CN103384222B - 一种数据流匹配acl的方法 - Google Patents
一种数据流匹配acl的方法 Download PDFInfo
- Publication number
- CN103384222B CN103384222B CN201310257486.2A CN201310257486A CN103384222B CN 103384222 B CN103384222 B CN 103384222B CN 201310257486 A CN201310257486 A CN 201310257486A CN 103384222 B CN103384222 B CN 103384222B
- Authority
- CN
- China
- Prior art keywords
- acl
- nat
- module
- message
- matched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种数据流匹配ACL的方法,其特征在于,包括以下步骤:S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn;S2:防火墙设备接收报文,对报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,ACL模块的匹配顺序变为ACLm、ACL1、ACL2……ACLn。本发明防火墙设备中的NAT功能进行了优化,当有NAT匹配规则被匹配上之后,就提升此NAT匹配规则的被匹配的优先级,将NAT匹配规则被流量匹配的顺序动态的变化,使当前最容易被匹配上的NAT匹配规则在下次报文匹配的时候首先被使用,通过以上方法来优化报文被NAT匹配的规则。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种数据流匹配ACL的方法。
背景技术
ACL(Access Control List,访问控制列表)通常被使用在三层流过滤(是否报文被准许通过)、IPSEC隧道规则匹配(是否报文需要加密)、NAT规则匹配(是否报文需要做NAT转换)等。以NAT规则匹配为例,NAT功能判断哪些报文需要进行NAT转换是通过匹配NAT规则实现的,NAT匹配规则实际上就是使用ACL对报文进行匹配,当报文匹配上指定的ACL(此ACL就是NAT匹配规则)之后,就对此报文进行NAT转换,如果匹配不上此ACL,则报文不作NAT转换,而进行其它业务处理。在此过程中,通常流量最大的时候,是相同的一组背景流(此相同的一组背景流指的是需要做相同转换的报文)。当配置了很多个NAT转换的时候,流量就会按照NAT转换匹配的顺序一个一个的匹配每个NAT对应的NAT匹配规则,此时往往在流量最大的时候只有一个或者几个NAT会被匹配上,其他NAT匹配规则根本就没有流量,如果此时没有流量的NAT配置在了前面,那么每个报文都需要先匹配一遍这个没用的NAT匹配规则。这就会造成报文转发效率非常低。
发明内容
(一)要解决的技术问题
本发明要解决的是现有技术中,报文进行NAT转换时,所有报文需要对全部ACL进行遍历一次的匹配所造成的效率较低的问题。
(二)技术方案
为解决上述技术问题,本发明提供了一种数据流匹配ACL的方法,其特征在于,
包括以下步骤:
S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn;
S2:防火墙设备接收报文,对所述报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,ACL模块的匹配顺序变为ACLm、ACL1、ACL2……ACLn。
所述步骤S1之前还包括将在同一时段上网的用户的IP地址设置在同一ACL模块的地址池中。
(三)有益效果
本发明的数据流匹配ACL的方法对防火墙设备中的NAT模块进行优化,按照用户需求将ACL分为若干组,报文先对全部ACL分组进行遍历,匹配成功后将匹配上的ACL组的优先级设置为最高级,其余ACL分组的匹配顺序不变,则下次报文先对最高级的ACL进行匹配,节约了匹配的时间。
具体实施方式
下面对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本实施方式的方法包括以下步骤:
S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn;
S2:防火墙设备接收报文,对报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,其余ACL模块的匹配顺序不变,即匹配顺序调整为ACLm、ACL1、ACL2……ACLn;防火墙设备再次接收报文,对报文进行ACL匹配,匹配顺序为ACLm、ACL1、ACL2……ACLn。
进一步地,步骤S1之前还包括将在同一时段上网的用户的IP地址设置在同一ACL模块的地址池中。
本发明防火墙设备中的NAT功能进行了优化,当有NAT匹配规则被匹配上之后,就提升此NAT匹配规则的被匹配的优先级,将NAT匹配规则被流量匹配的顺序动态的变化,使当前最容易被匹配上的NAT匹配规则在下次报文匹配的时候首先被使用,通过以上方法来优化报文被NAT匹配的规则。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (2)
1.一种数据流匹配ACL的方法,其特征在于,
包括以下步骤:
S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn;
S2:防火墙设备接收报文,对所述报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,ACL模块的匹配顺序变为ACLm、ACL1、ACL2……ACLn。
2.根据权利要求1所述一种数据流匹配ACL的方法,其特征在于,所述步骤S1之前还包括将在同一时段上网的用户的IP地址设置在同一ACL模块的地址池中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310257486.2A CN103384222B (zh) | 2013-06-26 | 2013-06-26 | 一种数据流匹配acl的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310257486.2A CN103384222B (zh) | 2013-06-26 | 2013-06-26 | 一种数据流匹配acl的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103384222A CN103384222A (zh) | 2013-11-06 |
| CN103384222B true CN103384222B (zh) | 2016-09-14 |
Family
ID=49491921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310257486.2A Expired - Fee Related CN103384222B (zh) | 2013-06-26 | 2013-06-26 | 一种数据流匹配acl的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103384222B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092612A (zh) * | 2014-06-05 | 2014-10-08 | 汉柏科技有限公司 | 更新快速转发表匹配顺序的方法及装置 |
| CN105744010A (zh) * | 2014-12-12 | 2016-07-06 | 中兴通讯股份有限公司 | 一种网络地址转换与访问控制列表规则聚合方法和装置 |
| CN106842915B (zh) * | 2016-12-22 | 2020-02-18 | 首都师范大学 | 一种用于机器人分布式控制系统的形式建模方法及装置 |
| CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1708029A (zh) * | 2004-06-08 | 2005-12-14 | 华为技术有限公司 | 建立转发流表的方法 |
| CN102724131A (zh) * | 2012-06-29 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种ip报文等价路由均衡实现的方法及装置 |
| CN103078794A (zh) * | 2013-01-08 | 2013-05-01 | 杭州华三通信技术有限公司 | 一种报文处理控制方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1414757A (zh) * | 2002-05-08 | 2003-04-30 | 华为技术有限公司 | 自动按序配置访问控制列表规则的方法及其应用 |
| CN100488173C (zh) * | 2006-11-24 | 2009-05-13 | 中兴通讯股份有限公司 | 对流分类算法进行自动选择的方法 |
| CN100583829C (zh) * | 2007-03-20 | 2010-01-20 | 华为技术有限公司 | 访问控制列表规则生效的方法及装置 |
| CN101141304B (zh) * | 2007-09-18 | 2010-11-24 | 杭州华三通信技术有限公司 | Acl规则的管理方法和设备 |
| CN101447940B (zh) * | 2008-12-23 | 2011-03-30 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
-
2013
- 2013-06-26 CN CN201310257486.2A patent/CN103384222B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1708029A (zh) * | 2004-06-08 | 2005-12-14 | 华为技术有限公司 | 建立转发流表的方法 |
| CN102724131A (zh) * | 2012-06-29 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种ip报文等价路由均衡实现的方法及装置 |
| CN103078794A (zh) * | 2013-01-08 | 2013-05-01 | 杭州华三通信技术有限公司 | 一种报文处理控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103384222A (zh) | 2013-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103428094B (zh) | 开放流OpenFlow系统中的报文转发方法及装置 | |
| CN103384222B (zh) | 一种数据流匹配acl的方法 | |
| CN103220287B (zh) | 利用acl对报文进行业务匹配的方法 | |
| CN104994065A (zh) | 基于软件定义网络的访问控制列表运行系统和方法 | |
| GB2478470A (en) | Method and apparatus for network port and network address translation | |
| US10805390B2 (en) | Automated mirroring and remote switch port analyzer (RSPAN) functions using fabric attach (FA) signaling | |
| CN105939291B (zh) | 报文处理方法和网络设备 | |
| ATE512537T1 (de) | Verfahren und vorrichtung zur verteilung von gruppendaten in einem getunnelten und verschlüsselten virtuellen privaten netzwerk | |
| JP2018067927A (ja) | 中継装置を有するネットワーク内の3つのアドレスのみ適応できるアクセスポイントにおけるレイヤ−2アドレスの管理 | |
| CN103986658A (zh) | 一种报文输出方法及装置 | |
| CN101667969A (zh) | L2vpn网络接入ip/l3vpn网络的方法和装置 | |
| CN102130812A (zh) | 一种未知单播数据帧的处理方法、装置及系统 | |
| CN106685827A (zh) | 一种下行报文的转发方法及ap设备 | |
| EP3200398A1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| CN101771611A (zh) | 在vlan内精确转发ip组播数据的方法和转发设备 | |
| CN101296168A (zh) | 芯片内部连接表支持策略路由的方法 | |
| CN105429881B (zh) | 一种组播报文转发方法和装置 | |
| CN105933133A (zh) | 用于相同ip网络设备的批量升级的升级系统及方法 | |
| CN107547535A (zh) | 防攻击的mac地址学习方法、装置和网络设备 | |
| CN106161115A (zh) | 一种应用于vxlan的设备管理方法及装置 | |
| CN102595248A (zh) | 组播转发表项维护方法及协议无关组播路由器 | |
| CN103795705A (zh) | 用于交换安全的数据包的时间锁定的网络和节点 | |
| CN103209107A (zh) | 一种实现用户访问控制的方法 | |
| CN103368858A (zh) | 多策略组合加载的流量清洗方法及装置 | |
| CN104410577A (zh) | 一种广播报文的传输方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160914 Termination date: 20180626 |