CN117640547A - 访问控制列表下发方法、装置、通信设备及存储介质 - Google Patents

访问控制列表下发方法、装置、通信设备及存储介质 Download PDF

Info

Publication number
CN117640547A
CN117640547A CN202410101121.9A CN202410101121A CN117640547A CN 117640547 A CN117640547 A CN 117640547A CN 202410101121 A CN202410101121 A CN 202410101121A CN 117640547 A CN117640547 A CN 117640547A
Authority
CN
China
Prior art keywords
access control
control list
target
rule
outgoing direction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410101121.9A
Other languages
English (en)
Inventor
施仁哲
陈翔
张连聘
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Metabrain Intelligent Technology Co Ltd
Original Assignee
Suzhou Metabrain Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Metabrain Intelligent Technology Co Ltd filed Critical Suzhou Metabrain Intelligent Technology Co Ltd
Priority to CN202410101121.9A priority Critical patent/CN117640547A/zh
Publication of CN117640547A publication Critical patent/CN117640547A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/10Packet switching elements characterised by the switching fabric construction
    • H04L49/112Switch control, e.g. arbitration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种访问控制列表下发方法、装置、通信设备及存储介质,包括:在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取目标出方向访问控制列表对应的目标出方向访问控制列表规则;获取目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;在检测到第一匹配关系为目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则无法匹配的情况下,将目标出方向访问控制列表对应的目标出方向访问控制列表规则和目标出方向访问控制列表规则中的动作进行拆分下发。通过当前交换机支持的规则将出方向实现的ACL功能需求转移入方向去实现。

Description

访问控制列表下发方法、装置、通信设备及存储介质
技术领域
本申请涉及交换机技术领域,特别涉及一种访问控制列表下发方法、装置、通信设备及存储介质。
背景技术
访问控制列表(Access Control List,ACL)是交换机常用的一种功能,它可以控制报文的各种行为,在交换芯片的报文处理流水线上有很重要的地位,在白盒交换机设备中,访问控制列表作为白盒交换机的基本特性,在各种用户应用场景被大量应用,根据访问控制列表在芯片转发报文流程中生效的位置,访问控制列表可分为入方向访问控制列表和出方向访问控制列表。
入方向访问控制列表是报文在入端口上生效,大多处于芯片报文转发流程中的转发处理模块之后处理报文,在入方向支持可用于做报文匹配的规则比较多,同时支持的访问控制列表硬件条目数也比较多。出方向访问控制列表是报文在出端口上生效,大多处于芯片转发报文流程的出口报文编辑流程之后,在出方向支持可用于做报文匹配的规则比较少,同时支持的访问控制列表硬件条目数也比较少。
由此可见,当前交换芯片的访问控制列表可支持的程度,出方向访问控制列表会受到交换机转发芯片的较大限制,导致很多用户需求无法实现。
发明内容
本申请实施例的目的在于提供一种访问控制列表下发方法、装置、通信设备及存储介质,具体技术方案如下:
在本申请实施的第一方面,首先提供了一种访问控制列表下发方法,所述方法包括:
在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表对应的目标出方向访问控制列表规则;
获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;
在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
可选地,所述获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系包括:
根据所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则进行比对,得到第一比对结果;
根据所述第一比对结果生成第一匹配关系。
可选地,在所述获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系的步骤之后,所述方法包括:
在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则匹配的情况下,将所述目标出方向访问控制列表下发至出方向。
可选地,所述将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发包括:
将所述目标出方向访问控制列表规则下发至入方向,以使所述入方向根据所述目标出方向访问控制列表规则匹配对应的目标报文,并将所述目标报文进行标记,得到目标报文标识;
根据所述目标报文标识匹配对应的动作;
将所述动作下发至出方向,以使所述出方向执行所述动作。
可选地,所述目标出方向访问控制列表规则包括内层五元组信息的识别匹配规则。
可选地,所述获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系包括:
根据所述内层五元组信息的识别匹配规则和当前交换机支持的出方向访问控制列表规则进行匹配,得到第一匹配关系,所述第一匹配关系包括所述内层五元组信息的识别匹配规则和当前所述交换机支持的出方向访问控制列表规则无法匹配。
可选地,所述在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发包括:
在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述内层五元组信息的识别匹配规则下发至入方向,以使所述入方向根据所述内层五元组信息的识别匹配规则匹配对应的目标报文,并将所述目标报文进行标记,得到目标报文标识;
根据所述目标报文标识匹配对应的动作;
将所述动作下发至所述出方向,以使出方向根据执行所述动作。
可选地,所述目标出方向访问控制列表属于访问控制列表对应的不同类型其中一个,所述访问控制列表对应的类型是根据所述访问控制列表在所述交换机对应的芯片转发报文流程中生效的位置确定的。
在本申请实施的第二方面,还提供了一种访问控制列表下发方法,所述方法包括:
在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表规则对应的目标规格信息;
获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系;
在检测到所述第二匹配关系为所述目标出方向访问控制列表规则对应的目标规格信息和当前所述交换机支持的出方向访问控制列表规则对应的实际规格信息无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
可选地,所述获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系包括:
根据所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则进行比对,得到第二比对结果;
根据所述第二比对结果生成第二匹配关系。
可选地,在所述获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系的步骤之后,所述方法包括:
在检测到第二匹配关系为所述目标出方向访问控制列表规则对应的目标规格信息和当前所述交换机支持的出方向访问控制列表规则对应的实际规格信息匹配的情况下,将所述目标出方向访问控制列表下发至出方向。
可选地,所述将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发包括:
获取当前所述交换机对应的出方向访问控制列表使用情况;
根据所述出方向访问控制列表使用情况将所述目标出方向访问控制列表规则下发至入方向,以使所述入方向根据所述目标出方向访问控制列表规则匹配对应的目标报文,并将所述目标报文进行标记,得到目标报文标识;
根据所述目标报文标识匹配对应的动作;
将所述动作下发至出方向,以使所述出方向执行所述动作。
可选地,所述出方向访问控制列表使用情况包括当前所述交换机出方向的剩余访问控制列表条目。
可选地,所述规格信息包括所述目标出方向访问控制列表规则对应的字节长度。
可选地,所述字节长度和所述交换机支持的访问控制列表条目数目呈反比。
可选地,所述目标出方向访问控制列表属于访问控制列表对应的不同类型其中一个,所述访问控制列表对应的类型是根据所述访问控制列表在所述交换机对应的芯片转发报文流程中生效的位置确定的。
在本申请实施的第三方面,还提供了一种访问控制列表下发装置,所述装置包括:
第一接收模块,用于在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表对应的目标出方向访问控制列表规则;
第一获取模块,用于获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;
第一下发模块,用于在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
在本申请实施的第四方面,还提供了一种访问控制列表下发装置,所述装置包括:
第二接收模块,用于在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表规则对应的目标规格信息;
第二获取模块,用于获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系;
第二下发模块,用于在检测到所述第二匹配关系为所述目标出方向访问控制列表规则对应的目标规格信息和当前所述交换机支持的出方向访问控制列表规则对应的实际规格信息无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
在本申请实施的第五方面,还提供了一种通信设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;
所述处理器,用于读取存储器中的程序实现如第一方面或者第二方面任一所述的访问控制列表下发方法。
在本申请实施的第六方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机实现如第一方面或者第二方面任一所述的访问控制列表下发方法。
本申请实施例提供的访问控制列表下发方法,通过在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表对应的目标出方向访问控制列表规则;获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;在检测到第一匹配关系为所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。本申请实施例中,通过确定当前交换机能够支持的规则针对用户待下发的目标出方向访问控制列表生成对应的下发方式,通过软件代码逻辑,将一部分需要在出方向实现的访问控制列表功能需求但是无法实现的访问控制列表功能转移到入方向去实现,即利用入方向访问控制列表补偿出方向访问控制列表功能,丰富出方向访问控制列表模板。
另外,本申请实施例提供的访问控制列表下发方法,通过确定当前交换机出方向能够支持的规格信息针对用户待下发的目标出方向访问控制列表生成对应的下发方式,通过软件代码逻辑,将一部分需要在出方向实现的访问控制列表功能需求但是无法实现的访问控制列表功能转移到入方向去实现,即利用入方向访问控制列表补偿出方向访问控制列表功能,扩大出方向访问控制列表 entry规格。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本申请实施例提供的访问控制列表下发方法的步骤流程图一;
图2是本申请实施例提供的访问控制列表下发方法的步骤流程图二;
图3是本申请实施例提供的访问控制列表下发方法的步骤流程图三;
图4是本申请实施例提供的访问控制列表下发方法的步骤流程图四;
图5是本申请实施例提供的一种访问控制列表下发装置的结构示意图;
图6是本申请实施例提供的另一种访问控制列表下发装置的结构示意图;
图7是本申请实施例提供的一种通信设备示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本申请各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本申请的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
参照图1,示出了本申请实施例提供的访问控制列表下发方法的步骤流程图一,所述方法可以包括:
步骤101,在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取目标出方向访问控制列表对应的目标出方向访问控制列表规则;
需要说明的是,访问控制列表(Access Control List,访问控制列表)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等,访问控制列表本质上是一种报文过滤器,规则是过滤器的滤芯,设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用访问控制列表的业务模块的处理策略来允许或阻止该报文通过。访问控制列表由一系列规则组成,通过将报文与访问控制列表规则进行匹配,设备可以过滤出特定的报文。
需要说明的是,在本申请实施例中,根据访问控制列表在芯片转发报文流程中生效的位置,访问控制列表可分为入方向访问控制列表和出方向访问控制列表。
入方向访问控制列表是报文在入端口上生效,大多处于芯片报文转发流程中的转发处理模块之后处理报文,除了可以识别到进入设备的原始报文携带的信息(例如报文五元组信息、tunnel信息等)之外,还能识别到芯片转发模块针对报文的一些查表结果(例如出端口信息、报文需封装的头信息等),所以在入方向支持可用于做报文匹配的规则比较多,同时支持的访问控制列表硬件条目数也比较多。
出方向访问控制列表是报文在出端口上生效,大多处于芯片转发报文流程的出口报文编辑流程之后,由于所处位置较为接近转发流程结束位置,报文的原始信息大多已经被编辑掉,导致此时可以拿到用于匹配的信息较少,所以在出方向支持可用于做报文匹配的规则比较少,同时支持的访问控制列表硬件条目数也比较少。
因此,在本申请实施例中,利用入方向访问控制列表支持的匹配规则数量及规格远大于出方向访问控制列表支持的匹配规则数量及规格这一特点,通过白盒交换机SAI层软件代码逻辑,将一部分想要在出方向实现的访问控制列表功能需求,转移到入方向去实现,即利用入方向访问控制列表补偿出方向访问控制列表功能,丰富出方向访问控制列表模板,扩大出方向访问控制列表 entry规格。
进一步地,所述目标出方向访问控制列表属于访问控制列表对应的不同类型其中一个,所述访问控制列表对应的类型是根据所述访问控制列表在所述交换机对应的芯片转发报文流程中生效的位置确定的。
即ACL包括出方向ACL和入方向ACL,根据目标访问控制列表在交换机对应的芯片转发报文流程中生效的位置可以将ACL分为出方向ACL和入方向ACL。
步骤102,获取目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;
进一步地,步骤102中,所述获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系包括:根据所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则进行比对,得到第一比对结果;根据所述第一比对结果生成第一匹配关系。
需要说明的是,当用户下发出方向访问控制列表时,SAI层软件会将待下发的目标出方向访问控制列表中的访问控制列表规则与当前交换芯片支持的出方向访问控制列表规则作比较,得到第一匹配关系。
进一步地,在步骤102之后,即在所述获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系的步骤之后,所述方法包括:
在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则匹配的情况下,将所述目标出方向访问控制列表下发至出方向。
需要说明的是,若当前交换芯片支持待下发规则,则直接将目标出方向访问控制列表下发到出方向。
步骤103,在检测到第一匹配关系为目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则无法匹配的情况下,将目标出方向访问控制列表对应的目标出方向访问控制列表规则和目标出方向访问控制列表规则中的动作进行拆分下发。
进一步地,如图2所示,步骤103包括,即所述将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发包括:
步骤1031,将目标出方向访问控制列表规则下发至入方向,以使入方向根据目标出方向访问控制列表规则匹配对应的目标报文,并将目标报文进行标记,得到目标报文标识;
步骤1032,根据目标报文标识匹配对应的动作;
步骤1033,将动作下发至所述出方向,以使出方向执行动作。
需要说明的是,在本申请实施例中,访问控制列表工作主要是根据规则进行,访问控制列表规则里包括他的规则编号(顺序),动作(允许或者拒绝)规则匹配的地址段(源/源-目的)生效时间段,规则表示描述匹配条件的判断语句,动作可以包括对报文进行的任何功能性需求,例如,对报文进行丢弃或者接收,以及对报文的统计、标记、镜像、改变原本的出口方向等。
在本申请实施例中,可以将访问控制列表下发分为两种情况,第一种,针对出方向访问控制列表可用规则不满足用户需求的情况:当用户下发出方向访问控制列表时,SAI层软件会将待下发的访问控制列表规则与当前交换芯片支持的出方向访问控制列表规则作比较,若当前交换芯片支持待下发规则,则直接将访问控制列表下发到出方向。
如果SAI软件比较结果为当前交换芯片不支持待下发的规则时,软件代码会将待下发的访问控制列表的规则和动作进行拆分下发,将待下发的访问控制列表规则下发到入方向,同时给该访问控制列表关联报文标记动作,即如果该访问控制列表命中,交换芯片会对命中该访问控制列表的报文做特殊标记。同时在交换芯片出方向下发访问控制列表,该访问控制列表规则为匹配报文的特殊标记,动作为原本用户下发的访问控制列表动作。
SAI层软件通过这种实现方式,用拆分下发的方式,将用户下发的原本芯片不能支持的访问控制列表下发到了芯片,并且功能正常。从用户角度上看,该访问控制列表是在交换芯片出方向匹配生效的,但是实际上该访问控制列表被分解到了入方向和出方向,入方向做访问控制列表匹配特定报文,出方向实现该报文预期的特殊动作。
在另一实施例中,所述目标出方向访问控制列表规则包括内层五元组信息的识别匹配规则,上述步骤102,即所述获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系可以包括:
根据所述内层五元组信息的识别匹配规则和当前交换机支持的出方向访问控制列表规则进行匹配,得到第一匹配关系,所述第一匹配关系包括所述内层五元组信息的识别匹配规则和当前交换机支持的出方向访问控制列表规则无法匹配。
上述步骤103,即所述在检测到第一匹配关系为所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发可以包括:
在检测到第一匹配关系为所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述内层五元组信息的识别匹配规则下发至入方向,以使所述入方向根据所述内层五元组信息的识别匹配规则匹配对应的目标报文,并将所述目标报文进行标记,得到目标报文标识;根据所述目标报文标识匹配对应的动作;将所述动作下发至所述出方向,以使出方向根据执行所述动作。
具体的,用户需求vxlan网络内,根据vxlan报文的内层五元组信息识别报文,统计特定报文在交换机上的丢包情况。但是交换芯片出方向ACL不支持内层五元组信息的识别匹配,若按照原有ACL下发方案,不能满足需求,因此,在本申请实施例中,采用SAI层软件优化方案后,入方向可以直接下发规则做报文内层五元组的匹配,动作为统计报文数量;出方向的ACL则按照本方案,将该ACL拆分到入方向和出方向,最终统计到出方向该报文的数量,通过比较出入方向的ACL统计报文数量可以实现交换机上特定报文的丢弃统计。
本申请实施例提供的访问控制列表下发方法,通过在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表对应的目标出方向访问控制列表规则;获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;在检测到第一匹配关系为所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。本申请实施例中,通过确定当前交换机能够支持的规则针对用户待下发的目标出方向访问控制列表生成对应的下发方式,通过软件代码逻辑,将一部分需要在出方向实现的访问控制列表功能需求但是无法实现的访问控制列表功能转移到入方向去实现,即利用入方向访问控制列表补偿出方向访问控制列表功能,丰富出方向访问控制列表模板。
另外,在本申请实施例中,本申请通过对访问控制列表规则和动作进行拆分下发的方式,将用户需要在出方向实现的访问控制列表功能需求,转移到入方向去实现,利用入方向访问控制列表补偿出方向访问控制列表功能,从而保证用户下发的访问控制列表正常使用,保证报文的正常传递。
参照图3,示出了本申请实施例提供的访问控制列表下发方法的步骤流程图二,所述方法可以包括:
步骤201,在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取目标出方向访问控制列表规则对应的目标规格信息;
进一步地,所述规格信息包括所述目标出方向访问控制列表规则对应的字节长度。
需要说明的是,在本申请实施例中,目标规格信息包括待下发的出方向访问控制列表规则抽象出来的字节长度,即key长度,例如,待下发的访问控制列表规则抽象出来的key长度在160字节到320。
需要说明的,访问控制列表规则抽象出来的是二进制,因此,key长度即表示规则对应的二进制字节长度。
在本申请实施例中,交换芯片支持的访问控制列表 entry数量的计算方式,与访问控制列表使用的规则数量有关,如果待下发的访问控制列表规则抽象出来的key长度在160字节到320字节之间,交换芯片可支持下发的访问控制列表 entry数量时1k条,那么待下发访问控制列表规则抽象出来的key长度在80字节到160字节之间,交换芯片就可以支持2k条访问控制列表 entry,待下发访问控制列表规则抽象出来的key长度小于80字节,交换芯片就可以支持4k条访问控制列表 entry。利用这种交换芯片访问控制列表资源管理特性,我们可以通过优化SAI层软件代码,扩大出方向访问控制列表支持的规格。
步骤202,获取目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系;
进一步地,所述获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系包括:根据所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则进行比对,得到第二比对结果;根据所述第二比对结果生成第二匹配关系。
需要说明的是,在获取目标规格信息之后,可以判断当用户下发出方向访问控制列表匹配是否超出交换芯片出方向访问控制列表支持的规格,即得到目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系,根据第二匹配关系确定如何下发目标出方向访问控制列表。
步骤203,在检测到第二匹配关系为目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息无法匹配的情况下,将目标出方向访问控制列表对应的目标出方向访问控制列表规则和目标出方向访问控制列表规则中的动作进行拆分下发。
进一步地,如图4所示,步骤203包括,即将目标出方向访问控制列表对应的目标出方向访问控制列表规则和目标出方向访问控制列表规则中的动作进行拆分下发包括:
步骤2031,获取当前交换机对应的出方向访问控制列表使用情况;
进一步地,所述出方向访问控制列表使用情况包括当前交换机出方向的剩余访问控制列表条目。
步骤2032,根据出方向访问控制列表使用情况将目标出方向访问控制列表规则下发至入方向,以使入方向根据目标出方向访问控制列表规则匹配对应的目标报文,并将目标报文进行标记,得到目标报文标识;
步骤2033,根据目标报文标识匹配对应的动作;
步骤2034,将动作下发至出方向,以使出方向执行动作。
需要说明的是,访问控制列表条目即访问控制列表 entry,是指访问控制列表指定下发的基本单位,用户可以通过配置访问控制列表 entry来匹配用户想匹配的报文字段并指定匹配到之后所要执行的动作,对于用户来说,依据所要匹配报文种类的不同,访问控制列表 entry可以分为MAC 访问控制列表、IPv6 访问控制列表、IPv4 访问控制列表等不同类型。
因此,本申请实施例中,针对出方向访问控制列表支持的entry数量不满足用户需求的情况,同样是对待下发的目标出方向访问控制列表进行规则和动作的拆分下发。
具体的,当用户下发出方向访问控制列表匹配超出交换芯片出方向访问控制列表支持的规格时,SAI层软件代码会检查当前出方向访问控制列表使用情况,将使用320字节key的访问控制列表 entry和160字节的访问控制列表 entry的规则和动作进行拆分重新下发,将待原有的访问控制列表规则下发到入方向,同时给该访问控制列表关联报文标记动作,即如果该访问控制列表命中,交换芯片会对命中该访问控制列表的报文做特殊标记。同时在交换芯片出方向下发访问控制列表,该访问控制列表规则为匹配报文的特殊标记,动作为原本用户下发的访问控制列表动作。
