CN114124421B - Acl规则处理方法、装置、计算机设备和可读介质 - Google Patents

Acl规则处理方法、装置、计算机设备和可读介质 Download PDF

Info

Publication number
CN114124421B
CN114124421B CN202010896921.6A CN202010896921A CN114124421B CN 114124421 B CN114124421 B CN 114124421B CN 202010896921 A CN202010896921 A CN 202010896921A CN 114124421 B CN114124421 B CN 114124421B
Authority
CN
China
Prior art keywords
address
acl rule
priority
moving
storage address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010896921.6A
Other languages
English (en)
Other versions
CN114124421A (zh
Inventor
刘峰松
王思宇
朱智华
李宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sanechips Technology Co Ltd
Original Assignee
Sanechips Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sanechips Technology Co Ltd filed Critical Sanechips Technology Co Ltd
Priority to CN202010896921.6A priority Critical patent/CN114124421B/zh
Priority to PCT/CN2021/115617 priority patent/WO2022042742A1/zh
Priority to EP21860574.9A priority patent/EP4207639A4/en
Publication of CN114124421A publication Critical patent/CN114124421A/zh
Application granted granted Critical
Publication of CN114124421B publication Critical patent/CN114124421B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种ACL规则处理方法,根据待存储ACL规则与已存储ACL规则的优先级关系,确定待存储ACL规则的存储地址;若存储地址中当前已存储有ACL规则,则根据存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离存储地址最近的空洞地址和高地址方向上距离存储地址最近的空洞地址,确定搬移方向;至少根据搬移方向确定搬移的目标地址;根据搬移方向和目标地址逐条搬移ACL规则,直到空出所述存储地址;将待存储ACL规则存储在所述存储地址,并根据存储地址记录待存储ACL规则的相对优先级。本公开实施例能够减少硬件操作次数,提升ACL动态下表速率,提高ACL规则更新效率。本公开还提供一种ACL规则处理装置、计算机设备和可读介质。

Description

ACL规则处理方法、装置、计算机设备和可读介质
技术领域
本公开涉及通信技术的包分类领域,具体涉及一种ACL规则处理方法、装置、计算机设备和可读介质。
背景技术
ACL(Access Control Lists,访问控制列表)硬件实现方案,分为TCAM(ternarycontent addressable memory,三态内容寻址存储器)与RAM(Random Access Memory,随机存取存储器)两类,其中TCAM实现方案利用TCAM硬件特性直接存储ACL规则。RAM类方案通过高效的算法将ACL规则组织存储于RAM结构中,配合定制的转发面架构,通常具备较低的面积功耗实现代价。
由于ACL业务本身具备多匹配特性,因此在转发面架构中需要设计优先级仲裁模块,用于选取多条匹配规则中优先级最高的规则输出至后级,基于RAM实现的算法方案在规则优先级仲裁方面与TCAM实现方案有所区别,RAM方案将规则过滤方法信息与规则对应的优先级信息共同存储于RAM规则中,在多规则匹配优先级仲裁时,基于规则存储对应的优先级高低来决策最终结果。而TCAM方案通常为通过命中规则存储地址的高低来决策最终结果。
在用户动态更新ACL表的场景中,仅指定当前下发规则与已下发的某个规则的优先级高低关系,在RAM类算法实现方案中,受限于转发面匹配特性,每条规则必须指定一项全局优先级值,用于最终结果仲裁,因此控制面需要对用户下发的规则进行隐式的优先级分配。业内常用的解决方案是将规则集顺序编码,初始下发的规则优先级置为0(假设0为最高优先级),在某些场景下,后续下发的规则的优先级指定比某条已下发规则的优先级高,先将低于当前下发规则优先级的全部已下发规则的优先级的值加1,从而空出一个优先级数值,将新下发规则的优先级置为该优先级数值。
在上述方案场景中,每次下发一条规则,最差情况下需要修改全部已下发规则优先级,即修改规则优先级的操作次数为N,N为已下发规则的总数量。对于容量较大的ACL,修改规则优先级的操作次数较多,会增加ACL规则从配置到生效的时间,降低ACL规则的配置效率。
发明内容
本公开针对现有技术中存在的上述不足,提供一种ACL规则处理方法、装置、计算机设备和可读介质。
第一方面,本公开实施例提供一种ACL规则处理方法,应用于ACL规则处理装置,所述ACL规则处理装置内ACL规则的存储地址为ACL规则的相对优先级,所述ACL处理装置内预设有优先级基线指针参数,所述优先级基线指针参数指向已存储的优先级最高的ACL规则,且所述优先级基线指针参数的值为所述已存储的优先级最高的ACL规则的相对优先级,所述方法包括:
根据待存储ACL规则与已存储ACL规则的优先级关系,确定所述待存储ACL规则的存储地址;
若所述存储地址中当前已存储有ACL规则,则根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址和高地址方向上距离所述存储地址最近的空洞地址,确定搬移方向;
至少根据所述搬移方向确定搬移的目标地址;
根据所述搬移方向和目标地址逐条搬移ACL规则,直到空出所述存储地址,其中,每搬移一次ACL规则,更新当前搬移的ACL规则的相对优先级;
将所述待存储ACL规则存储在所述存储地址,并根据所述存储地址记录所述待存储ACL规则的相对优先级。
在一些实施例中,所述根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址和高地址方向上距离所述存储地址最近的空洞地址,确定搬移方向,包括:
根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址,计算低地址方向的搬移代价;
根据所述存储地址和高地址方向上距离所述存储地址最近的空洞地址,计算高地址方向的搬移代价;
根据所述低地址方向的搬移代价和所述高地址方向的搬移代价,确定搬移方向。
在一些实施例中,所述根据所述低地址方向的搬移代价和所述高地址方向的搬移代价,确定搬移方向,包括:
确定所述低地址方向的搬移代价和所述高地址方向的搬移代价中的最小值,将所述最小值对应的方向作为搬移方向。
在一些实施例中,所述根据所述存储地址和高地址方向上距离所述存储地址最近的空洞地址,计算高地址方向的搬移代价,包括:
计算所述高地址方向上距离所述存储地址最近的空洞地址与所述存储地址之差,得到高地址方向的搬移代价。
在一些实施例中,所述根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址,计算低地址方向上的搬移代价,包括:
根据所述存储地址、优先级基线指针参数和ACL规则的最大存储地址,计算第一搬移代价,所述第一搬移代价为从所述存储地址搬移到所述优先级基线指针参数指向的ACL规则地址的搬移代价;
根据所述存储地址、低地址方向上距离所述存储地址最近的空洞地址和ACL规则的最大存储地址,计算第二搬移代价,所述第二搬移代价为从所述存储地址搬移到所述低地址方向上距离所述存储地址最近的空洞地址的搬移代价;
确定所述第一搬移代价和所述第二搬移代价中的最小值,将所述最小值作为低地址方向上的搬移代价。
在一些实施例中,所述根据所述存储地址、优先级基线指针参数和ACL规则的最大存储地址,计算第一搬移代价,包括:
若所述存储地址小于所述优先级基线指针参数的值,则将用于存储ACL规则的地址形成闭环,并向低地址方向环式计算第一搬移代价;
若所述存储地址大于或等于所述优先级基线指针参数的值,则向高地址方向计算第一搬移代价。
在一些实施例中,所述根据所述存储地址、低地址方向上距离所述存储地址最近的空洞地址和ACL规则的最大存储地址,计算第二搬移代价,包括:
若所述存储地址小于低地址方向上距离所述存储地址最近的空洞地址,则将用于存储ACL规则的地址形成闭环,并向低地址方向环式计算第二搬移代价;
若所述存储地址大于或等于低地址方向上距离所述存储地址最近的空洞地址,则向高地址方向计算第二搬移代价。
在一些实施例中,所述至少根据所述搬移方向确定搬移的目标地址,包括:
若所述搬移方向为低地址方向,且低地址方向的搬移代价为第一搬移代价,则搬移的目标地址为优先级基线指针参数的值减1;
若所述搬移方向为低地址方向,且低地址方向的搬移代价为第二搬移代价,则搬移的目标地址为低地址方向上距离所述存储地址最近的空洞地址;
若所述搬移方向为高地址方向,则搬移的目标地址为高地址方向上距离所述存储地址最近的空洞地址。
在一些实施例中,若所述搬移方向为低地址方向,且低地址方向上的搬移代价为所述第一搬移代价,则在至少根据所述搬移方向确定搬移的目标地址之后,所述方法还包括:将所述优先级基线指针参数的值减1。
在一些实施例中,所述根据待存储ACL规则与已存储ACL规则的优先级关系,确定所述待存储ACL规则的存储地址,包括:
若待存储ACL规则的优先级小于已存储ACL规则的最低优先级k,则所述待存储ACL规则的存储地址为(k+1);
若待存储ACL规则的优先级大于已存储ACL规则的最低优先级k且小于已存储ACL规则的最高优先级,则确定已存储ACL规则中小于待存储ACL规则的优先级的最大优先级p,并确定所述待存储ACL规则的存储地址为p。
在一些实施例中,所述ACL规则处理方法还包括:
从已存储ACL规则中删除待删除ACL规则;
若所述待删除ACL规则的存储地址与所述优先级基线指针参数的值相等,则将所述优先级基线指针参数的值加1。
在一些实施例中,所述ACL规则处理方法还包括:
若接收到业务报文且所述业务报文命中至少2个ACL规则,则确定命中的各ACL规则的相对优先级,至少根据所述命中的各ACL规则的相对优先级和所述优先级基线指针参数,计算所述命中的各ACL规则的绝对优先级。
在一些实施例中,所述至少根据所述命中的各ACL规则的相对优先级和所述优先级基线指针参数,计算所述命中的各ACL规则的绝对优先级,包括:
若命中的ACL规则的相对优先级大于或等于所述优先级基线指针参数的值,则根据所述命中的ACL规则的相对优先级和所述优先级基线指针参数的值,向高地址方向计算所述命中的ACL规则的绝对优先级;
若命中的ACL规则的相对优先级小于所述优先级基线指针参数的值,则将用于存储ACL规则的地址形成闭环,并根据所述命中的ACL规则的相对优先级、所述优先级基线指针参数的值、所述ACL规则的最大存储地址,向低地址方向环式计算命中的ACL规则的绝对优先级。
又一方面,本公开实施例还提供一种ACL规则处理装置,所述ACL规则处理装置内ACL规则的存储地址为ACL规则的相对优先级,所述ACL处理装置内预设有优先级基线指针参数,所述优先级基线指针参数指向已存储的优先级最高的ACL规则,且所述优先级基线指针参数的值为所述已存储的优先级最高的ACL规则的相对优先级;所述ACL规则处理装置包括:结果存储模块和优先级处理模块,所述优先级处理模块包括存储地址确定单元、搬移方向确定单元、目标地址确定单元、搬移单元和第一处理单元;
所述存储地址确定单元用于,根据待存储ACL规则与已存储ACL规则的优先级关系,确定所述待存储ACL规则的存储地址;
所述搬移方向确定单元用于,当所述存储地址中当前已存储有ACL规则时,根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址和高地址方向上距离所述存储地址最近的空洞地址,确定搬移方向;
所述目标地址确定单元用于,至少根据所述搬移方向确定搬移的目标地址;
所述搬移单元用于,根据所述搬移方向和目标地址逐条搬移ACL规则,直到空出所述存储地址,其中,每搬移一次ACL规则,更新当前搬移的ACL规则的相对优先级;
所述第一处理单元用于,将所述待存储ACL规则存储在所述存储地址;
所述结果存模块用于,根据所述存储地址记录所述待存储ACL规则的相对优先级。
又一方面,本公开实施例还提供一种计算机设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如前所述的ACL规则处理方法。
又一方面,本公开实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,所述程序被执行时实现如前所述的ACL规则处理方法。
本公开实施例提供的ACL规则处理方法及装置,根据待存储ACL规则与已存储ACL规则的优先级关系,确定待存储ACL规则的存储地址;若存储地址中当前已存储有ACL规则,则根据存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离存储地址最近的空洞地址和高地址方向上距离存储地址最近的空洞地址,确定搬移方向;至少根据搬移方向确定搬移的目标地址;根据搬移方向和目标地址逐条搬移ACL规则,直到空出所述存储地址;将待存储ACL规则存储在所述存储地址,并根据存储地址记录待存储ACL规则的相对优先级。本公开实施例在全局维护优先级基线指针参数,使其一直指向优先级最高的ACL规则,在搬移已存储的ACL规则的过程中,将优先级基线指针参数作为确定搬移方向的考量因素,能够降低ACL规则的搬移代价,搬移次数至少可以减少一半,从而减少硬件操作次数,提升ACL动态下表速率,提高ACL规则更新效率。
附图说明
图1a为本公开实施例提供的转发面RAM硬件存储示意图;
图1b为本公开实施例提供的控制面链表管理示意图;
图2为本公开实施例提供的ACL规则处理流程示意图之一;
图3为本公开实施例提供的确定搬移方向的流程示意图;
图4为本公开实施例提供的计算低地址方向上的搬移代价的流程示意图;
图5为本公开实施例提供的ACL规则处理流程示意图之二;
图6为本公开实施例提供的计算ACL规则的绝对优先级的流程示意图;
图7为本公开实施例提供的不修改优先级基线指针参数场景的ACL规则搬移示意图;
图8为本公开实施例提供的修改优先级基线指针参数场景的ACL规则搬移示意图;
图9为本公开实施例提供的ACL规则处理装置的结构示意图之一;
图10为本公开实施例提供的ACL规则处理装置的结构示意图之二;
图11为本公开实施例提供的ACL规则处理装置的结构示意图之三。
具体实施方式
在下文中将参考附图更充分地描述示例实施例,但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之,提供这些实施例的目的在于使本公开透彻和完整,并将使本领域技术人员充分理解本公开的范围。
如本文所使用的,术语“和/或”包括一个或多个相关列举条目的任何和所有组合。
本文所使用的术语仅用于描述特定实施例,且不意欲限制本公开。如本文所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。还将理解的是,当本说明书中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其他特征、整体、步骤、操作、元件、组件和/或其群组。
本文所述实施例可借助本公开的理想示意图而参考平面图和/或截面图进行描述。因此,可根据制造技术和/或容限来修改示例图示。因此,实施例不限于附图中所示的实施例,而是包括基于制造工艺而形成的配置的修改。因此,附图中例示的区具有示意性属性,并且图中所示区的形状例示了元件的区的具体形状,但并不旨在是限制性的。
除非另外限定,否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本文明确如此限定。
本公开实施例提供的ACL规则处理方案涉及转发面与控制面两部分,转发面由硬件实现,负责完成匹配报文的优先级存储与优先级仲裁功能,控制面使用软件实现,负责用户下发规则隐式优先级的分配与RAM硬件读写控制。
假设转发面RAM全局地址范围为0-MAX_ADDR,MAX_ADDR为ACL规则的最大存储地址,如图1a所示,转发面RAM中已存储的ACL规则按照控制面分配的相对优先级从小到大存储,低优先级值代表高优先级。转发面存储优先级基线指针参数PRIO_BASE,优先级基线指针参数的初始值为0,同时控制面软件全局存储并管理该优先级基线指针参数。各个ACL规则在转发面RAM中存储的相对优先级为其存储地址序号。
如图1b所示,控制面使用链表管理用户下发的规则,链表中头部节点(最左侧节点)对应最高优先级的ACL规则,每个链表节点中记录ACL规则与该ACL规则的相对优先级(即该ACL规则的存储地址)。
本公开实施例提供的ACL规则处理方法,应用于ACL规则处理装置,所述ACL规则处理装置内ACL规则的存储地址为ACL规则的相对优先级,所述ACL处理装置内预设有优先级基线指针参数PRIO_BASE,优先级基线指针参数指向已存储的优先级最高的ACL规则,且优先级基线指针参数的值为已存储的优先级最高的ACL规则的相对优先级。
如图2所示,本公开实施例提供的ACL规则处理方法包括以下步骤:
步骤11,根据待存储ACL规则与已存储ACL规则的优先级关系,确定待存储ACL规则的存储地址。
在本步骤中,根据用户指定的待存储ACL规则与已存储ACL规则的优先级关系,将待存储ACL规则插入到控制面链表中,确定待存储ACL规则在RAM中的存储位置(及存储地址),记为ins_pos。
在一些实施例中,若待存储ACL规则的优先级小于已存储ACL规则的最低优先级k,说明待存储ACL规则的优先级最低,则待存储ACL规则的存储地址为(k+1),即待存储ACL规则插入链表尾部(最右侧)。若待存储ACL规则的优先级大于已存储ACL规则的最低优先级k且小于已存储ACL规则的最高优先级,说明待存储ACL规则的优先级处于已存储ACL规则的优先级的中间位置,则确定已存储ACL规则中小于待存储ACL规则的优先级的最大优先级p,并确定待存储ACL规则的存储地址为p,即待存储ACL规则插入链表中小于待存储ACL规则的优先级的最大优先级p的节点之前,也就是说,链表中待存储ACL规则紧邻的后继节点的优先级为比该待存储ACL规则的优先级小的各个优先级中的最大的优先级。
步骤12,若存储地址中当前已存储有ACL规则,则根据存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离存储地址最近的空洞地址和高地址方向上距离存储地址最近的空洞地址,确定搬移方向。
搬移方向包括低地址方向和高地址方向。控制面管理优先级基线指针参数PRIO_BASE、ACL规则的最大存储地址MAX_ADDR、低地址方向上距离存储地址最近的空洞地址m和高地址方向上距离存储地址最近的空洞地址n。
在本步骤中,若存储地址ins_pos当前已存储有其他ACL规则,则需要确定该ACL规则的搬移方向,使该存储地址ins_pos空出,以便存储待存储ACL规则。需要说明的是,若存储地址ins_pos当前为空,说明该存储地址ins_pos没有存储有其他ACL规则,无需进行ACL规则搬移,则直接将待存储ACL规则存储在存储地址ins_pos。
步骤13,至少根据搬移方向确定搬移的目标地址。
目标地址记为dst_pos。
步骤14,根据搬移方向和目标地址逐条搬移ACL规则,直到空出存储地址。
需要说明的是,每搬移一次ACL规则,由于该ACL规则的存储地址发生了变化,相应的,就要更新当前搬移的ACL规则的相对优先级。也就是说,每次搬移ACL规则之后,修改控制面链表中记录的ACL规则的相对优先级值信息,并将该ACL规则的更新后的相对优先级值同步写入RAM中。
在本步骤中,若搬移方向为低地址方向,则先将存储地址为(dst_pos+1)的ACL规则搬移至存储地址为dst_pos的位置,再将存储地址为(dst_pos+2)的ACL规则搬移至存储地址为(dst_pos+1)的位置,以此类推,直到空出存储地址ins_pos(该存储地址即为待插入ACL规则的位置)。若搬移方向为高地址方向,则先将存储地址为(dst_pos-1)ACL规则搬移至存储地址为dst_pos的位置,再将存储地址为(dst_pos-2)的ACL规则搬移至存储地址为(dst_pos-1)的位置,以此类推,直到空出存储地址ins_pos。
步骤15,将待存储ACL规则存储在存储地址,并根据存储地址记录待存储ACL规则的相对优先级。
在本步骤中,在存储地址ins_pos中插入待存储ACL规则,并将该待存储ACL规则的相对优先级写入RAM中。
本公开实施例提供的ACL规则处理方法及装置,根据待存储ACL规则与已存储ACL规则的优先级关系,确定待存储ACL规则的存储地址;若存储地址中当前已存储有ACL规则,则根据存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离存储地址最近的空洞地址和高地址方向上距离存储地址最近的空洞地址,确定搬移方向;至少根据搬移方向确定搬移的目标地址;根据搬移方向和目标地址逐条搬移ACL规则,直到空出所述存储地址;将待存储ACL规则存储在所述存储地址,并根据存储地址记录待存储ACL规则的相对优先级。本公开实施例在全局维护优先级基线指针参数,使其一直指向优先级最高的ACL规则,在搬移已存储的ACL规则的过程中,将优先级基线指针参数作为确定搬移方向的考量因素,能够降低搬移代价,搬移次数至少可以减少一半,从而减少硬件操作次数,提升ACL动态下表速率,提高ACL规则更新效率。
在一些实施例中,如图2所示,所述根据存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离存储地址最近的空洞地址和高地址方向上距离存储地址最近的空洞地址,确定搬移方向(即步骤12)包括以下步骤:
步骤21,根据存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址,计算低地址方向的搬移代价。
计算低地址方向的搬移代价cost_low的具体实现方式后续结合图4再详细说明。
步骤22,根据存储地址和高地址方向上距离存储地址最近的空洞地址,计算高地址方向的搬移代价。
在一些实施例中,通过计算高地址方向上距离存储地址最近的空洞地址n与存储地址ins_pos之差,得到高地址方向的搬移代价cost_high,即cost_high=n-ins_pos。
步骤23,根据低地址方向的搬移代价和高地址方向的搬移代价,确定搬移方向。
在一些实施例中,所述根据低地址方向的搬移代价和高地址方向的搬移代价,确定搬移方向,包括:确定低地址方向的搬移代价和高地址方向的搬移代价中的最小值,将所述最小值对应的方向作为搬移方向。
需要说明的是,步骤21和步骤22的执行顺序不限,也可同步执行。
通过步骤21-23可以看出,搬移代价反映了ACL规则搬移次数,搬移代价越小,说明搬移ACL规则的次数越少。通过比较低地址方向的搬移代价cost_low与高地址方向的搬移代价cost_high的大小,选定最小值对应的搬移方向作为本次ACL规则的搬移方向,可以减少搬移次数。
在一些实施例中,如图4所示,所述根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址,计算低地址方向上的搬移代价(即步骤21),包括以下步骤:
步骤121,根据存储地址、优先级基线指针参数和ACL规则的最大存储地址,计算第一搬移代价。
第一搬移代价cost_base为从存储地址ins_pos搬移到优先级基线指针参数PRIO_BASE指向的ACL规则地址的搬移代价。
在一些实施例中,若存储地址小于优先级基线指针参数的值,则将用于存储ACL规则的地址形成闭环,并向低地址方向环式计算第一搬移代价,即若ins_pos<PIRO_BASE,则第一搬移代价cost_base=ACL规则的最大存储地址MAX_ADDR-优先级基线指针参数的值PIRO_BASE+2+存储地址ins_pos。也就是说,在ins_pos<PIRO_BASE的情况下,需要向低地址方向环式计算第一搬移代价。
若存储地址大于或等于优先级基线指针参数的值,则向高地址方向计算第一搬移代价,即若ins_pos(即p)≥PIRO_BASE,则第一搬移代价cost_base=存储地址ins_pos-优先级基线指针参数的值PIRO_BASE+1,也就是说,在ins_pos(即p)≥PIRO_BASE的情况下,不需要环式计算第一搬移代价,而是直接向高地址方向计算第一搬移代价。
环式计算是指,在低地址方向从存储地址为0的位置跨越至地址最右侧位置形成地址环,根据该地址环进行计算。环式计算可以在计算第一搬移代价cost_base时使用,也可以在计算第二搬移代价cost_m时使用。
步骤122,根据存储地址、低地址方向上距离存储地址最近的空洞地址和ACL规则的最大存储地址,计算第二搬移代价。
第二搬移代价cost_m为从存储地址ins_pos搬移到低地址方向上距离存储地址ins_pos最近的空洞地址m的搬移代价。
在一些实施例中,若存储地址小于低地址方向上距离存储地址最近的空洞地址,则将用于存储ACL规则的地址形成闭环,并向低地址方向环式计算第二搬移代价。即若ins_pos<m,则第二搬移代价cost_m=ACL规则的最大存储地址MAX_ADDR+1-低地址方向上距离存储地址最近的空洞地址m+存储地址ins_pos。也就是说,在ins_pos<m的情况下,需要向低地址方向环式计算第二搬移代价。
若存储地址大于或等于低地址方向上距离存储地址最近的空洞地址,则向高地址方向计算第二搬移代价。即若ins_pos≥m,则第二搬移代价cost_m=存储地址ins_pos-低地址方向上距离存储地址最近的空洞地址m,也就说,在ins_pos≥m的情况下,不需要环式计算第二搬移代价,而是直接向高地址方向计算第二搬移代价。
由于优先级基线指针参数的设计,允许ACL规则搬移朝着低地址方向从存储地址为0的位置向空洞位置或优先级基线指针参数指向的位置搬移,从存储地址为0的位置搬移至MAX_ADDR位置的搬移代价为1,因此当目的地址值(即m或PIRO_BASE)大于原始地址值(ins_pos)时,低地址方向搬移代价为MAX_ADDR+1-目的地址值+原始地址值。需要说明的是,当计算第一搬移代价时,目的地址值实际上是PRIO_BASE-1。
步骤123,确定第一搬移代价和第二搬移代价中的最小值,将所述最小值作为低地址方向上的搬移代价。
在本步骤中,低地址方向搬移代价=MIN(cost_base,cost_m)。
在一些实施例中,述至少根据搬移方向确定搬移的目标地址(即步骤13),包括:若搬移方向为低地址方向,且低地址方向的搬移代价为第一搬移代价,则搬移的目标地址为优先级基线指针参数的值减1。若搬移方向为低地址方向,且低地址方向的搬移代价为第二搬移代价,则搬移的目标地址为低地址方向上距离所述存储地址最近的空洞地址。若搬移方向为高地址方向,则搬移的目标地址为高地址方向上距离存储地址最近的空洞地址。也就是说,若选定搬移方向为低地址方向,且MIN(cost_base,cost_m)=cost_base,则dst_pos=PIRO_BASE-1。若选定搬移方向为低地址方向,且MIN(cost_base,cost_m)=cost_m,则dst_pos=m。若选定搬移方向为高地址方向,则dst_pos=n。
在一些实施例中,若搬移方向为低地址方向,且低地址方向上的搬移代价为第一搬移代价,则在至少根据搬移方向确定搬移的目标地址之后,所述方法还包括以下步骤:将优先级基线指针参数的值减1。也就是说,在搬移方向为低地址方向,且MIN(cost_base,cost_m)=cost_base的情况下,需要搬移优先级基线指针参数PIRO_BASE指向的ACL规则,相应的,在确定出搬移的目标地址之后,优先级基线指针参数PIRO_BASE的值也需要相应进行调整(仍然指向位置搬移后的优先级最高的ACL规则)。需要说明的是,在搬移方向为低地址方向,且低地址方向的搬移代价为第二搬移代价的情况下,以及,在搬移方向为高地址方向的情况下,优先级基线指针参数PIRO_BASE指向的ACL规则没有发生搬移,相应的,不用调整优先级基线指针参数PIRO_BASE的值。
需要说明的是,步骤121和步骤122的执行顺序不限,也可同步执行。
以上为存储ACL规则(写入RAM)的流程。以下结合图5详细说明删除ACL规则的流程。
如图5所示,所述ACL规则处理方法还可以包括以下步骤:
步骤31,从已存储ACL规则中删除待删除ACL规则。
在本步骤中,根据用户下发的删除ACL规则信息索引至控制面链表对应的链表节点,根据链表节点记录的优先级信息清空转发面RAM位置存储的ACL规则。
步骤32,若待删除ACL规则的存储地址与优先级基线指针参数的值相等,则将优先级基线指针参数的值加1。
在一些实施例中,在步骤32之后,还包括:在控制面的链表中删除与已删除的ACL规则对应的链表节点。
RAM中存储的ACL规则的优先级为相对优先级,但是在业务报文转发阶段,是根据ACL规则的绝对优先级进行优先级仲裁,因此,需要将ACL规则的相对优先级转换为绝对优先级。因此,如图6所示,所述ACL规则处理方法还包括以下步骤:
步骤41,若接收到业务报文且业务报文命中至少2个ACL规则,则确定命中的各ACL规则的相对优先级。
步骤42,至少根据命中的各ACL规则的相对优先级和优先级基线指针参数,计算命中的各ACL规则的绝对优先级。
在一些实施例中,若命中的ACL规则的相对优先级r_prio大于或等于优先级基线指针参数PRIO_BASE的值,则根据命中的ACL规则的相对优先级r_prio和优先级基线指针参数PRIO_BASE的值,向高地址方向计算命中的ACL规则的绝对优先级prio。即若r_prio≥PRIO_BASE,则prio=r_prio-PRIO_BASE。也就是说,在r_prio≥PRIO_BASE的情况下,不需要环式计算绝对优先级,而是直接向高地址方向计算绝对优先级。
若命中的ACL规则的相对优先级r_prio小于优先级基线指针参数PRIO_BASE的值,则将用于存储ACL规则的地址形成闭环,并根据命中的ACL规则的相对优先级r_prio、优先级基线指针参数PRIO_BASE的值、ACL规则的最大存储地址MAX_ADDR,向低地址方向环式计算命中的ACL规则的绝对优先级prio。即若r_prio<PRIO_BASE,则prio=MAX_ADDR+1-PRIO_BASE+r_prio,也就是说,在r_prio<PRIO_BASE的情况下,需要向低地址方向环式计算绝对优先级。
为了清楚说明本公开实施例的方案,以下分别结合图7和图8,对不修改优先级基线指针参数场景和修改优先级基线指针参数场景下的ACL规则搬移过程进行详细说明。
如图7所示,待存储ACL规则为rule8,其存储地址ins_pos为当前rule3的存储位置,优先级基线指针参数PRIO_BASE指向rule0,rule4后一个位置为高地址方向上距离存储地址最近的空洞地址n,低地址方向上无空洞,因此低地址方向的搬移代价cost_low即为cost_base=4,高地址方向的搬移代价cost_high=2,因此,搬移方向为高地址方向。由于搬移方向为高地址方向,因此不用修改优先级基线指针参数PRIO_BASE的值。逐条将rule4和rule3向高地址方向搬移,直到空出存储地址ins_pos的位置,将rule8存储在该位置。
如图8所示,待存储ACL规则为rule8,其存储地址ins_pos为当前rule3的存储位置,优先级基线指针参数PRIO_BASE指向rule0,rule7后一个位置为高地址方向上距离存储地址最近的空洞地址n,低地址方向上无空洞,因此低地址方向的搬移代价cost_low即为cost_base=4,高地址方向的搬移代价cost_high=5,因此,搬移方向为低地址方向,且低地址方向的搬移代价cost_low与cost_base相等(均为4),则将优先级基线指针参数PRIO_BASE的值减1。确定目标地址为dst_pos为优先级基线指针参数PRIO_BASE当前指向的位置,逐条将rule0、rule1、rule2、rule3向低地址方向搬移,其中,rule0搬移至PRIO_BASE当前指向的位置,直到空出存储地址ins_pos的位置,将rule8存储在该位置。
基于相同的技术构思,本公开实施例还提供一种ACL规则处理装置,如图9所示,包括:结果存储模块101和优先级处理模块102,结果存储模块101用于存储ACL规则对应的相对优先级;优先级处理模块102用于,接收结果存储模块101输出的多条ACL规则对应的相对优先级,进行优先级处理,得到绝对优先级,并将绝对优先级与对应的ACL规则及其结果发送至优先级比较模块。
在一些实施例中,所示ACL规则处理装置还包括优先级比较模块103,优先级比较模块103,用于比较其输入的多个绝对优先级,并输出优先级最高的ACL规则对应的结果。
结合图9和图10所示,所述ACL规则处理装置内ACL规则的存储地址为ACL规则的相对优先级,所述ACL处理装置内预设有优先级基线指针参数,所述优先级基线指针参数指向已存储的优先级最高的ACL规则,且所述优先级基线指针参数的值为所述已存储的优先级最高的ACL规则的相对优先级。
优先级处理模块102包括存储地址确定单元1021、搬移方向确定单元1022、目标地址确定单元1023、搬移单元1024和第一处理单元1025,存储地址确定单元1021用于,根据待存储ACL规则与已存储ACL规则的优先级关系,确定所述待存储ACL规则的存储地址。
搬移方向确定单元1022用于,当所述存储地址中当前已存储有ACL规则时,根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址和高地址方向上距离所述存储地址最近的空洞地址,确定搬移方向。
目标地址确定单元1023用于,至少根据所述搬移方向确定搬移的目标地址。
搬移单元1024用于,根据所述搬移方向和目标地址逐条搬移ACL规则,直到空出所述存储地址,其中,每搬移一次ACL规则,更新当前搬移的ACL规则的相对优先级。
第一处理单元1025用于,将所述待存储ACL规则存储在所述存储地址。
结果存模块101用于,根据所述存储地址记录所述待存储ACL规则的相对优先级。
在一些实施例中,搬移方向确定单元1022用于,根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址,计算低地址方向的搬移代价;根据所述存储地址和高地址方向上距离所述存储地址最近的空洞地址,计算高地址方向的搬移代价;根据所述低地址方向的搬移代价和所述高地址方向的搬移代价,确定搬移方向。
在一些实施例中,搬移方向确定单元1022用于,确定所述低地址方向的搬移代价和所述高地址方向的搬移代价中的最小值,将所述最小值对应的方向作为搬移方向。
在一些实施例中,搬移方向确定单元1022用于,计算所述高地址方向上距离所述存储地址最近的空洞地址与所述存储地址之差,得到高地址方向的搬移代价。
在一些实施例中,搬移方向确定单元1022用于,根据所述存储地址、优先级基线指针参数和ACL规则的最大存储地址,计算第一搬移代价,所述第一搬移代价为从所述存储地址搬移到所述优先级基线指针参数指向的ACL规则地址的搬移代价;根据所述存储地址、低地址方向上距离所述存储地址最近的空洞地址和ACL规则的最大存储地址,计算第二搬移代价,所述第二搬移代价为从所述存储地址搬移到所述低地址方向上距离所述存储地址最近的空洞地址的搬移代价;确定所述第一搬移代价和所述第二搬移代价中的最小值,将所述最小值作为低地址方向上的搬移代价。
在一些实施例中,搬移方向确定单元1022用于,当所述存储地址小于所述优先级基线指针参数的值时,将用于存储ACL规则的地址形成闭环,并向低地址方向环式计算第一搬移代价;当所述存储地址大于或等于所述优先级基线指针参数的值时,向高地址方向计算第一搬移代价。
在一些实施例中,搬移方向确定单元1022用于,当所述存储地址小于低地址方向上距离所述存储地址最近的空洞地址时,将用于存储ACL规则的地址形成闭环,并向低地址方向环式计算第二搬移代价;当所述存储地址大于或等于低地址方向上距离所述存储地址最近的空洞地址时,向高地址方向计算第二搬移代价。
在一些实施例中,目标地址确定单元1023用于,当所述搬移方向为低地址方向,且低地址方向的搬移代价为第一搬移代价时,搬移的目标地址为优先级基线指针参数的值减1;当所述搬移方向为低地址方向,且低地址方向的搬移代价为第二搬移代价时,搬移的目标地址为低地址方向上距离所述存储地址最近的空洞地址;当所述搬移方向为高地址方向时,搬移的目标地址为高地址方向上距离所述存储地址最近的空洞地址。
在一些实施例中,目标地址确定单元1023还用于,当所述搬移方向为低地址方向,且低地址方向上的搬移代价为所述第一搬移代价时,在至少根据所述搬移方向确定搬移的目标地址之后,将所述优先级基线指针参数的值减1。
在一些实施例中,存储地址确定单元1021用于,当待存储ACL规则的优先级小于已存储ACL规则的最低优先级k时,所述待存储ACL规则的存储地址为(k+1);当待存储ACL规则的优先级大于已存储ACL规则的最低优先级k且小于已存储ACL规则的最高优先级时,确定已存储ACL规则中小于待存储ACL规则的优先级的最大优先级p,并确定所述待存储ACL规则的存储地址为p。
在一些实施例中,第一处理单元1025还用于,从已存储ACL规则中删除待删除ACL规则;当所述待删除ACL规则的存储地址与所述优先级基线指针参数的值相等时,将所述优先级基线指针参数的值加1。
在一些实施例中,如图11所示,优先级处理模块102还包括第二处理单元1026,第二处理单元1026用于,当接收到业务报文且所述业务报文命中至少2个ACL规则时,确定命中的各ACL规则的相对优先级,至少根据所述命中的各ACL规则的相对优先级和所述优先级基线指针参数,计算所述命中的各ACL规则的绝对优先级。
在一些实施例中,第二处理单元1026用于,当命中的ACL规则的相对优先级大于或等于所述优先级基线指针参数的值时,根据所述命中的ACL规则的相对优先级和所述优先级基线指针参数的值,向高地址方向计算所述命中的ACL规则的绝对优先级;当命中的ACL规则的相对优先级小于所述优先级基线指针参数的值时,将用于存储ACL规则的地址形成闭环,并根据所述命中的ACL规则的相对优先级、所述优先级基线指针参数的值、所述ACL规则的最大存储地址,向低地址方向环式计算命中的ACL规则的绝对优先级。
本公开实施例还提供了一种计算机设备,该计算机设备包括:一个或多个处理器以及存储装置;其中,存储装置上存储有一个或多个程序,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器实现如前述各实施例所提供的ACL规则处理方法。
本公开实施例还提供了一种计算机可读介质,其上存储有计算机程序,其中,该计算机程序被执行时实现如前述各实施例所提供的ACL规则处理方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本文已经公开了示例实施例,并且虽然采用了具体术语,但它们仅用于并仅应当被解释为一般说明性含义,并且不用于限制的目的。在一些实例中,对本领域技术人员显而易见的是,除非另外明确指出,否则可单独使用与特定实施例相结合描述的特征、特性和/或元素,或可与其他实施例相结合描述的特征、特性和/或元件组合使用。因此,本领域技术人员将理解,在不脱离由所附的权利要求阐明的本发明的范围的情况下,可进行各种形式和细节上的改变。

Claims (16)

1.一种ACL规则处理方法,应用于ACL规则处理装置,所述ACL规则处理装置内ACL规则的存储地址为ACL规则的相对优先级,所述ACL规则处理装置内预设有优先级基线指针参数,所述优先级基线指针参数指向已存储的优先级最高的ACL规则,且所述优先级基线指针参数的值为所述已存储的优先级最高的ACL规则的相对优先级,其特征在于,所述方法包括:
根据待存储ACL规则与已存储ACL规则的优先级关系,确定所述待存储ACL规则的存储地址;
若所述存储地址中当前已存储有ACL规则,则根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址和高地址方向上距离所述存储地址最近的空洞地址,确定搬移方向;
至少根据所述搬移方向确定搬移的目标地址;
根据所述搬移方向和目标地址逐条搬移ACL规则,直到空出所述存储地址,其中,每搬移一次ACL规则,更新当前搬移的ACL规则的相对优先级;
将所述待存储ACL规则存储在所述存储地址,并根据所述存储地址记录所述待存储ACL规则的相对优先级。
2.如权利要求1所述的方法,其特征在于,所述根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址和高地址方向上距离所述存储地址最近的空洞地址,确定搬移方向,包括:
根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址,计算低地址方向的搬移代价;
根据所述存储地址和高地址方向上距离所述存储地址最近的空洞地址,计算高地址方向的搬移代价;
根据所述低地址方向的搬移代价和所述高地址方向的搬移代价,确定搬移方向。
3.如权利要求2所述的方法,其特征在于,所述根据所述低地址方向的搬移代价和所述高地址方向的搬移代价,确定搬移方向,包括:
确定所述低地址方向的搬移代价和所述高地址方向的搬移代价中的最小值,将所述最小值对应的方向作为搬移方向。
4.如权利要求2所述的方法,其特征在于,所述根据所述存储地址和高地址方向上距离所述存储地址最近的空洞地址,计算高地址方向的搬移代价,包括:
计算所述高地址方向上距离所述存储地址最近的空洞地址与所述存储地址之差,得到高地址方向的搬移代价。
5.如权利要求2所述的方法,其特征在于,所述根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址,计算低地址方向上的搬移代价,包括:
根据所述存储地址、优先级基线指针参数和ACL规则的最大存储地址,计算第一搬移代价,所述第一搬移代价为从所述存储地址搬移到所述优先级基线指针参数指向的ACL规则地址的搬移代价;
根据所述存储地址、低地址方向上距离所述存储地址最近的空洞地址和ACL规则的最大存储地址,计算第二搬移代价,所述第二搬移代价为从所述存储地址搬移到所述低地址方向上距离所述存储地址最近的空洞地址的搬移代价;
确定所述第一搬移代价和所述第二搬移代价中的最小值,将所述最小值作为低地址方向上的搬移代价。
6.如权利要求5所述的方法,其特征在于,所述根据所述存储地址、优先级基线指针参数和ACL规则的最大存储地址,计算第一搬移代价,包括:
若所述存储地址小于所述优先级基线指针参数的值,则将用于存储ACL规则的地址形成闭环,并向低地址方向环式计算第一搬移代价;
若所述存储地址大于或等于所述优先级基线指针参数的值,则向高地址方向计算第一搬移代价。
7.如权利要求5所述的方法,其特征在于,所述根据所述存储地址、低地址方向上距离所述存储地址最近的空洞地址和ACL规则的最大存储地址,计算第二搬移代价,包括:
若所述存储地址小于低地址方向上距离所述存储地址最近的空洞地址,则将用于存储ACL规则的地址形成闭环,并向低地址方向环式计算第二搬移代价;
若所述存储地址大于或等于低地址方向上距离所述存储地址最近的空洞地址,则向高地址方向计算第二搬移代价。
8.如权利要求5所述的方法,其特征在于,所述至少根据所述搬移方向确定搬移的目标地址,包括:
若所述搬移方向为低地址方向,且低地址方向的搬移代价为第一搬移代价,则搬移的目标地址为优先级基线指针参数的值减1;
若所述搬移方向为低地址方向,且低地址方向的搬移代价为第二搬移代价,则搬移的目标地址为低地址方向上距离所述存储地址最近的空洞地址;
若所述搬移方向为高地址方向,则搬移的目标地址为高地址方向上距离所述存储地址最近的空洞地址。
9.如权利要求8所述的方法,其特征在于,若所述搬移方向为低地址方向,且低地址方向上的搬移代价为所述第一搬移代价,则在至少根据所述搬移方向确定搬移的目标地址之后,所述方法还包括:将所述优先级基线指针参数的值减1。
10.如权利要求1所述的方法,其特征在于,所述根据待存储ACL规则与已存储ACL规则的优先级关系,确定所述待存储ACL规则的存储地址,包括:
若待存储ACL规则的优先级小于已存储ACL规则的最低优先级k,则所述待存储ACL规则的存储地址为(k+1);
若待存储ACL规则的优先级大于已存储ACL规则的最低优先级k且小于已存储ACL规则的最高优先级,则确定已存储ACL规则中小于待存储ACL规则的优先级的最大优先级p,并确定所述待存储ACL规则的存储地址为p。
11.如权利要求1所述的方法,其特征在于,还包括:
从已存储ACL规则中删除待删除ACL规则;
若所述待删除ACL规则的存储地址与所述优先级基线指针参数的值相等,则将所述优先级基线指针参数的值加1。
12.如权利要求1-11任一项所述的方法,其特征在于,所述方法还包括:
若接收到业务报文且所述业务报文命中至少2个ACL规则,则确定命中的各ACL规则的相对优先级,至少根据所述命中的各ACL规则的相对优先级和所述优先级基线指针参数,计算所述命中的各ACL规则的绝对优先级。
13.如权利要求12所述的方法,其特征在于,所述至少根据所述命中的各ACL规则的相对优先级和所述优先级基线指针参数,计算所述命中的各ACL规则的绝对优先级,包括:
若命中的ACL规则的相对优先级大于或等于所述优先级基线指针参数的值,则根据所述命中的ACL规则的相对优先级和所述优先级基线指针参数的值,向高地址方向计算所述命中的ACL规则的绝对优先级;
若命中的ACL规则的相对优先级小于所述优先级基线指针参数的值,则将用于存储ACL规则的地址形成闭环,并根据所述命中的ACL规则的相对优先级、所述优先级基线指针参数的值、所述ACL规则的最大存储地址,向低地址方向环式计算命中的ACL规则的绝对优先级。
14.一种ACL规则处理装置,其特征在于,所述ACL规则处理装置内ACL规则的存储地址为ACL规则的相对优先级,所述ACL规则处理装置内预设有优先级基线指针参数,所述优先级基线指针参数指向已存储的优先级最高的ACL规则,且所述优先级基线指针参数的值为所述已存储的优先级最高的ACL规则的相对优先级;所述ACL规则处理装置包括:结果存储模块和优先级处理模块,所述优先级处理模块包括存储地址确定单元、搬移方向确定单元、目标地址确定单元、搬移单元和第一处理单元;
所述存储地址确定单元用于,根据待存储ACL规则与已存储ACL规则的优先级关系,确定所述待存储ACL规则的存储地址;
所述搬移方向确定单元用于,当所述存储地址中当前已存储有ACL规则时,根据所述存储地址、优先级基线指针参数、ACL规则的最大存储地址、低地址方向上距离所述存储地址最近的空洞地址和高地址方向上距离所述存储地址最近的空洞地址,确定搬移方向;
所述目标地址确定单元用于,至少根据所述搬移方向确定搬移的目标地址;
所述搬移单元用于,根据所述搬移方向和目标地址逐条搬移ACL规则,直到空出所述存储地址,其中,每搬移一次ACL规则,更新当前搬移的ACL规则的相对优先级;
所述第一处理单元用于,将所述待存储ACL规则存储在所述存储地址;
所述结果存储模块用于,根据所述存储地址记录所述待存储ACL规则的相对优先级。
15.一种计算机设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-13任一项所述的ACL规则处理方法。
16.一种计算机可读介质,其上存储有计算机程序,其中,所述计算机程序被执行时实现如权利要求1-13任一项所述的ACL规则处理方法。
CN202010896921.6A 2020-08-31 2020-08-31 Acl规则处理方法、装置、计算机设备和可读介质 Active CN114124421B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202010896921.6A CN114124421B (zh) 2020-08-31 2020-08-31 Acl规则处理方法、装置、计算机设备和可读介质
PCT/CN2021/115617 WO2022042742A1 (zh) 2020-08-31 2021-08-31 Acl规则处理方法、装置、计算机设备和可读介质
EP21860574.9A EP4207639A4 (en) 2020-08-31 2021-08-31 METHOD AND APPARATUS FOR ACL RULES PROCESSING, COMPUTER APPARATUS AND READABLE MEDIUM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010896921.6A CN114124421B (zh) 2020-08-31 2020-08-31 Acl规则处理方法、装置、计算机设备和可读介质

Publications (2)

Publication Number Publication Date
CN114124421A CN114124421A (zh) 2022-03-01
CN114124421B true CN114124421B (zh) 2024-04-12

Family

ID=80354706

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010896921.6A Active CN114124421B (zh) 2020-08-31 2020-08-31 Acl规则处理方法、装置、计算机设备和可读介质

Country Status (3)

Country Link
EP (1) EP4207639A4 (zh)
CN (1) CN114124421B (zh)
WO (1) WO2022042742A1 (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599049A (zh) * 2009-07-09 2009-12-09 杭州华三通信技术有限公司 控制dma访问不连续物理地址的方法及dma控制器
WO2012100984A1 (en) * 2011-01-28 2012-08-02 Napatech A/S An apparatus and a method for receiving and forwarding data packets
CN104753788A (zh) * 2013-12-25 2015-07-01 深圳市中兴微电子技术有限公司 一种基于索引分配的数据转发方法及装置
CN110557335A (zh) * 2018-06-04 2019-12-10 中兴通讯股份有限公司 三态内容寻址存储器tcam表项处理方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100433009C (zh) * 2005-11-24 2008-11-12 华为技术有限公司 静态范围匹配表的管理维护方法
JP2011090408A (ja) * 2009-10-20 2011-05-06 Canon Inc 情報処理装置、その行動推定方法及びプログラム
CN103248575B (zh) * 2013-05-14 2016-09-14 盛科网络(苏州)有限公司 一种tcam表项优先级的分配方法
CN106330759B (zh) * 2016-09-29 2019-09-17 杭州迪普科技股份有限公司 一种调整acl表项的方法及装置
CN107196857B (zh) * 2017-05-24 2020-06-23 北京东土军悦科技有限公司 一种搬移方法和网络设备
US11483313B2 (en) * 2018-06-28 2022-10-25 Intel Corporation Technologies for updating an access control list table without causing disruption

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599049A (zh) * 2009-07-09 2009-12-09 杭州华三通信技术有限公司 控制dma访问不连续物理地址的方法及dma控制器
WO2012100984A1 (en) * 2011-01-28 2012-08-02 Napatech A/S An apparatus and a method for receiving and forwarding data packets
CN104753788A (zh) * 2013-12-25 2015-07-01 深圳市中兴微电子技术有限公司 一种基于索引分配的数据转发方法及装置
CN110557335A (zh) * 2018-06-04 2019-12-10 中兴通讯股份有限公司 三态内容寻址存储器tcam表项处理方法及装置

Also Published As

Publication number Publication date
EP4207639A1 (en) 2023-07-05
WO2022042742A1 (zh) 2022-03-03
EP4207639A4 (en) 2024-03-27
CN114124421A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
CN110135985B (zh) 一种区块链上交易的并行执行方法及系统
US7523288B2 (en) Dynamic fragment mapping
US6772279B1 (en) Method and apparatus for monitoring the status of CAM comparand registers using a free list and a busy list
CN111240593B (zh) 一种动态自适应调度的数据迁移方法、装置、设备和介质
US6697797B1 (en) Method and apparatus for tracking data in a database, employing last-known location registers
CN109032533B (zh) 一种数据存储方法、装置和设备
CN104424030A (zh) 多进程操作共享内存的方法和装置
CN113282249B (zh) 一种数据处理方法、系统、设备以及介质
CN114124421B (zh) Acl规则处理方法、装置、计算机设备和可读介质
CN104077078B (zh) 读存储区、更新存储区的方法及装置
US11934696B2 (en) Machine learning assisted quality of service (QoS) for solid state drives
CN114138181A (zh) 一种绑定池放置组选主的方法、装置、设备及可读介质
KR101826778B1 (ko) 플래쉬 라이프 사이클 및 성능 개선을 고려한 eeprom 에뮬레이션 구현 방법
US8364894B2 (en) Data update method and flash memory apparatus utilizing a cache block
CN116016387B (zh) 访问控制列表生效控制方法、装置、设备和存储介质
US7154892B2 (en) Method and apparatus for managing LPM-based CAM look-up table, and recording medium therefor
CN111752941A (zh) 一种数据存储、访问方法、装置、服务器及存储介质
CN114253870A (zh) 一种更新l2p表的方法、系统、设备以及介质
CN112181288B (zh) 一种非易失性存储介质的数据处理方法和计算机存储介质
CN109101191A (zh) 数据存储方法、装置和存储介质以及电子设备
CN111367474B (zh) 面向嵌入式存储器的fat文件系统后分配方法及系统
CN111490972A (zh) 一种表项管理方法、装置、设备及机器可读存储介质
CN113296971A (zh) 消息队列的扩容、缩容、处理方法、装置及设备
CN109325149A (zh) Xml报文检索方法及装置
CN112068948A (zh) 数据散列方法、可读存储介质和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant