本发明专利技术公开一种ACL访问规则控制方法、处理装置及系统,控制方法包括:S1:根据数据包生成比较掩码;S2:根据规则分组标识生成多个规则集合;S3:生成整组匹配掩码;S4:对比较掩码和整组匹配掩码进行比较,并判断掩码匹配结果是否为零;S5:依次判断掩码匹配结果和规则集合是否匹配,并生成判断结果;S6:根据判断结果判断数据包是否允许通过。本发明专利技术的有益效果在于:通过设置ACL访问规则聚合组快速对数据包和访问规则进行比对,提高了通信效率,节约了计算资源;同时在访问规则中增加规则分组标识字段,避免了现有技术中针对同组不同类型的规则资源分配失败的缺陷,或是现有技术中针对访问规则进行搬运导致的计算资源浪费的问题。问规则进行搬运导致的计算资源浪费的问题。问规则进行搬运导致的计算资源浪费的问题。
【技术实现步骤摘要】
一种ACL访问规则控制方法、处理装置及系统
[0001]本专利技术涉及数据交换控制
,具体涉及一种ACL访问规则控制方法、处理装置及系统。
技术介绍
[0002]ACL访问控制列表常用于网络设备进行流过滤实现基于流的QOS或者特殊封包识别功能。对于部分网络芯片产品如交换芯片,需要支持较多的ACL条目数,基于硬件方案设计,通常会将其分为M个区块,每个区块具有N个匹配值,与此同时,需要同时支持丰富的规则类型,比如IPV6五元组等,无论对于哪种ACL实现方式,都可能会存在一条匹配值不能同时存下所需要的访问规则,这样就需要将每个区块中多条访问规则组合成一条逻辑规则进行模式识别。
[0003]现有技术中,在对访问规则组合成一条逻辑规则的过程中,通常是采用临近访问规则拼凑的方法。如图1所示,当需要设置三条访问规则组成一条逻辑规则,且访问规则C已被分配时,需要将访问规则A、B、D分配至同一条逻辑规则。由于访问规则A、B、D为非临近规则,需要对访问规则的顺序进行调整。这一技术方案容易因为访问规则A、B、D为非临近规则导致分配失败,或是因为需要对访问规则A、B、D进行重排序导致额外的硬件资源消耗。
技术实现思路
[0004]针对现有技术中存在的上述问题,现提供一种ACL访问规则控制方法、处理装置及系统。
[0005]具体技术方案如下:
[0006]一种ACL访问控制方法,适用于在计算设备中执行,具体包括:
[0007]S1:接收数据包,并根据数据包生成比较掩码;
[0008]S2:根据规则分组标识生成多个规则集合;
[0009]S3:根据ACL访问规则聚合组生成整组匹配掩码;
[0010]S4:对所述比较掩码和所述整组匹配掩码进行比较,并输出掩码匹配结果,判断所述掩码匹配结果是否为零;
[0011]若是,结束匹配过程并生成判断结果,进行步骤S6;
[0012]若否,进行步骤S5;
[0013]S5:依次判断所述掩码匹配结果和所述规则集合是否匹配,并生成判断结果;
[0014]S6:根据所述判断结果判断所述数据包是否允许通过。
[0015]优选地,所述ACL访问规则聚合组中包括多条访问规则,所述访问规则分别包括:
[0016]规则主体,所述规则主体用于存储可访问的所述数据包的特征值;
[0017]所述规则分组标识,用于区分所述规则主体的子组别;
[0018]规则组名,所述规则组名根据所述ACL访问规则聚合组设置。
[0019]优选地,所述步骤S2包括:所述ACL访问规则聚合组根据所述规则分组标识生成不
同的所述规则集合;
[0020]所述规则集合中包含多条与所述规则分组标识对应的所述规则主体;
[0021]所述规则集合的数量与所述规则分组标识对应。
[0022]优选地,所述ACL访问规则聚合组中的所述多个访问规则根据所述规则分组标识顺序设置或间隔设置。
[0023]优选地,所述数据包的所述特征值包括:所述数据包的源地址、所述数据包的目的地址、目的端口、所述数据包的协议类型、所述数据包的有效时间中的至少一种。
[0024]优选地,所述步骤S5还包括:
[0025]S51:对多个所述规则集合进行排序;
[0026]S52:根据所述规则集合的顺序对所述逻辑规则和比较掩码进行匹配并输出所述判断结果。
[0027]优选地,所述步骤S3还包括:根据所述规则组名生成多组整组匹配掩码进行比较;
[0028]所述步骤S4还包括:依次比较所述多组整组匹配掩码和所述比较掩码。
[0029]一种ACL访问处理装置,包括处理器和存储设备;
[0030]所述处理器用于运行计算机程序;
[0031]所述存储设备用于存储能够在所述处理器上运行的计算机程序;
[0032]其中,所述处理器运行所述计算机程序时,执行如权利要求1
‑
7任意一项所述的控制方法。
[0033]一种ACL访问控制系统,包括第一通信接口、第二通信接口与如权利要求8所述的处理装置,其中:
[0034]所述第一通信接口与外部网络设备建立通信连接并接收所述外部网络设备传送的数据包;
[0035]所述处理装置用于控制所述数据包是否通过控制系统;
[0036]所述第二通信接口与局域网设备建立通信连接并转发可以通过所述控制系统的数据包。
[0037]上述技术方案具有如下优点或有益效果:通过设置ACL访问规则聚合组快速对数据包和访问规则进行比对,提高了通信效率,节约了计算资源;同时在访问规则中增加规则分组标识字段,避免了现有技术中针对同组不同类型的规则资源分配失败的缺陷,或是现有技术中针对访问规则进行搬运导致的计算资源浪费的问题。
附图说明
[0038]参考所附附图,以更加充分的描述本专利技术的实施例。然而,所附附图仅用于说明和阐述,并不构成对本专利技术范围的限制。
[0039]图1为现有技术生成逻辑规则示意图;
[0040]图2为本专利技术实施例的访问控制方法示意图;
[0041]图3为本专利技术实施例中的访问规则聚合组示意图;
[0042]图4为本专利技术实施例中的访问规则示意图;
[0043]图5为本专利技术实施例的一种访问规则排序示意图;
[0044]图6为本专利技术实施例的另一种访问规则排序示意图;
[0045]图7为本专利技术实施例的对多个规则集合匹配方法示意图;
[0046]图8为本专利技术实施例的处理装置示意图;
[0047]图9为本专利技术实施例的访问控制系统示意图。
具体实施方式
[0048]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0049]需要说明的是,在不冲突的情况下,本专利技术中的实施例及实施例中的特征可以相互组合。
[0050]下面结合附图和具体实施例对本专利技术作进一步说明,但不作为本专利技术的限定。
[0051]本专利技术包括:
[0052]一种ACL访问控制方法,如图2所示,适用于在计算设备中执行,具体包括:
[0053]S1:接收数据包,并根据数据包生成比较掩码;
[0054]S2:根据规则分组标识生成多个规则集合;
[0055]S3:根据ACL访问规则聚合组生成整组匹配掩码;
[0056]S4:对比较掩码和整组匹配掩码进行比较,并输出掩码匹配结果,判断掩码匹配结果是否为零;
[0057]若是,结束匹配过程并生成判断结果,进行步骤S6;
[0058]若否,进行步骤S5;
[0059]S5:依次判断掩码匹配结果和规则集合是否匹配,并生成判断结果;本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种ACL访问控制方法,适用于在计算设备中执行,具体包括:S1:接收数据包,并根据数据包生成比较掩码;S2:根据规则分组标识生成多个规则集合;S3:根据ACL访问规则聚合组生成整组匹配掩码;S4:对所述比较掩码和所述整组匹配掩码进行比较,并输出掩码匹配结果,判断所述掩码匹配结果是否为零;若是,结束匹配过程并生成判断结果,进行步骤S6;若否,进行步骤S5;S5:依次判断所述掩码匹配结果和所述规则集合是否匹配,并生成判断结果;S6:根据所述判断结果判断所述数据包是否允许通过。2.根据权利要求1所述的控制方法,其特征在于,所述ACL访问规则聚合组中包括多条访问规则,所述访问规则分别包括:规则主体,所述规则主体用于存储可访问的所述数据包的特征值;所述规则分组标识,用于区分所述规则主体的子组别;规则组名,所述规则组名根据所述ACL访问规则聚合组设置。3.根据权利要求2所述的控制方法,其特征在于,所述步骤S2包括:所述ACL访问规则聚合组根据所述规则分组标识生成不同的所述规则集合;所述规则集合中包含多条与所述规则分组标识对应的所述规则主体;所述规则集合的数量与所述规则分组标识对应。4.根据权利要求3所述的聚合组,其特征在于,所述ACL访问规则聚合组中的所述多个访问规则根据所述规则分组标识顺序设置或间隔设置。5.根据权...
【专利技术属性】
技术研发人员:高莹忠,
申请(专利权)人:苏州裕太微电子有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。