本发明专利技术提供了建立访问控制列表的方法和装置及数据路由方法和装置。建立访问控制列表的方法包括:为匹配规则中的各个属性分别设置对应的访问控制列表;在每一个访问控制列表中保存该访问控制列表对应的属性的所有属性值;将对应所述匹配规则中的各个属性的各个访问控制列表进行关联。建立访问控制列表的装置包括:设置模块、保存模块和关联模块。本发明专利技术能够节约存储资源以及提高查找效率。
【技术实现步骤摘要】
本专利技术实施例涉及通信技术,尤其涉及建立访问控制列表的方法和装置及数据路 由方法和装置。
技术介绍
策略路由(Policy-Based Routing,简称PBR)提供了一种比仅仅基于目的地址 进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据数据的多种属性,比如 源地址、目的地址、源目端口、协议号、服务类型(Type of Service,简称T0S)字段、是否为 分片报文等灵活地进行路由选择。为了在路由设备上实现策略路由,需要在路由设备上建立访问控制列表(Access Control List,简称ACL),将策略路由的所有匹配规则保存在ACL中,后续接收到数据时, 根据ACL中保存的各种匹配规则进行路由选择。目前,针对策略路由中的匹配规则为需要同时满足数据的多种属性的情况,建立 ACL的过程具体包括针对策略路由的匹配规则,根据该匹配规则中包括的属性的种类数 和每一种属性的取值个数,确定不同属性与属性的不同取值的所有组合,每一种组合使用 ACL中的一个访问控制表项(Access Control Entry,简称ACE)进行保存,从而得到了 ACL。举例来说,比如,策略路由的一个匹配规则为如果数据的源地址在数值范围 A{ai,a2,a3,...affl}内,并且数据的目的地址在数值范围B Ib1, b2,b3,. . . bn}内,并且,数据的 协议号在数值范围Clc1, c2,c3,... ck}内,则将数据路由到教育网。该匹配规则中需要同时 满足数据的3种属性,分别为源地址、目的地址和协议号。对于源地址,其取值共有m个;对 于目的地址,其取值共有η个,对于协议号,其取值共有k个。按照目前的建立ACL的方法, 需要使用不同的ACE来保存3种属性与该3种属性的不同取值的所有组合,比如ACEl (a1 bl, C1)、ACE2 (a2, Id1, C1)…ACEm(am, Id1, C1)、ACEm+1 ^al, b2, C1),…ACE m*n*k (am, bn, ck),共 需要m*n*k个ACE,之后将m*n*k个ACE保存在ACL中,从而建立完成ACL。目前,基于建立的ACL进行数据路由的过程为路由设备接收到数据后,提取数据 中对应的属性的值,将提取的属性值进行组合,在ACL的所有ACE中查找该组合,根据查找 结果对数据进行转发。由以上描述可以看出,在策略路由中的匹配规则为需要同时满足数据的多种属性 的情况下,现有技术建立的ACL中需要设置的ACE数量等于该多种属性与属性的不同取值 的所有组合的数量。而在网络中,属性的种类数量繁多,属性的取值的数量更是巨大,比如 仅源地址的取值就可能会有上万个,因此,按照现有技术的方法建立ACL,ACL中利用ACE来 保存的信息数量是非常巨大的,从而大大浪费了存储资源,并往往会超过ACL的容量限制 要求。并且,基于现有技术中建立的ACL进行数据路由时,由于ACL中利用ACE保存的信 息数量巨大,因此,需要在数量巨大的ACE中查找与提取的属性匹配的ACE,从而会大大增3加查找的次数,大大降低了查找效率。
技术实现思路
本专利技术实施例提供建立ACL的方法和装置,能够节约存储资源。本专利技术实施例还提供数据路由方法和装置,能够提高查找效率。本专利技术实施例提供的建立访问控制列表的方法,包括为匹配规则中的各个属性分别设置对应的访问控制列表;在每一个访问控制列表中保存该访问控制列表对应的属性的所有属性值;将对应所述匹配规则中的各个属性的各个访问控制列表进行关联。本专利技术实施例提供的建立访问控制列表的装置,包括设置模块,用于为匹配规则中的各个属性分别设置对应的访问控制列表;保存模块,用于在每一个访问控制列表中保存该访问控制列表对应的属性的所有 属性值;关联模块,用于将对应所述匹配规则中的各个属性的各个访问控制列表进行关联。本专利技术实施例提供的数据路由方法,包括本专利技术实施例提供的建立访问控制列表 的方法,以及接收到数据后,提取所述数据中的所述各个属性的值,在所述进行关联的各个访 问控制列表中分别查找与提取的所述各个属性的值匹配的属性值,根据查找结果对数据进 行转发。本专利技术实施例提供的数据路由装置,包括本专利技术实施例提供的建立访问控制列表 的装置,以及提取模块,用于在接收到数据后,提取所述数据中的所述各个属性的值;查找模块,用于在所述进行关联的各个访问控制列表中分别查找与提取的所述各 个属性的值匹配的属性值;路由模块,用于根据所述查找模块的查找结果,对数据进行转发。可见,在本专利技术实施例提出的建立ACL的方法和装置中,不需要在ACL中保存匹配 规则中各种属性与每一种属性的所有取值的所有组合,而只需要为匹配规则中的各个属性 分别设置对应的ACL,每一个ACL中只需保存该ACL对应的属性的所有属性值即可,并且,在 将对应匹配规则中的各个属性的各个ACL进行关联后,该关联的ACL就能够完整的保存匹 配规则的匹配条件。因此,针对网络中属性种类和属性取值的数量都非常巨大的情况,本发 明实施例建立ACL的方法能够减少需要保存的信息量,大大节约了存储资源,并满足了 ACL 的容量限制要求。并且,由于匹配规则中不同属性的值分别保存在不同的ACL中,因此,对 于用户来说,直观且简明,便于后续维护。可见,在本专利技术实施例提出的数据路由方法和装置中,由于采用了本专利技术实施例 提出的建立ACL的方法,因此,需要保存的信息量大大减少,在这些信息量中查找与提取的 属性的值匹配的值,就能够大大减少查找匹配的次数,从而大大提高了查找效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根 据这些附图获得其他的附图。图1是本专利技术实施例中建立ACL的基本流程图;图2是本专利技术实施例中进行数据路由的基本流程图;图3是本专利技术实施例的一种应用场景示意图;图4是利用本专利技术实施例的建立ACL的方法实现数据路由的流程图;图5是本专利技术实施例中建立ACL的装置的基本结构示意图;图6是本专利技术实施例中建立ACL的装置的优选结构示意图;图7是本专利技术实施例中数据路由装置的基本结构示意图;图8是本专利技术实施例中数据路由装置的优选结构示意图。具体实施例方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例 中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术实施例提出了一种建立ACL的方法,参见图1,该方法包括步骤101 为匹配规则中的各个属性分别设置对应的ACL。通过本步骤的处理,匹配规则中的不同属性对应了不同的ACL。步骤102 在每一个ACL中保存该ACL对应的属性的所有属性值。本步骤的一种实现方式可以为在每一个ACL中,使用不同的ACE保存该ACL对应 的属性的不同属性值。步骤103 将对应该匹配规则中的各个属性的各个ACL进行关联。本步骤本文档来自技高网...
【技术保护点】
一种建立访问控制列表的方法,其特征在于,包括:为匹配规则中的各个属性分别设置对应的访问控制列表;在每一个访问控制列表中保存该访问控制列表对应的属性的所有属性值;将对应所述匹配规则中的各个属性的各个访问控制列表进行关联。
【技术特征摘要】
一种建立访问控制列表的方法,其特征在于,包括为匹配规则中的各个属性分别设置对应的访问控制列表;在每一个访问控制列表中保存该访问控制列表对应的属性的所有属性值;将对应所述匹配规则中的各个属性的各个访问控制列表进行关联。2.根据权利要求1所述的方法,其特征在于,所述在每一个访问控制列表中保存该访 问控制列表对应的属性的所有属性值包括在所述每一个访问控制列表中,使用不同的访问控制表项保存该访问控制列表对应的 属性的不同属性值。3.根据权利要求1或2所述的方法,其特征在于,所述将对应所述匹配规则中的各个属 性的各个访问控制列表进行关联包括将对应所述匹配规则中的各个属性的各个访问控制列表使用与逻辑连接。4.一种建立访问控制列表的装置,其特征在于,包括设置模块,用于为匹配规则中的各个属性分别设置对应的访问控制列表; 保存模块,用于在每一个访问控制列表中保存该访问控制列表对应的属性的所有属性值;关联模块,用于将对应所述匹配规则中的各个属性的各个访问控制列表进行关联。5.根据权利要求4所述的装置,其特征在于,所述保存模块包括第一保存子模块,用于 在所述每一个访问控制列表中,使用不同的访问控制表项保存访问控制列表对应的属性的 不同属性值。6.根据权利要求4或5所述的装置,其特征在于,所述关联模...
【专利技术属性】
技术研发人员:李凯,
申请(专利权)人:北京星网锐捷网络技术有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。