CN114422178B - 一种基于访问控制列表的统计结果上报方法、设备及介质 - Google Patents

一种基于访问控制列表的统计结果上报方法、设备及介质 Download PDF

Info

Publication number
CN114422178B
CN114422178B CN202111506434.5A CN202111506434A CN114422178B CN 114422178 B CN114422178 B CN 114422178B CN 202111506434 A CN202111506434 A CN 202111506434A CN 114422178 B CN114422178 B CN 114422178B
Authority
CN
China
Prior art keywords
acl
sub
reporting period
current
statistical result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111506434.5A
Other languages
English (en)
Other versions
CN114422178A (zh
Inventor
李志斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruijie Networks Co Ltd
Original Assignee
Ruijie Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ruijie Networks Co Ltd filed Critical Ruijie Networks Co Ltd
Priority to CN202111506434.5A priority Critical patent/CN114422178B/zh
Publication of CN114422178A publication Critical patent/CN114422178A/zh
Application granted granted Critical
Publication of CN114422178B publication Critical patent/CN114422178B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及通信技术领域,公开了一种基于访问控制列表的统计结果上报方法、设备及介质。该方法包括:在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数;在当前子上报周期到期后,获取至少一个ACL中的各个第一选定ACL的第一统计结果和至少一个ACL中的各个第二选定ACL在当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,各个第一选定ACL包括的规则的数量小于第一设定值,各个第二选定ACL包括的规则的数量大于或等于第一设定值,各个第二选定ACL包括设定个数的子选定ACL;将获取的各个第一统计结果和各个第二统计结果上报给CPU。

Description

一种基于访问控制列表的统计结果上报方法、设备及介质
技术领域
本发明涉及通信技术领域,尤其涉及一种基于访问控制列表的统计结果上报方法、设备及介质。
背景技术
在通信技术领域中,交换机、路由器等是必不可少的网络设备。在网络通信的过程中,为了提高数据传输的安全性,通常由网络设备中的各个线卡基于至少一个访问控制列表(Access Control Lists,ACL)列表检查转发的报文的合法性,并统计ACL列表中各个规则在一个上报周期内命中的报文的个数,得到在一个上报周期内ACL列表中各个规则对应的统计结果,然后在上报时将所有的统计结果一次性上报给网络设备的中央处理器(Central Processing Unit,CPU)。
然而由于各个ACL列表可能会包括大量的规则,相应地得到的统计结果会非常多。当线卡一次性将一个上报周期内全部的统计结果上报至CPU时,会大量占用CPU资源,严重影响CPU处理其他业务的性能。目前是通过增大上报周期的方式来解决上述问题,但效果不是很明显,无法解决上述问题。鉴于此,当访问控制列表中包含的规则较多时,如何避免上传统计结果导致CPU性能下降成为一个亟待解决的技术问题。
发明内容
本发明提供一种基于访问控制列表的统计结果上报方法、设备及介质,用以解决现有技术中当访问控制列表中包含的规则较多时,上传统计结果导致CPU性能下降的问题。
本发明第一方面提供了一种基于访问控制列表的统计结果上报方法,应用于网络设备包括的各个线卡中,所述网络设备还包括中央处理器CPU,所述基于访问控制列表的统计结果上报方法包括:
在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数;
在所述当前子上报周期到期后,获取所述至少一个ACL中的各个第一选定ACL的第一统计结果和所述至少一个ACL中的各个第二选定ACL在所述当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,各个第一选定ACL包括的规则的数量小于第一设定值,各个第二选定ACL包括的规则的数量大于或等于所述第一设定值,各个第二选定ACL包括设定个数的子选定ACL;
将获取的各个第一统计结果和各个第二统计结果上报给所述CPU。
可选的,在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数之前,包括:
接收所述CPU下发携带第一设定值的配置参数;
分别比较所述至少一个ACL的规则的数量与所述第一设定值的大小;
将规则的数量小于所述第一设定值的ACL确定为第一选定ACL,将规则的数量大于或等于所述第一设定值的ACL确定为第二选定ACL。
可选的,在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数,包括:
统计所述当前子周期内,线卡的至少一个ACL中的各个第一选定ACL中的每个规则的被命中次数,将获得的第一统计结果写入第一缓存区中;以及,
统计所述当前子周期内,线卡的至少一个ACL中的各个第二选定ACL中的每个规则的被命中次数,将获得的各个第二统计结果写入各个第二选定ACL对应的第二缓存区中。
可选的,若各个第二选定ACL对应的第二缓存区包括各个第二选定ACL的各个子选定ACL对应的子缓存区,则将获得的各个第二统计结果写入各个第二选定ACL对应的第二缓存区中,包括:
将各个第二选定ACL的各个子选定ACL中的每个规则的被命中次数写入各个子选定ACL对应的子缓存区中。
可选的,所述当前子上报周期到期后,获取所述至少一个ACL中的各个第一选定ACL的第一统计结果和所述至少一个ACL中的各个第二选定ACL在所述当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,包括:
从所述第一缓存区中读取各个第一选定ACL在所述当前子上报周期的第一统计结果;
在各个第二选定ACL对应的第二缓存区中读取在所述当前上报周期尚未上报统计结果的一个子选定ACL对应的子缓存区的第二统计结果。
第二方面,本申请实施例提供了一种基于访问控制列表的统计结果上报装置,应用于网络设备包括的各个线卡中,所述网络设备中还包括CPU,所述装置包括:
统计模块,用于在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数;
读取模块,用于在所述当前子上报周期到期后,获取所述至少一个ACL中的各个第一选定ACL的第一统计结果和所述至少一个ACL中的各个第二选定ACL在所述当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,各个第一选定ACL包括的规则的数量小于第一设定值,各个第二选定ACL包括的规则的数量大于或等于所述第一设定值,各个第二选定ACL包括设定个数的子选定ACL;
上报模块,用于将获取的各个第一统计结果和各个第二统计结果上报给所述CPU。
可选的,所述统计模块用于:
接收所述CPU下发携带第一设定值的配置参数;
分别比较所述至少一个ACL的规则的数量与所述第一设定值的大小;
将规则的数量小于所述第一设定值的ACL确定为第一选定ACL,将规则的数量大于或等于所述第一设定值的ACL确定为第二选定ACL。
可选的,所述统计模块,用于:
统计所述当前子周期内,线卡的至少一个ACL中的各个第一选定ACL中的每个规则的被命中次数,将获得的第一统计结果写入第一缓存区中;以及,
统计所述当前子周期内,线卡的至少一个ACL中的各个第二选定ACL中的每个规则的被命中次数,将获得的各个第二统计结果写入各个第二选定ACL对应的第二缓存区中。
可选的,所述统计模块,用于:
将各个第二选定ACL的各个子选定ACL中的每个规则的被命中次数写入各个子选定ACL对应的子缓存区中。
可选的,所述读取模块,用于:
从所述第一缓存区中读取各个第一选定ACL在所述当前子上报周期的第一统计结果;
在各个第二选定ACL对应的第二缓存区中读取在所述当前上报周期尚未上报统计结果的一个子选定ACL对应的子缓存区的第二统计结果。
第三方面,本申请实施例提供了一种网络设备,包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令执行如第一方面中所述的方法。
第四方面,本申请实施例提供了一种计算机存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如第一方面所述的方法。
在本发明实施例中的技术方案具有如下有益效果:线卡在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数;在当前子上报周期到期后,获取至少一个ACL中的各个第一选定ACL的第一统计结果和至少一个ACL中的各个第二选定ACL在当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,各个第一选定ACL包括的规则的数量小于第一设定值,各个第二选定ACL包括的规则的数量大于或等于第一设定值,各个第二选定ACL包括设定个数的子选定ACL;将获取的各个第一统计结果和各个第二统计结果上报给CPU。这样就不必像现有技术中那样一次上报所有统计结果,从而能够让网络传输设备的CPU在其处理能力范围内对上报过程进行处理,提高网络传输设备中CPU的处理性能。
附图说明
图1是本申请实施例提供的一种基于访问控制列表的统计结果上报方法的流程图;
图2为本发明实施例提供的一种网络设备的结构示意图;
图3为本发明实施例提供的一种线卡存储ACL对应的统计结果的示意图;
图4为本发明实施例提供的一种线卡上报ACL的统计结果的示意图;
图5为本发明实施例提供的一种基于访问控制列表的统计结果上报装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
现有技术中采用定时周期上报命中统计数据的方式,在网络传输设备的CPU出现性能瓶颈后,通过适当增加上报周期来增加CPU的处理时长,可以解决部分CPU性能处理问题。但是随着匹配项统计的增加,CPU处理会出现长时间等待,仍然不能彻底解决性能问题。针对该问题现有技术中采用的解决方案,主要分为短周期处理和长周期处理:
短周期定时上报统计数据是将全部统计数据在短时间内一次性完成上报。对于小容量ACL使用上述短周期处理的方式,可以实时的更新命中统计数据;但是对于大容量的ACL,使用此方式时,则需要占用较长的CPU处理时间,从而导致CPU的占用率迅速增高,引起其它业务的滞后、缓慢、卡顿现象,最终导致CPU处理性能下降。
长周期定时上报统计数据是将全部统计数据在长时间内一次性上送完毕。这种处理方式对于小容量的ACL基本不会产生影响,但对于大容量的ACL而言,其原理是让线程腾出更长时间处理大容量的ACL的统计数据,本质上是增加CPU占用时间来处理大量统计数据,避免引起数据积压问题。这种方式增加了CPU处理统计数据的时长,其并没有根本上解决CPU处理性能问题,同样需要CPU处理完才能释放资源,CPU卡顿和时延的现象依然存在。
由此可见,不管使用上述哪种方式上报统计数据,都会占用CPU进程、造成CPU性能下降。为此,本发明提供一种基于访问控制列表的统计结果上报方法、设备及介质,用以解决现有技术中当命中的策略规则较多时,上传统计结果导致CPU性能下降,出现延迟、滞后和卡顿的问题。
下面结合说明书附图介绍本申请实施例提供的技术方案。
请参见图1,本发明提供了一种基于访问控制列表的统计结果上报方法,应用于网络设备包括的各个线卡中,网络设备还包括CPU,该方法的具体流程描述如下:
S101、在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数。
S102、在当前子上报周期到期后,获取至少一个ACL中的各个第一选定ACL的第一统计结果和至少一个ACL中的各个第二选定ACL在当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,各个第一选定ACL包括的规则的数量小于第一设定值,各个第二选定ACL包括的规则的数量大于或等于第一设定值,各个第二选定ACL包括设定个数的子选定ACL。
S103、将获取的各个第一统计结果和各个第二统计结果上报给CPU。
其中在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数之前,包括:
接收CPU下发携带第一设定值的配置参数;
分别比较至少一个ACL的规则的数量与第一设定值的大小;
将规则的数量小于第一设定值的ACL确定为第一选定ACL,将规则的数量大于或等于第一设定值的ACL确定为第二选定ACL。
网络设备可以是交换机、路由器等,例如可以是局域网交换机、核心路由器等。其中包括有数据流通过的端口、配置有ACL的线卡、接收统计结果的上层业务,上层业务运行在网络设备的CPU上,请参见图2,图2是本发明实施例提供的一种网络设备的结构示意图。图2中以网络设备为路由器为例,此路由器包括多个传输端口(简称端口)、设置有多个ACL的线卡和运行有上层业务的CPU。
例如,假设线卡中包括五个ACL,其中ACL1、ACL2、ACL3和ACL4中的规则数量均为4K,ACL5中的规则数量为20K。
CPU首先向线卡发送第一设定值为5K的配置参数,线卡将所有的ACL中的规则数量和第一设定值进行比较,确定ACL1、ACL2、ACL3和ACL4为第一选定ACL,ACL5为第二选定ACL。
然后,线卡统计在当前上报周期的当前子上报周期中,各个ACL中每个规则被命中的次数。在当前子上报周期到期时,分别将ACL1、ACL2、ACL3和ACL4中规则被命中的次数作为ACL1、ACL2、ACL3和ACL4各自对应的第一统计结果;将ACL5中一个在当前上报周期中未上报统计结果的子选定ACL中规则的被命中次数作为ACL5对应的第二统计结果。将ACL1对应的第一统计结果、ACL2对应的第一统计结果、ACL3对应的第一统计结果、ACL4对应的第一统计结果和ACL5对应的第二统计结果上报给CPU。
在本发明提供的实施例中,线卡在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数;在当前子上报周期到期后,获取至少一个ACL中的各个第一选定ACL的第一统计结果和至少一个ACL中的各个第二选定ACL在当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,各个第一选定ACL包括的规则的数量小于第一设定值,各个第二选定ACL包括的规则的数量大于或等于第一设定值,各个第二选定ACL包括设定个数的子选定ACL;将获取的各个第一统计结果和各个第二统计结果上报给CPU。这样就不必像现有技术中那样一次上报所有统计结果,从而能够让网络传输设备的CPU在其处理能力范围内对上报过程进行处理,提高网络传输设备中CPU的处理性能。
一种可能的实施方式,在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数,包括:
统计当前子周期内,线卡的至少一个ACL中的各个第一选定ACL中的每个规则的被命中次数,将获得的第一统计结果写入第一缓存区中;以及,
统计当前子周期内,线卡的至少一个ACL中的各个第二选定ACL中的每个规则的被命中次数,将获得的各个第二统计结果写入各个第二选定ACL对应的第二缓存区中。
其中,若各个第二选定ACL对应的第二缓存区包括各个第二选定ACL的各个子选定ACL对应的子缓存区,则将获得的各个第二统计结果写入各个第二选定ACL对应的第二缓存区中,包括:
将各个第二选定ACL的各个子选定ACL中的每个规则的被命中次数写入各个子选定ACL对应的子缓存区中。
例如,请参见图3,图3为本发明实施例提供的一种线卡存储ACL对应的统计结果的示意图。其中,线卡中包括五个ACL,其中ACL1、ACL2、ACL3和ACL4中为第一选定ACL;ACL5为第二选定ACL,ACL5中包括4个子选定ACL,分别为ACL5a、ACL5b、ACL5c和ACL5d。
线卡统计当前子周期内,ACL1、ACL2、ACL3和ACL4中每个规则的被命中的次数,将得到的第一统计结果存入第一缓存区中。
线卡统计当前子周期内,ACL5中每个规则的被命中次数,并按照ACL5中设定的4个子选定ACL,分别将ACL5a、ACL5b、ACL5c和ACL5d中的规则的被命中次数,存入ACL5对应的第二缓存区中ACL5a、ACL5b、ACL5c和ACL5d各自对应的子缓存区中。
在实际应用中,第二选定ACL中子选定ACL的个数,可以根据CPU的性能和一个上报周期中划分的子上报周期的数量由用户进行自行调整。例如,当用户一个上报周期中划分的子上报周期的数量为5个,则第二选定ACL中子选定ACL的个数可以设置为5个,以保证当子上报周期结束时,完成第二选定ACL对应的统计结果的上报。又例如,当CPU性能限制,一个子上报周期最多能处理第二选定ACL中三分之一的ACL中的规则对应的统计结果,则可以将子选定ACL设置为大于等于3个,以保证每次上报的统计结果不会超出CPU的性能限制。
在本发明提供的实施例中,线卡对第一选定ACL和第二选定ACL分别分配不同的缓存区保存对应的统计结果,保证了各业务的统计结果相互独立,不存在查询干扰。
一种可能的实施方式,当前子上报周期到期后,获取至少一个ACL中的各个第一选定ACL的第一统计结果和至少一个ACL中的各个第二选定ACL在当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,包括:
从第一缓存区中读取各个第一选定ACL在当前子上报周期的第一统计结果;在各个第二选定ACL对应的第二缓存区中读取在当前上报周期尚未上报统计结果的一个子选定ACL对应的子缓存区的第二统计结果。
例如,请参见图4,图4为本发明实施例提供的一种线卡上报ACL的统计结果的示意图,假设一个上报周期内包含4个子上报周期,线卡中包含ACL1、ACL2、ACL3、ACL4和ACL5共5个ACL,其中ACL1、ACL2、ACL3和ACL4中规则的大小为4K,是第一选定ACL,对应的第一统计结果存储在第一缓存区中。ACL5中规则的大小为20K,是第二选定ACL,对应的第二统计结果存储在第二缓存区中,ACL5中包括4个规则大小为5K的子选定ACL,在第二缓存区对应有4个子缓存区。
在第一个子上报周期到期后,线卡从第一缓存区中获取ACL1、ACL2、ACL3和ACL4各自对应的第一统计结果;在ACL5的子选定ACL5a对应的子缓存区中获取第二统计结果。
在第二个子上报周期到期后,线卡从第一缓存区中获取ACL1、ACL2、ACL3和ACL4各自对应的第一统计结果,在ACL5的子选定ACL5b对应的子缓存区中获取第二统计结果。
在第三个子上报周期到期后,线卡从第一缓存区中获取ACL1、ACL2、ACL3和ACL4各自对应的第一统计结果,在ACL5的子选定ACL5c对应的子缓存区中获取第二统计结果。
在第4个子上报周期到期后,线卡从第一缓存区中获取ACL1、ACL2、ACL3和ACL4各自对应的第一统计结果,在ACL5的子选定ACL5d对应的子缓存区中获取第二统计结果。此时,一个上报周期结束,ACL1、ACL2、ACL3、ACL4和ACL5对应的全部统计结果也均上报完毕。
在4个子上报周期中,线卡向CPU上报了统计结果的规则大小一致,均为ACL1、ACL2、ACL3和ACL4各自对应的4K,和ACL5中一个子选定ACL对应的5K,每次上报了统计结果的规则大小共计21K,有效降低了每次CPU需要处理的统计结果的规则大小,同时在一个上报周期中,ACL1、ACL2、ACL3、ACL4和ACL5中全部的规则均至少上报了一次统计结果,保证了CPU获取统计结果的实时性。
基于同一发明构思,本申请提供一种基于访问控制列表的统计结果上报装置,参见图5,该基于访问控制列表的统计结果上报装置包括:
统计模块501,用于在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数;
读取模块502,用于在所述当前子上报周期到期后,获取所述至少一个ACL中的各个第一选定ACL的第一统计结果和所述至少一个ACL中的各个第二选定ACL在所述当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,各个第一选定ACL包括的规则的数量小于第一设定值,各个第二选定ACL包括的规则的数量大于或等于所述第一设定值,各个第二选定ACL包括设定个数的子选定ACL;
上报模块503,用于将获取的各个第一统计结果和各个第二统计结果上报给CPU。
一种可能的实施方式,统计模块501,用于:
接收CPU下发携带第一设定值的配置参数;分别比较至少一个ACL的规则的数量与第一设定值的大小;将规则的数量小于第一设定值的ACL确定为第一选定ACL,将规则的数量大于或等于第一设定值的ACL确定为第二选定ACL。
一种可能的实施方式,统计模块501,用于:
统计当前子周期内,线卡的至少一个ACL中的各个第一选定ACL中的每个规则的被命中次数,将获得的第一统计结果写入第一缓存区中;以及,统计当前子周期内,线卡的至少一个ACL中的各个第二选定ACL中的每个规则的被命中次数,将获得的各个第二统计结果写入各个第二选定ACL对应的第二缓存区中。
一种可能的实施方式,统计模块501,用于:
将各个第二选定ACL的各个子选定ACL中的每个规则的被命中次数写入各个子选定ACL对应的子缓存区中。
一种可能的实施方式,读取模块502,用于:
从第一缓存区中读取各个第一选定ACL在当前子上报周期的第一统计结果;在各个第二选定ACL对应的第二缓存区中读取在当前上报周期尚未上报统计结果的一个子选定ACL对应的子缓存区的第二统计结果。
基于同一发明构思,本发明一实施例提供一种网络设备,该网络设备可以是个人电脑等电子设备,该应用设备可以包括:至少一个处理器,处理器用于执行存储器中存储的计算机程序时实现本申请实施例提供的如上的基于访问控制列表的统计结果上报方法的步骤。
可选的,处理器具体可以是中央处理器、特定应用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC),可以是一个或多个用于控制程序执行的集成电路。
可选的,该应用测试设备还包括与至少一个处理器连接的存储器,存储器可以包括只读存储器(英文:Read Only Memory,简称:ROM)、随机存取存储器(英文:RandomAccess Memory,简称:RAM)和磁盘存储器。存储器用于存储处理器运行时所需的数据,即存储有可被至少一个处理器执行的指令,至少一个处理器通过执行存储器存储的指令,执行如图1所示的方法。其中,存储器的数量为一个或多个。
本申请实施例还提供一种计算机存储介质,其中,计算机存储介质存储有计算机指令,当计算机指令在计算机上运行时,使得计算机执行如上的基于访问控制列表的统计结果上报方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种基于访问控制列表的统计结果上报方法,应用于网络设备包括的各个线卡中,所述网络设备还包括中央处理器CPU,其特征在于,所述方法包括:
在当前上报周期的当前子上报周期内,统计线卡的至少一个访问控制列表ACL的每个ACL中的每个规则的被命中次数;
在所述当前子上报周期到期后,获取所述至少一个ACL中的各个第一选定ACL的第一统计结果和所述至少一个ACL中的各个第二选定ACL在所述当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,各个第一选定ACL包括的规则的数量小于第一设定值,各个第二选定ACL包括的规则的数量大于或等于所述第一设定值,各个第二选定ACL包括设定个数的子选定ACL;
将获取的各个第一统计结果和各个第二统计结果上报给所述CPU。
2.如权利要求1所述的方法,其特征在于,在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数之前,包括:
接收所述CPU下发携带第一设定值的配置参数;
分别比较所述至少一个ACL的规则的数量与所述第一设定值的大小;
将规则的数量小于所述第一设定值的ACL确定为第一选定ACL,将规则的数量大于或等于所述第一设定值的ACL确定为第二选定ACL。
3.如权利要求1或2所述的方法,其特征在于,在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数,包括:
统计所述当前子上报周期内,线卡的至少一个ACL中的各个第一选定ACL中的每个规则的被命中次数,将获得的第一统计结果写入第一缓存区中;以及,
统计所述当前子上报周期内,线卡的至少一个ACL中的各个第二选定ACL中的每个规则的被命中次数,将获得的各个第二统计结果写入各个第二选定ACL对应的第二缓存区中。
4.如权利要求3所述的方法,其特征在于,若各个第二选定ACL对应的第二缓存区包括各个第二选定ACL的各个子选定ACL对应的子缓存区,则将获得的各个第二统计结果写入各个第二选定ACL对应的第二缓存区中,包括:
将各个第二选定ACL的各个子选定ACL中的每个规则的被命中次数写入各个子选定ACL对应的子缓存区中。
5.如权利要求4所述的方法,其特征在于,所述当前子上报周期到期后,获取所述至少一个ACL中的各个第一选定ACL的第一统计结果和所述至少一个ACL中的各个第二选定ACL在所述当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,包括:
从所述第一缓存区中读取各个第一选定ACL在所述当前子上报周期的第一统计结果;
在各个第二选定ACL对应的第二缓存区中读取在所述当前上报周期尚未上报统计结果的一个子选定ACL对应的子缓存区的第二统计结果。
6.一种基于访问控制列表的统计结果上报装置,应用于网络设备包括的各个线卡中,所述网络设备中还包括CPU,其特征在于,所述装置包括:
统计模块,用于在当前上报周期的当前子上报周期内,统计线卡的至少一个ACL的每个ACL中的每个规则的被命中次数;
读取模块,用于在所述当前子上报周期到期后,获取所述至少一个ACL中的各个第一选定ACL的第一统计结果和所述至少一个ACL中的各个第二选定ACL在所述当前上报周期尚未上报统计结果的子选定ACL的第二统计结果,各个第一选定ACL包括的规则的数量小于第一设定值,各个第二选定ACL包括的规则的数量大于或等于所述第一设定值,各个第二选定ACL包括设定个数的子选定ACL;
上报模块,用于将获取的各个第一统计结果和各个第二统计结果上报给所述CPU。
7.如权利要求6所述的基于访问控制列表的统计结果上报装置,其特征在于,所述统计模块用于:
统计所述当前子上报周期内,线卡的至少一个ACL中的各个第一选定ACL中的每个规则的被命中次数,将获得的第一统计结果写入第一缓存区中;以及,
统计所述当前子上报周期内,线卡的至少一个ACL中的各个第二选定ACL中的每个规则的被命中次数,将获得的各个第二统计结果写入各个第二选定ACL对应的第二缓存区中。
8.如权利要求7所述的基于访问控制列表的统计结果上报装置,其特征在于,所述读取模块用于:
从所述第一缓存区中读取各个第一选定ACL在所述当前子上报周期的第一统计结果;
在各个第二选定ACL对应的第二缓存区中读取在所述当前上报周期尚未上报统计结果的一个子选定ACL对应的子缓存区的第二统计结果。
9.一种网络设备,其特征在于,包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令执行权利要求1-5中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如权利要求1-5中任一项所述的方法。
CN202111506434.5A 2021-12-10 2021-12-10 一种基于访问控制列表的统计结果上报方法、设备及介质 Active CN114422178B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111506434.5A CN114422178B (zh) 2021-12-10 2021-12-10 一种基于访问控制列表的统计结果上报方法、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111506434.5A CN114422178B (zh) 2021-12-10 2021-12-10 一种基于访问控制列表的统计结果上报方法、设备及介质

Publications (2)

Publication Number Publication Date
CN114422178A CN114422178A (zh) 2022-04-29
CN114422178B true CN114422178B (zh) 2024-04-16

Family

ID=81265288

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111506434.5A Active CN114422178B (zh) 2021-12-10 2021-12-10 一种基于访问控制列表的统计结果上报方法、设备及介质

Country Status (1)

Country Link
CN (1) CN114422178B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117353960A (zh) * 2022-06-29 2024-01-05 中兴通讯股份有限公司 Acl规则处理方法、装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7133914B1 (en) * 2001-10-31 2006-11-07 Cisco Technology, Inc. Statistics-preserving ACL flattening system and method
CN106131083A (zh) * 2016-08-30 2016-11-16 迈普通信技术股份有限公司 一种攻击报文检测和防范的方法及交换机
CN106302306A (zh) * 2015-05-11 2017-01-04 中兴通讯股份有限公司 一种基于访问控制列表acl的流量统计方法及装置
CN107154867A (zh) * 2017-04-24 2017-09-12 北京星网锐捷网络技术有限公司 网络故障检测方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140379915A1 (en) * 2013-06-19 2014-12-25 Cisco Technology, Inc. Cloud based dynamic access control list management architecture
JP2022515990A (ja) * 2018-12-10 2022-02-24 ドライブネッツ リミテッド 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7133914B1 (en) * 2001-10-31 2006-11-07 Cisco Technology, Inc. Statistics-preserving ACL flattening system and method
CN106302306A (zh) * 2015-05-11 2017-01-04 中兴通讯股份有限公司 一种基于访问控制列表acl的流量统计方法及装置
CN106131083A (zh) * 2016-08-30 2016-11-16 迈普通信技术股份有限公司 一种攻击报文检测和防范的方法及交换机
CN107154867A (zh) * 2017-04-24 2017-09-12 北京星网锐捷网络技术有限公司 网络故障检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IPv4/IPv6路由器低功耗TCAM查表算法研究;任旭明;中国优秀硕士学位论文全文数据库 (信息科技辑);20131115;I137-41 *

Also Published As

Publication number Publication date
CN114422178A (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
CN102769549B (zh) 网络安全监控的方法和装置
CN110401720B (zh) 信息处理方法、装置、系统、应用服务器和介质
CN111488135A (zh) 高并发系统的限流方法、装置、存储介质及设备
CN103178989B (zh) 访问热度统计方法及装置
CN114422178B (zh) 一种基于访问控制列表的统计结果上报方法、设备及介质
US8725873B1 (en) Multi-server round robin arbiter
CN112866136B (zh) 业务数据处理方法和装置
CN109660468B (zh) 一种端口拥塞管理方法、装置和设备
CN106790299B (zh) 一种在无线接入点ap上应用的无线攻击防御方法和装置
CN104243348B (zh) 一种数据处理方法和装置
CN111522786A (zh) 日志处理系统及方法
CN106603256A (zh) 一种流量控制方法及装置
WO2021197128A1 (zh) 流量限速方法及装置
US20230131524A1 (en) Data sampling method for a network device, device, and medium
CN116633875A (zh) 一种多业务耦合并发通信的时间保序调度方法
CN110990148A (zh) 一种存储性能优化的方法、设备及介质
CN106934015A (zh) 地址数据处理方法和装置
CN111131066A (zh) 一种流量整形方法及装置
CN107589907A (zh) 数据处理方法、电子设备及计算机可读存储介质
CN110908798B (zh) 多进程协同式网络流量解析方法及装置
CN108304252B (zh) 一种任务调度方法及装置
CN113645156A (zh) 交换机sai层消息队列调节方法、系统、终端及存储介质
CN114428685A (zh) 一种数据处理的方法、装置、设备及计算机存储介质
CN112269947A (zh) 空间文本数据的缓存方法、装置、电子设备及存储介质
US10606751B2 (en) Techniques for cache delivery

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant