[发明专利]硬件表项安装方法、装置及网络设备

说明书

技术领域

本发明涉及数据通信领域，尤其涉及一种硬件表项安装方法、装置及网络设备。

背景技术

目前ASIC交换芯片提供了对进出端口的报文进行访问控制的硬件表。其中，对于进入端口的报文，ASIC交换芯片会根据报文中的信息(例如头部字段或报文内容等)查找硬件表，当查询到硬件表中存在匹配字段与报文中的信息相同的硬件表项时，将报文进入的端口在硬件表项的端口位图(Port Bit Map；简称为：PBMP)中进行匹配，当匹配到与报文进入的端口一致的端口时，该硬件表项中的安全规则在报文进入的端口上生效，即使用该硬件表项中的安全规则对报文进行访问控制。

在硬件表中对出端口的报文进行控制的硬件表项中，设置有两个字段分别为端口号字段和端口组号字段，分别用于表示该硬件表项是对一个端口生效还是对一组端口生效。当有报文要从端口转发出去时，ASIC交换芯片会根据报文中的信息进行硬件表的匹配查找，当查询到匹配字段与报文中的信息相同的硬件表项时，查询硬件表项的端口号字段和端口组号字段哪个有效。当端口号字段有效时，ASIC交换芯片将转发报文的端口(即输出报文的端口)与硬件表项的端口号字段进行比对，如果两者一致，则该硬件表项在该转发报文的端口上生效，通过该硬件表项中的安全规则对该报文进行处理后，将报文转发出去。当端口组号字段有效时，ASIC交换芯片根据端口组号字段查询端口表，并将转发报文的端口在端口表中端口组号字段与该硬件表项的端口组号字段相同的端口中进行匹配；如果匹配到与转发报文的端口一致的端口，则该硬件表项在转发报文的端口上生效，通过该硬件表项中的安全规则对该报文进行处理后，将报文转发出去。

其中，当一条对出端口的报文进行控制的硬件表项同时作用于多个端口时，ASIC交换芯片会将多个端口组成端口组，并为该端口组分配一个全局唯一的端口组号，并将多个端口组成的端口组存放到端口表中。也就是说，在端口表中，每个端口都有一个端口组号字段用于指定该端口属于哪个端口组，并且规定每个端口只能有一个端口组号，也就是说一个端口只能属于一个端口组。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：对出端口的报文进行控制的硬件表项，如果有两条或两条以上同时作用于多个端口的硬件表项同时作用于同一端口时，该端口将会属于不同的端口组，并被分配不同的端口组号字段。对于这种情况，无论该端口属于哪一个端口组，都将导致其他硬件表项无法在该端口上生效。

发明内容

本发明提供一种硬件表项安装方法、装置及网络设备，用以解决现有技术存在的多条作用在多个端口上的硬件表项同时作用于同一端口时造成的部分硬件表项无法在端口上生效的问题。

本发明提供一种硬件表项安装方法，包括：

当硬件表中存在生效端口与待安装的多出方向硬件表项的生效端口有交集的已安装的多出方向硬件表项时，对所述待安装的多出方向硬件表项和所述已安装的多出方向硬件表项中至少其中之一进行拆分，使所述被拆分的多出方向硬件表项至少独立作用于所述交集中的各个端口上，所述多出方向硬件表项是指同时作用于多个端口对出端口方向的报文进行控制的硬件表项；

根据拆分结果，将所述待安装的多出方向硬件表项安装到所述硬件表中。

本发明提供一种硬件表项安装装置，包括：

拆分模块，用于在硬件表中存在生效端口与待安装的多出方向硬件表项的生效端口有交集的已安装的多出方向硬件表项时，对所述待安装的多出方向硬件表项和所述已安装的多出方向硬件表项中至少其中之一进行拆分，使所述被拆分的多出方向硬件表项至少独立作用于所述交集中的各个端口上，所述多出方向硬件表项是指同时作用于多个端口对出端口方向的报文进行控制的硬件表项；

第一安装模块，用于根据拆分结果，将所述待安装的多出方向硬件表项安装到所述硬件表中。

本发明提供一种网络设备，包括本发明提供的任一硬件表项安装装置。

本发明的硬件表项安装方法、装置及网络设备，在安装作用于多个出端口的多出方向硬件表项时，当硬件表中存在生效端口与待安装的多出方向硬件表项的生效端口有交集的已安装的多出方向硬件表项时，通过对待安装的多出方向硬件表项和与待安装的多出方向硬件表项的生效端口有交集的已安装的多出方向硬件表项至少其中之一进行拆分，使被拆分的多出方向硬件表项至少独立作用于交集中的各个端口上，从而保证每个端口最多只能属于一个端口组，解决了现有技术中多条作用于多个端口的硬件表项同时作用于同一端口时导致的部分硬件表项无法生效的问题，使得多条硬件表项可以同时作用于同一端口。