(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111363981.2 (22)申请日 2021.11.17 (71)申请人 杭州云合智网技 术有限公司 地址 311200 浙江省杭州市萧 山区经济技 术开发区建设三路733号信息港五期 一号楼202室 (72)发明人 陈刚　 (74)专利代理 机构 上海洞见 未来专利代理有限 公司 31467 代理人 苗绘 (51)Int.Cl. H04L 45/50(2022.01) H04L 45/745(2022.01) H04L 9/40(2022.01) (54)发明名称 基于分组标签策略的数据转发的方法 (57)摘要 本发明公开了一种基于分组标签策略的数 据转发的方法， 包含如下步骤： 采集数据报文； 解 析数据报文， 获得源地址、 目的地址、 入端口、 虚 拟局域网编号 以及上游设备已经插入的源分组 标签； 采集二层转发域、 三层VRF的中间状态信 息； 对目的地址查找转发信息库， 获得下一跳操 作的索引和目的地分组标签； 对源地址查找转发 信息库， 获得第一源分组标签； 对入端口和虚拟 局域网编号查找， 获得第二源分组标签； 本发明 能够实现基于分组标签的微分段， 支持子网内部 互访的安全隔离， 安全控制的粒度更精细， 能够 实现基于源和目的分组标签的策略路由转发。 分 组标签可以不限于IP地址， 可以基于入项端口、 VLAN、 虚拟机 标签、 MAC地址、 地理位置、 设备类 型 等等， 使得安全 控制更为灵活。 权利要求书1页 说明书4页 附图2页 CN 114039910 A 2022.02.11 CN 114039910 A 1.一种基于分组标签策略的数据转发的方法， 其特 征在于， 包 含如下步骤： 采集数据报文； 解析所述数据报文， 获得源地址、 目的地址、 入端口、 虚拟局域网编号以及上游设备已 经插入的源分组标签； 对所述目的地址的前缀进行地址查找转发信 息库， 获得下一跳操作的索引和目的地分 组标签； 根据所述入端口加上所述数据报文的虚拟局域网信息， 采集二层转发域的信息， 并且 得到所述 二转发域所属的三层VRF的信息； 对所述源地址查找转发信息库， 获得第一源分组标签； 对所述入端口和所述虚拟局域网编号 查找， 获得第二源分组标签； 根据所述数据报文的优先级从到 高低选择从所述上游设备已经插入的源分组标签、 第 一源分组标签以及所述第二源分组标签中选择最终的源分组标签； 比对查找所述 最终的源分组标签和所述目的地分组标签， 获得查找比对的结果； 根据所述 查找比对的结果， 判断是丢弃 所述数据报文， 还是获得 下一跳的出口信息 。 2.如权利要求1所述基于分组标签策略的数据转发的方法， 其特征在于， 所述数据报文 的优先级为： 所述上游设备已经插入的源分组标签>所述第二源分组标签>第一源分组标 签。 3.如权利要求1所述基于分组标签策略的数据转发的方法， 其特征在于， 比对查找所述 最终的源分组标签和所述目的地分组标签是通过 策略匹配查找 表进行比对查找。 4.如权利要求1所述基于分组标签策略的数据转发的方法， 其特征在于， 所述查找比对 的结果是丢弃还是转发是由用户安全策略决定的。 5.如权利要求1所述基于分组标签策略的数据转发的方法， 其特征在于， 所述查找比对 的结果转发到哪个端口是由用户路由转发策略决定的。 6.如权利要求1所述基于分组标签策略的数据转发的方法， 其特征在于， 所述查找比对 的结果分为 安全策略结果和路由策略结果。权　利　要　求　书 1/1 页 2 CN 114039910 A 2基于分组标签策略的数据转发的方 法 技术领域 [0001]本发明涉及分组标签策略技术领域， 特别涉及一种基于分组标签策略的数据转发 的方法。 背景技术 [0002]随着用户对安全越来越重视， 基于安全组的微分段技术成为精颗粒度策略控制的 技术潮流， 用于园区网的SGT(Scalable  Group Tag)技术和用于数据中心的GBP(Group   Based Policy)技术得到市场的逐渐认可。 传统以太网交换芯片使用目的IP地址去查表， 获 取指向下一跳地址的索引， 在入口ACL访问控制环节根据用户配置下发的IP互访策略进行 丢弃或转发。 制约安全策略大规模部署的主要因素是实现ACL功能的TCAM （ternary   content addressable memory） 发热 大、 容量小、 价格高。 [0003]传统安全策略的部署需要进行清晰的网络规划， 使用VLAN、 V XLAN VNI等划分业务 子网实现业务隔离， 交换机三层接口下的ACL不能实现同一子网内不同服务器的隔离。 在云 计算和虚拟化环 境， 安全边界难以界定， 使 得ACL难以实际部署 。 即使在传统的网络环 境， 由 于IP设备数量庞大， ACL的配置维护相当复杂， 缺乏全局视角， 难以实现基于意图的网络策 略。 同时以太网交换芯片使用TCAM， 缺乏防火墙那样使用RAM内存支持大量ACL表项的能力。 [0004] 发明内容 [0005]根据本发明实施例， 提供了一种基于分组标签策略的数据转发的方法， 包含如下 步骤： 采集数据报文； 解析数据报文， 获得源地址、 目的地址、 入端口、 虚拟局域网编号以及上游设备已 经插入的源分组标签； 对目的地址的前缀进行地址查找转发信息库， 获得下一跳操作的索引 和目的地分 组标签； 根据入端口加上数据报文的虚拟局域网信息， 采集二层转发域的信息， 并且得到 二转发域所属的三层VRF的信息； 对源地址查找转发信息库， 获得第一源分组标签； 对入端口和虚拟局域网编号 查找， 获得第二源分组标签； 根据数据报文的优先级从到高低选择从上游设备已经插入的源分组标签、 第一源 分组标签以及第二源分组标签中选择最终的源分组标签； 比对查找最终的源分组标签和目的地分组标签， 获得查找比对的结果； 根据查找比对的结果， 判断是丢弃 数据报文， 还是获得 下一跳的出口信息 。 [0006]进一步， 数据报文的优先级为： 上游设备已经插入的源分组标签>第二源分组标签 >第一源分组标签。说　明　书 1/4 页 3 CN 114039910 A 3