一种acl配置方法及装置的制造方法
【技术领域】
[0001] 本发明涉及通信技术领域,特别涉及一种访问控制列表A化配置方法及装置。
【背景技术】
[0002] VEM (Virtual Extend Matrix,虚拟扩展矩阵)技术将接入层设备和核必层设备 虚拟化为一台虚拟网络设备,其中,接入层设备如端口扩展设备vNode,核心层设备如虹制 设备vController,通过虚拟化为一台虚拟网络设备大大简化了网络结构,提高了网络稳定 性,并基本实现了集中式配置管理。对于用户来说,同一VEM框架中的多台核必层设备和接 入层设备都属于同一虚拟网络设备,它们通过逻辑槽号堆叠在一起。VSM(Virtual System Matrix,虚拟系统矩阵)技术将最多两台核必层物理设备虚拟化成一台虚拟网络设备。
[0003] 通常情况下,管理侧通过向接入层设备下发A化(Access Control List,访问控制 列表)表项,接入层设备将接收到的报文进行ACL匹配,根据匹配得到的执行动作将报文发 送给对应的核必层设备。W使核必层设备对接收到的该报文作安全和转发业务,W提供攻 击防范、审计监控、质量服务等业务功能。
[0004] 然而,核必层设备在接收到接入层设备发送的报文时,只能对该报文进行同一种 安全业务,可扩展性较低,不便于针对业务流量进行差异化处理。
【发明内容】
[0005] 有鉴于此,本发明提供一种A化配置方法及装置,W提高可扩展性。
[0006] 本发明实施例提供了一种A化配置方法,应用于虚拟网络设备中的核必层设备, 其中,该虚拟网络设备还包括接入层设备,包括:
[0007] 接收管理层针对虚拟网络设备的入接口下发的访问控制列表A化表项;
[0008] 获取A化表项中所包括的入接口,确定该入接口位于接入层设备上还是位于核必 层设备上;
[0009] 若确定该入接口位于接入层设备上,根据核必层设备中预先保存的级联关系表, 确定该入接口所对应级联口所在的芯片;
[0010] 对A化表项中的入接口进行转换处理,并将转换处理后的A化表项保存在该级联 口所在的芯片中。
[0011] 优选地,在确定该入接口位于核必层设备上的情况下,确定该入接口所在芯片,将 该A化表项保存在该入接口所在芯片中。
[0012] 优选地,所述若确定该入接口位于接入层设备上的情况下,根据核必层设备中预 先保存的级联关系表,确定该入接口所对应级联口所在的芯片,具体包括:
[0013] 若确定该入接口位于接入层设备上的情况下,确定该入接口位于的接入层设备所 在槽位号,根据核必层设备中预先保存的级联关系表,确定该接入层设备所在槽位号所对 应的级联口,并根据该级联口计算所该级联口所在的芯片;其中,该级联关系表包括接入层 设备所在槽位号与级联口的对应关系。
[0014] 优选地,所述对A化表项中的入接口进行转换处理,并将转换处理后的A化表项保 存在该级联口所在的芯片中,具体包括:
[0015] 将A化表项中的入接口转换为原始入接口,将转换处理后的A化表项保存在该级 联口所在芯片中;其中,转换处理后的A化表项包括原始入接口与执行动作的对应关系,该 原始入接口为位于接入层设备上的入接口。
[0016] 优选地,所述方法还包括:
[0017] 在与接入层设备相连级联口所在芯片发生变化时,根据预先记录的接入层设备、 与该接入层设备相连级联口所在芯片、该芯片保存的针对对应接入层设备的A化的对应关 系,将该芯片保存的针对对应接入层设备的ACL重新下发到变化后的与接入层设备相连级 联口所在芯片中,记录变化后的对应关系,并删除变化前与该接入层设备相连级联口所在 芯片保存的针对对应接入层设备的ACL。
[0018] 优选地,所述若确定该入接口位于接入层设备上,还包括:
[0019] 判断A化表项中该入接口对应的执行动作,若判断结果为该对应的执行动作为在 接入层设备中对该报文进行处理,则将该A化保存在接入层设备中。
[0020] 本发明实施例提供了一种A化配置装置,应用于虚拟网络设备中的核必层设备, 其中,该虚拟网络设备还包括接入层设备,包括:
[0021] 接收单元,用于接收管理层针对虚拟网络设备的入接口下发的访问控制列表ACL 表项;
[0022] 获取单元,用于获取A化表项中所包括的入接口,确定该入接口位于接入层设备 上还是位于核必层设备上;
[0023] 确定单元,用于若确定该入接口位于接入层设备上,根据核必层设备中预先保存 的级联关系表,确定该入接口所对应级联口所在的芯片;
[0024] 转换单元,用于对A化表项中的入接口进行转换处理,并将转换处理后的A化表项 保存在该级联口所在的芯片中。
[00巧]优选地,所述确定单元,还用于在确定该入接口位于核必层设备上的情况下,确定 该入接口所在芯片,将该A化表项保存在该入接口所在芯片中。
[0026] 优选地,所述确定单元,具体用于若确定该入接口位于接入层设备上的情况下, 确定该入接口位于的接入层设备所在槽位号,根据核必层设备中预先保存的级联关系表, 确定该接入层设备所在槽位号所对应的级联口,并根据该级联口计算所该级联口所在的芯 片;其中,该级联关系表包括接入层设备所在槽位号与级联口的对应关系。
[0027] 优选地,所述转换单元,具体用于将A化表项中的入接口转换为原始入接口,将转 换处理后的ACL表项保存在该级联口所在芯片中;其中,转换处理后的ACL表项包括原始入 接口与执行动作的对应关系,该原始入接口为位于接入层设备上的入接口。
[0028] 优选地,所述装置还包括:
[0029] 重新下发单元,用于在与接入层设备相连级联口所在芯片发生变化时,根据预先 记录的接入层设备、与该接入层设备相连级联口所在芯片、该芯片保存的针对对应接入层 设备的ACL的对应关系,将该芯片保存的针对对应接入层设备的ACL重新下发到变化后的 与接入层设备相连级联口所在芯片中,记录变化后的对应关系,并删除变化前与该接入层 设备相连级联口所在芯片保存的针对对应接入层设备的A化。
[0030] 优选地,还包括:
[0031] 判断单元,用于判断A化表项中该入接口对应的执行动作,若判断结果为该对应 的执行动作为在接入层设备中对该报文进行处理,则将该ACL保存在接入层设备中。
[0032] 本发明实施例通过提供一种A化配置方法及装置,通过获取出报文携带原始入接 口,且该原始入接口为接入层设备的接口,因此获知该报文进入接入层设备时的入接口,从 而可W对该报文进行原始入接口所对应的特定业务,从而提高了业务的可扩展性。
【附图说明】
[0033] 图1是本发明实施例提供的方法流程示意图;
[0034] 图2是本发明实施例提供的虚拟网络设备结构示意图;
[0035]图3是本发明实施例提供的添加Higig头部信息的报文格式示意图;
[0036] 图4是本发明实施例提供的装置结构示意图。
【具体实施方式】
[0037] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0038] 根据现有技术,管理侧通过向接入层设备下发A化(Access Control List,访问控 制列表)表项,接入层设备将接收到的报文进行A化匹配,根据匹配得到的执行动作将报文 发送给对应的核必层设备。W使核必层设备对接收到的该报文作安全和转发业务,W提供 攻击防范、审计监控、质量服务等业务功能。然而,同一核必层设备在接收到接入层设备发 送的报文时,只能对该报文进行同一种安全业务,因此可扩展性较低,不便于针对业务流量 进行差异化处理。
[0039] 针对上述问题,本发明实施例提供了一种A化配置方法,应用于虚拟网络设备中 的核必层设备,其中,该虚拟网络设备还包括接入层设备,包括:
[0040] 接收管理层针对虚拟网络设备的入接口下发的访问控制列表A化表项;
[0041] 获取A化表项中所包括的入接口,确定该入接口位于接入层设备上还是位于核必 层设备上;
[0042] 若确定该入接口位于接入层设备上,根据核必层设备中预先保存的级联关系表, 确定该入接口所对应级联口所在的芯片;
[0043] 对A化表项中的入接口进行转换处理,并将转换处理后的A化表项保存在该级联 口所在的芯片中。
[0044] 根据上述方案,通过获取出报文携带原始入接口,且该原始入接口为接入层设备 的接口,因此获知该报文进入接入层设备时的入接口,从而可W对该报文进行原始入接口 所对应的特别业务,从而提高了业务的可扩展性。
[0045] 如图1所示,本发明实施例提供了一种A化配置方法,应用于虚拟网络设备中的核 必层设备,其