[发明专利]输出访问控制方法与输出访问控制装置

说明书

技术领域

本发明涉及一种输出访问控制方法与输出访问控制装置，特别涉及一种在不支持输出访问控制列表的交换机上进行输出访问控制的输出访问控制方法与输出访问控制装置。

背景技术

交换机作为一种能完成接收和转发数据功能的网络设备，其端口是与外界通信交流的接口，在其端口上可应用访问控制列表(Access Control List，以下简称：ACL)对通过交换机的数据进行分类过滤以实现访问控制。ACL是一组应用在交换机端口上的指令列表，该指令列表包括允许接收数据、允许转发数据以及丢弃数据等。根据匹配条件的不同，ACL分为介质访问控制(Media Access Control，以下简称：MAC)ACL和互联网协议(InternetProtocol，以下简称：IP)ACL，MAC ACL是根据数据中的二层协议信息对数据进行分类过滤，IP ACL是根据数据中的三层协议以上的信息对数据进行分类过滤。根据ACL作用阶段的不同，ACL又可分为输入ACL和输出ACL，其中输入ACL是对进入交换机端口的数据进行分类过滤以实现输入访问控制，输出ACL是对转发出交换机端口的数据进行分类过滤以实现输出访问控制。访问控制项(Access Control Entry，以下简称ACE)是构成ACL的元素，包含了数据的特征和处理行为，特征是通过数据报文的二层至四层协议信息进行分类，而处理行为包括允许(permit)和拒绝(deny)，一条ACL可由多条ACE构成，其中每条ACE表示一种数据过滤的规则。

目前，网络协议主要以IP协议为主，由于I P协议的开放性，导致网络经常存在各种攻击或非法数据流量，对于网络中的交换机，由于其带宽是固定的，所以非法数据流量过多会导致用户正常数据受到影响。针对上述问题，可根据用户需要，在交换机的端口上应用IP ACL过滤掉非法数据流量，使正常的用户数据得到更多服务，同时提高网络的安全性。

其中，输出ACL的典型应用是对服务器访问权限的控制。例如，某台FTP服务器只限公司内部财务部门访问，则在交换机连接FTP服务器的端口上设置ACL来实现只有财务部门可访问该FTP服务器，ACL为：

ACE1：允许财务部门网段访问FTP的服务器；

ACE2：拒绝任何网段访问FTP服务器。

这样，通过在交换机连接FTP服务器的端口上设置ACL，即在交换机连接FTP服务器的端口上应用输出ACL，实现了对服务器访问权限的控制。

通常如果交换机支持输出ACL，则只需在该交换机的输出端口设置ACL就能对数据进行分类过滤以实现输出访问控制，但目前大多交换机中的交换芯片都只支持在输入阶段对数据进行分类过滤，也就是说交换机只支持应用输入ACL对数据进行分类过滤，而不支持应用输出ACL对数据进行分类过滤，因此，在不支持输出ACL的交换机上无法对数据进行输出访问控制。

发明内容

本发明提供了一种输出访问控制方法与输出访问控制装置，以解决现有技术中在不支持输出ACL的交换机上无法进行输出访问控制的问题，从而在不支持输出ACL的交换机上实现输出访问控制。

为实现上述目的，本发明提供了一种输出访问控制方法，包括：

三层输入端口接收数据报文；

所述三层输入端口根据预先设置的访问控制列表，控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。

为实现上述目的，本发明还提供了一种输出访问控制装置，设置在交换机上的三层输入端口，所述输出访问控制装置包括：

接收模块，用于接收数据报文；

转发控制模块，用于根据预先设置的访问控制列表，控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。

由上述技术方案可知，本发明在不支持输出ACL的交换机上，通过在该交换机的三层输入端口设置ACL实现了对数据报文的输出访问控制。

附图说明

图1为本发明输出访问控制方法实施例一的流程图；

图2为本发明输出访问控制方法实施例二的流程图；

图3为本发明输出访问控制方法中交换机的结构示意图；

图4为本发明输出访问控制方法中设置了ACL的交换机的结构示意图；

图5为本发明输出访问控制装置实施例的结构示意图。

具体实施方式

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

图1为本发明输出访问控制方法实施例一的流程图，如图1所示，具体包括如下步骤：