WO2016091027A1

WO2016091027A1 - 一种网络地址转换与访问控制列表规则聚合方法和装置

Info

Publication number: WO2016091027A1
Application number: PCT/CN2015/093207
Authority: WO
Inventors: 魏巍
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-12-12
Filing date: 2015-10-29
Publication date: 2016-06-16
Also published as: CN105744010A

Abstract

本文公布一种网络地址转换(NAT)与访问控制列表(ACL)规则聚合方法和装置，所述方法包括：根据NAT规则表建立第一规则表；将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。

Description

一种网络地址转换与访问控制列表规则聚合方法和装置

技术领域

本申请涉及但不限于数据通信技术。

背景技术

网络地址转换(NAT，Network Address Translation)应用于内部主机访问外部网络时，将本地主机的IP地址转换成外网IP地址，进行网络访问。通过NAT可以使用少量的公有IP地址代表较多的私有IP地址，从而有效缓解可用IP地址空间枯竭的问题。

访问控制列表(ACL，Access Control List)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL中包含了匹配关系、条件和查询语句，是一个框架结构，其目的是为了对某种访问进行控制。

NAT在进行动态地址转换时，需要先通过ACL规则进行匹配，将匹配到的报文再进行NAT地址转换。

相关技术中的设备在进行报文转发时，如果报文同时需要进行NAT和ACL，大多采用的是顺序匹配方法，即：执行完ACL再进行NAT，或执行完NAT再执行ACL，这就需要进行两次处理，涉及查询两张表格并进行两次命中，报文转发所需要的时间成本较高。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供一种网络地址转换与访问控制列表规则聚合方法和装置，能够减小后续报文转发时的查询和命中次数，提升报文转发性能，降低转发成本。

一种网络地址转换NAT与访问控制列表ACL规则聚合方法，所述方法包括：

根据NAT规则表建立第一规则表；

将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；

将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。

可选地，所述根据NAT规则表建立第一规则表包括：将所述NAT规则表中的每个规则分别复制到第一规则表中。

可选地，所述将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表包括：

选取当前第一规则表中的第一条规则，先与ACL规则表中的第一条规则进行比较；

当所述选取的第一规则表中的规则全部包含在所述ACL规则中时，删除所述选取的第一规则表中的规则，并重新选取第一规则表中的下一条规则与ACL规则表中的规则进行比较；

当所述选取的第一规则表中的规则部分包含在ACL规则中时，将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分，并与ACL规则表中的下一条规则进行比较；

当所述选取的第一规则表中的规则不包含在ACL规则表中时，将所述选取的第一规则表中的规则与ACL规则表中的下一条规则进行比较。

可选地，所述方法还包括：判断ACL规则表的允许状态；相应地，当所述ACL规则表为允许的时，

在所述选取的第一规则表中的规则全部包含在所述ACL规则中的情况下，所述方法还包括：将所述选取的第一规则表中的规则写入第二规则表；

在所述选取的第一规则表中的规则部分包含在ACL规则中的情况下，所述方法还包括：将所述选取的第一规则表中的规则中包含在ACL规则中的部分写入第二规则表。

可选地，当所述用于比较的ACL规则为所述ACL规则表中的最后一条规则时，所述选取的第一规则表中的规则全部包含在当前ACL规则中。

一种网络地址转换与访问控制列表规则聚合装置，所述装置包括：第一规则表建立模块、规则比较模块、规则聚合模块；其中，

所述第一规则表建立模块，设置为：根据NAT规则表建立第一规则表；

所述规则比较模块，设置为：将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；

所述规则聚合模块，设置为：将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。

可选地，所述第一规则表建立模块是设置为：将所述NAT规则表中的每个规则分别复制到第一规则表中。

可选地，所述规则比较模块是设置为：选取当前第一规则表中的第一条规则，先与ACL规则表中的第一条规则进行比较；

可选地，所述规则比较模块还设置为：判断ACL规则表的允许状态；相应地，当所述ACL规则表为允许的时，

可选地，所述规则比较模块还设置为：当所述用于比较的ACL规则为所述ACL规则表中的最后一条规则时，所述选取的第一规则表中的规则全部包含在当前ACL规则中。

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述任一项的方法。

本发明实施例所提供的NAT与ACL规则聚合方法和装置，先根据NAT规则表建立第一规则表；然后将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；之后将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。如此，能够在后续的报文转发过程中，只查询一次NAT与ACL规则聚合表进行一次命中，就可以完成包过滤和地址转换，从而节省报文转发时处理的时间，提升报文转发的性能，降低报文转发的时间成本。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为本发明实施例一NAT与ACL规则聚合方法流程示意图；

图2为本发明实施例二NAT与ACL规则聚合方法流程示意图；

图3为本发明实施例选取的第一规则表中的规则更新方法流程示意图；

图4为本发明实施例NAT与ACL规则聚合装置结构示意图。

本发明的实施方式

本发明实施例中，先根据NAT规则表建立第一规则表；然后将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；之后将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。

这里，所述根据NAT规则表建立第一规则表包括：将所述NAT规则表中的每个规则分别复制到第一规则表中；其中，所述第一规则表为临时规则表，由于建立NAT与ACL规则聚合表的过程中需要对NAT规则进行修改、删除等操作，而NAT规则表不具备可更改性，因此，需要将所述NAT规则表中的每个规则分别复制到第一规则表中，以便在比较的过程中能对NAT规则表中的规则进行更改。

所述第二规则表同样为临时规则表，用于记录所述第一规则表中的规则与ACL规则表比较后输出的结果。本发明实施例中，所述第一规则表为临时NAT比较前规则表，所述第二规则表为临时NAT比较后规则表。

下面结合附图对本发明的实施方式进行描述。图1为本发明实施例一NAT与ACL规则聚合方法流程示意图，如图1所示，本发明实施例NAT与ACL规则聚合方法包括以下步骤：

步骤101：根据NAT规则表建立第一规则表；

本发明实施例中，所述根据NAT规则表建立第一规则表包括：将所述NAT规则表中的每个规则分别复制到第一规则表中。

步骤102：将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；

本发明实施例中，所述将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表包括：

A：选取当前第一规则表中的第一条规则，先与ACL规则表中的第一条规则进行比较；

B1：当所述选取的第一规则表中的规则全部包含在所述ACL规则中时，进一步判断ACL规则表的允许状态，当所述ACL规则表状态为允许(permit)时，将所述选取的第一规则表中的规则写入第二规则表尾部，并删除所述选取的第一规则表中的规则；当所述ACL规则表状态为拒绝(deny)时，直接删除所述选取的第一规则表中的规则；之后，重新选取第一规则表中的下一条规则与ACL规则表中的规则进行比较；

B2：当所述选取的第一规则表中的规则部分包含在ACL规则中时，进一步判断ACL规则表的允许状态，当所述ACL规则表状态为允许(permit)时，将所述选取的第一规则表中的规则中包含在ACL规则中的部分写入第二规则表尾部，用所述选取的第一规则表中的规则中不包含在ACL规则表中的部分替换所述选取的第一规则表中的规则，即将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分；当所述ACL规则表状态为拒绝(deny)时，直接将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分；之后，将当前选取的第一规则表中的规则与ACL规则表中的下一条规则进行比较；

这里，将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分包括：

拆分选取的第一规则表中的规则，将所述规则拆分为：包含在ACL规则表中的部分和不包含在ACL规则表中的部分；

这里，不包含在ACL规则表中的部分有可能为网段地址、子网地址或主机地址；当所述不包含在ACL规则表中的部分为子网地址或主机地址时，直接用所述不包含在ACL规则表中的部分替换当前选取的第一规则表中的规则，该流程结束。

当所述不包含在ACL规则表中的部分为网段地址时，则逐个拆分所述网段地址，将拆分出的子网地址插入到当前选取的第一规则表中的规则后面，拆分出的网段地址替换拆分前的网段地址，继续进行拆分，如此循环，直至网段地址均拆分成子网地址或单个主机地址、并插入到当前选取的第一规则表中的规则后面为止，该流程结束。

B3：当所述选取的第一规则表中的规则不包含在ACL规则表中时，将所述选取的第一规则表中的规则与ACL规则表中的下一条规则进行比较。

这里，当所述用于比较的ACL规则为所述ACL规则表中的最后一条规则时，则认为所述选取的第一规则表中的规则全部包含在当前ACL规则中，并执行步骤B1。

步骤103：将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。

这里，是将所述ACL规则表与第二规则表按照顺序进行合并，生成NAT与ACL规则聚合表。其中，按照先后顺序，首先将第二规则表拷贝到 NAT与ACL规则聚合表中，然后再将ACL规则表拷贝到NAT与ACL规则聚合表中；在后续报文转发过程中，查询NAT与ACL规则聚合表时，按照上述先后顺序进行查询命中。

图2为本发明实施例二NAT与ACL规则聚合方法流程示意图，如图2所示，本发明实施例NAT与ACL规则聚合方法包括以下步骤：

步骤201：将所述NAT规则表中的每个规则复制到第一规则表中；

步骤202：遍历所述第一规则表，判断所述第一规则表是否为空；当所述第一规则表为空时，执行步骤213，否则，执行步骤203；

步骤203：从所述第一规则表中选取一条规则；

本步骤中，可以从第一规则表中选取当前排序在最前的第一条规则，之后依次选取每一条，也可以每次从所述第一规则表中任意选取一条规则，只要保证每条规则都选取到并进行比较即可。

步骤204：判断ACL规则表中是否还有未与步骤203中选取的规则进行比较的下一条规则；如果ACL规则表还有未进行比较的下一条规则，则执行步骤205；否则，返回步骤202；

当ACL规则表不存在未进行比较的规则，则说明ACL规则表已遍历完成，即步骤203中选取的规则与ACL规则表中的所有规则都比较完成。

步骤205：将所述选取的第一规则表中的规则与ACL规则表中的下一条规则进行比较；

步骤206：判断所述选取的第一规则表中的规则是否包含在所述ACL规则表中的这一条规则中；当所述选取的第一规则表中的规则全部包含在当前ACL规则表中的这一条规则中时，执行步骤207；当所述选取的第一规则表中的规则部分包含在当前ACL规则表中的这一条规则中时，执行步骤210；当所述选取的第一规则表中的规则不包含在当前ACL规则表中的这一条规则中时，返回步骤204；

这里，当所述用于比较的ACL规则为所述ACL规则表中的最后一条规则时，则认为所述选取的第一规则表中的规则全部包含在当前ACL规则中。

步骤207：判断当前ACL规则表的允许状态；当所述ACL规则表的状态为允许(permit)时，执行步骤208；当所述ACL规则表的状态为拒绝(deny)时，执行步骤209；

步骤208：将所述选取的第一规则表中的规则写入第二规则表尾部；并执行步骤209；

步骤209：删除所述选取的第一规则表中的规则；返回步骤202；

步骤210：判断当前ACL规则表的允许状态；当所述ACL规则表的状态为允许(permit)时，执行步骤211；所述ACL规则表的状态为拒绝(deny)时，执行步骤212；

步骤211：将所述第一规则表中的规则拆分为包含在ACL规则表中的部分和不包含在ACL规则表中部分，将所述包含在ACL规则表中的部分写入第二规则表尾部；并执行步骤212；

步骤212：将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分；返回步骤204；

步骤213：将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。

本发明实施例中，将所述ACL规则表与第二规则表按照顺序进行合并，生成NAT与ACL规则聚合表。

按照先后顺序，首先将第二规则表拷贝到NAT与ACL规则聚合表中，然后再将ACL规则表拷贝到NAT与ACL规则聚合表中；在后续报文转发过程中，查询NAT与ACL规则聚合表时，按照上述先后顺序进行查询命中。

本发明实施例中，步骤212将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分的实现过程如图3所示，图3为本发明实施例选取的第一规则表中的规则更新方法流程示意图，如图3所示，包括以下步骤：

步骤301：判断所述不包含在ACL规则表中的部分的类型；

本步骤中，所述不包含在ACL规则表中的部分有可能为网段地址、子网地址或主机地址；当所述不包含在ACL规则表中的部分为子网地址或主机地址时，执行步骤302；当所述不包含在ACL规则表中的部分为网段地址时，执行步骤303；

步骤302：用所述不包含在ACL规则表中的部分替换当前选取的第一规则表中的规则；该流程结束；

步骤303：逐个拆分所述网段地址；

步骤304：判断所述网段地址的拆分结果是子网地址还是网段地址；当拆分出子网地址时，执行步骤305；当拆分出网段地址时，执行步骤306；

步骤305：将拆分出的子网地址插入到前选取的第一规则表中的规则后面；

步骤306：将拆分出的网段地址替换拆分前的网段地址，并返回步骤303；

如此进行循环拆分，直至网段地址均拆分成子网地址或单个主机地址、并插入到当前选取的第一规则表中的规则后面为止，该流程结束。

本发明实施例还提供了一种NAT与ACL规则聚合装置，图4为本发明实施例NAT与ACL规则聚合装置结构示意图，如图4所示，所述装置包括第一规则表建立模块41、规则比较模块42、规则聚合模块43；其中，

所述第一规则表建立模块41，设置为：根据NAT规则表建立第一规则表；

本发明实施例中，所述第一规则表建立模块41是设置为：将所述NAT规则表中的每个规则分别复制到第一规则表中。

所述规则比较模块42，设置为：将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果，建立第二规则表；

本发明实施例中，所述规则比较模块42是设置为：选取当前第一规则表中的第一条规则，先与ACL规则表中的第一条规则进行比较；

当所述选取的第一规则表中的规则全部包含在所述ACL规则中时，进一步判断ACL规则表的允许状态，当所述ACL规则表状态为允许(permit)时，将所述选取的第一规则表中的规则写入第二规则表尾部，并删除所述选取的第一规则表中的规则；当所述ACL规则表状态为拒绝(deny)时，直接删除所述选取的第一规则表中的规则；之后，重新选取第一规则表中的下一条规则与ACL规则表中的规则进行比较；

当所述选取的第一规则表中的规则部分包含在ACL规则中时，进一步判断ACL规则表的允许状态，当所述ACL规则表状态为允许(permit)时，将所述选取的第一规则表中的规则中包含在ACL规则中的部分写入第二规则表尾部，用不包含在ACL规则表中的部分替换所述选取的第一规则表中的规则，即将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分；当所述ACL规则表状态为拒绝(deny)时，直接将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分；之后，将当前选取的第一规则表中的规则与ACL规则表中的下一条规则进行比较；

这里，所述规则比较模块42将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分包括：

本发明实施例中，所述规则比较模块42还设置为：当所述用于比较的ACL规则为所述ACL规则表中的最后一条规则时，所述选取的第一规则表中的规则全部包含在当前ACL规则中。

所述规则聚合模块43，设置为：将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。

这里，所述规则聚合模块43是设置为：将所述ACL规则表与第二规则表按照顺序进行合并，生成NAT与ACL规则聚合表。

其中，按照先后顺序，首先将第二规则表拷贝到NAT与ACL规则聚合表中，然后再将ACL规则表拷贝到NAT与ACL规则聚合表中；在后续报文转发过程中，查询NAT与ACL规则聚合表时，按照上述先后顺序进行查询命中。

图4中所示的NAT与ACL规则聚合装置中的每个处理模块的实现功能，可参照前述NAT与ACL规则聚合方法的相关描述而理解。本领域技术人员应当理解，图4所示的NAT与ACL规则聚合装置中每个处理单元的功能可通过运行于处理器上的程序而实现，也可通过逻辑电路而实现，比如：可由中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)实现；所述存储单元也可以由各种存储器、或存储介质实现。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

通过本发明实施例，能够在报文转发过程中，只查询一次NAT与ACL规则聚合表进行一次命中，就可以完成包过滤和地址转换，从而节省报文转发时处理的时间，提升报文转发的性能，降低报文转发的时间成本。

Claims

一种网络地址转换NAT与访问控制列表ACL规则聚合方法，所述方法包括：

根据NAT规则表建立第一规则表；

将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；

将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。
根据权利要求1所述方法，其中，所述根据NAT规则表建立第一规则表包括：将所述NAT规则表中的每个规则分别复制到第一规则表中。
根据权利要求1所述方法，其中，所述将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表包括：

选取当前第一规则表中的第一条规则，先与ACL规则表中的第一条规则进行比较；

当所述选取的第一规则表中的规则全部包含在所述ACL规则中时，删除所述选取的第一规则表中的规则，并重新选取第一规则表中的下一条规则与ACL规则表中的规则进行比较；

当所述选取的第一规则表中的规则部分包含在ACL规则中时，将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分，并与ACL规则表中的下一条规则进行比较；

当所述选取的第一规则表中的规则不包含在ACL规则表中时，将所述选取的第一规则表中的规则与ACL规则表中的下一条规则进行比较。
根据权利要求3所述方法，所述方法还包括：判断ACL规则表的允许状态；相应地，当所述ACL规则表为允许的时，

在所述选取的第一规则表中的规则全部包含在所述ACL规则中的情况下，所述方法还包括：将所述选取的第一规则表中的规则写入第二规则表；

在所述选取的第一规则表中的规则部分包含在ACL规则中的情况下，所述方法还包括：将所述选取的第一规则表中的规则中包含在ACL规则中的部分写入第二规则表。
根据权利要求3或4所述方法，其中，当所述用于比较的ACL规则为所述ACL规则表中的最后一条规则时，所述选取的第一规则表中的规则全部包含在当前ACL规则中。
一种网络地址转换与访问控制列表规则聚合装置，所述装置包括：第一规则表建立模块、规则比较模块、规则聚合模块；其中，

所述第一规则表建立模块，设置为：根据NAT规则表建立第一规则表；

所述规则比较模块，设置为：将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；

所述规则聚合模块，设置为：将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。
根据权利要求6所述装置，其中，所述第一规则表建立模块是设置为：将所述NAT规则表中的每个规则分别复制到第一规则表中。
根据权利要求6所述装置，其中，所述规则比较模块是设置为：选取当前第一规则表中的第一条规则，先与ACL规则表中的第一条规则进行比较；

当所述选取的第一规则表中的规则全部包含在所述ACL规则中时，删除所述选取的第一规则表中的规则，并重新选取第一规则表中的下一条规则与ACL规则表中的规则进行比较；

当所述选取的第一规则表中的规则部分包含在ACL规则中时，将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分，并与ACL规则表中的下一条规则进行比较；

当所述选取的第一规则表中的规则不包含在ACL规则表中时，将所述选取的第一规则表中的规则与ACL规则表中的下一条规则进行比较。
根据权利要求8所述装置，其中，所述规则比较模块还设置为：判断ACL规则表的允许状态；相应地，当所述ACL规则表为允许的时，

在所述选取的第一规则表中的规则全部包含在所述ACL规则中的情况下，所述方法还包括：将所述选取的第一规则表中的规则写入第二规则表；

在所述选取的第一规则表中的规则部分包含在ACL规则中的情况下，所述方法还包括：将所述选取的第一规则表中的规则中包含在ACL规则中的部分写入第二规则表。
根据权利要求8或9所述装置，其中，所述规则比较模块还设置为：当所述用于比较的ACL规则为所述ACL规则表中的最后一条规则时，所述选取的第一规则表中的规则全部包含在当前ACL规则中。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1-5任一项的方法。