[发明专利]支持多用户的高速报文分流方法

说明书

技术领域

       本发明涉及骨干网络高速大容量分流设备的分流方法，尤其涉及支持多用户的高速报文分流方法，可以应用于40G骨干网络的分流设备中。

背景技术

目前，我国运营商数据骨干线路和城域网的技术标准已经朝着40G及更高的速度在发展，在以40Gbps极高的速率流动的数据中，是否潜伏着某些对国家安全、公共安全、网络安全的威胁，是运营商和安全部门关心的一个问题。然而基于CPU的服务器处理能力的提升远远达不到带宽提升的速度，IP报文内容分析设备的处理能力远远达不到40Gbps的要求。将骨干网络上高速的报文转化为较低速率的报文，让低速的设备完成后续的分析处理工作，是高速网络分流设备需要解决的问题。

如图1所示，典型的网络分流设备由输入卡、交换网络和输出卡组成，输入卡和输出卡又称为线卡。输入卡根据用户定义的过滤规则对报文进行过滤，并根据均衡分流算法计算输出端口号，然后将报文通过交换网络转发给输出卡，输出卡完成输出功能。这种网络分流设备只能工作在单用户模式，即整个分流设备只能有一套报文过滤规则，如果有多个用户或部门要对同一流量做不同的处理，则只能通过使用多套设备同时工作来完成任务。单用户模式下的输入卡只支持单个用户规则的报文过滤，如图5所示，输入卡单规则过滤模块内部的五元组存储器即五元组TCAM（Ternary Content Addressable Memory，称为三态内容寻址存储器）的数据单元只包含五元组信息。单用户模式下的输出卡只完成报文缓冲和输出功能。

在多用户组播分流的情况下，输入卡接收到的一个报文要对多个用户的过滤规则进行匹配，根据匹配的结果将报文转发到每个用户指定的输出卡。在这种组播分流模式下，分流设备在均衡分流的同时，需要解决将同一报文转发给多个输出卡的问题。传统的分流设备存在一系列问题：

首先，现有的报文分流策略大多数基于五元组对报文进行过滤，根据五元组产生的Hash值（哈希值）进行分流，这种分流策略不能支持一块输入卡到多块输出卡的多用户模式，更不能支持多块输入卡的报文同时分流到多块输出卡的多用户模式，基于这种分流策略的分流设备只能提供给一个用户使用，这使得一个用户必须独占这样的分流设备。只能通过多台这样的分流设备组合来支持多用户过滤模式，这无疑带来了设备管理上的难度，增加了用户的成本。

其次，部分分流设备通过在输入卡进行报文复制的策略支持多用户模式，即输入卡对匹配多个用户过滤规则的报文进行复制，并通过交换网络，将报文复制到多块输出卡。在接口速率较低的情况下，这种根据用户的需求在输入卡中进行报文复制的方式可以满足多用户分流的需求。但是面向高速网络，最坏的情况下一个报文可能需要达到所有的输出卡，复制后报文的数量将变成原来的数倍，这将大大增加原本就拥挤的交换网络的负担，对分流设备的内部数据交换能力和存储器的带宽和时延都提出了极高的要求。从而加大了设备的复杂性和成本，降低了设备的可靠性。

发明内容

本发明要解决的技术问题是为支持多用户模式的高速大容量分流设备提供一种高速、低延迟的数据报文从单块输入卡到多块输出卡的组播分流方法。

为解决上述具体技术问题，技术方案包括以下步骤：

第一步，构建由输入卡、交换卡和输出卡组成的两级交换结构。

1.1修改输入卡，使输入卡支持多用户模式。

修改后的输入卡由多规则过滤模块、报文头部修改模块和报文分流模块组成。修改步骤如下：

1.1.1将输入卡中的单规则过滤模块（如Stratix EP2SGX130系列芯片）修改为多规则过滤模块，方法是： 

1.1.1.1修改输入卡中的五元组TCAM中的数据单元格式，每项数据单元的内容添加用户号。

1.1.1.2 在输入卡的多规则过滤模块中添加一个外部SRAM（Static Random Access Memory，静态随机访问存储器），该SRAM的每个存储单元包含三项内容：对应五元组数据单元的地址、输出卡号和输出端口号。

1.1.1.3修改五元组匹配过滤逻辑，使五元组匹配过滤逻辑与五元组TCAM和外部STAM相连接，五元组匹配过滤逻辑根据报文的五元组数据和用户号来查找五元组TCAM，并根据查找结果从SRAM中提取出输出卡号和输出端口号。

1.1.1.4在多规则过滤模块中添加S个匹配结果缓冲器（S表示分流设备支持的最大用户数），S个匹配结果缓冲器与五元组匹配过滤逻辑和报文头部修改模块相连，用来缓存每个用户过滤规则的匹配结果。