一种配置转发表项的方法及装置与流程

1.本申请涉及通信技术，特别涉及一种配置转发表项的方法及装置。


背景技术：

2.微分段(microsegment)是一种基于精细分组的安全隔离转发技术，通过分组后的组标识来进行流量控制。譬如,将数据中心网络中的服务器按照一定的原则进行分组，然后基于分组来部署流量控制策略，从而达到简化运维、安全管控的目的。
3.通信设备收到报文后，根据最长匹配原则报文查找源ip地址对应的fib表项，获取源端对应的微分段，再根据最长匹配原则报文，查找目的ip地址对应的fib表项，获取目的端对应的微分段，然后根据查找到的源微分段和目的微分段查找匹配的acl(access control list,接入控制列表)表项获取流量控制策略，根据匹配的acl动作对报文进行转发处理动作，从而实现按照分组进行流量控制策略的控制。因而，对于源端和目的端之间反方向流量，设备上还需另外配置一个源微分段和目的微分段互为相反接入控制表项。
4.在图1所示的微分段技术应用网络场景，leaf1的转发芯片中，源端微分段表需要占用6条tcam资源就全网内每个ip地址对应的微分段，其中包括：ip1和ip2各自与微分段sga的关系ip1—>sga和ip2
→
sga；ip3和ip4各自与微分段sgb的关系p3—>sgb和ip4
→
sgb；以及存储ip5和ip6各自与微分段sgc的关系ip5—>sgc和ip6
→
sgc；转发芯片的目的端微分段表需要占用6条tcam(ternary content addressable memory，三态内容可寻址存储器)资源分别存储ip1和ip2各自与微分段sga的关系：ip1—>sga和ip2
→
sga；存储ip3和ip4各自与微分段sgb的关系：ip3—>sgb和ip4
→
sgb；以及存储ip5和ip6各自与微分段sgc的关系：ip5—>sgc和ip6
→
sgc；占用9条tcam资源分别存储3个同组微分段的转发策略表项sga—>sga、sgb—>sgb和sgc—>sgc，这三个转发策略表项中源微分段匹配项与目的微分段匹配项对应同一个微分段；以及6个异组微分段转发策略表项，譬如：,sga—>sgb、sga—>sgc、sgb—>sga、sgb—>sgb、sgb—>sgc、sgc—>sga、sgc—>sgb和sgc—>sgc，这6个转发策略表项中，源微分段匹配项与目的微分段匹配项对应不同微分段。leaf1的转发芯片上消耗21条tcam资源。同样地，leaf2的转发芯片上需要消耗同样数量的tcam资源。
5.但是，随着网络设备内的用户增加，用户间的业务流量增加以及不同微分段减用户的流量控制的策略变化，通信设备的转发芯片的存储器上没有充分的存储资源用于微分段处理以及其他硬件转发所需的硬件转发表项。


技术实现要素：

6.本申请的目的在于提供一种配置转发表项的方法及装置，根据网络流量触发微分段转发硬件表项的配置，节约硬件转发资源。
7.为实现上述目的，本申请提供了一种配置转发表项的方法，该方法包括：根据已接收报文的源ip地址查找硬件源端微分段表；当在硬件源端微分段表未查找到源ip地址对应的源端微分段时，根据源ip地址查找软件源端微分段表；将软件源端微分段表中源ip地址
对应的源端微分段同步到硬件源端微分段表；为软件源端微分段表中源ip地址设置已同步标识；在软件转发策略表中，设置源端微分段作为源微分段匹配项的转发策略的源配置标识。
8.为实现上述目的，本申请还提供了一种配置转发表项的装置，该装置包括：转发模块，根据已接收报文的源ip地址在硬件表项存储模块存储的硬件源端微分段表进行查找，在硬件源端微分段表未查找到源ip地址对应的源端微分段将已接收到的报文发往表项同步模块；表项同步模块，用于根据源ip地址在软件表项存储模块存储的软件源端微分段表进行查找，将软件源端微分段表中源ip地址对应的源端微分段同步到硬件源端微分段表；为软件源端微分段表中源ip地址设置已同步标识；在软件转发策略表中，设置源端微分段作为源微分段匹配项的转发策略表项的源配置标识。
9.本申请的有益效果在于，根据网络流量中触发配置用于微分段转发的硬件表项，实现了可以流量按需触发，避免了设备的硬件资源消耗过多问题，节省了转发芯片的硬件存储资源。
附图说明
10.图1所示微分段技术应用网络场景示意图；
11.图2所示为本申请提供的配置转发表项方法的流程图；
12.图3所示为本申请提供的第一报文转发实施例流程图；
13.图4所示为本申请提供的第二报文转发实施例的流程图；
14.图5所示为本申请提供的第三报文转发实施例的流程图；
15.图6所示为本申请提供的第四报文转发实施例的流程图；
16.图7所示为本申请提供的配置转发表项的装置示意图。
具体实施方式
17.将以多个附图所示的多个例子进行详细说明。在以下详细描述中，多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路，以免使这些例子的难于理解。
18.使用的术语中，术语“包括”表示包括但不限于；术语“含有”表示包括但不限于；术语“以上”、“以内”以及“以下”包含本数；术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
19.图2所示为本申请提供的配置转发表项的方法实施例的流程图，该方法包括：
20.步骤201，根据已接收报文的源ip地址查找硬件源端微分段表；
21.步骤202，当在硬件源端微分段表未查找到源ip地址对应的源端微分段时，根据源ip地址查找软件源端微分段表；
22.步骤203，将软件源端微分段表中源ip地址对应的源端微分段同步到硬件源端微分段表；
23.步骤204，为软件源端微分段表中源ip地址设置已同步标识；
24.步骤205在软件转发策略表中，设置源端微分段作为源微分段匹配项的转发策略表项的源配置标识。
25.图2所示方法实施例的有益效果在于，根据网络流量中触发配置用于微分段转发的硬件表项，实现了可以流量按需触发，避免了设备的硬件资源消耗过多问题，节省了转发芯片的硬件存储资源。
26.图3所示为本申请提供的报文转发实施例，以下结合图2对图3所示实施例进行说明。如表1所示，leaf1中，软件源端微分段表记录了全网内每个ip地址对应的微分段，软件目的端微分段表记录了全网内每个ip地址对应的微分段；软件转发策略表记录的包括3个同组微分段转发策略表项以及6个异组微分段转发策略表项；其中，每个同组微分段转发策略表项中，源微分段匹配项与目的微分段匹配项对应同一个微分段；每个异组微分段转发策略表项中，源微分段匹配项与目的微分段匹配项对应不同微分段。
[0027][0028]
表1
‑1[0029]
步骤301，在硬件源端微分段表未查找到源ip地址对应的源端微分段。
[0030]
leaf1收到来自ip1的用户发往ip2的用户的报文。leaf1根据已接收报文的源ip地址ip1查找硬件源端微分段表；在硬件源端微分段表未查找到源地址ip1对应的源端微分段。leaf1的转发芯片根据硬件源端为分段表的缺省acl表项，将报文拷贝发送到cpu。
[0031]
步骤302，在软件源端微分段表中查找源ip地址对应的源端微分段，将源ip地址对应的源端微分段同步到硬件源端微分段表，为软件源端微分段表中源ip地址设置已同步标识*。
[0032]
leaf1根据源ip地址ip1查找软件源端微分段表；将软件源端微分段表中源ip地址ip1对应的源端微分段sga同步到硬件源端微分段表；为软件源端微分段表中源ip地址设置已同步标识*。
[0033]
步骤303，在软件转发策略表中设置源端微分段作为源微分段匹配项的转发策略表项的源配置标识。
[0034]
leaf1在软件转发策略表中，设置源端微分段sga作为源微分段匹配项的3个转发策略表项的源配置标识*。
[0035]
步骤304，在软件目的端微分段表中查找目的ip地址对应的目的端微分段未设置已同步标识，将目的ip地址对应的目的端微分段同步到硬件目的端微分段表，为软件目的端微分段表中目的ip地址设置已同步标识。
[0036]
leaf1根据已接收报文的目的ip地址ip2查找软件源端微分段表。leaf1查找到软件目的端微分段表中目的ip地址ip2未设置已同步标识*，将软件目的端微分段表中目的ip
地址ip2对应的目的微分段sga同步到硬件目的端微分段表；为软件目的端微分段表中目的ip地址ip2设置已同步标识*。
[0037]
步骤305，在软件转发策略表中设置目的端微分段作为目的端微分段匹配项的转发策略表项的目的配置标识。
[0038]
leaf1在软件转发策略表中，设置目的端微分段sga作为目的微分段匹配项的3个转发策略表项的目的配置标识*。
[0039]
步骤306，将软件转发策略表中设置了源配置标识以及目的配置标识的转发策略表项同步到硬件转发策略表，并设置表项同步标识*。
[0040]
leaf1将软件转发策略表中设置了源配置标识*以及目的配置标识*的转发策略表项sga*—>sga*同步到硬件转发策略表，并设置表项同步标识。
[0041]
leaf1中，如表1
‑
2所示，软件源端微分段表的表项ip1设置了已同步标识*；软件目的端微分段表的表项ip2设置已同步标识*；软件转发策略表中，源端微分段sga作为源微分段匹配项的3个转发策略表项设置了源配置标识*，微分段sga作为目的微分段匹配项的3个转发策略表项设置了源配置标识*，sga*+sga*—>策略a*设置了表项同步标识。
[0042][0043]
表1
‑2[0044]
leaf1中，硬件源端微分段表、硬件目的端微分段表以及硬件转发策略表都同步了匹配表项，如表1
‑
3所示：
[0045][0046]
表1
‑3[0047]
步骤307，根据已接收报文的源ip地址的源端微分段以及目的ip地址的目的端微分段，在硬件转发策略表查找到匹配的转发策略表项，根据转发策略表项对已接收的报文进行转发控制
[0048]
leaf1根据硬件转发策略表中转发策略表项sga*+sga*—>策略a*对ip1用户发往ip2用户的报文进行转发控制。
[0049]
通过图3所示实施例可知，leaf1经由流量触发，只占用3条tcam资源，相较于现有方式极大地减少了占用的转发芯片的硬件资源
[0050]
图4所示为本申请提供的另一报文转发实施例的流程图，以下结合图2对图4进行说明。
[0051]
步骤401，在硬件源端微分段表查找到源ip地址对应的源端微分段。
[0052]
leaf1收到来自ip1的用户发往ip4用户的报文。leaf1根据源ip地址ip1，在表1
‑
3所示的硬件源端微分段表查找到源地址ip1对应的源端微分段ip1—>sga*。
[0053]
步骤402，在硬件目的端微分段表中未查找目的ip地址对应的目的端微分段，在软件目的端微分段表中查找目的ip地址对应的目的端微分段，将目的ip地址对应的目的端微分段同步到硬件目的端微分段表，为软件目的端微分段表中目的ip地址设置已同步标识。
[0054]
leaf1根据目的ip地址ip4，在表1
‑
3所示硬件目的端微分段表中未查找软件源端微分段表。leaf4的转发芯片根据缺省acl表项，将报文拷贝复制到cpu。leaf1的cpu查找到软件目的端微分段表中目的ip地址ip4未设置已同步标识*，将软件目的端微分段表中目的ip地址ip4对应的目的微分段sgb同步到硬件目的端微分段表，为软件目的端微分段表中目的ip地址ip4设置已同步标识*。
[0055]
步骤403，在软件转发策略表中设置目的端微分段作为目的端微分段匹配项的转发策略表项的目的配置标识。
[0056]
leaf1在软件转发策略表中，设置目的端微分段sgb作为源微分段匹配项的3个转发策略表项的源配置标识*
[0057]
步骤404，将软件转发策略表中设置了源配置标识以及目的配置标识的转发策略表项同步到硬件转发策略表，并设置表项同步标识。
[0058]
leaf1将软件转发策略表中设置了源配置标识*以及目的配置标识*的转发策略表项sga*—>sgb*同步到硬件转发策略表。
[0059]
leaf1中，如表1
‑
