CN101557312A - 控制网络设备的访问控制列表的方法及装置 - Google Patents
控制网络设备的访问控制列表的方法及装置 Download PDFInfo
- Publication number
- CN101557312A CN101557312A CNA200910107242XA CN200910107242A CN101557312A CN 101557312 A CN101557312 A CN 101557312A CN A200910107242X A CNA200910107242X A CN A200910107242XA CN 200910107242 A CN200910107242 A CN 200910107242A CN 101557312 A CN101557312 A CN 101557312A
- Authority
- CN
- China
- Prior art keywords
- acl
- node
- network equipment
- rule
- child node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开控制网络设备的访问控制列表的方法及装置,其中,该方法将所述网络设备的访问控制列表ACL映射到简单网络管理协议SNMP的管理信息库MIB中,得到ACL树,该方法包括:通过所述SNMP读取所述MIB中的ACL树;根据所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。可以通过SNMP控制网络设备的ACL的方法及装置,相对于网管人员人工输入大量的配置命令控制网络设备的ACL的技术方案,降低ACL的配置复杂度,进而提高网络设备的工作效率。
Description
技术领域
本发明涉及控制网络设备的访问控制列表(Access Control List,ACL)的方法及装置,尤其涉及通过简单网络管理协议(Simple NetworkManagement Protocol,SNMP)控制网络设备的ACL的方法及装置。
背景技术
随着因特网的高速发展,网络安全成为人们关注的重点。访问控制列表(Access Control List,ACL)是路由器接口的指令列表,用来控制端口进出的数据包,是提供网络安全访问的基本手段。
一般网络设备中的ACL配置修改,基本上都要求网管人员手动的在网络设备中输入大量复杂的配置命令,从而降低了网络设备的工作效率。
发明内容
本发明的目的在于提供控制网络设备的ACL的方法及装置,降低ACL的配置复杂度,进而提高网络设备的工作效率。
本发明提供一种控制网络设备的ACL的方法,将所述网络设备的ACL映射到SNMP的管理信息库MIB中,得到ACL树,该方法包括:
通过所述SNMP读取所述MIB中的ACL树;
根据所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。
本发明还提供一种控制网络设备的ACL的装置,将所述网络设备的ACL映射到SNMP的管理信息库MIB中,得到ACL树,该装置包括:
读取单元,用于通过所述SNMP读取所述MIB中的ACL树;
控制单元,用于根据所述读取单元读取的所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。
采用本发明提供的SNMP控制网络设备的ACL的方法及装置,可以通过SNMP控制网络设备的ACL,相对于网管人员人工输入大量的配置命令控制网络设备的ACL的技术方案,降低ACL的配置复杂度,进而提高网络设备的工作效率。
附图说明
图1示出本发明通过SNMP控制网络设备的ACL的方法的流程示意图;
图2示出MIB中ACL树的结构示意图;
图3示出通过SNMP对网络设备的ACL进行查询的示意图;
图4示出通过SNMP对网络设备的ACL及ACL规则进行修改的示意图;
图5示出通过SNMP对网络设备的ACL规则进行删除的示意图;
图6示出通过SNMP对网络设备的ACL进行删除的示意图;
图7示出本发明通过SNMP控制网络设备的ACL的装置。
具体实施方式
下面结合附图对本发明的具体实施方式做详细阐述。本发明通过将ACL映射到SNMP的管理信息库(MIB),得到ACL树,并使得MIB中的ACL树与网络设备中的ACL进行统一,从而可以通过SNMP控制MIB中的ACL树,进而达到控制网络设备的ACL的目的。
图1示出本发明通过SNMP控制网络设备的ACL的方法的流程示意图。请参阅图1,将网络设备的ACL映射到SNMP的管理信息库MIB中,得到ACL树,该方法包括:
101、通过SNMP读取MIB中的ACL树;
102、根据ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。
图2示出MIB中ACL树的结构示意图。请参阅图2,ACL树中的第一级子节点包括:ACL_Summary节点、ACL_Info_Table节点和ACL_Rule_Table节点。
其中,ACL_Summary即为网络设备的ACL概要,ACL_Summary中包括但不限于:该网络设备中已经配置的ACL总数,已经配置的使用name的ACL总数,标准IPv4_ACL规则总数,扩展IPv4_ACL规则总数等。扩展IPv4_ACL规则总数可以包括但不限于标准IPv6_ACL规则总数以及标准IPv6_ACL规则总数等。
ACL_Info_Table即为该网络设备的ACL基本信息,ACL_Info_Table中包括但不限于:该网络设备中ACL的ACL_Number,ACL_Name,ACL_Alias,ACL_State,ACL_Mode,ACL_Rule等。
其中,ACL_Number为该ACL的ID编号。ACL_Name为该ACL的Name名称。ACL_Alias为该ACL的别名。ACL_State为该ACL的状态。当该ACL的状态为destroy的时候,将该ACL删除,并同时删除该ACL所包含的rule(规则)。ACL_Mode为该ACL的模式。ACL_Rule为该ACL的rule总数。
ACL_Rule_Table即为该网络设备的ACL规则信息,ACL_Rule_Table中包括但不限于:该网络设备中ACL规则的ACL_Rule_Number,ACL_Rule_Souce_IP,ACL_Rule_Souce_mask,ACL_Rule_Destination_IP,ACL_Rule_Destination_mask,ACL_Rule_Mode,ACL_Rule_State,ACL_Number等。
其中,ACL_Rule_Number为该ACL规则的ID编号。ACL_Rule_Souce_IP为该ACL规则中源IP地址。ACL_Rule_Souce_mask为该ACL规则中源IP地址的子网掩码。ACL_Rule_Destination_IP为该ACL规则中目的IP地址。ACL_Rule_Destination_mask为该ACL规则中目的IP地址的子网掩码。ACL_Rule_Mode为该ACL规则的模式,分别为禁止(deny)和允许(permit)两种模式选择。ACL_Rule_State为该ACL规则的状态,当该状态为破坏(destroy)的时候,删除该条规则。ACL_Number为该ACL规则相对应的ACL的ID编号。该值用来表示和确定此ACL规则是属于哪个具体ACL表项的。
其中绝大部分的ACL节点应该是容许被set操作赋值的。
对于不同类型的节点,通过SNMP控制MIB中的ACL树,从而实现对网络设备的ACL进行控制的方式是不同的:
对于ACL_Summary节点而言,由于ACL_Summary节点一般没有子节点,因此,对ACL_Summary节点及其子节点的管理主要是查询,即查询ACL_Summary节点内的相关信息,得到网络设备的ACL信息总汇。
对于ACL_Info_Table节点而言,其子节点主要是ACL基本信息,对于这些子节点参数的修改必须是合法的,即子节点处于可以修改的状态(未处于应用状态)以及修改后的参数是被允许的参数,如果子节点处于不可修改的状态或者修改后的参数是被禁止的参数,则修改不成功,返回错误信息。具体的过程包括:
查询ACL_Info_Table节点内的相关信息,得到网络设备的ACL基本信息;
判断ACL_Info_Table节点的子节点是否处于应用状态;
当ACL_Info_Table节点的子节点未处于应用状态时,按照从子节点到父节点的顺序,修改相应子节点的参数。
对于ACL_Rule_Table节点而言,其子节点主要是ACL规则信息,具体的过程包括:
查询ACL_Rule_Table节点内的相关信息,得到网络设备的ACL规则信息;
按照从子节点到父节点的顺序,修改ACL_Rule_Table相应子节点的参数。
以上修改可以包括变更或者删除。
下面举例对本发明通过SNMP控制网络设备的ACL的方法的应用进行说明。
图3示出通过SNMP对网络设备的ACL进行查询的示意图,请参阅图3:
301、使用SNMP管理进程对网络设备的MIB库进行读操作,即代理进程收到get操作请求;
302、代理进程访问MIB库,并向管理进程进行返回信息,返回的信息包括:通过ACL_Summary节点内的相关信息,可以了解到当前该网络设备的ACL信息总汇;通过ACL_Info_Table节点内的相关信息,可以了解到当前该网络设备的ACL的具体信息,如ACL的ID编号,ACL名称,ACL的别名,ACL的模式,以及ACL目前的状态等;通过ACL_Rule_Table节点内的相关信息,可以了解到当前该网络设备的具体ACL规则信息。并且可以根据该ACL规则表中的ACL_Number,这一节点的返回值,确定该规则具体所属的ACL。
图4示出通过SNMP对网络设备的ACL及ACL规则进行修改的示意图。使用SNMP管理进程对网络设备的ACL进行查询操作;对已知的ACL规则的相关节点实例进行set操作,达到修改ACL规则的目的(可以修改规则的模式:deny或者permit,源或目的IP、掩码等等)。请参阅图4:
401、对已知ACL表项的别名进行修改;
402、修改的ACL表项是否处于应用状态;是则转入步骤403,否则转入步骤404;
403、无法修改,或者修改成功后该ACL的状态转为未应用状态;
404、修改成功。
图5示出通过SNMP对网络设备的ACL规则进行删除的示意图。使用SNMP管理进程对网络设备的ACL进行查询操作。请参阅图5:
501、对已知的ACL规则的相关ACL规则状态(ACL_Rule_State)节点实例的进行set操作,使该规则的状态为destroy;即,管理进程对已知ACL_Rule_State进行set操作,修改状态为destroy;
502、修改成功删除该ACL规则。
图6示出通过SNMP对网络设备的ACL进行删除的示意图。使用SNMP管理进程对网络设备的ACL进行查询操作。请参阅图6:
601、对已知的ACL_Info_Table中的相关ACL状态(ACL_State)节点实例的进行set操作,使该ACL的状态为destroy;
602、修改的ACL表相是否处于应用状态,是则转入步骤603,否则转入步骤604;
603、无法删除,并返回错误信息;
604、删除该ACL。
图7示出本发明通过SNMP控制网络设备的ACL的装置。请参阅图7,将网络设备的ACL映射到SNMP的管理信息库MIB中,得到ACL树,该装置包括:
读取单元701,用于通过SNMP读取MIB中的ACL树;
控制单元702,用于根据读取单元读取的ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。
进一步的,控制单元可以包括:
分类子单元,用于划分读取单元读取的ACL树中各节点的类型;
第一查询子单元,用于当分类子单元划分的节点为ACL_Summary节点时,查询ACL_Summary节点内的相关信息,得到网络设备的ACL信息总汇。
进一步的,控制单元还可以包括:
第二查询子单元,用于当分类子单元划分的节点为ACL_Info_Table节点时,查询ACL_Info_Table节点内的相关信息,得到网络设备的ACL基本信息;
判断子单元,用于判断第二查询子单元查询到的ACL_Info_Table节点的子节点是否处于应用状态;
第二修改子单元,用于根据判断子单元的判断结果,当ACL_Info_Table节点的子节点未处于应用状态时,按照从子节点到父节点的顺序,修改相应子节点的参数。
进一步的,控制单元还可以包括:
第三查询子单元,用于当分类子单元划分的节点为ACL_Rule_Table节点时,查询ACL_Rule_Table节点内的相关信息,得到网络设备的ACL规则信息;
第三修改子单元,用于根据第三查询子单元的查询结果,按照从子节点到父节点的顺序,修改ACL_Rule_Table相应子节点的参数。
其中,第一查询子单元与第二查询子单元可以独立设置,也可以集成在一起。第一查询子单元与第三查询子单元可以独立设置,也可以集成在一起。第二查询子单元与第三查询子单元可以独立设置,也可以集成在一起。第一查询子单元、第二查询子单元和第三查询子单元可以独立设置,也可以集成在一起。
第二修改子单元和第三修改子单元可以独立设置,也可以集成在一起。
本实施例中通过SNMP控制网络设备的ACL的装置可以独立设置,也可以集成在网络设备中。
采用本发明提供的SNMP控制网络设备的ACL的方法及装置,可以通过SNMP控制MIB中的ACL树,从而实现通过SNMP控制网络设备的ACL的目的,相对于网管人员人工输入大量的配置命令控制网络设备的ACL的技术方案,降低ACL的配置复杂度,进而提高网络设备的工作效率。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1、一种控制网络设备的访问控制列表的方法,将所述网络设备的访问控制列表ACL映射到简单网络管理协议SNMP的管理信息库MIB中,得到ACL树,其特征在于,该方法包括:
通过所述SNMP读取所述MIB中的ACL树;
根据所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。
2、根据权利要求1所述的方法,其特征在于,所述ACL树中的第一级子节点包括:ACL_Summary节点、ACL_Info_Table节点和ACL_Rule_Table节点。
3、根据权利要求2所述的方法,其特征在于,根据所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数包括:
查询所述ACL_Summary节点内的相关信息,得到所述网络设备的ACL信息总汇。
4、根据权利要求2所述的方法,其特征在于,根据所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数包括:
查询所述ACL_Info_Table节点内的相关信息,得到所述网络设备的ACL基本信息;
判断所述ACL_Info_Table节点的子节点是否处于应用状态;
当所述ACL_Info_Table节点的子节点未处于应用状态时,按照从子节点到父节点的顺序,修改相应子节点的参数。
5、根据权利要求2所述的方法,其特征在于,根据所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数包括:
查询所述ACL_Rule_Table节点内的相关信息,得到所述网络设备的ACL规则信息;
按照从子节点到父节点的顺序,修改ACL_Rule_Table相应子节点的参数。
6、根据权利要求3至5任一项所述的方法,其特征在于,所述修改包括变更或者删除。
7、一种控制网络设备的访问控制列表的装置,将所述网络设备的访问控制列表ACL映射到简单网络管理协议SNMP的管理信息库MIB中,得到ACL树,其特征在于,该装置包括:
读取单元,用于通过所述SNMP读取所述MIB中的ACL树;
控制单元,用于根据所述读取单元读取的所述ACL树中各节点的类型,按照从子节点到父节点的顺序,管理各节点的参数。
8、根据权利要求7所述的装置,其特征在于,所述控制单元包括:
分类子单元,用于划分所述读取单元读取的所述ACL树中各节点的类型。
9、根据权利要求8所述的装置,其特征在于,所述控制单元还包括:
第一查询子单元,用于当所述分类子单元划分的节点为ACL_Summary节点时,查询所述ACL_Summary节点内的相关信息,得到所述网络设备的ACL信息总汇。
10、根据权利要求8所述的装置,其特征在于,所述控制单元还包括:
第二查询子单元,用于当所述分类子单元划分的节点为ACL_Info_Table节点时,查询所述ACL_Info_Table节点内的相关信息,得到所述网络设备的ACL基本信息;
判断子单元,用于判断所述第二查询子单元查询到的所述ACL_Info_Table节点的子节点是否处于应用状态;
第二修改子单元,用于根据所述判断子单元的判断结果,当所述ACL_Info_Table节点的子节点未处于应用状态时,按照从子节点到父节点的顺序,修改相应子节点的参数。
11、根据权利要求8所述的装置,其特征在于,所述控制单元还包括:
第三查询子单元,用于当所述分类子单元划分的节点为ACL_Rule_Table节点时,查询所述ACL_Rule_Table节点内的相关信息,得到所述网络设备的ACL规则信息;
第三修改子单元,用于根据所述第三查询子单元的查询结果,按照从子节点到父节点的顺序,修改ACL_Rule_Table相应子节点的参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910107242XA CN101557312B (zh) | 2009-05-08 | 2009-05-08 | 控制网络设备的访问控制列表的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910107242XA CN101557312B (zh) | 2009-05-08 | 2009-05-08 | 控制网络设备的访问控制列表的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101557312A true CN101557312A (zh) | 2009-10-14 |
| CN101557312B CN101557312B (zh) | 2012-07-04 |
Family
ID=41175266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910107242XA Active CN101557312B (zh) | 2009-05-08 | 2009-05-08 | 控制网络设备的访问控制列表的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101557312B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102487374A (zh) * | 2010-12-01 | 2012-06-06 | 中兴通讯股份有限公司 | 一种访问控制列表实现方法及装置 |
| CN103377261A (zh) * | 2012-04-28 | 2013-10-30 | 瑞昱半导体股份有限公司 | 管理存取控制清单的装置、执行装置以及方法 |
| CN104092678A (zh) * | 2014-07-02 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种访问控制列表的配置方法和装置 |
| CN107196947A (zh) * | 2017-06-08 | 2017-09-22 | 郑州云海信息技术有限公司 | 一种访问控制列表设置方法及系统 |
| WO2020107484A1 (zh) * | 2018-11-30 | 2020-06-04 | 华为技术有限公司 | 一种acl的规则分类方法、查找方法和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1332528C (zh) * | 2003-01-24 | 2007-08-15 | 华为技术有限公司 | 网管标准代理中信息管理库树的加载实现方法 |
| CN1929396A (zh) * | 2005-09-09 | 2007-03-14 | 中兴通讯股份有限公司 | 一种网络中实现对网元进行数据配置的方法 |
| CN100484031C (zh) * | 2006-06-08 | 2009-04-29 | 华为技术有限公司 | 一种可扩展的网络管理系统和方法 |
| CN101068161A (zh) * | 2007-06-26 | 2007-11-07 | 中兴通讯股份有限公司 | 一种动态生成网络设备配置策略组的方法 |
-
2009
- 2009-05-08 CN CN200910107242XA patent/CN101557312B/zh active Active
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102487374A (zh) * | 2010-12-01 | 2012-06-06 | 中兴通讯股份有限公司 | 一种访问控制列表实现方法及装置 |
| CN103377261A (zh) * | 2012-04-28 | 2013-10-30 | 瑞昱半导体股份有限公司 | 管理存取控制清单的装置、执行装置以及方法 |
| CN104092678A (zh) * | 2014-07-02 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种访问控制列表的配置方法和装置 |
| CN107196947A (zh) * | 2017-06-08 | 2017-09-22 | 郑州云海信息技术有限公司 | 一种访问控制列表设置方法及系统 |
| CN107196947B (zh) * | 2017-06-08 | 2020-05-26 | 苏州浪潮智能科技有限公司 | 一种访问控制列表设置方法及系统 |
| WO2020107484A1 (zh) * | 2018-11-30 | 2020-06-04 | 华为技术有限公司 | 一种acl的规则分类方法、查找方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101557312B (zh) | 2012-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6789376B2 (ja) | 転送ポリシーの構成 | |
| CN103997414B (zh) | 生成配置信息的方法和网络控制单元 | |
| KR101473783B1 (ko) | 터널링을 이용한 다이나믹 서비스 체이닝 제어 방법 및 장치 | |
| US8369329B2 (en) | Dynamic hierarchical address resource management architecture, method and apparatus | |
| CN101557312B (zh) | 控制网络设备的访问控制列表的方法及装置 | |
| CN102017687B (zh) | 终端设备管理树管理对象实例化的方法及设备 | |
| CN105634829B (zh) | 一种网络设备管理方法 | |
| CN106487558A (zh) | 一种实现接入设备扩缩容的方法和装置 | |
| CN105703960A (zh) | 基于sdn的网络功能管理系统及方法 | |
| CN103634177A (zh) | 基于网络业务的组态实现方法和系统 | |
| CN102137024A (zh) | 报文处理方法、出口路由设备及边界路由设备 | |
| CN101335637A (zh) | 一种组播控制的方法及装置 | |
| JP2016048854A (ja) | データ転送システム及び方法 | |
| CN101677441B (zh) | 一种授权控制的方法、装置和系统 | |
| CN106302220A (zh) | 一种sdn网络精细化控制传统交换机的方法 | |
| CN104243299A (zh) | 一种隧道处理方法及系统、控制面设备、转发面设备 | |
| CN104065514A (zh) | 一种基于netconf中继的家庭网络管理方法 | |
| CN101902391B (zh) | 基于智能的静态路由进行报文转发的方法和设备 | |
| CN106302638A (zh) | 一种数据管理方法、转发设备及系统 | |
| US7099323B1 (en) | Method, apparatus and system for management of multicast routes for a plurality of routing protocols in a network device | |
| CN103856414B (zh) | IPv6数据包服务质量处理方法及设备 | |
| CN114025000A (zh) | 网络访问关系的建立方法、装置、设备及存储介质 | |
| CN103873372A (zh) | 基于域名的策略路由系统及设置方法 | |
| CN103179031B (zh) | 基于流方式的多业务转发和处理方法 | |
| CN105812168B (zh) | 一种绘制网络拓扑图的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |