本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及訪問控制方法、裝置及設(shè)備。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)信息安全也變得越來越重要，在企業(yè)網(wǎng)、校園網(wǎng)等網(wǎng)絡(luò)中，接入網(wǎng)絡(luò)的角色多種多樣，網(wǎng)絡(luò)管理員需要對不同的用戶進(jìn)行權(quán)限的劃分，限制特定的用戶只能訪問特定的資源。

路由器的作用是將報(bào)文從一個網(wǎng)絡(luò)傳輸?shù)搅硪粋€網(wǎng)絡(luò)。路由器工作于網(wǎng)絡(luò)層，是信息出入的必經(jīng)之路，因此網(wǎng)絡(luò)路由包括過濾技術(shù)對網(wǎng)絡(luò)的安全具有舉足輕重的作用。路由器能有效的防止外部用戶對局域網(wǎng)的安全訪問，同時可以限制網(wǎng)絡(luò)流量，也可以限制局域網(wǎng)內(nèi)的用戶或設(shè)備使用網(wǎng)絡(luò)資源。另外，也可以通過交換機(jī)實(shí)現(xiàn)訪問控制。

目前，路由器/交換機(jī)的主要安全措施是通過訪問控制列表(accesscontrollist，acl)技術(shù)允許或拒絕報(bào)文通過路由器/交換機(jī)的接口來實(shí)現(xiàn)。訪問控制列表是一組條件控制指令列表。通過對列表中的不同控制條件組合的管理和控制，形成一組permit(允許)和deny(拒絕)函數(shù)組成的有序條件集合，控制路由器/交換機(jī)端口的訪問權(quán)限，保證路由器/交換機(jī)最基本的安全性。

然而，acl資源屬于硬件資源，設(shè)備的acl資源越多，設(shè)備成本越高。

技術(shù)實(shí)現(xiàn)要素：

為克服相關(guān)技術(shù)中存在的問題，本申請?zhí)峁┝嗽L問控制方法、裝置及設(shè)備。

根據(jù)本申請實(shí)施例的第一方面，提供一種訪問控制方法，所述方法包括：

根據(jù)報(bào)文發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為所述用戶等級對應(yīng)的私有vrf，不同用戶等級對應(yīng)不同私有vrf，私有vrf對應(yīng)有相應(yīng)的跨vrf資源，公共vrf中設(shè)有全局路由信息，私有vrf中無任何路由信息；

將所述報(bào)文的目的地址與所述私有vrf所對應(yīng)的跨vrf資源的地址范圍進(jìn)行比較；

如果所述報(bào)文的目的地址不在所述地址范圍內(nèi)，丟棄報(bào)文；

如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，將所述發(fā)送者的私有vrf更換為公共vrf，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。

可選的，所述根據(jù)報(bào)文發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為用戶等級對應(yīng)的私有vrf，包括：

根據(jù)用戶標(biāo)識與私有vrf的對應(yīng)關(guān)系，將報(bào)文發(fā)送者默認(rèn)所屬的公共vrf更換為所述發(fā)送者的標(biāo)識對應(yīng)的私有vrf，所述用戶標(biāo)識與私有vrf的對應(yīng)關(guān)系基于用戶標(biāo)識與用戶等級的關(guān)系、用戶等級與私有vrf的關(guān)系獲得。

可選的，所述方法還包括：

根據(jù)用戶標(biāo)識與公共vrf的對應(yīng)關(guān)系，確定所述發(fā)送者對應(yīng)公共vrf時，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)；

其中，所述用戶標(biāo)識與公共vrf的對應(yīng)關(guān)系基于用戶標(biāo)識與用戶等級的關(guān)系、用戶等級與公共vrf的關(guān)系獲得。

可選的，所述將發(fā)送者默認(rèn)所屬的公共vrf更換為用戶等級對應(yīng)的私有vrf，包括：

將所述報(bào)文中公共vrf字段更換為用戶等級對應(yīng)的私有vrf字段；

所述將所述發(fā)送者的私有vrf更換為公共vrf，包括：

將所述報(bào)文中私有vrf字段更換為公共vrf字段。

根據(jù)本申請實(shí)施例的第二方面，提供一種訪問控制裝置，所述裝置包括：

信息更換模塊，用于根據(jù)報(bào)文發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為所述用戶等級對應(yīng)的私有vrf，不同用戶等級對應(yīng)不同私有vrf，私有vrf對應(yīng)有相應(yīng)的跨vrf資源，公共vrf中設(shè)有全局路由信息，私有vrf中無任何路由信息；

信息比較模塊，用于將所述報(bào)文的目的地址與所述私有vrf所對應(yīng)的跨vrf資源的地址范圍進(jìn)行比較；如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，通知所述信息更換模塊將所述發(fā)送者的私有vrf更換為公共vrf；

路由查找模塊，用于如果所述報(bào)文的目的地址不在所述地址范圍內(nèi)，丟棄報(bào)文；如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。

可選的，所述信息更換模塊，具體用于：

根據(jù)用戶標(biāo)識與私有vrf的對應(yīng)關(guān)系，將報(bào)文發(fā)送者默認(rèn)所屬的公共vrf更換為所述發(fā)送者的標(biāo)識對應(yīng)的私有vrf，所述用戶標(biāo)識與私有vrf的對應(yīng)關(guān)系基于用戶標(biāo)識與用戶等級的關(guān)系、用戶等級與私有vrf的關(guān)系獲得。

可選的，所述路由查找模塊，還用于：

根據(jù)用戶標(biāo)識與公共vrf的對應(yīng)關(guān)系，確定所述發(fā)送者對應(yīng)公共vrf時，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)；

其中，所述用戶標(biāo)識與公共vrf的對應(yīng)關(guān)系基于用戶標(biāo)識與用戶等級的關(guān)系、用戶等級與公共vrf的關(guān)系獲得。

可選的，所述信息更換模塊，具體用于：

根據(jù)報(bào)文發(fā)送者的用戶等級，將所述報(bào)文中公共vrf字段更換為用戶等級對應(yīng)的私有vrf字段；

根據(jù)所述信息比較模塊的通知，將所述報(bào)文中私有vrf字段更換為公共vrf字段。

根據(jù)本申請實(shí)施例的第三方面，提供一種電子設(shè)備，包括：

處理器；

用于存儲處理器可執(zhí)行指令的存儲器；

其中，所述處理器被配置為：

根據(jù)報(bào)文發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為所述用戶等級對應(yīng)的私有vrf，不同用戶等級對應(yīng)不同私有vrf，私有vrf對應(yīng)有相應(yīng)的跨vrf資源，公共vrf中設(shè)有全局路由信息，私有vrf中無任何路由信息；

將所述報(bào)文的目的地址與所述私有vrf所對應(yīng)的跨vrf資源的地址范圍進(jìn)行比較；

如果所述報(bào)文的目的地址不在所述地址范圍內(nèi)，丟棄報(bào)文；

如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，將所述發(fā)送者的私有vrf更換為公共vrf，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。

本申請根據(jù)報(bào)文的發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為用戶等級對應(yīng)的私有vrf，如果報(bào)文的目的地址不在私有vrf所對應(yīng)的跨vrf資源的地址范圍內(nèi)，則丟棄報(bào)文；如果報(bào)文的目的地址在私有vrf所對應(yīng)的跨vrf資源的地址范圍內(nèi)，將發(fā)送者的私有vrf更換為公共vrf，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。由于用戶流量進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)時，查找路由是必不可少的流程，因此本申請?jiān)谕ㄟ^路由的方式實(shí)現(xiàn)對用戶權(quán)限的控制，和其他方式相比節(jié)約設(shè)備硬件資源，有助于設(shè)備性能的提高。

