本发明专利技术揭示了一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置,所述默认策略路由的查找匹配关键字配置为至少包括源IP地址和路由匹配状态,路由匹配状态根据网络芯片进行路由查找后的查找结果得到,默认策略路由的匹配优先级小于明确路由的匹配优先级。本发明专利技术通过对ACL匹配关键字的匹配能力进行增强来实现默认策略路由,在不影响现有路由和PBR技术的芯片设计的前提下,通过将Default PBR部署在数据中心出口网关设备上,能够满足私网服务器与公网服务器之间的正常访问。
【技术实现步骤摘要】
一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置
本专利技术涉及一种默认策略路由实现
,尤其是涉及一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置。
技术介绍
PBR(PolicyBasedRouting)是一种策略路由技术,PBR支持匹配数据流的源IP地址进行转发。与基于目的IP地址的传统路由转发技术不同,PBR策略路由是基于源IP地址转发,PBR匹配优先级高于传统IP路由技术。因此,在和传统路由表项混合部署的情况下,会优先匹配PBR策略路由转发。PBR其中一种典型的应用场景是利用PBR实现安全过滤,针对攻击的者的特征IP地址在网络设备上下发PBR表项对攻击者流量执行丢弃处理。因此,并不需要调整其它的业务相关的路由表项和FDB表项,通过PBR执行安全策略能够在降低现网业务和设备表项的影响。PBR另一种应用场景是数据中心出口网关,该网关设备需要为数据中心内部服务器提供访问外网的能力,以及为数据中心内部服务器提供私网地址访问能力。由于公网IP地址数量巨大,如果全部下发到该出口网关设备上,则需要下发几十万条路由表项,因此,对设备的路由表压力巨大,无法直接基于IPDA(目的IP地址)的传统路由技术满足该需求。但是,在实际应用过程中,需要针对不同网段的服务器在访问公网时打上不同的VLANTag(虚拟局域网标识),因此,可借助PBR技术来匹配源IP网段地址进行转发并编辑不同的VLANTag。在现有的实现PBR的芯片方案中,是通过ACL(AccessControlList,访问控制列表)实现PBR策略路由,具体是通过将一部分ACLTCAM资源预留给PBR使用,将ACL表项的Key配置为匹配源IP即可。但是上述方案带来的问题是:基于源IP的ACL无法直接满足DefaultPBR(默认策略路由)的需求。如图1所示,在数据中心内部服务器IP-A访问公网IP-B和私网服务器IP-C,在该网关设备上下发匹配源IP-A的PBR表项,且该PBR表项匹配结果是执行访问公网IP-B的操作。在该网关设备上下发匹配目的IP-C的路由表项,且该路由表项匹配结果是执行访问私网IP-C的操作。当IP-A服务器发出两种数据流:一是IP-A到IP-B的数据报文的源IP为IP-A,目的IP为IP-B,二是IP-A到IP-C的数据报文的源IP为IP-A,目的IP为IP-C。在网关设备上下发的Key(关键字)为IP-A的PBR表项,不仅会匹配IP-A到IP-B的数据报文,还会匹配IP-A到IP-C的数据报文,导致将IP-A到IP-C的数据报文错误的转到公网IP-B。因此,在数据中心出口网关设备上,还需要区分对于访问内网服务器的地址的流量需要执行基于IPDA路由转发,不能被PBR策略匹配,所以,传统的PBR技术无法直接满足该需求。
技术实现思路
本专利技术的目的在于克服现有技术的缺陷,提供一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置。为实现上述目的,本专利技术提出如下技术方案:一种默认策略路由的芯片实现方法,包括:所述默认策略路由的查找匹配关键字配置为至少包括源IP地址和路由匹配状态,所述路由匹配状态根据网络芯片进行路由查找后的查找结果得到,所述默认策略路由的匹配优先级小于明确路由的匹配优先级。优选地,所述默认策略路由通过复用ACL表项实现。本专利技术还提出另外一种技术方案:一种基于默认策略路由的数据报文的芯片处理方法,包括:S200,芯片对接收到的数据报文进行路由查找,根据查找结果对报文进行相应的处理,并由查找结果得到路由匹配状态;S300,芯片将数据报文的源IP地址和所述路由匹配状态作为默认策略路由的匹配关键字,对数据报文进行默认策略路由查找,若不匹配,则进入S400;S400,芯片对数据报文进行策略路由查找,若匹配,则根据策略路由查找结果对报文进行转发下一跳处理。优选地,在步骤S200之前,所述方法还包括:S100,芯片对接收到的数据报文进行解析,解析得到报文匹配信息,所述报文匹配信息至少包括源IP地址和目的IP地址。优选地,所述S200包括:S201,将数据报文的目的IP地址作为路由查找关键字,并进行路由查找,若查找结果是匹配明细路由,则执行明细路由的转发下一跳处理,若查找结果是匹配默认路由,则进入S202;S202,将数据报文执行默认路由的转发下一跳处理,并将查找得到的路由匹配状态用作默认策略路由查找。优选地,步骤S300中,若匹配默认策略路由,则按照默认策略路由转发下一跳处理。优选地,路由查找的默认路由查找优先级<默认策略路由的查找优先级<路由查找的明细路由查找优先级<策略路由的查找优先级。优选地,步骤S400中,芯片将数据报文的源IP地址作为查找关键字进行策略路由查找,若匹配,则根据策略路由查找结果对报文进行转发下一跳处理。本专利技术还提出另外一种技术方案:一种基于默认策略路由的数据报文的芯片处理装置,包括:路由查找模块,用于对接收到的数据报文进行路由查找,根据查找结果对报文进行相应的处理,并由查找结果得到路由匹配状态;默认策略路由匹配模块,用于将数据报文的源IP地址和所述路由匹配状态作为默认策略路由的匹配关键字,对数据报文进行默认策略路由查找;策略路由匹配模块,用于对数据报文进行策略路由查找,并根据策略路由查找结果对报文进行转发下一跳处理。优选地,所述装置还包括:报文解析模块,用于对接收到的数据报文进行解析,解析得到报文匹配信息,所述报文匹配信息至少包括源IP地址和目的IP地址。优选地,所述路由查找模块的默认路由查找优先级<默认策略路由匹配模块的查找优先级<路由查找模块的明细路由查找优先级<策略路由匹配模块的查找优先级。本专利技术的有益效果是:1、本专利技术通过对ACL匹配关键字的匹配能力进行增强来实现默认策略路由(DefaultPBR),在不影响现有路由和PBR技术的芯片设计的前提下,通过将DefaultPBR部署在数据中心出口网关设备上,能够满足私网服务器与公网服务器之间的正常访问。2、本专利技术通过复用ACL表项实现DefaultPBR,简化了DefaultPBR的实现,从而简化了网络交换芯片的逻辑设计,降低对现网设备的软硬件升级的影响及部署的难度。附图说明图1是现有公网服务器和私网服务器之间访问的原理示意图;图2是本专利技术公网服务器和私网服务器之间访问的原理示意图;图3、图4均是本专利技术数据报文的芯片处理方法的流程示意图;图5是本专利技术数据报文的芯片处理装置的结构框图。具体实施方式下面将结合本专利技术的附图,对本专利技术实施例的技术方案进行清楚、完整的描述。本专利技术所揭示的一种默认策略路由的芯片实现方法、数据报文的芯片处理方法及装置,在不影响现有路由技术和PBR技术的芯片设计的前提下,通过对ACL匹配关键字的匹配能力进行增强来实现默认策略路由,本文档来自技高网...
【技术保护点】
1.一种默认策略路由的芯片实现方法,其特征在于,所述方法包括:所述默认策略路由的查找匹配关键字配置为至少包括源IP地址和路由匹配状态,所述路由匹配状态根据网络芯片进行路由查找后的查找结果得到,所述默认策略路由的匹配优先级小于明确路由的匹配优先级。/n
【技术特征摘要】
1.一种默认策略路由的芯片实现方法,其特征在于,所述方法包括:所述默认策略路由的查找匹配关键字配置为至少包括源IP地址和路由匹配状态,所述路由匹配状态根据网络芯片进行路由查找后的查找结果得到,所述默认策略路由的匹配优先级小于明确路由的匹配优先级。
2.根据权利要求1所述的一种默认策略路由的芯片实现方法,其特征在于,所述默认策略路由通过复用ACL表项实现。
3.一种基于默认策略路由的数据报文的芯片处理方法,其特征在于,所述方法包括:
S200,芯片对接收到的数据报文进行路由查找,根据查找结果对报文进行相应的处理,并由查找结果得到路由匹配状态;
S300,芯片将数据报文的源IP地址和所述路由匹配状态作为默认策略路由的匹配关键字,对数据报文进行默认策略路由查找,若不匹配,则进入S400;
S400,芯片对数据报文进行策略路由查找,若匹配,则根据策略路由查找结果对报文进行转发下一跳处理。
4.根据权利要求3所述的数据报文的芯片处理方法,其特征在于,在步骤S200之前,所述方法还包括:
S100,芯片对接收到的数据报文进行解析,解析得到报文匹配信息,所述报文匹配信息至少包括源IP地址和目的IP地址。
5.根据权利要求3或4所述的数据报文的芯片处理方法,其特征在于,所述S200包括:
S201,将数据报文的目的IP地址作为路由查找关键字,并进行路由查找,若查找结果是匹配明细路由,则执行明细路由的转发下一跳处理,若查找结果是匹配默认路由,则...
【专利技术属性】
技术研发人员:成伟,王俊杰,
申请(专利权)人:盛科网络苏州有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。