[发明专利]流分类策略压缩方法及系统

说明书

【技术领域】

本发明涉及一种流分类策略压缩方法及系统。

【背景技术】

随着网络规模，网络应用协议复杂度不断提高，防火墙中对于流分类策略的数量，复杂度也随之提升，导致系统响应用户配置策略的时间变长，此问题即为策略下发的性能问题；策略下发性能问题，有时甚至是致命的，例如由于策略数量较多，严重消耗CPU资源，被系统Watchdog监测到致使系统重启，严重影响了用户的使用。

【发明内容】

为了解决上述问题，本发明的目的是提供一种流分类策略压缩方法。

本发明的另一目的是提供一种流分类策略压缩系统。

其中，本发明一实施方式的流分类策略压缩方法包括以下步骤：

利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩；以及

基于应用协议ID压缩应用协议类别。

作为本发明的进一步改进，所述“利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩”步骤具体包括：

S11、初始化IP地址的区间树；

S12、读取属于该流分类策略的IP地址，转成区间方式表示，把该区间插入区间树；

S13、重复S12步骤，直至读取完IP地址；

S14、扫描该区间树，得到最终的IP区间。

作为本发明的进一步改进，所述“基于应用协议ID压缩应用协议类别”具体包括：

S21、分配并初始化应用协议ID存储空间；

S22、记录该流分类策略包含的应用协ID到存储空间；

S23、重复S22步骤，直至读取流分类策略内所有的应用协议ID；

S24、扫描该存储空间，得到连续的应用协议ID区间。

相应地，本发明一实施方式的流分类策略压缩系统包括：

IP地址压缩单元，用于利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩；以及

应用协议类别压缩单元，用于基于应用协议ID压缩应用协议类别。

作为本发明的进一步改进，所述IP地址压缩单元具体用于：

初始化IP地址的区间树；

读取属于该流分类策略的IP地址，转成区间方式表示，把该区间插入区间树；

重复读取属于该流分类策略的IP地址，转成区间方式表示，把该区间插入区间树，直至读取完IP地址；

扫描该区间树，得到最终的IP区间。

作为本发明的进一步改进，所述应用协议类别压缩单元具体用于：

分配并初始化应用协议ID存储空间；

记录该流分类策略包含的应用协ID到存储空间；

重复记录该流分类策略包含的应用协ID到存储空间，直至读取流分类策略内所有的应用协议ID；

扫描该存储空间，得到连续的应用协议ID区间。

相比于现有技术，本发明提供了实际应用中流分类策略优化的有效途径，可在很大程度上减少流分类策略数量，从而提高流分类策略下发性能。

【附图说明】

图1是本发明一实施例的流分类策略压缩方法的流程图；

图2是本发明一实施例的流分类策略压缩系统的模块图。

【具体实施方式】

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

防火墙流分类策略必须基于流的特征，比如源MAC地址，源IP地址，目的IP地址，DSCP，端口号，应用协议类别等等，其中非常常用且规模数量较多的有IP地址和应用协议类别；

本发明通过压缩IP地址和应用协议类别这两种流分类策略特征，大大减少流分类策略数量，从而达到流分类策略压缩的目标。

如图1所示，在本发明一实施方式中，所述流分类策略压缩方法，包括以下步骤：

S1、利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩；IP地址配置内容包括主机/网段/网络号，此压缩方式利用IP地址可区间的特征以及区间树算法结构完成压缩；具体做法如下：

S11、初始化IP地址的区间树；

S12、读取属于该流分类策略的IP地址，转成区间方式表示，把该区间插入区间树；

S13、重复S12步骤，直至读取完IP地址；

S14、扫描该区间树，得到最终的IP区间，即为压缩后的IP地址。