專利名稱:一種實(shí)現(xiàn)出口控制的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,尤其涉及一種實(shí)現(xiàn)出口控制的方法及裝置。
背景技術(shù):
目前����,交換機(jī)內(nèi)部的專用集成電路(Application Specific Integrated Circuit,ASIC)芯片通常采用只有入口硬件表的ASIC芯片,并通過在入口硬件表中配置的訪問控制列表(Access Control List, ACL)對(duì)進(jìn)入交換機(jī)的報(bào)文進(jìn)行入口控制�����。具體的���,通過入口硬件表中配置的ACL對(duì)報(bào)文進(jìn)行入口控制的方法如圖1所示�。圖 1為現(xiàn)有技術(shù)中通過ACL實(shí)現(xiàn)入口控制的過程��,具體包括以下步驟SlOl 將配置的ACL插入到入口硬件表中�����,其中�����,該ACL包含有效入口端口信息����、 報(bào)文屬性信息、處理操作信息��。S102 當(dāng)報(bào)文從某個(gè)入口端口進(jìn)入交換機(jī)時(shí)����,確定該報(bào)文進(jìn)入交換機(jī)所通過的入
口端口信息。S103 在入口硬件表中��,選擇包含的有效入口端口信息與確定的該入口端口信息匹配的ACL��。S104 根據(jù)該報(bào)文攜帶的報(bào)文屬性信息��,在選擇的ACL中,確定包含的報(bào)文屬性信息與該報(bào)文攜帶的報(bào)文屬性信息匹配的ACL����。其中,ACL中包含的報(bào)文屬性信息可以為報(bào)文的源網(wǎng)絡(luò)互連協(xié)議 (InternetProtocol�����,IP)地址�、源介質(zhì)訪問控制(Media Access Control, MAC)地址,以及其他屬性信息中的一種或幾種�����。S105 根據(jù)確定的ACL中包含的處理操作信息����,對(duì)該報(bào)文進(jìn)行相應(yīng)的處理。上述過程也即�����,根據(jù)該報(bào)文進(jìn)入交換機(jī)所通過的入口端口���,以及該報(bào)文攜帶的報(bào)文屬性信息��,確定包含的有效入口端口信息與該報(bào)文進(jìn)入交換機(jī)所通過的入口端口相匹配�����,且�����,包含的報(bào)文屬性信息與該報(bào)文攜帶的報(bào)文屬性信息相匹配的ACL��,并根據(jù)確定的 ACL中包含的處理操作信息對(duì)該報(bào)文進(jìn)行相應(yīng)的處理�����。其中����,如果在入口硬件表中沒有找到與上述該報(bào)文的入口端口和報(bào)文屬性信息均匹配的ACL����,則按照交換機(jī)的默認(rèn)處理操作信息,對(duì)該報(bào)文進(jìn)行處理����。然而�����,上述過程僅僅實(shí)現(xiàn)了對(duì)報(bào)文的入口控制���,并不能對(duì)報(bào)文進(jìn)行出口控制,在實(shí)際應(yīng)用中���,為了提高對(duì)報(bào)文控制的準(zhǔn)確性�,很多情況是需要對(duì)報(bào)文進(jìn)行出口控制的���。例如�����, 某些情況并不適合采用入口控制的方法對(duì)報(bào)文進(jìn)行控制��,而需要對(duì)報(bào)文進(jìn)行出口控制����。再如���,某些情況不僅需要對(duì)報(bào)文進(jìn)行入口控制��,還需要對(duì)報(bào)文進(jìn)行出口控制�。因此,現(xiàn)有技術(shù)中無法對(duì)報(bào)文進(jìn)行出口控制���,降低了對(duì)報(bào)文控制的準(zhǔn)確性�。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種實(shí)現(xiàn)出口控制的方法及裝置����,用以解決現(xiàn)有技術(shù)中僅能夠?qū)?bào)文進(jìn)行入口控制�,導(dǎo)致對(duì)報(bào)文的控制不夠準(zhǔn)確的問題。
本發(fā)明實(shí)施例提供的一種實(shí)現(xiàn)出口控制的方法�����,包括交換機(jī)在訪問控制列表ACL中配置有效入口端口信息�、有效出口端口信息和處理操作信息,并將配置的ACL插入到入口硬件表中�;所述交換機(jī)接收?qǐng)?bào)文,確定接收所述報(bào)文的入口端口信息�,以及發(fā)送所述報(bào)文的出口端口信息;并在所述入口硬件表中�����,選擇包含的有效入口端口信息與確定的接收所述報(bào)文的入口端口信息相匹配的ACL,并在選擇的ACL中�����,確定包含的有效出口端口信息與確定的發(fā)送所述報(bào)文的出口端口信息相匹配的ACL ���;以及根據(jù)確定的ACL中包含的處理操作信息���,對(duì)所述報(bào)文進(jìn)行相應(yīng)的處理。本發(fā)明實(shí)施例提供的一種實(shí)現(xiàn)出口控制的裝置��,包括配置模塊�����,用于在訪問控制列表ACL中配置有效入口端口信息�����、有效出口端口信息和處理操作信息����,并將配置的ACL插入到入口硬件表中;確定模塊,用于接收?qǐng)?bào)文��,確定接收所述報(bào)文的入口端口信息����,以及發(fā)送所述報(bào)文的出口端口信息;選擇模塊����,用于在所述入口硬件表中,選擇包含的有效入口端口信息與確定的接收所述報(bào)文的入口端口信息相匹配的ACL��,并在選擇的ACL中����,確定包含的有效出口端口信息與確定的發(fā)送所述報(bào)文的出口端口信息相匹配的ACL �;處理模塊,用于根據(jù)確定的ACL中包含的處理操作信息����,對(duì)所述報(bào)文進(jìn)行相應(yīng)的處理。本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)附著的方法����、裝置及系統(tǒng),該方法交換機(jī)除了在ACL 中配置有效入口端口信息和處理操作信息之外,還配置了有效出口端口信息�,并將配置的 ACL插入到入口硬件表中,當(dāng)接收到報(bào)文時(shí)���,確定該報(bào)文的入口端口信息和出口端口信息�, 并在入口硬件表中選擇包含的有效入口端口信息與確定的該報(bào)文的入口端口信息匹配的 ACL���,在選擇的ACL中�����,確定包含的有效出口端口信息與確定的該報(bào)文的出口端口信息匹配的ACL�����,根據(jù)該ACL中包含的處理操作信息對(duì)該報(bào)文進(jìn)行處理�����。上述方法實(shí)現(xiàn)了對(duì)報(bào)文的出口控制��,提高了對(duì)報(bào)文控制的準(zhǔn)確性�����。
圖1為現(xiàn)有技術(shù)中通過ACL實(shí)現(xiàn)入口控制的過程����;圖2為本發(fā)明實(shí)施例提供的實(shí)現(xiàn)出口控制的過程;圖3為本發(fā)明實(shí)施例提供的實(shí)現(xiàn)出口控制的詳細(xì)過程�;圖4為本發(fā)明實(shí)施例提供的實(shí)現(xiàn)出口控制的裝置結(jié)構(gòu)示意圖。
具體實(shí)施例方式由于交換機(jī)內(nèi)部的ASIC芯片通常為只有入口硬件表的ASIC芯片����,因此本發(fā)明實(shí)施例在原來應(yīng)用于入口控制的ACL中添加有效出口端口信息,用以將要從指定的出口端口發(fā)送出去的報(bào)文進(jìn)行相應(yīng)的處理�,以實(shí)現(xiàn)對(duì)報(bào)文的出口控制。下面結(jié)合說明書附圖���,對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述�����。圖2為本發(fā)明實(shí)施例提供的實(shí)現(xiàn)出口控制的過程,具體包括以下步驟
6
S201 交換機(jī)在ACL中配置有效入口端口信息��、有效出口端口信息和處理操作信息����,并將配置的ACL插入到入口硬件表中��。在本發(fā)明實(shí)施例中���,交換機(jī)除了在ACL中配置有效入口端口信息和處理操作信息以外,還配置了有效出口端口信息��,用以對(duì)要從指定的出口端口發(fā)送出去的報(bào)文進(jìn)行相應(yīng)的處理���。其中��,由于交換機(jī)的ASIC芯片只有入口硬件表�,而采用該入口硬件表中的某個(gè) ACL對(duì)報(bào)文進(jìn)行相應(yīng)處理的一個(gè)必要條件就是接收該報(bào)文的入口端口信息與該ACL中包含的有效入口端口相匹配���,因此�,通過入口硬件表中的ACL實(shí)現(xiàn)對(duì)報(bào)文的出口控制時(shí)�����,就需要在ACL中配置有效入口端口信息��。并且�,如果要同時(shí)實(shí)現(xiàn)對(duì)報(bào)文的入口和出口控制,則可以將交換機(jī)自身的一個(gè)端口或者部分端口的端口信息配置為ACL中的有效入口端口信息�����。如果只實(shí)現(xiàn)對(duì)報(bào)文的出口控制,則可以將交換機(jī)自身的所有端口的端口信息配置為ACL中的有效端口信息���。S202 交換機(jī)接收?qǐng)?bào)文���,確定接收該報(bào)文的入口端口信息,以及發(fā)送該報(bào)文的出口
端口信息���。在本發(fā)明實(shí)施例中���,交換機(jī)的某個(gè)端口接收到該報(bào)文,則確定該端口為接收到該報(bào)文的入口端口��。確定發(fā)送該報(bào)文的出口端口信息時(shí)���,則可以根據(jù)該報(bào)文的類型進(jìn)行確定����。具體的����,交換機(jī)首先確定該報(bào)文的類型。當(dāng)確定的該報(bào)文的類型為單播類型時(shí)���,根據(jù)該報(bào)文中攜帶的發(fā)送目的地址信息��,確定發(fā)送該報(bào)文的出口端口信息�。當(dāng)確定的該報(bào)文的類型為組播類型時(shí)��,確定接收到該報(bào)文的入口端口所屬的組播組�����,將確定的該組播組中除了該入口端口以外的其他端口的端口信息���,確定為發(fā)送該報(bào)文的出口端口信息����。當(dāng)確定該報(bào)文的類型為廣播類型或者未知名類型時(shí)��,確定接收到該報(bào)文的入口端口所屬的虛擬局域網(wǎng)(Virtual Local AreaNetwork�,VLAN),將確定的該VLAN中除了該入口端口以外的其他端口的端口信息��,確定為發(fā)送該報(bào)文的出口端口信息�����。這是由于如果該報(bào)文是單播報(bào)文,則該報(bào)文中一定攜帶發(fā)送目的地址信息��,因此可以根據(jù)發(fā)送目的地址信息確定發(fā)送該報(bào)文的出口端口�。如果該報(bào)文是組播報(bào)文,則接收該報(bào)文的入口端口一定屬于某個(gè)組播組��,因此可以確定該入口端口所屬的組播組���,將該組播組中除了該入口端口以外的其他端口確定為發(fā)送該報(bào)文的出口端口�。如果該報(bào)文是廣播報(bào)文�����,則接收該報(bào)文的入口端口一定屬于某個(gè)VLAN�,因此可以確定該入口端口所屬的 VLAN,將該VLAN中除了該入口端口以外的其他端口確定為發(fā)送該報(bào)文的出口端口。當(dāng)該報(bào)文是未知名報(bào)文時(shí)�,則可以將該報(bào)文作為廣播報(bào)文進(jìn)行處理。其中����,本發(fā)明實(shí)施例中的入口端口和出口端口只是針對(duì)單個(gè)報(bào)文的流向而言的, 并非是指交換機(jī)的某些端口固定是入口端口,另一些端口固定是出口端口�����。例如����,交換機(jī)有端口 1和端口 2��,該交換機(jī)通過端口 1接收到報(bào)文A���,要將報(bào)文A通過端口 2發(fā)送出去���,而該交換機(jī)通過端口 2接收到報(bào)文B,要將報(bào)文B通過端口 1發(fā)送出去��,則對(duì)于報(bào)文A而言��,端口 1為接收?qǐng)?bào)文A的入口端口�,端口 2為發(fā)送報(bào)文A的出口端口,而對(duì)于報(bào)文B而言�����,端口 2為接收?qǐng)?bào)文B的入口端口,端口 1為發(fā)送報(bào)文B的出口端口�。S203:在入口硬件表中,選擇包含的有效入口端口信息與確定的接收該報(bào)文的入口端口信息相匹配的ACL�,并在選擇的ACL中,確定包含的有效出口端口信息與確定的發(fā)送該報(bào)文的出口端口信息相匹配的ACL�����。
S204 根據(jù)確定的ACL中包含的處理操作信息�,對(duì)該報(bào)文進(jìn)行相應(yīng)的處理。在本發(fā)明實(shí)施例中��,ACL中包含的有效入口端口信息指定了交換機(jī)接收?qǐng)?bào)文的入口端口��,有效出口端口信息指定了交換機(jī)要發(fā)送該報(bào)文的出口端口�,也即,如果該報(bào)文從 ACL指定的入口端口進(jìn)入交換機(jī)���,并要從ACL指定的出口端口發(fā)送出去����,則交換機(jī)就要根據(jù)該ACL中包含的處理操作信息���,對(duì)該報(bào)文進(jìn)行相應(yīng)的處理��。其中�����,由于在步驟S201中����,交換機(jī)配置的ACL中包含的有效入口端口信息可以為某一個(gè)端口的端口信息�、或者部分端口的端口信息、或者所有端口的端口信息���,因此�,ACL包含的有效入口端口信息與確定的接收該報(bào)文的入口端口信息相匹配具體為該報(bào)文的入口端口信息與ACL包含的其中一個(gè)有效入口端口信息相同�����。例如�,交換機(jī)包括端口 1、端口 2和端口 3�,在ACL中配置的有效入口端口信息為端口 1的端口信息和端口 2的端口信息,也即ACL中包含的有效入口端口信息為交換機(jī)的部分端口的端口信息����,假設(shè)接收?qǐng)?bào)文的入口端口為端口 2,則該ACL包含的有效入口端口信息與接收該報(bào)文的入口端口信息相匹配。當(dāng)只實(shí)現(xiàn)對(duì)報(bào)文的出口控制時(shí)����,則可以將交換機(jī)自身的所有端口的端口信息配置為ACL中的有效端口信息,例如���,交換機(jī)包括端口 1����、端口 2和端口 3�����,在ACL中配置的有效入口端口信息為端口 1的端口信息����、端口 2的端口信息、端口 3的端口信息���,此時(shí)�����,無論從哪個(gè)端口接收到報(bào)文���,該ACL包含的有效入口端口信息與接收該報(bào)文的入口端口信息都能夠匹配�����,因此只需要在入口硬件表中��,確定包含的有效出口端口信息與發(fā)送該報(bào)文的出口端口信息相匹配的ACL����,即可實(shí)現(xiàn)對(duì)報(bào)文的出口控制��。通過上述過程�,當(dāng)不僅需要對(duì)報(bào)文進(jìn)行入口控制����,還需要對(duì)報(bào)文進(jìn)行出口控制時(shí), 則可以將需要進(jìn)行入口控制的端口信息配置為ACL包含的有效入口端口信息�����,并將需要進(jìn)行出口控制的端口信息配置為ACL包含的有效出口端口信息��,當(dāng)報(bào)文從該有效入口端口信息對(duì)應(yīng)的端口進(jìn)入交換機(jī)�����,并要從該有效出口端口信息對(duì)應(yīng)的端口發(fā)送出去時(shí),交換機(jī)則根據(jù)該ACL中包含的處理操作信息對(duì)該報(bào)文進(jìn)行相應(yīng)的處理�����。當(dāng)不適合采用入口控制的方法對(duì)報(bào)文進(jìn)行控制���,而需要對(duì)報(bào)文進(jìn)行出口控制時(shí)���,則可以將交換機(jī)自身的所有端口的端口信息配置為ACL包含的有效入口端口信息,并將需要進(jìn)行出口控制的端口信息配置為 ACL包含的有效出口端口信息��,這樣無論報(bào)文從哪個(gè)端口進(jìn)入交換機(jī)�����,只要該報(bào)文要從該有效出口端口信息對(duì)應(yīng)的端口發(fā)送出去����,交換機(jī)就對(duì)該報(bào)文進(jìn)行相應(yīng)的處理。因此�����,上述方法實(shí)現(xiàn)了對(duì)報(bào)文的出口控制,提高了對(duì)報(bào)文控制的準(zhǔn)確性��。在本發(fā)明實(shí)施例中�����,交換機(jī)還可以為配置的每條ACL設(shè)置相應(yīng)的優(yōu)先級(jí)�。在圖2 所示的步驟S203中,如果確定的包含的有效入口端口信息和有效出口端口信息分別與該報(bào)文的入口端口信息和出口端口信息相匹配的ACL有多個(gè)���,則在圖2所示的步驟S204中�����, 交換機(jī)根據(jù)確定的ACL中優(yōu)先級(jí)最高的ACL中包含的處理操作信息,對(duì)該報(bào)文進(jìn)行相應(yīng)的處理�����。由于對(duì)于組播類型��、廣播類型和未指明類型的報(bào)文�,這些報(bào)文的發(fā)送目的地址可能是多個(gè),從而發(fā)送這些報(bào)文的出口端口也可能是多個(gè)�����。如果交換機(jī)在ACL中配置的有效出口端口信息只有一個(gè),那么如果要對(duì)這些類型的報(bào)文進(jìn)行控制�,勢(shì)必要將這些類型的報(bào)文按照不同的發(fā)送目的地址轉(zhuǎn)化為單播報(bào)文,并配置多條ACL�����,每條ACL中包含一個(gè)有效出口端口信息����。由于一條ACL就要占用入口硬件表中的一個(gè)表項(xiàng),因此這種方法會(huì)嚴(yán)重浪費(fèi)入口硬件表的資源��。因此��,在本發(fā)明實(shí)施例中�����,交換機(jī)在ACL中配置的有效出口端口信息為至少一個(gè)端口的端口信息�����,并且�����,為了在與報(bào)文進(jìn)行匹配時(shí)提高匹配效率,ACL包含的至少一個(gè)有效出口端口信息是以出口端口位圖的形式配置的�����。具體的����,交換機(jī)在ACL中生成自身的第一出口端口位圖,其中�����,該第一出口端口位圖中包含自身的所有端口信息���,每個(gè)端口信息對(duì)應(yīng)一個(gè)有效標(biāo)志位�,交換機(jī)根據(jù)指定的至少一個(gè)需要進(jìn)行出口控制的端口信息���,在生成的第一出口端口位圖中,將每個(gè)指定的端口信息對(duì)應(yīng)的有效標(biāo)志位配置為有效�����。其中,指定的需要進(jìn)行出口控制的端口可以是根據(jù)需要進(jìn)行指定的��。第一出口端口位圖中的有效標(biāo)志位標(biāo)識(shí)了相應(yīng)的端口信息是否為有效出口端口信息����,例如,當(dāng)配置有效標(biāo)志位的數(shù)值為1時(shí)����,該有效標(biāo)志位對(duì)應(yīng)的端口信息為有效出口端口信息,當(dāng)有效標(biāo)志位的數(shù)值為0時(shí)�����,其對(duì)應(yīng)的端口信息不是有效出口端口信息�。當(dāng)然,還可以采用其他方式標(biāo)識(shí)相應(yīng)的端口信息是否為有效出口端口信息���。下面舉例說明在ACL中以出口端口位圖的形式配置有效出口端口信息�����。例如��,交換機(jī)的所有端口分別為端口 1�、端口 2、端口 3��、端口 4�,指定的需要進(jìn)行出口控制的端口為端口 2和端口 4,假設(shè)有效標(biāo)志位為1時(shí)�����,其對(duì)應(yīng)的端口信息為有效出口端口信息��,則交換機(jī)在ACL中配置的第一出口端口位圖如表1所示��。
端口信息有效標(biāo)志位端口 10
端口 2
端口 30
端口 4 表 1在表1中��,第一出口端口位圖包含了交換機(jī)的所有端口的端口信息����,并且將指定的需要進(jìn)行出口控制的端口信息對(duì)應(yīng)的有效標(biāo)志位置1,標(biāo)識(shí)相應(yīng)的端口信息為有效出口端口信息��,也即第一出口端口位圖中的有效出口端口信息為端口 2和端口 4��。則在后續(xù)的步驟中�,在確定該ACL的有效出口端口信息是否與發(fā)送報(bào)文的出口端口信息匹配時(shí),則可以根據(jù)上述第一出口端口位圖���,判斷發(fā)送報(bào)文的出口端口信息在該第一出口端口位圖中對(duì)應(yīng)的有效標(biāo)志位是否均被置為1�����,如果是�����,則匹配���,否則不匹配。為了進(jìn)一步提高匹配的效率��,在圖2所示的步驟S202之后���,也即交換機(jī)確定了發(fā)送該報(bào)文的出口端口信息之后���,還可以在該報(bào)文中添加一個(gè)類似的出口端口位圖。具體的��, 交換機(jī)在該報(bào)文中添加自身的第二出口端口位圖��,其中,該第二出口端口位圖中包含自身的所有端口的端口信息����,每個(gè)端口信息對(duì)應(yīng)一個(gè)有效標(biāo)志位,交換機(jī)根據(jù)確定的發(fā)送該報(bào)文的每個(gè)出口端口信息��,在添加的第二出口端口位圖中���,將確定的發(fā)送該報(bào)文的每個(gè)出口端口信息對(duì)應(yīng)的有效標(biāo)志位置為有效��。其中���,第二出口端口位圖中的有效標(biāo)志位標(biāo)識(shí)相應(yīng)的端口信息是否為發(fā)送該報(bào)文的出口端口信息,例如�����,將有效標(biāo)志位置1標(biāo)識(shí)其對(duì)應(yīng)的端口信息為發(fā)送該報(bào)文的出口端口信息�,置0標(biāo)識(shí)其對(duì)應(yīng)的端口信息不是發(fā)送該報(bào)文的出口端口信息。當(dāng)然����,還可以采用其他方法標(biāo)識(shí)對(duì)應(yīng)的端口信息是否為發(fā)送該報(bào)文的出口端口 fn息ο繼續(xù)延用上例,交換機(jī)有四個(gè)端口�����,分別為端口 1、端口 2��、端口 3和端口 4���,假設(shè)確定的發(fā)送該報(bào)文的出口端口信息為端口 2和端口 4,假設(shè)有效標(biāo)志位置1時(shí)標(biāo)識(shí)其對(duì)應(yīng)的端口信息為發(fā)送該報(bào)文的出口端口信息�,則交換機(jī)在該報(bào)文中添加的第二出口端口位圖如表2所示。
權(quán)利要求
1.一種實(shí)現(xiàn)出口控制的方法��,其特征在于��,包括交換機(jī)在訪問控制列表ACL中配置有效入口端口信息��、有效出口端口信息和處理操作信息�,并將配置的ACL插入到入口硬件表中;所述交換機(jī)接收?qǐng)?bào)文�,確定接收所述報(bào)文的入口端口信息,以及發(fā)送所述報(bào)文的出口端口信息�;并在所述入口硬件表中,選擇包含的有效入口端口信息與確定的接收所述報(bào)文的入口端口信息相匹配的ACL��,并在選擇的ACL中�,確定包含的有效出口端口信息與確定的發(fā)送所述報(bào)文的出口端口信息相匹配的ACL ���;以及根據(jù)確定的ACL中包含的處理操作信息,對(duì)所述報(bào)文進(jìn)行相應(yīng)的處理���。
2.如權(quán)利要求1所述的方法����,其特征在于��,交換機(jī)在ACL中配置有效入口端口信息�,具體包括所述交換機(jī)在ACL中配置的有效入口端口信息為所述交換機(jī)自身的所有端口的端口 fn息ο
3.如權(quán)利要求1所述的方法,其特征在于���,交換機(jī)在ACL中配置有效出口端口信息�,具體包括所述交換機(jī)在ACL中生成自身的第一出口端口位圖�,其中,所述第一出口端口位圖中包含自身的所有端口的端口信息����,每個(gè)端口信息對(duì)應(yīng)一個(gè)有效標(biāo)志位;并根據(jù)指定的至少一個(gè)需要進(jìn)行出口控制的端口信息����,在生成的第一出口端口位圖中�, 將每個(gè)指定的端口信息對(duì)應(yīng)的有效標(biāo)志位配置為有效��。
4.如權(quán)利要求3所述的方法��,其特征在于�,確定發(fā)送所述報(bào)文的出口端口信息之后,所述方法還包括所述交換機(jī)在所述報(bào)文中添加自身的第二出口端口位圖�����,其中�,所述第二出口端口位圖中包含自身的所有端口的端口信息�����,每個(gè)端口信息對(duì)應(yīng)一個(gè)有效標(biāo)志位��;并根據(jù)確定的發(fā)送所述報(bào)文的每個(gè)出口端口信息�����,在添加的第二出口端口位圖中�����,將確定的發(fā)送所述報(bào)文的每個(gè)出口端口信息對(duì)應(yīng)的有效標(biāo)志位配置為有效;在選擇的ACL中����,確定包含的有效出口端口信息與確定的發(fā)送所述報(bào)文的出口端口信息相匹配的ACL,具體包括在選擇的ACL中�,確定包含的第一出口端口位圖與所述報(bào)文中攜帶的第二出口端口位圖相匹配的ACL。
5.如權(quán)利要求1 4任一所述的方法�,其特征在于,確定發(fā)送所述報(bào)文的出口端口信息�����,具體包括確定所述報(bào)文的類型���;并當(dāng)確定所述報(bào)文的類型為單播類型時(shí)���,根據(jù)所述報(bào)文中攜帶的發(fā)送目的地址信息,確定發(fā)送所述報(bào)文的出口端口信息����;或者當(dāng)確定所述報(bào)文的類型為組播類型時(shí),確定接收到所述報(bào)文的入口端口所屬的組播組�,將確定的所述組播組中除了所述入口端口以外的其他端口的端口信息,確定為發(fā)送所述報(bào)文的出口端口信息����;或者當(dāng)確定所述報(bào)文的類型為廣播類型或者未知名類型時(shí)���,確定接收到所述報(bào)文的入口端口所屬的虛擬局域網(wǎng)VLAN,將確定的所述VLAN中除了所述入口端口以外的其他端口的端口信息��,確定為發(fā)送所述報(bào)文的出口端口信息��。
6.如權(quán)利要求1所述的方法��,其特征在于�,所述方法還包括所述交換機(jī)在ACL中配置報(bào)文屬性信息����;根據(jù)確定的ACL中包含的處理操作信息,對(duì)所述報(bào)文進(jìn)行相應(yīng)的處理之前���,所述方法還包括判斷確定的ACL中包含的報(bào)文屬性信息與所述報(bào)文中攜帶的報(bào)文屬性信息相匹配��。
7.一種實(shí)現(xiàn)出口控制的裝置�,其特征在于��,包括配置模塊�,用于在訪問控制列表ACL中配置有效入口端口信息�、有效出口端口信息和處理操作信息�����,并將配置的ACL插入到入口硬件表中���;確定模塊�,用于接收?qǐng)?bào)文����,確定接收所述報(bào)文的入口端口信息,以及發(fā)送所述報(bào)文的出口端口信息����;選擇模塊,用于在所述入口硬件表中����,選擇包含的有效入口端口信息與確定的接收所述報(bào)文的入口端口信息相匹配的ACL,并在選擇的ACL中�,確定包含的有效出口端口信息與確定的發(fā)送所述報(bào)文的出口端口信息相匹配的ACL ;處理模塊����,用于根據(jù)確定的ACL中包含的處理操作信息��,對(duì)所述報(bào)文進(jìn)行相應(yīng)的處理�����。
8.如權(quán)利要求7所述的裝置�,其特征在于����,所述配置模塊具體用于,在ACL中配置的有效入口端口信息為自身的所有端口的端口信息����。
9.如權(quán)利要求7所述的裝置,其特征在于�����,所述配置模塊具體用于���,在ACL中生成自身的第一出口端口位圖,其中���,所述第一出口端口位圖中包含所有端口的端口信息���,每個(gè)端口信息對(duì)應(yīng)一個(gè)有效標(biāo)志位���,并根據(jù)指定的至少一個(gè)需要進(jìn)行出口控制的端口信息,在生成的第一出口端口位圖中�����,將每個(gè)指定的端口信息對(duì)應(yīng)的有效標(biāo)志位配置為有效�。
10.如權(quán)利要求9所述的裝置,其特征在于���,所屬裝置還包括添加模塊���,用于在確定發(fā)送所述報(bào)文的出口端口信息之后,在所述報(bào)文中添加自身的第二出口端口位圖���,其中����,所述第二出口端口位圖中包含所有端口的端口信息��,每個(gè)端口信息對(duì)應(yīng)一個(gè)有效標(biāo)志位,并根據(jù)確定的發(fā)送所述報(bào)文的每個(gè)出口端口信息���,在添加的第二出口端口位圖中��,將確定的發(fā)送所述報(bào)文的每個(gè)出口端口信息對(duì)應(yīng)的有效標(biāo)志位配置為有效�;所述選擇模塊具體用于�����,在選擇的ACL中��,確定包含的第一出口端口位圖與所述報(bào)文中攜帶的第二出口端口位圖相匹配的ACL����。
11.如權(quán)利要求7 10任一所述的裝置,其特征在于����,所述確定模塊具體用于,確定所述報(bào)文的類型��,當(dāng)確定所述報(bào)文的類型為單播類型時(shí)�����,根據(jù)所述報(bào)文中攜帶的發(fā)送目的地址信息��,確定發(fā)送所述報(bào)文的出口端口信息��,當(dāng)確定所述報(bào)文的類型為組播類型時(shí)����,確定接收到所述報(bào)文的入口端口所述的組播組,將確定的所述組播組中處理所述入口端口以外的其他端口的端口信息�����,確定為發(fā)送所述報(bào)文的出口端口信息��,當(dāng)確定所述報(bào)文的類型為廣播類型或者未知名類型時(shí)�����,確定接收到所述報(bào)文的入口端口所屬的虛擬局域網(wǎng)VLAN�,將確定的所述VLAN中處理所述入口端口以外的其他端口的端口信息,確定為發(fā)送所述報(bào)文的出口端口信息��。
12.如權(quán)利要求7所述的裝置����,其特征在于����,所述配置模塊還用于����,在ACL中配置報(bào)文屬性信息;所述選擇模塊還用于����,在所述處理模塊根據(jù)確定的ACL中包含的處理操作信息,對(duì)所述報(bào)文進(jìn)行相應(yīng)的處理之前���,判斷確定的ACL中包含的報(bào)文屬性信息與所述報(bào)文中攜帶的報(bào)文屬性信息相匹配�����。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)出口控制的方法及裝置��,用以解決現(xiàn)有技術(shù)中僅能夠?qū)?bào)文進(jìn)行入口控制�����,導(dǎo)致對(duì)報(bào)文的控制不夠準(zhǔn)確的問題�。該方法交換機(jī)除了在ACL中配置有效入口端口信息和處理操作信息之外���,還配置了有效出口端口信息�����,并將配置的ACL插入到入口硬件表中��,當(dāng)接收到報(bào)文時(shí)����,確定該報(bào)文的入口端口信息和出口端口信息����,并在入口硬件表中選擇包含的有效入口端口信息與確定的該報(bào)文的入口端口信息匹配的ACL,在選擇的ACL中�,確定包含的有效出口端口信息與確定的該報(bào)文的出口端口信息匹配的ACL,根據(jù)該ACL中包含的處理操作信息對(duì)該報(bào)文進(jìn)行處理����。上述方法實(shí)現(xiàn)了對(duì)報(bào)文的出口控制,提高了對(duì)報(bào)文控制的準(zhǔn)確性�����。
文檔編號(hào)H04L12/56GK102523152SQ20111039985
公開日2012年6月27日 申請(qǐng)日期2011年12月5日 優(yōu)先權(quán)日2011年12月5日
發(fā)明者韓曉晨 申請(qǐng)人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司