[发明专利]一种ACL规则的配置方法及网络设备

说明书

技术领域

本发明涉及通讯领域，特别是涉及一种ACL规则的配置方法及网络设备。

背景技术

随着通信领域数据业务的不断发展，基于以太网络应用的技术手段逐步在网络设备中得到应用，其中作为网络服务质量(QoS)特性领域中的访问控制列表(ACL)技术，应用尤为广泛。

在访问控制列表(ACL，Access Control List)技术应用的场景中，常用的实现方式是使用三态内容寻址存储器(TCAM)实现特性访问控制规则的匹配查找功能，可以对需要处理数据报文中的特定字段进行精确匹配、范围匹配以及最长匹配等查找功能。但是，并非所有的TCAM器件都支持范围匹配的查找功能，在TCAM器件功能受限制的场景，需要使用数据报文中的特殊字段进行范围匹配规则操作的情况下，提供不了特殊字段范围匹配查找的TCAM器件，需要将用户下发的范围匹配规则分解为多个精确匹配规则进行查找。

范围匹配规则分解为多个精确匹配规则组合的其中一种方法为单范围匹配规则的加法分解方式，这种方式是指，在对于一个范围匹配规则进行分解的情况下，将范围匹配区间的最小数值作为门限，采用二进制累加的方式，使用2ⁿ作为增加分别规则个数增加的基本单元，直到达到范围匹配规则最大数值门限的规则分解方法。使用该方法分解简单、动态处理方便，但是没有实现范围匹配分解到最少，额外的消耗精确匹配硬件资源。

发明内容

本发明主要解决的技术问题是提供一种ACL规则的配置方法及网络设备，能够减少数据ACL规则的占用，节省TCAM器件的使用空间。

第一方面，提供一种ACL规则的配置方法，包括：网络设备接收数据包中一段需要范围匹配的地址；将范围匹配地址进行2ⁿ分解得到至少两个分解区间，其中n取非负整数；将分解区间中有效地址个数大于2^k小于2^k+1的分解区间，采用减法方式进行再次分解，其中，0<k<n，通过减法方式进行再次分解是通过包含分解区间且有效地址个数为2的幂次方的大区间减去大区间内分解区间之外的区间以得到分解区间的方式；对经再次分解后得到的有效地址个数不为2的幂次方的分解区间再次执行采用减法方式进行再次分解的步骤，如此循环直至分解得到的所有区间包含的有效地址个数都为2的幂次方；对有效地址个数为2的幂次方的所有区间中的连续区间进行合并处理，不连续区间进行累加处理；为合并处理和累加处理后得到的每个区间分别配置一条ACL规则，以依据配置的ACL规则对经过的数据包地址进行处理。

结合第一方面，在第一方面的第一种可能的实现方式中：将范围匹配地址进行2ⁿ分解得到至少两个分解区间的步骤包括：确定范围匹配地址的中心地址，以中心地址为中心，分别向范围匹配地址的两端分解得到至少两个分解区间，中心地址为范围匹配地址以内最大的2ⁿ或为通过a2ⁿ+b2^n-1+c2^n-2+d2^n-3……方式逐级累加得到的范围匹配区间内的最小数值，其中，a、b、c、d取0或1。

结合第一方面，在第一方面的第二种可能的实现方式中：大区间的有效地址个数是大于分解区间的有效地址个数且最接近分解区间的有效地址个数的2的幂次方。

第二方面，提供一种网络设备，网络设备包括接收模块、第一分解模块、第二分解模块、处理模块以及配置模块，其中：接收模块用于接收数据包中一段需要范围匹配的地址；第一分解模块用于将接收模块接收的范围匹配地址进行2ⁿ分解得到至少两个分解区间，其中n取非负整数；第二分解模块用于将第一分解模块分解得到的分解区间中有效地址个数大于2^k小于2^k+1的分解区间，采用减法方式进行再次分解，其中，0<k<n，通过减法方式再次分解是通过包含分解区间且有效地址个数为2的幂次方的大区间减去大区间内分解区间之外的区间以得到分解区间的方式，并对经再次分解后得到的有效地址个数不为2的幂次方的分解区间再次执行采用减法方式进行再次分解的步骤，如此循环直至分解得到的所有区间包含的有效地址个数都为2的幂次方；处理模块用于对第二分解模块得到的有效地址个数为2的幂次方的所有区间中的连续区间进行合并处理，不连续区间进行累加处理；配置模块用于对处理模块处理后得到的每个区间分别配置一条ACL规则，以依据配置的ACL规则对经过的数据包地址进行处理。