[发明专利]访问控制方法、装置及设备

说明书

本申请提供一种访问控制方法、装置及设备，所述方法包括：根据报文发送者的用户等级，将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF，不同用户等级对应不同私有VRF，私有VRF对应有相应的跨VRF资源，公共VRF中设有全局路由信息，私有VRF中无任何路由信息；将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较；如果所述报文的目的地址不在所述地址范围内，丢弃报文；如果所述报文的目的地址在所述地址范围内，将所述发送者的私有VRF更换为公共VRF，利用公共VRF下的全局路由信息查找路由，并进行报文转发。本申请在通过路由的方式实现对用户权限的控制，节约设备硬件资源，有助于设备性能的提高。

技术领域

本申请涉及网络安全技术领域，尤其涉及访问控制方法、装置及设备。

背景技术

随着网络技术的发展，网络信息安全也变得越来越重要，在企业网、校园网等网络中，接入网络的角色多种多样，网络管理员需要对不同的用户进行权限的划分，限制特定的用户只能访问特定的资源。

路由器的作用是将报文从一个网络传输到另一个网络。路由器工作于网络层，是信息出入的必经之路，因此网络路由包括过滤技术对网络的安全具有举足轻重的作用。路由器能有效的防止外部用户对局域网的安全访问，同时可以限制网络流量，也可以限制局域网内的用户或设备使用网络资源。另外，也可以通过交换机实现访问控制。

目前，路由器/交换机的主要安全措施是通过访问控制列表(Access ControlList，ACL)技术允许或拒绝报文通过路由器/交换机的接口来实现。访问控制列表是一组条件控制指令列表。通过对列表中的不同控制条件组合的管理和控制，形成一组permit(允许)和deny(拒绝)函数组成的有序条件集合，控制路由器/交换机端口的访问权限，保证路由器/交换机最基本的安全性。

然而，ACL资源属于硬件资源，设备的ACL资源越多，设备成本越高。

发明内容

为克服相关技术中存在的问题，本申请提供了访问控制方法、装置及设备。

根据本申请实施例的第一方面，提供一种访问控制方法，所述方法包括：

根据报文发送者的用户等级，将发送者默认所属的公共VRF更换为所述用户等级对应的私有VRF，不同用户等级对应不同私有VRF，私有VRF对应有相应的跨VRF资源，公共VRF中设有全局路由信息，私有VRF中无任何路由信息；

将所述报文的目的地址与所述私有VRF所对应的跨VRF资源的地址范围进行比较；

如果所述报文的目的地址不在所述地址范围内，丢弃报文；

如果所述报文的目的地址在所述地址范围内，将所述发送者的私有VRF更换为公共VRF，利用公共VRF下的全局路由信息查找路由，并进行报文转发。

可选的，所述根据报文发送者的用户等级，将发送者默认所属的公共VRF更换为用户等级对应的私有VRF，包括：

根据用户标识与私有VRF的对应关系，将报文发送者默认所属的公共VRF更换为所述发送者的标识对应的私有VRF，所述用户标识与私有VRF的对应关系基于用户标识与用户等级的关系、用户等级与私有VRF的关系获得。

可选的，所述方法还包括：

根据用户标识与公共VRF的对应关系，确定所述发送者对应公共VRF时，利用公共VRF下的全局路由信息查找路由，并进行报文转发；

其中，所述用户标识与公共VRF的对应关系基于用户标识与用户等级的关系、用户等级与公共VRF的关系获得。

可选的，所述将发送者默认所属的公共VRF更换为用户等级对应的私有VRF，包括：