[发明专利]一种表项下发方法及一种报文转发方法

说明书

本说明书提供一种表项下发方法及一种报文转发方法，报文过滤系统中报文转发设备的主控板卡执行：向每个位于业务板卡的交换芯片下发一条访问控制表项ACL；ACL的匹配条件包括，特定头部的标识，以及报文来源为该交换芯片与报文转发设备相连的端口，ACL的执行动作包括：将报文转发至可编程逻辑器件；向每个位于业务板卡的可编程逻辑器件下发重定向表项；每个重定向表项包括重定向匹配条件以及重定向端口，重定向表项用于将包括重定向匹配条件的从内部口接收的报文，重定向至重定向端口。通过可编程逻辑器件的重定向表项来实现：相关技术中由交换芯片ACL所实现的确定报文出口的功能，这样，只需要给每个交换芯片下发一条ACL，减少了占用的ACL资源。

技术领域

本说明书涉及通信技术领域，尤其涉及一种表项下发方法及一种报文转发方法。

背景技术

为了维护网络安全，需要对网络中的传输报文进行过滤。报文过滤可以通过报文过滤系统来实现，具体而言，可以在两个交换机或路由器之间的链路上放置报文过滤系统，以对该链路上的报文进行过滤处理。报文过滤系统一般包括一个报文转发设备和至少一个报文过滤设备(不同的报文过滤设备可以处理不同的报文过滤业务)。报文过滤系统的结构图如图1A所示(图1A中路由器之间的虚线指的是链路原本的连通路径)。其中，报文转发设备负责对链路上的报文进行初步过滤，将初步过滤后端报文转发至报文过滤设备；以及接收报文过滤设备放行或修改后的报文，将这些报文转发至其原本的转发路径上。报文过滤设备负责对接收的报文进行过滤，也就是将部分报文丢包，对部分不符合规范的报文进行修改，将其他的符合规范的报文放行，修改后的报文以及放行的报文需要转发给报文转发设备，以使得这些报文回到原本的转发路径上。

报文过滤系统一般可以同时对多个链路进行报文过滤，在报文过滤系统对多个链路进行报文过滤的情况下，其整体结构如图1B所示(图1B以两条链路为例，但是这并不代表对本说明的限定)。在图1B的场景中，报文转发设备(下文中如果未加说明，报文转发设备就是指的报文过滤系统的报文转发设备)接收到的处理完成的报文可能是属于不同链路的，为了更快速的转发处理完成的报文，在接收到报文的时候，会为报文封装特定头部(比如可以是虚拟局域网虚拟可扩展的局域网vxlan头部，也可以是mac-in-mac头部)，并在特定转发协议头部增加该报文来源的链路，以及其原本的转发路径的链路方向，而这个头部在报文过滤设备处理过程中并不会被删除，这样报文转发设备在接收到处理完成后的报文后，可以根据报文头部的链路号直接确定报文该转出至哪里。

此外报文转发设备一般包括至少一个主控板卡和至少一个业务板卡，主控板卡负责对整机进行管理，业务板卡负责处理报文转发及初步过滤的相关业务。业务板卡一般包括至少一个交换芯片和至少一个现场可编程逻辑门阵列(Field Programmable GateArray，FPGA)，FPGA和链路两侧的交换机或路由器相连，并负责进行初步过滤业务；交换芯片和报文过滤设备相连。

那么在交换芯片接收到报文过滤设备处理完成的报文时，由于交换芯片并不与交换机或路由器相连，交换芯片需要将报文转发给FPGA进而使得处理完成的报文回到原来的转发路径。那么交换芯片需要确定该报文出端口所在的FPGA，并将该报文发送给确定的FPGA的内部口(只与报文转发设备内部相连的端口)，以通过该FPGA转发出去。这个过程一般是通过硬件访问控制表项(Access Control Lists，ACL)完成的，ACL一般包括匹配条件和执行动作，在报文与匹配条件相符的时候，交换芯片会对该报文执行ACL的动作。

在这种情况下，为了确定报文的出端口所在FPGA，ACL的匹配条件需要包括报文的链路标识和链路方向标识(即该报文从链路的哪一侧发往哪一侧)，以及可以筛选出处理完的报文的条件(一般为特定头部的标识，以及交换芯片和报文过滤设备相连的端口的标识)，执行的动作为转发至与确定的FPGA的内部口。那么每个交换芯片上的ACL数量均为链路数量*链路方向数量，在链路数量较多的情况下，为了确定报文转发出端口的ACL会占用较多的ACL资源。

发明内容