CN110022281A - 访问控制列表容量的测试方法、设备和计算机存储介质 - Google Patents

访问控制列表容量的测试方法、设备和计算机存储介质 Download PDF

Info

Publication number
CN110022281A
CN110022281A CN201810014302.2A CN201810014302A CN110022281A CN 110022281 A CN110022281 A CN 110022281A CN 201810014302 A CN201810014302 A CN 201810014302A CN 110022281 A CN110022281 A CN 110022281A
Authority
CN
China
Prior art keywords
acl
acl rule
discrete
flow
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810014302.2A
Other languages
English (en)
Other versions
CN110022281B (zh
Inventor
汪滢
杨海俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201810014302.2A priority Critical patent/CN110022281B/zh
Publication of CN110022281A publication Critical patent/CN110022281A/zh
Application granted granted Critical
Publication of CN110022281B publication Critical patent/CN110022281B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种ACL容量的测试方法、设备和计算机存储介质。所述方法包括:基于离散路由池生成离散的ACL规则,以及生成验证流量和黑洞流量;所述黑洞流量表征所述离散的ACL规则未覆盖的流量;将所述ACL规则、所述验证流量和所述ACL黑洞流量发送至被测设备的被测端口,以使所述被测设备的被测端口基于所述ACL规则、所述验证流量和所述黑洞流量进行数据匹配;获得所述被测设备的ACL规则的匹配数量,基于所述匹配数量确定ACL容量。

Description

访问控制列表容量的测试方法、设备和计算机存储介质
技术领域
本发明涉及测试技术,具体涉及一种访问控制列表(ACL,Access Control List)容量的测试方法、设备和计算机存储介质。
背景技术
ACL是一组建立在路由器、交换机、防火墙等IP网络通信节点上的规则,对经过通信节点的流量进行过滤。
现有技术中ACL容量测试方法的缺点在于为方便生成ACL验证流量,测试中的ACL规则都是按照一定的规律生成,被测设备可以轻易地通过ACL反掩码(wildcard mask)的配置进行ACL规则条目汇聚,实际下发到设备存储空间上的ACL条目远远小于测试要求条目。如果采用不规律的ACL规则进行验证,测试仪表无法自动生成精确匹配ACL规则的验证流量和黑洞流量,通常需要人工配置验证流量和黑洞流量,在ACL容量越大的情况下,验证流量和黑洞流量的配置越复杂困难。
发明内容
为解决现有存在的技术问题,本发明实施例提供了一种ACL容量的测试方法、设备和计算机存储介质。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种ACL容量的测试方法,所述方法包括:
基于离散路由池生成离散的ACL规则,以及生成验证流量和黑洞流量;所述黑洞流量表征所述离散的ACL规则未覆盖的流量;
将所述ACL规则、所述验证流量和所述ACL黑洞流量发送至被测设备的被测端口,以使所述被测设备的被测端口基于所述ACL规则、所述验证流量和所述黑洞流量进行数据匹配;
获得所述被测设备的ACL规则的匹配数量,基于所述匹配数量确定ACL容量。
上述方案中,所述基于离散路由池生成离散的ACL规则之前,所述方法还包括:基于与被测设备的被测端口建立的路由关系,向所述被测设备发布预设数量的路由信息,所述路由信息来自所述离散路由池。
上述方案中,所述基于离散路由池生成离散的ACL规则,包括:基于预先配置的ACL容量参数和所述预设数量的路由信息生成离散的ACL规则;所述离散的ACL规则数量小于所述预设数量。
上述方案中,所述基于预先配置的ACL容量参数和所述离散路由池生成离散的ACL规则,包括:
基于所述预设数量的路由信息配置所述ACL规则中的源地址信息和目的地址信息;所述源地址信息包括源IP地址;所述目的地址信息包括目的IP地址;
其中,当所述ACL规则为五元组ACL规则时,所述源地址信息中还包括源端口信息,所述源端口信息基于所述源IP地址中的至少部分内容确定;所述目的地址信息中还包括目的端口信息;所述目的端口信息基于所述目的IP地址中的至少部分内容确定。
上述方案中,所述生成验证流量,包括:根据生成的离散的ACL规则对应的源地址信息和目的地址信息生成验证流量。
上述方案中,所述生成黑洞流量,包括:改变所述五元组ACL规则中的端口信息,基于改变后的五元组ACL规则中的源地址信息和目的地址信息生成黑洞流量。
本发明实施例还提供了一种测试设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现:基于离散路由池生成离散的ACL规则,以及生成验证流量和黑洞流量;所述黑洞流量表征所述离散的ACL规则未覆盖的流量;
将所述ACL规则、所述验证流量和所述ACL黑洞流量发送至被测设备的被测端口,以使所述被测设备的被测端口基于所述ACL规则、所述验证流量和所述黑洞流量进行数据匹配;
获得所述被测设备的ACL规则的匹配数量,基于所述匹配数量确定ACL容量。
上述方案中,所述处理器执行所述程序时实现:基于离散路由池生成离散的ACL规则之前,基于与被测设备的被测端口建立的路由关系,向所述被测设备发布预设数量的路由信息,所述路由信息来自所述离散路由池。
上述方案中,所述处理器执行所述程序时实现:基于预先配置的ACL容量参数和所述预设数量的路由信息生成离散的ACL规则;所述离散的ACL规则数量小于所述预设数量。
上述方案中,所述处理器执行所述程序时实现:基于所述预设数量的路由信息配置所述ACL规则中的源地址信息和目的地址信息;所述源地址信息包括源IP地址;所述目的地址信息包括目的IP地址;
其中,当所述ACL规则为五元组ACL规则时,所述源地址信息中还包括源端口信息,所述源端口信息基于所述源IP地址中的至少部分内容确定;所述目的地址信息中还包括目的端口信息;所述目的端口信息基于所述目的IP地址中的至少部分内容确定。
上述方案中,所述处理器执行所述程序时实现:根据生成的离散的ACL规则对应的源地址信息和目的地址信息生成验证流量。
上述方案中,所述处理器执行所述程序时实现:改变所述五元组ACL规则中的端口信息,基于改变后的五元组ACL规则中的源地址信息和目的地址信息生成黑洞流量。
本发明实施例还提供了一种计算机存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现本发明实施例所述的ACL容量的测试方法的步骤。
本发明实施例提供的ACL容量的测试方法、设备和计算机存储介质,所述方法包括:基于离散路由池生成离散的ACL规则,以及生成验证流量和黑洞流量;所述黑洞流量表征所述离散的ACL规则未覆盖的流量;将所述ACL规则、所述验证流量和所述ACL黑洞流量发送至被测设备的被测端口,以使所述被测设备的被测端口基于所述ACL规则、所述验证流量和所述黑洞流量进行数据匹配;获得所述被测设备的ACL规则的匹配数量,基于所述匹配数量确定ACL容量。采用本发明实施例的技术方案,通过离散路由池生成离散的ACL规则,以及自动生成验证流量和黑洞流量,避免了由于ACL规则汇聚导致容量测试不准确的问题,另一方面,也避免了人工配置验证流量和黑洞流量,大大减轻了人力资源负担,减少人力资源消耗。
附图说明
图1为本发明实施例的ACL容量的测试方法的流程示意图;
图2为本发明实施例的ACL容量的测试方法的应用环境示意图;
图3a为图3k分别为本发明实施例的ACL容量的测试方法的应用示意图;
图4为本发明实施例的ACL容量的测试方法的应用流程示意图;
图5为本发明实施例的测试设备的组成结构示意图。
具体实施方式
在对本发明实施例的ACL容量的测试方案进行说明之前,首先对当前的ACL容量的测试方式进行说明。
当一个IP报文到达设备接口时,设备会提取IP报文的特定字段,例如源地址、目的地址、源端口、目的端口等信息,查找与该接口相关联的ACL获得匹配该信息的规则,根据ACL规则做相应的处理(例如匹配或者丢弃)。例如:access-list 100 permit tcp192.168.10.0 0.0.0.255 172.16.1.0 0.0.0.0 eq 80这条编号为100的ACL规则表示允许192.168.10.0/24网络可通过WEB80端口访问172.16.1.0的服务器(在访问控制列表中使用反掩码来标记一个或多个地址是被允许还是拒绝,0表示要检查的位,1代表不检查要忽略的位)。
ACL容量测试是验证被测设备/单端口支持的最大ACL规则条目数,通常采用的测试方法如下(以单端口为例):
1、将测试设备的端口分别与被测设备的端口A和B相连。
2、设置测试设备与被测设备的连通性(包括IP地址和路由设置全通)。
3、被测设备端口A的入方向上配置支持最大数量的ACL规则,配置的ACL规则通常满足如下要求:
a)全部ACL规则中除最后一条以外的ACL规则均配置为“deny”,最后一条ACL规则配置为“permit”;
b)所有ACL规则均为规律生成的IP二元组或五元组的扩展ACL;
例如:2元组ACL:源IP从200.0.0.1开始递增,目的IP从201.255.255.254开始递减:
rule 1deny ip 200.0.0.1 0.0.0.0;201.255.255.254 0.0.0.0;
rule 2deny ip 200.0.0.2 0.0.0.0;201.255.255.253 0.0.0.0;
rule X1 permit ip any any;
5元组:源IP从202.0.0.1开始递增,目的IP从203.255.255.254开始递减,源端口从0开始递增,目的端口从65535开始递减:
rule 1deny udp source 202.0.0.1 0.0.0.0 source-port eq 0 destination203.255.255.254 0.0.0.0 destination-port eq 65535;
rule 2deny udp source 202.0.0.2 0.0.0.0 source-port eq 1 destination203.255.255.253 0.0.0.0 destination-port eq 65534;
rule 3udp source 202.0.0.3 0.0.0.0 source-port eq 2 destination203.255.255.252 0.0.0.0 destination-port eq 65533;
......
rule X2 permit ip any any。
4、测试设备向被测设备的端口A发送数据流量,验证被测设备所配置的ACL全部生效,匹配ACL规则的流量(例如源IP为200.0.0.1/32,目的IP为201.255.255.254/32的流量)丢弃、其他流量(其他网段流量,例如源205.0.0.0/8,目的IP为206.0.0.0/8的流量)通过。
5、被测设备同一个端口的出方向上配置支持最大数量的ACL,重复步骤3-4。
6、在双向ACL同时生效的条件下,分别记录被测设备的该端口的入方向ACL数量(X1+X2)和出方向ACL数量。
而对于ACL反掩码和汇聚,例如10.0.0.0 0.255.255.255,反掩码0.255.255.255写成二进制为00000000.11111111.111111111.11111111;其中,0表示要检查的位,1代表不检查要忽略的位,以上ACL规则表示第一个字节需要严格匹配,也就是说必须为“10.”,后面的任意匹配,匹配的网络为10.*.*.*。
10.0.0.0 0.0.3.255
同样前两个字节严格匹配为“10.0”,后面“0”需要严格匹配,“1”就任意。在这里,后10个比特可以任意匹配,通过计算可以得到:一个10.0.0.00.0.3.255的ACL规则可以匹配10.0.0.*、10.0.1.*、10.0.2.*、10.0.3.*这四个子网。
所以若测试要求配置7条ACL规则为:
rule 1deny ip 200.0.0.1 0.0.0.0 201.255.255.254 0.0.0.0;
rule 2deny ip 200.0.0.2 0.0.0.0 201.255.255.253 0.0.0.0;
rule 3deny ip 200.0.0.3 0.0.0.0 201.255.255.252 0.0.0.0;
rule 4deny ip 200.0.0.4 0.0.0.0 201.255.255.251 0.0.0.0;
rule 5deny ip 200.0.0.5 0.0.0.0 201.255.255.250 0.0.0.0;
rule 6deny ip 200.0.0.6 0.0.0.0 201.255.255.249 0.0.0.0;
rule 7deny ip 200.0.0.7 0.0.0.0 201.255.255.248 0.0.0.0。
则被测设备可以简化配置为4条ACL规则:
rule 1deny ip 200.0.0.1 0.0.0.0 201.255.255.254 0.0.0.0;
rule 2deny ip 200.0.0.2 0.0.0.0 201.255.255.253 0.0.0.0;
rule 3deny ip 200.0.0.3 0.0.0.0 201.255.255.252 0.0.0.0;
rule 4deny ip 200.0.0.4 0.0.0.3 201.255.255.251 0.0.0.3。
通过ACL反掩码汇聚可减少ACL规则的配置数量,而对于ACL容量测试并没有测出实际的ACL容量;并且测试的ACL容量越大,通过反掩码方式可以汇聚压缩的空间越大,测出的ACL条目数远不能真实反映设备的真实ACL存储条目能力。
下面结合附图及具体实施例对本发明作进一步详细的说明。
本发明实施例提供了一种ACL容量的测试方法。图1为本发明实施例的ACL容量的测试方法的流程示意图;如图1所示,所述方法包括:
步骤101:基于离散路由池生成离散的ACL规则,以及生成验证流量和黑洞流量;所述黑洞流量表征所述离散的ACL规则未覆盖的流量。
步骤102:将所述ACL规则、所述验证流量和所述ACL黑洞流量发送至被测设备的被测端口,以使所述被测设备的被测端口基于所述ACL规则、所述验证流量和所述黑洞流量进行数据匹配。
步骤103:获得所述被测设备的ACL规则的匹配数量,基于所述匹配数量确定ACL容量。
本实施例的ACL容量的测试方法应用于测试设备中,测试设备的端口与被测设备的端口连接。在一实施例中,所述基于离散路由池生成离散的ACL规则之前,所述方法还包括:基于与被测设备的被测端口建立的路由关系,向所述被测设备发布预设数量的路由信息,所述路由信息来自所述离散路由池。
作为一种示例,图2为本发明实施例的ACL容量的测试方法的应用环境示意图;如图2所示,测试设备分别具有两个端口,被测设备同样具有两个端口,被测设备的两个端口例如被测板卡A和被测板卡B;测试设备的一端口与被测设备的一端口建立路由关系,测试设备的另一端口与被测设备的另一端口建立路由关系;例如图2所示,测试设备可与被测板卡A之间建立满足外部边界网关协议(EBGP,External Border Gateway Protocol)的路由关系,同样的,测试设备与被测板卡B之间建立满足EBGP的路由关系。
实际应用中,测试设备与被测设备之间建立路由关系后,向被测设备发布离散的TOTAL_ROUTES_COUNT条路由,如图2中所示,测试设备分别向被测设备的被测板卡A和被测板卡B发布离散路由,使得被测板卡A中的离散路由形成路由池集合(RoutePoolArr1-1),被测板卡B中的离散路由形成路由池集合(RoutePoolArr2-1);其中,具有发布的路由基于预先配置的离散路由池生成;若多次测试过程中需要的路由数量相同,则多次测试过程中生成的离散路由可完全相同(即具有可重复性)。路由发布完成后,建立对应于源地址和目的地址的离散IP集合,测试设备向被测设备发送源地址、目的地址一一对应的流量验证路由发布成功。具体可参照图3a所示,对应于源地址的离散IP集合可记为RandomIpArr(1-1),对应于目的地址的离散IP集合可记为RandomIpArr(2-1)。
本发明实施例中,所述基于离散路由池生成离散的ACL规则,包括:基于预先配置的ACL容量参数和所述预设数量的路由信息生成离散的ACL规则,所述离散的ACL规则数量小于所述预设数量。其中,所述ACL容量参数包括入方向ACL规则数量和出方向ACL规则数量,所述入方向ACL规则数量和所述出方向ACL规则数量中的最大值小于所述预设数量。
本实施例中,基于被测设备的端口ACL性能预先设置需要测试的ACL容量参数,所述ACL容量参数可包括入方向ACL规则数量和出方向ACL规则数量,例如,入方向ACL规则数量可记为INPUT_ACL_COUNT;出方向ACL规则数量可记为OUTPUT_ACL_COUNT。测试设备可基于上述ACL容量参数和所述离散路由池生成离散的ACL规则;所述离散的ACL规则满足:TOTAL_ROUTES_COUNT>max(INPUT_ACL_COUNT,OUTPUT_ACL_COUNT);所述离散的ACL规则还可以满足:入方向/出方向ACL规则均有IP二元组和IP五元组的扩展ACL组成,IP二元组和IP五元组的数量均分,且源/目的地址和源/目的端口均离散;所述离散的ACL规则形成的ACL规则序列(集合)还可以满足:除最后一条ACL规则配置为“permit ip any any”规则以外,其余ACL规则均配置为“deny”规则。
本发明实施例中,生成的离散的ACL规则包括入方向ACL规则和出方向ACL规则,相应的,生成的验证流量也包括入方向验证流量和出方向验证流量。
本发明实施例中,所述基于预先配置的ACL容量参数和所述离散路由池生成离散的ACL规则,包括:基于所述预设数量的路由信息配置所述ACL规则中的源地址信息和目的地址信息;所述源地址信息包括源IP地址;所述目的地址信息包括目的IP地址;其中,当所述ACL规则为五元组ACL规则时,所述源地址信息中还包括源端口信息,所述源端口信息基于所述源IP地址中的至少部分内容确定;所述目的地址信息中还包括目的端口信息;所述目的端口信息基于所述目的IP地址中的至少部分内容确定。
具体的,入方向二元组ACL规则数(inAcl2Count)等于入方向ACL规则数的一半,即inAcl2Count=(INPUT_ACL_COUNT-1)/2。
入方向五元组ACL规则数(inAcl5Count)等于入方向ACL规则数减去入方向二元组ACL规则数,即inAcl5Count=INPUT_ACL_COUNT-inAcl2Count。
出方向二元组ACL规则数(outAcl2Count)等于出方向ACL规则数的一半,即outAcl2Count=(OUTPUT_ACL_COUNT-1)/2。
出方向五元组ACL规则数(outAcl5Count)等于出方向ACL规则数减去出方向二元组ACL规则数,即outAcl5Count=OUTPUT_ACL_COUNT-outAcl2Count。
本发明实施例中,二元组/五元组ACL规则的源/目的地址来自RandomIpArr($i-1)(i=1,2),可以理解为,入/出方向的二元组/五元组ACL规则的源地址来自RandomIpArr(1-1),入/出方向的二元组/五元组ACL规则的目的地址来自RandomIpArr(2-1);其中,
入方向二元组ACL规则的源/目的地址集合Acl2StreamAddrArr(1-1)如图3b所示,即入方向二元组ACL规则(inAcl2Count)的源地址范围满足I-A,入方向二元组ACL规则(inAcl2Count)的目的地址范围满足I-B;入方向五元组ACL规则的源/目的地址集合Acl5StreamAddrArr(1-1)如图3b所示,即入方向五元组ACL规则(inAcl5Count)的源地址范围满足I-C,入方向五元组ACL规则(inAcl5Count)的目的地址范围满足I-D。
入方向五元组ACL规则的源端口号集合Acl5SrcPort(1-1),来自对应ACL规则的源IP地址,例如,若ACL规则的源IP地址为:A1.B1.C1.D1,则可以将[B1C1]合并为二进制数后转化为十进制数。入方向ACL目的端口号集合Acl5DstPort(1-1),来自对应ACL规则的目的IP地址,若ACL规则的目的IP地址为:A2.B2.C2.D2,则将[B2C2]合并为二进制数后转化为十进制数。
本发明实施例中,所述生成验证流量包括:根据生成的离散的ACL规则对应的源地址信息和目的地址信息生成验证流量;其中,对于ACL规则为二元组的扩展ACL时,基于该ACL规则的源IP地址和目的IP地址生成验证流量,具体可参照图3c所示;对于ACL规则为五元组的扩展ACL时,基于该ACL规则的源IP地址、目的IP地址和端口信息(包括源端口信息和目的端口信息)生成验证流量,具体可参照图3d所示。
对于出方向的ACL规则和验证流量,具体的,出方向二元组/五元组ACL规则的源地址取自RandomIpArr(1-1),出方向二元组/五元组ACL规则的目的地址取自RandomIpArr(2-1);其中,
出方向二元组ACL规则的源/目的地址集合Acl2StreamAddrArr(2-1)如图3e所示,即出方向二元组ACL规则(outAcl2Count)的源地址范围满足O-B,出方向二元组ACL规则(outAcl2Count)的目的地址范围满足O-A;出方向五元组ACL规则的源/目的地址集合Acl5StreamAddrArr(2-1)如图3e所示,即出方向五元组ACL规则(outAcl5Count)的源地址范围满足O-D,出方向五元组ACL规则(outAcl5Count)的目的地址范围满足O-C。
出方向五元组ACL规则的源端口号集合Acl5SrcPort(2-1),来自对应ACL规则的源IP地址,例如,若ACL规则的源IP地址为:A1.B1.C1.D1,则可以将[B1C1]合并为二进制数后转化为十进制数;出方向五元组ACL规则的目的端口号集合Acl5DstPort(2-1),来自对应ACL规则的目的IP地址,若ACL规则的目的IP地址为:A2.B2.C2.D2,则可以将[B2C2]合并为二进制数后转化为十进制数。
对于出方向验证流量,其中,对于ACL规则为二元组的扩展ACL,则基于该ACL规则的源IP地址和目的IP地址生成验证流量,具体可参照图3f所示;对于ACL规则为五元组的扩展ACL时,基于该ACL规则的源IP地址、目的IP地址和端口信息(包括源端口信息和目的端口信息)生成验证流量,具体可参照图3g所示。
本发明实施例中,测试设备发送验证流量至被测设备,具体是发送验证流量至被测设备(如被测板卡A)的入方向和出方向,此时应没有流量通过,入方向和出方向ACL规则均生效。
本发明实施例中,由于生成离散的ACL规则,也即生成的ACL规则中的源地址和目的地址离散,因此存在ACL规则覆盖不到的流量,因此需要构建ACL规则覆盖不到的流量,该流量称为黑洞流量。如图3h和图3i所示,分别为入方向和出方向的黑洞流量的示意图。
作为一种实施方式,所述生成黑洞流量,包括:改变所述五元组ACL规则中的端口信息,基于改变后的五元组ACL规则中的源地址信息和目的地址信息生成黑洞流量。
具体的,五元组ACL:验证五元组ACL规则是否汇聚的方法是,入/出方向ACL规则中的源/目的地址不变,改变源/目的端口信息,例如改变方式可以是:源端口号+1,目的端口号-1等等。则改变后的端口号信息可表示为:
入方向ACL规则黑洞流量源端口号集合记为Acl5BlackholeSrcPort(1-1);入方向ACL规则黑洞流量目的端口号集合记为Acl5BlackholeDstPort(1-1),如图3j所示;出方向ACL规则黑洞流量源端口号集合Acl5BlackholeSrcPort(2-1);出方向ACL规则黑洞流量目的端口号集合Acl5BlackholeDstPort(2-1),如图3k所示。
本发明实施例中,测试设备发送黑洞流量至被测设备,具体是发送黑洞流量至被测设备(如被测板卡A)的入方向和出方向,此时黑洞流量应全部通过。
ACL规则的顺序性验证:ACL规则的顺序性是指数据包进行ACL规则配置时,应优先匹配序号排序在先的规则,脚本的顺序性验证方法包括:
对于二元组入方向ACL,其配置的ACL规则的形式可以包括:
rule 1deny ip X.X.X.X/32 X.X.X.X/32;
rule 2deny ip X.X.X.X/32 X.X.X.X/32;
rule n-1deny ip X.X.X.X/32 X.X.X.X/32;
rule n permit ip any any;
对于所有匹配入方向二元组ACL(rule1-rule n-1)的流量都拒绝,调整ACL规则的顺序为:
rule 1deny ip X.X.X.X/32 X.X.X.X/32;
rule 2deny ip X.X.X.X/32 X.X.X.X/32;
rule n permit ip any any;
rule n-1deny ip X.X.X.X/32 X.X.X.X/32;
此时测试仪分别发送匹配入方向二元组ACL(rule1-rule n-1)的流量,有且仅有匹配rule n-1的流量能通过。
采用本发明实施例的技术方案,通过离散路由池生成离散的ACL规则,以及自动生成验证流量和黑洞流量,避免了由于ACL规则汇聚导致容量测试不准确的问题,另一方面,也避免了人工配置验证流量和黑洞流量,大大减轻了人力资源负担,减少人力资源消耗。
图4为本发明实施例的ACL容量的测试方法的应用流程示意图;如图4所示,本发明实施例的ACL容量的测试方法具体可包括:
1、配置ACL容量参数;所述ACL容量参数可包括入方向ACL规则数量和出方向ACL规则数量,例如,入方向ACL规则数量可记为INPUT_ACL_COUNT;出方向ACL规则数量可记为OUTPUT_ACL_COUNT。
2、生成路由池,该路由池具体是RoutePoolArr;
3、生成路由流量、ACL验证流量、黑洞流量;
实际应用中,测试设备与被测设备之间建立路由关系后,向被测设备发布离散的TOTAL_ROUTES_COUNT条路由,如图2中所示,测试设备分别向被测设备的被测板卡A和被测板卡B发布离散路由,使得被测板卡A中的离散路由形成路由池集合(RoutePoolArr1-1),被测板卡B中的离散路由形成路由池集合(RoutePoolArr2-1);路由发布完成后,建立对应于源地址和目的地址的离散IP集合;基于配置的ACL容量参数和预设数量的路由信息生成离散的ACL规则,进一步根据离散的ACL规则对应的源地址信息和目的地址信息生成验证流量;改变五元组ACL规则中的端口信息,基于改变后的五元组ACL规则中的源地址信息和目的地址信息生成黑洞流量。
4、发布路由;
5、验证正常路由,验证ACL,验证ACL黑洞;
6、改变ACL顺序;
7、生成验证ACL顺序流量;
8、验证ACL顺序;若验证成功,则执行9:正常退出程序,ACL验证成功;若验证失败,则执行10:直接退出程序,ACL验证失败。
本发明实施例还提供了一种测试设备。图5为本发明实施例的测试设备的组成结构示意图,如图5所示,包括存储器42、处理器41及存储在存储器上并可在处理器41上运行的计算机程序,所述处理器41执行所述程序时实现:基于离散路由池生成离散的ACL规则,以及生成验证流量和黑洞流量;所述黑洞流量表征所述离散的ACL规则未覆盖的流量;将所述ACL规则、所述验证流量和所述ACL黑洞流量发送至被测设备的被测端口,以使所述被测设备的被测端口基于所述ACL规则、所述验证流量和所述黑洞流量进行数据匹配;获得所述被测设备的ACL规则的匹配数量,基于所述匹配数量确定ACL容量。
在一实施例中,所述处理器41执行所述程序时实现:基于离散路由池生成离散的ACL规则之前,基于与被测设备的被测端口建立的路由关系,向所述被测设备发布预设数量的路由信息,所述路由信息来自所述离散路由池。
在一实施例中,所述处理器41执行所述程序时实现:基于预先配置的ACL容量参数和所述预设数量的路由信息生成离散的ACL规则;所述离散的ACL规则数量小于所述预设数量。
在一实施例中,所述处理器41执行所述程序时实现:基于所述预设数量的路由信息配置所述ACL规则中的源地址信息和目的地址信息;所述源地址信息包括源IP地址;所述目的地址信息包括目的IP地址;其中,当所述ACL规则为五元组ACL规则时,所述源地址信息中还包括源端口信息,所述源端口信息基于所述源IP地址中的至少部分内容确定;所述目的地址信息中还包括目的端口信息;所述目的端口信息基于所述目的IP地址中的至少部分内容确定。
在一实施例中,所述处理器41执行所述程序时实现:根据生成的离散的ACL规则对应的源地址信息和目的地址信息生成验证流量。
在一实施例中,所述处理器41执行所述程序时实现:改变所述五元组ACL规则中的端口信息,基于改变后的五元组ACL规则中的源地址信息和目的地址信息生成黑洞流量。
可以理解,测试设备还包括和总线系统43,测试设备中的各个组件通过总线系统43耦合在一起。可理解,总线系统43用于实现这些组件之间的连接通信。总线系统43除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图5中将各种总线都标为总线系统43。
可以理解,存储器42可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器42旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器41中,或者由处理器41实现。处理器41可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器41中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器41可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器41可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器42,处理器41读取存储器42中的信息,结合其硬件完成前述方法的步骤。
本发明实施例还提供了一种计算机存储介质,例如包括计算机程序的存储器,上述计算机程序可由测试设备的处理器执行,以完成前述方法所述步骤。计算机存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
本发明实施例提供的计算机存储介质,其上存储有计算机指令,该指令被处理器执行时实现:基于离散路由池生成离散的ACL规则,以及生成验证流量和黑洞流量;所述黑洞流量表征所述离散的ACL规则未覆盖的流量;将所述ACL规则、所述验证流量和所述ACL黑洞流量发送至被测设备的被测端口,以使所述被测设备的被测端口基于所述ACL规则、所述验证流量和所述黑洞流量进行数据匹配;获得所述被测设备的ACL规则的匹配数量,基于所述匹配数量确定ACL容量。
在一实施例中,该指令被处理器执行时实现:基于离散路由池生成离散的ACL规则之前,基于与被测设备的被测端口建立的路由关系,向所述被测设备发布预设数量的路由信息,所述路由信息来自所述离散路由池。
在一实施例中,该指令被处理器执行时实现:基于预先配置的ACL容量参数和所述预设数量的路由信息生成离散的ACL规则;所述离散的ACL规则数量小于所述预设数量。
在一实施例中,该指令被处理器执行时实现:基于所述预设数量的路由信息配置所述ACL规则中的源地址信息和目的地址信息;所述源地址信息包括源IP地址;所述目的地址信息包括目的IP地址;其中,当所述ACL规则为五元组ACL规则时,所述源地址信息中还包括源端口信息,所述源端口信息基于所述源IP地址中的至少部分内容确定;所述目的地址信息中还包括目的端口信息;所述目的端口信息基于所述目的IP地址中的至少部分内容确定。
在一实施例中,该指令被处理器执行时实现:根据生成的离散的ACL规则对应的源地址信息和目的地址信息生成验证流量。
在一实施例中,该指令被处理器执行时实现:改变所述五元组ACL规则中的端口信息,基于改变后的五元组ACL规则中的源地址信息和目的地址信息生成黑洞流量。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (13)

1.一种访问控制列表ACL容量的测试方法,其特征在于,所述方法包括:
基于离散路由池生成离散的ACL规则,以及生成验证流量和黑洞流量;所述黑洞流量表征所述离散的ACL规则未覆盖的流量;
将所述ACL规则、所述验证流量和所述ACL黑洞流量发送至被测设备的被测端口,以使所述被测设备的被测端口基于所述ACL规则、所述验证流量和所述黑洞流量进行数据匹配;
获得所述被测设备的ACL规则的匹配数量,基于所述匹配数量确定ACL容量。
2.根据权利要求1所述的方法,其特征在于,所述基于离散路由池生成离散的ACL规则之前,所述方法还包括:
基于与被测设备的被测端口建立的路由关系,向所述被测设备发布预设数量的路由信息,所述路由信息来自所述离散路由池。
3.根据权利要求2所述的方法,其特征在于,所述基于离散路由池生成离散的ACL规则,包括:基于预先配置的ACL容量参数和所述预设数量的路由信息生成离散的ACL规则;所述离散的ACL规则数量小于所述预设数量。
4.根据权利要求3所述的方法,其特征在于,所述基于预先配置的ACL容量参数和所述离散路由池生成离散的ACL规则,包括:
基于所述预设数量的路由信息配置所述ACL规则中的源地址信息和目的地址信息;所述源地址信息包括源IP地址;所述目的地址信息包括目的IP地址;
其中,当所述ACL规则为五元组ACL规则时,所述源地址信息中还包括源端口信息,所述源端口信息基于所述源IP地址中的至少部分内容确定;所述目的地址信息中还包括目的端口信息;所述目的端口信息基于所述目的IP地址中的至少部分内容确定。
5.根据权利要求4所述的方法,其特征在于,所述生成验证流量,包括:根据生成的离散的ACL规则对应的源地址信息和目的地址信息生成验证流量。
6.根据权利要求4所述的方法,其特征在于,所述生成黑洞流量,包括:改变所述五元组ACL规则中的端口信息,基于改变后的五元组ACL规则中的源地址信息和目的地址信息生成黑洞流量。
7.一种测试设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现:基于离散路由池生成离散的ACL规则,以及生成验证流量和黑洞流量;所述黑洞流量表征所述离散的ACL规则未覆盖的流量;
将所述ACL规则、所述验证流量和所述ACL黑洞流量发送至被测设备的被测端口,以使所述被测设备的被测端口基于所述ACL规则、所述验证流量和所述黑洞流量进行数据匹配;
获得所述被测设备的ACL规则的匹配数量,基于所述匹配数量确定ACL容量。
8.根据权利要求7所述的测试设备,其特征在于,所述处理器执行所述程序时实现:基于离散路由池生成离散的ACL规则之前,基于与被测设备的被测端口建立的路由关系,向所述被测设备发布预设数量的路由信息,所述路由信息来自所述离散路由池。
9.根据权利要求8所述的测试设备,其特征在于,所述处理器执行所述程序时实现:基于预先配置的ACL容量参数和所述预设数量的路由信息生成离散的ACL规则;所述离散的ACL规则数量小于所述预设数量。
10.根据权利要求9所述的测试设备,其特征在于,所述处理器执行所述程序时实现:基于所述预设数量的路由信息配置所述ACL规则中的源地址信息和目的地址信息;所述源地址信息包括源IP地址;所述目的地址信息包括目的IP地址;
其中,当所述ACL规则为五元组ACL规则时,所述源地址信息中还包括源端口信息,所述源端口信息基于所述源IP地址中的至少部分内容确定;所述目的地址信息中还包括目的端口信息;所述目的端口信息基于所述目的IP地址中的至少部分内容确定。
11.根据权利要求10所述的测试设备,其特征在于,所述处理器执行所述程序时实现:根据生成的离散的ACL规则对应的源地址信息和目的地址信息生成验证流量。
12.根据权利要求10所述的测试设备,其特征在于,所述处理器执行所述程序时实现:改变所述五元组ACL规则中的端口信息,基于改变后的五元组ACL规则中的源地址信息和目的地址信息生成黑洞流量。
13.一种计算机存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现权利要求1至6任一项所述的ACL容量的测试方法的步骤。
CN201810014302.2A 2018-01-08 2018-01-08 访问控制列表容量的测试方法、设备和计算机存储介质 Active CN110022281B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810014302.2A CN110022281B (zh) 2018-01-08 2018-01-08 访问控制列表容量的测试方法、设备和计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810014302.2A CN110022281B (zh) 2018-01-08 2018-01-08 访问控制列表容量的测试方法、设备和计算机存储介质

Publications (2)

Publication Number Publication Date
CN110022281A true CN110022281A (zh) 2019-07-16
CN110022281B CN110022281B (zh) 2021-11-19

Family

ID=67187312

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810014302.2A Active CN110022281B (zh) 2018-01-08 2018-01-08 访问控制列表容量的测试方法、设备和计算机存储介质

Country Status (1)

Country Link
CN (1) CN110022281B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111695150A (zh) * 2020-05-15 2020-09-22 浙江信网真科技股份有限公司 一种动态粒度自聚合的安全过滤方法及装置
CN114513465A (zh) * 2022-02-15 2022-05-17 京东科技信息技术有限公司 负载均衡方法、负载均衡装置、电子设备和存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050157647A1 (en) * 2004-01-21 2005-07-21 Alcatel Metering packet flows for limiting effects of denial of service attacks
CN101047571A (zh) * 2006-06-23 2007-10-03 华为技术有限公司 一种发送测试路由的方法和系统
CN101841474A (zh) * 2010-04-15 2010-09-22 华为技术有限公司 访问控制列表的实现装置
CN102143024A (zh) * 2011-03-24 2011-08-03 福建星网锐捷网络有限公司 一种负载均衡功能的测试方法、网络设备及测试系统
CN103873312A (zh) * 2012-12-12 2014-06-18 中国移动通信集团公司 一种ip设备转发表容量的测试方法和系统
CN104994065A (zh) * 2015-05-20 2015-10-21 上海斐讯数据通信技术有限公司 基于软件定义网络的访问控制列表运行系统和方法
CN106027459A (zh) * 2015-12-28 2016-10-12 深圳市恒扬数据股份有限公司 一种访问控制列表的查询方法及装置
CN106131086A (zh) * 2016-08-31 2016-11-16 迈普通信技术股份有限公司 一种访问控制列表的匹配方法及装置
CN107483336A (zh) * 2017-07-31 2017-12-15 迈普通信技术股份有限公司 网络设备mac地址容量测试系统及方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050157647A1 (en) * 2004-01-21 2005-07-21 Alcatel Metering packet flows for limiting effects of denial of service attacks
CN101047571A (zh) * 2006-06-23 2007-10-03 华为技术有限公司 一种发送测试路由的方法和系统
CN101841474A (zh) * 2010-04-15 2010-09-22 华为技术有限公司 访问控制列表的实现装置
CN102143024A (zh) * 2011-03-24 2011-08-03 福建星网锐捷网络有限公司 一种负载均衡功能的测试方法、网络设备及测试系统
CN103873312A (zh) * 2012-12-12 2014-06-18 中国移动通信集团公司 一种ip设备转发表容量的测试方法和系统
CN104994065A (zh) * 2015-05-20 2015-10-21 上海斐讯数据通信技术有限公司 基于软件定义网络的访问控制列表运行系统和方法
CN106027459A (zh) * 2015-12-28 2016-10-12 深圳市恒扬数据股份有限公司 一种访问控制列表的查询方法及装置
CN106131086A (zh) * 2016-08-31 2016-11-16 迈普通信技术股份有限公司 一种访问控制列表的匹配方法及装置
CN107483336A (zh) * 2017-07-31 2017-12-15 迈普通信技术股份有限公司 网络设备mac地址容量测试系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
中国移动通信集团: "中国移动高端路由器测试规范", 《中国移动通信企业标准》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111695150A (zh) * 2020-05-15 2020-09-22 浙江信网真科技股份有限公司 一种动态粒度自聚合的安全过滤方法及装置
CN111695150B (zh) * 2020-05-15 2023-07-28 浙江信网真科技股份有限公司 一种动态粒度自聚合的安全过滤方法及装置
CN114513465A (zh) * 2022-02-15 2022-05-17 京东科技信息技术有限公司 负载均衡方法、负载均衡装置、电子设备和存储介质

Also Published As

Publication number Publication date
CN110022281B (zh) 2021-11-19

Similar Documents

Publication Publication Date Title
US7440415B2 (en) Virtual network addresses
US8005945B2 (en) Aggregating policy criteria parameters into ranges for efficient network analysis
US20060114908A1 (en) Policy based routing using a fast filter processor
CN104380693B (zh) 用于在集群中动态路由的系统和方法
US7554984B2 (en) Fast filter processor metering and chaining
CN107566152A (zh) 用于虚拟网络链路检测的方法及装置
Kundel et al. P4STA: High performance packet timestamping with programmable packet processors
US8537839B2 (en) Traffic generator with dynamic MPLS label assignment
CN106878194A (zh) 一种报文处理方法和装置
CN109067938A (zh) 一种测试dns服务器的方法及装置
CN106789652A (zh) 业务分流方法及装置
CN110022281A (zh) 访问控制列表容量的测试方法、设备和计算机存储介质
Yang et al. FAST: enabling fast software/hardware prototype for network experimentation
CN108667692A (zh) 一种分布式缓存设备负载均衡的性能测试方法及系统
CN109547288A (zh) 一种协议无关转发网络可编程流测量方法
Kundel et al. Network testing utilizing programmable network hardware
CN111404774A (zh) 数据监控方法、装置、设备及存储介质
Antichi et al. Bruno: A high performance traffic generator for network processor
CN103986714B (zh) 将总线控制网络接入avb网络的代理实现方法及装置
US8243760B2 (en) Scheduler using a plurality of slow timers
US8687518B1 (en) Automatic address configuration in a network test system
CN109714269A (zh) 一种数据处理方法及网络设备
CN115017864A (zh) 验证方法、验证装置、电子设备和计算机可读存储介质
CN108737387A (zh) 网络请求的记录方法、服务器及计算机可读存储介质
US9325741B2 (en) Method and system for evaluating access granted to dynamically provisioned virtual servers across endpoints in a network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant