專利名稱:一種訪問(wèn)控制列表的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種訪問(wèn)控制列表(ACL)的方法�����,尤其是一種采用專用集成電路ASIC芯片實(shí)現(xiàn)訪問(wèn)控制列表(ACL)的方法。
背景技術(shù):
在網(wǎng)絡(luò)技術(shù)日新月異的今天�,隨著網(wǎng)絡(luò)運(yùn)營(yíng)商的不斷崛起和成立,網(wǎng)絡(luò)通信領(lǐng)域?qū)W(wǎng)絡(luò)通信設(shè)備的要求越來(lái)越高��。目前�,網(wǎng)絡(luò)通信設(shè)備——router和L3 switch在針對(duì)“訪問(wèn)控制列表”功能的實(shí)現(xiàn)上,主要有以下兩種方式一�、多數(shù)router和switch不支持訪問(wèn)控制列表,僅僅支持基本的交換和路由功能�����,也就是通過(guò)對(duì)進(jìn)入router和switch的數(shù)據(jù)包包頭的IP地址和MAC地址進(jìn)行解析查表�����,得到該數(shù)據(jù)包的目的路由端口以及一些其他相關(guān)信息��。這種方式的路由功能��,不能完成基于源IP地址和目的IP地址的網(wǎng)絡(luò)過(guò)濾����,也就是不能針對(duì)來(lái)自某些特殊IP地址或到達(dá)某些特殊IP地址的數(shù)據(jù)包進(jìn)行訪問(wèn)限制�����。而這種網(wǎng)絡(luò)過(guò)濾技術(shù)在提高網(wǎng)絡(luò)安全�,保證通信質(zhì)量的今天是非常必要的�����。
二�、部分router和switch除了支持基本的交換和路由功能外,也支持“訪問(wèn)控制列表”(ACL)功能���。不過(guò)這些router和switch在完成“訪問(wèn)控制列表”功能時(shí)采用的都是軟件實(shí)現(xiàn)的方式。使用軟件實(shí)現(xiàn)“訪問(wèn)控制列表”功能在系統(tǒng)資源的耗用以及網(wǎng)絡(luò)速度的保證上存在著一定的缺陷�����。因?yàn)槭褂煤蠖塑浖瓿伞霸L問(wèn)控制列表”時(shí)���,會(huì)極大的占用CPU資源����,使得本來(lái)就負(fù)擔(dān)很重的router和switch CPU(CPU將完成許多其他功能)處理性能大幅下降�,從而影響到整個(gè)router和switch的性能����。而且�����,使用軟件實(shí)現(xiàn)“訪問(wèn)控制列表”處理速度較低��,當(dāng)router和switch處于網(wǎng)絡(luò)擁塞即繁忙時(shí)�,router和switch可能就無(wú)法滿足網(wǎng)絡(luò)通信設(shè)備線速交換的基本功能。
發(fā)明內(nèi)容
本發(fā)明旨在解決現(xiàn)有網(wǎng)絡(luò)通信設(shè)備——router以及switch在實(shí)現(xiàn)訪問(wèn)控制列表功能上存在的缺陷����,克服所采用的軟件實(shí)現(xiàn)方式帶來(lái)的系統(tǒng)資源耗用大、處理速度低的弊端���,提供一種采用ASIC芯片實(shí)現(xiàn)訪問(wèn)控制列表的方法����。
為解決上述技術(shù)問(wèn)題�,本發(fā)明所采用的技術(shù)方案如下一種基于源IP地址和目的IP地址的訪問(wèn)控制列表的方法,該方法包括如下步驟a�����、通過(guò)對(duì)進(jìn)入網(wǎng)絡(luò)通信設(shè)備的數(shù)據(jù)包包頭的源IP地址和目的IP地址進(jìn)行解析查表;b��、根據(jù)a項(xiàng)所述����,查表將得到源IP地址和目的IP地址所對(duì)應(yīng)的相關(guān)路由信息和訪問(wèn)控制列表地址,若源IP或者目的IP地址沒(méi)有找到匹配地址�,則使用缺省的訪問(wèn)控制地址。
c��、根據(jù)訪問(wèn)控制列表地址查找訪問(wèn)控制表的內(nèi)容可以選擇將該數(shù)據(jù)包做各種相應(yīng)處理����。
上述c項(xiàng)所述具體處理方式由網(wǎng)絡(luò)管理員預(yù)先設(shè)置,包括“正常轉(zhuǎn)發(fā)數(shù)據(jù)包”�、“優(yōu)先送CPU”、“丟棄”����。
本發(fā)明所述解析查表得到的是路由表�,所述路由表上根據(jù)使用的源IP地址和目的IP地址得到路由相關(guān)信息,這些相關(guān)信息包括IP地址��、目的輸出端口�����、訪問(wèn)控制組。
本發(fā)明訪問(wèn)控制組是一種訪問(wèn)控制列表的索引信號(hào)�����,是在對(duì)交換機(jī)寫(xiě)入路由表的表項(xiàng)信息時(shí)配置的����。
本發(fā)明的有益效果表現(xiàn)在一、本發(fā)明由于采用了ASIC結(jié)構(gòu)內(nèi)嵌入L2/L3層以太網(wǎng)交換機(jī)�,在完成路由和訪問(wèn)控制(ACL)時(shí)不受CPU限制,可以大大節(jié)省CPU資源���,使CPU專注完成其他功能�����,提高整個(gè)系統(tǒng)的性能����;二�、本發(fā)明克服了軟件方式存在的處理速度慢的缺陷,提高了整個(gè)系統(tǒng)在網(wǎng)絡(luò)環(huán)境中的高速處理能力。即使在100/1000/10000M的高速網(wǎng)絡(luò)處于擁塞或繁忙時(shí)�����,也能保證進(jìn)行線速交換���;三�����、本發(fā)明使路由功能的實(shí)現(xiàn)簡(jiǎn)單易行�,穩(wěn)定可靠���。
圖1為本發(fā)明流程框2為本發(fā)明ASIC結(jié)構(gòu)圖具體實(shí)施方式
本發(fā)明采用的具體步驟如下一����、將路由表的表項(xiàng)信息寫(xiě)入交換機(jī)�;(見(jiàn)附圖Cpu配置表信息);二����、通過(guò)對(duì)進(jìn)入網(wǎng)絡(luò)通信設(shè)備的數(shù)據(jù)包包頭的源IP地址和目的IP地址進(jìn)行解析�,有限狀態(tài)機(jī)控制分析時(shí)序信息,查找3層表(內(nèi)置2048×112bitRAM)����。所得的路由表根據(jù)使用的源IP地址和目的IP地址得到一組關(guān)聯(lián)信息���,這些關(guān)聯(lián)信息包括IP地址、目的輸出端口��、訪問(wèn)控制組����。如圖1所示,根據(jù)數(shù)據(jù)包包頭查找三層源地址表和三層目的地址表���,得到選擇信息和三層信息����;三�、有限狀態(tài)機(jī)判決源IP地址和目的IP地址是否命中,這些信息是有效時(shí)訪問(wèn)控制表地址為查找到的信息����,否則使用缺省的信息去訪問(wèn)控制列表(ACL),其中訪問(wèn)控制組信號(hào)是一種訪問(wèn)控制列表的索引信號(hào)��,如圖1所示,根據(jù)選擇器得到訪問(wèn)控制列表���;四�、根據(jù)訪問(wèn)控制列表的內(nèi)容可以選擇將該數(shù)據(jù)包做各種相應(yīng)處理(處理方式由網(wǎng)絡(luò)管理員預(yù)先設(shè)置)��。相應(yīng)處理方式及功能有“正常轉(zhuǎn)發(fā)數(shù)據(jù)包”�����,“優(yōu)先送CPU”�,“丟棄”等。
訪問(wèn)控制表項(xiàng)中�,各種功能將由使用的網(wǎng)絡(luò)管理人員根據(jù)實(shí)際網(wǎng)絡(luò)情況進(jìn)行配置。
權(quán)利要求
1.一種基于源IP地址和目的IP地址的訪問(wèn)控制列表的方法����,其特征在于該方法包括如下步驟a、通過(guò)對(duì)進(jìn)入網(wǎng)絡(luò)通信設(shè)備的數(shù)據(jù)包包頭的源IP地址和目的IP地址進(jìn)行解析查表�;b、根據(jù)a項(xiàng)所述����,查表將得到源IP地址和目的IP地址所對(duì)應(yīng)的相關(guān)路由信息和訪問(wèn)控制列表地址,若源IP或者目的IP地址沒(méi)有找到匹配地址����,則使用缺省的訪問(wèn)控制地址。c�����、根據(jù)訪問(wèn)控制列表地址查找訪問(wèn)控制表的內(nèi)容可以選擇將該數(shù)據(jù)包做各種相應(yīng)處理����。
2.根據(jù)權(quán)利要求1所述的訪問(wèn)控制列表的方法,其特征在于上述c項(xiàng)所述具體處理方式由網(wǎng)絡(luò)管理員預(yù)先設(shè)置�,包括“正常轉(zhuǎn)發(fā)數(shù)據(jù)包”、“優(yōu)先送CPU”����、“丟棄”。
3.根據(jù)權(quán)利要求1所述的訪問(wèn)控制列表的方法���,其特征在于所述解析查表得到的是路由表��,所述路由表上根據(jù)使用的源IP地址和目的IP地址得到路由相關(guān)信息�,這些相關(guān)信息包括IP地址���、目的輸出端口�����、訪問(wèn)控制組�����。
4.根據(jù)權(quán)利要求3所述的訪問(wèn)控制列表的方法����,其特征在于所述訪問(wèn)控制組是一種訪問(wèn)控制列表的索引信號(hào),是在對(duì)交換機(jī)寫(xiě)入路由表的表項(xiàng)信息時(shí)配置的����。
全文摘要
本發(fā)明公開(kāi)了一種采用專用集成電路ASIC芯片實(shí)現(xiàn)訪問(wèn)控制列表(ACL)的方法,旨在解決現(xiàn)有網(wǎng)絡(luò)通信設(shè)備router以及switch在實(shí)現(xiàn)訪問(wèn)控制列表功能上存在的缺陷��。該方法包括如下步驟通過(guò)對(duì)進(jìn)入網(wǎng)絡(luò)通信設(shè)備的數(shù)據(jù)包包頭的源IP地址和目的IP地址進(jìn)行解析查表���;查表將得到源IP地址和目的IP地址所對(duì)應(yīng)的相關(guān)路由信息和訪問(wèn)控制列表地址�,若源IP或者目的IP地址沒(méi)有找到匹配地址��,則使用缺省的訪問(wèn)控制地址�;根據(jù)訪問(wèn)控制列表地址查找訪問(wèn)控制表的內(nèi)容可以選擇將該數(shù)據(jù)包做各種相應(yīng)處理。采用本發(fā)明可以大大節(jié)省CPU資源�����,使CPU專注完成其他功能,提高整體性能�����。
文檔編號(hào)H04L12/56GK1625149SQ200310111070
公開(kāi)日2005年6月8日 申請(qǐng)日期2003年12月2日 優(yōu)先權(quán)日2003年12月2日
發(fā)明者包雅林, 陳卓, 李為民, 王步偉 申請(qǐng)人:四川南山之橋微電子有限公司