[发明专利]访问控制列表规则的更新方法和装置

说明书

技术领域

本发明涉及通信领域中的访问控制列表技术，具体涉及访问控制列表规则的更新方法和访问控制列表规则的更新装置。

背景技术

随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。

采用ACL(Access Control List，访问控制列表)规则过滤报文是较为常用的报文过滤手段。当网络设备的端口接收到报文后，根据当前端口上应用的ACL规则对报文的字段进行分析，在识别出特定的报文之后，根据预先设定的策略对报文执行相应动作，从而实现报文过滤。在具体应用中，根据实现功能的不同，ACL规则具有不同优先级。

目前主流的ACL规则存储方式是在三态内容可寻址存储器(TCAM，Ternary Content-Addressable Memory)。图1为现有技术中在TCAM存储ACL规则的存储示意图。如图1所示，TCAM被划分为多个条目，每个条目(entry)提供一个ACL硬件资源，且每个entry具有一个索引号(Index)。在TCAM存储ACL规则时，每个ACL硬件资源可存储一个ACL规则。在TCAM中，按照ACL规则优先级的高低来对ACL规则进行排序。图1中entry左侧的数字表示entry的索引号，entry内部的数字表示ACL规则优先级。索引号小的entry存储的ACL规则优先级高，索引号大的entry存储的ACL规则优先级低。

当向TCAM插入新ACL规则时，根据TCAM中已有ACL规则的优先级，确定待插入ACL规则的插入位置，保证插入后各ACL规则的优先级从高到底顺序排列。如果插入的ACL规则优先级比已有ACL规则的最低优先级还低或者与之相等，那么如图2所示，可以把待插入的ACL规则直接插入到第一个空闲的entry中。如果待插入ACL规则的优先级介于已有ACL规则的最高优先级和最低优先级之间，那么如图3所示，就需要把优先级低于待插入ACL规则的所有已有ACL规则都分别向后移动一个entry，然后再向腾出的空闲entry中插入ACL规则。如果待插入ACL规则的优先级比所有已有ACL规则的优先级都高，那么就需要把所有已有ACL规则分别向后移动一个entry，然后再把待插入ACL规则插入到第一个entry中。

当从TCAM删除已有ACL规则时，如果删除的ACL规则并非处于最后一个entry，则会触发重新排序，使得排序后任意两个entry之间均没有空闲entry。

可见，采用现有的ACL规则更新方式，在绝大多数应用情况下，都会触发对ACL规则的重新排序。如果同一时间内下发大量不同优先级的ACL规则，就需要对这些ACL规则不断的进行重新排序。从以上对排序过程的描述可以看出，排序是通过移动ACL规则的位置实现。由于移动一个ACL规则需要对硬件资源进行操作，因此大量的移动操作必然会频繁地操作硬件，耗费大量系统CPU资源，并且增加时间开销，导致设备整体性能的降低。对于采用TCAM之外的存储介质存储ACL规则的情况，只要按照ACL规则优先级存储，都会存在上述缺陷。

发明内容

有鉴于此，本发明提供了一种访问控制列表规则的更新方法，能够减少重新排序的次数，从而降低排序带来的资源耗费。

该方法包括：

将存储空间划分为多个区块，每个区块具有多个用于记录ACL规则的ACL硬件资源；位置在前的区块所记录ACL规则的优先级大于或等于位置在后的区块所记录ACL规则的优先级；

每次插入ACL规则时，在各区块中查找与待插入ACL规则具有相同优先级的ACL规则；如果查找到，则将待插入ACL规则插入与其具有相同优先级的ACL规则所属区块中；如果没有查找到，则将优先级低于待插入ACL规则的所有ACL规则从当前所在区块中移到相邻的后一个区块中，将待插入ACL规则插入因移动变空的空区块中。

较佳地，不同区块具有的ACL硬件资源数目相同。

其中，所述将待插入ACL规则插入与其具有相同优先级的ACL规则所属区块中，包括：

查找与待插入ACL规则具有相同优先级的ACL规则占用的最后一个区块；

如果查找到的区块具有空闲ACL硬件资源，则将待插入ACL规则插入该空闲ACL硬件资源中；