[发明专利]生成访问控制列表的方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及生成访问控制列表的方法及装置。

背景技术

ACL(Access Control List，访问控制列表)是一种定义流的工具，它通过一系列的匹配条件对报文进行分类，这些匹配条件可以是数据包的目的MAC(Media Access Control，媒体访问控制)地址、源MAC地址、端口号等，有的还包括自定义域。ACL应用在交换路由设备中，主要用于网络安全、QOS(Quality of Service，服务质量)、包过滤等业务。

对产品应用来说，各种应用要求的关键字长度不一样。有时候要比较源MAC地址，有时候要比较目的MAC地址，有时候要同时比较源MAC地址和目的MAC地址。对IPV4(Internet Protocol Version 4，互联网协议第四版)的报文比较IP(Internet Protocol，互联网协议)地址，对IPV6(InternetProtocol Version 6，互联网协议第六版)的报文也要比较IP地址，但是IP地址的长度就从IPV4的32变成了128位。并且由于自定义域的ACL可以用来扩展为对未知协议或者还未实现协议的支持，因此支持的原始关键字的长度是越长越灵活，并且支持的规则数目越多越灵活。

ACL的硬件实现，不管是用哪种方法，都非常耗资源。支持的关键字越长，对资源消耗越大；支持的规则数目越多，对资源消耗也越大。产品需求中，原始关键字大部分应用是比较短的，少部分要求比较长，并且为了保留扩展能力，要求原始关键字越长越好。硬件为了满足产品需求，通常是把最长的原始关键字跟实现关键字等价，使现有方案中支持的实现关键字的长度就等于最长的原始关键字的长度，实现关键字为在硬件实现的匹配中实际支持的域。

发明人在实现本发明的过程中，发现上述现有技术存在如下不足：

现有方案中支持的实现关键字的长度等于最长的原始关键字的长度，导致实现关键字较长，消耗了大量的硬件资源。如果用寄存器来实现，面积非常大，因此支持的规则数目有限；如果用CAM(Content Addressable Memory，内容可寻址存储器)实现，可以支持较多的规则，但是CAM价格昂贵，面积和功耗都较大。并且，现有方案中支持的实现关键字的长度固定为最长的原始关键字的长度，一旦确定就不能改变，若再出现更长的关键字则不能支持，扩展性不好。

发明内容

本发明实施例提供一种生成访问控制列表的方法，用以有效减少硬件资源的消耗，增强ACL的可扩展性，该方法包括：

确定实现关键字的长度，所述实现关键字的长度为使用率高于阈值的原始关键字的长度；

获得原始关键字，按所述确定的实现关键字的长度，将所述原始关键字转换为实现关键字。

本发明实施例还提供一种生成访问控制列表的装置，用以有效减少硬件资源的消耗，增强ACL的可扩展性，该装置包括：

确定模块，用于确定实现关键字的长度，所述实现关键字的长度为使用率高于阈值的原始关键字的长度；

转换模块，用于获得原始关键字，按所述确定的实现关键字的长度，将所述原始关键字转换为实现关键字。

本发明实施例中，确定实现关键字的长度，该实现关键字的长度为使用率高于阈值的原始关键字的长度；不同于现有技术中将实现关键字的长度等同于最长原始关键字的长度，可以减小实现关键字的长度，从而有效减少硬件资源的消耗；通过获得原始关键字，按所述确定的实现关键字的长度，将原始关键字转换为实现关键字，能够灵活处理不同长度的原始关键字，从而增强了ACL的可扩展性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1为本发明实施例中生成访问控制列表的方法流程图；

图2为本发明实施例中用转换获得的实现关键字进行访问控制的流程图；

图3为本发明实施例中生成访问控制列表的装置的结构示意图；

图4为本发明实施例中生成访问控制列表的装置的具体实例的结构示意图；

图5为本发明实施例中生成访问控制列表的装置的具体实例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。