技術領域

本發明涉及路由器、交換機等網絡設備，具體地，涉及網絡設備訪問控制列表的方法。?

一種在現行只支持在物理端口的ACL(訪問控制列表)設備上實現基于Trunk(聚合端口)的ACL的方法。涉及到各種實現基于端口的ACL設備，包括各種路由器、交換機等設備。?

背景技術

ACL(訪問控制列表)近年來被廣泛用于網絡設備中，實現流分類、控制、統計等，是網絡設備中的許多功能的基礎。但是目前大多數網絡設備使用的芯片只能支持在物理端口的ACL，即ACL規則只能綁定到物理端口。Trunk端口，被稱為聚合端口或者干道端口，是把多個物理端口聚合起來，當作一個邏輯端口來使用，此邏輯端口具有物理端口的部分屬性，可以實現流量的負載均衡，鏈路冗余等功能。隨著應用的不斷深入，在Trunk端口的ACL的需求被提出，即如何在只能支持在物理端口的ACL的網絡設備中實現在Trunk端口的ACL。?

發明內容

本發明要解決的技術問題是，提出一種技術方案，在現有支持在物理端口的ACL的設備中實現在Trunk的ACL。?

本發明中的一種實現在聚合端口的訪問控制列表的裝置，包括配置模塊、下發綁定模塊、更改通知模塊；其中：?

配置模塊用于接受用戶配置，分析目前聚合端口所包含的物理端口，調用所述下發綁定模塊將在聚合端口的訪問控制列表下發到聚合端口所包含的所有物理端口，并在訪問控制列表規則中添加聚合端口號用作識別的字段值；?

下發綁定模塊負責將在聚合端口的訪問控制列表規則綁定到物理端口，在訪問控制列表規則刪除或者更改時，負責解綁定或者重新綁定訪問控制列表規則到物理端口；?

更改通知模塊，用于在聚合端口的配置改變時獲取聚合端口的更改信息，對比已經配置的在聚合端口的訪問控制列表信息，調用所述下發綁定模塊，增加或?者減少物理端口的訪問控制列表綁定；在聚合端口刪除或者在聚合端口的訪問控制列表規則解綁定時，更改通知模塊會及時刪除此聚合端口下的所有物理端口的綁定。?

本發明中應用上述裝置實現在聚合端口的訪問控制列表的方法，包括以下步驟：?

第一步，配置模塊配置聚合端口所包含的物理端口；?

第二步，配置模塊配置訪問控制列表規則；?

第三步，下發綁定模塊將第二步配置的規則應用到聚合端口；配置模塊將分析聚合端口所包含的物理端口，獲取端口列表；?

第四步，下發綁定模塊將應用到聚合端口的訪問控制列表規則分別綁定到物理端口；?

第五步，如果聚合端口所包含的物理端口有變化，或者聚合端口被刪除，更改通知模塊對比聚合端口的前后變化，重新下發端口的綁定或者解綁定。?

本發明能使目前只能在端口訪問控制列表的設備適應網絡發展需要，平滑升級到在聚合端口該問控制列表。?

具體實施方式

本發明的裝置已有發明內容部分詳細介紹，這里不再重復。?

下面通過一個具體的實施例對本發明的方法進行說明。?

假定想在Trunk?10(包含端口1-8)上應用一條ACL規則acl1。?

第一步，配置Trunk?10所包含的端口1-8。?

第二步，配置要應用的ACL規則，比如：丟棄某一源IP的報文，允許某一應用層的報文等。?

第三步，將ACL規則應用到Trunk?10，此時，基于Trunk的ACL配置模塊將分析Trunk?10所包含的端口，獲取端口列表：端口1-8。?

第四步，ACL下發綁定模塊將應用到Trunk?10的ACL規則分別綁定到端口1-8。?

第五步，如果Trunk?10所包含的端口有變化，或者Trunk?10被刪除，Trunk更改通知模塊對比Trunk?10的前后變化，即所包含端口的變化(如果是Trunk?10被刪除，則刪除所有端口的ACL綁定)重新下發端口的綁定或者解綁定。?