一種地址分配方法、信息聚合方法及相關設備的制造方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡技術領域,尤其涉及一種地址分配方法、信息聚合方法及相關設備。
【背景技術】
[0002]隨著網(wǎng)絡技術的發(fā)展,信息安全顯得越來越重要,通??梢曰诳蛻舳说哪繕松矸輼俗R進行網(wǎng)絡安全控制,目標身份標識可以是客戶端所屬安全組,即是具有相同目標身份標識的客戶端是屬于同一個安全組,在同一個安全組的客戶端執(zhí)行相同的安全策略。策略控制主要由網(wǎng)絡設備執(zhí)行,在一個網(wǎng)絡設備中存儲了所有客戶端的網(wǎng)絡地址與身份標識之間的對應關系,當一個數(shù)據(jù)報文到達該網(wǎng)絡設備后,網(wǎng)絡設備根據(jù)該數(shù)據(jù)報文中的網(wǎng)絡地址得到和該網(wǎng)絡地址對應的客戶端的身份標識,并在數(shù)據(jù)報文中插入客戶端的身份標識,其他網(wǎng)絡設備基于該身份標識執(zhí)行網(wǎng)絡安全策略。
[0003]通常,動態(tài)主機設置協(xié)議(英文:DynamicHost Configurat1n Protocol,縮寫:DHCP)服務器分配客戶端的網(wǎng)絡地址是隨機分配,因此網(wǎng)絡設備在存儲客戶端網(wǎng)絡地址與目標身份標識之間對應關系時,需要將每一個網(wǎng)絡地址與身份標識的對應關系都羅列出來,這種方法在客戶端較多的情況下會產(chǎn)生大量的網(wǎng)絡地址與目標身份標識對應關系的表項,浪費設備存儲資源,存儲復雜度高。
【發(fā)明內容】
[0004]本發(fā)明實施例提供一種地址分配方法、信息聚合方法及相關設備,具有相同目標身份標識的客戶端的網(wǎng)絡地址是在一個地址段,因此可以減少網(wǎng)絡設備中存儲網(wǎng)絡地址與目標身份標識對應關系的表項,節(jié)省設備存儲資源,存儲簡單。
[0005]本發(fā)明實施例第一方面提供了一種地址分配方法,可包括:
[0006]動態(tài)主機設置協(xié)議服務器接收網(wǎng)絡設備轉發(fā)的客戶端所發(fā)送的請求分配網(wǎng)絡地址的第一請求,所述第一請求攜帶由所述網(wǎng)絡設備插入的所述客戶端的目標身份標識;
[0007]所述動態(tài)主機設置協(xié)議服務器確定和所述客戶端的目標身份標識對應的地址段,所述動態(tài)主機設置協(xié)議服務器根據(jù)和所述客戶端的目標身份標識對應的地址段為所述客戶端分配網(wǎng)絡地址,其中,為所述客戶端分配的網(wǎng)絡地址屬于和所述客戶端的目標身份標識對應的地址段。
[0008]基于第一方面,在第一方面的第一種實施方式中,所述動態(tài)主機設置協(xié)議服務器確定和所述客戶端的目標身份標識對應的地址段,包括:
[0009]若所述動態(tài)主機設置協(xié)議服務器已為所述客戶端的目標身份標識分配了對應的地址段,并且所述已為所述客戶端的目標身份標識分配的對應的地址段中有未分配網(wǎng)絡地址,則和所述客戶端的目標身份標識對應的地址段為所述已為所述客戶端的目標身份標識分配的對應的地址段;
[0010]若所述已為所述客戶端的目標身份標識分配的對應的地址段中所有的網(wǎng)絡地址都是已分配網(wǎng)絡地址,或者所述動態(tài)主機設置協(xié)議服務器尚未為所述客戶端的目標身份標識分配對應的地址段,則所述動態(tài)主機設置協(xié)議服務器在所述動態(tài)主機設置協(xié)議服務器的可管理網(wǎng)絡地址中為所述客戶端的目標身份標識新分配地址段,將該新分配地址段作為和所述客戶端的目標身份標識對應的地址段。
