技術領域

本發明屬于通信技術領域，尤其涉及一種訪問控制列表實現方法及裝置。?

背景技術

根據數據包特定關鍵字段將數據包分成不同的流，例如根據數據包的源IP(internet?protocol，因特網協議)地址和目的IP地址進行分類，同一類數據包稱之為一條流。分成流后，可以針對該流進行各種處理，例如丟棄或轉發、限速、重新分配優先級等，這種處理稱之為動作。通常一個規則加上對應的動作稱之為一個ACL(Access?Control?List，訪問控制列表)條目。?

根據一般業界標準組成規則的關鍵字段有5個，通常也稱5元組，這5個關鍵字是：IP報文的源地址、IP報文的目的地址、IP報文的承載協議類型、TCP(Transmission?Control?Protocol，傳輸層控制協議)或UDP(User?Data?Protocol，用戶數據協議)源端口號、TCP或UDP的目的端口號。在具體實現中，使用的關鍵字還可以有其他擴展：COS(Class?Of?Service，服務等級)、TOS(Type?Of?Service，服務類型)、DSCP(Differentiated?Service?Code?Point，差分服務編碼)、虛擬局域網索引VLAN?ID、源和目的MAC(Media?Access?Control，介質訪問控制)地址等，以上各個關鍵字可以任意組合，并且可以設置范圍限制，例如一個規則可以是：TCP端口1000～2000+IP地址255.122.122.*(*代表不關心的位)。對于PTN(Packet?Transport?Network，分組傳送網)設備，其組成規則的關鍵字可能還需要包括MPLS(多協議標簽交換)數據包中的隧道標識ID或偽線標識ID等，其具體的規則根據實際應用確定。?

隨著網絡技術的發展，越來越多的網絡設備需要支持快速準確的報文分類，如安全網關、邊緣路由器、核心路由器等。未來網絡的發展趨勢需要為用戶提?供更好的服務質量，而諸如防火墻、區分服務、虛擬專網VPN、基于策略的路由等提高服務質量的機制都是基于高效訪問控制列表技術之上的。此外，隨著光纖通信技術的發展，鏈路帶寬和傳輸速率已不再成為問題，路由轉發設備正在成為網絡瓶頸，而訪問控制列表更是關鍵之關鍵。因此高效快速的訪問控制列表實現方法對于未來互聯網的發展具有極其重要的意義。?

現行分組傳輸設備采用TCAM(Ternary?Content?Addressable?Memory，三態內容尋址存儲器)實現訪問控制列表。采用TCAM實現訪問控制列表的優點在于實現簡單，但是TCAM也有許多不足的地方。首先TCAM在同一時鐘周期內將待查找的關鍵字和TCAM的每一個條目進行比較，所以功耗較大；第二是TCAM器件成本較高，價格昂貴；第三是由于TCAM器件實現的原因，采用TCAM實現的規則庫不能太大。?

發明內容

本發明要解決的技術問題是針對現有技術中存在的上述缺陷，提出一種成本和功耗較低的訪問控制列表實現方法和裝置。?

本發明采用的技術方案包括：?

一種訪問控制列表實現裝置，包括訪問控制列表生成模塊、存儲器和訪問控制列表查找模塊：?

其中，所述訪問控制列表生成模塊用于，將同一維的各規則區間映射到一個數軸上，分別得到各規則區間在該數軸上的端點，并以所述以各個規則對應的區間的端點為葉子節點，建立起樹形數據結構，所述端點指左端點和右端點之一；?

所述存儲器用于存儲所述樹形數據結構；?

所述訪問控制列表查找模塊用于，提取待查找數據包的關鍵字，以之查找所述樹形數據結構，獲取所述待查找數據包對應的規則。?

進一步地，所述樹形數據結構指2-3樹結構。?

進一步地，所述樹形數據結構指二叉樹結構。?

進一步地，所述訪問控制列表生成模塊還用于，為所述樹形數據結構建立備份，并將其保存于所述存儲器中。?

進一步地，所述以各個規則對應的區間的端點為葉子節點，建立起樹形數據結構，是指分別對各個葉子節點的高M比特部分進行哈希運算，將運算結果相同的葉子節點組成一個樹形數據結構，從而得到一個以上的樹形數據結構；?

所述提取待查找數據包的關鍵字，以之查找所述樹形數據結構，是指對所述關鍵字的高M比特部分進行哈希運算，根據運算結果找到對應的樹形數據結構進行查找；?

0＜M＜N，N為規則的寬度。優選地，0＜M＜N/3。?