[发明专利]一种检测访问控制列表ACL规则无效的方法和装置

说明书

本申请公开了一种检测ACL规则无效的方法和装置，该方法包括：第一网络实体获取第二ACL规则，第一网络实体的包括第一表项，第一表项包括第一规则索引和第一信息；第一网络实体根据第二ACL规则生成第二表项，第二表项包括第二规则索引和第二信息；第一网络实体确定第二信息是否为第一信息的子集；若第一网络实体确定第二信息是第一信息的子集，第一网络实体将第二ACL规则确定为无效的ACL规则，第一网络实体不向第二网络实体发送第二ACL规则。这样，该第一网络实体可以检测出无效的ACL规则，从而不会将无效的规则发送至第二网络实体，可以节省第二网络实体的硬件资源，不需要人工识别无效的ACL规则，可以节约人工维护成本。

技术领域

本申请涉及网络通信领域，尤其涉及一种检测ACL规则无效的方法和装置。

背景技术

当前，业内多采用访问控制列表(access control lists,ACL)规则文件的方法来保证网络资源的安全，其过程具体包括：针对网络资源配置一系列ACL规则文件，用以标识需要过滤的数据包特征，从而明确用户对网络资源的操作权限；将ACL规则文件应用于通信设备端口，实现仅有授权的用户才能操作网络资源；区分流量类型或者用户，对不同流量类型或者用户做不同的服务质量(quality of service，QOS)行为；可以过滤流量，对病毒或者攻击做防护。

当前网络设备中部署的ACL规则数量越来越多，越来越复杂。在ACL规则部署过程中，很容易将无效的ACL规则部署到网络设备上去，这样会造成资源浪费。而且，将ACL规则部署到网络设备之后，随着网络拓扑的变化和业务需求的变更，ACL规则列表中可能会不断增加新的ACL规则，这样，ACL规则列表中会产生较多无效的ACL规则。

所以，目前在ACL规则部署到网络设备上之前，需要通过人工识别无效的ACL规则。但是当前网络设备中部署的ACL规则数量较多，人工识别无效ACL规则耗费时间较长而且容易出现错误。每次部署之前都需要人工重新识别无效的ACL规则，这样耗费的人工与时间代价都很大。

发明内容

本申请第一方面提供了一种检测ACL规则无效的方法，该方法包括：第一网络实体获取第二ACL规则，第一网络实体包括第一表项，第一表项包括第一规则索引和第一信息，该第一规则索引用于指示第一ACL规则，第一信息是第一网络实体从第一ACL规则中提取的信息，该第一ACL规则为有效的ACL规则；第一网络实体根据第二ACL规则生成第二表项，该第二表项包括第二规则索引和第二信息，第二规则索引用于指示第二ACL规则，第二信息是第一网络实体从第二ACL规则中提取的信息，第二信息与第一信息属性相同；第一网络实体确定第二信息是否为第一信息的子集；若第一网络实体确定第二信息是第一信息的子集，第一网络实体将第二ACL规则确定为无效的ACL规则，第一网络实体不向第二网络实体发送第二ACL规则。这样，ACL规则在部署到第二网络实体上之前，该第一网络实体可以检测出无效的ACL规则，从而不会将无效的规则发送至第二网络实体，这样可以节省第二网络实体的硬件资源，而不需要人工识别无效的ACL规则，可以节约人工维护成本。

可选地，结合第一方面，在第一方面的第一种可能的实现方式中，该方法还包括：若第一网络实体确定第二信息不是第一信息的子集，第一网络实体将第二ACL规则确定为有效的ACL规则，该第一网络实体向第二网络实体发送第二ACL规则。当确认ACL规则为有效的ACL规则之后，该第一网络实体可以将有效的ACL规则发送至第二网络实体，从而可以保证第二网络实体部署有效的ACL规则。

可选地，结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，第一网络实体包括ACL规则元素表，该ACL规则元素表中包含第一表项和第二表项，第一网络实体将第二ACL规则确定为无效的ACL规则之后，该方法还包括：第一网络实体根据ACL规则元素表生成用户报告，该用户报告包括第一ACL规则、第二ACL规则以及第一ACL规则与第二ACL规则的父子关系，第一ACL规则为第二ACL规则的父规则。该用户报告可以向操作人员展示无效的ACL规则，从而可以避免部署无效的ACL规则。