專利名稱:網(wǎng)絡設備的報文訪問控制方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信網(wǎng)技術,尤其涉及一種網(wǎng)絡設備的報文訪問控制方法及 系統(tǒng)。
背景技術:
訪問控制是網(wǎng)絡安全防范和保護的核心策略之一,通過對于輸入/輸出的報文執(zhí)行訪問控制列表(Access Control List,簡稱ACL)匹配,來決定是否 允許或禁止該報文的通過,從而保證網(wǎng)絡設備不被有威脅的報文攻擊,以及 保證網(wǎng)絡資源不被非法使用和訪問。ACL技術被廣泛應用在路由器、防火墻等網(wǎng)絡設備上,其工作原理如下 Al、創(chuàng)建ACL;其中,ACL的每一條指令都包括匹配規(guī)則和處理策略 兩部分,通過匹配規(guī)則識別需要過濾的對象,并根據(jù)預先設定的處理策略執(zhí) 行放行或者丟棄處理;具體的,匹配規(guī)則可以僅僅是報文的源IP地址(基本 ACL),可以是報文的五元組信息即〈源IP地址、目的IP地址、源端口號、 目的端口號、協(xié)議號> (擴展ACL),也可以是包括報文的源IP地址、目的 IP地址、IP承載的協(xié)議類型、協(xié)議的特征(例如TCP或者UDP的源端口、 目的端口, TCP標記,ICMP協(xié)議的消息類型、消息碼等)等信息在內(nèi)的任 意組合;A2、在需要的接口上應用指定的ACL指令,并指明應用在出接口方向 或入接口方向,即ACL匹配分為入接口 ACL匹配和出接口 ACL匹配;A3、當接口收到報文時,按照匹配規(guī)則提取報文的源、目的IP地址、 協(xié)議、協(xié)議特征等信息執(zhí)行入接口 ACL匹配,如果能命中則根據(jù)指令中設 定的處理策略放行或者丟棄報文;A4、當接口發(fā)送經(jīng)過業(yè)務處理的報文時,同樣按照匹配規(guī)則提取報文的 源、目的IP地址、協(xié)議、協(xié)議特征等信息執(zhí)行出接口 ACL匹配,如果能命 中則根據(jù)指令中設定的處理策略放行或者丟棄報文。在應用了 ACL技術之后,網(wǎng)絡設備對報文的訪問控制過程如下Bl、首先要根據(jù)接收報文的接口上所應用的ACL指令,對報文執(zhí)行入 接口 ACL匹配,對于匹配成功的報文,根據(jù)設定的處理策略丟棄或者執(zhí)行 后續(xù)的業(yè)務處理;B2、將執(zhí)行業(yè)務處理后的報文交給指定的發(fā)送接口;B3、根據(jù)該發(fā)送報文的接口上所應用的ACL指令,對報文執(zhí)行出接口 ACL匹配,對于匹配成功的報文,根據(jù)設定的處理策略丟棄或者進行轉發(fā)??梢钥闯觯W(wǎng)絡設備對于每一個報文,無論其在出接口 ACL匹配之后 是否被丟棄,都要先行執(zhí)行業(yè)務處理,這無疑消耗了網(wǎng)絡設備的系統(tǒng)資源, 降低了網(wǎng)絡設備的處理效率。此外,現(xiàn)有技術中網(wǎng)絡設備一般是通過CPU進行ACL匹配處理,造成 CPU負載很大,會對整個設備的處理能力造成影響。發(fā)明內(nèi)容本發(fā)明的實施例旨在提供一種能夠提高網(wǎng)絡設備處理效率的報文訪問 控制方案。為實現(xiàn)上述目的,本發(fā)明的實施例提供了一種網(wǎng)絡設備的報文訪問控制 方法,對于入接口 ACL匹配的處理策略為允許且未開啟網(wǎng)絡地址轉換NAT 功能的輸入報文,執(zhí)行以下步驟51、 査找該輸入報文的出接口信息,根據(jù)在相應出接口上所應用的 ACL指令,對該輸入報文執(zhí)行出接口 ACL匹配;52、 對于匹配的處理策略為允許的輸入報文執(zhí)行業(yè)務處理,并將業(yè)務處 理完成后獲得的輸出報文直接通過相應出接口轉發(fā)。本發(fā)明的實施例還提供了一種網(wǎng)絡設備的報文訪問控制系統(tǒng),包括業(yè)務 處理單元和接口,還包括與各接口連接的NAT功能識別單元,用于識別相應接口接收的輸入 報文是否開啟網(wǎng)絡地址轉換NAT功能;與各接口以及所述NAT功能識別單元連接的入接口 ACL匹配單元, 用于根據(jù)相應入接口上所應用的ACL指令,對該接口接收的輸入報文執(zhí) 行入接口ACL匹配;以及,根據(jù)該NAT功能識別單元發(fā)送的識別結果,觸發(fā)業(yè)務處理單元對入接口 ACL匹配的處理策略為允許且開啟NAT功 能的輸入報文進行處理,觸發(fā)出接口 ACL匹配單元對入接口 ACL匹配 的處理策略為允許且未開啟NAT功能的輸入報文進行處理;與該入接口 ACL匹配單元以及業(yè)務處理單元連接的出接口 ACL匹 配單元,用于接受該入接口 ACL匹配單元的觸發(fā),査找輸入報文的出接 口信息,根據(jù)在相應出接口上所應用的ACL指令對該輸入報文執(zhí)行出接 口 ACL匹配,以及,觸發(fā)該業(yè)務處理單元對出接口 ACL匹配的處理策 略為允許的輸入報文進行處理,并丟棄匹配的處理策略為禁止的輸入報 文;其中,該業(yè)務處理單元用于對接收到的輸入報文進行業(yè)務處理以獲得輸 出報文;以及,對于從入接口 ACL匹配單元接收到的輸入報文,相應將該 輸出報文發(fā)送給出接口 ACL匹配單元進行出接口 ACL匹配;以及,對于從 出接口 ACL匹配單元接收到的輸入報文,相應將該輸出報文直接通過相應 出接口轉發(fā)。由上述技術方案可知,本發(fā)明的實施例通過對未開啟NAT功能的輸入 報文在進行業(yè)務處理之前執(zhí)行出接口 ACL匹配,僅對出接口 ACL匹配之后 允許的輸入報文進行業(yè)務處理,從而具有節(jié)省網(wǎng)絡設備系統(tǒng)資源和提高網(wǎng)絡 設備處理效率的有益效果。通過以下參照附圖對優(yōu)選實施例的說明,本發(fā)明的上述以及其它目的、 特征和優(yōu)點將更加明顯。
圖1為本發(fā)明提供的網(wǎng)絡設備的報文訪問控制方法一實施例的流程圖; 圖2為本發(fā)明提供的網(wǎng)絡設備的報文訪問控制方法另一實施例的流程圖;圖3為應用圖1或圖2所示方法的一分布式架構網(wǎng)絡設備結構示意圖; 圖4為本發(fā)明提供的網(wǎng)絡設備的報文訪問控制系統(tǒng)一實施例的框圖; 圖5為本發(fā)明提供的網(wǎng)絡設備的報文訪問控制系統(tǒng)另一實施例的框圖; 圖6為本發(fā)明提供的網(wǎng)絡設備的報文訪問控制系統(tǒng)再一實施例的框圖。
具體實施方式
下面將詳細描述本發(fā)明的具體實施例。應當注意,這里描述的實施例只 用于舉例說明,并不用于限制本發(fā)明。首先,必須說明的是,本發(fā)明為了節(jié)約網(wǎng)絡設備的系統(tǒng)資源,對未啟用NAT功能的輸入報文采取了在入接口同時執(zhí)行入接口 ACL匹配和出接口 ACL匹配的操作,從而避免對出接口 ACL匹配之后丟棄的輸入報文進行業(yè) 務處理。而對于啟用NAT (Network Address Translation,網(wǎng)絡地址轉換)功 能的報文,由于其在未進行業(yè)務處理的時候無法得到報文的出接口消息,因 此沿用現(xiàn)有技術的訪問控制流程,即對輸入報文先進行入接口 ACL匹配, 對于放行的輸入報文進行業(yè)務處理之后,再對獲得的輸出報文進行出接口 ACL匹配。作為本發(fā)明所提供的網(wǎng)絡設備的報文訪問控制方法的一個具體實施例, 請結合圖1和圖2,描述如下對于入接口 ACL匹配的處理策略為允許且未開啟NAT功能的輸入報 文,執(zhí)行以下步驟S1 S2:具有上述屬性的輸入報文可以通過下述步驟獲取500、 根據(jù)在入接口上所應用的ACL指令,對該輸入報文執(zhí)行入接口 ACL匹配;具體包括提取輸入報文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議的特征等信息,與該入接口上所應用的ACL指令 中的匹配規(guī)則進行匹配,匹配成功的報文,其處理策略可能為允許或者 禁止;501、 對于匹配的處理策略為允許的輸入報文,識別其NAT功能是否開 啟,未開啟則可以先行執(zhí)行出接口 ACL匹配,即向下執(zhí)行步驟S1 S2;相應的,如果NAT功能開啟,則必須經(jīng)過業(yè)務處理后再進行出接口 ACL 匹配,如下Sl'、對該輸入報文執(zhí)行業(yè)務處理獲得輸出報文;S2'、査找該輸出報文的出接口信息,并根據(jù)該出接口上所應用的 ACL指令,對輸出報文執(zhí)行出接口 ACL匹配;S3'、將匹配的處理策略為允許的輸出報文通過所述出接口轉發(fā); S4'、丟棄匹配的處理策略為禁止的輸出報文。由于上述步驟S1' S4'所采取的操作與現(xiàn)有的報文訪問控制方法相同,因 此不再贅述,下面重點對步驟S1 S2展開詳細描述。51、 査找輸入報文的出接口信息,根據(jù)在相應出接口上所應用的ACL 指令,對該輸入報文執(zhí)行出接口 ACL匹配;由于輸入報文并未開啟NAT功能,因此,在進行業(yè)務處理前即可獲得 出接口信息,具體可以采用如下實現(xiàn)方式通過査找FIB (Forwarding Information Table,轉發(fā)信息表)禾B ARP (Address Resolution Protocol,地址 解析協(xié)議)表獲得輸入報文的出接口信息;其中,F(xiàn)IB和ARP表是由網(wǎng)絡設 備的CPU在生成ACL指令時生成的;然后提取輸入報文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié) 議的特征等信息,與該入接口上所應用的ACL指令中的匹配規(guī)則進行匹配, 匹配成功的報文,其處理策略同樣可能為允許或者禁止。52、 對于匹配的處理策略為允許的輸入報文執(zhí)行業(yè)務處理,并將業(yè)務處 理完成后獲得的輸出報文直接通過相應出接口轉發(fā)??梢钥闯觯ㄟ^上述步驟S1 S2,僅僅出接口 ACL匹配結果為允許的輸 入報文被執(zhí)行業(yè)務處理,從而節(jié)約了網(wǎng)絡設備的系統(tǒng)處理資源,提高了網(wǎng)絡 設備的處理效率。較佳的,出接口 ACL匹配結果為禁止的輸入報文可以在執(zhí)行業(yè)務處理 之前就被丟棄,無需進行業(yè)務處理,即還包括步驟S3:丟棄匹配的處理策略 為禁止的輸入報文。進一步的,在現(xiàn)有技術中,入接口 ACL匹配和出接口 ACL匹配的操作, 都是由網(wǎng)絡設備的CPU進行査詢和處理的,這導致了兩個方面的問題第一、當ACL指令過多時,CPU負載很大,影響整個網(wǎng)絡設備的處理 能力;第二、 CPU的査詢和處理是在軟件層面進行的,其速度較慢。 為了克服上述問題,本發(fā)明所提供網(wǎng)絡設備的報文訪問控制方法的較佳實施例為該入接口 ACL匹配和出接口 ACL匹配的步驟由與相應接口連接的專用硬件芯片執(zhí)行。專用硬件芯片的數(shù)量可以根據(jù)接口的流量設置。比如,當接口流量為10G時,限于目前專用硬件芯片的處理能力,需要為每一個接口設置一個專用硬件芯片;而當接口的流量較小,比如接口是記憶口的情況下,可以每12個 接口設置一個專用硬件芯片。由于專用硬件芯片是在底層硬件的層面上進行査表和匹配,因此處理效 率較CPU處理有很大提高;同時,采用專用硬件芯片執(zhí)行ACL匹配,也降 低了CPU的負載。需要指出的是,現(xiàn)有技術中設置的ACL都保存在網(wǎng)絡設備的CPU中, 因此通過CPU執(zhí)行ACL匹配時可以直接獲得指定接口的ACL指令;當通過 專用硬件芯片執(zhí)行ACL匹配時,為了保證匹配的正常進行,專用硬件芯片 可以預先從網(wǎng)絡設備獲取所連接接口應用的入接口 ACL和網(wǎng)絡設備每一接 口所應用的出接口ACL。特別需要注意的是,專用硬件芯片獲取的是全部出接口 ACL,這是因為 入接口和出接口一般不是同一個接口,且不同的報文可能對應著不同的出接 口,為了保證在報文接收階段就完成出接口 ACL匹配,專用硬件芯片需要 獲得足夠的信息。當然,相較于預先保存ACL信息的方案,專用硬件芯片也可以在每次 需要獲得ACL信息時即時向網(wǎng)絡設備的CPU獲取,但這樣一方面延遲了處 理速度,另一方面大量的交互指令也占用了 CPU的處理資源,因此不作為 較佳實施例。作為更佳的實施例,本發(fā)明所提供的報文訪問控制方法可以應用于分布 式架構的網(wǎng)絡設備。所謂分布式架構的網(wǎng)絡設備,其一般包括一塊接口板和多塊業(yè)務板,每 塊業(yè)務板上都具有獨立的CPU,從而實現(xiàn)業(yè)務的分流處理,具體如下Cl、當用戶在一個接口接收到輸入報文后,對其執(zhí)行入接口 ACL匹配, 對于命中的輸入報文按照處理策略丟棄或者放行;C2、對于放行的輸入報文,需要進行分流以便送到相應的業(yè)務板進行業(yè) 務處理;C3、處理完得到的輸出報文,再進行相應的出接口 ACL匹配,對于命 中的輸出報文按照處理策略丟棄或者從該出接口放行轉發(fā)。本發(fā)明提供的分布式架構網(wǎng)絡設備的報文訪問控制方法對上述流程進 行了改進,包括對于沒有啟用NAT業(yè)務的輸入報文,在入接口同時進行入接口 ACL匹配和出接口 ACL匹配,以提高設備的處理效率;以及,在分布 式架構的接口分流部分硬件處理ACL匹配,實現(xiàn)匹配的硬件加速并進一步 降低CPU負載。具體方案請結合圖3。其中,硬件專用芯片構成預處理單元,設置在接 口板上,用于對接口接收到的報文進行入/出接口 ACL匹配,以及進行分流。 需要注意的是,圖3中為每一個接口都設置有一硬件專用芯片,在實際應用 中,也可以根據(jù)接口的流量要求為多個接口設置一個硬件專用芯片??梢钥?出,對于接收到的報文同時進行入/出接口 ACL匹配,能夠避免最后要丟棄 的報文再經(jīng)過CPU的處理,從而有效地降低CPU的處理負載;而且,將ACL 匹配功能從CPU中分離,能夠進一步的降低CPU負載;特別是,采用硬件 專用芯片實現(xiàn)ACL匹配,其匹配速度較軟件査詢有很大提高。同時,在圖3中,每個業(yè)務板上都具有一流控制單元和一流處理單元。 其中,流處理單元執(zhí)行實際的業(yè)務處理,流控制單元進行ACL的創(chuàng)建、黑 白名單設置等。當然,上述流處理單元和流控制單元僅僅是功能上的簡單劃 分,它們可以合稱為業(yè)務處理單元。需要注意的是,由于本實施例的分布式架構下,ACL匹配的操作被轉移 到了接口板進行,因此,當用戶在一個接口的入接口方向應用一條ACL指 令時,流控制單元需要將相應的ACL指令下發(fā)給與該接口連接的預處理單 元,并標識為入接口 ACL指令;當用戶在一個接口的出接口方向應用一條 ACL指令時,流控制單元需要將相應的ACL指令下發(fā)給所有的預處理單元, 并標識為出接口 ACL指令,以保證在入接口階段即可實現(xiàn)出接口 ACL匹配?;谏鲜雠渲茫植际郊軜嬀W(wǎng)絡設備的報文訪問控制方法如下當預處理單元從相連接的接口收到輸入報文時,進行入接口 ACL匹配, 丟棄處理策略為禁止的輸入報文,并對處理策略為允許的輸入報文執(zhí)行下一 步操作;識別該輸入報文是否開啟了 NAT功能,由于啟用了 NAT功能的報文在 未進行業(yè)務處理時無法獲得出接口信息,因此對于這種類型的報文按照現(xiàn)有 技術的ACL處理流程加以處理,而對于未開啟NAT功能的輸入報文執(zhí)行下 一步操作;査找FIB和ARP表得到輸入報文的出接口信息;其中,F(xiàn)IB表和ARP表可以由流控制單元在生成表項時下發(fā),也可以由預處理單元實時向流控制單元進行查詢;提取輸入報文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議的 特征以及出接口信息等,由于處理單元硬件進行出接口 ACL匹配,直接丟 棄處理策略為禁止的輸入報文,并對處理策略為允許的輸入報文執(zhí)行下一步 操作;流處理單元對通過的輸入報文執(zhí)行業(yè)務處理,并將業(yè)務處理后獲得的輸 出報文下發(fā)給接口板,直接通過相應的出接口轉發(fā)出去。本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟 可以通過程序指令相關的硬件來完成,所述的程序可以存儲于一計算機可讀 取存儲介質(zhì)中,該程序在執(zhí)行時,對于入接口 ACL匹配的處理策略為允許 且未開啟網(wǎng)絡地址轉換NAT功能的輸入報文包括如下步驟51、 査找所述輸入報文的出接口信息,根據(jù)在相應出接口上所應用 的ACL指令,對所述輸入報文執(zhí)行出接口 ACL匹配;52、 對于匹配的處理策略為允許的輸入報文執(zhí)行業(yè)務處理,并將業(yè)務處 理完成后獲得的輸出報文直接通過相應出接口轉發(fā)。所述的存儲介質(zhì)包括ROM/RAM (Read Only Memory/Random-Access Memory,只讀存儲器/隨機訪問內(nèi)存)、磁碟或者光盤等。相應的,本發(fā)明還提供了一種網(wǎng)絡設備的報文訪問控制系統(tǒng)100,該網(wǎng) 絡設備可以為路由器、防火墻等。請結合圖4,該網(wǎng)絡設備的報文訪問控制系統(tǒng)100的一個實施例包括-業(yè)務處理單元101和接口 102,其中業(yè)務處理單元101設置在網(wǎng)絡設備 的CPU中,用軟件方式進行ACL創(chuàng)建以及報文的業(yè)務處理等。與各接口 102連接的NAT功能識別單元103,用于識別相應接口 102 接收的輸入報文是否開啟網(wǎng)絡地址轉換NAT功能;與各接口 102以及NAT功能識別單元103連接的入接口 ACL匹配 單元104,用于根據(jù)相應入接口 102上所應用的ACL指令,對接口接收 的輸入報文執(zhí)行入接口 ACL匹配;以及,根據(jù)NAT功能識別單元103 發(fā)送的識別結果,觸發(fā)業(yè)務處理單元101對入接口 ACL匹配的處理策略為允許且開啟NAT功能的輸入報文進行處理,觸發(fā)出接口 ACL匹配單 元105對入接口 ACL匹配的處理策略為允許且未開啟NAT功能的輸入 報文進行處理;與入接口 ACL匹配單元104以及業(yè)務處理單元101連接的出接口 ACL匹配單元105,用于接受入接口 ACL匹配單元104的觸發(fā),査找輸 入報文的出接口信息,根據(jù)在相應出接口 102上所應用的ACL指令對輸 入報文執(zhí)行出接口 ACL匹配,以及,觸發(fā)業(yè)務處理單元101對出接口 ACL匹配的處理策略為允許的輸入報文進行處理,并丟棄匹配的處理策 略為禁止的輸入報文;其中,業(yè)務處理單元101用于對接收到的輸入報文進行業(yè)務處理以獲得 輸出報文;以及,對于從入接口 ACL匹配單元103接收到的輸入報文,相 應將輸出報文發(fā)送給出接口 ACL匹配單元104進行出接口 ACL匹配,即按 照現(xiàn)有技術的入接口 ACL匹配一〉業(yè)務處理一〉出接口 ACL匹配流程執(zhí)行, 執(zhí)行的結果可能為丟棄或者轉發(fā)報文;以及,對于從出接口 ACL匹配單元 104接收到的輸入報文,相應將輸出報文直接通過相應出接口 102轉發(fā),這 也就意味著,對于未開啟NAT功能的輸入報文,按照入接口ACL匹配一〉 出接口 ACL匹配一〉業(yè)務處理流程執(zhí)行,從而避免對最后要丟棄的報文進 行業(yè)務處理,從而減少了CPU負載,提高了CPU的處理效率。在上述實施例中,NAT功能識別單元103、入接口 ACL匹配單元104 和出接口 ACL匹配單元105可以與業(yè)務處理單元101合并設于網(wǎng)絡設備的 CPU中,即采用軟件方式實現(xiàn)ACL匹配,但這種方式存在匹配效率低,且 CPU負載大的問題。因此,在上述實施例的基礎上,較佳的實現(xiàn)方案如圖5 所示,是NAT功能識別單元103、入接口 ACL匹配單元104和出接口 ACL 匹配單元105設置在專用硬件芯片110中,硬件處理ACL匹配,進一步降 低CPU負載,并實現(xiàn)ACL匹配的加速處理。在這種方案中,入接口 ACL匹配單元104和出接口 ACL匹配單元105 可以在需要進行匹配處理時實時從業(yè)務處理單元101獲取所需要的ACL指 令,但所需的信令交互將增加CPU負載,同時由于需要進行信令交互,也 必然導致匹配處理的延時。因此,更佳的方案是在專用硬件芯片IIO中專門 設置ACL存儲單元106,用于從業(yè)務處理單元101獲取并保存專用硬件芯片110所連接接口應用的入接口 ACL和網(wǎng)絡設備每一接口所應用的出接口 ACL。需要指出,上述實施例中從邏輯角度描述了NAT功能識別單元103、入 接口 ACL匹配單元104和出接口 ACL匹配單元105所實現(xiàn)的功能,但在實 際實現(xiàn)中,考慮到專用硬件芯片的處理性能和接口的流量,專用硬件芯片可 以為一片或者多片,分別對應一個或多個接口 102;較佳的方案中,每一接 口 102都連接有一專用硬件芯片110,如圖6所示。其中,在每一片專用硬件芯片UO上都設有NAT功能識別單元103、入 接口 ACL匹配單元104、出接口 ACL匹配單元105和ACL存儲單元106, 分別控制該專用硬件芯片110相連接的接口 102的ACL匹配。特別是,本發(fā)明提供了分布式架構網(wǎng)絡設備的報文訪問控制系統(tǒng)100。 該網(wǎng)絡設備為由接口板和多業(yè)務板構成的分布式架構網(wǎng)絡設備,專用硬件芯 片110設置在接口板上,與設置在各業(yè)務板上的業(yè)務處理單元101連接。具 體請參考圖3,其中,業(yè)務處理單元被具體劃分為流處理單元和流控制單元, 與接口連接的專用硬件芯片被命名為預處理單元。雖然已參照幾個典型實施例描述了本發(fā)明,但應當理解,所用的術語是 說明和示例性、而非限制性的術語。由于本發(fā)明能夠以多種形式具體實施而 不脫離發(fā)明的精神或?qū)嵸|(zhì),所以應當理解,上述實施例不限于任何前述的細 節(jié),而應在隨附權利要求所限定的精神和范圍內(nèi)廣泛地解釋,因此落入權利 要求或其等效范圍內(nèi)的全部變化和改型都應為隨附權利要求所涵蓋。
權利要求
1. 一種網(wǎng)絡設備的報文訪問控制方法,其特征在于,對于入接口ACL匹配的處理策略為允許且未開啟網(wǎng)絡地址轉換NAT功能的輸入報文,執(zhí)行以下步驟S1、查找所述輸入報文的出接口信息,根據(jù)在相應出接口上所應用的ACL指令,對所述輸入報文執(zhí)行出接口ACL匹配;S2、對于匹配的處理策略為允許的輸入報文執(zhí)行業(yè)務處理,并將業(yè)務處理完成后獲得的輸出報文直接通過相應出接口轉發(fā)。
2. 根據(jù)權利要求1所述的網(wǎng)絡設備的報文訪問控制方法,其特征在 于,還包括步驟S3:丟棄匹配的處理策略為禁止的輸入報文。
3. 根據(jù)權利要求1所述的網(wǎng)絡設備的報文訪問控制方法,其特征在 于,所述入接口 ACL匹配和出接口 ACL匹配的步驟由與相應接口連接 的專用硬件芯片執(zhí)行,之前還包括所述專用硬件芯片從所述網(wǎng)絡設備獲 取所連接接口應用的入接口 ACL和所述網(wǎng)絡設備每一接口所應用的出接 口 ACL的步驟。
4. 根據(jù)權利要求3所述的網(wǎng)絡設備的報文訪問控制方法,其特征在 于,當所述網(wǎng)絡設備為由接口板和多業(yè)務板構成的分布式架構網(wǎng)絡設備 時,所述入接口 ACL匹配和出接口 ACL匹配的步驟由設置在所述接口 板上的專用硬件芯片執(zhí)行;其中,所述專用硬件芯片從各業(yè)務板獲取所 連接接口應用的入接口 ACL和所述網(wǎng)絡設備每一接口所應用的出接口 ACL。
5. 根據(jù)權利要求1-4任一所述的網(wǎng)絡設備的報文訪問控制方法,其特征在于,所述步驟S1之前還包括500、 根據(jù)在入接口上所應用的ACL指令,對所述輸入報文執(zhí)行入 接口 ACL匹配;501、 對于匹配的處理策略為允許的輸入報文,識別其NAT功能是 否開啟,未開啟則執(zhí)行步驟S1。
6. 根據(jù)權利要求5所述的網(wǎng)絡設備的報文訪問控制方法,其特征在 于,當步驟SOl中識別輸入報文的NAT功能開啟時,還執(zhí)行以下步驟sr、對所述輸入報文執(zhí)行業(yè)務處理獲得輸出報文; S2'、査找所述輸出報文的出接口信息,并根據(jù)所述出接口上所應用 的ACL指令,對所述輸出報文執(zhí)行出接口 ACL匹配;S3'、將匹配的處理策略為允許的輸出報文通過所述出接口轉發(fā); S4'、丟棄匹配的處理策略為禁止的輸出報文。
7. 根據(jù)權利要求l-4任一所述的網(wǎng)絡設備的報文訪問控制方法,其特 征在于,所述步驟S1中查找所述輸入報文的出接口信息的步驟包括通 過査找轉發(fā)信息表FIB和地址解析協(xié)議ARP表獲得所述輸入報文的出接口信息。
8. —種網(wǎng)絡設備的報文訪問控制系統(tǒng),包括業(yè)務處理單元和接口,其 特征在于,還包括與各接口連接的NAT功能識別單元,用于識別相應接口接收的輸入 報文是否開啟網(wǎng)絡地址轉換NAT功能;與各接口以及所述NAT功能識別單元連接的入接口 ACL匹配單元, 用于根據(jù)相應入接口上所應用的ACL指令,對所述接口接收的輸入報文 執(zhí)行入接口ACL匹配;以及,根據(jù)所述NAT功能識別單元發(fā)送的識別 結果,觸發(fā)所述業(yè)務處理單元對入接口 ACL匹配的處理策略為允許且開 啟NAT功能的輸入報文進行處理,觸發(fā)出接口 ACL匹配單元對入接口 ACL匹配的處理策略為允許且未開啟NAT功能的輸入報文進行處理;與所述入接口 ACL匹配單元以及業(yè)務處理單元連接的出接口 ACL 匹配單元,用于接受所述入接口 ACL匹配單元的觸發(fā),査找所述輸入報 文的出接口信息,根據(jù)在相應出接口上所應用的ACL指令對所述輸入報 文執(zhí)行出接口 ACL匹配,以及,觸發(fā)所述業(yè)務處理單元對出接口 ACL 匹配的處理策略為允許的輸入報文進行處理,并丟棄匹配的處理策略為 禁止的輸入報文;其中,所述業(yè)務處理單元用于對接收到的輸入報文進行業(yè)務處理以 獲得輸出報文;以及,對于從所述入接口 ACL匹配單元接收到的輸入報 文,相應將所述輸出報文發(fā)送給所述出接口 ACL匹配單元進行出接口 ACL匹配;以及,對于從所述出接口 ACL匹配單元接收到的輸入報文, 相應將所述輸出報文直接通過相應出接口轉發(fā)。
9. 根據(jù)權利要求8所述的網(wǎng)絡設備的報文訪問控制系統(tǒng),其特征在 于,所述NAT功能識別單元、入接口 ACL匹配單元和出接口 ACL匹配 單元與所述業(yè)務處理單元合并設于所述網(wǎng)絡設備的CPU中。
10. 根據(jù)權利要求8所述的網(wǎng)絡設備的報文訪問控制系統(tǒng),其特征在 于,所述NAT功能識別單元、入接口 ACL匹配單元和出接口 ACL匹配 單元設置在專用硬件芯片中,還包括ACL存儲單元,用于從所述業(yè)務處理單元獲取并保存所述專用硬件 芯片所連接接口應用的入接口 ACL和所述網(wǎng)絡設備每一接口所應用的出 接口 ACL。
11. 根據(jù)權利要求10所述的網(wǎng)絡設備的報文訪問控制系統(tǒng),其特征 在于,所述專用硬件芯片為一片或多片,分別對應一個或多個接口,且 每一專用硬件芯片都設有NAT功能識別單元、入接口 ACL匹配單元、 出接口 ACL匹配單元和ACL存儲單元。
12. 根據(jù)權利要求IO或11所述的網(wǎng)絡設備的報文訪問控制系統(tǒng),其 特征在于,所述網(wǎng)絡設備為由接口板和多業(yè)務板構成的分布式架構網(wǎng)絡 設備,所述專用硬件芯片設置在接口板上,與設置在各業(yè)務板上的業(yè)務 處理單元連接。
全文摘要
本發(fā)明公開了一種網(wǎng)絡設備的報文訪問控制方法及系統(tǒng)。該方法對于入接口ACL匹配的處理策略為允許且未開啟網(wǎng)絡地址轉換NAT功能的輸入報文執(zhí)行以下步驟查找該輸入報文的出接口信息,根據(jù)在相應出接口上所應用的ACL指令,對該輸入報文執(zhí)行出接口ACL匹配;對于匹配的處理策略為允許的輸入報文執(zhí)行業(yè)務處理,并將業(yè)務處理完成后獲得的輸出報文直接通過相應出接口轉發(fā)。通過本發(fā)明提供的方法和系統(tǒng),僅對出接口ACL匹配之后允許的輸入報文進行業(yè)務處理,從而節(jié)省了網(wǎng)絡設備的系統(tǒng)資源和提高了網(wǎng)絡設備的處理效率。
文檔編號H04L29/06GK101267437SQ20081009433
公開日2008年9月17日 申請日期2008年4月28日 優(yōu)先權日2008年4月28日
發(fā)明者凱 瞿 申請人:杭州華三通信技術有限公司