CN107896169A - 一种acl的管理方法及装置 - Google Patents
一种acl的管理方法及装置 Download PDFInfo
- Publication number
- CN107896169A CN107896169A CN201711456605.1A CN201711456605A CN107896169A CN 107896169 A CN107896169 A CN 107896169A CN 201711456605 A CN201711456605 A CN 201711456605A CN 107896169 A CN107896169 A CN 107896169A
- Authority
- CN
- China
- Prior art keywords
- table item
- acl table
- priority value
- acl
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种ACL的管理方法及装置。一种ACL的管理方法,所述方法应用于框式设备,包括:当接收到下发配置的指令时,根据所述指令携带的ACL表项中配置的槽位及端口,将所述ACL表项下发给所述槽位及端口所对应的板卡,所述ACL表项中还配置有优先级值;当接收到调整ACL表项的指令时,基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值;根据更新后的所述板卡中的ACL表项的优先级值,更新其他板卡中ACL表项的优先级值。本申请可减少用户配置ACL表项的数量,并可提高配置及管理ACL表项的易用性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种ACL的管理方法及装置。
背景技术
ACL(Access Control List,访问控制列表)是一种流量访问控制技术,其通过在网络设备内报文转发路径中设置一系列指定报文匹配条件和报文处理动作的表项,以实现对特定报文进行特定控制的功能。
对于框式设备来说,在配置ACL策略时,通常需要区分槽位号,对各个槽位分别进行配置。若用户需要在不同槽位上配置相同的ACL策略时,需对各个槽位进行重复配置,而当要配置的ACL策略较多时,重复配置将耗费较多的时间。
另外,实际应用中,ACL策略下发芯片后,通常可能有插入、移动、修改或删除ACL表项等的需求,此时需要调整已有ACL表项在芯片上的位置。当用户需要调整不同槽位上的同一ACL表项时,同样需对各个槽位上的ACL表项进行重复操作,由此将给用户配置及管理ACL表项造成极大的不便。
发明内容
有鉴于此,本申请提供一种ACL的管理方法及装置,以减少用户配置ACL数量,并提高配置及管理ACL表项的易用性。
具体地,本申请是通过如下技术方案实现的:
一种ACL的管理方法,包括:
当接收到下发配置的指令时,根据所述指令携带的ACL表项中配置的槽位及端口,将所述ACL表项下发给所述槽位及端口所对应的板卡,所述ACL表项中还配置有优先级值;
当接收到调整ACL表项的指令时,基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值;
根据更新后的所述板卡中的ACL表项的优先级值,更新其他板卡中ACL表项的优先级值。
一种ACL的管理装置,包括:
下发模块,用于当接收到下发配置的指令时,根据所述指令携带的ACL表项中配置的槽位及端口,将所述ACL表项下发给所述槽位及端口所对应的板卡,所述ACL表项中还配置有优先级值;
调整模块,用于当接收到调整ACL表项的指令时,基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值;
更新模块,用于根据更新后的所述板卡中的ACL表项的优先级值,更新其他板卡中ACL表项的优先级值。
在本申请中,可根据接收到的下发配置的指令,将指令中携带的ACL表项下发给该ACL表项中配置的槽位及端口所对应的板卡,后续当接收到调整ACL表项的指令时,可基于预定的策略,调整上述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并可对调整后的ACL表项的优先级值进行更新,同时,还可根据上述更新后的ACL表项的优先级值,更新其他板卡中ACL表项的优先级值,以保持各个板卡中同一ACL表项的优先级值保持一致。
与现有技术相比,一方面,本申请的技术方案,允许用户在同一ACL表项中配置不同的槽位及端口,在下发配置时,可根据所配置的槽位及端口将同一ACL表项下发给不同的板卡,从而可无需重复配置;另一方面,可在调整某个板卡中的ACL表项后,基于该板卡中的ACL表项的优先级值,将各个板卡中ACL表项的优先级值进行更新,从而可保证各个板卡中同一ACL表项优先级值的一致。
附图说明
图1是本申请一示例性实施例示出的一种ACL的管理方法流程图;
图2是本申请一示例性实施例示出的一种框式设备的硬件结构图;
图3是本申请一示例性实施例示出的一种ACL的管理装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
ACL是一种流量访问控制技术,其通过在网络设备内报文转发路径中设置一系列指定报文匹配条件和报文处理动作的表项,以实现对特定报文进行特定控制的功能。
对于框式设备来说,在配置ACL策略时,通常需要区分槽位号,对各个槽位分别进行配置。若用户需要在不同槽位上配置相同的ACL策略时,需对各个槽位进行重复配置,而当要配置的ACL策略较多时,重复配置将耗费较多的时间。
另外,实际应用中,ACL策略下发芯片后,通常可能有插入、移动、修改或删除ACL表项的需求,此时需要调整已有ACL表项在芯片上的位置。当用户需要调整不同槽位上的同一ACL表项时,同样需对各个槽位上的ACL表项进行重复操作,由此将给用户配置及管理ACL表项造成极大的不便。
因此,为了解决上述问题,本申请提供一种ACL的管理方法,可根据接收到的下发配置的指令,将指令中携带的ACL表项下发给该ACL表项中配置的槽位及端口所对应的板卡,后续当接收到调整ACL表项的指令时,可基于预定的策略,调整上述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并可对调整后的ACL表项的优先级值进行更新,同时,还可根据上述更新后的ACL表项的优先级值,更新其他板卡中ACL表项的优先级值,以保持各个板卡中同一ACL表项的优先级值保持一致。
与现有技术相比,一方面,本申请的技术方案,允许用户在同一条ACL表项中配置不同的槽位及端口,在下发配置时,设备可根据所配置的槽位及端口将同一ACL表项下发给不同的板卡,从而可无需重复配置;另一方面,可在调整某个板卡中的ACL表项后,基于该板卡中的ACL表项的优先级值,将各个板卡中ACL表项的优先级值进行更新,从而可保证各个板卡中同一ACL表项优先级值的一致。本申请提高了配置及管理ACL表项的易用性。
下面将结合具体实施例对本申请的实现过程进行描述。
请参考图1,图1所示为本申请实施例示出的一种ACL管理方法的流程图,该方法可应用于框式设备。其中,该方法可以包括以下步骤:
S101,接收到下发配置的指令时,根据所述指令携带的ACL表项中配置的槽位及端口,将所述ACL表项下发给所述槽位及端口所对应的板卡。
在本申请实施例中,用户可配置所需的ACL表项,该ACL表项可包括报文特征(如报文的源IP地址、目的IP地址等)、槽位和端口、优先级值及执行动作等。配置完成后,用户可向设备下发配置指令,设备接收到配置指令后,可根据ACL表项中配置的槽位及端口,将该ACL表项下发给上述槽位及端口对应的板卡。
例如,当用户需要在设备的1号槽位的0号端口、2号槽位的0号端口对应的板卡配置相同的ACL表项时,可在配置该ACL表项时,在该ACL表项中配置相应的槽位和端口即可。可假设配置的ACL表项如表1所示,当设备接收到下发配置的指令时,可根据表1中配置的槽位及端口,将该ACL表项分别下发给1号槽位的0号端口对应的板卡1和2号槽位的0号端口对应的板卡2。
优先级值 | 名称 | 源IP | 目的IP | 槽位及端口 | 执行动作 |
5 | e | 192.168.0.0/24 | 任意 | 1槽0口、2槽0口 | 丢包 |
表1
需要说明的是,表1仅为示例性说明,还可以包含协议类型,VLAN范围等,此处不作限定。
S102,接收到调整ACL表项的指令时,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新各板卡中的ACL表项的优先级值。
在本申请实施例中,将仅以上述板卡1和板卡2中的ACL表项对ACL表项的调整过程进行说明。可假设设备的1号槽位的0号端口对应的板卡1中当前保存的ACL表项如表2所示,2号槽位的0号端口对应的板卡2中当前保存的ACL表项如表3所示。
优先级值 | 名称 | 源IP | 目的IP | 执行动作 |
1 | a | 192.168.0.0/24 | 任意 | 丢包 |
2 | b | 192.168.0.0/16 | 任意 | 重定向 |
3 | c | 任意 | 1.1.1.1/3 | 重定向 |
4 | d | 192.168.0.0/16 | 1.1.1.1/3 | 丢包 |
表2
优先级值 | 名称 | 源IP | 目的IP | 执行动作 |
1 | a | 192.168.0.0/24 | 任意 | 丢包 |
2 | b | 192.168.0.0/16 | 任意 | 重定向 |
表3
实际应用中,ACL表项下发到板卡后,用户可能会有调整板卡中ACL表项的需求,例如追加、插入、修改、删除或移动板卡中的某条ACL表项。针对上述5种ACL表项的调整情形,下面将分别描述其具体的调整过程。
第一种情形,当接收到追加一条ACL表项的指令时,假设该指令中携带的待追加ACL表项如表1所示,根据表1所示的ACL表项中配置的槽位及端口可知,该ACL表项针对的是1号槽位的0号端口和2号槽位的0号端口,此时可在1号槽位的0号端口对应的板卡1中保存的表2所示的ACL表项,以及2号槽位的0号端口对应的板卡2中保存的表3所示的ACL表项最后添加上述待追加ACL表项。
由于追加一条ACL表项,不会影响板卡中原有ACL表项的优先级值,因此在追加ACL表项后,可不对ACL表项的优先级值进行更新。
第二种情形,当接收到插入一条ACL表项的指令时,假设该指令中携带的待插入ACL表项的配置信息为:优先级值为2、名称为f、源IP为任意、目的IP为192.168.1.0/24、槽位及端口为1槽0口、执行动作为丢包。根据该待插入ACL表项的槽位及端口信息可知,需在1号槽位的0号端口对应的板卡1中插入上述ACL表项。
在插入上述ACL表项前,可将上述ACL表项的优先级值与表2所示的板卡1中当前保存的ACL表项的优先级值进行对比,经对比可知,在表2中存在优先级值等于2的名称为b的ACL表项(简称表项b),且存在优先级值小于2的表项a,则可在表项b与表项a之间插入上述待插入ACL表项,之后可将表项b、表项c和表项d的优先级值分别加1。插入完成后板卡1中当前的ACL表项可如表4所示。
优先级值 | 名称 | 源IP | 目的IP | 执行动作 |
1 | a | 192.168.0.0/24 | 任意 | 丢包 |
2 | f | 任意 | 192.168.1.0/24 | 丢包 |
3 | b | 192.168.0.0/16 | 任意 | 重定向 |
4 | c | 任意 | 1.1.1.1/3 | 重定向 |
5 | d | 192.168.0.0/16 | 1.1.1.1/3 | 丢包 |
表4
此外,对于2号槽位的0号端口对应的板卡2来说,也可将表3中优先级值大于上述待插入ACL表项的表项b的优先级值加1,以使板卡1中表项b的优先级值与板卡2中表项b的优先级值保持一致。
第三种情形,当接收到修改ACL表项的指令时,假设待修改的ACL表项为表项c,且修改后的表项c的配置信息为:优先级值为3,名称为c、源IP为任意、目的IP为1.1.1.1/3、槽位及端口为1槽0口、执行动作为丢包。根据上述配置信息可知,板卡1中存在需要进行修改的表项c,此时可查找表2所示的板卡1的ACL表项,查找到表项c后,可先将表项c删除,之后插入上述指令中携带的修改后的表项c。其中,插入表项c的方法与上述插入一条ACL表项的方法相同,具体的步骤可参见上述描述,此处不再赘述。
第四种情形,当接收到删除ACL表项的指令时,假设待删除的ACL表项为表项a,遍历表2所示的板卡1的ACL表项和表3所示的板卡2的ACL表项可知,板卡1和板卡2中均存在待删除的表项a,此时可将表2和表3中的表项a删除,同时可将表2中表项a之后的表项b、表项c和表项d的优先级值分别减1,将表3中表项b的优先级值减1。
第五种情形,当接收到移动ACL表项的指令时,假设该指令中携带的待移动的ACL表项为表项c,且指定将表项c的优先级值由x调整为y,其中为表项c重新配置的配置信息为:优先级值为y,名称为c、源IP为任意、目的IP为1.1.1.1/3、槽位及端口为1槽0口、执行动作为重定向。根据表项c中配置的槽位及端口可知,1号槽位的0号端口对应的板卡1中存在表项c。
仍以上述表2为例,遍历表2所示的板卡1中的ACL表项,可知原有表项c的优先级值为3,即x=3,此时可判断x是否大于y。
其中,一种情况为,若x大于y,则确定需将表项c前移,接着可遍历表2,查找表2中是否存在优先级值大于或等于y的ACL表项,此处假设y=1。遍历表2的ACL表项,可知表项a的优先级值等于1,则可将上述重新配置的优先级值为y=1的表项c插入表项a之前,接着继续向后遍历表2的ACL表项,可将优先级值小于3的表项a和表项b的优先级值分别加1,且删除优先级值等于3的表项c,移动完成后板卡1中的ACL表项可如表5所示。
优先级值 | 名称 | 源IP | 目的IP | 执行动作 |
1 | c | 任意 | 1.1.1.1/3 | 重定向 |
2 | a | 192.168.0.0/24 | 任意 | 丢包 |
3 | b | 192.168.0.0/16 | 任意 | 重定向 |
4 | d | 192.168.0.0/16 | 1.1.1.1/3 | 丢包 |
表5
另外,对于表3所示的板卡2的ACL表项,可遍历该表项,查找有无优先级值大于等于1且小于3的表项,若有,则可将优先级值大于等于1且小于3的表项的优先级值分别加1,即可将表3中表项a和表项b的优先级值分别加1,以使板卡1中表项a和表项b的优先级值与板卡2中表项a和表项b的优先级值保持一致。
另一情况为,若x小于y,则确定需将表项c后移,接着可遍历表2中的ACL表项,查找并删除优先级值为x,即优先级值为3的表项c。继续遍历表2中的ACL表项,查找是否存在大于3且小于等于y的表项,此处假设y=4,可知,表2中表项d的优先级值大于3且小于等于4,此时可将表项d的优先级值分别减1,之后可将上述重新配置的优先级值为y=4的表项c插入表项d之后,移动完成后板卡1中的ACL表项可如表6所示。
优先级值 | 名称 | 源IP | 目的IP | 执行动作 |
1 | a | 192.168.0.0/24 | 任意 | 丢包 |
2 | b | 192.168.0.0/16 | 任意 | 重定向 |
3 | d | 192.168.0.0/16 | 1.1.1.1/3 | 丢包 |
4 | c | 任意 | 1.1.1.1/3 | 重定向 |
表6
同样地,对于表3所示的板卡2的ACL表项,需遍历该表项,判断有无优先级值大于3且小于等于4的表项,若无,则可不更新表3所示的ACL表项的优先级值;若有,则可将优先级值大于3且小于等于4的表项的优先级值分别减1。
在本申请中,可根据接收到的下发配置的指令,将指令中携带的ACL表项下发给该ACL表项中配置的槽位及端口所对应的板卡,后续当接收到调整ACL表项的指令时,可基于预定的策略,调整上述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并可对调整后的ACL表项的优先级值进行更新,同时,还可根据上述更新后的ACL表项的优先级值,更新其他板卡中ACL表项的优先级值,以保持各个板卡中同一ACL表项的优先级值保持一致。
与现有技术相比,一方面,本申请的技术方案,允许用户在同一条ACL表项中配置不同的槽位及端口,在下发配置时,设备可根据所配置的槽位及端口将同一ACL表项下发给不同的板卡,从而可无需重复配置;另一方面,可在调整某个板卡中的ACL表项后,基于该板卡中的ACL表项的优先级值,将各个板卡中ACL表项的优先级值进行更新,从而可保证各个板卡中同一ACL表项优先级值的一致。本申请提高了配置及管理ACL表项的易用性
与前述一种ACL的管理方法的实施例相对应,本申请还提供了ACL的管理装置的实施例。
本申请一种ACL的管理装置的实施例可以应用在框式设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在框式设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图2所示,为本申请一种ACL的管理装置所在框式设备的一种硬件结构图,除了图2所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的框式设备通常根据该框式设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图3,图3所示为本申请实施例示出的一种ACL的管理装置的结构示意图,该装置可包括:下发模块310、调整模块320和更新模块330。
其中,下发模块310,用于当接收到下发配置的指令时,根据所述指令携带的ACL表项中配置的槽位及端口,将所述ACL表项下发给所述槽位及端口所对应的板卡,所述ACL表项中还配置有优先级值;
调整模块320,用于当接收到调整ACL表项的指令时,基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值;
更新模块330,用于根据更新后的所述板卡中的ACL表项的优先级值,更新其他板卡中ACL表项的优先级值。
在本申请实施例中,所述调整模块320,进一步用于:
当接收到追加ACL表项的指令时,在所述槽位及端口对应的板卡中的ACL表项最后插入所述指令中携带的待追加ACL表项。
在本申请实施例中,所述调整模块320,进一步用于:
当接收到插入ACL表项的指令时,将所述指令携带的待插入ACL表项中配置的优先级值与所述槽位及端口对应的板卡中的ACL表项的优先级值进行对比;
若所述待插入ACL表项中配置的优先级值大于所述槽位及端口对应的板卡中的ACL表项的优先级值,则在所述板卡中的ACL表项最后插入所述待插入ACL表项;
若所述待插入ACL表项中配置的优先级值大于所述槽位及端口对应的板卡中的第一ACL表项的优先级值,且小于或等于第二ACL表项的优先级值,则将所述待插入ACL表项插入所述第一ACL表项和所述第二ACL表项之间,并增加所述第二ACL表项及所述第二ACL表项之后的ACL表项的优先级值。
在本申请实施例中,所述调整模块320,进一步用于:
当接收到移动ACL表项的指令时,获取所述指令中携带的待移动ACL表项,并判断所述待移动ACL表项移动前的第一优先级值是否大于移动后的第二优先级值;
若所述第一优先级值大于所述第二优先级值,则删除所述槽位及端口对应的板卡中所述第一优先级值的ACL表项,并将所述待移动ACL表项作为待插入的ACL表项插入所述板卡的ACL表项中,并增加优先级值大于等于所述第二优先级值且小于所述第一优先级值的ACL表项的优先级值;
若所述第一优先级值小于所述第二优先级值,则删除所述槽位及端口对应的板卡中所述第一优先级值的ACL表项,并将所述待移动ACL表项作为待插入的ACL表项插入所述板卡的ACL表项中,并减小优先级值大于所述第一优先级值且小于等于所述第二优先级值的ACL表项的优先级值。
在本申请实施例中,所述调整模块320,进一步用于:
当接收到修改ACL表项的指令时,删除所述槽位及端口对应的板卡中所述指令携带的待修改ACL表项对应的修改前的ACL表项,并将所述待修改ACL表项作为待插入ACL表项插入所述槽位的ACL表中。
在本申请实施例中,所述调整模块320,进一步用于:
当接收到删除ACL表项的指令时,删除所述槽位及端口对应的板卡中所述指令携带的待删除ACL表项,并减小所述待删除ACL表项之后的ACL表项的优先级值。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种访问控制列表ACL的管理方法,其特征在于,所述方法应用于框式设备,包括:
当接收到下发配置的指令时,根据所述指令携带的ACL表项中配置的槽位及端口,将所述ACL表项下发给所述槽位及端口所对应的板卡,所述ACL表项中还配置有优先级值;
当接收到调整ACL表项的指令时,基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值;
根据更新后的所述板卡中的ACL表项的优先级值,更新其他板卡中ACL表项的优先级值。
2.根据权利要求1所述的方法,其特征在于,所述基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值,包括:
当接收到追加ACL表项的指令时,在所述槽位及端口对应的板卡中的ACL表项最后插入所述指令中携带的待追加ACL表项。
3.根据权利要求1所述的方法,其特征在于,所述基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值,包括:
当接收到插入ACL表项的指令时,将所述指令携带的待插入ACL表项中配置的优先级值与所述槽位及端口对应的板卡中的ACL表项的优先级值进行对比;
若所述待插入ACL表项中配置的优先级值大于所述槽位及端口对应的板卡中的ACL表项的优先级值,则在所述板卡中的ACL表项最后插入所述待插入ACL表项;
若所述待插入ACL表项中配置的优先级值大于所述槽位及端口对应的板卡中的第一ACL表项的优先级值,且小于或等于第二ACL表项的优先级值,则将所述待插入ACL表项插入所述第一ACL表项和所述第二ACL表项之间,并增加所述第二ACL表项及所述第二ACL表项之后的ACL表项的优先级值。
4.根据权利要求1所述的方法,其特征在于,所述基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值,包括:
当接收到移动ACL表项的指令时,获取所述指令中携带的待移动ACL表项,并判断所述待移动ACL表项移动前的第一优先级值是否大于移动后的第二优先级值;
若所述第一优先级值大于所述第二优先级值,则删除所述槽位及端口对应的板卡中所述第一优先级值的ACL表项,并将所述待移动ACL表项作为待插入的ACL表项插入所述板卡的ACL表项中,并增加优先级值大于等于所述第二优先级值且小于所述第一优先级值的ACL表项的优先级值;
若所述第一优先级值小于所述第二优先级值,则删除所述槽位及端口对应的板卡中所述第一优先级值的ACL表项,并将所述待移动ACL表项作为待插入的ACL表项插入所述板卡的ACL表项中,并减小优先级值大于所述第一优先级值且小于等于所述第二优先级值的ACL表项的优先级值。
5.根据权利要求1所述的方法,其特征在于,所述基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值,包括:
当接收到修改ACL表项的指令时,删除所述槽位及端口对应的板卡中所述指令携带的待修改ACL表项对应的修改前的ACL表项,并将所述待修改ACL表项作为待插入ACL表项插入所述槽位的ACL表中。
6.根据权利要求1所述的方法,其特征在于,所述基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值,包括:
当接收到删除ACL表项的指令时,删除所述槽位及端口对应的板卡中所述指令携带的待删除ACL表项,并减小所述待删除ACL表项之后的ACL表项的优先级值。
7.一种访问控制列表ACL的管理装置,其特征在于,所述装置应用于框式设备,包括:
下发模块,用于当接收到下发配置的指令时,根据所述指令携带的ACL表项中配置的槽位及端口,将所述ACL表项下发给所述槽位及端口所对应的板卡,所述ACL表项中还配置有优先级值;
调整模块,用于当接收到调整ACL表项的指令时,基于预定的策略,调整所述指令携带的待调整ACL表项中配置的槽位及端口所对应的板卡中的ACL表项,并更新所述板卡中的ACL表项的优先级值;
更新模块,用于根据更新后的所述板卡中的ACL表项的优先级值,更新其他板卡中ACL表项的优先级值。
8.根据权利要求7所述的装置,其特征在于,所述调整模块,进一步用于:
当接收到追加ACL表项的指令时,在所述槽位及端口对应的板卡中的ACL表项最后插入所述指令中携带的待追加ACL表项。
9.根据权利要求7所述的装置,其特征在于,所述调整模块,进一步用于:
当接收到插入ACL表项的指令时,将所述指令携带的待插入ACL表项中配置的优先级值与所述槽位及端口对应的板卡中的ACL表项的优先级值进行对比;
若所述待插入ACL表项中配置的优先级值大于所述槽位及端口对应的板卡中的ACL表项的优先级值,则在所述板卡中的ACL表项最后插入所述待插入ACL表项;
若所述待插入ACL表项中配置的优先级值大于所述槽位及端口对应的板卡中的第一ACL表项的优先级值,且小于或等于第二ACL表项的优先级值,则将所述待插入ACL表项插入所述第一ACL表项和所述第二ACL表项之间,并增加所述第二ACL表项及所述第二ACL表项之后的ACL表项的优先级值。
10.根据权利要求7所述的装置,其特征在于,所述调整模块,进一步用于:
当接收到移动ACL表项的指令时,获取所述指令中携带的待移动ACL表项,并判断所述待移动ACL表项移动前的第一优先级值是否大于移动后的第二优先级值;
若所述第一优先级值大于所述第二优先级值,则删除所述槽位及端口对应的板卡中所述第一优先级值的ACL表项,并将所述待移动ACL表项作为待插入的ACL表项插入所述板卡的ACL表项中,并增加优先级值大于等于所述第二优先级值且小于所述第一优先级值的ACL表项的优先级值;
若所述第一优先级值小于所述第二优先级值,则删除所述槽位及端口对应的板卡中所述第一优先级值的ACL表项,并将所述待移动ACL表项作为待插入的ACL表项插入所述板卡的ACL表项中,并减小优先级值大于所述第一优先级值且小于等于所述第二优先级值的ACL表项的优先级值。
11.根据权利要求7所述的装置,其特征在于,所述调整模块,进一步用于:
当接收到修改ACL表项的指令时,删除所述槽位及端口对应的板卡中所述指令携带的待修改ACL表项对应的修改前的ACL表项,并将所述待修改ACL表项作为待插入ACL表项插入所述槽位的ACL表中。
12.根据权利要求7所述的装置,其特征在于,所述调整模块,进一步用于:
当接收到删除ACL表项的指令时,删除所述槽位及端口对应的板卡中所述指令携带的待删除ACL表项,并减小所述待删除ACL表项之后的ACL表项的优先级值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711456605.1A CN107896169B (zh) | 2017-12-28 | 2017-12-28 | 一种acl的管理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711456605.1A CN107896169B (zh) | 2017-12-28 | 2017-12-28 | 一种acl的管理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107896169A true CN107896169A (zh) | 2018-04-10 |
CN107896169B CN107896169B (zh) | 2021-12-24 |
Family
ID=61808383
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711456605.1A Active CN107896169B (zh) | 2017-12-28 | 2017-12-28 | 一种acl的管理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107896169B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131045A (zh) * | 2019-12-04 | 2020-05-08 | 杭州迪普科技股份有限公司 | 报文转发方法和网络设备 |
CN111224964A (zh) * | 2019-12-30 | 2020-06-02 | 北京三快在线科技有限公司 | 访问控制方法及设备 |
CN111327546A (zh) * | 2020-02-25 | 2020-06-23 | 杭州迪普科技股份有限公司 | 一种报文转发的方法及装置 |
CN111342995A (zh) * | 2020-02-03 | 2020-06-26 | 杭州迪普科技股份有限公司 | 同步装置、方法和服务器系统 |
CN113014504A (zh) * | 2021-03-16 | 2021-06-22 | 杭州迪普信息技术有限公司 | 流量控制方法、装置与电子设备 |
CN113656329A (zh) * | 2021-08-09 | 2021-11-16 | 国家计算机网络与信息安全管理中心 | 一种基于tcam的掩码规则插入方法、电子设备和存储介质 |
CN114567581A (zh) * | 2022-01-14 | 2022-05-31 | 新华三技术有限公司合肥分公司 | 一种配置表项的方法及设备 |
CN115865839A (zh) * | 2023-01-20 | 2023-03-28 | 苏州浪潮智能科技有限公司 | Acl管理方法、装置、通信设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725736A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 配置访问控制列表的方法及其应用 |
CN1933487A (zh) * | 2006-10-18 | 2007-03-21 | 杭州华为三康技术有限公司 | 一种保证执行正确的方法、装置和系统 |
CN101035062A (zh) * | 2006-03-09 | 2007-09-12 | 中兴通讯股份有限公司 | 一种三重内容可寻址存储器报文分类的规则更新方法 |
CN101197675A (zh) * | 2007-11-14 | 2008-06-11 | 杭州华三通信技术有限公司 | 访问控制列表配置方法及装置 |
CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
CN104125232A (zh) * | 2014-08-04 | 2014-10-29 | 上海斐讯数据通信技术有限公司 | 一种快速下发acl规则的方法 |
US20170034058A1 (en) * | 2014-04-08 | 2017-02-02 | Hewlett Packard Enterprise Development Lp | Pipeline table identification |
-
2017
- 2017-12-28 CN CN201711456605.1A patent/CN107896169B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725736A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 配置访问控制列表的方法及其应用 |
CN101035062A (zh) * | 2006-03-09 | 2007-09-12 | 中兴通讯股份有限公司 | 一种三重内容可寻址存储器报文分类的规则更新方法 |
CN1933487A (zh) * | 2006-10-18 | 2007-03-21 | 杭州华为三康技术有限公司 | 一种保证执行正确的方法、装置和系统 |
CN101197675A (zh) * | 2007-11-14 | 2008-06-11 | 杭州华三通信技术有限公司 | 访问控制列表配置方法及装置 |
CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
US20170034058A1 (en) * | 2014-04-08 | 2017-02-02 | Hewlett Packard Enterprise Development Lp | Pipeline table identification |
CN104125232A (zh) * | 2014-08-04 | 2014-10-29 | 上海斐讯数据通信技术有限公司 | 一种快速下发acl规则的方法 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131045A (zh) * | 2019-12-04 | 2020-05-08 | 杭州迪普科技股份有限公司 | 报文转发方法和网络设备 |
CN111131045B (zh) * | 2019-12-04 | 2022-04-26 | 杭州迪普科技股份有限公司 | 报文转发方法和网络设备 |
CN111224964A (zh) * | 2019-12-30 | 2020-06-02 | 北京三快在线科技有限公司 | 访问控制方法及设备 |
CN111342995A (zh) * | 2020-02-03 | 2020-06-26 | 杭州迪普科技股份有限公司 | 同步装置、方法和服务器系统 |
CN111327546A (zh) * | 2020-02-25 | 2020-06-23 | 杭州迪普科技股份有限公司 | 一种报文转发的方法及装置 |
CN113014504A (zh) * | 2021-03-16 | 2021-06-22 | 杭州迪普信息技术有限公司 | 流量控制方法、装置与电子设备 |
CN113656329A (zh) * | 2021-08-09 | 2021-11-16 | 国家计算机网络与信息安全管理中心 | 一种基于tcam的掩码规则插入方法、电子设备和存储介质 |
CN113656329B (zh) * | 2021-08-09 | 2024-02-02 | 国家计算机网络与信息安全管理中心 | 一种基于tcam的掩码规则插入方法、电子设备和存储介质 |
CN114567581A (zh) * | 2022-01-14 | 2022-05-31 | 新华三技术有限公司合肥分公司 | 一种配置表项的方法及设备 |
CN114567581B (zh) * | 2022-01-14 | 2023-12-26 | 新华三技术有限公司合肥分公司 | 一种配置表项的方法及设备 |
CN115865839A (zh) * | 2023-01-20 | 2023-03-28 | 苏州浪潮智能科技有限公司 | Acl管理方法、装置、通信设备及存储介质 |
CN115865839B (zh) * | 2023-01-20 | 2023-05-23 | 苏州浪潮智能科技有限公司 | Acl管理方法、装置、通信设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107896169B (zh) | 2021-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107896169A (zh) | 一种acl的管理方法及装置 | |
US10728176B2 (en) | Ruled-based network traffic interception and distribution scheme | |
US8750144B1 (en) | System and method for reducing required memory updates | |
CN107528783B (zh) | 利用对前缀长度进行两个搜索阶段的ip路由缓存 | |
US20020004836A1 (en) | System and method for determining a preferred mirrored service in a network by evaluating a border gateway protocol | |
US10862827B1 (en) | Network forwarding element with key-value processing in the data plane | |
CN107078960A (zh) | 基于流的网络功能链接的优化方法 | |
CN106470158A (zh) | 报文转发方法及装置 | |
CN110191428A (zh) | 一种基于智能云平台的数据分配方法 | |
CN107508836B (zh) | 一种acl规则下发的方法及装置 | |
WO2016175768A1 (en) | Map tables for hardware tables | |
CN105939324A (zh) | 转发报文的方法及装置 | |
CN107547364A (zh) | 路由下发方法、装置和网络设备 | |
CN103270727B (zh) | 存储体感知多位特里结构 | |
US10084613B2 (en) | Self adapting driver for controlling datapath hardware elements | |
US10931518B2 (en) | System and method for configuring networks | |
CN113037681B (zh) | Acl规则管理方法、装置、计算机设备及计算机可读介质 | |
CN108494720A (zh) | 一种基于会话迁移的调度方法及服务器 | |
CN107147581A (zh) | 路由表项的维护方法和装置 | |
FI111583B (fi) | Lisenssinvalvonta yhdyskäytäväpalvelimessa | |
CN109508243A (zh) | 业务请求处理方法、装置、计算机设备和存储介质 | |
CN101640634A (zh) | 网络流量控制方法 | |
CN111464443B (zh) | 基于服务功能链的报文转发方法、装置、设备及存储介质 | |
CN106294191A (zh) | 处理表的方法、访问表的方法和装置 | |
EP2908484A1 (en) | Communication node, control device, communication system, packet processing method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |