收集访问控制列表的方法、装置及系统制造方法及图纸

本发明专利技术实施例提供了收集访问控制列表的方法、装置及系统，第二网络设备接收第一网络设备泛洪的第一LSA报文，所述第一LSA报文包括第一网络设备标识以及第一ACL信息，所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域；向所述控制器发送扩展的第一BGP-LS报文，所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。以便控制器能够收集所述第一网络设备的ACL信息，并对所述第一网络设备的ACL信息进行管理。采用上述方法可以收集并管理所述IGP域中任意一个或多个网络设备的ACL信息，提供了收集和管理ACL信息的方法，简化对ACL信息的维护工作。

【技术实现步骤摘要】

本专利技术涉及通信
，特别是涉及一种收集访问控制列表的方法、装置及系统。
技术介绍
随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据报文进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。访问控制列表(AccessControlList，ACL)是设置在边界路由器和交换机接口的指令列表，用来控制应用所述ACL的端口进出的数据报文。当设备的端口接收到数据报文时，根据端口上应用的ACL信息对数据报文的特定字段进行分析，利用ACL信息允许或禁止相应的数据报文通过，从而达到控制网络流量的目标。目前，边界路由器上的ACL都是按照实际需要逐一由人工静态配置的，现有技术中没有对各边界路由器静态配置的ACL进行收集和管理的实现方案。
技术实现思路
本专利技术实施例在于提供一种收集访问控制列表的方法、装置及系统，从而能够解决现有技术中没有对各边界路由器静态配置的ACL进行收集和管理的实现方案的问题。为此，本专利技术解决技术问题的技术方案是：本专利技术实施例第一方面提供了一种收集访问控制列表的方法，所述方法包括：第二网络设备接收第一网络设备泛洪的第一链路状态通告LSA报文，所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息，所述第一网络设备标识用于标识所述第一网络设备，所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域；所述第二网络设备向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文，所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。在本专利技术实施例第一方面第一种可能的实现方式中，所述扩展的第一BGP-LS报文包含本地节点描述符LocalNodeDescriptors字段和不透明节点属性类型长度值OpaqueNodeAttributeTLV字段，所述LocalNodeDescriptors字段包含所述第一网络设备标识，所述OpaqueNodeAttributeTLV字段包含所述第一网络设备的第一LSA报文。结合本专利技术实施例第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述OpaqueNodeAttributeTLV字段包含类型Type、长度Length和值Value，所述Type指示所述OpaqueNodeAttributeTLV字段的类型为上报ACL信息，所述Length指示所述OpaqueNodeAttributeTLV字段的长度，所述Value为Opaquenodeattributes，包含所述第一LSA报文，所述第一LSA报文包含所述第一网络设备的第一ACL信息。在本专利技术实施例第一方面第三种可能的实现方式中，所述扩展的第一BGP-LS报文为新增的Flow-SpecNLRI，所述Flow-SpecNLRI包括LocalNodeDescriptors字段和Flow-SpecDescriptors字段，所述LocalNodeDescriptors字段包括所述第一网络设备标识，所述Flow-SpecDescriptors字段包括所述第一网络设备的第一ACL信息。结合本专利技术实施例第一方面至第一方面第三种可能的实现方式，在第四种可能的实现方式中，所述第一LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段，所述不透明类型字段携带指示所述第一LSA报文用于宣告网络设备的ACL信息的类型值，宣告网络设备标识字段携带所述第一网络设备标识，所述TLV字段携带所述第一网络设备的第一ACL信息。结合本专利技术实施例第一方面第四种可能的实现方式，在第五种可能的实现方式中，所述TLV字段包括类型Type、长度Length和值Value，所述Type指示所述TLV字段的类型为携带ACL信息，所述Length指示所述TLV字段的长度，所述Value为所述第一ACL信息。结合本专利技术实施例第一方面至第一方面第五种可能的实现方式，在第六种可能的实现方式中，所述第一LSA报文为扩展的开放最短路径优先OSPFOpaqueLSA报文，或者扩展的中间系统到中间系统ISISOpaqueLSA报文。结合本专利技术实施例第一方面至第一方面第六种可能的实现方式，在第七种可能的实现方式中，所述方法还包括：所述第二网络设备获取所述第二网络设备的第二ACL信息和第二网络设备标识；相应地，所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。结合本专利技术实施例第一方面至第一方面第七种可能的实现方式，在第八种可能的实现方式中，所述方法还包括：所述第二网络设备生成第二LSA报文，所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息，所述第二网络设备标识用于标识所述第二网络设备；所述第二网络设备将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域，所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。结合本专利技术实施例第一方面第八种可能的实现方式，在第九种可能的实现方式中，所述第二LSA报文包括不透明类型字段、宣告网络设备标识字段和TLV字段，所述不透明类型字段携带指示所述第二LSA报文用于宣告网络设备的ACL信息的类型值，宣告网络设备标识字段携带所述第二网络设备标识，所述TLV字段携带所述第二网络设备的第二ACL信息。结合本专利技术实施例第一方面第九种可能的实现方式，在第十种可能的实现方式中，所述TLV字段包括类型Type、长度Length和值Value，所述Type指示所述TLV字段的类型为携带ACL信息，所述Length指示所述TLV字段的长度，所述Value为所述第二网络设备的第二ACL信息。结合本专利技术实施例第一方面第八种可能的实现方式至第一方面第十种可能的实现方式，在第十一种可能的实现方式中，所述第二LSA报文为扩展的开放最短路径优先OSPFOpaqueLSA报文，或者扩展的中间系统到中间系统ISISOpaqueLSA报文。结合本专利技术第一方面至第一方面第十一种可能的实现方式，在第十二种可能的实现方式中，所述方法还包括：所述第二网络设备接收所述控制器发送的扩展的第二BGP-LS报文，所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息，所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑，所述编辑包括修改、增加、删除和重置等操作中的任意一种或多种；当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时，所述第二网络设备将第三LSA报文泛洪至所述IGP域中的所述目标网络设备，所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。结合本专利技术实施例第一方面第十二种可能的实现方式，在第十三种可能的实现方式中，所述扩展的第二BGP-LS报文包含LocalNodeDescriptors字段和OpaqueNodeAttributeTLV字段，所述LocalNodeDescriptors字段包含有所述目标网络设备的标识，所述OpaqueNodeAttributeTLV包本文档来自技高网...

【技术保护点】
一种收集访问控制列表的方法，其特征在于，所述方法包括：第二网络设备接收第一网络设备泛洪的第一链路状态通告LSA报文，所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息，所述第一网络设备标识用于标识所述第一网络设备，所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域；所述第二网络设备向所述控制器发送扩展的第一边界网关协议链路状态BGP‑LS报文，所述扩展的第一BGP‑LS报文包含所述第一网络设备标识和所述第一ACL信息。

【技术特征摘要】
1.一种收集访问控制列表的方法，其特征在于，所述方法包括：第二网络设备接收第一网络设备泛洪的第一链路状态通告LSA报文，所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息，所述第一网络设备标识用于标识所述第一网络设备，所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域；所述第二网络设备向所述控制器发送扩展的第一边界网关协议链路状态BGP-LS报文，所述扩展的第一BGP-LS报文包含所述第一网络设备标识和所述第一ACL信息。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第二网络设备获取所述第二网络设备的第二ACL信息和第二网络设备标识；相应地，所述扩展的第一BGP-LS报文还包含所述第二网络设备标识和所述第二ACL信息。3.根据权利要求1至2任意一项所述的方法，其特征在于，所述方法还包括：所述第二网络设备生成第二LSA报文，所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息，所述第二网络设备标识用于标识所述第二网络设备；所述第二网络设备将所述第二LSA报文泛洪至所述第二网络设备所属的所述IGP域，所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。4.根据权利要求1至3任意一项所述的方法，其特征在于，所述方法还包括：所述第二网络设备接收所述控制器发送的扩展的第二BGP-LS报文，所述扩展的第二BGP-LS报文携带目标网络设备的标识和第一ACL编辑信息，所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑；当所述第一网络设备根据所述目标网络设备的标识确定所述第一ACL编辑信息的目标网络设备不是所述第二网络设备时，所述第二网络设备将第三LSA报文泛洪至所述IGP域中的所述目标网络设备，所述第三LSA报文用于向所述IGP域中的目标网络设备宣告所述目标网络设备的第一ACL编辑信息。5.一种收集访问控制列表的方法，其特征在于，所述方法包括：第一网络设备获取所述第一网络设备的第一访问控制列表ACL信息；所述第一网络设备生成第一链路状态通告LSA报文，所述第一LSA报文包含第一网络设备标识和与所述第一网络设备标识相关联的所述第一ACL信息，所述第一网络设备标识用于标识所述第一网络设备；所述第一网络设备将所述第一LSA报文泛洪至所述第一网络设备所属的内部网关协议IGP域，所述第一LSA报文用于向所述IGP域中的其他网络设备宣告所述第一网络设备的第一ACL信息。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第二LSA报文，所述第二LSA报文包含第二网络设备标识和与所述第二网络设备标识相关联的所述第二ACL信息，所述第二网络设备标识用于标识所述第二网络设备，所述第二LSA报文用于向所述IGP域中的其他网络设备宣告所述第二网络设备的第二ACL信息。7.根据权利要求5至6任意一项所述的方法，其特征在于，所述方法还包括：所述第一网络设备接收属于所述IGP域的第二网络设备泛洪的第三LSA报文，所述第三LSA报文携带目标网络设备的标识和与所述目标网络设备的标识相关联的第一ACL编辑信息，所述第一ACL编辑信息用于对所述目标网络设备的ACL信息进行编辑；当所述第一网络设备根据所述目标网络设备的标识确定所述第三LSA报文的目标网络设备为所述第一网络设备时，所述第一网络设备从所述第三LSA报文中解析获得所述第一ACL编辑信息；所述第一网络设备根据所述第一ACL编辑信息对所述第一网络设备的第一ACL信息进行编辑。8.一种收集访问控制列表的方法，其特征在于，所述方法包括：控制器接收第二网络设备发送的扩展的第一边界网关协议链路状态BGP-LS报文；所述控制器从所述扩展的第一BGP-LS报文中解析获得第一网络设备的第一网络设备标识和第一ACL信息，所述第一网络设备和所述第二网络设备属于同一个内部网关协议IGP域。9.根据权利要求8所述的方法，其特征在于，所述方法还包括：所述控制器从所述扩展的第一BGP-LS报文中解析获得第二网络设备的第二网络设备标识和第二ACL信息。10.根据权利要求8至9任意一项所述的方法，其特征在于，所述方法还包括：所述控制器向所述第二网络设备发送扩展的第二BGP-LS报文，所述扩展的第二BGP-LS报文包含第一目标网络设备的设备标识和第一ACL编辑信息，所述第一ACL编辑信息用于对所述第一目标网络设备的ACL信息进行编辑。11.根据权利要求8至10任意一项所述的方法，其特征在于，所述第二BGP-LS报文还包含第二ACL编辑信息，所述第二ACL编辑信息用于对所述第二目标网络设备的第二ACL信息进行编辑。12.根据权利要求8至11任意一项所述的方法，其特征在于，所述方法还包括：所述控制器利用控制通道向目标网络设备发送ACL配置报文，所述ACL配置报文中携带有第三ACL编辑信息，所述第三ACL编辑信息用于对所述目标网络设备的第一ACL信息进行编辑。13.一种收集访问控制列表的第二网络设备，其特征在于，所述第二网络设备包括：第一接收模块，用于接收第一网络设备泛洪的第一链路状态通告LSA报文，所述第一LSA报文包括第一网络设备标识以及与所述第一网络设备标识相关联的第一访问控制列表ACL信息，所述第一网络设备标识用于标识所述第一网络设备，所述第一网络设备和所述...

【专利技术属性】
技术研发人员：庄顺万，周鹏，李振斌，阴元斌，许健彬，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44