基于交换芯片的五元组过滤功能

最新推荐文章于 2023-10-18 17:27:34 发布
最新推荐文章于 2023-10-18 17:27:34 发布
阅读量4.4k 收藏 9
点赞数
分类专栏: PCL 交换芯片 文章标签: ACL PCL 五元组 交换芯片 过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/han_dawei/article/details/8294208
版权
本文介绍了基于Marvell 98DX51xx/81xx交换芯片的PCL(策略控制列表)功能,详细阐述了PCL如何在报文处理流程中的Ingress阶段进行五元组过滤,并通过PCL-ID、VID、IP协议等条件实现报文筛选。PCL是交换芯片的高级功能,常见于网络安全设备中,文中还解析了PCL规则的底层实现和数据结构。
摘要由CSDN通过智能技术生成 
基于交换芯片的五元组的PCL规则过滤功能


作者: 韩大卫@吉林师范大学

2012.12.10

Not Approved by Document Control
Review Copy Only


基于Marvell 98DX51xx/81xx交换芯片的五元组等的策略规则(PCL)过滤功能.现将部分的功能的底层实现予以简单介绍.

Contact author for detailed information: handawei@jusontech.com


Forward:

Marvell对PCL概念的定义是:

The Policy engine performs per-flow processing of packets received and  transmitted by the device.A packet can be bound to one or more sets of policy rules, which we call Policy Control Lists (PCL).

PCL:策略控制列表.可以理解为在交换芯片上实现的过滤规则列表.有一种类似的概念叫ACL.

ACL:Access Control List . 访问控制列表

一般来讲,ACL是用户层上下发的规则, 最终通过交换芯片或CPU来实现的,是一种用户层上定义的规则.PCL是底层的概念, 是交换芯片内部对此功能的定义,驱动工程师在操作系统底层软件提取出此交换芯片的PCL过滤功能(比如根据五元组,根据VLAN-ID, 根据是否ARP报文等等),封装成API类库供用户层使用, 用户层就可以综合使用这些API做成一条条过滤规则.

PCL是交换芯片较高级的功能,一般普通的二层/三层交换机的使用的低端交换芯片是没有的此功能的.很多网络安全设备(如防火墙,分流器等)的一部分实现也是基于此机制.


根据Marvell的datasheet, PCL对报文的处理是在L2/L3/L4之前,即

 		      Ingress 									Egress
Packet	   -------------->    PCL     ----->  L2    ------> L3 -------> L4 ...-------------->  


报文 首先经过IPCL(Ingress PCL) Engine  处理, 根据报文的类型和PCL-ID生成一张IPCL Table , 此表的数据结构大致为:

9bit---0bit  PCL-ID
..
29bit---18bit   VID
..
49bit---42bit  Ip Protocol
..
130bit---99bit  SIP[4]
162bit---131bit  DIP[4]

...


完成此IPCL table后, 拿此表在TCAM中进行查找匹配, 匹配成功的条件是: 首先要PCL-ID相同, 如果规则制定了过滤条件, 那么依次匹配自定义的成员, 例如: 如想过滤出报文中VID为100的,那么只有IPCL table中VID位置为100 的数据结构(即相应的报文)可以被筛选出来, 进而执行TCAM中此表对对应的ACTION.从而完成了一次PCL过滤.

根据以上描述, 可以这样定义一个数据结构用来作为函数参数, 传递用户层的PCL指定规则

以下是PCL动作部分的定义, 关于IPCL Table等部分的制作略.

typedef struct  sw_pcl_action {
    BOOL_T              		        enable;
    uin
最低0.47元/天 解锁文章
韩大卫
关注
专栏目录
可编程网元的前世今生
鲜枣课堂
05-31 255
▉ 可编程网元的过去在过去的很长一段时间里,网元之间通过OSPF(开放式最短路径优先协议)、BGP(边界网关协议)等运行在设备控制面的分布式路由协议,进行交互工作。网元提供SNMP、NET...
交换芯片实现五元组过滤
12-14
一般来讲,ACL是用户层上下发的规则, 最终通过交换芯片或CPU来实现的,是一种用户层上定义的规则.PCL是底层的概念, 是交换芯片内部对此功能的定义,驱动工程师在操作系统底层软件提取出此交换芯片PCL过滤功能(比如根据五元组,根据VLAN-ID, 根据是否ARP报文等等),封装成API类库供用户层使用, 用户层就可以综合使用这些API做成一条条过滤规则.
过滤防火墙
angelliusa的博客
01-27 150
防火墙安全策略
热门推荐
曹世宏的博客
05-17 8万+
过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。 传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协...
网络包过滤防火墙课设
10-12
linux环境下,Qt编写的界面,支持五元组过滤的包过滤防火墙。
软件可编程的FPGA网络测量引擎技术实现.docx
07-14
NetFlow技术利用包交换芯片对IP数据流进行转发和简单的测量,但依赖于采样率,无法实现精细化测量。而基于PC平台的软件方法虽然可以捕获和分析网络数据帧,但在处理高速、大规模流量时会消耗大量处理器资源,并受到...
恒扬科技分流器的技术原理及应用
10-20
提供多种尺寸的机箱供用户选择,FC1800则依赖高性能多核处理器和万兆级交换芯片,适用于大型局域网和运营商环境,而FC1400则提供12对 Combo RJ45/SFP 接口,支持12个GE双向网络流量处理,具备电口BYPASS功能,保障...
Linux iptables 防火墙配置
weixin_51559599的博客
10-12 202
要求以“-m 扩展模块” 的形式明确指出类型,包括多端口、MAC 地址、IP 范围、数据包状态等等条件。独立使用,可以直接使用,不依赖与其他条件或扩展,包括网络协议、IP 地址、网络接口等条件。要求以特定的协议匹配作为前提,包括端口、TCP 标记、ICMP 类型的条件。规则表之间的顺序:raw-> mangle-> nat-> filter。iptables 操作哪个张表,哪个链,符合什么流量,执行什么动作。建立规则后,server 无法 ping 通网关。server ping GW 可以 ping。
MARVELL 98DX系列
03-19
MARVELL 98DX系列详细资料 The 98DX107-LKJ incorporates ten 10/100/1000 Mbps (SGMII) Ethernet ports and one 10/100/1000 (MII/ GMII/RGMII) port for management, with a full-line rate switching and routing capacity of up to 16.4 million packets per second. Together with Marvell’s 88E609x low-cost 8 FE + 3 GbE switch with integrated FE PHYs, utilizing the Distributed Switching Architecture (DSA) technology supported in all of Marvell’s switches, the 98DX107- LKJ enables a low-cost 24 FE + 4 GbE or a 48 FE + 4 GbE standalone or stackable multilayer switch. The feature-aware DSA technology enhances the feature set provided by the 88E609x to the 98DX107-LKJ features. When connected to the 98DX107-LKJ, the 88E609x Fast Ethernet ports sup- port Ingress PCL and IPv4/IPv6 routing.
Marvell98DX 交换芯片linux驱动软件分析
04-23
Marvell 98DX51xx _ 98DX81xx 系列交换芯片 内部初始
ACL原理及配置(ACL原理)
10-17
ACL原理及配置(ACL原理)中兴售后工程师认证培训资料
网络原理基础(认识IP地址、子网掩码、端口号、协议、五元组
Xx_bjpyy的博客
04-14 2809
本文介绍了网络通信的原理以及一些概念性的知识,介绍了什么是IP地址、端口号、协议、TCP/IP五层模型以及网络通信时数据的具体传输过程。
ACL实现原理
qq_39783611的博客
09-29 2095
ACL作用 Acl其实就是一种报文过滤器,Acl分为iAcl(入方向过滤)和eAcl(出方向过滤),其中iAcl的动作可以是forward、trap to cpu、drop和mirror,而eAcl的动作是drop。 ACL芯片匹配规则 在交换芯片内部匹配通常只有TCAM表查找和HASH表查找,而ACL是通过TCAM表中的二进制关键字进行匹配,通过TCAM表中的掩码可以设置精准匹配和模糊匹配(1代...
DPDK报文分类与访问控制
weixin_30561425的博客
03-31 405
原创翻译,转载请注明出处。 dpdk提供了一个访问控制库,提供了基于一系列分类规则对接收到的报文进行分类的能力。ACL库用来在一系列规则上执行N元组查找,可以实现多个分类和对每个分类查找最佳匹配(最高优先级),ACL库的api提供如下基本操作: 创建一个新的访问控制(AC)环境实例(context) 添加规则到这个环境实例 为这个实例里所有的规则,创建必需的运行时结构体来指针报文...
TCP/IP的四元组、五元组、七元组
lanlicen的专栏
12-26 4万+
四元组是:        源IP地址、目的IP地址、源端口、目的端口 五元组是:       源IP地址、目的IP地址、协议号、源端口、目的端口 七元组是:        源IP地址、目的IP地址、协议号、源端口、目的端口,服务类型以及接口索引
安全组规则【超详细】
Black 本
06-15 6097
真香警告:以下主要内容均来自“阿里云”,学生、教师、医药工作者都能白嫖6个月的ECS!!! 安全组是一种虚拟防火墙,具备状态检测和包过滤功能。安全组由同一个地域内具有相同安全保护需求并相互信任的实例组成。安全组用于设置单台或多台ECS实例的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。安全组五元组规则能精确控制源IP、源端口、目的IP、目的端口以及传输层协议。 五元组规则定义 五元组规则包含:源IP地址、源端口、目的IP地址、目的端口、传输层协议。 五元组规则完全兼容原有的
TCP/IP五元组
最新发布
summer_fish的专栏
10-18 3058
五元组是通信术语,英文名称为five-tuple,或5-tuple,五元组包括源IP地址源端口目的IP地址目的端口(destination port) 和传输层协议(the layer 4 protocol)的五个量集合。例如:192.168.1.1 10000 TCP 121.14.88.76 80就构成了一个五元组,源IP地址为192.168.1.1,源端口号为10000,协议为TCP,目的IP地址为:121.14.88.76,目的端口号为80。
Marvell 交换芯片DSA(分布式交换架构)功能介绍
韩大卫@blog
03-10 1万+
Marvell DSA(分布式交换架构) by 韩大卫@吉林师范大学 *************** 请参见 Marvell Prestera/Cheetah/xcat/lion 系列交换芯片手册获取更详细的说明 Marvell DSA(分布式交换
BCM56270交换芯片寄存器参考指南
在实际开发过程中,工程师需要深入理解和应用这本寄存器手册,以便充分利用BCM56270交换芯片的强大功能,实现高效、稳定的网络系统设计。同时,开发者还需要关注博通的官方网站以获取最新的技术更新和文档修订,确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值