CN109088894B - Acl下发方法及网络设备 - Google Patents
Acl下发方法及网络设备 Download PDFInfo
- Publication number
- CN109088894B CN109088894B CN201811251782.0A CN201811251782A CN109088894B CN 109088894 B CN109088894 B CN 109088894B CN 201811251782 A CN201811251782 A CN 201811251782A CN 109088894 B CN109088894 B CN 109088894B
- Authority
- CN
- China
- Prior art keywords
- acl
- target
- matching
- field
- forwarding chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种ACL下发方法及网络设备,网络设备检测待下发至目标转发芯片的目标ACL的类型,若为入方向ACL,则判断目标ACL的匹配长度是否超过目标转发芯片的IFP支持的最大匹配长度,若是,则从目标ACL中获取至少一个匹配字段作为第一字段组,并将与该第一字段组对应的匹配动作设置为添加对应的第一预设标识,形成第一ACL;将第一ACL下发至目标转发芯片的VFP;将目标ACL中的原始匹配动作设置为与第一预设标识和目标ACL中的剩余匹配字段对应的匹配动作,形成第二ACL;将第二ACL下发至目标转发芯片的IFP。如此,可以在不改变转发芯片结构的情况下,使转发芯片支持超长匹配字段的ACL。
Description
技术领域
本公开涉及通信技术领域,具体而言,涉及一种ACL下发方法及网络设备。
背景技术
为了过滤通过网络设备的数据包,通常需要配置一系列的ACL(Access ContorlList,访问控制列表),每个ACL中包括匹配字段和对应的匹配动作。当识别出与ACL中的匹配字段相符的报文时,对该报文指定对应的匹配动作。
网络设备通常将ACL下发至转发芯片的FP(Filter Processor,过滤处理器)中,由FP进行ACL的匹配。然而,现有网络设备中的转发芯片,其上的FP的匹配能力有限,也即支持的最大匹配长度有限,当待下发的ACL的匹配长度过长时,将不被转发芯片的FP支持,从而导致下发失败。
发明内容
为了至少部分地克服现有技术中的上述不足,本公开的目的在于提供一种ACL下发方法及网络设备。
为了达到上述目的,本公开采用如下技术方案:
第一方面,本公开提供一种ACL下发方法,应用于包括转发芯片的网络设备,所述方法包括:
检测待下发至目标转发芯片的目标ACL的类型,该类型包括入方向ACL和出方向ACL;
若目标ACL的类型为入方向ACL,则判断目标ACL的匹配长度是否超过目标转发芯片的IFP的最大匹配长度;
若超过该最大匹配长度,则从目标ACL中获取至少一个匹配字段作为第一字段组,获取与第一字段组对应的第一预设标识,并将与第一字段组对应的匹配动作设置为添加第一预设标识,形成第一ACL;
将第一ACL下发至目标转发芯片中的VFP;
将目标ACL中的原始匹配动作设置为与第一预设标识和目标ACL中的剩余匹配字段对应的匹配动作,形成第二ACL;
将第二ACL下发至该IFP。
第二方面,本公开提供一种网络设备,包括处理器和转发芯片,处理器包括:
检测模块,用于检测待下发至目标转发芯片的目标ACL的类型,该类型包括入方向ACL和出方向ACL;
第一下发模块,用于当目标ACL的类型为入方向ACL时,判断目标ACL的匹配长度是否超过目标转发芯片的IFP支持的最大匹配长度,若是,则从目标ACL中获取至少一个匹配字段作为第一字段组,获取与第一字段组对应的第一预设标识,并将与第一字段组对应的匹配动作设置为添加第一预设标识,形成第一ACL;将第一ACL下发至目标转发芯片中的VFP;
第二下发模块,用于将目标ACL中的原始匹配动作设置为与第一预设标识和目标ACL中的剩余匹配字段对应的匹配动作,形成第二ACL;将第二ACL下发至该IFP。
相对于现有技术而言,本公开具有以下有益效果:
本公开提供的一种ACL下发方法及网络设备,网络设备检测待下发至目标转发芯片的目标ACL的类型,若为入方向ACL,则在目标ACL的匹配长度超过目标转发芯片的IFP支持的最大匹配长度时,将目标ACL拆分为包括至少一个匹配字段的第一字段组和剩余匹配字段,再将第一字段组的匹配动作设置成添加对应的第一预设标识,形成第一ACL;将剩余匹配字段和第一预设标识共同对应的匹配动作设置为目标ACL中的原始匹配动作,形成第二ACL。将第一ACL下发至目标转发芯片的VFP,将第二ACL下发至目标转发芯片的IFP。如此,使得匹配长度过长的入方向ACL能够被转发芯片的FP支持,从而成功下发至转发芯片。
附图说明
为了更清楚地说明本公开的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本公开提供的一种网络设备的方框示意图;
图2为本公开提供的一种处理器的方框示意图;
图3为本公开提供的一种ACL下发方法的流程示意图;
图4为本公开提供的ACL下发方法的又一流程示意图;
图5为本公开提供的ACL下发方法的又一流程示意图;
图6为本公开提供的ACL下发方法的又一流程示意图;
图7为本公开提供的网络设备的一种功能模块框图。
图标:10-网络设备;11-处理器;111-检测模块;112-第一下发模块;113-第二下发模块;114-第三下发模块;115-第四下发模块;12、13-转发芯片;121-VFP;122-IFP;123-EFP;124-MMU。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚,下面将结合本公开中的附图,对本公开中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本公开的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
网络设备通常将ACL下发至转发芯片的FP中,其中,FP是转发芯片中用于进行ACL匹配的硬件资源。在转发芯片上包括VFP(Virtual Local Area Network FilterProcessor,VLAN过滤处理器)、IFP(Ingress Filter Processor,入过滤处理器)以及EFP(Egress Filter Processor,出过滤处理器)三种类型的FP。
经研究发现,相关技术中,入方向ACL通常只下发在VFP或IFP,出方向ACL通常只下发在EFP,而VFP、IFP以及EFP各自支持的最大匹配长度有限,如果需要下发到转发芯片的ACL的匹配长度过长,将不被相应类型的FP支持,从而导致下发失败。
例如目前VFP支持的最大匹配长度通常为160比特(bit),现有的IFP支持的最大匹配长度通常为320比特,EFP支持的最大匹配长度通常为240比特。在此情况下,对于基于IPv6(Internet Protocol for version 6,网络协议第6版)地址的ACL,以入方向ACL为例,假设入方向ACL中包括以下匹配字段:源MAC地址、目的MAC地址、源IPv6地址和目的IPv6地址,其中,MAC地址的长度通常为48比特,IPv6地址的长度通常为128比特,则该入方向ACL的匹配长度(即,包括的各匹配字段的长度之和)为48*2+128*2=352比特,超过了VFP能够支持的最大匹配长度160比特,以及IFP能够支持的最大匹配长度320比特,故该入方向ACL不被VFP和IFP支持。
以出方向ACL为例,假设出方向ACL中包括的匹配字段有源IPv6地址和目的IPv6地址,则该出方向ACL的匹配长度(即,包括的各匹配字段的长度之和)为256比特,超过了EFP支持的最大匹配长度240比特,故该出方向ACL不被EFP支持。
因此,本公开提供一种ACL下发方法及网络设备,以至少部分地解决上述问题。下面对该内容进行详述。
如图1所示,是本公开提供的一种网络设备10的方框示意图。该网络设备10可以是交换机或路由器,本公开对此不做限制。网络设备10包括处理器(Central ProcessingUnit,CPU)11和至少一个转发芯片,例如图1中示出的转发芯片12和转发芯片13。处理器11与至少一个转发芯片相互之间直接或间接地电性连接,以实现数据的传输或交互。其中,处理器11用于将用户配置的ACL下发至指定的转发芯片。
请参照图2,下面以转发芯片12为例,对网络设备10中的转发芯片的结构进行阐述。转发芯片12中包括VFP121、IFP 122、EFP 123以及MMU(Memory Management Unit,内存管理单元)124。
其中,VFP 121和IFP 122通过用于实现入转发逻辑的器件连接,该入转发逻辑通常包括:源MAC地址学习、目的MAC地址查找转发等二层处理逻辑以及源IP地址查找、目的IP地址查找等三层处理逻辑。
IFP 122与MMU 124相连,MMU 124通过用于实现出转发逻辑的器件与EFP 123相连。其中,MMU 124中通常包括多个缓存队列,经IFP 122处理后的报文被转发进入MMU 124的缓存队列中,等待被调度进行出方向的处理。对应地,上述的出转发逻辑通常包括:三层处理逻辑和二层处理逻辑等。
如图3所示,是本公开提供的一种ACL下发方法的流程示意图,该方法可以应用于图1中示出的网络设备10,该方法包括以下步骤。
步骤S31,检测待下发至目标转发芯片的目标ACL的类型,该类型包括入方向ACL和出方向ACL。
其中,目标ACL是指待下发到目标转发芯片的ACL,目标转发芯片是用户在处理器11上为该ACL指定的下发位置所在的转发芯片。
在实际应用中,用户可以在网络设备10的处理器11上通过配置指令实现ACL的下发,该配置指令通常会限定需要下发的位置,例如端口PORTA,则端口PORTA所在的转发芯片即可充当本公开中的目标转发芯片。此外,还可以通过该配置指令限定ACL的类型,例如通过inbound命令将ACL的类型限定为入方向ACL,通过outbound命令将ACL的类型限定为出方向ACL。
对应地,处理器11检测到目标ACL的配置指令中携带有inbound命令时,可以确定目标ACL的类型为入方向ACL;处理器11检测到目标ACL的配置指令中携带有outbound命令时,可以确定目标ACL的类型为出方向ACL。
步骤S32,若目标ACL的类型为入方向ACL,则判断目标ACL的匹配长度是否超过目标转发芯片的IFP支持的最大匹配长度。
在本公开中,考虑到通常只有用于实现灵活QinQ(又称StackedVLAN或DoubleVLAN)功能的入方向ACL会被下发到VFP,而这类入方向ACL中的匹配字段通常只包括VLAN,其匹配长度通常为4字节,即32比特。换言之,这类入方向ACL通常不会超过VFP支持的最大匹配长度160比特。因此,就入方向ACL而言,匹配长度过长导致下发失败的情况通常发生在需要下发至IFP的入方向ACL中。
基于此,本公开中在确定目标ACL的类型为入方向ACL时,将目标ACL的匹配长度与目标转发芯片的IFP支持的最大匹配长度进行比较。
其中,所述IFP支持的最大匹配长度可以根据实际采用的转发芯片的匹配能力进行设置,例如可以为上述的320比特,本公开对此不做限制。
步骤S33,若超过该最大匹配长度,则从目标ACL中获取至少一个匹配字段作为第一字段组,获取与该第一字段组对应的第一预设标识,并将与该第一字段组对应的匹配动作设置为添加所述第一预设标识,形成第一ACL。
步骤S34,将第一ACL下发至目标转发芯片中的VFP。
步骤S35,将目标ACL中的原始匹配动作设置为与所述第一标识和所述目标ACL中的剩余匹配字段对应的匹配动作,形成第二ACL。
步骤S36,将第二ACL下发至所述IFP。
在实施过程中,若确定目标ACL的匹配长度超过目标转发芯片的IFP支持的最大匹配长度,则可以确定目标ACL不被IFP支持,无法成功下发至转发芯片。在此情况下,从目标ACL中拆分出至少一个匹配字段下发到其他FP中,而剩余匹配字段仍旧下发至IFP中,如此,使得目标ACL能够被转发芯片支持。其中,拆分出的所述至少一个匹配字段即为本公开中的第一字段组。
在本公开中,为了将从目标ACL拆分出的两部分匹配字段(即,第一字段组和剩余匹配字段)相互关联,获取与第一字段组对应的第一预设标识,并形成以第一字段组为匹配条件、以添加第一预设标识为该匹配条件对应的匹配动作的第一ACL。其中,添加第一预设标识通常又称作为报文重标记(remark)第一预设标识。
通过上述过程,与第一字段组匹配的报文会被添加所述第一预设标识,从而可以根据报文中是否携带所述第一预设标识,来确定是否将该报文与目标ACL的剩余匹配字段进行匹配。为了实现这一目的,处理器11形成以所述第一预设标识和所述剩余匹配字段共同作为匹配条件,以目标ACL中的原始匹配动作为该匹配条件对应的匹配动作的第二ACL。通过第二ACL,可以对与所述第一预设标识和所述剩余匹配字段均匹配的报文,执行目标ACL中原本携带的匹配动作(也即,所述原始匹配动作)。
