专利名称:访问控制列表规则生效的方法及装置的制作方法
技术领域:
本发明涉及通信领域,特别涉及访问控制列表规则生效的方法及装置。
背景技术:
在通信领域中,访问控制列表(Access Control List,ACL)规则是一种应用在交换设备上的技术。随着网络技术应用的不断深入,对于安全监控的需求进一步加强,由于ACL规则可以有效实现网络流量和网络访问权限的控制,在安全监控方面得到越来越广泛的应用。
ACL的原理主要是设置一系列规则,这些规则中包含能够匹配报文的规则内容和匹配报文成功后对报文要执行的操作。上述匹配是指按照ACL规则的优先级依次匹配报文,只要有一条规则与报文匹配成功,则按照该条规则对报文执行操作,报文不再进行后续规则的匹配。对报文执行的操作一般指将报文过滤或对报文进行重定向,其中过滤是指将报文丢弃,重定向是指将报文重定向转发到指定设备。
ACL规则可以通过预先配置生成,先存储在执行下发的模块中并通过该模块将ACL规则下发到目的存储模块,需要对报文进行匹配时,由执行查询的模块从目的存储模块中查询与报文匹配的规则,匹配成功后对报文执行规则中的操作。将添加的ACL规则成功下发到目的存储模块中,使添加的规则能够应用于报文处理的过程称为ACL规则生效。由于目前针对不同规则特性的ACL规则在目的存储模块中采用混合存储的方式,在下发ACL规则时需要对ACL规则按照优先级进行精确排序,否则由于报文执行最先匹配规则的方式,可能出现按照最先匹配成功的ACL规则对报文执行的操作并非是真正需要执行的操作的问题,例如本来需要执行重定向的报文可能执行了过滤操作。具体来说,下发添加的ACL规则时主要涉及的操作为在执行下发的模块中,逐条将添加的ACL规则插入该模块内已存储的ACL规则中,并对插入添加的ACL规则后的所有ACL规则按照优先级精确排序;排序后执行下发的模块针对目的存储模块执行下发,如果添加的ACL规则的优先级与已存储的ACL规则相比不是最低,执行下发的模块需要首先将目的存储模块中已存储的低于添加的ACL规则的ACL规则删除,再将排序后的添加的ACL规则及低于其优先级的已存储ACL规则下发到目的存储模块中。在需要支持大容量ACL规则的情况下,现有技术中下发的方法往往需要耗费较多的时间,无法做到ACL规则的快速生效。
以阻断设备为例说明上述现有技术中添加的ACL规则的下发过程。图1示出了现有技术中阻断设备基本应用的典型组网结构,阻断设备包括主控板和接口板,其中接口板包括执行下发的模块和三态内容可寻址存储器(TCAM),TCAM为规则下发的目的存储模块。主控板接收添加的ACL规则并下发到接口板中执行下发的模块,再由执行下发的模块下发到TCAM,在处理报文时利用TCAM的硬件特性实现对ACL规则的快速查找和匹配。阻断设备接口板中的下发是针对ACL规则的规则表项,由规则表项索引标识ACL规则的优先级,规则表项由对ACL规则的解析得到。一条规则通常包括一个规则表项索引和一个规则表项,但有时一条规则也可以解析得出多个规则表项,规则表项包括规则内容表和动作表。假设阻断设备要求支持9万条完全匹配规则和1万条掩码匹配规则,ACL规则的具体执行操作为过滤和重定向。图2示出了阻断设备中已存储的ACL规则的优先级结构,需要添加的ACL规则的优先级为3,按照以下步骤完成添加的ACL规则的下发1)在主控板中接收添加的ACL规则,将该规则的规则内容和优先级下发到接口板中执行下发的模块;2)在接口板内执行下发的模块中解析添加的ACL规则,得到该ACL规则的规则表项和规则表项索引;
3)在接口板内执行下发的模块中,对所有ACL规则的规则表项按照优先级进行精确排序,排序方式为按顺序排列ACL规则的规则表项索引,并按照排列的规则表项索引,搬移对应的规则表项,如添加的ACL规则优先级为3,在接口板内执行下发的模块中将添加的ACL规则的规则表项插入优先级为2的规则表项后面,而原来优先级为3-6的规则表项依次向后搬移形成优先级为4-7的规则表项;4)在接口板的TCAM中,将已存储的优先级为3-6的ACL规则的规则表项删除,由接口板内执行下发的模块将重新排列后的优先级为3-7的ACL规则的规则表项下发到TCAM。
经过上述步骤1)-4),添加的ACL规则生效。
由于在上述实现ACL规则生效的过程中,需要考虑添加的ACL规则的优先级重新对所有ACL规则进行精确排序,在下发时如果所添加的规则优先级较高,需要进行删除和重新下发的操作,通过实验室试验,将10万条优先级打乱的ACL规则下发到目的存储模块中需要的时间为10个小时,无法做到ACL规则的快速生效。
发明内容
本发明实施例提供一种ACL规则生效的方法,该方法能够提高ACL规则的生效时间。
本发明实施例提供一种ACL规则生效的装置,该装置能够提高ACL规则的生效时间。
本发明实施例提供的ACL规则生效的方法,在下发模块和目的存储模块内分别包括对应访问控制列表ACL规则特性的存储分区,该方法还包括将添加的ACL规则存储到该ACL规则特性对应的该下发模块的存储分区中;需要排序时,下发模块对添加的ACL规则所在的存储分区中的ACL规则排序后,针对目的存储模块内对应的存储分区执行下发;
不需要排序时,下发模块针对目的存储模块内对应的存储分区执行下发。
本发明实施例提供的ACL规则生效的装置,该装置包括下发模块和目的存储模块;所述下发模块,用于将接收的添加ACL规则存储到其规则特性对应的内部存储分区中,需要排序时将该存储分区中的ACL规则排序后针对目的存储模块内对应的存储分区执行下发,不需要排序时直接针对目的存储模块内对应的存储分区执行下发;所述目的存储模块,用于在对应ACL规则特性的存储分区中,接收下发模块下发的ACL规则。
从上述技术方案可以看出,本发明实施例提供的ACL规则生效的方法及装置,在下发模块和目的存储模块中包括对应ACL规则特性的存储分区,下发模块对于需要下发的ACL规则,只在下发模块内对应该规则的存储分区中进行排序,或者当存储分区内不需要排序时下发模块可以不对该存储分区中的规则进行排序,并且下发模块将需要下发的ACL规则下发到目的存储模块中对应的存储分区中,这样就实现了只在存储分区内部进行的模糊排序,减少了排序中规则的搬移,并在下发时减少了删除和重新下发规则的时间,实现ACL规则的毫秒级生效,提高ACL规则的生效时间。
图1为现有技术中阻断设备基本应用的典型组网结构示意图;图2为图1所示阻断设备中ACL规则的优先级示意图;图3为本发明实施例ACL规则生效的方法流程图;图4为本发明实施例ACL规则生效的方法第一个较佳实施例流程图;图5为本发明实施例ACL规则生效的方法第一个较佳实施例中存储分区示意图;图6为本发明实施例ACL规则生效的方法第二个较佳实施例流程图;
图7为本发明实施例ACL规则生效的方法第二个较佳实施例中存储分区示意图;图8为本发明实施例ACL规则生效的装置较佳实施例的结构示意图。
具体实施例方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图,对本发明实施例进一步详细说明。
本发明实施例的基本思想是在下发模块和目的存储模块中,分别包括对应ACL规则特性的存储分区,对ACL规则的排序和下发都在规则特性对应的存储分区内部进行,各存储分区之间无需进行排序。
首先,介绍本发明实施例提供的ACL规则生效的方法。该方法在下发模块和目的存储模块内分别包括对应ACL规则特性的存储分区,该方法还包括图3示出的以下步骤步骤301下发模块将添加的ACL规则按照其规则特性存储到内部对应的存储分区。
本步骤中,所述ACL规则的特性,可以是ACL规则的动作类型如过滤和重定向,这时下发模块内就包括对应过滤和重定向的两个存储分区,ACL规则特性也可以是ACL规则中匹配报文的元素个数,这时下发模块中就包括对应不同匹配报文的元素个数的ACL规则,如根据匹配报文的元素个数设置对应五元组、二元组等的多个存储分区。下发模块根据添加的ACL规则的规则特性,将该规则存储到对应的存储分区中。存储分区的大小可以通过设置实现。
步骤302判断添加的ACL规则所在的存储分区是否需要排序,如果是执行步骤303,如果不是则执行步骤305。
本步骤中,根据步骤301中所述对存储分区的不同设置方式,不同的存储分区有的需要对ACL规则排序,有的则不需要对ACL规则排序。针对按照动作划分对应过滤和重定向的两个存储分区,在对应过滤的存储分区内部,由于对于所有过滤的ACL规则来说对报文执行的处理都是丢弃,因此无论报文与该存储分区中的哪一条ACL规则匹配处理结果都一样,所以在该存储分区内可以不进行排序。而针对对应重定向的存储分区,当报文都需要重定向到一个设备时,该存储分区中也无需排序,而当报文需要重定向的目标设备不唯一时,就需要在存储添加的ACL规则后对存储分区中ACL规则按照优先级排序。在针对匹配报文的元素个数设置的存储分区内部,当存储分区对应五元组时,由于一个报文不可能匹配两条五元组规则,因此不需要对该存储分区中的ACL规则按照优先级排序,当存储分区对应的不是五元组时,仍需要对存储分区中的ACL规则按照优先级排序。
步骤303下发模块在存储分区内进行排序。
本步骤中,在步骤302判断需要排序的基础上,下发模块在添加的ACL规则所在的存储分区内按照优先级对ACL规则进行排序。
步骤304下发模块针对目的存储模块中的对应存储分区执行下发。
本步骤中,针对步骤303所述存储分区中需要排序时,由下发模块针对目的存储模块中的对应存储分区执行下发。所述目的存储模块中的存储分区,也是对应ACL规则特性设置的,并且与下发模块中设置的各个存储分区对应相同。执行下发具体为如果添加的ACL规则的优先级与目的存储模块内对应的存储分区中已存储的ACL规则相比优先级最低,直接将添加的ACL规则下发到目的存储模块内对应的存储分区中的最低优先级存储位置;如果添加的ACL规则的优先级与目的存储模块内对应的存储分区中已存储的ACL规则相比优先级不是最低,删除目的存储模块内对应的存储分区中优先级低于添加ACL规则的已存储ACL规则,将下发模块内存储分区中排序后的添加的ACL规则及低于其优先级的已存储ACL规则,下发到目的存储模块内部对应的存储分区。
步骤305下发模块直接针对目的存储模块中的对应存储分区执行下发。
本步骤中,在步骤302中判断存储分区不需要排序时,下发模块直接将添加的ACL规则下发到目的存储模块内对应过滤的存储分区中的任意空余存储位置。
经过上述步骤301~步骤305,本发明实施例提供的ACL规则生效的方法流程结束。其中,添加的ACL规则可以是批量的,并可以同时在各自不同的存储分区进行流程中所描述的操作。
上述本发明实施例提供的ACL规则生效的方法,在下发模块和目的存储模块中包括对应ACL规则特性的存储分区,下发模块对于需要下发的ACL规则,只在下发模块内对应该规则的存储分区中进行排序,或者当存储分区内不需要排序时下发模块可以不对该存储分区中的规则进行排序,并且下发模块将需要下发的ACL规则下发到目的存储模块中对应的存储分区中,这样就实现了只在存储分区内部进行的模糊排序,减少了排序中规则的搬移,并在下发时减少了删除和重新下发的时间,实现ACL规则的毫秒级生效,提高ACL规则的生效时间。
下面针对上述本发明实施例ACL规则的生效方法,详细介绍两个本发明实施例ACL规则生效的方法的较佳实施例。在第一个方法较佳实施例中,假设在下发模块和目的存储模块中分别根据ACL规则的动作类型包括对应过滤和重定向的两个存储分区,而且重定向的目的设备不唯一,下发模块对目的存储模块执行的下发针对规则表项。假设本流程描述中需要添加的ACL规则的动作类型为重定向,优先级为3,下发模块和目的存储模块中已存储的ACL规则有6条,优先级结构与图2所示相同。图4为本发明实施例ACL规则生效的方法第一个较佳实施例的流程图,该流程包括步骤401下发模块解析添加的ACL规则。
本步骤中,下发模块对目的存储模块的规则下发是针对规则表项的,下发模块需要先对添加的ACL规则进行解析,得到规则表项。通常情况下一条ACL规则解析后对应一个规则表项,使用一个规则表项索引标识该ACL规则的优先级。但有时一条ACL规则也可以解析出多个规则表项,例如一条重定向的ACL规则针对1-10个端口就可以解析出10个规则表项,这10个规则表项也对应一个规则表项索引,即这10个规则表项属于一个优先级。
步骤402将添加ACL规则的规则表项和规则表项索引存储到下发模块内对应的存储分区中。
本步骤中,由于假设存储分区按照ACL规则的动作类型划分为对应过滤和对应重定向的存储分区,所添加的ACL规则动作类型为重定向,将添加的ACL规则的规则表项和规则表项索引存储到下发模块内对应重定向的存储分区中。
步骤403判断添加的ACL规则的动作类型,当动作类型为过滤时执行步骤406,当动作类型为重定向时执行步骤404。
本步骤中,根据假设添加的ACL规则的动作类型为重定向,因此执行步骤404。
步骤404下发模块在内部对应重定向的存储分区中对ACL规则排序。
本步骤中,下发模块在对应重定向的存储分区中对ACL规则的规则表项按照优先级进行排序。排序的方法具体为将该存储分区中已存储的优先级索引为3-6的规则表项向后搬移,搬移后将规则表项索引分别更改为4-7,然后将添加的ACL规则的规则表项插入更改后规则表项索引为4的规则表项之前,添加的ACL规则的规则表项索引为3。
步骤405下发模块将排序后的ACL规则下发到目的存储模块内对应重定向的存储分区。
本步骤中,添加的ACL规则的优先级与已存储的ACL规则相比不是最低,因此下发模块先需要将目的存储模块中已存储的规则表项索引为3-6的规则删除,再将步骤404中排序后规则表项索引为3-7的规则表项下发到目的存储模块内对应重定向的存储分区中,流程结束。
步骤406下发模块将添加的ACL规则的规则表项插入内部对应过滤的存储分区中。
本步骤中,由于对应过滤的存储分区内无需进行按照优先级的排序,下发模块可以直接将添加的ACL规则的规则表项和规则表项索引插入对应过滤的存储分区中的任意空余存储位置,而无需按照优先级对存储分区中的ACL规则重新排序。
步骤407下发模块将添加的ACL规则的规则表项和规则表项索引下发到目的存储模块内对应过滤的存储分区中。
本步骤中,下发模块将添加的ACL规则的规则表项和规则表项索引直接下发到目的存储模块内对应的存储分区中的任意空余存储位置,流程结束。
经过上述步骤401~步骤407,本发明实施例ACL规则的生效方法的第一个较佳实施例结束完整流程,图5示出了在本较佳实施例中,下发模块和目的存储模块内对应过滤和重定向的存储分区。
在第二个方法较佳实施例中,假设在下发模块和目的存储模块中分别根据ACL规则中匹配报文的元素个数包括对应五元组、二元组和一元组的三个存储分区,下发模块对目的存储模块执行的下发针对规则表项。假设本流程描述中需要添加的ACL规则中匹配报文的元素个数构成二元组,优先级为3,在下发模块和目的存储模块内对应二元组的存储分区中已存储的ACL规则有6条,优先级结构与图2所示相同。图6为本发明实施例ACL规则生效的方法第二个较佳实施例的流程图,该流程包括步骤601下发模块解析添加的ACL规则。
本步骤中,下发模块对目的存储模块的规则下发是针对规则表项的,下发模块需要先对添加的ACL规则进行解析,得到规则表项。
步骤602将添加的ACL规则的规则表项和规则表项索引存储到下发模块内对应的存储分区中。
本步骤中,根据假设,添加的ACL规则中的匹配报文的元素个数构成二元组,则将添加的ACL规则的规则表项和规则表项索引存储到下发模块内对应二元组的存储分区中。
步骤603判断添加的ACL规则中匹配报文的元素是否构成五元组,如果是则执行步骤606,如果不是执行步骤604。
本步骤中,根据假设,本较佳实施例中添加的ACL规则中匹配报文的元素个数构成二元组,则执行步骤604。
步骤604下发模块在存储分区内对ACL规则排序。
本步骤中,下发模块将内部对应二元组的存储分区中的ACL规则按照优先级排序,排序的方法具体为将该存储分区中已存储的规则表项索引为3-6的规则表项向后搬移,搬移后将规则表项索引分别更改为4-7,然后将添加的ACL规则的规则表项插入更改后规则表项索引为4的规则表项之前,添加的ACL规则的规则表项索引为3。
步骤605下发模块将排序后的ACL规则下发到目的存储模块内对应的存储分区。
本步骤中,下发模块将排序后的需要下发的ACL规则下发到目的存储模块对应二元组的存储分区。由于添加的ACL规则的优先级与已存储的ACL规则相比不是最低,因此下发模块先需要将目的存储模块中对应二元组的存储分区中已存储的规则表项索引为3-6的规则删除,再将步骤604中排序后的添加ACL规则及优先级低于添加ACL规则的规则表项和规则表项索引下发到目的存储模块内对应二元组的存储分区中,流程结束。
步骤606下发模块将添加的ACL规则的规则表项存储到内部对应五元组的存储分区中。
本步骤中,在步骤603中判断添加的ACL规则中匹配报文的元素为五元组,则将添加的ACL规则存储到下发模块内对应五元组的存储分区中,下发模块只要将添加的ACL规则存储到内部对应五元组的存储分区中的任意空余存储位置即可,而无需对ACL规则按照优先级排序。
步骤607下发模块将添加的ACL规则的规则表项和规则表项索引下发到目的存储模块内对应五元组的存储分区中。
本步骤中,下发模块将添加的ACL规则的规则表项和规则表项索引直接下发到目的存储模块内对应五元组的存储分区中的任意空余存储位置,流程结束。
经过上述步骤601~步骤607,本发明实施例ACL规则生效的方法的第二个较佳实施例完整流程结束,图7示出了本方法较佳实施例中对应ACL规则中匹配报文的元素个数的存储分区。
上述本发明实施例ACL规则生效的方法的两个较佳实施例中,举出了两种按照ACL规则特性划分存储分区的情况,也可以按照需求,根据ACL规则的其他规则特性设置不同于所例举的这两种存储分区的情况,这里不再赘述。
以上描述的两个方法较佳实施例,在下发模块和目的存储模块中包括对应ACL规则特性的存储分区,下发模块对于需要下发的ACL规则,只在下发模块内对应该规则的存储分区中进行排序,并且下发模块将需要下发的ACL规则下发到目的存储模块中对应的存储分区中,这样就实现了只在存储分区内部进行的模糊排序,减少了排序中规则的搬移,并在下发时减少了删除和重新下发的时间,实现ACL规则的毫秒级生效,提高了ACL规则的生效时间。
最后,介绍本发明实施例提供的ACL规则生效的装置较佳实施例。图8为本发明实施例提供的ACL规则生效的装置的较佳实施例结构示意图,该装置包括目的存储模块和下发模块,其中下发模块又包括收发模块和排序模块。
所述排序模块,包括对应ACL规则特性的存储分区,接收收发模块提供的添加的ACL规则并存储;添加的ACL规则对应的存储分区内需要排序时,对该存储分区中的ACL规则按照优先级排序后,将需要下发的ACL规则提供给收发模块;添加的ACL规则对应的存储分区内不需要排序时,直接将需要下发的ACL规则提供给收发模块。
所述收发模块,接收添加的ACL规则提供给排序模块;接收排序模块提供的要下发的ACL规则,针对目的存储模块中的对应存储分区执行下发。
所述目的存储模块,用于在对应ACL规则特性的存储分区中,接收下发模块中的收发模块下发的ACL规则。
本发明实施例提供的ACL规则生效的装置,在下发模块和目的存储模块中包括对应ACL规则特性的存储分区,下发模块对于需要下发的ACL规则,需要排序时只在下发模块内对应该规则的存储分区中进行排序,并且将需要下发的ACL规则下发到目的存储模块中对应的存储分区中,或者不需要排序时下发模块直接将需要下发的ACL规则下发到目的存储模块中对应的存储分区,这样就实现了只在存储分区内部进行的模糊排序,减少了排序中规则的搬移,并在下发时减少了删除和重新下发的时间,实现ACL规则的毫秒级生效。
上述本发明提供的ACL规则生效的装置中,收发模块可以进一步包括下发执行模块和解析模块,下发模块对目的存储模块执行的下发针对规则表项。
所述解析模块,接收要添加的配置ACL规则,解析出ACL规则的规则表项,通常情况下一条ACL规则解析后对应一个规则表项,使用一个规则表项索引对应该ACL规则的优先级。但有时一条ACL规则也可以解析出多个规则表项,例如一条重定向的ACL规则针对1-10个端口就可以解析出10个规则表项,这10个规则表项也对应一个规则表项索引,即该ACL规则的优先级。解析模块将解析完成后得到的规则表项和规则表项索引提供给排序模块内对应该ACL规则特性的存储分区。
所述下发执行模块,将排序模块提供的要下发的ACL规则的规则表项和规则表项索引,下发到目的存储模块内对应存储分区。
在下发模块对目的存储模块执行的下发针对规则表项的情况中,排序模块内的排序也针对ACL规则的规则表项和规则表项索引。
本发明实施例提供的ACL规则生效的装置,可以应用在需要使用ACL规则对报文执行处理的设备中,以阻断设备为例说明本发明实施例ACL规则生效的装置的具体应用。
本发明实施例ACL规则生效的装置可以位于阻断设备的接口板中,阻断设备对ACL的下发是基于规则表项的下发,假设装置中排序模块和目的存储模块中的存储分区为对应ACL规则中匹配报文元素的个数为五元组、二元组和一元组的存储分区,要添加的ACL规则中匹配报文的元素个数构成二元组,优先级为3,已存储的ACL规则为优先级为1-6的6条规则。阻断设备的主控板将添加的ACL规则提供给该装置,装置中的解析模块中解析出规则表项和规则表项索引提供给排序模块。排序模块将添加的ACL规则存储到内部对应二元组的存储分区中,并对该存储分区中的ACL规则按照优先级排序,即搬移规则表项索引和规则表项。排序模块将重新排序后规则表项索引为3-7的ACL规则提供给下发执行模块。下发执行模块将目的存储模块内对应二元组的存储分区中已存储的规则表项索引为3-6的规则表项删除,将排序模块提供的规则表项索引为3-7的规则表项下发到目的存储模块内对应二元组的存储分区。
经过以上所述的下发过程,添加的ACL规则在接口板中生效,当有报文流量通过时,接口板中的负责匹配执行的模块将按照生效的ACL规则对报文执行操作。由于存储生效ACL规则的目的存储模块的硬件特性影响匹配执行模块对规则的查询速度,一种较佳的选择是使用TCAM作为目的存储模块来存储下发生效的ACL规则。
上述本发明实施例ACL规则生效的装置应用在阻断设备接口板中的情况只是一种较佳实施方式,还可以是其他具备相同结构特征和功能的装置。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种访问控制列表规则生效的方法,其特征在于,在下发模块和目的存储模块内分别包括对应访问控制列表ACL规则特性的存储分区,该方法还包括将添加的ACL规则存储到该ACL规则特性对应的该下发模块的存储分区中;需要排序时,下发模块对添加的ACL规则所在的存储分区中的ACL规则排序后,针对目的存储模块内对应的存储分区执行下发;不需要排序时,下发模块针对目的存储模块内对应的存储分区执行下发。
2.如权利要求1所述的方法,其特征在于,所述ACL规则特性为动作类型,所述对应ACL规则特性的存储分区为对应不同ACL规则动作类型的存储分区。
3.如权利要求2所述的方法,其特征在于,所述动作类型包括过滤和重定向,所述对应不同ACL规则动作类型的存储分区为对应过滤和重定向的存储分区。
4.如权利要求3所述的方法,其特征在于,所述需要排序的判定方法为添加的ACL规则的动作类型为重定向并且重定向的目的设备不唯一时,需要排序;所述排序是按照ACL规则的优先级进行的;所述执行下发为如果添加的ACL规则的优先级与目的存储模块内对应重定向的存储分区中已存储的ACL规则相比优先级最低,直接将添加的ACL规则下发到目的存储模块内对应重定向的存储分区中的最低优先级存储位置;如果添加的ACL规则的优先级与目的存储模块内对应重定向的存储分区中已存储的ACL规则相比优先级不是最低,删除目的存储模块内对应重定向的存储分区中优先级低于添加ACL规则的已存储ACL规则,将下发模块内对应重定向的存储分区中添加的ACL规则及低于其优先级的已存储ACL规则,按照排序后的优先级顺序下发到目的存储模块内对应重定向的存储分区。
5.如权利要求3所述的方法,其特征在于,所述不需要排序的判定方法为添加的ACL规则的动作类型为过滤,或添加的ACL规则的动作类型为重定向并且重定向的目的设备唯一时,不需要排序。
6.如权利要求1所述的方法,其特征在于,所述规则特性为ACL规则中匹配报文的元素个数,所述对应ACL规则特性的存储分区为对应不同匹配报文的元素个数的存储分区。
7.如权利要求6所述的方法,其特征在于,所述ACL规则中匹配报文的元素个数分别构成五元组、二元组和一元组,所述对应不同匹配报文的元素个数的存储分区为对应匹配报文的元素个数构成五元组、二元组和一元组的存储分区。
8.如权利要求7所述的方法,其特征在于,所述需要排序的判定方法为添加的ACL规则中匹配报文的元素个数不构成五元组时,需要排序;所述排序是按照ACL规则优先级进行的;所述执行下发为如果添加的ACL规则的优先级与目的存储模块内对应的存储分区中已存储的ACL规则相比优先级最低,直接将添加的ACL规则下发到目的存储模块内对应的存储分区中的最低优先级存储位置;如果添加的ACL规则的优先级与目的存储模块内对应的存储分区中已存储的ACL规则相比优先级不是最低,删除目的存储模块内对应的存储分区中优先级低于添加ACL规则的已存储ACL规则,将下发模块内存储分区中排序后的添加的ACL规则及低于其优先级的已存储ACL规则,下发到目的存储模块内部对应的存储分区。
9.如权利要求7所述的方法,其特征在于,所述不需要排序的判定方法为添加的ACL规则中匹配报文的元素个数构成五元组时,不需要排序。
10.一种访问控制列表规则生效的装置,其特征在于,该装置包括下发模块和目的存储模块;所述下发模块,用于将接收的添加ACL规则存储到其规则特性对应的内部存储分区中,需要排序时将该存储分区中的ACL规则排序后针对目的存储模块内对应的存储分区执行下发,不需要排序时直接针对目的存储模块内对应的存储分区执行下发;所述目的存储模块,用于在对应ACL规则特性的存储分区中,接收下发模块下发的ACL规则。
11.如权利要求10所述的装置,其特征在于,所述下发模块包括收发模块和排序模块;所述收发模块,用于接收添加的ACL规则并存储到排序模块内对应的存储分区,接收排序模块提供的要下发的ACL规则下发到目的存储模块;所述排序模块,用于在存储分区中存储收发模块提供的添加ACL规则,需要排序时对该存储分区内部的ACL规则排序后将要下发的ACL规则提供给收发模块,不需要排序时将要下发的ACL规则提供给收发模块。
12.如权利要求11所述的装置,其特征在于,所述收发模块包括下发执行模块和解析模块;所述下发执行模块,用于将排序模块提供的要下发的ACL规则下发到目的存储模块内对应的存储分区;所述解析模块,用于接收添加的ACL规则,将解析后的ACL规则存储到排序模块内对应的存储分区。
全文摘要
本发明公开了一种访问控制列表(ACL)规则的生效方法,在下发模块和目的存储模块内分别包括对应访问控制列表ACL规则特性的存储分区,该方法还包括将添加的ACL规则存储到该ACL规则特性对应的该下发模块的存储分区中;需要排序时,下发模块对添加的ACL规则所在的存储分区中的ACL规则排序后,针对目的存储模块内对应的存储分区执行下发,否则下发模块针对目的存储模块内对应的存储分区执行下发。本发明还公开了一种ACL规则的生效装置,该装置包括下发模块和目的存储模块。应用本发明,可以在下发添加的ACL规则时,减少对ACL规则搬移和删除所需的时间,实现ACL规则的毫秒级生效。
文档编号H04L29/06GK101039271SQ200710086909
公开日2007年9月19日 申请日期2007年3月20日 优先权日2007年3月20日
发明者雷奕康, 刘学勤, 宋美莲 申请人:华为技术有限公司