[发明专利]用于将现有访问控制列表策略迁移到基于意图的策略且反之亦然的系统和方法

说明书

本技术涉及用于实现离线方案的系统和方法，该离线方案用于将所提供配置中的一组常规的、基于IP的访问控制条目自动且有效地转换为压缩形式，该压缩形式然后可以被表示为基于对象组的访问控制条目。压缩是在所提供的访问控制列表的如下连续块上执行的：这些连续块具有共同的、被规定的过滤访问。压缩是通过迭代地选择跨ACE具有不匹配数据值的数据字段并将数据值合并到输出ACE的相应数据字段中来执行的。然后将其他数据字段的共同值导入到输出ACE的相应数据字段中。通过针对每个迭代回合分配不同的数据字段作为所选数据字段，来以迭代方式重复该过程。

相关申请的交叉引用

本申请要求于2019年3月28日提交的题为“SYSTEM AND METHOD FOR MIGRATINGEXISTING ACCESS CONTROL LIST POLICIES TO INTENT BASED POLICIES AND VICEVERSA”(用于将现有访问控制列表策略迁移到基于意图的策略且反之亦然的系统和方法)的美国非临时专利申请号16/368,695的权益和优先权，并要求于2018年11月20日提交的题为“SYSTEM AND METHOD FOR MIGRATING EXISTING ACCESS CONTROL LIST POLICIES TO/FROM INTENT BASED POLICIES”(用于向/从基于意图的策略迁移现有访问控制列表策略的系统和方法)的美国临时专利申请号62/770,101的权益，它们的全部内容通过引用合并于此。

技术领域

本技术涉及用于管理网络安全策略的系统和方法。更具体地，本技术涉及针对基于意图的策略的网络安全实现方式。

背景技术

访问控制策略传统上是使用基于IP的访问控制列表(Access Control List，ACL)来实现的。基于IP的ACL是应用于IP数据包(packet)的允许和拒绝条件的循序集合。路由器针对ACL中的条件一次一个对数据包进行测试。首先匹配(first match)确定是转发数据包还是丢弃数据包。然而，在基于意图的网络管理中心(例如，Cisco的数字网络架构中心(Digital Network Architecture Center，DNA-C))中，客户端可能经由基于意图的机制来配置安全策略。在这种情况下，正被迁移到基于意图的管理中心(即，DNA-C)的先前配设的网络设备可能携带常规安全策略配置(例如，表示为常规的、基于IP的ACL)。需要一个工具或一组工具来将现有安全策略迁移到基于意图的策略。

附图说明

为了描述可以获得本公开的以上提及的以及其他优点和特征的方式，将呈现对以上简要描述的原理的更具体描述，这通过参考在附图中示出的其特定实施例来进行。在理解这些附图仅描绘了本公开的示例性实施例因此不应被认为是对其范围的限制的情况下，通过使用附图以附加的特征和细节来描述和解释本文的原理，其中：

图1示出了根据本技术的一些实施例的将访问控制条目分组到候选压缩组中。

图2示出了根据本技术的一些实施例的一组规范(canonical)访问控制条目。

图3示出了根据本技术的一些实施例的在第一回合压缩之后的一组规范访问控制条目。

图4示出了根据本技术的一些实施例的在第二回合压缩之后的一组规范访问控制条目。

图5示出了根据本技术的一些实施例的基于精确匹配等效标准的一组完全压缩的规范访问控制条目。

图6示出了根据本技术的一些实施例的用于将基于IP的访问控制列表条目转换为基于对象组的访问控制条目的示例操作流。

图7示出了根据本发明的一些实施例的企业网络的物理拓扑的示例。

图8示出了根据本发明的一些实施例的用于企业网络的逻辑架构的示例。