The embodiment of this application provides a data processing method, a network device and a computer readable storage medium for processing at least one access control item ACE in the access control list ACL, including acquiring the application object identification of the application object corresponding to ACL, acquiring ACE from at least one ACE in the said ACL sequentially from high to low according to the priority of ACE, and acquiring ACE for acquisition. The extracted ACE adds the corresponding application object identifier, and writes the ACE added with the application object identifier to the idle hardware table item in memory in the order from small to large. The embodiment of this application can write ACE by inserting idle hardware items in memory. Compared with the existing ACE which needs continuous hardware items to store ACE, it avoids the need to move ACL in memory and improves efficiency.
【技术实现步骤摘要】
一种数据处理方法、网络设备及计算机可读存储介质
本申请涉及通信
,具体而言,涉及一种数据处理方法、网络设备及计算机可读存储介质。
技术介绍
随着技术的发展,对网络安全的控制和对带宽的分配成为网络管理的重要内容,通过对报文进行过滤,可以有效防止非法用户对网络的访问,也可以控制流量,节约网络资源。访问控制列表(AccessControlList,简称ACL)通过配置报文的匹配规则和处理操作来实现对报文的过滤功能。ACL是一个有序的规则集合,其中包含的规则为访问控制表项(AccessControlEntry,简称ACE)。当网络设备的端口接收到报文后,ACL通过一系列的匹配条件对报文进行处理,例如允许或禁止该报文通过。现有的网络设备中通常会存储多个ACL,每个ACL通过名字或标识进行区分,且每个ACL根据网络设备中人为设置的硬件优先级(Hardwarepriority),被存储在网络设备中连续的硬件表项中,每个硬件表项通常存储一项ACE。若网络设备中连续的硬件表项的数量少于一ACL包含的ACE的数量,则需要搬移已经被存储于网络设备中的其他ACL,这种资源搬移非常耗时,效率较低。申请内容本申请实施例提供了一种数据处理方法、网络设备及计算机可读存储介质,以改善现有技术中可能需要搬移网络设备中的ACL而造成的耗时长、效率低的情况。第一方面,本申请实施例提供了一种数据处理方法,用于对访问控制列表ACL中的至少一个访问控制项ACE进行处理,所述方法包括:获取ACL对应的应用对象的应用对象标识;根据ACE的优先级从高到低的顺序,从所述ACL中的至少一个ACE中依次获取 ...
【技术保护点】
1.一种数据处理方法,其特征在于,用于对访问控制列表ACL中的至少一个访问控制项ACE进行处理,所述方法包括:获取ACL对应的应用对象的应用对象标识;根据ACE的优先级从高到低的顺序,从所述ACL中的至少一个ACE中依次获取ACE;为获取到的ACE添加对应的所述应用对象标识;按照硬件表项值从小到大的顺序,将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项。
【技术特征摘要】
1.一种数据处理方法,其特征在于,用于对访问控制列表ACL中的至少一个访问控制项ACE进行处理,所述方法包括:获取ACL对应的应用对象的应用对象标识;根据ACE的优先级从高到低的顺序,从所述ACL中的至少一个ACE中依次获取ACE;为获取到的ACE添加对应的所述应用对象标识;按照硬件表项值从小到大的顺序,将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项。2.根据权利要求1所述的方法,其特征在于,在所述按照硬件表项值从小到大的顺序,将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项之后,所述方法还包括:获取写入ACE的硬件表项的硬件表项标识;建立所述ACE与所述硬件表项标识的对应关系。3.根据权利要求2所述的方法,其特征在于,在所述获取ACL对应的应用对象的应用对象标识之前,所述方法还包括:在所述ACL中新增ACE后,获取所述ACL中被写入存储器的每个ACE对应的硬件表项标识;从所述存储器中,删除与所述ACL中被写入存储器的每个ACE对应的硬件表项标识对应的ACE。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:若第一ACL接收到ACE删除指令,从所述第一ACL中获取待删除的ACE的第一硬件表项标识;从所述存储器中,删除与所述第一硬件表项标识对应的ACE。5.根据权利要求2所述的方法,其特征在于,所述方法还包括:若第二ACL接收到ACE修改指令,从所述第二ACL中获取待修改的ACE的第二硬件表项标识,其中,所述ACE修改指令包括该ACE更新后的动作行为的信息;在所述存储器中,将与所述第二硬件表项标识对应的表项中ACE的动作行为修改为更新后的动作行为。6.一种网络设备,其特征在于,所述设备包括:标识获取模块,用于获取ACL对应的应用对...
【专利技术属性】
技术研发人员:吴帮华,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。