CN112866208B - 表项配置方法、报文处理方法、装置、设备及存储介质 - Google Patents
表项配置方法、报文处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112866208B CN112866208B CN202011644094.8A CN202011644094A CN112866208B CN 112866208 B CN112866208 B CN 112866208B CN 202011644094 A CN202011644094 A CN 202011644094A CN 112866208 B CN112866208 B CN 112866208B
- Authority
- CN
- China
- Prior art keywords
- message
- processing action
- information
- message information
- classification mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
Abstract
本申请提供一种表项配置方法、报文处理方法、装置、设备及存储介质,涉及通信技术领域。该方案通过根据报文信息对应的处理动作对报文信息进行分类,从而在获得每一处理动作对应的报文信息的报文分类标记时,针对每一处理动作对应的报文信息可配置一条ACL表项即可,相比于现有技术中针对每个报文信息均需要配置一条ACL表项,本申请的方式可有效节约ACL表项资源,进而可满足多业务场景下的表项配置需求。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种表项配置方法、报文处理方法、装置、设备及存储介质。
背景技术
ACL(Access Control List,访问控制列表)是一种流量访问控制技术,其通过在网络设备内的报文转发路径中设置一系列指定报文匹配条件和报文处理动作的表项,以实现对特定报文进行特定控制的功能。
但是网络设备中ACL表项资源一般由其硬件资源决定,其表项资源有限,而现有技术中为了实现报文匹配,针对每种业务场景下,每个匹配信息均会配置一条ACL表项,使得一种业务场景下网络设备中的ACL表项较多,由于其表项资源有限,所以,这种配置方式无法满足多业务场景下的表项配置需求。
发明内容
本申请实施例的目的在于提供一种表项配置方法、报文处理方法、装置、设备及存储介质,用以改善现有技术中的表项配置方式无法满足多业务场景下的表项配置需求。
第一方面,本申请实施例提供了一种表项配置方法,所述方法包括:获取多个报文信息以及每个报文信息对应的处理动作,所述处理动作用于指示对携带有对应报文信息的报文执行对应的动作;根据所述处理动作对所述多个报文信息进行分类,获得每一处理动作对应的报文信息;获取每一处理动作对应的报文信息的报文分类标记;在获取到每一处理动作对应的报文信息的报文分类标记时,将每一报文分类标记作为访问控制列表ACL表项中的匹配项,将对应的处理动作作为所述ACL表项中的动作项,配置每一处理动作对应的ACL表项;其中,ACL表项用于指示对匹配到该表项中的报文分类标记对应的报文执行对应的处理动作。
在上述实现过程中,通过根据报文信息对应的处理动作对报文信息进行分类,从而在获得每一处理动作对应的报文信息的报文分类标记时,可以针对每一处理动作对应的报文信息可配置一条ACL表项,相比于现有技术中针对每个报文信息均需要配置一条ACL表项,本申请的方式可有效节约ACL表项资源,进而可满足多业务场景下的表项配置需求。
可选地,所述获取每一处理动作对应的报文信息的报文分类标记,包括:
获取每一处理动作对应的报文信息的信息类型;
根据所述信息类型判断是否能获取到每一处理动作对应的报文信息的报文分类标记;
若是,则获取每一处理动作对应的报文信息的报文分类标记类型;
根据所述报文分类标记类型获取每一处理动作对应的报文信息的报文分类标记。
在上述实现过程中,针对根据信息类型来判断是否能获取到报文分类标记,从而可以加快表项配置流程。
可选地,所述根据所述报文分类标记类型获取每一处理动作对应的报文信息的报文分类标记,包括:
为每一处理动作对应的报文信息申请对应的报文分类标记类型的报文分类标记;
为对应处理动作对应的报文信息分配申请到的对应的报文分类标记。
在上述实现过程中,在可以为不同的报文信息分配对应的报文分类标记类型的报文分类标记,可适配不同交换芯片的分类资源。
可选地,所述根据所述信息类型判断是否能获取到每一处理动作对应的报文信息的报文分类标记,还包括:
在确定不能获取到某一处理动作对应的报文信息的报文分类标记时,将未获取到报文分类标记的报文信息作为ACL表项中的匹配项,将对应的某一处理动作作为ACL表项中的动作项,配置ACL表项。
在上述实现过程中,在不能获取到某一处理动作对应的报文信息的报文分类标记时,此时原来配置的ACL不能适配对这种报文信息的匹配,所以,可以直接将报文信息作为匹配项,以确保可以通过ACL表项来匹配该类型的报文信息。
可选地,所述方法还包括:
在更新某一处理动作对应的报文信息时,对应更新该对应的报文信息的报文分类标记。
在上述实现过程中,在处理动作不变,仅对报文信息进行更新时,无需对原始配置的ACL表项进行修改,只需更新报文信息的报文分类标记即可,这种方式可利用原始的ACL表项即可适配更新后的报文信息的匹配,更加灵活。
可选地,所述方法还包括:
在将某一报文信息对应的处理动作更新为另一处理动作时,查找所述另一处理动作对应的报文信息是否有对应的报文分类标记;
在所述另一处理动作对应的报文信息有对应的报文分类标记时,更新所述某一报文信息的报文分类标记;
在所述另一处理动作对应的报文信息没有对应的报文分类标记时,为所述另一处理动作对应的报文信息分配报文分类标记,并重新配置另一ACL表项。
在上述实现过程中,在对动作进行修改后,由于动作变化可能导致报文标记变化,所以,通过另外配置新的表项可便于确保原本的表项不受影响。
第二方面,本申请实施例提供了一种报文处理方法,所述方法包括:
获取待处理报文的报文信息;
获取所述报文信息对应的报文分类标记;
将所述报文分类标记与预先配置的ACL表项中的匹配项进行匹配;
在所述报文分类标记与所述匹配项中的匹配信息匹配时,对所述待处理报文执行所述ACL表项中动作项所包含的处理动作;
其中,所述ACL表项为通过上述第一方面提供的方法进行配置的。
在上述实现过程中,通过ACL表项对报文对应的报文分类标记进行匹配,使得可以针对一些报文只需配置一条ACL表项即可,节约了ACL表项资源。
第三方面,本申请实施例提供一种表项配置装置,所述装置包括:
信息获取模块,用于获取多个报文信息以及每个报文信息对应的处理动作,所述处理动作用于指示对携带有对应报文信息的报文执行对应的动作;
信息分类模块,用于根据所述处理动作对所述多个报文信息进行分类,获得每一处理动作对应的报文信息;
标记获取模块,用于获取每一处理动作对应的报文信息的报文分类标记;
表项配置模块,用于在获取到每一处理动作对应的报文信息的报文分类标记时,将每一报文分类标记作为访问控制列表ACL表项中的匹配项,将对应的处理动作作为所述ACL表项中的动作项,配置每一处理动作对应的ACL表项;其中,ACL表项用于指示对匹配到该表项中的报文分类标记对应的报文执行对应的处理动作。
可选地,所述标记获取模块,用于获取每一处理动作对应的报文信息的信息类型;根据所述信息类型判断是否能获取到每一处理动作对应的报文信息的报文分类标记;若是,则获取每一处理动作对应的报文信息的报文分类标记类型;根据所述报文分类标记类型获取每一处理动作对应的报文信息的报文分类标记。
可选地,所述标记获取模块,用于为每一处理动作对应的报文信息申请对应的报文分类标记类型的报文分类标记;为对应处理动作对应的报文信息分配申请到的对应的报文分类标记。
可选地,所述表项配置模块,还用于在确定不能获取到某一处理动作对应的报文信息的报文分类标记时,将未获取到报文分类标记的报文信息作为ACL表项中的匹配项,将对应的某一处理动作作为ACL表项中的动作项,配置ACL表项。
可选地,所述装置还包括:
信息更新模块,用于在更新某一处理动作对应的报文信息时,对应更新该对应的报文信息的报文分类标记。
可选地,所述装置还包括:
动作更新模块,用于:
在将某一报文信息对应的处理动作更新为另一处理动作时,查找所述另一处理动作对应的报文信息是否有对应的报文分类标记;
在所述另一处理动作对应的报文信息有对应的报文分类标记时,更新所述某一报文信息的报文分类标记;
在所述另一处理动作对应的报文信息没有对应的报文分类标记时,为所述另一处理动作对应的报文信息分配报文分类标记,并重新配置另一ACL表项。
第四方面,本申请实施例提供一种报文处理装置,所述装置包括:
地址信息获取模块,用于获取待处理报文的报文信息;
分类标记获取模块,用于获取所述报文信息对应的报文分类标记;
匹配模块,用于将所述报文分类标记与预先配置的ACL表项中的匹配项进行匹配;
处理模块,用于在所述报文分类标记与所述匹配项中的匹配信息匹配时,对所述待处理报文执行所述ACL表项中动作项所包含的处理动作;
其中,所述ACL表项为通过上述第一方面提供的方法进行配置的。
第五方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面或第二方面提供的所述方法中的步骤。
第六方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面或第二方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种用于执行表项配置方法或报文处理方法的电子设备的结构示意图;
图2为本申请实施例提供的一种表项配置方法的流程图;
图3为本申请实施例提供的一种报文处理方法的流程图;
图4为本申请实施例提供的一种表项配置装置的结构框图;
图5为本申请实施例提供的一种报文处理装置的结构框图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本申请实施例提供一种表项配置方法,通过根据报文信息对应的处理动作对报文信息进行分类,从而获得每一处理动作对应的报文信息的报文分类标记,这样针对每一处理动作对应的报文信息可配置一条ACL表项即可,相比于现有技术中针对每个报文信息均需要配置一条ACL表项,本申请的方式可有效节约ACL表项资源。
请参照图1,图1为本申请实施例提供的一种用于执行表项配置方法或报文处理方法的电子设备的结构示意图,所述电子设备可以包括:至少一个处理器110,例如CPU,至少一个通信接口120,至少一个存储器130和至少一个通信总线140。其中,通信总线140用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口120用于与其他节点设备进行信令或数据的通信。存储器130可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器130可选的还可以是至少一个位于远离前述处理器的存储装置。存储器130中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器110执行时,电子设备执行下述图2或图3所示方法过程。
可以理解,图1所示的结构仅为示意,所述电子设备还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
请参照图2,图2为本申请实施例提供的一种表项配置方法的流程图,该方法包括如下步骤:
步骤S110:获取多个报文信息以及每个报文信息对应的处理动作。
交换芯片为了实现对某些报文的处理,可以通过ACL表来对报文进行匹配,然后对匹配上的报文执行ACL表中的动作。
为了实现针对某些报文信息对应的报文进行对应的处理,需要预先在交换芯片中配置ACL表项,在进行配置的过程中,网络管理员可在交换芯片中输入多个报文信息以及每个报文信息对应的处理动作,例如,交换芯片可以向网络管理员提供对应的输入界面,或者网络管理员可通过控制终端向交换芯片发送多个报文信息以及每个报文信息对应的处理动作。
其中,报文信息可以包括报文的MAC地址、IP地址、端口地址、协议类型等信息,在实际应用中,报文信息可用于表示每个不同的报文,其还可以包括其他区别于报文的地址信息。处理动作是指用于指示对携带有对应报文信息的报文执行对应的动作,处理动作可包括有丢弃、通过、复制、统计数量、重定向等动作,当然,在实际应用中,可以根据实际需求设置对应的处理动作。
步骤S120:根据所述处理动作对所述多个报文信息进行分类,获得每一处理动作对应的报文信息。
为了实现对报文进行分类处理,交换芯片在获得多个报文信息和对应的处理动作后,可根据处理动作对多个报文信息进行分类。例如,交换芯片获得的信息包括:MAC A对应的处理动作为丢弃,MAC B对应的处理动作为通过,MAC C对应的处理动作为丢弃,MAC D对应的处理动作为通过,IP E对应的处理动作为丢弃,IP F对应的处理动作为通过,PORT G对应的处理动作为丢弃;其报文信息与处理动作的对应关系如下表1所示:
表1
在进行分类时,则丢弃对应的报文信息包括:MAC A、MAC C、IP E和PORT G,通过对应的报文信息包括:MAC B、MAC D和IP F。这样可获得每一处理动作对应的报文信息。其分类获得的对应信息如下表2所示:
表2
步骤S130:获取每一处理动作对应的报文信息的报文分类标记。
为了对这些分类的报文信息进行标识,可采用交换芯片自带的class id资源来对这些分类的报文信息进行标记,class id可用于对报文进行分类标记。本申请实施例中是基于处理动作对报文信息进行分类的,所以,在获得每一处理动作对应的报文信息后,可针对每一处理动作对应的报文信息申请对应的报文分类标记,即class id。
其报文分类标记可以由交换芯片自动分配,在获得每一处理动作对应的报文信息后,可申请对应的报文分类标记,在申请到对应的报文分类标记时,则可以将报文分类标记作为ACL表项中的匹配项。
例如,若上述的处理动作(通过)对应的报文信息获得的报文分类标记为01,则将报文信息MAC B、MAC D、IP F与报文分类标记01建立对应关系,处理动作(丢弃)对应的报文信息获得的报文分类标记为02,则可报文信息MAC A、MAC C、IP E、PORT G与报文分类标记02建立对应关系,如此可使用报文分类标记来表示对应的报文信息。其与报文分类标记的对应关系如下表3所示:
表3
所以,为了后续对报文进行处理,交换芯片在获得报文分类标记后,可将报文分类标记与对应的报文信息、处理动作按照上表那样建立对应关系。
步骤S140:在获取到每一处理动作对应的报文信息的报文分类标记时,将每一报文分类标记作为ACL表项中的匹配项,将对应的处理动作作为ACL表项中的动作项,配置每一处理动作对应的ACL表项。
获得报文分类标记后,可将报文分类标记作为ACL表项中的匹配项,对应的处理动作作为动作项,配置ACL表项。例如,将上述的报文分类标记01作为一条ACL表项中的匹配项,将其对应的处理动作通过(allow)作为该ACL表项中的动作项,配置一条ACL表项在交换芯片的入端口或出端口处,其配置的位置可根据实际需求灵活设置,该条ACL表项即可用于对报文信息为MAC B、MAC D或IP F的报文执行通过动作。对于报文分类标记02还需配置另外一条ACL表项,配置的过程类似,即将02作为ACL表项中的匹配项,将处理动作丢弃(drop)作为ACL表项中的动作项,配置一条ACL表项,该条ACL表项可用于对报文信息为MAC A、MACC或IP E、PORT G的报文执行丢弃动作,配置的表项如下所示:
匹配项:01,动作项:allow;
匹配项:02,动作项:drop。
也就是说ACL表项用于指示对匹配到该表项中的报文分类标记对应的报文执行对应的处理动作。这样配置两条ACL表项后,利用两条ACL表项可对七个报文信息的报文实现对应的处理,而无需分别配置七条ACL表项,从而可有效节约ACL表项资源。
在上述实现过程中,通过根据报文信息对应的处理动作对报文信息进行分类,从而在获得每一处理动作对应的报文信息的报文分类标记时,可以针对每一处理动作对应的报文信息可配置一条ACL表项,相比于现有技术中针对每个报文信息均需要配置一条ACL表项,本申请的方式可有效节约ACL表项资源,进而可满足多业务场景下的表项配置需求。并且,本方案也无需对报文进行特殊封装处理,发送报文的终端设备也无需对报文进行特殊处理,从而可减少设备对报文的处理动作。
在一些实施方式中,由于交换芯片的配置不同,其针对不同报文信息的类型设置了不同类型的报文分类标记,上述实施例中在获得报文分类标记时,可以先获取每一处理动作对应的报文信息的信息类型,然后根据所述信息类型判断是否能获取到每一处理动作对应的报文信息的报文分类标记,若是,则获取每一处理动作对应的报文信息的报文分类标记类型,再根据报文分类标记类型获取每一处理动作对应的报文信息的报文分类标记。
例如,以上述举例的多个报文信息来说,其可以将其信息类型可以分为单一类型和混合类型,可以理解地,单一类型的报文信息是指交换芯片能够支持对其进行分类的报文信息,混合类型的报文信息是指交换芯片不能够支持对其进行分类的报文信息。例如,单一类型的报文信息可以分为MAC地址类型、IP地址类型、端口地址类型、协议类型等报文信息,在一些情况下,如果交换芯片支持对MAC地址信息+IP地址信息的分类,则该组合报文信息也可称为单一类型的报文信息。
所以,在获得每一处理动作对应的报文信息后,可先根据报文信息的信息类型来判断是否能够获取到对应的报文分类标记,例如,如果每一处理动作对应的报文信息的信息类型包括上述的单一类型,则针对单一类型的报文信息能够获取到对应的报文分类标记,但是若是信息类型包括上述的混合类型时,则针对混合类型的报文信息不能获取到对应的报文分类标记。
例如,丢弃对应的报文信息包括:MAC A、MAC C、IP E以及MAC 1+IP2+PORT 3,其信息类型包括单一类型和混合类型,所以在获取报文分类标记时,可以获取单一类型的报文信息对应的报文分类标记。
针对不同的单一类型的报文分类标记交换芯片可设置有对应的报文分类标记类型,如MAC地址类型对应的报文分类标记类型是为1比特位的数值,IP地址类型对应的报文分类标记类型是为2比特位的数值。
所以,可以根据不同的单一类型的报文信息来获取不同报文分类标记类型中的报文分类标记。在一些实施方式中,若确定某一处理动作对应的报文信息能够获取到对应的报文分类标记时,则可以为每一处理动作对应的报文信息申请对应的报文分类标记类型的报文分类标记,然后为对应处理动作对应的报文信息分配申请到的对应的报文分类标记。
例如,若某一处理动作对应的报文信息的信息类型包括单一类型和混合类型时,此时只针对单一类型的报文信息来申请对应的报文分类标记,在申请报文分类标记时,可以是针对单一类型中不同类型的报文信息来申请对应的报文分类标记类型的报文分类标记,在申请到对应的报文分类标记后,可为对应的报文信息分配对应的报文分类标记。
当然,对于混合类型的报文信息来说,其也可以先申请对应的报文分类标记,但是由于交换芯片不支持对混合类型的报文信息的分类,所以,对于混合类型的报文信息则申请不到对应的报文分类标记,此时,针对混合类型的报文信息的匹配,可以通过常规ACL表项来匹配。
另外,交换芯片还可针对不同的报文标记类型设置对应的报文分类标记范围,如针对MAC地址类型的报文信息的报文分类标记类型,其报文分类标记范围为0-100,而针对IP地址类型的报文信息的报文分类标记类型,其报文分类标记范围为101-200,这样交换芯片在申请报文分类标记时,可申请将对应报文分类标记范围内的任一个数值作为报文分类标记,当然同一个报文分类标记不可重复使用。
例如,交换芯片在申请丢弃动作对应的报文信息中包括MAC地址类型和IP地址类型的报文信息的报文分类标记时,则会申请到两个报文分类标记,如为2和102,而在配置ACL表项时,可以将一个报文分类标记作为一条ACL表项中的匹配项,这样就需要配置两条ACL表项。
在上述实现过程中,可以为不同的报文信息分配对应的报文分类标记类型的报文分类标记,可适配不同交换芯片的分类资源。
在一些实施方式中,在有些交换芯片不支持对混合类型的报文信息进行分类标记,而只支持对单一类型的报文信息进行分类标记时,可以按照传统的方式配置ACL表项。如在确定不能获取到某一处理动作对应的报文信息的报文分类标记时,可以将未获取到报文分类标记的报文信息作为ACL表项中的匹配项,将对应的处理动作作为ACL表项中的动作项,配置ACL表项。
其中,确定不能获取到某一处理动作对应的报文信息的报文分类标记的方式可以包括:根据某一处理动作对应的报文信息的信息类型来确定,即上述的单一类型和混合类型,若是混合类型,则确定无法获取到;或者还可以直接根据某一处理动作的报文信息来申请对应的报文分类标记,在申请不到对应的报文分类标记时,如在申请报文分类标记时,交换芯片提示报错,或者无法支持分类等情况,则确定不能获取到对应的报文分类标记。
所以,对于获取不到报文分类标记的报文信息可以称为混合类型的报文信息,对于混合类型的报文信息的ACL表项的配置可以采用传统的配置方式,如需匹配的报文信息还包括混合类型的报文信息如MAC a+IP b+PORT c,其对应的处理动作为丢弃,其报文信息与处理动作的对应关系如下述表4所示:
由于交换芯片不支持对该混合类型的报文信息进行分类,所以申请该类型的报文信息的报文分类标记,此时可直接将报文信息MAC a+IP b+PORT c作为ACL表项的匹配项进行配置,配置的ACL表项如:
匹配项:MAC a+IP b+PORT c,动作项:drop。
在上述实现过程中,在不能获取到某一处理动作对应的报文信息的报文分类标记时,此时原来配置的ACL不能适配对这种报文信息的匹配,所以,可以直接将报文信息作为匹配项,以确保可以通过ACL表项来匹配该复合类型的报文信息。
所以,本申请实施例中配置的ACL表项包括两种类型的表项,一种类型是匹配项为报文分类标记的表项,另一种类型是匹配项为报文信息的表项。在配置好这些表项后,后续在涉及到对报文信息与处理动作进行更新时,可能需要对表项进行重新配置的情况。
其中,在更新某一处理动作对应的报文信息时,对应更新该对应的报文信息的报文分类标记。
本申请实施例中的某一处理动作可以理解为是上述的多个报文信息对应的处理动作中的其中一个需要进行更新的处理动作,即需要更新的报文信息对应的处理动作,如在将表4中drop对应的报文信息中的MAC A更新为MAC d时,该处理动作drop即可称为某一处理动作,由于更新为MAC d后,其MAC d为单一类型的报文信息,交换芯片支持对其进行分类标记,所以,可获得其报文分类标记为02,由于按照上述方式已经配置了该报文分类标记与对应的处理动作的ACL表项,所以,这种情况下可无需对ACL表项进行修改,只需要将上表4中报文信息与报文分类标记的对应关系进行修改即可,即将报文信息MAC d分配报文分类标记02。
另外,报文信息的更新不仅仅包括对原始报文信息的更改,还可以包括报文信息的新增或减少,如在上表4中的处理动作allow对应的报文信息中增加一个单一类型的报文信息,此时也无需修改ACL表项,只需要在上表4的对应关系中添加新增的报文信息与报文分类标记的对应关系即可,而在减少某个报文信息时,若减少的报文信息对原始的报文信息的匹配不影响时,则也无需修改ACL表项,如减少上表4中第一个drop和allow对应的其中一个报文信息,即减少的也是单一类型的报文信息。
还有一种情况是,在将其中单一类型的报文信息修改为混合类型的报文信息时,需要重新配置一条ACL表项,如在将上述drop对应的报文信息MAC A修改为MAC 1+PORT2时,由于原始配置的ACL表项不能对该混合类型的报文信息的匹配,则需要重新配置一条ACL表项,新配置的ACL表项中的匹配项为MAC 1+PORT2,动作项为drop。
还有一种情况是,在将混合类型的报文信息进行更新时,如在将上表4中的报文信息MAC a+IP b+PORT c修改为混合类型的MAC 1+IP 2+PORT3时,则可以直接将原始的ACL表项中的匹配项修改为MAC 1+IP 2+PORT3即可,无需重新配置新的ACL表项。
当然,在需要增加一个混合类型的报文信息的匹配时,可以重新配置一条针对该报文信息的ACL表项即可,在删除原有的混合类型的报文信息时,可将原先配置的ACL表项也一并删除即可。
若需要将混合类型的报文信息修改为单一类型的报文信息时,此时可查找该单一类型的报文信息是否有对应的报文分类标记,若有,则修改对应关系即可,无需修改ACL表项,若没有,则可能需要重新配置新的ACL表项。如在将上述的MAC a+IP b+PORT c修改为MAC 1时,此时可查找其对应的处理动作drop是否有对应的报文分类标记,按照上表4中的对应关系,可获得其对应的报文分类标记为02,此时原来已经配置了对应的ACL表项了,则可直接修改原始的对应关系即可,而由于用于匹配报文信息MAC a+IP b+PORT c的ACL表项已经没用了,则可以将其进行删除,以避免其占用表项资源。但是,若修改后的单一类型的报文信息的处理动作没有对应的报文分类标记时,如其处理动作为重定向,按照上表4的对应关系,则没有对应的报文分类标记,此时可以重新为其分配一个报文分类标记,然后按照上述新建ACL表项的流程重新配置一条ACL表项。
在上述实现过程中,在处理动作不变,仅对报文信息进行更新时,无需对原始配置的ACL表项进行修改,只需更新报文信息的报文分类标记即可,这种方式可利用原始的ACL表项即可适配更新后的报文信息的匹配,更加灵活。
在一些实施方式中,在涉及到对处理动作的修改时,对应更新的过程如下:
在将某一报文信息对应的处理动作更新为另一处理动作时,查找所述另一处理动作对应的报文信息是否有对应的报文分类标记;
在所述另一处理动作对应的报文信息有对应的报文分类标记时,更新所述某一报文信息的报文分类标记;
在所述另一处理动作对应的报文信息没有对应的报文分类标记时,为所述另一处理动作对应的报文信息分配报文分类标记,并重新配置另一ACL表项。
其中,某一报文信息可以是指其处理动作需要更新的报文信息,依然以上述的表4为例,在表4中,若需要将MAC A-drop这一对应关系修改为MAC A-allow,此时其某一报文信息即为MAC A。在更新过程中,可查找处理动作allow是否已经有对应的报文信息,若有,则判断其报文信息是否已经存在对应的报文分类标记,根据上表4可知已经存在报文分类标记01,所以,此时无需重新配置ACL表项,也无需修改原始的ACL表项,而是直接修改上述的对应关系即可。若需要将MAC A-drop这一对应关系修改为MAC A-统计(count)时,经过查找没有找到count对应的报文信息对应的报文分类标记,此时可以申请重新为其分配一个报文分类标记,然后再配置一条新的ACL表项。
在对混合类型的报文信息的处理动作进行修改时,可以直接修改原始ACL表项中的动作项即可,无需重新配置ACL表项。
在上述实现过程中,在对动作进行修改后,由于动作变化可能导致报文标记变化,所以,通过另外配置新的表项可便于确保原本的表项不受影响。
请参照图3,图3为本申请实施例提供的一种报文处理方法的流程图,该方法包括如下步骤:
步骤S210:获取待处理报文的报文信息。
待处理报文可以是指交换芯片接收到的报文,交换芯片中若需要对接收到的报文执行某些处理时,交换芯片可以向对待处理报文进行解析,获得其报文信息,如MAC地址、IP地址和端口地址等信息。
步骤S220:获取报文信息对应的报文分类标记。
交换芯片预先存储有报文信息对应的报文分类标记,则可通过报文信息查找其对应的报文分类标记。
步骤S230:将所述报文分类标记与预先配置的ACL表项中的匹配项进行匹配。
步骤S240:在所述报文分类标记与所述匹配项中的匹配信息匹配时,对所述待处理报文执行所述ACL表项中动作项所包含的处理动作。
在获得报文分类标记后可将报文分类标记与通过上述实施例配置的ACL表项进行匹配,在匹配上后,则可按照ACL表项中的动作项对待处理报文执行对应的处理动作。
可以理解地,对于上述实施例描述的若匹配的报文信息为上述的混合类型时,其没有对应的报文分类标记,则可直接将报文信息与ACL表项进行匹配,由于某些ACL表项中的匹配项是报文信息,所以可以将报文信息进行匹配,在匹配上时,则执行对应ACL表项中的处理动作即可。
在上述实现过程中,通过ACL表项对报文对应的报文分类标记进行匹配,使得可以针对一些报文只需配置一条ACL表项即可,节约了ACL表项资源。
请参照图4,图4为本申请实施例提供的一种表项配置装置200的结构框图,该装置200可以是电子设备上的模块、程序段或代码。应理解,该装置200与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
信息获取模块210,用于获取多个报文信息以及每个报文信息对应的处理动作,所述处理动作用于指示对携带有对应报文信息的报文执行对应的动作;
信息分类模块220,用于根据所述处理动作对所述多个报文信息进行分类,获得每一处理动作对应的报文信息;
标记获取模块230,用于获取每一处理动作对应的报文信息的报文分类标记;
表项配置模块240,用于在获取到每一处理动作对应的报文信息的报文分类标记时,将每一报文分类标记作为访问控制列表ACL表项中的匹配项,将对应的处理动作作为所述ACL表项中的动作项,配置每一处理动作对应的ACL表项;其中,ACL表项用于指示对匹配到该表项中的报文分类标记对应的报文执行对应的处理动作。
可选地,所述标记获取模块230,用于获取每一处理动作对应的报文信息的信息类型;根据所述信息类型判断是否能获取到每一处理动作对应的报文信息的报文分类标记;若是,则根据所述信息类型获取每一处理动作对应的报文信息的报文分类标记类型;根据所述报文分类标记类型获取每一处理动作对应的报文信息的报文分类标记。
可选地,所述标记获取模块230,用于为每一处理动作对应的报文信息申请对应的报文分类标记类型的报文分类标记;为对应处理动作对应的报文信息分配申请到的对应的报文分类标记。
可选地,所述表项配置模块240,还用于在确定不能获取到某一处理动作对应的报文信息的报文分类标记时,将未获取到报文分类标记的报文信息作为ACL表项中的匹配项,将对应的某一处理动作作为ACL表项中的动作项,配置ACL表项。
可选地,所述装置200还包括:
信息更新模块,用于在更新某一处理动作对应的报文信息时,对应更新该对应的报文信息的报文分类标记。
可选地,所述装置200还包括:
动作更新模块,用于:
在将某一报文信息对应的处理动作更新为另一处理动作时,查找所述另一处理动作对应的报文信息是否有对应的报文分类标记;
在所述另一处理动作对应的报文信息有对应的报文分类标记时,更新所述某一报文信息的报文分类标记;
在所述另一处理动作对应的报文信息没有对应的报文分类标记时,为所述另一处理动作对应的报文信息分配报文分类标记,并重新配置另一ACL表项。
请参照图5,图5为本申请实施例提供的一种报文处理装置300的结构框图,该装置300可以是电子设备上的模块、程序段或代码。应理解,该装置300与上述图3方法实施例对应,能够执行图3方法实施例涉及的各个步骤,该装置300具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置300包括:
地址信息获取模块310,用于获取待处理报文的报文信息;
分类标记获取模块320,用于获取所述报文信息对应的报文分类标记;
匹配模块330,用于将所述报文分类标记与预先配置的ACL表项中的匹配项进行匹配;
处理模块340,用于在所述报文分类标记与所述匹配项中的匹配信息匹配时,对所述待处理报文执行所述ACL表项中动作项所包含的处理动作;
其中,所述ACL表项为通过上述实施例提供的表项配置方法进行配置的。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,执行如图2或图3所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:获取多个报文信息以及每个报文信息对应的处理动作,所述处理动作用于指示对携带有对应报文信息的报文执行对应的动作;根据所述处理动作对所述多个报文信息进行分类,获得每一处理动作对应的报文信息;获取每一处理动作对应的报文信息的报文分类标记;在获取到每一处理动作对应的报文信息的报文分类标记时,将每一报文分类标记作为访问控制列表ACL表项中的匹配项,将对应的处理动作作为所述ACL表项中的动作项,配置每一处理动作对应的ACL表项;其中,ACL表项用于指示对匹配到该表项中的报文分类标记对应的报文执行对应的处理动作。
综上所述,本申请实施例提供一种表项配置方法、报文处理方法、装置、设备及存储介质,通过根据报文信息对应的处理动作对报文信息进行分类,从而在获得每一处理动作对应的报文信息的报文分类标记时,针对每一处理动作对应的报文信息可配置一条ACL表项即可,相比于现有技术中针对每个报文信息均需要配置一条ACL表项,本申请的方式可有效节约ACL表项资源,进而可满足多业务场景下的表项配置需求。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (11)
1.一种表项配置方法,其特征在于,所述方法包括:
获取多个报文信息以及每个报文信息对应的处理动作,所述处理动作用于指示对携带有对应报文信息的报文执行对应的动作;
根据所述处理动作对所述多个报文信息进行分类,获得每一处理动作对应的报文信息;
获取每一处理动作对应的报文信息的报文分类标记;
在获取到每一处理动作对应的报文信息的报文分类标记时,将每一报文分类标记作为访问控制列表ACL表项中的匹配项,将对应的处理动作作为所述ACL表项中的动作项,配置每一处理动作对应的ACL表项;其中,ACL表项用于指示对匹配到该表项中的报文分类标记对应的报文执行对应的处理动作。
2.根据权利要求1所述的方法,其特征在于,所述获取每一处理动作对应的报文信息的报文分类标记,包括:
获取每一处理动作对应的报文信息的信息类型;
根据所述信息类型判断是否能获取到每一处理动作对应的报文信息的报文分类标记;
若是,则获取每一处理动作对应的报文信息的报文分类标记类型;
根据所述报文分类标记类型获取每一处理动作对应的报文信息的报文分类标记。
3.根据权利要求2所述的方法,其特征在于,所述根据所述报文分类标记类型获取每一处理动作对应的报文信息的报文分类标记,包括:
为每一处理动作对应的报文信息申请对应的报文分类标记类型的报文分类标记;
为对应处理动作对应的报文信息分配申请到的对应的报文分类标记。
4.根据权利要求2所述的方法,其特征在于,所述根据所述信息类型判断是否能获取到每一处理动作对应的报文信息的报文分类标记之后,还包括:
在确定不能获取到某一处理动作对应的报文信息的报文分类标记时,将未获取到报文分类标记的报文信息作为ACL表项中的匹配项,将对应的某一处理动作作为ACL表项中的动作项,配置ACL表项。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在更新某一处理动作对应的报文信息时,对应更新该对应的报文信息的报文分类标记。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在将某一报文信息对应的处理动作更新为另一处理动作时,查找所述另一处理动作对应的报文信息是否有对应的报文分类标记;
在所述另一处理动作对应的报文信息有对应的报文分类标记时,更新所述某一报文信息的报文分类标记;
在所述另一处理动作对应的报文信息没有对应的报文分类标记时,为所述另一处理动作对应的报文信息分配报文分类标记,并重新配置另一ACL表项。
7.一种报文处理方法,其特征在于,所述方法包括:
获取待处理报文的报文信息;
获取所述报文信息对应的报文分类标记;
将所述报文分类标记与预先配置的ACL表项中的匹配项进行匹配;
在所述报文分类标记与所述匹配项中的匹配信息匹配时,对所述待处理报文执行所述ACL表项中动作项所包含的处理动作;
其中,所述ACL表项为通过权利要求1-6任一所述的方法进行配置的。
8.一种表项配置装置,其特征在于,所述装置包括:
信息获取模块,用于获取多个报文信息以及每个报文信息对应的处理动作,所述处理动作用于指示对携带有对应报文信息的报文执行对应的动作;
信息分类模块,用于根据所述处理动作对所述多个报文信息进行分类,获得每一处理动作对应的报文信息;
标记获取模块,用于获取每一处理动作对应的报文信息的报文分类标记;
表项配置模块,用于在获取到每一处理动作对应的报文信息的报文分类标记时,将每一报文分类标记作为访问控制列表ACL表项中的匹配项,将对应的处理动作作为所述ACL表项中的动作项,配置每一处理动作对应的ACL表项;其中,ACL表项用于指示对匹配到该表项中的报文分类标记对应的报文执行对应的处理动作。
9.一种报文处理装置,其特征在于,所述装置包括:
地址信息获取模块,用于获取待处理报文的报文信息;
分类标记获取模块,用于获取所述报文信息对应的报文分类标记;
匹配模块,用于将所述报文分类标记与预先配置的ACL表项中的匹配项进行匹配;
处理模块,用于在所述报文分类标记与所述匹配项中的匹配信息匹配时,对所述待处理报文执行所述ACL表项中动作项所包含的处理动作;
其中,所述ACL表项为通过权利要求1-6任一所述的方法进行配置的。
10.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述的方法。
11.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011644094.8A CN112866208B (zh) | 2020-12-31 | 2020-12-31 | 表项配置方法、报文处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011644094.8A CN112866208B (zh) | 2020-12-31 | 2020-12-31 | 表项配置方法、报文处理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112866208A CN112866208A (zh) | 2021-05-28 |
| CN112866208B true CN112866208B (zh) | 2022-11-08 |
Family
ID=76000974
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011644094.8A Active CN112866208B (zh) | 2020-12-31 | 2020-12-31 | 表项配置方法、报文处理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866208B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113438245B (zh) * | 2021-06-29 | 2023-04-07 | 新华三信息安全技术有限公司 | 一种信息更新、报文安全性检测方法及装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7380271B2 (en) * | 2001-07-12 | 2008-05-27 | International Business Machines Corporation | Grouped access control list actions |
| CN100466594C (zh) * | 2004-10-09 | 2009-03-04 | 华为技术有限公司 | 一种对报文进行分类处理的方法 |
| CN103281246A (zh) * | 2013-05-20 | 2013-09-04 | 华为技术有限公司 | 报文处理方法及网络设备 |
| BR112017006477A2 (pt) * | 2014-09-30 | 2017-12-19 | Huawei Tech Co Ltd | método de paging, dispositivo relacionado e sistema |
| CN105991444B (zh) * | 2015-08-06 | 2019-05-07 | 杭州迪普科技股份有限公司 | 业务处理的方法和装置 |
| CN107786497B (zh) * | 2016-08-25 | 2020-04-14 | 华为技术有限公司 | 生成acl表的方法和装置 |
| CN106899506B (zh) * | 2017-01-25 | 2019-12-06 | 新华三技术有限公司 | 一种协议报文转发的方法和装置 |
| CN108063718B (zh) * | 2017-12-18 | 2021-02-05 | 迈普通信技术股份有限公司 | 报文处理方法、装置及电子设备 |
| CN110808913B (zh) * | 2018-08-30 | 2021-02-23 | 华为技术有限公司 | 报文处理的方法、装置及相关设备 |
| CN111600849B (zh) * | 2020-04-23 | 2022-07-12 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、设备及机器可读存储介质 |
| CN111628939B (zh) * | 2020-05-20 | 2023-06-13 | 新华三信息安全技术有限公司 | 一种流分类处理方法和装置 |
-
2020
- 2020-12-31 CN CN202011644094.8A patent/CN112866208B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112866208A (zh) | 2021-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3863240A1 (en) | Method for forwarding packet in hybrid network, device, and system | |
| CN108768866B (zh) | 组播报文跨卡转发方法、装置、网络设备及可读存储介质 | |
| CN110830371B (zh) | 报文重定向方法、装置、电子设备及可读存储介质 | |
| EP3681081A1 (en) | Data transmission method, device and system | |
| CN109495567B (zh) | 一种静态路由的部署方法、设备及系统 | |
| CN113824638A (zh) | 一种转发报文的方法、设备和系统 | |
| EP3751805A1 (en) | Method and device for processing multicast data packet | |
| CN113542128B (zh) | 一种发送路由信息的方法和装置 | |
| CN114285781B (zh) | Srv6业务流量统计方法、装置、电子设备及介质 | |
| CN112398755A (zh) | 一种流量转发方法、业务卡和系统 | |
| CN113141405A (zh) | 服务访问方法、中间件系统、电子设备和存储介质 | |
| CN112866208B (zh) | 表项配置方法、报文处理方法、装置、设备及存储介质 | |
| CN114024900A (zh) | 一种数据处理方法及相关设备 | |
| CN106850268B (zh) | 一种线性保护倒换的实现装置及方法 | |
| CN112702254B (zh) | 报文处理方法、装置及电子设备 | |
| EP3691210B1 (en) | Flexible ethernet message forwarding method and apparatus | |
| CN115242892B (zh) | 一种流标识获取方法、装置、设备及介质 | |
| CN108293006B (zh) | 用于跟踪无序网络分组的技术 | |
| CN105323234A (zh) | 业务节点能力处理方法、装置、业务分类器及业务控制器 | |
| CN110830477B (zh) | 一种业务的识别方法、装置、网关、系统及存储介质 | |
| CN116185598A (zh) | 地址处理方法、装置、电子设备及可读存储介质 | |
| CN112995062A (zh) | 一种数据传输方法及装置 | |
| CN112822123A (zh) | 一种数据采集方法及装置 | |
| CN107454021B (zh) | 一种通信方法及装置 | |
| CN111865805A (zh) | 一种组播gre报文处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |