技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)交換技術(shù)，尤其涉及一種訪問控制列表(AccessControl?List，ACL)規(guī)則匹配方法及系統(tǒng)。

背景技術(shù)

在通信領(lǐng)域，ACL是一種應(yīng)用在交換設(shè)備上的技術(shù)。隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的不斷深入，ACL在安全接入，特定數(shù)據(jù)流監(jiān)控等方面的應(yīng)用越來越廣泛，已經(jīng)成為交換設(shè)備中必不可少的重要技術(shù)之一。

現(xiàn)有ACL技術(shù)中，三態(tài)內(nèi)容可尋址存儲器(TCAM)規(guī)則匹配的寬度一直是個(gè)棘手的問題。技術(shù)上TCAM的寬度可以做到很寬，但是由于TCAM價(jià)格昂貴，而且ACL技術(shù)實(shí)際應(yīng)用中對于超過TCAM長度的長規(guī)則匹配的需求不是很多，基于TCAM的成本和ACL技術(shù)中長規(guī)則使用頻率較低這兩方面考慮，一般交換機(jī)的TCAM都做的不是很寬，可以滿足大多數(shù)情況的ACL需求即可。

但是，畢竟存在部分場合下需要長規(guī)則匹配，現(xiàn)在的芯片一般都無法實(shí)現(xiàn)，比如對于IPV6，如果需要同時(shí)匹配源IP、目的IP、源介質(zhì)訪問控制(MAC)及目的MAC，再加上傳輸控制協(xié)議(TCP)的源端口號和目的端口號，現(xiàn)有的交換芯片很難實(shí)現(xiàn)。雖然通過TCAM合并技術(shù)可以實(shí)現(xiàn)，但是靈活性很差，資源浪費(fèi)情況也很嚴(yán)重。以兩塊大小為512條的TCAM合并為例，合并后所有的規(guī)則都變成了的兩倍寬度長規(guī)則了，如果實(shí)際只需要使用2條長規(guī)則，那么剩下510條本來可以實(shí)現(xiàn)510×2＝1020條短規(guī)則，但是現(xiàn)在也只能實(shí)現(xiàn)510的短規(guī)則了，造成了較大的資源浪費(fèi)。

現(xiàn)在的交換芯片雖然能夠?qū)崿F(xiàn)ACL的長規(guī)則的匹配，但是資源浪費(fèi)情況比較嚴(yán)重，當(dāng)然已有技術(shù)可以選擇單倍寬度或者雙倍寬度，但是靈活性比較差，都有一些局限性比如每次TCAM操作后都需要進(jìn)行碎片整理，長規(guī)則TCAM的位置必須連續(xù)等等。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是在于需要提供一種普通寬度TCAM上實(shí)現(xiàn)2倍或者多倍寬度的ACL長規(guī)則匹配方法及系統(tǒng)，以節(jié)約TCAM資源。

為了解決上述技術(shù)問題，本發(fā)明首先提供了一種訪問控制列表規(guī)則匹配方法，判斷訪問控制列表ACL規(guī)則的長度，將超過三態(tài)內(nèi)容可尋址存儲器TCAM長度的ACL長規(guī)則拆分成若干條不超過所述TCAM長度的子規(guī)則，對所述若干條子規(guī)則和/或不超過所述TCAM長度的ACL短規(guī)則分別進(jìn)行TCAM查找，完成所述長規(guī)則和/或短規(guī)則所規(guī)定的動(dòng)作。

如上所述的方法中，將所述長規(guī)則拆分成若干條子規(guī)則時(shí)，各子規(guī)則可以滿足一個(gè)子規(guī)則的TCAM查找匹配到一個(gè)結(jié)果的互斥規(guī)則。

進(jìn)一步地，可以將所述長規(guī)則拆分成盡量少的所述子規(guī)則。

如上所述的方法中，將所述長規(guī)則拆分成兩條子規(guī)則時(shí)，可以對第一條子規(guī)則進(jìn)行第一次TCAM查找后輸出報(bào)文類型標(biāo)識，根據(jù)所述報(bào)文類型標(biāo)識對第二條子規(guī)則進(jìn)行第二次TCAM查找。

如上所述的方法中，所述ACL規(guī)則中僅含所述短規(guī)則時(shí)，可以直接對所述短規(guī)則進(jìn)行TCAM查找；

所述ACL規(guī)則中含有所述長規(guī)則和短規(guī)則時(shí)，可以依次對每條子規(guī)則進(jìn)行TCAM查找，對所述短規(guī)則只進(jìn)行一次TCAM查找。

為了解決上述技術(shù)問題，本發(fā)明還提供了一種訪問控制列表規(guī)則匹配系統(tǒng)，包括判斷模塊、拆分模塊、查找模塊及執(zhí)行模塊，其中：

判斷模塊，用于判斷訪問控制列表ACL規(guī)則的長度；

拆分模塊，與所述判斷模塊相連，將超過三態(tài)內(nèi)容可尋址存儲器TCAM長度的ACL長規(guī)則拆分成若干條不超過TCAM長度的子規(guī)則；

查找模塊，與所述判斷模塊及拆分模塊相連，用于對所述子規(guī)則和/或不超過所述TCAM長度的ACL短規(guī)則進(jìn)行TCAM查找；及

執(zhí)行模塊，與所述查找模塊相連，用于完成所述長規(guī)則和/或短規(guī)則所規(guī)定的動(dòng)作。

如上所述的系統(tǒng)中，所述拆分模塊將所述長規(guī)則拆分成若干條子規(guī)則時(shí)，各子規(guī)則可以滿足一個(gè)子規(guī)則的TCAM查找匹配到一個(gè)結(jié)果的互斥規(guī)則。

進(jìn)一步地，所述拆分模塊可以將所述長規(guī)則拆分成盡量少的所述子規(guī)則。

如上所述的系統(tǒng)中，所述拆分模塊將所述長規(guī)則拆分成兩條子規(guī)則時(shí)，所述查找模塊可以對第一條子規(guī)則進(jìn)行第一次TCAM查找后輸出報(bào)文類型標(biāo)識，根據(jù)所述報(bào)文類型標(biāo)識對第二條子規(guī)則進(jìn)行第二次TCAM查找。

如上所述的系統(tǒng)中，所述ACL規(guī)則中僅含所述短規(guī)則時(shí)，所述查找模塊可以直接對所述短規(guī)則進(jìn)行TCAM查找；

所述ACL規(guī)則中含有所述長規(guī)則和短規(guī)則時(shí)，所述查找模塊可以依次對每條子規(guī)則進(jìn)行TCAM查找，對所述短規(guī)則只進(jìn)行一次TCAM查找。