【技术实现步骤摘要】
一种访问控制列表ACL的检测方法及网络设备
[0001]本申请涉及通信
,尤其涉及一种访问控制列表ACL的检测方法及网络设备。
技术介绍
[0002]随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。
[0003]目前,访问控制列表(acces control list,ACL)中通常包括用于控制网络设备(例如路由器、交换机等)对数据包进行分类处理的一系列ACL规则,这样网络设备就可以根据ACL列表中包括的一系列ACL规则对接收到的数据包执行相应的过滤、分类处理以及转发处理,从而达到控制流量、节约网络资源的目的。
[0004]而一个网络设备中可能存储有多个不同的ACL,不同的ACL中可能会存在多条ACL包括的信息之间存在冗余或冲突的情况。目前,针对ACL之间冗余或冲突的检测方法通常为对不同条的ACL中包括的字段和动作逐条逐字段的进行比较,例如,分别比较ACL中包括的源地址、目的地址、源端口、目的端口、动作等是否相同或相反,从而确定ACL之间是否存在冗余或者冲突,显然这种检测方法的检测效率比较低。
技术实现思路
[0005]本申请提供一种访问控制列表ACL的检测方法及网络设备,用以解决现有技术中ACL检测效率比较低的问题。
[0006]第一方面,提供一种访问控制列表ACL的检测方法,该方法应用于网络设备,所述方法包括:根据第一ACL中包括的至少一个参 ...
【技术保护点】
【技术特征摘要】
1.一种访问控制列表ACL的检测方法,应用于网络设备,其特征在于,包括:根据第一ACL中包括的至少一个参数信息,生成所述第一ACL对应的第一二元决策图BDD,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的;根据第二ACL中包括的至少一个参数信息,生成所述第二ACL对应的第二BDD,所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的;基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测。2.如权利要求1所述的方法,其特征在于,所述参数信息包括如下信息中的至少一项:源地址、目的地址、源端口号、目的端口号、协议类型、动作信息。3.如权利要求1或2所述的方法,其特征在于,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的,包括:将第一ACL中包括的至少一个参数信息分别转化为二进制信息;根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;对每个参数信息对应的子BDD分别进行压缩处理;对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第一BDD。4.如权利要求1或2所述的方法,其特征在于,所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的,包括:将第二ACL中包括的至少一个参数信息分别转化为二进制信息;根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;对每个参数信息对应的子BDD分别进行压缩处理;对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第二BDD。5.如权利要求1~4任一所述的方法,其特征在于,基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测,包括:当所述第一BDD与所述第二BDD之间满足第一子条件和第二子条件时,确定所述第一ACL与所述第二ACL之间完全冗余;或者当所述第一BDD与所述第二BDD之间满足第一子条件、且不满足第二子条件时,确定所述第一ACL与所述第二ACL之间部分冗余;其中,所述第一子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为1的路径;所述第二子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为0的路径。6.如权利要求1~4任一所述的方法,其特征在于,基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测,包括:当所述第一BDD与所述第二BDD之间满足第三子条件和第四子条件时,确定所述第一ACL与所述第二ACL之间完全冲突;或者当所述第一BDD与所述第二BDD之间满足第三子条件、且不满足第四子条件时,确定所述第一ACL与所述第二ACL之间部分冲突;其中,所述第三子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为1的路径;
所述第四子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为0的路径。7.一种网络设备,其特征在于,包括:存储器,用于存储指令;通信接口,用于接收和发送数据;处理器,用于调用所述存储器中的程序指令以执行:根据第一ACL中包括的至少一个参数信息,生成所述第一ACL对应的第一二元决策图BDD,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的;根据第二ACL中包...
【专利技术属性】
技术研发人员:陈一峰,陈颖,
申请(专利权)人:华为数字技术苏州有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。