利用访问控制列表控制流量的方法和系统的制作方法
【专利摘要】本发明涉及数据通信领域。本发明针对现有交换机只能限制报文转发速率,不能限制总流量的情况,公开了一种利用访问控制列表控制流量的方法。本发明的技术方案中,首先利用访问控制列表的报文匹配功能,同时结合报文数统计功能,定义一个容量桶,当容量桶的容量达到规定阈值时,则对报文进行控制,可以限制报文通过的速度或者禁止报文通过。本发明利用访问控制列表来控制某个时间段进入交换机的流量总量数,客户可以灵活自定义进入交换机的流量。本发明同时公开了利用访问控制列表控制流量的系统。本发明根据不同的匹配字段,可以在交换机上实现基于端口、VLAN或者整个设备流量总量的控制,同时还可以根据数据类型、业务类型等方式组合控制流量总量。
【专利说明】利用访问控制列表控制流量的方法和系统
【技术领域】
[0001]本发明涉及数据通信领域网络通信设备,尤其涉及到访问控制列表(ACL)对某个时间段数据流量总量进行控制的技术。
【背景技术】
[0002]随着互联网的发展,客户网络的中的数据类型更加复杂,视频、语音等大容量数据的交互极大的消耗了用户的带宽。
[0003]在一些应用环境中,需要对某个端口或虚拟局域网(Virtual Local AreaNetwork,简称VLAN)甚至整个交换机的流量进行控制。如在校园网环境中,学校希望限制学生的上网时间,一般情况下,通过限制每位学生每月只能使用固定的流量(校园网包月用户)。当前典型组网环境中,交换机是最靠近用户终端的网络设备,能通过在交换机上实现对终端的数据流量限制,将会带来极大的方便。
[0004]交换机的访问控制列表主要功能是实现对进入交换机或者从交换机发送出去的IP数据流量进行控制,比如可以允许或者拒绝某些流量的进入或者发送;同时,现在业界的主流交换机是通过交换芯片来实现访问控制列表,交换芯片实现方式的好处是不需要CPU (中央处理器)来对报文进行处理,另外交换芯片除了支持对数据流量控制,还支持对数据报文统计、数据流量限速等功能。
[0005]访问控制列表实现原理,通过用户在交换机上自定义流量控制规则,比如允许或者拒绝某些数据流量通过交换机转发的规则,然后交换机将规则写入到交换芯片中,当交换机进行数据转发时,需要去查询该规则表,当数据流量满足该规则表的规则时,则根据自定义的规则的动作(允许或者拒绝)对报文进行处理,从而实现对数据流量的控制。
[0006]在现有交换机上,一般通过服务质量(QOS)来对交换机的流量速率进行控制,比如通过QOS来控制交换机上端口、VLAN等流量速率(每秒钟转发多少字节bit数),如果超过了规定的速率,交换机就将超过的报文丢弃处理,但是现有交换机无法控制自定义时间段允许通过的数据流量总量,例如想控制每天只允许IOOMbit的流量或者每月只允许2Gbbits的流量控制。
【发明内容】
[0007]针对上述技术问题,本发明的目的是提供一种利用访问控制列表控制流量的方法,利用访问控制列表来控制某个时间段进入交换机的流量总量数。
[0008]本发明解决所述技术问题采用的技术方案是,利用访问控制列表控制流量的方法,包括步骤:
[0009]A、利用交换机访问控制列表对进入交换机的IP报文进行匹配;
[0010]B、对匹配成功的报文bit数进行统计,当在设定的时间段该报文bit数达到阈值时,控制所述报文的转发;具体步骤包括:
[0011]B1、定义一个流量桶,每隔一段时间查询一次访问控制列表的统计,并将统计结果相对于上次查询结果增加的部分记录到容量桶中;
[0012]B2、容量桶定义两种状态,激活状态和非激活状态;当容量桶中的bit数<设定阈值时,容量桶处于激活状态,当容量桶中的bit数>设定阈值时,容量桶处于非激活状态;
[0013]B3、容量桶处于激活状态时,访问控制列表生效,允许报文进入交换机转发,并记录进入交换机的报文bit数;容量桶的状态处于非激活状态时,该访问控制列表不生效,不允许报文进入交换机进行转发,不记录进入交换机的bit数。
[0014]进一步的,还包括步骤:
[0015]B4、设置收集容量的时间段,仅在设定的时间段收集容量桶中的报文bit数,并在该时间段后清空容量桶。
[0016]具体的,通过交换芯片控制所述报文的匹配和统计。
[0017]具体的,步骤A中,匹配字段包括:源和目的MAC地址、虚拟局域网号VLAN ID、月艮务质量QOS、源和目的IP地址、协议号、TCP\UDP端口号。
[0018]进一步的,对匹配成功的报文的Bit数进行统计时,对每条访问控制列表的每个条目分别统计。
[0019]本发明的另一个目的是,提供一种利用访问控制列表控制流量的系统,包括匹配模块和统计模块,所述匹配模块利用交换机访问控制列表对进入交换机的IP报文进行匹配,所述统计模块对匹配成功的报文bit数进行统计,当在设定的时间段该报文bit数达到阈值时,控制所述报文的转发;
[0020]所述统计模块具体包括容量桶查询模块、容量桶状态模块和转发控制模块;
[0021]所述容量桶查询模块,用于每隔一段时间查询一次访问控制列表的统计,并将统计结果相对于上次查询结果增加的部分记录到容量桶中;
[0022]所述容量桶状态模块,用于为容量桶定义两种状态,激活状态和非激活状态;当容量桶中的bit数<设定阈值时,容量桶处于激活状态,当容量桶中的bit数>设定阈值时,容量桶处于非激活状态;
[0023]所述转发控制模块,用于容量桶处于激活状态时,访问控制列表生效,允许报文进入交换机转发,并记录进入交换机的报文bit数;容量桶的状态处于非激活状态时,该访问控制列表不生效,不允许报文进入交换机进行转发,不记录进入交换机的bit数。
[0024]进一步的,还包括定时器模块,用于设置收集容量的时间段,仅在设定的时间段收集容量桶中的报文bit数,并在该时间段后清空容量桶。
[0025]具体的,通过交换芯片控制所述报文的匹配和统计。
[0026]具体的,所述匹配模块匹配字段包括:源和目的MAC地址、虚拟局域网号VLAN ID、服务质量QOS、源和目的IP地址、协议号、TCP\UDP端口号。
[0027]进一步的,所述所述统计模块对匹配成功的报文bit数进行统计时,对每条访问控制列表的每个条目分别统计。
[0028]本发明的有益效果是,根据不同的匹配字段,可以在交换机上实现基于端口、VLAN或者整个设备流量总量的控制,同时还可以根据数据类型、业务类型等方式组合控制流量总量。本发明通过在交换机上,最靠近客户端处实现限流,实现方案简单,不需要协议报文交互。进一步的,报文的匹配、统计通过交换芯片来实现,不需要占用CPU的资源,不会降低交换机的工作效率。本发明可以灵活自定义进入交换机的流量,操作灵活,可以基于任何时间段、任何总量的数据流量的控制。
【专利附图】
【附图说明】
[0029]图1是本发明方法流程示意图;
[0030]图2是本发明系统结构示意图。
【具体实施方式】
[0031]下面结合附图及【具体实施方式】,详细描述本发明的技术方案。
[0032]本发明针对现有交换机只能限制报文转发速率,不能限制总流量的情况,提供一种利用访问控制列表来限制数据流量总量的技术方案。在本发明的技术方案中,首先利用访问控制列表的报文匹配功能,同时结合报文数统计功能,定义一个容量桶,当容量桶的容量达到规定阈值时,则对报文进行控制,可以限制报文通过的速度或者禁止报文通过。本发明利用访问控制列表来控制某个时间段进入交换机的流量总量数,客户可以灵活自定义进入交换机的流量。
[0033]如图1所示,本发明利用访问控制列表控制流量的方法包括步骤:
[0034]步骤1、利用交换机访问控制列表对进入交换机的IP报文进行匹配,匹配字段包括:源和目的MAC地址、VLAN ID、Q0S、源和目的IP地址、协议号、TCP\UDP端口号,该匹配方式可以匹配端口、VLAN或者整个交换机的流量,匹配成功的报文则进入下一步操作,匹配失败的报文则进行丢弃处理。
[0035]步骤2、对匹配成功的报文的Bit数进行统计,每条访问控制列表的每个条目可以分别统计。当在设定的时间段该报文bit数达到阈值时,控制所述报文的转发。要实现报文统计和控制,本步骤中需要定义一个容量桶,用于收集访问控制列表的统计的Bit数。定义一个定时器用于控制访问容量桶的时间间隔和需要进行流量控制的时间段。
[0036]具体步骤包括:
[0037]步骤2.1、收集访问控制列表的统计的Bit数,定义一个容量桶,通过定时器每隔一段时间(比如10秒)去查询一次访问控制列表的统计,并将统计结果相对于上次查询结果增加的部分记录到容量桶中;
[0038]步骤2.2、容量桶定义两种状态,激活状态和非激活状态,当容量桶中的bit数<设定阈值时,容量桶处于激活状态,当容量桶中的bit数>设定阈值时,容量桶处于非激活状态,容量桶可以同访问控制列表结合使用。
[0039]步骤2.3、当访问控制列表绑定容量桶时,如果容量桶此时处于激活状态,此时该访问控制列表生效,允许报文进入交换机转发,并记录进入交换机的报文bit数。如果容量桶的状态处于非激活状态,此时该访问控制列表不生效,不允许报文进入交换机进行转发,不记录进入交换机的bit数。
[0040]容量桶处理规则:容量桶状态根据容量桶的实际容量和配置定义的容量之间的关系来变化。当容量桶中的bit数小于设定阈值时,容量桶处于激活状态。这里还可以进一步控制,当容量桶记录的bit数达到某个自定义百分比时(如50%),启用限速功能,对后续的流量进行限速,限速功能通过交换芯片实现,不改变容量桶的状态,依然处于激活状态,当容量桶的容量达到或者超过设定阈值时,容量桶状态发生改变,变成非激活状态。[0041]定时控制规则:该定时器支持自定义配置时间段,比如I小时、I天、I个月或者配置的任意时间段,该定时器需要同容量桶结合使用,如果当前时间处于定时器定义的时间段内,容量桶才收集流量,当定时器的时间到期后,容量桶停止收集流量,并将容量桶的容量清空,重新开始计时。
[0042]本发明中,报文的匹配、统计通过交换芯片来实现,不需要占用CPU的资源,不会降低交换机的工作效率。
[0043]本发明利用访问控制列表控制流量的系统,结构如图2所示,包括匹配模块和统计模块,所述匹配模块利用交换机访问控制列表对进入交换机的IP报文进行匹配,匹配字段包括:源和目的MAC地址、VLAN ID、QOS、源和目的IP地址、协议号、TCP\UDP端口号。所述统计模块对匹配成功的报文bit数进行统计,当在设定的时间段该报文bit数达到阈值时,控制所述报文的转发。所述所述统计模块对匹配成功的报文bit数进行统计时,对每条访问控制列表的每个条目分别统计。
[0044]所述统计模块具体包括容量桶查询模块、容量桶状态模块和转发控制模块;
[0045]所述容量桶查询模块,用于每隔一段时间查询一次访问控制列表的统计,并将统计结果相对于上次查询结果增加的部分记录到容量桶中;
[0046]所述容量桶状态模块,用于为容量桶定义两种状态,激活状态和非激活状态;当容量桶中的bit数<设定阈值时,容量桶处于激活状态,当容量桶中的bit数>设定阈值时,容量桶处于非激活状态;
[0047]所述转发控制模块,用于容量桶处于激活状态时,访问控制列表生效,允许报文进入交换机转发,并记录进入交换机的报文bit数;容量桶的状态处于非激活状态时,该访问控制列表不生效,不允许报文进入交换机进行转发,不记录进入交换机的bit数。
[0048]图2中,还包括定时器模块,用于设置收集容量的时间段,仅在设定的时间段收集容量桶中的报文bit数,并在该时间段后清空容量桶。
[0049]本发明的利用访问控制列表控制流量的系统,通过交换芯片控制所述报文的匹配和统计。
【权利要求】
1.利用访问控制列表控制流量的方法,包括步骤: A、利用交换机访问控制列表对进入交换机的IP报文进行匹配; B、对匹配成功的报文bit数进行统计,当在设定的时间段该报文bit数达到阈值时,控制所述报文的转发;具体步骤包括: B1、定义一个流量桶,每隔一段时间查询一次访问控制列表的统计,并将统计结果相对于上次查询结果增加的部分记录到容量桶中; B2、容量桶定义两种状态,激活状态和非激活状态;当容量桶中的bit数<设定阈值时,容量桶处于激活状态,当容量桶中的bit数>设定阈值时,容量桶处于非激活状态; B3、容量桶处于激活状态时,访问控制列表生效,允许报文进入交换机转发,并记录进入交换机的报文bit数;容量桶的状态处于非激活状态时,该访问控制列表不生效,不允许报文进入交换机进行转发,不记录进入交换机的bit数。
2.根据权利要求1所述的利用访问控制列表控制流量的方法,其特征在于,还包括步骤: B4、设置收集容量的时间段,仅在设定的时间段收集容量桶中的报文bit数,并在该时间段后清空容量桶。
3.根据权利要求1所述的利用访问控制列表控制流量的方法,其特征在于,通过交换芯片控制所述报文的匹配和统计。
4.根据权利要求1~3所述的利用访问控制列表控制流量的方法,其特征在于,步骤A中,匹配字段包括:源和目的MAC地址、虚拟局域网号VLAN ID、服务质量QOS、源和目的IP地址、协议号、TCP\UDP端口号。`
5.根据权利要求4所述的利用访问控制列表控制流量的方法,其特征在于,对匹配成功的报文的Bit数进行统计时,对每条访问控制列表的每个条目分别统计。
6.利用访问控制列表控制流量的系统,包括匹配模块和统计模块,所述匹配模块利用交换机访问控制列表对进入交换机的IP报文进行匹配,所述统计模块对匹配成功的报文bit数进行统计,当在设定的时间段该报文bit数达到阈值时,控制所述报文的转发; 所述统计模块具体包括容量桶查询模块、容量桶状态模块和转发控制模块; 所述容量桶查询模块,用于每隔一段时间查询一次访问控制列表的统计,并将统计结果相对于上次查询结果增加的部分记录到容量桶中; 所述容量桶状态模块,用于为容量桶定义两种状态,激活状态和非激活状态;当容量桶中的bit数<设定阈值时,容量桶处于激活状态,当容量桶中的bit数>设定阈值时,容量桶处于非激活状态; 所述转发控制模块,用于容量桶处于激活状态时,访问控制列表生效,允许报文进入交换机转发,并记录进入交换机的报文bit数;容量桶的状态处于非激活状态时,该访问控制列表不生效,不允许报文进入交换机进行转发,不记录进入交换机的bit数。
7.根据权利要求6所述的利用访问控制列表控制流量的系统,其特征在于,还包括定时器模块,用于设置收集容量的时间段,仅在设定的时间段收集容量桶中的报文bit数,并在该时间段后清空容量桶。
8.根据权利要求6所述的利用访问控制列表控制流量的系统,其特征在于,通过交换芯片控制所述报文的匹配和统计。
9.根据权利要求6~8所述的利用访问控制列表控制流量的系统,其特征在于,所述匹配模块匹配字段包括:源和目的MAC地址、虚拟局域网号VLAN ID、服务质量QOS、源和目的IP地址、协议号、TCP\UDP端口号。
10.根 据权利要求9所述的利用访问控制列表控制流量的系统,其特征在于,所述所述统计模块对匹配成功的报文bit数进行统计时,对每条访问控制列表的每个条目分别统计。
【文档编号】H04L12/801GK103746928SQ201310746925
【公开日】2014年4月23日 申请日期:2013年12月30日 优先权日:2013年12月30日
【发明者】戴中亚, 谯良刚 申请人:迈普通信技术股份有限公司