4所示，软件目的端微分段表的表项ip4设置已同步标识*；软件转发策略表中，微分段sgb作为目的微分段匹配项的3个转发策略表项设置了源配置标识*，sga*+sgb*—>策略d*设置了表项同步标识。
[0060][0061]
表1
‑4[0062]
leaf1中，如表1
‑
5所示，硬件目的端微分段表以及硬件转发策略表都同步了匹配表项：
[0063][0064]
表1
‑5[0065]
步骤405，根据硬件转发策略表中源端微分段以及目的端微分段匹配的转发策略表项，对已接收的报文进行转发控制。
[0066]
leaf1根据硬件转发策略表中转发策略表项sga*+sgb*—>策略d*对ip1用户发往ip4用户的报文进行转发控制。leaf1因流量触发，软件转发表项中的少量表项被同步为硬件转发表项，相比现有技术，极大地降低了被占用的转发芯片硬件资源。
[0067]
图5所示为本申请提供的又一报文转发实施例的流程图，以下结合图2对图5进行说明。
[0068]
步骤501，在硬件源端微分段表未查找源ip地址到对应的源端微分段。
[0069]
leaf1的转发芯片收到来自ip2的用户发往ip4的用户的报文，根据源ip地址ip2在表1
‑
5所示的硬件源端微分段表中未查找到源地址ip2对应的源端微分段，根据缺省表项将报文复制发送到cpu。
[0070]
步骤502，在软件源端微分段表中查找源ip地址对应的源端微分段，将源ip地址对应的源端微分段同步到硬件源端微分段表，为软件源端微分段表中源ip地址设置已同步标识。
[0071]
leaf1的cpu根据源ip地址ip2，在表104所示的软件源端微分段表中查找到源端微分段sga，同步到硬件源端微分段表，设置软件源端微分段表中ip2的同步标识*。
[0072]
步骤503，确定软件转发策略表中已经为源端微分段作为源微分段匹配项的转发策略表项配置了源配置标识。
[0073]
leaf1的cpu根据表1
‑
4所示的软件转发策略表中，微分段sga作为源微分段匹配项的3个转发策略表项都已配置有源配置标识*。
[0074]
leaf1中，如表1
‑
6所示，软件源端微分段表的表项中ip2设置了已同步标识*。软件转发策略表中，sga*+sgb*—>策略d*设置了目的配置标识以及表项同步标识。
[0075][0076]
表1
‑6[0077]
leaf1中，如表1
‑
7所示，硬件源端微分段表同步了源端微分段表项ip2
→
sga*。
[0078][0079]
表1
‑7[0080]
步骤504，确定软件目的端微分段表中目的ip地址对应的目的端微分段设置了已同步标识。
[0081]
leaf1的cpu根据表1
‑
6，确定软件源端微分段表中，表项ip4
→
sgb*设置了已同步标识*，则无需将该表项同步到硬件转发策略表。
[0082]
步骤505，确定软件转发策略表中设置目的端微分段作为目的端微分段匹配项的转发策略表项的目的配置标识
[0083]
leaf1的cpu根据表1
‑
6中软件转发策略表的策略表项sga*+sgb*—>策略d*，确定该表项已经设置了目的配置标识。
[0084]
步骤506，确定软件转发策略表中设置了源配置标识以及目的配置标识的转发策略表项配置了表项同步标识。
[0085]
leaf1的cpu点确定策略表项设置了源配置标识和目的配置标识的表项sga*+sgb*—>策略d*已设置了表项同步标识，则无需将其同步到硬件转发表中。
[0086]
步骤507，在硬件转发策略表中，查找到源端微分段以及目的端微分段匹配的转发策略表项，对已接收的报文进行转发控制。
[0087]
leaf1根据表1
‑
7中硬件转发策略表的转发策略表项sga*+sgb*—>策略d*对ip2用户发往ip4用户的报文进行转发控制
[0088]
图6所示为本申请提供的第四报文转发实施例的流程图，以下结合图2对图6进行说明。
[0089]
步骤601，在硬件源端微分段表查找到源ip地址对应的源端微分段。
[0090]
leaf1再次收到用户ip2发往用户ip4的报文时，根据源ip地址ip2在表1
‑
7所示的硬件源端微分段表，查找到源ip地址ip2对应sga。
[0091]
步骤602，在硬件目的端微分段表中查找目的ip地址对应的目的端微分段。
[0092]
leaf1根据目的ip地址ip4在表1
‑
7所示的硬件目的端微分段表，查找到目的ip地址ip4对应sgb。
[0093]
步骤603，在硬件转发策略表查找到源端微分段以及目的端微分段匹配的转发策略表项，根据转发策略表项对已接收的报文进行转发控制。
[0094]
leaf1根据源端微分段sga以及目的端微分段sgb在表1
‑
7所示的硬件转发策略表中，查找到转发策略表项sga*+sgb*—>策略d*，根据该表项对用户ip2发往用户ip4的报文进行转发控制。
[0095]
通过上述实施例可知，本申请实现了微分段硬件表项的按需同步功能，极大地节约了交换芯片中的硬件资源。
[0096]
以上方案虽然以leaf1为例进行了说明，但是leaf2设备可以根据相同的方式配置转发表项，按需触发微分段表项的同步，具体方式不再重复描述。
[0097]
图7所示为本申请提供的配置转发表项的装置700示意图。该装置可以应用为图1中leaf1。如图7所示，该装置700包括网络接口(图中未示),转发芯片710、cpu720以及存储器730。转发芯片710具有转发模块711以及存储硬件转发表项的存储模块712。cpu720具有表项同步模块721。
[0098]
转发模块711，根据已接收报文的源ip地址在存储模块712存储的硬件源端微分段表进行查找，在硬件源端微分段表未查找到源ip地址对应的源端微分段将已接收到的报文发往表项同步模块；
[0099]
表项同步模块721，用于根据源ip地址在软件表项存储模块存储的软件源端微分段表进行查找，将软件源端微分段表中源ip地址对应的源端微分段同步到硬件源端微分段表；为软件源端微分段表中源ip地址设置已同步标识；在软件转发策略表中，设置源端微分段作为源微分段匹配项的转发策略表项的源配置标识。
[0100]
表项同步模块721，还用于根据已接收的报文的目的ip地址查找软件目的端微分段表；当软件目的端微分段表中目的ip地址未设置已同步标识，将软件目的端微分段表中目的ip地址对应的目的微分段同步到硬件目的端微分段表；为软件目的端微分段表中目的ip地址设置已同步标识；在软件转发策略表中，设置目的微分段作为目的微分段匹配项的转发策略表项设置目的配置标识。
[0101]
转发模块711，还用于在硬件源端微分段表查找到源ip地址对应的源端微分段时，根据已接收的报文的目的ip地址在硬件表项存储模块存储的硬件目的端微分段表进行查找，当在硬件目的端微分段表未查找到目的ip地址对应的目的端微分段时将已接收到的报文发往表项同步模块；
[0102]
表项同步模块721，用于根据目的ip地址在软件表项存储模块存储的软件目的端微分段表进行查找，将软件目的端微分段表中目的ip地址对应的目的端微分段同步到硬件目的端微分段表；为软件目的端微分段表中目的ip地址设置已同步标识；在软件转发策略表中，设置目的微分段作为目的微分段匹配项的转发策略表项的目的配置标识。
[0103]
表项同步模块721，还用于将软件表项存储模块中软件转发策略表中设置了源配置标识以及目的配置标识的每个转发策略表项同步到硬件表项存储模块的硬件转发策略表。
[0104]
存储器730用于存储软件源端微分段表、软件目的端微分段表、以及软件转发策略表；软件源端微分段表记录了全网内每个ip地址对应的微分段；软件目的端微分段表记录了全网内每个ip地址对应的微分段；软件转发策略表记录的多个转发策略表项包括一个以上同组微分段转发策略表项以及一个以上异组微分段转发策略表项；其中，每个同组微分段转发策略表项中，源微分段匹配项与目的微分段匹配项对应同一个微分段；每个异组微分段转发策略表项中，源微分段匹配项与目的微分段匹配项对应不同微分段。
[0105]
以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。