用戶配置信息獲取方法和裝置的製作方法
2023-09-22 23:10:45 4
專利名稱:用戶配置信息獲取方法和裝置的製作方法
技術領域:
本發明涉及通信領域,尤其涉及一種用戶配置信息方法和裝置。
背景技術:
對於網絡轉發設備來說,獲取用戶配置信息是一項重要的任務。網絡設 備對數據報文進行用戶信息的識別,將不同的用戶配置信息應用到對應的數 據報文上。這裡的用戶在不同的層次和粒度上有不同的含義,例如,用戶識 別可以是基於埠的用戶,所有/人某個埠進入的^t據才艮文都應用這個埠
下的配置信息,通常很多的專線用戶是通過這種方式實現的;
用戶識別也可以是基於虛擬專用網VLAN的用戶,從某個埠進入的數 據報文,根據報文中攜帶的VLAN號,應用該VLAN號所對應的子接口 (邏輯 接口 )下的配置信息;用戶識別也可以是基於QinQ ( 802.1q in 802.1q)的用 戶,從某個埠進入的數據報文,根據報文中攜帶的兩層tag標籤,應用該兩 層tag所對應的QinQ接口 (邏輯接口 )下的配置信息,兩層tag分別為內層 VLAN號(out_vlan)和外層VLAN號(in—vlan);
用戶識別也可以是基於寬帶接入用戶的,從某個埠進入的數據報文, 根據報文中攜帶的封裝信息,在網絡設備上查找用戶信息表,應用匹配的用 戶所對應的配置信息;
用戶識別也可以是基於ACL用戶(Access Control List;訪問控制列 表)。ACL可以用來區分和過濾更細粒度的數據流,以對這些數據流進行區 別處理。舉個具體的例子,若網絡管理員得知來自某個網段的報文可能存在 病毒或者網絡攻擊時,可以在網絡設備上配置一條或一組ACL,當網絡設備收到的報文中的信息可以匹配上該ACL信息時,可以認為是來自病毒或者攻
擊網段的,可以根據配置將該報文丟棄;或者,網絡管理員也可以配置ACL 匹配某個網段,提高來自這給網段的報文的優先級。網絡設備在完成報文的 用戶識別後,可以將對應的用戶特定的配置應用到報文上,完成數據報文的 轉發。
當網絡設備收到 一個報文後,首先根據報文中的源埠號讀取埠配置 表,根據該源埠對應的配置對報文進行特定的配置;如果該報文中攜帶 VLAN信息,則根據源埠和VLAN信息讀取VLAN配置表,根據該VLAN對 應的VLAN子接口對報文進行特定的配置;如果該報文中攜帶了 QinQ信息, 則根據報文中攜帶的兩層tag讀取QinQ配置表,根據該兩層tag對應的QinQ子 接口對報文進行特定的配置;如果該報文進入的接口是寬帶接入用戶接口 , 則需要根據報文中的源MAC (Media Access Control)地址、VLAN號、源IP 地址和該報文進入的源埠號讀取寬帶接入用戶配置表,根據對應的寬帶接 入用戶對報文進行特定的配置。
發明人在研究過程中發現,現有技術存在以下缺點網絡設備對報文進 行配置用戶信息是逐級進行的,這樣,假設存在一個配置了寬帶用戶接入的 接口,用戶通過QinQ方式接入,且々I設查詢上述各個配置表的時間都是tl, 那麼從該接口收到的每一個報文都需要5倍的tl時間才能夠得到真正的用戶配 置信息,且幾乎所有的用戶配置信息都是更細粒度的配置覆蓋更粗粒度的配 置,所以在讀取寬帶接入用戶配置表之前讀取到的配置表是沒有實際作用 的,因此,處理一個寬帶用戶接入的報文的效率會非常低下。隨著網絡基礎 技術的發展,網絡設備承擔寬帶接入的需求越來越迫切,因此上述問題會不 斷突出,成為網絡設備面臨的主要問題。 發明內容基於此,本發明實施例提供一種用戶配置信息獲取的方法和裝置,可以 較快獲得用戶配置信息,從而提高網絡設備的轉發性能。
本發明實施例提供一種用戶配置信息獲取方法,包括接收數據報文; 從所述報文中獲取所述報文對應的至少一種用戶識別信息;根據所述用戶識
別信息查找統一用戶配置表,獲取所述用戶識別信息對應的用戶配置信息, 所述統一用戶配置表包括至少兩種用戶識別信息對應的用戶配置信息。
此外,本發明實施例提供另一種用戶配置信息獲取裝置,包括接收模
塊,用於接收數據報文;用戶識別信息獲取模塊,用於從所述報文中獲取所
述報文對應的至少一種用戶識別信息;用戶配置信息獲取模塊,用於根據所
述用戶識別信息查找統一用戶配置表,獲取所述用戶識別信息對應的用戶配
置信息,所述統一用戶配置表包括至少兩種用戶識別信息對應的用戶配置信 自
本發明實施例通過查找統一用戶配置表獲取用戶配置信息,可以較快獲
得用戶配置信息,從而提高網絡設備的轉發性能;此外,從配置管理角度來 看,由於統一用戶配置表管理至少兩種用戶識別信息對應的用戶配置信息, 提高了多種的用戶配置信息的可繼承性和可擴展性。
圖l是本發明實施例一的用戶配置信息獲取方法流程圖; 圖2是本發明的統一用戶配置表的一實施例示意圖;圖3是本發明的統一用戶配置表的另 一實施例示意圖; 圖4是本發明實施例二的用戶配置信息獲取裝置示意圖。
具體實施例方式
為使本發明的技術方案和有益效果更加清楚,下面參照附圖列舉實施例
進4亍詳細"i兌明 實施例一
本發明實施例提供一種用戶配置信息獲取方法,如圖l所示,圖l為本發 明實施例一的用戶配置信息獲^l方法流程圖。該方法包括 102、接收數據報文;
104、,人所述才艮文中獲取所述才艮文對應的至少一種用戶識別信息; 在本發明實施例的具體實現時,報文中所含的用戶識別信息可以是基於 不同種類的。例如,基於專線用戶,其用戶識別信息通常只有一種,即源端 口,也就是說,收到基於專線用戶的數據報文中的用戶識別信息是源埠; 基於VLAN的用戶,其用戶識別信息通常有兩種,即源埠和VLAN號,也就 是說,收到基於VLAN用戶的數據報文中的用戶識別信息是源埠號和VLAN 號;基於QinQ的用戶,其用戶是^d言息通常有三種,即源埠、內層VLAN 號和外層VLAN號,也就是說,收到基於QinQ的用戶的數據報文中的用戶識 別信息是源埠、內層VLAN號和外層VLAN號。
106、根據所述用戶識別信息查找統一用戶配置表,獲取所述用戶識別信 息對應的用戶配置信息,所述統一用戶配置表包括至少兩種用戶識別信息對
應的用戶配置信息;
在本發明實施例的具體實現時,可以預先建立統一用戶配置表,該統一 用戶配置表的內容至少包括兩種用戶識別信息對應的用戶配置信息。如上所
述,數據報文中所含的用戶識別信息的種類可能是埠 、內層VLAN號、外 層VLAN號、源MAC地址、源IP位址等,本發明實施例並不限定統一用戶配 置表需要包含所有種類的用戶識別信息,可以根據實際網絡的需要選擇所需 要包含種類的用戶識別信息建立統一用戶配置表。由於隨著網絡基礎技術的 發展,網絡設備承擔寬帶接入的需要將越來越迫切,所以,網絡設備收到數 據報文中的用戶識別信息的粒度將越來越細,所以,優選地,建立包含所有 種類的用戶識別信息對應的統一用戶配置表。為了方便理解,請參考圖2,圖 2是本發明的統一用戶配置表的一實施例示意圖。
這樣,對網絡設備來說,當收到數據報文時,提取報文中的用戶識別信 息,查統一用戶配置表,當發現與該用戶識別信息匹配的用戶配置信息時, 則將對應的用戶配置信息應用到報文轉發中。
在查表過程中,可能會出現一個報文中的用戶識別信息可以匹配到多條 表項的情況。可參考圖2,若網絡設備收到的數據報文中的用戶識別信息是源 埠是A, out—vlan是300, in一vlan是1000,當網絡設備查詢圖2的統一用戶配置表時,則index是2000、 2998和2999的表項都能匹配到該報文,本發明實施 例優選最長匹配的表項作為匹配結果,也就是選擇index是2000的表項,最長 匹配就是匹配內容最長、最多的一條表項。
除了最長匹配的原則之外,本發明實施例還可以提供優先級比較機制, 即優先選取高優先級的匹配表項。匹配表項的優先級的高低可以由網絡管理 員根據網絡的實際運行的需要進行配置。當最長匹配比較和高優先級比較出 現衝突時,建議可以採取高優先級比較遵循完全匹配的原則,低優先級的查 表遵循最長匹配的原則,優先選取高優先級的匹配結果。
在本發明實施例的具體實現時,可以將ACL與用戶識別結合在一起。本 發明實施例優選將ACL用於安全控制,例如當用戶識別信息匹配統一用戶配 置表中的ACL表項時,則說明該報文是一個攻擊報文,而非合法用戶,具體 可以根據網絡的實際需要進行配置,這樣優選ACL的優先級最高。可參考圖 3,圖3是本發明的統一用戶配置表的另一實施例示意圖。若網絡設備收到的 數據報文中的用戶識別信息是源埠是A, out—vlan是300, in—vlan是1000, SIP是l.1.1.1, DIP是2.2.2.2,當網絡設備查詢圖3的統一用戶配置表時,則 index是2000和5000的表項都能匹配到該報文,由於index是5000的表項為ACL 表項,所以本發明實施例優選ACL表項作為匹配結果,也就是選擇index是 5000的表項,這時,網絡設備將認為收到的報文為一個攻擊報文。本發明實施例通過查找統一用戶配置表獲取用戶配置信息,可以較快獲 得用戶配置信息,從而提高網絡設備的轉發性能;此外,從配置管理角度來 看,由於統一用戶配置表管理至少兩種用戶識別信息對應的用戶配置信息, 提高了多種的用戶配置信息的可繼承性和可擴展性。
實施例二
本發明實施例提供一種用戶配置信息獲取裝置,如圖4所示,圖4為本發 明實施例二的用戶配置信息獲取裝置示意圖。包括 接收模塊401,用於接收數據報文;
用戶識別信息獲取模塊402,用於從所述報文中獲取所述報文對應的至少 一種用戶識別信息;
在本發明實施例的具體實現時,報文中所含的用戶識別信息可以是基於 不同種類的。例如,基於專線用戶,其用戶識別信息通常只有一種,即源端 口,也就是說,收到基於專線用戶的數據報文中的用戶識別信息是源埠; 基於VLAN的用戶,其用戶識別信息通常有兩種,即源埠和VLAN號,也就 是說,收到基於VLAN用戶的數據報文中的用戶識別信息是源埠號和VLAN 號;基於QinQ的用戶,其用戶是被信息通常有三種,即源埠、內層VLAN 號和外層VLAN號,也就是說,收到基於QinQ的用戶的數據報文中的用戶識 別信息是源埠、內層VLAN號和外層VLAN號。用戶配置信息獲取模塊403,用於根據所述用戶識別信息查找統一用戶配 置表,獲取所述用戶識別信息對應的用戶配置信息,所述統一用戶配置表包 括至少兩種用戶識別信息對應的用戶配置信息。
在本發明實施例的具體實現時,可以預先建立統一用戶配置表,該統一 用戶配置表的內容至少包括兩種用戶識別信息對應的用戶配置信息。如上所
述,數據報文中所含的用戶識別信息的種類可能是埠 、內層VLAN號、外 層VLAN號、源MAC地址、源IP位址等,本發明實施例並不限定統一用戶配 置表需要包含所有種類的用戶識別信息,可以根據實際網絡的需要選擇所需 要包含種類的用戶識別信息建立統一用戶配置表。由於隨著網絡基礎技術的 發展,網絡設備承擔寬帶接入的需要將越來越迫切,所以,網絡設備收到數 據報文中的用戶識別信息的粒度將越來越細,所以,優選地,建立包含所有 種類的用戶識別信息對應的統一用戶配置表。
此外,在查表過程中,可能會出現一個淨艮文中的用戶識別信息可以匹配 到多條表項的情況,所以該用戶配置信息獲取裝置還進一步包括第 一判斷模 塊404,用於當所述用戶配置信息的條數為至少兩條時,選擇最長匹配的表項 作為所述^=艮文的用戶配置信息。
此外,本發明實施例還可以提供優先級比較機制,即優先選取高優先級 的匹配表項。匹配表項的優先級的高低可以由網絡管理員根據網絡的實際運 行的需要進行配置,相應的,該用戶配置信息獲取裝置還可以進一步包括第二判斷模塊405,用於當所述用戶配置信息的條數為至少兩條時,選擇高優先 級的表項作為所述報文的用戶配置信息。
該用戶配置信息獲取裝置可以集成在寬帶接入設備上,也可以集成在路 由器或者三層交換機上。
本發明實施例通過查找統一用戶配置表獲取用戶配置信息,可以較快獲
得用戶配置信息,從而提高網絡設備的轉發性能;此外,從配置管理角度來 看,由於統一用戶配置表管理至少兩種用戶識別信息對應的用戶配置信息, 提高了多種的用戶配置信息的可繼承性和可擴展性。
本領域普通技術人員可以理解上述實施例方法中的全部或部分步驟是可 以通過程序來指令相關的硬體來完成,該的程序可以存儲於一計算機可讀取 存儲介質中,該的存儲介質,如ROM/RAM、磁碟,光碟等。
以上該,僅為本發明較佳的具體實施方式
,但本發明的保護範圍並不局 限於此,任何熟悉該技術的人在本發明所揭露的技術範圍內,可輕易想到的 變化或替換,都應涵蓋在本發明的保護範圍之內。
權利要求
1、一種用戶配置信息獲取方法,其特徵在於,包括接收數據報文;從所述報文中獲取所述報文對應的至少一種用戶識別信息;根據所述用戶識別信息查找統一用戶配置表,獲取所述用戶識別信息對應的用戶配置信息,所述統一用戶配置表包括至少兩種用戶識別信息對應的用戶配置信息。
2、 根據權利要求l所述的方法,其特徵在於,所述用戶識別信息包括源 埠、內層虛擬區域網VLAN號、外層VLAN號、源IP位址、源J柴體接入控 制MAC地址中的 一種或多種。
3、 根據權利要求2所述的方法,其特徵在於,所述統一用戶配置表包括 至少五種用戶識別信息。
4、 根據權利要求l所述的方法,其特徵在於,還包括,當所述用戶配置信息的條數為至少兩條時,選擇最長匹配的表項作為所述報文的用戶配置信 白
5、 根據權利要求l所述的方法,其特徵在於,還包括當所述用戶配置信息的條數為至少兩條時,選擇高優先級的表項作為所述報文的用戶配置信 自
6、 根據權利要求5所述的方法,其特徵在於,所述高優先級表項採用完 全匹配。
7、 根據權利要求5所述的方法,其特徵在於,所述高優先級包括訪問控 制列表ACL的表項。
8、 一種用戶配置信息獲取裝置,其特徵在於,包括 接收模塊(401),用於接收數據報文;用戶識別信息獲取模塊(402),用於從所述報文中獲取所述報文對應的 至少一種用戶識別信息;用戶配置信息獲取4莫塊(403 ),用於根據所述用戶識別信息查找統一用 戶配置表,獲取所述用戶識別信息對應的用戶配置信息,所述統一用戶配置 表包括至少兩種用戶識別信息對應的用戶配置信息。
9、 根據權利要求8所述的裝置,其特徵在於,還包括第一判斷模塊 (404),用於當所述用戶配置信息的條數為至少兩條時,選擇最長匹配的表項作為所述報文的用戶配置信息。
10、 根據權利要求8所述的裝置,其特徵在於,還包括第二判斷模塊 (405 ),用於當所述用戶配置信息的條數為至少兩條時,選擇高優先級的表項作為所述報文的用戶配置信息。
11、 根據權利要求8所述的裝置,其特徵在於,所述用戶配置信息獲取 裝置集成在寬帶接入設備,路由器或者三層交換機。
全文摘要
本發明實施例公開了一種用戶配置信息獲取方法,包括接收數據報文;從所述報文中獲取所述報文對應的至少一種用戶識別信息;根據所述用戶識別信息查找統一用戶配置表,獲取所述用戶識別信息對應的用戶配置信息,所述統一用戶配置表包括至少兩種用戶識別信息對應的用戶配置信息。相應地,本發明實施例公開了一種用戶配置信息獲取裝置,本發明實施例通過查找統一用戶配置表獲取用戶配置信息,可以較快獲得用戶配置信息,從而提高網絡設備的轉發性能;此外,從配置管理角度來看,由於統一用戶配置表管理至少兩種用戶識別信息對應的用戶配置信息,提高了多種用戶配置信息的可繼承性和可擴展性。
文檔編號H04L12/56GK101447945SQ20081024154
公開日2009年6月3日 申請日期2008年12月23日 優先權日2008年12月23日
發明者武紹芸 申請人:華為技術有限公司