[0011]基于第一方面的第一種可行的實施方式,在第一方面的第二種可行的實施方式中,所述動態(tài)主機設置協(xié)議服務器在所述動態(tài)主機設置協(xié)議服務器的可管理網(wǎng)絡地址中為所述客戶端的目標身份標識新分配地址段,包括:
[0012]若所述可管理網(wǎng)絡地址中不存在已分配網(wǎng)絡地址,所述動態(tài)主機設置協(xié)議服務器將所有可管理網(wǎng)絡地址的集合構成的地址段確定為和所述客戶端的所述目標身份標識對應的地址段。
[0013]基于第一方面的第二種可行的實施方式,在第一方面的第三種可行的實施方式中,所述動態(tài)主機設置協(xié)議服務器在所述動態(tài)主機設置協(xié)議服務器的可管理網(wǎng)絡地址中為所述客戶端的目標身份標識新分配地址段,還包括:
[0014]若所述可管理網(wǎng)絡地址中存在已分配網(wǎng)絡地址,所述動態(tài)主機設置協(xié)議服務器確定所述可管理網(wǎng)絡地址中最長的連續(xù)未分配網(wǎng)絡地址,并將所述最長的連續(xù)未分配網(wǎng)絡地址劃分為第一地址段和第二地址段,其中第一地址段由所述最長的連續(xù)未分配網(wǎng)絡地址中的部分連續(xù)未分配網(wǎng)絡地址構成,第二地址段由所述最長的連續(xù)未分配網(wǎng)絡地址中除所述第一地址段外的連續(xù)未分配網(wǎng)絡地址構成,所述第一地址段與屬于所述最長的連續(xù)未分配網(wǎng)絡地址對應的身份標識的已分配網(wǎng)絡地址相鄰;
[0015]所述動態(tài)主機設置協(xié)議服務器將所述第二地址段確定為所述新分配地址段。
[0016]基于第一方面的第一種可行的實施方式,在第一方面的第四種可行的實施方式中,所述動態(tài)主機設置協(xié)議服務器在所述動態(tài)主機設置協(xié)議服務器的可管理網(wǎng)絡地址中為所述客戶端的目標身份標識新分配地址段,包括:
[0017]根據(jù)預設大小,所述動態(tài)主機設置協(xié)議服務器在所述動態(tài)主機設置協(xié)議服務器的可管理網(wǎng)絡地址中除已分配地址段外的網(wǎng)絡地址中為所述客戶端的目標身份標識新分配地址段,所述新分配地址段的大小等于所述預設大小。
[0018]本發(fā)明第二方面提供一種信息聚合方法,可包括:
[0019]網(wǎng)絡設備接收第一客戶端發(fā)送的請求分配網(wǎng)絡地址的第一請求,所述第一請求包括所述第一客戶端的介質訪問控制(英文:media access control,縮寫:MAC)地址;
[0020]所述網(wǎng)絡設備根據(jù)預先存儲的MAC地址與身份標識的映射表,所述網(wǎng)絡設備查找與所述第一客戶端的MAC地址對應的目標身份標識作為第一目標身份標識;
[0021]所述網(wǎng)絡設備將所述第一目標身份標識插入所述第一請求中,以獲得第二請求;
[0022]所述網(wǎng)絡設備向服務器轉發(fā)所述第二請求;
[0023]所述網(wǎng)絡設備獲取所述服務器發(fā)送的根據(jù)所述第一目標身份標識為所述第一客戶端所分配的第一網(wǎng)絡地址。
[0024]基于第二方面,在第二方面的第一種可行的實施方式中,所述網(wǎng)絡設備獲取所述服務器發(fā)送的根據(jù)所述第一目標身份標識為所述第一客戶端所分配的第一網(wǎng)絡地址之后,還包括:
[0025]所述網(wǎng)絡設備獲取所述服務器發(fā)送的根據(jù)第二目標身份標識為第二客戶端所分配的第二網(wǎng)絡地址,所述第二目標身份標識為根據(jù)所述映射表中和所述第二客戶端的MAC地址對應的目標身份標識,所述第二目標身份標識和所述第一目標身份標識的值相同;
