CN1773992B

CN1773992B - 通信业务控制规则产生的方法和系统

Info

Publication number: CN1773992B
Application number: CN2005101151230A
Authority: CN
Inventors: D·沃特金森; G·钟坎钟; S·W·布奇科
Original assignee: Alcatel NV
Current assignee: Alcatel Lucent NV
Priority date: 2004-11-12
Filing date: 2005-11-10
Publication date: 2011-08-24
Anticipated expiration: 2025-11-10
Also published as: EP1657864A2; US20060106919A1; EP1657864A3; EP1657864B1; CN1773992A

Abstract

提供了用于通信业务控制规则产生的方法和系统。访问用于通信设备的配置信息、为该通信设备所存储的默认信息或二者。根据所访问的信息来确定影响通信设备处理通信业务的一个或多个参数，并且该一个或多个参数被用来产生要在所述通信设备被应用于通信业务的通信业务控制规则。在所述通信设备的接口将所产生的通信业务控制规则应用于由该通信设备终止的通信业务。

Description

通信业务控制规则产生的方法和系统

技术领域

本发明通常涉及通信设备，并且特别涉及针对通信设备产生通信业务控制规则。

背景技术

接入控制列表(ACL，Access Control List)广泛地用于通信设备中，用来过滤因特网协议(IP)业务。ACL包括规则列表，该规则列表基于分组报头中的字段而应用于分组，所述字段例如源地址、目的地址、协议ID、端口ID等。ACL典型地应用于线路卡的数据路径中，所述线路卡提供了通信设备和通信媒介之间的接口，并且可以针对相对简单的规则而被实现在硬件中，或针对较为复杂的规则而被实现在软件中。也可以为在通信设备上终止的业务而在控制卡应用ACL。

对于例如通信网络中的路由器的通信设备，还可以建立各种配置设置。例如可以使用配置设置来启动或禁止特定类型的通信业务的处理。尽管配置设置可能由此被用来控制通信业务，但是相比ACL而言配置设置通常应用在更高的体系结构级。因此，可以允许对应于在配置设置中没有被启动的特定协议的通信业务进入通信设备，并且仅在进一步处理之后丢弃该通信业务。因此通常除配置设置以外还提供ACL，以在通信业务由更高级别的通信设备部件处理之前来有效地阻塞该通信业务。

根据传统的技术，例如利用命令行接口(CLI)来人工建立或提供配置设置和ACL，。如本领域技术人员将认识到的，人工数据条目是耗时的、易于出现错误的并且通常导致配置设置和ACL之间的不一致。例如，通信设备的运营商可能忘记为某些配置设置建立ACL，或产生不正确的条目来针对协议而阻塞通信业务，所述协议已经针对相同的通信设备而在配置设置中被启动。

一个提供预定类型ACL的已知ACL解决方案将ACL提供简化到了一定的程度。然而，预定ACL是非常基本的，并且基于源地址仅规定了通信业务的完全阻塞或允许。不支持例如速率限制的更复杂的ACL功能。预定ACL也缺乏在端口上仅允许某些协议的粒度。

另一个已知ACL产品提供模板来协助ACL的创建，并且支持ACL管理功能。尽管所述模板可能有助于用户创建ACL，但是需要用户输入来创建ACL。类似地，ACL管理功能在部署ACL时可以提供一定的时间节省，但是不能实际产生ACL。

发明内容

由于前述内容，可以期望用于自动产生定制的(custom)ACL的方法和系统。该定制的ACL可以例如专用于通信设备的特定部分的配置，并且自动地产生自现有配置信息。

根据本发明的一个概括性方面，提供了一种针对通信设备产生通信业务控制规则的机器实现的方法，所述方法包括访问通信设备的配置信息、根据所述配置信息来确定影响所述通信设备处理通信业务的参数、基于所述参数来建立要在通信设备被应用于通信业务的通信业务控制规则，以及在通信设备的接口将所述通信业务控制规则应用于由所述通信设备终止的通信业务。

所述确定操作可以包括分析配置文件。在一些实施例中，确定了影响所述通信设备处理通信业务的多个参数。建立因而可以包括建立多个通信业务控制规则，其中每个通信业务控制规则基于所确定的参数中的至少一个。

额外的通信业务控制参数可以根据为所述通信设备所存储的默认信息来被确定，并且可以用来建立所述通信业务控制规则。当检测到所述配置信息中的改变时，可以更新或替换所产生的通信业务控制规则。

也提供了一种用于针对通信设备产生通信业务控制规则的系统，所述系统包括参数确定模块和规则建立器，其中之一或二者都可在处理器中被实现。所述参数确定模块被配置用来访问通信设备的配置信息，并根据所述配置信息来确定影响所述通信设备处理通信业务的参数，并且所述规则建立器被配置用来基于所述参数来建立要在通信设备被应用于通信业务的通信业务控制规则。

所述参数确定模块、规则建立器或系统与其结合进行操作的其它部件也可以执行其它功能。

根据本发明的另一个方面，一种针对通信设备产生通信业务控制规则的机器实现的方法，包括访问为通信设备所存储的默认信息、根据所存储的默认信息来确定默认通信业务控制参数，以及基于所述默认参数来建立要在所述通信设备被应用于通信业务的通信业务控制规则。

还提供了一种用于针对通信设备产生通信业务控制规则的相关系统。参数确定模块被配置用来访问为通信设备所存储的默认信息，并且根据所存储的默认信息来确定默认通信业务控制参数，以及规则建立器被配置用来基于所述默认参数来建立要在所述通信设备被应用于通信业务的通信业务控制规则。

在读过下面对本发明的指定说明性实施例的描述之后，本发明实施例的其它方面和特征对于本领域的技术人员而言将变得明显。

附图说明

将参考附图详细描述本发明的示例性实施例，其中：

图1是说明根据本发明的实施例的方法的流程图；

图2是根据本发明的实施例的系统的框图；

图3是可以实现本发明的实施例的通信设备的框图；

图4是通信系统的框图，该通信系统包括可以实现本发明的实施例的通信设备。

具体实施方式

图1是说明根据本发明的实施例的方法的流程图，所述方法用于根据与通信设备相关联的配置信息来自动创建通信业务控制规则，该规则说明性地为ACL。在优选实施例中，所述方法是机器实现的，以便自动产生ACL而不需要用户的人工输入。

所述方法开始于10，其中进行访问所述通信设备的配置信息的操作。在12，根据所述配置信息来确定影响所述通信设备处理通信业务的一个或多个参数。在14，基于在12所确定的参数来建立一个或多个通信业务控制规则。

如同对于本领域的技术人员而言将是显而易见的那样，在14建立的任何通信业务控制规则建立了在通信设备控制通信业务的条件。例如，ACL控制通信业务进入通信设备。在16，将在14建立的所述规则优选地自动应用于接口和在通信设备终止的控制业务。

在10上的访问配置信息的操作，可能包括访问存储在所述通信设备的本地存储器中的信息、存储在远端位置的信息或二者。尽管设想了远端配置信息存储，然而用于通信设备的配置信息被典型地存储在通信设备的本地存储设备中，例如在配置文件中。

在配置文件的情况下，在12上的所述确定操作可能包括分析配置文件，以检测例如在通信设备上被启动的协议和功能。可以在用于例如路由器的通信设备的配置文件中被启动或可选地被禁止的某些通用协议，包括边界网关协议(BGP)、开放最短路径优先(OSPF，Open Shortest PathFirst)和IP组管理协议(IGMP，IP Group Management Protocol)。

以上示例性协议的列表决不旨在详尽地列举，并且可以在通信设备被启动或禁止的其它协议和功能对于本领域的技术人员而言是显而易见的。此外，还可以在配置信息中指定除协议和功能以外的其它类型的参数，例如通信业务源的地址，针对该地址来阻塞或允许通信业务。

如上所述，在12的所述确定操作可能包括配置文件或信息分析，以检测在配置信息中所指定的参数。例如，可以通过分析配置文件来检测所启动的协议。然而，应当认识到，在为通信业务控制确定参数期间，可以在12进一步处理配置信息。尽管其它类型的处理可能也是明显的，然而地址解决方案代表了这种进一步处理的一个例子。

协议、功能和地址，或更明确地是否启动或禁止协议和功能，以及是否在通信设备阻塞或允许来自所述地址的通信业务，是影响通信设备处理通信业务的参数的例子。如果例如没有为通信设备启动BGP，则所述设备将不能正确地处理BGP通信业务。在所述情况下，希望可以应用ACL来阻止BGP业务进入所述通信设备用于处理。

在某些实施例中，在12，根据所存储的默认信息而不是配置信息来确定通信业务控制参数。如上所述，参考所述配置信息，所述默认信息可以在通信设备被本地存储或在远端位置被存储。在14的所述操作因而可以包括基于根据配置信息所确定的参数、根据默认信息所确定的默认参数或两种类型参数的组合，来建立通信业务控制规则。因此，在某些实施例中，在10的所述访问操作还可以、或替代地包括访问用于所述通信设备的被存储的默认通信业务控制信息。

设想许多不同类型的默认信息。例如，所述通信设备的所有者或运营商，或所述通信设备所支持的服务的提供商，可能希望具有被应用于通信设备的通信业务流的某些参数。在某些情况下，所述参数可能是这样的类型：适于利用ACL来被包含或实现而不能在配置信息中被指定。以服务提供商简表(profile)形式的默认信息可以被存储在通信设备的本地或远端存储设备中，所述简表例如包括可以根据其确定所述参数的信息或默认参数。至于配置信息，根据默认信息的参数确定可能包括分析所述默认信息和/或可能地进一步处理该默认信息，以确定该默认参数。然后基于所述默认参数来建立通信业务控制规则。

速率限制是可以在ACL中被实现但不能在配置信息中被指定的参数的一个例子。其它例子包括通常使用的协议，例如通常被默认启动的IGMP、旨在控制与特定服务相关联的通信业务的服务指定的参数或信息，以由此为多个服务的提供商的通信业务控制或为通信设备提供增加的粒度，所述通信设备支持多个服务、设备指定的参数和与通信业务控制规则模板相关联的参数。

服务指定的或提供商指定的参数可能包括用于通信业务控制规则的速率限制，该通信业务控制规则在通信设备中某些位置被应用，例如在控制接口。设备指定的默认信息或参数可能涉及在不同类型的通信设备之间变化的特性或能力。例如路由器的某种模型可能仅在物理接口使用ACL。通信业务控制规则模板可以被用于在14的建立功能，以根据所确定的配置或默认参数而不是随机(scratch)产生每个通信业务控制规则来进行定制(customization)。

然而，应当认识到，本发明的实施例决不依赖于或受限于所述或任何其它特定参数。

在14所建立的通信控制规则可能是ACL，所述ACL例如包括指令，该指令用来针对为通信设备所启动的协议和功能，来允许访问并且可选地速率限制该访问。针对基于地址的通信业务控制规则，在12所确定的源地址或可能的地址范围被用于所述允许和速率限制指令中。以所述方式产生的AC可能替代地包括拒绝访问的指令。因此，更一般地，通信业务控制规则可能是阻塞通信业务的阻塞规则、许可或允许通信业务的允许规则和以直到预定速率来许可或允许通信业务的速率限制规则。在速率限制规则的情况下，一旦达到或超过预定的速率，就优选地暂时阻塞通信业务。

本发明决不限于图1中所示的特定操作。可以以比图1中所明确示出的更少或更多的操作来实现本发明的实施例，可能地以不同的顺序来执行所述操作。

例如，通过检测配置信息中的改变且针对由所检测的改变所影响的配置信息来重复所述确定和建立的操作，通信业务控制规则可以自动保持为最新。通信业务控制规则可以被修改或由新的规则来替代，所述新的规则是基于已经改变的任何配置信息而被建立的。当检测到配置信息中的改变时，可以替代地重复图1中的整个方法。在所述情况下，可以产生整个新的一组通信业务控制规则。

当检测到配置信息中的改变时，可以通过替代或修改，以相同的方式更新基于默认参数而产生的通信业务控制规则。

前面的描述涉及用于基于配置信息、默认信息或二者来产生说明性地为ACL的通信业务控制规则的方法。图2是根据本发明的实施例的系统的框图。

图2的系统包括相互连接并被连接到存储器24的参数确定模块20和规则建立器22。规则建立器22还被连接到发送所产生的规则给一个或多个数据路径处理器23的规则下载器(downloader)21。

可以作为被配置用来提供这里公开的功能的分离的硬件部件，或利用如图2所示的处理器28，来实现参数确定模块20、规则建立器22和规则下载器21。处理器28可以例如是专用微处理器、微控制器、或专用集成电路(ASIC)，其执行存储在存储器24中的软件以执行参数确定和规则建立功能。然而在许多实现中，在存储在存储器24或其它存储器中的额外软件的控制下，处理器28也可以执行其它功能，例如包括操作系统功能和通信功能。

存储器24代表一个或多个存储设备，可能包括固态存储设备、磁盘驱动器，和/或适于利用固定的或可移动的存储媒介进行操作的其它类型的存储设备。配置信息和默认信息，以及可能地用于由处理器28来执行的软件，被存储在存储器24、优选地至少分离的文件或存储位置或区域以及可能地不同存储设备中。如上所述，配置信息和/或默认信息可以在本地或在远端被存储，并且因此存储器24可以与图2中系统的其它部件位于同一位置或不位于同一位置。

通信设备可能包括一个或多个数据路径处理器23，通过该数据路径处理器来应用所产生的业务控制规则。在某些实施例中，如图2所示，处理器28与任何数据路径处理器23分离，尽管也可以预期集成的实现，在该实现中利用相同的处理器来实现各种基于处理器的部件。

在操作中，参数确定模块20访问存储器24中的配置信息、默认信息或二者，并确定用于针对通信设备的特定部分建立通信业务控制规则的一个或多个参数。在配置信息被存储在配置文件中的情况下，参数确定模块20可以包括配置文件分析器(parser)26。尽管图2中没有明确地示出，但是还可以或替代地提供用于分析默认信息的默认信息分析器，或能够分析配置信息和默认信息的通用分析器。

已经由参数确定模块20所确定的参数可以被存储在存储器24中用于规则建立器22的后续访问，或被直接传送到规则建立器22。规则建立器22然后基于所述参数来建立一个或多个通信业务控制规则。

可以以几种方式来处理实际规则的实现。在图2所示的实施例中，规则建立器22将所产生的业务控制规则传送给规则加载器(loader)21。规则加载器21然后提供业务控制规则给数据路径处理器23，通过数据路径处理器23来将所述业务控制规则应用于通信业务。根据另一个实施例，由规则建立器22或图2的系统在其中或结合其进行操作的通信设备的其它部件，来处理业务控制规则实现。例如，规则建立器22可以将任何产生的通信业务控制规则存储在存储器24中用于另一个部件的后续访问。规则建立器22自身可以替代地配置通信设备的部件，例如数据路径处理器23，以应用所产生的通信业务控制规则。也预期组合的技术，其中，规则建立器22处理某些类型的通信业务控制规则的实现，而由其它部件来处理其它类型的通信业务控制规则。

参数确定模块20和规则建立器22可以执行额外的功能，例如说明性地为配置信息改变检测和通信业务控制规则更新，这根据前面图1的描述是显而易见的。

图3是可以实现本发明的实施例的通信设备的框图。通信设备30包括被连接到控制器34、一个或多个通信接口32、存储器38和用户接口39的处理器36。每个通信接口32还被连接到控制器34。

通信设备还可以包括比图3所示的更多、更少或与采用不同互连的不同部件，图3所示的部件仅用于说明性的目的。

到通信媒介的物理接口表示为通信接口32，其例如可以是线路卡。还可以提供到不同类型通信媒介或部件的物理接口，例如线路卡和适配器(adapter)卡。通常由控制器34控制所述接口的基本功能和操作，该控制器说明性地为控制卡。

处理器36和存储器38优选地用于实现上面详细描述的通信控制业务功能。处理器36可以专用于通信控制规则产生，或被配置用来执行其它控制功能或可能地执行通信业务处理功能。

用户接口39代表了一个或多个设备，该设备接收来自通信设备30的用户或运营商的输入并且可能地也向其提供输出。例如，用户接口39可以包括如键盘、鼠标和显示器的设备。说明性地为收发信机的其它类型的接口，也可以或替代地用于例如通过网络管理系统(NMS)来支持用户从远端位置与通信设备30进行交互。可以由用户通过用户接口39来输入根据本发明的实施例可以检测到的配置信息的改变。

尽管图3中的所有部件显示为被实现在通信设备30中，但是应当认识到，可以替代地作为例如结合所述通信设备来被使用的运营商终端或NMS中的外部工具，来提供通信业务控制产生。因此可以在通信设备外部支持通信业务控制规则产生功能，在所述通信设备处应用所产生的通信业务控制规则。

许多不同形式的通信设备对于本领域的技术人员而言是显而易见的。例如，在交换机或路由器中，线路卡可能提供可以由控制器34控制的交换结构(switching fabric)和通信媒介之间的接口。通常通过在线路卡之间交换业务来实现通过所述通信媒介所进行的被接收通信业务的路由，而进入(ingress)和外出(egress)操作包括在适配器卡或其它部件和线路卡之间交换通信业务，所述进入和外出操作用于将通信业务插到通信媒介上或将其移除于通信媒介。由其它类型的通信设备所执行的特定操作对于本领域的技术人员而言是显而易见。

根据本发明的一个方面，处理器36产生要在通信设备30被应用的通信业务控制规则。所产生的通信业务控制规则可以在任何接口32上被应用，以例如控制允许在通信设备30和通信媒介之间传送的通信业务。通信业务控制规则还可以或替代地在到控制器34的接口或通信设备30的其它部件处被应用，从而以类似的方式控制通信业务。

处理器36可以因此被配置用来建立要在不同接口被应用的不同类型的通信业务控制规则。例如，处理器36可以建立任何所谓的每接口(per-interface)ACL，以保护物理接口并控制环回ACL，从而保护控制器34。

还预期其它类型的通信控制规则。通信设备30可以支持将多个接口32分组为安全组，说明性地为虚拟专用网(VPN)。在VPN中的所有物理接口被应用的VPN环回ACL，因而是可以根据本发明的实施例而被产生的一种通信业务控制规则的另一个例子。

图4是通信系统的框图，所述系统包括通信设备，并提供可以实现本发明的实施例的一个可能的操作环境的概观。

图4的通信系统包括连接到通信网络49的网络单元42、44的通信设备40、46。网络单元42、44是网络管理系统(NMS)48可配置及可控制的。显而易见地，通信系统可以包括比图4中所示更多的通信设备、网络单元和NMS。

本领域的技术人员应当对于图4所示的一般类型的各种通信系统的特定结构和操作非常熟悉。通过网络单元42、44来实现通过通信网络49的通信设备40、46之间的通信，所述网络单元可以包括图3所示的和上述的部件。网络单元42、44可以是路由器，例如说明性地为数据分组路由器。

利用NMS 48或另一个本地或远端运营商终端或计算机系统(未示出)，网络单元42、44可以由服务提供商、所有者或运营商来配置。还可以在网络单元42、44本地或在其它系统或设备远程地实现通信业务控制规则产生。例如，如果远端通信业务控制产生工具访问在网络单元42、44被本地存储的配置信息或默认信息，则通信业务控制规则产生还可以包括多个系统之间或多个设备之间的协作。

上面已经详细描述了本发明的各种实施例。为了进一步说明本发明的一个方面，下面提供了配置文件和可以由此产生的ACL的例子。当然，不同的配置信息可能导致不同的ACL，并且本发明不限于下面的或任何其它特定类型或格式的配置信息或ACL。

从下面的配置信息中：

！A：VRF configuration

ip vrf companyA

rd 1:1

route-target both 1:1

router-id 10.0.0.0

！B：Interface 1-1-1-1；0/32 faces the core network

interface 1-1-1-1；0/32

ip address 9.4.3.1/30

ip access-group core-protect-ctl in

！Automatically-generated ACL is attached to ingress side

ip management ！Inband IP management enabled over this I/F

！C：Interface 1-1-1-2；0/32faces Company A′s Customer Edge (CE)node

interface 1-1-1-2；0/32

ip vrf-forwarding companyA！This I/F will support VRF traffic

ip address 10.0.0.5/30

ip access-group companyA-ce-protect-ctl in

！Automatically-generated ACL is attached to ingress side

！D：Router-ID is unique network-wide

ip system router-id 9.3.0.0

！E：OSPF configuration

router ospf

area 3 interface 9.4.3.1

！F：MPLS configuration

mpls siglink siglink-one rsvpte generic

neighbor-router-id 11.0.0.1

adjacency 1-1-1-1；0/32

connect

mpls slsp slsp-pe-to-pe

path-end 9.4.3.2

connect

！G：BGP configuration

router bgp 1

no bgp default ipv4-unicast

neighbor 9.4.3.2 remote-as 1

address-family vpnv4

neighbor 9.4.3.2 activate

exit

bgp send-community extended

address-family ipv4 vrf companyA

redistribute static

exit

neighbor 9.4.3.2 update-source loopback 0

！H：Inband IP configuration allowing inband access to the node for

！certain protocols

inband-ip ftp

可以产生下面的ACL。进行这种操作的一个方式是在例如“generate-access-list”的命令中访问接口配置模式和类型。访问列表然后自动被产生并被提供给所述接口。

！loopback-protect-ctl protects node from non-VRF CTL-terminated traffic

！Information used to generate this access list：

！Rules 5-10

！.IP addresses of core-facing I/Fs that can carry BGP traffic (see B above)，

！.Router ID (see D above)

！.BGP configuration (see G above)

！Rule 15

！.OSPF configuration (see E above)

！Rules 20-35

！.Default system configuration

！Rules 40-50

！.Inband IP configuration (see H above)

！.Default system configuration for rate limit value

！Rule 55 denies any traffic that has not been permitted by previous rules.This

！is for security and the″log″keyword allows the operator to have some

！statistics on this traffic.

ip access-list extended loopback-protect-ctl

5 permit tcp host 9.4.3.2 host 9.3.0.0 eq bgp ！I-BGP across VPN core

10 permit tcp host 9.4.3.2 eq bgp host 9.3.0.0 ！I-BGP across VPN core

15 permit ospf 9.4.3.00.0.0.3host 9.4.3.1 ！OSPF to immediate neighbor

20 rate-limit 100 icmp any any echo ！Ping

25 rate-limit 100 udp any any gt 30000 ！Traceroute

30 rate-limit 100 icmp any any time-exceeded ！Traceroute response

35 rate-limit 100 icmp any any port-unreachable ！Traceroute response

40 rate-limit 200 tcp any any eq telnet ！Inband telnet

45 rate-limit 200 tcp any any range ftp-data ftp ！Inband FTP

！Optionally，rate limit TCP SYN packets using

！rate-limit 100 tcp any any syn

50 rate-limit 200 udp any any range snmp snmptrap！Inband SNMP

55 deny ip any any log ！Statistics on this rule indicates DOS attack

！companyA-protect-ctl protects from VRF CTL-terminated traffic

！Information used to generate this access list：

！Rules 5-20

！.Default system configuration

！Rule 25 denies any traffic that has not been permitted by previous rules.This

！is for security and the ″log″keyword allows the operator to have some

！statistics on this traffic.

ip access-list extended companyA-protect-ctl

5 rate-limit 100 icmp any any echo ！Ping

10 rate-limit 100 udp any any gt 30000 ！Traceroute

15 rate-limit 100 icmp any any time-exceeded ！Traceroute response

20 rate-limit 100 icmp any any port-unreachable ！Traceroute response

25 deny ip any any log ！Statistics on this rule indicates DOS attack

！core-protect-ctl is attached at the ingress side of the physical interface

！connected to the core (see B above)

！Information used to generate this access list：

！Rule 5

！.Default system configuration

！Rule 10

！ .Router ID (see D above)is a local IP address and is preferably protected

！ from spoofing

！Rule 15

！ .Local IP addresses of core facing interfaces(see B above)are preferably

！ protected from spoofing

！Rule 20 allows any other traffic to flow through

ip access-list extended core-protect-ctl

5 deny icmp any any redirect ！ICMP Redirect

10 deny ip host 9.3.0.0 any ！Deny spoofing of Router ID

15 deny ip host 9.4.3.1 any ！Deny spoofing of lcl IP addr

20 permit ip any any ！Permit anything else

！companyA-ce-protect-ctl is attached at the ingress side of the physical

！interface connected to the CE (see C above)

！Information used to generate this access list：

！Rule 5

！ .Default system configuration

！Rule 10

！ .VRF Router ID (see A above)is a local IP address and is preferably

！ protected from spoofing

！Rule 15

！ .Local IP address of CE-facing interfaces (see C above)is preferably

！ protected from spoofing

！Rule 20 allows any other traffic to flow through

ip access-list extended companyA-ce-protect-ctl

5 deny icmp any any redirect ！ICMP Redirect

10 deny ip host 10.0.0.0any ！Deny spoofing of VRF Router ID

15 deny ip host 10.0.0.5any ！Deny spoofing of lcl IP addr

20 permit ip any any ！Permit anything else

根据本发明的实施例，将从配置信息自动产生上述ACL，这将显著地减小人工输入ACL情况下的时间、工作量(effort)和错误的可能性。

根据本发明的一个方面的通信业务控制规则产生可能在较低的操作成本方面而具有额外的优势。自动产生的通信业务控制规则可以通过减小例如针对ACL创建的运营商的训练(training)需求，并减小创建ACL所耗费的运营商的工作量，来降低运行通信系统时的操作成本。

由于自动产生的ACL将通常基本上无错误(fault-free)、更加一致(consistent)并且相比人工输入的ACL具有更少的安全漏洞，因此本发明的实施例还可以改进安全性。自动产生的ACL也更容易被定制给通信设备，所述通信设备说明性地是服务提供商的通信网络中的每个路由器。

此外，当配置发生改变时，可以修改现有的ACL并且可以相对容易地产生新的ACL，以便保持接入控制为最新，这以较高的级别维持了安全性。

上述内容仅是说明性的本发明原理的应用。本领域的技术人员可以在不脱离本发明的范围的情况下实现其它安排和方法。

例如，应当认识到，即使网络单元42、44在图4中作为边缘单元被示出，然而可以在通信网络的核心网单元中实现本发明。

此外，尽管主要在方法和系统方面进行了描述，然而也预期本发明的其它实现，例如存储在机器可读媒介上的指令。

Claims

1.一种针对通信设备产生通信业务控制规则的机器实现的方法，所述方法包括下列步骤：

访问用于通信设备的配置信息；

根据所述配置信息来确定影响所述通信设备处理通信业务的参数；

基于所述参数来产生要在所述通信设备被应用于通信业务的通信业务控制规则；

在所述通信设备的接口将所产成的通信业务控制规则提供给所述通信设备；以及

在所述通信设备的接口将所产生的通信业务控制规则应用到由该通信设备终止的通信业务。

2.根据权利要求1的方法，其中，所述确定包括分析配置文件。

3.根据权利要求1的方法，其中，所述确定包括确定影响所述通信设备处理通信业务的多个参数。

4.根据权利要求3的方法，其中，所述产生包括产生多个通信业务控制规则，其中每个通信业务控制规则基于所述多个参数中的至少一个。

5.根据权利要求1的方法，其中，所述参数包括以下参数中的至少一个：所述通信设备上启动的通信协议、所述通信设备上启动的通信功能和通信业务源的地址。

6.根据权利要求1的方法，还包括下列步骤：

根据为所述通信设备而存储的默认信息，来确定额外的通信业务控制参数，

其中，所述产生包括基于所述参数和额外参数二者来产生所述通信业务控制规则。

7.根据权利要求6的方法，其中，所述额外通信业务控制参数包括以下参数中的至少一个：通信业务速率限制条件、与所述通信设备所支持的服务相关联的服务指定的参数、与所述通信设备所支持的服务的提供商相关联的提供商指定的参数、与所述通信设备相关联的设备指定的参数以及与通信业务控制规则模板相关联的参数。

8.根据权利要求1到7中的任何一个的方法，其中，所述通信业务控制规则包括以下规则中的至少一个：用于阻塞通信业务的阻塞规则、用于允许通信业务的许可规则、以直到预定速率来允许通信业务的速率限制规则和接入控制列表。

9.根据权利要求1到7中的任何一个的方法，还包括下列步骤：

检测所述配置信息中的改变；以及

至少针对由所述检测到的改变所影响的配置信息，重复所述确定及产生的操作。

10.根据权利要求9的方法，其中，所述重复产生的操作包括修改先前产生的通信业务控制规则。

11.一种用于针对通信设备产生通信业务控制规则的系统，所述系统包括：

参数确定模块，其被配置用来访问通信设备的配置信息，并根据所述配置信息来确定影响所述通信设备处理通信业务的参数；以及

规则建立器，其被配置用来基于所述参数而产生要在通信设备被应用于通信业务的通信业务控制规则，并且将所产生的通信业务控制规则提供给所述通信设备。

12.根据权利要求11的系统，其中，在处理器中实现所述参数确定模块和所述规则建立器中的至少一个。

13.根据权利要求11的系统，其中，所述参数确定模块包括被配置用来分析配置文件的配置文件分析器。

14.根据权利要求11的系统，其中，所述参数确定模块还被配置用来根据所述配置信息来确定影响所述通信设备处理通信业务的多个参数。

15.根据权利要求11的系统，其中，所述通信设备包括多个接口，并且其中，所述规则建立器还被配置用来产生要在所述多个接口被应用的多个各个类型的通信业务控制规则中的任何一个。

16.根据权利要求15的系统，其中，所述多个接口包括以下接口中的任何一个：到通信媒介的通信接口、到多个通信接口的安全接口和控制接口。

17.根据权利要求16的系统，其中，所述多个类型的通信业务控制规则包括每接口接入控制列表、每虚拟专用网环回接入控制列表以及控制环回接入控制列表中的任何一个。

18.根据权利要求11的系统，其中，所述参数确定模块被配置用来确定至少一个参数，所述至少一个参数选自由以下内容组成的组：在所述通信设备上启动的通信协议、在所述通信设备上启动的通信功能和通信业务源的地址。

19.根据权利要求11的系统，其中，所述参数确定模块还被配置用来确定额外的通信业务控制参数，并且其中，所述规则建立器还被配置用来基于所述参数和所述额外参数二者来产生通信业务控制规则。

20.根据权利要求11到19中的任何一个的系统，其中，所述规则建立器被配置用来产生以下规则中的至少一个：用于阻塞通信业务的阻塞规则、用于允许通信业务的许可规则和以直到预定速率来允许通信业务的速率限制规则。

21.根据权利要求11到19中的任何一个的系统，其中，所述参数确定模块还被配置用来检测所述配置信息中的改变，并且至少根据由所述检测到的改变所影响的配置信息，来确定影响所述通信设备处理通信业务的参数，并且其中，所述规则建立器还被配置用来基于至少根据由所述检测到的改变所影响的配置信息而被确定的参数，来产生通信业务控制规则。

22.一种通信设备，其包括根据权利要求11到19中的任何一个的系统。

23.根据权利要求22的通信设备，其中，所述通信设备包括通信网络的网络单元。

24.根据权利要求23的通信设备，其中，所述网络单元包括数据分组路由器。

25.根据权利要求22的通信设备，还包括：

处理器，其实现所述参数确定模块和所述规则建立器中的至少一个；

存储器，其用于存储所述配置信息；以及

接口，其用于作为用户输入来接收所述配置信息。

26.根据权利要求25的通信设备，其中，所述接口从远端系统接收所述配置信息。

27.一种通信系统，其包括：

网络单元；

控制系统，其被配置用来控制所述网络单元并且包括根据权利要求11到19中的任何一个的系统，

其中，所述控制系统还被配置用来产生要在所述网络单元被应用的通信业务控制规则。