中,该虚拟网络设备还包括接入层设备,该方法包括:
[0046] 步骤101 ;接收管理层针对虚拟网络设备的入接口下发的访问控制列表A化表项。
[0047] 如图2所示,为虚拟网络设备中核必层设备与接入层设备的连接示意图;该虚拟 网络设备由两个核必层设备(vControllerl、vControllerS)和H个接入层设备利用VEM 技术虚拟而成的,其中,虚拟网络设备的入接口即为虚拟网络设备的业务口,其中,虚拟网 络设备的入接口包括如图 2 中的tengigel、tengige2、tengige3、tengige4、tengigeS、 tengige6等接口,送六个接口为核必层设备上的入接口,也是核必层设备与接入层设备间 的级联口。虚拟网络设备的入接口还包括位于接入层设备上的接口;eth7、eth8、eth9、 ethlO、ethll、ethl2。而图 2 中的ethO、ethl、eth2、eth3、eth4、eth5 等接口是虚拟网络 设备的内部接口,不是虚拟网络设备的入接口。图2中,每个接入层设备可W同时连接多个 服务器(或其他网络设备,如路由器、交换机)或多个接入层设备连接同一个服务器(或其 他网络设备),用于与多个服务器进行业务通讯。
[0048] 在本发明实施例中,对于同一虚拟网络设备中的多台核必层设备和多台接入层设 备通过逻辑槽号堆叠在一起,其中,每个核必层设备对应一个芯片,每台设备预留一定槽位 数(本发明实施例W为每台设备预留18个槽位为例),则两台核必层设备最多占36个槽位 (第0槽~第35槽);每个端口扩展设备分配一个逻辑槽位,从第36槽开始。如图2中,例 如为vNodel至vNode3分配的逻辑槽号依次为36至38。于是,用户通过一个统一的IP地 址登录系统页面后,即可W相同的方式管理所有逻辑槽位及槽位上的接口。
[0049] 核必层设备的主控板卡接收管理层针对虚拟网络设备的入接口下发的A化表项。 该A化表项包括入接口、报文特征W及对应的执行动作。其中,该报文特征可W为报文的五 元组。
[0050] 例如,报文特征为:源IP地址为192. 168. 1. 1,源端口为10000,目的IP地址为 121. 14. 88. 76,目的端口为 80,和传输层协议号为TCP(TransmissionControlProtocol, 传输控制协议)。其中,该ACL表项中对应的执行动作,可W是将符合ACL表项中入接口、 报文特征的报文上送某个业务板卡,该某个业务板卡可W是具有FW(Firewall,防火墙)、 IPSdntrusionPreventionSystem,入侵防御系统)或UAG(UnifiedAuditGateway,统一 审计网关)功能的一种业务板卡,也可W是将符合A化表项中入接口、报文特征的报文丢弃 等。
[005。步骤102 ;获取A化表项中所包括的入接口,确定该入接口位于接入层设备上还是 位于核必层设备上。
[0052]由于需要将接入层设备的入接口接收的报文发送到核必层设备中业务板卡上做 相应的安全业务,且核必层设备在接收到该报文时的入接口是核必层设备接收该报文的级 联口,不能利用接入层设备的入接口所对应的A化对该报文进行匹配,需要对接入层设备 的入接口所对应的A化进行修改,因此需要确定A化表项的入接口是位于核必层设备上还 是位于接入层设备上。
[0053] 步骤103 ;若确定该入接口位于接入层设备上,根据核必层设备中预先保存的级 联关系表,确定该入接口所对应级联口所在的芯片。
[0054] 若确定为该入接口位于核必层设备上,则确定该入接口对应的槽位,并将该ACL 表项保存在该入接口对应槽位所在芯片(后续使用入接口所在芯片进行描述)中。其中, 保存在核必层设备上的入接口所在芯片的该A化表项包括;入接口、报文特征与执行动作 的对应关系。W核必层设备上的入接口为tengigel所在芯片保存的A化表项为例,如表1 所示。
[00巧]表1 :
[0056]
[0057] 若确定该入接口位于接入层设备上的情况下,确定该入接口位于的接入层设备所 在槽位号,根据核必层设备中预先保存的级联关系表,确定该接入层设备所在槽位号所对 应的级联口,并根据该级联口计算该级联口所在芯片。其中,W接入层设备上的入接口eth7 为例,为该入接口eth7分配的A化表项为入接口、报文特征与执行动作的对应关系,如表2 所示:
[0058]表 2 :
[0059]
阳060] 由于接入层设备与核心层设备通过级联口相连,如果把该A化表项保存在接入层 设备上,则该入接口接收到的报文只能上送到接入层设备与核必层设备相连的级联口上, 且在该级联口上不能够将该报文上送到业务板卡f,因此,需要将针对接入层设备上入接口 的A化表项保存在接入层设备与核必层设备间的级联口所在芯片上。
[0061] 其中,级联关系表包括接入层设备所在槽位号与级联口的对应关系,如表3所示。
[0062]表 3 :
[0063]
[0064] 根据上表可知,首先需要确定该入接口所在接入层设备槽位号,如图2中的入接 口eth7位于接入层设备1上,而接入层设备1所在槽位号为36。根据级联关系表,确定该 接入层设备1所对应的核必层设备的级联口为tengigel、tengige4,并根据该级联口计算 得到级联口tengigel在芯片1上,级联口tengige4在芯片19上。其中,根据级联口计算 级联口所在芯片的方法为现有技术,本发明实施例对此不作具体赏述。
[0065] 优选地,若确定该入接口位于接入层设备上,还可W利用下述方法进行A化配置, 判断ACL表项中该入接口对应的执行动作,若判断结果为该对应的执行动作为在接入层设 备中对该报文进行处理,则将该A化保存在接入层设备中。例如,静态MC/IP绑定功能,女口 表4所7K,该A化表项为:
[0066] 表 4 :
[0067]
[0068] 根据表4可知,具有B特征的报文在入接口eth8进入接入层设备,表明该报文与 该A化表项匹配成功,则通过该报文,如果不符合该报文特征W及对应入接口条件的报文, 则丢弃该报文。其中,符合该报文特征的报文可W是符合指定源IP地址、源MC和入接口 的报文。
[0069] 进一步的,在接入层设备中匹配A化表项成功通过的报文,也可W上送与该接入 层设备相连的级联口,并继续匹配级联口所在芯片保存的A化表项,W送入相对应的业务 板卡进行相应的业务处理。
[0070] 步骤104 ;对A化表项中的入接口进行转换处理,并将转换处理后的A化表项保存 在该级联口所在的芯片中。
[0071] 根据步骤103中查找到的接入层设备所对应的级联口,对为接入层设备上入接口 所分配的A化表项中的入接口进行转换,转换处理后的A化表项包括;原始入接口、报文特 征与执行动作的对应关系,该原始入接口为位于接入层设备上的入接口。W原始入接口为 eth7为例,如表5所示。
[007引表5 :
[0073]
[0074] 表5相对于表2的区别为,将A化表项由入接口、报文特征与执行动作的对应关 系,修改为原始入接口、报文特征与执行动作的对应关系。因为级联口在接收到接入层设备 发送的报文时,如果对该报文匹配表2所示的A化表项,根据表2中的A化表项得知该报文 的入接口为该级联口,而该报文的真实入接口为eth7。因此在级联口接收到接入层设备发 送的报文时,需要对该报文匹配表5所示的A化表项,根据表5得知该报文的原始入接口为 接入层设备上的入接口eth7。
[0075] 根据步骤103中计算得到的该对应级联口所在芯片,将转换后的A化表项保存在 该对应级联口所在芯片中。
[0076] 其中,对于接入层设备接收的报文,需要全部上送核必层设备的业务板卡做安全 业务,将接入层设备上接收报文的入接口为原始入接口,该接入层设备与核必层设备间的 级联口为真实入接口,级联口接收到接入层设备发送的报文需要匹配包括有原始入接口、 报文特征与执行动作的对应关系的ACL表项,从而对接入层设备接收到的报文做相应的安 全业务。
[0077] 级联口接收到接入层设备发送的报文,需要利用A化表项对该报文进行匹配,因 此需要获知接入层设备接收该报文的原始入接口。为使级联口知道该报文是从哪个原始入 接口接入的,本发明实施例在接入层设备在接收到报文时,可W为该报文添加Higig头部 信息,该Higig头部信息带有该报文的原始入接口信息,其中,添加有Higig头部信息的报 文格式如图3所示,该化gig头部信息为12字节。当级联口接收到接入层设备发送的报 文,对该报文进行解析,根据解析得到的Higig头部信息获得该报文的原始入接口,从而对 该报文进行A化匹配,对该报文执行相应的动作。
[0078] 在本发明实施例中,在与接入层设备相连级联口所在芯片发生变化时,根据预先 记录的接入层设备、与该接入层设备相连级联口所在芯片、该芯片保存的针对对应接入层 设备的ACL的对应关系,将该芯片保存的针对对应接入层设备的ACL重新下发到变化后的 与接入层设备相连级联