[发明专利]一种访问控制列表查找的方法及数据流分类装置

权利要求书

1.一种数据流分类装置，其特征在于，该数据流分类装置包括：接收控制模块、规则索引模块和规则存储模块；其中，

规则索引模块，用于保存有网络之间互连的协议IP地址限制的规则的特征数组列表，以及接收接收控制模块发来的数据包，利用特征数组列表确认接收的数据包符合任一规则后，再计算存储位置索引值，根据存储位置索引值从规则存储模块获取规则；

规则存储模块，用于按照存储位置索引值保存规则，以及为规则索引模块提供规则；

接收控制模块，用于接收到数据包后，将数据包发送给规则索引模块。

2.根据权利要求1所述的数据流分类装置，其特征在于，所述数据流分类装置，进一步包括：所述三态内容寻址存储器TCAM查找模块，用于存储接收控制模块发来的规则；

相应的，所述接收控制模块，还用于进入编写模式后，编写ACL规则，若规则中限定了目的IP地址前缀和/或源IP地址前缀，则将规则发送到规则索引模块；若没有限定，则将规则发送给TCAM查找模块；

所述规则索引模块，还用于接收控制模块发来规则后，利用规则中的源IP地址前缀和/或目的IP地址前缀计算并保存特征数组。

3.根据权利要求1或2所述的数据流分类装置，其特征在于，

所述规则索引模块，具体用于对于仅限定目的IP地址或仅限定源IP地址的规则，对目的IP地址前缀或源IP地址前缀进行计算，最后将特征数组保存到目的IP特征数组列表或源IP特征数组列表中；对于限定目的IP地址和源IP地址的规则，对目的IP地址前缀及源IP地址前缀进行计算得到的特征数组保存到双IP特征数组列表中。

4.根据权利要求1或2所述的数据流分类装置，其特征在于，

所述规则索引模块，还用于利用规则的源IP地址前缀和/或目的IP地址前缀计算存储位置索引值。

5.根据权利要求2所述的数据流分类装置，其特征在于，

所述接收控制模块，具体用于接收数据包，将数据包并行的发送给规则索引模块及TCAM查找模块，还用于接收TCAM查找模块返回的查找结果及规则索引模块返回的索引结果，若查找结果和索引结果都为没有符合的规则，则对数据包进行路由处理；

相应的，所述规则索引模块，具体用于在收到接收控制模块发来的数据包后，判断所接收的数据包是否有符合的规则，还用于向接收控制模块返回索引结果；

所述TCAM查找模块，还用于在收到接收控制模块发来的数据包后，查找该数据包所符合的规则，如果查找有符合的规则，则向接收控制模块返回规则作为查找结果，如果没有符合的规则，则向接收控制模块发送没有匹配的规则的查找结果。

6.根据权利要求2所述的数据流分类装置，其特征在于，

所述接收控制模块，还用于比较索引结果和查找结果中返回的规则的优先级，选取优先级最高的规则为最终规则，然后根据规则对数据包进行处理，如果索引结果为没有符合的规则且查找结果同时为没有匹配的规则，则直接对数据包做路由处理。

7.一种访问控制列表ACL查找的方法，其特征在于，该方法包括：

数据流分类装置保存有IP地址限制的规则的特征数组列表、及按照存储位置索引值保存规则；

所述数据流分类装置接收到数据包后，利用特征数组列表确认所接收的数据包符合任一规则，再计算存储位置索引值，根据存储位置索引值提取数据包匹配的规则。

8.根据权利要求7所述的方法，其特征在于，所述数据流分类装置保存有IP地址限制的规则的特征数组列表之前，该方法还包括：

数据流分类装置进入编写模式后，编写ACL规则，若规则中限定了源IP地址前缀和/或目的IP地址前缀，则利用源IP地址前缀和/或目的IP地址前缀计算特征数组；若规则中没有限定IP地址，则直接存储规则。

9.根据权利要求8所述的方法，其特征在于，所述利用源IP地址前缀和/或目的IP地址前缀计算特征数组，包括：数据流分类装置对仅限定了源IP地址前缀或目的IP地址前缀的规则，利用源IP地址前缀或目的IP地址前缀计算、并将特征数组保存到目的IP特征数组列表或源IP特征数组列表中；对限定了目的IP地址前缀和源IP地址前缀的规则，利用源IP地址前缀和目的IP地址前缀计算并保存特征数组，将最终得到的特征数组保存到双IP特征数组列表中。