CN113904798B - Ip报文的多元组过滤方法、***、设备及存储介质 - Google Patents
Ip报文的多元组过滤方法、***、设备及存储介质 Download PDFInfo
- Publication number
- CN113904798B CN113904798B CN202110998115.4A CN202110998115A CN113904798B CN 113904798 B CN113904798 B CN 113904798B CN 202110998115 A CN202110998115 A CN 202110998115A CN 113904798 B CN113904798 B CN 113904798B
- Authority
- CN
- China
- Prior art keywords
- source
- destination
- filtering
- different
- filtering rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 257
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000003860 storage Methods 0.000 title claims abstract description 20
- 230000009471 action Effects 0.000 claims abstract description 147
- 238000013507 mapping Methods 0.000 claims abstract description 30
- 238000012216 screening Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 13
- 230000036961 partial effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000002829 reductive effect Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种IP报文的多元组过滤方法、***、设备及存储介质,根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号;根据报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作。本申请通过任意元组组合过滤IP报文,提升了精准的分流;同时节省了过滤规则或者过滤表格占用SRAM/TCAM的资源,提升了资源利用率。
Description
技术领域
本申请属于网络安全技术领域,具体地,涉及一种IP报文的多元组过滤方法、***、设备及存储介质。
背景技术
随着5G时代到来,整个网络随着移动互联网和物联网技术的快速发展,从而使得网络中的移动设备的数量大幅度增加,导致了用户终端数、流量以及IP地址都出现了大量增长。同时对市场上用于流量分流的交换设备也提出了挑战,很多客户需要对不同的访问流量提供不同的服务,对于不同的移动设备在访问中的安全性和访问控制性也需要产生出不同的定义策略。
在IP分流时,需要查找定义的表,按照表规则将不同的IP进行分流处理。表即本申请中的过滤表,一般包含过滤规则,也称key,还包括对应的流量处理动作action,表会占用SRAM/TCAM资源,应该尽量减少key的长度,可节省资源,表有自己的规格,规格越大占用资源越大。目前,按查表机制的不同,将表格规则分为精确规则和掩码规则。
掩码规则一般用三态内容寻址存储器TCAM(Ternary Content AddressableMemory)实现,因为TCAM成本较高,功耗较大的缺点,一般在交换芯片上会有空间不多的TCAM。精确规则一般使用SRAM实现。在芯片上,SRAM可以数倍大于TCAM资源。
在流量识别时,一般我们通过报文的五元组信息,包括源IP、目的IP、源端口、目的端口、协议类型来识别并分流。在某些场景中,需要根据五元组中的一元或多元组合识别并分流。
基于上述需求,用TCAM实现的掩码规则可以实现单元或任意元组合的流识别和分流,但是受限于其资源有限,尤其是当使用精确的任意元时,整体规则量提高不了,无法满足大规格规则容量需求的场景。
针对大规格任意元组组合的规则,会自然而然考虑用SRAM定义精确规则满足这一需求。然而要支持精确的五元组或任意元组组合过滤,采用TCAM还是SRAM时,存在SRAM利用率极低、不支持元组之间的灵活组合规则、用TCAM实现时存在大量资源浪费、SRAM-TCAM结合方案的规则规格有限等缺点。
发明内容
本发明提出了一种IP报文的多元组过滤方法、***、设备及存储介质,旨在解决现有技术在使用SRAM/TCAM过滤IP报文时,由于过滤表存在重复的过滤规则,导致SRAM/TCAM的利用率极低的问题。
根据本申请实施例的第一个方面,提供了一种IP报文的多元组过滤方法,包括以下步骤:
根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;
根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及获取源IP编号与目的IP编号组合映射的第一组合编号;
根据报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作。
在本申请一些实施方式中,根据报文流的第一组合编号、协议号以及源目的端口号不同组合后,通过对应的过滤规则获取对应的分流动作,具体包括:
根据报文流的第一组合编号以及协议号,通过第四过滤规则获取第四分流动作,以及获取第一组合编号以及协议号组合映射的第二组合编号;
根据报文流的第一组合编号以及源目的端口号,通过第五过滤规则获取第五分流动作,以及获取第一组合编号以及源目的端口号组合映射的第三组合编号;
根据报文流的第三组合编号以及协议号,通过第六过滤规则获取第六分流动作。
在本申请一些实施方式中,还包括:
根据报文流的第二组合编号以及源目的端口号,通过第七过滤规则获取第七分流动作。
在本申请一些实施方式中,还包括:
根据优先级从高至低依次为第六/七分流动作、第五分流动作、第四分流动作、第三分流动作以及第一/二分流动作,选择一个分流动作将报文流进行过滤分流。
在本申请一些实施方式中,还包括:
设定第一分流动作的优先级高于第二分流动作,或者设定第二分流动作的优先级高于第一分流动作。
