【技术实现步骤摘要】
本专利技术涉及数据通信,尤其是涉及一种流量过滤方法、装置、电子设备及计算机可读存储介质。
技术介绍
1、网络分流器是一种广泛应用于互联网数据采集与分析领域的网络设备,通常采用骨干网分光的方式实现流量的采集,并将采集的流量进行汇聚、分流等处理后分发给后端的业务分析系统,实现对流量的网络入侵检测和网络探测分析等业务。
2、随着5g网络的广泛部署和应用以及人工智能、物联网和云计算等新兴技术的快速发展,数据流量的爆发式增长也对网络分流器提出了新的要求,在后端业务系统之前,网络分流器需要对采集的流量进行一定的过滤,这样不仅可以提高系统流量的处理效率,也可以有效降低后端业务系统的整体负载和成本,在此背景下,针对流量过滤的网络分流器设备应运而生。
3、目前流量过滤网络分流器主要是基于报文的mac(media access control,媒体访问控制)、vlan(virtual local area network,虚拟局域网)、协议类型、ip地址、端口号等内容完成流量过滤,支持掩码匹配或者精确匹配,该功能通常利用交换芯片的片上tcam(ternary content addressable memory,三态内容寻址存储器)和sram(static random-access memory,静态随机存取存储器)资源实现。规则容量逐渐成为衡量网络分流器能力的一项重要指标,如何有效提升网络分流器的规则容量,成为一个需要分析解决的技术问题。
技术实现思路
1、本专利技术的目的
2、第一方面,本专利技术实施例提供了一种流量过滤方法,应用于网络分流器;所述流量过滤方法包括:
3、基于预设的需求面板端口数量和需求规则容量,对所述网络分流器的交换芯片中的多个pcie物理层接口pipe单元进行类别划分和组合,得到至少一个pipe单元组合;其中,所述pipe单元组合包括面板pipe单元和至少一个内部pipe单元,所述面板pipe单元用于提供多个面板端口,所述面板端口用于接入原始报文;所述内部pipe单元用于提供多个内部端口,所述内部端口采用软件环回设计;
4、确定每个所述pipe单元组合对应的面板端口与内部端口的对应关系;其中,所述pipe单元组合中的所述面板pipe单元的面板端口与每个所述内部pipe单元的内部端口一一对应;
5、将预设数量的过滤规则分发至每个所述pipe单元组合中的各个pipe单元;其中,所述pipe单元组合中各个pipe单元得到的过滤规则的数量和等于所述预设数量;
6、基于每个所述pipe单元组合中各个pipe单元得到的过滤规则以及所述pipe单元组合对应的面板端口与内部端口的对应关系,对接入的原始报文进行流量过滤。
7、进一步地,所述基于预设的需求面板端口数量和需求规则容量,对所述网络分流器的交换芯片中的多个pcie物理层接口pipe单元进行类别划分和组合,得到至少一个pipe单元组合,包括:
8、基于所述需求规则容量和所述pipe单元支持的规则数量,确定所述pipe单元的需求串接数量;
9、基于所述需求串接数量和所述需求面板端口数量,确定所述面板pipe单元的目标数量;
10、将所述交换芯片中的所述目标数量个pipe单元作为所述面板pipe单元,并将剩余的pipe单元作为所述内部pipe单元;
11、基于所述需求串接数量,对所述面板pipe单元和所述内部pipe单元进行组合,得到至少一个所述pipe单元组合。
12、进一步地,所述基于所述需求串接数量和所述需求面板端口数量,确定所述面板pipe单元的目标数量,包括:
13、基于所述需求面板端口数量和所述pipe单元支持的端口数量,确定所述面板pipe单元的下限数量;
14、基于所述需求串接数量和所述交换芯片的pipe单元数量,确定所述面板pipe单元的上限数量;
15、根据所述面板pipe单元的下限数量和上限数量,确定所述面板pipe单元的目标数量。
16、进一步地,所述确定每个所述pipe单元组合对应的面板端口与内部端口的对应关系,包括:
17、对于每个所述pipe单元组合,将该pipe单元组合中的所述面板pipe单元的面板端口与各个所述内部pipe单元的内部端口建立转发关系,得到该pipe单元组合对应的面板端口与内部端口的对应关系。
18、进一步地,所述将预设数量的过滤规则分发至每个所述pipe单元组合中的各个pipe单元,包括:
19、对于每个所述pipe单元组合,根据该pipe单元组合的pipe单元数量,将所述预设数量的过滤规则拆分为多份,并分别下发至该pipe单元组合的各个pipe单元。
20、进一步地,所述基于每个所述pipe单元组合中各个pipe单元得到的过滤规则以及所述pipe单元组合对应的面板端口与内部端口的对应关系,对接入的原始报文进行流量过滤,包括:
21、对于每个所述pipe单元组合,根据该pipe单元组合对应的面板端口与内部端口的对应关系,生成私有转发规则;其中,所述私有转发规则用于实现该pipe单元组合中不同pipe单元之间的报文转发,所述私有转发规则的优先级低于所述过滤规则的优先级;
22、将所述私有转发规则下发至该pipe单元组合的除最后一个pipe单元之外的pipe单元;
23、在该pipe单元组合的每个pipe单元中,基于存储的所述过滤规则和所述私有转发规则对接入该pipe单元组合的所述原始报文进行流量过滤。
24、进一步地,所述在该pipe单元组合的每个pipe单元中,基于存储的所述过滤规则和所述私有转发规则对接入该pipe单元组合的所述原始报文进行流量过滤,包括:
25、在该pipe单元组合的当前pipe单元中对所述原始报文进行所述过滤规则的匹配,得到第一匹配结果;
26、当所述第一匹配结果为匹配失败时,对所述原始报文进行所述私有转发规则的匹配,得到第二匹配结果;
27、当所述第二匹配结果为匹配成功时,基于匹配到的私有转发规则将所述原始报文转发至该pipe单元组合的下一个pipe单元中;
28、当所述第二匹配结果为匹配失败时,丢弃所述原始报文。
29、第二方面,本专利技术实施例还提供了一种流量过滤装置,应用于网络分流器;所述流量过滤装置包括:
30、划分组合模块,用于基于预设的需求面板端口数量和需求规则容量,对所述网络分流器的交换芯片中的多个pcie物理层接口pipe单元进行类别划分和组合,得到至少一个pipe单元组合;其中,所述pipe单元组合包括面板pipe单元和至少一个内部pipe单元,所述面板pipe单元用于提供多个面板端口,所述面板端口用于接入原始报文;所述内部pipe单元用于本文档来自技高网...
【技术保护点】
1.一种流量过滤方法,其特征在于,应用于网络分流器;所述流量过滤方法包括:
2.根据权利要求1所述的流量过滤方法,其特征在于,所述基于预设的需求面板端口数量和需求规则容量,对所述网络分流器的交换芯片中的多个PCIe物理层接口PIPE单元进行类别划分和组合,得到至少一个PIPE单元组合,包括:
3.根据权利要求2所述的流量过滤方法,其特征在于,所述基于所述需求串接数量和所述需求面板端口数量,确定所述面板PIPE单元的目标数量,包括:
4.根据权利要求1所述的流量过滤方法,其特征在于,所述确定每个所述PIPE单元组合对应的面板端口与内部端口的对应关系,包括:
5.根据权利要求1所述的流量过滤方法,其特征在于,所述将预设数量的过滤规则分发至每个所述PIPE单元组合中的各个PIPE单元,包括:
6.根据权利要求1所述的流量过滤方法,其特征在于,所述基于每个所述PIPE单元组合中各个PIPE单元得到的过滤规则以及所述PIPE单元组合对应的面板端口与内部端口的对应关系,对接入的原始报文进行流量过滤,包括:
7.根据权利要
8.一种流量过滤装置,其特征在于,应用于网络分流器;所述流量过滤装置包括:
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-7中任一项所述的流量过滤方法。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行权利要求1-7中任一项所述的流量过滤方法。
...【技术特征摘要】
1.一种流量过滤方法,其特征在于,应用于网络分流器;所述流量过滤方法包括:
2.根据权利要求1所述的流量过滤方法,其特征在于,所述基于预设的需求面板端口数量和需求规则容量,对所述网络分流器的交换芯片中的多个pcie物理层接口pipe单元进行类别划分和组合,得到至少一个pipe单元组合,包括:
3.根据权利要求2所述的流量过滤方法,其特征在于,所述基于所述需求串接数量和所述需求面板端口数量,确定所述面板pipe单元的目标数量,包括:
4.根据权利要求1所述的流量过滤方法,其特征在于,所述确定每个所述pipe单元组合对应的面板端口与内部端口的对应关系,包括:
5.根据权利要求1所述的流量过滤方法,其特征在于,所述将预设数量的过滤规则分发至每个所述pipe单元组合中的各个pipe单元,包括:
6.根据权利要求1所述的流量过滤方法,其特征在于,所述基于...
【专利技术属性】
技术研发人员:郑成龙,冯建业,周汉川,
申请(专利权)人:北京锐安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。