應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本申請。

附圖說明

此處的附圖被并入說明書中并構(gòu)成本說明書的一部分，示出了符合本申請的實(shí)施例，并與說明書一起用于解釋本申請的原理。

圖1是本申請根據(jù)一示例性實(shí)施例示出的一種應(yīng)用場景圖。

圖2a是本申請根據(jù)一示例性實(shí)施例示出的一種訪問控制方法的流程圖。

圖2b是本申請根據(jù)一示例性實(shí)施例示出的一種資源訪問示意圖。

圖3是本申請根據(jù)一示例性實(shí)施例示出的另一種訪問控制方法的流程圖。

圖4是本申請根據(jù)一示例性實(shí)施例示出的一種訪問控制裝置。

具體實(shí)施方式

這里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。

在本申請使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。

acl資源屬于硬件資源，用戶認(rèn)證通過后，接入設(shè)備下發(fā)對應(yīng)用戶的acl規(guī)則，通過acl對用戶訪問權(quán)限進(jìn)行控制。acl規(guī)則越多，設(shè)備成本越高。當(dāng)用戶量多時，規(guī)則條數(shù)會隨之增多，當(dāng)流量大的時候，很大程度上浪費(fèi)設(shè)備性能。

為了避免成本高以及浪費(fèi)設(shè)備性能的問題，本申請?zhí)峁┮环N訪問控制方法，所述方法可以應(yīng)用在支持vrf(vritualroutingforwarding，vpn路由轉(zhuǎn)發(fā)表，也稱為vpn-instance)的接入設(shè)備中。接入設(shè)備(accessdevice)是一個硬件設(shè)備，其通常用于遠(yuǎn)程的訪問網(wǎng)絡(luò)資源，反之亦然。在一個例子中，接入設(shè)備可以是寬帶接入服務(wù)器。寬帶接入服務(wù)器(broadbandremoteaccessserver，簡稱bras)是面向?qū)拵ЬW(wǎng)絡(luò)應(yīng)用的新型接入網(wǎng)關(guān)，它位于骨干網(wǎng)的邊緣層，可以完成用戶帶寬的ip/atm網(wǎng)的數(shù)據(jù)接入，實(shí)現(xiàn)商業(yè)樓宇及小區(qū)住戶等的寬帶上網(wǎng)、基于ipsec(ipsecurityprotocol)的ipvpn服務(wù)、構(gòu)建企業(yè)內(nèi)部intranet、支持isp向用戶批發(fā)業(yè)務(wù)等應(yīng)用。

為了方便理解，本申請還提供一種本申請方法所應(yīng)用的場景圖。如圖1所示，圖1是本申請根據(jù)一示例性實(shí)施例示出的一種應(yīng)用場景圖。在該場景中，不同用戶(圖中以用戶a、用戶b和用戶c為例)的用戶終端通過交換機(jī)與寬帶接入服務(wù)器連接，寬帶接入服務(wù)器接入internet網(wǎng)，進(jìn)而訪問相應(yīng)的網(wǎng)絡(luò)資源。本申請?jiān)L問控制方法可以應(yīng)用在寬帶接入服務(wù)器中，通過寬帶接入服務(wù)器實(shí)現(xiàn)限制不同級別的用戶訪問不同的網(wǎng)絡(luò)資源。

可以理解的是，寬帶接入服務(wù)器可以具有路由功能，因此可以充當(dāng)路由器。本申請僅列舉出其中一種場景圖，針對其他需要控制用戶訪問網(wǎng)絡(luò)資源的場景也適用，在此不再一一列舉。

接下來對本申請的訪問控制方法進(jìn)行介紹。如圖2a所示，圖2a是本申請根據(jù)一示例性實(shí)施例示出的一種訪問控制方法的流程圖，該方法可以用于接入設(shè)備中，包括以下步驟201至步驟204：

在步驟201中，根據(jù)報(bào)文發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為用戶等級對應(yīng)的私有vrf，不同用戶等級對應(yīng)不同私有vrf，私有vrf對應(yīng)有相應(yīng)的跨vrf資源，公共vrf中設(shè)有全局路由信息，私有vrf中無任何路由信息。

在步驟202中，將所述報(bào)文的目的地址與所述私有vrf所對應(yīng)的跨vrf資源的地址范圍進(jìn)行比較。

在步驟203中，如果所述報(bào)文的目的地址不在所述地址范圍內(nèi)，丟棄報(bào)文。

在步驟204中，如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，將所述發(fā)送者的私有vrf更換為公共vrf，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。

在本申請實(shí)施例中，可以將全網(wǎng)可訪問的資源全部劃分在一個vrf中，該vrf中設(shè)有全局路由信息，在這個vrf中查找路由，可以訪問所有的網(wǎng)絡(luò)資源，進(jìn)而可以將該類vrf稱為公共vrf。同時，可以根據(jù)用戶等級的級數(shù)建立多個其他的vrf，不同用戶等級對應(yīng)不同vrf，每個vrf中無任何路由信息，因此無法在這個vrf中查找路由，但每個vrf可以對應(yīng)一部分跨vrf資源，跨vrf資源可以通過資源的ip地址范圍表示，私有vrf對應(yīng)的用戶可以訪問該私有vrf下的跨vrf資源，將該類vrf稱為私有vrf。

可見，將所有資源劃分到公共vrf中，其他私有vrf只起隔離作用，沒有增加整機(jī)設(shè)備的路由條目。

為了方便理解，本申請還提供一種資源訪問示意圖。如圖2b所示，圖2b是本申請根據(jù)一示例性實(shí)施例示出的一種資源訪問示意圖。在該示意圖中，全網(wǎng)資源都屬于公共vrf(vrf0)中，在vrf0中可以訪問資源a到d所有資源。假設(shè)用戶分為四個等級：初級用戶、中級用戶、高級用戶以及特權(quán)用戶，特權(quán)用戶能訪問所有資源，則可以增設(shè)3個私有vrf：vrf1、vrf2、vrf3。vrf1到vrf3中無任何路由信息，用戶如果在vrf1到vrf3中查找路由，結(jié)果為沒有轉(zhuǎn)發(fā)路徑可以使用，用戶無法訪問需要訪問的資源。但3個私有vrf可以對應(yīng)相應(yīng)的跨vrf資源。

用戶端發(fā)送的報(bào)文經(jīng)過同一個接口進(jìn)入接入設(shè)備。為了讓報(bào)文經(jīng)過同一個接口進(jìn)入設(shè)備，將發(fā)送者的默認(rèn)vrf設(shè)定為公共vrf。在接入設(shè)備中，接收發(fā)送者發(fā)送的報(bào)文，并根據(jù)發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為用戶等級對應(yīng)的私有vrf。

在一個例子中，可以根據(jù)用戶標(biāo)識與私有vrf的對應(yīng)關(guān)系，將報(bào)文發(fā)送者默認(rèn)所屬的公共vrf更換為所述發(fā)送者的標(biāo)識對應(yīng)的私有vrf。

在該實(shí)施例中，可以預(yù)先根據(jù)用戶標(biāo)識與用戶等級的關(guān)系、以及用戶等級與私有vrf的關(guān)系確定用戶標(biāo)識與私有vrf的對應(yīng)關(guān)系；也可以預(yù)先根據(jù)用戶標(biāo)識與用戶等級的關(guān)系、以及用戶等級與公共vrf的關(guān)系確定用戶標(biāo)識與公共vrf的對應(yīng)關(guān)系。

進(jìn)一步的，經(jīng)過上述預(yù)處理過程，可以將兩種對應(yīng)關(guān)系存儲在一個關(guān)系列表中，從而獲得用戶標(biāo)識與用戶所屬的vrf(包括公共vrf和私有vrf)的對應(yīng)關(guān)系。

其中，用戶標(biāo)識可以是用戶名、用戶賬號，也可以是數(shù)字、字符串、符號等的任意組合，只要能唯一標(biāo)識用戶即可。

如表1所示，表1是用戶名、用戶等級、用戶所屬vrf以及該vrf對應(yīng)的跨vrf資源的對應(yīng)關(guān)系表。用戶接入網(wǎng)絡(luò)時，需要進(jìn)行身份驗(yàn)證，接入設(shè)備根據(jù)用戶名判斷其屬于哪類用戶，通過用戶等級和vrf的對應(yīng)關(guān)系，在接入設(shè)備上建立用戶名和vrf的對應(yīng)關(guān)系。

表1用戶名、用戶等級、用戶所屬vrf以及跨vrf資源的對應(yīng)關(guān)系表

由表1可見，初級用戶對應(yīng)vrf1，vrf1中沒有任何資源，但可以跨vrf1訪問資源a，中級用戶對應(yīng)vrf2，可以跨vrf2訪問資源b，高級用戶對應(yīng)vrf3，可以跨vrf3訪問資源c，特權(quán)用戶對應(yīng)vrf0，由于vrf0對應(yīng)所有資源，因此無需進(jìn)行跨vrf訪問其他資源，此時跨vrf資源為空。

基于此，在接收到報(bào)文時，根據(jù)報(bào)文所攜帶的用戶標(biāo)識、以及用戶標(biāo)識與vrf的對應(yīng)關(guān)系，判斷發(fā)送者所對應(yīng)的vrf，如果所述發(fā)送者對應(yīng)公共vrf時，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。如果所述發(fā)送者對應(yīng)私有vrf時，將發(fā)送者默認(rèn)所屬的公共vrf更換為所述用戶等級對應(yīng)的私有vrf，將所述報(bào)文的目的地址與所述私有vrf所對應(yīng)的跨vrf資源的地址范圍進(jìn)行比較，如果所述報(bào)文的目的地址不在所述地址范圍內(nèi)，表示待訪問資源不在跨vrf資源中，該發(fā)送者沒有訪問該資源的權(quán)限，則不進(jìn)行跨資源訪問，由于私有vrf中不具有任何路由信息，沒有轉(zhuǎn)發(fā)路徑可以使用，則丟棄該報(bào)文。如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，表示待訪問資源在跨vrf資源中，可以將所述發(fā)送者的私有vrf更換為公共vrf，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。

可見，正常的vrf實(shí)現(xiàn)完全三層路由隔離的技術(shù)，本實(shí)施例中vrf進(jìn)行隔離時，增加了條件判斷，在報(bào)文轉(zhuǎn)發(fā)過程中，接入設(shè)備根據(jù)業(yè)務(wù)需求對用戶報(bào)文的vrf進(jìn)行實(shí)時更新，實(shí)現(xiàn)了跨vrf轉(zhuǎn)發(fā)機(jī)制。并且，只有公共vrf中設(shè)有全局路由信息，私有vrf中無任何路由信息，實(shí)現(xiàn)共用一個路由信息表，避免在每個私有vrf中分別設(shè)置跨vrf資源對應(yīng)的路由信息，由于各私有vrf中的跨vrf資源可能存在交叉，導(dǎo)致路由信息重疊，進(jìn)而資源浪費(fèi)。

如圖2b所示，用戶c上線后，用戶c屬于vrf3，當(dāng)用戶c發(fā)送的報(bào)文經(jīng)過接入設(shè)備時，報(bào)文的vrf屬于gige0_！所屬的vrf0中，接入設(shè)備首先將用戶的vrf替換為vrf3，然后根據(jù)用戶所訪問的目的地址和資源c的ip地址段進(jìn)行比較，如果目的地址屬于資源c的范圍，接入設(shè)備重新將用戶c所屬的vrf3替換為vrf0，在vrf0中查找路由進(jìn)行轉(zhuǎn)發(fā)，用戶c可以訪問資源c，如果目的地址不屬于資源c的范圍，用戶在vrf3中查找路由，結(jié)果為丟包。

進(jìn)一步的，將發(fā)送者默認(rèn)所屬的公共vrf更換為用戶等級對應(yīng)的私有vrf，可以包括：將所述報(bào)文中公共vrf字段更換為用戶等級對應(yīng)的私有vrf字段；所述將所述發(fā)送者的私有vrf更換為公共vrf，包括：將所述報(bào)文中私有vrf字段更換為公共vrf字段。

可見，只需要簡單更改報(bào)文中表示vrf的字段，即可實(shí)現(xiàn)快速更換vrf。

由上述實(shí)施例可見，根據(jù)報(bào)文的發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為用戶等級對應(yīng)的私有vrf，如果報(bào)文的目的地址不在私有vrf所對應(yīng)的跨vrf資源的地址范圍內(nèi)，則丟棄報(bào)文；如果報(bào)文的目的地址在私有vrf所對應(yīng)的跨vrf資源的地址范圍內(nèi)，將發(fā)送者的私有vrf更換為公共vrf，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。由于用戶流量進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)時，查找路由是必不可少的流程，因此本申請?jiān)谕ㄟ^路由的方式實(shí)現(xiàn)對用戶權(quán)限的控制，和其他方式相比節(jié)約設(shè)備硬件資源，有助于設(shè)備性能的提高。

以上實(shí)施方式中的各種技術(shù)特征可以任意進(jìn)行組合，只要特征之間的組合不存在沖突或矛盾，但是限于篇幅，未進(jìn)行一一描述，因此上述實(shí)施方式中的各種技術(shù)特征的任意進(jìn)行組合也屬于本說明書公開的范圍。

以下以其中一種組合進(jìn)行示例說明。如圖3所示，圖3是本申請根據(jù)一示例性實(shí)施例示出的另一種訪問控制方法的流程圖，所述方法包括：

在步驟301中，接收報(bào)文，所述報(bào)文中攜帶有用戶標(biāo)識。

在步驟302中，根據(jù)報(bào)文所攜帶的用戶標(biāo)識、以及用戶標(biāo)識與vrf的對應(yīng)關(guān)系，確定報(bào)文的發(fā)送者所屬的vrf。

其中，用戶標(biāo)識與vrf的對應(yīng)關(guān)系可以基于用戶標(biāo)識與用戶等級的關(guān)系、用戶等級與私有vrf/公共vrf的關(guān)系獲得。不同用戶等級對應(yīng)不同私有vrf，私有vrf對應(yīng)有相應(yīng)的跨vrf資源，公共vrf中設(shè)有全局路由信息，私有vrf中無任何路由信息。

在步驟303中，若發(fā)送者所屬的vrf為公共vrf，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。

在步驟304中，若發(fā)送者所屬的vrf為私有vrf，將發(fā)送者默認(rèn)所屬的公共vrf更換為發(fā)送者的標(biāo)識對應(yīng)的私有vrf。

在步驟305中，將所述報(bào)文的目的地址與所述私有vrf所對應(yīng)的跨vrf資源的地址范圍進(jìn)行比較。

在步驟306中，如果所述報(bào)文的目的地址不在所述地址范圍內(nèi)，丟棄報(bào)文。

在步驟307中，如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，將所述發(fā)送者的私有vrf更換為公共vrf，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。

圖3與圖2a中相關(guān)技術(shù)相同，在此不再一一贅述。

由上述實(shí)施例可見，正常的vrf是實(shí)現(xiàn)完全三層路由隔離的技術(shù)，本實(shí)施例中vrf進(jìn)行隔離時，增加了條件判斷，在報(bào)文轉(zhuǎn)發(fā)過程中，接入設(shè)備根據(jù)業(yè)務(wù)需求對用戶報(bào)文的vrf進(jìn)行實(shí)時更新，實(shí)現(xiàn)了跨vrf轉(zhuǎn)發(fā)機(jī)制。通過路由的方式實(shí)現(xiàn)對用戶權(quán)限的控制，和其他方式相比節(jié)約設(shè)備硬件資源，有助于設(shè)備性能的提高。

與前述訪問控制方法的實(shí)施例相對應(yīng)，本申請還提供了訪問控制裝置及其所應(yīng)用的電子設(shè)備的實(shí)施例。

如圖4所示，圖4是本申請根據(jù)一示例性實(shí)施例示出的一種訪問控制裝置，所述裝置包括：信息更換模塊410、信息比較模塊420和路由查找模塊430。

其中，信息更換模塊410，用于根據(jù)報(bào)文發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為所述用戶等級對應(yīng)的私有vrf，不同用戶等級對應(yīng)不同私有vrf，私有vrf對應(yīng)有相應(yīng)的跨vrf資源，公共vrf中設(shè)有全局路由信息，私有vrf中無任何路由信息。

信息比較模塊420，用于將所述報(bào)文的目的地址與所述私有vrf所對應(yīng)的跨vrf資源的地址范圍進(jìn)行比較；如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，通知所述信息更換模塊410將所述發(fā)送者的私有vrf更換為公共vrf。

路由查找模塊430，用于如果所述報(bào)文的目的地址不在所述地址范圍內(nèi)，丟棄報(bào)文；如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。

在一個可選的實(shí)現(xiàn)方式中，所述信息更換模塊，具體用于：

根據(jù)用戶標(biāo)識與私有vrf的對應(yīng)關(guān)系，將報(bào)文發(fā)送者默認(rèn)所屬的公共vrf更換為所述發(fā)送者的標(biāo)識對應(yīng)的私有vrf，所述用戶標(biāo)識與私有vrf的對應(yīng)關(guān)系基于用戶標(biāo)識與用戶等級的關(guān)系、用戶等級與私有vrf的關(guān)系獲得。

在一個可選的實(shí)現(xiàn)方式中，所述路由查找模塊，還用于：

根據(jù)用戶標(biāo)識與公共vrf的對應(yīng)關(guān)系，確定所述發(fā)送者對應(yīng)公共vrf時，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)；

其中，所述用戶標(biāo)識與公共vrf的對應(yīng)關(guān)系基于用戶標(biāo)識與用戶等級的關(guān)系、用戶等級與公共vrf的關(guān)系獲得。

在一個可選的實(shí)現(xiàn)方式中，所述信息更換模塊，具體用于：

根據(jù)報(bào)文發(fā)送者的用戶等級，將所述報(bào)文中公共vrf字段更換為用戶等級對應(yīng)的私有vrf字段；

根據(jù)所述信息比較模塊的通知，將所述報(bào)文中私有vrf字段更換為公共vrf字段。

相應(yīng)的，本申請還提供一種電子設(shè)備，所述設(shè)備包括有處理器；用于存儲處理器可執(zhí)行指令的存儲器；其中，所述處理器被配置為：

根據(jù)報(bào)文發(fā)送者的用戶等級，將發(fā)送者默認(rèn)所屬的公共vrf更換為所述用戶等級對應(yīng)的私有vrf，不同用戶等級對應(yīng)不同私有vrf，私有vrf對應(yīng)有相應(yīng)的跨vrf資源，公共vrf中設(shè)有全局路由信息，私有vrf中無任何路由信息；

將所述報(bào)文的目的地址與所述私有vrf所對應(yīng)的跨vrf資源的地址范圍進(jìn)行比較；

如果所述報(bào)文的目的地址不在所述地址范圍內(nèi)，丟棄報(bào)文；

如果所述報(bào)文的目的地址在所述地址范圍內(nèi)，將所述發(fā)送者的私有vrf更換為公共vrf，利用公共vrf下的全局路由信息查找路由，并進(jìn)行報(bào)文轉(zhuǎn)發(fā)。

上述裝置中各個模塊的功能和作用的實(shí)現(xiàn)過程具體詳情見上述方法中對應(yīng)步驟的實(shí)現(xiàn)過程，在此不再贅述。

對于裝置實(shí)施例而言，由于其基本對應(yīng)于方法實(shí)施例，所以相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說明的模塊可以是或者也可以不是物理上分開的，作為模塊顯示的部件可以是或者也可以不是物理模塊，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)模塊上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實(shí)施。

本領(lǐng)域技術(shù)人員在考慮說明書及實(shí)踐這里公開的發(fā)明后，將容易想到本申請的其它實(shí)施方案。本申請旨在涵蓋本申請的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本申請的一般性原理并包括本申請未公開的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實(shí)施例僅被視為示例性的，本申請的真正范圍和精神由下面的權(quán)利要求指出。

應(yīng)當(dāng)理解的是，本申請并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)，并且可以在不脫離其范圍進(jìn)行各種修改和改變。本申請的范圍僅由所附的權(quán)利要求來限制。

以上所述僅為本申請的較佳實(shí)施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請保護(hù)的范圍之內(nèi)。