专利名称:轻量级双栈组网中的访问控制方法及其装置的制作方法
技术领域:
本发明涉及通信技术领域,特别是涉及一种轻量级双栈组网中的访问控制方法及
其装置。
背景技术:
随着移动通信与互联网的融合以及通信业务种类的不断增加,IPv4地址即将耗 尽,虽然已经有几乎取之不尽的IPv6地址和相关技术,但面对现有网络部署、运营商的设 备投资回报等因素,IPv6网络部署不可能一蹴而就,IPv4网络和IPv6网络将在很长的一段 时间内共存。由于IPv4地址已经匮乏,而IPv4业务还在以高速度增长,很多仅仅支持IPv4的 边缘设备短时间内不可能全部替换成支持双栈的设备,因此新增的IPv4宽带部署必须考 虑在边缘设备上无法获取到global IPv4地址(即全局IPv4地址)的情况。从ISP(Internet Service Provider,互联网服务提供商)角度考虑,其IPv4客 户需要访问Internet上的IPv4服务器,但却没有多余的IPv4地址分配给这些客户;还有, ISP想在其core network (即核心网)上部署IPv6以便解决IPv4地址匮乏问题,但是由于 需要考虑向后兼容(即兼容IPv4),升级IPv6的成本和收益不成正比,增大了 IPv6部署难 度。因此,有必要使用DS-Iite (Dual-SrackLite,轻量级双栈)技术在解决IPv4地址匮乏 问题的同时减少网络拓扑的变化和设备的更新。IETF(Internet Engineering Task Force,Internet工程任务组)提出的DS-lite 技术允许同一 ISP网络中的不同IPv4边缘设备使用重叠的IPv4地址,从而减缓IPv4地址 的耗尽速度。图1示出了一种DS-Lite的实现。如图1所示,DS-Lite先将用户的私网IPv4报文 封装到IPv6隧道中,传送到NPE (即网络侧设备)上时解出IPv4报文时再进行NAT (Network Address Translation,网络地址转换)。使用用户的IPv6地址区分不同的用户私网,私网
空间可以重叠。用户需要了解上行隧道的终端地址,即NPE的地址。可以手工在CPE(即用户侧设 备)上配置NPE地址,不过不便于实际部署。为了告知用户运营商的NPE地址,DS-Lite方 案提供了一种标准的通过DHCPv6选项动态通知CPE的技术即在CPE上线后,将用户连接 的NPE地址告知CPE,授权用户使用这个NPE,这个过程是通过DHCPv6协议完成的。现有IPv4网络中,对用户的IPv4访问权限要进行相应的控制。升级到IPv6网络 后,对用户的IPv6访问权限也可进行类似的限制。控制点选择在BAS(Broadbind Access Server,宽带接入服务器)设备进行访问权限控制,因为BAS设备在运营商侧,是所有用户 的共同接入点,便于运营商控制。具体的认证机制有很多种,比如802. lx、Portal、PPPoE寸。802. Ix认证机制是IEEE组织制订的一种标准的网络认证协议,该协议的接入控 制是基于端口的,在用户认证通过前,关闭端口转发报文的工作,使端口处于受控状态,只
5允许认证协议报文即EAPOL报文通过,用户通过EAPOL协议报文的交互进行认证,认证通 过后打开端口,使端口处于非受控状态,用户允许接入网络,用户下线后将端口重新恢复为 受控状态,等待用户的再次认证。802. Ix实现上也有相应的扩展,可以基于IP、MAC (Media Access Control,媒体接入控制)等对用户进行权限控制。Portal认证机制是由BAS推送给用户一个TOB页面,用户在页面上输入用户名密 码等进行用户认证,认证通过后,可以根据用户IP地址、MAC地址等信息,开放用户上网权 限。PPPoE认证,也是BAS设备作为PPPoE服务器,允许用户PC或CPE设备远程登录到 BAS上进行认证,然后BAS开放用户上网权限。在部署了 DS-Lite接入后,组网结构可如图2所示。其中,DHCPv6服务器连接在 BAS设备上,NPE连接在BAS与IPv4网络之间,CPE所发的IPv4inIPv6报文(即封装在IPv6 隧道中的IPv4报文)传送到NPE上后,解封装后转入IPv4网络。发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷现有方案中,BAS对DS-Lite用户的权限控制只能做到较粗粒度的控制,比如 802. Ix只能做到端口级别,Portal (门户,入口,也指web认证的另外一种称呼)只能做到 报文外层IP地址的控制。对于用户隧道内的IPv4私网报文实际上没有任何控制,这将导 致无法做到限制用户的IPv4上网权限。
发明内容
本发明的目的在于提供一种轻量级双栈组网中的访问控制方法及其装置,以解决 在IPv4网络和IPv6网络共存情况下,现有DS-Lite技术无法对用户的IPv4网络访问权限 进行控制的问题,为此,本发明采用如下技术方案一种轻量级双栈组网中的访问控制方法,应用于在IPv4网络和IPv6网络共存的 组网中,对客户端访问IPv4网络进行控制的过程,该方法包括接入设备获取客户端的IPv4网络访问权限信息,以及所述客户端的地址以及为 该客户端所分配的网络侧设备NPE的地址,并根据获取到的IPv4网络访问权限信息、客户 端地址以及与其对应的NPE地址,设置相应的报文转发规则;当所述接入设备接收到所述客户端发送的报文时,根据设置的报文转发规则控制 所述报文的转发。上述方法中,在所述组网中仅有一个NPE时,所述报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况 下,所述报文转发规则为源地址为所述客户端地址的报文允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源IP为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文不 允许通过。上述方法中,在所述组网中有多个NPE且为客户端分配有NPE网段时,所述报文转
6发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况 下,所述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的 地址的报文不允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文 允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的 地址的报文不允许通过。上述方法中,所述客户端的认证报文中的认证扩展属性中携带有客户端的IPv4 网络访问权限信息,所述接入设备获取客户端的IPv4网络访问权限信息,具体为所述接入设备通过与认证服务器交互所述客户端的认证信息,获取其中携带的客 户端的IPv4网络访问权限信息。上述方法中,所述接入设备获取所述客户端的地址以及为该客户端所分配的网络 侧设备NPE的地址,具体为所述接入设备通过监听所述客户端与DHCP服务器交互的信息,获取所述客户端 的地址以及为所述客户端分配的NPE的地址。一种接入设备,应用于在IPv4网络和IPv6网络共存的组网中,对客户端访问IPv4 网络进行控制的过程,该接入设备包括第一获取模块,用于获取客户端的IPv4网络访问权限信息;第二获取模块,用于获取所述客户端的地址以及为该客户端所分配的网络侧设备 NPE的地址;规则设置模块,用于根据所述第一获取模块获取到的IPv4网络访问权限信息,以 及第二获取模块获取到的客户端地址以及与其对应的NPE地址,设置相应的报文转发规 则;报文转发模块,用于当接收到所述客户端发送的报文时,根据所述规则设置模块 设置的报文转发规则控制所述报文的转发。撒谎能够书接入设备中,在所述组网中仅有一个NPE时,所述规则设置模块设置 的报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况 下,所述报文转发规则为源地址为所述客户端地址的报文允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;
源IP为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文不 允许通过。上述接入设备中,在所述组网中有多个NPE且为客户端分配有NPE网段时,所述规 则设置模块设置的报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况 下,所述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的 地址的报文不允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文 允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的 地址的报文不允许通过。上述接入设备中,所述第一获取模块具体用于,通过与认证服务器交互所述客户 端的认证信息,获取其中携带的客户端的IPv4网络访问权限信息。上述接入设备中,所述第二获取模块具体用于,通过监听所述客户端与DHCP服务 器交互的信息,获取所述客户端的地址以及为所述客户端分配的NPE的地址。本发明具有以下有益效果接入设备通过获取客户端的IPv4网络访问权限信息,以及所述客户端的地址以 及为该客户端所分配的网络侧设备NPE的地址,并根据获取到的IPv4网络访问权限信息、 客户端地址以及与其对应的NPE地址,设置相应的报文转发规则,从而能够根据该规则对 该客户端发送来的报文进行转发控制。通常报文转发规则包括允许通过或禁止通过,因此 通过本发明可实现对用户通过NPE设备进行IPv4网络访问进行控制。
图1为现有技术中DS-Lite的实现示意图;图2为现有技术中DS-Lite的网络架构示意图;图3为本发明实施例中的RADIUS扩展的示意图;图4为本发明实施例提供的轻量级双栈组网中的访问控制流程示意图;图5为本发明实施例提供的接入设备的结构示意图。
具体实施例方式为了在DS-Lite组网架构中实现对IPv4访问权限进行控制,从而保证DS-Lite 组网的可运营性,本发明实施例提供了一种通过限制用户访问的NPE,从而达到限制用户的 IPv4网络访问权限的技术方案。本发明实施例中,部署了 DS-Lite的组网架构可如图2所示,其中,DHCP服务器与
8CPE之间通过BAS交互DHCPv6报文,可以动态通知NPE地址。参考原IPv4网络访问权限控 制方案中由BAS设备对用户的访问权限进行控制,为了保持一致性,本发明实施例中在部 署了 DS-Lite后,仍然由BAS设备控制用户对IPv4网络的访问权限。因为CPE和BAS之间 只存在IPv6协议,所以BAS上原有的IP地址权限控制将继续针对IPv6地址进行,本发明 实施例对此不进行限制。BAS要对用户的IPv4上网权限进行限制,即要对用户的NPE地址访问权限进行控 制,不管部署时采用哪种NPE地址分配方式,只要BAS能够实时获得NPE地址和用户的关联 关系,并获得用户的相应授权信息,即可进行相应的控制。BAS要获取为用户所分配的NPE地址,需要了解NPE的分配过程,其分配过程可包 括手工方式分配和通过DHCPv6协议分配。本发明实施例中,如果是通过手工方式将NPE地 址配置在CPE上的,则NPE上也要同步进行相应的配置,并将NPE地址与用户的对应关系同 步到BAS设备上,以使BAS可根据该对应关系和用户授权信息对相应用户访问IPv4网络的 权限进行控制;如果是通过DHCPv6协议交互分配NPE地址的,则BAS设备可以通过侦听用 户的DHCPv6交互过程,获知用户IP地址和对应的NPE的IP地址,即获知NPE地址与用户 的对应关系。BAS设备可进一步将通过手工配置方式或侦听方式获得的用户IP地址和对应的 NPE地址记录到用户信息表中。表1示出了一种用户信息表,其中记录有用户IP地址和为 其所分配的NPE地址的对应关系。表1 用户信息表
用户名用户IP地址NPE地址UserAIP ANPE AUser BIP BNPE B此表中的用户IP地址和NPE地址的对应关系,可以用于后续的IPv4权限控制。如 果授权用户可以使用用户信息表中记录的与该授权用户对应的NPE,则在BAS上设置相应 的报文过滤规则,从而在转发层面允许用户访问对应的NPE;如果不允许用户使用用户信 息表中记录的与该授权用户对应的NPE,则在BAS上设置相应的报文过滤规则,从而在转发 层面禁止用户访问对应的NPE。具体的,假设用户IP地址为IP A,当前网络中只有一个NPE,记为NPE A,用户信息 表中记录有IP A与NPE A的对应关系,则报文过滤规则可设置如下(1)在IPv4网络访问的授权信息为允许用户使用NPE访问IPv4网络的情况下,设 置如下规则源IP为IP A的报文允许通过;(2)在IPv4网络访问的授权信息为不允许用户使用NPE访问IPv4网络的情况下, 设置如下规则
源IP为IP A的报文允许通过;源IP为IP A,目的IP为NPE A的报文不允许通过。通过以上过滤规则,在网络中仅有一个NPE的情况下,当授权用户所分配到的NPE 地址为NPE A,且该授权用户的IPv4网络访问授权信息允许使用NPE访问IPv4网络时,该 授权用户的客户端发送到NPE A的报文可由BAS转发到NPEA,从而到达IPv4网络,实现 IPv4网络的访问;当授权用户所分配的NPE地址为NPE A,且该授权用户的IPv4网络访问 授权信息不允许使用NPE A访问IPv4网络时,该授权用户的客户端发送到NPE A的报文不 能通过BAS设备转发到NPE A,从而禁止对IPv4网络的访问。可以看出,通过以上过滤规 则的设置。解决了 DS-Lite组网中的IPv4访问权限控制的问题,并保证了 DS-Lite组网中 NPE的安全性。在有比较多的用户接入的情况下,通常需要部署多台NPE以便分担用户的负载。 针对这种情况,本发明实施例中,可将多个NPE规划到同一网段中,并可将同一网段中的一 个或多个NPE分配给同一用户,以方便使用网段进行权限控制。具体的,假设用户IP地址为IP Α,ΝΡΕ A属于网段NET A,用户信息表中记录有IPA 与NPE A的对应关系,则报文过滤规则可设置如下(1)在IPv4网络访问的授权信息为允许用户使用NPE访问IPv4网络的情况下,则 可设置如下规则源IP为IP A的报文允许通过;源IP为IP A,目的IP为NET A的报文不允许通过;源IP为IP A,目的IP为NPE A的报文允许通过。(2)在IPv4网络访问的授权信息为不允许用户使用NPE访问IPv4网络的情况下, 可设置如下规则源IP为IP A的报文允许通过;源IP为IP A,目的IP为NET A的报文不允许通过。通过以上过滤规则,在网络中有多个NPE的情况下,当用户的IPv4网络访问授权 信息允许使用NPE访问IPv4网络时,BAS可将该用户的客户端向某NPE发送的报文转发到 该NPE(但不能通过该网段中的其他NPE)到达IPv4网络,从而实现IPv4网络的访问;当用 户的IPv4网络访问授权信息不允许使用NPE访问IPv4网络时,BAS不将该用户的客户端 向该NPE发送的报文转发到该该NPE以及该NPE所属网段内的任何NPE,从而禁止对IPv4 网络的访问。可以看出,通过以上过滤规则的设置。解决了 DS-Lite组网中的IPv4访问权 限控制的问题,并保证了 DS-Lite组网中NPE的安全性。在运营商有多个NPE的情况下,采 用本发明实施例的上述报文转发规则,与现有技术相比,避免了用户在知道NPE地址后,可 以随意与该NPE所属网段中的某个NPE进行互联,影响运营商网络运行的问题。用户是否可以进行IPv4网络访问,可以通过扩展AAA (Authentication、 Authorization、Accounting, 认证、授权和计费)认证协议,如 RADIUS(RemoteAuthentication Dial In User Service,远程用户拨号认证服务)协议实 现。RADIUS授权信息可以通过扩展RADIUS属性的方式进行。由于RADIUS协议本身支持 扩展属性功能,因此本发明实施例中可采用扩展RADIUS的私有属性的方案来实现,扩展属 性格式可遵守RFC2865的26号属性的格式规定,26号属性的格式可如图3所示。其中,扩
10展部分采用TLV(Type Length Value,类型、长度和值)格式,Type为一个字节,值为100, length为一个字节,值为6,剩余4个字节为具体的控制策略的方式,通过设定不同的值标 识不同的控制方式,例如,0x0001标识该用户需要进行IPv4的控制(即不允许进行IPv4网 络访问),0x0002标识不需要进行IPv4的控制(即允许进行IPv4网络访问),其余值可以 留待扩展。当用户通过RADIUS认证通过后,可下发如图3所示的用户控制策略属性到BAS 设备,使BAS设备可根据这个属性的值判断是否允许授权用户进行IPv4网络访问。需要说明的是,RADIUS协议只是AAA协议一种,采用其它AAA协议,也可以进行类 似扩展,控制IPv4访问权限。根据图2所示的组网架构,图4示出了本发明实施例提供的一种轻量级双栈组网 中的访问控制流程,该流程以PPP认证为例,描述了对授权用户的IPv4网络访问权限进行 控制的过程,该流程可包括步骤401,CPE与BAS建立PPP连接。步骤402,BAS与AAA服务器交互用户认证信息,该用户认证信息中包含有用户的 IPv4网络访问权限信息,该权限信息表明该授权用户可以使用NPE访问IPv4网络。该步骤中,可通过扩展RADIUS属性的方式,如图3所示,在认证报文的RADIUS扩 展属性中设置用于标识是否允许用户使用NPE访问IPv4的属性,从而使BAS能够获知是否 允许该授权用户使用NPE访问IPv4网络。步骤403,CPE与DHCPv6服务器交互,获取地址和相关的配置信息,包括NPE信息。步骤404,BAS侦听步骤403中CPE与DHCPv6服务器的交互过程,从而获取NPE地 址和用户地址等信息,并与步骤402中获取到的IPv4网络访问权限信息结合,下发报文过 滤规则到该BAS上相应的报文端口。该步骤中,BAS下发的报文过滤规则可采用ACL(访问控制列表)规则,根据是否 允许授权用户通过NPE访问IPv4网络以及该授权用户与NPE的对应关系,下发不同的ACL, 所下发的报文过滤规则同前所述,在此不再赘述。步骤405,CPE 发送 IPv4in IPv6 报文。步骤406,BAS使用报文过滤规则,检查步骤405中的报文,在允许其通过的情况 下,将该报文转发给NPE。如果不允许其通过,则不将该报文转发给NPE。本流程以允许其 通过的情况为例。步骤407,NPE对报文进行解封装,从而使该授权用户访问IPv4网络。基于相同的技术构思,本发明实施例还提供了一种接入设备(如BAS设备),可应 用于本发明实施例的上述流程。如图5所示,本发明实施例提供的BAS设备可包括第一获取模块501,用于获取客户端的IPv4网络访问权限信息;第二获取模块502,用于获取所述客户端的地址以及为该客户端所分配的网络侧 设备NPE的地址;规则设置模块503,用于根据第一获取模块501获取到的IPv4网络访问权限信息, 以及第二获取模块502获取到的客户端地址以及与其对应的NPE地址,设置相应的报文转 发规则;报文转发模块504,用于当接收到所述客户端发送的报文时,根据规则设置模块
11503设置的报文转发规则控制所述报文的转发。上述接入设备中,第一获取模块501可通过与认证服务器交互所述客户端的认证 信息,获取其中携带的客户端的IPv4网络访问权限信息。上述接入设备中,第二获取模块502可通过监听所述客户端与DHCP服务器交互的 信息,获取所述客户端的地址以及为所述客户端分配的NPE的地址。在所述组网中仅有一个NPE时,规则设置模块503设置的报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况 下,所述报文转发规则为源地址为所述客户端地址的报文允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源IP为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文不 允许通过。在所述组网中有多个NPE且为客户端分配有NPE网段时,规则设置模块503设置 的报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况 下,所述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的 地址的报文不允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文 允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的 地址的报文不允许通过。需要说明的是,本发明实施例所提供的组网架构中,DHCPv6服务器、NPE都可能与 BAS设备集成,针对这样的组网架构,本发明实施例所提供的IPv4访问控制方案依然适用。另外,DHCPv6选项下发NPE是一种标准的下发NPE方式,如果有其它的NPE下发 方式,可以进行相似扩展。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更 佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的 部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行 本发明各个实施例所述的方法。 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应 视本发明的保护范围。
权利要求
一种轻量级双栈组网中的访问控制方法,应用于在IPv4网络和IPv6网络共存的组网中,对客户端访问IPv4网络进行控制的过程,其特征在于,包括以下步骤接入设备获取客户端的IPv4网络访问权限信息,所述客户端的地址以及为该客户端所分配的网络侧设备NPE的地址,并根据获取到的IPv4网络访问权限信息、客户端地址以及与其对应的NPE地址,设置相应的报文转发规则;当所述接入设备接收到所述客户端发送的报文时,根据设置的报文转发规则控制所述报文的转发。
2.如权利要求1所述的方法,其特征在于,在所述组网中仅有一个NPE时,所述报文转 发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所述报 文转发规则为源地址为所述客户端地址的报文允许通过;源IP为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文不允许 通过。
3.如权利要求1所述的方法,其特征在于,在所述组网中有多个NPE且为客户端分配有 NPE网段时,所述报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的地址 的报文不允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文允许 通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所述报 文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的地址 的报文不允许通过。
4.如权利要求1至3任一项所述的方法,其特征在于,所述客户端的认证报文中的认证 扩展属性中携带有客户端的IPv4网络访问权限信息,所述接入设备获取客户端的IPv4网 络访问权限信息,具体为所述接入设备通过与认证服务器交互所述客户端的认证信息,获取其中携带的客户端 的IPv4网络访问权限信息。
5.如权利要求1至3任一项所述的方法,其特征在于,所述接入设备获取所述客户端的 地址以及为该客户端所分配的网络侧设备NPE的地址,具体为所述接入设备通过监听所述客户端与DHCP服务器交互的信息,获取所述客户端的地址以及为所述客户端分配的NPE的地址。
6.一种接入设备,应用于在IPv4网络和IPv6网络共存的组网中,对客户端访问IPv4 网络进行控制的过程,其特征在于,包括第一获取模块,用于获取客户端的IPv4网络访问权限信息;第二获取模块,用于获取所述客户端的地址以及为该客户端所分配的网络侧设备NPE 的地址;规则设置模块,用于根据所述第一获取模块获取到的IPv4网络访问权限信息,以及第 二获取模块获取到的客户端地址以及与其对应的NPE地址,设置相应的报文转发规则;报文转发模块,用于当接收到所述客户端发送的报文时,根据所述规则设置模块设置 的报文转发规则控制所述报文的转发。
7.如权利要求6所述的接入设备,其特征在于,在所述组网中仅有一个NPE时,所述规 则设置模块设置的报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所述报 文转发规则为源地址为所述客户端地址的报文允许通过;源IP为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文不允许 通过。
8.如权利要求6所述的接入设备,其特征在于,在所述组网中有多个NPE且为客户端分 配有NPE网段时,所述规则设置模块设置的报文转发规则包括在IPv4网络访问权限信息表明允许所述客户端使用NPE访问IPv4网络的情况下,所 述报文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的地址 的报文不允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE地址的报文允许 通过;在IPv4网络访问权限信息表明不允许用户使用NPE访问IPv4网络的情况下,所述报 文转发规则为源地址为所述客户端地址的报文允许通过;源地址为所述客户端地址、目的地址为与所述客户端地址对应的NPE所属网段的地址 的报文不允许通过。
9.如权利要求6至8任一项所述的接入设备,其特征在于,所述第一获取模块具体用 于,通过与认证服务器交互所述客户端的认证信息,获取其中携带的客户端的IPv4网络访 问权限信息。
10.如权利要求6至8任一项所述的接入设备,其特征在于,所述第二获取模块具体用 于,通过监听所述客户端与DHCP服务器交互的信息,获取所述客户端的地址以及为所述客户端分配的NPE的地址。
全文摘要
本发明公开了一种轻量级双栈组网中的访问控制方法及其装置,应用于在IPv4网络和IPv6网络共存的组网中,对客户端访问IPv4网络进行控制的过程,该方法包括以下步骤接入设备获取客户端的IPv4网络访问权限信息,以及所述客户端的地址以及为该客户端所分配的网络侧设备NPE的地址,并根据获取到的IPv4网络访问权限信息、客户端地址以及与其对应的NPE地址,设置相应的报文转发规则;当所述接入设备接收到所述客户端发送的报文时,根据设置的报文转发规则控制所述报文的转发。采用本发明可实现对用户访问IPv4网络进行权限控制。
文档编号H04L12/56GK101951380SQ20101029484
公开日2011年1月19日 申请日期2010年9月28日 优先权日2010年9月28日
发明者林涛 申请人:杭州华三通信技术有限公司