[发明专利]一种ACL配置方法及装置

说明书

本发明提供了一种ACL配置方法及装置，应用于虚拟网络设备中的核心层设备，其中，该虚拟网络设备还包括接入层设备，方法包括：接收管理层针对虚拟网络设备的入接口下发的访问控制列表ACL表项；获取ACL表项中所包括的入接口，确定该入接口位于接入层设备上还是位于核心层设备上；若确定该入接口位于接入层设备上，根据核心层设备中预先保存的级联关系表，确定该入接口所对应级联口所在的芯片；对ACL表项中的入接口进行转换处理，并将转换处理后的ACL表项保存在该级联口所在的芯片中。本方案提高了业务的可扩展性。

技术领域

本发明涉及通信技术领域，特别涉及一种访问控制列表ACL配置方法及装置。

背景技术

VEM(Virtual Extend Matrix，虚拟扩展矩阵)技术将接入层设备和核心层设备虚拟化为一台虚拟网络设备，其中，接入层设备如端口扩展设备vNode，核心层设备如控制设备vController，通过虚拟化为一台虚拟网络设备大大简化了网络结构，提高了网络稳定性，并基本实现了集中式配置管理。对于用户来说，同一VEM框架中的多台核心层设备和接入层设备都属于同一虚拟网络设备，它们通过逻辑槽号堆叠在一起。VSM(Virtual SystemMatrix，虚拟系统矩阵)技术将最多两台核心层物理设备虚拟化成一台虚拟网络设备。

通常情况下，管理侧通过向接入层设备下发ACL(Access Control List，访问控制列表)表项，接入层设备将接收到的报文进行ACL匹配，根据匹配得到的执行动作将报文发送给对应的核心层设备。以使核心层设备对接收到的该报文作安全和转发业务，以提供攻击防范、审计监控、质量服务等业务功能。

然而，核心层设备在接收到接入层设备发送的报文时，只能对该报文进行同一种安全业务，可扩展性较低，不便于针对业务流量进行差异化处理。

发明内容

有鉴于此，本发明提供一种ACL配置方法及装置，以提高可扩展性。

本发明实施例提供了一种ACL配置方法，应用于虚拟网络设备中的核心层设备，其中，该虚拟网络设备还包括接入层设备，包括：

接收管理层针对虚拟网络设备的入接口下发的访问控制列表ACL表项；

获取ACL表项中所包括的入接口，确定该入接口位于接入层设备上还是位于核心层设备上；

若确定该入接口位于接入层设备上，根据核心层设备中预先保存的级联关系表，确定该入接口所对应级联口所在的芯片；

对ACL表项中的入接口进行转换处理，并将转换处理后的ACL表项保存在该级联口所在的芯片中。

优选地，在确定该入接口位于核心层设备上的情况下，确定该入接口所在芯片，将该ACL表项保存在该入接口所在芯片中。

优选地，所述若确定该入接口位于接入层设备上的情况下，根据核心层设备中预先保存的级联关系表，确定该入接口所对应级联口所在的芯片，具体包括：

若确定该入接口位于接入层设备上的情况下，确定该入接口位于的接入层设备所在槽位号，根据核心层设备中预先保存的级联关系表，确定该接入层设备所在槽位号所对应的级联口，并根据该级联口计算所该级联口所在的芯片；其中，该级联关系表包括接入层设备所在槽位号与级联口的对应关系。

优选地，所述对ACL表项中的入接口进行转换处理，并将转换处理后的ACL表项保存在该级联口所在的芯片中，具体包括：

将ACL表项中的入接口转换为原始入接口，将转换处理后的ACL表项保存在该级联口所在芯片中；其中，转换处理后的ACL表项包括原始入接口与执行动作的对应关系，该原始入接口为位于接入层设备上的入接口。

优选地，所述方法还包括：