一种访问控制列表的匹配方法及装置与流程

文档序号：11878958阅读：来源：国知局

技术特征：

1.一种访问控制列表的匹配装置，其特征在于，包括：

控制平面，用于构建以优先级为下标的ACL规则表，并构建以地址对象为第一维度，源IP地址、目的IP地址为第二维度，ACL优先级为第三维度的位图向量表；

数据平面，用于根据进入数据平面的报文的源IP地址和目的IP地址进行地址对象匹配，根据匹配到的地址对象以及所述位图向量表构造包含ACL优先级的位图数组，遍历所述位图数组进行ACL规则表的匹配，获得匹配的最高优先级的ACL规则表，并按照该ACL规则表对报文进行处理。

2.如权利要求1所述的一种访问控制列表的匹配装置，其特征在于，所述控制平面，用于构建以地址对象为第一维度，源IP地址、目的IP地址为第二维度，ACL优先级为第三维度的位图向量表的方式，具体包括：

对于任意一个地址对象a[i]，计算第N位的源IP地址向量SAddr[i]和目的IP地址向量DAddr[i]，循环j从1到N：若ACL规则rule[j]的源IP地址引用了地址对象a[i]，那么源IP地址向量SAddr[i]的第j个位置1，若rule[j]的目的地址引用了地址对象a[i]，那么目的IP地址向量DAddr[i]的第j个位置1，所述1≤j≤N。

3.如权利要求1所述的访问控制列表的匹配装置，其特征在于，所述数据平面用于根据匹配到的地址对象以及所述位图向量表构造包含ACL优先级的位图数组，具体包括：

根据源IP地址匹配得到的地址对象集合，获取对应源IP地址的各个向量表，将对应原IP地址的所有的向量表进行或运算，得到第一向量表；根据目的IP地址匹配得到的地址对象集合，获取对应目的IP地址的各个向量表，将对应目的IP地址的所有的向量表进行或运算，得到第二向量表；对第一向量表和第二向量表进行与运算，得到一组以ACL规则优先级为下标的位图数组。

4.如权利要求1所述的访问控制列表的匹配装置，其特征在于，所述数据平面用于遍历所述位图数组进行ACL规则表的匹配，获得匹配的最高优先级的ACL规则表，并按照该ACL规则表对报文进行处理，具体包括：

数据平面按照顺序遍历所述位图数组，若查找到值为1的位图元素，则获取该位对应的ACL规则表，进行ACL匹配，当命中某一个ACL规则时，停止匹配，按照命中的ACL规则执行报文处理动作。

5.如权利要求1-4所述的访问控制列表的匹配装置，其特征在于，所述数据平面还用于若遍历整个位图数组都无法命中ACL规则时，则获取预先配置的默认ACL规则，进行ACL匹配，若仍未命中默认的ACL规则，则对报文进行放行处理。

6.一种访问控制列表的匹配方法，其特征在于，包括以下步骤：

A、构建以优先级为下标的ACL规则表，并构建以地址对象为第一维度，源IP地址、目的IP地址为第二维度，ACL优先级为第三维度的位图向量表；

B、根据进入数据平面的报文的源IP地址和目的IP地址进行地址对象匹配，根据匹配到的地址对象以及所述位图向量表构造包含ACL优先级的位图数组；

C、遍历所述位图数组进行ACL规则表的匹配，获得匹配的最高优先级的ACL规则表，并按照该ACL规则表对报文进行处理。

7.如权利要求6所述的访问控制列表的匹配方法，其特征在于，步骤A中，所述构建以地址对象为第一维度，源IP地址、目的IP地址为第二维度，ACL优先级为第三维度的位图向量表，包括：

8.如权利要求6所述的访问控制列表的匹配方法，其特征在于，步骤B中，所述根据匹配到的地址对象以及所述位图向量表构造包含ACL优先级的位图数组，包括：

9.如权利要求6所述的访问控制列表的匹配方法，其特征在于，步骤C中，所述遍历所述位图数组进行ACL规则表的匹配，获得匹配的最高优先级的ACL规则表，并按照该ACL规则表对报文进行处理，包括：

10.如权利要求6-9任一项所述的访问控制列表的匹配方法，其特征在于，步骤C中，包括：

当遍历整个位图数组都无法命中ACL规则时，则获取预先配置的默认ACL规则，进行ACL匹配，若仍未命中默认的ACL规则，则对报文进行放行处理。

完整全部详细技术资料下载

当前第2页1 2 3