CN101459576B - 一种ip acl归并优化处理的实现方法 - Google Patents
一种ip acl归并优化处理的实现方法 Download PDFInfo
- Publication number
- CN101459576B CN101459576B CN2007101722984A CN200710172298A CN101459576B CN 101459576 B CN101459576 B CN 101459576B CN 2007101722984 A CN2007101722984 A CN 2007101722984A CN 200710172298 A CN200710172298 A CN 200710172298A CN 101459576 B CN101459576 B CN 101459576B
- Authority
- CN
- China
- Prior art keywords
- acl
- rule
- merger
- address
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IPACL归并优化处理的实现方法,该方法目前应用在博达系列交换机上。所述方法对IPACL规则所涉及的动作和匹配特征进行分析,从而实现归并优化处理,解决了IPACL条目过多,使得交换机的IPACL规则测试效率也会大打折扣的技术问题,同时以往硬件表条目是有限的,这很可能硬件表不能满足用户需求的情况,IPACL归并优化处理节省了硬件表空间,也提高了交换机的硬件表查找效率。
Description
技术领域:
本发明涉及数据通信中的以太网通信领域,特别涉及一种IP ACL归并优化处理的实现方法。
背景技术:
IP访问控制列表(access control list,ACL)用于过滤IP流量,其中RFC1700定义了知名端口号,RFC 1918定义了私有IP地址空间,这样的控制可以帮助限制网络传输并通过一定的用户或设备限制网络使用。为了从交叉指定的接口中使数据包有效或无效,博达系列路由交换机提供了IP ACL。IP ACL是应用IP地址的允许和禁止条件的有序集合。博达公司路由交换机的ROS软件(用于实现交换机用户管理界面、学习二层和三层相关表项、操纵交换芯片对数据报文进行二层和三层转发等功能)在访问列表中逐个按规则测试地址。第一个匹配决定是否该软件接受或拒绝该地址。因为在第一个匹配之后,该软件停止了匹配规则,所以条件的先后次序是重要的。如果没有规则匹配,拒绝该地址。
通常用户配置IP ACL的时候往往是每条ip地址列为一个规则条目,这样造成条目较多的情况。当交换机类设备中用户对ACL的需求较复杂时,配置的ACL条目也可能较多,而硬件表条目是有限的,这很可能造成硬件表不能满足用户需求的情况,这就需要对ACL进行归并,以节省硬件表空间。
具体的说,可归并的情况有以下两种:
1、用户对连续的n个ip地址采用相同的操作,配置了n条规则,此时可以采取归并地址并缩短掩码的方法,生成m条规则,并且这m条规则匹配的报文集合与原来n条规则相同;当然这可以替换为ip地址范围的形式,但ip地址范围形式的规则在下发给硬件时同样需要拆分成地址+掩码形式下发。
2、用户对不连续的n个ip地址采用相同的操作,配置了n条规则,此时可以采取归并地址并修改掩码的方法,生成m条规则,并且这m条规则匹配的报文集合与原来n条规则相同。
上述两种可归并的情况对于现有技术,还没有非常有效地解决方案能同时就这两种情况通过一种技术处理机制来实现对IP ACL的归并优化处理。
发明内容:
鉴于上述技术问题,本发明的目的是提供一种IP ACL归并优化处理的实现方法。该方法利用设计的优化步骤和归并算法对IP ACL规则条目进行优化归并处理,减少了规则条目,这样一来提高访问测试速率,节约了相应的系统资源。
下面具体说明该技术方案:
IP ACL由具有先后顺序的一组规则组成,我们将其中的第i条规则记做Ri,将该条规则匹配得到的报文集合记做Pi。每条规则由动作和匹配项组成。其中动作分为拒绝(deny)和接受(permit)两种。匹配项由源或目的ip信息组成,ip信息可以是下列方式:
(1)地址信息和/或socket端口号,其中地址信息由地址和掩码两部分组成;源和目的地址信息和端口号都可以省略,省略时表示不限制该项;
(2)接口名,表示该接口的ip地址;
(3)ip地址范围,由起始和结束两个地址约束。
事实上2、3两种情况都可以转换为情况1,故下文分析中我们只考虑情况1,下文中将源ip地址、掩码、端口号分别记做sa、sm、sp,目的的记做da、dm、dp。
IP ACL的语义是,给定一个报文,判断报文是否属于IP ACL允许通过的报文集合,给定报文p、访问列表acl,具体算法如下:
1、由acl找到对应的规则集合{Ri},若找不到返回permit,否则依次对每一条规则做如下操作;
2、如果p属于集合Pi,则返回Ri的动作,否则继续处理下一条规则
3、如果所有规则都无法匹配,则返回deny
定义访问列表行为,指该访问列表允许通过的报文集合。
对于两条规则Ri和Rj,若它们满足下列条件,则可以将它们归并为一条规则:
1、动作相同、sp、dp、sm、dm相等;
2、sa&sm相同且da&dm只相差一位或sa&sm仅相差一位且da&dm相同:
不妨设sa&sm相同且da&dm只相差一位,该位用数字表示为b,那么归并的结果为:动作、sp、dp、sa、sm、da都不变,dm改变成dm&~b。
通过对上面的数据分析,简而言之就是IP ACL首先解析其列表中的每条规则,提取出报文通过规则的动作和匹配项(即源IP信息和目的IP信息)的满足条件,当两条规则中表达为二进制的源、目的ip地址信息与其掩码进行逻辑和操作得到的结果只有一位不同、其它条件都完全相同时,才允许被归并。
当每个报文都由CPU转发时(例如低端路由器),可以使用上述数据分析由软件实现IP ACL;当报文由硬件转发时(交换机和高端路由器),则需要将规则集合中的每一条规则下发到硬件表中,由硬件在转发报文时进行匹配。
我们定义一个访问列表中,连续若干条动作相同的规则为一个归并单元。归并单元有n条规则,我们将其中第i规则记做Ri。对每个归并单元进行归并的算法如下:
①归并标志设置为FALSE
②依次对每一条规则Ri执行下列操作,若所有Ri都执行完则转到步骤⑥:
③对于Ri,依次检查其后的每一条规则Rj:
④若Rj与Ri满足归并条件,则归并为Ri`并删除Rj,归并标志设置为TRUE,转到步骤②(内层循环结束);
⑤【Rj与Ri不满足归并条件】若仍有下一条Rj则转到步骤③(内存循环继续),否则转到步骤②(内存循环结束);
⑥【一轮循环已经结束】若归并标志为TRUE,则转到步骤①,否则流程结束。
根据上述详细分析可以看出,作为一种应用在路由交换机上的优化IP ACL的处理机制,本发明所述的IP ACL归并优化处理的实现方法,在根据和满足上述的归并条件和归并算法,对IP ACL规则条目的源IP地址,源掩码,目的IP地址,目的掩码,源IP地址池和目的IP地址池为特征字段进行分析,实现优化归并处理。
另外,整个发明方法还包括:
(1)为了取得归并效果最大化,在不影响IP ACL行为的情况下,将所有动作相同的规则放到一起,这样可以提高归并效率。
(2)为了提高查找效率,通过使用插入和删除命令,对规则进行指定位置的插入和删除操作,尽可能的把permit语句放在IP ACL的最上部,这样从上往下的进行比较时,优先找到匹配的语句,节约查找时间。
(3)对标准IP ACL进行优化,使用源IP地址,源掩码和源IP地址池为特征字段,对IP ACL规则条目进行分析,把满足归并条件的标准IP ACL规则条目进行归并简化。
(4)对扩展IP ACL进行优化,使用源IP地址,源掩码,目的IP地址,目的掩码,源IP地址池和目的IP地址池为特征字段,对IP ACL规则条目进行分析,把满足归并条件的扩展IP ACL规则条目进行归并简化。
值得指出的是,采用本发明所提供的针对IP ACL归并优化处理方案,可以保证对于处理报文的集合,所述归并优化设置的IP ACL等价于优化前的IPACL。
附图说明:
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明方法中标准IP ACL规则归并优化操作步骤的流程图。
图2为本发明方法中扩展IP ACL规则归并优化操作步骤的流程图a。
图3为本发明方法中扩展IP ACL规则归并优化操作步骤的流程图b。
扩展IP ACL规则归并优化操作步骤中共有9种情况,其中图2描述其中4种,图3描述其中另外5种。
图4为采用本发明方法对IP ACL归并优化的步骤的控制流程图。
具体实施方式:
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
根据上述发明内容,下面列举本发明的一个具体事例。
本发明定义IP ACL里的掩码也叫merge mask(归并掩码),由32位长的二进制数字组成,4个八位位组。其中1代表必须精确匹配,0代表任意匹配(即不关心),归并掩码可以通过使用正常的子网掩码屏蔽掉不关心的位得到。有如下两条规则:
Ri:permit 220.181.12.36 255.255.255.255
Rj:permit 220.181.12.37 255.255.255.255
规则Ri和Rj满足归并条件1,把它们写成2进制的形式:
Ri:11011100.10110101.00001100.00100100/32
Rj:11011100.10110101.00001100.00100101/32
规则Ri和Rj满足归并条件2,得到归并掩码255.255.255.254,则归并后的规则为
Ri:permit 220.181.12.36 255.255.255.254
下面介绍一下本例方法中IP ACL归并优化的具体技术方案:
如图1所示,这是本发明方法中标准IP ACL规则归并操作步骤。对标准规则源IP地址,源掩码和源IP地址池进行特征提取,当规则都使用源IP地址+源掩码模式时,直接可以依据归并条件进行处理;当规则都使用源IP地址池的模式时,进行地址包含关系判断,间接依据归并条件进行处理;当使用混合模式时,进行单一IP地址属于IP地址池关系的判断,间接依据归并条件进行处理。
如图2和3所示,这是本发明方法中扩展IP ACL规则归并操作步骤。对扩展规则的源IP地址,源掩码,目的IP地址,目的掩码,源IP地址池和目的IP地址池为特征字段进行特征提取,针对规则使用的模式,直接或间接的依据归并条件进行处理,可以结合实例来说明:
说明:A-前一条规则,B-后一条规则
1、两条规则四个地址全部使用掩码时
规则A和B目的地址相同,源地址仅差一位:
(A)permit ip 192.168.1.4 255.255.255.255 any
(B)permit ip 192.168.1.5 255.255.255.255 any
可以归并为permit ip 192.168.1.4 255.255.255.254 any
规则A和B源地址相同,目的地址仅差一位:
(A)permit ip any 192.168.1.4 255.255.255.255
(B)permit ip any 192.168.1.5 255.255.255.255
可以归并为permit ip any 192.168.1.4 255.255.255.254
2、两条规则四个地址全部使用ip地址池时
规则B的地址池全部包含在规则A的地址池里,或者规则A的地址池全部包含在规则B的地址池里
(A)permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.10 10.1.1.16
(B)permit ip src_range 192.168.1.5 192.168.1.6 dst_range 10.1.1.1210.1.1.15
则可归并为permit ip src_range 192.168.1.2 192.168.1.31dst_range 10.1.1.10 10.1.1.16
3、源和目的地址中,掩码与地址范围混用的情况
规则A和B源地址相同,规则A的目的地址包含在B的目的地址池;
规则A和B源地址相同,规则B的目的地址包含在A的目的地址池。
如
(A)permit ip 192.168.1.5 255.255.255.255 10.1.1.13255.255.255.255
(B)permit ip 192.168.1.5 255.255.255.255 dst_range 10.1.1.1210.1.1.15
则可归并为permit ip 192.168.1.5 255.255.255.255 dst_range10.1.1.12 10.1.1.15
(A)permit ip 192.168.1.5 255.255.255.255 dst_range 10.1.1.1210.1.1.15
(B)permit ip 192.168.1.5 255.255.255.255 10.1.1.13255.255.255.255
则可归并为permit ip 192.168.1.5 255.255.255.255 dst_range10.1.1.12 10.1.1.15
规则A和B源地址相同,规则A的目的地址池包含在B的目的地址池;
规则A和B源地址相同,规则B的目的地址池包含在A的目的地址池;
规则A和B源地址相差一位,规则A和B的目的地址池相同。
如
(A)permit ip 192.168.1.5 255.255.255.255 dst_range 10.1.1.1210.1.1.15
(B)permit ip 192.168.1.5 255.255.255.255 dst_range 10.1.1.1010.1.1.16
则可归并为permit ip 192.168.1.5 255.255.255.255 dst_range10.1.1.10 10.1.1.16
(A)permit ip 192.168.1.5 255.255.255.255 dst_range 10.1.1.1010.1.1.16
(B)permit ip 192.168.1.5 255.255.255.255 dst_range 10.1.1.1210.1.1.15
则可归并为permit ip 192.168.1.5 255.255.255.255 dst_range10.1.1.10 10.1.1.16
(A)permit ip 192.168.1.5 255.255.255.255 dst_range 10.1.1.1010.1.1.16
(B)permit ip 192.168.1.7 255.255.255.255 dst_range 10.1.1.1010.1.1.16
则可归并为permit ip 192.168.1.5 255.255.255.253 dst_range10.1.1.10 10.1.1.16
规则A和B目的地址相同,规则A的源地址包含在B的源地址池;
规则A和B目的地址相同,规则B的源地址包含在A的源地址池。
如
(A)permit ip 192.168.1.5 255.255.255.255 10.1.1.13255.255.255.255
(B)permit ip src_range 192.168.1.2 192.168.1.31 10.1.1.13255.255.255.255
则可归并为permit ip src_range 192.168.1.2 192.168.1.31 10.1.1.13255.255.255.255
(A)permit ip src_range 192.168.1.2 192.168.1.31 10.1.1.13255.255.255.255
(B)permit ip 192.168.1.5 255.255.255.255 10.1.1.13255.255.255.255
则可归并为permit ip src_range 192.168.1.2 192.168.1.31 10.1.1.13255.255.255.255
规则A的源地址包含在B的源地址池,规则A的目的地址包含在B的目的地址池;
规则B的源地址包含在A的源地址池,规则B的目的地址包含在A的目的地址池。
如
(A)permit ip 192.168.1.5 255.255.255.255 10.1.1.13255.255.255.255
(B)permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.12 10.1.1.15
则可归并为permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.12 10.1.1.15
(A)permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.12 10.1.1.15
(B)permit ip 192.168.1.5 255.255.255.255 10.1.1.13255.255.255.255
则可归并为permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.12 10.1.1.15
规则A和B目的地址相同,规则A的源地址池包含在B的源地址池;
规则A和B目的地址相同,规则B的源地址池包含在A的源地址池;
规则A和B目的地址相差一位,规则A和B的源地址池相同。
如
(A)permit ip src_range 192.168.1.7 192.168.1.15 10.1.1.1255.255.255.255
(B)permit ip src_range 192.168.1.5 192.168.1.31 10.1.1.1255.255.255.255
则可归并为permit ip src_range 192.168.1.5 192.168.1.31 10.1.1.1255.255.255.255
(A)permit ip src_range 192.168.1.5 192.168.1.31 10.1.1.1255.255.255.255
(B)permit ip src_range 192.168.1.7 192.168.1.15 10.1.1.1255.255.255.255
则可归并为permit ip src_range 192.168.1.5 192.168.1.31 10.1.1.1255.255.255.255
(A)permit ip src_range 192.168.1.5 192.168.1.31 10.1.1.1255.255.255.255
(B)permit ip src_range 192.168.1.5 192.168.1.31 10.1.1.3255.255.255.255
则可归并为permit ip src_range 192.168.1.5 192.168.1.31 10.1.1.1255.255.255.253
规则A的源地址包含在B的源地址池,规则A的目的地址池包含在B的目的地址池;
规则B的源地址包含在A的源地址池,规则B的目的地址池包含在A的目的地址池;
规则A的源地址池包含在B的源地址池,规则A的目的地址包含在B的目的地址池;
规则B的源地址池包含在A的源地址池,规则B的目的地址包含在A的目的地址池。
如
(A)permit ip 192.168.1.5 255.255.255.255 dst_range 10.1.1.1210.1.1.15
(B)permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.10 10.1.1.16
则可归并为permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.10 10.1.1.16
(A)permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.10 10.1.1.16
(B)permit ip 192.168.1.5 255.255.255.255 dst_range 10.1.1.1210.1.1.15
则可归并为permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.10 10.1.1.16
(A)permit ip src_range 192.168.1.5 192.168.1.16 10.1.1.12255.255.255.255
(B)permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.10 10.1.1.16
则可归并为permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.10 10.1.1.16
(A)permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.10 10.1.1.16
(B)permit ip src_range 192.168.1.5 192.168.1.16 10.1.1.12255.255.255.255
则可归并为permit ip src_range 192.168.1.2 192.168.1.31 dst_range10.1.1.10 10.1.1.16
如图4所示,这是采用本发明方法对IP ACL归并优化的归并控制流程。调用IP ACL归并控制过程后,首先对IP ACL预处理,为了不影响用户的配置操作,对原始IP ACL规则进行克隆,设置归并标记和控制变量。进入控制流程后,依照归并算法,对规则Ri和Rj进行归并标志判断,得到FLAG_PRE_MERGER标记,则删除Rj规则,修改Ri规则和内层循环控制变量;得到FLAG_POST_MERGER标记,则删除Ri规则,修改Rj规则和次外层循环控制变量;得到FLAG_NOT_MERGER标记,则保持Ri和Rj规则,修改内层循环控制变量。归并标记为FALSE,则结束归并控制过程。
为了提高归并速度,取得归并效果最大化,在不影响IP ACL行为的情况下,可以在配置中通过使用插入和删除命令,将所有动作相同的规则放到一起,这样可以提高归并效率和匹配测试速度。
本发明说明书中所涉及的技术名词解释:
IP ACL--ip access control list,IP访问控制列表。用于过滤IP流量。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (8)
1.一种IP ACL归并优化处理的实现方法,其特征在于,所述方法对交换机在ACL规则处理时所涉及的源IP地址、目的IP地址、源IP地址池和目的IP地址池这些特征字段进行数据分析,利用归并算法,通过简化ACL规则条目来提高查找效率和节省硬件表空间;
所述归并算法是在一个访问列表中,连续若干条动作相同的规则为一个归并单元;归并单元有n条规则,将其中第i规则记做Ri,对每个归并单元进行归并的算法如下:
①归并标志设置为FALSE;
②依次对每一条规则Ri执行下列操作,若所有Ri都执行完则转到步骤⑥;
③对于Ri,依次检查其后的每一条规则Rj;
④若Rj与Ri满足归并条件,则归并为Ri`并删除Rj,归并标志设置为TRUE,转到步骤②,内层循环结束;
⑤若Rj与Ri不满足归并条件,仍有下一条Rj则转到步骤③,内存循环继续,否则转到步骤②,内存循环结束;
⑥一轮循环已经结束后,若归并标志为TRUE,则转到步骤①,否则流程结束。
2.根据权利要求1的IP ACL归并优化处理的实现方法,其特征在于,所述对特征字段进行数据分析具体是指:IP ACL首先解析其列表中的每条规则,提取出报文通过规则的动作和匹配项的满足条件,当两条规则中表达为二进制的源、目的IP地址信息与其掩码进行逻辑和操作得到的结果只有一位不同、其它条件都完全相同时,才允许被归并;所述匹配项为源IP信息和目的IP信息。
3.根据权利要求1的IP ACL归并优化处理的实现方法,其特征在于,当每个报文都由CPU转发时,可以使用上述数据分析由软件实现IP ACL;当报文由硬件转发时,则需要将规则集合中的每一条规则下发到硬件表中,由硬件在转发报文时进行匹配。
4.根据权利要求1的IP ACL归并优化处理的实现方法,其特征在于,所述归并优化设置时,为了取得归并效果最大化和提高归并效率,在不影响IPACL行为的情况下,将所有动作相同的规则放到一起。
5.根据权利要求1的IP ACL归并优化处理的实现方法,其特征在于,所述归并优化设置时,为了提高查找效率,尽可能的把permit语句放在ACL的最上部,当流量经过了配置的有ACL的路由器的时候,将和ACL里的规则条目从上往下的进行比较,直到找到匹配的语句为止,如果没有任何匹配的语句,流量将被拒绝掉。
6.根据权利要求1的IP ACL归并优化处理的实现方法,其特征在于,所述归并优化设置时,为了提高ACL编辑效率,通过使用插入和删除命令,对规则进行指定位置的插入和删除操作,无需改动整个配置,这样可以简化ACL的配置操作。
7.根据权利要求1的IP ACL归并优化处理的实现方法,其特征在于,所述归并优化设置时,为了对标准IP ACL进行优化,使用源IP地址,源掩码和源IP地址池为特征字段,对ACL规则条目进行分析,把满足归并条件的标准IP ACL规则条目进行归并简化。
8.根据权利要求1的IP ACL归并优化处理的实现方法,其特征在于,所述归并优化设置时,为了对扩展IP ACL进行优化,使用源IP地址,源掩码,目的IP地址,目的掩码,源IP地址池和目的IP地址池为特征字段,对ACL规则条
目进行分析,把满足归并条件的扩展IP ACL规则条目进行归并简化。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101722984A CN101459576B (zh) | 2007-12-14 | 2007-12-14 | 一种ip acl归并优化处理的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101722984A CN101459576B (zh) | 2007-12-14 | 2007-12-14 | 一种ip acl归并优化处理的实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101459576A CN101459576A (zh) | 2009-06-17 |
CN101459576B true CN101459576B (zh) | 2013-07-17 |
Family
ID=40770215
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101722984A Active CN101459576B (zh) | 2007-12-14 | 2007-12-14 | 一种ip acl归并优化处理的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101459576B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101667964B (zh) * | 2009-09-18 | 2012-09-05 | 中兴通讯股份有限公司 | 一种访问控制列表规则的配置方法及装置 |
CN105100299A (zh) * | 2010-11-25 | 2015-11-25 | 华为技术有限公司 | 报文发送方法、nat表项建立方法及nat设备 |
CN102571531B (zh) * | 2010-12-16 | 2016-08-24 | 上海博达数据通信有限公司 | 一种访问控制列表的分类匹配方法 |
US8751650B2 (en) * | 2012-05-10 | 2014-06-10 | Cisco Technology, Inc. | Method and apparatus for supporting access control lists in a multi-tenant environment |
CN105306481B (zh) * | 2015-11-12 | 2018-06-19 | 北京锐安科技有限公司 | 一种访问控制策略规则的操作方法 |
CN107135203B (zh) * | 2017-04-05 | 2019-03-08 | 北京明朝万达科技股份有限公司 | 一种终端访问控制策略优化的方法及系统 |
CN108259343B (zh) * | 2017-06-14 | 2020-08-04 | 新华三技术有限公司 | 路由策略的匹配方法及装置 |
CN107783872A (zh) * | 2017-10-27 | 2018-03-09 | 郑州云海信息技术有限公司 | 分布式存储产品acl的快速响应特性的测试方法及装置 |
CN108377211B (zh) * | 2018-01-31 | 2021-06-11 | 湖南戎腾网络科技有限公司 | 基于报文内容感知的动态规则链式递归触发方法及其系统 |
CN109302409A (zh) * | 2018-10-31 | 2019-02-01 | 锐捷网络股份有限公司 | Acl访问控制策略的分析方法、装置、设备及存储介质 |
US11038889B2 (en) | 2018-11-20 | 2021-06-15 | Cisco Technology, Inc. | System and method for migrating existing access control list policies to intent based policies and vice versa |
CN111988231B (zh) * | 2020-08-20 | 2022-07-22 | 国家计算机网络与信息安全管理中心 | 一种掩码五元组规则匹配的方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1547354A (zh) * | 2003-12-17 | 2004-11-17 | 港湾网络有限公司 | 网络地址转换规则配置的优化方法 |
CN1864144A (zh) * | 2003-10-22 | 2006-11-15 | 思科技术公司 | 具有条目群组和跳过操作的关联存储器 |
-
2007
- 2007-12-14 CN CN2007101722984A patent/CN101459576B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1864144A (zh) * | 2003-10-22 | 2006-11-15 | 思科技术公司 | 具有条目群组和跳过操作的关联存储器 |
CN1547354A (zh) * | 2003-12-17 | 2004-11-17 | 港湾网络有限公司 | 网络地址转换规则配置的优化方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101459576A (zh) | 2009-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101459576B (zh) | 一种ip acl归并优化处理的实现方法 | |
CN102857493B (zh) | 内容过滤方法和装置 | |
US7565343B2 (en) | Search apparatus and search management method for fixed-length data | |
Dong et al. | Packet classifiers in ternary CAMs can be smaller | |
US7525958B2 (en) | Apparatus and method for two-stage packet classification using most specific filter matching and transport level sharing | |
US7685637B2 (en) | System security approaches using sub-expression automata | |
CN101453424B (zh) | 一种网络信息资源访问控制方法和系统 | |
US20140324900A1 (en) | Intelligent Graph Walking | |
CN104303482A (zh) | 用于分组分类的方法和设备 | |
EP3391600A1 (en) | High speed flexible packet classification using network processors | |
US9465860B2 (en) | Storage medium, trie tree generation method, and trie tree generation device | |
WO2007103397A2 (en) | Pattern matching technique for high throughput network processing | |
CN111988231B (zh) | 一种掩码五元组规则匹配的方法及装置 | |
CN112532642B (zh) | 一种基于改进Suricata引擎的工控系统网络入侵检测方法 | |
WO2008141519A1 (fr) | Méthode et structure de puce de mise en concordance de chaînes de caractères | |
Liu et al. | An overlay automata approach to regular expression matching | |
CN109408517B (zh) | 规则的多维度搜索方法、装置、设备及可读存储介质 | |
CN101222434A (zh) | 存储策略控制列表、策略搜索方法和三态寻址存储器 | |
CN103166942B (zh) | 一种恶意代码的网络协议解析方法 | |
CN106850559A (zh) | 一种可扩展的网络协议解析系统及方法 | |
CN101399747B (zh) | Acl配置实现方法 | |
CN102685008A (zh) | 基于流水线的快速流识别方法及设备 | |
CN100488173C (zh) | 对流分类算法进行自动选择的方法 | |
CN101964759B (zh) | 支持多用户的高速报文分流方法 | |
CN104104557B (zh) | 面向IPv6安全网关的深度包检测装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |