[发明专利]一种IP ACL归并优化处理的实现方法

权利要求书

1.一种IP ACL归并优化处理的实现方法，其特征在于，所述方法对交换 机在ACL规则处理时所涉及的源IP地址、目的IP地址、源IP地址池和目的 IP地址池这些特征字段进行数据分析，利用归并算法，通过简化ACL规则条目 来提高查找效率和节省硬件表空间；

所述归并算法是在一个访问列表中，连续若干条动作相同的规则为一个归 并单元；归并单元有n条规则，将其中第i规则记做Ri，对每个归并单元进行 归并的算法如下：

①归并标志设置为FALSE；

②依次对每一条规则Ri执行下列操作，若所有Ri都执行完则转到步骤⑥；

③对于Ri，依次检查其后的每一条规则Rj；

④若Rj与Ri满足归并条件，则归并为Ri`并删除Rj，归并标志设置为 TRUE，转到步骤②，内层循环结束；

⑤若Rj与Ri不满足归并条件，仍有下一条Rj则转到步骤③，内存循环 继续，否则转到步骤②，内存循环结束；

⑥一轮循环已经结束后，若归并标志为TRUE，则转到步骤①，否则流程结 束。

2.根据权利要求1的IP ACL归并优化处理的实现方法，其特征在于，所 述对特征字段进行数据分析具体是指：IP ACL首先解析其列表中的每条规则， 提取出报文通过规则的动作和匹配项的满足条件，当两条规则中表达为二进制 的源、目的IP地址信息与其掩码进行逻辑和操作得到的结果只有一位不同、 其它条件都完全相同时，才允许被归并；所述匹配项为源IP信息和目的IP信 息。

3.根据权利要求1的IP ACL归并优化处理的实现方法，其特征在于，当 每个报文都由CPU转发时，可以使用上述数据分析由软件实现IP ACL；当报文 由硬件转发时，则需要将规则集合中的每一条规则下发到硬件表中，由硬件在 转发报文时进行匹配。

4.根据权利要求1的IP ACL归并优化处理的实现方法，其特征在于，所 述归并优化设置时，为了取得归并效果最大化和提高归并效率，在不影响IP ACL行为的情况下，将所有动作相同的规则放到一起。

5.根据权利要求1的IP ACL归并优化处理的实现方法，其特征在于，所 述归并优化设置时，为了提高查找效率，尽可能的把permit语句放在ACL的 最上部，当流量经过了配置的有ACL的路由器的时候,将和ACL里的规则条目 从上往下的进行比较,直到找到匹配的语句为止，如果没有任何匹配的语句,流 量将被拒绝掉。

6.根据权利要求1的IP ACL归并优化处理的实现方法，其特征在于，所 述归并优化设置时，为了提高ACL编辑效率，通过使用插入和删除命令，对规 则进行指定位置的插入和删除操作，无需改动整个配置，这样可以简化ACL的 配置操作。

7.根据权利要求1的IP ACL归并优化处理的实现方法，其特征在于，所 述归并优化设置时，为了对标准IP ACL进行优化，使用源IP地址，源掩码和 源IP地址池为特征字段，对ACL规则条目进行分析，把满足归并条件的标准 IP ACL规则条目进行归并简化。

8.根据权利要求1的IP ACL归并优化处理的实现方法，其特征在于，所述归 并优化设置时，为了对扩展IP ACL进行优化，使用源IP地址，源掩码，目的 IP地址，目的掩码，源IP地址池和目的IP地址池为特征字段，对ACL规则条

目进行分析，把满足归并条件的扩展IP ACL规则条目进行归并简化。