CN115695014B 访问控制列表构建和数据报文处理方法、装置、系统 （北京百度网讯科技有限公司）

US2016191530A1,2016.本公开提供了访问控制列表构建和数据报构建包括：根据匹配项掩码对访问控制列表ACL集合包含的ACL规则进行分组，得到至少两个规对应于各个规则组的访问控制列表用于并行匹配数据报文的ACL规则。本公开通过匹配项掩码对ACL规则进行分组，生成对应于各个规则组的访问控制列表，能够实现并行匹配数据报文的ACL规则，提高ACL规则匹配的准确度和匹配效2根据匹配项掩码对访问控制列表ACL集合包含的ACL规则进行分组，得到至少组，每个规则组对应一个匹配项掩码且每个规则组中ACL规则包含的匹配项与对应的匹配生成对应于各个规则组的访问控制列表；所述对应于各个规则所述根据匹配项掩码对ACL集合包含的ACL规则进行分组根据各个ACL规则的通配符掩码和/或控制器的第一数量确定所述匹配项掩码；其中，每个控制器用于从一个访问控制列表中匹配所述数据报文的ACL规所述匹配项掩码与所述通配符掩码的差值小于2.根据权利要求1所述的访问控制列表构建方法，所述规则组的第二数量小于等于所3.根据权利要求1所述的访问控制列表构建方确定控制器的第一数量；每个控制器用于从一个访问控制ACL规则；若所述第二数量大于所述第一数量，则更新所述匹配项掩码，并根据更掩码对所述ACL规则进行重新分组，以使重新分组得到的规则组的第二数量小于等于所述4.根据权利要求1所述的访问控制列表构建方法，所述根据匹配项掩码若所述ACL规则包含通配符掩码，则根据所述匹配项掩码对所述若所述ACL规则不包含通配符掩码，则将所述ACL规则划分入相对各个规则组中的ACL规则的匹配项或者精确匹配项分别进行哈希运算，生成对应于响应于规则新增指令，获取待新增ACL规则，将拆分后的待新增ACL规则分入所述待分入的规则组以更新所述规则组，并根据更新37.根据权利要求6所述的访问控制列表构判断所述访问控制列表中是否存在与所述拆分后的待新增ACL规则的匹配项相同的待若存在，则判断所述拆分后的待新增ACL规则的优先级是否高于所述待替换规则的优8.根据权利要求1所述的访问控制列表构建方法响应于规则删除指令，确定待删除ACL规则是否为若所述待删除ACL规则是访问控制列表中优先级最高的ACL规则，则将所述若所述待删除ACL规则不是访问控制列表中优先级最高的AC将所述各个规则组的访问控制列表同步至高带宽内存的双倍速率同步动态随机存储根据所述数据报文的匹配项，从至少两个访问控制列表中并行匹一个匹配项掩码且每个规则组中ACL规则包含的匹配项与所述匹配项掩码相匹配；所述匹据报文的ACL规则；11.根据权利要求10所述的数据报文处理方法，所述访问控制列表通过对各个规则组所述根据所述数据报文的匹配项，从至少两个访问控制列表中并行匹对所述数据报文的匹配项进行哈希运算，根据所述哈希运算的运算结果个访问控制列表中并行匹配出与所述数据报文相匹配的目标ACL规则；或者，所述访问控制列表通过对各个规则组中的ACL规则的精确匹配项分别进行哈希4所述根据所述数据报文的匹配项，从至少两个访问控制列表中并行匹根据各规则组对应的匹配项掩码从所述数据报文的匹配项中确精确匹配项为所述匹配项中排除了匹配项掩码对应的位数之外的对所述数据报文的精确匹配项进行哈希运算，根据所述哈希运算的少两个访问控制列表中并行匹配出与所述数据报文相匹配的目标处理器，用于确定数据报文的匹配项并将所述匹配项发送给存储有至少两项掩码且每个规则组中ACL规则包含的匹配项与所述匹配项掩码相匹配；所述匹配项掩码ACL规则；存储器，用于根据所述数据报文的匹配项从所述至少两个访问每个双倍速率同步动态随机存储器的控制器用于从对应的双倍速率同步动态随机存14.根据权利要求13所述的报文处理系统，所述控制器还用于复制多份所述访问控制分组模块，用于根据匹配项掩码对访问控制列表ACL集合包到至少两个规则组，每个规则组对应一个匹配项掩码且每个规则组中ACL规则包含的匹配生成模块，用于生成对应于各个规则组的访问控制列表；确定模块，用于根据各个ACL规则的通配符掩码和/或控制所述匹配项掩码与所述通配符掩码的差值小于第一确定单元，用于确定控制器的第一数量；每个控制器用5第二确定单元，用于确定根据所述匹配项掩码对所述ACL规则进行分组得到的规则组根据更新后的匹配项掩码对ACL规则进行重新分组，以使重新分组得到的规则组的第二数若所述ACL规则包含通配符掩码，则所述判断单元调用第一分组单元；若所拆分后的匹配项对应的ACL规则划分入相对各个规则组中的ACL规则的匹配项或者精确匹配项分别进行哈希运算，生成对应于通配符掩码确定所述待新增ACL规则待分入的规则组，并根据所述待分入的规则组的匹配21.根据权利要求20所述的访问控制列表构建装置，判断所述访问控制列表中是否存在与所述拆分后的待新增ACL规则的匹配项相同的待22.根据权利要求15所述的访问控制列表构建装置，更新模块，用于响应于规则删除指令，确定待删除ACL规则是否为所述待删除所述待删除ACL规则之后的访问控制列表中ACL规则的优先级；若所述待删除ACL规则不是6则组生成，所述至少两个规则组根据匹配项掩码对ACL集合包含的ACL规则进行分组得到，每个规则组对应一个匹配项掩码且每个规则组中ACL规则包含的匹配项与所述匹配项掩码表中匹配所述数据报文的ACL规则；25.根据权利要求24所述的数据报文处理装置，所述访问控制列表通过对各个规则组对所述数据报文的匹配项进行哈希运算，根据所述哈希运算的运算结果个访问控制列表中并行匹配出与所述数据报文相匹配的目标ACL规则；或者，所述访问控制列表通过对各个规则组中的ACL规则的精确匹配项分别进行哈希根据各规则组对应的匹配项掩码从所述数据报文的匹配项中确精确匹配项为所述匹配项中排除了匹配项掩码对应的位数之外的对所述数据报文的精确匹配项进行哈希运算，根据所述哈希运算的少两个访问控制列表中并行匹配出与所述数据报文相匹配的目标所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被使所述计算机执行根据权利要求1_11中所述存储器中存储有至少两个访问控制列表；其中，所述至少两个访权利要求1_9中任一项所述的访问控制列表构建方法得到；处理器，用于确定数据报文的匹配项并根据所述数据报文的匹配项7问控制列表中并行匹配出与所述数据报文相匹配的目标ACL规则，以及对所述数据报文执8[0002]访问控制列表(AccessControlList，ACL)是路由器和包括一条或多条访问控制列表ACL规则，每条ACL规则是描述数据报文匹配条件的判断语[0003]现有技术中，ACL规则的匹配方式需要多次串行查找，这会带来多次存储器的访规则组，每个规则组对应一个匹配项掩码且每个规则组中ACL规则包含的匹配项与所述匹对应一个匹配项掩码且每个规则组中ACL规则包含的匹配项与所述匹配项匹配项掩码且每个规则组中ACL规则包含的匹配项与所述匹9[0017]分组模块，用于根据匹配项掩码对访问控制列表ACL集合包含的ACL规则进行分到，每个规则组对应一个匹配项掩码且每个规则组中ACL规则包含的匹配项与所述匹配项根据上述任一项所述的访问控制列表构建方法个访问控制列表中并行匹配出与所述数据报文相匹配的目标ACL规则，以及对所述数据报[0034]应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特[0037]图2为本公开一示例性实施例提供的一种访问控制列表构建方法中对ACL规则进[0038]图3为本公开一示例性实施例提供的一种访问控制列表构建方法中更新访问控制的ACL规则为优先级最高的规则。配的方式还是基于软硬件结合实现ACL匹配的方式，其匹配效率已经远远满足不了线速处[0049]图1为本公开一示例性实施例提供的一种访问控制列表构建方法的流程图，该访[0051]其中，每个规则组对应一个匹配项掩码且每个规则组中ACL规则包含的匹配项与[0052]ACL集合中包含的ACL规则的数量可以根据实际情况自行设置，可以是1条也可以是多条。ACL集合中包含的ACL规则的规则类型包括范围匹配的ACL规则和/或完全匹配的[0057]举例来说，以源地址SIP以及目的地址DIP作为数据报文匹[0058]为了得到较适宜的规则组的数量，匹配项掩码与通配符掩码的差值小于差值阈对步骤102生成的访问控制列表进行ACL规则匹配，进而确保能够并行匹配数据报文的ACL规则。更新后的匹配项掩码进行分组得到的规则组的第二数量小于等于DDR控制[0062]根据通配符掩码和DDR控制器的数量两个维度的参数同时确定匹配项掩码，能够[0064]ACL规则包括范围匹配的ACL规则和/或精确匹配的ACL规则。范围匹配的ACL规则[0067]若步骤101_1的判断结果为是，说明ACL规则为范围匹配的ACL规则，则执行步骤[0068]需要说明的是，步骤101_0和步骤101_1的执行顺序不限于图2示出的先确定匹配[0079]对于不同类型的ACL规则采用不同的手段实现分组，能够确保规则组的数量以及[0083]在一个实施例中，将步骤102生成的各个规则组的访问控制列表同步至高带宽内存(HighBandwidthMemory，HBM)的双倍速率同步动态随机存储器(Double_Data_Rate，[0084]需要说明的是，对于每个访问控制列表所使用的DDR控制器的数量可以是一个也可以是多个。对于每个访问控制列表所使用的DDR控制器的数量可以根据该访问控制列表包含的表项数量决定，对于包含表项数量较大的访问控制列表可以使用两个或以上的DDR[0085]关于访问控制列表的同步，可以但不限于通过PCIe(peripheralcomponent[0089]本公开实施例特别适用于包含大量ACL规则的ACL集合，通过匹配项掩码对ACL规[0094]访问控制列表的访问控制列表项索引为该规则组内所有拆分后ACL规则的精确匹增ACL规则和删除访问控制列表中的ACL规则。修改ACL规则的实现方式与新增ACL规则类[0102]根据该规则组的预设掩码将ACL规则拆分成一条或者多条规则，并且通过匹配项掩码来精简这些拆分后ACL规则的匹配项，也即将匹配项中排除了匹配项掩码对应的位数当前计算机网络带宽的不断提高和接入网络设备数量的爆炸式增长对ACL规则匹配的表项在与拆分后的待新增ACL规则的匹配项相同的待替换规则，则执行根据更新后的规则组更访问控制列表中存在与拆分后的待新增ACL规则的匹配项相同的待替换规，需要进一步判过优先级的判断能够确保访问控制列表中ACL规则的优先级的准确性，避免匹配到错误的ACL规则。否高于哈希访问控制列表中现有的表项，高于则将拆分后的ACL规则写入到哈希访问控制除ACL规则是访问控制列表中优先级最高的ACL规则，则将访问控制列表中的待删除ACL规[0113]确定待删除ACL规则所在的访问控制列表的实现方式与待新增ACL规则确定待分[0123]步骤402中的至少两个访问控制列表根据上述任一实施例提供的访问控制列表生[0124]若从至少两个访问控制列表中并行匹配出多个与数据报文相匹配的ACL规则，则将多个相匹配的ACL规则中优先级最高的确定为目标ACL规[0126]本公开实施例中，通过匹配项掩码对ACL规则进行分组而生成的对应于各个规则[0127]若访问控制列表通过对各个规则组中的ACL规则的匹配项分别进行哈希运算生至少两个访问控制列表中并行匹配出与数据报文相匹配的目标A[0128]本公开实施例中，通过哈希运算生成访问控制列表，以便于在进行ACL规则匹配[0129]若访问控制列表通过对各个规则组中的ACL规则的精确匹配项分别进行哈希运算两个访问控制列表中并行匹配出与数据报文相匹配的目标AC于构建访问控制列表时所采用的是匹配项还是精确匹配项)进行哈希运算。哈希运算后的[0141]每个双倍速率同步动态随机存储器的控制器用于从对应的双倍速率同步动态随在所述双倍速率同步动态随机存储器的多个[0143]由于HBM是基于同步动态随机存储器实现的存储器，需要在使用过程中不断地进[0147]图6为本公开一示例性实施例提供的一种访问控制列表构建装置的模块示意图，组的访问控制列表用于并行匹配数据报文的A[0156]第二确定单元，用于确定根据所述匹配项掩码对所述ACL规则进行分组得到的规并将拆分后的匹配项对应的ACL规则划分入相匹配[0163]所述第二分组单元，用于将所述ACL规则划分入相匹配的匹配项掩码对应的规则[0165]对各个规则组中的ACL规则的匹配项或者精确匹配项分别进行哈希运算，生成对则的通配符掩码确定所述待新增ACL规则待分入的规则组，并根据所述待分入的规则组的[0169]判断所述访问控制列表中是否存在与所述拆分后的待新增ACL规则的匹配项相同除了所述待删除ACL规则之后的访问控制列表中ACL规则的优先级；若所述待删除ACL规则[0177]图7为本公开一示例性实施例提供的一种数据报文处理装置的模块示意图，该数得到，每个规则组对应一个匹配项掩码且每个规则组中ACL规则包含的匹配项与所述匹配[0181]可选地，所述访问控制列表通