DPDK rte_acl 学习踩坑及示例

已于 2024-04-07 11:00:19 修改
阅读量1.6k 收藏 13
点赞数 6
分类专栏: DPDK 文章标签: 实时互动 学习 网络
于 2022-06-23 15:37:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wcjlyj/article/details/125428263
版权

最近开始需要用 DPDK ACL 来实现一些如包负载长度匹配的需求,因此开始学习 ACL 相关的内容,刚开始上手觉得还是挺难的,花了大概三四天看了官方的文档和一些示例,大概搞明白了 ACL 的用法,也踩了一些坑,这篇博客记录下这段时间的学习内容,最后提供了一个我写的小例子来参考。

rte_acl_field_def

要用 ACL 首先要定义规则的结构,这里会用到 rte_acl_field_def 结构体,下面解释一下各个字段的含义:

  1. type:有三种取值:
取值含义
RTE_ACL_FIELD_TYPE_BITMASK和 MASK 不同,MASK 里 mask_range 表示的是掩码的长度,而 BITMASK 的 mask_range 则是实际用 bit 表示的掩码,通常我们用于协议号的匹配,比如要匹配的协议号是 0x6,则 value 为 0x6,mask_range 为 0xff 即可,value 和 range 全 0 表示匹配所有
RTE_ACL_FIELD_TYPE_MASK字段值/掩码,非常像带掩码的 IP 地址,一般也是用来匹配 IP 地址,mask 是掩码的长度,value 和 range 全 0 表示匹配所有的 IP 地址
RTE_ACL_FIELD_TYPE_RANGE用来一个范围,比如端口范围,value 和 mask 是上下限,value 为 0,range 为 65535 表示匹配所有端口,value 和 range 为同一个值则表示匹配一个具体的数值

这里的掩码和 range 类型实际上给我们提供了挺大的灵活性,可以实现诸如 ip 范围匹配,端口的大于等于等逻辑,还是非常给力的。

  1. size
    表示字段的大小,可以是 1、2、4、8 个字节,不可以随意设置

  2. field_index
    该字段是第几个字段,通常和下面的示例一样定义一个 enum 递增就可以了,没啥好说的

  3. input_index
    该字段属于那个分组,这里有一个坑,ACL 要求第一个字段一定是 1 个字节大小,后面的要字段要 4 个字节为一个分组,不满的要自己凑齐

  4. offset
    该字段在待匹配数据中的偏移

RTE_ACL_RULE_DEF

这是一个宏定义,可以根据我们之前写的 rte_acl_field_def 生成对应的规则结构体,然后你就可以定义这样的结构体并往里填充数据了

ACL 使用流程

  1. 定义规则结构和匹配数据结构
  2. 创建 ACL 的上下文
  3. 添加规则到 ACL 上下文中
  4. 编译 ACL 规则
  5. 进行报文数据匹配
  6. 销毁 ACL 上下文

字节序问题

ACL 中添加规则用的是小端序,而匹配时数据需要大端序

IPV4 匹配示例代码

#include <netinet/in.h>
#include <rte_acl.h>
#include <rte_eal.h>
#include <rte_ip.h>
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#define ACL_MAX_RULE_NUM 1000

struct pkt_data {
    uint8_t proto;
    uint32_t ip1;
    uint32_t ip2;
    uint16_t port1;
    uint16_t port2;
};

enum { PROTO_FIELD_IPV4, SRC_FIELD_IPV4, DST_FIELD_IPV4, SRCP_FIELD_IPV4, DSTP_FIELD_IPV4, NUM_FIELDS_IPV4 };

enum { ACL_IPV4_PROTO = 0, ACL_IPV4_SRC, ACL_IPV4_DST, ACL_IPV4_PORTS, ACL_IPV4_NUM };
struct rte_acl_field_def ipv4_defs[NUM_FIELDS_IPV4] = {
    {
        .type = RTE_ACL_FIELD_TYPE_BITMASK,
        .size = sizeof(uint8_t),
        .field_index = PROTO_FIELD_IPV4,
        .input_index = ACL_IPV4_PROTO,
        .offset = offsetof(struct pkt_data, proto),
    },
    {
        .type = RTE_ACL_FIELD_TYPE_MASK,
        .size = sizeof(uint32_t),
        .field_index = SRC_FIELD_IPV4,
        .input_index = ACL_IPV4_SRC,
        .offset = offsetof(struct pkt_data, ip1),
    },
    {
        .type = RTE_ACL_FIELD_TYPE_MASK,
        .size = sizeof(uint32_t),
        .field_index = DST_FIELD_IPV4,
        .input_index = ACL_IPV4_DST,
        .offset = offsetof(struct pkt_data, ip2),
    },
    {
        .type = RTE_ACL_FIELD_TYPE_RANGE,
        .size = sizeof(uint16_t),
        .field_index = SRCP_FIELD_IPV4,
        .input_index = ACL_IPV4_PORTS,
        .offset = offsetof(struct pkt_data, port1),
    },
    {
        .type = RTE_ACL_FIELD_TYPE_RANGE,
        .size = sizeof(uint16_t),
        .field_index = DSTP_FIELD_IPV4,
        .input_index = ACL_IPV4_PORTS,
        .offset = offsetof(struct pkt_data, port2),
    },
};
RTE_ACL_RULE_DEF(ipv4_rule, RTE_DIM(ipv4_defs));

static struct rte_acl_ctx* g_acl_ipv4_ctx = NULL;

static struct ipv4_rule acl_rules[] = {
    {
        // category1:只有 sip
        // 用于设置此规则属于那些分类, 例如 0x3 表示 category1和2
        // 对于五元组的31中组合,每一个种类占据其中的一个 bit
        .data = {.userdata = 10, .category_mask = 1, .priority = 1},
        /* source IPv4 */
        .field[SRC_FIELD_IPV4] =
            {
                .value.u32 = RTE_IPV4(192, 168, 1, 1),
                .mask_range.u32 = 32,
            },
        /* source port */
        .field[SRCP_FIELD_IPV4] =
            {
                .value.u16 = 0,
                .mask_range.u16 = 0xffff,
            },
        /* destination port */
        .field[DSTP_FIELD_IPV4] =
            {
                .value.u16 = 0,
                .mask_range.u16 = 0xffff,
            },
    },
    {
        // category 2:只有 dip
        .data = {.userdata = 20, .category_mask = 2, .priority = 2},
        /* destination IPv4 */
        .field[DST_FIELD_IPV4] =
            {
                .value.u32 = RTE_IPV4(2, 2, 2, 2),
                .mask_range.u32 = 32,
            },
        /* source port */
        .field[SRCP_FIELD_IPV4] =
            {
                .value.u16 = 0,
                .mask_range.u16 = 0xffff,
            },
        /* destination port */
        .field[DSTP_FIELD_IPV4] =
            {
                .value.u16 = 0,
                .mask_range.u16 = 0xffff,
            },
    },
};

static int acl_rule_add(const struct rte_acl_rule* rules, uint32_t num) {
    int ret = 0;
    ret = rte_acl_add_rules(g_acl_ipv4_ctx, rules, num);
    if (ret != 0) {
        printf("[ACL] add ipv4 rule failed.\n");
    }
    return ret;
}

static int acl_rule_build() {
    int ret = 0;
    struct rte_acl_config cfg;

    memset(&cfg, 0, sizeof(cfg));

    cfg.num_categories = RTE_ACL_MAX_CATEGORIES;
    cfg.num_fields = RTE_DIM(ipv4_defs);
    memcpy(&cfg.defs, ipv4_defs, sizeof(ipv4_defs));

    ret = rte_acl_build(g_acl_ipv4_ctx, &cfg);
    if (ret != 0) {
        printf("failed to build acl context.\n");
    }
    return ret;
}

static int acl_init() {
    int ret = 0;
    struct rte_acl_param prm = {
        .name = "ipv4",
        .socket_id = SOCKET_ID_ANY,
    };
    prm.rule_size = RTE_ACL_RULE_SZ(RTE_DIM(ipv4_defs));
    printf("ipv4_defs RTE_DIM: %ld, RTE_ACL_RULE_SZ(RTE_DIM(ipv4_defs)): %ld\n", RTE_DIM(ipv4_defs),
           RTE_ACL_RULE_SZ(RTE_DIM(ipv4_defs)));
    prm.max_rule_num = ACL_MAX_RULE_NUM;

    g_acl_ipv4_ctx = rte_acl_create(&prm);
    if (g_acl_ipv4_ctx == NULL) {
        printf("failed to create acl context.\n");
        return -1;
    }

    ret = rte_acl_set_ctx_classify(g_acl_ipv4_ctx, RTE_ACL_CLASSIFY_SCALAR);
    if (ret) {
        printf("failed to set up classify method for acl context.\n");
        return ret;
    }
    return ret;
}

static int acl_classify(struct rte_acl_ctx* ctx, struct pkt_data* pctx) {
    int ret = 0;
    const uint8_t* data[1];
    data[0] = (uint8_t*)pctx;

#define RESULTS_NUM 4
    uint32_t results[RESULTS_NUM];
    memset(results, 0x00, sizeof(results));
    uint32_t num = 1;
    uint32_t categories = 4;  // x86 必须是4的倍数

    ret = rte_acl_classify(ctx, (const uint8_t**)data, results, num, categories);

    int i;
    for (i = 0; i < RESULTS_NUM; i++) {
        printf("result[%d] = %u\n", i, results[i]);
    }

    return ret;
}

int main(int argc, char** argv) {
    int ret = 0;
    ret = rte_eal_init(argc, argv);
    if (ret < 0) {
        printf("rte_eal init fail.\n");
        return ret;
    }
    ret = acl_init();
    if (ret) {
        printf("acl_init fail.\n");
        return ret;
    }
    ret = acl_rule_add((struct rte_acl_rule*)acl_rules, 2);
    if (ret) {
        printf("acl_rule_add fail.\n");
        return ret;
    }
    ret = acl_rule_build();
    if (ret) {
        printf("acl_rule_build fail.\n");
        return ret;
    }
    rte_acl_dump(g_acl_ipv4_ctx);

    struct pkt_data buf;
    memset(&buf, 0, sizeof(buf));
    buf.proto = 6;
    buf.port1 = ntohs(111ul);
    buf.port2 = ntohs(80ul);
    buf.ip1 = rte_cpu_to_be_32(RTE_IPV4(192, 168, 1, 1));
    buf.ip2 = rte_cpu_to_be_32(RTE_IPV4(2, 2, 2, 2));
    acl_classify(g_acl_ipv4_ctx, &buf);
    rte_acl_free(g_acl_ipv4_ctx);
    return 0;
}

cmake,我这里使用的是 DPDK21

cmake_minimum_required(VERSION 3.10)
project(ACL_TEST)

find_package(PkgConfig REQUIRED)
pkg_check_modules(DPDK REQUIRED IMPORTED_TARGET libdpdk)

if(DPDK_FOUND)
    add_definitions(${DPDK_CFLAGS})
endif(DPDK_FOUND)

add_executable(test-acl EXCLUDE_FROM_ALL acl_ipv4_test.c)
target_compile_options(test-acl PRIVATE "-Wall")
target_compile_options(test-acl PRIVATE "-Wextra")
target_compile_options(test-acl PRIVATE "-std=gnu99")
target_include_directories(test-acl PRIVATE include)
target_link_libraries(test-acl "-lstdc++")
target_link_libraries(test-acl "-lm")
target_link_libraries(test-acl "-lc")
target_link_libraries(test-acl "-pthread")
target_link_libraries(test-acl "-lpcap")
target_link_libraries(test-acl ${DPDK_LIBRARIES})
thewangcj
关注
专栏目录
DPDK — L3 Forwarding 与 ACL 访问控制
烟云的计算
04-10 1079
ACL(Access Control List,访问控制列表)的本质是一种通配符匹配算法。而 ACL Rule 是一个 N-tuple,由 N 个 Fields 组成,在定义具体的 ACL Rule 之前,首先需要定义好每个 Fields 的实例。ACL Rule 的 Fields 的定义通过 rte_acl.h rte_acl_field_def 结构体来完成。
ACL 访问控制列表大总结
08-19
这是我自己对ACL学习、实验、加以总结的。
DPDK ACL算法介绍
weixin_41666796的博客
07-10 1415
DPDK ACL算法介绍 https://www.jianshu.com/p/0f71f814d73e
DPDK ACL算法介绍(一)
lingshengxiyou的博客
08-29 1539
RTE_ACL_FIELD_TYPE_BITMASK:单字节区域如ip头部一个字节的proto字段;RTE_ACL_FIELD_TYPE_MASK:采用MASK方式描述,一般对应4字节的源/目的地址;RTE_ACL_FIELD_TYPE_RANGE:一般对应TCP或UDP头部2字节的PORT区域。熟悉这三种类型的使用后,完全可以用它们去匹配网络报文的其它区域,甚至将其应用到其它场景中。...
DPDKACL(Access Control List)的学习(基于5元组增加MAC)
linuxGc的博客
07-31 3925
DPDK ACL源网页 ACL原理: DPDK中的ACL(Access Control List)模块提供了数据包分类功能,Packet Classification and Access Control中所述: The DPDK provides an Access Control library that gives the ability to classify an input packet based on a set of classification rules. The ACL librar
DPDK ACL链表
redwingz的博客
05-29 3714
本文简介DPDKACL链表的几个主要函数,以及数据结构。 ACL初始化 函数rte_acl_init如下,主要初始化工作是选择使用的分类算法。对于AVX2(Advanced Vector Extensions),仅当编译DPDK代码的编译器支持AVX2指令集,并且运行DPDK程序的处理器支持AVX2指令集时,才启用RTE_ACL_CLASSIFY_AVX2算法。否则,退而求其次...
DPDP ACL 1 -- DPDK ACL算法介绍
~~ LINUX ~~
04-19 3842
DPDK提供了三种classify算法:最长匹配LPM、精确匹配(Exact Match)和通配符匹配(ACL)。 其中的ACL算法,本质是步长为8的Multi-Bit Trie,即每次可匹配一个字节。一般来说步长为n时,Trie中每个节点的出边为2^n,但DPDK在生成run-time structures时,采用DFA/QRANGE/SINGLE这几种不同的方式进行数据结构的压缩,有效去除了...
DPDK ACL算法介绍(二)
lingshengxiyou的博客
08-29 892
一些说明:1.merge完后,对于有分支的边,”…” 表示匹配除了其它分支以外的所有值,图中表述不准确;2.对于虚线的节点,表示merge完后会被释放;红色节点表示新建的node;红色的边,表示有修改或新增的边;实心节点表示match节点。3.node创建的顺序是a\b\c\…,但决定node是否free,则是1\2\3\…,见红色节点的名称。...
dpdk实例flow_classify
XuVowkin的博客
06-10 582
文章目录一.前言二.源码三.运行情况四.改动ipv4_rules_file.txt 一.前言 Flow Classify示例应用程序基于转发应用程序的简单框架示例。 它旨在演示使用Flow Classify库API的DPDK转发应用程序的基本组件。 flow_classify例子对于DPDK学习具有很重要的意义,是比较重要的章节。有点类似于linux网络中的iptables功能,也有点类似于我们在linux内核中开发的防火墙功能。我们可以使用flow模块对数据包进行统计,丢弃等基本的操作。 二.源码 /*
DPDK Release 20.11
weixin_37097605的博客
12-23 3458
圣诞CHRISTMASMERRY快乐一起来看看DPDK 20.11有哪些新功能和变化吧温馨提示:英文函数名较长,为了获得更佳的阅读体验,手机上建议横屏阅读~· 新功能 ·添加了合并写存储...
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
DPDK_SURICATA-4_1_4 从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据包进入SURICATA处理流水线模式。 要做的事 将数据包缓冲区展平为完全零复制模式。 使用零拷贝PKT解码和其他层 工作正在进行中 使用https://github.com/vipinpv85/DPDK-Suricata_3.0 SW ACL对方向规则进行分类。 事情完成了 来自数据包获取阶段的数据包的零副本 添加了4种tx_buffer_flush模式-0:无,1:4、2:8、3:16 对重组后的数据包实施SW或HW对称散列。 将dpdk配置移到suricata.yaml 允许多名工人,而不是单名工人 允许带有RSS的多个RX队列(默认) 将dpd
dpdk-16.04 igb_uio 模块分析
龙瑜的博客
04-21 2707
igb_uio 是 dpdk 内部实现的将网卡映射到用户态的内核模块,它是 uio 模块的一个实例。 igb_uio 是一种 pci 驱动,将网卡绑定到 igb_uio 隔离了网卡的内核驱动,同时 igb_uio 完成网卡中断内核态初始化并将中断信号映射到用户态。 igb_uio 与 uio 模块密切相关,我将从 uio 模块着手分析 igb_uio 模块的工作原理。 uio 模块分析 uio 可以看做是一种字符设备驱动,在此驱动中注册了单独的 file_operations 函数表,uio 设备可以看做是
dpdk加速网络协议栈ANS,单core路由转发+1000条ACL 64字节达到8.43Mpps
bluestar的专栏
11-23 1579
高性能防火墙。
DPDK ACL算法介绍(转载)
呆呆辉的专栏
11-21 3915
http://www.jianshu.com/p/0f71f814d73ehttp://www.jianshu.com/p/0f71f814d73e关于dpdk acl算法分析,以后慢慢琢磨。
intel dpdk api test程序讲解 (dpdk库测试模块)
编码人生——朝阳_tony
08-05 1万+
声明:此文档只做学习交流使用,请勿用作其他商业用途 author:朝阳_tony E-mail : linzhaolover@gmail.com Create Date: 2013-8-5 9:58:56 Monday Last Change: 2013-8-5 10:59:27 Monday 转载请注明出处:http://blog.csdn.net/linzhaolove
dpdk l3fwd实现ip acl规则下发
focus on security
12-01 2970
整个L3fwd有三千多行代码,但总体思想就是在L2fwd的基础上,增加网络层的根据 IP 地址进行路由查找的内容。 l2fwd例子中,代码中网卡没有配置多队列,所以性能上有些局限性, 而l3fwd的例子中,网卡配置了多队列 这就是在网络转发调试过程中,很多场景下直接使用l2fwd进行转发测试,往往达不到最佳效果的根本原因 2.l2fwd中,报文转发流程相对简单,仅仅改了mac就发包了,无需过多判断 l3fwd中,需查询路由表,相对实现复杂些 dpdkacl算法。大致用法如下: 配置如
DPDK
weixin_30344795的博客
10-23 1713
DPDK 数据平面开发套件(DPDK[1],Data Plane Development Kit)是由6WIND,Intel等多家公司开发,主要基于Linux系统运行,用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。 关键技术 编辑 环境抽象层 DPDK开发者指南 - 环境抽象层 http://ww...
Intel DPDK介绍
热门推荐
Walter的专栏
10-16 4万+
DPDK是X86平台报文快速处理的库和驱动的集合,大多数情况下运行在linux的用户态空间,目前最新版本1.5.0可以到官方网站dpdk.org下载。 DPDK不是网络协议栈,不提供二层,3层转发功能,不具备防火墙ACL功能,但通过DPDK可以轻松的开发出上述功能,具体可参考实例 application examples are included。 What it is Intel® DPD
DPDK ACL规则字段到tries树节点转换
redwingz的博客
06-04 1524
示例ACL规则: @39.7.6.0/24 146.11.37.196/32 0 : 65535 514 : 614 0x6/0xFF ACL库中定义了三种字段类型,如下: enum { RTE_ACL_FIELD_TYPE_MASK = 0, RTE_ACL_FIELD_TYPE_RANGE, RTE_ACL_FIELD_TYPE...
DPDK中使用的RTE_DIM是什么意思
最新发布
06-07
DPDK中,RTE_DIM是一个宏定义,用于计算数组的元素个数。DPDK中的很多数据结构都是数组形式的,使用RTE_DIM宏可以方便地计算数组的元素个数。它的定义如下: ``` #define RTE_DIM(_arr) (sizeof(_arr) / sizeof((_arr)[0])) ``` 其中,_arr是一个数组,RTE_DIM宏将返回数组中元素的个数。这个宏在DPDK中经常被用来计算循环次数、遍历数组等。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

thewangcj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值