一种匹配IP网段的方法及装置与流程

本发明属于网络技术领域，具体涉及一种匹配ip网段的方法及装置。

背景技术：

在一些网络业务场景中，常常需要根据ip网段来设置一组策略，当每一个数据包到达时，都会与这些策略组做匹配。现行的匹配方式主要通过循环查找的方式实现，请参见图1、图2，由图2可知，当需要匹配的策略的总网段数为n时，其匹配的时间复杂度为o(n)。也就是说当需要匹配的网段数越多，其匹配效率越低。所以，该方式虽然实现简单，但是匹配过程的时间复杂度会随着策略的增加而增加，当匹配策略较多时，匹配的时间长，延迟高，效率低。

因此，当策略较多的应用场景中，需要一种匹配ip网段的方法，其匹配的效率不会因为策略数量的增加而大幅降低。

技术实现要素：

本发明提出一种匹配ip网段的方法及装置，用于解决在策略较多的应用场景中，现行策略匹配方法延迟高，效率低的问题。

本发明第一方面，提出一种匹配ip网段的方法，所述方法包括：

s1、对基于ip网段的策略组进行子网段划分，提取子网段中的子网掩码，生成掩码库，并初始化ip网段的hash链表；

s2、将待匹配的ip依次与所述掩码库中的掩码进行逻辑与运算，得到待匹配的ip网段；

s3、计算所述待匹配ip网段的hash值，将所述hash值与最大质数进行取模运算；

s4、根据所述取模运算的结果匹配所述hash链表，返回匹配结果。

可选的，所述步骤s1中，初始化ip网段的hash链表的具体过程为：

分别计算各个子网段的hash值，将所述子网段的hash与一个最大质数h1进行取模运算，分别得到一个index，将所述index作为hash链表中数组的下标；如果有多个网段的index相同，将所有的index相同的网段依次存到一个链表中。

可选的，所述步骤s2中，所述将待匹配的ip依次与掩码库中的掩码进行逻辑与运算时，采用先匹配大掩码，后匹配小掩码的规则。

可选的，所述步骤s4中，所述匹配hash链表的过程中，如果匹配到的index处是一个链表，依次遍历所述链表，将所述待匹配的ip与所述链表上网段的子网掩码进行逻辑与运算，匹配字符串是否一致，如果一致即返回，匹配成功；如果不一致，继续遍历，直至访问到链表尾部，匹配结束。

本发明第二方面，提供一种匹配ip网段的装置，所述装置包括：

初始化模块：用于对基于ip网段的策略组进行子网段划分，提取子网段中的子网掩码，生成掩码库，并初始化ip网段hash链表；

运算模块：用于将待匹配的ip依次与所述掩码库中的掩码进行逻辑与运算，得到待匹配的ip网段；计算所述待匹配ip网段的hash值，将所述hash值与最大质数h1进行取模运算；

匹配模块：用于根据所述取模运算的结果匹配hash链表，返回匹配结果。

可选的，初始化ip网段hash链表的具体过程为：分别计算各个子网段的hash值，将所述子网段的hash值与一个最大质数h1进行取模运算，分别得到一个index，将所述index作为hash链表中数组的下标；如果有多个网段的index相同，将所有index相同的网段依次存到一个链表中。

可选的，所述运模块中，所述将待匹配的ip依次与掩码库中的掩码进行与运算时，采用先匹配大掩码，后匹配小掩码的规则。

可选的，所述匹配模块中，如果匹配到的index处是一个链表，依次遍历所述链表，将所述待匹配的ip与所述链表上网段的子网掩码进行逻辑与运算，匹配字符串是否一致，如果一致即返回，匹配成功；如果不一致，继续遍历，直至访问到链表尾部，匹配结束。

本发明的有益效果是：

本发明通过hash链表快速匹配网段的方法，可以大大提高匹配的效率，延迟小，即使匹配的策略非常多，也可保证匹配的速度。

附图说明

为了更清楚地说明本发明的技术方案，下面将对本发明技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为传统的匹配ip网段的方法示意图；

图2为传统的匹配ip网段的方法流程示意图；

图3为本发明提出的匹配ip网段的方法流程示意图；

图4为本发明实施例提出的匹配ip网段的方法示意图；

图5为本发明提供的匹配ip网段的装置结构示意图。

具体实施方式

本发明提出一种匹配ip网段的方法及装置，提高匹配效率。

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图3，图4，本发明提出一种匹配ip网段的方法，所述方法包括：

s1、对基于ip网段的策略组进行子网段划分，提取子网段中的子网掩码，生成掩码库，并初始化ip网段的hash链表；

具体的，在网络业务场景中，已经有很多根据ip网段来设置的策略组，利用现有的基于ip网段的策略组来作为本发明匹配ip网段的基础数据，首先对基于ip网段的策略组进行子网段划分，得到各个子网段，一方面提取子网段中的子网掩码，生成掩码库，另一方面根据所述子网段生成一个hash链表并初始化，将所述各个子网段存储在hash链表中，每接收到一个待匹配ip，将其ip与hash链表中存储的ip网段匹配。

所述步骤s1中，初始化ip网段的hash链表的具体过程为：分别计算各个子网段的hash值，将所述子网段的hash值与一个最大质数h1进行取模运算，分别得到一个index，将所述index作为hash链表中数组的下标；如果有多个网段的index相同，将所有的index相同的网段依次存到一个链表中。

请参阅图4，图4为本发明提出的匹配方法示意图，首先从基于ip网段的策略组中划分出各个子网段，然基于这些子网段生成一个掩码库和一个hash链表，该hash链表采用数组+链表的形式，各个子网段取模运算得到的index作为hash链表中数组的下标，各个子网段存储到链表中，其中index相同的网段依次存到同一个链表中。即当index冲突时，将网段加入index所指的链表头部。

s2、将待匹配的ip依次与所述掩码库中的掩码进行逻辑与运算，得到待匹配的ip网段；

所述步骤s2中，所述将待匹配的ip依次与掩码库中的掩码进行逻辑与运算时，采用先匹配大掩码，后匹配小掩码的规则。具体的，比如说掩码库有26、24、22,会依次从大往小与ip进行与运算。

s3、计算所述待匹配ip网段的hash值，将所述hash值与最大质数h1进行取模运算；

s4、根据所述取模运算的结果匹配所述hash链表，返回匹配结果。

所述步骤s4中，读取hash链表并依次进行匹配，若匹配成功，则返回匹配成功，否则一直匹配到hash链表结尾；所述匹配hash链表的过程中，如果匹配到的index处是一个链表，依次遍历所述链表，将所述待匹配的ip与所述链表上网段的子网掩码进行逻辑与运算，匹配字符串是否一致，如果一致即返回，匹配成功；如果不一致，继续遍历，直至访问到链表尾部，匹配结束。具体的，将所述待匹配的ip与所述链表上网段的子网掩码进行逻辑与运算得到就是待匹配ip网段，比较所述待匹配ip网段与所述链表上对应的网段，若字符串一致则匹配成功。

请参阅图5，本发明还提供一种匹配ip网段的装置，所述装置包括：

初始化模块510：用于对基于ip网段的策略组进行子网段划分，提取子网段中的子网掩码，生成掩码库，并初始化ip网段hash链表；

运算模块520：用于将待匹配的ip依次与所述掩码库中的掩码进行逻辑与运算，得到待匹配的ip网段；计算所述待匹配ip网段的hash值，将所述hash值与最大质数h1进行取模运算；

匹配模块530：用于根据所述取模运算的结果匹配hash链表，返回匹配结果。

所述初始化模块510中，所述初始化ip网段hash链表的具体过程为：分别计算各个子网段的hash值，将所述子网段的hash值与一个最大质数h1进行取模运算，分别得到一个index，将所述index作为hash链表中数组的下标；如果有多个网段的index相同，将所有的index相同的网段依次存到一个链表中。

所述运模块520中，所述将待匹配的ip依次与掩码库中的掩码进行与运算时，采用先匹配大掩码，后匹配小掩码的规则。

所述匹配模块530中，如果匹配到的index处是一个链表，依次遍历所述链表，将所述待匹配的ip与所述链表上网段的子网掩码进行逻辑与运算，匹配字符串是否一致，如果一致即返回，匹配成功；如果不一致，继续遍历，直至访问到链表尾部，匹配结束。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各实施例的模块、单元和/或方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。