服务质量策略与访问控制列表的关联方法及系统与流程

本发明涉及qos(qualityofservice，服务质量)领域，具体涉及一种服务质量策略与访问控制列表的关联方法及系统。

背景技术：

在通信设备上，服务质量策略(例如流量匹配策略、流量通过策略、流量拒绝策略等)在执行时需要引用访问控制列表(表中的内容包括是具体匹配策略所需报文的某些字段等)。

但是，服务质量策略引用访问控制列表时，存在以下缺陷：

(1)服务质量策略进行性能统计时，服务质量策略的性能与其引用的访问控制列表的性能对应；但是对于访问控制列表而言，会经常出现被服务质量策略和其他业务(例如接口防攻击业务)同时引用的情况，此时访问控制列表的性能统计是所有引用对象的性能总和，并不是服务质量策略的性能统计。

为了解决上述问题，则需要重新创建一个单独被服务质量策略引用的访问控制列表，但是创建访问控制列表的工作难度较大，不仅工作效率较低，而且创建时的出错率较高，该缺陷对于内容比较复杂的访问控制列表尤为明显。

(2)服务质量策略引用访问控制列表时，需要将服务质量策略与访问控制列表关联，但是，由于服务质量策略每关联一个访问控制列表均会增大硬件(例如芯片)的负荷(即服务质量策略与访问控制列表为“硬”关联)，因此服务质量策略关联访问控制列表的数量受到硬件性能的限制；当服务质量策略需要关联多个访问控制列表时，则需要提升硬件性能，这无疑增加了使用成本。

技术实现要素：

针对现有技术中存在的缺陷，本发明解决的技术问题为：如何在无需重新创建访问控制列表的基础上，实现服务质量策略单独引用访问控制列表的目的；如何在不受硬件性能限制的基础上，将服务质量策略与多个访问控制列表进行关联。

为达到以上目的，本发明提供的服务质量策略与访问控制列表的关联方法，包括以下步骤：配置平台获取服务质量策略需要引用的所有子访问控制列表后，根据所有子访问控制列表形成母访问控制列表，母访问控制列表中所有子访问控制列表的配置顺序，与服务质量策略匹配；将服务质量策略与母访问控制列表进行关联。

在上述技术方案的基础上，该方法还包括以下步骤：配置平台将服务质量策略及其关联的母访问控制列表发送至通信设备，通信设备将母访问控制列表中的每个子访问控制列表，映射至对应的驱动。

在上述技术方案的基础上，该方法还包括以下步骤：当服务质量策略需要引用新的访问控制列表、或者服务质量策略需要删除某个访问控制列表、或者母访问控制列表中的部分子访问控制列表发生变化时，对应更新母访问控制列表。

在上述技术方案的基础上，所述根据所有子访问控制列表形成母访问控制列表的流程包括：根据服务质量策略获取所有子访问控制列表的配置顺序；为每个子访问控制列表申请列表id，将每个列表id与对应的配置顺序关联。

在上述技术方案的基础上，与所述配置顺序关联的所有列表id为具备间隔的连续数字id，相邻数字id的间隔至少为5。

本发明提供的服务质量策略与访问控制列表的关联系统，包括设置于配置平台上的访问控制列表配置关联模块，其用于：获取服务质量策略需要引用的所有子访问控制列表后，根据所有子访问控制列表形成母访问控制列表，母访问控制列表中所有子访问控制列表的配置顺序，与服务质量策略匹配；将服务质量策略与母访问控制列表进行关联。

在上述技术方案的基础上，该系统还包括设置于通信设备上的访问控制列表映射模块；

所述访问控制列表配置关联模块还用于：将服务质量策略及其关联的母访问控制列表发送至通信设备，

访问控制列表映射模块用于：将母访问控制列表中的每个子访问控制列表，映射至对应的驱动。

在上述技术方案的基础上，所述访问控制列表配置关联模块还用于：当服务质量策略需要引用新的访问控制列表、或者服务质量策略需要删除某个访问控制列表、或者母访问控制列表中的部分子访问控制列表发生变化时，对应更新母访问控制列表。

在上述技术方案的基础上，所述访问控制列表配置关联模块根据所有子访问控制列表形成母访问控制列表的流程包括：根据服务质量策略获取所有子访问控制列表的配置顺序；为每个子访问控制列表申请列表id，将每个列表id与对应的配置顺序关联。

在上述技术方案的基础上，与所述配置顺序关联的所有列表id为具备间隔的连续数字id，相邻数字id的间隔至少为5。

本发明的有益效果在于：

(1)与现有技术中重新创建一个单独被服务质量策略引用的访问控制列表相比，本发明能够合理利用已有的访问控制列表形成一个可单独被服务质量策略引用的访问控制列表，不需要重新创建访问控制列表，进而显著降低了工作难度，大幅度提高了工作效率，而且与重新创建访问控制列表相比，本发明将已有的子访问控制列表形成母访问控制列表的出错概率较低。

与此同时，本发明将服务质量策略与访问控制列表的关联，以及访问控制列表的迭代(即母访问控制列表的变化)均放在了配置平台侧，不会对通信设备造成影响；而且母访问控制列表只是利用了子访问控制列表的资源，不会影响子访问控制列表被其他业务引用，用户体检较好。

(2)与现有技术中服务质量策略关联访问控制列表的数量受到硬件性能的限制相比，本发明能够实现在硬件上仅与1个访问控制列表(母访问控制列表)关联，在软件上可与多个访问控制列表(子访问控制列表)关联，即本发明能够使得服务质量策略实际关联的访问控制列表的数量不受硬件性能的限制，因为无论软件上关联多少访问控制列表，在硬件上都只是关联一个。因此，本发明能够在无需提升硬件性能的基础上，实现服务质量策略配置任意数量的访问控制列表的目的，进而极大的提升了服务质量策略的灵活性和扩展性，还降低了使用成本，非常适于实用和推广。

附图说明

图1为本发明实施例中服务质量策略与访问控制列表的关联方法的执行流程图。

具体实施方式

以下结合附图及实施例对本发明作进一步详细说明。

本发明实施例中的服务质量策略与访问控制列表的关联方法，包括以下步骤：配置平台获取服务质量策略需要引用的所有子访问控制列表后，根据所有子访问控制列表形成母访问控制列表，母访问控制列表中所有子访问控制列表的配置顺序，与服务质量策略匹配；将服务质量策略与母访问控制列表进行关联。

由此可知，本发明能够先将多个子访问控制列表形成1个母访问控制列表，再将母访问控制列表与服务质量策略关联，在此基础上：

(1)与现有技术中重新创建一个单独被服务质量策略引用的访问控制列表相比，本发明能够合理利用已有的访问控制列表形成一个可单独被服务质量策略引用的访问控制列表，不需要重新创建访问控制列表，进而显著降低了工作难度，大幅度提高了工作效率，而且与重新创建访问控制列表相比，本发明将已有的子访问控制列表形成母访问控制列表的出错概率较低。

与此同时，本发明将服务质量策略与访问控制列表的关联，以及访问控制列表的迭代(即母访问控制列表的变化)均放在了配置平台侧，不会对通信设备造成影响；而且母访问控制列表只是利用了子访问控制列表的资源，不会影响子访问控制列表被其他业务引用，用户体检较好。

(2)与现有技术中服务质量策略关联访问控制列表的数量受到硬件性能的限制相比，本发明能够实现在硬件上仅与1个访问控制列表(母访问控制列表)关联，在软件上可与多个访问控制列表(子访问控制列表)关联，即本发明能够使得服务质量策略实际关联的访问控制列表的数量不受硬件性能的限制，因为无论软件上关联多少访问控制列表，在硬件上都只是关联一个。因此，本发明能够实现服务质量策略配置任意数量的访问控制列表的目的，进而极大的提升了服务质量策略的灵活性和扩展性，非常适于实用和推广。

优选的，该方法还包括通信设备映射流程：配置平台将服务质量策略及其关联的母访问控制列表发送至通信设备，通信设备将母访问控制列表中的每个子访问控制列表，映射至对应的驱动。此外，只有在取消服务质量策略与业务的应用关系时(即停止使用服务质量策略)，通信设备才会释放子访问控制列表与驱动的映射关系、以及相应的驱动。

由此可知，本实施例清晰的阐述了通信设备如何将母访问控制列表与驱动匹配的过程，进而保证公众能够知悉如何在通信设备上使用母访问控制列表。

优选的，该方法还包括访问控制列表更新流程：当服务质量策略需要引用新的访问控制列表、或者服务质量策略需要删除某个访问控制列表、或者母访问控制列表中的部分子访问控制列表发生变化时，对应更新母访问控制列表。

由此可知，本实施例清晰的阐述了母访问控制列表更新流程，进而保证公众能够知悉在服务质量策略引用的访问控制列表发生变化时如何对母访问控制列表进行相应的处理。

优选的，该方法中所述根据所有子访问控制列表形成母访问控制列表的流程包括：根据服务质量策略获取所有子访问控制列表的配置顺序；为每个子访问控制列表申请列表id，将每个列表id与对应的配置顺序关联。

由此可知，本实施例通过列表id的方式关联子访问控制列表及其配置顺序，进而便于后续通过列表id来完成子访问控制列表的配置，简化了操作流程，便于人们使用。

此外，为每个子访问控制列表申请列表id，将每个列表id与对应的配置顺序关联的具体方式可以为：按照配置顺序从小到大申请列表id，或者按照配置顺序从大到小申请列表id，列表id的顺序可有规律也可无规律，只需与配置顺序关联即可。例如列表id1～5，关联的配置顺序为子访问控制列表1～5；或者列表id1、3、5、7、9，关联的配置顺序为子访问控制列表1～5。

优选的，与配置顺序关联的所有列表id为具备间隔的连续数字id，相邻数字id的间隔至少为5(本实施例中为10，例如列表id为1,11,21,31…)，其原理为：子访问控制列表的配置逻辑一般为：按照列表id的排列顺序进行配置，所以列表id一般为连续数字；相邻数字id具备间隔的目的是：当需要插入在中间进行配置的子访问控制列表(例如第3个配置的子访问控制列表)时，可将该子访问控制列表的列表id在数字间隔中选择，这样可以保证列表id的连续性，无需调整子访问控制列表的配置逻辑。

优选的，参见图1所示，本发明实施例中的服务质量策略与访问控制列表的关联方法的实际使用流程为：

s1：用户通过cli(command-lineinterface，命令行界面)/控制器/网管等工具进行服务质量策略的配置，以及服务质量策略需要引用的访问控制列表的配置。

s2：用户将服务质量策略的配置、以及服务质量策略需要引用的访问控制列表的配置，映射至配置平台的数据库，数据库包括服务质量策略数据库和访问控制列表等。

s3：配置平台建立数据库之间的逻辑关系，以此实现根据所有子访问控制列表形成母访问控制列表，为每个子访问控制列表分配列表id来做好内部映射，并将服务质量策略与母访问控制列表进行关联的目的。

s4：配置平台将服务质量策略及其关联母访问控制列表，按照特定的格式发送给通信设备。

s5：通信设备将母访问控制列表中的每个子访问控制列表，映射至对应的驱动，以形成配置文件。

s6：通信设备调用相应驱动的api(applicationprogramminginterface，应用程序编程接口)执行配置文件。

s7：通信设备执行配置文件成功后保存配置文件。

本发明实施例中的服务质量策略与访问控制列表的关联系统，包括设置于配置平台上的访问控制列表配置关联模块、以及设置于通信设备上的访问控制列表映射模块；

访问控制列表配置关联模块用于：

(1)获取服务质量策略需要引用的所有子访问控制列表后，根据所有子访问控制列表形成母访问控制列表，母访问控制列表中所有子访问控制列表的配置顺序，与服务质量策略匹配；

(2)将服务质量策略与母访问控制列表进行关联后，将服务质量策略及其关联的母访问控制列表发送至通信设备；

(3)当服务质量策略需要引用新的访问控制列表、或者服务质量策略需要删除某个访问控制列表、或者母访问控制列表中的部分子访问控制列表发生变化时，对应更新母访问控制列表。

访问控制列表配置关联模块根据所有子访问控制列表形成母访问控制列表的流程包括：根据服务质量策略获取所有子访问控制列表的配置顺序；为每个子访问控制列表申请列表id，将每个列表id与对应的配置顺序关联；与所述配置顺序关联的所有列表id为具备间隔的连续数字id，相邻数字id的间隔至少为5。

访问控制列表映射模块用于：将母访问控制列表中的每个子访问控制列表，映射至对应的驱动。

需要说明的是：本发明实施例提供的系统在进行模块间通信时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将系统的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

进一步，本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。