CN106302306B - 一种基于访问控制列表acl的流量统计方法及装置 - Google Patents
一种基于访问控制列表acl的流量统计方法及装置 Download PDFInfo
- Publication number
- CN106302306B CN106302306B CN201510237897.4A CN201510237897A CN106302306B CN 106302306 B CN106302306 B CN 106302306B CN 201510237897 A CN201510237897 A CN 201510237897A CN 106302306 B CN106302306 B CN 106302306B
- Authority
- CN
- China
- Prior art keywords
- acl
- port
- action
- statistical
- statistics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Algebra (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于访问控制列表ACL的流量统计方法及装置,该方法包括:将第一ACL绑定至一设备的第一端口;获取所述第一端口的ACL统计配置信息,所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息;在所述第一端口已使能ACL统计功能时,根据统计的动作和方向,针对所述第一ACL中的规则,进行匹配报文的流量统计。本发明支持开启不同动作的ACL统计,并动态更新ACL统计配置,无需手动配置更新,且在ACL规则更新后,会重建更新后ACL的流量统计缓存,无需将原有ACL与更新后ACL进行比较,避免了ACL统计配置的繁琐性和耗时性,极大地缩短了ACL统计的比较时间,同时降低了ACL统计的复杂程度。
Description
技术领域
本发明涉及数据通信领域,特别涉及一种基于访问控制列表ACL的流量统计方法及装置。
背景技术
ACL访问控制列表,是一种流分类工具,高端路由器使用ACL可以实现端口流量的分类和控制、路由策略、策略路由等功能。ACL可以依据报文中的字段对报文进行筛选过滤,最为常见的筛选字段是数据报文中的五元组,即源IP地址、目的IP地址、协议号、源端口号和目的端口号。
一张ACL列表可以有多条规则,每条规则都描述了一定的匹配条件。对于给定的报文,从第一条规则开始判读是否匹配,一旦匹配中规则,就执行规则内设定的动作(permit或deny)并返回。
访问控制列表统计(ACL log),是用来记录端口转发报文在应用ACL规则后,若报文匹配中规则,且规则log统计开关打开时,匹配中规则的入向、出向报文个数;也就是说需要满足两个条件才会进行统计,一是端口绑定了ACL,二是ACL中需要进行统计的规则使能了log统计。
然而,传统的ACL统计的方法存在如下问题:
1、ACL统计是基于规则配置的,用户需要逐条打开统计开关以及逐条关闭统计开关;打开统计的规则会进行统计,否则不会进行统计;若存在多条规则时,配置复杂。
2、当ACL规则更新后,新ACL中的每条规则需要和原有ACL的所有规则进行比较,以判断集合的变化,增加的规则需要分配新的计数器,删除的规则需要回收计数器,未发生变化的规则其对应的计数器不变。比如,若ACL有10K条规则,则需要比较10K*10K次,非常耗时。
3、当ACL规则更新后,ACL统计不会相应更新,只能通过手动的方式关闭ACL log。
4、无法基于动作(permit或deny)区分是否进行ACL统计,只能逐个配置。
发明内容
本发明提供了一种基于访问控制列表ACL的流量统计方法及装置,其目的是为了解决传统的ACL统计的方法复杂度高,耗时,且无法基于动作进行ACL统计的问题。
为了达到上述目的,本发明提供了一种基于访问控制列表ACL的流量统计方法,包括:
将第一ACL绑定至一设备的第一端口;
获取所述第一端口的ACL统计配置信息,所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息;
在所述第一端口已使能ACL统计功能时,根据统计的动作和方向,针对所述第一ACL中的规则,进行匹配报文的流量统计。
进一步地,所述将第一ACL绑定至一设备的第一端口的步骤之后,所述方法还包括:
更新所述第一ACL的端口绑定信息,以及更新所述第一端口的ACL绑定信息,其中,所述第一ACL的端口绑定信息中记录有所述第一ACL绑定到的端口的信息,所述第一端口的ACL绑定信息记录有所述第一端口上绑定的ACL的信息。
进一步地,所述方法还包括:
接收第一端口的ACL统计功能的使能命令以及针对第一端口的ACL统计配置的第一配置信息;
获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
在所述第一端口未绑定ACL时,根据所述第一配置信息,使能所述第一端口的ACL统计功能;
在所述第一端口已绑定ACL时,判断所述第一端口是否已使能ACL统计功能,并在所述第一端口已使能ACL统计功能时,根据所述第一配置信息,更新所述第一端口的ACL统计配置,并在更新完成后,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
进一步地,在所述第一端口已绑定ACL时,且所述第一端口未使能ACL统计功能时,所述方法还包括:
根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
进一步地,所述根据所述第一配置信息,更新所述第一端口的ACL统计配置,具体包括:
比较已使能的ACL统计功能和所述第一配置信息中的统计的动作;
若所述已使能的ACL统计功能和所述第一配置信息中的统计的动作相同,则不执行任何动作;
若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为all,则保留所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为all,则保留所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为deny,则删除所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为permit,则删除所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为permit,则保留所述第一端口已有的针对permit动作的计数器,删除所述第一端口已有的针对deny动作的计数器;
若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为deny,则保留所述第一端口已有的针对动作deny的计数器,删除所述第一端口已有的针对permit动作的计数器。
进一步地,所述方法还包括:
接收对第一ACL的更新命令;
根据所述第一ACL的端口绑定信息,确定所述第一ACL绑定的端口;
针对所述第一ACL绑定的每个端口,删除该端口上所述第一ACL的流量统计缓存,并将更新后的第一ACL下发至该端口,以及针对所述更新后的第一ACL重建流量统计缓存。
进一步地,所述方法还包括:
接收第一端口的ACL统计功能的关闭命令;
获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
在所述第一端口未绑定ACL时,去使能所述第一端口的ACL统计功能;
在所述端口已绑定ACL时,去使能所述第一端口的ACL统计功能并删除该端口上绑定的所述ACL以及所述ACL的流量统计缓存。
为达上述目的,本发明还提供了一种基于访问控制列表ACL的流量统计装置,该装置包括:
绑定模块,用于将第一ACL绑定至一设备的第一端口;
第一获取模块,获取所述第一端口的ACL统计配置信息,所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息;
统计模块,用于在所述第一端口已使能ACL统计功能时,根据统计的动作和方向,针对所述第一ACL中的规则,进行匹配报文的流量统计。
进一步地,所述装置还包括,第一更新模块,用于在所述绑定模块将第一ACL绑定至一设备的第一端口的之后,
更新所述第一ACL的端口绑定信息,以及更新所述第一端口的ACL绑定信息,其中,所述第一ACL的端口绑定信息中记录有所述第一ACL绑定到的端口的信息,所述第一端口的ACL绑定信息记录有所述第一端口上绑定的ACL的信息。
进一步地,所述装置还包括:
第一接收模块,用于接收第一端口的ACL统计功能的使能命令以及针对第一端口的ACL统计配置的第一配置信息;
第二获取模块,用于获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
第一使能模块,用于在所述第一端口未绑定ACL时,根据所述第一配置信息,使能所述第一端口的ACL统计功能;
第一判断模块,用于在所述第一端口已绑定ACL时,判断所述第一端口是否已使能ACL统计功能,并在所述第一端口已使能ACL统计功能时,根据所述第一配置信息,更新所述第一端口的ACL统计配置,并在更新完成后,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
进一步地,所述第一判断模块包括第一执行子模块,
用于在所述第一端口已绑定ACL时,且所述第一端口未使能ACL统计功能时,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
进一步地,所述装置还包括第二更新模块,用于根据所述第一配置信息,更新第一端口的ACL统计配置,并比较已使能的ACL统计功能和所述第一配置信息中的统计的动作;
所述第二更新模块具体包括:
第一子模块,用于在所述已使能的ACL统计功能和第一配置信息中的统计的动作相同时,不执行任何动作;
第二子模块,用于在所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为all时,保留所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
第三子模块,用于在所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为all,则保留所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
第四子模块,用于在所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为deny时,删除所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
第五子模块,用于在所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为permit时,删除所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
第六子模块,用于在所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为permit时,保留所述第一端口已有的针对permit动作的计数器,删除所述第一端口已有的针对deny动作的计数器;
第七子模块,用于在若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为deny时,保留所述第一端口已有的针对动作deny的计数器,删除所述第一端口已有的针对permit动作的计数器。
进一步地,所述装置还包括:
第二接收模块,用于接收对第一ACL的更新命令;
第一查找模块,用于根据所述第一ACL的端口绑定信息,确定所述第一ACL绑定的端口;
第三更新模块,用于针对所述第一ACL绑定的每个端口,删除该端口上配置的所述第一ACL以及所述第一ACL的流量统计缓存,并将更新后的第一ACL下发至该端口,以及针对所述更新后的第一ACL重建流量统计缓存。
进一步地,所述装置还包括:
第三接收模块,用于接收第一ACL统计的关闭命令;
第二判断模块,用于获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
第一关闭模块,用于在所述端口未绑定ACL时,去使能所述第一端口的ACL统计功能;
第二关闭模块,用于在所述端口已绑定ACL时,去使能所述第一端口的ACL统计功能并删除该端口上所述ACL的流量统计缓存。
本发明的上述方案至少包括以下有益效果:
本发明提供的基于访问控制列表ACL的流量统计方法及装置,支持开启不同动作的ACL统计,并动态更新ACL统计配置,无需手动配置更新,且在ACL规则更新后,会删除原有ACL的流量统计缓存,重建更新后ACL的流量统计缓存,无需将原有ACL与更新后ACL进行比较,避免了ACL统计配置的繁琐性和耗时性,极大地缩短了ACL统计的比较时间,同时降低了ACL统计的复杂程度。
附图说明
图1为本发明实施例所述的基于访问控制列表ACL的流量统计方法的步骤流程图;
图2为本发明实施例所述的基于访问控制列表ACL的流量统计方法的ACL统计步骤流程图;
图3为本发明实施例所述的基于访问控制列表ACL的流量统计方法的更新ACL统计动作的步骤流程图;
图4为本发明实施例所述的基于访问控制列表ACL的流量统计方法的更新ACL规则的流量统计的步骤流程图;
图5为本发明实施例所述的基于访问控制列表ACL的流量统计方法的关闭ACL统计的步骤流程图;
图6为本发明实施例所述的基于访问控制列表ACL的流量统计的装置的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
为了达到上述目的,本发明的实施例提供了一种基于访问控制列表ACL的流量统计方法;
参见图1,该方法包括:
步骤11,将第一ACL绑定至一设备的第一端口;
步骤12,获取所述第一端口的ACL统计配置信息,所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息;本发明提供的基于访问控制列表ACL的流量统计方法支持开启不同动作的ACL统计,可以是permit、deny或all。
步骤13,在所述第一端口已使能ACL统计功能时,根据统计的动作和方向,针对所述第一ACL中的规则,进行匹配报文的流量统计。
进一步地,步骤11之后,所述方法还包括:
更新所述第一ACL的端口绑定信息,以及更新所述第一端口的ACL绑定信息,其中,所述第一ACL的端口绑定信息中记录有所述第一ACL绑定到的端口的信息,即第一ACL绑定到了哪些端口;所述第一端口的ACL绑定信息记录有所述第一端口上绑定的ACL的信息,即所述第一端口上绑定了哪些ACL规则。
参见图2,所述方法还包括:
步骤21,接收第一端口的ACL统计功能的使能命令以及针对第一端口的ACL统计配置的第一配置信息;
步骤22,获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
步骤23,在所述第一端口未绑定ACL时,根据所述第一配置信息,使能所述第一端口的ACL统计功能;
步骤24,在所述第一端口已绑定ACL时,判断所述第一端口是否已使能ACL统计功能;
步骤25,在所述第一端口已使能ACL统计功能时,根据所述第一配置信息,更新所述第一端口的ACL统计配置;
步骤26,在所述第一端口的ACL统计配置更新完成后,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
步骤27,在所述第一端口已绑定ACL时,且所述第一端口未使能ACL统计功能时,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
本发明提供的基于访问控制列表ACL的流量统计方法,为动态更新ACL统计配置,无需手动更新,避免了手动更新ACL统计配置的繁琐性和耗时性。
进一步地,所述步骤26或步骤27中所述根据所述第一配置信息,更新所述第一端口的ACL统计配置的步骤,具体包括:
步骤31,比较已使能的ACL统计功能和所述第一配置信息中的统计的动作;
步骤32,若所述已使能的ACL统计功能和所述第一配置信息中的统计的动作相同,则不执行任何动作;
步骤322,若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为all,则执行步骤3221:保留所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
步骤323,若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为all,则执行步骤3231:保留所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
步骤324,若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为deny,则执行步骤3241:则删除所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
步骤325,若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为permit,则执行步骤3251:删除所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
步骤326,若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为permit,则执行步骤3261:保留所述第一端口已有的针对permit动作的计数器,删除所述第一端口已有的针对deny动作的计数器;
步骤327,若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为deny,则执行步骤3271:保留所述第一端口已有的针对动作deny的计数器,删除所述第一端口已有的针对permit动作的计数器。
本发明提供的基于访问控制列表ACL的流量统计方法,当ACL规则更新后,ACL统计功能会动态更新,无需手动操作。
参见图4,所述方法还包括:
步骤41,接收对第一ACL的更新命令;
步骤42,根据所述第一ACL的端口绑定信息,确定所述第一ACL绑定的端口;
步骤43,针对所述第一ACL绑定的每个端口,删除该端口上配置的所述第一ACL以及所述第一ACL的流量统计缓存,并将更新后的第一ACL下发至该端口,以及针对所述更新后的第一ACL重建流量统计缓存。
本发明提供的基于访问控制列表ACL的流量统计方法,在ACL规则更新后,会删除原有ACL的流量统计缓存,重建更新后ACL的流量统计缓存,无需将原有ACL与更新后ACL进行比较,极大地节省了时间。
参见图5,所述方法还包括:
步骤51,接收第一端口的ACL统计功能的关闭命令;
步骤52,获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL:
步骤53,在所述端口未绑定ACL时,去使能所述第一端口的ACL统计功能;
步骤54,在所述端口已绑定ACL时,去使能所述第一端口的ACL统计功能并删除该端口上所述ACL的流量统计缓存。
参见图6,本发明还提供了一种基于访问控制列表ACL的流量统计装置,该装置包括:
绑定模块101,用于将第一ACL绑定至一设备的第一端口;
第一获取模块102,用于获取所述第一端口的ACL统计配置信息,所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息;
统计模块103,用于在所述第一端口已使能ACL统计功能时,根据统计的动作和方向,针对所述第一ACL中的规则,进行匹配报文的流量统计。
进一步地,所述装置还包括,第一更新模块104,用于在所述绑定模块101将第一ACL绑定至一设备的第一端口之后;
更新所述第一ACL的端口绑定信息,以及更新所述第一端口的ACL绑定信息,其中,所述第一ACL的端口绑定信息中记录有所述第一ACL绑定到的端口的信息,所述第一端口的ACL绑定信息记录有所述第一端口上绑定的ACL的信息。
进一步地,所述装置还包括:
第一接收模块105,用于接收第一端口的ACL统计功能的使能命令以及针对第一端口的ACL统计配置的第一配置信息;
第二获取模块106,用于获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
第一使能模块107,用于在所述第一端口未绑定ACL时,根据所述第一配置信息,使能所述第一端口的ACL统计功能;
第一判断模块108,用于在所述第一端口已绑定ACL时,判断所述第一端口是否已使能ACL统计功能,并在所述第一端口已使能ACL统计功能时,根据所述第一配置信息,更新所述第一端口的ACL统计配置,并在更新完成后,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
进一步地,所述第一判断模块108包括第一执行子模块1081,
用于在所述第一端口已绑定ACL时,且所述第一端口未使能ACL统计功能时,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
进一步地,所述装置还包括第二更新模块109,用于根据所述第一配置信息,更新第一端口的ACL统计配置,并比较已使能的ACL统计功能和所述第一配置信息中的统计的动作;
所述第二更新模块109具体包括:
第一子模块1091,用于在所述已使能的ACL统计功能和第一配置信息中的统计的动作相同时,不执行任何动作;
第二子模块1092,用于在所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为all时,保留所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
第三子模块1093,用于在所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为all,则保留所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
第四子模块1094,用于在所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为deny时,删除所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
第五子模块1095,用于在所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为permit时,删除所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
第六子模块1096,用于在所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为permit时,保留所述第一端口已有的针对permit动作的计数器,删除所述第一端口已有的针对deny动作的计数器;
第七子模块1097,用于在若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为deny时,保留所述第一端口已有的针对动作deny的计数器,删除所述第一端口已有的针对permit动作的计数器。
进一步地,所述装置还包括:
第二接收模块110,用于接收对第一ACL的更新命令;
第一查找模块111,用于根据所述第一ACL的端口绑定信息,确定所述第一ACL绑定的端口;
第三更新模块112,用于针对所述第一ACL绑定的每个端口,删除该端口上配置的所述第一ACL以及所述第一ACL的流量统计缓存,并将更新后的第一ACL下发至该端口,以及针对所述更新后的第一ACL重建流量统计缓存。
进一步地,所述装置还包括:
第三接收模块113,用于接收第一ACL统计的关闭命令;
第二判断模块114,用于获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
第一关闭模块115,用于在所述端口未绑定ACL时,去使能所述第一端口的ACL统计功能;
第二关闭模块116,用于在所述端口已绑定ACL时,去使能所述第一端口的ACL统计功能并删除该端口上所述ACL的流量统计缓存。
需要说明的是,本发明实施例提供的基于访问控制列表ACL的流量统计装置是应用上述方法的装置,即上述方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种基于访问控制列表ACL的流量统计方法,其特征在于,包括:
在将第一ACL绑定至一设备的第一端口后,更新所述第一端口的ACL绑定信息,获取所述第一端口的包括是否使能ACL统计功能、以及统计的方向和动作的信息的ACL统计配置信息;
在根据是否使能ACL统计功能,使所述第一端口已使能ACL统计功能时,根据统计的动作和方向,针对所述第一ACL中的规则,进行匹配报文的流量统计;
接收第一端口的ACL统计功能的使能命令以及针对所述第一端口的ACL统计配置的第一配置信息;
获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
若判断所述第一端口已绑定ACL,则判断所述第一端口是否已使能ACL统计功能;
当判断所述第一端口已使能ACL统计功能时,根据所述第一配置信息,更新所述第一端口的ACL统计配置信息,并在更新完成后,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
2.如权利要求1所述的基于访问控制列表ACL的流量统计方法,其特征在于,所述将第一ACL绑定至一设备的第一端口的步骤之后,所述方法还包括:
更新所述第一ACL的端口绑定信息,其中,所述第一ACL的端口绑定信息中记录有所述第一ACL绑定到的端口的信息,所述第一端口的ACL绑定信息记录有所述第一端口上绑定的ACL的信息。
3.如权利要求2所述的基于访问控制列表ACL的流量统计方法,其特征在于,所述方法还包括:
若判断所述第一端口未绑定ACL,则根据所述第一配置信息,使能所述第一端口的ACL统计功能。
4.如权利要求1-3任意一项所述的基于访问控制列表ACL的流量统计方法,其特征在于,在判断所述第一端口已绑定ACL,且判断所述第一端口未使能ACL统计功能时,所述方法还包括:
根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
5.如权利要求1所述的基于访问控制列表ACL的流量统计方法,其特征在于,所述根据所述第一配置信息,更新所述第一端口的ACL统计配置,具体包括:
比较已使能的ACL统计功能和所述第一配置信息中的统计的动作;
若所述已使能的ACL统计功能和所述第一配置信息中的统计的动作相同,则不执行任何动作;
若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为all,则保留所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为all,则保留所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为deny,则删除所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为permit,则删除所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为permit,则保留所述第一端口已有的针对permit动作的计数器,删除所述第一端口已有的针对deny动作的计数器;
若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为deny,则保留所述第一端口已有的针对动作deny的计数器,删除所述第一端口已有的针对permit动作的计数器。
6.如权利要求2所述的基于访问控制列表ACL的流量统计方法,其特征在于,所述方法还包括:
接收对第一ACL的更新命令;
根据所述第一ACL的端口绑定信息,确定所述第一ACL绑定的端口;
针对所述第一ACL绑定的每个端口,删除该端口上配置的所述第一ACL以及所述第一ACL的流量统计缓存,并将更新后的第一ACL下发至该端口,以及针对所述更新后的第一ACL重建流量统计缓存。
7.如权利要求2所述的基于访问控制列表ACL的流量统计方法,其特征在于,所述方法还包括:
接收第一端口的ACL统计功能的关闭命令;
获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
在所述第一端口未绑定ACL时,去使能所述第一端口的ACL统计功能;
在所述端口已绑定ACL时,去使能所述第一端口的ACL统计功能并删除该端口所述ACL的流量统计缓存。
8.一种基于访问控制列表ACL的流量统计装置,其特征在于,包括:
第一更新模块,用于在将第一ACL绑定至一设备的第一端口后,更新所述第一端口的ACL绑定信息;
第一获取模块,用于在将第一ACL绑定至一设备的第一端口后,获取所述第一端口的包括是否使能ACL统计功能、以及统计的方向和动作的信息的ACL统计配置信息;
统计模块,用于在根据是否使能ACL统计功能,使所述第一端口已使能ACL统计功能时,根据统计的动作和方向,针对所述第一ACL中的规则,进行匹配报文的流量统计;
第一接收模块,用于接收第一端口的ACL统计功能的使能命令以及针对第一端口的ACL统计配置的第一配置信息;
第二获取模块,用于获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
第一判断模块,用于在判断所述第一端口已绑定ACL时,判断所述第一端口是否已使能ACL统计功能,并在判断所述第一端口已使能ACL统计功能时,根据所述第一配置信息,更新所述第一端口的ACL统计配置信息,并在更新完成后,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
9.如权利要求8所述的基于访问控制列表ACL的流量统计装置,其特征在于,所述第一更新模块,还用于在将第一ACL绑定至一设备的第一端口的之后,更新所述第一ACL的端口绑定信息,其中,所述第一ACL的端口绑定信息中记录有所述第一ACL绑定到的端口的信息,所述第一端口的ACL绑定信息记录有所述第一端口上绑定的ACL的信息。
10.如权利要求9所述的基于访问控制列表ACL的流量统计装置,其特征在于,所述装置还包括:
第一使能模块,用于在所述第一端口未绑定ACL时,根据所述第一配置信息,使能所述第一端口的ACL统计功能。
11.如权利要求8-10任意一项所述的基于访问控制列表ACL的流量统计装置,其特征在于,所述第一判断模块包括第一执行子模块,
用于在所述第一端口已绑定ACL时,且所述第一端口未使能ACL统计功能时,根据所述第一配置信息中的统计的动作和方向,执行已绑定ACL的流量统计。
12.如权利要求8所述的基于访问控制列表ACL的流量统计装置,其特征在于,所述装置还包括第二更新模块,用于根据所述第一配置信息,更新第一端口的ACL统计配置,并比较已使能的ACL统计功能和所述第一配置信息中的统计的动作;
所述第二更新模块具体包括:
第一子模块,用于在所述已使能的ACL统计功能和第一配置信息中的统计的动作相同时,不执行任何动作;
第二子模块,用于在所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为all时,保留所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
第三子模块,用于在所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为all,则保留所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
第四子模块,用于在所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为deny时,删除所述第一端口已有的针对permit动作的计数器,并新增一针对deny动作的计数器;
第五子模块,用于在所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为permit时,删除所述第一端口已有的针对deny动作的计数器,并新增一针对permit动作的计数器;
第六子模块,用于在所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为permit时,保留所述第一端口已有的针对permit动作的计数器,删除所述第一端口已有的针对deny动作的计数器;
第七子模块,用于在若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为deny时,保留所述第一端口已有的针对动作deny的计数器,删除所述第一端口已有的针对permit动作的计数器。
13.如权利要求9所述的基于访问控制列表ACL的流量统计装置,其特征在于,所述装置还包括:
第二接收模块,用于接收对第一ACL的更新命令;
第一查找模块,用于根据所述第一ACL的端口绑定信息,确定所述第一ACL绑定的端口;
第三更新模块,用于针对所述第一ACL绑定的每个端口,删除该端口上配置的所述第一ACL以及所述第一ACL的流量统计缓存,并将更新后的第一ACL下发至该端口,以及针对所述更新后的第一ACL重建流量统计缓存。
14.如权利要求9所述的基于访问控制列表ACL的流量统计装置,其特征在于,所述装置还包括:
第三接收模块,用于接收第一端口的第一ACL统计的关闭命令;
第二判断模块,用于获取所述第一端口的ACL绑定信息,判断所述第一端口是否已绑定有ACL;
第一关闭模块,用于在所述端口未绑定ACL时,去使能所述第一端口的ACL统计功能;
第二关闭模块,用于在所述端口已绑定ACL时,去使能所述第一端口的ACL统计功能并删除该端口上所述ACL的流量统计缓存。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510237897.4A CN106302306B (zh) | 2015-05-11 | 2015-05-11 | 一种基于访问控制列表acl的流量统计方法及装置 |
| PCT/CN2015/093260 WO2016179973A1 (zh) | 2015-05-11 | 2015-10-29 | 一种基于访问控制列表acl的流量统计方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510237897.4A CN106302306B (zh) | 2015-05-11 | 2015-05-11 | 一种基于访问控制列表acl的流量统计方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106302306A CN106302306A (zh) | 2017-01-04 |
| CN106302306B true CN106302306B (zh) | 2020-06-05 |
Family
ID=57248646
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510237897.4A Active CN106302306B (zh) | 2015-05-11 | 2015-05-11 | 一种基于访问控制列表acl的流量统计方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106302306B (zh) |
| WO (1) | WO2016179973A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067585B (zh) * | 2018-08-15 | 2021-11-23 | 杭州迪普科技股份有限公司 | 一种查询acl表项下发方法及装置 |
| CN109218324A (zh) * | 2018-09-28 | 2019-01-15 | 山东超越数控电子股份有限公司 | 一种基于流量统计的扩展访问控制方法 |
| CN109525438A (zh) * | 2018-12-21 | 2019-03-26 | 安徽皖兴通信息技术有限公司 | 一种网络连通性排查的实现方法 |
| CN114422178B (zh) * | 2021-12-10 | 2024-04-16 | 锐捷网络股份有限公司 | 一种基于访问控制列表的统计结果上报方法、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549496A (zh) * | 2003-05-07 | 2004-11-24 | 华为技术有限公司 | 一种网际协议报文的统计方法 |
| CN101764720A (zh) * | 2009-11-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | 过滤性能测试方法和系统 |
| EP2466816A1 (en) * | 2009-09-17 | 2012-06-20 | ZTE Corporation | Method and device for detecting validation of access control list |
| CN103001828A (zh) * | 2012-12-04 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 基于数据流的报文统计方法和装置、网络设备 |
| CN104320305A (zh) * | 2014-11-12 | 2015-01-28 | 迈普通信技术股份有限公司 | 一种网络设备转发业务监控方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7133914B1 (en) * | 2001-10-31 | 2006-11-07 | Cisco Technology, Inc. | Statistics-preserving ACL flattening system and method |
| CN101594265B (zh) * | 2009-06-30 | 2011-11-16 | 北京星网锐捷网络技术有限公司 | 一种网络故障诊断方法、装置和网络设备 |
| CN101741739B (zh) * | 2009-12-01 | 2012-06-13 | 中兴通讯股份有限公司 | 一种交换设备出、入端口报文统计的方法和装置 |
| CN102546117B (zh) * | 2012-02-20 | 2015-08-05 | 瑞斯康达科技发展股份有限公司 | 一种帧丢失测量方法、装置及系统 |
| US9241245B2 (en) * | 2013-01-15 | 2016-01-19 | Apple Inc. | Management of unwanted calls and/or text messages |
-
2015
- 2015-05-11 CN CN201510237897.4A patent/CN106302306B/zh active Active
- 2015-10-29 WO PCT/CN2015/093260 patent/WO2016179973A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549496A (zh) * | 2003-05-07 | 2004-11-24 | 华为技术有限公司 | 一种网际协议报文的统计方法 |
| EP2466816A1 (en) * | 2009-09-17 | 2012-06-20 | ZTE Corporation | Method and device for detecting validation of access control list |
| CN101764720A (zh) * | 2009-11-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | 过滤性能测试方法和系统 |
| CN103001828A (zh) * | 2012-12-04 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 基于数据流的报文统计方法和装置、网络设备 |
| CN104320305A (zh) * | 2014-11-12 | 2015-01-28 | 迈普通信技术股份有限公司 | 一种网络设备转发业务监控方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016179973A1 (zh) | 2016-11-17 |
| CN106302306A (zh) | 2017-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106302306B (zh) | 一种基于访问控制列表acl的流量统计方法及装置 | |
| US9774707B2 (en) | Efficient packet classification for dynamic containers | |
| CN111919418B (zh) | 按需安全策略提供 | |
| US9270704B2 (en) | Modeling network devices for behavior analysis | |
| US10708231B2 (en) | Using headerspace analysis to identify unneeded distributed firewall rules | |
| US11805191B2 (en) | Efficient packet classification for dynamic containers | |
| US10348603B1 (en) | Adaptive forwarding tables | |
| CN103795644B (zh) | 策略表表项配置方法、装置及系统 | |
| WO2015051741A1 (en) | Packet processing | |
| US10164908B2 (en) | Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM) | |
| CN103678676A (zh) | Ip库处理方法和系统 | |
| CN112350833A (zh) | 流量过滤方法及装置 | |
| US11245611B2 (en) | Analysis of routing policy application to routes | |
| CN111404951B (zh) | 一种云网络的租户创建方法、计算机设备及存储介质 | |
| CN107888563A (zh) | 一种终端接入位置的确定方法与装置 | |
| EP2736201B1 (en) | Routing table management method and system | |
| CN102289453B (zh) | 三态内容寻址存储器规则存储方法、装置及网络设备 | |
| CN106254245A (zh) | 一种管理表项的方法及装置 | |
| US8316151B1 (en) | Maintaining spatial ordering in firewall filters | |
| US8856338B2 (en) | Efficiently relating adjacent management applications managing a shared infrastructure | |
| CN110661896B (zh) | 一种确定数据流的映射地址的方法及服务器 | |
| CN103457864A (zh) | 处理路由下一跳的方法、装置及网络设备 | |
| WO2015187200A1 (en) | Efficient packet classification for dynamic containers | |
| CN112291212A (zh) | 静态规则的管理方法、装置、电子设备和存储介质 | |
| CN106254947B (zh) | 处理资源的扩展方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |