CN116112191A - 基于路由表配置acl的方法、装置和网络设备 - Google Patents

基于路由表配置acl的方法、装置和网络设备 Download PDF

Info

Publication number
CN116112191A
CN116112191A CN202111331661.9A CN202111331661A CN116112191A CN 116112191 A CN116112191 A CN 116112191A CN 202111331661 A CN202111331661 A CN 202111331661A CN 116112191 A CN116112191 A CN 116112191A
Authority
CN
China
Prior art keywords
routing
acl
entry
route
designated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111331661.9A
Other languages
English (en)
Inventor
陈琳娜
杨大鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Shandong Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Shandong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Shandong Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202111331661.9A priority Critical patent/CN116112191A/zh
Publication of CN116112191A publication Critical patent/CN116112191A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种基于路由表配置ACL的方法、装置和网络设备。该方法包括:监听所述路由表中的路由条目是否发生变化,若监听到所述路由表中的路由条目发生变化时,从所述路由表中提取出指定路由条目的信息,其中,所述指定路由条目为所述路由表中发生变化的路由条目,根据所述指定路由条目的信息,生成ACL配置命令,根据所述ACL配置命令,配置ACL,从而简化了配置ACL的操作步骤,提高了配置ACL的效率以及降低了配置ACL的失误率。

Description

基于路由表配置ACL的方法、装置和网络设备
【技术领域】
本发明实施例涉及路由信息传输技术领域,尤其涉及一种基于路由表配置ACL的方法、装置和网络设备。
【背景技术】
访问控制列表(Access Control List,ACL)是一种基于包过滤的访问控制技术,它通过一系列设定的匹配规则对网络设备接口上的数据包进行过滤,在接口处决定对哪种类型的通信流量执行转发(permit)操作或阻塞(deny)操作。目前,ACL包括二层ACL、基本ACL、高级ACL或用户自定义ACL。
由于网络业务日趋复杂,一方面,路由器或交换机上不同接口所应用的路由匹配的ACL可能相同也可能不同,导致部分业务网际互连协议(Internet Protocol,IP)地址可能需要在不同的ACL列表中都进行配置,这极大增加了路由器或交换机上ACL列表配置的复杂性。另一方面,通过人工定义来维护ACL列表的方式效率低下,稍有操作不慎便会造成业务中断故障或其他网络安全隐患。随着网络规模的不断扩大,现有技术中存在配置ACL操作步骤繁琐、效率低和失误率高的问题。
【发明内容】
有鉴于此,本发明实施例提供了一种基于路由表配置ACL的方法、装置和网络设备,用以解决配置ACL操作步骤繁琐、效率低和失误率高的问题。
第一方面,本发明实施例提供了一种基于路由表配置ACL的方法,所述方法包括:
监听所述路由表中的路由条目是否发生变化,所述路由表包括至少一个路由条目;
若监听到所述路由表中的路由条目发生变化时,从所述路由表中提取出指定路由条目的信息,其中,所述指定路由条目为所述路由表中发生变化的路由条目;
根据所述指定路由条目的信息,生成ACL配置命令;
根据所述ACL配置命令,配置ACL。
可选地,所述方法还包括:
若监听到所述路由表中的路由条目未发生变化时,继续执行所述监听所述路由表中的路由条目是否发生变化的步骤。
可选地,所述监听所述路由表中的路由条目是否发生变化,包括:
通过设置的监听时间间隔,监听所述路由表中的路由条目是否发生变化;或者,
响应于检测到的路由表刷新事件,监听所述路由表中的路由条目是否发生变化。
可选地,所述方法还包括:
若检测出在设置的当前观察窗口期内所述路由表中的路由条目未发生变化时,继续执行所述从所述路由表中提取出指定路由条目的信息的步骤;或者,
若检测出在设置的当前观察窗口期内所述路由表中的路由条目发生变化时,检测在设置的下一个观察窗口期内所述路由表中的路由条目是否发生变化;或者,
若检测出在设置的下一个观察窗口期内所述路由表中的路由条目未发生变化时,继续执行所述从所述路由表中提取出指定路由条目的信息的步骤。
可选地,所述指定路由条目的信息包括指定路由条目的状态、协议类型和路由表项信息;所述根据所述指定路由条目的信息,生成ACL配置命令,包括:
若判断出所述指定路由条目为新增路由条目,根据所述指定路由条目的协议类型,查询出与所述指定路由条目的协议类型对应的正则表达式;
根据所述指定路由条目的路由表项信息,将所述正则表达式与预先设置的关键字进行匹配,生成所述指定路由条目的特定关键字段;
若判断出所述指定路由条目的特定关键字段归属于设置的路由匹配规则的关键字段,查询出所述指定路由条目对应的ACL列表;
根据所述ACL列表生成指定路由条目对应的ACL配置命令。
可选地,所述指定路由条目的信息包括指定路由条目的状态、协议类型和路由表项信息;所述根据所述指定路由条目的信息,生成ACL配置命令,包括:
若判断出所述指定路由条目为撤销路由条目,根据所述指定路由条目的协议类型,查询出与所述指定路由条目的协议类型对应的正则表达式;
根据所述指定路由条目的路由表项信息,将所述正则表达式与预先设置的关键字进行匹配,生成所述指定路由条目的特定关键字段;
若判断出所述指定路由条目的特定关键字段归属于设置的路由匹配规则的关键字段,查询出所述指定路由条目对应的ACL列表;
根据所述ACL列表生成指定路由条目对应的ACL配置命令。
可选地,所述根据所述ACL配置命令,配置ACL,包括:
若所述指定路由条目为新增路由条目,所述ACL配置命令为所述指定路由条目的ACL配置新增命令,则生成所述指定路由条目的ACL规则语句,将所述ACL规则语句添加到ACL中,以完成ACL的配置;或者,
若所述指定路由条目为撤销路由条目,所述ACL配置命令为所述指定路由条目的ACL配置删除命令,则生成所述指定路由条目的ACL规则语句删除命令,并根据所述ACL规则语句删除命令将ACL中对应的ACL规则语句删除,以完成ACL的配置。
第二方面,本发明实施例提供了一种基于路由表配置ACL的装置,包括:
监听模块,用于监听所述路由表中的路由条目是否发生变化,所述路由表包括至少一个路由条目;
提取模块,用于若所述监听模块监听到所述路由表中的路由条目发生变化时,从所述路由表中提取出指定路由条目的信息,其中,所述指定路由条目为所述路由表中发生变化的路由条目;
生成模块,用于根据所述指定路由条目的信息,生成ACL配置命令;
配置模块,用于根据所述ACL配置命令,配置ACL。
第三方面,本发明实施例提供了一种网络设备,包括:
一个或多个处理器;存储器;以及一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述设备执行时,使得所述设备执行第一方面或第一方面任一可能的实现方式中的基于路由表配置ACL的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行第一方面或第一方面任一可能的实现方式中的基于路由表配置ACL的方法。
本发明实施例提供的技术方案中,监听所述路由表中的路由条目是否发生变化,若监听到所述路由表中的中的路由条目发生变化时,从所述路由表中提取出指定路由条目的信息,其中,所述指定路由条目为所述路由表中发生变化的路由条目;根据所述指定路由条目的信息,生成ACL配置命令,根据所述ACL配置命令,配置ACL。本发明实施例中根据指定路由条目的信息,完成对指定路由条目的ACL配置,从而简化了配置ACL的操作步骤,提高了配置ACL的效率以及降低了配置ACL的失误率。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种基于路由表配置ACL的方法的流程图;
图2为本发明实施例提供的另一种基于路由表配置ACL的方法的流程图。
图3为本发明实施例提供的一种查询正则表达式的示意图。
图4为本发明实施例提供的一种基于路由表配置ACL装置的结构示意图。
图5为本发明实施例提供的一种网络设备的示意图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,甲和/或乙,可以表示:单独存在甲,同时存在甲和乙,单独存在乙这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
本发明实施例提供了一种基于路由表配置ACL的方法,图1为本发明实施例提供的一种基于路由表配置ACL的方法的流程图,如图1所示,该方法包括:
步骤101、监听路由表中的路由条目是否发生变化,所述路由表包括至少一个路由条目,若否,则执行步骤101;若是,则执行步骤102。
若监听到所述路由表中的路由条目未发生变化时,继续对路由表中的路由条目进行监听,执行步骤101;若监听到路由表中的路由条目发生变化时,需要获取变化路由条目的信息,执行步骤102。
步骤102、从路由表中提取出指定路由条目的信息,其中,指定路由条目为路由表中发生变化的路由条目。
步骤103、根据指定路由条目的信息,生成ACL配置命令。
步骤104、根据ACL配置命令,配置ACL。
本发明实施例提供的一种基于路由表配置ACL的方法,判断监听IP路由表中的路由条目是否发生变化,若监听到所述路由表中的路由条目未发生变化时,继续执行步骤101;若监听到IP路由表中的路由条目发生变化时,从路由表中提取出指定路由条目的信息,其中,指定路由条目为路由表中发生变化的路由条目;根据指定路由条目的信息,生成ACL配置命令,根据ACL配置命令,配置ACL,从而简化了配置ACL的操作步骤,提高了配置ACL的效率以及降低了配置ACL的失误率。
图2为本发明实施例提供的另一种基于路由表配置ACL的方法的流程图,如图2所示,该方法包括:
步骤201、监听路由表中的路由条目是否发生变化,路由表包括至少一个路由条目,若否,则执行步骤201;若是,则执行步骤202。
本发明实施例中的各步骤可以由网络设备执行,例如,该网络设备可以为路由器或交换机。
若监听到路由表中的路由条目未发生变化时,继续对路由表中的路由条目进行监听,执行步骤201;若监听到路由表中的路由条目发生变化时,需要获取变化路由条目的信息,执行步骤202。
作为一种可选方案,通过设置的监听时间间隔,监听路由表中的路由条目是否发生变化。
作为另一种可选方案,响应于检测到的路由表刷新事件,监听路由表中的路由条目是否发生变化。在监听到路由表刷新事件后,配置一个观察窗口期来观察路由表是否保持稳定,若检测出在设置的当前观察窗口期内路由表中的路由条目未发生变化时,继续执行步骤202;若检测出在设置的当前观察窗口期内路由表中的路由条目发生变化时,检测在设置的下一个观察窗口期内路由表中的路由条目是否发生变化,当检测出在设置的当前观察窗口期内路由表中的路由条目发生变化时,说明当前由于路由震荡等因素引起路由条目的频繁波动,需要引入观察窗口期和相应的惩罚机制,直到观察窗口期内路由表中的路由条目保持稳定;若检测出在设置的下一个观察窗口期内路由表中的路由条目未发生变化时,继续执行步骤202。
步骤202、从路由表中提取出指定路由条目的信息,其中,指定路由条目为路由表中发生变化的路由条目。
监听路由表中的路由条目发生变化时,表明指定路由条目包括新增路由条目或者撤销路由条目,当路由条目发生增加的变化时,此时指定路由条目为新增路由条目;当路由条目发生删除的变化时,此时指定路由条目为撤销路由条目。
步骤203、判断指定路由条目为新增路由条目或者撤销路由条目,若为新增路由条目,则执行步骤204;若为撤销路由条目,则执行步骤211。
步骤204、根据指定路由条目的协议类型,查询出与指定路由条目的协议类型对应的正则表达式。
不同的新增路由条目对应的协议不同,新增路由条目对应的协议可以包括中间系统到中间系统(Intermediate system to intermediate system,ISIS)、开放最短路径优先(Open Shortest Path First,OSPF)或者边界网关协议(Border Gateway Protocol,BGP)。
不同的协议对应不同的正则表达式,如图3所示,例如,正则表达式可以包括ISIS协议正则表达式、OSPE协议正则表达式、BGP协议正则表达式或路由协议n正则表达式,其中,正则表达式是根据路由协议的路由表项信息定义的,不同路由协议来源的路由表项信息不同,因此不同的协议对应不同的正则表达式。
步骤205、根据指定路由条目的路由表项信息,将正则表达式与预先设置的关键字进行匹配,生成指定路由条目的特定关键字段。
当新增路由条目对应的协议为BGP协议时,路由表项信息可以包括目的地址(Network)、下一跳地址(NextHop)、出接口(Out-Interface)、路径属性(AS_Path)、团体属性(Community)、服务质量(Quality of Service,QoS)信息、路由发布者地址(From)或路由类型(Route type)中至少一个;当新增路由条目对应的协议为OSPF协议时,路由表项信息可以包括目的地址、下一跳地址、出接口、路由发布者地址(AdverRouter)或路由类型中至少一个。
当新增路由条目对应的协议为BGP协议时,新增路由条目的特定关键字段可以包括目的地址、下一跳地址、出接口、路径属性、团体属性、服务质量信息、路由发布者地址或路由类型中至少一个;当新增路由条目对应的协议为OSPF协议时,新增路由条目的特定关键字段可以包括目的地址、下一跳地址、出接口、路由发布者地址或路由类型中至少一个。
本发明实施例中,若IP路由表中新增路由条目对应的协议为BGP协议时,将BGP协议正则表达式与新增路由条目中预先设置的路由表项信息的关键字进行匹配,生成新增路由条目的特定关键字段,例如,特定关键字段可以包括目的地址(Network=10.1.1.0/24)、出接口(Interface=Eth-Trunk3)和属性值(Community=100:1 1000:1)。
步骤206、判断指定路由条目的特定关键字段是否归属于设置的路由匹配规则的关键字段,若是,则执行步骤207;若否,则执行步骤210。
若新增路由条目的特定关键字段归属于设置的路由匹配规则的关键字段,需要根据关键字段得到新增路由条目对应的ACL,执行步骤207;若新增路由条目的特定关键字段未归属于设置的路由匹配规则的关键字段,说明无法查询出与新增路由条目对应的ACL,并且无法根据新增路由条目的信息,生成ACL配置命令,执行步骤210。
本发明实施例中,当新增路由条目的特定关键字段包括目的地址(Network=10.0.2.0/24)、路由发布者IP地址(From=192.168.12.1)和属性值(Community=145:1)时,此时新增路由条目的特定关键字段归属于表1中第二条路由匹配规则,根据表1中的路由匹配规则可以得到新增路由条目对应的ACL,则继续执行步骤207;当新增路由条目的特定关键字段包括目的地址(Network=10.1.1.0/24)和属性值(Community=145:1)时,此时新增路由条目的特定关键字段未归属于表1中的路由匹配规则,无法查询出与新增路由条目对应的ACL,则继续执行步骤210。
步骤207、查询出指定路由条目对应的ACL列表。
如下所示,表1示出了路由条目与ACL列表进行匹配的规则。
表1
协议类型 路由匹配规则 ACL列表
ALL Network=10.0.1.0/24&NextHop=10.15.0.45 ACL3001
BGP Network=10.0.2.0/24&From=192.168.12.1&Community=145:1 ACL3002
BGP Network=10.1.1.0/24&Community=100:1 1000:1&Interface=Eth-Trunk3 ACL3005
…… …… ……
由上表1所示,表1中包括协议类型、路由匹配规则和ACL列表。其中,路由匹配规则可以通过API接口来实现用户自定义配置,路由匹配规则可以包括目的地址(Network)、下一跳地址(NextHop)、团体属性(Community)、路由发布者地址(From)或者接口(Interface)中至少一个,路由协议的路由表项信息可以通过用户自定义搭配,例如表1所示:第一个BGP协议的路由匹配规则中包括下一跳地址、路由发布者地址和团体属性;第二个BGP协议的路由匹配规则中包括下一跳地址、团体属性和接口。
本发明实施例中,当指定路由条目的特定关键字段归属于设置的路由匹配规则的关键字段时,查询出指定路由条目对应的ACL列表。
步骤208、根据ACL列表生成指定路由条目对应的ACL配置命令。
ACL配置命令包括ACL配置新增命令或者ACL配置删除命令。当指定路由条目为新增路由条目时,ACL配置命令为指定路由条目的ACL配置新增命令。
步骤209、生成所述指定路由条目的ACL规则语句,将所述ACL规则语句添加到ACL中,以完成ACL的配置。
若指定路由条目为新增路由条目,ACL配置命令为指定路由条目的ACL配置新增命令时,路由器或交换机在接收到ACL配置命令后,通过ACL配置命令完成新增路由条目的ACL配置命令的下发操作,将生成的新增路由条目的ACL规则语句添加到ACL中,以完成ACL的配置。
如上表1所示:IP路由表中新增路由条目对应的协议为BGP协议时,首先判断出该新增路由是BGP协议,通过BGP协议的正则表达式生成新增BGP路由条目的特定关键字段,特定关键字段可以包括目的地址(Network=10.1.1.0/24)、下一跳地址(NextHop=10.3.3.5)、出接口(Interface=Eth-Trunk3)、属性值(Community=100:1 1000:1)或者路由发布者IP地址(From=10.3.3.2)中至少一个,然后将新增BGP路由条目的特定关键字段与表1中的路由匹配规则进行匹配,在ACL列表中查询出新增BGP路由条目对应的ACL为ACL3005。新增BGP路由条目与路由器(Router)上配置的ACL 3005相匹配,且该新增BGP路由条目匹配的ACL 3005对应的动态配置规则是转发操作,查询路由器现有ACL 3005配置,在匹配的ACL中顺序选择合适并且未用的规则编号,然后按照“rule rule_number permit ipdestination dest_addr mask”的格式生成ACL规则语句。路由器或交换机接收到ACL配置新增命令后,完成ACL配置新增命令的下发操作,将生成的新增路由条目的ACL规则语句添加到ACL中,以完成ACL的配置。
本发明实施例提供的一种在ACL中添加ACL规则语句的方法,当监听到路由表中的路由条目为新增路由条目时,从路由表中提取出新增路由条目的信息,根据新增路由条目的信息,生成ACL配置命令,最后根据ACL配置命令在ACL中生成新增路由条目的ACL规则语句,以完成ACL的配置,从而简化了配置ACL的操作步骤,提高了配置ACL的效率以及降低了配置ACL的失误率。
步骤210、对指定路由条目不做任何处理。
指定路由条目为新增路由条目,指定路由条目的特定关键字段未归属于设置的路由匹配规则的关键字段,说明无法根据指定路由条目的信息,生成ACL配置命令,因此对指定路由条目不做任何处理。
步骤211、根据指定路由条目的协议类型,查询出与指定路由条目的协议类型对应的正则表达式。
不同的撤销路由条目对应的协议不同,撤销路由条目对应的协议可以包括ISIS、OSPF或者BGP。
不同的协议对应不同的正则表达式,如图3所示,例如,正则表达式可以包括ISIS协议正则表达式、OSPE协议正则表达式、BGP协议正则表达式或者路由协议n正则表达式,其中,正则表达式是根据路由协议的路由表项信息定义的,不同路由协议来源的路由表项信息不同,因此不同的协议对应不同的正则表达式。
步骤212、根据指定路由条目的路由表项信息,将所述正则表达式与预先设置的关键字进行匹配,生成指定路由条目的特定关键字段。
当撤销路由条目对应的协议为BGP协议时,路由表项信息可以包括目的地址、下一跳地址、出接口、路径属性、团体属性、QoS信息、路由发布者地址或者路由类型中至少一个;当撤销路由条目对应的协议为OSPF协议时,路由表项信息可以包括目的地址、下一跳地址、出接口、路由发布者地址或者路由类型中至少一个。
当撤销路由条目对应的协议为BGP协议时,撤销路由条目的特定关键字段可以包括目的地址、下一跳地址、出接口、路径属性、团体属性、QoS信息、路由发布者地址或者路由类型中至少一个;当撤销路由条目对应的协议为OSPF协议时,撤销路由条目的特定关键字段可以包括目的地址、下一跳地址、出接口、路由发布者地址或者路由类型中至少一个。
本发明实施例中,若IP路由表中撤销路由条目对应的协议为BGP协议时,将BGP协议正则表达式与撤销路由条目中预先设置的路由表项信息的关键字进行匹配,生成撤销路由条目的特定关键字段,例如,特定关键字段可以包括目的地址(Network=10.1.1.0/24)、出接口(Interface=Eth-Trunk3)和属性值(Community=100:1 1000:1)。
步骤213、判断指定路由条目的特定关键字段是否归属于设置的路由匹配规则的关键字段,若是,则执行步骤214;若否,则执行步骤210。
若撤销路由条目的特定关键字段归属于设置的路由匹配规则的关键字段,需要根据关键字段得到撤销路由条目对应的ACL,执行步骤214;若撤销路由条目的特定关键字段未归属于设置的路由匹配规则的关键字段,说明路由器或交换机上无法查询出与撤销路由条目对应的ACL,执行步骤210。
本发明实施例中,当撤销路由条目的特定关键字段包括目的地址(Network=10.0.2.0/24)、路由发布者IP地址(From=192.168.12.1)和属性值(Community=145:1)时,此时撤销路由条目的特定关键字段归属于表1中第二条路由匹配规则,根据表1中的路由匹配规则可以得到撤销路由条目对应的ACL,则继续执行步骤214;当撤销路由条目的特定关键字段包括目的地址(Network=10.1.1.0/24)和属性值(Community=145:1)时,此时撤销路由条目的特定关键字段未归属于表1中的路由匹配规则,无法查询出与撤销路由条目对应的ACL,则继续执行步骤210。
步骤214、查询出指定路由条目对应的ACL列表。
如上表1所示,当指定路由条目的特定关键字段归属于设置的路由匹配规则的关键字段时,查询出指定路由条目对应的ACL列表。
步骤215、根据ACL列表生成指定路由条目对应的ACL配置命令。
ACL配置命令包括ACL配置新增命令或者ACL配置删除命令。当指定路由条目为撤销路由条目时,ACL配置命令为指定路由条目的ACL配置删除命令。
如上表1所示:IP路由表中指定路由条目为撤销路由条目时,生成撤销路由条目对应的ACL配置命令有两种可能的方式:一种方式是针对撤销路由条目的不同协议类型,使用不同的正则表达式将撤销路由的特定关键字段匹配出来的方式,当特定关键字段的属性值与表1中的路由匹配规则相匹配时,在ACL列表中查询出撤销路由条目对应的ACL,并确定对应的ACL中关于该条撤销路由条目的规则语句,然后生成撤销路由条目对应的ACL配置命令,即生成撤销路由条目对应的规则语句的删除命令。若撤销路由条目的正则表达式匹配结果未归属于任何一项路由匹配规则时,则不对该撤销路由条目进行处理;另一种方式是查询路由器全部ACL列表中涉及该条撤销路由条目的规则语句,然后再生成撤销路由条目对应的ACL配置命令的方式,该方式将根据全部ACL列表中所有涉及撤销路由条目的规则语句,一一生成对应的ACL配置命令,即一一生成撤销路由条目对应的规则语句的删除命令。
步骤216、生成指定路由条目的ACL规则语句删除命令,并根据所述ACL规则语句删除命令将ACL中对应的ACL规则语句删除,以完成ACL的配置。
若指定路由条目为撤销路由条目,ACL配置命令为指定路由条目的ACL配置删除命令时,路由器在接收到ACL配置命令后,通过ACL配置命令完成撤销路由条目的ACL配置命令的下发操作,将ACL中对应的ACL规则语句删除,以完成ACL的配置。
本发明实施例提供的一种在ACL中删除ACL规则语句的方法,当监听到路由表中的路由条目为撤销路由条目时,从路由表中提取出撤销路由条目的信息,根据撤销路由条目的信息,生成ACL配置命令,最后根据ACL配置命令在ACL中删除撤销路由条目的ACL规则语句,以完成ACL的配置。当路由器或交换机上某些IP地址不再使用时,从而可以及时删除ACL列表中涉及的规则语句,清理路由器或交换机上积累的垃圾配置,提高了路由器或交换机的运行性能,从而简化了配置ACL的操作步骤,提高了配置ACL的效率以及降低了配置ACL的失误率。
本发明实施例提供的基于路由表配置ACL的方法的技术方案中,监听所述路由表中的路由条目是否发生变化,若监听到所述路由表中的中的路由条目发生变化时,从所述路由表中提取出指定路由条目的信息,其中,所述指定路由条目为所述路由表中发生变化的路由条目;根据所述指定路由条目的信息,生成ACL配置命令,根据所述ACL配置命令,配置ACL。本发明实施例中根据指定路由条目的信息,在ACL中添加或删除ACL规则语句,完成对指定路由条目的ACL配置,可以及时清理路由器或交换机上积累的垃圾配置,实现了路由器或交换机上ACL列表可以随网络/业务变化实现自动、动态的调整的功能,保证网络设备存量配置更加清晰有效,提高了路由器或交换机的运行性能,从而简化了配置ACL的操作步骤,提高了配置ACL的效率以及降低了配置ACL的失误率。
图4为本发明实施例提供的一种基于路由表配置ACL装置的结构示意图,如图4所示,该装置包括:监听模块11、提取模块12、生成模块13和配置模块14。
提取模块12与生成模块13连接,生成模块13与配置模块14连接。
监听模块11用于监听所述路由表中的路由条目是否发生变化,所述路由表包括至少一个路由条目;提取模块12用于若所述监听模块监听到所述路由表中的路由条目发生变化时,从所述路由表中提取出指定路由条目的信息,其中,所述指定路由条目为所述路由表中发生变化的路由条目;生成模块13用于根据所述指定路由条目的信息,生成ACL配置命令;配置模块14用于根据所述ACL配置命令,配置ACL。
本发明实施例中,监听模块用于若监听到所述路由表中的路由条目未发生变化时,继续执行所述监听所述路由表中的路由条目是否发生变化的步骤。
本发明实施例中,监听模块具体用于通过设置的监听时间间隔,监听所述路由表中的路由条目是否发生变化;或者,响应于检测到的路由表刷新事件,监听所述路由表中的路由条目是否发生变化。
本发明实施例中,还包括:检测模块15。
检测模块15与监听模块11、提取模块12连接。
检测模块15用于检测在设置的当前观察窗口期内所述路由表中的路由条目未发生变化,若检测出在设置的当前观察窗口期内所述路由表中的路由条目未发生变化时,触发所述提取模块继续执行所述从所述路由表中提取出指定路由条目的信息的步骤;或者,检测模块15用于若检测出在设置的当前观察窗口期内所述路由表中的路由条目发生变化时,检测在设置的下一个观察窗口期内所述路由表中的路由条目是否发生变化;或者,检测模块15用于若检测出在设置的下一个观察窗口期内所述路由表中的路由条目未发生变化时,触发所述提取模块继续执行所述从所述路由表中提取出指定路由条目的信息的步骤。
本发明实施例中,生成模块13包括:第一查询子模块131、第一生成子模块132、第二查询子模块133和第二生成子模块134。
第一查询子模块131与第一生成子模块132连接,第一生成子模块132与第二查询子模块133连接,第二查询子模块133与第二生成子模块134连接。
第一查询子模块131用于若判断出所述指定路由条目为新增路由条目,根据所述指定路由条目的协议类型,查询出与所述指定路由条目的协议类型对应的正则表达式;第一生成子模块132用于根据所述指定路由条目的路由表项信息,将所述正则表达式与预先设置的关键字进行匹配,生成所述指定路由条目的特定关键字段;第二查询子模块133用于若判断出所述指定路由条目的特定关键字段归属于设置的路由匹配规则的关键字段,查询出所述指定路由条目对应的ACL列表;第二生成子模块134用于根据所述ACL列表生成指定路由条目对应的ACL配置命令。
本发明实施例中,第一查询子模块131用于若判断出所述指定路由条目为撤销路由条目,根据所述指定路由条目的协议类型,查询出与所述指定路由条目的协议类型对应的正则表达式;第一生成子模块132用于根据所述指定路由条目的路由表项信息,将所述正则表达式与预先设置的关键字进行匹配,生成所述指定路由条目的特定关键字段;第二查询子模块133用于若判断出所述指定路由条目的特定关键字段归属于设置的路由匹配规则的关键字段,查询出所述指定路由条目对应的ACL列表;第二生成子模块134用于根据所述ACL列表生成指定路由条目对应的ACL配置命令。
本发明实施例中,配置模块14包括:第一配置子模块141和第二配置子模块142。
第一配置子模块141与第二配置子模块142连接。
第一配置子模块141用于若所述指定路由条目为新增路由条目,所述ACL配置命令为所述指定路由条目的ACL配置新增命令,则生成所述指定路由条目的ACL规则语句,将所述ACL规则语句添加到ACL中,以完成ACL的配置;第二配置子模块142用于若所述指定路由条目为撤销路由条目,所述ACL配置命令为所述指定路由条目的ACL配置删除命令,则生成所述指定路由条目的ACL规则语句删除命令,并根据所述ACL规则语句删除命令将ACL中对应的ACL规则语句删除,以完成ACL的配置。
本发明实施例提供的一种基于路由表配置ACL的方法的技术方案中,监听所述路由表中的路由条目是否发生变化,若监听到所述路由表中的中的路由条目发生变化时,从所述路由表中提取出指定路由条目的信息,其中,所述指定路由条目为所述路由表中发生变化的路由条目;根据所述指定路由条目的信息,生成ACL配置命令,根据所述ACL配置命令,配置ACL。本发明实施例中根据指定路由条目的信息,在ACL中添加或删除ACL规则语句,完成对指定路由条目的ACL配置,可以及时清理路由器或交换机上积累的垃圾配置,实现了路由器或交换机上ACL列表可以随网络/业务变化实现自动、动态的调整的功能,保证网络设备存量配置更加清晰有效,提高了路由器或交换机的运行性能,从而简化了配置ACL的操作步骤,提高了配置ACL的效率以及降低了配置ACL的失误率。
本发明实施例提供了一种计算机可读存储介质,计算机可读存储介质包括存储的程序,其中,在程序运行时控制计算机可读存储介质所在网络设备执行上述基于路由表配置ACL的方法的实施例。
本发明实施例提供了一种网络设备,包括:一个或多个处理器;存储器;以及一个或多个计算机程序,其中一个或多个计算机程序被存储在存储器中,一个或多个计算机程序包括指令,当指令被网络设备执行时,使得网络设备执行上述基于路由表配置ACL的方法的实施例。
图5为本发明实施例提供的一种网络设备的示意图。如图5所示,该实施例的网络设备2包括:处理器21、存储器22以及存储在存储22中并可在处理器21上运行的计算机程序23,该计算机程序23被处理器21执行时实现实施例中的基于路由表配置ACL的方法,为避免重复,此处不一一赘述。
网络设备2包括,但不仅限于,处理器21、存储器22。本领域技术人员可以理解,图5仅仅是网络设备2的示例,并不构成对网络设备2的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
所称处理器21可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器22可以是网络设备2的内部存储单元,例如网络设备2的硬盘或内存。存储器22也可以是网络设备2的外部存储设备,例如网络设备2上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器22还可以既包括网络设备2的内部存储单元也包括外部存储设备。存储器22用于存储计算机程序以及网络设备所需的其他程序和数据。存储器22还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种基于路由表配置访问控制列表ACL的方法,其特征在于,所述方法包括:
监听所述路由表中的路由条目是否发生变化,所述路由表包括至少一个路由条目;
若监听到所述路由表中的路由条目发生变化时,从所述路由表中提取出指定路由条目的信息,其中,所述指定路由条目为所述路由表中发生变化的路由条目;
根据所述指定路由条目的信息,生成ACL配置命令;
根据所述ACL配置命令,配置ACL。
2.根据权利要求1所述的方法,其特征在于,还包括:
若监听到所述路由表中的路由条目未发生变化时,继续执行所述监听所述路由表中的路由条目是否发生变化的步骤。
3.根据权利要求1所述的方法,其特征在于,所述监听所述路由表中的路由条目是否发生变化,包括:
通过设置的监听时间间隔,监听所述路由表中的路由条目是否发生变化;或者,
响应于检测到的路由表刷新事件,监听所述路由表中的路由条目是否发生变化。
4.根据权利要求1所述的方法,其特征在于,还包括:
若检测出在设置的当前观察窗口期内所述路由表中的路由条目未发生变化时,继续执行所述从所述路由表中提取出指定路由条目的信息的步骤;或者,
若检测出在设置的当前观察窗口期内所述路由表中的路由条目发生变化时,检测在设置的下一个观察窗口期内所述路由表中的路由条目是否发生变化;或者,
若检测出在设置的下一个观察窗口期内所述路由表中的路由条目未发生变化时,继续执行所述从所述路由表中提取出指定路由条目的信息的步骤。
5.根据权利要求1所述的方法,其特征在于,所述指定路由条目的信息包括指定路由条目的状态、协议类型和路由表项信息;所述根据所述指定路由条目的信息,生成ACL配置命令,包括:
若判断出所述指定路由条目为新增路由条目,根据所述指定路由条目的协议类型,查询出与所述指定路由条目的协议类型对应的正则表达式;
根据所述指定路由条目的路由表项信息,将所述正则表达式与预先设置的关键字进行匹配,生成所述指定路由条目的特定关键字段;
若判断出所述指定路由条目的特定关键字段归属于设置的路由匹配规则的关键字段,查询出所述指定路由条目对应的ACL列表;
根据所述ACL列表生成指定路由条目对应的ACL配置命令。
6.根据权利要求1所述的方法,其特征在于,所述指定路由条目的信息包括指定路由条目的状态、协议类型和路由表项信息;所述根据所述指定路由条目的信息,生成ACL配置命令,包括:
若判断出所述指定路由条目为撤销路由条目,根据所述指定路由条目的协议类型,查询出与所述指定路由条目的协议类型对应的正则表达式;
根据所述指定路由条目的路由表项信息,将所述正则表达式与预先设置的关键字进行匹配,生成所述指定路由条目的特定关键字段;
若判断出所述指定路由条目的特定关键字段归属于设置的路由匹配规则的关键字段,查询出所述指定路由条目对应的ACL列表;
根据所述ACL列表生成指定路由条目对应的ACL配置命令。
7.根据权利要求1所述的方法,其特征在于,所述根据所述ACL配置命令,配置ACL,包括:
若所述指定路由条目为新增路由条目,所述ACL配置命令为所述指定路由条目的ACL配置新增命令,则生成所述指定路由条目的ACL规则语句,将所述ACL规则语句添加到ACL中,以完成ACL的配置;或者,
若所述指定路由条目为撤销路由条目,所述ACL配置命令为所述指定路由条目的ACL配置删除命令,则生成所述指定路由条目的ACL规则语句删除命令,并根据所述ACL规则语句删除命令将ACL中对应的ACL规则语句删除,以完成ACL的配置。
8.一种基于路由表配置ACL装置,其特征在于,包括:
监听模块,用于监听所述路由表中的路由条目是否发生变化,所述路由表包括至少一个路由条目;
提取模块,用于若所述监听模块监听到所述路由表中的路由条目发生变化时,从所述路由表中提取出指定路由条目的信息,其中,所述指定路由条目为所述路由表中发生变化的路由条目;
生成模块,用于根据所述指定路由条目的信息,生成ACL配置命令;
配置模块,用于根据所述ACL配置命令,配置ACL。
9.一种网络设备,其特征在于,包括:一个或多个处理器;存储器;以及一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述设备执行时,使得所述设备执行权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任一项所述的方法。
CN202111331661.9A 2021-11-11 2021-11-11 基于路由表配置acl的方法、装置和网络设备 Pending CN116112191A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111331661.9A CN116112191A (zh) 2021-11-11 2021-11-11 基于路由表配置acl的方法、装置和网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111331661.9A CN116112191A (zh) 2021-11-11 2021-11-11 基于路由表配置acl的方法、装置和网络设备

Publications (1)

Publication Number Publication Date
CN116112191A true CN116112191A (zh) 2023-05-12

Family

ID=86254869

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111331661.9A Pending CN116112191A (zh) 2021-11-11 2021-11-11 基于路由表配置acl的方法、装置和网络设备

Country Status (1)

Country Link
CN (1) CN116112191A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117278341A (zh) * 2023-11-23 2023-12-22 成都卓拙科技有限公司 Acl规则更新方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857422A (zh) * 2012-09-13 2013-01-02 烽火通信科技股份有限公司 基于ospf路由协议实现olt语音双上联保护的系统及方法
CN107347035A (zh) * 2016-05-06 2017-11-14 华为技术有限公司 路由查找方法、装置、分配节点、查找节点及入口节点
WO2020258969A1 (zh) * 2019-06-28 2020-12-30 华为技术有限公司 建立一种实现表项备份的方法和装置
CN113472782A (zh) * 2021-06-30 2021-10-01 中国工商银行股份有限公司 自动变更访问控制配置方法、装置、设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857422A (zh) * 2012-09-13 2013-01-02 烽火通信科技股份有限公司 基于ospf路由协议实现olt语音双上联保护的系统及方法
CN107347035A (zh) * 2016-05-06 2017-11-14 华为技术有限公司 路由查找方法、装置、分配节点、查找节点及入口节点
WO2020258969A1 (zh) * 2019-06-28 2020-12-30 华为技术有限公司 建立一种实现表项备份的方法和装置
CN113472782A (zh) * 2021-06-30 2021-10-01 中国工商银行股份有限公司 自动变更访问控制配置方法、装置、设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117278341A (zh) * 2023-11-23 2023-12-22 成都卓拙科技有限公司 Acl规则更新方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
EP1779605B1 (en) Forwarding database in a network switch device
JP4112492B2 (ja) Ipネットワーク・トポロジ発見のためのリンク状態情報の使用
US9118587B2 (en) Network multi-path discovery
US10075371B2 (en) Communication system, control apparatus, packet handling operation setting method, and program
US7609672B2 (en) Method and apparatus for automatic sub-division of areas that flood routing information
KR100793530B1 (ko) 분산형 프로세싱 네트워크 관련 토폴로지 결정 방법 및시스템
US20020021675A1 (en) System and method for packet network configuration debugging and database
EP3675419A1 (en) Method and apparatus for detecting network fault
CN104518967A (zh) 路由方法、设备和系统
CN109639579B (zh) 组播报文的处理方法及装置、存储介质、处理器
WO2012090993A1 (ja) 情報システム、制御装置、通信方法およびプログラム
US8615015B1 (en) Apparatus, systems and methods for aggregate routes within a communications network
CN111131021B (zh) 双向转发检测bfd报文的转发方法和网络设备
EP3200405B1 (en) Layer-3-forwarding device route table capacity expansion method and forwarding device
JPWO2006118203A1 (ja) ネットワークマップ生成方法
EP3813306A1 (en) Message processing method, and gateway device
EP2802105B1 (en) Method, device, and system for convergence of dual-uplink tangent ring
CN116112191A (zh) 基于路由表配置acl的方法、装置和网络设备
WO2018040940A1 (zh) 一种二层网络及二层网络的环回检测方法
CN109039908B (zh) 一种递归路由的切换方法、路由器、交换机及电子设备
CN105634944A (zh) 路由环路确定方法及设备
JP2010161524A (ja) 経路制御プロトコルに基づく障害リンク検出方法、ノード装置及びプログラム
Cisco access-list (DECnet extended) to decnet node-type
US7487256B2 (en) Dynamic management method for forwarding information in router having distributed architecture
Zhang et al. A stability-oriented approach to improving bgp convergence

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination