本發明提供一種ACL配置方法及系統，通過創建對應ACL模板的預設時間段，進而綁定所述預設時間段及所述ACL模板，并綁定所述ACL模板至路由交換設備的端口，以限定所述ACL模板在所綁定的預設時間段內、在所綁定端口生效，同時，ACL模板內的規則也是可以調整先后位置的，實現靈活配置ACL及ACL規則的目的，加強了ACL的管理效率，在實際的應用中對運營商的管理和計費能夠更好的支持。

技術領域

本發明涉及網絡技術領域，特別是涉及一種ACL配置方法及系統。

背景技術

接入網設備中為了根據用戶需求，對特定的數據流進行過濾，用戶通過配置一些規則信息，從而與網絡中進入設備的數據流進行比較，數據流命中后，根據設定的策略，對命中的數據流進行丟棄和轉發動作，從而實現對數據流的過濾。在ACL（訪問控制列表）中來實現對數據流的過濾功能。通過比較設備中的對應端口所配置的ACL規則和實際網絡中進入該端口的數據流，對該數據流進行轉發和丟棄動作。

目前現有的ACL中，其實現主要分為了兩個部分：數據流的匹配規則及動作配置；將規則綁定到端口上，實現特定端口對特定數據流的過濾功能。

在現有的ACL中，根據數據幀的結構，將ACL主要分為了三層：

（1）基本ACL：根據數據包的源IP制定ACL規則。

（2）高級ACL：根據數據包的源地址信息、目的地址信息、IP承載的協議類型、針對協議的特性制定流規則。

（3）鏈路ACL：根據源MAC地址、源VLAN標識（即Tag或者ID）、二層協議類型、目的MAC地址等鏈路層信息制定ACL規則。

在實現過程中，由于ACL主要分為了三層，需要對ACL模板進行區分，在創建ACL模板時，創建時所設置的模板ID來進行區分，例如，1-100為基本ACL，101-200為高級ACL，201-300為鏈路ACL。在一個模板中，可以配置多條規則，可以支持特定端口的多條數據流的限制。一個模板中如果創建的規則ID在模板中已存在則將新創建的規則覆蓋原有的規則，如果規則不存在，則創建。由于ACL主要的功能是對數據流進行過濾作用，因此，在ACL中對數據流的處理動作只有兩個：permit（轉發）和deny（丟棄）。當網絡中的數據流進行入了設置中，如果網絡數據流中的數據幀結構中相應的字段與端口配置的規則相同，則根據規則中所配置的動作，對數據流進行轉發或者丟棄。

當ACL的模板創建完成后，就要將模板綁定到端口上，一個端口可以綁定多個模板，在同一模板內和不同的模板之間規則可能存在沖突，在同一ACL種，如果規則同時激活，默認先配置的規則較后配置的規則具有更高的執行優先級。如果是逐條單獨激活，則后激活的規則較先激活的規則具有更高的執行優先級。不同的ACL模板中，后激活的規則較前激活規則具有更高的優先級。

但是，目前現有的ACL中主要存在缺點有以下幾點：

1、規則的創建缺少靈活度，現有的三種ACL類型只能滿足對應的數據幀的網絡層，不能夠靈活的變動。只能針對數據幀結構中連續的字段進行數據流的匹配。

2、端口上的數據流過濾不能根據時間來靈活的控制何時規則生效。用戶應不能根據自我需求，在特定的時間中對特定的數據流進行限制。

3、規則創建后不能夠進行移動來修改規則的優先級。同一模板中規則的優先級是按照規則的ID號確定優先級，ID確定后不能對規則的優先級進行修改。

發明內容

鑒于以上所述現有技術的缺點，本發明的目標在于提供一種ACL配置方法及系統，用于解決上述現有技術中ACL模板及ACL規則配置單一、不靈活的問題。