[发明专利]利用ACL扩充IPFIX表项的方法及装置

权利要求书

1.一种利用ACL扩充IPFIX表项的方法，其特征在于，所述方法包括：

S1、当监测到报文经过芯片时，获取报文特征；

S2、以报文特征读取IPFIX引擎存储空间，并根据读取结果将对应的流表上报给CPU；

S3、CPU接收到流表后，将流表下发至ACL引擎；

S4、当ACL引擎确认接收到流表时，CPU控制删除IPFIX引擎存储空间中对应的流表；其中，步骤S2具体包括：

若在IPFIX引擎存储空间读取到流表无效则认定为新流，并将新流下发到IPFIX引擎存储空间，检查DMA的FIFO是否为满，若否，则将新流上报给CPU；并在成功上报后，标识当前流表已经上报；

若在IPFIX引擎存储空间读取到流表有效、且和当前报文特征完全匹配，则认定为老流，检查DMA的FIFO是否为满，若否，则将老流上报给CPU；并在成功上报后，标识当前流表已经上报；

若在IPFIX引擎存储空间读取到流表有效、且和当前报文特性不匹配，则认定为出现哈希冲突；

所述ACL引擎为访问控制列表引擎，所述IPFIX引擎为IP数据流信息输出引擎，所述DMA为直接内存访问，所述FIFO为先入先出队列，所述老流为已经存在的流。

2.根据权利要求1所述的利用ACL扩充IPFIX表项的方法，其特征在于，

步骤S1具体包括：获取报文特征，并依据报文特征计算哈希值；

步骤S2具体包括：以哈希值为索引读取IPFIX引擎存储空间。

3.根据权利要求1所述的利用ACL扩充IPFIX表项的方法，其特征在于，步骤S2还包括：预设定时扫描机制；

按照预设周期定时扫描IPFIX引擎存储空间，若扫描到存在未上报的流表，则检查DMA的FIFO是否为满，若否，则将未上报的流表上报给CPU，并在成功上报后，标识当前流表已经上报。

4.根据权利要求1所述的利用ACL扩充IPFIX表项的方法，其特征在于，步骤S2之前，所述方法还包括：当监测到报文经过芯片时，获取报文特征，以报文特征查找ACL引擎存储空间，若匹配到结果，则对报文数量进行更新，并阻止报文进入IPFIX引擎，以停止执行步骤S2，若未匹配到结果，则继续执行步骤S2。

5.根据权利要求1所述的利用ACL扩充IPFIX表项的方法，其特征在于，步骤S3还包括：配置ACL引擎存储空间的存储方式，所述存储方式包括：哈希存储和TCAM存储；

当CPU将流表下发至ACL引擎时，选择哈希存储，若出现哈希冲突，则选择TCAM存储的方式存储当前流表；所述TCAM为三态内从寻址存储器。

6.一种利用ACL扩充IPFIX表项的装置，其特征在于，所述装置包括：

获取模块，用于当监测到报文经过芯片时，获取报文特征；

查找模块，用于以报文特征读取IPFIX引擎存储空间，并根据读取结果将对应的流表上报给CPU；

控制模块，用于在CPU接收到流表后，通过CPU将流表下发至ACL引擎；

并在ACL引擎确认接收到流表时，通过CPU控制删除IPFIX引擎存储空间中对应的流表；

其中，所述查找模块具体用于：若在IPFIX引擎存储空间读取到流表无效则认定为新流，并将新流下发到IPFIX引擎存储空间，检查DMA的FIFO是否为满，若否，则将新流上报给CPU；并在成功上报后，标识当前流表已经上报；

若在IPFIX引擎存储空间读取到流表有效、且和当前报文特征完全匹配，则认定为老流，检查DMA的FIFO是否为满，若否，则将老流上报给CPU；并在成功上报后，标识当前流表已经上报；所述老流为已经存在的流；

若在IPFIX引擎存储空间读取到流表有效、且和当前报文特性不匹配，则认定为出现哈希冲突。

7.根据权利要求6所述的利用ACL扩充IPFIX表项的装置，其特征在于，所述获取模块具体用于：获取报文特征，并依据报文特征计算哈希值；

所述查找模块具体用于：以哈希值为索引读取IPFIX引擎存储空间。