CN101272350B - 输出访问控制方法与输出访问控制装置 - Google Patents
输出访问控制方法与输出访问控制装置 Download PDFInfo
- Publication number
- CN101272350B CN101272350B CN2008101059670A CN200810105967A CN101272350B CN 101272350 B CN101272350 B CN 101272350B CN 2008101059670 A CN2008101059670 A CN 2008101059670A CN 200810105967 A CN200810105967 A CN 200810105967A CN 101272350 B CN101272350 B CN 101272350B
- Authority
- CN
- China
- Prior art keywords
- access control
- layers
- acl
- output
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种输出访问控制方法与输出访问控制装置。其中,一种输出访问控制方法,包括:三层输入端口接收数据报文;所述三层输入端口根据预先设置的访问控制列表,控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。一种输出访问控制装置,设置在交换机上的三层输入端口,所述输出访问控制装置包括:接收模块,用于接收数据报文;转发控制模块,用于根据预先设置的访问控制列表,控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。本发明在不支持输出ACL的交换机上,通过在该交换机的三层输入端口设置ACL实现了对数据报文的输出访问控制。
Description
技术领域
本发明涉及一种输出访问控制方法与输出访问控制装置,特别涉及一种在不支持输出访问控制列表的交换机上进行输出访问控制的输出访问控制方法与输出访问控制装置。
背景技术
交换机作为一种能完成接收和转发数据功能的网络设备,其端口是与外界通信交流的接口,在其端口上可应用访问控制列表(Access Control List,以下简称:ACL)对通过交换机的数据进行分类过滤以实现访问控制。ACL是一组应用在交换机端口上的指令列表,该指令列表包括允许接收数据、允许转发数据以及丢弃数据等。根据匹配条件的不同,ACL分为介质访问控制(Media Access Control,以下简称:MAC) ACL和互联网协议(InternetProtocol,以下简称:IP)ACL,MAC ACL是根据数据中的二层协议信息对数据进行分类过滤,IP ACL是根据数据中的三层协议以上的信息对数据进行分类过滤。根据ACL作用阶段的不同,ACL又可分为输入ACL和输出ACL,其中输入ACL是对进入交换机端口的数据进行分类过滤以实现输入访问控制,输出ACL是对转发出交换机端口的数据进行分类过滤以实现输出访问控制。访问控制项(Access Control Entry,以下简称ACE)是构成ACL的元素,包含了数据的特征和处理行为,特征是通过数据报文的二层至四层协议信息进行分类,而处理行为包括允许(permit)和拒绝(deny),一条ACL可由多条ACE构成,其中每条ACE表示一种数据过滤的规则。
目前,网络协议主要以IP协议为主,由于IP协议的开放性,导致网络经常存在各种攻击或非法数据流量,对于网络中的交换机,由于其带宽是固定的,所以非法数据流量过多会导致用户正常数据受到影响。针对上述问题,可根据用户需要,在交换机的端口上应用IP ACL过滤掉非法数据流量,使正常的用户数据得到更多服务,同时提高网络的安全性。
其中,输出ACL的典型应用是对服务器访问权限的控制。例如,某台FTP服务器只限公司内部财务部门访问,则在交换机连接FTP服务器的端口上设置ACL来实现只有财务部门可访问该FTP服务器,ACL为:
ACE1:允许财务部门网段访问FTP的服务器;
ACE2:拒绝任何网段访问FTP服务器。
这样,通过在交换机连接FTP服务器的端口上设置ACL,即在交换机连接FTP服务器的端口上应用输出ACL,实现了对服务器访问权限的控制。
通常如果交换机支持输出ACL,则只需在该交换机的输出端口设置ACL就能对数据进行分类过滤以实现输出访问控制,但目前大多交换机中的交换芯片都只支持在输入阶段对数据进行分类过滤,也就是说交换机只支持应用输入ACL对数据进行分类过滤,而不支持应用输出ACL对数据进行分类过滤,因此,在不支持输出ACL的交换机上无法对数据进行输出访问控制。
发明内容
本发明提供了一种输出访问控制方法与输出访问控制装置,以解决现有技术中在不支持输出ACL的交换机上无法进行输出访问控制的问题,从而在不支持输出ACL的交换机上实现输出访问控制。
为实现上述目的,本发明提供了一种输出访问控制方法,包括:
在交换机上三层输出端口以外的其它三层端口上设置访问控制列表,所述其它三层端口包括三层输入端口;
三层输入端口接收数据报文;
所述三层输入端口根据预先设置的访问控制列表,控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口;
所述在交换机上三层输出端口以外的其它三层端口上设置访问控制列表包括:为预先创建的访问控制列表中的各访问控制项增加目的介质访问控制地址,所述目的介质访问控制地址为交换机的介质访问控制地址;根据所述三层输出端口的IP地址范围,对增加了目的介质访问控制地址的各访问控制项进行有效性处理,得到访问控制列表;将所述访问控制列表设置到交换机中所述三层输出端口以外的其它三层端口上。
为实现上述目的,本发明还提供了一种输出访问控制装置,设置在交换机上的三层输入端口,所述输出访问控制装置包括:
设置模块,用于在交换机上三层输出端口以外的其它三层端口上设置访问控制列表;
接收模块,用于接收数据报文;
转发控制模块,用于根据预先设置的访问控制列表,控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口;
所述设置模块包括:匹配单元,用于为预先创建的访问控制列表中的各访问控制项增加目的介质访问控制地址,所述目的介质访问控制地址为交换机的介质访问控制地址;处理单元,用于根据所述三层输出端口的IP地址范围,对增加了目的介质访问控制地址的各访问控制项进行有效性处理,包括:删除目的地址在所述三层输出端口的IP地址范围外的访问控制项;将访问控制项的目的IP地址与所述三层输出端口的IP地址进行取交集处理;设置单元,用于将所述访问控制列表设置到交换机中所述三层输出端口以外的其它三层端口上。
由上述技术方案可知,本发明在不支持输出ACL的交换机上,通过在该交换机的三层输入端口设置ACL实现了对数据报文的输出访问控制。
附图说明
图1为本发明输出访问控制方法实施例一的流程图;
图2为本发明输出访问控制方法实施例二的流程图;
图3为本发明输出访问控制方法中交换机的结构示意图;
图4为本发明输出访问控制方法中设置了ACL的交换机的结构示意图;
图5为本发明输出访问控制装置实施例的结构示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明输出访问控制方法实施例一的流程图,如图1所示,具体包括如下步骤:
步骤101、三层输入端口接收数据报文;
步骤102、三层输入端口根据预先设置的ACL,控制是否将数据报文转发到与数据报文的目的IP地址匹配的三层输出端口。
其中三层输入端口或三层输出端口只是相对于一次数据报文的转发过程而言的,在本发明的实施例中对哪个三层端口的输出方向进行访问控制,即对哪个三层端口进行输出访问控制,则将该三层端口作为三层输出端口,该三层输出端口之外的其它三层端口作为三层输入端口。
本实施例在不支持输出ACL的交换机上,通过在三层输入端口设置ACL,实现了对数据报文的输出访问控制。
图2为本发明输出访问控制方法实施例二的流程图,如图2所示,具体包括如下步骤:
步骤201、预先创建ACL。
交换机根据IP层信息进行报文转发称为路由,换言之,路由就是交换机从数据报文的目的IP地址中查询出该数据报文的转发出口,即该报文从哪个三层端口转发出去,其中目的IP地址信息和转发出口信息均保存在路由表中,例如,路由表可以如下表所示:
目的IP地址 | 转发出口 |
192.168.0.0/24 | 端口1 |
1.0.1.0/24 | 端口2 |
3.1.1.2/32 | 端口3 |
该路由表的表项又分为直连网络路由和非直连网络路由二种。直连网络路由是配置三层端口的IP地址时产生的,所有目的IP地址在该三层端口的IP地址范围内的报文一定会从该三层端口转发出去。例如,如上表所示,端口1的IP地址为192.168.0.0/24,则配置端口1时会产生一条直连网络路由:192.168.0.0/24 端口1;
非直连网络路由可以由路由协议产生,也可以由用户静态指定。非直连网络路由的转发出口的IP地址与数据报文的目的IP地址没有交集关系。例如,如上表所示,端口2的IP地址为1.0.1.0/24,则192.168.3.1/24 端口2为非直连网络路由。
对于直连网络路由,由于数据报文的目的MAC地址为交换机三层端口的MAC地址,并且数据报文的目的IP地址为交换机三层端口子网下的一个地址,该数据报文肯定是从该三层接口中转发出去,换言之,在交换机的输入阶段就可获知该数据报文的转发出口,因此,直连网络路由中对数据报文的输出访问控制可以在输入阶段实现;对于非直连网络路由,由于其转发出口的IP地址与数据报文的目的IP地址没有交集,换言之,在交换机的输入阶段无法 获知该数据报文的转发出口,因此,非直连网络路由中对数据报文的输出访问控制无法在输入阶段实现。本实施例为直连网络路由中对数据报文进行输出访问控制的方法。
图3为本发明输出访问控制方法中交换机的结构示意图,如图3所示,该交换机可包括多个三层端口,在本实施例中该交换机包括3个三层端口,分别为IF1、IF2和IF3,因本实施例中需要对IF3进行输出访问控制,所以IF3作为三层输出端口,IF1和IF2作为三层输入端口。在本实施例中设定IF1的IP地址为192.168.1.0/24,IF2的IP地址为192.168.2.0/24,IF3的IP地址为192.168.3.0/24。
基于图3中的交换机,预先创建的ACL具体为:
ACE1:permit SIP=1.1.1.1 DIP=192.168.3.1
ACE2:deny SIP=2.2.2.2 DIP=192.168.3.2
ACE3:deny SIP=10.20.30.1 DIP=192.168.1.100
ACE4:permit SIP=1.2.3.1 DIP=192.168.2.3
ACE5:deny SIP=any DIP=any
其中SIP为报文的源IP地址,DIP为报文的目的IP地址,any表示任意的IP地址。
如果将上述ACL设置到交换机的三层输出端口IF3,则对从三层输出端口IF3转发出的数据报文进行输出访问控制的结果具体为:
ACE1:SIP为1.1.1.1,DIP为192.168.3.1的数据报文允许从IF3输出;
ACE2:SIP为2.2.2.2,DIP为192.168.3.2的数据报文不允许从IF3输出;
ACE3:SIP为10.20.30.1,DIP为192.168.1.100的数据报文不允许从IF3输出;
ACE4:SIP为1.2.3.1,DIP为192.168.2.3的数据报文允许从IF3输出;
ACE5:SIP为any,DIP为any的数据报文不允许从IF3输出。
其中,ACE4中的数据报文虽然被允许从IF3输出,但由于其DIP不属于IF3的IP地址范围,因此SIP为1.2.3.1、DIP为192.168.2.3的数据报文不会转发到IF3。
步骤202、为预先创建的ACL中的各ACE增加目的MAC地址,目的MAC地址为交换机的MAC地址。在本实施例中将目的MAC地址设为MAC1,则增加目的MAC地址后的ACE为:
ACE1:permit DMAC=MAC1 SIP=1.1.1.1 DIP=192.168.3.1
ACE2:deny DMAC=MAC1 SIP=2.2.2.2 DIP=192.168.3.2
ACE3:deny DMAC=MAC1 SIP=10.20.30.1 DIP=192.168.1.100
ACE4:permit DMAC=MAC1 SIP=1.2.3.1 DIP=192.168.2.3
ACE5:deny DMAC=MAC1 SIP=any DIP=any
步骤203、根据三层输出端口的IP地址范围,对增加了目的MAC地址的各ACE进行有效性处理,得到ACL。
其中有效性处理包括:删除目的地址在三层输出端口的IP地址范围外的ACE;由于ACE3和ACE4中的目的IP地址不属于IF3的IP地址范围,因此,删除了目的地址在IF3的IP地址范围外的ACE的ACL为:
ACE1:permit DMAC=MAC1 SIP=1.1.1.1 DIP=192.168.3.1
ACE2:deny DMAC=MAC1 SIP=2.2.2.2 DIP=192.168.3.2
ACE5:deny DMAC=MAC1 SIP=any DIP=any
有效性处理还包括:将ACE的目的IP地址与三层输出端口的IP地址进行取交集处理,取交集处理后的ACL为:
ACE1:permit DMAC=MAC1 SIP=1.1.1.1 DIP=192.168.3.1
ACE2:deny DMAC=MAC1 SIP=2.2.2.2 DIP=192.168.3.2
ACE5:deny DMAC=MAC1 SIP=any DIP=192.168.3.0/24
步骤204、将ACL设置到交换机中三层输出端口以外的其它三层端口上,在本实施例中将经过有效性处理的ACL设置到三层输入端口IF1和IF2,如图 4所示,图4为本发明输出访问控制方法中设置了ACL的交换机的结构示意图。
如果其它三层端口上原本设置有ACL,则在将本实施例中经过有效性处理的ACL设置到其它三层端口上时,需要将原有的ACL与本实施例中经过有效性处理的ACL进行合并处理。
步骤205、三层输入端口接收数据报文。在本实施例中由三层输入端口IF1接收数据报文。
步骤206、三层输入端口根据设置的ACL,控制是否将数据报文转发到与数据报文的目的IP地址匹配的三层输出端口。在本实施例中三层输入端口IF1根据步骤204中在交换机上设置的ACL,控制是否将步骤205中接收的数据报文转发到三层输出端口IF3,其控制结果具体如下:
DMAC=MAC1 SIP=1.1.1.1 DIP=192.168.3.1的数据报文,会被交换机转发到IF3,并从IF3输出;
DMAC=MAC1 SIP=2.2.2.2 DIP=192.168.3.2的数据报文,在IF1输入时就被丢弃,不会转发到IF3;
DMAC=MAC1 SIP=10.20.30.1 DIP=192.168.1.100的数据报文,不会转发到IF3;
DMAC=MAC1 SIP=1.2.3.1 DIP=192.168.2.3的数据报文,会被转发到IF2,不会转发到IF3;
DMAC=MAC1 SIP=any DIP=192.168.3.0/24的数据报文,在IF1输入时会被丢弃,不会转发到IF3。而DIP不属于IF3的IP地址范围的数据报文,按路由表进行正常转发。
由此可见,本实施例中在三层输入端口IF1设置ACL对输入的数据报文进行访问控制,与在三层输出端口IF3设置ACL对从IF3转发出的数据报文进行访问控制的结果是相同的。因此,在交换机的三层输出端口对从三层输出端口转发出的数据报文进行输出访问控制,即实现输出ACL,完全可以转化到数据报文的输入阶段完成。本实施例的技术方案中在不支持输出ACL的 交换机上,通过在该交换机的三层输入端口设置ACL实现了对数据报文的输出访问控制。
在本实施例中数据报文还可以从IF2输入,其进行输出访问控制的结果与从IF1输入相同,此处不再赘述。
在本发明输出访问控制方法实施例二的基础上,在步骤202之前还可以包括:判断交换机中的三层端口需要进行输出访问控制还是输入访问控制,如果该三层端口需要进行输出访问控制,则执行步骤202;如果该三层端口需要进行输入访问控制,则在该三层端口上设置预先创建的ACL。
图5为本发明输出访问控制装置实施例的结构示意图,该输出访问控制装置可设置在交换机的三层输入端口上,如图5所示,该输出访问控制装置包括:
接收模块,用于接收数据报文;
转发控制模块,用于根据预先设置的访问控制列表,控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。
进一步,该输出访问控制装置还包括:
存储模块,用于存储所述预先设置的访问控制列表;
设置模块,用于在交换机上三层输出端口以外的其它三层端口上设置所述访问控制列表;
其中,设置模块包括:匹配单元,用于为预先创建的访问控制列表中的各访问控制项增加目的介质访问控制地址,所述目的介质访问控制地址为交换机的介质访问控制地址;处理单元,用于根据所述三层输出端口的IP地址范围,对增加了目的介质访问控制地址的各访问控制项进行有效性处理,包括:删除目的地址在所述三层输出端口的IP地址范围外的访问控制项;将访问控制项的目的IP地址与所述三层输出端口的IP地址进行取交集处理;设置单元,用于将所述访问控制列表设置到交换机中所述三层输出端口以外的其它三层端口上。
此外,该输出访问控制装置还可包括判断模块,用于判断交换机中的三层端口需要进行输出访问控制还是输入访问控制,如果该三层端口需要进行输出访问控制,则所述设置单元在该三层端口以外的其它三层端口上设置所述访问控制列表;如果该三层端口需要进行输入访问控制,则所述设置单元在该三层端口上设置所述预先创建的访问控制列表。
本实施例在不支持输出ACL的交换机上,通过在三层输入端口设置输出访问控制装置,实现了输出访问控制。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (6)
1.一种输出访问控制方法,其特征在于,包括:
在交换机上三层输出端口以外的其它三层端口上设置访问控制列表,所述其它三层端口包括所述三层输入端口;
三层输入端口接收数据报文;
所述三层输入端口根据预先设置的访问控制列表,控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口;
所述在交换机上三层输出端口以外的其它三层端口上设置访问控制列表包括:
为预先创建的访问控制列表中的各访问控制项增加目的介质访问控制地址,所述目的介质访问控制地址为交换机的介质访问控制地址;
根据所述三层输出端口的IP地址范围,对增加了目的介质访问控制地址的各访问控制项进行有效性处理,得到访问控制列表;
将所述访问控制列表设置到交换机中所述三层输出端口以外的其它三层端口上。
2.根据权利要求1所述的输出访问控制方法,其特征在于,所述根据所述三层输出端口的IP地址范围,对增加了目的介质访问控制地址的各访问控制项进行有效性处理具体包括:
删除目的地址在所述三层输出端口的IP地址范围外的访问控制项;
将访问控制项的目的IP地址与所述三层输出端口的IP地址进行取交集处理。
3.根据权利要求2所述的输出访问控制方法,其特征在于,所述在交换机上三层输出端口以外的其它三层端口上设置访问控制列表之前还包括:判断交换机中的三层端口需要进行输出访问控制还是输入访问控制,如果该三层端口需要进行输出访问控制,则在该三层端口以外的其它三层端口上设置访问控制列表;如果该三层端口需要进行输入访问控制,则在该三层端口上设置预先创建的访问控制列表。
4.一种输出访问控制装置,设置在交换机上的三层输入端口,其特征在于,所述输出访问控制装置包括:
设置模块,用于在交换机上三层输出端口以外的其它三层端口上设置访问控制列表;
接收模块,用于接收数据报文;
转发控制模块,用于根据预先设置的访问控制列表,控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口;
所述设置模块包括:
匹配单元,用于为预先创建的访问控制列表中的各访问控制项增加目的介质访问控制地址,所述目的介质访问控制地址为交换机的介质访问控制地址;
处理单元,用于根据所述三层输出端口的IP地址范围,对增加了目的介质访问控制地址的各访问控制项进行有效性处理,包括:删除目的地址在所述三层输出端口的IP地址范围外的访问控制项;将访问控制项的目的IP地址与所述三层输出端口的IP地址进行取交集处理;
设置单元,用于将所述访问控制列表设置到交换机中所述三层输出端口以外的其它三层端口上。
5.根据权利要求4所述的输出访问控制装置,其特征在于,还包括
存储模块,用于存储所述预先设置的访问控制列表。
6.根据权利要求4所述的输出访问控制装置,其特征在于,还包括:
判断模块,用于判断交换机中的三层端口需要进行输出访问控制还是输入访问控制,如果该三层端口需要进行输出访问控制,则所述设置单元在该三层端口以外的其它三层端口上设置访问控制列表;如果该三层端口需要进行输入访问控制,则所述设置单元在该三层端口上设置预先创建的访问控制列表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101059670A CN101272350B (zh) | 2008-05-06 | 2008-05-06 | 输出访问控制方法与输出访问控制装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101059670A CN101272350B (zh) | 2008-05-06 | 2008-05-06 | 输出访问控制方法与输出访问控制装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101272350A CN101272350A (zh) | 2008-09-24 |
CN101272350B true CN101272350B (zh) | 2011-01-05 |
Family
ID=40006046
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101059670A Expired - Fee Related CN101272350B (zh) | 2008-05-06 | 2008-05-06 | 输出访问控制方法与输出访问控制装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101272350B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102523152A (zh) * | 2011-12-05 | 2012-06-27 | 北京星网锐捷网络技术有限公司 | 一种实现出口控制的方法及装置 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102158409B (zh) * | 2011-04-02 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种ip报文转发控制方法及其设备 |
CN104243211A (zh) * | 2014-09-22 | 2014-12-24 | 北京星网锐捷网络技术有限公司 | 一种数据流的镜像方法及装置 |
CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
CN106302530A (zh) * | 2016-09-30 | 2017-01-04 | 苏州迈科网络安全技术股份有限公司 | 基于指令的报文过滤方法及系统 |
CN108347376B (zh) * | 2017-01-24 | 2020-01-31 | 华为技术有限公司 | 一种调整转发路径的方法、装置及系统 |
CN108259378B (zh) * | 2017-03-30 | 2021-09-21 | 新华三技术有限公司 | 一种报文处理方法及装置 |
CN111669338B (zh) * | 2019-03-05 | 2022-08-05 | 杭州海康威视数字技术股份有限公司 | 一种报文转发方法、装置、高密度服务器及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1655534A (zh) * | 2005-02-25 | 2005-08-17 | 清华大学 | 核心路由器上支持访问控制列表功能的双栈兼容路由查找器 |
CN1738290A (zh) * | 2004-08-18 | 2006-02-22 | 华为技术有限公司 | 基于访问控制列表的网络访问控制方法 |
CN1801771A (zh) * | 2005-01-04 | 2006-07-12 | 华为技术有限公司 | 透传虚拟局域网数据的方法 |
-
2008
- 2008-05-06 CN CN2008101059670A patent/CN101272350B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1738290A (zh) * | 2004-08-18 | 2006-02-22 | 华为技术有限公司 | 基于访问控制列表的网络访问控制方法 |
CN1801771A (zh) * | 2005-01-04 | 2006-07-12 | 华为技术有限公司 | 透传虚拟局域网数据的方法 |
CN1655534A (zh) * | 2005-02-25 | 2005-08-17 | 清华大学 | 核心路由器上支持访问控制列表功能的双栈兼容路由查找器 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102523152A (zh) * | 2011-12-05 | 2012-06-27 | 北京星网锐捷网络技术有限公司 | 一种实现出口控制的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101272350A (zh) | 2008-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101272350B (zh) | 输出访问控制方法与输出访问控制装置 | |
JP4382528B2 (ja) | マルチキャストネットワーク装置,マルチキャストネットワークシステムおよびマルチキャスト方法 | |
EP2108224B1 (en) | Multipath virtual router redundancy | |
CN101141304B (zh) | Acl规则的管理方法和设备 | |
CN100417142C (zh) | 将接口流量在多个网络处理器引擎中均担的方法 | |
CN1856163B (zh) | 一种具有会话边界控制器的通信系统及其传输信令的方法 | |
US9077607B2 (en) | Border gateway protocol inbound policy optimization | |
CN101043430B (zh) | 一种设备之间网络地址转换的方法 | |
RU2005102829A (ru) | Динамическое конфигурирование порта сетевого оборудования | |
CN100481832C (zh) | 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 | |
US20110080907A1 (en) | Method and Apparatus for Specifying IP Termination in a Network Element | |
CN101552783A (zh) | 一种防止伪造报文攻击的方法和装置 | |
EP1419625A1 (en) | Virtual egress packet classification at ingress | |
CN110086707B (zh) | 一种基于双协议栈的网关系统 | |
CN101141396B (zh) | 报文处理方法和网络设备 | |
JP2001249866A (ja) | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード | |
EP1517518B1 (en) | Data packet filtering in a client-router-server architecture | |
CN101447927B (zh) | 用户终端之间三层隔离的方法和路由设备 | |
US9025606B2 (en) | Method and network node for use in link level communication in a data communications network | |
CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
US7409458B2 (en) | Network system with shared filtering information | |
EP1543653B1 (en) | Method for routing data packets, and devices for implementing the method | |
JP4063786B2 (ja) | マルチキャストパケット配信システム | |
US20040193708A1 (en) | Connection management apparatus for network devices | |
JP2007129283A (ja) | データ転送装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110105 Termination date: 20210506 |