亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

生成訪問控制列表的方法及裝置的制作方法

文檔序號:7744980閱讀:116來源:國知局
專利名稱:生成訪問控制列表的方法及裝置的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及生成訪問控制列表的方法及裝置。
背景技術(shù)
ACL(Access Control List,訪問控制列表)是一種定義流的工具,它通過一系列的匹配條件對報文進行分類,這些匹配條件可以是數(shù)據(jù)包的目的MAC(Media Access Control,媒體訪問控制)地址、源MAC地址、端口號等,有的還包括自定義域。ACL應(yīng)用在交換路由設(shè)備中,主要用于網(wǎng)絡(luò)安全、QOS (Quality of krvice,服務(wù)質(zhì)量)、包過濾等業(yè)務(wù)。對產(chǎn)品應(yīng)用來說,各種應(yīng)用要求的關(guān)鍵字長度不一樣。有時候要比較源MAC地址,有時候要比較目的MAC地址,有時候要同時比較源MAC地址和目的MAC地址。對 IPV4 (Internet Protocol Version 4,互聯(lián)網(wǎng)協(xié)議第四版)的報文比較 IP Qnternet Protocol,互聯(lián)網(wǎng)協(xié)議)地址,對IPV6 (InternetProtocol Version 6,互聯(lián)網(wǎng)協(xié)議第六版) 的報文也要比較IP地址,但是IP地址的長度就從IPV4的32變成了 1 位。并且由于自定義域的ACL可以用來擴展為對未知協(xié)議或者還未實現(xiàn)協(xié)議的支持,因此支持的原始關(guān)鍵字的長度是越長越靈活,并且支持的規(guī)則數(shù)目越多越靈活。ACL的硬件實現(xiàn),不管是用哪種方法,都非常耗資源。支持的關(guān)鍵字越長,對資源消耗越大;支持的規(guī)則數(shù)目越多,對資源消耗也越大。產(chǎn)品需求中,原始關(guān)鍵字大部分應(yīng)用是比較短的,少部分要求比較長,并且為了保留擴展能力,要求原始關(guān)鍵字越長越好。硬件為了滿足產(chǎn)品需求,通常是把最長的原始關(guān)鍵字跟實現(xiàn)關(guān)鍵字等價,使現(xiàn)有方案中支持的實現(xiàn)關(guān)鍵字的長度就等于最長的原始關(guān)鍵字的長度,實現(xiàn)關(guān)鍵字為在硬件實現(xiàn)的匹配中實際支持的域。發(fā)明人在實現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)上述現(xiàn)有技術(shù)存在如下不足現(xiàn)有方案中支持的實現(xiàn)關(guān)鍵字的長度等于最長的原始關(guān)鍵字的長度,導(dǎo)致實現(xiàn)關(guān)鍵字較長,消耗了大量的硬件資源。如果用寄存器來實現(xiàn),面積非常大,因此支持的規(guī)則數(shù)目有限;如果用CAM (Content Addressable Memory,內(nèi)容可尋址存儲器)實現(xiàn),可以支持較多的規(guī)則,但是CAM價格昂貴,面積和功耗都較大。并且,現(xiàn)有方案中支持的實現(xiàn)關(guān)鍵字的長度固定為最長的原始關(guān)鍵字的長度,一旦確定就不能改變,若再出現(xiàn)更長的關(guān)鍵字則不能支持,擴展性不好。

發(fā)明內(nèi)容
本發(fā)明實施例提供一種生成訪問控制列表的方法,用以有效減少硬件資源的消耗,增強ACL的可擴展性,該方法包括確定實現(xiàn)關(guān)鍵字的長度,所述實現(xiàn)關(guān)鍵字的長度為使用率高于閾值的原始關(guān)鍵字的長度;獲得原始關(guān)鍵字,按所述確定的實現(xiàn)關(guān)鍵字的長度,將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。
本發(fā)明實施例還提供一種生成訪問控制列表的裝置,用以有效減少硬件資源的消耗,增強ACL的可擴展性,該裝置包括確定模塊,用于確定實現(xiàn)關(guān)鍵字的長度,所述實現(xiàn)關(guān)鍵字的長度為使用率高于閾值的原始關(guān)鍵字的長度;轉(zhuǎn)換模塊,用于獲得原始關(guān)鍵字,按所述確定的實現(xiàn)關(guān)鍵字的長度,將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。本發(fā)明實施例中,確定實現(xiàn)關(guān)鍵字的長度,該實現(xiàn)關(guān)鍵字的長度為使用率高于閾值的原始關(guān)鍵字的長度;不同于現(xiàn)有技術(shù)中將實現(xiàn)關(guān)鍵字的長度等同于最長原始關(guān)鍵字的長度,可以減小實現(xiàn)關(guān)鍵字的長度,從而有效減少硬件資源的消耗;通過獲得原始關(guān)鍵字, 按所述確定的實現(xiàn)關(guān)鍵字的長度,將原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字,能夠靈活處理不同長度的原始關(guān)鍵字,從而增強了 ACL的可擴展性。


為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。在附圖中圖1為本發(fā)明實施例中生成訪問控制列表的方法流程圖;圖2為本發(fā)明實施例中用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制的流程圖;圖3為本發(fā)明實施例中生成訪問控制列表的裝置的結(jié)構(gòu)示意圖;圖4為本發(fā)明實施例中生成訪問控制列表的裝置的具體實例的結(jié)構(gòu)示意圖;圖5為本發(fā)明實施例中生成訪問控制列表的裝置的具體實例的結(jié)構(gòu)示意圖。
具體實施例方式為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚明白,下面結(jié)合附圖對本發(fā)明實施例做進一步詳細(xì)說明。在此,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,但并不作為對本發(fā)明的限定。如圖1所示,本發(fā)明實施例中,生成訪問控制列表的方法流程可以包括步驟101、確定實現(xiàn)關(guān)鍵字的長度,實現(xiàn)關(guān)鍵字的長度為使用率高于閾值的原始關(guān)鍵字的長度;步驟102、獲得原始關(guān)鍵字,按確定的實現(xiàn)關(guān)鍵字的長度,將原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。由圖1所示流程可以得知,本發(fā)明實施例中,確定實現(xiàn)關(guān)鍵字的長度,實現(xiàn)關(guān)鍵字的長度為使用率高于閾值的原始關(guān)鍵字的長度;不同于現(xiàn)有技術(shù)中將實現(xiàn)關(guān)鍵字的長度等同于最長原始關(guān)鍵字的長度,可以減小實現(xiàn)關(guān)鍵字的長度,從而有效減少硬件資源的消耗; 通過獲得原始關(guān)鍵字,按確定的實現(xiàn)關(guān)鍵字的長度,將原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字,能夠靈活處理不同長度的原始關(guān)鍵字,增強了 ACL的可擴展性。具體實施時,圖1所示流程中的原始關(guān)鍵字可以是在ACL規(guī)則處理時所涉及的任意字段,可以包含自定義域和/或固定域。其中,自定義域即可配置的字節(jié)偏移,固定域可以包括源MAC地址、源IP地址等。原始關(guān)鍵字是指實際應(yīng)用中需要匹配的關(guān)鍵字;實現(xiàn)關(guān)鍵字是指實際用于匹配的關(guān)鍵字。步驟101中將使用率高于閾值的原始關(guān)鍵字的長度確定為實現(xiàn)關(guān)鍵字的長度,在產(chǎn)品應(yīng)用中,可將最常用的原始關(guān)鍵字的長度確定為實現(xiàn)關(guān)鍵字的長度。實施步驟102時,在獲得原始關(guān)鍵字后,按確定的實現(xiàn)關(guān)鍵字的長度,將原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字可以有多種實施方式,例如若原始關(guān)鍵字的長度大于確定的實現(xiàn)關(guān)鍵字的長度,則通過拆分將原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字;即,可以把長度比較長的原始關(guān)鍵字拆成多個長度適中但比原始關(guān)鍵字短的實現(xiàn)關(guān)鍵字;若原始關(guān)鍵字的長度等于確定的實現(xiàn)關(guān)鍵字的長度,則將原始關(guān)鍵字確定為實現(xiàn)關(guān)鍵字;即,如果原始關(guān)鍵字長度適中,則不需要拆,直接作為實現(xiàn)關(guān)鍵字;若原始關(guān)鍵字的長度小于確定的實現(xiàn)關(guān)鍵字的長度,則將多個原始關(guān)鍵字合并為實現(xiàn)關(guān)鍵字,或通過掩碼將原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字;即,如果原始關(guān)鍵字長度較短, 則可把幾個較短的原始關(guān)鍵字合并為一個實現(xiàn)關(guān)鍵字;也可以不拆分,直接作為實現(xiàn)關(guān)鍵字,不足部分認(rèn)為匹配即可。此處不足部分認(rèn)為匹配的方法可以通過掩碼實現(xiàn),當(dāng)然也可以通過其它方法實現(xiàn),從而將多個長度較短的原始關(guān)鍵字,拼成長度適中但比原始關(guān)鍵字長的實現(xiàn)關(guān)鍵字。通過上述對原始關(guān)鍵字的轉(zhuǎn)換,可以在滿足需求的情況下,提供更高的靈活性,并且節(jié)省硬件表項空間和所需資源。原始關(guān)鍵字和實現(xiàn)關(guān)鍵字之間還可以通過合并或拆分, 互相轉(zhuǎn)化。一個實施例中,在步驟101確定實現(xiàn)關(guān)鍵字的長度為使用率高于閾值的原始關(guān)鍵字的長度后,還可以將步驟102具體實施為根據(jù)實現(xiàn)關(guān)鍵字的長度、原始關(guān)鍵字的長度、和預(yù)留的資源,確定實現(xiàn)關(guān)鍵字的數(shù)目;按確定的實現(xiàn)關(guān)鍵字的長度和數(shù)目,將原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。