CN106302351A - 收集访问控制列表的方法、装置及系统 - Google Patents

收集访问控制列表的方法、装置及系统 Download PDF

Info

Publication number
CN106302351A
CN106302351A CN201510299148.4A CN201510299148A CN106302351A CN 106302351 A CN106302351 A CN 106302351A CN 201510299148 A CN201510299148 A CN 201510299148A CN 106302351 A CN106302351 A CN 106302351A
Authority
CN
China
Prior art keywords
network equipment
acl
message
information
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510299148.4A
Other languages
English (en)
Other versions
CN106302351B (zh
Inventor
庄顺万
周鹏
李振斌
阴元斌
许健彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201510299148.4A priority Critical patent/CN106302351B/zh
Priority to PCT/CN2016/084146 priority patent/WO2016192618A1/zh
Priority to EP16802541.9A priority patent/EP3297245B1/en
Publication of CN106302351A publication Critical patent/CN106302351A/zh
Priority to US15/829,966 priority patent/US10560456B2/en
Application granted granted Critical
Publication of CN106302351B publication Critical patent/CN106302351B/zh
Priority to US16/739,551 priority patent/US11489836B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/03Topology update or discovery by updating link state protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/033Topology update or discovery by updating distance vector protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供了收集访问控制列表的方法、装置及系统,第二网络设备接收第一网络设备泛洪的第一LSA报文,所述第一LSA报文包括第一网络设备标识以及第一ACL信息,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域;向所述控制器发送扩展的第一BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。以便控制器能够收集所述第一网络设备的ACL信息,并对所述第一网络设备的ACL信息进行管理。采用上述方法可以收集并管理所述IGP域中任意一个或多个网络设备的ACL信息,提供了收集和管理ACL信息的方法,简化对ACL信息的维护工作。

Description

收集访问控制列表的方法、装置及系统
技术领域
本发明涉及通信技术领域,特别是涉及一种收集访问控制列表的方法、装置及系统。
背景技术
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。
访问控制列表(Access Control List,ACL)是设置在边界路由器和交换机接口的指令列表,用来控制应用所述ACL的端口进出的数据报文。当设备的端口接收到数据报文时,根据端口上应用的ACL信息对数据报文的特定字段进行分析,利用ACL信息允许或禁止相应的数据报文通过,从而达到控制网络流量的目标。
目前,边界路由器上的ACL都是按照实际需要逐一由人工静态配置的,现有技术中没有对各边界路由器静态配置的ACL进行收集和管理的实现方案。
发明内容
本发明实施例在于提供一种收集访问控制列表的方法、装置及系统,从而能够解决现有技术中没有对各边界路由器静态配置的ACL进行收集和管理的实现方案的问题。
为此,本发明解决技术问题的技术方案是:
本发明实施例第一方面提供了一种收集访问控制列表的方法,所述方法包括:
第二网络设备接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域;
所述第二网络设备向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。
在本发明实施例第一方面第一种可能的实现方式中,
所述扩展的第一BGP-LS报文包含本地节点描述符Local Node Descriptors字段和不透明节点属性类型长度值Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含所述第一网络设备标识,所述Opaque NodeAttribute TLV字段包含所述第一网络设备的第一LSA报文。
结合本发明实施例第一方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述Opaque Node Attribute TLV字段包含类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含所述第一LSA报文,所述第一LSA报文包含所述第一网络设备的第一ACL信息。
在本发明实施例第一方面第三种可能的实现方式中,
所述扩展的第一BGP-LS报文为新增的Flow-Spec NLRI,所述Flow-SpecNLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述第一网络设备标识,所述Flow-SpecDescriptors字段包括所述第一网络设备的第一ACL信息。
结合本发明实施例第一方面至第一方面第三种可能的实现方式,在第四种可能的实现方式中,
所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
结合本发明实施例第一方面第四种可能的实现方式,在第五种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一ACL信息。
结合本发明实施例第一方面至第一方面第五种可能的实现方式,在第六种可能的实现方式中,
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第一方面至第一方面第六种可能的实现方式,在第七种可能的实现方式中,所述方法还包括:
所述第二网络设备获取所述第二网络设备的第二ACL信息和第二网络设备标识;
相应地,所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。
结合本发明实施例第一方面至第一方面第七种可能的实现方式,在第八种可能的实现方式中,所述方法还包括:
所述第二网络设备生成第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备;
所述第二网络设备将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
结合本发明实施例第一方面第八种可能的实现方式,在第九种可能的实现方式中,
所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
结合本发明实施例第一方面第九种可能的实现方式,在第十种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
结合本发明实施例第一方面第八种可能的实现方式至第一方面第十种可能的实现方式,在第十一种可能的实现方式中,
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明第一方面至第一方面第十一种可能的实现方式,在第十二种可能的实现方式中,所述方法还包括:
所述第二网络设备接收所述控制器发送的扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种;
当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时,所述第二网络设备将第三LSA报文泛洪至所述IGP域中的所述目标网络设备,所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第一方面第十二种可能的实现方式,在第十三种可能的实现方式中,
所述扩展的第二BGP-LS报文包含Local Node Descriptors字段和OpaqueNode Attribute TLV字段,所述Local Node Descriptors字段包含有所述目标网络设备的标识,所述Opaque Node Attribute TLV包含有所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第一方面第十三种可能的实现方式,在第十四种可能的实现方式中,
所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第一方面第十二种可能的实现方式,在第十五种可能的实现方式中,
所述扩展的第二BGP-LS报文为新增的Flow-Spec NLRI,所述Flow-SpecNLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述目标网络设备的标识,所述Flow-SpecDescriptors字段包括所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第一方面第十二种可能的实现方式至第一方面第十五种可能的实现方式,在第十六种可能的实现方式中,
所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第一方面第十六种可能的实现方式,在第十七种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第一方面第十二种可能的实现方式至第一方面第十七种可能的实现方式,在第十八种可能的实现方式中,
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
本发明实施例第二方面提供一种收集访问控制列表的方法,所述方法包括:
第一网络设备获取所述第一网络设备的第一访问控制列表ACL信息;
所述第一网络设备生成第一链路状态通告LSA报文,所述第一LSA报文包含第一网络设备标识和与所述第一网络设备标识相关联的所述第一ACL信息,所述第一网络设备标识用于标识所述第一网络设备;
所述第一网络设备将所述第一LSA报文泛洪至所述第一网络设备所属的内部网关协议IGP域,所述第一LSA报文用于向所述IGP域中的其他网络设备宣告所述第一网络设备的第一ACL信息。
在本发明实施例第二方面第一种可能的实现方式中,
所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
结合本发明实施例第二方面第一种可能的实现方式,在第二种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
结合本发明实施例第二方面至第二方面第二种可能的实现方式,在第三种可能的实现方式中,
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第二方面至第二方面第三种可能的实现方式,在第四种可能的实现方式中,所述方法还包括:
所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
结合本发明实施例第二方面第四种可能的实现方式,在第五种可能的实现方式中,
所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
结合本发明实施例第二方面第五种可能的实现方式,在第六种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
结合本发明实施例第二方面第四种可能的实现方式至第二方面第六种可能的实现方式,在第七种可能的实现方式中,
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第二方面至第二方面第七种可能的实现方式,在第八种可能的实现方式中,所述方法还包括:
所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第三LSA报文,所述第三LSA报文携带目标网络设备的标识和与所述目标网络设备的标识相关联的第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种;
当所述第一网络设备根据所述目标网络设备的标识确定所述第三LSA报文的目标网络设备为所述第一网络设备时,所述第一网络设备从所述第三LSA报文中解析获得所述第一ACL编辑信息;
所述第一网络设备根据所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种。
结合本发明实施例第二方面第八种可能的实现方式,在第九种可能的实现方式中,
所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第二方面第九种可能的实现方式,在第十种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第二方面第八种可能的实现方式至第二方面第十种可能的实现方式,在第十一种可能的实现方式中,
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第二方面至第二方面第七种可能的实现方式,在第十二种可能的实现方式中,所述方法还包括:
所述第一网络设备接收控制器通过控制通道下发的ACL配置报文;
所述第一网络设备从所述ACL配置报文中解析第二ACL编辑信息;
所述第一网络设备根据所述第二ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种。
本发明实施例第三方面提供一种收集访问控制列表的方法,所述方法包括:
控制器接收第二网络设备发送的扩展的第一边界网关协议链路状态BGP-LS报文;
所述控制器从所述扩展的第一BGP-LS报文中解析获得第一网络设备的第一网络设备标识和第一ACL信息,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
在本发明实施例第三方面第一种可能的实现方式中,
所述扩展的第一BGP-LS报文包含本地节点描述符Local Node Descriptors字段和不透明节点属性类型长度值Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含有所述第一网络设备标识,所述Opaque NodeAttribute TLV包含有所述第一网络设备的第一ACL信息。
结合本发明实施例第三方面第一种可能的实现方式,在第二种可能的实现方式中,
所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第一LSA报文,所述第一LSA报文携带有所述第一网络设备的第一ACL信息。
结合本发明实施例第三方面第二种可能的实现方式,在第三种可能的实现方式中,
所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
结合本发明实施例第三方面第三种可能的实现方式,在第四种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
结合本发明实施例第三方面至第三方面第四种可能的实现方式,在第五种可能的实现方式中,
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
在本发明第三方面第六种可能的实现方式中,
所述扩展的第一BGP-LS报文为Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述LocalNode Descriptors字段包括所述第一网络设备标识,所述Flow-Spec Descriptors字段包括所述第一网络设备的第一ACL信息。
结合本发明实施例第三方面至第三方面第六种可能的实现方式,在第七种可能的实现方式中,所述方法还包括:
所述控制器从所述扩展的第一BGP-LS报文中解析获得第二网络设备的第二网络设备标识和第二ACL信息。
结合本发明实施例第三方面至第三方面第七种可能的实现方式,在第八种可能的实现方式中,所述方法还包括:
所述控制器向所述第二网络设备发送扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含第一目标网络设备的设备标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述第一目标网络设备的ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种。
结合本发明实施例第三方面第八种可能的实现方式,在第九种可能的实现方式中,
所述扩展的第二BGP-LS报文包含Local Node Descriptors字段和OpaqueNode Attribute TLV字段,所述Local Node Descriptors字段包含有所述第一目标网络设备的标识,所述Opaque Node Attribute TLV包含有所述第一目标网络设备的第一ACL编辑信息。
结合本发明实施例第三方面第九种可能的实现方式,在第十种可能的实现方式中,
所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述第一目标网络设备的第一ACL编辑信息。
结合本发明实施例第三方面第十种可能的实现方式,在第十一种可能的实现方式中,
所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述第一目标网络设备的标识,所述TLV字段携带所述第一目标网络设备的第一ACL编辑信息。
结合本发明实施例第三方面第十一种可能的实现方式,在第十二种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述第一目标网络设备的第一ACL编辑信息。
结合本发明实施例第三方面第十种可能的实现方式至第三方面第十二种可能的实现方式,在第十三种可能的实现方式中,
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第三方面第八种可能的实现方式,在第十四种可能的实现方式中,
所述扩展的第二BGP-LS报文为Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述LocalNode Descriptors字段包括所述目标网络设备的标识,所述Flow-SpecDescriptors字段包括所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第三方面第八种可能的实现方式至第三方面第十四种可能的实现方式,在第十五种可能的实现方式中,
所述第二BGP-LS报文还包含第二ACL编辑信息,所述第二ACL编辑信息用于对所述第二目标网络设备的第二ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种。
结合本发明实施例第三方面至第三方面第十五种可能的实现方式,在第十六种可能的实现方式中,所述方法还包括:
所述控制器利用控制通道向目标网络设备发送ACL配置报文,所述ACL配置报文中携带有第三ACL编辑信息,所述第三ACL编辑信息用于对所述目标网络设备的第一ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种。
本发明实施例第四方面提供了一种收集访问控制列表的第二网络设备,所述第二网络设备包括:
第一接收模块,用于接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域;
第一发送模块,用于向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。
在本发明实施例第四方面第一种可能的实现方式中,
所述扩展的第一BGP-LS报文包含本地节点描述符Local Node Descriptors字段和不透明节点属性类型长度值Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含所述第一网络设备标识,所述Opaque NodeAttribute TLV字段包含所述第一网络设备的第一LSA报文。
结合本发明实施例第四方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述Opaque Node Attribute TLV字段包含类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含所述第一LSA报文,所述第一LSA报文包含所述第一网络设备的第一ACL信息。
在本发明实施例第四方面第三种可能的实现方式中,
所述扩展的第一BGP-LS报文为新增的Flow-Spec NLRI,所述Flow-SpecNLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述第一网络设备标识,所述Flow-SpecDescriptors字段包括所述第一网络设备的第一ACL信息。
结合本发明实施例第四方面至第一方面第三种可能的实现方式,在第四种可能的实现方式中,
所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
结合本发明实施例第四方面第四种可能的实现方式,在第五种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一ACL信息。
结合本发明实施例第四方面至第四方面第五种可能的实现方式,在第六种可能的实现方式中,
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第四方面至第四方面第六种可能的实现方式,在第七种可能的实现方式中,所述第二网络设备还包括:
获取模块,用于获取所述第二网络设备的第二ACL信息和第二网络设备标识;
相应地,所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。
结合本发明实施例第四方面至第四方面第七种可能的实现方式,在第八种可能的实现方式中,所述第二网络设备还包括:
报文生成模块,用于生成第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备;
第二发送模块,用于将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
结合本发明实施例第四方面第八种可能的实现方式,在第九种可能的实现方式中,
所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
结合本发明实施例第四方面第九种可能的实现方式,在第十种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
结合本发明实施例第四方面第八种可能的实现方式至第四方面第十种可能的实现方式,在第十一种可能的实现方式中,
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明第四方面至第四方面第十一种可能的实现方式,在第十二种可能的实现方式中,所述第二网络设备还包括:
第二接收模块,用于接收所述控制器发送的扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种;
第三发送模块,用于当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时,将第三LSA报文泛洪至所述IGP域中的所述目标网络设备,所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第四方面第十二种可能的实现方式,在第十三种可能的实现方式中,
所述扩展的第二BGP-LS报文包含Local Node Descriptors字段和OpaqueNode Attribute TLV字段,所述Local Node Descriptors字段包含有所述目标网络设备的标识,所述Opaque Node Attribute TLV包含有所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第四方面第十三种可能的实现方式,在第十四种可能的实现方式中,
所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第四方面第十二种可能的实现方式,在第十五种可能的实现方式中,
所述扩展的第二BGP-LS报文包括Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述LocalNode Descriptors字段包括所述目标网络设备的标识,所述Flow-SpecDescriptors字段包括所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第四方面第十二种可能的实现方式至第四方面第十五种可能的实现方式,在第十六种可能的实现方式中,
所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第四方面第十六种可能的实现方式,在第十七种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第四方面第十二种可能的实现方式至第四方面第十七种可能的实现方式,在第十八种可能的实现方式中,
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
本发明实施例第五方面提供一种收集访问控制列表的第一网络设备,所述第一网络设备包括:
获取模块,用于获取所述第一网络设备的第一访问控制列表ACL信息;
报文生成模块,用于生成第一链路状态通告LSA报文,所述第一LSA报文包含第一网络设备标识和与所述第一网络设备标识相关联的所述第一ACL信息,所述第一网络设备标识用于标识所述第一网络设备;
发送模块,用于将所述第一LSA报文泛洪至所述第一网络设备所属的内部网关协议IGP域,所述第一LSA报文用于向所述IGP域中的其他网络设备宣告所述第一网络设备的第一ACL信息。
在本发明实施例第五方面第一种可能的实现方式中,
所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
结合本发明实施例第五方面第一种可能的实现方式,在第二种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
结合本发明实施例第五方面至第五方面第二种可能的实现方式,在第三种可能的实现方式中,
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第五方面至第五方面第三种可能的实现方式,在第四种可能的实现方式中,所述第一网络设备还包括:
第一接收模块,用于接收属于所述IGP域的第二网络设备泛洪的第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
结合本发明实施例第五方面第四种可能的实现方式,在第五种可能的实现方式中,
所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
结合本发明实施例第五方面第五种可能的实现方式,在第六种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
结合本发明实施例第五方面第四种可能的实现方式至第五方面第六种可能的实现方式,在第七种可能的实现方式中,
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第五方面至第五方面第七种可能的实现方式,在第八种可能的实现方式中,所述第一网络设备还包括:
第二接收模块,用于接收属于所述IGP域的第二网络设备泛洪的第三LSA报文,所述第三LSA报文携带目标网络设备的标识和与所述目标网络设备的标识相关联的第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种;
第一解析模块,用于当所述第一网络设备根据所述目标网络设备的标识确定所述第三LSA报文的目标网络设备为所述第一网络设备时,从所述第三LSA报文中解析获得所述第一ACL编辑信息;
第一编辑模块,用于根据所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
结合本发明实施例第五方面第八种可能的实现方式,在第九种可能的实现方式中,
所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第五方面第九种可能的实现方式,在第十种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第五方面第八种可能的实现方式至第五方面第十种可能的实现方式,在第十一种可能的实现方式中,
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第五方面至第五方面第七种可能的实现方式,在第十二种可能的实现方式中,所述第一网络设备还包括:
第三接收模块,用于接收控制器通过控制通道下发的ACL配置报文;
第二解析模块,用于从所述ACL配置报文中解析第二ACL编辑信息;
第二编辑模块,用于根据所述第二ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种。
本发明实施例第六方面提供一种收集访问控制列表的控制器,所述控制器包括:
接收模块,用于接收第二网络设备发送的扩展的第一边界网关协议链路状态BGP-LS报文;
第一解析模块,用于从所述扩展的第一BGP-LS报文中解析获得第一网络设备的第一网络设备标识和第一ACL信息,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
在本发明实施例第六方面第一种可能的实现方式中,
所述扩展的第一BGP-LS报文包含本地节点描述符Local Node Descriptors字段和不透明节点属性类型长度值Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含有所述第一网络设备标识,所述Opaque NodeAttribute TLV包含有所述第一网络设备的第一ACL信息。
结合本发明实施例第六方面第一种可能的实现方式,在第二种可能的实现方式中,
所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第一LSA报文,所述第一LSA报文携带有所述第一网络设备的第一ACL信息。
结合本发明实施例第六方面第二种可能的实现方式,在第三种可能的实现方式中,
所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
结合本发明实施例第六方面第三种可能的实现方式,在第四种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
结合本发明实施例第六方面至第六方面第四种可能的实现方式,在第五种可能的实现方式中,
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
在本发明第六方面第六种可能的实现方式中,
所述扩展的第一BGP-LS报文为Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述LocalNode Descriptors字段包括所述第一网络设备标识,所述Flow-Spec Descriptors字段包括所述第一网络设备的第一ACL信息。
结合本发明实施例第六方面至第六方面第六种可能的实现方式,在第七种可能的实现方式中,所述控制器还包括:
第二解析模块,用于从所述扩展的第一BGP-LS报文中解析获得第二网络设备的第二网络设备标识和第二ACL信息。
结合本发明实施例第六方面至第六方面第七种可能的实现方式,在第八种可能的实现方式中,所述控制器还包括:
第一发送模块,用于向所述第二网络设备发送扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含第一目标网络设备的设备标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述第一目标网络设备的ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种。
结合本发明实施例第六方面第八种可能的实现方式,在第九种可能的实现方式中,
所述扩展的第二BGP-LS报文包含Local Node Descriptors字段和OpaqueNode Attribute TLV字段,所述Local Node Descriptors字段包含有所述第一目标网络设备的标识,所述Opaque Node Attribute TLV包含有所述第一目标网络设备的第一ACL编辑信息。
结合本发明实施例第六方面第九种可能的实现方式,在第十种可能的实现方式中,
所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述第一目标网络设备的第一ACL编辑信息。
结合本发明实施例第六方面第十种可能的实现方式,在第十一种可能的实现方式中,
所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述第一目标网络设备的标识,所述TLV字段携带所述第一目标网络设备的第一ACL编辑信息。
结合本发明实施例第六方面第十一种可能的实现方式,在第十二种可能的实现方式中,
所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述第一目标网络设备的第一ACL编辑信息。
结合本发明实施例第六方面第十种可能的实现方式至第六方面第十二种可能的实现方式,在第十三种可能的实现方式中,
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
结合本发明实施例第六方面第八种可能的实现方式,在第十四种可能的实现方式中,
所述扩展的第二BGP-LS报文为Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述LocalNode Descriptors字段包括所述目标网络设备的标识,所述Flow-SpecDescriptors字段包括所述目标网络设备的第一ACL编辑信息。
结合本发明实施例第六方面第八种可能的实现方式至第六方面第十四种可能的实现方式,在第十五种可能的实现方式中,
所述第二BGP-LS报文还包含第二ACL编辑信息,所述第二ACL编辑信息用于对所述第二目标网络设备的第二ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种。
结合本发明实施例第六方面至第六方面第十五种可能的实现方式,在第十六种可能的实现方式中,所述控制器还包括:
第二发送模块,用于利用控制通道向目标网络设备发送ACL配置报文,所述ACL配置报文中携带有第三ACL编辑信息,所述第三ACL编辑信息用于对所述目标网络设备的第一ACL信息进行编辑,所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种。
本发明第七方面提供一种收集访问控制列表的系统,所述系统包括:
一个本发明实施例第四方面至第四方面第十八种可能的实现方式任意一项所述的第二网络设备,一个本发明实施例第六方面至第六方面第十六种可能的实现方式任意一项所述的控制器,以及至少一个本发明实施例第五方面至第五方面第十二种可能的实现方式任意一项所述的第一网络设备。
通过上述技术方案可知,本发明实施例有如下有益效果:
本发明实施例提供了收集访问控制列表的方法、装置及系统,第二网络设备接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域;根据所述第一网络设备标识获取所述第一网络设备的第一网络设备标识;向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。以便所述控制器能够收集所述第一网络设备的ACL信息,并对所述第一网络设备的ACL信息进行管理。采用上述方法可以收集到所述IGP域中任意一个或多个网络设备的ACL信息,并对网络设备的ACL信息进行管理,提供了收集和管理ACL信息的方法,简化对ACL信息的维护工作。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的IGP管理区域网络结构示意图;
图2为本发明实施例提供的收集访问控制列表的方法流程图;
图3为本发明实施例提供的第一LSA报文的格式示意图;
图4为本发明实施例提供的收集访问控制列表的方法流程图;
图5为本发明实施例提供的扩展的第一BGP-LS报文的第一种格式示意图;
图6为本发明实施例提供的扩展的第一BGP-LS报文的第一种格式中包含多个ACL信息的示意图;
图7为本发明实施例提供的扩展的第一BGP-LS报文的第二种格式示意图;
图8为本发明实施例提供的扩展的第一BGP-LS报文的第二种格式中包含多个ACL信息的示意图;
图9为本发明实施例提供的收集访问控制列表的方法流程图;
图10为本发明实施例提供的收集访问控制列表的第一网络设备结构示意图;
图11为本发明实施例提供的收集访问控制列表的第二网络设备结构示意图;
图12为本发明实施例提供的收集访问控制列表的控制器结构示意图;
图13为本发明实施例提供的收集访问列表的系统结构示意图;
图14为本发明实施例提供的收集访问控制列表的第一网络设备硬件结构示意图;
图15为本发明实施例提供的收集访问控制列表的第二网络设备硬件结构示意图;
图16为本发明实施例提供的收集访问控制列表的控制器硬件结构示意图;
图17为本发明实施例提供的收集访问列表的系统硬件结构示意图。
具体实施方式
本发明实施例提供了收集访问控制列表的方法、装置及系统的实现方案,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1为内部网关协议(Internal Gateway Protocol,IGP)管理区域网络结构示意图,所述第一网络设备101是所述IGP域中的一个不与控制器103直接建立通信连接的网络设备,所述第一网络设备101与所述IGP域中其他的网络设备建立IGP连接,所述第一网络设备101将所述第一网络设备101的第一ACL信息利用所述IGP连接泛洪至所述IGP域中其他的网络设备。所述第二网络设备102是所述IGP域中与控制器103直接建立通信连接的网络设备,所述第二网络设备102与所述控制器103建立了边界网关协议链路状态(Border Gateway Protocol Link State,BGP-LS)连接,所述第二网络设备102利用所述BGP-LS连接,向所述控制器103发送所述IGP域中任意一个或多个网络设备的ACL信息。
值得说明的是,本实施例中所述控制器与网络设备直接建立通信连接可以是指物理上直接有物理连线互连,并且逻辑上有通信连接;也可以是指物理上没有物理连线直接互连(即,控制器和网络设备之间还有其它中间设备连接,控制器和网络设备之间间接互连),但是逻辑上有通信连接。所述逻辑上的通信连接具体可以是控制协议的通信连接。
图2为本发明实施例提供的收集访问控制列表的方法流程图,所述方法包括:
201:第一网络设备获取所述第一网络设备的第一访问控制列表ACL信息。
202:所述第一网络设备生成第一链路状态通告LSA报文,所述第一LSA报文包含第一网络设备标识和与所述第一网络设备标识相关联(关联的英文翻译为:correlate)的所述第一ACL信息,所述第一网络设备标识用于标识所述第一网络设备。
203:所述第一网络设备将所述第一LSA报文泛洪至所述第一网络设备所属的IGP域,所述第一LSA报文用于向所述IGP域中的其他网络设备宣告所述第一网络设备的第一ACL信息。
所述第一网络设备与所述IGP域中其他网络设备建立IGP连接,所述第一网络设备利用所述IGP连接向所述IGP域内的其他网络设备泛洪第一链路状态通告(Link State Advertisement,LSA)报文,所述第一LSA报文包含所述第一网络设备标识和所述第一网络设备标识相关联的所述第一ACL信息。所述第一网络设备利用所述第一LSA报文向所述IGP域中其他的网络设备宣告所述第一网络设备的第一ACL信息。所述IGP域内其他的网络设备接收到所述第一网络设备泛洪的所述第一LSA报文,从所述第一LSA报文中解析得到所述第一网络设备的第一ACL信息。
在具体实施例中,所述第一LSA报文包括不透明类型(Opaque Type)字段、宣告网络设备标识(Advertising Router)字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
具体的,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
所述IGP域中,各个网络设备之间所建立的IGP连接所采用的IGP协议包括路由信息协议(Routing Information Protocol,RIP)、开放最短路径优先协议(Open Shortest Path First,OSPF)、内部网关路由协议(Interior GatewayRouting Protocol,IGRP)、以及中间系统到中间系统协议(Intermediate systemto intermediate system,ISIS)等。
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
以所述第一LSA报文为扩展的OSPF Opaque LSA报文为例对LSA报文的格式进行说明,所述第一LSA报文的格式如图3所示。
LS age:表示所述第一LSA报文存在时长,以秒为单位,定义同[RFC2328标准];
Options:可选项,定义同[RFC2328标准];
LS type:所述第一LSA的类型号;
Opaque type:不透明类型,在本发明实施例中,扩展所述Opaque type,增加一个新的类型值。例如,OSPF ACL Opaque Read LSA(Type Code:TBD),用于指示所述第一LSA报文用于宣告网络设备的ACL信息;
Opaque ID:不透明标识,Opaque类型和Opaque ID号共同标识所述第一LSA报头中的链路状态ID,定义同[RFC5250];
Advertising Router:发送所述第一LSA报文的第一网络设备的标识,定义同[RFC2328];
LS sequence number:所述第一LSA的序列号,定义同[RFC2328];
LS checksum:除了LS age字段外,所述第一LSA的全部信息的校验和,定义同[RFC2328];
Length:所述第一LSA的总长度,包括LSA Header,以字节为单位,定义同[RFC2328];
TLVs:可以包含一个或多个子TLV,这些子TLV能够组合成所述第一ACL信息。
所述第一LSA报文还可以是其他IGP协议的LSA报文,这里不再赘述。
这里需要说明的是,上述方法中以所述IGP域中的所述第一网络设备为例进行说明。类似的,所述IGP域中任意一个网络设备都可以采用类似的方式,向所述IGP域中泛洪一个携带有该网络设备的ACL信息LSA报文,将该网络设备的ACL信息通告给所述IGP域中除了该网络设备以外的其他网络设备。
在具体实施例中,所述方法还包括:
所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
在上述具体实施例中,所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
所述第一LSA报文和所述第二LSA报文的格式相同,所述第一LSA报文和第二LSA报文的包括不透明类型字段、宣告网络设备标识字段和TLV字段。所述第一LSA报文和所述第二LSA报文中的不透名类型字段相同,用于指示LSA报文用于宣告网络设备的ACL信息。只不过第一LSA报文与所述第二LSA报文宣告网络设备标识字段和TLV字段中所包含的具体内容不同。
所述第一网络设备不仅可以将所述第一网络设备的第一ACL信息泛洪至所述IGP域,所述第一网络设备还可以接收所述IGP域中其他网络设备泛洪的LSA报文。所述第一网络设备接收到所述第二网络设备泛洪的第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息。所述第一网络设备即可从所述第二LSA报文中解析得到所述第二网络设备的第二ACL信息。
同样的,当所述IGP域中不仅包括所述第一网络设备和所述第二网络设备时,所述第一网络设备还可以接收到所述IGP域中除了所述第二网络设备以外的其他网络设备泛洪的LSA报文,以获知其他网络设备的ACL信息。
这里需要说明的是,上述方法中以所述IGP域中的所述第一网络设备为例进行说明。类似的,所述IGP域中的任意一个网络设备都可以接收到其他网络设备泛洪的LSA报文,从而获得其他网络设备的ACL信息。一般情况下,所述IGP域中的一个网络设备中存储有所述IGP域中所有其他网络设备的ACL信息。
在具体实施例中,所述方法还包括:
所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第三LSA报文,所述第三LSA报文携带目标网络设备的标识和与所述目标网络设备的标识相关联的第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
当所述第一网络设备根据所述目标网络设备的标识确定所述第三LSA报文的目标网络设备为所述第一网络设备时,所述第一网络设备从所述第三LSA报文中解析获得所述第一ACL编辑信息;
所述第一网络设备根据所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
所述控制器可以对所述IGP域中的网络设备的ACL信息进行编辑。以所述第一网络设备为例进行说明,当所述第一网络设备中的第一ACL信息不满足实际需求时,所述控制器根据实际需要生成第一ACL编辑信息,所述第一ACL编辑信息用于编辑所述第一网络设备中的第一ACL信息。
由于所述第一网络设备与所述控制器并没有建立BGP-LS连接,所述第二网络设备与所述控制器建立了BGP-LS连接,所述控制器先将携带有所述第一ACL编辑信息的BGP-LS发送至所述第二网络设备,所述第二网络设备与所述第一网络设备位于同一个IGP域,所述第二网络设备再向所述IGP域中泛洪携带有所述第一ACL编辑信息的第三LSA报文。所述第三LSA报文中携带有目标网络设备的标识,即携带有第一网络设备标识。所述第一网络设备接收到所述第三LSA报文后,根据所述第三LSA报文中携带的目标网络设备的标识识别目标网络设备为所述第一网络设备,解析所述第三LSA报文获得第一ACL编辑信息,并根据第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
在具体实施例中,所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
所述第三LSA报文与所述第一LSA报文的格式类似,所述第三LSA报文包含不透明类型字段,在本发明实施例中,扩展所述Opaque type,增加一个新的类型值。例如,OSPF ACL Opaque Write LSA(Type Code:TBD),用于指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息。所述第三LSA报文的宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
这里需要说明的是,如图1所示的IGP域网络结构,本发明实施例中以所述第二网络设备与所述控制器建立BGP-LS连接为例进行说明。实际应用中,与所述控制器建立了BGP-LS连接的还可以是其他的网络设备,所述第一网络设备接收与所述控制器建立BGP-LS连接的网络设备泛洪的第三LSA报文,从所述第三LSA报文中解析到所述第一ACL编辑信息。
在具体实施例中,所述方法还包括:
所述第一网络设备接收控制器通过控制通道下发的ACL配置报文;
所述第一网络设备从所述ACL配置报文中解析第二ACL编辑信息;
所述第一网络设备根据所述第二ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
所述控制器对所述IGP域中的网络设备的ACL信息进行编辑时,所述控制器可以将生成的ACL编辑信息直接发送给所述IGP域中的网络设备。以所述第一网络设备为例进行说明,当所述第一网络设备中的第一ACL信息不满足实际需求时,所述控制器可以生成第二ACL编辑信息,所述第二ACL编辑信息用于对所述第一网络设备中的第一ACL信息进行编辑。
这里需要说明的是,上述控制器对所述IGP域中的网络设备的ACL信息进行编辑的方法,不仅限于对所述第一网络设备的第一ACL信息进行编辑,还可以对所述IGP域中任意一个网络设备的ACL信息进行编辑。根据控制器生成的ACL编辑信息对网络设备的ACL信息进行编辑包括:对网络设备的ACL信息进行修改、增加、删除和重置等操作中的任意一种或多种。
图4为本发明实施例提供的收集访问控制列表的方法流程图,所述方法包括:
401:第二网络设备接收第一网络设备泛洪的第一LSA报文,所述第一LSA报文包括所述第一网络设备标识以及与所述第一网络设备标识相关联的第一ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
402:所述第二网络设备向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。
所述第二网络设备与所述控制器建立了BGP-LS连接,所述第二网络设备与所述第一网络设备位于同一个IGP域。所述第二网络设备接收第一网络设备泛洪的第一LSA报文,从所述第一LSA报文中解析获得所述第一网络设备的第一ACL信息。
所述第二网络设备向所述控制器发送扩展的第一BGP-LS报文,利用所述扩展的第一BGP-LS报文向所述控制器通告所述第一网络设备的第一ACL信息。在实际应用中,所述第二网络设备不仅可以接收所述第一网络设备泛洪的第一LSA报文,获知所述第一网络设备的第一ACL信息。还可以接收与所述第二网络设备属于同一个IGP域的其他网络设备泛洪的LSA报文,获知其他网络设备的ACL信息。一般情况下,所述第二网络设备中存储有所述IGP域中所有网络设备的ACL信息。所述第二网络设备向控制器发送的扩展的第一BGP-LS报文中,可以携带有所述IGP域中任意一个或多个网络设备的ACL信息。
在具体实施例中,所述扩展的第一BGP-LS报文包含本地节点描述符Local Node Descriptors字段和不透明节点属性类型长度值Opaque NodeAttribute TLV字段,所述Local Node Descriptors字段包含所述第一网络设备标识,所述Opaque Node Attribute TLV字段包含所述第一网络设备的第一LSA报文。
其中,所述Opaque Node Attribute TLV字段包含类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含所述第一LSA报文,所述第一LSA报文包含所述第一网络设备的第一ACL信息。
这里需要说明的是,所述Local Node Descriptors字段携带有所述第一网络设备的设备描述信息,所述第一网络设备的设备描述信息中包含所述第一网络设备标识以及其他设备信息。
所述扩展的第一BGP-LS报文的格式如图5所示。
Protocol-ID:BGP-LS协议标识,定义同draft-ietf-idr-ls-distribution-10定义;
Identifier:拓扑标识,用于区分不同的IGP进程;缺省为0,表示当前信息对应三层拓扑(L3TOPO);定义同draft-ietf-idr-ls-distribution-10定义;
Local Node Descriptors(variable):网络设备的描述信息(长度可变),所述Local Node Descriptors字段用于携带网络设备的描述信息,网络设备的描述信息中包含该网络设备标识;
Opaque Node Attribute TLV(variable):描述ACL信息(长度可变)。
所述扩展的第一BGP-LS报文包含一个网络设备的ACL信息时,所述扩展的第一BGP-LS报文中包含一个Local Node Descriptors和一个Opaque NodeAttribute TLV,所述Local Node Descriptors包含该网络设备的标识,所述OpaqueNode Attribute TLV包含携带有该网络设备的ACL信息的LSA报文。当所述扩展的第一BGP-LS报文包含多个网络设备的ACL信息时,所述扩展的第一BGP-LS报文包含由多个Local Node Descriptors和多个Opaque Node AttributeTLV所组成的多组网络设备信息。如图6所示,一个Local Node Descriptors和一个Opaque Node Attribute TLV组成一组,即一个网络设备的标识后,紧接着一个Opaque Node Attribute TLV,包含携带有该网络设备ACL信息的LSA报文。其中,Local Node Descriptors的个数和Opaque Node Attribute TLV的个数相同,都与网络设备的个数相同。
在具体的实施例中,所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一ACL信息。
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
所述第一LSA报文的格式与图2所示的收集访问控制列表的方法中图3所示的第一LSA报文的格式相同,参考图3所示的收集访问控制列表的方法中对所述第一LSA报文的描述,这里不再赘述。
在另一个具体的实施例中,所述扩展的第一BGP-LS报文为新增的Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述第一网络设备标识,所述Flow-Spec Descriptors字段包括所述第一网络设备的第一ACL信息。
所述Flow-Spec NLRI的格式如图7所示。
Protocol-ID:BGP-LS协议标识,定义同draft-ietf-idr-ls-distribution-10定义;
Identifier:拓扑标识,用于区分不同的IGP进程;缺省为0,表示当前信息对应三层拓扑(L3TOPO);定义同draft-ietf-idr-ls-distribution-10定义;
Local Node Descriptors(variable):网络设备的描述信息(长度可变),所述Local Node Descriptors字段携带有所述网络设备的描述信息,所述网络设备的描述信息包含该网络设备的标识;
Flow-Spec Descriptors(variable):描述ACL信息(长度可变)。
所述扩展的第一BGP-LS报文包含一个网络设备的ACL信息时,所述扩展的第一BGP-LS报文中包含一个Local Node Descriptors和一个Flow-SpecDescriptors,所述Local Node Descriptors包含该网络设备的标识,所述Flow-Spec Descriptors包含该网络设备的ACL信息。当所述扩展的第一BGP-LS报文包含多个网络设备的ACL信息时,所述扩展的第一BGP-LS报文包含由多个Local Node Descriptors和多个Flow-Spec Descriptors所组成的多组网络设备信息。如图8所示,一个Local Node Descriptors和一个Flow-SpecDescriptors组成一组,即一个网络设备的标识后,紧接着一个Flow-SpecDescriptors,包含该网络设备ACL信息。其中,Local Node Descriptors的个数和Flow-Spec Descriptors的个数相同,都与网络设备的个数相同。
可选的,所述方法还包括:
所述第二网络设备获取所述第二网络设备的第二ACL信息和第二设备标识;
所述第二网络设备获取所述第二网络设备的第二ACL信息和第二网络设备标识;
相应地,所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。
可选的,所述方法还包括:
所述第二网络设备生成第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备;
所述第二网络设备将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
所述第二网络设备还可以向所述IGP域泛洪第二LSA报文,所述第二LSA报文包含所述第二网络设备标识以及与所述第二网络设备标识相关联的第二ACL信息。所述IGP域中的其他网络设备接收到所述第二LSA报文后,可以获知所述第二网络设备的第二ACL信息。
在具体的实施例中,所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
所述第一LSA报文的格式与图2所示的收集访问控制列表的方法中图3所示的第一LSA报文的格式类似,参考图3所示的收集访问控制列表的方法中对所述第一LSA报文的描述,这里不再赘述。
在具体实施例中,所述方法还包括:
所述第二网络设备接收所述控制器发送的扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时,所述第二网络设备将第三LSA报文泛洪至所述IGP域中的所述目标网络设备,所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。
所述第二网络设备与所述控制器建立了BGP-LS通信连接,所述第二网络设备接收所述控制器发送的扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含目标网络设备的标识以及所述控制器给所述目标网络设备配置的第一ACL编辑信息,所述第一编辑ACL信息用于对所述目标网络设备的ACL信息进行编辑。
所述第二网络设备从所述扩展的第二BGP-LS报文中解析获得所述第一ACL编辑信息。所述扩展的第二BGP-LS报文至少有两种可能的结构:
第一种可能的结构,所述扩展的第二BGP-LS报文包含Local NodeDescriptors字段和Opaque Node Attribute TLV字段,所述Local NodeDescriptors字段包含有所述目标网络设备的标识,所述Opaque Node AttributeTLV包含有所述目标网络设备的第一ACL编辑信息。
其中,所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述目标网络设备的第一ACL编辑信息。
第二种可能的结构,所述扩展的第二BGP-LS报文为新增的Flow-SpecNLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-SpecDescriptors字段,所述Local Node Descriptors字段包括所述目标网络设备的标识,所述Flow-Spec Descriptors字段包括所述目标网络设备的第一ACL编辑信息。
所述第二网络设备根据所述扩展的BGP-LS报文中的目标网络设备的标识识别所述第一ACL编辑信息的目标网络设备,当识别所述目标网络设备是第二网络设备时,所述第二网络设备从所述扩展的BGP-LS报文中解析得到所述第一ACL编辑信息,对所述第二网络设备的第二ACL信息进行编辑。
当所述第二网络设备根据所述目标网络设备的标识识别所述目标网络设备不是第二网络设备时,所述第二网络设备向所述第二网络设备所属的IGP域中泛洪第三LSA报文,所述第三LSA报文携带有所述第一ACL编辑信息。所述目标网络设备接收到所述第三LSA报文后,解析获得所述第一ACL编辑信息对所述目标网络设备的ACL信息进行编辑。
由上述两种不同的第二BGP-LS报文格式可知,当所述第二BGP-LS报文包括Opaque Node Attribute TLV字段时,所述Opaque Node Attribute TLV字段中包含所述第三LSA报文;当所述第二BGP-LS报文包含Flow-SpecDescriptors字段时,所述第二网络设备从所述第二BGP-LS的Flow-SpecDescriptors字段中解析获得所述第一ACL编辑信息,根据所述第一ACL编辑信息生成所述第三LSA报文。
在具体的实施例中,所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
所述第三LSA报文中的不透明类型字段(Opaque type),在本发明实施例中,扩展所述Opaque type,增加一个新的类型值。例如,OSPF ACL OpaqueWrite LSA(Type Code:TBD),用于指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息。所述第三LSA报文的宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
所述第一LSA报文和所述第二LSA报文中的不透明类型字段的类型值为OSPF ACL Opaque Read LSA,用于宣告网络设备的ACL信息,所述第三LSA报文中的不透明类型字段的类型值为,OSPF ACL Opaque Write LSA,用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息。
这里需要说明的是,所述第二网络设备从所述控制器所接收的所述扩展的第二BGP-LS报文,可以包括用于编辑一个目标网络设备的所述第一ACL编辑信息,还可以包括编辑多个目标网络设备的ACL编辑信息。实现方法类似,这里不再赘述。
图9为本发明实施例提供的收集访问控制列表的方法流程图,所述方法包括:
901:控制器接收第二网络设备发送的扩展的第一边界网关协议链路状态BGP-LS报文。
902:所述控制器从所述扩展的第一BGP-LS报文中解析获得第一网络设备的第一网络设备标识和第一ACL信息,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
所述控制器接收所述第二网络设备发送的扩展的第一BGP-LS报文,从所述扩展的第一BGP-LS报文解析得所述第一网络设备的第一ACL信息。
所述扩展的第一BGP-LS报文至少有两种可能的结构,包括:
第一种可能的结构,所述扩展的第一BGP-LS报文包含本地节点描述符Local Node Descriptors字段和不透明节点属性类型长度值Opaque NodeAttribute TLV字段,所述Local Node Descriptors字段包含有所述第一网络设备标识,所述Opaque Node Attribute TLV包含有所述第一网络设备的第一ACL信息。
其中,所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第一LSA报文,所述第一LSA报文携带有所述第一网络设备的第一ACL信息。
所述第一BGP-LS报文第一种可能的结构与图4提供的收集访问控制列表的方法中图5所示的第一BGP-LS报文的结构相同,参考对图5所示的第一BGP-LS报文的描述,这里不再赘述。
在具体实施例中,所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
所述第一LSA报文的格式与图2所示的收集访问控制列表的方法中图3所示的第一LSA报文的格式类似,参考图3所示的收集访问控制列表的方法中对所述第一LSA报文的描述,这里不再赘述。
第二种可能的结构,所述扩展的第一BGP-LS报文为Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-SpecDescriptors字段,所述Local Node Descriptors字段包括所述第一网络设备的第一网络设备标识,所述Flow-Spec Descriptors字段包括所述第一网络设备的第一ACL信息。
所述第一BGP-LS报文的结构与图4提供的收集访问控制列表的方法中图7所示的第一BGP-LS报文的结构相同,参考对图7所示的第一BGP-LS报文的描述,这里不再赘述。
可选的,所述方法还包括:
所述控制器从所述扩展的第一BGP-LS报文中解析获得第二网络设备的第二ACL信息。
这里需要说明的是,所述扩展的第一BGP-LS报文还可以携带有与所述第二网络设备属于同一个IGP域的任意一个或任意多个网络设备的ACL信息。即所述控制器可以从第二网络设备发送的扩展的第一BGP-LS报文中获得所述IGP域中任意一个或任意多个网络设备的ACL信息。一般情况下,所述控制器可以从所述第二网络设备发送的扩展的第一BGP-LS报文中获得所述IGP域中所有网络设备的ACL信息。控制器可以获知所有网络设备的ACL信息,并进行ACL信息的管理。
可选的,所述方法还包括:
所述控制器向所述第二网络设备发送扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含第一目标网络设备的设备标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述第一目标网络设备的ACL信息进行编辑。
在具体的实施例中,所述扩展的第二BGP-LS报文包含Local NodeDescriptors字段和Opaque Node Attribute TLV字段,所述Local NodeDescriptors字段包含有所述第一目标网络设备的标识,所述Opaque NodeAttribute TLV包含有所述第一目标网络设备的第一ACL编辑信息。
其中,所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述第一目标网络设备的第一ACL编辑信息。
可选的,所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述第一目标网络设备的标识,所述TLV字段携带所述第一目标网络设备的第一ACL编辑信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述第一目标网络设备的第一ACL编辑信息。
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
在另一个具体的实施例中,所述扩展的第二BGP-LS报文为Flow-SpecNLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-SpecDescriptors字段,所述Local Node Descriptors字段包括所述目标网络设备的标识,所述Flow-Spec Descriptors字段包括所述目标网络设备的第一ACL编辑信息。
当技术人员发现所述IGP域中的网络设备的ACL信息不能满足实际应用的需求时。所述技术人员在所述控制器配置对该网络设备ACL信息进行编辑的第一ACL编辑信息。该网络设备接收到所述第一ACL编辑信息后,利用所述第一ACL编辑信息对该网络设备的ACL信息进行编辑。
举例说明,所述第一网络设备的第一ACL信息不能满足实际需求时,所述技术人员在所述控制器配置第一ACL编辑信息。所述控制器给所述第二网络设备发送扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含所述第一ACL编辑信息。所述第二网络设备接收到所述扩展的第二BGP-LS报文后,再将所述第一ACL编辑信息利用第三LSA报文泛洪至所述IGP域。所述第一网络设备接收到所述第三LSA报文后,解析获得第一ACL编辑信息,利用所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
可选的,所述第二BGP-LS报文还包含第二ACL编辑信息,所述第二ACL编辑信息用于编辑所述第二网络设备的ACL信息。
这里需要说明的是,所述控制器发送到所述第二网络设备的扩展的第二BGP-LS报文,不仅可以携带有编辑所述第一网络设备的第一ACL信息的第一ACL编辑信息,还可以携带有编辑所述IGP域中任意一个或多个网络设备的ACL信息的ACL编辑信息。例如:所述扩展的第二BGP-LS报文还可以携带有用于编辑所述第二网络设备的第二ACL信息的第二ACL编辑信息。当然,所述扩展的第二BGP-LS报文还可以携带所述IGP域中其他网络设备的ACL编辑信息,这里不再赘述。
可选的,所述方法还包括:
所述控制器利用控制通道向目标网络设备发送ACL配置报文,所述ACL配置报文中携带有第三ACL编辑信息,所述第三ACL编辑信息用于对所述目标网络设备的第一ACL信息进行编辑。
所述控制器还可以利用控制通道向ACL信息不满足实际需求的网络设备直接发送ACL编辑信息,而不用通过与所述控制器建立BGP-LS连接的网络设备。
现有技术中,一个大型网络区域存在多个边界路由器,需要在每个边界路由器中配置ACL信息,控制网络流量。动态配置ACL信息时,一个作为边界网关协议(Border Gateway Protocol,BGP)对等体的边界路由器将采样流量发送给流量分析服务器。流量分析服务器识别异常攻击流量,根据异常攻击流量创建BGP Flow Specification路由,将所述BGP Flow Specification路由发送到上述边界路由器。该边界路由器将所述BGP Flow Specification路由发送至与该边界路由器进行BGP会话的其他边界路由器。每个边界路由器接收到所述BGP Flow Specification路由后,将所述BGP Flow Specification路由转换为数据转发层的ACL信息,边界路由器在端口应用了该ACL信息后,禁止该异常攻击流量通过。
上述动态配置ACL的方法,只能用于在边界路由器中被动配置防止异常攻击流量的ACL,对于防止非异常攻击流量的ACL信息,只能在每个边界路由器上逐一人工静态配置。
本发明提供的收集访问控制列表的方法,位于同一个IGP管理器区域的网络设备,将携带有ACL信息的LSA报文泛洪至所述IGP域,所述IGP域中的网络设备可以获知其他网络设备的ACL信息。与控制器建立BGP-LS通信连接的网络设备,向所述控制器发送第一BGP-LS报文,所述第一BGP-LS报文中携带有所述IGP域中任意一个或多个网络设备的ACL信息。所述控制器管理所获知的网络设备的ACL信息,并对网络设备的ACL信息进行管理。并且,所述控制器还可以发送ACL编辑信息,所述ACL编辑信息用于编辑不满足实际需要的至少一个或多个网络设备的ACL信息,实现主动对网络设备的ACL信息进行编辑,简化对ACL信息的维护工作。
图10为本发明实施例提供的收集访问控制列表的第一网络设备结构示意图,图10所示的第一网络设备是与图2所示的收集访问控制列表的方法流程图所对应的网络设备,所述第一网络设备包括:
获取模块1001,用于获取所述第一网络设备的第一访问控制列表ACL信息。
报文生成模块1002,用于生成第一链路状态通告LSA报文,所述第一LSA报文包含第一网络设备标识和与所述第一网络设备标识相关联的所述第一ACL信息,所述第一网络设备标识用于标识所述第一网络设备。
发送模块1003,用于将所述第一LSA报文泛洪至所述第一网络设备所属的内部网关协议IGP域,所述第一LSA报文用于向所述IGP域中的其他网络设备宣告所述第一网络设备的第一ACL信息。
可选的,所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述第一网络设备还包括:
第一接收模块,用于接收属于所述IGP域的第二网络设备泛洪的第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
可选的,所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述第一网络设备还包括:
第二接收模块,用于接收属于所述IGP域的第二网络设备泛洪的第三LSA报文,所述第三LSA报文携带目标网络设备的标识和与所述目标网络设备的标识相关联的第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
第一解析模块,用于当所述第一网络设备根据所述目标网络设备的标识确定所述第三LSA报文的目标网络设备为所述第一网络设备时,从所述第三LSA报文中解析获得所述第一ACL编辑信息;
第一编辑模块,用于所述第一网络设备根据所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
可选的,所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述第一网络设备还包括:
第三接收模块,用于接收控制器通过控制通道下发的ACL配置报文;
第二解析模块,用于从所述ACL配置报文中解析第二ACL编辑信息;
第二编辑模块,用于根据所述第二ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
图10所示的第一网络设备是与图2所示的收集访问控制列表的方法所对应的网络设备,参考图2所示的方法的描述,这里不再赘述。
图11为本发明实施例提供的收集访问控制列表的第二网络设备结构示意图,图11所示的第二网络设备是与图4所示的收集访问控制列表的方法流程图所对应的网络设备,所述第二网络设备包括:
第一接收模块1101,用于接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
第一发送模块1102,用于向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。
可选的,所述扩展的第一BGP-LS报文包含本地节点描述符Local NodeDescriptors字段和不透明节点属性类型长度值Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含所述第一网络设备标识,所述OpaqueNode Attribute TLV字段包含所述第一网络设备的第一LSA报文。
其中,所述Opaque Node Attribute TLV字段包含类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含所述第一LSA报文,所述第一LSA报文包含所述第一网络设备的第一ACL信息。
可选的,所述扩展的第一BGP-LS报文为新增的Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述第一网络设备标识,所述Flow-Spec Descriptors字段包括所述第一网络设备的第一ACL信息。
可选的,所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一ACL信息。
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述第二网络设备还包括:
获取模块,用于获取所述第二网络设备的第二ACL信息和第二网络设备标识;
相应地,所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。
可选的,所述第二网络设备还包括:
报文生成模块,用于生成第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备;
第二发送模块,用于将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
可选的,所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述第二网络设备还包括:
第二接收模块,用于接收所述控制器发送的扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
第三发送模块,用于当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时,将第三LSA报文泛洪至所述IGP域中的所述目标网络设备,所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。
可选的,所述扩展的第二BGP-LS报文包含Local Node Descriptors字段和Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含有所述目标网络设备的标识,所述Opaque Node Attribute TLV包含有所述目标网络设备的第一ACL编辑信息。
其中,所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述目标网络设备的第一ACL编辑信息。
可选的,所述扩展的第二BGP-LS报文包括Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述目标网络设备的标识,所述Flow-Spec Descriptors字段包括所述目标网络设备的第一ACL编辑信息。
可选的,所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
图11所示的第二网络设备是与图4所示的收集访问控制列表的方法所对应的网络设备,参考图4所示的方法的描述,这里不再赘述。
图12为本发明实施例提供的收集访问控制列表的控制器结构示意图,图12所示的控制器是与图9所示的收集访问控制列表的方法所对应的控制器,所述控制器包括:
接收模块1201,用于接收第二网络设备发送的扩展的第一边界网关协议链路状态BGP-LS报文。
第一解析模块1202,用于从所述扩展的第一BGP-LS报文中解析获得第一网络设备的第一网络设备标识和第一ACL信息,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
可选的,所述扩展的第一BGP-LS报文包含本地节点描述符Local NodeDescriptors字段和不透明节点属性类型长度值Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含有所述第一网络设备标识,所述Opaque Node Attribute TLV包含有所述第一网络设备的第一ACL信息。
其中,所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第一LSA报文,所述第一LSA报文携带有所述第一网络设备的第一ACL信息。
可选的,所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述扩展的第一BGP-LS报文为Flow-Spec NLRI,所述Flow-SpecNLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述第一网络设备标识,所述Flow-SpecDescriptors字段包括所述第一网络设备的第一ACL信息。
可选的,所述控制器还包括:
第二解析模块,用于从所述扩展的第一BGP-LS报文中解析获得第二网络设备的第二网络设备标识和第二ACL信息。
可选的,所述控制器还包括:
第一发送模块,用于向所述第二网络设备发送扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含第一目标网络设备的设备标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述第一目标网络设备的ACL信息进行编辑。
可选的,所述扩展的第二BGP-LS报文包含Local Node Descriptors字段和Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含有所述第一目标网络设备的标识,所述Opaque Node Attribute TLV包含有所述第一目标网络设备的第一ACL编辑信息。
其中,所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述第一目标网络设备的第一ACL编辑信息。
可选的,所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述第一目标网络设备的标识,所述TLV字段携带所述第一目标网络设备的第一ACL编辑信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述第一目标网络设备的第一ACL编辑信息。
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述扩展的第二BGP-LS报文为Flow-Spec NLRI,所述Flow-SpecNLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述目标网络设备的标识,所述Flow-SpecDescriptors字段包括所述目标网络设备的第一ACL编辑信息。
可选的,所述第二BGP-LS报文还包含第二ACL编辑信息,所述第二ACL编辑信息用于对所述第二目标网络设备的第二ACL信息进行编辑。
可选的,所述控制器还包括:
第二发送模块,用于利用控制通道向目标网络设备发送ACL配置报文,所述ACL配置报文中携带有第三ACL编辑信息,所述第三ACL编辑信息用于对所述目标网络设备的第一ACL信息进行编辑。
图12所示的控制器是与图9所示的收集访问控制列表所对应的控制器,参考图9所示的方法的描述,这里不再赘述。
图13为本发明实施例提供的收集访问列表的系统结构示意图,所述系统包括:
一个图11所述的第二网络设备1301,一个图12所述的控制器1302,以及至少一个图10所述的第一网络设备1303;
所述第二网络设备1301与所述控制器1302相连,所述至少一个第一网络设备1303与所述第二网络设备1301相连。
图14为本发明实施例提供的收集访问控制列表的第一网络设备硬件结构示意图,所述第一网络设备包括:
存储器1401、处理器1402和发送器1403,所述存储器1401和所述发送器1403分别与所述处理器相连。所述存储器1401用于存储程序代码。
所述处理器1402用于读取所述存储器1401中存储的程序代码后,执行以下内容:
获取所述第一网络设备的第一访问控制列表ACL信息;
生成第一链路状态通告LSA报文,所述第一LSA报文包含第一网络设备标识和与所述第一网络设备标识相关联的所述第一ACL信息,所述第一网络设备标识用于标识所述第一网络设备;
所述发送器1403,用于将所述第一LSA报文泛洪至所述第一网络设备所属的内部网关协议IGP域,所述第一LSA报文用于向所述IGP域中的其他网络设备宣告所述第一网络设备的第一ACL信息。
可选的,所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述第一网络设备还包括:
接收器,用于接收属于所述IGP域的第二网络设备泛洪的第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
可选的,所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,
所述接收器,还用于接收属于所述IGP域的第二网络设备泛洪的第三LSA报文,所述第三LSA报文携带目标网络设备的标识和与所述目标网络设备的标识相关联的第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
所述处理器1402,还用于当所述第一网络设备根据所述目标网络设备的标识确定所述第三LSA报文的目标网络设备为所述第一网络设备时,从所述第三LSA报文中解析获得所述第一ACL编辑信息;根据所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
可选的,所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,
所述接收器,还用于接收控制器通过控制通道下发的ACL配置报文;
所述处理器1402,还用于从所述ACL配置报文中解析第二ACL编辑信息;根据所述第二ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
图14所示的第一网络设备是与图2所示的收集访问控制列表的方法所对应的网络设备,参考图2所示的方法的描述,这里不再赘述。
图15为本发明实施例提供的收集访问控制列表的第二网络设备硬件结构示意图,所述第二网络设备包括:
接收器1501,存储器1502,发送器1503,以及分别与所述接收器1501、所述存储器1502和所述发送器1503相连的处理器1504。
所述接收器1501,用于接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
所述存储器1502,用于存储程序代码。
所述处理器1504用于读取所述存储器1502中存储的程序代码后,根据所述第一LSA报文中的第一网络设备标识和第一ACL信息生成扩展的第一BGP-LS报文。
所述发送器1503,用于向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。
可选的,所述扩展的第一BGP-LS报文包含本地节点描述符Local NodeDescriptors字段和不透明节点属性类型长度值Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含所述第一网络设备标识,所述OpaqueNode Attribute TLV字段包含所述第一网络设备的第一LSA报文。
其中,所述Opaque Node Attribute TLV字段包含类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含所述第一LSA报文,所述第一LSA报文包含所述第一网络设备的第一ACL信息。
可选的,所述扩展的第一BGP-LS报文为新增的Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述第一网络设备标识,所述Flow-Spec Descriptors字段包括所述第一网络设备的第一ACL信息。
可选的,所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一ACL信息。
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,
所述处理器1504,还用于获取所述第二网络设备的第二ACL信息和第二网络设备标识;
相应地,所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。
可选的,
所述处理器1504,还用于生成第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备;
所述发送器1503,还用于将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
可选的,所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第二网络设备标识,所述TLV字段携带所述第二网络设备的第二ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第二网络设备的第二ACL信息。
所述第二LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,
所述接收器1501,还用于接收所述控制器发送的扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
所述发送器1503,还用于当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时,将第三LSA报文泛洪至所述IGP域中的所述目标网络设备,所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。
可选的,所述扩展的第二BGP-LS报文包含Local Node Descriptors字段和Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含有所述目标网络设备的标识,所述Opaque Node Attribute TLV包含有所述目标网络设备的第一ACL编辑信息。
其中,所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述目标网络设备的第一ACL编辑信息。
可选的,所述扩展的第二BGP-LS报文包括Flow-Spec NLRI,所述Flow-Spec NLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述目标网络设备的标识,所述Flow-Spec Descriptors字段包括所述目标网络设备的第一ACL编辑信息。
可选的,所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述目标网络设备的标识,所述TLV字段携带所述目标网络设备的第一ACL编辑信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述目标网络设备的第一ACL编辑信息。
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
图15所示的第二网络设备是与图4所示的收集访问控制列表的方法所对应的网络设备,参考图4所示的方法的描述,这里不再赘述。
图16为本发明实施例提供的收集访问控制列表的控制器硬件结构示意图,所述控制器包括:
接收器1601,存储器1602以及分别与所述接收器1601和所述存储器1602相连的处理器1603。
所述接收器1601,用于接收第二网络设备发送的扩展的第一边界网关协议链路状态BGP-LS报文。
所述存储器1602用于存储程序代码,所述处理器1603用于从所述存储器1602调用存储的程序代码执行以下内容:
从所述扩展的第一BGP-LS报文中解析获得第一网络设备的第一网络设备标识和第一ACL信息,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
可选的,所述扩展的第一BGP-LS报文包含本地节点描述符Local NodeDescriptors字段和不透明节点属性类型长度值Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含有所述第一网络设备标识,所述Opaque Node Attribute TLV包含有所述第一网络设备的第一ACL信息。
其中,所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为上报ACL信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第一LSA报文,所述第一LSA报文携带有所述第一网络设备的第一ACL信息。
可选的,所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值,宣告网络设备标识字段携带所述第一网络设备标识,所述TLV字段携带所述第一网络设备的第一ACL信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL信息,所述Length指示所述TLV字段的长度,所述Value为所述第一网络设备的第一ACL信息。
所述第一LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述扩展的第一BGP-LS报文为Flow-Spec NLRI,所述Flow-SpecNLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述第一网络设备标识,所述Flow-SpecDescriptors字段包括所述第一网络设备的第一ACL信息。
可选的,
所述处理器1603,还用于从所述扩展的第一BGP-LS报文中解析获得第二网络设备的第二网络设备标识和第二ACL信息。
可选的,所述控制器还包括:
发送器,用于向所述第二网络设备发送扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含第一目标网络设备的设备标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述第一目标网络设备的ACL信息进行编辑。
可选的,所述扩展的第二BGP-LS报文包含Local Node Descriptors字段和Opaque Node Attribute TLV字段,所述Local Node Descriptors字段包含有所述第一目标网络设备的标识,所述Opaque Node Attribute TLV包含有所述第一目标网络设备的第一ACL编辑信息。
其中,所述Opaque Node Attribute TLV字段包括类型Type、长度Length和值Value,所述Type指示所述Opaque Node Attribute TLV字段的类型为通告ACL编辑信息,所述Length指示所述Opaque Node Attribute TLV字段的长度,所述Value为Opaque node attributes,包含第三LSA报文,所述第三LSA报文携带有所述第一目标网络设备的第一ACL编辑信息。
可选的,所述第三LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段,所述不透明类型字段携带指示所述第三LSA报文用于宣告对目标网络设备的ACL信息进行编辑的ACL编辑信息的类型值,宣告网络设备标识字段携带所述第一目标网络设备的标识,所述TLV字段携带所述第一目标网络设备的第一ACL编辑信息。
其中,所述TLV字段包括类型Type、长度Length和值Value,所述Type指示所述TLV字段的类型为携带ACL编辑信息,所述Length指示所述TLV字段的长度,所述Value为所述第一目标网络设备的第一ACL编辑信息。
所述第三LSA报文为扩展的开放最短路径优先OSPF Opaque LSA报文,或者扩展的中间系统到中间系统ISIS Opaque LSA报文。
可选的,所述扩展的第二BGP-LS报文为Flow-Spec NLRI,所述Flow-SpecNLRI包括Local Node Descriptors字段和Flow-Spec Descriptors字段,所述Local Node Descriptors字段包括所述目标网络设备的标识,所述Flow-SpecDescriptors字段包括所述目标网络设备的第一ACL编辑信息。
可选的,所述第二BGP-LS报文还包含第二ACL编辑信息,所述第二ACL编辑信息用于对所述第二目标网络设备的第二ACL信息进行编辑。
可选的,
所述发送器,还用于利用控制通道向目标网络设备发送ACL配置报文,所述ACL配置报文中携带有第三ACL编辑信息,所述第三ACL编辑信息用于对所述目标网络设备的第一ACL信息进行编辑。
图16所示的控制器是与图9所示的收集访问控制列表所对应的控制器,参考图9所示的方法的描述,这里不再赘述。
图17为本发明实施例提供的收集访问列表的系统硬件结构示意图,所述系统包括:
一个图15所述的第二网络设备1701,一个图16所述的控制器1702,以及至少一个图14所述的第一网络设备1703;
所述第二网络设备1701与所述控制器1702相连,所述至少一个第一网络设备与所述第二网络设备1701相连。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (26)

1.一种收集访问控制列表的方法,其特征在于,所述方法包括:
第二网络设备接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域;
所述第二网络设备向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第二网络设备获取所述第二网络设备的第二ACL信息和第二网络设备标识;
相应地,所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。
3.根据权利要求1至2任意一项所述的方法,其特征在于,所述方法还包括:
所述第二网络设备生成第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备;
所述第二网络设备将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
4.根据权利要求1至3任意一项所述的方法,其特征在于,所述方法还包括:
所述第二网络设备接收所述控制器发送的扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时,所述第二网络设备将第三LSA报文泛洪至所述IGP域中的所述目标网络设备,所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。
5.一种收集访问控制列表的方法,其特征在于,所述方法包括:
第一网络设备获取所述第一网络设备的第一访问控制列表ACL信息;
所述第一网络设备生成第一链路状态通告LSA报文,所述第一LSA报文包含第一网络设备标识和与所述第一网络设备标识相关联的所述第一ACL信息,所述第一网络设备标识用于标识所述第一网络设备;
所述第一网络设备将所述第一LSA报文泛洪至所述第一网络设备所属的内部网关协议IGP域,所述第一LSA报文用于向所述IGP域中的其他网络设备宣告所述第一网络设备的第一ACL信息。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
7.根据权利要求5至6任意一项所述的方法,其特征在于,所述方法还包括:
所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第三LSA报文,所述第三LSA报文携带目标网络设备的标识和与所述目标网络设备的标识相关联的第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
当所述第一网络设备根据所述目标网络设备的标识确定所述第三LSA报文的目标网络设备为所述第一网络设备时,所述第一网络设备从所述第三LSA报文中解析获得所述第一ACL编辑信息;
所述第一网络设备根据所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
8.一种收集访问控制列表的方法,其特征在于,所述方法包括:
控制器接收第二网络设备发送的扩展的第一边界网关协议链路状态BGP-LS报文;
所述控制器从所述扩展的第一BGP-LS报文中解析获得第一网络设备的第一网络设备标识和第一ACL信息,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述控制器从所述扩展的第一BGP-LS报文中解析获得第二网络设备的第二网络设备标识和第二ACL信息。
10.根据权利要求8至9任意一项所述的方法,其特征在于,所述方法还包括:
所述控制器向所述第二网络设备发送扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含第一目标网络设备的设备标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述第一目标网络设备的ACL信息进行编辑。
11.根据权利要求8至10任意一项所述的方法,其特征在于,
所述第二BGP-LS报文还包含第二ACL编辑信息,所述第二ACL编辑信息用于对所述第二目标网络设备的第二ACL信息进行编辑。
12.根据权利要求8至11任意一项所述的方法,其特征在于,所述方法还包括:
所述控制器利用控制通道向目标网络设备发送ACL配置报文,所述ACL配置报文中携带有第三ACL编辑信息,所述第三ACL编辑信息用于对所述目标网络设备的第一ACL信息进行编辑。
13.一种收集访问控制列表的第二网络设备,其特征在于,所述第二网络设备包括:
第一接收模块,用于接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域;
第一发送模块,用于向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。
14.根据权利要求13所述的第二网络设备,其特征在于,所述第二网络设备还包括:
获取模块,用于获取所述第二网络设备的第二ACL信息和第二网络设备标识;
相应地,所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。
15.根据权利要求13至14任意一项所述的第二网络设备,其特征在于,所述第二网络设备还包括:
报文生成模块,用于生成第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备;
第二发送模块,用于将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
16.根据权利要求13至15任意一项所述的第二网络设备,其特征在于,所述第二网络设备还包括:
第二接收模块,用于接收所述控制器发送的扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
第三发送模块,用于当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时,将第三LSA报文泛洪至所述IGP域中的所述目标网络设备,所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。
17.一种收集访问控制列表的第一网络设备,其特征在于,所述第一网络设备包括:
获取模块,用于获取所述第一网络设备的第一访问控制列表ACL信息;
报文生成模块,用于生成第一链路状态通告LSA报文,所述第一LSA报文包含第一网络设备标识和与所述第一网络设备标识相关联的所述第一ACL信息,所述第一网络设备标识用于标识所述第一网络设备;
发送模块,用于将所述第一LSA报文泛洪至所述第一网络设备所属的内部网关协议IGP域,所述第一LSA报文用于向所述IGP域中的其他网络设备宣告所述第一网络设备的第一ACL信息。
18.根据权利要求17所述的第一网络设备,其特征在于,所述第一网络设备还包括:
第一接收模块,用于接收属于所述IGP域的第二网络设备泛洪的第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。
19.根据权利要求17至18任意一项所述的第一网络设备,其特征在于,所述第一网络设备还包括:
第二接收模块,用于接收属于所述IGP域的第二网络设备泛洪的第三LSA报文,所述第三LSA报文携带目标网络设备的标识和与所述目标网络设备的标识相关联的第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;
第一解析模块,用于当所述第一网络设备根据所述目标网络设备的标识确定所述第三LSA报文的目标网络设备为所述第一网络设备时,从所述第三LSA报文中解析获得所述第一ACL编辑信息;
第一编辑模块,用于根据所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
20.根据权利要求17至19任意一项所述的方法,其特征在于,所述第一网络设备还包括:
第三接收模块,用于接收控制器通过控制通道下发的ACL配置报文;
第二解析模块,用于从所述ACL配置报文中解析第二ACL编辑信息;
第二编辑模块,用于根据所述第二ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。
21.一种收集访问控制列表的控制器,其特征在于,所述控制器包括:
接收模块,用于接收第二网络设备发送的扩展的第一边界网关协议链路状态BGP-LS报文;
第一解析模块,用于从所述扩展的第一BGP-LS报文中解析获得第一网络设备的第一网络设备标识和第一ACL信息,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。
22.根据权利要求21所述的控制器,其特征在于,所述控制器还包括:
第二解析模块,用于从所述扩展的第一BGP-LS报文中解析获得第二网络设备的第二网络设备标识和第二ACL信息。
23.根据权利要求21至22任意一项所述的控制器,其特征在于,所述控制器还包括:
第一发送模块,用于向所述第二网络设备发送扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含第一目标网络设备的设备标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述第一目标网络设备的ACL信息进行编辑。
24.根据权利要求21至23任意一项所述的方法,其特征在于,所述控制器还包括:
第二发送模块,用于利用控制通道向目标网络设备发送ACL配置报文,所述ACL配置报文中携带有第三ACL编辑信息,所述第三ACL编辑信息用于对所述目标网络设备的第一ACL信息进行编辑。
25.一种收集访问控制列表的系统,其特征在于,所述系统包括:
一个权利要求13至16任意一项所述的第二网络设备,一个权利要求21至24任意一项所述的控制器。
26.根据权利要求25所述的系统,其特征在于,所述系统还包括:
一个权利要求17至20任意一项所述的第一网络设备。
CN201510299148.4A 2015-06-03 2015-06-03 收集访问控制列表的方法、装置及系统 Active CN106302351B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201510299148.4A CN106302351B (zh) 2015-06-03 2015-06-03 收集访问控制列表的方法、装置及系统
PCT/CN2016/084146 WO2016192618A1 (zh) 2015-06-03 2016-05-31 收集访问控制列表的方法、装置及系统
EP16802541.9A EP3297245B1 (en) 2015-06-03 2016-05-31 Method, apparatus and system for collecting access control list
US15/829,966 US10560456B2 (en) 2015-06-03 2017-12-03 Method, apparatus, and system for collecting access control list
US16/739,551 US11489836B2 (en) 2015-06-03 2020-01-10 Method, apparatus, and system for collecting access control list

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510299148.4A CN106302351B (zh) 2015-06-03 2015-06-03 收集访问控制列表的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN106302351A true CN106302351A (zh) 2017-01-04
CN106302351B CN106302351B (zh) 2019-10-15

Family

ID=57440057

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510299148.4A Active CN106302351B (zh) 2015-06-03 2015-06-03 收集访问控制列表的方法、装置及系统

Country Status (4)

Country Link
US (2) US10560456B2 (zh)
EP (1) EP3297245B1 (zh)
CN (1) CN106302351B (zh)
WO (1) WO2016192618A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110636008A (zh) * 2018-06-22 2019-12-31 中国电信股份有限公司 网络拓扑信息采集方法、网络拓扑构建系统和边界路由器
CN111970137A (zh) * 2019-05-20 2020-11-20 华为技术有限公司 Tsn中控制器间通信的方法、装置及系统

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302351B (zh) * 2015-06-03 2019-10-15 华为技术有限公司 收集访问控制列表的方法、装置及系统
CN108616451B (zh) * 2018-04-25 2020-12-29 新华三技术有限公司 一种Flow Spec路由生效方法、装置及网络设备
CN112910773B (zh) * 2019-11-19 2024-07-05 华为技术有限公司 下发oam配置信息的方法及控制节点

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070014293A1 (en) * 2005-07-18 2007-01-18 Clarence Filsfils Automatic protection of an SP infrastructure against exterior traffic
CN101667965A (zh) * 2009-09-29 2010-03-10 华为技术有限公司 一种生成访问控制列表的方法及路由设备
US20120209581A1 (en) * 2008-07-17 2012-08-16 NetBrain Technologies, Inc. System and method for simulating ip network routing
FR3012281A1 (fr) * 2013-10-18 2015-04-24 Orange Procede et systeme de decouverte dynamique de fonctions service

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7054944B2 (en) * 2001-12-19 2006-05-30 Intel Corporation Access control management system utilizing network and application layer access control lists
EP1850253A1 (en) * 2006-03-31 2007-10-31 Nokia Siemens Networks Gmbh & Co. Kg Method for mitigating a DoS attack
CN101047651B (zh) * 2007-04-23 2011-01-05 杭州华三通信技术有限公司 设置ip优先级的方法、系统和设备
KR101221045B1 (ko) * 2008-12-22 2013-01-10 한국전자통신연구원 패킷 처리 방법 및 이를 이용한 toe 장치
US8804489B2 (en) * 2010-09-29 2014-08-12 Telefonaktiebolaget L M Ericsson (Publ) Fast flooding based fast convergence to recover from network failures
US9379970B2 (en) * 2011-05-16 2016-06-28 Futurewei Technologies, Inc. Selective content routing and storage protocol for information-centric network
US9614759B2 (en) * 2012-07-27 2017-04-04 Dell Products L.P. Systems and methods for providing anycast MAC addressing in an information handling system
EP2892188B1 (en) * 2012-09-25 2017-08-30 Huawei Technologies Co., Ltd. Method for determining packet forwarding path, network device and control device
US9049233B2 (en) * 2012-10-05 2015-06-02 Cisco Technology, Inc. MPLS segment-routing
US9253041B2 (en) * 2013-07-03 2016-02-02 Cisco Technology, Inc. Advertising layer 0 network topology information to a layer 3 network
US9124485B2 (en) * 2013-08-19 2015-09-01 Cisco Technology, Inc. Topology aware provisioning in a software-defined networking environment
CN104158809B (zh) * 2014-08-20 2017-12-15 新华三技术有限公司 协议报文上送cpu的方法及装置
CN106302351B (zh) * 2015-06-03 2019-10-15 华为技术有限公司 收集访问控制列表的方法、装置及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070014293A1 (en) * 2005-07-18 2007-01-18 Clarence Filsfils Automatic protection of an SP infrastructure against exterior traffic
US20120209581A1 (en) * 2008-07-17 2012-08-16 NetBrain Technologies, Inc. System and method for simulating ip network routing
CN101667965A (zh) * 2009-09-29 2010-03-10 华为技术有限公司 一种生成访问控制列表的方法及路由设备
FR3012281A1 (fr) * 2013-10-18 2015-04-24 Orange Procede et systeme de decouverte dynamique de fonctions service

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110636008A (zh) * 2018-06-22 2019-12-31 中国电信股份有限公司 网络拓扑信息采集方法、网络拓扑构建系统和边界路由器
CN110636008B (zh) * 2018-06-22 2022-02-08 中国电信股份有限公司 网络拓扑信息采集方法、网络拓扑构建系统和边界路由器
CN111970137A (zh) * 2019-05-20 2020-11-20 华为技术有限公司 Tsn中控制器间通信的方法、装置及系统
US11811511B2 (en) 2019-05-20 2023-11-07 Huawei Technologies Co., Ltd. Method, apparatus, and system for communication between controllers in TSN

Also Published As

Publication number Publication date
EP3297245A4 (en) 2018-06-13
WO2016192618A1 (zh) 2016-12-08
US20180091518A1 (en) 2018-03-29
CN106302351B (zh) 2019-10-15
EP3297245B1 (en) 2022-09-14
EP3297245A1 (en) 2018-03-21
US11489836B2 (en) 2022-11-01
US10560456B2 (en) 2020-02-11
US20200153834A1 (en) 2020-05-14

Similar Documents

Publication Publication Date Title
CN106572017B (zh) Bier信息的发送方法、接收方法及装置
Farrel et al. GMPLS: architecture and applications
CN105051688B (zh) 经扩展的标记联网
CN103229468B (zh) 分组交换资源分配方法及设备
CN109756425A (zh) 组播转发方法、装置以及bfr
CN106982157B (zh) 流量工程隧道建立方法和装置
CN113079091A (zh) 一种主动随流检测的方法、网络设备以及通信系统
CN102055665B (zh) 广播上或nbma上的ospf点到多点模式
CN105162704B (zh) Overlay网络中组播复制的方法及装置
CN106302351A (zh) 收集访问控制列表的方法、装置及系统
CN103841022A (zh) 用于建立隧道的方法及装置
CN103828310B (zh) 一种链路发现的方法、系统及设备
CN104506438B (zh) 一种dcn自通的方法及系统
CN102724118A (zh) 标签分发方法及设备
CN114205282B (zh) SRv6 Policy的调度方法、系统、路由器和控制器
CN108964940A (zh) 消息发送方法及装置、存储介质
CN101453413A (zh) 一种pbb网络中自动拓扑发现及资源管理的方法和装置
CN106941437A (zh) 一种信息传输方法及装置
CN114465943A (zh) 拓扑信息的发布方法、网络拓扑收集方法及设备
CN109818858A (zh) 用于实现域间拓扑关系自动拼接的方法、装置和系统
CN105637806B (zh) 网络拓扑确定方法和装置、集中式网络状态信息存储设备
CN105207909B (zh) 一种发送信息的方法和网络装置
CN113765809A (zh) Bier组播流量的统计方法、设备以及系统
CN107294849A (zh) 业务路径的建立方法、装置及系统
CN105162705B (zh) 一种通告uni隧道状态的方法、装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant