过滤表项的安装方法和网络设备的利记博彩app

文档序号:7809475阅读:214来源:国知局
导航: 利记体育> 最新专利>电子通信装置的制造及其应用技术
过滤表项的安装方法和网络设备的利记博彩app
【专利摘要】本发明提供一种过滤表项的安装方法和网络设备,一种过滤表项的安装方法,通过获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎,使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效,解决了当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
【专利说明】过滤表项的安装方法和网络设备

【技术领域】
[0001 ] 本发明涉及通信技术,尤其涉及一种过滤表项的安装方法和网络设备。

【背景技术】
[0002]接入控制功能是网络设备上对接入用户进行控制的功能的统称,包括认证、安全通道等。访问控制列表(ACL,Access Control List)是网络安全防范和保护的主要策略,目的是为了保证网络资源不被非法使用和访问。
[0003]现有技术中,接入控制和ACL功能都需要通过过滤表项在网络设备硬件上实现。接入控制和ACL分别对应输入阶段并行查找的引擎,每个引擎对应一张由多个过滤表项组成的过滤表。当用户报文到达网络设备端口时,若该端口上配置有过滤策略,则引擎会自动按顺序检查报文是否与过滤表中的某一条过滤表项匹配,若匹配成功,则引擎直接返回匹配项的行为。若该端口配置了多个引擎,则并行查找多张过滤表,若每张过滤表查找到匹配项,都会返回该匹配项的行为。最后,所有返回的行为再进行行为决策,若行为不冲突,则同时执行;若行为冲突(例如,一引擎返回行为是丢弃,另一引擎返回的行为是不丢弃),则拥有高优先级的引擎的行为优先执行。
[0004]但是,现有技术中,若多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。


【发明内容】

[0005]本发明提供一种过滤表项的安装方法和网络设备,用以解决现有技术中当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
[0006]本发明提供一种过滤表项的安装方法,包括:
[0007]获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为;
[0008]为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;
[0009]将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件;
[0010]其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
[0011]本发明提供一种网络设备,包括:
[0012]第一获取模块,用于获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为;
[0013]分配模块,用于为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;
[0014]安装模块,用于将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件;
[0015]其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
[0016]本发明提供的过滤表项的安装方法和网络设备,通过获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎,使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效,解决了当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。

【专利附图】

【附图说明】
[0017]图1为本发明过滤表项的安装方法实施例一的流程图;
[0018]图2为本发明过滤表项的安装方法实施例二的流程图;
[0019]图3为本发明网络设备实施例一的结构示意图;
[0020]图4为本发明网络设备实施例二的结构示意图。

【具体实施方式】
[0021]图1为本发明过滤表项的安装方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
[0022]步骤101、获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为;
[0023]其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
[0024]步骤102、为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎;
[0025]步骤103、将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件。
[0026]现有技术中,接入控制功能和ACL功能分别对应输入阶段并行查找的引擎,每个引擎对应一张由多个过滤表项组成的过滤表。本发明中,获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎。
[0027]现有技术中,由于接入控制功能和ACL功能分别对应输入阶段并行查找的引擎,每个引擎对应一张由多个过滤表项组成的过滤表;当用户报文到达网络设备端口时,各引擎并行查找多张过滤表,若每张过滤表查找到匹配项,都会返回该匹配项的行为;若返回的行为冲突,则拥有高优先级的引擎的行为优先执行;因此,当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。通过本发明中获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎,使得当用户报文到达网络设备端口时,输入阶段生效的过滤表与输出阶段生效的过滤表分别对应的引擎并行对该报文进行查找过滤,并且首先在输入阶段时生效所述输入阶段生效的过滤表对应引擎所返回的行为,然后在输出阶段时生效所述输出阶段生效的过滤表对应引擎所返回的行为,使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效,解决了当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
[0028]本实施例,通过获取输入阶段生效的过滤表及输出阶段生效的过滤表,为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎,使得接入控制功能和ACL功能并行查找的过滤结果能够串行生效,解决了当多个引擎返回的行为冲突时,存在无法实现接入控制和ACL两个功能串行过滤的问题。
[0029]图2为本发明过滤表项的安装方法实施例二的流程图,如图2所示,本实施例的方法可以包括:
[0030]步骤201、根据硬件所支持的过滤行为,确定输入阶段行为池以及输出阶段行为池;其中,所述输入阶段行为池包括在输入阶段生效的硬件实现行为,所述输出阶段行为池包括在输出阶段生效的硬件实现行为;
[0031]其中,硬件可以为网络设备中的媒体接入控制器(MAC,Media AccessController)芯片。
[0032]其中,网络设备可以为交换机或路由器。
[0033]其中,输入阶段可以为网络设备端口接收到用户报文后,网络设备确定该用户报文的输出端口前的阶段;输出阶段可以为网络设备确定所述用户报文的输出端口后,网络设备将所述用户报文发送至对应输出端口前的阶段。
[0034]需要说明的是,接入控制功能包括认证、安全通道等,本发明中以认证为例进行说明。
[0035]对于认证功能,用户分为已认证用户和未认证用户,在未认证用户完成认证之前,不允许访问网络。因此,网络设备上需要实现认证用户的报文允许通过(permit)及未认证用户的报文丢弃(deny)的功能。
[0036]对于ACL功能,对用户报文是否能通过该网络设备进行控制:允许通过或丢弃。
[0037]例如,若硬件支持的过滤行为为允许通过和丢弃时,则输入阶段行为池包括丢弃(drop)、不丢弃(drop cancle)行为(其中,drop行为和drop cancle行为为在输入阶段生效的硬件实现行为),输出阶段行为池包括所有端口都不允许输出报文(端口 block位图中所有端口对应的bit位设置为1,以下简称egress mask (all bit))、所有端口都允许输出报文(端口 block位图中所有端口对应的bit位设置为O,以下简称egress mask (nobit))(其中,egress mask (all bit)行为和egress mask (no bit)行为为在输出阶段生效的硬件实现行为)。
[0038]需要说明的是,本实施例中输入阶段生效的硬件实现行为drop cancle和drop,输出阶段生效的硬件实现行为egress mask (all bit)和egress mask (no bit)仅为一举例;在具体实现时,应根据硬件实际支持的输出阶段生效的硬件实现行为和实际支持的输入阶段生效的硬件实现行为的变化。
[0039]步骤202、获取所述ACL功能过滤表和所述接入控制功能过滤表;
[0040]ACL功能过滤表和接入控制功能过滤表由过滤表项组成,每一条过滤表项中包括匹配条件及该匹配条件对应的行为。
[0041]例如,ACL功能过滤表可以如表1所示:
[0042]表1
[0043]

【权利要求】
1.一种过滤表项的安装方法,其特征在于,包括: 获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为; 为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎; 将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件; 其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
2.根据权利要求1所述的方法,其特征在于,所述获取输入阶段生效的过滤表及输出阶段生效的过滤表之前,还包括: 根据硬件所支持的过滤行为,确定输入阶段行为池以及输出阶段行为池;其中,所述输入阶段行为池包括在输入阶段生效的硬件实现行为,所述输出阶段行为池包括在输出阶段生效的硬件实现行为; 相应的,所述获 取输入阶段生效的过滤表及输出阶段生效的过滤表,包括: 根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表。
3.根据权利要求2所述的方法,其特征在于,所述获取输入阶段生效的过滤表及输出阶段生效的过滤表之前,还包括: 获取所述ACL功能过滤表和所述接入控制功能过滤表; 若所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表,相应的,所述根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表,包括: 将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表; 若所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表,相应的,所述根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表,包括: 将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表。
4.根据权利要求1~3任一项所述的方法,其特征在于,所述为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎,包括:若输入阶段生效的过滤表或输出阶段生效的过滤表所占空间大于对应引擎的资源,则为所述输入阶段生效的过滤表或所述输出阶段生效的过滤表分配多个优先级连续的引擎。
5.一种网络设备,其特征在于,包括: 第一获取模块,用于获取输入阶段生效的过滤表及输出阶段生效的过滤表;其中,所述输入阶段生效的过滤表中的行为为在输入阶段生效的硬件实现行为,所述输出阶段生效的过滤表中的行为为在输出阶段生效的硬件实现行为; 分配模块,用于为所述输入阶段生效的过滤表与所述输出阶段生效的过滤表对应分配不同的引擎;其中,所述输入阶段生效的过滤表对应的引擎与所述输出阶段生效的过滤表对应的引擎为在输入阶段并行查找的引擎; 安装模块,用于将所述输入阶段生效的过滤表与所述输出阶段生效的过滤表分别安装到所分配引擎对应的硬件; 其中,所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表;或者,所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表。
6.根据权利要求5所述的网络设备,其特征在于,还包括: 行为池创建模块,用于根据硬件所支持的过滤行为,确定输入阶段行为池以及输出阶段行为池;其中,所述输入阶段行为池包括在输入阶段生效的硬件实现行为,所述输出阶段行为池包括在输出阶段生效的硬件实现行为; 所述第一获取模块,具体用于:根据所述输入阶段行为池以及所述输出阶段行为池,获取输入阶段生效的过滤表及输出阶段生效的过滤表。
7.根据权利要求6所述的网络设备,其特征在于,还包括: 第二获取模块,用于获取所述ACL功能过滤表和所述接入控制功能过滤表; 所述第一获取模块,具体用于: 若所述输入阶段生效的过滤表为接入控制功能对应的过滤表,所述输出阶段生效的过滤表为访问控制列表ACL功能对应的过滤表,将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表; 若所述输入阶段生效的过滤表为ACL功能对应的过滤表,所述输出阶段生效的过滤表为接入控制功能对应的过滤表,将所述ACL功能过滤表中行为对应的匹配条件,与所述ACL功能过滤表中该行为对应的输入阶段行为池中的硬件实现行为关联存储,形成输入阶段生效的过滤表;将所述接入控制功能过滤表中行为对应的匹配条件,与所述接入控制功能过滤表中该行为对应的输出阶段行为池中的硬件实现行为关联存储,形成输出阶段生效的过滤表。
8.根据权利要求5~7任一项所述的网络设备,其特征在于,所述分配模块,具体用于: 若输入阶段生效的过滤表或输出阶段生效的过滤表所占空间大于对应引擎的资源,则为所述输入阶段生效的过滤表或所述输出阶段生效的过滤表分配多个优先级连续的引擎。
【文档编号】H04L29/06GK104079588SQ201410350347
【公开日】2014年10月1日 申请日期:2014年7月22日 优先权日:2014年7月22日
【发明者】赖利根 申请人:福建星网锐捷网络有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:赖利根
  • 技术所有人:福建星网锐捷网络有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
前置过滤器的安装方法相关技术
篮式过滤器安装方法相关技术
网络设备安全配置表相关技术

使用协议| 关于我们| 联系利记体育

© 2008-2024 【利记体育】 版权所有,并保留所有权利。津ICP备16005673号-2