專利名稱:一種處理源角色信息的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,特別涉及一種處理源角色信息的方法和裝置。
背景技術(shù):
為了保證網(wǎng)絡(luò)的安全�,當(dāng)用戶接入網(wǎng)絡(luò)時(shí),需要對(duì)用戶進(jìn)行認(rèn)證�,認(rèn)證后還需要通過接入控制手段即通過配置接入控制列表(ACL)對(duì)用戶的訪問權(quán)限進(jìn)行限制。傳統(tǒng)的接入控制方法主要是基于IP地址��,但會(huì)造成ACL配置數(shù)量過多以及ip地址變化所帶來的配置管理工作量大的缺點(diǎn)����。于是,基于角色的接入控制方法被提出����,其基本思想是針對(duì)用戶分配源角色標(biāo)簽(tag)�,針對(duì)服務(wù)器分配目的角色tag���,ACL相應(yīng)基于源角色tag和目的角色 tag進(jìn)行接入控制���。這種基于角色的方式相當(dāng)于通過角色信息對(duì)基于ip地址的ACL進(jìn)行聚合,大大縮減了 ACL配置的數(shù)量�����,且不管ip地址如何變化�����,角色標(biāo)簽不會(huì)發(fā)生變化,基于角色的ACL均不會(huì)發(fā)生變化,顯然大大降低了配置管理的工作量�。基于角色的接入控制架構(gòu)可以如圖1所示���,用戶設(shè)備在通過認(rèn)證后獲得源角色���, 該源角色信息存儲(chǔ)在入口(digress)設(shè)備中��,資源側(cè)設(shè)備(圖中以服務(wù)器為例)在通過認(rèn)證后獲得目的角色���,該目的角色信息存儲(chǔ)在出口(Egress)設(shè)備中,并形成基于角色的接入控制列表(RBACL)�。用戶設(shè)備發(fā)送報(bào)文至hgress設(shè)備,Ingress設(shè)備將該報(bào)文中攜帶用戶設(shè)備的源角色信息��,該報(bào)文在后續(xù)轉(zhuǎn)發(fā)過程中都攜帶該源角色信息直至到達(dá)Egress設(shè)備�。 Egress設(shè)備接收到該報(bào)文后,確定該報(bào)文的目的角色信息�,根據(jù)源角色信息和目的角色信息匹配RBACL,根據(jù)匹配結(jié)果對(duì)該報(bào)文進(jìn)行接入控制��,包括允許轉(zhuǎn)發(fā)��、拒絕轉(zhuǎn)發(fā)或轉(zhuǎn)發(fā)速率限制等���。需要說明的是�����,在圖1所示架構(gòu)中���,digress和Egress設(shè)備可以在二層網(wǎng)絡(luò)也可以在三層網(wǎng)絡(luò)中����,Ingress設(shè)備與用戶設(shè)備之間以及Egress設(shè)備與服務(wù)器之間可以存在普通網(wǎng)絡(luò)設(shè)備����,Ingress設(shè)備與Egress設(shè)備之間可以存在中間網(wǎng)絡(luò)設(shè)備。在現(xiàn)有的實(shí)現(xiàn)方法中�����,源角色信息在報(bào)文中的攜帶方式主要存在以下幾種第一種通過物理層攜帶的方式����。即通過報(bào)文中8個(gè)字節(jié)的以太網(wǎng)前導(dǎo)碼攜帶。 但這種方式需要修改標(biāo)準(zhǔn)以太網(wǎng)的前導(dǎo)碼��,當(dāng)前設(shè)備的物理層功能并不支持�,需要進(jìn)行整網(wǎng)升級(jí),升級(jí)成本高��,難以過渡和推廣����。第二種通過鏈路層攜帶的方式���。即通過報(bào)文中新構(gòu)造的角色控制信息字段攜帶�����。 但這種方式由于構(gòu)造了新的字段�,當(dāng)前設(shè)備并不支持,需要進(jìn)行整網(wǎng)升級(jí)��,升級(jí)成本高����。第三種通過IPv4選項(xiàng)(Option)字段攜帶的方式。即在IPv4字段中定義一個(gè)新的Option類型來攜帶源角色信息�����,同樣需要對(duì)整網(wǎng)進(jìn)行升級(jí)處理���,使得所有設(shè)備都能夠?qū)π略黾拥腛ption類型進(jìn)行處理���,升級(jí)代價(jià)高,且不支持除IPv4之外的其它類型報(bào)文�����。第四種通過IPv6 Option字段攜帶的方式。即在IPv6字段中定義一個(gè)新的IPv6 擴(kuò)展頭�����,即SGT選項(xiàng)頭來攜帶源角色信息��。但SGT選項(xiàng)頭的硬件插入需要芯片支持新的功能����,同樣需要進(jìn)行芯片功能的升級(jí),升級(jí)代價(jià)高�����,且不支持除IPv6之外的其它類型報(bào)文���?���?梢钥闯?���,現(xiàn)有技術(shù)中的上述幾種方式都需要對(duì)現(xiàn)有設(shè)備的功能進(jìn)行較大改動(dòng)�, 升級(jí)成本較高���。
發(fā)明內(nèi)容
本發(fā)明提供了一種處理源角色信息的方法和裝置,以便于較好的與現(xiàn)有設(shè)備的功能兼容�,降低升級(jí)成本。一種處理源角色信息的方法�,應(yīng)用于包含入口 digress設(shè)備和出口 Egress設(shè)備的網(wǎng)絡(luò),該方法包括所述Egress設(shè)備接收到來自用戶設(shè)備的數(shù)據(jù)報(bào)文后�,根據(jù)所述數(shù)據(jù)報(bào)文的來源信息確定源角色標(biāo)簽tag后,將該源角色tag作為數(shù)據(jù)報(bào)文的內(nèi)層虛擬局域網(wǎng)VLAN標(biāo)簽插入數(shù)據(jù)報(bào)文后��,轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文�����;其中�,所述源角色tag對(duì)應(yīng)所述用戶設(shè)備的角色;如果所述Egress設(shè)備和Egress設(shè)備之間存在中間設(shè)備����,則所述中間設(shè)備在對(duì)所述數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)過程中,保持作為內(nèi)層VLAN標(biāo)簽的源角色tag不變直至轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文至Egress設(shè)備�����;所述Egress設(shè)備從所述數(shù)據(jù)報(bào)文中獲取作為內(nèi)層VLAN標(biāo)簽的源角色tag,用于對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行基于角色的接入控制�����。一種入口 Ingress設(shè)備,該Ingress設(shè)備包括報(bào)文接收單元��,用于接收來自用戶設(shè)備的數(shù)據(jù)報(bào)文��;角色標(biāo)簽確定單元�,用于根據(jù)所述數(shù)據(jù)報(bào)文的來源信息確定源角色標(biāo)簽tag ;其中所述源角色tag對(duì)應(yīng)所述用戶設(shè)備的角色�����;角色標(biāo)簽插入單元�����,用于將所述源角色tag作為所述數(shù)據(jù)報(bào)文的內(nèi)層虛擬局域網(wǎng) VLAN標(biāo)簽插入所述數(shù)據(jù)報(bào)文����;轉(zhuǎn)發(fā)處理單元,用于轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文�����。一種出口 Egress設(shè)備,該Egress設(shè)備包括報(bào)文接收單元�,用于接收來自用戶側(cè)的數(shù)據(jù)報(bào)文;角色標(biāo)簽獲取單元�����,用于從所述數(shù)據(jù)報(bào)文中獲取作為內(nèi)層虛擬局域網(wǎng)VLAN標(biāo)簽的源角色標(biāo)簽tag ���;其中,所述源角色tag對(duì)應(yīng)發(fā)送所述數(shù)據(jù)報(bào)文的用戶設(shè)備的角色����;接入控制單元,用于利用所述源角色tag對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行基于角色的接入控制���。一種中間設(shè)備�,該中間設(shè)備包括報(bào)文接收單元���,用于接收來自入口 hgress設(shè)備或其它中間設(shè)備的數(shù)據(jù)報(bào)文����;標(biāo)簽識(shí)別單元�,用于對(duì)所述數(shù)據(jù)報(bào)文的內(nèi)層虛擬局域網(wǎng)VLAN標(biāo)簽進(jìn)行識(shí)別�;轉(zhuǎn)發(fā)處理單元����,用于在對(duì)所述數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)過程中,如果所述標(biāo)簽識(shí)別單元識(shí)別出所述內(nèi)層VLAN標(biāo)簽為源角色標(biāo)簽tag��,則保持所述內(nèi)層VLAN標(biāo)簽不變�;其中,所述源角色tag對(duì)應(yīng)發(fā)送數(shù)據(jù)報(bào)文的用戶設(shè)備的角色��。由以上技術(shù)方案可以看出����,本發(fā)明通過在hgress設(shè)備上將源角色tag作為報(bào)文的內(nèi)層VLAN標(biāo)簽插入報(bào)文,只需設(shè)置中間設(shè)備對(duì)攜帶源角色tag的內(nèi)層VLAN標(biāo)簽保持不變���,Egress設(shè)備從數(shù)據(jù)報(bào)文中獲取作為內(nèi)層VLAN標(biāo)簽的源角色tag從而進(jìn)行基于角色的接入控制即可���。本發(fā)明利用了網(wǎng)絡(luò)設(shè)備已有的QinQ功能,無需對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備的功能進(jìn)行較大改動(dòng)�����,降低了網(wǎng)絡(luò)的升級(jí)成本���。
圖1為基于角色的接入控制架構(gòu)示意圖�����;圖2為第一種應(yīng)用場景的示意圖��;圖3為第二種應(yīng)用場景的示意圖�����;圖4為第三種應(yīng)用場景的示意圖����;圖5為第四種應(yīng)用場景的示意圖���;圖6為本發(fā)明提供的hgress設(shè)備采用認(rèn)證方式配置對(duì)應(yīng)關(guān)系的第一個(gè)實(shí)例示意圖�����;圖7為本發(fā)明提供的hgress設(shè)備采用認(rèn)證方式配置對(duì)應(yīng)關(guān)系的第二個(gè)實(shí)例示意圖���;圖8為本發(fā)明提供的Egress設(shè)備采用認(rèn)證的方式配置RBACL的方法示意圖;圖9為本發(fā)明提供的hgress設(shè)備的一種結(jié)構(gòu)示意圖����;圖10為本發(fā)明提供的hgress設(shè)備的另一種結(jié)構(gòu)示意圖�����;圖11為本發(fā)明提供的Egress設(shè)備的結(jié)構(gòu)示意圖�����;圖12為本發(fā)明提供的中間設(shè)備的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式為了使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述�����。本發(fā)明的核心思想在于Jngress設(shè)備根據(jù)接收到的報(bào)文的來源信息確定源角色 tag后����,將該源角色tag作為報(bào)文的內(nèi)層VLAN標(biāo)簽插入報(bào)文中后進(jìn)行轉(zhuǎn)發(fā)�,其中該色 tag對(duì)應(yīng)用戶設(shè)備的角色��;如果hgress設(shè)備與Egress設(shè)備之間存在中間設(shè)備���,則該中間設(shè)備在轉(zhuǎn)發(fā)過程中保持作為內(nèi)層VLAN標(biāo)簽的源角色tag不變直至轉(zhuǎn)發(fā)該報(bào)文至Egress設(shè)備;Egress設(shè)備從報(bào)文獲取作為內(nèi)層VLAN標(biāo)簽的源角色tag�,用于對(duì)數(shù)據(jù)報(bào)文進(jìn)行基于角色的接入控制。也就是說����,本發(fā)明利用了網(wǎng)絡(luò)設(shè)備已有的QinQ功能,將源角色tag以報(bào)文的內(nèi)層 VLAN標(biāo)簽的形式插入報(bào)文��,只需設(shè)置中間設(shè)備對(duì)攜帶源角色tag的內(nèi)層VLAN標(biāo)簽保持不變�,Egress設(shè)備從報(bào)文中獲取作為內(nèi)層VLAN標(biāo)簽的源角色tag即可�����。其中����,上述方法中涉及的報(bào)文來源信息可以為接收報(bào)文的入端口信息、報(bào)文的源地址信息����、報(bào)文的四層端口號(hào)�����、三層協(xié)議號(hào)或應(yīng)用層協(xié)議號(hào)等��。Egress設(shè)備對(duì)數(shù)據(jù)報(bào)文進(jìn)行基于角色的接入控制可以包括從接收到的數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽中獲取源角色tag���,并確定該報(bào)文的目的角色信息,根據(jù)源角色tag和目的角色信息匹配RBACL�,并按照匹配結(jié)果對(duì)報(bào)文進(jìn)行相應(yīng)的接入控制處理下面結(jié)合具體的實(shí)施例對(duì)上述方法進(jìn)行詳細(xì)描述。根據(jù)圖1所示的基于角色的接入控制架構(gòu)主要可以包括以下四種應(yīng)用場景第一種應(yīng)用場景如圖2所示�����,用戶設(shè)備直接接入hgress設(shè)備�����,然后再經(jīng)過二層網(wǎng)絡(luò)連接中間設(shè)備�����,通過中間設(shè)備接入三層網(wǎng)絡(luò)����。服務(wù)器直接接入Egress設(shè)備�,再經(jīng)過二層網(wǎng)絡(luò)連接中間設(shè)備����,通過中間設(shè)備接入三層網(wǎng)絡(luò)。hgress和Egress之間路徑上所有設(shè)備均可以作為中間設(shè)備���。hgress設(shè)備和Egress設(shè)備直接與接入認(rèn)證服務(wù)器進(jìn)行交互����。
8
第二種應(yīng)用場景如圖3所示��,用戶設(shè)備通過普通設(shè)備接入digress設(shè)備�,然后再經(jīng)過二層網(wǎng)絡(luò)連接中間設(shè)備,通過中間設(shè)備接入三層網(wǎng)絡(luò)����。服務(wù)器通過普通設(shè)備接入 Egress設(shè)備����,再經(jīng)過二層網(wǎng)絡(luò)連接中間設(shè)備,通過中間設(shè)備接入三層網(wǎng)絡(luò)��。digress和 Egress之間路徑上所有設(shè)備均可以作為中間設(shè)備。普通設(shè)備與接入認(rèn)證服務(wù)器進(jìn)行交互����, 并將通過認(rèn)證的角色信息發(fā)送給hgress設(shè)備。第三種應(yīng)用場景如圖4所示����,與第一種應(yīng)用場景不同的是用戶設(shè)備和服務(wù)器分別直接接入hgress設(shè)備和Egress設(shè)備,Ingress設(shè)備和Egress設(shè)備進(jìn)行三層轉(zhuǎn)發(fā)處理�����。第四種應(yīng)用場景如圖5所示�,與第三種應(yīng)用場景不同的是用戶設(shè)備和服務(wù)器通過普通設(shè)備分別連接hgress設(shè)備和Egress設(shè)備,普通設(shè)備與接入認(rèn)證服務(wù)器進(jìn)行交互���, 并將通過認(rèn)證的角色信息發(fā)送給hgress設(shè)備��。上述場景中涉及的普通設(shè)備是不具備標(biāo)簽插入和處理功能的網(wǎng)絡(luò)設(shè)備��。本發(fā)明中�����,Ingress設(shè)備中存儲(chǔ)有報(bào)文的來源信息與源角色tag之間的對(duì)應(yīng)關(guān)系�����, 以及Egress設(shè)備中的RBACL可以采用靜態(tài)配置的方式���,也可以采用動(dòng)態(tài)認(rèn)證的方式���。下面對(duì)采用動(dòng)態(tài)認(rèn)證的方式進(jìn)行詳細(xì)描述。對(duì)于hgress設(shè)備而言�,采用認(rèn)證的方式配置報(bào)文的來源信息與源角色tag之間的對(duì)應(yīng)關(guān)系的方法可以包括確定通過認(rèn)證的設(shè)備角色信息和認(rèn)證報(bào)文的來源信息,將該來源信息與源角色tag之間的對(duì)應(yīng)關(guān)系下發(fā)給硬件層面����。其中來源信息可以包括接收報(bào)文的入端口信息、報(bào)文的源地址信息����、報(bào)文的四層端口號(hào)、三層協(xié)議號(hào)或應(yīng)用層協(xié)議號(hào)等���。根據(jù)不同的應(yīng)用場景,hgress設(shè)備確定通過認(rèn)證的設(shè)備角色信息和認(rèn)證報(bào)文的來源信息的方式也不相同���,下面分別列舉兩個(gè)實(shí)例�����。實(shí)例一如果用戶設(shè)備直接接入hgress設(shè)備����,Ingress設(shè)備與接入認(rèn)證服務(wù)器直接交互,即對(duì)應(yīng)上述第一種應(yīng)用場景和第三種應(yīng)用場景���,則hgress采用認(rèn)證的方式配置報(bào)文的來源信息與源角色tag之間的對(duì)應(yīng)關(guān)系的過程如圖6所示���,可以包括以下步驟步驟601 用戶設(shè)備向hgress設(shè)備發(fā)起認(rèn)證請求。步驟602 =Ingress設(shè)備將認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器����。步驟603 接入認(rèn)證服務(wù)器在用戶設(shè)備通過認(rèn)證后,將用戶設(shè)備的角色信息下發(fā)給Ingress設(shè)備���。步驟604 =Ingress設(shè)備將接收認(rèn)證請求的入端口與該角色信息對(duì)應(yīng)的源角色tag 之間的對(duì)應(yīng)關(guān)系下發(fā)給硬件層面����。該實(shí)施例中����,將該入端口作為該報(bào)文的來源信息����。在下發(fā)該對(duì)應(yīng)關(guān)系時(shí)�����,可以將源角色tag存儲(chǔ)在入端口所包含的內(nèi)層VLAN字段中��。由于hgress設(shè)備本身已經(jīng)具備QinQ 功能�,因此,的入端口存在內(nèi)層VLAN字段用于通過入端口接收到報(bào)文后�����,將該內(nèi)層VLAN字段中的內(nèi)容作為內(nèi)層VLAN標(biāo)簽插入報(bào)文中�。實(shí)例二 如果用戶設(shè)備通過普通設(shè)備接入hgress設(shè)備,普通設(shè)備與接入認(rèn)證服務(wù)器進(jìn)行交互��,即對(duì)應(yīng)上述第二種應(yīng)用場景和第四種應(yīng)用場景�,則hgress采用認(rèn)證的方式配置報(bào)文的來源信息與源角色tag之間的對(duì)應(yīng)關(guān)系的過程如圖7所示,可以包括以下步驟步驟701 用戶設(shè)備向普通設(shè)備發(fā)起認(rèn)證請求�。步驟702 普通設(shè)備將認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器。
步驟703 接入認(rèn)證服務(wù)器在用戶設(shè)備通過認(rèn)證后�����,將用戶設(shè)備的角色信息下發(fā)給普通設(shè)備�。步驟704 普通設(shè)備將用戶設(shè)備的角色信息與認(rèn)證請求的源地址信息之間的對(duì)應(yīng)關(guān)系發(fā)送給hgress設(shè)備。步驟705 Jngress設(shè)備將用戶設(shè)備的角色信息對(duì)應(yīng)的源角色tag與源地址信息之間的對(duì)應(yīng)關(guān)系下發(fā)給硬件層面��。該實(shí)施例中����,將報(bào)文的源地址信息作為該報(bào)文的來源信息,可以采用源IP地址或源MAC地址���。在下發(fā)該對(duì)應(yīng)關(guān)系時(shí)��,可以將源角色tag與源地址信息之間的對(duì)應(yīng)關(guān)系存儲(chǔ)為硬件表項(xiàng)的形式�����,后續(xù)Egress設(shè)備根據(jù)接收到的報(bào)文的源地址信息查找該硬件表項(xiàng)即可確定對(duì)應(yīng)的源角色tag��。對(duì)于Egress設(shè)備而言�,采用認(rèn)證的方式配置RBACL的方法可以如圖8所示��,包括以下步驟步驟801 =Egress設(shè)備接收資源側(cè)設(shè)備的認(rèn)證請求�����。該認(rèn)證請求可以是資源側(cè)設(shè)備直接發(fā)送來的,也可以是資源側(cè)設(shè)備通過普通設(shè)備發(fā)送來的��。步驟802 =Egress設(shè)備將認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器����。步驟803 接入認(rèn)證服務(wù)器在發(fā)送認(rèn)證請求的服務(wù)器通過認(rèn)證后,將通過認(rèn)證的資源側(cè)設(shè)備的角色信息發(fā)送給Egress設(shè)備���。步驟804 =Egress設(shè)備將認(rèn)證請求的源地址信息與該角色信息之間的對(duì)應(yīng)關(guān)系下發(fā)到硬件層面����。該源地址信息與角色信息之間的對(duì)應(yīng)關(guān)系之所以下發(fā)到硬件層面���,是為了 Egress 設(shè)備后續(xù)對(duì)報(bào)文進(jìn)行接入控制時(shí)���,根據(jù)接收到的報(bào)文的目的地址信息查找該對(duì)應(yīng)關(guān)系從而確定對(duì)應(yīng)的目的角色,該部分內(nèi)容將在后續(xù)描述中涉及�����。另外���,該源地址信息與該角色信息之間的對(duì)應(yīng)關(guān)系可以存儲(chǔ)到硬件表項(xiàng)中���,例如二層轉(zhuǎn)發(fā)表或三層轉(zhuǎn)發(fā)表等����,該角色信息在表項(xiàng)中的區(qū)域不影響其它轉(zhuǎn)發(fā)功能�����,含義唯一����, 空間專用��,從而避免功能干擾�。步驟805 =Egress設(shè)備向接入認(rèn)證服務(wù)器請求該角色信息作為目的角色的基于角色的控制策略。步驟806 接入認(rèn)證服務(wù)器向Egress設(shè)備下發(fā)以該角色信息作為目的角色的基于角色的控制策略�。通常,在接入認(rèn)證服務(wù)器中會(huì)預(yù)先配置有所有基于角色的控制策略�,當(dāng)接收到步驟805的請求后,會(huì)將所有以該角色信息為目的角色的基于角色的控制策略下發(fā)給Egress 設(shè)備�����,該基于角色的控制策略中各表項(xiàng)的內(nèi)容包含源角色信息����、目的角色信息和接入控制處理方式(允許轉(zhuǎn)發(fā)����、拒絕轉(zhuǎn)發(fā)���、轉(zhuǎn)發(fā)速率限制�����、鏡像�����、重定向����、優(yōu)先級(jí)重標(biāo)記��、統(tǒng)計(jì)����、進(jìn)一步匹配其它報(bào)文字段等接入控制處理方式)。步驟807 =Egress設(shè)備基于角色的控制策略中的源角色信息替換為對(duì)應(yīng)的源角色 tag后,將RBACL下發(fā)至硬件層面��。由于此時(shí)下發(fā)至硬件層面的RBACL中包含的源角色tag�����,即便用戶設(shè)備的地址發(fā)生變化����,但由于用戶設(shè)備的角色信息����,進(jìn)而源角色tag不變,因此����,該RBACL保持不變,因此用戶設(shè)備的地址發(fā)生的變化不會(huì)對(duì)轉(zhuǎn)發(fā)平面產(chǎn)生任何沖擊�����。另外����,該RBACL的下發(fā)可以基于出端口,也可以基于全局。下面對(duì)硬件層面在報(bào)文轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)的接入控制進(jìn)行具體描述�����。對(duì)于Egress設(shè)備���,接收到來自用戶設(shè)備的數(shù)據(jù)報(bào)文后���,根據(jù)該數(shù)據(jù)報(bào)文的來源信息確定源角色tag,將該源角色tag作為該數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽插入數(shù)據(jù)報(bào)文中后進(jìn)行轉(zhuǎn)發(fā)����。其中,根據(jù)hgress設(shè)備所處的網(wǎng)絡(luò)��,如果處于二層網(wǎng)絡(luò)�,則進(jìn)行二層轉(zhuǎn)發(fā)處理, 如果處于三層網(wǎng)絡(luò)則進(jìn)行三層轉(zhuǎn)發(fā)處理��。在Egress設(shè)備中對(duì)數(shù)據(jù)報(bào)文插入的源角色tag是與用戶設(shè)備的角色相對(duì)應(yīng)的�����, 其中用戶設(shè)備可以是實(shí)際的網(wǎng)絡(luò)實(shí)體���,也可以是邏輯實(shí)體���,例如一個(gè)網(wǎng)絡(luò)設(shè)備中的應(yīng)用協(xié)議����,針對(duì)不同的應(yīng)用協(xié)議可以設(shè)置不同的角色����,對(duì)應(yīng)不同的源角色tag。digress設(shè)備插入源角色tag可以在入端口處接收到該數(shù)據(jù)報(bào)文時(shí)執(zhí)行��,也可以在出端口處轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文時(shí)執(zhí)行��,也可以在接收到數(shù)據(jù)報(bào)文之后且轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文之前的任意時(shí)刻執(zhí)行����,在下面的描述中均以在入端口處接收到數(shù)據(jù)報(bào)文時(shí)插入源角色tag為例�。下面分別針對(duì)上述的四種應(yīng)用場景,對(duì)hgress設(shè)備對(duì)數(shù)據(jù)報(bào)文的處理過程進(jìn)行描述���。對(duì)于圖2所示的第一種應(yīng)用場景�����,hgress設(shè)備接收到的是不包含標(biāo)簽的數(shù)據(jù)報(bào)文����,記為imtag的數(shù)據(jù)報(bào)文。hgress設(shè)備接收到該數(shù)據(jù)報(bào)文后����,根據(jù)入端口或acl確定源角色tag,并確定對(duì)應(yīng)的外層VLAN標(biāo)簽(Vtag)��,將源角色tag作為內(nèi)層VLAN標(biāo)簽����,將Vtag 作為外層VLAN標(biāo)簽插入該數(shù)據(jù)報(bào)文(當(dāng)然,如果該出端口的同一 VLAN內(nèi)的流量中不需要插入源角色tag的過路報(bào)文���,例如CPU發(fā)出的報(bào)文或者確定入端口沒有設(shè)置對(duì)應(yīng)的源角色 tag,則不執(zhí)行插入源角色tag的操作����,只進(jìn)行執(zhí)行Vtag的插入�,后續(xù)實(shí)例中也如此,不再贅述)O需要說明的是����,digress設(shè)備確定源角色tag和Vtag�,可以根據(jù)入端口來確定��,也可以根據(jù)入端口處設(shè)置的acl確定����。例如可以預(yù)先將報(bào)文源地址信息或協(xié)議號(hào)等特征對(duì)應(yīng)的源角色tag設(shè)置在acl中,接收到數(shù)據(jù)報(bào)文后��,通過查找acl便可以確定對(duì)應(yīng)的源角色 tag���。對(duì)于中間設(shè)備����、Egress設(shè)備也同樣如此���,在以下的描述中不再一一贅述�����,均以通過入端口確定為例進(jìn)行描述。另外�����,Vtag的確定是用于轉(zhuǎn)發(fā)報(bào)文的,這是現(xiàn)有技術(shù)的內(nèi)容�����,本發(fā)明并沒有對(duì)該部分內(nèi)容進(jìn)行變更�����,在確定Vtag后可以將該Vtag插入數(shù)據(jù)報(bào)文����,也可以不插入數(shù)據(jù)報(bào)文,本發(fā)明并不做特別限制�,在本發(fā)明的實(shí)施例中統(tǒng)一按照插入Vtag為例進(jìn)行描述。Ingress設(shè)備根據(jù)Vtag和報(bào)文的目的MAC地址查找二層轉(zhuǎn)發(fā)表確定出端口����,將已經(jīng)插入Vtag和源角色tag的數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)。如果出端口上設(shè)置了 Vtag剝離�,則在轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文之前,剝離該數(shù)據(jù)報(bào)文的Vtag后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)�����,此時(shí)轉(zhuǎn)發(fā)的報(bào)文僅攜帶源角色tag�����。對(duì)于圖3所示的第二種應(yīng)用場景,Ingress設(shè)備接收到的是包含Vtag的數(shù)據(jù)報(bào)文���, 根據(jù)該數(shù)據(jù)報(bào)文的源地址信息查找源地址信息與源角色tag之間的對(duì)應(yīng)關(guān)系�����,確定該源地址信息對(duì)應(yīng)的源角色tag���,將該源角色tag作為內(nèi)層VLAN標(biāo)簽插入該數(shù)據(jù)報(bào)文。Ingress設(shè)備根據(jù)Vtag和報(bào)文的目的MAC地址查找二層轉(zhuǎn)發(fā)表確定出端口�����,將攜帶了 Vtag和源角色tag的數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)��。如果出端口上設(shè)置了 Vtag剝離����,則在轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文之前�����,剝離該數(shù)據(jù)報(bào)文的Vtag后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā),此時(shí)轉(zhuǎn)發(fā)的報(bào)文僅攜帶源角色tag��。對(duì)于圖4所示的第三種應(yīng)用場景�,digress設(shè)備接收到的是imtag的數(shù)據(jù)報(bào)文。 Egress設(shè)備接收到該數(shù)據(jù)報(bào)文后����,根據(jù)入端口查找入端口與源角色tag之間的對(duì)應(yīng)關(guān)系, 確定該入端口對(duì)應(yīng)的源角色tag����,并確定入端口對(duì)應(yīng)的Vtag,將源角色tag作為內(nèi)層VLAN 標(biāo)簽����,將Vtag作為外層VLAN標(biāo)簽插入該數(shù)據(jù)報(bào)文。在hgress設(shè)備根據(jù)Vtag和目的IP地址查找三層轉(zhuǎn)發(fā)表確定出端口�,對(duì)Vtag、 源MAC地址和目的MAC進(jìn)行替換后通過確定出端口進(jìn)行轉(zhuǎn)發(fā)���,此時(shí)轉(zhuǎn)發(fā)的報(bào)文攜帶Vtag和源角色tag�����。如果出端口上設(shè)置了 Vtag剝離�,則在轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文之前,剝離該數(shù)據(jù)報(bào)文的Vtag(即替換后的Vtag)后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)�����,此時(shí)轉(zhuǎn)發(fā)的報(bào)文僅攜帶源角色 tag����。對(duì)于圖5所示的第四種應(yīng)用場景,Ingress設(shè)備接收到的是包含Vtag的數(shù)據(jù)報(bào)文����, 根據(jù)該數(shù)據(jù)報(bào)文的源地址信息查找源地址信息與源角色tag之間的對(duì)應(yīng)關(guān)系,確定該源地址信息對(duì)應(yīng)的源角色tag����,將該源角色tag作為內(nèi)層VLAN標(biāo)簽插入該數(shù)據(jù)報(bào)文。digress設(shè)備根據(jù)Vtag和目的IP地址查找三層轉(zhuǎn)發(fā)表確定出端口����,對(duì)Vtag、源 MAC地址和目的MAC進(jìn)行替換后通過確定出端口進(jìn)行轉(zhuǎn)發(fā)�����,此時(shí)轉(zhuǎn)發(fā)的報(bào)文攜帶Vtag和源角色tag。如果出端口上設(shè)置了 Vtag剝離�,則在轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文之前����,剝離該數(shù)據(jù)報(bào)文的 Vtag(替換后的Vtag)后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā),此時(shí)轉(zhuǎn)發(fā)的報(bào)文僅攜帶源角色tag����。在上述hgress設(shè)備的處理過程中,源角色tag作為內(nèi)層VLAN標(biāo)簽插入報(bào)文時(shí)���, 該內(nèi)層VLAN標(biāo)簽的標(biāo)簽協(xié)議標(biāo)識(shí)(TPID�����,Tag Protocol Identifier)采用非0x8100的一個(gè)設(shè)定值來標(biāo)識(shí)該內(nèi)層VLAN標(biāo)簽為源角色tag�。源角色tag的TPID可配置�,全局統(tǒng)一。需要說明的是�,在某些情況(例如CPU發(fā)出的數(shù)據(jù)報(bào)文或入端口處設(shè)置不插入源角色tag的情況)下對(duì)接收到的數(shù)據(jù)報(bào)文并不需要插入源角色tag,對(duì)于這樣的數(shù)據(jù)報(bào)文如果與上述插入了源角色tag的報(bào)文從同一出端口轉(zhuǎn)發(fā)���,則保持各數(shù)據(jù)報(bào)文的格式��,不相互干擾�����。對(duì)于中間設(shè)備���,接收到數(shù)據(jù)報(bào)文后�����,在對(duì)報(bào)文進(jìn)行二層或三層轉(zhuǎn)發(fā)的過程中�,保持作為內(nèi)層VLAN標(biāo)簽的源角色tag不變��。即如果通過內(nèi)層VLAN標(biāo)簽的TPID識(shí)別出該內(nèi)層 VLAN標(biāo)簽為源角色tag��,則保持內(nèi)層VLAN標(biāo)簽不變����。至于中間設(shè)備對(duì)數(shù)據(jù)報(bào)文的二層或三層轉(zhuǎn)發(fā)處理與hgress設(shè)備相同,對(duì)于圖2 所示的第一種應(yīng)用場景����,中間設(shè)備接收到的是僅攜帶源角色tag的數(shù)據(jù)報(bào)文,確定入端口對(duì)應(yīng)的Vtag�,將Vtag作為外層VLAN標(biāo)簽插入該數(shù)據(jù)報(bào)文�����;根據(jù)Vtag和報(bào)文的目的MAC地址查找二層轉(zhuǎn)發(fā)表確定出端口����,將該數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)�����。如果出端口上設(shè)置了 Vtag剝離���,則在轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文之前,剝離該數(shù)據(jù)報(bào)文的Vtag(替換后的Vtag)后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)�,此時(shí)轉(zhuǎn)發(fā)的報(bào)文僅攜帶源角色tag。對(duì)于圖3所示的第二種應(yīng)用場景�,中間設(shè)備接收到的是包含Vtag和源角色tag的數(shù)據(jù)報(bào)文,根據(jù)Vtag和報(bào)文的目的MAC地址查找二層轉(zhuǎn)發(fā)表確定出端口�����,將攜帶了 Vtag和源角色tag的數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)��。如果出端口上設(shè)置了 Vtag剝離���,則在轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文之前�����,剝離該數(shù)據(jù)報(bào)文的Vtag(替換后的Vtag)后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)��,此時(shí)轉(zhuǎn)發(fā)的報(bào)文僅攜帶源角色tag����。對(duì)于圖4所示的第三種應(yīng)用場景,中間設(shè)備接收到的是僅攜帶源角色tag的數(shù)據(jù)報(bào)文���,確定入端口對(duì)應(yīng)的Vtag�����,將Vtag作為外層VLAN標(biāo)簽插入該數(shù)據(jù)報(bào)文��;根據(jù)Vtag和目的IP地址查找三層轉(zhuǎn)發(fā)表確定出端口�����,對(duì)Vtag�����、源MAC地址和目的MAC進(jìn)行替換后通過確定出端口進(jìn)行轉(zhuǎn)發(fā)�����,此時(shí)轉(zhuǎn)發(fā)的報(bào)文攜帶Vtag和源角色tag��。如果出端口上設(shè)置了 Vtag 剝離��,則在轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文之前��,剝離該數(shù)據(jù)報(bào)文的Vtag后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)���, 此時(shí)轉(zhuǎn)發(fā)的報(bào)文僅攜帶源角色tag。對(duì)于圖5所示的第四種應(yīng)用場景��,中間設(shè)備接收到的是包含Vtag和源角色tag的數(shù)據(jù)報(bào)文��,根據(jù)Vtag和目的IP地址查找三層轉(zhuǎn)發(fā)表確定出端口�,對(duì)Vtag、源MAC地址和目的MAC進(jìn)行替換后通過確定出端口進(jìn)行轉(zhuǎn)發(fā)���,此時(shí)轉(zhuǎn)發(fā)的報(bào)文攜帶Vtag和源角色tag�。如果出端口上設(shè)置了 Vtag剝離����,則在轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文之前���,剝離該數(shù)據(jù)報(bào)文的Vtag后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā),此時(shí)轉(zhuǎn)發(fā)的報(bào)文僅攜帶源角色tag����。對(duì)于Egress設(shè)備,接收到中間設(shè)備發(fā)送來的數(shù)據(jù)報(bào)文時(shí)����,查找圖8中804下發(fā)的對(duì)應(yīng)關(guān)系,確定該數(shù)據(jù)報(bào)文的目的地址(如目的IP地址)對(duì)應(yīng)的目的角色信息�;從數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽中獲取源角色tag,利用源角色tag和目的角色信息對(duì)RBACL進(jìn)行匹配����, 根據(jù)匹配的結(jié)果對(duì)該數(shù)據(jù)報(bào)文進(jìn)行接入控制處理。由于在圖8的步驟807中��,Egress設(shè)備向硬件層面下發(fā)了 RBACL���,該RBACL的表項(xiàng)中包含源角色tag���、目的角色信息和接入控制處理方式�����。在利用獲取的源角色tag和目的角色信息對(duì)RBACL進(jìn)行匹配后�,如果存在匹配的表項(xiàng)���,則可以確定對(duì)應(yīng)的接入控制處理方式��, 例如允許轉(zhuǎn)發(fā)����、拒絕轉(zhuǎn)發(fā)���、轉(zhuǎn)發(fā)速率限制、鏡像���、重定向���、優(yōu)先級(jí)重標(biāo)記、統(tǒng)計(jì)等接入控制處理方式�����。另外,在Egress設(shè)備中除了進(jìn)行上述接入控制過程之外���,還會(huì)在設(shè)備內(nèi)部進(jìn)行二層或三層轉(zhuǎn)發(fā)處理�����。下面針對(duì)上述四種應(yīng)用場景對(duì)Egress設(shè)備內(nèi)部的處理過程進(jìn)行詳細(xì)描述����。對(duì)于圖2所示的第一種應(yīng)用場景���,Egress設(shè)備接收到的是包含源角色tag和 Vtag�����,或者僅攜帶源角色tag的數(shù)據(jù)報(bào)文����。如果數(shù)據(jù)報(bào)文僅攜帶源角色tag����,則Egress設(shè)備通過數(shù)據(jù)報(bào)文內(nèi)層VLAN標(biāo)簽的 TPID類型確定出該內(nèi)層VLAN標(biāo)簽為源角色tag時(shí),獲取該源角色tag。同時(shí)基于入端口確定Vtag���,將Vtag作為外層VLAN標(biāo)簽插入該數(shù)據(jù)報(bào)文���。利用Vtag和目的MAC地址查找二層轉(zhuǎn)發(fā)表確定出端口。確定該數(shù)據(jù)報(bào)文的目的地址對(duì)應(yīng)的目的角色信息�;利用源角色tag 和目的角色信息對(duì)RBACL進(jìn)行匹配,根據(jù)匹配的結(jié)果對(duì)該數(shù)據(jù)報(bào)文進(jìn)行接入控制處理�。例如,如果匹配結(jié)果是允許轉(zhuǎn)發(fā)����,則數(shù)據(jù)報(bào)文的所有標(biāo)簽后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)。如果匹配結(jié)果是拒絕轉(zhuǎn)發(fā)����,則丟棄該數(shù)據(jù)報(bào)文。在通過出端口進(jìn)行轉(zhuǎn)發(fā)時(shí)�,剝離源角色tag和 Vtag,即轉(zhuǎn)發(fā)出去的報(bào)文是imtag的數(shù)據(jù)報(bào)文。其中�����,上述對(duì)RBACL進(jìn)行匹配的操作可以在查找二層或三層轉(zhuǎn)發(fā)表確定出端口的操作之前����,也可以在之后。如果Egress設(shè)備接收到的報(bào)文攜帶源角色tag和Vtag�,與對(duì)僅攜帶源角色tag的數(shù)據(jù)報(bào)文的處理方式不同的是,無需基于入端口確定Vtag��,其它處理方式與對(duì)僅攜帶源角色tag的數(shù)據(jù)報(bào)文的處理方式相同�����。
對(duì)于圖3所示的第二種應(yīng)用場景����,其處理方式與第一種應(yīng)用場景基本相同,只是在出端口處僅剝離源角色tag�����,即通過出端口轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文攜帶Vtag���。對(duì)于圖4所示的第三種應(yīng)用場景�����,如果Egress設(shè)備接收到的數(shù)據(jù)報(bào)文僅攜帶源角色tag��,則通過數(shù)據(jù)報(bào)文內(nèi)層VLAN標(biāo)簽的TPID類型確定出該內(nèi)層VLAN標(biāo)簽為源角色tag 時(shí)�����,獲取該源角色tag��。同時(shí)基于入端口確定VtagJf Vtag作為外層VLAN標(biāo)簽插入該數(shù)據(jù)報(bào)文�����。利用Vtag和目的IP地址查找三層轉(zhuǎn)發(fā)表確定出端口���,對(duì)Vtag��、源MAC地址和目的 MAC進(jìn)行替換��。確定該數(shù)據(jù)報(bào)文的目的地址對(duì)應(yīng)的目的角色信息����;利用源角色tag和目的角色信息對(duì)RBACL進(jìn)行匹配�,根據(jù)匹配的結(jié)果對(duì)該數(shù)據(jù)報(bào)文進(jìn)行接入控制處理。例如��,如果匹配結(jié)果是允許轉(zhuǎn)發(fā)���,則數(shù)據(jù)報(bào)文的所有標(biāo)簽后通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)���。如果匹配結(jié)果是拒絕轉(zhuǎn)發(fā),則丟棄該數(shù)據(jù)報(bào)文���。在通過出端口進(jìn)行轉(zhuǎn)發(fā)時(shí)����,剝離源角色tag和替換后的 Vtag,即轉(zhuǎn)發(fā)出去的報(bào)文是imtag的數(shù)據(jù)報(bào)文���。如果Egress設(shè)備接收到的報(bào)文攜帶源角色tag和Vtag���,與對(duì)僅攜帶源角色tag的數(shù)據(jù)報(bào)文的處理方式不同的是,無需基于入端口確定Vtag�,其它處理方式與對(duì)僅攜帶源角色tag的數(shù)據(jù)報(bào)文的處理方式相同。對(duì)于圖5所示的第四種應(yīng)用場景�����,其處理方式與第三種應(yīng)用場景基本相同��,只是在出端口處僅剝離源角色tag�,即通過出端口轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文攜帶Vtag(進(jìn)行替換處理后的 Vtag)�。在本發(fā)明提供的上述方法中�����,各設(shè)備內(nèi)部對(duì)內(nèi)層VLAN標(biāo)簽和外層VLAN標(biāo)簽的處理過程互不產(chǎn)生影響����,并且,在插入作為內(nèi)層VLAN標(biāo)簽的源角色tag后�,不會(huì)影響設(shè)備對(duì)報(bào)文的外層VLAN標(biāo)簽和其它報(bào)文字段的匹配和處理。另外��,上述方法中均以單播的數(shù)據(jù)報(bào)文為例進(jìn)行描述�,需要說明的是,本發(fā)明對(duì)于源角色tag的處理方式同樣支持組播���,Ingress設(shè)備�����、中間設(shè)備或Egress設(shè)備在對(duì)報(bào)文進(jìn)行三層或二層復(fù)制后����,復(fù)制的報(bào)文同樣攜帶與組播源報(bào)文相同的源角色tag���。上述方法除了應(yīng)用于網(wǎng)絡(luò)設(shè)備的普通端口之外�,也同樣可以應(yīng)用于CPU端口,CPU 端口的邏輯處理與普通端口相同�����。以上是對(duì)本發(fā)明所提供的方法進(jìn)行的詳細(xì)描述��,下面對(duì)本發(fā)明所提供的Egress 設(shè)備����、中間設(shè)備和Egress設(shè)備進(jìn)行詳細(xì)描述����。圖9為本發(fā)明提供的hgress設(shè)備的結(jié)構(gòu)示意圖,如圖9所示�,該hgress設(shè)備可以包括報(bào)文接收單元901、角色標(biāo)簽確定單元902�、角色標(biāo)簽插入單元903和轉(zhuǎn)發(fā)處理單元 904。報(bào)文接收單元901���,用于接收來自用戶設(shè)備的數(shù)據(jù)報(bào)文�。角色標(biāo)簽確定單元902�,用于根據(jù)數(shù)據(jù)報(bào)文的來源信息確定源角色標(biāo)簽tag ���;其中源角色tag對(duì)應(yīng)用戶設(shè)備的角色。角色標(biāo)簽插入單元903���,用于將源角色tag作為數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽插入數(shù)據(jù)報(bào)文�����。轉(zhuǎn)發(fā)處理單元904�,用于轉(zhuǎn)發(fā)角色標(biāo)簽插入單元903處理后的數(shù)據(jù)報(bào)文���。上述報(bào)文接收單元901�����、角色標(biāo)簽確定單元902�、角色標(biāo)簽插入單元903和轉(zhuǎn)發(fā)處理單元904均可以為硬件層面的單元����,可以通過轉(zhuǎn)發(fā)芯片實(shí)現(xiàn)。另外�,該digress設(shè)備還可以包括認(rèn)證處理單元911和第一標(biāo)簽配置單元912來進(jìn)行硬件層面的相關(guān)信息配置。認(rèn)證處理單元911�,用于將來自用戶設(shè)備的認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器�����。第一標(biāo)簽配置單元912��,用于獲取接入認(rèn)證服務(wù)器下發(fā)的用戶設(shè)備的角色信息��,并將接收認(rèn)證請求的入端口與用戶設(shè)備的角色信息對(duì)應(yīng)的源角色tag之間的對(duì)應(yīng)關(guān)系下發(fā)給硬件層面。此時(shí)�����,上述角色標(biāo)簽確定單元902根據(jù)下發(fā)給硬件層面的對(duì)應(yīng)關(guān)系����,執(zhí)行根據(jù)數(shù)據(jù)報(bào)文的來源信息確定源角色標(biāo)簽tag的操作;其中來源信息為接收數(shù)據(jù)報(bào)文的入端口�����。根據(jù)網(wǎng)絡(luò)架構(gòu)的不同�,如果digress設(shè)備與用戶設(shè)備之間存在普通設(shè)備,且通過普通設(shè)備與接入認(rèn)證服務(wù)器進(jìn)行交互���,則hgress設(shè)備可以采用另一種方式�����,如圖10所示�, 利用角色獲取單元913和第二標(biāo)簽配置單元914來進(jìn)行硬件層面的相關(guān)信息配置。角色獲取單元913�����,用于獲取普通設(shè)備發(fā)送來的用戶設(shè)備的角色信息與認(rèn)證請求的源地址信息或協(xié)議號(hào)之間的對(duì)應(yīng)關(guān)系����;其中用戶設(shè)備的角色信息普通設(shè)備將轉(zhuǎn)發(fā)用戶設(shè)備的認(rèn)證請求轉(zhuǎn)發(fā)至接入認(rèn)證服務(wù)器之后,接入認(rèn)證服務(wù)器下發(fā)給普通設(shè)備的���。第二標(biāo)簽配置單元914�,用于將用戶設(shè)備的角色信息對(duì)應(yīng)的源角色tag與源地址信息或協(xié)議號(hào)之間的對(duì)應(yīng)關(guān)系下發(fā)給硬件層面��。此時(shí)����,上述角色標(biāo)簽確定單元902根據(jù)下發(fā)給硬件層面的對(duì)應(yīng)關(guān)系,執(zhí)行根據(jù)數(shù)據(jù)報(bào)文的來源信息確定源角色標(biāo)簽tag的操作����;其中來源信息為數(shù)據(jù)報(bào)文的源地址信息或協(xié)議號(hào)���。上述的認(rèn)證處理單元911、第一標(biāo)簽配置單元912�、角色獲取單元913和第二標(biāo)簽配置單元914是軟件控制層面的單元。具體地���,角色標(biāo)簽插入單元903將源角色tag作為數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽插入數(shù)據(jù)報(bào)文時(shí)�����,將內(nèi)層VLAN標(biāo)簽的標(biāo)簽協(xié)議標(biāo)識(shí)TPID設(shè)置為非0X8100的一個(gè)設(shè)定值。其中���,digress設(shè)備中的轉(zhuǎn)發(fā)處理單元904可以具體包括外層標(biāo)簽插入子單元 941�����、轉(zhuǎn)發(fā)表查找子單元942和出口處理子單元943���。外層標(biāo)簽插入子單元941,用于在報(bào)文接收單元901接收到的數(shù)據(jù)報(bào)文中沒有包含虛擬局域網(wǎng)標(biāo)簽Vtag時(shí)��,確定數(shù)據(jù)報(bào)文的Vtag,并將該Vtag作為外層VLAN標(biāo)簽插入數(shù)據(jù)報(bào)文�。轉(zhuǎn)發(fā)表查找子單元942,用于利用報(bào)文接收單元901接收到的數(shù)據(jù)報(bào)文中包含的 Vtag和目的地址信息�,或者利用外層標(biāo)簽插入子單元941處理后的數(shù)據(jù)報(bào)文中包含的Vtag 和目的地址信息,查找二層或三層轉(zhuǎn)發(fā)表確定出端口����。出口處理子單元943,用于剝離或者不剝離數(shù)據(jù)報(bào)文中攜帶的Vtag后��,將攜帶源角色tag的數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)����。至于剝離或者不剝離數(shù)據(jù)報(bào)文的Vtag 由出端口的具體配置決定。另外���,轉(zhuǎn)發(fā)處理單元904進(jìn)行的是三層轉(zhuǎn)發(fā)時(shí)����,該轉(zhuǎn)發(fā)處理單元還會(huì)包含對(duì)數(shù)據(jù)報(bào)文的Vtag����、源MAC和目的MAC進(jìn)行替換的單元,由于該部分是現(xiàn)有協(xié)議中已有的內(nèi)容���,在圖中并沒有示出����,也不再具體描述。圖11為本發(fā)明提供的Egress設(shè)備的結(jié)構(gòu)示意圖��,如圖11所示��,該Egress設(shè)備可以包括報(bào)文接收單元1101����、角色標(biāo)簽獲取單元1102和接入控制單元1103。報(bào)文接收單元1101���,用于接收來自用戶側(cè)的數(shù)據(jù)報(bào)文���。
15
角色標(biāo)簽獲取單元1102�����,用于從數(shù)據(jù)報(bào)文中獲取作為內(nèi)層VLAN標(biāo)簽的源角色 tag ��;其中源角色tag對(duì)應(yīng)發(fā)送數(shù)據(jù)報(bào)文的用戶設(shè)備的角色����。接入控制單元1103���,用于利用源角色tag對(duì)數(shù)據(jù)報(bào)文進(jìn)行基于角色的接入控制。上述報(bào)文接收單元1101��、角色標(biāo)簽獲取單元1102和接入控制單元1103是硬件層面的單元�,可以采用轉(zhuǎn)發(fā)芯片實(shí)現(xiàn)。其中�,接入控制單元1103可以具體包括目的角色確定子單元1131、接入控制匹配子單元1132和接入控制處理子單元1133����。目的角色確定子單元1131,用于確定數(shù)據(jù)報(bào)文的目的角色信息��。接入控制匹配子單元1132���,用于根據(jù)源角色tag和目的角色信息匹配基于角色的接入控制列表RBACL�����。接入控制處理子單元1133�����,用于根據(jù)接入控制匹配子單元1132的匹配結(jié)果對(duì)數(shù)據(jù)報(bào)文進(jìn)行接入控制處理����。另外,該Egress設(shè)備還包括認(rèn)證處理單元1111����、目的角色配置單元1112、控制列表獲取單元1113和控制列表配置單元1114來實(shí)現(xiàn)硬件層面的相關(guān)信息配置��。認(rèn)證處理單元1111����,用于將來自資源側(cè)設(shè)備的認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器, 獲取接入認(rèn)證服務(wù)器下發(fā)的資源側(cè)設(shè)備的角色信息���。目的角色配置單元1112����,用于將認(rèn)證請求的源地址信息與資源側(cè)設(shè)備的角色信息之間的對(duì)應(yīng)關(guān)系下發(fā)到硬件層面��?�?刂屏斜慝@取單元1113���,用于從接入認(rèn)證服務(wù)器獲取基于角色的控制策略�����,該基于角色的控制策略以接入認(rèn)證服務(wù)器下發(fā)的角色信息作為目的角色信息�����?��?刂屏斜砼渲脝卧?114,用于將上述基于角色的控制策略中的源角色信息替換為對(duì)應(yīng)的源角色tag后得到RBACLJf RBACL下發(fā)到硬件層面�����。此時(shí)�,目的角色確定子單元1131根據(jù)下發(fā)到硬件層面的對(duì)應(yīng)關(guān)系,確定數(shù)據(jù)報(bào)文的目的地址對(duì)應(yīng)的目的角色信息��。接入控制匹配子單元1132對(duì)下發(fā)到硬件準(zhǔn)發(fā)層面的 RBACL執(zhí)行匹配處理���。上述的認(rèn)證處理單元1111��、目的角色配置單元1112���、控制列表獲取單元1113和控制列表配置單元1114是軟件控制平面的單元����。更進(jìn)一步地��,該Egress設(shè)備還可以包括現(xiàn)有的轉(zhuǎn)發(fā)處理單元1104���,該轉(zhuǎn)發(fā)處理單元1104可以具體包括外層標(biāo)簽插入子單元1141����、轉(zhuǎn)發(fā)表查找子單元1142和出口處理子單元1143��。外層標(biāo)簽插入子單元1141����,用于在報(bào)文接收單元1101接收到的數(shù)據(jù)報(bào)文中沒有包含虛擬局域網(wǎng)標(biāo)簽Vtag時(shí),確定數(shù)據(jù)報(bào)文的Vtag�,并將該Vtag作為外層VLAN標(biāo)簽插入數(shù)據(jù)報(bào)文。轉(zhuǎn)發(fā)表查找子單元1142����,用于利用報(bào)文接收單元1101接收到的數(shù)據(jù)報(bào)文中包含的Vtag和目的地址信息,或者利用外層標(biāo)簽插入子單元1141處理后的數(shù)據(jù)報(bào)文中包含的 Vtag和目的地址信息,查找二層或三層轉(zhuǎn)發(fā)表確定出端口����。出口處理子單元1143����,用于剝離數(shù)據(jù)報(bào)文的源角色tag,剝離或者不剝離數(shù)據(jù)報(bào)文中攜帶的Vtag后��,在接入控制單元1103確定需要轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文時(shí)���,將數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)�。
另外����,轉(zhuǎn)發(fā)處理單元1104進(jìn)行的是三層轉(zhuǎn)發(fā)時(shí),該轉(zhuǎn)發(fā)處理單元1104還會(huì)包含 對(duì)數(shù)據(jù)報(bào)文的Vtag�、源MAC和目的MAC進(jìn)行替換的單元,由于該部分是現(xiàn)有協(xié)議中已有的內(nèi)容�,在圖中并沒有示出,也不再具體描述�。圖12為本發(fā)明提供的中間設(shè)備的結(jié)構(gòu)示意圖,如圖12所示�����,該中間設(shè)備具體包括報(bào)文接收單元1201、標(biāo)簽識(shí)別單元1202和轉(zhuǎn)發(fā)處理單元1203����。報(bào)文接收單元1201,用于接收來自hgress設(shè)備或其它中間設(shè)備的數(shù)據(jù)報(bào)文�。標(biāo)簽識(shí)別單元1202,用于對(duì)數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽進(jìn)行識(shí)別�。轉(zhuǎn)發(fā)處理單元1203,用于在對(duì)數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)過程中���,如果標(biāo)簽識(shí)別單元1202識(shí)別出內(nèi)層VLAN標(biāo)簽為源角色tag�,則保持內(nèi)層VLAN標(biāo)簽不變����。其中源角色tag對(duì)應(yīng)發(fā)送數(shù)據(jù)報(bào)文的用戶設(shè)備的角色。其中����,標(biāo)簽識(shí)別單元1202如果解析出內(nèi)層VLAN標(biāo)簽的標(biāo)簽協(xié)議標(biāo)識(shí)TPID為非 0X8100的一個(gè)設(shè)定值,則識(shí)別出內(nèi)層VLAN標(biāo)簽為源角色tag��。上述轉(zhuǎn)發(fā)處理單元1203可以具體包括外層標(biāo)簽插入子單元1231�、轉(zhuǎn)發(fā)表查找子單元1232和出口處理子單元1233。外層標(biāo)簽插入子單元1231,用于在報(bào)文接收單元1201接收到的數(shù)據(jù)報(bào)文中沒有包含虛擬局域網(wǎng)標(biāo)簽Vtag時(shí)�,確定數(shù)據(jù)報(bào)文的Vtag,并將該Vtag作為外層VLAN標(biāo)簽插入數(shù)據(jù)報(bào)文�����。轉(zhuǎn)發(fā)表查找子單元1232��,用于利用報(bào)文接收單元1201接收到的數(shù)據(jù)報(bào)文中包含的Vtag和目的地址信息��,或者利用外層標(biāo)簽插入子單元1231處理后的數(shù)據(jù)報(bào)文中包含的 Vtag和目的地址信息�,查找二層或三層轉(zhuǎn)發(fā)表確定出端口�。出口處理子單元1233,用于剝離或者不剝離數(shù)據(jù)報(bào)文中攜帶的Vtag后����,將攜帶源角色tag的數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)。另外�����,轉(zhuǎn)發(fā)處理單元1203進(jìn)行的是三層轉(zhuǎn)發(fā)時(shí)�,該轉(zhuǎn)發(fā)處理單元1203還會(huì)包含 對(duì)數(shù)據(jù)報(bào)文的Vtag、源MAC和目的MAC進(jìn)行替換的單元����,由于該部分是現(xiàn)有協(xié)議中已有的內(nèi)容����,在圖中并沒有示出����,也不再具體描述。上述報(bào)文接收單元1201����、標(biāo)簽識(shí)別單元1202和轉(zhuǎn)發(fā)處理單元1203均是中間設(shè)備中硬件層面的單元,可以通過轉(zhuǎn)發(fā)芯片的方式實(shí)現(xiàn)��。另外���,需要說明的是���,可以將上述digress設(shè)備、中間設(shè)備和Egress設(shè)備中硬件層面的各單元集成在一個(gè)轉(zhuǎn)發(fā)芯片上實(shí)現(xiàn)����,當(dāng)該轉(zhuǎn)發(fā)芯片確定自身需要完成Egress設(shè)備的功能時(shí),執(zhí)行Egress設(shè)備中硬件層面上各單元的功能�����;當(dāng)該轉(zhuǎn)發(fā)芯片確定自身需要完成中間設(shè)備的功能時(shí),執(zhí)行中間設(shè)備中硬件層面上各單元的功能�;當(dāng)該轉(zhuǎn)發(fā)芯片確定自身需要完成Egress設(shè)備的功能時(shí),執(zhí)行Egress設(shè)備中硬件層面上各單元的功能�。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi)����,所做的任何修改、等同替換�����、改進(jìn)等����,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
1權(quán)利要求
1.一種處理源角色信息的方法���,應(yīng)用于包含入口 digress設(shè)備和出口 Egress設(shè)備的網(wǎng)絡(luò)�����,其特征在于����,該方法包括所述Egress設(shè)備接收到來自用戶設(shè)備的數(shù)據(jù)報(bào)文后,根據(jù)所述數(shù)據(jù)報(bào)文的來源信息確定源角色標(biāo)簽tag后��,將該源角色tag作為數(shù)據(jù)報(bào)文的內(nèi)層虛擬局域網(wǎng)VLAN標(biāo)簽插入數(shù)據(jù)報(bào)文后����,轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文;其中���,所述源角色tag對(duì)應(yīng)所述用戶設(shè)備的角色�����;如果所述Egress設(shè)備和Egress設(shè)備之間存在中間設(shè)備�����,則所述中間設(shè)備在對(duì)所述數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)過程中����,保持作為內(nèi)層VLAN標(biāo)簽的源角色tag不變直至轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文至 Egress 設(shè)備;所述Egress設(shè)備從所述數(shù)據(jù)報(bào)文中獲取作為內(nèi)層VLAN標(biāo)簽的源角色tag�,用于對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行基于角色的接入控制。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,該方法還包括所述Egress設(shè)備接收到所述用戶設(shè)備的認(rèn)證請求后����,將該認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器;獲取接入認(rèn)證服務(wù)器下發(fā)的所述用戶設(shè)備的角色信息����,并將接收所述認(rèn)證請求的入端口與所述用戶設(shè)備的角色信息對(duì)應(yīng)的源角色tag之間的對(duì)應(yīng)關(guān)系下發(fā)給Ingress設(shè)備的硬件層面�;根據(jù)所述數(shù)據(jù)報(bào)文的來源信息確定源角色tag為所述Egress設(shè)備根據(jù)下發(fā)給硬件層面的所述對(duì)應(yīng)關(guān)系,確定接收所述數(shù)據(jù)報(bào)文的入端口對(duì)應(yīng)的源角色tag�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于�,該方法還包括普通設(shè)備將所述用戶設(shè)備發(fā)送的認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器,獲取接入認(rèn)證服務(wù)器下發(fā)的所述用戶設(shè)備的角色信息�,并將所述用戶設(shè)備的角色信息與所述認(rèn)證請求的源地址信息或協(xié)議號(hào)之間的對(duì)應(yīng)關(guān)系發(fā)送給所述Egress設(shè)備;所述Egress設(shè)備將所述用戶設(shè)備的角色信息對(duì)應(yīng)的源角色 tag與所述源地址信息或協(xié)議號(hào)之間的對(duì)應(yīng)關(guān)系下發(fā)給該Egress設(shè)備的硬件層面�;根據(jù)所述數(shù)據(jù)報(bào)文的來源信息確定源角色tag為所述Egress設(shè)備根據(jù)下發(fā)給硬件層面的所述對(duì)應(yīng)關(guān)系,確定所述數(shù)據(jù)報(bào)文的源地址信息或協(xié)議號(hào)對(duì)應(yīng)的源角色tag����。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行基于角色的接入控制包括所述Egress設(shè)備確定所述數(shù)據(jù)報(bào)文的目的角色信息���,根據(jù)獲取的源角色tag和所述目的角色信息匹配基于角色的接入控制列表RBACL��,按照匹配的結(jié)果對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行接入控制處理�。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于,該方法還包括所述Egress設(shè)備將來自資源側(cè)設(shè)備的認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器�����,獲取接入認(rèn)證服務(wù)器下發(fā)的所述資源側(cè)設(shè)備的角色信息��,將所述認(rèn)證請求的源地址信息與所述資源側(cè)設(shè)備的角色信息之間的對(duì)應(yīng)關(guān)系下發(fā)到該Egress設(shè)備的硬件層面����;從接入認(rèn)證服務(wù)器獲取基于角色的控制策略,該基于角色的控制策略以所述接入認(rèn)證服務(wù)器下發(fā)的角色信息作為目的角色信息�;將所述基于角色的控制策略中的源角色信息替換為對(duì)應(yīng)的源角色tag后得到基于角色的接入控制列表 RBACLJf RBACL下發(fā)該Egress設(shè)備的硬件層面���;確定所述數(shù)據(jù)報(bào)文的目的角色信息為根據(jù)下發(fā)到硬件層面的所述對(duì)應(yīng)關(guān)系,確定所述數(shù)據(jù)報(bào)文的目的地址信息對(duì)應(yīng)的角色信息�����;Egress設(shè)備對(duì)下發(fā)到硬件層面的RBACL執(zhí)行所述匹配處理�����。
6.根據(jù)權(quán)利要求1至5任一權(quán)項(xiàng)所述的方法����,其特征在于,所述源角色tag作為內(nèi)層 VLAN標(biāo)簽時(shí)����,所述內(nèi)層VLAN標(biāo)簽的標(biāo)簽協(xié)議標(biāo)識(shí)TPID為非0X8100的一個(gè)設(shè)定值���;所述中間設(shè)備識(shí)別出接收到的數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽的TPID為所述設(shè)定值時(shí)���,保持所述數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽不變;所述Egress設(shè)備識(shí)別出接收到的數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽的TPID為所述設(shè)定值時(shí)����, 從所述數(shù)據(jù)報(bào)文中獲取作為內(nèi)層VLAN標(biāo)簽的源角色tag�����。
7.根據(jù)權(quán)利要求1至6任一權(quán)項(xiàng)所述的方法�����,其特征在于���,所述hgress設(shè)備和所述中間設(shè)備對(duì)數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)處理包括Al、如果接收到的所述數(shù)據(jù)報(bào)文中沒有包含虛擬局域網(wǎng)標(biāo)簽Vtag�,則確定數(shù)據(jù)報(bào)文的 Vtag,并將該Vtag作為外層VLAN標(biāo)簽插入所述數(shù)據(jù)報(bào)文,執(zhí)行A2 ����;如果接收到的所述數(shù)據(jù)報(bào)文中已經(jīng)包含Vtag,則直接執(zhí)行A2 ����;A2、利用所述數(shù)據(jù)報(bào)文包含的Vtag和所述數(shù)據(jù)報(bào)文的目的地址信息查找二層或三層轉(zhuǎn)發(fā)表確定出端口��;A3、將剝離或不剝離所述Vtag�����,且攜帶所述源角色tag的數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)����。
8.根據(jù)權(quán)利要求1至6任一權(quán)項(xiàng)所述的方法,其特征在于�����,所述Egress設(shè)備對(duì)所述數(shù)據(jù)報(bào)文還進(jìn)行以下操作Bi���、如果接收到的所述數(shù)據(jù)報(bào)文中沒有包含Vtag�,則確定所述數(shù)據(jù)報(bào)文的Vtag����,并將該Vtag作為外層VLAN標(biāo)簽插入所述數(shù)據(jù)報(bào)文,執(zhí)行B2 ��;如果接收到的所述數(shù)據(jù)報(bào)文中已經(jīng)包含Vtag�����,則直接執(zhí)行B2 ��;B2�、利用所述數(shù)據(jù)報(bào)文包含的Vtag和所述數(shù)據(jù)報(bào)文的目的地址信息查找二層或三層轉(zhuǎn)發(fā)表確定出端口;B3����、剝離所述數(shù)據(jù)報(bào)文的源角色tag,剝離或不剝離所述Vtag���,在所述接入控制處理需要轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文時(shí)���,通過確定的出端口轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。
9.一種入口 hgress設(shè)備��,其特征在于����,該hgress設(shè)備包括 報(bào)文接收單元,用于接收來自用戶設(shè)備的數(shù)據(jù)報(bào)文��;角色標(biāo)簽確定單元����,用于根據(jù)所述數(shù)據(jù)報(bào)文的來源信息確定源角色標(biāo)簽tag;其中所述源角色tag對(duì)應(yīng)所述用戶設(shè)備的角色;角色標(biāo)簽插入單元,用于將所述源角色tag作為所述數(shù)據(jù)報(bào)文的內(nèi)層虛擬局域網(wǎng)VLAN 標(biāo)簽插入所述數(shù)據(jù)報(bào)文�����;轉(zhuǎn)發(fā)處理單元��,用于轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文����。
10.根據(jù)權(quán)利要求9所述的hgress設(shè)備,其特征在于��,該hgress設(shè)備還包括認(rèn)證處理單元和第一標(biāo)簽配置單元���;所述認(rèn)證處理單元��,用于將來自所述用戶設(shè)備的認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器����; 所述第一標(biāo)簽配置單元�����,用于獲取接入認(rèn)證服務(wù)器下發(fā)的所述用戶設(shè)備的角色信息��, 并將接收所述認(rèn)證請求的入端口與所述用戶設(shè)備的角色信息對(duì)應(yīng)的源角色tag之間的對(duì)應(yīng)關(guān)系下發(fā)給硬件層面;所述角色標(biāo)簽確定單元根據(jù)下發(fā)給硬件層面的所述對(duì)應(yīng)關(guān)系��,執(zhí)行根據(jù)所述數(shù)據(jù)報(bào)文的來源信息確定源角色標(biāo)簽tag的操作�����;其中所述來源信息為接收所述數(shù)據(jù)報(bào)文的入端
11.根據(jù)權(quán)利要求9所述的digress設(shè)備�����,其特征在于�����,該digress設(shè)備包括角色獲取單元和第二標(biāo)簽配置單元�;所述角色獲取單元�,用于獲取普通設(shè)備發(fā)送來的所述用戶設(shè)備的角色信息與所述認(rèn)證請求的源地址信息或協(xié)議號(hào)之間的對(duì)應(yīng)關(guān)系;其中所述用戶設(shè)備的角色信息所述普通設(shè)備在轉(zhuǎn)發(fā)所述用戶設(shè)備的認(rèn)證請求至接入認(rèn)證服務(wù)器后����,接入認(rèn)證服務(wù)器下發(fā)給所述普通設(shè)備的;所述第二標(biāo)簽配置單元�,用于將所述用戶設(shè)備的角色信息對(duì)應(yīng)的源角色tag與所述源地址信息或協(xié)議號(hào)之間的對(duì)應(yīng)關(guān)系下發(fā)給硬件層面;所述角色標(biāo)簽確定單元根據(jù)下發(fā)給硬件層面的所述對(duì)應(yīng)關(guān)系��,執(zhí)行根據(jù)所述數(shù)據(jù)報(bào)文的來源信息確定源角色標(biāo)簽tag的操作;其中所述來源信息為所述數(shù)據(jù)報(bào)文的源地址信息或協(xié)議號(hào)����。
12.根據(jù)權(quán)利要求9所述的hgress設(shè)備,其特征在于���,所述角色標(biāo)簽插入單元將所述源角色tag作為所述數(shù)據(jù)報(bào)文的內(nèi)層VLAN標(biāo)簽插入所述數(shù)據(jù)報(bào)文時(shí)���,將所述內(nèi)層VLAN標(biāo)簽的標(biāo)簽協(xié)議標(biāo)識(shí)TPID設(shè)置為非0X8100的一個(gè)設(shè)定值。
13.根據(jù)權(quán)利要求9至12任一權(quán)項(xiàng)所述的hgress設(shè)備���,其特征在于���,所述轉(zhuǎn)發(fā)處理單元具體包括外層標(biāo)簽插入子單元,用于在所述報(bào)文接收單元接收到的所述數(shù)據(jù)報(bào)文中沒有包含虛擬局域網(wǎng)標(biāo)簽Vtag時(shí)��,確定所述數(shù)據(jù)報(bào)文的Vtag��,并將該Vtag作為外層VLAN標(biāo)簽插入所述數(shù)據(jù)報(bào)文�����;轉(zhuǎn)發(fā)表查找子單元��,用于利用所述報(bào)文接收單元接收到的數(shù)據(jù)報(bào)文中包含的Vtag和目的地址信息,或者利用所述外層標(biāo)簽插入子單元處理后的數(shù)據(jù)報(bào)文中包含的Vtag和目的地址信息����,查找二層或三層轉(zhuǎn)發(fā)表確定出端口 ;出口處理子單元�����,用于剝離或者不剝離數(shù)據(jù)報(bào)文中攜帶的Vtag后����,將攜帶所述源角色 tag的數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)��。
14.一種出口 Egress設(shè)備����,其特征在于,該Egress設(shè)備包括 報(bào)文接收單元����,用于接收來自用戶側(cè)的數(shù)據(jù)報(bào)文;角色標(biāo)簽獲取單元��,用于從所述數(shù)據(jù)報(bào)文中獲取作為內(nèi)層虛擬局域網(wǎng)VLAN標(biāo)簽的源角色標(biāo)簽tag �;其中����,所述源角色tag對(duì)應(yīng)發(fā)送所述數(shù)據(jù)報(bào)文的用戶設(shè)備的角色��;接入控制單元�,用于利用所述源角色tag對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行基于角色的接入控制。
15.根據(jù)權(quán)利要求14所述的Egress設(shè)備���,其特征在于��,所述接入控制單元具體包括 目的角色確定子單元����,用于確定所述數(shù)據(jù)報(bào)文的目的角色信息���;接入控制匹配子單元���,用于根據(jù)所述源角色tag和目的角色信息匹配基于角色的接入控制列表RBACL ;接入控制處理子單元�����,用于根據(jù)所述接入控制匹配子單元的匹配結(jié)果對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行接入控制處理�����。
16.根據(jù)權(quán)利要求15所述的Egress設(shè)備,其特征在于����,該Egress設(shè)備還包括認(rèn)證處理單元、目的角色配置單元����、控制列表獲取單元和控制列表配置單元�;所述認(rèn)證處理單元,用于將來自資源側(cè)設(shè)備的認(rèn)證請求轉(zhuǎn)發(fā)給接入認(rèn)證服務(wù)器�����,獲取接入認(rèn)證服務(wù)器下發(fā)的所述資源側(cè)設(shè)備的角色信息��;所述目的角色配置單元�����,用于將所述認(rèn)證請求的源地址信息與所述資源側(cè)設(shè)備的角色信息之間的對(duì)應(yīng)關(guān)系下發(fā)到硬件層面��;所述控制列表獲取單元����,用于從所述接入認(rèn)證服務(wù)器獲取基于角色的控制策略����,該基于角色的控制策略以所述接入認(rèn)證服務(wù)器下發(fā)的角色信息作為目的角色信息�����;所述控制列表配置單元�,用于將所述基于角色的控制策略中的源角色信息替換為對(duì)應(yīng)的源角色tag后得到基于角色的接入控制列表RBACL,將RBACL下發(fā)到硬件層面��;所述目的角色確定子單元根據(jù)下發(fā)到硬件層面的所述對(duì)應(yīng)關(guān)系�,確定所述數(shù)據(jù)報(bào)文的目的地址對(duì)應(yīng)的目的角色信息;所述接入控制匹配子單元對(duì)下發(fā)到硬件準(zhǔn)發(fā)層面的RBACL執(zhí)行所述匹配處理�����。
17.根據(jù)權(quán)利要求14�、15或16所述的Egress設(shè)備,其特征在于�,該Egress設(shè)備還包括轉(zhuǎn)發(fā)處理單元,該轉(zhuǎn)發(fā)處理單元具體包括外層標(biāo)簽插入子單元�����,用于在所述報(bào)文接收單元接收到的所述數(shù)據(jù)報(bào)文中沒有包含虛擬局域網(wǎng)標(biāo)簽Vtag時(shí),確定所述數(shù)據(jù)報(bào)文的Vtag�����,并將該Vtag作為外層VLAN標(biāo)簽插入所述數(shù)據(jù)報(bào)文�;轉(zhuǎn)發(fā)表查找子單元,用于利用所述報(bào)文接收單元接收到的數(shù)據(jù)報(bào)文中包含的Vtag和目的地址信息��,或者利用所述外層標(biāo)簽插入子單元處理后的數(shù)據(jù)報(bào)文中包含的Vtag和目的地址信息���,查找二層或三層轉(zhuǎn)發(fā)表確定出端口 ��;出口處理子單元���,用于剝離所述數(shù)據(jù)報(bào)文的源角色tag��,剝離或者不剝離數(shù)據(jù)報(bào)文中攜帶的Vtag后�����,在所述接入控制單元確定需要轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文時(shí)���,將數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)�。
18.—種中間設(shè)備,其特征在于�,該中間設(shè)備包括報(bào)文接收單元,用于接收來自入口 Egress設(shè)備或其它中間設(shè)備的數(shù)據(jù)報(bào)文�; 標(biāo)簽識(shí)別單元,用于對(duì)所述數(shù)據(jù)報(bào)文的內(nèi)層虛擬局域網(wǎng)VLAN標(biāo)簽進(jìn)行識(shí)別����; 轉(zhuǎn)發(fā)處理單元,用于在對(duì)所述數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)過程中���,如果所述標(biāo)簽識(shí)別單元識(shí)別出所述內(nèi)層VLAN標(biāo)簽為源角色標(biāo)簽tag�����,則保持所述內(nèi)層VLAN標(biāo)簽不變��; 其中��,所述源角色tag對(duì)應(yīng)發(fā)送數(shù)據(jù)報(bào)文的用戶設(shè)備的角色���。
19.根據(jù)權(quán)利要求18所述的中間設(shè)備,其特征在于���,所述標(biāo)簽識(shí)別單元如果解析出所述內(nèi)層VLAN標(biāo)簽的標(biāo)簽協(xié)議標(biāo)識(shí)TPID為非0X8100的一個(gè)設(shè)定值����,則識(shí)別出所述內(nèi)層VLAN 標(biāo)簽為源角色tag。
20.根據(jù)權(quán)利要求18或19所述的中間設(shè)備�,其特征在于,所述轉(zhuǎn)發(fā)處理單元具體包括外層標(biāo)簽插入子單元�,用于在所述報(bào)文接收單元接收到的所述數(shù)據(jù)報(bào)文中沒有包含虛擬局域網(wǎng)標(biāo)簽Vtag時(shí),確定所述數(shù)據(jù)報(bào)文的Vtag�����,并將該Vtag作為外層VLAN標(biāo)簽插入所述數(shù)據(jù)報(bào)文��;轉(zhuǎn)發(fā)表查找子單元��,用于利用所述報(bào)文接收單元接收到的數(shù)據(jù)報(bào)文中包含的Vtag和目的地址信息���,或者利用所述外層標(biāo)簽插入子單元處理后的數(shù)據(jù)報(bào)文中包含的Vtag和目的地址信息�����,查找二層或三層轉(zhuǎn)發(fā)表確定出端口 ;出口處理子單元�����,用于剝離或者不剝離數(shù)據(jù)報(bào)文中攜帶的Vtag后,將攜帶所述源角色 tag的數(shù)據(jù)報(bào)文通過確定的出端口進(jìn)行轉(zhuǎn)發(fā)���。
全文摘要
本發(fā)明提供了一種處理源角色信息的方法和裝置���,在入口(Ingress)設(shè)備上將源角色標(biāo)簽(tag)作為報(bào)文的內(nèi)層虛擬局域網(wǎng)(VLAN)標(biāo)簽插入報(bào)文,中間設(shè)備對(duì)攜帶源角色tag的內(nèi)層VLAN標(biāo)簽保持不變��,出口(Egress)設(shè)備從數(shù)據(jù)報(bào)文中獲取作為內(nèi)層VLAN標(biāo)簽的源角色tag從而進(jìn)行基于角色的接入控制即可����。本發(fā)明利用了網(wǎng)絡(luò)設(shè)備已有的QinQ功能,無需對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備的功能進(jìn)行較大改動(dòng)����,降低了網(wǎng)絡(luò)的升級(jí)成本。
文檔編號(hào)H04L29/06GK102263774SQ201010187359
公開日2011年11月30日 申請日期2010年5月24日 優(yōu)先權(quán)日2010年5月24日
發(fā)明者宋玉兵, 楊小朋 申請人:杭州華三通信技術(shù)有限公司