[发明专利]网络设备

说明书

技术领域

本发明涉及一种网络设备，其依靠各IP(因特网协议)地址块执行从外部设备 到该网络设备的访问控制。

背景技术

对于通过网络与两个或更多外部设备连接的网络设备，需要依照组织的操作规 则或网络设备的特性，允许或拒绝来自预定设备对网络设备的访问。例如，对于面 向公司的网络打印机(网络设备)的情况，需要只接受来自安装网络打印机的公司 部门的对网络打印机的打印请求，并且拒绝来自其他公司部门的对网络打印机的打 印请求。

已经提出执行这种访问控制的各种方法。其中一个简单、原始的方法是指定通 信伙伴的IP地址，并且允许或拒绝网络设备与具有指定IP地址的外部设备(通信 伙伴)的通信。

基本上，当根据上述方法执行访问控制时，通过指定单个IP地址只能控制网 络设备和一个外部设备的通信。因此，通常是定义IP地址的特定范围(IP地址块)， 并且控制网络设备和所定义IP地址块的多个外部设备的通信。包括“/”(斜线)的 符号用作IP地址块的符号。

例如，当IP地址块在IPv4(因特网协议版本4)中写为“123.134.145.0/24” 时，它表示定义IP地址，其前(upper)24位与所写IP地址的前24位(即 “123.134.145”)一致。并且对具有所定义IP地址的各外部设备组设置访问允许或 访问拒绝。作为替代，可以通过包括后面跟随“/”的IP地址的全部位数写出IP地 址本身而不是IP地址范围。

图1显示当通过指定IP地址块执行访问控制时，在常规网络设备中提供的用户 接口的示例。如图所示，向设备管理者(用户)提供请求用户输入IP地址块的功能， 以及请求用户对每个IP地址块选择访问允许或访问拒绝的功能。

具体地，将IP地址块的值输入到“IP地址块”的输入部分。当用户希望选择 拒绝网络设备和输入IP地址块之间的通信时，点击“拒绝访问”的开关，而当用户 希望选择允许网络设备和输入IP地址块之间的通信时，点击“允许访问”的开关。 在图1的用户接口的示例中，可以为常规网络设备指定三个IP地址块。

这样，设备管理者输入IP地址块的值作为访问控制的对象，并且设置通信允许 /拒绝的选择，使得可以执行从外部设备对常规网络设备的访问控制。

上述方法是简单而原始的，并可以仅仅通过指定IP地址块而执行访问控制。该 方法不但可用在IPv4(因特网协议版本4)中而且可用在IPv6(因特网协议版本6) 中。到本申请的提文时为止，在涉及本发明的领域中还没有发现任何公开物或文献。

然而，当打算实现IPv6环境中的多宿主(multi-homing)状态时，使用指定 IP地址块执行访问控制的上述方法具有如下问题。多宿主状态是一个网络具有与两 个或更多ISP(因特网服务提供商)连接的状态。

当特定网络获取对因特网的访问时，它必须与特定ISP有连接。在许多情况下， 为了一个ISP故障发生时的安全性目的，一个网络与两个或更多ISP具有连接。在 这种情况下，有必要实现多宿主状态。

假设多宿主环境中用“n”标识多宿主数(与特定网络具有连接的ISP的数目)， 各个ISP的不同前缀在网络中同时传输，并且分布“n”个前缀。在这种情况下，对 于网络中的各个网络设备分配“n”个全局单播地址。

因此，当打算允许或拒绝从网络中的预定网络设备或设备组对相关网络设备的 访问时，用户有必要为对应“n”个不同前缀的“n”类所有IP地址选择访问允许或 访问拒绝。

图2显示在多宿主环境中当通过指定各IP地址块来执行访问控制时、设备管理 者的操作的例子。

如图2所示，由掌握多宿主环境需要的网络管理者M1向设备管理者M2通知多 宿主环境的请求。随后，设备管理者M2必须对多宿主数“n”(在该例子中，n＝3) 向网络设备10(相同对象)重复IP地址块的设置。

这样，设置操作必须被重复多次，所述次数为IP地址块的数量乘以多宿主数“n” 所得的数量，设置操作变得复杂，并且设置错误有可能发生。

设置错误可能引起从访问拒绝设备对相关网络设备的访问被错误地允许，或引 起从访问允许设备对相关网络设备的访问被错误地禁止。为此，设置故障将导致安 全性和使用可靠性的降低。