技術領域

本發明涉及一種處理網絡封包的機制，尤指一種預先檢查網絡封包的因特網協議地址是否符合一范圍來處理網絡封包以及利用精簡的儲存方式來支持多種動作的執行的裝置及其相關方法。

背景技術

存取控制列表(Access?Control?List，簡稱ACL)已經普遍使用在各種系統或各種通訊裝置中。當系統或通訊裝置接收到網絡封包時，會利用存取控制列表來過濾網絡封包，并據以將網絡封包分配至各目的地。

請參閱圖1，圖1是現有存取控制列表100的示意圖。假設存取控制列表100包含有8個條目(entry)以及3個項目，8個條目為En0～En7，3個項目為媒體存取控制地址(Media?Access?Control?Address，簡稱MACAddress)、因特網協議地址(Internet?Protocol?Address，簡稱IP?Address)與動作(Action)?，F有網絡設備接收數據流(data?stream)，在其處理過程中，如果數據流到達了存取控制列表100的處理模塊時，那么該處理模塊首先會用存取控制列表100來檢查網絡封包是否允許進入該處理模塊，并根據檢查的結果采取相應的處理，舉例來說，對于符合規則的網絡封包的處理，就是對網絡封包執行相對應的動作，而動作可能是使網絡設備將網絡封包丟棄(deny)或者允許網絡設備進一步處理網絡封包(permit)。

如圖1所示，網絡設備會從網絡封包中提取出其因特網協議地址和媒體存取控制地址字段的值，在條目En0中，首先會檢查網絡封包的媒體存取控制地址是否為0090c3000001，并檢查因特網協議地址是否為192.168.1.10。當網絡封包的媒體存取控制地址為0090c3000001且因特網協議地址為192.168.1.10時，則執行動作0001(例如將網絡封包丟棄)；反之，則不執行動作0001，同理，在條目En1中，首先會檢查網絡封包的媒體存取控制地址是否為0080c1000008，并檢查因特網協議地址是否為192.168.1.10。當網絡封包的媒體存取控制地址為0080c1000008且因特網協議地址為192.168.1.10時，則執行動作0010(例如進一步處理該網絡封包)；反之，則不執行動作0010。以此類推，直到所有條目(En0～En7)比對結束或者有某條條目匹配。有些存取控制列表100的處理模塊也可以設計成在找到匹配的規則并執行相對應的動作之后，還會繼續往下進行比對，從而針對一個網絡封包執行多個動作。

此外，隨著網絡應用的日益豐富，要求網絡設備能夠更精細的對數據流進行處理，導致網絡設備所要處理的存取控制列表條目增多，這進一步增加了對存取控制列表處理模塊的處理速度的要求。如果比對的速度太慢，則影響數據流的轉發速度，網絡設備難免會成為數據傳輸效能的瓶頸。因此，需要更具有擴展性的做法，例如使用并行比較的方法，意即，將封包中的所需的信息提取出來，按照期望的格式排列，一次性就與所有的存取控制列表規則進行比對，再遴選出比對的結果。并行比較的方法目前普遍采用三態內容尋址內存(Ternary?Content?Addressable?Memory，TCAM)或內容尋址內存(Content?Addressable?Memory，CAM)來存儲存取控制列表規則，再針對三態內容尋址內存或內容尋址內存的比對結果來處理，然而，三態內容尋址內存以及內容尋址內存只能一個位一個位的對提取出來的信息進行比對，因此，很難利用檢查封包的某個特征是否屬于某個范圍內的值，來做到范圍檢驗(range?check)的概念。