WO2011032456A1

WO2011032456A1 - 一种检测访问控制列表生效的方法和装置

Info

Publication number: WO2011032456A1
Application number: PCT/CN2010/076326
Authority: WO
Inventors: 高峰; 李江卫
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-09-17
Filing date: 2010-08-25
Publication date: 2011-03-24
Also published as: CN101662425A; US20120174209A1; EP2466816A4; BR112012006123A2; EP2466816B1; EP2466816A1; CN101662425B

Abstract

本发明公开了一种检测访问控制列表生效的方法，在每次执行访问控制列表（ACL）规则的动作部分时，按照挂接方式启动挂接在当前执行的ACL规则上的计数器，计数器按照预先设定的计数方式进行计数，通过读取计数器内存储的计数值，根据是否有计数值判断这条ACL规则是否生效；本发明同时还公开了一种检测访问控制列表生效的装置，能够实现在判断ACL规则是否生效时，既不增加网络负载，又不冲击设备中央处理器（CPU）的安全；此外，利用查看计数值来判断ACL规则是否生效的方法较为简单，能够加快网络故障的定位速度。

Description

一种检测访问控制列表生效的方法和装置技术领域

本发明涉及业务接入访问控制管理技术，尤指一种检测访问控制列表生效的方法和装置。背景技术

现今网络发展速度惊人，网络安全问题也表现的比较突出，对于承载着各种网络业务的网络设备（包括路由器、交换机等）拥有一个自身安全保护措施显得尤为重要，访问控制列表就是一个很好的帮手。

访问控制列表（ACL, Access Control List ) 的功能是过滤通过网络设备的特定数据包。 ACL通过一系列匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号，交换机根据 ACL中指定的条件来检测数据包，从而决定是转发还是丟弃该数据包。

ACL包括端口 ACL、全局 ACL、 VLAN-ACL。端口 ACL是一种为设备上不同端口配置不同的 ACL动作的 ACL, 实现对各个端口的不同控制；全局 ACL给用户提供一种整个设备上所有端口都会生效的 ACL配置机制； VLAN-ACL即基于虚拟局域网（ VLAN )的 ACL, 用户通过对 VLAN配置 ACL动作 , 从而实现对 VLAN内所有端口的访问控制。

ACL既然是在网络设备中充当 "防火墙" 角色的，那么它是否能够正常工作，如何判断 ACL是否正常工作就成为了一个关键问题。

一般 ACL中的一条 ACL规则包含两个比较重要的部分：匹配规则部分（Qualify )和动作部分（ Action )。

例如：我们需要配置一条 ACL规则是要在端口 A上丟弃源 IP地址是 10.1.1.1的数据包，那么这条规则的 Qualify = 端口 A + 源 IP 10.1.1.1

Action =丟弃

当这条 ACL规则配置到端口 A上时，正常情况满足 Qualify条件的数据包应该就会被丟弃掉了，但是网络设备往往不是像我们想象的这么简单，有时这样的报文还是会被正常转发而不会丟弃，那我们需要通过某种措施来判断是不是 ACL规则没有生效，还是 ACL规则虽然生效了，但是被其他流程影响导致了报文的转发。

这样，判断 ACL规则是否生效就是一个必须要解决的问题。

目前 ^1了一些尝试，例如：

一种方式是可以通过修改这条 ACL规则的 Action, 让它做一个端口镜像动作，把数据流镜像到某一个其他的物理端口，这样，如果在镜像的物理端口能抓到这样的数据流，那么说明这个 ACL规则是能够正常匹配的、即 ACL规则是生效的，如果镜像的物理端口抓不到这样的数据流，就说明这个 ACL规则没有被匹配到、即 ACL规则没有生效。

另一种方式是可以尝试把 ACL规则的动作部分改为将匹配 ACL规则的数据流拷贝到设备自身中央处理器（ CPU )、即把 Action改成 copy to cpu, 这样，如果数据流能正常匹配 ACL规则的话， CPU就能收到该数据流，通过一个 CPU 自身的调试方式就可以看到该数据流，表示 ACL规则是生效的；如果没有匹配 ACL规则，那么该数据流在 CPU上是看不到的，也就表示 ACL规则没有生效。

这两种方式只是是早期诊断 ACL规则是否生效的方式，这两种方式虽然能满足要求，但是都比较繁瑣，第一种需要借助其他端口，如果网络设备的所有端口都被用完了，这种方式就无法实施了，而且端口镜像会增加网络设备的负载，在现网设备上是不建议使用的；第二种方式更是危险，设备的 CPU是用来处理协议报文、维持设备状态的，如果有大量的数据报文被强行的抓到 CPU, 很有可能会导致整个设备都工作异常。发明内容

有鉴于此，本发明的主要目的在于提供一种检测访问控制列表生效的方法和装置，有效判断 ACL规则是否生效。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供的一种检测访问控制列表生效的方法，该方法包括：在每次执行 ACL规则的动作部分时，按照挂接方式启动挂接在当前执行的 ACL规则上的计数器；

计数器按照预先设定的计数方式进行计数，并存储计数值；

读取挂接在 ACL规则上的计数器内存储的计数值，如果有计数值，则确定当前读取的 ACL规则生效；反之，则确定当前读取的 ACL规则没有生效。

上述方案中，所述挂接方式为：将启动计数器作为一条 ACL规则的动作部分中的一个动作的方式；或者是通过检测一条 ACL规则中动作部分的结果来启动计数器的方式。

上述方案中，所述计数方式为：报文个数计数方式或报文字节数计数方式；其中，

所述报文个数计数方式为计数器在每次被启动时计数值自动加 1 ; 所述报文字节数计数方式为计数器在每次被启动时计数值加上此次符合当前执行的 ACL规则的报文的字节数。

上述方案中，所述计数器预先在设备本身的计数器资源池中申请；所述申请釆用静态申请方式申请、或动态申请方式申请；其中，

上述方案中，所述静态申请方式申请为：为设备中的每条 ACL规则各申请一个计数器，包括为每条空的 ACL规则申请一个计数器；

上述方案中，所述动态申请方式申请为：为设备中需要检测的每条 ACL 规则各申请一个计数器。

上述方案中，所述读取计数器内存储的计数值之后，该方法进一步包括对计数器的计数值清 0。

本发明提供的一种检测访问控制列表生效的装置，该装置包括：启动模块、计数器、读取模块；其中，

启动模块，用于在每次执行一条 ACL规则的动作部分时，按照挂接方式，启动挂接在当前执行的 ACL规则上的计数器；

计数器，用于按照预先设定的计数方式进行计数，并存储计数值；读取模块，用于读取挂接在 ACL规则上的计数器内存储的计数值，如果有计数值，则确定当前读取的 ACL规则生效，反之，则确定当前读取的 ACL规则没有生效。

上述方案中，所述读取模块进一步用于在读取计数器内存储的计数值之后，对计数器的计数值清 0。

本发明提供的一种检测访问控制列表生效的方法和装置，通过预先在设备本身的计数器资源池中申请计数器，将计数器按照一定的挂接方式挂接在 ACL规则上；在每次执行 ACL规则的动作部分时，按照挂接方式启动挂接在这条 ACL规则上的计数器，计数器按照预先设定的计数方式进行计数，通过读取计数器内存储的计数值，根据是否有计数值判断这条 ACL 规则是否生效，从而实现在判断 ACL规则是否生效时，既不增加网络负载，又不冲击设备 CPU的安全；此外，利用查看计数值来判断 ACL规则是否生效的方法较为简单，能够加快网络故障的定位速度。附图说明

图 1为本发明实现检测访问控制列表生效的方法的流程示意图；图 2为本发明实现检测访问控制列表生效的装置的结构示意图。具体实施方式

本发明的基本思想是：预先在设备本身的计数器资源池中申请计数器，将计数器按照一定的挂接方式挂接在 ACL规则上；在每次执行 ACL规则的动作部分时，按照挂接方式启动挂接在当前执行的 ACL规则上的计数器，计数器按照预先设定的计数方式进行计数，通过读取计数器内存储的计数值，根据是否有计数值判断这条 ACL规则是否生效。

其中，所述预先在设备本身的计数器资源池中申请计数器具体有两种方式：

一是为设备中的每条 ACL规则各申请一个计数器，包括为每条空的 ACL规则申请一个计数器，此方式为静态申请方式，这种方式会占用设备计数器资源，但在为某条空的 ACL规则设置新的 ACL规则时，就不需要再申请计数器了；

二是为设备中需要检测的每条 ACL规则各申请一个计数器，此方式为动态申请方式，这种方式占用设备资源较少，但在设置新的需要检测的 ACL 规则时，需要对每条新的需要检测的 ACL规则进行计数器的申请。

所述挂接方式具体为：将启动计数器作为一条 ACL规则的动作部分中的一个动作的方式；或者是通过检测一条 ACL规则中动作部分的结果等途径来启动计数器的方式。

所述计数方式包括报文个数计数方式和报文字节数计数方式等。

下面通过附图及具体实施例对本发明再做进一步的详细说明。

本发明实现一种检测访问控制列表生效的方法，预先在设备本身的计数器资源池中申请计数器，将计数器挂接在 ACL规则上，如图 1所示，该方法包括以下几个步骤：

步骤 101 : 在每次执行一条 ACL规则的动作部分时，按照挂接方式启动挂接在当前执行的 ACL规则上的计数器，按照预先设定的计数方式进行计数，并将计数值进行存储；

具体的，如果计数器挂接在一条 ACL规则上的挂接方式釆用将启动计数器作为 ACL规则的动作部分中的一个动作的方式，则在每次执行一条 ACL规则的动作部分时，在这条 ACL规则的动作部分里启动计数器，计数器按照预先设定的计数方式进行计数；如果计数器挂接在一条 ACL规则上的挂接方式釆用通过检测这条 ACL规则中动作部分的结果来启动计数器的方式，则在每次执行这条 ACL规则的动作部分时，检测这条 ACL规则中动作部分的结果，当检测到时启动计数器，计数器按照预先设定的计数方式进行计数，并将计数值进行存储；当没有检测到时，则不启动计数器。

本步骤中，当预先设定的计数方式为报文个数计数方式时，计数器在每次被启动时计数值自动加 1 ; 当预先设定的计数方式为报文字节数计数方式时，计数器在每次被启动时计数值加上此次符合这条 ACL规则的报文的字节数。

步骤 102: 读取计数器内存储的计数值，根据是否有计数值判断这条 ACL规则是否生效；

具体的，在需要判断一条 ACL规则是否生效时，可以读取挂接在这条 ACL规则上的计数器内存储的计数值，如果有计数值，则确定这条 ACL规则生效，反之，则确定这条 ACL规则没有生效；

在本步骤中，所述读取挂接在这条 ACL规则上的计数器内存储的计数值同时，进一步可以对计数器清 0, 防止计数器计数超过最大值。

基于上述方法，本发明实现一种检测访问控制列表生效的装置，如图 2 所示，该装置包括：启动模块 21、计数器 22、读取模块 23; 其中，

启动模块 21 , 用于在每次执行一条 ACL规则的动作部分时，按照挂接方式启动挂接在当前执行的 ACL规则上的计数器 22;

具体的，如果挂接方式釆用将启动计数器 22作为 ACL规则的动作部分中的一个动作的方式，则在每次执行一条 ACL规则的动作部分时，在这条 ACL规则的动作部分里触发启动模块 21启动计数器 22; 如果挂接方式釆用通过检测这条 ACL规则中动作部分的结果来启动计数器 22的方式，则在每次执行这条 ACL规则的动作部分时，启动模块 21检测这条 ACL规则中动作部分的结果，当检测到时启动计数器 22; 当启动模 21块没有检测到时，则不启动计数器 22;

计数器 22, 用于按照预先设定的计数方式进行计数，并存储计数值；具体的，当预先设定的计数方式为报文个数计数方式时，计数器 22在每次被启动模块 21启动时计数值自动加 1 ; 当预先设定的计数方式为报文字节数计数方式时，计数器 22在每次被启动模块 21启动时计数值加上此次符合当前执行的 ACL规则的报文的字节数；

读取模块 23，用于读取挂接在一条 ACL规则上的计数器 22内存储的计数值，如果有计数值，则确定当前读取的 ACL规则生效，反之，则确定当前读取的 ACL规则没有生效；

进一步的，所述读取模块 23还用于在读取计数器 22内存储的计数值之后，对计数器 22的计数值清 0。

综上所述，通过在 ACL规则上挂接计数器的方法，可以有效判断 ACL 规则是否生效，从而实现在判断 ACL规则是否生效时，既不增加网络负载，又不冲击设备 CPU的安全；此外，利用查看计数值来判断 ACL规则是否生效的方法较为简单，能够加快网络故障的定位速度。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种检测访问控制列表生效的方法，其特征在于，该方法包括：在每次执行访问控制列表（ACL )规则的动作部分时，按照挂接方式启动挂接在当前执行的 ACL规则上的计数器；

计数器按照预先设定的计数方式进行计数，并存储计数值；

2、根据权利要求 1所述的方法，其特征在于，所述挂接方式为：将启动计数器作为一条 ACL规则的动作部分中一个动作的方式；或者是通过检测一条 ACL规则中动作部分的结果来启动计数器的方式。

3、根据权利要求 1或 2所述的方法，其特征在于，所述计数方式为：报文个数计数方式或报文字节数计数方式；其中，

4、根据权利要求 1或 2所述的方法，其特征在于，所述计数器预先在设备本身的计数器资源池中申请；所述申请釆用静态申请方式申请、或动态申请方式申请；其中，

所述静态申请方式申请为：为设备中的每条 ACL规则各申请一个计数器，包括为每条空的 ACL规则申请一个计数器；

所述动态申请方式申请为：为设备中需要检测的每条 ACL规则各申请一个计数器。

5、根据权利要求 4所述的方法，其特征在于，所述读取计数器内存储的计数值之后，该方法进一步包括对计数器的计数值清 0。

6、一种检测访问控制列表生效的装置，其特征在于，该装置包括：启动模块、计数器、读取模块；其中，

计数器，用于按照预先设定的计数方式进行计数，并存储计数值；读取模块，用于读取挂接在 ACL规则上的计数器内存储的计数值，如果有计数值，则确定当前读取的 ACL规则生效，反之，则确定当前读取的

ACL规则没有生效。

7、根据权利要求 6所述的装置，其特征在于，所述读取模块进一步用于在读取计数器内存储的计数值之后，对计数器的计数值清 0。