CN109067744A - Acl规则处理方法、装置及通信设备 - Google Patents
Acl规则处理方法、装置及通信设备 Download PDFInfo
- Publication number
- CN109067744A CN109067744A CN201810899699.8A CN201810899699A CN109067744A CN 109067744 A CN109067744 A CN 109067744A CN 201810899699 A CN201810899699 A CN 201810899699A CN 109067744 A CN109067744 A CN 109067744A
- Authority
- CN
- China
- Prior art keywords
- interface
- acl rule
- identification information
- policybased routing
- communication equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/308—Route determination based on user's profile, e.g. premium users
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种ACL规则处理方法、装置及通信设备,涉及通信技术领域。方法应用于包括多个接口的通信设备,方法包括:针对所述多个接口中的任意接口,获得该接口所应用的策略路由的识别信息;判断所述通信设备是否预先缓存有所述识别信息;若未预先缓存有所述识别信息,则缓存所述识别信息,将所述策略路由匹配的访问控制列表ACL规则下发至所述通信设备的硬件资源与所述接口进行关联存储;若已经预先缓存有所述识别信息,则不将所述策略路由匹配的ACL规则下发至所述硬件资源,将所述接口添加至所述硬件资源与已经存储的所述策略路由匹配的ACL规则进行关联存储。从而减少通信设备的硬件资源占用量。
Description
技术领域
本公开涉及通信技术领域,具体而言,涉及一种ACL规则处理方法、装置及通信设备。
背景技术
策略路由(Policy Based Route,PBR),是一种比基于目标网络进行路由更加灵活的报文路由转发机制。策略路由可以使报文按照用户指定的策略进行转发。在通信组网架构中,各通信设备包括多个接口,每个接口所应用的策略路由匹配的访问控制列表(AccessControl List,ACL)规则较多,会占用通信设备的较多硬件资源。
发明内容
有鉴于此,本公开提供一种ACL规则处理方法、装置及通信设备。
第一方面,本公开提供了一种ACL规则处理方法,应用于通信设备,所述通信设备包括多个接口,所述方法包括:
针对所述多个接口中的任意接口,获得该接口所应用的策略路由的识别信息;
判断所述通信设备是否预先缓存有所述识别信息;
若未预先缓存有所述识别信息,则缓存所述识别信息,将所述策略路由匹配的访问控制列表ACL规则下发至所述通信设备的硬件资源与所述接口进行关联存储;
若已经预先缓存有所述识别信息,则不将所述策略路由匹配的ACL规则下发至所述硬件资源,将所述接口添加至所述硬件资源与已经存储的所述策略路由匹配的ACL规则进行关联存储。
可选地,所述方法还包括:
若所述多个接口中的任意接口接收到待转发报文,则在所述硬件资源中查找是否存在与该接口关联的ACL规则,若存在与所述接口关联的ACL规则,根据该ACL规则对所述待转发报文进行转发。
可选地,所述方法还包括:
针对预先缓存的每个策略路由的识别信息,将应用该策略路由的每个接口与该识别信息进行关联缓存;
当任意接口删除所应用的策略路由时,删除缓存的该接口与对应识别信息的关联关系,并判断是否还存在与该识别信息关联的接口;
若不存在与该识别信息关联的接口,删除所述硬件资源中存储的所述策略路由匹配的ACL规则;
若存在与该识别信息关联的接口,删除所述硬件资源中存储的所述接口与所述策略路由匹配的ACL规则的关联关系。
可选地,所述方法还包括:统计应用每个策略路由的接口数量;
所述判断是否还存在与该识别信息关联的接口的步骤,包括:
判断统计的应用相应策略路由的接口数量是否为零,若为零,判定不存在与该识别信息关联的接口;若不为零,判定存在与该识别信息关联的接口。
可选地,所述方法还包括:
在所述硬件资源中创建接口列表,将所述接口与ACL规则关联存储于所述接口列表中。
第二方面,本公开还提供一种ACL规则处理装置,应用于通信设备,所述通信设备包括多个接口,所述ACL规则处理装置包括:
信息获得模块,用于针对所述多个接口中的任意接口,获得该接口所应用的策略路由的识别信息;
信息判断模块,用于判断所述通信设备是否预先缓存有所述识别信息,若未预先缓存有所述识别信息,则缓存所述识别信息,将所述策略路由匹配的访问控制列表ACL规则下发至所述通信设备的硬件资源与所述接口进行关联存储;若已经预先缓存有所述识别信息,则不将所述策略路由匹配的ACL规则下发至所述硬件资源,将所述接口添加至所述硬件资源与已经存储的所述策略路由匹配的ACL规则进行关联存储。
可选地,所述ACL规则处理装置还包括:
转发处理模块,用于若所述多个接口中的任意接口接收到待转发报文,则在所述硬件资源中查找是否存在与该接口关联的ACL规则,若存在与所述接口关联的ACL规则,根据该ACL规则对所述待转发报文进行转发。
可选地,所述ACL规则处理装置还包括:
关联缓存模块,用于针对预先缓存的每个策略路由的识别信息,将应用该策略路由的每个接口与该识别信息进行关联缓存;
信息处理模块,用于当任意接口删除所应用的策略路由时,删除缓存的该接口与对应识别信息的关联关系,并判断是否还存在与该识别信息关联的接口;若不存在与该识别信息关联的接口,删除所述硬件资源中存储的所述策略路由匹配的ACL规则;若存在与该识别信息关联的接口,删除所述硬件资源中存储的所述接口与所述策略路由匹配的ACL规则的关联关系。
可选地,所述ACL规则处理装置还包括:
数量统计模块,用于统计应用每个策略路由的接口数量;
所述信息处理模块用于,判断统计的应用相应策略路由的接口数量是否为零,若为零,判定不存在与该识别信息关联的接口;若不为零,判定存在与该识别信息关联的接口。
第三方面,本公开还提供一种通信设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的ACL规则处理方法。
第四方面,本公开提供一种计算机可读存储介质,所述计算机可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在通信设备执行上述的ACL规则处理方法。
本公开提供的ACL规则处理方法、装置及通信设备,通过巧妙设计,使得同一策略路由匹配的ACL规则只需下发一次到通信设备的硬件资源,在通信设备的两个以上接口应用相同策略路由时,无需进行ACL规则的重复下发,而只需将接口添加至硬件资源与已经存储的策略路由匹配的ACL规则进行关联存储即可,从而减少了ACL规则对通信设备的硬件资源占用量,提高硬件资源利用率。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本公开提供的一种通信组网架构示意图。
图2为本公开提供的一种通信设备的方框示意图。
图3为本公开提供的一种ACL规则处理方法的流程示意图。
图4为本公开提供的一种ACL规则处理方法的另一流程示意图。
图5为本公开提供的一种ACL规则下发至硬件资源的示意图。
图6为本公开提供的另一种ACL规则下发至硬件资源的示意图。
图7为本公开提供的一种ACL规则处理装置的方框示意图。
图标:10-通信设备;11-存储器;12-处理器;13-网络模块;20-ACL规则处理装置;21-信息获得模块;22-信息判断模块;23-转发处理模块;24-关联缓存模块;25-信息处理模块;26-数量统计模块。
具体实施方式
策略路由是一种比基于目标网络进行路由更加灵活的报文路由转发机制。不同策略路由分别定义了不同的匹配规则(本公开称为ACL规则)和对应操作。通信设备的一个接口应用策略路由后,将对该接口接收到的所有报文进行检查,对符合要求的报文按照该策略路由中定义的操作进行处理。对不符合要求的报文按照通常的路由转发进行处理。其中,可以通过判断报文是否满足一定条件来判定报文是否符合要求,例如,可以判断报文是否符合设定的ACL规则、报文长度等。
经研究发现,在通信组网架构中,通信设备的多个接口会分别应用策略路由,各接口应用的策略路由可能相同也可能不同。无论各接口应用的策略路由相同还是不同,通信设备均会将各接口应用的策略路由匹配的ACL规则分别下发至硬件资源,各接口应用的策略路由匹配的ACL规则会分别占用独立的硬件资源。策略路由匹配的ACL规则一般较多,可能达到几千个,因而,将各接口应用的策略路由匹配的ACL规则分别下发至硬件资源,并分别占用独立的硬件资源,会造成硬件资源占用过大。
请参阅图1,在图1所示场景中,用户终端、通信设备A、通信设备B和通信设备C形成一通信组网。假设通信设备A包括两个接口,分别为接口1/0/0和接口2/0/0。针对通信设备A的接口1/0/0和接口2/0/0,可以灵活设定策略路由。例如,可以设定从用户终端传输至通信设备A的报文均从接口2/0/0转发。又例如,可以设定报文长度为第一数值的报文从接口2/0/0转发,报文长度为第二数值的报文从接口1/0/0转发。又例如,可以设定通信设备A上所有的传输控制协议(Transmission Control Protocol,TCP)报文和控制报文协议(Internet Control Message Protocol,ICMP)只从接口2/0/0转发,其余报文根据转发表按原有转发流程转发等。
可以设定接口1/0/0和接口2/0/0应用相同的策略路由,也可以设定接口1/0/0和接口2/0/0应用不同的策略路由。无论接口1/0/0和接口2/0/0应用的策略路由相同还是不同,通信设备A均会将接口1/0/0和接口2/0/0应用的策略路由匹配的ACL规则分别下发至通信设备A的硬件资源,接口1/0/0和接口2/0/0应用的策略路由匹配的ACL规则会分别占用独立的硬件资源。从而导致ACL规则占用通信设备A较多的硬件资源,影响通信设备A的硬件资源利用率。
例如,若某一策略路由匹配的ACL规则有2600个,通信设备A一共包括40个接口使用该同一策略路由,那么,通信设备A会将该40个接口中每个接口应用的策略路由匹配的2600个ACL规则分别下发至通信设备A的硬件资源,从而占用硬件资源量达到2600*40=104000。导致ACL规则占用通信设备A较多的硬件资源,影响通信设备A的硬件资源利用率。
基于上述研究,本公开提供了一种ACL规则处理方法、装置及通信设备,以节省ACL规则对硬件资源占用量,提高通信设备的硬件资源利用率。
针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本公开针对上述问题所提出的解决方案,都应该是发明人在本公开过程中对本公开做出的贡献。
下面将结合本公开中附图,对本公开中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本公开的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
如图2所示,是本公开提供的通信设备10的一种方框示意图。本公开中的通信设备10可以为路由器、交换机等具有通信功能的设备,如图2所示,通信设备10包括:存储器11、处理器12、网络模块13及ACL规则处理装置20。
所述存储器11、处理器12以及网络模块13相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有ACL规则处理装置20,所述ACL规则处理装置20包括至少一个可以软件或固件(firmware)的形式存储于所述存储器11中的软件功能模块,所述处理器12通过运行存储在存储器11内的软件程序以及模块,如本公开中的ACL规则处理装置20,从而执行各种功能应用以及数据处理,即实现本公开中的ACL规则处理方法。
其中,所述存储器11可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器11用于存储程序,所述处理器12在接收到执行指令后,执行所述程序。
所述处理器12可能是一种集成电路芯片,具有数据的处理能力。上述的处理器12可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等。可以实现或者执行本公开中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
网络模块13用于通过网络建立通信设备10与其他通信设备之间的通信连接,实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
可以理解,图2所示的结构仅为示意,通信设备10还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置,例如,通信设备10还包括多个接口(图中未示出)。图2中所示的各组件可以采用硬件、软件或其组合实现。
在上述基础上,本公开还提供一种计算机可读存储介质,所述计算机可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在通信设备10执行下述ACL规则处理方法。
请结合参阅图3,本公开提供一种ACL规则处理方法,应用于图2所示的通信设备10,通信设备10还包括多个接口(图2中未示出)。该方法可以由通信设备10中的处理器12执行。
方法包括以下步骤。
步骤S11,针对多个接口中的任意接口,获得该接口所应用的策略路由的识别信息。
各接口所应用的策略路由可以为人为配置,也可以通过配置服务器下发。策略路由中包括该策略路由匹配的ACL规则。
不同策略路由的识别信息不同,各策略路由与各识别信息一一对应,可以通过识别信息区分不同的策略路由。其中,识别信息可以灵活选择,只要能够唯一地标识出策略路由即可。例如,若不同策略路由的策略名不同,相应地,可以将策略名作为识别信息,从而获得接口所应用的策略路由的策略名。又例如,可以针对不同策略路由设定不同的标识,相应地,可以将标识作为识别信息,从而获得接口所应用的策略路由的标识。
步骤S12,判断所述通信设备10是否预先缓存有所述识别信息。若未预先缓存有所述识别信息,则执行步骤S13。若已经预先缓存有所述识别信息,则执行步骤S14。
步骤S13,缓存所述识别信息,将所述策略路由匹配的ACL规则下发至所述通信设备10的硬件资源与所述接口进行关联存储。
步骤S14,不将所述策略路由匹配的ACL规则下发至所述硬件资源,将所述接口添加至所述硬件资源与已经存储的所述策略路由匹配的ACL规则进行关联存储。
在多个接口中的任意一个接口应用策略路由时,通信设备10的处理器12先获得接口所应用的策略路由的识别信息,判断通信设备10是否预先缓存有所述识别信息。若未预先缓存有所述识别信息,则缓存所述识别信息,并将策略路由匹配的ACL规则下发至通信设备10的硬件资源与接口进行关联存储。若判定通信设备10已经预先缓存有所述识别信息,则不将策略路由匹配的ACL规则下发至硬件资源,而将接口添加至硬件资源与已经存储的策略路由匹配的ACL规则进行关联存储。
基于该种ACL规则处理方法,针对每个策略路由,通过判断通信设备10是否预先缓存有该策略路由的识别信息,从而判断是否已经将该策略路由匹配的ACL规则下发至硬件资源。在通信设备10未预先缓存有该策略路由的识别信息时,判定该策略路由匹配的ACL规则未下发至硬件资源,从而将该策略路由匹配的ACL规则下发至硬件资源。在通信设备10已经预先缓存有该策略路由的识别信息时,判定该策略路由匹配的ACL规则已经下发至硬件资源,从而不再将该策略路由匹配的ACL规则下发至硬件资源,仅将应用该策略路由的接口添加至硬件资源与已经存储的该策略路由匹配的ACL规则进行关联存储。使得当通信设备10的两个以上接口应用了相同的策略路由时,该策略路由匹配的ACL规则仅会下发一次至硬件资源,仅需在硬件资源中将应用该策略路由的各接口与该同一策略路由匹配的ACL规则关联存储。无需将该策略路由匹配的ACL规则多次下发至硬件资源,并分别占用独立的硬件资源,从而显著降低ACL规则对通信设备10硬件资源的占用量,提高硬件资源的利用率。
本公开中,缓存识别信息的方式可以灵活设定。例如,可以直接在通信设备10的处理器12中缓存识别信息。由于处理器12通过缓存存取信息的速度快于处理器12从硬件资源,如存储器11中存储信息的速度,因而,将识别信息缓存在处理器12中可以提高ACL规则处理效率。又例如,可以通过列表、文件夹、数据库等形式缓存各识别信息。
在硬件资源中进行ACL规则与接口关联存储的方式可以灵活设定。例如,可以在硬件资源中创建接口列表,将各接口与各ACL规则关联存储于创建的接口列表中。又例如,还可以在硬件资源中创建文件夹、数据库等,将各接口与各ACL规则关联存储于创建的文件夹或者数据库中。
请结合参阅图4,基于上述设计,通信设备10的各接口进行报文转发的步骤如下。
步骤S21,若通信设备10的多个接口中的任意接口接收到待转发报文,则执行步骤S22。
步骤S22,在所述硬件资源中查找是否存在与该接口关联的ACL规则,若存在与所述接口关联的ACL规则,执行步骤S23。若不存在与所述接口关联的ACL规则,执行步骤S24。
步骤S23,根据该ACL规则对所述待转发报文进行转发。
步骤S24,按原有转发流程对待转发报文进行转发。
由于针对通信设备10的任意一个接口,均将该接口与该接口所应用的策略路由匹配的ACL规则关联存储在硬件资源中,因而,通过查找硬件资源即可得出是否存在与该接口关联的ACL规则。例如,若各接口与各ACL规则关联存储于创建的接口列表中,那么,通过查找接口列表即可得出是否存在与相应接口关联的ACL规则,进而根据该ACL规则对待转发报文进行转发。
其中,按原有转发流程对待转发报文进行转发可以包括按通信设备10存储的转发表对待转发报文进行转发。
为了提高ACL规则处理效率,可选地,通信设备10还会针对预先缓存的每个策略路由的识别信息,将应用该策略路由的每个接口与该识别信息进行关联缓存。当任意接口删除所应用的策略路由时,删除缓存的该接口与对应识别信息的关联关系,并判断是否还存在与该识别信息关联的接口。若不存在与该识别信息关联的接口,删除所述硬件资源中存储的所述策略路由匹配的ACL规则。若存在与该识别信息关联的接口,删除所述硬件资源中存储的所述接口与所述策略路由匹配的ACL规则的关联关系。
通信设备10的处理器12从缓存存取信息的效率较高,因而,依据是否缓存有与识别信息关联的接口来判定是否删除硬件资源中存储的相应ACL规则效率较高。
鉴于在通信设备10的硬件资源中,是将应用同一策略路由的所有接口与该同一策略路由匹配的ACL规则进行关联存储,同一策略路由匹配的ACL规则可能与一个或两个以上接口关联存储。因而,若任意接口删除所应用的策略路由,在该接口所应用的策略路由匹配的ACL规则仅与该一个接口关联时,该接口删除所应用的策略路由后,将不存在应用该策略路由的接口,从而可以直接删除硬件资源中存储的该策略路由匹配的ACL规则,进而释放ACL规则所占用的硬件资源。
在该接口所应用的策略路由匹配的ACL规则与两个以上接口关联时,其中一接口删除所应用的策略路由后,还存在其他应用该策略路由的接口,从而删除硬件资源中存储的、删除所应用的策略路由的接口与相应策略路由匹配的ACL规则的关联关系即可,无需删除该策略路由匹配的ACL规则,并且其他接口与该策略路由匹配的ACL规则的关联关系仍存储在硬件资源中。鉴于删除硬件资源中的ACL规则会耗费一定时间,并且会占用处理器12资源,因而采用本公开中的方案,在两个以上接口应用同一策略路由的场景下,只要还存在接口应用某一策略路由,则不会删除硬件资源中该策略路由匹配的ACL规则,仅需将删除所应用的策略路由的接口与相应策略路由匹配的ACL规则的关联关系删除即可,从而减少接口删除所应用的策略路由后,ACL规则处理时长,减少处理器12资源占用量。
为了进一步提高ACL规则处理效率,可选地,通信设备10还可以统计应用每个策略路由的接口数量。统计应用每个策略路由的接口数量的方式可以包括:针对每个唯一识别信息,对所引用的策略路由的唯一识别信息与之匹配的接口进行计数,若新增一接口所引用的策略路由的唯一识别信息与之匹配,则计数加一。若减少一接口所引用的策略路由的唯一识别信息与之匹配,则计数减一。从而统计出应用每个策略路由的接口数量。基于此,可以通过以下方式判断是否还存在与该识别信息关联的接口:判断统计的应用相应策略路由的接口数量是否为零,若为零,判定不存在与该识别信息关联的接口。若不为零,判定存在与该识别信息关联的接口。
为了更为清楚地阐述本公开的实现原理和优越性,现以下述场景为例对本公开的实现流程与原有实现流程进行对比性的举例说明。
假设策略路由的识别信息为策略名,通信设备的硬件资源为存储器。通信设备具有若干个接口,其中,N个接口应用相同的策略路由,该策略路由的策略名为policy1,该策略路由匹配的ACL规则为acl(5、10、15、20、...)。
请结合参阅图5,按原有实现流程,通信设备的处理器会将接口1至接口N应用的策略路由匹配的ACL规则acl(5、10、15、20、...)分别下发至存储器。接口1至接口N应用的策略路由匹配的ACL规则acl(5、10、15、20、...)分别占用独立的存储资源。在存储器中分别将接口1与acl(5、10、15、20、...)关联存储、将接口2与acl(5、10、15、20、...)关联存储、.......、将接口N与acl(5、10、15、20、...)关联存储,从而占用通信设备大量的存储资源。
若接口1至接口N中任意接口删除所应用的策略路由,例如,若接口1删除所应用的策略名为policy1的策略路由,那么,通信设备的处理器需要在存储器中查找到接口1与acl(5、10、15、20、...)关联存储的信息,并进行删除。在存储器中查找及删除相应信息较为耗时,而且会占用处理器资源。
请结合参阅图6,按本公开中的实现流程,通信设备的处理器在接口1至接口N中第一个接口应用策略名为policy1的策略路由时,例如,若接口1首个应用策略名为policy1的策略路由,那么,处理器会判断是否预先缓存有策略名policy1。由于策略名为policy1的策略路由为首次应用,处理器中未预先缓存策略名policy1,那么,处理器会先缓存策略名policy1,将接口1与策略名policy1关联缓存。将与策略名policy1对应的计数器的计数设置为1,并将acl(5、10、15、20、...)下发至存储器与接口1进行关联存储。
在接口2至接口N中的任意接口应用策略名为policy1的策略路由时,例如,若接口2应用策略名为policy1的策略路由,处理器先判断是否预先缓存有策略名policy1,判定结果为已经预先缓存有策略名policy1,那么,处理器不将acl(5、10、15、20、...)下发至硬件资源,而将接口2添加至存储器和接口1一起与已经存储的acl(5、10、15、20、...)进行关联存储,将与策略名policy1对应的计数器的计数设置为2。
接口3、接口4、......、接口N应用策略名为policy1的策略路由时,处理器的处理流程与针对接口2的处理流程类似,因而在此不作重复说明。
从而,采用本公开中的实现方案,处理器会在存储器中将接口1、......、接口N一起与同一个acl(5、10、15、20、...)进行关联存储,例如以接口列表port list的形式进行关联存储,相应地,与策略名policy1对应的计数器的计数设置为N。相较于原有实现流程在存储器中分别将接口1与acl(5、10、15、20、...)关联存储、将接口2与acl(5、10、15、20、...)关联存储、.......、将接口N与acl(5、10、15、20、...)关联存储,能够显著降低存储资源占用量。
若接口1至接口N中任意接口删除所应用的策略路由,例如,若接口1删除所应用的策略名为policy1的策略路由,采用本公开中的实现方案,处理器不直接删除存储器中的acl(5、10、15、20、...),而是删除缓存的接口1与策略名policy1的关联,将缓存的计数器的计数减一,得到计数器的计数为N-1。删除存储器中接口1与acl(5、10、15、20、...)的关联关系,并刷新接口列表port list,从而得到接口2、......、接口N与acl(5、10、15、20、...)的关联关系。
针对策略名为policy1的策略路由,只有当计数器的计数为0,也即所有应用策略名为policy1的策略路由的接口均删除所应用的策略路由时,通信设备的处理器方会删除存储中存储的acl(5、10、15、20、...),并随之刷新接口列表port list。与原有实现流程针对每个接口删除所应用的策略路由的操作,均会在存储器中查找及删除相应信息相比,本公开中的方案在计数器的计数不为0时,均只会在缓存中进行处理,并在存储器中仅删除相应接口与所应用的策略路由匹配的ACL规则的关联关系,耗时较少,且占用的处理器资源较少。
请参阅图7,本公开还提供一种ACL规则处理装置20,应用于通信设备10,所述通信设备10包括多个接口,所述ACL规则处理装置20包括信息获得模块21和信息判断模块22。
其中,信息获得模块21用于针对所述多个接口中的任意接口,获得该接口所应用的策略路由的识别信息。
关于信息获得模块21的实现方式可以参阅图3中步骤S11的相关描述,在此不作赘述。
信息判断模块22用于判断所述通信设备10是否预先缓存有所述识别信息,若未预先缓存有所述识别信息,则缓存所述识别信息,将所述策略路由匹配的访问控制列表ACL规则下发至所述通信设备10的硬件资源与所述接口进行关联存储。若已经预先缓存有所述识别信息,则不将所述策略路由匹配的ACL规则下发至所述硬件资源,将所述接口添加至所述硬件资源与已经存储的所述策略路由匹配的ACL规则进行关联存储。
关于信息判断模块22的实现方式可以参阅图3中步骤S12至步骤S14的相关描述,在此不作赘述。
可选地,所述ACL规则处理装置20还包括转发处理模块23。
转发处理模块23用于若所述多个接口中的任意接口接收到待转发报文,则在所述硬件资源中查找是否存在与该接口关联的ACL规则,若存在与所述接口关联的ACL规则,根据该ACL规则对所述待转发报文进行转发。
关于转发处理模块23的实现方式可以参阅图4中步骤S21至步骤S24的相关描述,在此不作赘述。
可选地,所述ACL规则处理装置20还包括关联缓存模块24和信息处理模块25。
关联缓存模块24用于针对预先缓存的每个策略路由的识别信息,将应用该策略路由的每个接口与该识别信息进行关联缓存。
信息处理模块25用于当任意接口删除所应用的策略路由时,删除缓存的该接口与对应识别信息的关联关系,并判断是否还存在与该识别信息关联的接口。若不存在与该识别信息关联的接口,删除所述硬件资源中存储的所述策略路由匹配的ACL规则。若存在与该识别信息关联的接口,删除所述硬件资源中存储的所述接口与所述策略路由匹配的ACL规则的关联关系。
可选地,所述ACL规则处理装置20还包括数量统计模块26。
数量统计模块26用于统计应用每个策略路由的接口数量。
所述信息处理模块25用于判断统计的应用相应策略路由的接口数量是否为零,若为零,判定不存在与该识别信息关联的接口。若不为零,判定存在与该识别信息关联的接口。
本公开中,关于ACL规则处理装置20的工作流程和实现原理可以参阅ACL规则处理方法中的相关描述,在此不作赘述。
本公开中的ACL规则处理方法、装置及通信设备,在通信设备的多个接口应用同一策略路由时,只需下发一次ACL规则到通信设备的硬件资源与相应接口形成关联关系,从而减少了ACL规则对通信设备的硬件资源占用量,提高硬件资源利用率。在接口删除所应用的策略路由时,只需更新ACL规则与接口的关联关系,从而减少处理器资源占用。
在本公开所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本公开的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,通信设备,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读通信设备的硬件资源(ROM,Read-OnlyMemory)、随机存取通信设备的硬件资源(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本公开的可选实施例而已,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种ACL规则处理方法,应用于通信设备,所述通信设备包括多个接口,其特征在于,所述方法包括:
针对所述多个接口中的任意接口,获得该接口所应用的策略路由的识别信息;
判断所述通信设备是否预先缓存有所述识别信息;
若未预先缓存有所述识别信息,则缓存所述识别信息,将所述策略路由匹配的访问控制列表ACL规则下发至所述通信设备的硬件资源与所述接口进行关联存储;
若已经预先缓存有所述识别信息,则不将所述策略路由匹配的ACL规则下发至所述硬件资源,将所述接口添加至所述硬件资源与已经存储的所述策略路由匹配的ACL规则进行关联存储。
2.根据权利要求1所述的ACL规则处理方法,其特征在于,所述方法还包括:
若所述多个接口中的任意接口接收到待转发报文,则在所述硬件资源中查找是否存在与该接口关联的ACL规则,若存在与所述接口关联的ACL规则,根据该ACL规则对所述待转发报文进行转发。
3.根据权利要求2所述的ACL规则处理方法,其特征在于,所述方法还包括:
针对预先缓存的每个策略路由的识别信息,将应用该策略路由的每个接口与该识别信息进行关联缓存;
当任意接口删除所应用的策略路由时,删除缓存的该接口与对应识别信息的关联关系,并判断是否还存在与该识别信息关联的接口;
若不存在与该识别信息关联的接口,删除所述硬件资源中存储的所述策略路由匹配的ACL规则;
若存在与该识别信息关联的接口,删除所述硬件资源中存储的所述接口与所述策略路由匹配的ACL规则的关联关系。
4.根据权利要求3所述的ACL规则处理方法,其特征在于,所述方法还包括:统计应用每个策略路由的接口数量;
所述判断是否还存在与该识别信息关联的接口的步骤,包括:
判断统计的应用相应策略路由的接口数量是否为零,若为零,判定不存在与该识别信息关联的接口;若不为零,判定存在与该识别信息关联的接口。
5.根据权利要求1至4任一项所述的ACL规则处理方法,其特征在于,所述方法还包括:
在所述硬件资源中创建接口列表,将所述接口与ACL规则关联存储于所述接口列表中。
6.一种ACL规则处理装置,应用于通信设备,所述通信设备包括多个接口,其特征在于,所述ACL规则处理装置包括:
信息获得模块,用于针对所述多个接口中的任意接口,获得该接口所应用的策略路由的识别信息;
信息判断模块,用于判断所述通信设备是否预先缓存有所述识别信息,若未预先缓存有所述识别信息,则缓存所述识别信息,将所述策略路由匹配的访问控制列表ACL规则下发至所述通信设备的硬件资源与所述接口进行关联存储;若已经预先缓存有所述识别信息,则不将所述策略路由匹配的ACL规则下发至所述硬件资源,将所述接口添加至所述硬件资源与已经存储的所述策略路由匹配的ACL规则进行关联存储。
7.根据权利要求6所述的ACL规则处理装置,其特征在于,所述ACL规则处理装置还包括:
转发处理模块,用于若所述多个接口中的任意接口接收到待转发报文,则在所述硬件资源中查找是否存在与该接口关联的ACL规则,若存在与所述接口关联的ACL规则,根据该ACL规则对所述待转发报文进行转发。
8.根据权利要求7所述的ACL规则处理装置,其特征在于,所述ACL规则处理装置还包括:
关联缓存模块,用于针对预先缓存的每个策略路由的识别信息,将应用该策略路由的每个接口与该识别信息进行关联缓存;
信息处理模块,用于当任意接口删除所应用的策略路由时,删除缓存的该接口与对应识别信息的关联关系,并判断是否还存在与该识别信息关联的接口;若不存在与该识别信息关联的接口,删除所述硬件资源中存储的所述策略路由匹配的ACL规则;若存在与该识别信息关联的接口,删除所述硬件资源中存储的所述接口与所述策略路由匹配的ACL规则的关联关系。
9.根据权利要求8所述的ACL规则处理装置,其特征在于,所述ACL规则处理装置还包括:
数量统计模块,用于统计应用每个策略路由的接口数量;
所述信息处理模块用于,判断统计的应用相应策略路由的接口数量是否为零,若为零,判定不存在与该识别信息关联的接口;若不为零,判定存在与该识别信息关联的接口。
10.一种通信设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1至5任一项所述的ACL规则处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810899699.8A CN109067744B (zh) | 2018-08-08 | 2018-08-08 | Acl规则处理方法、装置及通信设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810899699.8A CN109067744B (zh) | 2018-08-08 | 2018-08-08 | Acl规则处理方法、装置及通信设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109067744A true CN109067744A (zh) | 2018-12-21 |
CN109067744B CN109067744B (zh) | 2021-11-09 |
Family
ID=64683006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810899699.8A Active CN109067744B (zh) | 2018-08-08 | 2018-08-08 | Acl规则处理方法、装置及通信设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109067744B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111083144A (zh) * | 2019-12-18 | 2020-04-28 | 新华三技术有限公司合肥分公司 | 一种服务质量策略配置方法及装置 |
CN111654491A (zh) * | 2020-05-29 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种acl共享方法、装置、设备及机器可读存储介质 |
CN113114567A (zh) * | 2021-03-29 | 2021-07-13 | 新华三信息安全技术有限公司 | 一种消息处理方法、装置、电子设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103036788A (zh) * | 2012-12-14 | 2013-04-10 | 上海斐讯数据通信技术有限公司 | 一种多接口网关设备数据发送实现方法 |
CN103546380A (zh) * | 2013-11-05 | 2014-01-29 | 迈普通信技术股份有限公司 | 一种基于策略路由的报文转发方法和装置 |
CN103812774A (zh) * | 2012-11-09 | 2014-05-21 | 华为技术有限公司 | 基于tcam的策略配置方法、报文处理方法及相应装置 |
CN104780103A (zh) * | 2015-04-14 | 2015-07-15 | 杭州华三通信技术有限公司 | 报文转发方法及装置 |
US20160072817A1 (en) * | 2014-09-09 | 2016-03-10 | Oracle International Corporation | System and method for providing for secure network communication in a multi-tenant environment |
CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
CN106992933A (zh) * | 2016-01-21 | 2017-07-28 | 中兴通讯股份有限公司 | 策略路由处理、报文转发方法及装置 |
-
2018
- 2018-08-08 CN CN201810899699.8A patent/CN109067744B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103812774A (zh) * | 2012-11-09 | 2014-05-21 | 华为技术有限公司 | 基于tcam的策略配置方法、报文处理方法及相应装置 |
CN103036788A (zh) * | 2012-12-14 | 2013-04-10 | 上海斐讯数据通信技术有限公司 | 一种多接口网关设备数据发送实现方法 |
CN103546380A (zh) * | 2013-11-05 | 2014-01-29 | 迈普通信技术股份有限公司 | 一种基于策略路由的报文转发方法和装置 |
US20160072817A1 (en) * | 2014-09-09 | 2016-03-10 | Oracle International Corporation | System and method for providing for secure network communication in a multi-tenant environment |
CN104780103A (zh) * | 2015-04-14 | 2015-07-15 | 杭州华三通信技术有限公司 | 报文转发方法及装置 |
CN106992933A (zh) * | 2016-01-21 | 2017-07-28 | 中兴通讯股份有限公司 | 策略路由处理、报文转发方法及装置 |
CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111083144A (zh) * | 2019-12-18 | 2020-04-28 | 新华三技术有限公司合肥分公司 | 一种服务质量策略配置方法及装置 |
CN111083144B (zh) * | 2019-12-18 | 2022-03-22 | 新华三技术有限公司合肥分公司 | 一种服务质量策略配置方法及装置 |
CN111654491A (zh) * | 2020-05-29 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种acl共享方法、装置、设备及机器可读存储介质 |
CN113114567A (zh) * | 2021-03-29 | 2021-07-13 | 新华三信息安全技术有限公司 | 一种消息处理方法、装置、电子设备及存储介质 |
CN113114567B (zh) * | 2021-03-29 | 2022-03-29 | 新华三信息安全技术有限公司 | 一种消息处理方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109067744B (zh) | 2021-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109218281B (zh) | 基于意图的网络安全策略修改 | |
CN104580027B (zh) | 一种OpenFlow报文转发方法及设备 | |
US9185006B2 (en) | Exchange of server health and client information through headers for request management | |
CN106294614A (zh) | 用于访问业务的方法和装置 | |
CN109067744A (zh) | Acl规则处理方法、装置及通信设备 | |
CN104980478B (zh) | 内容分发网络中缓存共享方法、设备及系统 | |
JP2015164055A (ja) | コミュニティ内の接続の決定 | |
CN108566296B (zh) | 网络设备分层方法、网络管理设备及计算机可读存储介质 | |
CN109408696A (zh) | 一种用于搜索寄宿程序的方法与设备 | |
CN108875091A (zh) | 一种统一管理的分布式网络爬虫系统 | |
CN105144646A (zh) | 服务器控制的路由系统 | |
CN108683722A (zh) | 一种数据传输的方法、esb平台及客户端 | |
CN106033428B (zh) | 统一资源定位符的选择方法和统一资源定位符的选择装置 | |
CN107783985A (zh) | 一种分布式数据库查询方法、装置及管理系统 | |
CN105429879A (zh) | 流表项查询方法、设备及系统 | |
CN107547364A (zh) | 路由下发方法、装置和网络设备 | |
CN104040539B (zh) | 数据存储方法和装置、数据操作方法、系统及接入服务器 | |
CN108540387A (zh) | 网络访问控制方法和装置 | |
CN107800627A (zh) | 三态内容寻址存储器tcam表的写入方法及装置 | |
CN107967279A (zh) | 分布式数据库的数据更新方法及装置 | |
CN110365810A (zh) | 基于网络爬虫的域名缓存方法、装置、设备及存储介质 | |
CN106104480A (zh) | 使用相似性保留签名的集群范围的内存管理 | |
CN108900547A (zh) | 回源控制方法及装置 | |
CN108334549A (zh) | 一种设备数据存储方法、提取方法、存储平台及提取平台 | |
CN106874371A (zh) | 一种数据处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |