[发明专利]IP报文的多元组过滤方法、系统、设备及存储介质

说明书

本申请提供了一种IP报文的多元组过滤方法、系统、设备及存储介质，根据报文流的源IP地址，通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号；根据报文流的目的IP地址，通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号；根据报文流的源IP编号以及目的IP编号，通过第三过滤规则获取第三分流动作，以及源IP编号与目的IP编号组合映射的第一组合编号；根据报文流的第一组合编号、协议号以及源目的端口号的不同组合，通过对应的过滤规则获取对应的分流动作。本申请通过任意元组组合过滤IP报文，提升了精准的分流；同时节省了过滤规则或者过滤表格占用SRAM/TCAM的资源，提升了资源利用率。

技术领域

本申请属于网络安全技术领域，具体地，涉及一种IP报文的多元组过滤方法、系统、设备及存储介质。

背景技术

随着5G时代到来，整个网络随着移动互联网和物联网技术的快速发展，从而使得网络中的移动设备的数量大幅度增加，导致了用户终端数、流量以及IP地址都出现了大量增长。同时对市场上用于流量分流的交换设备也提出了挑战，很多客户需要对不同的访问流量提供不同的服务，对于不同的移动设备在访问中的安全性和访问控制性也需要产生出不同的定义策略。

在IP分流时，需要查找定义的表，按照表规则将不同的IP进行分流处理。表即本申请中的过滤表，一般包含过滤规则，也称key，还包括对应的流量处理动作action，表会占用SRAM/TCAM资源，应该尽量减少key的长度，可节省资源,表有自己的规格，规格越大占用资源越大。目前，按查表机制的不同，将表格规则分为精确规则和掩码规则。

掩码规则一般用三态内容寻址存储器TCAM(Ternary Content AddressableMemory)实现，因为TCAM成本较高，功耗较大的缺点，一般在交换芯片上会有空间不多的TCAM。精确规则一般使用SRAM实现。在芯片上，SRAM可以数倍大于TCAM资源。

在流量识别时，一般我们通过报文的五元组信息，包括源IP、目的IP、源端口、目的端口、协议类型来识别并分流。在某些场景中，需要根据五元组中的一元或多元组合识别并分流。

基于上述需求，用TCAM实现的掩码规则可以实现单元或任意元组合的流识别和分流，但是受限于其资源有限，尤其是当使用精确的任意元时，整体规则量提高不了，无法满足大规格规则容量需求的场景。

针对大规格任意元组组合的规则，会自然而然考虑用SRAM定义精确规则满足这一需求。然而要支持精确的五元组或任意元组组合过滤，采用TCAM还是SRAM时，存在SRAM利用率极低、不支持元组之间的灵活组合规则、用TCAM实现时存在大量资源浪费、SRAM-TCAM结合方案的规则规格有限等缺点。

发明内容

本发明提出了一种IP报文的多元组过滤方法、系统、设备及存储介质，旨在解决现有技术在使用SRAM/TCAM过滤IP报文时，由于过滤表存在重复的过滤规则，导致SRAM/TCAM的利用率极低的问题。

根据本申请实施例的第一个方面，提供了一种IP报文的多元组过滤方法，包括以下步骤：

根据报文流的源IP地址，通过第一过滤规则获取第一分流动作以及源IP地址映射的源IP编号；根据报文流的目的IP地址，通过第二过滤规则获取第二分流动作以及目的IP地址映射的目的IP编号；

根据报文流的源IP编号以及目的IP编号，通过第三过滤规则获取第三分流动作，以及获取源IP编号与目的IP编号组合映射的第一组合编号；

根据报文流的第一组合编号、协议号以及源目的端口号的不同组合，通过对应的过滤规则获取对应的分流动作。

在本申请一些实施方式中，根据报文流的第一组合编号、协议号以及源目的端口号不同组合后，通过对应的过滤规则获取对应的分流动作，具体包括：