[0037] 以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0038] 请参阅图1,本发明提供一种ACL配置方法,包括:
[0039] 步骤S1:创建对应ACL模板的预设时间段;
[0040] 步骤S2:绑定所述预设时间段及所述ACL模板,并绑定所述ACL模板至路由交换设备的端口,以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效。在本实施例中,所述生效指的是通过ACL模板的激活来生效。
[0041] 在本实施例中:
[0042] 为了有效的控制特定端口上在特定的时间段内对数据流进行限制,引入了时间段的概念,在预设好了时间段后,将时间段绑定到ACL模板上,从而限制该模板中的规则,在指定的时间段内生效。
[0043] 在本实施例中,所述预设时间段包括:周期性时间段、非周期性时间段。对于时间段中的时间,定义了两种不同的类型:绝对时间和相对时间。绝对时间是指周期性时间,相对时间是指从某一点时间到另外的某一点时间。在时间段的配置中,一个时间段的组合方式有三种:只存在绝对时间、只存在相对时间以及绝对时间和相对时间共存。所述绝对时间就是周期性时间段;相对时间就是非周期性时间段,还有就是绝对时间和相对时间同时使用。每个ACL模板可以一一对应绑定有时间段,可以是全绑定周期性时间段,也可以是全绑定非周期性时间段,或可以是部分绑定周期性时间段,部分绑定非周期性时间段,这都可以视实际需求来进行设定。
[0044] 在本实施例中,设定可支持的最大时间段为64个,在用户要删除或者修改时间段时,需要检查时间段是否已经被使用,如果时间段已使用,则用户不能进行删除和修改操作;较佳的,为了避免设定的多余的没有绑定上ACL模板的时间段,还可以删除未绑定的预设时间段。
[0045] 具体的,可以参考如图2所示的ACL配置方法的一种实施例,以说明上述预设时间段可以如何设定绑定及管理,当然并非以此为限。
[0046] 优选的,所述限定所述ACL模板在所绑定的预设时间段内、在所绑定的端口生效,包括以下多种情况及对应动作:
[0047] (1)所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板未生效(即未激活),将所述ACL模板下发至所述路由交换设备的驱动中;
[0048] (2)所述ACL模板的当前时间在所绑定的预设时间段之外,且所在ACL模板已生效,将该ACL模板从所述路由交换设备的驱动中删除;
[0049] (3)所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板已生效,则不加以变化;
[0050] (4)所述ACL模板的当前时间在所绑定的预设时间段之外,且所述ACL模板未生效,则不加以变化。
[0051] 本发明的ACL模板是在现有技术的3种ACL类型外新添加了一种新的ACL类型——用户自定义类型,用户自定义ACL可以数据帧的二层数据帧头、IP报文头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的数据帧或报文,然后进行相应的处理。如果是在现有技术的3中ACL类型取值范围的情况下,这个用户自定义ACL的序号取值范围为300~499,也就是在现有技术的3中ACL类型之外了。
[0052] 在本实施例中,在所述ACL模板中含有多个ACL规则;所述多个ACL规则在ACL模板中为可调整先后顺序的,以供调整ACL规则的优先级;承上,在激活模板之前,用户如果需要修改模板中规则的优先级,可以通过移动模板中的规则顺序,由于规则优先级是通过规则的创建顺序来确定的,为了可以人为的修改规则优先级,中添加了模板中规则的移动功能,只需将规则从原有位置移动到所需位置后,规则的优先级就会进行改变。
[0053] 以下说明本实施例中的ACL模板如何具体运作实现ACL过滤:在用户自定义访问控制列表中,用户可以使用规则掩码和偏移量两个参数共同从数据帧中提取前80个字节中的任意字节,然后和用户定义的规则比较,从而过滤出匹配的数据帧,作相应的处理。其工作原理为:系统根据offset(指定的偏移量)提取出数据帧字符串,与rule-mask(规则掩码)进行“与操作,然后与用户定义的rule-string(规则字符串)比较,过滤出匹配的数据帧。
[0054] 同一规则中,最多可以对报文中的4段字符串进行匹配。
[0055] ●rule-string:用户自定义的规则字符串,必须是16进制数组成,字符长度必须是偶数。
[0056] ●rule-mask:规则字符串的掩码,用于和报文作“与”操作,必须是16进制数组成,字符长度必须是偶数,且rule-mask的长度必须和rule-string的长度相同。
[0057] ●offset:偏移量,它以用户指定的数据帧头部为基准,指定从第几个字节开始进行比较。
[0058] 所述用户自定义ACL访问控制列表可以根据数据帧的前80个字节中的任意32字节制定ACL规则。例示性的,数据帧的前64个字节代表含义及偏移量可以参考下表:
[0059]
[0060] 在本实施例中,所述ACL配置方法包括:提取所述端口接收数据帧中的指定字节,其中,所述指定字节指的是:通过规则字符串掩码、对应所述数据帧结构的指定偏移量在所述数据帧前80个字节中提取的任意字节;根据所提取指定字节和ACL模板中规则的字符串进行比较,以过滤出匹配的数据帧,上述各种实现方式同样可以用于报文;也就是说,各个字段的偏移量是它们在例如ETH II+VLAN Tag数据帧中的偏移量;在用户定义ACL模板中,用户可以使用规则掩码和偏移量两个参数共同从数据帧中提取前80个字节中的任意字节,然后和用户定义的规则比较,从而过滤出匹配的数据帧,作相应的处理(如转发、丢弃等)。
[0061] 如图3所示,以一实施例来例示性说明所述ACL模板的建立、与端口绑定、与预设时间段进行绑定的流程,但非以此为限。
[0062] 如图4所示,本发明提供一种ACL配置系统1,其技术原理及实施与所述ACL配置方法大致相同,因此在下文不再对部分技术细节重复赘述;所述ACL配置系统1包括:时间段创建模块11,用于创建对应ACL模板的预设时间段;绑定模块12,用于绑定所述预设时间段及所述ACL模板,并绑定所述ACL模板至路由交换设备的端口,以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效。
[0063] 优选的,所述预设时间段包括:周期性时间段、非周期性时间段。
[0064] 优选的,所述绑定模块12,还用于删除未绑定的预设时间段。
[0065] 优选的,所述限定所述ACL模板在所绑定的预设时间段内、在所绑定的端口生效,包括:所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板未生效,将所述ACL模板下发至所述路由交换设备的驱动中;所述ACL模板的当前时间在所绑定的预设时间段之外,且所在ACL模板已生效,将该ACL模板从所述路由交换设备的驱动中删除;所述ACL模板的当前时间在所绑定的预设时间段内,且所述ACL模板已生效,则不加以变化;所述ACL模板的当前时间在所绑定的预设时间段之外,且所述ACL模板未生效,则不加以变化。
[0066] 优选的,所述ACL模板中含有多个ACL规则;所述多个ACL规则在ACL模板中为可调整先后顺序的,以供调整ACL规则的优先级。
[0067] 优选的,所述ACL模板中的规则是根据数据帧的前80个字节中任意32字节来制定的。
[0068] 优选的,所述ACL配置系统1,还可以包括:提取模块,用于提取所述端口接收数据帧中的指定字节,其中,所述指定字节指的是:通过规则字符串掩码、对应所述数据帧结构的指定偏移量在所述数据帧前80个字节中提取的任意字节;比较模块,用于根据所提取指定字节和ACL模板中规则的字符串进行比较,以过滤出匹配的数据帧。
[0069] 综上所述,本发明提供一种ACL配置方法及系统,通过创建对应ACL模板的预设时间段,进而绑定所述预设时间段及所述ACL模板,并绑定所述ACL模板至路由交换设备的端口,以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效,同时,ACL模板内的规则也是可以调整先后位置的,实现灵活配置ACL及ACL规则的目的,加强了ACL的管理效率,在实际的应用中对运营商的管理和计费能够更好的支持。
[0070] 总结来说,本发明的优点包括:
[0071] 增加了用户自定义类型,使设备对网络中的数据流能够更广泛的进行管理,能够包含更多的数据流种类,在定义规则时,通过对数据帧结构中的前80个字节中的最多任意32字节制定ACL规则增加了规则配置的灵活程度;
[0072] 模板中规则创建了后,可以通过移动模板中的规则顺序而改变模板中规则优先级,能够灵活的控制同一模板中规则优先级;
[0073] 添加时间段概念,通过将特定的时间段绑定到模板上,使端口在绑定了模板上后可以在特定时间段中有效,使设备对数据流的管理更加灵活;
[0074] 加强了ACL的管理效率,在实际的应用中对运营商的管理和计费能够更好的支持;加强设备对网络数据流的控制性,提高对数据流的控制的灵活度,对数据流的控制更加的细致,提高数据流的可管程度。
[0075] 经申请人试验证明,本发明已在路由交换产品上实现并且通过了测试,该ACL功能的实现在对网络中的数据流的控制力度和灵活度上有了很大的提高。
[0076] 上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
