[发明专利]ACL下发方法及网络设备

说明书

本公开提供一种ACL下发方法及网络设备，网络设备检测待下发至目标转发芯片的目标ACL的类型，若为入方向ACL，则判断目标ACL的匹配长度是否超过目标转发芯片的IFP支持的最大匹配长度，若是，则从目标ACL中获取至少一个匹配字段作为第一字段组，并将与该第一字段组对应的匹配动作设置为添加对应的第一预设标识，形成第一ACL；将第一ACL下发至目标转发芯片的VFP；将目标ACL中的原始匹配动作设置为与第一预设标识和目标ACL中的剩余匹配字段对应的匹配动作，形成第二ACL；将第二ACL下发至目标转发芯片的IFP。如此，可以在不改变转发芯片结构的情况下，使转发芯片支持超长匹配字段的ACL。

技术领域

本公开涉及通信技术领域，具体而言，涉及一种ACL下发方法及网络设备。

背景技术

为了过滤通过网络设备的数据包，通常需要配置一系列的ACL(Access ContorlList，访问控制列表)，每个ACL中包括匹配字段和对应的匹配动作。当识别出与ACL中的匹配字段相符的报文时，对该报文指定对应的匹配动作。

网络设备通常将ACL下发至转发芯片的FP(Filter Processor，过滤处理器)中，由FP进行ACL的匹配。然而，现有网络设备中的转发芯片，其上的FP的匹配能力有限，也即支持的最大匹配长度有限，当待下发的ACL的匹配长度过长时，将不被转发芯片的FP支持，从而导致下发失败。

发明内容

为了至少部分地克服现有技术中的上述不足，本公开的目的在于提供一种ACL下发方法及网络设备。

为了达到上述目的，本公开采用如下技术方案：

第一方面，本公开提供一种ACL下发方法，应用于包括转发芯片的网络设备，所述方法包括：

检测待下发至目标转发芯片的目标ACL的类型，该类型包括入方向ACL和出方向ACL；

若目标ACL的类型为入方向ACL，则判断目标ACL的匹配长度是否超过目标转发芯片的IFP的最大匹配长度；

若超过该最大匹配长度，则从目标ACL中获取至少一个匹配字段作为第一字段组，获取与第一字段组对应的第一预设标识，并将与第一字段组对应的匹配动作设置为添加第一预设标识，形成第一ACL；

将第一ACL下发至目标转发芯片中的VFP；

将目标ACL中的原始匹配动作设置为与第一预设标识和目标ACL中的剩余匹配字段对应的匹配动作，形成第二ACL；

将第二ACL下发至该IFP。

第二方面，本公开提供一种网络设备，包括处理器和转发芯片，处理器包括：

检测模块，用于检测待下发至目标转发芯片的目标ACL的类型，该类型包括入方向ACL和出方向ACL；

第一下发模块，用于当目标ACL的类型为入方向ACL时，判断目标ACL的匹配长度是否超过目标转发芯片的IFP支持的最大匹配长度，若是，则从目标ACL中获取至少一个匹配字段作为第一字段组，获取与第一字段组对应的第一预设标识，并将与第一字段组对应的匹配动作设置为添加第一预设标识，形成第一ACL；将第一ACL下发至目标转发芯片中的VFP；

第二下发模块，用于将目标ACL中的原始匹配动作设置为与第一预设标识和目标ACL中的剩余匹配字段对应的匹配动作，形成第二ACL；将第二ACL下发至该IFP。

相对于现有技术而言，本公开具有以下有益效果：