專利名稱:一種在聚合端口訪問控制列表的裝置及其實現方法
技術領域:
本發明涉及路由器、交換機等網絡設備,具體地,涉及網絡設備訪問控制列表的方法。
一種在現行只支持在物理端口的ACL(訪問控制列表)設備上實現基于Trunk(聚合端口)的ACL的方法。涉及到各種實現基于端口的ACL設備,包括各種路由器、交換機等設備。
背景技術:
ACL(訪問控制列表)近年來被廣泛用于網絡設備中,實現流分類、控制、統計等,是網絡設備中的許多功能的基礎。但是目前大多數網絡設備使用的芯片只能支持在物理端口的ACL,即ACL規則只能綁定到物理端口。Trunk端口,被稱為聚合端口或者干道端口,是把多個物理端口聚合起來,當作一個邏輯端口來使用,此邏輯端口具有物理端口的部分屬性,可以實現流量的負載均衡,鏈路冗余等功能。隨著應用的不斷深入,在Trunk端口的ACL的需求被提出,即如何在只能支持在物理端口的ACL的網絡設備中實現在Trunk端口的ACL。
發明內容
本發明要解決的技術問題是,提出一種技術方案,在現有支持在物理端口的ACL的設備中實現在Trunk的ACL。
本發明中的一種實現在聚合端口訪問控制列表的裝置,包括配置模塊、下發綁定模塊、更改通知模塊;其中配置模塊用于接受用戶配置,分析目前聚合端口所包含的物理端口,調用所述下發綁定模塊將在聚合端口的訪問控制列表下發到聚合端口所包含的所有物理端口,并在訪問控制列表規則中添加聚合端口號用作識別的字段值;下發綁定模塊負責將在聚合端口的訪問控制列表規則綁定到物理端口,在訪問控制列表規則刪除或者更改時,負責解綁定或者重新綁定訪問控制列表規則到物理端口;更改通知模塊,用于在聚合端口的配置改變時獲取聚合端口的更改信息,對比已經配置的在聚合端口的訪問列表信息,調用所述下發綁定模塊,增加或者減少物理端口的訪問列表綁定;在聚合端口刪除或者在聚合端口訪問控制列表規則解綁定時,更改通知模塊會及時刪除此聚合端口下的所有物理端口的綁定。
本發明中應用上述裝置實現在聚合端口訪問控制列表的方法,包括以下步驟第一步,配置模塊配置聚合端口所包含的物理端口;第二步,配置模塊配置訪問控制列表規則;第三步,下發綁定模塊將第二步配置的規則應用到聚合端口;配置模塊將分析聚合端口所包含的物理端口,獲取端口列表;第四步,下發綁定模塊將應用到聚合端口的訪問控制列表規則分別綁定到物理端口;第五步,如果聚合端口所包含的物理端口有變化,或者聚合端口被刪除,更改通知模塊對比聚合端口的前后變化,重新下發端口的綁定或者解綁定。
本發明能使目前只能在端口訪問控制列表的設備適應網絡發展需要,平滑升級到在聚合端口該問控制列表。
圖1是本發明中的方法的流程圖。
具體實施例方式
本發明的裝置已有發明內容部分詳細介紹,圖1表示的本發明的流程在發明內容中也已有描述。這里不再重復。
下面通過一個具體的實施例對本發明的方法進行說明。假定想在Trunk 10(包含端口1-8)上應用一條ACL規則acll。
第一步,配置Trunk 10所包含的端口1-8。
第二步,配置要應用的ACL規則,比如丟棄某一源IP的報文,允許某一應用層的報文等。
第三步,將ACL規則應用到Trunk 10,此時,基于Trunk的ACL配置模塊將分析Trunk 10所包含的端口,獲取端口列表端口1-8。
第四步,ACL下發綁定模塊將應用到Trunk 10的ACL規則分別綁定到端口1-8。
第五步,如果Trunk 10所包含的端口有變化,或者Trunk 10被刪除,Trunk更改通知模塊對比Trunk 10的前后變化,即所包含端口的變化(如果是Trunk 10被刪除,則刪除所有端口的ACL綁定)重新下發端口的綁定或者解綁定。
權利要求
1.一種實現在聚合端口訪問控制列表的裝置,包括配置模塊、下發綁定模塊、更改通知模塊;其中配置模塊用于接受用戶配置,分析目前聚合端口所包含的物理端口,調用所述下發綁定模塊將在聚合端口的訪問控制列表下發到聚合端口所包含的所有物理端口,并在訪問控制列表規則中添加聚合端口號用作識別的字段值;下發綁定模塊負責將在聚合端口的訪問控制列表規則綁定到物理端口,在訪問控制列表規則刪除或者更改時,負責解綁定或者重新綁定訪問控制列表規則到物理端口;更改通知模塊,用于在聚合端口的配置改變時獲取聚合端口的更改信息,對比已經配置的在聚合端口的訪問列表信息,調用所述下發綁定模塊,增加或者減少物理端口的訪問列表綁定;在聚合端口刪除或者在聚合端口訪問控制列表規則解綁定時,更改通知模塊及時刪除此聚合端口下的所有物理端口的綁定。
2.一種實現在聚合端口訪問控制列表的方法,包括以下步驟第一步,配置模塊配置聚合端口所包含的物理端口;第二步,配置模塊配置訪問控制列表規則;第三步,下發綁定模塊將第二步配置的規則應用到聚合端口;配置模塊將分析聚合端口所包含的物理端口,獲取端口列表;第四步,下發綁定模塊將應用到聚合端口的訪問控制列表規則分別綁定到物理端口;第五步,如果聚合端口所包含的物理端口有變化,或者聚合端口被刪除,更改通知模塊對比聚合端口的前后變化,重新下發端口的綁定或者解綁定。
全文摘要
一種在聚合端口訪問控制列表的裝置及其實現方法,裝置包括配置模塊、下發綁定模塊、更改通知模塊。方法為配置模塊配置聚合端口所包含的物理端口;配置模塊配置訪問控制列表規則;下發綁定模塊將第二步配置的規則應用到聚合端口;配置模塊將分析聚合端口所包含的物理端口,獲取端口列表;下發綁定模塊將應用到聚合端口的訪問控制列表規則分別綁定到物理端口;如果聚合端口所包含的物理端口有變化,或者聚合端口被刪除,更改通知模塊對比聚合端口的前后變化,重新下發端口的綁定或者解綁定。本發明能使目前只能在端口訪問控制列表的設備適應網絡發展需要,平滑升級到在聚合端口該訪問控制列表。
文檔編號H04L12/04GK101090403SQ20061006120
公開日2007年12月19日 申請日期2006年6月15日 優先權日2006年6月15日
發明者陳曉 申請人:中興通訊股份有限公司