一种IP报文策略匹配电路及方法技术

技术编号:19151264 阅读:21 留言:0更新日期:2018-10-13 10:33
本发明专利技术特别涉及一种IP报文策略匹配电路及方法。该IP报文策略匹配电路及方法,包括“特定五元组”策略匹配模块,“范围五元组”策略匹配模块和优先级判决模块;下发策略和IP报文经“特定五元组”策略匹配模块和“范围五元组”策略匹配模块根据匹配结果进行存储与报文响应后,经由优先级判决模块进行优先级判决后输出。该IP报文策略匹配电路及方法,通过设置两种存储匹配结构的电路,实现了对“特定五元组”策略和“范围五元组”策略的存储与IP报文的匹配,能够简化策略设置内容,节省电路资源,提高了系统实用性;同时在保证匹配精确度的前提下,利用统计信息,设置优先匹配存储单元,使得IP报文策略匹配速率大大提升。

A IP packet policy matching circuit and method

The invention relates in particular to a IP packet strategy matching circuit and method. The IP packet policy matching circuit and method include a \specific five-tuple\ policy matching module, a \range five-tuple\ policy matching module and a priority decision module, a \specific five-tuple\ policy matching module and a \range five-tuple\ policy matching module for storing and reporting IP packets according to the matching results. After the response, the priority decision module is used to decide the priority and output. The IP packet strategy matching circuit and method can realize the matching between the storage of \specific five-tuple\ strategy and \range five-tuple\ strategy and IP packet by setting two kinds of storage matching structure circuits. It can simplify the content of policy setting, save circuit resources and improve the practicability of the system. On the premise of degree, the priority matching memory unit is set by using statistical information, which greatly improves the matching rate of IP packet policy.

【技术实现步骤摘要】
一种IP报文策略匹配电路及方法
本专利技术涉及网络数据处理
,特别涉及一种IP报文策略匹配电路及方法。
技术介绍
策略路由是根据一定的策略进行报文转发,能满足基于源IP地址、目的IP址、协议字段,甚至于TCP、UDP的源、目的端口等多种组合进行选路。在路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进行报文转发。这种规则可以是基于标准和扩展访问控制列表,也可以基于报文的长度。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。当策略条数增多且格式参数变复杂后,策略匹配方法适用性及匹配速率将受到很大影响,同时策略存储占用空间也可能需要随时增加。基于上述情况,本专利技术提出了一种IP报文策略匹配电路及方法。
技术实现思路
本专利技术为了弥补现有技术的缺陷,提供了一种简单高效的IP报文策略匹配电路及方法。本专利技术是通过如下技术方案实现的:一种IP报文策略匹配电路,其特征在于:包括“特定五元组”策略匹配模块,“范围五元组”策略匹配模块和优先级判决模块;下发策略和IP报文经“特定五元组”策略匹配模块和“范围五元组”策略匹配模块根据匹配结果进行存储与报文响应后,经由优先级判决模块进行优先级判决后输出。所述“特定五元组”策略匹配模块包括地址映射单元,策略存储单元和策略匹配单元,用于对符合“特定五元组”特征的策略进行存储与报文响应;所述“范围五元组”策略匹配模块包括地址仲裁单元,一般策略存储单元,优先匹配存储单元和策略匹配单元,用于对符合“范围五元组”特征的策略进行存储与报文响应;所述优先级判决模块,用于对“特定五元组”策略匹配模块和“范围五元组”策略匹配模块的输出进行优先级判决,输出优先级高的策略。所述“特定五元组”策略指该条策略的五元组均为确定值。所述“范围五元组”策略指该条策略的五元组中一项或多项被设定为一段范围,符合此范围及其他五元组特征的IP报文均应匹配此策略。所述五元组包括源IP地址,目的IP地址,协议号,源端口和目的端口。所述“范围五元组”策略匹配模块,包含多个一般策略存储单元,以并行非重复方式对下发的多条策略进行存储,即从第一个存储单元的首地址开始存起,将各存储单元的首地址存满后,继续从第一个存储单元的第二地址开始存。基于该IP报文策略匹配电路的匹配方法,其特征在于:(1)当下发策略时,经策略匹配单元判断,若策略符合“特定五元组”特征,则进入“特定五元组”策略匹配模块;由地址映射单元将五元组映射成一个存储地址,并将该条策略存入策略存储单元相应地址中;当IP报文到达时,将由策略匹配单元进行“特定五元组”匹配,若IP报文查到的策略符合“特定五元组”特征,则进入“特定五元组”策略匹配模块;由地址映射单元将五元组映射成策略存储地址,取出策略送入优先级判决模块;(2)当有IP报文到达时,在进行“特定五元组”匹配的同时,进行“范围五元组”匹配;从第一个地址开始,各存储单元同时顺序进行匹配,直到找到相对应策略或无策略,由地址仲裁单元输出最终策略及优先级送入优先级判决模块;(3)优先级判决模块对“特定五元组”策略匹配模块和“范围五元组”策略匹配模块的输出进行优先级判决,输出优先级高的策略。所述地址映射单元采用HASH算法将五元组映射成一个存储地址。所述“范围五元组”策略匹配模块中,策略匹配单元对每个IP报文查到的策略进行统计,单位时间内匹配最多的策略存入优先匹配存储单元;当新的IP报文到达后,优先匹配存储单元非空,首先进入优先匹配存储单元进行匹配,若未匹配上则进入一般策略存储单元进行匹配;当未匹配上次数到达上限或到达预设的更新时间后,优先匹配存储单元内容将进行更新。本专利技术的有益效果是:该IP报文策略匹配电路及方法,通过设置两种存储匹配结构的电路,实现了对“特定五元组”策略和“范围五元组”策略的存储与IP报文的匹配,能够简化策略设置内容,节省电路资源,提高了系统实用性;同时在保证匹配精确度的前提下,利用统计信息,设置优先匹配存储单元,使得IP报文策略匹配速率大大提升。附图说明附图1为本专利技术IP报文策略匹配电路及方法示意图。具体实施方式为了使本专利技术所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图和实施例,对本专利技术进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。该IP报文策略匹配电路,包括“特定五元组”策略匹配模块,“范围五元组”策略匹配模块和优先级判决模块;下发策略和IP报文经“特定五元组”策略匹配模块和“范围五元组”策略匹配模块根据匹配结果进行存储与报文响应后,经由优先级判决模块进行优先级判决后输出。所述“特定五元组”策略匹配模块包括地址映射单元,策略存储单元和策略匹配单元,用于对符合“特定五元组”特征的策略进行存储与报文响应;所述“范围五元组”策略匹配模块包括地址仲裁单元,一般策略存储单元,优先匹配存储单元和策略匹配单元,用于对符合“范围五元组”特征的策略进行存储与报文响应;所述优先级判决模块,用于对“特定五元组”策略匹配模块和“范围五元组”策略匹配模块的输出进行优先级判决,输出优先级高的策略。所述“特定五元组”策略指该条策略的五元组均为确定值。所述“范围五元组”策略指该条策略的五元组中一项或多项被设定为一段范围,符合此范围及其他五元组特征的IP报文均应匹配此策略。所述五元组包括源IP地址,目的IP地址,协议号,源端口和目的端口。所述“范围五元组”策略匹配模块,包含多个一般策略存储单元,以并行非重复方式对下发的多条策略进行存储,即从第一个存储单元的首地址开始存起,将各存储单元的首地址存满后,继续从第一个存储单元的第二地址开始存。基于该IP报文策略匹配电路的匹配方法,包括以下步骤:(1)当下发策略时,经策略匹配单元判断,若策略符合“特定五元组”特征,则进入“特定五元组”策略匹配模块;由地址映射单元将五元组映射成一个存储地址,并将该条策略存入策略存储单元相应地址中;当IP报文到达时,将由策略匹配单元进行“特定五元组”匹配,若IP报文查到的策略符合“特定五元组”特征,则进入“特定五元组”策略匹配模块;由地址映射单元将五元组映射成策略存储地址,取出策略送入优先级判决模块;(2)当有IP报文到达时,在进行“特定五元组”匹配的同时,进行“范围五元组”匹配;从第一个地址开始,各存储单元同时顺序进行匹配,直到找到相对应策略或无策略,由地址仲裁单元输出最终策略及优先级送入优先级判决模块;(3)优先级判决模块对“特定五元组”策略匹配模块和“范围五元组”策略匹配模块的输出进行优先级判决,输出优先级高的策略。所述地址映射单元采用HASH算法将五元组映射成一个存储地址。所述“范围五元组”策略匹配模块中,策略匹配单元对每个IP报文查到的策略进行统计,单位时间内匹配最多的策略存入优先匹配存储单元;当新的IP报文到达后,优先匹配存储单元非空,首先进入优先匹配存储单元进行匹配,若未匹配上则进入一般策略存储单元进行匹配;当未匹配上次数到达上限或到达预设的更新时间后,优先匹配存储单元内容将进行更新。通过上面具体实施方式,所述
的技术人员可容易的实现本专利技术。但是应当理解,本专利技术并不限于上述的具体实施方式。在公开的实施方式的基本文档来自技高网
...

【技术保护点】
1.一种IP报文策略匹配电路,其特征在于:包括“特定五元组”策略匹配模块,“范围五元组”策略匹配模块和优先级判决模块;下发策略和IP报文经“特定五元组”策略匹配模块和“范围五元组”策略匹配模块根据匹配结果进行存储与报文响应后,经由优先级判决模块进行优先级判决后输出。

【技术特征摘要】
1.一种IP报文策略匹配电路,其特征在于:包括“特定五元组”策略匹配模块,“范围五元组”策略匹配模块和优先级判决模块;下发策略和IP报文经“特定五元组”策略匹配模块和“范围五元组”策略匹配模块根据匹配结果进行存储与报文响应后,经由优先级判决模块进行优先级判决后输出。2.根据权利要求1所述的IP报文策略匹配电路,其特征在于:所述“特定五元组”策略匹配模块包括地址映射单元,策略存储单元和策略匹配单元,用于对符合“特定五元组”特征的策略进行存储与报文响应;所述“范围五元组”策略匹配模块包括地址仲裁单元,一般策略存储单元,优先匹配存储单元和策略匹配单元,用于对符合“范围五元组”特征的策略进行存储与报文响应;所述优先级判决模块,用于对“特定五元组”策略匹配模块和“范围五元组”策略匹配模块的输出进行优先级判决,输出优先级高的策略。3.根据权利要求2所述的IP报文策略匹配电路,其特征在于:所述“特定五元组”策略指该条策略的五元组均为确定值。4.根据权利要求2所述的IP报文策略匹配电路,其特征在于:所述“范围五元组”策略指该条策略的五元组中一项或多项被设定为一段范围,符合此范围及其他五元组特征的IP报文均应匹配此策略。5.根据权利要求3或4所述的IP报文策略匹配电路,其特征在于:所述五元组包括源IP地址,目的IP地址,协议号,源端口和目的端口。6.根据权利要求2所述的IP报文策略匹配电路,其特征在于:所述“范围五元组”策略匹配模块,包含多个一般策略存储单元,以并行非重复方式对下发的多条策略进行存储,即从第一个存储单元的首地址开始存起,将各存储单元的首地址存...

【专利技术属性】
技术研发人员:王子彤姜凯李朋
申请(专利权)人:济南浪潮高新科技投资发展有限公司
类型:发明
国别省市:山东,37

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1