专利名称::访问控制列表应用的生成方法及装置的制作方法
技术领域:
:本发明涉及通信
技术领域:
,特别涉及一种访问控制列表应用的生成方法及装置。
背景技术:
:访问控制列表(ACL,AccessControlList)技术用来对通过设备端口的报文进行控制,例如读耳又通iti殳备端口的报文的源互洱关网寸办i义(IP,InternetProtocol)地址、目的IP地址、源端口号、目的端口号、协议类型等,然后根据预设的规则对报文进行过滤,从而达到对访问进行控制的目的。随着ACL技术的不断发展,其功能已经不再局限于单一的过滤控制,可以发展为多种ACL应用,例如端口ACL(PortACL)、策略路由(RtMap,RouteMap)等。若待控制网络内存在N条报文,在网络规划初期,可以根据报文的五元组信息(源IP地址、目的IP地址、源端口号、目的端口号、协议类型),将N条报文划分成M个报文流,其中M^N,每个报文流都对应一个ACL匹配条件集合,该ACL匹配条件集合中包含至少一个ACL匹配条件,若报文满足ACL匹配条件集合中的一个ACL匹配条件,则该才艮文就归属于该ACL匹配条件集合对应的纟艮文流。若用户需要生成两个ACL应用,即ACL应用A和ACL应用B,其中两个ACL应用都针对报文流A进行控制,那么用户生成这两个ACL应用的具体方法为首先针对ACL应用A,用户确定ACL应用A所针对的报文流为报文流A,然后再针对报文流A配置对应的ACL匹配规则集合,将配置好的ACL匹配规则集合存入三态内容可寻址存储器(TCAM,TernaryContentAddressable5Memory)中,将ACL应用A对应的执行策略A存入动态随机存储器(DRAM,DynamicRandom-AccessMemory)中,再将执行策略A与配置的ACL匹配规则集合进行绑定,形成ACL应用A;针对ACL应用B,用户确定出ACL应用B所针对的报文流也为报文流A,此时用户仍需针对报文流A配置对应的ACL匹配规则集合,将配置好的ACL匹配规则集合存入TCAM中,将ACL应用B对应的执4亍策略B存入DRAM中,再将执行策略B与配置的ACL匹配规则集合进行绑定,形成ACL应用B。由上述过程可知,如果执行策略不同的两个ACL应用所针对的报文流相同,即用户需配置的ACL匹配规则集合相同,那么现有的ACL应用的生成方法中,用户必须针对每个ACL应用分别配置该ACL匹配规则集合,这就使得生成ACL应用的效率4交低。
发明内容本发明实施例提供一种访问控制列表应用的生成方法及装置,用以解决现有技术中存在的即使两个ACL应用所针对的报文流相同,用户依然需要针对每个ACL应用分别配置ACL匹配规则集合,造成了生成ACL应用的效率较低的问题。本发明实施例技术方案如下一种访问控制列表应用的生成方法,该方法包括步骤确定待控制网络内的每个报文流分别对应的访问控制列表ACL匹配条件集合;确定用户为每个报文流分别配置的执行策略;针对为每个报文流配置的每个执行策略,将该报文流对应的ACL匹配条件集合与该执行策略绑定,生成与该才艮文流和该4丸行策略对应的ACL应用。一种访问控制列表应用的生成装置,包括第一确定单元,用于确定待控制网络内的每个报文流分别对应的访问控制列表ACL匹配条件集合;第二确定单元,用于确定用户为每个报文流分别配置的执行策略;绑定单元,用于针对第二确定单元确定的用户为每个报文流配置的每个^丸行策略,将第一确定单元确定的该报文流对应的ACL匹配条件集合与该执行策略绑定,生成与该报文流和该执行策略对应的ACL应用。本发明实施例技术方案中,首先确定待控制网络内的每个才艮文流分别对应的ACL匹配条件集合,然后确定用户为每个报文流分别配置的执行策略,针对为每个报文流配置的每个执行策略,将该报文流对应的ACL匹配条件集合与该执行策略绑定,生成与该报文流和该执4亍策略对应的ACL应用,在生成ACL应用时,针对每个报文流,只需要确定一次该报文流对应的ACL匹配条件集合,如果每个报文流对应多个执行策略,即多个ACL应用针对同一个报文流,那么只需要将该报文流对应的ACL匹配条件集合与每个执行策略分别绑定即可,这就有效地提高了生成ACL应用的效率。图l为本发明实施例中,ACL应用的生成方法流程示意图;图2为本发明实施例一中,ACL应用的生成方法具体实现流程示意图;图3为本发明实施例一中,ACL匹配条件集合和ACL应用间关系示意图;图4为本发明实施例二中,ACL应用的生成方法具体实现流程示意图;图5为本发明实施例二中,ACL匹配条件集合和ACL应用间关系示意图;图6为本发明实施例中,ACL应用的生成装置结构示意图。具体实施例方式下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。如图1所示,为本发明实施例中ACL应用的生成方法流程图,其具体处理过程如下步骤11,确定待控制网络内的每个报文流分别对应的ACL匹配条件集合,其中该过程可以但不限于包含下述两种实施情况第一种实施情况,动态生成方式首先确定待控制网络内的每个报文流分别对应的报文流标识信息,然后针对确定出的每个报文流标识信息,在预设的报文流标识信息和ACL匹配条件集合对应关系中,查找与该4艮文流标识信息对应的ACL匹配条4牛集合;第二种实施情况,用户配置方式针对待控制网络内的每个报文流,将该报文流包含的每个报文的属性信息提供给用户,并接收用户根据每个报文的属性信息配置的ACL匹配条件集合。其中报文的属性信息包含下述信息中的至少一个源IP地址信息;目的IP地址信息;源端口号信息;目的端口号信息;协议类型信息。步骤12,确定用户为每个报文流分别配置的执行策略;用户分别为每个报文流配置执行策略,其中每个净艮文流对应至少一个执行策略,且不同报文流对应的执行策略可以相同,例如,报文流10的执行策略为执行策略A和执行策略B,报文流20的执行策略为执行策略C,报文流30的执行策略为执行策略A和执行策略B。步骤13,针对为每个报文流配置的每个执行策略,将该报文流对应的ACL匹配条件集合与该执行策略绑定,生成与该报文流和该执行策略对应的ACL应用。其中将该报文流对应的ACL匹配条件集合与该执行策略绑定,可以但不限于为下述过程首先分别将每个ACL匹配条件集合存入TCAM中,分别将每个执行策略存入DRAM中,然后针对每个报文流,分别生成ACL匹配条件集合的存储位置和各执行策略的存储位置的对应关系,即报文流的ACL匹配条件集合与各执行策略对应存储。现有技术中,针对每个ACL应用都需要配置一次ACL匹配条件集合,如果此时N个ACL应用对应的ACL匹配条件集合一样,N^2,那么TCAM中8就存储了N个该ACL匹配条件集合,这样就浪费了TCAM的资源,本发明实施例中,将每个报文流对应的ACL匹配规则集合都存入了TCAM中,且TCAM中每个报文流对应的ACL匹配条件集合只存储了一次,如果一个报文流需要执行N个不同的执行策略,即N个ACL应用对应的ACL匹配条件集合一样,TCAM中只对该ACL匹配条件集合存储了一次,然后将该ACL匹配条件集合与各个执行策略绑定,从而有效地节省了TCAM的资源。此外,本发明实施例中的ACL应用的生成方法还进一步包括将生成的每个ACL应用提供给用户,确定用户为每个ACL应用分别指定的设备,针对为每个ACL应用指定的每个设备,在该设备上应用该ACL应用,由于存在多个设备所针对的报文流和执行的执行策略都相同的情况,即一个ACL应用应用在多个设备上,那么不必再针对每个应用都配置生成一次ACL应用,只需生成ACL应用后,将该ACL应用绑定到多个设备上。本发明实施例中的设备可以为端口级设备、单板级设备或机架级设备。本发明实施例中,若用户为多个报文流配置了相同的执行策略,那么可以在确定出用户为每个报文流配置的执行策略之后,进一步将执行策略相同的报文流组成一个报文流集合,例如,报文流10和报文流30执行相同的执行策略,则将报文流10和报文流30组成一个报文流集合,针对组成的每个纟艮文流集合,将该报文流集合中的每个报文流对应的ACL匹配条件集合,组成一个ACL匹配条件集合的集合,如果将每个报文流对应的ACL匹配条件集合称为第一ACL匹配条件集合,则组成的ACL匹配条件集合的集合称为第二ACL匹配条件集合,则针对每个报文流集合对应的每个执行策略,将该报文流集合对应的第二ACL匹配条件集合分别与该执行策略绑定,生成与该报文流集合和该执行策略对应的ACL应用,这样针对执行策略相同的报文流,只需要一次绑定即可。由上述处理过程可知,本发明实施例技术方案中,首先确定待控制网络内的每个报文流分别对应的ACL匹配条件集合,然后确定用户为每个报文流分9对为每个报文流配置的每个执行策略,将该报文流对应的ACL匹配条件集合与该执行策略绑定,生成与该净艮文流和该执行策略对应的ACL应用,在生成ACL应用时,针对每个报文流,只需要确定一次该才艮文流对应的ACL匹配条件集合,如果每个报文流对应多个执行策略,即多个ACL应用针对同一个报文流,那么只需要将该报文流对应的ACL匹配条件集合与每个执行策略分别绑定即可,这就有效地提高了生成ACL应用的效率。下面给出更为具体的实施方式。若待控制网络内存在4个报文流,分别为报文流IO、寺艮文流20、报文流30、报文流40,每个报文流都对应一个ACL匹配条件集合,每个ACL匹配条件集合中包含至少一个ACL匹配条件,如图2所示,为本发明实施例一中ACL应用的生成方法具体实现流程图,其具体处理过程如下步骤21,确定每个报文流的标识信息;步骤22,根据确定出的每个报文流的标识信息,在《|艮文流标识信息和ACL匹配条件集合的对应关系中,分别确定出每个报文流的标识信息对应的ACL匹配条件集合,其中报文流标识信息和ACL匹配条件集合的对应关系可以但不限于如表l所示表l:<table>tableseeoriginaldocumentpage10</column></row><table>其中每个ACL匹配条件集合都包含至少一个ACL匹配条件,ACL匹配条件集合10中包含a、b、c三个ACL匹配条件,ACL匹配条件集合20中包含了d、e两个ACL匹配条件,ACL匹配条件集合30中包含了f、g、h、i四个ACL匹配条件,ACL匹配条件集合40中包含了j、k两个ACL匹配条件。步骤23,将每个ACL匹配条件集合存入TCAM中,其中ACL匹配条件集合10的存储位置为存储位置Tl,ACL匹配条件集合20的存储位置为存储位置T2,ACL匹配条件集合30的存储位置为存储位置T3,ACL匹配条件集合40的存储位置为存储位置T4;步骤24,确定用户为每个报文流分别配置的执行策略,其中用户为报文流10配置的执行策略为执行策略A,为报文流20配置的执行策略为执行策略B,为报文流30配置的执行策略为执行策略C,为报文流40配置的执行策略为执行策略D;步骤25,将每个执行策略存入DRAM中,其中执行策略A的存储位置为存储位置DA,执行策略B的存储位置为存储位置DB,执行策略C的存储位置为存储位置DC,执行策略D的存储位置为存储位置DD;步骤26,针对每个报文流,生成ACL匹配条件集合的存储位置和各执行策略的存储位置的对应关系,即分别将该报文流的ACL匹配规则集合和该报文流的每个执行策略绑定,生成与该执行策略对应的ACL应用,将ACL匹配规则集合10与执行策略A绑定,生成ACL应用A,将ACL匹配规则集合20与执行策略B绑定,生成ACL应用B,将ACL匹配规则集合30与执行策略C绑定,生成ACL应用C,将ACL匹配规则集合40与执行策略D绑定,生成ACL应用D;其中,ACL匹配条件集合的存储位置和执行策略的存储位置的对应关系可以但不限于如表2所示表2:ACL匹配条件集合的存储位置执行策略的存储位置TlDAT2DBT3DC11步骤27,将生成的每个ACL应用提供给用户;步骤28,确定用户为每个ACL应用分别指定的设备,用户为ACL应用A指定的设备为设备A,为ACL应用B指定的设备为设备B,为ACL应用C指定的设备为设备C,为ACL应用D指定的设备为设备D;步骤29,针对为每个ACL应用指定的每个设备,在该设备上应用该ACL应用,即在设备A上应用ACL应用A,在设备B上应用ACL应用B,在设备C上应用ACL应用C,在设备D上应用ACL应用D。如图3所示,本发明实施例一中的ACL匹配条件集合和ACL应用间关系示意图。若待控制网络内存在4个报文流,分别为报文流IO、才艮文流20、报文流30、报文流40,每个报文流都对应一个ACL匹配条件集合,每个ACL匹配条件集合中包含至少一个ACL匹配条件,如图4所示,为本发明实施例二中ACL应用的生成方法具体实现流程图,其具体处理过程如下步骤41,确定每个才艮文流的标识信息;步骤42,根据确定出的每个报文流的标识信息,在报文流标识信息和第一ACL匹配条件集合的对应关系中,分别确定出每个报文流的标识信息对应的第一ACL匹配条件集合,其中第一ACL匹配条件集合10中包含a、b、c三个ACL匹配条件,第一ACL匹配条件集合20中包含了d、e两个ACL匹配条件,第一ACL匹配条件集合30中包含了f、g、h、i四个ACL匹配条件,第一ACL匹配条件集合40中包含了j、k两个ACL匹配条件,其中才艮文流标识信息和ACL匹配条件集合的对应关系可以但不限于如表1所示;步骤43,将每个第一ACL匹配条件集合存入TCAM中,其中第一ACL匹配条件集合10的存储位置为存储位置Tl,第一ACL匹配条件集合20的存储位置为存储位置T2,第一ACL匹配条件集合30的存储^f立置为存储位置T3,第一ACL匹配条件集合40的存储位置为存储位置T4;步骤44,确定用户为每个报文流分别配置的执行策略,其中用户为报文流10配置的执行策略为执行策略A和执行策略B,为才艮文流20配置的执行策略为执行策略C和执行策略D,为报文流30配置的执行策略为执行策略A和执行策略B,为报文流40配置的执行策略为执行策略C和扭J亍策略D;步骤45,将每个执行策略存入DRAM中,其中执行策略A的存储位置为存储位置DA,执行策略B的存储位置为存储位置DB,执行策略C的存储位置为存储位置DC,执行策略D的存储位置为存储位置DD;步骤46,将执行策略相同的报文流组成报文流集合,将报文流10和报文流30组成报文流集合13,将纟艮文流20和纟艮文流40组成4艮文流集合24;步骤47,针对每个报文流集合,将每个报文流对应的第一ACL匹配条件集合组成一个第二ACL匹配条件集合,第一ACL匹配条件集合IO和第一ACL匹配条件集合30组成第二ACL匹配条件集合13,第一ACL匹配条件集合20和第一ACL匹配条件集合40组成第二ACL匹配条件集合24;步骤48,针对每个报文流集合,生成第二ACL匹配条件集合中各第一ACL匹配条件集合的存储位置和各执行策略的存储位置的对应关系,即将第二ACL匹配条件集合分别与每个执行策略绑定,生成与该执行策略对应的ACL应用,将第二ACL匹配规则集合13分别与执行策略A和执行策略B绑定,生成ACL应用A和ACL应用B,将第二ACL匹配规则集合24与执行策略C和执行策略D绑定,生成ACL应用C和ACL应用D;其中,第二ACL匹配条件集合的存储位置和执行策略的存储位置的对应关系可以但不限于如表3所示表3:第二ACL匹配条件集合存储位置执行策略存储位置TlT2DADB13<table>tableseeoriginaldocumentpage14</column></row><table>步骤49,将生成的每个ACL应用提供给用户;步骤410,确定用户为每个ACL应用分别指定的i殳备,用户为ACL应用A指定的设备为设备A,为ACL应用B指定的设备为设备B,为ACL应用C指定的设备为设备C,为ACL应用D指定的设备为设备D;步骤411,针对为每个ACL应用指定的每个设备,在该设备上应用该ACL应用,即在设备A上应用ACL应用A,在设备B上应用ACL应用B,在设备C上应用ACL应用C,在设备D上应用ACL应用D。如图5所示,本发明实施例二中的ACL匹配条件集合和ACL应用间关系示意图。相应的,本发明实施例还提供一种ACL应用的生成装置,如图6所示,包括第一确定单元61、第二确定单元62和绑定单元63,其中第一确定单元61,用于确定待控制网络内的每个报文流分别对应的ACL匹配条件集合;第二确定单元62,用于确定用户为每个报文流分别配置的执行策略;绑定单元63,用于针对第二确定单元62确定的用户为每个报文流配置的每个执行策略,将第一确定单元61确定的该报文流对应的ACL匹配条件集合与该执行策略绑定,生成与该报文流和该执行策略对应的ACL应用。较佳地,第一确定单元61具体包括确定子单元和查找子单元,其中确定子单元,用于确定待控制网络内的每个报文流分别对应的报文流标识信息;查找子单元,用于针对确定子单元确定出的每个报文流标识信息,在预设的报文流标识信息和ACL匹配条件集合对应关系中,查找与该才艮文流标识信息对应的ACL匹配条件集合。较佳地,第一确定单元61具体包括提供子单元和接收子单元,其中提供子单元,用于针对待控制网络内的每个报文流,将该报文流包含的每个报文的属性信息提供给用户;接收子单元,用于针对待控制网络内的每个报文流,接收用户根据每个报文的属性信息配置的ACL匹配条件集合。较佳地,绑定单元63具体包括第一存储子单元、第二存4诸子单元和生成子单元,其中第一存储子单元,用于分别将每个ACL匹配条件集合存入TCAM中;第二存储子单元,用于分别将每个执行策略存入DRAM中;生成子单元,用于针对每个报文流,分别生成ACL匹配条件集合的存储位置和各执行策略的存储位置的对应关系。较佳地,上述ACL应用的生成装置还包括提供单元、第三确定单元和应用单元,其中提供单元,用于将绑定单元63将ACL匹配条件集合和执行策略绑定后生成的每个ACL应用提供给用户;第三确定单元,用于确定用户为每个ACL应用分别指定的设备;应用单元,用于针对第三确定单元确定出的用户为每个ACL应用指定的每个设备,在该设备上应用该ACL应用。明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。权利要求1、一种访问控制列表应用的生成方法,其特征在于,包括确定待控制网络内的每个报文流分别对应的访问控制列表ACL匹配条件集合;确定用户为每个报文流分别配置的执行策略;针对为每个报文流配置的每个执行策略,将该报文流对应的ACL匹配条件集合与该执行策略绑定,生成与该报文流和该执行策略对应的ACL应用。2、如权利要求1所述的访问控制列表应用的生成方法,其特征在于,确定待控制网络内的每个报文流分别对应的ACL匹配条件集合,具体包括确定待控制网络内的每个报文流分别对应的报文流标识信息;针对确定出的每个报文流标识信息,在预设的报文流标识信息和ACL匹配条件集合对应关系中,查找与该报文流标识信息对应的ACL匹配条件集合。3、如权利要求1所述的访问控制列表应用的生成方法,其特征在于,确定待控制网络内的每个报文流分别对应的ACL匹配条件集合,具体包括针对待控制网络内的每个报文流分别执行将该报文流包含的每个报文的属性信息提供给用户;接收用户根据每个报文的属性信息配置的ACL匹配条件集合。4、如权利要求3所述的访问控制列表应用的生成方法,其特征在于,报文的属性信息包含下述信息中的至少一个源互联网协议IP地址信息;目的IP地址信息;源端口号信息;目的端口号信息;协议类型信息。5、如权利要求1所述的访问控制列表应用的生成方法,其特征在于,将该报文流对应的ACL匹配条件集合与该执行策略绑定,具体包括分别将每个ACL匹配条件集合存入三态内容可寻址存储器TCAM中;分别将每个执行策略存入动态随机存储器DRAM中;针对每个报文流,分别生成ACL匹配条件集合的存储位置和各执行策略的存储位置的对应关系。6、如权利要求1所述的访问控制列表应用的生成方法,其特征在于,还包括将生成的每个ACL应用提供给用户;确定用户为每个ACL应用分别指定的设备;针对为每个ACL应用指定的每个设备,在该设备上应用该ACL应用。7、一种访问控制列表应用的生成装置,其特征在于,包括第一确定单元,用于确定待控制网络内的每个报文流分别对应的访问控制列表ACL匹配条件集合;第二确定单元,用于确定用户为每个报文流分别配置的执行策略;绑定单元,用于针对第二确定单元确定的用户为每个报文流配置的每个执行策略,将第一确定单元确定的该报文流对应的ACL匹配条件集合与该执行策略绑定,生成与该报文流和该执行策略对应的ACL应用。8、如权利要求7所述的访问控制列表应用的生成装置,其特征在于,第一确定单元具体包括确定子单元,用于确定待控制网络内的每个报文流分别对应的报文流标识信息;查找子单元,用于针对确定子单元确定出的每个^^文流标识信息,在预设的报文流标识信息和ACL匹配条件集合对应关系中,查找与该才艮文流标识信息对应的ACL匹配条件集合。9、如权利要求7所述的访问控制列表应用的生成装置,其特征在于,第一确定单元具体包括提供子单元,用于针对待控制网络内的每个报文流,将该报文流包含的每个报文的属性信息提供给用户;接收子单元,用于针对待控制网络内的每个报文流,接收用户根据每个报文的属性信息配置的ACL匹配条件集合。10、如权利要求7所述的访问控制列表应用的生成装置,其特征在于,绑定单元具体包括第一存储子单元,用于分别将每个ACL匹配条件集合存入三态内容可寻址存储器TCAM中;第二存储子单元,用于分别将每个执行策略存入动态随机存储器DRAM中;生成子单元,用于针对每个报文流,分别生成ACL匹配条件集合的存储位置和各执行策略的存储位置的对应关系。11、如权利要求7所述的访问控制列表应用的生成装置,其特征在于,还包括提供单元,用于将绑定单元将ACL匹配条件集合和执行策略绑定后生成的每个ACL应用提供给用户;第三确定单元,用于确定用户为每个ACL应用分别指定的设备;应用单元,用于针对第三确定单元确定出的用户为每个ACL应用指定的每个设备,在该设备上应用该ACL应用。全文摘要本发明公开了一种访问控制列表应用的生成方法,该方法包括确定待控制网络内的每个报文流分别对应的访问控制列表ACL匹配条件集合,确定用户为每个报文流分别配置的执行策略,针对为每个报文流配置的每个执行策略,将该报文流对应的ACL匹配条件集合与该执行策略绑定,生成与该报文流和该执行策略对应的ACL应用。采用本发明技术方案,解决了现有技术中存在的即使两个ACL应用所针对的报文流相同,用户依然需要针对每个ACL应用分别配置ACL匹配规则集合,造成了生成ACL应用的效率较低的问题。文档编号H04L12/56GK101651623SQ200910161959公开日2010年2月17日申请日期2009年9月7日优先权日2009年9月7日发明者王幸平申请人:中兴通讯股份有限公司