过滤表项的安装方法和网络设备技术

本发明专利技术提供一种过滤表项的安装方法和网络设备，一种过滤表项的安装方法，通过获取输入阶段生效的过滤表及输出阶段生效的过滤表，为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎，其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎，使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效，解决了当多个引擎返回的行为冲突时，存在无法实现接入控制和ACL两个功能串行过滤的问题。

【技术实现步骤摘要】
过滤表项的安装方法和网络设备
本专利技术涉及通信技术，尤其涉及一种过滤表项的安装方法和网络设备。
技术介绍
接入控制功能是网络设备上对接入用户进行控制的功能的统称，包括认证、安全通道等。访问控制列表(ACL，AccessControlList)是网络安全防范和保护的主要策略，目的是为了保证网络资源不被非法使用和访问。现有技术中，接入控制和ACL功能都需要通过过滤表项在网络设备硬件上实现。接入控制和ACL分别对应输入阶段并行查找的引擎，每个引擎对应一张由多个过滤表项组成的过滤表。当用户报文到达网络设备端口时，若该端口上配置有过滤策略，则引擎会自动按顺序检查报文是否与过滤表中的某一条过滤表项匹配，若匹配成功，则引擎直接返回匹配项的行为。若该端口配置了多个引擎，则并行查找多张过滤表，若每张过滤表查找到匹配项，都会返回该匹配项的行为。最后，所有返回的行为再进行行为决策，若行为不冲突，则同时执行；若行为冲突(例如，一引擎返回行为是丢弃，另一引擎返回的行为是不丢弃)，则拥有高优先级的引擎的行为优先执行。但是，现有技术中，若多个引擎返回的行为冲突时，存在无法实现接入控制和ACL两个功能串行过滤的问题。
技术实现思路
本专利技术提供一种过滤表项的安装方法和网络设备，用以解决现有技术中当多个引擎返回的行为冲突时，存在无法实现接入控制和ACL两个功能串行过滤的问题。本专利技术提供一种过滤表项的安装方法，包括：获取输入阶段生效的过滤表及输出阶段生效的过滤表；其中，所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为，所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为；为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎；其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎；将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件；其中，所述输入阶段生效的过滤表为接入控制功能对应的过滤表，所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表；或者，所述输入阶段生效的过滤表为ACL功能对应的过滤表，所述输出阶段生效的过滤表为接入控制功能对应的过滤表。本专利技术提供一种网络设备，包括：第一获取模块，用于获取输入阶段生效的过滤表及输出阶段生效的过滤表；其中，所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为，所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为；分配模块，用于为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎；其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎；安装模块，用于将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件；其中，所述输入阶段生效的过滤表为接入控制功能对应的过滤表，所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表；或者，所述输入阶段生效的过滤表为ACL功能对应的过滤表，所述输出阶段生效的过滤表为接入控制功能对应的过滤表。本专利技术提供的过滤表项的安装方法和网络设备，通过获取输入阶段生效的过滤表及输出阶段生效的过滤表，为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎，其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎，使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效，解决了当多个引擎返回的行为冲突时，存在无法实现接入控制和ACL两个功能串行过滤的问题。附图说明图1为本专利技术过滤表项的安装方法实施例一的流程图；图2为本专利技术过滤表项的安装方法实施例二的流程图；图3为本专利技术网络设备实施例一的结构示意图；图4为本专利技术网络设备实施例二的结构示意图。具体实施方式图1为本专利技术过滤表项的安装方法实施例一的流程图，如图1所示，本实施例的方法可以包括：步骤101、获取输入阶段生效的过滤表及输出阶段生效的过滤表；其中，所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为，所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为；其中，所述输入阶段生效的过滤表为接入控制功能对应的过滤表，所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表；或者，所述输入阶段生效的过滤表为ACL功能对应的过滤表，所述输出阶段生效的过滤表为接入控制功能对应的过滤表。步骤102、为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎；其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎；步骤103、将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件。现有技术中，接入控制功能和ACL功能分别对应输入阶段并行查找的引擎，每个引擎对应一张由多个过滤表项组成的过滤表。本专利技术中，获取输入阶段生效的过滤表及输出阶段生效的过滤表，为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎，其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎。现有技术中，由于接入控制功能和ACL功能分别对应输入阶段并行查找的引擎，每个引擎对应一张由多个过滤表项组成的过滤表；当用户报文到达网络设备端口时，各引擎并行查找多张过滤表，若每张过滤表查找到匹配项，都会返回该匹配项的行为；若返回的行为冲突，则拥有高优先级的引擎的行为优先执行；因此，当多个引擎返回的行为冲突时，存在无法实现接入控制和ACL两个功能串行过滤的问题。通过本专利技术中获取输入阶段生效的过滤表及输出阶段生效的过滤表，为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎，其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎，使得当用户报文到达网络设备端口时，输入阶段生效的过滤表与输出阶段生效的过滤表分别对应的引擎并行对该报文进行查找过滤，并且首先在输入阶段时生效所述输入阶段生效的过滤表对应引擎所返回的行为，然后在输出阶段时生效所述输出阶段生效的过滤表对应引擎所返回的行为，使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效，解决了当多个引擎返回的行为冲突时，存在无法实现接入控制和ACL两个功能串行过滤的问题。本实施例，通过获取输入阶段生效的过滤表及输出阶段生效的过滤表，为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎，其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎，使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效，解决了当多个引擎返回的行为冲突时，存在无法实现接入控制和ACL两个功能串行过滤的问题。图2为本专利技术过滤表项的安装方法实施例二的流程图，如图2所示，本实施例的方法可以包括：步骤201、根据硬件所支持的过滤行为，确定输入阶段行为池以及输出阶段行为池；其中，所述输入阶段行为池包括在输入阶段生效的硬件实现行为，所述输出阶段行为池包括在输出阶段生效的硬件本文档来自技高网...

【技术保护点】
一种过滤表项的安装方法，其特征在于，包括：获取输入阶段生效的过滤表及输出阶段生效的过滤表；其中，所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为，所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为；为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎；其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎；将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件；其中，所述输入阶段生效的过滤表为接入控制功能对应的过滤表，所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表；或者，所述输入阶段生效的过滤表为ACL功能对应的过滤表，所述输出阶段生效的过滤表为接入控制功能对应的过滤表。

【技术特征摘要】
1.一种过滤表项的安装方法，其特征在于，包括：获取输入阶段生效的过滤表及输出阶段生效的过滤表；其中，所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为，所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为；为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎，其中，若输入阶段生效的过滤表或输出阶段生效的过滤表所占空间大于对应引擎的资源，则为所述输入阶段生效的过滤表或所述输出阶段生效的过滤表分配多个优先级连续的引擎；其中，所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎；将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件；其中，所述输入阶段生效的过滤表为接入控制功能对应的过滤表，所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表；或者，所述输入阶段生效的过滤表为ACL功能对应的过滤表，所述输出阶段生效的过滤表为接入控制功能对应的过滤表。2.根据权利要求1所述的方法，其特征在于，所述获取输入阶段生效的过滤表及输出阶段生效的过滤表之前，还包括：根据硬件所支持的过滤行为，确定输入阶段行为池以及输出阶段行为池；其中，所述输入阶段行为池包括在输入阶段生效的硬件实现行为，所述输出阶段行为池包括在输出阶段生效的硬件实现行为；相应的，所述获取输入阶段生效的过滤表及输出阶段生效的过滤表，包括：根据所述输入阶段行为池以及所述输出阶段行为池，获取输入阶段生效的过滤表及输出阶段生效的过滤表。3.根据权利要求2所述的方法，其特征在于，所述获取输入阶段生效的过滤表及输出阶段生效的过滤表之前，还包括：获取所述ACL功能过滤表和所述接入控制功能过滤表；若所述输入阶段生效的过滤表为接入控制功能对应的过滤表，所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表，相应的，所述根据所述输入阶段行为池以及所述输出阶段行为池，获取输入阶段生效的过滤表及输出阶段生效的过滤表，包括：将所述ACL功能过滤表中行为对应的匹配条件，与所述ACL功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储，形成输出阶段生效的过滤表；将所述接入控制功能过滤表中行为对应的匹配条件，与所述接入控制功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储，形成输入阶段生效的过滤表；若所述输入阶段生效的过滤表为ACL功能对应的过滤表，所述输出阶段生效的过滤表为接入控制功能对应的过滤表，相应的，所述根据所述输入阶段行为池以及所述输出阶段行为池，获取输入阶段生效的过滤表及输出阶段生效的过滤表，包括：将所述ACL功能过滤表中行为对应的匹配条件，与所述ACL功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储，形成输入阶段生效的过滤表；将所述接入控制功能过滤表中...

【专利技术属性】
技术研发人员：赖利根，
申请(专利权)人：福建星网锐捷网络有限公司，
类型：发明
国别省市：福建;35