本申请一种配置转发表项的方法及装置。该方法包括:根据已接收报文的源IP地址查找硬件源端微分段表;当在硬件源端微分段表未查找到源IP地址对应的源端微分段时,根据源IP地址查找软件源端微分段表;将软件源端微分段表中源IP地址对应的源端微分段同步到硬件源端微分段表;为软件源端微分段表中源IP地址设置已同步标识;在软件转发策略表中,设置源端微分段作为源微分段匹配项的转发策略表项的源配置标识。标识。标识。
【技术实现步骤摘要】
一种配置转发表项的方法及装置
[0001]本申请涉及通信技术,特别涉及一种配置转发表项的方法及装置。
技术介绍
[0002]微分段(Microsegment)是一种基于精细分组的安全隔离转发技术,通过分组后的组标识来进行流量控制。譬如,将数据中心网络中的服务器按照一定的原则进行分组,然后基于分组来部署流量控制策略,从而达到简化运维、安全管控的目的。
[0003]通信设备收到报文后,根据最长匹配原则报文查找源IP地址对应的FIB表项,获取源端对应的微分段,再根据最长匹配原则报文,查找目的IP地址对应的FIB表项,获取目的端对应的微分段,然后根据查找到的源微分段和目的微分段查找匹配的ACL(Access Control List,接入控制列表)表项获取流量控制策略,根据匹配的ACL动作对报文进行转发处理动作,从而实现按照分组进行流量控制策略的控制。因而,对于源端和目的端之间反方向流量,设备上还需另外配置一个源微分段和目的微分段互为相反接入控制表项。
[0004]在图1所示的微分段技术应用网络场景,leaf1的转发芯片中,源端微分段表需要占用6条TCAM资源就全网内每个IP地址对应的微分段,其中包括:IP1和IP2各自与微分段SGA的关系IP1—>SGA和IP2
→
SGA;IP3和IP4各自与微分段SGB的关系P3—>SGB和IP4
→
SGB;以及存储IP5和IP6各自与微分段SGC的关系IP5—>SGC和IP6
→/>SGC;转发芯片的目的端微分段表需要占用6条TCAM(ternary content addressable memory,三态内容可寻址存储器)资源分别存储IP1和IP2各自与微分段SGA的关系:IP1—>SGA和IP2
→
SGA;存储IP3和IP4各自与微分段SGB的关系:IP3—>SGB和IP4
→
SGB;以及存储IP5和IP6各自与微分段SGC的关系:IP5—>SGC和IP6
→
SGC;占用9条TCAM资源分别存储3个同组微分段的转发策略表项SGA—>SGA、SGB—>SGB和SGC—>SGC,这三个转发策略表项中源微分段匹配项与目的微分段匹配项对应同一个微分段;以及6个异组微分段转发策略表项,譬如:,SGA—>SGB、SGA—>SGC、SGB—>SGA、SGB—>SGB、SGB—>SGC、SGC—>SGA、SGC—>SGB和SGC—>SGC,这6个转发策略表项中,源微分段匹配项与目的微分段匹配项对应不同微分段。Leaf1的转发芯片上消耗21条TCAM资源。同样地,leaf2的转发芯片上需要消耗同样数量的TCAM资源。
[0005]但是,随着网络设备内的用户增加,用户间的业务流量增加以及不同微分段减用户的流量控制的策略变化,通信设备的转发芯片的存储器上没有充分的存储资源用于微分段处理以及其他硬件转发所需的硬件转发表项。
技术实现思路
[0006]本申请的目的在于提供一种配置转发表项的方法及装置,根据网络流量触发微分段转发硬件表项的配置,节约硬件转发资源。
[0007]为实现上述目的,本申请提供了一种配置转发表项的方法,该方法包括:根据已接收报文的源IP地址查找硬件源端微分段表;当在硬件源端微分段表未查找到源IP地址对应的源端微分段时,根据源IP地址查找软件源端微分段表;将软件源端微分段表中源IP地址
对应的源端微分段同步到硬件源端微分段表;为软件源端微分段表中源IP地址设置已同步标识;在软件转发策略表中,设置源端微分段作为源微分段匹配项的转发策略的源配置标识。
[0008]为实现上述目的,本申请还提供了一种配置转发表项的装置,该装置包括:转发模块,根据已接收报文的源IP地址在硬件表项存储模块存储的硬件源端微分段表进行查找,在硬件源端微分段表未查找到源IP地址对应的源端微分段将已接收到的报文发往表项同步模块;表项同步模块,用于根据源IP地址在软件表项存储模块存储的软件源端微分段表进行查找,将软件源端微分段表中源IP地址对应的源端微分段同步到硬件源端微分段表;为软件源端微分段表中源IP地址设置已同步标识;在软件转发策略表中,设置源端微分段作为源微分段匹配项的转发策略表项的源配置标识。
[0009]本申请的有益效果在于,根据网络流量中触发配置用于微分段转发的硬件表项,实现了可以流量按需触发,避免了设备的硬件资源消耗过多问题,节省了转发芯片的硬件存储资源。
附图说明
[0010]图1所示微分段技术应用网络场景示意图;
[0011]图2所示为本申请提供的配置转发表项方法的流程图;
[0012]图3所示为本申请提供的第一报文转发实施例流程图;
[0013]图4所示为本申请提供的第二报文转发实施例的流程图;
[0014]图5所示为本申请提供的第三报文转发实施例的流程图;
[0015]图6所示为本申请提供的第四报文转发实施例的流程图;
[0016]图7所示为本申请提供的配置转发表项的装置示意图。
具体实施方式
[0017]将以多个附图所示的多个例子进行详细说明。在以下详细描述中,多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路,以免使这些例子的难于理解。
[0018]使用的术语中,术语“包括”表示包括但不限于;术语“含有”表示包括但不限于;术语“以上”、“以内”以及“以下”包含本数;术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
[0019]图2所示为本申请提供的配置转发表项的方法实施例的流程图,该方法包括:
[0020]步骤201,根据已接收报文的源IP地址查找硬件源端微分段表;
[0021]步骤202,当在硬件源端微分段表未查找到源IP地址对应的源端微分段时,根据源IP地址查找软件源端微分段表;
[0022]步骤203,将软件源端微分段表中源IP地址对应的源端微分段同步到硬件源端微分段表;
[0023]步骤204,为软件源端微分段表中源IP地址设置已同步标识;
[0024]步骤205在软件转发策略表中,设置源端微分段作为源微分段匹配项的转发策略表项的源配置标识。
[0025]图2所示方法实施例的有益效果在于,根据网络流量中触发配置用于微分段转发的硬件表项,实现了可以流量按需触发,避免了设备的硬件资源消耗过多问题,节省了转发芯片的硬件存储资源。
[0026]图3所示为本申请提供的报文转发实施例,以下结合图2对图3所示实施例进行说明。如表1所示,Leaf1中,软件源端微分段表记录了全网内每个IP地址对应的微分段,软件目的端本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种配置转发表项的方法,其特征在于,所述方法包括:根据已接收报文的源IP地址查找硬件源端微分段表;当在所述硬件源端微分段表未查找到所述源IP地址对应的源端微分段时,根据所述源IP地址查找软件源端微分段表;将所述软件源端微分段表中所述源IP地址对应的源端微分段同步到所述硬件源端微分段表;为所述软件源端微分段表中所述源IP地址设置已同步标识;在软件转发策略表中,设置所述源端微分段作为源微分段匹配项的转发策略表项的源配置标识。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据所述已接收的报文的目的IP地址查找软件目的端微分段表;当所述软件目的端微分段表中所述目的IP地址未设置已同步标识,将所述软件目的端微分段表中所述目的IP地址对应的目的微分段同步到硬件目的端微分段表;为所述软件目的端微分段表中所述目的IP地址设置已同步标识;在所述软件转发策略表中,设置所述目的端微分段作为目的微分段匹配项的转发策略表项的目的配置标识。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:当在所述硬件源端微分段表查找到源IP地址对应的源端微分段时,根据所述已接收的报文的目的IP地址查找硬件目的端微分段表;当在所述硬件目的端微分段表未查找到所述目的IP地址对应的目的端微分段时,根据所述目的IP地址查找软件目的端微分段表;将所述软件目的端微分段表中所述目的IP地址对应的目的端微分段同步到所述硬件目的端微分段表;为所述软件目的端微分段表中所述目的IP地址设置已同步标识;在软件转发策略表中,设置所述目的微分段作为目的微分段匹配项的转发策略表项的目的配置标识。4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:将所述软件转发策略表中设置了源配置标识以及目的配置标识的每个转发策略表项同步到硬件转发策略表,并设置表项同步标识。5.根据权利要求4所述的方法,其特征在于,所述软件源端微分段表记录了全网内每个IP地址对应的微分段;所述软件目的端微分段表记录了所述全网内每个IP地址对应的微分段;所述软件转发策略表记录的多个转发策略表项包括一个以上同组微分段转发策略表项以及一个以上异组微分段转发策略表项;其中,每个同组微分段转发策略表项中,源微分段匹配项与目的微分段匹配项对应同一个微分段;每个所述异组微分段转发策略表项中,源微分段匹配项与目的微分段匹配项对应不同微分段。6.一种配置转发表项的装置,其特征在于,所述装置包括:转发模块,根据已接收报文的源IP地址在硬件表项存储模块存储的硬件源端微分段表进行查找,在所述硬件源端微分段表未查找到所述源IP地址对应的源端微分段将已接收...
【专利技术属性】
技术研发人员:阳进,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。