专利名称::表项的安装方法和装置以及网络设备的制作方法
技术领域:
:本发明涉及一种表项的安装方法和装置以及网络设备,尤其是一种可以在更新表项时避免数据流的中断的表项的安装方法和装置以及网络设备。
背景技术:
:访问控制列表(AccessControlList,ACL)是网络安全防范和保护的主要策略,保证网络资源不被非法使用和访问。ACL使用预先定义好的过滤规则检查通过网络设备接口上的每个数据包,以便确定其是否与某一条包过滤规则匹配,从而对数据包是否能通过本网络设备进行控制允许通过(Permit)或丢弃(Deny),以增强网络安全。ACL由一系列的过滤M^则组成,称为访问控制表项(AccessControlEntry,ACE)。每个ACE表项都申明了满足该表项的匹配条件及行为(PermitorDeny)。过滤规则可以匹配的字段包括MAC源地址,MAC目标地址,以太网类型,IP源地址、IP目标地址等。ACL的功能从本质上讲就是按照管理员配置的控制条件筛选出一类数据流,然后对这条流实施控制策略,比如丟弃报文,重定向到特定出口等策略。如图1所示,为现有技术的构架示意图,当需要将网段10.1.1.0中IP为10.1.1.5和10.1.1.6的终端发出的报文强制重定向到交换机B,其他终端的报文均按正常逻辑转发,不做强制要求。可以通过在交换机A上做如下配置ACE1:permitip10.1.1.5ACE2:permitip10.1.1.6上述ACE的意思是筛选出源IP地址为10.1,1.5和10.1.1.6的才艮文流。然后为这两条ACE配置重定向到交换机B的控制策略,就可以将这两种特定源IP的报文强制转发到交换机B。而其他报文不做要求,均按正常逻辑转发。ACL功能是通过过滤表项来实现。过滤表项包括了ACE中的过滤规则信息和对应控制行为,所有的过滤表项组成过滤表.当数据报文到达网络设备接口时,如果该接口上配置有过滤策略,则设备会自动检查报文是否与过滤表中的某一条过滤表项匹配,如果匹配成功,则直接返回匹配项的控制策略.控制策略决定了报文的转发行为.由于过滤表项的匹配顺序为自上至下,那么表项的安装顺序就会直接影响报文的匹配结果。目前表项的安装顺序是由管理员为其配置的优先级决定的,管理员可以为每条ACE配置一个优先级。在管理员没有明确为ACE指定优先级时,交换设备会按照ACE的配置顺序为其分配一个合适的优先级。由此可知,每个过滤表项都有自己对应的优先级。如图表l所示,为现有技术过滤表项,<table>tableseeoriginaldocumentpage4</column></row><table>每一条过滤表项就是一条ACE,且ACE间的优先级关系决定了其在硬件中安装位置。匹配顺序按照索引序号从低到高。当源IP为10.1.1.5的报文到达交换设备后,交换机会提取出报文的源IP,并在过滤表项列表中从低索引到高索引进行顺序匹配,当匹配到第l条时,匹配成功。成功后返回过滤表项1的控制策略,即报文将从端口Fa0/5中转出被重定向到交换机B。当源IP为10.1.1.6的报文到达交换设备后,由于不符合第一条的匹配条件,且完全符合第二条的匹配条件,则报文会成功匹配过滤表项2,由于过滤表项2的控制策略也为重定向到交换机B,即报文也将从端口Fa0/5中转出。当其他的报文到达交换设备后,由于在过滤表项中没有对应的匹配项,这些报文按正常流程转发。这样就可以在交换机A中控制网段IO.1.1.0中的哪些报文该从哪些端口转出,以达到保护网络,优化网络的目的。当访问控制列表被安装到交换设备上之后,由于网络的变化需要,不可避免的会发生访问控制列表的更新。访问控制列表发生更新后,只有将更新后的过滤表项重新安装,才能使新配置的过滤表项生效.前面讲过,由于过滤表项均有自己的优先级,优先级决定了其在硬件表项中的安装位置,故一条高优先级表项的插入会使所有低优先级的表项全部发生移动。而目前对过滤表项安装方法普遍是按索引从低到高依次安装,且在安装一条新表项时,会先将当前位置的旧表项删除,直至全部表项安装完毕。这种做法有一个很大的缺点在删除旧表项后,会造成用户的某些配置无法生效,导致数据流中断。假设当前管理员需要将源IP为10.1.1.9的报文也重定向到交换机B,其配置的过滤少见则为ACE3:Permitip10.1.1.9,且其优先级低于ACE1,高于ACE2。那么需要将ACE3安装到硬件表中才能使其生效。正常的更新安装过程如下(按照索引从低到高)1、由于ACE1的优先级没有变化,即其在硬件表中的位置也无需更新。2、由于ACE3的优先级高于ACE2,低于ACE1。即需要将ACE3安装到ACE2安装的位置。由于此位置存在表项ACE2,故必须先将ACE2删除后,再安装新的表项ACE3。3、由于ACE2的优先级低于ACE3,故ACE2需要安装到ACE3的后面。当这条ACE2安装成功后,就变成了如表2和表3所示的安装ACE3前后的表项。表25ACE1:PermitiplO.U.:ACE2:Permitipl0.1.1.6表3C23_ACE1:Permitipl0丄1.:ACE3;Permitip10.1.1.9ACE2;Permitip10.1.1.6在步骤2中,当需要在原表项ACE2的位置安装ACE3时,将ACE2删除,直到在ACE3安装后再安装ACE2,在这个时间内就会出现在表项内是没有ACE2的。因此在这段时间内源IP为10.1.1.6的报文都是按照正常逻辑转发的,并没有按照ACE2的要求被强制重定向到交换机B。由此可能在这段即使很短的时间内数据流中断,可能给网络带来灾难性的后果
发明内容信息本发明的目的是针对现有技术的缺陷,提供一种表项的安装方法和装置以及网络设备,在表项安装时,不会出现数据流中断的现象。为实现上述目的,本发明提供了一种表项的安装方法,包括检查标记有不断流标记的表项,将检查出的不断流标记表项按照索引进行安装;然后将非标记表项按照索引进行安装。为实现上述目的,本发明提供了一种表项的安装装置,包括检查模块,用于检查标记有不断流标记的表项,将检查出的不断流标记表项按照索引进行安装;安装模块,用于将非标记表项按照索引进行安装。为实现上述目的,本发明还提供了一种包括上述表项的安装装置的网络设备。6因此,本发明表项的安装方法和装置以及网络设备,可以在安装表项的时候有效避免,在过滤表项发生更新移动时造成的数据流中断现象。图1为现有技术的构架示意图;图2为本发明表项的安装方法实施例一的流程图;图3为本发明表项的安装方法实施例二的流程图;图4为本发明表项的安装方法的表项示意图;图5为本发明表项的安装装置的结构示意图。具体实施例方式下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。如图2所示,为本发明表项的安装方法实施例一的流程图,包括步骤IOI,;险查标记有不断流标记的表项,将4企查出的不断流标记表项按照索引进行安装;步骤102,然后将非标记表项按照索引进行安装。如图3所示,为本发明表项的安装方法实施例二的流程图,包括步骤201,将需要不断流处理的表项标记为不断流标记表项;因为在过滤表项中,并不是所有的表项都要求不断流的,有些普通表项并没有这种严格的要求,根据应用场景的需求,如一般情况下,普通访问控制使用的过滤表项是没有这种严格要求的,但是像策略路由或者重定向这种应用的过滤表项应该配置为不断流表项,因为这些表项就算是瞬间的失效,也可能造成大量数据报文的断流,当然什么样的应用需要这种不断流的处理,也可以指定,只需在配置的时候添加相应的配置选项即可。需要为特殊表项打上标记来区分出哪些表项需要不断流处理,哪些表项不需要,这个标记在表项最初安装时打上的,它是根据过滤表项所关联的应用类型来确定的。在表项发生更新时,需要将更新后的表项和现有表项的位置进行比较,根据比较结果为带有不断流标记的表项打上需要下移或者上移的标志,这个标志只会打在带有不断流标记的表项上,并且只在表项安装的时候使用到。如图4所示,为本发明表项的安装方法的表项示意图,第一个列表项中有两条不断流标记的表项,Cur—l和Cur-3,以及三条普通表项Cur—2、Cur_4和Cur—5,欲插入的两条新表项是NEW—1和NEW-2,且由于两条新表项的优先级很高,需要插入到表中的最低索引处。步骤202,检查标记有不断流标记的表项,将检查出的不断流标记表项按照索引进行安装;造成数据流中断的根本原因是表项被意外删除,而这个删除只是因为这个位置被其他新的表项所占用,原过滤表项需要被移动到另外的一个位置,因此可以先将这个不可断流且需要移动的表项安装到新的硬件位置,然后再安装其他普通的表项,这样就不怕这条表项被意外删除。再如图4所.示,中间的表项列是在安装完标记表项后的状态,更新时,Cur-3表项先移动到Cur-5位置,此时Cur_3原位置上的表项并没有被删除,仍然存在着,相当于在Cur—5位置拷贝了一个Cur-3表项,然后,Cur_l被移动到Cur-3位置,此时Cur-3原位置上的表项被删除,Cur-l被安装到Cur_3位置,此时Cur—1表项存在两条,原表项和移动后位置上安装的新表项,上述的安装过程保证了Cur_l和Cur_3表项每时每刻都存在于表项之中,不论是在原位置还是新位置,这样也就到达了数据流不中断的目的。再如表2中,脅i,没ACE2是要求不可断流且发生移动的表项,更新时ACE2需要移动到位置2,这时就可以先将ACE2表项安装到位置2,然后再安装其他普通的表项,这样一来会造成在某一段时间内,位置1和位置2安装的是同一条表项,但是由于过滤表的工作机制,当报文匹配到位置1时就会成功返回,不会为控制策略的实施造成任何负面影响,但是如果假设此时位置2中也安装着某条过滤表项,且此表项也要求不可断流的,那么这种简单的先安装ACE2过滤表项的方案就是有问题的,因为他使得位置2中的表项被删除而可能导致数据流中断。所以在实施标记表项优先安装这个基本准则时,应该从整张过滤表来进行考虑。在过滤表项发生更新时,一个过滤表中只会有一种表项的移动方向向上或者向下。因为对一张表的操作无非是添加和删除,而添加和删除肯定不可能在同一个时刻发生,所以就要对上移和下移分别进行处理如果表项需要向上移动,那么就要从过滤表的第一条即最低索引处依次向后检测,对于需要移动且标记为不可断流的表项进行安装,即如果是上移标记表项,则按照索引从低到高安装不断流标记表项。如果表项需要向下移动,就要从过滤表的最后一条即最高索引处依次向前检测,对于需要移动且标记为不可断流的表项进行安装,即如果是下移标记表项,则按照索引从高到低安装不断流标记表项。这样就可以保证在移动过程中,不断流标记表项还会持续生效,不会造成数据流的中断。步骤203,然后将非标记表项按照索引从低到高进行安装。当把标记的过滤表项优先安装完毕后,就安装过滤表中的非标记表项,非标记表项的安装是根据索引从低到高依次安装的,在安装过程中如果判断此表项为标记表项则跳过不再安装,因为这种打上标记的表项均已经安装完毕。当非标记表项安装完成后,过滤表项完整的一次更新操作也就结束了。再如图4所示,最后一列是安装后的表项列,新的表项NEW-1和NEW_2优先级最高,至于顶端,标记表项Cur-l和Cur_3已经在步骤202中安装复制,将余下的非标记表项Cur_2、Cur-4和Cur-5从低到高安装。因此本发明表项的安装方法,可以在安装表项的时候有效避免在过滤表项发生更新移动时造成的数据流中断现象。如图5所示,为本发明表项的安装装置的结构示意图,本发明表项的安装装置包括检查模块51,用于检查标记有不断流标记的表项,将检查出的不断流标记表项按照索引进行安装;安装模块52,用于将非标记表项按照索引进行安装。再如图5所示,本发明表项的安装装置还包括标记模块50,用于将需要不断流处理的表项标i己为不断流标记表项。并且本发明还提供了一种网络设备,包括有上述表项的安装装置。因此本发明表项的安装装置和网络设备,可以在安装表项的时候有效避免在过滤表项发生更新移动时造成的数据流中断现象。最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通4支术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。权利要求1、一种表项的安装方法,其特征在于包括检查标记有不断流标记的表项,将检查出的不断流标记表项按照索引进行安装;然后将非标记表项按照索引进行安装。2、根据权利要求1所述的表项的安装方法,其特征在于所述检查标记有不断流标记的表项前还包拾将需要不断流处理的表项4射己为不断流标记表项。3、根据权利要求1所述的表项的安装方法,其特征在于所述将检查出的不断流标记表项按照索;1进行安装具体为根据不断流标记表项的类型,按照索引进行安装。4、根据权利要求3所述的表项的安装方法,其特征在于所述根据不断流标记表项的类型,按照索引进行安装具体为如果是上移标记表项,则按照索《1从低到高安装不断流标记表项。5、根据权利要求3所述的表项的安装方法,其特征在于所述根据不断流标记表项的类型,按照索引进行安装具体为如果是下移标记表项,则按照索引从高到低安装不断流标记表项。6、根据权利要求1所述的表项的安装方法,其特征在于所述将非标记表项按照索引进行安装具体为,按照索引从低到高将非标记表项按照索引进行安装。7、一种表项的安装装置,其特征在于包括检查模块,用于检查标记有不断流标记的表项,将检查出的不断流标记表项按照索引进行安装;安装模块,用于将非标记表项按照索引进行安装。8、根据权利要求7所述的表项的安装装置,其特征在于还包括标记模块,用于将需要不断流处理的表项标记为不断流标记表项。9、一种包括上述权利要求7或8所述表项的安装装置的网络设备。全文摘要本发明涉及一种表项的安装方法,包括检查标记有不断流标记的表项,将检查出的不断流标记表项按照索引进行安装;然后将非标记表项按照索引进行安装。本发明涉及一种表项的安装装置,包括检查模块,用于检查标记有不断流标记的表项,将检查出的不断流标记表项按照索引进行安装;安装模块,用于将非标记表项按照索引进行安装。本发明涉及一种包括上述表项的安装装置的网络设备。因此,本发明表项的安装方法和装置以及网络设备,可以在安装表项的时候有效避免,在过滤表项发生更新移动时造成的数据流中断现象。文档编号H04L9/00GK101534301SQ20091008230公开日2009年9月16日申请日期2009年4月13日优先权日2009年4月13日发明者夹尚涛申请人:北京星网锐捷网络技术有限公司