【技术实现步骤摘要】
本专利技术涉及通信
,特别涉及一种源防护IPSG接入控制的方法及装置。
技术介绍
源防护(IPSG,IPSourceGuard)功能用于对端口收到的数据报文进行过滤控制,以防止非法用户数据报文通过。如果一个设备(例如交换机、路由器等)的端口配置了IPSG,则当数据报文到达该端口时,设备会检查IPSG的表项,符合表项的数据报文则可以转发或者进入后续流程,不符合表项的数据报文将被丢弃。IPSG表项可以通过手工配置和动态获取两种方式生成。其中IPSG的匹配条件有:源网络之间互连的协议(IP)地址、源物理(MAC)地址、虚拟局域网(VLAN)标签。在不同的设备上,支持的组合方式不同,大体的组合方式有:IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN以及IP+MAC+VLAN这6中方式,一般来说,IPSG功能是通过将软件表项下发形成访问控制列表(ACL,(AccessControlList)硬件表项来实现的。这就需要占用底层的ACL资源,相当于直接在端口下绑定ACL(普通ACL)规则来占用ACL资源(显式占用),这里称为隐式占用。此种实现方式,为了与普通...
【技术保护点】
一种源防护IPSG接入控制的方法,其特征在于,所述方法包括:在访问控制列表ACL软件表项中的每条规则中添加IPSG匹配条件,并在所述ACL软件表项中新增只包含所述IPSG匹配条件的第一规则和丢弃不包含所述IPSG匹配条件的数据报文的第二规则,得到新的ACL软件表项;将所述新的ACL软件表项下发给用于生成硬件表项的硬件,以使所述硬件根据新的ACL软件表项生成硬件表项。
【技术特征摘要】
1.一种源防护IPSG接入控制的方法,其特征在于,所述方法包括:在访问控制列表ACL软件表项中的每条规则中添加IPSG匹配条件,并在所述ACL软件表项中新增只包含所述IPSG匹配条件的第一规则和丢弃不包含所述IPSG匹配条件的数据报文的第二规则,得到新的ACL软件表项;将所述新的ACL软件表项下发给用于生成硬件表项的硬件,以使所述硬件根据新的ACL软件表项生成硬件表项。2.如权利要求1所述的方法,其特征在于,在所述在访问控制列表ACL软件表项中的每条规则中添加IPSG匹配条件之前,所述方法还包括:检查用于接收数据报文的第一端口下是否同时存在ACL软件表项和IPSG软件表项;当所述第一端口下同时存在ACL软件表项和IPSG软件表项时,删除所述IPSG软件表项,并执行所述在访问控制列表ACL软件表项中的每条规则中添加IPSG匹配条件的步骤。3.如权利要求1所述的方法,其特征在于,在所述在访问控制列表ACL软件表项中的每条规则中添加IPSG匹配条件之前,所述方法还包括:给用于接收数据报文的第二端口配置IPSG软件表项;检查所述第二端口下是否存在ACL软件表项;当所述第二端口下存在ACL软件表项时,判断所述ACL软件表项是否与所述IPSG软件表项发生冲突;当所述ACL软件表项与所述IPSG软件表项不发生冲突时,删除所述IPSG表项,并执行所述在访问控制列表ACL软件表项中的每条规则中添加IPSG匹配条件的步骤。4.如权利要求1所述的方法,其特征在于,在所述在访问控制列表ACL软件表项中的每条规则中添加IPSG匹配条件之前,所述方法还包括:给用于接收数据报文的第二端口配置ACL软件表项;检查所述第二端口下是否存在IPSG软件表项;当所述第二端口下存在IPSG软件表项时,判断所述ACL软件表项是否
\t与所述IPSG软件表项发生冲突;当所述ACL软件表项与所述IPSG软件表项不发生冲突时,删除所述IPSG表项,并执行所述在访问控制列表ACL软件表项中的每条规则中添加IPSG匹配条件的步骤。5.如权利要求3或4所述的方法,其特征在于,所述方法还包括:当所述ACL软件表项与所述IPSG软件表项发生冲突时,提示用户重新给所述第二端口配置ACL软件表项。6.一种源防护IPSG接入控制的装置,其特征在于,所述装置包括:添加模块,用于在访问控制列表ACL软件表项中的每条规则中添加...
【专利技术属性】
技术研发人员:刘民,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。