WO2024045599A1

WO2024045599A1 - 报文匹配方法、计算机设备和计算机可读存储介质

Info

Publication number: WO2024045599A1
Application number: PCT/CN2023/085162
Authority: WO
Inventors: 林宁
Original assignee: 中兴通讯股份有限公司
Priority date: 2022-08-30
Filing date: 2023-03-30
Publication date: 2024-03-07
Also published as: CN115314564A

Abstract

本申请提供了一种报文匹配方法、计算机设备和计算机可读存储介质，涉及网络通信领域，该报文匹配方法包括：将第一网络设备的访问控制列表ACL匹配资源划分为固定字段资源组和可变字段资源组，固定字段资源组包括固定字段的集合，可变字段资源组包括可变字段的集合（S110）；接收待匹配报文，根据固定字段资源组中的固定字段和可变字段资源组中的可变字段对待匹配报文进行匹配，得到第一匹配结果（S120）；根据第一匹配结果确定对待匹配报文的匹配动作（S130）。

Description

报文匹配方法、计算机设备和计算机可读存储介质

相关申请的交叉引用

本申请基于申请号为202211048413.8、申请日为2022年08月30日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请涉及网络通信技术领域，特别涉及一种报文匹配方法、计算机设备和计算机可读存储介质。

背景技术

网络设备的访问控制列表(Access Control List，ACL)资源是有限的，其资源一般是按照长度和条目进行限制的，比如匹配128字节时，资源如果是8K，那么匹配256字节时，资源数量就会变成4K，匹配512字节时，资源数量就会变成2K。随着隧道业务的发展，经常需要对网络上的隧道封装的报文进行匹配，由于隧道头的长度已经消耗了比较多的报文长度，因此，对于ACL资源长度要求在不断的变长。

一般情况下，将多个报文中的相同或者重复字段称为固定字段，将多个报文中的不相同或者变化字段称为可变字段。相关技术中，如果需要对一个隧道封装的报文内部的某个位置进行流量匹配。就必须使用一个与其长度相当的ACL资源进行处理，例如隧道头部已经用去了128字节，则再往内部匹配就必须使用256字节资源的ACL，而往往需要匹配的字段可能不在隧道头部，而数据流的整个隧道头部信息都是一样的，将一样的隧道头部信息称为固定字段，每次匹配隧道报文的固定字段需要耗费大量资源，上述匹配对ACL整体资源的消耗是非常巨大的。

发明内容

本申请提供一种报文匹配方法、计算机设备和计算机可读存储介质。

本申请实施例的技术方案如下：

第一方面，本申请提供了一种报文匹配方法，应用于第一网络设备，所述方法包括：将所述第一网络设备的访问控制列表ACL匹配资源划分为固定字段资源组和可变字段资源组，所述固定字段资源组包括固定字段的集合，所述可变字段资源组包括可变字段的集合；接收待匹配报文，根据所述固定字段资源组中的固定字段和所述可变字段资源组中的可变字段对所述待匹配报文进行匹配，得到第一匹配结果；根据所述第一匹配结果确定对所述待匹配报文的匹配动作。

第二方面，本申请提供了一种报文匹配方法，应用于第一网络设备，所述方法包括：接收待匹配报文，根据所述第一网络设备的固定字段资源组中的固定字段对所述待匹配报文的第一固定字段进行匹配，得到第一匹配结果；在所述第一匹配结果指示匹配到所述第一固定字段的情况下，将所述待匹配报文发送给第二网络设备，以使根据所述第二网络设备的可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到第二匹配结果；接收所述第二网络设备返回的所述第二匹配结果；根据所述第二匹配结果确定对所述待匹配报文的匹配动作。

第三方面，本申请提供了一种报文匹配方法，应用于第一网络设备，所述方法包括：接收待匹配报文，将所述待匹配报文发送给第二网络设备，以使根据所述第二网络设备的固定字段资源组中的固定字段对所述待匹配报文的第二固定字段进行匹配，得到第一匹配结果；

接收所述第二网络设备返回的所述第一匹配结果；在所述第一匹配结果指示匹配到所述第二固定字段的情况下，根据所述第一网络设备的可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到第二匹配结果；根据所述第二匹配结果确定对所述待匹配报文的匹配动作。

第四方面，本申请提供了一种报文匹配方法，应用于第二网络设备，所述方法包括：接收第一网络设备发送的待匹配报文；根据所述第二网络设备的可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到第二匹配结果，并将所述第二匹配结果返回给所述第一网络设备，以使所述第一网络设备根据所述第二匹配结果确定对所述待匹配报文的匹配动作。

第五方面，本申请提供了一种报文匹配方法，应用于第二网络设备，所述方法包括：接收第一网络设备发送的待匹配报文；根据所述第二网络设备的固定字段资源组中的固定字段对所述待匹配报文的第二固定字段进行匹配，得到第一匹配结果，并将所述第一匹配结果返回给所述第一网络设备，以使所述第一网络设备根据所述第一网络设备的可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到第二匹配结果，根据所述第二匹配结果确定对所述待匹配报文的匹配动作。

第六方面，本申请提供了一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被一个或多个所述处理器执行时，使得一个或多个所述处理器执行如上第一方面、第二方面、第三方面、第四方面和第五方面描述的任一项所述方法的步骤。

第七方面，本申请还提供了一种计算机可读存储介质，所述存储介质可被处理器读写，所述存储介质存储有计算机指令，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行如上第一方面、第二方面、第三方面、第四方面和第五方面描述的任一项所述方法的步骤。

附图说明

图1是本申请的一个实施例提供的报文匹配方法的流程示意图；

图2是图1中步骤S120的一个子步骤流程示意图；

图3是本申请的另一个实施例提供的报文匹配方法的流程示意图；

图4是图1中步骤S130的一个子步骤流程示意图；

图5是本申请的另一个实施例提供的报文匹配方法的流程示意图；

图6是图5中步骤S240的一个子步骤流程示意图；

图7是本申请的另一个实施例提供的报文匹配方法的流程示意图；

图8是图7中步骤S340的一个子步骤流程示意图；

图9是本申请的另一个实施例提供的报文匹配方法的流程示意图；

图10是本申请的另一个实施例提供的报文匹配方法的流程示意图；

图11是本申请的一个实施例提供的环回端口匹配示意图；

图12是本申请的一个实施例提供的第二网络设备匹配示意图；

图13是本申请实施例提供的计算机设备的结构示意图；

图14是在一些情形下的报文匹配方法的示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的实施例仅仅用以解释本申请，并不用于限定本申请。

需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

相关技术中，如图14所示，报文包括物理地址MAC、虚拟局域网(Virtual Local Area Network，VLAN)标签、IP地址、以及报文数据DATA，在报文数据中可能还包括N个ACL条目，该报文的报文长度较长，在进行隧道业务的ACL资源匹配时，采用与报文等长的ACL资源对该报文进行对应的条目进行一一匹配，ACL的长度占用的资源较多，能够使用的资源就相对较少，完成报文匹配需要占用更多的ACL资源。

基于此，本申请实施例提供了一种报文匹配方法、计算机设备和计算机可读存储介质，本申请实施例包括将第一网络设备的访问控制列表ACL匹配资源划分为固定字段资源组和可变字段资源组，固定字段资源组包括固定字段的集合，可变字段资源组包括可变字段的集合，通过对ACL匹配资源进行划分，有利于对待匹配的报文进行多次筛选，减少资源使用；接收待匹配报文，根据固定字段资源组中的固定字段和可变字段资源组中的可变字段对待匹配报文进行匹配，得到第一匹配结果，由于集合中不包括重复元素，利用固定字段资源组对待匹配报文进行匹配，能够减少资源的使用，进而能够节省整体的ACL资源使用。根据第一匹配结果确定对待匹配报文的匹配动作。与在一些情形下使用与待匹配报文长度相当的ACL资源对固定字段的报文进行处理，消耗大量资源相比，本申请实施例通过将ACL匹配资源进行划分，对报文进行层级筛选，能够节省整体ACL资源的使用。

在一实施例中，该报文匹配方法主要应用于交换机或者路由器在ACL资源不足，或者需要进行超长的报文字段位置匹配的场景中，丰富了ACL的使用方法，并且节省了ACL的资源。该报文匹配方法对短报文的匹配也同样适用，这里不作赘述。

下面结合附图，对本申请实施例作进一步阐述。

参见图1，图1示出了本申请一个实施例提供的报文匹配方法的流程示意图，本申请实施例提供的报文匹配方法应用于第一网络设备，其中，第一网络设备可以为交换机，也可以为路由器，第一网络设备上具有接收端口和环回端口。该报文匹配方法包括但不限于有步骤S110、步骤S120和步骤S130。

步骤S110，将第一网络设备的访问控制列表ACL匹配资源划分为固定字段资源组和可变字段资源组，固定字段资源组包括固定字段的集合，可变字段资源组包括可变字段的集合。

在一实施例中，将第一网络设备的访问控制列表ACL匹配资源划分为固定字段资源组和可变字段资源组，固定字段资源组包括固定字段的集合，固定字段的集合为符合预设的ACL匹配规则的报文对应的固定字段构成的集合，ACL匹配规则包含了匹配长度和匹配条目，该匹配长度可以为32字节，也可以为64字节，能够根据报文长度进行设定，这里不作赘述；由于固定字段为多个报文中的相同或者重复字段，集合中的元素都是不同的，固定字段对应的匹配条目只有一条，有利于后续使用这一条匹配条目对待匹配报文的固定字段进行匹配，从而减少对ACL匹配资源的使用。可变字段资源组包括符合预设的ACL匹配规则的报文对应的可变字段的集合，可变字段的集合为符合预设的ACL匹配规则的报文对应的可变字段构成的集合，预设的ACL匹配规则包含了匹配长度和匹配条目，该匹配长度可以为32字节，也可以为64字节，能够根据报文长度进行设定，这里不作赘述；该匹配条目为报文的可变字段对应的多个匹配条目，即是说，匹配条目是对可变字段匹配情况的一一列举，实现对报文的不同字段的匹配。将ACL匹配资源划分为固定字段资源组和可变字段资源组，能够实现报文的层级筛选，将对ACL匹配资源的使用从乘积消耗转变为加法消耗，减少资源的使用。

步骤S120，接收待匹配报文，根据固定字段资源组中的固定字段和可变字段资源组中的可变字段对待匹配报文进行匹配，得到第一匹配结果。

如图2所示，根据固定字段资源组中的固定字段和可变字段资源组中的可变字段对待匹配报文进行匹配，得到第一匹配结果，包括但不限于有以下步骤：

步骤S121，根据固定字段资源组中的固定字段对待匹配报文的第一固定字段进行匹配，得到第二匹配结果。

在一实施例中，通过固定字段资源组中的固定字段对待匹配报文的第一固定字段进行匹配，得到第二匹配结果。对于每一个待匹配报文的第一固定字段来说，均采用该固定字段资源组的一条匹配条目进行匹配，而不是使用多条匹配条目进行匹配，节省了对ACL匹配资源的使用。其中，第一固定字段为封装在待匹配报文最外层的报文头部字段，或者为在报文匹配过程中最先匹配的字段；第二匹配结果为第一固定字段的匹配结果。

在一实施例中，根据得到的第二匹配结果，在第二匹配结果指示未匹配到第一固定字段的情况下，表示固定字段资源组的固定字段匹配到待匹配报文的固定字段并且拒绝通过该待匹配报文，或者固定字段资源组的固定字段没有匹配到待匹配报文的固定字段，不再进行后续匹配操作，直接丢弃该待匹配报文。丢弃待匹配报文有利于限制网络流量，提高网络性能。

步骤S122，在第二匹配结果指示匹配到第一固定字段的情况下，根据可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第一匹配结果。

在一实施例中，根据步骤S121得到的第二匹配结果，在第二匹配结果指示匹配到第一固定字段的情况下，表示固定字段资源组的固定字段匹配到待匹配报文的第一固定字段，并且允许该待匹配报文的第一固定字段通过，利用可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第一匹配结果。通过固定字段资源组和可变字段资源组对待匹配报文进行多级筛选，能够减少匹配长度和匹配条目，从而减少对整体ACL匹配资源的使用，避免了使用过长的匹配长度，而导致ACL匹配资源不足。其中，第一匹配结果为对待匹配报文的字段均进行匹配后得到的结果。

如图3所示，该报文匹配方法还包括但不限于有以下步骤：

步骤S123，第一网络设备的接收端口上配置有固定字段资源组，接收端口用于接收待匹配报文，并在接收端口上根据固定字段资源组中的固定字段对待匹配报文的第一固定字段进行匹配，得到第二匹配结果。

在一实施例中，通过接收端口接收待匹配报文，在接收端口上根据配置的固定字段资源组对待匹配报文的第一固定字段进行匹配，得到第二匹配结果。通过在接收端口上进行第一固定字段的匹配，而不是所有字段均进行匹配，能够减少匹配使用的匹配长度，从而使得有充足的ACL匹配资源使用。

在一实施例中，在接收端口上对隧道报文头部中的物理地址和标签头部进行匹配，标签头部位于报文中物理地址和IP地址之间，物理地址和标签头部均为固定字段，利用固定字段资源组中的固定字段进行物理地址和标签头部的匹配。若要匹配的重要字段在物理地址内，则无需再对待匹配报文进行匹配，根据匹配结果执行后续执行动作；若要匹配的重要字段没在物理地址内，则再进行后续步骤的匹配处理。

步骤S124，第一网络设备的第一环回端口上配置有固定字段资源组，在第二匹配结果指示匹配到第一固定字段的情况下，在第一环回端口上根据固定字段资源组中的固定字段对待匹配报文的第二固定字段进行匹配，得到第三匹配结果，第二固定字段为除了第一固定字段以外的固定字段。

在一实施例中，第一网络设备的第一环回端口上配置有固定字段资源组，在第二匹配结果指示匹配到第一固定字段的情况下，表示固定字段资源组的固定字段匹配到待匹配报文的第一固定字段，并且允许该待匹配报文的第一固定字段通过，将待匹配报文重定向至第一环回端口，在第一环回端口上根据固定字段资源组中的固定字段对待匹配报文的第二固定字段进行匹配，得到第三匹配结果。通过在第一环回端口上进行第二固定字段的匹配，能够对待匹配报文再次进行筛选，通过层级筛选，将对ACL匹配资源的使用从乘积消耗转变为加法消耗，减少资源的使用。其中，第二固定字段为除了第一固定字段以外的固定字段可以为封装在待匹配报文次外层的报文头部字段，或者为在报文匹配过程中最先匹配之后匹配的字段；第三匹配结果为对第二固定字段进行匹配的结果；第一环回端口是一种特殊的接口，它不是物理接口，而是一种看不见摸不着的逻辑接口，在第一网络设备上可以通过配置命令来创建一个或多个环回接口，并且可以和配置物理接口一样，配置环回接口的IP地址和掩码，环回接口的掩码一般为全1。

在一实施例中，在第一环回端口对隧道报文头部中的IP地址进行匹配，IP地址为固定字段的情况下，利用第一环回端口的固定字段资源组中的固定字段进行IP地址的匹配。若要匹配的重要字段在IP地址内，则无需再对待匹配报文进行匹配，根据匹配结果执行后续执行动作；若要匹配的重要字段没在IP地址内，则再将待匹配报文重定位至第二环回端口，处理步骤与第一环回端口的报文匹配类似，这里不作赘述。通过多级匹配，从而避免使用超长的ACL匹配长度进行匹配，进而能够节省整体的ACL资源使用。

在一实施例中，根据得到的第三匹配结果，在第三匹配结果指示未匹配到第二固定字段的情况下，表示固定字段资源组的固定字段匹配到待匹配报文的固定字段并且拒绝通过该待匹配报文，或者固定字段资源组的固定字段没有匹配到待匹配报文的固定字段，不再进行后续匹配操作，直接丢弃该待匹配报文。丢弃待匹配报文有利于限制网络流量，提高网络性能。

步骤S125，第一网络设备的第二环回端口上配置有可变字段资源组，在第三匹配结果指示匹配到第二固定字段的情况下，在第二环回端口上根据可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第一匹配结果。

在一实施例中，第一网络设备的第二环回端口上配置有固定字段资源组，在第三匹配结果指示匹配到第二固定字段的情况下，表示固定字段资源组的固定字段匹配到待匹配报文的第二固定字段，并且允许该待匹配报文的第二固定字段通过，将待匹配报文重定向至第二环回端口，在第二环回端口上根据可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第一匹配结果。通过上述层级筛选，不仅能够得到最终转发的报文，还能够将对ACL匹配资源的使用从乘积消耗转变为加法消耗，节省整体ACL匹配资源的使用。第二环回端口是一种特殊的接口，它不是物理接口，而是一种看不见摸不着的逻辑接口。

在一实施例中，在第二环回端口对数据部分进行匹配，数据部分为可变字段的情况下，利用第二环回端口的可变字段资源组中的可变字段进行数据部分的匹配。若要匹配的重要字段在数据部分内，则无需再对待匹配报文进行匹配，根据匹配结果执行后续执行动作；若要匹配的重要字段没在该数据部分内，则再将待匹配报文重定位至下一个环回端口，处理步骤与第一环回端口的报文匹配类似，进行剩余数据部分的匹配，这里不作赘述。通过多级匹配，从而避免使用超长的ACL匹配长度进行匹配，进而能够节省整体的ACL资源使用。

步骤S130，根据第一匹配结果确定对待匹配报文的匹配动作。

如图4所示，根据第一匹配结果确定对待匹配报文的匹配动作，包括但不限于有以下步骤：

步骤S131，在第一匹配结果指示匹配到可变字段的情况下，上传待匹配报文至中央处理单元或者转发待匹配报文。

在一实施例中，根据步骤S120得到的第一匹配结果，在第一匹配结果指示匹配到可变字段的情况下，表示固定字段资源组和可变字段资源组匹配到待匹配报文的所有字段，并且允许该待匹配报文通过，则上传待匹配报文至中央处理单元或者转发待匹配报文。当为上传待匹配报文至中央处理单元，通过中央处理单元查询转发表，进行待匹配报文转发；当为转发待匹配报文，直接根据待匹配报文的目的地址进行报文转发。

步骤S132，在第一匹配结果指示未匹配到可变字段的情况下，结束匹配，丢弃待匹配报文。

在一实施例中，根据步骤S120得到的第一匹配结果，在第一匹配结果指示未匹配到可变字段的情况下，表示可变字段资源组匹配到待匹配报文的可变字段并且拒绝通过该待匹配报文，或者可变字段资源组没有匹配到待匹配报文的可变字段，不再进行后续匹配操作，直接丢弃该待匹配报文。丢弃待匹配报文有利于限制网络流量，提高网络性能。

在一实施例中，第一网络设备的第一环回端口上配置有可变字段资源组，在第二匹配结果指示匹配到第一固定字段的情况下，在第一环回端口上根据可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第三匹配结果。通过在第一环回端口上进行可变字段的匹配，能够对待匹配报文再次进行筛选，通过层级筛选，将对ACL匹配资源的使用从乘积消耗转变为加法消耗，减少资源的使用。其中，第三匹配结果为对可变字段匹配的结果。

参见图11，图11示出了本申请一个实施例提供的环回端口匹配示意图，第一网络设备上设置有接收端口、环回端口1和环回端口2，匹配的重要字段在报文数据部分，先通过第一网络设备的接收端口获取待匹配报文，并在接收端口上根据固定字段资源组对待匹配报文进行物理地址和VLAN进行匹配，得到第一匹配结果，在第一匹配结果指示没有匹配到的情况下，将待匹配报文丢弃；在第一匹配结果指示匹配到的情况下，将待匹配报文重定向至第一网络设备的环回端口1，在环回端口1上根据可变字段资源组进行IP地址匹配，得到第二匹配结果；在第二匹配结果指示没有匹配到的情况下，将待匹配报文丢弃；在第二匹配结果指示匹配到的情况下，将待匹配报文重定向至第一网络设备的环回端口2，在环回端口2上根据可变字段资源组进行报文数据匹配，得到第三匹配结果；在第三匹配结果指示没有匹配到的情况下，将待匹配报文丢弃；在第三匹配结果指示匹配到的情况下，并且匹配到重要字段，第一网络设备将待匹配报文上送至中央处理单元。通过多个环回端口进行匹配不同ACL条目的匹配，利用不同端口预设的ACL匹配规则匹配ACL条目占用的ACL资源较少，减少了资源占用。

在一实施例中，需要筛选的报文的源物理地址为：00:11:22:33:44:55，目的物理地址为：00:55:44:33:22:11，标签为：12345，目的IP地址：10.10.10.1，源IP地址：20.20.20.1，需要匹配的报文载荷为IP头部后面的一个为0xEFEFEFEF的字段，若匹配到此报文则将此报文上送中央处理单元。匹配方式如下：首先第一网络设备的接收端口收到待匹配报文，并配置有固定字段资源组，筛选匹配源物理地址：00:11:22:33:44:55，目的物理地址：00:55:44:33:22:11，标签为：12345的报文，重定向到环回端口1，将所有源目的物理地址和隧道标签符合要求的报文进入环回端口1；然后环回端口1上设置可变字段资源组，筛选匹配目的IP地址：10.10.10.1，源IP地址：20.20.20.1的报文到环回端口2，所有符合目的IP地址：10.10.10.1，源IP地址：20.20.20.1的报文进入环回端口2，最后环回端口2上设置可变字段资源组，筛选匹配IP头部的后4个字节为0xEFEFEFEF，执行动作为所有报文上送中央处理单元。通过三轮筛选，即可将报文正确匹配出来上送至中央处理单元，且每一轮ACL的配置长度均未超过32字节。然而，如果用普通的ACL匹配方式，要匹配到此位置的报文则要使用一个64字节长度的ACL才可以。如果此处需要匹配的条目有N条，本申请实施例匹配使用的资源为32*(N+1)，而传统方法要使用64*N的ACL资源，因此，该报文匹配方法能够有效地减少资源的使用。

在一实施例中，筛选匹配的重要字段为IP头部的后4个字节的报文数据部分，报文数据部分还可以包括M个ACL条目，若匹配的数据处于报文数据部分的靠后位置，或者IP头部包括N个ACL条目，则需在第一网络设备上设置较多的环回端口，完成多次ACL筛选，能够扩展ACL对超长报文的匹配，使得对报文的匹配理论上可以不受限于ACL的长度，还能够减少资源的使用。

参见图5，图5示出了本申请另一个实施例提供的报文匹配方法的流程示意图，本申请实施例提供的报文匹配方法应用于第一网络设备，其中，第一网络设备可以为交换机，也可以为路由器，第一网络设备上具有接收端口和环回端口。该报文匹配方法包括但不限于有步骤S210、步骤S220、步骤S230和步骤S240。

步骤S210，接收待匹配报文，根据第一网络设备的固定字段资源组中的固定字段对待匹配报文的第一固定字段进行匹配，得到第一匹配结果。

在一实施例中，接收到待匹配报文，然后通过第一网络设备的固定字段资源组中的固定字段对待匹配报文的第一固定字段进行匹配，得到第一匹配结果。对于每一个待匹配报文的第一固定字段来说，均采用该固定字段资源组的一条匹配条目进行匹配，而不是使用多条匹配条目进行匹配，节省了对ACL匹配资源的使用。其中，第一固定字段为封装在待匹配报文最外层的报文头部字段，或者为在报文匹配过程中最先匹配的字段；第一匹配结果为在第一网络设备侧对待匹配报文的第一固定字段的匹配结果。

在一实施例中，根据得到的第一匹配结果，在第一匹配结果指示未匹配到第一固定字段的情况下，表示固定字段资源组的固定字段匹配到待匹配报文的固定字段并且拒绝通过该待匹配报文，或者固定字段资源组的固定字段没有匹配到待匹配报文的固定字段，不再进行后续匹配操作，直接丢弃该待匹配报文。丢弃待匹配报文有利于限制网络流量，提高网络性能。

步骤S220，在第一匹配结果指示匹配到第一固定字段的情况下，将待匹配报文发送给第二网络设备，以使根据第二网络设备的可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第二匹配结果。

在一实施例中，根据步骤S210得到的第一匹配结果，在第一匹配结果指示匹配到第一固定字段的情况下，表示固定字段资源组的固定字段匹配到待匹配报文的第一固定字段，并且允许该待匹配报文的第一固定字段通过，将待匹配报文发送给第二网络设备，以使根据第二网络设备的可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第二匹配结果。将待匹配报文发送给第二网络设备，通过将ACL匹配资源的消耗分配到多台设备上，避免一台设备上ACL匹配资源不足的情况。其中，第二匹配结果为在第二网络设备上得到的结果。

步骤S230，接收第二网络设备返回的第二匹配结果。

在一实施例中，接收到第二网络设备发送的第二匹配结果，实现了多次匹配筛选，从而避免了使用较长的ACL进行匹配，从而能够减少ACL资源的使用。

步骤S240，根据第二匹配结果确定对待匹配报文的匹配动作。

如图6所示，根据第二匹配结果确定对待匹配报文的匹配动作，包括：

步骤S241，在第二匹配结果指示匹配到可变字段的情况下，上传待匹配报文至中央处理单元或者转发待匹配报文。

在一实施例中，根据步骤S230得到的第二匹配结果，在第二匹配结果指示匹配到可变字段的情况下，表示固定字段资源组和可变字段资源组匹配到待匹配报文的所有字段，并且允许该待匹配报文通过，则上传待匹配报文至中央处理单元或者转发待匹配报文。当为上传待匹配报文至中央处理单元，通过中央处理单元查询转发表，进行待匹配报文转发；当为转发待匹配报文，直接根据待匹配报文的目的地址进行报文转发。

步骤S242，在第二匹配结果指示未匹配到可变字段的情况下，结束匹配，丢弃待匹配报文。

在一实施例中，根据步骤S230得到的第二匹配结果，在第二匹配结果指示未匹配到可变字段的情况下，表示可变字段资源组的可变字段匹配到待匹配报文的可变字段并且拒绝通过该待匹配报文，或者可变字段资源组没有匹配到待匹配报文的可变字段，不再进行后续匹配操作，直接丢弃该待匹配报文。丢弃待匹配报文有利于限制网络流量，提高网络性能。

参见图7，图7示出了本申请另一个实施例提供的报文匹配方法的流程示意图，本申请实施例提供的报文匹配方法应用于第一网络设备，其中，第一网络设备可以为交换机，也可以为路由器，第一网络设备上具有接收端口和环回端口。该报文匹配方法包括但不限于有步骤S310、步骤S320、步骤S330和步骤S340。

步骤S310，接收待匹配报文，将待匹配报文发送给第二网络设备，以使根据第二网络设备的固定字段资源组中的固定字段对待匹配报文的第二固定字段进行匹配，得到第一匹配结果。

在一实施例中，首先接收待匹配报文，可以先通过第一网络设备的固定字段资源组的固定字段对待匹配报文的第一固定字段进行匹配，固定字段资源组的固定字段对待匹配报文的第一固定字段相匹配的情况下，将待匹配报文发送给第二网络设备，以使根据第二网络设备的固定字段资源组中的固定字段对待匹配报文的第二固定字段进行匹配，得到第一匹配结果。也可以为第一网络设备不进行处理，直接将待匹配报文发送给第二网络设备进行匹配，设置有多台第二网络设备，在一台第二网络设备上通过配置固定字段资源组的固定字段对待匹配报文的第一固定字段进行匹配，再将待匹配报文重定向至另一台第二网络设备，以使根据第二网络设备的固定字段资源组中的固定字段对待匹配报文的第二固定字段进行匹配，得到第一匹配结果。通过将ACL匹配资源的消耗分配到多台设备上，避免一台设备上ACL匹配资源不足的情况。其中，第二固定字段为除了第一固定字段以外的固定字段，可以为封装在待匹配报文次外层的报文头部字段，或者为在报文匹配过程中最先匹配之后匹配的字段；第一匹配结果为在第二网络设备上得到的结果；第二网络设备可以有多台，待匹配报文能够在多台第二网络设备转发以进行匹配。

步骤S320，接收第二网络设备返回的第一匹配结果。

在一实施例中，接收到第二网络设备发送的第一匹配结果，实现了多次匹配筛选，从而避免了使用较长的ACL进行匹配，从而能够减少ACL资源的使用。

在一实施例中，根据得到的第一匹配结果，在第一匹配结果指示未匹配到第二固定字段的情况下，表示固定字段资源组的固定字段匹配到待匹配报文的固定字段并且拒绝通过该待匹配报文，或者固定字段资源组的固定字段没有匹配到待匹配报文的固定字段，不再进行后续匹配操作，直接丢弃该待匹配报文。丢弃待匹配报文有利于限制网络流量，提高网络性能。

步骤S330，在第一匹配结果指示匹配到第二固定字段的情况下，根据第一网络设备的可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第二匹配结果。

在一实施例中，在第一匹配结果匹配到第二固定字段的情况下，利用第一网络设备的可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第二匹配结果。通过固定字段资源组和可变字段资源组对待匹配报文进行多级筛选，能够减少匹配长度和匹配条目，从而减少对整体ACL匹配资源的使用，避免了使用过长的匹配长度，而导致ACL匹配资源不足。其中，第二匹配结果为第一网络设备侧对待匹配报文的字段均进行匹配后得到的结果。

步骤S340，根据第二匹配结果确定对待匹配报文的匹配动作。

如图8所示，根据第二匹配结果确定对待匹配报文的匹配动作，包括：

步骤S341，在第二匹配结果指示匹配到可变字段的情况下，上传待匹配报文至中央处理单元或者转发待匹配报文。

在一实施例中，根据步骤S330得到的第二匹配结果，在第二匹配结果指示匹配到可变字段的情况下，表示固定字段资源组和可变字段资源组匹配到待匹配报文的所有字段，并且允许该待匹配报文通过，则上传待匹配报文至中央处理单元或者转发待匹配报文。当为上传待匹配报文至中央处理单元，通过中央处理单元查询转发表，进行待匹配报文转发；当为转发待匹配报文，直接根据待匹配报文的目的地址进行报文转发。

步骤S342，在第二匹配结果指示未匹配到可变字段的情况下，结束匹配，丢弃待匹配报文。

在一实施例中，根据步骤S330得到的第二匹配结果，在第二匹配结果指示未匹配到可变字段的情况下，表示可变字段资源组的可变字段匹配到待匹配报文的可变字段并且拒绝通过该待匹配报文，或者可变字段资源组的可变字段没有匹配到待匹配报文的可变字段，不再进行后续匹配操作，直接丢弃该待匹配报文。丢弃待匹配报文有利于限制网络流量，提高网络性能。

参见图9，图9示出了本申请另一个实施例提供的报文匹配方法的流程示意图，本申请实施例提供的报文匹配方法应用于第二网络设备，其中，第二网络设备可以为交换机，也可以为路由器，第二网络设备可以为多台。该报文匹配方法包括但不限于有步骤S410和步骤S420。

步骤S410，接收第一网络设备发送的待匹配报文。

在一实施例中，接收第一网络设备发送的待匹配报文，表示待匹配报文通过了第一网络设备侧的匹配，可以为通过了待匹配报文的固定字段的匹配，也可以为通过了待匹配报文的可变字段的匹配，有利于后续第二网络设备对该待匹配报文进行匹配，以确定是否转发该待匹配报文。

步骤S420，根据第二网络设备的可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第二匹配结果，并将第二匹配结果返回给第一网络设备，以使第一网络设备根据第二匹配结果确定对待匹配报文的匹配动作。

在一实施例中，利用第二网络设备的可变字段资源组中的可变字段对接收的待匹配报文的可变字段进行匹配，得到第二匹配结果，并将第二匹配结果返回给第一网络设备，以使第一网络设备根据第二匹配结果确定对待匹配报文的匹配动作。通过将ACL匹配资源的消耗分配到多台第二网络设备上，能够避免第一网络设备上ACL匹配资源不足的情况。

参见图10，图10示出了本申请另一个实施例提供的报文匹配方法的流程示意图，本申请实施例提供的报文匹配方法应用于第二网络设备，其中，第二网络设备可以为交换机，也可以为路由器，第二网络设备可以为多台。该报文匹配方法包括但不限于有步骤S510和步骤S520。

步骤S510，接收第一网络设备发送的待匹配报文。

在一实施例中，接收第一网络设备发送的待匹配报文，表示待匹配报文通过了第一网络设备侧的匹配，可以通过了待匹配报文的第一固定字段的匹配，或者未进行匹配直接将待匹配报文发送给第二网络设备，有利于后续第二网络设备对该待匹配报文进行匹配，以确定是否转发该待匹配报文。

步骤S520，根据第二网络设备的固定字段资源组中的固定字段对待匹配报文的第二固定字段进行匹配，得到第一匹配结果，并将第一匹配结果返回给第一网络设备，以使第一网络设备根据第一网络设备的可变字段资源组中的可变字段对待匹配报文的可变字段进行匹配，得到第二匹配结果，根据第二匹配结果确定对待匹配报文的匹配动作。

在一实施例中，在第一网络设备侧固定字段资源组中的固定字段与待匹配报文的第一固定字段相匹配且允许通过待匹配报文，利用第二网络设备的固定字段资源组中的固定字段对接收的待匹配报文的第二固定字段进行匹配，得到第一匹配结果，并将第二匹配结果返回给第一网络设备，以使第一网络设备根据第二匹配结果确定对待匹配报文的匹配动作。还可以为利用一台第二网络设备的固定字段资源组中的固定字段与待匹配报文的第一固定字段相匹配且允许通过待匹配报文，再将待匹配报文重定向至另一台第二网络设备，利用另一台第二网络设备的固定字段资源组中的固定字段对接收的待匹配报文的第二固定字段进行匹配，得到第一匹配结果，并将第二匹配结果返回给第一网络设备，以使第一网络设备根据第二匹配结果确定对待匹配报文的匹配动作。通过将ACL匹配资源的消耗分配到多台第二网络设备上，能够避免第一网络设备上ACL匹配资源不足的情况。其中，第二匹配结果为第二网络设备侧固定字段的匹配结果。

参见图12，图12示出了本申请实施例提供的第二网络设备匹配示意图。第一网络设备上未设置有环回端口，匹配的重要字段在报文数据部分，先通过第一网络设备获取待匹配报文，并根据固定字段资源组的固定字段对待匹配报文进行物理地址和VLAN进行匹配，得到第一匹配结果，在第一匹配结果指示没有匹配到的情况下，将待匹配报文丢弃；在第一匹配结果指示匹配到的情况下，将待匹配报文重定向至第二网络设备，在第二网络设备上根据固定字段资源组的固定字段进行IP地址匹配，得到第二匹配结果；在第二匹配结果指示没有匹配到的情况下，将待匹配报文丢弃；在第二匹配结果指示匹配到的情况下，将待匹配报文重定向至第一网络设备，第一网络设备根据可变字段资源组的可变字段进行报文数据匹配，得到第三匹配结果；在第三匹配结果指示没有匹配到的情况下，将待匹配报文丢弃；在第三匹配结果指示匹配到的情况下，即匹配到重要字段，第一网络设备将待匹配报文上送至中央处理单元。通过多个网络设备进行匹配不同ACL条目的匹配，不同端口预设的ACL匹配规则匹配ACL条目占用的ACL资源较少，减少了资源占用。

在一实施例中，需要筛选的报文的源物理地址为：00:11:22:33:44:55，目的物理地址为： 00:55:44:33:22:11，标签为：12345，目的IP地址：10.10.10.1，源IP地址：20.20.20.1，需要匹配的报文载荷为IP头部后面的一个为0xEFEFEFEF的字段，若匹配到此报文则将此报文上送中央处理单元。匹配方式如下：首先第一网络设备的接收端口收到待匹配报文，并配置有固定字段资源组，筛选匹配源物理地址：00:11:22:33:44:55，目的物理地址：00:55:44:33:22:11，标签为：12345的报文，重定向到与第二网络设备相连的端口2，将所有源目的物理地址和隧道标签符合要求的报文通过端口2发往给第二网络设备；然后第二网络设备的接收端口2上设置固定字段资源组，筛选匹配目的IP地址：10.10.10.1，源IP地址：20.20.20.1到第二网络设备的接收端口3，所有符合目的IP地址：10.10.10.1，源IP地址：20.20.20.1的报文通过端口3发回给第一网络设备，最后第一网络设备端口3上设置可变字段资源组，筛选匹配IP头部的后4个字节为0xEFEFEFEF，执行动作为所有报文上送中央处理单元。通过两台设备之间的三轮筛选，即可将报文正确匹配出来上送至第一网络设备的中央处理单元，且每一轮ACL的配置长度，均未超过32字节。如果此处需要匹配的条目有N条，本申请实施例匹配使用的资源为32*(N+1)，其中有一个32字节的ACL匹配资源，被分担到了第二网络设备上。

在一实施例中，筛选匹配的重要字段为IP头部的后4个字节的报文数据部分，报文数据部分还可以包括M个ACL条目，若匹配的数据处于报文数据部分的靠后位置，则需通过多个网络设备，完成多次ACL筛选，能够扩展ACL对超长报文的匹配，使得对报文的匹配理论上可以不受限于ACL的长度。

本申请实施例描述的设备以及应用场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域技术人员可知，随着新应用场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本领域技术人员可以理解的是，图11和图12中示出的环回端口匹配和第二网络设备匹配并不构成对本申请实施例的限定，可以包括比图示更多或更少的模块，或者组合某些部件，或者不同的部件布置。

上述实施方式描述的处理流程是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，若存在多路径的隧道业务或者其他业务模式也同样适用。

参见图13，图13示出了本申请实施例提供的计算机设备900。该计算机设备900可以是服务器或者终端，该计算机设备900的内部结构包括但不限于：

存储器910，用于存储程序；

处理器920，用于执行存储器910存储的程序，当处理器920执行存储器910存储的程序时，处理器920用于执行上述的报文匹配方法。

处理器920和存储器910可以通过总线或者其他方式连接。

存储器910作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序，如本申请任意实施例描述的报文匹配方法。处理器920通过运行存储在存储器910中的非暂态软件程序以及指令，从而实现上述的报文匹配方法。

存储器910可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储执行上述的报文匹配方法。此外，存储器910可以包括高速随机存取存储器，还可以包括非暂态存储器，比如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器910可包括相对于处理器920远程设置的存储器，这些远程存储器可以通过网络连接至该处理器920。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

实现上述的报文匹配方法所需的非暂态软件程序以及指令存储在存储器910中，当被一个或者多个处理器920执行时，执行本申请任意实施例提供的报文匹配方法。

本申请实施例还提供了一种计算机可读存储介质，存储有计算机可执行指令，计算机可执行指令用于执行上述的报文匹配方法。

在一实施例中，该存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个控制处理器920执行，比如，被上述计算机设备900中的一个处理器920执行，可使得上述一个或多个处理器920执行本申请任意实施例提供的报文匹配方法。

本申请实施例包括：将所述第一网络设备的访问控制列表ACL匹配资源划分为固定字段资源组和可变字段资源组，所述固定字段资源组包括固定字段的集合，所述可变字段资源组包括可变字段的集合，通过对ACL匹配资源进行划分，有利于对待匹配的报文进行多次筛选，减少资源使用；接收待匹配报文，根据所述固定字段资源组中的固定字段和所述可变字段资源组中的可变字段对所述待匹配报文进行匹配，得到第一匹配结果，由于集合中不包括重复元素，利用固定字段资源组对待匹配报文进行匹配，能够减少资源的使用，进而能够节省整体的ACL资源使用。根据第一匹配结果确定对待匹配报文的匹配动作。与在一些情形下使用与待匹配报文长度相当的ACL资源对固定字段的报文进行处理，消耗大量资源相比，本申请实施例通过将ACL匹配资源进行划分，对报文进行层级筛选，能够节省整体ACL资源的使用。

以上所描述的实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包括计算机可读指令、数据结构、程序模块或者诸如或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

Claims

一种报文匹配方法，应用于第一网络设备，所述方法包括：

将所述第一网络设备的访问控制列表ACL匹配资源划分为固定字段资源组和可变字段资源组，所述固定字段资源组包括固定字段的集合，所述可变字段资源组包括可变字段的集合；

接收待匹配报文，根据所述固定字段资源组中的固定字段和所述可变字段资源组中的可变字段对所述待匹配报文进行匹配，得到第一匹配结果；

根据所述第一匹配结果确定对所述待匹配报文的匹配动作。
根据权利要求1所述的方法，其中，所述根据所述固定字段资源组中的固定字段和所述可变字段资源组中的可变字段对所述待匹配报文进行匹配，得到第一匹配结果，包括：

根据所述固定字段资源组中的固定字段对所述待匹配报文的第一固定字段进行匹配，得到第二匹配结果；

在所述第二匹配结果指示匹配到所述第一固定字段的情况下，根据所述可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到所述第一匹配结果。
根据权利要求2所述的方法，其中，所述第一网络设备的接收端口上配置有所述固定字段资源组，所述接收端口用于接收所述待匹配报文，并在所述接收端口上根据所述固定字段资源组中的固定字段对所述待匹配报文的第一固定字段进行匹配，得到第二匹配结果；

所述第一网络设备的第一环回端口上配置有所述固定字段资源组，在所述第二匹配结果指示匹配到所述第一固定字段的情况下，在所述第一环回端口上根据所述固定字段资源组中的固定字段对所述待匹配报文的第二固定字段进行匹配，得到第三匹配结果，所述第二固定字段为除了所述第一固定字段以外的固定字段；

所述第一网络设备的第二环回端口上配置有所述可变字段资源组，在所述第三匹配结果指示匹配到所述第二固定字段的情况下，在所述第二环回端口上根据所述可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到第一匹配结果。
根据权利要求2或3所述的方法，其中，在所述根据所述固定字段资源组中的固定字段对所述待匹配报文的第一固定字段进行匹配，得到第二匹配结果之后，所述方法还包括：

在所述第二匹配结果指示未匹配到所述第一固定字段的情况下，结束匹配，丢弃所述待匹配报文。
根据权利要求2所述的方法，其中，所述根据所述第一匹配结果确定对所述待匹配报文的匹配动作，包括：

在所述第一匹配结果指示匹配到所述可变字段的情况下，上传所述待匹配报文至中央处理单元或者转发所述待匹配报文；

在所述第一匹配结果指示未匹配到所述可变字段的情况下，结束匹配，丢弃所述待匹配报文。
一种报文匹配方法，应用于第一网络设备，所述方法包括：

接收待匹配报文，根据所述第一网络设备的固定字段资源组中的固定字段对所述待匹配报文的第一固定字段进行匹配，得到第一匹配结果；

在所述第一匹配结果指示匹配到所述第一固定字段的情况下，将所述待匹配报文发送给第二网络设备，以使根据所述第二网络设备的可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到第二匹配结果；

接收所述第二网络设备返回的所述第二匹配结果；

根据所述第二匹配结果确定对所述待匹配报文的匹配动作。
根据权利要求6所述的方法，其中，在所述接收待匹配报文，根据所述第一网络设备的固定字段资源组中的固定字段对所述待匹配报文的第一固定字段进行匹配，得到第一匹配结果之后，所述方法还包括：

在所述第一匹配结果指示未匹配到所述第一固定字段的情况下，结束匹配，丢弃所述待匹配报文。
根据权利要求6所述的方法，其中，所述根据所述第二匹配结果确定对所述待匹配报文的匹配动作，包括：

在所述第二匹配结果指示匹配到所述可变字段的情况下，上传所述待匹配报文至中央处理单元或者转发所述待匹配报文；

在所述第二匹配结果指示未匹配到所述可变字段的情况下，结束匹配，丢弃所述待匹配报文。
一种报文匹配方法，应用于第一网络设备，所述方法包括：

接收待匹配报文，将所述待匹配报文发送给第二网络设备，以使根据所述第二网络设备的固定字段资源组中的固定字段对所述待匹配报文的第二固定字段进行匹配，得到第一匹配结果；

接收所述第二网络设备返回的所述第一匹配结果；

在所述第一匹配结果指示匹配到所述第二固定字段的情况下，根据所述第一网络设备的可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到第二匹配结果；

根据所述第二匹配结果确定对所述待匹配报文的匹配动作。
根据权利要求9所述的方法，其中，在所述接收所述第二网络设备返回的所述第一匹配结果之后，所述方法还包括：

在所述第一匹配结果指示未匹配到所述第二固定字段的情况下，结束匹配，丢弃所述待匹配报文。
根据权利要求9所述的方法，其中，所述根据所述第二匹配结果确定对所述待匹配报文的匹配动作，包括：

在所述第二匹配结果指示匹配到所述可变字段的情况下，上传所述待匹配报文至中央处理单元或者转发所述待匹配报文；

在所述第二匹配结果指示未匹配到所述可变字段的情况下，结束匹配，丢弃所述待匹配报文。
一种报文匹配方法，应用于第二网络设备，所述方法包括：

接收第一网络设备发送的待匹配报文；

根据所述第二网络设备的可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到第二匹配结果，并将所述第二匹配结果返回给所述第一网络设备，以使所述第一网络设备根据所述第二匹配结果确定对所述待匹配报文的匹配动作。
一种报文匹配方法，应用于第二网络设备，所述方法包括：

接收第一网络设备发送的待匹配报文；

根据所述第二网络设备的固定字段资源组中的固定字段对所述待匹配报文的第二固定字段进行匹配，得到第一匹配结果，并将所述第一匹配结果返回给所述第一网络设备，以使所述第一网络设备根据所述第一网络设备的可变字段资源组中的可变字段对所述待匹配报文的可变字段进行匹配，得到第二匹配结果，根据所述第二匹配结果确定对所述待匹配报文的匹配动作。
一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被一个或多个所述处理器执行时，使得一个或多个所述处理器执行如权利要求1至5、6至8、9至11、12、13中任一项所述方法的步骤。
一种计算机可读存储介质，所述存储介质可被处理器读写，所述存储介质存储有计算机指令，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行如权利要求1至5、6至8、9至11、12、13中任一项所述方法的步骤。