CN114389844B - 报文处理方法、装置、电子设备及计算机可读存储介质 - Google Patents
报文处理方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114389844B CN114389844B CN202111512245.9A CN202111512245A CN114389844B CN 114389844 B CN114389844 B CN 114389844B CN 202111512245 A CN202111512245 A CN 202111512245A CN 114389844 B CN114389844 B CN 114389844B
- Authority
- CN
- China
- Prior art keywords
- message
- ace
- processed
- vlan
- carried
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 11
- 238000000034 method Methods 0.000 claims abstract description 24
- 230000010076 replication Effects 0.000 claims description 38
- 230000006399 behavior Effects 0.000 claims description 29
- 230000009471 action Effects 0.000 claims description 21
- 238000004891 communication Methods 0.000 claims description 18
- 238000000899 pressurised-fluid extraction Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 239000002699 waste material Substances 0.000 description 3
- 238000001914 filtration Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
- H04L47/2433—Allocation of priorities to traffic types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种报文处理方法、装置、电子设备及计算机可读存储介质,该方法包括:将待处理报文的入口标识与预设的ACL中优先级最高的各个ACE的规则信息进行匹配;若匹配中优先级最高的第一ACE,则将第一ACE的控制行为记录的入口标识的各个有效用户ID分别写入待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文;若未匹配中优先级最高的任一个ACE,则将入口标识、待处理报文携带的VLANID、选定特征信息与ACL中优先级次高的各个ACE的规则信息进行匹配,若匹配中优先级次高的第二ACE,则根据第二ACE的控制行为处理待处理报文;若未匹配中优先级次高的任一个ACE,则丢弃待处理报文。该方案可以节省端口资源。
Description
技术领域
本发明涉及通信技术领域,尤指一种报文处理方法、装置、电子设备及计算机可读存储介质。
背景技术
网络设备是目前网络中的重要设备,承担报文的转发和处理,而访问控制列表(Access Control List,ACL)是网络设备中经常使用的报文过滤手段,ACL包括多个预先定义好的过滤规则,这些过滤规则可以设置在访问控制表项(Access Control Entry,ACE)中,每个ACE包括规则信息和控制行为,规则信息包括报文入端口对应的虚拟局域网(Virtual Local Area Network,VLAN)标识(Identification,ID)和报文特征,报文特征包括媒体访问控制(Media Access Control Address,MAC)地址、互联网协议(InternetProtocol,IP)地址、协议类型、应用端口等等,控制行为包括丢弃、不丢弃、重定向、镜像、修改报文内容等。当报文到达网络设备的端口时,会与该端口上配置的ACL的规则信息进行匹配,若命中一个ACE,则执行该ACE的控制行为。
为了降低网络成本,存在一台网络设备租借给多个用户使用的情况,这就要求各个用户设置的ACL互不影响。目前的报文处理方法中,由于每个ACE都有优先级,网络设备会从优先级最高的ACE的规则信息开始对报文进行匹配,若匹配中一个ACE,则执行该ACE的控制行为,而忽略后续其它可能匹配中的ACE的控制行为。因此,网络设备的一个端口只能安装一个用户的ACE,也就是说要把不同用户的ACE安装到不同端口上,实现各个用户的ACE独立安装和相互不影响。
上述报文处理方法,会造成端口资源的严重浪费,并且限制网络设备支持的用户数量。
发明内容
本发明实施例提供一种报文处理方法、装置、电子设备及计算机可读存储介质,用以解决现有技术中存在的端口资源的严重浪费,并且限制网络设备支持的用户数量的问题。
根据本发明实施例,提供一种报文处理方法,应用于网络设备中,包括:
将待处理报文的入口标识与预设的访问控制列表ACL中优先级最高的各个访问控制表项ACE的规则信息进行匹配,优先级最高的各个ACE包括所述网络设备的第一选定物理端口集合的各个ACE;
若匹配中优先级最高的第一ACE,则将所述第一ACE的控制行为记录的所述入口标识的各个有效用户标识ID分别写入所述待处理报文的一个复制报文携带的虚拟局域网VLAN ID的选定标识位中,通过回环口发送各个复制报文;
若未匹配中优先级最高的任一个ACE,则将所述入口标识、所述待处理报文携带的VLAN ID、选定特征信息与所述ACL中优先级次高的各个ACE的规则信息进行匹配,若匹配中优先级次高的第二ACE,则根据所述第二ACE的控制行为处理所述待处理报文;若未匹配中优先级次高的任一个ACE,则丢弃所述待处理报文;优先级次高的各个ACE包括所述网络设备的第二选定物理端口集合和所述回环口的各个ACE。
具体的,将所述第一ACE的控制行为记录的所述入口标识的各个有效用户ID分别写入所述待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体包括:
获取所述第一ACE的控制行为记录的所述入口标识的有效用户ID组;
按照所述有效用户ID组包括的有效用户ID的数量复制所述待处理报文,得到各个复制报文;
将各个有效用户ID分别写入一个复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入各个复制报文的出口标识;
按照各个复制报文的出口标识发送对应的复制报文。
具体的,将所述第一ACE的控制行为记录的所述入口标识的各个有效用户ID分别写入所述待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体包括:
获取所述第一ACE记录的所述入口标识的有效用户ID链表;
针对所述有效用户ID链表的指针指向的当前有效用户ID,执行:
复制所述待处理报文,得到当前复制报文;
将所述当前有效用户ID写入所述当前复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入所述当前复制报文的出口标识;
按照所述当前复制报文的出口标识发送所述当前复制报文;
确定所述当前有效用户ID是否是所述有效用户ID链表的最后一个有效用户ID;
若确定所述当前有效用户ID不是所述有效用户ID链表的最后一个有效用户ID,则将所述指针指向所述当前有效用户ID的下一个有效用户ID。
具体的,将所述入口标识、所述待处理报文携带的VLAN ID、选定特征信息与所述ACL中优先级次高的各个ACE的规则信息进行匹配之前,还包括:
获取所述待处理报文携带的VLAN标签;
从所述VLAN标签中读取VLAN ID。
具体的,若控制行为为通过第三选定物理端口发送,则根据所述第二ACE的控制行为处理所述待处理报文,具体包括:
删掉所述待处理报文携带的所述VLAN标签,得到待发送报文;
通过所述第三选定物理端口发送所述待发送报文。
根据本发明实施例,还提供一种报文处理装置,应用于网络设备中,包括:
匹配模块,用于将待处理报文的入口标识与预设的访问控制列表ACL中优先级最高的各个访问控制表项ACE的规则信息进行匹配,优先级最高的各个ACE包括所述网络设备的第一选定物理端口集合的各个ACE;
第一处理模块,用于若匹配中优先级最高的第一ACE,则将所述第一ACE的控制行为记录的所述入口标识的各个有效用户标识ID分别写入所述待处理报文的一个复制报文携带的虚拟局域网VLAN ID的选定标识位中,通过回环口发送各个复制报文;
第二处理模块,用于若未匹配中优先级最高的任一个ACE,则将所述入口标识、所述待处理报文携带的VLAN ID、选定特征信息与所述ACL中优先级次高的各个ACE的规则信息进行匹配,若匹配中优先级次高的第二ACE,则根据所述第二ACE的控制行为处理所述待处理报文;若未匹配中优先级次高的任一个ACE,则丢弃所述待处理报文;优先级次高的各个ACE包括所述网络设备的第二选定物理端口集合和所述回环口的各个ACE。
具体的,所述第一处理模块,用于将所述第一ACE的控制行为记录的所述入口标识的各个有效用户ID分别写入所述待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体用于:
获取所述第一ACE的控制行为记录的所述入口标识的有效用户ID组;
按照所述有效用户ID组包括的有效用户ID的数量复制所述待处理报文,得到各个复制报文;
将各个有效用户ID分别写入一个复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入各个复制报文的出口标识;
按照各个复制报文的出口标识发送对应的复制报文。
具体的,所述第一处理模块,用于将所述第一ACE的控制行为记录的所述入口标识的各个有效用户ID分别写入所述待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体用于:
获取所述第一ACE记录的所述入口标识的有效用户ID链表;
针对所述有效用户ID链表的指针指向的当前有效用户ID,执行:
复制所述待处理报文,得到当前复制报文;
将所述当前有效用户ID写入所述当前复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入所述当前复制报文的出口标识;
按照所述当前复制报文的出口标识发送所述当前复制报文;
确定所述当前有效用户ID是否是所述有效用户ID链表的最后一个有效用户ID;
若确定所述当前有效用户ID不是所述有效用户ID链表的最后一个有效用户ID,则将所述指针指向所述当前有效用户ID的下一个有效用户ID。
可选的,所述第二处理模块,还用于:
将所述入口标识、所述待处理报文携带的VLAN ID、选定特征信息与所述ACL中优先级次高的各个ACE的规则信息进行匹配之前,获取所述待处理报文携带的VLAN标签;
从所述VLAN标签中读取VLAN ID。
具体的,若控制行为为通过第三选定物理端口发送,则所述第二处理模块,用于根据所述第二ACE的控制行为处理所述待处理报文,具体用于:
删掉所述待处理报文携带的所述VLAN标签,得到待发送报文;
通过所述第三选定物理端口发送所述待发送报文。
根据本发明实施例,还提供一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现上述的方法步骤。
根据本发明实施例,还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法步骤。
本发明有益效果如下:
本发明实施例提供的报文处理方法、装置、电子设备及计算机可读存储介质,通过将待处理报文的入口标识与预设的访问控制列表ACL中优先级最高的各个访问控制表项ACE的规则信息进行匹配,优先级最高的各个ACE包括所述网络设备的第一选定物理端口集合的各个ACE;若匹配中优先级最高的第一ACE,则将所述第一ACE的控制行为记录的所述入口标识的各个有效用户标识ID分别写入所述待处理报文的一个复制报文携带的虚拟局域网VLAN ID的选定标识位中,通过回环口发送各个复制报文;若未匹配中优先级最高的任一个ACE,则将所述入口标识、所述待处理报文携带的VLAN ID、选定特征信息与所述ACL中优先级次高的各个ACE的规则信息进行匹配,若匹配中优先级次高的第二ACE,则根据所述第二ACE的控制行为处理所述待处理报文;若未匹配中优先级次高的任一个ACE,则丢弃所述待处理报文;优先级次高的各个ACE包括所述网络设备的第二选定物理端口集合和所述回环口的各个ACE。该方案中,会将第一选定物理端口集合中的各个选定物理端口收到的报文从回环口发送复制报文,各个复制报文的VLAN ID携带不同的有效用户ID,也就是说针对每个报文生成了与入口标识的各个有效用户ID对应的复制报文,从回环口回来的各个复制报文无法匹配中优先级最高的ACE,会匹配优先级次高的ACE,也就是说从第一选定物理端口集合中的各个选定物理端口收到的报文不是与ACL进行一次匹配,而是以复制报文的方式再次回到网络设备与ACL进行匹配,即使一个物理端口被多个用户复用,由于用户ID不同,也可以针对每个用户进行处理,从而可以实现同一个物理端口配置不同用户的ACE,即一个物理端口被多个用户复用,相对于现有的方式,可以节省端口资源,扩大网络设备支持的用户数量。
附图说明
图1为本发明实施例中一种报文处理方法的流程图;
图2为本发明实施例中一种报文处理装置的结构示意图;
图3为本发明实施例中的一种电子设备的结构示意图。
具体实施方式
针对现有技术中存在的端口资源的严重浪费,并且限制网络设备支持的用户数量的问题,本发明实施例提供一种报文处理方法,应用于网络设备中,该方法的流程如图1所示,执行步骤如下:
S11:流程开始。
S12:将待处理报文的入口标识与预设的ACL中优先级最高的各个ACE的规则信息进行匹配,若匹配中优先级最高的第一ACE,则执行S13;若未匹配中优先级最高的任一个ACE,则执行S14。
接收到报文后,通常针对不同的入口采用不同的处理方式。
第一种是入口为物理端口的报文:根据电气与电子工程师协会(Institute ofElectrical and Electronics Engineers,IEEE)802.1Q协议规定,在以太网数据帧头部之后、协议类型字段之前加入4个字节的VLAN标签,用以标识VLAN信息。VLAN标签包括12字节的VLAN ID。VLAN ID作为VLAN的标识,用于在网络设备上区分不同的VLAN,其范围为0~4095,但是0和4095为协议保留取值。网络设备为了能够分辨不同VLAN的报文,通过物理端口接收到报文后,会在报文中添加VLAN标签和入口标识,该报文就是第一种的待处理报文。
第二种是入口为回环口的报文:回环口的特点是发出的报文会原样回来,回来的报文仅仅会添加回环口的回环口ID作为入口标识,这也就是第二种的待处理报文。
在获取待处理报文后,首先将待处理报文的入口标识与预设的ACL中优先级最高的各个ACE的规则信息进行匹配。其中,优先级最高的各个ACE包括网络设备的第一选定物理端口集合的各个ACE。而第一选定物理端口集合可以根据实际需要进行设定,例如,可以设定为网络设备上被多个用户复用的物理端口。
S13:将第一ACE的控制行为记录的入口标识的各个有效用户ID分别写入待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文。
每个物理端口可能会被多个用户复用,而每个物理端口复用的用户不一定会配置ACE,因此,每个物理端口实际配置ACE的用户的ID可以定义为有效用户ID。由于网络设备的所有物理端口的数量通常低于1023个,可以利用VLAN ID编址范围携带有效用户ID,例如,若用10-11bit存储有效用户ID,范围为0-3,支持4个用户,当然还有很多其他类似的设置方式,这里不再一一赘述。
若待处理报文的入口标识匹配中优先级最高的一个ACE(可以定义为第一ACE),说明待处理报文来自网络设备的物理端口,ACE的控制行为中可以记录入口标识的各个有效用户ID,此时可以将第一ACE的控制行为记录的入口标识的各个有效用户ID分别写入待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文。
S14:将入口标识、待处理报文携带的VLAN ID、选定特征信息与ACL中优先级次高的各个ACE的规则信息进行匹配,若匹配中优先级次高的第二ACE,则执行S15;若未匹配中优先级次高的任一个ACE,则执行S16。
回环口可以确保网络设备接收到发出的各个复制报文,回来的复制报文由于在VLAN ID中携带有效用户ID,并不同于物理端口的VLAN ID,因此无法匹配中优先级最高的ACE,可以将入口标识、待处理报文携带的VLAN ID、选定特征信息与ACL中优先级次高的各个ACE的规则信息进行匹配。
其中,优先级次高的各个ACE包括网络设备的第二选定物理端口集合和回环口的各个ACE,第二选定物理端口集合可以根据实际需要进行设定,例如,可以设定为网络设备上未被多个用户复用的端口。
S15:根据第二ACE的控制行为处理待处理报文。
S16:丢弃待处理报文。
该方案中,会将第一选定物理端口集合中的各个选定物理端口收到的报文从回环口发送复制报文,各个复制报文的VLAN ID携带不同的有效用户ID,也就是说针对每个报文生成了与入口标识的各个有效用户ID对应的复制报文,从回环口回来的各个复制报文无法匹配中优先级最高的ACE,会匹配优先级次高的ACE,也就是说从第一选定物理端口集合中的各个选定物理端口收到的报文不是与ACL进行一次匹配,而是以复制报文的方式再次回到网络设备与ACL进行匹配,即使一个物理端口被多个用户复用,由于用户ID不同,也可以针对每个用户进行处理,从而可以实现同一个物理端口配置不同用户的ACE,即一个物理端口被多个用户复用,相对于现有的方式,可以节省端口资源,扩大网络设备支持的用户数量。
具体的,上述S13中的将第一ACE的控制行为记录的入口标识的各个有效用户ID分别写入待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,有两种实现方式,下面分别进行说明:
第一种实现方式:
获取第一ACE的控制行为记录的入口标识的有效用户ID组;
按照有效用户ID组包括的有效用户ID的数量复制待处理报文,得到各个复制报文;
将各个有效用户ID分别写入一个复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入各个复制报文的出口标识;
按照各个复制报文的出口标识发送对应的复制报文。
该实现方式中入口标识的各个有效用户ID是以有效用户ID组的形式存在,因此,可以先基于有效用户ID组包括的有效用户ID的数量复制待处理报文,然后基于每个复制报文写入对应的有效用户ID和回环口ID,最后再一起发送复制报文。
第二种实现方式:
获取第一ACE记录的入口标识的有效用户ID链表;
针对有效用户ID链表的指针指向的当前有效用户ID,执行:
复制待处理报文,得到当前复制报文;
将当前有效用户ID写入当前复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入当前复制报文的出口标识;
按照当前复制报文的出口标识发送当前复制报文;
确定当前有效用户ID是否是有效用户ID链表的最后一个有效用户ID;
若确定当前有效用户ID不是有效用户ID链表的最后一个有效用户ID,则将指针指向当前有效用户ID的下一个有效用户ID。
若确定当前有效用户ID是有效用户ID链表的最后一个有效用户ID,则流程结束。
该实现方式中入口标识的各个有效用户ID是以有效用户ID链表的形式存在,因此,可以先复制一个待处理报文,得到当前复制报文,然后基于当前复制报文写入当前有效用户ID和回环口ID,发送当前复制报文后再处理下一个有效用户ID。
以上两种方式都可以实现将第一ACE的控制行为记录的入口标识的各个有效用户ID分别写入待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,当然还有很多其他实现方式,这里不再一一赘述。
可选的,上述S14中的将入口标识、待处理报文携带的VLAN ID、选定特征信息与ACL中优先级次高的各个ACE的规则信息进行匹配之前,还包括:
获取待处理报文携带的VLAN标签;
从VLAN标签中读取VLAN ID。
VLAN ID可以携带在VLAN标签中,此时,可以通过获取待处理报文携带的VLAN标签,从VLAN标签中读取VLAN ID。当然,若VLAN ID携带在报文中除VLAN标签之前的其他信息中,可以采取类似的处理方式,这里不再一一赘述。
具体的,若控制行为为通过第三选定物理端口发送,则上述S15中的根据第二ACE的控制行为处理待处理报文,实现过程具体包括:
删掉待处理报文携带的VLAN标签,得到待发送报文;
通过第三选定物理端口发送待发送报文。
相应地,若VLAN ID携带在VLAN标签中,在发送待处理报文之前,需要删除VLAN标签之后再发送。
基于同一发明构思,本发明实施例提供一种报文处理装置,应用于网络设备中,该装置的结构如图2所示,包括:
匹配模块21,用于将待处理报文的入口标识与预设的ACL中优先级最高的各个ACE的规则信息进行匹配,优先级最高的各个ACE包括网络设备的第一选定物理端口集合的各个ACE;
第一处理模块22,用于若匹配中优先级最高的第一ACE,则将第一ACE的控制行为记录的入口标识的各个有效用户ID分别写入待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文;
第二处理模块23,用于若未匹配中优先级最高的任一个ACE,则将入口标识、待处理报文携带的VLAN ID、选定特征信息与ACL中优先级次高的各个ACE的规则信息进行匹配,若匹配中优先级次高的第二ACE,则根据第二ACE的控制行为处理待处理报文;若未匹配中优先级次高的任一个ACE,则丢弃待处理报文;优先级次高的各个ACE包括网络设备的第二选定物理端口集合和回环口的各个ACE。
该方案中,会将第一选定物理端口集合中的各个选定物理端口收到的报文从回环口发送复制报文,各个复制报文的VLAN ID携带不同的有效用户ID,也就是说针对每个报文生成了与入口标识的各个有效用户ID对应的复制报文,从回环口回来的各个复制报文无法匹配中优先级最高的ACE,会匹配优先级次高的ACE,也就是说从第一选定物理端口集合中的各个选定物理端口收到的报文不是与ACL进行一次匹配,而是以复制报文的方式再次回到网络设备与ACL进行匹配,即使一个物理端口被多个用户复用,由于用户ID不同,也可以针对每个用户进行处理,从而可以实现同一个物理端口配置不同用户的ACE,即一个物理端口被多个用户复用,相对于现有的方式,可以节省端口资源,扩大网络设备支持的用户数量。
具体的,第一处理模块22,用于将第一ACE的控制行为记录的入口标识的各个有效用户ID分别写入待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体用于:
获取第一ACE的控制行为记录的入口标识的有效用户ID组;
按照有效用户ID组包括的有效用户ID的数量复制待处理报文,得到各个复制报文;
将各个有效用户ID分别写入一个复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入各个复制报文的出口标识;
按照各个复制报文的出口标识发送对应的复制报文。
具体的,第一处理模块22,用于将第一ACE的控制行为记录的入口标识的各个有效用户ID分别写入待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体用于:
获取第一ACE记录的入口标识的有效用户ID链表;
针对有效用户ID链表的指针指向的当前有效用户ID,执行:
复制待处理报文,得到当前复制报文;
将当前有效用户ID写入当前复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入当前复制报文的出口标识;
按照当前复制报文的出口标识发送当前复制报文;
确定当前有效用户ID是否是有效用户ID链表的最后一个有效用户ID;
若确定当前有效用户ID不是有效用户ID链表的最后一个有效用户ID,则将指针指向当前有效用户ID的下一个有效用户ID。
可选的,第二处理模块23,还用于:
将入口标识、待处理报文携带的VLAN ID、选定特征信息与ACL中优先级次高的各个ACE的规则信息进行匹配之前,获取待处理报文携带的VLAN标签;
从VLAN标签中读取VLAN ID。
具体的,若控制行为为通过第三选定物理端口发送,则第二处理模块23,用于根据第二ACE的控制行为处理待处理报文,具体用于:
删掉待处理报文携带的VLAN标签,得到待发送报文;
通过第三选定物理端口发送待发送报文。
本申请实施例还提供了一种电子设备,请参见图3所示,包括处理器310、通信接口320、存储器330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。
存储器330,用于存放计算机程序;
处理器310,用于执行存储器330上所存放的程序时,实现上述实施例中任一所述的报文处理方法。
通信接口320用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
该方案中,会将第一选定物理端口集合中的各个选定物理端口收到的报文从回环口发送复制报文,各个复制报文的VLAN ID携带不同的有效用户ID,也就是说针对每个报文生成了与入口标识的各个有效用户ID对应的复制报文,从回环口回来的各个复制报文无法匹配中优先级最高的ACE,会匹配优先级次高的ACE,也就是说从第一选定物理端口集合中的各个选定物理端口收到的报文不是与ACL进行一次匹配,而是以复制报文的方式再次回到网络设备与ACL进行匹配,即使一个物理端口被多个用户复用,由于用户ID不同,也可以针对每个用户进行处理,从而可以实现同一个物理端口配置不同用户的ACE,即一个物理端口被多个用户复用,相对于现有的方式,可以节省端口资源,扩大网络设备支持的用户数量。
相应地,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的报文处理方法。
该方案中,会将第一选定物理端口集合中的各个选定物理端口收到的报文从回环口发送复制报文,各个复制报文的VLAN ID携带不同的有效用户ID,也就是说针对每个报文生成了与入口标识的各个有效用户ID对应的复制报文,从回环口回来的各个复制报文无法匹配中优先级最高的ACE,会匹配优先级次高的ACE,也就是说从第一选定物理端口集合中的各个选定物理端口收到的报文不是与ACL进行一次匹配,而是以复制报文的方式再次回到网络设备与ACL进行匹配,即使一个物理端口被多个用户复用,由于用户ID不同,也可以针对每个用户进行处理,从而可以实现同一个物理端口配置不同用户的ACE,即一个物理端口被多个用户复用,相对于现有的方式,可以节省端口资源,扩大网络设备支持的用户数量。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的可选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种报文处理方法,应用于网络设备中,其特征在于,包括:
将待处理报文的入口标识与预设的访问控制列表ACL中优先级最高的各个访问控制表项ACE的规则信息进行匹配,优先级最高的各个ACE包括所述网络设备的第一选定物理端口集合的各个ACE;
若匹配中优先级最高的第一ACE,则将所述第一ACE的控制行为记录的所述入口标识的各个有效用户标识ID分别写入所述待处理报文的一个复制报文携带的虚拟局域网VLAN ID的选定标识位中,通过回环口发送各个复制报文;
若未匹配中优先级最高的任一个ACE,则将所述入口标识、所述待处理报文携带的VLANID、选定特征信息与所述ACL中优先级次高的各个ACE的规则信息进行匹配,若匹配中优先级次高的第二ACE,则根据所述第二ACE的控制行为处理所述待处理报文;若未匹配中优先级次高的任一个ACE,则丢弃所述待处理报文;优先级次高的各个ACE包括所述网络设备的第二选定物理端口集合和所述回环口的各个ACE。
2.如权利要求1所述的方法,其特征在于,将所述第一ACE的控制行为记录的所述入口标识的各个有效用户ID分别写入所述待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体包括:
获取所述第一ACE的控制行为记录的所述入口标识的有效用户ID组;
按照所述有效用户ID组包括的有效用户ID的数量复制所述待处理报文,得到各个复制报文;
将各个有效用户ID分别写入一个复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入各个复制报文的出口标识;
按照各个复制报文的出口标识发送对应的复制报文。
3.如权利要求1所述的方法,其特征在于,将所述第一ACE的控制行为记录的所述入口标识的各个有效用户ID分别写入所述待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体包括:
获取所述第一ACE记录的所述入口标识的有效用户ID链表;
针对所述有效用户ID链表的指针指向的当前有效用户ID,执行:
复制所述待处理报文,得到当前复制报文;
将所述当前有效用户ID写入所述当前复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入所述当前复制报文的出口标识;
按照所述当前复制报文的出口标识发送所述当前复制报文;
确定所述当前有效用户ID是否是所述有效用户ID链表的最后一个有效用户ID;
若确定所述当前有效用户ID不是所述有效用户ID链表的最后一个有效用户ID,则将所述指针指向所述当前有效用户ID的下一个有效用户ID。
4.如权利要求1-3任一所述的方法,其特征在于,将所述入口标识、所述待处理报文携带的VLAN ID、选定特征信息与所述ACL中优先级次高的各个ACE的规则信息进行匹配之前,还包括:
获取所述待处理报文携带的VLAN标签;
从所述VLAN标签中读取VLAN ID。
5.如权利要求4所述的方法,其特征在于,若控制行为为通过第三选定物理端口发送,则根据所述第二ACE的控制行为处理所述待处理报文,具体包括:
删掉所述待处理报文携带的所述VLAN标签,得到待发送报文;
通过所述第三选定物理端口发送所述待发送报文。
6.一种报文处理装置,应用于网络设备中,其特征在于,包括:
匹配模块,用于将待处理报文的入口标识与预设的访问控制列表ACL中优先级最高的各个访问控制表项ACE的规则信息进行匹配,优先级最高的各个ACE包括所述网络设备的第一选定物理端口集合的各个ACE;
第一处理模块,用于若匹配中优先级最高的第一ACE,则将所述第一ACE的控制行为记录的所述入口标识的各个有效用户标识ID分别写入所述待处理报文的一个复制报文携带的虚拟局域网VLAN ID的选定标识位中,通过回环口发送各个复制报文;
第二处理模块,用于若未匹配中优先级最高的任一个ACE,则将所述入口标识、所述待处理报文携带的VLAN ID、选定特征信息与所述ACL中优先级次高的各个ACE的规则信息进行匹配,若匹配中优先级次高的第二ACE,则根据所述第二ACE的控制行为处理所述待处理报文;若未匹配中优先级次高的任一个ACE,则丢弃所述待处理报文;优先级次高的各个ACE包括所述网络设备的第二选定物理端口集合和所述回环口的各个ACE。
7.如权利要求6所述的装置,其特征在于,所述第一处理模块,用于将所述第一ACE的控制行为记录的所述入口标识的各个有效用户ID分别写入所述待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体用于:
获取所述第一ACE的控制行为记录的所述入口标识的有效用户ID组;
按照所述有效用户ID组包括的有效用户ID的数量复制所述待处理报文,得到各个复制报文;
将各个有效用户ID分别写入一个复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入各个复制报文的出口标识;
按照各个复制报文的出口标识发送对应的复制报文。
8.如权利要求6所述的装置,其特征在于,所述第一处理模块,用于将所述第一ACE的控制行为记录的所述入口标识的各个有效用户ID分别写入所述待处理报文的一个复制报文携带的VLAN ID的选定标识位中,通过回环口发送各个复制报文,具体用于:
获取所述第一ACE记录的所述入口标识的有效用户ID链表;
针对所述有效用户ID链表的指针指向的当前有效用户ID,执行:
复制所述待处理报文,得到当前复制报文;
将所述当前有效用户ID写入所述当前复制报文携带的VLAN ID的选定标识位中,并将回环口的回环口ID写入所述当前复制报文的出口标识;
按照所述当前复制报文的出口标识发送所述当前复制报文;
确定所述当前有效用户ID是否是所述有效用户ID链表的最后一个有效用户ID;
若确定所述当前有效用户ID不是所述有效用户ID链表的最后一个有效用户ID,则将所述指针指向所述当前有效用户ID的下一个有效用户ID。
9.如权利要求6-8任一所述的装置,其特征在于,所述第二处理模块,还用于:
将所述入口标识、所述待处理报文携带的VLAN ID、选定特征信息与所述ACL中优先级次高的各个ACE的规则信息进行匹配之前,获取所述待处理报文携带的VLAN标签;
从所述VLAN标签中读取VLAN ID。
10.如权利要求9所述的装置,其特征在于,若控制行为为通过第三选定物理端口发送,则所述第二处理模块,用于根据所述第二ACE的控制行为处理所述待处理报文,具体用于:
删掉所述待处理报文携带的所述VLAN标签,得到待发送报文;
通过所述第三选定物理端口发送所述待发送报文。
11.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-5任一所述的方法步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111512245.9A CN114389844B (zh) | 2021-12-08 | 2021-12-08 | 报文处理方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111512245.9A CN114389844B (zh) | 2021-12-08 | 2021-12-08 | 报文处理方法、装置、电子设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114389844A CN114389844A (zh) | 2022-04-22 |
| CN114389844B true CN114389844B (zh) | 2024-04-16 |
Family
ID=81195762
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111512245.9A Active CN114389844B (zh) | 2021-12-08 | 2021-12-08 | 报文处理方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114389844B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
| CN109688126A (zh) * | 2018-12-19 | 2019-04-26 | 迈普通信技术股份有限公司 | 一种数据处理方法、网络设备及计算机可读存储介质 |
| CN110868362A (zh) * | 2019-10-22 | 2020-03-06 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
| CN111953663A (zh) * | 2020-07-27 | 2020-11-17 | 新华三技术有限公司 | 一种控制用户进行认证的方法及设备 |
| CN112714052A (zh) * | 2020-12-20 | 2021-04-27 | 苏州浪潮智能科技有限公司 | 一种流量隔离方法、装置、交换机及存储介质 |
| CN113285918A (zh) * | 2021-04-08 | 2021-08-20 | 锐捷网络股份有限公司 | 针对网络攻击的acl过滤表项建立方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8151339B2 (en) * | 2005-12-23 | 2012-04-03 | Avaya, Inc. | Method and apparatus for implementing filter rules in a network element |
| CN104580116B (zh) * | 2013-10-25 | 2018-09-14 | 新华三技术有限公司 | 一种安全策略的管理方法和设备 |
-
2021
- 2021-12-08 CN CN202111512245.9A patent/CN114389844B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
| CN109688126A (zh) * | 2018-12-19 | 2019-04-26 | 迈普通信技术股份有限公司 | 一种数据处理方法、网络设备及计算机可读存储介质 |
| CN110868362A (zh) * | 2019-10-22 | 2020-03-06 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
| CN111953663A (zh) * | 2020-07-27 | 2020-11-17 | 新华三技术有限公司 | 一种控制用户进行认证的方法及设备 |
| CN112714052A (zh) * | 2020-12-20 | 2021-04-27 | 苏州浪潮智能科技有限公司 | 一种流量隔离方法、装置、交换机及存储介质 |
| CN113285918A (zh) * | 2021-04-08 | 2021-08-20 | 锐捷网络股份有限公司 | 针对网络攻击的acl过滤表项建立方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| "ACL功能在MDU设备中研究与实现";陈昌奇;吴军平;;《电子设计工程》;20200120(第02期);全文 * |
| "基于多核网络处理器的路由器数据转发平面设计与实现";贾海龙;《中国优秀硕士学位论文全文数据库》;20170315(第03期);第13-27页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114389844A (zh) | 2022-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1779605B1 (en) | Forwarding database in a network switch device | |
| US20020146002A1 (en) | Network administration apparatus, network administrating program, network administrating method and computer network system | |
| CN113079097B (zh) | 一种报文处理方法及装置 | |
| WO2007097908A2 (en) | Methods, systems, and computer program products for selective layer 2 port blocking using layer 2 source addresses | |
| JP2011509619A (ja) | Macテーブルのオーバーフロー攻撃に対する防御を容易にすること | |
| CN113452594B (zh) | 一种隧道报文的内层报文匹配方法及装置 | |
| CN113285918A (zh) | 针对网络攻击的acl过滤表项建立方法及装置 | |
| CN107196776A (zh) | 一种报文转发的方法和装置 | |
| CN111343089B (zh) | 解决mac地址hash冲突导致洪泛问题的方法及系统 | |
| CN105939324A (zh) | 转发报文的方法及装置 | |
| CN105991444A (zh) | 业务处理的方法和装置 | |
| CN113037681B (zh) | Acl规则管理方法、装置、计算机设备及计算机可读介质 | |
| US10880109B2 (en) | Forwarding multicast data packet | |
| CN112866114B (zh) | 组播报文的处理方法及装置 | |
| CN113595812B (zh) | 一种客户端识别方法、装置、存储介质及网络设备 | |
| CN111064750A (zh) | 一种数据中心的网络报文控制方法和装置 | |
| CN114389844B (zh) | 报文处理方法、装置、电子设备及计算机可读存储介质 | |
| CN111800338B (zh) | 跨as的evpn路由交互方法及装置 | |
| CN113132506B (zh) | 基于超级虚拟局域网的报文处理方法及装置 | |
| CN114374637B (zh) | 一种路由处理方法及装置 | |
| CN113918504A (zh) | 一种隔离组的实现方法及装置 | |
| CN109327462B (zh) | 一种基于l2vpn网络的mac地址认证方法 | |
| CN107086965B (zh) | 一种arp表项的生成方法、装置及交换机 | |
| CN113992566B (zh) | 一种报文广播方法及装置 | |
| US20240154963A1 (en) | Client identification method and apparatus, and storage medium and network device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |