[发明专利]一种IP ACL归并优化处理的实现方法

说明书

技术领域：

本发明涉及数据通信中的以太网通信领域，特别涉及一种IP ACL归并优 化处理的实现方法。

背景技术：

IP访问控制列表(access control list，ACL)用于过滤IP流量，其中RFC 1700定义了知名端口号，RFC 1918定义了私有IP地址空间，这样的控制可以 帮助限制网络传输并通过一定的用户或设备限制网络使用。为了从交叉指定的 接口中使数据包有效或无效，博达系列路由交换机提供了IP ACL。IP ACL是 应用IP地址的允许和禁止条件的有序集合。博达公司路由交换机的ROS软件 (用于实现交换机用户管理界面、学习二层和三层相关表项、操纵交换芯片对 数据报文进行二层和三层转发等功能)在访问列表中逐个按规则测试地址。第 一个匹配决定是否该软件接受或拒绝该地址。因为在第一个匹配之后，该软件 停止了匹配规则，所以条件的先后次序是重要的。如果没有规则匹配，拒绝该 地址。

通常用户配置IP ACL的时候往往是每条ip地址列为一个规则条目，这样 造成条目较多的情况。当交换机类设备中用户对ACL的需求较复杂时，配置的 ACL条目也可能较多，而硬件表条目是有限的，这很可能造成硬件表不能满足 用户需求的情况，这就需要对ACL进行归并，以节省硬件表空间。

具体的说，可归并的情况有以下两种：

1、用户对连续的n个ip地址采用相同的操作，配置了n条规则，此时可 以采取归并地址并缩短掩码的方法，生成m条规则，并且这m条规则匹配的报 文集合与原来n条规则相同；当然这可以替换为ip地址范围的形式，但ip地 址范围形式的规则在下发给硬件时同样需要拆分成地址+掩码形式下发。

2、用户对不连续的n个ip地址采用相同的操作，配置了n条规则，此时 可以采取归并地址并修改掩码的方法，生成m条规则，并且这m条规则匹配的 报文集合与原来n条规则相同。

上述两种可归并的情况对于现有技术，还没有非常有效地解决方案能同时 就这两种情况通过一种技术处理机制来实现对IP ACL的归并优化处理。

发明内容：

鉴于上述技术问题，本发明的目的是提供一种IP ACL归并优化处理的实 现方法。该方法利用设计的优化步骤和归并算法对IP ACL规则条目进行优化 归并处理，减少了规则条目，这样一来提高访问测试速率，节约了相应的系统 资源。

下面具体说明该技术方案：

IP ACL由具有先后顺序的一组规则组成，我们将其中的第i条规则记做 Ri，将该条规则匹配得到的报文集合记做Pi。每条规则由动作和匹配项组成。 其中动作分为拒绝(deny)和接受(permit)两种。匹配项由源或目的ip信息 组成，ip信息可以是下列方式：

(1)地址信息和/或socket端口号，其中地址信息由地址和掩码两部分组成； 源和目的地址信息和端口号都可以省略，省略时表示不限制该项；

(2)接口名，表示该接口的ip地址；

(3)ip地址范围，由起始和结束两个地址约束。

事实上2、3两种情况都可以转换为情况1，故下文分析中我们只考虑情况 1，下文中将源ip地址、掩码、端口号分别记做sa、sm、sp，目的的记做da、 dm、dp。

IP ACL的语义是，给定一个报文，判断报文是否属于IP ACL允许通过的 报文集合，给定报文p、访问列表acl，具体算法如下：

1、由acl找到对应的规则集合{Ri}，若找不到返回permit，否则依次对 每一条规则做如下操作；

2、如果p属于集合Pi，则返回Ri的动作，否则继续处理下一条规则

3、如果所有规则都无法匹配，则返回deny

定义访问列表行为，指该访问列表允许通过的报文集合。

对于两条规则Ri和Rj，若它们满足下列条件，则可以将它们归并为一条 规则：

1、动作相同、sp、dp、sm、dm相等；

2、sa&sm相同且da&dm只相差一位或sa&sm仅相差一位且da&dm相同：

不妨设sa&sm相同且da&dm只相差一位，该位用数字表示为b，那么归并 的结果为：动作、sp、dp、sa、sm、da都不变，dm改变成dm&~b。