CN108512782A - 访问控制列表分组调整方法、网络设备和系统 - Google Patents
访问控制列表分组调整方法、网络设备和系统 Download PDFInfo
- Publication number
- CN108512782A CN108512782A CN201710103522.8A CN201710103522A CN108512782A CN 108512782 A CN108512782 A CN 108512782A CN 201710103522 A CN201710103522 A CN 201710103522A CN 108512782 A CN108512782 A CN 108512782A
- Authority
- CN
- China
- Prior art keywords
- acl
- groupings
- grouped
- rule
- tcam
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/65—Re-configuration of fast packet switches
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种访问控制列表分组调整方法、网络设备和系统,涉及通信领域,用于解决由于TCAM中ACL分组资源不足导致的ACL业务下发失败的问题。访问控制列表分组调整方法,包括:将多个第一ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并,以形成第二ACL分组;获取所述第二ACL分组对应的ACL规则;删除三态内容寻址存储器TCAM中的第一ACL分组以及与所述第一ACL分组对应的ACL规则;将所述第二ACL分组下发到TCAM;将所述第二ACL分组对应的ACL规则下发到所述TCAM中的所述第二ACL分组中。本申请实施例用于交换机或路由器下发ACL规则。
Description
技术领域
本申请涉及通信领域,尤其涉及一种访问控制列表分组调整方法、网络设备和系统。
背景技术
访问控制列表(access control list,ACL)是路由器和交换机接口的指令列表,用于控制端口进出的数据包。具体的,ACL规则通过匹配报文的指定特征,然后对满足这些特征的报文进行指定的动作处理,例如限速、重定向、统计等。为了方便对不同业务的ACL规则进行管理,由三态内容寻址存储器(ternary content addressable memory,TCAM)硬件单元提供了ACL规则的管理模板,统称为ACL分组。在下发每条ACL规则之前,必须首先为待下发的ACL规则指定ACL分组,若被指定的ACL分组还没有创建,则需要先创建ACL分组,然后再下发ACL规则。
ACL分组中包含ACL规则的匹配字段以及支持的动作的全集,并且在同一个ACL分组中可以同时承载多种ACL业务,即包含使用不同匹配字段和动作的ACL规则。由于业务众多,单个ACL分组能包含的匹配字段和动作有限,因此许多业务会被划分为不同的ACL分组。由于芯片硬件能力限制,芯片支持同时创建的ACL分组数量是有限的。当多种业务同时下发从而需要创建的ACL分组数目超过TCAM芯片能力限制时,就会出现因为ACL分组创建失败而导致的ACL业务下发失败。
发明内容
本申请的实施例提供一种访问控制列表分组调整方法、网络设备和系统,用于解决由于TCAM中ACL分组资源不足导致的ACL业务下发失败的问题。
为达到上述目的,本申请实施例采用如下技术方案:
第一方面,提供了一种访问控制列表分组调整方法,该方法包括:将多个第一ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并,以形成第二ACL分组;获取第二ACL分组对应的ACL规则;删除三态内容寻址存储器TCAM中的第一ACL分组以及与第一ACL分组对应的ACL规则;将第二ACL分组下发到TCAM;将第二ACL分组对应的ACL规则下发到TCAM中的第二ACL分组中。本申请实施例提供的访问控制列表分组调整方法,通过将TCAM中的ACL分组以及对应ACL规则进行合并,节省ACL分组资源,解决了由于TCAM中ACL分组资源不足导致的ACL业务下发失败的问题。
在一种可能的设计中,将多个第一ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并,以形成第二ACL分组,包括:根据ACL规则与ACL分组静态对应关系数据和第一ACL规则,得到与第一ACL规则对应的ACL分组的标识,其中,第一ACL规则包括匹配字段集合和动作集合;根据第一ACL规则的匹配字段集合和动作集合以及ACL分组的标识,得到第一ACL分组;对多个第一ACL分组的匹配字段集合和动作集合进行合并以得到第二ACL分组。在该设计中提供了一种对ACL分组进行合并的具体实施方式。
第二方面,提供了一种网络设备,包括:合并单元,用于将多个第一访问控制列表ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并,以形成第二ACL分组;获取单元,用于获取第二ACL分组对应的ACL规则;删除单元,用于删除三态内容寻址存储器TCAM中的第一ACL分组以及与第一ACL分组对应的ACL规则;发送单元,用于将第二ACL分组下发到TCAM;发送单元,还用于将第二ACL分组对应的ACL规则下发到TCAM中的第二ACL分组中。本申请实施例提供的网络设备,通过将TCAM中的ACL分组以及对应ACL规则进行合并,节省ACL分组资源,解决了由于TCAM中ACL分组资源不足导致的ACL业务下发失败的问题。
在一种可能的设计中,合并单元,具体用于:根据ACL规则与ACL分组静态对应关系数据和第一ACL规则,得到与第一ACL规则对应的ACL分组的标识,其中,第一ACL规则包括匹配字段集合和动作集合;根据第一ACL规则的匹配字段集合和动作集合以及ACL分组的标识,得到第一ACL分组;对多个第一ACL分组的匹配字段集合和动作集合进行合并以得到第二ACL分组。在该设计中提供了一种对ACL分组进行合并的具体实施方式。
第三方面,提供了一种网络设备,包括:处理器、存储器、总线和通信接口;该存储器用于存储计算机执行指令,该处理器与该存储器通过该总线连接,当该网络设备运行时,该处理器执行该存储器存储的该计算机执行指令,以使该网络设备执行上述第一方面中任意一项的访问控制列表分组调整方法。
第四方面,本申请实施例提供了一种计算机存储介质,包括指令,当其在计算机上运行时,使得计算机执行如第一方面所述的访问控制列表分组调整方法。
第五方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得该计算机执行如第一方面所述的访问控制列表分组调整方法。
另外,第三方面至第五方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果,此处不再赘述。
第六方面,本申请实施例提供一种访问控制列表分组调整系统,包括如上述任一方面所述的网络设备。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本申请的实施例提供的访问控制列表分组调整系统的结构示意图;
图2为本申请的实施例提供的一种网络设备的硬件结构示意图;
图3为现有技术中ACL业务中ACL规则的下发处理流程示意图;
图4为现有技术中的一种ACL分组示意图;
图5为现有技术中的ACL分组创建失败的示意图;
图6为本申请的实施例提供的一种访问控制列表分组调整方法的流程示意图;
图7为本申请的实施例提供的一种合并后ACL分组的结果示意图;
图8为本申请的实施例提供的一种对合并后ACL分组进行删除操作的结果示意图;
图9为本申请的实施例提供的一种对TCAM中合并操作涉及ACL分组进行删除的结果示意图;
图10为本申请的实施例提供的一种向TCAM下发ACL分组的结果示意图;
图11为本申请的实施例提供的一种向TCAM下发ACL规则的结果示意图;
图12为本申请的实施例提供的一种向TCAM成功下发ACL规则的结果示意图;
图13为本申请的实施例提供的一种将ACL分组存储到非TCAM存储区域中的流程示意图;
图14为本申请的实施例提供的另一种网络设备的结构示意图;
图15为本申请的实施例提供的又一种网络设备的结构示意图;
图16为本申请的实施例提供的再一种网络设备的结构示意图。
具体实施方式
下面结合附图,对本申请的实施例进行描述。
参照图1中所示,为本申请实施例提供的访问控制列表分组调整系统的结构示意图,包括网络设备100和终端设备200,终端设备200通过网络设备100与网络交换数据。
参照图2中所示,为本申请实施例提供的一种网络设备100的硬件结构示意图,该网络设备100包括至少一个处理器101,通信总线102,存储器103以及至少一个通信接口104。
处理器101可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信总线102可包括一通路,在上述组件之间传送信息。
通信接口104,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。
存储器103可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器103用于存储执行本申请方案的应用程序代码,并由处理器101来控制执行。处理器101用于执行存储器103中存储的应用程序代码,从而实现本申请实施例中所述的下行信号传输方法。
在具体实现中,作为一种实施例,处理器101可以包括一个或多个CPU,例如图2中的CPU0和CPU1。
在具体实现中,作为一种实施例,网络设备100可以包括多个处理器,例如图2中的处理器101和处理器108。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,网络设备100还可以包括输出设备105和输入设备106。输出设备105和处理器101通信,可以以多种方式来显示信息。例如,输出设备105可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备106和处理器101通信,可以以多种方式接受用户的输入。例如,输入设备106可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的网络设备100可以是一个通用网络设备或者是一个专用网络设备。在具体实现中,网络设备100可以是路由器或交换机或有图2中类似结构的设备。本申请实施例不限定网络设备100的类型。
现有技术中,ACL业务中ACL规则的下发处理流程参照图3中所示,包括:
S101、首先要设置ACL规则的匹配字段集合(qualifier set,Qset)和动作集合(action set,Aset)。
S102、然后根据ACL规则和ACL分组的静态对应关系以及当前ACL规则获得当前ACL规则对应的ACL分组。
示例性的,假设ACL规则1至ACL规则n属于ACL分组1,ACL规则n+1至ACL规则m属于ACL分组2,1<n<m,依次类推。如果待下发规则1,则可以查找到其对应ACL分组1。
S103、判断获取的ACL分组是否已在TCAM中创建,如果未创建则进行步骤S104,否则进行步骤S105。
S104、如果获取的ACL分组没有在TCAM中创建,则需要先在TCAM中创建该ACL分组。
为适应不同ACL业务的需要,ACL规划了许多的ACL分组,这些分组中各自承载着不同的ACL业务,每个ACL分组中包含所承载业务所需要匹配字段和动作的全集。ACL分组中包含的任何一个业务下发时,ACL分组就会创建,且会包含ACL分组中所有的匹配字段和动作。
S105、将ACL规则下发到TCAM中的对应ACL分组内。
示例性的,参照图4中所示有ACL分组1至ACL分组4共4个ACL分组,每个ACL分组中的包含的匹配字段集合为Qset,动作集合为Aset。假设ACL业务1_1在ACL分组1中使用{Qset_1_1、Qset_1_2;Aset_1_1},当ACL业务1_1首次下发时,ACL分组1会使用组内所有Qset、Aset(Qset_1_1、Qset_1_2、Qset_1_3、Qset_1_4、Aset_1_1、Aset_1_2、Aset_1_3)来创建分组,然后再将ACL业务1_1下发到ACL分组1中。之后若有ACL分组1中其他ACL业务下发,则不需要再创建ACL分组1,其他ACL分组类似,在此不再赘述。
示例中的ACL分组1至ACL分组4是按照不同的业务需要而规划好的ACL分组,承载着不同的ACL业务。在实际的交换机产品中,此类已规划好的ACL分组数以百计。由于TCAM硬件能力的限制,在TCAM中能同时创建的分组总数有限,不可能同时承载所有已规划好的ACL分组。在上述现有技术中,如果使用的ACL业务集中在已创建的ACL分组中,则在TCAM中可支持下发的业务总数能够达到最佳状态,ACL分组达到比较高的利用率。但是,在用户部署业务时,使用场景和使用习惯各不相同,比较容易出现不同业务分布在不同分组的情况,易产生ACL分组下发到TCAM中时,由于TCAM硬件资源不足导致ACL业务下发失败的情况。
示例性的,参照图5中所示,假设TCAM硬件能力最多支持4个ACL分组下发,ACL组分1-ACL分组4都有业务下发,匹配字段集合Qset和动作集合为Aset的使用情况如图中所示,其中阴影部分表示未被使用的未被使用的Qset和Aset,非阴影部分表示已经被使用的Qset和Aset。如果再有ACL分组5的业务要下发,则ACL分组5会因为TCAM的ACL分组资源不足而导致ACL下发失败。
从对图5分析可知,TCAM中存在一些未被使用的Qset和Aset,造成了TCAM硬件资源的浪费,此时若能将两个分组待使用的Qset和Aset合并为一个分组,则可以空闲出TCAM中的一个ACL分组资源用于ACL分组5的创建,使得ACL分组5中要下发的业务下发成功。
本申请实施例提供的访问控制列表分组调整方法、网络设备和系统,在出现因为ACL分组硬件资源不足的情况时,通过配置命令触发对已下发和下发失败的ACL业务需要的Qset和Aset进行整理,合并成新的ACL分组,刷新所有的ACL业务,在下发ACL规则需要创建ACL分组时,以新合并的ACL分组进行创建。由于ACL分组中所有的匹配字段和动作均为业务实际需要的,使得ACL分组达到较高的利用率。
本申请实施例提供了一种访问控制列表分组调整方法,参照图6中所示,包括S201-S205:
S201、将多个第一ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并,以形成第二ACL分组。
为了以示区别,本申请实施例所述的第一ACL分组指进行合并之前的ACL分组,第二ACL分组指进行合并之后的ACL分组。
如步骤S102中所述的,每个第一ACL分组可以对应至少一个ACL规则,又由于每个ACL规则包括匹配字段集合Qset和动作集合Aset,因此,实际上每个第一ACL分组可以对应至少一个ACL规则的匹配字段集合和动作集合。因此,可以将多个第一ACL分组进行合并以得到第二ACL分组,即相当于将多个第一ACL分组的匹配字段集合和动作集合进行合并从而得到第二ACL分组。
需要说明的是,为了与TCAM中实际存储的ACL分组和对应ACL规则相区别,上述第一ACL分组和第二ACL分组可以存储在全局数据区或其他非TCAM存储区域中,以避免对TCAM中存储内容的误操作。上述非TCAM中存储的第一ACL分组可以直接从TCAM中存储的ACL分组拷贝,或者,在向TCAM下发ACL规则或创建ACL分组之前先将ACL分组存储到非TCAM存储区域中,本申请实施例不作限定。
示例性的,以非TCAM为全局数据区为例,针对图5中所示的,TCAM中已经存储了ACL分组1至ACL分组4,要下发ACL分组5时由于TCAM的ACL分组资源不足而导致ACL下发失败的场景,可以在全局数据区中存储TCAM中ACL分组1至ACL分组4的拷贝,并对全局数据区中的ACL分组1和ACL分组3进行合并形成新的ACL分组1,其合并结果仍然存储于全局数据区中,具体如图7中所示。从中可以看出新的ACL分组1实际上包括了原ACL分组1和ACL分组3的内容。进一步的,为了防止重复合并,可以删除全局数据区中ACL分组3中的内容,其删除结果如图8中所示。
S202、获取第二ACL分组对应的ACL规则。
如步骤S201所述的,每个第一ACL分组对应至少一个ACL规则,进行合并后,第二ACL分组同样对应合并之前的原第一ACL分组所对应的ACL规则。
示例性的,针对图7中合并和删除后的结果,新的ACL分组1中对应的ACL规则包括1_1、1_2、3_1、3_2。
S203、删除TCAM中的第一ACL分组以及与所述第一ACL分组对应的ACL规则。
即删除TCAM中合并之前的ACL分组。对于未参与合并的ACL分组可以不必删除。
示例性的,针对图8中的合并和删除结果,由于是对第一ACL分组中的ACL分组1和ACL分组3进行合并从而得到第二ACL分组,因此,参照图9中所示,删除TCAM中的ACL分组1和ACL分组3。
S204、将第二ACL分组下发到TCAM。
示例性的,将新的ACL分组1(即第二ACL分组)下发到TCAM中,其结果参照图10中所示。
S205、将第二ACL分组对应的ACL规则下发到TCAM中的第二ACL分组中。
示例性的,将新的ACL分组1(即第二ACL分组)对应的ACL规则下发到TCAM中,其结果参照图11中所示。
从中可以看出,经过合并和删除之后,TCAM中的ACL分组资源已经空闲出一个ACL分组,可以用于支持曾经因为TCAM分组资源不足而下发失败的ACL分组5的创建,使得对应ACL规则可以下发成功,其最终下发结果参照图12中所示。
本申请实施例提供的访问控制列表分组调整方法,通过将TCAM中的ACL分组以及对应ACL规则进行合并,节省ACL分组资源,解决了由于TCAM中ACL分组资源不足导致的ACL业务下发失败的问题。
具体的,针对步骤S201中所述的“在向TCAM下发ACL规则或创建ACL分组之前先将ACL分组存储到非TCAM存储区域中”,对步骤S201进行进一步描述。参照图13中所示,步骤S201包括步骤S2011-S2013:
S2011、根据ACL规则与ACL分组静态对应关系数据以及第一ACL规则,得到与第一ACL规则对应的ACL分组的标识。
该步骤与可以参照步骤S102,在此不再赘述。
S2012、根据第一ACL规则的匹配字段集合和动作集合以及ACL分组的标识,得到第一ACL分组。
该步骤实际上将ACL规则所要使用的匹配字段集合和动作集合按照ACL分组的标识保存到非TCAM的存储空间(例如全局数据区)中。
该步骤可以发生在步骤S102与步骤S103之间。
S2013、对多个第一ACL分组的匹配字段集合和动作集合进行合并以得到第二ACL分组。
需要说明的是,虽然本申请实施例所描述的访问控制列表分组调整方法,是在由于TCAM中ACL分组资源不足导致的ACL业务下发失败而触发的,但是并不限定于该触发条件,例如可以在网络设备工作的任何时刻触发,或者在每次向TCAM创建分组时或下发ACL规则时触发,等等。
本申请实施例可以根据上述方法示例对各设备进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图14示出了上述实施例中所涉及的网络设备的一种可能的结构示意图,网络设备100包括:合并单元1011、获取单元1012、删除单元1013和发送单元1014。合并单元1011用于支持网络设备100执行图6中的过程S201和图13中的过程S2011-S2013;获取单元1012用于支持网络设备100执行图6中的过程S202和图13中的过程S202;删除单元1013用于支持网络设备100执行图6中的过程S203和图13中的过程S203;发送单元1014用于支持网络设备100执行图6中的过程S204、S205和图13中的过程S204、S205。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在采用集成的单元的情况下,图15示出了上述实施例中所涉及的网络设备的一种可能的结构示意图。网络设备100包括:处理模块1022和通信模块1023。处理模块1022用于对网络设备100的动作进行控制管理,例如,处理模块1022用于支持网络设备100执行图6中的过程S201-S203和图13中的过程S2011-S203。通信模块1013用于支持网络设备与其他实体的通信,例如与图1中示出的功能模块或网络实体之间的通信。网络设备100还可以包括存储模块1021,用于存储网络设备的程序代码和数据。
其中,处理模块1022可以是处理器或控制器,例如可以是中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理器(digital signal processor,DSP),专用集成电路(application-specific integrated circuit,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块1023可以是收发器、收发电路或通信接口等。存储模块1021可以是存储器。
当处理模块1022为处理器,通信模块1023为收发器,存储模块1021为存储器时,本申请实施例所涉及的网络设备可以为图16所示的网络设备100。
参阅图16所示,该网络设备100包括:处理器1032、收发器1033、存储器1031、总线1034。其中,收发器1033、处理器1032、存储器1031通过总线1034相互连接;总线1034可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (6)
1.一种访问控制列表ACL分组调整方法,其特征在于,包括:
将多个第一ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并,以形成第二ACL分组;
获取所述第二ACL分组对应的ACL规则;
删除三态内容寻址存储器TCAM中的第一ACL分组以及与所述第一ACL分组对应的ACL规则;
将所述第二ACL分组下发到TCAM;
将所述第二ACL分组对应的ACL规则下发到所述TCAM中的所述第二ACL分组中。
2.根据权利要求1所述的方法,其特征在于,所述将多个第一ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并,以形成第二ACL分组,包括:
根据ACL规则与ACL分组静态对应关系数据和第一ACL规则,得到与所述第一ACL规则对应的ACL分组的标识,其中,所述第一ACL规则包括匹配字段集合和动作集合;
根据所述第一ACL规则的匹配字段集合和动作集合以及所述ACL分组的标识,得到所述第一ACL分组;
对多个所述第一ACL分组的匹配字段集合和动作集合进行合并以得到所述第二ACL分组。
3.一种网络设备,其特征在于,包括:
合并单元,用于将多个第一访问控制列表ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并,以形成第二ACL分组;
获取单元,用于获取所述第二ACL分组对应的ACL规则;
删除单元,用于删除三态内容寻址存储器TCAM中的第一ACL分组以及与所述第一ACL分组对应的ACL规则;
发送单元,用于将所述第二ACL分组下发到TCAM;
所述发送单元,还用于将所述第二ACL分组对应的ACL规则下发到所述TCAM中的所述第二ACL分组中。
4.根据权利要求3所述的网络设备,其特征在于,所述合并单元,具体用于:
根据ACL规则与ACL分组静态对应关系数据和第一ACL规则,得到与所述第一ACL规则对应的ACL分组的标识,其中,所述第一ACL规则包括匹配字段集合和动作集合;
根据所述第一ACL规则的匹配字段集合和动作集合以及所述ACL分组的标识,得到所述第一ACL分组;
对多个所述第一ACL分组的匹配字段集合和动作集合进行合并以得到所述第二ACL分组。
5.一种网络设备,其特征在于,包括:处理器、存储器、总线和通信接口;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接,当所述网络设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述网络设备执行如权利要求1或2所述的访问控制列表ACL分组调整方法。
6.一种访问控制列表ACL分组调整系统,其特征在于,包括如权利要求3或4所述的网络设备,或者,包括如权利要求5所述的网络设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710103522.8A CN108512782A (zh) | 2017-02-24 | 2017-02-24 | 访问控制列表分组调整方法、网络设备和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710103522.8A CN108512782A (zh) | 2017-02-24 | 2017-02-24 | 访问控制列表分组调整方法、网络设备和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108512782A true CN108512782A (zh) | 2018-09-07 |
Family
ID=63372917
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710103522.8A Pending CN108512782A (zh) | 2017-02-24 | 2017-02-24 | 访问控制列表分组调整方法、网络设备和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108512782A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110837647A (zh) * | 2018-08-16 | 2020-02-25 | 迈普通信技术股份有限公司 | 管理访问控制列表的方法及装置 |
CN112019492A (zh) * | 2019-05-31 | 2020-12-01 | 华为技术有限公司 | 访问控制方法、装置及存储介质 |
CN112270944A (zh) * | 2020-09-29 | 2021-01-26 | 新华三技术有限公司 | 一种表项管理方法及设备 |
CN112565167A (zh) * | 2019-09-26 | 2021-03-26 | 华为数字技术(苏州)有限公司 | 一种访问控制列表acl的检测方法及网络设备 |
CN113392039A (zh) * | 2021-06-09 | 2021-09-14 | 新华三信息安全技术有限公司 | 一种数据存储、查找方法及装置 |
US20220385587A1 (en) * | 2021-05-25 | 2022-12-01 | Google Llc | Acknowledgement Coalescing Module Utilized In Content Addressable Memory (CAM) Based Hardware Architecture For Data Center Networking |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101364947A (zh) * | 2008-09-08 | 2009-02-11 | 中兴通讯股份有限公司 | 一种访问控制列表规则匹配方法及系统 |
US7904642B1 (en) * | 2007-02-08 | 2011-03-08 | Netlogic Microsystems, Inc. | Method for combining and storing access control lists |
CN103875230A (zh) * | 2011-10-07 | 2014-06-18 | 晶像股份有限公司 | 使用编码的前同步码对数据流的标识和处理 |
-
2017
- 2017-02-24 CN CN201710103522.8A patent/CN108512782A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7904642B1 (en) * | 2007-02-08 | 2011-03-08 | Netlogic Microsystems, Inc. | Method for combining and storing access control lists |
CN101364947A (zh) * | 2008-09-08 | 2009-02-11 | 中兴通讯股份有限公司 | 一种访问控制列表规则匹配方法及系统 |
CN103875230A (zh) * | 2011-10-07 | 2014-06-18 | 晶像股份有限公司 | 使用编码的前同步码对数据流的标识和处理 |
Non-Patent Citations (2)
Title |
---|
HANQING ZHU.ETC: "MDTC: An Efficient Approach to TCAM-based Multidimensional Table Compression", 《IEEE》 * |
曾旷怡,杨家海: "一种基于策略的网络管理系统研究与实现", 《小型微型计算机系统》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110837647A (zh) * | 2018-08-16 | 2020-02-25 | 迈普通信技术股份有限公司 | 管理访问控制列表的方法及装置 |
CN112019492A (zh) * | 2019-05-31 | 2020-12-01 | 华为技术有限公司 | 访问控制方法、装置及存储介质 |
CN112565167A (zh) * | 2019-09-26 | 2021-03-26 | 华为数字技术(苏州)有限公司 | 一种访问控制列表acl的检测方法及网络设备 |
CN112270944A (zh) * | 2020-09-29 | 2021-01-26 | 新华三技术有限公司 | 一种表项管理方法及设备 |
US20220385587A1 (en) * | 2021-05-25 | 2022-12-01 | Google Llc | Acknowledgement Coalescing Module Utilized In Content Addressable Memory (CAM) Based Hardware Architecture For Data Center Networking |
CN113392039A (zh) * | 2021-06-09 | 2021-09-14 | 新华三信息安全技术有限公司 | 一种数据存储、查找方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108512782A (zh) | 访问控制列表分组调整方法、网络设备和系统 | |
US10439987B2 (en) | Systems and methods for securing network traffic flow in a multi-service containerized application | |
US20190123963A1 (en) | Method and apparatus for managing resources of network slice | |
CN113641457B (zh) | 容器创建方法、装置、设备、介质及程序产品 | |
CN107241281B (zh) | 一种数据处理方法及其装置 | |
CN107959582A (zh) | 一种切片实例的管理方法及装置 | |
US20190327190A1 (en) | Technologies for scalable packet reception and transmission | |
CN105159775A (zh) | 基于负载均衡器的云计算数据中心的管理系统和管理方法 | |
EP3871091B1 (en) | Distributed database-driven resource management and locking in a cloud native mobile core network node architecture | |
CN109587281A (zh) | 容器配置方法和计算节点 | |
CN106209402A (zh) | 一种虚拟网络功能的伸缩方法和设备 | |
CN110808857B (zh) | 实现Kubernetes集群的网络互通方法、装置、设备以及存储介质 | |
CN108471629A (zh) | 传输网络中业务服务质量的控制方法、设备及系统 | |
EP3672314A1 (en) | Network management method, device and system | |
WO2020151482A1 (zh) | 信息查询方法、装置、设备及存储介质 | |
CN109964507A (zh) | 网络功能的管理方法、管理单元及系统 | |
CN104883302A (zh) | 一种数据包转发的方法、装置及系统 | |
CN107070709A (zh) | 一种基于底层numa感知的nfv实现方法 | |
US10599436B2 (en) | Data processing method and apparatus, and system | |
CN110308987A (zh) | 一种更新容器云上分布式训练任务连接参数的方法 | |
US9923794B2 (en) | Method, apparatus, and system for identifying abnormal IP data stream | |
EP4083795A1 (en) | Method for deploying virtual machine, and related apparatus | |
Mao et al. | Sharing based virtual network embedding algorithm with dynamic resource block generation | |
CN107408058A (zh) | 一种虚拟资源的部署方法、装置及系统 | |
WO2023036617A1 (en) | Rlc channel management for low memory 5g devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180907 |