CN112019361A - 访问控制列表的迁移方法及装置,存储介质和电子设备 - Google Patents
访问控制列表的迁移方法及装置,存储介质和电子设备 Download PDFInfo
- Publication number
- CN112019361A CN112019361A CN201910460087.3A CN201910460087A CN112019361A CN 112019361 A CN112019361 A CN 112019361A CN 201910460087 A CN201910460087 A CN 201910460087A CN 112019361 A CN112019361 A CN 112019361A
- Authority
- CN
- China
- Prior art keywords
- access control
- control list
- migration
- migrated
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013508 migration Methods 0.000 title claims abstract description 238
- 230000005012 migration Effects 0.000 title claims abstract description 237
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000004891 communication Methods 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 7
- 238000001914 filtration Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 238000002372 labelling Methods 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 9
- 230000000903 blocking effect Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000004040 coloring Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010422 painting Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0846—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on copy from other elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种访问控制列表的迁移方法和装置,路由方法及装置,计算机存储介质和电子设备,其中,所述迁移方法包括:确定待迁移访问控制列表;根据所述待迁移访问控制列表,获取当前网络架构信息;根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略;根据所述迁移策略对所述待迁移访问控制列表进行迁移。从而能够保证待迁移访问控制列表在迁移后仍然保持与迁移前相同的配置信息,进而避免访问控制列表由于迁移前后,配置信息发生变更错误而产生的网络安全稳定性的问题。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种访问控制列表的迁移方法及装置。本申请同时涉及一种路由方法及装置,以及涉及一种计算机存储介质和电子设备。
背景技术
访问控制列表(Access Control List,ACL),是一种重要的保证网络安全性的手段,其作为路由设备配置的一部分,由于其规则描述直观,所以在大规模网络中被广泛使用来提供细粒度的网络数据包控制(例如放行或隔离)。
随着网络规模的扩大以及业务类型的急剧增长,所有的路由设备的配置中都充斥着大量的ACL,这些ACL由于不同的目的、不同的需求、在不同的时间、被不同的人加入到网络配置中,为不同的服务提供路由依赖和控制,从而形成了极为复杂的逻辑关系。基于业务和网络架构改造的需求,经常需要对ACL进行批量迁移变更,例如:将某一类型的路由设备上面的ACL移动到下一层路由设备上,或者把路由设备上的ACL从入口(ingressinterface)移动到出口(egress interface),迁移后的路由设备能够被批量替换为更为廉价且不需支持ACL的路由设备,还可以支持更多类型的路由协议,从而极大降低了网络维护成本提升了网络的易维护性。
然而,一旦ACL迁移出现错误,例如:迁移前对某些外网网段为拒绝,迁移后对该些外网网段进行放行,由此将会产生极为严重的网络安全性稳定性问题。
现有技术中ACL的管理仅存在一些针对冗余的ACL去除或者压缩ACL等ACL管理方法,该些方法均不能解决由于ACL迁移错误而产生的网络安全稳定性问题。
发明内容
本申请提供一种访问控制列表的迁移方法,以解决现有技术中由于访问控制列表变更错误而产生的网络安全稳定性问题。
本申请提供一种访问控制列表的迁移方法,包括:
确定待迁移访问控制列表;
根据所述待迁移访问控制列表,获取当前网络架构信息;
根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略;
根据所述迁移策略对所述待迁移访问控制列表进行迁移。
在一些实施例中,所述确定待迁移访问控制列表,包括:
根据接收的针对当前网络架构中的访问控制列表的迁移请求,确定待迁移访问控制列表。
在一些实施例中,所述迁移请求至少包括如下一种信息:
所述待迁移访问控制列表的源设备地址信息;
所述待迁移访问控制列表的迁移目的设备地址信息;
所述待迁移访问控制列表的迁移范围信息。
在一些实施例中,所述根据所述待迁移访问控制列表,获取当前网络架构信息,包括:
根据所述待迁移访问控制列表,获取所述当前网络架构信息中的路由配置信息和访问控制列表配置信息。
在一些实施例中,所述根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略,包括:
根据所述当前网络架构信息,对网络流量进行分类,获得网络流量类型;
根据所述网络流量类型,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点;
根据所述待迁移访问控制列表迁移后配置信息发生改变的网络节点,生成针对所述网络节点的新的待迁移访问控制列表;
将所述新的待迁移访问控制列表确定为所述迁移策略。
在一些实施例中,所述根据所述当前网络架构信息,对网络流量进行分类,获得网络流量分类,包括:
在迁移范围内提取所述当前网络架构信息中网络节点的访问控制列表配置信息,获得所述迁移范围内不同网络节点的访问控制列表配置信息集合;
根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合进行标记;
根据所述标记,获得所述迁移范围内的网络流量分类表。
在一些实施例中,所述设定的标记维度至少包括如下一种维度:
源IP地址维度;
目的IP地址维度;
源通信端口维度;
目的通信端口维度;
路由协议类型维度。
在一些实施例中,所述根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合进行标记,包括:
根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合中,用于描述网络流量状态的信息进行标记;所述网络流量状态包括放行状态和阻挡状态。
在一些实施例中,所述根据所述标记,获得所述迁移范围内的网络流量分类表,包括:
根据所述标记,将所述标记维度下的不同网络节点的相同标记信息归为一类,获得所述迁移范围内的网络流量类型;
根据所述网络流量类型建立网络流量分类表,所述网络流量分类表用于描述所述网络流量类型的网络流量状态。
在一些实施例中,所述根据所述网络流量类型,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点,包括:
在所述迁移范围内,根据预先确定的网络节点之间的路由可达性和所述网络流量类型进行建模,获得描述所述网络节点之间网络流量状态的逻辑表达式;
根据所述逻辑表达式,确定所述待迁移访问控制表迁移后,网络流量类型的网络流量状态结果;
根据所述网络流量状态结果和所述网络流量分类表,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点。
在一些实施例中,所述根据所述网络流量状态结果和所述网络流量分类表,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点,包括:
将所述网络流量状态结果和所述网络流浪分类表进行比对,确定迁移范围内所述待迁移访问控制列表在迁移前后配置信息发生改变的网络节点。
在一些实施例中,所述根据所述确定的所述待迁移访问控制列表在迁移范围内配置信息发生改变的网络节点,生成针对所述网络节点的新的待迁移访问控制列表,包括:
根据发生配置信息改变的目的网络节点的访问控制表列的配置信息和所述待迁移范围控制列表迁移前的源网络节点上的访问控制列表的配置信息,确定配置信息修改内容;
根据所述配置信息修改内容生成针对所述发生配置信息改变的网络节点的新的待迁移访问控制列表。
在一些实施例中,所述根据所述迁移策略对所述待迁移访问控制列表进行迁移,包括:
将生成的所述新的待迁移访问控制列表迁移至所述发生配置信息改变的网络节点。
在一些实施例中,还包括:
对所述当前网络架构信息中的冗余访问控制列表进行过滤。
本申请还提供一种访问控制列表的迁移装置,包括:
确定单元,用于确定待迁移访问控制列表;
获取单元,用于根据所述待迁移访问控制列表,获取当前网络架构信息;
生成单元,用于根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略;
迁移单元,用于根据所述迁移策略对所述待迁移访问控制列表进行迁移。
本申请还提供一种路由方法,包括:
接收待发送的数据包;
根据依照当前网络架构信息,生成的满足待迁移访问控制列表在迁移前后配置信息相同的迁移策略,完成迁移的迁移访问控制列表,以及路由表的配置信息,确定所述数据包的路由路径;
将所述数据包按照确定的路由路径路由至目的地址。
本申请还提供一种路由装置,包括:
接收单元,用于接收待发送的数据包;
确定单元,用于根据依照当前网络架构信息,生成的满足待迁移访问控制列表在迁移前后配置信息相同的迁移策略,完成迁移的迁移访问控制列表,以及路由表的配置信息,确定所述数据包的路由路径;
路由单元,用于将所述数据包按照确定的路由路径路由至目的地址。
本申请还一种计算机存储介质,用于存储网络平台产生数据,以及对应所述网络平台产生数据进行处理的程序;
所述程序在被所述处理器读取执行时,执行如上所述的访问控制列表的迁移方法的步骤。
本申请还一种电子设备,包括:
处理器;
存储器,用于存储对网络平台产生数据进行处理的程序,所述程序在被所述处理器读取执行时,执行如上所述的访问控制列表的迁移方法的步骤。
与现有技术相比,本申请具有以下优点:
本申请提供的一种访问控制列表的迁移方法,通过确定待迁移访问控制列表;根据所述待迁移访问控制列表,获取当前网络架构信息;根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略;根据所述迁移策略对所述待迁移访问控制列表进行迁移;从而能够保证待迁移访问控制列表在迁移后仍然保持与迁移前相同的配置信息,进而避免访问控制列表由于迁移前后,配置信息发生变更错误而产生的网络安全稳定性的问题。
附图说明
图1是本申请提供的一种访问控制列表的迁移方法实施例的流程图;
图2是本申请提供的一种访问控制列表的迁移方法实施例中迁移范围的结构示意图;
图3是本申请提供的一种访问控制列表的迁移方法实施例中流量分类过程示意图;
图4是本申请提供的一种访问控制列表的迁移方法实施例中流量分类后获得的流量分类表的结构示意图;
图5是本申请提供的一种访问控制列表的迁移方法实施例中路由可达性的函数模型示意图;
图6是本申请提供的一种访问控制列表的迁移方法实施例中网络流量状态结果示意图;
图7是本申请提供的一种访问控制列表的迁移装置实施例的结构示意图;
图8是本申请提供的一种路由方法实施例的流程图;
图9是本申请提供的一种路由装置实施例的结构示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
本申请中使用的术语是仅仅出于对特定实施例描述的目的,而非旨在限制本申请。在本申请中和所附权利要求书中所使用的描述方式例如:“一种”、“第一”、和“第二”等,并非对数量上的限定或先后顺序上的限定,而是用来将同一类型的信息彼此区分。
基于访问控制列表仅支持有限的路由协议,为使路由设备能够达到更多路由协议的支持,需要对访问控制列表进行移除,将需要移除的访问控制列表迁移到其他路由设备上,同时保证迁移前后访问控制列表的配置信息相同,从而在支持大量路由协议的同时,进一步保证网络安全的稳定性。故此,本申请提供的一种访问控制列表的迁移方法,该方法能够自动生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略,在待迁移访问控制列表迁移后仍然保持原来相同的配置,保证网络安全的稳定性。下面对本申请的迁移方法进行详细阐述。
请参考图1所示,图1是本申请提供的一种访问控制列表的迁移方法实施例的流程图,该迁移方法包括:
步骤S101:确定待迁移访问控制列表。
在对所述步骤S101进行详细描述前,先对迁移访问控制列表进行解释。如本申请背景技术中的描述,访问控制列表(Access Control List,ACL),是一种重要的保证网络安全性的手段,其作为路由设备配置的一部分,提供细粒度的网络数据包控制,具体地,ACL是一种路由器配置脚本,它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过。在下述过程中,术语ACL与访问控制列表相同。
ACL能够执行以下任务:
限制网络流量以提高网络性能;
提供流量控制;
限制路由更新的传输;
提供基本的网络访问安全性;
允许一台主机访问部分网络,同时阻止其它主机访问同一区域;
决定在路由器接口上转发或阻止哪些类型的流量;
控制客户端可以访问网络中的哪些区域;
屏蔽主机以允许或拒绝对网络服务的访问;
允许或拒绝用户访问特定文件类型,例如FTP或HTTP。
所述步骤S101的具体实现可以是,根据用户的需求确定待迁移的访问控制列表,当然也可以根据设定的迁移条件确定待迁移的访问控制列表,例如:针对某一路由设备预先设定一个访问控制列表的迁移时间,当达到迁移时间则说明满足迁移条件,则将该路由设备上的访问控制列表确定为待迁移的访问控制列表。
在本实施例中,主要以用户的需求来确定待迁移的访问控制列表,因此,所述步骤S101包括:
步骤S101-1:根据接收的针对当前网络架构中的访问控制列表的迁移请求,确定待迁移访问控制列表。
所述步骤S101-1中的迁移请求可以是用户根据自身迁移需求发起的迁移请求,所述用户可以是网络管理侧。迁移需求通常情况下可以包括:迁移路由设备的访问控制列表,接收迁移访问控制列表的路由设备,迁移的范围等等。因此,所述迁移请求可以包括如下至少一种信息:
所述待迁移访问控制列表的源设备地址信息;
所述待迁移访问控制列表的迁移目的设备地址信息;
所述待迁移访问控制列表的迁移范围信息。
换言之,通常情况下,所述迁移请求中需要说明将某一路由设备上的访问控制列表迁移至另一路由设备上的访问控制列表,因此,需要源设备地址和目的设备地址信息,但是,也可以预先确定某一网络层,将该层上可以随机选择一个的路由设备的访问控制列表进行迁移,迁移的目的地址信息可以是全网范围内,因此,迁移请求中可以仅包括源设备地址信息或者目的设备地址信息或迁移范围,也可以是源设备地址信息、目的设备地址信息、迁移范围的任意组合。当然全网范围为一种极端情况,通常情况下还需要指定迁移范围、迁移源设备地址信息和迁移目的设备地址信息。
为更好的理解本申请的技术方案,下面进行举例说明:
请参考图2所示,图2是本申请提供的一种访问控制列表的迁移方法实施例中迁移范围的结构示意图,在本实施例中,迁移范围可以如图2中所示的在路由设备A、B、C、D内;其中,路由设备B上的访问控制列表可以确定为待迁移访问控制列表,即路由设备B的地址信息为源设备地址信息,路由设备A、C、D的地址信息为目的设备地址信息。
在下述过程中,均上述迁移范围实例进行说明,但本申请的迁移方法并不限于上述实例的范围。
在根据所述步骤S101获知待迁移访问控制列表后,需要执行下述步骤。
步骤S102:根据所述待迁移访问控制列表,获取当前网络架构信息。
所述步骤S102的目的在于,根据所述待迁移访问控制列表,获知所述待迁移访问控制列表所处当前网络架构的相关信息,即:当前网络架构的拓扑以及配置等信息,从该些信息中获得相关的路由信息和ACL信息。沿用步骤S101中的示例,当前网络架构的拓扑可以是如图2所示的结构,配置信息可以是获取路由设备A、B、C、D上的路由配置信息和ACL配置信息。
因此,所述步骤S102包括:
步骤S102-1:根据所述待迁移访问控制列表,获取所述当前网络架构信息中的路由配置信息和访问控制列表配置信息。
在本实施例中,所述路由配置信息包括路由可达信息、协议类型等;沿用步骤S101的中示例,在A、B、C、D迁移范围内,路由可达信息可以是路由设备A直接可达路由设备包括:路由设备B、路由设备C;路由设备A通过路由设备B可达路由设备D;路由设备C和路由设备D不可达;路由设备C和路由设备D不可达。
所述访问控制列表配置信息包括:控制端口进出数据包的状态信息,即:放行(permit)或阻挡(deny)特定目的地址、源地址以及协议的网络流量,还可以包括源端口信息、目的端口信息等。沿用步骤S101中的示例,路由设备A中ACL配置为网络流量全部放行(permit);路由设备B中ACL配置的网络流量3、4状态为阻挡(deny),网络流量1、2、5为放行(permit);路由设备C中ACL配置的网络流量1、3、5状态为阻挡(deny),网络流量2、4为放行(permit);路由设备D中ACL配置的网络流量4、5状态为阻挡(deny),网络流量1、2、3为放行(permit)。对于ACL配置的网络流量在下述步骤S103中会详细描述,以上仅为概要介绍。
步骤S103:根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略。
所述步骤S103的目的在于,保证待迁移访问控制列表ACL在迁移前后配置信息相同,即:迁移后访问控制列表中的配置信息与迁移前的一致。例如:将路由设备B中的ACL迁移到路由设备A、C、D上,迁移后的ACL中的配置信息仍然是网络流量1、2、5放行(permit),网络流量3、4阻挡(deny)。为保证配置信息的一致性,因此,需要生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略。
所述步骤S103包括:
步骤S103-1:根据所述当前网络架构信息,对网络流量进行分类,获得网络流量类型。
请参考图3和图4所示,图3是本申请提供的一种访问控制列表的迁移方法实施例中流量分类过程示意图;图4是本申请提供的一种访问控制列表的迁移方法实施例中流量分类后获得的流量分类表的结构示意图。
所述步骤S103-1的具体实现过程可以包括:
步骤S103-1a:在迁移范围内提取所述当前网络架构信息中网络节点的访问控制列表配置信息,获得所述迁移范围内不同网络节点的访问控制列表配置信息集合。
首先需要说明的,所述网络节点在本实施例中可以理解为路由设备,因此,在下述描述中,网络节点和路由设备指代同一部件。
在本实施例中,所述步骤S103-1a的目的在于将迁移范围内路由设备中的ACL配置提取,建立一个ACL配置等价类信息集合。
所述配置等价类信息集合中可以包括:源IP地址、源端口(port)、目的IP地址、目的端口(port)以及协议类型等配置信息。所述的一个ACL配置等价类信息是一个ACL信息集合,里面所有的ACL对迁移范围内所有网络流量基于上述5类流量的决策行为(阻挡或放行)是一样的,从而这些ACL放在一起形成了一个等价类信息集合。来自迁移范围内所有路由设备中的ACL信息会被划分成多个不同的等价类信息,所以它们共同形成了一个ACL等价类信息集合。
步骤S103-1b:根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合进行标记。
所述步骤S103-1b的目的在于对访问控制列表配置信息集合中按照设定的标记维度进行标记,从而获得访问控制列表配置信息集合中被阻挡的网络流量信息和被放行的网络流量信息。
所述标记维度可以包括至少如下一种维度:
源IP地址维度;
目的IP地址维度;
源通信端口维度;
目的通信端口维度;
路由协议类型维度。
所述步骤S103-1b可以根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合中,用于描述网络流量状态的信息进行标记;所述网络流量状态包括放行状态和阻挡状态。
在本实施例中,采用源IP地址维度和目的IP地址维度进行说明。
如图3所示,在本实施例中,PB、PC和PD分别表示路由设备B,C和D的ACL。图3中每个方块的x轴是按照源IP地址划分的、所有路由设备ACL的全集;y轴是按照目的IP地址划分的、所有路由设备ACL的全集。对路由设备中的ACL配置的网络流量状态可以采用加入标识信息的标记方式,网络流量状态可以为阻挡(deny)或是放行(permit)。标识信息的标记方式可以是对网络流量状态为放行的记为√或者涂色,对网络流量状态为阻挡的记为×或者选用区别于放行标识信息的其他颜色进行涂色。
所述标识信息的标记方式不限于上述对勾和打叉或者涂色等方式,实际上路由设备中的ACL状态为阻挡(deny)和放行(permit)的标识形式能够满足体现阻挡(deny)和放行(permit)两个状态的区别即可。考虑显示等问题,本实施例中采用√和×的字符形式进行标记。
如图3所示,路由设备B中PB配置信息的标记方式为:
源IP地址1-3分别到目的IP地址2的网络流量状态为阻挡(deny),标记为×;
源IP地址1-3分别到目的IP地址1和目的IP地址2的网络流量状态为放行(permit),标记为√。
路由设备C中PC配置信息的标记方式为:
源IP地址1和源IP地址3分别到目的IP地址1-3的网络流量状态为阻挡(deny),标记为×;
源IP地址2到目的IP地址1-3的网络流量状态为放行(permit),标记为√。
路由设备D中PD配置信息的标记方式为:
源IP地址1分别到目的IP地址2-3的网络流量状态为放行(permit),标记为√;
源IP地址1到目的IP地址1的网络流量状态为阻挡(deny),标记为×;
源IP地址2分别到目的IP地址1和3的网络流量状态为放行(permit),标记为√;
源IP地址2到目的IP地址2的网络流量状态为阻挡(deny)标记为×;
源IP地址3分别到目的IP地址1-3的网络流量状态为放行(permit),标记为√。
在对迁移范围内的路由设备中ACL的配置网络流量状态进行标记后,继续执行如下步骤。
步骤S103-1c:根据所述标记,获得所述迁移范围内的网络流量分类表。
如图4所示,所述步骤S103-1c具体可以是通过对访问控制列表中描述网络流量状态的信息进行标记,而获得的标记结果之后,对网络流量分类。具体可以包括:
步骤S103-1c-1:根据所述标记,将所述标记维度下的不同网络节点的相同标记信息归为一类,获得所述迁移范围内的网络流量类型。
所述步骤S103-1c-1的具体实现是将迁移范围内所标记的路由设备中ACL的网络流量状态信息进行归类。所谓相同标记信息可以是指对于某一网络流量类型,即源IP地址到目的IP地址的网络流量,不同路由设备中ACL的标记相同则为相同标记信息。将相同标记信息归为一类从而获得所述迁移范围内的网络流量类型。
沿用上述示例,为了便于理解,对图4中表示路由设备B、C、D标记信息进行转换,转换为下表形式,√表示放行,×表示阻挡,网络流量信息为源IP地址到目的IP地址的流量信息,请参考下表1:
表1
根据上表显示,网络流量类型1表示PB和PD的状态为放行;网络流量类型2表示PA、PB和PD的状态为放行;网络流量类型3表示PD的状态为放行;网络流量类型4表示PC和PD的状态为放行;网络流量类型5表示PB的状态为放行;因此,可以将ACL状态信息相同的归为一类,从而获得如图4中右侧所示的网络流量类型。
步骤S103-1c-2:根据所述网络流量类型建立网络流量分类表,所述网络流量分类表用于描述所述网络流量类型的网络流量状态。
所述步骤S103-1c-2具体实现方式,根据步骤S103-1c-1中获得的网络流量类型,建立一个描述不同路由设备中网络流量类型的网络流量状态。所述步骤S103-1c-1可以获得5中网络流量类型,每种网络流量类型对应的路由设备的控制状态不同,进而能够据此建立网络流量分类表。
沿用上述示例:网络流量类型1中路由设备B的ACL(PB)配置的控制信息为放行,路由设备C的ACL(PC)配置的控制信息为阻挡,路由设备D的ACL(PD)配置的控制信息为放行。网络流量类型2中路由设备B的ACL(PB)、路由设备C的ACL(PC),以及路由设备D的ACL(PD)配置的控制信息均为放行。网络流量类型3中路由设备B的ACL(PB)配置的控制信息为阻挡,路由设备C的ACL(PC)配置的控制信息为阻挡,路由设备D的ACL(PD)配置的控制信息为放行。网络流量类型4中路由设备B的ACL(PB)配置的控制信息为阻挡,路由设备C的ACL(PC)配置的控制信息为放行,路由设备D的ACL(PD)配置的控制信息为放行。网络流量类型5中路由设备B的ACL(PB)配置的控制信息为放行,路由设备C的ACL(PC)配置的控制信息为阻挡,路由设备D的ACL(PD)配置的控制信息为阻挡。
需要说明的是,上述对网络流量类型的分类采用两个标记维度,即:源IP地址维度和目的IP地址维度,实际上,标记维度还可以包括源通信端口维度、目的通信端口维度以及路由协议类型维度等,因此,标记维度可以根据不同需求进行设置。
在根据上述控制信息获得网络流量分类表后,需要在迁移范围内确定待迁移访问控制列表在迁移到其他路由设备上是否发生配置信息的改变,即网络流量类型中网络流量状态是否发生变化。请参考下述步骤的描述。
步骤S103-2:根据所述网络流量类型,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点。
所述步骤S103-2具体实现过程可以包括:
步骤S103-2a:在所述迁移范围内,根据预先确定的网络节点之间的路由可达性和所述网络流量类型进行建模,获得描述所述网络节点之间网络流量状态的逻辑表达式。
如图2所示和步骤S101的中示例,在路由设备A、B、C、D确定的迁移范围内,路由可达信息可以是路由设备A直接可达路由设备B、C;路由设备A通过路由设备B可达路由设备D;路由设备C和路由设备D不可达;路由设备C和路由设备D不可达。在本实施例中,待迁移访问控制列表为路由设备B的ACL,因此,在建模时可以刨除待迁移访问控制表所在的路由设备,即:路由设备B,据此,针对每个网络流量类型,对路由设备A和D的可达性以及路由设备A和C的可达性进行建模,获得描述所述网络节点之间网络流量状态的逻辑表达式。
基于在所述步骤S102-1的描述,沿用步骤S101中的示例,路由设备A中ACL配置为网络流量全部放行(permit);路由设备B中ACL配置的网络流量3、4状态为阻挡(deny),网络流量1、2、5为放行(permit);路由设备C中ACL配置的网络流量1、3、5状态为阻挡(deny),网络流量2、4为放行(permit);路由设备D中ACL配置的网络流量4、5状态为阻挡(deny),网络流量1、2、3为放行(permit)。因此,通过函数fi(x)表示路由设备上ACL对流量i放行;函数~fi(x)表示路由设备上ACL对流量阻挡;根据函数f进行函数建模,获得函数模型。模型中的f1(A)^f1(D)为网络流量类型1在路由设备A和D之间的网络流量状态的逻辑表达式。
步骤S103-2b:根据所述逻辑表达式,确定所述待迁移访问控制列表迁移后,网络流量类型的网络流量状态结果。
在基于所述步骤S103-2b中建立的描述网络流量类型1在路由设备A和D之间的网络流量状态的逻辑表达式之后,需要根据逻辑表达式,确定出待迁移访问控制列表在迁移后,路由设备网络流量类型的网络流量状态结果,如图6所示,图6是本申请提供的一种访问控制列表的迁移方法实施例中网络流量状态结果示意图。在本实施例中,可以通过采用SMTsolver求解器对每个逻辑表达式进行求解,获得网络流量状态结果;其中,SMT solver求解器中的SMT的全称为Satisfiability Modulo Theories,即可满足性模理论。在通常的逻辑解释和背景理论解释下,如果存在一个赋值使SMT公式为假,那么SMT公式是不可满足,如图5中的AD可达的第3类网络流量类型,~f3(A)^f3(D),其中~f3(A)为假,那么逻辑表达式~f3(A)^f3(D)为假,即阻挡。
步骤S103-2c:根据所述网络流量状态结果和所述网络流量分类表,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点。
所述步骤S103-2c具体实现过程可以是,基于所述步骤S103-1c-2中建立的网络流量分类表和所述S103-2b获得的网络流量状态结果,通过将二者进行比对,发现迁移范围内所述待迁移访问控制列表,在迁移前后配置信息发生改变的网络节点。
本实施例中所述流量分类表如图4所示,网络流量状态结果如图6所示,将二者的内容进行比较,如下表:
由上表可见,流量分类表和网络流量状态结果比较后,网络流量类型3的网络流量状态结果与迁移前的网络流量类型不一致,进而将所述路由设备D确定为迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点。
步骤S103-3:根据所述待迁移访问控制列表迁移后配置信息发生改变的网络节点,生成针对所述网络节点的新的待迁移访问控制列表。
所述步骤S103-3的具体实现过程可以包括:
步骤S103-3a:根据发生配置信息改变的目的网络节点的访问控制表列的配置信息和所述待迁移范围控制列表迁移前的源网络节点上的访问控制列表的配置信息,确定配置信息的修改内容。
所述目的网络节点为目的路由设备,即接收待迁移网络控制列表的路由设备;源网络节点为源路由设备,即待迁移网络控制列表所属的源路由设备。
在本实施例中,所述配置信息的修改内容可以通过笛卡尔积运算获得,其中,所述笛卡尔乘积是指在数学中,两个集合X和Y的笛卡尓积(Cartesian product),又称直积,表示为X×Y,第一个对象是X的成员而第二个对象是Y的所有可能有序对的其中一个成员。
步骤S103-3b:根据所述修改内容生成针对所述配置信息发生改变的网络节点的新的待迁移访问控制列表。
在根据修改内容生成针对所述配置信息发生改变的网络节点的新的待迁移访问控制列表之前,可以包括:
对所述当前网络架构信息中的冗余访问控制列表进行过滤。即:对路由设备上存在的冗余ACL进行过滤,过滤后,在生成新的待迁移访问控制列表。
所谓冗余ACL可以是指:由于大量ACL规则存在于路由器中,而ACL规则对于数据包的匹配优先级又是从上到下的,所以很多ACL规则严重冗余,即被之前的ACL覆盖,从而使得优先级低的ACL永远不会被匹配到,即为冗余ACL。
步骤S103-4:将所述新的待迁移访问控制列表确定为所述迁移策略。
步骤S104:根据所述迁移策略对所述待迁移访问控制列表进行迁移。
所述步骤S104的具体实现过程可以是将生成的所述新的待迁移访问控制列表迁移至所述发生配置信息改变的网络节点。
以上是对本申请提供的一种访问控制列表的迁移方法实施例的具体描述,与前述提供的一种访问控制列表的迁移方法实施例相对应,本申请还公开一种访问控制列表的迁移装置实施例,请参看图7,由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
如图7所示,图7是本申请提供的一种访问控制列表的迁移装置实施例的结构示意图,所述迁移装置包括:
确定单元701,用于确定待迁移访问控制列表。
所述确定单元701包括:
接收请求子单元,用于根据接收的针对当前网络架构中的访问控制列表的迁移请求,确定待迁移访问控制列表。
其中,所述接收请求子单元中接收的迁移请求至少包括如下一种信息:
所述待迁移访问控制列表的源设备地址信息;
所述待迁移访问控制列表的迁移目的设备地址信息;
所述待迁移访问控制列表的迁移范围信息。
获取单元702,用于根据所述待迁移访问控制列表,获取当前网络架构信息。
所述获取单元702具体用于根据所述待迁移访问控制列表,获取所述当前网络架构信息中的路由配置信息和访问控制列表配置信息。
生成单元703,用于根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略。
所述生成单元703包括:
分类子单元,用于根据所述当前网络架构信息,对网络流量进行分类,获得网络流量类型。
改变确定子单元,用于根据所述网络流量类型,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点。
生成子单元,用于根据所述待迁移访问控制列表迁移后配置信息发生改变的网络节点,生成针对所述网络节点的新的待迁移访问控制列表。
迁移策略确定子单元,用于将所述新的待迁移访问控制列表确定为所述迁移策略。
其中,所述分类子单元包括:
获得子单元,用于在迁移范围内提取所述当前网络架构信息中网络节点的访问控制列表配置信息,获得所述迁移范围内不同网络节点的访问控制列表配置信息集合;
标记子单元,用于根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合进行标记;其中,所述标记维度至少包括如下一种维度:源IP地址维度;目的IP地址维度;源通信端口维度;目的通信端口维度;路由协议类型维度。
分类表获得子单元,用于根据所述标记,获得所述迁移范围内的网络流量分类表。
迁移单元704,用于根据所述迁移策略对所述待迁移访问控制列表进行迁移。
其中,所述标记子单元具体用于根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合中,用于描述网络流量状态的信息进行标记;所述网络流量状态包括放行状态和阻挡状态。
所述分类表获得子单元包括:
归类子单元,用于根据所述标记,将所述标记维度下的不同网络节点的相同标记信息归为一类,获得所述迁移范围内的网络流量类型;
分类表建立子单元,用于根据所述网络流量类型建立网络流量分类表,所述网络流量分类表用于描述所述网络流量类型的网络流量状态。
所述改变确定子单元,包括:
建模子单元,用于在所述迁移范围内,根据预先确定的网络节点之间的路由可达性和所述网络流量类型进行建模,获得描述所述网络节点之间网络流量状态的逻辑表达式;
状态结果确定子单元,用于根据所述逻辑表达式,确定所述待迁移访问控制表迁移后,网络流量类型的网络流量状态结果;
网络节点确定子单元,用于根据所述网络流量状态结果和所述网络流量分类表,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点。
所述网络节点确定子单元具体可以用于将所述网络流量状态结果和所述网络流浪分类表进行比对,确定迁移范围内所述待迁移访问控制列表在迁移前后配置信息发生改变的网络节点。
所述生成子单元包括:
修改内容确定子单元,用于根据发生配置信息改变的目的网络节点的访问控制表列的配置信息和所述待迁移范围控制列表迁移前的源网络节点上的访问控制列表的配置信息,确定配置信息修改内容;
所述生成子单元具体用于根据所述配置信息修改内容生成针对所述发生配置信息改变的网络节点的新的待迁移访问控制列表。
所述迁移单元704具体用于将生成的所述新的待迁移访问控制列表迁移至所述发生配置信息改变的网络节点。
基于上述内容,本实施例中还可以包括:
过滤单元,用于将生成的所述新的待迁移访问控制列表迁移至所述发生配置信息改变的网络节点。
以上是对本申请提供的一种访问控制列表的迁移装置实施例的描述,描述较为概要具体内容可以参考上述访问控制列表的迁移方法实施例的描述,此处不做过多赘述。
基于上述内容,本申请还提供一种路由方法,请参考图8所示,图8是本申请还提供一种路由方法实施例的流程图,该方法包括:
步骤S801:接收待发送的数据包;
步骤S802:根据依照当前网络架构信息,生成的满足待迁移访问控制列表在迁移前后配置信息相同的迁移策略,完成迁移的迁移访问控制列表,以及路由表的配置信息,确定所述数据包的路由路径;
步骤S803:将所述数据包按照确定的路由路径路由至目的地址。
其中所述步骤S802中迁移策略的生成可以参考上述步骤S101至步骤S104的描述。
针对上述本申请提供的路由方法,相应的本申请还提供一种路由装置,请参考图9所示,图9是本申请提供的一种路由装置实施例的结构示意图,该装置包括:
接收单元901,用于接收待发送的数据包;
确定单元902,用于根据依照当前网络架构信息,生成的满足待迁移访问控制列表在迁移前后配置信息相同的迁移策略,完成迁移的迁移访问控制列表,以及路由表的配置信息,确定所述数据包的路由路径;
路由单元903,用于将所述数据包按照确定的路由路径路由至目的地址。
基于上述内容,本申请还提供一种计算机存储介质,用于存储网络平台产生数据,以及对应所述网络平台产生数据进行处理的程序;
所述程序在被所述处理器读取执行时,执行如上所述的访问控制列表的迁移方法的步骤,或者执行如上所述的路由方法的步骤。
基于上述内容,本申请还提供一种电子设备,包括:
处理器;
存储器,用于存储对网络平台产生数据进行处理的程序,所述程序在被所述处理器读取执行时,执行如上所述的访问控制列表的迁移方法的步骤,或者执行如上所述的路由方法的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、***或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
Claims (19)
1.一种访问控制列表的迁移方法,其特征在于,包括:
确定待迁移访问控制列表;
根据所述待迁移访问控制列表,获取当前网络架构信息;
根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略;
根据所述迁移策略对所述待迁移访问控制列表进行迁移。
2.根据权利要求1所述的访问控制列表的迁移方法,其特征在于,所述确定待迁移访问控制列表,包括:
根据接收的针对当前网络架构中的访问控制列表的迁移请求,确定待迁移访问控制列表。
3.根据权利要求2所述的访问控制列表的迁移方法,其特征在于,所述迁移请求至少包括如下一种信息:
所述待迁移访问控制列表的源设备地址信息;
所述待迁移访问控制列表的迁移目的设备地址信息;
所述待迁移访问控制列表的迁移范围信息。
4.根据权利要求1所述的访问控制列表的迁移方法,其特征在于,所述根据所述待迁移访问控制列表,获取当前网络架构信息,包括:
根据所述待迁移访问控制列表,获取所述当前网络架构信息中的路由配置信息和访问控制列表配置信息。
5.根据权利要求1所述的访问控制列表的迁移方法,其特征在于,所述根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略,包括:
根据所述当前网络架构信息,对网络流量进行分类,获得网络流量类型;
根据所述网络流量类型,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点;
根据所述待迁移访问控制列表迁移后配置信息发生改变的网络节点,生成针对所述网络节点的新的待迁移访问控制列表;
将所述新的待迁移访问控制列表确定为所述迁移策略。
6.根据权利要求5所述的访问控制列表的迁移方法,其特征在于,所述根据所述当前网络架构信息,对网络流量进行分类,获得网络流量分类,包括:
在迁移范围内提取所述当前网络架构信息中网络节点的访问控制列表配置信息,获得所述迁移范围内不同网络节点的访问控制列表配置信息集合;
根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合进行标记;
根据所述标记,获得所述迁移范围内的网络流量分类表。
7.根据权利要求6所述的访问控制列表的迁移方法,其特征在于,所述设定的标记维度至少包括如下一种维度:
源IP地址维度;
目的IP地址维度;
源通信端口维度;
目的通信端口维度;
路由协议类型维度。
8.根据权利要求7所述的访问控制列表的迁移方法,其特征在于,所述根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合进行标记,包括:
根据设定的标记维度,对迁移范围内不同网络节点的访问控制列表配置信息集合中,用于描述网络流量状态的信息进行标记;所述网络流量状态包括放行状态和阻挡状态。
9.根据权利要求8所述的访问控制列表的迁移方法,其特征在于,所述根据所述标记,获得所述迁移范围内的网络流量分类表,包括:
根据所述标记,将所述标记维度下的不同网络节点的相同标记信息归为一类,获得所述迁移范围内的网络流量类型;
根据所述网络流量类型建立网络流量分类表,所述网络流量分类表用于描述所述网络流量类型的网络流量状态。
10.根据权利要求9所述的访问控制列表的迁移方法,其特征在于,所述根据所述网络流量类型,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点,包括:
在所述迁移范围内,根据预先确定的网络节点之间的路由可达性和所述网络流量类型进行建模,获得描述所述网络节点之间网络流量状态的逻辑表达式;
根据所述逻辑表达式,确定所述待迁移访问控制表迁移后,网络流量类型的网络流量状态结果;
根据所述网络流量状态结果和所述网络流量分类表,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点。
11.根据权利要求10所述的访问控制列表的迁移方法,其特征在于,所述根据所述网络流量状态结果和所述网络流量分类表,确定迁移范围内所述待迁移访问控制列表迁移后配置信息发生改变的网络节点,包括:
将所述网络流量状态结果和所述网络流浪分类表进行比对,确定迁移范围内所述待迁移访问控制列表在迁移前后配置信息发生改变的网络节点。
12.根据权利要求10所述的访问控制列表的迁移方法,其特征在于,所述根据所述确定的所述待迁移访问控制列表在迁移范围内配置信息发生改变的网络节点,生成针对所述网络节点的新的待迁移访问控制列表,包括:
根据发生配置信息改变的目的网络节点的访问控制表列的配置信息和所述待迁移范围控制列表迁移前的源网络节点上的访问控制列表的配置信息,确定配置信息修改内容;
根据所述配置信息修改内容生成针对所述发生配置信息改变的网络节点的新的待迁移访问控制列表。
13.根据权利要求10所述的访问控制列表的迁移方法,其特征在于,所述根据所述迁移策略对所述待迁移访问控制列表进行迁移,包括:
将生成的所述新的待迁移访问控制列表迁移至所述发生配置信息改变的网络节点。
14.根据权利要求1所述的访问控制列表的迁移方法,其特征在于,还包括:
对所述当前网络架构信息中的冗余访问控制列表进行过滤。
15.一种访问控制列表的迁移装置,其特征在于,包括:
确定单元,用于确定待迁移访问控制列表;
获取单元,用于根据所述待迁移访问控制列表,获取当前网络架构信息;
生成单元,用于根据所述当前网络架构信息,生成满足所述待迁移访问控制列表在迁移前后配置信息相同的迁移策略;
迁移单元,用于根据所述迁移策略对所述待迁移访问控制列表进行迁移。
16.一种路由方法,其特征在于,包括:
接收待发送的数据包;
根据依照当前网络架构信息,生成的满足待迁移访问控制列表在迁移前后配置信息相同的迁移策略,完成迁移的迁移访问控制列表,以及路由表的配置信息,确定所述数据包的路由路径;
将所述数据包按照确定的路由路径路由至目的地址。
17.一种路由装置,其特征在于,包括:
接收单元,用于接收待发送的数据包;
确定单元,用于根据依照当前网络架构信息,生成的满足待迁移访问控制列表在迁移前后配置信息相同的迁移策略,完成迁移的迁移访问控制列表,以及路由表的配置信息,确定所述数据包的路由路径;
路由单元,用于将所述数据包按照确定的路由路径路由至目的地址。
18.一种计算机存储介质,用于存储网络平台产生数据,以及对应所述网络平台产生数据进行处理的程序;
所述程序在被所述处理器读取执行时,执行如权利要求1至14任意一项所述的访问控制列表的迁移方法的步骤;或者执行如权利要求16所述的路由方法的步骤。
19.一种电子设备,包括:
处理器;
存储器,用于存储对网络平台产生数据进行处理的程序,所述程序在被所述处理器读取执行时,执行如权利要求1至14任意一项所述的访问控制列表的迁移方法的步骤;或者执行如权利要求16所述的路由方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910460087.3A CN112019361A (zh) | 2019-05-30 | 2019-05-30 | 访问控制列表的迁移方法及装置,存储介质和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910460087.3A CN112019361A (zh) | 2019-05-30 | 2019-05-30 | 访问控制列表的迁移方法及装置,存储介质和电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112019361A true CN112019361A (zh) | 2020-12-01 |
Family
ID=73500837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910460087.3A Pending CN112019361A (zh) | 2019-05-30 | 2019-05-30 | 访问控制列表的迁移方法及装置,存储介质和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112019361A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113901274A (zh) * | 2021-09-10 | 2022-01-07 | 锐捷网络股份有限公司 | 一种移动tcam表项的方法、装置、设备及介质 |
CN115348171A (zh) * | 2022-08-12 | 2022-11-15 | 中国工商银行股份有限公司 | 网络设备的访问控制列表管理方法、装置、设备和介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
US20060109850A1 (en) * | 2004-11-24 | 2006-05-25 | Hitachi, Ltd. | IP-SAN network access control list generating method and access control list setup method |
CN101651623A (zh) * | 2009-09-07 | 2010-02-17 | 中兴通讯股份有限公司 | 访问控制列表应用的生成方法及装置 |
JP2014030099A (ja) * | 2012-07-31 | 2014-02-13 | Fujitsu Ltd | 通信装置、プログラムおよびルーティング方法 |
CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | ***通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
CN104618469A (zh) * | 2014-12-24 | 2015-05-13 | 西北农林科技大学 | 一种基于代理网络架构的局域网访问控制方法及管理机 |
CN104994065A (zh) * | 2015-05-20 | 2015-10-21 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的访问控制列表运行***和方法 |
CN105025029A (zh) * | 2015-07-27 | 2015-11-04 | 潍坊学院 | Olt设备动态访问控制列表生成方法及数据包处理方法 |
CN107168900A (zh) * | 2017-05-26 | 2017-09-15 | 杭州迪普科技股份有限公司 | 一种配置acl表项的方法和装置 |
-
2019
- 2019-05-30 CN CN201910460087.3A patent/CN112019361A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
US20060109850A1 (en) * | 2004-11-24 | 2006-05-25 | Hitachi, Ltd. | IP-SAN network access control list generating method and access control list setup method |
CN101651623A (zh) * | 2009-09-07 | 2010-02-17 | 中兴通讯股份有限公司 | 访问控制列表应用的生成方法及装置 |
JP2014030099A (ja) * | 2012-07-31 | 2014-02-13 | Fujitsu Ltd | 通信装置、プログラムおよびルーティング方法 |
CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | ***通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
CN104618469A (zh) * | 2014-12-24 | 2015-05-13 | 西北农林科技大学 | 一种基于代理网络架构的局域网访问控制方法及管理机 |
CN104994065A (zh) * | 2015-05-20 | 2015-10-21 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的访问控制列表运行***和方法 |
CN105025029A (zh) * | 2015-07-27 | 2015-11-04 | 潍坊学院 | Olt设备动态访问控制列表生成方法及数据包处理方法 |
CN107168900A (zh) * | 2017-05-26 | 2017-09-15 | 杭州迪普科技股份有限公司 | 一种配置acl表项的方法和装置 |
Non-Patent Citations (2)
Title |
---|
万燕, 朱向华, 孙永强: "安全移动代理***的访问控制策略", 计算机工程, no. 20, 20 October 2003 (2003-10-20) * |
潘文婵;章韵;: "路由器访问控制列表在网络安全中的应用", 计算机技术与发展, no. 08, 10 August 2010 (2010-08-10) * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113901274A (zh) * | 2021-09-10 | 2022-01-07 | 锐捷网络股份有限公司 | 一种移动tcam表项的方法、装置、设备及介质 |
CN115348171A (zh) * | 2022-08-12 | 2022-11-15 | 中国工商银行股份有限公司 | 网络设备的访问控制列表管理方法、装置、设备和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110741603B (zh) | 拓扑探测器 | |
US10474508B2 (en) | Replication management for hyper-converged infrastructures | |
CN110692227B (zh) | 识别网络意图形式对等性失败中的冲突规则 | |
US10708231B2 (en) | Using headerspace analysis to identify unneeded distributed firewall rules | |
US20160330281A1 (en) | Systems and methods to improve read/write performance in object storage applications | |
CN110785963B (zh) | 从网络收集网络模型和节点信息 | |
CN112470431A (zh) | 使用自动布尔学习的网络的模型的合成 | |
CN110741602B (zh) | 响应于网络意图形式对等性失败的事件生成 | |
US20220150154A1 (en) | Automatically managing a mesh network based on dynamically self-configuring node devices | |
CN111684439B (zh) | 网络保证数据库版本兼容性 | |
CN112491789B (zh) | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 | |
US20210021471A1 (en) | Techniques for managing virtual networks | |
CN112019361A (zh) | 访问控制列表的迁移方法及装置,存储介质和电子设备 | |
CN115567398A (zh) | 一种数据中心网络构建***及其实现方法 | |
CN102571416A (zh) | 一种虚拟机位置定位方法和装置 | |
Zheng et al. | Intent Based Networking management with conflict detection and policy resolution in an enterprise network | |
US8612602B2 (en) | Automatic generation of reusable network configuration objects | |
CN109688126A (zh) | 一种数据处理方法、网络设备及计算机可读存储介质 | |
US20180198704A1 (en) | Pre-processing of data packets with network switch application -specific integrated circuit | |
CN110795209A (zh) | 一种控制方法和装置 | |
US8396966B2 (en) | Method and an apparatus for creating visual representations of farms that enables connecting farms securely | |
US20230131771A1 (en) | Security policy enforcement for resources in bridge mode | |
CN112532506B (zh) | 混合组网方法、装置、服务器和计算机可读存储介质 | |
CN103457864A (zh) | 处理路由下一跳的方法、装置及网络设备 | |
CN114465986B (zh) | Ip地址冲突处理方法及电子设备、计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |