输出访问控制方法与输出访问控制装置

摘要

本发明公开了一种输出访问控制方法与输出访问控制装置。其中，一种输出访问控制方法，包括：三层输入端口接收数据报文；所述三层输入端口根据预先设置的访问控制列表，控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。一种输出访问控制装置，设置在交换机上的三层输入端口，所述输出访问控制装置包括：接收模块，用于接收数据报文；转发控制模块，用于根据预先设置的访问控制列表，控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。本发明在不支持输出ACL的交换机上，通过在该交换机的三层输入端口设置ACL实现了对数据报文的输出访问控制。

说明书

技术领域

本发明涉及一种输出访问控制方法与输出访问控制装置，特别涉及一种在不支持输出访问控制列表的交换机上进行输出访问控制的输出访问控制方法与输出访问控制装置。

背景技术

交换机作为一种能完成接收和转发数据功能的网络设备，其端口是与外界通信交流的接口，在其端口上可应用访问控制列表(Access Control List，以下简称：ACL)对通过交换机的数据进行分类过滤以实现访问控制。ACL是一组应用在交换机端口上的指令列表，该指令列表包括允许接收数据、允许转发数据以及丢弃数据等。根据匹配条件的不同，ACL分为介质访问控制(Media Access Control，以下简称：MAC)ACL和互联网协议(InternetProtocol，以下简称：IP)ACL，MAC ACL是根据数据中的二层协议信息对数据进行分类过滤，IP ACL是根据数据中的三层协议以上的信息对数据进行分类过滤。根据ACL作用阶段的不同，ACL又可分为输入ACL和输出ACL，其中输入ACL是对进入交换机端口的数据进行分类过滤以实现输入访问控制，输出ACL是对转发出交换机端口的数据进行分类过滤以实现输出访问控制。访问控制项(Access Control Entry，以下简称ACE)是构成ACL的元素，包含了数据的特征和处理行为，特征是通过数据报文的二层至四层协议信息进行分类，而处理行为包括允许(permit)和拒绝(deny)，一条ACL可由多条ACE构成，其中每条ACE表示一种数据过滤的规则。

目前，网络协议主要以IP协议为主，由于I P协议的开放性，导致网络经常存在各种攻击或非法数据流量，对于网络中的交换机，由于其带宽是固定的，所以非法数据流量过多会导致用户正常数据受到影响。针对上述问题，可根据用户需要，在交换机的端口上应用IP ACL过滤掉非法数据流量，使正常的用户数据得到更多服务，同时提高网络的安全性。

其中，输出ACL的典型应用是对服务器访问权限的控制。例如，某台FTP服务器只限公司内部财务部门访问，则在交换机连接FTP服务器的端口上设置ACL来实现只有财务部门可访问该FTP服务器，ACL为：

ACE1：允许财务部门网段访问FTP的服务器；

ACE2：拒绝任何网段访问FTP服务器。

这样，通过在交换机连接FTP服务器的端口上设置ACL，即在交换机连接FTP服务器的端口上应用输出ACL，实现了对服务器访问权限的控制。

通常如果交换机支持输出ACL，则只需在该交换机的输出端口设置ACL就能对数据进行分类过滤以实现输出访问控制，但目前大多交换机中的交换芯片都只支持在输入阶段对数据进行分类过滤，也就是说交换机只支持应用输入ACL对数据进行分类过滤，而不支持应用输出ACL对数据进行分类过滤，因此，在不支持输出ACL的交换机上无法对数据进行输出访问控制。

发明内容

本发明提供了一种输出访问控制方法与输出访问控制装置，以解决现有技术中在不支持输出ACL的交换机上无法进行输出访问控制的问题，从而在不支持输出ACL的交换机上实现输出访问控制。

为实现上述目的，本发明提供了一种输出访问控制方法，包括：

三层输入端口接收数据报文；

所述三层输入端口根据预先设置的访问控制列表，控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。

为实现上述目的，本发明还提供了一种输出访问控制装置，设置在交换机上的三层输入端口，所述输出访问控制装置包括：

接收模块，用于接收数据报文；

转发控制模块，用于根据预先设置的访问控制列表，控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。

由上述技术方案可知，本发明在不支持输出ACL的交换机上，通过在该交换机的三层输入端口设置ACL实现了对数据报文的输出访问控制。

附图说明

图1为本发明输出访问控制方法实施例一的流程图；

图2为本发明输出访问控制方法实施例二的流程图；

图3为本发明输出访问控制方法中交换机的结构示意图；

图4为本发明输出访问控制方法中设置了ACL的交换机的结构示意图；

图5为本发明输出访问控制装置实施例的结构示意图。

具体实施方式

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

图1为本发明输出访问控制方法实施例一的流程图，如图1所示，具体包括如下步骤：

步骤101、三层输入端口接收数据报文；

步骤102、三层输入端口根据预先设置的ACL，控制是否将数据报文转发到与数据报文的目的IP地址匹配的三层输出端口。

其中三层输入端口或三层输出端口只是相对于一次数据报文的转发过程而言的，在本发明的实施例中对哪个三层端口的输出方向进行访问控制，即对哪个三层端口进行输出访问控制，则将该三层端口作为三层输出端口，该三层输出端口之外的其它三层端口作为三层输入端口。

本实施例在不支持输出ACL的交换机上，通过在三层输入端口设置ACL，实现了对数据报文的输出访问控制。

图2为本发明输出访问控制方法实施例二的流程图，如图2所示，具体包括如下步骤：

步骤201、预先创建ACL。

交换机根据IP层信息进行报文转发称为路由，换言之，路由就是交换机从数据报文的目的IP地址中查询出该数据报文的转发出口，即该报文从哪个三层端口转发出去，其中目的IP地址信息和转发出口信息均保存在路由表中，例如，路由表可以如下表所示：

  目的IP地址  转发出口  192.168.0.0/24  端口1  1.0.1.0/24  端口2  3.1.1.2/32  端口3

该路由表的表项又分为直连网络路由和非直连网络路由二种。直连网络路由是配置三层端口的IP地址时产生的，所有目的IP地址在该三层端口的IP地址范围内的报文一定会从该三层端口转发出去。例如，如上表所示，端口1的IP地址为192.168.0.0/24，则配置端口1时会产生一条直连网络路由：192.168.0.0/24端口1；

非直连网络路由可以由路由协议产生，也可以由用户静态指定。非直连网络路由的转发出口的IP地址与数据报文的目的IP地址没有交集关系。例如，如上表所示，端口2的IP地址为1.0.1.0/24，则192.168.3.1/24端口2为非直连网络路由。

对于直连网络路由，由于数据报文的目的MAC地址为交换机三层端口的MAC地址，并且数据报文的目的IP地址为交换机三层端口子网下的一个地址，该数据报文肯定是从该三层接口中转发出去，换言之，在交换机的输入阶段就可获知该数据报文的转发出口，因此，直连网络路由中对数据报文的输出访问控制可以在输入阶段实现；对于非直连网络路由，由于其转发出口的IP地址与数据报文的目的IP地址没有交集，换言之，在交换机的输入阶段无法获知该数据报文的转发出口，因此，非直连网络路由中对数据报文的输出访问控制无法在输入阶段实现。本实施例为直连网络路由中对数据报文进行输出访问控制的方法。

图3为本发明输出访问控制方法中交换机的结构示意图，如图3所示，该交换机可包括多个三层端口，在本实施例中该交换机包括3个三层端口，分别为IF1、IF2和IF3，因本实施例中需要对IF3进行输出访问控制，所以IF3作为三层输出端口，IF1和IF2作为三层输入端口。在本实施例中设定IF1的IP地址为192.168.1.0/24，IF2的IP地址为192.168.2.0/24，IF3的IP地址为192.168.3.0/24。

基于图3中的交换机，预先创建的ACL具体为：

ACE1：permit SIP＝1.1.1.1 DIP＝192.168.3.1

ACE2：deny SIP＝2.2.2.2 DIP＝192.168.3.2

ACE3：deny SIP＝10.20.30.1 DIP＝192.168.1.100

ACE4：permit SIP＝1.2.3.1 DIP＝192.168.2.3

ACE5：deny SIP＝any DIP＝any

其中SIP为报文的源IP地址，DIP为报文的目的IP地址，any表示任意的IP地址。

如果将上述ACL设置到交换机的三层输出端口IF3，则对从三层输出端口IF3转发出的数据报文进行输出访问控制的结果具体为：

ACE1：SIP为1.1.1.1，DIP为192.168.3.1的数据报文允许从IF3输出；

ACE2：SIP为2.2.2.2，DIP为192.168.3.2的数据报文不允许从IF3输出；

ACE3：SIP为10.20.30.1，DIP为192.168.1.100的数据报文不允许从IF3输出；

ACE4：SIP为1.2.3.1，DIP为192.168.2.3的数据报文允许从IF3输出；

ACE5：SIP为any，DIP为any的数据报文不允许从IF3输出。

其中，ACE4中的数据报文虽然被允许从IF3输出，但由于其DIP不属于IF3的IP地址范围，因此SIP为1.2.3.1、DIP为192.168.2.3的数据报文不会转发到IF3。

步骤202、为预先创建的ACL中的各ACE增加目的MAC地址，目的MAC地址为交换机的MAC地址。在本实施例中将目的MAC地址设为MAC1，则增加目的MAC地址后的ACE为：

ACE1：permit DMAC＝MAC1 SIP＝1.1.1.1 DIP＝192.168.3.1

ACE2：deny DMAC＝MAC1 SIP＝2.2.2.2 DIP＝192.168.3.2

ACE3：deny DMAC＝MAC1 SIP＝10.20.30.1 DIP＝192.168.1.100

ACE4：permit DMAC＝MAC1 SIP＝1.2.3.1 DIP＝192.168.2.3

ACE5：deny DMAC＝MAC1 SIP＝any DIP＝any

步骤203、根据三层输出端口的IP地址范围，对增加了目的MAC地址的各ACE进行有效性处理，得到ACL。

其中有效性处理包括：删除目的地址在三层输出端口的IP地址范围外的ACE；由于ACE3和ACE4中的目的IP地址不属于IF3的IP地址范围，因此，删除了目的地址在IF3的IP地址范围外的ACE的ACL为：

ACE1：permit DMAC＝MAC1 SIP＝1.1.1.1 DIP＝192.168.3.1

ACE2：deny DMAC＝MAC1 SIP＝2.2.2.2 DIP＝192.168.3.2

ACE5：deny DMAC＝MAC1 SIP＝any DIP＝any

有效性处理还包括：将ACE的目的IP地址与三层输出端口的IP地址进行取交集处理，取交集处理后的ACL为：

ACE1：permit DMAC＝MAC1 SIP＝1.1.1.1 DIP＝192.168.3.1

ACE2：deny DMAC＝MAC1 SIP＝2.2.2.2DIP＝192.168.3.2

ACE5：deny DMAC＝MAC1 SIP＝any DIP＝192.168.3.0/24

步骤204、将ACL设置到交换机中三层输出端口以外的其它三层端口上，在本实施例中将经过有效性处理的ACL设置到三层输入端口IF1和IF2，如图4所示，图4为本发明输出访问控制方法中设置了ACL的交换机的结构示意图。

如果其它三层端口上原本设置有ACL，则在将本实施例中经过有效性处理的ACL设置到其它三层端口上时，需要将原有的ACL与本实施例中经过有效性处理的ACL进行合并处理。

步骤205、三层输入端口接收数据报文。在本实施例中由三层输入端口IF1接收数据报文。

步骤206、三层输入端口根据设置的ACL，控制是否将数据报文转发到与数据报文的目的IP地址匹配的三层输出端口。在本实施例中三层输入端口IF1根据步骤204中在交换机上设置的ACL，控制是否将步骤205中接收的数据报文转发到三层输出端口IF3，其控制结果具体如下：

DMAC＝MAC1 SIP＝1.1.1.1DIP＝192.168.3.1的数据报文，会被交换机转发到IF3，并从IF3输出；

DMAC＝MAC1 SIP＝2.2.2.2 DIP＝192.168.3.2的数据报文，在IF1输入时就被丢弃，不会转发到IF3；

DMAC＝MAC1 SIP＝10.20.30.1 DIP＝192.168.1.100的数据报文，不会转发到IF3；

DMAC＝MAC1 SIP＝1.2.3.1 DIP＝192.168.2.3的数据报文，会被转发到IF2，不会转发到IF3；

DMAC＝MAC1 SIP＝any DIP＝192.168.3.0/24的数据报文，在IF1输入时会被丢弃，不会转发到IF3。而DIP不属于IF3的IP地址范围的数据报文，按路由表进行正常转发。

由此可见，本实施例中在三层输入端口IF1设置ACL对输入的数据报文进行访问控制，与在三层输出端口IF3设置ACL对从IF3转发出的数据报文进行访问控制的结果是相同的。因此，在交换机的三层输出端口对从三层输出端口转发出的数据报文进行输出访问控制，即实现输出ACL，完全可以转化到数据报文的输入阶段完成。本实施例的技术方案中在不支持输出ACL的交换机上，通过在该交换机的三层输入端口设置ACL实现了对数据报文的输出访问控制。

在本实施例中数据报文还可以从IF2输入，其进行输出访问控制的结果与从IF1输入相同，此处不再赘述。

在本发明输出访问控制方法实施例二的基础上，在步骤202之前还可以包括：判断交换机中的三层端口需要进行输出访问控制还是输入访问控制，如果该三层端口需要进行输出访问控制，则执行步骤202；如果该三层端口需要进行输入访问控制，则在该三层端口上设置预先创建的ACL。

图5为本发明输出访问控制装置实施例的结构示意图，该输出访问控制装置可设置在交换机的三层输入端口上，如图5所示，该输出访问控制装置包括：

接收模块，用于接收数据报文；

转发控制模块，用于根据预先设置的访问控制列表，控制是否将所述数据报文转发到与所述数据报文的目的IP地址匹配的三层输出端口。

进一步，该输出访问控制装置还包括：

存储模块，用于存储所述预先设置的访问控制列表；

设置模块，用于在交换机上三层输出端口以外的其它三层端口上设置所述访问控制列表；

其中，设置模块包括：匹配单元，用于为预先创建的访问控制列表中的各访问控制项增加目的介质访问控制地址，所述目的介质访问控制地址为交换机的介质访问控制地址；处理单元，用于根据所述三层输出端口的IP地址范围，对增加了目的介质访问控制地址的各访问控制项进行有效性处理，包括：删除目的地址在所述三层输出端口的IP地址范围外的访问控制项；将访问控制项的目的IP地址与所述三层输出端口的IP地址进行取交集处理；设置单元，用于将所述访问控制列表设置到交换机中所述三层输出端口以外的其它三层端口上。

此外，该输出访问控制装置还可包括判断模块，用于判断交换机中的三层端口需要进行输出访问控制还是输入访问控制，如果该三层端口需要进行输出访问控制，则所述设置单元在该三层端口以外的其它三层端口上设置所述访问控制列表；如果该三层端口需要进行输入访问控制，则所述设置单元在该三层端口上设置所述预先创建的访问控制列表。

本实施例在不支持输出ACL的交换机上，通过在三层输入端口设置输出访问控制装置，实现了输出访问控制。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。