亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

一種acl規(guī)則的配置方法及網(wǎng)絡(luò)設(shè)備的制作方法

文檔序號(hào):7777614閱讀:201來源:國知局
一種acl規(guī)則的配置方法及網(wǎng)絡(luò)設(shè)備的制作方法
【專利摘要】本發(fā)明公開了一種ACL規(guī)則的配置方法及網(wǎng)絡(luò)設(shè)備。ACL規(guī)則的配置方法包括:將范圍匹配地址進(jìn)行2n分解得到至少兩個(gè)分解區(qū)間,將分解區(qū)間中有效地址個(gè)數(shù)大于2k小于2k+1的分解區(qū)間,采用減法方式進(jìn)行再次分解,其中,0<k<n,對(duì)經(jīng)再次分解后得到的有效地址個(gè)數(shù)不為2的冪次方的分解區(qū)間采用減法方式進(jìn)行再次分解,直至分解得到的所有區(qū)間包含的有效地址個(gè)數(shù)都為2的冪次方;對(duì)有效地址個(gè)數(shù)為2的冪次方的所有區(qū)間中的連續(xù)區(qū)間進(jìn)行合并處理,不連續(xù)區(qū)間進(jìn)行累加處理;為合并處理和累加處理后得到的每個(gè)區(qū)間分別配置一條ACL規(guī)則。本發(fā)明能夠減少ACL規(guī)則使用數(shù)量,節(jié)省TCAM硬件資源。
【專利說明】—種ACL規(guī)則的配置方法及網(wǎng)絡(luò)設(shè)備
【技術(shù)領(lǐng)域】[0001]本發(fā)明涉及通訊領(lǐng)域,特別是涉及一種ACL規(guī)則的配置方法及網(wǎng)絡(luò)設(shè)備。
【背景技術(shù)】[0002]隨著通信領(lǐng)域數(shù)據(jù)業(yè)務(wù)的不斷發(fā)展,基于以太網(wǎng)絡(luò)應(yīng)用的技術(shù)手段逐步在網(wǎng)絡(luò)設(shè)備中得到應(yīng)用,其中作為網(wǎng)絡(luò)服務(wù)質(zhì)量(QoS)特性領(lǐng)域中的訪問控制列表(ACL)技術(shù),應(yīng)用尤為廣泛。[0003]在訪問控制列表(ACL, Access Control List)技術(shù)應(yīng)用的場景中,常用的實(shí)現(xiàn)方式是使用三態(tài)內(nèi)容尋址存儲(chǔ)器(TCAM)實(shí)現(xiàn)特性訪問控制規(guī)則的匹配查找功能,可以對(duì)需要處理數(shù)據(jù)報(bào)文中的特定字段進(jìn)行精確匹配、范圍匹配以及最長匹配等查找功能。但是,并非所有的TCAM器件都支持范圍匹配的查找功能,在TCAM器件功能受限制的場景,需要使用數(shù)據(jù)報(bào)文中的特殊字段進(jìn)行范圍匹配規(guī)則操作的情況下,提供不了特殊字段范圍匹配查找的TCAM器件,需要將用戶下發(fā)的范圍匹配規(guī)則分解為多個(gè)精確匹配規(guī)則進(jìn)行查找。[0004]范圍匹配規(guī)則分解為多個(gè)精確匹配規(guī)則組合的其中一種方法為單范圍匹配規(guī)則的加法分解方式,這種方式是指,在對(duì)于一個(gè)范圍匹配規(guī)則進(jìn)行分解的情況下,將范圍匹配區(qū)間的最小數(shù)值作為門限,采用二進(jìn)制累加的方式,使用2"作為增加分別規(guī)則個(gè)數(shù)增加的基本單元,直到達(dá)到范圍匹配規(guī)則最大數(shù)值門限的規(guī)則分解方法。使用該方法分解簡單、動(dòng)態(tài)處理方便,但是沒有實(shí)現(xiàn)范圍匹配分解到最少,額外的消耗精確匹配硬件資源。

【發(fā)明內(nèi)容】
[0005]本發(fā)明主要解決的技術(shù)問題是提供一種ACL規(guī)則的配置方法及網(wǎng)絡(luò)設(shè)備,能夠減少數(shù)據(jù)ACL規(guī)則的占用,節(jié)省TCAM器件的使用空間。[0006]第一方面,提供一種ACL規(guī)則的配置方法,包括:網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)包中一段需要范圍匹配的地址;將范圍匹配地址進(jìn)行2n分解得到至少兩個(gè)分解區(qū)間,其中η取非負(fù)整數(shù);將分解區(qū)間中有效地址個(gè)數(shù)大于2k小于2k+1的分解區(qū)間,采用減法方式進(jìn)行再次分解,其中,0〈k〈n,通過減法方式進(jìn)行再次分解是通過包含分解區(qū)間且有效地址個(gè)數(shù)為2的冪次方的大區(qū)間減去大區(qū)間內(nèi)分解區(qū)間之外的區(qū)間以得到分解區(qū)間的方式;對(duì)經(jīng)再次分解后得到的有效地址個(gè)數(shù)不為2的冪次方的分解區(qū)間再次執(zhí)行采用減法方式進(jìn)行再次分解的步驟,如此循環(huán)直至分解得到的所有區(qū)間包含的有效地址個(gè)數(shù)都為2的冪次方;對(duì)有效地址個(gè)數(shù)為2的冪次方的所有區(qū)間中的連續(xù)區(qū)間進(jìn)行合并處理,不連續(xù)區(qū)間進(jìn)行累加處理;為合并處理和累加處理后得到的每個(gè)區(qū)間分別配置一條ACL規(guī)則,以依據(jù)配置的ACL規(guī)則對(duì)經(jīng)過的數(shù)據(jù)包地址進(jìn)行處理。[0007]結(jié)合第一方面,在第一方面的第一種可能的實(shí)現(xiàn)方式中:將范圍匹配地址進(jìn)行2n分解得到至少兩個(gè)分解區(qū)間的步驟包括:確定范圍匹配地址的中心地址,以中心地址為中心,分別向范圍匹配地址的兩端分解得到至少兩個(gè)分解區(qū)間,中心地址為范圍匹配地址以內(nèi)最大的2"或?yàn)橥ㄟ^……方式逐級(jí)累加得到的范圍匹配區(qū)間內(nèi)的最小數(shù)值,其中,a、b、c、d取O或I。
[0008]結(jié)合第一方面,在第一方面的第二種可能的實(shí)現(xiàn)方式中:大區(qū)間的有效地址個(gè)數(shù)是大于分解區(qū)間的有效地址個(gè)數(shù)且最接近分解區(qū)間的有效地址個(gè)數(shù)的2的冪次方。
[0009]第二方面,提供一種網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)設(shè)備包括接收模塊、第一分解模塊、第二分解模塊、處理模塊以及配置模塊,其中:接收模塊用于接收數(shù)據(jù)包中一段需要范圍匹配的地址;第一分解模塊用于將接收模塊接收的范圍匹配地址進(jìn)行2n分解得到至少兩個(gè)分解區(qū)間,其中η取非負(fù)整數(shù);第二分解模塊用于將第一分解模塊分解得到的分解區(qū)間中有效地址個(gè)數(shù)大于2k小于2k+1的分解區(qū)間,采用減法方式進(jìn)行再次分解,其中,0〈k〈n,通過減法方式再次分解是通過包含分解區(qū)間且有效地址個(gè)數(shù)為2的冪次方的大區(qū)間減去大區(qū)間內(nèi)分解區(qū)間之外的區(qū)間以得到分解區(qū)間的方式,并對(duì)經(jīng)再次分解后得到的有效地址個(gè)數(shù)不為2的冪次方的分解區(qū)間再次執(zhí)行采用減法方式進(jìn)行再次分解的步驟,如此循環(huán)直至分解得到的所有區(qū)間包含的有效地址個(gè)數(shù)都為2的冪次方;處理模塊用于對(duì)第二分解模塊得到的有效地址個(gè)數(shù)為2的冪次方的所有區(qū)間中的連續(xù)區(qū)間進(jìn)行合并處理,不連續(xù)區(qū)間進(jìn)行累加處理;配置模塊用于對(duì)處理模塊處理后得到的每個(gè)區(qū)間分別配置一條ACL規(guī)則,以依據(jù)配置的ACL規(guī)則對(duì)經(jīng)過的數(shù)據(jù)包地址進(jìn)行處理。
[0010]結(jié)合第二方面,在第二方面的第一種可能的實(shí)現(xiàn)方式中:第一分解模塊用于確定范圍匹配地址的中心地址,以中心地址為中心,分別向范圍匹配地址的兩端分解得到至少兩個(gè)分解區(qū)間,中心地址為范圍匹配地址以內(nèi)最大的2n或?yàn)橥ㄟ^8242^+(:2^+(121^3……方式逐級(jí)累加得到的范圍匹配地址內(nèi)的最小數(shù)值,其中,a、b、C、d取O或I。
[0011]結(jié)合第二方面,在第二方面的第二種可能的實(shí)現(xiàn)方式中:大區(qū)間的有效地址個(gè)數(shù)是大于分解區(qū)間的有效地址個(gè)數(shù)且最接近分解區(qū)間的有效地址個(gè)數(shù)的2的冪次方。
[0012]本發(fā)明的有益效果是:區(qū)別于現(xiàn)有技術(shù)的情況,本發(fā)明對(duì)范圍匹配地址進(jìn)行2"分解得到至少兩個(gè)分解區(qū)間,對(duì)分解區(qū)間中有效地址個(gè)數(shù)大于2k小于2k+1的分解區(qū)間,采用減法方式進(jìn)行再次分解,如此循環(huán)直至所有分解區(qū)間的有效地址個(gè)數(shù)都為2的冪次方,然后對(duì)這些有效地址個(gè)數(shù)為2的冪次方的所有區(qū)間中的連續(xù)區(qū)間進(jìn)行合并處理,不連續(xù)區(qū)間進(jìn)行累加處理,對(duì)經(jīng)過累加處理和合并處理后得到的區(qū)間分別配置ACL規(guī)則,以依據(jù)配置的ACL規(guī)則對(duì)經(jīng)過的數(shù)據(jù)包地址進(jìn)行處理。通過這樣的方式,從而大大減少ACL規(guī)則使用數(shù)量,提高ACL規(guī)則利用率,節(jié)省TCAM硬件資源。
【專利附圖】

【附圖說明】
[0013]圖1是本發(fā)明實(shí)施方式提供的一種ACL規(guī)則的配置方法流程圖;
[0014]圖2是本發(fā)明實(shí)施方式提供的ACL規(guī)則的配置方法中針對(duì)范圍匹配地址101~200的分解示意圖;
[0015]圖3是本發(fā)明實(shí)施方式提供的一種網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖;
[0016]圖4是本發(fā)明實(shí)施方式提供的另一種網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0017]網(wǎng)絡(luò)技術(shù)快速發(fā)展的今天,網(wǎng)絡(luò)的安全問題也備受關(guān)注,對(duì)于承載著各種網(wǎng)絡(luò)業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備來說,比如路由器、交換機(jī)等,擁有一個(gè)自身安全保護(hù)措施也顯得尤為重要,ACL就是常用的安全技術(shù)之一。
[0018]ACL的功能是用來過濾進(jìn)出網(wǎng)絡(luò)設(shè)備端口的數(shù)據(jù)包。ACL由很多條ACL規(guī)則組成,將數(shù)據(jù)包中相應(yīng)字段的地址與ACL規(guī)則進(jìn)行匹配,ACL規(guī)則可以是數(shù)據(jù)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)等信息,從而達(dá)到訪問控制的目的。
[0019]ACL技術(shù)應(yīng)用場景中,常見的實(shí)現(xiàn)方式是使用TCAM實(shí)現(xiàn)特性訪問控制規(guī)則的匹配查找功能。但是并非所有的TCAM都支持范圍匹配的查找功能,在TCAM受限情況下,需要將用戶下發(fā)的范圍匹配規(guī)則分解為多個(gè)精確匹配規(guī)則進(jìn)行查找。
[0020]現(xiàn)有范圍匹配規(guī)則分解的中最常用的是單范圍匹配規(guī)則的加法分解方式,這種分解方式分解簡單,動(dòng)態(tài)處理方便,比如實(shí)現(xiàn)101-200區(qū)間范圍匹配,在實(shí)現(xiàn)上直接使用范圍匹配最小數(shù)據(jù)101作為低門限,使用2n作為增加數(shù)據(jù)步長進(jìn)行累加的操作,最終實(shí)現(xiàn)的分解功能所使用的精確規(guī)則匹配數(shù)為7條,即101 ;102~103 ;104~111 ;112~127 ;128~
191;192~199 ;200分別配置一條ACL規(guī)則。具體實(shí)現(xiàn)方法如下:
【權(quán)利要求】
1.一種ACL規(guī)則的配置方法,其特征在于,包括: 網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)包中一段需要范圍匹配的地址; 將所述范圍匹配地址進(jìn)行2n分解得到至少兩個(gè)分解區(qū)間,其中η取非負(fù)整數(shù); 將所述分解區(qū)間中有效地址個(gè)數(shù)大于2k小于2k+1的分解區(qū)間,采用減法方式進(jìn)行再次分解,其中,0〈k〈n,所述通過減法方式進(jìn)行再次分解是通過包含所述分解區(qū)間且有效地址個(gè)數(shù)為2的冪次方的大區(qū)間減去所述大區(qū)間內(nèi)所述分解區(qū)間之外的區(qū)間以得到所述分解區(qū)間的方式; 對(duì)經(jīng)再次分解后得到的有效地址個(gè)數(shù)不為2的冪次方的分解區(qū)間再次執(zhí)行所述采用減法方式進(jìn)行再次分解的步驟,如此循環(huán)直至分解得到的所有區(qū)間包含的有效地址個(gè)數(shù)都為2的冪次方; 對(duì)有效地址個(gè)數(shù)為2的冪次方的所述所有區(qū)間中的連續(xù)區(qū)間進(jìn)行合并處理,不連續(xù)區(qū)間進(jìn)行累加處理; 為所述合并處理和所述累加處理后得到的每個(gè)區(qū)間分別配置一條ACL規(guī)則,以依據(jù)配置的ACL規(guī)則對(duì)經(jīng)過的數(shù)據(jù)包地址進(jìn)行處理。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述將范圍匹配地址進(jìn)行2n分解得到至少兩個(gè)分解區(qū)間的步驟包括: 確定范圍匹配地址的中心地址,以所述中心地址為中心,分別向所述范圍匹配地址的兩端分解得到至少兩個(gè)分解區(qū)間,所述中心地址為所述范圍匹配地址以內(nèi)最大的2n或?yàn)橥ㄟ^……方式逐級(jí)累加得到的范圍匹配區(qū)間內(nèi)的最小數(shù)值,其中,a、b、c、d取O或I。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述大區(qū)間的有效地址個(gè)數(shù)是大于所述分解區(qū)間的有效地址個(gè)數(shù)且最接近所述分解區(qū)間的有效地址個(gè)數(shù)的2的冪次方。
4.一種網(wǎng)絡(luò)設(shè)備,其特征在于,所述網(wǎng)絡(luò)設(shè)備包括接收模塊、第一分解模塊、第二分解模塊、處理模塊以及配置模塊,其中: 所述接收模塊用于接收數(shù)據(jù)包中一段需要范圍匹配的地址; 所述第一分解模塊用于將所述接收模塊接收的所述范圍匹配地址進(jìn)行2n分解得到至少兩個(gè)分解區(qū)間,其中η取非負(fù)整數(shù); 所述第二分解模塊用于將所述第一分解模塊分解得到的所述分解區(qū)間中有效地址個(gè)數(shù)大于2k小于2k+1的分解區(qū)間,采用減法方式進(jìn)行再次分解,其中,0〈k〈n,所述通過減法方式再次分解是通過包含所述分解區(qū)間且有效地址個(gè)數(shù)為2的冪次方的大區(qū)間減去所述大區(qū)間內(nèi)所述分解區(qū)間之外的區(qū)間以得到所述分解區(qū)間的方式,并對(duì)經(jīng)再次分解后得到的有效地址個(gè)數(shù)不為2的冪次方的分解區(qū)間再次執(zhí)行所述采用減法方式進(jìn)行再次分解的步驟,如此循環(huán)直至分解得到的所有區(qū)間包含的有效地址個(gè)數(shù)都為2的冪次方; 所述處理模塊用于對(duì)所述第二分解模塊得到的有效地址個(gè)數(shù)為2的冪次方的所述所有區(qū)間中的連續(xù)區(qū)間進(jìn)行合并處理,不連續(xù)區(qū)間進(jìn)行累加處理; 所述配置模塊用于對(duì)所述處理模塊處理后得到的每個(gè)區(qū)間分別配置一條ACL規(guī)則,以依據(jù)配置的ACL規(guī)則對(duì)經(jīng)過的數(shù)據(jù)包地址進(jìn)行處理。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)設(shè)備,其特征在于,所述第一分解模塊用于確定范圍匹配地址的中心地址,以所述中心地址為中心,分別向所述范圍匹配地址的兩端分解得到至少兩個(gè)分解區(qū)間,所述中心地址為所述范圍匹配地址以內(nèi)最大的2"或?yàn)橥ㄟ^a2n+b2n_1+c2n_2+d2n_3......方式逐級(jí)累加得到的范圍匹配地址內(nèi)的最小數(shù)值,其中,a、b、C、d取O或I。
6.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)設(shè)備,其特征在于,所述大區(qū)間的有效地址個(gè)數(shù)是大于所述分解區(qū)間的有效地址個(gè)數(shù)且最接近`所述分解區(qū)間的有效地址個(gè)數(shù)的2的冪次方。
【文檔編號(hào)】H04L12/723GK103618711SQ201310603931
【公開日】2014年3月5日 申請(qǐng)日期:2013年11月25日 優(yōu)先權(quán)日:2013年11月25日
【發(fā)明者】張魁 申請(qǐng)人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1