技術領域

本發明涉及一種輸出訪問控制方法與輸出訪問控制裝置，特別涉及一種在不支持輸出訪問控制列表的交換機上進行輸出訪問控制的輸出訪問控制方法與輸出訪問控制裝置。

背景技術

交換機作為一種能完成接收和轉發數據功能的網絡設備，其端口是與外界通信交流的接口，在其端口上可應用訪問控制列表(Access?Control?List，以下簡稱：ACL)對通過交換機的數據進行分類過濾以實現訪問控制。ACL是一組應用在交換機端口上的指令列表，該指令列表包括允許接收數據、允許轉發數據以及丟棄數據等。根據匹配條件的不同，ACL分為介質訪問控制(Media?Access?Control，以下簡稱：MAC)ACL和互聯網協議(InternetProtocol，以下簡稱：IP)ACL，MAC?ACL是根據數據中的二層協議信息對數據進行分類過濾，IP?ACL是根據數據中的三層協議以上的信息對數據進行分類過濾。根據ACL作用階段的不同，ACL又可分為輸入ACL和輸出ACL，其中輸入ACL是對進入交換機端口的數據進行分類過濾以實現輸入訪問控制，輸出ACL是對轉發出交換機端口的數據進行分類過濾以實現輸出訪問控制。訪問控制項(Access?Control?Entry，以下簡稱ACE)是構成ACL的元素，包含了數據的特征和處理行為，特征是通過數據報文的二層至四層協議信息進行分類，而處理行為包括允許(permit)和拒絕(deny)，一條ACL可由多條ACE構成，其中每條ACE表示一種數據過濾的規則。

目前，網絡協議主要以IP協議為主，由于I?P協議的開放性，導致網絡經常存在各種攻擊或非法數據流量，對于網絡中的交換機，由于其帶寬是固定的，所以非法數據流量過多會導致用戶正常數據受到影響。針對上述問題，可根據用戶需要，在交換機的端口上應用IP?ACL過濾掉非法數據流量，使正常的用戶數據得到更多服務，同時提高網絡的安全性。

其中，輸出ACL的典型應用是對服務器訪問權限的控制。例如，某臺FTP服務器只限公司內部財務部門訪問，則在交換機連接FTP服務器的端口上設置ACL來實現只有財務部門可訪問該FTP服務器，ACL為：

ACE1：允許財務部門網段訪問FTP的服務器；

ACE2：拒絕任何網段訪問FTP服務器。

這樣，通過在交換機連接FTP服務器的端口上設置ACL，即在交換機連接FTP服務器的端口上應用輸出ACL，實現了對服務器訪問權限的控制。

通常如果交換機支持輸出ACL，則只需在該交換機的輸出端口設置ACL就能對數據進行分類過濾以實現輸出訪問控制，但目前大多交換機中的交換芯片都只支持在輸入階段對數據進行分類過濾，也就是說交換機只支持應用輸入ACL對數據進行分類過濾，而不支持應用輸出ACL對數據進行分類過濾，因此，在不支持輸出ACL的交換機上無法對數據進行輸出訪問控制。

發明內容

本發明提供了一種輸出訪問控制方法與輸出訪問控制裝置，以解決現有技術中在不支持輸出ACL的交換機上無法進行輸出訪問控制的問題，從而在不支持輸出ACL的交換機上實現輸出訪問控制。

為實現上述目的，本發明提供了一種輸出訪問控制方法，包括：

三層輸入端口接收數據報文；

所述三層輸入端口根據預先設置的訪問控制列表，控制是否將所述數據報文轉發到與所述數據報文的目的IP地址匹配的三層輸出端口。

為實現上述目的，本發明還提供了一種輸出訪問控制裝置，設置在交換機上的三層輸入端口，所述輸出訪問控制裝置包括：

接收模塊，用于接收數據報文；

轉發控制模塊，用于根據預先設置的訪問控制列表，控制是否將所述數據報文轉發到與所述數據報文的目的IP地址匹配的三層輸出端口。

由上述技術方案可知，本發明在不支持輸出ACL的交換機上，通過在該交換機的三層輸入端口設置ACL實現了對數據報文的輸出訪問控制。

附圖說明

圖1為本發明輸出訪問控制方法實施例一的流程圖；

圖2為本發明輸出訪問控制方法實施例二的流程圖；

圖3為本發明輸出訪問控制方法中交換機的結構示意圖；

圖4為本發明輸出訪問控制方法中設置了ACL的交換機的結構示意圖；

圖5為本發明輸出訪問控制裝置實施例的結構示意圖。

具體實施方式

下面通過附圖和實施例，對本發明的技術方案做進一步的詳細描述。

圖1為本發明輸出訪問控制方法實施例一的流程圖，如圖1所示，具體包括如下步驟：