專利名稱:流分類策略壓縮方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種流分類策略壓縮方法及系統(tǒng)���。背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模,網(wǎng)絡(luò)應(yīng)用協(xié)議復(fù)雜度不斷提高��,防火墻中對于流分類策略的數(shù)量����,復(fù)雜度也隨之提升,導(dǎo)致系統(tǒng)響應(yīng)用戶配置策略的時間變長,此問題即為策略下發(fā)的性能問題��;策略下發(fā)性能問題�����,有時甚至是致命的�,例如由于策略數(shù)量較多,嚴(yán)重消耗CPU資源����,被系統(tǒng)Watchdog監(jiān)測到致使系統(tǒng)重啟,嚴(yán)重影響了用戶的使用����。
發(fā)明內(nèi)容
為了解決上述問題,本發(fā)明的目的是提供一種流分類策略壓縮方法��。 本發(fā)明的另一目的是提供一種流分類策略壓縮系統(tǒng)�。其中,本發(fā)明一實(shí)施方式的流分類策略壓縮方法包括以下步驟
利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成IP地址壓縮��;以及 基于應(yīng)用協(xié)議ID壓縮應(yīng)用協(xié)議類別��。作為本發(fā)明的進(jìn)一步改進(jìn)�,所述“利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成IP地址壓縮”步驟具體包括
SI I、初始化IP地址的區(qū)間樹���;
512��、讀取屬于該流分類策略的IP地址����,轉(zhuǎn)成區(qū)間方式表示�,把該區(qū)間插入?yún)^(qū)間樹;
513�、重復(fù)S12步驟,直至讀取完IP地址��;
514���、掃描該區(qū)間樹����,得到最終的IP區(qū)間����。作為本發(fā)明的進(jìn)一步改進(jìn),所述“基于應(yīng)用協(xié)議ID壓縮應(yīng)用協(xié)議類別”具體包括
521�、分配并初始化應(yīng)用協(xié)議ID存儲空間�;
522���、記錄該流分類策略包含的應(yīng)用協(xié)ID到存儲空間���;
523、重復(fù)S22步驟�����,直至讀取流分類策略內(nèi)所有的應(yīng)用協(xié)議ID�����;
524�����、掃描該存儲空間����,得到連續(xù)的應(yīng)用協(xié)議ID區(qū)間。相應(yīng)地����,本發(fā)明一實(shí)施方式的流分類策略壓縮系統(tǒng)包括
IP地址壓縮單元�����,用于利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成IP地址壓縮;以及
應(yīng)用協(xié)議類別壓縮單元�����,用于基于應(yīng)用協(xié)議ID壓縮應(yīng)用協(xié)議類別�。作為本發(fā)明的進(jìn)一步改進(jìn),所述IP地址壓縮單元具體用于
初始化IP地址的區(qū)間樹�����;
讀取屬于該流分類策略的IP地址�,轉(zhuǎn)成區(qū)間方式表示,把該區(qū)間插入?yún)^(qū)間樹�����;
重復(fù)讀取屬于該流分類策略的IP地址�����,轉(zhuǎn)成區(qū)間方式表示���,把該區(qū)間插入?yún)^(qū)間樹�����,直至讀取完IP地址��;
掃描該區(qū)間樹�����,得到最終的IP區(qū)間��。作為本發(fā)明的進(jìn)一步改進(jìn)���,所述應(yīng)用協(xié)議類別壓縮單元具體用于
分配并初始化應(yīng)用協(xié)議ID存儲空間����;記錄該流分類策略包含的應(yīng)用協(xié)ID到存儲空間�;
重復(fù)記錄該流分類策略包含的應(yīng)用協(xié)ID到存儲空間,直至讀取流分類策略內(nèi)所有的應(yīng)用協(xié)議ID ����;
掃描該存儲空間,得到連續(xù)的應(yīng)用協(xié)議ID區(qū)間�。相比于現(xiàn)有技術(shù)���,本發(fā)明提供了實(shí)際應(yīng)用中流分類策略優(yōu)化的有效途徑,可在很大程度上減少流分類策略數(shù)量���,從而提高流分類策略下發(fā)性能。
圖I是本發(fā)明一實(shí)施例的流分類策略壓縮方法的流程 圖2是本發(fā)明一實(shí)施例的流分類策略壓縮系統(tǒng)的模塊圖��。
具體實(shí)施方式
為了使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,下面結(jié)合附圖和具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)描述�����。防火墻流分類策略必須基于流的特征��,比如源MAC地址�,源IP地址�,目的IP地址,DSCP��,端口號�,應(yīng)用協(xié)議類別等等�,其中非常常用且規(guī)模數(shù)量較多的有IP地址和應(yīng)用協(xié)議類別����;
本發(fā)明通過壓縮IP地址和應(yīng)用協(xié)議類別這兩種流分類策略特征,大大減少流分類策略數(shù)量��,從而達(dá)到流分類策略壓縮的目標(biāo)����。如圖I所示,在本發(fā)明一實(shí)施方式中���,所述流分類策略壓縮方法���,包括以下步驟
SI、利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成IP地址壓縮�����;IP地址配置內(nèi)
容包括主機(jī)/網(wǎng)段/網(wǎng)絡(luò)號��,此壓縮方式利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成壓縮��;具體做法如下
SI I、初始化IP地址的區(qū)間樹��;
512����、讀取屬于該流分類策略的IP地址,轉(zhuǎn)成區(qū)間方式表示�,把該區(qū)間插入?yún)^(qū)間樹;
513����、重復(fù)S12步驟���,直至讀取完IP地址�����;
514���、掃描該區(qū)間樹,得到最終的IP區(qū)間��,即為壓縮后的IP地址���。S2����、基于應(yīng)用協(xié)議ID壓縮應(yīng)用協(xié)議類別;應(yīng)用協(xié)議類別在流分類策略內(nèi)部可用應(yīng)用協(xié)議ID來標(biāo)識��,每種應(yīng)用協(xié)議都分配唯一的應(yīng)用協(xié)議ID�,其應(yīng)用協(xié)議ID可能是連續(xù)的,也可能是跳躍的��;應(yīng)用協(xié)議類別壓縮基于應(yīng)用協(xié)議ID���,壓縮的目的是把不連續(xù)的應(yīng)用協(xié)議ID���,盡可能的合并成連續(xù)的應(yīng)用協(xié)議ID,減少流分類策略包含的應(yīng)用協(xié)議數(shù)量�����;目前常見防火墻所能識別的應(yīng)用協(xié)議數(shù)量在數(shù)千個��,為了滿足可擴(kuò)展需要�,可定義應(yīng)用協(xié)議ID空間為L··· 65535,具體做法如下
521���、分配并初始化應(yīng)用協(xié)議ID存儲空間���,該空間內(nèi)的每一個bit對應(yīng)一個應(yīng)用協(xié)議
ID �;
522����、記錄該流分類策略包含的應(yīng)用協(xié)ID到存儲空間;
523��、重復(fù)S22步驟�,直至讀取流分類策略內(nèi)所有的應(yīng)用協(xié)議ID;
524�����、掃描該存儲空間�,得到連續(xù)的應(yīng)用協(xié)議ID區(qū)間���,即為壓縮后的應(yīng)用協(xié)議ID���。如圖2所示,在本發(fā)明一實(shí)施方式中��,所述流分類策略壓縮系統(tǒng),包括
IP地址壓縮單元�����,用于利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成IP地址壓縮��;IP地址配置內(nèi)容包括主機(jī)/網(wǎng)段/網(wǎng)絡(luò)號���,此壓縮方式利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成壓縮���。具體地,該IP地址壓縮單元用于
初始化IP地址的區(qū)間樹�;
讀取屬于該流分類策略的IP地址,轉(zhuǎn)成區(qū)間方式表示�,把該區(qū)間插入?yún)^(qū)間樹;
重復(fù)讀取屬于該流分類策略的IP地址�����,轉(zhuǎn)成區(qū)間方式表示�����,把該區(qū)間插入?yún)^(qū)間樹����,直至讀取完IP地址��;
掃描該區(qū)間樹�,得到最終的IP區(qū)間�,即為壓縮后的IP地址。應(yīng)用協(xié)議類別壓縮單元���,用于基于應(yīng)用協(xié)議ID壓縮應(yīng)用協(xié)議類別����;應(yīng)用協(xié)議類別在流分類策略內(nèi)部可用應(yīng)用協(xié)議ID來標(biāo)識����,每種協(xié)議都分配唯一的應(yīng)用協(xié)議ID,其應(yīng)用協(xié)議ID可能是連續(xù)的�����,也可能是跳躍的��;應(yīng)用協(xié)議類別壓縮基于應(yīng)用協(xié)議ID���,壓縮的目的是把不連續(xù)的應(yīng)用協(xié)議ID��,盡可能的合并成連續(xù)的應(yīng)用協(xié)議ID�,減少流分類策略包含的應(yīng)用協(xié)議數(shù)量�;目前常見防火墻所能識別的應(yīng)用協(xié)議數(shù)量在數(shù)千個,為了滿足可擴(kuò)展需要�,可定 義應(yīng)用協(xié)議ID空間為I…65535,具體做法如下
分配并初始化應(yīng)用協(xié)議ID存儲空間�����,該空間內(nèi)的每一個bit對應(yīng)一個應(yīng)用協(xié)議ID �; 記錄該流分類策略包含的應(yīng)用協(xié)ID到存儲空間;
重復(fù)記錄該流分類策略包含的應(yīng)用協(xié)ID到存儲空間����,直至讀取流分類策略內(nèi)所有的應(yīng)用協(xié)議ID ;
掃描該存儲空間���,得到連續(xù)的應(yīng)用協(xié)議ID區(qū)間����,即為壓縮后的應(yīng)用協(xié)議ID����。通過上述壓縮算法�����,在某一實(shí)際流分類策略壓縮中�����,流分類策略數(shù)量的前后對比壓縮前��,流分類策略數(shù)量為65390���,下發(fā)時間就超過6分鐘;壓縮后����,流分類策略數(shù)量為1830,下發(fā)時間僅不到30秒�。同時,由于數(shù)量的減少����,對于流分類策略匹配性能,及系統(tǒng)穩(wěn)定性也有一定的提升�。綜上所述����,本發(fā)明提供了實(shí)際應(yīng)用中流分類策略優(yōu)化的有效途徑��,可在很大程度上減少流分類策略數(shù)量�,從而提高流分類策略下發(fā)性能����。應(yīng)當(dāng)理解,雖然本說明書按照實(shí)施方式加以描述����,但并非每個實(shí)施方式僅包含一個獨(dú)立的技術(shù)方案,說明書的這種敘述方式僅僅是為清楚起見�����,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說明書作為一個整體��,各實(shí)施方式中的技術(shù)方案也可以經(jīng)適當(dāng)組合�����,形成本領(lǐng)域技術(shù)人員可以理解的其他實(shí)施方式���。上文所列出的一系列的詳細(xì)說明僅僅是針對本發(fā)明的可行性實(shí)施方式的具體說明�,它們并非用以限制本發(fā)明的保護(hù)范圍,凡未脫離本發(fā)明技藝精神所作的等效實(shí)施方式或變更均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1.一種流分類策略壓縮方法����,其特征在于,所述方法包括 利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成IP地址壓縮����;以及 基于應(yīng)用協(xié)議ID壓縮應(yīng)用協(xié)議類別。
2.根據(jù)權(quán)利要求I所述的流分類策略壓縮方法�,其特征在于,所述“利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成IP地址壓縮”步驟具體包括 SII�、初始化IP地址的區(qū)間樹; 512�、讀取屬于該流分類策略的IP地址,轉(zhuǎn)成區(qū)間方式表示�����,把該區(qū)間插入?yún)^(qū)間樹�����; 513、重復(fù)S12步驟�,直至讀取完IP地址; 514�、掃描該區(qū)間樹�,得到最終的IP區(qū)間。
3.根據(jù)權(quán)利要求I所述的流分類策略壓縮方法�,其特征在于,所述“基于應(yīng)用協(xié)議ID壓縮應(yīng)用協(xié)議類別”具體包括 521�、分配并初始化應(yīng)用協(xié)議ID存儲空間; 522�����、記錄該流分類策略包含的應(yīng)用協(xié)ID到存儲空間�����; 523����、重復(fù)S22步驟,直至讀取流分類策略內(nèi)所有的應(yīng)用協(xié)議ID���; 524�、掃描該存儲空間,得到連續(xù)的應(yīng)用協(xié)議ID區(qū)間�。
4.一種流分類策略壓縮系統(tǒng),其特征在于�����,所述系統(tǒng)包括 IP地址壓縮單元���,用于利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成IP地址壓縮�����;以及 應(yīng)用協(xié)議類別壓縮單元�����,用于基于應(yīng)用協(xié)議ID壓縮應(yīng)用協(xié)議類別���。
5.根據(jù)權(quán)利要求4所述的流分類策略壓縮系統(tǒng),其特征在于�,所述IP地址壓縮單元具體用于 初始化IP地址的區(qū)間樹; 讀取屬于該流分類策略的IP地址�����,轉(zhuǎn)成區(qū)間方式表示,把該區(qū)間插入?yún)^(qū)間樹�; 重復(fù)讀取屬于該流分類策略的IP地址,轉(zhuǎn)成區(qū)間方式表示�����,把該區(qū)間插入?yún)^(qū)間樹���,直至讀取完IP地址; 掃描該區(qū)間樹����,得到最終的IP區(qū)間。
6.根據(jù)權(quán)利要求4所述的流分類策略壓縮系統(tǒng)�,其特征在于,所述應(yīng)用協(xié)議類別壓縮單元具體用于 分配并初始化應(yīng)用協(xié)議ID存儲空間���; 記錄該流分類策略包含的應(yīng)用協(xié)ID到存儲空間��; 重復(fù)記錄該流分類策略包含的應(yīng)用協(xié)ID到存儲空間���,直至讀取流分類策略內(nèi)所有的應(yīng)用協(xié)議ID ; 掃描該存儲空間���,得到連續(xù)的應(yīng)用協(xié)議ID區(qū)間�����。
全文摘要
本發(fā)明提供了一種流分類策略壓縮方法及系統(tǒng)��,其中�����,所述方法包括利用IP地址可區(qū)間的特征以及區(qū)間樹算法結(jié)構(gòu)完成IP地址壓縮����;以及基于應(yīng)用協(xié)議ID壓縮應(yīng)用協(xié)議類別。相比于現(xiàn)有技術(shù)��,本發(fā)明提供了實(shí)際應(yīng)用中流分類策略優(yōu)化的有效途徑�����,可在很大程度上減少流分類策略數(shù)量����,從而提高流分類策略下發(fā)性能。
文檔編號H04L29/12GK102868692SQ20121034348
公開日2013年1月9日 申請日期2012年9月17日 優(yōu)先權(quán)日2012年9月17日
發(fā)明者陳偉, 王俊華 申請人:蘇州邁科網(wǎng)絡(luò)安全技術(shù)股份有限公司