[发明专利]处理访问控制列表的方法、装置、设备及介质

说明书

本申请涉及一种处理访问控制列表的方法、装置、设备及介质，涉及通信技术领域，该方法可用于减少迁移ACL表项的次数且减少存储ACL所需的时长。该方法将存储周期配置为至少两个子周期，一旦检测到子周期内没有接收到新的ACL，则将在该子周期之前接收的ACL存储在TCAM中，这样无需等待存储周期结束便能存储ACL，以缩短存储ACL的过程所需的时长，并且至少需要一个子周期才会将ACL写入TCAM中，减少了存储ACL至TCAM的次数，也就减少了迁移ACL表项的次数。

技术领域

本申请涉及通信技术领域，尤其涉及一种处理访问控制列表的方法、装置、设备及介质。

背景技术

路由器和交换机等网络设备可以使用访问控制列表(access control list，ACL)过滤非法报文，以保障网络安全。一个ACL包括至少一个ACL表项，每个ACL表项包括一个规则及其关联的策略，其中，规则定义了筛选报文的条件，策略定义了对筛选出的报文执行的操作。

在ACL生效之前，需要将ACL存储到网络设备的三态内存寻址寄存器(ternarycontent addressable memory，TCAM)中。一般是按照ACL中各个ACL表项的优先级从高到低的顺序，将各个ACL表项依次存储到TCAM中。

目前，一种存储机制是接收一个ACL，则存储该ACL。而该ACL中的ACL表项的优先级可能比之前已存储的ACL表项的优先级更高，则需要对已存储的所有ACL表项进行迁移，迁移次数较多。如果已存储的ACL表项数量较多，那么下一次存储需要迁移的ACL表项会更多。

目前，另一种存储机制为定时缓存机制存储ACL，具体为：计时时长达到设置的存储周期后，将该存储周期内接收的所有ACL存储至TCAM中。该定时缓存机制中，由于聚合了一定数量的ACL后才存储，这样可以相对减少存储ACL的次数，也就能减少迁移ACL表项的次数。在实际存储过程中，可能一个存储周期内中部分时长并未接收到ACL，但按照该定时缓存机制，需等到达存储周期之后，才会将ACL存储到TCAM中，也就是说，每次存储ACL均需耗费一个存储周期的时长，导致存储ACL耗费的时间较长。

发明内容

本申请实施例提供一种处理访问控制列表的方法、装置、设备及介质，用于在减少ACL表项的搬迁次数的同时，减少存储ACL所需的时长。

一方面，本申请实施例提供了一种处理访问控制列表的方法，应用于网络设备中，所述方法包括：启动当前存储周期的计时后，确定在所述当前存储周期的当前子周期内是否接收到新的访问控制列表ACL，每个存储周期包括至少两个子周期；若确定在所述当前子周期内未接收到新的ACL，则确定在所述当前存储周期内且所述当前子周期之前是否已接收到至少一个ACL；若确定在所述当前存储周期内且所述当前子周期之前已接收到至少一个ACL，则将所述至少一个ACL下发到所述网络设备的三态内存寻址寄存器TCAM中，终止所述当前存储周期的计时并启动下一个存储周期的计时。

在本申请实施例中，当前存储周期被划分为至少两个子周期，网络设备可参照存储周期进行ACL存储，即不是接收到一个ACL就立即将该ACL存储至TCAM中，这样可减少因频繁存储ACL至TCAM所引起的ACL表项的迁移次数过多的问题。并且，网络设备一旦检测到在当前存储周期内的某个子周期内未接收到新的ACL，那么表示本次需要存储的ACL较少，也就表示本次属于小批量ACL持续存储的可能性较大，那么表示在当前存储周期内的后续子周期中接收到新的ACL的可能性比较小，因此可以直接将在当前存储周期且当前子周期之前接收到的ACL存储至TCAM中，从而无需等待当前存储周期计时结束，便可以将ACL存储至TCAM中，减少了存储ACL所需的时长，进而有利于提高存储ACL的效率。