[发明专利]一种基于端口的报文过滤方法和装置

说明书

本发明提供一种基于端口的报文过滤方法和装置，方法包括：配置一条包括n条过滤规则的过滤列表，并将该列表应用于第一端口；根据预设的算法将所述n条过滤规则中的m条过滤规则保存在第一规则集合中，将n‑m条过滤规则保存在第二规则集合中；其中，所述第二规则集合中设置有携带第一匹配标识的第一过滤规则；在所述第一端口接收报文，根据所述第一规则集合中的m条过滤规则对所述报文进行处理，根据m条过滤规则中的动作将与所述m条过滤规则匹配的报文添加上所述第一匹配标识后，根据所述第二规则集合中的第一过滤规则中设置的动作对所述添加上所述第一匹配标识的报文进行处理。能够利用芯片多阶段过滤表项硬件资源。

技术领域

本发明涉及数据通信领域，尤其是一种基于端口的报文过滤方法和装置。

背景技术

ACL，即访问控制列表,也称为访问列表(Access List)。访问控制列表是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。ACL使用预先定义好的过滤规则检查通过网络设备接口上的每个数据包,以便确定其是否与某一条包过滤规则匹配,从而对数据包是否能通过本网络设备进行控制：允许通过(Permit)或丢弃(Deny)，以增强网络安全。它里面的每一条过滤规则称为ACE(Access Entry)。ACL功能在交换机硬件上，需要通过过滤表项来实现。过滤表项包括了ACE中过滤规则信息和对应控制行为，过滤规则信息包括匹配入口VID+报文特征，报文特征包括MAC信息，IP信息，协议类型，应用端口信息等,控制行为包括丢弃、不丢弃、重定向、镜像、修改报文内容等，所有的过滤表项组成了过滤表。当数据报文到达交换机端口时，如果该端口上配置过滤表项，则会自动检查报文是否与过滤表中的某一条过滤表项匹配，如果匹配成功，则执行匹配项的控制行为。每条ACE都有一个编号(ACE_ID)，编号表示匹配优先级，编号越大优先级越低。随着时代发展，数据中心网络不断建设，用户需求以及报文类型不断增加，现有设备的过滤表项已经无法满足某些特定的网络环境，比如运营商网络。虽然芯片厂商已经针对应场景提供大容量过滤表项芯片，但一般芯片提供的过滤表项都是根据报文流水线分阶段实施。当用户环境网络对过滤表项都容量要求超过芯片厂商所能提供芯片某阶段最大容量值，特别在同一个端口应用大容量过滤表项时。因此如何有效支持在同一个端口应用过滤表项超过芯片某一阶段提供的容量，最大发挥芯片能力，成了首要任务。目前针对大容量过滤表项安装的普遍方法是，通过表项的整合或分组合并，安装到芯片某一阶段的访问列表资源。这种方案安装的过滤表项受限制于芯片特定阶段的容量值限制，没有最大化发挥芯片能力。

发明内容

为了解决上述技术问题，本发明的实施例采用如下技术方案：

一种基于端口的报文过滤方法，包括：配置一条包括n条过滤规则的过滤列表，并将该列表应用于第一端口；根据预设的算法将所述n条过滤规则中的m条过滤规则保存在第一规则集合中，将n-m条过滤规则保存在第二规则集合中；其中，所述第二规则集合中设置有携带第一匹配标识的第一过滤规则，其中，n为大于等于2的自然数，m为小于n的自然数；

在所述第一端口接收报文，根据所述第一规则集合中的m条过滤规则对所述报文进行处理，根据m条过滤规则中的动作将与所述m条过滤规则匹配的报文添加上所述第一匹配标识后，根据所述第二规则集合中的第一过滤规则中设置的动作对所述添加上所述第一匹配标识的报文进行处理。

可选的，

所述预设的算法为根据每条过滤规则中的标识确定将该过滤规则保存在第一规则集合中或者保存在第二规则集合中。

可选的，

所述端口为聚合口。

可选的，

所述端口所在的交换机为盒式交换机或机箱式交换机。

可选的，所述方法还包括：

将处理完的报文从第二端口发送出去。