一种Flow Spec路由生效方法、装置及网络设备制造方法及图纸

本发明专利技术提供一种Flow Spec路由生效方法、装置以及网络设备，该方法中，控制器只需要向网络设备下发一次携带Community属性的Flow Spec路由，网络设备自行根据预设的Community属性与生效时间段的对应关系，确定Flow Spec路由的生效时间段，并在网络设备的当前时间命中Community属性与生效时间段的对应关系时，获取当前时间对应的Community属性，设置该Community属性对应的ACL表项(基于Flow Spec路由已下发到转发芯片中的ACL表项)生效，从而达到按时段生效Flow Spec路由的目的。本发明专利技术可节约网络资源，降低网络设备的处理压力。

【技术实现步骤摘要】
一种FlowSpec路由生效方法、装置及网络设备
本专利技术涉及网络通信
，尤其涉及一种FlowSpec路由生效方法、装置及网络设备。
技术介绍
FlowSpec(FlowSpecification，流规则)是目前比较流行的一种防攻击和流量控制技术。控制器通过向网络设备下发FlowSpec路由，指导网络设备对流量进行过滤和转发。当用户要求按时段过滤流量时，控制器需要按时段下发和撤销FlowSpec路由。随着这种要求按时段过滤的流量的增多，控制器下发和撤销FlowSpec路由的频率越来越高，导致网络资源消耗较大，且网络设备的处理压力较大。
技术实现思路
本专利技术为了解决FlowSpec路由下发对网络设备处理性能的影响，提出一种FlowSpec路由生效方法、装置及网络设备，用以降低网络设备的处理压力。为实现上述公开目的，本专利技术提供了如下技术方案：第一方面，本专利技术提供一种FlowSpec路由生效方法，应用于网络设备上，所述方法包括：获取控制器下发的携带Community(团体)属性的FlowSpec路由；向所述网络设备的转发芯片下发所述FlowSpec路由对应的ACL(AccessControlList，访问控制列表)表项；若所述FlowSpec路由的Community属性命中预设的Community属性与生效时间段的对应关系，且所述FlowSpec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系，则记录所述FlowSpec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系；若当前时间命中Community属性与生效时间段的对应关系，则确定与当前时间对应的目标Community属性；根据Community属性与表项标识的对应关系，设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效，设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。第二方面，本专利技术还提供一种FlowSpec路由生效装置，应用于网络设备上，所述装置包括：获取单元，用于获取控制器下发的携带Community属性的FlowSpec路由；下发单元，用于向所述网络设备的转发芯片下发所述FlowSpec路由对应的ACL表项；记录单元，用于若所述FlowSpec路由的Community属性命中预设的Community属性与生效时间段的对应关系，且所述FlowSpec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系，则记录所述FlowSpec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系；确定单元，用于若当前时间命中Community属性与生效时间段的对应关系，则确定与当前时间对应的目标Community属性；设置单元，用于根据Community属性与表项标识的对应关系，设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效，设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。第三方面，本专利技术还提供一种网络设备，所述网络设备包括处理器CPU和转发芯片，所述CPU，用于获取控制器下发的携带Community属性的FlowSpec路由；向所述转发芯片下发所述FlowSpec路由对应的ACL表项；若所述FlowSpec路由的Community属性命中预设的Community属性与生效时间段的对应关系，且所述FlowSpec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系，则记录所述FlowSpec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系；若当前时间命中Community属性与生效时间段的对应关系，则确定与当前时间对应的目标Community属性；根据Community属性与表项标识的对应关系，通知所述转发芯片设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效，设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效；所述转发芯片，用于接收所述CPU的通知，设置相应ACL表项生效或失效。第四方面，本专利技术还提供一种网络设备，所述网络设备包括处理器CPU和转发芯片，所述CPU，用于获取控制器下发的携带Community属性的FlowSpec路由；向所述转发芯片下发所述FlowSpec路由对应的携带所述Community属性的ACL表项；所述转发芯片，用于若所述Community属性命中预设的Community属性与生效时间段的对应关系，且所述ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系，则记录所述Community属性与所述ACL表项的表项标识的对应关系；若当前时间命中Community属性与生效时间段的对应关系，则确定与当前时间对应的目标Community属性；根据Community属性与表项标识的对应关系，设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效，设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。由以上描述可以看出，本专利技术中，网络设备通过预设Community属性与生效时间段的对应关系，以及维护Community属性与已下发到转发芯片中的ACL表项(FlowSpec路由对应的ACL表项)的表项标识的对应关系，在网络设备的当前时间命中Community属性与生效时间段的对应关系时，获取与当前时间对应的目标Community属性，并根据维护的Community属性与表项标识的对应关系，设置表项标识为目标Community属性对应的表项标识的ACL表项生效，设置表项标识为除目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效，从而达到按时段生效FlowSpec路由的目的。本专利技术中控制器只需要向网络设备下发一次FlowSpec路由，网络设备即可自行根据FlowSpec路由的Community属性对应的生效时间段，生效FlowSpec路由对应的ACL表项，因此，可节约网络资源，降低网络设备的处理压力。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例示出的一种FlowSpec路由生效方法流程图；图2是本专利技术实施例示出的一种FlowSpec路由生效装置的结构示意图；图3是本专利技术实施例示出的一种网络设备的硬件结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实本文档来自技高网...

【技术保护点】
1.一种流规则Flow Spec路由生效方法，应用于网络设备上，其特征在于，所述方法包括：获取控制器下发的携带团体Community属性的Flow Spec路由；向所述网络设备的转发芯片下发所述Flow Spec路由对应的访问控制列表ACL表项；若所述Flow Spec路由的Community属性命中预设的Community属性与生效时间段的对应关系，且所述Flow Spec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系，则记录所述Flow Spec路由的Community属性与所述Flow Spec路由对应的ACL表项的表项标识的对应关系；若当前时间命中Community属性与生效时间段的对应关系，则确定与当前时间对应的目标Community属性；根据Community属性与表项标识的对应关系，设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效，设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。

【技术特征摘要】
1.一种流规则FlowSpec路由生效方法，应用于网络设备上，其特征在于，所述方法包括：获取控制器下发的携带团体Community属性的FlowSpec路由；向所述网络设备的转发芯片下发所述FlowSpec路由对应的访问控制列表ACL表项；若所述FlowSpec路由的Community属性命中预设的Community属性与生效时间段的对应关系，且所述FlowSpec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系，则记录所述FlowSpec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系；若当前时间命中Community属性与生效时间段的对应关系，则确定与当前时间对应的目标Community属性；根据Community属性与表项标识的对应关系，设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效，设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。2.如权利要求1所述的方法，其特征在于，所述向所述网络设备的转发芯片下发所述FlowSpec路由对应的ACL表项，包括：若所述转发芯片中不存在所述FlowSpec路由对应的ACL表项，则向所述转发芯片下发所述FlowSpec路由对应的ACL表项；若所述转发芯片中存在所述FlowSpec路由对应的ACL表项，且该ACL表项命中Community属性与表项标识的对应关系，则根据所述FlowSpec路由的Community属性更新已记录的该ACL表项的表项标识对应的Community属性。3.如权利要求1所述的方法，其特征在于，所述方法还包括：若所述FlowSpec路由未携带Community属性或携带的Community属性未命中Community属性与生效时间段的对应关系，设置所述FlowSpec路由对应的ACL表项生效。4.如权利要求1所述的方法，其特征在于，所述若所述FlowSpec路由的Community属性命中预设的Community属性与生效时间段的对应关系，且所述FlowSpec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系，则记录所述FlowSpec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系，包括：若所述FlowSpec路由的Community属性命中预设的Community属性与生效时间段的对应关系，且所述FlowSpec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系，则所述网络设备的处理器CPU记录所述FlowSpec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系；所述若当前时间命中Community属性与生效时间段的对应关系，则确定与当前时间对应的目标Community属性，包括：若当前时间命中Community属性与生效时间段的对应关系，则所述CPU获取与当前时间对应的目标Community属性；所述根据Community属性与表项标识的对应关系，设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效，设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效，包括：所述CPU根据Community属性与表项标识的对应关系，通知所述转发芯片设置表项标识为所述目标Community属性对应的表项标识的ACL表项生效，设置表项标识为除所述目标Community属性以外的其它Community属性对应的表项标识的ACL表项失效。5.如权利要求1所述的方法，其特征在于，所述向所述网络设备的转发芯片下发所述FlowSpec路由对应的ACL表项，包括：所述网络设备的CPU向所述网络设备的转发芯片下发所述FlowSpec路由对应的携带所述Community属性的ACL表项；所述若所述FlowSpec路由的Community属性命中预设的Community属性与生效时间段的对应关系，且所述FlowSpec路由对应的ACL表项的表项标识未命中已记录的Community属性与表项标识的对应关系，则记录所述FlowSpec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系，包括：若所述FlowSpec路由的Community属性命中所述转发芯片中预设的Community属性与生效时间段的对应关系，且所述FlowSpec路由对应的ACL表项未命中所述转发芯片中已记录的Community属性与表项标识的对应关系，则所述转发芯片记录所述FlowSpec路由的Community属性与所述FlowSpec路由对应的ACL表项的表项标识的对应关系；所述若当前时间命中Community属性与生效时间段的对应关系，则确定与当前时间对应的目标Commu...

【专利技术属性】
技术研发人员：刘萱，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33