通过上述过程,类型为入方向ACL的目标ACL被拆分为相互关联的第一ACL和第二ACL。
在本公开中,各个FP支持的匹配动作能力集有差别,为了确保目标ACL的原始匹配动作能够实现,处理器11将包括目标ACL的原始匹配动作的第二ACL下发在IFP中。对应地,处理器11将第一ACL下发在处理顺序位于IFP之前的FP,即VFP中。
应当理解,在本公开中,对步骤S34和步骤S36的执行顺序没有限制,它们可以是在步骤S33和步骤S35执行完毕后执行(具体顺序不做限制),也可以是步骤S34在步骤S33之后,步骤S36在步骤S35之后执行。
可选地,在本公开的一种实施方式中,可以预先配置有与不同第一字段组对应的不同第一预设标识。则,处理器11在拆分得到第一字段组时,可以从根据预先配置获取与该第一字段组对应的第一预设标识。在本公开的另一实施方式中,处理器11可以在拆分得到第一字段组时,根据特定算法随机生成用于唯一地表示该第一字段组的第一预设标识,在此情况下,针对拆分得到的每个第一字段组,与该第一字段组对应的第一预设标识都是唯一的,从而可以建立第一字段组和剩余匹配字段之间的一一对应关系。
在本公开中,处理器11中可以设置有与第一字段组对应的目标字段。在实施时,处理器11可以从目标ACL中获取与所述目标字段对应的值作为第一字段组。例如,假设目标ACL中包括源MAC地址a1、目的MAC地址a2和VLAN标签v1,且处理器11中设置的与第一字段组对应的目标字段包括源MAC地址和目的MAC地址,则处理器11从该目标ACL中获取源MAC地址a1和目的MAC地址a2作为第一字段组。
考虑到对于入方向ACL而言,ACL的匹配长度超过IFP支持的最大匹配长度的情况,通常是在该ACL中同时包括源IPv6地址、目的IPv6地址、源MAC地址以及目的MAC地址的情况下发生,可以在处理器11中将与所述第一字段组对应的目标字段设置为如下情况中的任意一种:
源MAC地址;目的MAC地址;源MAC地址和目的MAC地址;源IPv6地址;以及目的IPv6地址。
详细地,可以根据实际情况灵活地设置与所述第一字段组(即所述至少一个匹配字段)对应的目标字段。例如以VFP支持的最大匹配长度为上述的160比特为例,如果当前场景下所配置的目标ACL的匹配长度通常不会超过IFP支持的最大匹配长度太多,可以将与第一字段组对应的目标字段设置为包括源MAC地址(48比特)或目的MAC地址(48比特)。如果当前场景下目标ACL的匹配长度通常较长,可以将与第一字段组对应的目标字段设置为源IPv6地址(128比特)或目的IPv6地址,也可以将与第一字段组对应的目标字段设置为包括源MAC地址和目的MAC地址(48*2=96比特)。
当然,ACL还存在其他支持的匹配字段例如端口号(通常为16比特)、协议号(通常为8比特)、VLAN标签(通常为32比特)等,根据实际情况,在不超出VFP支持的最大匹配字段的情况下,与第一字段组对应的目标字段还可以包括前述的协议号、端口号和VLAN标签等字段。
基于上述设置,处理器11在确定目标ACL的类型为入方向ACL,且匹配长度超过IFP支持的最大匹配长度时,可以按照预先设置的目标字段从目标ACL中获取至少一个匹配字段,得到所述第一字段组。
可选地,在本公开中,所述第一预设标识可以为Qos(Qualityof service,服务质量)本地标识符,又称qos-local-id。Qos本地标识符的长度通常不超过20bit,小于上述的MAC地址、IPv6地址中任意一个的长度,因此,采用本方案可以减少需要下发在IFP的ACL的长度。
请参照图4,通过上述过程,在本公开中,目标转发芯片可以按照图4所示步骤对报文进行处理。
步骤S41,目标转发芯片的VFP在接收到与所述第一字段组匹配的报文时,为该报文添加所述第一预设标识,并对得到的报文进行转发。
在步骤S41中,对得到的报文进行转发是指按照入转发逻辑对得到的报文进行处理。
步骤S42,目标转发芯片的IFP在接收到与所述第一预设标识和目标ACL中的剩余匹配字段均匹配的报文时,对该报文执行目标ACL中的原始匹配动作。
可选地,在本公开中,所述ACL下发方法还可以包括图5所示的步骤。
步骤S52,若目标ACL的类型为出方向ACL,则判断目标ACL的匹配长度是否超过目标转发芯片的EFP支持的最大匹配长度。
在本公开中,考虑到出方向ACL通常只下发在EFP,因此,当目标ACL的类型为出方向ACL时,可以将目标ACL的匹配长度与目标转发芯片的EFP的匹配能力进行比对。其中,目标ACL的匹配长度是指目标ACL中包括的各匹配字段的长度之和。EFP支持的最大匹配长度可以根据实际使用的转发芯片的匹配能力进行设置,例如可以为上述的240比特,本公开对此不做限制。
步骤S53,若超过该最大匹配长度,则从目标ACL中获取至少一个匹配字段作为第二字段组,获取与该第二字段组对应的第二预设标识,并将与该第二字段组对应的匹配动作设置为添加所述第二预设标识,形成第三ACL。
步骤S54,将第三ACL下发至所述VFP或所述IFP。
步骤S55,将目标ACL中的原始匹配动作设置为与所述第二预设标识和目标ACL中的剩余匹配字段对应的匹配动作,形成第四ACL。
步骤S56,将第四ACL下发至所述EFP。
在本公开中,当目标ACL的类型为出方向ACL,并且目标ACL的匹配长度超过EFP支持的最大匹配长度时,可以将目标ACL拆分为至少一个匹配字段和剩余匹配字段,其中,该至少一个匹配字段即为上述的第二字段组。
为了将从目标ACL拆分出的两部分匹配字段(即第二字段组和剩余匹配字段)相互关联,可以获取与第二字段组对应的第二预设标识,并将与第二字段组对应的匹配动作设置为添加第二预设标识,形成第三ACL。如此,对于与第二字段组匹配的报文,将在该报文的报头部分添加第二预设标识,从而只需根据报文中是否携带所述第二预设标识,来确定是否将该报文与目标ACL中的剩余匹配字段进行匹配。在此情况下,处理器11可以形成以所述第二预设标识和目标ACL的剩余匹配字段共同作为匹配条件、以目标ACL中的原始匹配动作为该匹配条件对应的匹配动作的第四ACL,从而可以在报文与所述第二预设标识和所述目标ACL的剩余匹配字段两者均匹配时,对该报文执行所述目标ACL中的原始匹配动作。其中,原始匹配动作是指所述目标ACL中原本携带的匹配动作。
通过上述过程,类型为出方向ACL的目标ACL被拆分为第三ACL和第四ACL。在本公开中,第四ACL中携带有目标ACL的原始匹配动作,可以将其下发在EFP中。对应地,可以将第三ACL下发在处理顺序位于EFP之前的其他FP中,例如可以下发在目标转发芯片的VFP或IFP中。
应当理解,在本公开中,对步骤S54和步骤S56的执行顺序不做限制,它们可以在步骤S53和步骤S55之后按照任意顺序执行,也可以是步骤S54在步骤S53之后执行,步骤S56在步骤S55之后执行。
可选地,在本公开的一种实施方式中,可以针对不同的第二字段组预先配置不同的第二预设标识。在实施时,处理器11可以针对获得的第二字段组,从预先配置的第二预设标识中获取与该第二字段组对应的第二预设标识。在另一实施方式中,处理器11可以根据获得的第二字段组随机生成用于唯一表示该第二字段组的第二预设标识,从而可以在第二字段组和目标ACL中的剩余匹配字段之间建立一一对应的关联关系。可选地,所述第二预设标识也可以是Qos本地标识符。
可选地,在本公开中,处理器11还可以从目标ACL中拆分出至少一个字段形成第三字段组,并获取与该第三字段组对应的第三预设标识,形成以第三字段组和上述的第二预设标识为匹配条件、以添加第三预设标识为该匹配条件对应的匹配动作的第五ACL。对应地,在此情况下,第四ACL中的匹配条件包括第二预设标识、第三预设标识以及目标ACL中的剩余匹配字段。如此,可以将类型为出方向ACL的目标ACL拆分为第三ACL、第五ACL和第四ACL。
实施时,可以将第三ACL下发在VFP中,将第五ACL下发在IFP中,将第四ACL下发在EFP中,从而使得超长的目标ACL能够被目标转发芯片支持,成功下发。
请参照图6,通过图5所示的步骤,在本公开中,目标转发芯片可以按照图6所示的步骤对报文进行处理。
步骤S61,目标转发芯片的VFP或IFP在接收到与所述第二字段组匹配的报文时,为该报文添加所述第二预设标识,并对得到的报文进行转发。
其中,对得到的报文进行转发是指按照入转发逻辑对得到的报文进行处理。
步骤S62,目标转发芯片的EFP在接收到与所述第二预设标识和所述目标ACL的剩余匹配字段均匹配的报文时,对该报文执行所述目标ACL中的原始匹配动作。
可选地,对于上述目标ACL被拆分成第三ACL、第四ACL和第五ACL的情况,目标转发芯片可以按照如下过程对报文进行处理:
目标转发芯片的VFP在接收到与所述第二字段组匹配的报文时,为该报文添加所述第二预设标识,并对得到的报文进行转发;
目标转发芯片的IFP在接收到与所述第二预设标识和所述第三字段组匹配的报文时,为该报文添加第三预设标识;
目标转发芯片的EFP在接收到与所述第二预设标识、所述第三预设标识以及所述目标ACL的剩余匹配字段均匹配的报文时,对该报文执行所述目标ACL中的原始匹配动作。
在本公开中,可以设置有与第二字段组对应的目标字段,在实施时,可以从目标ACL中获取所述目标字段对应的值,从而得到第二字段组。其中,可以根据实际情况灵活地设置与第二字段组对应的目标字段。例如以VFP支持的最大匹配长度为160比特、IFP支持的最大匹配长度为320比特为例,如果将包括第二字段组的第三ACL下发在IFP,则可以在处理器11中将与第二字段组对应的目标字段设置为以下情况中的任意一种:
源IPv6地址;目的IPv6地址;以及,源IPv6地址和目的IPv6地址。
如果将包括第二字段组的第三ACL下发在VFP,则可以在处理器11中将与第二字段组对应的目标字段设置为:源IPv6地址或目的IPv6地址。
此外,处理器11中还可以设置有与第三字段组对应的目标字段,其具体设置方式可以参照上述对第二字段组的描述,在此不再赘述。
可选地,在本公开中,上述的第二预设标识和第三预设标识均可以为Qos本地标识符,其长度通常小于20比特,因此,通过本公开的ACL下发方法的处理,需要下发在EFP的ACL的匹配长度有所减少。
下面结合图1和图2,给出一些具体示例,对本公开提供的ACL下发方法进行详细阐述。
在以下示例中,将以MAC地址长度为48比特、IPv6地址为128比特、端口号为16比特、协议号为8比特,VFP 121支持的最大匹配长度为160比特,IFP 122支持的最大匹配长度为320比特,EFP 123支持的最大匹配长度为240比特进行说明。
假设转发芯片12包括端口PORT1和PORT2,处理器11中还配置有与不同字段组(具体可以包括第一字段组、第二字段组和第三字段组)对应的Qos本地标识符。
在示例一中,可以在处理器11中将与第一字段组对应的目标字段设置为包括源MAC地址和目的MAC地址。
如果用户在处理器11配置了一条需要下发在该端口PORT1的入方向的ACL,其中,ACL的匹配字段包括:源MAC地址0-0-1、目的MAC地址0-0-2、源IPv6地址10::1、目的IPv6地址10::2,对应的匹配动作为Filterdeny。由此可见,ACL的作用是:对于进入PORT1的报文,如果该报文的源MAC地址为0-0-1、目的MAC地址为0-0-2、源IPv6地址为10::1、目的IPv6地址为10::2,则禁止该报文通过端口PORT1。
则,转发芯片12可以充当本公开中的目标转发芯片,ACL可以充当本公开中的目标ACL。当处理器11根据用户配置准备下发该ACL时,可以通过本公开提供的ACL下发方法来下发ACL,具体过程可以如下:
第一、处理器11根据用户配置的指令检测出ACL的类型为入方向ACL。
第二、处理器11确定ACL的各匹配字段的长度之和(即,匹配长度)为352比特,超过了IFP122支持的最大匹配长度320比特。
第三、处理器11根据配置的与第一字段组对应的目标字段,从ACL中获取源MAC地址0-0-1和目的MAC地址0-0-2,作为第一字段组group11。
第四、处理器11根据配置获取与第一字段组group11(源MAC地址0-0-1和目的MAC地址0-0-2)对应的Qos本地标识符(假设为x1),并形成以源MAC地址0-0-1和目的MAC地址0-0-2为匹配条件、以重标记(remark)Qos本地标识符x1为匹配动作的第一ACL。
其中,Qos本地标识符x1可以充当本公开中的第一预设标识。
第五、处理器11将ACL中的剩余匹配动作(源IPv6地址10::1和目的IPv6地址10::2)以及Qos本地标识符x1共同作为匹配条件,将ACL中的原始匹配动作filterdeny作为与该匹配条件对应的匹配动作,形成第二ACL。
假设Qos本地标识符x1为20比特,则通过上述步骤一至五,将类型为入方向的ACL拆分为匹配长度为48*2=96比特的第一ACL和匹配长度为352-48*2+20=276比特的第二ACL,其中,第一ACL能够被VFP 121支持,第二ACL能够被IFP 122支持。
第六、将第一ACL下发至VFP 121。
第七、将第二ACL下发至IFP 122。
其中,第六和第七两个步骤的执行顺序没有限制。
通过步骤一至七,转发芯片12可以按照如下过程处理报文D1:
当报文D1进入转发芯片12时,会被添加转发芯片12的内部转发报文头,该内部转发报文头中通常包括报文D1在转发芯片12的入端口信息等字段,从而得到报文D2;
当报文D2进入VFP 121的处理流程时,VFP 121会判断报文D2的源MAC地址是否为0-0-1、且目的MAC地址是否为0-0-2,若判断结果均为是,VFP 121在报文D2的内部转发报文头中添加Qos本地标识符x1,得到报文D3,并按照入转发逻辑继续转发报文D3;
当报文D3进入IFP 122的处理流程时,IFP 122会对内部转发报文头中的入端口信息进行匹配,以及判断报文D3是否携带有的Qos本地标识符x1、源IPv6地址是否为10::1且目的IPv6地址是否为10::2,若判断结果均为是,则对报文D3执行filterdeny这一原始匹配动作。
在示例二中,可以将与第一字段组对应的目标字段设置为源IPv6地址。则,针对上述ACL,可以通过如下所示的ACL下发方法对其进行处理:
第一、当处理器11根据用户配置确定ACL的类型为入方向ACL,且其匹配长度超过IFP 122支持的最大匹配长度时,可以根据配置的与第一字段组对应的目标字段,从ACL中获取源IPv6地址10::1,作为第一字段组group12。
第二、处理器11获取与第一字段组group12(源IPv6地址10::1)对应的Qos本地标识符(假设为x2),并形成以源IPv6地址10::1为匹配条件、以重标记Qos本地标识符x2为匹配动作的第一ACL。
第三、处理器11将剩余匹配动作(源MAC地址0-0-1、目的MAC地址0-0-2以及目的IPv6地址10::2)以及Qos本地标识符x2作为匹配条件,将ACL中的原始匹配动作filterdeny作为该匹配条件对应的匹配动作,形成第二ACL。
其中,Qos本地标识符x2可以充当本公开中的第一预设标识。
以Qos本地标识符x2为20比特计算,经过上述处理,可以将类型为入方向的ACL拆分为:匹配长度为128比特的第一ACL以及匹配长度为352-128+20=244比特的第二ACL。其中,第一ACL能够被VFP 121支持,第二ACL能够被IFP 122支持。
第四、将第一ACL下发至VFP 121。
第五、将第二ACL下发至IFP 122。
其中,第四和第五两个步骤的执行顺序没有限制。
通过上述步骤一至五,转发芯片12可以按照以下过程处理报文D1:
当报文D1进入转发芯片12时,被添加转发芯片12的内部转发报文头,该内部转发报文头通常包括报文D1在转发芯片12的入端口信息等字段,从而得到报文D2;
当报文D2进入VFP 121的处理流程时,VFP 121判断报文D2的源IPv6地址是否为10::1,若是,则在报文的D2的内部转发报文头中添加Qos本地标识符x2,得到报文D3,并继续按照入转发逻辑转发报文D3;
当报文D3进入IFP 122的处理流程时,IFP 122对内部转发报文头中的入端口信息进行匹配,以及判断报文D3是否携带有Qos本地标识符x2、目的IPv6地址是否为10::2、源MAC地址是否为0-0-1以及目的MAC地址是否为0-0-2,若判断结果均为是,则对报文D3执行filterdeny这一原始匹配动作。
在其他示例中,还可以将与第一字段组对应的目标字段设置为目的IPv6地址,其具体处理过程与上述的示例二类似,在此不再赘述。
在示例三中,可以在处理器11中将与第二字段组对应的目标字段设置为包括源IPv6地址和目的IPv6地址。
在此情况下,如果用户在处理器11中将上述的ACL配置成下发在转发芯片12的端口PORT2的出方向,则在此情况下,ACL的作用是:对于需要从PORT2转出的报文,如果该报文的源MAC地址为0-0-1、目的MAC地址为0-0-2、源IPv6地址为10::1、目的IPv6地址为10::2,则禁止该报文通过端口PORT2。
在上述情况下,当处理器11根据用户配置准备下发ACL时,可以通过本公开提供的ACL下发方法来下发ACL,具体过程可以如下:
第一、处理器11根据用户配置检测出ACL类型为出方向ACL。
第二、处理器确定ACL的匹配长度为352比特,超过了EFP 123支持的最大匹配长度240比特。
第三、处理器11根据设置的与第二字段组对应的目标字段,从ACL中获取源IPv6地址10::1和目的IPv6地址10::2,得到第二字段组group2。
第四、处理器11获取与第二字段组group2(源IPv6地址10::1和目的IPv6地址10::2)对应的Qos本地标识符(假设为x3)并形成以源IPv6地址10::1和目的IPv6地址10::2为匹配条件、以重标记Qos本地标识符x3为匹配动作的第三ACL。
其中,Qos本地标识符x3可以充当本公开中的第二预设标识。
以Qos本地标识符x3为20比特进行计算,经过上述处理,可以将类型为出方向的ACL拆分为:匹配长度为128*2=256比特的第三ACL以及匹配长度为352-128*2+20=116比特的第四ACL。其中,第三ACL能够被IFP 122支持,第四ACL,能够被EFP 123支持。
第五、处理器11将ACL中的剩余匹配动作(即,源MAC地址0-0-1和目的MAC地址0-0-2)以及Qos本地标识符x3共同作为匹配条件,将ACL中的原始匹配动作filterdeny作为与该匹配条件对应的匹配动作,形成第四ACL。
第六、将第三ACL下发至IFP 122。
第七、将第四ACL下发至EFP 123。
其中,第六和第七两个步骤的执行顺序没有限制。
通过上述步骤一至七,转发芯片12可以按照如下过程对报文D1进行处理:
当报文D1进入转发芯片12时,被添加转发芯片12的内部转发报文头,该内部转发报文头中包括报文D1在转发芯片12的入端口信息等字段,得到报文D2;
当进入IFP 122的处理流程时,IFP 122检测报文D2的源IPv6地址是否为10::1以及目的IPv6地址是否为10::2,若检测结果均为是,则在报文D2的内部转发报文头中添加Qos本地标识符x3,得到报文D3;
当进入EFP 123的处理流程时,EFP 123对报文D3的入端口信息等字段进行匹配,以及监测报文D3是否携带有Qos本地标识符x3、源MAC地址是否为0-0-1、目的MAC地址是否为0-0-2,若检测结果均为是,则对报文D3执行filterdeny这一原始匹配动作。
在其他示例中,第二字段组可以被设置成仅包括源IPv6地址或仅包括目的IPv6地址,在此情况下,形成第三ACL的方式与上述的示例三类似。与示例三的区别在于,所形成的第三ACL可以被下发到VFP 121或是IFP 122中。
请参照图7,图7是本公开提供的一种网络设备10的方框示意图。网络设备10的处理器11可以包括检测模块111、第一下发模块112和第二下发模块113。
其中,检测模块111用于检测待下发至目标转发芯片的目标ACL的类型,该类型包括入方向ACL和出方向ACL。
在本公开中,检测模块111可以用于执行图3所示的步骤S31,关于检测模块111的描述具体可以参考对步骤S31的详细描述。
第一下发模块112用于当所述目标ACL的类型为入方向ACL时,判断所述目标ACL的匹配长度是否超过所述目标转发芯片的IFP支持的最大匹配长度,若是,则从所述目标ACL中获取至少一个匹配字段作为第一字段组,获取与该第一字段组对应的第一预设标识,并将与该第一字段组对应的匹配动作设置为添加所述第一预设标识,形成第一ACL;将所述第一ACL下发至所述目标转发芯片中的VFP。
在本公开中,第一下发模块112可以用于执行图3所示的步骤S32、步骤S33和步骤S34,关于第一下发模块112的描述具体可以参考对步骤S32、步骤S33以及步骤S34的详细描述。
第二下发模块113用于将所述目标ACL中的原始匹配动作设置为与所述第一预设标识和所述目标ACL中的剩余匹配字段对应的匹配动作,形成第二ACL;将所述第二ACL下发至所述IFP。
在本公开中,第二下发模块113可以用于执行图3所示的步骤S35和步骤S36,关于第二下发模块113的描述具体可以参考对步骤S35和步骤S36的详细描述。
可选地,通过上述检测模块111、第一下发模块112和第二下发模块113的处理,目标转发芯片的VFP可以用于在接收到与所述第一字段组匹配的报文时,为该报文添加所述第一预设标识,并对得到的报文进行转发。目标转发芯片的IFP可以用于在接收到与所述第一预设标识和所述目标ACL中的剩余匹配字段均匹配的报文时,对该报文执行所述目标ACL中的原始匹配动作。
详细地,当网络设备10中的转发芯片12充当目标转发芯片时,转发芯片12可以用于实现上述功能;当网络设备10中的转发芯片13充当目标转发芯片时,转发芯片13可以用于实现上述功能。
可选地,处理器11还可以包括第三下发模块114和第四下发模块115。
其中,第三下发模块114用于当所述目标ACL的类型为出方向ACL时,判断所述目标ACL的匹配长度是否超过所述目标转发芯片的EFP支持的最大匹配长度;若是,则从所述目标ACL中获取至少一个匹配字段作为第二字段组,获取与该第二字段组对应的第二预设标识,并将与该第二字段组对应的匹配动作设置为添加所述第二预设标识,形成第三ACL;将所述第三ACL下发至所述VFP或所述IFP。
在本公开中,第三下发模块114可以用于执行图5中示出的步骤S52、步骤S53以及步骤S54,关于第三下发模块114的描述具体可以参考对所述步骤S52、步骤S53以及步骤S54的详细描述。
第四下发模块115用于将所述目标ACL中的原始匹配动作设置为与所述第二预设标识和所述目标ACL中的剩余匹配字段对应的匹配动作,形成第四ACL;将所述第四ACL下发至所述EFP。
在本公开中,第四下发模块115可以用于执行图5中示出的步骤S55和步骤S56,关于第四下发模块115的描述具体可以参考对所述步骤S55和步骤S56的详细描述。
经过上述第三下发模块114和第四下发模块115的处理,目标转发芯片的VFP或IFP可以用于在接收到与所述第二字段组匹配的报文时,为该报文添加所述第二预设标识,并对得到的报文进行转发。目标转发芯片的EFP可以用于在接收到与所述第二预设标识和所述目标ACL的剩余匹配字段均匹配的报文时,对该报文执行所述目标ACL中的原始匹配动作。
当网络设备10中的转发芯片12充当目标转发芯片时,转发芯片12可以用于实现上述功能;当网络设备10中的转发芯片13充当目标转发芯片时,转发芯片13可以用于实现上述功能。
应当理解,本公开中的上述功能模块可以是直接存储在处理器11上,也可以是存储在其他机器可读存储介质上,由处理器11调用执行。
综上所述,本公开提供一种ACL下发方法及网络设备,网络设备检测待下发至目标转发芯片的目标ACL的类型,若为入方向ACL,则在目标ACL的匹配长度超过目标转发芯片的IFP支持的最大匹配长度时,将目标ACL拆分为包括至少一个匹配字段的第一字段组和剩余匹配字段,再将第一字段组的匹配动作设置成添加对应的第一预设标识,形成第一ACL;将剩余匹配字段和第一预设标识共同对应的匹配动作设置为目标ACL中的原始匹配动作,形成第二ACL。将第一ACL下发至目标转发芯片的VFP,将第二ACL下发至目标转发芯片的IFP。如此,使得匹配长度过长的入方向ACL能够被转发芯片的FP支持,从而成功下发至转发芯片。
此外,还可以使匹配长度过长的出方向ACL能够被转发芯片的FP支持,从而成功下发至转发芯片。
在本公开所提供的实施例中,应该理解到,所揭露的设备和方法,也可以通过其它的方式实现。以上所描述的实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本公开的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台网络设备执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种ACL下发方法,其特征在于,应用于包括转发芯片的网络设备,所述方法包括:
检测待下发至目标转发芯片的目标ACL的类型,该类型包括入方向ACL和出方向ACL;
若所述目标ACL的类型为入方向ACL,则判断所述目标ACL的匹配长度是否超过所述目标转发芯片的入过滤处理器IFP支持的最大匹配长度;
若超过该最大匹配长度,则从所述目标ACL中获取至少一个匹配字段作为第一字段组,获取与该第一字段组对应的第一预设标识,并将与该第一字段组对应的匹配动作设置为添加所述第一预设标识,形成第一ACL;
将所述第一ACL下发至所述目标转发芯片中的VLAN过滤处理器VFP;
将所述目标ACL中的原始匹配动作设置为与所述第一预设标识和所述目标ACL中的剩余匹配字段对应的匹配动作,形成第二ACL;
将所述第二ACL下发至所述IFP。
2.根据权利要求1所述的ACL下发方法,其特征在于,所述方法还包括:
所述目标转发芯片的VFP在接收到与所述第一字段组匹配的报文时,为该报文添加所述第一预设标识,并对得到的报文进行转发;
所述目标转发芯片的IFP在接收到与所述第一预设标识和所述目标ACL中的剩余匹配字段均匹配的报文时,对该报文执行所述目标ACL中的原始匹配动作。
3.根据权利要求1或2所述的ACL下发方法,其特征在于,从所述目标ACL中获取至少一个匹配字段作为第一字段组,包括:
获取所述目标ACL中的源MAC字段和目的MAC字段作为所述第一字段组;
获取所述目标ACL中的源IPv6地址作为所述第一字段组;或
获取所述目标ACL中的目的IPv6地址作为所述第一字段组。
4.根据权利要求1所述的ACL下发方法,其特征在于,所述方法还包括:
若所述目标ACL的类型为出方向ACL,则判断所述目标ACL的匹配长度是否超过所述目标转发芯片的出过滤处理器EFP支持的最大匹配长度;
若超过该最大匹配长度,则从所述目标ACL中获取至少一个匹配字段作为第二字段组,获取与该第二字段组对应的第二预设标识,并将与该第二字段组对应的匹配动作设置为添加所述第二预设标识,形成第三ACL;
将所述第三ACL下发至所述VFP或所述IFP;
将所述目标ACL中的原始匹配动作设置为与所述第二预设标识和所述目标ACL中的剩余匹配字段对应的匹配动作,形成第四ACL;
将所述第四ACL下发至所述EFP。
5.根据权利要求4所述的ACL下发方法,其特征在于,所述方法还包括:
所述目标转发芯片的VFP或IFP在接收到与所述第二字段组匹配的报文时,为该报文添加所述第二预设标识,并对得到的报文进行转发;
所述目标转发芯片的EFP在接收到与所述第二预设标识和所述目标ACL的剩余匹配字段均匹配的报文时,对该报文执行所述目标ACL中的原始匹配动作。
6.根据权利要求4或5所述的ACL下发方法,其特征在于,从所述目标ACL中获取至少一个匹配字段作为第二字段组,包括:
获取所述目标ACL中的源IPv6地址和/或目的IPv6地址作为所述第二字段组。
7.一种网络设备,其特征在于,所述网络设备包括处理器和转发芯片,所述处理器包括:
检测模块,用于检测待下发至目标转发芯片的目标ACL的类型,该类型包括入方向ACL和出方向ACL;
第一下发模块,用于当所述目标ACL的类型为入方向ACL时,判断所述目标ACL的匹配长度是否超过所述目标转发芯片的IFP支持的最大匹配长度,若是,则从所述目标ACL中获取至少一个匹配字段作为第一字段组,获取与该第一字段组对应的第一预设标识,并将与该第一字段组对应的匹配动作设置为添加所述第一预设标识,形成第一ACL;将所述第一ACL下发至所述目标转发芯片中的VFP;
第二下发模块,用于将所述目标ACL中的原始匹配动作设置为与所述第一预设标识和所述目标ACL中的剩余匹配字段对应的匹配动作,形成第二ACL;将所述第二ACL下发至所述IFP。
8.根据权利要求7所述的网络设备,其特征在于,
所述目标转发芯片的VFP在接收到与所述第一字段组匹配的报文时,为该报文添加所述第一预设标识,并对得到的报文进行转发;
所述目标转发芯片的IFP在接收到与所述第一预设标识和所述目标ACL中的剩余匹配字段均匹配的报文时,对该报文执行所述目标ACL中的原始匹配动作。
9.根据权利要求7所述的网络设备,其特征在于,所述处理器还包括:
第三下发模块,用于当所述目标ACL的类型为出方向ACL时,判断所述目标ACL的匹配长度是否超过所述目标转发芯片的EFP支持的最大匹配长度;若是,则从所述目标ACL中获取至少一个匹配字段作为第二字段组,获取与该第二字段组对应的第二预设标识,并将与该第二字段组对应的匹配动作设置为添加所述第二预设标识,形成第三ACL;将所述第三ACL下发至所述VFP或所述IFP;
第四下发模块,用于将所述目标ACL中的原始匹配动作设置为与所述第二预设标识和所述目标ACL中的剩余匹配字段对应的匹配动作,形成第四ACL;将所述第四ACL下发至所述EFP。
10.根据权利要求9所述的网络设备,其特征在于,
所述目标转发芯片的VFP或IFP在接收到与所述第二字段组匹配的报文时,为该报文添加所述第二预设标识,并对得到的报文进行转发;
所述目标转发芯片的EFP在接收到与所述第二预设标识和所述目标ACL的剩余匹配字段均匹配的报文时,对该报文执行所述目标ACL中的原始匹配动作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811251782.0A CN109088894B (zh) | 2018-10-25 | 2018-10-25 | Acl下发方法及网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811251782.0A CN109088894B (zh) | 2018-10-25 | 2018-10-25 | Acl下发方法及网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109088894A CN109088894A (zh) | 2018-12-25 |
CN109088894B true CN109088894B (zh) | 2021-04-06 |
Family
ID=64844188
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811251782.0A Active CN109088894B (zh) | 2018-10-25 | 2018-10-25 | Acl下发方法及网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109088894B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112073357A (zh) * | 2019-06-10 | 2020-12-11 | 中兴通讯股份有限公司 | 一种访问控制列表下发方法及装置 |
CN117640547A (zh) * | 2024-01-24 | 2024-03-01 | 苏州元脑智能科技有限公司 | 访问控制列表下发方法、装置、通信设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1489336A (zh) * | 2003-01-27 | 2004-04-14 | 四川南山之桥微电子有限公司 | 一种网络过滤处理器 |
CN106899506A (zh) * | 2017-01-25 | 2017-06-27 | 新华三技术有限公司 | 一种协议报文转发的方法和装置 |
CN107508836A (zh) * | 2017-09-27 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种acl规则下发的方法及装置 |
CN108234455A (zh) * | 2017-12-14 | 2018-06-29 | 北京东土科技股份有限公司 | 一种报文转发控制方法、装置、计算机装置及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9544356B2 (en) * | 2014-01-14 | 2017-01-10 | International Business Machines Corporation | Message switch file sharing |
-
2018
- 2018-10-25 CN CN201811251782.0A patent/CN109088894B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1489336A (zh) * | 2003-01-27 | 2004-04-14 | 四川南山之桥微电子有限公司 | 一种网络过滤处理器 |
CN106899506A (zh) * | 2017-01-25 | 2017-06-27 | 新华三技术有限公司 | 一种协议报文转发的方法和装置 |
CN107508836A (zh) * | 2017-09-27 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种acl规则下发的方法及装置 |
CN108234455A (zh) * | 2017-12-14 | 2018-06-29 | 北京东土科技股份有限公司 | 一种报文转发控制方法、装置、计算机装置及存储介质 |
Non-Patent Citations (1)
Title |
---|
基于IPSec场景的ACL报文过滤方法的研究与实现;晏苏红;《中国优秀硕士学位论文全文数据库电子期刊》;20170131;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN109088894A (zh) | 2018-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8134934B2 (en) | Tracking network-data flows | |
US20210243107A1 (en) | Explicit routing with network function encoding | |
US20160119253A1 (en) | Method and system of performing service function chaining | |
US9847935B2 (en) | Technologies for distributed routing table lookup | |
US8958418B2 (en) | Frame handling within multi-stage switching fabrics | |
US20080253380A1 (en) | System, method and program to control access to virtual lan via a switch | |
US20160105397A1 (en) | Firewall Packet Filtering | |
US20130064246A1 (en) | Packet Forwarding Using an Approximate Ingress Table and an Exact Egress Table | |
EP3223476B1 (en) | Method, system, and apparatus for preventing tromboning in inter-subnet traffic within data center architectures | |
US7555774B2 (en) | Inline intrusion detection using a single physical port | |
US20080267179A1 (en) | Packet processing | |
US20150200843A1 (en) | Packet Labels For Identifying Synchronization Groups of Packets | |
CN109729012B (zh) | 一种单播报文传输方法和装置 | |
US11616720B2 (en) | Packet processing method and system, and device | |
CN108683617B (zh) | 报文分流方法、装置及分流交换机 | |
CN109088894B (zh) | Acl下发方法及网络设备 | |
CN105791109B (zh) | 多协议标签交换中间节点组播转发的方法、装置和节点 | |
US7782797B2 (en) | Methods and apparatus for self partitioning a data network to prevent address conflicts | |
US20050190752A1 (en) | Method and system for locating the incoming port of a MAC address in an Ethernet switch network | |
CN110431885B (zh) | 处理报文的方法和装置 | |
US10791127B2 (en) | Packet transmission method and apparatus | |
US10063675B2 (en) | Performing duplicate address detection for an integrated routing and bridging device | |
CN112437077A (zh) | 第三方arp攻击、异常处理方法、vrrp网络及*** | |
EP3026862B1 (en) | Routing loop determining method | |
US10764177B2 (en) | Efficient implementation of complex network segmentation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |