CN112637234A - 基于端口变动的安全规则更新方法及装置 - Google Patents

基于端口变动的安全规则更新方法及装置 Download PDF

Info

Publication number
CN112637234A
CN112637234A CN202011605322.0A CN202011605322A CN112637234A CN 112637234 A CN112637234 A CN 112637234A CN 202011605322 A CN202011605322 A CN 202011605322A CN 112637234 A CN112637234 A CN 112637234A
Authority
CN
China
Prior art keywords
port
hardware
identifier
user identifier
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011605322.0A
Other languages
English (en)
Other versions
CN112637234B (zh
Inventor
陈介平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruijie Networks Co Ltd
Original Assignee
Ruijie Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ruijie Networks Co Ltd filed Critical Ruijie Networks Co Ltd
Priority to CN202011605322.0A priority Critical patent/CN112637234B/zh
Publication of CN112637234A publication Critical patent/CN112637234A/zh
Application granted granted Critical
Publication of CN112637234B publication Critical patent/CN112637234B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3009Header conversion, routing tables or routing tags
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于端口变动的安全规则更新方法及装置,该方法包括:监控是否接收到端口加入指令、端口退出指令或者待转发报文;若接收到端口加入指令或者端口退出指令,则根据所述端口加入指令或者所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,所述硬件映射关系中的用户标识与硬件标识一一对应;若接收到待转发报文,则根据所述硬件映射关系确定所述待转发报文的入口的第一硬件标识,基于访问控制列表中所述第一硬件标识对应的第一表项处理所述待转发报文。该方案中,安全规则生效时间大大缩短,进而大大提升报文的处理效率。

Description

基于端口变动的安全规则更新方法及装置
技术领域
本发明涉及通信技术领域,尤指一种基于端口变动的安全规则更新方法及装置。
背景技术
访问控制列表(Access Control Lists,ACL)通过定义一些安全规则对网络设备的端口接收到的报文进行控制,控制的结果为转发或丢弃。聚合口(Aggregate Port,AP)是将多个物理链接捆绑在一起形成一个逻辑链接,可以用于扩展链路带宽,提供更高的连接可靠性。
目前的交换芯片可以在端口上应用安全规则,对端口的输入、输出报文进行访问控制,即在ACL中配置各个端口的安全规则。具体包括:若端口不属于任何一个聚合口,则在ACL中添加该端口的安全规则对应的表项;若端口加入某个聚合口,则在ACL中删除该端口的安全规则对应的表项,在端口与聚合口的对应关系中添加该聚合口与该端口对应;若端口从聚合口中退出时,则在端口与聚合口的对应关系中删除该端口,并在ACL中添加该端口的安全规则对应的表项。
上述基于端口变动的安全规则更新方法中,每次端口加入或者退出聚合口,都需要对ACL中该端口的安全规则对应的表项进行删除或者添加的操作,若需要操作的表项较多,则安全规则生效时间较长,进而大大影响报文的处理效率。
发明内容
本发明实施例提供一种基于端口变动的安全规则更新方法及装置,用以解决现有技术中存在的安全规则生效时间较长,进而大大影响报文的处理效率的问题。
根据本发明实施例,提供一种基于端口变动的安全规则更新方法,,应用于网络设备中,所述网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,所述方法包括:
监控是否接收到端口加入指令、端口退出指令或者待转发报文;
若接收到端口加入指令或者端口退出指令,则根据所述端口加入指令或者所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,其中,所述硬件映射关系中的用户标识与硬件标识一一对应;
若接收到待转发报文,则根据所述硬件映射关系确定所述待转发报文的入口的第一硬件标识,基于访问控制列表中所述第一硬件标识对应的第一表项处理所述待转发报文,其中,所述访问控制列表中的各个安全规则分别与一个硬件标识对应。
具体的,若接收到端口加入指令,则根据所述端口加入指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体包括:
若接收到携带第一端口的第一用户标识和第一聚合口的第二用户标识的端口加入指令,则将所述第一聚合口的第二硬件标识添加到所述软件映射关系中所述第一用户标识对应的第二表项中;
将所述第二硬件标识替换所述硬件映射关系中所述第一用户标识对应的第三表项包括的第三硬件标识。
具体的,若接收到端口退出指令,则根据所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体包括:
若接收到携带第二端口的第三用户标识和第二聚合口的第四用户标识的端口退出指令,则从所述软件映射关系中所述第三用户标识对应的第四表项中删除所述第二聚合口的第四硬件标识;
将所述第三表项中除所述第四硬件标识之外的第五硬件标识替换所述硬件映射关系中所述第三用户标识对应的第五表项包括的所述第四硬件标识。
根据本发明实施例,还提供一种基于端口变动的安全规则更新装置,应用于网络设备中,所述网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,所述装置包括:
监控模块,用于监控是否接收到端口加入指令、端口退出指令或者待转发报文;
更新模块,用于若接收到端口加入指令或者端口退出指令,则根据所述端口加入指令或者所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,其中,所述硬件映射关系中的用户标识与硬件标识一一对应;
处理模块,用于若接收到待转发报文,则根据所述硬件映射关系确定所述待转发报文的入口的第一硬件标识,基于访问控制列表中所述第一硬件标识对应的第一表项处理所述待转发报文,其中,所述访问控制列表中的各个安全规则分别与一个硬件标识对应。
具体的,所述更新模块,用于若接收到端口加入指令,则根据所述端口加入指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体用于:
若接收到携带第一端口的第一用户标识和第一聚合口的第二用户标识的端口加入指令,则将所述第一聚合口的第二硬件标识添加到所述软件映射关系中所述第一用户标识对应的第二表项中;
将所述第二硬件标识替换所述硬件映射关系中所述第一用户标识对应的第三表项包括的第三硬件标识。
具体的,所述更新模块,用于若接收到端口退出指令,则根据所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体用于:
若接收到携带第二端口的第三用户标识和第二聚合口的第四用户标识的端口退出指令,则从所述软件映射关系中所述第三用户标识对应的第四表项中删除所述第二聚合口的第四硬件标识;
将所述第三表项中除所述第四硬件标识之外的第五硬件标识替换所述硬件映射关系中所述第三用户标识对应的第五表项包括的所述第四硬件标识。
根据本发明实施例,还提供一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现上述的方法步骤。
根据本发明实施例,还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法步骤。
本发明有益效果如下:
本发明实施例提供一种基于端口变动的安全规则更新方法及装置,通过监控是否接收到端口加入指令、端口退出指令或者待转发报文;若接收到端口加入指令或者端口退出指令,则根据所述端口加入指令或者所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,其中,所述硬件映射关系中的用户标识与硬件标识一一对应;若接收到待转发报文,则根据所述硬件映射关系确定所述待转发报文的入口的第一硬件标识,基于访问控制列表中所述第一硬件标识对应的第一表项处理所述待转发报文,其中,所述访问控制列表中的各个安全规则分别与一个硬件标识对应。该方案中,可以预先为网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,并且设置用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,在接收到端口加入指令或者端口退出指令后,仅更新软件映射关系和硬件映射关系,由于访问控制列表中的各个安全规则分别与一个硬件标识对应,因此,可以通过硬件映射关系确定待转发报文的入口的第一硬件标识,最后基于访问控制列表中第一硬件标识对应的第一表项处理待转发报文,由上可见,在端口变动需要更新安全规则时,无需更新访问控制列表,由于软件映射关系与硬件映射关系的表项与访问控制列表比起来数量要少很多很多,因此,安全规则生效时间大大缩短,进而大大提升报文的处理效率。
附图说明
图1为本发明实施例中一种基于端口变动的安全规则更新方法的流程图;
图2为本发明实施例中一种基于端口变动的安全规则更新装置的结构示意图;
图3为本申请示出的一种电子设备的结构示意图。
具体实施方式
针对现有技术中存在的安全规则生效时间较长,进而大大影响报文的处理效率的问题,本发明实施例提供一种基于端口变动的安全规则更新方法,应用于网络设备中,网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,该方法的流程如图1所示,执行步骤如下:
S11:监控是否接收到端口加入指令、端口退出指令或者待转发报文,若接收到端口加入指令或者端口退出指令,则执行S12;若接收到待转发报文,则执行S13。
由于网络设备包括端口和聚合口,当用户需要设置端口加入或退出聚合口时,需要发送端口加入指令或者端口退出指令,因此,可以监控是否接收到端口加入指令、端口退出指令或者待转发报文,以便于针对不同的情况进行不同的处理。
S12:根据端口加入指令或者端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系。
可以预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,其中,软件映射关系中一个用户标识可以对应一个或者两个硬件标识,而硬件映射关系中的用户标识与硬件标识一一对应,硬件映射关系中的一个用户标识不能对应两个或者两个以上硬件标识。
若接收到端口加入指令或者端口退出指令,也就是说端口与聚合口的对应关系发生了改变,则需要根据端口加入指令或者端口退出指令更新软件映射关系以及硬件映射关系,以确保软件映射关系以及硬件映射关系的准确性。
S13:根据硬件映射关系确定待转发报文的入口的第一硬件标识,基于访问控制列表中第一硬件标识对应的第一表项处理待转发报文。
其中,访问控制列表中的各个安全规则分别与一个硬件标识对应。
由于硬件映射关系中用户标识与硬件标识一一对应,因此,在接收到待转发报文后,可以根据硬件映射关系确定待转发报文的入口的第一硬件标识,进一步基于访问控制列表中第一硬件标识对应的表项(以下可以称为第一表项)处理待转发报文。
该方案中,可以预先为网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,并且设置用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,在接收到端口加入指令或者端口退出指令后,仅更新软件映射关系和硬件映射关系,由于访问控制列表中的各个安全规则分别与一个硬件标识对应,因此,可以通过硬件映射关系确定待转发报文的入口的第一硬件标识,最后基于访问控制列表中第一硬件标识对应的第一表项处理待转发报文,由上可见,在端口变动需要更新安全规则时,无需更新访问控制列表,由于软件映射关系与硬件映射关系的表项与访问控制列表比起来数量要少很多很多,因此,安全规则生效时间大大缩短,进而大大提升报文的处理效率。
具体的,上述S12中的若接收到端口加入指令,则根据端口加入指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,实现过程具体包括:
若接收到携带第一端口的第一用户标识和第一聚合口的第二用户标识的端口加入指令,则将第一聚合口的第二硬件标识添加到软件映射关系中第一用户标识对应的第二表项中;
将第二硬件标识替换硬件映射关系中第一用户标识对应的第三表项包括的第三硬件标识。
若接收到携带第一端口的用户标识(以下可以称为第一用户标识)和第一聚合口的用户标识(以下可以称为第二用户标识)的端口加入指令,也就是说用户需要将第一端口加入第一聚合口,则可以将第一聚合口的硬件标识(以下可以称为第二硬件标识)添加到软件映射关系中第一用户标识对应的表项(以下可以称为第二表项)中,并且将第二硬件标识替换硬件映射关系中第一用户标识对应的表项(以下可以称为第三表项)包括的硬件标识(以下可以称为第三硬件标识)。
具体的,上述S12中的若接收到端口退出指令,则根据端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,实现过程具体包括:
若接收到携带第二端口的第三用户标识和第二聚合口的第四用户标识的端口退出指令,则从软件映射关系中第三用户标识对应的第四表项中删除第二聚合口的第四硬件标识;
将第三表项中除第四硬件标识之外的第五硬件标识替换硬件映射关系中第三用户标识对应的第五表项包括的第四硬件标识。
若接收到携带第二端口的用户标识(以下可以称为第三用户标识)和第二聚合口的用户标识(以下可以称为第四用户标识)的端口退出指令,也就是说用户需要将第二端口从第二聚合口中退出,则从软件映射关系中第三用户标识对应的表项(以下可以称为第四表项)中删除第二聚合口的硬件标识(以下可以称为第四硬件标识);将第三表项中除第四硬件标识之外的硬件表项(以下可以称为第五硬件标识)替换预硬件映射关系中第三用户标识对应的表项(以下可以称为第五表项)包括的第四硬件标识。
基于同一发明构思,本发明实施例提供一种基于端口变动的安全规则更新装置,应用于网络设备中,网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,该装置的结构如图2所示,包括:
监控模块21,用于监控是否接收到端口加入指令、端口退出指令或者待转发报文;
更新模块22,用于若接收到端口加入指令或者端口退出指令,则根据端口加入指令或者端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,其中,硬件映射关系中的用户标识与硬件标识一一对应;
处理模块23,用于若接收到待转发报文,则根据硬件映射关系确定待转发报文的入口的第一硬件标识,基于访问控制列表中第一硬件标识对应的第一表项处理待转发报文,其中,访问控制列表中的各个安全规则分别与一个硬件标识对应。
该方案中,可以预先为网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,并且设置用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,在接收到端口加入指令或者端口退出指令后,仅更新软件映射关系和硬件映射关系,由于访问控制列表中的各个安全规则分别与一个硬件标识对应,因此,可以通过硬件映射关系确定待转发报文的入口的第一硬件标识,最后基于访问控制列表中第一硬件标识对应的第一表项处理待转发报文,由上可见,在端口变动需要更新安全规则时,无需更新访问控制列表,由于软件映射关系与硬件映射关系的表项与访问控制列表比起来数量要少很多很多,因此,安全规则生效时间大大缩短,进而大大提升报文的处理效率。
具体的,更新模块22,用于若接收到端口加入指令,则根据端口加入指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体用于:
若接收到携带第一端口的第一用户标识和第一聚合口的第二用户标识的端口加入指令,则将第一聚合口的第二硬件标识添加到软件映射关系中第一用户标识对应的第二表项中;
将第二硬件标识替换硬件映射关系中第一用户标识对应的第三表项包括的第三硬件标识。
具体的,更新模块22,用于若接收到端口退出指令,则根据端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体用于:
若接收到携带第二端口的第三用户标识和第二聚合口的第四用户标识的端口退出指令,则从软件映射关系中第三用户标识对应的第四表项中删除第二聚合口的第四硬件标识;
将第三表项中除第四硬件标识之外的第五硬件标识替换硬件映射关系中第三用户标识对应的第五表项包括的第四硬件标识。
本申请实施例还提供了一种电子设备,请参见图3所示,包括处理器310、通信接口320、存储器330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。
存储器330,用于存放计算机程序;
处理器310,用于执行存储器330上所存放的程序时,实现上述实施例中任一所述的基于端口变动的安全规则更新方法。
通信接口320用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
该方案中,可以预先为网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,并且设置用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,在接收到端口加入指令或者端口退出指令后,仅更新软件映射关系和硬件映射关系,由于访问控制列表中的各个安全规则分别与一个硬件标识对应,因此,可以通过硬件映射关系确定待转发报文的入口的第一硬件标识,最后基于访问控制列表中第一硬件标识对应的第一表项处理待转发报文,由上可见,在端口变动需要更新安全规则时,无需更新访问控制列表,由于软件映射关系与硬件映射关系的表项与访问控制列表比起来数量要少很多很多,因此,安全规则生效时间大大缩短,进而大大提升报文的处理效率。
相应地,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的基于端口变动的安全规则更新方法。
该方案中,可以预先为网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,并且设置用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,在接收到端口加入指令或者端口退出指令后,仅更新软件映射关系和硬件映射关系,由于访问控制列表中的各个安全规则分别与一个硬件标识对应,因此,可以通过硬件映射关系确定待转发报文的入口的第一硬件标识,最后基于访问控制列表中第一硬件标识对应的第一表项处理待转发报文,由上可见,在端口变动需要更新安全规则时,无需更新访问控制列表,由于软件映射关系与硬件映射关系的表项与访问控制列表比起来数量要少很多很多,因此,安全规则生效时间大大缩短,进而大大提升报文的处理效率。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的可选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (8)

1.一种基于端口变动的安全规则更新方法,应用于网络设备中,所述网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,其特征在于,所述方法包括:
监控是否接收到端口加入指令、端口退出指令或者待转发报文;
若接收到端口加入指令或者端口退出指令,则根据所述端口加入指令或者所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,其中,所述硬件映射关系中的用户标识与硬件标识一一对应;
若接收到待转发报文,则根据所述硬件映射关系确定所述待转发报文的入口的第一硬件标识,基于访问控制列表中所述第一硬件标识对应的第一表项处理所述待转发报文,其中,所述访问控制列表中的各个安全规则分别与一个硬件标识对应。
2.如权利要求1所述的方法,其特征在于,若接收到端口加入指令,则根据所述端口加入指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体包括:
若接收到携带第一端口的第一用户标识和第一聚合口的第二用户标识的端口加入指令,则将所述第一聚合口的第二硬件标识添加到所述软件映射关系中所述第一用户标识对应的第二表项中;
将所述第二硬件标识替换所述硬件映射关系中所述第一用户标识对应的第三表项包括的第三硬件标识。
3.如权利要求2所述的方法,其特征在于,若接收到端口退出指令,则根据所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体包括:
若接收到携带第二端口的第三用户标识和第二聚合口的第四用户标识的端口退出指令,则从所述软件映射关系中所述第三用户标识对应的第四表项中删除所述第二聚合口的第四硬件标识;
将所述第三表项中除所述第四硬件标识之外的第五硬件标识替换所述硬件映射关系中所述第三用户标识对应的第五表项包括的所述第四硬件标识。
4.一种基于端口变动的安全规则更新装置,应用于网络设备中,所述网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识,其特征在于,所述装置包括:
监控模块,用于监控是否接收到端口加入指令、端口退出指令或者待转发报文;
更新模块,用于若接收到端口加入指令或者端口退出指令,则根据所述端口加入指令或者所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,其中,所述硬件映射关系中的用户标识与硬件标识一一对应;
处理模块,用于若接收到待转发报文,则根据所述硬件映射关系确定所述待转发报文的入口的第一硬件标识,基于访问控制列表中所述第一硬件标识对应的第一表项处理所述待转发报文,其中,所述访问控制列表中的各个安全规则分别与一个硬件标识对应。
5.如权利要求4所述的装置,其特征在于,所述更新模块,用于若接收到端口加入指令,则根据所述端口加入指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体用于:
若接收到携带第一端口的第一用户标识和第一聚合口的第二用户标识的端口加入指令,则将所述第一聚合口的第二硬件标识添加到所述软件映射关系中所述第一用户标识对应的第二表项中;
将所述第二硬件标识替换所述硬件映射关系中所述第一用户标识对应的第三表项包括的第三硬件标识。
6.如权利要求5所述的装置,其特征在于,所述更新模块,用于若接收到端口退出指令,则根据所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系,具体用于:
若接收到携带第二端口的第三用户标识和第二聚合口的第四用户标识的端口退出指令,则从所述软件映射关系中所述第三用户标识对应的第四表项中删除所述第二聚合口的第四硬件标识;
将所述第三表项中除所述第四硬件标识之外的第五硬件标识替换所述硬件映射关系中所述第三用户标识对应的第五表项包括的所述第四硬件标识。
7.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-3任一所述的方法步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-3任一所述的方法步骤。
CN202011605322.0A 2020-12-30 2020-12-30 基于端口变动的安全规则更新方法及装置 Active CN112637234B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011605322.0A CN112637234B (zh) 2020-12-30 2020-12-30 基于端口变动的安全规则更新方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011605322.0A CN112637234B (zh) 2020-12-30 2020-12-30 基于端口变动的安全规则更新方法及装置

Publications (2)

Publication Number Publication Date
CN112637234A true CN112637234A (zh) 2021-04-09
CN112637234B CN112637234B (zh) 2023-03-21

Family

ID=75286402

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011605322.0A Active CN112637234B (zh) 2020-12-30 2020-12-30 基于端口变动的安全规则更新方法及装置

Country Status (1)

Country Link
CN (1) CN112637234B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301620A (zh) * 2021-11-17 2022-04-08 北京威努特技术有限公司 一种基于acl时间域的快速匹配方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101090403A (zh) * 2006-06-15 2007-12-19 中兴通讯股份有限公司 一种在聚合端口访问控制列表的装置及其实现方法
CN102571419A (zh) * 2011-12-19 2012-07-11 曙光信息产业(北京)有限公司 一种软硬件结合实现的端口列表高效管理系统和方法
CN103561026A (zh) * 2013-11-04 2014-02-05 神州数码网络(北京)有限公司 硬件访问控制列表的更新方法、更新装置和交换机
CN105991439A (zh) * 2015-02-06 2016-10-05 杭州华三通信技术有限公司 管理数据中心服务器的方法及装置
US20180007004A1 (en) * 2016-06-29 2018-01-04 Nicira, Inc. Implementing logical network security on a hardware switch
US20180234297A1 (en) * 2017-02-15 2018-08-16 Arista Networks, Inc. System and method of dynamic hardware policer allocation
US20180302410A1 (en) * 2017-04-14 2018-10-18 Nxp Usa, Inc. Method and Apparatus for Speeding Up ACL Rule Lookups That Include TCP/UDP Port Ranges in the Rules
CN110602022A (zh) * 2018-06-12 2019-12-20 中兴通讯股份有限公司 一种端口的接入认证方法、终端及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101090403A (zh) * 2006-06-15 2007-12-19 中兴通讯股份有限公司 一种在聚合端口访问控制列表的装置及其实现方法
CN102571419A (zh) * 2011-12-19 2012-07-11 曙光信息产业(北京)有限公司 一种软硬件结合实现的端口列表高效管理系统和方法
CN103561026A (zh) * 2013-11-04 2014-02-05 神州数码网络(北京)有限公司 硬件访问控制列表的更新方法、更新装置和交换机
CN105991439A (zh) * 2015-02-06 2016-10-05 杭州华三通信技术有限公司 管理数据中心服务器的方法及装置
US20180007004A1 (en) * 2016-06-29 2018-01-04 Nicira, Inc. Implementing logical network security on a hardware switch
US20180234297A1 (en) * 2017-02-15 2018-08-16 Arista Networks, Inc. System and method of dynamic hardware policer allocation
US20180302410A1 (en) * 2017-04-14 2018-10-18 Nxp Usa, Inc. Method and Apparatus for Speeding Up ACL Rule Lookups That Include TCP/UDP Port Ranges in the Rules
CN110602022A (zh) * 2018-06-12 2019-12-20 中兴通讯股份有限公司 一种端口的接入认证方法、终端及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301620A (zh) * 2021-11-17 2022-04-08 北京威努特技术有限公司 一种基于acl时间域的快速匹配方法
CN114301620B (zh) * 2021-11-17 2024-04-16 北京威努特技术有限公司 一种基于acl时间域的快速匹配方法

Also Published As

Publication number Publication date
CN112637234B (zh) 2023-03-21

Similar Documents

Publication Publication Date Title
CN108600029B (zh) 一种配置文件更新方法、装置、终端设备及存储介质
CN112637234B (zh) 基于端口变动的安全规则更新方法及装置
CN114448805B (zh) 虚拟网络设备、虚拟叠加网络及配置、报文传输方法
US20230246913A1 (en) System and method for commissioning a network element
CN113014502A (zh) 基于线卡的负载均衡方法及装置
CN108052401A (zh) 系统属性监听方法、终端设备及计算机可读存储介质
CN108880930B (zh) 一种网络环路的检测方法及设备
CN107729184B (zh) 一种系统组件服务自愈方法
CN104486787A (zh) 一种无线链路故障检测方法及装置
CN109450702A (zh) 一种数据处理方法及装置
CN112804145B (zh) 基于分段标识列表的流量统计方法及装置
CN108021407B (zh) 基于网络设备的业务处理方法及装置
CN114070799B (zh) 优先级暂停帧的处理方法、处理装置及目标网络设备
CN110673793B (zh) 存储设备节点事件管理方法、系统及电子设备和存储介质
CN103760881B (zh) 一种物料使用情况的监控管理方法及系统
CN108616461B (zh) 一种策略切换方法及装置
CN114281476A (zh) Kubernetes云原生集群资源删除保护方法、装置、设备及存储介质
CN113132506A (zh) 基于超级虚拟局域网的报文处理方法及装置
CN109547439B (zh) 一种服务节点接入网络的处理方法及装置
CN108882268B (zh) 一种更新设备配置的方法及设备
CN111865803A (zh) 基于evpn的路由处理方法及装置
CN114143254A (zh) 报文转发方法、装置、电子设备及计算机可读存储介质
CN111698266A (zh) 服务节点调用方法、装置、设备及可读存储介质
CN111106981B (zh) 一种pcie通道的检修方法及装置
CN105721234A (zh) 端口聚合方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant