专利名称:用户配置信息获取方法和装置的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种用户配置信息方法和装置。
背景技术:
对于网络转发设备来说,获取用户配置信息是一项重要的任务。网络设 备对数据报文进行用户信息的识别,将不同的用户配置信息应用到对应的数 据报文上。这里的用户在不同的层次和粒度上有不同的含义,例如,用户识 别可以是基于端口的用户,所有/人某个端口进入的^t据才艮文都应用这个端口
下的配置信息,通常很多的专线用户是通过这种方式实现的;
用户识别也可以是基于虚拟专用网VLAN的用户,从某个端口进入的数 据报文,根据报文中携带的VLAN号,应用该VLAN号所对应的子接口 (逻辑 接口 )下的配置信息;用户识别也可以是基于QinQ ( 802.1q in 802.1q)的用 户,从某个端口进入的数据报文,根据报文中携带的两层tag标签,应用该两 层tag所对应的QinQ接口 (逻辑接口 )下的配置信息,两层tag分别为内层 VLAN号(out_vlan)和外层VLAN号(in—vlan);
用户识别也可以是基于宽带接入用户的,从某个端口进入的数据报文, 根据报文中携带的封装信息,在网络设备上查找用户信息表,应用匹配的用 户所对应的配置信息;
用户识别也可以是基于ACL用户(Access Control List;访问控制列 表)。ACL可以用来区分和过滤更细粒度的数据流,以对这些数据流进行区 别处理。举个具体的例子,若网络管理员得知来自某个网段的报文可能存在 病毒或者网络攻击时,可以在网络设备上配置一条或一组ACL,当网络设备收到的报文中的信息可以匹配上该ACL信息时,可以认为是来自病毒或者攻
击网段的,可以根据配置将该报文丟弃;或者,网络管理员也可以配置ACL 匹配某个网段,提高来自这给网段的报文的优先级。网络设备在完成报文的 用户识别后,可以将对应的用户特定的配置应用到报文上,完成数据报文的 转发。
当网络设备收到 一个报文后,首先根据报文中的源端口号读取端口配置 表,根据该源端口对应的配置对报文进行特定的配置;如果该报文中携带 VLAN信息,则根据源端口和VLAN信息读取VLAN配置表,根据该VLAN对 应的VLAN子接口对报文进行特定的配置;如果该报文中携带了 QinQ信息, 则根据报文中携带的两层tag读取QinQ配置表,根据该两层tag对应的QinQ子 接口对报文进行特定的配置;如果该报文进入的接口是宽带接入用户接口 , 则需要根据报文中的源MAC (Media Access Control)地址、VLAN号、源IP 地址和该报文进入的源端口号读取宽带接入用户配置表,根据对应的宽带接 入用户对报文进行特定的配置。
发明人在研究过程中发现,现有技术存在以下缺点网络设备对报文进 行配置用户信息是逐级进行的,这样,假设存在一个配置了宽带用户接入的 接口,用户通过QinQ方式接入,且々I设查询上述各个配置表的时间都是tl, 那么从该接口收到的每一个报文都需要5倍的tl时间才能够得到真正的用户配 置信息,且几乎所有的用户配置信息都是更细粒度的配置覆盖更粗粒度的配 置,所以在读取宽带接入用户配置表之前读取到的配置表是没有实际作用 的,因此,处理一个宽带用户接入的报文的效率会非常低下。随着网络基础 技术的发展,网络设备承担宽带接入的需求越来越迫切,因此上述问题会不 断突出,成为网络设备面临的主要问题。 发明内容基于此,本发明实施例提供一种用户配置信息获取的方法和装置,可以 较快获得用户配置信息,从而提高网络设备的转发性能。
本发明实施例提供一种用户配置信息获取方法,包括接收数据报文; 从所述报文中获取所述报文对应的至少一种用户识别信息;根据所述用户识
别信息查找统一用户配置表,获取所述用户识别信息对应的用户配置信息, 所述统一用户配置表包括至少两种用户识别信息对应的用户配置信息。
此外,本发明实施例提供另一种用户配置信息获取装置,包括接收模
块,用于接收数据报文;用户识别信息获取模块,用于从所述报文中获取所
述报文对应的至少一种用户识别信息;用户配置信息获取模块,用于根据所
述用户识别信息查找统一用户配置表,获取所述用户识别信息对应的用户配
置信息,所述统一用户配置表包括至少两种用户识别信息对应的用户配置信 自
本发明实施例通过查找统一用户配置表获取用户配置信息,可以较快获
得用户配置信息,从而提高网络设备的转发性能;此外,从配置管理角度来 看,由于统一用户配置表管理至少两种用户识别信息对应的用户配置信息, 提高了多种的用户配置信息的可继承性和可扩展性。
图l是本发明实施例一的用户配置信息获取方法流程图; 图2是本发明的统一用户配置表的一实施例示意图;图3是本发明的统一用户配置表的另 一实施例示意图; 图4是本发明实施例二的用户配置信息获取装置示意图。
具体实施例方式
为使本发明的技术方案和有益效果更加清楚,下面参照附图列举实施例
进4亍详细"i兌明 实施例一
本发明实施例提供一种用户配置信息获取方法,如图l所示,图l为本发 明实施例一的用户配置信息获^l方法流程图。该方法包括 102、接收数据报文;
104、,人所述才艮文中获取所述才艮文对应的至少一种用户识别信息; 在本发明实施例的具体实现时,报文中所含的用户识别信息可以是基于 不同种类的。例如,基于专线用户,其用户识别信息通常只有一种,即源端 口,也就是说,收到基于专线用户的数据报文中的用户识别信息是源端口; 基于VLAN的用户,其用户识别信息通常有两种,即源端口和VLAN号,也就 是说,收到基于VLAN用户的数据报文中的用户识别信息是源端口号和VLAN 号;基于QinQ的用户,其用户是^d言息通常有三种,即源端口、内层VLAN 号和外层VLAN号,也就是说,收到基于QinQ的用户的数据报文中的用户识 别信息是源端口、内层VLAN号和外层VLAN号。
106、根据所述用户识别信息查找统一用户配置表,获取所述用户识别信 息对应的用户配置信息,所述统一用户配置表包括至少两种用户识别信息对
应的用户配置信息;
在本发明实施例的具体实现时,可以预先建立统一用户配置表,该统一 用户配置表的内容至少包括两种用户识别信息对应的用户配置信息。如上所
述,数据报文中所含的用户识别信息的种类可能是端口 、内层VLAN号、外 层VLAN号、源MAC地址、源IP地址等,本发明实施例并不限定统一用户配 置表需要包含所有种类的用户识别信息,可以根据实际网络的需要选择所需 要包含种类的用户识别信息建立统一用户配置表。由于随着网络基础技术的 发展,网络设备承担宽带接入的需要将越来越迫切,所以,网络设备收到数 据报文中的用户识别信息的粒度将越来越细,所以,优选地,建立包含所有 种类的用户识别信息对应的统一用户配置表。为了方便理解,请参考图2,图 2是本发明的统一用户配置表的一实施例示意图。
这样,对网络设备来说,当收到数据报文时,提取报文中的用户识别信 息,查统一用户配置表,当发现与该用户识别信息匹配的用户配置信息时, 则将对应的用户配置信息应用到报文转发中。
在查表过程中,可能会出现一个报文中的用户识别信息可以匹配到多条 表项的情况。可参考图2,若网络设备收到的数据报文中的用户识别信息是源 端口是A, out—vlan是300, in一vlan是1000,当网络设备查询图2的统一用户配置表时,则index是2000、 2998和2999的表项都能匹配到该报文,本发明实施 例优选最长匹配的表项作为匹配结果,也就是选择index是2000的表项,最长 匹配就是匹配内容最长、最多的一条表项。
除了最长匹配的原则之外,本发明实施例还可以提供优先级比较机制, 即优先选取高优先级的匹配表项。匹配表项的优先级的高低可以由网络管理 员根据网络的实际运行的需要进行配置。当最长匹配比较和高优先级比较出 现冲突时,建议可以采取高优先级比较遵循完全匹配的原则,低优先级的查 表遵循最长匹配的原则,优先选取高优先级的匹配结果。
在本发明实施例的具体实现时,可以将ACL与用户识别结合在一起。本 发明实施例优选将ACL用于安全控制,例如当用户识别信息匹配统一用户配 置表中的ACL表项时,则说明该报文是一个攻击报文,而非合法用户,具体 可以根据网络的实际需要进行配置,这样优选ACL的优先级最高。可参考图 3,图3是本发明的统一用户配置表的另一实施例示意图。若网络设备收到的 数据报文中的用户识别信息是源端口是A, out—vlan是300, in—vlan是1000, SIP是l.1.1.1, DIP是2.2.2.2,当网络设备查询图3的统一用户配置表时,则 index是2000和5000的表项都能匹配到该报文,由于index是5000的表项为ACL 表项,所以本发明实施例优选ACL表项作为匹配结果,也就是选择index是 5000的表项,这时,网络设备将认为收到的报文为一个攻击报文。本发明实施例通过查找统一用户配置表获取用户配置信息,可以较快获 得用户配置信息,从而提高网络设备的转发性能;此外,从配置管理角度来 看,由于统一用户配置表管理至少两种用户识别信息对应的用户配置信息, 提高了多种的用户配置信息的可继承性和可扩展性。
实施例二
本发明实施例提供一种用户配置信息获取装置,如图4所示,图4为本发 明实施例二的用户配置信息获取装置示意图。包括 接收模块401,用于接收数据报文;
用户识别信息获取模块402,用于从所述报文中获取所述报文对应的至少 一种用户识别信息;
在本发明实施例的具体实现时,报文中所含的用户识别信息可以是基于 不同种类的。例如,基于专线用户,其用户识别信息通常只有一种,即源端 口,也就是说,收到基于专线用户的数据报文中的用户识别信息是源端口; 基于VLAN的用户,其用户识别信息通常有两种,即源端口和VLAN号,也就 是说,收到基于VLAN用户的数据报文中的用户识别信息是源端口号和VLAN 号;基于QinQ的用户,其用户是被信息通常有三种,即源端口、内层VLAN 号和外层VLAN号,也就是说,收到基于QinQ的用户的数据报文中的用户识 别信息是源端口、内层VLAN号和外层VLAN号。用户配置信息获取模块403,用于根据所述用户识别信息查找统一用户配 置表,获取所述用户识别信息对应的用户配置信息,所述统一用户配置表包 括至少两种用户识别信息对应的用户配置信息。
在本发明实施例的具体实现时,可以预先建立统一用户配置表,该统一 用户配置表的内容至少包括两种用户识别信息对应的用户配置信息。如上所
述,数据报文中所含的用户识别信息的种类可能是端口 、内层VLAN号、外 层VLAN号、源MAC地址、源IP地址等,本发明实施例并不限定统一用户配 置表需要包含所有种类的用户识别信息,可以根据实际网络的需要选择所需 要包含种类的用户识别信息建立统一用户配置表。由于随着网络基础技术的 发展,网络设备承担宽带接入的需要将越来越迫切,所以,网络设备收到数 据报文中的用户识别信息的粒度将越来越细,所以,优选地,建立包含所有 种类的用户识别信息对应的统一用户配置表。
此外,在查表过程中,可能会出现一个净艮文中的用户识别信息可以匹配 到多条表项的情况,所以该用户配置信息获取装置还进一步包括第 一判断模 块404,用于当所述用户配置信息的条数为至少两条时,选择最长匹配的表项 作为所述^=艮文的用户配置信息。
此外,本发明实施例还可以提供优先级比较机制,即优先选取高优先级 的匹配表项。匹配表项的优先级的高低可以由网络管理员根据网络的实际运 行的需要进行配置,相应的,该用户配置信息获取装置还可以进一步包括第二判断模块405,用于当所述用户配置信息的条数为至少两条时,选择高优先 级的表项作为所述报文的用户配置信息。
该用户配置信息获取装置可以集成在宽带接入设备上,也可以集成在路 由器或者三层交换机上。
本发明实施例通过查找统一用户配置表获取用户配置信息,可以较快获
得用户配置信息,从而提高网络设备的转发性能;此外,从配置管理角度来 看,由于统一用户配置表管理至少两种用户识别信息对应的用户配置信息, 提高了多种的用户配置信息的可继承性和可扩展性。
本领域普通技术人员可以理解上述实施例方法中的全部或部分步骤是可 以通过程序来指令相关的硬件来完成,该的程序可以存储于一计算机可读取 存储介质中,该的存储介质,如ROM/RAM、磁碟,光盘等。
以上该,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局 限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的 变化或替换,都应涵盖在本发明的保护范围之内。
权利要求
1、一种用户配置信息获取方法,其特征在于,包括接收数据报文;从所述报文中获取所述报文对应的至少一种用户识别信息;根据所述用户识别信息查找统一用户配置表,获取所述用户识别信息对应的用户配置信息,所述统一用户配置表包括至少两种用户识别信息对应的用户配置信息。
2、 根据权利要求l所述的方法,其特征在于,所述用户识别信息包括源 端口、内层虚拟局域网VLAN号、外层VLAN号、源IP地址、源J柴体接入控 制MAC地址中的 一种或多种。
3、 根据权利要求2所述的方法,其特征在于,所述统一用户配置表包括 至少五种用户识别信息。
4、 根据权利要求l所述的方法,其特征在于,还包括,当所述用户配置信息的条数为至少两条时,选择最长匹配的表项作为所述报文的用户配置信 白
5、 根据权利要求l所述的方法,其特征在于,还包括当所述用户配置信息的条数为至少两条时,选择高优先级的表项作为所述报文的用户配置信 自
6、 根据权利要求5所述的方法,其特征在于,所述高优先级表项采用完 全匹配。
7、 根据权利要求5所述的方法,其特征在于,所述高优先级包括访问控 制列表ACL的表项。
8、 一种用户配置信息获取装置,其特征在于,包括 接收模块(401),用于接收数据报文;用户识别信息获取模块(402),用于从所述报文中获取所述报文对应的 至少一种用户识别信息;用户配置信息获取4莫块(403 ),用于根据所述用户识别信息查找统一用 户配置表,获取所述用户识别信息对应的用户配置信息,所述统一用户配置 表包括至少两种用户识别信息对应的用户配置信息。
9、 根据权利要求8所述的装置,其特征在于,还包括第一判断模块 (404),用于当所述用户配置信息的条数为至少两条时,选择最长匹配的表项作为所述报文的用户配置信息。
10、 根据权利要求8所述的装置,其特征在于,还包括第二判断模块 (405 ),用于当所述用户配置信息的条数为至少两条时,选择高优先级的表项作为所述报文的用户配置信息。
11、 根据权利要求8所述的装置,其特征在于,所述用户配置信息获取 装置集成在宽带接入设备,路由器或者三层交换机。
全文摘要
本发明实施例公开了一种用户配置信息获取方法,包括接收数据报文;从所述报文中获取所述报文对应的至少一种用户识别信息;根据所述用户识别信息查找统一用户配置表,获取所述用户识别信息对应的用户配置信息,所述统一用户配置表包括至少两种用户识别信息对应的用户配置信息。相应地,本发明实施例公开了一种用户配置信息获取装置,本发明实施例通过查找统一用户配置表获取用户配置信息,可以较快获得用户配置信息,从而提高网络设备的转发性能;此外,从配置管理角度来看,由于统一用户配置表管理至少两种用户识别信息对应的用户配置信息,提高了多种用户配置信息的可继承性和可扩展性。
文档编号H04L12/56GK101447945SQ20081024154
公开日2009年6月3日 申请日期2008年12月23日 优先权日2008年12月23日
发明者武绍芸 申请人:华为技术有限公司