[发明专利]过滤表项安装方法、装置及网络设备

说明书

技术领域

本发明涉及通信技术，尤其涉及一种过滤表项安装方法、装置及网络设备。

背景技术

访问控制列表（Access Control List，简称为ACL）是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。ACL功能是通过硬件表中的过滤表项来实现的，过滤表项包括过滤规则信息和对应的控制行为，所有的过滤表项组成ACL。当报文到达网络设备的接口时，如果该接口上配置有ACL，网络设备会自动检查该报文是否与ACL中的某一条过滤表项匹配，如果匹配成功，则直接返回该过滤表项的控制策略，控制策略决定了报文的转发行为，例如可以是允许通过（Permit）或丢弃（Deny）。

其中，过滤表项在硬件表中的顺序会直接影响报文的匹配结果。目前过滤表项的安装顺序是由过滤表项的优先值决定的，过滤表项的优先值可以是管理员为其配置的或者是交换设备按照过滤表项的配置顺序为其分配的，通常在初始安装时任意两条过滤表项的优先值之间会留下一个差值，以便用户可以随意插入指定优先值的过滤表项。现有技术普遍采用的过滤表项安装方法是：按照过滤表项的优先值，顺序紧凑的将过滤表项安装在硬件表中。采用这种安装方式，如果需要在硬件表中加入一条高优先值的过滤表项，就需要将比优先值其低的其他过滤表项全部向后移，该移动处理消耗的时间较长，导致过滤表项因安装时间较长而无法及时生效。

发明内容

本发明提供一种过滤表项安装方法、装置及网络设备，用以减少过滤表项的安装时间，提高过滤表项生效的及时性。

本发明第一方面提供一种过滤表项安装方法，包括：

根据待安装过滤表项的优先值、相邻过滤表项之间预设的优先值间隔和硬件表中预设的安装间隔，确定所述待安装过滤表项在所述硬件表中的预期位置索引；

根据所述待安装过滤表项的优先值、所述硬件表中各已安装过滤表项的优先值和所述各已安装过滤表项在所述硬件表中的位置索引，确定所述待安装过滤表项对应的位置索引范围；

如果所述位置索引范围中存在未被使用的位置索引，根据所述预期位置索引与所述未被使用的位置索引的关系，确定所述待安装过滤表项在所述硬件表中的最终位置索引；

将所述待安装过滤表项安装在所述硬件表中所述最终位置索引对应的位置。

本发明第二方面提供一种过滤表项安装装置，包括：

预期索引确定模块，用于根据待安装过滤表项的优先值、相邻过滤表项之间预设的优先值间隔和硬件表中预设的安装间隔，确定所述待安装过滤表项在所述硬件表中的预期位置索引；

索引范围确定模块，用于根据所述待安装过滤表项的优先值、所述硬件表中各已安装过滤表项的优先值和所述各已安装过滤表项在所述硬件表中的位置索引，确定所述待安装过滤表项对应的位置索引范围；

最终索引确定模块，用于在所述位置索引范围中存在未被使用的位置索引时，根据所述预期位置索引与所述未被使用的位置索引的关系，确定所述待安装过滤表项在所述硬件表中的最终位置索引；

安装模块，用于将所述待安装过滤表项安装在所述硬件表中所述最终位置索引对应的位置。

本发明第三方面提供一种网络设备，包括：本发明提供的任一过滤表项安装装置。

本发明提供的过滤表项安装方法、装置及网络设备，预先设定硬件表中的安装间隔，首先确定出待安装过滤表项在硬件表中的预期位置索引，然后确定出待安装过滤表项在硬件表中的位置索引范围，通过位置索引范围对预期位置索引进行校正，确定待安装过滤表项在硬件表中的最终位置索引，最后将待安装的过滤表项安装在硬件表中最终位置索引对应的位置，完成过滤表项的安装，由于不再是顺序紧凑的对过滤表项进行安装，而是按照预设的安装间隔进行安装，这样当后续硬件表发生变动时，可以不用移动或者减少移动已安装的过滤表项，减少了移动处理消耗的时间，减少了过滤表项的安装时间，有利于过滤表项及时生效。

附图说明

图1为本发明一实施例提供的过滤表项安装方法的流程图；

图2为步骤101的一种可选实施方式的流程图；

图3为步骤101的另一种可选实施方式的流程图；

图4为步骤102的一种优选实施方式的流程图；

图5A为本发明另一实施例提供的过滤表项安装方法的流程图；

图5B为本发明一实施例提供的通过平衡二叉树获取位置索引范围并校正预期位置索引过程的示意图；

图5C为本发明一实施例提供的校正预期位置索引后得到的平衡二叉树的示意图；