[发明专利]一种确定访问控制列表表项对应的模板的方法以及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种确定访问控制列表表项对应的模板的方法以及装置。

背景技术

在因特网中，终端与终端之间进行数据交互时需要交换机以及路由器(Router)进行数据的转发，即交换机以及路由器用于在数据的发送端与接收端之间转发数据，以使数据能够到达数据的发送端指定的接收端，其中，交换机是基于介质访问控制(Media Access Control，MAC)地址在局域网内进行数据的转发；路由器是连接因特网中各局域网、广域网的设备，路由器会根据数据通道的状态自动选择和设定路由，以最佳路径将数据发送至指定的终端。

通常，在交换机以及路由器中会保存访问控制列表(Access Control Lists，ACL)用于控制在交换机以及路由器的各端口传输的数据，为便于描述，以下将以路由器为例进行相关描述。ACL可以控制网络的数据流量、维护路由器的安全以及控制访问路由器的终端，例如，ACL可以根据端口传输的数据所依据的协议将数据设定为不同的优先级别，根据协议决定需要优先发送的数据，从而通过控制数据的发送顺序优化数据传输的路径，进一步，还可以通过更改数据的字节长度达到控制网络数据流量的目的。ACL主要通过设定的规则来控制经过路由器各端口的数据，具体地，ACL由多个表项组成，每个表项称为访问控制列表表项(Access Control Entry，ACE)，ACL包括的各ACE中设定了数据的匹配条件，如此，ACL可以根据各ACE对应的匹配条件控制经过路由器各端口的数据。

一般地，各ACE对应的匹配条件中包括数据的源地址、目标地址、协议类型等信息，该匹配条件中的一个信息对应一个匹配域，例如，若匹配条件为源网络协议(Internet Protocol，IP)地址、目标MAC地址以及目标IP，则该匹配条件包括三个匹配域，即源IP地址、目标MAC地址以及目标IP分别对应的匹配域。

实际应用中，路由器可以将ACL保存在MAC芯片的内容识别处理器(Content Aware Processor，CAP)中，由CAP根据ACL包括的各ACE对应的匹配条件控制经过路由器各端口的数据。具体地，CAP包括多个模板，每个模板对应一个匹配域集合，在CAP对ACL包括的各ACE进行保存时，需要确定出每个ACE匹配的模板，例如，ACE中包括的需要数据匹配的匹配条件为数据的源IP与目的IP，CAP中包括三个模板，分别为：第一个模板的匹配域集合为源MAC、目的MAC以及源IP；第二个模板的匹配域集合为源MAC、目的MAC以及目的IP；第三个模板的匹配域集合为源IP、目的IP以及协议类型，该三个模板中只有第三个模板包括ACE全部的匹配域，因此，该ACE对应的模板为第三个模板。

此处，以CAP包括10240个模板、每个模板包括128个匹配域，ACE也包括128个匹配域为例进行描述，其中，一个匹配域对应1bit，即一个模板为128bits的位图，ACE也对应128bits的位图，如图1所示，bit0为模板的第1个匹配域，bit1为模板的第2个匹配域，bit2为模板的第3个匹配域，依次类推至bit127为模板的第128个匹配域，其中，若bit0的值为1，表明模板的bit0对应的匹配域可以用来匹配ACE中对应的匹配域，若ACE的bit0为1，表明需要对该bit0对应的匹配域进行匹配。

图2示出了在CAP中确定ACE匹配的模板的流程示意图，如图2所示，在CAP中确定ACE匹配的模板的过程，主要包括以下步骤：

步骤201、遍历CAP包括的第一个模板。

步骤202、确定要保存的ACE包括的各匹配域的匹配域集合是否为该模板对应的匹配域集合的子集，若是，执行步骤203；否则，执行步骤204。

该步骤202中，为减少确定要保存的ACE包括的各匹配域的匹配域集合是否为该模板对应的匹配域集合的子集的运算量，会将128bits按每32bits一组分为4组，以组为单位与ACE对应的匹配域集合进行与的运算，若ACE对应的匹配域集合是模板对应的匹配域集合的子集，则该模板为ACE匹配的模板。

步骤203、确定该模板为ACE匹配的模板。

步骤204、遍历下一个模板，执行步骤202。

至此，在该CAP中确定ACE匹配的模板的流程结束。