[发明专利]一种处理源角色信息的方法和转发芯片

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及一种处理源角色信息的方法和转发芯片。

背景技术

为了保证网络的安全，当用户接入网络时，需要对用户进行认证，认证后还需要通过接入控制手段即通过配置接入控制列表(ACL)对用户的访问权限进行限制。传统的接入控制方法主要是基于IP地址，但会造成ACL配置数量过多以及ip地址变化所带来的配置管理工作量大的缺点。于是，基于角色的接入控制方法被提出，其基本思想是：针对用户分配源角色标签(tag)，针对服务器分配目的角色tag，ACL相应基于源角色tag和目的角色tag进行接入控制。这种基于角色的方式相当于通过角色信息对基于ip地址的ACL进行聚合，大大缩减了ACL配置的数量，且不管ip地址如何变化，角色标签不会发生变化，基于角色的ACL均不会发生变化，显然大大降低了配置管理的工作量。

基于角色的接入控制架构可以如图1所示，用户设备在通过认证后获得源角色，该源角色信息存储在入口(Ingress)设备中，资源侧设备(图中以服务器为例)在通过认证后获得目的角色，该目的角色信息存储在出口(Egress)设备中，并形成基于角色的接入控制列表(RBACL)。用户设备发送报文至Ingress设备，Ingress设备将该报文中携带用户设备的源角色信息，该报文在后续转发过程中都携带该源角色信息直至到达Egress设备。Egress设备接收到该报文后，确定该报文的目的角色信息，根据源角色信息和目的角色信息匹配RBACL，根据匹配结果对该报文进行接入控制，包括允许转发、拒绝转发或转发速率限制等。需要说明的是，在图1所示架构中，Ingress和Egress设备可以在二层网络也可以在三层网络中，Ingress设备与用户设备之间以及Egress设备与服务器之间可以存在普通网络设备，Ingress设备与Egress设备之间可以存在中间网络设备。

在现有的实现方法中，源角色信息在报文中的携带方式主要存在以下几种：

第一种：通过物理层携带的方式。即通过报文中8个字节的以太网前导码携带。但这种方式需要修改标准以太网的前导码，当前设备的物理层功能并不支持，需要进行整网升级，升级成本高，难以过渡和推广。

第二种：通过链路层携带的方式。即通过报文中新构造的角色控制信息字段携带。但这种方式由于构造了新的字段，当前设备并不支持，需要进行整网升级，升级成本高。

第三种：通过IPv4选项(Option)字段携带的方式。即在IPv4字段中定义一个新的Option类型来携带源角色信息，同样需要对整网进行升级处理，使得所有设备都能够对新增加的Option类型进行处理，升级代价高，且不支持除IPv4之外的其它类型报文。

第四种：通过IPv6 Option字段携带的方式。即在IPv6字段中定义一个新的IPv6扩展头，即SGT选项头来携带源角色信息。但SGT选项头的硬件插入需要芯片支持新的功能，同样需要进行芯片功能的升级，升级代价高，且不支持除IPv6之外的其它类型报文。

可以看出，现有技术中的上述几种方式都需要对现有设备的功能进行较大改动，升级成本较高。

发明内容

本发明提供了一种处理源角色信息的方法和转发芯片，以便于较好的与现有设备的功能兼容，降低升级成本。

一种处理源角色信息的方法，该方法包括：

确定使能Ingress功能时，将源角色标签tag作为数据报文的内层虚拟局域网VLAN插入数据报文；

确定使能中间设备功能时，在转发数据报文的过程中，对作为内层VLAN标签的源角色tag保持不变；

确定使能Egress功能时，从数据报文中获取作为内层VLAN标签的源角色tag，用于对所述数据报文进行基于角色的接入控制。

一种处理源角色信息的转发芯片，该转发芯片包括：Ingress功能模块、中间设备功能模块和Egress功能模块；

所述Ingress功能模块，用于在被使能时，将源角色标签tag作为数据报文的内层虚拟局域网VLAN插入数据报文；

所述中间设备功能模块，用于在被使能时，在转发数据报文的过程中，对作为内层VLAN标签的源角色tag保持不变；

所述Egress功能模块，用于在被使能时，从数据报文中获取作为内层VLAN标签的源角色tag，用于对所述数据报文进行基于角色的接入控制。