網絡設備的報文訪問控制方法及系統的製作方法

2023-05-22 05:49:51

專利名稱：網絡設備的報文訪問控制方法及系統的製作方法
技術領域：
本發明涉及通信網技術，尤其涉及一種網絡設備的報文訪問控制方法及 系統。
背景技術：
訪問控制是網絡安全防範和保護的核心策略之一，通過對於輸入/輸出的報文執行訪問控制列表(Access Control List,簡稱ACL)匹配，來決定是否 允許或禁止該報文的通過，從而保證網絡設備不被有威脅的報文攻擊，以及 保證網絡資源不被非法使用和訪問。ACL技術被廣泛應用在路由器、防火牆等網絡設備上，其工作原理如下 Al、創建ACL;其中，ACL的每一條指令都包括匹配規則和處理策略 兩部分，通過匹配規則識別需要過濾的對象，並根據預先設定的處理策略執 行放行或者丟棄處理；具體的，匹配規則可以僅僅是報文的源IP位址(基本 ACL)，可以是報文的五元組信息即〈源IP位址、目的IP位址、源埠號、 目的埠號、協議號> (擴展ACL)，也可以是包括報文的源IP位址、目的 IP位址、IP承載的協議類型、協議的特徵(例如TCP或者UDP的源埠、 目的埠， TCP標記，ICMP協議的消息類型、消息碼等)等信息在內的任 意組合；A2、在需要的接口上應用指定的ACL指令，並指明應用在出接口方向 或入接口方向，即ACL匹配分為入接口 ACL匹配和出接口 ACL匹配；A3、當接口收到報文時，按照匹配規則提取報文的源、目的IP位址、 協議、協議特徵等信息執行入接口 ACL匹配，如果能命中則根據指令中設 定的處理策略放行或者丟棄報文；A4、當接口發送經過業務處理的報文時，同樣按照匹配規則提取報文的 源、目的IP位址、協議、協議特徵等信息執行出接口 ACL匹配，如果能命 中則根據指令中設定的處理策略放行或者丟棄報文。在應用了 ACL技術之後，網絡設備對報文的訪問控制過程如下Bl、首先要根據接收報文的接口上所應用的ACL指令，對報文執行入 接口 ACL匹配，對於匹配成功的報文，根據設定的處理策略丟棄或者執行 後續的業務處理；B2、將執行業務處理後的報文交給指定的發送接口；B3、根據該發送報文的接口上所應用的ACL指令，對報文執行出接口 ACL匹配，對於匹配成功的報文，根據設定的處理策略丟棄或者進行轉發。可以看出，網絡設備對於每一個報文，無論其在出接口 ACL匹配之後 是否被丟棄，都要先行執行業務處理，這無疑消耗了網絡設備的系統資源， 降低了網絡設備的處理效率。此外，現有技術中網絡設備一般是通過CPU進行ACL匹配處理，造成 CPU負載很大，會對整個設備的處理能力造成影響。發明內容本發明的實施例旨在提供一種能夠提高網絡設備處理效率的報文訪問 控制方案。為實現上述目的，本發明的實施例提供了一種網絡設備的報文訪問控制 方法，對於入接口 ACL匹配的處理策略為允許且未開啟網絡地址轉換NAT 功能的輸入報文，執行以下步驟51、 査找該輸入報文的出接口信息，根據在相應出接口上所應用的 ACL指令，對該輸入報文執行出接口 ACL匹配；52、 對於匹配的處理策略為允許的輸入報文執行業務處理，並將業務處 理完成後獲得的輸出報文直接通過相應出接口轉發。本發明的實施例還提供了一種網絡設備的報文訪問控制系統，包括業務 處理單元和接口，還包括與各接口連接的NAT功能識別單元，用於識別相應接口接收的輸入 報文是否開啟網絡地址轉換NAT功能；與各接口以及所述NAT功能識別單元連接的入接口 ACL匹配單元， 用於根據相應入接口上所應用的ACL指令，對該接口接收的輸入報文執 行入接口ACL匹配；以及，根據該NAT功能識別單元發送的識別結果，觸發業務處理單元對入接口 ACL匹配的處理策略為允許且開啟NAT功 能的輸入報文進行處理，觸發出接口 ACL匹配單元對入接口 ACL匹配 的處理策略為允許且未開啟NAT功能的輸入報文進行處理；與該入接口 ACL匹配單元以及業務處理單元連接的出接口 ACL匹 配單元，用於接受該入接口 ACL匹配單元的觸發，査找輸入報文的出接 口信息，根據在相應出接口上所應用的ACL指令對該輸入報文執行出接 口 ACL匹配，以及，觸發該業務處理單元對出接口 ACL匹配的處理策 略為允許的輸入報文進行處理，並丟棄匹配的處理策略為禁止的輸入報 文；其中，該業務處理單元用於對接收到的輸入報文進行業務處理以獲得輸 出報文；以及，對於從入接口 ACL匹配單元接收到的輸入報文，相應將該 輸出報文發送給出接口 ACL匹配單元進行出接口 ACL匹配；以及，對於從 出接口 ACL匹配單元接收到的輸入報文，相應將該輸出報文直接通過相應 出接口轉發。由上述技術方案可知，本發明的實施例通過對未開啟NAT功能的輸入 報文在進行業務處理之前執行出接口 ACL匹配，僅對出接口 ACL匹配之後 允許的輸入報文進行業務處理，從而具有節省網絡設備系統資源和提高網絡 設備處理效率的有益效果。通過以下參照附圖對優選實施例的說明，本發明的上述以及其它目的、 特徵和優點將更加明顯。


圖1為本發明提供的網絡設備的報文訪問控制方法一實施例的流程圖； 圖2為本發明提供的網絡設備的報文訪問控制方法另一實施例的流程圖；圖3為應用圖1或圖2所示方法的一分布式架構網絡設備結構示意圖； 圖4為本發明提供的網絡設備的報文訪問控制系統一實施例的框圖； 圖5為本發明提供的網絡設備的報文訪問控制系統另一實施例的框圖； 圖6為本發明提供的網絡設備的報文訪問控制系統再一實施例的框圖。
具體實施方式
下面將詳細描述本發明的具體實施例。應當注意，這裡描述的實施例只 用於舉例說明，並不用於限制本發明。首先，必須說明的是，本發明為了節約網絡設備的系統資源，對未啟用NAT功能的輸入報文採取了在入接口同時執行入接口 ACL匹配和出接口 ACL匹配的操作，從而避免對出接口 ACL匹配之後丟棄的輸入報文進行業 務處理。而對於啟用NAT (Network Address Translation,網絡地址轉換)功 能的報文，由於其在未進行業務處理的時候無法得到報文的出接口消息，因 此沿用現有技術的訪問控制流程，即對輸入報文先進行入接口 ACL匹配， 對於放行的輸入報文進行業務處理之後，再對獲得的輸出報文進行出接口 ACL匹配。作為本發明所提供的網絡設備的報文訪問控制方法的一個具體實施例， 請結合圖1和圖2，描述如下對於入接口 ACL匹配的處理策略為允許且未開啟NAT功能的輸入報 文，執行以下步驟S1 S2:具有上述屬性的輸入報文可以通過下述步驟獲取500、 根據在入接口上所應用的ACL指令，對該輸入報文執行入接口 ACL匹配；具體包括提取輸入報文的源IP位址、目的IP位址、IP承載的協議類型、協議的特徵等信息，與該入接口上所應用的ACL指令 中的匹配規則進行匹配，匹配成功的報文，其處理策略可能為允許或者 禁止；501、 對於匹配的處理策略為允許的輸入報文，識別其NAT功能是否開 啟，未開啟則可以先行執行出接口 ACL匹配，即向下執行步驟S1 S2;相應的，如果NAT功能開啟，則必須經過業務處理後再進行出接口 ACL 匹配，如下Sl'、對該輸入報文執行業務處理獲得輸出報文；S2'、査找該輸出報文的出接口信息，並根據該出接口上所應用的 ACL指令，對輸出報文執行出接口 ACL匹配；S3'、將匹配的處理策略為允許的輸出報文通過所述出接口轉發； S4'、丟棄匹配的處理策略為禁止的輸出報文。由於上述步驟S1' S4'所採取的操作與現有的報文訪問控制方法相同，因 此不再贅述，下面重點對步驟S1 S2展開詳細描述。51、 査找輸入報文的出接口信息，根據在相應出接口上所應用的ACL 指令，對該輸入報文執行出接口 ACL匹配；由於輸入報文並未開啟NAT功能，因此，在進行業務處理前即可獲得 出接口信息，具體可以採用如下實現方式通過査找FIB (Forwarding Information Table,轉發信息表)禾B ARP (Address Resolution Protocol,地址 解析協議)表獲得輸入報文的出接口信息；其中，FIB和ARP表是由網絡設 備的CPU在生成ACL指令時生成的；然後提取輸入報文的源IP位址、目的IP位址、IP承載的協議類型、協 議的特徵等信息，與該入接口上所應用的ACL指令中的匹配規則進行匹配， 匹配成功的報文，其處理策略同樣可能為允許或者禁止。52、 對於匹配的處理策略為允許的輸入報文執行業務處理，並將業務處 理完成後獲得的輸出報文直接通過相應出接口轉發。可以看出，通過上述步驟S1 S2，僅僅出接口 ACL匹配結果為允許的輸 入報文被執行業務處理，從而節約了網絡設備的系統處理資源，提高了網絡 設備的處理效率。較佳的，出接口 ACL匹配結果為禁止的輸入報文可以在執行業務處理 之前就被丟棄，無需進行業務處理，即還包括步驟S3:丟棄匹配的處理策略 為禁止的輸入報文。進一步的，在現有技術中，入接口 ACL匹配和出接口 ACL匹配的操作， 都是由網絡設備的CPU進行査詢和處理的，這導致了兩個方面的問題第一、當ACL指令過多時，CPU負載很大，影響整個網絡設備的處理 能力；第二、 CPU的査詢和處理是在軟體層面進行的，其速度較慢。 為了克服上述問題，本發明所提供網絡設備的報文訪問控制方法的較佳實施例為該入接口 ACL匹配和出接口 ACL匹配的步驟由與相應接口連接的專用硬體晶片執行。專用硬體晶片的數量可以根據接口的流量設置。比如，當接口流量為10G時，限於目前專用硬體晶片的處理能力，需要為每一個接口設置一個專用硬體晶片；而當接口的流量較小，比如接口是記憶口的情況下，可以每12個 接口設置一個專用硬體晶片。由於專用硬體晶片是在底層硬體的層面上進行査表和匹配，因此處理效 率較CPU處理有很大提高；同時，採用專用硬體晶片執行ACL匹配，也降 低了CPU的負載。需要指出的是，現有技術中設置的ACL都保存在網絡設備的CPU中， 因此通過CPU執行ACL匹配時可以直接獲得指定接口的ACL指令；當通過 專用硬體晶片執行ACL匹配時，為了保證匹配的正常進行，專用硬體晶片 可以預先從網絡設備獲取所連接接口應用的入接口 ACL和網絡設備每一接 口所應用的出接口ACL。特別需要注意的是，專用硬體晶片獲取的是全部出接口 ACL，這是因為 入接口和出接口一般不是同一個接口，且不同的報文可能對應著不同的出接 口，為了保證在報文接收階段就完成出接口 ACL匹配，專用硬體晶片需要 獲得足夠的信息。當然，相較於預先保存ACL信息的方案，專用硬體晶片也可以在每次 需要獲得ACL信息時即時向網絡設備的CPU獲取，但這樣一方面延遲了處 理速度，另一方面大量的交互指令也佔用了 CPU的處理資源，因此不作為 較佳實施例。作為更佳的實施例，本發明所提供的報文訪問控制方法可以應用於分布 式架構的網絡設備。所謂分布式架構的網絡設備，其一般包括一塊接口板和多塊業務板，每 塊業務板上都具有獨立的CPU,從而實現業務的分流處理，具體如下Cl、當用戶在一個接口接收到輸入報文後，對其執行入接口 ACL匹配， 對於命中的輸入報文按照處理策略丟棄或者放行；C2、對於放行的輸入報文，需要進行分流以便送到相應的業務板進行業 務處理；C3、處理完得到的輸出報文，再進行相應的出接口 ACL匹配，對於命 中的輸出報文按照處理策略丟棄或者從該出接口放行轉發。本發明提供的分布式架構網絡設備的報文訪問控制方法對上述流程進 行了改進，包括對於沒有啟用NAT業務的輸入報文，在入接口同時進行入接口 ACL匹配和出接口 ACL匹配，以提高設備的處理效率；以及，在分布 式架構的接口分流部分硬體處理ACL匹配，實現匹配的硬體加速並進一步 降低CPU負載。具體方案請結合圖3。其中，硬體專用晶片構成預處理單元，設置在接 口板上，用於對接口接收到的報文進行入/出接口 ACL匹配，以及進行分流。 需要注意的是，圖3中為每一個接口都設置有一硬體專用晶片，在實際應用 中，也可以根據接口的流量要求為多個接口設置一個硬體專用晶片。可以看 出，對於接收到的報文同時進行入/出接口 ACL匹配，能夠避免最後要丟棄 的報文再經過CPU的處理，從而有效地降低CPU的處理負載；而且，將ACL 匹配功能從CPU中分離，能夠進一步的降低CPU負載；特別是，採用硬體 專用晶片實現ACL匹配，其匹配速度較軟體査詢有很大提高。同時，在圖3中，每個業務板上都具有一流控制單元和一流處理單元。 其中，流處理單元執行實際的業務處理，流控制單元進行ACL的創建、黑 白名單設置等。當然，上述流處理單元和流控制單元僅僅是功能上的簡單劃 分，它們可以合稱為業務處理單元。需要注意的是，由於本實施例的分布式架構下，ACL匹配的操作被轉移 到了接口板進行，因此，當用戶在一個接口的入接口方向應用一條ACL指 令時，流控制單元需要將相應的ACL指令下發給與該接口連接的預處理單 元，並標識為入接口 ACL指令；當用戶在一個接口的出接口方向應用一條 ACL指令時，流控制單元需要將相應的ACL指令下發給所有的預處理單元， 並標識為出接口 ACL指令，以保證在入接口階段即可實現出接口 ACL匹配。基於上述配置，分布式架構網絡設備的報文訪問控制方法如下當預處理單元從相連接的接口收到輸入報文時，進行入接口 ACL匹配， 丟棄處理策略為禁止的輸入報文，並對處理策略為允許的輸入報文執行下一 步操作；識別該輸入報文是否開啟了 NAT功能，由於啟用了 NAT功能的報文在 未進行業務處理時無法獲得出接口信息，因此對於這種類型的報文按照現有 技術的ACL處理流程加以處理，而對於未開啟NAT功能的輸入報文執行下 一步操作；査找FIB和ARP表得到輸入報文的出接口信息；其中，FIB表和ARP表可以由流控制單元在生成表項時下發，也可以由預處理單元實時向流控制單元進行查詢；提取輸入報文的源IP位址、目的IP位址、IP承載的協議類型、協議的 特徵以及出接口信息等，由於處理單元硬體進行出接口 ACL匹配，直接丟 棄處理策略為禁止的輸入報文，並對處理策略為允許的輸入報文執行下一步 操作；流處理單元對通過的輸入報文執行業務處理，並將業務處理後獲得的輸 出報文下發給接口板，直接通過相應的出接口轉發出去。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟 可以通過程序指令相關的硬體來完成，所述的程序可以存儲於一計算機可讀 取存儲介質中，該程序在執行時，對於入接口 ACL匹配的處理策略為允許 且未開啟網絡地址轉換NAT功能的輸入報文包括如下步驟51、 査找所述輸入報文的出接口信息，根據在相應出接口上所應用 的ACL指令，對所述輸入報文執行出接口 ACL匹配；52、 對於匹配的處理策略為允許的輸入報文執行業務處理，並將業務處 理完成後獲得的輸出報文直接通過相應出接口轉發。所述的存儲介質包括ROM/RAM (Read Only Memory/Random-Access Memory,只讀存儲器/隨機訪問內存)、磁碟或者光碟等。相應的，本發明還提供了一種網絡設備的報文訪問控制系統100，該網 絡設備可以為路由器、防火牆等。請結合圖4，該網絡設備的報文訪問控制系統100的一個實施例包括-業務處理單元101和接口 102，其中業務處理單元101設置在網絡設備 的CPU中，用軟體方式進行ACL創建以及報文的業務處理等。與各接口 102連接的NAT功能識別單元103，用於識別相應接口 102 接收的輸入報文是否開啟網絡地址轉換NAT功能；與各接口 102以及NAT功能識別單元103連接的入接口 ACL匹配 單元104，用於根據相應入接口 102上所應用的ACL指令，對接口接收 的輸入報文執行入接口 ACL匹配；以及，根據NAT功能識別單元103 發送的識別結果，觸發業務處理單元101對入接口 ACL匹配的處理策略為允許且開啟NAT功能的輸入報文進行處理，觸發出接口 ACL匹配單 元105對入接口 ACL匹配的處理策略為允許且未開啟NAT功能的輸入 報文進行處理；與入接口 ACL匹配單元104以及業務處理單元101連接的出接口 ACL匹配單元105，用於接受入接口 ACL匹配單元104的觸發，査找輸 入報文的出接口信息，根據在相應出接口 102上所應用的ACL指令對輸 入報文執行出接口 ACL匹配，以及，觸發業務處理單元101對出接口 ACL匹配的處理策略為允許的輸入報文進行處理，並丟棄匹配的處理策 略為禁止的輸入報文；其中，業務處理單元101用於對接收到的輸入報文進行業務處理以獲得 輸出報文；以及，對於從入接口 ACL匹配單元103接收到的輸入報文，相 應將輸出報文發送給出接口 ACL匹配單元104進行出接口 ACL匹配，即按 照現有技術的入接口 ACL匹配一〉業務處理一〉出接口 ACL匹配流程執行， 執行的結果可能為丟棄或者轉發報文；以及，對於從出接口 ACL匹配單元 104接收到的輸入報文，相應將輸出報文直接通過相應出接口 102轉發，這 也就意味著，對於未開啟NAT功能的輸入報文，按照入接口ACL匹配一〉 出接口 ACL匹配一〉業務處理流程執行，從而避免對最後要丟棄的報文進 行業務處理，從而減少了CPU負載，提高了CPU的處理效率。在上述實施例中，NAT功能識別單元103、入接口 ACL匹配單元104 和出接口 ACL匹配單元105可以與業務處理單元101合併設於網絡設備的 CPU中，即採用軟體方式實現ACL匹配，但這種方式存在匹配效率低，且 CPU負載大的問題。因此，在上述實施例的基礎上，較佳的實現方案如圖5 所示，是NAT功能識別單元103、入接口 ACL匹配單元104和出接口 ACL 匹配單元105設置在專用硬體晶片110中，硬體處理ACL匹配，進一步降 低CPU負載，並實現ACL匹配的加速處理。在這種方案中，入接口 ACL匹配單元104和出接口 ACL匹配單元105 可以在需要進行匹配處理時實時從業務處理單元101獲取所需要的ACL指 令，但所需的信令交互將增加CPU負載，同時由於需要進行信令交互，也 必然導致匹配處理的延時。因此，更佳的方案是在專用硬體晶片IIO中專門 設置ACL存儲單元106，用於從業務處理單元101獲取並保存專用硬體晶片110所連接接口應用的入接口 ACL和網絡設備每一接口所應用的出接口 ACL。需要指出，上述實施例中從邏輯角度描述了NAT功能識別單元103、入 接口 ACL匹配單元104和出接口 ACL匹配單元105所實現的功能，但在實 際實現中，考慮到專用硬體晶片的處理性能和接口的流量，專用硬體晶片可 以為一片或者多片，分別對應一個或多個接口 102;較佳的方案中，每一接 口 102都連接有一專用硬體晶片110，如圖6所示。其中，在每一片專用硬體晶片UO上都設有NAT功能識別單元103、入 接口 ACL匹配單元104、出接口 ACL匹配單元105和ACL存儲單元106， 分別控制該專用硬體晶片110相連接的接口 102的ACL匹配。特別是，本發明提供了分布式架構網絡設備的報文訪問控制系統100。 該網絡設備為由接口板和多業務板構成的分布式架構網絡設備，專用硬體芯 片110設置在接口板上，與設置在各業務板上的業務處理單元101連接。具 體請參考圖3，其中，業務處理單元被具體劃分為流處理單元和流控制單元， 與接口連接的專用硬體晶片被命名為預處理單元。雖然已參照幾個典型實施例描述了本發明，但應當理解，所用的術語是 說明和示例性、而非限制性的術語。由於本發明能夠以多種形式具體實施而 不脫離發明的精神或實質，所以應當理解，上述實施例不限於任何前述的細 節，而應在隨附權利要求所限定的精神和範圍內廣泛地解釋，因此落入權利 要求或其等效範圍內的全部變化和改型都應為隨附權利要求所涵蓋。
權利要求
1. 一種網絡設備的報文訪問控制方法，其特徵在於，對於入接口ACL匹配的處理策略為允許且未開啟網絡地址轉換NAT功能的輸入報文，執行以下步驟S1、查找所述輸入報文的出接口信息，根據在相應出接口上所應用的ACL指令，對所述輸入報文執行出接口ACL匹配；S2、對於匹配的處理策略為允許的輸入報文執行業務處理，並將業務處理完成後獲得的輸出報文直接通過相應出接口轉發。
2. 根據權利要求1所述的網絡設備的報文訪問控制方法，其特徵在 於，還包括步驟S3:丟棄匹配的處理策略為禁止的輸入報文。
3. 根據權利要求1所述的網絡設備的報文訪問控制方法，其特徵在 於，所述入接口 ACL匹配和出接口 ACL匹配的步驟由與相應接口連接 的專用硬體晶片執行，之前還包括所述專用硬體晶片從所述網絡設備獲 取所連接接口應用的入接口 ACL和所述網絡設備每一接口所應用的出接 口 ACL的步驟。
4. 根據權利要求3所述的網絡設備的報文訪問控制方法，其特徵在 於，當所述網絡設備為由接口板和多業務板構成的分布式架構網絡設備 時，所述入接口 ACL匹配和出接口 ACL匹配的步驟由設置在所述接口 板上的專用硬體晶片執行；其中，所述專用硬體晶片從各業務板獲取所 連接接口應用的入接口 ACL和所述網絡設備每一接口所應用的出接口 ACL。
5. 根據權利要求1-4任一所述的網絡設備的報文訪問控制方法，其特徵在於，所述步驟S1之前還包括500、 根據在入接口上所應用的ACL指令，對所述輸入報文執行入 接口 ACL匹配；501、 對於匹配的處理策略為允許的輸入報文，識別其NAT功能是 否開啟，未開啟則執行步驟S1。
6. 根據權利要求5所述的網絡設備的報文訪問控制方法，其特徵在 於，當步驟SOl中識別輸入報文的NAT功能開啟時，還執行以下步驟sr、對所述輸入報文執行業務處理獲得輸出報文； S2'、査找所述輸出報文的出接口信息，並根據所述出接口上所應用 的ACL指令，對所述輸出報文執行出接口 ACL匹配；S3'、將匹配的處理策略為允許的輸出報文通過所述出接口轉發； S4'、丟棄匹配的處理策略為禁止的輸出報文。
7. 根據權利要求l-4任一所述的網絡設備的報文訪問控制方法，其特 徵在於，所述步驟S1中查找所述輸入報文的出接口信息的步驟包括通 過査找轉發信息表FIB和地址解析協議ARP表獲得所述輸入報文的出接口信息。
8. —種網絡設備的報文訪問控制系統，包括業務處理單元和接口，其 特徵在於，還包括與各接口連接的NAT功能識別單元，用於識別相應接口接收的輸入 報文是否開啟網絡地址轉換NAT功能；與各接口以及所述NAT功能識別單元連接的入接口 ACL匹配單元， 用於根據相應入接口上所應用的ACL指令，對所述接口接收的輸入報文 執行入接口ACL匹配；以及，根據所述NAT功能識別單元發送的識別 結果，觸發所述業務處理單元對入接口 ACL匹配的處理策略為允許且開 啟NAT功能的輸入報文進行處理，觸發出接口 ACL匹配單元對入接口 ACL匹配的處理策略為允許且未開啟NAT功能的輸入報文進行處理；與所述入接口 ACL匹配單元以及業務處理單元連接的出接口 ACL 匹配單元，用於接受所述入接口 ACL匹配單元的觸發，査找所述輸入報 文的出接口信息，根據在相應出接口上所應用的ACL指令對所述輸入報 文執行出接口 ACL匹配，以及，觸發所述業務處理單元對出接口 ACL 匹配的處理策略為允許的輸入報文進行處理，並丟棄匹配的處理策略為 禁止的輸入報文；其中，所述業務處理單元用於對接收到的輸入報文進行業務處理以 獲得輸出報文；以及，對於從所述入接口 ACL匹配單元接收到的輸入報 文，相應將所述輸出報文發送給所述出接口 ACL匹配單元進行出接口 ACL匹配；以及，對於從所述出接口 ACL匹配單元接收到的輸入報文， 相應將所述輸出報文直接通過相應出接口轉發。
9. 根據權利要求8所述的網絡設備的報文訪問控制系統，其特徵在 於，所述NAT功能識別單元、入接口 ACL匹配單元和出接口 ACL匹配 單元與所述業務處理單元合併設於所述網絡設備的CPU中。
10. 根據權利要求8所述的網絡設備的報文訪問控制系統，其特徵在 於，所述NAT功能識別單元、入接口 ACL匹配單元和出接口 ACL匹配 單元設置在專用硬體晶片中，還包括ACL存儲單元，用於從所述業務處理單元獲取並保存所述專用硬體 晶片所連接接口應用的入接口 ACL和所述網絡設備每一接口所應用的出 接口 ACL。
11. 根據權利要求10所述的網絡設備的報文訪問控制系統，其特徵 在於，所述專用硬體晶片為一片或多片，分別對應一個或多個接口，且 每一專用硬體晶片都設有NAT功能識別單元、入接口 ACL匹配單元、 出接口 ACL匹配單元和ACL存儲單元。
12. 根據權利要求IO或11所述的網絡設備的報文訪問控制系統，其 特徵在於，所述網絡設備為由接口板和多業務板構成的分布式架構網絡 設備，所述專用硬體晶片設置在接口板上，與設置在各業務板上的業務 處理單元連接。
全文摘要
本發明公開了一種網絡設備的報文訪問控制方法及系統。該方法對於入接口ACL匹配的處理策略為允許且未開啟網絡地址轉換NAT功能的輸入報文執行以下步驟查找該輸入報文的出接口信息，根據在相應出接口上所應用的ACL指令，對該輸入報文執行出接口ACL匹配；對於匹配的處理策略為允許的輸入報文執行業務處理，並將業務處理完成後獲得的輸出報文直接通過相應出接口轉發。通過本發明提供的方法和系統，僅對出接口ACL匹配之後允許的輸入報文進行業務處理，從而節省了網絡設備的系統資源和提高了網絡設備的處理效率。
文檔編號H04L29/06GK101267437SQ20081009433
公開日2008年9月17日 申請日期2008年4月28日 優先權日2008年4月28日
發明者凱 瞿 申請人:杭州華三通信技術有限公司