CN117336242A - 一种基于xdp的出境流量管控方法 - Google Patents

一种基于xdp的出境流量管控方法 Download PDF

Info

Publication number
CN117336242A
CN117336242A CN202311351061.8A CN202311351061A CN117336242A CN 117336242 A CN117336242 A CN 117336242A CN 202311351061 A CN202311351061 A CN 202311351061A CN 117336242 A CN117336242 A CN 117336242A
Authority
CN
China
Prior art keywords
xdp
network segments
network
tree
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311351061.8A
Other languages
English (en)
Inventor
童天成
李继超
彭晓靖
彭廷鑫
刘毅
曹大林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Digital Intelligence Technology Co Ltd
Original Assignee
China Telecom Digital Intelligence Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Digital Intelligence Technology Co Ltd filed Critical China Telecom Digital Intelligence Technology Co Ltd
Priority to CN202311351061.8A priority Critical patent/CN117336242A/zh
Publication of CN117336242A publication Critical patent/CN117336242A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/829Topology based

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络流量管理技术领域,提供一种基于XDP的出境流量管控方法。该方法包括:XDP程序解析封包;根据解析到的关键信息采集每个封包中可用网段的网段信息及约束条件并建立表示多个可用网段间连接的拓扑关系;构建导出树,将可用网段插入导出树并最小化网段地址空间,同时更新拓扑关系,将更新后的拓扑关系转换为图结构并特征学习,通过获得的图神经网络对可用网段进行组合优化,获得优化封包;通过正则表达式、精确匹配及相邻匹配的融合规则及二叉查找树及字典树的融合规则对优化封包与管控规则匹配,获得管控策略并流量管控。本发明减少了管控规则匹配时间和资源开销,提高处理性能和吞吐量。

Description

一种基于XDP的出境流量管控方法
技术领域
本发明涉及网络流量管理技术领域,尤其涉及一种基于XDP的出境流量管控方法。
背景技术
XDP(eXpress Data Path)是Linux内核中的一种高性能数据包处理框架,它通过在中断驱动程序之前插入一个暂停的内核层次处理程序来实现数据包的快速处理和路由选择。XDP允许开发者在内核空间编写高效的数据包过滤和处理逻辑,并在数据包到达网络协议栈之前进行处理,从而提供非常低的延迟和高吞吐量的数据包处理能力。基于XDP的出境流量管理方法可以用于实施防火墙规则、应对DDoS攻击、实现访问控制和数据包过滤等安全策略,同时,它也可以用于负载均衡、流量分发和优化网络性能等流量管理任务。
现有的基于XDP的出境流量管理方法主要通过XDP程序加载、数据包拦截、出境流量过滤、拦截流量处理等实现出境流量管理。具体为,将编写好的XDP程序加载到网络接口的驱动程序中,以便在数据包处理阶段进行拦截和处理;其次,在XDP程序中,通过编写eBPF代码实现对出境流量的过滤;最后,对于被XDP程序拦截的出境流量,选择将其通过控制路径继续传送到网络协议栈中的下一步处理,或者直接丢弃它们。
然而现有的出境流量管理方法,当面对大规模网段组合时,每个网段都需要在XDP程序中进行匹配和过滤,这将导致需要维护大量的过滤规则和内存数据结构,增加了内存消耗,如果网段组合非常庞大,可能会超过操作系统或硬件的可用内存限制,从而导致性能下降或系统崩溃;其次,传统的基于XDP的方法通常使用单一的线性搜索的方式进行规则匹配,对于每个数据包,需要逐条遍历规则来进行匹配,直到找到匹配的规则或遍历完所有规则,这种单一的线性匹配规则不能保证解析出的封包信息与预先定义的管控规则的精准匹配。
发明内容
本发明旨在至少解决相关技术中存在的技术问题之一。为此,本发明提供一种基于XDP的出境流量管控方法。
本发明提供一种基于XDP的出境流量管控方法,包括:
S1:通过XDP程序解析经过网卡的多个封包,提取每个所述封包的关键信息;
S2:根据每个封包的关键信息分别采集每个封包中可用网段的网段信息及约束条件,基于所述网段信息建立表示多个可用网段间连接的拓扑关系;
S3:构建导出树,根据所述约束条件将多个可用网段作为节点分别插入所述导出树,对所述导出树进行最小化地址空间寻优获得优化导出树;
S4:根据所述优化导出树更新所述拓扑关系,将更新后的拓扑关系转换为图结构,对所述图结构进行特征学习获得图神经网络,通过所述图神经网络对每个所述封包中的可用网段进行组合优化,获得多个优化封包;
S5:预设基于树结构的管控规则,通过第一规则对多个所述优化封包与所述管控规则进行一次匹配,通过第二规则对一次匹配中未匹配的优化封包与所述管控规则进行二次匹配,获得管控策略;
S6:根据所述管控策略对经过网卡的每个封包进行流量管控。
根据本发明提供的一种基于XDP的出境流量管控方法,步骤S1中的所述关键信息包括源IP地址、目标IP地址、协议类型、源端口及目标端口。
根据本发明提供的一种基于XDP的出境流量管控方法,步骤S1还包括:
S11:预编译XDP程序,将所述XDP程序加载至待管控网络设备的网卡上。
根据本发明提供的一种基于XDP的出境流量管控方法,步骤S11包括:
S111:采集待管控网络设备的索引信息,根据所述索引信息编译XDP程序;
S112:将所述XDP程序通过网络唤醒与待管控网络设备的中断挂钩点关联;
S113:启用所述XDP程序,所述XDP程序开始拦截并解析每个所述封包,提取到每个所述封包的关键信息。
根据本发明提供的一种基于XDP的出境流量管控方法,步骤S2中所述拓扑关系通过邻接矩阵建立,所述拓扑关系的节点表示所述可用网段,所述拓扑关系的边表示多个可用网段间的关系。
根据本发明提供的一种基于XDP的出境流量管控方法,根据所述约束条件将多个可用网段分别插入所述导出树进一步包括:
S31:收集所述可用网段中的已选网段,根据所述拓扑关系将所述已选网段插入所述导出树;
S32:将已经插入至导出树的已选网段标记,并更新所述拓扑关系;
S33:收集所述可用网段中除已选网段的待选网段,通过前缀树查找与所述待选网段匹配的插入导出树后的已选网段;
S34:将待选网段补充至步骤S33中匹配到的已选网段进行组合。
根据本发明提供的一种基于XDP的出境流量管控方法,步骤S3中,将多个可用网段作为节点分别插入所述导出树时,通过贪心算法分别选取多个可用网段的节点位置。
根据本发明提供的一种基于XDP的出境流量管控方法,步骤S5中,所述第一规则包括正则表达式、精确匹配及相邻匹配,所述第二规则包括二叉查找树及字典树。
根据本发明提供的一种基于XDP的出境流量管控方法,所述第一规则中的正则表达式、精确匹配及相邻匹配并行运行,所述第二规则中的二叉查找树及字典树顺序运行。
根据本发明提供的一种基于XDP的出境流量管控方法,步骤S6包括:
对于与所述管控策略匹配的封包,传送至网络协议栈处理;
对于与所述管控策略不匹配的封包,停止传送并丢弃封包。本发明提供的一种基于XDP的出境流量管控方法,通过加载XDP程序、封包解析、大规模网段组合优化、规则匹配以及管控处理对网卡的出境流量进行管控,不仅可以减少匹配时间和减轻资源开销,从而提高整体的数据包处理性能和系统吞吐量,同时还基于多种匹配规则对解析出的封包信息与预先定义的管控规则进行精准匹配,匹配效率更高还提升了匹配精度。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种基于XDP的出境流量管控方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。以下实施例用于说明本发明,但不能用来限制本发明的范围。
在本发明实施例的描述中,需要说明的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明实施例和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明实施例的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明实施例的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明实施例中的具体含义。
在本发明实施例中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
为了更好地理解本发明,下面对本发明中所提及的技术名词进行解释。
XDP程序,XDP(eXpress Data Path)是一种在Linux内核中执行数据包处理的机制。它允许用户空间程序以非常低的延迟和高吞吐量处理网络数据包。
前缀树,也被称为字典树或键树,是一种用于有效存储和检索字符串集合的数据结构。它能够快速地查找、插入和删除字符串,尤其适用于大量字符串的模式匹配和前缀匹配问题。
贪心算法,贪心算法是一种基于贪心策略的算法设计方法。在每一步选择中,贪心算法总是选择当前看起来最优的选项,而不考虑全局最优解。它通过做出局部最优选择,希望最终能够得到全局最优解。
图神经网络,图神经网络是一类用于处理图结构数据的机器学习模型。与传统的神经网络主要处理向量和矩阵数据不同,图神经网络专注于处理具有节点和边的图数据。
正则表达式,一种用于描述字符串模式的表达式,它由一系列字符和特殊符号组成,用于进行字符串的匹配和搜索操作。
精确匹配,一种字符串匹配方式,用于确定一个字符串是否与给定的准确字符串完全相等。在精确匹配中,要求待匹配的字符串与目标字符串的每个字符及其位置都完全相同,才能判定为匹配成功。
相邻匹配,一种字符串匹配方式,用于确定一个字符串是否与给定的目标字符串相邻匹配。在相邻匹配中,只需要待匹配的字符串与目标字符串连续匹配一部分,而不需要完全相等。
二叉查找树,一种常见的二叉树数据结构,对于树中的每个节点,其左子树的所有节点的值都小于该节点的值,而右子树的所有节点的值都大于该节点的值。
字典树,一种多叉树数据结构,用于高效地存储和搜索字符串集合,每个节点代表一个字符串的字符,从根节点到叶子节点的路径表示一个完整的字符串。
下面结合图1描述本发明的实施例。
本发明提供一种基于XDP的出境流量管控方法,包括:
S1:通过XDP程序解析经过网卡的多个封包,提取每个所述封包的关键信息;
其中,步骤S1中的所述关键信息包括源IP地址、目标IP地址、协议类型、源端口及目标端口。
其中,步骤S1还包括:
S11:预编译XDP程序,将所述XDP程序加载至待管控网络设备的网卡上。
其中,步骤S11包括:
S111:采集待管控网络设备的索引信息,根据所述索引信息编译XDP程序;
进一步的,获取网络设备和带宽信息使用Linux的ifconfig命令,该命令用于显示或设置网络设备,ifconfig可设置网络设备的状态,或是显示目前的设置。
S112:将所述XDP程序通过网络唤醒与待管控网络设备的中断挂钩点关联;
进一步的,是通过bpftool将编译好的XDP程序加载到网络唤醒的,该工具是一个用于检查BPF程序和映射的内核工具,bpftool通常用来生成vmlinux.h。
S113:启用所述XDP程序,所述XDP程序开始拦截并解析每个所述封包,提取到每个所述封包的关键信息。
进一步的,首先使用所选的编程语言编写XDP程序并进行编译;其次使用ifconfig获取目标网络设备和带宽的名称、索引等信息;再次使用bpftool将编译好的XDP程序加载到网络唤醒上;再次通过编程接口,将加载的XDP程序与中断的特定挂钩点相关联;最后启用已加载的XDP程序,启用生效并开始拦截封包。
S2:根据每个封包的关键信息分别采集每个封包中可用网段的网段信息及约束条件,基于所述网段信息建立表示多个可用网段间连接的拓扑关系;
其中,步骤S2中所述拓扑关系通过邻接矩阵建立,所述拓扑关系的节点表示所述可用网段,所述拓扑关系的边表示多个可用网段间的关系。
进一步的,在将编写好的XDP程序加载到网络设备的网卡上后,首先收集所有可用的网段以及相关的约束条件,包括每个网段的地址范围、拓扑约束等,其次使用邻接矩阵构建一个拓扑关系图,其中节点表示不同的网段,而边表示网段之间的关系或连接。
S3:构建导出树,根据所述约束条件将多个可用网段作为节点分别插入所述导出树,对所述导出树进行最小化地址空间寻优获得优化导出树;
进一步的,导出树是一个数据结构,用于容纳所有的网段,使用一棵树结构来表示导出树,其中树的每个节点表示一个网段,这个导出树将用于后续的网段选择过程,其次贪心策略选取网段:对于每个待选的网段,按照贪心策略选择最佳的插入位置,以满足约束条件,并尽量减少地址空间的浪费。
其中,步骤S3中,将多个可用网段作为节点分别插入所述导出树时,通过贪心算法分别选取多个可用网段的节点位置。
其中,步骤S3中,根据所述约束条件将多个可用网段分别插入所述导出树进一步包括:
S31:收集所述可用网段中的已选网段,根据所述拓扑关系将所述已选网段插入所述导出树;
进一步的,需要考虑网络拓扑,将已选网段的位置与导出树的结构和拓扑信息相结合,其中应确保插入位置与网络连接关系一致。
S32:将已经插入至导出树的已选网段标记,并更新所述拓扑关系;
进一步的,一旦确定了最佳的插入位置和已选的网段,将它们标记为已使用,并相应地更新拓扑图,可以便于后续未选网段的进一步加入。
S33:收集所述可用网段中除已选网段的待选网段,通过前缀树查找与所述待选网段匹配的插入导出树后的已选网段;
S34:将待选网段补充至步骤S33中匹配到的已选网段进行组合。
进一步的,再进行查找匹配的网段集合,对于未使用的网段,使用前缀树查找与之匹配的已经加入导出树的一组网段,用于补充已选网段的组合,以满足约束条件。
S4:根据所述优化导出树更新所述拓扑关系,将更新后的拓扑关系转换为图结构,对所述图结构进行特征学习获得图神经网络,通过所述图神经网络对每个所述封包中的可用网段进行组合优化,获得多个优化封包;
进一步的,将已选择的网段及其相应的拓扑关系图转换为图结构,其中,节点表示不同的网段,而边表示网段之间的关系,结点的特征包括地址范围、拓扑约束等,然后使用图神经网络模型,对构建的图结构进行特征学习和优化训练,以制定优化的网段组合方案,然后基于图神经网络模型的输出,综合考虑网络拓扑、地址空间、性能和其他约束条件,生成最终的优化网段组合方案。
S5:预设基于树结构的管控规则,通过第一规则对多个所述优化封包与所述管控规则进行一次匹配,通过第二规则对一次匹配中未匹配的优化封包与所述管控规则进行二次匹配,获得管控策略;
其中,步骤S5中,所述第一规则包括正则表达式、精确匹配及相邻匹配,所述第二规则包括二叉查找树及字典树
进一步的,正则表达式是一种强大的文本匹配工具,通过定义匹配模式来查找文本中的匹配项,如果正则表达式能够成功匹配到封包或者某个部分,则匹配成功,结束匹配过程;而精确匹配是通过明确指定要匹配的字符串来进行的,同样如果能够找到与给定规则完全一致的字符串,则匹配成功,结束匹配过程;相邻匹配是指在文本中查找相邻的字符串是否匹配给定规则,同样如果相邻的字符串满足匹配规则,认为匹配成功,结束匹配过程。
进一步的,二叉查找树是一种有序数据结构,可以快速在有序数据集中查找指定值,将规则不匹配的封包按照一定顺序构建成二叉查找树,并进行查找,同样如果能够在二叉查找树中找到匹配规则,则匹配成功,结束匹配过程;而字典树是一种用于高效存储和查找字符串的数据结构,将规则不匹配的封包构建成字典树,并进行查询操作,同样如果能够在字典树中找到匹配规则,则匹配成功,结束匹配过程。
其中,步骤S5中,所述第一规则中的正则表达式、精确匹配及相邻匹配并行运行,所述第二规则中的二叉查找树及字典树顺序运行。
进一步的,第一规则中的正则表达式、精确匹配和相邻匹配是并行运行的,如果以上任何一种匹配规则成功匹配到封包,则匹配成功,结束匹配过程如果都不能成功匹配,则执行第二规则进行匹配;而所述第二规则中的二叉查找树及字典树顺序运行;如果以上任何一种匹配规则成功匹配到封包,则匹配成功,结束匹配过程。如果都无法成功匹配,则匹配不成功。
S6:根据所述管控策略对经过网卡的每个封包进行流量管控。
其中,步骤S6包括:
对于与所述管控策略匹配的封包,传送至网络协议栈处理;
对于与所述管控策略不匹配的封包,停止传送并丢弃封包。
进一步的,如果封包与规则匹配,XDP程序可以直接将封包传递给后续的网络协议栈处理,即允许封包继续正常的转发和处理;而如果封包与规则不匹配,XDP程序可以直接丢弃封包,即停止发送封包传递给后续的网络协议栈,不再进行任何处理和转发。
本发明提供一种基于XDP的出境流量管控方法,通过基于前缀树、贪心算法以及图神经网络对大规模网段优化,可以通过优化大规模网段组合减少匹配时间和减轻资源开销,从而提高整体的数据包处理性能和系统吞吐量,另外通过基于多种匹配规则相融合的进行管控规则的匹配,能够通过联合使用多种匹配规则对解析出的封包信息与预先定义的管控规则进行精准匹配。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于XDP的出境流量管控方法,其特征在于,包括:
S1:通过XDP程序解析经过网卡的多个封包,提取每个所述封包的关键信息;
S2:根据每个封包的关键信息分别采集每个封包中可用网段的网段信息及约束条件,基于所述网段信息建立表示多个可用网段间连接的拓扑关系;
S3:构建导出树,根据所述约束条件将多个可用网段作为节点分别插入所述导出树,对所述导出树进行最小化地址空间寻优获得优化导出树;
S4:根据所述优化导出树更新所述拓扑关系,将更新后的拓扑关系转换为图结构,对所述图结构进行特征学习获得图神经网络,通过所述图神经网络对每个所述封包中的可用网段进行组合优化,获得多个优化封包;
S5:预设基于树结构的管控规则,通过第一规则对多个所述优化封包与所述管控规则进行一次匹配,通过第二规则对一次匹配中未匹配的优化封包与所述管控规则进行二次匹配,获得管控策略;
S6:根据所述管控策略对经过网卡的每个封包进行流量管控。
2.根据权利要求1所述的一种基于XDP的出境流量管控方法,其特征在于,步骤S1中的所述关键信息包括源IP地址、目标IP地址、协议类型、源端口及目标端口。
3.根据权利要求1所述的一种基于XDP的出境流量管控方法,其特征在于,步骤S1还包括:
S11:预编译XDP程序,将所述XDP程序加载至待管控网络设备的网卡上。
4.根据权利要求1所述的一种基于XDP的出境流量管控方法,其特征在于,步骤S11包括:
S111:采集待管控网络设备的索引信息,根据所述索引信息编译XDP程序;
S112:将所述XDP程序通过网络唤醒与待管控网络设备的中断挂钩点关联;
S113:启用所述XDP程序,所述XDP程序开始拦截并解析每个所述封包,提取到每个所述封包的关键信息。
5.根据权利要求1所述的一种基于XDP的出境流量管控方法,其特征在于,步骤S2中所述拓扑关系通过邻接矩阵建立,所述拓扑关系的节点表示所述可用网段,所述拓扑关系的边表示多个可用网段间的关系。
6.根据权利要求1所述的一种基于XDP的出境流量管控方法,其特征在于,步骤S3中,根据所述约束条件将多个可用网段分别插入所述导出树进一步包括:
S31:收集所述可用网段中的已选网段,根据所述拓扑关系将所述已选网段插入所述导出树;
S32:将已经插入至导出树的已选网段标记,并更新所述拓扑关系;
S33:收集所述可用网段中除已选网段的待选网段,通过前缀树查找与所述待选网段匹配的插入导出树后的已选网段;
S34:将待选网段补充至步骤S33中匹配到的已选网段进行组合。
7.根据权利要求1所述的一种基于XDP的出境流量管控方法,其特征在于,步骤S3中,将多个可用网段作为节点分别插入所述导出树时,通过贪心算法分别选取多个可用网段的节点位置。
8.根据权利要求1所述的一种基于XDP的出境流量管控方法,其特征在于,步骤S5中,所述第一规则包括正则表达式、精确匹配及相邻匹配,所述第二规则包括二叉查找树及字典树。
9.根据权利要求8所述的一种基于XDP的出境流量管控方法,其特征在于,所述第一规则中的正则表达式、精确匹配及相邻匹配并行运行,所述第二规则中的二叉查找树及字典树顺序运行。
10.根据权利要求1所述的一种基于XDP的出境流量管控方法,其特征在于,步骤S6包括:
对于与所述管控策略匹配的封包,传送至网络协议栈处理;
对于与所述管控策略不匹配的封包,停止传送并丢弃封包。
CN202311351061.8A 2023-10-18 2023-10-18 一种基于xdp的出境流量管控方法 Pending CN117336242A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311351061.8A CN117336242A (zh) 2023-10-18 2023-10-18 一种基于xdp的出境流量管控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311351061.8A CN117336242A (zh) 2023-10-18 2023-10-18 一种基于xdp的出境流量管控方法

Publications (1)

Publication Number Publication Date
CN117336242A true CN117336242A (zh) 2024-01-02

Family

ID=89275276

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311351061.8A Pending CN117336242A (zh) 2023-10-18 2023-10-18 一种基于xdp的出境流量管控方法

Country Status (1)

Country Link
CN (1) CN117336242A (zh)

Similar Documents

Publication Publication Date Title
US10496680B2 (en) High-performance bloom filter array
US9984144B2 (en) Efficient lookup of TCAM-like rules in RAM
US8750144B1 (en) System and method for reducing required memory updates
CN100465947C (zh) 用于产生和使用改进的树形位图数据结构的方法和装置
US10460250B2 (en) Scope in decision trees
US9183244B2 (en) Rule modification in decision trees
US9137340B2 (en) Incremental update
US8090901B2 (en) TCAM management approach that minimize movements
US5787430A (en) Variable length data sequence backtracking a trie structure
US7872993B2 (en) Method and system for classifying data packets
US10229139B2 (en) Incremental update heuristics
US10083200B2 (en) Batch incremental update
US8478707B1 (en) System and method for reducing flow rules in forwarding tables
US20170195253A1 (en) Flexible pipeline architecture for multi-table flow processing
CN102945249B (zh) 一种策略规则匹配查询树生成方法、匹配方法及装置
CN110008385B (zh) 一种基于字符串的快速匹配识别方法和装置
CN111277612B (zh) 一种网络报文处理策略生成方法、系统及介质
US11652744B1 (en) Multi-stage prefix matching enhancements
CN107276916A (zh) 基于协议无感知转发技术的交换机流表管理方法
KR100472275B1 (ko) 경로 검색 시스템 및 그 방법과 그것에 사용되는 라우터장치
CN113723548A (zh) 决策树规则集预处理的方法和装置
US11606284B2 (en) System and method for FIB aggregation
CN117336242A (zh) 一种基于xdp的出境流量管控方法
CN112437065B (zh) Sdn环境下基于图形表示的策略冲突检测及解决方法
CN112667640A (zh) 一种路由地址存储方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination