【技术实现步骤摘要】
一种访问控制列表下发方法及装置
本专利技术涉及通信
,尤其涉及的是一种访问控制列表下发方法及装置。
技术介绍
ACL(AccessControlList,访问控制列表)是一种访问控制技术,网络设备使用ACL来匹配过滤数据报文。一般网络设备将ACL下发到芯片逻辑单元(slice)中,来实现ACL规则内容的匹配。芯片逻辑单元位宽长度值是固定的数值,限制了ACL匹配内容的长度。虽然可以通过使用多个逻辑单元组合的方式增大ACL匹配长度,但是由于芯片的逻辑单元数量有限,如果每条ACL规则占用多个逻辑单元,则会造成设备ACL支持规则数的总量下降。相关技术中,下发ACL规则时通常按照ACL规则的最长匹配长度进行芯片表项占用。随着网络的发展,如IPv6、vxlan等的广泛应用,下发ACL时按ACL规则的最长匹配长度进行资源预留时占用的逻辑单元数显著增加,实际需要匹配内容的逻辑单元数可能远小于芯片预留的逻辑单元数,导致芯片ACL资源的浪费。
技术实现思路
本专利技术所要解决的技术问题是提供一种访问控制...
【技术保护点】
1.一种访问控制列表下发方法,包括:/n根据访问控制列表ACL规则生成ACL匹配表;所述ACL匹配表中的每一条记录对应一条ACL规则的所有匹配字段;/n遍历所述ACL匹配表,确定所述ACL匹配表中每一条记录的芯片逻辑单元匹配长度,对所述ACL匹配表进行更新处理:当所述ACL匹配表中存在芯片逻辑单元匹配长度超过预设匹配长度的记录时,对所述ACL匹配表进行字段剔除处理使所述ACL匹配表中所有记录的芯片逻辑单元匹配长度均不超过所述预设匹配长度;/n将更新后的ACL匹配表下发至芯片的逻辑单元中。/n
【技术特征摘要】
1.一种访问控制列表下发方法,包括:
根据访问控制列表ACL规则生成ACL匹配表;所述ACL匹配表中的每一条记录对应一条ACL规则的所有匹配字段;
遍历所述ACL匹配表,确定所述ACL匹配表中每一条记录的芯片逻辑单元匹配长度,对所述ACL匹配表进行更新处理:当所述ACL匹配表中存在芯片逻辑单元匹配长度超过预设匹配长度的记录时,对所述ACL匹配表进行字段剔除处理使所述ACL匹配表中所有记录的芯片逻辑单元匹配长度均不超过所述预设匹配长度;
将更新后的ACL匹配表下发至芯片的逻辑单元中。
2.如权利要求1所述的方法,其特征在于:
所述对所述ACL匹配表进行字段剔除处理,包括:
确定所述ACL匹配表中所有匹配字段的剔除优先级;对所有匹配字段按照剔除优先级从高到低进行排序;
遍历所述ACL匹配表中所有芯片逻辑单元匹配长度超过预设匹配长度的记录生成待处理记录集合;对所述待处理记录集合中的第i条记录进行如下处理:将所述第i条记录包含的剔除优先级高的前mi个匹配字段确定为该条记录的剔除字段,从所述记录中剔除所述mi个剔除字段;其中,所述mi是使得所述记录的芯片逻辑单元匹配长度不超过预设匹配长度的最小值。
3.如权利要求2所述的方法,其特征在于:
所述确定所述ACL匹配表中所有匹配字段的剔除优先级,包括:
统计所述ACL匹配表中每一个匹配字段的使用率;
根据每一个匹配字段的使用率和/或匹配权重对所述匹配字段进行评分;一个匹配字段的分值用于表示该匹配字段被剔除的可能性大小。
4.如权利要求3所述的方法,其特征在于:
所述根据每一个匹配字段的使用率和/或匹配权重对所述匹配字段进行评分,包括:
对任意一个匹配字段,根据所述匹配字段的使用率ai对所述匹配字段被剔除的可能性进行评估获得该匹配字段的评分pi,pi=1-ai;0<ai≤1;或
对任意一个匹配字段,根据所述匹配字段的匹配权重bi对所述匹配字段被剔除的可能性进行评估获得该匹配字段的评分pi,pi=1-bi;0<bi≤1;或
对任意一个匹配字段,根据所述匹配字段的使用率ai和匹配权重bi对所述匹配字段被剔除的可能性进行评估获得该匹配字段的评分pi,pi=(1-ai)×(1-bi);0<ai≤1,0≤bi<1;
其中,任意一个匹配字段的使用率ai是所述ACL匹配表中使用了该匹配字段的记录数与所述ACL匹配表中所有记录总数的比值。
<...
【专利技术属性】
技术研发人员:刘民,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。