CN107332812B - 网络访问控制的实现方法及装置 - Google Patents
网络访问控制的实现方法及装置 Download PDFInfo
- Publication number
- CN107332812B CN107332812B CN201610288688.7A CN201610288688A CN107332812B CN 107332812 B CN107332812 B CN 107332812B CN 201610288688 A CN201610288688 A CN 201610288688A CN 107332812 B CN107332812 B CN 107332812B
- Authority
- CN
- China
- Prior art keywords
- address
- user
- network segment
- message
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000002776 aggregation Effects 0.000 claims description 50
- 238000004220 aggregation Methods 0.000 claims description 50
- 238000005516 engineering process Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 claims description 3
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims 2
- 238000004806 packaging method and process Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 4
- 238000005538 encapsulation Methods 0.000 description 4
- 238000002955 isolation Methods 0.000 description 3
- 238000012827 research and development Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 101150049032 ACL1 gene Proteins 0.000 description 1
- 101100490194 Arabidopsis thaliana ACL5 gene Proteins 0.000 description 1
- 101100448894 Arabidopsis thaliana GLR3.1 gene Proteins 0.000 description 1
- 101100352432 Caenorhabditis elegans acl-6 gene Proteins 0.000 description 1
- 101100054598 Hordeum vulgare ACL1.2 gene Proteins 0.000 description 1
- 101100434038 Hordeum vulgare ACL1.3 gene Proteins 0.000 description 1
- 101100490193 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) ACL4 gene Proteins 0.000 description 1
- 101150023061 acpP gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络访问控制的实现方法及装置,其中,该方法应用于汇聚交换机,该方法包括:在本设备上配置ACL规则,该ACL规则中包括:被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段,其中,第一网段和第二网段为与同一用户组对应的网段,或者,第一网段和第二网段为与不同用户组对应的网段,或者,第一网段为与用户组对应的网段、第二网段为与资源组对应的网段;接收到接入交换机发来的用户报文之后,将该用户报文的源IP地址与该ACL规则中的第一网段进行匹配,并将该用户报文的目的IP地址与该ACL规则中的第二网段进行匹配;若均匹配,则丢弃该用户报文。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种网络访问控制的实现方法及装置。
背景技术
在企业网络中,出于信息安全的考虑,通常会对用户进行分类,将所有用户划分成多个用户组。同一用户组内的用户拥有相同的网络访问权限,不同用户组内的用户拥有不同的网络访问权限。例如,按照用户身份,将所有用户分成研发人员、市场人员、财务人员等多个用户组,限定研发人员允许访问数据中心服务器1中的技术资料,而市场人员和财务人员禁止访问该数据中心服务器1;或者分成学生、老师、学校领导等多个用户组,限定老师允许访问数据中心服务器2中的课件,而学生禁止访问该数据中心服务器2。
具体的,预先在接入交换机上配置VLAN(Virtual Local Area Network,虚拟局域网)和ACL(Access Control List,访问控制列表)规则,不同的ACL规则用于限定不同VLAN对应的网络访问权限。当某一用户进行接入认证时,认证服务器确定该用户所属的用户组,然后,根据该用户组和该用户连接的接入交换机(即该用户的接入位置)等信息,为该用户分配对应的VLAN,并将该VLAN发送给该接入交换机;该接入交换机接收到该VLAN之后,将本设备上连接该用户的用户端口加入到该VLAN中。后续,该接入交换机就会按照用于限定该VLAN对应的网络访问权限的ACL规则,对该用户发出的报文进行网络访问控制。
发明内容
有鉴于此,本申请提供一种网络访问控制的实现方法及装置。
具体地,本申请是通过如下技术方案实现的:
一方面,提供了一种网络访问控制的实现方法,该方法应用于汇聚交换机,该方法包括:
在本设备上配置ACL规则,该ACL规则中包括:被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段,其中,第一网段和第二网段为与同一用户组对应的网段,或者,第一网段和第二网段为与不同用户组对应的网段,或者,第一网段为与用户组对应的网段、第二网段为与资源组对应的网段;
接收到接入交换机发来的用户报文之后,将该用户报文的源IP地址与该ACL规则中的第一网段进行匹配,并将该用户报文的目的IP地址与该ACL规则中的第二网段进行匹配;其中,该用户报文的源IP地址为与该用户所属用户组绑定的VLAN所对应的网段中的IP地址;
若均匹配,则丢弃该用户报文。
另一方面,还提供了一种网络访问控制的实现装置,该装置应用于汇聚交换机,该装置包括:
配置模块,用于在本设备上配置ACL规则,该ACL规则中包括:被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段,其中,第一网段和第二网段为与同一用户组对应的网段,或者,第一网段和第二网段为与不同用户组对应的网段,或者,第一网段为与用户组对应的网段、第二网段为与资源组对应的网段;
接收模块,用于接收接入交换机发来的用户报文;
匹配模块,用于在接收模块接收到接入交换机发来的用户报文之后,将该用户报文的源IP地址与该ACL规则中的第一网段进行匹配,并将该用户报文的目的IP地址与该ACL规则中的第二网段进行匹配;其中,该用户报文的源IP地址为与该用户所属用户组绑定的VLAN所对应的网段中的IP地址;
处理模块,用于若匹配模块判断出均匹配,则丢弃该用户报文。
通过本申请的以上技术方案,汇聚交换机上配置有ACL规则,该ACL规则中包括:被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段,其中,第一网段和第二网段可以是与同一用户组对应的网段、也可以是与不同用户组对应的网段,或者,第一网段为与用户组对应的网段、第二网段为与资源组对应的网段;用户无论从何处接入,在进行接入认证时,会为该用户分配该用户所属用户组对应的VLAN,并为该用户分配该VLAN对应的网段中的IP地址;汇聚交换机在接收到该用户的用户报文之后,会将该用户报文与该ACL规则进行匹配,若命中该ACL规则,则丢弃该用户报文,从而,不仅实现了对资源组中的数据中心服务器的网络访问控制,而且,实现了同一用户组内的网络访问控制,以及不同用户组之间的网络访问控制。
由于在汇聚交换机上配置ACL规则,而不是在接入交换机上配置,汇聚交换机的数量明显小于接入交换机,因而可以减少需要配置的ACL规则总数,减轻配置工作量。
只要该用户所属的用户组不变,分配给该用户的VLAN就不变,分配给该用户的IP地址所属网段也不变,因此,无论该用户移动到何处,该用户发出的用户报文总是能够命中包含该用户的IP地址所属网段的ACL规则,该ACL规则不会受到用户接入位置变化的影响,避免了用户接入位置的变化所导致的ACL规则的更新。而且,当需要实现同一用户组内的网络访问控制时,只需一条ACL规则即可实现,此时,该ACL规则中的第一网段和第二网段均为该用户组对应的网段,极大的减少了需要配置的ACL规则数量,节约了ACL资源。
附图说明
图1是本申请一示例性实施例示出的企业网络的一种网络架构示意图;
图2是本申请一示例性实施例示出的企业网络的另一种网络架构示意图;
图3是本申请一示例性实施例示出的汇聚交换机对ARP请求报文的处理流程图;
图4是本申请一示例性实施例示出的汇聚交换机对用户报文进行网络访问控制的处理流程图;
图5是本申请一示例性实施例示出的汇聚交换机的硬件架构示意图;
图6是本申请一示例性实施例示出的网络访问控制的实现装置的一种结构示意图;
图7是本申请一示例性实施例示出的网络访问控制的实现装置的另一种结构示意图;
图8是本申请一示例性实施例示出的网络访问控制的实现装置的又一种结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请以下实施例提出了一种网络访问控制的实现方法,以及一种可以应用该方法的装置。本申请实施例可以应用于如图1所示的企业网络中,在图1中,该企业网络中包括:接入交换机、汇聚交换机和核心交换机,核心交换机连接汇聚交换机、汇聚交换机连接接入交换机、接入交换机连接用户(图1中未示出),在汇聚交换机和核心交换机上应用overlay(交叠虚拟化)技术。
另外,当一个企业网络中包括多个子网络时,例如,如图2所示,该企业网络包括总部网络和分支网络,此时,在汇聚交换机和核心交换机上应用overlay技术,其中,上述汇聚交换机和核心交换机可以属于同一子网络,也可以属于不同的子网络。
其中,overlay技术是指在现有物理网络上再叠加一个虚拟网络,该虚拟网络一般是虚拟二层网络,这样可以带来配置简化,用户迁移等诸多好处。典型的overlay技术主要有VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)、NVGRE(Network VirtualGeneric Routing Encapsulation,使用通用路由封装的网络虚拟化)和STT(StatelessTransfer Tunnel,无状态传输隧道)等。
通过应用overlay技术,将整个网络构建成一个虚拟的二层网络,这个二层网络不仅覆盖如图1和图2所示的企业网络,而且覆盖其它网络。例如,如图2所示,不仅覆盖了包括总部网络和分支网络的企业网络,而且覆盖了WAN(Wide Area Network,广域网),跨越WAN将总部网络和分支网络互联,形成了一个端到端的大二层网络。
以VXLAN技术为例,在如图1所示的企业网络中,在汇聚交换机之间、汇聚交换机与核心交换机之间建立VXLAN隧道,在如图2所示的企业网络中,在同一子网络中的汇聚交换机之间、不同子网络中的汇聚交换机之间、同一子网络中的汇聚交换机与核心交换机之间、不同子网络中的汇聚交换机与核心交换机之间建立VXLAN隧道。
在控制平面上,通过EVPN(Ethernet VPN,以太网虚拟专用网)机制来同步路由和MAC(Media Access Control,媒体访问控制)地址信息,抑制广播。
本申请实施例的网络访问控制的实现方法包括以下内容:
SDN控制器接收并保存配置信息,其中,该配置信息中包括:用户组信息,资源组信息,以及,各种访问控制策略。具体的,可以通过静态配置的方式在SDN控制器上配置上述配置信息。
其中,用户组信息可以如表1所示,资源组信息可以如表2所示:
表1
| 用户组 | VLAN | VXLAN | 网段 |
| 用户组1 | 10 | 10 | 10.10.1.1/24 |
| 用户组2 | 20 | 20 | 10.20.1.1/24 |
| 用户组3 | 30 | 30 | 10.30.1.1/24 |
由表1可以看出,用户组信息包括:用户组及其对应的VLAN(虚拟局域网络)、VXLAN和网段,可见,用户组、VLAN、VXLAN、与网段具有一一对应的关系。即,一个用户组对应一个VLAN,一个VXLAN,以及一个网段。
在实际实施过程中,可以按照用户身份对所有用户进行分组,例如,分成研发人员、市场人员、财务人员等多个用户组,或者分成老师、学生、学校领导等多个用户组。显然,还可以按照其它方式进行分组,本申请实施例对此不做限定。同一用户组内的用户拥有相同的网络访问权限,不同用户组内的用户拥有不同的网络访问权限。
表2
| 资源组 | 数据中心服务器的IP地址 |
| 资源组1 | 10.100.0.0/24 |
| 资源组2 | 10.200.0.0/24 |
由表2可以看出,资源组信息包括:资源组以及该资源组中包括的数据中心服务器的IP(Internet Protocol,因特网协议)地址。其中,一个资源组中可以包括至少一个数据中心服务器的IP地址,当包括多个IP地址时,这些IP地址可以是一个网段中的所有IP地址。
各种访问控制策略可以按照表3直观的表示:
表3
| 用户组1 | 用户组2 | 用户组3 | 资源组1 | 资源组2 | |
| 用户组1 | deny | ||||
| 用户组2 | deny | deny | |||
| 用户组3 | deny | deny |
由表3可以看出,各种访问控制策略包括:同一用户组内的访问控制策略,和/或不同用户组之间的访问控制策略,和/或用户组对资源组的访问控制策略。表3中,如果第m行第n列中标记了deny,则表示禁止第m行对应的用户组与第n列对应的用户组内的用户之间互相访问,或者,用于表示禁止第m行对应的用户组访问第n列对应的资源组内的数据中心服务器;其中,当第m行对应的用户组与第n列对应的用户组是同一用户组时,实现了同一用户组内的访问控制,当第m行对应的用户组与第n列对应的用户组不是同一用户组时,实现了不同用户组之间的访问控制。
显然,如果第m行第n列中没有标记deny,则表示允许访问。
例如,第4行第2列中标记了deny,用于表示禁止用户组1与用户组3内的用户之间互相访问;第3行第3列中标记了deny,用于表示禁止用户组2内的用户之间互相访问;第2行第6列中标记了deny,用于表示禁止用户组1内的用户访问资源组2内的数据中心服务器,即,禁止访问IP地址属于网段10.200.0.0/24的数据中心服务器。
SDN控制器将用户组信息、资源组信息和各种访问控制策略中的相应内容,发送给接入交换机、汇聚交换机、核心交换机、认证服务器和DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器,以便这些设备可以进行相应配置。具体配置过程如下:
SDN控制器将所有用户组对应的VLAN发送给所有接入交换机。每一个接入交换机接收到这些VLAN之后,在本设备上配置这些VLAN,将本设备上连接汇聚交换机的上行端口配置为允许发送这些VLAN内的报文,从而,接入交换机可以通过上行端口发送封装有这些VLAN的报文。
SDN控制器将如表1所示的用户组信息发送给所有汇聚交换机。每一个汇聚交换机在接收到该用户组信息之后,在本设备上配置这些VLAN,将本设备上连接接入交换机的下行端口配置为允许接收这些VLAN内的报文,从而,汇聚交换机可以从下行端口上接收封装有这些VLAN的报文;在本设备上配置所有用户组对应的VXLAN和网段,建立VLAN、VXLAN以及网段之间的对应关系;在本设备上配置网段的网关以及该网关的IP地址和MAC地址。其中,在实际实施过程中,可以将VXLAN对应的VXLAN虚接口配置为对应网段的网关。从而,每一个汇聚交换机上都配置有所有网段的网关,这样,无论用户移动到何处,通过接入交换机接入到哪一个汇聚交换机上,该汇聚交换机上都有该用户的IP地址所属网段的网关。
SDN控制器将所有用户组对应的VXLAN发送给所有核心交换机。每一个核心交换机接收到这些VXLAN之后,在本设备上配置这些VXLAN。另外,核心交换机还需要通过路由协议,配置与数据中心交换机等外部设备的路由连接。
SDN控制器还会将所有用户组对应的网段、如表2所示的资源组信息、以及如表3所示的各种访问控制策略,发送给所有汇聚交换机。每一个汇聚交换机接收到这些内容之后,在本设备上配置对应的ACL规则,其中,该ACL规则中包括:被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段,其中,第一网段和第二网段为与同一用户组对应的网段,或者,第一网段和第二网段为与不同用户组对应的网段,或者,第一网段为与用户组对应的网段、第二网段为与资源组对应的网段。
可见,当第一网段和第二网段为与同一用户组对应的网段时,该ACL规则用于禁止同一用户组内的用户之间互相访问,当第一网段和第二网段为与不同用户组对应的网段时,该ACL规则用于禁止不同用户组内的用户之间互相访问,当第一网段为与用户组对应的网段、第二网段为与资源组对应的网段时,该ACL规则用于禁止该用户组内的用户访问该资源组中的数据中心服务器。
例如,按照如表3所示的访问控制策略配置的ACL规则如下:
