[发明专利]ACL规则的管理方法和设备

权利要求书

1.一种ACL规则的管理方法，其特征在于，包括以下步骤：

将预先配置的配置集合与需要实现的应用功能进行绑定；

用户终端接入时，获取所述用户终端的信息；

从所述预先配置的配置集合及其绑定的应用功能中获取与所述用户终端的信息匹配的ACL规则；

根据与所述用户终端的信息匹配的ACL规则，确定需要下发的ACL规则并向连接所述用户终端的端口发送。

2.如权利要求1所述ACL规则的管理方法，其特征在于，所述将预先配置的配置集合与需要实现的应用功能进行绑定的步骤具体为：

生成配置集合，每一配置集合包括一组ACL规则；

在设备的端口配置需要实现的应用功能；

将所述配置集合和所述需要实现的应用功能进行绑定。

3.如权利要求1所述ACL规则的管理方法，其特征在于，所述获取用户终端的信息的步骤具体为：

从DHCP Snooping表项中获取用户终端的地址信息，所述信息包括IP、MAC、端口Port和VLAN标识中的一种或多种。

4.如权利要求3所述ACL规则的管理方法，其特征在于，所述从预先配置的配置集合中获取与用户终端信息匹配的ACL规则的步骤具体为：

对于所述配置集合中的每一ACL规则，判断所述用户终端的地址信息是否位于所述ACL规则所指定的地址范围内；

位于所述地址范围内时，所述ACL规则与所述用户终端的信息匹配；否则为不匹配；

获取与所述用户终端信息匹配的ACL规则。

5.如权利要求3所述ACL规则的管理方法，其特征在于，所述应用功能为防IP攻击功能时，从预先配置的应用功能中获取的与用户终端信息匹配的ACL规则为：

允许来自与所述DHCP Snooping表项中用户终端地址信息一致的地址的报文通过。

6.如权利要求1所述ACL规则的管理方法，其特征在于，所述根据与所述用户终端信息匹配的ACL规则，确定需要下发的ACL规则并向连接所述用户终端的端口发送的步骤具体为：

存在一个与所述用户终端信息匹配的ACL规则时，将所述与用户终端信息匹配的一个ACL规则向连接所述用户终端的端口发送；

存在多个与所述用户终端信息匹配的ACL规则时，判断所述多个ACL规则是否冲突；所述多个ACL规则不冲突时，按照优先级由高到低的顺序将所述多个与用户终端信息匹配的ACL规则依次向与所述用户终端连接的端口发送；所述多个ACL规则存在冲突时，按照预定的规则将所述多个与用户终端信息匹配的ACL规则进行合并或选取处理后向与所述用户终端连接的端口发送。

7.如权利要求1或6所述ACL规则的管理方法，其特征在于，所述确定需要下发的ACL规则并向连接所述用户终端的端口发送时，将预先获取到的网关设备信息，填写到所述确定需要下发的ACL规则中的目的地址字段。

8.如权利要求7所述ACL规则的管理方法，其特征在于，所述网关设备信息的获取方法为：

解析DHCP Server回应给用户终端的DHCP ACK报文中option3字段，获取所述网关设备地址信息；或

通过MAC强制转发功能，获取所述网关设备地址信息。

9.一种ACL规则的管理设备，其特征在于，包括：

用户信息获取模块，用于获取用户终端信息并提供给ACL规则匹配模块；

配置集合模块，用于生成配置集合，每个配置集合包括一组ACL规则并与应用功能配置模块中的应用功能绑定，并向所述ACL规则匹配模块提供所述配置集合用于ACL规则的匹配；

应用功能配置模块，用于配置特定的应用功能并与配置集合模块中的配置集合绑定，以供所述ACL规则匹配模块根据所述应用功能获取与用户终端信息匹配的ACL规则；

ACL规则匹配模块，用于根据所述用户信息获取模块获取到的用户信息，从预先生成的配置集合及其绑定的应用功能中获取与所述用户终端信息匹配的ACL规则；

ACL规则处理模块，用于根据所述ACL规则匹配模块获得的与用户终端信息相匹配的ACL规则，确定需要下发的ACL规则；

ACL规则下发模块，用于将所述ACL规则处理模块确定需要下发的ACL规则向与用户终端连接的端口发送。

10.如权利要求9所述ACL规则的管理设备，其特征在于，还包括：网关信息获取模块，用于获取网关设备信息，并在所述ACL规则处理模块处理后的ACL规则中的目的地址字段添加网关设备信息。