[发明专利]一种ACL规则的配置方法、匹配方法及相关装置

说明书

技术领域

本发明涉及通信领域，特别是一种ACL规则的配置方法、匹配方法及相 关装置。

背景技术

目前，接入网设备中都会配置有ACL(AccessControlList，访问控制列 表)。ACL中保存有ACL规则，用于实现数据包的过滤功能。即，ACL规则 一般有两种，一种是拦截功能，用于直接将数据包进行丢弃；另一种是转发功 能，允许数据包在对应的物理端口上进行收发。

具体地，接入网设备配置的每条ACL规则都会有匹配字段(可自定义设 置)，交换网设备在接收到数据包后，根据数据包携带信息，与已经配置的ACL 规则进行匹配，若数据包携带信息与ACL规则中的匹配字段具有匹配关系， 则按照相关策略执行该ACL规则，以决定数据包时丢弃还是转发。

受目前ACL芯片的功能限制，出方向的物理端口不能共享相同的ACL规 则。由于ACL的匹配字段不支持设置多个物理端口的ID，因此，假设有10 条ACL规则需要同时配置在8个物理端口上，则必需为8个物理端口分别设 置10条ACL规则。

由此可见，现有接入网设备所保存的ACL规则总量过多，这样一来，一 是延长了ACL规则遍历时间，降低了接入网设备响应ACL规则的速度；二是 占用了过多的存储空间。

发明内容

本发明要解决的技术问题是提供一种ACL规则的配置方法、匹配方法及 相关装置，能够有效减小接入网设备需要配置的ACL规则总数。

为解决上述技术问题，本发明的实施例提供一种访问控制列表ACL的配 置方法，包括：

为接入网设备各个出方向物理端口配置接口组ID；其中，需要配置同一 条ACL规则的出方向物理接口具有同一接口组ID；

在ACL规则的匹配字段中加入该ACL规则需要配置到的出方向物理端口 所对应的接口组ID；

将匹配字段添加完成的ACL规则导入到所述接入网设备，使得所述接入 网设备在对接收到的数据包进行过滤时，能够将该数据包中的目的出方向物理 端口转换为对应的接口组ID，并根据该转换的接口组ID，匹配到相应的ACL 规则。

其中，所述配置方法还包括：

针对需要取消ACL规则的物理接口，删除该物理接口已配置的对应于需 要取消的ACL规则的接口组ID。

其中，所述配置方法还包括：

针对需要添加ACL规则的物理接口，为该物理接口配置对应于需要添加 的ACL规则的接口组ID。

其中，为接入网设备出方向的物理端口配置接口组ID，包括：

通过修改接入网设备的物理端口列表，为出方向物理端口配置接口组ID。

此外，本发明的另一实施例还提供一种访问控制列表ACL规则的配置装 置，包括：

配置模块，用于为接入网设备各个出方向物理端口配置接口组ID；其中， 需要配置同一条ACL规则的出方向物理接口具有同一接口组ID；

匹配添加模块，用于在ACL规则的匹配字段中加入该ACL规则需要配置 到的出方向物理端口所对应的接口组ID；

导入模块，用于将匹配字段添加完成的ACL规则导入到所述接入网设备， 使得所述接入网设备在对接收到的数据包进行过滤时，能够将该数据包中的目 的出方向物理端口转换为对应的接口组ID，并根据该转换的接口组ID，匹配 到相应的ACL规则。

其中，所述配置装置还包括：

规则删除模块，用于针对需要取消ACL规则的物理接口，删除该物理接 口已配置的对应于需要取消的ACL规则的接口组ID。

其中，所述配置装置还包括：

规则添加模块，用于针对需要添加ACL规则的物理接口，为该物理接口 配置对应于需要添加的ACL规则的接口组ID。

其中，所述配置模块具体通过修改接入网设备的物理端口列表，为出方向 物理端口配置接口组ID。

此外，本发明的实施例还提供一种访问控制列表ACL规则的匹配方法， 包括：

接入网设备接收数据包；

接入网设备根据所述数据包中的目标出方向物理端口，转换为一对应的接 口组ID；其中，配置同一条ACL规则的出方向物理接口对应有同一接口组ID；

接入网设备根据该接口组ID，在已配置的ACL规则中进行匹配查找，确 定出具有与该接口组ID相同匹配字段的ACL规则。