CN114039910A - 基于分组标签策略的数据转发的方法 - Google Patents
基于分组标签策略的数据转发的方法 Download PDFInfo
- Publication number
- CN114039910A CN114039910A CN202111363981.2A CN202111363981A CN114039910A CN 114039910 A CN114039910 A CN 114039910A CN 202111363981 A CN202111363981 A CN 202111363981A CN 114039910 A CN114039910 A CN 114039910A
- Authority
- CN
- China
- Prior art keywords
- source
- forwarding
- label
- packet
- searching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000011144 upstream manufacturing Methods 0.000 claims abstract description 10
- 238000002955 isolation Methods 0.000 abstract description 10
- 102100027722 Small glutamine-rich tetratricopeptide repeat-containing protein alpha Human genes 0.000 description 15
- 101001064542 Homo sapiens Liprin-beta-1 Proteins 0.000 description 3
- 101000650857 Homo sapiens Small glutamine-rich tetratricopeptide repeat-containing protein beta Proteins 0.000 description 3
- 101710113900 Protein SGT1 homolog Proteins 0.000 description 3
- 101100020531 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) LAC1 gene Proteins 0.000 description 3
- 102100027721 Small glutamine-rich tetratricopeptide repeat-containing protein beta Human genes 0.000 description 3
- 101150085401 dgt2 gene Proteins 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000020169 heat generation Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于分组标签策略的数据转发的方法,包含如下步骤:采集数据报文;解析数据报文,获得源地址、目的地址、入端口、虚拟局域网编号以及上游设备已经***的源分组标签;采集二层转发域、三层VRF的中间状态信息;对目的地址查找转发信息库,获得下一跳操作的索引和目的地分组标签;对源地址查找转发信息库,获得第一源分组标签;对入端口和虚拟局域网编号查找,获得第二源分组标签;本发明能够实现基于分组标签的微分段,支持子网内部互访的安全隔离,安全控制的粒度更精细,能够实现基于源和目的分组标签的策略路由转发。分组标签可以不限于IP地址,可以基于入项端口、VLAN、虚拟机标签、MAC地址、地理位置、设备类型等等,使得安全控制更为灵活。
Description
技术领域
本发明涉及分组标签策略技术领域,特别涉及一种基于分组标签策略的数据转发的方法。
背景技术
随着用户对安全越来越重视,基于安全组的微分段技术成为精颗粒度策略控制的技术潮流,用于园区网的SGT(Scalable Group Tag)技术和用于数据中心的GBP(GroupBased Policy)技术得到市场的逐渐认可。传统以太网交换芯片使用目的IP地址去查表,获取指向下一跳地址的索引,在入口ACL访问控制环节根据用户配置下发的IP互访策略进行丢弃或转发。制约安全策略大规模部署的主要因素是实现ACL功能的TCAM(ternarycontent addressable memory)发热大、容量小、价格高。
传统安全策略的部署需要进行清晰的网络规划,使用VLAN、VXLAN VNI等划分业务子网实现业务隔离,交换机三层接口下的ACL不能实现同一子网内不同服务器的隔离。在云计算和虚拟化环境,安全边界难以界定,使得ACL难以实际部署。即使在传统的网络环境,由于IP设备数量庞大,ACL的配置维护相当复杂,缺乏全局视角,难以实现基于意图的网络策略。同时以太网交换芯片使用TCAM,缺乏防火墙那样使用RAM内存支持大量ACL表项的能力。
发明内容
根据本发明实施例,提供了一种基于分组标签策略的数据转发的方法,包含如下步骤:
采集数据报文;
解析数据报文,获得源地址、目的地址、入端口、虚拟局域网编号以及上游设备已经***的源分组标签;
对目的地址的前缀进行地址查找转发信息库,获得下一跳操作的索引和目的地分组标签;
根据入端口加上数据报文的虚拟局域网信息,采集二层转发域的信息,并且得到二转发域所属的三层VRF的信息;
对源地址查找转发信息库,获得第一源分组标签;
对入端口和虚拟局域网编号查找,获得第二源分组标签;
根据数据报文的优先级从到高低选择从上游设备已经***的源分组标签、第一源分组标签以及第二源分组标签中选择最终的源分组标签;
比对查找最终的源分组标签和目的地分组标签,获得查找比对的结果;
根据查找比对的结果,判断是丢弃数据报文,还是获得下一跳的出口信息。
进一步,数据报文的优先级为:上游设备已经***的源分组标签>第二源分组标签>第一源分组标签。
进一步,比对查找最终的源分组标签和目的地分组标签是通过策略匹配查找表进行比对查找。
进一步,查找比对的结果是丢弃还是转发是由用户安全策略决定的。
进一步,查找比对的结果转发到哪个端口是由用户路由转发策略决定的。
进一步,查找比对的结果分为安全策略结果和路由策略结果。
根据本发明实施例的基于分组标签策略的数据转发的方法,1、实现基于分组标签的微分段,支持子网内部互访的安全隔离,安全控制的粒度更精细,能够实现基于源和目的分组标签的策略路由转发。分组标签可以不限于IP地址,可以基于入项端口、VLAN、虚拟机标签、MAC地址、地理位置、设备类型等等,使得安全控制更为灵活。2、同时进行源IP和目的IP的查找,自带uRPF反向路径查找的安全特性。3、在IP查找转发阶段融合基于SGT与DGT的安全策略,规模从基于TCAM的几百条策略扩展到支持数万条策略。4、基于分组标签的GBP策略便于用户理解和部署,支持基于用户意图的全网统一安全策略。5、减少对传统ACL TCAM资源的占用,使得网络安全控制在数据中心内部的部署不再依赖子网隔离,租户内部安全隔离成为可能。6、支持根据SGT与DGT实现PBR策略路由,使得数据包转发更灵活,不只是根据目的IP进行转发。7、支持根据SGT与DGT实现精细的QoS服务质量保障,GBP策略查找结果作为优先级标记、带宽保障与限速、队列分配等特性的依据。
本发明中交换芯片在路由查找环节内置GBP策略可以实现高效的微分段,减少对TCAM资源的依赖,实现大规模的安全策略部署,提升数据中心的安全性,同时不会带来数据转发延迟的增大。
要理解的是,前面的一般描述和下面的详细描述两者都是示例性的,并 且意图在于提供要求保护的技术的进一步说明。
附图说明
图1为数据转发的原理框图。
图2为GBP查找示意图。
图3为本发明实施例的基于分组标签策略的数据转发的方法的流程图。
具体实施方式
以下将结合附图,详细描述本发明的优选实施例,对本发明做进一步阐述。
首先,将结合图1~3描述根据本发明实施例的基于分组标签策略的数据转发的方法,用于数据的转发,其应用场景很广。
如图1~3所示,本发明实施例的基于分组标签策略的数据转发的方法,包含如下步骤:
S1:如图1所示,采集数据报文;
S2:如图1所示,通过报文解析器(Parser)解析数据报文,获得源地址(SIP)、VRF+目的地址(DIP)、入端口(In-intf)、虚拟局域网(VLAN)编号以及上游设备已经***的源分组标签(SGT,第三源分组标签)。
S3:如图1所示,对VRF+目的地址的前缀进行地址查找转发信息库(FIB),获得下一跳操作的索引(Eg-idx)和目的地分组标签(DGT)。在本实施例中,使用传统的L3 Hostmatch,LPM Hash对目的地址查找转发信息库。
S4:如图1所示,根据入端口port(In-intf)加上数据报文的虚拟局域网(VLAN)信息,采集二层转发域的信息,并且得到二转发域所属的三层VRF的信息。
S5:如图1所示,对源地址查找转发信息库,获得第一源分组标签(SGT)。
S6:如图1所示,对入端口和虚拟局域网编号查找,获得第二源分组标签(SGT)。
S7:如图1所示,根据数据报文的优先级从到高低选择从上游设备已经***的源分组标签(第三源分组标签)、第一源分组标签以及第二源分组标签中选择最终的源分组标签(SGT)。在本实施例中,数据报文的优先级为:上游设备已经***的源分组标签(第三源分组标签)>第二源分组标签>第一源分组标签。
S8:如图1所示,比对查找最终的源分组标签和目的地分组标签,获得查找比对的结果。在本实施例中,比对查找所述最终的源分组标签SGT和所述目的地分组标签DGT是通过策略匹配查找表进行比对查找。
比对查找所述最终的源分组标签SGT和所述目的地分组标签DGT,根据网络部署策略,获得查找比对的结果。比如SGT1访问DGT1,结果为Drop丢弃;SGT1访问DGT2,结果为从Port2转发出去;SGT2访问DGT1,结果为根据正常基于目的地址转发;SGT2访问DGT2,结果为按照预定QoS策略进行转发。
SGT1 | SGT2 | |
DGT1 | Drop | 出口索引 |
DGT2 | Port2 | Qos策略索引 |
S9:如图1所示,根据查找比对的结果,判断是丢弃数据报文(安全策略结果),还是获得下一跳的出口信息(路由策略结果)。在本实施例中,查找比对的结果是丢弃还是转发是由用户安全策略决定的,查找比对的结果转发到哪个端口是由用户路由转发策略决定的,查找比对的结果分为安全策略结果和路由策略结果。
如图2所示,如果Discard_en = true,则丢弃该报文,实现安全隔离;如果PBR_en= true,则使用GBP lookup table result中的下一跳索引,实现策略路由;如果PBR_en =false,则使用DIP lookup result中的下一跳索引,实现传统的正常转发;如果QoS_en =true,则使用索引指向QoS Policy table,进行TC group和Color等QoS相关的策略设置;如果QoS_en = false,则使用传统的QoS设置流程。
以上,参照图1~3描述了根据本发明实施例的基于分组标签策略的数据转发的方法,1、实现基于分组标签的微分段,支持子网内部互访的安全隔离,安全控制的粒度更精细。分组标签可以不限于IP地址,可以基于入项端口、VLAN、虚拟机标签、MAC地址、地理位置、设备类型等等,使得安全控制更为灵活。2、同时进行源IP和目的IP的查找,自带uRPF反向路径查找的安全特性。3、在IP查找转发阶段融合基于SGT与DGT的安全策略,规模从基于TCAM的几百条策略扩展到支持数万条策略。4、基于分组标签的GBP策略便于用户理解和部署,支持基于用户意图的全网统一安全策略。5、减少对传统ACL TCAM资源的占用,使得网络安全控制在数据中心内部的部署不再依赖子网隔离,租户内部安全隔离成为可能。6、支持根据SGT与DGT实现PBR策略路由,使得数据包转发更灵活,不只是根据目的IP进行转发。7、支持根据SGT与DGT实现精细的QoS服务质量保障,GBP策略查找结果作为优先级标记、带宽保障与限速、队列分配等特性的依据。
需要说明的是,在本说明书中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包含……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
Claims (6)
1.一种基于分组标签策略的数据转发的方法,其特征在于,包含如下步骤:
采集数据报文;
解析所述数据报文,获得源地址、目的地址、入端口、虚拟局域网编号以及上游设备已经***的源分组标签;
对所述目的地址的前缀进行地址查找转发信息库,获得下一跳操作的索引和目的地分组标签;
根据所述入端口加上所述数据报文的虚拟局域网信息,采集二层转发域的信息,并且得到所述二转发域所属的三层VRF的信息;
对所述源地址查找转发信息库,获得第一源分组标签;
对所述入端口和所述虚拟局域网编号查找,获得第二源分组标签;
根据所述数据报文的优先级从到高低选择从所述上游设备已经***的源分组标签、第一源分组标签以及所述第二源分组标签中选择最终的源分组标签;
比对查找所述最终的源分组标签和所述目的地分组标签,获得查找比对的结果;
根据所述查找比对的结果,判断是丢弃所述数据报文,还是获得下一跳的出口信息。
2.如权利要求1所述基于分组标签策略的数据转发的方法,其特征在于,所述数据报文的优先级为:所述上游设备已经***的源分组标签>所述第二源分组标签>第一源分组标签。
3.如权利要求1所述基于分组标签策略的数据转发的方法,其特征在于,比对查找所述最终的源分组标签和所述目的地分组标签是通过策略匹配查找表进行比对查找。
4.如权利要求1所述基于分组标签策略的数据转发的方法,其特征在于,所述查找比对的结果是丢弃还是转发是由用户安全策略决定的。
5.如权利要求1所述基于分组标签策略的数据转发的方法,其特征在于,所述查找比对的结果转发到哪个端口是由用户路由转发策略决定的。
6.如权利要求1所述基于分组标签策略的数据转发的方法,其特征在于,所述查找比对的结果分为安全策略结果和路由策略结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111363981.2A CN114039910B (zh) | 2021-11-17 | 2021-11-17 | 基于分组标签策略的数据转发的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111363981.2A CN114039910B (zh) | 2021-11-17 | 2021-11-17 | 基于分组标签策略的数据转发的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114039910A true CN114039910A (zh) | 2022-02-11 |
CN114039910B CN114039910B (zh) | 2023-06-27 |
Family
ID=80144705
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111363981.2A Active CN114039910B (zh) | 2021-11-17 | 2021-11-17 | 基于分组标签策略的数据转发的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114039910B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115065614A (zh) * | 2022-06-22 | 2022-09-16 | 杭州云合智网技术有限公司 | Vpws多活的业务连通性的识别方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763454A (zh) * | 2016-02-25 | 2016-07-13 | 比威网络技术有限公司 | 基于二维路由策略的数据报文转发方法及装置 |
CN106161227A (zh) * | 2016-06-27 | 2016-11-23 | 杭州华三通信技术有限公司 | 一种报文转发方法及装置 |
CN107968749A (zh) * | 2017-11-21 | 2018-04-27 | 锐捷网络股份有限公司 | 实现QinQ路由终结的方法、交换芯片及交换机 |
CN108965131A (zh) * | 2018-07-27 | 2018-12-07 | 新华三技术有限公司 | 一种报文转发的方法及装置 |
US20210176171A1 (en) * | 2019-12-10 | 2021-06-10 | Juniper Networks, Inc. | Combined input and output queue for packet forwarding in network devices |
-
2021
- 2021-11-17 CN CN202111363981.2A patent/CN114039910B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763454A (zh) * | 2016-02-25 | 2016-07-13 | 比威网络技术有限公司 | 基于二维路由策略的数据报文转发方法及装置 |
CN106161227A (zh) * | 2016-06-27 | 2016-11-23 | 杭州华三通信技术有限公司 | 一种报文转发方法及装置 |
CN107968749A (zh) * | 2017-11-21 | 2018-04-27 | 锐捷网络股份有限公司 | 实现QinQ路由终结的方法、交换芯片及交换机 |
CN108965131A (zh) * | 2018-07-27 | 2018-12-07 | 新华三技术有限公司 | 一种报文转发的方法及装置 |
US20210176171A1 (en) * | 2019-12-10 | 2021-06-10 | Juniper Networks, Inc. | Combined input and output queue for packet forwarding in network devices |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115065614A (zh) * | 2022-06-22 | 2022-09-16 | 杭州云合智网技术有限公司 | Vpws多活的业务连通性的识别方法 |
CN115065614B (zh) * | 2022-06-22 | 2023-10-13 | 杭州云合智网技术有限公司 | Vpws多活的业务连通性的识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114039910B (zh) | 2023-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11329876B2 (en) | Seamless multi-cloud routing and policy interconnectivity | |
US7813337B2 (en) | Network packet processing using multi-stage classification | |
US9065775B2 (en) | Switching apparatus and method based on virtual interfaces | |
EP1715630B1 (en) | Method and system for implementing a high availability VLAN | |
EP3261294B1 (en) | Remote port mirroring using trill | |
US5949783A (en) | LAN emulation subsystems for supporting multiple virtual LANS | |
US20030112808A1 (en) | Automatic configuration of IP tunnels | |
US10805216B2 (en) | Shared service access for multi-tenancy in a data center fabric | |
WO2009150656A1 (en) | Method and system for transparent lan services in a packet network | |
CN110113230B (zh) | 一种报文统计方法及网络设备 | |
KR100546762B1 (ko) | 멀티 프로토콜 레이블 교환망에서 정책 정보를 이용한가상 사이트 설정 장치 및 방법 | |
CN114039910B (zh) | 基于分组标签策略的数据转发的方法 | |
US10917342B2 (en) | Method and system for propagating network traffic flows between end points based on service and priority policies | |
US10764177B2 (en) | Efficient implementation of complex network segmentation | |
JP3570349B2 (ja) | ルーティング装置及びそれに用いる仮想私設網方式 | |
JP5592012B2 (ja) | 進入vlan aclの退出処理 | |
JP2004112159A (ja) | ルーティング処理装置及びパケット種類識別装置 | |
CN106973016B (zh) | 访问控制方法、装置及设备 | |
CN102006336B (zh) | IPv6地址前缀的分配方法及装置 | |
CN115834478A (zh) | 一种利用tcam实现pbr高速转发的方法 | |
CN111865805B (zh) | 一种组播gre报文处理方法及*** | |
CN115134296A (zh) | 一种智能网关 | |
CN112804130A (zh) | 报文处理方法及装置、***、存储介质以及电子设备 | |
US20150109924A1 (en) | Selective service based virtual local area network flooding | |
Moreno et al. | ACCESS CONTROL POLICY ENFORCEMENT THROUGH ROUTE-BASED MICRO-SEGMENTATION AND CONTRACT TAGS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 3 / F, 665 Zhangjiang Road, China (Shanghai) pilot Free Trade Zone, Pudong New Area, Shanghai Patentee after: Yunhe Zhiwang (Shanghai) Technology Co.,Ltd. Country or region after: China Address before: 311200 Room 202, building 1, Information Port Phase V, No. 733, Jianshe Third Road, economic and Technological Development Zone, Xiaoshan District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou yunhezhi Network Technology Co.,Ltd. Country or region before: China |