CN112565167A - 一种访问控制列表acl的检测方法及网络设备 - Google Patents

一种访问控制列表acl的检测方法及网络设备 Download PDF

Info

Publication number
CN112565167A
CN112565167A CN201910920032.6A CN201910920032A CN112565167A CN 112565167 A CN112565167 A CN 112565167A CN 201910920032 A CN201910920032 A CN 201910920032A CN 112565167 A CN112565167 A CN 112565167A
Authority
CN
China
Prior art keywords
bdd
acl
sub
parameter information
bdds
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910920032.6A
Other languages
English (en)
Inventor
陈一峰
陈颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
XFusion Digital Technologies Co Ltd
Original Assignee
Huawei Digital Technologies Suzhou Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Digital Technologies Suzhou Co Ltd filed Critical Huawei Digital Technologies Suzhou Co Ltd
Priority to CN201910920032.6A priority Critical patent/CN112565167A/zh
Publication of CN112565167A publication Critical patent/CN112565167A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • H04L61/2535Multiple local networks, e.g. resolving potential IP address conflicts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5046Resolving address allocation conflicts; Testing of addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种访问控制列表ACL的检测方法及网络设备,应用于网络设备,该方法包括:根据第一ACL中包括的至少一个参数信息,生成第一ACL对应的第一二元决策图BDD,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的;根据第二ACL中包括的至少一个参数信息,生成所述第二ACL对应的第二BDD,所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的;基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测。本申请提供的ACL检测方法可快速的检测出不同ACL之间的关系,提高了ACL的检测效率。

Description

一种访问控制列表ACL的检测方法及网络设备
技术领域
本申请涉及通信技术领域,尤其涉及一种访问控制列表ACL的检测方法及网络设备。
背景技术
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。
目前,访问控制列表(acces control list,ACL)中通常包括用于控制网络设备(例如路由器、交换机等)对数据包进行分类处理的一系列ACL规则,这样网络设备就可以根据ACL列表中包括的一系列ACL规则对接收到的数据包执行相应的过滤、分类处理以及转发处理,从而达到控制流量、节约网络资源的目的。
而一个网络设备中可能存储有多个不同的ACL,不同的ACL中可能会存在多条ACL包括的信息之间存在冗余或冲突的情况。目前,针对ACL之间冗余或冲突的检测方法通常为对不同条的ACL中包括的字段和动作逐条逐字段的进行比较,例如,分别比较ACL中包括的源地址、目的地址、源端口、目的端口、动作等是否相同或相反,从而确定ACL之间是否存在冗余或者冲突,显然这种检测方法的检测效率比较低。
发明内容
本申请提供一种访问控制列表ACL的检测方法及网络设备,用以解决现有技术中ACL检测效率比较低的问题。
第一方面,提供一种访问控制列表ACL的检测方法,该方法应用于网络设备,所述方法包括:根据第一ACL中包括的至少一个参数信息,生成所述第一ACL对应的第一二元决策图BDD,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的;根据第二ACL中包括的至少一个参数信息,生成所述第二ACL对应的第二BDD,所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的;基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测。通过上述技术方案,可以快速的对不同ACL之间的关系进行检测,提高ACL的检测效率。
在一种可能的设计中,所述参数信息包括如下信息中的至少一项:源地址、目的地址、源端口号、目的端口号、协议类型、动作信息。通过对上述参数信息中的至少一项分别构造子BDD,可得到每条ACL对应的BDD数据结构,这样能够根据不同的BDD数据结构确定不同ACL之间的关系。
在一种可能的设计中,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的,包括:将第一ACL中包括的至少一个参数信息分别转化为二进制信息;根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;对每个参数信息对应的子BDD分别进行压缩处理;对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第一BDD。
在一种可能的设计中,所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的,包括:将第二ACL中包括的至少一个参数信息分别转化为二进制信息;根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;对每个参数信息对应的子BDD分别进行压缩处理;对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第二BDD。
在上述技术方案中,可以对至少一个参数信息对应的子BDD进行压缩处理,从而得到每一个参数信息对应的简化的子BDD,然后对简化的子BDD进行与操作,可以方便确定每条ACL对应的BDD数据结构,进而快速的对不同的ACL进行检测,得到检测结果。
一种可能的设计中,基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测,包括:当所述第一BDD与所述第二BDD之间满足第一子条件和第二子条件时,确定所述第一ACL与所述第二ACL之间完全冗余;或者当所述第一BDD与所述第二BDD之间满足第一子条件、且不满足第二子条件时,确定所述第一ACL与所述第二ACL之间部分冗余。其中,所述第一子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为1的路径;所述第二子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为0的路径。
在本申请的方案中,ACL的冗余检测包括部分冗余和完全冗余,通过BDD数据结构之间的与操作,可以直接通过与操作之后的BDD数据结构确定出不同ACL之间的冗余关系。
在一种可能的设计中,基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测,包括:当所述第一BDD与所述第二BDD之间满足第三子条件和第四子条件时,确定所述第一ACL与所述第二ACL之间完全冲突;或者当所述第一BDD与所述第二BDD之间满足第三子条件、且不满足第四子条件时,确定所述第一ACL与所述第二ACL之间部分冲突。其中,所述第三子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为1的路径;所述第四子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为0的路径。
在本申请的方案中,ACL的冲突检测可包括部分冲突和完全冲突,通过BDD数据结构之间的与操作可直接确定出不同ACL之间的冲突关系,这样能够提高ACL的检测效率。
第二方面,提供一种装置,该装置可以为网络设备或者为网络设备中的处理芯片,该装置具有实现第一方面或第一方面任一种可能实现方式中的ACL检测方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或单元。
在一种可能的设计中,所述装置包括处理单元和检测单元,这些单元可以执行上述第一方面或第一方面任一种可能实现方式中的相应功能,具体参见方法示例中的详细描述。
在另一种可能的设计中,所述装置包括通信接口、处理器和存储器,所述通信接口用于接收和发送数据,所述处理器被配置为支持所述装置执行上述第一方面或第一方面任一种可能实现方式中相应的功能。所述存储器与所述处理器耦合,其保存所述装置必要的程序指令。
第三方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面及各实施方式中的方法。
第四方面,提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面及各实施方式中的方法。
第五方面,提供一种芯片,所述芯片中的逻辑用于执行上述第一方面及各实施方式中的方法。
附图说明
图1为本申请实施例提供的一种BDD数据结构的示意图;
图2为本申请实施例提供的一种ACL检测算法运行时的硬件结构图;
图3为本申请实施例提供的一种访问控制列表ACL的检测方法流程图;
图4为本申请实施例提供的一种BDD的生成过程流程示意图;
图5A为本申请实施例提供的一个二元决策树示意图;
图5B为本申请实施例提供的一种正整数对应的BDD数据结构示意图;
图5C为本申请实施例提供的一种正整数区间对应的BDD数据结构示意图;
图6A至图6D为本申请实施例提供的一种BDD的压缩过程示意图;
图7A为本申请实施例提供的一种二进制格式的BDD数据结构示意图;
图7B为本申请实施例提供的一种ACL执行与操作的示意图;
图7C为本申请实施例提供的另一种ACL执行与操作的示意图;
图8为本申请实施例提供的一种ACL的检测装置示意框图;
图9为本申请实施例提供的一种ACL的检测装置结构图。
具体实施方式
下面将结合附图对本申请实施例作进一步地详细描述。
为了便于理解,示例性的给出了与本申请相关概念的说明以供参考,如下所示:
1)访问控制列表(acces control list,ACL):路由器和交换机接口的指令列表,包含了一系列匹配规则、条件和动作,用来控制端口进出的数据包。ACL的作用包括限制网络流量、提供对通信流量的控制手段、提供网络安全访问的基本手段、提高网络性能等。
根据ACL的应用目的,可以将ACL分为如下几种:(1)、基本ACL:只根据三层源IP地址制定规则。(2)、高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。(3)、二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。(4)、用户自定义ACL:以数据包的头部为基准,指定从第几个字节开始进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
2)二元决策图(binary decision diagram,BDD):一种表达布尔函数的数据结构,是二元决策树的一种紧凑表示。
需要说明的是,下文所述的压缩处理即可以理解为紧凑表示。
本申请实施例涉及的至少一个,包括一个或者多个;其中,多个是指大于或者等于两个。另外,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述对象的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
以下介绍BDD的数据结构,如图1所示为本申请实施例提供的一种BDD数据结构的示意图。参阅图1所示,BDD由顶节点、中间节点、叶子节点以及连接两节点之间的边组成。其中,叶子结点是具有1或0两种布尔函数值的节点,连接两节点的边通过1或0来标识。
如图2所示为本申请实施例提供的一种ACL检测算法运行时的硬件结构图,对于本申请中所涉及到的冗余检测或者冲突检测都可以在ACL校验模块中进行。
为了描述方便,以下以ACL的数量为两个为例,其中一条ACL记为“第一ACL”,另一条ACL记为“第二ACL”。应理解,本申请实施例可以应用在任意两条ACL之间的检测处理中,本申请这里不做限定。
基于上述介绍,本申请提供了一种访问控制列表ACL的检测方法,参阅图3所示,该方法包括如下步骤:S301:ACL检测模块获取第一ACL和第二ACL中分别包括的至少一个参数信息。
本申请实施例中,ACL中包括的参数信息可以但不限于包括如下信息中的至少一项:源地址、目的地址、源端口号、目的端口号、协议类型、动作信息。比如这里可以分别获取第一ACL中包括的源地址、目的地址、源端口号、目的端口号、协议类型和动作信息,第二ACL中包括的源地址、目的地址、源端口号、目的端口号、协议类型和动作信息。
S302:ACL检测模块根据第一ACL中包括的至少一个参数信息,生成第一ACL对应的第一二元决策图BDD。
一种可能的实现方式中,可针对上述参数信息中的至少一项分别构造各自对应的子BDD,然后根据第一ACL中包括的至少一个参数信息对应的子BDD,生成第一ACL对应的第一BDD。示例性的,假如上述S301中获取了第一ACL中包括的源地址、目的地址、源端口号、目的端口号、协议类型和动作信息,则可以针对源地址构造第一子BDD,针对目的地址构造第二子BDD,针对源端口号构造第三子BDD,针对目的端口号构造第四子BDD,针对协议类型构造第五子BDD,针对动作信息构造第六子BDD,其中根据每个参数构造子BDD的过程下述将会具体举例说明。然后对构造的第一子BDD、第二子BDD、第三子BDD、第四子BDD、第五子BDD和第六子BDD执行与计算,可以得到第一ACL对应的第一BDD。
S303:ACL检测模块根据第二ACL中包括的至少一个参数信息,生成第二ACL对应的第二BDD。
同样的,针对第二ACL,本申请中可以根据第二ACL中包括的至少一个参数信息,分别构造至少一个参数信息对应的子BDD,然后根据至少一个参数信息对应的子BDD,生成第二ACL对应的第二BDD。示例性的,假如上述S301中获取了第二ACL中包括的源地址、目的地址、源端口号、目的端口号、协议类型和动作信息,则可以针对源地址构造第七子BDD,针对目的地址构造第八子BDD,针对源端口号构造第九子BDD,针对目的端口号构造第十子BDD,针对协议类型构造第十一子BDD,针对动作信息构造第十二子BDD,其中根据每个参数构造子BDD的过程下述将会具体举例说明。然后对构造的第七子BDD、第八子BDD、第九子BDD、第十子BDD、第十一子BDD和第十二子BDD执行与计算,可以得到第二ACL对应的第二BDD。
S304:ACL检测模块基于第一BDD和第二BDD,对第一ACL和第二ACL进行检测。
由于ACL中包括的参数信息相同或不同,可能会使得不同的ACL之间存在冗余或者冲突的情况。基于第一BDD和第二BDD,对第一ACL和第二ACL进行检测的处理方式包括但不限于下述两种情况:
在一种可能的设计中,当对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为1的路径、且对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为0的路径时,则可以确定所述第一ACL与所述第二ACL之间完全冗余,即第一ACL与所述第二ACL是重复的ACL,保留其中之一即可。
或者,当对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为1的路径,对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为0的路径时,则可以确定所述第一ACL与所述第二ACL之间部分冗余,即第一ACL与所述第二ACL之间存在部分信息重叠,可以进行删减优化。
该方式中,ACL的冗余检测包括部分冗余和完全冗余,通过不同ACL对应的BDD数据结构之间的与操作,可以直接通过与操作之后的BDD数据结构确定出不同ACL之间的冗余关系,检测效率较高。
在另一种可能的设计中,当对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为1的路径、且对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为0的路径时,可以确定所述第一ACL与所述第二ACL之间完全冲突。
或者,当对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为1的路径、且对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为0的路径时,可以确定所述第一ACL与所述第二ACL之间部分冲突。
该方式中,ACL的冲突检测包括部分冲突和完全冲突,通过不同ACL对应的BDD数据结构之间的与操作可直接确定出不同ACL之间的冲突关系,这样能够提高ACL的检测效率。
针对上述中根据第一ACL对应的第一BDD和第二ACL对应的第二BDD,对第一ACL和第二ACL进行检测,下述将会举例说明,以更好理解。
下面先举例说明上述步骤S302中第一BDD的生成过程,具体的,参阅图4所示,可包括如下步骤:
S3021:ACL检测模块将第一ACL中包括的至少一个参数信息分别转化为二进制信息。
本申请一些实施例中,任意一个十进制的正整数都可以由一个唯一的BDD来表示,在BDD数据结构上对应的路径信息是以二进制形式进行表示的,因此,本申请实施例中,可首先将ACL中包括的至少一个参数信息分别转换为二进制信息。例如,以源地址、目的地址、源端口号、目的端口号、协议类型五元组信息为例,针对上述五元组信息,分别将其转换为二进制信息。
另一些实施例中,任意连续或离散的正整数区间也可以在一个完整的二元决策树上,通过设置对应终节点为1的方式进行表示。此处先不做说明,具体在后文介绍。
对于源地址和目的地址,首先分别将对应的互联网协议(internet protocol,IP)转换为十进制,可得到正整数或者正整数区间,然后再将十进制的正整数或者正整数区间转换为二进制。对于源端口号和目的端口号,由于本身就是十进制数值,因此,可直接将十进制转换为二进制。对于协议类型,可将每种协议类型映射至正整数表示,然后将ACL中的协议类型对应的十进制的正整数转换为二进制。
S3022:ACL检测模块根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD。
以四位数的二进制为例,则四位的二进制数对应的BDD示意图如图5A所示,从图5A可以看出,二元决策树中每个节点X1、X2、X3、X4到自己的下一节点中都分别存在0和1两条边,X4处于叶子节点上,要么指向0结束,要么指向1结束。假设以ACL中的一个参数信息为例,例如源端口号转换为十进制的正整数后为9,则对应的二进制数为1001,则基于图5A所示的BDD示意图,1001对应的BDD数据结构可参阅图5B所示,即可将图5A中各节点的边对应的数值为1001的路径的结尾处的1保留,其余路径结尾处的1全部置为0。
需要说明的是,上述图5A和图5B是以4位二进制数为例进行示意的BDD示意图,所以存在四个节点X1、X2、X3、X4;如果以8位的二进制数表征参数信息,则对应的BDD示意图,应该存在8个节点,即X1、X2…..X8,即根节点为x1,叶子结点为x8。本申请这里对二进制位数不做限定。二进制位数的选取是以参数信息转换为十进制后对应的数值大小决定的。
对于正整数区间而言,可以参阅图5C所示的BDD示意图,该示意图是以8层二元决策树紧凑表示后的BDD,编号为7的节点(图标为⑥)的TRUE和FALSE都指向1,因此在表示上进行了省略。从节点0开始指向终节点1的所有路径为:0000 0110、0000 0111、0000 1000、0000 1001、0000 1010、0000 1011、0000 1100、0000 1101,即表示区间[6,13]。图5C中虚线表示的路径为0,实线表示的路径为1。
基于上述对图5A、图5B和图5C的描述,基于上述根据源端口号构造源端口号对应的BDD的相似原理,可以分别构造出ACL中的其他参数信息分别对应的BDD,比如可以构造源地址、目的地址、目的端口号、协议类型和动作信息分别对应的BDD。
需要说明的是,本申请中所涉及的终节点与叶子结点所表示的含义相同,两者有时可能会混用,应理解其含义一致。
S3023:ACL检测模块对每个参数信息对应的子BDD分别进行压缩处理。
以图5A所示的BDD为例,对BDD的压缩过程进行介绍。首先可对图5A所示的BDD数据结构中的叶子结点进行合并,得到图6A所示的BDD示意图,然后对x4进行合并,得到图6B所示的BDD示意图,接着合并x3,得到如图6C所示的BDD示意图,最后对图6C所示的BDD示意图进行简化,得到图6D所示的BDD示意图。
对于x4的合并的过程,可以参阅如下步骤:例如将图5A所示的BDD示意图中的x4依次记为1、2、3、4、5、6、7、8,然后将其指向结点数值结构相同的x4进行合并,例如图5A中第一个x4和第八个x4相同(都指向0和1),第二个x4和第三个x4、第五个x4和第七个x4相同(都指向0和0),第四个x4和第六个x4相同(都指向1和0),则可将相同的x4进行合并,合并之后的x4即为图6B所示的BDD示意图中的三个x4。需要说明的是,合并x3的过程和合并x4的过程类似,在此处不再重复赘述。
