[发明专利]生成ACL表的方法和装置

说明书

本发明公开了一种生成ACL表的方法和装置，属于数据中心领域。该方法的执行主体为控制器，方法包括：获取第一网络设备的每个端口的端口类型；根据所述每个端口的端口类型，从所述第一网络设备的所有端口中选择端口类型为预设类型的目标端口；为每个目标端口生成对应的第一类访问控制列表ACL表项；生成所述第一网络设备的路由表对应的一个第二类ACL表项，所述第二类ACL表项的动作为跳转到所述路由表；将所述第二类ACL表项和每个所述第一类ACL表项添加到所述第一网络设备的ACL表中。由于ACL表项中仅包括目标端口对应的第一类ACL表项和路由表对应的一个第二类ACL表项，从而减少了ACL表中包括的ACL表项的数目，降低了对TCAM资源的需求量，方便了数据中心网络扩容。

技术领域

本发明涉及数据中心领域，特别涉及一种生成访问控制列表(英文：accesscontrol list，简称：ACL)表的方法和装置。

背景技术

为了满足数据中心(英文：data center，简称：DC)中数据量的飞速增长，出现了基于光交叉技术的两级全连接(英文：mesh)架构的DC网络。

两级mesh架构是指将组成DC网络的交换机分成若干组，每个交换机连接到同组内的所有其他交换机，并且每个交换机连接到除该交换机所在组外的其他组中与该交换机对应的交换机。

例如，图1中的两级mesh架构包括三个交换机组，每个交换机组包括三个交换机，例如，第一组包括交换机S11，S12和S13，第二组包括交换机S21，S22和S23，第三组包括交换机S31，S32和S33。每个交换机分别连接到该交换机所属的交换机组内的其他交换机，每个交换机连接到其他交换机组中的对应交换机。例如，S11连接到同属于第一组的S12和S13，还连接到第二组的S21和第三组的S31。通过上述连接，每个交换机都能与该两级mesh架构中的任意交换机通信。

在两级mesh架构中，每个交换机都包括多个端口，端口分为用户侧端口和网络侧端口，其中用户侧端口用于连接服务器(图中未示出)，网络侧端口用于连接其他交换机。不同交换机连接的两个服务器之间可以互相访问ACL表。交换机收到其所连接的服务器发送的报文时，根据ACL表转发该报文，以使该报文最终到达目的服务器。

每个交换机上存储有ACL表，该ACL表包括每个端口的ACL表。其中，一个ACL表包括匹配字段和动作，匹配字段可以是一个或多个，例如，接收报文的端口的端口号和报文的目的网际协议(英文：Internet Protocol，简称：IP)地址之间的至少一个。

由于ACL表需要交换机上的专用芯片的三态内容寻址存储器(英文：ternarycontent addressable memory，简称：TCAM)器件来实现，上述方法中需要在该交换机上为通过该交换机的每个端口的每条流配置对应的ACL表，而ACL表存储在交换机上的专用芯片的TCAM中，因此，当数据中心网络规模很大时，需要超大规格的TCAM，然而ACL表当前技术并不能生产超大规格的TCAM，导致数据中心网络扩容困难。

发明内容

为了解决现有技术的问题，本发明提供了一种生成ACL表的方法和装置。以减少ACL表的规模，降低对TACM规格的需求。

第一方面，本发明实施例提供了一种生成ACL表的方法，所述方法包括：

获取第一网络设备的每个端口的端口类型；

根据所述每个端口的端口类型，从所述第一网络设备的所有端口中选择端口类型为预设类型的目标端口；

为每个目标端口生成对应的第一类访问控制列表ACL表项；

生成所述第一网络设备的路由表对应的一个第二类ACL表项，所述第二类ACL表项的动作为跳转到所述路由表；

将所述第二类ACL表项和每个所述第一类ACL表项添加到所述第一网络设备的ACL表中。