一种地址分配方法、信息聚合方法及相关设备的制造方法

一种地址分配方法、信息聚合方法及相关设备的制造方法
【技术领域】
[0001]本发明涉及网络技术领域，尤其涉及一种地址分配方法、信息聚合方法及相关设备。
【背景技术】
[0002]随着网络技术的发展，信息安全显得越来越重要，通常可以基于客户端的目标身份标识进行网络安全控制，目标身份标识可以是客户端所属安全组，即是具有相同目标身份标识的客户端是属于同一个安全组，在同一个安全组的客户端执行相同的安全策略。策略控制主要由网络设备执行，在一个网络设备中存储了所有客户端的网络地址与身份标识之间的对应关系，当一个数据报文到达该网络设备后，网络设备根据该数据报文中的网络地址得到和该网络地址对应的客户端的身份标识，并在数据报文中插入客户端的身份标识，其他网络设备基于该身份标识执行网络安全策略。
[0003]通常，动态主机设置协议(英文:DynamicHost Configurat1n Protocol,缩写:DHCP)服务器分配客户端的网络地址是随机分配，因此网络设备在存储客户端网络地址与目标身份标识之间对应关系时，需要将每一个网络地址与身份标识的对应关系都罗列出来，这种方法在客户端较多的情况下会产生大量的网络地址与目标身份标识对应关系的表项，浪费设备存储资源，存储复杂度高。

【发明内容】

[0004]本发明实施例提供一种地址分配方法、信息聚合方法及相关设备，具有相同目标身份标识的客户端的网络地址是在一个地址段，因此可以减少网络设备中存储网络地址与目标身份标识对应关系的表项，节省设备存储资源，存储简单。
[0005]本发明实施例第一方面提供了一种地址分配方法，可包括:
[0006]动态主机设置协议服务器接收网络设备转发的客户端所发送的请求分配网络地址的第一请求，所述第一请求携带由所述网络设备插入的所述客户端的目标身份标识；
[0007]所述动态主机设置协议服务器确定和所述客户端的目标身份标识对应的地址段，所述动态主机设置协议服务器根据和所述客户端的目标身份标识对应的地址段为所述客户端分配网络地址，其中，为所述客户端分配的网络地址属于和所述客户端的目标身份标识对应的地址段。
[0008]基于第一方面，在第一方面的第一种实施方式中，所述动态主机设置协议服务器确定和所述客户端的目标身份标识对应的地址段，包括:
[0009]若所述动态主机设置协议服务器已为所述客户端的目标身份标识分配了对应的地址段，并且所述已为所述客户端的目标身份标识分配的对应的地址段中有未分配网络地址，则和所述客户端的目标身份标识对应的地址段为所述已为所述客户端的目标身份标识分配的对应的地址段；
[0010]若所述已为所述客户端的目标身份标识分配的对应的地址段中所有的网络地址都是已分配网络地址，或者所述动态主机设置协议服务器尚未为所述客户端的目标身份标识分配对应的地址段，则所述动态主机设置协议服务器在所述动态主机设置协议服务器的可管理网络地址中为所述客户端的目标身份标识新分配地址段，将该新分配地址段作为和所述客户端的目标身份标识对应的地址段。
[0011]基于第一方面的第一种可行的实施方式，在第一方面的第二种可行的实施方式中，所述动态主机设置协议服务器在所述动态主机设置协议服务器的可管理网络地址中为所述客户端的目标身份标识新分配地址段，包括:
[0012]若所述可管理网络地址中不存在已分配网络地址，所述动态主机设置协议服务器将所有可管理网络地址的集合构成的地址段确定为和所述客户端的所述目标身份标识对应的地址段。
[0013]基于第一方面的第二种可行的实施方式，在第一方面的第三种可行的实施方式中，所述动态主机设置协议服务器在所述动态主机设置协议服务器的可管理网络地址中为所述客户端的目标身份标识新分配地址段，还包括:
[0014]若所述可管理网络地址中存在已分配网络地址，所述动态主机设置协议服务器确定所述可管理网络地址中最长的连续未分配网络地址，并将所述最长的连续未分配网络地址划分为第一地址段和第二地址段，其中第一地址段由所述最长的连续未分配网络地址中的部分连续未分配网络地址构成，第二地址段由所述最长的连续未分配网络地址中除所述第一地址段外的连续未分配网络地址构成，所述第一地址段与属于所述最长的连续未分配网络地址对应的身份标识的已分配网络地址相邻；
[0015]所述动态主机设置协议服务器将所述第二地址段确定为所述新分配地址段。
[0016]基于第一方面的第一种可行的实施方式，在第一方面的第四种可行的实施方式中，所述动态主机设置协议服务器在所述动态主机设置协议服务器的可管理网络地址中为所述客户端的目标身份标识新分配地址段，包括:
[0017]根据预设大小，所述动态主机设置协议服务器在所述动态主机设置协议服务器的可管理网络地址中除已分配地址段外的网络地址中为所述客户端的目标身份标识新分配地址段，所述新分配地址段的大小等于所述预设大小。
[0018]本发明第二方面提供一种信息聚合方法，可包括:
[0019]网络设备接收第一客户端发送的请求分配网络地址的第一请求，所述第一请求包括所述第一客户端的介质访问控制(英文:media access control,缩写:MAC)地址；
[0020]所述网络设备根据预先存储的MAC地址与身份标识的映射表，所述网络设备查找与所述第一客户端的MAC地址对应的目标身份标识作为第一目标身份标识；
[0021]所述网络设备将所述第一目标身份标识插入所述第一请求中，以获得第二请求；
[0022]所述网络设备向服务器转发所述第二请求；
[0023]所述网络设备获取所述服务器发送的根据所述第一目标身份标识为所述第一客户端所分配的第一网络地址。
[0024]基于第二方面，在第二方面的第一种可行的实施方式中，所述网络设备获取所述服务器发送的根据所述第一目标身份标识为所述第一客户端所分配的第一网络地址之后,还包括:
[0025]所述网络设备获取所述服务器发送的根据第二目标身份标识为第二客户端所分配的第二网络地址，所述第二目标身份标识为根据所述映射表中和所述第二客户端的MAC地址对应的目标身份标识，所述第二目标身份标识和所述第一目标身份标识的值相同；
[0026]所述网络设备根据所述第二目标身份标识和所述第一目标身份标识将所述第一网络地址和所述第二网络地址划分为一个类别，其中，所述类别中的所有网络地址所属客户端的MAC地址在所述映射表中对应的目标身份标识的值相同；
[0027]所述网络设备将所述类别中的网络地址聚合，以获得一个子网前缀；
[0028]所述网络设备建立所述第一目标身份标识与所述子网前缀之间的对应关系表项。
[0029]基于第二方面的第一种可行的实施方式，在第二方面的第二种可行的实施方式中，所述方法还包括:
[0030]所述网络设备将所述类别中的网络地址聚合，获得子网集合，所述子网集合中包括子网前缀，所述子网集合中的所有元素覆盖所述类别中的所有网络地址，且所述子网集合中的所有元素不覆盖除所述类别中的所有网络地址之外的任何网络地址；
[0031]所述网络设备建立所述第一目标身份标识与所述子网集合中各个元素之间的对应关系表项。
[0032]本发明第三方面提供一种动态主机设置协议服务器，可包括:
[0033]第一接收模块，用于接收网络设备转发的客户端的请求分配网络地址的第一请求，所述第一请求携带由所述网络设备插入的所述客户端的目标身份标识；
[0034]确定分配模块，用于确定和所述客户端的目标身份标识对应的地址段，根据和所述客户端的目标身份标识对应的地址段为所述客户端分配网络地址，其中，为所述客户端分配的网络地址属于和所述客户端的目标身份标识对应的地址段。
[0035]基于第三方面，在第三方面的第一种可行的实施方式中，若已为所述客户端的目标身份标识分配了对应的地址段，并且所述已为所述客户端的目标身份标识分配的对应的地址段中有未分配网络地址，则所述确定分配模块还用于确定和所述客户端的目标身份标识对应的地址段为所述已为所述客户端的目标身份标识分配的对应的地址段；
[0036]若所述已为所述客户端的目标身份标识分配的对应的地址段中所有的网络地址都是已分配网络地址，或者所述动态主机配置协议服务器尚未为所述客户端的目标身份标识分配对应的地址段，则所述确定分配模块还用于在所述动态主机配置协议服务器的可管理网络地址中为所述客户端的目标身份标识新分配地址段，将该新分配地址段作为和所述客户端的目标身份标识对应的地址段。
[0037]基于第三方面第一种可行的实施方式，在第三方面的第二种可行的实施方式中，所述确定分配模块还用于若所述可管理网络地址中不存在已分配网络地址，将所有可管理网络地址的集合构成的地址段确定为和所述客户端的所述目标身份标识对应的地址段。
[0038]基于第三方面的第二种可行的实施方式，在第三方面的第三种可行的实施方式中；
[0039]若所述可管理网络地址中存在已分配网络地址，所述确定分配模块还用于确定所述可管理网络地址中最长的连续未分配网络地址，并将所述最长的连续未分配网络地址划分为第一地址段和第二地址段，其中第一地址段由所述最长的连续未分配网络地址中的部分连续未分配网络地址构成，第二地址段由所述最长的连续未分配网络地址中除所述第一地址段外的连续未分配网络地址构成，所述第一地址段与属于所述最长的连续未分配网络地址对应的身份标识的已分配网络地址相邻；
[0040]所述确定分配模块还用于将所述第二地址段确定为所述新分配地址段。
[0041]基于第三方面的第一种可行的实施方式，在第三方面的第四种可行的实施方式中，所述确定分配模块还用于，根据预设大小，在所述服务器的可管理网络地址中除已分配地址段外的网络地址中为所述客户端的目标身份标识新分配地址段，所述新分配地址段的大小等于所述预设大小。
[0042]本发明第四方面提供一种网络设备，可包括:
[0043]第二接收模块，用于接收第一客户端发送的请求分配网络地址的第一请求，所述第一请求包括所述第一客户端的MAC地址；
[0044]查找模块，用于根据预存的MAC地址与身份标识映射表，所述网络设备查找与所述第一客户端的MAC地址对应的目标身份标识作为第一目标身份标识；
[0045]插入模块，用于将所述第一目标身份标识插入所述第一请求中，以获得第二请求；
[0046]转发模块，用于向服务器转发所述第二请求；
[0047]获取模块，用于获取所述服务器发送的根据所述第一目标身份标识为所述第一客户端所分配的第一网络地址。
[0048]基于第四方面，在第四方面的第一种可行的实施方式中；
[0049]所述获取模块还用于获取所述服务器发送的根据第二目标身份标识为第二客户端所分配的第二网络地址，所述第二目标身份标识为根据所述映射表中和所述第二客户端的介质访问控制地址对应的目标身份标识，所述第二目标身份标识和所述第一目标身份标识的值相同；
[0050]所述网络设备还包括划分模块，所述划分模块用于根据所述第二目标身份标识和所述第一目标身份标识将所述第一网络地址和所述第二网络地址划分为一个类别，其中，所述类别中的所有网络地址所属客户端的MAC地址在所述映射表中对应的目标身份标识的值相同；
[0051]所述网络设备还包括聚合模块，所述聚合模块用于将所述类别中的网络地址聚合，以获得一个子网前缀；
[0052]所述网络设备还包括建立模块，所述建立模块用于建立所述第一目标身份标识与所述子网前缀之间的对应关系表项。
[0053]基于第四方面的第一种可行的实施方式，在第四方面的第二种可行的实施方式中，所述网络设备还包括:
[0054]所述聚合模块还用于将所述类别中的网络地址聚合，获得子网集合，所述子网集合中包括子网前缀，所述子网集合中的所有元素覆盖所述类别中的所有网络地址，且所述子网集合中的所有元素不覆盖除所述类别中的所有网络地址之外的任何网络地址；
[0055]所述建立模块还用于建立所述第一目标身份标识与所述子网集合中各个元素之间的对应关系表项。
[0056]本发明实施例中，动态主机设置协议服务器接收网络设备转发的第一请求，该第一请求携带网络设备插入的客户端的目标身份标识，动态主机设置协议服务器确定和客户端的目标身份标识对应的地址段，并根据客户端的目标身份标识对应的地址段为客户端分配网络地址，所分配的网络地址属于该客户端的目标身份标识对应的地址段，本发明实施例中，为具有相同身份标识的客户端分配属于同一个地址段的网络地址，便于网络设备在存储网络地址与目标身份标识对应关系时，能够将网络地址进行聚合后存储，从而减少对应关系表项，节省设备存储资源。
【附图说明】
[0057]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0058]图1是本发明实施例提供的一种地址分配方法的流程示意图；
[0059]图2是本发明实施例提供的一种地址段确定方法的流程示意图；
[0060]图3是本发明实施例提供的一种新分配地址段的方法的流程示意图；
[0061]图4是本发明实施例提供的一种信息聚合方法的流程示意图；
[0062]图5是本发明实施例提供的一种网络地址聚合方法的流程示意图；
[0063]图6是本发明实施例提供的另一种网络地址聚合方法的流程示意图；
[0064]图7是本发明实施例提供的一种网络地址分配场景图；
[0065]图8是本发明实施例提供的另一种网络地址分配场景图；
[0066]图9是本发明实施例提供的一种DHCP服务器的结构示意图；
[0067]图10是本发明实施例提供的一种网络设备的结构示意图；
[0068]图11是本发明实施例提供的另一种DHCP服务器的结构示意图；
[0069]图12是本发明实施例提供的另一种网络设备的结构示意图。
【具体实施方式】
[0070]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0071]本发明实施例所述的地址分配方法、信息聚合方法以及相关设备可以应用在网络安全策略控制中，具体的，客户端的身份标识可以标识该客户端所属安全组，不同的客户端可能分属于相同的安全组，也可能分属于不同的安全组，因此两个不同客户端的身份标识可能相同，也可能不同，相同安全组内的客户端执行相同的安全策略，即是具有相同身份标识的客户端执行相同的安全策略。在网络设备中，存储各个客户端的网络地址与身份标识之间的对应关系的表项，并控制属于同一个安全组的客户端执行相同的安全策略。为了减少网络设备中网络地址与身份标识之间的对应关系表项的数量，可以在为客户端分配网络地址时，将具有相同身份标识的客户端分配同属于一个地址段的网络地址，网络设备在存储网络地址与身份标识对应关系时，可以先将网络地址进行聚合之后进行存储，从而减少对应关系表项。具体的实现方法可以采用本发明实施例提供的方法。
[0072]请参照图1，是本发明实施例提供的一种地址分配方法的流程示意图；如图1所述，本实施例所述的一种地址分配方法包括步骤:
[0073]S100, DHCP服务器接收网络设备转发的客户端的请求分配网络地址的第一请求，所述第一请求携带由所述网络设备插入的所述客户端的目标身份标识。
[0074]在一个实施例中，DHCP服务器接收网络设备转发的第一请求，该第一请求是客户端发送的，该第一请求用于请求DHCP服务器为该客户端分配网络地址。网络地址是指网际协议(英文:Internet Protocol,缩写:IP)地址。该第一请求可以是DHCP发现(英文:DHCPDISC0VER)或DHCP请求(英文:DHCPREQUEST)消息。为了将具有相同目标身份标识的客户端的网络地址进行聚合，DHCP服务器基于客户端的目标身份标识为客户端分配网络地址。因此，网络设备在转发第一请求时，第一请求需要包括客户端的目标身份标识，服务器接收网络设备所转发的第一请求。