技术特征:
1.一种报文访问控制方法,其特征在于,应用于汇聚分流设备中的可编程芯片,包括:实时接收目标报文,并通过芯片的入口管道和出口管道分别对所述目标报文进行解析,得到目标数据,所述目标数据中包括报文载荷部分的内容;通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;根据匹配的处理策略,对所述目标报文进行相应的转发或丢弃。2.根据权利要求1所述的方法,其特征在于,通过芯片的入口管道对所述目标报文进行解析,得到目标数据,包括:通过入口管道中的分析器模块,为目标报文的所有相关的报文头定义对应的存储区域,通过移动指针位置,依次对目标报文的各报文头进行解码并存储到对应的存储区域中;当指针移动到报文载荷部分的起始位置时,调用芯片中的lookahead关键字,获取指针指向的当前位置之后的预设长度的报文内容,作为目标数据。3.根据权利要求1所述的方法,其特征在于,通过芯片的出口管道对所述目标报文进行解析,得到目标数据,包括:通过出口管道中的分析器模块,调用芯片中的lookahead关键字,获取指针指向的当前位置之后的预设长度的报文内容,作为目标数据;其中,指针当前指向目标报文的起始位置。4.根据权利要求1所述的方法,其特征在于,还包括:通过入口管道的mau模块或者出口管道的mau模块,获取控制函数下发的实体数据,并根据所述实体数据更新掩码访问控制表;其中,所述实体数据包括响应于用户配置操作生成的与配置信息对应的key值和掩码,所述配置信息包括起始偏移位置和待匹配数据。5.根据权利要求4所述的方法,其特征在于,所述实体数据的生成方式,包括:分别获取预设长度的第一内存空间和第二内存空间;在所述第一内存空间中,从起始偏移位置开始存储所述待匹配数据,并将其余字节设置为0;在所述第二内存空间中,将与第一内存空间中的待匹配数据对应的字节设置为1,将其余字节设置为0;将第一内存空间中的key值与第二内存空间中的掩码,作为实体数据。6.根据权利要求1所述的方法,其特征在于,通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略,包括:通过入口管道的mau模块,将入口管道解析得到的目标数据与入口管道的掩码访问控制列表中的掩码做与运算,以及将入口管道的掩码访问控制列表中的key值与掩码做与运算,判断两者的运算结果是否一致;如果一致,则在掩码访问控制列表中,匹配目标报文的处理策略;以及通过出口管道的mau模块,将出口管道解析得到的目标数据与出口管道的掩码访问控制列表中的掩码做与运算,以及将出口管道的掩码访问控制列表中的key值与掩码做与运算,判断两者的运算结果是否一致;如果一致,则在掩码访问控制列表中,匹配目标报文的处理策略。
7.根据权利要求1所述的方法,其特征在于,所述可编程芯片包括tofino芯片。8.一种报文访问控制装置,其特征在于,应用于汇聚分流设备中的可编程芯片,包括:报文解析模块,用于实时接收目标报文,并通过芯片的入口管道和出口管道分别对所述目标报文进行解析,得到目标数据,所述目标数据中包括报文载荷部分的内容;查表匹配模块,用于通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;报文处理模块,用于根据匹配的处理策略,对所述目标报文进行相应的转发或丢弃。9.一种汇聚分流设备,其特征在于,所述汇聚分流设备包括:一个或多个可编程芯片;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个可编程芯片执行,使得所述一个或多个可编程芯片实现如权利要求1
‑
7中任一项所述的报文访问控制方法。10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被可编程芯片执行时实现如权利要求1
‑
7中任一项所述的报文访问控制方法。
技术总结
本发明实施例公开了一种报文访问控制方法、装置、设备及存储介质。该方法应用于汇聚分流设备中的可编程芯片,包括:实时接收目标报文,并通过芯片的入口管道和出口管道分别对所述目标报文进行解析,得到目标数据,所述目标数据中包括报文载荷部分的内容;通过芯片的入口管道和出口管道,分别根据解析得到的目标数据查询掩码访问控制列表,获取匹配的处理策略;根据匹配的处理策略,对所述目标报文进行相应的转发或丢弃。本发明实施例的技术方案,利用芯片管道对报文的载荷部分进行数据解析,实现对UDF报文的ACL过滤。实现对UDF报文的ACL过滤。实现对UDF报文的ACL过滤。
技术研发人员:王新菊 贾李健 王征归 梁彧 蔡琳 杨满智 王杰 田野 金红 陈晓光 傅强 张园 李路
受保护的技术使用者:恒安嘉新(北京)科技股份公司
技术研发日:2021.07.08
技术公布日:2021/9/24