[发明专利]一种数据处理方法、网络设备及计算机可读存储介质

说明书

本申请实施例提供了一种数据处理方法、网络设备及计算机可读存储介质，用于对访问控制列表ACL中的至少一个访问控制项ACE进行处理，包括：获取ACL对应的应用对象的应用对象标识；根据ACE的优先级从高到低的顺序，从所述ACL中的至少一个ACE中依次获取ACE；为获取到的ACE添加对应的所述应用对象标识；按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项。本申请实施例可以通过在存储器中空闲的硬件表项插空的方式写入ACE，与现有的需要连续的硬件表项存储ACE相比，避免了存储器中ACL的ACE需要搬移的情况的出现，提高了效率。

技术领域

本申请涉及通信技术领域，具体而言，涉及一种数据处理方法、网络设备及计算机可读存储介质。

背景技术

随着技术的发展，对网络安全的控制和对带宽的分配成为网络管理的重要内容，通过对报文进行过滤，可以有效防止非法用户对网络的访问，也可以控制流量，节约网络资源。

访问控制列表(Access Control List，简称ACL)通过配置报文的匹配规则和处理操作来实现对报文的过滤功能。ACL是一个有序的规则集合，其中包含的规则为访问控制表项(Access Control Entry，简称ACE)。当网络设备的端口接收到报文后，ACL通过一系列的匹配条件对报文进行处理，例如允许或禁止该报文通过。

现有的网络设备中通常会存储多个ACL，每个ACL通过名字或标识进行区分，且每个ACL根据网络设备中人为设置的硬件优先级(Hardware priority)，被存储在网络设备中连续的硬件表项中，每个硬件表项通常存储一项ACE。若网络设备中连续的硬件表项的数量少于一ACL包含的ACE的数量，则需要搬移已经被存储于网络设备中的其他ACL，这种资源搬移非常耗时，效率较低。

申请内容

本申请实施例提供了一种数据处理方法、网络设备及计算机可读存储介质，以改善现有技术中可能需要搬移网络设备中的ACL而造成的耗时长、效率低的情况。

第一方面，本申请实施例提供了一种数据处理方法，用于对访问控制列表ACL中的至少一个访问控制项ACE进行处理，所述方法包括：获取ACL对应的应用对象的应用对象标识；根据ACE的优先级从高到低的顺序，从所述ACL中的至少一个ACE中依次获取ACE；为获取到的ACE添加对应的所述应用对象标识；按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项。

本申请实施例提供的方法可以在获取ACE时保证了其顺序的先后性，然后为ACE添加应用对象标识后，根据存储器的硬件表项值从小到大的顺序将ACE添加到存储器的空闲的硬件表项中。具体地，可以根据硬件表项值从小到大的顺序遍历存储器的每个硬件表项，若硬件表项为空闲的硬件表项，则往里写入ACE；若硬件表项为已经写有其他ACL的ACE的硬件表项，则根据硬件表项值从小到大的顺序继续对存储器的下一个硬件表项进行判断。本申请实施例可以通过在存储器中空闲的硬件表项插空的方式写入ACE，与现有的需要连续的硬件表项存储ACE相比，避免了存储器中ACL的ACE需要搬移的情况的出现，提高了效率。

在一个可能的设计中，在所述按照硬件表项值从小到大的顺序，将添加所述应用对象标识后的ACE写入存储器中空闲的硬件表项之后，所述方法还包括：获取写入ACE的硬件表项的硬件表项标识；建立所述ACE与所述硬件表项标识的对应关系。

在将ACE写入存储器的硬件表项之后，可以获得相应的硬件表项的硬件表项标识，并建立ACE与硬件表项标识的对应关系，以方便根据硬件表项标识对存储器中的ACE进行查找，以及进行后续操作。

在一个可能的设计中，在所述获取ACL对应的应用对象的应用对象标识之前，所述方法还包括：在所述ACL中新增ACE后，获取所述ACL中被写入存储器的每个ACE对应的硬件表项标识；从所述存储器中，删除与所述ACL中被写入存储器的每个ACE对应的硬件表项标识对应的ACE。