CN104079588A - 过滤表项的安装方法和网络设备 - Google Patents
过滤表项的安装方法和网络设备 Download PDFInfo
- Publication number
- CN104079588A CN104079588A CN201410350347.9A CN201410350347A CN104079588A CN 104079588 A CN104079588 A CN 104079588A CN 201410350347 A CN201410350347 A CN 201410350347A CN 104079588 A CN104079588 A CN 104079588A
- Authority
- CN
- China
- Prior art keywords
- filter table
- force
- behavior
- input phase
- output stage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明提供一种过滤表项的安装方法和网络设备,一种过滤表项的安装方法,通过获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎,使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效,解决了当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
Description
技术领域
本发明涉及通信技术,尤其涉及一种过滤表项的安装方法和网络设备。
背景技术
接入控制功能是网络设备上对接入用户进行控制的功能的统称,包括认证、安全通道等。访问控制列表(ACL,Access Control List)是网络安全防范和保护的主要策略,目的是为了保证网络资源不被非法使用和访问。
现有技术中,接入控制和ACL功能都需要通过过滤表项在网络设备硬件上实现。接入控制和ACL分别对应输入阶段并行查找的引擎,每个引擎对应一张由多个过滤表项组成的过滤表。当用户报文到达网络设备端口时,若该端口上配置有过滤策略,则引擎会自动按顺序检查报文是否与过滤表中的某一条过滤表项匹配,若匹配成功,则引擎直接返回匹配项的行为。若该端口配置了多个引擎,则并行查找多张过滤表,若每张过滤表查找到匹配项,都会返回该匹配项的行为。最后,所有返回的行为再进行行为决策,若行为不冲突,则同时执行;若行为冲突(例如,一引擎返回行为是丢弃,另一引擎返回的行为是不丢弃),则拥有高优先级的引擎的行为优先执行。
但是,现有技术中,若多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
发明内容
本发明提供一种过滤表项的安装方法和网络设备,用以解决现有技术中当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
本发明提供一种过滤表项的安装方法,包括:
获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为;
为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;
将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件;
其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
本发明提供一种网络设备,包括:
第一获取模块,用于获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为;
分配模块,用于为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;
安装模块,用于将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件;
其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
本发明提供的过滤表项的安装方法和网络设备,通过获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎,使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效,解决了当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
附图说明
图1为本发明过滤表项的安装方法实施例一的流程图;
图2为本发明过滤表项的安装方法实施例二的流程图;
图3为本发明网络设备实施例一的结构示意图;
图4为本发明网络设备实施例二的结构示意图。
具体实施方式
图1为本发明过滤表项的安装方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
步骤101、获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为;
其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
步骤102、为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;
步骤103、将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件。
现有技术中,接入控制功能和ACL功能分别对应输入阶段并行查找的引擎,每个引擎对应一张由多个过滤表项组成的过滤表。本发明中,获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎。
现有技术中,由于接入控制功能和ACL功能分别对应输入阶段并行查找的引擎,每个引擎对应一张由多个过滤表项组成的过滤表;当用户报文到达网络设备端口时,各引擎并行查找多张过滤表,若每张过滤表查找到匹配项,都会返回该匹配项的行为;若返回的行为冲突,则拥有高优先级的引擎的行为优先执行;因此,当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。通过本发明中获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎,使得当用户报文到达网络设备端口时,输入阶段生效的过滤表与输出阶段生效的过滤表分别对应的引擎并行对该报文进行查找过滤,并且首先在输入阶段时生效所述输入阶段生效的过滤表对应引擎所返回的行为,然后在输出阶段时生效所述输出阶段生效的过滤表对应引擎所返回的行为,使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效,解决了当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
本实施例,通过获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎,使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效,解决了当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
图2为本发明过滤表项的安装方法实施例二的流程图,如图2所示,本实施例的方法可以包括:
步骤201、根据硬件所支持的过滤行为,确定输入阶段行为池以及输出阶段行为池;其中,所述输入阶段行为池包括在输入阶段生效的硬件实现行为,所述输出阶段行为池包括在输出阶段生效的硬件实现行为;
其中,硬件可以为网络设备中的媒体接入控制器(MAC,Media AccessController)芯片。
其中,网络设备可以为交换机或路由器。
其中,输入阶段可以为网络设备端口接收到用户报文后,网络设备确定该用户报文的输出端口前的阶段;输出阶段可以为网络设备确定所述用户报文的输出端口后,网络设备将所述用户报文发送至对应输出端口前的阶段。
需要说明的是,接入控制功能包括认证、安全通道等,本发明中以认证为例进行说明。
对于认证功能,用户分为已认证用户和未认证用户,在未认证用户完成认证之前,不允许访问网络。因此,网络设备上需要实现认证用户的报文允许通过(permit)及未认证用户的报文丢弃(deny)的功能。
对于ACL功能,对用户报文是否能通过该网络设备进行控制:允许通过或丢弃。
例如,若硬件支持的过滤行为为允许通过和丢弃时,则输入阶段行为池包括丢弃(drop)、不丢弃(drop cancle)行为(其中,drop行为和drop cancle行为为在输入阶段生效的硬件实现行为),输出阶段行为池包括所有端口都不允许输出报文(端口block位图中所有端口对应的bit位设置为1,以下简称egress mask(all bit))、所有端口都允许输出报文(端口block位图中所有端口对应的bit位设置为0,以下简称egress mask(no bit))(其中,egressmask(all bit)行为和egress mask(no bit)行为为在输出阶段生效的硬件实现行为)。
需要说明的是,本实施例中输入阶段生效的硬件实现行为drop cancle和drop,输出阶段生效的硬件实现行为egress mask(all bit)和egress mask(nobit)仅为一举例;在具体实现时,应根据硬件实际支持的输出阶段生效的硬件实现行为和实际支持的输入阶段生效的硬件实现行为的变化。
步骤202、获取所述ACL功能过滤表和所述接入控制功能过滤表;
ACL功能过滤表和接入控制功能过滤表由过滤表项组成,每一条过滤表项中包括匹配条件及该匹配条件对应的行为。
例如,ACL功能过滤表可以如表1所示:
表1
需要说明的是,引擎在确定用户报文是否与过滤表中某一条过滤表项匹配时,搜索过滤表的方式是从上至下,如果有满足某一过滤表项的匹配条件时,则直接返回该匹配条件对应的行为。由此也可以看出,过滤表内部各过滤表项之间也存在优先级顺序,过滤表从上至下优先级依次降低。
表1ACL功能过滤表对应实现了端口10内除源IP地址为1.1.1.3的其他报文不允许通过的过滤规则。
例如,接入控制功能过滤表可以如表2所示:
表2
| 过滤表项 | 匹配条件 | 行为 |
| 过滤表项1 | 源IP地址=1.1.1.1 | permit |
| 过滤表项2 | 源IP地址=1.1.1.2 | permit |
| 过滤表项3 | 所有报文 | deny |
表2接入控制功能过滤表对应实现了只有源IP地址为1.1.1.1和1.1.1.2的用户认证通过的过滤规则。
需要说明的是,本实施例中步骤201与步骤202之间没有先后关系。
步骤203、根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表;
具体的,若所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表,相应的,所述根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表,包括:将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;
若所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表,相应的,所述根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表,包括:将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表。
其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为。
例如,基于步骤201中的表1和表2,当所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表时,输入阶段生效的过滤表如表3所示:
表3
| 过滤表项 | 匹配条件 | 行为 |
| 过滤表项1 | 源IP地址=1.1.1.1 | drop cancle |
| 过滤表项2 | 源IP地址=1.1.1.2 | drop cancle |
| 过滤表项3 | 所有报文 | drop |
输出阶段生效的过滤表如表4所示:
表4
| 过滤表项 | 匹配条件 | 行为 |
| 过滤表项1 | 端口=10;源IP地址=1.1.1.3 | egress mask(no bit) |
| 过滤表项2 | 端口=10 | egress mask(all bit) |
基于步骤201中的表1和表2,当所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表时,输入阶段生效的过滤表如表5所示:
表5
| 过滤表项 | 匹配条件 | 行为 |
| 过滤表项1 | 端口=10;源IP地址=1.1.1.3 | drop cancle |
| 过滤表项2 | 端口=10 | drop |
输出阶段生效的过滤表如表6所示:
表6
| 过滤表项 | 匹配条件 | 行为 |
| 过滤表项1 | 源IP地址=1.1.1.1 | egress mask(no bit) |
| 过滤表项2 | 源IP地址=1.1.1.2 | egress mask(no bit) |
| 过滤表项3 | 所有报文 | egress mask(all bit) |
表3、表4、表5、表6中,drop及drop cancle行为为在输入阶段生效的硬件实现行为,egress mask(no bit)及egress mask(all bit)行为为在输出阶段生效的硬件实现行为。
步骤204、为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;
具体的,为所述输入阶段生效的过滤表分配第一引擎,为所述输出阶段生效的过滤表分配第二引擎,且所述第一引擎与所述第二引擎在网络设备端口收到用户报文时,对该用户报文进行并行查找过滤。
需要说明的是,对于输入阶段生效的引擎,在返回行为(输入阶段生效的硬件实现行为)后,生效该行为;对于输出阶段生效的引擎,在返回行为(输出阶段生效的硬件实现行为)后,可以将该行为携带在报文的头部,以使报文在输出阶段时,能够生效携带的该行为。需要说明的是,输入阶段生效的引擎和输出阶段生效的引擎是并行查找的,上述操作之间可以根据获得行为的顺序依次执行,也可以按照其他约定顺序执行。
步骤205、将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件。
其中,若输入阶段生效的过滤表或输出阶段生效的过滤表所占空间大于对应引擎的资源,则为所述输入阶段生效的过滤表或所述输出阶段生效的过滤表分配多个优先级连续的引擎。
例如,若输入阶段生效的过滤表所占空间为50KB,引擎的资源为40KB;则需要为该输入阶段生效的过滤表分配优先级连续的两个引擎;例如,分配了第三引擎和第四引擎,其中第三引擎的优先级为2,第四引擎的优先级为3,且将优先级高的过滤表项部分对应至第三引擎(优先级较高的引擎),将剩余过滤表项部分对应至第四引擎(优先级较低的引擎)。当用户报文到达网络设备端口时,第三引擎和第四引擎也进行并行查找;并且在第三引擎和第四引擎都返回行为时,拥有高优先级的引擎的行为优先执行。需要说明的是,当第三引擎没有查找到匹配项时,则不返回行为。
以下,基于步骤201~步骤205的方法安装过滤表后,对ACL功能和接入控制功能的用户报文过滤过程进行举例:
假设,输入阶段生效的过滤表为接入控制功能对应的过滤表,输出阶段生效的过滤表为ACL功能对应的过滤表;输入阶段生效的过滤表如表3所示,输出阶段生效的过滤表如表4所示;输入阶段生效的过滤表对应分配引擎1,输出阶段生效的过滤表对应分配引擎2。
若源IP地址为1.1.1.3的用户报文从端口10进来,引擎1会查找到最后的deny表项,返回drop行为,引擎2则会查找到第一条permit表项,产生egress mask(no bit)行为。drop行为在输入阶段生效,把报文丢弃了,输出阶段的egress mask(no bit)行为也就不会执行了。这样,就确保了接入控制功能不受ACL功能的影响,正常生效。
若源IP地址为1.1.1.2的用户报文从端口10进来,引擎1会查找到第二条permit表项,返回drop cancle行为,引擎2则会查找到最后一条deny表项,产生egress mask(all bit)行为。输入阶段生效的drop cancle行为将该用户报文放行,该用户报文到输出阶段时生效egress mask(all bit)行为,最后被丢弃。同样确保了ACL功能不受接入控制功能的影响,正常生效。
现有技术中,接入控制功能和ACL功能分别对应输入阶段并行查找的引擎,每个引擎对应一张由多个过滤表项组成的过滤表,接入控制功能和ACL功能分别对应输入阶段并行查找的引擎,每个引擎对应一张由多个过滤表项组成的过滤表。当用户报文到达网络设备端口时,各引擎并行查找多张过滤表,若每张过滤表查找到匹配项,都会返回该匹配项的行为;若返回的行为冲突,则拥有高优先级的引擎的行为优先执行;因此,当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
本实施例,通过获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎,使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效,解决了当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
图3为本发明网络设备实施例一的结构示意图,如图3所示,本实施例的网络设备可以包括:第一获取模块301、分配模块302和安装模块303。其中,第一获取模块301,用于获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为;分配模块302,用于为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;安装模块303,用于将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件;
其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
本实施例的网络设备,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4为本发明网络设备实施例二的结构示意图,如图4所示,本实施例的网络设备在图3所示网络设备结构的基础上,进一步地,还可以包括:行为池创建模块304,该行为池创建模块304,用于根据硬件所支持的过滤行为,确定输入阶段行为池以及输出阶段行为池;其中,所述输入阶段行为池包括在输入阶段生效的硬件实现行为,所述输出阶段行为池包括在输出阶段生效的硬件实现行为;第一获取模块301,具体用于:根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表。
可选的,本实施例的网络设备还可以包括:第二获取模块305,该第二获取模块305,用于获取所述ACL功能过滤表和所述接入控制功能过滤表;
进一步的,第一获取模块301,具体用于:
若所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表,将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;
若所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表,将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表。
可选的,分配模块302,具体用于若输入阶段生效的过滤表或输出阶段生效的过滤表所占空间大于对应引擎的资源,则为所述输入阶段生效的过滤表或所述输出阶段生效的过滤表分配多个优先级连续的引擎。
本实施例的网络设备,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (8)
1.一种过滤表项的安装方法,其特征在于,包括:
获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为;
为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;
将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件;
其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
2.根据权利要求1所述的方法,其特征在于,所述获取输入阶段生效的过滤表及输出阶段生效的过滤表之前,还包括:
根据硬件所支持的过滤行为,确定输入阶段行为池以及输出阶段行为池;其中,所述输入阶段行为池包括在输入阶段生效的硬件实现行为,所述输出阶段行为池包括在输出阶段生效的硬件实现行为;
相应的,所述获取输入阶段生效的过滤表及输出阶段生效的过滤表,包括:
根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表。
3.根据权利要求2所述的方法,其特征在于,所述获取输入阶段生效的过滤表及输出阶段生效的过滤表之前,还包括:
获取所述ACL功能过滤表和所述接入控制功能过滤表;
若所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表,相应的,所述根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表,包括:
将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;
若所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表,相应的,所述根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表,包括:
将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表。
4.根据权利要求1~3任一项所述的方法,其特征在于,所述为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,包括:
若输入阶段生效的过滤表或输出阶段生效的过滤表所占空间大于对应引擎的资源,则为所述输入阶段生效的过滤表或所述输出阶段生效的过滤表分配多个优先级连续的引擎。
5.一种网络设备,其特征在于,包括:
第一获取模块,用于获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为;
分配模块,用于为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;
安装模块,用于将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件;
其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
6.根据权利要求5所述的网络设备,其特征在于,还包括:
行为池创建模块,用于根据硬件所支持的过滤行为,确定输入阶段行为池以及输出阶段行为池;其中,所述输入阶段行为池包括在输入阶段生效的硬件实现行为,所述输出阶段行为池包括在输出阶段生效的硬件实现行为;
所述第一获取模块,具体用于:根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表。
7.根据权利要求6所述的网络设备,其特征在于,还包括:
第二获取模块,用于获取所述ACL功能过滤表和所述接入控制功能过滤表;
所述第一获取模块,具体用于:
若所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表,将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;
若所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表,将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表。
8.根据权利要求5~7任一项所述的网络设备,其特征在于,所述分配模块,具体用于:
若输入阶段生效的过滤表或输出阶段生效的过滤表所占空间大于对应引擎的资源,则为所述输入阶段生效的过滤表或所述输出阶段生效的过滤表分配多个优先级连续的引擎。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410350347.9A CN104079588B (zh) | 2014-07-22 | 2014-07-22 | 过滤表项的安装方法和网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410350347.9A CN104079588B (zh) | 2014-07-22 | 2014-07-22 | 过滤表项的安装方法和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104079588A true CN104079588A (zh) | 2014-10-01 |
| CN104079588B CN104079588B (zh) | 2017-05-24 |
Family
ID=51600630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410350347.9A Active CN104079588B (zh) | 2014-07-22 | 2014-07-22 | 过滤表项的安装方法和网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104079588B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112702311A (zh) * | 2020-11-30 | 2021-04-23 | 锐捷网络股份有限公司 | 一种基于端口的报文过滤方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070156757A1 (en) * | 2005-12-21 | 2007-07-05 | Xiaofeng Tang | computer-implemented method and system for enabling the automated selection of keywords for rapid keyword portfolio expansion |
| CN102143186A (zh) * | 2011-04-01 | 2011-08-03 | 华为技术有限公司 | 访问控制方法、装置及系统 |
| CN102857513A (zh) * | 2012-09-19 | 2013-01-02 | 北京星网锐捷网络技术有限公司 | 过滤表项安装方法、装置及网络设备 |
-
2014
- 2014-07-22 CN CN201410350347.9A patent/CN104079588B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070156757A1 (en) * | 2005-12-21 | 2007-07-05 | Xiaofeng Tang | computer-implemented method and system for enabling the automated selection of keywords for rapid keyword portfolio expansion |
| CN102143186A (zh) * | 2011-04-01 | 2011-08-03 | 华为技术有限公司 | 访问控制方法、装置及系统 |
| CN102857513A (zh) * | 2012-09-19 | 2013-01-02 | 北京星网锐捷网络技术有限公司 | 过滤表项安装方法、装置及网络设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112702311A (zh) * | 2020-11-30 | 2021-04-23 | 锐捷网络股份有限公司 | 一种基于端口的报文过滤方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104079588B (zh) | 2017-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2999176B1 (en) | Searching method and device for multilevel flow table | |
| US8661499B2 (en) | Dynamic policy trees for matching policies | |
| CN107239710B (zh) | 一种数据库权限实现方法和系统 | |
| EP2426888A2 (en) | Methods and apparatus associated with dynamic access control based on a task/trouble ticket | |
| US20140095682A1 (en) | System and Method for Performing Administrative Tasks on Mobile Devices | |
| WO2016108987A4 (en) | Multi-level security system for enabling secure file sharing across multiple security levels and method thereof | |
| CN101655892A (zh) | 一种移动终端和访问控制方法 | |
| US20110153650A1 (en) | Column-based data managing method and apparatus, and column-based data searching method | |
| CN104796383B (zh) | 一种终端信息防篡改的方法和装置 | |
| CN110968894B (zh) | 一种针对游戏业务数据的细粒度访问控制方案 | |
| CN104870068B (zh) | 一种接入网络的方法及路由器 | |
| US10135744B2 (en) | Prioritizing at least one flow class for an application on a software defined networking controller | |
| US20120246163A1 (en) | Hash table storage and search methods and devices | |
| CN108540427B (zh) | 冲突检测方法和检测设备、访问控制方法和访问控制装置 | |
| CN103701822A (zh) | 访问控制方法 | |
| CN102148715A (zh) | 虚拟网络配置迁移的方法及设备 | |
| CN110213290A (zh) | 数据获取方法、api网关以及存储介质 | |
| CN103533616A (zh) | 一种AP设备加入Mesh网络的方法和设备 | |
| CN103200071A (zh) | 一种mstp多实例计算方法和设备 | |
| CN106021339B (zh) | 面向资源树的语义查询方法及系统 | |
| Zhao et al. | Stabilization of jump linear systems with mode‐dependent time‐varying delays | |
| CN103778364A (zh) | 管理应用于应用的许可设置 | |
| CN109688126B (zh) | 一种数据处理方法、网络设备及计算机可读存储介质 | |
| CN103139136A (zh) | 一种密码的管理方法和设备 | |
| CN104079588A (zh) | 过滤表项的安装方法和网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Fujian Xingwangruijie Network Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |