[发明专利]五元组表项下发装置及方法

说明书

本公开涉及一种五元组表项下发方法、装置、电子设备及计算机可读介质。该方法包括：获取待下发芯片的五元组信息，所述五元组信息中包括IPv6目的地址；基于结构体变量表将所述IPv6目的地址的n位字节替换为标签值；通过所述标签值、所述IPv6目的地址的m位字节生成压缩目的地址；基于所述压缩目的地址生成五元组表项，并将所述五元组表项下发至网络设备。本申请涉及的五元组表项下发方法、装置、电子设备及计算机可读介质，能够将IPv6五元组ACL表项数据全部填入ACL表项的匹配条件变量结构体中，可以保证下刷表项成功，还能够提高表项匹配速度。

技术领域

本公开涉及计算机信息处理领域，具体而言，涉及一种五元组表项下发方法、装置、电子设备及计算机可读介质。

背景技术

随着网络规模日益扩大，网络流量日益增加，网络安全防护、流量控制和对带宽限制与分配等网络管理措施也越来越重要，用户强烈需要一种方法，能够精确控制网络流量，防范攻击或监控网络，ACL就在这种情况下应运而生了。ACL(Access Control List，访问控制列表)即通过配置对报文的匹配条件和处理动作而实现报文过滤和控制的功能。当网络设备的物理接口接收到报文，或将从物理接口发送出去之前，根据当前接口上配置的ACL表项对报文内容进行解析和匹配，对匹配到的报文进行相应动作处理。

随着网络的发展，IPV6地址越来越多，在下刷IPV6模式五元组ACL表项时，需要将源IPv6地址、目的IPv6地址、IP协议号、源端口号、目的端口号、物理端口等字段的数据依次填入ACL表项的匹配条件变量结构体中。其中源IPv6地址、目的IPv6地址、IP协议号、源端口号、目的端口号合称五元组，填入五元组表项的结构体的成员所需要的字节空间大于现有的大部分交换机芯片可用的数据字节数。在下刷IPV6模式五元组ACL表项时，指定的匹配条件的数据总字节数超过交换芯片提供的可用的数据字节数，就会存在由于交换芯片的硬件资源不足导致的下刷ACL表项失败情况。

因此，需要一种新的五元组表项下发方法、装置、电子设备及计算机可读介质。

在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本申请提供一种五元组表项下发方法、装置、电子设备及计算机可读介质，能够将IPv6五元组ACL表项数据全部填入ACL表项的匹配条件变量结构体中，可以保证下刷表项成功，还能够提高表项匹配速度。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

根据本申请的一方面，提出一种五元组表项下发方法，该方法包括：获取待下发芯片的五元组信息，所述五元组信息中包括IPv6目的地址；基于结构体变量表将所述IPv6目的地址的n位字节替换为标签值；通过所述标签值、所述IPv6目的地址的m位字节生成压缩目的地址；基于所述压缩目的地址生成五元组表项，并将所述五元组表项下发至网络设备。

在本申请的一种示例性实施例中，还包括：基于多个结构体和其对应的标签值生成所述结构体变量表；其中，结构体中包含地址数据和地址数据对应的引用次数。

在本申请的一种示例性实施例中，还包括：所述网络设备获取流量数据；由所述流量数据中提取五元组信息，所述五元组信息中包括IPv6目的地址；将所述五元组信息中目的地址中的n位字节和所述结构体变量表中的数据进行首次匹配；在首次匹配一致时，将所述五元组信息中的其他信息和访问控制列表中的表项进行二次匹配。

在本申请的一种示例性实施例中，还包括：在首次匹配不一致时，按照预设策略对所述流量数据进行处理。

在本申请的一种示例性实施例中，将所述五元组信息中的其他信息和访问控制列表中的表项进行二次匹配，包括：在二次匹配一致时，基于所述访问控制列表中的处理动作对所述流量数据进行处理；在二次匹配不一致时，按照预设策略对所述流量数据进行处理。