本发明专利技术提供一种IPv6报文的快速策略匹配方法及对应装置,其中该方法包括:在收到报文后,将IPv6的IP五元组按照设定算法运算出结果;将结果以及源、目的端口与表项进行匹配。本发明专利技术能够减小单元表项的宽度,从而节省了存储空间,同时使硬件控制器访问的次数减少,极大的提高了匹配效率。
【技术实现步骤摘要】
一种IPv6报文的策略匹配装置
本专利技术涉及计算机通信领域,尤其涉及一种IPv6报文的策略匹配装置。
技术介绍
在网络中,经常需要对特定的报文进行特定的处理,因此需要在网络设备上配置报文策略,在报文策略中定义出报文特性信息与处理动作的对应关系。当网络设备收到报文后,根据报文所携带的特性信息匹配报文策略,根据匹配到的报文策略对报文进行对应处理。目前,在定义报文策略是,所使用的报文特性信息通常为报文的五元组。报文的五元组包括,源IP地址、目的IP地址、源端口号、目的端口号和协议类型。设备会根据五元组的匹配结果对报文进行相应的处理,因此对报文的五元组进行过滤匹配是十分重要的。现有技术一般是将匹配策略存储在内存中,将规则策略以特定数据结构来组织存储,当报文进入设备,控制器提取报文的五元组与内存中的策略匹配,并按照策略去执行响应的动作,对于内存中的规则策略,为了实现快速匹配查找,一般来说,并不会按照表项的顺序查找,这样做的效率实在太低了,一般的技术在策略下刷的时候会按特定的运算方法将规则下载到内存中特定的位置,这样硬件控制器或者软件收到报文后提取报文的五元组同样按照上述的方法进行策略的匹配查找。随着现在互联网的发展迅速,互联网用户、手机访问网络用户也在不断增加,所使用的业务众多;与此同时,针对各种业务的服务以及协议也越来越细化,服务器类型与数量繁杂多样,各种网络设备的使用和推广也层出不穷;另外,IPv6的发展越来越迅速,网络产品支持对IPv6数据的业务处理也在飞速发展。然而,IPv6五元组信息相对于IPv4五元组信息来说,需要更大的存储空间,这就意味着内存控制器需要更多的访问次数来解决每次访问的最小访问单元的问题。因此,如何实现IPv6报文高效的策略存储和匹配成为网络产品急需要解决的问题。
技术实现思路
有鉴于此,本专利技术提供一种IPv6报文的策略匹配装置,应用于电子设备上,包括:表项地址建立单元、表项内容建立单元和查表匹配单元,其中:表项地址建立单元,用于将IPv6报文的IP五元组的部分内容按照第一预定算法进行运算获得表项地址,如果运算出的表项地址没有被使用,则确定该表项为当前表项,如果已被使用,则获取一个空闲表项作为当前表项,并将该空闲表项通过关联指针与之前存在冲突的表项以链表的方式关联起来;表项内容建立单元,用于将该IPv6报文的IP五元组的部分内容按照第二预定算法进行运算,将计算出的结果作为表项内容,存放在当前表项中;查表匹配单元,用于提取IPv6报文中的IP五元组,并将该五元组部分内容按照第一预定算法进行运算以获得对应的表项地址,再将该五元组部分内容按照第二预定算法进行运算,将计算所得结果与该表项的表项内容进行匹配,如果匹配不成功则在关联的链表中的各个表项中进行表项内容的遍历匹配。本专利技术能够减小单元表项的宽度,从而节省了存储空间,同时使硬件控制器访问的次数减少,极大的提高了匹配效率。附图说明图1是本专利技术一种实施方式中IPv6报文策略匹配装置的逻辑结构及其典型硬件环境示意图。图2是本专利技术一种实施方式中IPv6报文策略匹配方法的一般处理流程图。图3是报文匹配策略原始数据结构图。图4是本专利技术表项结构图。具体实施方式本专利技术提供一种IPv6报文的策略匹配方法及装置,用以解决IPv6报文五元组的高效的策略存储和匹配的问题。在一种优选实施方式中,本专利技术提供一种IPv6报文的策略匹配装置,其应用于网络设备上,请参考图1。从逻辑的角度来看,该装置包括:表项地址建立单元、表项内容建立单元和查表匹配单元。从实现角度来说,其可以采用软件实现,也可以采用硬件实现,甚至软件硬件结合的方式实现,该装置运行过程通常包括如下步骤,如图2所示。步骤101,表项地址建立单元将IPv6报文的IP五元组的部分内容按照第一预定算法进行运算获得表项地址,如果运算出的表项地址没有被使用,则确定该表项为当前表项,如果已被使用,则获取一个空闲表项作为当前表项,并将该空闲表项通过关联指针与之前存在冲突的表项以链表的方式关联起来;步骤102,表项内容建立单元将该IPv6报文的IP五元组的部分内容按照第二预定算法进行运算,将计算出的结果作为表项内容,存放在当前表项中;步骤103,表项匹配单元提取IPv6报文中的IP五元组,并将该五元组部分内容按照第一预定算法进行运算以获得对应的表项地址,再将该五元组部分内容按照第二预定算法进行运算,将计算所得结果与该表项的表项内容进行匹配,如果匹配不成功则在关联的链表中的各个表项中进行表项内容的遍历匹配。在进行报文匹配之前,首先需要在网络设备上配置报文策略,在报文策略中定义出报文特性信息与处理动作的对应关系。原始的策略数据结构如图3所示,该数据结构包含IPv6报文的完全五元组信息、策略优先级、动作,其中Next_tbl_index是解决冲突的链表下一索引地址。由图可知,原始的策略表项单元大小为3*128bit的宽度。由于IPv6五元组信息相对IPv4五元组信息来说,需要更大的存储空间,而更大的空间意味着内存控制器需要更多的访问次数来解决每次访问的最小访问单元的问题。为了节省存储空间,减少内存控制器访问次数,需要根据原始策略重新组织建立表项。在配置了报文匹配策略之后,需要建立表项。因为只有找到表项地址,根据表项地址才能找到与之相对应的表项内容。如同找某个人要先知道这个人的住址一样,先得找到表项内容的住址才能找到表项内容,这里的表项内容的住址就是表项地址。所以要先确定表项地址。具体的说,先将IPv6报文的IP五元组的部分内容按照第一预定算法进行运算获得表项地址。这里所说的预定算法,可以是CRC32算法,也可以是其他算法。而用于运算的数据是IPv6报文IP五元组的部分内容,可以是源IP地址或者目的IP地址,也可以是IP五元组中的其他内容。在优选的实施方式中,是用CRC32算法对源IP地址和目的IP地址进行运算,得到表项地址。然后检查该表项地址是否已被使用,如果没有被使用,也就是说没有冲突,就说明该表项为当前表项;如果已被使用,也就是说与已存在表项有冲突,说明该表项不可用,需寻找新的空闲表项作为当前表项。其中,本专利技术的优选实施方式中,检查运算处理的表项地址与已经存在的表项地址是否有冲突的方法为:如该表项被使用,则置位该表项的标志位,如果发现表项标志位被置位,则说明该表项已被使用。另外,在本专利技术的优选实施方式中,是用链表的形式来解决冲突的,如图4所示。解决冲突的具体过程是,找一个空闲表项,再把这个表项通过指针1与之前冲突的表项地址关联起来,而表中的Next_tbl_index用于存放与之关联的下一表项的指针1,也就是说,可以根据表项单元中Next_tbl_index里的指针1找到下一个关联的表项。确定表项地址后,接下来需要填写表项内容。具体的说,将IPv6报文的IP五元组的部分内容按照第二预定算法进行运算。其中,进行运算的IPv6报文IP五元组部分内容和之前进行表项地址运算的数据内容是一致的。另外,在优选的实施方式中,第二预定算法为MD5算法,但也可以是其他可将数据进行压缩的算法。然后将计算出的结果作为表项内容,存放在与表项地址指向的位置中。经过MD5算法的运算,原始表项由原来的3*128bit被压缩成2*128bit,宽度缩减本文档来自技高网...
【技术保护点】
一种IPv6报文的策略匹配装置,应用于电子设备上,包括:表项地址建立单元、表项内容建立单元和查表匹配单元,其特征在于:表项地址建立单元,用于将IPv6报文的IP五元组的部分内容按照第一预定算法进行运算获得表项地址,如果运算出的表项地址没有被使用,则确定该表项为当前表项,如果已被使用,则获取一个空闲表项作为当前表项,并将该空闲表项通过关联指针与之前存在冲突的表项以链表的方式关联起来;表项内容建立单元,用于将该IPv6报文的IP五元组的部分内容按照第二预定算法进行运算,将计算出的结果作为表项内容,存放在当前表项中;查表匹配单元,用于提取IPv6报文中的IP五元组,并将该五元组部分内容按照第一预定算法进行运算以获得对应的表项地址,再将该五元组部分内容按照第二预定算法进行运算,将计算所得结果与该表项的表项内容进行匹配,如果匹配不成功则在关联的链表中的各个表项中进行表项内容的遍历匹配。
【技术特征摘要】
1.一种IPv6报文的策略匹配装置,应用于电子设备上,包括:表项地址建立单元、表项内容建立单元和查表匹配单元,其特征在于:表项地址建立单元,用于将IPv6报文的IP五元组的部分内容按照第一预定算法进行运算获得表项地址,如果运算出的表项地址没有被使用,即没有冲突,则确定该表项为当前表项,如果已被使用,即与已存在表项有冲突,则获取一个空闲表项作为当前表项,并将该空闲表项通过关联指针与之前存在冲突的表项以链表的方式关联起来;表项内容建立单元,用于将该IPv6报文的IP五元组的部分内容按照第二预定算法进行运算,将计算出的结果作为表项内容,存放在当前表项中;查表匹配单元,用于提取IPv6报文中的IP五元组,并将该五元组部分内容按照第一预定算法进行运算以获得对应的表项地址,再将该五元组部分内容按照第二预定算法进行运算...
【专利技术属性】
技术研发人员:邹昕,金暐,张晓明,李静,王涛,吴刚,
申请(专利权)人:国家计算机网络与信息安全管理中心,杭州迪普科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。