根据本申请实施例的第二个方面,提供了一种IP报文的多元组过滤***,具体包括:
第一过滤模块:设置有第一过滤规则以及第一分流动作;用于根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;
第二过滤模块:设置有第二过滤规则以及第二分流动作;根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号;
组合过滤模块:根据报文流的第一组合编号、协议号以及源目的端口号不同组合后,通过对应的过滤规则获取对应的分流动作。
在本申请一些实施方式中,组合过滤模块具体包括:
第四过滤模块:设置有第四过滤规则以及第四分流动作;根据报文流的第一组合编号以及协议号,通过第四过滤规则获取第四分流动作,以及第一组合编号以及协议号组合映射的第二组合编号;
第五过滤模块:设置有第五过滤规则以及第五分流动作;根据报文流的第一组合编号以及源目的端口号,通过第五过滤规则获取第五分流动作,以及第一组合编号以及源目的端口号组合映射的第三组合编号;
第六过滤模块:设置有第六过滤规则以及第六分流动作;根据报文流的第三组合编号以及协议号,通过第六过滤规则获取第六分流动作。
在本申请一些实施方式中,还包括
第七过滤表:设置有第七过滤规则以及第七分流动作;根据报文流的第二组合编号以及源目的端口号,通过第七过滤规则获取第七分流动作。
根据本申请实施例的第三个方面,提供了一种IP报文的多元组过滤设备,包括:
存储器:用于存储可执行指令;以及
处理器:用于与所述存储器连接以执行所述可执行指令从而完成以上IP报文的多元组过滤方法。
根据本申请实施例的第四个方面,提供了一种计算机可读存储介质,其上存储有计算机程序;计算机程序被处理器执行以实现IP报文的多元组过滤方法。
采用本申请实施例中的IP报文的多元组过滤方法、***、设备及存储介质,根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号;根据报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作。本申请支持通过精确的五元组或任意元组组合过滤IP报文,提升了精准的分流;同时定义过滤表时将其中的源IP地址以及目的IP地址等映射为不同的编号ID,节省了过滤规则或者过滤表格占用SRAM/TCAM的资源,提升了资源利用率。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1中示出了根据本申请实施例的一种IP报文的多元组过滤方法的步骤流程图;
图2中示出了根据本申请实施例的一种IP报文的多元组过滤方法的另一步骤流程图;
图3示出了根据本申请实施例的IP报文的多元组过滤方法中采用的过滤表的结构示意图;
图4示出了根据本申请实施例采用不同元组映射不同编号ID进行IP报文过滤的流程示意图;
图5中示出了根据本申请实施例的IP报文的多元组过滤***的结构示意图;
图6中示出了根据本申请实施例的IP报文的多元组过滤设备的结构示意图。
具体实施方式
在实现本申请的过程中,发明人发现在IP报文过滤分流时,若需要采用精确的五元组过滤,或任意元组组合过滤,无论TCAM还是SRAM方案,存在以下缺点:
1、SRAM利用率极低
假设以IPv6举例,KEY的宽度最大为296bit(源IPv6 16字节,目的IPv6 16字节,源端口2字节,目的端口2字节,协议号1字节,总共37字节),如果要实现任意元组的组合,就有数十种组合形式,考虑到IP地址在每种组合中必须出现,至少会有六种情况,比如源IPv6和目的IPv6的组合,源IPv6和目的IPv6源端口的组合,源IPv6和目的IPv6源端口目的端口的组合,此时会先存在大量重复KEY在组合表中定义,SRAM的利用率极低。
2、过滤规则不支持不同元祖之间灵活组合
针对常用的五元组(源/目的IP,源目的IP,源目的IP-源目的端口,源目的IP-源目的端口-协议号)定义多张表,在流量查找时,多张表包含了重复的key,比如IP地址,ipv6的地址占用128b,一方面SRAM资源浪费较大,无法将SRAM利用率最大化,支持更多的规则策略;另一方面,组合方式被限定,用户如果需要非常规的元组组合,比如源IP+协议号,现有过滤规则无法支持。
3、用TCAM实现时成本较高,且规律规则规格有限
纯粹用TCAM实现精确任意元组过滤时,对TCAM的浪费极大,而一般芯片上的TCAM资源比SRAM资源更紧俏。在汇聚分流场景中(包括但不限于汇聚分流场景)中,对规格有数十万的需求,根据现有方案,远无法满足需求。
4、用SRAM-TCAM耦合结合方案,规则规格有限
利用SRAM定义五张元组表,每张表的key为五元组中一元,命中后设置对应的元组ID,利用TCAM定义一张策略表,包含所有的元组ID,完成动作决策。这样的优点是支持五元组灵活组合,策略表的key由元组映射为ID,宽度减少,可以支持更大规格;缺点也很明显,SRAM和TCAM资源耦合,受TCAM资源限制,策略表的规格量有增大,但是针对运营商的需求,相差较远。
针对上述缺点,本申请主要解决了以下问题:
目前使用SRAM实现五元组过滤时,不能支持不同元组的灵活组合;
如果支持灵活精确五元组过滤情况时,需要定义至少6张不同元组组合的表,而这6张表中很多过滤规则是重复的,使资源浪费、导致SRAM的利用率极低。
目前使用TCAM实现精确五元组过滤,浪费TCAM资源且规则量并不能确保得到显著改善;
本申请不需要SRAM-TCAM耦合方式,且使SRAM资源利用最大化,规格量不会受TCAM限制,从而满足营运商对规则量的需求。
具体的,本申请实施例中提供了一种IP报文的多元组过滤方法、***、设备及存储介质,根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号;根据报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作。
本申请支持通过精确的五元组或任意元组组合过滤IP报文,提升了精准的分流;同时定义过滤表时将其中的源IP地址以及目的IP地址等映射为不同的编号ID,节省了过滤规则或者过滤表格占用SRAM/TCAM的资源,提升了资源利用率。
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例1
图1和图2中示出了根据本申请实施例的一种IP报文的多元组过滤方法的步骤流程图。
如图1、2所示,本实施例的IP报文的多元组过滤方法具体包括以下步骤:
S101:根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号。
S102:根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号。
S103:根据报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作。
在本申请一些实施方式中,S103具体包括以下步骤:
S1031:根据报文流的第一组合编号以及协议号,通过第四过滤规则获取第四分流动作,以及第一组合编号以及协议号组合映射的第二组合编号。
S1032:根据报文流的第一组合编号以及源目的端口号,通过第五过滤规则获取第五分流动作,以及第一组合编号以及源目的端口号组合映射的第三组合编号。
S1033:根据报文流的第三组合编号以及协议号,通过第六过滤规则获取第六分流动作。
其它实施方式中,S1033还包括:根据报文流的第二组合编号以及源目的端口号,通过第七过滤规则获取第七分流动作。
具体的,在根据以上步骤获取到以上的分流动作时,优先级高的分流动作会覆盖优先级低的分流动作,最后,确定优先级最高的分流动作去执行,按照最后确定的分流动作将报文流进行过滤分流。
本实施例中,分流动作的优先级从高至低依次为:第六/七分流动作、第五分流动作、第四分流动作、第三分流动作以及第一/二分流动作。
其中,可具体设定:第一分流动作的优先级高于第二分流动作,或者设定第二分流动作的优先级高于第一分流动作。
其中,可具体设定:第六分流动作的优先级高于第七分流动作,或者设定第七分流动作的优先级高于第六分流动作。
为进一步说明本实施例的IP报文的多元组过滤方法,以下以具体应用场景进行说明。
图3示出了根据本申请实施例的IP报文的多元组过滤方法中采用的过滤表的结构示意图。
如图3所示,基于SRAM定义6张过滤表,将元组映射为对应的编号ID,既可以按任意单元组过滤,将映射ID关联起来也可以按任意多元组组合过滤,如表1和表2的一元组过滤,表3的二元组过滤,表4的三元组过滤,表5的四元组过滤以及表6的五元组过滤。
具体的,六张过滤表1-表6中,均包括过滤规则KEY,以及分流动作action。例如,表1过滤规则设定为过滤筛选不同的源IP地址,不同的源IP地址映射为不同的编号ID,即设置SipHitId,同时不同的源Ip地址对应不同的分流动作,包括单播、组播、负载以及丢弃等,进而将不同的报文分流至不同的调度口。
表2过滤规则设定为过滤筛选不同的目的IP地址,不同的目的IP地址映射为不同的编号ID,即设置DipHitId,同时不同的目的Ip地址对应不同的分流动作,包括单播、组播、负载以及丢弃等,进而将不同的报文分流至不同的调度口。
表3过滤规则设定为通过源IP地址+目的IP地址组成的二元组,即源目的IP地址进行过滤筛选,不同的源目的IP地址映射为不同的编号ID,即设置SDipHitId,同时不同的二元组对应不同的分流动作,包括单播、组播、负载以及丢弃等,进而将不同的报文分流至不同的调度口。
表4过滤规则设定为通过源目的IP地址+协议号Proto组成的三元组进行过滤筛选,不同的源目的IP地址加协议号映射为不同的编号ID,即设置Proto-SDipHitId,同时不同的三元组对应不同的分流动作,包括单播、组播、负载以及丢弃等,进而将不同的报文分流至不同的调度口。
表5过滤规则设定为通过源目的IP地址+源目的端口组成的四元组进行过滤筛选,其中源目的端口包括源端口号和目的端口号,不同的源目的IP地址加源目的端口映射为不同的编号ID,即设置SD-Proto-SDipHitId,同时不同的四元组对应不同的分流动作,包括单播、组播、负载以及丢弃等,进而将不同的报文分流至不同的调度口。
表6过滤规则设定为通过源目的IP地址+协议号Proto+源目的端口组成的五元组进行过滤筛选,此时,有两种方法:通过源目的IP地址+协议号Proto的编号Proto-SDipHitId结合源目的端口进行过滤筛选;通过源目的IP地址+源目的端口的编号SD-Proto-SDipHitId结合协议号Proto进行过滤筛选。最后,不同的五元组对应不同的分流动作,包括单播、组播、负载以及丢弃等,进而将不同的报文分流至不同的调度口。
本实施例中,通过映射的编号ID过滤代替直接采用元组进行过滤,减小了每张表key的宽度,节省了SRAM资源;组合过滤时,第二次命中会将第一次命中结果覆盖掉,满足SRAM分流的原则,优先命中更精准的过滤规则,即优先级:5元组>4元组>3元组>2元组>1元组。
图4示出了根据本申请实施例采用不同元组映射不同编号ID进行IP报文过滤的流程示意图。
结合图4举例所示,将源IP地址”1::2”映射ID,SDipHitId设为1;目的IP地址”2::2”映射ID:如DipHitId设为2。
源目的IP地址二元组过滤时,通过SipHitID,DipHitId进行过滤筛选,而不是原始的源目的IP地址,同时将源目的IP地址映射ID:如SDipHitId设为3。
源目的IP地址+协议号Proto三元组过滤时,通过SDipHitId+Proto进行过滤筛选,同时将源目的IP地址+协议号Proto三元组映射ID:如Proto_SDipHitId=5。
源目的IP地址+源目的端口四元组过滤时,如源目的端口为“l4_src_port+l4_dst_port”,则通过SDipHitId+l4_src_port+l4_dst_port进行过滤帅选,同时,将源目的IP地址+源目的端口四元组映射ID:如SD_Port_SDipHitId=6。
源目的IP地址+协议号Proto+源目的端口五元组进行过滤时,有两种方式:一通过SD_Port_SDipHitId+协议号进行过滤;二通过Proto_SDipHitId+源目的端口进行过滤。
具体实施时,首先说明如下:
关于SRAM,TCAM的芯片资源大小,TCAM资源相对较少,SRAM资源多。IPV6地址:分为源IP地址,目的IP地址,大小为296bit,总共296*2bit举例"1::2"。协议号proto:大小为8bit,举例“17”。端口号:大小为16bit,举例“2”。
因此,ipv6地址直接作为key太耗费资源,映射为ID则可以减少资源消耗。
表:包含key和action,表会占用SRAM/TCAM资源,应该尽量减少key的长度,可节省资源,表有自己的规格,规格越大占用资源越大。
常用的元组,主要包含的常用的组合为:5元:源目的IP,源目的端口,协议号;4元:源目的IP,源目的端口;3元:源目的IP,协议号;2元:源目的IP;1元:源IP或者目的IP。
如从交换机物理口进入流量,报文结构如下:
Ethernet+IPv6(src_addr源地址=“1::2”,dst_addr目的地址=“2::3”,proto协议号=17)+UDP(sport=“88”,dport=“200”)+data。
例如进行单元组过滤:源IP过滤,转发到3口。
表中增加过滤规则:表1-Key:pkt.src_addr=1::2,actions:forward_port 3,SipHitId默认为0。
即流量进入后,提取报文中源IP字段,查找表1,命中规则后,执行单播转发到端口3,完成源IP过滤。
例如进行组合过滤,例如源目的IP+源目的端口过滤+协议号过滤,转发到4口。
表中增加规则如下:
表1-Key:pkt.src_addr=1::2,actions:forward_port 503,SipHitId设置为1;
表2-Key:pkt.dst_addr=2::3,actions:forward_port 503,DipHitId设置为1;
表3-Key:SipHitId=1,DipHitId=1,actions=forward_port 503,SDipHitId设置为1;
表5-Key:SDipHitId=1,pkt.l4_sport=88,pkt.l4_dport=200,actions=forward_port503,SD_port_SDipHitId默认为1;
表6-Key:SD_port_SDipHitId=1,pkt.proto=17,actions=forward_port 4。
即:在流量进入后,提取报文中五元组字段。
首先,查找表1,命中源IP规则,配置转发动作为非法值,设置SipHitId设置为1;查找表2,命中目的IP规则,配置转发动作为非法值,设置DipHitId设置为1,同时将组播,负载,丢弃相关参数置为无效。
然后查找表3,命中SipHitId=1,DipHitId=1规则,配置转发动作为非法值,设置SDipHitId设置为1,同时将组播,负载,丢弃相关参数置为无效。
查找表5,命中SDipHitId=1,pkt.sport=88,pkt.dport=200规则,配置转发动作为非法值,设置SD_port_SDipHitId设置为1,同时将组播,负载,丢弃相关参数置为无效。
查找表6,命中SD_port_SDipHitId=1,pkt.proto=17,配置转发动作为4口,同时将组播,负载,丢弃相关参数置为无效。
若命中后一个表格的过滤规则,则后一个转发动作即分流动作的优先级高于前一个转发动作,通过进行优先级最高的后一个转发动作完成报文流量的分流转发。
本申请实施例的IP报文的多元组过滤方法完全采用SRAM资源,不受TCAM资源限制;支持五元组灵活组合;减小key的宽度,使SRAM利用最大化,支持大规则量。本申请经过大量实验和调优设计表明,基于P4可编程的SDN交换机上的SRAM利用率达到74%,片上TCAM利用率达到81%,使得整体规格在原有数万级别的基础上提升了250%,不同元组组合规格提升了200%。
通过本申请实施例的IP报文的多元组过滤方法,根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号;根据报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作。
本申请支持通过精确的五元组或任意元组组合过滤IP报文,提升了精准的分流;同时定义过滤表时将其中的源IP地址以及目的IP地址等映射为不同的编号ID,节省了过滤规则或者过滤表格占用SRAM/TCAM的资源,提升了资源利用率。
实施例2
本实施例提供了一种IP报文的多元组过滤***,对于本实施例的IP报文的多元组过滤***中未披露的细节,请参照其它实施例中的IP报文的多元组过滤方法的具体实施内容。
图5中示出了根据本申请实施例的IP报文的多元组过滤***的结构示意图。
如图5所示,IP报文的多元组过滤***具体包括:
第一过滤模块10:设置有第一过滤规则以及第一分流动作;用于根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;
第二过滤模块20:设置有第二过滤规则以及第二分流动作;根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号;
组合过滤模块30:用于根据报文流的第一组合编号、协议号以及源目的端口号不同组合后,通过对应的过滤规则获取对应的分流动作。
在本申请一些实施方式中,组合过滤模块具体包括:
第四过滤表301:设置有第四过滤规则以及第四分流动作;根据报文流的第一组合编号以及协议号,通过第四过滤规则获取第四分流动作,以及第一组合编号以及协议号组合映射的第二组合编号;
第五过滤表302:设置有第五过滤规则以及第五分流动作;根据报文流的第一组合编号以及源目的端口号,通过第五过滤规则获取第五分流动作,以及第一组合编号以及源目的端口号组合映射的第三组合编号;
第六过滤表303:设置有第六过滤规则以及第六分流动作;根据报文流的第三组合编号以及协议号,通过第六过滤规则获取第六分流动作。
在本申请一些实施方式中,还包括
第七过滤表304:设置有第七过滤规则以及第七分流动作;根据报文流的第二组合编号以及源目的端口号,通过第七过滤规则获取第七分流动作。
通过本申请实施例的IP报文的多元组过滤***,第一过滤模块10设置有第一过滤规则以及第一分流动作;用于根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;第二过滤模块20设置有第二过滤规则以及第二分流动作;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号;组合过滤模块30用于根据报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作。
本申请支持通过精确的五元组或任意元组组合过滤IP报文,提升了精准的分流;同时定义过滤表时将其中的源IP地址以及目的IP地址等映射为不同的编号ID,节省了过滤规则或者过滤表格占用SRAM/TCAM的资源,提升了资源利用率。
实施例3
本实施例提供了一种IP报文的多元组过滤设备,对于本实施例的IP报文的多元组过滤设备中未披露的细节,请参照其它实施例中的IP报文的多元组过滤方法或***具体的实施内容。
图6中示出了根据本申请实施例的IP报文的多元组过滤设备400的结构示意图。
如图6所示,多元组过滤设备400,包括:
存储器402:用于存储可执行指令;以及
处理器401:用于与存储器402连接以执行可执行指令从而完成运动矢量预测方法。
本领域技术人员可以理解,示意图6仅仅是多元组过滤设备400的示例,并不构成对多元组过滤设备400的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如多元组过滤设备400还可以包括输入输出设备、网络接入设备、总线等。
所称处理器401(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器401也可以是任何常规的处理器等,处理器401是多元组过滤设备400的控制中心,利用各种接口和线路连接整个多元组过滤设备400的各个部分。
存储器402可用于存储计算机可读指令,处理器401通过运行或执行存储在存储器402内的计算机可读指令或模块,以及调用存储在存储器402内的数据,实现多元组过滤设备400的各种功能。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据多元组过滤设备400使用所创建的数据等。此外,存储器402可以包括硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)或其他非易失性/易失性存储器件。
多元组过滤设备400集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机可读指令来指令相关的硬件来完成,的计算机可读指令可存储于一计算机可读存储介质中,该计算机可读指令在被处理器执行时,可实现上述各个方法实施例的步骤。
实施例4
本实施例提供了一种计算机可读存储介质,其上存储有计算机程序;计算机程序被处理器执行以实现其他实施例中的IP报文的多元组过滤方法。
本申请实施例中的IP报文的多元组过滤设备及计算机存储介质,根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;根据报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号;根据报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作。
本申请支持通过精确的五元组或任意元组组合过滤IP报文,提升了精准的分流;同时定义过滤表时将其中的源IP地址以及目的IP地址等映射为不同的编号ID,节省了过滤规则或者过滤表格占用SRAM/TCAM的资源,提升了资源利用率。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (6)
1.一种IP报文的多元组过滤方法,其特征在于,包括以下步骤:
根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;
根据所述报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及获取源IP编号与目的IP编号组合映射的第一组合编号;
根据所述报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作,包括:
根据所述报文流的第一组合编号以及协议号,通过第四过滤规则获取第四分流动作,以及获取第一组合编号以及协议号组合映射的第二组合编号;
根据所述报文流的第一组合编号以及源目的端口号,通过第五过滤规则获取第五分流动作,以及获取第一组合编号以及源目的端口号组合映射的第三组合编号;
根据所述报文流的第三组合编号以及协议号,通过第六过滤规则获取第六分流动作;
根据所述报文流的第二组合编号以及源目的端口号,通过第七过滤规则获取第七分流动作;
其中,所述第一过滤规则包括:过滤筛选不同的源IP地址,不同的源IP地址映射为不同的编号ID,不同的源IP地址对应不同的分流动作;所述第二过滤规则包括:过滤筛选不同的目的IP地址,不同的目的IP地址映射为不同的编号ID,不同的目的IP地址对应不同的分流动作;所述第三过滤规则包括:通过源IP地址+目的IP地址组成的二元组,即源目的IP地址进行过滤筛选,不同的源目的IP地址映射为不同的编号ID,不同的二元组对应不同的分流动作;所述第四过滤规则包括:通过源目的IP地址+协议号组成的三元组进行过滤筛选,不同的源目的IP地址加协议号映射为不同的编号ID,不同的三元组对应不同的分流动作;所述第五过滤规则包括:通过源目的IP地址+源目的端口组成的四元组进行过滤筛选,其中源目的端口包括源端口号和目的端口号,不同的源目的IP地址加源目的端口映射为不同的编号ID,不同的四元组对应不同的分流动作;所述第六过滤规则包括:通过源目的IP地址+协议号+源目的端口组成的五元组进行过滤筛选,通过源目的IP地址+协议号的编号结合源目的端口进行过滤筛选不同的五元组对应不同的分流动作;所述第七过滤规则包括:通过源目的IP地址+源目的端口的编号结合协议号进行过滤筛选,不同的五元组对应不同的分流动作。
2.根据权利要求1所述的IP报文的多元组过滤方法,其特征在于,还包括:
根据优先级从高至低依次为第六/七分流动作、第五分流动作、第四分流动作、第三分流动作以及第一/二分流动作,选择一个分流动作将所述报文流进行过滤分流。
3.根据权利要求2所述的IP报文的多元组过滤方法,其特征在于,还包括:
设定所述第一分流动作的优先级高于所述第二分流动作,或者设定所述第二分流动作的优先级高于所述第一分流动作。
4.一种IP报文的多元组过滤***,其特征在于,具体包括:
第一过滤模块:设置有第一过滤规则以及第一分流动作;用于根据报文流的源IP地址,通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号;根据报文流的目的IP地址,通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号;
第二过滤模块:设置有第二过滤规则以及第二分流动作;根据所述报文流的源IP编号以及目的IP编号,通过第三过滤规则获取第三分流动作,以及源IP编号与目的IP编号组合映射的第一组合编号;
组合过滤模块:根据所述报文流的第一组合编号、协议号以及源目的端口号的不同组合,通过对应的过滤规则获取对应的分流动作;
其中,所述组合过滤模块具体包括:
第四过滤模块:设置有第四过滤规则以及第四分流动作;根据所述报文流的第一组合编号以及协议号,通过第四过滤规则获取第四分流动作,以及第一组合编号以及协议号组合映射的第二组合编号;
第五过滤模块:设置有第五过滤规则以及第五分流动作;根据所述报文流的第一组合编号以及源目的端口号,通过第五过滤规则获取第五分流动作,以及第一组合编号以及源目的端口号组合映射的第三组合编号;
第六过滤模块:设置有第六过滤规则以及第六分流动作;根据所述报文流的第三组合编号以及协议号,通过第六过滤规则获取第六分流动作;
第七过滤模块:设置有第七过滤规则以及第七分流动作;根据所述报文流的第二组合编号以及源目的端口号,通过第七过滤规则获取第七分流动作;
其中,所述第一过滤规则包括:过滤筛选不同的源IP地址,不同的源IP地址映射为不同的编号ID,不同的源IP地址对应不同的分流动作;所述第二过滤规则包括:过滤筛选不同的目的IP地址,不同的目的IP地址映射为不同的编号ID,不同的目的IP地址对应不同的分流动作;所述第三过滤规则包括:通过源IP地址+目的IP地址组成的二元组,即源目的IP地址进行过滤筛选,不同的源目的IP地址映射为不同的编号ID,不同的二元组对应不同的分流动作;所述第四过滤规则包括:通过源目的IP地址+协议号组成的三元组进行过滤筛选,不同的源目的IP地址加协议号映射为不同的编号ID,不同的三元组对应不同的分流动作;所述第五过滤规则包括:通过源目的IP地址+源目的端口组成的四元组进行过滤筛选,其中源目的端口包括源端口号和目的端口号,不同的源目的IP地址加源目的端口映射为不同的编号ID,不同的四元组对应不同的分流动作;所述第六过滤规则包括:通过源目的IP地址+协议号+源目的端口组成的五元组进行过滤筛选,通过源目的IP地址+协议号的编号结合源目的端口进行过滤筛选不同的五元组对应不同的分流动作;所述第七过滤规则包括:通过源目的IP地址+源目的端口的编号结合协议号进行过滤筛选,不同的五元组对应不同的分流动作。
5.一种IP报文的多元组过滤设备,其特征在于,包括:
存储器:用于存储可执行指令;以及
处理器:用于与所述存储器连接以执行所述可执行指令从而完成权利要求1-3任一项所述的IP报文的多元组过滤方法。
6.一种计算机可读存储介质,其特征在于,其上存储有计算机程序;所述计算机程序被处理器执行以实现如权利要求1-3任一项所述的IP报文的多元组过滤方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110998115.4A CN113904798B (zh) | 2021-08-27 | 2021-08-27 | Ip报文的多元组过滤方法、***、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110998115.4A CN113904798B (zh) | 2021-08-27 | 2021-08-27 | Ip报文的多元组过滤方法、***、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113904798A CN113904798A (zh) | 2022-01-07 |
| CN113904798B true CN113904798B (zh) | 2024-03-22 |
Family
ID=79187956
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110998115.4A Active CN113904798B (zh) | 2021-08-27 | 2021-08-27 | Ip报文的多元组过滤方法、***、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113904798B (zh) |
Citations (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101170563A (zh) * | 2007-11-30 | 2008-04-30 | 杭州华三通信技术有限公司 | 一种匹配报文规则的方法和装置 |
| CN101674193A (zh) * | 2009-08-21 | 2010-03-17 | 曙光信息产业(北京)有限公司 | 传输控制协议连接的管理方法和装置 |
| CN102025643A (zh) * | 2010-12-30 | 2011-04-20 | 华为技术有限公司 | 一种流表查找方法和装置 |
| CN103281246A (zh) * | 2013-05-20 | 2013-09-04 | 华为技术有限公司 | 报文处理方法及网络设备 |
| WO2014017467A1 (ja) * | 2012-07-24 | 2014-01-30 | 日本電気株式会社 | フィルタリング設定支援装置、フィルタリング設定支援方法及びプログラム |
| CN103905324A (zh) * | 2014-03-21 | 2014-07-02 | 汉柏科技有限公司 | 一种基于报文五元组的调度分流方法和*** |
| CN104579970A (zh) * | 2013-10-29 | 2015-04-29 | 国家计算机网络与信息安全管理中心 | 一种IPv6报文的策略匹配方法及装置 |
| CN105099917A (zh) * | 2014-05-08 | 2015-11-25 | 华为技术有限公司 | 业务报文的转发方法和装置 |
| CN105471747A (zh) * | 2015-11-25 | 2016-04-06 | 武汉烽火网络有限责任公司 | 一种智能路由器选路方法和装置 |
| CN106131086A (zh) * | 2016-08-31 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种访问控制列表的匹配方法及装置 |
| WO2016206511A1 (zh) * | 2015-06-26 | 2016-12-29 | 中兴通讯股份有限公司 | 一种实现nat的方法和装置 |
| US9559800B1 (en) * | 2008-10-24 | 2017-01-31 | Vmware, Inc. | Dynamic packet filtering |
| CN107547523A (zh) * | 2017-08-08 | 2018-01-05 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及机器可读存储介质 |
| CN110519173A (zh) * | 2019-09-10 | 2019-11-29 | 烽火通信科技股份有限公司 | 一种ip五元组表项的查找方法及查找*** |
| CN110677424A (zh) * | 2019-09-30 | 2020-01-10 | 华南理工大学广州学院 | 基于哈希算法的电力防火墙伪造寻址过滤方法 |
| CN111083157A (zh) * | 2019-12-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 报文过滤规则的处理方法和装置 |
| CN112350833A (zh) * | 2020-11-25 | 2021-02-09 | 杭州迪普信息技术有限公司 | 流量过滤方法及装置 |
| CN112491901A (zh) * | 2020-11-30 | 2021-03-12 | 北京锐驰信安技术有限公司 | 一种网络流量精细化筛选装置及方法 |
| CN112511523A (zh) * | 2020-11-24 | 2021-03-16 | 超越科技股份有限公司 | 一种基于访问控制的网络安全控制方法 |
| CN112702311A (zh) * | 2020-11-30 | 2021-04-23 | 锐捷网络股份有限公司 | 一种基于端口的报文过滤方法和装置 |
| CN112769850A (zh) * | 2021-01-19 | 2021-05-07 | 英赛克科技(北京)有限公司 | 网络报文过滤方法、电子设备及存储介质 |
| CN112769748A (zh) * | 2020-12-07 | 2021-05-07 | 浪潮云信息技术股份公司 | 一种基于dpdk的acl包过滤方法 |
| CN112804206A (zh) * | 2020-12-31 | 2021-05-14 | 北京知道创宇信息技术股份有限公司 | 基于查找树的报文匹配方法、装置和电子设备 |
| CN112910792A (zh) * | 2018-08-30 | 2021-06-04 | 华为技术有限公司 | 报文处理的方法、装置及相关设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10015140B2 (en) * | 2005-02-03 | 2018-07-03 | International Business Machines Corporation | Identifying additional firewall rules that may be needed |
| CN101873259B (zh) * | 2010-06-01 | 2013-01-09 | 华为技术有限公司 | Sctp报文识别方法和装置 |
| CN111984835B (zh) * | 2020-08-20 | 2022-07-05 | 国家计算机网络与信息安全管理中心 | 一种IPv4掩码五元组规则存储压缩方法及装置 |
-
2021
- 2021-08-27 CN CN202110998115.4A patent/CN113904798B/zh active Active
Patent Citations (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009070994A1 (fr) * | 2007-11-30 | 2009-06-11 | Hangzhou H3C Technologies Co., Ltd. | Procédé et dispositif d'appariement de règle de messagerie |
| CN101170563A (zh) * | 2007-11-30 | 2008-04-30 | 杭州华三通信技术有限公司 | 一种匹配报文规则的方法和装置 |
| US9559800B1 (en) * | 2008-10-24 | 2017-01-31 | Vmware, Inc. | Dynamic packet filtering |
| CN101674193A (zh) * | 2009-08-21 | 2010-03-17 | 曙光信息产业(北京)有限公司 | 传输控制协议连接的管理方法和装置 |
| CN102025643A (zh) * | 2010-12-30 | 2011-04-20 | 华为技术有限公司 | 一种流表查找方法和装置 |
| WO2014017467A1 (ja) * | 2012-07-24 | 2014-01-30 | 日本電気株式会社 | フィルタリング設定支援装置、フィルタリング設定支援方法及びプログラム |
| CN103281246A (zh) * | 2013-05-20 | 2013-09-04 | 华为技术有限公司 | 报文处理方法及网络设备 |
| CN104579970A (zh) * | 2013-10-29 | 2015-04-29 | 国家计算机网络与信息安全管理中心 | 一种IPv6报文的策略匹配方法及装置 |
| CN103905324A (zh) * | 2014-03-21 | 2014-07-02 | 汉柏科技有限公司 | 一种基于报文五元组的调度分流方法和*** |
| CN105099917A (zh) * | 2014-05-08 | 2015-11-25 | 华为技术有限公司 | 业务报文的转发方法和装置 |
| WO2016206511A1 (zh) * | 2015-06-26 | 2016-12-29 | 中兴通讯股份有限公司 | 一种实现nat的方法和装置 |
| CN105471747A (zh) * | 2015-11-25 | 2016-04-06 | 武汉烽火网络有限责任公司 | 一种智能路由器选路方法和装置 |
| CN106131086A (zh) * | 2016-08-31 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种访问控制列表的匹配方法及装置 |
| CN107547523A (zh) * | 2017-08-08 | 2018-01-05 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及机器可读存储介质 |
| CN112910792A (zh) * | 2018-08-30 | 2021-06-04 | 华为技术有限公司 | 报文处理的方法、装置及相关设备 |
| CN110519173A (zh) * | 2019-09-10 | 2019-11-29 | 烽火通信科技股份有限公司 | 一种ip五元组表项的查找方法及查找*** |
| CN110677424A (zh) * | 2019-09-30 | 2020-01-10 | 华南理工大学广州学院 | 基于哈希算法的电力防火墙伪造寻址过滤方法 |
| CN111083157A (zh) * | 2019-12-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 报文过滤规则的处理方法和装置 |
| CN112511523A (zh) * | 2020-11-24 | 2021-03-16 | 超越科技股份有限公司 | 一种基于访问控制的网络安全控制方法 |
| CN112350833A (zh) * | 2020-11-25 | 2021-02-09 | 杭州迪普信息技术有限公司 | 流量过滤方法及装置 |
| CN112702311A (zh) * | 2020-11-30 | 2021-04-23 | 锐捷网络股份有限公司 | 一种基于端口的报文过滤方法和装置 |
| CN112491901A (zh) * | 2020-11-30 | 2021-03-12 | 北京锐驰信安技术有限公司 | 一种网络流量精细化筛选装置及方法 |
| CN112769748A (zh) * | 2020-12-07 | 2021-05-07 | 浪潮云信息技术股份公司 | 一种基于dpdk的acl包过滤方法 |
| CN112804206A (zh) * | 2020-12-31 | 2021-05-14 | 北京知道创宇信息技术股份有限公司 | 基于查找树的报文匹配方法、装置和电子设备 |
| CN112769850A (zh) * | 2021-01-19 | 2021-05-07 | 英赛克科技(北京)有限公司 | 网络报文过滤方法、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 5G时代汇聚分流技术及其设备的演进变化;王雪荣;王素彬;;广东通信技术;20200515(05);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113904798A (zh) | 2022-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10812632B2 (en) | Network interface controller with integrated network flow processing | |
| US7313667B1 (en) | Methods and apparatus for mapping fields of entries into new values and combining these mapped values into mapped entries for use in lookup operations such as for packet processing | |
| US7133400B1 (en) | System and method for filtering data | |
| US9419903B2 (en) | Structure for implementing openflow all group buckets using egress flow table entries | |
| CN108833299B (zh) | 一种基于可重构交换芯片架构的大规模网络数据处理方法 | |
| US8861347B2 (en) | Configurable access control lists using TCAM | |
| US10778588B1 (en) | Load balancing for multipath groups routed flows by re-associating routes to multipath groups | |
| US10693790B1 (en) | Load balancing for multipath group routed flows by re-routing the congested route | |
| Jedhe et al. | A scalable high throughput firewall in FPGA | |
| US7787463B2 (en) | Content aware apparatus and method | |
| US10397116B1 (en) | Access control based on range-matching | |
| CN104468401A (zh) | 一种报文处理方法和装置 | |
| US8176242B1 (en) | Apparatus and method for improving CAM usage | |
| US11652744B1 (en) | Multi-stage prefix matching enhancements | |
| US11876696B2 (en) | Methods and systems for network flow tracing within a packet processing pipeline | |
| CN112039783B (zh) | 通信数据输出方法、装置、计算机设备及存储介质 | |
| CN111131050A (zh) | 流表的匹配方法及装置 | |
| EP2898640A1 (en) | Ultra low latency multi-protocol network device | |
| CN103685041A (zh) | 一种基于比特粒度可编程的路由器及路由方法 | |
| Hatami et al. | High-performance architecture for flow-table lookup in SDN on FPGA | |
| CN113904798B (zh) | Ip报文的多元组过滤方法、***、设备及存储介质 | |
| CN107579875B (zh) | 一种网络报文统计方法及装置 | |
| US20230064845A1 (en) | Methods and systems for orchestrating network flow tracing within packet processing pipelines across multiple network appliances | |
| US8040882B2 (en) | Efficient key sequencer | |
| CN114143195A (zh) | 一种数据包处理装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |