CN108616451B - 一种Flow Spec路由生效方法、装置及网络设备 - Google Patents

一种Flow Spec路由生效方法、装置及网络设备 Download PDF

Info

Publication number
CN108616451B
CN108616451B CN201810378748.3A CN201810378748A CN108616451B CN 108616451 B CN108616451 B CN 108616451B CN 201810378748 A CN201810378748 A CN 201810378748A CN 108616451 B CN108616451 B CN 108616451B
Authority
CN
China
Prior art keywords
community attribute
acl
entry
identifier
flow spec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810378748.3A
Other languages
English (en)
Other versions
CN108616451A (zh
Inventor
刘萱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201810378748.3A priority Critical patent/CN108616451B/zh
Publication of CN108616451A publication Critical patent/CN108616451A/zh
Application granted granted Critical
Publication of CN108616451B publication Critical patent/CN108616451B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种Flow Spec路由生效方法、装置以及网络设备,该方法中,控制器只需要向网络设备下发一次携带Community属性的Flow Spec路由,网络设备自行根据预设的Community属性与生效时间段的对应关系,确定Flow Spec路由的生效时间段,并在网络设备的当前时间命中Community属性与生效时间段的对应关系时,获取当前时间对应的Community属性,设置该Community属性对应的ACL表项(基于Flow Spec路由已下发到转发芯片中的ACL表项)生效,从而达到按时段生效Flow Spec路由的目的。本发明可节约网络资源,降低网络设备的处理压力。

Description

一种Flow Spec路由生效方法、装置及网络设备
技术领域
本发明涉及网络通信技术领域,尤其涉及一种Flow Spec路由生效方法、装置及网络设备。
背景技术
Flow Spec(Flow Specification,流规则)是目前比较流行的一种防攻击和流量控制技术。控制器通过向网络设备下发Flow Spec路由,指导网络设备对流量进行过滤和转发。
当用户要求按时段过滤流量时,控制器需要按时段下发和撤销Flow Spec路由。随着这种要求按时段过滤的流量的增多,控制器下发和撤销Flow Spec路由的频率越来越高,导致网络资源消耗较大,且网络设备的处理压力较大。
发明内容
本发明为了解决Flow Spec路由下发对网络设备处理性能的影响,提出一种FlowSpec路由生效方法、装置及网络设备,用以降低网络设备的处理压力。
为实现上述公开目的,本发明提供了如下技术方案:
第一方面,本发明提供一种Flow Spec路由生效方法,应用于网络设备上,所述方法包括:
获取控制器下发的携带Community(团体)属性的Flow Spec路由;
向所述网络设备的转发芯片下发所述Flow Spec路由对应的ACL(Access ControlList,访问控制列表)表项;
若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Flow Spec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系;
若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;
根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
第二方面,本发明还提供一种Flow Spec路由生效装置,应用于网络设备上,所述装置包括:
获取单元,用于获取控制器下发的携带Community属性的Flow Spec路由;
下发单元,用于向所述网络设备的转发芯片下发所述Flow Spec路由对应的ACL表项;
记录单元,用于若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Flow Spec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系;
确定单元,用于若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;
设置单元,用于根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
第三方面,本发明还提供一种网络设备,所述网络设备包括处理器CPU和转发芯片,
所述CPU,用于获取控制器下发的携带Community属性的Flow Spec路由;向所述转发芯片下发所述Flow Spec路由对应的ACL表项;若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Flow Spec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系;若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;根据Community属性与表项标识的对应关系,通知所述转发芯片设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效;
所述转发芯片,用于接收所述CPU的通知,设置相应ACL表项生效或失效。
第四方面,本发明还提供一种网络设备,所述网络设备包括处理器CPU和转发芯片,
所述CPU,用于获取控制器下发的携带Community属性的Flow Spec路由;向所述转发芯片下发所述Flow Spec路由对应的携带所述Community属性的ACL表项;
所述转发芯片,用于若所述Community属性命中预设的Community属性与生效时间段的对应关系,且所述ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Community属性与所述ACL表项的表项标识的对应关系;若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
由以上描述可以看出,本发明中,网络设备通过预设Community属性与生效时间段的对应关系,以及维护Community属性与已下发到转发芯片中的ACL表项(Flow Spec路由对应的ACL表项)的表项标识的对应关系,在网络设备的当前时间命中Community属性与生效时间段的对应关系时,获取与当前时间对应的目标Community属性,并根据维护的Community属性与表项标识的对应关系,设置表项标识为目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效,从而达到按时段生效Flow Spec路由的目的。本发明中控制器只需要向网络设备下发一次Flow Spec路由,网络设备即可自行根据Flow Spec路由的Community属性对应的生效时间段,生效Flow Spec路由对应的ACL表项,因此,可节约网络资源,降低网络设备的处理压力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例示出的一种Flow Spec路由生效方法流程图;
图2是本发明实施例示出的一种Flow Spec路由生效装置的结构示意图;
图3是本发明实施例示出的一种网络设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本发明提出一种Flow Spec路由生效方法,参见图1,为本发明实施例示出的一种Flow Spec路由生效方法的流程图,该实施例从网络设备侧对Flow Spec路由生效过程进行描述。
步骤101,获取控制器下发的携带Community属性的Flow Spec路由。
Flow Spec路由基于BGP(Border Gateway Protocol,边界网关协议)报文传输,例如,BGP的Update(更新)报文,网络设备从BGP报文中获取控制器下发的Flow Spec路由以及该Flow Spec路由的Community属性。
步骤102,向所述网络设备的转发芯片下发所述Flow Spec路由对应的ACL表项。
查询转发芯片中是否存在Flow Spec路由对应的ACL表项,若不存在Flow Spec路由对应的ACL表项,则向转发芯片下发该Flow Spec路由对应的ACL表项,此时,该下发的ACL表项未生效,即处于失效状态。
步骤103,若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Flow Spec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系。
网络设备中预设Community属性与生效时间段的对应关系,参见表1,为Community属性与生效时间段的对应关系示例。
Community属性 生效时间段
100:100 1:00-2:00
200:200 8:00-9:00
300:300 5:00-6:00
400:400 3:00-4:00
表1
若通过步骤101获取的Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,说明该Flow Spec路由需要按照时间段控制;此时,需要进一步判断是否已存在该Flow Spec路由对应的ACL表项的表项标识与Community属性的对应关系,具体为,若Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,即当前不存在该Flow Spec路由对应的ACL表项的表项标识与Community属性的对应关系,则记录该Flow Spec路由的Community属性与该Flow Spec路由对应的ACL表项的表项标识的对应关系。
举例说明,若通过步骤101获取的Flow Spec路由的Community属性为100:100,命中表1中第一条对应关系,说明当前获取的Flow Spec路由需要基于时间段控制,若该FlowSpec路由对应的ACL表项的表项标识(记为ACL1000)未命中当前已记录的Community属性与表项标识的对应关系,则记录Community属性(100:100)与表项标识(ACL1000)的对应关系,如表2中第三条对应关系所示。
Figure BDA0001640460140000061
Figure BDA0001640460140000071
表2
由以上描述可以看出,通过Community属性与生效时间段的对应关系(例如,表1中的第一条对应关系),以及Community属性与表项标识的对应关系(例如,表2中第三条对应关系),可间接得到ACL表项与生效时间段的对应关系(表项标识为ACL1000的ACL表项的生效时间段为1:00-2:00)。
需要补充说明的是,若前述步骤102确定转发芯片中存在Flow Spec路由对应的ACL表项,说明该Flow Spec路由对应的ACL表项已下发到转发芯片中;若本步骤又确定该ACL表项的表项标识命中Community属性与表项标识的对应关系,说明该ACL表项曾基于时间段控制;由于Flow Spec路由的Community属性有可能发生变化,因此,本发明根据当前Flow Spec路由的Community属性,更新已记录的该Flow Spec路由的ACL表项的表项标识对应的Community属性。
若通过步骤101获取的Flow Spec路由未携带Community属性或携带的Community属性未命中预设的Community属性与生效时间段的对应关系,说明该Flow Spec路由不需要按照时间段控制,则在通过步骤102向转发芯片下发该Flow Spec路由对应的ACL表项后,立即设置该Flow Spec路由对应的ACL表项生效。
步骤104,若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性。
举例说明,若当前时间为1:00,命中表1中的第一条对应关系,则获取第一条对应关系中的Community属性(100:100)作为目标Community属性。
步骤105,根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
通过步骤104获取到目标Community属性后,查询当前已记录的Community属性与表项标识的对应关系,找到目标Community属性对应的表项标识,设置表项标识为目标Community属性对应的表项标识的ACL表项生效,例如,目标Community属性为100:100,查询表2可知,目标Community属性(100:100)对应的表项标识为ACL1000,因此,设置已下发到转发芯片中的表项标识为ACL1000的ACL表项在1:00开始生效;此外,设置表项标识为除目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效,即当前时间未落入对应时间段的Community属性对应的表项标识的ACL表项失效,例如,当前时间1:00未落入表1中第二条对应关系的生效时间段(8:00-9:00)内,因此,设置该第二条对应关系中的Community属性(200:200)对应的ACL表项(查询表2可知,Community属性200:200对应表项标识为ACL2000的ACL表项)失效,从而实现基于时间段控制Flow Spec路由生效。
具体地,本发明提供以下两种可选的实施方式:
在一种可选的实施方式中,步骤101具体为,网络设备的CPU(处理器)获取控制器下发的携带Community属性的Flow Spec路由;步骤102具体为,CPU向转发芯片下发FlowSpec路由对应的ACL表项;步骤103具体为,若Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则CPU记录Flow Spec路由的Community属性与Flow Spec路由对应的ACL表项的表项标识的对应关系;步骤104具体为,若当前时间命中Community属性与生效时间段的对应关系,则CPU获取与当前时间对应的目标Community属性;步骤105具体为,CPU根据Community属性与表项标识的对应关系,通知转发芯片设置表项标识为目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。即本实施方式由CPU基于生效时间段确定哪些ACL表项生效、哪些ACL表项失效,然后通知转发芯片设置相应的ACL表项生效或失效。
在另一种可选的实施方式中,步骤101具体为,CPU获取控制器下发的携带Community属性的Flow Spec路由;步骤102具体为,CPU向转发芯片下发Flow Spec路由对应的携带Community属性的ACL表项,即转发芯片可以获取到Flow Spec路由的Community属性;步骤103具体为,若Flow Spec路由的Community属性命中转发芯片中预设的Community属性与生效时间段的对应关系,且Flow Spec路由对应的ACL表项未命中转发芯片中已记录的Community属性与表项标识的对应关系,则转发芯片记录Flow Spec路由的Community属性与下发的Flow Spec路由对应的ACL表项的表项标识的对应关系;步骤104具体为,若当前时间命中转发芯片中的Community属性与生效时间段的对应关系,则转发芯片获取与当前时间对应的目标Community属性;步骤105具体为,转发芯片根据Community属性与表项标识的对应关系,设置表项标识为目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。即本实施方式中,由CPU向转发芯片下发携带Community属性的ACL表项,转发芯片根据本地记录的Community属性与生效时间段的对应关系以及Community属性与表项标识的对应关系,确定在当前时间哪些ACL表项生效、哪些ACL表项失效。
从以上描述可以看出,本发明中控制器只需向网络设备下发一次Flow Spec路由,网络设备即可自行根据预设的生效时间段,控制Flow Spec路由对应的ACL表项生效或失效,控制器不再需要反复下发和撤销Flow Spec路由,减少了控制器与网络设备之间的网络资源消耗,降低了网络设备的处理压力。
需要补充说明的是,本发明中,控制器可为具有相同时间段控制要求的Flow Spec路由配置相同的Community属性,以减少网络设备中预设的Community属性与生效时间段的对应关系的数量,减少对网络设备资源的占用。
现以具体实施例,详细介绍Flow Spec路由生效过程。
实施例一:
在网络设备中预设Community属性与生效时间段的对应关系,如表1所示。
控制器向网络设备发送携带Flow Spec路由(记为FS1)和对应Community属性(100:100)的BGP Update报文,网络设备的CPU查询转发芯片中是否存在FS1对应的ACL表项,若不存在该ACL表项,则将FS1对应的ACL表项下发到转发芯片中,此时,该ACL表项未生效。
CPU基于FS1的Community属性(100:100)查询表1,命中表1中的第一条对应关系,说明FS1需要基于时间段生效;再基于FS1对应的ACL的ACL标识(记为ACL4000)查询表2,ACL4000未命中表2中的Community属性与表项标识的对应关系,说明FS1对应的ACL表项是首次基于时间段控制,则将Community属性(100:100)与ACL4000的对应关系添加到表2中,得到如表3所示对应关系。
Community属性 ACL表项的表项标识
200:200 ACL2000
300:300 ACL3000
100:100 ACL1000、ACL4000
表3
假设,当前时间为1:00,CPU基于当前时间查询表1,命中表1中的第一条对应关系,则获取第一条对应关系中的Community属性(100:100);CPU根据该Community属性(100:100)查询表3,获取与Community属性(100:100)对应的表项标识(ACL1000和ACL4000),则CPU通知转发芯片设置表项标识为ACL1000和ACL4000的ACL表项生效;并通知转发芯片设置表项标识为ACL2000和ACL3000的ACL表项失效,即在1:00-2:00时段内,表项标识为ACL1000和ACL4000的ACL表项生效,表项标识为ACL2000和ACL3000的ACL表项失效。
若CPU再次接收到携带FS1的BGP Update报文,但此次携带的Community属性为400:400,CPU基于Community属性(400:400)查询表1,命中表1中的第四条对应关系,说明FS1需要基于时间段生效;且查询转发芯片中存在FS1对应的ACL表项,则基于该ACL表项的表项标识(ACL4000)查询表3,ACL4000命中表3中的Community属性与表项标识的对应关系,说明FS1对应的ACL表项曾基于时间段控制过,则根据当前FS1的Community属性(400:400)更新表3中ACL4000对应的Community属性,更新后如表4所示。
Community属性 ACL表项的表项标识
200:200 ACL2000
300:300 ACL3000
100:100 ACL1000
400:400 ACL4000
表4
参见表1,Community属性(400:400)对应的生效时间段为3:00-4:00,则FS1对应的表项标识为ACL4000的ACL表项在3:00-4:00时间段生效。
若CPU接收到未携带Community属性的Flow Spec路由(记为FS2),则说明FS2不需要基于时间段生效,因此,在向转发芯片下发FS2对应的ACL表项后,CPU直接通知转发芯片设置FS2对应的ACL表项生效。
若CPU接收到携带Community属性(500:500)的Flow Spec路由(记为FS3),基于Community属性(500:500)查询表1,未命中表1中记录的Community属性与生效时间段对应关系,同样,说明FS3不需要基于时间段生效,因此,在向转发芯片下发FS3对应的ACL表项后,CPU直接通知转发芯片设置FS3对应的ACL表项生效。
实施例二:
在网络设备的转发芯片中预设Community属性与生效时间段的对应关系,如表1所示。
控制器向网络设备发送携带FS1和对应Community属性(100:100)的BGP Update报文,网络设备的CPU查询转发芯片中是否存在FS1对应的ACL表项,若不存在该ACL表项,则将FS1对应的携带Community属性(100:100)的ACL表项下发到转发芯片中,此时,该ACL表项未生效。
转发芯片基于Community属性(100:100)查询表1,命中表1中的第一条对应关系,说明FS1对应的ACL表项需要基于时间段生效;再基于FS1对应的ACL的ACL标识(ACL4000)查询转发芯片中记录的表2,ACL4000未命中表2中的Community属性与表项标识的对应关系,说明FS1对应的ACL表项是首次基于时间段控制,则将Community属性(100:100)与ACL4000的对应关系添加到表2中,得到如表3所示对应关系。
假设,当前时间为1:00,转发芯片基于当前时间查询表1,命中表1中的第一条对应关系,则获取第一条对应关系中的Community属性(100:100);转发芯片根据该Community属性(100:100)查询表3,获取与Community属性(100:100)对应的表项标识(ACL1000和ACL4000),并设置表项标识为ACL1000和ACL4000的ACL表项生效;设置表项标识为ACL2000和ACL3000的ACL表项失效,即在1:00-2:00时段内,表项标识为ACL1000和ACL4000的ACL表项生效,表项标识为ACL2000和ACL3000的ACL表项失效。
若CPU再次接收到携带FS1的BGP Update报文,但此次携带的Community属性为400:400,向转发芯片下发FS1对应的携带Community属性(400:400)的ACL表项,转发芯片基于Community属性(400:400)查询表1,命中表1中的第四条对应关系,说明FS1对应的ACL表项需要基于时间段生效;且转发芯片中存在FS1对应的ACL表项,基于该ACL表项的表项标识(ACL4000)查询表3,ACL4000命中表3中的Community属性与表项标识的对应关系,说明FS1对应的ACL表项曾基于时间段控制过,则根据当前Community属性(400:400)更新表3中ACL4000对应的Community属性,更新后如表4所示。
参见表1,Community属性(400:400)对应的生效时间段为3:00-4:00,则FS1对应的表项标识为ACL4000的ACL表项在3:00-4:00时间段生效。
若CPU接收到未携带Community属性的Flow Spec路由(FS2),则向转发芯片下发FS2对应的未携带Community属性的ACL表项,转发芯片接收到未携带Community属性的ACL表项后,直接设置FS2对应的ACL表项生效。
若CPU接收到携带Community属性(500:500)的Flow Spec路由(FS3),向转发芯片下发FS3对应的携带Community属性(500:500)的ACL表项,转发芯片基于Community属性(500:500)查询表1,未命中表1中记录的Community属性与生效时间段对应关系,说明FS3不需要基于时间段生效,因此,直接设置FS3对应的ACL表项生效。
参见图2,本发明还提供一种Flow Spec路由生效装置,该装置包括:获取单元201、下发单元202、记录单元203、确定单元204以及设置单元205,其中:
获取单元201,用于获取控制器下发的携带Community属性的Flow Spec路由;
下发单元202,用于向所述网络设备的转发芯片下发所述Flow Spec路由对应的ACL表项;
记录单元203,用于若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Flow Spec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系;
确定单元204,用于若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;
设置单元205,用于根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
可选的,
所述下发单元202,具体用于若所述转发芯片中不存在所述Flow Spec路由对应的ACL表项,则向所述转发芯片下发所述Flow Spec路由对应的ACL表项;
所述记录单元203,还用于若所述转发芯片中存在所述Flow Spec路由对应的ACL表项,且该ACL表项命中Community属性与表项标识的对应关系,则根据所述Flow Spec路由的Community属性更新已记录的该ACL表项的表项标识对应的Community属性。
可选的,
所述设置单元205,还用于若所述Flow Spec路由未携带Community属性或携带的Community属性未命中Community属性与生效时间段的对应关系,设置所述Flow Spec路由对应的ACL表项生效。
参见图3,本发明还提供的一种网络设备,所述网络设备包括处理器CPU31和转发芯片32。
可选的,
所述CPU31,用于获取控制器下发的携带Community属性的Flow Spec路由;向所述转发芯片下发所述Flow Spec路由对应的ACL表项;若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述FlowSpec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系;若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;根据Community属性与表项标识的对应关系,通知所述转发芯片32设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效;
所述转发芯片32,用于接收所述CPU31的通知,设置相应ACL表项生效或失效。
可选的,
所述CPU31,用于获取控制器下发的携带Community属性的Flow Spec路由;向所述转发芯片下发所述Flow Spec路由对应的携带所述Community属性的ACL表项;
所述转发芯片32,用于若所述Community属性命中预设的Community属性与生效时间段的对应关系,且所述ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Community属性与所述ACL表项的表项标识的对应关系;若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种流规则Flow Spec路由生效方法,应用于网络设备上,其特征在于,所述方法包括:
获取控制器下发的携带团体Community属性的Flow Spec路由;
向所述网络设备的转发芯片下发所述Flow Spec路由对应的访问控制列表ACL表项;
若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Flow Spec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系;
若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;
根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
2.如权利要求1所述的方法,其特征在于,所述向所述网络设备的转发芯片下发所述Flow Spec路由对应的ACL表项,包括:
若所述转发芯片中不存在所述Flow Spec路由对应的ACL表项,则向所述转发芯片下发所述Flow Spec路由对应的ACL表项;
若所述转发芯片中存在所述Flow Spec路由对应的ACL表项,且该ACL表项的表项标识命中Community属性与表项标识的对应关系,则根据所述Flow Spec路由的Community属性更新已记录的该ACL表项的表项标识对应的Community属性。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
若所述Flow Spec路由未携带Community属性或携带的Community属性未命中Community属性与生效时间段的对应关系,设置所述Flow Spec路由对应的ACL表项生效。
4.如权利要求1所述的方法,其特征在于,所述若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述FlowSpec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系,包括:
若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则所述网络设备的处理器CPU记录所述Flow Spec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系;
所述若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性,包括:
若当前时间命中Community属性与生效时间段的对应关系,则所述CPU获取与当前时间对应的目标Community属性;
所述根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效,包括:
所述CPU根据Community属性与表项标识的对应关系,通知所述转发芯片设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
5.如权利要求1所述的方法,其特征在于,所述向所述网络设备的转发芯片下发所述Flow Spec路由对应的ACL表项,包括:
所述网络设备的CPU向所述网络设备的转发芯片下发所述Flow Spec路由对应的携带所述Community属性的ACL表项;
所述若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Flow Spec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系,包括:
若所述Flow Spec路由的Community属性命中所述转发芯片中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中所述转发芯片中已记录的Community属性与表项标识的对应关系,则所述转发芯片记录所述FlowSpec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系;
所述若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性,包括:
若当前时间命中所述转发芯片中的Community属性与生效时间段的对应关系,则所述转发芯片获取与当前时间对应的目标Community属性;
所述根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效,包括:
所述转发芯片根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
6.一种流规则Flow Spec路由生效装置,应用于网络设备上,其特征在于,所述装置包括:
获取单元,用于获取控制器下发的携带团体Community属性的Flow Spec路由;
下发单元,用于向所述网络设备的转发芯片下发所述Flow Spec路由对应的访问控制列表ACL表项;
记录单元,用于若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Flow Spec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系;
确定单元,用于若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;
设置单元,用于根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
7.如权利要求6所述的装置,其特征在于:
所述下发单元,具体用于若所述转发芯片中不存在所述Flow Spec路由对应的ACL表项,则向所述转发芯片下发所述Flow Spec路由对应的ACL表项;
所述记录单元,还用于若所述转发芯片中存在所述Flow Spec路由对应的ACL表项,且该ACL表项的表项标识命中Community属性与表项标识的对应关系,则根据所述Flow Spec路由的Community属性更新已记录的该ACL表项的表项标识对应的Community属性。
8.如权利要求6所述的装置,其特征在于:
所述设置单元,还用于若所述Flow Spec路由未携带Community属性或携带的Community属性未命中Community属性与生效时间段的对应关系,设置所述Flow Spec路由对应的ACL表项生效。
9.一种网络设备,其特征在于,所述网络设备包括处理器CPU和转发芯片,
所述CPU,用于获取控制器下发的携带团体Community属性的Flow Spec路由;向所述转发芯片下发所述Flow Spec路由对应的访问控制列表ACL表项;若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系,且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Flow Spec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系;若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;根据Community属性与表项标识的对应关系,通知所述转发芯片设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效;
所述转发芯片,用于接收所述CPU的通知,设置相应ACL表项生效或失效。
10.一种网络设备,其特征在于,所述网络设备包括处理器CPU和转发芯片,
所述CPU,用于获取控制器下发的携带团体Community属性的Flow Spec路由;向所述转发芯片下发所述Flow Spec路由对应的携带所述Community属性的访问控制列表ACL表项;
所述转发芯片,用于若所述Community属性命中预设的Community属性与生效时间段的对应关系,且所述ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系,则记录所述Community属性与所述ACL表项的表项标识的对应关系;若当前时间命中Community属性与生效时间段的对应关系,则确定与当前时间对应的目标Community属性;根据Community属性与表项标识的对应关系,设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效,设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。
CN201810378748.3A 2018-04-25 2018-04-25 一种Flow Spec路由生效方法、装置及网络设备 Active CN108616451B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810378748.3A CN108616451B (zh) 2018-04-25 2018-04-25 一种Flow Spec路由生效方法、装置及网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810378748.3A CN108616451B (zh) 2018-04-25 2018-04-25 一种Flow Spec路由生效方法、装置及网络设备

Publications (2)

Publication Number Publication Date
CN108616451A CN108616451A (zh) 2018-10-02
CN108616451B true CN108616451B (zh) 2020-12-29

Family

ID=63660991

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810378748.3A Active CN108616451B (zh) 2018-04-25 2018-04-25 一种Flow Spec路由生效方法、装置及网络设备

Country Status (1)

Country Link
CN (1) CN108616451B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109412942B (zh) * 2018-11-28 2020-12-29 网宿科技股份有限公司 云网传输路由方法和***
CN112688874B (zh) * 2019-10-18 2022-12-16 ***通信有限公司研究院 流量调优控制方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106254252A (zh) * 2016-09-06 2016-12-21 杭州华三通信技术有限公司 一种Flow spec路由的下发方法和装置
CN106664252A (zh) * 2015-06-10 2017-05-10 华为技术有限公司 实现业务链接的方法、设备及***
CN107222449A (zh) * 2016-03-21 2017-09-29 华为技术有限公司 基于流规则协议的通信方法、设备和***
CN107566298A (zh) * 2016-06-30 2018-01-09 华为技术有限公司 一种生成表项的方法和设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302351B (zh) * 2015-06-03 2019-10-15 华为技术有限公司 收集访问控制列表的方法、装置及***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106664252A (zh) * 2015-06-10 2017-05-10 华为技术有限公司 实现业务链接的方法、设备及***
CN107222449A (zh) * 2016-03-21 2017-09-29 华为技术有限公司 基于流规则协议的通信方法、设备和***
CN107566298A (zh) * 2016-06-30 2018-01-09 华为技术有限公司 一种生成表项的方法和设备
CN106254252A (zh) * 2016-09-06 2016-12-21 杭州华三通信技术有限公司 一种Flow spec路由的下发方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《Applying BGP flowspec rules on a specific interface set》;Stephane Litkowski等;《https://tools.ietf.org/id/draft-ietf-idr-flowspec-interfaceset-02.html》;20161025;全文 *
《一种基于Flow-Spec的网络异常流量防护策略》;黄卓君;《广东通信技术》;20120531;全文 *

Also Published As

Publication number Publication date
CN108616451A (zh) 2018-10-02

Similar Documents

Publication Publication Date Title
KR100791628B1 (ko) 이동망 시스템의 능동적 캐쉬 제어 방법, 그 기록 매체 및그 시스템
CN109842906B (zh) 一种通信的方法、装置及***
CN109803242B (zh) 通过nrf进行nf发现的方法、设备及可读存储介质
EP3116178B1 (en) Packet processing device, packet processing method, and program
CN105634784B (zh) 控制数据分发方法、装置及***
CN100383758C (zh) 高速缓存设备和高速缓存数据管理方法
CN104660565B (zh) 恶意攻击的检测方法和装置
CN106385426B (zh) 节点内容的命中方法及装置
CN106657249B (zh) 更新缓存资源的方法及装置
US20110302278A1 (en) Method for remote wake-up a computer connected to a network
CN108616451B (zh) 一种Flow Spec路由生效方法、装置及网络设备
JP2003015938A (ja) 輻輳制御方法
US7711816B2 (en) Method for managing device data and network management system
CN106790262A (zh) 一种鉴权方法及装置
JP2013143584A (ja) 通信システム、通信装置、通信プログラム及び通信方法
CN102984069A (zh) 表项调整方法、装置和交换设备
CN114363091B (zh) 一种基于apisix实现平台应用统一登录的方法及***
CN105991407B (zh) 一种消息处理方法、装置及处理服务器
CN106899651B (zh) 通信处理方法、***及网络通信***
CN107665235A (zh) 缓存处理方法、装置、计算机设备和存储介质
JP2011150545A (ja) 構成情報管理装置、分散情報管理システム、分散情報管理方法および分散情報管理プログラム
WO2022183713A1 (zh) 数据存储方法、装置、设备及存储介质
CN105591836B (zh) 数据流检测方法和装置
JP2007109247A (ja) ワームの感染防止システム
JP2011134005A (ja) 構成情報管理装置、分散情報管理システム、分散情報管理方法および分散情報管理プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant