表项及模板分配过程

　　除了目前广泛使用的安全ACL外，FFP相关的其他各种应用也都是依赖于ACL技术实现，ACL全称为访问控制列表(Access Control List)，也称为访问列表(Access List)，俗称为防火墙，ACL通过定义一些规则对网络设备接口上的数据报文进行控制，ACL 由一系列的表项组成，称之为访问控制列表表项(Access Control Entry：ACE)，每个接入控制列表表项都申明了满足该表项的匹配条件及行为(动作策略)。

　　有些应用可以显式关联各种类型的ACL(IP标准ACL、IP扩展ACL、专家扩展ACL等)，如：安全ACL、安全通道、QOS等，这时候可以修改各ACL中的ACE，过滤各种指定的流；有些应用则由软件自动创建ACL，这种应用下无法直接操作ACL中ACE，由软件自动进行添加删除操作。

　　1. 只要是符合某条ACE，就按照该ACE定义的动作策略处理报文(Permit、Deny、Copy_To_Cpu等)，ACL 的ACE根据以太网报文的某些字段来标识以太网报文，这些字段包括：

　　二层字段(Layer 2 Fields)：

　　48 位的源MAC 地址(必须申明所有48 位)

　　48 位的目的MAC 地址(必须申明所有48 位)

　　16 位的二层类型字段

　　三层字段(Layer 3 Fields)：

　　源IP 地址字段

　　目的IP 地址字段

　　协议类型字段

　　四层字段(Layer 4 Fields)：

　　可以申明一个TCP 的源端口、目的端口或者都申明

　　可以申明一个UDP 的源端口、目的端口或者都申明

　　2. 过滤域，指的就是在生成一条ACE 时，根据报文中的哪些字段用以对报文进行识别、分类；

　　3. 过滤域模板，就是这些字段组合的定义，对应于字段解析器中预先设置到的匹配域，比如，在生成某一条ACE时希望根据报文的目的IP 字段对报文进行识别、分类，而在生成另一条ACE 时，希望根据的是报文的源IP 地址字段和UDP 的源端口字段，这样，这两条ACE 就使用了不同的过滤域模板。

　　4. 规则(Rules)，指的是ACE 过滤域模板对应的值，对应于查找匹配引擎中预先申明的匹配规则。

　　5. 行为(Action)，指的是ACE中指定的动作，对应于动作策略引擎中预先申明的动作策略。

　　6. 比如有一条ACE 内容如下：

　　permit tcp host 192.168.12.2 any eq telnet

　　在这条ACE 中，匹配域为以下字段的集合：源IP地址字段、IP 协议字段、目的TCP 端口字段；

　　匹配规则为：源IP 地址=Host 192.168.12.2；IP 协议=TCP；TCP 目的端口= Telnet；

　　动作策略为：允许通过(permit)，即do_not_drop。

　　在实现上，为每个应用创建一个或者多个ACL并关联，然后根据各种应用的优先级，将各应用关联的ACL按照硬件表项的优先级关系设置硬件，从而达到高优先级表项优先生效的目的。

　　在不同产品上，支持的过滤域模板数量存在较大差异，实现原理及含义也不近一样。

　　默认行为

　　在目前已经实现的各种FFP相关应用中，有些应用存在默认的行为，隐含“拒绝所有数据流”规则表项，目的是为了将不匹配的非法报文全部丢弃，对于这些存在默认行为的应用，存在默认添加的表项，占用了一定数量的硬件表项。

　　同时，在起机后空配置的情况下，会有一些CPP及信任模式的默认表项，这些隐含的表项也占用了一定数量的硬件表项，但是在统计硬件容量的过程中，又容易被忽略。

　　优先级冲突处理

　　应用优先级是指多种应用同时存在时，根据应用的优先级关系，将高优先级应用的ACE装在高优先级的硬件表项上，以保证高优先级的应用先生效，只有高优先级的应用没有表项匹配时，低优先级应用的表项才能生效。

　　某些应用由于隐含“拒绝所有数据流”规则，会存在一条deny any的表项，这导致在同一个端口下多种应用同时打开时产生优先级冲突，低优先级的应用表项完全不生效，例如：当一个端口同时打开DOT1X IP授权绑定、DHCP SNP绑定，这时候由于DOT1X IP授权绑定默认会添加一个denyip any的表项，导致而DHCP SNP绑定的所有表项不生效，因此，我们判断一个端口的某个应用配置是否生效是，需要考虑两个方面：

　　1. 端口下是否存在高优先级应用被匹配，或者存在影响这个端口的高优先级全局应用被匹配；

　　2. 端口下是否存在隐含“拒绝所有数据流”规则的高优先级应用。

　　3. 对于不同端口下的多种应用，则不存在优先级冲突。在交换机上嵌入各种功能强大FFP引擎后，使得交换机能够提供强大的数据流过滤功能，能很方便根据网络具体情况进行安全部署，对数据流进行控制，提高交换机在安全接入、汇聚等各方面的性能，在发展迅速的网络市场中将得到广泛应用。(作者单位为集美大学)