[发明专利]一种访问控制列表规则匹配方法及系统

说明书

技术领域

本发明涉及一种网络交换技术，尤其涉及一种访问控制列表(AccessControl List，ACL)规则匹配方法及系统。

背景技术

在通信领域，ACL是一种应用在交换设备上的技术。随着网络技术应用的不断深入，ACL在安全接入，特定数据流监控等方面的应用越来越广泛，已经成为交换设备中必不可少的重要技术之一。

现有ACL技术中，三态内容可寻址存储器(TCAM)规则匹配的宽度一直是个棘手的问题。技术上TCAM的宽度可以做到很宽，但是由于TCAM价格昂贵，而且ACL技术实际应用中对于超过TCAM长度的长规则匹配的需求不是很多，基于TCAM的成本和ACL技术中长规则使用频率较低这两方面考虑，一般交换机的TCAM都做的不是很宽，可以满足大多数情况的ACL需求即可。

但是，毕竟存在部分场合下需要长规则匹配，现在的芯片一般都无法实现，比如对于IPV6，如果需要同时匹配源IP、目的IP、源介质访问控制(MAC)及目的MAC，再加上传输控制协议(TCP)的源端口号和目的端口号，现有的交换芯片很难实现。虽然通过TCAM合并技术可以实现，但是灵活性很差，资源浪费情况也很严重。以两块大小为512条的TCAM合并为例，合并后所有的规则都变成了的两倍宽度长规则了，如果实际只需要使用2条长规则，那么剩下510条本来可以实现510×2＝1020条短规则，但是现在也只能实现510的短规则了，造成了较大的资源浪费。

现在的交换芯片虽然能够实现ACL的长规则的匹配，但是资源浪费情况比较严重，当然已有技术可以选择单倍宽度或者双倍宽度，但是灵活性比较差，都有一些局限性比如每次TCAM操作后都需要进行碎片整理，长规则TCAM的位置必须连续等等。

发明内容

本发明所要解决的技术问题是在于需要提供一种普通宽度TCAM上实现2倍或者多倍宽度的ACL长规则匹配方法及系统，以节约TCAM资源。

为了解决上述技术问题，本发明首先提供了一种访问控制列表规则匹配方法，判断访问控制列表ACL规则的长度，将超过三态内容可寻址存储器TCAM长度的ACL长规则拆分成若干条不超过所述TCAM长度的子规则，对所述若干条子规则和/或不超过所述TCAM长度的ACL短规则分别进行TCAM查找，完成所述长规则和/或短规则所规定的动作。

如上所述的方法中，将所述长规则拆分成若干条子规则时，各子规则可以满足一个子规则的TCAM查找匹配到一个结果的互斥规则。

进一步地，可以将所述长规则拆分成尽量少的所述子规则。

如上所述的方法中，将所述长规则拆分成两条子规则时，可以对第一条子规则进行第一次TCAM查找后输出报文类型标识，根据所述报文类型标识对第二条子规则进行第二次TCAM查找。

如上所述的方法中，所述ACL规则中仅含所述短规则时，可以直接对所述短规则进行TCAM查找；

所述ACL规则中含有所述长规则和短规则时，可以依次对每条子规则进行TCAM查找，对所述短规则只进行一次TCAM查找。

为了解决上述技术问题，本发明还提供了一种访问控制列表规则匹配系统，包括判断模块、拆分模块、查找模块及执行模块，其中：

判断模块，用于判断访问控制列表ACL规则的长度；

拆分模块，与所述判断模块相连，将超过三态内容可寻址存储器TCAM长度的ACL长规则拆分成若干条不超过TCAM长度的子规则；

查找模块，与所述判断模块及拆分模块相连，用于对所述子规则和/或不超过所述TCAM长度的ACL短规则进行TCAM查找；及

执行模块，与所述查找模块相连，用于完成所述长规则和/或短规则所规定的动作。

如上所述的系统中，所述拆分模块将所述长规则拆分成若干条子规则时，各子规则可以满足一个子规则的TCAM查找匹配到一个结果的互斥规则。

进一步地，所述拆分模块可以将所述长规则拆分成尽量少的所述子规则。

如上所述的系统中，所述拆分模块将所述长规则拆分成两条子规则时，所述查找模块可以对第一条子规则进行第一次TCAM查找后输出报文类型标识，根据所述报文类型标识对第二条子规则进行第二次TCAM查找。

如上所述的系统中，所述ACL规则中仅含所述短规则时，所述查找模块可以直接对所述短规则进行TCAM查找；

所述ACL规则中含有所述长规则和短规则时，所述查找模块可以依次对每条子规则进行TCAM查找，对所述短规则只进行一次TCAM查找。