一個實施例中,在將原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字之后,還可以用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制。具體實施時,還可以根據(jù)預(yù)設(shè)的規(guī)則數(shù)目和預(yù)留的資源,確定支持的規(guī)則數(shù)目;則后續(xù)可以按確定的規(guī)則數(shù)目,用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制。本發(fā)明實施例在滿足產(chǎn)品需求的前提下,可減少實現(xiàn)關(guān)鍵字的長度,使硬件資源消耗大大減少, 因而可以實現(xiàn)更多的規(guī)則。實施中,預(yù)設(shè)的規(guī)則數(shù)目可以根據(jù)實際情況設(shè)置,例如可以是產(chǎn)品正常應(yīng)用需要支持的規(guī)則數(shù)目。預(yù)留的資源可以根據(jù)實際情況設(shè)置,例如可以是硬件能夠接受的資源等。具體實施時,可以在用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制之前,對規(guī)則進行如下配置,以實現(xiàn)規(guī)則任意相連將當(dāng)前規(guī)則配置為規(guī)則的最后一跳,或?qū)εc當(dāng)前規(guī)則相連的最后一跳的規(guī)則進行配置;若有多個規(guī)則相連,則配置在前的規(guī)則指向最后一跳的規(guī)則;將每個規(guī)則的匹配結(jié)果預(yù)設(shè)為匹配,配置每個規(guī)則在進行匹配后,將匹配結(jié)果反映于規(guī)則的下一跳或最后一跳。舉一例實現(xiàn)規(guī)則任意相連,如下表所示,可對規(guī)則進行如下配置
權(quán)利要求
1.一種生成訪問控制列表的方法,其特征在于,該方法包括確定實現(xiàn)關(guān)鍵字的長度,所述實現(xiàn)關(guān)鍵字的長度為使用率高于閾值的原始關(guān)鍵字的長度;獲得原始關(guān)鍵字,按所述確定的實現(xiàn)關(guān)鍵字的長度,將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。
2.如權(quán)利要求1所述的方法,其特征在于,按所述確定的實現(xiàn)關(guān)鍵字的長度,將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字,包括若所述原始關(guān)鍵字的長度大于所述確定的實現(xiàn)關(guān)鍵字的長度,則通過拆分將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字;或若所述原始關(guān)鍵字的長度等于所述確定的實現(xiàn)關(guān)鍵字的長度,則將所述原始關(guān)鍵字確定為實現(xiàn)關(guān)鍵字;或若所述原始關(guān)鍵字的長度小于所述確定的實現(xiàn)關(guān)鍵字的長度,則通過合并或掩碼將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。
3.如權(quán)利要求1或2所述的方法,其特征在于,還包括 用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制。
4.如權(quán)利要求3所述的方法,其特征在于,用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制之前,包括對規(guī)則進行如下配置將當(dāng)前規(guī)則配置為規(guī)則的最后一跳,或?qū)εc當(dāng)前規(guī)則相連的最后一跳的規(guī)則進行配置;若有多個規(guī)則相連,則配置在前的規(guī)則指向最后一跳的規(guī)則;將每個規(guī)則的匹配結(jié)果預(yù)設(shè)為匹配,配置每個規(guī)則在進行匹配后,將匹配結(jié)果反映于規(guī)則的下一跳或最后一跳。
5.如權(quán)利要求4所述的方法,其特征在于,用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制,包括選擇匹配且為最后一跳的規(guī)則作為匹配的規(guī)則;或,選擇所有匹配的最后一跳規(guī)則中表項位置位于最后或指定位置的規(guī)則,作為匹配的規(guī)則;或,比較各個匹配的最后一跳規(guī)則的優(yōu)先級,選擇優(yōu)先級最大或最小或為指定優(yōu)先級的規(guī)則,作為匹配的規(guī)則。
6.如權(quán)利要求3所述的方法,其特征在于,按所述確定的實現(xiàn)關(guān)鍵字的長度,將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字,包括根據(jù)實現(xiàn)關(guān)鍵字的長度、原始關(guān)鍵字的長度、和預(yù)留的資源,確定實現(xiàn)關(guān)鍵字的數(shù)目; 按所述確定的實現(xiàn)關(guān)鍵字的長度和數(shù)目,將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。
7.如權(quán)利要求3所述的方法,其特征在于,用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制,包括根據(jù)預(yù)設(shè)的規(guī)則數(shù)目和預(yù)留的資源,確定支持的規(guī)則數(shù)目; 按所述確定的規(guī)則數(shù)目,用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制。
8.—種生成訪問控制列表的裝置,其特征在于,該裝置包括確定模塊,用于確定實現(xiàn)關(guān)鍵字的長度,所述實現(xiàn)關(guān)鍵字的長度為使用率高于閾值的原始關(guān)鍵字的長度;轉(zhuǎn)換模塊,用于獲得原始關(guān)鍵字,按所述確定的實現(xiàn)關(guān)鍵字的長度,將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。
9.如權(quán)利要求8所述的裝置,其特征在于,所述轉(zhuǎn)換模塊具體用于若所述原始關(guān)鍵字的長度大于所述確定的實現(xiàn)關(guān)鍵字的長度,則通過拆分將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字;或若所述原始關(guān)鍵字的長度等于所述確定的實現(xiàn)關(guān)鍵字的長度,則將所述原始關(guān)鍵字確定為實現(xiàn)關(guān)鍵字;或若所述原始關(guān)鍵字的長度小于所述確定的實現(xiàn)關(guān)鍵字的長度,則通過合并或掩碼將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。
10.如權(quán)利要求8或9所述的裝置,其特征在于,還包括 訪問控制模塊,用于用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制。
11.如權(quán)利要求10所述的裝置,其特征在于,還包括配置模塊,用于在所述訪問控制模塊用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制之前,對規(guī)則進行如下配置將當(dāng)前規(guī)則配置為規(guī)則的最后一跳,或?qū)εc當(dāng)前規(guī)則相連的最后一跳的規(guī)則進行配置;若有多個規(guī)則相連,則配置在前的規(guī)則指向最后一跳的規(guī)則;將每個規(guī)則的匹配結(jié)果預(yù)設(shè)為匹配,配置每個規(guī)則在進行匹配后,將匹配結(jié)果反映于規(guī)則的下一跳或最后一跳。
12.如權(quán)利要求11所述的裝置,其特征在于,所述訪問控制模塊具體用于 選擇匹配且為最后一跳的規(guī)則作為匹配的規(guī)則;或,選擇所有匹配的最后一跳規(guī)則中表項位置位于最后或指定位置的規(guī)則,作為匹配的規(guī)則;或,比較各個匹配的最后一跳規(guī)則的優(yōu)先級,選擇優(yōu)先級最大或最小或為指定優(yōu)先級的規(guī)則,作為匹配的規(guī)則。
13.如權(quán)利要求10所述的裝置,其特征在于,所述轉(zhuǎn)換模塊具體用于根據(jù)實現(xiàn)關(guān)鍵字的長度、原始關(guān)鍵字的長度、和預(yù)留的資源,確定實現(xiàn)關(guān)鍵字的數(shù)目; 按所述確定的實現(xiàn)關(guān)鍵字的長度和數(shù)目,將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。
14.如權(quán)利要求10所述的裝置,其特征在于,所述訪問控制模塊具體用于 根據(jù)預(yù)設(shè)的規(guī)則數(shù)目和預(yù)留的資源,確定支持的規(guī)則數(shù)目;按所述確定的規(guī)則數(shù)目,用轉(zhuǎn)換獲得的實現(xiàn)關(guān)鍵字進行訪問控制。
全文摘要
本發(fā)明公開了一種生成訪問控制列表的方法,該方法包括確定實現(xiàn)關(guān)鍵字的長度,所述實現(xiàn)關(guān)鍵字的長度為使用率高于閾值的原始關(guān)鍵字的長度;獲得原始關(guān)鍵字,按所述確定的實現(xiàn)關(guān)鍵字的長度,將所述原始關(guān)鍵字轉(zhuǎn)換為實現(xiàn)關(guān)鍵字。本發(fā)明同時公開一種可擴展性ACL的實現(xiàn)裝置。本發(fā)明不同于現(xiàn)有技術(shù)中將支持的實現(xiàn)關(guān)鍵字的長度等同于最長的原始關(guān)鍵字,減小了實現(xiàn)關(guān)鍵字的長度,能夠有效的減少硬件資源的消耗;并且,通過將原始關(guān)鍵字轉(zhuǎn)換為確定長度的實現(xiàn)關(guān)鍵字,還增強了ACL的可擴展性。
文檔編號H04L12/56GK102209017SQ201010137009
公開日2011年10月5日 申請日期2010年3月29日 優(yōu)先權(quán)日2010年3月29日
發(fā)明者劉云, 劉福軍, 宋奇剛, 李中華, 譚亞中, 黃久松 申請人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1