CN107508836B - 一种acl规则下发的方法及装置 - Google Patents
一种acl规则下发的方法及装置 Download PDFInfo
- Publication number
- CN107508836B CN107508836B CN201710891489.XA CN201710891489A CN107508836B CN 107508836 B CN107508836 B CN 107508836B CN 201710891489 A CN201710891489 A CN 201710891489A CN 107508836 B CN107508836 B CN 107508836B
- Authority
- CN
- China
- Prior art keywords
- acl
- acl rule
- rule
- user
- issues
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种ACL规则下发的方法及装置。一种ACL规则下发的方法,该方法应用于网络设备的交换芯片,该方法包括:接收用户下发的针对协议报文的ACL规则;基于用户下发的所述ACL规则的筛选条件和动作策略,查询已存储的ACL表,以确定所述ACL表中是否存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则;若存在所述冲突ACL规则,则判断用户下发的所述ACL规则的动作策略是否为丢弃;若用户下发的所述ACL规则的动作策略为丢弃,则将用户下发的所述ACL规则插入到所述ACL表中,用户下发的所述ACL规则的编号小于所述冲突ACL规则的编号。本申请与现有技术相比,可防止已配置丢弃策略的协议报文上送CPU,从而减轻CPU的负荷。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种ACL规则下发的方法及装置。
背景技术
ACL(Access Control List,访问控制列表)的作用是根据报文的源地址、目的地址、端口号、协议类型等筛选条件识别报文,并依据对应的动作策略对报文进行处理。
随着网络规模的不断扩大,网络设备接收和处理的协议报文逐渐增多,若大量的协议报文全部上送至网络设备的CPU,可能会导致CPU的负荷过大。
发明内容
有鉴于此,本申请提供一种ACL规则下发的方法及装置,以对网络设备接收的协议报文进行处理,防止已配置丢弃策略的协议报文上送CPU,从而减轻CPU的负荷。
具体地,本申请是通过如下技术方案实现的:
一种ACL规则下发的方法,所述方法应用于网络设备的交换芯片,包括:
接收用户下发的针对协议报文的ACL规则;
基于用户下发的所述ACL规则的筛选条件和动作策略,查询已存储的ACL表,以确定所述ACL表中是否存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则;
若存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则,则判断用户下发的所述ACL规则的动作策略是否为丢弃;
若用户下发的所述ACL规则的动作策略为丢弃,则将用户下发的所述ACL规则插入到所述ACL表中,用户下发的所述ACL规则的编号小于所述冲突ACL规则的编号。
一种ACL规则下发的装置,所述装置应用于网络设备的交换芯片,包括:
接收模块,用于接收用户下发的针对协议报文的ACL规则;
查询模块,用于基于用户下发的所述ACL规则的筛选条件和动作策略,查询已存储的ACL表,以确定所述ACL表中是否存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则;
判断模块,用于在确定存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则后,判断用户下发的所述ACL规则的动作策略是否为丢弃;
插入模块,用于在确定用户下发的所述ACL规则的动作策略为丢弃后,将用户下发的所述ACL规则插入到所述ACL表中,用户下发的所述ACL规则的编号小于所述冲突ACL规则的编号。
在本申请中,交换芯片通过对用户下发的ACL规则和已存储的ACL表中的规则进行比对,确定存在与用户下发的ACL规则相冲突的冲突ACL规则后,可将用户下发的动作策略为丢弃的ACL规则插入到其冲突ACL规则之前。与现有技术相比,可确保已配置丢弃策略的协议报文与ACL表中的规则匹配时,可优先匹配动作策略为丢弃的ACL规则,避免已配置丢弃策略的协议报文上送CPU,从而可减轻CPU的负荷。
附图说明
图1是本申请实施例示出的一种ACL规则下发的方法流程图;
图2是本申请实施例示出的一种ACL规则下发装置的硬件结构图;
图3是本申请实施例示出的一种ACL规则下发装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
通常网络设备在接收到其它设备发送的报文后,可由网络设备的交换芯片对该报文的报文类型进行解析,以判断该报文是协议报文或是数据报文。当确定该报文是数据报文时,因数据报文无需上送CPU,则交换芯片可对该报文进行其它相应处理,此部分关于数据报文的处理与实现可以参考相关技术,在此不再一一赘述。
而当交换芯片确定该报文是协议报文,如ARP(Address Resolution Protocol,地址解析协议)报文时,需将该协议报文上送CPU,现有的上送协议报文至CPU的方法通常有:通过交换芯片中的寄存器将协议报文上送CPU,该寄存器配置有上送协议报文至CPU的功能;或者当交换芯片中未配置上述寄存器时,可通过动作策略为上送CPU的ACL规则将协议报文上送CPU。
其中,通过交换芯片中的寄存器将协议报文上送CPU的方法中,由于该寄存器对协议报文的处理先于ACL表项的查询与应用,即使网络设备中已配置有动作策略为丢弃的ACL规则,寄存器也同样会将网络设备接收的协议报文上送CPU,包括已配置有丢弃策略的协议报文也会上送CPU,从而使CPU的负荷增加。
另外,当交换芯片中未配置上送协议报文至CPU功能的寄存器时,可在网络设备上配置动作策略为上送CPU的ACL规则,以将相关协议报文上送CPU。需要说明的是,ACL规则的匹配顺序通常是按照ACL表中ACL规则的编号顺序进行匹配的,例如表1所示的ACL表,协议报文与表中的ACL规则匹配时,将先匹配编号5的ACL规则,若命中该规则,即协议报文的筛选条件符合条件1,则可按照该规则的动作策略将协议报文上送CPU,进而停止匹配;若未命中该规则,则上述协议报文继续与编号10的ACL规则匹配。以此类推,一旦协议报文命中某一ACL规则时,将不再继续匹配后续规则。
| 编号 | 筛选条件 | 动作策略 |
| 5 | 条件1 | 上送CPU |
| 10 | 条件1 | 丢弃 |
| 15 | 条件2 | 重定向 |
表1
值得注意的是,表1仅为示例性的说明,在实际应用中,若用户在配置ACL规则时未设置编号,则ACL表中的规则将按照设定的步长根据下发规则的先后顺序进行编号,表1即为按照步长为5进行编号的示例。上述步长还可以设定为其它值,本申请对此不作特殊限制。
通常情况下,为减轻CPU的负荷,用户可向网络设备下发动作策略为丢弃的ACL规则,网络设备通常会按照该规则下发的先后顺序进行ACL表项的存储。即在ACL规则均未老化的前提下,先下发的ACL规则的编号通常小于后下发的ACL规则的编号。
针对筛选条件1,假设用户先下发动作策略为上送CPU的ACL规则,且假设当前网络设备的ACL表中无ACL规则,则网络设备可将该ACL规则存储在ACL表的第一行,并将其编号为5。接着,针对筛选条件1,用户又下发动作策略为丢弃的ACL规则,则可将该规则存储在ACL表的第二行,并将其编号为10,如表1所示。
当网络设备接收的协议报文的筛选条件为条件1时,按照编号顺序将会匹配动作策略为上送CPU的ACL规则,而使动作策略为丢弃的ACL规则无法发挥作用,因此交换芯片仍会将上述协议报文上送CPU,而无法减轻CPU的负荷。
由此,为减轻上述网络设备CPU的负荷,本申请提供一种ACL规则下发的方法,该方法应用于网络设备的交换芯片。
下面将结合具体实施例对本申请的实现过程进行描述。
请参考图1,为本申请实施例一示出的一种ACL规则下发的方法流程图。
S101,接收用户下发的针对协议报文的ACL规则。
S102,基于用户下发的所述ACL规则的筛选条件和动作策略,查询已存储的ACL表,以确定所述ACL表中是否存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则。
ACL规则包含筛选条件和动作策略等特征,用户通常可根据需要对ACL规则的筛选条件和动作策略等进行配置,之后将所配置的ACL规则下发到网络设备的相应接口,以实现对协议报文的定向处理。其中,上述ACL规则的筛选条件可以是协议报文的源MAC地址和/或目的MAC地址和/或源IP地址和/或目的IP地址和/或协议类型,动作策略可以是丢弃或上送CPU或重定向等动作。
在本申请实施例中,用户将配置的针对协议报文的ACL规则下发到网络设备时,网络设备的交换芯片可接收用户下发的上述ACL规则,并基于用户下发的上述针对协议报文的ACL规则的筛选条件和动作策略,对网络设备中已存储的ACL表中的ACL规则进行查询,确定是否存在与用户下发的上述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则。若存在与用户下发的上述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则,可继续执行步骤S103;若不存在与用户下发的上述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则,表明上述ACL表中ACL规则不会影响用户下发的该ACL规则与协议报文的匹配,可继续执行步骤S104。
S103,判断用户下发的所述ACL规则的动作策略是否为丢弃。
在本申请实施例中,当确定已存储的ACL表中存在与用户下发的ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则后,交换芯片可进一步根据用户下发的该ACL规则的动作策略是否为丢弃,确定该ACL规则的可插入位置。若确定用户下发的上述ACL规则的动作策略为丢弃,则可继续执行步骤S105;若确定用户下发的上述ACL规则的动作策略不为丢弃,则可继续执行步骤S106。
S104,将用户下发的所述ACL规则随机插入所述已存储的ACL表中。
在本申请实施例中,当交换芯片在已存储的ACL表中未查询到与用户下发的上述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则时,ACL表中现有的ACL规则均不会影响上述协议报文与用户下发的该ACL规则的匹配,因此用户下发的该ACL规则可随机插入到上述已存储的ACL表中,并设置相应的规则编号即可。
假设上述已存储的ACL表中仅示例性给出编号分别为3、6和9的ACL规则,如表2所示。若此时用户下发的ACL规则的筛选条件为条件4,动作策略为重定向,查询表2可知,当前ACL表中不存在与用户下发的该ACL规则的筛选条件相同,动作策略相冲突的ACL规则,则可确定该ACL规则的插入位置可以是在规则3之前,也可以是规则3和规则9之间,还可以是在规则9之后,此处对该ACL规则的具体的插入位置不作限定。
| 编号 | 筛选条件 | 动作策略 |
| 3 | 条件1 | 重定向 |
| 6 | 条件2 | 上送CPU |
| 9 | 条件3 | 上送CPU |
表2
S105,将用户下发的所述ACL规则插入到所述ACL表中,用户下发的所述ACL规则的编号小于所述冲突ACL规则的编号。
在本申请实施例中,确定上述ACL表中存在与用户下发的ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则,且用户下发的上述ACL规则的动作策略为丢弃后,交换芯片可先确定上述冲突ACL规则的编号,并设置用户下发的该ACL规则的编号小于上述冲突ACL规则的编号,将其插入上述ACL表中的相应位置。从而使网络设备接收的相关协议报文可优先与动作策略为丢弃的ACL规则进行匹配。
仍以表2为例,当用户下发的ACL规则的筛选条件为条件2,动作策略为丢弃时,查询表2可知,编号6的ACL规则与用户下发的ACL规则筛选条件相同,动作策略相冲突。此时交换芯片可将用户下发的上述ACL规则的编号设置为小于6的任一数,如设为5,然后可将该ACL规则插入表2中编号6的规则之前,如表3所示。从而使满足条件2的协议报文能优先于冲突ACL规则与动作策略为丢弃的ACL规则匹配,从而防止该协议报文上送CPU。
| 编号 | 筛选条件 | 动作策略 |
| 3 | 条件1 | 重定向 |
| 5 | 条件2 | 丢弃 |
| 6 | 条件2 | 上送CPU |
| 9 | 条件3 | 上送CPU |
表3
S106,将用户下发的所述ACL规则插入到所述ACL表中,用户下发的所述ACL规则的编号大于所述冲突ACL规则的编号。
在本申请实施例中,当确定上述ACL表中存在与用户下发的ACL规则的过滤条件相同,但动作策略相冲突的冲突ACL规则,且上述用户下发的ACL规则的动作策略不为丢弃时,仍以表2为例,假设此时用户下发的ACL规则的筛选条件为条件2,动作策略为重定向。查询表2可知,编号6的ACL规则与用户下发的ACL规则筛选条件相同,但动作策略相冲突,交换芯片可将用户下发的该ACL规则的编号设置为大于6的任一数。之后将用户下发的该ACL规则插入在规则6之后的位置即可,如可插入在规则6与规则9之间,也可插入在规则9之后。如设置用户下发的该ACL规则的编号为8时,插入后的ACL表,如表4所示。
| 编号 | 筛选条件 | 动作策略 |
| 3 | 条件1 | 重定向 |
| 6 | 条件2 | 上送CPU |
| 8 | 条件2 | 重定向 |
| 9 | 条件3 | 上送CPU |
表4
在本申请的另一实施例中,若交换芯片中配置有上送协议报文至CPU功能的寄存器时,为避免协议报文全部上送CPU,可关闭该寄存器,而通过在网络设备上配置的ACL规则,将协议报文上送CPU,上述ACL规则仍采用上述实施例一的方法下发给网络设备,具体方法可参考上述实施例一的描述,在此不再赘述。
本申请的技术方案,交换芯片通过对用户下发的ACL规则和已存储的ACL表进行比对,确定所下发的ACL规则的可插入位置,使用户下发的动作策略为丢弃的ACL规则能插入到其冲突ACL规则之前。与现有技术相比,可确保网络设备接收的协议报文与ACL表中的规则匹配时,可优先匹配动作策略为丢弃的ACL规则,避免被丢弃的协议报文上送CPU,从而可减轻CPU的负荷。
与前述一种ACL规则下发的方法的实施例相对应,本申请还提供了一种ACL规则下发的装置的实施例。
本申请一种ACL规则下发的装置的实施例可以应用在网络设备的交换芯片上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图2所示,为本申请一种ACL规则下发的装置所在网络设备的一种硬件结构图,除了图2所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的网络设备通常根据该网络设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图3,为本申请实施例示出的一种ACL规则下发的装置的结构示意图,该装置应用于网络设备的交换芯片,该装置可以包括:
接收模块310,用于接收用户下发的针对协议报文的ACL规则;
查询模块320,用于基于用户下发的所述ACL规则的筛选条件和动作策略,查询已存储的ACL表,以确定所述ACL表中是否存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则;
判断模块330,用于在确定存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则后,判断用户下发的所述ACL规则的动作策略是否为丢弃;
插入模块340,用于在确定用户下发的所述ACL规则的动作策略为丢弃后,将用户下发的所述ACL规则插入到所述ACL表中,用户下发的所述ACL规则的编号小于所述冲突ACL规则的编号。
在本申请实施例中,所述插入模块340,还用于:
确定用户下发的所述ACL规则的动作策略不为丢弃后,将用户下发的所述ACL规则插入到所述ACL表中,用户下发的所述ACL规则的编号大于所述冲突ACL规则的编号。
在本申请实施例中,所述插入模块340,还用于:
确定所述ACL表中不存在与用户下发的所述ACL规则的筛选条件相同,动作策略相冲突的冲突ACL规则后,将用户下发的所述ACL规则随机插入所述ACL表中。
在本申请实施例中,当交换芯片中配置有上送协议报文至CPU功能的寄存器时,所述寄存器的状态为关闭状态。
在本申请实施例中,所述ACL规则的筛选条件为协议报文的源MAC地址和/或目的MAC地址和/或源IP地址和/或目的IP地址和/或协议类型。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种ACL规则下发的方法,所述方法应用于网络设备的交换芯片,其特征在于,包括:
接收用户下发的针对协议报文的ACL规则;
基于用户下发的所述ACL规则的筛选条件和动作策略,查询已存储的ACL表,以确定所述ACL表中是否存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则;
若存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的所述冲突ACL规则,则判断用户下发的所述ACL规则的动作策略是否为丢弃;
若用户下发的所述ACL规则的动作策略为丢弃,则将用户下发的所述ACL规则插入到所述ACL表中,且用户下发的所述ACL规则的编号小于所述冲突ACL规则的编号。
2.根据权利要求1所述的方法,其特征在于,还包括:
若用户下发的所述ACL规则的动作策略不为丢弃,则将用户下发的所述ACL规则插入到所述ACL表中,且用户下发的所述ACL规则的编号大于所述冲突ACL规则的编号。
3.根据权利要求1所述的方法,其特征在于,还包括:
若不存在与用户下发的所述ACL规则的筛选条件相同,动作策略相冲突的所述冲突ACL规则,则将用户下发的所述ACL规则随机插入到所述ACL表中。
4.根据权利要求1所述的方法,其特征在于,当所述交换芯片中配置有上送协议报文至CPU功能的寄存器时,所述寄存器的状态为关闭状态。
5.根据权利要求1所述的方法,其特征在于,所述ACL规则的筛选条件为协议报文的源MAC地址和/或目的MAC地址和/或源IP地址和/或目的IP地址和/或协议类型。
6.一种ACL规则下发的装置,所述装置应用于网络设备的交换芯片,其特征在于,包括:
接收模块,用于接收用户下发的针对协议报文的ACL规则;
查询模块,用于基于用户下发的所述ACL规则的筛选条件和动作策略,查询已存储的ACL表,以确定所述ACL表中是否存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则;
判断模块,用于在确定存在与用户下发的所述ACL规则的筛选条件相同,但动作策略相冲突的冲突ACL规则后,判断用户下发的所述ACL规则的动作策略是否为丢弃;
插入模块,用于在确定用户下发的所述ACL规则的动作策略为丢弃后,将用户下发的所述ACL规则插入到所述ACL表中,且用户下发的所述ACL规则的编号小于所述冲突ACL规则的编号。
7.根据权利要求6所述的装置,其特征在于,所述插入模块,还用于:
确定用户下发的所述ACL规则的动作策略不为丢弃后,将用户下发的所述ACL规则插入到所述ACL表中,用户下发的所述ACL规则的编号大于所述冲突ACL规则的编号。
8.根据权利要求6所述的装置,其特征在于,所述插入模块,还用于:
确定所述ACL表中不存在与用户下发的所述ACL规则的筛选条件相同,动作策略相冲突的冲突ACL规则后,将用户下发的所述ACL规则随机插入到所述ACL表中。
9.根据权利要求6所述的装置,其特征在于,当所述交换芯片中配置有上送协议报文至CPU功能的寄存器时,所述寄存器的状态为关闭状态。
10.根据权利要求6所述的装置,其特征在于,所述ACL规则的筛选条件为协议报文的源MAC地址和/或目的MAC地址和/或源IP地址和/或目的IP地址和/或协议类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710891489.XA CN107508836B (zh) | 2017-09-27 | 2017-09-27 | 一种acl规则下发的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710891489.XA CN107508836B (zh) | 2017-09-27 | 2017-09-27 | 一种acl规则下发的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107508836A CN107508836A (zh) | 2017-12-22 |
| CN107508836B true CN107508836B (zh) | 2019-11-12 |
Family
ID=60699816
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710891489.XA Active CN107508836B (zh) | 2017-09-27 | 2017-09-27 | 一种acl规则下发的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107508836B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505186A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 一种安全规则冲突的识别方法、识别设备及存储介质 |
| CN109088894B (zh) * | 2018-10-25 | 2021-04-06 | 新华三技术有限公司合肥分公司 | Acl下发方法及网络设备 |
| CN111431875B (zh) * | 2020-03-12 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种下发插入规则的方法及装置 |
| CN115665066A (zh) * | 2022-10-25 | 2023-01-31 | 浪潮思科网络科技有限公司 | 一种扩展mac地址表容量的方法、设备及介质 |
| CN117278341A (zh) * | 2023-11-23 | 2023-12-22 | 成都卓拙科技有限公司 | Acl规则更新方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101146026A (zh) * | 2006-09-13 | 2008-03-19 | 中兴通讯股份有限公司 | 报文过滤方法及系统和装置 |
| CN101699817A (zh) * | 2009-11-04 | 2010-04-28 | 杭州华三通信技术有限公司 | 报文上送cpu的控制方法和装置 |
| EP2466816A1 (en) * | 2009-09-17 | 2012-06-20 | ZTE Corporation | Method and device for detecting validation of access control list |
| CN103647773A (zh) * | 2013-12-11 | 2014-03-19 | 北京中创信测科技股份有限公司 | 一种访问控制列表acl行为集快速编码的方法 |
| CN105337890A (zh) * | 2014-07-16 | 2016-02-17 | 杭州迪普科技有限公司 | 一种控制策略生成方法以及装置 |
| CN105591989A (zh) * | 2016-01-25 | 2016-05-18 | 盛科网络(苏州)有限公司 | 一种协议报文上送cpu的芯片实现方法 |
| CN106656857A (zh) * | 2016-12-29 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种报文限速的方法和装置 |
-
2017
- 2017-09-27 CN CN201710891489.XA patent/CN107508836B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101146026A (zh) * | 2006-09-13 | 2008-03-19 | 中兴通讯股份有限公司 | 报文过滤方法及系统和装置 |
| EP2466816A1 (en) * | 2009-09-17 | 2012-06-20 | ZTE Corporation | Method and device for detecting validation of access control list |
| CN101699817A (zh) * | 2009-11-04 | 2010-04-28 | 杭州华三通信技术有限公司 | 报文上送cpu的控制方法和装置 |
| CN103647773A (zh) * | 2013-12-11 | 2014-03-19 | 北京中创信测科技股份有限公司 | 一种访问控制列表acl行为集快速编码的方法 |
| CN105337890A (zh) * | 2014-07-16 | 2016-02-17 | 杭州迪普科技有限公司 | 一种控制策略生成方法以及装置 |
| CN105591989A (zh) * | 2016-01-25 | 2016-05-18 | 盛科网络(苏州)有限公司 | 一种协议报文上送cpu的芯片实现方法 |
| CN106656857A (zh) * | 2016-12-29 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种报文限速的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107508836A (zh) | 2017-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107508836B (zh) | 一种acl规则下发的方法及装置 | |
| KR101863024B1 (ko) | 분산 로드 밸런서 | |
| CN105553977B (zh) | 请求消息的处理、发送方法及装置 | |
| US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
| JP5654142B2 (ja) | ネットワーク・スイッチを構成するための方法 | |
| US7185100B2 (en) | System and method for determining a preferred mirrored service in a network by evaluating a border gateway protocol | |
| US20070083924A1 (en) | System and method for multi-stage packet filtering on a networked-enabled device | |
| WO2018094743A1 (zh) | 处理报文的方法和计算机设备 | |
| EP2824872B1 (en) | Host providing system and communication control method | |
| US10009282B2 (en) | Self-protecting computer network router with queue resource manager | |
| JP6618610B2 (ja) | ルーティング管理 | |
| CN103384551A (zh) | 一种基于pcie网络的虚拟机通信方法、服务器及系统 | |
| US7124196B2 (en) | Processing a network packet using queues | |
| US20050169309A1 (en) | System and method for vertical perimeter protection | |
| CN102158406B (zh) | 面向计算机网络链路的智能选路方法 | |
| CN108737217A (zh) | 一种抓包方法及装置 | |
| CN107547346A (zh) | 一种报文传输方法和装置 | |
| CN106105098A (zh) | 交换机及业务请求报文的处理方法 | |
| CN110417632A (zh) | 一种网络通信方法、系统及服务器 | |
| CN106161249B (zh) | PPPoE报文的处理方法及装置 | |
| CN109413224A (zh) | 报文转发方法和装置 | |
| EP3163818B1 (en) | Packet processing method and related device for network device | |
| CN110166375A (zh) | 一种报文转发方法及装置 | |
| CN106254252A (zh) | 一种Flow spec路由的下发方法和装置 | |
| US9548885B2 (en) | Systems and methods for providing replicated data from memories to processing clients |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |