CN113452594B - 一种隧道报文的内层报文匹配方法及装置 - Google Patents

一种隧道报文的内层报文匹配方法及装置 Download PDF

Info

Publication number
CN113452594B
CN113452594B CN202110720307.9A CN202110720307A CN113452594B CN 113452594 B CN113452594 B CN 113452594B CN 202110720307 A CN202110720307 A CN 202110720307A CN 113452594 B CN113452594 B CN 113452594B
Authority
CN
China
Prior art keywords
message
micro
matching
tunnel
segment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110720307.9A
Other languages
English (en)
Other versions
CN113452594A (zh
Inventor
严进波
李光
袁锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202110720307.9A priority Critical patent/CN113452594B/zh
Publication of CN113452594A publication Critical patent/CN113452594A/zh
Application granted granted Critical
Publication of CN113452594B publication Critical patent/CN113452594B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/825Involving tunnels, e.g. MPLS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets

Abstract

本申请实施例提供了一种隧道报文的内层报文匹配方法及装置,获取待匹配的隧道报文;对隧道报文进行解封装,得到隧道报文的内层报文;识别内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;基于目标微分段组匹配访问控制列表ACL,其中,ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;确定与目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。实现减少匹配隧道报文的内层报文需要耗费的ACL资源。

Description

一种隧道报文的内层报文匹配方法及装置
技术领域
本申请涉及通信技术领域,特别是涉及一种隧道报文的内层报文匹配方法及装置。
背景技术
ACL(Access Control Lists,访问控制列表)是应用在路由器接口的指令列表,用于指示路由器哪些数据包可以收、哪些数据包需要拒绝。
隧道报文是指利用一种网络协议来传输另一种网络协议的技术,隧道报文通常包括内层报文和外层隧道封装。
针对隧道网络,隧道的出端口需要识别隧道报文的内层报文的协议,例如OSPF(Open Shortest Path First,开放式最短路径优先)协议,DHCP(Dynamic HostConfiguration Protocol,动态主机配置)协议等。识别内层报文的协议后,匹配ACL,匹配成功则上送交换机芯片的CPU。
现有的交换机芯片中,部分交换机芯片支持匹配隧道内层报文,即可以通过匹配ACL方式筛选报文并进行后续处理,但针对每种协议报文,都要向端口下发ACL匹配项,耗费较多的ACL资源。
另一部分交换机芯片不支持匹配隧道内层报文,这种情况下,通常采用UDF(userdefined field,用户自定义字段)方式对隧道报文进行偏移匹配,不同隧道报文偏移计算不一致,较为繁琐。且这种方式下,仍然需要针对每种报文下发ACL。此外,交换机芯片一般只支持一定长度的UDF偏移,对于IPV6(Internet Protocol Version 6,互联网协议第6版)隧道报文,超出了芯片支持的UDF偏移,导致无法正常匹配。
发明内容
本申请实施例的目的在于提供一种报文匹配方法及装置,以实现减少匹配隧道报文的内层报文需要耗费的ACL资源。具体技术方案如下:
为实现上述目的,本申请实施例提供了一种隧道报文的内层报文匹配方法,所述方法包括:
获取待匹配的隧道报文;
对所述隧道报文进行解封装,得到所述隧道报文的内层报文;
识别所述内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定所述目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;
基于所述目标微分段组匹配访问控制列表ACL,其中,所述ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;
确定与所述目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
可选的,所述协议标识为协议的组播IP地址。
可选的,所述报文处理动作包括:上送报文至CPU、转发报文、或丢弃报文。
可选的,所述预先配置的微分段的配置信息还包括:微分段的组策略GBP,
所述ACL中各匹配项对应的报文处理动作是基于所述GBP生成的。
为实现上述目的,本申请实施例提供了一种隧道报文的内层报文匹配装置,所述装置包括:
获取模块,用于获取待匹配的隧道报文;
解封装模块,用于对所述隧道报文进行解封装,得到所述隧道报文的内层报文;
确定模块,用于识别所述内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定所述目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;
匹配模块,用于基于所述目标微分段组匹配访问控制列表ACL,其中,所述ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;
动作执行模块,用于确定与所述目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
可选的,所述协议标识为协议的组播IP地址。
可选的,所述报文处理动作包括:上送报文至CPU、转发报文、或丢弃报文。
可选的,所述预先配置的微分段的配置信息还包括:微分段的组策略GBP,
所述ACL中各匹配项对应的报文处理动作是基于所述GBP生成的。
为实现上述目的,本申请实施例还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一方法步骤。
为实现上述目的,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法步骤。
本申请实施例有益效果:
采用本申请实施例提供的隧道报文的内层报文匹配方法及装置,获取待匹配的隧道报文;对隧道报文进行解封装,得到隧道报文的内层报文;识别内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;基于目标微分段组匹配访问控制列表ACL,其中,ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;确定与目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
可见,通过配置微分段方式对隧道报文的内层报文协议进行分组,将现有技术中针对内层报文的协议匹配转换为针对微分段组的匹配,无需针对每种待匹配协议下发ACL匹配项,只需下发每个微分段组的ACL匹配项即可。针对支持匹配隧道内层报文的交换机芯片,能够减少匹配隧道报文的内层报文需要耗费的ACL资源;针对不支持匹配隧道内层报文的交换机芯片,尽管不支持直接匹配内层报文协议,但可以采用本申请实施例中匹配微分段组的方式,实现对内层报文的处理,从而无需采用UDF方式对隧道报文进行偏移匹配,避免UDF偏移过大导致无法正常匹配。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的实施例。
图1为本申请实施例提供的隧道报文的内层报文匹配方法的一种流程示意图;
图2为本申请实施例提供的隧道报文的内层报文匹配方法的一种结构示意图;
图3为本申请实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本申请保护的范围。
为了解决现有技术中匹配隧道报文的内层报文需要耗费较多ACL资源的技术问题,本申请实施例提供了一种隧道报文的内层报文匹配方法及装置。
参见图1,图1为本申请实施例提供的隧道报文的内层报文匹配方法的一种流程示意图,如图1所示,方法可以包括以下步骤:
S101:获取待匹配的隧道报文。
本申请实施例提供的隧道报文的内层报文匹配方法可以应用于网络中的交换机芯片,具体可以为网络中配置为隧道公网口的端口,即隧道的出端口。
本领域技术人员可以理解,在隧道报文的传输过程中,隧道公网口需要预先加入相关协议的域。例如,一组交换机启用OSPF协议,逻辑上组成的一个OSPF协议的域。从而,域内的隧道公网口可以接收内层为OSPF协议的隧道报文。
本申请实施例中,隧道公网口加入多种协议的域后,可以接收多种待匹配的隧道报文,这些隧道报文的内层报文的协议可以包括多种。
S102:对隧道报文进行解封装,得到隧道报文的内层报文。
本申请实施例中,隧道公网口接收到隧道报文后,需要先对隧道报文进行解封装。具体的,识别隧道封装所采用的封装协议,然后采用相应的方式进行解封装。
例如,若隧道报文的外层封装采用GRE(Generic Routing Encapsulation,通用路由)封装,则可以调用GRE的解封装处理函数实现解封装,得到隧道报文的内层报文。
S103:识别内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息。
本申请实施例中,为了减少ACL资源的消耗,可以结合微分段技术对内层报文进行匹配。其中,微分段(Microsegmentation)可以理解为基于精细分组的安全隔离。
本申请实施例中,可以预先配置微分段的配置信息,具体包括预设多个协议标识的微分段组分组信息。
具体的,可以预先确定需要匹配的内层报文协议,例如,OSPF协议,DHCP协议,BGP(Border Gateway Protocol,边界网关协议),BFD(Bidirectional ForwardingDetection,双向转发检测)协议和ISIS(Intermediate system to intermediate system,中间系统到中间系统)协议等。
然后对这些内层报文协议的协议标识进行分组,每个微分段组包含多种协议的协议标识。
其中,协议标识可以是协议的组播IP地址。例如,OSPF协议的组播IP地址224.0.0.5作为OSPF协议的协议标识;DHCP协议的组播IP地址224.0.0.12作为DHCP协议的协议标识。
本申请实施例中,对隧道报文进行解封装,得到内层报文后,识别内层报文的目标协议标识,基于上述预设多个协议标识的微分段组分组信息,确定目标协议标识的目标微分段组。
S104:基于目标微分段组匹配访问控制列表ACL,其中,ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作。
S105:确定与目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
本申请实施例中,可以预先配置ACL,并下发至已加入协议域的隧道出端口。预先配置的ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作。
本申请实施例中,不需要针对每种协议都下发对应的ACL匹配项,减少了匹配隧道报文的内层报文需要耗费的ACL资源。例如,待匹配的协议有9种,所划分的微分段组有3个,则匹配隧道报文的内层报文时,无需针对9种协议下发ACL匹配项,仅需下发与微分段组数目相同的ACL匹配项即可。
匹配项也可以理解为匹配规则,作为一个示例,可以将微分段组的标识作为匹配项。
从而,隧道出端口可以基于目标微分段匹配ACL,能够得到与目标微分段组相匹配的匹配项,进而执行该匹配项对应的报文处理动作。
本申请实施例中,报文处理动作可以包括:上送报文至CPU、转发报文、或丢弃报文等。
作为一个示例,隧道出端口已加入多个协议域,对接收到的隧道报文进行解封装,得到内层报文,识别内层报文的协议标识,若内层报文的协议标识为:224.0.0.5,表示内层报文为OSPF协议,然后根据预设多个协议标识的微分段组分组信息,确定OSPF协议标识所属的微分段组,例如微分段组a,根据该微分段组的匹配ACL,得到匹配项。该ACL中包含微分段组a,微分段组b和微分段组c的匹配项,以及每个匹配项对应的报文处理动作。若该微分段组a的匹配项对应的报文处理动作为上送CPU,则隧道出端口将报文上述至交换机CPU,以使交换机CPU执行后续处理。
采用本申请实施例提供的隧道报文的内层报文匹配方法,获取待匹配的隧道报文;对隧道报文进行解封装,得到隧道报文的内层报文;识别内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;基于目标微分段组匹配访问控制列表ACL,其中,ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;确定与目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
可见,通过配置微分段方式对隧道报文的内层报文协议进行分组,将现有技术中针对内层报文的协议匹配转换为针对微分段组的匹配,无需针对每种待匹配协议下发ACL匹配项,只需下发每个微分段组的ACL匹配项即可。针对支持匹配隧道内层报文的交换机芯片,能够减少匹配隧道报文的内层报文需要耗费的ACL资源;针对不支持匹配隧道内层报文的交换机芯片,尽管不支持直接匹配内层报文协议,但可以采用本申请实施例中匹配微分段组的方式,实现对内层报文的处理,从而无需采用UDF方式对隧道报文进行偏移匹配,避免UDF偏移过大导致无法正常匹配。
此外,针对普通端口,即非隧道端口,也可以下发与隧道端口相同的ACL匹配项,与隧道端口的处理过程相比,区别仅在于不用对报文进行解封装。
具体的,普通端口收到非隧道报文后,识别报文的协议标识,确定对应的微分段组,然后匹配ACL匹配项,也可以实现对非隧道报文的处理。可见,针对非隧道端口,可以下发与隧道端口相同的ACL匹配项,进一步节省了ACL资源。
在本申请的一种实施例中,预先配置的微分段的配置信息还可以包括:微分段的组策略GBP。GBP可以理解为基于微分段的流量控制策略。
具体的,微分段的组策略包含针对每一微分段组的报文处理动作,作为一个示例,微分段组包括:微分段组a,微分段组b和微分段组c;微分段的组策略包含针对每一微分段组的报文处理动作,具体为:微分段组a的报文处理动作为上送报文至CPU;微分段组b的报文处理动作为向特定端口转发报文;微分段组c的报文处理动作为丢弃报文。
本申请实施例中,可以根据微分段的组策略生成ACL中各匹配项对应的报文处理动作。
承接上例,若ACL匹配项为微分段组a的标识,则对应的报文处理动作为上送报文至CPU;若ACL匹配项为微分段组b的标识,则对应的报文处理动作为向特定端口转发报文;若ACL匹配项为微分段组c的标识,则对应的报文处理动作为丢弃报文。
相应于本申请实施例提供的隧道报文的内层报文匹配方法,本申请实施例还提供了一种隧道报文的内层报文匹配装置,参见图2,图2为本申请实施例提供的隧道报文的内层报文匹配装置的一种结构示意图,包括以下模块:
获取模块201,用于获取待匹配的隧道报文;
解封装模块202,用于对隧道报文进行解封装,得到隧道报文的内层报文;
确定模块203,用于识别内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;
匹配模块204,用于基于目标微分段组匹配访问控制列表ACL,其中,ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;
动作执行模块205,用于确定与目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
在本申请的一种实施例中,协议标识为协议的组播IP地址。
在本申请的一种实施例中,报文处理动作包括:上送报文至CPU、转发报文、或丢弃报文。
在本申请的一种实施例中,预先配置的微分段的配置信息还包括:微分段的组策略GBP,
ACL中各匹配项对应的报文处理动作是基于GBP生成的。
采用本申请实施例提供的隧道报文的内层报文匹配装置,获取待匹配的隧道报文;对隧道报文进行解封装,得到隧道报文的内层报文;识别内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;基于目标微分段组匹配访问控制列表ACL,其中,ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;确定与目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
可见,通过配置微分段方式对隧道报文的内层报文协议进行分组,将现有技术中针对内层报文的协议匹配转换为针对微分段组的匹配,无需针对每种待匹配协议下发ACL匹配项,只需下发每个微分段组的ACL匹配项即可。针对支持匹配隧道内层报文的交换机芯片,能够减少匹配隧道报文的内层报文需要耗费的ACL资源;针对不支持匹配隧道内层报文的交换机芯片,尽管不支持直接匹配内层报文协议,但可以采用本申请实施例中匹配微分段组的方式,实现对内层报文的处理,从而无需采用UDF方式对隧道报文进行偏移匹配,避免UDF偏移过大导致无法正常匹配。
其中,方法和装置是基于同一申请构思的,由于方法和装置解决问题的原理相似,因此装置和方法的实施可以相互参见,重复之处不再赘述。
本申请实施例还提供了一种电子设备,如图3所示,包括处理器301、通信接口302、存储器303和通信总线304,其中,处理器301,通信接口302,存储器303通过通信总线304完成相互间的通信,
存储器303,用于存放计算机程序;
处理器301,用于执行存储器303上所存放的程序时,实现如下步骤:
获取待匹配的隧道报文;
对隧道报文进行解封装,得到隧道报文的内层报文;
识别内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;
基于目标微分段组匹配访问控制列表ACL,其中,ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;
确定与目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
采用本申请实施例提供的隧道报文的电子设备,获取待匹配的隧道报文;对隧道报文进行解封装,得到隧道报文的内层报文;识别内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;基于目标微分段组匹配访问控制列表ACL,其中,ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;确定与目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
可见,通过配置微分段方式对隧道报文的内层报文协议进行分组,将现有技术中针对内层报文的协议匹配转换为针对微分段组的匹配,无需针对每种待匹配协议下发ACL匹配项,只需下发每个微分段组的ACL匹配项即可。针对支持匹配隧道内层报文的交换机芯片,能够减少匹配隧道报文的内层报文需要耗费的ACL资源;针对不支持匹配隧道内层报文的交换机芯片,尽管不支持直接匹配内层报文协议,但可以采用本申请实施例中匹配微分段组的方式,实现对内层报文的处理,从而无需采用UDF方式对隧道报文进行偏移匹配,避免UDF偏移过大导致无法正常匹配。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一隧道报文的内层报文匹配方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一隧道报文的内层报文匹配方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于隧道报文的内层报文匹配装置、电子设备、计算机可读存储介质及计算机程序产品实施例而言,由于其基本相似于隧道报文的内层报文匹配方法实施例,所以描述的比较简单,相关之处参见隧道报文的内层报文匹配方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (10)

1.一种隧道报文的内层报文匹配方法,其特征在于,应用于隧道的出端口,所述方法包括:
获取待匹配的隧道报文;
对所述隧道报文进行解封装,得到所述隧道报文的内层报文;
识别所述内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定所述目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;每个微分段组包含多种协议的协议标识;
基于所述目标微分段组匹配访问控制列表ACL,其中,所述ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;
确定与所述目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
2.根据权利要求1所述的方法,其特征在于,所述协议标识为协议的组播IP地址。
3.根据权利要求1所述的方法,其特征在于,所述报文处理动作包括:上送报文至CPU、转发报文、或丢弃报文。
4.根据权利要求1所述的方法,其特征在于,所述预先配置的微分段的配置信息还包括:微分段的组策略GBP,
所述ACL中各匹配项对应的报文处理动作是基于所述GBP生成的。
5.一种隧道报文的内层报文匹配装置,其特征在于,应用于隧道的出端口,所述装置包括:
获取模块,用于获取待匹配的隧道报文;
解封装模块,用于对所述隧道报文进行解封装,得到所述隧道报文的内层报文;
确定模块,用于识别所述内层报文的目标协议标识,基于预先配置的微分段的配置信息,确定所述目标协议标识所属的目标微分段组;其中,微分段的配置信息包括:预设多个协议标识的微分段组分组信息;每个微分段组包含多种协议的协议标识;
匹配模块,用于基于所述目标微分段组匹配访问控制列表ACL,其中,所述ACL中包含针对各个微分段组的匹配项,以及各匹配项对应的报文处理动作;
动作执行模块,用于确定与所述目标微分段组相匹配的匹配项,执行该匹配项对应的报文处理动作。
6.根据权利要求5所述的装置,其特征在于,所述协议标识为协议的组播IP地址。
7.根据权利要求5所述的装置,其特征在于,所述报文处理动作包括:上送报文至CPU、转发报文、或丢弃报文。
8.根据权利要求5所述的装置,其特征在于,所述预先配置的微分段的配置信息还包括:微分段的组策略GBP,
所述ACL中各匹配项对应的报文处理动作是基于所述GBP生成的。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-4任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤。
CN202110720307.9A 2021-06-28 2021-06-28 一种隧道报文的内层报文匹配方法及装置 Active CN113452594B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110720307.9A CN113452594B (zh) 2021-06-28 2021-06-28 一种隧道报文的内层报文匹配方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110720307.9A CN113452594B (zh) 2021-06-28 2021-06-28 一种隧道报文的内层报文匹配方法及装置

Publications (2)

Publication Number Publication Date
CN113452594A CN113452594A (zh) 2021-09-28
CN113452594B true CN113452594B (zh) 2022-07-22

Family

ID=77813440

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110720307.9A Active CN113452594B (zh) 2021-06-28 2021-06-28 一种隧道报文的内层报文匹配方法及装置

Country Status (1)

Country Link
CN (1) CN113452594B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113965401B (zh) * 2021-11-01 2023-09-19 新华三技术有限公司合肥分公司 一种报文转发方法、装置及电子设备
CN115103038B (zh) * 2021-12-29 2023-02-03 武汉绿色网络信息服务有限责任公司 一种基于隧道报文的匹配方法和装置
CN114363257B (zh) * 2021-12-29 2023-10-17 杭州迪普信息技术有限公司 隧道报文的五元组匹配方法及装置
CN115314564A (zh) * 2022-08-30 2022-11-08 中兴通讯股份有限公司 报文匹配方法、计算机设备和计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541616A (zh) * 2020-03-31 2020-08-14 新华三技术有限公司 一种流量控制方法及装置
CN112019492A (zh) * 2019-05-31 2020-12-01 华为技术有限公司 访问控制方法、装置及存储介质
CN112187822A (zh) * 2020-10-10 2021-01-05 盛科网络(苏州)有限公司 在隧道传输中的安全监测方法和装置
CN112468413A (zh) * 2020-11-26 2021-03-09 迈普通信技术股份有限公司 报文处理方法、装置、电子设备及存储介质
CN112702254A (zh) * 2020-12-18 2021-04-23 迈普通信技术股份有限公司 报文处理方法、装置及电子设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10038627B2 (en) * 2016-05-31 2018-07-31 Brocade Communications Systems LLC Selective rule management based on traffic visibility in a tunnel

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112019492A (zh) * 2019-05-31 2020-12-01 华为技术有限公司 访问控制方法、装置及存储介质
CN111541616A (zh) * 2020-03-31 2020-08-14 新华三技术有限公司 一种流量控制方法及装置
CN112187822A (zh) * 2020-10-10 2021-01-05 盛科网络(苏州)有限公司 在隧道传输中的安全监测方法和装置
CN112468413A (zh) * 2020-11-26 2021-03-09 迈普通信技术股份有限公司 报文处理方法、装置、电子设备及存储介质
CN112702254A (zh) * 2020-12-18 2021-04-23 迈普通信技术股份有限公司 报文处理方法、装置及电子设备

Also Published As

Publication number Publication date
CN113452594A (zh) 2021-09-28

Similar Documents

Publication Publication Date Title
CN113452594B (zh) 一种隧道报文的内层报文匹配方法及装置
CN113595897B (zh) 一种路径探测方法及装置
CN107547349B (zh) 一种虚拟机迁移的方法及装置
CN107579900B (zh) 从vlan网络接入vxlan网络的方法、装置及系统
WO2015196849A1 (zh) 一种数据报文的处理方法、业务节点以及引流点
CN109951371B (zh) 数据转发方法及装置
CN109474495B (zh) 一种隧道检测方法及装置
EP3720075B1 (en) Data transmission method and virtual switch
CN109525501B (zh) 一种调整转发路径的方法和装置
CN106921578B (zh) 一种转发表项的生成方法和装置
US11876678B2 (en) OpenFlow instance configuration
CN111614505B (zh) 报文处理的方法和网关设备
CN107659484B (zh) 从vlan网络接入vxlan网络的方法、装置及系统
US11805049B2 (en) Communication method and communications device
CN109067657B (zh) 一种报文处理方法和装置
CN112737954A (zh) 报文处理方法、装置、系统、设备及存储介质
WO2019196914A1 (zh) 一种发现转发路径的方法及其相关设备
JP7348403B2 (ja) 返信パケットを送信するための方法、経路広告メッセージを送信するための方法、ネットワークデバイス、および、コンピュータプログラム
CN109728926B (zh) 通信方法以及网络设备
CN109617817B (zh) 一种mlag组网的转发表项的生成方法及装置
JP7045247B2 (ja) 通信保護装置、制御方法、および、プログラム
US9077741B2 (en) Establishing communication between entities in a shared network
CN110650222B (zh) 一种网络访问方法及装置
CN113472667A (zh) 一种报文转发方法、装置、节点设备及存储介质
WO2017211211A1 (zh) 一种报文转发的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant