[发明专利]一种检测访问控制列表生效的方法和装置

说明书

技术领域

本发明涉及业务接入访问控制管理技术，尤指一种检测访问控制列表生效 的方法和装置。

背景技术

现今网络发展速度惊人，网络安全问题也表现的比较突出，对于承载着各 种网络业务的网络设备(包括路由器、交换机等)拥有一个自身安全保护措施 显得尤为重要，访问控制列表就是一个很好的帮手。

访问控制列表(ACL，Access Control List)的功能是过滤通过网络设备的 特定数据包。ACL通过一系列匹配条件对数据包进行分类，这些条件可以是数 据包的源地址、目的地址、端口号，交换机根据ACL中指定的条件来检测数据 包，从而决定是转发还是丢弃该数据包。

ACL包括端口ACL、全局ACL、VLAN-ACL。端口ACL是一种为设备上 不同端口配置不同的ACL动作，实现对各个端口的不同控制；全局ACL给用 户提供一种整个设备上所有端口都会生效的ACL配置机制；VLAN-ACL即基 于虚拟局域网(VLAN)的ACL，用户通过对VLAN配置ACL动作，从而实 现对VLAN内所有端口的访问控制。

ACL既然是在网络设备中充当“防火墙”角色的，那么它是否能够正常工 作，如何判断ACL是否正常工作就成为了一个关键问题。

一般ACL中的一条ACL规则包含两个比较重要的部分：匹配规则部分 (Qualify)和动作部分(Action)。

例如我们需要配置一条ACL规则是要在端口A上丢弃源IP地址是10.1.1.1 的数据包，那么这条规则的

Qualify＝端口A+源IP 10.1.1.1

Action＝丢弃

当这条ACL规则配置到端口A上，正常情况满足Qualify条件的数据包应 该就会被丢弃掉了，但是网络设备往往不是像我们想象的这么简单，有时这样 的报文还是会被正常转发而不会丢弃，那我们需要通过某种措施来判断是不是 ACL规则没有生效，还是ACL规则虽然生效了，但是被其他流程影响导致了 报文的转发。

这样判断ACL规则是否生效就是一个必须要解决的问题。

目前做了一些尝试，例如：

一种方式是可以通过修改这条ACL规则的Action，让它做一个端口镜像动 作，把数据流镜像到某一个其他的物理端口，这样如果在镜像的物理端口能抓 到这样的数据流，那么说明这个ACL规则是能够正常匹配的、即ACL规则是 生效的，如果镜像的物理端口抓不到这样的数据流，就说明这个ACL规则没有 被匹配到、即ACL规则没有生效。

另一种方式是可以尝试把ACL规则的动作部分改为将匹配ACL规则的数 据流拷贝到设备自身中央处理器(CPU)、即把Action改成copy to cpu，这样 如果数据流能正常匹配ACL规则的话，CPU就能收到该数据流，通过一个CPU 自身的调试方式就可以看到该数据流，表示ACL规则是生效的；如果没有匹配 ACL规则，那么该数据流在CPU上是看不到的，也就表示ACL规则没有生效。

这两种方式只是是早期诊断ACL规则是否生效的方式，这两种方式虽然能 满足要求，但是都比较繁琐，第一种需要借助其他端口，如果网络设备的所有 端口被用完了，这种方式就无法实施了，而且端口镜像会增加网络设备的负载， 在现网设备上是不建议使用的；第二种方式更是危险，设备的CPU是用来处理 协议报文、维持设备状态的，如果有大量的数据报文被强行的抓到CPU，很有 可能会导致整个设备都工作异常。

发明内容

有鉴于此，本发明的主要目的在于提供一种检测访问控制列表生效的方法 和装置，有效判断ACL规则是否生效。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供的一种检测访问控制列表生效的方法，该方法包括：

在每次执行ACL规则的动作部分时，按照挂接方式，启动挂接在这条ACL 规则上的计数器；

计数器按照预先设定的计数方式进行计数，并存储计数值；

读取计数器内存储的计数值，如果有计数值，则确定这条ACL规则生效； 反之，则确定这条ACL规则没有生效；

在读取计数器内存储的计数值之后，对计数器的计数值清0。

上述方案中，所述挂接方式具体为将启动计数器作为一条ACL规则中动作 部分里的一个动作的方式，或者是通过检测一条ACL规则中动作部分的结果来 启动计数器的方式。