專利名稱:一種acl管理方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域����,尤其涉及一種ACL管理方法及裝置。
背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和流量的增加��,對(duì)網(wǎng)絡(luò)安全的控制和對(duì)帶寬的分配成為網(wǎng)絡(luò)管理的重要內(nèi)容���。通過(guò)對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾���,可以有效防止非法用戶對(duì)網(wǎng)絡(luò)的訪問(wèn),同時(shí)也可以控制流量����,節(jié)約網(wǎng)絡(luò)資源。ACL (訪問(wèn)控制列表)是用于控制數(shù)據(jù)通訊設(shè)備如交換機(jī)���、防火墻等對(duì)接收的數(shù)據(jù)包進(jìn)行分類處理的一系列ACL規(guī)則����。一條ACL規(guī)則可以在某接收?qǐng)?bào)文的物理端口上通過(guò)若干匹配條件來(lái)匹配報(bào)文����,并指定若干動(dòng)作對(duì)報(bào)文進(jìn)行處理。這一操作既可以由芯片執(zhí)行���,也可以由軟件實(shí)現(xiàn)����。使用芯片ACL時(shí)����,在邏輯上��,指定的參數(shù)以固定的順序下發(fā)到芯片中�,收到的報(bào)文會(huì)依次檢查每一條規(guī)則���,直到匹配并采取動(dòng)作為止���。使用軟件ACL時(shí),則需要在內(nèi)核分析報(bào)文相關(guān)數(shù)據(jù)�,在報(bào)文從數(shù)據(jù)鏈路層送往網(wǎng)絡(luò)層之前檢查報(bào)文是否匹配ACL規(guī)則并采取相應(yīng)動(dòng)作。不論是芯片ACL還是軟件ACL�����,內(nèi)核都需要對(duì)ACL規(guī)則進(jìn)行資源管理�,以保證規(guī)則的有序性、結(jié)果的唯一性�、程序的健壯性和運(yùn)行的高效性。ACL規(guī)則資源管理模塊的主要設(shè)計(jì)思想是模擬交換芯片上的ACL規(guī)則列表��,在內(nèi)核維護(hù)一個(gè)ACL規(guī)則數(shù)組��,實(shí)現(xiàn)規(guī)則的管理和配置�。主要的管理配置操作包括 1��、添加、修改��、刪除ACL規(guī)則2���、插入ACL規(guī)則3�、改變ACL規(guī)則優(yōu)先級(jí)4��、添加���、修改�、刪除ACL動(dòng)作5���、硬件資源調(diào)配6�、批量配置導(dǎo)入導(dǎo)出目前的ACL實(shí)現(xiàn)方案以分段的形式來(lái)管理規(guī)則資源���,分為基本ACL���、高級(jí)ACL以及二層ACL等,每一個(gè)模式的ACL有一個(gè)固定范圍��,通常為每段1000條。ACL配置方式為追加���,追加的規(guī)則與上一條連續(xù)規(guī)則之間序號(hào)的差值為一個(gè)步長(zhǎng)����,用步長(zhǎng)留下的空隙以備后續(xù)中間插入規(guī)則�。一條ACL中可以包含多個(gè)規(guī)則,而每個(gè)規(guī)則都指定不同的報(bào)文范圍�。這樣,在匹配報(bào)文時(shí)就會(huì)出現(xiàn)匹配順序的問(wèn)題����,通常芯片根據(jù)用戶配置規(guī)則的先后順序進(jìn)行匹配,匹配順序一般為后下發(fā)的規(guī)則先匹配�。用戶可以在定義ACL的時(shí)候指定一條ACL中多個(gè)規(guī)則的匹配順序。用戶一旦指定某一條ACL的匹配順序����,就不能再更改該順序。只有把該ACL中所有的規(guī)則全部刪除后���,才能重新指定其匹配順序��。綜上所述��,現(xiàn)有的ACL資源管理方案分段限制可配置規(guī)則數(shù)量��,用固定的步長(zhǎng)用于插入����,有復(fù)雜的匹配順序等特點(diǎn)���。目前的技術(shù)方案將ACL可配置規(guī)則數(shù)固定在一個(gè)范圍內(nèi)�,并且不支持大量相同位置插入操作����,同時(shí),匹配順序復(fù)雜且有條件的區(qū)別對(duì)待�,對(duì)用戶的維護(hù)工作來(lái)說(shuō)不夠友好
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供一種ACL管理裝置���,應(yīng)用于網(wǎng)管計(jì)算機(jī)設(shè)備上��,用于管理網(wǎng)絡(luò)設(shè)備上的ACL執(zhí)行模塊中的ACL規(guī)則列表�����,所述ACL規(guī)則列表包括多個(gè)ACL表項(xiàng)����,其中ACL表項(xiàng)用于保存ACL規(guī)則;該裝置包括本地讀寫單元���、規(guī)則調(diào)整單元以及網(wǎng)管控制單元��,其中本地讀寫單元��,用于讀取計(jì)算機(jī)設(shè)備本地ACL規(guī)則列表并展現(xiàn)給用戶����,該本地ACL規(guī)則列表與ACL執(zhí)行模塊中的ACL規(guī)則列表保存有相同的數(shù)據(jù)�����;該本地讀寫單元進(jìn)一步用于將規(guī)則調(diào)整單元調(diào)整后的ACL規(guī)則列表保存在本地�;規(guī)則調(diào)整單元,用于處理用戶對(duì)ACL規(guī)則列表的調(diào)整����,當(dāng)用戶在相鄰的第一及第二 ACL表項(xiàng)之間插入新的ACL規(guī)則,查找第一或第二 ACL表項(xiàng)外側(cè)是否有空閑ACL表項(xiàng)�, 如果有空閑ACL表項(xiàng),則通過(guò)管理控制單元將ACL執(zhí)行模塊上該空閑ACL項(xiàng)與第一或第二ACL表項(xiàng)之間所有的ACL規(guī)則向外側(cè)整體平移一個(gè)表項(xiàng)以使得第一或第二 ACL表項(xiàng)成為空閑ACL表項(xiàng)����,然后將該新的ACL規(guī)則插入到空閑的第一或第二 ACL表項(xiàng)中�;管理控制單元�,用于通過(guò)管理通道與網(wǎng)絡(luò)設(shè)備交互。本發(fā)明還提供一種ACL管理方法����,應(yīng)用于網(wǎng)管計(jì)算機(jī)設(shè)備上,用于管理網(wǎng)絡(luò)設(shè)備上的ACL執(zhí)行模塊中的ACL規(guī)則列表����,所述ACL規(guī)則列表包括多個(gè)ACL表項(xiàng)���,其中ACL表項(xiàng)用于保存ACL規(guī)則���;該方法包括以下步驟步驟A,讀取計(jì)算機(jī)設(shè)備本地ACL規(guī)則列表并展現(xiàn)給用戶�����,該本地ACL規(guī)則列表與ACL執(zhí)行模塊中的ACL規(guī)則列表保存有相同的數(shù)據(jù)�;步驟B,將規(guī)則調(diào)整單元調(diào)整后的ACL規(guī)則列表保存在本地�;步驟C�����,處理用戶對(duì)ACL規(guī)則列表的調(diào)整�����,當(dāng)用戶在相鄰的第一及第二 ACL表項(xiàng)之間插入新的ACL規(guī)則�,查找第一或第二 ACL表項(xiàng)外側(cè)是否有空閑ACL表項(xiàng)�����,如果有空閑ACL表項(xiàng)����,則通過(guò)管理通道將ACL執(zhí)行模塊上該空閑ACL項(xiàng)與第一或第二 ACL表項(xiàng)之間所有的ACL規(guī)則向外側(cè)整體平移一個(gè)表項(xiàng)以使得第一或第二 ACL表項(xiàng)成為空閑ACL表項(xiàng),然后將該新的ACL規(guī)則插入到空閑的第一或第二 ACL表項(xiàng)中�����。相對(duì)于現(xiàn)有技術(shù)來(lái)說(shuō)��,首先���,本發(fā)明允許用戶更加輕松地進(jìn)行表項(xiàng)內(nèi)ACL規(guī)則的管理�,不再像現(xiàn)有技術(shù)那樣受限于固定步長(zhǎng)的插入限制,也不需要用戶考慮ACL執(zhí)行模塊的匹配順序����。其次,本發(fā)明將ACL規(guī)則按照業(yè)務(wù)模式進(jìn)行分類管理���,靈活地為不同模式的ACL規(guī)則分配資源���,提高了用戶管理的易用性與靈活性。
圖1是本發(fā)明一種實(shí)施方式中ACL管理裝置邏輯結(jié)構(gòu)圖�。圖2是本發(fā)明一種實(shí)施方式中ACL規(guī)則插入過(guò)程示意圖。圖3是本發(fā)明一種實(shí)施方式中ACL規(guī)則調(diào)換過(guò)程示意圖��。
具體實(shí)施例方式本發(fā)明提供一種ACL管理裝置�����,該裝置應(yīng)用在計(jì)算機(jī)設(shè)備上��,包括本地讀寫單元���、規(guī)則調(diào)整單元、資源管理單元以及管理控制單元�����。在優(yōu)選的方式中,該裝置采用計(jì)算機(jī)程序?qū)崿F(xiàn)���,所述計(jì)算機(jī)程序運(yùn)行于計(jì)算機(jī)設(shè)備的CPU上以形成上述多個(gè)邏輯單元�����。本發(fā)明ACL管理裝置通常運(yùn)行在網(wǎng)管計(jì)算機(jī)設(shè)備上����,向作為網(wǎng)絡(luò)管理者的用戶提供ACL配置界面�,界面的呈現(xiàn)以及數(shù)據(jù)輸入等功能屬于常見(jiàn)的現(xiàn)有技術(shù),此處不再一一贅述�����。用戶配置ACL規(guī)則時(shí)��,首先表項(xiàng)讀取單元從存儲(chǔ)器中讀取ACL配置文件并將其中的ACL規(guī)則列表讀取到內(nèi)存然后展現(xiàn)給用戶����。網(wǎng)管計(jì)算機(jī)設(shè)備的存儲(chǔ)器(比如硬盤)中通常會(huì)保存有與ACL執(zhí)行模塊(如ACL芯片或者軟件ACL模塊)完全一致的ACL規(guī)則列表,一個(gè)ACL規(guī)則列表中通常包括多個(gè)ACL表項(xiàng),每個(gè)ACL表項(xiàng)保存有一條ACL規(guī)則��。每次用戶在計(jì)算機(jī)上編輯ACL規(guī)則列表將數(shù)據(jù)下刷之后�,除了會(huì)通過(guò)網(wǎng)管通道下刷到網(wǎng)絡(luò)設(shè)備的ACL執(zhí)行模塊之外,還會(huì)在計(jì)算機(jī)上保存一份相同的副本����,也就是說(shuō)規(guī)則調(diào)整單元響應(yīng)用戶的調(diào)整操作,并且每次調(diào)整完成后都會(huì)在本地保存一份相同的調(diào)整后的ACL列表���。如果是各個(gè)ACL規(guī)則是順序配置����,也就是說(shuō)每次ACL規(guī)則都是寫到空閑的ACL表項(xiàng)上�,那么規(guī)則調(diào)整單元可以很容易將用戶的調(diào)整結(jié)果通過(guò)規(guī)則下刷單元發(fā)送到ACL執(zhí)行模塊。用戶在一個(gè)空閑的ACL表項(xiàng)中寫入ACL規(guī)則�����,下刷過(guò)程其實(shí)相當(dāng)于向空閑的表項(xiàng)中寫入數(shù)據(jù)�,對(duì)已經(jīng)存在的數(shù)據(jù)并沒(méi)有影響�。如果用戶的調(diào)整操作是刪除,那么下刷也容易實(shí) 現(xiàn)��,只需要通過(guò)管理控制單元發(fā)送響應(yīng)的控制命令即可完成刪除操作的下刷。然而用戶對(duì)ACL規(guī)則的管理不僅僅限于順序配置�,實(shí)際上用戶可能希望在兩條已經(jīng)存在的ACL規(guī)則之間插入新的ACL規(guī)則,也能會(huì)調(diào)整已經(jīng)存在兩條ACL規(guī)則之間的位置關(guān)系�����。因此規(guī)則調(diào)整單元需要針對(duì)各種情況進(jìn)行相應(yīng)的處理��,而且用戶在計(jì)算機(jī)上進(jìn)行的調(diào)整有時(shí)候并不能直接下刷到網(wǎng)絡(luò)設(shè)備的ACL執(zhí)行模塊上����,因?yàn)锳CL執(zhí)行模塊并不知曉用戶的操作,其僅僅是通過(guò)網(wǎng)管通道接收用戶寫入的數(shù)據(jù)�����。請(qǐng)參考圖2��,如果用戶在第一及第二 ACL表項(xiàng)之間插入新的ACL規(guī)則���,則規(guī)則調(diào)整單元查找第一 ACL表項(xiàng)(表項(xiàng)序號(hào)108)外側(cè)是否有空閑ACL表項(xiàng)����,如果有空閑ACL表項(xiàng)��,則通過(guò)管理控制單兀將ACL執(zhí)行模塊上該空閑表項(xiàng)與第一 ACL表項(xiàng)之間所有的ACL規(guī)則向外側(cè)整體平移一個(gè)表項(xiàng)以使得第一 ACL表項(xiàng)成為空閑ACL表項(xiàng);或者規(guī)則調(diào)整單元還可以查找第二 ACL表項(xiàng)(表項(xiàng)序號(hào)109)外側(cè)是否有空閑ACL表項(xiàng)如果有空閑ACL表項(xiàng)���;則通過(guò)管理控制單元將ACL執(zhí)行模塊上該空閑表項(xiàng)與第二 ACL規(guī)則所在第一 ACL表項(xiàng)之間所有的ACL規(guī)則向外側(cè)整體平移一個(gè)表項(xiàng)以使得第二 ACL表項(xiàng)成為空閑ACL表項(xiàng)�����。通??梢韵仍诘谝?ACL表項(xiàng)外側(cè)進(jìn)行查找�����,如果查找不到則向第二 ACL表項(xiàng)外側(cè)查找���。請(qǐng)參考圖2��,所謂外側(cè)是與相對(duì)于相鄰ACL內(nèi)側(cè)而言的,第一 ACL表項(xiàng)的內(nèi)側(cè)相鄰表項(xiàng)為第二 ACL表項(xiàng),第二ACL表項(xiàng)的內(nèi)側(cè)相鄰表項(xiàng)為第一 ACL表項(xiàng)�����。ACL執(zhí)行模塊�����,尤其是ACL芯片通常會(huì)按照順序來(lái)執(zhí)行����,有時(shí)候用戶可能希望改變某個(gè)ACL規(guī)則在芯片中的執(zhí)行順序�����,此時(shí)可能會(huì)涉及到兩個(gè)表項(xiàng)內(nèi)容的交換��。請(qǐng)參考圖3所示的ACL表項(xiàng)內(nèi)ACL規(guī)則調(diào)換過(guò)程����,如果用戶希望將兩個(gè)ACL表項(xiàng)的內(nèi)的ACL規(guī)則進(jìn)行交換,比如將第三ACL規(guī)則與第六ACL規(guī)則在芯片中存放的位置(也就是ACL表項(xiàng))進(jìn)行交換�����。此時(shí)規(guī)則調(diào)整單元可以通過(guò)管理控制單元先將第三ACL規(guī)則寫入芯片內(nèi)部的交換空間(比如任意一個(gè)空閑表項(xiàng))中�����,然后將第六ACL規(guī)則寫入第三ACL規(guī)則所在的ACL表項(xiàng)(表項(xiàng)序號(hào)106),再將交換空間中的第三ACL規(guī)則寫入序號(hào)為111的ACL表項(xiàng)中����。以上描述的過(guò)程是規(guī)則調(diào)整單元對(duì)ACL執(zhí)行模塊上ACL表項(xiàng)的調(diào)整過(guò)程,其中數(shù)據(jù)的讀取主要在本地���,因?yàn)楸镜赜邢嗤腁CL規(guī)則列表��。但是如果涉及到數(shù)據(jù)寫入到ACL執(zhí)行模塊���,或者刪除ACL執(zhí)行模塊中的某個(gè)ACL表項(xiàng)則需要將調(diào)整結(jié)果分解為相應(yīng)的控制命令(可能包括數(shù)據(jù))送到管理控制單元��,由管理控制單元來(lái)與網(wǎng)絡(luò)設(shè)備進(jìn)行交互�����。比如說(shuō)���,將某個(gè)ACL表項(xiàng)中的ACL規(guī)則寫入交換空間,事實(shí)上可以只用一步寫入即可完成��,因?yàn)橛?jì)算機(jī)設(shè)備本地有該ACL規(guī)則���,可以在本地讀取到該ACL規(guī)則然后通過(guò)管理通道寫入到管理設(shè)備的交換空間�����。因此整個(gè)過(guò)程實(shí)際上是規(guī)則調(diào)整單元將發(fā)生變化的表項(xiàng)內(nèi)的數(shù)據(jù)通過(guò)管理控制單元下刷到網(wǎng)絡(luò)設(shè)備的ACL執(zhí)行模塊上對(duì)應(yīng)的表項(xiàng)中去�。由于本地保存有相同的ACL規(guī)則列表����,因此哪些表項(xiàng)內(nèi)數(shù)據(jù)發(fā)生了變化,規(guī)則調(diào)整單元很容易進(jìn)行標(biāo)記�����。整個(gè)過(guò)程大部分情況下不涉及整體ACL規(guī)則列表的刪除這樣的操作����,因?yàn)檎w刪除和寫入需要消耗更多的時(shí)間,用戶體驗(yàn)較差�;而且從整體刪除到重新寫入這段時(shí)間內(nèi)由于ACL規(guī)則不存在,可能導(dǎo)致在網(wǎng)的網(wǎng)絡(luò)設(shè)備報(bào)文轉(zhuǎn)發(fā)錯(cuò)誤�、斷流甚至更嚴(yán)重的問(wèn)題。在優(yōu)選的方式中���,規(guī)則調(diào)整單元允許用戶輸入的ACL規(guī)則通常是用戶容易理解的ACL規(guī)則��,比如說(shuō)VLAN范圍1-27�,但事實(shí)上存放在ACL執(zhí)行模塊的表項(xiàng)中ACL規(guī)則并不是如此表達(dá)的���,可能會(huì)以掩碼的方式來(lái)表達(dá)��,采用掩碼方式表達(dá)時(shí)�,可能需要將用戶輸入的ACL規(guī)則拆分為多個(gè)可以在ACL執(zhí)行模塊中存儲(chǔ)的ACL規(guī)則。當(dāng)然�,這個(gè)拆分過(guò)程對(duì)用戶來(lái)說(shuō)是不可見(jiàn)的,提高了用戶使用的便利性���。 在優(yōu)選的方式中���,本發(fā)明還對(duì)ACL執(zhí)行模塊內(nèi)部的表項(xiàng)資源進(jìn)行分類管理,這里的分類管理是基于業(yè)務(wù)的分類管理�����。在本發(fā)明優(yōu)選方式中�,ACL執(zhí)行模塊的表項(xiàng)資源包括若干個(gè)片區(qū),每個(gè)片區(qū)包括若干ACL表項(xiàng)����,優(yōu)選方式中每個(gè)片區(qū)包括的ACL表項(xiàng)數(shù)量相等。在本實(shí)施方式中���,ACL規(guī)則包括三種模式��,二層模式ACL規(guī)則�、三層模式ACL規(guī)則以及二三層混合模式ACL規(guī)則。在優(yōu)選的方式中���,ACL規(guī)則的模式還可以細(xì)分����,比如三層模式還可以細(xì)分為三層IPv6模式以及三層IPv4模式���;而二三層混合模式則可以細(xì)分為二三層IPv4混合模式以及二三層IPv6混合模式,其中各種模式定義如下二層模式ACL規(guī)則通常只包括報(bào)文的二層信息�����,比如規(guī)則可以匹配報(bào)文的MAC地址����、VLAN tag以及_■層優(yōu)先級(jí)等_■層彳曰息。三層模式ACL規(guī)則通常只包括報(bào)文的三層信息���,比如規(guī)則可以匹配報(bào)文的IP地址�����、IP協(xié)議號(hào)及端口號(hào)����、三層優(yōu)先級(jí)等三層信息。二三層混合模式ACL規(guī)則通常同時(shí)包括報(bào)文的二層和三層信息��;比如規(guī)則可以匹配報(bào)文的源MAC地址����、源IP地址等信息等等。在ACL規(guī)則區(qū)分模式時(shí)���,所述資源管理單元可以按照ACL規(guī)則模式執(zhí)行片區(qū)的分配�。事實(shí)上這樣的分配也就是將片區(qū)這一資源按照業(yè)務(wù)模式來(lái)進(jìn)行分配����,比如說(shuō)將兩個(gè)片區(qū)用來(lái)保存二層ACL規(guī)則。在現(xiàn)有技術(shù)中��,沒(méi)有嚴(yán)格按照業(yè)務(wù)層次來(lái)劃分模式進(jìn)而分配資源�����。比如說(shuō)�����,基本ACL這種模式的ACL規(guī)則中既可以有MAC地址,也可以有IP地址����,基本ACL與高級(jí)ACL的劃分僅僅是規(guī)則簡(jiǎn)單與復(fù)雜,這樣的劃分與網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)沒(méi)有任何關(guān)聯(lián)�����,對(duì)于用戶管理過(guò)程來(lái)說(shuō)區(qū)分很不清晰��,因?yàn)橛脩敉ǔ?huì)對(duì)實(shí)際業(yè)務(wù)很關(guān)注����,按照業(yè)務(wù)進(jìn)行區(qū)分有利于用戶清晰地了解自身關(guān)注的業(yè)務(wù)對(duì)應(yīng)的ACL規(guī)則�����。相應(yīng)地�����,在本實(shí)施方式中�����,規(guī)則調(diào)整單元進(jìn)行ACL規(guī)則調(diào)整的范圍是同一個(gè)ACL規(guī)則模式下的所有片區(qū)。比說(shuō)前述向外側(cè)查找是否有空閑表項(xiàng)的步驟����,其查找的邊界是當(dāng)前ACL規(guī)則模式下的所有片區(qū)中的表項(xiàng)(相當(dāng)于與ACL規(guī)則模式對(duì)應(yīng)的子列表),而不是整個(gè)ACL規(guī)則列表���??紤]到每個(gè)用戶的業(yè)務(wù)分布情況各有不同�,有的用戶可能需要更多的表項(xiàng)資源來(lái)下發(fā)二層ACL規(guī)則,那么資源管理單元可以允許用戶對(duì)片區(qū)的分配進(jìn)行調(diào)整�����。當(dāng)用戶希望分配更多片區(qū)來(lái)存儲(chǔ)二層ACL規(guī)則時(shí)���,資源管理單元可以查找分配給其他模式ACL規(guī)則的片區(qū)資源中是否有空閑片區(qū)��,如果有則將該片區(qū)分配給二層型ACL規(guī)則��。同樣的道理�,任意一種模式的ACL規(guī)則對(duì)應(yīng)的空閑片區(qū)都被資源管理單元根據(jù)用戶需求分配給其他模式的ACL規(guī)則來(lái)使用����。舉例來(lái)說(shuō)����,請(qǐng)參考表I�。假設(shè)片區(qū)大小一致,均包括5個(gè)ACL表項(xiàng)(僅僅是示例性的)����,假設(shè)二層模式ACL規(guī)則分配到2個(gè)片區(qū)(A與B),而三層模式ACL規(guī)則分配到3個(gè)片區(qū)(C��、D��、E)����。假設(shè)用戶希望從三層模式ACL規(guī)則對(duì)應(yīng)的片區(qū)中劃分一個(gè)片區(qū)給二層模式ACL規(guī)則�。但是此時(shí)片區(qū)C、D����、E均有至少一個(gè)表項(xiàng)被占用,也就是說(shuō)沒(méi)有表項(xiàng)全部空閑的片區(qū)���。此時(shí)資源管理單元檢查三層模式ACL規(guī)則中所有片區(qū)空閑表項(xiàng)總和是否大于等于一個(gè)片區(qū)的表項(xiàng)��,如果是����,則將一個(gè)片區(qū)中的被占用表項(xiàng)中的數(shù)據(jù)遷移到其他片區(qū)的空閑表項(xiàng)中,以使得該片區(qū)變?yōu)榭臻e片區(qū)����,然后將該片區(qū)分配給二層模式ACL規(guī)則。比如將片區(qū)D中的兩個(gè)占用表項(xiàng)數(shù)據(jù)寫入到片區(qū)E的兩個(gè)空閑表項(xiàng)中����,請(qǐng)參考表2所示調(diào)整后的片區(qū)分配,此時(shí)二層模式ACL規(guī)則擁有三個(gè)片區(qū)(A�、B、D)��,而三層模式ACL規(guī)則變?yōu)閮蓚€(gè)片區(qū)(C���、E)��。
權(quán)利要求
1.一種ACL管理裝置�,應(yīng)用于網(wǎng)管計(jì)算機(jī)設(shè)備上����,用于管理網(wǎng)絡(luò)設(shè)備上的ACL執(zhí)行模塊中的ACL規(guī)則列表����,所述ACL規(guī)則列表包括多個(gè)ACL表項(xiàng)��,其中ACL表項(xiàng)用于保存ACL規(guī)則���;該裝置包括本地讀寫單元�����、規(guī)則調(diào)整單元以及網(wǎng)管控制單元����,其特征在于 本地讀寫單元��,用于讀取計(jì)算機(jī)設(shè)備本地ACL規(guī)則列表并展現(xiàn)給用戶�����,該本地ACL規(guī)則列表與ACL執(zhí)行模塊中的ACL規(guī)則列表保存有相同的數(shù)據(jù)�;該本地讀寫單元進(jìn)一步用于將規(guī)則調(diào)整單元調(diào)整后的ACL規(guī)則列表保存在本地��; 規(guī)則調(diào)整單元���,用于處理用戶對(duì)ACL規(guī)則列表的調(diào)整��,當(dāng)用戶在相鄰的第一及第二 ACL表項(xiàng)之間插入新的ACL規(guī)則�����,查找第一或第二 ACL表項(xiàng)外側(cè)是否有空閑ACL表項(xiàng)��,如果有空閑ACL表項(xiàng)�����,則通過(guò)管理控制單元將ACL執(zhí)行模塊上該空閑ACL項(xiàng)與第一或第二 ACL表項(xiàng)之間所有的ACL規(guī)則向外側(cè)整體平移一個(gè)表項(xiàng)以使得第一或第二 ACL表項(xiàng)成為空閑ACL表項(xiàng)�����,然后將該新的ACL規(guī)則插入到空閑的第一或第二 ACL表項(xiàng)中��; 管理控制單元�,用于通過(guò)管理通道與網(wǎng)絡(luò)設(shè)備交互。
2.如權(quán)利要求1所述的裝置�,其特征在于,當(dāng)用戶調(diào)換第三ACL表項(xiàng)中與第四ACL表項(xiàng)中ACL規(guī)則時(shí)��,所述規(guī)則調(diào)整單元進(jìn)一步用于通過(guò)管理控制單元先將第三ACL表項(xiàng)中的第三ACL規(guī)則寫入ACL執(zhí)行模塊內(nèi)部的交換空間�,然后將第四ACL表項(xiàng)中第四ACL規(guī)則寫入第三ACL表項(xiàng)����,再將交換空間中的第三ACL規(guī)則寫入序號(hào)為第四ACL表項(xiàng)中�。
3.如權(quán)利要求1所述的裝置,其特征在于����,所述ACL執(zhí)行模塊包括若干片區(qū),每個(gè)片區(qū)均包括若干ACL表項(xiàng)��,不同模式的ACL規(guī)則存儲(chǔ)與不同的片區(qū)中����,該裝置進(jìn)一步包括資源管理單元,用于執(zhí)行片區(qū)的分配����,當(dāng)用戶需要為第一模式ACL規(guī)則分配更多片區(qū)時(shí),查找第二模式ACL規(guī)則對(duì)應(yīng)的多個(gè)片區(qū)中是否有空閑片區(qū)��,如果是則將該空閑片區(qū)分配給第一模式ACL規(guī)則�。
4.如權(quán)利要求3所述的裝置,其特征在于���,所述每個(gè)片區(qū)大小相同�����,當(dāng)?shù)诙J紸CL規(guī)則對(duì)應(yīng)的多個(gè)片區(qū)中沒(méi)有空閑片區(qū)時(shí)�,所述資源管理單元進(jìn)一步檢查第二模式ACL規(guī)則對(duì)應(yīng)的多個(gè)片區(qū)中空閑表項(xiàng)總量是否可以構(gòu)成一個(gè)空閑片區(qū)����,如果是則在至少兩個(gè)片區(qū)之間進(jìn)行ACL表項(xiàng)內(nèi)的數(shù)據(jù)遷移以獲得一個(gè)空閑片區(qū)并將該空閑片區(qū)分配給第一模式ACL規(guī)則。
5.如權(quán)利要求1所述的裝置�����,其特征在于�����,所述規(guī)則調(diào)整單元�,進(jìn)一步用于將用戶輸入的一條ACL規(guī)則轉(zhuǎn)變?yōu)槎鄺lACL執(zhí)行模塊可以保存的多個(gè)ACL規(guī)則。
6.一種ACL管理方法�,應(yīng)用于網(wǎng)管計(jì)算機(jī)設(shè)備上,用于管理網(wǎng)絡(luò)設(shè)備上的ACL執(zhí)行模塊中的ACL規(guī)則列表���,所述ACL規(guī)則列表包括多個(gè)ACL表項(xiàng)�����,其中ACL表項(xiàng)用于保存ACL規(guī)則��;其特征在于�����,該方法包括以下步驟 步驟A�,讀取計(jì)算機(jī)設(shè)備本地ACL規(guī)則列表并展現(xiàn)給用戶,該本地ACL規(guī)則列表與ACL執(zhí)行模塊中的ACL規(guī)則列表保存有相同的數(shù)據(jù)�; 步驟B,將規(guī)則調(diào)整單元調(diào)整后的ACL規(guī)則列表保存在本地���; 步驟C��,處理用戶對(duì)ACL規(guī)則列表的調(diào)整�,當(dāng)用戶在相鄰的第一及第二 ACL表項(xiàng)之間插入新的ACL規(guī)則�,查找第一或第二 ACL表項(xiàng)外側(cè)是否有空閑ACL表項(xiàng),如果有空閑ACL表項(xiàng)�,則通過(guò)管理通道將ACL執(zhí)行模塊上該空閑ACL項(xiàng)與第一或第二 ACL表項(xiàng)之間所有的ACL規(guī)則向外側(cè)整體平移一個(gè)表項(xiàng)以使得第一或第二 ACL表項(xiàng)成為空閑ACL表項(xiàng),然后將該新的ACL規(guī)則插入到空閑的第一或第二 ACL表項(xiàng)中���。
7.如權(quán)利要求6所述的方法����,其特征在于,還包括 步驟D���,當(dāng)用戶調(diào)換第三ACL表項(xiàng)中與第四ACL表項(xiàng)中ACL規(guī)則時(shí),通過(guò)管理控制單元先將第三ACL表項(xiàng)中的第三ACL規(guī)則寫入ACL執(zhí)行模塊內(nèi)部的交換空間�,然后將第四ACL表項(xiàng)中第四ACL規(guī)則寫入第三ACL表項(xiàng),再將交換空間中的第三ACL規(guī)則寫入序號(hào)為第四ACL表項(xiàng)中����。
8.如權(quán)利要求6所述的方法,其特征在于���,所述ACL執(zhí)行模塊包括若干片區(qū)�����,每個(gè)片區(qū)均包括若干ACL表項(xiàng)��,不同模式的ACL規(guī)則存儲(chǔ)與不同的片區(qū)中����,該方法還包括 步驟E��,當(dāng)用戶需要為第一模式ACL規(guī)則分配更多片區(qū)時(shí),查找第二模式ACL規(guī)則對(duì)應(yīng)的多個(gè)片區(qū)中是否有空閑片區(qū)���,如果是則將該空閑片區(qū)分配給第一模式ACL規(guī)則���。
9.如權(quán)利要求8所述的方法,其特征在于�,所述每個(gè)片區(qū)大小相同,當(dāng)?shù)诙J紸CL規(guī)則對(duì)應(yīng)的多個(gè)片區(qū)中沒(méi)有空閑片區(qū)時(shí)�,所述步驟E還包括進(jìn)一步檢查第二模式ACL規(guī)則對(duì)應(yīng)的多個(gè)片區(qū)中空閑表項(xiàng)總量是否可以構(gòu)成一個(gè)空閑片區(qū),如果是則在至少兩個(gè)片區(qū)之間進(jìn)行ACL表項(xiàng)內(nèi)的數(shù)據(jù)遷移以獲得一個(gè)空閑片區(qū)并將該空閑片區(qū)分配給第一模式ACL規(guī)則�����。
10.如權(quán)利要求6所述的方法�����,其特征在于�,還包括 步驟F,將用戶輸入的一條ACL規(guī)則轉(zhuǎn)變?yōu)槎鄺lACL執(zhí)行模塊可以保存的多個(gè)ACL規(guī)則�。
全文摘要
本發(fā)明提供一種ACL管理方法及對(duì)應(yīng)的管理裝置,該管理方法包括步驟A���,讀取計(jì)算機(jī)設(shè)備本地ACL規(guī)則列表并展現(xiàn)給用戶���,該本地ACL規(guī)則列表與ACL執(zhí)行模塊中的ACL規(guī)則列表保存有相同的數(shù)據(jù)�;步驟B�,將規(guī)則調(diào)整單元調(diào)整后的ACL規(guī)則列表保存在本地;步驟C��,處理用戶對(duì)ACL規(guī)則列表的調(diào)整�����,當(dāng)用戶在相鄰的第一及第二ACL表項(xiàng)之間插入新的ACL規(guī)則�,查找第一或第二ACL表項(xiàng)外側(cè)是否有空閑ACL表項(xiàng)�,如果有空閑ACL表項(xiàng),則對(duì)部分ACL規(guī)則向外側(cè)整體平移一個(gè)表項(xiàng)以使得第一或第二ACL表項(xiàng)成為空閑ACL表項(xiàng)��。相對(duì)于現(xiàn)有技術(shù)來(lái)說(shuō)���,本發(fā)明允許用戶更加輕松地進(jìn)行表項(xiàng)內(nèi)ACL規(guī)則的管理�����,也不需要用戶考慮ACL執(zhí)行模塊的匹配順序�。
文檔編號(hào)H04L12/24GK103001793SQ20121041782
公開(kāi)日2013年3月27日 申請(qǐng)日期2012年10月26日 優(yōu)先權(quán)日2012年10月26日
發(fā)明者符志清, 左憲達(dá) 申請(qǐng)人:杭州迪普科技有限公司