[发明专利]访问控制方法、装置及存储介质

说明书

本申请公开了一种访问控制方法、装置及存储介质，属于通信技术领域。所述方法包括：中间节点接收第一隧道端点发送的第一业务报文，第一业务报文是第一隧道端点对第二业务报文进行隧道封装后得到的；当第二业务报文的报文头信息匹配中间节点的第一目标子规则时，中间节点根据第一目标子规则，在第一业务报文的隧道封装头中设置分组标识；中间节点将设置有分组标识的第一业务报文发送给第二隧道端点，以指示第二隧道端点根据分组标识对第二业务报文进行处理。本申请将业务报文的控制逻辑分布在中间节点和隧道端点上，而不是仅仅分布在隧道端点上，这样，可以减少隧道端点上的资源消耗，还可以提高中间节点的资源利用率。

技术领域

本申请涉及通信技术领域，特别涉及一种访问控制方法、装置及存储介质。

背景技术

在虚拟化可扩展局域网(Virtual Extensible LAN，VXLAN)中，脊叶(Spine-Leaf)结构是一种较为典型的网络结构。这种网络结构通常包括有多个Spine节点和多个Leaf节点，Spine节点通常是VXLAN隧道的中间节点，Leaf节点通常是VXLAN隧道的端点。每个Spine节点均可以与每个Leaf节点进行通信，进而通过Spine节点可以实现两个Leaf节点之间的通信。当这种网络结构被部署在包括多个服务器的数据中心时，Leaf节点可以与服务器连接，这样，通过Leaf节点和Spine节点可以实现任意两个服务器之间的通信。

但是在某些情况下，可能需要对服务器的访问进行控制，因此，在Leaf节点上可以部署访问控制列表(Access Control List，ACL)，以通过ACL实现服务器的访问控制。具体地，第一服务器可以向第一Leaf节点发送业务报文，第一Leaf节点接收到业务报文之后，对业务报文进行VXLAN封装，将VXLAN封装的业务报文发送给Spine节点，由Spine节点转发至第二Leaf节点。当第二Leaf节点接收到VXLAN封装的业务报文时，对该业务报文进行VXLAN解封装，将解封装后的业务报文与存储的ACL规则进行匹配，当与某一条规则匹配成功时，通过匹配成功的这条规则对解封装后的业务报文进行处理，从而实现对第二服务器的访问控制。

随着通信技术的发展，Leaf节点上可能需要部署很多不同业务，而这些业务需要通过ACL实现，因此Leaf节点上需要配置大量ACL规则，消耗大量资源，导致Leaf节点中的ACL出现资源匮乏，从而制约网络的业务部署能力。

发明内容

本申请提供了一种访问控制方法、装置及存储介质，可以解决相关技术中ACL资源匮乏的问题。所述技术方案如下：

第一方面，提供了一种访问控制方法，所述方法包括：

中间节点接收第一隧道端点发送的第一业务报文，所述第一业务报文是所述第一隧道端点对第二业务报文进行隧道封装后得到的；

当所述第二业务报文的报文头信息匹配所述中间节点的第一目标子规则时，所述中间节点根据所述第一目标子规则，在所述第一业务报文的隧道封装头中设置分组标识；

所述中间节点将设置有分组标识的第一业务报文发送给第二隧道端点，以指示所述第二隧道端点根据所述分组标识对所述第二业务报文进行处理。

由于中间节点接收到第一业务报文之后，并不是进行透传，而是将第一业务报文中封装的第二业务报文的报文头信息与自身存储的第一子规则进行匹配。当第二业务报文的报文头信息匹配第一目标子规则时，在第一业务报文的隧道封装头中设置分组标识，然后将设置有分组标识的第一业务报文发送给第二隧道端点。这样，在第二隧道端点接收到设置有分组标识的第一业务报文之后，可以按照该分组标识对第二业务报文进行处理。也即是，本申请通过中间节点进行报文头信息与子规则的匹配，第二隧道端点无需进行报文头信息与子规则的匹配，这样，就可以减少第二隧道端点上的资源消耗，还可以提高中间节点的资源利用率。