Acl配置實現方法

2023-06-09 08:17:46 1

專利名稱：Acl配置實現方法
技術領域：
本發明涉及數據通信領域，尤其涉及ACL配置實現方法。
技術背景ACL (Access Control List)是一種定義流的工具，它的全稱為訪問 控制列表。ACL通過一系列的匹配條件對數據報文進行分類，這些條件可 以是數據包的目的地址、源地址、埠號等。ACL應用在交換路由設備的 虛接口或者物理接口等，路由交換設備根據ACL中指定的匹配條件來檢測 數據包，從而決定該數據包轉發或者丟棄。ACL目前的匹配規則主要是針對數據報文中固定欄位進行匹配，並且 對於不同的匹配標準定義了不同的名字，按照行業中通用的稱呼如下，我 們稱之為固定ACL:標準ACL:源地址。擴展ACL:源地址、目的地址等五元組。 二層ACL:源目的MAC、 VLAN等。 混合ACL:包括以上ACL匹配欄位的組合。這些ACL匹配欄位幾乎涵蓋了數據報文頭所有的常用欄位，但是對於 報文頭中某些欄位之間的精確組合卻不能做到，但是在實際應用中我們經 常遇到。例如，目的MAC的最後一個字節與源MAC的第一字節的組合匹配 等，這種匹配雖然可以使用二層ACL進行配置，但是對於報文頭某些欄位 組合卻無能為力(例如目的MAC的第二字節和IP數據包中分片的欄位 FLAG+偏移量offset,如IP位址和數據開始的第一個字節的組合，各種用 戶需要的組合都能實現)，現在的ACL都不能和數據有組合。發明內容本發明所要解決的技術問題是提供一種可以對一些不能使用或者不宜 使用固定ACL的特定欄位通過用戶自定義ACL的方式來處理的ACL配置實 現方法。本發明所述的ACL配置實現方法，應用在路由交換設備上，包括以下
步驟A、 用戶自定義ACL規則並下發；B、 路由交換設備決定是否重新配置模板；C、 路由交換設備根據模板中生效的ACL寫驅動。 在幾個埠使用不同模板的情況下，路由交換設備重新配置模板。在這種情況下，通常都需要重新配置模板。在幾個埠共同使用一個模板的情況下，路由交換設備比較用戶自定 義ACL規則與模板中己配置的規則，如果本組資源的模板中定義欄位已經 包含下發ACL中使用的欄位，則不重新配置模板；如果不包含下發ACL中 使用的欄位，則需重新配置模板。這是針對幾個埠共同使用一個模板的 情況，決定是否重新配置模板的一種方法。在一個埠、 一個模板的情況下，路由交換設備比較用戶自定義ACL 規則與模板中已配置的規則，如果本組資源的模板中定義欄位已經包含下 發ACL中使用的欄位，則不重新配置模板；如果不包含下發ACL中使用的欄位，則需重新配置模板。這是針對一個埠、 一個模板的情況，決定是 否重新配置模板的一種方法。首先全部清除已經生效的自定義ACL;然後根據本次下發的ACL和以前已經下發過的ACL重新設置自定義 ACL模板；模板設置完成以後，將本次ACL綁定生效。這是重新配置模板的具體 方法。模板設置完成以後，除將本次ACL綁定生效以外，還需將原先已經刪除掉的ACL按照新的模板進行重新綁定生效。這樣可以設模板中生效的ACL定義欄位更豐富。所述的步驟A中用戶自定義的ACL規則下發包括以下步驟 査ACL表，按順序提取其中生效的RULE,產生RULE表； 按輸入接口參數，提取要增加此ACL的物理接口列表； 將產生的RULE表和物理接口列表傳遞給驅動接口函數。這是自定義的ACL規則下發的具體方法。所述的步驟A中所述定義的內容包括數據報文頭開始將要偏移的字節數、匹配字節的長度、匹配字節的內容、數據報文中存在的VLAN個數。規定VLAN的個數對於現在的晶片更容易實現。本發明由於用戶可以通過自定義ACL規則對於那些使用業界通用ACL 形式不能或者不容易匹配到的欄位進行ACL設置。所以豐富了 ACL定義的內容，可以更好地實現數據報文的過濾。


圖1是實施例中的ACL配置實現方法流程圖。 圖2是用戶自定義的ACL規則下發流程圖。 圖3是多個埠公用一個模板結構示意圖。 圖4是每個埠公用一個模板結構示意圖。 圖5是VLAN個數為0時數據報文結構示意圖。 圖6是VLAN個數為1時數據報文結構示意圖。 圖7是VLAN個數為2時數據報文結構示意圖。
具體實施方式
參考圖1實施例中所述的ACL配置實現方法，應用在路由交換設備上，包括以下步驟1、用戶自定義ACL規則並下發；所述的步驟A中所述定義的內容包括數據報文頭開始將要偏移的字節 數、匹配字節的長度、匹配字節的內容、數據報文中存在幾個VLAN值。 參考圖2，用戶自定義的ACL規則下發包括以下步驟1.1、 查ACL表，按順序提取其中生效的RULE，產生RULE表；1.2、 按輸入接口參數，提取要增加此ACL的物理接口列表；1、 3、將產生的RULE表和物理接口列表傳遞給驅動接口函數。2、 參考圖3、圖4路由交換設備判斷是否幾個埠使用不同模板，如 果是轉到步驟4;如果不是轉到步驟3;3、 路由交換設備比較用戶自定義ACL規則與模板中已配置的規則，如 果本組資源的模板中定義欄位已經包含下發ACL中使用的欄位，則轉到步 驟5;如果不包含轉到步驟4;4、 路由交換設備重新配置模板；4.1、首先全部清除已經生效的自定義ACL;4. 2、然後根據本次下發的ACL和以前已經下發過的ACL重新設置自定 義ACL模板；
4.3、模板設置完成以後，除將本次ACL綁定生效以外，還需將原先已 經刪除掉的ACL按照新的模板進行重新綁定生效。5、 路由交換設備根據根據模板中生效的ACL寫驅動，轉到步驟6;6、 結束。下面舉例說明自定義ACL數據過濾流程自定義ACL的配置可以為tag (vlan的個數)offset (從數據報文 二層頭開始的偏移量)rule(需要匹配的欄位的規則)mask (匹配的欄位 的規則的掩碼)後面可以有幾個offset rule mask .參考圖5，當tag = 0時配了自定義ACL後，1:從配置的自定義ACL中得到tag值，2:如果tag為O，即該數據包沒有vlan標記，這時從二層頭源mac的 地方開始偏移配置的自定義ACL offset個字節，找到要匹配的數據的位 置，3:從該位置配置配置的規則。如果該規則後面沒有再配置offest ， 如果全部匹配了，則該數據報文符合該條規則。否則認為該數據報文不滿 足該規則的條件。完成過濾。4:如果配置了多個offset rule mask ，則繼續執行1， 2， 3的步驟。例如配置的自定義ACL為tag 0 offestl 18 0x1234 0xffff offest2 22 0x222a 0xffff offest3 26 0xbbba Oxffff過濾數據報文為這樣1:知道tag為0，即在對報文定位偏移量不需要去除vlan所佔的長度2:從該數據包源MAC的位置開始偏移到18個字節的地方。3:從該地方開始對報文中的欄位值是否符合配置的規則0x1234Oxffff。該後面還有需要匹配的規則。4:從該數據包源MAC的位置開始偏移到22個字節的地方。5:從該地方開始對報文中的欄位值是否符合配置的規則0x222a0xffff，該後面還有需要匹配的規則。6:從該數據包源MAC的位置開始偏移到26個字節的地方。7:從該地方開始對報文中的欄位值是否符合配置的規則0xbbba Oxffff。匹配完成，完成對該數據包的過濾。 參考圖6，當tag 二l時 配了自定義ACL後，1:從配置的自定義ACL中得到tag值，2:如果tag為1，即該數據包有vlan標記， 一個vlan標記為4個字 節。這時找到需要匹配的數據報文的起始位置，仍然從二層頭源mac的地方開始，如果配置的 偏移量大於14，則在定位偏移量的時候要加上4個字節，即相當於在定位該偏移量的時候 不算vlan的長度了。找到該位置後，繼續下面的操作。3:從該位置配置配置的規則。如果該規則後面沒有再配置offest ， 如果全部匹配了，則該數據報文符合該條規則。否則認為該數據報文不滿 足該規則的條件。完成過濾。4:如果配置了多個offset rule mask .，則繼續執行1， 2， 3的 步驟。例如配置的自定義ACL為tag 1 offestl 38 0x1234 0xffff offest2 50 0x222a 0xffff offest3 62 0xbbba 0xffff過濾數據報文為這樣1:知道tag為l,即在對報文定位偏移量需要去除vlan所佔的長度 2:因為該tag值為1，在定位該數據包的偏移量時，配置的offest為38,則定位該數據包的偏移量是38+4 =22，即從該數據包頭偏移到42的位置。3:從該地方開始對報文中的欄位值是否符合配置的規則0x1234 0xffff。該後面還有需要匹配的規則。4:因為該tag值為1，在定位該數據包的偏移量時，配置的offest為 50，則定位該數據包的偏移量是50+4 =26，即從該數據包頭偏移到54的 位置。5:從該地方開始對報文中的欄位值是否符合配置的規則0x222a0xffff，該後面還有需要匹配的規則。6:因為該tag值為1，在定位該數據包的偏移量時，配置的offest為 62，則定位該數據包的偏移量是62+4 =30，即從該數據包頭偏移到66的位置。7:從該地方開始對報文中的欄位值是否符合配置的規則0xbbba 0xffff。匹配完成，完成對該數據包的過濾。 參考圖7，當tag =2時 配了自定義ACL後，1:從配置的自定義ACL中得到tag值，2:如果tag為2，即該數據包有2個vlan標記， 一個vlan標記為4 個字節。這時找到需要匹配的數據報文的起始位置，仍然從二層頭源mac的地方開始，如果配置的 偏移量大於14，則在定位偏移量的時候要加上8個字節，即相當於在定位該偏移量的時候 不算vlan的長度了。找到該位置後，繼續下面的操作。3:從該位置配置配置的規則。如果該規則後面沒有再配置offest ， 如果全部匹配了，則該數據報文符合該條規則。否則認為該數據報文不滿 足該規則的條件。完成過濾。4:如果配置了多個offset rule mask .，則繼續執行1， 2， 3的 步驟。例如配置的自定義ACL為tag 2 offestl 30 0x1234 0xffff offest2 42 0x222a 0xffff offest3 50 0xbbba 0xffff過濾數據報文為這樣-1:知道tag為2，即在對報文定位偏移量需要去除vlan所佔的長度。 2:因為該tag值為2,在定位該數據包的偏移量時，配置的offest為30，則定位該數據包的偏移量是3Gf8 =38，即從該數據包頭偏移到38的位置。3:從該地方開始對報文中的欄位值是否符合配置的規則0x1234 0xffff。該後面還有需要匹配的規則。4:因為該tag值為2，在定位該數據包的偏移量時，配置的offest為42，則定位該數據包的偏移量是42+8 =50，即從該數據包頭偏移到50的位置。5:從該地方開始對報文中的字以上內容是結合具體的優選實施方式對 本發明所作的進一步詳細說明，不能認定本發明的具體實施只局限於這些 說明。對於本發明所屬技術領域的普通技術人員來說，在不脫離本發明構 思的前提下，還可以做出若干簡單推演或替換，都應當視為屬於本發明的 保護範圍。段值是否符合配置的規則0x222a Oxffff，該後面還有需要匹配的規6:因為該tag值為2，在定位該數據包的偏移量時，配置的offest為 50，則定位該數據包的偏移量是50+8 =30，即從該數據包頭偏移到58的位置。7:從該地方開始對報文中的欄位值是否符合配置的規則Oxbbba Oxffff。匹配完成，完成對該數據包的過濾。以上內容是結合具體的優選實施方式對本發明所作的進一步詳細說 明，不能認定本發明的具體實施只局限於這些說明。對於本發明所屬fe術 領域的普通技術人員來說，在不脫離本發明構思的前提下，還可以做出若 幹簡單推演或替換，都應當視為屬於本發明的保護範圍。
權利要求
1、ACL配置實現方法，應用在路由交換設備上，包括以下步驟A、用戶自定義ACL規則並下發；B、路由交換設備決定是否重新配置模板；C、路由交換設備根據模板中生效的ACL寫驅動。
2、 根據權利要求1所述的ACL配置實現方法，其特徵在於，所述的步驟B包括以下步驟在幾個埠使用不同模板的情況下，路由交換設備重新配置模板。
3、 根據權利要求1所述的ACL配置實現方法，其特徵在於，所述的步 驟B包括以下步驟在幾個埠共同使用一個模板的情況下，路由交換設備比較用戶自定 義ACL規則與模板中已配置的規則，如果本組資源的模板中定義欄位己經 包含下發ACL中使用的欄位，則不重新配置模板；如果不包含下發ACL中使用的欄位，則需重新配置模板。
4、 根據權利要求1所述的ACL配置實現方法，其特徵在於，所述的步 驟B包括以下步驟在一個埠、 一個模板的情況下，路由交換設備比較用戶自定義ACL 規則與模板中已配置的規則，如果本組資源的模板中定義欄位己經包含下 發ACL中使用的欄位，則不重新配置模板；如果不包含下發ACL中使用的 欄位，則需重新配置模板。
5、 根據權利要求1或2或3或4所述的ACL配置實現方法，其特徵在 於，所述的重新配置模板包括以下步驟首先全部清除已經生效的自定義ACL;然後根據本次下發的ACL和以前已經下發過的ACL重新設置自定義 ACL模板；模板設置完成以後，將本次ACL綁定生效。
6、 根據權利要求5所述的ACL配置實現方法，其特徵在於，模板設 置完成以後，除將本次ACL綁定生效以外，還需將原先已經刪除掉的ACL 按照新的模板進行重新綁定生效。
7、 根據權利要求1所述的ACL配置實現方法，其特徵在於，所述的步 驟A中用戶自定義的ACL規則下發包括以下步驟查ACL表，按順序提取其中生效的RULE,產生RULE表； 按輸入接口參數，提取要增加此ACL的物理接口列表； 將產生的RULE表和物理接口列表傳遞給驅動接口函數。 8、根據權利要求1所述的ACL配置實現方法，其特徵在於，所述的步 驟A中所述定義的內容包括數據報文頭開始將要偏移的字節數、匹配字節 的長度、匹配字節的內容、數據報文中存在的VLAN個數。
全文摘要
本發明公開了ACL配置實現方法，應用在路由交換設備上，涉及數據通信領域，尤其涉及ACL配置實現方法。所述方法包括以下步驟A.用戶自定義ACL規則並下發；B.路由交換設備決定是否重新配置模板；C.路由交換設備根據模板中生效的ACL寫驅動。本發明由於用戶可以通過自定義ACL規則對於那些使用業界通用ACL形式不能或者不容易匹配到的欄位進行ACL設置。所以豐富了ACL定義的內容，可以更好地實現數據報文的過濾。
文檔編號H04L12/24GK101399747SQ20071012368
公開日2009年4月1日 申請日期2007年9月27日 優先權日2007年9月27日
發明者潘家民, 申曙光, 軼 鄭 申請人:中興通訊股份有限公司