[发明专利]一种访问控制列表查找的方法及数据流分类装置

说明书

技术领域

本发明涉及网络交换技术，尤其涉及一种访问控制列表(ACL，Access Control List)查找的方法及数据流分类装置。

背景技术

对网络流量计网络性能起到关键作用的是核心路由器，核心路由器通常使用ACL来控制流量及提高网络性能。ACL包括规则和对应动作。其中，规则用于将接收到的数据包分成不同的流，比如，可以利用源网络之间互连的协议(IP，Internet Protocol)地址和目的IP地址将数据包分成一个数据包流；动作用于在分流之后，对数据包流中的数据包进行对应的处理，比如，可以提高数据包的优先级或丢弃等。ACL规则的组成可以为：数据包的源IP地址、目的IP地址、源介质访问控制(MAC，MediaAccess Control)地址、目的MAC地址及TCP同步标记等，也可以为对各项范围的设定，比如，设定规则格式为：(源IP地址前缀，目的IP地址前缀，源端口范围，目的端口范围，协议号)，具体规则内容可以为，例如(111111111111111111111111*，1111111111111111*，[4000，5000]，[20000，30000]，0)。

传统核心路由器通过软件即可实现ACL查找，但是，随着网络的迅速发展，对主干网络中的网络流量及网络性能提出了更高的要求，核心路由器中配置了大量的ACL规则来实现业务要求，因此，仅使用软件进行ACL查找已经无法满足接口速率的需求。目前最流行的解决方法为使用三态内容寻址存储器(TCAM，Ternary Content Addressable Memory)进行硬件ACL查找。核心路由器通过安装TCAM作为查找模块，来实现ACL查找，包括：核心路由器先在TCAM中保存ACL规则；当核心路由器接收到数据包后，用数据包与多条ACL规则进行并行比较，若数据包符合ACL规则中的任意一条，则按照规则对应的动作进行后续处理，若数据包不符合ACL规则中的任意一条，则对数据包做路由处理。如今，对核心路由器的查找速率提出了更高的要求，比如需要查找速率达到100Gbps，如果仍然使用已有的技术，就需要在核心路由器中增加多个TCAM并行查找，而TCAM本身成本较高，且TCAM查找产生的功耗会随着查找位数的增加而大幅增加。

可见，目前已有的ACL查找的方法，无法在不提高成本与功耗的情况下、满足核心路由器高速查找的需求。

发明内容

有鉴于此，本发明的目的在于提供一种ACL查找的方法及数据流分类装置，在不提高成本与功耗的情况下、满足高速查找的需求。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种数据流分类装置，该数据流分类装置包括：接收控制模块、规则索引模块和规则存储模块；其中，

规则索引模块，用于保存有IP地址限制的规则的特征数组列表，以及接收接收控制模块发来的数据包，利用特征数组列表确认接收的数据包符合任一规则后，再计算存储位置索引值，根据存储位置索引值从规则存储模块获取规则；

规则存储模块，用于按照存储位置索引值保存规则，以及为规则索引模块提供规则；

接收控制模块，用于接收到数据包后，将数据包发送给规则索引模块。

上述方案中，所述数据流分类装置，进一步包括：所述TCAM查找模块，用于存储接收控制模块发来的规则；

相应的，所述接收控制模块，还用于进入编写模式后，编写ACL规则，若规则中限定了目的IP地址前缀和/或源IP地址前缀，则将规则发送到规则索引模块；若没有限定，则将规则发送给TCAM查找模块；

所述规则索引模块，还用于接收控制模块发来规则后，利用规则中的源IP地址前缀和/或目的IP地址前缀计算并保存特征数组。

上述方案中，

所述规则索引模块，具体用于对于仅限定目的IP地址或仅限定源IP地址的规则，对目的IP地址前缀或源IP地址前缀进行计算，最后将特征数组保存到目的IP特征数组列表或源IP特征数组列表中；对于限定目的IP地址和源IP地址的规则，对目的IP地址前缀及源IP地址前缀进行计算得到的特征数组保存到双IP特征数组列表中。

上述方案中，

所述规则索引模块，还用于利用规则的源IP地址前缀和/或目的IP地址前缀计算存储位置索引值。

上述方案中，