[发明专利]一种访问控制规则配置方法、装置、交换机及存储介质

说明书

本申请提供一种访问控制规则配置方法、装置、交换机及存储介质，该方法包括：接收第一访问控制规则，并确定第一访问控制规则绑定的逻辑链路；获取逻辑链路已配置的访问控制规则；判断逻辑链路已配置的访问控制规则中是否存在第二控制规则，第二控制规则的所有字段被第一访问控制规则所包含；若是，则根据第一访问控制规则从逻辑链路的所有物理端口中筛选出目标端口，并将第一访问控制规则配置在目标端口上。通过将访问控制规则配置在筛选出的目标端口上，避免了将第一访问控制规则下发到链路汇聚下的所有物理端口的情况；改善了所有物理端口映射的芯片都进行访问控制规则配置下发导致ACL表项资源浪费的问题。

技术领域

本申请涉及计算机网络和网络通信的技术领域，具体而言，涉及一种访问控制规则配置方法、装置、交换机及存储介质。

背景技术

链路汇聚(Link Aggregation)是指将两台设备间多条物理链路捆绑在一起形成一个逻辑链路，从而可以扩展链路带宽；其中，逻辑链路内各条物理链路彼此互为冗余和动态备份，可以提供更高的网络连接可靠性。

访问控制列表(Access Control List，ACL)是指一系列的访问控制规则组成的访问控制列表，每条访问控制规则都是一个允许、拒绝或注释的语句，声明了相应的匹配条件及行为；其中，ACL中的访问控制规则也被简称为ACL表项，即ACL表项表示访问控制列表中的一条或者多条访问控制规则，ACL表项可以被防火墙、交换机或者出口路由器等设备使用，具体地，这些设备可以根据ACL中的访问控制规则对数据流量进行访问控制和管理等操作。

目前，在将ACL中的访问控制规则配置到交换机的端口上时，直接将该访问控制规则发送至交换机上，并将访问控制规则配置在链路汇聚(即逻辑链路)下所有物理端口上，以使该逻辑链路下的所有物理端口均需要根据访问控制规则配置对经过的数据流量进行访问控制。在具体的实践过程中发现，数据流量中的每一条数据，在经过此逻辑链路的时候，只会从其中一个物理端口中经过，即只需要在一个物理端口上进行访问控制规则的匹配。因此，目前的方法存在着所有物理端口都进行数据流量匹配导致端口ACL表项资源浪费的问题。

发明内容

本申请实施例的目的在于提供一种访问控制规则配置方法、装置、交换机及存储介质，用于改善所有物理端口都进行访问控制规则配置下发导致ACL表项资源浪费的问题。

本申请实施例提供了一种访问控制规则配置方法，应用于交换机，包括：接收第一访问控制规则，并确定第一访问控制规则绑定的逻辑链路；获取逻辑链路已配置的访问控制规则；判断逻辑链路已配置的访问控制规则中是否存在第二控制规则，第二控制规则的所有字段被第一访问控制规则所包含；若是，则根据第一访问控制规则从逻辑链路的所有物理端口中筛选出目标端口，并将第一访问控制规则配置在目标端口上。在上述的实现过程中，通过对接收的第一访问控制规则的所有字段和逻辑链路已配置的访问控制规则的所有字段进行比较，从而确定将访问控制规则配置在逻辑链路的所有物理端口中筛选出的目标端口上，有效地避免了将第一访问控制规则下发到链路汇聚下的所有物理端口的情况。因此，使用访问控制规则配置方法可以将访问控制规则配置在目标端口上，从而在对数据流量进行访问控制达到同样效果的情况下，尽可能更少地占用ACL表项资源，改善了所有物理端口映射的芯片都进行访问控制规则配置下发导致ACL表项资源浪费的问题。

可选地，在本申请实施例中，在判断逻辑链路已配置的访问控制规则中是否存在第二控制规则之后，还包括：若逻辑链路已配置的访问控制规则中不存在第二控制规则，则将第一访问控制规则配置在逻辑链路的所有物理端口上。在上述的实现过程中，若逻辑链路已配置的访问控制规则中不存在第二控制规则，则将第一访问控制规则配置在逻辑链路的所有物理端口上；从而有效地在不破坏原来下发访问控制规则的情况下，即不破坏原来让访问控制规则生效过程的情况下，使访问控制规则配置方法与原来的方法兼容，提高了访问控制规则配置方法的可用性和鲁棒性。