本發明提供一種基于端口的報文過濾方法和裝置，方法包括：配置一條包括n條過濾規則的過濾列表，并將該列表應用于第一端口；根據預設的算法將所述n條過濾規則中的m條過濾規則保存在第一規則集合中，將n?m條過濾規則保存在第二規則集合中；其中，所述第二規則集合中設置有攜帶第一匹配標識的第一過濾規則；在所述第一端口接收報文，根據所述第一規則集合中的m條過濾規則對所述報文進行處理，根據m條過濾規則中的動作將與所述m條過濾規則匹配的報文添加上所述第一匹配標識后，根據所述第二規則集合中的第一過濾規則中設置的動作對所述添加上所述第一匹配標識的報文進行處理。能夠利用芯片多階段過濾表項硬件資源。

技術領域

本發明涉及數據通信領域，尤其是一種基于端口的報文過濾方法和裝置。

背景技術

ACL，即訪問控制列表,也稱為訪問列表(Access List)。訪問控制列表是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。ACL使用預先定義好的過濾規則檢查通過網絡設備接口上的每個數據包,以便確定其是否與某一條包過濾規則匹配,從而對數據包是否能通過本網絡設備進行控制：允許通過(Permit)或丟棄(Deny)，以增強網絡安全。它里面的每一條過濾規則稱為ACE(Access Entry)。ACL功能在交換機硬件上，需要通過過濾表項來實現。過濾表項包括了ACE中過濾規則信息和對應控制行為，過濾規則信息包括匹配入口VID+報文特征，報文特征包括MAC信息，IP信息，協議類型，應用端口信息等,控制行為包括丟棄、不丟棄、重定向、鏡像、修改報文內容等，所有的過濾表項組成了過濾表。當數據報文到達交換機端口時，如果該端口上配置過濾表項，則會自動檢查報文是否與過濾表中的某一條過濾表項匹配，如果匹配成功，則執行匹配項的控制行為。每條ACE都有一個編號(ACE_ID)，編號表示匹配優先級，編號越大優先級越低。隨著時代發展，數據中心網絡不斷建設，用戶需求以及報文類型不斷增加，現有設備的過濾表項已經無法滿足某些特定的網絡環境，比如運營商網絡。雖然芯片廠商已經針對應場景提供大容量過濾表項芯片，但一般芯片提供的過濾表項都是根據報文流水線分階段實施。當用戶環境網絡對過濾表項都容量要求超過芯片廠商所能提供芯片某階段最大容量值，特別在同一個端口應用大容量過濾表項時。因此如何有效支持在同一個端口應用過濾表項超過芯片某一階段提供的容量，最大發揮芯片能力，成了首要任務。目前針對大容量過濾表項安裝的普遍方法是，通過表項的整合或分組合并，安裝到芯片某一階段的訪問列表資源。這種方案安裝的過濾表項受限制于芯片特定階段的容量值限制，沒有最大化發揮芯片能力。

發明內容

為了解決上述技術問題，本發明的實施例采用如下技術方案：

一種基于端口的報文過濾方法，包括：配置一條包括n條過濾規則的過濾列表，并將該列表應用于第一端口；根據預設的算法將所述n條過濾規則中的m條過濾規則保存在第一規則集合中，將n-m條過濾規則保存在第二規則集合中；其中，所述第二規則集合中設置有攜帶第一匹配標識的第一過濾規則，其中，n為大于等于2的自然數，m為小于n的自然數；

在所述第一端口接收報文，根據所述第一規則集合中的m條過濾規則對所述報文進行處理，根據m條過濾規則中的動作將與所述m條過濾規則匹配的報文添加上所述第一匹配標識后，根據所述第二規則集合中的第一過濾規則中設置的動作對所述添加上所述第一匹配標識的報文進行處理。

可選的，

所述預設的算法為根據每條過濾規則中的標識確定將該過濾規則保存在第一規則集合中或者保存在第二規則集合中。

可選的，

所述端口為聚合口。

可選的，

所述端口所在的交換機為盒式交換機或機箱式交換機。

可選的，所述方法還包括：

將處理完的報文從第二端口發送出去。