对应关系,预先在第一服务器上配置公共资源特征值与公共资源类别标识(Resource-Class-1D)的对应关系;预先在接入设备的硬件存储器中配置用户类别标识(User-Class-1D)与允许该类用户访问的公共资源的类别标识(Resource-Class-1D)的对应关系。
[0049]用户特征值如:用户名,或者用户终端的IP地址、MAC地址、VLAN标识、端口标识之一或任意组合;用户类别标识如:用户的优先级、星级等,在实际应用中,用户的优先级或者星级不同,其被允许访问的公共资源也不同。
[0050]公共资源特征值如:公共资源的IP地址、MAC地址、VLAN标识、端口标识之一或任意组合;在对公共资源进行分类时,其基本原则是:将允许一类用户访问的最小公共资源集合划分为一类,例如:可将同一网段的公共资源划分为一类,或者将同一 VLAN的公共资源划分为一类,或者将挂接在同一端口下的公共资源划分为一类。
[0051]一个User-Class-1D可以对应多个Resource-Class-1D,即一类用户允许访问多类公共资源。
[0052]由于硬件存储器的限制,对于硬件存储器中的每一条User-Class-1D与Resource-Class-1D的对应关系,其中只能包含一个User-Class-1D和一个Resource-Class-1D,若某类用户被允许访问多类公共资源,则需要针对允许访问的每类公共资源,分别在硬件存储器中存储一条User-Class-1D与Resource-Class-1D的对应关系。
[0053]第一服务器可以是AAA服务器。
[0054]接入设备可以是接入交换机,也可以是接入路由器。
[0055]步骤402:在接入设备上预先配置默认的User Class-1D0
[0056]默认的User Class-1D通常用于表示未通过认证的用户的类别。
[0057]步骤403:接入设备的CPU生成一公共表项,判断该公共表项是针对终端还是公共资源,若针对终端,执行步骤404 ;若针对公共资源,执行步骤405。
[0058]公共表项如:MAC表项、VLAN表项、FIB表项、ARP表项等。若公共表项中的标识信息如:IP地址、MAC地址、VLAN标识、端口标识是针对公共资源的,则认为该公共表项是针对公共资源的。
[0059]步骤404:接入设备若发现该终端还未通过认证,则将默认的用户类别标识(User-Class-1D)添加到该公共表项中,若该终端已通过认证,则根据该终端的用户特征值向第一服务器查询对应的User-Class-1D,将查询到的User-Class-1D添加到该公共表项中,然后将添加了 User-Class-1D的该公共表项存储到硬件存储器中,转至步骤406。
[0060]另外,当接入设备接收到AAA服务器发来的指示一终端通过认证的消息后,要在硬件存储器中查找该终端对应的终端公共表项,若查找到,则根据该终端的用户特征值向第一服务器查询对应的User-Class-1D,以查找到的该User-Class-1D更新查找到的终端公共表项中的默认User-Class-1D。
[0061]步骤405:接入设备根据该公共表项中的公共资源特征值,向第一服务器查询对应的公共资源类别标识(Resource-Class-1D),将该Resource-Class-1D添加到该公共表项中,将该公共表项存储到硬件存储器中,转至步骤406。
[0062]步骤406:接入设备接收终端发来的资源访问请求,根据该请求中的终端标识,在硬件存储器中查找到对应的公共表项,设为第一公共表项,从第一公共表项中读取User-Class-1Do
[0063]步骤407:接入设备根据该资源访问请求中的公共资源标识,在硬件存储器中查找到对应的公共表项,设为第二公共表项,从第二公共表项中读取Resource-Class-1D。
[0064]步骤408:接入设备在硬件存储器中查找读取的User-Class-1D与读取的Resource-Class-1D的对应关系,判断是否查找到,若是,执行步骤409 ;否则,执行步骤410。
[0065]步骤409:接入设备根据硬件存储器中该资源访问请求对应的转发表项,将该资源访问请求转发出去,本流程结束。
[0066]步骤410:接入设备丢弃该资源访问请求。
[0067]图5为本申请又一实施例提供的资源访问控制方法流程图,其具体步骤如下:
[0068]步骤501:预先在接入设备的硬件存储器中配置终端公共表项属性到允许终端用户访问的公共资源的映射关系。
[0069]终端公共表项即,公共表项中的标识信息如:IP地址、MAC地址、VLAN标识、端口标识等是针对终端的。
[0070]终端公共表项属性分为如下几种:
[0071]一 )终端公共表项的存储形式
[0072]对于有些接入设备,通过认证的用户终端的公共表项放在硬件存储器中的主机路由表中,未通过认证的用户终端的公共表项放在硬件存储器中的LPM(Longest PrefixMatching,最长前缀匹配)表中,则在这些接入设备的硬件存储器中配置:当命中主机路由表项时,允许终端用户访问所有的公共资源(包括免费的公共资源和付费的公共资源),当命中LPM表项时,只允许终端用户访问免费公共资源。
[0073]二)终端公共表项是否命中
[0074]对于有些接入设备,当终端未通过认证时,CPU不会将自身生成的该终端的公共表项存储到硬件存储器中,只有当终端通过认证时,CPU才会将自身生成的该终端的公共表项存储到硬件存储器中;根据该特点,在这些接入设备的硬件存储器中配置:当命中硬件存储器中的终端公共表项时,允许终端用户访问所有公共资源(包括免费的公共资源和付费的公共资源),当未命中硬件存储器中的终端公共表项时,只允许终端用户访问免费公共资源。
[0075]三)终端公共表项为静态还是动态
[0076]对于有些接入设备,当终端未通过认证时,CPU向硬件存储器存储的该终端的公共表项是动态公共表项,当终端通过认证时,CPU向硬件存储器存储的该终端的公共表项是静态公共表项;根据该特点,在这些接入设备上配置:当命中硬件存储器中的静态终端公共表项时,允许终端用户访问所有公共资源(包括免费的公共资源和付费的公共资源),当命中硬件存储器中的动态终端公共表项时,只允许终端用户访问免费公共资源。
[0077]步骤502:接入设备接收终端发来的资源访问请求,根据该请求中的终端标识在硬件存储器中查找对应的公共表项,根据该公共表项的属性,在硬件存储器中配置的终端公共表项属性到终端用户允许访问的公共资源的映射关系中,确定对应的终端用户允许访问的公共资源。
[0078]例如:当公共表项属性为步骤501提到的:一)终端公共表项的存储形式时,若接入设备在硬件存储器中查找到的公共表项为主机路由表项,则确定允许终端用户访问所有公共资源;若为LPM表项,则确定只允许终端用户访问免费公共资源
[0079]当公共表项属性为步骤501提到的:二)终端公共表项是否命中时,若接入设备在硬件存储器中查找到对应的公共表项,则确定允许终端用户访问所有公共资源,否则,确定只允许终端用户访问免费公共资源;
[0080]当公共表项属性为步骤501提到的:三)终端公共表项为静态还是动态时,若接入设备在硬件存储器中查找到静态公共表项,则确定终端用户允许访问所有公共资源,否则,确定终端用户只允许访问免费公共资源。
[0081]步骤503:接入设备判断该资源访问请求要访问的公共资源的网络地址是否包含在确定的允许该终端用户访问的公共资源中,若是,执行步骤504;否则,执行步骤505。
[0082]步骤504:接入设备根据该资源访问请求的目的地址,在硬件存储器中查找到对应的转发表项,根据该转发表项将该资源访问请求转发出去,本流程结束。
[0083]步骤505:接入设备丢弃该资源访问请求。
[0084]图6为本申请又一实施例提供的资源访问控制方法流程图,其具体步骤如下:
[0085]步骤601:预先在第一服务器上配置用户特征值与用户类别标识(User-Class-1D)的对应关系;预先在接入设备的硬件存储器中为各类用户的终端公共表项分配存储区域,在软件中记录用户类别标识(User-Class-1D)与公共表项的存储区域标识的对应关系;预先根据用户类别标识(User-Class-1D)与允许该类用户访问的公共资源网络地址的对应关系,以及为各类用户的终端公共表项分配的存储区域,在硬件存储器中记录终端公共表项的各存储区域与该存储区域对应的一类用户被允许访问的公共资源网络地址的对应关系。
[0086]步骤602:当接入设备将终端公共表项存储至硬件存储器时,根据该终端的用户特征值,向第一服务器查询对应的用户类别标识(User-Class-1D)。
[0087]步骤603:接入设备在软件中记录的用户类别标识(User-Class-1D)与公共表项的存储区域标识的对应关系中,查找该User-Class-1D对应的公共表项的存储区域标识,将该公共表