業(yè)務(wù)數(shù)據(jù)流的控制方法和網(wǎng)絡(luò)設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明實施例涉及網(wǎng)絡(luò)技術(shù)����,尤其涉及一種業(yè)務(wù)數(shù)據(jù)流的控制方法和網(wǎng)絡(luò)設(shè)備。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)新技術(shù)快速發(fā)展����,移動終端迅速普及��,移動辦公和無線接入也隨之興起����。 對于采用任意終端�����,隨時隨地接入網(wǎng)絡(luò)���,并在不同地點接入網(wǎng)絡(luò)后具有相同轉(zhuǎn)發(fā)優(yōu)先級、網(wǎng) 絡(luò)帶寬W及網(wǎng)絡(luò)訪問權(quán)限和安全策略����,成為企業(yè)網(wǎng)絡(luò)的發(fā)展趨勢。
[0003] 針對送一趨勢��,基于軟件定義網(wǎng)絡(luò)(Software Defined ^twork,簡稱SDN)概念����, 提出在網(wǎng)絡(luò)中增加網(wǎng)絡(luò)控制器(Controller)組件,利用該控制器對全網(wǎng)用戶信息進行集 中控制����。具體的�����,Controller將安全組信息全網(wǎng)同步到各執(zhí)行點設(shè)備上���,該執(zhí)行點設(shè)備包 括交換機、防火墻等��,該安全組信息是指受保護的網(wǎng)絡(luò)資源的信息或終端用戶的信息��,用戶 認證上線執(zhí)行點設(shè)備獲取業(yè)務(wù)流量的安全組信息���,對業(yè)務(wù)流量進行準入控制或應(yīng)用控制��, 其中����,準入控制具體指對網(wǎng)絡(luò)的邊界進行保護�����,對接入網(wǎng)絡(luò)的終端進行控制�����,而應(yīng)用控制具 體指基于準入的前提,對網(wǎng)絡(luò)的邊界應(yīng)用流量進行保護����,對接入網(wǎng)絡(luò)的終端的應(yīng)用流量進 行控制。
[0004] 然而����,現(xiàn)有技術(shù)中各執(zhí)行點設(shè)備只能對業(yè)務(wù)流量進行準入控制或者應(yīng)用控制,送 樣使得執(zhí)行點設(shè)備對業(yè)務(wù)流量的處理效率較低����,因此如何提高執(zhí)行點設(shè)備對業(yè)務(wù)流量的處 理效率是如今亟待解決的一技術(shù)問題。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實施例提供一種業(yè)務(wù)數(shù)據(jù)流的控制方法和網(wǎng)絡(luò)設(shè)備��,W解決現(xiàn)有技術(shù)中執(zhí) 行點設(shè)備對業(yè)務(wù)流量的處理效率低的問題�。
[0006] 第一方面���,本發(fā)明實施例提供一種業(yè)務(wù)數(shù)據(jù)流的控制方法����,包括:
[0007] 網(wǎng)絡(luò)設(shè)備接收業(yè)務(wù)數(shù)據(jù)流���,獲取所述業(yè)務(wù)數(shù)據(jù)流中基于標簽控制協(xié)議而攜帶的控 制柄簽�;
[0008] 所述網(wǎng)絡(luò)設(shè)備根據(jù)所述控制標簽,利用控制器下發(fā)的��、基于安全組信息的準入控 制配置信息和應(yīng)用控制配置信息����,對所述業(yè)務(wù)數(shù)據(jù)流進行網(wǎng)絡(luò)訪問控制,所述網(wǎng)絡(luò)訪問控 制包括準入控制和應(yīng)用控制中至少一項�。
[0009] 結(jié)合第一方面,在第一方面的第一種可能的實現(xiàn)方式中�,若所述網(wǎng)絡(luò)設(shè)備為防火 墻設(shè)備,所述網(wǎng)絡(luò)設(shè)備根據(jù)所述控制標簽�����,利用控制器下發(fā)的��、基于安全組信息的準入控制 配置信息和應(yīng)用控制配置信息���,對所述業(yè)務(wù)數(shù)據(jù)流進行網(wǎng)絡(luò)訪問控制�����,包括:
[0010] 若所述控制標簽為第一信息���,則利用所述準入控制配置信息和所述應(yīng)用控制配置 信息�,分別對所述業(yè)務(wù)數(shù)據(jù)流進行準入控制和應(yīng)用控制�;所述第一信息用于指示所述業(yè)務(wù) 數(shù)據(jù)流的接收方,尚未對所述業(yè)務(wù)數(shù)據(jù)流進行準入控制和應(yīng)用控制���;
[0011] 若所述控制標簽為第二信息����,則僅利用所述應(yīng)用控制配置信息�����,對所述業(yè)務(wù)數(shù)據(jù) 流進行應(yīng)用控制��;所述第二信息用于指示所述業(yè)務(wù)數(shù)據(jù)流的接收方���,已經(jīng)完成對所述業(yè)務(wù) 數(shù)據(jù)流的準入控制���,但尚未進行應(yīng)用控制���;
[0012] 若所述控制標簽為第H信息����,則僅利用所述準入控制配置信息,對所述業(yè)務(wù)數(shù)據(jù) 流進行準入控制�;所述第H信息用于指示所述業(yè)務(wù)數(shù)據(jù)流的接收方,已經(jīng)完成對所述業(yè)務(wù) 數(shù)據(jù)的應(yīng)用控制�����,但尚未進行準入控制����;
[0013] 若所述控制標簽為第四信息,則直接轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流��;所述第四信息用于指 示所述業(yè)務(wù)數(shù)據(jù)流的接收方�����,已經(jīng)完成對所述業(yè)務(wù)數(shù)據(jù)流的準入控制和應(yīng)用控制�。
[0014] 結(jié)合第一方面的第一種可能的實現(xiàn)方式,在第一方面的第二種可能的實現(xiàn)方式 中����,所述方法還包括:
[0015] 所述利用所述準入控制配置信息和所述應(yīng)用控制配置信息,分別對所述業(yè)務(wù)數(shù)據(jù) 流進行準入控制和應(yīng)用控制后���,將所述第一信息更新為所述第四信息�����,并轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù) 據(jù)流�;或
[0016] 所述僅利用所述應(yīng)用控制配置信息,對所述業(yè)務(wù)數(shù)據(jù)流進行應(yīng)用控制后����,將所述 第二信息更新為所述第四信息,并轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流���;或
[0017] 所述僅利用所述準入控制配置信息�,對所述業(yè)務(wù)數(shù)據(jù)流進行準入控制后�����,將所述 第H信息更新為所述第四信息�����,并轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流��;或
[0018] 所述直接轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流時�,保持所述第四信息不變。
[0019] 結(jié)合第一方面或者第一方面的第一種可能的實現(xiàn)方式或者第一方面的第二種可 能的實現(xiàn)方式���,在第一方面的第H種可能的實現(xiàn)方式中���,所述方法還包括:
[0020] 若判斷獲知所述業(yè)務(wù)數(shù)據(jù)流中不攜帶有所述控制標簽,則利用所述準入控制配置 信息和所述應(yīng)用控制配置信息�����,分別對所述業(yè)務(wù)數(shù)據(jù)流進行準入控制和應(yīng)用控制�,并在所 述業(yè)務(wù)數(shù)據(jù)流中增加控制標簽,且所述控制標簽的值為所述第四信息�;或
[0021] 若判斷獲知所述業(yè)務(wù)數(shù)據(jù)流中不攜帶有所述控制標簽,則僅利用所述應(yīng)用控制配 置信息�����,對所述業(yè)務(wù)數(shù)據(jù)流進行應(yīng)用控制���,并在所述業(yè)務(wù)數(shù)據(jù)流中增加控制標簽�����,且所述控 制標簽的值為所述第H信息�;或
[0022] 若判斷獲知所述業(yè)務(wù)數(shù)據(jù)流中不攜帶有所述控制標簽,則僅利用所述準入控制配 置信息���,對所述業(yè)務(wù)數(shù)據(jù)流進行準入控制�����,并在所述業(yè)務(wù)數(shù)據(jù)流中增加控制標簽�����,且所述控 制標簽的值為所述第二信息����。
[0023] 結(jié)合第一方面����,在第一方面的第四種可能的實現(xiàn)方式中,若所述網(wǎng)絡(luò)設(shè)備為交換 機設(shè)備���,所述網(wǎng)絡(luò)設(shè)備根據(jù)所述控制標簽�,利用控制器下發(fā)的�����、基于安全組信息的準入控制 配置信息和應(yīng)用控制配置信息,對所述業(yè)務(wù)數(shù)據(jù)流進行網(wǎng)絡(luò)訪問控制�,包括:
[0024] 若所述控制標簽為第一信息,則利用所述準入控制配置信息�,對所述業(yè)務(wù)數(shù)據(jù)流 進行準入控制�;所述第一信息用于指示所述業(yè)務(wù)數(shù)據(jù)流的接收方,尚未對所述業(yè)務(wù)數(shù)據(jù)流 進行準入控制和應(yīng)用控制�;
[0025] 若所述控制標簽為第二信息,則直接轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流����;所述第二信息用于指 示所述業(yè)務(wù)數(shù)據(jù)流的接收方,已經(jīng)完成對所述業(yè)務(wù)數(shù)據(jù)流的準入控制����,但尚未進行應(yīng)用控 制;
[0026] 若所述控制標簽為第H信息�����,則利用所述準入控制配置信息�,對所述業(yè)務(wù)數(shù)據(jù)流 進行準入控制;所述第H信息用于指示所述業(yè)務(wù)數(shù)據(jù)流的接收方����,已經(jīng)完成對所述業(yè)務(wù)數(shù) 據(jù)的應(yīng)用控制���,但尚未進行準入控制;
[0027] 若所述控制標簽為第四信息��,則直接轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流��;所述第四信息用于指 示所述業(yè)務(wù)數(shù)據(jù)流的接收方�����,已經(jīng)完成對所述業(yè)務(wù)數(shù)據(jù)流的準入控制和應(yīng)用控制�����。
[0028] 結(jié)合第一方面的第四種可能的實現(xiàn)方式���,在第一方面的第五種可能的實現(xiàn)方式 中����,所述方法還包括:
[0029] 所述若所述控制標簽為第一信息�,則利用所述準入控制配置信息,對所述業(yè)務(wù)數(shù) 據(jù)流進行準入控制后�,將所述第一信息更新為所述第二信息,并轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流�����;或
[0030] 所述若所述控制標簽為第二信息,則直接轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流時����,保持所述第二 信息不變;或
[0031] 所述若所述控制標簽為第H信息�����,則利用所述準入控制配置信息���,對所述業(yè)務(wù)數(shù) 據(jù)流進行準入控制后,將所述第H信息更新為所述第四信息��,并轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流���;或
[0032] 所述若所述控制標簽為第四信息�����,則直接轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流時����,保持所述第四 f旨息不變。
[0033] 結(jié)合第一方面的第四種可能的實現(xiàn)方式或第一方面的第五種可能的實現(xiàn)方式�����,在 第一方面的第六種可能的實現(xiàn)方式中����,所述方法還包括:
[0034] 若判斷獲知所述業(yè)務(wù)數(shù)據(jù)流中不攜帶有所述控制標簽,則利用所述準入控制配置 信息���,對所述業(yè)務(wù)數(shù)據(jù)流進行準入控制�,并在所述業(yè)務(wù)數(shù)據(jù)流中增加控制標簽��,且所述控制 標簽的值為所述第二信息��。
[0035] 第二方面���,本發(fā)明實施例提供一種網(wǎng)絡(luò)設(shè)備����,包括:
[0036] 接收模塊���,用于接收業(yè)務(wù)數(shù)據(jù)流��,獲取所述業(yè)務(wù)數(shù)據(jù)流中基于標簽控制協(xié)議而攜 帶的控制標簽���;
[0037] 處理模塊����,用于根據(jù)所述控制標簽��,利用控制器下發(fā)的���、基于安全組信息的準入控 制配置信息和應(yīng)用控制配置信息,對所述業(yè)務(wù)數(shù)據(jù)流進行網(wǎng)絡(luò)訪問控制����,所述網(wǎng)絡(luò)訪問控 制包括準入控制和應(yīng)用控制中至少一項。
[0038] 結(jié)合第二方面��,在第二方面的第一種可能的實現(xiàn)方式中��,若所述網(wǎng)絡(luò)設(shè)備為防火 墻設(shè)備����,所述處理模塊具體用于:
[0039] 若所述控制標簽為第一信息,則利用所述準入控制配置信息和所述應(yīng)用控制配置 信息����,分別對所述業(yè)務(wù)數(shù)據(jù)流進行準入控制和應(yīng)用控制�����;所述第一信息用于指示所述業(yè)務(wù) 數(shù)據(jù)流的接收方���,尚未對所述業(yè)務(wù)數(shù)據(jù)流進行準入控制和應(yīng)用控制;
[0040] 若所述控制標簽為第二信息����,則僅利用所述應(yīng)用控制配置信息,對所述業(yè)務(wù)數(shù)據(jù) 流進行應(yīng)用控制����;所述第二信息用于指示所述業(yè)務(wù)數(shù)據(jù)流的接收方,已經(jīng)完成對所述業(yè)務(wù) 數(shù)據(jù)流的準入控制�,但尚未進行應(yīng)用控制;
[0041] 若所述控制標簽為第H信息��,則僅利用所述準入控制配置信息��,對所述業(yè)務(wù)數(shù)據(jù) 流進行準入控制�;所述第H信息用于指示所述業(yè)務(wù)數(shù)據(jù)流的接收方,已經(jīng)完成對所述業(yè)務(wù) 數(shù)據(jù)的應(yīng)用控制,但尚未進行準入控制���;
[0042] 若所述控制標簽為第四信息�����,則直接轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流�����;所述第四信息用于指 示所述業(yè)務(wù)數(shù)據(jù)流的接收方���,已經(jīng)完成對所述業(yè)務(wù)數(shù)據(jù)流的準入控制和應(yīng)用控制。
[0043] 結(jié)合第二方面的第一種可能的實現(xiàn)方式���,在第二方面的第二種可能的實現(xiàn)方式 中,所述網(wǎng)絡(luò)設(shè)備還包括更新模塊����,所述更新模塊具體用于:
[0044] 所述利用所述準入控制配置信息和所述應(yīng)用控制配置信息,分別對所述業(yè)務(wù)數(shù)據(jù) 流進行準入控制和應(yīng)用控制后���,將所述第一信息更新為所述第四信息�����,并轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù) 據(jù)流��;或
[0045] 所述僅利用所述應(yīng)用控制配置信息�,對所述業(yè)務(wù)數(shù)據(jù)流進行應(yīng)用控制后,將所述 第二信息更新為所述第四信息���,并轉(zhuǎn)發(fā)所述業(yè)務(wù)數(shù)據(jù)流����;或
[0046] 所述僅利用所