[发明专利]基于优先级的插入删除访问控制列表的方法

说明书

技术领域

本发明涉及访问控制列表技术，尤其涉及一种基于优先级的插入删除访问控制列表的方法。

背景技术

目前，访问控制列表（Access Control List，ACL）是由匹配字段集合和动作集合组成的一系列有优先级顺序的规则。网络设备中一般存在着多个ACL条目，根据网络应用场景的需要，这些ACL条目往往需要按照一定的执行顺序执行。在网络设备中，ACL条目的执行顺序是由ACL条目的优先级来保证的，高优先级的先于低优先级条目执行。ACL条目优先级的设定就是建立一个执行顺序到ACL优先级的映射关系，即ACL条目的优先级是根据用户要求的ACL执行顺序的需求制定的，通常根据配置ACL条目的先后顺序基于先配先效或者后配后生效的原则设定ACL条目的优先级，当添加新的ACL条目时，用户必须使新添加的ACL条目在整个ACL条目中的优先级满足如下两个条件：1)新添加ACL条目优先级能够满足该ACL的用户对ACL执行顺序的要求；2)新添加ACL条目的优先级不会影响当前已经存在的ACL的用户对ACL执行顺序的要求。如果能够找出满足条件1、2的优先级的空条目，则该ACL添加成功，否则添加失败。

然而，根据用户需求向ACL列表中添加新的ACL规则，按照现有的人工配置的方式，必须在配置之前，进行大量的人工计算，以确定新增加的ACL条目同时满足条件1、2，随着网络设备中ACL条目的增加，其计算难度也成倍增加。因此，采用现有技术配置ACL规则，如向ACL中添加新的规则，对已经建立的ACL规则进行顺序再调整的工作量非常大，从而使用户添加新的ACL规则很不方便。

发明内容

有鉴于此，本发明提供一种能自动插入/删除满足相应约束条件的ACL条目的基于优先级的插入删除访问控制列表的方法。

一种基于优先级的插入删除访问控制列表的方法，其用于根据用户需求自动插入和删除ACL条目，所述基于优先级的插入删除访问控制列表（Access Control List，ACL）的方法包括以下步骤：

创建至少一个ACL匹配模板并确定所述至少一个ACL匹配模板的优先级；

建立各ACL匹配模板约束集合以确定所述至少一个ACL匹配模板的优先级；

建立所述至少一个ACL匹配模板的ACL条目的条目约束以确定各ACL条目的优先级；

设定需插入/删除的ACL条目的约束条件并根据所设定的约束条件、所述至少一个ACL匹配模板的优先级及各ACL条目的优先级确定所需插入/删除的ACL条目的匹配模板的模板优先级和条目优先级；

根据所需插入/删除的ACL条目匹配模板的模板优先级和所需插入的ACL条目的条目优先级计算所需插入/删除的ACL条目的硬件表项地址；

根据所计算的硬件表项地址插入/删除相应ACL条目。

与现有技术相比，本发明提供的基于优先级的插入删除访问控制列表的方法中，可以自动在当前ACL资源中判断是否存在满足约束条件的未使用资源，并在存在时将要添加ACL条目添加到适当位置，并进行适当ACL资源优先级的调整来满足用户对ACL执行顺序的要求，从而通过本方法可以根据用户设定的约束条件自动添加和删除ACL条目，并且不对已经存在的其它ACL条目执行顺序造成影响。

附图说明

图1是本发明提供的基于优先级的插入删除访问控制列表的方法流程图。

图2-11是图1中不同约束条件下插入ACL条目的方法流程图。

图12是图1中删除ACL条目的方法流程图。

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

请参阅图1,其为本发明实施方式提供的一种基于优先级的插入删除访问控制列表（Access Control List，ACL）的方法，其用于根据用户需求自动插入和删除ACL条目，所述基于优先级的插入删除访问控制列表的方法包括以下步骤：

S100：创建至少一个ACL匹配模板；

S200：建立各ACL匹配模板约束集合以确定至少一个ACL匹配模板的优先级；

S300：建立至少一个ACL匹配模板的ACL条目的条目约束以确定各ACL条目的优先级；

S400：设定需插入/删除的ACL条目的约束条件并根据所设定的约束条件、至少一个ACL匹配模板的优先级及各ACL条目的优先级确定所需插入/删除的ACL条目的匹配模板的模板优先级和条目优先级；