[0026]所述網(wǎng)絡設備根據(jù)所述第二目標身份標識和所述第一目標身份標識將所述第一網(wǎng)絡地址和所述第二網(wǎng)絡地址劃分為一個類別,其中,所述類別中的所有網(wǎng)絡地址所屬客戶端的MAC地址在所述映射表中對應的目標身份標識的值相同;
[0027]所述網(wǎng)絡設備將所述類別中的網(wǎng)絡地址聚合,以獲得一個子網(wǎng)前綴;
[0028]所述網(wǎng)絡設備建立所述第一目標身份標識與所述子網(wǎng)前綴之間的對應關系表項。
[0029]基于第二方面的第一種可行的實施方式,在第二方面的第二種可行的實施方式中,所述方法還包括:
[0030]所述網(wǎng)絡設備將所述類別中的網(wǎng)絡地址聚合,獲得子網(wǎng)集合,所述子網(wǎng)集合中包括子網(wǎng)前綴,所述子網(wǎng)集合中的所有元素覆蓋所述類別中的所有網(wǎng)絡地址,且所述子網(wǎng)集合中的所有元素不覆蓋除所述類別中的所有網(wǎng)絡地址之外的任何網(wǎng)絡地址;
[0031]所述網(wǎng)絡設備建立所述第一目標身份標識與所述子網(wǎng)集合中各個元素之間的對應關系表項。
[0032]本發(fā)明第三方面提供一種動態(tài)主機設置協(xié)議服務器,可包括:
[0033]第一接收模塊,用于接收網(wǎng)絡設備轉發(fā)的客戶端的請求分配網(wǎng)絡地址的第一請求,所述第一請求攜帶由所述網(wǎng)絡設備插入的所述客戶端的目標身份標識;
[0034]確定分配模塊,用于確定和所述客戶端的目標身份標識對應的地址段,根據(jù)和所述客戶端的目標身份標識對應的地址段為所述客戶端分配網(wǎng)絡地址,其中,為所述客戶端分配的網(wǎng)絡地址屬于和所述客戶端的目標身份標識對應的地址段。
[0035]基于第三方面,在第三方面的第一種可行的實施方式中,若已為所述客戶端的目標身份標識分配了對應的地址段,并且所述已為所述客戶端的目標身份標識分配的對應的地址段中有未分配網(wǎng)絡地址,則所述確定分配模塊還用于確定和所述客戶端的目標身份標識對應的地址段為所述已為所述客戶端的目標身份標識分配的對應的地址段;
[0036]若所述已為所述客戶端的目標身份標識分配的對應的地址段中所有的網(wǎng)絡地址都是已分配網(wǎng)絡地址,或者所述動態(tài)主機配置協(xié)議服務器尚未為所述客戶端的目標身份標識分配對應的地址段,則所述確定分配模塊還用于在所述動態(tài)主機配置協(xié)議服務器的可管理網(wǎng)絡地址中為所述客戶端的目標身份標識新分配地址段,將該新分配地址段作為和所述客戶端的目標身份標識對應的地址段。
[0037]基于第三方面第一種可行的實施方式,在第三方面的第二種可行的實施方式中,所述確定分配模塊還用于若所述可管理網(wǎng)絡地址中不存在已分配網(wǎng)絡地址,將所有可管理網(wǎng)絡地址的集合構成的地址段確定為和所述客戶端的所述目標身份標識對應的地址段。
[0038]基于第三方面的第二種可行的實施方式,在第三方面的第三種可行的實施方式中;
[0039]若所述可管理網(wǎng)絡地址中存在已分配網(wǎng)絡地址,所述確定分配模塊還用于確定所述可管理網(wǎng)絡地址中最長的連續(xù)未分配網(wǎng)絡地址,并將所述最長的連續(xù)未分配網(wǎng)絡地址劃分為第一地址段和第二地址段,其中第一地址段由所述最長的連續(xù)未分配網(wǎng)絡地址中的部分連續(xù)未分配網(wǎng)絡地址構成,第二地址段由所述最長的連續(xù)未分配網(wǎng)絡地址中除所述第一地址段外的連續(xù)未分配網(wǎng)絡地址構成,所述第一地址段與屬于所述最長的連續(xù)未分配網(wǎng)絡地址對應的身份標識的已分配網(wǎng)絡地址相鄰;
[0040]所述確定分配模塊還用于將所述第二地址段確定為所述新分配地址段。
[0041]基于第三方面的第一種可行的實施方式,在第三方面的第四種可行的實施方式中,所述確定分配模塊還用于,根據(jù)預設大小,在所述服務器的可管理網(wǎng)絡地址中除已分配地址段外的網(wǎng)絡地址中為所述客戶端的目標身份標識新分配地址段,所述新分配地址段的大小等于所述預設大小。
[0042]本發(fā)明第四方面提供一種網(wǎng)絡設備,可包括:
[0043]第二接收模塊,用于接收第一客戶端發(fā)送的請求分配網(wǎng)絡地址的第一請求,所述第一請求包括所述第一客戶端的MAC地址;
[0044]查找模塊,用于根據(jù)預存的MAC地址與身份標識映射表,所述網(wǎng)絡設備查找與所述第一客戶端的MAC地址對應的目標身份標識作為第一目標身份標識;
[0045]插入模塊,用于將所述第一目標身份標識插入所述第一請求中,以獲得第二請求;
[0046]轉發(fā)模塊,用于向服務器轉發(fā)所述第二請求;
[0047]獲取模塊,用于獲取所述服務器發(fā)送的根據(jù)所述第一目標身份標識為所述第一客戶端所分配的第一網(wǎng)絡地址。
[0048]基于第四方面,在第四方面的第一種可行的實施方式中;
[0049]所述獲取模塊還用于獲取所述服務器發(fā)送的根據(jù)第二目標身份標識為第二客戶端所分配的第二網(wǎng)絡地址,所述第二目標身份標識為根據(jù)所述映射表中和所述第二客戶端的介質訪問控制地址對應的目標身份標識,所述第二目標身份標識和所述第一目標身份標識的值相同;
[0050]所述網(wǎng)絡設備還包括劃分模塊,所述劃分模塊用于根據(jù)所述第二目標身份標識和所述第一目標身份標識將所述第一網(wǎng)絡地址和所述第二網(wǎng)絡地址劃分為一個類別,其中,所述類別中的所有網(wǎng)絡地址所屬客戶端的MAC地址在所述映射表中對應的目標身份標識的值相同;
[0051]所述網(wǎng)絡設備還包括聚合模塊,所述聚合模塊用于將所述類別中的網(wǎng)絡地址聚合,以獲得一個子網(wǎng)前綴;
[0052]所述網(wǎng)絡設備還包括建立模塊,所述建立模塊用于建立所述第一目標身份標識與所述子網(wǎng)前綴之間的對應關系表項。
[0053]基于第四方面的第一種可行的實施方式,在第四方面的第二種可行的實施方式中,所述網(wǎng)絡設備還包括:
[0054]所述聚合模塊還用于將所述類別中的網(wǎng)絡地址聚合,獲得子網(wǎng)集合,所述子網(wǎng)集合中包括子網(wǎng)前綴,所述子網(wǎng)集合中的所有元素覆蓋所述類別中的所有網(wǎng)絡地址,且所述子網(wǎng)集合中的所有元素不覆蓋除所述類別中的所有網(wǎng)絡地址之外的任何網(wǎng)絡地址;
[0055]所述建立模塊還用于建立所述第一目標身份標識與所述子網(wǎng)集合中各個元素之間的對應關系表項。
[0056]本發(fā)明實施例中,動態(tài)主機設置協(xié)議服務器接收網(wǎng)絡設備轉發(fā)的第一請求,該第一請求攜帶網(wǎng)絡設備插入的客戶端的目標身份標識,動態(tài)主機設置協(xié)議服務器確定和客戶端的目標身份標識對應的地址段,并根據(jù)客戶端的目標身份標識對應的地址段為客戶端分配網(wǎng)絡地址,所分配的網(wǎng)絡地址屬于該客戶端的目標身份標識對應的地址段,本發(fā)明實施例中,為具有相同身份標識的客戶端分配屬于同一個地址段的網(wǎng)絡地址,便于網(wǎng)絡設備在存儲網(wǎng)絡地址與目標身份標識對應關系時,能夠將網(wǎng)絡地址進行聚合后存儲,從而減少對應關系表項,節(jié)省設備存儲資源。
【附圖說明】
[0057]為了更清楚地說明本發(fā)明實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0058]圖1是本發(fā)明實施例提供的一種地址分配方法的流程示意圖;
[0059]圖2是本發(fā)明實施例提供的一種地址段確定方法的流程示意圖;
[0060]圖3是本發(fā)明實施例提供的一種新分配地址段的方法的流程示意圖;
[0061]圖4是本發(fā)明實施例提供的一種信息聚合方法的流程示意圖;
[0062]圖5是本發(fā)明實施例提供的一種網(wǎng)絡地址聚合方法的流程示意圖;
[0063]圖6是本發(fā)明實施例提供的另一種網(wǎng)絡地址聚合方法的流程示意圖;
[0064]圖7是本發(fā)明實施例提供的一種網(wǎng)絡地址分配場景圖;
[0065]圖8是本發(fā)明實施例提供的另一種網(wǎng)絡地址分配場景圖;
[0066]圖9是本發(fā)明實施例提供的一種DHCP服務器的結構示意圖;
[0067]圖10是本發(fā)明實施例提供的一種網(wǎng)絡設備的結構示意圖;
[0068]圖11是本發(fā)明實施例提供的另一種DHCP服務器的結構示意圖;
[0069]圖12是本發(fā)明實施例提供的另一種網(wǎng)絡設備的結構示意圖。
【具體實施方式】
[0070]下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0071]本發(fā)明實施例所述的地址分配方法、信息聚合方法以及相關設備可以應用在網(wǎng)絡安全策略控制中,具體的,客戶端的身份標識可以標識該客戶端所屬安全組,不同的客戶端可能分屬于相同的安全組,也可能分屬于不同的安全組,因此兩個不同客戶端的身份標識可能相同,也可能不同,相同安全組內的客戶端執(zhí)行相同的安全策略,即是具有相同身份標識的客戶端執(zhí)行相同的安全策略。在網(wǎng)絡設備中,存儲各個客戶端的網(wǎng)絡地址與身份標識之間的對應關系的表項,并控制屬于同一個安全組的客戶端執(zhí)行相同的安全策略。為了減少網(wǎng)絡設備中網(wǎng)絡地址與身份標識之間的對應關系表項的數(shù)量,可以在為客戶端分配網(wǎng)絡地址時,將具有相同身份標識的客戶端分配同屬于一個地址段的網(wǎng)絡地址,網(wǎng)絡設備在存儲網(wǎng)絡地址與身份標識對應關系時,可以先將網(wǎng)絡地址進行聚合之后進行存儲,從而減少對應關系表項。具體的實現(xiàn)方法可以采用本發(fā)明實施例提供的方法。
[0072]請參照圖1,是本發(fā)明實施例提供的一種地址分配方法的流程示意圖;如圖1所述,本實施例所述的一種地址分配方法包括步驟:
[0073]S100, DHCP服務器接收網(wǎng)絡設備轉發(fā)的客戶端的請求分配網(wǎng)絡地址的第一請求,所述第一請求攜帶由所述網(wǎng)絡設備插入的所述客戶端的目標身份標識。
[0074]在一個實施例中,DHCP服務器接收網(wǎng)絡設備轉發(fā)的第一請求,該第一請求是客戶端發(fā)送的,該第一請求用于請求DHCP服務器為該客戶端分配網(wǎng)絡地址。網(wǎng)絡地址是指網(wǎng)際協(xié)議(英文:Internet Protocol,縮寫:IP)地址。該第一請求可以是DHCP發(fā)現(xiàn)(英文:DHCPDISC0VER)或DHCP請求(英文:DHCPREQUEST)消息。為了將具有相同目標身份標識的客戶端的網(wǎng)絡地址進行聚合,DHCP服務器基于客戶端的目標身份標識為客戶端分配網(wǎng)絡地址。因此,網(wǎng)絡設備在轉發(fā)第一請求時,第一請求需要包括客戶端的目標身份標識,服務器接收網(wǎng)絡設備所轉發(fā)的第一請求。
當前第1頁
1 
2 
3 
4 
5 
6