技術領域

本發明涉及一種通訊方面的IP網絡設備中有關報文分類的技術，具體說，涉及一種基于訪問控制列表分類的方法。

背景技術

網絡應用與互聯網的普及在大幅提高企業的生產經營效率的同時，也帶來了諸如數據的安全性。如何將一個網絡有效地管理起來，盡可能地降低網絡所帶來的負面影響就成了擺在網絡管理員面前的一個重要課題。ACL是常用的安全技術之一，ACL使用包過濾技術，在路由器或智能交換機上讀取第三層及第四層包頭中的信息，例如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。

ACL是ACL和ACE兩者的統稱，ACL(ACL.Access?controllist)是訪問控制列表，表示由ACE組成的一個列表。而ACE(Access?Control?Entry)是訪問控制項，表示一條規則，實際上是條件到行為的映射(condition→action)。條件一般用報文的五元組范圍的形式，行為有兩種，允許(permit)和拒絕(deny)。如果報文符合條件，也就是匹配(match)，則報文采用條件對應的行為。

ACE在ACL中的排列是有序的，報文會依次掃描所有ACE，找到匹配的第一個ACE，返回結果，否則沒有命中，舉例如下：

例1?ACL配置實例：

access-list?101?permit?tcp?host?10.1.6.66?any?eq?telnet?/*ACE1*/

access-list?101?deny?tcp?any?any?eq?telnet?/*ACE2*/

如例1所示，ACL?101配置了兩條ACE，第一條的含義是源地址為10.1.6.66的所有telnet報文允許通過；第二條的含義是所有telnet的報文禁止通過。由于ACE1在ACE2之前，所以當一個報文通過ACL檢查時，先在ACE1中查找，如果報文不是來自10.1.6.66的telent報文(不匹配)，再到ACE2中查找，否則返回ACE1的行為——permit。ACE2的查找流程同ACE1，如果報文沒有匹配ACE2，則采用默認的行為(一般廠商都會在ACL的最后加一條默認的ACE，條件是所有的報文，行為各個廠商不一樣，Cisco為deny)。

ACL的最基本應用是報文過濾，當一個接口的入(出)口配置了ACL后，所有的入(出)口報文都分依次檢查該ACL中的ACE，得到第一個匹配的ACE，并最終采用這個ACE的行為。通過這樣的方法，網元可以過濾不想接收或不想發送的報文。

ACL還有一個重要的作用是報文分類。ACL從本質上可以看作是報文的集合。如果設報文的全集為I，那么例1可以表示為如圖1所示的集合，其中豎線區域表示Permit，橫線區域表示deny。如果將每個報文的集合看成是一個分類，就可以用ACL來表示報文的分類了。

ACL分類廣泛應用于策略路由、QoS、NAT等眾多功能。

我們以路由器的限速功能為例，如果配置了rate-limit如下：

rate-limit?input?access-group?103?96000?10000?20000?conform-actiontransmit?exceed-action?continue

rate-limit?input?access-group?101?48000?5000?10000?conform-actiontransmit?exceed-action?set-prec-transmit?5

rate-limit?input?access-group?102?48000?5000?10000?conform-actionset-prec-transmit?7?exceed-action?drop

參照圖2，對這樣的流程進行分析后，ACL的查找次數不確定，ACL分類輪循查找的時間復雜度為O(n)。