一种ACL访问规则控制方法、处理装置及系统与流程

一种acl访问规则控制方法、处理装置及系统
技术领域
1.本发明涉及数据交换控制技术领域，具体涉及一种acl访问规则控制方法、处理装置及系统。


背景技术：

2.acl访问控制列表常用于网络设备进行流过滤实现基于流的qos或者特殊封包识别功能。对于部分网络芯片产品如交换芯片，需要支持较多的acl条目数，基于硬件方案设计，通常会将其分为m个区块，每个区块具有n个匹配值,与此同时，需要同时支持丰富的规则类型,比如ipv6五元组等，无论对于哪种acl实现方式，都可能会存在一条匹配值不能同时存下所需要的访问规则，这样就需要将每个区块中多条访问规则组合成一条逻辑规则进行模式识别。
3.现有技术中，在对访问规则组合成一条逻辑规则的过程中，通常是采用临近访问规则拼凑的方法。如图1所示，当需要设置三条访问规则组成一条逻辑规则，且访问规则c已被分配时，需要将访问规则a、b、d分配至同一条逻辑规则。由于访问规则a、b、d为非临近规则，需要对访问规则的顺序进行调整。这一技术方案容易因为访问规则a、b、d为非临近规则导致分配失败，或是因为需要对访问规则a、b、d进行重排序导致额外的硬件资源消耗。


技术实现要素：

4.针对现有技术中存在的上述问题，现提供一种acl访问规则控制方法、处理装置及系统。
5.具体技术方案如下：
6.一种acl访问控制方法，适用于在计算设备中执行，具体包括：
7.s1：接收数据包，并根据数据包生成比较掩码；
8.s2：根据规则分组标识生成多个规则集合；
9.s3：根据acl访问规则聚合组生成整组匹配掩码；
10.s4：对所述比较掩码和所述整组匹配掩码进行比较，并输出掩码匹配结果，判断所述掩码匹配结果是否为零；
11.若是，结束匹配过程并生成判断结果，进行步骤s6；
12.若否，进行步骤s5；
13.s5：依次判断所述掩码匹配结果和所述规则集合是否匹配，并生成判断结果；
14.s6：根据所述判断结果判断所述数据包是否允许通过。
15.优选地，所述acl访问规则聚合组中包括多条访问规则，所述访问规则分别包括：
16.规则主体，所述规则主体用于存储可访问的所述数据包的特征值；
17.所述规则分组标识，用于区分所述规则主体的子组别；
18.规则组名，所述规则组名根据所述acl访问规则聚合组设置。
19.优选地，所述步骤s2包括：所述acl访问规则聚合组根据所述规则分组标识生成不
同的所述规则集合；
20.所述规则集合中包含多条与所述规则分组标识对应的所述规则主体；
21.所述规则集合的数量与所述规则分组标识对应。
22.优选地，所述acl访问规则聚合组中的所述多个访问规则根据所述规则分组标识顺序设置或间隔设置。
23.优选地，所述数据包的所述特征值包括：所述数据包的源地址、所述数据包的目的地址、目的端口、所述数据包的协议类型、所述数据包的有效时间中的至少一种。
24.优选地，所述步骤s5还包括：
25.s51：对多个所述规则集合进行排序；
26.s52：根据所述规则集合的顺序对所述逻辑规则和比较掩码进行匹配并输出所述判断结果。
27.优选地，所述步骤s3还包括：根据所述规则组名生成多组整组匹配掩码进行比较；
28.所述步骤s4还包括：依次比较所述多组整组匹配掩码和所述比较掩码。
29.一种acl访问处理装置，包括处理器和存储设备；
30.所述处理器用于运行计算机程序；
31.所述存储设备用于存储能够在所述处理器上运行的计算机程序；
32.其中，所述处理器运行所述计算机程序时，执行如权利要求1
‑
7任意一项所述的控制方法。
33.一种acl访问控制系统，包括第一通信接口、第二通信接口与如权利要求8所述的处理装置，其中：
34.所述第一通信接口与外部网络设备建立通信连接并接收所述外部网络设备传送的数据包；
35.所述处理装置用于控制所述数据包是否通过控制系统；
36.所述第二通信接口与局域网设备建立通信连接并转发可以通过所述控制系统的数据包。
37.上述技术方案具有如下优点或有益效果：通过设置acl访问规则聚合组快速对数据包和访问规则进行比对，提高了通信效率，节约了计算资源；同时在访问规则中增加规则分组标识字段，避免了现有技术中针对同组不同类型的规则资源分配失败的缺陷，或是现有技术中针对访问规则进行搬运导致的计算资源浪费的问题。
附图说明
38.参考所附附图，以更加充分的描述本发明的实施例。然而，所附附图仅用于说明和阐述，并不构成对本发明范围的限制。
39.图1为现有技术生成逻辑规则示意图；
40.图2为本发明实施例的访问控制方法示意图；
41.图3为本发明实施例中的访问规则聚合组示意图；
42.图4为本发明实施例中的访问规则示意图；
43.图5为本发明实施例的一种访问规则排序示意图；
44.图6为本发明实施例的另一种访问规则排序示意图；
45.图7为本发明实施例的对多个规则集合匹配方法示意图；
46.图8为本发明实施例的处理装置示意图；
47.图9为本发明实施例的访问控制系统示意图。
具体实施方式
48.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
49.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
50.下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。
51.本发明包括：
52.一种acl访问控制方法，如图2所示，适用于在计算设备中执行，具体包括：
53.s1：接收数据包，并根据数据包生成比较掩码；
54.s2：根据规则分组标识生成多个规则集合；
55.s3：根据acl访问规则聚合组生成整组匹配掩码；
56.s4：对比较掩码和整组匹配掩码进行比较，并输出掩码匹配结果，判断掩码匹配结果是否为零；
57.若是，结束匹配过程并生成判断结果，进行步骤s6；
58.若否，进行步骤s5；
59.s5：依次判断掩码匹配结果和规则集合是否匹配，并生成判断结果；
60.s6：根据判断结果判断数据包是否允许通过。
61.具体地，通过设置整组匹配掩码和比较掩码进行对比可以快速筛选出这一acl访问规则聚合组是否具有与数据包相符合的访问规则。当某一acl访问规则聚合组不具有匹配的访问规则时，输出匹配项数结果为零，结束对访问规则的匹配，或是跳转至根据规则组名切换至另一组进行匹配。
62.在一种较优的实施例中，如图3所示，acl访问规则聚合组1中包括多条访问规则1a、1b、1c，如图4所示，访问规则1a中包括：
63.规则主体1a1，规则主体1a1用于存储可访问的数据包的特征值；
64.规则分组标识1a2，规则分组标识1a2用于区分规则主体的子组别；
65.规则组名1a3，规则组名根据acl访问规则聚合组1设置。
66.在一种较优的实施例中，数据包的特征值包括：数据包的源地址、数据包的目的地址、目的端口、数据包的协议类型、数据包的有效时间中的至少一种。
67.具体地，数据包的特征值包括：数据包的源地址、数据包的目的地址、目的端口、数据包的协议类型和数据包的有效时间。上述特征值可以根据实际需要相互组合或选择其中一种进行设置，以便于应对较多数据连接的场合对数据包的筛选，比如通过设置数据包的源地址和数据包的协议类型可以对不同地区的不同类型流量进行有效分流，保障某一地区节点的正常工作。
68.进一步地，当访问规则数量较大时，通过规则分组标识对访问规则进行分组，可生成多个规则集合，通过规则集合的形式替代现有技术中的逻辑规则。当集合中的规则主体均匹配通过时即可允许数据包通过。避免了现有技术中需要对访问规则进行重排序或多次对访问规则数据库执行插入操作导致的资源浪费，提高硬件资源的利用率。
69.具体地，通过设置规则组名可以对聚合组1进行标识。在对访问规则进行匹配时，可以根据规则组名先对同一规则组名下的访问规则进行匹配，当该规则组名内找不到匹配的访问规则时，跳转至其他规则组名内进行访问规则的匹配，提高了匹配的效率。
70.在一种较优的实施例中，步骤s4包括：acl访问规则聚合组根据规则分组标识生成不同的规则集合；
71.规则集合中包含多条与规则分组标识对应的规则主体；
72.规则集合的数量与规则分组标识对应。
73.在一种较优的实施例中，如图5和图6所示，acl访问规则聚合组1中的多个访问规则根据规则分组标识顺序设置或间隔设置。
74.具体地，在同一聚合组1中可以存储多个访问规则，根据用户实际需求需要设置不同的用于筛选的规则集合来对数据包的访问请求进行判断。通过设置规则分组标识来对访问规则进行分组，可以在设置规则集合的过程中有效地筛选出相应组别的访问规则。当用户需要对不同的规则集合进行调整时，也仅需要对规则分组标识进行改动即可调整不同的规则集合的内容，而不需要对访问规则的排序进行变动，提高了规则集合的生成效率和速度，节约了硬件计算的资源。
75.在一种较优的实施例中，acl访问规则聚合组用于选择允许通过的数据包或禁止通过的数据包。
76.具体地，通过将acl访问规则聚合组设置为用于选择允许通过的数据包或禁止通过的数据包可以根据用户需求对数据包进行有效筛选。当需要禁止访问的用户量较大时，可以通过设置acl访问规则聚合组筛选禁止通过的数据包，以此来减少对数据包进行筛选的计算量。
77.在一种较优的实施例中，如图7所示，步骤s5还包括：
78.s51：对多个规则集合进行排序；
79.s52：根据规则集合的顺序对规则集合和比较掩码进行匹配并输出匹配结果。
80.具体地，根据规则集合的首个比特位对多个规则集合进行排序，当首个比特位大小相同时则顺延至下一个比特位。在多数情况下，规则集合中设置的多个访问规则为或的关系，即某一项访问规则与数据包的特征值匹配即可表明匹配通过。因此根据规则集合的比特位进行排序，并根据序列先后对数据包进行匹配可以有效提高匹配的速度，并且不会影响匹配结果的准确度。
81.在一种较优的实施例中，步骤s3还包括：据规则组名生成多组整组匹配掩码进行比较；
82.步骤s4还包括：依次比较多组整组匹配掩码和比较掩码。
83.一种acl访问处理装置101，如图8所示，包括处理器1011以及存储设备1012，其中：
84.处理器1011用于运行计算机程序；
85.存储设备1012用于存储能够在处理器1011上运行的计算机程序；
86.其中，处理器运行计算机程序时，执行上述acl访问控制方法。
87.上述本技术实施例揭示的方法可以应用于处理器1011中，或者由处理器1011实现。处理器1011可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1011中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1011可以是通用处理器、数字信号处理器(dsp)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器1011可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。
88.结合本技术实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。
89.可以理解，本技术实施例的存储设备1012可以是易失性存储器或者非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom)、可编程只读存储器(prom)、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)、磁性随机存取存储器(fram)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cdrom)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram)、同步静态随机存取存储器(ssram)、动态随机存取存储器(dram)、同步动态随机存取存储器(sdram)、双倍数据速率同步动态随机存取存储器(ddrsdram)、增强型同步动态随机存取存储器(esdram)、同步连接动态随机存取存储器(sldram)、直接内存总线随机存取存储器(drram)。
90.本技术实施例描述的存储设备1012旨在包括但不限于这些和任意其它适合类型的存储器。
91.一种acl访问控制系统，如图9所示，包括第一通信接口102、第二通信接口103与处理装置101，其中：
92.第一通信接口102与外部网络设备建立通信连接并接收外部网络设备传送的数据包；
93.处理装置101用于控制数据包是否通过控制系统；
94.第二通信接口103与局域网设备建立通信连接并转发可以通过控制系统的数据包。
95.具体地，为了实现本技术实施例提供的方法，本技术实施例还提供了一种acl访问控制系统，通过在第一通信接口102与第二通信接口103中设置acl访问处理装置能够对外部网络设备及其发送的数据包进行筛选，实现对特定网络设备或特定类型数据包的访问控制。
96.本发明的有益效果在于：
97.通过设置acl访问规则聚合组快速对数据包和访问规则进行比对，提高了通信效率，节约了计算资源；
98.同时在访问规则中增加规则分组标识字段，避免了现有技术中针对同组不同类型的规则资源分配失败的缺陷，或是现有技术中针对访问规则进行搬运导致的计算资源浪费的问题。
99.以上仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对
于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。