CN102868692A - 流分类策略压缩方法及系统 - Google Patents
流分类策略压缩方法及系统 Download PDFInfo
- Publication number
- CN102868692A CN102868692A CN2012103434855A CN201210343485A CN102868692A CN 102868692 A CN102868692 A CN 102868692A CN 2012103434855 A CN2012103434855 A CN 2012103434855A CN 201210343485 A CN201210343485 A CN 201210343485A CN 102868692 A CN102868692 A CN 102868692A
- Authority
- CN
- China
- Prior art keywords
- interval
- address
- application protocol
- traffic classification
- compression
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种流分类策略压缩方法及系统,其中,所述方法包括:利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及基于应用协议ID压缩应用协议类别。相比于现有技术,本发明提供了实际应用中流分类策略优化的有效途径,可在很大程度上减少流分类策略数量,从而提高流分类策略下发性能。
Description
【技术领域】
本发明涉及一种流分类策略压缩方法及系统。
【背景技术】
随着网络规模,网络应用协议复杂度不断提高,防火墙中对于流分类策略的数量,复杂度也随之提升,导致系统响应用户配置策略的时间变长,此问题即为策略下发的性能问题;策略下发性能问题,有时甚至是致命的,例如由于策略数量较多,严重消耗CPU资源,被系统Watchdog监测到致使系统重启,严重影响了用户的使用。
【发明内容】
为了解决上述问题,本发明的目的是提供一种流分类策略压缩方法。
本发明的另一目的是提供一种流分类策略压缩系统。
其中,本发明一实施方式的流分类策略压缩方法包括以下步骤:
利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及
基于应用协议ID压缩应用协议类别。
作为本发明的进一步改进,所述“利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩”步骤具体包括:
S11、初始化IP地址的区间树;
S12、读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
S13、重复S12步骤,直至读取完IP地址;
S14、扫描该区间树,得到最终的IP区间。
作为本发明的进一步改进,所述“基于应用协议ID压缩应用协议类别”具体包括:
S21、分配并初始化应用协议ID存储空间;
S22、记录该流分类策略包含的应用协ID到存储空间;
S23、重复S22步骤,直至读取流分类策略内所有的应用协议ID;
S24、扫描该存储空间,得到连续的应用协议ID区间。
相应地,本发明一实施方式的流分类策略压缩系统包括:
IP地址压缩单元,用于利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及
应用协议类别压缩单元,用于基于应用协议ID压缩应用协议类别。
作为本发明的进一步改进,所述IP地址压缩单元具体用于:
初始化IP地址的区间树;
读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
重复读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树,直至读取完IP地址;
扫描该区间树,得到最终的IP区间。
作为本发明的进一步改进,所述应用协议类别压缩单元具体用于:
分配并初始化应用协议ID存储空间;
记录该流分类策略包含的应用协ID到存储空间;
重复记录该流分类策略包含的应用协ID到存储空间,直至读取流分类策略内所有的应用协议ID;
扫描该存储空间,得到连续的应用协议ID区间。
相比于现有技术,本发明提供了实际应用中流分类策略优化的有效途径,可在很大程度上减少流分类策略数量,从而提高流分类策略下发性能。
【附图说明】
图1是本发明一实施例的流分类策略压缩方法的流程图;
图2是本发明一实施例的流分类策略压缩系统的模块图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
防火墙流分类策略必须基于流的特征,比如源MAC地址,源IP地址,目的IP地址,DSCP,端口号,应用协议类别等等,其中非常常用且规模数量较多的有IP地址和应用协议类别;
本发明通过压缩IP地址和应用协议类别这两种流分类策略特征,大大减少流分类策略数量,从而达到流分类策略压缩的目标。
如图1所示,在本发明一实施方式中,所述流分类策略压缩方法,包括以下步骤:
S1、利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;IP地址配置内容包括主机/网段/网络号,此压缩方式利用IP地址可区间的特征以及区间树算法结构完成压缩;具体做法如下:
S11、初始化IP地址的区间树;
S12、读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
S13、重复S12步骤,直至读取完IP地址;
S14、扫描该区间树,得到最终的IP区间,即为压缩后的IP地址。
S2、基于应用协议ID压缩应用协议类别;应用协议类别在流分类策略内部可用应用协议ID来标识,每种应用协议都分配唯一的应用协议ID,其应用协议ID可能是连续的,也可能是跳跃的;应用协议类别压缩基于应用协议ID,压缩的目的是把不连续的应用协议ID,尽可能的合并成连续的应用协议ID,减少流分类策略包含的应用协议数量;目前常见防火墙所能识别的应用协议数量在数千个,为了满足可扩展需要,可定义应用协议ID空间为1…65535,具体做法如下:
S21、分配并初始化应用协议ID存储空间,该空间内的每一个bit对应一个应用协议ID;
S22、记录该流分类策略包含的应用协ID到存储空间;
S23、重复S22步骤,直至读取流分类策略内所有的应用协议ID;
S24、扫描该存储空间,得到连续的应用协议ID区间,即为压缩后的应用协议ID。
如图2所示,在本发明一实施方式中,所述流分类策略压缩系统,包括:
IP地址压缩单元,用于利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;IP地址配置内容包括主机/网段/网络号,此压缩方式利用IP地址可区间的特征以及区间树算法结构完成压缩。具体地,该IP地址压缩单元用于:
初始化IP地址的区间树;
读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
重复读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树,直至读取完IP地址;
扫描该区间树,得到最终的IP区间,即为压缩后的IP地址。
应用协议类别压缩单元,用于基于应用协议ID压缩应用协议类别;应用协议类别在流分类策略内部可用应用协议ID来标识,每种协议都分配唯一的应用协议ID,其应用协议ID可能是连续的,也可能是跳跃的;应用协议类别压缩基于应用协议ID,压缩的目的是把不连续的应用协议ID,尽可能的合并成连续的应用协议ID,减少流分类策略包含的应用协议数量;目前常见防火墙所能识别的应用协议数量在数千个,为了满足可扩展需要,可定义应用协议ID空间为1…65535,具体做法如下:
分配并初始化应用协议ID存储空间,该空间内的每一个bit对应一个应用协议ID;
记录该流分类策略包含的应用协ID到存储空间;
重复记录该流分类策略包含的应用协ID到存储空间,直至读取流分类策略内所有的应用协议ID;
扫描该存储空间,得到连续的应用协议ID区间,即为压缩后的应用协议ID。
通过上述压缩算法,在某一实际流分类策略压缩中,流分类策略数量的前后对比:压缩前,流分类策略数量为65390,下发时间就超过6分钟;压缩后,流分类策略数量为1830,下发时间仅不到30秒。同时,由于数量的减少,对于流分类策略匹配性能,及系统稳定性也有一定的提升。
综上所述,本发明提供了实际应用中流分类策略优化的有效途径,可在很大程度上减少流分类策略数量,从而提高流分类策略下发性能。
应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施方式中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
Claims (6)
1.一种流分类策略压缩方法,其特征在于,所述方法包括:
利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及
基于应用协议ID压缩应用协议类别。
2.根据权利要求1所述的流分类策略压缩方法,其特征在于,所述“利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩”步骤具体包括:
S11、初始化IP地址的区间树;
S12、读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
S13、重复S12步骤,直至读取完IP地址;
S14、扫描该区间树,得到最终的IP区间。
3.根据权利要求1所述的流分类策略压缩方法,其特征在于,所述“基于应用协议ID压缩应用协议类别”具体包括:
S21、分配并初始化应用协议ID存储空间;
S22、记录该流分类策略包含的应用协ID到存储空间;
S23、重复S22步骤,直至读取流分类策略内所有的应用协议ID;
S24、扫描该存储空间,得到连续的应用协议ID区间。
4.一种流分类策略压缩系统,其特征在于,所述系统包括:
IP地址压缩单元,用于利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及
应用协议类别压缩单元,用于基于应用协议ID压缩应用协议类别。
5.根据权利要求4所述的流分类策略压缩系统,其特征在于,所述IP地址压缩单元具体用于:
初始化IP地址的区间树;
读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
重复读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树,直至读取完IP地址;
扫描该区间树,得到最终的IP区间。
6.根据权利要求4所述的流分类策略压缩系统,其特征在于,所述应用协议类别压缩单元具体用于:
分配并初始化应用协议ID存储空间;
记录该流分类策略包含的应用协ID到存储空间;
重复记录该流分类策略包含的应用协ID到存储空间,直至读取流分类策略内所有的应用协议ID;
扫描该存储空间,得到连续的应用协议ID区间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103434855A CN102868692A (zh) | 2012-09-17 | 2012-09-17 | 流分类策略压缩方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103434855A CN102868692A (zh) | 2012-09-17 | 2012-09-17 | 流分类策略压缩方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102868692A true CN102868692A (zh) | 2013-01-09 |
Family
ID=47447283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103434855A Pending CN102868692A (zh) | 2012-09-17 | 2012-09-17 | 流分类策略压缩方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102868692A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1622521A (zh) * | 2003-11-25 | 2005-06-01 | 华为技术有限公司 | 一种实现ip报文流分类的方法 |
| CN101136839A (zh) * | 2006-08-31 | 2008-03-05 | 中兴通讯股份有限公司 | 一种发现并控制端到端对等网络用户流量的方法和设备 |
| CN101162469A (zh) * | 2007-11-09 | 2008-04-16 | 清华大学 | 基于快照的细粒度文件与目录版本管理方法 |
| US7499450B2 (en) * | 2004-04-30 | 2009-03-03 | Infineon Technologies Ag | Router IP port for an IP router |
| CN101848190A (zh) * | 2009-03-23 | 2010-09-29 | 北京鼎信高科信息技术有限公司 | 基于ip地址集合和端口集合的数据包匹配处理方法 |
-
2012
- 2012-09-17 CN CN2012103434855A patent/CN102868692A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1622521A (zh) * | 2003-11-25 | 2005-06-01 | 华为技术有限公司 | 一种实现ip报文流分类的方法 |
| US7499450B2 (en) * | 2004-04-30 | 2009-03-03 | Infineon Technologies Ag | Router IP port for an IP router |
| CN101136839A (zh) * | 2006-08-31 | 2008-03-05 | 中兴通讯股份有限公司 | 一种发现并控制端到端对等网络用户流量的方法和设备 |
| CN101162469A (zh) * | 2007-11-09 | 2008-04-16 | 清华大学 | 基于快照的细粒度文件与目录版本管理方法 |
| CN101848190A (zh) * | 2009-03-23 | 2010-09-29 | 北京鼎信高科信息技术有限公司 | 基于ip地址集合和端口集合的数据包匹配处理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2674319A1 (en) | Methods and systems for solving problems with hard-coded credentials | |
| CN102932498A (zh) | 一种云计算平台的虚拟机ip资源管理方法 | |
| CN103177077B (zh) | 一种apk文件的存储及输出方法 | |
| WO2020177536A1 (zh) | 交易去重方法、交易构造方法、设备和存储介质 | |
| US10171367B2 (en) | Apparatus and method to improve compression and storage of data | |
| CN105472056A (zh) | Dns递归服务器分层缓存方法和系统 | |
| CN104504006A (zh) | 对新闻客户端的数据采集及解析的方法及系统 | |
| CN102984267A (zh) | 一种实现分布式缓存节点动态更新到客户端的方法及系统 | |
| CN102904977A (zh) | 网络地址分配方法、服务器和节点 | |
| CN105491078A (zh) | Soa系统中的数据处理方法及装置、soa系统 | |
| CN106599120A (zh) | 基于流处理框架的数据处理方法及装置 | |
| CN104144223A (zh) | 一种数据获取方法及装置 | |
| CN105659503A (zh) | 用于提供多用户节电码本优化的系统和方法 | |
| US9633035B2 (en) | Storage system and methods for time continuum data retrieval | |
| CN105554181B (zh) | 一种dns日志压缩方法和装置 | |
| US9864536B2 (en) | System and method for conserving power consumption in a memory system | |
| CN101615130A (zh) | 业务功能管理系统和方法 | |
| CN109684084A (zh) | 一种总线资源的分配方法、系统及相关组件 | |
| CN104063377A (zh) | 信息处理方法和使用其的电子设备 | |
| CN102868692A (zh) | 流分类策略压缩方法及系统 | |
| CN102523112B (zh) | 信息处理方法及设备 | |
| CN102999728B (zh) | 基于安全桌面的数据存储方法及装置 | |
| CN103491057A (zh) | 一种共享会话数据的方法、系统及装置 | |
| CN103078766B (zh) | 网络流量的审计方法、装置及网络设备 | |
| CN106815250A (zh) | 一种发送数据的方法、数据服务器以及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130109 |