一種acl配置方法及裝置的制造方法
【技術領域】
[0001] 本發(fā)明涉及通信技術領域�,特別涉及一種訪問控制列表A化配置方法及裝置�����。
【背景技術】
[0002] VEM (Virtual Extend Matrix,虛擬擴展矩陣)技術將接入層設備和核必層設備 虛擬化為一臺虛擬網(wǎng)絡設備,其中���,接入層設備如端口擴展設備vNode,核心層設備如虹制 設備vController�,通過虛擬化為一臺虛擬網(wǎng)絡設備大大簡化了網(wǎng)絡結構�,提高了網(wǎng)絡穩(wěn)定 性,并基本實現(xiàn)了集中式配置管理��。對于用戶來說��,同一VEM框架中的多臺核必層設備和接 入層設備都屬于同一虛擬網(wǎng)絡設備����,它們通過邏輯槽號堆疊在一起。VSM(Virtual System Matrix,虛擬系統(tǒng)矩陣)技術將最多兩臺核必層物理設備虛擬化成一臺虛擬網(wǎng)絡設備�。
[0003] 通常情況下,管理側通過向接入層設備下發(fā)A化(Access Control List,訪問控制 列表)表項�����,接入層設備將接收到的報文進行ACL匹配���,根據(jù)匹配得到的執(zhí)行動作將報文發(fā) 送給對應的核必層設備��。W使核必層設備對接收到的該報文作安全和轉發(fā)業(yè)務�,W提供攻 擊防范�����、審計監(jiān)控、質(zhì)量服務等業(yè)務功能�。
[0004] 然而,核必層設備在接收到接入層設備發(fā)送的報文時�����,只能對該報文進行同一種 安全業(yè)務�,可擴展性較低,不便于針對業(yè)務流量進行差異化處理����。
【發(fā)明內(nèi)容】
[0005] 有鑒于此,本發(fā)明提供一種A化配置方法及裝置�����,W提高可擴展性��。
[0006] 本發(fā)明實施例提供了一種A化配置方法�,應用于虛擬網(wǎng)絡設備中的核必層設備, 其中���,該虛擬網(wǎng)絡設備還包括接入層設備�����,包括:
[0007] 接收管理層針對虛擬網(wǎng)絡設備的入接口下發(fā)的訪問控制列表A化表項��;
[0008] 獲取A化表項中所包括的入接口���,確定該入接口位于接入層設備上還是位于核必 層設備上;
[0009] 若確定該入接口位于接入層設備上��,根據(jù)核必層設備中預先保存的級聯(lián)關系表����, 確定該入接口所對應級聯(lián)口所在的芯片;
[0010] 對A化表項中的入接口進行轉換處理�����,并將轉換處理后的A化表項保存在該級聯(lián) 口所在的芯片中�。
[0011] 優(yōu)選地,在確定該入接口位于核必層設備上的情況下����,確定該入接口所在芯片,將 該A化表項保存在該入接口所在芯片中。
[0012] 優(yōu)選地�,所述若確定該入接口位于接入層設備上的情況下,根據(jù)核必層設備中預 先保存的級聯(lián)關系表��,確定該入接口所對應級聯(lián)口所在的芯片�,具體包括:
[0013] 若確定該入接口位于接入層設備上的情況下,確定該入接口位于的接入層設備所 在槽位號����,根據(jù)核必層設備中預先保存的級聯(lián)關系表,確定該接入層設備所在槽位號所對 應的級聯(lián)口���,并根據(jù)該級聯(lián)口計算所該級聯(lián)口所在的芯片���;其中,該級聯(lián)關系表包括接入層 設備所在槽位號與級聯(lián)口的對應關系�。
[0014] 優(yōu)選地,所述對A化表項中的入接口進行轉換處理�����,并將轉換處理后的A化表項保 存在該級聯(lián)口所在的芯片中���,具體包括:
[0015] 將A化表項中的入接口轉換為原始入接口��,將轉換處理后的A化表項保存在該級 聯(lián)口所在芯片中�;其中,轉換處理后的A化表項包括原始入接口與執(zhí)行動作的對應關系���,該 原始入接口為位于接入層設備上的入接口�。
[0016] 優(yōu)選地�,所述方法還包括:
[0017] 在與接入層設備相連級聯(lián)口所在芯片發(fā)生變化時,根據(jù)預先記錄的接入層設備����、 與該接入層設備相連級聯(lián)口所在芯片��、該芯片保存的針對對應接入層設備的A化的對應關 系�����,將該芯片保存的針對對應接入層設備的ACL重新下發(fā)到變化后的與接入層設備相連級 聯(lián)口所在芯片中��,記錄變化后的對應關系����,并刪除變化前與該接入層設備相連級聯(lián)口所在 芯片保存的針對對應接入層設備的ACL。
[0018] 優(yōu)選地�����,所述若確定該入接口位于接入層設備上,還包括:
[0019] 判斷A化表項中該入接口對應的執(zhí)行動作����,若判斷結果為該對應的執(zhí)行動作為在 接入層設備中對該報文進行處理,則將該A化保存在接入層設備中��。
[0020] 本發(fā)明實施例提供了一種A化配置裝置��,應用于虛擬網(wǎng)絡設備中的核必層設備�����, 其中�,該虛擬網(wǎng)絡設備還包括接入層設備,包括:
[0021] 接收單元����,用于接收管理層針對虛擬網(wǎng)絡設備的入接口下發(fā)的訪問控制列表ACL 表項;
[0022] 獲取單元���,用于獲取A化表項中所包括的入接口�����,確定該入接口位于接入層設備 上還是位于核必層設備上�;
[0023] 確定單元,用于若確定該入接口位于接入層設備上���,根據(jù)核必層設備中預先保存 的級聯(lián)關系表�����,確定該入接口所對應級聯(lián)口所在的芯片�����;
[0024] 轉換單元�����,用于對A化表項中的入接口進行轉換處理,并將轉換處理后的A化表項 保存在該級聯(lián)口所在的芯片中�。
[00巧]優(yōu)選地,所述確定單元�,還用于在確定該入接口位于核必層設備上的情況下,確定 該入接口所在芯片��,將該A化表項保存在該入接口所在芯片中��。
[0026] 優(yōu)選地,所述確定單元��,具體用于若確定該入接口位于接入層設備上的情況下�����, 確定該入接口位于的接入層設備所在槽位號�,根據(jù)核必層設備中預先保存的級聯(lián)關系表, 確定該接入層設備所在槽位號所對應的級聯(lián)口����,并根據(jù)該級聯(lián)口計算所該級聯(lián)口所在的芯 片;其中�,該級聯(lián)關系表包括接入層設備所在槽位號與級聯(lián)口的對應關系。
[0027] 優(yōu)選地���,所述轉換單元�,具體用于將A化表項中的入接口轉換為原始入接口����,將轉 換處理后的ACL表項保存在該級聯(lián)口所在芯片中;其中��,轉換處理后的ACL表項包括原始入 接口與執(zhí)行動作的對應關系����,該原始入接口為位于接入層設備上的入接口���。
[0028] 優(yōu)選地,所述裝置還包括:
[0029] 重新下發(fā)單元�����,用于在與接入層設備相連級聯(lián)口所在芯片發(fā)生變化時���,根據(jù)預先 記錄的接入層設備�、與該接入層設備相連級聯(lián)口所在芯片�、該芯片保存的針對對應接入層 設備的ACL的對應關系,將該芯片保存的針對對應接入層設備的ACL重新下發(fā)到變化后的 與接入層設備相連級聯(lián)口所在芯片中�����,記錄變化后的對應關系��,并刪除變化前與該接入層 設備相連級聯(lián)口所在芯片保存的針對對應接入層設備的A化�����。
[0030] 優(yōu)選地���,還包括:
[0031] 判斷單元�����,用于判斷A化表項中該入接口對應的執(zhí)行動作����,若判斷結果為該對應 的執(zhí)行動作為在接入層設備中對該報文進行處理����,則將該ACL保存在接入層設備中。
[0032] 本發(fā)明實施例通過提供一種A化配置方法及裝置���,通過獲取出報文攜帶原始入接 口�,且該原始入接口為接入層設備的接口���,因此獲知該報文進入接入層設備時的入接口����,從 而可W對該報文進行原始入接口所對應的特定業(yè)務���,從而提高了業(yè)務的可擴展性���。
【附圖說明】
[0033] 圖1是本發(fā)明實施例提供的方法流程示意圖����;
[0034] 圖2是本發(fā)明實施例提供的虛擬網(wǎng)絡設備結構示意圖����;
[0035]圖3是本發(fā)明實施例提供的添加Higig頭部信息的報文格式示意圖;
[0036] 圖4是本發(fā)明實施例提供的裝置結構示意圖�。
【具體實施方式】
[0037] 下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚�、完 整地描述,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例���,而不是全部的實施例?�;?本發(fā)明中的實施例�����,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例�,都屬于本發(fā)明保護的范圍。
[0038] 根據(jù)現(xiàn)有技術�,管理側通過向接入層設備下發(fā)A化(Access Control List,訪問控 制列表)表項,接入層設備將接收到的報文進行A化匹配�����,根據(jù)匹配得到的執(zhí)行動作將報文 發(fā)送給對應的核必層設備�����。W使核必層設備對接收到的該報文作安全和轉發(fā)業(yè)務����,W提供 攻擊防范、審計監(jiān)控�、質(zhì)量服務等業(yè)務功能。然而���,同一核必層設備在接收到接入層設備發(fā) 送的報文時��,只能對該報文進行同一種安全業(yè)務����,因此可擴展性較低,不便于針對業(yè)務流量 進行差異化處理���。
[0039] 針對上述問題���,本發(fā)明實施例提供了一種A化配置方法,應用于虛擬網(wǎng)絡設備中 的核必層設備���,其中����,該虛擬網(wǎng)絡設備還包括接入層設備�,包括:
[0040] 接收管理層針對虛擬網(wǎng)絡設備的入接口下發(fā)的訪問控制列表A化表項;
[0041] 獲取A化表項中所包括的入接口����,確定該入接口位于接入層設備上還是位于核必 層設備上;
[0042] 若確定該入接口位于接入層設備上���,根據(jù)核必層設備中預先保存的級聯(lián)關系表���, 確定該入接口所對應級聯(lián)口所在的芯片;
[0043] 對A化表項中的入接口進行轉換處理�����,并將轉換處理后的A化表項保存在該級聯(lián) 口所在的芯片中。
[0044] 根據(jù)上述方案���,通過獲取出報文攜帶原始入接口,且該原始入接口為接入層設備 的接口���,因此獲知該報文進入接入層設備時的入接口���,從而可W對該報文進行原始入接口 所對應的特別業(yè)務,從而提高了業(yè)務的可擴展性����。
[0045] 如圖1所示,本發(fā)明實施例提供了一種A化配置方法�����,應用于虛擬網(wǎng)絡設備中的核 必層設備���,其