[发明专利]生成ACL表的方法和装置

权利要求书

1.一种生成访问控制列表ACL表的方法，其特征在于，所述方法包括：

获取第一网络设备的每个端口的端口类型；

根据所述每个端口的端口类型，从所述第一网络设备的所有端口中选择端口类型为预设类型的目标端口；

为每个目标端口生成对应的第一类ACL表项，所述第一类ACL表项是指包括所述目标端口的ACL表项；

生成所述第一网络设备的路由表对应的一个第二类ACL表项，所述第二类ACL表项的动作为跳转到所述路由表，所述第二类ACL表项是指包括所述路由表的ACL表项，所述第二类ACL表项是根据每个非目标端口对应的第一类ACL表项生成的，所述非目标端口为所述第一网络设备的所有端口中除所述目标端口之外的任意一个端口；

将所述第二类ACL表项和每个所述第一类ACL表项添加到所述第一网络设备的ACL表中。

2.根据权利要求1所述的方法，其特征在于，所述获取第一网络设备的每个端口的端口类型，包括：

所述第一网络设备上线后，监控所述第一网络设备的每个端口；

将在预设时长内接收到的通知报文中包括的端口的端口类型确定为互联类型；

将在预设时长内接收到的通知报文中没有包括的端口的端口类型确定为默认类型。

3.根据权利要求2所述的方法，其特征在于，所述互联类型包括组内互联类型和组间互联类型；

所述将在预设时长内接收到的通知报文中包括的端口的端口类型确定为互联类型，包括：

对于预设时长内接收到的每个通知报文中的端口，根据所述通知报文中的发送所述通知报文的对端网络设备所属的设备组的标识确定所述对端网络设备和所述第一网络设备是否属于同一个设备组；

当所述对端网络设备和所述第一网络设备属于同一个设备组时，确定所述端口的端口类型为组内互联类型；

当所述对端网络设备和所述第一网络设备不属于同一个设备组时，确定所述端口的端口类型为组间互联类型。

4.根据权利要求3所述的方法，其特征在于，所述预设类型包括所述默认类型和所述组内互联类型。

5.根据权利要求1-4中任意一项所述的方法，其特征在于，所述为每个目标端口生成对应的第一类访问控制列表ACL表项，包括：

确定所述第一网络设备所在网络架构中的第二网络设备，所述第二网络设备为所述网络架构中除所述第一网络设备之外的任意一个网络设备；

生成所述路由表，所述路由表的每个表项包括所述第一网络设备到一个第二网络设备的下一跳；

对于每个目标端口，根据所述路由表确定所述目标端口对应每个第二网络设备的动作，并对于每个第二网络设备，生成包括所述目标端口、所述第二网络设备和所述目标端口对应所述第二网络设备的动作的ACL表项。

6.根据权利要求5所述的方法，其特征在于，所述第二类ACL表项的优先级低于每个所述第一类ACL表项的优先级。

7.一种生成访问控制列表ACL表的装置，其特征在于，所述装置包括：

获取模块，用于获取第一网络设备的每个端口的端口类型；

选择模块，用于根据所述每个端口的端口类型，从所述第一网络设备的所有端口中选择端口类型为预设类型的目标端口；

第一生成模块，用于为每个目标端口生成对应的第一类ACL表项，所述第一类ACL表项是指包括所述目标端口的ACL表项；

第二生成模块，用于生成所述第一网络设备的路由表对应的一个第二类ACL表项，所述第二类ACL表项的动作为跳转到所述路由表，所述第二类ACL表项是指包括所述路由表的ACL表项，所述第二类ACL表项是根据每个非目标端口对应的第一类ACL表项生成的，所述非目标端口为所述第一网络设备的所有端口中除所述目标端口之外的任意一个端口；

添加模块，用于将所述第二类ACL表项和每个所述第一类ACL表项添加到所述第一网络设备的ACL表中。