CN111654491A

CN111654491A - 一种acl共享方法、装置、设备及机器可读存储介质

Info

Publication number: CN111654491A
Application number: CN202010477323.5A
Authority: CN
Inventors: 李晓龙
Original assignee: New H3C Security Technologies Co Ltd
Current assignee: New H3C Security Technologies Co Ltd
Priority date: 2020-05-29
Filing date: 2020-05-29
Publication date: 2020-09-11

Abstract

本公开提供一种ACL共享方法、装置、设备及机器可读存储介质，该方法包括：接收带有流量类别编号字段的第一报文；根据流量类别编号在预先保存的ACL共享表内查询ACL策略；根据ACL策略对所述第一报文执行访问控制动作；所述ACL共享表包括ACL策略字段和流量类别编号字段，所述流量类别编号唯一对应于同一ACL策略。通过本公开的技术方案，在交换设备保存其下所有设备的ACL策略，并为同一种ACL策略分配相同的流量类别编号，使得在转发报文时，由交换设备根据ACL共享表查询获取的ACL策略，执行访问控制动作，省去了在业务设备侧重复保存大量的ACL表项，从而降低了ACL资源的开销。

Description

一种ACL共享方法、装置、设备及机器可读存储介质

技术领域

本公开涉及通信技术领域，尤其是涉及一种ACL共享方法、装置、设备及机器可读存储介质。

背景技术

分布式计算是计算机科学中一个研究方向，它研究如何把一个需要非常巨大的计算能力才能解决的问题分成许多小的部分，然后把这些部分分配给多个计算机进行处理，最后把这些计算结果综合起来得到最终的结果。分布式网络存储技术是将数据分散地存储于多台独立的机器设备上。分布式网络存储系统采用可扩展的系统结构，利用多台存储服务器分担存储负荷，利用位置服务器定位存储信息，不但解决了传统集中式存储系统中单存储服务器的瓶颈问题，还提高了系统的可靠性、可用性和扩展性。

ACL(访问控制列表，Access Control Lists)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

分布式设备主控板和业务接口板之间是控制通道，负责向各业务接口板配置路由、ACL等表项，而数据流量从某个业务接口板接口入，经过业务接口板硬件表项和交换网板(即交换设备)的转发，从本板或者跨板的接口发送出去，目前常用的接口就是以太网口、以太聚合接口等类型，以太网接口上配置ACL策略时会在接口所在的业务接口板下发ACL表项，聚合接口则是在每一块业务接口板下发ACL表项。

在复杂、庞大的组网环境下，往往需要通过ACL来对流量的进行引流、重标记、或者防攻击等动作，经常会出现同一个ACL规则在不同的接口上下发，随着应用ACL的接口的增加，ACL资源占用会成倍增加，对业务接口板上ACL规格就会有更大的需求。

发明内容

有鉴于此，本公开提供一种ACL共享方法、装置及电子设备、机器可读存储介质，以改善上述ACL业务资源开销过大的问题。

具体地技术方案如下：

本公开提供了一种ACL共享方法，应用于第一交换设备，所述方法包括：

接收带有流量类别编号字段的第一报文；

根据流量类别编号在预先保存的ACL共享表内查询ACL策略；

根据ACL策略对所述第一报文执行访问控制动作；

所述ACL共享表包括ACL策略字段和流量类别编号字段，所述流量类别编号唯一对应于同一ACL策略。

作为一种技术方案，所述流量类别编号包括出口类别编号和入口类别编号。

作为一种技术方案，所述方法还包括：

接收入口类别编号匹配本地保存的ACL共享表的表项的第二报文；

根据出口类别编号查询本地保存的ACL共享表；

若无匹配的表项，则转发第二报文至保存的ACL共享表具有的匹配表项的第二交换设备，以使该网络根据根据匹配表项的ACL策略处理所述第二报文。

作为一种技术方案，所述第二交换设备的与第一交换设备网络连接的端口未使能ACL查询功能。

本公开同时提供了一种ACL共享装置，应用于第一交换设备，所述方法包括：

接收单元，接收带有流量类别编号字段的第一报文；

查询单元，根据流量类别编号在预先保存的ACL共享表内查询ACL策略；

处理单元，根据ACL策略对所述第一报文执行访问控制动作；

作为一种技术方案，所述装置还包括：

根据出口类别编号查询本地保存的ACL共享表；

本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的ACL共享方法。

本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的ACL共享方法。

本公开提供的上述技术方案至少带来了以下有益效果：

在交换设备保存其下所有设备的ACL策略，并为同一种ACL策略分配相同的流量类别编号，使得在转发报文时，由交换设备根据ACL共享表查询获取的ACL策略，执行访问控制动作，省去了在业务设备侧重复保存大量的ACL表项，从而降低了ACL资源的开销。

附图说明

为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。

图1是本公开一种实施方式中的ACL共享方法的流程图；

图2是本公开一种实施方式中的ACL共享装置的结构图；

图3是本公开一种实施方式中的电子设备的硬件结构图。

具体实施方式

在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

分布式设备主控板和业务接口板之间是控制通道，负责向各业务接口板配置路由、ACL等表项，而数据流量从某个业务接口板接口入，经过业务接口板(即业务设备)硬件表项和交换网板(即交换设备)的转发，从本板或者跨板的接口发送出去，目前常用的接口就是以太网口、以太聚合接口等类型，以太网接口上配置ACL策略时会在接口所在的业务接口板下发ACL表项，聚合接口则是在每一块业务接口板下发ACL表项。

有鉴于现有技术存在的技术问题，本公开提供一种ACL共享方法、装置及电子设备、机器可读存储介质，以改善上述ACL业务资源开销过大的问题。

具体地技术方案如后述。

本公开提供了一种ACL共享方法，应用于第一交换设备，所述方法包括：接收带有流量类别编号字段的第一报文；根据流量类别编号在预先保存的ACL共享表内查询ACL策略；根据ACL策略对所述第一报文执行访问控制动作；所述ACL共享表包括ACL策略字段和流量类别编号字段，所述流量类别编号唯一对应于同一ACL策略。

具体地，如图1，包括以下步骤：

步骤S11，接收带有流量类别编号字段的第一报文

步骤S12，根据流量类别编号在预先保存的ACL共享表内查询ACL策略

步骤S13，根据ACL策略对所述第一报文执行访问控制动作

其中，所述ACL共享表包括ACL策略字段和流量类别编号字段，所述流量类别编号唯一对应于同一ACL策略。

在交换设备保存其下所有设备的ACL策略，并为同一种ACL策略分配相同的流量类别编号，使得在转发报文时，由交换设备根据ACL共享表查询获取的ACL策略，执行访问控制动作，省去了在业务设备侧重复保存大量的ACL表项，从而降低了ACL资源的开销

分别对应上行流量的ACL策略和下行流量的ACL策略。

作为一种技术方案，所述方法还包括：接收入口类别编号匹配本地保存的ACL共享表的表项的第二报文；根据出口类别编号查询本地保存的ACL共享表；若无匹配的表项，则转发第二报文至保存的ACL共享表具有的匹配表项的第二交换设备，以使该网络根据根据匹配表项的ACL策略处理所述第二报文。

当具有多个交换设备分布式处理任务时，不同的交换设备保存有不同的ACL策略，当某一交换设备收到的流量的出口类别编号并不能在本地的ACL共享表中查询到匹配的表项时，将该流量通过与其他交换设备网络连接的通道转发，由相应的交换设备处理该流量。

从而避免在接收另一交换设备转发的流量时，交换设备重新进行入口类别编号与ACL共享表的匹配工作。

本公开同时提供了一种ACL共享装置，应用于第一交换设备，所述方法包括：接收单元，接收带有流量类别编号字段的第一报文；查询单元，根据流量类别编号在预先保存的ACL共享表内查询ACL策略；处理单元，根据ACL策略对所述第一报文执行访问控制动作；所述ACL共享表包括ACL策略字段和流量类别编号字段，所述流量类别编号唯一对应于同一ACL策略。

具体地，如图2，包括以下单元：

接收单元21，接收带有流量类别编号字段的第一报文。

查询单元22，根据流量类别编号在预先保存的ACL共享表内查询ACL策略。

处理单元23，根据ACL策略对所述第一报文执行访问控制动作。

分别对应上行流量的ACL策略和下行流量的ACL策略。

作为一种技术方案，所述装置还包括：接收入口类别编号匹配本地保存的ACL共享表的表项的第二报文；根据出口类别编号查询本地保存的ACL共享表；若无匹配的表项，则转发第二报文至保存的ACL共享表具有的匹配表项的第二交换设备，以使该网络根据根据匹配表项的ACL策略处理所述第二报文。

为每一个ACL策略分配一个Policy id(策略编号)，ACL策略下发到接口时携带到业务接口板和交换网板。

业务接口下发ACL，对于共享模式的ACL策略，根据ACL策略的Policy Id映射出Traffic class id(流量类别编号)，设置到和端口一一映射的表项里，交换网板则是根据Policy Id转换出Traffic class id作为关键字段下发ACL表项；

流量从配置共享模式的ACL接口转发时，携带Traffic class id到交换网，在交换网上进行ACL匹配，执行ACL动作。

对于多块交换网单板的设备，需要做一个编号和网板的一个映射，携带相同的Traffic class id的流量转发到同一块交换网板(交换设备)，例如，交换网板A的ACL共享表保存Traffic class id 1、Traffic class id 2、Traffic class id 3、Traffic classid 4，交换网板B的ACL共享表保存Traffic class id 5、Traffic class id6、Trafficclass id 7、Traffic class id 8，共享模式ACL策略下发时只在策略对应的Trafficclass id对应的网板上下发ACL表项，配置了共享ACL的接口流量在多块交换网板的设备上的转发路径分两类：

一类是流量的Ingress traffic class id(入口类别编号)和Egress trafficclass id(出口类别编号)映射的网板是同一块，如Ingress traffic class id是1，Egresstraffic class id是2，这条流量就直接在交换网板A上进行入口和出口ACL匹配；

一类是Ingress traffic class id和Egress traffic class id映射的网板不是同一块，如Ingress traffic class id是1，Egress traffic class id是5，这样流量需要在交换网板A上走入口流程，通过交换网板A和交换网板B之间互联的接口转发到交换网板B上走出口流程。

在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的ACL共享方法，从硬件层面而言，硬件架构示意图可以参见图3所示。

在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的ACL共享方法。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。

Claims

1.一种ACL共享方法，其特征在于，应用于第一交换设备，所述方法包括：

接收带有流量类别编号字段的第一报文；

根据流量类别编号在预先保存的ACL共享表内查询ACL策略；

根据ACL策略对所述第一报文执行访问控制动作；

2.根据权利要求1所述的方法，其特征在于，所述流量类别编号包括出口类别编号和入口类别编号。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

根据出口类别编号查询本地保存的ACL共享表；

4.根据权利要求3所述的方法，其特征在于，所述第二交换设备的与第一交换设备网络连接的端口未使能ACL查询功能。

5.一种ACL共享装置，其特征在于，应用于第一交换设备，所述方法包括：

接收单元，接收带有流量类别编号字段的第一报文；

处理单元，根据ACL策略对所述第一报文执行访问控制动作；

6.根据权利要求5所述的装置，其特征在于，所述流量类别编号包括出口类别编号和入口类别编号。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

根据出口类别编号查询本地保存的ACL共享表；

8.根据权利要求7所述的装置，其特征在于，所述第二交换设备的与第一交换设备网络连接的端口未使能ACL查询功能。

9.一种电子设备，其特征在于，包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器执行所述机器可执行指令，以实现权利要求1-4任一所述的方法。

10.一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现权利要求1-4任一所述的方法。