[发明专利]一种访问控制方法及装置

说明书

本发明实施例公开了一种访问控制方法及装置，涉及通信控制领域，应用于第一网络设备，该方法包括：接收第一虚拟机发送的报文，其中，第一虚拟机与第一网络设备通信连接，该报文中包含第二虚拟机的标识，根据第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得第二虚拟机的访问级别，根据获得的访问级别，控制向第二虚拟机转发报文。应用本发明实施例提供的技术方案，能够准确控制虚拟机间的通信，并提高了网络的稳定性。

技术领域

本发明涉及通信控制领域，特别涉及一种访问控制方法及装置。

背景技术

目前，EVPN(Ethernet VPN)网络包含多个VXLAN(Virtual eXtensible LAN，可扩展虚拟局域网络)子网络，如图1所示，每个VXLAN子网络中包含至少一个Spine设备和至少一个VTEP(VXLAN Tunnel End Point，VXLAN子网络隧道端点)，这里，Spine设备是路由反射器，VTEP是VXLAN子网络的边缘设备，Spine设备和VTEP都能够建立IBGP(Internal BorderGateway Protocol，内部边界网关协议)邻居列表，另外，每个VTEP至少与一个VM(VirtualMachine，虚拟机)通信连接。在构建EVPN网络时，同一EVPN网络内BGP(Border GatewayProtocol，边界网关协议)AS(Autonomous System，自治系统)号相同，当与VM相连的VTEP获得该VM的MAC(Medium Access Control，媒体访问控制)地址后，该VTEP通过BGP将获得的MAC地址变为MAC/IP(Internet Protocol，互联网协议)地址，并发送给其他VTEP，这样其他VTEP通信连接的VM就可以与该VM进行通信了。另外，VSI(Virtual Switching Instance，虚拟交换实例)下，RD(路由标识)和RT(扩展团体属性)都是自动生成的，并且同一VTEP内的每个VSI的RT都是一样的，因此，VTEP通信连接的所有VM的RT也是相同的，一个VTEP可以学习到该VTEP通信连接的其他VM的MAC地址，使得同一VTEP内的VM间可以相互通信。

实际应用中，当网络中存在一些VM1是不允许其他VM2访问时，为了保证VM1中的信息的安全，需要在与VM2通信连接的VTEP中将VM1的MAC地址过滤掉，以此来禁止VM2访问VM1。现有技术中，常根据VM的IP前缀、团体属性、扩展团体属性等信息中的一种或多种，对VTEP中的MAC地址进行过滤，而IP前缀或团体属性或扩展团体属性对应的VM并不是唯一的，因此，可能会过滤掉其他能够被VM2访问的VM3的MAC地址，进而导致VM3不能被正常访问，并且若此时VM2仍然向VM1发送报文，与VM2通信连接的VTEP将会以广播的形式发送该报文，这样就会降低网络的稳定性。

发明内容

本发明实施例的目的在于提供一种访问控制方法及装置，以准确控制虚拟机间的通信，提高网络的稳定性。

为达到上述目的，本发明实施例公开了一种访问控制方法，应用于第一网络设备，所述方法包括：

接收第一虚拟机发送的报文，其中，所述第一虚拟机与所述第一网络设备通信连接，所述报文中包含第二虚拟机的标识；

根据所述第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得所述第二虚拟机的访问级别；

根据所述第二虚拟机的访问级别，控制向所述第二虚拟机转发所述报文。

在本发明的一种具体实现方式中，所述根据所述第二虚拟机的标识与本地预先存储的针对虚拟机的访问级别信息，获得所述第二虚拟机的访问级别，包括：

根据所述第二虚拟机的标识，判断所述第二虚拟机是否与所述第一虚拟机位于同一子网络；

若为是，则根据预先存储的虚拟机与访问级别的对应关系和所述第二虚拟机的标识，获得所述第二虚拟机的访问级别。