中����,該虛擬網(wǎng)絡(luò)設(shè)備還包括接入層設(shè)備,該方法包括:
[0046] 步驟101 ;接收管理層針對(duì)虛擬網(wǎng)絡(luò)設(shè)備的入接口下發(fā)的訪問控制列表A化表項(xiàng)��。
[0047] 如圖2所示���,為虛擬網(wǎng)絡(luò)設(shè)備中核必層設(shè)備與接入層設(shè)備的連接示意圖�����;該虛擬 網(wǎng)絡(luò)設(shè)備由兩個(gè)核必層設(shè)備(vControllerl�、vControllerS)和H個(gè)接入層設(shè)備利用VEM 技術(shù)虛擬而成的����,其中,虛擬網(wǎng)絡(luò)設(shè)備的入接口即為虛擬網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)口�����,其中,虛擬網(wǎng) 絡(luò)設(shè)備的入接口包括如圖 2 中的tengigel���、tengige2�����、tengige3����、tengige4��、tengigeS�、 tengige6等接口��,送六個(gè)接口為核必層設(shè)備上的入接口�����,也是核必層設(shè)備與接入層設(shè)備間 的級(jí)聯(lián)口����。虛擬網(wǎng)絡(luò)設(shè)備的入接口還包括位于接入層設(shè)備上的接口;eth7�、eth8、eth9�、 ethlO���、ethll、ethl2�����。而圖 2 中的ethO��、ethl�����、eth2���、eth3��、eth4����、eth5 等接口是虛擬網(wǎng)絡(luò) 設(shè)備的內(nèi)部接口����,不是虛擬網(wǎng)絡(luò)設(shè)備的入接口。圖2中,每個(gè)接入層設(shè)備可W同時(shí)連接多個(gè) 服務(wù)器(或其他網(wǎng)絡(luò)設(shè)備����,如路由器、交換機(jī))或多個(gè)接入層設(shè)備連接同一個(gè)服務(wù)器(或其 他網(wǎng)絡(luò)設(shè)備)��,用于與多個(gè)服務(wù)器進(jìn)行業(yè)務(wù)通訊�。
[0048] 在本發(fā)明實(shí)施例中,對(duì)于同一虛擬網(wǎng)絡(luò)設(shè)備中的多臺(tái)核必層設(shè)備和多臺(tái)接入層設(shè) 備通過邏輯槽號(hào)堆疊在一起����,其中,每個(gè)核必層設(shè)備對(duì)應(yīng)一個(gè)芯片���,每臺(tái)設(shè)備預(yù)留一定槽位 數(shù)(本發(fā)明實(shí)施例W為每臺(tái)設(shè)備預(yù)留18個(gè)槽位為例),則兩臺(tái)核必層設(shè)備最多占36個(gè)槽位 (第0槽~第35槽)�;每個(gè)端口擴(kuò)展設(shè)備分配一個(gè)邏輯槽位,從第36槽開始�。如圖2中,例 如為vNodel至vNode3分配的邏輯槽號(hào)依次為36至38�����。于是�����,用戶通過一個(gè)統(tǒng)一的IP地 址登錄系統(tǒng)頁面后,即可W相同的方式管理所有邏輯槽位及槽位上的接口�����。
[0049] 核必層設(shè)備的主控板卡接收管理層針對(duì)虛擬網(wǎng)絡(luò)設(shè)備的入接口下發(fā)的A化表項(xiàng)��。 該A化表項(xiàng)包括入接口�、報(bào)文特征W及對(duì)應(yīng)的執(zhí)行動(dòng)作。其中���,該報(bào)文特征可W為報(bào)文的五 元組�。
[0050] 例如����,報(bào)文特征為:源IP地址為192. 168. 1. 1,源端口為10000,目的IP地址為 121. 14. 88. 76�����,目的端口為 80,和傳輸層協(xié)議號(hào)為TCP(TransmissionControlProtocol, 傳輸控制協(xié)議)�。其中,該ACL表項(xiàng)中對(duì)應(yīng)的執(zhí)行動(dòng)作����,可W是將符合ACL表項(xiàng)中入接口��、 報(bào)文特征的報(bào)文上送某個(gè)業(yè)務(wù)板卡����,該某個(gè)業(yè)務(wù)板卡可W是具有FW(Firewall,防火墻)�����、 IPSdntrusionPreventionSystem,入侵防御系統(tǒng))或UAG(UnifiedAuditGateway,統(tǒng)一 審計(jì)網(wǎng)關(guān))功能的一種業(yè)務(wù)板卡�����,也可W是將符合A化表項(xiàng)中入接口���、報(bào)文特征的報(bào)文丟棄 等��。
[005。步驟102 ;獲取A化表項(xiàng)中所包括的入接口��,確定該入接口位于接入層設(shè)備上還是 位于核必層設(shè)備上�����。
[0052]由于需要將接入層設(shè)備的入接口接收的報(bào)文發(fā)送到核必層設(shè)備中業(yè)務(wù)板卡上做 相應(yīng)的安全業(yè)務(wù),且核必層設(shè)備在接收到該報(bào)文時(shí)的入接口是核必層設(shè)備接收該報(bào)文的級(jí) 聯(lián)口����,不能利用接入層設(shè)備的入接口所對(duì)應(yīng)的A化對(duì)該報(bào)文進(jìn)行匹配,需要對(duì)接入層設(shè)備 的入接口所對(duì)應(yīng)的A化進(jìn)行修改�,因此需要確定A化表項(xiàng)的入接口是位于核必層設(shè)備上還 是位于接入層設(shè)備上。
[0053] 步驟103 ;若確定該入接口位于接入層設(shè)備上����,根據(jù)核必層設(shè)備中預(yù)先保存的級(jí) 聯(lián)關(guān)系表,確定該入接口所對(duì)應(yīng)級(jí)聯(lián)口所在的芯片���。
[0054] 若確定為該入接口位于核必層設(shè)備上��,則確定該入接口對(duì)應(yīng)的槽位����,并將該ACL 表項(xiàng)保存在該入接口對(duì)應(yīng)槽位所在芯片(后續(xù)使用入接口所在芯片進(jìn)行描述)中����。其中, 保存在核必層設(shè)備上的入接口所在芯片的該A化表項(xiàng)包括���;入接口���、報(bào)文特征與執(zhí)行動(dòng)作 的對(duì)應(yīng)關(guān)系���。W核必層設(shè)備上的入接口為tengigel所在芯片保存的A化表項(xiàng)為例,如表1 所示�。
[00巧]表1 :
[0056]
[0057] 若確定該入接口位于接入層設(shè)備上的情況下,確定該入接口位于的接入層設(shè)備所 在槽位號(hào)��,根據(jù)核必層設(shè)備中預(yù)先保存的級(jí)聯(lián)關(guān)系表����,確定該接入層設(shè)備所在槽位號(hào)所對(duì) 應(yīng)的級(jí)聯(lián)口,并根據(jù)該級(jí)聯(lián)口計(jì)算該級(jí)聯(lián)口所在芯片����。其中,W接入層設(shè)備上的入接口eth7 為例���,為該入接口eth7分配的A化表項(xiàng)為入接口��、報(bào)文特征與執(zhí)行動(dòng)作的對(duì)應(yīng)關(guān)系��,如表2 所示:
[0058]表 2 :
[0059]
陽060] 由于接入層設(shè)備與核心層設(shè)備通過級(jí)聯(lián)口相連,如果把該A化表項(xiàng)保存在接入層 設(shè)備上,則該入接口接收到的報(bào)文只能上送到接入層設(shè)備與核必層設(shè)備相連的級(jí)聯(lián)口上����, 且在該級(jí)聯(lián)口上不能夠?qū)⒃搱?bào)文上送到業(yè)務(wù)板卡f�,因此����,需要將針對(duì)接入層設(shè)備上入接口 的A化表項(xiàng)保存在接入層設(shè)備與核必層設(shè)備間的級(jí)聯(lián)口所在芯片上。
[0061] 其中��,級(jí)聯(lián)關(guān)系表包括接入層設(shè)備所在槽位號(hào)與級(jí)聯(lián)口的對(duì)應(yīng)關(guān)系�,如表3所示。
[0062]表 3 :
[0063]
[0064] 根據(jù)上表可知����,首先需要確定該入接口所在接入層設(shè)備槽位號(hào),如圖2中的入接 口eth7位于接入層設(shè)備1上�����,而接入層設(shè)備1所在槽位號(hào)為36�。根據(jù)級(jí)聯(lián)關(guān)系表,確定該 接入層設(shè)備1所對(duì)應(yīng)的核必層設(shè)備的級(jí)聯(lián)口為tengigel�、tengige4,并根據(jù)該級(jí)聯(lián)口計(jì)算 得到級(jí)聯(lián)口tengigel在芯片1上,級(jí)聯(lián)口tengige4在芯片19上���。其中��,根據(jù)級(jí)聯(lián)口計(jì)算 級(jí)聯(lián)口所在芯片的方法為現(xiàn)有技術(shù)�����,本發(fā)明實(shí)施例對(duì)此不作具體賞述����。
[0065] 優(yōu)選地,若確定該入接口位于接入層設(shè)備上�,還可W利用下述方法進(jìn)行A化配置, 判斷ACL表項(xiàng)中該入接口對(duì)應(yīng)的執(zhí)行動(dòng)作���,若判斷結(jié)果為該對(duì)應(yīng)的執(zhí)行動(dòng)作為在接入層設(shè) 備中對(duì)該報(bào)文進(jìn)行處理��,則將該A化保存在接入層設(shè)備中�����。例如��,靜態(tài)MC/IP綁定功能����,女口 表4所7K,該A化表項(xiàng)為:
[0066] 表 4 :
[0067]
[0068] 根據(jù)表4可知����,具有B特征的報(bào)文在入接口eth8進(jìn)入接入層設(shè)備���,表明該報(bào)文與 該A化表項(xiàng)匹配成功���,則通過該報(bào)文,如果不符合該報(bào)文特征W及對(duì)應(yīng)入接口條件的報(bào)文���, 則丟棄該報(bào)文�����。其中��,符合該報(bào)文特征的報(bào)文可W是符合指定源IP地址�����、源MC和入接口 的報(bào)文�����。
[0069] 進(jìn)一步的���,在接入層設(shè)備中匹配A化表項(xiàng)成功通過的報(bào)文��,也可W上送與該接入 層設(shè)備相連的級(jí)聯(lián)口��,并繼續(xù)匹配級(jí)聯(lián)口所在芯片保存的A化表項(xiàng)���,W送入相對(duì)應(yīng)的業(yè)務(wù) 板卡進(jìn)行相應(yīng)的業(yè)務(wù)處理。
[0070] 步驟104 ;對(duì)A化表項(xiàng)中的入接口進(jìn)行轉(zhuǎn)換處理���,并將轉(zhuǎn)換處理后的A化表項(xiàng)保存 在該級(jí)聯(lián)口所在的芯片中�����。
[0071] 根據(jù)步驟103中查找到的接入層設(shè)備所對(duì)應(yīng)的級(jí)聯(lián)口����,對(duì)為接入層設(shè)備上入接口 所分配的A化表項(xiàng)中的入接口進(jìn)行轉(zhuǎn)換�����,轉(zhuǎn)換處理后的A化表項(xiàng)包括����;原始入接口��、報(bào)文特 征與執(zhí)行動(dòng)作的對(duì)應(yīng)關(guān)系�����,該原始入接口為位于接入層設(shè)備上的入接口。W原始入接口為 eth7為例����,如表5所示。
[007引表5 :
[0073]
[0074] 表5相對(duì)于表2的區(qū)別為����,將A化表項(xiàng)由入接口、報(bào)文特征與執(zhí)行動(dòng)作的對(duì)應(yīng)關(guān) 系���,修改為原始入接口�、報(bào)文特征與執(zhí)行動(dòng)作的對(duì)應(yīng)關(guān)系���。因?yàn)榧?jí)聯(lián)口在接收到接入層設(shè)備 發(fā)送的報(bào)文時(shí)����,如果對(duì)該報(bào)文匹配表2所示的A化表項(xiàng),根據(jù)表2中的A化表項(xiàng)得知該報(bào)文 的入接口為該級(jí)聯(lián)口����,而該報(bào)文的真實(shí)入接口為eth7。因此在級(jí)聯(lián)口接收到接入層設(shè)備發(fā) 送的報(bào)文時(shí)����,需要對(duì)該報(bào)文匹配表5所示的A化表項(xiàng),根據(jù)表5得知該報(bào)文的原始入接口為 接入層設(shè)備上的入接口eth7���。
[0075] 根據(jù)步驟103中計(jì)算得到的該對(duì)應(yīng)級(jí)聯(lián)口所在芯片��,將轉(zhuǎn)換后的A化表項(xiàng)保存在 該對(duì)應(yīng)級(jí)聯(lián)口所在芯片中����。
[0076] 其中����,對(duì)于接入層設(shè)備接收的報(bào)文,需要全部上送核必層設(shè)備的業(yè)務(wù)板卡做安全 業(yè)務(wù)���,將接入層設(shè)備上接收?qǐng)?bào)文的入接口為原始入接口�����,該接入層設(shè)備與核必層設(shè)備間的 級(jí)聯(lián)口為真實(shí)入接口��,級(jí)聯(lián)口接收到接入層設(shè)備發(fā)送的報(bào)文需要匹配包括有原始入接口��、 報(bào)文特征與執(zhí)行動(dòng)作的對(duì)應(yīng)關(guān)系的ACL表項(xiàng)��,從而對(duì)接入層設(shè)備接收到的報(bào)文做相應(yīng)的安 全業(yè)務(wù)��。
[0077] 級(jí)聯(lián)口接收到接入層設(shè)備發(fā)送的報(bào)文�,需要利用A化表項(xiàng)對(duì)該報(bào)文進(jìn)行匹配,因 此需要獲知接入層設(shè)備接收該報(bào)文的原始入接口�。為使級(jí)聯(lián)口知道該報(bào)文是從哪個(gè)原始入 接口接入的��,本發(fā)明實(shí)施例在接入層設(shè)備在接收到報(bào)文時(shí)�����,可W為該報(bào)文添加Higig頭部 信息��,該Higig頭部信息帶有該報(bào)文的原始入接口信息���,其中����,添加有Higig頭部信息的報(bào) 文格式如圖3所示,該化gig頭部信息為12字節(jié)��。當(dāng)級(jí)聯(lián)口接收到接入層設(shè)備發(fā)送的報(bào) 文����,對(duì)該報(bào)文進(jìn)行解析,根據(jù)解析得到的Higig頭部信息獲得該報(bào)文的原始入接口�����,從而對(duì) 該報(bào)文進(jìn)行A化匹配�����,對(duì)該報(bào)文執(zhí)行相應(yīng)的動(dòng)作�����。
[0078] 在本發(fā)明實(shí)施例中�,在與接入層設(shè)備相連級(jí)聯(lián)口所在芯片發(fā)生變化時(shí),根據(jù)預(yù)先 記錄的接入層設(shè)備�、與該接入層設(shè)備相連級(jí)聯(lián)口所在芯片、該芯片保存的針對(duì)對(duì)應(yīng)接入層 設(shè)備的ACL的對(duì)應(yīng)關(guān)系�����,將該芯片保存的針對(duì)對(duì)應(yīng)接入層設(shè)備的ACL重新下發(fā)到變化后的 與接入層設(shè)備相連級(jí)聯(lián)