[发明专利]一种网络地址转换与访问控制列表规则聚合方法和装置

说明书

技术领域

本发明涉及数据通信技术，尤其涉及一种网络地址转换与访问控制列表规则聚合方法和装置。

背景技术

网络地址转换(NAT，NetworkAddressTranslation)应用于内部主机访问外部网络时，将本地主机的IP地址转换成外网IP地址，进行网络访问。通过NAT可以使用少量的公有IP地址代表较多的私有IP地址，从而有效缓解可用IP地址空间枯竭的问题。

访问控制列表(ACL，AccessControlList)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL中包含了匹配关系、条件和查询语句，是一个框架结构，其目的是为了对某种访问进行控制。

NAT在进行动态地址转换时，需要先通过ACL规则进行匹配，将匹配到的报文再进行NAT地址转换。

现有技术中的设备在进行报文转发时，如果报文同时需要进行NAT和ACL，大多采用的是顺序匹配方法，即：执行完ACL再进行NAT，或执行完NAT再执行ACL，这就需要进行两次处理，涉及查询两张表格并进行两次命中，报文转发所需要的时间成本较高。

发明内容

有鉴于此，本发明实施例期望提供一种网络地址转换与访问控制列表规则聚合方法和装置，能够减小后续报文转发时的查询和命中次数，提升报文转发性能，降低转发成本。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种网络地址转换NAT与访问控制列表ACL规则聚合方法，所述方法包括：

根据NAT规则表建立第一规则表；

将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；

将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。

较佳地，所述根据NAT规则表建立第一规则表包括：将所述NAT规则表中的各个规则分别复制到第一规则表中。

较佳地，所述将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表包括：

选取当前第一规则表中的第一条规则，先与ACL规则表中的第一条规则进行比较；

当所述选取的第一规则表中的规则全部包含在所述ACL规则中时，删除所述选取的第一规则表中的规则，并重新选取第一规则表中的下一条规则与ACL规则表中的规则进行比较；

当所述选取的第一规则表中的规则部分包含在ACL规则中时，将所述选取的第一规则表中的规则更新为所述选取的第一规则表中的规则中不包含在ACL规则表中的部分，并与ACL规则表中的下一条规则进行比较；

当所述选取的第一规则表中的规则不包含在ACL规则表中时，将所述选取的第一规则表中的规则与ACL规则表中的下一条规则进行比较。

较佳地，所述方法还包括：判断ACL规则表的允许状态；相应地，当所述ACL规则表为允许的时，

在所述选取的第一规则表中的规则全部包含在所述ACL规则中的情况下，所述方法还包括：将所述选取的第一规则表中的规则写入第二规则表；

在所述选取的第一规则表中的规则部分包含在ACL规则中的情况下，所述方法还包括：将所述选取的第一规则表中的规则中包含在ACL规则中的部分写入第二规则表。

较佳地，当所述用于比较的ACL规则为所述ACL规则表中的最后一条规则时，所述选取的第一规则表中的规则全部包含在当前ACL规则中。

本发明又提供了一种网络地址转换与访问控制列表规则聚合装置，所述装置包括：第一规则表建立模块、规则比较模块、规则聚合模块；其中，

所述第一规则表建立模块，用于根据NAT规则表建立第一规则表；

所述规则比较模块，用于将第一规则表中的每条规则与ACL规则表中的规则进行比较，根据比较结果建立第二规则表；

所述规则聚合模块，用于将所述ACL规则表与第二规则表进行规则聚合，生成NAT与ACL规则聚合表。

较佳地，所述第一规则表建立模块具体用于：将所述NAT规则表中的各个规则分别复制到第一规则表中。

较佳地，所述规则比较模块具体用于：选取当前第一规则表中的第一条规则，先与ACL规则表中的第一条规则进行比较；

当所述选取的第一规则表中的规则全部包含在所述ACL规则中时，删除所述选取的第一规则表中的规则，并重新选取第一规则表中的下一条规则与ACL规则表中的规则进行比较；