[发明专利]访问控制列表分组调整方法、网络设备和系统

说明书

本申请实施例公开了一种访问控制列表分组调整方法、网络设备和系统，涉及通信领域，用于解决由于TCAM中ACL分组资源不足导致的ACL业务下发失败的问题。访问控制列表分组调整方法，包括：将多个第一ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并，以形成第二ACL分组；获取所述第二ACL分组对应的ACL规则；删除三态内容寻址存储器TCAM中的第一ACL分组以及与所述第一ACL分组对应的ACL规则；将所述第二ACL分组下发到TCAM；将所述第二ACL分组对应的ACL规则下发到所述TCAM中的所述第二ACL分组中。本申请实施例用于交换机或路由器下发ACL规则。

技术领域

本申请涉及通信领域，尤其涉及一种访问控制列表分组调整方法、网络设备和系统。

背景技术

访问控制列表(access control list，ACL)是路由器和交换机接口的指令列表，用于控制端口进出的数据包。具体的，ACL规则通过匹配报文的指定特征，然后对满足这些特征的报文进行指定的动作处理，例如限速、重定向、统计等。为了方便对不同业务的ACL规则进行管理，由三态内容寻址存储器(ternary content addressable memory，TCAM)硬件单元提供了ACL规则的管理模板，统称为ACL分组。在下发每条ACL规则之前，必须首先为待下发的ACL规则指定ACL分组，若被指定的ACL分组还没有创建，则需要先创建ACL分组，然后再下发ACL规则。

ACL分组中包含ACL规则的匹配字段以及支持的动作的全集，并且在同一个ACL分组中可以同时承载多种ACL业务，即包含使用不同匹配字段和动作的ACL规则。由于业务众多，单个ACL分组能包含的匹配字段和动作有限，因此许多业务会被划分为不同的ACL分组。由于芯片硬件能力限制，芯片支持同时创建的ACL分组数量是有限的。当多种业务同时下发从而需要创建的ACL分组数目超过TCAM芯片能力限制时，就会出现因为ACL分组创建失败而导致的ACL业务下发失败。

发明内容

本申请的实施例提供一种访问控制列表分组调整方法、网络设备和系统，用于解决由于TCAM中ACL分组资源不足导致的ACL业务下发失败的问题。

为达到上述目的，本申请实施例采用如下技术方案：

第一方面，提供了一种访问控制列表分组调整方法，该方法包括：将多个第一ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并，以形成第二ACL分组；获取第二ACL分组对应的ACL规则；删除三态内容寻址存储器TCAM中的第一ACL分组以及与第一ACL分组对应的ACL规则；将第二ACL分组下发到TCAM；将第二ACL分组对应的ACL规则下发到TCAM中的第二ACL分组中。本申请实施例提供的访问控制列表分组调整方法，通过将TCAM中的ACL分组以及对应ACL规则进行合并，节省ACL分组资源，解决了由于TCAM中ACL分组资源不足导致的ACL业务下发失败的问题。

在一种可能的设计中，将多个第一ACL分组对应的ACL规则的匹配字段集合和动作集合进行合并，以形成第二ACL分组，包括：根据ACL规则与ACL分组静态对应关系数据和第一ACL规则，得到与第一ACL规则对应的ACL分组的标识，其中，第一ACL规则包括匹配字段集合和动作集合；根据第一ACL规则的匹配字段集合和动作集合以及ACL分组的标识，得到第一ACL分组；对多个第一ACL分组的匹配字段集合和动作集合进行合并以得到第二ACL分组。在该设计中提供了一种对ACL分组进行合并的具体实施方式。