【技术实现步骤摘要】
一种掩码五元组规则匹配的方法及装置
本专利技术涉及网络数据处理领域,具体涉及一种掩码五元组规则匹配的方法。
技术介绍
在通信
中,掩码五元组的访问控制项包括五元组字段和掩码字段。其中,五元组是TCP/IP协议中数据报文的必要属性元组,包括源IP地址(SIP)、源端口(SP)、目的IP地址(DIP)、目的端口(DP)、协议类型(P)共五个元素。而掩码字段跟五元组字段长度相同,且一一对应,并支持按任意位掩。现有网络数据流量处理设备中,掩码五元组功能通常由三态内容寻址存储器TCAM芯片来实现。一般存储器中每个bit都只能表示两个值:0或1,而TCAM每个bit可表示三个值:0、1和X,X表示不关心,这个X其实是靠一个对应的maskbit来控制的,实际上TCAM每个bit物理上是2个bit。正是这种“不关心”状态位,使得基于任意掩码匹配成为可能,达到实现模糊查找匹配的目的。基于TCAM的掩码表项资源可以分为Database和UserData两部分,其中Database存的是表项匹配内容,UserData存的是匹...
【技术保护点】
1.一种掩码五元组规则匹配的方法,其特征在于,该方法应用于三态内容寻址存储器TCAM芯片,具体步骤如下:/n第一步,对Database部分中的掩码五元组规则中的后缀掩码进行合并位特征识别,将包含识别到的合并位的多条掩码五元组规则合并为一条规则;/n第二步,将已合并的多条规则相应的匹配结果共同存储于该合并后的规则所对应的User Data部分中,并将上述合并位作为索引分别分配给相应的匹配结果;/n第三步,在数据报文五元组信息与该合并的规则匹配后,再基于该合并位索引最终的匹配结果。/n
【技术特征摘要】
1.一种掩码五元组规则匹配的方法,其特征在于,该方法应用于三态内容寻址存储器TCAM芯片,具体步骤如下:
第一步,对Database部分中的掩码五元组规则中的后缀掩码进行合并位特征识别,将包含识别到的合并位的多条掩码五元组规则合并为一条规则;
第二步,将已合并的多条规则相应的匹配结果共同存储于该合并后的规则所对应的UserData部分中,并将上述合并位作为索引分别分配给相应的匹配结果;
第三步,在数据报文五元组信息与该合并的规则匹配后,再基于该合并位索引最终的匹配结果。
2.如权利要求1所述的一种掩码五元组规则匹配的方法,其特征在于,该第一步具体包括如下步骤:
2.1识别多条掩码五元组规则中的SIP后缀掩码字段中的存在变化的bit设置为不关心状态;
2.2该存在变化的bit作为合并位,将包含该合并位的多条掩码五元组规则合并为一条规则,其占用一条规则存储空间。
3.如权利要求1或2所述的一种掩码五元组规则匹配的方法,其特征在于,当该掩码五元组规则为IPv4掩码五元组规则时,则该合并位为SIP后缀掩码字段中的存在变化的2bit信息,原始规则所包括的该2bit信息作为索引分别分配给合并存储后多个相应的匹配结果。
4.如权利要求3所述的一种掩码五元组规则匹配的方法,其特征在于,在每条规则对应的匹配结果部分中设置规则有效标志,该标志在掩码规则表项创建时置位,用来说明是否存在对应的掩码五元组规则。
5.如权利要求4所述的一种掩码五元组规则匹配的方法,其特征在于,该第三步具体包括如下步骤:
3.1根据数据报文提取五元组信息,送入TCAM进行规则表项查找;
3.2在数据报文五元组信息与该合并的规则匹配后,合并后的规则使用合并位的值作为结果部分的偏移去索引每条规则所对应的匹配结果;
3.3根据规则有效标志判断规则是否存在,若是则输出匹配结果,若否则结束。
6.一种应用于三态内容寻址存储器TCAM...
【专利技术属性】
技术研发人员:张良,党向磊,胡燕林,李佳,陈训逊,云晓春,黄亮,刘伟,郭三川,杨云龙,王鼎华,戴光耀,吴昊,李瑞轩,郑展伟,房超,冀晓凯,
申请(专利权)人:国家计算机网络与信息安全管理中心,长安通信科技有限责任公司,北京百卓网络技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。