[发明专利]一种数据流控制方法和装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种数据流控制方法和装置。

背景技术

路由器、交换机、防火墙都是当今计算机网络上非常重要的网络设备，而这些设备都有必要提供网络数据流控制的功能，以应用于网络安全性、服务质量需求和各种策略制定等各个方面。ACL(Access Control List，访问控制列表)技术是实现网络数据包控制的一个重要手段。

ACL是由一系列含有“permit”或“deny”语句的有序规则(即数据包的访问控制规则，以下称为ACL规则)构成，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其它信息描述了一系列的约束条件，根据这些约束条件对当前的数据包进行处理，从而达到对网络数据流的控制。也就是说，当数据包的信息(例如源地址、目的地址、协议类型、目标端口号、源端口号等)符合某一ACL规则的约束条件时，则按该ACL规则对该数据包进行相应的处理。网络数据流的控制在不同的情况下有不同的含义，例如，对于包过滤而言，ACL的网络数据流控制指的是网络设备可根据数据包与ACL规则的匹配情况决定是否对该数据包进行过滤或放行，对于地址转换而言，ACL的网络数据流控制指的是网络设备可以根据数据包与ACL规则的匹配情况决定对哪些数据包进行地址转换。因而，数据包与ACL规则匹配的速度成为使用ACL技术控制网络数据流的重要因素。

然而，发明人在实现本发明的过程中，发现目前支持数据包与ACL规则快速匹配的方法往往只支持对含源地址、目的地址、协议类型、目标端口号、源端口号(以下简称为五元组信息)信息的ACL规则的快速匹配，如果ACL中的某个ACL规则含有五元组信息以外的非五元组信息(如时间段、优先级信、服务类型等信息)的约束条件，则将导致整个ACL中的ACL规则与数据包加速匹配失败，只能按照普通的链式查找方式顺序查找与数据包匹配的 ACL规则，减缓了通信设备对数据包的处理速度。并且，ACL中单个ACL规则的改变，包括ACL规则的时间有效性(即ACL规则有效的时间范围)的改变都可能需要对整个ACL的加速结构进行重构，影响数据包与ACL规则的匹配速度。

发明内容

本发明实施例目的在于提供一种数据流控制方法，能够提高通信设备对网络数据流进行控制的速度。

本发明实施例目的在于提供一种使用上述数据流控制方法的数据流控制装置。

根据本发明实施例的一方面，提供一种数据流控制方法，所述方法包括根据数据包中的五元组信息在预置的访问控制列表半加速结构中进行第一次查找，得到与所述五元组信息匹配的结点集合，所述访问控制列表半加速结构包括至少一个半加速结点，所述半加速结点存储有包含非五元组信息的访问控制信息；根据所述数据包中的非五元组信息在所述结点集合中进行第二次查找，当所述结点集合中存在有与所述非五元信息匹配的结点时，根据所述结点中存储的访问控制信息对所述数据包进行相应处理。

根据本发明实施例的另一方面，提供一种数据流控制装置，所述数据流控制装置包括加速结构设置模块、第一查找单元、第二查找单元和第一数据处理单元和，所述加速结构设置模块用于创建访问控制列表ACL加速结构并为所述ACL设置相应的加速状态标识，所述ACL加速结构是根据ACL规则中的五元组信息创建的映射结构，并将ACL规则按对应关系保存在该加速结构的结点中；所述第一查找单元用于根据数据包中的五元组信息在预置的访问控制列表半加速结构中进行第一次查找，得到与所述数据包中的五元组信息匹配的结点集合，所述访问控制列表半加速结构包括至少一个半加速结点，所述半加速结点存储有包含非五元组信息的访问控制信息；所述第二查找单元用于通过所述数据包中的非五元组信息在第一查找单元所得到的结点集合中进行第二次查找，并将查找结果送入第一数据处理单元；所述第一数据处理单元用于根据第二查找单元的查找结果对所述数据包进行处理，当第二查找单元在所述结点集合中查找到与该数据包匹配的结点时，根据所述结点中存储的访问控制信 息对所述数据包进行相应处理；