访问控制列表规则的配置方法及装置、非易失性存储介质与流程

本申请涉及网络技术与安全领域，具体而言，涉及一种访问控制列表规则的配置方法及装置、非易失性存储介质。

背景技术：

1、随着网络的飞速发展，网络安全和网络服务质量(quality of service,qos)问题日益突出，其中，访问控制列表(access control list,acl)是与其紧密相关的一个技术。acl可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。相关技术在配置全局acl规则的情况下，需要在多个不同的接口上分别配置不同acl规则，进而造成了对三态内容寻址存储器计算资源的浪费。

2、针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本申请实施例提供了一种访问控制列表规则的配置方法及装置、非易失性存储介质，以至少解决由于相关技术在配置全局访问控制列表规则的情况下，需要在多个不同的接口上分别配置不同访问控制列表规则造成的对三态内容寻址存储器计算资源的浪费的技术问题。

2、根据本申请实施例的一个方面，提供了一种访问控制列表规则的配置方法，包括：确定与多个流策略一一对应的多个索引字段；将不同的流策略和与不同的流策略对应的不同的索引字段绑定在不同的接口上，并将与不同的索引字段对应的不同的访问控制列表规则发送至三态内容寻址存储器，其中，三态内容寻址存储器用于根据不同的访问控制列表规则生成不同的三态内容寻址存储器表项；通过不同的三态内容寻址存储器表项，将不同的流策略中的字段与不同的接口接收到的报文中的字段进行匹配。

3、可选地，将第一流策略和与第一流策略对应的第一索引字段绑定在全局接口上，并将与第一索引字段对应的第一访问控制列表规则发送至三态内容寻址存储器，其中，三态内容寻址存储器用于根据第一访问控制列表规则生成第一三态内容寻址存储器表项；通过第一三态内容寻址存储器表项，将第一流策略中的自定义规则字段与全局接口接收到的报文中的自定义规则字段进行匹配。

4、可选地，将不同的流策略和与不同的流策略对应的不同的索引字段绑定在不同的接口上，包括：在物理接口对应的第一接口属性中增加第二索引字段，得到第一接口索引属性。

5、可选地，将第二流策略和与第二流策略对应的第二索引字段绑定在物理接口上，并将与第二索引字段对应的第二访问控制列表规则发送至三态内容寻址存储器，其中，三态内容寻址存储器用于根据第二访问控制列表规则生成第二三态内容寻址存储器表项；通过第二三态内容寻址存储器表项，将第二索引字段和第二流策略中的自定义规则字段，与物理接口接收到的报文中的自定义规则字段和第一接口索引属性进行匹配。

6、可选地，将不同的流策略和与不同的流策略对应的不同的索引字段绑定在不同的接口上，包括：在子接口对应的第二接口属性中增加第三索引字段，得到第二接口索引属性。

7、可选地，将第三流策略和与第三流策略对应的第三索引字段绑定在子接口上，并将与第三索引字段对应的第三访问控制列表规则发送至三态内容寻址存储器，其中，三态内容寻址存储器用于根据第三访问控制列表规则生成第三三态内容寻址存储器表项；通过第三三态内容寻址存储器表项，将第三索引字段和第三流策略中的自定义规则字段、接口号字段和虚拟局域网字段，与子接口接收到的报文中的自定义规则字段和第二接口索引属性进行匹配。

8、根据本申请实施例的再一方面，还提供了一种访问控制列表规则的配置方法，其特征在于，包括：确定与多个相同的流策略对应的目标索引字段；将多个相同的流策略和目标索引字段绑定在不同的接口上，并将与目标索引字段对应的目标访问控制列表规则发送至三态内容寻址存储器，其中，三态内容寻址存储器用于根据目标访问控制列表规则生成目标三态内容寻址存储器表项；通过目标三态内容寻址存储器表项，将多个相同的流策略中的字段与不同的接口接收到的报文中的字段进行匹配。

9、根据本申请实施例的再一方面，还提供了一种访问控制列表规则的配置装置，确定模块，用于确定与多个流策略一一对应的多个索引字段；发送模块，用于将不同的流策略和与不同的流策略对应的不同的索引字段绑定在不同的接口上，并将与不同的索引字段对应的不同的访问控制列表规则发送至三态内容寻址存储器，其中，三态内容寻址存储器用于根据不同的访问控制列表规则生成不同的三态内容寻址存储器表项；匹配模块，用于通过不同的三态内容寻址存储器表项，将不同的流策略中的字段与不同的接口接收到的报文中的字段进行匹配。

10、根据本申请实施例的再一方面，还提供了一种非易失性存储介质，存储介质包括存储的程序，其中，程序运行时控制存储介质所在的设备执行以上的访问控制列表规则的配置方法。

11、根据本申请实施例的再一方面，还提供了一种电子设备，包括：存储器和处理器，处理器用于运行存储在存储器中的程序，其中，程序运行时执行以上的访问控制列表规则的配置方法。

12、在本申请实施例中，采用确定与多个流策略一一对应的多个索引字段；将不同的流策略和与不同的流策略对应的不同的索引字段绑定在不同的接口上，并将与不同的索引字段对应的不同的访问控制列表规则发送至三态内容寻址存储器，其中，三态内容寻址存储器用于根据不同的访问控制列表规则生成不同的三态内容寻址存储器表项；通过不同的三态内容寻址存储器表项，将不同的流策略中的字段与不同的接口接收到的报文中的字段进行匹配的方式，通过确定与多个流策略一一对应的多个索引字段，将不同的流策略和与不同的流策略对应的不同的索引字段绑定在不同的接口上，将与不同的索引字段对应的不同的访问控制列表规则发送至三态内容寻址存储器，并通过不同的三态内容寻址存储器表项，将不同的流策略中的字段与不同的接口接收到的报文中的字段进行匹配，达到了节约三态内容寻址存储器计算资源的目的，从而实现了降低网络设备成本的技术效果，进而解决了由于相关技术在配置全局访问控制列表规则的情况下，需要在多个不同的接口上分别配置不同访问控制列表规则造成的对三态内容寻址存储器计算资源的浪费的技术问题。

技术特征：

1.一种访问控制列表规则的配置方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，包括：

3.根据权利要求1所述的方法，其特征在于，将不同的流策略和与所述不同的流策略对应的不同的索引字段绑定在不同的接口上，包括：在物理接口对应的第一接口属性中增加第二索引字段，得到第一接口索引属性。

4.根据权利要求3所述的方法，其特征在于，包括：

5.根据权利要求1所述的方法，其特征在于，将不同的流策略和与所述不同的流策略对应的不同的索引字段绑定在不同的接口上，包括：在子接口对应的第二接口属性中增加第三索引字段，得到第二接口索引属性。

6.根据权利要求5所述的方法，其特征在于，包括：

7.一种访问控制列表规则的配置方法，其特征在于，包括：

8.一种访问控制列表规则的配置装置，其特征在于，包括：

9.一种非易失性存储介质，其特征在于，所述非易失性存储介质包括存储的程序，其中，在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述的访问控制列表规则的配置方法。

10.一种电子设备，其特征在于，包括：存储器和处理器，所述处理器用于运行存储在所述存储器中的程序，其中，所述程序运行时执行权利要求1至7中任意一项所述的访问控制列表规则的配置方法。

技术总结
本申请公开了一种访问控制列表规则的配置方法及装置、非易失性存储介质。其中，该方法包括：确定与多个流策略一一对应的多个索引字段；将不同的流策略和与不同的流策略对应的不同的索引字段绑定在不同的接口上，并将与不同的索引字段对应的不同的访问控制列表规则发送至三态内容寻址存储器；通过不同的三态内容寻址存储器表项，将不同的流策略中的字段与不同的接口接收到的报文中的字段进行匹配。本申请解决了由于相关技术在配置全局访问控制列表规则的情况下，需要在多个不同的接口上分别配置不同访问控制列表规则造成的对三态内容寻址存储器计算资源的浪费的技术问题。

技术研发人员：李胜奇,李杰群,付日哨,贾聿庸
受保护的技术使用者：中电信智能网络科技有限公司
技术研发日：
技术公布日：2024/1/15