CN115834233A - 一种报文过滤方法及装置 - Google Patents
一种报文过滤方法及装置 Download PDFInfo
- Publication number
- CN115834233A CN115834233A CN202211649296.0A CN202211649296A CN115834233A CN 115834233 A CN115834233 A CN 115834233A CN 202211649296 A CN202211649296 A CN 202211649296A CN 115834233 A CN115834233 A CN 115834233A
- Authority
- CN
- China
- Prior art keywords
- message
- scl
- acl
- recorded
- metadata identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种报文过滤方法及装置,涉及网络技术领域,应用于网络设备,网络设备的目标接口配置有IPSG功能,网络设备内的网络芯片中存储有:记录有IP地址与元数据标识之间对应关系的SCL表项以及记录有元数据标识的ACL表项,元数据标识的长度小于IP地址的长度,上述方法包括:在通过目标接口接收到报文后,从已存储的SCL表项中查找记录有报文的源IP地址的目标SCL表项;若查找到目标SCL表项,则为报文添加目标SCL表项中记录的元数据标识;基于报文携带的元数据标识对报文进行ACL表项匹配,在匹配到记录有元数据标识的目标ACL表项的情况下对报文进行转发处理。
Description
技术领域
本发明涉及网络技术领域,特别是涉及一种报文过滤方法及装置。
背景技术
IPSG(Internet Protocol Source Guard,网际互连协议源防护)功能用于对网络设备的接口接收到的报文进行过滤控制,通常与网络设备用户侧接口相绑定。IPSG功能可以通过下发ACL(Access Control Lists,访问控制列表)表项来实现,绑定IPSG功能的用户侧接口在接收到报文后,可以基于预先设置的ACL表项对接收到的报文进行匹配,仅有与ACL表项相匹配的报文才会被网络设备转发,否则报文会被网络设备丢弃,从而可以实现对报文的过滤。
具体的,ACL表项中可以记录有IP地址,仅有源地址与ACL表项中记录的IP地址相同的报文才能被网络设备转发,即仅有自身的IP地址与ACL表项中记录的IP地址相同的用户终端发送的报文才能被网络设备转发,从而正常地进行网络访问。但当网络中上线的用户终端的数量较多时,网络设备中需要配置大量不同的ACL表项才能使大量的用户终端都能够正常地进行网络访问。大量的ACL表项会占用大量的ACL资源,但网络设备中的网络芯片内用于存储ACL表项的ACL资源有限,使得网络设备难以为大量的用户终端提供网络访问服务。
发明内容
本发明实施例的目的在于提供一种报文过滤方法及装置,以节省网络芯片中的ACL资源。具体技术方案如下:
第一方面,本发明实施例提供了一种报文过滤方法,应用于网络设备,所述网络设备的目标接口配置有网际互连协议源防护IPSG功能,所述网络设备内的网络芯片中存储有:记录有IP地址与元数据标识之间对应关系的SCL表项以及记录有元数据标识的访问控制列表ACL表项,其中,所述元数据标识的长度小于IP地址的长度,所述方法包括:
在通过所述目标接口接收到报文后,从已存储的SCL表项中查找记录有所述报文的源IP地址的目标SCL表项;
若查找到所述目标SCL表项,则为所述报文添加所述目标SCL表项中记录的元数据标识;
基于所述报文携带的元数据标识对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识的目标ACL表项的情况下对所述报文进行转发处理。
本发明的一个实施例中,所述ACL表项中记录有元数据标识与媒体访问控制MAC地址,所述基于所述报文携带的元数据标识对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识的目标ACL表项的情况下对所述报文进行转发处理,包括:
基于所述报文携带的元数据标识以及所述报文的源MAC地址对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识与所述源MAC地址的目标ACL表项的情况下,对所述报文进行转发处理。
本发明的一个实施例中,所述SCL表项中记录的IP地址包括IPv4地址与IPv6地址,其中,记录有IPv4地址的SCL表项保存于SCL HASH1中,记录有IPv6地址的SCL表项保存于SCL HASH0中。
本发明的一个实施例中,所述记录有元数据标识的ACL表项占用一个ACL资源位。
第二方面,本发明实施例提供了一种报文过滤装置,应用于网络设备,所述网络设备的目标接口配置有网际互连协议源防护IPSG功能,所述网络设备内的网络芯片中存储有:记录有IP地址与元数据标识之间对应关系的SCL表项以及记录有元数据标识的访问控制列表ACL表项,其中,所述元数据标识的长度小于IP地址的长度,所述装置包括:
SCL表项查找模块,用于在通过所述目标接口接收到报文后,从已存储的SCL表项中查找记录有所述报文的源IP地址的目标SCL表项;
标记添加模块,用于若查找到所述目标SCL表项,则为所述报文添加所述目标SCL表项中记录的元数据标识;
ACL表项匹配模块,用于基于所述报文携带的元数据标识对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识的目标ACL表项的情况下对所述报文进行转发处理。
本发明的一个实施例中,所述ACL表项中记录有元数据标识与媒体访问控制MAC地址,所述ACL表项匹配模块,具体用于:
基于所述报文携带的元数据标识以及所述报文的源MAC地址对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识与所述源MAC地址的目标ACL表项的情况下,对所述报文进行转发处理。
本发明的一个实施例中,所述SCL表项中记录的IP地址包括IPv4地址与IPv6地址,其中,记录有IPv4地址的SCL表项保存于SCL HASH1中,记录有IPv6地址的SCL表项保存于SCL HASH0中。
本发明的一个实施例中,所述记录有元数据标识的ACL表项占用一个ACL资源位。
第三方面,本发明实施例提供了一种网络设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面任一所述的方法步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面任一所述的方法步骤。
第五方面,本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面任一所述的方法。
本发明实施例有益效果:
本发明实施例提供的报文过滤方法应用于网络设备,网络设备的目标接口配置有IPSG功能,即目标接口为需要进行报文过滤的接口。网络设备的网络芯片中存储有SCL表项与ACL表项,SCL表项中记录有元数据标识与IP地址之间的对应关系,在网络设备通过目标接口接收到报文后,可以基于SCL表项确定与该报文的源IP地址相对应的元数据标识并将源数据标识添加至该报文中。之后,网络设备继续基于记录有元数据标识的ACL表项对报文进行匹配,若匹配通过,则继续对报文进行转发处理,从而实现对报文的过滤。
由以上可见,上述网络设备的网络芯片中存储有记录IP地址与元数据标识之间的对应关系的SCL表项,通过SCL表项实现了IP地址与元数据标识之间的紧耦合。因此网络设备可以基于SCL表项确定与IP地址相对应的元数据标识,相当于通过SCL表项可以为报文添加一个与源IP地址相对应的元数据标识,后续基于元数据标识对报文进行匹配,使得用于对报文进行匹配的ACL表项中不需要记录现有技术中的IP地址,而是记录元数据标识,而元数据标识的长度小于IP地址的长度,因此本发明实施例提供的方案中ACL表项内记录的是长度较短的元数据标识,也就是通过本发明实施例提供的方案能够缩短ACL表项的长度,从而节省网络芯片中的ACL资源,使得网络设备能够为大量的用户终端同步提供网络访问服务。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的实施例。
图1为本发明实施例提供的第一种报文过滤方法的流程示意图;
图2为本发明实施例提供的第二种报文过滤方法的流程示意图;
图3为本发明实施例提供的一种报文过滤装置的结构示意图;
图4为本发明实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员基于本发明所获得的所有其他实施例,都属于本发明保护的范围。
由于现有技术中存在网络设备中的网络芯片内用于存储ACL表项的ACL资源有限,使得网络设备难以为大量的用户终端提供网络访问服务的问题,为了解决上述问题本发明实施例提供了一种报文过滤方法及装置。
本发明实施例提供了一种报文过滤方法,应用于网络设备,上述网络设备的目标接口配置有IPSG功能,上述网络设备内的网络芯片中存储有:记录有IP地址与元数据标识之间对应关系的SCL(Service Classification List,服务分类表)表项以及记录有元数据标识的ACL表项,其中,上述元数据标识的长度小于IP地址的长度,上述方法包括:
在通过上述目标接口接收到报文后,从已存储的SCL表项中查找记录有上述报文的源IP地址的目标SCL表项;
若查找到上述目标SCL表项,则为上述报文添加上述目标SCL表项中记录的元数据标识;
基于已存储的ACL表项以及上述报文携带的元数据标识对上述报文进行匹配,在查找到目标ACL表项的情况下对上述报文进行转发处理。
由以上可见,上述网络设备的网络芯片中存储有记录IP地址与元数据标识之间的对应关系的SCL表项,通过SCL表项实现了IP地址与元数据标识之间的紧耦合。因此网络设备可以基于SCL表项确定与IP地址相对应的元数据标识,相当于通过SCL表项可以为报文添加一个与源IP地址相对应的元数据标识,后续基于元数据标识对报文进行匹配,使得用于对报文进行匹配的ACL表项中不需要记录现有技术中的IP地址,而是记录元数据标识,而元数据标识的长度小于IP地址的长度,因此本发明实施例提供的方案中ACL表项内记录的是长度较短的元数据标识,也就是通过本发明实施例提供的方案能够缩短ACL表项的长度,从而节省网络芯片中的ACL资源,使得网络设备能够为大量的用户终端同步提供网络访问服务。
参见图1,为本发明实施例提供的第一种报文过滤方法的流程示意图,应用于网络设备,上述网络设备可以为路由器、交换机等。上述网络设备的目标接口配置有IPSG功能,上述网络设备内的网络芯片中存储有:记录有IP地址与元数据标识(MetaData)之间对应关系的SCL表项以及记录有元数据标识的ACL表项,其中,上述元数据标识的长度小于IP地址的长度。
具体的,上述IP地址与元数据标识之间存在一一对应的关系,不同IP地址对应的元数据标识不同,上述SCL表项中的IP地址表示:在通过上述目标接口接收到源地址为该IP地址的报文后网络设备允许转发该报文,上述SCL表项与ACL表项可以是人工手动设置的,也可以动态获取的。每一SCL表项中记录有一条IP地址与该IP地址对应的一条元数据标识。每一ACL表项中记录有一条元数据标识。
另外,上述SCL表项中记录的IP地址包括IPv4地址与IPv6地址,记录有IPv4地址的SCL表项保存于SCL HASH(Service Classification List Hash,服务分类哈希表)1中,记录有IPv6地址的SCL表项保存于SCL HASH0中。其中,SCL HASH0与SCL HASH1为SCL表项的两个存储分区。
此外,本发明实施例可以在网络设备配置的switch-mode(交换机工作模式)为ACL-hash(访问控制列表-哈希)模式的情况下运行,在将网络设备配置为ACL-hash模式之后需要保存配置之后重启网络设备后下发SCL表项与ACL表项后本发明实施例提供的方案即可生效。
上述方法包括以下步骤S101-S103。
S101:在通过上述目标接口接收到报文后,从已存储的SCL表项中查找记录有上述报文的源IP地址的目标SCL表项。
本发明的一个实施例中,可以遍历已存储的SCL表项,从中查找记录有所接收到的报文的源IP地址的目标SCL表项,若能够查找到上述目标SCL表项,则表示网络设备在通过目标接口接收到源IP地址为该目标SCL表项中记录的IP地址的报文后,网络设备允许转发该报文,则继续执行后续步骤S102-S103,若未查找到目标SCL表项,则表示不存在记录有上述报文的源IP地址的目标SCL表项,则表示网络设备在通过目标接口接收到该报文后不转发该报文,则可以将该报文丢弃或进行其他形式的处理,不继续执行后续步骤S102-S103。
S102:若查找到上述目标SCL表项,则为上述报文添加上述目标SCL表项中记录的元数据标识。
S103:基于上述报文携带的元数据标识对上述报文进行ACL表项匹配,在匹配到记录有上述元数据标识的目标ACL表项的情况下对上述报文进行转发处理。
具体的,网络设备中存储的ACL表项中的元数据标识表示网络设备允许转发携带有该元数据标识的报文,则在匹配到记录有上述报文携带的元数据标识的目标ACL表项的情况下,网络设备可以转发上述报文。若未匹配到上述目标ACL表项,则可以丢弃上述报文或者采用其他方式对上述报文进行处理,不对上述报文进行转发处理。
由以上可见,上述网络设备的网络芯片中存储有记录IP地址与元数据标识之间的对应关系的SCL表项,通过SCL表项实现了IP地址与元数据标识之间的紧耦合。因此网络设备可以基于SCL表项确定与IP地址相对应的元数据标识,相当于通过SCL表项可以为报文添加一个与源IP地址相对应的元数据标识,后续基于元数据标识对报文进行匹配,使得用于对报文进行匹配的ACL表项中不需要记录现有技术中的IP地址,而是记录元数据标识,而元数据标识的长度小于IP地址的长度,因此本发明实施例提供的方案中ACL表项内记录的是长度较短的元数据标识,也就是通过本发明实施例提供的方案能够缩短ACL表项的长度,从而节省网络芯片中的ACL资源,使得网络设备能够为大量的用户终端同步提供网络访问服务。
此外,本发明实施例提供的记录有元数据标识的ACL表项的位宽可以为160bit,占用1个ACL资源位,而现有技术中直接记录IPv4地址的ACL表项的位宽为320bit,占用2个ACL资源位,现有技术中直接记录IPv6地址的ACL表项的位宽为640bit,占用4个ACL资源位。可见采用本发明实施例可以减少每一ACL表项占用的ACL资源,从而节省网络芯片中的ACL资源。
并且,网络芯片中入方向的ACL资源共分为8块,编号分别为0-7号。前4块内每一ACL资源块中包含的资源位的数量为1536个,每一个资源位的位宽为160bit,后4块内每一ACL资源块中包含的资源位的数量为512个。其中,位于最前端的编号为0的ACL资源块用于存储协议组,在网络设备初始化后会被默认占用,编号为1-6的ACL资源用于存储不进行放大处理的ACL表项,编号为7的ACL资源用于存储进行放大处理的ACL表项,其中,本发明实施例提供的方案中涉及的ACL表项可以存储于编号为1-6的ACL资源块中,每一ACL表项占用一个ACL资源位,编号为1-6的ACL资源块中共包含1536+1536+1536+512+512+512=6144个ACL资源位,共能够存储6144个ACL表项,若每一表项对应一个用户终端,则通过本发明实施例提供的方案使得一个网络芯片中的ACL资源内能够容纳6000多个ACL表项,从而在理论上为6000多个用户终端提供网络访问服务。
再者,现有技术中由于每一包含IP地址的ACL表项占用的ACL资源较多,为了能够正常地为大量的用户终端提供网络访问服务,现有技术中可以通过多台网络设备的堆叠增加ACL资源,但采用此方式堆叠网络设备会增加网络***的硬件经济成本,并且进行网络设备的堆叠需要考虑堆叠的稳定性及跨板报文转发时会出现的问题,增加网络***的运营维护成本。但采用本发明实施例提供的方案通过降低每一条ACL表项的数据量,可以节省ACL表项占用的ACL资源,从而使得一台网络设备中的网络芯片内的ACL资源能够容纳更多的ACL表项,因此采用本发明实施例提供的方案可以尽量避免进行网络设备的叠加,节省硬件经济成本以及运营维护成本。
另外,本发明实施例中存储的SCL表项中记录的是IP地址与元数据标识之间的对应关系,并借助元数据标识实现了基于IP地址的报文过滤,因此本发明实施例提供的方案适用于基于IP地址的报文过滤,但不适用于IPSG沉底丢弃规则、Free VLAN(Free VirtualLocal Area Network,放行虚拟局域网)放行规则、没有包含IP地址的绑定规则等与IP地址无关的报文过滤规则,此类报文过滤规则可以采用现有技术中的方式通过SCL表项实现,同样不占用ACL资源,与本发明实施例提供的方案共同配置部署可以扩大IPSG绑定表项的规格。
本发明的一个实施例中,上述ACL表项中记录有元数据标识与MAC(Media AccessControl Address,媒体存取控制位址)地址,表示网络设备允许转发携带有ACL表项中记录的元数据标识且源MAC地址为ACL表项中记录的MAC地址的报文。
在此基础上,参见图2,为本发明实施例提供的第二种报文过滤方法的流程示意图,与前述图1所示的实施例相比,上述步骤S103可以通过以下步骤S103 A实现。
S103A:基于上述报文携带的元数据标识以及上述报文的源MAC地址对上述报文进行ACL表项匹配,在匹配到记录有上述元数据标识与上述源MAC地址的目标ACL表项的情况下,对上述报文进行转发处理。
本发明的一个实施例中,上述ACL表项中记录有元数据标识以及MAC地址,在存在所记录的元数据标识与上述报文携带的元数据标识相同,且所记录的MAC地址与上述报文的源MAC地址相同的目标ACL表项的情况下,表示网络设备允许转发上述报文,因此可以对上述报文进行转发处理。
由以上可见,本发明实施例提供的方案中的ACL表项中记录有MAC地址与元数据标识,元数据标识与IP地址紧耦合,即元数据标识能够代表IP地址,因此记录有MAC地址与元数据标识的ACL表项相当于记录有MAC地址以及与IP地址的ACL表项。因此,通过本发明实施例提供的方案能够基于IP地址与MAC地址共同对报文进行过滤,进一步提高网络的安全性。
与前述应用于网络设备的报文过滤方法相对应,本发明实施例还提供了一种应用于网络设备的报文过滤装置。
参见图3,为本发明实施例提供的一种报文过滤装置的结构示意图,应用于网络设备,上述网络设备的目标接口配置有IPSG功能,上述网络设备内的网络芯片中存储有:记录有IP地址与元数据标识之间对应关系的SCL表项以及记录有元数据标识的ACL表项,其中,上述元数据标识的长度小于IP地址的长度,上述装置包括:
SCL表项查找模块301,用于在通过所述目标接口接收到报文后,从已存储的SCL表项中查找记录有所述报文的源IP地址的目标SCL表项;
标记添加模块302,用于若查找到所述目标SCL表项,则为所述报文添加所述目标SCL表项中记录的元数据标识;
ACL表项匹配模块303,用于基于所述报文携带的元数据标识对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识的目标ACL表项的情况下对所述报文进行转发处理。
由以上可见,上述网络设备的网络芯片中存储有记录IP地址与元数据标识之间的对应关系的SCL表项,通过SCL表项实现了IP地址与元数据标识之间的紧耦合。因此网络设备可以基于SCL表项确定与IP地址相对应的元数据标识,相当于通过SCL表项可以为报文添加一个与源IP地址相对应的元数据标识,后续基于元数据标识对报文进行匹配,使得用于对报文进行匹配的ACL表项中不需要记录现有技术中的IP地址,而是记录元数据标识,而元数据标识的长度小于IP地址的长度,因此本发明实施例提供的方案中ACL表项内记录的是长度较短的元数据标识,也就是通过本发明实施例提供的方案能够缩短ACL表项的长度,从而节省网络芯片中的ACL资源,使得网络设备能够为大量的用户终端同步提供网络访问服务。
本发明的一个实施例中,所述ACL表项中记录有元数据标识与媒体访问控制MAC地址,所述ACL表项匹配模块303,具体用于:
基于所述报文携带的元数据标识以及所述报文的源MAC地址对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识与所述源MAC地址的目标ACL表项的情况下,对所述报文进行转发处理。
由以上可见,本发明实施例提供的方案中的ACL表项中记录有MAC地址与元数据标识,元数据标识与IP地址紧耦合,即元数据标识能够代表IP地址,因此记录有MAC地址与元数据标识的ACL表项相当于记录有MAC地址以及与IP地址的ACL表项。因此,通过本发明实施例提供的方案能够基于IP地址与MAC地址共同对报文进行过滤,进一步提高网络的安全性。
本发明的一个实施例中,所述SCL表项中记录的IP地址包括IPv4地址与IPv6地址,其中,记录有IPv4地址的SCL表项保存于SCL HASH1中,记录有IPv6地址的SCL表项保存于SCL HASH0中。
本发明的一个实施例中,所述记录有元数据标识的ACL表项占用一个ACL资源位。
本发明实施例还提供了一种网络设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现上述报文过滤方法任一所示的方法步骤。
应用本发明实施例提供的网络设备进行报文过滤时,上述网络设备的网络芯片中存储有记录IP地址与元数据标识之间的对应关系的SCL表项,通过SCL表项实现了IP地址与元数据标识之间的紧耦合。因此网络设备可以基于SCL表项确定与IP地址相对应的元数据标识,相当于通过SCL表项可以为报文添加一个与源IP地址相对应的元数据标识,后续基于元数据标识对报文进行匹配,使得用于对报文进行匹配的ACL表项中不需要记录现有技术中的IP地址,而是记录元数据标识,而元数据标识的长度小于IP地址的长度,因此本发明实施例提供的方案中ACL表项内记录的是长度较短的元数据标识,也就是通过本发明实施例提供的方案能够缩短ACL表项的长度,从而节省网络芯片中的ACL资源,使得网络设备能够为大量的用户终端同步提供网络访问服务。
上述网络设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述网络设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一报文过滤方法的步骤。
应用本发明实施例提供的计算机程序进行报文过滤时,上述网络设备的网络芯片中存储有记录IP地址与元数据标识之间的对应关系的SCL表项,通过SCL表项实现了IP地址与元数据标识之间的紧耦合。因此网络设备可以基于SCL表项确定与IP地址相对应的元数据标识,相当于通过SCL表项可以为报文添加一个与源IP地址相对应的元数据标识,后续基于元数据标识对报文进行匹配,使得用于对报文进行匹配的ACL表项中不需要记录现有技术中的IP地址,而是记录元数据标识,而元数据标识的长度小于IP地址的长度,因此本发明实施例提供的方案中ACL表项内记录的是长度较短的元数据标识,也就是通过本发明实施例提供的方案能够缩短ACL表项的长度,从而节省网络芯片中的ACL资源,使得网络设备能够为大量的用户终端同步提供网络访问服务。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一报文过滤方法。
应用本发明实施例提供的计算机程序产品进行报文过滤时,上述网络设备的网络芯片中存储有记录IP地址与元数据标识之间的对应关系的SCL表项,通过SCL表项实现了IP地址与元数据标识之间的紧耦合。因此网络设备可以基于SCL表项确定与IP地址相对应的元数据标识,相当于通过SCL表项可以为报文添加一个与源IP地址相对应的元数据标识,后续基于元数据标识对报文进行匹配,使得用于对报文进行匹配的ACL表项中不需要记录现有技术中的IP地址,而是记录元数据标识,而元数据标识的长度小于IP地址的长度,因此本发明实施例提供的方案中ACL表项内记录的是长度较短的元数据标识,也就是通过本发明实施例提供的方案能够缩短ACL表项的长度,从而节省网络芯片中的ACL资源,使得网络设备能够为大量的用户终端同步提供网络访问服务。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、网络设备、计算机可读存储介质和计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种报文过滤方法,其特征在于,应用于网络设备,所述网络设备的目标接口配置有网际互连协议源防护IPSG功能,所述网络设备内的网络芯片中存储有:记录有IP地址与元数据标识之间对应关系的服务分类表SCL表项以及记录有元数据标识的访问控制列表ACL表项,其中,所述元数据标识的长度小于IP地址的长度,所述方法包括:
在通过所述目标接口接收到报文后,从已存储的SCL表项中查找记录有所述报文的源IP地址的目标SCL表项;
若查找到所述目标SCL表项,则为所述报文添加所述目标SCL表项中记录的元数据标识;
基于所述报文携带的元数据标识对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识的目标ACL表项的情况下对所述报文进行转发处理。
2.根据权利要求1所述的方法,其特征在于,所述ACL表项中记录有元数据标识与媒体访问控制MAC地址,所述基于所述报文携带的元数据标识对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识的目标ACL表项的情况下对所述报文进行转发处理,包括:
基于所述报文携带的元数据标识以及所述报文的源MAC地址对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识与所述源MAC地址的目标ACL表项的情况下,对所述报文进行转发处理。
3.根据权利要求1所述的方法,其特征在于,所述SCL表项中记录的IP地址包括IPv4地址与IPv6地址,其中,记录有IPv4地址的SCL表项保存于服务分类哈希表SCL HASH1中,记录有IPv6地址的SCL表项保存于SCL HASH0中。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述记录有元数据标识的ACL表项占用一个ACL资源位。
5.一种报文过滤装置,其特征在于,应用于网络设备,所述网络设备的目标接口配置有网际互连协议源防护IPSG功能,所述网络设备内的网络芯片中存储有:记录有IP地址与元数据标识之间对应关系的服务分类表SCL表项以及记录有元数据标识的访问控制列表ACL表项,其中,所述元数据标识的长度小于IP地址的长度,所述装置包括:
SCL表项查找模块,用于在通过所述目标接口接收到报文后,从已存储的SCL表项中查找记录有所述报文的源IP地址的目标SCL表项;
标记添加模块,用于若查找到所述目标SCL表项,则为所述报文添加所述目标SCL表项中记录的元数据标识;
ACL表项匹配模块,用于基于所述报文携带的元数据标识对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识的目标ACL表项的情况下对所述报文进行转发处理。
6.根据权利要求5所述的装置,其特征在于,所述ACL表项中记录有元数据标识与媒体访问控制MAC地址,所述ACL表项匹配模块,具体用于:
基于所述报文携带的元数据标识以及所述报文的源MAC地址对所述报文进行ACL表项匹配,在匹配到记录有所述元数据标识与所述源MAC地址的目标ACL表项的情况下,对所述报文进行转发处理。
7.根据权利要求5所述的装置,其特征在于,所述SCL表项中记录的IP地址包括IPv4地址与IPv6地址,其中,记录有IPv4地址的SCL表项保存于服务分类哈希表SCL HASH1中,记录有IPv6地址的SCL表项保存于SCL HASH0中。
8.根据权利要求5-7中任一项所述的装置,其特征在于,所述记录有元数据标识的ACL表项占用一个ACL资源位。
9.一种网络设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-4任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211649296.0A CN115834233A (zh) | 2022-12-21 | 2022-12-21 | 一种报文过滤方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211649296.0A CN115834233A (zh) | 2022-12-21 | 2022-12-21 | 一种报文过滤方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115834233A true CN115834233A (zh) | 2023-03-21 |
Family
ID=85517368
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211649296.0A Pending CN115834233A (zh) | 2022-12-21 | 2022-12-21 | 一种报文过滤方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115834233A (zh) |
-
2022
- 2022-12-21 CN CN202211649296.0A patent/CN115834233A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11916874B2 (en) | Systems and methods for routing data using software-defined networks | |
| TWI520530B (zh) | 封包交換裝置及方法 | |
| EP1779605B1 (en) | Forwarding database in a network switch device | |
| CN113079097B (zh) | 一种报文处理方法及装置 | |
| CN111600797B (zh) | 一种数据传输方法、节点以及*** | |
| CN110519265B (zh) | 一种防御攻击的方法及装置 | |
| CN103220255B (zh) | 一种实现单播反向路径转发urpf检查的方法及装置 | |
| CN101789905A (zh) | 防止未知组播攻击cpu的方法和设备 | |
| CN113452594B (zh) | 一种隧道报文的内层报文匹配方法及装置 | |
| US20210306282A1 (en) | Establishment of Fast Forwarding Table | |
| CN113285918A (zh) | 针对网络攻击的acl过滤表项建立方法及装置 | |
| US10880109B2 (en) | Forwarding multicast data packet | |
| CN114500467A (zh) | 一种地址冲突检测方法、地址冲突检测装置及电子设备 | |
| CN106254252B (zh) | 一种Flow spec路由的下发方法和装置 | |
| CN115834233A (zh) | 一种报文过滤方法及装置 | |
| CN105939397B (zh) | 一种报文的传输方法和装置 | |
| CN113992364B (zh) | 一种网络数据包阻断优化方法以及*** | |
| CN113438245B (zh) | 一种信息更新、报文安全性检测方法及装置 | |
| CN112165428B (zh) | 一种流量清洗方法、装置及第一边界路由设备 | |
| CN113918504A (zh) | 一种隔离组的实现方法及装置 | |
| CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
| CN113452614B (zh) | 一种报文处理方法和装置 | |
| CN114389844B (zh) | 报文处理方法、装置、电子设备及计算机可读存储介质 | |
| CN113992566B (zh) | 一种报文广播方法及装置 | |
| US20240154963A1 (en) | Client identification method and apparatus, and storage medium and network device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |