一种访问控制规则配置方法、装置、交换机及存储介质转让专利
申请号 : CN202011082390.3
文献号 : CN112073438B
文献日 : 2021-12-17
发明人 : 胡明明
申请人 : 迈普通信技术股份有限公司
摘要 :
权利要求 :
1.一种访问控制规则配置方法,其特征在于,应用于交换机,包括:接收第一访问控制规则,并确定所述第一访问控制规则绑定的逻辑链路;
获取所述逻辑链路已配置的访问控制规则;
判断所述逻辑链路已配置的访问控制规则中是否存在第二控制规则,所述第二控制规则的所有字段被所述第一访问控制规则所包含;
若是,则根据所述第一访问控制规则从所述逻辑链路的所有物理端口中筛选出目标端口,并将所述第一访问控制规则配置在所述目标端口上。
2.根据权利要求1所述的方法,其特征在于,在所述判断所述逻辑链路已配置的访问控制规则中是否存在第二控制规则之后,还包括:若所述逻辑链路已配置的访问控制规则中不存在所述第二控制规则,则将所述第一访问控制规则配置在所述逻辑链路的所有物理端口上。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一访问控制规则从所述逻辑链路的所有物理端口中筛选出目标端口,包括:从所述逻辑链路下的所有物理端口中筛选出多个可用端口,所述可用端口是处于正常工作状态UP的物理端口;
根据所述第一访问控制规则从所述多个可用端口中筛选出目标端口。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一访问控制规则从所述逻辑链路的所有物理端口中筛选出目标端口,包括:使用交换芯片根据所述第一访问控制规则从所述逻辑链路下的所有物理端口中筛选出目标端口。
5.根据权利要求1所述的方法,其特征在于,所述将所述第一访问控制规则配置在所述目标端口上,包括:
在关系映射表中查找与所述目标端口对应的芯片,所述关系映射表存储有端口和芯片之间映射关系;
将所述第一访问控制规则转发至所述目标端口映射的芯片,以使所述目标端口映射的芯片将接收到的所述第一访问控制规则存储至所述目标端口的配置信息中,所述配置信息用于所述目标端口对经过的数据流量进行访问控制。
6.根据权利要求1所述的方法,其特征在于,在所述将所述第一访问控制规则配置在所述目标端口上之后,还包括:
在所述逻辑链路下的所有物理端口中的任一端口状态发生变化后,获得变化后的多个可用端口;
根据所述第一访问控制规则从所述变化后的多个可用端口中筛选出候选端口;
若所述目标端口映射的芯片与所述候选端口映射的芯片是不同的芯片,则将所述第一访问控制规则重新配置在所述候选端口上,并从所述目标端口上删除配置的所述第一访问控制规则。
7.一种访问控制规则配置装置,其特征在于,应用于交换机,包括:逻辑链路确定模块,用于接收第一访问控制规则,并确定所述第一访问控制规则绑定的逻辑链路;
控制规则获取模块,用于获取所述逻辑链路已配置的访问控制规则;
控制规则判断模块,用于判断所述逻辑链路已配置的访问控制规则中是否存在第二控制规则,所述第二控制规则的所有字段被所述第一访问控制规则所包含;
第一规则配置模块,用于若所述逻辑链路已配置的访问控制规则中存在所述第二控制规则,则根据所述第一访问控制规则从所述逻辑链路的所有物理端口中筛选出目标端口,并将所述第一访问控制规则配置在所述目标端口上。
8.根据权利要求7所述的装置,其特征在于,还包括:第二规则配置模块,用于所述逻辑链路已配置的访问控制规则中不存在所述第二控制规则,则将所述第一访问控制规则配置在所述逻辑链路的所有物理端口上。
9.一种交换机,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述机器可读指令被所述处理器执行时执行如权利要求1至6任一所述的方法。
10.一种存储介质,其特征在于,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至6任一所述的方法。
说明书 :
一种访问控制规则配置方法、装置、交换机及存储介质
技术领域
背景技术
态备份,可以提供更高的网络连接可靠性。
及行为;其中,ACL中的访问控制规则也被简称为ACL表项,即ACL表项表示访问控制列表中
的一条或者多条访问控制规则,ACL表项可以被防火墙、交换机或者出口路由器等设备使
用,具体地,这些设备可以根据ACL中的访问控制规则对数据流量进行访问控制和管理等操
作。
以使该逻辑链路下的所有物理端口均需要根据访问控制规则配置对经过的数据流量进行
访问控制。在具体的实践过程中发现,数据流量中的每一条数据,在经过此逻辑链路的时
候,只会从其中一个物理端口中经过,即只需要在一个物理端口上进行访问控制规则的匹
配。因此,目前的方法存在着所有物理端口都进行数据流量匹配导致端口ACL表项资源浪费
的问题。
发明内容
制规则;判断逻辑链路已配置的访问控制规则中是否存在第二控制规则,第二控制规则的
所有字段被第一访问控制规则所包含;若是,则根据第一访问控制规则从逻辑链路的所有
物理端口中筛选出目标端口,并将第一访问控制规则配置在目标端口上。在上述的实现过
程中,通过对接收的第一访问控制规则的所有字段和逻辑链路已配置的访问控制规则的所
有字段进行比较,从而确定将访问控制规则配置在逻辑链路的所有物理端口中筛选出的目
标端口上,有效地避免了将第一访问控制规则下发到链路汇聚下的所有物理端口的情况。
因此,使用访问控制规则配置方法可以将访问控制规则配置在目标端口上,从而在对数据
流量进行访问控制达到同样效果的情况下,尽可能更少地占用ACL表项资源,改善了所有物
理端口映射的芯片都进行访问控制规则配置下发导致ACL表项资源浪费的问题。
将第一访问控制规则配置在逻辑链路的所有物理端口上。在上述的实现过程中,若逻辑链
路已配置的访问控制规则中不存在第二控制规则,则将第一访问控制规则配置在逻辑链路
的所有物理端口上;从而有效地在不破坏原来下发访问控制规则的情况下,即不破坏原来
让访问控制规则生效过程的情况下,使访问控制规则配置方法与原来的方法兼容,提高了
访问控制规则配置方法的可用性和鲁棒性。
是处于正常工作状态(UP)的物理端口;根据第一访问控制规则从多个可用端口中筛选出目
标端口。在上述的实现过程中,通过从逻辑链路下的所有物理端口中筛选出多个可用端口;
将多个可用端口中的可用端口确定为目标端口,从而避免配置到不可用的物理端口中造成
ACL表项资源浪费,有效地提高了访问控制规则配置的精确度。
端口中筛选出目标端口。
第一访问控制规则转发至目标端口映射的芯片,以使目标端口映射的芯片将接收到的第一
访问控制规则存储至目标端口的配置信息中,配置信息用于目标端口对经过的数据流量进
行访问控制。在上述的实现过程中,通过在关系映射表中查找与目标端口对应的芯片,关系
映射表存储有端口和芯片之间映射关系,再将第一访问控制规则转发至目标端口映射的芯
片;从而仅将第一访问控制规则转发至目标端口映射的芯片上,避免转发至逻辑链路下的
其它无关芯片,有效地改善了芯片资源浪费的问题,提高了芯片资源的使用率。
端口;根据第一访问控制规则从变化后的多个可用端口中筛选出候选端口;若目标端口映
射的芯片与候选端口映射的芯片是不同的芯片,则将第一访问控制规则重新配置在候选端
口上,并从目标端口上删除配置的第一访问控制规则。在上述的实现过程中,通过在逻辑链
路下的所有物理端口中的任一端口状态发生变化后,并根据第一访问控制规则从变化后的
多个可用端口中筛选出与目标端口映射的芯片不同的候选端口,最后将第一访问控制规则
重新配置在候选端口上;从而避免了逻辑链路下的所有物理端口中的任一端口状态发生变
化后,访问控制规则没有重新配置导致流量匹配异常的问题,有效地提高了访问控制规则
配置方法的鲁棒性和可用性。
规则获取模块,用于获取逻辑链路已配置的访问控制规则;控制规则判断模块,用于判断逻
辑链路已配置的访问控制规则中是否存在第二控制规则,第二控制规则的所有字段被第一
访问控制规则所包含;第一规则配置模块,用于若逻辑链路已配置的访问控制规则中存在
第二控制规则,则根据第一访问控制规则从逻辑链路的所有物理端口中筛选出目标端口,
并将第一访问控制规则配置在目标端口上。
端口上。
物理端口;第一端口确定模块,用于根据第一访问控制规则从多个可用端口中筛选出目标
端口。
规则转发存储模块,用于将第一访问控制规则转发至目标端口映射的芯片,以使目标端口
映射的芯片将接收到的第一访问控制规则存储至目标端口的配置信息中,配置信息用于目
标端口对经过的数据流量进行访问控制。
端口;候选端口筛选模块,用于根据第一访问控制规则从变化后的多个可用端口中筛选出
候选端口;规则重新配置模块,用于若目标端口映射的芯片与候选端口映射的芯片是不同
的芯片,则将第一访问控制规则重新配置在候选端口上,并从目标端口上删除配置的第一
访问控制规则。
附图说明
作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他相关的附图。
具体实施方式
对象的认证、对目标对象的授权和该目标对象使用该项资源的权限进行审核等等管理。
示为:[目的MAC地址:A1],那么就表示匹配出目的MAC地址为A1的数据流量。
为散列值(hash values,hash codes,hash sums或hashes)的指纹;散列值通常用一个短的
随机字母和数字组成的字符串来代表。
链路层的交换机,也可以是工作在网络层的交换机。
链路汇聚后,获得一个逻辑链路;可以使用访问控制规则配置方法提升链路汇聚后的交换
机对访问控制规则的使用效率,也可以使用访问控制规则配置方法提高交换机中的芯片对
相应的物理端口进行数据流量匹配的准确率,或者使用访问控制规则配置方法来解决逻辑
链路下的所有物理端口都进行数据流量匹配导致ACL表项资源浪费的问题等。
践的过程中发现,经过此逻辑链路的数据流量中的每一条数据,只会从其中一个物理端口
中经过,即只需要在一个物理端口上进行访问控制规则的匹配;因此,通过对接收的第一访
问控制规则的所有字段和逻辑链路已配置的访问控制规则的所有字段进行比较,从而确定
将访问控制规则配置在逻辑链路的所有物理端口中筛选出的目标端口上,有效地避免了将
第一访问控制规则下发到链路汇聚下的所有物理端口的情况。因此,使用访问控制规则配
置方法可以将访问控制规则配置在目标端口上,从而在对数据流量进行访问控制达到同样
效果的情况下,尽可能更少地占用ACL表项资源,改善了所有物理端口映射的芯片都进行访
问控制规则配置下发导致ACL表项资源浪费的问题;在交换机上执行上述的访问控制规则
配置方法可以包括:
述的两台设备中的任一台设备可以是执行访问控制规则配置方法的交换机,该交换机上设
置有多个物理端口,该交换机上也可以配置有多个逻辑链路,即交换机的多个物理端口可
以属于不同的逻辑链路,一个物理端口可以对应一个物理链路;逻辑链路下的物理端口可
以配置访问控制规则。
使用CLI提交第一访问控制规则,然后该交换机接收管理员的终端设备发送的第一访问控
制规则。第二种实施方式,也可以由网络管理员将第一访问控制规则上传和存储在服务器
上,通过网络管理员与服务器的交互触发服务器向交换机发送第一访问控制规则,然后交
换机接收服务器发送的第一访问控制规则,其中,网络管理员与服务器的交互触发的方式
有很多种,具体例如:通过图形用户界面(Graphical User Interface,GUI)或者应用程序
接口(Application Programming Interface,API)等等。
其中,链路规则映射表里存储着交换机上的逻辑链路与访问控制规则的绑定映射关系,缓
存的链路规则映射表可以是指存储在缓存键值对(key‑value)数据库中的链路规则映射
表,缓存键值对数据库例如:Memcached和Redis等。第二种实施方式,如果通过第一种实施
方式没有查询到第一访问控制规则绑定的逻辑链路,那么可以从本地存储的配置文件中查
询第一访问控制规则绑定的逻辑链路,该配置文件可以是网络管理员新建和维护的。第三
种实施方式,如果通过第一种实施方式和第二种实施方式均没有查询到第一访问控制规则
绑定的逻辑链路,那么可以向存储该交换机上的逻辑链路与访问控制规则的绑定映射关系
的服务器查询获得,其中,此处的存储绑定映射关系的服务器可以和上面的存储第一访问
控制规则的服务器是同一服务器,也可以是不同的服务器。
置的访问控制规则可以用于负载均衡,负载均衡可以简单地理解为让逻辑链路下的多个物
理链路上的流量仅可能按照条件因素来分配,此处的条件因素例如:物理链路的负载能力
和带宽大小限制等等因素。
路配置规则表中存储着逻辑链路下所有物理端口已配置的访问控制规则。第二种实施方
式,如果通过第一种实施方式没有查询到该逻辑链路下所有物理端口已配置的访问控制规
则,那么可以从逻辑链路下所有物理端口的配置信息中获取已配置的访问控制规则。
理链路可以看作是一条逻辑链路;第一交换机与第一终端设备通信连接,第二交换机与第
二终端设备通信连接,第一终端设备与第二终端设备的通信过程就需要使用上面建立的逻
辑链路。上述步骤S130的实施方式有很多种,包括但不限于如下几种:
括:在获取逻辑链路下所有物理端口已配置的访问控制规则之后,对已配置的每条访问控
制规则进行判断;判断已配置的第二控制规则的所有字段是否被第一访问控制规则所包
含;具体例如:假设第一访问控制规则表示为[源MAC地址:A1,目标MAC地址:B1],若第二访
问控制规则为[源MAC地址:A1]或者[源MAC地址:A2],那么第二控制规则的所有字段是被第
一访问控制规则所包含的,若第二访问控制规则为[源MAC地址:A1,目标MAC地址:B1,类型:
C]或者[源MAC地址:A1,类型:C],那么第二控制规则的所有字段不是被第一访问控制规则
所包含的。
制规则,该实施方式可以包括:对已配置的每条访问控制规则进行判断;判断已配置的第二
控制规则的所有字段值是否被第一访问控制规则所包含;具体例如:假设第一访问控制规
则表示为[源MAC地址:A1,目标MAC地址:B1],若第二访问控制规则为[源MAC地址:A1],那么
第二控制规则的所有字段是被第一访问控制规则所包含的,若第二访问控制规则为[源MAC
地址:A2],那么第二控制规则的所有字段是被第一访问控制规则所包含的,若第二访问控
制规则为[源MAC地址:A1,目标MAC地址:B1,类型:C],那么第二控制规则的所有字段不是被
第一访问控制规则所包含的。
第一访问控制规则配置在目标端口上。
正常工作状态(DOWN)的物理端口则不是可用端口。
筛选,将逻辑链路下的所有端口状态为UP的物理端口确定为可用端口,获得多个可用端口。
口的配置信息包括第一访问控制规则的字段集合中的任一访问控制字段值,第一访问控制
规则表示为[源MAC地址:A1,目标MAC地址:B1],若可用端口的配置信息为[源MAC地址:A1]
或者[目标MAC地址:B1],那么可以将该可用端口确定为目标端口;也就是说,配置信息中只
要有第一访问控制规则中的任一访问控制字段,且该访问控制字段的值必须相同,才能确
定其为目标端口。
则的字段集合中的任一访问控制字段,第一访问控制规则表示为[源MAC地址:A1,目标MAC
地址:B1],若可用端口的配置信息为[源MAC地址:A2]或者[目标MAC地址:B2],那么可以将
该可用端口确定为目标端口;也就是说,配置信息中只要有第一访问控制规则的任一访问
控制字段即可,而不用关心具体的字段值。
规则配置在配置信息包括其字段集合中的任一访问控制字段的可用端口上,避免配置到其
他无关物理端口中造成ACL表项资源浪费,有效地提高了访问控制规则配置的精确度。
参考对步骤S141的描述。
哈希算法包括但不限于:MD5、SHA‑256/224、SHA‑512/384和WHIRLPOOL等算法。
口号对应的可用端口确定为目标端口。
端口;从而仅将第一访问控制规则配置在第一访问控制规则的所有字段对应的哈希值确定
出的目标端口上,避免配置到逻辑链路下的所有物理端口造成ACL表项资源浪费,有效地改
善了所有物理端口都占用资源导致ACL表项资源浪费的问题。
仅列举两种可以使用的交换芯片,具体例如:第一种,可以采用CTC8096(GoldenGate)智桥
系列的交换芯片,该交换芯片是专为高密度10GE/40GE应用打造的高性能以太网交换芯片;
第二种,可以采用CTC7132(TsingMa)芯片,该芯片是面向云时代和边缘计算技术演进需求
推出的第六代核心交换芯片。
有物理端口中筛选出的目标端口上,有效地避免了将第一访问控制规则下发到链路汇聚下
的所有物理端口的情况;因此,使用访问控制规则配置方法可以将访问控制规则配置在目
标端口上,从而在对数据流量进行访问控制达到同样效果的情况下,尽可能更少地占用ACL
表项资源,改善了所有物理端口映射的芯片都进行访问控制规则配置下发导致ACL表项资
源浪费的问题。
端口,一个物理端口可以只映射一个芯片。
从而让芯片根据配置信息中的第一访问控制规则对经过目标端口的数据流量进行访问控
制。
入目标端口对应的配置信息中,该实施方式可以包括:
参考对步骤S147的描述。
片;从而仅将第一访问控制规则转发至目标端口映射的芯片上,避免转发至逻辑链路下的
其它无关芯片,有效地改善了芯片资源浪费的问题,提高了芯片资源的使用率。
判断过程可以参照步骤S130的实施方式,将第一访问控制规则配置在逻辑链路的所有物理
端口上的实施方式可以参照步骤S140的两种实施方式;因此,这里不再对该步骤的实施方
式和实施原理进行说明,如有不清楚的地方,可以参考对步骤S110的描述。
下发访问控制规则的情况下,即不破坏原来让访问控制规则生效过程的情况下,使访问控
制规则配置方法与原来的方法兼容,提高了访问控制规则配置方法的可用性和鲁棒性。
状态的变化情况,确定是否重新配置访问控制规则到新端口上;也就是说,在步骤S140或者
步骤S150之后,还可以包括:
那么需要从逻辑链路下的三个物理端口中获得变化后的可用端口,此时的可用端口为两个
物理端口。该实施方式又例如:假设逻辑链路下共有三个物理端口,且三个物理端口中的两
个端口状态均为UP,剩下的一个端口状态为DOWN;若端口状态为DOWN的物理端口的端口状
态变为UP,那么需要从逻辑链路下的三个物理端口中获得变化后的可用端口,此时的可用
端口为三个物理端口。
楚的地方,可以参考对步骤S140的描述。
任一访问控制字段或者任一访问控制字段值。
状态(DOWN),那么可以获取到变化后的可用端口为A和B两个可用端口,再从A和B两个可用
端口确定候选端口,该候选端口需要满足的预设条件为配置信息包括第一访问控制规则的
字段集合中的任一访问控制字段或者任一访问控制字段值;若物理端口A满足该预设条件,
则将物理端口A确定为候选端口;若物理端口B满足该预设条件,则将物理端口B确定为候选
端口。
仅列举两种可以使用的交换芯片,具体例如:第一种,可以采用CTC8096(GoldenGate)智桥
系列的交换芯片,该交换芯片是专为高密度10GE/40GE应用打造的高性能以太网交换芯片;
第二种,可以采用CTC7132(TsingMa)芯片,该芯片是面向云时代和边缘计算技术演进需求
推出的第六代核心交换芯片。
新配置在候选端口上的实施方式可以参照步骤S140的两种实施方式,从目标端口上删除配
置的第一访问控制规则;如果该目标端口有独立芯片处理控制访问,那么可以从目标端口
对应芯片上存储的配置信息中删除第一访问控制规则。
换芯片不同的候选端口,最后将第一访问控制规则重新配置在候选端口上;从而避免了逻
辑链路下的所有物理端口中的任一端口状态发生变化后,访问控制规则没有重新配置导致
流量匹配异常的问题,有效地提高了访问控制规则配置方法的鲁棒性和可用性。
访问控制规则配置在目标端口上。
息用于目标端口对经过的数据流量进行访问控制。
问控制规则。
适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器
中或固化在装置的操作系统(operating system,OS)中的软件功能模块。
器可读指令,机器可读指令被处理器410执行时执行如上的方法。
编程只读存储器(Electrically Erasable Programmable Read‑Only Memory,简称
EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称
EPROM),可编程只读存储器(Programmable Red‑Only Memory,简称PROM),只读存储器
(Read‑Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
显示了根据本申请实施例的多个实施例的装置、方法和计算机程序产品的可能实现的体系
架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代
码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可
执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以和附图
中所标注的发生顺序不同。例如,两个连续的方框实际上可以基本并行地执行,它们有时也
可以按相反的顺序执行,这主要根据所涉及的功能而定。也要注意的是,框图和/或流程图
中的每个方框、以及框图和/或流程图中的方框的组合,可以使用执行规定的功能或动作的
专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
部分。
的关系或者顺序。
想到变化或替换,都应涵盖在本申请实施例的保护范围之内。