CN106506468A - 一种减少ace条目消耗的方法 - Google Patents
一种减少ace条目消耗的方法 Download PDFInfo
- Publication number
- CN106506468A CN106506468A CN201610928528.4A CN201610928528A CN106506468A CN 106506468 A CN106506468 A CN 106506468A CN 201610928528 A CN201610928528 A CN 201610928528A CN 106506468 A CN106506468 A CN 106506468A
- Authority
- CN
- China
- Prior art keywords
- group
- management
- ace
- switches
- minimizing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种减少ACE条目消耗的方法,包括交换机组和PC管理组,所述交换机组内分别设置有一条ACE下发至芯片,通过所述芯片创建策略组至PC管理组,在所述交换机组和PC管理组之间划定权限组,在交换机组访问控制列表中控制PC管理组之间的访问权限,实现访问控制的权限。本发明通过创建策略组的方案,通过PC管理组即可实现需要匹配大量ACL的问题,从而很大程度的节约TCAM资源,并且也能够简化管理操作。
Description
技术领域
本发明涉及网络处理器技术领域,尤其涉及一种减少ACE条目消耗的方法。
背景技术
传统的ACL(Access Control List,以下简称ACL,中文译为访问控制列表,是路由器和交换机接口的指令列表,用来控制端口进出的数据包)技术,就是用来实现流识别功能的,网络设备为了过滤报文,需要匹配一系列的匹配条件对报文进行分类,这些条件可以是报文的SrcMAC(source mac Address源MAC地址)、DestMAC(dest mac Address目的MAC地址)、SrcIP(source ip Address源IP地址)、DestIP(dest ip Address目的IP地址)、SrcPort(layer 4source port 4层协议源port)、DestPort(layer 4source port 4层协议目的port)等信息,当设备的端口收到报文后,就可以根据端口上应用的ACL规则对报文进行分析,当发现报文匹配到这个ACL规则的关键字时,就可以根据设定的ACL的处理报文,常见的处理报文包括允许报文通过、丢弃报文、编辑报文等等。ACL以前常见的部署是点到点,比如某个互联网协议或网段到某个目的IP的许可或拒绝,比如企业网中不同部门之间访问权限,以及到公用设备比如打印机等的权限,以前需要很多条ACE(ACL Entry,就是acl的具体条目)。
上述提到的现有方案,由于对于每一个匹配规则都需要去常见一条ACE,那么比如会消耗掉大量的ACE,对于芯片来说,这些资源往往是通过TCAM(ternary contentaddressable memory,三态内容寻址寄存器,以下简称TCAM)实现,而TCAM又是相对较为宝贵的资源,目前的方案相对来说并不算一种比较节约资源的方案。当ACE很多时,相对而言管理工作较为繁杂。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种减少ACE条目消耗的方法,通过创建策略组的方案,通过PC管理组即可实现需要匹配大量ACL的问题,从而很大程度的节约TCAM资源,并且也能够简化管理操作。
为实现上述目的,本发明提出如下技术方案:一种减少ACE条目消耗的方法,包括交换机组和PC管理组,所述交换机组内分别设置有一条ACE下发至芯片,通过所述芯片创建策略组至PC管理组,在所述交换机组和PC管理组之间划定权限组,在交换机组访问控制列表中控制PC管理组之间的访问权限,实现访问控制的权限。
优选地,所述PC管理组设定互联网协议。
优选地,在所述交换机组中下载一个策略组。
优选地,所述在PC管理组的报文中添加一个标识策略组的16bit,用于标识是否在策略组中。
优选地,所述芯片不局限于专用集成电路芯片,还包括FPGA((Field-Programmable Gate Array,现场可编程门阵列)或NP(Network Processor,网络处理器一种可编程器件,特定应用于通信领域的各种任务)。
本发明的有益效果是:通过芯片创建策略组即可实现访问控制,而且对于数据中心等大规模部署的情况,可以相对简单的完成网络过滤策略的部署,大大的提高了效率。
附图说明
图1是本发明一较佳实施例的模块示意图;
图2是本发明另一较佳实施例的模块示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
本发明提供一种减少ACE条目消耗的方法,包括交换机组和PC管理组,所述交换机组内分别设置有一条ACE下发至芯片,通过所述芯片创建策略组至PC管理组,在所述交换机组和PC管理组之间划定权限组,在交换机组访问控制列表中控制PC管理组之间的访问权限,实现访问控制的权限。
请参阅图1所示,例如PC管理组PC1、PC2、PC3都可以访问交换机,之前是通过创建三条ACE{ACE1,ACE2,ACE3}下发到芯片中,现在通过划定权限组,在ACL中下组和组之间设置权限,组到某个公用设备间的权限,这样能大大减少ACE的数目,同时这些策略是可以下载的,管理也更为便利,点到点的管理肯定会很麻烦,以后加入和删除一个互联网协议,只要加入和退出组即可。比如在交换机中下一个策略组Group1(ACTION为access Switch),在PC的报文中添加一个标识策略组的16bit,用于标识是否在策略组中,比如0x1代表在策略组1中,那么这个信息需要交换机能够识别出来,如果当报文到达交换机后,发现该位为0x1,那么就可以接收,反之则拒绝。
请参阅图2所示,本发明应用在企业的一较佳实施例,例如某公司有两个部门,每个部门20人,2台公共服务器A1和A2,B1-B4是中间用来负载分流的设备,C1-C6下最终会连接到员工的PC,DISTRIBUTION表示网络分发层;ACCESS表示网络接入层,在A1-A2上配置一个策略组即可包含所有PC是否接入,如果网管交换机上使用传统ACL的方式,那么需要创建40条ACE,即针对每一个人的PC都需要创建一条ACE,如果网管交换机上使用策略组方式,那么只要创建1条ACE,而每个人的PC中配置是否加入策略组即可,就可以极大的解决资源。
本发明针对现有网络处理器ACL处理通用逻辑会占用大量ACE的问题,修改芯片的一些逻辑,从而能尽量减少ACE条目消耗,达到解决TCAM资源的目的,并且提高管理便利性。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (5)
1.一种减少ACE条目消耗的方法,其特征在于:包括交换机组和PC管理组,所述交换机组内分别设置有一条ACE下发至芯片,通过所述芯片创建策略组至PC管理组,在所述交换机组和PC管理组之间划定权限组,在交换机组访问控制列表中控制PC管理组之间的访问权限,实现访问控制的权限。
2.根据权利要求1所述的减少Hash查找冲突的方法,其特征在于,所述PC管理组设定互联网协议。
3.根据权利要求1所述的减少Hash查找冲突的方法,其特征在于,在所述交换机组中下载一个策略组。
4.根据权利要求1所述的减少Hash查找冲突的方法,其特征在于,所述在PC管理组的报文中添加一个标识策略组的16bit,用于标识是否在策略组中。
5.根据权利要求1所述的减少Hash查找冲突的方法,其特征在于,所述芯片不局限于专用集成电路芯片,还包括FPGA或NP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610928528.4A CN106506468A (zh) | 2016-10-31 | 2016-10-31 | 一种减少ace条目消耗的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610928528.4A CN106506468A (zh) | 2016-10-31 | 2016-10-31 | 一种减少ace条目消耗的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106506468A true CN106506468A (zh) | 2017-03-15 |
Family
ID=58318730
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610928528.4A Withdrawn CN106506468A (zh) | 2016-10-31 | 2016-10-31 | 一种减少ace条目消耗的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106506468A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483356A (zh) * | 2017-09-22 | 2017-12-15 | 四川省艾普网络股份有限公司 | 融合cdn和p4p的数据流量控制方法及系统 |
| CN108259504A (zh) * | 2018-01-30 | 2018-07-06 | 盛科网络(苏州)有限公司 | 一种基于组实现访问控制列表的方法及装置 |
| CN108512776A (zh) * | 2018-03-07 | 2018-09-07 | 深圳市风云实业有限公司 | 交换芯片中tcam表的灵活组合方法、装置及芯片 |
| CN109194665A (zh) * | 2018-09-17 | 2019-01-11 | 盛科网络(苏州)有限公司 | 一种报文查找键值的生成方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1823514A (zh) * | 2003-09-10 | 2006-08-23 | 思科技术公司 | 使用基于角色的访问控制来提供网络安全的方法和装置 |
| CN101616076A (zh) * | 2009-07-28 | 2009-12-30 | 武汉理工大学 | 一种基于用户连接信息的细粒度网络访问控制方法 |
| US7769996B2 (en) * | 2000-05-25 | 2010-08-03 | Randle William M | Private network communication system |
| CN201821376U (zh) * | 2010-01-08 | 2011-05-04 | 北京星网锐捷网络技术有限公司 | 一种全局的网络访问控制装置和网络设备 |
| CN103119907A (zh) * | 2010-07-21 | 2013-05-22 | 思杰系统有限公司 | 提供用于访问控制的智能组的系统和方法 |
| CN103560909A (zh) * | 2013-10-24 | 2014-02-05 | 杭州华三通信技术有限公司 | 区域访问控制表项维护方法及装置 |
| CN105190557A (zh) * | 2012-10-16 | 2015-12-23 | 思杰系统有限公司 | 用于通过多级api集成在公共与私有云之间进行桥接的系统和方法 |
-
2016
- 2016-10-31 CN CN201610928528.4A patent/CN106506468A/zh not_active Withdrawn
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7769996B2 (en) * | 2000-05-25 | 2010-08-03 | Randle William M | Private network communication system |
| CN1823514A (zh) * | 2003-09-10 | 2006-08-23 | 思科技术公司 | 使用基于角色的访问控制来提供网络安全的方法和装置 |
| CN101616076A (zh) * | 2009-07-28 | 2009-12-30 | 武汉理工大学 | 一种基于用户连接信息的细粒度网络访问控制方法 |
| CN201821376U (zh) * | 2010-01-08 | 2011-05-04 | 北京星网锐捷网络技术有限公司 | 一种全局的网络访问控制装置和网络设备 |
| CN103119907A (zh) * | 2010-07-21 | 2013-05-22 | 思杰系统有限公司 | 提供用于访问控制的智能组的系统和方法 |
| CN105190557A (zh) * | 2012-10-16 | 2015-12-23 | 思杰系统有限公司 | 用于通过多级api集成在公共与私有云之间进行桥接的系统和方法 |
| CN103560909A (zh) * | 2013-10-24 | 2014-02-05 | 杭州华三通信技术有限公司 | 区域访问控制表项维护方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483356A (zh) * | 2017-09-22 | 2017-12-15 | 四川省艾普网络股份有限公司 | 融合cdn和p4p的数据流量控制方法及系统 |
| CN108259504A (zh) * | 2018-01-30 | 2018-07-06 | 盛科网络(苏州)有限公司 | 一种基于组实现访问控制列表的方法及装置 |
| CN108512776A (zh) * | 2018-03-07 | 2018-09-07 | 深圳市风云实业有限公司 | 交换芯片中tcam表的灵活组合方法、装置及芯片 |
| CN109194665A (zh) * | 2018-09-17 | 2019-01-11 | 盛科网络(苏州)有限公司 | 一种报文查找键值的生成方法及装置 |
| CN109194665B (zh) * | 2018-09-17 | 2020-10-20 | 盛科网络(苏州)有限公司 | 一种报文查找键值的生成方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10728176B2 (en) | Ruled-based network traffic interception and distribution scheme | |
| CN106506468A (zh) | 一种减少ace条目消耗的方法 | |
| CN1823514B (zh) | 使用基于角色的访问控制来提供网络安全的方法和装置 | |
| CN105763557B (zh) | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 | |
| CN102055674B (zh) | Ip报文及基于该ip报文的信息处理方法及装置 | |
| CN100561937C (zh) | 一种实现网络流量负载分担的方法及装置 | |
| CN101635702B (zh) | 应用安全策略的数据包转发方法 | |
| CN104320358A (zh) | 一种电力通信网中的QoS业务控制方法 | |
| CN103220287B (zh) | 利用acl对报文进行业务匹配的方法 | |
| DE602005013309D1 (de) | Anordnung und verfahren im bezug auf die handhabung von ip-verkehr | |
| Kulkarni et al. | Neo-NSH: Towards scalable and efficient dynamic service function chaining of elastic network functions | |
| CN101005437B (zh) | 一种实现堆叠虚拟局域网的方法及系统 | |
| CN105577702A (zh) | 一种虚拟机级安全防护系统及方法 | |
| CN105991441B (zh) | 对bgp路由选择性下发路由转发表的方法和装置 | |
| CN107222496B (zh) | 基于现场层设备的报文的安全策略匹配方法和现场层设备 | |
| US8295177B1 (en) | Flow classes | |
| CN105812340A (zh) | 一种虚拟网络访问外网的方法和装置 | |
| CN105141637A (zh) | 一种以流为粒度的传输加密方法 | |
| CN107547334A (zh) | 一种报文转发方法及装置 | |
| CN106301970A (zh) | 一种使用转发表收敛以减少tcam表项消耗的芯片实现方法 | |
| CN112954079A (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| CN109040124A (zh) | 用于交换机的处理报文的方法和装置 | |
| CN103442096A (zh) | 基于移动互联网的nat转换方法及系统 | |
| CN105337860B (zh) | 一种数据包传输路径的确定方法、装置及系统 | |
| CN108718320A (zh) | 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20170315 |
|
| WW01 | Invention patent application withdrawn after publication |