[发明专利]基于端口变动的安全规则更新方法及装置

说明书

本发明公开了一种基于端口变动的安全规则更新方法及装置，该方法包括：监控是否接收到端口加入指令、端口退出指令或者待转发报文；若接收到端口加入指令或者端口退出指令，则根据所述端口加入指令或者所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系，所述硬件映射关系中的用户标识与硬件标识一一对应；若接收到待转发报文，则根据所述硬件映射关系确定所述待转发报文的入口的第一硬件标识，基于访问控制列表中所述第一硬件标识对应的第一表项处理所述待转发报文。该方案中，安全规则生效时间大大缩短，进而大大提升报文的处理效率。

技术领域

本发明涉及通信技术领域，尤指一种基于端口变动的安全规则更新方法及装置。

背景技术

访问控制列表(Access Control Lists，ACL)通过定义一些安全规则对网络设备的端口接收到的报文进行控制，控制的结果为转发或丢弃。聚合口(Aggregate Port，AP)是将多个物理链接捆绑在一起形成一个逻辑链接，可以用于扩展链路带宽，提供更高的连接可靠性。

目前的交换芯片可以在端口上应用安全规则，对端口的输入、输出报文进行访问控制，即在ACL中配置各个端口的安全规则。具体包括：若端口不属于任何一个聚合口，则在ACL中添加该端口的安全规则对应的表项；若端口加入某个聚合口，则在ACL中删除该端口的安全规则对应的表项，在端口与聚合口的对应关系中添加该聚合口与该端口对应；若端口从聚合口中退出时，则在端口与聚合口的对应关系中删除该端口，并在ACL中添加该端口的安全规则对应的表项。

上述基于端口变动的安全规则更新方法中，每次端口加入或者退出聚合口，都需要对ACL中该端口的安全规则对应的表项进行删除或者添加的操作，若需要操作的表项较多，则安全规则生效时间较长，进而大大影响报文的处理效率。

发明内容

本发明实施例提供一种基于端口变动的安全规则更新方法及装置，用以解决现有技术中存在的安全规则生效时间较长，进而大大影响报文的处理效率的问题。

根据本发明实施例，提供一种基于端口变动的安全规则更新方法，，应用于网络设备中，所述网络设备包括的至少一个端口和至少一个聚合口分别设置一个用户标识和一个硬件标识，所述方法包括：

监控是否接收到端口加入指令、端口退出指令或者待转发报文；

若接收到端口加入指令或者端口退出指令，则根据所述端口加入指令或者所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系，其中，所述硬件映射关系中的用户标识与硬件标识一一对应；

若接收到待转发报文，则根据所述硬件映射关系确定所述待转发报文的入口的第一硬件标识，基于访问控制列表中所述第一硬件标识对应的第一表项处理所述待转发报文，其中，所述访问控制列表中的各个安全规则分别与一个硬件标识对应。

具体的，若接收到端口加入指令，则根据所述端口加入指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系，具体包括：

若接收到携带第一端口的第一用户标识和第一聚合口的第二用户标识的端口加入指令，则将所述第一聚合口的第二硬件标识添加到所述软件映射关系中所述第一用户标识对应的第二表项中；

将所述第二硬件标识替换所述硬件映射关系中所述第一用户标识对应的第三表项包括的第三硬件标识。

具体的，若接收到端口退出指令，则根据所述端口退出指令更新预先建立的用户标识与硬件标识的软件映射关系以及用户标识与硬件标识的硬件映射关系，具体包括：

若接收到携带第二端口的第三用户标识和第二聚合口的第四用户标识的端口退出指令，则从所述软件映射关系中所述第三用户标识对应的第四表项中删除所述第二聚合口的第四硬件标识；