本发明专利技术提供一种ACL配置方法及系统,通过创建对应ACL模板的预设时间段,进而绑定所述预设时间段及所述ACL模板,并绑定所述ACL模板至路由交换设备的端口,以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效,同时,ACL模板内的规则也是可以调整先后位置的,实现灵活配置ACL及ACL规则的目的,加强了ACL的管理效率,在实际的应用中对运营商的管理和计费能够更好的支持。
【技术实现步骤摘要】
一种ACL配置方法及系统
本专利技术涉及网络
,特别是涉及一种ACL配置方法及系统。
技术介绍
接入网设备中为了根据用户需求,对特定的数据流进行过滤,用户通过配置一些规则信息,从而与网络中进入设备的数据流进行比较,数据流命中后,根据设定的策略,对命中的数据流进行丢弃和转发动作,从而实现对数据流的过滤。在ACL(访问控制列表)中来实现对数据流的过滤功能。通过比较设备中的对应端口所配置的ACL规则和实际网络中进入该端口的数据流,对该数据流进行转发和丢弃动作。目前现有的ACL中,其实现主要分为了两个部分:数据流的匹配规则及动作配置;将规则绑定到端口上,实现特定端口对特定数据流的过滤功能。在现有的ACL中,根据数据帧的结构,将ACL主要分为了三层:(1)基本ACL:根据数据包的源IP制定ACL规则。(2)高级ACL:根据数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性制定流规则。(3)链路ACL:根据源MAC地址、源VLAN标识(即Tag或者ID)、二层协议类型、目的MAC地址等链路层信息制定ACL规则。在实现过程中,由于ACL主要分为了三层,需要对ACL模板进行区分,在创建ACL模板时,创建时所设置的模板ID来进行区分,例如,1-100为基本ACL,101-200为高级ACL,201-300为链路ACL。在一个模板中,可以配置多条规则,可以支持特定端口的多条数据流的限制。一个模板中如果创建的规则ID在模板中已存在则将新创建的规则覆盖原有的规则,如果规则不存在,则创建。由于ACL主要的功能是对数据流进行过滤作用,因此,在ACL中对数据流的处理动作只有两个:permit(转发)和deny(丢弃)。当网络中的数据流进行入了设置中,如果网络数据流中的数据帧结构中相应的字段与端口配置的规则相同,则根据规则中所配置的动作,对数据流进行转发或者丢弃。当ACL的模板创建完成后,就要将模板绑定到端口上,一个端口可以绑定多个模板,在同一模板内和不同的模板之间规则可能存在冲突,在同一ACL种,如果规则同时激活,默认先配置的规则较后配置的规则具有更高的执行优先级。如果是逐条单独激活,则后激活的规则较先激活的规则具有更高的执行优先级。不同的ACL模板中,后激活的规则较前激活规则具有更高的优先级。但是,目前现有的ACL中主要存在缺点有以下几点:1、规则的创建缺少灵活度,现有的三种ACL类型只能满足对应的数据帧的网络层,不能够灵活的变动。只能针对数据帧结构中连续的字段进行数据流的匹配。2、端口上的数据流过滤不能根据时间来灵活的控制何时规则生效。用户应不能根据自我需求,在特定的时间中对特定的数据流进行限制。3、规则创建后不能够进行移动来修改规则的优先级。同一模板中规则的优先级是按照规则的ID号确定优先级,ID确定后不能对规则的优先级进行修改。
技术实现思路
鉴于以上所述现有技术的缺点,本专利技术的目标在于提供一种ACL配置方法及系统,用于解决上述现有技术中ACL模板及ACL规则配置单一、不灵活的问题。为实现上述目标及其他相关目标,本专利技术提供一种ACL配置方法,包括:创建对应ACL模板的预设时间段;绑定所述预设时间段及所述ACL模板,并绑定所述ACL模板至路由交换设备的端口,以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效。优选的,所述预设时间段包括:周期性时间段、非周期性时间段。优选的,所述ACL配置方法,还包括:删除未绑定的预设时间段。优选的,所述限定所述ACL模板在所绑定的预设时间段内、在所绑定的端口生效,包括:所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板未生效,将所述ACL模板下发至所述路由交换设备的驱动中;所述ACL模板的当前时间在所绑定的预设时间段之外,且所在ACL模板已生效,将该ACL模板从所述路由交换设备的驱动中删除;所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板已生效,则不加以变化;所述ACL模板的当前时间在所绑定的预设时间段之外,且所述ACL模板未生效,则不加以变化。优选的,所述ACL模板中含有多个ACL规则;所述多个ACL规则在ACL模板中为可调整先后顺序的,以供调整ACL规则的优先级。优选的,所述ACL配置方法,包括:提取所述端口接收数据帧中的指定字节,其中,所述指定字节指的是:通过规则字符串掩码、对应所述数据帧结构的指定偏移量在所述数据帧前80个字节中提取的任意字节;根据所提取指定字节和ACL模板中规则的字符串进行比较,以过滤出匹配的数据帧。为实现上述目标及其他相关目标,本专利技术提供一种ACL配置系统,包括:时间段创建模块,用于创建对应ACL模板的预设时间段;绑定模块,用于绑定所述预设时间段及所述ACL模板,并绑定所述ACL模板至路由交换设备的端口,以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效。优选的,所述预设时间段包括:周期性时间段、非周期性时间段。优选的,所述绑定模块,还用于删除未绑定的预设时间段。优选的,所述限定所述ACL模板在所绑定的预设时间段内、在所绑定的端口生效,包括:所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板未生效,将所述ACL模板下发至所述路由交换设备的驱动中;所述ACL模板的当前时间在所绑定的预设时间段之外,且所在ACL模板已生效,将该ACL模板从所述路由交换设备的驱动中删除;所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板已生效,则不加以变化;所述ACL模板的当前时间在所绑定的预设时间段之外,且所述ACL模板未生效,则不加以变化。优选的,所述ACL模板中含有多个ACL规则;所述多个ACL规则在ACL模板中为可调整先后顺序的,以供调整ACL规则的优先级。优选的,所述ACL配置系统,包括:提取模块,用于提取所述端口接收数据帧中的指定字节,其中,所述指定字节指的是:通过规则字符串掩码、对应所述数据帧结构的指定偏移量在所述数据帧前80个字节中提取的任意字节;比较模块,用于根据所提取指定字节和ACL模板中规则的字符串进行比较,以过滤出匹配的数据帧。如上所述,本专利技术提供一种ACL配置方法及系统,通过创建对应ACL模板的预设时间段,进而绑定所述预设时间段及所述ACL模板,并绑定所述ACL模板至路由交换设备的端口,以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效,同时,ACL模板内的规则也是可以调整先后位置的,实现灵活配置ACL及ACL规则的目的,加强了ACL的管理效率,在实际的应用中对运营商的管理和计费能够更好的支持。附图说明图1显示为本专利技术的ACL配置方法的一实施例的步骤流程示意图。图2显示为本专利技术的ACL配置方法的一实施例的步骤流程示意图。图3显示为本专利技术的ACL配置方法的一实施例的步骤流程示意图。图4显示为本专利技术的ACL配置系统的一实施例的结构示意图。元件标号说明1ACL配置系统11时间段创建模块12绑定模块S1~S2步骤流程具体实施方式以下通过特定的具体实例说明本专利技术的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本专利技术的其他优点与功效。本专利技术还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发本文档来自技高网...
【技术保护点】
一种ACL配置方法,其特征在于,包括:创建对应ACL模板的预设时间段;绑定所述预设时间段及所述ACL模板,并绑定所述ACL模板至路由交换设备的端口,以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效。
【技术特征摘要】
1.一种ACL配置方法,其特征在于,包括:创建对应ACL模板的预设时间段;绑定所述预设时间段及所述ACL模板,并绑定所述ACL模板至路由交换设备的端口,以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效;所述ACL模板中含有多个ACL规则;所述多个ACL规则在ACL模板中为可调整先后顺序的,以供调整ACL规则的优先级;提取所述端口接收数据帧中的指定字节,其中,所述指定字节指的是:通过规则字符串掩码、对应数据帧结构的指定偏移量在所述数据帧前80个字节中提取的任意字节;根据所提取指定字节和ACL模板中规则的字符串进行比较,以过滤出匹配的数据帧。2.根据权利要求1所述的ACL配置方法,其特征在于,所述预设时间段包括:周期性时间段、非周期性时间段。3.根据权利要求1所述的ACL配置方法,其特征在于,还包括:删除未绑定的预设时间段。4.根据权利要求1所述的ACL配置方法,其特征在于,所述限定所述ACL模板在所绑定的预设时间段内、在所绑定的端口生效,包括:所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板未生效,将所述ACL模板下发至所述路由交换设备的驱动中;所述ACL模板的当前时间在所绑定的预设时间段之外,且所在ACL模板已生效,将该ACL模板从所述路由交换设备的驱动中删除;所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板已生效,则不加以变化;所述ACL模板的当前时间在所绑定的预设时间段之外,且所述ACL模板未生效,则不加以变化。5.一种ACL配置系统,其特征在于,...
【专利技术属性】
技术研发人员:胡俊,刘启林,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。