其中,ACL1用于禁止用户组1内的用户访问资源组2内的数据中心服务器;ACL2用于禁止用户组2内的用户之间互相访问;ACL3和ACL4用于禁止用户组2与用户组3内的用户之间互相访问;ACL5和ACL6用于禁止用户组1与用户组3内的用户之间互相访问;ACL7用于禁止用户组3内的用户访问资源组1内的数据中心服务器。
SDN控制器将所有用户组及其对应的VLAN发送给认证服务器。认证服务器接收到所有用户组及其对应的VLAN之后,保存这些用户组与VLAN之间的对应关系。另外,认证服务器上还配置有用户与用户组之间的对应关系,从而,在认证服务器上,保存有用户、用户组、与VLAN之间的对应关系。
SDN控制器将所有VLAN及其对应的网段发送给DHCP服务器。DHCP服务器在接收到这些VLAN及其对应的网段之后,保存这些VLAN与网段之间的对应关系。具体的,可以将每一个网段的IP地址分别保存到一个地址池中,建立VLAN与地址池之间的对应关系。
为了实现同一用户组内的访问控制,需要在接入交换机上开启端口隔离功能,这样,接入交换机从用户端口接收到的报文,只能通过连接汇聚交换机的上行端口,转发给汇聚交换机进行网络访问控制。另外,由于在接入交换机上开启了端口隔离功能,用户发出的ARP(Address Resolution Protocol,地址解析协议)请求报文,只能转发给汇聚交换机,因此,需要为汇聚交换机上的每一个网关配置ARP代理(proxy)功能,这样,汇聚交换机接收到该ARP请求报文之后,会针对该ARP请求报文做出应答。
在完成上述配置过程之后,用户即可进行接入认证,并在认证通过后访问网络。
在任一用户进行接入认证的过程中,认证服务器会确定该用户所属的用户组,并进一步确定该用户组对应的VLAN,将该VLAN发送给接入交换机;接入交换机在接收到该VLAN之后,将本设备上连接该用户的用户端口加入到该VLAN中。后续,该用户即会申请IP地址。接入交换机接收到该用户发来的地址申请报文之后,确定接收到该地址申请报文的用户端口所属的VLAN,然后,在该地址申请报文中封装该VLAN后,发送给DHCP服务器;DHCP服务器接收到该地址申请报文之后,查找到该地址申请报文中封装的VLAN对应的网段,从该网段中选择一个未被占用的IP地址,携带在应答报文中发送给该接入交换机,通过该接入交换机将该应答报文转发给该用户,从而,该用户可以获得所属用户组对应的网段中的IP地址。
对于任一用户而言,只要该用户所属的用户组不变,那么,该用户无论从哪里接入,该用户都能获得与该用户组对应的网段中的IP地址,即,该用户的IP地址总是同一网段中的IP地址,因此,该用户发出的报文也总是能够命中包含该网段的ACL规则。
在获得了IP地址之后,该用户向IP地址为IP1(IP1即为目标IP地址)的数据中心服务器或另一用户发送用户报文之前,需要先获得IP1对应的MAC地址,此时,该用户判断IP1与该用户的IP地址是否属于同一网段,若是,则发送源IP地址为该用户的IP地址、目的IP地址为IP1的ARP请求报文;若不是同一网段,则发送源IP地址为该用户的IP地址、目的IP地址为该用户的IP地址所属网段的网关IP地址的ARP请求报文。
接入交换机接收到该ARP请求报文之后,确定接收到该ARP请求报文的用户端口所属的VLAN,在该ARP请求报文中封装该VLAN,由于开启了端口隔离功能,因此,只会将该ARP请求报文发送给汇聚交换机。
汇聚交换机接收到该ARP请求报文之后,如图3所示,会执行以下步骤:
步骤S101,在接收到接入交换机发来的ARP请求报文之后,确定对应的网关;
具体的,可以根据该ARP请求报文的源IP地址,查找到该源IP地址所属网段的网关;或者,根据该ARP请求报文中封装的VLAN,查找到该VLAN对应的网段的网关。
步骤S102,判断该ARP请求报文的目的IP地址是否是步骤S101中确定出的网关的IP地址,若是,则执行步骤S103,否则,执行步骤S104;
步骤S103,将该网关的MAC地址携带在ARP应答报文中发送给该接入交换机,通过该接入交换机转发给该用户;
步骤S104,在该网关配置了ARP代理功能时,将该网关的MAC地址携带在ARP应答报文中发送给接入交换机,通过该接入交换机转发给该用户。显然,在该网关没有配置ARP代理功能时,不会做出应答。
该用户接收到该ARP应答报文之后,建立IP1与该网关的MAC地址之间的对应关系。后续,该用户发出目的IP地址是IP1、目的MAC地址是该网关的MAC地址的用户报文。
具体的,对该用户报文进行网络访问控制的具体流程如下:
接入交换机接收到该用户报文之后,确定接收到该用户报文的用户端口所属的VLAN,在该用户报文中封装该VLAN,之后转发给汇聚交换机。
如图4所示,汇聚交换机接收到该用户报文后,会执行以下步骤:
步骤S201,在接收到该用户报文之后,将该用户报文的源IP地址与ACL规则中的第一网段进行匹配,并将该用户报文的目的IP地址与该ACL规则中的第二网段进行匹配;
在步骤S201中,若均匹配,说明该用户报文命中该ACL规则,否则,若该用户报文的源IP地址与第一网段不匹配,和/或,该用户报文的目的IP地址与第二网段不匹配,说明该用户报文没有命中该ACL规则。
步骤S202,判断该用户报文是否命中该ACL规则,若是,则执行步骤S203,否则,执行步骤S204;
步骤S203,丢弃该用户报文;
步骤S204,转发该用户报文。
具体的,步骤S204中,根据该用户报文的目的IP地址在路由表中查找对应的出接口,若查找到的出接口为本设备的下行端口,则通过查找到的下行端口转发该用户报文,若查找到的出接口为VXLAN隧道接口,则查找与该用户报文中封装的VLAN对应的VXLAN,并对该用户报文进行VXLAN封装后进行转发。
在本申请上述实施例中的VLAN,均指的是用户组对应的VLAN。
本申请上述实施例的方法,实现了以下技术效果:
在汇聚交换机和核心交换机上应用overlay技术,从而,构建了一个overlay网络架构,即,一个虚拟的大二层网络,具有用户可迁移的好处。
汇聚交换机上配置有ACL规则,该ACL规则中包括:被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段,其中,第一网段和第二网段可以是与同一用户组对应的网段、也可以是与不同用户组对应的网段,或者,第一网段为与用户组对应的网段、第二网段为与资源组对应的网段;用户无论从何处接入,在进行接入认证时,会为该用户分配该用户所属用户组对应的VLAN,并为该用户分配该VLAN对应的网段中的IP地址;汇聚交换机在接收到该用户的用户报文之后,会将该用户报文与该ACL规则进行匹配,若命中该ACL规则,则丢弃该用户报文,从而,不仅可以实现对资源组中的数据中心服务器的网络访问控制,而且,可以实现同一用户组内的网络访问控制,以及不同用户组之间的网络访问控制。
由于在汇聚交换机上配置ACL规则,而不是在接入交换机上配置,汇聚交换机的数量明显小于接入交换机,因而可以减少需要配置的ACL规则总数,减轻配置工作量。
只要该用户所属的用户组不变,分配给该用户的VLAN就不变,分配给该用户的IP地址所属网段也不变,因此,无论该用户移动到何处,该用户发出的用户报文总是能够命中包含该网段的ACL规则,该ACL规则不会受到用户接入位置变化的影响,避免了用户接入位置的变化所导致的ACL规则的更新。而且,当需要实现同一用户组内的网络访问控制时,只需一条ACL规则即可实现,此时,该ACL规则中的第一网段和第二网段均为该用户组对应的网段,从而极大的减少了需要配置的ACL规则数量,节约了ACL资源。
由于构建了overlay的网络架构,因此,可以应用于超大规模网络和跨WAN的网络中。
与前述网络访问控制的实现方法的实施例相对应,本申请还提供了网络访问控制的实现装置的实施例。
本申请网络访问控制的实现装置60的实施例可以应用在汇聚交换机上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在汇聚交换机的处理器10将非易失性存储器50中对应的计算机程序指令读取到内存40中运行形成的。从硬件层面而言,如图5所示,为本申请网络访问控制的实现装置所在汇聚交换机的一种硬件结构图,除了图5所示的处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50之外,实施例中装置所在的汇聚交换机通常根据该汇聚交换机的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图6,本申请实施例的网络访问控制的实现装置60中包括以下模块:
配置模块601,用于在本设备上配置ACL规则,该ACL规则中包括:被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段,其中,第一网段和第二网段为与同一用户组对应的网段,或者,第一网段和第二网段为与不同用户组对应的网段,或者,第一网段为与用户组对应的网段、第二网段为与资源组对应的网段;
接收模块602,用于接收接入交换机发来的用户报文;
匹配模块603,用于在接收模块602接收到接入交换机发来的用户报文之后,将该用户报文的源IP地址与该ACL规则中的第一网段进行匹配,并将该用户报文的目的IP地址与该ACL规则中的第二网段进行匹配;其中,该用户报文的源IP地址为与该用户所属用户组绑定的VLAN所对应的网段中的IP地址;
处理模块604,用于若匹配模块603判断出均匹配,则丢弃该用户报文。
其中,在汇聚交换机之间、汇聚交换机与核心交换机之间建立VXLAN隧道,则,如图7所示,上述网络访问控制的实现装置60中还包括:关系建立模块605,其中:
接收模块602,还用于接收SDN控制器发来的用户组信息,其中,用户组信息中包括:用户组以及对应的VLAN、VXLAN和网段;
配置模块601,还用于在接收模块602接收到用户组信息之后,在本设备上配置用户组对应的VLAN、VXLAN以及网段;还用于配置网段的网关的IP地址和MAC地址;
关系建立模块605,用于建立VLAN、VXLAN以及网段之间的对应关系。
其中,处理模块604,还用于若匹配模块603判断出该用户报文的源IP地址与第一网段不匹配,和/或,该用户报文的目的IP地址与第二网段不匹配,则根据该目的IP地址在路由表中查找对应的出接口,若查找到的出接口为本设备的下行端口,则通过查找到的下行端口转发该用户报文,若查找到的出接口为VXLAN隧道接口,则查找与该用户报文中封装的VLAN对应的VXLAN,并对该用户报文进行VXLAN封装后进行转发。
另外,如图8所示,上述网络访问控制的实现装置60中还包括:网关确定模块606和发送模块607,其中:
接收模块602,还用于接收接入交换机发来的用户的ARP请求报文;
网关确定模块606,用于在接收模块602接收到用户的ARP请求报文之后,确定对应的网关,其中,该ARP请求报文是该用户向目标IP地址发送用户报文之前发出的,当该目标IP地址与该ARP请求报文的源IP地址属于同一网段时,该ARP请求报文的目的IP地址为该目标IP地址,当该目标IP地址与该ARP请求报文的源IP地址属于不同网段时,该ARP请求报文的目的IP地址为该源IP地址所属网段的网关IP地址;
发送模块607,用于若该ARP请求报文的目的IP地址是网关确定模块606确定出的网关的IP地址,则将该网关的MAC地址携带在ARP应答报文中发送给接入交换机,若该ARP请求报文的目的IP地址不是该网关的IP地址,则在该网关配置了ARP代理功能时,将该网关的MAC地址携带在ARP应答报文中发送给接入交换机,以使该用户接收到该接入交换机转发来的该ARP应答报文之后,建立该目标IP地址与该网关的MAC地址的对应关系,向该接入交换机发送目的IP地址为该目标IP地址、目的MAC地址是该网关的MAC地址的用户报文。
其中,网关确定模块606具体用于:根据ARP请求报文中封装的VLAN,确定该VLAN对应的网段的网关;或者,根据ARP请求报文的源IP地址,确定该源IP地址所属网段的网关。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种网络访问控制的实现方法,其特征在于,所述方法应用于汇聚交换机;其中,汇聚交换机通过overlay技术在汇聚交换机之间、汇聚交换机与核心交换机之间建立可扩展虚拟局域网络的VXLAN隧道,所述方法包括:
接收软件定义网络SDN控制器通过EVPN机制下发的用户组信息,其中,所述用户组信息中包括:用户组以及对应的VLAN、VXLAN和网段;
在本设备上配置用户组对应的VLAN、VXLAN以及网段,建立所述VLAN、VXLAN以及网段之间的对应关系,并配置所述网段的网关的IP地址和MAC地址;
在本设备上配置与用户组相关的访问控制列表ACL规则,所述ACL规则中包括:属于同一用户组中的、被禁止进行用户间互相访问的用户报文的源IP地址所属的第一网段和目的IP地址所属的第二网段;
接收到接入交换机发来的与用户组相关的用户报文之后,将所述用户报文的源IP地址与所述ACL规则中的所述第一网段进行匹配,并将所述用户报文的目的IP地址与所述ACL规则中的所述第二网段进行匹配;其中,所述用户报文的源IP地址为与该用户所属用户组绑定的VLAN所对应的网段中的IP地址;
若均匹配,则确定属于同一用户组中的多个用户将进行用户间相互访问,丢弃所述用户报文,以禁止属于同一用户组中的多个用户进行用户相互访问。
2.根据权利要求1所述的方法,其特征在于,将所述用户报文的源IP地址与所述ACL规则中的所述第一网段进行匹配,并将所述用户报文的目的IP地址与所述ACL规则中的所述第二网段进行匹配之后,还包括:
若所述用户报文的源IP地址与所述第一网段不匹配,和/或,所述用户报文的目的IP地址与所述第二网段不匹配,则根据所述目的IP地址在路由表中查找对应的出接口;
若查找到的出接口为本设备的下行端口,则通过查找到的下行端口转发所述用户报文;
若查找到的出接口为VXLAN隧道接口,则查找与所述用户报文中封装的VLAN对应的VXLAN,并对所述用户报文进行VXLAN封装后进行转发。
3.根据权利要求1所述的方法,其特征在于,在接收到接入交换机发来的用户报文之前,还包括:
在接收到所述接入交换机发来的所述用户的地址解析协议ARP请求报文之后,确定对应的网关,其中,所述ARP请求报文是所述用户向目标IP地址发送用户报文之前发出的,当所述目标IP地址与所述ARP请求报文的源IP地址属于同一网段时,所述ARP请求报文的目的IP地址为所述目标IP地址,当所述目标IP地址与所述ARP请求报文的源IP地址属于不同网段时,所述ARP请求报文的目的IP地址为所述源IP地址所属网段的网关IP地址;
若所述ARP请求报文的目的IP地址是该网关的IP地址,则将该网关的MAC地址携带在ARP应答报文中发送给所述接入交换机,若所述ARP请求报文的目的IP地址不是该网关的IP地址,则在该网关配置了ARP代理功能时,将该网关的MAC地址携带在ARP应答报文中发送给所述接入交换机,以使所述用户接收到所述接入交换机转发来的所述ARP应答报文之后,建立所述目标IP地址与该网关的MAC地址的对应关系,向所述接入交换机发送目的IP地址为所述目标IP地址、目的MAC地址是该网关的MAC地址的所述用户报文。
4.根据权利要求3所述的方法,其特征在于,所述确定对应的网关包括:
根据所述ARP请求报文中封装的VLAN,确定该VLAN对应的网段的网关;
或者,根据所述ARP请求报文的源IP地址,确定该源IP地址所属网段的网关。
5.一种网络访问控制的实现装置,其特征在于,所述装置应用于汇聚交换机;其中,所述汇聚交换机通过overlay技术在汇聚交换机之间、汇聚交换机与核心交换机之间建立可扩展虚拟局域网络的VXLAN隧道,所述装置包括:
接收模块,用于接收软件定义网络SDN控制器通过EVPN机制下发的用户组信息,其中,所述用户组信息中包括:用户组以及对应的VLAN、VXLAN和网段;
配置模块,用于在本设备上配置用户组对应的VLAN、VXLAN以及网段;
关系建立模块,用于建立所述VLAN、VXLAN以及网段之间的对应关系,并配置所述网段的网关的IP地址和MAC地址;
所述配置模块,还用于在本设备上配置与用户组相关的访问控制列表ACL规则,所述ACL规则中包括:属于同一用户组中的、被禁止进行用户间互相访问的用户报文的源IP地址所属的第一网段和目的IP地址所属的第二网段;
所述接收模块,还用于接收接入交换机发来的与用户组相关的用户报文;
匹配模块,用于将所述用户报文的源IP地址与所述ACL规则中的所述第一网段进行匹配,并将所述用户报文的目的IP地址与所述ACL规则中的所述第二网段进行匹配;其中,所述用户报文的源IP地址为与该用户所属用户组绑定的VLAN所对应的网段中的IP地址;
处理模块,用于若所述匹配模块判断出均匹配,则确定属于同一用户组中的多个用户将进行用户间相互访问,丢弃所述用户报文,以禁止属于同一用户组中的多个用户进行用户相互访问。
6.根据权利要求5所述的装置,其特征在于,
所述处理模块,还用于若所述匹配模块判断出所述用户报文的源IP地址与所述第一网段不匹配,和/或,所述用户报文的目的IP地址与所述第二网段不匹配,则根据所述目的IP地址在路由表中查找对应的出接口,若查找到的出接口为本设备的下行端口,则通过查找到的下行端口转发所述用户报文,若查找到的出接口为VXLAN隧道接口,则查找与所述用户报文中封装的VLAN对应的VXLAN,并对所述用户报文进行VXLAN封装后进行转发。
7.根据权利要求5所述的装置,其特征在于,还包括:网关确定模块和发送模块,其中:
所述接收模块,还用于接收所述接入交换机发来的所述用户的地址解析协议ARP请求报文;
所述网关确定模块,用于在所述接收模块接收到所述用户的ARP请求报文之后,确定对应的网关,其中,所述ARP请求报文是所述用户向目标IP地址发送用户报文之前发出的,当所述目标IP地址与所述ARP请求报文的源IP地址属于同一网段时,所述ARP请求报文的目的IP地址为所述目标IP地址,当所述目标IP地址与所述ARP请求报文的源IP地址属于不同网段时,所述ARP请求报文的目的IP地址为所述源IP地址所属网段的网关IP地址;
所述发送模块,用于若所述ARP请求报文的目的IP地址是所述网关确定模块确定出的网关的IP地址,则将该网关的MAC地址携带在ARP应答报文中发送给所述接入交换机,若所述ARP请求报文的目的IP地址不是该网关的IP地址,则在该网关配置了ARP代理功能时,将该网关的MAC地址携带在ARP应答报文中发送给所述接入交换机,以使所述用户接收到所述接入交换机转发来的所述ARP应答报文之后,建立所述目标IP地址与该网关的MAC地址的对应关系,向所述接入交换机发送目的IP地址为所述目标IP地址、目的MAC地址是该网关的MAC地址的所述用户报文。
8.根据权利要求7所述的装置,其特征在于,所述网关确定模块具体用于:
根据所述ARP请求报文中封装的VLAN,确定该VLAN对应的网段的网关;
或者,根据所述ARP请求报文的源IP地址,确定该源IP地址所属网段的网关。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610288688.7A CN107332812B (zh) | 2016-04-29 | 2016-04-29 | 网络访问控制的实现方法及装置 |
| US16/097,154 US11025631B2 (en) | 2016-04-29 | 2017-05-02 | Network access control |
| JP2018556323A JP6648308B2 (ja) | 2016-04-29 | 2017-05-02 | パケット伝送 |
| EP17788833.6A EP3451612B1 (en) | 2016-04-29 | 2017-05-02 | Network access control |
| PCT/CN2017/082690 WO2017186181A1 (zh) | 2016-04-29 | 2017-05-02 | 网络访问控制 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610288688.7A CN107332812B (zh) | 2016-04-29 | 2016-04-29 | 网络访问控制的实现方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107332812A CN107332812A (zh) | 2017-11-07 |
| CN107332812B true CN107332812B (zh) | 2020-07-07 |
Family
ID=60161827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610288688.7A Active CN107332812B (zh) | 2016-04-29 | 2016-04-29 | 网络访问控制的实现方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11025631B2 (zh) |
| EP (1) | EP3451612B1 (zh) |
| JP (1) | JP6648308B2 (zh) |
| CN (1) | CN107332812B (zh) |
| WO (1) | WO2017186181A1 (zh) |
Families Citing this family (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10454714B2 (en) | 2013-07-10 | 2019-10-22 | Nicira, Inc. | Method and system of overlay flow control |
| US10135789B2 (en) | 2015-04-13 | 2018-11-20 | Nicira, Inc. | Method and system of establishing a virtual private network in a cloud service for branch networking |
| US10523636B2 (en) * | 2016-02-04 | 2019-12-31 | Airwatch Llc | Enterprise mobility management and network micro-segmentation |
| US20180219765A1 (en) | 2017-01-31 | 2018-08-02 | Waltz Networks | Method and Apparatus for Network Traffic Control Optimization |
| US11706127B2 (en) | 2017-01-31 | 2023-07-18 | Vmware, Inc. | High performance software-defined core network |
| US10778528B2 (en) | 2017-02-11 | 2020-09-15 | Nicira, Inc. | Method and system of connecting to a multipath hub in a cluster |
| US10594516B2 (en) | 2017-10-02 | 2020-03-17 | Vmware, Inc. | Virtual network provider |
| US10999100B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
| US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
| FR3072529B1 (fr) * | 2017-10-17 | 2019-10-18 | Sagemcom Broadband Sas | Routage de donnees dans une passerelle residentielle mettant en œuvre l'agregation de liens |
| US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
| CN108600170A (zh) * | 2018-03-20 | 2018-09-28 | 大势至(北京)软件工程有限公司 | 一种控制多网段环境下网络设备上网行为的方法及系统 |
| CN110401726B (zh) * | 2018-04-24 | 2022-04-15 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法、装置及设备、存储介质 |
| CN108616463B (zh) * | 2018-04-25 | 2021-04-30 | 新华三技术有限公司 | 一种报文处理方法及交换机 |
| CN110446214A (zh) * | 2018-05-03 | 2019-11-12 | 中兴通讯股份有限公司 | 管理网络访问进程的方法、装置及设备、存储介质 |
| CN110650075B (zh) * | 2018-06-26 | 2022-02-18 | 华为技术有限公司 | 基于vxlan的组策略实现方法、网络设备和组策略实现系统 |
| CN110650076B (zh) | 2018-06-26 | 2021-12-24 | 华为技术有限公司 | Vxlan的实现方法,网络设备和通信系统 |
| CN109525601B (zh) * | 2018-12-28 | 2021-04-27 | 杭州迪普科技股份有限公司 | 内网中终端间的横向流量隔离方法和装置 |
| CN111030970B (zh) * | 2019-03-21 | 2023-04-18 | 安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
| CN111865876B (zh) * | 2019-04-29 | 2021-10-15 | 华为技术有限公司 | 网络的访问控制方法和设备 |
| US11018995B2 (en) | 2019-08-27 | 2021-05-25 | Vmware, Inc. | Alleviating congestion in a virtual network deployed over public clouds for an entity |
| CN110535744B (zh) * | 2019-08-29 | 2021-12-24 | 新华三信息安全技术有限公司 | 报文处理方法、装置及Leaf设备 |
| CN116208658A (zh) | 2019-09-06 | 2023-06-02 | 华为云计算技术有限公司 | 混合云环境中的通信方法及网关、管理方法及装置 |
| CN112565158B (zh) * | 2019-09-25 | 2022-10-04 | 阿里巴巴集团控股有限公司 | 数据访问方法、装置、系统、电子设备及计算机可读介质 |
| CN110691101A (zh) * | 2019-10-28 | 2020-01-14 | 锐捷网络股份有限公司 | 哑终端免认证名单的配置方法及装置 |
| CN111130976B (zh) * | 2019-11-15 | 2022-04-22 | 苏州浪潮智能科技有限公司 | 一种配置白盒交换机虚拟局域网的方法、设备及介质 |
| CN110838966B (zh) * | 2019-11-20 | 2022-03-01 | 紫光华山科技有限公司 | 一种设备连接控制方法及装置 |
| CN112838983B (zh) * | 2019-11-22 | 2023-09-12 | 斑马智行网络(香港)有限公司 | 数据传输方法、系统、设备、代理服务器及存储介质 |
| CN110958334B (zh) * | 2019-11-25 | 2022-08-09 | 新华三半导体技术有限公司 | 报文处理方法及装置 |
| US11489783B2 (en) | 2019-12-12 | 2022-11-01 | Vmware, Inc. | Performing deep packet inspection in a software defined wide area network |
| CN111107142B (zh) * | 2019-12-16 | 2022-07-01 | 新华三大数据技术有限公司 | 业务访问方法和装置 |
| CN113132326B (zh) * | 2019-12-31 | 2022-08-09 | 华为技术有限公司 | 一种访问控制方法、装置及系统 |
| US11418997B2 (en) | 2020-01-24 | 2022-08-16 | Vmware, Inc. | Using heart beats to monitor operational state of service classes of a QoS aware network link |
| CN111695149B (zh) * | 2020-05-15 | 2023-07-28 | 浙江信网真科技股份有限公司 | 一种基于云协同的安全过滤方法 |
| US11522754B2 (en) * | 2020-09-15 | 2022-12-06 | Arista Networks, Inc. | Systems and methods for Zero-Touch Provisioning of a switch in intermediate distribution frames and main distribution frames |
| US11929903B2 (en) | 2020-12-29 | 2024-03-12 | VMware LLC | Emulating packet flows to assess network links for SD-WAN |
| US12218845B2 (en) | 2021-01-18 | 2025-02-04 | VMware LLC | Network-aware load balancing |
| CN116783874A (zh) | 2021-01-18 | 2023-09-19 | Vm维尔股份有限公司 | 网络感知的负载平衡 |
| US11979325B2 (en) | 2021-01-28 | 2024-05-07 | VMware LLC | Dynamic SD-WAN hub cluster scaling with machine learning |
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
| US20220353190A1 (en) * | 2021-04-29 | 2022-11-03 | Vmware, Inc. | Methods for micro-segmentation in sd-wan for virtual networks |
| US12009987B2 (en) | 2021-05-03 | 2024-06-11 | VMware LLC | Methods to support dynamic transit paths through hub clustering across branches in SD-WAN |
| US11729065B2 (en) | 2021-05-06 | 2023-08-15 | Vmware, Inc. | Methods for application defined virtual network service among multiple transport in SD-WAN |
| US12015536B2 (en) | 2021-06-18 | 2024-06-18 | VMware LLC | Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds |
| US12250114B2 (en) | 2021-06-18 | 2025-03-11 | VMware LLC | Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of sub-types of resource elements in the public clouds |
| US11595232B1 (en) * | 2021-07-13 | 2023-02-28 | Paul Chang | Switch fabric for a data center network having virtual machines |
| US12047282B2 (en) | 2021-07-22 | 2024-07-23 | VMware LLC | Methods for smart bandwidth aggregation based dynamic overlay selection among preferred exits in SD-WAN |
| US12267364B2 (en) | 2021-07-24 | 2025-04-01 | VMware LLC | Network management services in a virtual network |
| US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
| CN114124896B (zh) * | 2021-11-03 | 2023-08-08 | 中盈优创资讯科技有限公司 | 一种解决客户与服务系统间广播域被隔离方法及装置 |
| CN114051246B (zh) * | 2021-11-16 | 2024-02-20 | 酒泉钢铁(集团)有限责任公司 | 基于sdn+vxlan网络与企业5g网络融合的方法 |
| US12184557B2 (en) | 2022-01-04 | 2024-12-31 | VMware LLC | Explicit congestion notification in a virtual environment |
| CN114520737B (zh) * | 2022-01-26 | 2024-04-02 | 北京华信傲天网络技术有限公司 | 一种无线用户的二层数据访问控制方法及系统 |
| US12052288B2 (en) | 2022-03-08 | 2024-07-30 | Arista Networks, Inc. | Fallback segmentation security |
| US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
| US20240022626A1 (en) | 2022-07-18 | 2024-01-18 | Vmware, Inc. | Dns-based gslb-aware sd-wan for low latency saas applications |
| US12237990B2 (en) | 2022-07-20 | 2025-02-25 | VMware LLC | Method for modifying an SD-WAN using metric-based heat maps |
| CN115412319B (zh) * | 2022-08-19 | 2024-03-26 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
| US12057993B1 (en) | 2023-03-27 | 2024-08-06 | VMware LLC | Identifying and remediating anomalies in a self-healing network |
| US12034587B1 (en) | 2023-03-27 | 2024-07-09 | VMware LLC | Identifying and remediating anomalies in a self-healing network |
| US12261777B2 (en) | 2023-08-16 | 2025-03-25 | VMware LLC | Forwarding packets in multi-regional large scale deployments with distributed gateways |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527209A (zh) * | 2003-03-06 | 2004-09-08 | 华为技术有限公司 | 一种基于用户帐号的网络访问控制方法 |
| CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
| CN102404346A (zh) * | 2011-12-27 | 2012-04-04 | 神州数码网络(北京)有限公司 | 一种互联网用户访问权限的控制方法及系统 |
| EP2847969A1 (en) * | 2012-05-10 | 2015-03-18 | Cisco Technology, Inc. | Method and apparatus for supporting access control lists in a multi-tenant environment |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7009933B2 (en) * | 2001-01-30 | 2006-03-07 | Broadcom Corporation | Traffic policing of packet transfer in a dual speed hub |
| US8045566B2 (en) * | 2003-08-01 | 2011-10-25 | Hewlett-Packard Development Company, L.P. | Automated router load balancing |
| CN100586088C (zh) * | 2006-07-20 | 2010-01-27 | 杭州华三通信技术有限公司 | 实现虚拟局域网聚合的方法和汇聚交换机 |
| CN101022394B (zh) * | 2007-04-06 | 2010-05-26 | 杭州华三通信技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
| CN101827008A (zh) * | 2009-03-04 | 2010-09-08 | 中兴通讯股份有限公司 | 一种控制以太网地址表刷新次数的方法 |
| WO2011150396A1 (en) * | 2010-05-28 | 2011-12-01 | Huawei Technologies Co., Ltd. | Virtual layer 2 and mechanism to make it scalable |
| JPWO2012081631A1 (ja) * | 2010-12-16 | 2014-05-22 | 日本電気株式会社 | スイッチング装置、その上位装置、ネットワーク及びパケット転送方法 |
| JP5874726B2 (ja) * | 2011-01-05 | 2016-03-02 | 日本電気株式会社 | 通信制御システム、制御サーバ、転送ノード、通信制御方法および通信制御プログラム |
| WO2012122217A2 (en) * | 2011-03-07 | 2012-09-13 | Adtran, Inc. | Method and apparatus for network access control |
| JP5395833B2 (ja) | 2011-03-14 | 2014-01-22 | 株式会社東芝 | 仮想ネットワークシステム及び仮想通信制御方法 |
| EP2693696A4 (en) * | 2011-03-31 | 2014-08-27 | Nec Corp | COMPUTER SYSTEM AND COMMUNICATION METHOD |
| US8675664B1 (en) * | 2011-08-03 | 2014-03-18 | Juniper Networks, Inc. | Performing scalable L2 wholesale services in computer networks using customer VLAN-based forwarding and filtering |
| JP5484427B2 (ja) | 2011-10-27 | 2014-05-07 | 株式会社日立製作所 | ネットワークシステムの管理方法、ネットワークシステム及び管理サーバ |
| CA2775804C (en) * | 2012-05-08 | 2013-01-29 | Guest Tek Interactive Entertainment Ltd. | Automatically configuring computer network at hospitality establishment with reservation-specific settings |
| US9210079B2 (en) * | 2012-08-14 | 2015-12-08 | Vmware, Inc. | Method and system for virtual and physical network integration |
| JP6060688B2 (ja) * | 2013-01-10 | 2017-01-18 | 富士通株式会社 | 転送装置、通信システム、および迂遠経路検知方法 |
| US20140233569A1 (en) | 2013-02-15 | 2014-08-21 | Futurewei Technologies, Inc. | Distributed Gateway in Virtual Overlay Networks |
| US9325610B2 (en) * | 2013-03-15 | 2016-04-26 | Cisco Technology, Inc. | Extended tag networking |
| US9203738B2 (en) * | 2013-05-21 | 2015-12-01 | Cisco Technology, Inc. | Optimal forwarding for trill fine-grained labeling and VXLAN interworking |
| EP2993836B1 (en) * | 2013-06-14 | 2020-02-19 | Huawei Technologies Co., Ltd. | Method and device for routing data message |
| US9374323B2 (en) * | 2013-07-08 | 2016-06-21 | Futurewei Technologies, Inc. | Communication between endpoints in different VXLAN networks |
| CN104869065B (zh) * | 2014-02-26 | 2020-04-21 | 中兴通讯股份有限公司 | 数据报文处理方法及装置 |
| CN105471740B (zh) * | 2014-07-09 | 2018-10-12 | 新华三技术有限公司 | 基于软件定义网络的网关迁徙处理方法及装置 |
| US9825878B2 (en) * | 2014-09-26 | 2017-11-21 | Cisco Technology, Inc. | Distributed application framework for prioritizing network traffic using application priority awareness |
| CN105450532B (zh) * | 2014-09-28 | 2018-10-09 | 新华三技术有限公司 | 软件定义网络中的三层转发方法及装置 |
| CN105577548B (zh) * | 2014-10-10 | 2018-10-09 | 新华三技术有限公司 | 一种软件定义网络中报文处理方法和装置 |
| US9781004B2 (en) * | 2014-10-16 | 2017-10-03 | Cisco Technology, Inc. | Discovering and grouping application endpoints in a network environment |
| CN105656796B (zh) * | 2014-11-25 | 2019-01-22 | 新华三技术有限公司 | 实现虚拟扩展局域网三层转发的方法和装置 |
| US9621577B2 (en) * | 2015-05-28 | 2017-04-11 | Microsoft Technology Licensing, Llc | Mitigation of computer network attacks |
| EP3366020B1 (en) * | 2015-10-20 | 2021-02-24 | Hewlett-Packard Enterprise Development LP | Sdn controller assisted intrusion prevention systems |
| US10298490B2 (en) * | 2015-12-09 | 2019-05-21 | Cisco Technology, Inc. | Coexistence and migration of legacy ethernet and overlay networks |
| US10432628B2 (en) * | 2016-02-23 | 2019-10-01 | Cisco Technology, Inc. | Method for improving access control for TCP connections while optimizing hardware resources |
| US10200278B2 (en) * | 2016-03-02 | 2019-02-05 | Arista Networks, Inc. | Network management system control service for VXLAN on an MLAG domain |
| US10142163B2 (en) * | 2016-03-07 | 2018-11-27 | Cisco Technology, Inc | BFD over VxLAN on vPC uplinks |
| US10270778B2 (en) * | 2016-03-21 | 2019-04-23 | Google Llc | Methods and systems for dynamic creation of access control lists |
-
2016
- 2016-04-29 CN CN201610288688.7A patent/CN107332812B/zh active Active
-
2017
- 2017-05-02 EP EP17788833.6A patent/EP3451612B1/en active Active
- 2017-05-02 US US16/097,154 patent/US11025631B2/en active Active
- 2017-05-02 JP JP2018556323A patent/JP6648308B2/ja active Active
- 2017-05-02 WO PCT/CN2017/082690 patent/WO2017186181A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527209A (zh) * | 2003-03-06 | 2004-09-08 | 华为技术有限公司 | 一种基于用户帐号的网络访问控制方法 |
| CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
| CN102404346A (zh) * | 2011-12-27 | 2012-04-04 | 神州数码网络(北京)有限公司 | 一种互联网用户访问权限的控制方法及系统 |
| EP2847969A1 (en) * | 2012-05-10 | 2015-03-18 | Cisco Technology, Inc. | Method and apparatus for supporting access control lists in a multi-tenant environment |
Also Published As
| Publication number | Publication date |
|---|---|
| US11025631B2 (en) | 2021-06-01 |
| JP2019516320A (ja) | 2019-06-13 |
| WO2017186181A1 (zh) | 2017-11-02 |
| CN107332812A (zh) | 2017-11-07 |
| EP3451612B1 (en) | 2021-03-03 |
| EP3451612A1 (en) | 2019-03-06 |
| US20190132322A1 (en) | 2019-05-02 |
| JP6648308B2 (ja) | 2020-02-14 |
| EP3451612A4 (en) | 2019-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107332812B (zh) | 网络访问控制的实现方法及装置 | |
| US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
| US9729578B2 (en) | Method and system for implementing a network policy using a VXLAN network identifier | |
| US10848461B2 (en) | Unified security policies across virtual private clouds with overlapping IP address blocks | |
| US9755959B2 (en) | Dynamic service path creation | |
| US10728176B2 (en) | Ruled-based network traffic interception and distribution scheme | |
| US10320838B2 (en) | Technologies for preventing man-in-the-middle attacks in software defined networks | |
| US11228558B2 (en) | Method and apparatus for isolating transverse communication between terminal devices in intranet | |
| US9363207B2 (en) | Private virtual local area network isolation | |
| US20160212048A1 (en) | Openflow service chain data packet routing using tables | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| US20160028624A1 (en) | Virtual machine migration | |
| US8713628B2 (en) | Method and system for providing cloud based network security services | |
| CN111865806B (zh) | 基于前缀的胖流 | |
| US9716688B1 (en) | VPN for containers and virtual machines in local area networks | |
| US20190356632A1 (en) | Method and system for network traffic steering towards a service device | |
| CN108259295B (zh) | Mac地址同步方法及装置 | |
| Potter et al. | The integration of ethernet virtual private network in kubernetes | |
| US9548964B1 (en) | VPN for containers and virtual machines in local area networks | |
| US11265320B2 (en) | Extended redirect mirror | |
| CN111541651B (zh) | 一种通信方法及装置 | |
| CN113647065A (zh) | 虚拟网络拓扑 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |