CN112953741B - 城域网安全访问端口控制管理方法及装置 - Google Patents
城域网安全访问端口控制管理方法及装置 Download PDFInfo
- Publication number
- CN112953741B CN112953741B CN201911255923.0A CN201911255923A CN112953741B CN 112953741 B CN112953741 B CN 112953741B CN 201911255923 A CN201911255923 A CN 201911255923A CN 112953741 B CN112953741 B CN 112953741B
- Authority
- CN
- China
- Prior art keywords
- area network
- metropolitan area
- equipment
- address
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种城域网安全访问端口控制管理方法及装置,该方法包括:接收输入的操作地址;对操作地址按段进行拆分,获得多段操作地址;对每段操作地址进行自动定位,确定对应的城域网出口CR设备;获取成功定位到的对应的城域网出口CR设备的现有配置信息;基于现有配置信息,根据所需的配置操作生成安全访问端口控制脚本,安全访问端口控制脚本用于对成功定位到的每段操作地址对应的城域网出口CR设备进行配置。该方案不仅大大提高了运维人员的工作效率,更有效保证了安全访问端口控制配置的准确性,减少故障发生。
Description
技术领域
本发明涉及城域网安全访问端口管理技术领域,特别涉及一种城域网安全访问端口控制管理方法及装置。
背景技术
目前运营商按照工信部“先备案后接入”要求,为杜绝出现未备案网站通过默认服务端口接入情况,会关闭用户(涉及ISP专线与其他静态专线)互联网接入服务所占用的80及8080端口,一般都是由运维人员人工进行相关配置。互联网用户随着互联网行业高速发展与日俱增,运营商运维人员人工进行安全访问端口控制的工作量不断增加,同时会存在配置不规范、配置出错、无配置记录核查等问题。
发明内容
本发明实施例提供了一种城域网安全访问端口方法及装置,解决了现有技术中运营商运维人员人工进行安全访问端口控制的工作量不断增加,同时会存在配置不规范、配置出错、无配置记录核查等技术问题。
本发明实施例提供了一种城域网安全访问端口方法,该方法包括:
接收输入的操作地址;
对所述操作地址按段进行拆分,获得多段操作地址;
对每段操作地址进行自动定位,确定对应的城域网出口CR设备;
获取成功定位到的对应的城域网出口CR设备的现有配置信息;
基于所述现有配置信息,根据所需的配置操作生成安全访问端口控制脚本,所述安全访问端口控制脚本用于对成功定位到的每段操作地址对应的城域网出口CR设备进行配置;
对每段操作地址进行自动定位,确定对应的城域网出口CR设备,包括:
对每段操作地址进行自动定位,确定是否能定位到对应的城域网出口CR设备,若能定位到对应的城域网出口CR设备,则继续确定是否能定位到对应的城域网汇聚设备,若不能定位到对应的城域网出口CR设备,则确定定位失败,获得定位失败原因,其中,所述城域网汇聚设备包括MSE设备、BRAS设备或SR设备。
本发明实施例还提供了一种城域网安全访问端口控制管理装置,该装置包括:
操作地址接收模块,用于接收输入的操作地址;
拆分模块,用于对所述操作地址按段进行拆分,获得多段操作地址;
定位模块,用于对每段操作地址进行自动定位,确定对应的城域网出口CR设备;
配置信息获取模块,用于获取成功定位到的对应的城域网出口CR设备的现有配置信息;
安全访问端口控制脚本生成模块,用于基于所述现有配置信息,根据所需的配置操作生成安全访问端口控制脚本,所述安全访问端口控制脚本用于对成功定位到的每段操作地址对应的城域网出口CR设备进行配置;
所述定位模块具体用于:
对每段操作地址进行自动定位,确定是否能定位到对应的城域网出口CR设备,若能定位到对应的城域网出口CR设备,则继续确定是否能定位到对应的城域网汇聚设备,若不能定位到对应的城域网出口CR设备,则确定定位失败,获得定位失败原因,其中,所述城域网汇聚设备包括MSE设备、BRAS设备或SR设备。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述所述方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述所述方法的计算机程序。
在本发明实施例中,根据需要进行安全访问端口控制的操作地址自动定位分析涉及的配置设备,智能分析设备已有配置,自动生成安全访问端口控制相关脚本并在设备上执行,这样不仅大大提高了运维人员的工作效率,更有效保证了安全访问端口控制配置的准确性,减少故障发生。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种城域网安全访问端口控制管理方法流程图(一);
图2是本发明实施例提供的一种城域网安全访问端口控制管理方法流程图(二);
图3是本发明实施例提供的一种城域网安全访问端口控制管理方法流程图(三);
图4是本发明实施例提供的一种城域网安全访问端口控制管理装置结构框图(一);
图5是本发明实施例提供的一种城域网安全访问端口控制管理装置结构框图(二);
图6是本发明实施例提供的一种城域网安全访问端口控制管理装置结构框图(三);
图7是本发明实施例提供的一种使用本发明装置进行实际操作的结果示意图。
图8是本发明实施例提供的一种使用本发明方法进行配置工单查询的效果图(一);
图9是本发明实施例提供的一种使用本发明方法进行配置工单查询的效果图(二);
图10是本发明实施例提供的一种使用本发明方法进行配置工单查询的效果图(三);
图11是本发明实施例提供的一种使用本发明方法进行配置工单查询的效果图(四)。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
技术术语解释:
CR(Core Router,核心路由器)作用:核心路由器又称“骨干路由器”,是位于网络中心的路由器。
多业务边缘路由器(MSE),作为IP城域网多业务承载能力提升的关键设备。
SR(Service Router,全业务路由器)作用:业务路由器是可扩展升级的Internet路由器,可以提供尽力而为的Internet业务,使传统的数据业务的迁移成为可能,SR被用来连接用户与网络边缘,承接大客户业务。
BRAS(Broadband Remote Access Server,宽带远程接入服务器)作用:用来完成用户的认证和管理,承载公共用户业务。
在本发明实施例中,提供了一种城域网安全访问端口控制管理方法,如图1所示,该方法包括:
步骤101:接收输入的操作地址;
步骤102:对所述操作地址按段进行拆分,获得多段操作地址;
步骤103:对每段操作地址进行自动定位,确定对应的城域网出口CR设备;
步骤104:获取成功定位到的对应的城域网出口CR设备的现有配置信息;
步骤105:基于所述现有配置信息,根据所需的配置操作生成安全访问端口控制脚本,所述安全访问端口控制脚本用于对成功定位到的每段操作地址对应的城域网出口CR设备进行配置。其中,所需的配置操作可以包括封堵操作或解封操作。
在本发明实施例中,所述操作地址包括多段,每段用英文分号隔开。
所述操作地址可以采用如下形式输入:单IP形式、IP/掩码位数形式或起始IP-终止IP形式。
在本发明实施例中,步骤103具体包括:
对每段操作地址进行自动定位,确定是否能定位到对应的城域网出口CR设备,若能定位到对应的城域网出口CR设备,则继续确定是否能定位到对应的城域网汇聚设备,若不能定位到对应的城域网出口CR设备,则确定定位失败,获得定位失败原因,所述城域网汇聚设备包括MSE设备、BRAS设备或SR设备。
有可能定位不到城域网汇聚设备,表明操作地址为非城域网IP,只配置出口CR设备即可。
还包括:对定位结果按照定位成功或定位失败进行聚合,对定位成功的操作地址按照城域网出口CR设备+城域网汇聚设备进行聚合,对于定位失败的操作地址按照定位失败原因进行聚合。
当定位到城域网汇聚设备时,定位成功的操作地址才会按照城域网出口CR设备+城域网汇聚设备进行聚合,如果定位不到城域网汇聚设备,则定位成功的操作地址按照城域网出口CR设备进行聚合。
下面详细描述一下如何进行定位。
定位所需程序参数:IP段,必填,支持“单IP”、“IP/掩码位数”、“起始IP-终止IP”格式,多个“;”拼接
程序逻辑:
1)校验参数不能为空,校验进程唯一性;
2)程序参数IP段以“;”拆分为多段,每段取其中一个IP(记录IP和归属段的关系),规则如下:
单IP:取这个单IP;
IP/掩码位数:取第一个可用地址;
起始IP-终止IP:取起始IP;
3)定位CR:
31)登录163C设备(设备IP可配置),对上一步取到的IP,每个执行一遍show route$IP,获取IP(即归属段)对应的CR设备IP;
说明:from关键字后的IP 222.217.170.2即为CR设备IP。
如果登录163C设备失败,则所有地址段定位失败,定位失败原因“登录163C设备失败!设备IP:$163C设备IP”。不用再执行后面的步骤,直接返回;
如果IP对应的CR设备IP在IPMANInfo表存在对应cr1_loopaddress或cr2_loopaddress的记录(IPMANInfo城域网信息表cr1_loopaddress/cr2_loopaddress字段存储的是每个地市2台CR设备IP),则该IP归属段定位CR设备成功;否则该IP归属段定位CR设备失败,定位失败原因“无法定位CR”;
32)163C设备上定位不到CR设备时:
RP/1/RP0/CPU0:GX-NN-MZ-C-1.163#show route 218.65.218.131
Thu Nov 14 14:46:49.230GMT-8
%Network not in table
说明:%Network not in table关键字表示定位不到。
统一登录163D设备(设备IP可配置)依次定位,每个执行一遍disp ip routing-table$IP,获取IP(即归属段)对应的CR设备IP:
说明:NextHop关键字列的IP 222.217.176.2即为CR设备IP。
如果登录163D设备失败,则需要在163D设备上定位的部分地址段定位失败,定位失败原因“登录163D设备失败!设备IP:$163D设备IP”。
如果IP对应的CR设备IP(NextHop)在IPMANInfo表存在对应cr1_loopaddress或cr2_loopaddress的记录,则该IP归属段定位CR设备成功;否则该IP归属段定位CR设备失败,定位失败原因“无法定位CR”。
4)定位CR设备成功的IP需要判断是否能定位到MSE/BRAS/SR(能不能定位到都算定位成功):按定位的CR设备分组,依次登录设备(相同CR仅登录一次),对应该CR的所有IP,每个执行一遍show ip forwarding route$IP(中兴CR)或display ip routing-table$IP(华为CR),获取IP对应的MSE/BRAS/SR设备IP。
中兴CR说明:Gw关键字列的第一行IP 202.97.31.169即为MSE/BRAS/SR设备IP
华为CR说明:NextHop关键字列的第一行IP 222.217.170.200即为MSE/BRAS/SR设备IP。
如果登录CR设备失败,则对应该CR的所有IP定位失败,定位失败原因“登录CR设备失败!设备IP:$对应CR设备IP”;
如果IP对应的MSE/BRAS/SR设备IP在device表存在对应loopaddress且changetype=0and devicepropcode in('PRP070','PRP004','PRP003')的记录(device设备表loopaddress字段存储的是设备IP,changetype=0表示为有效设备,devicepropcode为设备属性编码(PRP070、PRP004、PRP003分别对应MSE、BRAS、SR)),则该IP归属段定位到MSE/BRAS/SR设备;否则该IP归属段定位不到MSE/BRAS/SR设备(即非城域网IP,不算失败,返回时定位的MSE/BRAS/SR设备IP为空)
5)程序返回:成功定位CR的按success返回,否则为定位失败,按fail返回,格式如下:
success=$定位成功IP(多个“;”拼接)||定位的CR设备IP||定位的MSE/BRAS/SR设备IP;
success=$定位成功IP(多个“;”拼接)||定位的CR设备IP||定位的MSE/BRAS/SR设备IP;
//按CR+MSE/BRAS/SR做IP聚合,即相同CR+MSE/BRAS/SR设备的返回一行success信息。注意MSE/BRAS/SR为空的情况
……
fail=$定位失败IP(多个“;”拼接)||$定位失败原因;
fail=$定位失败IP(多个“;”拼接)||$定位失败原因;
//按定位失败原因做IP聚合,即相同定位失败原因的返回一行fail信息
……
例如:
success=113.16.255.144;113.16.255.146-113.16.255.147#222.217.172.1#222.217.181.38
success=113.17.255.148/31#222.217.172.1#
fail=113.10.255.142-113.10.255.143#无法定位CR
fail=113.11.255.142;113.10.255.143/32#登录CR设备失败!设备IP:222.217.167.1。
下面举例描述一下如何生成安全访问端口控制配置脚本进行配置。
关于封堵操作:
1.MSE/BRAS/SR设备脚本,主要为ISP封堵和80及8080端口封堵,ISP封堵(ISP,即Internet service provider互联网服务提供商,多指互联网接入服务提供商)。
11.华为NE40E设备(路由器)
(111)ISP封堵。
(1111)域方式配置检查与配置。
输入:
dis acl name RmLineJK-1
输出:
rule 1permit ip source ip-address 219.159.185.217 0
rule 2permit ip source ip-address 219.159.185.228 0
rule 3permit ip source ip-address 219.159.185.48 0
rule 4permit ip source ip-address 219.159.185.55 0
rule 5permit ip source ip-address 220.173.235.50 0
rule 1001permit ip source user-group zhuanxian destination ip-address219.159.185.217 0
rule 1002permit ip source user-group zhuanxian destination ip-address219.159.185.228 0
rule 1003permit ip source user-group zhuanxian destination ip-address219.159.185.48 0
rule 1004permit ip source user-group zhuanxian destination ip-address219.159.185.55 0
rule 1005permit ip source user-group zhuanxian destination ip-address220.173.235.50 0
说明:
1、2……1005:rule编号;
219.159.185.50:对应已解封的IP地址;
若存在与封堵操作地址一致的记录,则需要进行删除,删除命令:
acl name RmLineJK-1ucl
undo rule 5//5:需要封堵的操作地址对应source ip-address规则的rule编号
undo rule 1005//1005:需要封堵的操作地址对应destination ip-address规则的rule编号
quit
commit
(1112)三层专线方式配置检查与配置。
输入:
dis acl name RmLineJK-2
输出:
rule 1permit ip source ip-address 219.159.185.217 0
rule 2permit ip source ip-address 219.159.185.228 0
rule 3permit ip source ip-address 219.159.185.48 0
rule 4permit ip source ip-address 219.159.185.55 0
rule 5permit ip destination ip-address 219.159.185.55 0
说明:
1、2……5:rule编号;
219.159.185.55:对应已解封的IP地址;
若存在与封堵操作地址一致的记录,则需要进行删除,删除命令:
acl name RmLineJK-2advance
undo rule 4//4:需要封堵的操作地址对应source ip-address规则的rule编号undo rule 5//5:需要封堵的操作地址对应destination ip-address规则的rule编号
commit
(1113)踢专线用户下线,使引流生效,操作命令如下:
aaa
cut access-user ip-address 222.83.181.213//222.83.181.213:需要封堵的操作地址
(112)80及8080端口封堵。
检查是否存在对应的acl规则(acl规则是Cisco IOS所提供的一种访问控制技术),若存在则删除;若不存在则不需要处理;
输入:
dis acl name permit-80&8080|in 222.83.181.213//222.83.181.213:需要封堵的操作地址
输出:
rule 790permit tcp destination 222.83.181.213 0destination-port eqwww(0times matched)
rule 795permit tcp destination 222.83.181.213 0destination-port eq8080(0times matched)
//www:80端口;permit:解封
删除命令:
acl name permit-80&8080
undo rule 790//790:需要封堵的操作地址对应destination-port eq www规则的rule编号
undo rule 795//795:需要封堵的操作地址对应destination-port eq 8080规则的rule编号
commit
12.华为ME60设备
(121)ISP封堵。
(1211)域方式配置检查与配置。
输入:
dis acl name 6205
输出:
rule 1permit ip source ip-address 219.159.185.217 0
rule 2permit ip source ip-address 219.159.185.228 0
rule 3permit ip source ip-address 219.159.185.48 0
rule 4permit ip source ip-address 219.159.185.55 0
rule 5permit ip source ip-address 220.173.235.50 0
rule 1001permit ip source user-group zhuanxian destination ip-address219.159.185.217 0
rule 1002permit ip source user-group zhuanxian destination ip-address219.159.185.228 0
rule 1003permit ip source user-group zhuanxian destination ip-address219.159.185.48 0
rule 1004permit ip source user-group zhuanxian destination ip-address219.159.185.55 0
rule 1005permit ip source user-group zhuanxian destination ip-address220.173.235.50 0
说明:
1、2……1005:rule编号;
219.159.185.50:对应已解封的IP地址;
若存在与封堵操作地址一致的记录,则需要进行删除,删除命令:
acl name 6205
undo rule 5//5:需要封堵的操作地址对应source ip-address规则的rule编号
undo rule 1005//1005:需要封堵的操作地址对应destination ip-address规则的rule编号
quit
commit
(1212)三层专线方式配置检查与配置。
输入:
dis acl name RmLineJK-2
输出:
rule 1permit ip source ip-address 219.159.185.217 0
rule 2permit ip source ip-address 219.159.185.228 0
rule 3permit ip source ip-address 219.159.185.48 0
rule 4permit ip source ip-address 219.159.185.55 0
rule 5permit ip destination ip-address 219.159.185.55 0
说明:
1、2……5:rule编号;
219.159.185.55:对应已解封的IP地址;
若存在与封堵操作地址一致的记录,则需要进行删除,删除命令:
acl name RmLineJK-2advance
undo rule 4//4:需要封堵的操作地址对应source ip-address规则的rule编号undo rule 5//5:需要封堵的操作地址对应destination ip-address规则的rule编号
commit
(1213)踢专线用户下线,使引流生效,操作命令如下:
aaa
cut access-user ip-address 222.83.181.213//222.83.181.213:需要封堵的操作地址
(122)80及8080端口封堵。
检查是否存在对应的acl规则,若存在则删除;若不存在则不需要处理;
输入:
dis acl name permit-80&8080|in 222.83.181.213//222.83.181.213:需要封堵的操作地址
输出:
rule 790permit tcp destination 222.83.181.213 0destination-port eqwww(0times matched)
rule 795permit tcp destination 222.83.181.213 0destination-port eq8080(0times matched)
//www:80端口;permit:解封
删除命令:
acl name permit-80&8080
undo rule 790//790:需要封堵的操作地址对应destination-port eq www规则的rule编号
undo rule 795//795:需要封堵的操作地址对应destination-port eq 8080规则的rule编号
commit
13.中兴M6000设备
(131)ISP封堵。
检查是否存在指定地址的permit规则,检查命令如下:
输入:
show ipv4-access-lists name RmLineJK|in 124.227.119.190//124.227.119.190:需要封堵的操作地址
输出:
3601permit ip any 124.227.119.190 0.0.0.0
3602permit ip 124.227.119.190 0.0.0.0any
如果存在对应的permit记录则删除,删除命令如下:
ipv4-access-list RmLineJK
no rule 3601//3601:需要删除的rule编号
no rule 3602//3602:需要删除的rule编号
踢专线用户下线,使引流生效,操作命令如下:
clear subscriber ipv4-address 222.83.181.216//222.83.181.216:需要封堵的操作地址
(132)80及8080端口封堵。
中兴路由器的端口封堵策略应用在上行口(全局默认封堵)。封堵时,先判断封堵操作地址是否在acl里面,如果在,则去掉;如果不在,则不用做操作。
输入:
show ipv4-access-list name deny-80&8080
输出:
5permit tcp any 1.1.1.1 0.0.0.0eq www
10permit tcp any 1.1.1.1 0.0.0.0eq 8080
9998deny tcp any any eq www
9999deny tcp any any eq 8080
10000permit ip any any
如果存在对应的permit记录则删除,删除命令如下:
ipv4-access-list deny-80&8080
no rule 5//5:需要删除的rule编号
no rule 10//10:需要删除的rule编号
14.阿朗7750设备
(141)ISP封堵。
查看已配置解封的IP地址:
输入:
configure filter ip-filter 6666
若输出“MINOR:CLI'create'is mandatory while creating ip-filter.”则表示“ip-filter6666”未配置解封地址,不需要进行封堵;
若无输出,则命令将提示为ip-filter#,则继续输入info命令,检查已经配置解封的IP地址,查看完成后可以使用exit命令退出查看状态;
info输出内容:
若存在与需要封堵的操作地址一致的记录,则需要配置删除:
注:
1、若已经存在default-action则不需要再配置default-action forward;
2、若已有存在description则不需要再配置description"RmLineJK"。
(142)80及8080端口封堵。
默认均为封堵,若ip-filter 8080存在相关的配置则需要删除,不存在则不需要操作。
输入:
configure filter ip-filter 8080
若未报错,则继续输入info查看已经配置的80、8080封堵规则。
info
输出:
entry 1000create//1000:entry编号
match protocol tcp
dst-ip 222.216.109.220/32//dsp-ip 222.216.109.220/32:若IP(222.216.109.220)与封堵的操作地址对应,则此entry需要删除,1000为需要删除的entry编号
exit
action forward
exit
exit
存在相应的IP则删掉对应entry即可:
2.CR脚本
主要要求在固定ACL(可配置)下配置策略。ACL里没有配置的则不需处理。如ACL有相应配置则删除。
(21)华为设备
(211)检查华为CR设备是否支持封堵:
输入:
dis cur|in acl name redirect
输出:
acl name redirect advance
acl name redirect-1advance
if-match acl name redirect
if-match acl name redirect-1
若输出结果中包含acl name redirect advance、acl name redirect-1advance两条中任意一条或者两条记录同时存在则检查通过,否则检查失败,提示设备未配置封堵对应的acl name。
(212)检查上行流量控制ACL配置,如果存在与封堵操作地址一致的记录则删除。
输入:
dis acl name redirect
输出:
rule 5permit ip source 113.13.184.10 0(0times matched)
rule 10permit ip source 113.13.186.18 0(0times matched)
rule 15permit ip source 113.13.186.22 0(0times matched)
rule 20permit ip source 113.17.85.130 0(0times matched)
rule 25permit ip source 121.31.204.74 0(0times matched)
rule 30permit ip source 124.226.192.157 0(0times matched)
rule 35permit ip destination 124.226.192.157 0(0times matched)
说明:
5、10……35:rule编号;
113.13.184.10:对应已解封的IP地址;
删除命令:
acl name redirect
undo rule 30//30:需要封堵的操作地址对应source规则的rule编号
undo rule 35//35:需要封堵的操作地址对应destination规则的rule编号
quit
commit
(213)检查下行流量控制ACL配置,如果存在与封堵操作地址一致的记录则删除。
输入:
dis acl name redirect-1
输出:
rule 5permit ip source 113.13.184.10 0(0times matched)
rule 10permit ip source 113.13.186.18 0(0times matched)
rule 15permit ip source 113.13.186.22 0(0times matched)
rule 20permit ip source 113.17.85.130 0(0times matched)
rule 25permit ip source 121.31.204.74 0(0times matched)
rule 30permit ip source 124.226.192.157 0(0times matched)
rule 35permit ip destination 124.226.192.157 0(0times matched)
说明:
5、10……35:rule编号;
113.13.184.10:对应已解封的IP地址;
删除命令:
acl name redirect-1
undo rule 30//30:需要封堵的操作地址对应source规则的rule编号undo rule35//35:需要封堵的操作地址对应destination规则的rule编号
quit
commit
(22)中兴设备
(221)检查中兴CR设备是否存在指定地址的permit规则,检查命令如下:
输入:
show ipv4-access-lists name zhuanxian-monitor|in 124.227.119.190//124.227.119.190:需要封堵的操作地址
输出:
3601permit ip any 124.227.119.190 0.0.0.0
3602permit ip 124.227.119.190 0.0.0.0any
如果存在对应的permit记录则删除,删除命令如下:
configure terminal ipv4-access-list zhuanxian-monitor
no rule 3601//3601:需要删除的rule编号
no rule 3602//3602:需要删除的rule编号
exit
exit
write
关于解封操作:
1.MSE/BRAS/SR设备脚本,主要为ISP封堵和80及8080端口封堵,ISP封堵(ISP,即Internet service provider互联网服务提供商,多指互联网接入服务提供商)。
11.华为NE40E设备
(111)ISP解封
(1111)域方式配置检查与配置:
输入:
dis acl name RmLineJK-1
输出:
rule 1permit ip source ip-address 219.159.185.217 0
rule 2permit ip source ip-address 219.159.185.228 0
rule 3permit ip source ip-address 219.159.185.48 0
rule 4permit ip source ip-address 219.159.185.55 0
rule 5permit ip source ip-address 220.173.235.50 0
rule 1001permit ip source user-group zhuanxian destination ip-address219.159.185.217 0
rule 1002permit ip source user-group zhuanxian destination ip-address219.159.185.228 0
rule 1003permit ip source user-group zhuanxian destination ip-address219.159.185.48 0
rule 1004permit ip source user-group zhuanxian destination ip-address219.159.185.55 0
rule 1005permit ip source user-group zhuanxian destination ip-address220.173.235.50 0
说明:
1、2……1005:rule编号;
219.159.185.50:对应已解封的IP地址;
若不存在与解封操作地址一致的记录,则需要增加,增加命令:
acl name RmLineJK-1ucl
rule 1006permit ip source ip-address 220.173.235.50 0
rule 1007permit ip source user-group zhuanxian destination ip-address220.173.235.50 0
commit
//1006、1007:当前acl name对应的编号最大值+1自增
//220.173.235.50:需要解封的操作地址
(1112)三层专线方式配置检查与配置:
输入:
dis acl name RmLineJK-2
输出:
rule 1permit ip source ip-address 219.159.185.217 0
rule 2permit ip source ip-address 219.159.185.228 0
rule 3permit ip source ip-address 219.159.185.48 0
rule 4permit ip source ip-address 219.159.185.55 0
rule 5permit ip destination ip-address 219.159.185.55 0
说明:
1、2……5:rule编号;
219.159.185.55:对应已解封的IP地址;
若不存在与解封操作地址一致的记录,则需要进行增加,增加命令:
acl name RmLineJK-2advance
rule 6permit ip source ip-address 222.83.181.213 0
rule 7permit ip destination 222.83.181.213 0
commit
//6、7:当前acl name对应的编号最大值+1自增
//222.83.181.213:需要解封的操作地址
(1113)踢专线用户下线,使引流生效,操作命令如下:
aaa
cut access-user ip-address 222.83.181.213//222.83.181.213:需要封堵的操作地址
(112)80及8080端口解封。
检查是否存在对应的acl规则,若存在则不需要处理;若不存在则需要增加。
输入:
dis acl name permit-80&8080|in 222.83.181.213//222.83.181.213:需要封堵的操作地址
输出:
rule 790permit tcp destination 222.83.181.213 0destination-port eqwww(0times matched)
rule 795permit tcp destination 222.83.181.213 0destination-port eq8080(0times matched)
//www:80端口;permit:解封
若不存在对应的80、8080端口解封命令则增加:
acl name permit-80&8080
rule 800permit tcp destination 222.83.181.213 0destination-port eqwww
rule 801permit tcp destination 222.83.181.213 0destination-port eq8080
//800、801:rule编号,取dia acl name permit-80&8080输出的最大编号+1自增commit
12.华为ME60设备
(121)ISP解封。
(1211)域方式配置检查与配置:
输入:
dis acl name 6205
输出:
rule 1permit ip source ip-address 219.159.185.217 0
rule 2permit ip source ip-address 219.159.185.228 0
rule 3permit ip source ip-address 219.159.185.48 0
rule 4permit ip source ip-address 219.159.185.55 0
rule 5permit ip source ip-address 220.173.235.50 0
rule 1001permit ip source user-group zhuanxian destination ip-address219.159.185.217 0
rule 1002permit ip source user-group zhuanxian destination ip-address219.159.185.228 0
rule 1003permit ip source user-group zhuanxian destination ip-address219.159.185.48 0
rule 1004permit ip source user-group zhuanxian destination ip-address219.159.185.55 0
rule 1005permit ip source user-group zhuanxian destination ip-address220.173.235.50 0
说明:
1、2……1005:rule编号;
219.159.185.50:对应已解封的IP地址;
若不存在与解封操作地址一致的记录,则需要进行增加,增加命令:
acl name 6205
rule 1006permit ip source ip-address 220.173.235.50 0
rule 1007permit ip source user-group zhuanxian destination ip-address220.173.235.50 0
commit
//1006、1007:当前acl name对应的编号最大值+1自增
//220.173.235.50:需要解封的操作地址
quit
commit
(1212)三层专线方式配置检查与配置:
输入:
dis acl name RmLineJK-2
输出:
:rule 1permit ip source ip-address 219.159.185.217 0
rule 2permit ip source ip-address 219.159.185.228 0
rule 3permit ip source ip-address 219.159.185.48 0
rule 4permit ip source ip-address 219.159.185.55 0
rule 5permit ip destination ip-address 219.159.185.55 0
说明:
1、2……5:rule编号;
219.159.185.55:对应已解封的IP地址;
若不存在与解封操作地址一致的记录,则需要进行增加,增加命令:
acl name RmLineJK-2advance
rule 6permit ip source ip-address 222.83.181.213 0
rule 7permit ip destination 222.83.181.213 0
commit
//6、7:当前acl name对应的编号最大值+1自增
//222.83.181.213:需要解封的操作地址
(1213)踢专线用户下线,使引流生效,操作命令如下:
aaa
cut access-user ip-address 222.83.181.213//222.83.181.213:需要封堵的操作地址
(122)80及8080端口封堵
检查是否存在对应的acl规则,若存在则不需要处理;若不存在则需要增加。
输入:
dis acl name permit-80&8080|in 222.83.181.213//222.83.181.213:需要封堵的操作地址
输出:
rule 790permit tcp destination 222.83.181.213 0destination-port eqwww(0times matched)
rule 795permit tcp destination 222.83.181.213 0destination-port eq8080(0times matched)
//www:80端口;permit:解封
若不存在对应的80、8080端口解封命令则增加:
acl name permit-80&8080
rule 800permit tcp destination 222.83.181.213 0destination-port eqwww
rule 801permit tcp destination 222.83.181.213 0destination-port eq8080
//800、801:rule编号,取dia acl name permit-80&8080输出的最大编号+1自增commit
13.中兴M6000设备
(131)ISP解封
检查是否存在指定地址的permit规则,检查命令如下:
输入:
show ipv4-access-lists name RmLineJK|in 124.227.119.190//124.227.119.190:需要封堵的操作地址
输出:
3601permit ip any 124.227.119.190 0.0.0.0
3602permit ip 124.227.119.190 0.0.0.0any
如果不存在对应的permit记录则增加,增加命令如下:
ipv4-access-list RmLineJK
rule 3603permit ip any 113.12.238.141 0.0.0.0//目的地址的permit规则
rule 3604permit ip 113.12.238.141 0.0.0.0any//源地址的permit规则
//113.12.238.141:需要解封的操作地址
//3603、3604:rule编号,取show ipv4-access-lists name RmLineJK编号中的最大值+1自增
踢专线用户下线,使引流生效,操作命令如下:
clear subscriber ipv4-address 222.83.181.216//222.83.181.216:需要封堵的操作地址
(132)80及8080端口封堵
中兴路由器的端口封堵策略应用在上行口(全局默认封堵)。解封时,先判断解封IP是否在ACL里面,如果在,则不用做操作;如果不在,则在ACL增加,注意增加到rule9998deny之前(rule号为当前未使用的小于9998的rule编号)。
输入:
show ipv4-access-list name deny-80&8080
输出:
5permit tcp any 1.1.1.1 0.0.0.0eq www
10permit tcp any 1.1.1.1 0.0.0.0eq 8080
9998deny tcp any any eq www
9999deny tcp any any eq 8080
10000permit ip any any
如果不存在对应的permit记录则增加,增加命令如下:
ipv4-access-list deny-80&8080
9997permit tcp any 1.1.1.1 0.0.0.0eq www
9996permit tcp any 1.1.1.1 0.0.0.0eq 8080
//9997、9996:rule编号,取小于9998未使用的rule编号
14.阿朗7750设备
(141)ISP解封。
查看已配置解封的IP地址:
输入:
configure filter ip-filter 6666
若输出“MINOR:CLI'create'is mandatory while creating ip-filter.”则表示“ip-filter6666”未配置解封地址,需要配置解封
若无输出,则命令将提示为ip-filter#,则继续输入info命令,检查已经配置解封的IP地址,查看完成后可以使用exit命令退出查看状态
info输出内容:
若需要解封的操作地址同时存在src-ip 222.216.109.220/32、dst-ip222.216.109.220/32两条记录,则表示已经解封,不需要再处理,否则进行解封操作:
注:
1、若已经存在default-action则不需要再配置default-action forward;
2、若已有存在description则不需要再配置description"RmLineJK"。
(142)80及8080端口封堵
默认均为封堵,若ip-filter 8080不存在相关的配置则需要增加,存在则不需要操作。
输入:
configure filter ip-filter 8080
若未报错,则继续输入info查看已经配置的80、8080封堵规则。
info
输出:
entry 1000create//1000:entry编号
match protocol tcp
dst-ip 222.216.109.220/32
exit
action forward
exit
exit
若不存在对应的操作地址解封配置,则需要增加(分别增加80、8080)解封配置:
entry 1001create//1001:entry编号。取ip-filter 8080未使用的entry编号。
match protocol tcp
dst-ip 222.216.109.220/32 //222.216.109.220为需要解封的操作地址
dst-port eq 80 //80:配置80端口解封
exit
action forward
exit
entry 1002create//1002:entry编号。取ip-filter 8080未使用的entry编号,与新增的entry编号不冲突。
match protocol tcp
dst-ip 222.216.109.220/32 //222.216.109.220为需要解封的操作地址
dst-port eq 8080 //8080:配置8080端口解封
exit
action forward
exit
exit
admin save
2.CR脚本
主要要求在固定ACL(可配置)下配置策略。已存在无需处理。如ACL里无则需增加配置,策略rule步长要求为最大值+1。
(21)华为设备
(211)检查华为CR设备是否支持解封:
输入:
dis cur|in acl name redirect
输出:
acl name redirect advance
acl name redirect-1advance
if-match acl name redirect
if-match acl name redirect-1
若输出结果中包含acl name redirect advance、acl name redirect-1advance两条中任意一条或者两条记录同时存在则检查通过,否则检查失败,提示设备未配置解封对应的acl name。
(212)检查上行流量控制ACL配置,如果不存在与解封操作地址一致的记录则需要增加。
输入:
dis acl name redirect
输出:
rule 5permit ip source 113.13.184.10 0(0times matched)
rule 10permit ip source 113.13.186.18 0(0times matched)
rule 15permit ip source 113.13.186.22 0(0times matched)
rule 20permit ip source 113.17.85.130 0(0times matched)
rule 25permit ip source 121.31.204.74 0(0times matched)
rule 30permit ip source 124.226.192.157 0(0times matched)
rule 35permit ip destination 124.226.192.157 0(0times matched)
说明:
5、10……35:rule编号;
113.13.184.10:对应已解封的IP地址;
增加命令:
注意需要解封的多个IP,取的rule编号不能重复。
acl name redirect
rule 36permit ip source 222.83.181.216 0
rule 37permit ip destination 222.83.181.216 0
quit
commit
//36、37:当前acl中最大rule编号+1自增
//222.83.181.216:需要解封的操作地址
(213)检查下行流量控制ACL配置,如果不存在与解封操作地址一致的记录则需要增加。
输入:
dis acl name redirect-1
输出:
rule 5permit ip source 113.13.184.10 0(0times matched)
rule 10permit ip source 113.13.186.18 0(0times matched)
rule 15permit ip source 113.13.186.22 0(0times matched)
rule 20permit ip source 113.17.85.130 0(0times matched)
rule 25permit ip source 121.31.204.74 0(0times matched)
rule 30permit ip source 124.226.192.157 0(0times matched)
rule 35permit ip destination 124.226.192.157 0(0times matched)
说明:
5、10……35:rule编号;
113.13.184.10:对应已解封的IP地址;
增加命令:
注意需要解封的多个IP,取的rule编号不能重复;
acl name redirect-1
rule 36permit ip source 222.83.181.216 0
rule 37permit ip destination 222.83.181.216 0
quit
commit
//36、37:当前acl中最大rule编号+1自增
//222.83.181.216:需要解封的操作地址
(22)中兴设备
(221)检查中兴CR设备是否存在指定地址的permit规则,检查命令如下:
输入:
show ipv4-access-lists name zhuanxian-monitor|in 124.227.119.190
//124.227.119.190:需要解封的操作地址
输出:
3601permit ip any 124.227.119.190 0.0.0.0
3602permit ip 124.227.119.190 0.0.0.0any
如果不存在对应的permit记录则增加,增加命令如下:
configure terminal
ipv4-access-list zhuanxian-monitor
rule 3603permit ip any 113.12.238.141 0.0.0.0//目的地址的permit规则
rule 3604permit ip 113.12.238.141 0.0.0.0any//源地址的permit规则
//113.12.238.141:需要解封的操作地址
//3603、3604:rule编号,取show ipv4-access-lists name zhuanxian-monitor编号中最大值+1自增
exit
exit
write
在本发明实施例中,如图2所示,该方法还包括:
步骤106:为定位成功的操作地址生成配置工单,记录配置工单执行日志。
在本发明实施例中,如图3所示,该方法还包括:
步骤107:接收配置结果查询请求,根据所述配置结果查询请求获取并显示对应的配置工单及配置工单执行日志。
基于同一发明构思,本发明实施例中还提供了一种城域网安全访问端口控制管理装置,如下面的实施例所述。由于城域网安全访问端口控制管理装置解决问题的原理与城域网安全访问端口控制管理方法相似,因此城域网安全访问端口控制管理装置的实施可以参见城域网安全访问端口控制管理方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本发明实施例的城域网安全访问端口控制管理装置的结构框图,如图4所示,包括:
操作地址接收模块401,用于接收输入的操作地址;
拆分模块402,用于对所述操作地址按段进行拆分,获得多段操作地址;
定位模块403,用于对每段操作地址进行自动定位,确定对应的城域网出口CR设备;
配置信息获取模块404,用于获取成功定位到的对应的城域网出口CR设备的现有配置信息;
安全访问端口控制脚本生成模块405,用于基于所述现有配置信息,根据所需的配置操作生成安全访问端口控制脚本,所述安全访问端口控制脚本用于对成功定位到的每段操作地址对应的城域网出口CR设备进行配置。
在本发明实施例中,所述操作地址包括多段,每段用英文分号隔开。
在本发明实施例中,所述操作地址采用如下形式输入:
单IP形式、IP/掩码位数形式或起始IP-终止IP形式。
在本发明实施例中,所述定位模块403具体用于:
对每段操作地址进行自动定位,确定是否能定位到对应的城域网出口CR设备,若能定位到对应的城域网出口CR设备,则继续确定是否能定位到对应的城域网汇聚设备,若不能定位到对应的城域网出口CR设备,则确定定位失败,获得定位失败原因,其中,所述城域网汇聚设备包括MSE设备、BRAS设备或SR设备。
在本发明实施例中,所述定位模块403还用于:
对定位结果按照定位成功或定位失败进行聚合,对定位成功的操作地址按照城域网出口CR设备+城域网汇聚设备进行聚合,对于定位失败的操作地址按照定位失败原因进行聚合。
在本发明实施例中,所述所需的配置操作包括封堵操作或解封操作。
在本发明实施例中,如图5所示,该装置还包括:
配置处理模块406,用于为定位成功的操作地址生成配置工单,记录配置工单执行日志。
在本发明实施例中,如图6所示,该装置还包括:
查询模块407,用于接收配置结果查询请求,根据所述配置结果查询请求获取并显示对应的配置工单及配置工单执行日志。
图7为使用本发明装置进行实际操作的结果示意图。
具体的,图8至图11为使用本发明方法进行配置工单查询的效果图。
具体的,配置结果查询请求中可以包括操作人/操作地址、操作类型(“全部”、“封堵”和“解封”)、操作开始时间/操作结束时间、设备名称/设备IP等等。
(1)通过条件筛选实现ISP配置端口封堵解封查询功能:
(11)操作人/操作地址支持模糊匹配,可筛选指定操作人或操作地址的操作记录;
(12)操作类型下拉框取值包含“全部”、“封堵”和“解封”,缺省为“全部”;
(13)操作开始时间/操作结束时间为时间控件,可筛选时间范围内的操作记录;
(14)设备名称/设备IP支持模糊匹配,对应CR或MSE/BRAS/SR设备。
(2)查询结果列表右键,可快速生成对应工单的反向操作工单。如封堵操作类型工单右键解封可快速生成对应封堵操作地址的解封操作类型工单。
(3)查询结果列表日志点击查询链接,可查看对应工单执行任务日志。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述所述方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述所述方法的计算机程序。
综上所述,本发明方法和装置具有如下优点:
通过简易的方式,仅根据需要进行安全访问端口控制的操作地址自动定位分析涉及的配置设备(城域网出口CR设备和城域网汇聚MSE/BRAS/SR设备),智能分析设备已有配置,自动生成安全访问端口控制相关脚本并在设备上执行,存留操作记录以便核查等,实现对用户地址的安全访问端口控制。不仅大大提高了运维人员的工作效率,更有效保证了安全访问端口控制配置的准确性,减少故障发生。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种城域网安全访问端口控制管理方法,其特征在于,包括:
接收输入的操作地址;
对所述操作地址按段进行拆分,获得多段操作地址;
对每段操作地址进行自动定位,定位出对应的城域网出口CR设备;
获取成功定位到的对应的城域网出口CR设备的现有配置信息;
基于所述现有配置信息,根据所需的配置操作生成对应的安全访问端口控制脚本,所述对应的安全访问端口控制脚本用于对成功定位到的每段操作地址对应的城域网出口CR设备进行配置;
对每段操作地址进行自动定位,确定对应的城域网出口CR设备,包括:
对每段操作地址进行自动定位,确定是否能定位到对应的城域网出口CR设备,若能定位到对应的城域网出口CR设备,则继续确定是否能定位到对应的城域网汇聚设备,若不能定位到对应的城域网出口CR设备,则确定定位失败,获得定位失败原因,其中,所述城域网汇聚设备包括MSE设备、BRAS设备或SR设备;
所述方法还包括:
对定位结果按照定位成功或定位失败进行聚合,对定位成功的操作地址按照城域网出口CR设备+城域网汇聚设备进行聚合,对于定位失败的操作地址按照定位失败原因进行聚合。
2.如权利要求1所述的城域网安全访问端口控制管理方法,其特征在于,所述操作地址包括多段,每段用英文分号隔开。
3.如权利要求1或2所述的城域网安全访问端口控制管理方法,其特征在于,所述操作地址采用如下形式输入:
单IP形式、IP/掩码位数形式或起始IP-终止IP形式。
4.如权利要求1所述的城域网安全访问端口控制管理方法,其特征在于,所述所需的配置操作包括封堵操作或解封操作。
5.如权利要求1所述的城域网安全访问端口控制管理方法,其特征在于,还包括:
为定位成功的操作地址生成配置工单,记录配置工单执行日志。
6.如权利要求5所述的城域网安全访问端口控制管理方法,其特征在于,还包括:
接收配置结果查询请求,根据所述配置结果查询请求获取并显示对应的配置工单及配置工单执行日志。
7.一种城域网安全访问端口控制管理装置,其特征在于,包括:
操作地址接收模块,用于接收输入的操作地址;
拆分模块,用于对所述操作地址按段进行拆分,获得多段操作地址;
定位模块,用于对每段操作地址进行自动定位,确定对应的城域网出口CR设备;
配置信息获取模块,用于获取成功定位到的对应的城域网出口CR设备的现有配置信息;
安全访问端口控制脚本生成模块,用于基于所述现有配置信息,根据所需的配置操作生成安全访问端口控制脚本,所述安全访问端口控制脚本用于对成功定位到的每段操作地址对应的城域网出口CR设备进行配置;
所述定位模块具体用于:
对每段操作地址进行自动定位,确定是否能定位到对应的城域网出口CR设备,若能定位到对应的城域网出口CR设备,则继续确定是否能定位到对应的城域网汇聚设备,若不能定位到对应的城域网出口CR设备,则确定定位失败,获得定位失败原因,其中,所述城域网汇聚设备包括MSE设备、BRAS设备或SR设备;
所述定位模块还用于:
对定位结果按照定位成功或定位失败进行聚合,对定位成功的操作地址按照城域网出口CR设备+城域网汇聚设备进行聚合,对于定位失败的操作地址按照定位失败原因进行聚合。
8.如权利要求7所述的城域网安全访问端口控制管理装置,其特征在于,所述操作地址包括多段,每段用英文分号隔开。
9.如权利要求7或8所述的城域网安全访问端口控制管理装置,其特征在于,所述操作地址采用如下形式输入:
单IP形式、IP/掩码位数形式或起始IP-终止IP形式。
10.如权利要求7所述的城域网安全访问端口控制管理装置,其特征在于,所述所需的配置操作包括封堵操作或解封操作。
11.如权利要求7所述的城域网安全访问端口控制管理装置,其特征在于,还包括:
配置处理模块,用于为定位成功的操作地址生成配置工单,记录配置工单执行日志。
12.如权利要求11所述的城域网安全访问端口控制管理装置,其特征在于,还包括:
查询模块,用于接收配置结果查询请求,根据所述配置结果查询请求获取并显示对应的配置工单及配置工单执行日志。
13.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任一项所述方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至6任一项所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911255923.0A CN112953741B (zh) | 2019-12-10 | 2019-12-10 | 城域网安全访问端口控制管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911255923.0A CN112953741B (zh) | 2019-12-10 | 2019-12-10 | 城域网安全访问端口控制管理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112953741A CN112953741A (zh) | 2021-06-11 |
| CN112953741B true CN112953741B (zh) | 2023-10-03 |
Family
ID=76225376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911255923.0A Active CN112953741B (zh) | 2019-12-10 | 2019-12-10 | 城域网安全访问端口控制管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112953741B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103200114A (zh) * | 2013-04-18 | 2013-07-10 | 湖北邮电规划设计有限公司 | 城域网规划方法 |
| CN104320353A (zh) * | 2014-11-19 | 2015-01-28 | 中国联合网络通信集团有限公司 | 一种用户地址管理的方法和装置 |
| CN104901883A (zh) * | 2014-03-06 | 2015-09-09 | 中国移动通信集团广东有限公司 | 一种路由器的配置方法、装置及主备用业务路由器 |
| CN109525683A (zh) * | 2018-11-14 | 2019-03-26 | 中盈优创资讯科技有限公司 | 城域网ipv4地址的空闲地址挖潜方法及装置 |
| CN110401572A (zh) * | 2019-09-04 | 2019-11-01 | 中国联合网络通信集团有限公司 | 网络端到端业务编排系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8176146B2 (en) * | 2007-12-14 | 2012-05-08 | At&T Intellectual Property I, Lp | Providing access control list management |
-
2019
- 2019-12-10 CN CN201911255923.0A patent/CN112953741B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103200114A (zh) * | 2013-04-18 | 2013-07-10 | 湖北邮电规划设计有限公司 | 城域网规划方法 |
| CN104901883A (zh) * | 2014-03-06 | 2015-09-09 | 中国移动通信集团广东有限公司 | 一种路由器的配置方法、装置及主备用业务路由器 |
| CN104320353A (zh) * | 2014-11-19 | 2015-01-28 | 中国联合网络通信集团有限公司 | 一种用户地址管理的方法和装置 |
| CN109525683A (zh) * | 2018-11-14 | 2019-03-26 | 中盈优创资讯科技有限公司 | 城域网ipv4地址的空闲地址挖潜方法及装置 |
| CN110401572A (zh) * | 2019-09-04 | 2019-11-01 | 中国联合网络通信集团有限公司 | 网络端到端业务编排系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| IP城域网的安全管理;孙丽君;《内蒙古科技与经济》;20111015(第19期);全文 * |
| 城域网安全设计与实施;潘虎;《信息与电脑(理论版)》;20121215(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112953741A (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7189236B2 (ja) | 自動パケットレスネットワーク到達可能性分析 | |
| US10972352B2 (en) | Validation of routing information base-forwarding information base equivalence in a network | |
| EP3643011B1 (en) | Network validation between the logical level and the hardware level of a network | |
| CN110785964B (zh) | 网络中第3层桥接域子网的验证 | |
| US20070162595A1 (en) | System and method for tracking network resources | |
| US11855862B2 (en) | Tagging packets for monitoring and analysis | |
| US10567228B2 (en) | Validation of cross logical groups in a network | |
| CN110650037B (zh) | 异构网络设备配置方法及装置 | |
| CN110785965A (zh) | 网络中使用虚拟路由转发容器的第3层的验证 | |
| CN110800259B (zh) | 跨以应用为中心的维度的分布式故障代码聚合 | |
| US20190312780A1 (en) | Validation of l3out configuration for communications outside a network | |
| US20180343162A1 (en) | System management apparatus and system management method | |
| US20180367405A1 (en) | Validation of bridge domain-l3out association for communication outside a network | |
| CN111034123A (zh) | 网络中第1层接口的验证 | |
| WO2010017157A2 (en) | End-to-end network access analysis | |
| US9935834B1 (en) | Automated configuration of virtual port channels | |
| EP4163802A1 (en) | Knowledge graph construction method, apparatus and system and computer storage medium | |
| CN107995321A (zh) | 一种vpn客户端代理dns的方法及装置 | |
| CN110798341B (zh) | 业务开通方法、装置及系统 | |
| DE112019001214T5 (de) | Erzeugung von Pfadausfallmeldung an Weiterleitungselement | |
| CN112953741B (zh) | 城域网安全访问端口控制管理方法及装置 | |
| CN108768861B (zh) | 一种发送业务报文的方法及装置 | |
| CN104917623B (zh) | 一种实现sdn网络通信管理的方法及装置 | |
| US20060248196A1 (en) | Using broadcast domains to manage virtual local area networks | |
| JP6246885B1 (ja) | 経路解析処理装置および経路解析処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |