其主要作用是在数据流通过网络设备时进行分类过滤,并对从指定接口输入或者输出的数据流进行检查,根据匹配条件(Conditions)允许其通过(Permit)、丢弃(Deny)或者采取其他动作策略,由此来达到网络中某些通信数据类型、网络的使用者或使用设备的目的。我们通过FFP的这种请看如下
其主要作用是在数据流通过网络设备时进行分类过滤,并对从指定接口输入或者输出的数据流进行检查,根据匹配条件(Conditions)允许其通过(Permit)、丢弃(Deny)或者采取其他动作策略,由此来达到网络中某些通信数据类型、网络的使用者或使用设备的目的。我们通过FFP的这种特性实现各种ACL技术,从而满足各种不同应用的需要。
下面,分别对各个部件的作用及工作原理进行介绍:
字段解析器
用于从各种来源的数据流中获取各种指定字段,即匹配域,例如:报文的源MAC地址、目的MAC地址、源IP等字段,在进行报文解析之前,需要预先设置字段,用以对报文进行识别、分类,之后开始对报文进行解析,将解析出来的匹配域字段封装成KEY送到查找匹配引擎中。
其中,各种来源的数据流包括报文流、各种硬件检测信息(如:报文的类型、输入的物理端口、是否在地址表中HIT等信息)。
查找匹配引擎
查找匹配引擎由一定数量的TCAM表项组成,我们将TCAM表项称为匹配规则,在进行匹配之前,需要预先申明匹配条件,设置好匹配规则中的内容,匹配规则针对数据流的源地址、目标地址、上层协议等字段。匹配规则一般有两部分组成:匹配内容和掩码,匹配过程就是将输入的KEY和掩码进行相与,再将相与的结果和匹配内容进行比较,如果比较结果相同,则匹配成功,例如:配置一个ACE,如下:
permit192.168.1.00.0.0.255,
则这条表项的匹配内容为192.168.1.0,掩码为255.255.255192.168.1.0.0。这时候,将输入报文的源IP(通过字段解析器解析)与掩码进行相与,如果结果等于192.168.1.0,则报文可以通过,即192.168.1.0/24网段的报文可以通过。
设置好匹配规则之后,将接收到的KEY与匹配规则一一进行比较,检查报文是否与某一条匹配规则相匹配,返回该匹配规则(HIT表项)所在的偏移。
tags:192.168.1.0