专利名称:控制网络设备的访问控制列表的方法及装置的制作方法
技术领域:
本发明涉及控制网络设备的访问控制列表(Access Control List, ACL) 的方法及装置,尤其涉及通过简单网络管理协议(Simple Network Management Protocol, S丽P )控制网络设备的ACL的方法及装置。
背景技术:
随着因特网的高速发展,网络安全成为人们关注的重点。访问控制列 表(Access Control List, ACL)是路由器接口的指令列表,用来控制端 口进出的数据包,是提供网络安全访问的基本手段。
一般网络设备中的ACL配置修改,基本上都要求网管人员手动的在网 络设备中输入大量复杂的配置命令,从而降低了网络设备的工作效率。
发明内容
本发明的目的在于提供控制网络设备的ACL的方法及装置,降低ACL 的配置复杂度,进而提高网络设备的工作效率。
本发明提供一种控制网络设备的ACL的方法,将所述网络设备的ACL 映射到S丽P的管理信息库MIB中,得到ACL树,该方法包括
通过所述S腿P读取所述MIB中的ACL初于;
根据所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管 理各节点的参数。
本发明还提供一种控制网络设备的ACL的装置,将所述网络设备的ACL 映射到S丽P的管理信息库MIB中,得到ACL树,该装置包括 读耳又单元,用于通过所述S丽P读取所述MIB中的ACL树; 控制单元,用于根据所述读取单元读取的所述ACL树中各节点的类型,
4按照从子节点到父节点的顺序,管理各节点的参数。
采用本发明提供的S丽P控制网络设备的ACL的方法及装置,可以通过 S丽P控制网络设备的ACL,相对于网管人员人工输入大量的配置命令控制 网络设备的ACL的技术方案,降低ACL的配置复杂度,进而提高网络设备 的工作效率。
图1示出本发明通过SNMP控制网络设备的ACL的方法的流程示意图2示出MIB中ACL树的结构示意图3示出通过S應P对网络设备的ACL进行查询的示意图4示出通过S画P对网络设备的ACL及ACL规则进行修改的示意图5示出通过SNMP对网络设备的ACL规则进行删除的示意图6示出通过SNMP对网络设备的ACL进4亍删除的示意图7示出本发明通过S丽P控制网络设备的ACL的装置。
具体实施例方式
下面结合附图对本发明的具体实施方式
做详细阐述。本发明通过将 ACL映射到S丽P的管理信息库(MIB),得到ACL树,并使得MIB中的ACL 树与网络设备中的ACL进行统一,从而可以通过S画P控制MIB中的ACL 树,进而达到控制网络设备的ACL的目的。
图1示出本发明通过S画P控制网络设备的ACL的方法的流程示意图。 请参阅图l,将网络设备的ACL映射到SNMP的管理信息库MIB中,得到ACL 杉于,该方法包4舌
101、 通过S画P读取MIB中的ACL树;
102、 根据ACL树中各节点的类型,按照从子节点到父节点的顺序,管 理各节点的参数。
图2示出MIB中ACL树的结构示意图。请参阅图2, ACL树中的第一级 子节点包括ACL—Summary节点、ACL—Info—Table节点和ACL_Rule_Table 节点。其中,ACL—Summary即为网络设备的ACL概要,ACL—S丽mary中包括但 不限于该网络设备中已经配置的ACL总数,已经配置的^f吏用name的ACL 总数,标准IPv4_ACL规则总数,扩展IPv4_ACL规则总数等。扩展IPv4 —ACL 规则总数可以包括但不限于标准IPv6—ACL规则总数以及标准IPv6-ACL规 则总数等。
ACL一Info-Table即为该网络设备的ACL基本信息,ACL_Info—Table 中包括但不限于:该网络设备中ACL的ACL一Number, ACL一Name, ACL—Alias, ACL—State, ACL_Mode, ACL—Rule等。
其中,ACL一N腿ber为该ACL的ID编号。ACL—Name为该ACL的Name 名称。ACL-Alias为该ACL的别名。ACL-State为该ACL的状态。当该ACL 的状态为destroy的时候,将该ACL删除,并同时删除该ACL所包含的rule (规则)。ACL_Mode为该ACL的冲莫式。ACL_Rule为该ACL的rule总凄t。
ACL—Rule_Table即为该网络设备的ACL 4见则信息,ACL_Rule_TaMe 中包括^f旦不限于该网络i殳备中ACL失见则的ACL_Rule-Number , ACL_Rule_Souce_IP, ACL—Rule_Souce_mask, ACL—Rule_Destination—IP, ACL-Rule—Destination—mask ,ACL—Rule—Mode ,ACL—Rule—State , ACL』umber等。
其中,ACL_Rule_Number为该ACLMJ'J的ID编号。ACL—Rule_Souce_IP 为该ACL MJ'J中源IP地址。ACL_Rule_Souce—mask为该ACL ^见则中源IP 地址的子网掩码。ACL—Rule—Destination—IP为该ACL规则中目的IP地址。 ACL_Rule_Destination—mask为该ACL规则中目的IP地址的子网掩码。 ACL—Rule—Mode为该ACL规则的模式,分别为禁止(deny )和允许(permit) 两种^f莫式选择。ACL—Rule — State为该ACL MJ3'j的状态,当该状态为石皮坏 (destroy)的时4'美,删除该条^见则。ACL—Number为该ACL失见则相对应的 ACL的ID编号。该值用来表示和确定此ACL规则是属于哪个具体ACL表项 的。
其中绝大部分的ACL节点应该是容许被set操作赋值的。 对于不同类型的节点,通过SNMP控制MIB中的ACL初于,/人而实现对网 络设备的ACL进行控制的方式是不同的对于ACL—Su誦ary节点而言,由于ACL—S咖mary节点一^i没有子节点, 因此,对ACL_Summary节点及其子节点的管理主要是查询,即查询 ACL_Summary节点内的相关信息,得到网络设备的ACL信息总汇。
对于ACL_Info-Table节点而言,其子节点主要是ACL基本信息,对于 这些子节点参数的修改必须是合法的,即子节点处于可以修改的状态(未 处于应用状态)以及修改后的参数是被允许的参数,如果子节点处于不可 修改的状态或者修改后的参数是被禁止的参数,则修改不成功,返回错误 信息。具体的过程包括
查询ACL—Info—Table节点内的相关信息,得到网络设备的ACL基本信
判断ACL_Info_Table节点的子节点是否处于应用状态;
当ACL_Info_Table节点的子节点未处于应用状态时,4姿照/人子节点到
父节点的顺序,修改相应子节点的参数。
对于ACL_Rule_Table节点而言,其子节点主要是ACL规则信息,具体
的过程包括
查询ACL—Rule —Table节点内的相关信息,得到网络设备的ACL规则信
息;
按照从子节点到父节点的顺序J务改ACL-Rule-Table相应子节点的参数。
以上修改可以包括变更或者删除。
图3示出通过S画P对网络设备的ACL进行查询的示意图,请参阅图3:
301、 使用SNMP管理进程对网络i殳备的MIB库进行读操作,即代理进 程收到get操作请求;
302、 代理进程访问MIB库,并向管理进程进行返回信息,返回的信息 包括通过ACL—Summary节点内的相关信息,可以了解到当前该网络设备 的ACL信息总汇;通过ACL—Info-Table节点内的相关信息,可以了解到当 前该网络设备的ACL的具体信息,如ACL的ID编号,ACL名称,ACL的别
7名,ACL的模式,以及ACL目前的状态等;通过ACL—Rule—Table节点内的 相关信息,可以了解到当前该网络设备的具体ACL规则信息。并且可以根 据该ACL规则表中的ACL_Number,这一节点的返回值,确定该规则具体所 属的ACL。
使用SNMP管理进程对网络设备的ACL进行查询才喿作;对已知的ACL规则的 相关节点实例进行set操作,达到修改ACL规则的目的(可以修改规则的 模式deny或者permit,源或目的IP、掩码等等)。请参阅图4:
401、 对已知ACL表项的别名进行i奮改;
402、 修改的ACL表项是否处于应用状态;是则转入步骤403,否则转 入步骤404;
403、 无法修改,或者修改成功后该ACL的状态转为未应用状态;
404、 ^修改成功。
图5示出通过SNMP对网络设备的ACL规则进行删除的示意图。使用 S丽P管理进程对网络i殳备的ACL进行查询操作。请参阅图5:
501、 对已知的ACL规则的相关ACL规则状态(ACL-Rule-State)节点 实例的进行set才喿作,使该^见则的状态为destroy;即,管理进程对已知 ACL—Rule — State进行set才喿作,4务改状态为destroy;
502、 修改成功删除该ACL规则。
图6示出通过S丽P对网络设备的ACL进行删除的示意图。使用S丽P 管理进程对网络设备的ACL进行查询操作。请参阅图6:
601、 对已知的ACL—Info-Table中的相关ACL状态(ACL一State)节点 实例的进行set才喿作,4吏该ACL的状态为destroy;
602、 修改的ACL表相是否处于应用状态,是则转入步骤603,否则转 入步骤604;
603、 无法删除,并返回错误信息;
604、 删除该ACL。
图7示出本发明通过S腿P控制网络设备的ACL的装置。请参阅图7, 将网络设备的ACL映射到S丽P的管理信息库MIB中,得到ACL树,该装置
8包括
读取单元701,用于通过SNMP读取MIB中的ACL树; 控制单元702,用于根据读取单元读取的ACL树中各节点的类型,按 照从子节点到父节点的顺序,管理各节点的参数。 进一步的,控制单元可以包括
分类子单元,用于划分读取单元读取的ACL树中各节点的类型; 第一查询子单元,用于当分类子单元划分的节点为ACL_Summary节点 时,查询ACL-Summary节点内的相关信息,得到网络设备的ACL信息总汇。 进一步的,控制单元还可以包括
第二查询子单元,用于当分类子单元划分的节点为ACL_Info_Table 节点时,查询ACL_Info_Table节点内的相关4言息,得到网络设备的ACL 基本信息;
判断子单元,用于判断第二查询子单元查询到的ACL—Info-Table节点
的子节点是否处于应用状态;
第二修改子单元,用于根据判断子单元的判断结果,当 ACL_Info-Table节点的子节点未处于应用状态时,按照爿Mv子节点到父节点 的顺序,修改相应子节点的参数。
进一步的,控制单元还可以包括
第三查询子单元,用于当分类子单元划分的节点为ACL-Rule-Table 节点时,查询ACL_Rule—Table节点内的相关信息,得到网络设备的ACL 规则信息;
第三修改子单元,用于根据第三查询子单元的查询结果,按照从子节 点到父节点的顺序,修改ACL_Rule-Table相应子节点的参数。
其中,第一查询子单元与第二查询子单元可以独立i殳置,也可以集成 在一起。第一查询子单元与第三查询子单元可以独立设置,也可以集成在 一起。第二查询子单元与第三查询子单元可以独立设置,也可以集成在一 起。第一查询子单元、第二查询子单元和第三查询子单元可以独立设置, 也可以集成在一起。
第二修改子单元和第三修改子单元可以独立设置,也可以集成在一起。本实施例中通过SNMP控制网络设备的ACL的装置可以独立设置,也可 以集成在网络设备中。
采用本发明提供的S應P控制网络设备的ACL的方法及装置,可以通过 S画P控制MIB中的ACL树,从而实现通过SNMP控制网络设备的ACL的目 的,相对于网管人员人工输入大量的配置命令控制网络设备的ACL的技术 方案,降低ACL的配置复杂度,进而提高网络设备的工作效率。
以上所述仅是本发明的具体实施方式
,应当指出,对于本技术领域的 普通技术人员来说,在不脱离本发明原理的前才是下,还可以做出若干改进 和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1、一种控制网络设备的访问控制列表的方法,将所述网络设备的访问控制列表ACL映射到简单网络管理协议SNMP的管理信息库MIB中,得到ACL树,其特征在于,该方法包括通过所述SNMP读取所述MIB中的ACL树;根据所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。
2、 根据权利要求1所述的方法,其特征在于,所述ACL树中的第一级 子节点包括ACL—Summary节点、ACL—Info—Table节点和ACL—Rule—Table节点。
3、 根据权利要求2所述的方法,其特征在于,根据所述ACL树中各节 点的类型,按照从子节点到父节点的顺序,管理各节点的参数包括查询所述ACL—Summary节点内的相关信息,得到所述网络设备的 ACL信息总汇。
4、 根据权利要求2所述的方法,其特征在于,根据所述ACL树中各节 点的类型,按照从子节点到父节点的顺序,管理各节点的参数包括查询所述ACL—Info—Table节点内的相关信息,得到所述网络设备的ACL基本信息;判断所述ACL—Info—Table节点的子节点是否处于应用状态;当所述ACL—Info—Table节点的子节点未处于应用状态时,按照从子节点到父节点的顺序,修改相应子节点的参数。
5、 根据权利要求2所述的方法,其特征在于,根据所述ACL树中各节 点的类型,按照从子节点到父节点的顺序,管理各节点的参数包括查询所述ACL—Rule—Table节点内的相关信息,得到所述网络设备的 ACL规则信息;按照从子节点到父节点的顺序,修改ACL—Rule—Table相应子节点的 参数。
6、 根据权利要求3至5任一项所述的方法,其特征在于,所述修改包 括变更或者删除。
7 、 一种控制网络设备的访问控制列表的装置,将所述网络设备的访问控制列表ACL映射到简单网络管理协议SNMP的管理信息库MIB中,得到ACL树,其特征在于,该装置包括读取单元,用于通过所述S丽P读取所述MIB中的ACL树; 控制单元,用于根据所述读取单元读取的所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。
8、 根据权利要求7所述的装置,其特征在于,所述控制单元包括 分类子单元,用于划分所述读取单元读取的所述ACL树中各节点的类型。
9、 根据权利要求8所述的装置,其特征在于,所述控制单元还包括 第一查询子单元,用于当所述分类子单元划分的节点为ACL一Summary节点时,查询所述ACL—Summary节点内的相关信息,得到所述网络设备 的ACL信息总汇。
10、 根据权利要求8所述的装置,其特征在于,所述控制单元还包括 第二查询子单元,用于当所述分类子单元划分的节点为ACL—Info—Table节点时,查询所述ACL—Info—Table节点内的相关信息,得 到所述网络设备的ACL基本信息;判断子单元,用于判断所述第二查询子单元查询到的所述 ACL—Info—Table节点的子节点是否处于应用状态;第二修改子单元,用于根据所述判断子单元的判断结果,当所述 ACL—Info—Table节点的子节点未处于应用状态时,按照从子节点到父节点 的顺序,修改相应子节点的参数。
11、 根据权利要求8所述的装置,其特征在于,所述控制单元还包括 第三查询子单元,用于当所述分类子单元划分的节点为ACL—Rule—Table节点时,查询所述ACL—Rule—Table节点内的相关信息, 得到所述网络设备的ACL规则信息;第三修改子单元,用于根据所述第三查询子单元的查询结果,按照从 子节点到父节点的顺序,修改ACL_Rule—Table相应子节点的参数。
全文摘要
本发明公开控制网络设备的访问控制列表的方法及装置,其中,该方法将所述网络设备的访问控制列表ACL映射到简单网络管理协议SNMP的管理信息库MIB中,得到ACL树,该方法包括通过所述SNMP读取所述MIB中的ACL树;根据所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。可以通过SNMP控制网络设备的ACL的方法及装置,相对于网管人员人工输入大量的配置命令控制网络设备的ACL的技术方案,降低ACL的配置复杂度,进而提高网络设备的工作效率。
文档编号H04L29/06GK101557312SQ20091010724
公开日2009年10月14日 申请日期2009年5月8日 优先权日2009年5月8日
发明者迪 金 申请人:中兴通讯股份有限公司