專利名稱:自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法及其應(yīng)用的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)訪問(wèn)控制技術(shù)��,尤其涉及一種訪問(wèn)控制列表中各規(guī)則的排序方法����。
ACL一般最多可包含128條相關(guān)的規(guī)則,各規(guī)則中記錄著網(wǎng)絡(luò)地址范圍�、端口號(hào)范圍、承載的協(xié)議類型及是否允許訪問(wèn)等信息內(nèi)容�,并且各規(guī)則中所記錄的地址范圍或端口范圍可以是包含與被包含的關(guān)系。ACL規(guī)則一般通過(guò)以下兩種方式引用一種是按數(shù)字排列順序引用����;另一種是按名字順序引用。ACL規(guī)則按內(nèi)容分有三種形式標(biāo)準(zhǔn)的ACL規(guī)則和擴(kuò)展的ACL規(guī)則以及基于接口過(guò)濾的ACL規(guī)則����;標(biāo)準(zhǔn)的ACL規(guī)則僅包括源地址���;擴(kuò)展的ACL規(guī)則可以包括源地址、目的地址�、源端口號(hào)、目的端口號(hào)等����;基于接口過(guò)濾的ACL規(guī)則僅規(guī)定數(shù)據(jù)包進(jìn)入時(shí)經(jīng)過(guò)的接口名。
在按ACL規(guī)則的排列順序進(jìn)行數(shù)據(jù)包匹配時(shí)�����,只要遇到第一個(gè)相匹配的規(guī)則便立即返回���,而不再繼續(xù)進(jìn)行下一條規(guī)則的匹配���。當(dāng)ACL中配置了多條具有包含和被包含關(guān)系的規(guī)則時(shí),若用戶要求應(yīng)用被包含的(表示范圍相對(duì)較小的)規(guī)則對(duì)數(shù)據(jù)包的訪問(wèn)權(quán)限進(jìn)行控制���,則表示范圍相對(duì)較小的規(guī)則在ACL中的順序應(yīng)該排列在包含該規(guī)則的規(guī)則前面�����。目前是采用按照用戶配置順序的人工排序方法���。
由上述現(xiàn)有技術(shù)可以看出ACL規(guī)則的排列順序不同��,將導(dǎo)致同一數(shù)據(jù)包與不同的規(guī)則相匹配�����,如果用戶希望按照自己的要求使各個(gè)數(shù)據(jù)包分別與相應(yīng)的規(guī)則相匹配,則要求ACL中不同表示范圍的規(guī)則具有不同的匹配優(yōu)先級(jí)����,并按照匹配優(yōu)先級(jí)順序?qū)CL中的各規(guī)則進(jìn)行排序。當(dāng)用戶配置ACL規(guī)則時(shí)�����,例如根據(jù)需要向ACL中增加新的規(guī)則����,若按照現(xiàn)有技術(shù)中的人工配置規(guī)則順序的方法組織ACL規(guī)則,必須在鍵入配置命令之前進(jìn)行大量的人工計(jì)算�����,以確定各規(guī)則的優(yōu)先級(jí),隨著規(guī)則數(shù)量的增加�����,其工作難度也將成倍地增加����。因此,采用現(xiàn)有技術(shù)配置ACL規(guī)則���,如向ACL中增加新的規(guī)則���,對(duì)已經(jīng)建立的ACL規(guī)則進(jìn)行順序再調(diào)整的工作量非常大,從而使用戶向ACL中增加新的規(guī)則很不方便�。
本發(fā)明的目的是這樣實(shí)現(xiàn)的一種自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法,包括(1)根據(jù)需要設(shè)定訪問(wèn)控制列表(ACL)規(guī)則的排序原則��;(2)根據(jù)設(shè)定的排序原則���,自動(dòng)計(jì)算出ACL規(guī)則位于ACL中的順序位置���;(3)將ACL規(guī)則按照計(jì)算出的順序位置配置到ACL中。
一種自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法的應(yīng)用��,包括(21)根據(jù)需要配置ACL規(guī)則的排序方法,排序方法包括人工按序配置ACL規(guī)則的方法和自動(dòng)按序配置ACL規(guī)則的方法��;(22)當(dāng)配置ACL規(guī)則時(shí)���,查詢?cè)揂CL規(guī)則的排序方法���,如果是人工按序配置ACL規(guī)則的方法,則執(zhí)行步驟(23)���,如果是自動(dòng)按序配置ACL規(guī)則的方法����,則執(zhí)行步驟(24)����;(23)利用人工按序配置ACL規(guī)則的方法對(duì)ACL規(guī)則進(jìn)行排序�,并將各規(guī)則按序配置到ACL中相應(yīng)的位置;(24)利用自動(dòng)按序配置ACL規(guī)則的方法對(duì)ACL規(guī)則進(jìn)行排序��,并將各規(guī)則按序配置到ACL中相應(yīng)的位置���。
所述的自動(dòng)計(jì)算出ACL規(guī)則位于ACL中的順序位置��,包括(31)判斷ACL中是否存在表示范圍包含該需要確定順序位置規(guī)則的規(guī)則��,如果存在相應(yīng)的規(guī)則����,執(zhí)行步驟(32),否則�,執(zhí)行步驟(34);(32)確定包含該規(guī)則的規(guī)則中表示范圍最小的規(guī)則�;(33)該規(guī)則的順序位置位于該范圍最小的規(guī)則之前;
(34)該規(guī)則的順序位置按照配置時(shí)間順序的先后進(jìn)行設(shè)置����。
所述的規(guī)則的表示范圍為ACL規(guī)則中記錄的網(wǎng)絡(luò)地址范圍。
所述的確定包含該規(guī)則的規(guī)則中的表示范圍最小的規(guī)則是根據(jù)網(wǎng)絡(luò)地址范圍的通配符實(shí)現(xiàn)的��。
所述的規(guī)則的表示范圍為ACL規(guī)則中記錄的網(wǎng)絡(luò)地址范圍及端口范圍��。
所述的規(guī)則的表示范圍為ACL規(guī)則中記錄的接口范圍�����。
所述的自動(dòng)計(jì)算出ACL規(guī)則位于ACL中的順序位置����,包括(81)判斷ACL規(guī)則中是否存在網(wǎng)絡(luò)地址范圍包含需要確定順序位置規(guī)則的規(guī)則�,如果存在���,執(zhí)行步驟(82)��,否則����,執(zhí)行步驟(84)��;(82)確定包含該規(guī)則的規(guī)則中的表示范圍最小的規(guī)則�,執(zhí)行步驟(83);(83)該規(guī)則的順序位置位于該表示范圍最小的規(guī)則之前��,確定該規(guī)則在ACL中順序位置過(guò)程結(jié)束�����;(84)判斷ACL規(guī)則中是否存在與需要確定順序位置規(guī)則網(wǎng)絡(luò)地址范圍相同的規(guī)則����,如果存在�,執(zhí)行步驟(85),否則,執(zhí)行步驟(86)����;(85)根據(jù)ACL規(guī)則中記錄的端口范圍判斷是否存在包含該規(guī)則的規(guī)則,如果存在��,執(zhí)行步驟(82)���,否則�����,執(zhí)行步驟(86)���;(86)該規(guī)則的順序位置按照配置時(shí)間順序的先后進(jìn)行設(shè)置,確定該規(guī)則在ACL中順序位置過(guò)程結(jié)束����。
所述的利用人工按序配置ACL規(guī)則的方法對(duì)ACL規(guī)則進(jìn)行排序?yàn)槿斯じ鶕?jù)實(shí)際需要依據(jù)相應(yīng)的原則確定各ACL規(guī)則在ACL中的順序位置。
由上述技術(shù)方案可以看出�,本發(fā)明可以根據(jù)用戶的需要選擇設(shè)置ACL規(guī)則順序的配置方法,或者是人工配置順序的方法�,或者是自動(dòng)配置順序的方法。自動(dòng)配置順序的方法是利用地址通配符和端口號(hào)范圍來(lái)確定一條ACL規(guī)則的范圍����,然后根據(jù)該范圍的大小和用戶的需要對(duì)各規(guī)則進(jìn)行系統(tǒng)自動(dòng)排序�。本發(fā)明是對(duì)現(xiàn)有的ACL規(guī)則順序配置方法的一個(gè)增強(qiáng)性補(bǔ)充�,既保留了原有的人工配置順序的方法,滿足部分用戶的需要�����;又提供了一種新的自動(dòng)配置順序的方法�,當(dāng)用戶向ACL中增加新的規(guī)則,并需要按照規(guī)則表示范圍的大小進(jìn)行排序�����,重新配置ACL規(guī)則順序時(shí)��,為用戶提供了一種簡(jiǎn)捷��、高效的規(guī)則順序配置方法,從而省去了采用人工配置順序的方法重新配置ACL規(guī)則順?biāo)嬖诘墓ぷ髁看蟮娜秉c(diǎn)�。
用戶利用自動(dòng)配置順序的方法配置ACL規(guī)則,所依據(jù)的具體標(biāo)準(zhǔn)可以分為以下三種情況(A)對(duì)于標(biāo)準(zhǔn)ACL規(guī)則����,直接比較源地址通配符����,通配符相同的,則按配置時(shí)間先后順序確定ACL規(guī)則的順序;(B)對(duì)于擴(kuò)展ACL規(guī)則���,首先比較源地址通配符�,相同的再比較目的地址通配符,仍相同的則依次比較源端口號(hào)��、目的端口號(hào)的范圍,范圍小的排在前面��,如果端口號(hào)范圍也相同���,則按配置時(shí)間先后順序確定ACL規(guī)則的順序��;(C)對(duì)于基于接口過(guò)濾的ACL規(guī)則����,只需配置了“any”的規(guī)則排在后面���,配置了“any”的規(guī)則表示包含所有的接口��,為表示范圍最大的規(guī)則���,其它規(guī)則可以按照配置時(shí)間先后順序確定ACL規(guī)則的順序。
本發(fā)明所述的自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法的應(yīng)用�,不僅保留了現(xiàn)有技術(shù)的ACL規(guī)則人工配置順序的方法�,又在此基礎(chǔ)上增加了ACL規(guī)則的自動(dòng)配置順序方法�,使用戶無(wú)論是首次向ACL中配置ACL規(guī)則,還是后來(lái)的向ACL中增加新的ACL規(guī)則���,均可以很方便地實(shí)現(xiàn)��。
具體實(shí)施方式
如下所述�,參見(jiàn)
圖1步驟1在現(xiàn)有的創(chuàng)建ACL命令的基礎(chǔ)之上��,另外配置訪問(wèn)控制列表(ACL)規(guī)則的排序方法選項(xiàng)�����,排序方法包括人工按序配置ACL規(guī)則的方法和自動(dòng)按序配置ACL規(guī)則的方法���;用戶在配置ACL規(guī)則時(shí)首先需要指定ACL規(guī)則的排序方法���,若用戶未指定ACL規(guī)則的排序方法,則缺省為人工按序配置ACL規(guī)則的方法;
步驟2當(dāng)用戶配置ACL規(guī)則時(shí)���,首先查詢用戶所配置的ACL規(guī)則的排序方法�,如果是人工按序配置ACL規(guī)則的方法�,則執(zhí)行步驟步驟3,如果是自動(dòng)按序配置ACL規(guī)則的方法�����,則執(zhí)行步驟步驟4�;步驟3用戶利用人工按序配置ACL規(guī)則的方法對(duì)ACL規(guī)則進(jìn)行排序人工根據(jù)需要依據(jù)相應(yīng)的原則確定各規(guī)則在ACL中的順序位置����,并將各規(guī)則配置到ACL中相應(yīng)的位置,執(zhí)行步驟10�����;使用人工按序配置ACL規(guī)則的方法對(duì)ACL規(guī)則進(jìn)行排序時(shí)��,用戶可以按照配置時(shí)間順序的先后確定ACL規(guī)則的順序位置�,也可以通過(guò)人工計(jì)算確定ACL規(guī)則的順序位置;步驟4利用自動(dòng)配置順序的方法對(duì)ACL規(guī)則進(jìn)行排序判斷ACL規(guī)則中是否存在網(wǎng)絡(luò)地址范圍包含需要確定順序位置規(guī)則的規(guī)則�,如果存在,執(zhí)行步驟5,否則�����,執(zhí)行步驟7�����;步驟5確定包含該規(guī)則的規(guī)則中的表示范圍最小的規(guī)則�,執(zhí)行步驟6;步驟6該規(guī)則的順序位置位于該表示范圍最小的規(guī)則之前�����,將該規(guī)則配置到ACL中相應(yīng)的位置�����,執(zhí)行步驟10��;步驟7判斷ACL規(guī)則中是否存在與需要確定順序位置規(guī)則網(wǎng)絡(luò)地址范圍相同的規(guī)則�����,如果存在�,執(zhí)行步驟8,否則,執(zhí)行步驟9���;步驟8根據(jù)ACL規(guī)則中記錄的端口范圍判斷是否存在包含該規(guī)則的規(guī)則����,如果存在�����,執(zhí)行步驟5���,否則,執(zhí)行步驟9�;步驟9該規(guī)則的順序位置按照配置時(shí)間順序的先后進(jìn)行設(shè)置,將該規(guī)則配置到ACL中相應(yīng)的位置��,執(zhí)行步驟10��;
步驟10配置ACL規(guī)則過(guò)程結(jié)束��。
當(dāng)所配置的ACL為標(biāo)準(zhǔn)的ACL時(shí)��,則只需要根據(jù)網(wǎng)絡(luò)地址范圍確定ACL規(guī)則的順序位置��,上述實(shí)施例中的部分步驟可以省略;當(dāng)所配置的ACL為基于接口過(guò)濾的ACL時(shí)���,則同樣需要對(duì)上述實(shí)施例中的部分步驟進(jìn)行調(diào)整����,在此不再詳細(xì)敘述��。
下面結(jié)合具體實(shí)例對(duì)本發(fā)明做進(jìn)一步說(shuō)明原先的ACL的創(chuàng)建命令形式如下access-list access-list-number(創(chuàng)建ACL及ACL的序號(hào))為了實(shí)現(xiàn)按子規(guī)則指定范圍的不同來(lái)區(qū)別它們的匹配優(yōu)先級(jí)���,在上述的命令格式基礎(chǔ)上增加一個(gè)配置ACL規(guī)則的排序方法的選項(xiàng)access-list access-list-number match-order{config|auto}��,其中access-list-number為ACL規(guī)則的序號(hào)����,1到199和1000到1999之間的數(shù)字�����;Config為指定匹配該規(guī)則時(shí)由人工按序配置ACL規(guī)則����;Auto為指定匹配該規(guī)則時(shí)由系統(tǒng)自動(dòng)配置順序,即按“深度優(yōu)先”的順序�����。
對(duì)于所有的ACL規(guī)則,包括用名字和數(shù)字引用的ACL�����,如果用戶配置時(shí)不用這一條命令指定ACL規(guī)則的排序方法�����,則缺省為人工按序配置ACL規(guī)則�,即缺省為“Config”。而且用戶一旦指定某一條ACL規(guī)則的排序方法�����,則不允許再更改該順序�,除非把該規(guī)則的內(nèi)容全部刪除���,再重新指定其匹配順序����。
例如��,用戶配置了一條命令access-list 100 match-order auto命令指明了序號(hào)為100的ACL中ACL規(guī)則的排序方法為自動(dòng)配置順序的方法,當(dāng)向該條ACL中增加的規(guī)則便會(huì)根據(jù)地址范圍和端口范圍的大小����,依次從左到右進(jìn)行比較,并且按照“深度優(yōu)先”原則對(duì)所增加的規(guī)則進(jìn)行排序���。接著用戶向該條序號(hào)為100的ACL中配置下述ACL規(guī)則access-list 100 permit any anyaccess-list 100 permit 10.100.0.00.0.255.255 1.1.1.00.0.0.255access-list 100 permit tcp 10.100.0.00.0.255.255 range 150 1.1.1.10access-list 100 permit tcp 10.100.0.00.0.255.255 1.1.0.00.0.255.255 range150其中“permit”為允許���,“ip”為互聯(lián)網(wǎng)協(xié)議,“tcp”為傳輸控制協(xié)議���,“range”表示范圍��。
然后�����,用戶通過(guò)命令show access-list 100(顯示序號(hào)100的ACL規(guī)則)���,顯示最終的ACL中所配置的各規(guī)則的排列順序?yàn)?
Extended IP Access List 100,4 rules(基于IP的序號(hào)100的ACL��,有4條規(guī)則)0permit tcp 10.100.0.00.0.255.255 range 150 1.1.1.101permit ip 10.100.0.00.0.255.255 1.1.1.00.0.0.2552permit tcp 10.100.0.00.0.255.255 1.1.0.00.0.255.255 range 1503permit ip any any由上述實(shí)例可以看出��,本發(fā)明所述的自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法及其應(yīng)用,不僅實(shí)現(xiàn)了ACL規(guī)則的自動(dòng)排序��,而且還可以與現(xiàn)有的技術(shù)方案相結(jié)合�,給用戶的使用提供了極大的方便。
權(quán)利要求
1.一種自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法�����,包括(1)根據(jù)需要設(shè)定訪問(wèn)控制列表(ACL)規(guī)則的排序原則�����;(2)根據(jù)設(shè)定的排序原則�����,自動(dòng)計(jì)算出ACL規(guī)則位于ACL中的順序位置��;(3)將ACL規(guī)則按照計(jì)算出的順序位置配置到ACL中�。
2.一種自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法的應(yīng)用�,包括(21)根據(jù)需要配置ACL規(guī)則的排序方法,排序方法包括人工按序配置ACL規(guī)則的方法和自動(dòng)按序配置ACL規(guī)則的方法�����;(22)當(dāng)配置ACL規(guī)則時(shí),查詢?cè)揂CL規(guī)則的排序方法��,如果是人工按序配置ACL規(guī)則的方法��,則執(zhí)行步驟(23)�����,如果是自動(dòng)按序配置ACL規(guī)則的方法����,則執(zhí)行步驟(24);(23)利用人工按序配置ACL規(guī)則的方法對(duì)ACL規(guī)則進(jìn)行排序�����,并將各規(guī)則按序配置到ACL中相應(yīng)的位置���;(24)利用自動(dòng)按序配置ACL規(guī)則的方法對(duì)ACL規(guī)則進(jìn)行排序����,并將各規(guī)則按序配置到ACL中相應(yīng)的位置����。
3.根據(jù)權(quán)利要求1所述的自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法��,其特征在于所述的自動(dòng)計(jì)算出ACL規(guī)則位于ACL中的順序位置����,包括(31)判斷ACL中是否存在表示范圍包含該需要確定順序位置規(guī)則的規(guī)則�����,如果存在相應(yīng)的規(guī)則����,執(zhí)行步驟(32),否則��,執(zhí)行步驟(34)�;(32)確定包含該規(guī)則的規(guī)則中表示范圍最小的規(guī)則;(33)該規(guī)則的順序位置位于該范圍最小的規(guī)則之前���;(34)該規(guī)則的順序位置按照配置時(shí)間順序的先后進(jìn)行設(shè)置���。
4.根據(jù)權(quán)利要求3所述的自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法,其特征在于所述的規(guī)則的表示范圍為ACL規(guī)則中記錄的網(wǎng)絡(luò)地址范圍�����。
5.根據(jù)權(quán)利要求4所述的自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法��,其特征在于所述的確定包含該規(guī)則的規(guī)則中的表示范圍最小的規(guī)則是根據(jù)網(wǎng)絡(luò)地址范圍的通配符實(shí)現(xiàn)的��。
6.根據(jù)權(quán)利要求3所述的自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法��,其特征在于所述的規(guī)則的表示范圍為ACL規(guī)則中記錄的網(wǎng)絡(luò)地址范圍及端口范圍��。
7.根據(jù)權(quán)利要求3所述的自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法���,其特征在于所述的規(guī)則的表示范圍為ACL規(guī)則中記錄的接口范圍�。
8.根據(jù)權(quán)利要求6所述的自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法��,其特征在于所述的自動(dòng)計(jì)算出ACL規(guī)則位于ACL中的順序位置����,包括(81)判斷ACL規(guī)則中是否存在網(wǎng)絡(luò)地址范圍包含需要確定順序位置規(guī)則的規(guī)則,如果存在��,執(zhí)行步驟(82)��,否則�,執(zhí)行步驟(84);(82)確定包含該規(guī)則的規(guī)則中的表示范圍最小的規(guī)則,執(zhí)行步驟(83)��;(83)該規(guī)則的順序位置位于該表示范圍最小的規(guī)則之前�,確定該規(guī)則在ACL中順序位置過(guò)程結(jié)束;(84)判斷ACL規(guī)則中是否存在與需要確定順序位置規(guī)則網(wǎng)絡(luò)地址范圍相同的規(guī)則����,如果存在,執(zhí)行步驟(85)�,否則,執(zhí)行步驟(86)�����;(85)根據(jù)ACL規(guī)則中記錄的端口范圍判斷是否存在包含該規(guī)則的規(guī)則���,如果存在����,執(zhí)行步驟(82)���,否則���,執(zhí)行步驟(86)����;(86)該規(guī)則的順序位置按照配置時(shí)間順序的先后進(jìn)行設(shè)置�����,確定該規(guī)則在ACL中順序位置過(guò)程結(jié)束��。
9.根據(jù)權(quán)利要求2所述的自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法的應(yīng)用�����,其特征在于所述的利用人工按序配置ACL規(guī)則的方法對(duì)ACL規(guī)則進(jìn)行排序?yàn)橛扇斯じ鶕?jù)實(shí)際需要依據(jù)相應(yīng)的原則確定各ACL規(guī)則在ACL中的順序位置�。
全文摘要
本發(fā)明涉及一種自動(dòng)按序配置訪問(wèn)控制列表規(guī)則的方法及其應(yīng)用��。包括首先用戶根據(jù)需要配置人工按序配置ACL規(guī)則的方法或自動(dòng)按序配置ACL規(guī)則的方法���;當(dāng)配置ACL規(guī)則時(shí)�,用戶根據(jù)所配置的方法配置ACL規(guī)則���,如果為人工按序配置ACL規(guī)則的方法���,則人工對(duì)ACL規(guī)則進(jìn)行排序,并將各規(guī)則配置到ACL中相應(yīng)的位置;如果為自動(dòng)按序配置ACL規(guī)則的方法�����,則系統(tǒng)根據(jù)設(shè)定的排序原則�,自動(dòng)計(jì)算出ACL規(guī)則位于ACL中的順序位置,并將ACL規(guī)則按照計(jì)算出的順序位置配置到ACL中�����。本發(fā)明現(xiàn)有技術(shù)基礎(chǔ)上提供了一種自動(dòng)配置順序的方法���,為用戶提供了一種簡(jiǎn)捷�����、高效的ACL規(guī)則順序配置方法����,省去了采用現(xiàn)有技術(shù)重新配置ACL規(guī)則順?biāo)嬖诘墓ぷ髁看蟮娜秉c(diǎn)�����。
文檔編號(hào)H04L29/02GK1414757SQ0211760
公開(kāi)日2003年4月30日 申請(qǐng)日期2002年5月8日 優(yōu)先權(quán)日2002年5月8日
發(fā)明者王寧, 胡建元 申請(qǐng)人:華為技術(shù)有限公司