存储介质20存储网络访问控制逻辑对应的机器可读指令。

处理器10与机器可读存储介质20通信，读取和执行机器可读存储介质20中存储的机器可读指令，实现如上参照图3描述的网络访问控制方法。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(Radom Access Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

本公开示例中还提供一种网络访问控制装置，该网络访问控制装置可以应用在汇聚交换机上。请参考图5，网络访问控制装置50中包括以下模块。

配置模块501，用于在汇聚交换机上配置ACL规则，该ACL规则中包括：第一网段和第二网段，其中，第一网段和第二网段对应同一用户组，或者对应不同用户组，或者，第一网段对应用户组、第二网段对应资源组。

接收模块502，用于接收接入交换机发来的来自于用户终端的用户报文。

匹配模块503，用于在接收模块502接收到接入交换机发来的用户报文之后，将该用户报文的源IP地址与该ACL规则中的第一网段进行比较，并将该用户报文的目的IP地址与该ACL规则中的第二网段进行比较；其中，该用户报文的源IP地址为与用户所属用户组绑定的虚拟局域网(VLAN)所对应的网段中的IP地址。

处理模块504，用于若匹配模块503判断出所述用户报文的源IP地址与所述第一网段匹配、所述用户报文的目的IP地址与所述第二网段匹配，则丢弃该用户报文。

接收模块502，还用于接收SDN控制器发来的用户组对应的VLAN的标识。

配置模块501，还用于在接收模块502接收到VLAN的标识之后，在汇聚交换机上配置用户组对应的VLAN、VXLAN；还用于配置所述VXLAN的网关IP地址和MAC地址。

如图6所示，网络访问控制装置50还包括：关系建立模块505，用于建立VLAN、VXLAN以及网段之间的对应关系。

其中，处理模块504，还用于若匹配模块503判断出该用户报文的源IP地址与第一网段不匹配，和/或，该用户报文的目的IP地址与第二网段不匹配，则根据该目的IP地址在路由表中查找对应的出接口，若查找到的出接口为本设备的下行端口，则通过查找到的下行端口转发该用户报文，若查找到的出接口为VXLAN隧道接口，则查找与该用户报文中封装的VLAN的标识对应的VXLAN的标识，并对该用户报文进行VXLAN封装后进行转发。

另外，如图7所示，上述网络访问控制装置50中还包括：网关确定模块506和发送模块507。

接收模块502，还用于接收接入交换机发来的针对目标IP地址的ARP请求报文。

网关确定模块506，用于在接收模块502接收到该ARP请求报文之后，根据该ARP请求报文中封装的VLAN的标识确定该VLAN对应的网段的网关。

发送模块507，用于若该ARP请求报文的目的IP地址是所确定出的网关的IP地址，则将所确定出的网关的MAC地址携带在ARP应答报文中发送给接入交换机，若该ARP请求报文的目的IP地址不是所确定出的网关的IP地址，则在所确定出的网关配置了ARP代理功能时，将所确定出的网关的MAC地址携带在ARP应答报文中发送给接入交换机，以使该用户终端接收到该接入交换机转发来的该ARP应答报文之后，建立该目标IP地址与该网关的MAC地址的对应关系，向该接入交换机发送目的IP地址为该目标IP地址、目的MAC地址是所确定出的网关的MAC地址的用户报文。

其中，当所述目标IP地址与所述ARP请求报文的源IP地址属于同一网段时，所述网关确定模块506确定所述ARP请求报文的目的IP地址为所述目标IP地址，当所述目标IP地址与所述ARP请求报文的源IP地址属于不同网段时，所述网关确定模块606确定所述ARP请求报文的目的IP地址为所确定出的网关的IP地址。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置示例而言，由于其基本对应于方法示例，所以相关之处参见方法示例的部分说明即可。以上所描述的装置示例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

在本公开使用的术语是仅仅出于描述特定示例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

以上所述仅为本公开的较佳示例而已，并不用以限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开保护的范围之内。

Claims

一种网络访问控制方法，包括：

汇聚交换机在本设备上配置访问控制列表(ACL)规则，其中，所述ACL规则中包括第一网段和第二网段，所述第一网段和所述第二网段对应同一用户组，或者对应不同用户组，或者所述第一网段对应用户组、所述第二网段对应资源组；

所述汇聚交换机接收接入交换机发来的来自于用户终端的用户报文；

所述汇聚交换机将所述用户报文的源互联网协议(IP)地址与所述ACL规则中的所述第一网段进行比较，并将所述用户报文的目的IP地址与所述ACL规则中的所述第二网段进行比较；其中，所述用户报文的源IP地址为与用户所属用户组绑定的虚拟局域网(VLAN)所对应的网段中的IP地址；

若所述用户报文的源IP地址与所述第一网段匹配并且所述用户报文的目的IP地址与所述第二网段匹配，则所述汇聚交换机丢弃所述用户报文。
根据权利要求1所述的方法，还包括：

所述汇聚交换机接收软件定义网络SDN控制器发来的用户组对应的VLAN的标识；

所述汇聚交换机在本设备上配置用户组对应的VLAN、VXLAN，建立所述VLAN、VXLAN以及网段之间的对应关系，并配置所述VXLAN的网关IP地址和媒体接入控制(MAC)地址。
根据权利要求2所述的方法，还包括：

若所述用户报文的源IP地址与所述第一网段不匹配，和/或，所述用户报文的目的IP地址与所述第二网段不匹配，则所述汇聚交换机根据所述目的IP地址在路由表中查找对应的出接口；

在查找到的出接口为本设备的下行端口的情况下，所述汇聚交换机通过查找到的下行端口转发所述用户报文；

在查找到的出接口为VXLAN隧道接口的情况下，所述汇聚交换机查找与所述用户报文中封装的VLAN的标识对应的VXLAN的标识，并对所述用户报文进行VXLAN封装后进行转发。
根据权利要求2所述的方法，还包括：

在接收所述接入交换机发来的用户报文之前，所述汇聚交换机接收所述接入交换机发来的针对目标IP地址的地址解析协议ARP请求报文；

所述汇聚交换机根据该ARP请求报文中封装的VLAN的标识确定该VLAN对应的网段的网关；

所述汇聚交换机根据所述目标IP地址和所述ARP请求报文的源IP地址，确定所述ARP请求报文的目的IP地址。
根据权利要求4所述的方法，还包括：

若所述ARP请求报文的目的IP地址是所述确定出的网关的IP地址，则所述汇聚交换机将所述确定出的网关的MAC地址携带在ARP应答报文中发送给所述接入交换机；

若所述ARP请求报文的目的IP地址不是所述确定出的网关的IP地址，则在所述确定出的网关配置了ARP代理功能时，所述汇聚交换机将所述确定出的网关的MAC地址携带在ARP应答报文中发送给所述接入交换机，以使所述用户终端接收到所述接入交换机转发来的所述ARP应答报文之后，建立所述目标IP地址与该网关的MAC地址的对应关系，向所述接入交换机发送目的IP地址为所述目标IP地址、目的MAC地址是所述确定出的网关的MAC地址的所述用户报文。
根据权利要求4所述的方法，其中，根据所述目标IP地址和所述ARP请求报文的源IP地址，确定所述ARP请求报文的目的IP地址，包括：

当所述目标IP地址与所述ARP请求报文的源IP地址属于同一网段时，所述汇聚交换机确定所述ARP请求报文的目的IP地址为所述目标IP地址，

当所述目标IP地址与所述ARP请求报文的源IP地址属于不同网段时，所述汇聚交换机确定所述ARP请求报文的目的IP地址为所述确定出的网关的IP地址。
一种网络访问控制装置，包括处理器以及机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可读指令，所述处理器被所述机器可读指令促使：

在汇聚交换机上配置访问控制列表(ACL)规则，其中，所述ACL规则中包括第一网段和第二网段，所述第一网段和所述第二网段对应同一用户组，或者对应不同用户组，或者所述第一网段对应用户组、所述第二网段对应资源组；

接收接入交换机发来的来自于用户终端的用户报文；

将所述用户报文的源互联网协议(IP)地址与所述ACL规则中的所述第一网段进行比较，并将所述用户报文的目的IP地址与所述ACL规则中的所述第二网段进行比较；其中，所述用户报文的源IP地址为与用户所属用户组绑定的虚拟局域网(VLAN)所对应的网段中的IP地址；

若所述用户报文的源IP地址与所述第一网段匹配并且所述用户报文的目的IP地址与所述第二网段匹配，则丢弃所述用户报文。
根据权利要求7所述的网络访问控制装置，其中，所述机器可读指令还促使所述处理器：

接收软件定义网络SDN控制器发来的用户组对应的VLAN的标识；

在所述汇聚交换机上配置用户组对应的VLAN、VXLAN，建立所述VLAN、VXLAN以及网段之间的对应关系，并配置所述VXLAN的网关IP地址和媒体接入控制(MAC)地址。
根据权利要求8所述的装置，其中，所述机器可读指令还促使所述处理器：

若所述用户报文的源IP地址与所述第一网段不匹配，和/或，所述用户报文的目的IP地址与所述第二网段不匹配，则根据所述目的IP地址在路由表中查找对应的出接口；

在查找到的出接口为所述汇聚交换机的下行端口的情况下，通过查找到的下行端口转发所述用户报文，

在查找到的出接口为VXLAN隧道接口的情况下，查找与所述用户报文中封装的VLAN的标识对应的VXLAN的标识，并对所述用户报文进行VXLAN封装后进行转发。
根据权利要求8所述的装置，其中，所述机器可读指令还促使所述处理器：

在接收所述接入交换机发来的用户报文之前，接收所述接入交换机发来的针对目标IP地址的地址解析协议ARP请求报文；

根据该ARP请求报文中封装的VLAN的标识确定该VLAN对应的网段的网关；

根据所述目标IP地址和所述ARP请求报文的源IP地址，确定所述ARP请求报文的目的IP地址。
根据权利要求10所述的装置，其中，所述机器可读指令还促使所述处理器：

若所述ARP请求报文的目的IP地址是所确定出的网关的IP地址，则将所确定出的网关的MAC地址携带在ARP应答报文中发送给所述接入交换机；

若所述ARP请求报文的目的IP地址不是所确定出的网关的IP地址，则在所确定出的网关配置了ARP代理功能时，将所确定出的网关的MAC地址携带在ARP应答报文中发送给所述接入交换机，以使所述用户终端接收到所述接入交换机转发来的所述ARP应答报文之后，建立所述目标IP地址与该网关的MAC地址的对应关系，向所述接入交换机发送目的IP地址为所述目标IP地址、目的MAC地址是所确定出的网关的MAC地址的所述用户报文。
根据权利要求10所述的装置，其中，在根据所述目标IP地址和所述ARP请求报文的源IP地址确定所述ARP请求报文的目的IP地址时，所述机器可读指令还促使所述处理器：

当所述目标IP地址与所述ARP请求报文的源IP地址属于同一网段时，确定所述ARP请求报文的目的IP地址为所述目标IP地址，

当所述目标IP地址与所述ARP请求报文的源IP地址属于不同网段时，确定所述ARP请求报文的目的IP地址为所确定出的网关的IP地址。