CN101141304B - Acl规则的管理方法和设备 - Google Patents
Acl规则的管理方法和设备 Download PDFInfo
- Publication number
- CN101141304B CN101141304B CN2007101518041A CN200710151804A CN101141304B CN 101141304 B CN101141304 B CN 101141304B CN 2007101518041 A CN2007101518041 A CN 2007101518041A CN 200710151804 A CN200710151804 A CN 200710151804A CN 101141304 B CN101141304 B CN 101141304B
- Authority
- CN
- China
- Prior art keywords
- acl rule
- user terminal
- acl
- information
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种ACL规则的管理方法,包括以下步骤:将预先配置的配置集合与需要实现的应用功能进行绑定;用户终端接入时,获取所述用户终端的信息;从所述预先配置的配置集合及其绑定的应用功能中获取与所述用户终端的信息匹配的ACL规则;根据与所述用户终端的信息匹配的ACL规则,确定需要下发的ACL规则并向连接所述用户终端的端口发送。本发明还公开了一种ACL规则的管理设备。通过使用本发明,可以使多种基于ACL规则的服务控制功能有效的结合,功能更加全面,且配置灵活方便,大大降低了用户终端的使用难度,提高了网络的稳定性和安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种ACL(Access Control List,访问控制列表)规则的管理方法和设备。
背景技术
随着网络规模的扩大和网络复杂度的提高,网络配置也越来越复杂,经常出现计算机位置变化(如便携机或无线网络)和计算机数量超过可分配的IP地址的情况。DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)就是为满足这些需求而发展起来的。
DHCP协议提供了一种动态获取IP地址的方法,如图1所示,具体为:DHCP客户机以广播方式发送DHCP-DISCOVER发现信息来寻找DHCP服务器;网络中接收到DHCP-DISCOVER发现信息的DHCP服务器都会做出响应,向DHCP客户机发送一个包含尚未出租的IP地址的DHCP-OFFER提供信息;DHCP客户机接收第一个收到的DHCP-OFFER提供信息,然后以广播方式回答一个DHCP-REQUEST请求信息,通知所有的DHCP服务器,将选择某台DHCP服务器所提供的IP地址;当该DHCP服务器收到DHCP-REQUEST请求信息之后,向DHCP客户机发送一个包含其所提供的IP地址的DHCP-ACK确认信息。DHCP客户机如果没有发现地址冲突,则接受此IP地址,然后将获取到的IP地址与网卡绑定。
随着Internet越来越多地融入到社会的各个方面,在保障网络安全的前提下需要提供更多的服务内容,既可以充分利用各类网络资源又可以保护用户终端的经济利益。因此在接入设备上出现了DHCP Snooping功能,该功能可以在接入设备上实现二层监听,记录通过该设备获取到IP地址的用户终端相关信息,并基于此提供各种防攻击功能。
如图2所示,在实际网络应用中,用户终端直接连接到接入层设备上,接入设备连接到汇聚层设备(即网关),通过汇聚层设备实现跨网段的转发和对远端各类服务器的访问。在接入设备上启用DHCP Snooping功能、防攻击功能和其他基于ACL的服务控制功能。
DHCP客户端通过DHCP Snooping设备连接到网关向DHCP服务器申请IP地址,DHCP Snooping根据通过接入设备的DHCP报文在设备上建立起DHCP Snooping表项,包括用户终端的IP、MAC、申请端口号、和所属VLAN等信息。同时在接入设备的上行端口(即连接汇聚层交换机的端口)上启用DHCP Snooping trust功能,防止DHCP伪服务器攻击。
基于DHCP Snooping的防攻击功能为网络用户终端提供了全方位的网络安全保障,现有技术中基于DHCP Snooping的防攻击功能主要能为用户终端提供以下功能:DHCP Snooping trust功能、ARP Detection功能、ARP限速、DHCP限速、IP Check功能、和Opiont82功能。
如图3所示,可以在设备上全局配置DHCP Snooping功能,分别在端口e1/0/1和端口e1/0/2上配置IP Check、ARP/DHCP限速等功能,在两个端口所属VLAN内配置ARP Detection功能,在上行端口上启动DHCP Snooping trust和ARP Detection trust功能,实现对IP和ARP报文的过滤和限速功能。
用户终端在实现防攻击功能的同时还需要其他多种服务控制功能,通常是基于ACL实现多种服务控制功能,主要包括:不同网段限速,包过滤以及报文优先级重标记等功能。
通过如上分析可知在接入交换机上,通常需要以上提到的多种功能配合使用,而ACL规则的下发和匹配存在优先级的问题,例如都是基于ACL规则来实现的防攻击功能和限速功能,在配合使用的时候,就会存在种种限制,使其原有功能有所降低。下面进行举例说明:
A)在端口上实现对特定网段限速时,需要在该端口上下发两条ACL规则,一条是对非特定网段限速,一条是对特定网段限速(例如:对1.0网段限速2M,对2.0网段限速4M)。
B)在该端口配置防攻击功能时,需要先在该端口下发一条丢弃所有IP报文的ACL规则,然后根据DHCP Snooping表项下发对应的用户终端ACL规则,规则内容为允许源IP、源MAC为一个特定用户终端的IP报文通过,该条ACL规则优先生效于前面下发的丢弃所有IP报文的ACL规则,因此在一个用户终端报文同时匹配了这两条ACL规则时,其将优先匹配允许通过的那条ACL规则,即这个用户终端可以正常访问网络;而其他没有在DHCPSnooping表项中记录信息的用户终端报文则都将被丢弃(即只匹配了丢弃所有IP报文的ACL规则)。
C)同时在端口上配置限速功能和防攻击功能时,该端口上下发的ACL规则为:
(1)限速功能下发的ACL规则为:
一条对源IP为1.0网段的报文限速2M的规则;
一条对源IP为2.0网段的报文限速4M的规则。
(2)防攻击功能下发的ACL规则为:
一条丢弃所有IP报文的规则;
一条允许源IP为1.1.1.2,源MAC为1-1-2的用户终端通过的规则。
此时,若端口上收到了一条源IP为1.1.1.3,源MAC为1-1-3的报文,根据防攻击功能下发的ACL规则,此报文不符合防攻击功能的要求(即在DHCPSnooping表项中并无对应的用户终端表项,端口上也没有下发匹配该用户终端IP和MAC通过的ACL规则),应该被丢弃掉的;但是,由于此端口上同时配置了限速功能,而限速功能下发的ACL优先级高于丢弃所有IP报文的ACL规则,则该报文优先匹配了限速所下发的ACL规则,设备在速率限速的范围内直接对该报文进行了处理转发,从而导致防攻击功能失效。
若要使这两个功能可以同时生效,需要对限速功能进行一些附加处理,例如在配置限速功能时同时使用指定的配置参数,使在端口上配置的限速ACL规则和丢弃所有IP报文的ACL规则可以综合起作用,从而不会导致防攻击功能失效。但是由此引入的新问题是,对不同网段限速时,多条限速ACL规则同时生效会导致限速功能下发的ACL规则优先级发生变化,例如:原来是后下发的规则优先生效,而使用指定的配置参数后是多条ACL规则同时作用,因此多条同时作用的结果是该端口对特定网段的限速要低于该端口上所有限速规则的最小值,从而导致了限速不准确。
综上所述,对于多个功能同时使用ACL规则时,会造成因为资源冲突而导致相关功能失效,因此无法满足用户终端在实现防攻击同时实现多种质量服务的需求。
发明内容
本发明提供一种ACL规则的管理方法和设备,以实现多种基于ACL规则的服务控制功能中不同ACL规则的有效结合。
为达到以上目的,本发明提供一种ACL规则的管理方法,包括如下步骤:
将预先配置的配置集合与需要实现的应用功能进行绑定,每一配置集合包括一组ACL规则;
用户终端接入时,获取所述用户终端的信息;
从所述预先配置的配置集合及其绑定的应用功能中获取与所述用户终端的信息匹配的ACL规则;
根据与所述用户终端的信息匹配的ACL规则,确定需要下发的ACL规则并向连接所述用户终端的端口发送,具体为:存在多个与所述用户终端信息匹配的ACL规则时,判断所述多个ACL规则是否冲突;所述多个ACL规则不冲突时,按照优先级由高到低的顺序将所述多个与用户终端信息匹配的ACL规则依次向与所述用户终端连接的端口发送;所述多个ACL规则存在冲突时,按照预定的规则将所述多个与用户终端信息匹配的ACL规则进行合并或选取处理后向与所述用户终端连接的端口发送。
其中,所述将预先配置的配置集合与需要实现的应用功能进行绑定的步骤具体为:
生成配置集合,每一配置集合包括一组ACL规则;
在设备的端口配置需要实现的应用功能;
将所述配置集合和所述需要实现的应用功能进行绑定。
其中,所述获取用户终端的信息的步骤具体为:
从DHCP Snooping表项中获取用户终端的地址信息,所述信息包括IP、MAC、端口Port和VLAN标识中的一种或多种。
其中,所述从预先配置的配置集合中获取与用户终端信息匹配的ACL规则的步骤具体为:
对于所述配置集合中的每一ACL规则,判断所述用户终端的地址信息是否位于所述ACL规则所指定的地址范围内;
位于所述地址范围内时,所述ACL规则与所述用户终端的信息匹配;否则为不匹配;
获取与所述用户终端信息匹配的ACL规则。
其中,所述应用功能为防IP攻击功能时,从预先配置的应用功能中获取的与用户终端信息匹配的ACL规则为:
允许来自与所述DHCP Snooping表项中用户终端地址信息一致的地址的报文通过。
其中,所述确定需要下发的ACL规则并向连接所述用户终端的端口发送时,将预先获取到的网关设备信息,填写到所述确定需要下发的ACL规则中的目的地址字段。
其中,所述网关设备信息的获取方法为:
解析DHCP Server回应给用户终端的DHCP ACK报文中option3字段,获取所述网关设备地址信息;或
通过MAC强制转发功能,获取所述网关设备地址信息。
本发明还提供一种ACL规则的管理设备,包括:
用户信息获取模块,用于获取用户终端信息并提供给ACL规则匹配模块;
配置集合模块,用于生成配置集合,每个配置集合包括一组ACL规则并与应用功能配置模块中的应用功能绑定,并向所述ACL规则匹配模块提供所述配置集合用于ACL规则的匹配;
应用功能配置模块,用于配置特定的应用功能并与配置集合模块中的配置集合绑定,以供所述ACL规则匹配模块根据所述应用功能获取与用户终端信息匹配的ACL规则;
ACL规则匹配模块,用于根据所述用户信息获取模块获取到的用户信息,从预先生成的配置集合及其绑定的应用功能中获取与所述用户终端信息匹配的ACL规则;
ACL规则处理模块,用于根据所述ACL规则匹配模块获得的与用户终端信息相匹配的ACL规则,确定需要下发的ACL规则;
ACL规则下发模块,用于将所述ACL规则处理模块确定需要下发的ACL规则向与用户终端连接的端口发送,具体为:存在多个与所述用户终端信息匹配的ACL规则时,判断所述多个ACL规则是否冲突;所述多个ACL规则不冲突时,按照优先级由高到低的顺序将所述多个与用户终端信息匹配的ACL规则依次向与所述用户终端连接的端口发送;所述多个ACL规则存在冲突时,按照预定的规则将所述多个与用户终端信息匹配的ACL规则进行合并或选取处理后向与所述用户终端连接的端口发送。
其中,还包括:
网关信息获取模块,用于获取网关设备信息,并在所述ACL规则处理模块处理后的ACL规则中的目的地址字段添加网关设备信息
与现有技术相比,本发明具有以下优点:
通过使用本发明,可以使多种基于ACL规则的服务控制功能有效的结合,功能更加全面,且配置灵活方便,大大降低了用户终端的使用难度,提高了网络的稳定性和安全性。
附图说明
图1是现有技术中DHCP服务机制中动态获取IP地址的方法;
图2是现有技术中网络安全解决方案示意图;
图3是现有技术中DHCP Snooping典型组网示意图;
图4是本发明中ACL规则的管理方法的流程图;
图5是本发明中ACL规则的管理方法的另一流程图;
图6是本发明中ACL规则的管理方法的另一流程图;
图7是本发明中ACL规则的管理方法的另一流程图;
图8是本发明中ACL规则的管理设备结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述:
本发明中,一种ACL规则的管理方法如图4所示,具体步骤如下:
步骤401、生成配置集合,每个配置集合包括一组ACL规则。
具体的,在接入设备上根据特定的应用需要配置一组ACL规则,同时生成一个配置集合以表示该应用需要;将配置好的ACL规则存储到该配置集合中,以该配置集合表示该组ACL规则。根据不同的应用需要,可以生成不同的配置集合以存储不同的ACL规则。
步骤402、对配置集合和需要配置的其他应用功能进行绑定。
具体的,将上一步骤中生成的配置集合和需要配置的其他应用功能绑定在一起,即实现配置集合与其他应用功能的关联,例如可以将配置集合和防攻击功能(如IP Check功能)进行绑定。
步骤403、根据用户终端的信息,从配置集合及其绑定的应用功能中获取与该用户终端信息匹配的ACL规则。
具体的,获取到的与用户终端信息匹配的ACL规则可能为多个。
步骤s404、根据与该用户终端信息匹配的ACL规则,确定需要下发的ACL配置规则并向连接该用户终端的端口发送。
具体的,在向用户终端下发ACL规则前,首先判断与该用户终端信息匹配的多个ACL规则是否冲突,不冲突时按优先级进行下发;若多个ACL规则有冲突的情况,则必须在下发前进行选取。对于存在冲突的ACL规则,按照一定的规则进行合并或选取后再进行下发。
以下以一个具体的配置集合为例,描述配置集合与防攻击功能IP Check绑定时,本发明中ACL规则的管理方法的实施方式。其中以配置集合的命名为QOS Profile为例,如图5所示,包括以下步骤:
步骤s501、在接入设备上根据应用需要,配置所需的ACL规则和QOSProfile,每个配置集合QOS Profile包括一组ACL规则。
针对不同的应用需要,在设备上配置QOS Profile,使用不同的QOS Profile指定不同的ACL规则组,其中ACL规则的具体内容根据具体需求来配置。例如对于交换设备的一端口,需要实现的应用功能为:对源IP属于1.0网段的用户终端入端口报文限速2M,对源IP属于2.0网段的用户终端入端口报文限速4M,对源IP属于3.0网段的用户终端入端口报文进行优先级重标记,对源IP属于4.0网段的用户终端入端口报文进行包过滤,则对于该应用,在QOSProfile包括的ACL规则内容相应为:
配置ACL规则3000,对符合该ACL规则的用户终端进行最高速度为2M的限速;
配置ACL规则3001,对符合该ACL规则的用户终端进行最高速度为4M的限速;
配置ACL规则3002,对符合该ACL规则的用户终端进行优先级重标记;
配置ACL规则3003,对符合该ACL规则的用户终端的入端口报文进行包过滤。
在上述配置中,ACL规则为3000~3003需要具体指明允许源IP、源MAC、目的IP、目的MAC以及所属VLAN等相关信息,达到较细的控制力度。
步骤s502、将QOS Profile与接入设备下的IP Check功能进行绑定。
在接入设备的指定端口上配置基于DHCP Snooping的防攻击功能时,IPCheck的绑定规则可以有两种:基于IP的包过滤和基于IP+MAC的包过滤。将原有的IP Check功能与新配置的QOS Profile绑定后,在端口下配置的IPCheck的绑定规则增加到四种,具体内容为:(1)基于IP的包过滤;(2)基于IP+MAC的包过滤;(3)基于IP的包过滤和QOS Profile绑定;(4)基于IP+MAC的包过滤和QOS Profile绑定。
步骤s503、根据用户终端的信息,获取与用户终端匹配的ACL规则。
对于IP Check功能,用户终端通过接入设备申请到IP地址后,DHCPSnooping的动态表项中就会记录相应用户终端的地址信息(包括:IP、MAC、VLAN和PORT),并针对每条用户终端表项下发动态ACL规则,允许记录在DHCP Snooping动态表项中的用户终端访问网络。具体的,接入设备的IPCheck功能下发的ACL规则内容为:允许指定源IP、指定源MAC、指定VLAN和指定PORT的用户终端报文通过。
例如:当1.0网段的MAC地址为1-1-1用户终端通过指定端口获取到IP为1.1.1.1的地址时,该端口的IP Check功能下发的ACL规则应该为:
允许源IP为1.1.1.1、MAC为1-1-1的用户终端的IP报文通过。
对于QOS Profile,接入设备根据用户终端的信息,获取QOS Profile中与该用户终端信息匹配的ACL规则。匹配的具体方法为:判断DHCP Snooping动态表项中记录的用户终端的地址(包括IP、MAC、VLAN和PORT),是否在QOS Profile中配置的ACL规则所指定的地址范围内。如果是,则匹配成功,匹配成功的ACL规则需要下发。需要说明的是,判断时以DHCP Snooping动态表项中记录的信息(如用户终端的IP、MAC、VLAN、PORT等)优先,其他规则采用QOS Profile中配置的规则。若DHCP Snooping动态表项中记录的用户终端地址不在QOS Profile中配置的ACL规则所指定的地址范围内,则匹配不成功,无需下发。
例如:当1.0网段的MAC地址为1-1-1用户终端通过指定端口获取到IP为1.1.1.1的地址时,其符合步骤s501中配置的ACL规则3000,则QOS Profile中需要向该用户终端下发的ACL规则应该为:
对该IP为1.1.1.1的用户终端进行最高速度为2M的限速。
步骤s504、对与用户终端匹配的ACL规则进行处理。
在有多个ACL规则于用户终端的信息匹配、需要向用户终端下发时,需要首先对这些ACL规则进行处理,以避免这些ACL规则之间有冲突的情况发生。
在多个ACL规则不冲突的情况下,则按照不同ACL规则的优先级从高到低的顺序,将多个ACL规则依次下发。如上述步骤s503中,对于IP为1.1.1.1的用户终端需要下发的ACL规则为:
(1)允许源IP为1.1.1.1、MAC为1-1-1的用户终端的IP报文通过;
(2)对该IP为1.1.1.1的用户终端进行最高速度为2M的限速;
这两条ACL规则之间不存在冲突,因此按照优先级顺序依次下发给IP为1.1.1.1的用户终端,下发之后的ACL规则可以进行合并,合并后的ACL规则为:允许源IP为1.1.1.1、MAC为1-1-1的用户终端的IP报文通过,且进行最高速度为2M的限速。
同样,对于步骤s501中涉及的网段2.0和3.0的用户终端,具体过程不再进行描述,只需采用与上述步骤相同的方法,其ACL规则应分别为:
允许源IP为2.1.1.1、MAC为1-1-2的用户终端的IP报文通过,且进行最高速度为4M的限速;以及
允许源IP为3.1.1.1、MAC为1-1-3的用户终端的IP报文通过,且报文优先级进行重新标记。
若多个ACL规则之间存在冲突,则必须在下发前进行选取。对于存在冲突的ACL规则,按照一定的规则进行合并或选取后再进行下发。例如,对于某一MAC为5-5-5的用户终端通过指定端口申请到5.5.5.1的IP地址,则IPCheck功能需要下发的ACL规则为:
允许源IP为5.5.5.1、MAC为5-5-5的用户终端的IP报文通过。
而若此时在QOS Profile中包括对5.0网段的包进行过滤的ACL配置,则QOS Profile需要下发的ACL规则为:
不允许IP为5.5.5.1的用户终端的报文通过。
这种情况下,就出现了对于同一用户终端下发ACL规则冲突的情况,此时需要先进行合并或选取处理。根据下发规则,IP Check功能优先生效,则在该端口下,只下发允许IP为5.5.5.1的用户终端的报文通过的ACL规则,而丢弃QOS Profile中配置的对IP为5.5.5.1的用户终端的报文不允许通过的ACL规则。
则处理后的ACL规则为:
允许源IP为5.5.5.1、MAC为5-5-5的用户终端的IP报文通过。
此时再向用户终端下发,即可避免不同ACL规则间的冲突问题。
从该实例中可知,在设备的同一个端口上需要同时提供多种基于ACL规则的控制服务时,若这些服务之间有所冲突,则按照这些服务的优先顺序来提供,对于与优先级较高的控制服务相冲突的优先级较低的控制服务,其所需配置的ACL规则将被丢弃。
步骤s505、将处理后的ACL规则向连接该用户终端的端口下发。
至此,实现了对用户终端的防攻击功能和其他服务控制功能的ACL规则的匹配后下发。以上述流程中涉及的限速功能为例,当用户终端通过DHCPServer申请到IP后,IP Check功能会根据用户终端的DHCP Snooping动态表项来下发ACL规则,根据配置的不同网段限速的ACL规则综合比较,若用户终端被分配的IP地址在网段限速的IP网段内,则下发源IP为用户终端IP且包括限速规则的ACL到端口,实现防攻击与限速的配合使用。
另外,通过QOS Profile与IP Check应用功能的关联,实现了对每个用户的动态区分管理,可以进一步实现对每个用户的限速管理,增强了限速等应用功能的控制精度和力度。
本发明中,接入设备还可以从DHCP协议回应报文中获取网关设备的信息,当QOS Profile与IP Check应用功能关联,并向用户终端下发ACL规则时,将该网关设备的信息添加到ACL规则中,可以对访问网关的流量进行限制,过滤非法流量,实现对网关设备的保护。
具体的,通过DHCP报文获取网关设备信息时,本发明ACL规则的管理方法如图6所示,包括以下具体步骤,其中与步骤s501~s505中相同的部分不做重复描述。
步骤s601、在接入设备上根据应用需要,配置所需的ACL规则和QOSProfile,每个配置集合QOS Profile包括一组ACL规则。
步骤s602、将QOS Profile与接入设备下的IP Check功能进行绑定。
步骤s603、根据用户终端与DHCP服务器交互的DHCP协议报文,获取网关设备信息。
具体的,当用户终端通过接入设备从DHCP Server申请IP地址时,DHCPServer回应给用户终端的DHCP ACK报文中会携带相应的网关设备地址信息,此信息存放在DHCP ACK报文的option3字段中。通过解析该字段,接入设备即可获得相应的网关设备IP地址信息。之后,接入设备将该网关设备信息存放在DHCP Snooping的动态表项中。
步骤s604、根据用户终端的信息,获取与用户终端匹配的ACL规则。
步骤s605、对与用户终端匹配的ACL规则进行处理。
步骤s606、在处理后的ACL规则中添加网关设备信息,并向连接该用户终端的端口下发。
具体的,接入设备将步骤s603中获取到的网关设备信息,填加到向用户终端下发的ACL规则中的目的IP字段。这样对于访问网关的用户终端就可以进行限制,只有通过DHCP Snooping正常动态获取IP地址的用户终端才可以访问网关。
通过该方法,在基于DHCP Snooping的接入设备上,可以根据DHCPACK报文的Option3字段获取DHCP Server上配置的网关IP地址。提取该网关IP后,可以在综合比较下发的ACL规则时将规则中的目的IP地址填充为网关IP地址,从而有效的控制访问网关的用户终端,有效防止网关被攻击。
本发明中,接入设备还可以与MFF(MAC Forced Forwarding,MAC强制转发功能)功能配合使用。MFF功能是一种确保接入网络中的主机二层隔离、三层互通的特性。在接入设备连接用户终端的端口上使能该功能,可以实现仅允许目的MAC为网关MAC的单播报文通过,其他报文都将被丢弃,若没有学习到网关MAC则丢弃全部报文(DHCP和ARP报文除外,此两种报文会进行特殊处理)。通过MFF功能,接入设备获取网关设备的信息,当IP Check功能关联QOS Profile并向用户终端下发ACL规则时,将该网关设备的信息添加到ACL规则中,实现对网关设备的保护。
具体的,通过MFF功能获取网关设备信息时,本发明ACL规则的管理方法如图7所示,包括以下具体步骤,其中与步骤s601~s606中相同的部分不做重复描述。
步骤s701、在接入设备上根据应用需要,配置所需的ACL规则和QOSProfile,每个配置集合QOS Profile包括一组ACL规则。
步骤s702、将QOS Profile与接入设备下的IP Check功能进行绑定。
步骤s703、通过MFF功能,获取网关设备信息。
步骤s704、根据用户终端的信息,获取与用户终端匹配的ACL规则。
步骤s705、对与用户终端匹配的ACL规则进行处理。
步骤s706、在处理后的ACL规则中添加网关设备信息,并向连接该用户终端的端口下发。
通过该方法,在IP Check关联QOS Profile和MFF配合使用时,IP Check会通过MFF获取到网关MAC地址,并将目的MAC为网关MAC且包含其他多种ACL规则的综合的多条规则下发到端口上,实现防攻击与MFF及其他多种服务控制功能的配合使用。
上述各个实施例中以应用功能为防攻击功能为例,描述了本发明中的配置集合与应用功能相结合时ACL规则的管理方法,对于其他应用功能,只是需要下发的ACL规则有所不同,在实施方式上没有区别,在此不做重复描述。使用该方法,可以使多种基于ACL规则的服务控制功能有效的结合,功能更加全面,且配置灵活方便,大大降低了用户终端的使用难度,提高了网络的稳定性和安全性。
本发明中还提供了一种ACL规则的管理设备,用于将设备的配置集合和其他应用功能的ACL规则进行匹配后下发,该管理设备可以为交换设备,如图9所示,该管理设备包括:
配置集合模块10,用于根据特定的应用需要配置一组ACL规则,同时生成一个配置集合以表示该应用需要;将配置好的ACL规则存储到该配置集合中,以该配置集合表示该组ACL规则。根据不同的应用需要,可以生成不同的配置集合以存储不同的ACL规则。
应用功能配置模块20,用于在接入设备上配置特定的应用功能,如防攻击的IP Check功能。
ACL规则匹配模块30,用于根据用户信息获取模块40获取到的用户信息,从配置集合10以及应用功能配置模块20获得与该用户终端匹配的ACL表项。匹配的具体方法为:判断根据用户信息获取模块40获取到的用户地址信息是否在配置集合模块10中配置集合包括的ACL规则所指定的IP范围内。如果是,则匹配成功,匹配成功的ACL规则需要下发;否则匹配不成功,无需下发。
用户信息获取模块40,用于获取用户终端的地址信息,获取的具体方法可以为根据DHCP Snooping协议进行用户终端信息的获取,并存储在DHCPSnooping动态表项中。
ACL规则处理模块50,用于将ACL规则匹配模块30获得的与用户终端信息相匹配的ACL规则进行处理,确定需要下发的ACL规则。该处理具体为:在多个ACL规则不冲突的情况下,则按照不同ACL规则的优先级从高到低的顺序,将多个ACL规则依次下发;若多个ACL规则有冲突的情况,则必须在下发前进行选取。对于存在冲突的ACL规则,按照一定的规则进行合并或选取后再进行下发。
ACL规则下发模块60,用于将ACL规则处理模块50确定的需要下发的ACL规则向连接该用户终端的端口下发,实现对用户终端的控制。
网关信息获取模块70,用于获取网关设备信息,并在ACL规则处理模块50处理后的ACL规则中添加网关设备信息。具体的,可以通过解析DHCPServer回应给用户终端的DHCPACK报文中option3字段,获取网关设备地址信息;或通过MFF功能获取网关设备地址信息。
通过使用本发明提供的ACL规则的管理设备,可以使多种基于ACL规则的服务控制功能有效的结合,功能更加全面,且配置灵活方便,大大降低了用户终端的使用难度,提高了网络的稳定性和安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该获取机软件产品存储在一个存储介质中,包括若干指令用以使得一台接入终端设备执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (9)
1.一种ACL规则的管理方法,其特征在于,包括以下步骤:
将预先配置的配置集合与需要实现的应用功能进行绑定,每一配置集合包括一组ACL规则;
用户终端接入时,获取所述用户终端的信息;
从所述预先配置的配置集合及其绑定的应用功能中获取与所述用户终端的信息匹配的ACL规则;
根据与所述用户终端的信息匹配的ACL规则,确定需要下发的ACL规则并向连接所述用户终端的端口发送,具体为:存在多个与所述用户终端信息匹配的ACL规则时,判断所述多个ACL规则是否冲突;所述多个ACL规则不冲突时,按照优先级由高到低的顺序将所述多个与用户终端信息匹配的ACL规则依次向与所述用户终端连接的端口发送;所述多个ACL规则存在冲突时,按照预定的规则将所述多个与用户终端信息匹配的ACL规则进行合并或选取处理后向与所述用户终端连接的端口发送。
2.如权利要求1所述ACL规则的管理方法,其特征在于,所述将预先配置的配置集合与需要实现的应用功能进行绑定的步骤具体为:
生成配置集合,每一配置集合包括一组ACL规则;
在设备的端口配置需要实现的应用功能;
将所述配置集合和所述需要实现的应用功能进行绑定。
3.如权利要求1所述ACL规则的管理方法,其特征在于,所述获取用户终端的信息的步骤具体为:
从DHCP Snooping表项中获取用户终端的地址信息,所述信息包括IP、MAC、端口Port和VLAN标识中的一种或多种。
4.如权利要求3所述ACL规则的管理方法,其特征在于,所述从预先配置的配置集合中获取与用户终端信息匹配的ACL规则的步骤具体为:
对于所述配置集合中的每一ACL规则,判断所述用户终端的地址信息是否位于所述ACL规则所指定的地址范围内;
位于所述地址范围内时,所述ACL规则与所述用户终端的信息匹配;否则为不匹配;
获取与所述用户终端信息匹配的ACL规则。
5.如权利要求3所述ACL规则的管理方法,其特征在于,所述应用功能为防IP攻击功能时,从预先配置的应用功能中获取的与用户终端信息匹配的ACL规则为:
允许来自与所述DHCP Snooping表项中用户终端地址信息一致的地址的报文通过。
6.如权利要求1所述ACL规则的管理方法,其特征在于,所述确定需要下发的ACL规则并向连接所述用户终端的端口发送时,将预先获取到的网关设备信息,填写到所述确定需要下发的ACL规则中的目的地址字段。
7.如权利要求6所述ACL规则的管理方法,其特征在于,所述网关设备信息的获取方法为:
解析DHCP Server回应给用户终端的DHCP ACK报文中option3字段,获取所述网关设备地址信息;或
通过MAC强制转发功能,获取所述网关设备地址信息。
8.一种ACL规则的管理设备,其特征在于,包括:
用户信息获取模块,用于获取用户终端信息并提供给ACL规则匹配模块;
配置集合模块,用于生成配置集合,每个配置集合包括一组ACL规则并与应用功能配置模块中的应用功能绑定,并向所述ACL规则匹配模块提供所述配置集合用于ACL规则的匹配;
应用功能配置模块,用于配置特定的应用功能并与配置集合模块中的配置集合绑定,以供所述ACL规则匹配模块根据所述应用功能获取与用户终端信息匹配的ACL规则;
ACL规则匹配模块,用于根据所述用户信息获取模块获取到的用户信息,从预先生成的配置集合及其绑定的应用功能中获取与所述用户终端信息匹配的ACL规则;
ACL规则处理模块,用于根据所述ACL规则匹配模块获得的与用户终端信息相匹配的ACL规则,确定需要下发的ACL规则;
ACL规则下发模块,用于将所述ACL规则处理模块确定需要下发的ACL规则向与用户终端连接的端口发送,具体为:存在多个与所述用户终端信息匹配的ACL规则时,判断所述多个ACL规则是否冲突;所述多个ACL规则不冲突时,按照优先级由高到低的顺序将所述多个与用户终端信息匹配的ACL规则依次向与所述用户终端连接的端口发送;所述多个ACL规则存在冲突时,按照预定的规则将所述多个与用户终端信息匹配的ACL规则进行合并或选取处理后向与所述用户终端连接的端口发送。
9.如权利要求8所述ACL规则的管理设备,其特征在于,还包括:网关信息获取模块,用于获取网关设备信息,并在所述ACL规则处理模块处理后的ACL规则中的目的地址字段添加网关设备信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101518041A CN101141304B (zh) | 2007-09-18 | 2007-09-18 | Acl规则的管理方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101518041A CN101141304B (zh) | 2007-09-18 | 2007-09-18 | Acl规则的管理方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101141304A CN101141304A (zh) | 2008-03-12 |
| CN101141304B true CN101141304B (zh) | 2010-11-24 |
Family
ID=39193068
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101518041A Active CN101141304B (zh) | 2007-09-18 | 2007-09-18 | Acl规则的管理方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101141304B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101304372B (zh) * | 2008-06-18 | 2011-04-13 | 华为技术有限公司 | 一种配置访问控制列表的方法、设备及系统 |
| CN101656722B (zh) * | 2009-08-27 | 2012-09-05 | 北京星网锐捷网络技术有限公司 | 动态主机配置协议窥探绑定信息的生成方法与装置 |
| CN101778042B (zh) * | 2010-01-05 | 2013-01-16 | 杭州华三通信技术有限公司 | 一种基于用户的整机流量控制方法及装置 |
| CN102437966B (zh) * | 2012-01-18 | 2016-08-10 | 神州数码网络(北京)有限公司 | 基于二层dhcp snooping三层交换系统及方法 |
| CN103384222B (zh) * | 2013-06-26 | 2016-09-14 | 汉柏科技有限公司 | 一种数据流匹配acl的方法 |
| CN104852846B (zh) * | 2014-02-14 | 2018-11-30 | 华为技术有限公司 | 一种数据转发控制方法及系统 |
| CN106549910A (zh) * | 2015-09-17 | 2017-03-29 | 中兴通讯股份有限公司 | 一种源防护ipsg接入控制的方法及装置 |
| CN107194241B (zh) * | 2016-03-15 | 2021-06-11 | 腾讯科技(深圳)有限公司 | 终端设备的控制方法、服务器、终端设备和控制系统 |
| CN109274588A (zh) * | 2017-07-18 | 2019-01-25 | 中兴通讯股份有限公司 | Ip报文的处理方法及装置 |
| CN107948042B (zh) * | 2017-11-30 | 2020-12-08 | 新华三技术有限公司 | 一种报文转发方法以及装置 |
| CN108197444A (zh) | 2018-01-23 | 2018-06-22 | 北京百度网讯科技有限公司 | 一种分布式环境下的权限管理方法、装置及服务器 |
| FR3086825A1 (fr) * | 2018-09-28 | 2020-04-03 | Orange | Procedes de protection d'un domaine client contre une attaque informatique, nœud client, serveur et programmes d'ordinateur correspondants. |
| CN112383646B (zh) * | 2020-11-13 | 2022-04-22 | 新华三大数据技术有限公司 | 一种安全表项的配置方法、装置、sdn控制器及介质 |
| CN113132241B (zh) * | 2021-05-07 | 2022-05-24 | 杭州迪普信息技术有限公司 | Acl模板动态配置方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1414757A (zh) * | 2002-05-08 | 2003-04-30 | 华为技术有限公司 | 自动按序配置访问控制列表规则的方法及其应用 |
| CN1490993A (zh) * | 2003-09-15 | 2004-04-21 | 北京港湾网络有限公司 | 宽带网络接入设备用户多业务系统实现方法 |
| CN1547354A (zh) * | 2003-12-17 | 2004-11-17 | 港湾网络有限公司 | 网络地址转换规则配置的优化方法 |
| CN1725736A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 配置访问控制列表的方法及其应用 |
| CN1933487A (zh) * | 2006-10-18 | 2007-03-21 | 杭州华为三康技术有限公司 | 一种保证执行正确的方法、装置和系统 |
| CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
-
2007
- 2007-09-18 CN CN2007101518041A patent/CN101141304B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1414757A (zh) * | 2002-05-08 | 2003-04-30 | 华为技术有限公司 | 自动按序配置访问控制列表规则的方法及其应用 |
| CN1490993A (zh) * | 2003-09-15 | 2004-04-21 | 北京港湾网络有限公司 | 宽带网络接入设备用户多业务系统实现方法 |
| CN1547354A (zh) * | 2003-12-17 | 2004-11-17 | 港湾网络有限公司 | 网络地址转换规则配置的优化方法 |
| CN1725736A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 配置访问控制列表的方法及其应用 |
| CN1933487A (zh) * | 2006-10-18 | 2007-03-21 | 杭州华为三康技术有限公司 | 一种保证执行正确的方法、装置和系统 |
| CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101141304A (zh) | 2008-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101141304B (zh) | Acl规则的管理方法和设备 | |
| CN102263774B (zh) | 一种处理源角色信息的方法和装置 | |
| CN101047618B (zh) | 获取网络路径信息的方法和系统 | |
| CN101692652B (zh) | 一种防止聚合链路中流量中断的方法及装置 | |
| CN101039310B (zh) | 链路共享服务装置以及通信方法 | |
| CN101286990B (zh) | 二层组播的转发方法和装置 | |
| CN100525237C (zh) | 数据转发系统、方法以及网络转发设备 | |
| CN102857491A (zh) | 集管理方案 | |
| EP1773008A1 (en) | Method and system for implementing virtual router redundancy protocol on a resilient packet ring | |
| CN104243472A (zh) | 具有mac表溢出保护的网络 | |
| CN1333617A (zh) | 基于mac地址的通信限制方法 | |
| CN100481832C (zh) | 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 | |
| CN101827039B (zh) | 一种负载分担的方法和设备 | |
| CN103428664A (zh) | 一种网络融合的方法、设备及通信系统 | |
| CN101834783A (zh) | 一种报文转发方法、装置及网络设备 | |
| CN101237332A (zh) | 计费方法、计费系统与流量统计装置 | |
| CN101729425A (zh) | Vrrp组网中流量发送的方法及设备 | |
| CN102916826A (zh) | 网络接入的控制方法及装置 | |
| CN101272350B (zh) | 输出访问控制方法与输出访问控制装置 | |
| CN101534253A (zh) | 报文转发方法及装置 | |
| CN102916897A (zh) | 一种实现vrrp负载分担的方法和设备 | |
| CN101459532A (zh) | 一种多网口设备自动组网的方法及设备 | |
| CN103731817B (zh) | 一种数据传输的方法和设备 | |
| CN105264862A (zh) | 在较低网络协议层进行的过滤 | |
| CN102263679B (zh) | 一种处理源角色信息的方法和转发芯片 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |