本發(fā)明公開了一種基于端口變動的安全規(guī)則更新方法及裝置，該方法包括：監(jiān)控是否接收到端口加入指令、端口退出指令或者待轉發(fā)報文；若接收到端口加入指令或者端口退出指令，則根據(jù)所述端口加入指令或者所述端口退出指令更新預先建立的用戶標識與硬件標識的軟件映射關系以及用戶標識與硬件標識的硬件映射關系，所述硬件映射關系中的用戶標識與硬件標識一一對應；若接收到待轉發(fā)報文，則根據(jù)所述硬件映射關系確定所述待轉發(fā)報文的入口的第一硬件標識，基于訪問控制列表中所述第一硬件標識對應的第一表項處理所述待轉發(fā)報文。該方案中，安全規(guī)則生效時間大大縮短，進而大大提升報文的處理效率。

技術領域

本發(fā)明涉及通信技術領域，尤指一種基于端口變動的安全規(guī)則更新方法及裝置。

背景技術

訪問控制列表(Access Control Lists，ACL)通過定義一些安全規(guī)則對網(wǎng)絡設備的端口接收到的報文進行控制，控制的結果為轉發(fā)或丟棄。聚合口(Aggregate Port，AP)是將多個物理鏈接捆綁在一起形成一個邏輯鏈接，可以用于擴展鏈路帶寬，提供更高的連接可靠性。

目前的交換芯片可以在端口上應用安全規(guī)則，對端口的輸入、輸出報文進行訪問控制，即在ACL中配置各個端口的安全規(guī)則。具體包括：若端口不屬于任何一個聚合口，則在ACL中添加該端口的安全規(guī)則對應的表項；若端口加入某個聚合口，則在ACL中刪除該端口的安全規(guī)則對應的表項，在端口與聚合口的對應關系中添加該聚合口與該端口對應；若端口從聚合口中退出時，則在端口與聚合口的對應關系中刪除該端口，并在ACL中添加該端口的安全規(guī)則對應的表項。

上述基于端口變動的安全規(guī)則更新方法中，每次端口加入或者退出聚合口，都需要對ACL中該端口的安全規(guī)則對應的表項進行刪除或者添加的操作，若需要操作的表項較多，則安全規(guī)則生效時間較長，進而大大影響報文的處理效率。

發(fā)明內容

本發(fā)明實施例提供一種基于端口變動的安全規(guī)則更新方法及裝置，用以解決現(xiàn)有技術中存在的安全規(guī)則生效時間較長，進而大大影響報文的處理效率的問題。

根據(jù)本發(fā)明實施例，提供一種基于端口變動的安全規(guī)則更新方法，，應用于網(wǎng)絡設備中，所述網(wǎng)絡設備包括的至少一個端口和至少一個聚合口分別設置一個用戶標識和一個硬件標識，所述方法包括：

監(jiān)控是否接收到端口加入指令、端口退出指令或者待轉發(fā)報文；

若接收到端口加入指令或者端口退出指令，則根據(jù)所述端口加入指令或者所述端口退出指令更新預先建立的用戶標識與硬件標識的軟件映射關系以及用戶標識與硬件標識的硬件映射關系，其中，所述硬件映射關系中的用戶標識與硬件標識一一對應；

若接收到待轉發(fā)報文，則根據(jù)所述硬件映射關系確定所述待轉發(fā)報文的入口的第一硬件標識，基于訪問控制列表中所述第一硬件標識對應的第一表項處理所述待轉發(fā)報文，其中，所述訪問控制列表中的各個安全規(guī)則分別與一個硬件標識對應。

具體的，若接收到端口加入指令，則根據(jù)所述端口加入指令更新預先建立的用戶標識與硬件標識的軟件映射關系以及用戶標識與硬件標識的硬件映射關系，具體包括：

若接收到攜帶第一端口的第一用戶標識和第一聚合口的第二用戶標識的端口加入指令，則將所述第一聚合口的第二硬件標識添加到所述軟件映射關系中所述第一用戶標識對應的第二表項中；

將所述第二硬件標識替換所述硬件映射關系中所述第一用戶標識對應的第三表項包括的第三硬件標識。

具體的，若接收到端口退出指令，則根據(jù)所述端口退出指令更新預先建立的用戶標識與硬件標識的軟件映射關系以及用戶標識與硬件標識的硬件映射關系，具體包括：

若接收到攜帶第二端口的第三用戶標識和第二聚合口的第四用戶標識的端口退出指令，則從所述軟件映射關系中所述第三用戶標識對應的第四表項中刪除所述第二聚合口的第四硬件標識；