WO2022127714A1

WO2022127714A1 - 一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置

Info

Publication number: WO2022127714A1
Application number: PCT/CN2021/137228
Authority: WO
Inventors: 成伟; 王俊杰
Original assignee: 苏州盛科通信股份有限公司
Priority date: 2020-12-14
Filing date: 2021-12-10
Publication date: 2022-06-23
Also published as: CN112600752A

Abstract

本发明实施例揭示了一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置，所述默认策略路由的查找匹配关键字配置为至少包括源IP地址和路由匹配状态，路由匹配状态根据网络芯片进行路由查找后的查找结果得到，默认策略路由的匹配优先级小于明确路由的匹配优先级。本发明实施例通过对ACL匹配关键字的匹配能力进行增强来实现默认策略路由，在不影响现有路由和PBR技术的芯片设计的前提下，通过将Default PBR部署在数据中心出口网关设备上，能够满足私网服务器与公网服务器之间的正常访问。

Description

一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置

本发明要求于2020年12月14日提交中国专利局、申请号为202011472168.4、发明名称“一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本发明中。

技术领域

本发明涉及一种默认策略路由实现技术领域，尤其是涉及一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置。

背景技术

PBR(Policy Based Routing，策略路由)是一种策略路由技术，PBR支持匹配数据流的源IP(Internet Protocol，互联网协议)地址进行转发。与基于目的IP地址的传统路由转发技术不同，PBR策略路由是基于源IP地址转发，PBR匹配优先级高于传统IP路由技术。因此，在和传统路由表项混合部署的情况下，会优先匹配PBR策略路由转发。

PBR其中一种典型的应用场景是利用PBR实现安全过滤，针对攻击的者的特征IP地址在网络设备上下发PBR表项对攻击者流量执行丢弃处理。因此，并不需要调整其它的业务相关的路由表项和FDB(Forwarding DataBase，维护的MAC地址转发表)表项，通过PBR执行安全策略能够在降低现网业务和设备表项的影响。

PBR另一种应用场景是数据中心出口网关，该网关设备需要为数据中心内部服务器提供访问外网的能力，以及为数据中心内部服务器提供私网地址访问能力。由于公网IP地址数量巨大，如果全部下发到该出口网关设备上，则需要下发几十万条路由表项，因此，对设备的路由表压力巨大，无法直接基于IPDA(Internet Protocol Destination Address，目的IP地址)的传统路由技术满足该需求。但是，在实际应用过程中，需要针对不同网段的服务器在访问公网时打上不同的VLAN Tag(Virtual Local Area Network Tag，虚拟局域网标识)，因此，可借助PBR技术来匹配源IP网段地址进行转发并编辑不同的VLAN Tag。

在现有的实现PBR的芯片方案中，是通过ACL(Access Control List，访问控制列表)实现PBR策略路由，可以是通过将一部分ACL TCAM(Ternary Content Addressable Memory，三态内容寻址存储器)资源预留给PBR使用，将ACL表项的Key(关键字)配置为匹配源IP即可。但是上述方案带来的问题是：基于源IP的ACL无法直接满足Default PBR(默认策略路由)的需求。

如图1所示，在数据中心内部服务器IP-A访问公网IP-B和私网服务器IP-C，在该网关设备上下发匹配源IP-A的PBR表项，且该PBR表项匹配结果是执行访问公网IP-B的操作。在该网关设备上下发匹配目的IP-C的路由表项，且该路由表项匹配结果是执行访问私网IP-C的操作。当IP-A服务器发出两种数据流：一是IP-A到IP-B的数据报文的源IP为IP-A，目的IP为IP-B，二是IP-A到IP-C的数据报文的源IP为IP-A，目的IP为IP-C。在网关设备上下发的Key(关键字)为IP-A的PBR表项，不仅会匹配IP-A到IP-B的数据报文，还会匹配IP-A到IP-C的数据报文，导致将IP-A到IP-C的数据报文错误的转到公网IP-B。

因此，在数据中心出口网关设备上，还需要区分对于访问内网服务器的地址的流量需要执行基于IPDA路由转发，不能被PBR策略匹配，所以，传统的PBR技术无法直接满足该需求。

发明内容

本发明实施例的目的在于克服现有技术的缺陷，提供一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置。

为实现上述目的，本发明实施例提出如下技术方案：一种默认策略路由的芯片实现方法，包括：所述默认策略路由的查找匹配关键字配置为至少包括源IP地址和路由匹配状态，所述路由匹配状态根据网络芯片进行路由查找后的查找结果得到，所述默认策略路由的匹配优先级小于明确路由的匹配优先级。

可选地，所述默认策略路由通过复用ACL表项实现。

本发明实施例还提出另外一种技术方案：一种基于默认策略路由的数据报文的芯片处理方法，包括：

S200，芯片对接收到的数据报文进行路由查找，根据查找结果对报文进行相应的处理，并由查找结果得到路由匹配状态；

S300，芯片将数据报文的源IP地址和所述路由匹配状态作为默认策略路由的匹配关键字，对数据报文进行默认策略路由查找，若不匹配，则进入S400；

S400，芯片对数据报文进行策略路由查找，若匹配，则根据策略路由查找结果对报文进行转发下一跳处理。

可选地，在步骤S200之前，所述方法还包括：

S100，芯片对接收到的数据报文进行解析，解析得到报文匹配信息，所述报文匹配信息至少包括源IP地址和目的IP地址。

可选地，所述S200包括：

S201，将数据报文的目的IP地址作为路由查找关键字，并进行路由查找，若查找结果是匹配明细路由，则执行明细路由的转发下一跳处理，若查找结果是匹配默认路由，则进入S202；

S202，将数据报文执行默认路由的转发下一跳处理，并将查找得到的路由匹配状态用作默认策略路由查找。

可选地，步骤S300中，若匹配默认策略路由，则按照默认策略路由转发下一跳处理。

可选地，路由查找的默认路由查找优先级＜默认策略路由的查找优先级＜路由查找的明细路由查找优先级＜策略路由的查找优先级。

可选地，步骤S400中，芯片将数据报文的源IP地址作为查找关键字进行策略路由查找，若匹配，则根据策略路由查找结果对报文进行转发下一跳处理。

本发明实施例还提出另外一种技术方案：一种基于默认策略路由的数据报文的芯片处理装置，包括：

路由查找模块，被设置为对接收到的数据报文进行路由查找，根据查找结果对报文进行相应的处理，并由查找结果得到路由匹配状态；

默认策略路由匹配模块，被设置为将数据报文的源IP地址和所述路由匹配状态作为默认策略路由的匹配关键字，对数据报文进行默认策略路由查找；

策略路由匹配模块，被设置为对数据报文进行策略路由查找，并根据策略路由查找结果对报文进行转发下一跳处理。

可选地，所述装置还包括：

报文解析模块，被设置为对接收到的数据报文进行解析，解析得到报文匹配信息，所述报文匹配信息至少包括源IP地址和目的IP地址。

可选地，所述路由查找模块的默认路由查找优先级＜默认策略路由匹配模块的查找优先级＜路由查找模块的明细路由查找优先级＜策略路由匹配模块的查找优先级。

本发明实施例的有益效果是：

1、本发明实施例通过对ACL匹配关键字的匹配能力进行增强来实现默认策略路由(Default PBR)，在不影响现有路由和PBR技术的芯片设计的前提下，通过将Default PBR部署在数据中心出口网关设备上，能够满足私网服务器与公网服务器之间的正常访问。

2、本发明实施例通过复用ACL表项实现Default PBR，简化了Default PBR的实现，从而简化了网络交换芯片的逻辑设计，降低对现网设备的软硬件升级的影响及部署的难度。

附图说明

图1是现有公网服务器和私网服务器之间访问的原理示意图；

图2是本发明实施例公网服务器和私网服务器之间访问的原理示意图；

图3、图4均是本发明实施例数据报文的芯片处理方法的流程示意图；

图5是本发明实施例数据报文的芯片处理装置的结构框图。

具体实施方式

下面将结合本发明实施例的附图，对本发明实施例的技术方案进行清楚、完整的描述。

本发明实施例所揭示的一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置，在不影响现有路由技术和PBR技术的芯片设计的前提下，通过对ACL匹配关键字的匹配能力进行增强来实现默认策略路由，且通过将默认策略路由部署在数据中心出口网关设备上，能够满足私网服务器与公网服务器之间的正常访问。

结合图2～图4所示，本发明实施例所揭示的一种网络芯片中默认策略路由的实现方法，通过复用ACL表项实现默认策略路由(Default PBR)。可以是通过在ACL的匹配关键字中增加是否匹配默认路由的路由匹配状态，来控制默认策略路由的查找优先级，使得路由的查找优先级、策略路由的查找优先级和默认策略路由的查找优先级之间的优先级关系满足：策略路由的查找优先级＞路由查找的明细路由查找优先级＞默认策略路由的查找优先级＞路由查找的默认路由查找优先级。

可选地，本发明实施例将由路由查找结果得到的是否匹配路由的路由匹配状态传递到ACL的处理模块中，并作为ACL查找匹配的关键字，即增加后的ACL匹配关键字至少为源IP地址和路由匹配状态。之后在系统软件层面将ACL表项包装成Default PBR。本发明实施例在尽可能地降低芯片设计难度及在充分利用芯片的ACL资源的基础上，结合Default PBR的需求，通过对ACL Key的匹配能力进行增强来实现Default PBR。本发明实施例因是通过复用ACL表项来实现Default PBR，所以不需要重新单独设计Default PBR芯片功能模块，简化了Default PBR的实现，降低了对现网设备的软硬件升级的影响及部署的难度。

将上述Default PBR部署在数据中心出口网关设备上，能够满足私网服务器与公网服务器之间的正常访问。

如图2所示，在数据中心内部服务器IP-A访问公网服务器IP-B和私网服务器IP-C，在该网关设备上下发匹配源IP-A的Default PBR表项，且该Default PBR表项匹配结果是执行访问公网IP-B的操作。在该网关设备上下发匹配目的IP-C的路由表项，且该路由表项匹配结果是执行访问私网IP-C的操作。当IP-A服务器发出两种数据流：一是IP-A到IP-B的数据报文的源IP为IP-A，目的IP为IP-B，二是IP-A到IP-C的数据报文的源IP为IP-A，目的IP为IP-C。在网关设备上，IP-A到IP-B的数据报文只会匹配Default PBR，而不会匹配传统明细路由；IP-A到IP-C的数据报文只会匹配传统明细路由，而不会误匹配Default PBR，从而满足私网服务器IP-C与公网服务器IP-B之间的正常访问。

本发明实施例通过Default PBR技术能够解决在数据中心出口网关设备上满足服务器访问公网服务和内部私网服务器的需求。且采用Default PBR给该场景下的网关设备带来的好处包括：一、在网关设备上不需要下发大量的公网路由，二、实现的Default PBR也不会影响传统路由转发以及PBR策略路由。

结合图3和图4所示，基于上述默认策略路由设计的网络芯片对数据报文的处理方法，包括以下步骤：

S100，芯片对接收到的数据报文进行解析，解析得到报文匹配信息。

可选地，芯片接收到数据报文，首先对数据报文进行报文解析处理，解析得到报文匹配信息，报文匹配信息包括源MAC(Media Access Control，介质访问控制层)地址(MACSA)、目的MAC地址(MACDA)、源IP地址，目的IP地址等，并将解析获取的报文匹配信息携带到后续的处理流程中。

S200，芯片对接收到的数据报文进行路由查找，根据查找结果对报文进行相应的处理，并由查找结果得到路由匹配状态。

可选地，芯片将解析得到的目的IP地址作为路由查找关键字，查找路由转发表项。如果查找的结果是匹配明细路由，就执行明细路由的转发下一跳处理；如果不匹配明细路由，则进行默认路由的匹配，如果查找的结果是命中默认路由，就执行默认路由的转发下一跳处理，并将是否匹配默认路由的路由匹配状态传送给步骤S300。

S300，芯片将数据报文的源IP地址和路由匹配状态作为默认策略路由的匹配关键字，对数据报文进行默认策略路由查找，若不匹配，则进入S400。

可选地，将数据报文进行默认策略路由的查找匹配，即将默认策略路由的匹配关键字与ACL表项进行匹配，若匹配，则执行默认策略路由的转发下一跳处理，若不匹配，则进入S400。

可选地，芯片将源IP地址作为策略路由查找关键字进行查找PBR表项，如果查找的结果是匹配，则执行PBR转发下一跳处理。

在上述查找匹配中，若同时匹配明细路由、Default PBR表项以及PBR表项时，则优先按照PBR转发下一跳处理；当同时匹配默认路由、Default PBR表项以及PBR表项时，也优先按照PBR转发下一跳处理；当同时匹配明细路由与Default PBR表项时，优先按照明细路由转发下一跳处理；当同时匹配默认路由与Default PBR表项时，优先按照Default PBR转发下一跳处理。也就是说，PBR、明细路由、Default PBR和默认路由的匹配优先级之间的关系为：路由查找的默认路由查找优先级＜默认策略路由的查找优先级＜路由查找的明细路由查找优先级＜策略路由的查找优先级。

与上述数据报文的芯片处理方法相对应的，如图5所示，本发明实施例所揭示的一种数据报文的芯片处理装置，包括：

报文解析模块，被设置为对接收到的数据报文进行解析，解析得到报文匹配信息。

路由查找模块，被设置为对接收到的数据报文进行路由查找，根据查找结果对报文进行相应的处理，并由查找结果得到路由匹配状态。

默认策略路由匹配模块，被设置为将数据报文的源IP地址和路由匹配状态作为默认策略路由的匹配关键字，对数据报文进行默认策略路由查找。

其中，报文解析模块、路由查找模块、默认策略路由匹配模块和策略路由匹配模块的原理可分别参照上述步骤S200～S400的描述，这里不做赘述。

本发明实施例的技术内容及技术特征已揭示如上，然而熟悉本领域的技术人员仍可能基于本发明实施例的教示及揭示而作种种不背离本发明实施例精神的替换及修饰，因此，本发明保护范围应不限于实施例所揭示的内容，而应包括各种不背离本发明实施例的替换及修饰，并为本专利申请权利要求所涵盖。

Claims

一种默认策略路由的芯片实现方法，所述方法包括：所述默认策略路由的查找匹配关键字配置为至少包括源IP地址和路由匹配状态，所述路由匹配状态根据网络芯片进行路由查找后的查找结果得到，所述默认策略路由的匹配优先级小于明确路由的匹配优先级。
根据权利要求1所述的一种默认策略路由的芯片实现方法，其中，所述默认策略路由通过复用ACL表项实现。
一种基于默认策略路由的数据报文的芯片处理方法，所述方法包括：

S200，芯片对接收到的数据报文进行路由查找，根据查找结果对报文进行相应的处理，并由查找结果得到路由匹配状态；

S300，芯片将数据报文的源IP地址和所述路由匹配状态作为默认策略路由的匹配关键字，对数据报文进行默认策略路由查找，若不匹配，则进入S400；

S400，芯片对数据报文进行策略路由查找，若匹配，则根据策略路由查找结果对报文进行转发下一跳处理。
根据权利要求3所述的数据报文的芯片处理方法，其中，在步骤S200之前，所述方法还包括：

S100，芯片对接收到的数据报文进行解析，解析得到报文匹配信息，所述报文匹配信息至少包括源IP地址和目的IP地址。
根据权利要求3或4所述的数据报文的芯片处理方法，其中，所述S200包括：

S201，将数据报文的目的IP地址作为路由查找关键字，并进行路由查找，若查找结果是匹配明细路由，则执行明细路由的转发下一跳处理，若查找结果是匹配默认路由，则进入S202；

S202，将数据报文执行默认路由的转发下一跳处理，并将查找得到的路由匹配状态用作默认策略路由查找。
根据权利要求5所述的数据报文的芯片处理方法，其中，步骤S300中，若匹配默认策略路由，则按照默认策略路由转发下一跳处理。
根据权利要求5所述的数据报文的芯片处理方法，其中，路由查找的默认路由查找优先级＜默认策略路由的查找优先级＜路由查找的明细路由查找优先级＜策略路由的查找优先级。
一种基于默认策略路由的数据报文的处理装置，所述装置包括：

路由查找模块，被设置为对接收到的数据报文进行路由查找，根据查找结果对报文进行相应的处理，并由查找结果得到路由匹配状态；

默认策略路由匹配模块，被设置为将数据报文的源IP地址和所述路由匹配状态作为默认策略路由的匹配关键字，对数据报文进行默认策略路由查找；

策略路由匹配模块，被设置为对数据报文进行策略路由查找，并根据策略路由查找结果对报文进行转发下一跳处理。
根据权利要求8所述的数据报文的处理装置，其中，所述装置还包括：

报文解析模块，被设置为对接收到的数据报文进行解析，解析得到报文匹配信息，所述报文匹配信息至少包括源IP地址和目的IP地址。
根据权利要求8所述的数据报文的处理装置，其中，所述路由查找模块的默认路由查找优先级＜默认策略路由匹配模块的查找优先级＜路由查找模块的明细路由查找优先级＜策略路由匹配模块的查找优先级。