CN109067585B - 一种查询acl表项下发方法及装置 - Google Patents

一种查询acl表项下发方法及装置 Download PDF

Info

Publication number
CN109067585B
CN109067585B CN201810931112.7A CN201810931112A CN109067585B CN 109067585 B CN109067585 B CN 109067585B CN 201810931112 A CN201810931112 A CN 201810931112A CN 109067585 B CN109067585 B CN 109067585B
Authority
CN
China
Prior art keywords
acl
query
shunting
entry
item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810931112.7A
Other languages
English (en)
Other versions
CN109067585A (zh
Inventor
符志清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201810931112.7A priority Critical patent/CN109067585B/zh
Publication of CN109067585A publication Critical patent/CN109067585A/zh
Application granted granted Critical
Publication of CN109067585B publication Critical patent/CN109067585B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0886Fully automatic configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种ACL表项下发方法及装置,包括:接收用户输入的查询条件;在预配置的分流ACL列表中,查找与所述查询条件匹配的分流ACL表项,所述分流ACL表项用于指导本设备转发业务报文;依据该查找到的分流ACL表项生成查询ACL表项;将生成的查询ACL表项下发给本设备的转发芯片,以使该转发芯片基于该查询ACL表项统计匹配该查询ACL表项的业务报文的数量。使用本申请提供的方法,可以在实现在对报文进行监测时,减少CPU的性能消耗。

Description

一种查询ACL表项下发方法及装置
技术领域
本申请涉及计算机通信领域,尤其涉及一种查询ACL表项下发方法及装置。
背景技术
网络设备是指在网络中根据指定规则(如路由表项等,ACL表项)对接收的业务报文进行转发或者其他处理的设备,如交换机、路由器等。
为使网络维护人员可以定位出业务报文在网络设备中的处理结果(如业务报文通过指定出接口转发,或者业务报文被丢弃等处理),网络设备需要提供报文转发的监控功能。
在现有的报文转发监控技术中,开发人员需要分别在业务报文转发路径上的多个网络设备中添加观测点。在添加观测点时,开发人员需要修改报文转发流程的源代码,以及编写报文转发监控程序。在监控时,网络设备的CPU会一直启动这一监控程序来对接收到的报文进行监测,所以大大增加了CPU的性能消耗。
发明内容
有鉴于此,本申请提供一种查询ACL表项下发方法及装置,用以在对报文进行监测时,减少CPU的性能消耗。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种查询ACL表项下发方法,所述方法应用于网络设备,包括:
接收用户输入的查询条件;
在预配置的分流ACL列表中,查找与所述查询条件匹配的分流ACL表项,所述分流ACL表项用于指导本设备转发业务报文;
依据该查找到的分流ACL表项生成查询ACL表项;
将生成的查询ACL表项下发给本设备的转发芯片,以使该转发芯片基于该查询ACL表项统计匹配该查询ACL表项的业务报文的数量。
可选的,所述依据该查找到的分流ACL表项生成查询ACL表项,包括:
在满足预设条件时,依据该查找到的分流ACL表项生成查询ACL表项;
所述预设条件包括:
依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件不包括出接口;或者,
依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件包括的出接口与所述分流ACL表项的动作项记录的出接口相同。
可选的,所述依据查找到的分流ACL表项生成查询ACL表项,包括:
当所述查询条件的数量与所述分流ACL表项的匹配项的数量相等,或者所述查询条件中除出接口外的其他查询条件的数量与所述分流ACL表项的匹配项的数量相等时,生成匹配项是所述查询条件、动作项是统计业务报文的数量的查询ACL表项。
可选的,所述依据查找到的分流ACL表项生成查询ACL表项,包括:
当所述查询条件的数量少于所述分流ACL表项的匹配项的数量,或者若所述查询条件中的除该出接口外的其他查询条件的数量少于所述分流ACL表项的匹配项的数量时,检查第一目标匹配项是否对应包含多个值的集合;所述第一目标匹配项为该分流ACL表项中与所述查询条件不同的匹配项;
若是,则生成与该分流ACL表项对应的多个查询ACL表项;其中,每个查询ACL表项中与所述查询条件不同的第二目标匹配项是所述集合中的、且不同于其他查询ACL表项的第二目标匹配项的一个值,每个查询ACL表项中除所述第二目标匹配项外的匹配项与所述分流ACL表项中除所述第一目标匹配项外的匹配项相同;每个查询ACL表项的动作项为统计业务报文数量。
可选的,所述依据查找到的分流ACL表项生成查询ACL表项,包括:
当查找到的分流ACL表项的匹配项是任意值,则生成匹配项为所述查询条件、动作项为统计业务报文数量的查询ACL表项。
可选的,所述方法还包括:
当确定出的查询ACL表项的数量超过所述转发芯片当前可承载的查询ACL表项数量时,向用户输出第一提示信息;所述第一提示信息用于提示用户增加查询条件。
可选的,所述方法还包括:
若所述查询条件包含的出接口与所述分流ACL表项的动作项记录的出接口不相同,则不生成与该分流ACL表项对应的查询ACL表项,并向用户输出第二提示信息;所述第二提示信息用以提示用户本设备上没有与查询条件匹配的分流ACL表项。
可选的,所述分流ACL表项与所述查询ACL表项储存在所述转发芯片的不同片区。
根据本申请的第二方面,提供一种查询ACL表项下发装置,所述装置应用于网络设备,包括:
接收单元,用于接收用户输入的查询条件;
查找单元,用于在预配置的分流ACL列表中,查找与所述查询条件匹配的分流ACL表项,所述分流ACL表项用于指导本设备转发业务报文;
生成单元,用于依据该查找到的分流ACL表项生成查询ACL表项;
下发单元,用于将生成的查询ACL表项下发给本设备的转发芯片,以使该转发芯片基于该查询ACL表项统计匹配该查询ACL表项的业务报文的数量。
可选的,所述生成单元,具体用于在满足预设条件时,依据该查找到的分流ACL表项生成查询ACL表项;所述预设条件包括:依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件不包括出接口;或者,依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件包括的出接口与所述分流ACL表项的动作项记录的出接口相同。
可选的,所述生成单元,具体用于当所述查询条件的数量与所述分流ACL表项的匹配项的数量相等,或者所述查询条件中除出接口外的其他查询条件的数量与所述分流ACL表项的匹配项的数量相等时,生成匹配项是所述查询条件、动作项是统计业务报文的数量的查询ACL表项。
可选的,所述生成单元,还具体用于当所述查询条件的数量少于所述分流ACL表项的匹配项的数量,或者若所述查询条件中的除该出接口外的其他查询条件的数量少于所述分流ACL表项的匹配项的数量时,检查第一目标匹配项是否对应包含多个值的集合;所述第一目标匹配项为该分流ACL表项中与所述查询条件不同的匹配项;
若是,则生成与该分流ACL表项对应的多个查询ACL表项;其中,每个查询ACL表项中与所述查询条件不同的第二目标匹配项是所述集合中的、且不同于其他查询ACL表项的第二目标匹配项的一个值,每个查询ACL表项中除所述第二目标匹配项外的匹配项与所述分流ACL表项中除所述第一目标匹配项外的匹配项相同;每个查询ACL表项的动作项为统计业务报文数量。
可选的,所述生成单元,还具体用于当查找到的分流ACL表项的匹配项是任意值,则生成匹配项为所述查询条件、动作项为统计业务报文数量的查询ACL表项。
可选的,所述装置还包括:
第一提示单元,用于当确定出的查询ACL表项的数量超过所述转发芯片当前可承载的查询ACL表项数量时,向用户输出第一提示信息;所述第一提示信息用于提示用户增加查询条件。
可选的,所述装置还包括:
第二提示单元,用于若所述查询条件包含的出接口与所述分流ACL表项的动作项记录的出接口不相同,则不生成与该分流ACL表项对应的查询ACL表项,并向用户输出第二提示信息;所述第二提示信息用以提示用户本设备上没有与查询条件匹配的分流ACL表项。
可选的,所述分流ACL表项与所述查询ACL表项储存在所述转发芯片的不同片区。
一方面,相比于修改网络设备的业务报文转发流程的源代码,添加业务报文转发监控程序这种方法,本申请在对业务报文的处理结果进行监控时,只需要匹配转发芯片上的查询ACL表项即可实现监控,不需要网络设备CPU的参与对业务报文的处理结果的监控,所以大大节省了CPU的资源。
另一方面,本申请在下发查询ACL表项时,只需要人工输入查询条件,转发设备就可以依据查询条件以及预设的分流ACL表项,自动生成查询ACL表项并下发给转发芯片,从而实现了用户一键配置查询ACL表项就自动下发,大大减少了用户工作量,提高了用户体验。
附图说明
图1是本申请一示例性实施例示出的一种查询ACL表项下发方法的流程图;
图2是本申请一示例性实施例示出的一种网络设备的硬件结构图;
图3是本申请一示例性实施例示出的一种查询ACL表项下发装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请通过在网络设备的转发芯片上下发查询ACL表项,通过查询ACL表项来实现业务报文的处理结果的监控(业务报文的处理结果包括:从哪个出接口转发业务报文或者业务报文被丢弃)。
具体为:网络设备在接收到用户输入的查询条件后,可以在预设的分流ACL表中,查找与该查询条件匹配的分流ACL表项。然后,网络设备可以依据该分流ACL表项,生成查询ACL表项并下发给本设备的转发芯片。当转发芯片接收到报文后,可以将报文与查询ACL表项进行匹配,使得转发芯片可以统计出匹配该查询ACL表项的报文数量,进而可以向用户展示匹配该查询ACL表项的报文数量,以及该报文的处理结果(即业务报文的出接口或者业务报文被丢弃等)。
一方面,相比于修改网络设备的业务报文转发流程的源代码,添加业务报文转发监控程序这种方法,本申请在对业务报文的处理结果进行监控时,只需要匹配转发芯片上的查询ACL表项即可实现监控,不需要网络设备CPU的参与对业务报文的处理结果的监控,所以大大节省了CPU的资源。
另一方面,本申请在下发查询ACL表项时,只需要人工输入查询条件,转发设备就可以依据查询条件以及预设的分流ACL表项,自动生成查询ACL表项并下发给转发芯片,从而实现了用户一键配置查询ACL表项就自动下发,大大减少了用户工作量,提高了用户体验。
此外,由于高性能的网络设备往往借助于交换芯片或可编程芯片(如FPGA)实现报文解析和转发,而在转发芯片上很难通过编码来添加业务报文的转发监控程序,所以相比于修改网络设备的业务报文转发流程的源代码,添加业务报文转发监控程序这种方法,本申请通过查询ACL表项来监控业务报文的处理结果还可以应用在这类高性能的网络设备上,所以本申请提供的监控方法的实用性更强。
下面先对本申请涉及的几个概念进行介绍。
ACL(Access Control List,访问控制列表)是一种流量访问控制技术。ACL列表中记录有多条ACL表项。每个ACL表项里记录有匹配项和动作项,匹配项包括业务报文的报文特征(如报文的五元组,入接口等等特征),动作项可包括转发报文、丢弃报文、统计数量等等。ACL表项通常具有匹配优先级。
当网络设备接收到业务报文后,网络设备可优先将报文与匹配优先级最高的ACL表项进行匹配,若匹配,则按照该匹配优先级最高的ACL表项动作项记录的动作对业务报文进行处理,并不进行下一个ACL表项的匹配;若业务报文与匹配优先级最高的ACL表项不匹配,则将该业务报文与匹配优先级次高的ACL表项进行匹配。
例如,ACL表项如表1所示。假设位置1的ACL表项的匹配优先级高于位置2的ACL表项。
Figure BDA0001766639320000071
Figure BDA0001766639320000081
表1
假设网络设备接收到的业务报文1的源IP地址为192.168.1.2,目的IP地址为3.3.3.3,IP协议号为TCP,目的端口号为80。
当网络设备接收到业务报文1后,网络设备可先将业务报文1与匹配优先级高的位置1的ACL表项匹配。在本例中,业务报文1匹配位置1的ACL表项,网络设备会将业务报文1重定向到eth3接口。然后,网络设备不会再将业务报文1与下一个ACL表项进行匹配。
ACL功能可以通过软件或硬件实现。
软件ACL是将上述ACL列表存放在***内存中,当网络设备接收到业务报文后,业务处理进程对报文进行ACL表项的匹配。当ACL表项越多时,由于受限于CPU性能和内存容量,ACL表项的匹配速度越慢。
硬件ACL又称为芯片ACL,是通过转发芯片实现ACL表项的硬编码,由转发芯片实现ACL表项的匹配,匹配速度快。
芯片ACL的资源被划分为多个片区,每个片区可以储存不同类型的ACL表项。当业务报文进入交换芯片后,交换芯片会并行将该业务报文与每个片区的ACL表项进行匹配,然后综合考虑各个片区匹配到的ACL表项的动作,对于不冲突的动作(如统计和转发不冲突)则按照该不冲突的动作对业务报文进行处理,对于冲突的动作(如转发和丢包),则以优先级最高的动作为准对报文进行处理。
例如,业务报文1匹配了片区1中的ACL表项1(动作为转发)、片区2中的ACL表项2(动作为修改报文VLAN ID)、片区3中的ACL表项3(动作为统计+丢包),其中片区1中ACL表项的优先级高于片区2中ACL表项的优先级,片区2中ACL表项的优先级高于片区3中ACL表项的优先级。由于转发动作和丢包动作冲突,而表项1优先级比表项3高,因此这两个动作中只执行转发动作;统计动作和修改报文VLAN ID动作与二者不冲突,故同时执行。因此,最终对该报文执行的动作为转发+统计+修改报文VLAN ID。
本申请涉及上述芯片ACL,本申请的转发芯片的ACL资源至少被划分成两个不同的片区,一个片区用于存储分流ACL表项,另一个片区用于储存查询ACL表项。当然,在实际应用中,转发芯片的ACL资源还可以划分多个片区,保存与实际业务相关的ACL表项,这里只是示例性地说明,不对片区的数量以及储存的ACL表项进行具体地限定。
分流ACL表项主要用于指导转发芯片转发业务报文,其动作项通常为从哪个出接口转发,重定向到哪个出接口,丢弃业务报文等等。该分流ACL表项预配置在转发芯片的一个片区中。
查询ACL表项主要用于实现报文转发的监控,统计匹配该查询ACL表项的业务报文的数量。查询ACL表项的动作项为统计业务报文的数量。该查询ACL表项被配置在于分流ACL表项不同的片区中。
将分流ACL表项与查询ACL表项分别保存在不同的片区中,这样做的好处在于:
如果将查询ACL表项与分流ACL表项储存在同一片区,可能出现分流ACL表项优先级高于查询ACL表项,致使报文不与查询ACL表项匹配,从而无法实现对报文的统计。而将查询ACL表项和分流ACL表项储存在转发芯片的不同片区,转发芯片可将业务报文与每个片区的ACL表项进行并行匹配,并不会因为优先级的高低而不将业务报文与查询ACL表项匹配。
将查询ACL表项的动作项设置为统计业务报文的数量的好处在于:
本申请将查询ACL表项的动作项设置为统计业务报文的数量,由于统计的动作不与任何其他动作(如转发、丢弃、修改等等)冲突,因此转发芯片总能正确统计匹配该查询ACL表项的业务报文的数量。
参见图1,图1是本申请一示例性实施例示出的一种查询ACL表项的下发方法的流程图,该流程可应用在网络设备上,可包括如下所示步骤。
步骤101:网络设备可接收用户输入的查询条件。
其中,用户输入的查询条件,与分流ACL表项的匹配项相同,该查询条件也包括业务报文的报文特征,如源IP地址、目的IP地址、源端口号、目的端口号、协议号、入接口、出接口等等。这里只是对查询条件进行示例性地说明,不对该查询条件进行具体地限定。
步骤102:网络设备可在预配置的分流ACL列表中,查找与所述查询条件匹配的分流ACL表项,所述分流ACL表项用于指导本设备转发业务报文。
在实现时,当用户输入的查询条件不包括出接口时,网络设备可在预配置的分流ACL列表中,以该查询条件为关键字,查找包含该关键字的分流ACL表项。
当用户输入的查询条件包括出接口时,网络设备可在预配置的分流ACL列表中,以上述查询条件中除出接口的其他查询条件为关键字,查找包含该关键字的分流ACL表项。
需要说明的是:在查找时,也是按照ACL表项的优先级来查找的,比如找到一个ACL表项的匹配项完全包含该查询条件,则不会再查找优先级低的ACL表项。
例如,假设分流ACL列表如表2所示。其中,需要说明的是,表2中的表项drop-all中匹配项所述的任意是指任意值,例如,源IP是任意值,表明任何报文的源IP地址都与该表项drop-all中的源IP匹配。
Figure BDA0001766639320000101
Figure BDA0001766639320000111
表2
假设用户输入的多个查询条件为源IP为192.168.1.8,目的IP为8.1.1.1,IP协议为TCP,源端口号为20000,目的端口号为53,入接口为eth1,网络设备可在表2中查找匹配项包含该查询条件的分流ACL表项,查询到的分流ACL表项为表项b。由于表项b完全包括了查询条件,所以网络设备不会再查找下一个与查询条件匹配的ACL表项,则不会再查找出drop-all表项。
此外,当上述查询条件中的一些查询条件未被用户指定时,表明该查询条件的取值为任意值。比如,查询条件未指定目的IP的数值,则表明目的IP是任意值。
步骤103:网络设备可依据该查找到的分流ACL表项生成查询ACL表项。
下面从网络设备依据查找到的分流ACL表项生成查询ACL表项的条件和具体实现方式两方面来介绍步骤103。
1)生成查询ACL表项的条件
当网络设备检测到待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件不包括出接口时,网络设备可依据该查找到的分流ACL表项生成查询ACL表项。
或者,当网络设备检测到待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量,且该查询条件包括的出接口与所述分流ACL表项的动作项记录的出接口相同时,网络设备可依据该查找到的分流ACL表项生成查询ACL表项。
此外,当网络设备检测到待生成的查询ACL表项的数量超过了该转发芯片当前可承载的查询ACL表项数量时,网络设备不生成查询ACL表项,但向用户输出第一提示信息。该第一提示信息用于提示用户增加查询条件。
当网络设备检测到查询条件包含的出接口与所述分流ACL表项的动作项记录的出接口不相同时,不生成与该分流ACL表项对应的查询ACL表项,并向用户输出第二提示信息;所述第二提示信息用以提示用户本设备上没有与查询条件匹配的分流ACL表项。
2)生成查询ACL表项的具体实现方式
1)当所述查询条件的数量与所述分流ACL表项的匹配项的数量相等,或者所述查询条件中除出接口外的其他查询条件的数量与所述分流ACL表项的匹配项的数量相等时,生成匹配项是所述查询条件、动作项是统计业务报文的数量的查询ACL表项。
例如,假设用户输入的查询条件为源IP为192.168.1.8,目的IP为8.1.1.1,IP协议为TCP,源端口号为20000,目的端口号为53,入接口为eth1。
假设,匹配到的分流ACL表项为表2中的表项b。
网络设备检测到用户输入的查询条件的数量(即6)与表项b的匹配项(即6)相同,网络设备可以生成如表3所示的查询ACL表项,其中查询ACL表项的匹配项为所述查询条件,动作项为统计业务报文的数量。生成的查询ACL表项的匹配项为:源IP为192.168.1.8/255.255.255.255,目的IP为8.1.1.1/255.255.255.255,IP协议为TCP,源端口号为20000,目的端口号为53,入接口为eth1,动作为统计。
Figure BDA0001766639320000121
表3
2)当所述查询条件的数量少于所述分流ACL表项的匹配项的数量,或者若所述查询条件中的除该出接口外的其他查询条件的数量少于所述分流ACL表项的匹配项的数量时,网络设备可检查第一目标匹配项是否对应包含多个值的集合;所述第一目标匹配项为该分流ACL表项中与所述查询条件不同的匹配项;
若是,则生成与该分流ACL表项对应的多个查询ACL表项;其中,每个查询ACL表项中与所述查询条件不同的第二目标匹配项是所述集合中的、且不同于其他查询ACL表项的第二目标匹配项的一个值,每个查询ACL表项中除所述第二目标匹配项外的匹配项与所述分流ACL表项中除所述第一目标匹配项外的匹配项相同;每个查询ACL表项的动作项为统计业务报文数量。
这里为了方便叙述,将分流ACL表项中与查询条件不同的匹配项定义为第一目标匹配项,将查询ACL表项中与查询条件不同的匹配项定义为第二目标匹配项。
例如,假设查询条件为源IP,目的IP,IP协议,源端口号,分流ACL表项的匹配项为源IP,目的IP,IP协议,源端口号、目的端口号和入接口,则第一目标匹配项为目的端口号和入接口。
假设,查询ACL表项的匹配项为源IP,目的IP,IP协议,源端口号、目的端口号和入接口,则第二目标匹配项为目的端口号和入接口。
此外,第一目标匹配项可以是一个也可以是多个。
实施例1:第一目标匹配项是一个的情况。
假设用户输入的查询条件是源IP为192.168.1.8,目的IP为8.1.1.1,IP协议是TCP,源端口号为20000,目的端口号为53(用户未指定入接口,由于入接口未指定,所以入接口不包含在用户输入的查询条件中,但未指定入接口表示入接口可以是任意值)。
假设与用户输入的查询条件匹配的分流ACL表项如表4所示。
Figure BDA0001766639320000131
表4
在本例中,用户输入的查询条件为5个(即源IP,目的IP,IP协议,源端口号,目的端口号),分流ACL表项的匹配项为6个,用户输入的查询条件的数量少于匹配到的分流ACL表项,网络设备可确定分流ACL表项的匹配项中与该查询条件不同的第一目标匹配项(即入接口)。然后,网络设备可检查入接口这一第一目标匹配项是否对应包含多个值的集合。
在本例中,入接口对应包含三个值的集合(即包含eth0、eth1和eth2的集合)。网络设备可生成与该分流ACL表项对应的三个查询ACL表项,生成的三个查询ACL表项如表5所示。
Figure BDA0001766639320000141
表5
这三个查询ACL表项的入接口(即上文所述的第二目标匹配项)分别为该集合中的一个值,且这个值与其他生成的查询ACL表项的入接口不同,即这个三个查询ACL表项的入接口分别为eth0、eth1、eth2,其他匹配项与表4所示的分流ACL表项中除入接口(即上文所述的第一目标匹配项)外的其他匹配项相同,即表5中的源IP、目的IP、IP协议、源端口号、目的端口号与表4相同。这三个查询ACL表项的动作项为统计业务报文的数量。
实施例2:第一目标匹配项是多个的情况。
假设用户输入的查询条件是源IP为192.168.1.8,目的IP为8.1.1.1,IP协议是TCP,源端口号为20000(用户未指定入接口和目的端口号)。
假设与用户输入的查询条件匹配的分流ACL表项如表6所示。
Figure BDA0001766639320000151
表6
在本例中,用户输入的查询条件为4个(即源IP,目的IP,IP协议,源端口号),分流ACL表项的匹配项为6个,用户输入的查询条件的数量少于匹配到的分流ACL表项。此时,网络设备确定出的第一目标匹配项为目的端口号和入接口。网络设备可检查目的端口号和入接口是否对应包含多个值的集合。
在本例中,由于目的端口号对应包含有53和80两个值的集合,入接口对应包含有eth0、eth1、eth2三个值的集合,所以,网络设备可生成与该分流ACL表项对应的6个查询ACL表项,生成的查询ACL表项如表7所示。
Figure BDA0001766639320000152
表7
其中,表7中的查询ACL表项的源IP、目的IP、IP协议和源端口号与表5所示的分流ACL表项相同。目的端口号和入接口分别对应其所对应的集合中的每一个值,并且每一个查询ACL表项的目的端口号与入接口两者取值的组合与其他查询ACL表项的目的端口号和入接口两者的组合不同。表7所示的查询ACL表项的动作项为统计业务报文数量。
3)当查找到的分流ACL表项的匹配项是任意值,网络设备可生成匹配项为所述查询条件、动作项为统计业务报文数量的查询ACL表项。
例如,假设用户输入的查询条件为源IP为192.168.1.8,目的IP为8.1.1.1,IP协议为TCP,源端口号为20000,目的端口号为53,入接口为eth2。假设,查询到的与该查询条件匹配的分流ACL表项如表8所示。
源IP 目的IP IP协议 源端口号 目的端口号 入接口 动作
任意 任意 任意 任意 任意 任意 丢弃
表8
网络设备确定表8所示的分流ACL表项的匹配项均是任意值时,网络设备可生成匹配项是该查询条件,动作项为统计业务报文数量的查询ACL表项,生成的查询ACL表项如表9所示。
Figure BDA0001766639320000161
表9
步骤104:网络设备可将生成的查询ACL表项下发给本设备的转发芯片,以使该转发芯片基于该查询ACL表项统计匹配该查询ACL表项的业务报文的数量。
在本申请实施例中,网络设备可将生成的查询ACL表项下发给本设备的转发芯片。当转发芯片接收到业务报文时,转发芯片可将业务报文分别与分流ACL表和查询ACL表进行匹配。
当网络设备接收到用户输入的报文查询指令后,网络设备可向用户展示每个查询ACL表项的匹配项,匹配该查询ACL表项的业务报文的数量,以及报文转发结果(如从某一出接口转发、丢弃、重定向至某一出接口等等)。
例如,向用户显示的内容如表10所示。
Figure BDA0001766639320000171
表10
由上述描述可知,一方面,相比于修改网络设备的业务报文转发流程的源代码,添加业务报文转发监控程序这种方法,本申请在对业务报文的处理结果进行监控时,只需要匹配转发芯片上的查询ACL表项即可实现监控,不需要网络设备CPU的参与对业务报文的处理结果的监控,所以大大节省了CPU的资源。
另一方面,本申请在下发查询ACL表项时,只需要人工输入查询条件,转发设备就可以依据查询条件以及预设的分流ACL表项,自动生成查询ACL表项并下发给转发芯片,从而实现了用户一键配置查询ACL表项就自动下发,大大减少了用户工作量,提高了用户体验。
下面通过具体地例子,对本申请提供的查询ACL表项的下发方法进行详细地说明。
假设,分流ACL表如表2所示。
例子1:假设用户输入的多个查询条件为源IP为192.168.1.8,目的IP为8.1.1.1,IP协议为TCP,源端口号为20000,目的端口号为53,入接口为eth1。
当网络设备接收到该查询条件后,网络设备可在表2中查找与该查询条件匹配的分流ACL表项。
在本例中,由于表项a的源IP不匹配,表项b完全匹配,表项c目的IP不匹配,表项d目的IP不匹配,表项drop-all完全匹配。由于表项b优先级高于表项drop-all,故与该组查询条件匹配的分流ACL表项是表项b,动作是将业务报文从eth4接口发送出去。
此外,由于待生成的查询ACL表项为1条,没有超过芯片可承载的ACL表项的数量,并且该查询条件中不包含出接口,所以网络设备可依据该查找到的分流ACL表项(即表项b)生成查询ACL表项。
具体地,网络设备可检查查询条件的数量与该查找到的分流ACL表项的数量是否相同。在本例中,两者数量相同,网络设备可生成匹配项为所述查询条件,动作项为统计业务报文数量的查询ACL表项,生成的ACL表项如表3所示。
网络设备可将表3下发至本设备转发芯片。
当网络设备接收到管理员输入针对表3所示的查询ACL表项查询命令时,网络设备可向用户展示上述表4所示的内容。
例子2:
假设,用户输入的查询条件是:源IP为192.168.1.8,目的IP未指定,IP协议为UDP,源端口号为20000,目的端口号为53,入接口未指定。
当网络设备接收到该查询条件后,可在表2中查找与该查询条件匹配的分流ACL表项。在本例中,表项a、b均不匹配,表项c、d、drop-all均匹配。
由于目的IP未指定,所以目的IP是任意值。根据目的IP的取值,查询条件可分为以下三类。
1)当查询条件为:源IP为192.168.1.8,目的IP为1.1.1.1,IP协议为UDP,源端口号为20000,目的端口号为53,入接口未指定,查询条件匹配表项c,表项c的动作为丢弃业务报文。
2)当查询条件为:源IP为192.168.1.8,目的IP为1.1.1.0/255.255.255.0,IP协议为UDP,源端口号为20000,目的端口号为53,入接口未指定时,查询条件匹配表项d,表项d的动作为将业务报文从eth5接口转发。
3)当查询条件为源IP为192.168.1.8,目的IP是除1.1.1.1和1.1.1.0/255.255.255.0外的其他IP地址,IP协议为UDP,源端口号为20000,目的端口号为53,入接口未指定时,查询条件匹配表项drop-all,表项drop-all的动作为丢弃业务报文。
假设,待生成的ACL表项的数量没有超过转发芯片当前可承载的查询ACL表项数量、且该查询条件不包括出接口,所以网络设备可分别生成针对表项c、表项d和表项drop-all的查询ACL表项。
1)针对表项c的查询ACL表项
由于表项c的匹配项数量多于查询条件,且表项c的匹配项中与查询条件不同的匹配项对应有多个值,即入接口对应多个值。所以网络设备可生成针对表项c的两条ACL查询表项(入接口对应2个值,按照乘法原理,生成两条ACL表项)。针对表项c的ACL表项如表11所示,一共2条。
Figure BDA0001766639320000191
表11
2)针对表项d的查询ACL表项
由于表项d的匹配项数量多于查询条件,且表项d的匹配项中与查询条件不同的匹配项对应有多个值,即目的IP和入接口对应多个值。所以网络设备可生成针对表项c的510条ACL查询表项(入接口对应2个值,目的IP对应255个值,按照乘法原理,生成510条ACL表项)。针对表项d的ACL表项如表12所示,一共510条。
Figure BDA0001766639320000192
Figure BDA0001766639320000201
表12
3)针对表项drop-all的查询ACL表项
由于匹配的drop-all表项的匹配项均是任意值,网络设备可生成匹配项是该查询条件,动作项为统计的ACL表项,生成与该表项drop-all对应的查询ACL表项如表13所示,一共1条。
Figure BDA0001766639320000202
表13
当网络设备接收到管理员针对表11、表12和表13的查询指令时,网络设备可向管理员展示表14所示的内容。
Figure BDA0001766639320000203
Figure BDA0001766639320000211
表14
参见图2,图2是本申请一示例性实施例示出的一种网络设备的硬件结构图。
该网络设备可包括:转发芯片201、处理器202、机器可读存储介质203和总线204;其中,转发芯片201、处理器202和机器可读存储介质203通过总线204完成相互间的通信。处理器202通过读取并执行机器可读存储介质203中与ACL表项下发控制逻辑对应的机器可执行指令,可执行上文描述的ACL表项下发方法。
本文中提到的机器可读存储介质203可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质203可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
参见图3,图3是本申请一示例性实施例示出的一种查询ACL表项下发装置的框图,该装置可应用在网络设备上,可包括如下所示单元。
接收单元301,用于接收用户输入的查询条件;
查找单元302,用于在预配置的分流ACL列表中,查找与所述查询条件匹配的分流ACL表项,所述分流ACL表项用于指导本设备转发业务报文;
生成单元303,用于依据该查找到的分流ACL表项生成查询ACL表项;
下发单元304,用于将生成的查询ACL表项下发给本设备的转发芯片,以使该转发芯片基于该查询ACL表项统计匹配该查询ACL表项的业务报文的数量。
可选的,所述生成单元303,具体用于在满足预设条件时,依据该查找到的分流ACL表项生成查询ACL表项;所述预设条件包括:依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件不包括出接口;或者,依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件包括的出接口与所述分流ACL表项的动作项记录的出接口相同。
可选的,所述生成单元303,具体用于当所述查询条件的数量与所述分流ACL表项的匹配项的数量相等,或者所述查询条件中除出接口外的其他查询条件的数量与所述分流ACL表项的匹配项的数量相等时,生成匹配项是所述查询条件、动作项是统计业务报文的数量的查询ACL表项。
可选的,所述生成单元303,还具体用于当所述查询条件的数量少于所述分流ACL表项的匹配项的数量,或者若所述查询条件中的除该出接口外的其他查询条件的数量少于所述分流ACL表项的匹配项的数量时,检查第一目标匹配项是否对应包含多个值的集合;所述第一目标匹配项为该分流ACL表项中与所述查询条件不同的匹配项;
若是,则生成与该分流ACL表项对应的多个查询ACL表项;其中,每个查询ACL表项中与所述查询条件不同的第二目标匹配项是所述集合中的、且不同于其他查询ACL表项的第二目标匹配项的一个值,每个查询ACL表项中除所述第二目标匹配项外的匹配项与所述分流ACL表项中除所述第一目标匹配项外的匹配项相同;每个查询ACL表项的动作项为统计业务报文数量。
可选的,所述生成单元303,还具体用于当查找到的分流ACL表项的匹配项是任意值,则生成匹配项为所述查询条件、动作项为统计业务报文数量的查询ACL表项。
可选的,所述装置还包括:
第一提示单元305,用于当确定出的查询ACL表项的数量超过所述转发芯片当前可承载的查询ACL表项数量时,向用户输出第一提示信息;所述第一提示信息用于提示用户增加查询条件。
可选的,所述装置还包括:
第二提示单元306,用于若所述查询条件包含的出接口与所述分流ACL表项的动作项记录的出接口不相同,则不生成与该分流ACL表项对应的查询ACL表项,并向用户输出第二提示信息;所述第二提示信息用以提示用户本设备上没有与查询条件匹配的分流ACL表项。
可选的,所述分流ACL表项与所述查询ACL表项储存在所述转发芯片的不同片区。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (16)

1.一种查询ACL表项下发方法,其特征在于,所述方法应用于网络设备,包括:
接收用户输入的查询条件;
在预配置的分流ACL列表中,查找与所述查询条件匹配的分流ACL表项,所述分流ACL表项用于指导本设备转发业务报文;
依据该查找到的分流ACL表项生成查询ACL表项;
将生成的查询ACL表项下发给本设备的转发芯片,以使该转发芯片基于该查询ACL表项统计匹配该查询ACL表项的业务报文的数量。
2.根据权利要求1所述的方法,其特征在于,所述依据该查找到的分流ACL表项生成查询ACL表项,包括:
在满足预设条件时,依据该查找到的分流ACL表项生成查询ACL表项;
所述预设条件包括:
依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件不包括出接口;或者,
依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件包括的出接口与所述分流ACL表项的动作项记录的出接口相同。
3.根据权利要求2所述的方法,其特征在于,所述依据查找到的分流ACL表项生成查询ACL表项,包括:
当所述查询条件的数量与所述分流ACL表项的匹配项的数量相等,或者所述查询条件中除所述出接口外的其他查询条件的数量与所述分流ACL表项的匹配项的数量相等时,生成匹配项是所述查询条件、动作项是统计业务报文的数量的查询ACL表项。
4.根据权利要求2所述的方法,其特征在于,所述依据查找到的分流ACL表项生成查询ACL表项,包括:
当所述查询条件的数量少于所述分流ACL表项的匹配项的数量,或者若所述查询条件中的除所述出接口外的其他查询条件的数量少于所述分流ACL表项的匹配项的数量时,检查第一目标匹配项是否对应包含多个值的集合;所述第一目标匹配项为该分流ACL表项中与所述查询条件不同的匹配项;
若是,则生成与该分流ACL表项对应的多个查询ACL表项;其中,每个查询ACL表项中与所述查询条件不同的第二目标匹配项是所述集合中的、且不同于其他查询ACL表项的第二目标匹配项的一个值,每个查询ACL表项中除所述第二目标匹配项外的匹配项与所述分流ACL表项中除所述第一目标匹配项外的匹配项相同;每个查询ACL表项的动作项为统计业务报文数量。
5.根据权利要求2所述的方法,其特征在于,所述依据查找到的分流ACL表项生成查询ACL表项,包括:
当查找到的分流ACL表项的匹配项是任意值,则生成匹配项为所述查询条件、动作项为统计业务报文数量的查询ACL表项。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当确定出的查询ACL表项的数量超过所述转发芯片当前可承载的查询ACL表项数量时,向用户输出第一提示信息;所述第一提示信息用于提示用户增加查询条件。
7.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述查询条件包含的出接口与所述分流ACL表项的动作项记录的出接口不相同,则不生成与该分流ACL表项对应的查询ACL表项,并向用户输出第二提示信息;所述第二提示信息用以提示用户本设备上没有与查询条件匹配的分流ACL表项。
8.根据权利要求1所述的方法,其特征在于,所述分流ACL表项与所述查询ACL表项储存在所述转发芯片的不同片区。
9.一种查询ACL表项下发装置,其特征在于,所述装置应用于网络设备,包括:
接收单元,用于接收用户输入的查询条件;
查找单元,用于在预配置的分流ACL列表中,查找与所述查询条件匹配的分流ACL表项,所述分流ACL表项用于指导本设备转发业务报文;
生成单元,用于依据该查找到的分流ACL表项生成查询ACL表项;
下发单元,用于将生成的查询ACL表项下发给本设备的转发芯片,以使该转发芯片基于该查询ACL表项统计匹配该查询ACL表项的业务报文的数量。
10.根据权利要求9所述的装置,其特征在于,所述生成单元,具体用于在满足预设条件时,依据该查找到的分流ACL表项生成查询ACL表项;所述预设条件包括:依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件不包括出接口;或者,依据所述分流ACL表项确定待生成的查询ACL表项的数量没有超过所述转发芯片当前可承载的查询ACL表项数量、且所述查询条件包括的出接口与所述分流ACL表项的动作项记录的出接口相同。
11.根据权利要求10所述的装置,其特征在于,所述生成单元,具体用于当所述查询条件的数量与所述分流ACL表项的匹配项的数量相等,或者所述查询条件中除所述出接口外的其他查询条件的数量与所述分流ACL表项的匹配项的数量相等时,生成匹配项是所述查询条件、动作项是统计业务报文的数量的查询ACL表项。
12.根据权利要求10所述的装置,其特征在于,所述生成单元,还具体用于当所述查询条件的数量少于所述分流ACL表项的匹配项的数量,或者若所述查询条件中的除所述出接口外的其他查询条件的数量少于所述分流ACL表项的匹配项的数量时,检查第一目标匹配项是否对应包含多个值的集合;所述第一目标匹配项为该分流ACL表项中与所述查询条件不同的匹配项;
若是,则生成与该分流ACL表项对应的多个查询ACL表项;其中,每个查询ACL表项中与所述查询条件不同的第二目标匹配项是所述集合中的、且不同于其他查询ACL表项的第二目标匹配项的一个值,每个查询ACL表项中除所述第二目标匹配项外的匹配项与所述分流ACL表项中除所述第一目标匹配项外的匹配项相同;每个查询ACL表项的动作项为统计业务报文数量。
13.根据权利要求10所述的装置,其特征在于,所述生成单元,还具体用于当查找到的分流ACL表项的匹配项是任意值,则生成匹配项为所述查询条件、动作项为统计业务报文数量的查询ACL表项。
14.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第一提示单元,用于当确定出的查询ACL表项的数量超过所述转发芯片当前可承载的查询ACL表项数量时,向用户输出第一提示信息;所述第一提示信息用于提示用户增加查询条件。
15.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第二提示单元,用于若所述查询条件包含的出接口与所述分流ACL表项的动作项记录的出接口不相同,则不生成与该分流ACL表项对应的查询ACL表项,并向用户输出第二提示信息;所述第二提示信息用以提示用户本设备上没有与查询条件匹配的分流ACL表项。
16.根据权利要求9所述的装置,其特征在于,所述分流ACL表项与所述查询ACL表项储存在所述转发芯片的不同片区。
CN201810931112.7A 2018-08-15 2018-08-15 一种查询acl表项下发方法及装置 Active CN109067585B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810931112.7A CN109067585B (zh) 2018-08-15 2018-08-15 一种查询acl表项下发方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810931112.7A CN109067585B (zh) 2018-08-15 2018-08-15 一种查询acl表项下发方法及装置

Publications (2)

Publication Number Publication Date
CN109067585A CN109067585A (zh) 2018-12-21
CN109067585B true CN109067585B (zh) 2021-11-23

Family

ID=64686125

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810931112.7A Active CN109067585B (zh) 2018-08-15 2018-08-15 一种查询acl表项下发方法及装置

Country Status (1)

Country Link
CN (1) CN109067585B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111353018B (zh) * 2020-02-24 2023-11-10 杭州迪普信息技术有限公司 基于深度包检测的数据处理方法、装置和网络设备
CN112650452B (zh) * 2020-12-31 2021-11-26 成都卓讯智安科技有限公司 一种数据查询方法和设备
CN113114579B (zh) * 2021-03-30 2022-03-25 杭州迪普信息技术有限公司 Acl下发方法及装置
CN114356418B (zh) * 2022-03-10 2022-08-05 之江实验室 一种智能表项控制器及控制方法
CN116582362B (zh) * 2023-07-11 2023-09-26 建信金融科技有限责任公司 网络访问的控制方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103200123A (zh) * 2013-03-06 2013-07-10 深圳市新格林耐特通信技术有限公司 一种交换机端口安全控制方法
CN104320305A (zh) * 2014-11-12 2015-01-28 迈普通信技术股份有限公司 一种网络设备转发业务监控方法及***
CN106131083A (zh) * 2016-08-30 2016-11-16 迈普通信技术股份有限公司 一种攻击报文检测和防范的方法及交换机
CN106302306A (zh) * 2015-05-11 2017-01-04 中兴通讯股份有限公司 一种基于访问控制列表acl的流量统计方法及装置
CN106603302A (zh) * 2016-12-29 2017-04-26 杭州迪普科技股份有限公司 一种acl表项管理的方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7853687B2 (en) * 2007-03-05 2010-12-14 Alcatel Lucent Access control list generation and validation tool
CN101159665B (zh) * 2007-08-28 2010-04-14 杭州华三通信技术有限公司 实现未知组播报文向路由器端口转发的方法和装置
CN101789905A (zh) * 2010-02-05 2010-07-28 杭州华三通信技术有限公司 防止未知组播攻击cpu的方法和设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103200123A (zh) * 2013-03-06 2013-07-10 深圳市新格林耐特通信技术有限公司 一种交换机端口安全控制方法
CN104320305A (zh) * 2014-11-12 2015-01-28 迈普通信技术股份有限公司 一种网络设备转发业务监控方法及***
CN106302306A (zh) * 2015-05-11 2017-01-04 中兴通讯股份有限公司 一种基于访问控制列表acl的流量统计方法及装置
CN106131083A (zh) * 2016-08-30 2016-11-16 迈普通信技术股份有限公司 一种攻击报文检测和防范的方法及交换机
CN106603302A (zh) * 2016-12-29 2017-04-26 杭州迪普科技股份有限公司 一种acl表项管理的方法和装置

Also Published As

Publication number Publication date
CN109067585A (zh) 2018-12-21

Similar Documents

Publication Publication Date Title
CN109067585B (zh) 一种查询acl表项下发方法及装置
US10075338B2 (en) Relay control unit, relay control system, relay control method, and relay control program
CN108141416B (zh) 一种报文处理方法、计算设备以及报文处理装置
US10742722B2 (en) Server load balancing
US8345688B2 (en) System and method for managing flow of packets
KR102586898B1 (ko) 패킷 처리 방법 및 장치, 및 관련 디바이스들
CN108667853B (zh) 恶意攻击的检测方法和装置
US8799507B2 (en) Longest prefix match searches with variable numbers of prefixes
US8638793B1 (en) Enhanced parsing and classification in a packet processor
US10244537B2 (en) Communication system, access control apparatus, switch, network control method, and program
US9590922B2 (en) Programmable and high performance switch for data center networks
CN108259347B (zh) 一种报文传输方法和装置
US9419910B2 (en) Communication system, control apparatus, and communication method
CN107786450B (zh) 一种数据报文传输方法、装置及机器可读存储介质
CN104821890A (zh) 一种基于普通交换芯片的OpenFlow多级流表的实现方法
EP3179687B1 (en) Network flow information statistics method and apparatus
US8938579B2 (en) Method and system for using range bitmaps in TCAM access
EP2947826A1 (en) Control apparatus, communication apparatus, communication system, switch control method and program
US10104000B2 (en) Reducing control plane overload of a network device
US7046663B1 (en) System and method for intercepting packets in a pipeline network processor
US7948877B2 (en) Systems and methods for packet forward control
US7110404B1 (en) System and method for sending a packet to multiple destinations using a pipeline network processor
WO2018045862A1 (zh) 三态内容寻址存储器tcam表的写入方法及装置
CN111404839A (zh) 报文处理方法和装置
CN106453144B (zh) 软件定义网络中的报文处理方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant