CN111431875B - 一种下发插入规则的方法及装置 - Google Patents
一种下发插入规则的方法及装置 Download PDFInfo
- Publication number
- CN111431875B CN111431875B CN202010170979.2A CN202010170979A CN111431875B CN 111431875 B CN111431875 B CN 111431875B CN 202010170979 A CN202010170979 A CN 202010170979A CN 111431875 B CN111431875 B CN 111431875B
- Authority
- CN
- China
- Prior art keywords
- rule
- list
- new
- cloud platform
- newly added
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提出了一种下发插入规则的方法及装置。本申请中,云平台接收包括有新增规则、插入云平台的规则列表时所参照的第一插入参照规则、以及所述新增规则和第一插入参照规则的相对位置的新增规则插入请求,在新增规则与第一插入参照规则的网络协议不同的情况下,在云平台的规则列表中查找新增规则插入到网络设备的规则列表时所参照的第二插入参照规则,若查找成功,则将新增规则、第二插入参照规则、以及相对位置下发给网络设备,以使网络设备将新增规则插入规则列表。因此,云平台可以在新增规则与所参照的插入参照规则的网络协议不同时,确定出与新增规则网络协议相同的新插入参照规则,并下发给网络设备,以使得网络设备可以正确插入新增规则。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种下发插入规则的方法和装置。
背景技术
使用云平台对网络设备进行管理时,云平台为每个网络设备配置一个规则列表,该规则列表中包含所有网络协议的规则;同时,网络设备自身维护多个规则列表,且每个规则列表包含一种网络协议。
当云平台接收到在规则列表中插入新增规则的请求时,需要向网络设备同步该新增规则。其中,插入新增规则一般以云平台的规则列表中的已有规则作为参照规则,将新增规则插入到参照规则之前或参照规则之后。
然而,在新增规则和参照规则的网络协议不同的情况下,网络设备接收到云平台下发的同步消息时,无法在与新增规则网络协议对应的规则列表中查找到参照规则,从而无法确定新增规则的插入位置。
发明内容
针对上述技术问题,本申请提出了一种下发插入规则的方法及装置,可以使得网络设备确定新增规则在目标规则列表中的位置。
根据本申请的第一方面,提供一种下发插入规则的方法,该方法应用于云平台,该方法包括:
接收新增规则插入请求,所述请求包括新增规则、插入云平台的规则列表时所参照的第一插入参照规则、以及所述新增规则和插入参照规则的相对位置;
确定所述第一插入参照规则与所述新增规则的网络协议是否相同;
若不同,基于所述相对位置和所述第一插入参照规则,在所述云平台的规则列表中,确定是否存在新增规则插入网络设备中的目标规则列表时所参照的第二插入参照规则,所述目标规则列表与所述新增规则的网络协议对应;
若存在,则将所述新增规则、所述第二插入参照规则以及所述相对位置下发给所述网络设备,以使网络设备将所述新增规则插入所述目标规则列表。
根据本申请的第二方面,提供一种下发插入规则的装置,该装置应用于云平台,该装置包括:
请求接收单元,用于接收新增规则插入请求,所述请求包括新增规则、插入云平台的规则列表时所参照的第一插入参照规则、以及所述新增规则和插入参照规则的相对位置;
协议比较单元,用于确定所述第一插入参照规则与所述新增规则的网络协议是否相同;
第一规则确定单元,用于在确定所述第一插入参照规则与所述新增规则的网络协议不同时,基于所述相对位置和所述第一插入参照规则,在所述云平台的规则列表中,确定是否存在新增规则插入网络设备中的目标规则列表时所参照的第二插入参照规则,所述目标规则列表与所述新增规则的网络协议对应;
第一请求下发单元,用于在存在第二插入参照规则时,将所述新增规则、所述第二插入参照规则以及所述相对位置下发给所述网络设备,以使网络设备将所述新增规则插入所述目标规则列表。
本申请中,云平台接收包括有新增规则、插入云平台的规则列表时所参照的第一插入参照规则、以及所述新增规则和第一插入参照规则的相对位置的新增规则插入请求,在新增规则与第一插入参照规则的网络协议不同的情况下,在云平台的规则列表中查找新增规则插入到网络设备的规则列表时所参照的第二插入参照规则,若查找成功,则将新增规则、第二插入参照规则、以及相对位置下发给网络设备,以使网络设备将新增规则插入规则列表。
因此,云平台可以在新增规则与所参照的插入参照规则的网络协议不同时,确定出与新增规则网络协议相同的新插入参照规则,并下发给网络设备,以使得网络设备可以正确插入新增规则。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请一示例性实施例示出的一种下发插入规则的方法流程图;
图2为本申请一示例性实施例示出的一种云平台的硬件结构图;
图3为本申请一示例性实施例示出的一种下发插入规则的装置框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在网络设备中,通常会建立各种规则以实现对报文的区分处理。以防火墙设备为例,防火墙设备中预设有大量防火墙安全规则,该规则基于报文的五元组信息,实现对报文的拦截或转发。当然,对于交换机、路由器等其他网络设备,这些网络设备可以包含其他类型的规则,这里不进行限定。
在维护网络设备时,企业为了实现统一管理,通常会使用虚拟化的云计算管理平台(以下简称云平台)来管理多台网络设备。
常见的云平台(例如OpenStack云平台)都存在安全防护功能,该功能需要使用一个配置安全规则的列表,其中包含所有类型的网络协议的规则。举例来说,对于防火墙设备,云平台使用一个防火墙安全规则列表来实现安全防护功能,如表1所示,该列表中既包含IPv4协议的规则,也包含IPv6协议的规则。
| 协议类型 | 规则 |
| Ipv4 | Rule1 |
| Ipv6 | Rule2 |
| Ipv6 | Rule3 |
表1
而云平台管理的网络设备,通常会使用多个规则列表来实现安全防护功能,并且每个规则列表包含一种类型的网络协议的规则。例如,与表1对应的防火墙设备,包括如表2和表3所示的规则列表,其中,表2包含网络协议为IPv4协议的规则,表3中包含网络协议为IPv6协议的规则。
| 协议类型 | 规则 |
| Ipv4 | Rule1 |
表2
| 协议类型 | 规则 |
| Ipv6 | Rule2 |
| Ipv6 | Rule3 |
表3
为了便于用户对网络设备进行管理,云平台还包括可视化界面,用于展示如表1的规则列表。当需要新增规则时,用户通过云平台的可视化界面,将需要新增的规则插入云平台规则列表中的指定位置。
具体的,用户可以将云平台的规则列表中已有的规则确定为参照规则,然后将新增规则插入到参照规则之前或参照规则之后。云平台接收到用户新增规则的插入请求后,按照新增规则和参照规则的相对位置,将新增规则保存到云平台的规则列表,同时,也将新增规则下发到对应的网络设备。由于规则的执行顺序会影响网络设备对报文的处理结果,因此云平台将新增规则下发给网络设备时,仍需要遵循该新增规则在规则中的位置。
然而,用户插入的新增规则、与用户指定的参照规则的网络协议可能不同,这种情况下,网络设备接收到云平台下发的同步消息时,无法在与新增规则网络协议对应的规则列表中查找到参照规则,从而无法确定新增规则的插入位置。
有鉴于此,本申请提出了一种新的下发插入规则的方法。本申请中,云平台接收包括有新增规则、插入云平台的规则列表时所参照的第一插入参照规则、以及所述新增规则和第一插入参照规则的相对位置的新增规则插入请求,在新增规则与第一插入参照规则的网络协议不同的情况下,在云平台的规则列表中查找新增规则插入到网络设备的规则列表时所参照的第二插入参照规则,若查找成功,则将新增规则、第二插入参照规则、以及相对位置下发给网络设备,以使网络设备将新增规则插入规则列表。
因此,云平台可以在新增规则与所参照的插入参照规则的网络协议不同时,确定出与新增规则网络协议相同的新插入参照规则,并下发给网络设备,以使得网络设备可以正确插入新增规则。
参见图1,图1是本申请一示例性实施例示出的一种下发插入规则的方法,该方法应用于云平台。
如图1所示,包括以下步骤:
步骤S101:云平台接收新增规则插入请求,所述请求包括新增规则、插入云平台的规则列表时所参照的第一插入参照规则、以及所述新增规则和插入参照规则的相对位置。
本申请中,用户可以通过云平台的可视化界面来管理网络设备的规则。在新增规则时,用户根据云平台规则列表中已有的规则作为参照规则,将新增规则插入到该参照规则之前或该参照规则之后。
在接收到用户下发的插入请求后,云平台首先按照请求中指定的位置在云平台规则列表中插入新增规则,然后执行步骤S102,以向网络设备同步该新增规则。
举例来说,假设云平台管理的一台网络设备的规则列表如表1所示,那么用户向云平台下发的新增规则插入请求可以是“在Rule2之前插入新增规则Rule4”。
然后云平台根据上述请求,可以确定新增规则为Rule4,第一插入参照规则为Rule2,新增规则和第一插入参照规则的相对位置为新增规则在第一插入参照规则之前。
步骤S102:云平台确定所述第一插入参照规则与所述新增规则的网络协议是否相同。
每条规则都与一种网络协议对应,例如防火墙安全规则中,包括基于IPv4协议的规则、以及基于IPv6协议的规则。当然,这里只是以防火墙安全规则为例,其他类型的规则还可以与其他网络协议对应,在此不进行限定。
在接收到新增规则的插入请求后,云平台需要确定第一插入参照规则与新增规则的网络协议是否相同。
具体地,云平台首先从规则列表中查找第一插入参照规则对应的表项,基于查找到的表项确定第一插入参照规则的网络协议;然后解析新增规则,并根据新增规则中的指定字段确定该新增规则的网络协议;最后,云平台确定两者的网络协议是否相同。
当然,上述通过新增规则中的指定字段来确定该新增规则的网络协议,只是一种示例性的说明,在实际情况中,还可以用其他方法来确定,在此并不进行限定。例如,新增规则插入请求中还可以包括协议类型字段,则云平台可以根据该协议类型字段确定新增规则的网络协议。
若第一插入参照规则与新增规则的网络协议相同,则云平台将接收到新增规则插入请求下发给网络设备;
若第一插入参照规则与新增规则的网络协议不同,则云平台执行步骤S103。
步骤S103:若不同,云平台基于所述新增规则和插入规则的相对位置、和插入到云平台的规则列表时所参照的第一插入参照规则,在所述云平台的规则列表中,确定是否存在新增规则插入网络设备中的目标规则列表时所参照的第二插入参照规则。
其中,目标规则列表是在网络设备的所有规则列表中,与新增规则的网络协议对应的规则列表。
可以理解的是,若云平台直接向网络设备下发第一参照规则,则网络设备在查找到与新增规则网络协议对应的目标规则列表后,无法在该目标规则列表中查找到第一参照规则,从而无法确定新增规则的插入位置。
因此,云平台需要在云平台规则列表中查找与新增规则网络协议相同、且符合要求的第二参照规则,使得网络设备可以根据第二参照规则确定新增规则在目标规则列表中的插入位置。
下面介绍云平台“确定第二参照规则”的方式:
第一步,云平台基于在步骤S101新增规则插入请求中的相对位置确定查找顺序;
第二步,云平台按照确定的查找顺序和第一插入参照规则,在云平台规则列表中查找是否存在与新增规则网络协议相同的至少一个规则。
作为一个可选的实施例,相对位置可以是新增规则在第一插入参照规则之前。这种情况下,云平台以第一插入参照规则为起点,在云平台规则列表中,向后查询与新增协议的网络协议相同的至少一个规则。
作为另一个可选的实施例,相对位置可以是新增规则在第一插入参照规则之后。这种情况下,云平台以第一插入参照规则为起点,在云平台规则列表中,向前查询与新增协议的网络协议相同的至少一个规则。
第三步,若在第二步中查询到至少一个规则,则将查询到的至少一个规则中的首个规则作为第二插入参照规则。
至此,云平台完成了确定第二参照规则的流程。
步骤S104:若存在,则云平台将所述新增规则、所述第二插入参照规则以及相对位置下发给所述网络设备。
本申请中,若根据步骤S103确定云平台规则列表中存在第二参照规则,则将步骤S101请求中的新增规则、新增规则和插入参照规则的相对位置以及第二插入参照规则下发给网络设备。
可以理解的是,不管新增规则是参照第一插入参照规则,插入到云平台规则列表中;还是参照第二插入参照规则,插入到网络设备的目标规则列表中,新增规则和插入参照规则的相对位置是相同的。
步骤S105:网络设备将所述新增规则插入所述目标规则列表。
网络设备接收到云平台下发的请求后,在所有的规则列表中查找与新增规则网络协议相同的目标规则列表,然后在该目标规则列表中查找第二插入参照规则,最后根据“新增规则和插入参照规则的相对位置”将新增规则插入到该第二插入参照规则之前或之后。
至此,完成图1所示的流程。
下面通过一个具体的实施例来对图1所示的下发插入规则的方法进行说明:
以表1-表3对应的网络设备为例,云平台的规则列表如表1所示,网络设备中的规则列表如表2和表3所示。
实施例1:假设用户下发的新增规则插入请求为“在规则Rule1前插入规则Rule4”,且Rule4的网络协议为IPv6。
首先,云平台接收用户下发的请求,确定新增规则为Rule4,第一参照规则为Rule1,新增规则在第一参照规则之前。
当然,云平台会按上述请求的指示,将Rule4插入到如表1所示的云平台规则列表中,在此不再赘述。
其次,云平台解析规则Rule4,确定Rule4的网络协议为IPv6,与Rule1的网络协议不同。
接着,云平台在表1中,以Rule1为起点,向后查询网络协议为IPv6的规则,并将查询到的首个规则(即规则Rule2)确定为第二参照规则。
然后,云平台将携带有新增规则Rule4、第二插入参照规则Rule2、以及相对位置为Rule4在Rule2之前的消息下发给网络设备。
最后,网络设备在接收到云平台下发的请求,确定与Rule4对应的目标规则列表IPv6规则列表如表3所示,在该目标规则列表的Rule2之前插入Rule4,插入新增规则后的IPv6规则列表如表4所示。
| 协议 | 规则 |
| Ipv6 | Rule4 |
| Ipv6 | Rule2 |
| Ipv6 | Rule3 |
表4
实施例2:假设用户下发的新增规则插入请求为“在规则Rule2后插入规则Rule5”,且Rule5的网络协议为IPv4。
首先,云平台接收用户下发的请求,确定新增规则为Rule5,第一参照规则为Rule2,新增规则在第一参照规则之后。
当然,云平台会按上述请求的指示,将Rule5插入到如表1所示的云平台规则列表中。
其次,云平台解析规则Rule5,确定Rule5的网络协议为IPv4,与Rule2的网络协议不同。
接着,云平台在表1中,以Rule2为起点,向前查询网络协议为IPv4的规则,并将查询到的首个规则(即规则Rule1)确定为第二参照规则。
然后,云平台将携带有新增规则Rule5、第二插入参照规则Rule1、以及相对位置为Rule5在Rule1之后的消息下发给网络设备。
最后,网络设备在接收到云平台下发的请求,确定与Rule5对应的目标规则列表为IPv4规则列表(如表2所示),在表2中的Rule1之后插入Rule5,插入新增规则后的IPv4规则列表如表5所示。
| 协议 | 规则 |
| Ipv4 | Rule1 |
| Ipv4 | Rule5 |
表5
至此,完成了图1所示的下发插入规则的方法的介绍。
本申请中,除了表1所述的方法之外,根据步骤S103的查询结果,当云平台的规则列表中不存在第二插入参照规则时,还可以按下述方法来确定新增规则在目标规则列表中的位置。
首先,云平台根据新增规则插入请求,确定新增规则和插入参照规则的相对位置。
若新增规则在插入参照规则之前,则云平台确定新增规则在目标规则列表尾部;若新增规则在插入参照规则之后,则云平台确定新增规则在目标规则列表首部。
然后,云平台将新增规则、新增规则在目标规则列表中的位置下发给网络设备。
最后,网络设备接收云平台下发的请求,查找与新增规则网络协议相同的目标规则列表,并按该请求所指示的位置将新增规则插入与新增规则网络协议相同的目标规则列表。
下面仍以表1-表3对应的网络设备为例对“不存在第二插入参照规则”时的插入方法进行说明:
假设用户下发的新增规则插入请求为“在规则Rule2前插入规则Rule6”,且规则Rule6的网络协议为IPv4。
首先,云平台以Rule2为起点,在表1中向后查找网络协议为IPv4的规则。
然后,云平台确定不存在第二插入规则,则确定Rule6在网络设备的目标规则列表尾部,并将该位置信息和新增规则Rule6下发给网络设备。
最后,网络设备根据云平台下发的信息,查找到与Rule6对应的IPv4规则列表,并将Rule6插入到表2尾部,插入新增规则后的IPv4规则列表如表6所示。
| 协议 | 规则 |
| Ipv4 | Rule1 |
| Ipv4 | Rule6 |
表6
基于同样的方法,还可以在相对位置为新增规则在插入规则之后,且不存在第二插入规则时,将新增规则插入到目标规则列表的首部,在此不再赘述。
至此,完成了对“不存在第二插入参照规则”时下发插入规则方法的介绍。
与前述下发插入规则方法的实施例相对应,本申请还提供了下发插入规则装置的实施例。
本申请检测下发插入规则装置的实施例可以应用在云平台上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在云平台的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图2所示,为本申请检测网络连通性装置所在云平台的一种硬件结构图,除了图2所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的云平台通常根据该云平台的实际功能,还可以包括其他硬件,对此不再赘述。
参见图3,图3是本申请一示例性实施例示出的一种下发插入规则的装置的框图。该装置可以应用在云平台设备上,该装置可包括:
请求接收单元301,用于接收新增规则插入请求,所述请求包括新增规则、插入云平台的规则列表时所参照的第一插入参照规则、以及所述新增规则和插入参照规则的相对位置;
协议比较单元302,用于确定所述第一插入参照规则与所述新增规则的网络协议是否相同;
第一规则确定单元303,用于在确定所述第一插入参照规则与所述新增规则的网络协议不同时,基于所述相对位置和所述第一插入参照规则,在所述云平台的规则列表中,确定是否存在新增规则插入网络设备中的目标规则列表时所参照的第二插入参照规则,所述目标规则列表与所述新增规则的网络协议对应;
第一请求下发单元304,用于在存在第二插入参照规则时,将所述新增规则、所述第二插入参照规则以及所述相对位置下发给所述网络设备,以使网络设备将所述新增规则插入所述目标规则列表。
可选地,第一规则确定单元包括:
顺序确定子单元305(图中未示出),用于基于所述相对位置确定查找顺序;
规则查找子单元306(图中未示出),用于按照所述查找顺序和所述第一插入参照规则,在所述云平台的规则列表中查找是否存在与所述新增规则网络协议相同的至少一个规则;
规则确定子单元307(图中未示出),用于在存在至少一个规则时,将所述至少一个规则中的首个规则作为第二插入参照规则。
可选地,所述相对位置为新增规则在插入参照规则之前,则所述查找顺序为以第一插入参照规则为起点向后查询;
所述按照所述查找顺序和所述第一插入参照规则,在所述云平台的规则列表中查找是否存在与所述新增规则的网络协议相同的至少一个规则,包括:
在所述云平台的规则列表中,以所述第一插入参照规则为起点向后查询,确定是否存在与所述新增规则的网络协议相同的至少一个规则。
可选地,所述相对位置为新增规则在插入参照规则之后,则所述查找顺序为以参照规则为起点向前查询;
所述按照所述查找顺序和所述第一插入参照规则,在所述云平台的规则列表中查找是否存在与所述新增规则的网络协议相同的至少一个规则,包括:
在所述云平台的规则列表中,以所述第一插入参照规则为起点向前查询,确定是否存在与所述新增规则的网络协议相同的至少一个规则。
可选地,所述装置还包括:
第二规则确定单元308(图中未示出),用于若确定不存在新增规则插入网络设备中的目标规则列表时所参照的第二插入参照规则,则当所述相对位置为新增规则在插入参照规则之前时,确定新增规则在目标规则列表中的位置为尾部;或者,当所述相对位置为新增规则在插入参照规则之后时,确定新增规则在目标规则列表中的位置为首部;
第二请求下发单元309(图中未示出),用于将所述新增规则、所述新增规则在目标规则列表中的位置下发给所述网络设备,以使网络设备将所述新增规则插入所述目标规则列表。
至此,完成图3所示装置的框图。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种下发插入规则的方法,其特征在于,应用于云平台,所述方法包括:
接收新增规则插入请求,所述请求包括新增规则、插入云平台的规则列表时所参照的第一插入参照规则、以及所述新增规则和插入参照规则的相对位置;
确定所述第一插入参照规则与所述新增规则的网络协议是否相同;
若不同,基于所述相对位置和所述第一插入参照规则,在所述云平台的规则列表中,确定是否存在新增规则插入网络设备中的目标规则列表时所参照的第二插入参照规则,包括:
基于所述相对位置确定查找顺序;
按照所述查找顺序和所述第一插入参照规则,在所述云平台的规则列表中查找是否存在与所述新增规则网络协议相同的至少一个规则;
若存在至少一个规则,则将所述至少一个规则中的首个规则作为第二插入参照规则,所述目标规则列表与所述新增规则的网络协议对应;
若存在第二插入参照规则,则将所述新增规则、所述第二插入参照规则以及所述相对位置下发给所述网络设备,以使网络设备将所述新增规则插入所述目标规则列表。
2.根据权利要求1所述的方法,其特征在于,所述相对位置为新增规则在插入参照规则之前,则所述查找顺序为以第一插入参照规则为起点向后查询;
所述按照所述查找顺序和所述第一插入参照规则,在所述云平台的规则列表中查找是否存在与所述新增规则的网络协议相同的至少一个规则,包括:
在所述云平台的规则列表中,以所述第一插入参照规则为起点向后查询,确定是否存在与所述新增规则的网络协议相同的至少一个规则。
3.根据权利要求1所述的方法,其特征在于,所述相对位置为新增规则在插入参照规则之后,则所述查找顺序为以参照规则为起点向前查询;
所述按照所述查找顺序和所述第一插入参照规则,在所述云平台的规则列表中查找是否存在与所述新增规则的网络协议相同的至少一个规则,包括:
在所述云平台的规则列表中,以所述第一插入参照规则为起点向前查询,确定是否存在与所述新增规则的网络协议相同的至少一个规则。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若确定不存在新增规则插入网络设备中的目标规则列表时所参照的第二插入参照规则,则当所述相对位置为新增规则在插入参照规则之前时,确定新增规则在目标规则列表中的位置为尾部;或者,当所述相对位置为新增规则在插入参照规则之后时,确定新增规则在目标规则列表中的位置为首部;
将所述新增规则、所述新增规则在目标规则列表中的位置下发给所述网络设备,以使网络设备将所述新增规则插入所述目标规则列表。
5.一种下发插入规则的装置,其特征在于,应用于云平台,所述装置包括:
请求接收单元,用于接收新增规则插入请求,所述请求包括新增规则、插入云平台的规则列表时所参照的第一插入参照规则、以及所述新增规则和插入参照规则的相对位置;
协议比较单元,用于确定所述第一插入参照规则与所述新增规则的网络协议是否相同;
第一规则确定单元,用于在确定所述第一插入参照规则与所述新增规则的网络协议不同时,基于所述相对位置和所述第一插入参照规则,在所述云平台的规则列表中,确定是否存在新增规则插入网络设备中的目标规则列表时所参照的第二插入参照规则,包括:
顺序确定子单元:基于所述相对位置确定查找顺序;
规则查找子单元,用于按照所述查找顺序和所述第一插入参照规则,在所述云平台的规则列表中查找是否存在与所述新增规则网络协议相同的至少一个规则;
规则确定子单元,用于在存在至少一个规则时,将所述至少一个规则中的首个规则作为第二插入参照规则,所述目标规则列表与所述新增规则的网络协议对应;
第一请求下发单元,用于在存在第二插入参照规则时,将所述新增规则、所述第二插入参照规则以及所述相对位置下发给所述网络设备,以使网络设备将所述新增规则插入所述目标规则列表。
6.根据权利要求5所述的装置,其特征在于,所述相对位置为新增规则在插入参照规则之前,则所述查找顺序为以第一插入参照规则为起点向后查询;
所述按照所述查找顺序和所述第一插入参照规则,在所述云平台的规则列表中查找是否存在与所述新增规则的网络协议相同的至少一个规则,包括:
在所述云平台的规则列表中,以所述第一插入参照规则为起点向后查询,确定是否存在与所述新增规则的网络协议相同的至少一个规则。
7.根据权利要求5所述的装置,其特征在于,所述相对位置为新增规则在插入参照规则之后,则所述查找顺序为以参照规则为起点向前查询;
所述按照所述查找顺序和所述第一插入参照规则,在所述云平台的规则列表中查找是否存在与所述新增规则的网络协议相同的至少一个规则,包括:
在所述云平台的规则列表中,以所述第一插入参照规则为起点向前查询,确定是否存在与所述新增规则的网络协议相同的至少一个规则。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第二规则确定单元,用于若确定不存在新增规则插入网络设备中的目标规则列表时所参照的第二插入参照规则,则当所述相对位置为新增规则在插入参照规则之前时,确定新增规则在目标规则列表中的位置为尾部;或者,当所述相对位置为新增规则在插入参照规则之后时,确定新增规则在目标规则列表中的位置为首部;
第二请求下发单元,用于将所述新增规则、所述新增规则在目标规则列表中的位置下发给所述网络设备,以使网络设备将所述新增规则插入所述目标规则列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010170979.2A CN111431875B (zh) | 2020-03-12 | 2020-03-12 | 一种下发插入规则的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010170979.2A CN111431875B (zh) | 2020-03-12 | 2020-03-12 | 一种下发插入规则的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111431875A CN111431875A (zh) | 2020-07-17 |
| CN111431875B true CN111431875B (zh) | 2022-07-01 |
Family
ID=71547874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010170979.2A Active CN111431875B (zh) | 2020-03-12 | 2020-03-12 | 一种下发插入规则的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111431875B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5173939A (en) * | 1990-09-28 | 1992-12-22 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using compound principals |
| CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
| CN103001793A (zh) * | 2012-10-26 | 2013-03-27 | 杭州迪普科技有限公司 | 一种acl管理方法及装置 |
| CN105245428A (zh) * | 2014-07-07 | 2016-01-13 | 北京东土科技股份有限公司 | 一种报文处理规则的配置方法及装置 |
| CN107508836A (zh) * | 2017-09-27 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种acl规则下发的方法及装置 |
| CN110442586A (zh) * | 2019-07-03 | 2019-11-12 | 北京左江科技股份有限公司 | 一种基于分类优先级的五元组查询方法 |
-
2020
- 2020-03-12 CN CN202010170979.2A patent/CN111431875B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5173939A (en) * | 1990-09-28 | 1992-12-22 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using compound principals |
| CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
| CN103001793A (zh) * | 2012-10-26 | 2013-03-27 | 杭州迪普科技有限公司 | 一种acl管理方法及装置 |
| CN105245428A (zh) * | 2014-07-07 | 2016-01-13 | 北京东土科技股份有限公司 | 一种报文处理规则的配置方法及装置 |
| CN107508836A (zh) * | 2017-09-27 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种acl规则下发的方法及装置 |
| CN110442586A (zh) * | 2019-07-03 | 2019-11-12 | 北京左江科技股份有限公司 | 一种基于分类优先级的五元组查询方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111431875A (zh) | 2020-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8826032B1 (en) | Systems and methods for network change discovery and host name resolution in storage network environments | |
| CN107104824B (zh) | 一种网络拓扑确定方法和装置 | |
| US8089904B2 (en) | Link inference in large networks based on incomplete data | |
| US20060265372A1 (en) | Lookups by collisionless direct tables and cams | |
| EP3451592B1 (en) | Packet transmission between vxlan domains | |
| CN108173691B (zh) | 一种跨设备聚合的方法及装置 | |
| CN104462549A (zh) | 一种数据处理方法和装置 | |
| CN109714239B (zh) | 一种管理消息的下发方法、vnfm设备和服务器 | |
| US11609556B2 (en) | Control method and device based on industrial ethernet | |
| CN104301233A (zh) | 路由访问方法、路由访问系统及用户终端 | |
| US20100094994A1 (en) | Network structure information acquiring method and device | |
| CN106709066B (zh) | 数据同步方法及装置 | |
| CN109542857A (zh) | 审计日志存储方法、查询方法、装置及相关设备 | |
| CN110912826A (zh) | 利用acl扩充ipfix表项的方法及装置 | |
| CN112468365A (zh) | 用于网络镜像流量的数据质量检测方法、系统及介质 | |
| CN105700859A (zh) | 一种基于网络处理器实现硬件表遍历的方法及装置 | |
| CN111431875B (zh) | 一种下发插入规则的方法及装置 | |
| CN104205742B (zh) | 报文处理方法和转发设备 | |
| CN106789695B (zh) | 报文处理方法及装置 | |
| CN105634999B (zh) | 一种介质访问控制地址的老化方法及装置 | |
| CN111352938A (zh) | 数据处理方法、计算机设备及存储介质 | |
| CN112787930A (zh) | 一种监控对等体的运行状态的方法、装置及存储介质 | |
| US9094341B2 (en) | Method and device for updating port index, and multi-device system | |
| CN104951550B (zh) | 数据存储方法及装置 | |
| CN106416150A (zh) | 一种路由查询方法和网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |