(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111634485.6 (22)申请日 2021.12.2 9 (71)申请人 武汉绿色网络信息服 务有限责任公 司 地址 430000 湖北省武汉市东湖新 技术开 发区软件园中路4号光谷软件园六期2 栋4层01室、 5层01室、 6层01室 (72)发明人 陈维　胡乐勇　 (74)专利代理 机构 深圳市六加知识产权代理有 限公司 4 4372 代理人 向彬 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于exact规则转mask规则的实现方法 与装置 (57)摘要 本发明涉及网络安全技术领域， 提供了一种 基于exact规则转mask规则的实现方法与装置。 本发明对A CL规则的作用控制流量转发、 丢弃、 重 定向等功能的过程中， 某特殊局点出现超出FPGA 的查找性能的情况提出了一种灵活五元组规则 的实现方法。 选择将部分规则数量较少的ACL规 则类型选择由exact规则转换为mask规则， 这样 当灵活五元组规则类型数量超过FPGA的查找性 能时， 将部分灵活五元组规则类型为 mask规则的 使用TCAM来查找存储， 设备需要查找的exact规 则类型仍然保持在FPGA的查找性能之内， 这样就 能够保证逻辑查找性能， 从而避免了现网部分 acl规则无法被命中， 导致丢包、 或者因为本应该 命中走黑名单或者重定向动作的规则走白名单 动作， 最终导 致流量转发错误的情况发生。 权利要求书2页 说明书12页 附图4页 CN 114430341 A 2022.05.03 CN 114430341 A 1.一种基于exact规则转mask 规则的实现方法， 其特 征在于， 包括： 灵活五元组规则存放在存储器中并进行流量命中， 当局点需要的灵活五元组规则 类型 数量大于第一数量时， 选出第一数量的灵活五元组规则类型作为第一部分灵活五元组规则 类型， 并将所述第一部分灵活五元组规则类型存放在第一存 储器中； 选出超过第 一数量的灵活五元组规则类型作为第 二部分灵活五元组规则类型， 并将所 述第二部分灵活五元组规则类型的exact规则转换为mask 规则并存放在第二存 储器中； 流量对所述灵活五元组规则进行匹配， 并根据优先级对匹配到的灵活五元组规则 类型 进行命中并进行流 量输出。 2.根据权利要求1所述的基于exact规则转mask规则的实现方法， 其特征在于， 查询所 有灵活五元组规则类型的规则数量， 并从小到大排序。 3.根据权利要求2所述的基于exact规则转mask规则的实现方法， 其特征在于， 从小到 大依次选出规则数量相对更小的灵活五元组规则类型作为第二部分灵活五元组规则类型， 直到第二部分灵活五元组规则类型被填满 并将所述第二部分灵活五元组规则类型的exact规则转换为mask规则并存放在第二存 储器中。 4.根据权利要求1所述的基于exact规则转mask规则的实现方法， 其特征在于， 所述流 量对所述灵活五元组规则进行匹配， 并根据优先级对匹配到的灵活五元组规则类型进 行命 中并进行流 量输出， 具体包括： 当所述流量仅与一种灵活五元组规则类型相匹配时， 则所述流量命中所述相匹配的灵 活五元组规则类型， 并根据所述被命中灵活五元组规则类型进行输出。 5.根据权利要求1所述的基于exact规则转mask规则的实现方法， 其特征在于， 所述流 量对所述灵活五元组规则进行匹配， 并根据优先级对匹配到的灵活五元组规则类型进 行命 中并进行流 量输出， 具体包括： 当所述流量与两个或者两个以上灵活五元组规则类型相匹配时， 则所述流量根据优先 级找到相匹配的灵活五元组规则类型中优先级最高的灵活五元组规则类型。 6.根据权利要求5所述的基于exact规则转mask规则的实现方法， 其特征在于， 所述优 先级具体包括： 所述局点需要的灵活五元组规则类型的优先级； 所述灵活五元组规则类型的exact规则与所述灵活五元组规则类型的mask规则的优先 级。 7.根据权利要求5所述的基于exact规则转mask规则的实现方法， 其特征在于， 当所述 找到的优先级最高的灵活五元组规则类型为目标灵活五元组规则类型时， 则所述流量命中 优先级最高的灵活五元组规则类型并进行输出。 8.根据权利要求7所述的基于exact规则转mask规则的实现方法， 其特征在于， 当所述 找到的优先级最高的灵活五元组规则类型不为目标灵活五元组规则类型时， 则更改所述优 先级使得所述目标灵活五元组规则类型优先级最高， 所述流量命中所述更改后优先级最高 的灵活五元组规则类型并进行输出。 9.根据权利要求1所述的基于exact规则转mask规则的实现方法， 其特征在于， 所述灵 活五元组规则包括： SIP、 DIP、 Sport、 Dport、 Protocol以及所述5个灵活五元组规则SIP、权　利　要　求　书 1/2 页 2 CN 114430341 A 2DIP、 Spor t、 Dport与Protoco l的相互组合； 所述灵活五元组的规则类型 数量≤32。 10.一种基于exact规则转mask规则的实现装置， 其特征在于， 基于exact规则转mask规 则的实现装置包括至少一个处理器， 以及， 与所述至少一个处理器通信连接的存储器； 其 中， 所述存储器存储有 可被所述至少一个处理器执行的指 令， 所述指 令被所述处理器执行， 用于执行权利要求1 ‑9任一所述的基于exact规则转mask 规则的实现方法。权　利　要　求　书 2/2 页 3 CN 114430341 A 3