【技术实现步骤摘要】
本专利技术涉及通信
,特别是涉及一种收集访问控制列表的方法、装置及系统。
技术介绍
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。访问控制列表(AccessControlList,ACL)是设置在边界路由器和交换机接口的指令列表,用来控制应用所述ACL的端口进出的数据报文。当设备的端口接收到数据报文时,根据端口上应用的ACL信息对数据报文的特定字段进行分析,利用ACL信息允许或禁止相应的数据报文通过,从而达到控制网络流量的目标。目前,边界路由器上的ACL都是按照实际需要逐一由人工静态配置的,现有技术中没有对各边界路由器静态配置的ACL进行收集和管理的实现方案。
技术实现思路
本专利技术实施例在于提供一种收集访问控制列表的方法、装置及系统,从而能够解决现有技术中没有对各边界路由器静态配置的ACL进行收集和管理的实现方案的问题。为此,本专利技术解决技术问题的技术方案是:本专利技术实施例第一方面提供了一种收集访问控制列表的方法,所述方法包括:第二网络设备接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域;所述第二网络设备向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-L ...
【技术保护点】
一种收集访问控制列表的方法,其特征在于,所述方法包括:第二网络设备接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域;所述第二网络设备向所述控制器发送扩展的第一边界网关协议链路状态BGP‑LS报文,所述扩展的第一BGP‑LS报文包含所述第一网络设备标识和所述第一ACL信息。
【技术特征摘要】
1.一种收集访问控制列表的方法,其特征在于,所述方法包括:第二网络设备接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域;所述第二网络设备向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文,所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述第二网络设备获取所述第二网络设备的第二ACL信息和第二网络设备标识;相应地,所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。3.根据权利要求1至2任意一项所述的方法,其特征在于,所述方法还包括:所述第二网络设备生成第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备;所述第二网络设备将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。4.根据权利要求1至3任意一项所述的方法,其特征在于,所述方法还包括:所述第二网络设备接收所述控制器发送的扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时,所述第二网络设备将第三LSA报文泛洪至所述IGP域中的所述目标网络设备,所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。5.一种收集访问控制列表的方法,其特征在于,所述方法包括:第一网络设备获取所述第一网络设备的第一访问控制列表ACL信息;所述第一网络设备生成第一链路状态通告LSA报文,所述第一LSA报文包含第一网络设备标识和与所述第一网络设备标识相关联的所述第一ACL信息,所述第一网络设备标识用于标识所述第一网络设备;所述第一网络设备将所述第一LSA报文泛洪至所述第一网络设备所属的内部网关协议IGP域,所述第一LSA报文用于向所述IGP域中的其他网络设备宣告所述第一网络设备的第一ACL信息。6.根据权利要求5所述的方法,其特征在于,所述方法还包括:所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第二LSA报文,所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息,所述第二网络设备标识用于标识所述第二网络设备,所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。7.根据权利要求5至6任意一项所述的方法,其特征在于,所述方法还包括:所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第三LSA报文,所述第三LSA报文携带目标网络设备的标识和与所述目标网络设备的标识相关联的第一ACL编辑信息,所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑;当所述第一网络设备根据所述目标网络设备的标识确定所述第三LSA报文的目标网络设备为所述第一网络设备时,所述第一网络设备从所述第三LSA报文中解析获得所述第一ACL编辑信息;所述第一网络设备根据所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。8.一种收集访问控制列表的方法,其特征在于,所述方法包括:控制器接收第二网络设备发送的扩展的第一边界网关协议链路状态BGP-LS报文;所述控制器从所述扩展的第一BGP-LS报文中解析获得第一网络设备的第一网络设备标识和第一ACL信息,所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。9.根据权利要求8所述的方法,其特征在于,所述方法还包括:所述控制器从所述扩展的第一BGP-LS报文中解析获得第二网络设备的第二网络设备标识和第二ACL信息。10.根据权利要求8至9任意一项所述的方法,其特征在于,所述方法还包括:所述控制器向所述第二网络设备发送扩展的第二BGP-LS报文,所述扩展的第二BGP-LS报文包含第一目标网络设备的设备标识和第一ACL编辑信息,所述第一ACL编辑信息用于对所述第一目标网络设备的ACL信息进行编辑。11.根据权利要求8至10任意一项所述的方法,其特征在于,所述第二BGP-LS报文还包含第二ACL编辑信息,所述第二ACL编辑信息用于对所述第二目标网络设备的第二ACL信息进行编辑。12.根据权利要求8至11任意一项所述的方法,其特征在于,所述方法还包括:所述控制器利用控制通道向目标网络设备发送ACL配置报文,所述ACL配置报文中携带有第三ACL编辑信息,所述第三ACL编辑信息用于对所述目标网络设备的第一ACL信息进行编辑。13.一种收集访问控制列表的第二网络设备,其特征在于,所述第二网络设备包括:第一接收模块,用于接收第一网络设备泛洪的第一链路状态通告LSA报文,所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息,所述第一网络设备标识用于标识所述第一网络设备,所述第一网络设备和所述...
【专利技术属性】
技术研发人员:庄顺万,周鹏,李振斌,阴元斌,许健彬,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。