CN111181870A - 一种基于网络处理器实现多业务规则共享的方法 - Google Patents
一种基于网络处理器实现多业务规则共享的方法 Download PDFInfo
- Publication number
- CN111181870A CN111181870A CN201911408311.0A CN201911408311A CN111181870A CN 111181870 A CN111181870 A CN 111181870A CN 201911408311 A CN201911408311 A CN 201911408311A CN 111181870 A CN111181870 A CN 111181870A
- Authority
- CN
- China
- Prior art keywords
- service
- acl
- rule
- group
- executing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
- H04L47/2433—Allocation of priorities to traffic types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于网络处理器实现多业务规则共享的方法,通过引入策略绑定机制,在网络分流设备上先绑定业务用户与策略组的映射关系,策略组唯一映射端口组与规则组,当多业务用户需要配置同样的规则时,只需要多业务用户通过策略绑定同一条规则即可,大大地提高了网络处理器的规则空间利用率,缓解了规则共享的难题。
Description
技术领域
本发明涉及IP数据网络安全技术领域,尤其是一种基于网络处理器实现多业务规则共享的方法。
背景技术
随着互联网技术的高速发展,网络中的新应用层出不穷,网络数据的传输速率也越来越快,如何根据业务需求对网络数据进行有效地分流显得尤为重要。但目前网络分流设备的IP数据规则匹配,对当前主流网络处理器的规则存储空间是极大的挑战,如何提高网络处理器的规则空间利用率越发紧迫。
发明内容
本发明所要解决的技术问题在于,提供一种基于网络处理器实现多业务规则共享的方法,能够大大提高网络处理器的规则空间利用率,缓解了规则共享的难题
为解决上述技术问题,本发明提供一种基于网络处理器实现多业务规则共享的方法,包括如下步骤:
(1)数据输入端口组接收数据包,并将收到的数据包发送到多业务处理引擎;
(2)多业务规则处理模块从数据包中抽取查表关键字,查找是否存在匹配的规则条目,若不存在,则执行默认转发动作;若命中一个ACL组,则执行步骤(3);若命中多个ACL组,则执行步骤(4);
(3)提取该ACL组绑定的策略中规定的端口组和动作,执行步骤(8);
(4)查看多个ACL组是否同一个业务,若所有ACL组均属于同一个业务,则执行步骤(5);若所有ACL均属于不同业务,则执行步骤(6);若有些ACL组属于同一个业务,有些ACL不属于同一个业务,则执行步骤(7);
(5)所有ACL组均属于同一个业务,则比较配置的策略优先级,提取最高优先级最高的策略中规定的端口组和动作;若对应的策略优先级相同,则比较规则类型优先级,提取优先级最高的规则所绑定的策略中规定的端口组和动作;执行步骤(8);
(6)所有ACL组均属于不同业务,则分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤(8);
(7)有些ACL组属于同一个业务,有些ACL不属于同一个业务,则按照步骤(5)的要求选择每个业务中优先级最高的ACL组,再按照步骤(6),分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤(8);
(8)提取各业务MAC信息标记,将数据包打上指定业务标记,并从规定的数据输出端口组输出数据包。
本发明的有益效果为:本发明通过引入策略绑定机制,在网络分流设备上先绑定业务用户与策略组的映射关系,策略组唯一映射端口组与规则组,当多业务用户需要配置同样的规则时,只需要多业务用户通过策略绑定同一条规则即可,大大地提高了网络处理器的规则空间利用率,缓解了规则共享的难题。
附图说明
图1为本发明的方法流程示意图。
具体实施方式
如图1所示,一种基于网络处理器实现多业务规则共享的方法,包括如下步骤:
步骤S1.数据输入端口组接收数据包,并将收到的数据包发送到多业务处理引擎;
步骤S2.多业务规则处理模块从数据包中抽取查表关键字,查找是否存在匹配的规则条目,若不存在,则执行默认转发动作;若命中一个ACL组,则执行步骤S3;若命中多个ACL组,则执行步骤S4;
步骤S3.提取该ACL组绑定的策略中规定的端口组和动作,执行步骤S8;
步骤S4.查看多个ACL组是否同一个业务,若所有ACL组均属于同一个业务,则执行步骤S5;若所有ACL均属于不同业务,则执行步骤S6;若有些ACL组属于同一个业务,有些ACL不属于同一个业务,则执行步骤S7;
步骤S5.所有ACL组均属于同一个业务,则比较配置的策略优先级,提取最高优先级最高的策略中规定的端口组和动作;若对应的策略优先级相同,则比较规则类型优先级,提取优先级最高的规则所绑定的策略中规定的端口组和动作;执行步骤S8;
步骤S6.所有ACL组均属于不同业务,则分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤S8;
步骤S7.有些ACL组属于同一个业务,有些ACL不属于同一个业务,则按照步骤S5的要求选择每个业务中优先级最高的ACL组,再按照步骤S6,分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤S8;
步骤S8.提取各业务MAC信息标记,将数据包打上指定业务标记,并从规定的数据输出端口组输出数据包。
网络分流设备上配置规则时,网络处理器将规则组绑定的端口组号与规则元组共同组成key值写入规则表;通过策略机制将端口组、规则组、业务用户形成映射关系;流量进入设备后,提取流量的入端口组号和五元组信息进行规则匹配,若规则绑定多个业务,则将流量复制多份,封装相应的标签格式输出,达到提高规则网络处理器空间利用率的目的。
数据通信接口,包括输入端口和输出端口:输入端口用于接入网络流量,输出端口用于将处理后的流量输出到下一级设备。
多业务处理引擎,包括多业务规则处理模块和多业务标签封装模块,用以对输入流量进行多种业务规则匹配以及多业务标识封装。多业务规则处理模块,包括规则写表模块和规则匹配模块:规则写表模块将设备上配置的五元组(源IP地址、目的IP地址、源端口号、目的端口号、协议类型)规则和其绑定的监视口端口组号作为key值进行规则条目的维护;规则匹配模块,主要完成对输入流量规则的查找、匹配、优先级处理。多业务标签封装模块用于将匹配多业务规则的流量进行标签格式封装。
策略处理引擎,包括策略绑定模块和策略优先级模块,用以绑定端口组和规则组的唯一映射关系以及输入流量匹配多条规则时进行策略优先级比较。
流量负载均衡模块用于完成输入数据包的负载均衡。
本发明通过引入策略绑定机制,在网络分流设备上先绑定业务用户与策略组的映射关系,策略组唯一映射端口组与规则组,当多业务用户需要配置同样的规则时,只需要多业务用户通过策略绑定同一条规则即可。该方案大大地提高了网络处理器的规则空间利用率,缓解了规则共享的难题。
Claims (1)
1.一种基于网络处理器实现多业务规则共享的方法,其特征在于,包括如下步骤:
(1)数据输入端口组接收数据包,并将收到的数据包发送到多业务处理引擎;
(2)多业务规则处理模块从数据包中抽取查表关键字,查找是否存在匹配的规则条目,若不存在,则执行默认转发动作;若命中一个ACL组,则执行步骤(3);若命中多个ACL组,则执行步骤(4);
(3)提取该ACL组绑定的策略中规定的端口组和动作,执行步骤(8);
(4)查看多个ACL组是否同一个业务,若所有ACL组均属于同一个业务,则执行步骤(5);若所有ACL均属于不同业务,则执行步骤(6);若有些ACL组属于同一个业务,有些ACL不属于同一个业务,则执行步骤(7);
(5)所有ACL组均属于同一个业务,则比较配置的策略优先级,提取最高优先级最高的策略中规定的端口组和动作;若对应的策略优先级相同,则比较规则类型优先级,提取优先级最高的规则所绑定的策略中规定的端口组和动作;执行步骤(8);
(6)所有ACL组均属于不同业务,则分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤(8);
(7)有些ACL组属于同一个业务,有些ACL不属于同一个业务,则按照步骤(5)的要求选择每个业务中优先级最高的ACL组,再按照步骤(6),分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤(8);
(8)提取各业务MAC信息标记,将数据包打上指定业务标记,并从规定的数据输出端口组输出数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911408311.0A CN111181870B (zh) | 2019-12-31 | 2019-12-31 | 一种基于网络处理器实现多业务规则共享的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911408311.0A CN111181870B (zh) | 2019-12-31 | 2019-12-31 | 一种基于网络处理器实现多业务规则共享的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111181870A true CN111181870A (zh) | 2020-05-19 |
CN111181870B CN111181870B (zh) | 2022-05-13 |
Family
ID=70650534
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911408311.0A Active CN111181870B (zh) | 2019-12-31 | 2019-12-31 | 一种基于网络处理器实现多业务规则共享的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111181870B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140032591A1 (en) * | 2012-07-27 | 2014-01-30 | Cisco Technology, Inc. | System and method for improving hardware utilization for a bidirectional access control list in a low latency high-throughput network |
CN104092678A (zh) * | 2014-07-02 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种访问控制列表的配置方法和装置 |
CN104579940A (zh) * | 2013-10-10 | 2015-04-29 | 杭州华三通信技术有限公司 | 查找访问控制列表的方法及装置 |
CN107342926A (zh) * | 2017-06-13 | 2017-11-10 | 国家计算机网络与信息安全管理中心 | 一种多业务快速匹配分发的方法 |
CN107800627A (zh) * | 2016-09-06 | 2018-03-13 | 南京中兴软件有限责任公司 | 三态内容寻址存储器tcam表的写入方法及装置 |
CN108667644A (zh) * | 2017-03-31 | 2018-10-16 | 华为数字技术(苏州)有限公司 | 配置acl业务的方法及转发设备 |
CN108848204A (zh) * | 2018-07-10 | 2018-11-20 | 新华三信息安全技术有限公司 | 一种nat业务快速处理方法及装置 |
-
2019
- 2019-12-31 CN CN201911408311.0A patent/CN111181870B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140032591A1 (en) * | 2012-07-27 | 2014-01-30 | Cisco Technology, Inc. | System and method for improving hardware utilization for a bidirectional access control list in a low latency high-throughput network |
CN104579940A (zh) * | 2013-10-10 | 2015-04-29 | 杭州华三通信技术有限公司 | 查找访问控制列表的方法及装置 |
CN104092678A (zh) * | 2014-07-02 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种访问控制列表的配置方法和装置 |
CN107800627A (zh) * | 2016-09-06 | 2018-03-13 | 南京中兴软件有限责任公司 | 三态内容寻址存储器tcam表的写入方法及装置 |
CN108667644A (zh) * | 2017-03-31 | 2018-10-16 | 华为数字技术(苏州)有限公司 | 配置acl业务的方法及转发设备 |
CN107342926A (zh) * | 2017-06-13 | 2017-11-10 | 国家计算机网络与信息安全管理中心 | 一种多业务快速匹配分发的方法 |
CN108848204A (zh) * | 2018-07-10 | 2018-11-20 | 新华三信息安全技术有限公司 | 一种nat业务快速处理方法及装置 |
Non-Patent Citations (1)
Title |
---|
张巍娜: "QoS与ACL的配置及应用", 《赤峰学院学报(自然科学版)》 * |
Also Published As
Publication number | Publication date |
---|---|
CN111181870B (zh) | 2022-05-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11102120B2 (en) | Storing keys with variable sizes in a multi-bank database | |
US7525958B2 (en) | Apparatus and method for two-stage packet classification using most specific filter matching and transport level sharing | |
CN111371779B (zh) | 一种基于dpdk虚拟化管理系统的防火墙及其实现方法 | |
US7408932B2 (en) | Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing | |
US9794263B2 (en) | Technologies for access control | |
US8139586B2 (en) | Enhanced packet classification | |
EP1523138A2 (en) | Access control mechanism for routers | |
US10397116B1 (en) | Access control based on range-matching | |
US10547547B1 (en) | Uniform route distribution for a forwarding table | |
US11362948B2 (en) | Exact match and ternary content addressable memory (TCAM) hybrid lookup for network device | |
US10263957B2 (en) | System and method for a fallback access control list port configuration | |
CN108306832A (zh) | 一种网络流量分流方法及装置 | |
CN103220255A (zh) | 一种实现单播反向路径转发urpf检查的方法及装置 | |
CN101222434B (zh) | 存储策略控制列表、策略搜索方法和三态寻址存储器 | |
WO2015043254A1 (zh) | 一种包分类规则的查找方法及装置 | |
US11126249B1 (en) | Power reduction methods for variable sized tables | |
CN116545921A (zh) | 基于ecmp的报文转发方法、装置、设备及存储介质 | |
CN111181870B (zh) | 一种基于网络处理器实现多业务规则共享的方法 | |
CN106453091B (zh) | 路由器转发平面的等价路由管理方法和装置 | |
US9590897B1 (en) | Methods and systems for network devices and associated network transmissions | |
US20190044873A1 (en) | Method of packet processing using packet filter rules | |
US10205658B1 (en) | Reducing size of policy databases using bidirectional rules | |
CN108259504A (zh) | 一种基于组实现访问控制列表的方法及装置 | |
US11550715B2 (en) | Virtual splitting of memories | |
JP2005072783A (ja) | 情報処理内容決定方法及び同方法を適用した情報処理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |