一种数据处理方法、网络设备及计算机可读存储介质技术

本申请实施例提供了一种数据处理方法、网络设备及计算机可读存储介质，用于对访问控制列表ACL中的至少一个访问控制项ACE进行处理，包括：获取ACL对应的应用对象的应用对象标识；根据ACE的优先级从高到低的顺序，从所述ACL中的至少一个ACE中依次获取ACE；为获取到的ACE添加对应的所述应用对象标识；按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项。本申请实施例可以通过在存储器中空闲的硬件表项插空的方式写入ACE，与现有的需要连续的硬件表项存储ACE相比，避免了存储器中ACL的ACE需要搬移的情况的出现，提高了效率。

A Data Processing Method, Network Equipment and Computer Readable Storage Media

The embodiment of this application provides a data processing method, a network device and a computer readable storage medium for processing at least one access control item ACE in the access control list ACL, including acquiring the application object identification of the application object corresponding to ACL, acquiring ACE from at least one ACE in the said ACL sequentially from high to low according to the priority of ACE, and acquiring ACE for acquisition. The extracted ACE adds the corresponding application object identifier, and writes the ACE added with the application object identifier to the idle hardware table item in memory in the order from small to large. The embodiment of this application can write ACE by inserting idle hardware items in memory. Compared with the existing ACE which needs continuous hardware items to store ACE, it avoids the need to move ACL in memory and improves efficiency.

【技术实现步骤摘要】
一种数据处理方法、网络设备及计算机可读存储介质
本申请涉及通信
，具体而言，涉及一种数据处理方法、网络设备及计算机可读存储介质。
技术介绍
随着技术的发展，对网络安全的控制和对带宽的分配成为网络管理的重要内容，通过对报文进行过滤，可以有效防止非法用户对网络的访问，也可以控制流量，节约网络资源。访问控制列表(AccessControlList，简称ACL)通过配置报文的匹配规则和处理操作来实现对报文的过滤功能。ACL是一个有序的规则集合，其中包含的规则为访问控制表项(AccessControlEntry，简称ACE)。当网络设备的端口接收到报文后，ACL通过一系列的匹配条件对报文进行处理，例如允许或禁止该报文通过。现有的网络设备中通常会存储多个ACL，每个ACL通过名字或标识进行区分，且每个ACL根据网络设备中人为设置的硬件优先级(Hardwarepriority)，被存储在网络设备中连续的硬件表项中，每个硬件表项通常存储一项ACE。若网络设备中连续的硬件表项的数量少于一ACL包含的ACE的数量，则需要搬移已经被存储于网络设备中的其他ACL，这种资源搬移非常耗时，效率较低。申请内容本申请实施例提供了一种数据处理方法、网络设备及计算机可读存储介质，以改善现有技术中可能需要搬移网络设备中的ACL而造成的耗时长、效率低的情况。第一方面，本申请实施例提供了一种数据处理方法，用于对访问控制列表ACL中的至少一个访问控制项ACE进行处理，所述方法包括：获取ACL对应的应用对象的应用对象标识；根据ACE的优先级从高到低的顺序，从所述ACL中的至少一个ACE中依次获取ACE；为获取到的ACE添加对应的所述应用对象标识；按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项。本申请实施例提供的方法可以在获取ACE时保证了其顺序的先后性，然后为ACE添加应用对象标识后，根据存储器的硬件表项值从小到大的顺序将ACE添加到存储器的空闲的硬件表项中。具体地，可以根据硬件表项值从小到大的顺序遍历存储器的每个硬件表项，若硬件表项为空闲的硬件表项，则往里写入ACE；若硬件表项为已经写有其他ACL的ACE的硬件表项，则根据硬件表项值从小到大的顺序继续对存储器的下一个硬件表项进行判断。本申请实施例可以通过在存储器中空闲的硬件表项插空的方式写入ACE，与现有的需要连续的硬件表项存储ACE相比，避免了存储器中ACL的ACE需要搬移的情况的出现，提高了效率。在一个可能的设计中，在所述按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项之后，所述方法还包括：获取写入ACE的硬件表项的硬件表项标识；建立所述ACE与所述硬件表项标识的对应关系。在将ACE写入存储器的硬件表项之后，可以获得相应的硬件表项的硬件表项标识，并建立ACE与硬件表项标识的对应关系，以方便根据硬件表项标识对存储器中的ACE进行查找，以及进行后续操作。在一个可能的设计中，在所述获取ACL对应的应用对象的应用对象标识之前，所述方法还包括：在所述ACL中新增ACE后，获取所述ACL中被写入存储器的每个ACE对应的硬件表项标识；从所述存储器中，删除与所述ACL中被写入存储器的每个ACE对应的硬件表项标识对应的ACE。若某一ACL中新增ACE，则可以将该新增ACE的ACL原先在存储器中存储的多个ACE删除，然后在将该新增ACE的ACL重新写入存储器中，重新写入的步骤可以与首次将某ACL写入存储器的步骤相同，由于ACE是通过根据优先级插空的方式存入存储器，在ACL新增ACE时，若是采用搬移存储器中硬件表项的ACE后，再添加新增的ACE的方式，可能会导致大量硬件表项中的ACE被搬运；因此通过该种方式既可以保证ACL中ACE的优先级顺序，又不用搬移存储器中存储的ACE。在一个可能的设计中，所述方法还包括：若第一ACL接收到ACE删除指令，从所述第一ACL中获取待删除的ACE的第一硬件表项标识；从所述存储器中，删除与所述第一硬件表项标识对应的ACE。若第一ACL接收到ACE删除指令，欲从存储器存储的第一ACL中删除某一ACE，则可以先根据该ACE的硬件表项标识，从存储器查找第一ACL的待删除的ACE，然后直接删除ACE。在存储器中删除ACE会留下空闲的硬件表项，该空闲的硬件表项可以用于后面接收到的ACL的ACE根据硬件表项值从小到大的顺序插空。在一个可能的设计中，所述方法还包括：若第二ACL接收到ACE修改指令，从所述第二ACL中获取待修改的ACE的第二硬件表项标识，其中，所述ACE修改指令包括该ACE更新后的动作行为的信息；在所述存储器中，将与所述第二硬件表项标识对应的表项中ACE的动作行为修改为更新后的动作行为。若第二ACL接收到ACE修改指令，欲从存储器存储的第二ACL中修改某一ACE的动作行为，可以先根据该ACE对应的硬件表项标识，从存储器查找第二ACL的待修改的ACE，然后根据ACE修改指令中包括的该ACE更新后的动作行为，将该第二ACL中的ACE动作行为修改为更新后的动作行为。通过ACE与硬件表项标识的对应关系可以实现某一ACE的动作行为的快速修改。第二方面，本申请实施例提供了一种网络设备，所述设备包括：标识获取模块，用于获取ACL对应的应用对象的应用对象标识；ACE获取模块，用于根据ACE的优先级从高到低的顺序，从所述ACL中的至少一个ACE中依次获取ACE；标识添加模块，用于为获取到的ACE添加对应的所述应用对象标识；ACE写入模块，用于按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项。本申请实施例提供的方法可以在获取ACE时保证了其顺序的先后性，然后为ACE添加应用对象标识后，根据存储器的硬件表项值从小到大的顺序将ACE添加到存储器的空闲的硬件表项中。具体地，可以根据硬件表项值从小到大的顺序遍历存储器的每个硬件表项，若硬件表项为空闲的硬件表项，则往里写入ACE；若硬件表项为已经写有其他ACL的ACE的硬件表项，则根据硬件表项值从小到大的顺序继续对存储器的下一个硬件表项进行判断。本申请实施例可以通过在存储器中空闲的硬件表项插空的方式写入ACE，与现有的需要连续的硬件表项存储ACE相比，避免了存储器中ACL的ACE需要搬移的情况的出现，提高了效率。在一个可能的设计中，所述设备还包括：硬件标识获取模块，用于获取写入ACE的硬件表项的硬件表项标识；硬件标识对应模块，用于建立所述ACE与所述硬件表项标识的对应关系。在将ACE写入存储器的硬件表项之后，可以获得相应的硬件表项的硬件表项标识，并建立ACE与硬件表项标识的对应关系，以方便根据硬件表项标识对存储器中的ACE进行查找，以及进行后续操作。在一个可能的设计中，所述设备还包括：ACE新增模块，用于在所述ACL中新增ACE后，获取所述ACL中被写入存储器的每个ACE对应的硬件表项标识；ACL删除模块，用于从所述存储器中，删除与所述ACL中被写入存储器的每个ACE对应的硬件表项标识对应的ACE。若某一ACL中新增ACE，则可以将该新增ACE的ACL原先在存储器中存储的多个ACE删除，然后在将该新增ACE的ACL重本文档来自技高网...

【技术保护点】
1.一种数据处理方法，其特征在于，用于对访问控制列表ACL中的至少一个访问控制项ACE进行处理，所述方法包括：获取ACL对应的应用对象的应用对象标识；根据ACE的优先级从高到低的顺序，从所述ACL中的至少一个ACE中依次获取ACE；为获取到的ACE添加对应的所述应用对象标识；按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项。

【技术特征摘要】
1.一种数据处理方法，其特征在于，用于对访问控制列表ACL中的至少一个访问控制项ACE进行处理，所述方法包括：获取ACL对应的应用对象的应用对象标识；根据ACE的优先级从高到低的顺序，从所述ACL中的至少一个ACE中依次获取ACE；为获取到的ACE添加对应的所述应用对象标识；按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项。2.根据权利要求1所述的方法，其特征在于，在所述按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项之后，所述方法还包括：获取写入ACE的硬件表项的硬件表项标识；建立所述ACE与所述硬件表项标识的对应关系。3.根据权利要求2所述的方法，其特征在于，在所述获取ACL对应的应用对象的应用对象标识之前，所述方法还包括：在所述ACL中新增ACE后，获取所述ACL中被写入存储器的每个ACE对应的硬件表项标识；从所述存储器中，删除与所述ACL中被写入存储器的每个ACE对应的硬件表项标识对应的ACE。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：若第一ACL接收到ACE删除指令，从所述第一ACL中获取待删除的ACE的第一硬件表项标识；从所述存储器中，删除与所述第一硬件表项标识对应的ACE。5.根据权利要求2所述的方法，其特征在于，所述方法还包括：若第二ACL接收到ACE修改指令，从所述第二ACL中获取待修改的ACE的第二硬件表项标识，其中，所述ACE修改指令包括该ACE更新后的动作行为的信息；在所述存储器中，将与所述第二硬件表项标识对应的表项中ACE的动作行为修改为更新后的动作行为。6.一种网络设备，其特征在于，所述设备包括：标识获取模块，用于获取ACL对应的应用对...

【专利技术属性】
技术研发人员：吴帮华，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川,51