專利名稱：：表項的安裝方法和裝置以及網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及一種表項的安裝方法和裝置以及網(wǎng)絡(luò)設(shè)備，尤其是一種可以在更新表項時避免數(shù)據(jù)流的中斷的表項的安裝方法和裝置以及網(wǎng)絡(luò)設(shè)備。
背景技術(shù)：
：訪問控制列表(AccessControlList,ACL)是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，保證網(wǎng)絡(luò)資源不被非法使用和訪問。ACL使用預(yù)先定義好的過濾規(guī)則檢查通過網(wǎng)絡(luò)設(shè)備接口上的每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配，從而對數(shù)據(jù)包是否能通過本網(wǎng)絡(luò)設(shè)備進(jìn)行控制允許通過(Permit)或丟棄(Deny),以增強(qiáng)網(wǎng)絡(luò)安全。ACL由一系列的過濾M^則組成，稱為訪問控制表項(AccessControlEntry,ACE)。每個ACE表項都申明了滿足該表項的匹配條件及行為(PermitorDeny)。過濾規(guī)則可以匹配的字段包括MAC源地址，MAC目標(biāo)地址，以太網(wǎng)類型，IP源地址、IP目標(biāo)地址等。ACL的功能從本質(zhì)上講就是按照管理員配置的控制條件篩選出一類數(shù)據(jù)流，然后對這條流實施控制策略，比如丟棄報文，重定向到特定出口等策略。如圖1所示，為現(xiàn)有技術(shù)的構(gòu)架示意圖，當(dāng)需要將網(wǎng)段10.1.1.0中IP為10.1.1.5和10.1.1.6的終端發(fā)出的報文強(qiáng)制重定向到交換機(jī)B，其他終端的報文均按正常邏輯轉(zhuǎn)發(fā)，不做強(qiáng)制要求?？梢酝ㄟ^在交換機(jī)A上做如下配置ACE1:permitip10.1.1.5ACE2:permitip10.1.1.6上述ACE的意思是篩選出源IP地址為10.1,1.5和10.1.1.6的才艮文流。然后為這兩條ACE配置重定向到交換機(jī)B的控制策略，就可以將這兩種特定源IP的報文強(qiáng)制轉(zhuǎn)發(fā)到交換機(jī)B。而其他報文不做要求，均按正常邏輯轉(zhuǎn)發(fā)。ACL功能是通過過濾表項來實現(xiàn)。過濾表項包括了ACE中的過濾規(guī)則信息和對應(yīng)控制行為，所有的過濾表項組成過濾表.當(dāng)數(shù)據(jù)報文到達(dá)網(wǎng)絡(luò)設(shè)備接口時，如果該接口上配置有過濾策略，則設(shè)備會自動檢查報文是否與過濾表中的某一條過濾表項匹配，如果匹配成功，則直接返回匹配項的控制策略.控制策略決定了報文的轉(zhuǎn)發(fā)行為.由于過濾表項的匹配順序為自上至下，那么表項的安裝順序就會直接影響報文的匹配結(jié)果。目前表項的安裝順序是由管理員為其配置的優(yōu)先級決定的，管理員可以為每條ACE配置一個優(yōu)先級。在管理員沒有明確為ACE指定優(yōu)先級時，交換設(shè)備會按照ACE的配置順序為其分配一個合適的優(yōu)先級。由此可知，每個過濾表項都有自己對應(yīng)的優(yōu)先級。如圖表l所示，為現(xiàn)有技術(shù)過濾表項，<table>tableseeoriginaldocumentpage4</column></row><table>每一條過濾表項就是一條ACE，且ACE間的優(yōu)先級關(guān)系決定了其在硬件中安裝位置。匹配順序按照索引序號從低到高。當(dāng)源IP為10.1.1.5的報文到達(dá)交換設(shè)備后，交換機(jī)會提取出報文的源IP，并在過濾表項列表中從低索引到高索引進(jìn)行順序匹配，當(dāng)匹配到第l條時，匹配成功。成功后返回過濾表項1的控制策略，即報文將從端口Fa0/5中轉(zhuǎn)出被重定向到交換機(jī)B。當(dāng)源IP為10.1.1.6的報文到達(dá)交換設(shè)備后，由于不符合第一條的匹配條件，且完全符合第二條的匹配條件，則報文會成功匹配過濾表項2,由于過濾表項2的控制策略也為重定向到交換機(jī)B,即報文也將從端口Fa0/5中轉(zhuǎn)出。當(dāng)其他的報文到達(dá)交換設(shè)備后，由于在過濾表項中沒有對應(yīng)的匹配項，這些報文按正常流程轉(zhuǎn)發(fā)。這樣就可以在交換機(jī)A中控制網(wǎng)段IO.1.1.0中的哪些報文該從哪些端口轉(zhuǎn)出，以達(dá)到保護(hù)網(wǎng)絡(luò)，優(yōu)化網(wǎng)絡(luò)的目的。當(dāng)訪問控制列表被安裝到交換設(shè)備上之后，由于網(wǎng)絡(luò)的變化需要，不可避免的會發(fā)生訪問控制列表的更新。訪問控制列表發(fā)生更新后，只有將更新后的過濾表項重新安裝，才能使新配置的過濾表項生效.前面講過，由于過濾表項均有自己的優(yōu)先級，優(yōu)先級決定了其在硬件表項中的安裝位置，故一條高優(yōu)先級表項的插入會使所有低優(yōu)先級的表項全部發(fā)生移動。而目前對過濾表項安裝方法普遍是按索引從低到高依次安裝，且在安裝一條新表項時，會先將當(dāng)前位置的舊表項刪除，直至全部表項安裝完畢。這種做法有一個很大的缺點在刪除舊表項后，會造成用戶的某些配置無法生效，導(dǎo)致數(shù)據(jù)流中斷。假設(shè)當(dāng)前管理員需要將源IP為10.1.1.9的報文也重定向到交換機(jī)B，其配置的過濾少見則為ACE3:Permitip10.1.1.9,且其優(yōu)先級低于ACE1,高于ACE2。那么需要將ACE3安裝到硬件表中才能使其生效。正常的更新安裝過程如下(按照索引從低到高)1、由于ACE1的優(yōu)先級沒有變化，即其在硬件表中的位置也無需更新。2、由于ACE3的優(yōu)先級高于ACE2，低于ACE1。即需要將ACE3安裝到ACE2安裝的位置。由于此位置存在表項ACE2,故必須先將ACE2刪除后，再安裝新的表項ACE3。3、由于ACE2的優(yōu)先級低于ACE3,故ACE2需要安裝到ACE3的后面。當(dāng)這條ACE2安裝成功后，就變成了如表2和表3所示的安裝ACE3前后的表項。表25ACE1:PermitiplO.U.:ACE2:Permitipl0.1.1.6表3C23_ACE1:Permitipl0丄1.:ACE3;Permitip10.1.1.9ACE2;Permitip10.1.1.6在步驟2中，當(dāng)需要在原表項ACE2的位置安裝ACE3時，將ACE2刪除，直到在ACE3安裝后再安裝ACE2,在這個時間內(nèi)就會出現(xiàn)在表項內(nèi)是沒有ACE2的。因此在這段時間內(nèi)源IP為10.1.1.6的報文都是按照正常邏輯轉(zhuǎn)發(fā)的，并沒有按照ACE2的要求被強(qiáng)制重定向到交換機(jī)B。由此可能在這段即使很短的時間內(nèi)數(shù)據(jù)流中斷，可能給網(wǎng)絡(luò)帶來災(zāi)難性的后果
發(fā)明內(nèi)容信息本發(fā)明的目的是針對現(xiàn)有技術(shù)的缺陷，提供一種表項的安裝方法和裝置以及網(wǎng)絡(luò)設(shè)備，在表項安裝時，不會出現(xiàn)數(shù)據(jù)流中斷的現(xiàn)象。為實現(xiàn)上述目的，本發(fā)明提供了一種表項的安裝方法，包括檢查標(biāo)記有不斷流標(biāo)記的表項，將檢查出的不斷流標(biāo)記表項按照索引進(jìn)行安裝；然后將非標(biāo)記表項按照索引進(jìn)行安裝。為實現(xiàn)上述目的，本發(fā)明提供了一種表項的安裝裝置，包括檢查模塊，用于檢查標(biāo)記有不斷流標(biāo)記的表項，將檢查出的不斷流標(biāo)記表項按照索引進(jìn)行安裝；安裝模塊，用于將非標(biāo)記表項按照索引進(jìn)行安裝。為實現(xiàn)上述目的，本發(fā)明還提供了一種包括上述表項的安裝裝置的網(wǎng)絡(luò)設(shè)備。6因此，本發(fā)明表項的安裝方法和裝置以及網(wǎng)絡(luò)設(shè)備，可以在安裝表項的時候有效避免，在過濾表項發(fā)生更新移動時造成的數(shù)據(jù)流中斷現(xiàn)象。圖1為現(xiàn)有技術(shù)的構(gòu)架示意圖；圖2為本發(fā)明表項的安裝方法實施例一的流程圖；圖3為本發(fā)明表項的安裝方法實施例二的流程圖；圖4為本發(fā)明表項的安裝方法的表項示意圖；圖5為本發(fā)明表項的安裝裝置的結(jié)構(gòu)示意圖。具體實施例方式下面通過附圖和實施例，對本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。如圖2所示，為本發(fā)明表項的安裝方法實施例一的流程圖，包括步驟IOI,;險查標(biāo)記有不斷流標(biāo)記的表項，將4企查出的不斷流標(biāo)記表項按照索引進(jìn)行安裝；步驟102,然后將非標(biāo)記表項按照索引進(jìn)行安裝。如圖3所示，為本發(fā)明表項的安裝方法實施例二的流程圖，包括步驟201,將需要不斷流處理的表項標(biāo)記為不斷流標(biāo)記表項；因為在過濾表項中，并不是所有的表項都要求不斷流的，有些普通表項并沒有這種嚴(yán)格的要求，根據(jù)應(yīng)用場景的需求，如一般情況下，普通訪問控制使用的過濾表項是沒有這種嚴(yán)格要求的，但是像策略路由或者重定向這種應(yīng)用的過濾表項應(yīng)該配置為不斷流表項，因為這些表項就算是瞬間的失效，也可能造成大量數(shù)據(jù)報文的斷流，當(dāng)然什么樣的應(yīng)用需要這種不斷流的處理，也可以指定，只需在配置的時候添加相應(yīng)的配置選項即可。需要為特殊表項打上標(biāo)記來區(qū)分出哪些表項需要不斷流處理，哪些表項不需要，這個標(biāo)記在表項最初安裝時打上的，它是根據(jù)過濾表項所關(guān)聯(lián)的應(yīng)用類型來確定的。在表項發(fā)生更新時，需要將更新后的表項和現(xiàn)有表項的位置進(jìn)行比較，根據(jù)比較結(jié)果為帶有不斷流標(biāo)記的表項打上需要下移或者上移的標(biāo)志，這個標(biāo)志只會打在帶有不斷流標(biāo)記的表項上，并且只在表項安裝的時候使用到。如圖4所示，為本發(fā)明表項的安裝方法的表項示意圖，第一個列表項中有兩條不斷流標(biāo)記的表項，Cur—l和Cur-3，以及三條普通表項Cur—2、Cur_4和Cur—5,欲插入的兩條新表項是NEW—1和NEW-2，且由于兩條新表項的優(yōu)先級很高，需要插入到表中的最低索引處。步驟202，檢查標(biāo)記有不斷流標(biāo)記的表項，將檢查出的不斷流標(biāo)記表項按照索引進(jìn)行安裝；造成數(shù)據(jù)流中斷的根本原因是表項被意外刪除，而這個刪除只是因為這個位置被其他新的表項所占用，原過濾表項需要被移動到另外的一個位置，因此可以先將這個不可斷流且需要移動的表項安裝到新的硬件位置，然后再安裝其他普通的表項，這樣就不怕這條表項被意外刪除。再如圖4所.示，中間的表項列是在安裝完標(biāo)記表項后的狀態(tài)，更新時，Cur-3表項先移動到Cur-5位置，此時Cur_3原位置上的表項并沒有被刪除，仍然存在著，相當(dāng)于在Cur—5位置拷貝了一個Cur-3表項，然后，Cur_l被移動到Cur-3位置，此時Cur-3原位置上的表項被刪除，Cur-l被安裝到Cur_3位置，此時Cur—1表項存在兩條，原表項和移動后位置上安裝的新表項，上述的安裝過程保證了Cur_l和Cur_3表項每時每刻都存在于表項之中，不論是在原位置還是新位置，這樣也就到達(dá)了數(shù)據(jù)流不中斷的目的。再如表2中，脅i，沒ACE2是要求不可斷流且發(fā)生移動的表項，更新時ACE2需要移動到位置2，這時就可以先將ACE2表項安裝到位置2,然后再安裝其他普通的表項，這樣一來會造成在某一段時間內(nèi)，位置1和位置2安裝的是同一條表項，但是由于過濾表的工作機(jī)制，當(dāng)報文匹配到位置1時就會成功返回，不會為控制策略的實施造成任何負(fù)面影響，但是如果假設(shè)此時位置2中也安裝著某條過濾表項，且此表項也要求不可斷流的，那么這種簡單的先安裝ACE2過濾表項的方案就是有問題的，因為他使得位置2中的表項被刪除而可能導(dǎo)致數(shù)據(jù)流中斷。所以在實施標(biāo)記表項優(yōu)先安裝這個基本準(zhǔn)則時，應(yīng)該從整張過濾表來進(jìn)行考慮。在過濾表項發(fā)生更新時，一個過濾表中只會有一種表項的移動方向向上或者向下。因為對一張表的操作無非是添加和刪除，而添加和刪除肯定不可能在同一個時刻發(fā)生，所以就要對上移和下移分別進(jìn)行處理如果表項需要向上移動，那么就要從過濾表的第一條即最低索引處依次向后檢測，對于需要移動且標(biāo)記為不可斷流的表項進(jìn)行安裝，即如果是上移標(biāo)記表項，則按照索引從低到高安裝不斷流標(biāo)記表項。如果表項需要向下移動，就要從過濾表的最后一條即最高索引處依次向前檢測，對于需要移動且標(biāo)記為不可斷流的表項進(jìn)行安裝，即如果是下移標(biāo)記表項，則按照索引從高到低安裝不斷流標(biāo)記表項。這樣就可以保證在移動過程中，不斷流標(biāo)記表項還會持續(xù)生效，不會造成數(shù)據(jù)流的中斷。步驟203,然后將非標(biāo)記表項按照索引從低到高進(jìn)行安裝。當(dāng)把標(biāo)記的過濾表項優(yōu)先安裝完畢后，就安裝過濾表中的非標(biāo)記表項，非標(biāo)記表項的安裝是根據(jù)索引從低到高依次安裝的，在安裝過程中如果判斷此表項為標(biāo)記表項則跳過不再安裝，因為這種打上標(biāo)記的表項均已經(jīng)安裝完畢。當(dāng)非標(biāo)記表項安裝完成后，過濾表項完整的一次更新操作也就結(jié)束了。再如圖4所示，最后一列是安裝后的表項列，新的表項NEW-1和NEW_2優(yōu)先級最高，至于頂端，標(biāo)記表項Cur-l和Cur_3已經(jīng)在步驟202中安裝復(fù)制，將余下的非標(biāo)記表項Cur_2、Cur-4和Cur-5從低到高安裝。因此本發(fā)明表項的安裝方法，可以在安裝表項的時候有效避免在過濾表項發(fā)生更新移動時造成的數(shù)據(jù)流中斷現(xiàn)象。如圖5所示，為本發(fā)明表項的安裝裝置的結(jié)構(gòu)示意圖，本發(fā)明表項的安裝裝置包括檢查模塊51，用于檢查標(biāo)記有不斷流標(biāo)記的表項，將檢查出的不斷流標(biāo)記表項按照索引進(jìn)行安裝；安裝模塊52，用于將非標(biāo)記表項按照索引進(jìn)行安裝。再如圖5所示，本發(fā)明表項的安裝裝置還包括標(biāo)記模塊50，用于將需要不斷流處理的表項標(biāo)i己為不斷流標(biāo)記表項。并且本發(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備，包括有上述表項的安裝裝置。因此本發(fā)明表項的安裝裝置和網(wǎng)絡(luò)設(shè)備，可以在安裝表項的時候有效避免在過濾表項發(fā)生更新移動時造成的數(shù)據(jù)流中斷現(xiàn)象。最后所應(yīng)說明的是，以上實施例僅用以說明本發(fā)明的技術(shù)方案而非限制，盡管參照較佳實施例對本發(fā)明進(jìn)行了詳細(xì)說明，本領(lǐng)域的普通4支術(shù)人員應(yīng)當(dāng)理解，可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，而不脫離本發(fā)明技術(shù)方案的精神和范圍。權(quán)利要求1、一種表項的安裝方法，其特征在于包括檢查標(biāo)記有不斷流標(biāo)記的表項，將檢查出的不斷流標(biāo)記表項按照索引進(jìn)行安裝；然后將非標(biāo)記表項按照索引進(jìn)行安裝。2、根據(jù)權(quán)利要求1所述的表項的安裝方法，其特征在于所述檢查標(biāo)記有不斷流標(biāo)記的表項前還包拾將需要不斷流處理的表項4射己為不斷流標(biāo)記表項。3、根據(jù)權(quán)利要求1所述的表項的安裝方法，其特征在于所述將檢查出的不斷流標(biāo)記表項按照索；1進(jìn)行安裝具體為根據(jù)不斷流標(biāo)記表項的類型，按照索引進(jìn)行安裝。4、根據(jù)權(quán)利要求3所述的表項的安裝方法，其特征在于所述根據(jù)不斷流標(biāo)記表項的類型，按照索引進(jìn)行安裝具體為如果是上移標(biāo)記表項，則按照索《1從低到高安裝不斷流標(biāo)記表項。5、根據(jù)權(quán)利要求3所述的表項的安裝方法，其特征在于所述根據(jù)不斷流標(biāo)記表項的類型，按照索引進(jìn)行安裝具體為如果是下移標(biāo)記表項，則按照索引從高到低安裝不斷流標(biāo)記表項。6、根據(jù)權(quán)利要求1所述的表項的安裝方法，其特征在于所述將非標(biāo)記表項按照索引進(jìn)行安裝具體為，按照索引從低到高將非標(biāo)記表項按照索引進(jìn)行安裝。7、一種表項的安裝裝置，其特征在于包括檢查模塊，用于檢查標(biāo)記有不斷流標(biāo)記的表項，將檢查出的不斷流標(biāo)記表項按照索引進(jìn)行安裝；安裝模塊，用于將非標(biāo)記表項按照索引進(jìn)行安裝。8、根據(jù)權(quán)利要求7所述的表項的安裝裝置，其特征在于還包括標(biāo)記模塊，用于將需要不斷流處理的表項標(biāo)記為不斷流標(biāo)記表項。9、一種包括上述權(quán)利要求7或8所述表項的安裝裝置的網(wǎng)絡(luò)設(shè)備。全文摘要本發(fā)明涉及一種表項的安裝方法，包括檢查標(biāo)記有不斷流標(biāo)記的表項，將檢查出的不斷流標(biāo)記表項按照索引進(jìn)行安裝；然后將非標(biāo)記表項按照索引進(jìn)行安裝。本發(fā)明涉及一種表項的安裝裝置，包括檢查模塊，用于檢查標(biāo)記有不斷流標(biāo)記的表項，將檢查出的不斷流標(biāo)記表項按照索引進(jìn)行安裝；安裝模塊，用于將非標(biāo)記表項按照索引進(jìn)行安裝。本發(fā)明涉及一種包括上述表項的安裝裝置的網(wǎng)絡(luò)設(shè)備。因此，本發(fā)明表項的安裝方法和裝置以及網(wǎng)絡(luò)設(shè)備，可以在安裝表項的時候有效避免，在過濾表項發(fā)生更新移動時造成的數(shù)據(jù)流中斷現(xiàn)象。文檔編號H04L9/00GK101534301SQ20091008230公開日2009年9月16日申請日期2009年4月13日優(yōu)先權(quán)日2009年4月13日發(fā)明者夾尚濤申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司