[发明专利]一种ACL配置方法及系统

说明书

本发明提供一种ACL配置方法及系统，通过创建对应ACL模板的预设时间段，进而绑定所述预设时间段及所述ACL模板，并绑定所述ACL模板至路由交换设备的端口，以限定所述ACL模板在所绑定的预设时间段内、在所绑定端口生效，同时，ACL模板内的规则也是可以调整先后位置的，实现灵活配置ACL及ACL规则的目的，加强了ACL的管理效率，在实际的应用中对运营商的管理和计费能够更好的支持。

技术领域

本发明涉及网络技术领域，特别是涉及一种ACL配置方法及系统。

背景技术

接入网设备中为了根据用户需求，对特定的数据流进行过滤，用户通过配置一些规则信息，从而与网络中进入设备的数据流进行比较，数据流命中后，根据设定的策略，对命中的数据流进行丢弃和转发动作，从而实现对数据流的过滤。在ACL（访问控制列表）中来实现对数据流的过滤功能。通过比较设备中的对应端口所配置的ACL规则和实际网络中进入该端口的数据流，对该数据流进行转发和丢弃动作。

目前现有的ACL中，其实现主要分为了两个部分：数据流的匹配规则及动作配置；将规则绑定到端口上，实现特定端口对特定数据流的过滤功能。

在现有的ACL中，根据数据帧的结构，将ACL主要分为了三层：

（1）基本ACL：根据数据包的源IP制定ACL规则。

（2）高级ACL：根据数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性制定流规则。

（3）链路ACL：根据源MAC地址、源VLAN标识（即Tag或者ID）、二层协议类型、目的MAC地址等链路层信息制定ACL规则。

在实现过程中，由于ACL主要分为了三层，需要对ACL模板进行区分，在创建ACL模板时，创建时所设置的模板ID来进行区分，例如，1-100为基本ACL，101-200为高级ACL，201-300为链路ACL。在一个模板中，可以配置多条规则，可以支持特定端口的多条数据流的限制。一个模板中如果创建的规则ID在模板中已存在则将新创建的规则覆盖原有的规则，如果规则不存在，则创建。由于ACL主要的功能是对数据流进行过滤作用，因此，在ACL中对数据流的处理动作只有两个：permit（转发）和deny（丢弃）。当网络中的数据流进行入了设置中，如果网络数据流中的数据帧结构中相应的字段与端口配置的规则相同，则根据规则中所配置的动作，对数据流进行转发或者丢弃。

当ACL的模板创建完成后，就要将模板绑定到端口上，一个端口可以绑定多个模板，在同一模板内和不同的模板之间规则可能存在冲突，在同一ACL种，如果规则同时激活，默认先配置的规则较后配置的规则具有更高的执行优先级。如果是逐条单独激活，则后激活的规则较先激活的规则具有更高的执行优先级。不同的ACL模板中，后激活的规则较前激活规则具有更高的优先级。

但是，目前现有的ACL中主要存在缺点有以下几点：

1、规则的创建缺少灵活度，现有的三种ACL类型只能满足对应的数据帧的网络层，不能够灵活的变动。只能针对数据帧结构中连续的字段进行数据流的匹配。

2、端口上的数据流过滤不能根据时间来灵活的控制何时规则生效。用户应不能根据自我需求，在特定的时间中对特定的数据流进行限制。

3、规则创建后不能够进行移动来修改规则的优先级。同一模板中规则的优先级是按照规则的ID号确定优先级，ID确定后不能对规则的优先级进行修改。

发明内容

鉴于以上所述现有技术的缺点，本发明的目标在于提供一种ACL配置方法及系统，用于解决上述现有技术中ACL模板及ACL规则配置单一、不灵活的问题。