[发明专利]访问控制列表的实现装置

说明书

技术领域

本发明涉及计算机应用领域，尤其涉及一种ACL(access control list，访问控制列表)实现装置。

背景技术

ACL是一种定义流的工具。ACL通过一系列的匹配条件对报文进行分类，该匹配条件可以是数据包的目的MAC地址、源MAC地址、端口号等，有的还包括自定义域。ACL应用在交换路由设备中，主要用于网络安全、QOS(Quality of Service，服务质量)、包过滤等业务。根据上述匹配条件可以建立相应的匹配关键字和匹配规则。

现有技术中的一种ACL的实现方案为：使用寄存器实现。在实现本发明过程中，发明人发现该方案的缺点为：ACL支持的匹配关键字较短，匹配规则数目有限，报文的ACL匹配性能较差。

现有技术中的另一种ACL的实现方案为：使用CAM(内容定址存储器，Content-Addressable Memories)实现，可以支持较多的规则数目。当CAM价格昂贵，ACL的功耗较大。

发明内容

本发明的实施例提供了一种ACL的实现装置，以实现提高报文的ACL匹配性能，降低ACL的面积和功耗。

一种ACL的实现装置，包括匹配信息保存模块、匹配关键字获取模块、匹配处理模块，其中，

所述匹配信息保存模块，包括多个规则保存单元，用于接收用户输入的多个匹配信息，将所述多个匹配信息通过规则保存单元进行保存，并将所述多个匹配信息传输给匹配关键字获取模块；

所述匹配关键字获取模块，用于根据匹配信息保存模块传输过来的匹配信息，从需要进行ACL控制的多条报文中提取出匹配关键字；

所述匹配处理模块，用于在每个匹配周期内，分别自所述多个规则保存单元中读取匹配信息，从所述匹配关键字获取模块中读取多条报文的匹配关键字，将所述读取到的匹配信息与多条报文的匹配关键字进行匹配，获取所述多条报文的匹配结果。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例通过在每个匹配周期内，将多条报文的匹配关键字与ACL的匹配规则进行匹配，并且，每个报文匹配多条ACL的匹配规则，同时获取所述多条报文的匹配结果，从而有效地提高了提高报文的ACL匹配性能，降低ACL的面积和功耗。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种访问控制列表的实现装置的具体实现结构图；

图2为本发明实施例二提供的一种使用SRAM实现ACL的方法的原理示意图；

图3为本发明实施例二提供的一种使用SRAM实现ACL的方法的具体处理流程图。

具体实施方式

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

该实施例提供了一种ACL的实现装置，其具体实现结构图如图1所示，包括如下模块：

匹配信息保存模块11，包括多个信息保存单元，用于接收用户输入的多个匹配信息，将所述多个匹配信息通过多个信息保存单元来保存，并将所述多个匹配信息传输给匹配关键字获取模块12。上述匹配信息可以包括需要匹配的域信息，以及与所述域信息相对应的匹配条件。

匹配关键字获取模块12，用于根据匹配信息保存模块32传输过来的匹配信息，从需要进行ACL控制的多条报文中提取出匹配关键字。

匹配处理模块13，在每个匹配周期内，分别自所述多个规则保存单元中读取匹配信息，从所述匹配关键字获取模块12中读取多条报文的匹配关键字，将所述读取到的匹配信息与多条报文的匹配关键字进行匹配，获取所述多条报文的匹配结果。

然后，根据各个报文的匹配结果，对各个报文进行分类，并进行相应的处理。比如，某个匹配规则对应的处理操作是丢弃报文，则当报文和上述某个匹配规则相匹配后，则丢弃该报文。

匹配信息保存模块11具体可以包括：原始关键字保存模块111、匹配规则保存模块112。

其中，原始关键字保存模块111，用于根据所述匹配信息保存模块传输过来的匹配信息中包括的域信息和匹配条件，建立用于报文匹配的原始关键字，将所述原始关键字进行保存。上述原始关键字可以根据各种匹配条件的组合来获取，该原始关键字的长度越长，对报文的分类就越灵活。