專利名稱:一種實(shí)現(xiàn)流過(guò)濾的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到數(shù)據(jù)通信領(lǐng)域�,特別涉及到一種網(wǎng)絡(luò)處理器實(shí)現(xiàn)流過(guò)濾的方法和裝置。
背景技術(shù):
路由器��、交換機(jī)等網(wǎng)絡(luò)設(shè)備在運(yùn)行過(guò)程中����,會(huì)出現(xiàn)廣播風(fēng)暴或網(wǎng)絡(luò)攻擊�����,如果大量 的攻擊報(bào)文上送CPU���,會(huì)造成CPU過(guò)于繁忙,網(wǎng)絡(luò)設(shè)備工作不正常�����,因此需要對(duì)訪問(wèn)網(wǎng)絡(luò)設(shè) 備的報(bào)文進(jìn)行訪問(wèn)流量控制�����。訪問(wèn)控制列表(Access Control List�,簡(jiǎn)稱ACL)是Cisco I0S所提供的一種訪 問(wèn)控制技術(shù),是應(yīng)用于路由器接口的規(guī)則列表�����,它由一系列訪問(wèn)控制元素(Access Control Element,簡(jiǎn)稱ACE)組成���,每個(gè)ACE是一條單一的規(guī)則����,用來(lái)匹配特定類型的報(bào)文,ACL告訴 路由器哪些報(bào)文可以收����、哪些報(bào)文需要拒絕,ACL使用包過(guò)濾技術(shù)��,在路由器上讀取第三層 及第四層包頭中的信息如源地址�、目的地址、源端口����、目的端口等�,根據(jù)預(yù)先定義好的規(guī)則 進(jìn)行過(guò)濾,從而達(dá)到訪問(wèn)控制的目的����。基于硬件的ACL�,由網(wǎng)絡(luò)處理器(Network Processor,簡(jiǎn)稱NP)完成對(duì)訪問(wèn)流量的 控制,目前的網(wǎng)絡(luò)設(shè)備趨向于使用以NP為核心的體系結(jié)構(gòu)�����,NP是一種可編程器件,特定地 應(yīng)用于通信領(lǐng)域的各種任務(wù)���,比如包處理��、協(xié)議分析���、路由查找、聲音/數(shù)據(jù)的匯聚���、防火墻 和服務(wù)質(zhì)量(Quality of Service��,簡(jiǎn)稱QoS)等�����。NP內(nèi)部通常由若干個(gè)微碼處理器和若干 個(gè)硬件協(xié)處理器組成����,多個(gè)微碼處理器在NP內(nèi)部并行處理����,通過(guò)預(yù)先編制的微碼來(lái)控制處 理流程,由于NP空間有限且價(jià)格昂貴���,因此高效利用NP變得非常重要�����。如圖1所示�,現(xiàn)有實(shí)現(xiàn)流過(guò)濾的方法包括以下步驟步驟101,將網(wǎng)絡(luò)設(shè)備接收的報(bào)文與ACL相匹配��,此匹配工作相當(dāng)于對(duì)所有報(bào)文進(jìn) 行分類��;步驟102�����,判斷報(bào)文是否與ACL中丟棄標(biāo)識(shí)所在的ACE相匹配�,匹配則執(zhí)行步驟 104,否則繼續(xù)向下匹配���,執(zhí)行步驟103 ;步驟103����,判斷報(bào)文是否與ACL中限速標(biāo)識(shí)所在的ACE相匹配,匹配則執(zhí)行步驟 105���,否則執(zhí)行步驟107 �;步驟104,丟棄報(bào)文�����;步驟105���,獲取限速標(biāo)識(shí)并執(zhí)行步驟106 ��;步驟106��,對(duì)報(bào)文限速���;步驟107,允許報(bào)文通過(guò)�。步驟103中的對(duì)報(bào)文限速采用的是雙速率三色標(biāo)記算法,通過(guò)對(duì)峰值信息速率 PIR(Peak Information Rate)�����、承諾訪問(wèn)速率CIR(Committed InformationRate)以及他們 各自相關(guān)的峰值突發(fā)尺寸PBS (Peak Burst Size)和承諾突發(fā)尺寸CBS (Committed Burst Size)進(jìn)行配置����,達(dá)到限速目的�����。以交換機(jī)為例說(shuō)明雙速率三色標(biāo)記算法的工作原理
雙速率三色算法的實(shí)現(xiàn)�,目前的實(shí)現(xiàn)基本上完全依照RFC的規(guī)定����,用兩個(gè)令牌桶 來(lái)實(shí)現(xiàn),兩個(gè)令牌桶的容量不同�,第一個(gè)是CBS,第二個(gè)是PBS�。兩桶添加令牌的速率不同, CBS桶添加令牌的速率是CIR�,PBS桶添加令牌的速率則是PIR。添加令牌時(shí)先添加CBS桶����, CBS桶填滿后再添加PBS桶。當(dāng)發(fā)送連續(xù)流量時(shí)����,先看報(bào)文速率是否超過(guò)PIR ���;當(dāng)報(bào)文速率大于PIR時(shí)�,超過(guò)PBS 部分流量無(wú)法得到令牌,被標(biāo)記為紅色報(bào)文����;未超過(guò)PBS而從P桶中獲取令牌的報(bào)文標(biāo)記為 黃色報(bào)文;從C桶中獲取令牌的報(bào)文被標(biāo)記為綠色報(bào)文����。當(dāng)報(bào)文速率小于PIR,大于CIR時(shí)����, 報(bào)文不會(huì)得不到令牌,但會(huì)超過(guò)CBS部分報(bào)文將從P桶中獲取令牌�����,被標(biāo)記為黃色報(bào)文���;其 他報(bào)文將從CBS桶中取令牌���,被標(biāo)記為綠色報(bào)文;當(dāng)報(bào)文速率小于CIR時(shí)���,報(bào)文所需令牌數(shù) 不會(huì)超過(guò)CBS�,所以只會(huì)被標(biāo)記為綠色報(bào)文。在流量控制中��,可針對(duì)不同顏色的報(bào)文設(shè)定不同行為����,如允許通過(guò)、丟棄���、或重新 標(biāo)記優(yōu)先級(jí)等�����,完成以上行為的微碼指令單元稱為限速單元�。圖2為現(xiàn)有NP中流過(guò)濾的裝置圖10��,所有進(jìn)入網(wǎng)絡(luò)設(shè)備的報(bào)文進(jìn)入流分類單元 11后被貼上丟棄標(biāo)識(shí)或限速標(biāo)識(shí)���,丟棄單元12對(duì)貼上丟棄標(biāo)識(shí)的報(bào)文進(jìn)行丟棄����,限速單元 13對(duì)貼上限速標(biāo)識(shí)的報(bào)文進(jìn)行限速�。例如網(wǎng)絡(luò)管理員要對(duì)來(lái)自于192. 168. 1. 20的報(bào)文進(jìn) 行流量控制���,限制其流量不能超過(guò)10Mbps����,則將限速標(biāo)識(shí)為3 (可以為除0和1以外的其它 值)時(shí)的PIR/CIR/PBS/CBS參數(shù)按照10Mbps限速進(jìn)行配置,再設(shè)置一條ACE���,該ACE匹配條 件設(shè)為源地址192. 168. 0. 20��,動(dòng)作為指定限速標(biāo)識(shí)值=3����,那么NP在收到報(bào)文后����,就會(huì)把報(bào) 文與該ACE相匹配,如報(bào)文源地址為192. 168. 0. 20���,則與該條ACE匹配成功�����,NP獲得該報(bào)文 的限速標(biāo)識(shí)值3�����,并根據(jù)限速標(biāo)識(shí)值3時(shí)的PIR/CIR/PBS/CBS配置對(duì)該報(bào)文進(jìn)行限速動(dòng)作�����。在限速單元13中�����,限速標(biāo)識(shí)為0和1時(shí)的PIR/CIR/PBS/CBS為系統(tǒng)默認(rèn)值���,網(wǎng)絡(luò) 管理員無(wú)法更改���,限速標(biāo)識(shí)為0時(shí),PIR/CIR/PBS/CBS值全部為最大����,允許報(bào)文通過(guò),限速標(biāo) 識(shí)為1時(shí)��,PIR/CIR/PBS/CBS值全部為0�����,丟棄報(bào)文。從雙速率三色標(biāo)記算法中可以看出�����,PIR/CIR/PBS/CBS的值全部為0時(shí)�,該報(bào)文就 會(huì)被丟棄����,同樣達(dá)到了丟棄單元12所起的作用。而現(xiàn)有技術(shù)中為丟棄和限速分別設(shè)置了丟 棄標(biāo)識(shí)和限速標(biāo)識(shí)兩個(gè)標(biāo)識(shí)�,由兩個(gè)微碼指令單元丟棄單元12和限速單元13來(lái)完成丟棄 和限速。這樣實(shí)際上就浪費(fèi)了 NP的微碼空間����,占用了寶貴的NP資源。
發(fā)明內(nèi)容
本發(fā)明的目的之一為提供一種實(shí)現(xiàn)流過(guò)濾的方法和裝置����,通過(guò)將丟棄和限速合二 為一,達(dá)到節(jié)約NP微碼空間的目的����。本發(fā)明提出一種實(shí)現(xiàn)流過(guò)濾的方法,包括步驟將網(wǎng)絡(luò)設(shè)備所接收的報(bào)文與ACL相匹配��,獲取匹配ACE的限速標(biāo)識(shí)值;根據(jù)所述限速標(biāo)識(shí)值選擇對(duì)所述報(bào)文執(zhí)行允許通過(guò)�、丟棄或限速操作。優(yōu)選地���,所述步驟根據(jù)所述限速標(biāo)識(shí)值對(duì)所述報(bào)文執(zhí)行允許通過(guò)���、丟棄或限速操 作采用雙速率三色標(biāo)記算法,包括當(dāng)限速標(biāo)識(shí)值為0�����,PIR/CIR/CBS/PBS全部設(shè)置為最大值�,允許報(bào)文通過(guò);當(dāng)限速標(biāo)識(shí)值為1�,PIR/CIR/CBS/PBS全部設(shè)置為0,丟棄報(bào)文�;當(dāng)限速標(biāo)識(shí)值為除0和1以外的其它值,根據(jù)限速流量設(shè)置PIR/CIR/CBS/PBS���,對(duì)報(bào)文限速����。優(yōu)選地���,所述報(bào)文與ACL相匹配是判斷網(wǎng)絡(luò)設(shè)備所接收?qǐng)?bào)文的報(bào)文特征與ACE的條件部分是否一致����,是則匹配成功,否則不匹配����。優(yōu)選地,所述報(bào)文特征包括報(bào)文源地址�����、目的地址�����、源端口����、目的端口和/或協(xié)議�。本發(fā)明另提出一種實(shí)現(xiàn)流過(guò)濾的裝置,包括流分類單元�����,將網(wǎng)絡(luò)設(shè)備所接收的報(bào)文與ACL相匹配,獲取匹配ACE的限速標(biāo)識(shí) 值����;限速單元,判斷限速標(biāo)識(shí)值�,根據(jù)所述限速標(biāo)識(shí)值選擇對(duì)所述報(bào)文執(zhí)行允許通過(guò)、 丟棄或限速操作���。優(yōu)選地�,所述限速單元采用雙速率三色標(biāo)記算法進(jìn)行限速���,包括當(dāng)限速標(biāo)識(shí)值為0��,PIR/CIR/CBS/PBS全部設(shè)置為最大值����,允許報(bào)文通過(guò)��;當(dāng)限速標(biāo)識(shí)值為1�,PIR/CIR/CBS/PBS全部設(shè)置為0,丟棄報(bào)文�����;當(dāng)限速標(biāo)識(shí)值為除0和1以外的其它值,根據(jù)限速流量設(shè)置PIR/CIR/CBS/PBS���,對(duì) 報(bào)文限速�。優(yōu)選地���,所述報(bào)文與ACL相匹配是判斷網(wǎng)絡(luò)設(shè)備所接收?qǐng)?bào)文的報(bào)文特征與ACE的 條件部分是否一致����,是則匹配成功��,否則不匹配���。優(yōu)選地,所述報(bào)文特征包括報(bào)文源地址����、目的地址、源端口��、目的端口和/或協(xié)議��。本發(fā)明提出的流過(guò)濾的方法和裝置通過(guò)將限速動(dòng)作和丟棄動(dòng)作合二為一����,壓縮 ACL表項(xiàng)空間����,達(dá)到節(jié)約NP微碼空間的目的�����。
圖1為現(xiàn)有實(shí)現(xiàn)流過(guò)濾的方法流程圖�;圖2為現(xiàn)有流過(guò)濾的裝置圖;圖3為本發(fā)明一實(shí)施例中實(shí)現(xiàn)流過(guò)濾的方法流程圖�����;圖4為本發(fā)明另一實(shí)施例中實(shí)現(xiàn)流過(guò)濾的裝置圖���。本發(fā)明目的的實(shí)現(xiàn)��、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例����,參照附圖做進(jìn)一步說(shuō)明���。
具體實(shí)施例方式本發(fā)明的主要技術(shù)方案是提供一種實(shí)現(xiàn)流過(guò)濾的方法和裝置�,該方法和裝置通過(guò) 將限速和丟棄合二為一,壓縮ACL表項(xiàng)空間�����,達(dá)到節(jié)約NP微碼空間的目的����。參照?qǐng)D2,提出本發(fā)明一實(shí)施例的實(shí)現(xiàn)流過(guò)濾的方法��,包括步驟201�����,將網(wǎng)絡(luò)設(shè)備所接收的報(bào)文與ACL相匹配��,獲取匹配ACE的限速標(biāo)識(shí)值���;步驟202,根據(jù)限速標(biāo)識(shí)值選擇對(duì)報(bào)文執(zhí)行允許通過(guò)�、丟棄或限速操作。其中��,步驟202根據(jù)限速標(biāo)識(shí)值對(duì)報(bào)文執(zhí)行允許通過(guò)、丟棄或限速操作采用雙速 率三色標(biāo)記算法�,包括當(dāng)限速標(biāo)識(shí)值為0,PIR/CIR/CBS/PBS全部設(shè)置為最大值���,允許報(bào)文通過(guò)���;當(dāng)限速標(biāo)識(shí)值為1,PIR/CIR/CBS/PBS全部設(shè)置為0���,丟棄報(bào)文����;當(dāng)限速標(biāo)識(shí)值為除0和1以外的其它值����,根據(jù)限速流量設(shè)置PIR/CIR/CBS/PBS,對(duì) 報(bào)文限速�。
下面,詳細(xì)說(shuō)明該方法的具體實(shí)施步驟在數(shù)據(jù)通信領(lǐng)域�����,路由器����、交換機(jī)等網(wǎng)絡(luò)設(shè)備使用基于NP的ACL�,NP將網(wǎng)絡(luò)任務(wù)劃 分為控制面和數(shù)據(jù)面兩個(gè)層次����,控制面負(fù)責(zé)非實(shí)時(shí)性的管理和策略控制任務(wù),數(shù)據(jù)面負(fù)責(zé) 承載高速多變的數(shù)據(jù)分組處理��。ACL預(yù)先寫(xiě)入NP��,不同廠商的網(wǎng)絡(luò)設(shè)備��,其ACL的設(shè)定規(guī)則 不同�,網(wǎng)絡(luò)管理員負(fù)責(zé)在操作界面依照ACL設(shè)定規(guī)則設(shè)置規(guī)則,而底層NP會(huì)根據(jù)已經(jīng)設(shè)置 好的ACL執(zhí)行相應(yīng)的微碼指令����。本發(fā)明的NP在設(shè)計(jì)時(shí),定義了限速標(biāo)識(shí)���,限速標(biāo)識(shí)值可以為0���,1和除0和1以外 的其它值�,由網(wǎng)絡(luò)管理員根據(jù)報(bào)文特征在操作界面進(jìn)行設(shè)置�����,網(wǎng)絡(luò)管理員先申請(qǐng)一個(gè)限速 標(biāo)識(shí)��,對(duì)申請(qǐng)的限速標(biāo)識(shí)配置相應(yīng)的PIR/CIR/CBS/PBS����,再為該限速標(biāo)識(shí)設(shè)置一條ACE�,指 定與該限速標(biāo)識(shí)相匹配的報(bào)文特征,例如網(wǎng)絡(luò)管理員發(fā)現(xiàn)源地址為192. 168. 0. 10的用戶 發(fā)送大量的攻擊報(bào)文到網(wǎng)絡(luò)設(shè)備�����,需要屏蔽該用戶的流量���,則設(shè)置一條ACE���,該ACE的匹配 條件為源地址為192. 168.0. 10,動(dòng)作為指定限速標(biāo)識(shí)值=1����。因此當(dāng)報(bào)文進(jìn)入網(wǎng)絡(luò)設(shè)備時(shí), NP發(fā)現(xiàn)某報(bào)文特征與該ACE相匹配時(shí)���,即該報(bào)文的源地址為192. 168. 0. 10時(shí)��,NP獲取到該 報(bào)文的限速標(biāo)識(shí)值1�����。同樣��,根據(jù)已經(jīng)設(shè)置好的ACL���,每一條進(jìn)入網(wǎng)絡(luò)設(shè)備的報(bào)文�����,NP將會(huì)將該報(bào)文與 ACL相匹配���,獲取每一報(bào)文的限速標(biāo)識(shí)值,通過(guò)上述方法我們實(shí)際上將所有進(jìn)入網(wǎng)絡(luò)設(shè)備的 報(bào)文進(jìn)行了分類�����,貼上了不同的限速標(biāo)識(shí)標(biāo)簽限速標(biāo)識(shí)0�,限速標(biāo)識(shí)1和其它除0和1以 外的限速標(biāo)識(shí)值。網(wǎng)絡(luò)管理員可以選擇根據(jù)何種報(bào)文特征進(jìn)行分類����,擴(kuò)展ACL允許網(wǎng)絡(luò)管理員依據(jù) 報(bào)文源地址、目的地址�����、源端口�、目的端口和協(xié)議以及在特定報(bào)文字段中的特殊位等的其中 一種或幾種進(jìn)行分類。NP對(duì)分流后報(bào)文的限速標(biāo)識(shí)值進(jìn)行判斷���,根據(jù)限速標(biāo)識(shí)值執(zhí)行不同動(dòng)作允許通 過(guò)�、丟棄或限速���,以上動(dòng)作采用雙速率三色標(biāo)記算法完成�����,包括當(dāng)限速標(biāo)識(shí)值為0時(shí)��,PIR/CIR/CBS/PBS全部設(shè)置為最大值��,允許報(bào)文通過(guò)��;當(dāng)限速標(biāo)識(shí)值為1時(shí)�,PIR/CIR/CBS/PBS全部設(shè)置為0,丟棄報(bào)文����;當(dāng)限速標(biāo)識(shí)值為除0和1以外的其它值時(shí),根據(jù)限速流量設(shè)置PIR/CIR/CBS/PBS���, 對(duì)報(bào)文限速��。以上PIR/CIR/CBS/PBS的參數(shù)是預(yù)先設(shè)置好的���,限速標(biāo)識(shí)值為0和1時(shí)的PIR/ CIR/CBS/PBS為NP默認(rèn)值,限速標(biāo)識(shí)值為0時(shí)�,PIR/CIR/CBS/PBS為最大值,允許報(bào)文通過(guò)�����, 限速標(biāo)識(shí)值為1時(shí)����,PIR/CIR/CBS/PBS全部為0,報(bào)文被丟棄����,而除0和1以外的其它限速 標(biāo)識(shí)值可由網(wǎng)絡(luò)管理員根據(jù)需要預(yù)先設(shè)置相應(yīng)的PIR/CIR/CBS/PBS參數(shù)���,在上述案例中, 網(wǎng)絡(luò)管理員需要屏蔽來(lái)自源地址為192. 168. 0. 10的報(bào)文時(shí)�����,已經(jīng)設(shè)定一條ACE����,當(dāng)報(bào)文源 地址為192. 168. 0. 10時(shí)����,限速標(biāo)識(shí)值設(shè)置為1,而限速標(biāo)識(shí)值為1時(shí)NP的默認(rèn)設(shè)置是PIR/ CIR/CBS/PBS全部為0����。那么NP在收到報(bào)文后,如果獲取該報(bào)文的限速標(biāo)識(shí)值為1�����,則將該 報(bào)文的PIR/CIR/CBS/PBS全部配置為0�,從而丟棄該報(bào)文。本發(fā)明實(shí)現(xiàn)允許報(bào)文通過(guò)以及報(bào)文限速的方法與背景技術(shù)無(wú)異,不再贅述�。綜上所述,本發(fā)明的方法使用一個(gè)限速標(biāo)識(shí)��,就可以完成允許通過(guò)����、丟棄和限速, 將原來(lái)丟棄和限速合二為一�����,大大地節(jié)約了微碼空間����。如圖3,本發(fā)明提供另一實(shí)施例的實(shí)現(xiàn)流過(guò)濾的裝置20���,包括
流分類單元21����,將網(wǎng)絡(luò)設(shè)備所接收的報(bào)文與ACL相匹配�,獲取匹配ACE的限速標(biāo)識(shí) 值;限速單元22�����,判斷限速標(biāo)識(shí)值,根據(jù)限速標(biāo)識(shí)值選擇對(duì)報(bào)文執(zhí)行允許通過(guò)�、丟棄或 限速操作。其中���,上述限速單元22采用雙速率三色標(biāo)記算法進(jìn)行限速�,包括當(dāng)限速標(biāo)識(shí)值為0��,PIR/CIR/CBS/PBS全部設(shè)置為最大值����,允許報(bào)文通過(guò)����;
當(dāng)限速標(biāo)識(shí)值為1,PIR/CIR/CBS/PBS全部設(shè)置為0����,丟棄報(bào)文;當(dāng)限速標(biāo)識(shí)值為除0和1以外的其它值�,根據(jù)限速流量設(shè)置PIR/CIR/CBS/PBS,對(duì) 報(bào)文限速����。下面詳細(xì)說(shuō)明本裝置20的工作原理如圖4����,本發(fā)明的NP在設(shè)計(jì)時(shí)����,定義了限速標(biāo)識(shí),限速標(biāo)識(shí)值可以為0����,1和除0和 1以外的其它值,由網(wǎng)絡(luò)管理員根據(jù)報(bào)文特征在操作界面進(jìn)行設(shè)置�,網(wǎng)絡(luò)管理員先申請(qǐng)一 個(gè)限速標(biāo)識(shí),對(duì)申請(qǐng)的限速標(biāo)識(shí)配置相應(yīng)的PIR/CIR/CBS/PBS���,再為該限速標(biāo)識(shí)設(shè)置一條 ACE��,指定與該限速標(biāo)識(shí)值相匹配的報(bào)文特征�,如網(wǎng)絡(luò)管理員發(fā)現(xiàn)源地址為192. 168. 0. 30 的用戶發(fā)送大量的攻擊報(bào)文到網(wǎng)絡(luò)設(shè)備����,需要屏蔽該用戶的流量,則設(shè)置一條ACE��,該ACE 的匹配條件為源地址為192. 168. 0. 30,動(dòng)作為指定限速標(biāo)識(shí)值=1�。因此當(dāng)報(bào)文進(jìn)入網(wǎng)絡(luò) 設(shè)備時(shí),流分類單元21對(duì)報(bào)文進(jìn)行識(shí)別并分類�,當(dāng)流分類單元21發(fā)現(xiàn)某報(bào)文特征與該ACE 相匹配時(shí),即該報(bào)文的源地址為192. 168. 0. 30時(shí)�,獲取該報(bào)文的限速標(biāo)識(shí)值1。同樣��,根據(jù)已經(jīng)設(shè)置好的ACL�,每一條進(jìn)入網(wǎng)絡(luò)設(shè)備的報(bào)文,流分類單元21將會(huì)將 該報(bào)文與ACL相匹配����,獲取每一報(bào)文的限速標(biāo)識(shí)值,通過(guò)上述方法我們實(shí)際上將所有進(jìn)入 網(wǎng)絡(luò)設(shè)備的報(bào)文進(jìn)行了分類�����,貼上了不同的限速標(biāo)識(shí)標(biāo)簽限速標(biāo)識(shí)0���,限速標(biāo)識(shí)1和其它 除0和1以外的限速標(biāo)識(shí)值。網(wǎng)絡(luò)管理員可以選擇根據(jù)何種報(bào)文特征進(jìn)行分類���,擴(kuò)展ACL允許網(wǎng)絡(luò)管理員依據(jù) 報(bào)文源地址����、目的地址、源端口�、目的端口和協(xié)議以及在特定報(bào)文字段中的特殊位等的其中 一種或幾種進(jìn)行分類。限速單元22對(duì)分流后報(bào)文的限速標(biāo)識(shí)值進(jìn)行判斷�����,根據(jù)限速標(biāo)識(shí)值執(zhí)行不同動(dòng) 作允許通過(guò)��、丟棄或限速��,以上動(dòng)作采用雙速率三色標(biāo)記算法完成�����,包括當(dāng)限速標(biāo)識(shí)值為0時(shí)��,PIR/CIR/CBS/PBS全部設(shè)置為最大值����,允許報(bào)文通過(guò);當(dāng)限速標(biāo)識(shí)值為1時(shí)�,PIR/CIR/CBS/PBS全部設(shè)置為0,丟棄報(bào)文���;當(dāng)限速標(biāo)識(shí)值為除0和1以外的其它值時(shí)���,根據(jù)限速流量設(shè)置PIR/CIR/CBS/PBS����, 對(duì)報(bào)文限速���。以上PIR/CIR/CBS/PBS的參數(shù)是預(yù)先設(shè)置好的�,限速標(biāo)識(shí)值為0和1時(shí)的PIR/ CIR/CBS/PBS為系統(tǒng)默認(rèn)值���,限速標(biāo)識(shí)值為0時(shí)��,PIR/CIR/CBS/PBS為最大值����,允許報(bào)文通 過(guò)����,限速標(biāo)識(shí)值為1時(shí)�,PIR/CIR/CBS/PBS全部為0,報(bào)文被丟棄�����,而除0和1以外的其它限 速標(biāo)識(shí)值可由網(wǎng)絡(luò)管理員根據(jù)需要設(shè)置相應(yīng)的PIR/CIR/CBS/PBS參數(shù),在上述案例中����,網(wǎng) 絡(luò)管理員需要屏蔽來(lái)自源地址為192. 168. 0. 30的報(bào)文時(shí),已經(jīng)設(shè)定一條ACE�,當(dāng)報(bào)文源地 址為192. 168. 0. 30時(shí),限速標(biāo)識(shí)值設(shè)置為1���,而限速標(biāo)識(shí)值為1時(shí)NP默認(rèn)CIR/PIR/CBS/PBS 全部為0��。那么限速單元22在收到報(bào)文后����,如果獲取某報(bào)文的限速標(biāo)識(shí)值為1���,則將該報(bào)文 的PIR/CIR/CBS/PBS全部配置為0����,從而丟棄該報(bào)文��。
本發(fā)明實(shí)現(xiàn)允許報(bào)文通過(guò)以及報(bào)文限速都是在限速單元完成���,與現(xiàn)有技術(shù)無(wú)異�,不再贅述。綜上所述���,本發(fā)明提供的實(shí)現(xiàn)流過(guò)濾的裝置20�,將現(xiàn)有技術(shù)中的限速單元和丟棄 單元集成在一個(gè)限速單元22�����,通過(guò)將PIR/CIR/PBS/CBS全部設(shè)置為0����,丟棄報(bào)文,將PIR/ CIR/PBS/CBS設(shè)置為其它限速流量�����,則對(duì)報(bào)文限速或允許通過(guò)��,充分利用了雙速率三色標(biāo)識(shí) 算法�����,大大節(jié)約了 NP微碼空間和表項(xiàng)空間���。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例�����,并非因此限制本發(fā)明的專利范圍�,凡是利用 本發(fā)明說(shuō)明書(shū)及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換����,或直接或間接運(yùn)用在其他相關(guān) 的技術(shù)領(lǐng)域,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)���。
權(quán)利要求
一種實(shí)現(xiàn)流過(guò)濾的方法��,其特征在于��,包括步驟將網(wǎng)絡(luò)設(shè)備所接收的報(bào)文與訪問(wèn)控制列表相匹配���,獲取匹配訪問(wèn)控制列表規(guī)則的限速標(biāo)識(shí)值;根據(jù)所述限速標(biāo)識(shí)值選擇對(duì)所述報(bào)文執(zhí)行允許通過(guò)�����、丟棄或限速操作。
2.如權(quán)利要求1所述的方法����,其特征在于,所述步驟根據(jù)所述限速標(biāo)識(shí)值對(duì)所述報(bào)文 執(zhí)行允許通過(guò)��、丟棄或限速操作采用雙速率三色標(biāo)記算法��,包括當(dāng)限速標(biāo)識(shí)值為0���,PIR/CIR/CBS/PBS全部設(shè)置為最大值���,允許報(bào)文通過(guò);當(dāng)限速標(biāo)識(shí)值為1�,PIR/CIR/CBS/PBS全部設(shè)置為0,丟棄報(bào)文�����;當(dāng)限速標(biāo)識(shí)值為除0和1以外的其它值��,根據(jù)限速流量設(shè)置PIR/CIR/CBS/PBS�����,則對(duì)報(bào) 文限速。
3.如權(quán)利要求1或2所述的方法�,其特征在于,所述報(bào)文與訪問(wèn)控制列表相匹配是判 斷網(wǎng)絡(luò)設(shè)備所接收?qǐng)?bào)文的報(bào)文特征與訪問(wèn)控制列表規(guī)則的條件部分是否一致����,是則匹配成 功�,否則不匹配。
4.如權(quán)利要求3所述的方法�����,其特征在于����,所述報(bào)文特征包括報(bào)文源地址、目的地址���、 源端口����、目的端口和/或協(xié)議�。
5.一種實(shí)現(xiàn)流過(guò)濾的裝置,其特征在于�����,包括流分類單元,將網(wǎng)絡(luò)設(shè)備所接收的報(bào)文與訪問(wèn)控制列表相匹配���,獲取匹配訪問(wèn)控制列 表規(guī)則的限速標(biāo)識(shí)值��;限速單元�,判斷限速標(biāo)識(shí)值�����,根據(jù)所述限速標(biāo)識(shí)值選擇對(duì)所述報(bào)文執(zhí)行允許通過(guò)�、丟棄 或限速操作。
6.如權(quán)利要求5所述的裝置�,其特征在于,所述限速單元采用雙速率三色標(biāo)記算法進(jìn) 行限速���,包括當(dāng)限速標(biāo)識(shí)值為0�,PIR/CIR/CBS/PBS全部設(shè)置為最大值�����,允許報(bào)文通過(guò)當(dāng)限速標(biāo)識(shí)值為1���,PIR/CIR/CBS/PBS全部設(shè)置為0��,丟棄報(bào)文���;當(dāng)限速標(biāo)識(shí)值為除0和1以外的其它值���,根據(jù)限速流量設(shè)置PIR/CIR/CBS/PBS�,對(duì)報(bào)文 限速。
7.如權(quán)利要求5或6所述的裝置�����,其特征在于�,所述報(bào)文與訪問(wèn)控制列表相匹配是判 斷網(wǎng)絡(luò)設(shè)備所接收?qǐng)?bào)文的報(bào)文特征與訪問(wèn)控制列表規(guī)則的條件部分是否一致,是則匹配成 功��,否則不匹配�����。
8.如權(quán)利要求7所述的裝置�,其特征在于,所述報(bào)文特征包括報(bào)文源地址��、目的地址、 源端口�、目的端口和/或協(xié)議。
全文摘要
本發(fā)明揭示了一種實(shí)現(xiàn)流過(guò)濾的方法和裝置���,所述方法包括步驟將網(wǎng)絡(luò)設(shè)備所接收的報(bào)文與訪問(wèn)控制列表相匹配���,獲取匹配訪問(wèn)控制列表規(guī)則的限速標(biāo)識(shí)值;根據(jù)所述限速標(biāo)識(shí)值選擇對(duì)所述報(bào)文執(zhí)行允許通過(guò)�、丟棄或限速操作。所述步驟根據(jù)所述限速標(biāo)識(shí)值對(duì)所述報(bào)文執(zhí)行允許通過(guò)�����、丟棄或限速操作采用雙速率三色標(biāo)記算法����,包括當(dāng)限速標(biāo)識(shí)值為0,PIR/CIR/CBS/PBS全部設(shè)置為最大值���,允許報(bào)文通過(guò)���;當(dāng)限速標(biāo)識(shí)值為1,PIR/CIR/CBS/PBS全部設(shè)置為0��,丟棄報(bào)文;當(dāng)限速標(biāo)識(shí)值為除0和1以外的其它值��,根據(jù)限速流量設(shè)置PIR/CIR/CBS/PBS����,對(duì)報(bào)文限速。該方法和裝置通過(guò)將限速動(dòng)作和丟棄動(dòng)作合二為一�,壓縮訪問(wèn)控制列表表項(xiàng)空間,達(dá)到節(jié)約網(wǎng)絡(luò)處理器微碼空間的目的��。
文檔編號(hào)H04L29/06GK101834785SQ20101014607
公開(kāi)日2010年9月15日 申請(qǐng)日期2010年4月7日 優(yōu)先權(quán)日2010年4月7日
發(fā)明者姜海明, 孔玲麗, 李江衛(wèi) 申請(qǐng)人:中興通訊股份有限公司