[发明专利]通过虚拟局域网访问控制列表的装置及其实现方法

说明书

技术领域

本发明涉及路由器、交换机等网络设备，具体地，涉及网络设备访问控制列表。

背景技术

ACL(访问控制列表)近年来被广泛用于网络设备中，实现流分类、控制、统计等，是网络设备中的许多功能的基础。但是目前大多数网络设备使用的芯片只能支持通过物理端口的ACL，即ACL规则只能绑定到物理端口。随着应用的不断深入，通过VLAN(虚拟局域网)的ACL的需求被提出，即如何在只能支持通过物理端口的ACL的网络设备中实现通过VLAN的ACL。

发明内容

本发明要解决的技术问题是，提出一种技术方案，在现有支持通过端口的ACL的设备中实现通过VLAN的ACL。

本发明中的一种实现通过VLAN访问控制列表的装置，包括配置模块、下发绑定模块、更改通知模块；其中：

配置模块用于接受用户配置，分析目前VLAN所包含的物理端口，调用所述下发绑定模块将通过VLAN的访问控制列表下发到VLAN所包含的所有物理端口，并在访问控制列表规则中添加VLAN号用作识别的字段值；

下发绑定模块负责将通过VLAN的访问控制列表规则绑定到物理端口，在访问控制列表规则删除或者更改时，负责解绑定或者重新绑定访问控制列表规则到物理端口；

更改通知模块，用于在VLAN的配置改变时获取VLAN的更改信息，对比已经配置的通过VLAN的访问列表信息，调用所述下发绑定模块，增加或者减少物理端口的访问列表绑定；在VLAN删除或者通过VLAN访问控制列表规则解绑定时，更改通知模块会及时删除此VLAN下的所有物理端口的绑定。

本发明中应用上述装置实现通过VLAN访问控制列表的方法，包括以下步骤：

第一步，配置模块配置VLAN所包含的物理端口；

第二步，配置模块配置该问控制列表规则；

第三步，下发绑定模块将第二步配置的规则应用到VLAN；配置模块将分析VLAN所包含的物理端口，获取端口列表；在访问控制列表规则中添加VLAN号用作识别的字段值；

第四步，下发绑定模块将应用到VLAN的访问控制列表规则分别绑定到物理端口；

第五步，如果VLAN所包含的物理端口有变化，或者VLAN被删除，更改通知模块对比VLAN的前后变化，重新下发端口的绑定或者解绑定。

本发明能使目前只能通过端口访问控制列表的设备适应网络发展需要，平滑升级到通过VLAN该问控制列表。

附图说明

图1是本发明实现通过VLAN访问控制列表的方法的流程图。

具体实施方式

下面根据图1对本发明的实现通过VLAN访问控制列表的方法进行介绍：

假定想在VLAN10(包含端口10-20)上应用一条ACL规则acl1。

第一步，配置VLAN10所包含的端口10-20。

第二步，配置要应用的ACL规则，比如：丢弃某一源IP的报文，允许某一应用层的报文等。

第三步，将ACL规则应用到VLAN10，此时，基于VLAN的ACL配置模块将分析VLAN10所包含的端口，获取端口列表：端口10-20，在ACL规则中添加VLAN10做为Key值(识别的字段值)。

第四步，ACL下发绑定模块将应用到VLAN10的ACL规则分别绑定到端口10-20。

第五步，如果VLAN10所包含的端口有变化，或者VLAN10被删除，VLAN更改通知模块对比VLAN10的前后变化，即所包含端口的变化(如果是VLAN10被删除，则删除所有端口的ACL绑定)重新下发端口的绑定或者解绑定。