文/黄山

一、该专利的技术方案介绍

如图所示的应用场景，用户设备和服务器分别直接接入Ingress设备和Egress设备，Ingress设备和Egress设备进行三层转发处理。

在该场景下，角色接入控制包括以下几个部分：

1）ingress设备

ingress设备是能够通过硬件方式在报文中插入角色tag的设备。在Ingress设备收到来自用户设备的不包含标签（untag）的数据报文时，Ingress设备将源角色标签（Rtag）作为内层VLAN标签，将Vtag作为外层VLAN标签插入该数据报文。

Ingress设备根据Vtag和目的IP地址查找三层转发表确定出端口。Ingress设备对数据报文的Vtag、源MAC地址和目的MAC进行替换，再通过确定的出端口对该数据报文进行转发（数据报文携带了Vtag和Rtag）。

在上述处理过程中，Ingress设备将Rtag作为内层VLAN标签插入报文时，内层VLAN标签的标签协议标识（TPID，Tag Protocol Identifier）可以是一个设定值，用于标识该内层VLAN标签类型是为Rtag。

2）中间设备

中间设备是部署在连接ingress设备与engress设备的网络内、可能进行二层（L2）或三层(L3)转发的设备。在中间设备接收到上述数据报文时。中间设备根据数据报文的Vtag和目的IP地址查找三层转发表确定出端口。中间设备对数据报文的Vtag、源MAC地址和目的MAC进行替换，再将数据报文通过确定的出端口进行转发（数据报文携带Vtag和Rtag）。

3）Egress设备

Egress设备是连接访问资源（如，服务器、internet出口）的网络实体。在Egress设备收到的数据报文时，Egress设备根据数据报文的Vtag和目的IP地址查找三层转发表确定出端口。Egress设备对数据报文的Vtag、源MAC地址和目的MAC进行替换，再根据该数据报文的目的IP地址确定目的角色信息。同时，Egress设备根据数据报文的内层VLAN标签的TPID确定该内层VLAN标签为Rtag时，Egress设备获取该Rtag。Egress设备利用Rtag和目的角色信息对BRACL(基于角色的访问控制列表)进行匹配，根据匹配的结果对该数据报文进行接入控制处理。

此外，该专利还涉及其他多种应用场景下角色接入控制方法，由于篇幅原因，不再对其他场景的变化后的方案进行详细描述。需要说明的时，该专利对于Rtag的处理方式同样支持组播，Ingress设备、中间设备或Egress设备在对报文进行三层或二层复制后，复制的报文同样携带与组播源报文相同的Rtag。

在该专利中，Ingress设备根据接收到的报文的来源信息确定Rtag后，将该Rtag作为报文的内层VLAN标签插入报文中后进行转发；如果Ingress设备与Egress设备之间存在中间设备，则该中间设备在转发过程中对作为内层VLAN标签的Rtag保持不变直至转发该报文至Egress设备；Egress设备从报文中获取作为内层VLAN标签的Rtag，用于对数据报文进行基于角色的接入控制。

专利点评

在网络安全技术中，基于源角色的ACL可以有效地降低设备的配置管理与维护管理的工作量。该专利利用了网络设备已有的QinQ功能，在支持以及实现基于源角色的接入控制的同时，不需要修改标准的内容、不需要增加额外的客户端软件、不会产生额外的Mac层的升级成本，并且使用范围广，有效地降低了网络的升级成本。

http://www.h3c.com.cn/res/201008/27/20100827_1040230_image001_688035_30008_0.png图1