一种基于访问控制列表ACL的流量统计方法及装置制造方法及图纸

本发明专利技术提供了一种基于访问控制列表ACL的流量统计方法及装置，该方法包括：将第一ACL绑定至一设备的第一端口；获取所述第一端口的ACL统计配置信息，所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息；在所述第一端口已使能ACL统计功能时，根据统计的动作和方向，针对所述第一ACL中的规则，进行匹配报文的流量统计。本发明专利技术支持开启不同动作的ACL统计，并动态更新ACL统计配置，无需手动配置更新，且在ACL规则更新后，会重建更新后ACL的流量统计缓存，无需将原有ACL与更新后ACL进行比较，避免了ACL统计配置的繁琐性和耗时性，极大地缩短了ACL统计的比较时间，同时降低了ACL统计的复杂程度。

【技术实现步骤摘要】

本专利技术涉及数据通信领域，特别涉及一种基于访问控制列表ACL的流量统计方法及装置。
技术介绍
ACL访问控制列表，是一种流分类工具，高端路由器使用ACL可以实现端口流量的分类和控制、路由策略、策略路由等功能。ACL可以依据报文中的字段对报文进行筛选过滤，最为常见的筛选字段是数据报文中的五元组，即源IP地址、目的IP地址、协议号、源端口号和目的端口号。一张ACL列表可以有多条规则，每条规则都描述了一定的匹配条件。对于给定的报文，从第一条规则开始判读是否匹配，一旦匹配中规则，就执行规则内设定的动作(permit或deny)并返回。访问控制列表统计(ACLlog)，是用来记录端口转发报文在应用ACL规则后，若报文匹配中规则，且规则log统计开关打开时，匹配中规则的入向、出向报文个数；也就是说需要满足两个条件才会进行统计，一是端口绑定了ACL，二是ACL中需要进行统计的规则使能了log统计。然而，传统的ACL统计的方法存在如下问题：1、ACL统计是基于规则配置的，用户需要逐条打开统计开关以及逐条关闭统计开关；打开统计的规则会进行统计，否则不会进行统计；若存在多条规则时，配置复杂。2、当ACL规则更新后，新ACL中的每条规则需要和原有ACL的所有规则进行比较，以判断集合的变化，增加的规则需要分配新的计数器，删除的规则需要回收计数器，未发生变化的规则其对应的计数器不变。比如，若ACL有10K条规则，则需要比较10K*10K次，非常耗时。3、当ACL规则更新后，ACL统计不会相应更新，只能通过手动的方式关闭ACLlog。4、无法基于动作(permit或deny)区分是否进行ACL统计，只能逐个配置。
技术实现思路
本专利技术提供了一种基于访问控制列表ACL的流量统计方法及装置，其目的是为了解决传统的ACL统计的方法复杂度高，耗时，且无法基于动作进行ACL统计的问题。为了达到上述目的，本专利技术提供了一种基于访问控制列表ACL的流量统计方法，包括：将第一ACL绑定至一设备的第一端口；获取所述第一端口的ACL统计配置信息，所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息；在所述第一端口已使能ACL统计功能时，根据统计的动作和方向，针对所述第一ACL中的规则，进行匹配报文的流量统计。进一步地，所述将第一ACL绑定至一设备的第一端口的步骤之后，所述方法还包括：更新所述第一ACL的端口绑定信息，以及更新所述第一端口的ACL绑定信息，其中，所述第一ACL的端口绑定信息中记录有所述第一ACL绑定到的端口的信息，所述第一端口的ACL绑定信息记录有所述第一端口上绑定的ACL的信息。进一步地，所述方法还包括：接收第一端口的ACL统计功能的使能命令以及针对第一端口的ACL统计配置的第一配置信息；获取所述第一端口的ACL绑定信息，判断所述第一端口是否已绑定有ACL；在所述第一端口未绑定ACL时，根据所述第一配置信息，使能所述第一端口的ACL统计功能；在所述第一端口已绑定ACL时，判断所述第一端口是否已使能ACL统计功能，并在所述第一端口已使能ACL统计功能时，根据所述第一配置信息，更新所述第一端口的ACL统计配置，并在更新完成后，根据所述第一配置信息中的统计的动作和方向，执行已绑定ACL的流量统计。进一步地，在所述第一端口已绑定ACL时，且所述第一端口未使能ACL统计功能时，所述方法还包括：根据所述第一配置信息中的统计的动作和方向，执行已绑定ACL的流量统计。进一步地，所述根据所述第一配置信息，更新所述第一端口的ACL统计配置，具体包括：比较已使能的ACL统计功能和所述第一配置信息中的统计的动作；若所述已使能的ACL统计功能和所述第一配置信息中的统计的动作相同，则不执行任何动作；若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为all，则保留所述第一端口已有的针对permit动作的计数器，并新增一针对deny动作的计数器；若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为all，则保留所述第一端口已有的针对deny动作的计数器，并新增一针对permit动作的计数器；若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为deny，则删除所述第一端口已有的针对permit动作的计数器，并新增一针对deny动作的计数器；若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为permit，则删除所述第一端口已有的针对deny动作的计数器，并新增一针对permit动作的计数器；若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为permit，则保留所述第一端口已有的针对permit动作的计数器，删除所述第一端口已有的针对deny动作的计数器；若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为deny，则保留所述第一端口已有的针对动作deny的计数器，删除所述第一端口已有的针对permit动作的计数器。进一步地，所述方法还包括：接收对第一ACL的更新命令；根据所述第一ACL的端口绑定信息，确定所述第一ACL绑定的端口；针对所述第一ACL绑定的每个端口，删除该端口上所述第一ACL的流量统计缓存，并将更新后的第一ACL下发至该端口，以及针对所述更新后的第一ACL重建流量统计缓存。进一步地，所述方法还包括：接收第一端口的ACL统计功能的关闭命令；获取所述第一端口的ACL绑定信息，判断所述第一端口是否已绑定有ACL；在所述第一端口未绑定ACL时，去使能所述第一端口的ACL统计功能；在所述端口已绑定ACL时，去使能所述第一端口的ACL统计功能并删除该端口上绑定的所述ACL以及所述ACL的流量统计缓存。为达上述目的，本专利技术还提供了一种基于访问控制列表ACL的流量统计装置，该装置包括：绑定模块，用于将第一ACL绑定至一设备的第一端口；第一获取模块，获取所述第一端口的ACL统计配置信息，所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息；统计模块，用于在所述第一端口已使能ACL统计功能时，根据统计的动作和方向，针对所述第一ACL中的规则，进行匹配报文的流量统计。进一步地，所述装置还包括，第一更新模块，用于在所述绑定模块将第一ACL绑定至一设备的第一端口的之后，更新所述第一ACL的端口绑定信息，以及更新所述第一端口的ACL绑定信息，其中，所述第一ACL的端口绑定信息中记录有所述第一ACL绑定到的端口的信息，所述第一端口的ACL绑定信息记录有所述第一端口上绑定的ACL的信息。进一步地，所述装置还包括：第一接收模块，用于接收第一端口的ACL统计功能的使能命令以及针对第一端口的ACL统计配置的第一配置信息；第二获取模块，用于获取所述第一端口的ACL绑定信息，判断所述第一端口是否已绑定有ACL；第一使能模块，用于在所述第一端口未绑定ACL时，根据所述第一配置信息，使能所述第一端口的ACL统计功能；第一判断模块，用于在所述第一端口已绑定ACL时，判断所述第一端口是否已使能ACL统计功能，并在所述第一端口已使能ACL统计功能时，根本文档来自技高网...

【技术保护点】
一种基于访问控制列表ACL的流量统计方法，其特征在于，包括：将第一ACL绑定至一设备的第一端口；获取所述第一端口的ACL统计配置信息，所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息；在所述第一端口已使能ACL统计功能时，根据统计的动作和方向，针对所述第一ACL中的规则，进行匹配报文的流量统计。

【技术特征摘要】
1.一种基于访问控制列表ACL的流量统计方法，其特征在于，包括：将第一ACL绑定至一设备的第一端口；获取所述第一端口的ACL统计配置信息，所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的方向和动作的信息；在所述第一端口已使能ACL统计功能时，根据统计的动作和方向，针对所述第一ACL中的规则，进行匹配报文的流量统计。2.如权利要求1所述的基于访问控制列表ACL的流量统计方法，其特征在于，所述将第一ACL绑定至一设备的第一端口的步骤之后，所述方法还包括：更新所述第一ACL的端口绑定信息，以及更新所述第一端口的ACL绑定信息，其中，所述第一ACL的端口绑定信息中记录有所述第一ACL绑定到的端口的信息，所述第一端口的ACL绑定信息记录有所述第一端口上绑定的ACL的信息。3.如权利要求2所述的基于访问控制列表ACL的流量统计方法，其特征在于，所述方法还包括：接收第一端口的ACL统计功能的使能命令以及针对第一端口的ACL统计配置的第一配置信息；获取所述第一端口的ACL绑定信息，判断所述第一端口是否已绑定有ACL；在所述第一端口未绑定ACL时，根据所述第一配置信息，使能所述第一端口的ACL统计功能；在所述第一端口已绑定ACL时，判断所述第一端口是否已使能ACL统计功能，并在所述第一端口已使能ACL统计功能时，根据所述第一配置信息，更新所述第一端口的ACL统计配置，并在更新完成后，根据所述第一配置信息中的统计的动作和方向，执行已绑定ACL的流量统计。4.如权利要求3所述的基于访问控制列表ACL的流量统计方法，其特征在于，在所述第一端口已绑定ACL时，且所述第一端口未使能ACL统计功能
\t时，所述方法还包括：根据所述第一配置信息中的统计的动作和方向，执行已绑定ACL的流量统计。5.如权利要求3或4所述的基于访问控制列表ACL的流量统计方法，其特征在于，所述根据所述第一配置信息，更新所述第一端口的ACL统计配置，具体包括：比较已使能的ACL统计功能和所述第一配置信息中的统计的动作；若所述已使能的ACL统计功能和所述第一配置信息中的统计的动作相同，则不执行任何动作；若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为all，则保留所述第一端口已有的针对permit动作的计数器，并新增一针对deny动作的计数器；若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为all，则保留所述第一端口已有的针对deny动作的计数器，并新增一针对permit动作的计数器；若所述已使能的ACL统计功能中的动作为permit且所述第一配置信息中统计的动作为deny，则删除所述第一端口已有的针对permit动作的计数器，并新增一针对deny动作的计数器；若所述已使能的ACL统计功能中的动作为deny且所述第一配置信息中统计的动作为permit，则删除所述第一端口已有的针对deny动作的计数器，并新增一针对permit动作的计数器；若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为permit，则保留所述第一端口已有的针对permit动作的计数器，删除所述第一端口已有的针对deny动作的计数器；若所述已使能的ACL统计功能中的动作为all且所述第一配置信息中统计的动作为deny，则保留所述第一端口已有的针对动作deny的计数器，删除所述第一端口已有的针对permit动作的计数器。6.如权利要求2所述的基于访问控制列表ACL的流量统计方法，其特征在于，所述方法还包括：接收对第一ACL的更新命令；根据所述第一ACL的端口绑定信息，确定所述第一ACL绑定的端口；针对所述第一ACL绑定的每个端口，删除该端口上配置的所述第一ACL以及所述第一ACL的流量统计缓存，并将更新后的第一ACL下发至该端口，以及针对所述更新后的第一ACL重建流量统计缓存。7.如权利要求2所述的基于访问控制列表ACL的流量统计方法，其特征在于，所述方法还包括：接收第一端口的ACL统计功能的关闭命令；获取所述第一端口的ACL绑定信息，判断所述第一端口是否已绑定有ACL；在所述第一端口未绑定ACL时，去使能所述第一端口的ACL统计功能；在所述端口已绑定ACL时，去使能所述第一端口的ACL统计功能并删除该端口所述ACL的流量统计缓存。8.一种基于访问控制列表ACL的流量统计装置，其特征在于，包括：绑定模块，用于将第一ACL绑定至一设备的第一端口；第一获取模块，获取所述第一端口的ACL统计配置信息，所述ACL统计配置信息包括有是否使能ACL统计功能、以及统计的...

【专利技术属性】
技术研发人员：吴小娟，陈文迅，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东;44