一种基于软硬件协同的流分类技术研究_赵大胜.pdf
《一种基于软硬件协同的流分类技术研究_赵大胜.pdf》由会员分享,可在线阅读,更多相关《一种基于软硬件协同的流分类技术研究_赵大胜.pdf(4页珍藏版)》请在咨信网上搜索。
1、舰 船 电 子 工 程2022 年第 11 期1引言某型万兆网络密码机采用红黑隔离架构,红黑区处理单元均基于通用处理器实现,红黑区之间以FPGA加密卡隔离。网络密码机内置ACL规则表,每行规则包含行号、五元组各字段范围(上限、下限)、优先级和动作(密传/明传/丢弃)等信息。CPU根据来包的五元组信息在规则表中进行分类匹配,决定后续处理,如密传/明传/丢弃等。该项目流分类技术难点主要有三点,第一要支持万兆速率下线速流分类,当包长为64字节时每秒需进行14.88兆次流分类;第二要支持五元组各字段的范围匹配,不同于传统算法中IP地址字段仅支持掩码匹配或精确匹配;第三要支持ACL规则表实时更新,这使得
2、基于规则表预生成二叉树的范围匹配算法难以适用。FPGA可实现范围匹配和规则表快速更新,但如每个数据包均由FPGA计算匹配的规则行号,再将行号返回CPU则总线通信开销极大13。本文基于设备硬件架构,设计了一种软硬件协同的流分类算法。对于各数据流的首包,使用FPGA进行范围匹配,并在CPU侧建立对应流表;该流收稿日期:2022年5月8日,修回日期:2022年6月19日基金项目:湖北省重点研发计划项目(编号:2020BAB103)资助。作者简介:赵大胜,男,研究员,研究方向:无线通信及网络加密。黄馨,女,高级工程师,研究方向:计算机软件。周愚,男,高级工程师,研究方向:FPGA算法及逻辑设计。一种基
3、于软硬件协同的流分类技术研究赵大胜黄馨周愚(武汉船舶通信研究所武汉430205)摘要流分类指根据IP包的五元组信息在规则表中进行匹配分类。某网络密码机使用通用处理器进行流分类和报文处理,但现有流分类算法无法在通用处理器上同时支持五元组线速范围匹配和规则库实时更新。论文基于软硬件协同方式解决该问题,对数据流首包基于FPGA进行范围匹配并在CPU侧建立流表,后续包则基于CPU进行流表哈希匹配,并设计了规则库和流表同步更新机制,可满足万兆线速流分类要求且显著降低计算开销和通信开销。关键词流分类;范围匹配;布谷鸟哈希;规则表更新中图分类号TN915.05DOI:10.3969/j.issn.1672-
4、9730.2022.11.015Research on a Flow Classification Algorithm with Software andHardware CooperationZHAO DashengHUANG XinZHOU Yu(Wuhan Maritime Communication Institute,Wuhan430205)AbstractFlow classification matches a packet headers 5 tuple against the predefined rule set.A network encryption machineus
5、es a CPU for flow classification and packet processing.But the existing flow classification algorithms cannot support theline-speed range matching and real-time rule set modification on CPU at the same time.In this paper,the problem with softwareand hardware cooperation is solved.The range matching
6、on the first packet of the data stream on FPGA is performed and a flow tableitem on the CPU side is established,then flow table hash matching on subsequent packets with CPU is performed.A synchronous update mechanism of rule set and flow table is designed.It can meet the requirements of 10G network
7、and significantly reduce computation and communication overhead.Key Wordsflow classification,range match,Cuckoo hash,rule set updatingClass NumberTN915.05总第 341 期2022 年第 11 期舰 船 电 子 工 程Ship Electronic EngineeringVol.42 No.1165总第341期的后续包在CPU侧基于流表进行哈希精确匹配,可大幅度降低计算开销和通信开销。此外,设计了基于计数器同步的规则表和流表的实时分布式更新机制
8、,由入站流量触发动态更新,可降低更新流表的计算开销。2流分类技术研究现状流分类的规则匹配分为精确匹配、掩码匹配和范围匹配,其中范围匹配实现难度最大。五元组范围匹配实现方式包括TCAM芯片匹配、CPU侧二叉树范围匹配和FPGA侧向量匹配方式16。TCAM芯片常用于掩码匹配,将之用于范围匹配需要将规则展开成多行以进行掩码匹配,存在规则过度扩展问题,例如3bit范围 1,8)展开为3条掩码规则 001,01*,1*。多个字段则展开项为幂次关系,TCAM存储空间有限且匹配条目过多时功耗显著增加,因此在采用大规则表时,规则表拆解为掩码造成的规则条目过度扩张将使得TCAM芯片难以满足要求45。CPU侧范围
9、匹配原理是基于规则表构建二叉树进行范围匹配,二叉树的构建方式不同影响搜索深度和搜索效率。学术界提出了不少优化算法,利用规则表统计特性提高效率,典型代表为 Hypercut、Bitcut等算法69。但此类算法存在三个问题,第一,二叉树深度与规则表统计特性相关,不具普适性,使得流分类延时不固定;第二,当规则库修改后,二叉树需要重新构建,不能支持规则库实时更新;第三,其计算开销较大,目前常用的软件流分类算法处理10Gbps速率时,Bitcut等算法要使用四核Intel E3-1225志强处理器的三个核心。FPGA侧基于向量匹配实现范围匹配,典型算法为 StrideBV 和 QuYun 多域分类算法1
10、011。其将五元组的各字段分别进行范围匹配,获得五个N行列向量(N为规则表行数),其中对应行为1则表示该字段在匹配范围内,否则为0;而后将五个列向量相与,结果为1的行为匹配行,当有多个匹配行时再进行优先级比较,选择最高优先级的行作为最终匹配成功行。向量匹配方式对规则表具有普适性,任何规则均能适配,其中StrideBV存储开销较大,本项目基于QuYun多域分类算法实现FPGA侧流分类处理。3算法描述3.1流分类处理流程当数据流通过网卡进入CPU后,CPU首先根据五元组哈希值查询流表,如果查询不到则将五元组通过PCIe总线交FPGA处理。FPGA返回五元组信息及匹配到的行号,CPU收到匹配结果后建
11、立对应的流表表项。CPU对该流后续包计算hash值,在哈希桶中获取流表index索引值,根据该值在流表中进行索引,获取对应的规则表行号,进而使用该行号索引规则表,根据规则表中规则进行对应处理。流分类示意图如图1所示。图1流分类流程以下以1024行规则为例,介绍FPGA侧流分类引擎处理流程。流分类引擎由8个五元组匹配模块(PE)和8个优先级比较模块(PR)组成。每个PE包含128行五元组比较单元(LINE),每个PR处理128行规则的优先级比较。PE中每个LINE对应一行规则,包含5个比较器FE,每个FE处理五元组中的一个字段的范围比较,5个FE结果相与作为该行范围匹配的结果。PR中128行的比
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一种 基于 软硬件 协同 分类 技术研究 大胜
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。