[发明专利]基于分组标签策略的数据转发的方法

说明书

本发明公开了一种基于分组标签策略的数据转发的方法，包含如下步骤：采集数据报文；解析数据报文，获得源地址、目的地址、入端口、虚拟局域网编号以及上游设备已经插入的源分组标签；采集二层转发域、三层VRF的中间状态信息；对目的地址查找转发信息库，获得下一跳操作的索引和目的地分组标签；对源地址查找转发信息库，获得第一源分组标签；对入端口和虚拟局域网编号查找，获得第二源分组标签；本发明能够实现基于分组标签的微分段，支持子网内部互访的安全隔离，安全控制的粒度更精细，能够实现基于源和目的分组标签的策略路由转发。分组标签可以不限于IP地址，可以基于入项端口、VLAN、虚拟机标签、MAC地址、地理位置、设备类型等等，使得安全控制更为灵活。

技术领域

本发明涉及分组标签策略技术领域，特别涉及一种基于分组标签策略的数据转发的方法。

背景技术

随着用户对安全越来越重视，基于安全组的微分段技术成为精颗粒度策略控制的技术潮流，用于园区网的SGT(Scalable Group Tag)技术和用于数据中心的GBP(GroupBased Policy)技术得到市场的逐渐认可。传统以太网交换芯片使用目的IP地址去查表，获取指向下一跳地址的索引，在入口ACL访问控制环节根据用户配置下发的IP互访策略进行丢弃或转发。制约安全策略大规模部署的主要因素是实现ACL功能的TCAM（ternarycontent addressable memory）发热大、容量小、价格高。

传统安全策略的部署需要进行清晰的网络规划，使用VLAN、VXLAN VNI等划分业务子网实现业务隔离，交换机三层接口下的ACL不能实现同一子网内不同服务器的隔离。在云计算和虚拟化环境，安全边界难以界定，使得ACL难以实际部署。即使在传统的网络环境，由于IP设备数量庞大，ACL的配置维护相当复杂，缺乏全局视角，难以实现基于意图的网络策略。同时以太网交换芯片使用TCAM，缺乏防火墙那样使用RAM内存支持大量ACL表项的能力。

发明内容

根据本发明实施例，提供了一种基于分组标签策略的数据转发的方法，包含如下步骤：

采集数据报文；

解析数据报文，获得源地址、目的地址、入端口、虚拟局域网编号以及上游设备已经插入的源分组标签；

根据入端口加上数据报文的虚拟局域网信息，采集二层转发域的信息，并且得到二层转发域所属的三层VRF的信息；

对目的地址的前缀进行地址查找转发信息库，获得下一跳操作的索引和目的地分组标签；

对源地址查找转发信息库，获得第一源分组标签；

对入端口和虚拟局域网编号查找，获得第二源分组标签；

根据分组标签的优先级从高到底选择从上游设备已经插入的源分组标签、第一源分组标签以及第二源分组标签中选择最终的源分组标签；

比对查找最终的源分组标签和目的地分组标签，获得查找比对的结果；

根据查找比对的结果，判断是丢弃数据报文，还是获得下一跳的出口信息。

进一步，分组标签的优先级为：上游设备已经插入的源分组标签第二源分组标签第一源分组标签。

进一步，比对查找最终的源分组标签和目的地分组标签是通过策略匹配查找表进行比对查找。

进一步，查找比对的结果是丢弃还是转发是由用户安全策略决定的。

进一步，查找比对的结果转发到哪个端口是由用户路由转发策略决定的。

进一步，查找比对的结果分为安全策略结果和路由策略结果。