一种网络设备的访问控制列表管理方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络数据传输领域,尤其涉及一种网络设备的访问控制列表(AccessControl List, ACL)管理方法和装置。
【背景技术】
[0002]在网络技术快速发展的今天,网络规模不断扩大,网络上对于各种功能需求也不断增加,这些功能需求的增加,势必对网络设备的实现、管理提出了更高的要求。
[0003]ACL作为路由器和交换机接口的指令列表,用来控制端口进出的数据包。这些指令列表用来告诉路由器或交换机哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。这种指令列表功能强大、灵活,不但可以起到控制网络流量、流向的作用,也越来越多地作为辅助手段,用于实现网络设备内部复杂的功能。通常,将用于实现网络设备内部复杂的功能的ACL称为内部ACL,将网络设备用户配置的ACL称为用户ACL。当前,管理网络设备中ACL主要通过向网络设备输入访问控制列表系列命令,达到配置、查询、修改或删除ACL的目的,其过程繁琐、不直观、容易出错,且很难发现检查和发现操作中的错误;而一旦不慎配置错误的一条ACL规则,都可导致重要业务的异常,甚至中断。因此,迫切需要一种简单直观的ACL管理方式。
【发明内容】
[0004]为解决现有存在的技术问题,本发明实施例期望提供一种网络设备的访问控制列表管理方法和装置,能简单直观的配置并维护网络设备的ACL。
[0005]本发明实施例的技术方案是这样实现的:
[0006]本发明实施例提供一种网络设备的访问控制列表管理方法,该方法包括:
[0007]根据预设的扩展标记语言XML标记语言字典,将访问控制策略以XML的数据节点的集合描述;
[0008]利用所述XML的数据节点的集合,生成与访问控制列表相对应的XML文件;
[0009]将所述XML文件存储为所述网络设备的配置文件。
[0010]上述方案中,所述XML的数据节点:存在一个以上的层次。
[0011]上述方案中,所述XML的数据节点包括:
[0012]外层节点为ACL规则节点,表示该标记对中的内容为一条访问控制规则;
[0013]次外层节点被包含在外层的ACL规则节点中,分为两种:一种是数据匹配节点,用于描述数据报文信息类型;一种是动作匹配节点,用于描述针对上述类型的数据报文的动作策略;
[0014]次内层节点被包含在次外层节点中,用于具体描述访问控制规则中的数据或动作,分为两类:数据节点和动作节点,在预设的XML标记语言字典中,每一类数据报文信息对应一个标记对,每一类动作对应的一个标记/标记对;
[0015]内层节点被包含在次内层节点中,为参数节点,用于描述数据节点或动作节点涉及的具体参数,其中X是正整数变量,根据参数的排序而定。
[0016]上述方案中,将所述XML文件存储为所述网络设备的配置文件后,所述方法还包括:
[0017]根据预设的XML标记语言字典,解析所述XML文件,获取所述访问控制列表对应的设备驱动层编码。
[0018]上述方案中,在将访问控制策略以扩展标记语言XML的数据节点的集合描述之前,所述方法还包括:
[0019]解析用户输入的访问控制列表配置信息,获取所述访问控制策略。
[0020]本发明实施例还提供一种网络设备的访问控制列表管理装置,该装置包括:节点生成模块、文件生成模块和文件存储模块;其中,
[0021]节点生成模块,用于根据预设的XML标记语言字典,将访问控制策略以XML的数据节点的集合描述;
[0022]文件生成模块,用于利用所述XML的数据节点的集合,生成与访问控制列表相对应的XML文件;
[0023]文件存储模块,用于将所述XML文件存储为所述网络设备的配置文件。
[0024]上述方案中,所述XML的数据节点包括四层,所述节点生成模块包括:
[0025]外层生成单元,用于生成外层节点,所述外层节点为ACL规则节点,表示该标记对中的内容为一条访问控制规则;
[0026]次外层生成单元,用于生成次外层节点,所述次外层节点被包含在外层的ACL规则节点中,分为两种:一种是数据匹配节点,用于描述数据报文信息类型;一种是动作匹配节点,用于描述针对上述类型的数据报文的动作策略;
[0027]次内层生成单元,用于生成次内层节点,所述次内层节点被包含在次外层节点中,用于具体描述访问控制规则中的数据或动作,分为两类:数据节点和动作节点,在预设的XML标记语言字典中,每一类数据报文信息对应一个标记对,每一类动作对应的一个标记/标记对;
[0028]内层节点生成单元,用于生成内层节点,所述内层节点被包含在次内层节点中,为参数节点,用于描述数据节点或动作节点涉及的具体参数,其中X是正整数变量,根据参数的排序而定。
[0029]上述方案中,所述装置还包括:
[0030]编码获取模块,用于将所述XML文件存储为所述网络设备的配置文件后,根据预设的XML标记语言字典,解析所述XML文件,获取所述访问控制列表对应的设备驱动层编码。
[0031]上述方案中,所述装置还包括:
[0032]策略解析模块,用于解析用户输入的访问控制列表配置信息,获取所述访问控制策略。
[0033]本发明实施例所提供的网络设备的访问控制列表管理方法和装置,通过对ACL进行结构化抽象,建立描述ACL的XML标记语言字典,从而将网络设备的ACL以XML文件的形式存储,为直观、方便的管理网络设备的ACL提供了基础。
【附图说明】
[0034]图1为本发明实施例提供的网络设备访问控制列表管理方法的实现流程示意图;
[0035]图2为本发明实施例提供的访问控制规则对应的XML数据节点的层次结构示意图;
[0036]图3为本发明实施例中一条访问控制规则以XML数据节点描述的示例;
[0037]图4为本发明实施例提供的网络设备访问控制列表管理装置的组成结构示意图。
【具体实施方式】
[0038]为了更清楚地说明本发明实施例和技术方案,下面将结合附图及实施例对本发明的技术方案进行更详细的说明,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明的实施例,本领域普通技术人员在不付出创造性劳动性的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0039]在本发明实施例中,网络设备的访问控制策略指的该设备访问控制规则的集合,其中包括网络设备的开发人员希望通过内部ACL实现的网络设备的访问控制规则和网络设备的用户希望通过用户ACL实现的网络设备的访问控制规则。
[0040]为了能够使用XML来描述ACL,需对ACL进行结构化抽象,进而对访问控制策略的访问控制规则进行结构化抽象,将ACL抽象为一种设备内普适的规则化描述结构。在此基础上,建立描述ACL的XML标记语言字典,该字典中包括所有出现在XML文件中用于描述ACL的标记。对ACL的结构化抽象和XML标记语言字典包括的具体内容在以下实施例中详细介绍。
[0041]图1为本发明实施例提供的网络设备的访问控制列表管理方法的实现流程示意图,如图1所示,该方法包括:
[0042]步骤101,根据预设的XML标记语言字典,将访问控制策略以XML的数据节点的集合描述;
[0043]具体的,根据预设的XML标记语言字典,将访问控制策略中的访问控制规则逐条以XML的数据节点进行描述,从而生成描述访问控制策略的XML数据节点集合。
[0044]进一步的,本步骤中的XML数据节点存在一个以上的层次,以更清晰更完整的描述访问控制规则。
[0045]在一个实施例中,用以描述访问控制规则的XML数据节点可分为四层,如图2所示,自外而内分别是:
[0046]外层为ACL规则节点,在预设的XML标记语言字典中,以标记对“〈entry〉, </entry) ”标识,表示该标记对中的内容为一条访问控制规则。
[0047]次外层节点被包含在外层的ACL规则节点中,分为两种:一种是数据匹配节点,在预设的XML标记语言字典中,以标记