SAI层软件通过这种实现方式,用拆分下发的方式,将原本在出方向使用320字节匹配key和160字节匹配key的访问控制列表,拆解成了80字节匹配key的访问控制列表,相当于用入方向的访问控制列表规格弥补了出方向的访问控制列表规格不够的问题,从用户角度看,交换芯片的出方向访问控制列表规格能够满足较大规格需求。
另外,在一种实施例中,用户需求vxlan网络内,根据vxlan报文的内层五元组信息识别报文,统计特定报文在交换机上的丢包情况,该种ACL规格需支持到2k。但是交换芯片出方向ACL不支持内层五元组信息的识别匹配,按照原有ACL下发方案,每条ACL的匹配key为320字节长度,不能满足规格需求。
通过本申请实施例中的拆分下发的方式,可以实现将原本要下发在出方向的320字节长度的key缩短到80字节长度key,扩大了ACL出方向规格,满足了用户需求。
参照图5,示出了本申请实施例提供的一种访问控制列表下发装置的结构示意图,所述装置可以包括:
第一接收模块301,用于在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取目标出方向访问控制列表对应的目标出方向访问控制列表规则;
第一获取模块302,用于获取目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;
第一下发模块303,用于在检测到第一匹配关系为目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则无法匹配的情况下,将目标出方向访问控制列表对应的目标出方向访问控制列表规则和目标出方向访问控制列表规则中的动作进行拆分下发。
本申请实施例提供的访问控制列表下发装置,通过在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表对应的目标出方向访问控制列表规则;获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;在检测到第一匹配关系为所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。本申请实施例中,通过确定当前交换机能够支持的规则针对用户待下发的目标出方向访问控制列表生成对应的下发方式,通过软件代码逻辑,将一部分需要在出方向实现的访问控制列表功能需求但是无法实现的访问控制列表功能转移到入方向去实现,即利用入方向访问控制列表补偿出方向访问控制列表功能,丰富出方向访问控制列表模板。
参照图6,示出了本申请实施例提供的另一种访问控制列表下发装置的结构示意图,所述装置可以包括:
第二接收模块401,用于在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取目标出方向访问控制列表规则对应的目标规格信息;
第二获取模块402,用于获取目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系;
第二下发模块403,用于在检测到第二匹配关系为目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息无法匹配的情况下,将目标出方向访问控制列表对应的目标出方向访问控制列表规则和目标出方向访问控制列表规则中的动作进行拆分下发。
本申请实施例提供的访问控制列表下发装置,通过确定当前交换机出方向能够支持的规格信息针对用户待下发的目标出方向访问控制列表生成对应的下发方式,通过软件代码逻辑,将一部分需要在出方向实现的访问控制列表功能需求但是无法实现的访问控制列表功能转移到入方向去实现,即利用入方向访问控制列表补偿出方向访问控制列表功能,扩大出方向访问控制列表 entry规格。
本申请实施例还提供了一种通信设备,如图7所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,可以实现如下步骤:
在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表对应的目标出方向访问控制列表规则;
获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;
在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
或者 ,
在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表规则对应的目标规格信息;
获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系;
在检测到所述第二匹配关系为所述目标出方向访问控制列表规则对应的目标规格信息和当前所述交换机支持的出方向访问控制列表规则对应的实际规格信息无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
其中,存储器和处理器采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器和存储器的各种电路连接在一起。总线还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据可以有线介质进行传输或者通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器。处理器负责管理总线和通常的处理,还可以提供各种功能,包括定时,***接口,电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的访问控制列表下发方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的访问控制列表下发方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk (SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (20)

1.一种访问控制列表下发方法,其特征在于,所述方法包括:
在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表对应的目标出方向访问控制列表规则;
获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;
在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
2.根据权利要求1所述的方法,其特征在于,所述获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系包括:
根据所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则进行比对,得到第一比对结果;
根据所述第一比对结果生成第一匹配关系。
3.根据权利要求1所述的方法,其特征在于,在所述获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系的步骤之后,所述方法包括:
在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则匹配的情况下,将所述目标出方向访问控制列表下发至出方向。
4.根据权利要求1所述的方法,其特征在于,所述将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发包括:
将所述目标出方向访问控制列表规则下发至入方向,以使所述入方向根据所述目标出方向访问控制列表规则匹配对应的目标报文,并将所述目标报文进行标记,得到目标报文标识;
根据所述目标报文标识匹配对应的动作;
将所述动作下发至出方向,以使所述出方向执行所述动作。
5.根据权利要求1所述的方法,其特征在于,所述目标出方向访问控制列表规则包括内层五元组信息的识别匹配规则。
6.根据权利要求5所述的方法,其特征在于,所述获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系包括:
根据所述内层五元组信息的识别匹配规则和当前交换机支持的出方向访问控制列表规则进行匹配,得到第一匹配关系,所述第一匹配关系包括所述内层五元组信息的识别匹配规则和当前所述交换机支持的出方向访问控制列表规则无法匹配。
7.根据权利要求6所述的方法,其特征在于,所述在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发包括:
在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述内层五元组信息的识别匹配规则下发至入方向,以使所述入方向根据所述内层五元组信息的识别匹配规则匹配对应的目标报文,并将所述目标报文进行标记,得到目标报文标识;
根据所述目标报文标识匹配对应的动作;
将所述动作下发至所述出方向,以使出方向根据执行所述动作。
8.根据权利要求1所述的方法,其特征在于,所述目标出方向访问控制列表属于访问控制列表对应的不同类型其中一个,所述访问控制列表对应的类型是根据所述访问控制列表在所述交换机对应的芯片转发报文流程中生效的位置确定的。
9.一种访问控制列表下发方法,其特征在于,所述方法包括:
在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表规则对应的目标规格信息;
获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系;
在检测到所述第二匹配关系为所述目标出方向访问控制列表规则对应的目标规格信息和当前所述交换机支持的出方向访问控制列表规则对应的实际规格信息无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
10.根据权利要求9所述的方法,其特征在于,所述获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系包括:
根据所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则进行比对,得到第二比对结果;
根据所述第二比对结果生成第二匹配关系。
11.根据权利要求9所述的方法,其特征在于,在所述获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系的步骤之后,所述方法包括:
在检测到第二匹配关系为所述目标出方向访问控制列表规则对应的目标规格信息和当前所述交换机支持的出方向访问控制列表规则对应的实际规格信息匹配的情况下,将所述目标出方向访问控制列表下发至出方向。
12.根据权利要求9所述的方法,其特征在于,所述将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发包括:
获取当前所述交换机对应的出方向访问控制列表使用情况;
根据所述出方向访问控制列表使用情况将所述目标出方向访问控制列表规则下发至入方向,以使所述入方向根据所述目标出方向访问控制列表规则匹配对应的目标报文,并将所述目标报文进行标记,得到目标报文标识;
根据所述目标报文标识匹配对应的动作;
将所述动作下发至出方向,以使所述出方向执行所述动作。
13.根据权利要求12所述的方法,其特征在于,所述出方向访问控制列表使用情况包括当前所述交换机出方向的剩余访问控制列表条目。
14.根据权利要求12所述的方法,其特征在于,所述规格信息包括所述目标出方向访问控制列表规则对应的字节长度。
15.根据权利要求14所述的方法,其特征在于,所述字节长度和所述交换机支持的访问控制列表条目数目呈反比。
16.根据权利要求9所述的方法,其特征在于,所述目标出方向访问控制列表属于访问控制列表对应的不同类型其中一个,所述访问控制列表对应的类型是根据所述访问控制列表在所述交换机对应的芯片转发报文流程中生效的位置确定的。
17.一种访问控制列表下发装置,其特征在于,所述装置包括:
第一接收模块,用于在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表对应的目标出方向访问控制列表规则;
第一获取模块,用于获取所述目标出方向访问控制列表规则和当前交换机支持的出方向访问控制列表规则之间的第一匹配关系;
第一下发模块,用于在检测到所述第一匹配关系为所述目标出方向访问控制列表规则和当前所述交换机支持的出方向访问控制列表规则无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
18.一种访问控制列表下发装置,其特征在于,所述装置包括:
第二接收模块,用于在检测到接收用户待下发的目标出方向访问控制列表的情况下,获取所述目标出方向访问控制列表规则对应的目标规格信息;
第二获取模块,用于获取所述目标出方向访问控制列表规则对应的目标规格信息和当前交换机支持的出方向访问控制列表规则对应的实际规格信息之间的第二匹配关系;
第二下发模块,用于在检测到所述第二匹配关系为所述目标出方向访问控制列表规则对应的目标规格信息和当前所述交换机支持的出方向访问控制列表规则对应的实际规格信息无法匹配的情况下,将所述目标出方向访问控制列表对应的目标出方向访问控制列表规则和所述目标出方向访问控制列表规则中的动作进行拆分下发。
19.一种通信设备,其特征在于,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;
所述处理器,用于读取存储器中的程序实现如权利要求1-8中任意一项所述访问控制列表下发方法,或者,权利要求9-16中任意一项所述访问控制列表下发方法。
20.一种可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现如权利要求1-8中任意一项所述访问控制列表下发方法,或者,权利要求9-16中任意一项所述访问控制列表下发方法。
CN202410101121.9A 2024-01-24 2024-01-24 访问控制列表下发方法、装置、通信设备及存储介质 Pending CN117640547A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410101121.9A CN117640547A (zh) 2024-01-24 2024-01-24 访问控制列表下发方法、装置、通信设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410101121.9A CN117640547A (zh) 2024-01-24 2024-01-24 访问控制列表下发方法、装置、通信设备及存储介质

Publications (1)

Publication Number Publication Date
CN117640547A true CN117640547A (zh) 2024-03-01

Family

ID=90025507

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410101121.9A Pending CN117640547A (zh) 2024-01-24 2024-01-24 访问控制列表下发方法、装置、通信设备及存储介质

Country Status (1)

Country Link
CN (1) CN117640547A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101325534A (zh) * 2007-06-15 2008-12-17 上海亿人通信终端有限公司 基于网络处理器的访问控制列表实现方法
CN109088894A (zh) * 2018-10-25 2018-12-25 新华三技术有限公司合肥分公司 Acl下发方法及网络设备
CN117240790A (zh) * 2022-06-06 2023-12-15 华为技术有限公司 流表规则的管理方法、流量管理方法、***及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101325534A (zh) * 2007-06-15 2008-12-17 上海亿人通信终端有限公司 基于网络处理器的访问控制列表实现方法
CN109088894A (zh) * 2018-10-25 2018-12-25 新华三技术有限公司合肥分公司 Acl下发方法及网络设备
CN117240790A (zh) * 2022-06-06 2023-12-15 华为技术有限公司 流表规则的管理方法、流量管理方法、***及存储介质

Similar Documents

Publication Publication Date Title
CN113765857B (zh) 报文转发方法、装置、设备及存储介质
US7599364B2 (en) Configurable network connection address forming hardware
US20180367431A1 (en) Heavy network flow detection method and software-defined networking switch
CN103220255B (zh) 一种实现单播反向路径转发urpf检查的方法及装置
CN111382114B (zh) 一种用于片上网络的数据传输方法、装置及电子设备
CN103858394A (zh) 负载降低***和负载降低方法
CN113452594B (zh) 一种隧道报文的内层报文匹配方法及装置
CN112787927B (zh) 一种分段路由报文转发方法、装置及预设逻辑电路单元
CN111614580A (zh) 一种数据转发方法、装置及设备
CN115883681A (zh) 报文解析方法、装置、电子设备及存储介质
CN109067657B (zh) 一种报文处理方法和装置
CN112866139A (zh) 一种多规则流分类的实现方法、设备和存储介质
CN103581020B (zh) 一种报文转发的方法、装置及***
CN113127693B (zh) 一种流量数据包统计方法、装置、设备及存储介质
CN117640547A (zh) 访问控制列表下发方法、装置、通信设备及存储介质
CN113347100B (zh) 数据流传输方法、装置、计算机设备及存储介质
CN113316212B (zh) 一种基站前传数据流的传输方法及装置
CN115567436A (zh) 组播报文的处理方法、***、计算机设备和可读存储介质
CN114079634B (zh) 一种报文转发方法、装置及计算机可读存储介质
CN113918504A (zh) 一种隔离组的实现方法及装置
US9912581B2 (en) Flow inheritance
CN113452614B (zh) 一种报文处理方法和装置
CN112804130A (zh) 报文处理方法及装置、***、存储介质以及电子设备
CN114389844B (zh) 报文处理方法、装置、电子设备及计算机可读存储介质
CN114978995B (zh) 一种报文转发路径选择方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination