访问控制列表及染色列表一致性校验方法、装置及设备与流程

流程图；
35.图4示出了本说明书一些实施例中定制化校验场景的示意图；
36.图5示出了本说明书另一实施例中数据中心的网络拓扑示意图；
37.图6示出了本说明书一些实施例中访问控制列表及染色列表一致性校验装置的 结构框图；
38.图7示出了本说明书一些实施例中计算机设备的结构框图。
39.【附图标记说明】
40.10、国内数据中心；
41.20、国外数据中心；
42.11、路由器；
43.12、防火墙；
44.13、核心交换机；
45.14、服务器；
46.15、存储阵列；
47.16、接入层交换机；
48.17、用户终端。
49.51a、第一主设备；
50.51b、第一从设备；
51.52a、第二主设备；
52.52b、第二从设备；
53.61、采集模块；
54.62、选择模块；
55.63、确定模块；
56.64、获取模块；
57.65、校验模块；
58.702、计算机设备；
59.704、处理器；
60.706、存储器；
61.708、驱动机构；
62.710、输入/输出接口；
63.712、输入设备；
64.714、输出设备；
65.716、呈现设备；
66.718、图形用户接口；
67.720、网络接口；
68.722、通信链路；
69.724、通信总线。
具体实施方式
70.为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明 书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然， 所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书 中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实 施例，都应当属于本说明书保护的范围。
71.本说明书中的访问控制列表(access control lists，acl)是一种包含数据包过 滤规则的配置信息表，是一种基于包过滤的访问控制技术，它可以根据设定的条件对 接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器 和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大 程度地保障网络安全。
72.本说明书中的染色可以是指流量染色。其中，流量染色是指根据流量协议设置对 应数据包的流量染色规则，对指定数据包的流量进行染色标记，并在整个调用链中携 带该标记。通过流量染色可以对特定的流量进行跟踪、路由和控制，从而实现流量控 制等管理。因此，本说明书中流量染色列表是指包含数据包流量染色规则的配置信息 表。
73.为了降低访问控制列表及染色列表的一致性自动校验成本，本说明书提供了一种 数据中心的访问控制列表及染色列表一致性校验方法，其可以应用于任何合适的计算 机设备中。参考图3所示，在一些实施例中，所述访问控制列表及染色列表一致性校 验方法可以包括以下步骤：
74.s301、采集网络拓扑中各it设备的配置状态指标，以形成指标数据库。
75.s302、从所述网络拓扑中选择目标设备对。
76.s303、确定所述目标设备对的校验场景。
77.s304、当所述校验场景包括访问控制配置校验场景和染色配置校验场景时，从所 述指标数据库获取所述目标设备对的访问控制列表和染色列表。
78.s305、分别对所述目标设备对的访问控制列表和染色列表进行一致性校验。
79.本说明书实施例中，可以先采集网络拓扑中各it设备的配置状态指标，以形成 指标数据库；当需要目标设备对进行校验时，可以根据目标设备对的校验场景，从指 标数据库获取目标设备对的访问控制列表和染色列表，并对其进行校验。同理，当需 要进行下一目标设备对时，可以根据下一目标设备对的校验场景，从指标数据库获取 目标设备对的访问控制列表和染色列表，并对其进行校验。如此，整个网络拓扑的校 验过程可以复用指标数据库中的配置状态指标，而无需反复从网络拓扑的it设备采 集，从而避免了重复采集造成的资源浪费，降低了访问控制列表及染色列表的一致性 自动校验成本，且校验效率更高。
80.上述步骤s301中的网络拓扑可以为数据中心的网络拓扑。其中，数据中心是全 球协作的特定设备网络，用来在互网络基础设施上传递、加速、展示、计算、存储数 据信息。如图1所示，在一些实施例中，数据中心可以包括国内数据中心10和国外 数据中心20。国内数据中心10可以包括一个或多个子数据中心，且每个子数据中心 还可以进一步划分。例如，在一些实施例中，每个子数据中心可以为一个区域数据中 心，每个区域数据中心可以划分一个或多个分行数据中心等。国外数据中心20可以 为一个或多个(例如图1中所示的a国数
据中心、b国数据中心和c国数据中心)。 国内数据中心10和国外数据中心20之间可以进行通信，各个国外数据中心20之间 可以进行通信，国内数据中心10内各子数据中心之间也可以进行通信。
81.显然，即使如图1所示的数据中心而言，其任何一个数据中心均可以包括多个it 设备，这些it设备关联形成该数据中心的网络拓扑结构。因此，整个数据中心的网 络拓扑结构一般较为复杂。为便于理解和描述，在一些实施例中，可以将数据中心简 化为仅有包含有国内数据中心，且该国内数据中心没有进一步分级。例如，如图2 所示的实施例中，数据中心可以包括路由器11、防火墙12、核心交换机13、服务器 14、存储阵列15、接入层交换机16和用户终端17等it设备，这些it设备之间可 进行通信。例如，用户终端17可以经由接入层交换机16和核心交换机13访问服务 器14。再如，基于来自数据中心外部的查询请求，服务器14可以从存储阵列15读 取有关数据生成查询响应，并经由核心交换机13、防火墙12和路由器11返回查询 响应。
82.本领域技术人员可以理解，上述的数据中心仅为示例性说明，在本说明书其他实 施例中，数据中心也可以为其他任何合适的结构，本说明书对此不作限定。
83.本说明书实施例中，采集网络拓扑中各it设备的配置状态指标，以形成指标数 据库。该指标数据库可以为后续按需定制校验场景提供数据基础，并且，由于采集了 网络拓扑中各it设备的配置状态指标，如此对于网络拓扑中的任何一个it设备，无 论其需要参多少次校验，均可以从指标数据库获取到该it设备的配置状态指标，从 而实现了数据复用，而无需每次校验时再从it设备采集，因而避免了配置状态指标 数据的重复采集。
84.it设备的配置状态指标是指：it设备配置的与访问控制和服务质量控制(例如 流量控制)的配置信息。其中，访问控制配置信息可以包括数据包的过滤策略(例如 哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由 类似于源地址、目的地址、端口号等的特定指示条件来决定)。服务质量控制配置信 息可以包括流量限速、在端口阻塞情况下哪些关键队列的关键队列的包应优先等。
85.在一些实施例中，目标设备对可以是上行设备及对应的下行设备(即指定通信方 向下的上行设备及对应的下行设备)。如图2所示的实施例中，核心交换机13将一个 访问请求转发给服务器14；则在本次访问请求收发通信中，核心交换机13为上行设 备，服务器14为下行设备。而当服务器14根据访问请求生成访问响应后，可以将访 问响应返回给核心交换机13，以便于核心交换机13转发；则在本次访问响应收发通 信中，服务器14为上行设备，核心交换机13为下行设备。
86.为提高数据中心的稳定性和鲁棒性，数据中心的一些it设备可采用主备用冗余 设计，如此，主用设备和备用设备之间也需要进行一致性校验，在另一些实施例中， 目标设备对也可以是主用设备及对应的备用设备。
87.应当指出，本说明书实施例中，基于指标数据库用户可以定制任何合适的校验场 景，而不仅限于访问控制配置校验场景和染色配置校验场景。以访问控制配置校验场 景为例，由于网络拓扑中一般包含多个it设备，访问控制配置校验场景会涉及多个 设备对的校验。因此，对于整个访问控制配置校验场景而言，任意一个设备对的访问 控制配置场景，可以称为该访问控制配置校验场景的校验子场景(例图4所示)。同 理，对于整个染色配置校验场景而言，任意一个设备对的染色配置校验场景，也可以 称为该染色配置校验场景的校
标识、所述第二设备的标识、以及校验场景。
99.本说明书实施例中，所述指标数据库可以根据指标数据请求从自身捞取对应的配 置状态指标，并将其按照校验场景组合成对应的数据表。
100.例如，以图5所示的网络拓扑为例，当目标设备对为001/003，且校验场景为访 问控制配置校验场景和染色配置校验场景时，所述指标数据库可以从自身捞取：001 的与访问控制配置校验场景对应的配置状态指标；002的与访问控制配置校验场景对 应的配置状态指标；001的与染色配置校验场景对应的配置状态指标；以及002的与 染色配置校验场景对应的配置状态指标。
101.在此基础上，所述指标数据库可以将001的与访问控制配置校验场景对应的配置 状态指标，组合成001的第一访问控制列表；将002的与访问控制配置校验场景对应 的配置状态指标，组合成002的第二访问控制列表；将001的与染色配置校验场景对 应的配置状态指标，组合成001的第一染色列表；以及将002的与染色配置校验场景 对应的配置状态指标，组合成002的第二染色列表。
102.然后，所述指标数据库基于上述的第一访问控制列表、第二访问控制列表、第一 染色列表和第二染色列表，生成指标数据响应并返回。
103.(2)、接收所述指标数据库返回的指标数据响应；所述指标数据响应中包含所述 第一设备的访问控制列表和染色列表，以及所述第二设备的访问控制列表和染色列表。
104.在一些实施例中，以目标设备对为第一设备和第二设备为例，所述分别对所述目 标设备对的访问控制列表和染色列表进行一致性校验，可以包括：将所述第一设备的 访问控制列表与所述第二设备的访问控制列表进行一致性校验；以及，将所述第一设 备的染色列表与所述第二设备的染色列表进行一致性校验。
105.在本说明书中，一致性校验是指检查对应校验对象的特定配置是否相同或相应。
106.例如，在一示例性实施例中，目标设备对为a端(一台核心交换机)和b端(设 备)。a端设立的规则和b端设立的配置规则要保证一致。其中，a端的一个配置如 下：
107.acl name interactive
108.rule permit ip source 76.111.246.1 0
109.该配置信息含义为：允许任何ip到76.111.246.1这个ip进入配置所在的队列 interactive。由下方校验逻辑找到对应的b端，并且在b端的interactive队列中查到 可以和这个策略对应的策略。
110.校验逻辑包括：由于a端是一台核心交换机，其覆盖的ip范围可以从该交换机 上的配置中查询到，那a端的访问控制策略是任意源的ip到76.111.246.1都在 intractive队列；相对的，b端的访问控制策略只要包含了“去76.111.246.1”在intractive 即可认为b端的访问控制策略与a端的访问控制策略是一致的。但若a端的访问策 略对源做了控制，变成1.1.1.0/24到76.1111.246.1在intractive队列，那么b端的访 问控制策略就需要包含对本身源和目的的控制(例如b端的访问控制策略中，源的 ip需要包含a端的目的)；如果b端的访问控制策略未对本身源和目的的控制，即可 认为b端的访问控制策略与a端的访问控制策略不一致。
111.虽然上文描述的过程流程包括以特定顺序出现的多个操作，但是，应当清楚了解， 这些过程可以包括更多或更少的操作，这些操作可以顺序执行或并行执行(例如使用 并行
处理器或多线程环境)。
112.与上述的方法对应，本说明书还提供了一种访问控制列表及染色列表一致性校验 装置的实施例。所述访问控制列表及染色列表一致性校验装置可以配置于任何合适的 计算设备上，以用于实现数据中心的访问控制列表及染色列表一致性校验。参考图6 所示，在一些实施例中，所述访问控制列表及染色列表一致性校验装置可以包括：
113.采集模块61，可以用于采集网络拓扑中各it设备的配置状态指标，以形成指标 数据库；
114.选择模块62，可以用于从所述网络拓扑中选择目标设备对；
115.确定模块63，可以用于确定所述目标设备对的校验场景；
116.获取模块64，可以用于当所述校验场景包括访问控制配置校验场景和染色配置 校验场景时，从所述指标数据库获取所述目标设备对的访问控制列表和染色列表；
117.校验模块65，可以用于分别对所述目标设备对的访问控制列表和染色列表进行 一致性校验。
118.本说明书实施例中，访问控制列表及染色列表一致性校验装置可以采集网络拓扑 中各it设备的配置状态指标，以形成指标数据库；当需要目标设备对进行校验时， 可以根据目标设备对的校验场景，从指标数据库获取目标设备对的访问控制列表和染 色列表；并对其进行校验。同理，当需要进行下一目标设备对时，可以根据下一目标 设备对的校验场景，从指标数据库获取目标设备对的访问控制列表和染色列表，并对 其进行校验。如此，整个网络拓扑的校验过程可以复用指标数据库中的配置状态指标， 而无需反复从网络拓扑的it设备采集，从而避免了重复采集造成的资源浪费，降低 了访问控制列表及染色列表的一致性自动校验成本，且校验效率更高。
119.在一些装置实施例中，所述确定所述目标设备对的校验场景，可以包括：
120.根据所述目标设备对，从设备对与校验场景对应关系表中匹配所述目标设备对的 校验场景。
121.在一些装置实施例中，所述目标设备对包括第一设备和第二设备；所述从所述指 标数据库获取所述目标设备对的访问控制列表和染色列表，可以包括：
122.向所述指标数据库发送指标数据请求；所述数据请求包含所述第一设备的标识、 所述第二设备的标识、以及校验场景；
123.接收所述指标数据库返回的指标数据响应；所述指标数据响应中包含所述第一设 备的访问控制列表和染色列表，以及所述第二设备的访问控制列表和染色列表。
124.在一些装置实施例中，所述访问控制列表和所述染色列表由所述指标数据库根据 所述指标数据请求，从自身捞取对应的配置状态指标组合生成。
125.在一些装置实施例中，所述分别对所述目标设备对的访问控制列表和染色列表进 行一致性校验，可以包括：
126.将所述第一设备的访问控制列表与所述第二设备的访问控制列表进行一致性校 验；以及，
127.将所述第一设备的染色列表与所述第二设备的染色列表进行一致性校验。
128.在一些装置实施例中，所述目标设备对包括上行设备及对应的下行设备。
129.在一些装置实施例中，所述目标设备对包括主用设备及对应的备用设备。
130.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施 本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
131.本说明书还提供一种计算机设备实施例。如图7所示，在一些实施例中，所述计 算机设备702可以包括一个或多个处理器704，诸如一个或多个中央处理单元(cpu) 或图形处理器(gpu)，每个处理单元可以实现一个或多个硬件线程。计算机设备702 还可以包括任何存储器706，其用于存储诸如代码、设置、数据等之类的任何种类的 信息，一具体实施例中，存储器706上并可在处理器704上运行的计算机程序，所述 计算机程序被所述处理器704运行时，可以执行上述任一实施例所述的访问控制列表 及染色列表一致性校验方法的指令。非限制性的，比如，存储器706可以包括以下任 一项或多种组合：任何类型的ram，任何类型的rom，闪存设备，硬盘，光盘等。 更一般地，任何存储器都可以使用任何技术来存储信息。进一步地，任何存储器可以 提供信息的易失性或非易失性保留。进一步地，任何存储器可以表示计算机设备702 的固定或可移除部件。在一种情况下，当处理器704执行被存储在任何存储器或存储 器的组合中的相关联的指令时，计算机设备702可以执行相关联指令的任一操作。计 算机设备702还包括用于与任何存储器交互的一个或多个驱动机构708，诸如硬盘驱 动机构、光盘驱动机构等。
132.计算机设备702还可以包括输入/输出接口710(i/o)，其用于接收各种输入(经 由输入设备712)和用于提供各种输出(经由输出设备714)。一个具体输出机构可以包 括呈现设备716和相关联的图形用户接口718(gui)。在其他实施例中，还可以不包 括输入/输出接口710(i/o)、输入设备712以及输出设备714，仅作为网络中的一台 计算机设备。计算机设备702还可以包括一个或多个网络接口720，其用于经由一个 或多个通信链路722与其他设备交换数据。一个或多个通信总线724将上文所描述的 部件耦合在一起。
133.通信链路722可以以任何方式实现，例如，通过局域网、广域网(例如，因特网)、 点对点连接等、或其任何组合。通信链路722可以包括由任何协议或协议组合支配的 硬连线链路、无线链路、路由器、网关功能、名称服务器等的任何组合。
134.本技术是参照本说明书一些实施例的方法、设备(系统)、和计算机程序产品的 流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图 中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可 提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数 据处理器的处理器以产生一个机器，使得通过计算机或其他可编程数据处理器的处理 器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中指定的功能的装置。
135.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理器以特定 方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括 指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个 方框或多个方框中指定的功能。
136.这些计算机程序指令也可装载到计算机或其他可编程数据处理器上，使得在计算 机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机 或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或 方框图一个方框或多个方框中指定的功能的步骤。
137.在一个典型的配置中，计算机设备包括一个或多个处理器(cpu)、输入/输出接口、 网络接口和内存。
138.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/ 或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读 介质的示例。
139.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法 或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他 数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存 储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只 读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技 术、只读光盘只读存储器(cd
‑
rom)、数字多功能光盘(dvd)或其他光学存储、磁盒 式磁带，磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计 算机设备访问的信息。按照本说明书中的界定，计算机可读介质不包括暂存电脑可读 媒体(transitory media)，如调制的数据信号和载波。
140.本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产 品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬 件方面的实施例的形式。而且，本说明书实施例可采用在一个或多个其中包含有计算 机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学 存储器等)上实施的计算机程序产品的形式。
141.本说明书实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述， 例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、 程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书实施例， 在这些分布式计算环境中，由通过通信网络而被连接的远程处理器来执行任务。在分 布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质 中。
142.还应理解，在本说明书实施例中，术语“和/或”仅仅是一种描述关联对象的关 联关系，表示可以存在三种关系。例如，a和/或b，可以表示：单独存在a，同时 存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对 象是一种“或”的关系。
143.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部 分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于 系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参 见方法实施例的部分说明即可。在本说明书的描述中，参考术语“一个实施例”、“一 些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示 例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或 示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示 例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例 中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说 明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
144.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员 来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、 等
同替换、改进等，均应包含在本技术的权利要求范围之内。