[发明专利]一种跨交换芯片ACL管理方法及其系统

权利要求书

1.一种跨交换芯片ACL管理方法，其特征在于，包括支持内核态和用户态配置ACL规则、支持ACL优先级属性、支持ACL实例管理机制、支持统一的通信接口；

其中，支持内核态和用户态配置ACL规则，包括：

在通信系统中，用户态模块通过socket套接字发送ACL配置信息，内核态模块通过伪文件系统传送ACL配置信息；

其中，支持ACL优先级属性，包括：

用户根据工程需要配置优先级，决定ACL的生效顺序；

其中，支持ACL实例管理机制，包括：

插入配置时，根据配置优先级查找合适的待下发ACL实例号，移动待插入点前面或后面的配置，插入新的配置；删除配置时，查找待删除配置对用的ACL实例号，删除后设置bitmap数据结构；黑洞回收机制，包含插入时回收黑洞和定时回收黑洞，插入时回收黑洞尽最大努力减少黑洞数量，定时回收黑洞确保黑洞占用率保持在阈值之下，能收敛黑洞数量；

其中，支持统一的通信接口，包括：

封装/解析消息的pack/unpack接口，通信库从用户态发送/接受消息的msgUserSend/msgUserRecv接口，通信库从内核发送消息的msgKernelSend接口，通信库从用户态/内核态获取交换芯片所支持的所有ACL字段对用的长度值getTypeLengthFromUser/getTypeLengthFromKernel。

2.根据权利要求1所述的跨交换芯片ACL管理方法，其特征在于，守护进程将通信库发送来的配置消息，添加到消息处理队列尾部，待该消息处理完后，再返回处理结果，唤醒等待的调用者，从而实现同步通信。

3.根据权利要求1所述的跨交换芯片ACL管理方法，其特征在于，

在通信库首次调用之时，一次性获取所有ACL字段长度值。

4.根据权利要求1所述的跨交换芯片ACL管理方法，其特征在于，ACL配置插入实例区块的方法包括：

首先，根据ACL配置优先级，查找待插入位置点i；

其次，在插入点前面和后面分别找到第一个空闲的实例位置b和a；

再次，比较i-b与a-i的大小，若i-b小，则向前依次移动插入点i之前的i-b个实例；否则向后依次移动插入点i之后的a-i个实例；

最后，将配置插入待插入位置点i。

5.根据权利要求4所述的跨交换芯片ACL管理方法，其特征在于，

回收ACL实例资源的方法，包括：插入时回收黑洞和定时回收黑洞，插入时回收黑洞是实时的尽最大努力的解决方案，定时回收黑洞是异步的保证黑洞收敛的解决方案，两个方案配合使用，将黑洞维持在可接受的范围内；

插入时回收黑洞，是在插入ACL配置时，尽可能减少已有的黑洞，其机制采用所述的ACL配置插入实例区块的方法；

定时回收黑洞，当黑洞占用比超过预定阈值时，启动定时器，定时器超时后，如黑洞占用比仍超过预定阈值，则启动回收流程；首先，按顺序获取黑洞所在位置；其次，按黑洞位置从小到大的顺序依次填充黑洞点；最后，在整个ACL区块分区内，执行上述两个过程。

6.根据权利要求1所述的跨交换芯片ACL管理方法，其特征在于，

开发人员按需划分实例区块；当一条ACL规则配置属性过多，开启本发明的实例聚合功能，此时实例管理的基本单位由一个物理实例变成两个物理实例组成的逻辑实例。

7.一种跨交换芯片ACL管理系统，其特征在于，采用如权利要求1至6任一项所述的跨交换芯片ACL管理方法。