技術領域

本發明涉及網絡數據通訊，特別涉及基于ASIC芯片實現的全局 ACL(訪問控制列表)限制交換機遠程訪問的方法及裝置。

背景技術

隨著數據通訊網絡的發展，以太網交換機的應用越來越廣泛，但 是由于以太網交換機設備非常多(尤其是接入層低端設備)，如何方 便，安全的對設備進行遠程管理成為一個難題。常用的遠程訪問技術， 包括telnet，snmp，web等技術，對遠程訪問的安全控制僅僅局限于 用戶名，密碼機制，而傳統的限制遠程訪問的技術，通常是基于可信 IPv4地址列表過濾的，有一定的局限性。如果源地址是偽造的，同 樣可以獲得對交換機的訪問權。并且用軟件方式實現的ACL，通常需 要在內存里面維護一個合法的IPv4地址的鏈表，當數據包交給CPU 處理的時候，解析出數據包源IP地址，與掩碼做位運算，判斷該地 址是否在合法的地址范圍內，不在合法范圍內則對數據包做丟棄處 理。對CPU的運算資源造成一定的浪費。很多以太網交換機使用了 ASIC芯片實現的高速數據轉發，大多數的交換芯片都具有VLAN劃分、 訪問控制列表(ACL)等功能，但是ACL通常限制的是網絡中由ASIC 芯片轉發的數據流，一般不會對訪問CPU的協議流進行限制。

發明內容

本發明的目的是提供一種全局ACL限制交換機或其他網絡設備 遠程訪問的方法，用于利用在交換機或其他網絡設備上使用的訪問控 制列表阻止非法訪問CPU的流量，以保護交換機或其他網絡設備。

本發明的另一目的是提供一種全局ACL限制交換機或其他網絡 設備遠程訪問的裝置，用于利用在交換機或其他網絡設備上使用的訪 問控制列表阻止非法訪問CPU的流量，以保護交換機或其他網絡設 備。

根據本發明第一方面，全局ACL(訪問控制列表)限制交換機遠 程訪問的方法包括以下步驟：

利用交換機的第一ACL對交換機預定端口收到的數據包報文進 行匹配處理；

把數據包報文內容與第一ACL中配置的字段完全相同的匹配數 據包報文交由交換機CPU進行處理；或者

把數據包報文內容與第一ACL中配置的字段不相同的失配數據 包報文交由在交換機所有端口生效的全局ACL進行處理。

其中所述全局ACL進行的處理包括：如果所述失配數據包報文的 目的IP地址、目的MAC地址和目的端口號與全局ACL中配置的相應 字段相同，則作丟棄處理；如果所述失配數據包報文的目的IP地址 或目的端口號與全局ACL中配置的相應字段不相同，并且是協議報 文，則將所述失配數據包報文交由交換機CPU進行處理。

其中對于多次輸入用戶密碼的數據包報文，利用第二ACL進行匹 配處理，丟棄數據包報文內容與第二ACL中配置的字段完全匹配的數 據包報文。

其中所述第一ACL中配置的字段包括：源IP地址，目的IP地址， 源MAC地址、目的MAC地址、VLAN?id(虛擬局域網標識)和目的端 口號，其中源IP地址和源MAC地址是遠程同步過來的，目的IP地址、 目的MAC地址、VLAN?id和目的端口號是交換機的固有配置。

其中交換機定時向網絡內預先指定的網關同步遠程訪問報文的 源IP地址和源MAC地址，然后通過將同步過來的源IP地址、源MAC 地址與交換機的Hash存儲表中的VLANid、目的IP地址、目的MAC 地址、端口號進行組合得到同步配置，并算出同步配置索引。

其中交換機將根據對應的第一ACL中配置的目的源IP地址、目 的IP地址、源MAC地址、目的MAC地址、VLAN?id和目的端口號算 出的第一ACL索引與所述同步配置索引進行比較，并依據比較結果進 行以下操作：

如果同步配置索引與第一ACL索引相同，則保持對應的第一ACL；

如果同步配置索引與第一ACL索引不同，則改變對應的第一ACL。

其中當同步配置索引與對應的第一ACL索引不同時，交換機執行 以下操作：

如果同步過來源IP地址和源MAC地址是一個新數據包報文的源 地址，則通過在交換機Hash存儲表上拷貝所述同步配置，添加關于 所述新數據包報文的第一ACL，并將其綁定到端口上；

如果同步過來源IP地址和源MAC地址為空，則從端口上解除對 應的ACL綁定，然后從交換機的ASIC芯片上刪除該對應的ACL。