CN111181870B - 一种基于网络处理器实现多业务规则共享的方法 - Google Patents

一种基于网络处理器实现多业务规则共享的方法 Download PDF

Info

Publication number
CN111181870B
CN111181870B CN201911408311.0A CN201911408311A CN111181870B CN 111181870 B CN111181870 B CN 111181870B CN 201911408311 A CN201911408311 A CN 201911408311A CN 111181870 B CN111181870 B CN 111181870B
Authority
CN
China
Prior art keywords
service
rule
acl
group
executing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911408311.0A
Other languages
English (en)
Other versions
CN111181870A (zh
Inventor
邹昕
于姝
张伟
陈国贺
李高超
于贵智
王晖
金暐
李政
韩志前
陈训逊
戴丽
胡立洵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NANJING SINOVATIO TECHNOLOGY CO LTD
National Computer Network and Information Security Management Center
Original Assignee
NANJING SINOVATIO TECHNOLOGY CO LTD
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NANJING SINOVATIO TECHNOLOGY CO LTD, National Computer Network and Information Security Management Center filed Critical NANJING SINOVATIO TECHNOLOGY CO LTD
Priority to CN201911408311.0A priority Critical patent/CN111181870B/zh
Publication of CN111181870A publication Critical patent/CN111181870A/zh
Application granted granted Critical
Publication of CN111181870B publication Critical patent/CN111181870B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • H04L47/2433Allocation of priorities to traffic types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于网络处理器实现多业务规则共享的方法,通过引入策略绑定机制,在网络分流设备上先绑定业务用户与策略组的映射关系,策略组唯一映射端口组与规则组,当多业务用户需要配置同样的规则时,只需要多业务用户通过策略绑定同一条规则即可,大大地提高了网络处理器的规则空间利用率,缓解了规则共享的难题。

Description

一种基于网络处理器实现多业务规则共享的方法
技术领域
本发明涉及IP数据网络安全技术领域,尤其是一种基于网络处理器实现多业务规则共享的方法。
背景技术
随着互联网技术的高速发展,网络中的新应用层出不穷,网络数据的传输速率也越来越快,如何根据业务需求对网络数据进行有效地分流显得尤为重要。但目前网络分流设备的IP数据规则匹配,对当前主流网络处理器的规则存储空间是极大的挑战,如何提高网络处理器的规则空间利用率越发紧迫。
发明内容
本发明所要解决的技术问题在于,提供一种基于网络处理器实现多业务规则共享的方法,能够大大提高网络处理器的规则空间利用率,缓解了规则共享的难题
为解决上述技术问题,本发明提供一种基于网络处理器实现多业务规则共享的方法,包括如下步骤:
(1)数据输入端口组接收数据包,并将收到的数据包发送到多业务处理引擎;
(2)多业务规则处理模块从数据包中抽取查表关键字,查找是否存在匹配的规则条目,若不存在,则执行默认转发动作;若命中一个ACL组,则执行步骤(3);若命中多个ACL组,则执行步骤(4);
(3)提取该ACL组绑定的策略中规定的端口组和动作,执行步骤(8);
(4)查看多个ACL组是否同一个业务,若所有ACL组均属于同一个业务,则执行步骤(5);若所有ACL均属于不同业务,则执行步骤(6);若有些ACL组属于同一个业务,有些ACL不属于同一个业务,则执行步骤(7);
(5)所有ACL组均属于同一个业务,则比较配置的策略优先级,提取最高优先级最高的策略中规定的端口组和动作;若对应的策略优先级相同,则比较规则类型优先级,提取优先级最高的规则所绑定的策略中规定的端口组和动作;执行步骤(8);
(6)所有ACL组均属于不同业务,则分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤(8);
(7)有些ACL组属于同一个业务,有些ACL不属于同一个业务,则按照步骤(5)的要求选择每个业务中优先级最高的ACL组,再按照步骤(6),分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤(8);
(8)提取各业务MAC信息标记,将数据包打上指定业务标记,并从规定的数据输出端口组输出数据包。
本发明的有益效果为:本发明通过引入策略绑定机制,在网络分流设备上先绑定业务用户与策略组的映射关系,策略组唯一映射端口组与规则组,当多业务用户需要配置同样的规则时,只需要多业务用户通过策略绑定同一条规则即可,大大地提高了网络处理器的规则空间利用率,缓解了规则共享的难题。
附图说明
图1为本发明的方法流程示意图。
具体实施方式
如图1所示,一种基于网络处理器实现多业务规则共享的方法,包括如下步骤:
步骤S1.数据输入端口组接收数据包,并将收到的数据包发送到多业务处理引擎;
步骤S2.多业务规则处理模块从数据包中抽取查表关键字,查找是否存在匹配的规则条目,若不存在,则执行默认转发动作;若命中一个ACL组,则执行步骤S3;若命中多个ACL组,则执行步骤S4;
步骤S3.提取该ACL组绑定的策略中规定的端口组和动作,执行步骤S8;
步骤S4.查看多个ACL组是否同一个业务,若所有ACL组均属于同一个业务,则执行步骤S5;若所有ACL均属于不同业务,则执行步骤S6;若有些ACL组属于同一个业务,有些ACL不属于同一个业务,则执行步骤S7;
步骤S5.所有ACL组均属于同一个业务,则比较配置的策略优先级,提取最高优先级最高的策略中规定的端口组和动作;若对应的策略优先级相同,则比较规则类型优先级,提取优先级最高的规则所绑定的策略中规定的端口组和动作;执行步骤S8;
步骤S6.所有ACL组均属于不同业务,则分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤S8;
步骤S7.有些ACL组属于同一个业务,有些ACL不属于同一个业务,则按照步骤S5的要求选择每个业务中优先级最高的ACL组,再按照步骤S6,分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤S8;
步骤S8.提取各业务MAC信息标记,将数据包打上指定业务标记,并从规定的数据输出端口组输出数据包。
网络分流设备上配置规则时,网络处理器将规则组绑定的端口组号与规则元组共同组成key值写入规则表;通过策略机制将端口组、规则组、业务用户形成映射关系;流量进入设备后,提取流量的入端口组号和五元组信息进行规则匹配,若规则绑定多个业务,则将流量复制多份,封装相应的标签格式输出,达到提高规则网络处理器空间利用率的目的。
数据通信接口,包括输入端口和输出端口:输入端口用于接入网络流量,输出端口用于将处理后的流量输出到下一级设备。
多业务处理引擎,包括多业务规则处理模块和多业务标签封装模块,用以对输入流量进行多种业务规则匹配以及多业务标识封装。多业务规则处理模块,包括规则写表模块和规则匹配模块:规则写表模块将设备上配置的五元组(源IP地址、目的IP地址、源端口号、目的端口号、协议类型)规则和其绑定的监视口端口组号作为key值进行规则条目的维护;规则匹配模块,主要完成对输入流量规则的查找、匹配、优先级处理。多业务标签封装模块用于将匹配多业务规则的流量进行标签格式封装。
策略处理引擎,包括策略绑定模块和策略优先级模块,用以绑定端口组和规则组的唯一映射关系以及输入流量匹配多条规则时进行策略优先级比较。
流量负载均衡模块用于完成输入数据包的负载均衡。
本发明通过引入策略绑定机制,在网络分流设备上先绑定业务用户与策略组的映射关系,策略组唯一映射端口组与规则组,当多业务用户需要配置同样的规则时,只需要多业务用户通过策略绑定同一条规则即可。该方案大大地提高了网络处理器的规则空间利用率,缓解了规则共享的难题。

Claims (1)

1.一种基于网络处理器实现多业务规则共享的方法,其特征在于,包括如下步骤:
(1)数据输入端口组接收数据包,并将收到的数据包发送到多业务处理引擎,多业务处理引擎包括多业务规则处理模块;
(2)多业务规则处理模块从数据包中抽取查表关键字,查找是否存在匹配的规则条目,若不存在,则执行默认转发动作;若命中一个ACL组,则执行步骤(3);若命中多个ACL组,则执行步骤(4);
(3)提取该ACL组绑定的策略中规定的端口组和动作,执行步骤(8);
(4)查看多个ACL组是否同一个业务,若所有ACL组均属于同一个业务,则执行步骤(5);若所有ACL均属于不同业务,则执行步骤(6);若有些ACL组属于同一个业务,有些ACL不属于同一个业务,则执行步骤(7);
(5)所有ACL组均属于同一个业务,则比较配置的策略优先级,提取优先级最高的策略中规定的端口组和动作;若对应的策略优先级相同,则比较规则类型优先级,提取优先级最高的规则所绑定的策略中规定的端口组和动作;执行步骤(8);
(6)所有ACL组均属于不同业务,则分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤(8);
(7)有些ACL组属于同一个业务,有些ACL不属于同一个业务,则按照步骤(5)的要求选择每个业务中优先级最高的ACL组,再按照步骤(6),分别提取各个ACL组绑定的策略中规定的端口组和动作,复制流量并执行步骤(8);
(8)提取各业务MAC信息标记,将数据包打上各业务MAC信息标记,并从规定的数据输出端口组输出数据包。
CN201911408311.0A 2019-12-31 2019-12-31 一种基于网络处理器实现多业务规则共享的方法 Active CN111181870B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911408311.0A CN111181870B (zh) 2019-12-31 2019-12-31 一种基于网络处理器实现多业务规则共享的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911408311.0A CN111181870B (zh) 2019-12-31 2019-12-31 一种基于网络处理器实现多业务规则共享的方法

Publications (2)

Publication Number Publication Date
CN111181870A CN111181870A (zh) 2020-05-19
CN111181870B true CN111181870B (zh) 2022-05-13

Family

ID=70650534

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911408311.0A Active CN111181870B (zh) 2019-12-31 2019-12-31 一种基于网络处理器实现多业务规则共享的方法

Country Status (1)

Country Link
CN (1) CN111181870B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104092678A (zh) * 2014-07-02 2014-10-08 杭州华三通信技术有限公司 一种访问控制列表的配置方法和装置
CN104579940A (zh) * 2013-10-10 2015-04-29 杭州华三通信技术有限公司 查找访问控制列表的方法及装置
CN107342926A (zh) * 2017-06-13 2017-11-10 国家计算机网络与信息安全管理中心 一种多业务快速匹配分发的方法
CN107800627A (zh) * 2016-09-06 2018-03-13 南京中兴软件有限责任公司 三态内容寻址存储器tcam表的写入方法及装置
CN108667644A (zh) * 2017-03-31 2018-10-16 华为数字技术(苏州)有限公司 配置acl业务的方法及转发设备
CN108848204A (zh) * 2018-07-10 2018-11-20 新华三信息安全技术有限公司 一种nat业务快速处理方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9049200B2 (en) * 2012-07-27 2015-06-02 Cisco Technology, Inc. System and method for improving hardware utilization for a bidirectional access controls list in a low latency high-throughput network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104579940A (zh) * 2013-10-10 2015-04-29 杭州华三通信技术有限公司 查找访问控制列表的方法及装置
CN104092678A (zh) * 2014-07-02 2014-10-08 杭州华三通信技术有限公司 一种访问控制列表的配置方法和装置
CN107800627A (zh) * 2016-09-06 2018-03-13 南京中兴软件有限责任公司 三态内容寻址存储器tcam表的写入方法及装置
CN108667644A (zh) * 2017-03-31 2018-10-16 华为数字技术(苏州)有限公司 配置acl业务的方法及转发设备
CN107342926A (zh) * 2017-06-13 2017-11-10 国家计算机网络与信息安全管理中心 一种多业务快速匹配分发的方法
CN108848204A (zh) * 2018-07-10 2018-11-20 新华三信息安全技术有限公司 一种nat业务快速处理方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
QoS与ACL的配置及应用;张巍娜;《赤峰学院学报(自然科学版)》;20090228;第25卷(第2期);全文 *

Also Published As

Publication number Publication date
CN111181870A (zh) 2020-05-19

Similar Documents

Publication Publication Date Title
US11102120B2 (en) Storing keys with variable sizes in a multi-bank database
CN111371779B (zh) 一种基于dpdk虚拟化管理系统的防火墙及其实现方法
US7525958B2 (en) Apparatus and method for two-stage packet classification using most specific filter matching and transport level sharing
US7408932B2 (en) Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing
US7782859B2 (en) Enhanced packet classification
US11362948B2 (en) Exact match and ternary content addressable memory (TCAM) hybrid lookup for network device
US10397116B1 (en) Access control based on range-matching
US10547547B1 (en) Uniform route distribution for a forwarding table
CN103220255B (zh) 一种实现单播反向路径转发urpf检查的方法及装置
US10263957B2 (en) System and method for a fallback access control list port configuration
CN108306832A (zh) 一种网络流量分流方法及装置
CN101222434B (zh) 存储策略控制列表、策略搜索方法和三态寻址存储器
WO2021104393A1 (zh) 多规则流分类的实现方法、设备和存储介质
WO2015043254A1 (zh) 一种包分类规则的查找方法及装置
US11126249B1 (en) Power reduction methods for variable sized tables
US20190296924A1 (en) Forwarding multicast data packet
CN116545921A (zh) 基于ecmp的报文转发方法、装置、设备及存储介质
CN111181870B (zh) 一种基于网络处理器实现多业务规则共享的方法
CN106453091B (zh) 路由器转发平面的等价路由管理方法和装置
EP2112787B1 (en) Data transmission between different VLANs by using MAC addresses
US9590897B1 (en) Methods and systems for network devices and associated network transmissions
US20190044873A1 (en) Method of packet processing using packet filter rules
US10205658B1 (en) Reducing size of policy databases using bidirectional rules
CN108259504A (zh) 一种基于组实现访问控制列表的方法及装置
WO2004102880A1 (en) A method of transmitting message

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant