一种访问控制策略生成方法及装置、编排器与流程

1.本说明书涉及通信技术领域，尤其涉及一种访问控制策略生成方法及装置、编排器。


背景技术：

2.微分段特性是基于一定的规则对服务器进行分组，然后按照分组来进行访问控制的方法，微分段包括端点组epg(end point group)，可以根据epg 配置相应的访问控制策略。目前在数据中心场景下，存在不少微分段的应用。数据中心微分段一般以离散的ip、网段、主机名、mac地址来定义。
3.微分段一般局限于在一个数据中心内进行定义和访问控制。图1
‑
a和图 1
‑
b示出了数据中心的两个站点a和站点b，站点a的主机被分配的微分段 epg1和epg2，站点b的主机被分配的微分段epg3和epg4。图1
‑
a示出了站点a中被分配epg1和epg2之间的主机互访的示意图；图1
‑
b中示出了站点a中被分配epg2和站点b之间被分配epg3的主机之间的互访。
4.也就是同一站点被分配不同微分段的网络设备(例如主机、交换机、路由器)互相访问以及不同站点被分配不同微分段的主机互访目前均可以实现。但是对于不同站点被分配同一微分段的网络设备如何互相访问，目前没有具体的实现方法。


技术实现要素：

5.为克服相关技术中存在的问题，本说明书提供了一种访问控制策略生成方法及装置、编排器、计算机可读存储介质。
6.根据本说明书实施例的第一方面，提供一种访问控制策略生成方法，所述方法包括：
7.接收业务需求指令，所述业务需求指令中包括微分段和微分段内的成员的标识、以及访问控制策略；
8.判断同一微分段内的成员是否归属于不同的站点；
9.若归属于不同站点，则根据不同站点将所述微分段拆分成多个子微分段；
10.根据子微分段、以及访问控制策略生成子访问控制策略。
11.可选的，所述根据不同站点将所述微分段拆分成多个子微分段，包括：
12.为第一微分段对应归属于第一站点的成员分配第一子微分段；
13.为第一微分段对应归属于第二站点的成员分配第二子微分段。
14.可选的，根据子微分段、以及访问控制策略生成子访问控制策略，包括：
15.若跨站点的网络设备对应的微分段相同、子微分段不同，则生成的子访问控制策略则允许所述跨站点的网络设备对应的子微分段互访。
16.可选的，根据子微分段、以及访问控制策略生成子访问控制策略，包括：
17.若跨站点的网络设备对应的微分段不同，则将所述访问控制策略中的动作指令作为生成的子访问控制策略的动作指令。
18.根据本说明书实施例的第二方面，提供一种访问控制策略生成装置，包括：
19.接收模块，用于接收业务需求指令，所述业务需求指令中包括微分段和微分段内的成员的标识、以及访问控制策略；
20.判断模块，用于判断同一微分段内的成员是否归属于不同的站点；
21.拆分模块，用于若归属于不同站点，则根据不同站点将所述微分段拆分成多个子微分段；
22.生成模块，用于根据子微分段、以及访问控制策略生成子访问控制策略。
23.可选的，拆分模块具体用于为第一微分段对应归属于第一站点的成员分配第一子微分段；为第一微分段对应归属于第二站点的成员分配第二子微分段。
24.可选的，生成模块具体用于若跨站点的网络设备对应的微分段相同、子微分段不同，则生成的子访问控制策略则允许所述跨站点的网络设备对应的子微分段互访。
25.可选的，所述生成模块具体用于若跨站点的网络设备对应的微分段不同，则将所述访问控制策略中的动作指令作为生成的子访问控制策略的动作指令。
26.根据本说明书实施例的第三方面，提供一种编排器，包括处理器、存储器和通信接口，所述处理器、所述存储器和所述通信接口相互连接，其中，所述存储器用于存储计算机程序指令，所述处理器被配置用于执行所述程序指令，实现上述第一方面中所提及的任一方法。
27.根据本说明书实施例的第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如上述第一方面中所提及的任一方法。
28.本说明书的实施例提供的技术方案可以包括以下有益效果：在编排器一侧，对于用户来说，仅仅需要对微分段及其微分段内的成员进行配置即可，编排器可以自动的识别同一微分段内的成员是否存在跨站点的情况，并对微分段进行拆分，这样用户侧无需针对跨站点的情形进行复杂的配置，就可以实现跨站点的网络设备的访问控制策略的生成。实现了用户对于跨站点的访问控制策略的无感知配置。
29.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。
附图说明
30.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书一起用于解释本说明书的原理。
31.图1
‑
a是本说明书提供的相关技术的网络架构示意图；
32.图1
‑
b是本说明书提供的另一相关技术的网络架构示意图；
33.图2是本说明书提供的访问控制策略生成方法的流程示意图；
34.图3是本说明书提供的微分段互访的架构示意图；
35.图4是本说明书提供的跨站点拆分后的微分段的示意图；
36.图5是本说明书提供的访问控制策略生成装置的结构示意图；
37.图6是本说明书提供的编排器的结构示意图。
具体实施方式
38.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
39.本公开提供一种访问控制策略的生成方法，图2中示出了访问控制策略生成方法的流程示意图。本说明书中提供的访问控制策略的生成方法可以由控制器执行、也可以由编排器执行。对于执行该方法的主体并不加以限定。本实施例中以编排器为例进行说明。如图2所示，该访问控制策略的生成方法包括：
40.步骤201，接收业务需求指令，所述业务需求指令中包括微分段和微分段内的成员的标识以及访问控制策略。
41.业务需求指令可以由用户输入，如果本实施例提供的方法由控制器执行，那么该业务需求指令可以是其他网络设备，例如编排器发送的。
42.业务需要指令中指定了将哪些网络设备分配了同一个微分段、以及访问控制策略，其中，访问控制策略可以为不同微分段之间的访问策略。例如， epg1作为源epg，epg2作为目的epg，两个epg之间的访问控制策略为不允许访问deny。
43.其中，微分段以及微分段内的成员标识可以为离散的ip、网段、主机名、 mac地址中的任意一个。
44.本实施例中以ip地址为例进行说明。
45.步骤203，判断同一微分段内的成员是否归属于不同的站点。
46.编排器中可以预先存储有网络设备归属的站点信息，因此可以根据预先存储的网络设备与其所归属站点的对应关系确定被分配了同一个微分段的成员是否归属于不同的站点。
47.微分段当然，网络设备归属的站点信息也可以携带在业务需求指令中，对于编排器如何获取网络设备归属的站点信息本实施例中不加以限定。
48.步骤205，若归属于不同站点，则根据不同站点将所述微分段拆分成多个子微分段。
49.图3示出了一种同一epg的成员归属于不同的站点的示意图。
50.以图3所示为例，若子网subnet1、ip1、ip2、子网subnet2被分配了同一个微分段epg1，其中subnet1与ip1、ip2对应的网络设备在站点a，subnet2 对应的网络设备在站点b；
51.子网subnet3、子网subnet4被分配了同一个微分段epg2，且子网subnet3、子网subnet4分别归属于不同的站点a和站点b。
52.本实施中以步骤201中配置的访问控制策略为：源epg1、目的epg2 之间的网络设备不可以互相访问(deny)，epg2作为源epg，epg1作为目的epg，访问控制策略的动作指令为不可互相访问deny为例。即两个epg 之间的双向不可以互访。
53.当编排器识别出epg1对应的成员subnet1、ip1、ip2、子网subnet2归属于站点a和站点b两个站点，那么为属于站点a的网络设备subnet1、ip1、 ip2分配第一子微分段标识，记为epg1
‑
1，为属于站点b的网络设备subnet2 分配第二字微分段标识，即为epg1
‑
2。图4示出了一种跨站点的微分段拆分后的示意图。
54.与上述方法类似的，编排器将属于站点a的subnet3、属于站点b的 subnet4对应的微分段epg2拆分为第三子微分段epg2
‑
1、第四子微分段 egp2
‑
2。
55.需要说明的是，这里的拆分并不是特指将原有的epg做物理上的拆分。这里的拆分指的是原来的一个微分段，变成了两个微分段。为了表明变化后的微分段，本实施例中称为子微分段。
56.应当理解的是，图3中仅仅示出了两个站点之间的网络设备互相访问的情况，实际情况也可能存在多个站点的网络设备之间相互访问，对于微分段的拆分的方式是类似的。例如，若三个站点之间的网络设备互访，则拆分的子微分段的数量为3个。
57.步骤207，根据子微分段、以及访问控制策略生成子访问控制策略。
58.具体的，编排器在对不同站点的微分段拆分完之后，子微分段与其成员的对应关系可以参见表1所示：
59.表1
60.子微分段成员epg1
‑
1ip1、ip2、subnet1epg2
‑
1subnet3epg1
‑
2subnet2epg2
‑
2subnet4
61.具体的，根据表1可见，ip1、ip2、subnet1为子微分段epg1
‑
1的成员； subnet3为子微分段epg2
‑
1的成员；
62.subnet2为子微分段epg1
‑
2内的成员，subnet4对为子微分段epg2
‑
2内成员。
63.在编排器重新生成子访问控制策略时可以先生成同站点之间的访问控制策略。以步骤201中的访问控制策略的epg1 epg2之间的网络设备不可以互相访问(deny)为例。以站点a为例，新生成的一个子访问控制策略为：
64.epg1
‑1‑
>epg2
‑1‑‑‑‑
deny；
65.上述子访问控制策略表示子微分段epg1
‑
1作为源epg，子微分段 epg2
‑
1作为目的epg的子访问控制策略的动作指令为deny，该动作指令沿袭了步骤201中的配置的epg1与epg2的访问控制策略的动作指令。
66.与生成的上面的子访问控制策略类似的，针对同一站点a中，生成的另一个子访问控制策略为epg2
‑1‑
>epg1
‑1‑‑‑‑
deny。
67.针对同一站点b，生成的子访问控制策略包括：
68.epg1
‑2‑
>epg2
‑2‑‑‑‑
deny；
69.epg2
‑2‑
>epg1
‑2‑‑‑‑
deny。
70.进一步的，生成跨站点间的子访问控制策略。
71.如果跨站点的网络设备对应的微分段相同但子微分段不同，例如对于 ip1、ip2、subnet1、subnet2拆分前对应的微分段为均为epg1，拆分后ip1、 ip2、subnet1对应的子微分段为epg1
‑
1,subnet2对应的子微分段为epg1
‑
2，那么生成的子访问控制策略为允许跨站点的网络设备对应的子微分段互访，即epg1
‑1‑
>epg1
‑2‑‑‑‑
permit；epg1
‑2‑
>epg1
‑1‑‑‑‑
permit。
72.如果跨站点的网络设备对应的微分段不同，例如对于站点a中的ip1、 ip2、
subnet1对应的微分段为epg1、站点b的subnet4的微分段为epg2，也即跨站点a、b的ip1、ip2、subnet1与subnet4对应的微分段不同，此时可以根据步骤201中访问控制策略中epg1
‑
>epg2
‑‑‑‑
deny的动作指令deny 作为生成的子访问控制策略epg1
‑1‑
>epg2
‑
2的动作指令deny。
73.根据访问控制策略epg2
‑
>epg1
‑‑‑‑
deny中的动作指令deny作为子访问控制策略epg2
‑1‑
>epg1
‑
1的动作指令。
74.其中，epg1
‑
2与epg2
‑
1之间的动作指令的生成不再一一举例。
75.在本实施例的基础上，编排器可以将拆分后的子访问控制策略下发至对应的站点，以使站点内的网络设备根据所述子访问控制策略实现报文的转发控制。示例性的，例如图4所示，编排器可以将拆分后的子微分段 epg1
‑1‑
>epg1
‑
2—permit分别下发至(epg1
‑
1)对应的站点a和(epg1
‑
2) 对应的站点b；将生成的子访问控制策略epg2
‑1‑
>epg1
‑1‑‑‑‑
deny下发至对应的站点a。
76.具体的，可以将子访问控制策略下发至站点中的接入设备(例如leaf叶子节点)或者边界设备(例如border节点)。
77.在一个跨数据中心的站点的报文转发的场景中，例如，数据中心a中ip1 对应的网络设备访问站点b中subnet2对应的网络设备。以站点a中的border 设备为例，当border设备接收到站点a的ip1对应的网络设备访问站点b的 subnet2的报文后，根据报文的源ip地址查找微分段与微分段的成员的对应关系，可以得到源epg为epg1
‑
1，根据报文的目的ip地址查找微分段与微分段成员的对应关系，可以得到目的epg为1
‑
2。
78.根据源epg和目的epg查找访问控制策略表，可以确定匹配的访问控制策略为epg1
‑1‑
>epg1
‑2‑‑‑
permit。border设备根据匹配到的访问控制策略可以对上述报文进行放行。
79.在另一个同数据中心的报文转发场景中，例如，ip1对应的网络设备访问subnet3，当站点a的接入设备接收到ip1对应的网络设备发送的报文后，根据报文的源ip地址查找微分段与微分段的成员的对应关系，可以得到源 epg为epg1
‑
1，根据报文的目的ip地址查找微分段与微分段成员的对应关系，可以得到目的epg为2
‑
1。
80.根据源epg和目的epg查找访问控制策略表，可以确定匹配的访问控制策略为epg1
‑1‑
>epg2
‑1‑‑‑‑
deny。接入设备根据匹配到的访问控制策略可以丢弃该ip1对应的网络设备发送至subnet3的报文，拒绝ip1对应的网络设备访问subnet3。
81.本公开提供的方法中，在编排器一侧，对于用户来说，仅仅需要对微分段及其微分段内的成员进行配置即可，编排器可以自动的识别同一微分段内的成员成员是否存在跨站点的情况，并对微分段进行拆分，这样用户侧无需针对跨站点的情形进行复杂的配置，就可以实现跨站点的网络设备的访问控制策略的生成。更近一步的，可以实现跨站点定义的微分段之间的访问控制。
82.在一个示例中，例如，研发人员分布在不同的站点中，一般来说，用户在使用时，只想将所有的研发人员分配同一个微分段，但是这样，对于跨站点的研发人员的访问来说，分配同一个微分段就没办法做不同站点的网络设备的访问控制策略。本说明书提供的方法，通过将微分段根据站点信息进行拆分，就可以很好的解决这个问题，对于用户在使用时，也带来的极大的方便，用户无需对研发人员是否跨站点进行感知，可以很方便的进行配置。
83.在上述实施例的基础上，本实施例还提供一种访问控制策略生成装置，该装置可以用于执行上述编排器执行的访问控制策略生成方法，具体的，图4提供了一种访问控制策略生成装置的结构示意图，如图4所示，该装置包括：
84.接收模块401，用于接收业务需求指令，所述业务需求指令中包括微分段和微分段内的成员的标识、以及访问控制策略；
85.判断模块402，用于判断同一微分段内的成员是否归属于不同的站点；
86.拆分模块403，用于若归属于不同站点，则根据不同站点将所述微分段拆分成多个子微分段；
87.生成模块404，用于根据子微分段、以及访问控制策略生成子访问控制策略。
88.可选的，拆分模块403具体用于为第一微分段对应归属于第一站点的成员分配第一子微分段标识；为第一微分段对应归属于第二站点的成员分配第二子微分段标识。
89.可选的，生成模块404具体用于若跨站点的网络设备对应的微分段相同、子微分段不同，则生成的子访问控制策略则允许所述跨站点的网络设备对应的子微分段互访。
90.可选的，所述生成模块404具体用于若跨站点的网络设备对应的微分段不同，则将所述访问控制策略中的动作指令作为生成的子访问控制策略的动作指令。
91.可选的，该装置还可以包括下发模块(图中未示出)，用于将拆分后的子访问控制策略下发至对应的站点，以使站点内的网络设备根据所述子访问控制策略实现报文的转发控制。
92.本说明书提供的访问控制策略生成装置，用户仅仅需要对微分段及微分段内的成员进行配置即可，该装置可以自动的识别同一微分段内的成员是否存在跨站点的情况，并对微分段进行拆分，这样用户侧无需针对跨站点的情形进行复杂的配置，就可以实现跨站点的网络设备的访问控制策略的生成。
93.在上述实施例的基础上，本实施例还提供一种编排器，图6示出了一种编排器的结构示意图，如图6所示，该编排器60包括处理器601、存储器602 和通信接口，所述处理器601、所述存储器602和所述通信接口相互连接，其中，所述存储器用于存储计算机程序指令，所述处理器被配置用于执行所述程序指令，实现上述实施例中所提供的任一访问控制策略生成方法。
94.本实施例还提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述实施例中所提供的任一访问控制策略生成方法。
95.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本技术的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。
96.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包括于本技术的至少一个实施例或示例中。而且，描述的具体特征、结构、材料或者特点
可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
97.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本技术的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
98.流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分。并且本技术的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能。
99.在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统) 使用，或结合这些指令执行系统、装置或设备而使用。
100.应理解的是，本技术的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。上述实施例方法的全部或部分步骤是可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
101.此外，在本技术各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读存储介质中。该存储介质可以是只读存储器，磁盘或光盘等。
102.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到其各种变化或替换，这些都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。