[发明专利]基于安全组的网络访问控制方法、装置和电子设备

权利要求书

1.一种基于安全组的网络访问控制方法，其特征在于，该方法应用于受网管系统管理和控制的网络设备，该方法包括：

接收网管系统发送的用户IP地址与安全组映射关系，将用户IP地址对应的安全组记录到用户的主机路由中；

接收网管系统发送的安全组策略路由PBR，所述PBR包括匹配条件和执行动作字段；

当接收到用户报文时，基于PBR对用户报文进行访问控制；所述访问控制指网络设备通过PBR中的匹配条件匹配用户报文中的源安全组和目的安全组，对命中PBR的报文按PBR指定的执行动作进行控制操作。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收网管系统发送的缺省安全组和子网的映射关系；

在网络设备未接收到网管系统下发的用户IP地址与安全组的映射关系的情况下，在用户的主机路由中记录该用户所在子网对应的缺少安全组。

3.根据权利要求1所述的方法，其特征在于，

所述用户IP地址与安全组映射关系包括：同一VLAN内不同用户的IP地址与相同安全组的映射关系和/或同一VLAN内不同用户的IP地址与不同安全组的映射关系。

4.根据权利要求1所述的方法，其特征在于，

在用户迁移到不同的VLAN且该用户所属安全组不变的情况下，该用户迁入的VLAN内的网络设备基于相同的PBR对用户报文进行访问控制。

5.一种基于安全组的网络访问控制装置，其特征在于，该装置应用于受网管系统管理和控制的网络设备，该装置包括：

映射关系记录模块，用于接收网管系统发送的用户IP地址与安全组映射关系，将用户IP地址对应的安全组记录到用户的主机路由中；

安全组策略模块，用于接收网管系统发送的安全组策略路由PBR，所述PBR包括匹配条件和执行动作字段；

访问控制模块，用于在接收到用户报文时，基于PBR对用户报文进行访问控制；所述访问控制指通过PBR中的匹配条件匹配用户报文中的源安全组和目的安全组，对命中PBR的报文按PBR指定的执行动作进行控制操作。

6.根据权利要求5所述的装置，其特征在于，所述装置还包括：

缺省关系记录模块，用于接收网管系统发送的缺省安全组和子网的映射关系；在网络设备未接收到网管系统下发的用户IP地址与安全组的映射关系的情况下，在用户的主机路由中记录该用户所在子网对应的缺少安全组。

7.根据权利要求5所述的装置，其特征在于，

所述用户IP地址与安全组映射关系包括：同一VLAN内不同用户的IP地址与相同安全组的映射关系和/或同一VLAN内不同用户的IP地址与不同安全组的映射关系。

8.根据权利要求5所述的装置，其特征在于，

在用户迁移到不同的VLAN且该用户所属安全组不变的情况下，用户迁入的VLAN内的访问控制模块基于相同的PBR对用户报文进行访问控制。

9.一种电子设备，其特征在于，包括处理器、通信接口、存储介质和通信总线，其中，处理器、通信接口、存储介质通过通信总线完成相互间的通信；

存储介质，用于存放计算机程序；

处理器，用于执行存储介质上所存放的计算机程序时，实施权利要求1-4中任一项所述的方法步骤。

10.一种存储介质，其上存储有计算机程序，其特征在于，所述计算机程序当被处理器执行时实施如权利要求1至4中任一项所述的方法步骤。