CN102291301B - 一种报文特征的匹配方法及装置 - Google Patents
一种报文特征的匹配方法及装置 Download PDFInfo
- Publication number
- CN102291301B CN102291301B CN201110227812.6A CN201110227812A CN102291301B CN 102291301 B CN102291301 B CN 102291301B CN 201110227812 A CN201110227812 A CN 201110227812A CN 102291301 B CN102291301 B CN 102291301B
- Authority
- CN
- China
- Prior art keywords
- message
- address
- bits
- source
- protocol type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种对报文特征匹配的装置,其应用于网络设备中,该装置包括:特征提取单元,用于从网络设备接收到的报文中提取预定的报文特征;特征压缩单元,用于将报文特征进行压缩;TCAM单元,用于根据压缩后的报文特征查找报文在预定访问控制表项中的匹配结果,并输出所述匹配结果。本发明可以有效节省TCAM资源,充分利用了TCAM的容量,将其性能发挥到最大限度,同时减少了每个IPv6报文TCAM的查找性能损耗。
Description
技术领域
本发明涉及网络技术,尤其涉及一种报文特征的匹配方法及装置。
背景技术
互联网的发展使得网络设备的应用越来越广泛。现今的网络设备不仅仅需要进行报文的二三层转发,而且还需要对报文进行诸如Qos以及安全等应用处理。这些新的特性的引入对报文的各种ACL匹配功能需求尤为明显,在现今使用的大部分网络设备中,ACL技术已经很成熟。一般的ACL查找匹配工作多数采用三态内容寻址存储器TCAM(Ternary Content-AddressableMemory)来完成,以减少对性能的影响。目前主流的TCAM的位宽一般可配置为72比特、144比特、288比特以及576比特四种中的任意一种。目前针对IPv4报文五元组(源/目的IP,源/目的端口以及协议类型)ACL匹配通常使用144比特已经足够了。但是随着网络的发展,IPv4已经无法满足海量IP地址的需求,于是IPv6适用需要就显得尤为迫切,针对IPv6报文的ACL匹配同样也成为各种网络设备需要支持的功能。
IPv4五元组由32位源IP、32位目的IP、16位源port、16位目的port以及8位协议号组成,总计104比特,这样TCAM选择144比特位宽就可以支持,一般的网络设备都能达到良好的匹配性能。而IPV6的五元组由128位源IP、128位目的IP、16位源port、16位目的port、8位协议号组成,总计296比特,这样TCAM就必须选择576比特位宽,相当于匹配每个IPv6报文的性能比IPv4降低了4倍,并且容量下降为之前的四分之一。
另外,由于每个表项会导致浪费576-296=280位TCAM的位宽,浪费更多的规则匹配表项,成本较高;同时由于位宽占用较多,导致每个报文的查找性能下降严重。
发明内容
有鉴于此,本发明提供一种对报文特征匹配的装置,其应用于网络设备中,该装置包括:
特征提取单元,用于从网络设备接收到的报文中提取预定的报文特征;
特征压缩单元,用于将报文特征进行压缩;
TCAM单元,用于根据压缩后的报文特征查找报文在预定访问控制表项中的匹配结果,并输出所述匹配结果。
优选地,还包括:
报文处理单元,用于根据所述匹配结果对报文进行相应处理。
优选地,所述报文为IPV6报文,所述报文特征为报文五元组,所述五元组包括源IP地址、目的IP地址、源端口、目的端口以及协议类型。
优选地,特征压缩单元执行的压缩过程为:将五元组中的协议类型字段写入源IP地址及目的IP地址的高位字段中,然后将修改后的源IP地址、修改后目的IP地址、源端口以及目的端口作为压缩后的五元组提交给TCAM单元。
优选地,所述高位字段为源IP地址的前3比特以及目的IP地址的前3比特,所述协议类型字段长度为8比特,所述特征压缩单元,进一步根据预先设定的映射表,将所述长度为8比特的协议类型映射为6比特的协议类型,然后再写入所述源/目的IP地址的前3比特。
优选地,还包括报文分类单元,用于判断报文是IPv6报文还是Ipv4报文,对于Ipv6报文将其提交给特征压缩单元处理,对于IPv4报文则将其提交给TCAM单元处理。
本发明还一种对报文特征匹配的方法,其应用于网络设备中,该方法包括:
A、从网络设备接收到的报文中提取预定的报文特征;
B、将报文特征进行压缩;
C、用于根据压缩后的报文特征查找报文在预定访问控制表项中的匹配结果,并输出所述匹配结果。
优选地,还包括:
D、根据所述匹配结果对报文进行相应处理。
优选地,所述报文为IPV6报文,所述报文特征为报文五元组,所述五元组包括源IP地址、目的IP地址、源端口、目的端口以及协议类型。
优选地,所述压缩过程为:将五元组中的协议类型字段写入源IP地址及目的IP地址的高位字段中,然后将修改后的源IP地址、修改后目的IP地址、源端口以及目的端口作为压缩后的五元组提交给TCAM单元。
优选地,所述高位字段为源IP地址的前3比特以及目的IP地址的前3比特,所述协议类型字段长度为8比特,所述特征压缩单元,进一步根据预先设定的映射表,将所述长度为8比特的协议类型映射为6比特的协议类型,然后再写入所述源/目的IP地址的前3比特。
优选地,还包括:
E、判断报文是IPv6报文还是Ipv4报文,对于Ipv6报文转步骤B,对于IPv4报文转步骤C。
本发明可以有效节省TCAM资源,充分利用了TCAM的容量,将其性能发挥到最大限度,同时减少了每个IPv6报文TCAM的查找性能损耗。
附图说明
图1是本发明一种实施方式的流程图。
图2是本发明一种实施方式的逻辑原理图。
图3是本发明ACL表象的组织结构图。
具体实施方式
针对现有技术的问题,常见的设计思路是调整TCAM规格,然而这样新的设计会引发成本的上升。本发明另辟蹊径,从五元组本身着手,使得其能够最大限度适配到已有的TCAM配置规格,最大限度地利用TCAM的性能。
在较佳的实施方式中,本发明可以通过逻辑器件技术(比如FPGA等)来实现,请参考图1以及图2,本发明报文压缩装置包括:特征提取单元、特征压缩单元、TCAM单元、报文分类单元以及报文处理单元,其基本的处理流程如下。
步骤101,从网络设备接收到的报文中提取预定的报文特征。本步骤由特征提取单元执行。
以IP报文为例,网络设备会对自己接收到的报文进行ACL(访问控制列表)匹配,而匹配的对象通常是报文特征,最为常见的有报文的三元组以及五元组。以下以五元组(源IP地址、目的IP地址、源端口、目的端口以及协议类型)为例进行讲解。报文特征的提取在现有技术中已经有广泛的教导,在此不再一一细述。
步骤102,将报文特征进行压缩。本步骤由报文压缩单元处理。
如背景技术提到的那样,一个IPv6报文的五元组共占据了296个比特,其比TCAM最接近的288个比特的位宽规格大8个比特。本发明通过压缩的方法将五元组的296个比特压缩为288个比特,使得TCAM能够处理经过压缩的五元组。
考虑到,协议类型这个字段共占据8个比特,本发明一种较佳的实施方式是将这个8个比特压缩掉。一种方式是,从五元组的源和目的IP地址的高位比特中选取出8个比特,然后将协议类型写入这8个比特。因为IP地址的高位特别(高64位)中有一些比特对于一些实际应用来说通常是固定的,因而可以加以利用。
进一步来说,由于修改IP地址,其可能导致出错,虽然其可能性比较低。但为了稳妥起见,可以对高位比特的选择加以限制。考虑到全局IPv6单播地址的最高3位为001,在现网绝大部分应用中IPv6地址的高3比特一般不会变化,因此可以仅仅利用IP地址的前3个比特,这样一来,修改IP地址出错的可能性微乎其微。
更进一步来说,源以及目的IP地址的前3个比特的总长度为6个比特,其小于协议类型字段长度8个比特。为了解决这个问题,有两种方法:第一种不做特别处理,使用6个比特来表达协议类型,因为IP协议字段现在只有100多种,常用的更少,一般都在64以内,因此6个比特完全可以胜任绝大部分的应用。第二种方式是设置一张映射表,如前所述的那样,虽然协议类型有8个比特,即256种可能,但实际上用到的一般不超过64种。映射表主要是将8个比特的协议类型映射为6个比特;比如说将协议类型为200(需要使用8个比特)映射到协议类型为63(仅需要6个比特)。
步骤103,根据报文特征查找报文在预定访问控制表项中的匹配结果,并输出所述匹配结果。本步骤由TCAM单元处理。
IPv6报文的五元组经过步骤102压缩以后其长度等于288比特,满足了TCAM单元的规格要求,可以送入TCAM单元进行表项的匹配。TCAM表项中一般存放有访问控制列表(ACL)的表项。请参考图3,其中示出了288位的ACL表项的组织形式。对ACL匹配后可以输出相应的匹配结果,其包括命中和未命中。针对匹配结果,网络设备可以用相应的处理,比如未命中的可以丢弃,命中的可以转发或者重定向或者上送软件处理。这些针对输出结果进行相应的处理在本发明是由报文处理单元执行。报文处理单元是一种泛指,即报文通过访问控制列表匹配后的各种可能的处理单元都可视为报文处理单元。由于报文的后续是很常见的现有技术,本发明不再一一细述。
步骤104,在对报文特征压缩之前,还可以进一步判断报文是IPv6报文还是Ipv4报文,如果是Ipv6报文则转步骤102将其提交给特征压缩单元处理,对于IPv4报文则转步骤103,将其报文特征提交给TCAM单元处理。本步骤又报文分类单元处理。考虑到现有的网络中会同时存在IPv4以及IPv6两种版本的IP报文,并且考虑到这种情况将在很长一段时间内持续存在,本发明可以针对两者做区分处理,步骤104作为一个可选步骤可进一步提升本发明的实用性。IP报文版本的识别属于常见的技术,不需要详述。
本发明通过对报文特征的巧妙压缩设计,在最大限度上利用了TCAM性能的极限,避免了TCAM处理资源的浪费,并且成本比较低。
以上所描述的仅仅是本发明较佳的实现方式,并不用以限定本发明的保护范围,任何等同的变化和修改皆应涵盖在本发明的保护范围之内。
Claims (6)
1.一种对报文特征匹配的装置,其应用于网络设备中,该装置包括:
特征提取单元,用于从网络设备接收到的报文中提取预定的报文特征,其中,所述报文为IPV6报文,所述报文特征为报文五元组,所述五元组包括源IP地址、目的IP地址、源端口、目的端口以及协议类型;
特征压缩单元,用于根据预先设定的映射表将五元组中的协议类型字段进行映射后写入源IP地址及目的IP地址的高位字段中,然后将修改后的源IP地址、修改后目的IP地址、源端口以及目的端口作为压缩后的五元组提交给TCAM单元;
TCAM单元,用于根据压缩后的报文特征查找报文在预定访问控制表项中的匹配结果,并输出所述匹配结果;
报文处理单元,用于根据所述匹配结果对报文进行相应处理。
2.根据权利要求1所述的装置,其特征在于,所述高位字段为源IP地址的前3比特以及目的IP地址的前3比特,所述协议类型字段长度为8比特,所述特征压缩单元,进一步根据预先设定的映射表,将所述长度为8比特的协议类型映射为6比特的协议类型,然后再写入所述源/目的IP地址的前3比特。
3.根据权利要求1所述的装置,其特征在于,还包括报文分类单元,用于判断报文是IPv6报文还是Ipv4报文,对于Ipv6报文将其提交给特征压缩单元处理,对于IPv4报文则将其提交给TCAM单元处理。
4.一种对报文特征匹配的方法,其应用于网络设备中,该方法包括:
A、从网络设备接收到的报文中提取预定的报文特征,其中,所述报文为IPV6报文,所述报文特征为报文五元组,所述五元组包括源IP地址、目的IP地址、源端口、目的端口以及协议类型;
B、根据预先设定的映射表将五元组中的协议类型字段进行映射后写入源IP地址及目的IP地址的高位字段中,然后将修改后的源IP地址、修改后目的IP地址、源端口以及目的端口作为压缩后的报文特征;
C、用于根据压缩后的报文特征查找报文在预定访问控制表项中的匹配结果,并输出所述匹配结果;
D、根据所述匹配结果对报文进行相应处理。
5.根据权利要求4所述的方法,其特征在于,所述高位字段为源IP地址的前3比特以及目的IP地址的前3比特,所述协议类型字段长度为8比特,所述特征压缩单元,进一步根据预先设定的映射表,将所述长度为8比特的协议类型映射为6比特的协议类型,然后再写入所述源/目的IP地址的前3比特。
6.根据权利要求4所述的方法,其特征在于,在步骤B之前,还包括:
E、判断报文是IPv6报文还是Ipv4报文,对于Ipv6报文转步骤B,对于IPv4报文转步骤C。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110227812.6A CN102291301B (zh) | 2011-08-10 | 2011-08-10 | 一种报文特征的匹配方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110227812.6A CN102291301B (zh) | 2011-08-10 | 2011-08-10 | 一种报文特征的匹配方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102291301A CN102291301A (zh) | 2011-12-21 |
| CN102291301B true CN102291301B (zh) | 2015-06-10 |
Family
ID=45337419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110227812.6A Active CN102291301B (zh) | 2011-08-10 | 2011-08-10 | 一种报文特征的匹配方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102291301B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579970B (zh) * | 2013-10-29 | 2018-06-12 | 国家计算机网络与信息安全管理中心 | 一种IPv6报文的策略匹配装置 |
| CN104735025B (zh) * | 2013-12-18 | 2018-01-09 | 国家计算机网络与信息安全管理中心 | 一种数据标识方法及其对应装置 |
| CN105791107A (zh) * | 2014-12-22 | 2016-07-20 | 中兴通讯股份有限公司 | 一种acl规则的配置方法、匹配方法及相关装置 |
| CN105939305A (zh) * | 2015-06-24 | 2016-09-14 | 杭州迪普科技有限公司 | 访问控制方法和装置 |
| CN106789859B (zh) * | 2016-01-29 | 2021-06-04 | 新华三技术有限公司 | 报文匹配方法及装置 |
| CN106375379A (zh) * | 2016-08-26 | 2017-02-01 | 无锡挪瑞科技股份有限公司 | 船舶相关数据压缩后回传到岸基服务器的方法及系统 |
| CN106953849B (zh) * | 2017-02-28 | 2021-01-12 | 华为技术有限公司 | 一种基于IPv6地址的数据报文匹配方法及装置 |
| CN108259378B (zh) * | 2017-03-30 | 2021-09-21 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN109150584B (zh) * | 2018-07-04 | 2022-02-25 | 北京中创腾锐技术有限公司 | 一种基于simd指令的为网络分组分类提供加速支持的方法 |
| CN109271545B (zh) * | 2018-08-02 | 2022-06-03 | 深圳市商汤科技有限公司 | 一种特征检索方法及装置、存储介质和计算机设备 |
| CN110071923A (zh) * | 2019-04-24 | 2019-07-30 | 杭州迪普信息技术有限公司 | 报文识别方法、装置、电子设备及机器可读存储介质 |
| CN112087389B (zh) | 2019-06-14 | 2023-01-24 | 深圳市中兴微电子技术有限公司 | 一种报文匹配查表方法、系统、存储介质和终端 |
| CN114422164B (zh) * | 2021-11-29 | 2023-09-15 | 杭州迪普科技股份有限公司 | 五元组表项下发装置及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1447223A (zh) * | 2003-04-04 | 2003-10-08 | 清华大学 | 支持路由压缩的tcam高速更新方法 |
| CN1909518A (zh) * | 2006-08-29 | 2007-02-07 | 华为技术有限公司 | 一种路由方法和路由设备 |
| CN101060482A (zh) * | 2007-03-31 | 2007-10-24 | 华为技术有限公司 | 一种路由查找方法和转发系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7028098B2 (en) * | 2001-07-20 | 2006-04-11 | Nokia, Inc. | Selective routing of data flows using a TCAM |
| US7552275B1 (en) * | 2006-04-03 | 2009-06-23 | Extreme Networks, Inc. | Method of performing table lookup operation with table index that exceeds CAM key size |
-
2011
- 2011-08-10 CN CN201110227812.6A patent/CN102291301B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1447223A (zh) * | 2003-04-04 | 2003-10-08 | 清华大学 | 支持路由压缩的tcam高速更新方法 |
| CN1909518A (zh) * | 2006-08-29 | 2007-02-07 | 华为技术有限公司 | 一种路由方法和路由设备 |
| CN101060482A (zh) * | 2007-03-31 | 2007-10-24 | 华为技术有限公司 | 一种路由查找方法和转发系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于多域并行编码的高速IPv6流分类;李维等;《电子学报》;20070531;第35卷(第5期);第976-981页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102291301A (zh) | 2011-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102291301B (zh) | 一种报文特征的匹配方法及装置 | |
| CN103117931B (zh) | 基于哈希表和tcam表的mac地址硬件学习方法及系统 | |
| CN103354522B (zh) | 一种多级流表查找方法和装置 | |
| CN105224692A (zh) | 支持多核处理器的sdn多级流表并行查找的系统及方法 | |
| CN104579940A (zh) | 查找访问控制列表的方法及装置 | |
| CN102970150A (zh) | 用于数据中心的可扩展组播转发方法和设备 | |
| CN101834788B (zh) | 媒体访问控制地址表项的存储操作方法、装置及设备 | |
| CN102437937B (zh) | 一种深度包检测方法 | |
| CN101594319A (zh) | 表项查找方法和装置 | |
| CN102045412B (zh) | IPv6地址前缀压缩存储方法及设备 | |
| CN102831140A (zh) | 一种fpga中mac地址查找表的实现方法 | |
| CN100450100C (zh) | 一种路由方法和路由设备 | |
| CN106416151A (zh) | 用于分组处理的基于多表哈希查找 | |
| CN108965136A (zh) | 基于空间网络层次化ip编址的转发方法及装置 | |
| CN101060482B (zh) | 一种路由查找方法和转发系统 | |
| CN112087389B (zh) | 一种报文匹配查表方法、系统、存储介质和终端 | |
| US20180225247A1 (en) | Packet forwarding | |
| CN102843362A (zh) | 一种使用tcam进行arp防御的方法 | |
| CN103581023A (zh) | 实现最长掩码匹配的方法及装置 | |
| CN107547690A (zh) | Nat中的端口分配方法、装置、nat设备及存储介质 | |
| US9330760B2 (en) | Method and apparatus for setting TCAM entry | |
| CN104252504A (zh) | 数据查询方法、设备和系统 | |
| CN107800630A (zh) | 报文处理方法及装置 | |
| CN104539537B (zh) | 一种路由查找方法和装置 | |
| CN104765694A (zh) | 一种可配置合并取值的cim内存库加载方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 310000 Binjiang District, Hangzhou, Binjiang Avenue, No. Huarong Times Building, room 1601, room 3880 Patentee after: Hangzhou Dipu Polytron Technologies Inc Address before: 310000 Binjiang District, Hangzhou, Binjiang Avenue, No. Huarong Times Building, room 1601, room 3880 Patentee before: Hangzhou Dipu Technology Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181105 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Depp Information Technology Co., Ltd. Address before: 310000 room 1601, Huarong Times Building, 3880 Binjiang Avenue, Hangzhou, Zhejiang, Binjiang District. Patentee before: Hangzhou Dipu Polytron Technologies Inc |
|
| TR01 | Transfer of patent right |