专利名称:网络设备中基于接口的网络访问控制方法
技术领域:
本发明涉及一种网络访问控制技术,尤其涉及一种网络设备中基于接口的网络访问控制方法。
为了实现包过滤,首先要配置一些规则来规定什么样的数据包被过滤掉、什么样的数据包可以通过,这些规则称为访问控制列表(ACL);接下来把配置好的规则应用于特定的接口上;最后启动网络访问控制功能。这样,用户就在相应接口配置了网络访问控制功能。
每一条ACL规则由若干条“允许/禁止(permit/deny)”语句组成,ACL规则作为对数据包的区分标准。ACL按内容可分为仅根据源地址匹配数据包的标准访问控制列表(Standard ACL);根据源/目的地址、源/目的端口号、承载的协议类型等匹配数据包的扩展访问控制列表(Extended ACL)。网络设备的每个接口可以分别配置两条标准的ACL规则或扩展的ACL规则,分别用来对进入该接口和从该接口转发的数据包进行包过滤。
现有的访问控制列表只是规定了数据包的源/目的地址、源/目的端口号、承载的协议类型等信息,所以应用了该访问控制列表对数据包的访问进行控制也只能根据这有限的信息实现。如
图1所示网络1到网络n分别通过路由器的接入接口Input 1到Input n接入到路由器,然后从同一个转发接口Output1转发出去访问到共享区域。划分成的不同网络,如网络1、网络2..网络n,通常是代表不同访问权限的用户群,所以在不同的时候可能就需要对各个网络释放不同的权限。而在实际情况中,不能排除部分网络用户为了改变自己的访问权限,将自己的IP地址伪装为某一个访问权限较宽的IP地址,这时,若采用现有的技术仅根据数据包的源/目的地址、源/目的端口号、承载的协议类型等信息来控制不同网络的用户,已经无法实现对该恶意用户进行相应的网络访问控制。
本发明的目的是这样实现的网络设备中基于接口的网络访问控制方法,包括(1)为网络设备的转发接口建立基于接口的访问规则,访问规则中配置了网络设备入接口相对该转发接口的访问规则;(2)获取通过该转发接口的数据包进入网络设备时所经过的入接口的接口信息;
(3)将接口信息与该转发接口所配置的网络设备入接口的访问规则相匹配,确定数据包的可访问性。
所述的步骤(1)包括(11)根据需要确定通过从各个入接口进入网络设备的数据包是否可以通过相应的转发接口转发出去;(12)将上述规则通过基于接口的访问控制列表建立并应用于相应的接口。
所述的步骤(2)包括(21)数据包经网络设备相应入接口进入网络设备;(22)将该入接口的接口信息加载至数据包的数据结构中;(23)数据包经过网络设备的转发接口时调用上述接口信息。
所述的步骤(3)包括(31)将该入接口的接口信息与该转发接口所配置的访问规则相匹配,判断数据包是否可以通过该转发接口转发,如果可以,执行步骤(32),否则,执行步骤(33);(32)将数据包通过该转发接口转发;(33)将数据包丢弃。
所述的配置网络设备入接口相对该转发接口的访问规则包括配置基于接口的访问控制规则和该规则的有效时间段。
所述的配置网络设备入接口相对该接口的访问规则包括配置基于接口的访问控制规则、该规则的有效时间段和是否对相应的数据包做日志。
由上述技术方案可以看出,本发明在现有的网络访问控制技术基础上又增加了基于接口的网络访问控制规则,使进入网络设备的数据包可以根据其进入时所经过接口的接口信息,进一步确定其网络可访问性,从而可对通过网络设备不同接口接入的不同网络进行分别控制管理。本发明实现了在IP地址相同的情况下依然可以对具有不同网络访问权限的网络用户分别进行网络访问控制,有效地防止了部分网络用户恶意通过伪装IP地址来改变自己的访问权限,从而大大提高了网络访问控制的可靠性。
访问控制规则通过基于接口的访问控制列表的形式配置于网络设备中相应的接口上,通过该转发接口的数据包均需遵守为该转发接口配置的基于接口的访问控制列表中的访问控制规则。
所述的基于接口的访问控制列表具体通过下述命令进行配置access-list access-list-number{deny|permit}interface{interface-name|any}[log][time-range time-range-name]其中“access-list”为建立访问控制列表命令;“access-list-number”为指定访问控制列表序号,对于基于接口的访问控制列表的序号为1000至1199间数字;“{deny|permit}”为指定可访问性为禁止或允许,“Deny”为丢弃符合条件的数据包,“Permit”通过符合条件的数据包;“interface{interface-name|any}”用于指定数据包进入网络设备所经过的接口名或指定为所有接口,即指定允许或禁止从名字为“interface-name”的入接口或从任意入接口“any”进入网络设备的数据包的转发;“log”为可选参数,是否对符合条件的数据包做日志,日志内容包括ACL规则的序号,数据包通过或被丢弃,数据包的数目;“time-range time-range-name”指定这条ACL规则在该时间段内有效。
网络设备的用户除了可以为每个接口配置一条标准的或扩展的ACL外,同时还可以增加配置一条基于接口的ACL。用户通过下述配置命令ip access-group{access-list-number|name}{in|out}no ip access-group{access-list-number|name}{in|out}即可将相应访问控制列表的访问控制规则应用到相应的转发接口上。其中“no”表示删除相应的设置,即令相应访问控制列表的访问控制规则对该转发接口无效;“access-list-number”为ACL规则的序号,在1-199之间表示标准或者扩展的ACL规则;1000-1999表示基于接口过滤的ACL规则;“name”ACL规则的名字,字符串;“in”表示该访问控制规则控制从接口收上来的数据包;“out”表示该访问控制规则控制从接口转发的数据包,基于接口的ACL规则,即序号为1000到1999的ACL规则,只能用参数“out”。
然后,获取通过该转发接口的数据包进入网络设备时所经过的入接口的接口信息,见步骤2。获取数据包进入网络设备时经过的入接口的接口信息是通过以下过程实现的当数据包经网络设备的相应入接口进入网络设备时,将该入接口的接口信息加载到数据包的数据结构中,当数据包经过网络设备的转发接口时则调用上述接口信息。
最后,将所调用的接口信息与该转发接口所配置的各个入接口的可访问性的访问规则相匹配,确定数据包的可访问性,包括将获取入接口的接口信息与步骤1所配置的各个入接口的可访问性的访问规则相匹配,判断数据包是否可以通过该转发接口转发,见步骤3;如果可以,将数据包通过该转发接口转发,见步骤4;否则,将该数据包丢弃,见步骤5。
通过上述过程,用户便可以实现对通过同一网络设备不同入接口接入网络的不同网络群体进行分级管理。
例如,用户应用的路由器有三个接口,分别是Serial3/0/0、Serial4/0/0、Ethernet6/0/0,若需要在接口Ethernet6/0/0的OUT方向上应用下述访问控制规则允许从接口Serial3/0/0进入的数据包通过该转发接口转发,拒绝从接口Serial4/0/0进入的数据包从该接口转发,具体配置命令如下Access-list 1000 permit interface serial3/0/0Access-list 1000 permit interface serial3/0/0Ip access-group 1000 out通过上述相应的配置命令即可将相应的基于接口的访问控制规则配置到路由器的Ethernet6/0/0接口上,并对通过该接口的数据包按照该访问控制规则进行网络访问控制。
权利要求
1.一种网络设备中基于接口的网络访问控制方法,包括(1)为网络设备的转发接口建立基于接口的访问规则,访问规则中配置了网络设备入接口相对该转发接口的访问规则;(2)获取通过该转发接口的数据包进入网络设备时所经过的入接口的接口信息;(3)将接口信息与该转发接口所配置的网络设备入接口的访问规则相匹配,确定数据包的可访问性。
2.根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征在于所述的步骤(1)包括(11)根据需要确定通过从入接口进入网络设备的数据包是否可以通过相应的转发接口转发出去;(12)将上述规则通过基于接口的访问控制列表建立并应用于相应的接口。
3.根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征在于所述的步骤(2)包括(21)数据包经网络设备相应入接口进入网络设备;(22)将该入接口的接口信息加载至数据包的数据结构中;(23)数据包经过网络设备的转发接口时调用上述接口信息。
4.根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征所述的步骤(3)包括(31)将该入接口的接口信息与该转发接口所配置的访问规则相匹配,判断数据包是否可以通过该转发接口转发,如果可以,执行步骤(32),否则,执行步骤(33);(32)将数据包通过该转发接口转发;(33)将数据包丢弃。
5.根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征在于所述的配置网络设备入接口相对该转发接口的访问规则包括配置基于接口的访问控制规则和该规则的有效时间段。
6.根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征在于所述的配置网络设备入接口相对该接口的访问规则包括配置基于接口的访问控制规则、该规则的有效时间段和是否对相应的数据包做日志。
全文摘要
本发明涉及一种网络设备中基于接口的网络访问控制方法,包括首先,为网络设备的转发接口建立基于接口的访问规则,如路由器的转发接口,访问规则中分别配置了网络设备入接口的可访问性;然后,获取通过该转发接口的数据包进入网络设备时所经过的入接口的信息;最后,将接口信息与该转发接口所配置的各个入接口可访问性的访问规则相匹配,确定数据包的可访问性。本发明可对通过网络设备不同入接口接入的不同网络进行分别控制管理,实现了在IP地址相同的情况下依然可以对具有不同网络访问权限的网络用户分别进行网络访问控制,有效地防止了部分网络用户恶意通过伪装IP地址改变自己的访问权限,提高了网络访问控制的可靠性。
文档编号H04L29/02GK1412996SQ0211710
公开日2003年4月23日 申请日期2002年4月15日 优先权日2002年4月15日
发明者王宁, 胡建元 申请人:华为技术有限公司