S3024:ACL检测模块对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到第一BDD。
本申请实施例中,假设参数信息分别对应的压缩处理后的子BDD分别为B1、B2、B3、B4,则可先对B1和B2执行与操作(B1∩B2),例如得到B11,然后可继续执行与操作,此时可将B11与B3进行与操作(B11∩B3),最后再将B11∩B3的结果,例如B12与B4执行与操作。
可以理解的是,上述仅是以四个参数为例进行的说明,本申请中对于多个参数信息压缩处理的子BDD执行与操作的操作可参见上述示例,在此不做过多赘述。
举例来说,假设源地址的BDD表示为:BDDs_ip,目的地址的BDD表示为:BDDd_ip,源端口号的BDD表示为:BDDs_port,目的端口号的BDD表示为:BDDd_port,协议类型的BDD可表示为:BDDprotocol,则针对一条ACL的BDD数据结构可以表示为:BDDacl=BDDs_ip∩BDDd_ip∩BDDs_port∩BDDd_port∩BDDprotocol∩BDDaction
其中,BDDaction表示ACL规则中包括的动作的BDD。具体的,动作可分为拒绝(deny)和允许(permit)两种情况。
需要说明的是,当多条ACL进行检测时,可对多条ACL进行批量检测,假设每一条ACL对应的BDD表示为:Bacln,n为正整数,则Bacl=Bacl1∪Bacl2∪Bacl3∪Bacl4…∪acln
如图7A所示,假设(1)、(2)分别为两个参数信息(例如参数1和参数2)对应的初始子BDD数据结构,然后对(1)和(2)进行压缩处理,得到(3)和(4)。其中(3)为(1)压缩处理后的BDD数据结构,可以理解为参数1的子BDD,(4)为(2)压缩处理后的BDD数据结构,可以理解为参数2的子BDD。
参阅图7B所示,对参数1的子BDD和参数2的子BDD进行与操作,假设参数1的字BDD为B1,参数2的子BDD为B2,则B1∩B2,可以理解为将图7A中(4)所示的数据结构挂接到(3)所示的结点为1的位置上。同样的,如果是B2∩B1,则可将图7A中(3)所示的数据结构挂接到(4)所示的数据结构的结点为1的位置上,例如可参阅图7C所示。
基于与第一BDD相同的生成方式,第二BDD的生成方式与第一BDD类似。可以理解的是,第二BDD的生成过程可参阅第一BDD的生成过程中的相关描述,在此不再重复说明。
进一步的,在得到第一BDD和第二BDD之后,可以对第一BDD和第二BDD的关系进行检测。在本申请中,ACL之间的关系可以包括六种情况:不冗余、部分冗余、完全冗余、不冲突、部分冲突、完全冲突。本申请实施例中主要针对冗余和冲突中的部分冗余、部分冲突以及完全冗余、完全冲突进行检测。
假设第一ACL对应的第一BDD为Bacl1,第二ACL对应的第二BDD为Bacl2,则冗余检测可参照如下规则:
公式(1)、Bacl1∩Bacl2存在为TRUE的解;公式1的具体含义为:对Bacl1与Bacl2执行与操作得到的BDD中存在叶子节点为1的路径;
公式(2)、﹁Bacl1∩Bacl2≡False;公式2的具体含义为:对Bacl1取反后得到的﹁Bacl1与Bacl2之间执行与操作得到的BDD中存在叶子节点为0的路径。
针对上述两个公式,当满足公式(1)且满足公式(2)时,可以确定ACL1与ACL2之间完全冗余,当满足公式(1),不满足公式(2)时,可以确定ACL1与ACL之间2部分冗余。
针对ACL的冲突检测,还是以第一ACL对应的第一BDD为Bacl1,第二ACL对应的第二BDD为Bacl2为例,则冲突检测可参照如下规则:
公式(1)、﹁Bacl1∩Bacl2存在为TRUE的解;公式1的具体含义为:对Bacl1取反后得到的﹁Bacl1与Bacl2之间执行与操作得到的BDD中存在叶子节点为1的路径。
公式(2)、Bacl1∩Bacl2≡False;公式2的具体含义为:对Bacl1与Bacl2执行与操作得到的BDD中存在叶子节点为0的路径。
针对上述两个公式,当满足公式(1)且满足公式(2)时,可以确定ACL1与ACL2之间完全冲突,当满足公式(1),不满足公式(2)时,可以确定ACL1与ACL2之间部分冲突。
可以理解的是,如果两条ACL之间的关系为冗余关系,则这两条ACL的规则中所涉及到的动作相同,如果两条ACL之间的关系为冲突关系,则这两条ACL的规则中所涉及到的动作相反。以下以三条ACL为例,对冗余和冲突的关系进行说明,参见表1所示。
表1
Figure BDA0002217285890000081
通过表1可知,ACL1与ACL2之间完全冗余(动作均为permit、且ACL1包括的地址范围0.0.0.255涵盖ACL2包括的地址范围0.0.0.63),ACL1与ACL3之间部分冲突(ACL3中地址范围为0.0.0.63且动作为deny的部分,与ACL1中的地址范围0.0.0.255且动作为permit的部分存在部分冲突),ACL2与ACL3之间完全冲突(ACL3中地址范围为0.0.0.63且动作为permit的部分,与ACL4中的地址范围0.0.0.63且动作为deny的部分存在完全冲突)。
进一步的,在本申请实施例中,还可以对检测过程中生成的BDD进行保存,以便于后续ACL检测时直接使用,这样可提升检测效率。
可以理解的是,上述实施例中的网络设备为了实现相应的功能,其可括执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
图8示出了一种访问控制列表ACL的检测装置800的结构示意图。其中,装置800可以是网络设备,能够实现本申请实施例提供的方法中网络设备的功能;装置800也可以是能够支持网络设备实现本申请实施例提供的方法中网络设备的功能的装置。装置800可以中的各组成部分可以是硬件结构、软件模块、或硬件结构加软件模块。
装置800可以包括处理单元801和检测单元802。其中,处理单元801可以用于执行图3所示的实施例中的S301、S302、S303以及图4所示的实施例中的S3021、S3022、S3023、S3024,和/或用于支持本文所描述的技术的其它过程。检测单元802可以用于执行图3所示的实施例中的S304,和/或用于支持本文所描述的技术的其它过程。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
如图9所示为本申请实施例提供的另一种装置900,其中,装置900可以是图3或图4所示的实施例中的网络设备,能够实现本申请实施例提供的方法中网络设备的功能;装置900也可以是能够支持网络设备实现本申请实施例提供的方法中网络设备的功能的装置。
装置900包括至少一个处理器902,用于实现或用于支持装置900实现本申请实施例提供的方法中网络设备的功能。
在本申请中,处理器902可以调用所述存储器中的程序指令以执行:
根据第一ACL中包括的至少一个参数信息,生成所述第一ACL对应的第一二元决策图BDD,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的;
根据第二ACL中包括的至少一个参数信息,生成所述第二ACL对应的第二BDD,所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的;
基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测。
其中,参数信息包括如下信息中的至少一项:源地址、目的地址、源端口号、目的端口号、协议类型、动作信息。
在一种可能的实现中,所述处理器902执行第一BDD是针对第一ACL中包括的至少一个参数信息分别构造的子BDD生成的,具体用于:
将第一ACL中包括的至少一个参数信息分别转化为二进制信息;根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;对每个参数信息对应的子BDD分别进行压缩处理;对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第一BDD。
在一种可能的设计中,所述处理器902执行第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的,具体用于:
将第二ACL中包括的至少一个参数信息分别转化为二进制信息;根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;对每个参数信息对应的子BDD分别进行压缩处理;对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第二BDD。
进一步的,处理器902具体用于按如下方式基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测:
当所述第一BDD与所述第二BDD之间满足第一子条件和第二子条件时,确定所述第一ACL与所述第二ACL之间完全冗余;或者当所述第一BDD与所述第二BDD之间满足第一子条件、且不满足第二子条件时,确定所述第一ACL与所述第二ACL之间部分冗余。
其中,所述第一子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为1的路径;所述第二子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为0的路径。
更进一步的,处理器902具体用于按如下方式基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测:
当所述第一BDD与所述第二BDD之间满足第三子条件和第四子条件时,确定所述第一ACL与所述第二ACL之间完全冲突;或者当所述第一BDD与所述第二BDD之间满足第三子条件、且不满足第四子条件时,确定所述第一ACL与所述第二ACL之间部分冲突。
其中,所述第三子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为1的路径;所述第四子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为0的路径。
装置900还可以包括至少一个存储器901,用于存储程序指令。存储器901和处理器902耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器902可能和存储器901协同操作。处理器902可能执行存储器901中存储的程序指令和/或数据。所述至少一个存储器中的至少一个可以包括于处理器中。
装置900还可以包括通信接口903,用于通过传输介质和其它设备进行通信。处理器902可以利用通信接口903收发数据。
本申请不限定上述通信接口903、处理器902以及存储器901之间的具体连接介质。本申请实施例在图9中以存储器901、处理器902以及通信接口903之间通过总线904连接,总线在图9中以粗线表示。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本申请实施例中,处理器902可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接由硬件处理器执行完成,或者由处理器中的硬件及软件模块组合执行完成。
在本申请实施例中,存储器901可以是非易失性存储器,比如硬盘(hard diskdrive,HDD)或固态硬盘(solid-state drive,SSD)等,还可以是易失性存储器(volatilememory),例如RAM。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
本申请实施例中还提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行图3或图4所示的实施例中网络设备执行的方法。
本申请实施例中还提供一种计算机程序产品,包括指令,当其在计算机上运行时,使得计算机执行图3或图4所示的实施例中网络设备执行的方法。
本申请实施例中还提供一种芯片,所述芯片中的逻辑用于执行图3或图4所示的实施例中网络设备执行的方法。
本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (15)

1.一种访问控制列表ACL的检测方法,应用于网络设备,其特征在于,包括:
根据第一ACL中包括的至少一个参数信息,生成所述第一ACL对应的第一二元决策图BDD,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的;
根据第二ACL中包括的至少一个参数信息,生成所述第二ACL对应的第二BDD,所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的;
基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测。
2.如权利要求1所述的方法,其特征在于,所述参数信息包括如下信息中的至少一项:源地址、目的地址、源端口号、目的端口号、协议类型、动作信息。
3.如权利要求1或2所述的方法,其特征在于,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的,包括:
将第一ACL中包括的至少一个参数信息分别转化为二进制信息;
根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;
对每个参数信息对应的子BDD分别进行压缩处理;
对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第一BDD。
4.如权利要求1或2所述的方法,其特征在于,所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的,包括:
将第二ACL中包括的至少一个参数信息分别转化为二进制信息;
根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;
对每个参数信息对应的子BDD分别进行压缩处理;
对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第二BDD。
5.如权利要求1~4任一所述的方法,其特征在于,基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测,包括:
当所述第一BDD与所述第二BDD之间满足第一子条件和第二子条件时,确定所述第一ACL与所述第二ACL之间完全冗余;或者
当所述第一BDD与所述第二BDD之间满足第一子条件、且不满足第二子条件时,确定所述第一ACL与所述第二ACL之间部分冗余;
其中,所述第一子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为1的路径;
所述第二子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为0的路径。
6.如权利要求1~4任一所述的方法,其特征在于,基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测,包括:
当所述第一BDD与所述第二BDD之间满足第三子条件和第四子条件时,确定所述第一ACL与所述第二ACL之间完全冲突;或者
当所述第一BDD与所述第二BDD之间满足第三子条件、且不满足第四子条件时,确定所述第一ACL与所述第二ACL之间部分冲突;
其中,所述第三子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为1的路径;
所述第四子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为0的路径。
7.一种网络设备,其特征在于,包括:
存储器,用于存储指令;
通信接口,用于接收和发送数据;
处理器,用于调用所述存储器中的程序指令以执行:
根据第一ACL中包括的至少一个参数信息,生成所述第一ACL对应的第一二元决策图BDD,所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的;
根据第二ACL中包括的至少一个参数信息,生成所述第二ACL对应的第二BDD,所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的;
基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测。
8.如权利要求7所述的网络设备,其特征在于,所述参数信息包括如下信息中的至少一项:源地址、目的地址、源端口号、目的端口号、协议类型、动作信息。
9.如权利要求7或8所述的网络设备,其特征在于,所述处理器执行所述第一BDD是针对所述第一ACL中包括的至少一个参数信息分别构造的子BDD生成的,具体用于:
将第一ACL中包括的至少一个参数信息分别转化为二进制信息;
根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;
对每个参数信息对应的子BDD分别进行压缩处理;
对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第一BDD。
10.如权利要求7或8所述的网络设备,其特征在于,所述处理器执行所述第二BDD是针对所述第二ACL中包括的至少一个参数信息分别构造的子BDD生成的,具体用于:
将第二ACL中包括的至少一个参数信息分别转化为二进制信息;
根据每个参数信息对应的二进制信息,分别构造每个参数信息对应的子BDD;
对每个参数信息对应的子BDD分别进行压缩处理;
对每个参数信息分别对应的压缩处理后的子BDD执行与操作,得到所述第二BDD。
11.如权利要求7至10任一项所述的网络设备,其特征在于,所述处理器执行基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测时,具体用于:
当所述第一BDD与所述第二BDD之间满足第一子条件和第二子条件时,确定所述第一ACL与所述第二ACL之间完全冗余;或者
当所述第一BDD与所述第二BDD之间满足第一子条件、且不满足第二子条件时,确定所述第一ACL与所述第二ACL之间部分冗余;
其中,所述第一子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为1的路径;
所述第二子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为0的路径。
12.如权利要求7至10任一项所述的网络设备,其特征在于,所述处理器执行基于所述第一BDD和所述第二BDD,对所述第一ACL和所述第二ACL进行检测时,具体用于:
当所述第一BDD与所述第二BDD之间满足第三子条件和第四子条件时,确定所述第一ACL与所述第二ACL之间完全冲突;或者
当所述第一BDD与所述第二BDD之间满足第三子条件、且不满足第四子条件时,确定所述第一ACL与所述第二ACL之间部分冲突;
其中,所述第三子条件为:对所述第一BDD取反后得到的第四BDD与所述第二BDD之间执行与操作得到的第五BDD中存在叶子节点为1的路径;
所述第四子条件为:对所述第一BDD与所述第二BDD执行与操作得到的第三BDD中存在叶子节点为0的路径。
13.一种访问控制列表ACL的检测装置,其特征在于,包括用于执行如权利要求1~6任一项所述的ACL的检测方法的功能模块或功能单元。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时,使所述计算机执行如权利要求1-6中任意一项所述的方法。
15.一种计算机程序产品,其特征在于,包括程序指令,所述程序指令当被计算机执行时,使所述计算机执行如权利要求1-6中任意一项所述的方法。
CN201910920032.6A 2019-09-26 2019-09-26 一种访问控制列表acl的检测方法及网络设备 Pending CN112565167A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910920032.6A CN112565167A (zh) 2019-09-26 2019-09-26 一种访问控制列表acl的检测方法及网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910920032.6A CN112565167A (zh) 2019-09-26 2019-09-26 一种访问控制列表acl的检测方法及网络设备

Publications (1)

Publication Number Publication Date
CN112565167A true CN112565167A (zh) 2021-03-26

Family

ID=75030118

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910920032.6A Pending CN112565167A (zh) 2019-09-26 2019-09-26 一种访问控制列表acl的检测方法及网络设备

Country Status (1)

Country Link
CN (1) CN112565167A (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6651096B1 (en) * 1999-04-20 2003-11-18 Cisco Technology, Inc. Method and apparatus for organizing, storing and evaluating access control lists
US6658458B1 (en) * 2000-06-22 2003-12-02 Cisco Technology, Inc. Cascading associative memory arrangement
US20100199344A1 (en) * 2009-02-02 2010-08-05 Telcordia Technologies, Inc. Redundancy detection and resolution and partial order dependency quantification in access control lists
CN102932328A (zh) * 2012-09-26 2013-02-13 上海交通大学 一种基于二进制序列集合的访问控制策略合成方法
CN105790929A (zh) * 2016-04-19 2016-07-20 清华大学 一种基于规则冗余消除的加密环境中高效访问控制方法
CN106034054A (zh) * 2015-03-17 2016-10-19 阿里巴巴集团控股有限公司 冗余访问控制列表acl规则文件检测方法和装置
CN108512782A (zh) * 2017-02-24 2018-09-07 华为数字技术(苏州)有限公司 访问控制列表分组调整方法、网络设备和系统
CN108540427A (zh) * 2017-03-02 2018-09-14 株式会社理光 冲突检测方法和检测设备、访问控制方法和访问控制装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6651096B1 (en) * 1999-04-20 2003-11-18 Cisco Technology, Inc. Method and apparatus for organizing, storing and evaluating access control lists
US6658458B1 (en) * 2000-06-22 2003-12-02 Cisco Technology, Inc. Cascading associative memory arrangement
US20100199344A1 (en) * 2009-02-02 2010-08-05 Telcordia Technologies, Inc. Redundancy detection and resolution and partial order dependency quantification in access control lists
CN102932328A (zh) * 2012-09-26 2013-02-13 上海交通大学 一种基于二进制序列集合的访问控制策略合成方法
CN106034054A (zh) * 2015-03-17 2016-10-19 阿里巴巴集团控股有限公司 冗余访问控制列表acl规则文件检测方法和装置
CN105790929A (zh) * 2016-04-19 2016-07-20 清华大学 一种基于规则冗余消除的加密环境中高效访问控制方法
CN108512782A (zh) * 2017-02-24 2018-09-07 华为数字技术(苏州)有限公司 访问控制列表分组调整方法、网络设备和系统
CN108540427A (zh) * 2017-03-02 2018-09-14 株式会社理光 冲突检测方法和检测设备、访问控制方法和访问控制装置

Similar Documents

Publication Publication Date Title
US9245626B2 (en) System and method for packet classification and internet protocol lookup in a network environment
US10257084B2 (en) Implementing a software defined network based on event records
US9270704B2 (en) Modeling network devices for behavior analysis
US8750106B2 (en) Interface control system and interface control method
CN101345759B (zh) 关联存储器中的因特网协议安全性匹配值
US10397116B1 (en) Access control based on range-matching
WO2018082592A1 (zh) 一种报文处理方法以及网络设备
US20180367431A1 (en) Heavy network flow detection method and software-defined networking switch
KR20120106640A (ko) 시스템 온 칩 기반의 패킷 필터링을 제공할 수 있는 디바이스 및 패킷 필터링 방법
US9264257B2 (en) Dynamic ternary content-addressable memory carving
CN109921995A (zh) 一种配置地址表的方法、fpga和应用该fpga的网络设备
US7177313B2 (en) Method and system for converting ranges into overlapping prefixes for a longest prefix match
CN109408517B (zh) 规则的多维度搜索方法、装置、设备及可读存储介质
CN107529352B (zh) 用于软件定义的数据中心网络的协议独立的可编程交换机(pips)
US9330760B2 (en) Method and apparatus for setting TCAM entry
CN112565167A (zh) 一种访问控制列表acl的检测方法及网络设备
US9590897B1 (en) Methods and systems for network devices and associated network transmissions
CN112217780A (zh) 用于在计算机网络中识别攻击的设备和方法
US20180198704A1 (en) Pre-processing of data packets with network switch application -specific integrated circuit
CN109347734A (zh) 一种报文发送方法、装置、网络设备和计算机可读介质
CN114244555B (zh) 一种安全策略的调整方法
CN114915592A (zh) 用于聚合组的端口绑定的方法、系统、存储介质及设备
CN115867898A (zh) 使用基于熵的bdd压缩进行网络模型检查的方法、系统和介质
CN114363273A (zh) 处理报文的方法和芯片
CN113872784A (zh) 网络配置的验证方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20211222

Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Applicant after: HUAWEI TECHNOLOGIES Co.,Ltd.

Address before: 215123 Building A3, Creative Industry Park, 328 Xinghu Street, Suzhou Industrial Park, Jiangsu Province

Applicant before: Huawei digital technology (Suzhou) Co.,Ltd.

Effective date of registration: 20211222

Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province

Applicant after: Super fusion Digital Technology Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd.

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination