技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)通信技術(shù)，特別涉及訪問控制列表（ACL）表項(xiàng)下發(fā)方法和裝置。

背景技術(shù)

近年來，數(shù)據(jù)中心正以前所未有的速度增長，當(dāng)前的數(shù)據(jù)中心通常運(yùn)行至少以下兩個(gè)獨(dú)立的網(wǎng)絡(luò)：以太網(wǎng)網(wǎng)絡(luò)（LAN）和光纖通道的存儲區(qū)域網(wǎng)絡(luò)（SAN），其中，LAN用于客戶機(jī)到服務(wù)器和服務(wù)器到服務(wù)器的通信；SAN用于服務(wù)器和存儲設(shè)備的通信。

為了支持?jǐn)?shù)據(jù)中心運(yùn)行的LAN和SAN，數(shù)據(jù)中心的服務(wù)器需為LAN和SAN配置單獨(dú)的接口，比如，服務(wù)器配置LAN的以太網(wǎng)網(wǎng)絡(luò)接口卡（NIC）和SAN的光纖通道主機(jī)總線適配器（HBA）。還有，為了同時(shí)為LAN提供服務(wù)并通過SAN網(wǎng)絡(luò)完成存儲功能，數(shù)據(jù)中心的服務(wù)器還需使用獨(dú)立的以太網(wǎng)卡和光纖通道協(xié)議（FC）網(wǎng)卡，分別連接以太網(wǎng)交換機(jī)（Ethernet?switch）和FC?switch，其中，Ethernet?switch和FC?switch，以及對應(yīng)的連接是相互獨(dú)立的，具體如圖1所示。這樣，會使得數(shù)據(jù)中心中存在較多的switch和線纜，造成設(shè)備投資及維護(hù)工作量都比較大，可擴(kuò)展性比較差。

光纖通道以太網(wǎng)承載協(xié)議（FCoE）可以很好的解決上述問題。FCoE原理是在以太網(wǎng)上承載流量，允許LAN和SAN的流量在同一個(gè)以太網(wǎng)中傳送。采用FCoE，數(shù)據(jù)中心的服務(wù)器只使用支持FCoE的網(wǎng)卡即可，并由支持FCoE的FCF（FCoE?Forwarder）switch同時(shí)替換傳統(tǒng)的Ethernet?switch和FC?switch，實(shí)現(xiàn)I/O整合，使網(wǎng)卡、交換機(jī)和連接線纜的數(shù)量大為減少，同時(shí)簡化了網(wǎng)絡(luò)運(yùn)行的維護(hù)工作量，降低了總體成本，具體如圖2所示。在圖2中，服務(wù)器通過支持FCoE的以太網(wǎng)卡連接到支持FCoE的FCF?switch上（服務(wù)器和FCF?switch之間的鏈路可以同時(shí)收發(fā)LAN和SAN內(nèi)的流量），而FCF?switch通過以太網(wǎng)接口接入到LAN網(wǎng)絡(luò)，通過FC接口接入到SAN網(wǎng)絡(luò)中。

在FCoE中，F(xiàn)CF?switch實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)最好的方式是由交換芯片單獨(dú)支持專用的FC轉(zhuǎn)發(fā)表，然而目前大多數(shù)交換芯片卻還不支持專用的FC轉(zhuǎn)發(fā)表，基于此，可以使用芯片的ACL表來模擬FC轉(zhuǎn)發(fā)表。

目前的ACL表對應(yīng)的功能表至少分為圖3所示的以下四個(gè)表：報(bào)文匹配信息表（FP_TCAM）、動(dòng)作策略表（FP_POLICY_TABLE）、度量表（FP_METER_TABLE）和統(tǒng)計(jì)表（FP_COUNTER_TABLE），其分別由內(nèi)容分析查找引擎（ContentAware?lookup?engine）、策略引擎（policy?engine）、度量引擎（metering?engine）、統(tǒng)計(jì)引擎（statistics?engine）管理。

其中，ContentAware?lookup?engine的個(gè)數(shù)為多個(gè)，這些ContentAware?lookup?engine相互并行獨(dú)立工作，在硬件上，可根據(jù)這些引擎的個(gè)數(shù)將FP_TCAM分成若干報(bào)文匹配信息片（slice），slice的個(gè)數(shù)與ContentAware?lookup?engine的個(gè)數(shù)相同，兩者一一對應(yīng)。其中，不同的slice對應(yīng)不同的應(yīng)用，其記錄的ACL表項(xiàng)與其對應(yīng)的應(yīng)用對應(yīng)，具體為：驅(qū)動(dòng)在下發(fā)ACL表項(xiàng)時(shí)，根據(jù)ACL表項(xiàng)的類型下發(fā)到對應(yīng)的slice，例如，用于認(rèn)證安全的ACL表項(xiàng)下發(fā)到slice?0，用于模塊化質(zhì)量控制（MQC）的ACL表項(xiàng)下發(fā)到slice?1，用于FCoE轉(zhuǎn)發(fā)的ACL表項(xiàng)（記為FCoE轉(zhuǎn)發(fā)表項(xiàng)）下發(fā)至slice2等等。

每個(gè)slice都有自己對應(yīng)的搜索機(jī)制（按照用戶設(shè)定的掩碼匹配查找）和對應(yīng)的動(dòng)作策略表。當(dāng)報(bào)文進(jìn)入FCF?switch后，各個(gè)slice對應(yīng)的ContentAware?lookup?engine同時(shí)在本slice內(nèi)的ACL表項(xiàng)查找并匹配對應(yīng)的動(dòng)作策略表中的動(dòng)作策略（policy）表項(xiàng)，一旦匹配，就依據(jù)匹配的policy表項(xiàng)執(zhí)行對應(yīng)的動(dòng)作。