本發明涉及一種基于NFV技術加速報文ACL匹配處理的方法及系統，其中該方法為VNF網元首先根據用戶配置文件進行ACL規則數據的配置，然后該VNF網元將所述的ACL規則數據打包成消息發送至外部轉發網元，緊接著所述外部轉發網元接收所述的消息，并將所述消息解析為所述的ACL規則數據后進行保存，最后該外部轉發網元將接收到的網絡報文與所述的ACL規則數據相匹配并進行相應處理。采用了該發明中的基于NFV技術加速報文ACL匹配處理的方法及系統，通過將基于x86服務器運行的VNF網元上ACL計算功能卸載到外部硬件轉發加速器上，減輕VNF網元的CPU處理負載，提高了系統報文處理效率，同時VNF網元所需的ACL功能在轉發硬件上又能確保正確快速執行，滿足了現實網絡中的業務運行需求。

技術領域

本發明涉及通信技術領域，尤其涉及數據轉發技術領域，具體是指一種基于NFV技術加速報文ACL匹配處理的方法及系統。

背景技術

NFV(Network Function Virtualization，網絡功能虛擬化)通過使用基于行業標準的x86服務器、存儲和交換設備等通用性硬件以及虛擬化技術，承載運行很多既有的網絡功能軟件程序，來取代通信網的那些私有專用的網元設備，從而降低傳統網絡硬件昂貴的設備成本，可以通過軟硬件解耦及功能抽象，使網絡設備功能不再依賴于專用硬件，資源可以充分靈活共享，實現網絡新業務的快速開發和部署，并基于實際業務需求進行自動部署、彈性伸縮、故障隔離和自愈等。

ACL(Access Control List，訪問控制列表)技術是一種基于包過濾的流控制技術，由一系列規則組成的集合，通過這些規則對報文進行分類，從而使設備可以對不同類報文進行不同的處理，在傳統網絡設備中被廣泛采用。控制列表通過把源地址、目的地址及端口號等報文關鍵數據作為數據包檢查的基本元素，并可以規定符合條件的數據包是否允許通過。ACL作為網絡安全訪問的基本手段，通過對通信流量的進行控制，可以限制網絡流量、提高網絡性能。ACL通常應用在企業的出口控制上，可以通過實施ACL，可以有效的部署企業網絡出網策略。隨著局域網內部網絡資源的增加，一些企業已經開始使用ACL來控制對局域網內部資源的訪問能力，進而來保障這些資源的安全性。

由于ACL數據結構復雜，對報文需要根據查找算法進行規則匹配操作，在較大程度上增加傳統網絡設備開銷，為了加快ACL查找速度，減輕設備系統計算負擔，傳統網絡設備使用TCAM(ternary content addressable memory)三態內容尋址存儲器來保存ACL規則表項，針對大規模的報文業務流量進行硬件邏輯查找，有效提高報文ACL處理速度。

在NFV環境下，所有的網絡功能在x86服務器都采用軟件方法實現，對于ACL而言，復雜的數據結構，高計算量的搜索算法，當需要疊加ACL功能處理大規模的報文業務流量時，NFV系統的報文處理效率嚴重下降，無法滿足現實網絡中的業務運行需求，因此需要采用一些有效合理的方法來提高NFV系統中ACL處理報文的效率來滿足網絡中的報文要求。

發明內容

本發明的目的是克服了上述現有技術的缺點，提供了一種能夠實現報文加速處理的基于NFV技術加速報文ACL匹配處理的方法及系統。

為了實現上述目的，本發明的基于NFV技術加速報文ACL匹配處理的方法及系統如下：

該基于NFV技術加速報文ACL匹配處理的方法，其主要特點是，所述的方法包括以下步驟：

(1)VNF網元根據用戶配置文件進行ACL規則數據的配置；

(2)所述的VNF網元將所述的ACL規則數據打包成消息發送至外部轉發網元；

(3)所述的外部轉發網元接收所述的消息，并將所述的消息解析為所述的ACL規則數據后進行保存；

(4)所述的外部轉發網元將接收到的網絡報文與所述的ACL規則數據相匹配并進行相應處理。