[发明专利]ACL规则的管理方法和设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种ACL(Access Control List，访问控制列表)规则的管理方法和设备。

背景技术

随着网络规模的扩大和网络复杂度的提高，网络配置也越来越复杂，经常出现计算机位置变化(如便携机或无线网络)和计算机数量超过可分配的IP地址的情况。DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)就是为满足这些需求而发展起来的。

DHCP协议提供了一种动态获取IP地址的方法，如图1所示，具体为：DHCP客户机以广播方式发送DHCP-DISCOVER发现信息来寻找DHCP服务器；网络中接收到DHCP-DISCOVER发现信息的DHCP服务器都会做出响应，向DHCP客户机发送一个包含尚未出租的IP地址的DHCP-OFFER提供信息；DHCP客户机接收第一个收到的DHCP-OFFER提供信息，然后以广播方式回答一个DHCP-REQUEST请求信息，通知所有的DHCP服务器，将选择某台DHCP服务器所提供的IP地址；当该DHCP服务器收到DHCP-REQUEST请求信息之后，向DHCP客户机发送一个包含其所提供的IP地址的DHCP-ACK确认信息。DHCP客户机如果没有发现地址冲突，则接受此IP地址，然后将获取到的IP地址与网卡绑定。

随着Internet越来越多地融入到社会的各个方面，在保障网络安全的前提下需要提供更多的服务内容，既可以充分利用各类网络资源又可以保护用户终端的经济利益。因此在接入设备上出现了DHCP Snooping功能，该功能可以在接入设备上实现二层监听，记录通过该设备获取到IP地址的用户终端相关信息，并基于此提供各种防攻击功能。

如图2所示，在实际网络应用中，用户终端直接连接到接入层设备上，接入设备连接到汇聚层设备(即网关)，通过汇聚层设备实现跨网段的转发和对远端各类服务器的访问。在接入设备上启用DHCP Snooping功能、防攻击功能和其他基于ACL的服务控制功能。

DHCP客户端通过DHCP Snooping设备连接到网关向DHCP服务器申请IP地址，DHCP Snooping根据通过接入设备的DHCP报文在设备上建立起DHCP Snooping表项，包括用户终端的IP、MAC、申请端口号、和所属VLAN等信息。同时在接入设备的上行端口(即连接汇聚层交换机的端口)上启用DHCP Snooping trust功能，防止DHCP伪服务器攻击。

基于DHCP Snooping的防攻击功能为网络用户终端提供了全方位的网络安全保障，现有技术中基于DHCP Snooping的防攻击功能主要能为用户终端提供以下功能：DHCP Snooping trust功能、ARP Detection功能、ARP限速、DHCP限速、IP Check功能、和Opiont82功能。

如图3所示，可以在设备上全局配置DHCP Snooping功能，分别在端口e1/0/1和端口e1/0/2上配置IP Check、ARP/DHCP限速等功能，在两个端口所属VLAN内配置ARP Detection功能，在上行端口上启动DHCP Snooping trust和ARP Detection trust功能，实现对IP和ARP报文的过滤和限速功能。

用户终端在实现防攻击功能的同时还需要其他多种服务控制功能，通常是基于ACL实现多种服务控制功能，主要包括：不同网段限速，包过滤以及报文优先级重标记等功能。

通过如上分析可知在接入交换机上，通常需要以上提到的多种功能配合使用，而ACL规则的下发和匹配存在优先级的问题，例如都是基于ACL规则来实现的防攻击功能和限速功能，在配合使用的时候，就会存在种种限制，使其原有功能有所降低。下面进行举例说明：

A)在端口上实现对特定网段限速时，需要在该端口上下发两条ACL规则，一条是对非特定网段限速，一条是对特定网段限速(例如：对1.0网段限速2M，对2.0网段限速4M)。