專利名稱:輕量級(jí)雙棧組網(wǎng)中的訪問(wèn)控制方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種輕量級(jí)雙棧組網(wǎng)中的訪問(wèn)控制方法及
其裝置。
背景技術(shù):
隨著移動(dòng)通信與互聯(lián)網(wǎng)的融合以及通信業(yè)務(wù)種類的不斷增加,IPv4地址即將耗 盡,雖然已經(jīng)有幾乎取之不盡的IPv6地址和相關(guān)技術(shù),但面對(duì)現(xiàn)有網(wǎng)絡(luò)部署、運(yùn)營(yíng)商的設(shè) 備投資回報(bào)等因素,IPv6網(wǎng)絡(luò)部署不可能一蹴而就,IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)將在很長(zhǎng)的一段 時(shí)間內(nèi)共存。由于IPv4地址已經(jīng)匱乏,而IPv4業(yè)務(wù)還在以高速度增長(zhǎng),很多僅僅支持IPv4的 邊緣設(shè)備短時(shí)間內(nèi)不可能全部替換成支持雙棧的設(shè)備,因此新增的IPv4寬帶部署必須考 慮在邊緣設(shè)備上無(wú)法獲取到global IPv4地址(即全局IPv4地址)的情況。從ISP(Internet Service Provider,互聯(lián)網(wǎng)服務(wù)提供商)角度考慮,其IPv4客 戶需要訪問(wèn)Internet上的IPv4服務(wù)器,但卻沒(méi)有多余的IPv4地址分配給這些客戶;還有, ISP想在其core network (即核心網(wǎng))上部署IPv6以便解決IPv4地址匱乏問(wèn)題,但是由于 需要考慮向后兼容(即兼容IPv4),升級(jí)IPv6的成本和收益不成正比,增大了 IPv6部署難 度。因此,有必要使用DS-Iite (Dual-SrackLite,輕量級(jí)雙棧)技術(shù)在解決IPv4地址匱乏 問(wèn)題的同時(shí)減少網(wǎng)絡(luò)拓?fù)涞淖兓驮O(shè)備的更新。IETF(Internet Engineering Task Force,Internet工程任務(wù)組)提出的DS-lite 技術(shù)允許同一 ISP網(wǎng)絡(luò)中的不同IPv4邊緣設(shè)備使用重疊的IPv4地址,從而減緩IPv4地址 的耗盡速度。圖1示出了一種DS-Lite的實(shí)現(xiàn)。如圖1所示,DS-Lite先將用戶的私網(wǎng)IPv4報(bào)文 封裝到IPv6隧道中,傳送到NPE (即網(wǎng)絡(luò)側(cè)設(shè)備)上時(shí)解出IPv4報(bào)文時(shí)再進(jìn)行NAT (Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)。使用用戶的IPv6地址區(qū)分不同的用戶私網(wǎng),私網(wǎng)
空間可以重疊。用戶需要了解上行隧道的終端地址,即NPE的地址。可以手工在CPE(即用戶側(cè)設(shè) 備)上配置NPE地址,不過(guò)不便于實(shí)際部署。為了告知用戶運(yùn)營(yíng)商的NPE地址,DS-Lite方 案提供了一種標(biāo)準(zhǔn)的通過(guò)DHCPv6選項(xiàng)動(dòng)態(tài)通知CPE的技術(shù)即在CPE上線后,將用戶連接 的NPE地址告知CPE,授權(quán)用戶使用這個(gè)NPE,這個(gè)過(guò)程是通過(guò)DHCPv6協(xié)議完成的?,F(xiàn)有IPv4網(wǎng)絡(luò)中,對(duì)用戶的IPv4訪問(wèn)權(quán)限要進(jìn)行相應(yīng)的控制。升級(jí)到IPv6網(wǎng)絡(luò) 后,對(duì)用戶的IPv6訪問(wèn)權(quán)限也可進(jìn)行類似的限制??刂泣c(diǎn)選擇在BAS(Broadbind Access Server,寬帶接入服務(wù)器)設(shè)備進(jìn)行訪問(wèn)權(quán)限控制,因?yàn)锽AS設(shè)備在運(yùn)營(yíng)商側(cè),是所有用戶 的共同接入點(diǎn),便于運(yùn)營(yíng)商控制。具體的認(rèn)證機(jī)制有很多種,比如802. lx、Portal、PPPoE寸。802. Ix認(rèn)證機(jī)制是IEEE組織制訂的一種標(biāo)準(zhǔn)的網(wǎng)絡(luò)認(rèn)證協(xié)議,該協(xié)議的接入控 制是基于端口的,在用戶認(rèn)證通過(guò)前,關(guān)閉端口轉(zhuǎn)發(fā)報(bào)文的工作,使端口處于受控狀態(tài),只
5允許認(rèn)證協(xié)議報(bào)文即EAPOL報(bào)文通過(guò),用戶通過(guò)EAPOL協(xié)議報(bào)文的交互進(jìn)行認(rèn)證,認(rèn)證通 過(guò)后打開(kāi)端口,使端口處于非受控狀態(tài),用戶允許接入網(wǎng)絡(luò),用戶下線后將端口重新恢復(fù)為 受控狀態(tài),等待用戶的再次認(rèn)證。802. Ix實(shí)現(xiàn)上也有相應(yīng)的擴(kuò)展,可以基于IP、MAC (Media Access Control,媒體接入控制)等對(duì)用戶進(jìn)行權(quán)限控制。Portal認(rèn)證機(jī)制是由BAS推送給用戶一個(gè)TOB頁(yè)面,用戶在頁(yè)面上輸入用戶名密 碼等進(jìn)行用戶認(rèn)證,認(rèn)證通過(guò)后,可以根據(jù)用戶IP地址、MAC地址等信息,開(kāi)放用戶上網(wǎng)權(quán) 限。PPPoE認(rèn)證,也是BAS設(shè)備作為PPPoE服務(wù)器,允許用戶PC或CPE設(shè)備遠(yuǎn)程登錄到 BAS上進(jìn)行認(rèn)證,然后BAS開(kāi)放用戶上網(wǎng)權(quán)限。在部署了 DS-Lite接入后,組網(wǎng)結(jié)構(gòu)可如圖2所示。其中,DHCPv6服務(wù)器連接在 BAS設(shè)備上,NPE連接在BAS與IPv4網(wǎng)絡(luò)之間,CPE所發(fā)的IPv4inIPv6報(bào)文(即封裝在IPv6 隧道中的IPv4報(bào)文)傳送到NPE上后,解封裝后轉(zhuǎn)入IPv4網(wǎng)絡(luò)。發(fā)明人在實(shí)現(xiàn)本發(fā)明的過(guò)程中,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺陷現(xiàn)有方案中,BAS對(duì)DS-Lite用戶的權(quán)限控制只能做到較粗粒度的控制,比如 802. Ix只能做到端口級(jí)別,Portal (門戶,入口,也指web認(rèn)證的另外一種稱呼)只能做到 報(bào)文外層IP地址的控制。對(duì)于用戶隧道內(nèi)的IPv4私網(wǎng)報(bào)文實(shí)際上沒(méi)有任何控制,這將導(dǎo) 致無(wú)法做到限制用戶的IPv4上網(wǎng)權(quán)限。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種輕量級(jí)雙棧組網(wǎng)中的訪問(wèn)控制方法及其裝置,以解決 在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)共存情況下,現(xiàn)有DS-Lite技術(shù)無(wú)法對(duì)用戶的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限 進(jìn)行控制的問(wèn)題,為此,本發(fā)明采用如下技術(shù)方案一種輕量級(jí)雙棧組網(wǎng)中的訪問(wèn)控制方法,應(yīng)用于在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)共存的 組網(wǎng)中,對(duì)客戶端訪問(wèn)IPv4網(wǎng)絡(luò)進(jìn)行控制的過(guò)程,該方法包括接入設(shè)備獲取客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,以及所述客戶端的地址以及為 該客戶端所分配的網(wǎng)絡(luò)側(cè)設(shè)備NPE的地址,并根據(jù)獲取到的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息、客戶 端地址以及與其對(duì)應(yīng)的NPE地址,設(shè)置相應(yīng)的報(bào)文轉(zhuǎn)發(fā)規(guī)則;當(dāng)所述接入設(shè)備接收到所述客戶端發(fā)送的報(bào)文時(shí),根據(jù)設(shè)置的報(bào)文轉(zhuǎn)發(fā)規(guī)則控制 所述報(bào)文的轉(zhuǎn)發(fā)。上述方法中,在所述組網(wǎng)中僅有一個(gè)NPE時(shí),所述報(bào)文轉(zhuǎn)發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況 下,所述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源IP為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文不 允許通過(guò)。上述方法中,在所述組網(wǎng)中有多個(gè)NPE且為客戶端分配有NPE網(wǎng)段時(shí),所述報(bào)文轉(zhuǎn)
6發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況 下,所述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的 地址的報(bào)文不允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文 允許通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的 地址的報(bào)文不允許通過(guò)。上述方法中,所述客戶端的認(rèn)證報(bào)文中的認(rèn)證擴(kuò)展屬性中攜帶有客戶端的IPv4 網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,所述接入設(shè)備獲取客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,具體為所述接入設(shè)備通過(guò)與認(rèn)證服務(wù)器交互所述客戶端的認(rèn)證信息,獲取其中攜帶的客 戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息。上述方法中,所述接入設(shè)備獲取所述客戶端的地址以及為該客戶端所分配的網(wǎng)絡(luò) 側(cè)設(shè)備NPE的地址,具體為所述接入設(shè)備通過(guò)監(jiān)聽(tīng)所述客戶端與DHCP服務(wù)器交互的信息,獲取所述客戶端 的地址以及為所述客戶端分配的NPE的地址。一種接入設(shè)備,應(yīng)用于在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)共存的組網(wǎng)中,對(duì)客戶端訪問(wèn)IPv4 網(wǎng)絡(luò)進(jìn)行控制的過(guò)程,該接入設(shè)備包括第一獲取模塊,用于獲取客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息;第二獲取模塊,用于獲取所述客戶端的地址以及為該客戶端所分配的網(wǎng)絡(luò)側(cè)設(shè)備 NPE的地址;規(guī)則設(shè)置模塊,用于根據(jù)所述第一獲取模塊獲取到的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,以 及第二獲取模塊獲取到的客戶端地址以及與其對(duì)應(yīng)的NPE地址,設(shè)置相應(yīng)的報(bào)文轉(zhuǎn)發(fā)規(guī) 則;報(bào)文轉(zhuǎn)發(fā)模塊,用于當(dāng)接收到所述客戶端發(fā)送的報(bào)文時(shí),根據(jù)所述規(guī)則設(shè)置模塊 設(shè)置的報(bào)文轉(zhuǎn)發(fā)規(guī)則控制所述報(bào)文的轉(zhuǎn)發(fā)。撒謊能夠書接入設(shè)備中,在所述組網(wǎng)中僅有一個(gè)NPE時(shí),所述規(guī)則設(shè)置模塊設(shè)置 的報(bào)文轉(zhuǎn)發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況 下,所述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);
源IP為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文不 允許通過(guò)。上述接入設(shè)備中,在所述組網(wǎng)中有多個(gè)NPE且為客戶端分配有NPE網(wǎng)段時(shí),所述規(guī) 則設(shè)置模塊設(shè)置的報(bào)文轉(zhuǎn)發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況 下,所述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的 地址的報(bào)文不允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文 允許通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的 地址的報(bào)文不允許通過(guò)。上述接入設(shè)備中,所述第一獲取模塊具體用于,通過(guò)與認(rèn)證服務(wù)器交互所述客戶 端的認(rèn)證信息,獲取其中攜帶的客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息。上述接入設(shè)備中,所述第二獲取模塊具體用于,通過(guò)監(jiān)聽(tīng)所述客戶端與DHCP服務(wù) 器交互的信息,獲取所述客戶端的地址以及為所述客戶端分配的NPE的地址。本發(fā)明具有以下有益效果接入設(shè)備通過(guò)獲取客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,以及所述客戶端的地址以 及為該客戶端所分配的網(wǎng)絡(luò)側(cè)設(shè)備NPE的地址,并根據(jù)獲取到的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息、 客戶端地址以及與其對(duì)應(yīng)的NPE地址,設(shè)置相應(yīng)的報(bào)文轉(zhuǎn)發(fā)規(guī)則,從而能夠根據(jù)該規(guī)則對(duì) 該客戶端發(fā)送來(lái)的報(bào)文進(jìn)行轉(zhuǎn)發(fā)控制。通常報(bào)文轉(zhuǎn)發(fā)規(guī)則包括允許通過(guò)或禁止通過(guò),因此 通過(guò)本發(fā)明可實(shí)現(xiàn)對(duì)用戶通過(guò)NPE設(shè)備進(jìn)行IPv4網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制。
圖1為現(xiàn)有技術(shù)中DS-Lite的實(shí)現(xiàn)示意圖;圖2為現(xiàn)有技術(shù)中DS-Lite的網(wǎng)絡(luò)架構(gòu)示意圖;圖3為本發(fā)明實(shí)施例中的RADIUS擴(kuò)展的示意圖;圖4為本發(fā)明實(shí)施例提供的輕量級(jí)雙棧組網(wǎng)中的訪問(wèn)控制流程示意圖;圖5為本發(fā)明實(shí)施例提供的接入設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為了在DS-Lite組網(wǎng)架構(gòu)中實(shí)現(xiàn)對(duì)IPv4訪問(wèn)權(quán)限進(jìn)行控制,從而保證DS-Lite 組網(wǎng)的可運(yùn)營(yíng)性,本發(fā)明實(shí)施例提供了一種通過(guò)限制用戶訪問(wèn)的NPE,從而達(dá)到限制用戶的 IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限的技術(shù)方案。本發(fā)明實(shí)施例中,部署了 DS-Lite的組網(wǎng)架構(gòu)可如圖2所示,其中,DHCP服務(wù)器與
8CPE之間通過(guò)BAS交互DHCPv6報(bào)文,可以動(dòng)態(tài)通知NPE地址。參考原IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限控 制方案中由BAS設(shè)備對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行控制,為了保持一致性,本發(fā)明實(shí)施例中在部 署了 DS-Lite后,仍然由BAS設(shè)備控制用戶對(duì)IPv4網(wǎng)絡(luò)的訪問(wèn)權(quán)限。因?yàn)镃PE和BAS之間 只存在IPv6協(xié)議,所以BAS上原有的IP地址權(quán)限控制將繼續(xù)針對(duì)IPv6地址進(jìn)行,本發(fā)明 實(shí)施例對(duì)此不進(jìn)行限制。BAS要對(duì)用戶的IPv4上網(wǎng)權(quán)限進(jìn)行限制,即要對(duì)用戶的NPE地址訪問(wèn)權(quán)限進(jìn)行控 制,不管部署時(shí)采用哪種NPE地址分配方式,只要BAS能夠?qū)崟r(shí)獲得NPE地址和用戶的關(guān)聯(lián) 關(guān)系,并獲得用戶的相應(yīng)授權(quán)信息,即可進(jìn)行相應(yīng)的控制。BAS要獲取為用戶所分配的NPE地址,需要了解NPE的分配過(guò)程,其分配過(guò)程可包 括手工方式分配和通過(guò)DHCPv6協(xié)議分配。本發(fā)明實(shí)施例中,如果是通過(guò)手工方式將NPE地 址配置在CPE上的,則NPE上也要同步進(jìn)行相應(yīng)的配置,并將NPE地址與用戶的對(duì)應(yīng)關(guān)系同 步到BAS設(shè)備上,以使BAS可根據(jù)該對(duì)應(yīng)關(guān)系和用戶授權(quán)信息對(duì)相應(yīng)用戶訪問(wèn)IPv4網(wǎng)絡(luò)的 權(quán)限進(jìn)行控制;如果是通過(guò)DHCPv6協(xié)議交互分配NPE地址的,則BAS設(shè)備可以通過(guò)偵聽(tīng)用 戶的DHCPv6交互過(guò)程,獲知用戶IP地址和對(duì)應(yīng)的NPE的IP地址,即獲知NPE地址與用戶 的對(duì)應(yīng)關(guān)系。BAS設(shè)備可進(jìn)一步將通過(guò)手工配置方式或偵聽(tīng)方式獲得的用戶IP地址和對(duì)應(yīng)的 NPE地址記錄到用戶信息表中。表1示出了一種用戶信息表,其中記錄有用戶IP地址和為 其所分配的NPE地址的對(duì)應(yīng)關(guān)系。表1 用戶信息表
用戶名用戶IP地址NPE地址UserAIP ANPE AUser BIP BNPE B此表中的用戶IP地址和NPE地址的對(duì)應(yīng)關(guān)系,可以用于后續(xù)的IPv4權(quán)限控制。如 果授權(quán)用戶可以使用用戶信息表中記錄的與該授權(quán)用戶對(duì)應(yīng)的NPE,則在BAS上設(shè)置相應(yīng) 的報(bào)文過(guò)濾規(guī)則,從而在轉(zhuǎn)發(fā)層面允許用戶訪問(wèn)對(duì)應(yīng)的NPE;如果不允許用戶使用用戶信 息表中記錄的與該授權(quán)用戶對(duì)應(yīng)的NPE,則在BAS上設(shè)置相應(yīng)的報(bào)文過(guò)濾規(guī)則,從而在轉(zhuǎn)發(fā) 層面禁止用戶訪問(wèn)對(duì)應(yīng)的NPE。具體的,假設(shè)用戶IP地址為IP A,當(dāng)前網(wǎng)絡(luò)中只有一個(gè)NPE,記為NPE A,用戶信息 表中記錄有IP A與NPE A的對(duì)應(yīng)關(guān)系,則報(bào)文過(guò)濾規(guī)則可設(shè)置如下(1)在IPv4網(wǎng)絡(luò)訪問(wèn)的授權(quán)信息為允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,設(shè) 置如下規(guī)則源IP為IP A的報(bào)文允許通過(guò);(2)在IPv4網(wǎng)絡(luò)訪問(wèn)的授權(quán)信息為不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下, 設(shè)置如下規(guī)則
源IP為IP A的報(bào)文允許通過(guò);源IP為IP A,目的IP為NPE A的報(bào)文不允許通過(guò)。通過(guò)以上過(guò)濾規(guī)則,在網(wǎng)絡(luò)中僅有一個(gè)NPE的情況下,當(dāng)授權(quán)用戶所分配到的NPE 地址為NPE A,且該授權(quán)用戶的IPv4網(wǎng)絡(luò)訪問(wèn)授權(quán)信息允許使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)時(shí),該 授權(quán)用戶的客戶端發(fā)送到NPE A的報(bào)文可由BAS轉(zhuǎn)發(fā)到NPEA,從而到達(dá)IPv4網(wǎng)絡(luò),實(shí)現(xiàn) IPv4網(wǎng)絡(luò)的訪問(wèn);當(dāng)授權(quán)用戶所分配的NPE地址為NPE A,且該授權(quán)用戶的IPv4網(wǎng)絡(luò)訪問(wèn) 授權(quán)信息不允許使用NPE A訪問(wèn)IPv4網(wǎng)絡(luò)時(shí),該授權(quán)用戶的客戶端發(fā)送到NPE A的報(bào)文不 能通過(guò)BAS設(shè)備轉(zhuǎn)發(fā)到NPE A,從而禁止對(duì)IPv4網(wǎng)絡(luò)的訪問(wèn)??梢钥闯觯ㄟ^(guò)以上過(guò)濾規(guī) 則的設(shè)置。解決了 DS-Lite組網(wǎng)中的IPv4訪問(wèn)權(quán)限控制的問(wèn)題,并保證了 DS-Lite組網(wǎng)中 NPE的安全性。在有比較多的用戶接入的情況下,通常需要部署多臺(tái)NPE以便分擔(dān)用戶的負(fù)載。 針對(duì)這種情況,本發(fā)明實(shí)施例中,可將多個(gè)NPE規(guī)劃到同一網(wǎng)段中,并可將同一網(wǎng)段中的一 個(gè)或多個(gè)NPE分配給同一用戶,以方便使用網(wǎng)段進(jìn)行權(quán)限控制。具體的,假設(shè)用戶IP地址為IP Α,ΝΡΕ A屬于網(wǎng)段NET A,用戶信息表中記錄有IPA 與NPE A的對(duì)應(yīng)關(guān)系,則報(bào)文過(guò)濾規(guī)則可設(shè)置如下(1)在IPv4網(wǎng)絡(luò)訪問(wèn)的授權(quán)信息為允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,則 可設(shè)置如下規(guī)則源IP為IP A的報(bào)文允許通過(guò);源IP為IP A,目的IP為NET A的報(bào)文不允許通過(guò);源IP為IP A,目的IP為NPE A的報(bào)文允許通過(guò)。(2)在IPv4網(wǎng)絡(luò)訪問(wèn)的授權(quán)信息為不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下, 可設(shè)置如下規(guī)則源IP為IP A的報(bào)文允許通過(guò);源IP為IP A,目的IP為NET A的報(bào)文不允許通過(guò)。通過(guò)以上過(guò)濾規(guī)則,在網(wǎng)絡(luò)中有多個(gè)NPE的情況下,當(dāng)用戶的IPv4網(wǎng)絡(luò)訪問(wèn)授權(quán) 信息允許使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)時(shí),BAS可將該用戶的客戶端向某NPE發(fā)送的報(bào)文轉(zhuǎn)發(fā)到 該NPE(但不能通過(guò)該網(wǎng)段中的其他NPE)到達(dá)IPv4網(wǎng)絡(luò),從而實(shí)現(xiàn)IPv4網(wǎng)絡(luò)的訪問(wèn);當(dāng)用 戶的IPv4網(wǎng)絡(luò)訪問(wèn)授權(quán)信息不允許使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)時(shí),BAS不將該用戶的客戶端 向該NPE發(fā)送的報(bào)文轉(zhuǎn)發(fā)到該該NPE以及該NPE所屬網(wǎng)段內(nèi)的任何NPE,從而禁止對(duì)IPv4 網(wǎng)絡(luò)的訪問(wèn)??梢钥闯觯ㄟ^(guò)以上過(guò)濾規(guī)則的設(shè)置。解決了 DS-Lite組網(wǎng)中的IPv4訪問(wèn)權(quán) 限控制的問(wèn)題,并保證了 DS-Lite組網(wǎng)中NPE的安全性。在運(yùn)營(yíng)商有多個(gè)NPE的情況下,采 用本發(fā)明實(shí)施例的上述報(bào)文轉(zhuǎn)發(fā)規(guī)則,與現(xiàn)有技術(shù)相比,避免了用戶在知道NPE地址后,可 以隨意與該NPE所屬網(wǎng)段中的某個(gè)NPE進(jìn)行互聯(lián),影響運(yùn)營(yíng)商網(wǎng)絡(luò)運(yùn)行的問(wèn)題。用戶是否可以進(jìn)行IPv4網(wǎng)絡(luò)訪問(wèn),可以通過(guò)擴(kuò)展AAA (Authentication、 Authorization、Accounting, 認(rèn)證、授權(quán)和計(jì)費(fèi))認(rèn)證協(xié)議,如 RADIUS(RemoteAuthentication Dial In User Service,遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù))協(xié)議實(shí) 現(xiàn)。RADIUS授權(quán)信息可以通過(guò)擴(kuò)展RADIUS屬性的方式進(jìn)行。由于RADIUS協(xié)議本身支持 擴(kuò)展屬性功能,因此本發(fā)明實(shí)施例中可采用擴(kuò)展RADIUS的私有屬性的方案來(lái)實(shí)現(xiàn),擴(kuò)展屬 性格式可遵守RFC2865的26號(hào)屬性的格式規(guī)定,26號(hào)屬性的格式可如圖3所示。其中,擴(kuò)
10展部分采用TLV(Type Length Value,類型、長(zhǎng)度和值)格式,Type為一個(gè)字節(jié),值為100, length為一個(gè)字節(jié),值為6,剩余4個(gè)字節(jié)為具體的控制策略的方式,通過(guò)設(shè)定不同的值標(biāo) 識(shí)不同的控制方式,例如,0x0001標(biāo)識(shí)該用戶需要進(jìn)行IPv4的控制(即不允許進(jìn)行IPv4網(wǎng) 絡(luò)訪問(wèn)),0x0002標(biāo)識(shí)不需要進(jìn)行IPv4的控制(即允許進(jìn)行IPv4網(wǎng)絡(luò)訪問(wèn)),其余值可以 留待擴(kuò)展。當(dāng)用戶通過(guò)RADIUS認(rèn)證通過(guò)后,可下發(fā)如圖3所示的用戶控制策略屬性到BAS 設(shè)備,使BAS設(shè)備可根據(jù)這個(gè)屬性的值判斷是否允許授權(quán)用戶進(jìn)行IPv4網(wǎng)絡(luò)訪問(wèn)。需要說(shuō)明的是,RADIUS協(xié)議只是AAA協(xié)議一種,采用其它AAA協(xié)議,也可以進(jìn)行類 似擴(kuò)展,控制IPv4訪問(wèn)權(quán)限。根據(jù)圖2所示的組網(wǎng)架構(gòu),圖4示出了本發(fā)明實(shí)施例提供的一種輕量級(jí)雙棧組網(wǎng) 中的訪問(wèn)控制流程,該流程以PPP認(rèn)證為例,描述了對(duì)授權(quán)用戶的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)行 控制的過(guò)程,該流程可包括步驟401,CPE與BAS建立PPP連接。步驟402,BAS與AAA服務(wù)器交互用戶認(rèn)證信息,該用戶認(rèn)證信息中包含有用戶的 IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,該權(quán)限信息表明該授權(quán)用戶可以使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)。該步驟中,可通過(guò)擴(kuò)展RADIUS屬性的方式,如圖3所示,在認(rèn)證報(bào)文的RADIUS擴(kuò) 展屬性中設(shè)置用于標(biāo)識(shí)是否允許用戶使用NPE訪問(wèn)IPv4的屬性,從而使BAS能夠獲知是否 允許該授權(quán)用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)。步驟403,CPE與DHCPv6服務(wù)器交互,獲取地址和相關(guān)的配置信息,包括NPE信息。步驟404,BAS偵聽(tīng)步驟403中CPE與DHCPv6服務(wù)器的交互過(guò)程,從而獲取NPE地 址和用戶地址等信息,并與步驟402中獲取到的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息結(jié)合,下發(fā)報(bào)文過(guò) 濾規(guī)則到該BAS上相應(yīng)的報(bào)文端口。該步驟中,BAS下發(fā)的報(bào)文過(guò)濾規(guī)則可采用ACL(訪問(wèn)控制列表)規(guī)則,根據(jù)是否 允許授權(quán)用戶通過(guò)NPE訪問(wèn)IPv4網(wǎng)絡(luò)以及該授權(quán)用戶與NPE的對(duì)應(yīng)關(guān)系,下發(fā)不同的ACL, 所下發(fā)的報(bào)文過(guò)濾規(guī)則同前所述,在此不再贅述。步驟405,CPE 發(fā)送 IPv4in IPv6 報(bào)文。步驟406,BAS使用報(bào)文過(guò)濾規(guī)則,檢查步驟405中的報(bào)文,在允許其通過(guò)的情況 下,將該報(bào)文轉(zhuǎn)發(fā)給NPE。如果不允許其通過(guò),則不將該報(bào)文轉(zhuǎn)發(fā)給NPE。本流程以允許其 通過(guò)的情況為例。步驟407,NPE對(duì)報(bào)文進(jìn)行解封裝,從而使該授權(quán)用戶訪問(wèn)IPv4網(wǎng)絡(luò)。基于相同的技術(shù)構(gòu)思,本發(fā)明實(shí)施例還提供了一種接入設(shè)備(如BAS設(shè)備),可應(yīng) 用于本發(fā)明實(shí)施例的上述流程。如圖5所示,本發(fā)明實(shí)施例提供的BAS設(shè)備可包括第一獲取模塊501,用于獲取客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息;第二獲取模塊502,用于獲取所述客戶端的地址以及為該客戶端所分配的網(wǎng)絡(luò)側(cè) 設(shè)備NPE的地址;規(guī)則設(shè)置模塊503,用于根據(jù)第一獲取模塊501獲取到的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息, 以及第二獲取模塊502獲取到的客戶端地址以及與其對(duì)應(yīng)的NPE地址,設(shè)置相應(yīng)的報(bào)文轉(zhuǎn) 發(fā)規(guī)則;報(bào)文轉(zhuǎn)發(fā)模塊504,用于當(dāng)接收到所述客戶端發(fā)送的報(bào)文時(shí),根據(jù)規(guī)則設(shè)置模塊
11503設(shè)置的報(bào)文轉(zhuǎn)發(fā)規(guī)則控制所述報(bào)文的轉(zhuǎn)發(fā)。上述接入設(shè)備中,第一獲取模塊501可通過(guò)與認(rèn)證服務(wù)器交互所述客戶端的認(rèn)證 信息,獲取其中攜帶的客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息。上述接入設(shè)備中,第二獲取模塊502可通過(guò)監(jiān)聽(tīng)所述客戶端與DHCP服務(wù)器交互的 信息,獲取所述客戶端的地址以及為所述客戶端分配的NPE的地址。在所述組網(wǎng)中僅有一個(gè)NPE時(shí),規(guī)則設(shè)置模塊503設(shè)置的報(bào)文轉(zhuǎn)發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況 下,所述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源IP為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文不 允許通過(guò)。在所述組網(wǎng)中有多個(gè)NPE且為客戶端分配有NPE網(wǎng)段時(shí),規(guī)則設(shè)置模塊503設(shè)置 的報(bào)文轉(zhuǎn)發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況 下,所述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的 地址的報(bào)文不允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文 允許通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的 地址的報(bào)文不允許通過(guò)。需要說(shuō)明的是,本發(fā)明實(shí)施例所提供的組網(wǎng)架構(gòu)中,DHCPv6服務(wù)器、NPE都可能與 BAS設(shè)備集成,針對(duì)這樣的組網(wǎng)架構(gòu),本發(fā)明實(shí)施例所提供的IPv4訪問(wèn)控制方案依然適用。另外,DHCPv6選項(xiàng)下發(fā)NPE是一種標(biāo)準(zhǔn)的下發(fā)NPE方式,如果有其它的NPE下發(fā) 方式,可以進(jìn)行相似擴(kuò)展。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上 述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助 軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn),當(dāng)然也可以通過(guò)硬件,但很多情況下前者是更 佳的實(shí)施方式。基于這樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī),個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行 本發(fā)明各個(gè)實(shí)施例所述的方法。 以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人 員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng) 視本發(fā)明的保護(hù)范圍。
權(quán)利要求
一種輕量級(jí)雙棧組網(wǎng)中的訪問(wèn)控制方法,應(yīng)用于在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)共存的組網(wǎng)中,對(duì)客戶端訪問(wèn)IPv4網(wǎng)絡(luò)進(jìn)行控制的過(guò)程,其特征在于,包括以下步驟接入設(shè)備獲取客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,所述客戶端的地址以及為該客戶端所分配的網(wǎng)絡(luò)側(cè)設(shè)備NPE的地址,并根據(jù)獲取到的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息、客戶端地址以及與其對(duì)應(yīng)的NPE地址,設(shè)置相應(yīng)的報(bào)文轉(zhuǎn)發(fā)規(guī)則;當(dāng)所述接入設(shè)備接收到所述客戶端發(fā)送的報(bào)文時(shí),根據(jù)設(shè)置的報(bào)文轉(zhuǎn)發(fā)規(guī)則控制所述報(bào)文的轉(zhuǎn)發(fā)。
2.如權(quán)利要求1所述的方法,其特征在于,在所述組網(wǎng)中僅有一個(gè)NPE時(shí),所述報(bào)文轉(zhuǎn) 發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所述報(bào) 文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源IP為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文不允許 通過(guò)。
3.如權(quán)利要求1所述的方法,其特征在于,在所述組網(wǎng)中有多個(gè)NPE且為客戶端分配有 NPE網(wǎng)段時(shí),所述報(bào)文轉(zhuǎn)發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的地址 的報(bào)文不允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文允許 通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所述報(bào) 文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的地址 的報(bào)文不允許通過(guò)。
4.如權(quán)利要求1至3任一項(xiàng)所述的方法,其特征在于,所述客戶端的認(rèn)證報(bào)文中的認(rèn)證 擴(kuò)展屬性中攜帶有客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,所述接入設(shè)備獲取客戶端的IPv4網(wǎng) 絡(luò)訪問(wèn)權(quán)限信息,具體為所述接入設(shè)備通過(guò)與認(rèn)證服務(wù)器交互所述客戶端的認(rèn)證信息,獲取其中攜帶的客戶端 的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息。
5.如權(quán)利要求1至3任一項(xiàng)所述的方法,其特征在于,所述接入設(shè)備獲取所述客戶端的 地址以及為該客戶端所分配的網(wǎng)絡(luò)側(cè)設(shè)備NPE的地址,具體為所述接入設(shè)備通過(guò)監(jiān)聽(tīng)所述客戶端與DHCP服務(wù)器交互的信息,獲取所述客戶端的地址以及為所述客戶端分配的NPE的地址。
6.一種接入設(shè)備,應(yīng)用于在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)共存的組網(wǎng)中,對(duì)客戶端訪問(wèn)IPv4 網(wǎng)絡(luò)進(jìn)行控制的過(guò)程,其特征在于,包括第一獲取模塊,用于獲取客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息;第二獲取模塊,用于獲取所述客戶端的地址以及為該客戶端所分配的網(wǎng)絡(luò)側(cè)設(shè)備NPE 的地址;規(guī)則設(shè)置模塊,用于根據(jù)所述第一獲取模塊獲取到的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,以及第 二獲取模塊獲取到的客戶端地址以及與其對(duì)應(yīng)的NPE地址,設(shè)置相應(yīng)的報(bào)文轉(zhuǎn)發(fā)規(guī)則;報(bào)文轉(zhuǎn)發(fā)模塊,用于當(dāng)接收到所述客戶端發(fā)送的報(bào)文時(shí),根據(jù)所述規(guī)則設(shè)置模塊設(shè)置 的報(bào)文轉(zhuǎn)發(fā)規(guī)則控制所述報(bào)文的轉(zhuǎn)發(fā)。
7.如權(quán)利要求6所述的接入設(shè)備,其特征在于,在所述組網(wǎng)中僅有一個(gè)NPE時(shí),所述規(guī) 則設(shè)置模塊設(shè)置的報(bào)文轉(zhuǎn)發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所述報(bào) 文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源IP為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文不允許 通過(guò)。
8.如權(quán)利要求6所述的接入設(shè)備,其特征在于,在所述組網(wǎng)中有多個(gè)NPE且為客戶端分 配有NPE網(wǎng)段時(shí),所述規(guī)則設(shè)置模塊設(shè)置的報(bào)文轉(zhuǎn)發(fā)規(guī)則包括在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明允許所述客戶端使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所 述報(bào)文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的地址 的報(bào)文不允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE地址的報(bào)文允許 通過(guò);在IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息表明不允許用戶使用NPE訪問(wèn)IPv4網(wǎng)絡(luò)的情況下,所述報(bào) 文轉(zhuǎn)發(fā)規(guī)則為源地址為所述客戶端地址的報(bào)文允許通過(guò);源地址為所述客戶端地址、目的地址為與所述客戶端地址對(duì)應(yīng)的NPE所屬網(wǎng)段的地址 的報(bào)文不允許通過(guò)。
9.如權(quán)利要求6至8任一項(xiàng)所述的接入設(shè)備,其特征在于,所述第一獲取模塊具體用 于,通過(guò)與認(rèn)證服務(wù)器交互所述客戶端的認(rèn)證信息,獲取其中攜帶的客戶端的IPv4網(wǎng)絡(luò)訪 問(wèn)權(quán)限信息。
10.如權(quán)利要求6至8任一項(xiàng)所述的接入設(shè)備,其特征在于,所述第二獲取模塊具體用 于,通過(guò)監(jiān)聽(tīng)所述客戶端與DHCP服務(wù)器交互的信息,獲取所述客戶端的地址以及為所述客戶端分配的NPE的地址。
全文摘要
本發(fā)明公開(kāi)了一種輕量級(jí)雙棧組網(wǎng)中的訪問(wèn)控制方法及其裝置,應(yīng)用于在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)共存的組網(wǎng)中,對(duì)客戶端訪問(wèn)IPv4網(wǎng)絡(luò)進(jìn)行控制的過(guò)程,該方法包括以下步驟接入設(shè)備獲取客戶端的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息,以及所述客戶端的地址以及為該客戶端所分配的網(wǎng)絡(luò)側(cè)設(shè)備NPE的地址,并根據(jù)獲取到的IPv4網(wǎng)絡(luò)訪問(wèn)權(quán)限信息、客戶端地址以及與其對(duì)應(yīng)的NPE地址,設(shè)置相應(yīng)的報(bào)文轉(zhuǎn)發(fā)規(guī)則;當(dāng)所述接入設(shè)備接收到所述客戶端發(fā)送的報(bào)文時(shí),根據(jù)設(shè)置的報(bào)文轉(zhuǎn)發(fā)規(guī)則控制所述報(bào)文的轉(zhuǎn)發(fā)。采用本發(fā)明可實(shí)現(xiàn)對(duì)用戶訪問(wèn)IPv4網(wǎng)絡(luò)進(jìn)行權(quán)限控制。
文檔編號(hào)H04L12/56GK101951380SQ20101029484
公開(kāi)日2011年1月19日 申請(qǐng)日期2010年9月28日 優(yōu)先權(quán)日2010年9月28日
發(fā)明者林濤 申請(qǐng)人:杭州華三通信技術(shù)有限公司