專利名稱:控制網(wǎng)絡(luò)設(shè)備的訪問控制列表的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及控制網(wǎng)絡(luò)設(shè)備的訪問控制列表(Access Control List, ACL) 的方法及裝置�,尤其涉及通過簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol, S麗P )控制網(wǎng)絡(luò)設(shè)備的ACL的方法及裝置。
背景技術(shù):
隨著因特網(wǎng)的高速發(fā)展��,網(wǎng)絡(luò)安全成為人們關(guān)注的重點�����。訪問控制列 表(Access Control List, ACL)是路由器接口的指令列表�����,用來控制端 口進(jìn)出的數(shù)據(jù)包���,是提供網(wǎng)絡(luò)安全訪問的基本手段�。
一般網(wǎng)絡(luò)設(shè)備中的ACL配置修改�����,基本上都要求網(wǎng)管人員手動的在網(wǎng) 絡(luò)設(shè)備中輸入大量復(fù)雜的配置命令�����,從而降低了網(wǎng)絡(luò)設(shè)備的工作效率��。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供控制網(wǎng)絡(luò)設(shè)備的ACL的方法及裝置�,降低ACL 的配置復(fù)雜度,進(jìn)而提高網(wǎng)絡(luò)設(shè)備的工作效率����。
本發(fā)明提供一種控制網(wǎng)絡(luò)設(shè)備的ACL的方法,將所述網(wǎng)絡(luò)設(shè)備的ACL 映射到S麗P的管理信息庫MIB中���,得到ACL樹���,該方法包括
通過所述S腿P讀取所述MIB中的ACL初于;
根據(jù)所述ACL樹中各節(jié)點的類型�,按照從子節(jié)點到父節(jié)點的順序,管 理各節(jié)點的參數(shù)��。
本發(fā)明還提供一種控制網(wǎng)絡(luò)設(shè)備的ACL的裝置,將所述網(wǎng)絡(luò)設(shè)備的ACL 映射到S麗P的管理信息庫MIB中����,得到ACL樹,該裝置包括 讀耳又單元����,用于通過所述S麗P讀取所述MIB中的ACL樹; 控制單元����,用于根據(jù)所述讀取單元讀取的所述ACL樹中各節(jié)點的類型,
4按照從子節(jié)點到父節(jié)點的順序��,管理各節(jié)點的參數(shù)�。
采用本發(fā)明提供的S麗P控制網(wǎng)絡(luò)設(shè)備的ACL的方法及裝置,可以通過 S麗P控制網(wǎng)絡(luò)設(shè)備的ACL,相對于網(wǎng)管人員人工輸入大量的配置命令控制 網(wǎng)絡(luò)設(shè)備的ACL的技術(shù)方案�,降低ACL的配置復(fù)雜度,進(jìn)而提高網(wǎng)絡(luò)設(shè)備 的工作效率�����。
圖1示出本發(fā)明通過SNMP控制網(wǎng)絡(luò)設(shè)備的ACL的方法的流程示意圖2示出MIB中ACL樹的結(jié)構(gòu)示意圖3示出通過S應(yīng)P對網(wǎng)絡(luò)設(shè)備的ACL進(jìn)行查詢的示意圖4示出通過S畫P對網(wǎng)絡(luò)設(shè)備的ACL及ACL規(guī)則進(jìn)行修改的示意圖5示出通過SNMP對網(wǎng)絡(luò)設(shè)備的ACL規(guī)則進(jìn)行刪除的示意圖6示出通過SNMP對網(wǎng)絡(luò)設(shè)備的ACL進(jìn)4亍刪除的示意圖7示出本發(fā)明通過S麗P控制網(wǎng)絡(luò)設(shè)備的ACL的裝置�。
具體實施例方式
下面結(jié)合附圖對本發(fā)明的具體實施方式
做詳細(xì)闡述���。本發(fā)明通過將 ACL映射到S麗P的管理信息庫(MIB)���,得到ACL樹����,并使得MIB中的ACL 樹與網(wǎng)絡(luò)設(shè)備中的ACL進(jìn)行統(tǒng)一�,從而可以通過S畫P控制MIB中的ACL 樹,進(jìn)而達(dá)到控制網(wǎng)絡(luò)設(shè)備的ACL的目的����。
圖1示出本發(fā)明通過S畫P控制網(wǎng)絡(luò)設(shè)備的ACL的方法的流程示意圖。 請參閱圖l,將網(wǎng)絡(luò)設(shè)備的ACL映射到SNMP的管理信息庫MIB中���,得到ACL 杉于���,該方法包4舌
101、 通過S畫P讀取MIB中的ACL樹�;
102、 根據(jù)ACL樹中各節(jié)點的類型�����,按照從子節(jié)點到父節(jié)點的順序����,管 理各節(jié)點的參數(shù)�����。
圖2示出MIB中ACL樹的結(jié)構(gòu)示意圖�。請參閱圖2��, ACL樹中的第一級 子節(jié)點包括ACL—Summary節(jié)點����、ACL—Info—Table節(jié)點和ACL_Rule_Table 節(jié)點。其中����,ACL—Summary即為網(wǎng)絡(luò)設(shè)備的ACL概要,ACL—S麗mary中包括但 不限于該網(wǎng)絡(luò)設(shè)備中已經(jīng)配置的ACL總數(shù)�����,已經(jīng)配置的^f吏用name的ACL 總數(shù)��,標(biāo)準(zhǔn)IPv4_ACL規(guī)則總數(shù)�����,擴(kuò)展IPv4_ACL規(guī)則總數(shù)等�。擴(kuò)展IPv4 —ACL 規(guī)則總數(shù)可以包括但不限于標(biāo)準(zhǔn)IPv6—ACL規(guī)則總數(shù)以及標(biāo)準(zhǔn)IPv6-ACL規(guī) 則總數(shù)等。
ACL一Info-Table即為該網(wǎng)絡(luò)設(shè)備的ACL基本信息�����,ACL_Info—Table 中包括但不限于:該網(wǎng)絡(luò)設(shè)備中ACL的ACL一Number�����, ACL一Name, ACL—Alias�����, ACL—State, ACL_Mode�����, ACL—Rule等����。
其中,ACL一N腿ber為該ACL的ID編號�。ACL—Name為該ACL的Name 名稱。ACL-Alias為該ACL的別名。ACL-State為該ACL的狀態(tài)��。當(dāng)該ACL 的狀態(tài)為destroy的時候����,將該ACL刪除,并同時刪除該ACL所包含的rule (規(guī)則)�����。ACL_Mode為該ACL的沖莫式����。ACL_Rule為該ACL的rule總凄t。
ACL—Rule_Table即為該網(wǎng)絡(luò)設(shè)備的ACL 4見則信息����,ACL_Rule_TaMe 中包括^f旦不限于該網(wǎng)絡(luò)i殳備中ACL失見則的ACL_Rule-Number , ACL_Rule_Souce_IP, ACL—Rule_Souce_mask, ACL—Rule_Destination—IP, ACL-Rule—Destination—mask ,ACL—Rule—Mode �,ACL—Rule—State , ACL』umber等����。
其中,ACL_Rule_Number為該ACLMJ'J的ID編號�。ACL—Rule_Souce_IP 為該ACL MJ'J中源IP地址��。ACL_Rule_Souce—mask為該ACL ^見則中源IP 地址的子網(wǎng)掩碼��。ACL—Rule—Destination—IP為該ACL規(guī)則中目的IP地址。 ACL_Rule_Destination—mask為該ACL規(guī)則中目的IP地址的子網(wǎng)掩碼�����。 ACL—Rule—Mode為該ACL規(guī)則的模式�����,分別為禁止(deny )和允許(permit) 兩種^f莫式選擇����。ACL—Rule — State為該ACL MJ3'j的狀態(tài),當(dāng)該狀態(tài)為石皮壞 (destroy)的時4'美�,刪除該條^見則。ACL—Number為該ACL失見則相對應(yīng)的 ACL的ID編號�����。該值用來表示和確定此ACL規(guī)則是屬于哪個具體ACL表項 的�����。
其中絕大部分的ACL節(jié)點應(yīng)該是容許被set操作賦值的。 對于不同類型的節(jié)點���,通過SNMP控制MIB中的ACL初于�,/人而實現(xiàn)對網(wǎng) 絡(luò)設(shè)備的ACL進(jìn)行控制的方式是不同的對于ACL—Su誦ary節(jié)點而言�����,由于ACL—S咖mary節(jié)點一^i沒有子節(jié)點��, 因此��,對ACL_Summary節(jié)點及其子節(jié)點的管理主要是查詢�,即查詢 ACL_Summary節(jié)點內(nèi)的相關(guān)信息,得到網(wǎng)絡(luò)設(shè)備的ACL信息總匯�。
對于ACL_Info-Table節(jié)點而言,其子節(jié)點主要是ACL基本信息����,對于 這些子節(jié)點參數(shù)的修改必須是合法的,即子節(jié)點處于可以修改的狀態(tài)(未 處于應(yīng)用狀態(tài))以及修改后的參數(shù)是被允許的參數(shù)�����,如果子節(jié)點處于不可 修改的狀態(tài)或者修改后的參數(shù)是被禁止的參數(shù)��,則修改不成功,返回錯誤 信息��。具體的過程包括
查詢ACL—Info—Table節(jié)點內(nèi)的相關(guān)信息�,得到網(wǎng)絡(luò)設(shè)備的ACL基本信
判斷ACL_Info_Table節(jié)點的子節(jié)點是否處于應(yīng)用狀態(tài);
當(dāng)ACL_Info_Table節(jié)點的子節(jié)點未處于應(yīng)用狀態(tài)時�,4姿照/人子節(jié)點到
父節(jié)點的順序,修改相應(yīng)子節(jié)點的參數(shù)�。
對于ACL_Rule_Table節(jié)點而言�,其子節(jié)點主要是ACL規(guī)則信息,具體
的過程包括
查詢ACL—Rule —Table節(jié)點內(nèi)的相關(guān)信息�,得到網(wǎng)絡(luò)設(shè)備的ACL規(guī)則信
息;
按照從子節(jié)點到父節(jié)點的順序J務(wù)改ACL-Rule-Table相應(yīng)子節(jié)點的參數(shù)�����。
以上修改可以包括變更或者刪除����。
圖3示出通過S畫P對網(wǎng)絡(luò)設(shè)備的ACL進(jìn)行查詢的示意圖,請參閱圖3:
301��、 使用SNMP管理進(jìn)程對網(wǎng)絡(luò)i殳備的MIB庫進(jìn)行讀操作��,即代理進(jìn) 程收到get操作請求���;
302���、 代理進(jìn)程訪問MIB庫�����,并向管理進(jìn)程進(jìn)行返回信息�,返回的信息 包括通過ACL—Summary節(jié)點內(nèi)的相關(guān)信息�,可以了解到當(dāng)前該網(wǎng)絡(luò)設(shè)備 的ACL信息總匯;通過ACL—Info-Table節(jié)點內(nèi)的相關(guān)信息����,可以了解到當(dāng) 前該網(wǎng)絡(luò)設(shè)備的ACL的具體信息,如ACL的ID編號��,ACL名稱�,ACL的別
7名,ACL的模式����,以及ACL目前的狀態(tài)等;通過ACL—Rule—Table節(jié)點內(nèi)的 相關(guān)信息����,可以了解到當(dāng)前該網(wǎng)絡(luò)設(shè)備的具體ACL規(guī)則信息�。并且可以根 據(jù)該ACL規(guī)則表中的ACL_Number����,這一節(jié)點的返回值,確定該規(guī)則具體所 屬的ACL�。
使用SNMP管理進(jìn)程對網(wǎng)絡(luò)設(shè)備的ACL進(jìn)行查詢才喿作;對已知的ACL規(guī)則的 相關(guān)節(jié)點實例進(jìn)行set操作�,達(dá)到修改ACL規(guī)則的目的(可以修改規(guī)則的 模式deny或者permit,源或目的IP、掩碼等等)���。請參閱圖4:
401、 對已知ACL表項的別名進(jìn)行i奮改�����;
402�����、 修改的ACL表項是否處于應(yīng)用狀態(tài)��;是則轉(zhuǎn)入步驟403,否則轉(zhuǎn) 入步驟404;
403�、 無法修改,或者修改成功后該ACL的狀態(tài)轉(zhuǎn)為未應(yīng)用狀態(tài)���;
404����、 ^修改成功。
圖5示出通過SNMP對網(wǎng)絡(luò)設(shè)備的ACL規(guī)則進(jìn)行刪除的示意圖��。使用 S麗P管理進(jìn)程對網(wǎng)絡(luò)i殳備的ACL進(jìn)行查詢操作�����。請參閱圖5:
501�����、 對已知的ACL規(guī)則的相關(guān)ACL規(guī)則狀態(tài)(ACL-Rule-State)節(jié)點 實例的進(jìn)行set才喿作�,使該^見則的狀態(tài)為destroy;即,管理進(jìn)程對已知 ACL—Rule — State進(jìn)行set才喿作�����,4務(wù)改狀態(tài)為destroy;
502����、 修改成功刪除該ACL規(guī)則。
圖6示出通過S麗P對網(wǎng)絡(luò)設(shè)備的ACL進(jìn)行刪除的示意圖。使用S麗P 管理進(jìn)程對網(wǎng)絡(luò)設(shè)備的ACL進(jìn)行查詢操作�����。請參閱圖6:
601����、 對已知的ACL—Info-Table中的相關(guān)ACL狀態(tài)(ACL一State)節(jié)點 實例的進(jìn)行set才喿作,4吏該ACL的狀態(tài)為destroy;
602��、 修改的ACL表相是否處于應(yīng)用狀態(tài)�����,是則轉(zhuǎn)入步驟603,否則轉(zhuǎn) 入步驟604;
603�、 無法刪除,并返回錯誤信息�;
604�、 刪除該ACL。
圖7示出本發(fā)明通過S腿P控制網(wǎng)絡(luò)設(shè)備的ACL的裝置�����。請參閱圖7��, 將網(wǎng)絡(luò)設(shè)備的ACL映射到S麗P的管理信息庫MIB中����,得到ACL樹�,該裝置
8包括
讀取單元701,用于通過SNMP讀取MIB中的ACL樹�; 控制單元702,用于根據(jù)讀取單元讀取的ACL樹中各節(jié)點的類型���,按 照從子節(jié)點到父節(jié)點的順序�����,管理各節(jié)點的參數(shù)����。 進(jìn)一步的��,控制單元可以包括
分類子單元����,用于劃分讀取單元讀取的ACL樹中各節(jié)點的類型; 第一查詢子單元��,用于當(dāng)分類子單元劃分的節(jié)點為ACL_Summary節(jié)點 時�����,查詢ACL-Summary節(jié)點內(nèi)的相關(guān)信息,得到網(wǎng)絡(luò)設(shè)備的ACL信息總匯����。 進(jìn)一步的,控制單元還可以包括
第二查詢子單元�����,用于當(dāng)分類子單元劃分的節(jié)點為ACL_Info_Table 節(jié)點時��,查詢ACL_Info_Table節(jié)點內(nèi)的相關(guān)4言息�����,得到網(wǎng)絡(luò)設(shè)備的ACL 基本信息�;
判斷子單元,用于判斷第二查詢子單元查詢到的ACL—Info-Table節(jié)點
的子節(jié)點是否處于應(yīng)用狀態(tài)�;
第二修改子單元,用于根據(jù)判斷子單元的判斷結(jié)果���,當(dāng) ACL_Info-Table節(jié)點的子節(jié)點未處于應(yīng)用狀態(tài)時,按照爿Mv子節(jié)點到父節(jié)點 的順序��,修改相應(yīng)子節(jié)點的參數(shù)。
進(jìn)一步的����,控制單元還可以包括
第三查詢子單元,用于當(dāng)分類子單元劃分的節(jié)點為ACL-Rule-Table 節(jié)點時�,查詢ACL_Rule—Table節(jié)點內(nèi)的相關(guān)信息,得到網(wǎng)絡(luò)設(shè)備的ACL 規(guī)則信息����;
第三修改子單元,用于根據(jù)第三查詢子單元的查詢結(jié)果�����,按照從子節(jié) 點到父節(jié)點的順序�,修改ACL_Rule-Table相應(yīng)子節(jié)點的參數(shù)。
其中�,第一查詢子單元與第二查詢子單元可以獨立i殳置,也可以集成 在一起����。第一查詢子單元與第三查詢子單元可以獨立設(shè)置,也可以集成在 一起���。第二查詢子單元與第三查詢子單元可以獨立設(shè)置��,也可以集成在一 起�。第一查詢子單元、第二查詢子單元和第三查詢子單元可以獨立設(shè)置�, 也可以集成在一起。
第二修改子單元和第三修改子單元可以獨立設(shè)置�,也可以集成在一起。本實施例中通過SNMP控制網(wǎng)絡(luò)設(shè)備的ACL的裝置可以獨立設(shè)置���,也可 以集成在網(wǎng)絡(luò)設(shè)備中�。
采用本發(fā)明提供的S應(yīng)P控制網(wǎng)絡(luò)設(shè)備的ACL的方法及裝置���,可以通過 S畫P控制MIB中的ACL樹�,從而實現(xiàn)通過SNMP控制網(wǎng)絡(luò)設(shè)備的ACL的目 的�����,相對于網(wǎng)管人員人工輸入大量的配置命令控制網(wǎng)絡(luò)設(shè)備的ACL的技術(shù) 方案��,降低ACL的配置復(fù)雜度�����,進(jìn)而提高網(wǎng)絡(luò)設(shè)備的工作效率����。
以上所述僅是本發(fā)明的具體實施方式
,應(yīng)當(dāng)指出���,對于本技術(shù)領(lǐng)域的 普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前才是下�,還可以做出若干改進(jìn) 和潤飾���,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1��、一種控制網(wǎng)絡(luò)設(shè)備的訪問控制列表的方法���,將所述網(wǎng)絡(luò)設(shè)備的訪問控制列表ACL映射到簡單網(wǎng)絡(luò)管理協(xié)議SNMP的管理信息庫MIB中����,得到ACL樹���,其特征在于�����,該方法包括通過所述SNMP讀取所述MIB中的ACL樹�����;根據(jù)所述ACL樹中各節(jié)點的類型����,按照從子節(jié)點到父節(jié)點的順序,管理各節(jié)點的參數(shù)�����。
2�����、 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述ACL樹中的第一級 子節(jié)點包括ACL—Summary節(jié)點�����、ACL—Info—Table節(jié)點和ACL—Rule—Table節(jié)點����。
3����、 根據(jù)權(quán)利要求2所述的方法����,其特征在于��,根據(jù)所述ACL樹中各節(jié) 點的類型����,按照從子節(jié)點到父節(jié)點的順序,管理各節(jié)點的參數(shù)包括查詢所述ACL—Summary節(jié)點內(nèi)的相關(guān)信息�����,得到所述網(wǎng)絡(luò)設(shè)備的 ACL信息總匯��。
4���、 根據(jù)權(quán)利要求2所述的方法����,其特征在于�����,根據(jù)所述ACL樹中各節(jié) 點的類型,按照從子節(jié)點到父節(jié)點的順序�����,管理各節(jié)點的參數(shù)包括查詢所述ACL—Info—Table節(jié)點內(nèi)的相關(guān)信息���,得到所述網(wǎng)絡(luò)設(shè)備的ACL基本信息�;判斷所述ACL—Info—Table節(jié)點的子節(jié)點是否處于應(yīng)用狀態(tài)����;當(dāng)所述ACL—Info—Table節(jié)點的子節(jié)點未處于應(yīng)用狀態(tài)時,按照從子節(jié)點到父節(jié)點的順序����,修改相應(yīng)子節(jié)點的參數(shù)。
5���、 根據(jù)權(quán)利要求2所述的方法��,其特征在于��,根據(jù)所述ACL樹中各節(jié) 點的類型��,按照從子節(jié)點到父節(jié)點的順序���,管理各節(jié)點的參數(shù)包括查詢所述ACL—Rule—Table節(jié)點內(nèi)的相關(guān)信息����,得到所述網(wǎng)絡(luò)設(shè)備的 ACL規(guī)則信息���;按照從子節(jié)點到父節(jié)點的順序,修改ACL—Rule—Table相應(yīng)子節(jié)點的 參數(shù)��。
6����、 根據(jù)權(quán)利要求3至5任一項所述的方法,其特征在于�,所述修改包 括變更或者刪除。
7 �����、 一種控制網(wǎng)絡(luò)設(shè)備的訪問控制列表的裝置��,將所述網(wǎng)絡(luò)設(shè)備的訪問控制列表ACL映射到簡單網(wǎng)絡(luò)管理協(xié)議SNMP的管理信息庫MIB中,得到ACL樹�,其特征在于,該裝置包括讀取單元����,用于通過所述S麗P讀取所述MIB中的ACL樹; 控制單元��,用于根據(jù)所述讀取單元讀取的所述ACL樹中各節(jié)點的類型����,按照從子節(jié)點到父節(jié)點的順序,管理各節(jié)點的參數(shù)��。
8����、 根據(jù)權(quán)利要求7所述的裝置,其特征在于�����,所述控制單元包括 分類子單元�,用于劃分所述讀取單元讀取的所述ACL樹中各節(jié)點的類型。
9�、 根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述控制單元還包括 第一查詢子單元����,用于當(dāng)所述分類子單元劃分的節(jié)點為ACL一Summary節(jié)點時,查詢所述ACL—Summary節(jié)點內(nèi)的相關(guān)信息�����,得到所述網(wǎng)絡(luò)設(shè)備 的ACL信息總匯�����。
10�、 根據(jù)權(quán)利要求8所述的裝置�����,其特征在于�����,所述控制單元還包括 第二查詢子單元�����,用于當(dāng)所述分類子單元劃分的節(jié)點為ACL—Info—Table節(jié)點時,查詢所述ACL—Info—Table節(jié)點內(nèi)的相關(guān)信息�����,得 到所述網(wǎng)絡(luò)設(shè)備的ACL基本信息���;判斷子單元���,用于判斷所述第二查詢子單元查詢到的所述 ACL—Info—Table節(jié)點的子節(jié)點是否處于應(yīng)用狀態(tài);第二修改子單元��,用于根據(jù)所述判斷子單元的判斷結(jié)果����,當(dāng)所述 ACL—Info—Table節(jié)點的子節(jié)點未處于應(yīng)用狀態(tài)時,按照從子節(jié)點到父節(jié)點 的順序���,修改相應(yīng)子節(jié)點的參數(shù)����。
11����、 根據(jù)權(quán)利要求8所述的裝置�,其特征在于����,所述控制單元還包括 第三查詢子單元,用于當(dāng)所述分類子單元劃分的節(jié)點為ACL—Rule—Table節(jié)點時���,查詢所述ACL—Rule—Table節(jié)點內(nèi)的相關(guān)信息���, 得到所述網(wǎng)絡(luò)設(shè)備的ACL規(guī)則信息;第三修改子單元�����,用于根據(jù)所述第三查詢子單元的查詢結(jié)果����,按照從 子節(jié)點到父節(jié)點的順序����,修改ACL_Rule—Table相應(yīng)子節(jié)點的參數(shù)。
全文摘要
本發(fā)明公開控制網(wǎng)絡(luò)設(shè)備的訪問控制列表的方法及裝置��,其中���,該方法將所述網(wǎng)絡(luò)設(shè)備的訪問控制列表ACL映射到簡單網(wǎng)絡(luò)管理協(xié)議SNMP的管理信息庫MIB中����,得到ACL樹,該方法包括通過所述SNMP讀取所述MIB中的ACL樹�;根據(jù)所述ACL樹中各節(jié)點的類型,按照從子節(jié)點到父節(jié)點的順序���,管理各節(jié)點的參數(shù)�?��?梢酝ㄟ^SNMP控制網(wǎng)絡(luò)設(shè)備的ACL的方法及裝置��,相對于網(wǎng)管人員人工輸入大量的配置命令控制網(wǎng)絡(luò)設(shè)備的ACL的技術(shù)方案����,降低ACL的配置復(fù)雜度�����,進(jìn)而提高網(wǎng)絡(luò)設(shè)備的工作效率��。
文檔編號H04L29/06GK101557312SQ20091010724
公開日2009年10月14日 申請日期2009年5月8日 優(yōu)先權(quán)日2009年5月8日
發(fā)明者迪 金 申請人:中興通訊股份有限公司