CN101039271A - 访问控制列表规则生效的方法及装置 - Google Patents
访问控制列表规则生效的方法及装置 Download PDFInfo
- Publication number
- CN101039271A CN101039271A CNA2007100869093A CN200710086909A CN101039271A CN 101039271 A CN101039271 A CN 101039271A CN A2007100869093 A CNA2007100869093 A CN A2007100869093A CN 200710086909 A CN200710086909 A CN 200710086909A CN 101039271 A CN101039271 A CN 101039271A
- Authority
- CN
- China
- Prior art keywords
- acl rule
- module
- partition holding
- rule
- acl
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种访问控制列表(ACL)规则的生效方法,在下发模块和目的存储模块内分别包括对应访问控制列表ACL规则特性的存储分区,该方法还包括:将添加的ACL规则存储到该ACL规则特性对应的该下发模块的存储分区中;需要排序时,下发模块对添加的ACL规则所在的存储分区中的ACL规则排序后,针对目的存储模块内对应的存储分区执行下发,否则下发模块针对目的存储模块内对应的存储分区执行下发。本发明还公开了一种ACL规则的生效装置,该装置包括下发模块和目的存储模块。应用本发明,可以在下发添加的ACL规则时,减少对ACL规则搬移和删除所需的时间,实现ACL规则的毫秒级生效。
Description
技术领域
本发明涉及通信领域,特别涉及访问控制列表规则生效的方法及装置。
背景技术
在通信领域中,访问控制列表(Access Control List,ACL)规则是一种应用在交换设备上的技术。随着网络技术应用的不断深入,对于安全监控的需求进一步加强,由于ACL规则可以有效实现网络流量和网络访问权限的控制,在安全监控方面得到越来越广泛的应用。
ACL的原理主要是设置一系列规则,这些规则中包含能够匹配报文的规则内容和匹配报文成功后对报文要执行的操作。上述匹配是指按照ACL规则的优先级依次匹配报文,只要有一条规则与报文匹配成功,则按照该条规则对报文执行操作,报文不再进行后续规则的匹配。对报文执行的操作一般指将报文过滤或对报文进行重定向,其中过滤是指将报文丢弃,重定向是指将报文重定向转发到指定设备。
ACL规则可以通过预先配置生成,先存储在执行下发的模块中并通过该模块将ACL规则下发到目的存储模块,需要对报文进行匹配时,由执行查询的模块从目的存储模块中查询与报文匹配的规则,匹配成功后对报文执行规则中的操作。将添加的ACL规则成功下发到目的存储模块中,使添加的规则能够应用于报文处理的过程称为ACL规则生效。由于目前针对不同规则特性的ACL规则在目的存储模块中采用混合存储的方式,在下发ACL规则时需要对ACL规则按照优先级进行精确排序,否则由于报文执行最先匹配规则的方式,可能出现按照最先匹配成功的ACL规则对报文执行的操作并非是真正需要执行的操作的问题,例如本来需要执行重定向的报文可能执行了过滤操作。具体来说,下发添加的ACL规则时主要涉及的操作为:在执行下发的模块中,逐条将添加的ACL规则插入该模块内已存储的ACL规则中,并对插入添加的ACL规则后的所有ACL规则按照优先级精确排序;排序后执行下发的模块针对目的存储模块执行下发,如果添加的ACL规则的优先级与已存储的ACL规则相比不是最低,执行下发的模块需要首先将目的存储模块中已存储的低于添加的ACL规则的ACL规则删除,再将排序后的添加的ACL规则及低于其优先级的已存储ACL规则下发到目的存储模块中。在需要支持大容量ACL规则的情况下,现有技术中下发的方法往往需要耗费较多的时间,无法做到ACL规则的快速生效。
以阻断设备为例说明上述现有技术中添加的ACL规则的下发过程。图1示出了现有技术中阻断设备基本应用的典型组网结构,阻断设备包括主控板和接口板,其中接口板包括执行下发的模块和三态内容可寻址存储器(TCAM),TCAM为规则下发的目的存储模块。主控板接收添加的ACL规则并下发到接口板中执行下发的模块,再由执行下发的模块下发到TCAM,在处理报文时利用TCAM的硬件特性实现对ACL规则的快速查找和匹配。阻断设备接口板中的下发是针对ACL规则的规则表项,由规则表项索引标识ACL规则的优先级,规则表项由对ACL规则的解析得到。一条规则通常包括一个规则表项索引和一个规则表项,但有时一条规则也可以解析得出多个规则表项,规则表项包括规则内容表和动作表。假设阻断设备要求支持9万条完全匹配规则和1万条掩码匹配规则,ACL规则的具体执行操作为过滤和重定向。图2示出了阻断设备中已存储的ACL规则的优先级结构,需要添加的ACL规则的优先级为3,按照以下步骤完成添加的ACL规则的下发:
1)在主控板中接收添加的ACL规则,将该规则的规则内容和优先级下发到接口板中执行下发的模块;
2)在接口板内执行下发的模块中解析添加的ACL规则,得到该ACL规则的规则表项和规则表项索引;
3)在接口板内执行下发的模块中,对所有ACL规则的规则表项按照优先级进行精确排序,排序方式为按顺序排列ACL规则的规则表项索引,并按照排列的规则表项索引,搬移对应的规则表项,如添加的ACL规则优先级为3,在接口板内执行下发的模块中将添加的ACL规则的规则表项插入优先级为2的规则表项后面,而原来优先级为3-6的规则表项依次向后搬移形成优先级为4-7的规则表项;
4)在接口板的TCAM中,将已存储的优先级为3-6的ACL规则的规则表项删除,由接口板内执行下发的模块将重新排列后的优先级为3-7的ACL规则的规则表项下发到TCAM。
经过上述步骤1)-4),添加的ACL规则生效。
由于在上述实现ACL规则生效的过程中,需要考虑添加的ACL规则的优先级重新对所有ACL规则进行精确排序,在下发时如果所添加的规则优先级较高,需要进行删除和重新下发的操作,通过实验室试验,将10万条优先级打乱的ACL规则下发到目的存储模块中需要的时间为10个小时,无法做到ACL规则的快速生效。
发明内容
本发明实施例提供一种ACL规则生效的方法,该方法能够提高ACL规则的生效时间。
本发明实施例提供一种ACL规则生效的装置,该装置能够提高ACL规则的生效时间。
本发明实施例提供的ACL规则生效的方法,在下发模块和目的存储模块内分别包括对应访问控制列表ACL规则特性的存储分区,该方法还包括:
将添加的ACL规则存储到该ACL规则特性对应的该下发模块的存储分区中;
需要排序时,下发模块对添加的ACL规则所在的存储分区中的ACL规则排序后,针对目的存储模块内对应的存储分区执行下发;
不需要排序时,下发模块针对目的存储模块内对应的存储分区执行下发。
本发明实施例提供的ACL规则生效的装置,该装置包括下发模块和目的存储模块;
所述下发模块,用于将接收的添加ACL规则存储到其规则特性对应的内部存储分区中,需要排序时将该存储分区中的ACL规则排序后针对目的存储模块内对应的存储分区执行下发,不需要排序时直接针对目的存储模块内对应的存储分区执行下发;
所述目的存储模块,用于在对应ACL规则特性的存储分区中,接收下发模块下发的ACL规则。
从上述技术方案可以看出,本发明实施例提供的ACL规则生效的方法及装置,在下发模块和目的存储模块中包括对应ACL规则特性的存储分区,下发模块对于需要下发的ACL规则,只在下发模块内对应该规则的存储分区中进行排序,或者当存储分区内不需要排序时下发模块可以不对该存储分区中的规则进行排序,并且下发模块将需要下发的ACL规则下发到目的存储模块中对应的存储分区中,这样就实现了只在存储分区内部进行的模糊排序,减少了排序中规则的搬移,并在下发时减少了删除和重新下发规则的时间,实现ACL规则的毫秒级生效,提高ACL规则的生效时间。
附图说明
图1为现有技术中阻断设备基本应用的典型组网结构示意图;
图2为图1所示阻断设备中ACL规则的优先级示意图;
图3为本发明实施例ACL规则生效的方法流程图;
图4为本发明实施例ACL规则生效的方法第一个较佳实施例流程图;
图5为本发明实施例ACL规则生效的方法第一个较佳实施例中存储分区示意图;
图6为本发明实施例ACL规则生效的方法第二个较佳实施例流程图;
图7为本发明实施例ACL规则生效的方法第二个较佳实施例中存储分区示意图;
图8为本发明实施例ACL规则生效的装置较佳实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图,对本发明实施例进一步详细说明。
本发明实施例的基本思想是:在下发模块和目的存储模块中,分别包括对应ACL规则特性的存储分区,对ACL规则的排序和下发都在规则特性对应的存储分区内部进行,各存储分区之间无需进行排序。
首先,介绍本发明实施例提供的ACL规则生效的方法。该方法在下发模块和目的存储模块内分别包括对应ACL规则特性的存储分区,该方法还包括图3示出的以下步骤:
步骤301:下发模块将添加的ACL规则按照其规则特性存储到内部对应的存储分区。
本步骤中,所述ACL规则的特性,可以是ACL规则的动作类型如过滤和重定向,这时下发模块内就包括对应过滤和重定向的两个存储分区,ACL规则特性也可以是ACL规则中匹配报文的元素个数,这时下发模块中就包括对应不同匹配报文的元素个数的ACL规则,如根据匹配报文的元素个数设置对应五元组、二元组等的多个存储分区。下发模块根据添加的ACL规则的规则特性,将该规则存储到对应的存储分区中。存储分区的大小可以通过设置实现。
步骤302:判断添加的ACL规则所在的存储分区是否需要排序,如果是执行步骤303,如果不是则执行步骤305。
本步骤中,根据步骤301中所述对存储分区的不同设置方式,不同的存储分区有的需要对ACL规则排序,有的则不需要对ACL规则排序。针对按照动作划分对应过滤和重定向的两个存储分区,在对应过滤的存储分区内部,由于对于所有过滤的ACL规则来说对报文执行的处理都是丢弃,因此无论报文与该存储分区中的哪一条ACL规则匹配处理结果都一样,所以在该存储分区内可以不进行排序。而针对对应重定向的存储分区,当报文都需要重定向到一个设备时,该存储分区中也无需排序,而当报文需要重定向的目标设备不唯一时,就需要在存储添加的ACL规则后对存储分区中ACL规则按照优先级排序。在针对匹配报文的元素个数设置的存储分区内部,当存储分区对应五元组时,由于一个报文不可能匹配两条五元组规则,因此不需要对该存储分区中的ACL规则按照优先级排序,当存储分区对应的不是五元组时,仍需要对存储分区中的ACL规则按照优先级排序。
步骤303:下发模块在存储分区内进行排序。
本步骤中,在步骤302判断需要排序的基础上,下发模块在添加的ACL规则所在的存储分区内按照优先级对ACL规则进行排序。
步骤304:下发模块针对目的存储模块中的对应存储分区执行下发。
本步骤中,针对步骤303所述存储分区中需要排序时,由下发模块针对目的存储模块中的对应存储分区执行下发。所述目的存储模块中的存储分区,也是对应ACL规则特性设置的,并且与下发模块中设置的各个存储分区对应相同。执行下发具体为:如果添加的ACL规则的优先级与目的存储模块内对应的存储分区中已存储的ACL规则相比优先级最低,直接将添加的ACL规则下发到目的存储模块内对应的存储分区中的最低优先级存储位置;如果添加的ACL规则的优先级与目的存储模块内对应的存储分区中已存储的ACL规则相比优先级不是最低,删除目的存储模块内对应的存储分区中优先级低于添加ACL规则的已存储ACL规则,将下发模块内存储分区中排序后的添加的ACL规则及低于其优先级的已存储ACL规则,下发到目的存储模块内部对应的存储分区。
步骤305:下发模块直接针对目的存储模块中的对应存储分区执行下发。
本步骤中,在步骤302中判断存储分区不需要排序时,下发模块直接将添加的ACL规则下发到目的存储模块内对应过滤的存储分区中的任意空余存储位置。
经过上述步骤301~步骤305,本发明实施例提供的ACL规则生效的方法流程结束。其中,添加的ACL规则可以是批量的,并可以同时在各自不同的存储分区进行流程中所描述的操作。
上述本发明实施例提供的ACL规则生效的方法,在下发模块和目的存储模块中包括对应ACL规则特性的存储分区,下发模块对于需要下发的ACL规则,只在下发模块内对应该规则的存储分区中进行排序,或者当存储分区内不需要排序时下发模块可以不对该存储分区中的规则进行排序,并且下发模块将需要下发的ACL规则下发到目的存储模块中对应的存储分区中,这样就实现了只在存储分区内部进行的模糊排序,减少了排序中规则的搬移,并在下发时减少了删除和重新下发的时间,实现ACL规则的毫秒级生效,提高ACL规则的生效时间。
下面针对上述本发明实施例ACL规则的生效方法,详细介绍两个本发明实施例ACL规则生效的方法的较佳实施例。在第一个方法较佳实施例中,假设在下发模块和目的存储模块中分别根据ACL规则的动作类型包括对应过滤和重定向的两个存储分区,而且重定向的目的设备不唯一,下发模块对目的存储模块执行的下发针对规则表项。假设本流程描述中需要添加的ACL规则的动作类型为重定向,优先级为3,下发模块和目的存储模块中已存储的ACL规则有6条,优先级结构与图2所示相同。图4为本发明实施例ACL规则生效的方法第一个较佳实施例的流程图,该流程包括:
步骤401:下发模块解析添加的ACL规则。
本步骤中,下发模块对目的存储模块的规则下发是针对规则表项的,下发模块需要先对添加的ACL规则进行解析,得到规则表项。通常情况下一条ACL规则解析后对应一个规则表项,使用一个规则表项索引标识该ACL规则的优先级。但有时一条ACL规则也可以解析出多个规则表项,例如一条重定向的ACL规则针对1-10个端口就可以解析出10个规则表项,这10个规则表项也对应一个规则表项索引,即这10个规则表项属于一个优先级。
步骤402:将添加ACL规则的规则表项和规则表项索引存储到下发模块内对应的存储分区中。
本步骤中,由于假设存储分区按照ACL规则的动作类型划分为对应过滤和对应重定向的存储分区,所添加的ACL规则动作类型为重定向,将添加的ACL规则的规则表项和规则表项索引存储到下发模块内对应重定向的存储分区中。
步骤403:判断添加的ACL规则的动作类型,当动作类型为过滤时执行步骤406,当动作类型为重定向时执行步骤404。
本步骤中,根据假设添加的ACL规则的动作类型为重定向,因此执行步骤404。
步骤404:下发模块在内部对应重定向的存储分区中对ACL规则排序。
本步骤中,下发模块在对应重定向的存储分区中对ACL规则的规则表项按照优先级进行排序。排序的方法具体为:将该存储分区中已存储的优先级索引为3-6的规则表项向后搬移,搬移后将规则表项索引分别更改为4-7,然后将添加的ACL规则的规则表项插入更改后规则表项索引为4的规则表项之前,添加的ACL规则的规则表项索引为3。
步骤405:下发模块将排序后的ACL规则下发到目的存储模块内对应重定向的存储分区。
本步骤中,添加的ACL规则的优先级与已存储的ACL规则相比不是最低,因此下发模块先需要将目的存储模块中已存储的规则表项索引为3-6的规则删除,再将步骤404中排序后规则表项索引为3-7的规则表项下发到目的存储模块内对应重定向的存储分区中,流程结束。
步骤406:下发模块将添加的ACL规则的规则表项插入内部对应过滤的存储分区中。
本步骤中,由于对应过滤的存储分区内无需进行按照优先级的排序,下发模块可以直接将添加的ACL规则的规则表项和规则表项索引插入对应过滤的存储分区中的任意空余存储位置,而无需按照优先级对存储分区中的ACL规则重新排序。
步骤407:下发模块将添加的ACL规则的规则表项和规则表项索引下发到目的存储模块内对应过滤的存储分区中。
本步骤中,下发模块将添加的ACL规则的规则表项和规则表项索引直接下发到目的存储模块内对应的存储分区中的任意空余存储位置,流程结束。
经过上述步骤401~步骤407,本发明实施例ACL规则的生效方法的第一个较佳实施例结束完整流程,图5示出了在本较佳实施例中,下发模块和目的存储模块内对应过滤和重定向的存储分区。
在第二个方法较佳实施例中,假设在下发模块和目的存储模块中分别根据ACL规则中匹配报文的元素个数包括对应五元组、二元组和一元组的三个存储分区,下发模块对目的存储模块执行的下发针对规则表项。假设本流程描述中需要添加的ACL规则中匹配报文的元素个数构成二元组,优先级为3,在下发模块和目的存储模块内对应二元组的存储分区中已存储的ACL规则有6条,优先级结构与图2所示相同。图6为本发明实施例ACL规则生效的方法第二个较佳实施例的流程图,该流程包括:
步骤601:下发模块解析添加的ACL规则。
本步骤中,下发模块对目的存储模块的规则下发是针对规则表项的,下发模块需要先对添加的ACL规则进行解析,得到规则表项。
步骤602:将添加的ACL规则的规则表项和规则表项索引存储到下发模块内对应的存储分区中。
本步骤中,根据假设,添加的ACL规则中的匹配报文的元素个数构成二元组,则将添加的ACL规则的规则表项和规则表项索引存储到下发模块内对应二元组的存储分区中。
步骤603:判断添加的ACL规则中匹配报文的元素是否构成五元组,如果是则执行步骤606,如果不是执行步骤604。
本步骤中,根据假设,本较佳实施例中添加的ACL规则中匹配报文的元素个数构成二元组,则执行步骤604。
步骤604:下发模块在存储分区内对ACL规则排序。
本步骤中,下发模块将内部对应二元组的存储分区中的ACL规则按照优先级排序,排序的方法具体为:将该存储分区中已存储的规则表项索引为3-6的规则表项向后搬移,搬移后将规则表项索引分别更改为4-7,然后将添加的ACL规则的规则表项插入更改后规则表项索引为4的规则表项之前,添加的ACL规则的规则表项索引为3。
步骤605:下发模块将排序后的ACL规则下发到目的存储模块内对应的存储分区。
本步骤中,下发模块将排序后的需要下发的ACL规则下发到目的存储模块对应二元组的存储分区。由于添加的ACL规则的优先级与已存储的ACL规则相比不是最低,因此下发模块先需要将目的存储模块中对应二元组的存储分区中已存储的规则表项索引为3-6的规则删除,再将步骤604中排序后的添加ACL规则及优先级低于添加ACL规则的规则表项和规则表项索引下发到目的存储模块内对应二元组的存储分区中,流程结束。
步骤606:下发模块将添加的ACL规则的规则表项存储到内部对应五元组的存储分区中。
本步骤中,在步骤603中判断添加的ACL规则中匹配报文的元素为五元组,则将添加的ACL规则存储到下发模块内对应五元组的存储分区中,下发模块只要将添加的ACL规则存储到内部对应五元组的存储分区中的任意空余存储位置即可,而无需对ACL规则按照优先级排序。
步骤607:下发模块将添加的ACL规则的规则表项和规则表项索引下发到目的存储模块内对应五元组的存储分区中。
本步骤中,下发模块将添加的ACL规则的规则表项和规则表项索引直接下发到目的存储模块内对应五元组的存储分区中的任意空余存储位置,流程结束。
经过上述步骤601~步骤607,本发明实施例ACL规则生效的方法的第二个较佳实施例完整流程结束,图7示出了本方法较佳实施例中对应ACL规则中匹配报文的元素个数的存储分区。
上述本发明实施例ACL规则生效的方法的两个较佳实施例中,举出了两种按照ACL规则特性划分存储分区的情况,也可以按照需求,根据ACL规则的其他规则特性设置不同于所例举的这两种存储分区的情况,这里不再赘述。
以上描述的两个方法较佳实施例,在下发模块和目的存储模块中包括对应ACL规则特性的存储分区,下发模块对于需要下发的ACL规则,只在下发模块内对应该规则的存储分区中进行排序,并且下发模块将需要下发的ACL规则下发到目的存储模块中对应的存储分区中,这样就实现了只在存储分区内部进行的模糊排序,减少了排序中规则的搬移,并在下发时减少了删除和重新下发的时间,实现ACL规则的毫秒级生效,提高了ACL规则的生效时间。
最后,介绍本发明实施例提供的ACL规则生效的装置较佳实施例。图8为本发明实施例提供的ACL规则生效的装置的较佳实施例结构示意图,该装置包括:目的存储模块和下发模块,其中下发模块又包括:收发模块和排序模块。
所述排序模块,包括对应ACL规则特性的存储分区,接收收发模块提供的添加的ACL规则并存储;添加的ACL规则对应的存储分区内需要排序时,对该存储分区中的ACL规则按照优先级排序后,将需要下发的ACL规则提供给收发模块;添加的ACL规则对应的存储分区内不需要排序时,直接将需要下发的ACL规则提供给收发模块。
所述收发模块,接收添加的ACL规则提供给排序模块;接收排序模块提供的要下发的ACL规则,针对目的存储模块中的对应存储分区执行下发。
所述目的存储模块,用于在对应ACL规则特性的存储分区中,接收下发模块中的收发模块下发的ACL规则。
本发明实施例提供的ACL规则生效的装置,在下发模块和目的存储模块中包括对应ACL规则特性的存储分区,下发模块对于需要下发的ACL规则,需要排序时只在下发模块内对应该规则的存储分区中进行排序,并且将需要下发的ACL规则下发到目的存储模块中对应的存储分区中,或者不需要排序时下发模块直接将需要下发的ACL规则下发到目的存储模块中对应的存储分区,这样就实现了只在存储分区内部进行的模糊排序,减少了排序中规则的搬移,并在下发时减少了删除和重新下发的时间,实现ACL规则的毫秒级生效。
上述本发明提供的ACL规则生效的装置中,收发模块可以进一步包括:下发执行模块和解析模块,下发模块对目的存储模块执行的下发针对规则表项。
所述解析模块,接收要添加的配置ACL规则,解析出ACL规则的规则表项,通常情况下一条ACL规则解析后对应一个规则表项,使用一个规则表项索引对应该ACL规则的优先级。但有时一条ACL规则也可以解析出多个规则表项,例如一条重定向的ACL规则针对1-10个端口就可以解析出10个规则表项,这10个规则表项也对应一个规则表项索引,即该ACL规则的优先级。解析模块将解析完成后得到的规则表项和规则表项索引提供给排序模块内对应该ACL规则特性的存储分区。
所述下发执行模块,将排序模块提供的要下发的ACL规则的规则表项和规则表项索引,下发到目的存储模块内对应存储分区。
在下发模块对目的存储模块执行的下发针对规则表项的情况中,排序模块内的排序也针对ACL规则的规则表项和规则表项索引。
本发明实施例提供的ACL规则生效的装置,可以应用在需要使用ACL规则对报文执行处理的设备中,以阻断设备为例说明本发明实施例ACL规则生效的装置的具体应用。
本发明实施例ACL规则生效的装置可以位于阻断设备的接口板中,阻断设备对ACL的下发是基于规则表项的下发,假设装置中排序模块和目的存储模块中的存储分区为对应ACL规则中匹配报文元素的个数为五元组、二元组和一元组的存储分区,要添加的ACL规则中匹配报文的元素个数构成二元组,优先级为3,已存储的ACL规则为优先级为1-6的6条规则。阻断设备的主控板将添加的ACL规则提供给该装置,装置中的解析模块中解析出规则表项和规则表项索引提供给排序模块。排序模块将添加的ACL规则存储到内部对应二元组的存储分区中,并对该存储分区中的ACL规则按照优先级排序,即搬移规则表项索引和规则表项。排序模块将重新排序后规则表项索引为3-7的ACL规则提供给下发执行模块。下发执行模块将目的存储模块内对应二元组的存储分区中已存储的规则表项索引为3-6的规则表项删除,将排序模块提供的规则表项索引为3-7的规则表项下发到目的存储模块内对应二元组的存储分区。
经过以上所述的下发过程,添加的ACL规则在接口板中生效,当有报文流量通过时,接口板中的负责匹配执行的模块将按照生效的ACL规则对报文执行操作。由于存储生效ACL规则的目的存储模块的硬件特性影响匹配执行模块对规则的查询速度,一种较佳的选择是使用TCAM作为目的存储模块来存储下发生效的ACL规则。
上述本发明实施例ACL规则生效的装置应用在阻断设备接口板中的情况只是一种较佳实施方式,还可以是其他具备相同结构特征和功能的装置。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1、一种访问控制列表规则生效的方法,其特征在于,在下发模块和目的存储模块内分别包括对应访问控制列表ACL规则特性的存储分区,该方法还包括:
将添加的ACL规则存储到该ACL规则特性对应的该下发模块的存储分区中;
需要排序时,下发模块对添加的ACL规则所在的存储分区中的ACL规则排序后,针对目的存储模块内对应的存储分区执行下发;
不需要排序时,下发模块针对目的存储模块内对应的存储分区执行下发。
2、如权利要求1所述的方法,其特征在于,所述ACL规则特性为动作类型,所述对应ACL规则特性的存储分区为:
对应不同ACL规则动作类型的存储分区。
3、如权利要求2所述的方法,其特征在于,所述动作类型包括过滤和重定向,所述对应不同ACL规则动作类型的存储分区为:
对应过滤和重定向的存储分区。
4、如权利要求3所述的方法,其特征在于,所述需要排序的判定方法为:
添加的ACL规则的动作类型为重定向并且重定向的目的设备不唯一时,需要排序;
所述排序是按照ACL规则的优先级进行的;
所述执行下发为:如果添加的ACL规则的优先级与目的存储模块内对应重定向的存储分区中已存储的ACL规则相比优先级最低,直接将添加的ACL规则下发到目的存储模块内对应重定向的存储分区中的最低优先级存储位置;如果添加的ACL规则的优先级与目的存储模块内对应重定向的存储分区中已存储的ACL规则相比优先级不是最低,删除目的存储模块内对应重定向的存储分区中优先级低于添加ACL规则的已存储ACL规则,将下发模块内对应重定向的存储分区中添加的ACL规则及低于其优先级的已存储ACL规则,按照排序后的优先级顺序下发到目的存储模块内对应重定向的存储分区。
5、如权利要求3所述的方法,其特征在于,所述不需要排序的判定方法为:
添加的ACL规则的动作类型为过滤,或添加的ACL规则的动作类型为重定向并且重定向的目的设备唯一时,不需要排序。
6、如权利要求1所述的方法,其特征在于,所述规则特性为ACL规则中匹配报文的元素个数,所述对应ACL规则特性的存储分区为:
对应不同匹配报文的元素个数的存储分区。
7、如权利要求6所述的方法,其特征在于,所述ACL规则中匹配报文的元素个数分别构成五元组、二元组和一元组,所述对应不同匹配报文的元素个数的存储分区为:
对应匹配报文的元素个数构成五元组、二元组和一元组的存储分区。
8、如权利要求7所述的方法,其特征在于,所述需要排序的判定方法为:
添加的ACL规则中匹配报文的元素个数不构成五元组时,需要排序;
所述排序是按照ACL规则优先级进行的;
所述执行下发为:如果添加的ACL规则的优先级与目的存储模块内对应的存储分区中已存储的ACL规则相比优先级最低,直接将添加的ACL规则下发到目的存储模块内对应的存储分区中的最低优先级存储位置;如果添加的ACL规则的优先级与目的存储模块内对应的存储分区中已存储的ACL规则相比优先级不是最低,删除目的存储模块内对应的存储分区中优先级低于添加ACL规则的已存储ACL规则,将下发模块内存储分区中排序后的添加的ACL规则及低于其优先级的已存储ACL规则,下发到目的存储模块内部对应的存储分区。
9、如权利要求7所述的方法,其特征在于,所述不需要排序的判定方法为:
添加的ACL规则中匹配报文的元素个数构成五元组时,不需要排序。
10、一种访问控制列表规则生效的装置,其特征在于,该装置包括下发模块和目的存储模块;
所述下发模块,用于将接收的添加ACL规则存储到其规则特性对应的内部存储分区中,需要排序时将该存储分区中的ACL规则排序后针对目的存储模块内对应的存储分区执行下发,不需要排序时直接针对目的存储模块内对应的存储分区执行下发;
所述目的存储模块,用于在对应ACL规则特性的存储分区中,接收下发模块下发的ACL规则。
11、如权利要求10所述的装置,其特征在于,所述下发模块包括收发模块和排序模块;
所述收发模块,用于接收添加的ACL规则并存储到排序模块内对应的存储分区,接收排序模块提供的要下发的ACL规则下发到目的存储模块;
所述排序模块,用于在存储分区中存储收发模块提供的添加ACL规则,需要排序时对该存储分区内部的ACL规则排序后将要下发的ACL规则提供给收发模块,不需要排序时将要下发的ACL规则提供给收发模块。
12、如权利要求11所述的装置,其特征在于,所述收发模块包括下发执行模块和解析模块;
所述下发执行模块,用于将排序模块提供的要下发的ACL规则下发到目的存储模块内对应的存储分区;
所述解析模块,用于接收添加的ACL规则,将解析后的ACL规则存储到排序模块内对应的存储分区。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710086909A CN100583829C (zh) | 2007-03-20 | 2007-03-20 | 访问控制列表规则生效的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710086909A CN100583829C (zh) | 2007-03-20 | 2007-03-20 | 访问控制列表规则生效的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101039271A true CN101039271A (zh) | 2007-09-19 |
| CN100583829C CN100583829C (zh) | 2010-01-20 |
Family
ID=38889915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710086909A Expired - Fee Related CN100583829C (zh) | 2007-03-20 | 2007-03-20 | 访问控制列表规则生效的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100583829C (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011032456A1 (zh) * | 2009-09-17 | 2011-03-24 | 中兴通讯股份有限公司 | 一种检测访问控制列表生效的方法和装置 |
| CN101447940B (zh) * | 2008-12-23 | 2011-03-30 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
| CN101534301B (zh) * | 2009-04-13 | 2012-09-05 | 北京星网锐捷网络技术有限公司 | 表项的安装方法和装置以及网络设备 |
| CN103001793A (zh) * | 2012-10-26 | 2013-03-27 | 杭州迪普科技有限公司 | 一种acl管理方法及装置 |
| CN103312807A (zh) * | 2013-06-20 | 2013-09-18 | 华为技术有限公司 | 数据传输方法、装置及系统 |
| CN103384222A (zh) * | 2013-06-26 | 2013-11-06 | 汉柏科技有限公司 | 一种数据流匹配acl的方法 |
| CN103812774A (zh) * | 2012-11-09 | 2014-05-21 | 华为技术有限公司 | 基于tcam的策略配置方法、报文处理方法及相应装置 |
| CN104038423A (zh) * | 2014-05-29 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种Open flow流表刷新方法及路由设备 |
| CN105099918A (zh) * | 2014-05-13 | 2015-11-25 | 华为技术有限公司 | 一种数据查找匹配的方法和装置 |
| CN105335307A (zh) * | 2014-08-13 | 2016-02-17 | 华为技术有限公司 | 一种acl规则的加载方法及装置 |
| CN106603302A (zh) * | 2016-12-29 | 2017-04-26 | 杭州迪普科技股份有限公司 | 一种acl表项管理的方法和装置 |
| CN106789859A (zh) * | 2016-01-29 | 2017-05-31 | 新华三技术有限公司 | 报文匹配方法及装置 |
| CN108572921A (zh) * | 2017-05-15 | 2018-09-25 | 北京金山云网络技术有限公司 | 规则集更新方法、装置、规则匹配方法及装置 |
| CN108650181A (zh) * | 2018-04-20 | 2018-10-12 | 济南浪潮高新科技投资发展有限公司 | 一种ip报文策略匹配电路及方法 |
| CN109688126A (zh) * | 2018-12-19 | 2019-04-26 | 迈普通信技术股份有限公司 | 一种数据处理方法、网络设备及计算机可读存储介质 |
| CN111935100A (zh) * | 2020-07-16 | 2020-11-13 | 锐捷网络股份有限公司 | Flowspec规则下发方法、装置、设备及介质 |
| WO2021115160A1 (zh) * | 2019-12-09 | 2021-06-17 | 中兴通讯股份有限公司 | Acl规则管理方法、装置、计算机设备及计算机可读介质 |
| CN113901274A (zh) * | 2021-09-10 | 2022-01-07 | 锐捷网络股份有限公司 | 一种移动tcam表项的方法、装置、设备及介质 |
| CN114301620A (zh) * | 2021-11-17 | 2022-04-08 | 北京威努特技术有限公司 | 一种基于acl时间域的快速匹配方法 |
| CN114745177A (zh) * | 2022-04-11 | 2022-07-12 | 浪潮思科网络科技有限公司 | 一种acl规则的处理方法、装置、设备及介质 |
-
2007
- 2007-03-20 CN CN200710086909A patent/CN100583829C/zh not_active Expired - Fee Related
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447940B (zh) * | 2008-12-23 | 2011-03-30 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
| CN101534301B (zh) * | 2009-04-13 | 2012-09-05 | 北京星网锐捷网络技术有限公司 | 表项的安装方法和装置以及网络设备 |
| WO2011032456A1 (zh) * | 2009-09-17 | 2011-03-24 | 中兴通讯股份有限公司 | 一种检测访问控制列表生效的方法和装置 |
| CN103001793B (zh) * | 2012-10-26 | 2015-06-10 | 杭州迪普科技有限公司 | 一种acl管理方法及装置 |
| CN103001793A (zh) * | 2012-10-26 | 2013-03-27 | 杭州迪普科技有限公司 | 一种acl管理方法及装置 |
| CN103812774A (zh) * | 2012-11-09 | 2014-05-21 | 华为技术有限公司 | 基于tcam的策略配置方法、报文处理方法及相应装置 |
| CN103812774B (zh) * | 2012-11-09 | 2017-12-15 | 华为技术有限公司 | 基于tcam的策略配置方法、报文处理方法及相应装置 |
| CN103312807B (zh) * | 2013-06-20 | 2016-12-28 | 华为技术有限公司 | 数据传输方法、装置及系统 |
| CN103312807A (zh) * | 2013-06-20 | 2013-09-18 | 华为技术有限公司 | 数据传输方法、装置及系统 |
| CN103384222A (zh) * | 2013-06-26 | 2013-11-06 | 汉柏科技有限公司 | 一种数据流匹配acl的方法 |
| CN105099918A (zh) * | 2014-05-13 | 2015-11-25 | 华为技术有限公司 | 一种数据查找匹配的方法和装置 |
| CN105099918B (zh) * | 2014-05-13 | 2019-01-29 | 华为技术有限公司 | 一种数据查找匹配的方法和装置 |
| CN104038423A (zh) * | 2014-05-29 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种Open flow流表刷新方法及路由设备 |
| CN105335307B (zh) * | 2014-08-13 | 2018-10-02 | 华为技术有限公司 | 一种acl规则的加载方法及装置 |
| CN105335307A (zh) * | 2014-08-13 | 2016-02-17 | 华为技术有限公司 | 一种acl规则的加载方法及装置 |
| CN106789859B (zh) * | 2016-01-29 | 2021-06-04 | 新华三技术有限公司 | 报文匹配方法及装置 |
| CN106789859A (zh) * | 2016-01-29 | 2017-05-31 | 新华三技术有限公司 | 报文匹配方法及装置 |
| CN106603302B (zh) * | 2016-12-29 | 2019-11-12 | 杭州迪普科技股份有限公司 | 一种acl表项管理的方法和装置 |
| CN106603302A (zh) * | 2016-12-29 | 2017-04-26 | 杭州迪普科技股份有限公司 | 一种acl表项管理的方法和装置 |
| CN108572921B (zh) * | 2017-05-15 | 2021-03-12 | 北京金山云网络技术有限公司 | 规则集更新方法、装置、规则匹配方法及装置 |
| CN108572921A (zh) * | 2017-05-15 | 2018-09-25 | 北京金山云网络技术有限公司 | 规则集更新方法、装置、规则匹配方法及装置 |
| CN108650181A (zh) * | 2018-04-20 | 2018-10-12 | 济南浪潮高新科技投资发展有限公司 | 一种ip报文策略匹配电路及方法 |
| CN109688126B (zh) * | 2018-12-19 | 2021-08-17 | 迈普通信技术股份有限公司 | 一种数据处理方法、网络设备及计算机可读存储介质 |
| CN109688126A (zh) * | 2018-12-19 | 2019-04-26 | 迈普通信技术股份有限公司 | 一种数据处理方法、网络设备及计算机可读存储介质 |
| WO2021115160A1 (zh) * | 2019-12-09 | 2021-06-17 | 中兴通讯股份有限公司 | Acl规则管理方法、装置、计算机设备及计算机可读介质 |
| CN113037681A (zh) * | 2019-12-09 | 2021-06-25 | 中兴通讯股份有限公司 | Acl规则管理方法、装置、计算机设备及计算机可读介质 |
| CN113037681B (zh) * | 2019-12-09 | 2023-09-05 | 中兴通讯股份有限公司 | Acl规则管理方法、装置、计算机设备及计算机可读介质 |
| CN111935100A (zh) * | 2020-07-16 | 2020-11-13 | 锐捷网络股份有限公司 | Flowspec规则下发方法、装置、设备及介质 |
| CN111935100B (zh) * | 2020-07-16 | 2022-05-20 | 锐捷网络股份有限公司 | Flowspec规则下发方法、装置、设备及介质 |
| CN113901274A (zh) * | 2021-09-10 | 2022-01-07 | 锐捷网络股份有限公司 | 一种移动tcam表项的方法、装置、设备及介质 |
| CN114301620A (zh) * | 2021-11-17 | 2022-04-08 | 北京威努特技术有限公司 | 一种基于acl时间域的快速匹配方法 |
| CN114301620B (zh) * | 2021-11-17 | 2024-04-16 | 北京威努特技术有限公司 | 一种基于acl时间域的快速匹配方法 |
| CN114745177A (zh) * | 2022-04-11 | 2022-07-12 | 浪潮思科网络科技有限公司 | 一种acl规则的处理方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100583829C (zh) | 2010-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101039271A (zh) | 访问控制列表规则生效的方法及装置 | |
| CN1781098A (zh) | 关联存储器中的因特网协议安全性匹配值 | |
| CN1826591A (zh) | 反向路径转发保护 | |
| WO2011038420A2 (en) | Methods, systems, and computer readable media for adaptive packet filtering | |
| CN101051939A (zh) | 一种实现网络流量负载分担的方法及装置 | |
| CN101059799A (zh) | 将规则文本数据导入数据库的方法 | |
| CN1492361A (zh) | 嵌入式数据库查询的处理方法 | |
| CN1870767A (zh) | 对定时器任务进行管理的方法 | |
| CN1731756A (zh) | 用缓慢离开机制处理用户离开、切换组播业务频道请求的方法和装置 | |
| CN1543150A (zh) | 分组分类装置和使用字段级特里结构的方法 | |
| CN1879354A (zh) | 使用反模式匹配的网络消息处理 | |
| CN101079728A (zh) | 一种优化组管理协议的方法、服务器及系统 | |
| CN101051321A (zh) | 一种多字符串匹配方法和芯片 | |
| CN1677982A (zh) | 虚拟局域网标识的可个别地编程的最高有效位 | |
| CN1400546A (zh) | 用于协议数据单元中协议模式识别的方法和设备 | |
| CN1933421A (zh) | 一种网元管理方法与系统 | |
| CN1949214A (zh) | 一种信息归并方法及系统 | |
| CN101030937A (zh) | 一种基于分群组的多级随机接入方法 | |
| CN101079890A (zh) | 一种生成特征码确定状态机的方法和装置 | |
| CN1859179A (zh) | 一种用户组播权限的管理方法 | |
| CN1719769A (zh) | 在网络设备中对接收数据包进行分类的方法 | |
| CN1414757A (zh) | 自动按序配置访问控制列表规则的方法及其应用 | |
| CN1314293C (zh) | 一种用于消息中心智能监控的系统和方法 | |
| CN1753389A (zh) | 波长路由光网络的实时软抢占方法 | |
| CN1889462A (zh) | 实现网管和网元配置操作的方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100120 Termination date: 20170320 |