一种可扩展规则空间的实现方法技术

本发明专利技术公开了一种可扩展规则空间的实现方法，包括步骤：S1、报文进入pipeline 1输入端口；S2、查询规则表1后，将查询规则1命中结果携带进报文，并输出至TM处理模块；S3、TM处理模块经过内部的决策，指定转发至任一输出端口，并携带信息添加1输出至pipeline 2输入端口～pipeline N输入端口中的任一输入端口，设定为pipeline X输入端口；S4、根据步骤S2、S3的环回功能，直到报文经过所有剩余的输入端口和输出端口。本发明专利技术基于pipeline的折叠技术，实现了每个pipeline的不同编程，扩展了规则空间和提高了资源的利用效率，摆脱了芯片固化的规则优先级的限制，可以根据实际需求动态的调整规则的输出优先级。

【技术实现步骤摘要】
一种可扩展规则空间的实现方法
本专利技术涉及数据通讯和数据安全
，尤其涉及的是一种可扩展规则空间的实现方法。
技术介绍
三大运营商和国家相关安全部门需要通过对网络拓扑结构中的大量高速流量进行解析和过滤，完成流量汇聚、采集、分流、深度包检测(DPI)、深度流检测(DFI)、深度包提取(DPE)、协议与应用识别、协议还原、流控等处理。过滤处理的方法包括掩码规则，精确规则，正则表达式规则，字符串规则，以及掩码/精确和字符串组合出来的复合规则以及衍生规则等。当前在数据通信和安全领域的前端，进行大容量流量采集过滤时，基本都是通过交换芯片进行流量的筛选，过滤和分流，而交换芯片的ACL规则是通过交换芯片内部的tcam及其他其它资源来实现的。交换芯片内部一般分为多个pipeline，每个pipeline都挂有单独的内部tcam及其它资源。目前的实现方案都是通过CPU给所有的pipeline统一进行配置，每个pipeline上所挂的tcam的配置都是相同的。如图1和图2，为常规的交换芯片处理框架示意图以及流程图。流量从端口Ingress进来本文档来自技高网...

【技术保护点】
1.一种可扩展规则空间的实现方法，包括Ingress处理模块、TM处理模块以及Egress处理模块，所述Ingress处理模块包括若干pipeline输入端口，依次设定为pipeline 1输入端口～pipeline N输入端口，所述Egress处理模块包括若干pipeline输出端口，依次设定为pipeline 1输出端口～pipeline N输出端口，输入端口和输出端口的数量一致，其特征在于，/nIngress处理模块、TM处理模块以及Egress处理模块分别可编程；/n根据上述各模块还包括如下步骤：/nS1、报文进入pipeline 1输入端口；/nS2、查询规则表1后，将查询规则1命中...

【技术特征摘要】
1.一种可扩展规则空间的实现方法，包括Ingress处理模块、TM处理模块以及Egress处理模块，所述Ingress处理模块包括若干pipeline输入端口，依次设定为pipeline1输入端口～pipelineN输入端口，所述Egress处理模块包括若干pipeline输出端口，依次设定为pipeline1输出端口～pipelineN输出端口，输入端口和输出端口的数量一致，其特征在于，
Ingress处理模块、TM处理模块以及Egress处理模块分别可编程；
根据上述各模块还包括如下步骤：
S1、报文进入pipeline1输入端口；
S2、查询规则表1后，将查询规则1命中结果携带进报文，并输出至TM处理模块；
S3、TM处理模块经过内部的决策，指定转发至pipeline1输出端口～pipelineN输出端口中的任一输出端口，设定为pipelinex输出端口，并携带信息添加1输出至pipeline2输入端口～pipelineN输入端口中的任一输入端口，设定为pipelineX输入端口；
S4、查询规则表X后，将...

【专利技术属性】
技术研发人员：涂明，杨晶亮，沈圳，
申请(专利权)人：深圳市东晟数据有限公司，
类型：发明
国别省市：广东;44